Адреса облачных ресурсов | Яндекс.Облако

Адреса в облачных сетях могут быть внутренними или публичными.

Внутренние адреса

Внутренние IP-адреса назначаются ресурсам в выбранной подсети того каталога, в котором создается ресурс. Такие адреса используются для передачи информации между ресурсами внутри облака.

Подключение по внутреннему IP-адресу возможно только к ресурсами, подключенным к подсетям той же облачной сети. Внутренний IP-адрес не меняется все время существования облачного ресурса.

Внутренние IP-адреса можно задать вручную или автоматически при создании ресурса.

Публичные адреса

Публичные IP-адреса позволяют облачным ресурсам обмениваться данными с интернетом и с ресурсами из других облачных сетей. Публичные адреса сопоставляются внутренним адресам ресурсов с помощью технологии one-to-one NAT. Публичные адреса можно назначать ресурсам автоматически или выбрать из списка зарезервированных адресов.

Публичные IP-адреса бывают динамическими и статическими. Как правило, при создании облачного ресурса с публичным IP-адресом, ему присваивается динамический адрес. При остановке виртуальной машины с динамическим публичным IP-адресом ее адрес освобождается, при следующем запуске машина получит новый публичный IP-адрес. При перезагрузке машины публичный IP-адрес сохраняется.

Динамический публичный IP-адрес можно сделать статическим. Статические IP-адреса не меняются при остановке ресурсов и могут быть зарезервированы в вашем каталоге для дальнейшего использования, даже если они не привязаны к облачным ресурсам. Как сделать динамический IP-адрес статическим читайте в разделе Сделать публичный IP-адрес виртуальной машины статическим.

Подробнее о правилах тарификации IP-адресов читайте в разделе Публичные IP-адреса документации сервиса Virtual Private Cloud.

Имя хоста (FQDN)

Имя хоста можно использовать для доступа с одного облачного ресурса на другой в рамках одной облачной сети.

Имя хоста задается либо вручную, либо формируется автоматически с помощью идентификатора виртуальной машины.

Подробнее о принципах формирования FQDN читайте в разделе Имя хоста и FQDN документации Compute Cloud

Как найти IP-адрес компьютера – инструкция

Аббревиатура «IP» расшифровывается как «Интернет-протокол». Он представляет собой индивидуально определенное цифровое значение устройства в компьютерной сети.

Во «Всемирной паутине» необходима всеобъемлющая уникальность каждого идентификатора. В случае работы с локализованной вычислительной сетью, т.е. той сферой, которая покрывает относительно небольшую территорию или малую совокупность инфраструктурных объектов (домов, офисов, институтов), требуется уникальность интернет-соединения в рамках этой сети.

Структура IP addressa соединяет в себе два элемента: номер сетевого адреса и цифровое значение узла. Идентификационное определение узла в записи Интернет-протокола закрепляется самобытно от локального адреса узла. Маршрутизатор по умолчанию подсоединяется одновременно к нескольким сетям. Вследствие этого, каждый порт устройства для соединения сегментов компьютерных адресов имеет собственное уникальное значение интернет-протокола.

Как найти IP-адрес компьютера

Исходя из этого, айпи-адрес определяет не обособленно выделенное устройство, систему или маршрутизатор, а единственное целое сетевое подключение.

Виды IP-адресов

Владельцам компьютеров часто приходится сталкиваться с вопросами определения адреса собственной сети. Но не каждый разбирается в понятиях и отличиях между собой таких терминов, как статический и динамический IP, частный и публичный IP-адрес, серый и белый Internet Protocol Address.

Справка! Если вы смотрите характеристики подключения к локальной сети, то это и является внутренним локальным идентификатором компьютера.

IP-адрес

При просмотре параметров подключения к состоянию сети Интернет вам обозначится «Интернет-протокол» клиента. Это идентифицирующий публичный элемент, который видят все сайты и отождествляют его с вашими действиями.

«Интернет-протокол» клиента

Классификация адресов	Их характеристика
Локальный адрес	Этот подвид не предназначен для использования в телекоммуникационной сети Интернет. Его также называют «внутренний» или «серый» тип. Он находит свою функциональность только при работе в локальных сетях. Доступ к этому адресному элементу допускается возможным получить лишь в пределах локальной подсети
Публичный адрес	Это единственное в своём роде для всей сети значение, которое берёт на себя функцию по работе в интернет пространстве, то есть доступ к нему открыт и виден глобальной сети в целом. Некоторые люди именуют его «внешним» или «белым» адресом. Особенностью этого подвида считается тот признак, что публичный адрес зачастую не всегда постоянен. Иногда в зависимости от типа услуг, предоставляемых провайдером, он может меняться от подключения к подключению
Статический IP-адрес	Этот адрес закреплен за своим пользователем и сетью твердо и навсегда. Дополнительно его именуют «фиксированным» или «постоянным адресом». Он не будет видоизменяться с каждым подключением
Динамический IP-адрес	В отличие от статистического типа этот подвид является плавающим и изменяющимся при каждом новом подключении к сети. Как правило, все провайдеры имеют в своём прайс-листе услугу по подключению данного типа. Чаще всего за неё взимается дополнительная плата, но это стоит того, потому что такое подключение позволит обезопасить ваше пребывание в сети и обеспечить некоторый уровень анонимности

Имейте в виду! При заказе у компании предоставляющей интернет-услуги тип подключения со статическим публичным IP-адресом, вам будет требоваться самостоятельно ограждать свой персональный компьютер от атак и угроз, которые зачастую происходят в сети Интернет.

Видео — Какой IP-адрес у вашего компьютера

Способы определения внутренних и внешних IP-адресов компьютерной сети

Существует несколько доступных вариантов по выявлению внутреннего адреса компьютера. Их можно разделить на следующие виды:

1. При помощи интерфейса командной строки.
2. Через панель управления.
3. При помощи специальных интернет-ресурсов.

Рассмотрим каждый из вариантов более подробно.

Обнаружение IP-адреса при помощи командной строки

Этот вариант подойдет для наиболее опытных пользователей, но детально разобравшись в алгоритме его нескольких шагов, дальнейшая работа с командной строкой Windows не будет вызывать труда.

1. Для открытия в программном обеспечении компьютера интерпретатора командной строки требуется синхронно зажать клавиши «WIN» и «R».

   Нажимаем сочетание клавиш «WIN» и «R»

2. Перед пользователем всплывет специальный элемент интерфейса, в котором вводят «cmd» и затем совершают клик курсором по области «OK».

   Вводим «cmd»

3. Выполнение второго шага приведет к появлению интерфейса командной строки, в котором требуется ввести словосочетание «ipconfig» и подтвердить это действие нажатием клавиши Enter.

   Вводим «ipconfig» и подтверждаем это действие

4. Среди появившейся информации опуститесь до пункта IPv4-адрес — это и является обозначением вашей версии интернет протокола.

   Находим пункт IPv4-адрес

Выявление IPv4 через панель управления Windows

Обратите внимание! Этот вариант несколько более продолжителен по времени в отличие от предыдущего, но он прекрасно подойдёт новичкам и людям со средним уровнем компьютерной грамотности.

1. Путём щелчка по эмблеме «Виндовс», располагающейся слева внизу экрана откройте пусковое меню.

   Открываем пусковое меню

2. В графическом пользовательском интерфейсе перейдите на вкладку «Панель управления».

   Переходим на вкладку «Панель управления»

3. Далее перейдите на вкладку, показанную на рисунке.

   Переходим во вкладку «Сеть и интернет»

4. Выберите область «Центра управления сетями и общим доступом». Перед вами предстанет раздел под названием «Просмотр активных сетей». Выберите надпись, указывающую на словосочетание «Подключение по локальной сети» и кликните по надписи «Свойства».

   Кликаем по надписи «Свойства»

5. На экране будет отображено очередное окно, на котором детализировано отобразятся данные по текущему подсоединению к сети, в том числе и IP-адрес.

