Учет IP адресов

Резюме

Трансляция сетевых адресов (NAT) — это технология преобразования множества внутренних IP-адресов сети в один или несколько внешних адресов, используемых для связи с Internet. Поддержка протокола позволяет решить проблему нехватки IP адресов и позволяет получать доступ в Internet из локальной сети, используя единственный IP-адрес.

Спецификации

Требуемые пакеты: system

Необходимая лицензия: level1, level3

Уровень меню: /ip firewall nat

Стандарты и технологии: IP, RFC1631, RFC2663

Аппаратное обеспечение: Увеличивается с количеством правил.

Трансляция сетевых адресов – это Интернет стандарт для установки соединений из локальной сети в глобальную, через один IP адрес и наоборот – установки соединений из глобальной сети в локальную. Локальная сеть, использующая NAT, относится к natted сетям. Для функционирования NAT необходимо наличие NAT-шлюза в каждой natted сети. NAT шлюз (NAT маршрутизатор) перезаписывает путь следования пакета от/к Локальной сети.

Существует два типа NAT:

• исходящий NAT или srcnat. Этот тип NAT выполняется для пакетов, исходящих из natted сети. NAT маршрутизатор, при прохождении через него, заменяет персональный IP адрес исходящего пакета на новый общедоступный IP адрес. Обратная операция применяется к пакетам, следующим в противоположном направлении.

• входящий NAT или dstnat. Это тип NAT применяется для пакетов, которые следуют в natted сеть. В большинстве случаев применяется для того, чтобы сделать доступными хосты приватной сети для сети Интернет. NAT маршрутизатор, применяя действие dstnat, подменяет IP адреса назначения всех IP пакетов идущих через маршрутизатор в приватную сеть.

Недостатки NAT

У хостов, находящихся за NAT-маршрутизатором, нет возможности установить реальное соединение от хоста к хосту. Поэтому, некоторые Интернет протоколы могут не работать через NAT. Службы, требующие инициализации TCP соединения извне приватной сети или протоколы без запоминания состояния, такие как UPD, могут быть деструктированы. Более того, некоторые протоколы изначально не совместимы с NAT. Например, AH протокол из набора IPsec.

RouterOS включает в себе множество, так называемых, NAT помощников, которые включают NAT отслеживания для различных протоколов.

Redirect и Masquerade

Redirect и Masquerade это специальные формы dstnat и srcnat, соответственно. Redirect подобен стандартному dstnat, так же как и Masquerade подобен srcnat. Masquerade является формой srcnat, но без необходимости уточнения to-address – IP адрес исходящего интерфейса назначается автоматически. Redirect является формой dstnat, без использования to-address – вместо него используется IP адрес входящего интерфейса. Примечание: для Redirect значащим правилом является to-ports, которое является портом службы на маршрутизаторе, способным ответить на этот запрос (как например web proxy).

Когда над пакетом производится действие dstnat (будь то action=nat или action=redirect), адрес назначения изменяется. Информация о трансляции адресов, включающая в себя настоящий адрес назначения, находится во внутренних таблицах маршрутизатора. Прозрачный web-прокси, работающий на маршрутизаторе (когда web запрос перенаправляется на порт прокси маршрутизатора), получает эту информацию из таблиц и, соответственно, получает из них и адрес web сервера. Если выполняется действие dstnat для других прокси серверов, то не существует другой возможности получить адрес web сервера из IP заголовка пакета (потому что адрес назначения IP пакета предварительно был изменен на адрес прокси сервера). Начиная с HTTP/1.1, используется специальный заголовок HTTP запроса, в котором находится адрес web сервера. Так прокси сервер может использовать его, вместо dst адреса IP пакета. Если нет этого заголовка (старые версии HTTP клиента), прокси сервер не может определить адрес web сервера и поэтому не может работать.

Это средство делает не возможным правильно и прозрачно редиректить HTTP трафик от маршрутизатора к некоторым другим прозрачным прокси. Единственно правильным путём является добавление прозрачного прокси на маршрутизаторе и конфигурирование его таким образом, что бы «реальный» прокси являлся родительским прокси. В этой ситуации ваш «настоящий» прокси не может быть прозрачным, поскольку прокси на маршрутизаторе будет прозрачен и будет отправлять запросы прокси (в соответствии со стандартом; эти запросы включают всю необходимую информацию о web сервере) к «настоящему» прокси.

