IETF - RFC 1918. Распределение адресов в частных IP-сетях

Перед распределением адресов из частного и публичного блоков следует определить, какие из хостов сети должны иметь связь с внешними системами на сетевом уровне в настоящее время и в будущем — для таких хостов следует использовать публичные адреса. Остальным хостам можно присваивать адреса из частных блоков — это не помешает им взаимодействовать со всеми хостами корпоративной сети, независимо от того, какие адреса имеют эти хосты (частные или публичные). Однако прямой доступ во внешние сети для хостов с адресами из частного блока невозможен. Для организации доступа таких хостов во внешние шлюзы придется использовать специальные шлюзы 2 (например, шлюзы прикладного уровня).

Хосты с публичными адресами могут иметь прямую связь с внешними сетями и Internet. Хосты с публичными адресами могут обмениваться данными со всеми хостами корпоративной сети (независимо от типа адресов этих хостов), а также с публичными хостами других сетей. Публичные хосты, однако, не могут иметь прямого доступа к хостам других сетей, использующим частные адреса.

Перемещение хоста из частной сети в публичную (и обратное) связано со сменой IP-адреса, соответствующих записей DNS и изменением конфигурационных файлов на других хостах, которые идентифицируют хосты по их IP-адресам. Поскольку частные адреса не имеют глобального значения, маршрутная информация о частных сетях не должна выходить за пределы этих сетей, а пакеты с частными адресами отправителей или получателей не должны передаваться через межсетевые каналы. Предполагается, что маршрутизаторы в публичных сетях (особенно маршрутизаторы провайдеров Internet) будут отбрасывать маршрутную информацию из частных сетей. Если маршрутизатор публичной сети получает такую информацию, ее отбрасывание не должно трактоваться как ошибка протокола маршрутизации.

Непрямые ссылки на адреса из частных блоков должны сохраняться внутри предприятия. Примерами таких записей могут служить RR-записи DNS, и другая информация со ссылками на внутренние частные адреса. Провайдеры Internet должны принимать меры против публичного распространения такой информации.

Очевидным преимуществом использования частных адресов является экономия адресного пространства Internet за счет использования частных адресов во множестве сетей, не связанных напрямую с Internet.

Предприятия также имеют преимущества в результате использования частных адресов. Блоки частных адресов достаточно велики и обеспечивают гибкость и свободу при распределении адресов для хостов частной сети. Это позволяет обойтись без смены адресов при внесении в сеть изменений или ее расширении.

По разным причинам в сети Internet уже возникали ситуации, когда предприятия, не подключенные к Internet, использовали для своих хостов IP-адреса из публичных блоков без согласования с IANA. В некоторых случаях эти адреса уже были выделены другим предприятиям. Если сеть с такими адресами потом будет подключаться к Internet, могут возникнуть серьезные проблемы, поскольку маршрутизация IP не может быть корректной при наличии в сети хостов с совпадающими адресами. Хотя провайдеры Internet должны предотвращать подобные ситуации путем использования маршрутных фильтров, на практике такая фильтрация осуществляется не всегда. Использование частных адресов в корпоративных сетях позволяет избежать проблем с маршрутизацией при подключении частной сети к Internet Основным неудобством при использовании частных адресов является возможность возникновения существенных проблем при подключении корпоративной сети к Internet.

Если в сети используются частные адреса, то при ее подключении к Internet потребуется смена адресов IP для каждого хоста, которому предоставляется прямой доступ в Internet Обычно расходы на такую замену адресов пропорциональны числу хостов, которые переносятся из частной сети в публичную. Однако, как было отмечено выше, смена адресов может потребоваться и при использовании в частной сети уникальных адресов 3 .

Другой проблемой, которая может возникнуть при использовании частных адресов, является необходимость смены адресов при объединении двух или более сетей, если они использовали частные адреса из перекрывающихся блоков. Если вернуться к списку компаний, для которых рекомендовалось использовать частные адреса (параграф 2), можно заметить, что такие компании (сети) достаточно часто объединяются. Если в каждой из объединяемых сетей использовались частные адреса, в объединенной сети требование уникальности адресов каждого хоста может нарушаться. В результате возникает необходимость смены адресов для всех или части хостов.

Расходы на замену адресов могут быть снижены за счет использования средств автоматического распределения адресов (например, протокола DHCP). При выборе зоны использования частных адресов мы рекомендуем для таких зон сразу применять системы автоматического распределения адресов 4 . Вопросами замены адресов (процедура, рекомендации) занимается специальная рабочая группа IETF (PIER Working Group).

Одним из возможных вариантов является разработка на начальном этапе плана распределения адресов для внутренней части сети, не связанной напрямую с другими сетями. После этого определяются публичные подсети и для них выделяются соответствующие блоки адресов.

Такой подход не порождает фиксированной навсегда схемы. Если статус одного или нескольких хостов впоследствии изменяется (от частного к публичному или наоборот), потребуется сменить адреса только для таких хостов 5 . Для того, чтобы избежать остановки сети при таких изменениях, целесообразно группировать хосты в подсети с учетом перспектив дальнейшего использования этих хостов.

Если подходящая схема организации подсетей может быть разработана и будет поддерживаться используемым в сети оборудованием, разумно воспользоваться для частной сети 24-битовым блоком адресов (сеть класса А) — это позволит создать достаточно большую сеть. Если разделение на подсети нереально, можно воспользоваться 16-битовым (сеть класса С) или 20-битовым (сеть класса В) блоком частных адресов.

Может показаться заманчивой перспектива использования частных и публичных адресов в одной физической сети. Хотя такое решение допустимо, оно содержит подводные камни, связанные с существованием нескольких подсетей IP в одной сети канального уровня. Рекомендуем с осторожностью использовать такой подход 6 .

Настоятельно рекомендуется для маршрутизаторов, соединяющих предприятие с внешними сетями, использовать соответствующие фильтры для пакетов и маршрутов, предотвращающие передачу пакетов с частными адресами и информации о внутренних маршрутах во внешние по отношению к предприятию сети. Такие фильтры нужно устанавливать на маршрутизаторах по обе стороны канала между сетями. На входе в сеть предприятия должна также отфильтровываться вся входящая маршрутная информация для того, чтобы предотвратить ненужные проблемы с маршрутизацией во внутренней сети.