私有IP範圍的網路和路由

tag-icon tag-icon networking router internet ip
私有IP範圍的網路和路由

Internet 伺服器不應路由專用 IP 範圍,例如 192.168.xx

他們是如何實現這目標的?管理員是否應該在路由器上啟用特定的防火牆規則,還是將其編碼在路由器的硬體/韌體/核心中?

答案1

大多數 ISP 都會有硬編碼的 ACL,以防止私人流量的路由。如果不這樣做,則由於缺乏可定位的回傳地址,這些資料包將無法到達任何地方。 BGP(邊界網關協定)是網際網路的核心路由協議,僅發佈公共路由。

在面向互聯網的 Cisco 路由器上經常會發現類似以下的 ACL:

access-list 100 deny ip 10.0.0.0 0.255.255.255 any
access-list 100 deny ip 172.16.0.0 0.15.255.255 any
access-list 100 deny ip 192.168.0.0 0.0.255.255 any
access-list 100 deny ip 169.254.0.0 0.0.255.255 any
access-list 100 deny ip 127.0.0.0 0.0.255.255 any

這將阻止私有位址(包括 APIPA 和環回位址)在通過存取群組應用後穿過路由器介面。

某些 SOHO 路由器上的韌體內建了此功能。

答案2

您需要更了解互聯網和路由的工作原理。

私有 IP 位址範圍根本無法供其他公司使用。它們由 RIR 註冊。

這是 192.168.0.1 的 Whois 記錄:

NetRange:       192.168.0.0 - 192.168.255.255
CIDR:           192.168.0.0/16
OriginAS:       
NetName:        PRIVATE-ADDRESS-CBLK-RFC1918-IANA-RESERVED
NetHandle:      NET-192-168-0-0-1
Parent:         NET-192-0-0-0-0
NetType:        IANA Special Use
Comment:        This block is used as private address space.
Comment:        Traffic from these addresses does not come from IANA.
Comment:        IANA has simply reserved these numbers in its database 
Comment:        and does not use or operate them. We are not the source 
Comment:        of activity you may see on logs or in e-mail records.
Comment:        Please refer to  http://www.iana.org/abuse/
Comment:             
Comment:        Addresses from this block can be used by 
Comment:        anyone without any need to coordinate with 
Comment:        IANA or an Internet registry. Addresses from
Comment:        this block are used in multiple, separately 
Comment:        operated networks.
Comment:        
Comment:        This block was assigned by the IETF in the
Comment:        Best Current Practice document, RFC 1918
Comment:        which can be found at:
Comment:        
Comment:        http://www.rfc-editor.org/rfc/rfc1918.txt
RegDate:        1994-03-15
Updated:        2011-04-12
Ref:            http://whois.arin.net/rest/net/NET-192-168-0-0-1

如果任何互聯網供應商嘗試在其(面向公眾/連接互聯網的)基礎設施中使用它,並且他們相應地在路由器上配置了路由,則沒有什麼可以阻止他們在內部使用它。

但是,如果他們開始透過 DHCP/靜態向訂閱者提供這些 IP,並且他們的客戶也在內部使用這些位址,則可能會在客戶端導致一些非常有趣的問題。

此外,網路供應商透過多種方法相互連接。除非所有其他 ISP 也添加路由,否則根本無法存取。

這不需要進入 BGP 或更複雜的東西......

....試著讓它變得簡單一點...

這麼說吧,任何 ISP 都可以使用他們喜歡的任何 IP 區塊,但是,為了使互聯網正常工作,他們需要配置彼此之間的每條路由的方式。私有 IP 範圍僅由負責分配其他 IP 區塊的機構保留/註冊。

同樣,我可以輕鬆地在內部網路上使用公共 IP 位址範圍,但是,外部/外部人員在不添加自己的自訂路由的情況下將無法路由到我的網路。

** 我已經嘗試重寫幾次,這是一個相當複雜的情況,很難解釋......如果您有任何其他後續問題,請隨時詢問。 **

答案3

如果任何互聯網供應商嘗試在其(面向公眾/連接互聯網的)基礎設施中使用它,並且他們相應地在路由器上配置了路由,則沒有什麼可以阻止他們在內部使用它。

相關內容