Yksityinen verkko – määritelmä ja selitys RFC 1918 yksityisistä IP-osoitteista
Yksityinen verkko Internet-terminologiassa tarkoittaa yleensä verkkoa, joka käyttää RFC 1918 -standardin mukaisia yksityisiä IP-osoiteavaruuksia . Tällaisia osoitteita annetaan laitteille, jotka kommunikoivat vain sisäisessä verkossa (intranetissa) eivätkä tarvitse suoraa näkyvyyttä koko Internetissä. Intranet on sisäinen, yksityinen tietokoneverkko, joka yleensä käyttää Internet-protokollaa.
RFC 1918 -varatut osoitealueet
RFC 1918 määrittelee kolme IPv4-osoitealuetta, jotka on varattu yksityiseen käyttöön. Näitä osoitteita ei pitäisi reitittää julkisessa Internetissä:
- 10.0.0.0/8 (10.0.0.0 – 10.255.255.255)
- 172.16.0.0/12 (172.16.0.0 – 172.31.255.255)
- 192.168.0.0/16 (192.168.0.0 – 192.168.255.255)
Lisäksi on olemassa muita varauksia, joita Internet-operaattorit ja standardit käsittelevät (esimerkiksi operaattoreille varattu 100.64.0.0/10 CGNAT-käyttöön RFC 6598:n mukaisesti). IPv6:lle on omat vastaavat yksityiset osoitteet, kuten Unique Local Addresses (ULA) alue fc00::/7.
Miksi yksityisiä osoitteita käytetään?
Yksityiset verkot ovat yleisiä kotien ja toimistojen lähiverkkosuunnittelussa, koska organisaatiot harvoin tarvitsevat julkisesti yksilöllisen IP-osoitteen jokaiselle tietokoneelle, tulostimelle tai muulle laitteelle. IPv4-osoitteiden luonnollinen niukkuus johti RFC 1918 -käytäntöihin; yksi syy IPv6:n kehitykseen oli tämä osoiteavaruuden laajentaminen.
Yhteydet Internetiin ja NAT
Yksityisosoitteita ei voi reitittää julkisessa Internetissä. Internetissä olevien reitittimien tulisi olla määritettyjä hylkäämään kaikki paketit, joiden osoitteena on RFC 1918 -alueelta peräisin oleva osoite — tämä tunnetaan osittain myös bogon-suodatuksena. Tämä eristys antaa jonkinlaista perussuojatasoa, koska ulkopuoliset eivät voi suoraan yhteydessä laitteeseen, jolla on yksityinen osoite.
Kun yksityisessä verkossa oleva laite tarvitsee yhteyden Internetiin, tarvitaan "välittävä yhdyskäytävä" (väliyhdyskäytävä), joka näyttää ulospäin julkisen osoitteen. Useimmat kotireitittimet ja yritysten reitit käyttävät tähän Network Address Translationia (NAT) tai erityistapauksissa välityspalvelinta (välimies) tai NATin variantteja kuten PAT (port address translation). Julkiset Internet-reitittimet eivät oletusarvoisesti välitä RFC 1918 -osoitteita, joten NAT on tavallinen tapa saada yksityisistä laitteista Internet-yhteys.
