组织:中国互动出版网(http://www.china-pub.com/) RFC文档中文翻译计划(http://www.china-pub.com/compters/emook/aboutemook.htm) E-mail:ouyang@china-pub.com 译者:王逸(pentagon pentagon@citiz.net) 译文发布时间:2001-07-25 版权:本中文翻译文档版权归中国互动出版网所有。可以用于非商业用途自由转载,但必须 保留本文档的翻译及版权信息。 Network Working Group Y. Rekhter Request for Comments: 1597 T. J. Watson Research Center, IBM Corp. Category: Informational B。 Moskowitz Chrysler Corp. D. Karrenberg RIPE NCC G. de Groot RIPE NCC March 1994 私有Internet的地址分配 (Address Allocation for Private Internets) 本备忘录的状态 本文档提供了Internet团体的一些信息,它不针对任何类型的Internet标准。本备忘录 的发布不受任何限制。 目录 1 介绍 1 2 目标 2 3 私有地址空间 3 4 使用私有地址空间的优缺点 3 5 操作上的考虑 4 6 参考 4 7 安全上的考虑 5 8 结论 5 9 致谢 5 10 作者联系方式 5 1 介绍 本协议描述了一种保存地址空间的方法,这种方法不用给某个企业内部的私有主机 分配全局唯一的IP地址,而仍旧允许企业内部的所有私有主机之间及企业外部的所有 公有主机之间的完全的网络连接。作者希望,使用这些方法,能显著地节约IP地址空 间的分配。 一个企业是一个实体,它自主地使用TCP/IP协议运作一个网络,并在该网络内部 决定寻址设计和地址分配。 2 目标 随着TCP/IP技术在全世界的传播,包括在Internet以外,大量没有联网的企业采 用该技术及它在地址分配上的能力进行企业内部独立的通信,而不用与其它企业或 Internet本身直接相连。 现在的惯例是为所有使用TCP/IP的主机分配全局唯一的地址。越来越受到关心的 问题是有限的IP地址空间有朝一日会耗尽。因此,近年来分配IP地址的要求变得严格 起来。这些准则对于那些想要实施和运作网络的企业来说过于谨慎了。 在企业内部使用IP的主机可以分为三类: - 不需要访问其他企业或Internet的主机; - 需要访问有限的外部服务(例如:电子邮件, 文件传输,网络新闻,远程登 录)的主机, 这些服务由应用层网关处理; - 需要访问企业以外的网络层(通过IP 互连实现); - 第一类主机在企业内部使用的IP地址不重复,而在企业之间发生重复。 在许多第二类主机中,不受限制的外部访问(通过IP 互连)是不必要的,甚至对 于私有和安全原因来说是不希望发生的。就象在第一类中的主机,这些主机在企业内部 使用的IP地址不重复,而在企业之间发生重复。 只有最后一类的主机需要全局唯一的IP地址。 很多应用程序只需要在一个企业内部的互连, 而不需要与互连网上的大多数主机 进行外部连接。在一个大的企业中,可以很容易地确定那些使用TCP/IP 协议但不需要 与企业外部进行连接的主机。 以下是一些不需要外部连接的例子: - 一个大型的机场需要使航班到达/离开的显示信息通过TCP/IP 成为可分别寻 址的。这些显示信息不大可能需要被其他网络直接访问到。 - 象银行和销售链这样的大型组织正转向TCP/IP用做它们内部的通信。大量的 本地工作站象收银机, 取款机和文书工作的设备很少需要这种连接。 - 由于安全原因, 许多企业使用应用层网关(例如:防火墙)把它们的内部网 络连接到Internet上。内部网络通常不能直接访问Internet, 这样只有一个或 几个防火墙主机对于Internet是可见的。这种情况下,内部网络可以使用不唯 一的IP地址。 - 如果两个企业通过它们私有的连接通信,通常只有数量非常有限的主机可以互 相访问到。只有那些主机需要全局唯一的IP 地址。 - 路由器上内部网络的接口不需要在企业外部被直接访问到。 3 私有地址空间 IANA保留了以下三段IP地址空间作为私有地址: 10.0.0.0 – 10.255.255.255 172.16.0.0 – 172.31.255.255 192.168.0.0 – 192.168.255.255 我们指第一段为24位段,第二段为20位段,第三段为16位段。 