Privaatne võrk (RFC1918): privaatsed IP-aadressid, NAT ja intranet

Privaatne võrk (RFC1918): selgitus privaatsed IP-aadressid, NAT, intranet, turvalisus ja aadressikonfliktide lahendamine — praktilised juhised kodu- ja ärivõrkude seadistamiseks.

Autor: Leandro Alegsa

Privaatne võrk on tavaliselt võrk, mis kasutab privaatset IP-aadressiruumi vastavalt RFC 1918 standardile. Selliseid aadresse eraldatakse arvutitele ja seadmetele, kui need peavad omavahel suhtlema vaid lokaalses võrgus ehk intranetis — näiteks kontori- või koduvõrgus. Seejärel neid aadresse ei avalikustata Internetis. Sisemise võrgu seadmete vahelise suhtluse kirjeldamisel kasutatakse tihti ka terminit Interneti-protokolli-põhine intranet.

RFC 1918 — millised vahemikud on privaatseks mõeldud?

  • 10.0.0.0/8 (10.0.0.0 – 10.255.255.255)
  • 172.16.0.0/12 (172.16.0.0 – 172.31.255.255)
  • 192.168.0.0/16 (192.168.0.0 – 192.168.255.255)

Need aadressivahemikud on määratud IPv4 jaoks privaatseks kasutamiseks — neid ei rekisterdata avalikult ja neid ei tohi Interneti-tasandil ilma aadressitõlgeta (NAT) edastada.

Miks kasutatakse privaatseid aadresse?

Privaatvõrgud on väga levinud kodu- ja kontorilokaalvõrkude (LAN) kujundamisel, sest enamik organisatsioone ei vaja iga arvuti, printeri või muu seadme jaoks avalikult unikaalset IP-aadresse. IPv4 avalikud aadressid on piiratud ning seetõttu loodi privaatse aadressiruumi võimalus. Üks põhjusi, miks loodi IPv6, ongi see IPv4 piirang ületada, kuid IPv6 ei ole veel kõikjal täielikult kasutusel.

Võrgu isolatsioon ja Interneti-ruuterid

Interneti-tasandi marsruuterid (avalikud ruuterid) on tavaliselt konfigureeritud nii, et nad heidavad kõrvale paketid, mille päises olevad saatja- või vastuvõtjaaadressid kuuluvad RFC1918 privaatsetesse vahemikesse. See takistab otsest ühenduse loomist Interneti kaudu privaataadressi kasutava siseseadmega ning võimaldab eri organisatsioonidel sama privaatset aadressiruumi uuesti kasutada, ilma et tekiks globaalset aadressikonflikti.

NAT, proxy ja vahendavad väravad

Kui privaatvõrgust peab mõni seade suhtlema Interneti või mõne teise võrgu avatud aadressiga, siis kasutatakse tavaliselt vahendavat seadet ehk väravat, mis esitab välisvõrgule avaliku aadressi. See värav on tavaliselt:

  • ruuter, mis teeb aadressitõlget (NAT/PAT) — muutab sisemised privaataadressid ühele või mitmele avalikule aadressile;
    • või> proxy-server, mis vahendab rakenduskihtset liiklust.

Interneti-marsruuterid ei edasta vaikimisi RFC 1918-aadressidega pakette; vastupidiselt siseruuterid võivad neid vahemikke omavahel edasi saata ilma lisakonfiguratsioonita.

Oluline on märkida, et kuigi NAT sageli vähendab otseste ründepindade hulka, ei asenda see korralikku tulemüüri ega muid turvameetmeid — NAT ei ole ise täieõiguslik turvalahendus.

