Điều gì làm cho một địa chỉ IP riêng không thể định tuyến?

21

Tôi hiểu rằng các địa chỉ riêng như 10.0.0.0/8, 172.16.0.0/12và 192.168.0.0/16không thể định tuyến. Tuy nhiên, chính xác những gì đang ngăn chặn các địa chỉ này là có thể định tuyến? Các ISP có triển khai các ACL ngăn các mạng này định tuyến hay là một cái gì đó cao hơn?

Ngoài ra, có phải IANA đã tạo ra thiết kế này?

networking routing ipv4

— QuantumRads
nguồn

Có một câu hỏi ngụ ý "Có phải ĐẢM BẢO họ sẽ không được định tuyến công khai không, và có ai vẫn định tuyến hành động công khai có lỗi không?"?

— rackandboneman

3

Đối với câu hỏi cuối cùng của bạn: IETF đã định nghĩa chúng cho IANA được loại trừ khỏi không gian địa chỉ công cộng. RFC1918 cho IPv4 và RFC4193 cho IPv6

— Lenniey

3

Tất nhiên chúng có thể định tuyến. Bộ định tuyến nhận một tin nhắn từ địa chỉ bên ngoài công cộng của bạn và "định tuyến" nó đến một địa chỉ riêng tư nội bộ. Đề nghị bạn tìm hiểu những điều cơ bản về Dịch thuật Địa chỉ Mạng.

— Lakey

2

Lakey, họ không thể định tuyến trên web công cộng. Do đó, tại sao Nat được yêu cầu và được sử dụng để bảo tồn địa chỉ IP .. Tôi thuộc lớp Cisco và giáo sư của tôi không thể trả lời câu hỏi này vì vậy đó là lý do tại sao tôi đăng bài ở đây.

— QuantumRads

1

Ngoài ra, tôi nên làm rõ rằng các địa chỉ riêng có thể định tuyến trong mạng riêng nhưng không phải là mạng công cộng.

— QuantumRads

39

Địa chỉ IP riêng có thể định tuyến, mặc dù chúng không được định tuyến công khai . Về cơ bản, một bộ định tuyến sẽ định tuyến một địa chỉ riêng đến mạng LAN riêng / nội bộ, thay vì tới internet.

Để mở rộng câu trả lời của tôi: một bộ định tuyến có thể định tuyến một địa chỉ riêng đến phía công cộng, thông qua cổng mặc định của nó. Tuy nhiên, gói tin sẽ bị "mất" trong quá trình vận chuyển do các bộ định tuyến khác làm rơi nó hoặc do gói của gói đạt 0.

Ví dụ, hãy xem cái này (bị che khuất một phần) traceroute -I -n 192.168.200.1:

[root@myhost ~]# traceroute -I -n 192.168.200.1
traceroute to 192.168.200.1 (192.168.200.1), 30 hops max, 60 byte packets
 1  x.x.x.x  0.851 ms  0.841 ms  0.818 ms
 2  6x.xx.xx.xx  0.791 ms  0.791 ms  0.849 ms
 3  15x.xx.xx.xx  1.350 ms  1.347 ms  1.373 ms
 4  15x.x.xx.xx  1.446 ms  1.435 ms  1.428 ms
 5  151.6.68.20  2.272 ms  2.266 ms  2.251 ms
 6  151.6.0.91  8.818 ms  8.256 ms  8.326 ms
 7  * * *
 8  * * *
 9  * * *
10  * * *
...
...
29  * * *
30  * * *

Như bạn có thể thấy, gói được chuyển đến internet công cộng thông qua cổng mặc định của máy. Tuy nhiên, nó bị rơi trong quá trình vận chuyển và không bao giờ đến đích thích hợp.

Rốt cuộc, các IP / lớp riêng là (theo định nghĩa) chồng chéo giữa khách hàng, vậy trong số hàng ngàn mạng 192.168.200.x / 24 nên được định tuyến gói này?

Một lưu ý phụ thú vị: các nhà cung cấp internet thường sử dụng địa chỉ riêng để định tuyến nội bộ của họ. Ví dụ, nếu một lớp 192.168.200.x / 24 riêng được sử dụng để định tuyến nội bộ, bộ định tuyến / máy đầu tiên có IP 192.168.200.1 sẽ nhận nhưng bỏ gói, vì nó không được yêu cầu. ICMP là một ngoại lệ thú vị, vì bộ định tuyến / máy thường trả lời các PING không được yêu cầu. Điều này có nghĩa là đôi khi bạn có thể sử dụng quét địa chỉ riêng để ánh xạ mạng riêng ISP của bạn.

— shodanshok
nguồn

2

Về cơ bản, nếu địa chỉ IP bắt đầu bằng 10, 172.16-31 hoặc 192.168, thì bộ định tuyến phải được cấu hình để chỉ gửi chúng qua mạng LAN bên trong, chứ không phải ra ngoài internet (trong Doanh nghiệp, thường là qua bên ngoài cổng). Bạn có thể đọc các 'mạng riêng' này tại đây: en.wikipedia.org/wiki/Private_network

— Bruno

3

Thực sự không có gì lạ khi định tuyến các địa chỉ RFC1918 riêng tư (192.168, 172.16, 10) bất cứ khi nào bạn tạo một mạng riêng được định tuyến.