注意, 第一段只 是一个A类地址,第二段是16个连续B类地址的集合,第三段是255个连续C类地址的 集合。 一个企业若决定使用本文定义以外的IP地址, 则无须征得IANA许可或Internet注 册。所以这类地址可被许多企业使用。 在私有地址空间内的地址在一个企业内部必须唯一。 过去, 一个需要全局唯一地址空间的企业被要求向Internet注册组织获得这样的地 址。一个企业要求为其外部访问所分配的地址决不会从以上定义的地址段中获得。 为了使用私有地址空间,一个企业需要决定哪些主机在可预见的将来不需要连接外部 的网络。这些主机将被称为私有主机, 并将使用以上定义的私有地址空间。私有主机能与 企业内部所有的公有和私有的主机通信。 但是,它们不能与外部主机进行IP连接。尽管私 有主机不能与外部主机进行网络层的连接,它们仍能通过应用层中继访问外部的服务。 除此之外的主机称为公有主机,并使用从Internet注册组织获得的全局唯一的地址空 间。公有主机能与企业内部所有的公有和私有的主机通信并能通过IP连接访问外部公有主 机。公有主机不能与其他企业的私有主机连接。 把一台主机从私有转为公有或相反涉及到IP地址的变更。 因为私有地址没有全局的意义,对于私有网络的路由信息不能被传递到企业与企业之 间的连接上,使用私有源地址和目的地址的报文不能被传送过这样的连接。 网络上不使用私有地址空间的路由器,特别是Internet服务提供商的,将会配置成拒 绝(过滤)私有网络的路由信息。如果这样的路由器接收到这样的路由信息,路由器拒绝不 应该被当作路由协议错误。 企业内部会出现对此类地址的间接引用。主要的例子是域名服务器资源记录和其他引 用内部私有地址的信息。Internet服务提供商应特别采取措施避免这种泄漏。 4 使用私有地址空间的优缺点 使用私有地址空间的显著的优点是通过使不需要全局唯一地址的情况下不使用它而达 到保存全局唯一的地址空间的目的。 企业本身也从使用私有地址空间得到很多好处:它们得到了多于它们能从全局唯一地址 储备中获得的地址储备,使它们在网络的设计中获得很多的灵活性。这样使地址规划在操作 和管理上更方便,成长扩展更容易。 由于各种原因,Internet已经遇到过这样的情况:一个还没有连到Internet的企业使用 未从IANA分配的地址给内部的主机。在某些情况下,这个地址已经分配给其他企业。当这 个企业以后连到Internet时,可能发生一些严重的问题, 例如当存在冲突的地址时, IP 路由不能正确操作。 使用私有地址空间为这些企业提供了一个安全的选择, 可以避免需要 连接外部网络时发生的冲突。 有人会说, 对于重新编址的潜在需要显示了使用私有网络以 外地址的一个显著的缺点。 但是, 我们必须看到, 由于许多主机可能永远不需要转到第 三类, 而且一个企业也许不会与其他的企业互连(在IP级)。 但是即使重新编址发生了, 我们必须看到一个使用CIDR(非类的域间路由)连到 Internet上的企业, 当换了Network Service Providers(网络服务提供商)时, 倾向于重新 对它的公有主机编址。 这样重新编址在未来有可能经常发生, 无论这个企业是否使用私有 网络以外的地址段。 能便利于重新编址的工具(例如DHCP)的确使之费心更少。 也要看到私有和公有主机之间清晰的划分和由此对重新编址的需要使在连接以外的控 制更困难, 所以在某种程度上重新编址的需要可以看作是一个优点。 5 操作上的考虑 网络规划上一个推荐的策略是先设计网络的私有部分, 并在所有的内部连接上使用私 有地址空间。 然后在需要的地方设计公有子网并设计外部的连接。 这个设计并非固定不变。 如果一些主机将来需要改变状态, 能通过仅对涉及到的主机 重新编址并安装另外所需的物理子网来实现。 如果需要设计一个合适的子网模式, 并能被所涉及的设备所支持, 建议使用24位的 私有地址空间, 并制定一种可扩展的地址设计规划。 如果子网化有问题, 可以使用16 位的包括255个连续网络地址的C类地址。 在同一物理媒质上使用多个IP网络(子网)有很多缺点。 我们建议避免如此, 除非运 行上的问题被很好地理解并证实所有的设备都能正确地支持。 把一台主机从私有状态转到公有状态将涉及到地址和多数情况下物理连接的变更。 在 这些变更能被预见到的地方(如机房), 建议为私有和公有子网配置不同的物理媒质, 以利 于此变更。 