Lựa chọn tốt nhất về các địa chỉ riêng cho mạng khu vực thiết bị trên mạng

Tôi đang xây dựng một thiết bị bao gồm một số phân vùng được kết nối bằng ethernet bên trong thiết bị. Thiết bị sẽ kết nối với mạng khách hàng. Mạng lưới khách hàng có thể được sử dụng địa chỉ IP riêng. Xung đột địa chỉ với mạng nội bộ sẽ là một vấn đề (mạng con được kết nối với cả hai mạng sẽ bị nhầm lẫn). IPv6 không phải là một lựa chọn.

Tôi có nên mua địa chỉ IPv4? Hoặc có lẽ tôi có thể thoát khỏi việc sử dụng TEST-NET-3 (203.0.113.0/24) hoặc một cái gì đó tương tự? Thực hành tốt nhất là gì?

@yoonix đã gửi một liên kết có thể có một giải pháp.

Liên kết cục bộ, còn được gọi là APIPA.

169.254.0.0/16 - Đây là khối "liên kết cục bộ". Như được mô tả trong RFC3927, nó được phân bổ để liên lạc giữa các máy chủ trên một liên kết duy nhất. Các máy chủ có được các địa chỉ này bằng cách cấu hình tự động, chẳng hạn như khi có thể tìm thấy máy chủ DHCP.

Nếu tôi là khách hàng của bạn, tôi chắc chắn muốn có tùy chọn tự cấu hình cái này và / hoặc sử dụng DHCP (nghĩa là tôi không biết, có thể là một tiêu chuẩn đã có từ lâu?), Nhưng trong trường hợp không có những cái đó, đây chính xác là những gì APIPA được sử dụng cho.

Chỉnh sửa - Cho rằng bây giờ bạn nói rằng các địa chỉ IP phải tĩnh đối với các máy chủ riêng lẻ trong giải pháp của bạn vì chúng sẽ tương ứng với các quy tắc tường lửa trong thiết bị cổng của bạn, tôi cho rằng sẽ mất một chút nỗ lực từ phía bạn để làm cho nó hoạt động với liên kết địa chỉ IPv4 cục bộ; nỗ lực bạn nói bạn sẽ không chi tiêu. Vì vậy, về cơ bản bạn phải làm cho cấu hình này. Bạn có thể gửi nó với một mặc định, một ứng dụng ít được sử dụng bởi khách hàng, nhưng bạn phải có một cơ chế để có thể thay đổi nó trong trường hợp có xung đột. Hoặc bởi khách hàng, hoặc bởi bạn như là một phần của việc thực hiện / UAT.

Làm cho nó cấu hình.

Tôi có nên mua địa chỉ IPv4?

Vâng. HÃY THỬ. Đầu tiên, bạn không mua chúng, bạn "cho thuê" chúng theo tư cách thành viên. Thứ hai, điều này đòi hỏi một AS và 2 đường lên. Thứ ba, điều này đòi hỏi một lý do và "chúng tôi không muốn giả sử cấu trúc mạng không phù hợp" là lý do dẫn đến tiếng cười (và từ chối), chứ không phải bạn nhận địa chỉ IP được phân bổ.

Hoặc có lẽ tôi có thể thoát khỏi việc sử dụng TEST-NET-3 (203.0.113.0/24)

Có khả năng. Cho đến ngày có người hỏi oyu về chi phí sửa chữa vì bỏ bê thô.

Thực hành tốt nhất là gì?

Làm cho nó cấu hình. Hoặc sử dụng IPV6 - ở đó bạn có thể thoát khỏi một số đặt phòng.

1. Từ Wikipedia: Assigned as "TEST-NET-3" in RFC 5737 for use solely in documentation and example source code and should not be used publicly.- Điều này cho tôi biết rằng bạn không nên sử dụng TEST-NET-3.

2. Một điều bạn dường như đang nhìn: Làm thế nào để bạn cho rằng bạn sẽ có thể giao tiếp với thiết bị hoặc thiết bị sẽ có thể giao tiếp với các thiết bị khác và ngược lại nếu bạn không định cấu hình địa chỉ IP của thiết bị CHO mạng khách hàng? Nếu bạn chỉ định một địa chỉ IP trong mạng không được sử dụng trong mạng máy khách (Bạn: 192.168.1.0/24 - Chúng: 10.0.0.0/8) thì làm thế nào để bạn cho rằng giao tiếp mạng sẽ hoạt động? Đây là lý do tại sao bạn nên định cấu hình thiết bị để sử dụng DHCP ra khỏi hộp và cho phép máy khách định cấu hình tĩnh sau đó.