Probleemid võrguühenduse korral sama privaatse vahemikuga

Kui kaks võrku, mida soovitakse omavahel ühendada, kasutavad samu privaatseid aadressiruume (näiteks mõlemad 192.168.1.0/24), tekivad aadressikonfliktid ja marsruutimisprobleemid. Levinud situatsioonid ja lahendused:

  • VPN ühendus kahe ettevõtte vahel — parim tava on enne ühenduse loomist tagada, et aadressivahemikud ei kattu; alternatiivina võib kasutada aadressitõlget VPN-i otsas (NAT over VPN), kuid see teeb seadistuse keerulisemaks.
  • 1:1 NAT või aadressi-mapping — ühe võrgu IP-aadresse muudetakse ajutiselt, et vältida kattumist; töötleb tavaliselt piiratud hulk aadresse.
  • võrgu ümbernumeratsioon — parim ja puhtaim lahendus, kuid võib nõuda suurt tööd (muuta seadete DHCP, staatilised aadressid, DNS jms).
  • kasutada eraldatud aadressiruumi või carrier-grade NAT (CGN, RFC 6598 — 100.64.0.0/10), kui teenusepakkuja rakendab jagatud NAT-i; see ei lahenda kliendi-omavahelisi konflikte, kuid on oluline avaliku aadressi nappuse tingimustes.

Tehnilised takistused võivad hõlmata ka NAT-i spetsiifilisi probleeme nagu hairpin NAT (siseruudust väljapoole ja tagasi), NAT-i läbimise küsimusi reaalajas rakenduste ja P2P puhul ning vajadust täiendavate teenuste nagu STUN/TURN/UPnP järele.

Muud eraldatud aadressiruumid ja IPv6

Lisaks RFC1918 IPv4-vahemikele on olemas ka teisi reserveeritud ruume, näiteks aadressid, mis on mõeldud teenusepakkujatele (CGN) või link-lokaalseks kasutamiseks (169.254.0.0/16). IPv6-l on oma vasted:

  • IPv6 ainuisikuline sisemine ruum ehk ULA: fc00::/7 — sarnane RFC1918 ideele, kuid IPv6-s püsivaks sisemiseks kasutamiseks;
  • IPv6 avalik aadressiruum annab väga suure hulga aadresse, vähendades vajadust NAT-i järele, kuid selle laialdane kasutuselevõtt võtab aega ja paljud võrgud on endiselt IPv4-põhised.

Sisuvõrgu haldus: DHCP, DNS ja dokumentatsioon

Privaatses võrgus on tavaliselt sisse lülitatud DHCP, mis jagab seadmetele automaatselt privaatseid aadresse, ning sisemine DNS, mis aitab lokalsete nimede haldamisel. Hea tava on:

  • dokumenteerida aadressiplaan ja alamvõrgud;
  • koondada ja hallata DHCP ning DNS tsentraalselt;
  • hoida sisemised teenused nähtavad ainult sisemisele võrgule ja rakendada tulemüüre ning juurdepääsukontrolle.

Parimad praktikad

  • kasuta mitte-kattuvaid privaatseid vahemikke erinevate kohtade ja alamvõrkude jaoks;
  • planeeri aadressiplaan ette ja dokumenteeri muutused;
  • kui võimalik, eelistada IPv6 kasutuselevõttu pikaajaliseks lahenduseks;
  • ärge usaldage NAT-i ainsaks turvameetmeks — rakenda tulemüürid, viiruskaitse ja juurdepääsukontroll.

Kokkuvõttes annavad privaatvõrgud (RFC1918) lihtsa ja majandusliku viisi lokaalse aadressiruumi haldamiseks, kuid nende kombinatsioon Interneti-ühenduse ja teiste võrkudega nõuab hoolikat planeerimist, õiget kasutust NAT-/proxy-mehhanismide ja vajaduse korral aadresside ümbernumberdamise või VPN-ide abil.

Internet Assigned Numbers Authority (IANA) privaatsed aadressid

IANA (Internet Assigned Numbers Authority) on üksus, mis haldab ülemaailmset IP-aadresside eraldamist, DNS-i juurtsoonide haldamist, meediatüüpe ja muid Interneti-protokollide määramisi. Seda haldab ICANN.

Klassipõhise adresseerimise piire tundva inimese jaoks on oluline märkida, et kuigi RFC 1918 vahemik 172.16.0.0-172.31.255.255 kuulub traditsioonilisse B-klassi, ei ole reserveeritud aadresside plokk /16, vaid /12. Sama kehtib ka 192.168.0.0-192.168.255.255 kohta; see plokk ei ole /24, vaid /16. Siiski võib keegi ikkagi kasutada (ja paljud isikud tavaliselt kasutavadki) nende CIDR-blokkide aadresse ja rakendada aadressi traditsioonilisele klassipiirile sobivat alamvõrgumaski.