Yhteentörmäykset, VPN ja muut ongelmat
Yksi merkittävä haaste syntyy, kun kaksi verkkoa yhdistetään (esimerkiksi organisaatioiden fuusio, etätyöyhteydet tai VPN), ja molemmilla on käytössä samat yksityiset osoiteavaruudet. Tällöin voi ilmetä:
- IP-osoiteristiriitoja — samat osoitteet eri verkoissa estävät yksikäsitteisen reitityksen
- reititysongelmia ja liikenteen vääristymistä
- vaikeuksia VPN-yhteyksissä, kun verkon osoitesuunnittelu on päällekkäinen
Ratkaisuvaihtoehtoja ovat muun muassa:
- verkkojen uudelleenosoittaminen (renumbering) sopivilla yksityisillä tai julkisilla avaruuksilla
- NAT-ratkaisut VPN-yhteyksissä (esim. 1:1 NAT tai osoitenat paikallisessa reunalaitteessa)
- end-to-end -VPN:n käyttäminen reitityksen hallitsemiseksi yhdessä rajapinnoista
- käyttää vähemmän yleisiä yksityisosoitealueita (esim. 10.0.0.0/8) suurissa ympäristöissä välttääkseen 192.168.0.0/16:n yleisiä konflikteja
Turvallisuus ja rajoitukset
On tärkeää ymmärtää, että yksityinen osoiteavaruus ei tarjoa täydellistä turvallisuutta tai pääsynhallintaa. Se ainoastaan estää suoran reititettävyyden Internetissä. Sisäverkkojen suojaamiseksi tarvitaan edelleen palomuureja, segmentointia, asianmukaisia käyttöoikeuksia ja valvontaa. Lisäksi NAT ei korvaa kunnollista identiteetin- tai käyttöoikeuksien hallintaa, ja NAT voi vaikeuttaa joidenkin palveluiden toimivuutta ilman lisäkonfiguraatiota (esim. portin uudelleenohjaus, STUN/TURN/ICE ja jotkin reaaliaikaiset sovellukset).
IPv6 ja yksityiset osoitteet
IPv6 tarjoaa suuren osoitetilan, mikä vähentää tarvetta yksityisosoitteille samalla tavoin kuin IPv4:ssä. IPv6:lla on kuitenkin omat yksityisen käytön mallinsa: Unique Local Addresses (ULA) — fc00::/7 — ovat tarkoitettu yksityiseen käyttöön ja eivät ole globaalisti reititettäviä ilman erityisjärjestelyjä. Lisäksi IPv6 tukee link-local -osoitteita (fe80::/10), jotka toimivat vain samassa linkissä (esim. saman aliverkon laitteiden välillä).
Hyvät käytännöt ja suositukset
- Suunnittele IP-osoitusavaruus keskitetysti (IPAM-työkalut auttavat hallinnassa).
- Vältä yleisimmin käytettyjen aliverkkojen (esim. 192.168.0.0/24) käyttöä suurissa organisaatioissa, jotta verkkoyhdistämiset sujuvat helpommin.
- Dokumentoi NAT- ja porttiohjaukset huolellisesti.
- Suodata RFC 1918 -osoitteita julkisista yhteyksistä (bogon-suodatus) ja pidä reunapalomuurit ajan tasalla.
- Perehdy IPv6:n mahdollisuuksiin ja suunnittele siirtymistä pitkässä juoksussa, mutta muista ULA-osoitteiden ja link-local -käytön erot.
Yhteenvetona: yksityiset verkot ja RFC 1918 -alueet ovat keskeinen osa nykyistä verkkosuunnittelua, koska ne tarjoavat joustavan tavan hallita IP-osoitteita rajatuissa ympäristöissä. Niiden käyttö vaatii kuitenkin huolellista suunnittelua, erityisesti kun verkkoja yhdistetään tai integroidaan julkisten Internet-yhteyksien kanssa.
IANA:n (Internet Assigned Numbers Authority) yksityiset osoitteet.
Internet Assigned Numbers Authority (IANA) on taho, joka hallinnoi maailmanlaajuista IP-osoitteiden jakamista, DNS:n juurivyöhykkeiden hallintaa, mediatyyppejä ja muita Internet-protokollien määrityksiä. Sitä hallinnoi ICANN.
Luokkakohtaiseen osoitteistukseen perehtyneelle on tärkeää huomata, että vaikka RFC 1918:n alue 172.16.0.0-172.31.255.255 kuuluu perinteiseen B-luokan alueeseen, varattu osoitelohko ei ole /16 vaan /12. Sama koskee aluetta 192.168.0.0-192.168.255.255; tämä lohko ei ole /24 vaan /16. Joku voi kuitenkin edelleen käyttää (ja monet henkilöt tyypillisesti käyttävätkin) näiden CIDR-lohkojen osoitteita ja soveltaa aliverkon peiteosaa, joka sopii osoitteen perinteiseen luokkarajapintaan.
