이 문서는 RFC 1597 을 기반으로 하며, 네트워크의 프라이빗 호스트에 전역 고유 IP 주소를 할당하지 않아 IP 주소 공간을 보존하는 데 도움이 됩니다.네트워크의 모든 호스트와 인터넷의 모든 공용 호스트 간에 전체 네트워크 레이어 연결을 허용할 수 있습니다.
IP를 사용하는 호스트는 다음 세 가지 범주로 분류됩니다.
다른 엔터프라이즈의 호스트 또는 인터넷에 액세스할 필요가 없는 호스트.이러한 호스트는 네트워크 내에서 고유하지만 외부 네트워크 간에는 고유하지 않을 수 있는 IP 주소를 사용할 수 있습니다.
애플리케이션 레이어 게이트웨이에서 처리할 수 있는 제한된 외부 서비스 집합(예: 이메일, FTP, 네트워크, 원격 로그인)에 액세스해야 하는 호스트.이러한 호스트 중 다수는 개인 정보 또는 보안상의 이유로 무제한 외부 액세스(IP 연결을 통해 제공)가 필요하지 않거나 필요하지 않을 수 있습니다.첫 번째 범주의 호스트처럼 네트워크 내에서 고유하지만 외부 네트워크 간에는 없는 IP 주소를 사용할 수 있습니다.
IP 연결을 통해 제공되는 엔터프라이즈 외부에서 네트워크 계층 액세스가 필요한 호스트.이러한 호스트에만 전역적으로 고유한 IP 주소가 필요합니다.
많은 애플리케이션이 하나의 네트워크 내에서만 연결되어야 하며 대부분의 내부 호스트에 대해 외부 연결이 필요하지 않습니다.대규모 네트워크에서 호스트는 네트워크 외부의 네트워크 레이어 연결이 필요하지 않을 때 TCP/IP를 사용하는 경우가 많습니다.다음은 외부 연결이 필요하지 않은 몇 가지 예입니다.
도착 및 출발이 가능한 대형 공항은 TCP/IP를 통해 개별적으로 주소를 지정할 수 있습니다.이러한 디스플레이는 다른 네트워크에서 직접 액세스할 수 있어야 하는 경우가 거의 없습니다.
내부 커뮤니케이션에 TCP/IP를 사용하는 은행 및 소매 체인과 같은 대규모 조직사무 직책에 있는 현금 등록기, 화폐 기계, 장비와 같은 많은 현지 워크스테이션은 외부 연결이 거의 필요하지 않습니다.
애플리케이션 레이어 게이트웨이(방화벽)를 사용하여 인터넷에 연결하는 네트워크.내부 네트워크는 일반적으로 인터넷에 직접 액세스할 수 없으므로 인터넷에서 하나 이상의 방화벽 호스트만 볼 수 있습니다.이 경우 내부 네트워크는 고유하지 않은 IP 번호를 사용할 수 있습니다.
자체 프라이빗 링크를 통해 통신하는 두 개의 네트워크.일반적으로 이 링크를 통해 매우 제한된 호스트 집합만 상호 연결할 수 있습니다.이러한 호스트에만 전역적으로 고유한 IP 번호가 필요합니다.
내부 네트워크의 라우터 인터페이스.
이 문서에 대한 특정 요건이 없습니다.
이 문서는 특정 소프트웨어 및 하드웨어 버전으로 한정되지 않습니다.
문서 규칙에 대한 자세한 내용은 Cisco 기술 팁 표기 규칙을 참조하십시오.
IANA(Internet Assigned Numbers Authority)는 사설 네트워크에 대해 다음 세 개의 IP 주소 공간을 예약했습니다.
10.0.0.0 - 10.255.255.255
172.16.0.0 - 172.31.255.255
192.168.0.0 - 192.168.255.255
첫 번째 블록은 단일 클래스 A 네트워크 번호이고, 두 번째 블록은 16개의 연속 클래스 B 네트워크 번호 집합이고, 세 번째 블록은 255개의 연속 클래스 C 네트워크 번호 집합입니다.
개인 주소 공간을 사용하려는 경우 IANA 또는 인터넷 레지스트리와 함께 조정할 필요가 없습니다.이 개인 주소 공간 내의 주소는 네트워크 내에서만 고유합니다.전역적으로 고유한 주소 공간이 필요한 경우 인터넷 레지스트리에서 주소를 얻어야 합니다.
사설 주소 공간을 사용하려면 외부에 네트워크 레이어 연결이 필요하지 않은 호스트를 확인합니다.이러한 호스트는 전용 호스트이며 전용 주소 공간을 사용합니다.프라이빗 호스트는 공용 및 사설 네트워크 내의 다른 모든 호스트와 통신할 수 있지만 외부 호스트에 IP 연결을 설정할 수는 없습니다.프라이빗 호스트는 애플리케이션 레이어 릴레이를 통해 외부 서비스에 액세스할 수 있습니다.
