RFC 1918操作考虑
时间:2023-02-16 00:03:02 | 来源:营销百科
时间:2023-02-16 00:03:02 来源:营销百科
RFC 1918操作考虑:一种可能的策略是先设计网络中的私有部分,给所有内部链接分配私有地址空间。然后在需要的位置安排公开子网,设计外部连接。
这种设计不必是永久固定的。如果以后一组主机(一台或多台)要求改变它们的地位(从私有到公开,或是相反),通过转换涉及到的主机的地址,在必要的时候改变其物理连接即可完成。如果需要,在某些事先可以预见的位置,建议为公开子网和私有子网配置不同的物理介质,从而方便这样的改变。为了避免主要的网络破坏,建议将主机按照相似的物理连接要求分组,放置在不同的子网内。
如果能设计一个合适的子网方案,并且该方案能够得到相关设备的支持,建议使用24-比特块私有地址空间(A类网络),采用便于扩展的制作寻址方案。如果使用子网是个问题,那么可以采用16-比特(C类网络)或20-比特(B类网络)地址块。
有人可能被怂恿为同一物理介质同时分配公开的和私有的地址。如果这是可能的话,这种设计存在着不可知的危险。(注意,这种危险和使用私有地址空间无关,而是由于在一个普通数字链路子网上多个IP子网的存在引起的)。我们建议在处理该领域时要特别注意。
强烈建议连接企业到外部网络的路由器在链路的两端安装合适的包和路由过滤,以便防止包和路由信息的泄露。一个企业应该从入站的路由信息中过滤掉任何私有网络,从而保护它自己不陷入路由歧义的境遇,这种境遇在如果到私有网络地址空间的路由指向了企业外部时会发生。
有这样的可能,两个站点,协作使用私有地址空间,通过一个公开网络彼此通信。为了这样做,他们必须使用一些方法,在公开网络边界上进行封装,从而保持他们的私有地址的私有性。
如果两个(或更多个)组织遵循本文规定的地址分配方案,以后希望建立彼此之间的IP连接时,这时就会有地址唯一性被打破的危险。为减小这样的冒险,强烈建议使用私有IP地址的组织在为其内部分配子块时,随机地从保留的私有地址池中选取IP地址。
如果一个企业使用私有地址空间,或混合使用私有地址和公开地址空间,企业外部的DNS客户端不应该看到企业使用的私有地址,因为这些地址将会是多义的。一个确保此实现的方法是为每个既包含使用公开地址的主机,又包含使用私有地址的主机的DNS域运行两个权威服务器。一个服务器对公开地址空间可见,它仅包含企业地址中公开地址能访问到的子网。另一个服务器仅能被私有网络访问,它包含所有的数据集合,包括私有地址和能访问私有网络的公开地址。为了保证一致性,每个服务器应该用相同的数据来配置,配置中,公开可见域仅包含一个过滤后的版本。提供这些功能在一定程度上有附加的复杂性
在线咨询