Описание свойств

• accept — принять пакет. Ничего не делать, т.е. пакет проследует через маршрутизатор и не одно правило не будет применено к нему;

• add-dst-to-address-list — добавить адрес назначения IP пакета в список адресов, определенный параметром address-list;

• add-src-to-address-list — добавить адрес источника IP пакета в список адресов, определенный параметром address-list;

• dst-nat — подменить адрес назначения IP пакета на значение, определенное в параметре to-address и в to-ports;

• jump — переход в цепочку, определенную значением параметра jump-target;

• log — каждое правило, совпадающее с этим правилом, будет записано в системный журнал;

• masquerade — замена адреса источника IP пакета на автоматически определенный адрес средствами маршрутизации;

• netmap – часто используется для распределения общедоступных IP адресов между хостами локальной сети;

• passthrough — игнорировать это (текущее) правило и перейти к следующему;

• redirect — заменяет адрес назначения IP пакета на один из локальных адресов;

• return — вернуться назад в правило, из которого был произведен переход jump;

• same — выдать клиенту некоторый IP адрес источника/назначения из имеющегося диапазона для каждого соединения. Этот метод чаще всего используется для служб, ожидающих некоторого клиентского адреса для множественных подключений от одного клиента

• src-nat — заменяет адрес источника IP пакета на значение, определенное в параметрах to-address и to-ports.

address-list(name) – имя из списка адресов, в котором собранны IP адреса за правилом action=add-dst-to-address или action=add-src-to-address-list. Этот список адресов впоследствии может быть использован для согласования пакетов.

• 00:00:00 — оставить адрес в списке адресов навсегда.

chain(dstnat | srcnat | name) — добавление в цепочку определенного правила. То есть, в случае, когда различный трафик должен проходить через различные цепочки, всегда будьте осторожны при выборе правильной цепочки для нового правила. Если при вводе не будет совпадения с названием уже существующей цепочке, то будет создана новая цепочка:

• dstnat – правило, находящееся в этой цепочке, применяется до маршрутизации. Здесь находятся правила, подменяющие адреса назначения IP пакета;

• srcnat – правило, находящееся в этой цепочке, срабатывает после маршрутизации. Здесь находятся правила, подменяющие адреса исходящих IP пакетов.

comment(text) — наглядный комментарий к правилу. Комментарий может быть использован для идентификации правила из сценария.

connection-bytes(integerinteger) — соответствие пакетов в случае, если определенное количество байт было передано через определенное соединение:

• 0 – бесконечность. Например, connection-bytes=2000000-0 для проверки пакетов используется это правило, в том случае, если более чем 2Мб прошло через выбранное соединение.

connection-limit(integernetmask) — ограничить количество соединений по адресу или по блоку адресов (применяется, если определённое количество соединений уже было установлено).

connection-mark(name) — соответствие пакетов, промаркированных средством mangle специфической меткой соединения.

connection-type(ftp | gre | h323 | irc | mms | pptp | quake3 | tftp) — проверка пакетов из связанных соединений, использующих информацию о них (соединениях), получаемую от их трассирующих помощников. Соответствующие вспомогательные соединения должны быть разрешены в /ip firewall service-port.

content(text) – текст, который должны содержать текстовые пакеты для соответствия правилу.

dscp (integer: 0..63) — значение поля IP-заголовка DSCP (ex-ToS).

dst-address(IP adressnetmaskIP addressIP address) — выбранный диапазон адресов назначения IP пакета. Примечание: запись правильного сетевого адреса в консоли в формате address/netmask т.е.: 1.1.1.1/24 будет конвертирована в 1.1.1.0/24.

dst-address-list(name) — соответствие назначенного адреса пакета списку адресов, определенному пользователем.

dst-address-type(unicast | local | broadcast | multicast) — соответствие адреса назначения по типу одного из перечисленных IP пакетов:

• unicast — IP адрес, используемый одной точкой для соединения с другой точкой. В данном случае существует только один отправитель и один получатель;

• local — соответствующие адреса, прикрепленные к маршрутизатору;

• broadcast — IP пакет посылаемый от точки к другим точкам подсети;

• multicast — этот тип IP адресация используется для передачи от одной или более точек к другим точкам.

dst-limit(integertimeintegerdst-address | dst-port | src-addresstime) — ограничение количества пакетов в секунду, направленных на IP адрес или порт назначения. Каждый IP адрес/порт назначения владеет собственным ограничением. Опции перечислены ниже (в порядке появления):

