Dlaczego sieci domowe mają prefiks 192.168?

47

Dlaczego sieci domowe mają prefiks 192.168?

Dlaczego te liczby?

Z jakichś historycznych powodów?

alex
źródło

Odpowiedzi:

77

Krótka odpowiedź

Internetowa specyfikacja o nazwie RFC 1918 zarezerwowała kilka bloków adresów dla „prywatnych” sieci, z których powinieneś korzystać, gdy nie masz wystarczającej liczby publicznych, routowalnych adresów IP do obejścia. 192.168 / 16 był jednym z tych bloków.

Długa odpowiedź (a potem trochę)

W dawnych dobrych czasach wszystko w Internecie miało własny publiczny, routowalny, „prawdziwy” adres IP, który prawie nigdy nie musiał się zmieniać. To było niesamowite, bo kiedy tylko chciał uruchomić jakieś fajne nową aplikację, która wdrożony jakiś nowy protokół, lub założyć swój własny serwer w domu, który był nieosiągalnego wszędzie, można po prostu uruchomić oprogramowanie i nie martwić się o translacji adresów sieciowych (NAT), port forwarding / mapowanie lub ALG lub DMZ lub porty wyzwalające lub spinkowanie włosów. Inżynierowie piszący oprogramowanie również nie musieli stać się ekspertami w kwestiach związanych z translacją NAT, aby zrealizować swój fajny pomysł.

Ale Urząd ds. Przydzielonych numerów internetowych zaczął się obawiać, że zbyt szybko zabraknie adresów, więc utrudniają dostawcom usług internetowych uzyskanie adresów. Dlatego dostawcy usług internetowych utrudniali klientom uzyskiwanie adresów. Do czasu, gdy domowe szerokopasmowe i domowe sieci naprawdę zaczęły się nadawać, powszechną praktyką stało się przydzielanie każdemu domowi tylko jednego publicznego adresu IP (a nawet to wkrótce zniknie). Więc jeśli chciałbyś uzyskać więcej niż jedną maszynę w twoim domu do Internetu, musiałeś uruchomić bramę NAT, która podróbka, tak jak wszystkie maszyny w sieci domowej, w rzeczywistości współużytkują ten sam pojedynczy publiczny adres IP. Ale wszystkie inne maszyny w sieci domowej potrzebowały własnych prywatnych adresów IP, aby móc rozmawiać z bramą NAT i wcześniejszą grupą zadaniową ds. Inżynierii internetowejspecyfikacja o nazwie RFC 1918 zdefiniowała kilka bloków adresów IP, które mogą być używane w takich sieciach prywatnych:

10/8 (10.0.0.0 do 10.255.255.255)
172.16 / 12 (172. 16 .0.0 do 172. 31 .255.255) 192.168
/ 16 (192.168.0.0 do 192.168.255.255)

NAT w rzeczywistości łamie bardzo ważną zasadę projektowania Internetu o nazwie End to End . Mamy nadzieję, że po przejściu na IPv6 będziemy mogli wrócić do nieskrępowanej łączności end-to-end. IPv6 ma tak dużą przestrzeń adresową, że nigdy nie powinniśmy się kończyć, więc nigdy nie powinniśmy potrzebować NAT na IPv6. Mam nadzieję, że ponownie otworzy drzwi do wielu innowacyjnych protokołów, które są nieco trudne do napisania, gdy wszystkie maszyny, które chcą korzystać z protokołów, stoją za dowolną liczbą różnie zaimplementowanych translatorów NAT, które potrafią zepsuć wiele elementów na różne, często subtelne sposoby.

