В сети Интернет частная сеть — это компьютерная сеть , использующая частное адресное пространство IP- адресов . Эти адреса обычно используются для локальных сетей (LAN) в жилых, офисных и корпоративных средах. Спецификации IPv4 и IPv6 определяют диапазоны частных IP-адресов . [1] [2]
Частные сетевые адреса не выделяются какой-либо конкретной организации. Любой может использовать эти адреса без одобрения региональных или местных интернет-реестров . Пространства частных IP-адресов изначально были определены, чтобы помочь отсрочить исчерпание адресов IPv4 . IP-пакеты , отправленные с частного IP-адреса или адресованные ему, не могут быть перенаправлены через общедоступный Интернет .
Инженерная группа Интернета (IETF) поручила Администрации адресного пространства Интернета (IANA) зарезервировать следующие диапазоны адресов IPv4 для частных сетей: [1] : 4
Название RFC 1918 | Диапазон IP-адресов | Количество адресов | Самый большой блок CIDR (маска подсети) | Размер идентификатора хоста | Биты маски | Классовое описание [Примечание 1] |
---|---|---|---|---|---|---|
24-битный блок | 10.0.0.0 – 10.255.255.255 | 16 777 216 | 10.0.0.0/8 (255.0.0.0) | 24 бита | 8 бит | одиночная сеть класса А |
20-битный блок | 172.16.0.0 — 172.31.255.255 | 1 048 576 | 172.16.0.0/12 (255.240.0.0) | 20 бит | 12 бит | 16 смежных сетей класса B |
16-битный блок | 192.168.0.0 – 192.168.255.255 | 65 536 | 192.168.0.0/16 (255.255.0.0) | 16 бит | 16 бит | 256 смежных сетей класса C |
На практике принято разбивать эти диапазоны на более мелкие подсети.
В апреле 2012 года IANA выделила блок 100.64.0.0/10 (от 100.64.0.0 до 100.127.255.255, сетевая маска 255.192.0.0) для использования в сценариях NAT операторского класса . [4]
Этот блок адресов не следует использовать в частных сетях или в общедоступном Интернете. Размер блока адресов (2 22 , примерно 4 миллиона адресов) был выбран таким, чтобы он был достаточно большим, чтобы обеспечить уникальную нумерацию всех клиентских устройств доступа для всех точек присутствия одного оператора в крупном мегаполисе, таком как Токио . [4]
Концепция частных сетей была расширена в следующем поколении Интернет-протокола , IPv6 , и зарезервированы специальные блоки адресов.
Блок адресов fc00:: / 7 зарезервирован IANA для уникальных локальных адресов (ULA). [2] Это одноадресные адреса, но они содержат 40-битное случайное число в префиксе маршрутизации для предотвращения коллизий при соединении двух частных сетей. Несмотря на то, что они по своей природе локальны в использовании, диапазон адресов IPv6 уникальных локальных адресов является глобальным.
Первым определенным блоком является fd00:: / 8 , предназначенный для блоков маршрутизации /48, в которых пользователи могут создавать несколько подсетей по мере необходимости.
Блок RFC 4193 | Префикс/L | Глобальный идентификатор (случайный) | Идентификатор подсети | Количество адресов в подсети |
---|---|---|---|---|
48 бит | 16 бит | 64 бита | ||
фд00::/8 | фд | хх:хххх:хххх | гггг | 18 446 744 073 709 551 616 |
Примеры:
Префикс/L | Глобальный идентификатор (случайный) | Идентификатор подсети | Идентификатор интерфейса | Адрес | Подсеть |
---|---|---|---|---|---|
фд | хх:хххх:хххх | гггг | зззз: зззз: зззз: зззз | fdxx:xxxx:xxxx:yyyy:zzzz:zzzz:zzzz:zzzz | фдхх:хххх:хххх:гггг::/64 |
фд | 12:3456:789а | 0001 | 0000:0000:0000:0001 | фд12:3456:789а:1::1 | фд12:3456:789а:1::/64 |
В прежнем стандарте предлагалось использовать локальные адреса сайта в блоке fec0:: / 10 , но из-за проблем с масштабируемостью и плохого определения того, что представляет собой сайт , его использование устарело с сентября 2004 года. [5]
Другой тип частной сети использует диапазон адресов link-local. Срок действия локальных адресов ссылок ограничен одной ссылкой; например, ко всем компьютерам, подключенным к коммутатору или к одной беспроводной сети . Хосты на разных сторонах сетевого моста также находятся на одном и том же канале, тогда как хосты на разных сторонах сетевого маршрутизатора находятся на разных каналах.
