Apa yang membuat alamat IP pribadi tidak dapat dirutekan?

21

Saya mengerti bahwa alamat pribadi seperti 10.0.0.0/8, 172.16.0.0/12dan 192.168.0.0/16tidak dapat dialihkan. Namun, apa sebenarnya yang menghentikan alamat ini agar tidak dapat dirutekan? Apakah ISP menerapkan ACL yang mencegah perutean jaringan ini atau apakah ini sesuatu yang lebih tinggi?

Juga, apakah IANA yang menciptakan desain ini?

networking routing ipv4 QuantumRads
sumber
Apakah ada pertanyaan tersirat dari "Apakah DIJAMIN mereka tidak akan dialihkan ke publik, dan adakah yang masih merutekan tindakan publik yang salah?"?
rackandboneman
3
Adapun pertanyaan terakhir Anda: IETF menentukan mereka agar IANA dikeluarkan dari ruang alamat publik. RFC1918 untuk IPv4 dan RFC4193 untuk IPv6
Lenniey
3
Tentu saja mereka dapat dirutekan. Router mengambil pesan dari alamat eksternal publik Anda dan "merutekannya" ke alamat pribadi internal. Rekomendasikan Anda mencari dasar-dasar Terjemahan Alamat Jaringan.
Lakey
2
Lakey, mereka tidak dapat dirutekan di web publik. Oleh karena itu mengapa Nat diperlukan dan digunakan untuk menghemat alamat IP .. Saya berada di kelas Cisco dan profesor saya tidak dapat menjawab pertanyaan ini jadi itu sebabnya saya mempostingnya di sini.
QuantumRads
1
Juga, saya harus mengklarifikasi bahwa alamat pribadi dapat dirutekan di jaringan pribadi tetapi tidak di jaringan publik.
QuantumRads

Jawaban:

39

Alamat IP pribadi dapat dirutekan, meskipun tidak dirutekan secara publik . Pada dasarnya, router akan merutekan alamat pribadi ke LAN pribadi / internal, bukan ke internet.

Untuk memperluas jawaban saya: router dapat merutekan alamat pribadi ke sisi publik, melalui gateway default-nya. Namun, paket tersebut akan "hilang" dalam perjalanan karena router lain menjatuhkannya, atau karena TTL paket mencapai 0.

Misalnya, perhatikan ini (sebagian dikaburkan) traceroute -I -n 192.168.200.1:

[root@myhost ~]# traceroute -I -n 192.168.200.1
traceroute to 192.168.200.1 (192.168.200.1), 30 hops max, 60 byte packets
 1  x.x.x.x  0.851 ms  0.841 ms  0.818 ms
 2  6x.xx.xx.xx  0.791 ms  0.791 ms  0.849 ms
 3  15x.xx.xx.xx  1.350 ms  1.347 ms  1.373 ms
 4  15x.x.xx.xx  1.446 ms  1.435 ms  1.428 ms
 5  151.6.68.20  2.272 ms  2.266 ms  2.251 ms
 6  151.6.0.91  8.818 ms  8.256 ms  8.326 ms
 7  * * *
 8  * * *
 9  * * *
10  * * *
...
...
29  * * *
30  * * *

Seperti yang Anda lihat, paket ini diteruskan ke internet publik melalui default gateway mesin. Namun, itu dijatuhkan selama transit dan tidak pernah mencapai tujuan yang tepat.

Setelah semua, IP / kelas pribadi (menurut definisi) tumpang tindih antara pelanggan, jadi di mana dari ribuan jaringan 192.168.200.x / 24 yang harus diarahkan paket ini?

Catatan samping yang menarik: penyedia internet sering menggunakan alamat pribadi untuk perutean internal mereka. Jika, misalnya, kelas 192.168.200.x / 24 pribadi digunakan untuk routing internal, router / mesin pertama dengan IP 192.168.200.1 akan menerima tetapi menjatuhkan paket, karena itu tidak diminta. ICMP adalah pengecualian yang menarik, karena router / mesin umumnya membalas PING yang tidak diminta. Ini berarti Anda kadang-kadang dapat menggunakan pemindaian alamat pribadi untuk memetakan jaringan pribadi ISP Anda.