   Данные по текущему подсоединению к сети

Узнать публичный Интернет-протокол при помощи специализированных ресурсов

Активному пользователю сети интернет не представит труда обратиться к помощи специальных сайтов, которые за считанные секунды обрабатывают IP-адрес компьютера и предоставляют полную информацию о нём на экран монитора. Всё что нужно пользователю — это просто ввести один из адресов в браузерную строку. На данный момент времени известны следующие популярные сервисы:

1. 2ip— доступны дополнительные опции по измерению скорости интернета, отзывы о провайдерах и их рейтинг.

   IP-адрес можно посмотреть с помощью сайта 2ip

2. Internet.Yandex — помимо всего определяет скорость входящего и исходящего соединения.

   Определение IP-адреса с помощью Internet.Yandex

3. IPLogger — система уникальных сервисов, с помощью которых можно выявить статистику о посетителях вашего сайта, определить их IP-адреса, а также узнать собственный.

   Система уникальных сервисов IPLogger

Способы идентификации адресов в других операционных системах

MAC OS

Не все владельцы компьютеров используют самую популярную на текущий период времени операционную систему Windows. Значительное число пользователей предпочитают продукцию от фирмы Apple и, следовательно, вынуждены разбираться с программным обеспечением на «MAC OS».

1. Первоначально, владелец техники от всемирной американской корпорации, должен кликнуть курсором мыши на изображение Apple в левом верхнем углу экрана и выбрать в открывшимся меню опцию по системным настройкам.

   Открываем опцию по системным настройкам

2. В системе управления вашим электронным девайсом найдите расположенную в третьем ряду иконку с надписью «Сеть».

   Находим иконку с надписью «Сеть»

3. Перед юзером предстанет интерфейс, где в левой колонке следует кликнуть по надписи «Ethernet» или «WI-FI». Выбор между этими двумя элементами зависит от того, к какой сети (проводной или беспроводной) подключено ваше устройство. После завершения этого шага справа сразу же отразиться IP-адрес используемого электронного девайса. Кликаем по надписи «Ethernet»

   Или по надписи «WI-FI»

Заключение

Таким образом, из-за обилия разнообразных способов, определить айпи-адрес локальной компьютерной сети, посредством операционных утилит не представляется затруднительным. Каждый описанный способ в среднем занимает 3-5 минут.

Для внешнего узнавания IP-адреса в сети появилась обширная масса интернет-сервисов, которые бесплатно, за пару секунд, предоставят вам доступ к заданной информации.

Правила тарификации для Virtual Private Cloud | Яндекс.Облако

Из чего складывается стоимость использования VPC

В рамках VPC оплачивается почасовое использование публичных IP-адресов.

Цены

Публичные IP-адреса

Публичный IP-адрес может находиться в двух состояниях:

1. Активном — когда динамический или статический публичный IP-адрес привязан к запущенному облачному ресурсу.

2. Неактивном — когда статический публичный IP-адрес не привязан к облачному ресурсу или привязан к остановленному ресурсу. Цена неактивного публичного статического адреса складывается из стоимости публичного IP-адреса и стоимости резервирования неактивного публичного статического IP-адреса:

   0,1524 + 0,1980 = 0,3504 ₽ за час, вкл. НДС

Услуга	Цена за час, вкл. НДС
Публичный IP-адрес (динамический или статический)	0,1524 ₽
Резервирование неактивного публичного статического IP-адреса	0,1980 ₽

Защита от DDoS-атак

Услуга	Цена за ГБ полезного трафика, вкл. НДС
Фильтрация входящего трафика на публичный IP-адрес с защитой от DDoS-атак	2,4300 ₽

Полезный трафик — это входящий трафик, который система фильтрации DDoS Protection допускает к облачным ресурсам пользователя. Тарифицируется только полезный трафик.

Например, на виртуальную машину пользователя была проведена типовая DDoS-атака в 10 Гбит/с, которая сгенерировала 75 ГБ входящего трафика. Во время атаки пользователь загрузил из интернета на виртуальную машину 2 ГБ полезных файлов. Когда атака закончилась, пользователь загрузил еще 2 ГБ полезных файлов.

В этом случае тарифицируются только 4 ГБ полезного трафика: 2 ГБ, который система DDoS Protection допустила к облачным ресурсам во время атаки, и 2 ГБ, которые были загружены, когда атака не велась. Вредоносный трафик отфильтровывается и не тарифицируется.

Cloud Interconnect

Услуга предоставляется при наличии технической возможности. Цены на услугу Yandex Cloud Interconnect предоставляются по запросу и зависят от технических характеристик соединения с Яндекс.Облаком.

Исходящий трафик

Исходящий трафик от ресурсов Яндекс.Облака тарифицируется в рамках соответствующих сервисов. Стоимость исходящего трафика одинакова для всех сервисов.

Минимальная единица тарификации — 1 МБ.

Категория ресурса	Цена за ГБ, вкл. НДС
Исходящий трафик, до 10 ГБ	Не тарифицируется
Исходящий трафик, сверх 10 ГБ	0,9600 ₽

Как найти IP-адрес компьютера

Аббревиатура «IP» расшифровывается как «Интернет-протокол». Он представляет собой индивидуально определенное цифровое значение устройства в компьютерной сети.

Во «Всемирной паутине» необходима всеобъемлющая уникальность каждого идентификатора. В случае работы с локализованной вычислительной сетью, т.е. той сферой, которая покрывает относительно небольшую территорию или малую совокупность инфраструктурных объектов (домов, офисов, институтов), требуется уникальность интернет-соединения в рамках этой сети.

Структура IP addressa соединяет в себе два элемента: номер сетевого адреса и цифровое значение узла. Идентификационное определение узла в записи Интернет-протокола закрепляется самобытно от локального адреса узла. Маршрутизатор по умолчанию подсоединяется одновременно к нескольким сетям. Вследствие этого, каждый порт устройства для соединения сегментов компьютерных адресов имеет собственное уникальное значение интернет-протокола.

Как найти IP-адрес компьютера

Исходя из этого, айпи-адрес определяет не обособленно выделенное устройство, систему или маршрутизатор, а единственное целое сетевое подключение.

Владельцам компьютеров часто приходится сталкиваться с вопросами определения адреса собственной сети. Но не каждый разбирается в понятиях и отличиях между собой таких терминов, как статический и динамический IP, частный и публичный IP-адрес, серый и белый Internet Protocol Address.

Справка! Если вы смотрите характеристики подключения к локальной сети, то это и является внутренним локальным идентификатором компьютера.

IP-адрес

При просмотре параметров подключения к состоянию сети Интернет вам обозначится «Интернет-протокол» клиента. Это идентифицирующий публичный элемент, который видят все сайты и отождествляют его с вашими действиями.

«Интернет-протокол» клиента

Классификация адресов	Их характеристика
Локальный адрес	Этот подвид не предназначен для использования в телекоммуникационной сети Интернет. Его также называют «внутренний» или «серый» тип. Он находит свою функциональность только при работе в локальных сетях. Доступ к этому адресному элементу допускается возможным получить лишь в пределах локальной подсети
Публичный адрес	Это единственное в своём роде для всей сети значение, которое берёт на себя функцию по работе в интернет пространстве, то есть доступ к нему открыт и виден глобальной сети в целом. Некоторые люди именуют его «внешним» или «белым» адресом. Особенностью этого подвида считается тот признак, что публичный адрес зачастую не всегда постоянен. Иногда в зависимости от типа услуг, предоставляемых провайдером, он может меняться от подключения к подключению
Статический IP-адрес	Этот адрес закреплен за своим пользователем и сетью твердо и навсегда. Дополнительно его именуют «фиксированным» или «постоянным адресом». Он не будет видоизменяться с каждым подключением
Динамический IP-адрес	В отличие от статистического типа этот подвид является плавающим и изменяющимся при каждом новом подключении к сети. Как правило, все провайдеры имеют в своём прайс-листе услугу по подключению данного типа. Чаще всего за неё взимается дополнительная плата, но это стоит того, потому что такое подключение позволит обезопасить ваше пребывание в сети и обеспечить некоторый уровень анонимности

Имейте в виду! При заказе у компании предоставляющей интернет-услуги тип подключения со статическим публичным IP-адресом, вам будет требоваться самостоятельно ограждать свой персональный компьютер от атак и угроз, которые зачастую происходят в сети Интернет.