В IPv4 локальные адреса канала кодифицированы в RFC 6890 и RFC 3927. Их полезность заключается в сети с нулевой конфигурацией, когда службы протокола динамической конфигурации хоста (DHCP) недоступны и ручная настройка сетевым администратором нежелательна. Для этого был выделен блок 169.254.0.0/16 . Если хост в сети IEEE 802 ( Ethernet ) не может получить сетевой адрес через DHCP, псевдослучайным образом может быть назначен адрес от 169.254.1.0 до 169.254.254.255 [Примечание 2] . Стандарт предписывает корректно обрабатывать конфликты адресов.
В IPv6 блок fe80:: / 10 зарезервирован для автонастройки IP-адреса. [6] Реализация этих адресов link-local является обязательной, так как от них зависят различные функции протокола IPv6. [7]
Частные адреса обычно используются в домашних сетях IPv4. Большинство интернет-провайдеров (ISP) выделяют только один публично маршрутизируемый IPv4-адрес каждому бытовому клиенту, но во многих домах есть более одного компьютера , смартфона или другого устройства, подключенного к Интернету. В этой ситуации шлюз транслятора сетевых адресов (NAT/PAT) обычно используется для обеспечения подключения к Интернету нескольких хостов.
Частные адреса также широко используются в корпоративных сетях , которые из соображений безопасности не подключены напрямую к Интернету. Часто прокси-сервер, SOCKS -шлюз или аналогичные устройства используются для предоставления ограниченного доступа в Интернет для внутренних пользователей сети. 24-битные блочные частные адреса также широко используются в северокорейской сети Kwangmyong .
В обоих случаях частные адреса часто рассматриваются как повышающие сетевую безопасность для внутренней сети, поскольку использование частных адресов внутри сети затрудняет инициирование интернет-узлом (внешним) подключения к внутренней системе.
Обычно пакеты, исходящие из частных адресных пространств, ошибочно направляются в Интернет. Частные сети часто неправильно настраивают службы DNS для внутренних адресов и пытаются выполнять обратный поиск этих адресов в DNS , вызывая дополнительный трафик к корневым серверам имен Интернета . В проекте AS112 была предпринята попытка уменьшить эту нагрузку, предоставив специальные серверы имен с произвольной адресацией « черной дыры» для частных диапазонов адресов, которые возвращают только отрицательные коды результатов ( not found ) для этих запросов.
Пограничные маршрутизаторы организаций обычно настроены на отбрасывание входящего IP-трафика для этих сетей, что может происходить либо из-за неправильной настройки, либо из-за вредоносного трафика с использованием поддельного исходного адреса. Реже граничные маршрутизаторы интернет-провайдеров пропускают такой исходящий трафик от клиентов, что снижает влияние на Интернет таких неправильно настроенных или злонамеренных хостов в сети клиента.
Поскольку частное адресное пространство IPv4 относительно невелико, многие частные сети IPv4 неизбежно используют одни и те же диапазоны адресов. Это может создать проблему при объединении таких сетей, так как некоторые адреса могут дублироваться для нескольких устройств. В этом случае сети или хосты должны быть перенумерованы, что часто требует много времени, или между сетями должен быть размещен преобразователь сетевых адресов для преобразования или маскировки одного из диапазонов адресов.
IPv6 определяет уникальные локальные адреса в RFC 4193, предоставляя очень большое частное адресное пространство, из которого каждая организация может случайным или псевдослучайным образом выделять 40-битный префикс, каждый из которых допускает 65536 организационных подсетей. Имея место для примерно одного триллиона (10 12 ) префиксов, маловероятно, что два сетевых префикса, используемых разными организациями, будут одинаковыми, при условии, что каждый из них был выбран случайным образом, как указано в стандарте. Таким образом, когда две такие частные сети IPv6 соединены или объединены, риск конфликта адресов практически отсутствует.
Несмотря на официальные предупреждения, исторически некоторые организации использовали другие части зарезервированных IP-адресов для своих внутренних сетей. [ нужна ссылка ]