Nếu bạn không thể sử dụng DHCP thì hãy sử dụng APIPA.

Về lý thuyết, bất kỳ phạm vi IP riêng nào cũng có thể được sử dụng bởi bất kỳ mạng riêng nào, vì vậy tôi nghi ngờ bạn sẽ tìm thấy một cách thực hành tốt nhất hoặc bất kỳ điều gì sẽ được áp dụng phổ biến nếu bạn mã hóa địa chỉ. Cách thực hành tốt nhất là làm cho nó có thể định cấu hình và cho phép mạng máy khách gán cho thiết bị một địa chỉ riêng (ví dụ như qua DHCP).

Nếu đó không phải là một lựa chọn, tôi thấy rằng hầu như không ai sử dụng nửa trên của nó 172.16.0.0/12, vì vậy đó là những gì tôi sử dụng. (Tôi nghĩ rằng tôi đang chạy 172.25.0.0/16, chính xác là vậy.) Tôi chưa có xung đột địa chỉ trên đó và tôi VPN vào rất nhiều mạng riêng.

Nếu bạn phải sử dụng một địa chỉ riêng tư IPv4, tôi nghĩ đó là điều tốt nhất bạn có thể làm, với 10.0.0.0/8khối được sử dụng rộng rãi và 192.168.0.0/16khối này là mặc định cho hầu hết mọi thứ, chỉ còn lại một 172.16.0.0/12. Tất nhiên, khối này thường được sử dụng cho VPN, để tránh xung đột địa chỉ, do việc sử dụng rộng rãi các khối mạng riêng khác, vì vậy hãy sử dụng các địa chỉ trên, vì (theo kinh nghiệm của tôi) chúng là mạng con ít được sử dụng nhất trong khối đó .

Chúng tôi đang thiết kế chính xác điều tương tự và đã quyết định sử dụng địa chỉ trang web IPv6 với tiền tố fc00: nnnn ngẫu nhiên.

Giả sử không có phân vùng nào trong số này cần kết nối trực tiếp bên ngoài thiết bị, bạn nên sử dụng mạng loopback cho việc này (127.0.0.0/8).

RFC 5735 / Phần 3

Lặp lại trên Wikipedia

"Bộ điều khiển chính" của bạn có thể chạy máy chủ DHCP / cung cấp DHCP thuê trên giao diện "nội bộ" không?

Tôi đã làm một cái gì đó trong quá khứ cho một trong những sản phẩm thương mại của công ty chúng tôi có thể được sử dụng. Thiết bị này có hai cổng ethernet, một trong số đó có nghĩa là kết nối "trực tiếp" từ PC. Vấn đề là tương tự; chúng tôi muốn tránh xung đột địa chỉ IP với mạng LAN nội bộ của khách hàng (có thể trên mạng IP riêng) cũng như trên toàn thế giới.

Logic trên thiết bị này là cấu hình động một máy chủ DHCP ("udhcpc", thông qua các tùy chọn dòng lệnh) trên cổng LAN "trực tiếp" (eth1) dựa trên cấu hình IP của chính nó trên cổng LAN "công khai" (eth0). Cho dù thiết bị có được địa chỉ IP của riêng mình thông qua DHCP hoặc thông qua cài đặt tĩnh, mô-đun áp dụng cài đặt cũng sẽ thay đổi cấu hình máy chủ DHCP để tránh xung đột.

Chẳng hạn, nếu thiết bị thu được địa chỉ 192.168.0.100/netmask 255.255.255.0 (trên eth0), nó sẽ cấu hình máy chủ DHCP của riêng mình (trên eth1) cho mạng có sẵn tiếp theo 192.168.1.0/255.255.255.0.

Nó sẽ chọn từ một trong các mạng này (theo thứ tự ưu tiên): 192.168.0.0/24 ... 192.168.254.0/24 172.16.0.0/16 ... 172.31.0.0/16 10.0.0.0/8

Hi vọng điêu nay co ich.