Существует несколько доступных вариантов по выявлению внутреннего адреса компьютера. Их можно разделить на следующие виды:

1. При помощи интерфейса командной строки.
2. Через панель управления.
3. При помощи специальных интернет-ресурсов.

Рассмотрим каждый из вариантов более подробно.

Этот вариант подойдет для наиболее опытных пользователей, но детально разобравшись в алгоритме его нескольких шагов, дальнейшая работа с командной строкой Windows не будет вызывать труда.

1. Для открытия в программном обеспечении компьютера интерпретатора командной строки требуется синхронно зажать клавиши «WIN» и «R».

   

   Нажимаем сочетание клавиш «WIN» и «R»

2. Перед пользователем всплывет специальный элемент интерфейса, в котором вводят «cmd» и затем совершают клик курсором по области «OK».

   

   Вводим «cmd»

3. Выполнение второго шага приведет к появлению интерфейса командной строки, в котором требуется ввести словосочетание «ipconfig» и подтвердить это действие нажатием клавиши Enter.

   

   Вводим «ipconfig» и подтверждаем это действие

4. Среди появившейся информации опуститесь до пункта IPv4-адрес — это и является обозначением вашей версии интернет протокола.

   

   Находим пункт IPv4-адрес

Обратите внимание! Этот вариант несколько более продолжителен по времени в отличие от предыдущего, но он прекрасно подойдёт новичкам и людям со средним уровнем компьютерной грамотности.

1. Путём щелчка по эмблеме «Виндовс», располагающейся слева внизу экрана откройте пусковое меню.

   

   Открываем пусковое меню

2. В графическом пользовательском интерфейсе перейдите на вкладку «Панель управления».

   

   Переходим на вкладку «Панель управления»

3. Далее перейдите на вкладку, показанную на рисунке.

   

   Переходим во вкладку «Сеть и интернет»

4. Выберите область «Центра управления сетями и общим доступом». Перед вами предстанет раздел под названием «Просмотр активных сетей». Выберите надпись, указывающую на словосочетание «Подключение по локальной сети» и кликните по надписи «Свойства».

   

   Кликаем по надписи «Свойства»

5. На экране будет отображено очередное окно, на котором детализировано отобразятся данные по текущему подсоединению к сети, в том числе и IP-адрес.

   

   Данные по текущему подсоединению к сети

Активному пользователю сети интернет не представит труда обратиться к помощи специальных сайтов, которые за считанные секунды обрабатывают IP-адрес компьютера и предоставляют полную информацию о нём на экран монитора. Всё что нужно пользователю — это просто ввести один из адресов в браузерную строку. На данный момент времени известны следующие популярные сервисы:

1. 2ip— доступны дополнительные опции по измерению скорости интернета, отзывы о провайдерах и их рейтинг.

   

   IP-адрес можно посмотреть с помощью сайта 2ip

2. Internet.Yandex — помимо всего определяет скорость входящего и исходящего соединения.

   

   Определение IP-адреса с помощью Internet.Yandex

3. IPLogger — система уникальных сервисов, с помощью которых можно выявить статистику о посетителях вашего сайта, определить их IP-адреса, а также узнать собственный.

   

   Система уникальных сервисов IPLogger

Не все владельцы компьютеров используют самую популярную на текущий период времени операционную систему Windows. Значительное число пользователей предпочитают продукцию от фирмы Apple и, следовательно, вынуждены разбираться с программным обеспечением на «MAC OS».

1. Первоначально, владелец техники от всемирной американской корпорации, должен кликнуть курсором мыши на изображение Apple в левом верхнем углу экрана и выбрать в открывшимся меню опцию по системным настройкам.

   

   Открываем опцию по системным настройкам

2. В системе управления вашим электронным девайсом найдите расположенную в третьем ряду иконку с надписью «Сеть».

   

   Находим иконку с надписью «Сеть»

3. Перед юзером предстанет интерфейс, где в левой колонке следует кликнуть по надписи «Ethernet» или «WI-FI». Выбор между этими двумя элементами зависит от того, к какой сети (проводной или беспроводной) подключено ваше устройство. После завершения этого шага справа сразу же отразиться IP-адрес используемого электронного девайса.

   

   Кликаем по надписи «Ethernet»

   

   Или по надписи «WI-FI»

Таким образом, из-за обилия разнообразных способов, определить айпи-адрес локальной компьютерной сети, посредством операционных утилит не представляется затруднительным. Каждый описанный способ в среднем занимает 3-5 минут.

Для внешнего узнавания IP-адреса в сети появилась обширная масса интернет-сервисов, которые бесплатно, за пару секунд, предоставят вам доступ к заданной информации.

Ip адреса для частных сетей

Частный IP-адрес [1] [2] (англ. private IP address ), также называемый внутренним

, внутрисетевым, локальным или «серым» — IP-адрес, принадлежащий к специальному диапазону, не используемому в сети Интернет. Такие адреса предназначены для применения в локальных сетях, распределение таких адресов никем не контролируется. В связи с дефицитом свободных IP-адресов, провайдеры всё чаще раздают своим абонентам именно внутрисетевые адреса, а не внешние, при этом один внешний IP выдаётся нескольким клиентам.

Иногда частные адреса называют неанонсированными, внешние (так называемые «белые IP») — анонсированными.

Содержание

Частные диапазоны IP-адресов [ править | править код ]

Следующие диапазоны определены IANA как адреса, выделенные локальным сетям:

IPv4 [ править | править код ]

• 10.0.0.0 — 10.255.255.255 (маска подсети для бесклассовой (CIDR) адресации: 255.0.0.0 или /8)
• 100.64.0.0 — 100.127.255.255 (маска подсети 255.192.0.0 или /10) — Данная подсеть рекомендована согласно RFC 6598 для использования в качестве адресов для CGN (Carrier-Grade NAT).
• 172.16.0.0 — 172.31.255.255 (маска подсети: 255.240.0.0 или /12)
• 192.168.0.0 — 192.168.255.255 (маска подсети: 255.255.0.0 или /16)

Также для петлевых интерфейсов (не используется для обмена между узлами сети) зарезервирован диапазон 127.0.0.0 — 127.255.255.255 (маска подсети: 255.0.0.0 или /8).

IPv6 [ править | править код ]

• fc00::/7 — 7-битный префикс адреса. [4]

Понятия частных и внешних, статических и динамических адресов [ править | править код ]

Существует тенденция путать понятия частного IP-адреса и динамического. Ошибочно полагать, что все адреса, выделяемые провайдером динамически — частные, а фиксированные адреса (закреплённые статически) — внешние. Под динамическим выделением адреса узлу сети понимается присвоение нового адреса для каждой сессии соединения (аренда адреса, отсутствие постоянно закрепленного за узлом адреса), таким образом присваиваться могут как частные (приватные), так и внешние (публичные) адреса.

Как машины с частными адресами выходят в Интернет [ править | править код ]

Пакеты, идущие с внутренних IP-адресов или на них, магистральные маршрутизаторы не пропускают. То есть, внутрисетевые машины, если не принимать никаких мер, изолированы от Интернета. Тем не менее, есть ряд технологий, которые позволяют выходить таким машинам в Интернет.

Сервер-посредник [ править | править код ]

Многие из старых интернет-служб (электронная почта, IRC, Usenet) специально спроектированы для машин, которые не имеют прямого выхода в Интернет. Для этого в самих протоколах предусмотрена эстафетная передача информации. Рассмотрим её на примере электронной почты.

Корпоративный почтовый сервер имеет два IP-адреса: внутренний и внешний. Для отправки почты пользователь по протоколу SMTP связывается с сервером. Сервер от своего имени выходит в интернет и переправляет почту дальше по цепочке. На этот же сервер по протоколу SMTP поступает входящая корреспонденция. Чтобы проверить ящик, пользователи соединяются с сервером по протоколу POP3.

Для Всемирной паутины была придумана технология «сервер-посредник» (или по-английски «прокси-сервер»). Машина с частным адресом обращается к прокси-серверу и посылает на него команды HTTP. Прокси-сервер связывается с веб-сервером от своего имени.

