RFC 1918操作考慮

時間：2023-02-16 00:03:02 | 來源：營銷百科

時間：2023-02-16 00:03:02 來源：營銷百科

RFC 1918操作考慮：一種可能的策略是先設(shè)計網(wǎng)絡(luò)中的私有部分，給所有內(nèi)部鏈接分配私有地址空間。然后在需要的位置安排公開子網(wǎng)，設(shè)計外部連接。

這種設(shè)計不必是永久固定的。如果以后一組主機（一臺或多臺）要求改變它們的地位（從私有到公開，或是相反），通過轉(zhuǎn)換涉及到的主機的地址，在必要的時候改變其物理連接即可完成。如果需要，在某些事先可以預(yù)見的位置，建議為公開子網(wǎng)和私有子網(wǎng)配置不同的物理介質(zhì)，從而方便這樣的改變。為了避免主要的網(wǎng)絡(luò)破壞，建議將主機按照相似的物理連接要求分組，放置在不同的子網(wǎng)內(nèi)。

如果能設(shè)計一個合適的子網(wǎng)方案，并且該方案能夠得到相關(guān)設(shè)備的支持，建議使用24-比特塊私有地址空間（A類網(wǎng)絡(luò)），采用便于擴展的制作尋址方案。如果使用子網(wǎng)是個問題，那么可以采用16-比特（C類網(wǎng)絡(luò)）或20-比特（B類網(wǎng)絡(luò)）地址塊。

有人可能被慫恿為同一物理介質(zhì)同時分配公開的和私有的地址。如果這是可能的話，這種設(shè)計存在著不可知的危險。（注意，這種危險和使用私有地址空間無關(guān)，而是由于在一個普通數(shù)字鏈路子網(wǎng)上多個IP子網(wǎng)的存在引起的）。我們建議在處理該領(lǐng)域時要特別注意。

強烈建議連接企業(yè)到外部網(wǎng)絡(luò)的路由器在鏈路的兩端安裝合適的包和路由過濾，以便防止包和路由信息的泄露。一個企業(yè)應(yīng)該從入站的路由信息中過濾掉任何私有網(wǎng)絡(luò)，從而保護它自己不陷入路由歧義的境遇，這種境遇在如果到私有網(wǎng)絡(luò)地址空間的路由指向了企業(yè)外部時會發(fā)生。

有這樣的可能，兩個站點，協(xié)作使用私有地址空間，通過一個公開網(wǎng)絡(luò)彼此通信。為了這樣做，他們必須使用一些方法，在公開網(wǎng)絡(luò)邊界上進行封裝，從而保持他們的私有地址的私有性。

如果兩個（或更多個）組織遵循本文規(guī)定的地址分配方案，以后希望建立彼此之間的IP連接時，這時就會有地址唯一性被打破的危險。為減小這樣的冒險，強烈建議使用私有IP地址的組織在為其內(nèi)部分配子塊時，隨機地從保留的私有地址池中選取IP地址。

如果一個企業(yè)使用私有地址空間，或混合使用私有地址和公開地址空間，企業(yè)外部的DNS客戶端不應(yīng)該看到企業(yè)使用的私有地址，因為這些地址將會是多義的。一個確保此實現(xiàn)的方法是為每個既包含使用公開地址的主機，又包含使用私有地址的主機的DNS域運行兩個權(quán)威服務(wù)器。一個服務(wù)器對公開地址空間可見，它僅包含企業(yè)地址中公開地址能訪問到的子網(wǎng)。另一個服務(wù)器僅能被私有網(wǎng)絡(luò)訪問，它包含所有的數(shù)據(jù)集合，包括私有地址和能訪問私有網(wǎng)絡(luò)的公開地址。為了保證一致性，每個服務(wù)器應(yīng)該用相同的數(shù)據(jù)來配置，配置中，公開可見域僅包含一個過濾后的版本。提供這些功能在一定程度上有附加的復(fù)雜性