Cisco tips: Распределение адресов для частных узлов Internet

Введение.

Данный документ разработан на основе документа RFC 1597 и он поможет Вам сохранять область для IP-адресов, не распределяя глобальные уникальные IP-адреса частным хостам (host) Вашей сети. Тем не менее, Вы можете разрешать полную связуемость сетевого уровня между всеми хостами сети и между всеми общедоступными хостами в Internet.

Хосты, использующие IP, можно разделить на три категории:

  • Хосты, которые не запрашивают доступ к хостам других предприятий или к Internet в целом. Такие хосты могут пользоваться IP-адресами, уникальными в их сети, но могут быть не уникальными во внешних сетях.
  • Хосты, которым нужен доступ к ограниченному набору внешних услуг (например, e-mail, FTP, netnews, remote login), который может осуществляться шлюзами прикладного уровня. Многие из этих хостов не испытывают необходимости или не хотят неограниченного внешнего доступа (который обеспечивается с помощью IP-связуемости) из соображений безопасности. Так же, как и хосты первой категории, они могут использовать IP-адреса, уникальные в их сети, но не уникальные во внешних сетях.
  • Хосты, которые нуждаются в доступе сетевого уровня вне пределов предприятия. Такой доступ обеспечивается IP-связуемостью.

Только этим хостам требуются полностью уникальные IP-адреса.

Многим прикладным приложениям требуется связуемость только внутри одной сети и им даже не нужна внешняя связуемость для большинства внутренних хостов. В более крупных сетях хосты часто пользуются протоколами TCP/IP, когда им не нужна связуемость сетевого уровня вне их сети. Вот несколько примеров, где внешняя связуемость может не потребоваться:

  • Крупный аэропорт, в котором дисплеи прибытия и отправления индивидуально адресуются с помощью протокола TCP/IP. Весьма маловероятно, чтобы другим сетям понадобился прямой доступ к этим дисплеям.
  • Крупная организация (например, банк или розничная сеть магазинов), которая использует протокол TCP/IP для внутренней связи.
  • Множество локальных рабочих станций (регистраторы наличности, банкоматы, оборудование канцелярий) редко нуждается во внешней связуемости.

Сети, которые используют шлюзы прикладного уровня (системы безопасности "firewall" - брандмауэр) для связи с Internet. Внутренняя сеть обычно не имеет прямого доступа в Internet, поэтому лишь несколько хостов, оборудованных системой безопасности "firewall", "видимы" из Internet. В этом случае во внутренней сети можно использовать не уникальные IP-адреса.

Две сети, которые взаимодействуют с помощью собственного частного канала связи. Обычно лишь очень ограниченное число хостов осуществляет такую связь. И только они нуждаются в полностью уникальных IP-адресах.

Интерфейсы маршрутизаторов внутренней сети.

Область частных адресов.

Полномочный комитет по надзору за присвоением номеров Intrenet (IANA) зарезервировал следующие три блока области IP-адресов для частной работы в сети:

10.0.0.0 - 10.255.255.255

172.16.0.0 - 172.31.255.255

192.168.0.0 - 192.168.255.255

Первый блок - единственный номер сети класса А; второй блок - это набор из 16 смежных номеров сети класса В; третий - набор из 255 смежных номеров сети класса С. Если Вы решили использовать область частных адресов, Вам не нужно согласовывать это с IANA или любой другой службой регистрации Internet. Адреса внутри этой области частных адресов будут уникальными только в пределах Вашей сети. Помните, что если Вам необходима полностью уникальная область адресов, Вы должны получить адреса в любой службе регистрации Internet.

Для использования области частных адресов, определите, каким хостам не нужна связуемость сетевого уровня с внешней сетью. Эти хосты являются частными хостами и будут использовать область частных адресов. Частные хосты могут осуществлять связь со всеми другими хостами внутри сети, как общедоступной, так и частной, но они не могут иметь IP-связуемость с внешним хостом. Частные хосты могут осуществлять доступ к внешним службам с помощью программ прикладного уровня.

Все другие хосты являются общедоступными и будут использовать глобальную область уникальных адресов, назначенную службами регистрации Internet. Общедоступные хосты могут связываться с другими хостами внутри данной сети и могут иметь IP-связуемость с внешними общедоступными хостами. Общедоступные хосты не имеют связуемости с частными хостами других сетей.