다른 모든 호스트는 공용 호스트이며 인터넷 레지스트리에서 할당한 전역 고유 주소 공간을 사용합니다.공용 호스트는 네트워크 내의 다른 호스트와 통신할 수 있으며 외부 공용 호스트에 IP 연결을 가질 수 있습니다.공용 호스트는 다른 네트워크의 전용 호스트에 연결할 수 없습니다.
개인 주소에는 전역 의미가 없으므로 사설 네트워크에 대한 라우팅 정보는 외부 링크에서 전파되지 않으며 전용 소스 또는 대상 주소가 있는 패킷은 이러한 링크를 통해 전달해서는 안 됩니다.사설 주소 공간, 특히 인터넷 서비스 제공업체의 라우터를 사용하지 않는 네트워크의 라우터는 사설 네트워크에 대한 라우팅 정보를 거부(필터링)하도록 구성해야 합니다.이 거부는 라우팅 프로토콜 오류로 처리해서는 안 됩니다.
이러한 주소에 대한 간접 참조(예: DNS 리소스 레코드)는 네트워크에 포함되어야 합니다.인터넷 서비스 제공업체들은 이러한 유출을 막기 위한 조치를 취해야 한다.
인터넷에 개인 주소 공간을 대규모로 사용할 경우 분명한 장점은 전역적으로 고유한 주소 공간을 보존하는 것입니다.또한 프라이빗 주소 공간을 사용하면 글로벌 고유 풀에서 얻을 수 있는 것보다 더 많은 주소 공간을 사용할 수 있으므로 네트워크 설계의 유연성도 향상됩니다.
개인 주소 공간을 사용할 때의 주된 단점은 인터넷에 연결하려면 IP 주소를 다시 입력해야 한다는 것입니다.
먼저 네트워크의 프라이빗 부분을 설계하고 모든 내부 링크에 전용 주소 공간을 사용해야 합니다.그런 다음 공용 서브넷을 계획하고 외부 연결을 설계합니다.
적절한 서브넷 체계를 설계하고 장비에서 지원할 수 있는 경우, 24비트 개인 주소 공간 블록을 사용하고 성장 경로가 양호한 주소 지정 계획을 세우십시오.서브넷이 문제가 되면 16비트 클래스 C 블록을 사용할 수 있습니다.
호스트를 프라이빗 호스트에서 퍼블릭 호스트로 변경하려면 주소 및 물리적 연결을 변경해야 합니다.이러한 변경 사항을 예상할 수 있는 위치(시스템 룸 등)에서는 공용 및 개인 서브넷에 대해 별도의 물리적 미디어를 구성하여 이러한 변경 사항을 더 쉽게 적용할 수 있습니다.
외부 네트워크에 연결하는 라우터는 링크 양쪽 끝에서 적절한 패킷 및 라우팅 필터를 사용하여 설정해야 유출이 방지됩니다.또한 네트워크 외부의 사설 주소 공간 지점으로 경로를 설정할 경우 발생할 수 있는 모호한 라우팅 상황을 방지하려면 인바운드 라우팅 정보에서 사설 네트워크를 필터링해야 합니다.
상호 커뮤니케이션의 필요성을 예측하는 조직 그룹은 공통 주소 지정 계획을 설계해야 합니다.외부 서비스 제공자를 사용하여 두 사이트를 연결해야 하는 경우 IP 터널을 사용하여 사설 네트워크에서 패킷 누수를 방지하는 방법을 고려할 수 있습니다.
DNS RR의 유출을 방지하는 한 가지 방법은 두 개의 이름 서버를 실행하는 것입니다. 하나는 엔터프라이즈의 모든 글로벌 고유 IP 주소를 담당하는 외부 서버와 모든 IP 주소를 담당하는 내부 서버(공용 및 사설)입니다.일관성을 보장하기 위해 이 두 서버가 동일한 데이터를 수신해야 합니다. 외부 이름 서버는 필터링된 버전만 사용합니다.
공용 및 전용 모든 내부 호스트의 확인자는 내부 이름 서버만 쿼리합니다.외부 서버는 외부 리졸버에서 쿼리를 확인하고 전역 DNS에 연결됩니다.내부 서버는 기업 외부의 정보에 대한 모든 쿼리를 외부 이름 서버로 전달하므로 모든 내부 호스트가 전역 DNS에 액세스할 수 있습니다.이렇게 하면 프라이빗 호스트에 대한 정보가 외부 확인자 및 이름 서버에 도달하지 않습니다.
개인 주소 공간을 사용하면 보안을 향상시킬 수 있지만 전용 보안 조치를 대체할 수는 없습니다.
이 체계를 사용하면 많은 대규모 네트워크에서는 글로벌 고유 IP 주소 공간에서 비교적 작은 주소 블록만 있으면 됩니다.인터넷은 전 세계적으로 고유한 주소 공간을 절약함으로써 큰 이득을 얻을 수 있으며, 네트워크는 상대적으로 큰 개인 주소 공간에서 제공하는 유연성의 증가를 활용할 수 있습니다.