在整个网络上能容易地变更所有主机的状态, 且不对企业网络的整体产生破坏。 因此 建议按照将来在同一子网上可能发生相同的连接上的变更把主机分组。 强烈建议在连接外部网络的路由器上的内外两端的连接上设置合适的包和路由过滤, 以避免包和路由信息的丢失。 企业还应该过滤任何进入的私有网络地址以避免出现不明确 的路由状态, 这种状态在对私有地址空间的路由指向企业外部时发生。 对于那些预见到较大的交互通信需求的组织集团, 可以考虑通过设计一个公共的地址 规划来组成一个企业, 这个规划被必要的组织协议如注册机构所支持。 如果在同一企业的两个站点需要使用外部的服务提供商互连, 可以考虑使用IP隧道技 术以避免发生私有网络上的包的丢失。 避免DNS RRs丢失的一个可能的措施是运行两个域名服务器, 一个外部的服务器授 权服务于所有全局唯一的IP地址, 一个内部的服务器授权服务于所有企业内部的私有和公 有的IP地址。 为了保持连贯性, 这些服务器应该从外部服务器接收到的已被过滤版本的 数据进行配置。 在所有内部公有和私有主机上的解析器, 只查询内部的域名服务器。 外部的服务器解 析从企业外部来的查询, 并且连接全局的域名服务器。 内部的服务器把针对企业外部信 息的查询前送至外部服务器, 因此所有的内部主机能访问全局的域名服务器。 这样保证了 私有主机的信息不会到达企业外部的解析器和域名服务器。 6 参考 [1] Gerich, E。, "Guidelines for Management of IP Address Space", RFC 1466, Merit Network, Inc。, May 1993。 7 安全上的考虑 虽然使用私有地址空间可以增进安全性, 但这不能替换专门的安全措施。 8 结论 借助详细的规划, 很多大的企业需要相对更少的全局地址空间。 整个Internet由于节 约了全局地址空间, 并由此有效地延长IP地址空间的使用期限而受益。 企业由于能使用 相对更大的地址空间而增加的灵活性而受益。 9 致谢 感谢Tony Bates (RIPE NCC), Jordan Becker (ANS), Hans-Werner Braun (SDSC), Ross Callon (Wellfleet), John Curran (NEARNET), Vince Fuller (Barrnet), Tony Li (cisco Systems), Anne Lord (RIPE NCC), Milo Medin (NSI), Marten Terpstra (RIPE NCC), 和 Geza Turchanyi (RIPE NCC)的审阅和建设性的建议。 10 作者联系方式 Yakov Rekhter T.J. Watson Research Center, IBM Corp。 P.O. Box 218 Yorktown Heights, NY, 10598 Phone: +1 914 945 3896 Fax: +1 914 945 2141 EMail: yakov@watson.ibm.com Robert G Moskowitz Chrysler Corporation CIMS: 424-73-00 25999 Lawrence Ave Center Line, MI 48015 Phone: +1 810 758 8212 Fax: +1 810 758 8173 EMail: 3858921@mcimail.com Daniel Karrenberg RIPE Network Coordination Centre Kruislaan 409 1098 SJ Amsterdam, the Netherlands Phone: +31 20 592 5065 Fax: +31 20 592 5090 EMail: Daniel.Karrenberg@ripe.net Geert Jan de Groot RIPE Network Coordination Centre Kruislaan 409 1098 SJ Amsterdam, the Netherlands Phone: +31 20 592 5065 Fax: +31 20 592 5090 EMail: GeertJan.deGroot@ripe.net RFC1597——Address Allocation for Private Internets 私有Internet的地址分配 1 RFC文档中文翻译计划