• Count — максимальная средняя интенсивность потока, измеряемая количеством пакетов в секунду (pps), если не сопровождается опцией Time;

• Time — определяет временной интервал, в течении которого будет измеряться интенсивность потока пакетов;

• Burst — число пакетов соответствующих пику;

• Mode — классификатор для ограничения интенсивности пакетов;

• Expire — определенный интервал времени, по истечении которого записанный IP адрес/порт будет удален.

dst-port(integer: 0..65535 integer: 0..65535) – номер или диапазон номеров порта назначения.

fragment(yes|no) — является ли пакет фрагментом IP пакета. Стартовый пакет(т.е первый фрагмент) не учитывается. Примечание: при включенном трассировщике соединений, фрагментов не будет, так как система автоматически присоединит каждый пакет.

hotspot(multiple choice: from-client | auh | local-dst) — соответствие пакетов, полученных от клиентов при различных Hot-Spot условиях. Все значения могут быть отвергнуты:

• auth – правда, если пакет пришел от аутентифицированного клиента;

• from-client – правда, если пакет пришел от HotSpot клиента;

• http — правда, если HotSpot клиент посылает пакет на адрес и порт, ранее определенный как его прокси сервер (Universal Proxy technique) или если порт назначения 80 и включено прозрачное проксирование для данного клиента;

• local-dst – правда, если пакет имеет локальный IP-адрес назначения;

• to-client — правда, если пакет посылается клиенту.

icmp-options(integerinteger) — соответствие ICMP типу: кодовое поле.

in-bridge-port(name) — актуальный интерфейс, на который заходит пакет, следующий через маршрутизатор (если интерфейсом является мост, то это свойство соответствует актуальному порту моста, пока in-interface ? мост).

in-interface(name) — интерфейс, на который заходит пакет, следующий через маршрутизатор (если интерфейсом является мост, то исходящий из мостового интерфейса пакет создастся самостоятельно)

• any — соответствие не менее чем одному заголовку ipv4;

• loose-source-routing – пакеты, соответствующие опции маршрутизация через заданные узлы. Эта опция используется для маршрутизации интернет дейтаграмм, базирующихся на информации поставляемой источником;

• no-record-route – определяет пакеты без опции записи маршрута. Эта опция используется для маршрутизации интернет дейтаграмм, базирующихся на информации, поставляемой источником;

• no-route-alert — пакеты, соответствующие предупреждению «нет маршрута»;

• no-source-routing — пакеты, соответствующие опции «нет источника маршрутизации»;

• no-timestamp — соответствие пакетов опции отсутствия временной отметки;

• record-route – соответствие пакетов опции записи;

• route-alert — соответствие пакетов опции записи маршрута;

• strict-source-routing — соответствие пакета опции статического маршрута;

• timestamp – соответствие пакетов опции временной отметки.

jump-target(dstnat | srcnat name) — название цепочки в которую совершается переход, если используется опция action=jump.

layer7-protocol(name) — Layer 7 – название фильтра, установленного в меню /ip firewall layer7-protocol. Предостережение: при использовании необходима большая вычислительная мощность.

limit(integertimeinteger) — ограничивает интенсивность пакетов, согласно заданному лимиту. Используется для уменьшения количества записей в системном журнале:

• Count — максимальная средняя интенсивность пакетов, измеряется в пакетах в секунду(pps), если не сопровождается опцией Time;

• Time — определяет временной интервал, в течение которого будет происходить измерение интенсивности пакетов;

• Burst — количество пакетов, соответствующих пику.

log-prefix(text) — все сообщения будут включать в себя префикс описанный здесь. Используется в паре с action=log.

nth(integerinteger: 0…15integer) — определенный Nth пакет, полученный в соответствии с правилом. Может использоваться один из 16 доступных счетчиков пакетов:

• Every — каждое соответствие Every+1th пакету. Для примера, если Every=1, тогда правило соответствия отрабатывается на каждом 2-ом пакете;

• Counter — счётчик. Счётчик инкрементируется каждый раз, когда в правиле содержится соответствие n-ому пакету;

• Packet — соответствие отдельно взятого пакета. Значение должно находится между 0 и Every. Если эта опция использована для конкретно взятого счетчика, тогда правило должно срабатывать для не менее чем Every+1th вместе с этой опцией, перекрывая тем самым все значения между 0 и Every включительно.

out-bridge-port(name) — актуальный интерфейс, через который транзитный пакет покидает маршрутизатор (если это мост, то это свойство соответствует актуальному порту моста до тех пор, пока out-interface является мостом).

out-interface(name) – интерфейс, через который пакет покидает маршрутизатор (если интерфейс настроен как мост, то пакет самостоятельно появится, чтобы уйти через мостовой интерфейс).

packet-mark(name) — соответствие пакетов, промаркированных средствами mangle специфическими метками пакетов.

• Min — значение, определяющее нижнюю границу диапазона или конкретное значение;

• Max — значение, определяющее верхнюю границу диапазона.

port(port) – соответствует, если любой (источник или назначение) порт соответствует определенному списку портов или диапазону портов (примечание: при этом должен быть выбран протокол, также как и при использовании соответствий src-port и dst-port).

psd(integertimeintegerinteger) — попытки обнаружения TCP и UDP сканеров. Этот механизм рекомендуется применять для назначения более низкого приоритета портам с более высоким номером, чтобы уменьшить частоту отрицательных ответов, как например, при пассивном режиме передачи через FTP:

• WeightTreshold — общий объем последних TCP/UDP пакетов, пришедших на порты, отличные от портов назначения, от одного хоста должны быть обработаны как сканер портов;

• DelayThreshold — задержка пакета, пришедшего на порт, отличный от порта назначения и пришедшие от одного хоста должны быть обработаны как сканер портов;

• LowPortWeight — объем пакетов с привилегированными(

• HighPortWeight — объем пакетов, не имеющих привилегий к портам назначения.

random(integer) — согласовывает пакеты случайно, с заданной вероятностью.

routing-mark(name) — соответствия пактов промаркированных средствами mangle, с маркировкой маршрута.

same-not-by-dst(yes | no) — менять или не менять адрес назначения для пакетов, отобранных по правилам action=same

src-address-list(name) — — соответствие адреса источника пакета списку адресов, определенному пользователем.

src-address-type(unicast | local | broadcast | multicast) – соответствие типа адреса источника IP-пакета, одному из:

• unicast — IP адрес, использующийся для передачи от одной точки к другим. В данном случае есть только один отправитель и один получатель;

• local — соответствие адресов, назначенных интерфейсам маршрутизатора;

• broadcast – IP-пакет, посылаемый от одной точки ко всем другим точкам IP-подсети;

• multicast — этот тип IP адресации предназначен для передачи от одной или более точек к множеству других точек.

src-mac-address(MAC address) — MAC адрес источника

src-port(integer: 0..65535integer: 0..65535) — номер или диапазон номеров порта источника.

tcp-mss(integer: 0..65535) — соответствия значению TCP MSS IP пакета.

time(timetimesat | fri | thu | wed | tue | mon | sun) — позволяет создать фильтр, основанный на дате и времени поступления пакета или на дате и времени отправления для локально сгенерированных пакетов.

to-addresses(IP addressIP address; default: 0.0.0.0) — адрес или диапазон адресов, предназначенных для подмены оригинального адреса IP пакета.

NAT приложения

В этой секции будет описаны NAT приложения и примеры к ним.
Предположим, что вы хотите, чтобы ваш маршрутизатор делал следующее:
• «скрывал» локальную сеть одним адресом;
• предоставлял общественный (Public) IP локальному серверу;
• создать отображение 1:1 сетевых адресов.

Пример исходящего NAT(Masquerading)

Если вы хотите «скрыть» локальную сеть 192.168.00/24 одним адресом 10.5.8.109, выданным вам представителем Интернет услуг, вам необходимо использовать трансляцию адреса источника. Например, при помощи (masquerading) средства MikroTik маршрутизатора. Masquerading будет подменять IP адрес и порт источника пакета, порожденного в сети 192.168.0.0/24, на адрес маршрутизатора 10.5.8.109, когда пакет будет проходить через него. Для использования masquerading, в конфигурацию межсетевого экрана необходимо добавить действие ‘masquerading’:

/ip firewall nat add chain=srcnat action=masquerade out-interface=Public

Во всех исходящих соединениях из сети 192.168.0.0/24 адрес источника будет изменен на адрес маршрутизатора 10.5.8.109 и порт источника будет выше 1024. Доступ к локальным адресам из Интернета не возможен. Если вы хотите разрешить соединения к серверу в локальной сети, то вам необходимо использовать трансляцию адреса назначения(DST -NAT).