shodanshok
sumber
2
Jadi pada dasarnya, jika alamat IP dimulai dengan 10, 172.16-31, atau 192.168, maka router harus dikonfigurasikan untuk hanya mengirimkannya melalui jaringan LAN internal, daripada keluar ke internet eksternal (dalam suatu Perusahaan, umumnya melalui eksternal pintu gerbang). Anda dapat membaca di 'jaringan pribadi' ini di sini: en.wikipedia.org/wiki/Private_network
Bruno
3
Sebenarnya tidak jarang merutekan alamat RFC1918 pribadi (192.168, 172.16, 10) setiap kali Anda membuat jaringan pribadi yang diarahkan.
user253751
3
@Bruno belum tentu. Rute dapat merutekan alamat pribadi di sisi publik ke gateway standarnya, tetapi router lain akhirnya akan menjatuhkan paket atau merutekannya dalam satu lingkaran (dan paket tersebut akan dibuang ketika TTL mencapai 0).
shodanshok
Apakah router utama ISP bahkan memiliki gateway default? Apa yang akan terjadi?
kubanczyk
Secara umum, ya. Lagi pula, ISP perlu merutekan paket yang ditujukan untuk ISP lain ...
shodanshok
9

Biasanya, alamat IP pribadi difilter oleh ISP. Router akses Anda juga harus dikonfigurasi agar tidak bocor.

Alamat IP pribadi tidak dapat digunakan di Internet karena siapa pun dapat menggunakannya . Mungkin ada banyak juta perangkat menggunakan 192.168.1.1 secara pribadi - yang mana yang merupakan router Internet yang seharusnya mengirim paket?

Alamat Zeroconf (169.254.0.0/16) sebenarnya tidak dapat dirutekan. Ini dapat digunakan di mana saja dengan cara ad-hoc tetapi mereka tidak dapat mengakses Internet atau subnet apa pun kecuali yang lokal mereka. Mereka tidak dapat dialihkan karena mereka hanya dapat valid di dalam domain broadcast di mana setiap perangkat dapat memilih alamat yang tidak digunakan dengan sendirinya. Menurut definisi, zeroconf tidak memiliki instance manajemen seperti server DHCP.

Zac67
sumber
6

Namun, apa sebenarnya yang menghentikan alamat ini agar tidak dapat dirutekan?

Standar yang diterima yang diberlakukan oleh entitas yang berkomunikasi. Ini diberlakukan dalam perangkat lunak, perangkat keras, dan konfigurasi.

Apakah ISP menerapkan ACL yang mencegah perutean jaringan ini atau apakah ini sesuatu yang lebih tinggi?

Mereka dapat tetapi apa yang sebenarnya dihentikan hanyalah terjemahan yang tidak valid yang tidak mengikuti standar.

Jika Anda seperti kebanyakan pengguna rumahan, Anda memiliki satu alamat IP yang ditetapkan untuk Anda sebagai alamat IP publik. Agar lalu lintas dari semua perangkat Anda yang terhubung dapat berkomunikasi, router melakukan terjemahan dari alamat IP internal tersebut menggunakan NAT (terjemahan alamat jaringan) atau PAT (terjemahan alamat port).

Pada dasarnya, router Anda mengingat alamat IP internal mana di LAN Anda (jaringan area lokal) memulai sesi menjangkau di luar LAN Anda, melalui router, dan keluar dari antarmuka WAN (jaringan area luas). Ketika data keluar dari router itu berisi alamat IP tunggal yang ditetapkan untuk Anda sebagai IP sumber. Ketika masuk, paket berisi alamat yang sama dengan IP tujuan. Router memutuskan di mana ia diarahkan dari sana.

Untuk bagian luar, Anda hanya memiliki satu alamat IP tunggal yang sebenarnya merupakan IP router. Router dapat melacak sesi-sesi tersebut dan menentukan lalu lintas mana yang dimiliki oleh masing-masing alamat IP internal pada LAN-nya dan mengarahkan lalu lintas yang sesuai. Ini adalah proses manajemen yang kompleks tetapi idenya sebenarnya cukup sederhana setelah Anda memahami bahwa semuanya sedang diterjemahkan pada setiap router.

Selain itu, sebagian besar router rumah memiliki port switching, di mana lalu lintas dikirim melalui alamat MAC, bukan alamat IP. Sumber alamat MAC dalam paket tetap sama sampai menyentuh router. Router strip yang sumber alamat MAC dan memasukkan alamat MAC dari antarmuka WAN itu sendiri.

Juga, apakah IANA yang menciptakan desain ini?

Standar-standar ini pada awalnya tidak dirancang oleh IANA. Saat ini, meskipun mereka memimpin dalam menetapkan standar, mereka tentu saja tidak menegakkannya melalui cara hukum apa pun. Mereka adalah standar yang ditegakkan melalui konsensus. Cari RFC 791.