Такая конструкция удовлетворила важнейшие нужды внутрисетевых пользователей. Однако минусом является сложная архитектура сервера-посредника: ведь он должен поддерживать множество разных протоколов. А по протоколам, которые посредник не поддерживает или которые не рассчитаны на эстафетную передачу (например, сетевые игры), выход в интернет невозможен. Одни программы (ICQ, Skype, P2P-часть протокола BitTorrent) проходят сквозь прокси-серверы, «заворачивая» свой протокол в HTTP-пакеты, другие (Subversion, связь с трекером в протоколе BitTorrent) — изначально реализуют свой протокол поверх HTTP. Но это всё полумеры. Следующая технология, NAT, позволила внутрисетевым машинам выходить в интернет по любому прикладному протоколу.

Прокси-серверы работают на прикладном уровне и потому могут накладывать цензуру сайтов, кэшировать страницы для экономии трафика — поэтому прокси-серверы применяются в корпоративных сетях и поныне (даже если другие протоколы работают через NAT). Кроме того, серверы-посредники применяются для особых задач, на которые NAT не способен (например, для передачи файлов в мессенджерах, когда обе машины за NAT’ом).

Трансляция сетевых адресов (NAT) [ править | править код ]

Технология была задокументирована в 1994 году. Маршрутизатор, реализующий NAT (англ. Network Address Translation ), пропуская идущий из локальной сети пакет, заменяет адрес отправителя своим. Когда маршрутизатор получает ответ от сервера, он по таблице открытых соединений восстанавливает адресата и ретранслирует ему ответ.

Через NAT внутрисетевой компьютер может налаживать связь с любым сервером Интернета по любому прикладному протоколу. Но у NAT есть и недостатки. С машиной с частным IP-адресом связаться можно только изнутри локальной сети. С одной стороны, это делает локальную сеть недоступной для многих атак извне. С другой стороны, в некоторых службах Интернета (одноранговых сетях, сетевых играх, передаче файлов в мессенджерах) это создаёт проблемы: если у одного из компьютеров IP-адрес частный, а у другого внешний, инициатором соединения будет клиент с частным IP; если частные у обоих — прямой обмен между ними затруднён. Впрочем, NAT-маршрутизатор может установить

перенаправление портов: когда по определённому порту связываются с маршрутизатором, он передаёт пакеты одной из машин. Обычно порты перенаправляют вручную, настройкой маршрутизатора, но существуют и механизмы автоматического перенаправления портов: UPnP и STUN.

Некоторые протоколы (например, FTP в активном режиме) требуют возможности установления соединения от сервера к клиенту. В этих случаях маршрутизатору приходится вмешиваться в протокол на прикладном уровне (технология «шлюз прикладного уровня»).

Сетевой туннель [ править | править код ]

Туннель — технология, когда пакеты сетевого уровня «заворачиваются» в пакеты более высоких уровней (например, транспортного). Это позволяет наладить виртуальную локальную сеть поверх сети совсем другого устройства. Существует много технологий туннелирования (PPPoE, VPN, Hamachi и другие), со своими областями применения. В частности, туннели могут:

• Выходить в интернет только тогда, когда пользователь явно этого желает. Такие «непостоянные» соединения были актуальны в домосетях начала 2000-x годов, когда локальный трафик был дешёвый или бесплатный, внешний — дорог. Чтобы «внутренние» ресурсы не расходовали дорогой трафик, на клиентских машинах приходилось корректировать таблицу маршрутизации.
• Обеспечивать «прямую» связь внутрисетевых машин друг с другом (например, для сетевых игр), когда прямой путь невозможен. Разумеется, такая «прямая» связь происходит через сервер-посредник.
• Наладить «локальную» сеть для ПО, которое работает на широковещательных пакетах — например, для тех же игр.
• Выходить через интернет в корпоративную локальную сеть.

4.7 Частные и серые IP-адреса, публичные и белые IP-адреса. Bogon сети и адреса

• 17.09.2018
• Cisco CCNA (ICND1 и ICND2), Компьютерные сети
• Комментариев нет

Привет, посетитель сайта ZametkiNaPolyah.ru! Продолжаем изучать основы работы компьютерных сетей и протокол сетевого уровня IP, а если быть более точным, то его версию IPv4. В этой теме мы поговорим о специальных IP-адресах и их назначении. Более подробно остановимся на таких понятиях как: частный IP-адрес, серый IP-адрес, белый IP-адрес и публичный IP-адрес. Также мы немного разберемся с вопросом: откуда берутся IP-адреса и кто их выдает, но разговор будет поверхностным, так как юридические и формальные вопросы — это не совсем наша тема.

Если тема компьютерных сетей вам интересна, то можете ознакомиться с другими записями курса.

4.7.1 Введение

Еще одна скучная тема, в которой придется что-то запоминать или делать шпаргалку, но разобраться с диапазонами частных и публичных IP-адресов следует, как минимум для того, чтобы знать где, что и когда следует использовать. Также стоит заметить, что помимо частных и публичных IP-адресов в протоколе IPv4 существует еще несколько специальных подсетей, адреса которых следует использовать только таким образом, как это сказано в специальных RFC, сейчас мы их только коротко опишем, а если будут темы, в которых мы будем использовать эти адреса, то разберемся более детально на практике.

Также вам нужно понимать, что IP-адреса не берутся из ниоткуда и не пропадают в никуда, за ними постоянно бдят и стригут бабло с компаний по всему миру специально обученные дяденьки и тетеньки, об этом мы тоже немного поговорим, а еще затронем тему серых и белых IP-адресов.

4.7.2 Частные и серые IP-адреса, адреса, не маршрутизируемые в Интернете

Начнем мы разговор с частных IP-адресов, которые кто угодно и когда угодно может использовать в своих сетях для своих целей. Если сильно не умничать, то можно сказать, что частные IP-адреса – это такие адреса, которые не уникальны в пределах всего мира, но они должны быть уникальны в пределах локальной сети. Вообще, ниже мы перечислим все специальные IP-адреса, но сейчас стоит заметить, что специальные IP-адреса и их назначение описано в документе RFC 6890, а для частных адресов есть отдельный документ RFC 1918.

Зачастую вы можете встретить словосочетание bogon-адреса, можете воспринимать его как частные IP-адреса. Пожалуй, всё понятно, осталось только перечислить подсети серых IP-адресов, которые вы можете использовать в своих локальных сетях абсолютно бесплатно.

Сеть

Пояснение

10.0.0.0/8

100.64.0.0/10

172.16.0.0/12

192.168.0.0/16

Собственно, это все адреса, которые вы можете использовать для одноадресной передачи в своих локальных сетях, кажется, что это очень много, но крупным компаниям со своими дата-центрами этого может и не хватить.

4.7.3 Публичные IP-адреса

Публичные IP-адреса, это те адреса, которые уникальны в пределах всего мира, иногда их еще называют белыми адресами. Можно было бы сказать, что публичные адреса – это все те адреса, которые не обозначены, как частные, но это далеком не так, поскольку в протоколе IP есть еще целый ряд сетей, у которых особое назначение, и большая часть из них не находится в Интернете Для примера возьмем адрес Google 8.8.8.8, это публичный IP, про который все знают, что он принадлежит Google. Все об этом знают, потому что Google заплатил за него деньги и этот адрес занесен в специальную базу данных, в которой так и написано, что он принадлежит Google. Поддержкой этой базы данных занимается специальная организация.

Также для примера вы можете в своей локальной сети использовать любой адрес, который является публичным, от этих действий никто в мире не пострадает, кроме вас или организации, которую вы обслуживаете. Диапазон публичных IP-адресов станет понятен, когда мы разберем специальные IP-адреса, за которыми закреплено какое-то назначение. Тут стоит добавить пару слов о bogon-адресах. На данный момент практически все публичные IP-адреса кому-нибудь да принадлежат, но все-таки еще не все, иногда такие бесхозные адреса, которые никому не принадлежат, называют bogon-адресами, а частные называют просто частными.