Spiff
źródło
8
Świetna odpowiedź. Warto również zauważyć, że NATing jest często pomocnym środkiem bezpieczeństwa (z pewnością dla użytkowników domowych, którzy w przeciwnym razie mogą być podatni na ataki przychodzące). Chociaż istnieje wiele adresów IPv6 do obejścia, jest całkiem możliwe, że pójdą szybciej niż powinny, jeśli ludzie będą mogli zarezerwować / kupić duże bloki. Powodem, dla którego IPv4 zaczęło się tak szybko kończyć, była kombinacja sposobu zaimplementowania klas i kilku dużych organizacji kupujących wiele miejsc klasy A, które wciąż są dla nich zarejestrowane, ale prawie wcale nie są używane. NAT i CIDR razem spowolniły problem.
AdamV
7
@AdamV NAT sam w sobie nie jest pomocnym środkiem bezpieczeństwa. Efekt uboczny NAT polegający na domyślnym blokowaniu niechcianych połączeń przychodzących może być postrzegany jako środek bezpieczeństwa, ale lepiej byłoby, gdybyśmy po prostu użyli do tego zapór ogniowych, nie wprowadzając przy tym przerwania w stylu NAT. Ponadto, kiedy kiedykolwiek kupiono klasę A (z wyjątkiem tych, które tylko przypadkowo zmieniły ręce w przypadku fuzji i przejęć przedsiębiorstw)?
Spiff
Na przykład MIT posiada przestrzeń IP / 8 (stara klasa A). Podobnie jest z DoD i wieloma innymi agencjami rządowymi.
MDMarra
5
„IPv6 ma tak dużą przestrzeń adresową, że nigdy nie powinniśmy być w stanie zabraknąć”, a potem nagle musisz skonfigurować sieć dla Marsa i jedną dla Jowisza… przypomina mi to trochę „nie, 640kb. WIĘCEJ RAM, niż kiedykolwiek było potrzebne „:)
akira
2
@Spiff: a niektóre sieci w innych galaktykach i nagle nagle chcesz mieć 1024-bitowe adresy IP :) ten komentarz nie był tak naprawdę poważny, btw
akira
19

Jest to prywatny blok adresów IP, które nie mogą być kierowane do publicznego Internetu i są zarezerwowane do użytku wewnętrznego w celu translacji NAT na zewnątrz. Dokumentem, który to definiuje, jest RFC 1918 , który jest egzekwowany przez IANA .

Bloki prywatnych adresów IPv4 to:

 10.0.0.0 /8     (any address beginning with 10.x.x.x)
 192.168.0.0 /16 (any address beginning with 192.168.x.x)
 172.16.0.0 /12  (any address beginning with 172.16.x.x through 172.31.x.x)
MDMarra
źródło
4

krótka odpowiedź brzmi, naprawdę nie wiemy.

oczywiście posiadanie specjalnego zakresu adresów dostępnych dla sieci lokalnych jest użytecznym pomysłem.

i rfc 1918 mogły je sprecyzować, ale nie wyjaśniły, dlaczego przypisano te konkretne zakresy adresów, a nie inne. (tj. 192.168.xy z natury nie różni się od 193.169.xy, z tym wyjątkiem, że zgodnie z konwencją jest używany jako „prywatny”. równie łatwo mógłby to być dowolny zakres adresów).

0.xyz lub 255.xyz mogły być bardziej oczywistymi wyborami, ale mogły nie być dostępne. więc zostawiamy losową grupę bezsensownych liczb.

shloime
źródło
2
Wydaje mi się, że to jedyna odpowiedź, która odpowiada nawet na pytanie „Dlaczego te liczby?”
joshfindit
3

Każdy komputer w sieci ma adres umożliwiający identyfikację. W sieci ktoś przypisuje adres każdemu komputerowi, upewniając się, że nie ma duplikatów. Internety to połączone sieci. Kiedy dwie sieci chcą się połączyć, adresy identyfikacyjne muszą być teraz unikalne w obu sieciach. Jeśli masz sieć, Internet lub dowolną ich kolekcję, możesz użyć dowolnego schematu do przypisywania adresów. Ale jeśli chcesz połączyć je z Internetem, będziesz musiał używać adresów tylko dla swoich komputerów, które nie są używane przez inne w pozostałej części Internetu. Istnieją sposoby uzyskania adresu w tym celu.