Mereka memiliki "wewenang" sampai-sampai semua orang mau mematuhinya. Sangat mungkin untuk menentang standar-standar ini, tetapi Anda pada akhirnya akan mengalami ISP di suatu tempat di sepanjang jalan yang akan menuntut Anda mematuhi atau mereka akan menurunkan traffic Anda.

Saya harap itu membantu..

CipherBytes
sumber
2
Saya pikir setiap kata dari ini mengenai paku di kepala, berkaitan dengan pertanyaan spesifik OP. Jawaban lainnya secara faktual benar tetapi saya tidak yakin mereka menjawab kebingungan khusus OP secara langsung. Poin kuncinya adalah: konvensi dan fakta bahwa kebanyakan orang ingin mematuhinya .
Lightness Races dengan Monica
1
@LightnessRacesinOrbit: Pada dasarnya tercakup oleh kata pertama yang tidak dikutip dalam jawaban ini, yang tidak akan sepenuhnya diperlukan ... Kata tersebut menekankan pada poin yang Anda buat. Meskipun, saya setuju bahwa teks cetak miring Anda benar.
TOOGAM
2
@TOOGAM: Ya, saya baru saja memperbaruinya kembali. Seperti yang saya katakan, saya pikir jawaban ini sempurna.
Lightness Races dengan Monica
1

Sebagai titik klarifikasi dari jawaban lain, rentang alamat IP pribadi yang Anda gunakan secara lokal tidak merutekan ke Internet karena mereka memiliki entri eksplisit mereka sendiri di tabel routing. Inilah tabel rute saya dari desktop saya di rumah, misalnya:

$ ip route
default via 192.168.1.1 dev enp5s0 proto dhcp src 192.168.1.104 metric 1024 
172.17.0.0/16 dev docker0 proto kernel scope link src 172.17.0.1 linkdown 
172.18.0.0/16 dev br-90a372f4b373 proto kernel scope link src 172.18.0.1 linkdown 
192.168.1.0/24 dev enp5s0 proto kernel scope link src 192.168.1.104 
192.168.1.1 dev enp5s0 proto dhcp scope link src 192.168.1.104 metric 1024

Perhatikan 172.17.0.0/16dan 172.18.0.0/16. Paket ke jaringan ini akan langsung menuju jembatan buruh pelabuhan saya, tanpa pernah meninggalkan komputer saya, karena mereka memiliki entri khusus di tabel rute saya. The 192.168.1.0/24entri eksplisit mengatakan lalu lintas ke jaringan yang akan pergi keluar enp5s0antarmuka. Tabel rute router saya akan memiliki entri serupa yang akan mengirim semua lalu lintas untuk jaringan pribadi itu keluar dari antarmuka desktop saya terhubung.

Ini hanya paket untuk jaringan yang tidak secara eksplisit dalam tabel yang akan menuju ke rute default. Anda dapat secara eksplisit menandai jaringan sebagai tidak dapat dijangkau oleh:

$ ip route add unreachable 10.0.0.0/8

Ini mengubah tabel rute saya ke:

$ ip route
default via 192.168.1.1 dev enp5s0 proto dhcp src 192.168.1.104 metric 1024 
unreachable 10.0.0.0/8 
172.17.0.0/16 dev docker0 proto kernel scope link src 172.17.0.1 linkdown 
172.18.0.0/16 dev br-90a372f4b373 proto kernel scope link src 172.18.0.1 linkdown 
192.168.1.0/24 dev enp5s0 proto kernel scope link src 192.168.1.104 
192.168.1.1 dev enp5s0 proto dhcp scope link src 192.168.1.104 metric 1024

Sekarang, desktop saya bahkan tidak akan mencoba menanyakan gateway default tentang alamat dalam rentang itu. Mencari alamat itu segera mengembalikan "Tidak ada rute ke host."

$ traceroute 10.0.0.1
traceroute to 10.0.0.1 (10.0.0.1), 30 hops max, 60 byte packets
connect: No route to host

Paket untuk jaringan yang tidak terjangkau yang tidak secara eksplisit ditandai sebagai tidak dapat dijangkau dalam tabel rute hanya akan terus diteruskan melalui rute default, sampai paket tersebut mencapai router yang secara eksplisit mengetahui bahwa jaringan tidak dapat dijangkau, atau TTL kedaluwarsa.

Karl Bielefeldt
sumber