4.7.4 Серые и белые IP-адреса

До этого я старался как мог не использовать слов белый IP-адрес и серый IP-адрес, дело всё в том, что зачастую серый IP-адрес используют как аналог частному IP-адресу, а белый IP-адрес используют как аналог публичному IP-адресу и, на мой взгляд, это недалеко от истины, но все-таки не совсем так. Я попытаюсь объяснить почему так считаю, а вы уже можете соглашаться или не соглашаться со мной.

Есть такой замечательный протокол NAT, который позволяет нескольким машинам из одной подсети выходить в какую-то внешнюю сеть из-под одного IP-адреса. Те IP-адреса, которые заданы машинам в их подсети будут называться серыми IP-адресами, поскольку машины из внешней подсети их не видят. А вот этот один общий IP-адрес, из-под которого наши машины выходят в сеть, называется белым, так как именно его знают все во внешнем мире.

Рисунок 4.7.1 Схема, поясняющая про серые и белые IP-адреса

На нашем маршрутизаторе работает NAT, компьютеры на схеме – это наша маленькая сеть. Облако — это какая-то внешняя сеть, в которую компьютеры выходят через роутер, на котором работает NAT, то есть когда компьютер 192.168.1.2/24 отправляет пакет во внешнюю сеть, он отправляет его роутеру, роутер видит, что пакет пришел из-под IP-адреса 192.168.1.2 и что этот пакет нужно направить во внешнюю сеть, а значит ему нужно «перебить» этот адрес, на тот, который будет удобен устройствам во внешней сети, в данном случае это 192.168.8.1.

То есть в нашем случае серые IP-адреса – это подсеть 192.168.1.0/24, а белым IP-адресом является 192.168.8.1. Но постой, скажете вы, ведь 192.168.8.1 – это IP-адрес из частного диапазона, почему ты его называешь белым? Вот в этом и суть, NAT используется не только в тех случаях, когда вам нужно «перебить» IP-адреса из частного диапазона в публичный, другими словами «выйти» в Интернет, но и в ряде других ситуаций, в которых «белым» IP-адресом зачастую является частный адрес. Поэтому не совсем верно будет говорить, что белый IP-адрес – это публичный адрес, а серый IP – это частный адрес.

Схема реализована в Cisco Packet Tracer, о том как установить и запустить Packet Tracer в Ubuntu, о том как установить Packet Tracer на Windows 10 и о том, как пользоваться Cisco Packet Tracer. Если непонятны условные обозначения на схеме, то в теме условные обозначения компьютерной сети, вы сможете найти описание.

4.7.5 Примерная схема получения IP-адреса. PI и PA IP-адреса

Для начала разберемся с вопросом: что такое PI и PA адреса? PI-адрес очень похож по написанию на IP-адрес, более того, PI адрес является публичным IP-адресом, но все дело в том, что это не просто IP-адрес, а провайдеронезависимый IP-адрес (PI – Provider Independed). Есть еще PA-адреса, сокращение от Provider Aggregatable, это публичные IP-адреса, которые вы можете получать от провайдеров и которые принадлежат провайдерам, если вы отключитесь от провайдера, то он у вас такой адрес заберет.

Если же у вас много денег и вы можете позволить себе купить PI-адрес, причем просто один IP-адрес вы не купите, вам придется покупать целую подсеть, размером где-то /23 (если вам непонятны слова подсеть и эта запись, то сперва рекомендую ознакомиться с публикациями классовые IP сети, а затем прочитать про CIDR, VLSM и маску подсети переменной длины), то эти PI-адреса будут всегда с вами, и никакой провайдер забрать у вас их не сможет, поэтому вы всегда сможете сменить провайдера, в довесок к PI-адресам вам выдадут номер автономной системы (ASN) и с этим все добром вам придется жить. Если вы захотите использовать PI-адреса, то уже не получится купить у провайдера «обычный интернет на скорости 100 Мбит/c», придется договариваться о BGP соединение, в этом случае ваш провайдер будет рассказывать всем остальным в мире, что он знает вашу сеть.

Далее для общего развитие будет информация про организации, которые следят за базой данных публичных IP-адресов и решают кому и сколько выдавать. Будем двигаться от самой большой к самым маленьким.

1. Во главе всей этой схемы стоит организация, называемая ICANN (Internet Corporation for Assigned Names and Numbers) или корпорация по управлению доменными именами и IP-адресами, говорят, что она некоммерческая, но создана при участии правительства США, как понятно из названия, для поддержания порядка в хаосе Интернет-адресов, из названия также понятно, что у нее два основных направления, в которых можно вести некоммерческую деятельность.
2. IANA (администрация адресного пространства Интернета), эта структура подчиняется непосредственно ICANN и занимается контролем IP-адресов во всем мире. В ее задачи входит распределять IP-адреса и номера AS между регионами планеты Земля. Но распределяет она не абы кому, а только конкретным организациям, которые являются главными в своем регионе, их называют RIR.
3. RIR (региональная регистратура Интернета). У RIR можно запросить только очень крупный блок IP-адресов, также RIR выдает номера автономных систем и оформляет так называемых LIR. Всего в мире пять RIR: AfriNIC (Африка), RIPE NCC (Европа, Россия и Ближний восток), APNIC (Австралия и вся остальная Азия), ARIN (США и Канада), LACNIC (Южная Америка, Центральная Америка и Мексика). Кто угодно RIRом стать не может, его назначает IANA, RIRы не продают IP-адреса, они лишь регистрируют LIRы и решают конфликтные ситуации, если кто-то где-то накосячит, но LIRы платят своими RIRам членские взносы.
4. LIR или локальный регистратор, к которому можно подкатить на хромой кобыле и купить несколько сотен PI-адресов. LIRом может стать любой желающий, платите только деньги, раньше чтобы стать LIR, нужно было взять 4096 IP-адресов. LIRы делятся на пять категорий, в зависимости от количества IP-адресов, которые у них есть: Extra Large, Large, Medium, Small и Extra Small. Категорию присваивает RIR.
5. NIR есть только в некоторых странах, например, в Китае, N – национальный.

На Рисунке 4.7.2 показаны сферы влияния различных RIR.

Рисунок 4.7.2 Региональные интернет регистраторы

Стоит сказать, что если вы не провайдеры или не крупный дата-центр, то за PI-адресами вам придется бежать в LIR или самому становится LIR, но если вы не провайдер и не дата-центр, то, вероятно, вам это не нужно.

4.7.6 Специальные IP-адреса

Нам осталось рассмотреть IP-адреса, для которых в спецификациях и стандартах прописано специальное назначение. Для наглядности приведу все эти IP-адреса в виде таблицы, в этой таблице не будет частных IP-адресов, так как мы их уже рассмотрели. Те адреса, которых нет ни в этой, ни в предыдущей таблице являются публичными.

Сеть

Краткое описание

0.0.0.0/8

0.0.0.0/32

127.0.0.0/8

169.254.0.0/16

192.0.0.0/24

192.0.0.0/29

192.0.0.170/32

192.0.0.171/32

192.0.2.0/24 и 198.51.100.0/24

192.88.99.1/32

192.88.99.0/24

198.18.0.0/15

224.0.0.0/4

240.0.0.0/4

255.255.255.255/32

4.7.7 Выводы

Мы рассмотрели все возможные виды IP-адресов, которые есть в протоколе IPv4. Самое важное сейчас для нас сделать вывод о том, что есть пространство частных IP-адресов, которое можно свободно использовать в своих личных целях абсолютно бесплатно, а есть публичные IP-адреса, которые достаются за деньги и они уникальны во всем Интернете.

Для создания внутренних (частных или корпоративных) сетей, не имеющих выхода в Интернет, выделены специальные диапазоны адресов. Пользователи могут свободно выбирать такие адреса для своих сетей, не рискуя создать конфликт IP-адресов в Интернете. Диапазоны IP-адресов таких сетей указаны в таблице.

IP-адреса для внутренних сетей

Почти 17 млн. IP-адресов, которые можно использовать в своей локальной сети. Никаких особых рекомендаций для этой подсети нет.

Сеть на 4.194 млн. адресов, RFC 6598 рекомендует использовать эту сеть провайдерам, которые выпускают нас в Интернет. Если вы получаете от провайдера серый IP-адрес, то, скорее всего, он будет в этом диапазоне: от 100.64.0.1 до 100.127.255.254.