— dùng253751

3

@Bruno không nhất thiết. Một tuyến đường có thể định tuyến một địa chỉ riêng ở phía công cộng đến cổng mặc định của nó, nhưng các bộ định tuyến khác cuối cùng sẽ bỏ các gói hoặc định tuyến nó trong một vòng lặp (và gói sẽ bị loại bỏ khi TTL đạt 0).

— shodanshok

Các bộ định tuyến chính của ISP thậm chí có một cổng mặc định? No se như thê nao?

— kubanchot

Nói chung là có. Rốt cuộc, một ISP cần định tuyến các gói dành cho các ISP khác ...

— shodanshok

9

Thông thường, các địa chỉ IP riêng được lọc bởi ISP. Bộ định tuyến truy cập của bạn cũng nên được cấu hình để không làm cho chúng bị rò rỉ.

Địa chỉ IP riêng không thể được sử dụng trên Internet vì bất kỳ ai cũng có thể sử dụng chúng . Có thể có nhiều triệu thiết bị sử dụng riêng tư 192.168.1.1 - thiết bị nào là bộ định tuyến Internet có nghĩa vụ gửi gói?

Địa chỉ Zeroconf (169.254.0.0/16) thực sự không thể định tuyến. Chúng có thể được sử dụng ở bất cứ đâu theo kiểu đặc biệt nhưng chúng không thể truy cập Internet hoặc bất kỳ mạng con nào ngoại trừ mạng cục bộ của chúng. Chúng không thể được định tuyến bởi vì chúng chỉ có thể hợp lệ trong miền quảng bá nơi mỗi thiết bị có thể tự chọn một địa chỉ không sử dụng. Theo định nghĩa, zeroconf không có phiên bản quản lý như máy chủ DHCP.

— Zac67
nguồn

6

Tuy nhiên, chính xác những gì đang ngăn chặn các địa chỉ này là có thể định tuyến?

Các tiêu chuẩn được chấp nhận được thi hành bởi các thực thể giao tiếp. Chúng được thi hành trong phần mềm, phần cứng và cấu hình.

Các ISP có triển khai các ACL ngăn các mạng này định tuyến hay là một cái gì đó cao hơn?

Họ có thể nhưng những gì thực sự bị dừng lại chỉ là một bản dịch không hợp lệ không tuân theo các tiêu chuẩn.

Nếu bạn giống như hầu hết người dùng gia đình, bạn có một địa chỉ IP được gán cho bạn dưới dạng địa chỉ IP công cộng. Để lưu lượng truy cập từ tất cả các thiết bị được kết nối của bạn giao tiếp, bộ định tuyến thực hiện dịch các địa chỉ IP nội bộ đó bằng NAT (dịch địa chỉ mạng) hoặc PAT (dịch địa chỉ cổng).

Về cơ bản, bộ định tuyến của bạn ghi nhớ địa chỉ IP nội bộ nào trong mạng LAN (mạng cục bộ) đã bắt đầu một phiên tiếp cận bên ngoài mạng LAN của bạn, thông qua bộ định tuyến và ra ngoài giao diện WAN (mạng diện rộng). Khi dữ liệu thoát khỏi bộ định tuyến, nó chứa địa chỉ IP duy nhất được gán cho bạn làm IP nguồn. Khi vào, gói chứa cùng địa chỉ với IP đích. Các bộ định tuyến quyết định sau đó nó được chỉ dẫn từ đó.

Ở bên ngoài, bạn chỉ có một địa chỉ IP duy nhất thực sự là IP của bộ định tuyến. Bộ định tuyến có thể theo dõi các phiên đó và xác định lưu lượng truy cập thuộc về từng địa chỉ IP nội bộ trên mạng LAN của nó và điều hướng lưu lượng đó phù hợp. Đó là một quy trình quản lý phức tạp nhưng ý tưởng thực sự khá đơn giản một khi bạn hiểu rằng mọi thứ đang được dịch ở mỗi bộ định tuyến.

Hơn nữa, hầu hết các bộ định tuyến gia đình đều có cổng chuyển đổi, theo đó lưu lượng được phân phối qua địa chỉ MAC, không phải địa chỉ IP. Địa chỉ MAC nguồn trong gói vẫn giữ nguyên cho đến khi chạm vào bộ định tuyến. Bộ định tuyến loại bỏ địa chỉ MAC nguồn và chèn địa chỉ MAC của giao diện WAN của chính nó.

Ngoài ra, có phải IANA đã tạo ra thiết kế này?

Những tiêu chuẩn này ban đầu không được thiết kế bởi IANA. Ngày nay, mặc dù họ đi đầu trong việc thiết lập các tiêu chuẩn, nhưng chắc chắn họ không thực thi chúng thông qua bất kỳ phương tiện nào của pháp luật. Chúng là các tiêu chuẩn được thực thi thông qua sự đồng thuận. Tìm kiếm RFC 791.