Praegused IANA privaatsed Interneti-aadressid (mida nimetatakse ka mitte-routerdatavateks aadressideks) on järgmised:

Nimi

IP-aadresside vahemik

aadresside arv

klassi kirjeldus

suurim CIDR-blokk

määratletud

24-bitine plokk

10.0.0.0 – 10.255.255.255

16,777,216

üks A-klass, 256 külgnevat B-klassi

10.0.0.0/8

RFC 1597 (vananenud), RFC 1918

20-bitine plokk

172.16.0.0 – 172.31.255.255

1,048,576

16 külgnevat B-klassi

172.16.0.0/12

16-bitine plokk

192.168.0.0 – 192.168.255.255

65,536

üks B-klass, 256 külgnevat C-klassi

192.168.0.0/16

Et vähendada nende IP-aadresside pöörd-DNS-otsingutest tulenevat koormust juurnimede serveritele, pakub anycast-võrk AS112 "mustade aukude" nimeserverite süsteemi.

Seotud leheküljed

  • Interneti-protokolli komplekt
  • Sideprotokoll

Küsimused ja vastused

K: Mis on eravõrk?


V: Eravõrk on arvutivõrk, mis kasutab privaatset IP-aadressiruumi, järgides RFC 1918 standardit. Seda kasutatakse tavaliselt organisatsiooni sisevõrkudes või kodu- ja kontorilokaalvõrkudes (LAN).

K: Mis oli privaatsete IP-aadresside loomise põhjus?


V: Eraldi IP-aadressid loodi seetõttu, et IPv4-standardiga loodud avalikult registreeritud IP-aadressidest oli puudus. Üks põhjus, miks IPv6 loodi, on selle IPv4-standardi piirangu ületamine.

K: Kuidas annab isolatsioon eravõrkudele turvalisuse?


V: Isolatsioon annab eravõrkudele põhilise turvalisuse, sest tavaliselt ei ole välistel seadmetel võimalik luua otseühendust masinatega, mis kasutavad neid privaatseid aadresse. Interneti marsruuterid tuleks selle kaitse tagamiseks konfigureerida nii, et need paketid, mis sisaldavad neid aadresse, visatakse tagasi.

K: Kuidas saavad erinevad organisatsioonid kasutada sama privaatse aadressi vahemikku, ilma et tekiksid aadressikonfliktid?


V: Kuna Interneti kaudu ei saa luua ühendusi erinevate privaatvõrkude vahel, saavad erinevad organisatsioonid kasutada sama privaatne aadressivahemikku, ilma et nad riskiksid aadressikonfliktidega (sideõnnetused, mis tekivad sama IP-aadressi kasutava kolmanda osapoole juurde jõudmisest).

K: Millist tüüpi seadet on vaja, kui privaatvõrgu seade peab suhtlema teiste võrkudega?


V: Kui privaatvõrgu seade peab suhtlema teiste võrkudega, on vaja "vahendavat väravat" (in-between gateway), et tagada, et välised seadmed saaksid avalikult juurdepääsetava aadressi, nii et Interneti-marsruuterid lubaksid suhtlust. See värav on tavaliselt kas NAT-seade või proxy-server.

K: Kas avalikud Interneti-ruuterid vajavad RFC 1918-aadressidega pakettide edastamiseks lisakonfiguratsiooni?


V: Avalikud Interneti-ruuterid ei edasta vaikimisi RFC 1918-aadressidega pakette ja vajavad selleks täiendavat seadistamist. Siseruuterid ei vaja aga nende pakettide edastamiseks lisakonfiguratsiooni, mis võib põhjustada probleeme, kui ühendatakse kaks erinevat võrku, mis mõlemad kasutavad sarnaseid IP-aadressi skeeme.


Otsige
AlegsaOnline.com - 2020 / 2025 - License CC3