Немногим больше 1 млн. IP-адресов. Никаких особых рекомендаций для этой подсети нет.

Частная подсеть на 65 534 IP-адреса, без особых рекомендаций.

Вы не можете нигде (за редким исключением) использовать IP-адреса, первый октет которых 0. Все эти адреса можно смело называть не маршрутизируемыми (от слова совсем) мета-адресами. Адреса из этой подсети используется для обозначения недопустимой, недостижимой цели (такой адрес вы можете увидеть в IP-пакете в поле IP-адрес назначения в том случае, когда узел сформировал пакет, но не знает куда конкретного его направить). Когда мы будем говорить о маршрутах и маршрутизации, мы увидим, что этот IP используется для задания маршрута по умолчанию.

Такую подсеть может использовать узел в качестве IP-адреса источника, когда делает запрос к DHCP-серверу.

Одна из самых бесполезных специальных IP подсетей, так как для задачи, которую она решает, было бы достаточно одного IP-адреса с маской /32. Любой адрес из этой сети является циклическим, иногда такой адрес называют локальным хостом или localhost. Если вам нужно реализовать схему взаимодействия клиент-сервер на одном компьютере в одной операционной системе без виртуализации, то, вероятно, вам придется использовать IP-адрес из этой подсети. Когда машина делает запрос к адресу из этой подсети, она делает запрос сама к себе, при этом физическая сетевая карта не используется. Если вам нужно проверить работу сетевых библиотек своего компьютера, то используйте адрес из данной подсети. Часто адрес из подсети 127.0.0.0/8 называют loopback-адресом, он есть, он всегда доступен, но ни один физический интерфейс за ним не закреплен.

Адреса из этого диапазона иногда называют канальными адресами, хотя это не совсем правильно переведено, оригинал раскрывает суть: Link-Local Address. В протоколе IPv6 с Link-Local Address придется работать часто, в IPv4 не очень. Сеть 169.254.0.0/16 используется в тех случаях, когда компьютер настроен на получение IP-адреса от DHCP-сервера, но по каким-то причинам не может его получить, в этом случае узел сам себе назначает IP из этой подсети, в надежде, что какой-нибудь узел из этой подсети тоже назначит себе такой адрес. Механизм работы узлов в такой ситуации описан в RFC 3927.

IETF просто взял и забрал у нас эту подсеть, в RFC 6890 об этом сказано

Dual-Stack Lite (DS-Lite). Описано в RFC 6333. Когда мы будем говорить про IPv6 разберемся с этой подсетью.

Используется для NAT из IPv6 в IPv4 и обратно.

DNS64, опять же тема из IPv6 и мы ее не касаемся сейчас.

Можно использовать только для примеров в документации.

Этот IP-адрес может использовать кто и угодно. На него узлы отправляют пакеты, когда хотят попасть из сети IPv4 в сеть IPv6.

В IPv6 очень хорошо реализован механизм распространения пакетов anycast, а вот эта сеть является костыликом IPv4, позволяющим эмитировать этот самый anycast.

Можно использовать только для тестов на производительность каналов связи и компьютерной сети.

Эта сеть используется для многоадресной рассылки (multicast), при этом стоит учесть, что глобально маршрутизируемыми являются подсети 233.0.0.0/8 и 234.0.0.0/8, а часть блоков из общей подсети являются зарезервированными, если интересно, то RFC 5771.

Это примерно 1/16 IP-адресов из всего пула IPv4, которые никому и никогда не давали и, наверное, не дадут, так как эти адреса зарезервированы для экспериментов.

Этот адрес часто используют узлы настроенные по DHCP, когда делают запрос к DHCP серверу, указывая его в поле IP-адрес назначения IP пакета.

Класс сети	С IP-адреса	До IP-адреса	Всего адресовв диапазоне	Маска сети
A	10.0.0.0	10.255.255.255	16777216	255.0.0.0
B	172.16.0.0	172.31.255.255	65536	255.255.0.0
C

192.168.255.0

192.168.255.255

256;

255.255.255.0

Для создания небольшой сети очень удобен вариант сети класса С, например сеть с адресами компьютеров от 192.168.1.1 до 192.168.1.254 и маской 255.255.255.0. В такой сети может быть максимально до 254 компьютеров или других сетевых устройств. Для домашней сети этого более чем достаточно!

Итак, созданная частная сеть является изолированной от Интерне­та. Однако если выход в Интернет происходит через промежуточное устройство, например маршрутизатор, то в таком случае возможна замена (трансляция) адреса компьютера пользователя другим адресом. В связи с этим при описании устройства и его возможностей упомина­ется NAT (Network Address Translation). При трансляции адресов может использоваться один IP-адрес Интернета для всех компьютеров частной сети. Таким способом достигается «экономия» легальных адресов. Мно­гие провайдеры поступают именно так, выделяя для своих пользовате­лей адреса из диапазонов частных сетей. Только при выходе в Интернет их адреса заменяются легальными адресами.

Рекомендуем к прочтению

Как узнать свой внешний IP из программы / Emercoin corporate blog / Habr

При написании различных программ для работы с сетью, особенно p2p систем, время от времени возникает необходимость узнать внешний IP своего компьютера из программы (тот адрес, по которому Ваш компьютер доступен из Большого Интернета). Часто возникает искушение пойти легким путем и использовать внешние WEB-сервисы, которые по http возвращают Вам IP, или самому развернуть таковой. Хотя такой способ решения задачи и работоспособен, он тем не менее, имеет ряд недостатков:

• При использовании собственного сервера – нужно где-то его держать и поддерживать, заодно и c соответствующим доменным именем. В случае выхода его из строя, или принудительного отзыва домена, вся Ваша p2p сеть выходит из строя.
• При использовании внешнего сервера – Вы вводите зависимость своей системы как от его работоспособности, так и от формата ответов, который вообще никак не стандартизирован, и который владелец сервера может поменять в любой момент. С теми же последствиями для вашей сети.
• http, которым советуют пользоваться – базируется на tcp, то есть протокол сравнительно тяжеловесный, требующий установки соединения и тп. В общем, пользоваться можно, но перерасход ресурса как компьютера, так и сети налицо.

Исходя из вышесказанного становится ясно, что нужен легковесный и стандартизированный протокол получения внешнего IP, чтобы не зависеть от волюнтаризма владельца того или иного сайта, и вообще использовать ресурсы эффективно.

Поколение WWW сильно удивится, но такой протокол давно существует, стандартизирован и широко применяется в IP-телефонии, и кое-где для других сервисов мультимедиа. Протокол называется STUN и специфицирован в rfc5389.

Это легковесный протокол, основанный на UDP, и при его использовании, получение внешнего IP через STUN не требует установления TCP-соединения и тп. По сравнению с www, это и снижает нагрузку на вычислительные ресурсы, и сокращает время определения адреса. Всего два пакета, каждый примерно 50 байт – и адрес известен.

На самом деле, STUN позволяет не только определить внешний IP, но и исследовать поведение текущего NAT-барьера, который может состоять из нескольких последовательных NAT-устройств. Но расширенные функции STUN выходят за рамки статьи о получении IP адреса, поэтому сосредоточимся на главном.

Итак, лёгкий и стандартный протокол, оказывается, есть. Теперь нужен STUN-сервер, к которому Ваша программа будет отправлять запросы. К счастью, такие сервера есть, каждая уважающая себя VOIP-компания держит таковой. Нам известно о нескольких сотнях таких серверов, что существенно больше, чем публичных web-серверов аналогичного назначения. И все – стандартные, и не надо к каждому из них «особый подход» в декодировании ответа. Ниже приведёт список известных нам публичных STUN-серверов.

Теперь, когда с протоколом и серверами определились, осталось где-то найти STUN-клиент, который легко интегрировать в Вашу программу. Здесь мы может Вам посоветовать взять из нашего проекта Emercoin файл stun.cpp, содержащий законченную подсистему определения внешнего IP через STUN. Благо что проект Open Source, и распространяется под лицензией GPL.