Nykyiset IANA:n yksityiset internet-osoitteet (joita kutsutaan myös reitittämättömiksi) ovat:
| Nimi | IP-osoitealue | osoitteiden määrä | luokkakohtainen kuvaus | suurin CIDR-lohko | määritelty |
| 24-bittinen lohko | 10.0.0.0 – 10.255.255.255 | 16,777,216 | yksi A-luokka, 256 vierekkäistä B-luokkaa | 10.0.0.0/8 | RFC 1597 (vanhentunut), RFC 1918. |
| 20-bittinen lohko | 172.16.0.0 – 172.31.255.255 | 1,048,576 | 16 vierekkäistä B-luokkaa | 172.16.0.0/12 | |
| 16-bittinen lohko | 192.168.0.0 – 192.168.255.255 | 65,536 | yksi B-luokka, 256 vierekkäistä C-luokkaa | 192.168.0.0/16 |
Vähentääkseen näiden IP-osoitteiden käänteisten DNS-hakujen aiheuttamaa kuormitusta juurinimipalvelimille anycast-verkko AS112 tarjoaa "mustien aukkojen" nimipalvelinjärjestelmän.
Aiheeseen liittyvät sivut
- Internet-protokollapaketti
- Viestintäprotokolla
Kysymyksiä ja vastauksia
Kysymys: Mikä on yksityinen verkko?
V: Yksityinen verkko on tietokoneverkko, joka käyttää yksityistä IP-osoiteavaruutta RFC 1918 -standardin mukaisesti. Sitä käytetään yleensä organisaation sisäisissä verkoissa tai kotien ja toimistojen lähiverkoissa (LAN).
K: Mikä oli yksityisten IP-osoitteiden luomisen syy?
V: Yksityiset IP-osoitteet luotiin, koska IPv4-standardin myötä julkisesti rekisteröidyistä IP-osoitteista oli pulaa. Yksi syy IPv6:n luomiseen oli tämän IPv4-standardin rajoituksen poistaminen.
K: Miten eristäminen antaa yksityisille verkoille turvallisuutta?
V: Eristäminen antaa yksityisille verkoille perusturvan, koska ulkopuoliset laitteet eivät yleensä voi muodostaa yhteyttä suoraan näitä yksityisiä osoitteita käyttäviin koneisiin. Internetissä olevat reitittimet olisi määritettävä hylkäämään kaikki näitä osoitteita sisältävät paketit tämän suojan varmistamiseksi.
Kysymys: Miten eri organisaatiot voivat käyttää samaa yksityistä osoitealuetta ilman, että syntyy osoiteristiriitoja?
V: Koska eri yksityisten verkkojen välille ei voi muodostaa yhteyksiä Internetin kautta, eri organisaatiot voivat käyttää samaa yksityistä osoitealuetta ilman osoiteristiriitojen vaaraa (viestintäonnettomuudet, jotka johtuvat siitä, että kolmas osapuoli käyttää samaa IP-osoitetta).
K: Minkälaista laitetta tarvitaan, jos yksityisessä verkossa olevan laitteen on kommunikoitava muiden verkkojen kanssa?
V: Jos yksityisessä verkossa olevan laitteen on kommunikoitava muiden verkkojen kanssa, tarvitaan "välittävä yhdyskäytävä" (väliyhdyskäytävä), jolla varmistetaan, että ulkopuolisille laitteille esitetään osoite, joka on julkisesti tavoitettavissa, jotta Internet-reitittimet sallivat kommunikoinnin. Tämä yhdyskäytävä on yleensä joko NAT-laite tai välityspalvelin.
Kysymys: Tarvitsevatko julkiset Internet-reitittimet lisämäärityksiä, jotta ne voivat välittää RFC 1918 -osoitteita sisältäviä paketteja?
V: Julkiset Internet-reitittimet eivät oletusarvoisesti välitä RFC 1918 -osoitteita sisältäviä paketteja, vaan ne vaativat lisämäärityksiä. Sisäiset reitittimet eivät kuitenkaan tarvitse lisämäärityksiä näiden pakettien välittämiseksi, mikä voi aiheuttaa ongelmia, kun yhdistetään kaksi erillistä verkkoa, jotka molemmat käyttävät samanlaisia IP-osoitejärjestelmiä.