Так как частные адреса не имеют глобального значения, маршрутизируемая информация о частных сетях не передается на внешние линии связи. Пакеты с частными исходящими или входящими адресами не должны направляться по таким линиям связи. Маршрутизаторы в сетях, не использующих область частных адресов, особенно маршрутизаторы провайдеров услуг Internet, должны конфигурироваться с учетом отклонения (фильтрации) маршрутизируемой информации о частных сетях. Это отклонение не следует рассматривать как ошибку протокола маршрутизации. Косвенные ссылки на такие адреса (например, записи ресурсов в системе доменных имен DNS RRs) должны содержаться в сети. Провайдеры услуг Internet должен предпринять меры для предотвращения утечки такой информации.

Преимущества и недостатки использования области частных адресов.

Очевидное преимущество использования области частных адресов для Internet заключается в сохранении глобальной области уникальных адресов. Использование области частных адресов также предоставляет большую гибкость при проектировании сети, так как Вы будете располагать большей областью адресов, чем Вы смогли бы получить из глобальной области уникальных адресов.

Основной недостаток использования области частных адресов заключается в том, что Вам придется назначать другие номера своим IP-адресам, если Вы захотите подключиться к Internet.

Обсуждение проектирования.

Вам следует сначала спроектировать частную часть своей сети и использовать область частных адресов для всех внутренних каналов связи. А затем заняться проектированием общедоступной подсети и внешней связуемости. Если подходящая схема подсети может быть спроектирована и поддерживается Вашим оборудованием, используйте 24-разрядный блок области частных адресов и составьте план адресации с возможностью наращивания маршрутов. Если создание подсети вызывает проблему, Вы можете использовать 16-разрядный блок класса С. Изменение хоста с частного на общедоступный потребует изменения его адреса и в большинстве случаев его физической связуемости. В помещениях, где такие изменения можно предвидеть (машинные залы и т.п.), Вам, возможно, для более легкой реализации таких изменений стоит конфигурировать отдельную физическую среду для общедоступных и частных подсетей.

На маршрутизаторах, которые подключаются к внешним сетям, следует устанавливать соответствующий пакет и фильтры маршрутизации на обоих концах линии связи для предотвращения утечки информации. Вам следует также отфильтровывать любую частную сетевую работу от входящей маршрутизируемой информации для предотвращения двусмысленных ситуаций маршрутизации, которые могут произойти, если маршруты к области частных адресов указывают за пределы сети.

Группы организаций, которые предвидят необходимость взаимной коммуникации, должны проектировать общий план адресации.

Если два сайта (site) нужно соединить с помощью внешнего провайдера услуг, можно воспользоваться IP-тоннелем для предотвращения утечки пакетов из частной сети.

Один из способов избежать утечки DNS RRs - использовать два сервера имен: внешний сервер отвечает за все глобальные уникальные IP-адреса предприятия; внутренний сервер отвечает за все IP-адреса как общедоступные и конфиденциальные. Для обеспечения согласованности оба сервера должны получать те же самые данные, из которых внешний сервер имен использует только отфильтрованную версию. Резольверы (resolver) на всех внутренних хостах как общедоступных, так и частных опрашивают только внутренний сервер имен. Внешний сервер отвечает на запросы только внешних резольверов и связан с глобальной DNS.

Внутренний сервер направляет все запросы на получение информации вне пределов предприятия внешнему серверу имен, таким образом все внутренние хосты могут получить доступ к глобальной DNS. При этом информация о частных хостах не поступает к внешним резольверам и другим внешним серверам.

Рассмотрение мер безопасности.

Хотя использование области частных адресов может повысить безопасность, все-таки оно не является заменой всего имеющегося спектра мер безопасности.

Заключение.

С помощью такой схемы многим крупным сетям может понадобиться только маленький блок адресов из глобальной области уникальных IP-адресов. Internet в целом получает выгоду, благодаря сохранению глобальной области уникальных адресов, а сеть - выгоду от увеличения гибкости, обеспечиваемой относительно большой областью частных адресов.

 

ООО "Новаком" тел./факс (343) 263-74-66 (многоканальный),   info@novacom.ru