Powodem istnienia 192.168 jest to, że nie musisz prosić kogoś o adres. Możesz wybrać te, które zaczynają się od 192.168 i nie będzie konfliktu z żadnym innym, ponieważ adresy te mogą być używane tylko w twojej sieci (sieciach) i nie są używane przez osoby spoza sieci do odniesienia się do twoich maszyn. Mogą również używać adresów 192.168 dla maszyny w sieci, której nie będzie można zobaczyć, więc nie będą powodować konfliktów z Twoimi adresami 192.168.

To przemawia na pytanie, skąd pochodzi 192.168, ale nie na tym, dlaczego są one używane do komputerów domowych podłączonych do Internetu. Brakowało adresów do przekazania komputerom w Internecie. Zamiast przypisywać adres każdemu komputerowi na stałe, tymczasowy adres został przydzielony przez dostawcę usług internetowych, gdy modem był podłączony, i użyli tego numeru dla kogoś innego, gdy użytkownik się rozłączył. W ten sposób dziesiątki klientów mogą udostępniać kilka numerów.

Kiedy domy zaczynają mieć wiele komputerów, tak że stały się one własnymi sieciami, a raczej tylko komputerami w sieci ISP, w sieciach domowych zastosowano schemat 192.168, a ISP, sprzęt i oprogramowanie obsłużyły całą magię, aby przekonwertować twój wewnętrzny, niedostępny internet 192.168 w jeden, który jest współużytkowany przez wszystkie komputery w sieci domowej. Wszystkie wyglądają jak jeden komputer do zewnętrznych sieci.

CW Holeman II
źródło
3

Jak wspomniano 198.168.0.0/16 to prywatny zakres adresów. Ten zakres jest zwykle używany w małych sieciach, dlatego stał się domyślny dla domowych routerów. Jak omówiono poniżej, stanowi to środek bezpieczeństwa.

169.254.0.0/16 został zarezerwowany dla samodzielnie skonfigurowanego adresu. Są one używane przez zerooconf i bonjour do skonfigurowania adresu, gdy adres nie jest w inny sposób dostępny. System korzystający z tych adresów może nadal mieć dostęp do Internetu, jeśli wykryje serwer proxy w tym zakresie adresów.

Chociaż kompleksowość jest dobrą zasadą projektowania, może być złym zabezpieczeniem. W dawnych czasach administratorzy systemu działali w sieci zaufania, a wirusy, robaki i tym podobne nie były zainteresowane. Czasy się zmieniły.

W praktyce większość sieci składa się z dużej liczby maszyn, które nigdy nie powinny być bezpośrednio dostępne z Internetu, a kilka z nich musi być. Umieszczając maszyny, które nie muszą być adresowalne z Internetu, na prywatny adres sieciowy, są one automatycznie zabezpieczane z Internetu. Wiele organizacji przeniosło większość maszyn z adresów publicznych na prywatne, nawet jeśli mają dostępne adresy publiczne.

Maszyny z adresami na adres prywatny muszą uzyskać pomoc w dostępie do Internetu. Domowe routery zapewniają translację adresów sieciowych (NAT) w celu mapowania urządzenia na prawidłowy adres internetowy. Mogą zapewniać zaporę ogniową, aby ograniczyć dostęp do portów w Internecie, a także mogą pozwolić komputerowi na wyznaczenie serwera DMZ.

Większe organizacje będą miały serwery pocztowe i serwery proxy w DMZ (strefie zdemilitaryzowanej), która ma ograniczony dostęp do sieci organizacji. Te komputery mogą mieć prawidłowy adres internetowy lub mogą korzystać z NAT w celu uzyskania dostępu do sieci. NAT może być również wykorzystywany do umożliwienia komputerom z prywatnych adresów dostępu do niektórych lub wszystkich usług w Internecie. W każdym razie najprawdopodobniej użyją jednej lub kilku zapór ogniowych do oddzielenia Internetu, DMX i sieci wewnętrznej.

BillThor
źródło