組織：中國互動(dòng)出版網(wǎng)（http://www.china-pub.com/）RFC 文檔中文翻譯計(jì)劃（http://www.china-pub.com/compters/emook/aboutemook

組織：中國互動(dòng)出版網(wǎng)（http://www.china-pub.com/）

RFC 文檔中文翻譯計(jì)劃（http://www.china-pub.com/compters/emook/aboutemook.htm） E-mail ：ouyang@china-pub.com

譯者：李蘇萍（szlisp szlisp@sina.com）

譯文發(fā)布時(shí)間：2001-4-9

版權(quán)：本中文翻譯文檔版權(quán)歸中國互動(dòng)出版網(wǎng)所有?？梢杂糜诜巧虡I(yè)用途自由轉(zhuǎn)載，但必須保留本文檔的翻譯及版權(quán)信息。

Network Working Group Y. Rekhter Request for Comments: 1918 Cisco Systems Obsoletes: 1627, 1597 B. Moskowitz BCP: 5 Chrysler Corp. Category: Best Current Practice D. Karrenberg RIPE NCC G. J. de Groot RIPE NCC E. Lear Silicon Graphics, Inc. February 1996 RFC1918 私有網(wǎng)絡(luò)地址分配

(RFC1918 Address Allocation for Private Internets)

本備忘錄狀態(tài)

This memo provides information for the Internet community. It does not specify an Internet standard of any kind. Distribution of this memo is unlimited.

目錄

1. 介紹 2

2. 動(dòng)力，目的 2

3. 私有地址空間 3

4. 使用私有地址空間的利弊 4

5. 操作考慮 4

6. 安全考慮 5

7．總結(jié) 5

8．感謝 5

參考 6

作者地址： 6

1. 介紹

在本文檔中，企業(yè)表示一個(gè)自治地操作一個(gè)使用TCP/IP協(xié)議網(wǎng)絡(luò)的實(shí)體，特別地，該實(shí)體要決定該網(wǎng)絡(luò)的尋址方案和地址分配。

該文檔描述了私有網(wǎng)絡(luò)的地址分配。該分配允許一個(gè)企業(yè)內(nèi)的所有主機(jī)之間以及不同企業(yè)內(nèi)的所有公開主機(jī)之間在網(wǎng)絡(luò)所有層次上的連接。

2. 動(dòng)力，目的

隨著TCP/IP技術(shù)在包括Internet 網(wǎng)本身以外的世界范圍內(nèi)的擴(kuò)散，越來越多沒有連接到Internet 網(wǎng)絡(luò)上的企業(yè)使用該技術(shù)。這些企業(yè)只是使用該技術(shù)的尋址能力用于企業(yè)內(nèi)部通信，而沒有打算與其他企業(yè)或是Internet 網(wǎng)絡(luò)直接相連。

Internet 網(wǎng)絡(luò)的發(fā)展出乎任何人的預(yù)料。持續(xù)的指數(shù)級(jí)增長不斷引起新的挑戰(zhàn)。其中一個(gè)挑戰(zhàn)是來自Internet 社區(qū)內(nèi)部的關(guān)注：全球唯一的地址空間將被耗盡。一個(gè)與此不同，且更為迫切的關(guān)注是： 路由負(fù)荷的數(shù)量將超過ISP （Internet Service Provider ）的能力。社區(qū)內(nèi)正在努力試圖找到一個(gè)關(guān)于這些問題的長期解決方案。同時(shí)，有必要再次探討地址分配過程極其對(duì)Internet 路由系統(tǒng)造成的影響。

為容納路由負(fù)荷的增長，一個(gè)Internet 服務(wù)提供商從地址注冊(cè)組織獲得一個(gè)地址塊，然后根據(jù)每個(gè)客戶的要求將塊內(nèi)的地址分配給客戶。這個(gè)過程造成的結(jié)果是：到許多客戶的路由將會(huì)被聚合起來, 對(duì)其他服務(wù)提供商呈現(xiàn)為一個(gè)單一的路由。為了讓路由聚合有效，Internet 服務(wù)提供商鼓勵(lì)加入其網(wǎng)絡(luò)的客戶使用提供商的地址塊，然后重新為其計(jì)算機(jī)設(shè)定地址。這樣的鼓勵(lì)也許在將來會(huì)成為一種要求。

考慮當(dāng)前Internet 的大小以及它的增長速度，通過從地址注冊(cè)組織獲得全球唯一的IP 地址，某個(gè)組織一旦連接到Internet 網(wǎng)絡(luò)上，該組織就具有Internet 范圍內(nèi)的 IP 連接，這樣的假設(shè)不再現(xiàn)實(shí)。相反，很可能是這樣：當(dāng)一個(gè)組織想要連接到Internet 上以獲得Internet 范圍內(nèi)的IP 連接，該組織需要對(duì)它所有的公開主機(jī)（需要Internet 范圍IP 連接的主機(jī)）進(jìn)行地址轉(zhuǎn)換（renumber ）, 而不管該組織原先使用的地址是否是全局唯一的。

典型地，一般所有使用TCP/IP協(xié)議的所有主機(jī)都被分配一個(gè)全局唯一地址。為了延長IPv4地址空間的生命周期，地址注冊(cè)請(qǐng)求審查將比任何以往時(shí)候都更為嚴(yán)格，使得申請(qǐng)更多地址空間難度增大。

在企業(yè)內(nèi)部使用IP 的主機(jī)可以分為三類：

第一類：企業(yè)內(nèi)的主機(jī)不需要訪問其他企業(yè)內(nèi)的主機(jī)或Internet; 這類主機(jī)可以使用企業(yè)內(nèi)沒有多義的但在企業(yè)之間可能會(huì)有多義的IP 地址。

第二類：主機(jī)需要訪問外部有限的服務(wù)（例如 E-mail, FTP,網(wǎng)絡(luò)新聞，遠(yuǎn)程登陸等），這些服務(wù)可由中介網(wǎng)關(guān)來處理（例如應(yīng)用層網(wǎng)關(guān)）。對(duì)于這類中的許多主機(jī)而言，不受限制的外部訪問（通過IP 連接）也許是不必要的，從安全角度考慮，也是不合適的。正如第一類主機(jī)那樣，該類主機(jī)可使用在企業(yè)內(nèi)部無多義而在企業(yè)之間可能有多義的IP 地址。

第三類： 主機(jī)需要企業(yè)外部網(wǎng)絡(luò)層的訪問（假設(shè)在通過IP 連接的方式下）；這最后一類主機(jī)需要全局無多義的IP 地址。

我們將第一、第二類中的主機(jī)稱作“私有的”，將第三類主機(jī)稱作“公開的”。

對(duì)于大多數(shù)內(nèi)部主機(jī)，許多應(yīng)用只要求企業(yè)內(nèi)部的連接，而不需要與企業(yè)外的連接。在比較大的企業(yè)，很容易識(shí)別出一大堆使用TCP/IP協(xié)議但是不需要與外部企業(yè)建立網(wǎng)絡(luò)層連接的主機(jī)。 下面是一些例子，這些例子中外部連接可能不需要。

------一個(gè)大型機(jī)場，通過TCP/IP網(wǎng)絡(luò)來顯示不同航班的到達(dá)和離開。很顯然，這些顯示不必被其他網(wǎng)絡(luò)直接訪問到。

------大型機(jī)構(gòu)，如銀行，連鎖店正轉(zhuǎn)向使用TCP/IP 來構(gòu)建其內(nèi)部通信。大量的本地工作站，如 收銀機(jī), 取錢機(jī)和在辦公室的設(shè)備很少需要與外部的連接。

------處于安全考慮，許多企業(yè)使用應(yīng)用層網(wǎng)關(guān)來將內(nèi)部網(wǎng)絡(luò)與外部網(wǎng)絡(luò)連通。內(nèi)部網(wǎng)絡(luò)通常不能直接訪問Internet ，這樣僅有一個(gè)或更多個(gè)網(wǎng)關(guān)在Internet 上是可見的。在這種情況下，內(nèi)部網(wǎng)絡(luò)可以使用非唯一的IP 地址。

------內(nèi)部網(wǎng)絡(luò)的路由器接口通常不必被外部企業(yè)直接訪問。

3. 私有地址空間

因特網(wǎng)域名分配組織IANA 組織（Internet Assigned Numbers Authority）保留了以下三個(gè)IP 地址塊用于私有網(wǎng)絡(luò)。

10.0.0.0 - 10.255.255.255 (10/8比特前綴)

172.16.0.0 - 172.31.255.255 (172.16/12比特前綴)

192.168.0.0 - 192.168.255.255 (192.168/16比特前綴)

我們把第一塊稱為“24-比特塊”，第二塊稱為“20-比特塊”，第三塊稱為“16-比特塊”注意（在前面的CIDR 記號(hào)中），第一塊地址就是一個(gè)A 類網(wǎng)絡(luò)號(hào)，第二塊地址是16個(gè)連續(xù)的B 類網(wǎng)絡(luò)號(hào)集合，第三塊地址是256個(gè)連續(xù)的C 類網(wǎng)絡(luò)號(hào)集合。

一個(gè)決定使用該文檔中定義的IP 地址空間的企業(yè)不需要與IANA 組織或Internet 地址注冊(cè)組織進(jìn)行協(xié)商。這樣，該地址空間可以被許多企業(yè)使用。私有地址空間中的地址僅在一個(gè)企業(yè)內(nèi)部或在一組選擇在該空間協(xié)同通信的企業(yè)內(nèi)部保證唯一，這樣他們可以在自己擁有的私有網(wǎng)絡(luò)內(nèi)部實(shí)現(xiàn)通信。

以前，任意一個(gè)需要使用全局唯一地址的企業(yè)必須向Internet 注冊(cè)機(jī)構(gòu)提出申請(qǐng)。上述定義的私有地址空間中的地址塊將不會(huì)被Internet 注冊(cè)機(jī)構(gòu)分配給一個(gè)申請(qǐng)用于外部連接的IP 地址的企業(yè)。

要使用私有地址，企業(yè)要決定在可預(yù)見的時(shí)期內(nèi)哪些主機(jī)不需要與外部建立網(wǎng)絡(luò)層連接，從而將這些主機(jī)歸類為“私有的”。這類主機(jī)將使用上述定義的私有地址。私有主機(jī)能與企業(yè)內(nèi)的所有其他主機(jī)通信，包括“公開的”和“私有的”的主機(jī)。但它們和企業(yè)外部的任何主機(jī)都沒有IP 連接。盡管如此，它們?nèi)匀荒芡ㄟ^中介網(wǎng)關(guān)（如應(yīng)用層網(wǎng)關(guān)）訪問外部服務(wù)。

其他的主機(jī)將被歸類為“公開的”，這些公開主機(jī)必須使用由Internet 注冊(cè)機(jī)構(gòu)分配的全局唯一的地址空間。公開主機(jī)可以與企業(yè)內(nèi)部的其他公開主機(jī)和私有主機(jī)通信，它們可以具有與企業(yè)外部公開主機(jī)之間的IP 連接。公開主機(jī)與其他企業(yè)內(nèi)部的私有主機(jī)之間沒有連接。 將私有主機(jī)轉(zhuǎn)為公開主機(jī)或是相反的操作涉及到IP 地址的轉(zhuǎn)換，DNS 中相關(guān)記錄的改變和在其他主機(jī)上用IP 地址來標(biāo)志該主機(jī)的配置文件的改變。

因?yàn)樗接械刂窙]有全局意義，因此在企業(yè)之間的鏈路上沒有必要傳播私有網(wǎng)絡(luò)的路由信息。源或目的地址為私有地址的包也不應(yīng)該在這樣的鏈路上被轉(zhuǎn)發(fā)。網(wǎng)絡(luò)中不使用私有地址的路由器，尤其是那些屬于ISP 的路由器，期望被設(shè)置為拒絕（過濾）關(guān)于私有地址的路由信息。如果一個(gè)路由器接收到這樣的信息，拒絕操作不應(yīng)該被視為路由協(xié)議錯(cuò)誤。

對(duì)于這樣的地址的非直接參考應(yīng)該被包含在企業(yè)內(nèi)部。關(guān)于這樣的參考，一個(gè)突出的例子是DNS 中的 Resource 記錄（Resource records ） 和其他有關(guān)內(nèi)部私有地址的信息。特別的（In particular ）,ISP 應(yīng)該采取措施防止這樣的泄露。

4. 使用私有地址空間的利弊

普遍地，對(duì)于Internet 來說，使用私有地址空間一個(gè)明顯的好處就是在不必要使用全局地址的地方使用私有地址，從而保存了全局唯一地址空間。

企業(yè)同樣從使用私有地址空間中獲益不菲： 具有比使用全局唯一地址池時(shí)有更多的地址空間支配權(quán)使得他們?cè)谶M(jìn)行網(wǎng)絡(luò)設(shè)計(jì)時(shí)有很大的靈活性。這使得操作和管理地址分配方案及擴(kuò)展路徑更為容易和便利。

由于各方面的原因，Internet 上已經(jīng)遇到這樣的情形：沒有連接到Internet 上的某個(gè)企業(yè)使用了不是IANA 分配的地址空間。在某些情況下，這個(gè)地址空間已經(jīng)被分配給了其他企業(yè)。如果這樣一個(gè)企業(yè)以后要連接到Inernet 上，這將產(chǎn)生很多嚴(yán)重的問題，因?yàn)镮P 路由在地址具有多義性的時(shí)候不能進(jìn)行正常的操作。盡管在理論上，ISP 應(yīng)該通過路由過濾防備此類錯(cuò)誤，

但實(shí)際上往往不會(huì)這樣做。使用私有地址空間為這樣的企業(yè)提供了一種安全的選擇，能夠在企業(yè)需要連接到Internet 的時(shí)候避免產(chǎn)生沖突。

使用私有地址空間的一個(gè)主要缺陷是，它也許實(shí)際上減少了企業(yè)訪問Internet 的靈活性。一旦一個(gè)企業(yè)決定使用私有地址，為了能讓部分主機(jī)具有與Internet 之間IP 連接的能力，他也要承擔(dān)部分主機(jī)地址轉(zhuǎn)換的任務(wù)。通常地址轉(zhuǎn)換的代價(jià)可以用需要從私有地址轉(zhuǎn)換為公開地址的主機(jī)數(shù)目來衡量。正如我們上面討論的那樣，即使一個(gè)網(wǎng)絡(luò)使用的是全局唯一地址，為了獲得Internet 范圍的IP 地址的連接能力，它也可能仍然需要進(jìn)行地址轉(zhuǎn)換。

使用私有地址空間的另一個(gè)缺陷是：將幾個(gè)私有網(wǎng)絡(luò)合并成一個(gè)私有網(wǎng)絡(luò)時(shí)，它也可能需要進(jìn)行地址轉(zhuǎn)換?；仡櫟诙糠至谐龅睦?，我們注意到公司有合并的趨勢(shì)。如果這些企業(yè)在合并前各自使用私有地址構(gòu)造自己的私有網(wǎng)絡(luò)，當(dāng)這些私有網(wǎng)絡(luò)合并成一個(gè)私有網(wǎng)絡(luò)時(shí)，合并后的私有網(wǎng)絡(luò)地址不一定唯一。結(jié)果是，具有不唯一地址的主機(jī)需要重新分配地址。

地址轉(zhuǎn)換的代價(jià)可以通過開發(fā)和便于轉(zhuǎn)換的開發(fā)工具來減輕（例如 DHCP）. 當(dāng)決定是否要采用私有地址時(shí)，我們建議咨詢計(jì)算機(jī)和軟件廠商是否能獲得這類相應(yīng)的工具。 一個(gè)單獨(dú)的IETF 組織正在致力于完成描述地址轉(zhuǎn)換過程和要求的所有文檔。

5. 操作考慮

一種可能的策略是先設(shè)計(jì)網(wǎng)絡(luò)中的私有部分，給所有內(nèi)部鏈接分配私有地址空間。然后在需要的位置安排公開子網(wǎng)，設(shè)計(jì)外部連接。

這種設(shè)計(jì)不必是永久固定的。如果以后一組主機(jī)（一臺(tái)或多臺(tái)）要求改變它們的地位（從私有到公開，或是相反），通過轉(zhuǎn)換涉及到的主機(jī)的地址，在必要的時(shí)候改變其物理連接即可完成。如果需要，在某些事先可以預(yù)見的位置，建議為公開子網(wǎng)和私有子網(wǎng)配置不同的物理介質(zhì)，從而方便這樣的改變。為了避免主要的網(wǎng)絡(luò)破壞，建議將主機(jī)按照相似的物理連接要求分組，放置在不同的子網(wǎng)內(nèi)。

如果能設(shè)計(jì)一個(gè)合適的子網(wǎng)方案，并且該方案能夠得到相關(guān)設(shè)備的支持，建議使用24-比特塊私有地址空間（A 類網(wǎng)絡(luò)），采用便于擴(kuò)展的制作尋址方案。如果使用子網(wǎng)是個(gè)問題，那么可以采用16-比特（C 類網(wǎng)絡(luò)）或20-比特（B 類網(wǎng)絡(luò)）地址塊。

有人可能被慫恿為同一物理介質(zhì)同時(shí)分配公開的和私有的地址。如果這是可能的話，這種設(shè)計(jì)存在著不可知的危險(xiǎn)。（注意，這種危險(xiǎn)和使用私有地址空間無關(guān)，而是由于在一個(gè)普通數(shù)字鏈路子網(wǎng)上多個(gè)IP 子網(wǎng)的存在引起的）。我們建議在處理該領(lǐng)域時(shí)要特別注意。

強(qiáng)烈建議連接企業(yè)到外部網(wǎng)絡(luò)的路由器在鏈路的兩端安裝合適的包和路由過濾，以便防止包和路由信息的泄露。一個(gè)企業(yè)應(yīng)該從入站的路由信息中過濾掉任何私有網(wǎng)絡(luò)，從而保護(hù)它自己不陷入路由歧義的境遇，這種境遇在如果到私有網(wǎng)絡(luò)地址空間的路由指向了企業(yè)外部時(shí)會(huì)發(fā)生。 有這樣的可能，兩個(gè)站點(diǎn)，協(xié)作使用私有地址空間，通過一個(gè)公開網(wǎng)絡(luò)彼此通信。為了這樣做，他們必須使用一些方法，在公開網(wǎng)絡(luò)邊界上進(jìn)行封裝，從而保持他們的私有地址的私有性。 如果兩個(gè)（或更多個(gè)）組織遵循本文規(guī)定的地址分配方案，以后希望建立彼此之間的IP 連接時(shí)，這時(shí)就會(huì)有地址唯一性被打破的危險(xiǎn)。為減小這樣的冒險(xiǎn)，強(qiáng)烈建議使用私有IP 地址的組織在為其內(nèi)部分配子塊時(shí)，隨機(jī)地從保留的私有地址池中選取IP 地址。

如果一個(gè)企業(yè)使用私有地址空間，或混合使用私有地址和公開地址空間，企業(yè)外部的DNS 客戶端不應(yīng)該看到企業(yè)使用的私有地址，因?yàn)檫@些地址將會(huì)是多義的。一個(gè)確保此實(shí)現(xiàn)的方法是為每個(gè)既包含使用公開地址的主機(jī)，又包含使用私有地址的主機(jī)的DNS 域運(yùn)行兩個(gè)權(quán)威服務(wù)器。一個(gè)服務(wù)器對(duì)公開地址空間可見，它僅包含企業(yè)地址中公開地址能訪問到的子網(wǎng)。另一個(gè)服務(wù)器僅能被私有網(wǎng)絡(luò)訪問，它包含所有的數(shù)據(jù)集合，包括私有地址和能訪問私有網(wǎng)絡(luò)的公開地址。為了保證一致性，每個(gè)服務(wù)器應(yīng)該用相同的數(shù)據(jù)來配置，配置中，公開可見域僅包含一個(gè)過濾后的版本。提供這些功能在一定程度上有附加的復(fù)雜性

6. 安全考慮

安全主題在本備忘錄中不討論。

7．總結(jié)

使用上述方案，許多大型企業(yè)只需要全局IP 地址空間中相對(duì)較少的地址塊。Internet 從保存全局唯一地址空間獲得好處，這將有效地延長IP 地址空間的生命周期。通過提供一個(gè)相對(duì)較大的私有地址空間，企業(yè)從增加的靈活性中得到好處。但是，企業(yè)網(wǎng)絡(luò)連接性隨時(shí)間發(fā)生變化時(shí)，使用私有地址要求一個(gè)組織為企業(yè)網(wǎng)絡(luò)中的部分或所有主機(jī)轉(zhuǎn)換地址。

8．感謝

感謝以下各位審議此文并給出建設(shè)性意見。

Tony Bates (MCI), Jordan Becker (ANS), Hans- Werner Braun (SDSC), Ross Callon (BayNetworks), John Curran (BBN Planet), Vince Fuller (BBN Planet), Tony Li (cisco Systems), Anne Lord (RIPE NCC), Milo Medin (NSI), Marten Terpstra (BayNetworks), Geza Turchanyi (RIPE NCC), Christophe Wolfhugel (Pasteur Institute), Andy Linton (connect.com.au), Brian Carpenter (CERN), Randy Bush (PSG), Erik Fair (Apple Computer), Dave Crocker (Brandenburg Consulting), Tom Kessler (SGI), Dave Piscitello (Core Competence), Matt Crawford (FNAL), Michael Patton (BBN), and Paul Vixie (Internet Software Consortium) 。

參考

[RFC1466] Gerich, E., "Guidelines for Management of IP Address Space", RFC 1466, Merit Network, Inc., May 1993.

[RFC1518] Rekhter, Y., and T. Li, "An Architecture for IP Address Allocation with CIDR", RFC 1518, September 1993.

[RFC1519] Fuller, V., Li, T., Yu, J., and K. Varadhan, "Classless Inter-Domain Routing (CIDR): an Address Assignment and Aggregation Strategy", RFC 1519, September 1993.

作者地址：

Yakov Rekhter

Cisco systems

170 West Tasman Drive

San Jose, CA, USA

Phone: 1 914 528 0090

Fax: 1 408 526-4952

EMail: yakov@cisco.com

Robert G Moskowitz

Chrysler Corporation

CIMS: 424-73-00

25999 Lawrence Ave

Center Line, MI 48015

Phone: 1 810 758 8212

Fax: 1 810 758 8173

EMail: rgm3@is.chrysler.com

Daniel Karrenberg

RIPE Network Coordination Centre Kruislaan 409

1098 SJ Amsterdam, the Netherlands Phone: 31 20 592 5065

Fax: 31 20 592 5090

EMail: Daniel.Karrenberg@ripe.net

Geert Jan de Groot

RIPE Network Coordination Centre Kruislaan 409

1098 SJ Amsterdam, the Netherlands Phone: 31 20 592 5065

Fax: 31 20 592 5090

EMail: GeertJan.deGroot@ripe.net

Eliot Lear

Mail Stop 15-730

Silicon Graphics, Inc.

2011 N. Shoreline Blvd.

Mountain View, CA 94043-1389

Phone: 1 415 960 1980

Fax: 1 415 961 9584

EMail: lear@sgi.com

Steve Gonczi

Network Engines, Inc.

25 Dan Road Canton, MA 02021-2817 Phone: 781-332-1165

EMail: steve.gonczi@networkengines.com

Ted Lemon

950 Charter Street

Redwood City, CA 94043

EMail: ted.lemon@nominum.com

Rob Stevens

Join Systems, Inc.

1032 Elwell Ct Ste 243 Palo Alto CA 94203

Phone: (650)-968-4470

EMail: robs@join.com

RFC1918 Address Allocation for Private Internets RFC1918 私有網(wǎng)絡(luò)地址分配

1

RFC 文檔中文翻譯計(jì)劃