Файл содержит функцию GetExternalIPbySTUN(), которая псевдослучайным образом в цикле опрашивает список предопределённых STUN-серверов до тех пор, пока не получит ответ от какого-то из них. Таким образом, выход из строя части серверов просто замедлит работу подсистемы, но не приведёт к отказу в обслуживании. А так как список содержит более двухсот серверов, вероятность выхода из строя всех их одновременно представляется ничтожной.

Псевдослучайный порядок обхода списка гарантирует, что не существует такой конфигурации выхода из строя части серверов, которая приведёт к замедлению работы всех клиентов одновременно. Кроме того, этот алгоритм рассеивает запросы по множеству серверов, что исключает перегрузку какого-то выделенного сервера. То есть нагрузка равномерно распределяется по всему пулу серверов.

Также предприняты меры для анонимизации запросов, путём генерации случайного ID каждого запроса. В комбинации с рассеиванием по серверам, владельцу любого сервера становится практически невозможно «вычислить» Вашу p2p сеть. Он получает менее 0.5% запросов, и не может однозначно отделить Ваши запросы от запросов, исходящих от оборудования IP-телефонии.

Ниже приведёт список известных нам публичных STUN-серверов в формате:

Server:port

iphone-stun.strato-iphone.de:3478
numb.viagenie.ca:3478
sip1.lakedestiny.cordiaip.com:3478
stun.12connect.com:3478
stun.12voip.com:3478
stun.1cbit.ru:3478
stun.1und1.de:3478
stun.2talk.co.nz:3478
stun.2talk.com:3478
stun.3clogic.com:3478
stun.3cx.com:3478
stun.726.com:3478
stun.a-mm.tv:3478
stun.aa.net.uk:3478
stun.aceweb.com:3478
stun.acrobits.cz:3478
stun.acronis.com:3478
stun.actionvoip.com:3478
stun.advfn.com:3478
stun.aeta-audio.com:3478
stun.aeta.com:3478
stun.allflac.com:3478
stun.anlx.net:3478
stun.antisip.com:3478
stun.avigora.com:3478
stun.avigora.fr:3478
stun.b2b2c.ca:3478
stun.bahnhof.net:3478
stun.barracuda.com:3478
stun.bcs2005.net:3478
stun.beam.pro:3478
stun.bitburger.de:3478
stun.bluesip.net:3478
stun.bomgar.com:3478
stun.botonakis.com:3478
stun.budgetphone.nl:3478
stun.budgetsip.com:3478
stun.cablenet-as.net:3478
stun.callromania.ro:3478
stun.callwithus.com:3478
stun.cheapvoip.com:3478
stun.cloopen.com:3478
stun.cognitoys.com:3478
stun.comfi.com:3478
stun.commpeak.com:3478
stun.communigate.com:3478
stun.comrex.com:3478
stun.comtube.com:3478
stun.comtube.ru:3478
stun.connecteddata.com:3478
stun.cope.es:3478
stun.counterpath.com:3478
stun.counterpath.net:3478
stun.crimeastar.net:3478
stun.dcalling.de:3478
stun.demos.ru:3478
stun.demos.su:3478
stun.dls.net:3478
stun.dokom.net:3478
stun.dowlatow.ru:3478
stun.duocom.es:3478
stun.dus.net:3478
stun.e-fon.ch:3478
stun.easemob.com:3478
stun.easycall.pl:3478
stun.easyvoip.com:3478
stun.eibach.de:3478
stun.ekiga.net:3478
stun.ekir.de:3478
stun.elitetele.com:3478
stun.emu.ee:3478
stun.engineeredarts.co.uk:3478
stun.eoni.com:3478
stun.epygi.com:3478
stun.faktortel.com.au:3478
stun.fbsbx.com:3478
stun.fh-stralsund.de:3478
stun.fmbaros.ru:3478
stun.fmo.de:3478
stun.freecall.com:3478
stun.freeswitch.org:3478
stun.freevoipdeal.com:3478
stun.genymotion.com:3478
stun.gmx.de:3478
stun.gmx.net:3478
stun.gnunet.org:3478
stun.gradwell.com:3478
stun.halonet.pl:3478
stun.highfidelity.io:3478
stun.hoiio.com:3478
stun.hosteurope.de:3478
stun.i-stroy.ru:3478
stun.ideasip.com:3478
stun.imweb.io:3478
stun.infra.net:3478
stun.innovaphone.com:3478
stun.instantteleseminar.com:3478
stun.internetcalls.com:3478
stun.intervoip.com:3478
stun.ipcomms.net:3478
stun.ipfire.org:3478
stun.ippi.com:3478
stun.ippi.fr:3478
stun.it1.hr:3478
stun.ivao.aero:3478
stun.jabbim.cz:3478
stun.jumblo.com:3478
stun.justvoip.com:3478
stun.kaospilot.dk:3478
stun.kaseya.com:3478
stun.kaznpu.kz:3478
stun.kiwilink.co.nz:3478
stun.kuaibo.com:3478
stun.l.google.com:19302
stun.lamobo.org:3478
stun.levigo.de:3478
stun.lindab.com:3478
stun.linphone.org:3478
stun.linx.net:3478
stun.liveo.fr:3478
stun.lowratevoip.com:3478
stun.lundimatin.fr:3478
stun.maestroconference.com:3478
stun.mangotele.com:3478
stun.mgn.ru:3478
stun.mit.de:3478
stun.miwifi.com:3478
stun.mixer.com:3478
stun.modulus.gr:3478
stun.mrmondialisation.org:3478
stun.myfreecams.com:3478
stun.myvoiptraffic.com:3478
stun.mywatson.it:3478
stun.nacsworld.com:3478
stun.nas.net:3478
stun.nautile.nc:3478
stun.netappel.com:3478
stun.nextcloud.com:3478
stun.nfon.net:3478
stun.ngine.de:3478
stun.noblogs.org:3478
stun.node4.co.uk:3478
stun.nonoh.net:3478
stun.nottingham.ac.uk:3478
stun.nova.is:3478
stun.onesuite.com:3478
stun.onthenet.com.au:3478
stun.ooma.com:3478
stun.oovoo.com:3478
stun.ozekiphone.com:3478
stun.personal-voip.de:3478
stun.petcube.com:3478
stun.pexip.com:3478
stun.phone.com:3478
stun.pidgin.im:3478
stun.pjsip.org:3478
stun.planete.net:3478
stun.poivy.com:3478
stun.powervoip.com:3478
stun.ppdi.com:3478
stun.rackco.com:3478
stun.redworks.nl:3478
stun.ringostat.com:3478
stun.rmf.pl:3478
stun.rockenstein.de:3478
stun.rolmail.net:3478
stun.rudtp.ru:3478
stun.russian-club.net:3478
stun.rynga.com:3478
stun.sainf.ru:3478
stun.schlund.de:3478
stun.sigmavoip.com:3478
stun.sip.us:3478
stun.sipdiscount.com:3478
stun.sipgate.net:10000
stun.sipgate.net:3478
stun.siplogin.de:3478
stun.sipnet.net:3478
stun.sipnet.ru:3478
stun.siportal.it:3478
stun.sippeer.dk:3478
stun.siptraffic.com:3478
stun.sma.de:3478
stun.smartvoip.com:3478
stun.smsdiscount.com:3478
stun.snafu.de:3478
stun.solcon.nl:3478
stun.solnet.ch:3478
stun.sonetel.com:3478
stun.sonetel.net:3478
stun.sovtest.ru:3478
stun.speedy.com.ar:3478
stun.spoiltheprincess.com:3478
stun.srce.hr:3478
stun.ssl7.net:3478
stun.stunprotocol.org:3478
stun.swissquote.com:3478
stun.t-online.de:3478
stun.talks.by:3478
stun.tel.lu:3478
stun.telbo.com:3478
stun.telefacil.com:3478
stun.threema.ch:3478
stun.tng.de:3478
stun.trueconf.ru:3478
stun.twt.it:3478
stun.ucsb.edu:3478
stun.ucw.cz:3478
stun.uiscom.ru:3478
stun.uls.co.za:3478
stun.unseen.is:3478
stun.up.edu.ph:3478
stun.usfamily.net:3478
stun.uucall.com:3478
stun.veoh.com:3478
stun.vipgroup.net:3478
stun.viva.gr:3478
stun.vivox.com:3478
stun.vline.com:3478
stun.vmi.se:3478
stun.vo.lu:3478
stun.vodafone.ro:3478
stun.voicetrading.com:3478
stun.voip.aebc.com:3478
stun.voip.blackberry.com:3478
stun.voip.eutelia.it:3478
stun.voiparound.com:3478
stun.voipblast.com:3478
stun.voipbuster.com:3478
stun.voipbusterpro.com:3478
stun.voipcheap.co.uk:3478
stun.voipcheap.com:3478
stun.voipdiscount.com:3478
stun.voipfibre.com:3478
stun.voipgain.com:3478
stun.voipgate.com:3478
stun.voipinfocenter.com:3478
stun.voipplanet.nl:3478
stun.voippro.com:3478
stun.voipraider.com:3478
stun.voipstunt.com:3478
stun.voipwise.com:3478
stun.voipzoom.com:3478
stun.voxgratia.org:3478
stun.voxox.com:3478
stun.voztele.com:3478
stun.wcoil.com:3478
stun.webcalldirect.com:3478
stun.whc.net:3478
stun.whoi.edu:3478
stun.wifirst.net:3478
stun.wtfismyip.com:3478
stun.wwdl.net:3478
stun.xn----8sbcoa5btidn9i.xn--p1ai:3478
stun.xten.com:3478
stun.xtratelecom.es:3478
stun.yy.com:3478
stun.zadarma.com:3478
stun.zepter.ru:3478
stun.zoiper.com:3478
stun1.faktortel.com.au:3478
stun2.faktortel.com.au:3478
stun1.l.google.com:19302
stun2.l.google.com:19302
stun3.l.google.com:19302
stun4.l.google.com:19302