Пример использования DST-NAT

Если вы хотите выставить наружу хост с адресом 192.168.0.109 так, чтобы он выглядел как 10.5.8.200, то вам необходимо использовать трансляцию адреса назначения. Если вы хотите позволить локальному серверу общаться с внешним IP адресом, то вам необходимо использовать трансляцию исходящего адреса.

Для начала добавляем реальный IP адрес на внешний интерфейс:

/ip address add address=10.5.8.200/ 32 interface=Public

Добавляем правило, разрешающее доступ к локальному серверу из внешней сети:

/ip firewall nat add chain=dstnat dst -address=10.5.8.200 action=dst –nat \

to-addresses=192.168.0.109

Добавляем правило для трансляции исходящего адреса локального сервера а адрес 10.5.8.200:

/ip firewall nat add chain=srcnat src -address=192.168.0.109 action=src-nat \

to-addresses=10.5.8.200

Пример отображения сетевых адресов

Если вы хотите объединить сеть 11.11.11.0/24 с сетью 2.2.2.0/24, то вам необходимо использовать трансляцию адреса источника и адреса назначения в паре с действием action=netmap

Доброго времени суток, уважаемые читатели Хабра!
Не так давно я написал свою первую статью на Хабр. В моей статье была одна неприятная шероховатость, которую моментально обнаружили, понимающие в сетевом администрировании, пользователи. Шероховатость заключается в том, что я указал неверные IP адреса в лабораторной работе. Сделал это я умышленно, так как посчитал что неопытному пользователю будет легче понять тему VLAN на более простом примере IP, но, как было, совершенно справедливо, замечено пользователями, нельзя выкладывать материал с ключевой ошибкой.
В самой статье я не стал править эту ошибку, так как убрав её будет бессмысленна вся наша дискуссия в 2 дня, но решил исправить её в отдельной статье с указание проблем и пояснением всей темы.
Для начала, стоит сказать о том, что такое IP адрес.
IP-адрес — уникальный сетевой адрес узла в компьютерной сети, построенной на основе стека протоколов TCP/IP (TCP/IP – это набор интернет-протоколов, о котором мы поговорим в дальнейших статьях). IP-адрес представляет собой серию из 32 двоичных бит (единиц и нулей). Так как человек невосприимчив к большому однородному ряду чисел, такому как этот 11100010101000100010101110011110 (здесь, к слову, 32 бита информации, так как 32 числа в двоичной системе), было решено разделить ряд на четыре 8-битных байта и получилась следующая последовательность: 11100010.10100010.00101011.10011110. Это не сильно облегчило жизнь и было решение перевести данную последовательность в, привычную нам, последовательность из четырёх чисел в десятичной системе, то есть 226.162.43.158. 4 разряда также называются октетами. Данный IP адрес определяется протоколом IPv4. По такой схеме адресации можно создать более 4 миллиардов IP-адресов.
Максимальным возможным числом в любом октете будет 255 (так как в двоичной системе это 8 единиц), а минимальным – 0.
Далее давайте разберёмся с тем, что называется классом IP (именно в этом моменте в лабораторной работе была неточность).
IP-адреса делятся на 5 классов (A, B, C, D, E). A, B и C — это классы коммерческой адресации. D – для многоадресных рассылок, а класс E – для экспериментов.

Класс А: 1.0.0.0 — 126.0.0.0, маска 255.0.0.0
Класс В: 128.0.0.0 — 191.255.0.0, маска 255.255.0.0
Класс С: 192.0.0.0 — 223.255.255.0, маска 255.255.255.0
Класс D: 224.0.0.0 — 239.255.255.255, маска 255.255.255.255
Класс Е: 240.0.0.0 — 247.255.255.255, маска 255.255.255.255
Теперь о «цвете» IP. IP бывают белые и серые (или публичные и частные). Публичным IP адресом называется IP адрес, который используется для выхода в Интернет. Адреса, используемые в локальных сетях, относят к частным. Частные IP не маршрутизируются в Интернете.
Публичные адреса назначаются публичным веб-серверам для того, чтобы человек смог попасть на этот сервер, вне зависимости от его местоположения, то есть через Интернет. Например, игровые сервера являются публичными, как и сервера Хабра и многих других веб-ресурсов.
Большое отличие частных и публичных IP адресов заключается в том, что используя частный IP адрес мы можем назначить компьютеру любой номер (главное, чтобы не было совпадающих номеров), а с публичными адресами всё не так просто. Выдача публичных адресов контролируется различными организациями.
Допустим, Вы молодой сетевой инженер и хотите дать доступ к своему серверу всем пользователям Интернета. Для этого Вам нужно получить публичный IP адрес. Чтобы его получить Вы обращаетесь к своему интернет провайдеру, и он выдаёт Вам публичный IP адрес, но из рукава он его взять не может, поэтому он обращается к локальному Интернет регистратору (LIR – Local Internet Registry), который выдаёт пачку IP адресов Вашему провайдеру, а провайдер из этой пачки выдаёт Вам один адрес. Локальный Интернет регистратор не может выдать пачку адресов из неоткуда, поэтому он обращается к региональному Интернет регистратору (RIR – Regional Internet Registry). В свою очередь региональный Интернет регистратор обращается к международной некоммерческой организации IANA (Internet Assigned Numbers Authority). Контролирует действие организации IANA компания ICANN (Internet Corporation for Assigned Names and Numbers). Такой сложный процесс необходим для того, чтобы не было путаницы в публичных IP адресах.

Поскольку мы занимаемся созданием локальных вычислительных сетей (LAN — Local Area Network), мы будем пользоваться именно частными IP адресами. Для работы с ними необходимо понимать какие адреса частные, а какие нет. В таблице ниже приведены частные IP адреса, которыми мы и будем пользоваться при построении сетей.

Из вышесказанного делаем вывод, что пользоваться при создании локальной сеть следует адресами из диапазона в таблице. При использовании любых других адресов сетей, как например, 20.*.*.* или 30.*.*.* (для примера взял именно эти адреса, так как они использовались в лабе), будут большие проблемы с настройкой реальной сети.
Из таблицы частных IP адресов вы можете увидеть третий столбец, в котором написана маска подсети. Маска подсети — битовая маска, определяющая, какая часть IP-адреса узла сети относится к адресу сети, а какая — к адресу самого узла в этой сети.
У всех IP адресов есть две части сеть и узел.
Сеть – это та часть IP, которая не меняется во всей сети и все адреса устройств начинаются именно с номера сети.
Узел – это изменяющаяся часть IP. Каждое устройство имеет свой уникальный адрес в сети, он называется узлом.
Маску принято записывать двумя способами: префиксным и десятичным. Например, маска частной подсети A выглядит в десятичной записи как 255.0.0.0, но не всегда удобно пользоваться десятичной записью при составлении схемы сети. Легче записать маску как префикс, то есть /8.
Так как маска формируется добавлением слева единицы с первого октета и никак иначе, но для распознания маски нам достаточно знать количество выставленных единиц.
Таблица масок подсети

Высчитаем сколько устройств (в IP адресах — узлов) может быть в сети, где у одного компьютера адрес 172.16.13.98 /24.
172.16.13.0 – адрес сети
172.16.13.1 – адрес первого устройства в сети
172.16.13.254 – адрес последнего устройства в сети
172.16.13.255 – широковещательный IP адрес
172.16.14.0 – адрес следующей сети
Итого 254 устройства в сети
Теперь вычислим сколько устройств может быть в сети, где у одного компьютера адрес 172.16.13.98 /16.
172.16.0.0 – адрес сети
172.16.0.1 – адрес первого устройства в сети
172.16.255.254 – адрес последнего устройства в сети
172.16.255.255 – широковещательный IP адрес
172.17.0.0 – адрес следующей сети
Итого 65534 устройства в сети
В первом случае у нас получилось 254 устройства, во втором 65534, а мы заменили только номер маски.
Посмотреть различные варианты работы с масками вы можете в любом калькуляторе IP. Я рекомендую этот.
До того, как была придумана технология масок подсетей (VLSM – Variable Langhe Subnet Mask), использовались классовые сети, о которых мы говорили ранее.
Теперь стоит сказать о таких IP адресах, которые задействованы под определённые нужды.
Адрес 127.0.0.0 – 127.255.255.255 (loopback – петля на себя). Данная сеть нужна для диагностики.
169.254.0.0 – 169.254.255.255 (APIPA – Automatic Private IP Addressing). Механизм «придумывания» IP адреса. Служба APIPA генерирует IP адреса для начала работы с сетью.
Теперь, когда я объяснил тему IP, становиться ясно почему сеть, представленная в лабе, не будет работать без проблем. Этого стоит избежать, поэтому исправьте ошибки исходя из информации в этой статье.

Работая в сети интернет, вам наверняка часто приходится слышать такие понятия, как внешний и внутренний IP-адрес, статический и динамический IP, частный и публичный IP-адрес, серый и белый IP. Во всех этих терминах вполне реально запутаться. Сегодня я постараюсь помочь вам разобраться во всей этой сетевой терминологии.

IP-адреса разделяются на два типа:

• Внутренний (он же частный, локальный, «серый”)

• Внешний (он же публичный, глобальный, «белый”)

Внутренний «серый» IP-адрес

Внутренние (частные) IP-адреса не используются в сети интернет. К внутренним относятся адреса, используемые в локальных сетях. Доступ к внутреннему IP-адресу можно получить лишь в пределах локальной подсети.
К частным адресам относятся IP-адреса, значения которых лежат в следующих диапазонах:

• 10.0.0.0 – 10.255.255.255
• 172.16.0.0 – 172.31.255.255
• 192.168.0.0 – 192.168.255.255

Это зарезервированные для локальных сетей IP-адреса.

Внешний «белый» IP-адрес

Внешние (публичные) IP-адреса используются в сети интернет. Публичным IP-адресом называется IP-адрес, под которым вас видят устройства в интернете, и он является уникальным во всей сети интернет. Доступ к устройству с публичным IP-адресом можно получить из любой точки глобальной сети.

В связи с тем, что публичных адресов существует ограниченное количество, то прибегают к трансляции сетевых адресов из частных в публичные (по технологии NAT). Для этого используются маршрутизаторы, которые позволяют нескольким пользователям (с внутренними IP-адресами) одновременно иметь доступ в интернет через один публичный IP-адрес, предоставляемый провайдером. Как правило, для домашних пользователей предоставляется один публичный IP-адрес на всю локальную сеть.
Таким образом, при выходе в сеть интернет внутренний адрес преобразуется по технологии NAT в публичный. В итоге пользователь с адресом локальной сети видит интернет, но интернет не видит компьютер пользователя (вместо него он видит адрес шлюза с NAT).

Итак, с тем что такое внутренний (частный) и внешний (публичный) IP-адрес, кажется, разобрались. Но дело в том, что публичный адрес – не всегда постоянный. Он может меняться от подключения к подключению. Поэтому еще выделяют такие виды адресов, какстатический и динамический.

Статический IP (его еще называют постоянный, фиксированный) – это IP-адрес, который не меняется с каждым подключением, т.е. закреплен за вами твердо и навсегда.

Динамический IP – это плавающий IP-адрес, который меняется с каждым подключением.

Вы всегда можете подключить себе статический публичный IP-адрес. Практически все провайдеры предоставляют такую услугу. Как правило, данная услуга платная, но стоит недорого.

Так для чего же нужен статический публичный IP-адрес?

Имея статический публичный IP-адрес, вы сможете предоставить доступ на свой компьютер из любой точки глобальной сети. Любой сервер в сети интернет будет получать информацию именно от уникального адреса и за чужие нарушения доступ с вашего адреса никто не закроет. Также, имея статический публичный адрес, вы можете организовать Web-сервер или FTP-сервер; управлять домашним компьютером с работы и делать многое другое.

Статический внешний (публичный) IP-адрес необходим в ситуациях, требующих либо доступа к вашему компьютеру извне, либо авторизации по вашему уникальному IP-адресу. Примеры таких ситуаций:

• удалённый доступ к компьютеру;
• удалённый доступ к камерам квартирного видеонаблюдения;
• vpn-подключение (например, vpn-подключение из дома к офисной сети);
• организация на домашнем компьютере сервера, доступного извне (Web-сервера или FTP-сервера);
• использование клиент-банков для доступа к банковским платежным системам;
• авторизация на некоторых сервисах (например, файловых хранилищах).

Если вы заказали у своего провайдера услугу «Статический публичный IP-адрес», то помните, что необходимо самостоятельно производить защиту своего ПК от атак и угроз из сети интернет.

IP-адреса позволяют любым сетевым устройствам взаимодействовать между собой во внутренней или внешней сети, но существует много типов адресов (IP), давайте поподробнее рассмотрим каждый из них.

Что такое IP адрес?