Họ có "thẩm quyền" đến mức mọi người sẵn sàng tuân thủ họ. Hoàn toàn có thể thách thức các tiêu chuẩn này, nhưng cuối cùng bạn sẽ chạy vào một ISP ở đâu đó dọc theo con đường sẽ yêu cầu bạn tuân thủ hoặc họ sẽ giảm lưu lượng truy cập của bạn.

Tôi hy vọng điều đó sẽ giúp ..

— Mật mã
nguồn

2

Tôi nghĩ rằng mọi từ này đều đập vào đầu, như liên quan đến câu hỏi cụ thể của OP. Các câu trả lời khác thực sự chính xác nhưng tôi không chắc họ giải quyết sự nhầm lẫn cụ thể của OP một cách trực tiếp nhất có thể. Điểm mấu chốt là: quy ước và thực tế là hầu hết mọi người muốn tuân theo nó .

— Cuộc đua nhẹ nhàng với Monica

1

@LightnessRacesinOrbit: Điều đó về cơ bản được bao phủ bởi từ không trích dẫn đầu tiên trong câu trả lời này, điều này sẽ không thực sự cần thiết ... Từ này nhấn mạnh điểm bạn đưa ra. Mặc dù, tôi đồng ý rằng văn bản in nghiêng của bạn làm cho điểm tốt hơn.

— TẤT CẢ

2

@TOOGAM: Đúng là tôi đang truyền lại nó. Như tôi đã nói, tôi nghĩ câu trả lời này là hoàn hảo.

— Cuộc đua nhẹ nhàng với Monica

1

Như một điểm để làm rõ từ các câu trả lời khác, phạm vi địa chỉ IP riêng mà bạn đang sử dụng cục bộ không định tuyến đến Internet vì chúng có các mục rõ ràng riêng trong bảng định tuyến. Đây là bảng lộ trình của tôi từ máy tính để bàn của tôi ở nhà, ví dụ:

$ ip route
default via 192.168.1.1 dev enp5s0 proto dhcp src 192.168.1.104 metric 1024 
172.17.0.0/16 dev docker0 proto kernel scope link src 172.17.0.1 linkdown 
172.18.0.0/16 dev br-90a372f4b373 proto kernel scope link src 172.18.0.1 linkdown 
192.168.1.0/24 dev enp5s0 proto kernel scope link src 192.168.1.104 
192.168.1.1 dev enp5s0 proto dhcp scope link src 192.168.1.104 metric 1024

Lưu ý 172.17.0.0/16và 172.18.0.0/16. Các gói cho các mạng này sẽ đi thẳng đến cầu nối của tôi, mà không bao giờ rời khỏi máy tính của tôi, vì chúng có một mục cụ thể trong bảng tuyến đường của tôi. Các 192.168.1.0/24entry dứt khoát nói lượng truy cập vào mạng mà sẽ đi ra ngoài các enp5s0giao diện. Bảng tuyến đường của bộ định tuyến của tôi sẽ có một mục tương tự sẽ gửi tất cả lưu lượng truy cập cho mạng riêng đó ra khỏi giao diện mà máy tính để bàn của tôi được kết nối.

Đây chỉ là các gói cho các mạng không rõ ràng trong bảng sẽ đi đến tuyến mặc định. Bạn có thể đánh dấu rõ ràng một mạng là không thể truy cập bằng cách:

$ ip route add unreachable 10.0.0.0/8

Điều này thay đổi bảng lộ trình của tôi thành:

$ ip route
default via 192.168.1.1 dev enp5s0 proto dhcp src 192.168.1.104 metric 1024 
unreachable 10.0.0.0/8 
172.17.0.0/16 dev docker0 proto kernel scope link src 172.17.0.1 linkdown 
172.18.0.0/16 dev br-90a372f4b373 proto kernel scope link src 172.18.0.1 linkdown 
192.168.1.0/24 dev enp5s0 proto kernel scope link src 192.168.1.104 
192.168.1.1 dev enp5s0 proto dhcp scope link src 192.168.1.104 metric 1024

Bây giờ, máy tính để bàn của tôi thậm chí sẽ không thử hỏi cổng mặc định về các địa chỉ trong phạm vi đó. Tra cứu cho địa chỉ đó ngay lập tức trả về "Không có tuyến đường đến máy chủ lưu trữ."

$ traceroute 10.0.0.1
traceroute to 10.0.0.1 (10.0.0.1), 30 hops max, 60 byte packets
connect: No route to host

Các gói cho các mạng không thể truy cập không được đánh dấu rõ ràng là không thể truy cập được trong bảng tuyến sẽ tiếp tục được chuyển tiếp qua các tuyến mặc định, cho đến khi gói đến một bộ định tuyến biết rõ mạng không thể truy cập được, hoặc hết hạn.

— Karl Bielefeldt
nguồn