組織：中國互動出版網(wǎng)（http://www.china-pub.com/）
RFC文檔中文翻譯計劃（http://www.china-pub.com/compters/emook/aboutemook.htm）
E-mail：ouyang@china-pub.com
譯者：王逸（pentagon   pentagon@citiz.net）
譯文發(fā)布時間：2001-07-25
版權(quán)：本中文翻譯文檔版權(quán)歸中國互動出版網(wǎng)所有。可以用于非商業(yè)用途自由轉(zhuǎn)載，但必須
保留本文檔的翻譯及版權(quán)信息。

Network Working Group                                        Y. Rekhter
Request for Comments: 1597       T. J. Watson Research Center， IBM Corp.
Category: Informational                                    B。 Moskowitz
                                                            Chrysler Corp.
                                                            D. Karrenberg
                                                            RIPE NCC
                                                            G. de Groot
                                                            RIPE NCC
                                                            March 1994

私有Internet的地址分配 
（Address Allocation for Private Internets） 

本備忘錄的狀態(tài)
本文檔提供了Internet團(tuán)體的一些信息，它不針對任何類型的Internet標(biāo)準(zhǔn)。本備忘錄
的發(fā)布不受任何限制。

目錄
1  介紹	1
2  目標(biāo)	2
3  私有地址空間	3
4  使用私有地址空間的優(yōu)缺點(diǎn)	3
5  操作上的考慮	4
6  參考	4
7  安全上的考慮	5
8  結(jié)論	5
9  致謝	5
10 作者聯(lián)系方式	5

1  介紹
本協(xié)議描述了一種保存地址空間的方法，這種方法不用給某個企業(yè)內(nèi)部的私有主機(jī)
分配全局唯一的IP地址，而仍舊允許企業(yè)內(nèi)部的所有私有主機(jī)之間及企業(yè)外部的所有
公有主機(jī)之間的完全的網(wǎng)絡(luò)連接。作者希望，使用這些方法，能顯著地節(jié)約IP地址空
間的分配。
一個企業(yè)是一個實(shí)體，它自主地使用TCP/IP協(xié)議運(yùn)作一個網(wǎng)絡(luò)，并在該網(wǎng)絡(luò)內(nèi)部
決定尋址設(shè)計和地址分配。
2  目標(biāo)
隨著TCP/IP技術(shù)在全世界的傳播，包括在Internet以外，大量沒有聯(lián)網(wǎng)的企業(yè)采
用該技術(shù)及它在地址分配上的能力進(jìn)行企業(yè)內(nèi)部獨(dú)立的通信，而不用與其它企業(yè)或
Internet本身直接相連。 
現(xiàn)在的慣例是為所有使用TCP/IP的主機(jī)分配全局唯一的地址。越來越受到關(guān)心的
問題是有限的IP地址空間有朝一日會耗盡。因此，近年來分配IP地址的要求變得嚴(yán)格
起來。這些準(zhǔn)則對于那些想要實(shí)施和運(yùn)作網(wǎng)絡(luò)的企業(yè)來說過于謹(jǐn)慎了。
在企業(yè)內(nèi)部使用IP的主機(jī)可以分為三類：
-	不需要訪問其他企業(yè)或Internet的主機(jī)；
-	需要訪問有限的外部服務(wù)（例如：電子郵件， 文件傳輸，網(wǎng)絡(luò)新聞，遠(yuǎn)程登
錄）的主機(jī)， 這些服務(wù)由應(yīng)用層網(wǎng)關(guān)處理；
-	需要訪問企業(yè)以外的網(wǎng)絡(luò)層（通過IP 互連實(shí)現(xiàn)）；
-	第一類主機(jī)在企業(yè)內(nèi)部使用的IP地址不重復(fù)，而在企業(yè)之間發(fā)生重復(fù)。