IP-адрес означает адрес интернет-протокола. Это строка цифр, которая идентифицирует устройство, подключенное к более широкой сети. Как и адрес почтового ящика, он необходим для того, чтобы устройства и серверы могли обмениваться информацией друг с другом. К примеру, если вы наберете в Google ‘Что такое VPN?’, IP вашего устройства будет отправлять запрос на серверы Google. Затем Google найдет ответ и отправит его вам обратно. Он знает, что ответ не следует посылать вашему соседу или кому-либо еще. Это звучит просто, но существует множество типов IP-адресов, которые могут ввести в заблуждение. И все они необходимы для выполнения различных функций.

Типы IP-адресов

Частный и публичный IP

Каждое устройство, которое подключено к интернету, имеет частный и публичный IP-адрес. Зачем нам два? Потому что нам не хватает IP-адресов на количество используемых устройств. В 80-х годах, когда был создан протокол IPv4, были введены 32-битные цифровые IP-адреса. Они приравнивались примерно к 4.3 млрд уникальных IP-адресов. Однако вскоре стало очевидно, что нужно больше.
Проблема была решена путем введения частных IP-адресов и трансляции сетевых адресов (NAT). NAT находится в роутере и направляет трафик из более широкой сети ко всем устройствам, расположенным в одной сети. Роутер назначает этим устройствам уникальные частные адреса IP. Они не могут быть перенаправлены через интернет, поэтому многие устройства в мире могут иметь одинаковые частные IP-адреса.
Публичный IP-адрес присваивается интернет-провайдером (ISP) и является адресом, который роутер использует для связи с более широкой сетью.

Статический и динамический IP

Динамические IP-адреса, как следует из названия, могут изменяться. Провайдер назначает их, но они будут меняться каждый раз, когда вы перезагружаете устройство, добавляете новое устройство в сеть или меняете конфигурацию сети. Эти изменения редко оказывают какое-либо влияние на подключение. Динамические IP-адреса чаще всего используются в квартирах и домах.
Статические IP-адреса, в отличие от динамических IP, никогда не меняются. Обычно они назначаются серверам, на которых размещаются сайты или предоставляются услуги электронной почты или FTP. Они также могут быть присвоены общественным организациям, которым нужны стабильные соединения. Некоторые пользователи используют их для игровых или VOIP подключений, поскольку они также нуждаются в очень стабильных подключениях.

Статические IP редко используются обычными пользователями, т.к. имеют некоторые недостатки:

• Интернет-провайдеры взимают дополнительную плату за назначение статического IP-адреса;
• Они требуют дополнительных мер безопасности, поскольку более подвержены «атакам грубой силы”;
• Они легче отслеживаются компаниями, которые занимаются сбором данных.

Выделенный IP

Это уникальный статический IP-адрес, присвоенный сайту на сервере. Сайты, расположенные на сервере, могут иметь множество статических IP-адресов. Сервер может назначить статический IP нескольким сайтам, которые в этом случае будут иметь общий IP-адрес. Если сервер предлагает статический и уникальный IP-адрес одному сайту, то это называется выделенным IP-адресом.

Некоторые сайты выбирают выделенные IP-адреса, потому что они имеют высокий трафик и стабильные соединения. Но выделенные IP-адреса предназначены не только для сайтов – их могут получить и частные лица. Они назначаются VPN провайдерами и имеют много преимуществ:

• Могут быть использованы для онлайн-банкинга. Банки иногда помечают учетные записи с общими IP-адресами, как подозрительные;
• Снижают вероятность того, что сайты потребуют вводить «”;
• Позволяют пользователям подключаться к удаленным серверам через белые списки.

Какой будет IP при использовании VPN?

IP-адрес может многое сказать о вас – о вашем местоположении, имени и цифровом следе, который оставляет IP. Но он может быть изменен, если вы направите свой трафик через VPN-сервер. Какой тип IP адреса тогда будет назначен?
Обычной практикой для VPN провайдеров является назначение общего IP-адреса. С точки зрения конфиденциальности, это лучший вариант. Он совместно используется несколькими пользователями, поэтому сайтам будет сложно отслеживать вас. Общий IP также отлично подходит для обмена файлами P2P.

С другой стороны, общий IP может иметь и другой эффект, что означает, что если кто-то, использующий тот же IP, попадает в черный список на определенном сайте, вы тоже не сможете получить к нему доступ. Это редкое явление. Самое большое неудобство, с которым можно столкнуться – это больше запросов капчи, чем обычно – когда сайты пытаются выяснить, что вы не бот.

На видео: IP-адреса | Курс «Компьютерные сети”