Отличие частных и публичных компьютерных сетей и подсетей

480 auto

Облачные технологии позволяют строить инфраструктуры любой сложности. При необходимости можно связать между собой пару серверов. Или создать многоуровневую корпоративную инфраструктуру, состоящую из частных и публичных сетей и подсетей. В этой статье рассмотрим, какие существуют типы клиентских подсетей в облаке 1cloud, которые пригодятся вам в работе.

Прилагательные «частный» и «публичный» используются в сфере администрирования компьютерных сетей, облаков, интернета очень широко и… весьма разнообразно. Это разнообразие часто приводит к путанице или, по крайней мере, требует постоянного уточнения того, о чём идёт речь.

Например, чем отличается сеть от подсети. Понятно, подсеть — это часть сети, её сегмент. Но где между ними граница?

На маршрутизаторе? — В определённом смысле, конечно, да. Но ведь и перед маршрутизатором, и после него существует множество других маршрутизаторов, разделяющих сетевые сегменты, которые могут принадлежать одному или разным владельцам. Каждый из этих сегментов может быть относительно других как сетью, так и подсетью.

Достаточно определенно можно называть подсетью сегменты сети с немаршрутизируемыми в интернет адресами: 10.*.*.*, 172.16.*.*, 192.168.*.*. Эти адреса называются: «внутренними», «частными», «серыми». В общем случае, компьютеры с такими адресами недоступны из интернета. Практически все остальные адреса из интернета доступны и называются: «внешними», «публичными», «белыми».

Но вспомним о том, что у одного компьютера может быть несколько сетевых интерфейсов (адаптеров), а соответственно, несколько сетевых адресов — и критерий публичности подсети по публичности IP-адреса тоже не покажется совсем универсальным.

В облаке 1cloud принята следующая классификация подсетей:

• общая публичная;
• клиентская публичная;
• клиентская частная.

Поясним эти наименования.

Общая публичная подсеть

Когда клиент создаёт в облаке свой новый сервер, он не размещается в отдельной подсети, связанной только с этим клиентом. Новому серверу присваивается статический внешний (публичный) IP-адрес из подсети, в которой находятся серверы других клиентов.

Благодаря своему публичному адресу, этот сервер доступен из любой точки интернета.

Разные серверы клиента могут попасть в разные общие публичные подсети.

Соседство прилагательных «общий» и «публичный» может кого-то смутить. Важно запомнить, что здесь «общий» относится к владельцу подсети, а «публичный» — к видимости IP-адреса виртуальной машины из интернета.

 

 

Задача системного администрирования такого отдельного сервера в основном лежит на клиенте. «В основном» — потому что в облаке 1cloud имеются базовые средства защиты от внешних вредоносных сетевых воздействий. Но они объективно не могут (и не должны!) полностью изолировать сервер клиента от интернета.

Клиентская частная подсеть

Пользователь облака 1cloud имеет возможность создать подсеть, компьютеры в которой будут иметь частные IP-адреса и не будут напрямую доступны из интернета.

 

 

Правда, недоступность из интернета будет обеспечена только при отсутствии у этих компьютеров иных сетевых адаптеров (интерфейсов) и, соответственно, иных соединений с другими подсетями.

Как было сказано ранее, при создании новых виртуальных машин в облаке 1cloud им автоматически присваивается публичный IP-адрес. Поэтому фактически после создания частной подсети сетевая инфраструктура клиента в нашем случае будет, например, такой.

 

 

На рисунке маршрутизатор, обозначенный тремя звёздочками, символизирует несколько разных виртуальных маршрутизаторов с разными адресами, отвечающих за разные общие публичные подсети.

Для того, чтобы действительно изолировать виртуальную машину от интернета, у неё нужно отключить сетевой адаптер с публичным IP-адресом. При этом не следует забывать предусмотреть способ удалённого администрирования компьютеров частной подсети, ведь напрямую из интернета они перестанут быть доступны. Для удалённого доступа можно использовать NAT или один из компьютеров сети в качестве ретранслятора.

На всякий случай, у клиента всегда останется доступ к его виртуальным машинам через Панель управления и её веб-консоль.

Клиентская публичная подсеть

Как было сказано, каждой новой виртуальной машине в облаке 1cloud автоматически присваиваются публичный IP-адрес. Однако адреса разных машин клиента могут оказаться из разных подсетей. Если эти машины должны взаимодействовать между собой, то управлять такой инфраструктурой может оказаться сложно.

Для преодоления этого затруднения клиенту 1cloud предоставлена возможность создать подсеть с публичными IP-адресами, но расположенными рядом, образующими единый блок.

Например, 124.17.81.1, 124.17.81.2, 124.17.81.3, …

 

 

В нашем примере машина с адресом 124.17.81.1 будет играть роль шлюза (маршрутизатора). С её помощью можно управлять доступом в публичную подсеть клиента.

Публичную подсеть с непрерывным блоком адресов легче администрировать. Серверы в ней лучше изолированы от соседей по облаку. IP-адреса в ней зафиксированы и закреплены за клиентом.

Всё вместе

Клиенты 1cloud свободны в создании своих подсетей. Их можно создать столько, сколько нужно клиенту. Если кто-то из клиентов создал, например, три виртуальных компьютера, а потом все их включил сначала в свою частную сеть, а потом в публичную, получится примерно следующая структура.

 

 

Оставлять её в таком состоянии крайне нежелательно, потому что контролировать все сетевые интерфейсы будет крайне сложно. Это значит, что клиент не сможет быть достаточно уверенным в её сетевой безопасности.

Клиенту, как скульптору, нужно отсечь всё лишнее — отключить лишние сетевые интерфейсы, чтобы получить функциональную, эффективную и надёжную инфраструктуру.

Пользуясь широкими и гибкими сетевыми возможностями облака 1cloud, его клиент сможет выстроить оптимальную для себе компьютерную систему.

Дополнительным преимуществом размещения инфраструктуры в облаке является то, что её можно достаточно быстро и легко изменить: сократить, расширить, повысить вычислительную мощность.

Заключение

Важно понимать и помнить, что один и тот же компьютер в облаке 1cloud может быть подключен к разным сетям одновременно.

С одной стороны, это открывает широкие возможности по созданию разнообразных компьютерных инфраструктур, с другой — может усложнить обеспечение их безопасности, так как потребуется управлять большим числом сетевых интерфейсов. Но при должном уровне квалификации наличие возможностей важнее!

 

P. S. О чём ещё мы пишем в блоге 1cloud: