Для создания внутренних (частных или корпоративных) сетей, не имеющих выхода в Интернет, выделены специальные диапазоны адресов. Пользователи могут свободно выбирать такие адреса для своих сетей, не рискуя создать конфликт IP-адресов в Интернете. Диапазоны IP-адресов таких сетей указаны в таблице.

IP-адреса для внутренних сетей

Класс сетиС IP-адресаДо IP-адресаВсего адресовв диапазонеМаска сети
A10.0.0.010.255.255.25516777216255.0.0.0
B172.16.0.0172.31.255.25565536255.255.0.0
C

192.168.255.0

192.168.255.255

256;

255.255.255.0

Для создания небольшой сети очень удобен вариант сети класса С, например сеть с адресами компьютеров от 192.168.1.1 до 192.168.1.254 и маской 255.255.255.0. В такой сети может быть максимально до 254 компьютеров или других сетевых устройств. Для домашней сети этого более чем достаточно!

Итак, созданная частная сеть является изолированной от Интерне­та. Однако если выход в Интернет происходит через промежуточное устройство, например маршрутизатор, то в таком случае возможна замена (трансляция) адреса компьютера пользователя другим адресом. В связи с этим при описании устройства и его возможностей упомина­ется NAT (Network Address Translation). При трансляции адресов может использоваться один IP-адрес Интернета для всех компьютеров частной сети. Таким способом достигается «экономия» легальных адресов. Мно­гие провайдеры поступают именно так, выделяя для своих пользовате­лей адреса из диапазонов частных сетей. Только при выходе в Интернет их адреса заменяются легальными адресами.

Работая в сети интернет, вам наверняка часто приходится слышать такие понятия, как внешний и внутренний IP-адрес, статический и динамический IP, частный и публичный IP-адрес, серый и белый IP. Во всех этих терминах вполне реально запутаться. Сегодня я постараюсь помочь вам разобраться во всей этой сетевой терминологии.

С понятием “IP-адрес” мы познакомились в одной из недавних статей.

IP-адреса разделяются на два типа:

Внутренний (он же частный, локальный, “серый”)

  • Внешний (он же публичный, глобальный, “белый”)

    • Внутренний «серый» IP-адрес

    Внутренние (частные) IP-адреса не используются в сети интернет. К внутренним относятся адреса, используемые в локальных сетях. Доступ к внутреннему IP-адресу можно получить лишь в пределах локальной подсети.
    К частным адресам относятся IP-адреса, значения которых лежат в следующих диапазонах:

    • 10.0.0.0 – 10.255.255.255
    • 172.16.0.0 – 172.31.255.255
    • 192.168.0.0 – 192.168.255.255

    Это зарезервированные для локальных сетей IP-адреса.

    Внешний «белый» IP-адрес

    Внешние (публичные) IP-адреса используются в сети интернет. Публичным IP-адресом называется IP-адрес, под которым вас видят устройства в интернете, и он является уникальным во всей сети интернет. Доступ к устройству с публичным IP-адресом можно получить из любой точки глобальной сети.

    В связи с тем, что публичных адресов существует ограниченное количество, то прибегают к трансляции сетевых адресов из частных в публичные (по технологии NAT). Для этого используются маршрутизаторы, которые позволяют нескольким пользователям (с внутренними IP-адресами) одновременно иметь доступ в интернет через один публичный IP-адрес, предоставляемый провайдером. Как правило, для домашних пользователей предоставляется один публичный IP-адрес на всю локальную сеть.
    Таким образом, при выходе в сеть интернет внутренний адрес преобразуется по технологии NAT в публичный. В итоге пользователь с адресом локальной сети видит интернет, но интернет не видит компьютер пользователя (вместо него он видит адрес шлюза с NAT).

    Итак, с тем что такое внутренний (частный) и внешний (публичный) IP-адрес, кажется, разобрались. Но дело в том, что публичный адрес – не всегда постоянный. Он может меняться от подключения к подключению. Поэтому еще выделяют такие виды адресов, как статический и динамический.

    Статический IP (его еще называют постоянный, фиксированный) – это IP-адрес, который не меняется с каждым подключением, т.е. закреплен за вами твердо и навсегда.

    Динамический IP – это плавающий IP-адрес, который меняется с каждым подключением.

    Вы всегда можете подключить себе статический публичный IP-адрес. Практически все провайдеры предоставляют такую услугу. Как правило, данная услуга платная, но стоит недорого.

    Так для чего же нужен статический публичный IP-адрес?

    Имея статический публичный IP-адрес, вы сможете предоставить доступ на свой компьютер из любой точки глобальной сети. Любой сервер в сети интернет будет получать информацию именно от уникального адреса и за чужие нарушения доступ с вашего адреса никто не закроет. Также, имея статический публичный адрес, вы можете организовать Web-сервер или FTP-сервер; управлять домашним компьютером с работы и делать многое другое.

    Статический внешний (публичный) IP-адрес необходим в ситуациях, требующих либо доступа к вашему компьютеру извне, либо авторизации по вашему уникальному IP-адресу. Примеры таких ситуаций:

    • удалённый доступ к компьютеру;
    • удалённый доступ к камерам квартирного видеонаблюдения;
    • vpn-подключение (например, vpn-подключение из дома к офисной сети);
    • организация на домашнем компьютере сервера, доступного извне (Web-сервера или FTP-сервера);
    • использование клиент-банков для доступа к банковским платежным системам;
    • авторизация на некоторых сервисах (например, файловых хранилищах).

    Если вы заказали у своего провайдера услугу «Статический публичный IP-адрес», то помните, что необходимо самостоятельно производить защиту своего ПК от атак и угроз из сети интернет.

    Частный IP-адрес [1] [2] (англ. private IP address ), также называемый внутренним, внутрисетевым, локальным или «серым» — IP-адрес, принадлежащий к специальному диапазону, не используемому в сети Интернет. Такие адреса предназначены для применения в локальных сетях, распределение таких адресов никем не контролируется. В связи с дефицитом свободных IP-адресов, провайдеры всё чаще раздают своим абонентам именно внутрисетевые адреса, а не внешние, при этом один внешний IP выдаётся нескольким клиентам.

    Иногда частные адреса называют неанонсированными, внешние (так называемые «белые IP») — анонсированными.

    Содержание

    Частные диапазоны IP-адресов [ править | править код ]

    Следующие диапазоны определены IANA как адреса, выделенные локальным сетям:

    IPv4 [ править | править код ]

    • 10.0.0.0 — 10.255.255.255 (маска подсети для бесклассовой (CIDR) адресации: 255.0.0.0 или /8)
    • 100.64.0.0 — 100.127.255.255 (маска подсети 255.192.0.0 или /10) — Данная подсеть рекомендована согласно RFC 6598 для использования в качестве адресов для CGN (Carrier-Grade NAT).
    • 172.16.0.0 — 172.31.255.255 (маска подсети: 255.240.0.0 или /12)
    • 192.168.0.0 — 192.168.255.255 (маска подсети: 255.255.0.0 или /16)

    Также для петлевых интерфейсов (не используется для обмена между узлами сети) зарезервирован диапазон 127.0.0.0 — 127.255.255.255 (маска подсети: 255.0.0.0 или /8).

    IPv6 [ править | править код ]

    • fc00::/7 — 7-битный префикс адреса. [4]

    Понятия частных и внешних, статических и динамических адресов [ править | править код ]

    Существует тенденция путать понятия частного IP-адреса и динамического. Ошибочно полагать, что все адреса, выделяемые провайдером динамически — частные, а фиксированные адреса (закреплённые статически) — внешние. Под динамическим выделением адреса узлу сети понимается присвоение нового адреса для каждой сессии соединения (аренда адреса, отсутствие постоянно закрепленного за узлом адреса), таким образом присваиваться могут как частные (приватные), так и внешние (публичные) адреса.

    Как машины с частными адресами выходят в Интернет [ править | править код ]

    Пакеты, идущие с внутренних IP-адресов или на них, магистральные маршрутизаторы не пропускают. То есть, внутрисетевые машины, если не принимать никаких мер, изолированы от Интернета. Тем не менее, есть ряд технологий, которые позволяют выходить таким машинам в Интернет.

    Сервер-посредник [ править | править код ]

    Многие из старых интернет-служб (электронная почта, IRC, Usenet) специально спроектированы для машин, которые не имеют прямого выхода в Интернет. Для этого в самих протоколах предусмотрена эстафетная передача информации. Рассмотрим её на примере электронной почты.

    Корпоративный почтовый сервер имеет два IP-адреса: внутренний и внешний. Для отправки почты пользователь по протоколу SMTP связывается с сервером. Сервер от своего имени выходит в интернет и переправляет почту дальше по цепочке. На этот же сервер по протоколу SMTP поступает входящая корреспонденция. Чтобы проверить ящик, пользователи соединяются с сервером по протоколу POP3.

    Для Всемирной паутины была придумана технология «сервер-посредник» (или по-английски «прокси-сервер»). Машина с частным адресом обращается к прокси-серверу и посылает на него команды HTTP. Прокси-сервер связывается с веб-сервером от своего имени.

    Такая конструкция удовлетворила важнейшие нужды внутрисетевых пользователей. Однако минусом является сложная архитектура сервера-посредника: ведь он должен поддерживать множество разных протоколов. А по протоколам, которые посредник не поддерживает или которые не рассчитаны на эстафетную передачу (например, сетевые игры), выход в интернет невозможен. Одни программы (ICQ, Skype, P2P-часть протокола BitTorrent) проходят сквозь прокси-серверы, «заворачивая» свой протокол в HTTP-пакеты, другие (Subversion, связь с трекером в протоколе BitTorrent) — изначально реализуют свой протокол поверх HTTP. Но это всё полумеры. Следующая технология, NAT, позволила внутрисетевым машинам выходить в интернет по любому прикладному протоколу.

    Прокси-серверы работают на прикладном уровне и потому могут накладывать цензуру сайтов, кэшировать страницы для экономии трафика — поэтому прокси-серверы применяются в корпоративных сетях и поныне (даже если другие протоколы работают через NAT). Кроме того, серверы-посредники применяются для особых задач, на которые NAT не способен (например, для передачи файлов в мессенджерах, когда обе машины за NAT’ом).

    Трансляция сетевых адресов (NAT) [ править | править код ]

    Технология была задокументирована в 1994 году. Маршрутизатор, реализующий NAT (англ. Network Address Translation ), пропуская идущий из локальной сети пакет, заменяет адрес отправителя своим. Когда маршрутизатор получает ответ от сервера, он по таблице открытых соединений восстанавливает адресата и ретранслирует ему ответ.

    Через NAT внутрисетевой компьютер может налаживать связь с любым сервером Интернета по любому прикладному протоколу. Но у NAT есть и недостатки. С машиной с частным IP-адресом связаться можно только изнутри локальной сети. С одной стороны, это делает локальную сеть недоступной для многих атак извне. С другой стороны, в некоторых службах Интернета (одноранговых сетях, сетевых играх, передаче файлов в мессенджерах) это создаёт проблемы: если у одного из компьютеров IP-адрес частный, а у другого внешний, инициатором соединения будет клиент с частным IP; если частные у обоих — прямой обмен между ними затруднён. Впрочем, NAT-маршрутизатор может установить перенаправление портов: когда по определённому порту связываются с маршрутизатором, он передаёт пакеты одной из машин. Обычно порты перенаправляют вручную, настройкой маршрутизатора, но существуют и механизмы автоматического перенаправления портов: UPnP и STUN.

    Некоторые протоколы (например, FTP в активном режиме) требуют возможности установления соединения от сервера к клиенту. В этих случаях маршрутизатору приходится вмешиваться в протокол на прикладном уровне (технология «шлюз прикладного уровня»).

    Сетевой туннель [ править | править код ]

    Туннель — технология, когда пакеты сетевого уровня «заворачиваются» в пакеты более высоких уровней (например, транспортного). Это позволяет наладить виртуальную локальную сеть поверх сети совсем другого устройства. Существует много технологий туннелирования (PPPoE, VPN, Hamachi и другие), со своими областями применения. В частности, туннели могут:

    • Выходить в интернет только тогда, когда пользователь явно этого желает. Такие «непостоянные» соединения были актуальны в домосетях начала 2000-x годов, когда локальный трафик был дешёвый или бесплатный, внешний — дорог. Чтобы «внутренние» ресурсы не расходовали дорогой трафик, на клиентских машинах приходилось корректировать таблицу маршрутизации.
    • Обеспечивать «прямую» связь внутрисетевых машин друг с другом (например, для сетевых игр), когда прямой путь невозможен. Разумеется, такая «прямая» связь происходит через сервер-посредник.
    • Наладить «локальную» сеть для ПО, которое работает на широковещательных пакетах — например, для тех же игр.
    • Выходить через интернет в корпоративную локальную сеть.