在許多第二類主機(jī)中，不受限制的外部訪問（通過IP 互連）是不必要的，甚至對
于私有和安全原因來說是不希望發(fā)生的。就象在第一類中的主機(jī)，這些主機(jī)在企業(yè)內(nèi)部
使用的IP地址不重復(fù)，而在企業(yè)之間發(fā)生重復(fù)。
只有最后一類的主機(jī)需要全局唯一的IP地址。
很多應(yīng)用程序只需要在一個企業(yè)內(nèi)部的互連， 而不需要與互連網(wǎng)上的大多數(shù)主機(jī)
進(jìn)行外部連接。在一個大的企業(yè)中，可以很容易地確定那些使用TCP/IP 協(xié)議但不需要
與企業(yè)外部進(jìn)行連接的主機(jī)。
以下是一些不需要外部連接的例子：
-	一個大型的機(jī)場需要使航班到達(dá)/離開的顯示信息通過TCP/IP 成為可分別尋
址的。這些顯示信息不大可能需要被其他網(wǎng)絡(luò)直接訪問到。
-	象銀行和銷售鏈這樣的大型組織正轉(zhuǎn)向TCP/IP用做它們內(nèi)部的通信。大量的
本地工作站象收銀機(jī)， 取款機(jī)和文書工作的設(shè)備很少需要這種連接。
-	由于安全原因， 許多企業(yè)使用應(yīng)用層網(wǎng)關(guān)（例如：防火墻）把它們的內(nèi)部網(wǎng)
絡(luò)連接到Internet上。內(nèi)部網(wǎng)絡(luò)通常不能直接訪問Internet， 這樣只有一個或
幾個防火墻主機(jī)對于Internet是可見的。這種情況下，內(nèi)部網(wǎng)絡(luò)可以使用不唯
一的IP地址。
-	如果兩個企業(yè)通過它們私有的連接通信，通常只有數(shù)量非常有限的主機(jī)可以互
相訪問到。只有那些主機(jī)需要全局唯一的IP 地址。
-	路由器上內(nèi)部網(wǎng)絡(luò)的接口不需要在企業(yè)外部被直接訪問到。
        

3  私有地址空間
      IANA保留了以下三段IP地址空間作為私有地址：
10.0.0.0 – 10.255.255.255
172.16.0.0 – 172.31.255.255
192.168.0.0 – 192.168.255.255
	  我們指第一段為24位段，第二段為20位段，第三段為16位段。 注意， 第一段只
是一個A類地址，第二段是16個連續(xù)B類地址的集合，第三段是255個連續(xù)C類地址的
集合。
	  一個企業(yè)若決定使用本文定義以外的IP地址， 則無須征得IANA許可或Internet注
冊。所以這類地址可被許多企業(yè)使用。 在私有地址空間內(nèi)的地址在一個企業(yè)內(nèi)部必須唯一。
	  過去， 一個需要全局唯一地址空間的企業(yè)被要求向Internet注冊組織獲得這樣的地
址。一個企業(yè)要求為其外部訪問所分配的地址決不會從以上定義的地址段中獲得。
	  為了使用私有地址空間，一個企業(yè)需要決定哪些主機(jī)在可預(yù)見的將來不需要連接外部
的網(wǎng)絡(luò)。這些主機(jī)將被稱為私有主機(jī)， 并將使用以上定義的私有地址空間。私有主機(jī)能與
企業(yè)內(nèi)部所有的公有和私有的主機(jī)通信。 但是，它們不能與外部主機(jī)進(jìn)行IP連接。盡管私
有主機(jī)不能與外部主機(jī)進(jìn)行網(wǎng)絡(luò)層的連接，它們?nèi)阅芡ㄟ^應(yīng)用層中繼訪問外部的服務(wù)。
	  除此之外的主機(jī)稱為公有主機(jī)，并使用從Internet注冊組織獲得的全局唯一的地址空
間。公有主機(jī)能與企業(yè)內(nèi)部所有的公有和私有的主機(jī)通信并能通過IP連接訪問外部公有主
機(jī)。公有主機(jī)不能與其他企業(yè)的私有主機(jī)連接。
	  把一臺主機(jī)從私有轉(zhuǎn)為公有或相反涉及到IP地址的變更。
      因?yàn)樗接械刂窙]有全局的意義，對于私有網(wǎng)絡(luò)的路由信息不能被傳遞到企業(yè)與企業(yè)之
間的連接上，使用私有源地址和目的地址的報文不能被傳送過這樣的連接。
	  網(wǎng)絡(luò)上不使用私有地址空間的路由器，特別是Internet服務(wù)提供商的，將會配置成拒
絕（過濾）私有網(wǎng)絡(luò)的路由信息。如果這樣的路由器接收到這樣的路由信息，路由器拒絕不
應(yīng)該被當(dāng)作路由協(xié)議錯誤。
	  企業(yè)內(nèi)部會出現(xiàn)對此類地址的間接引用。主要的例子是域名服務(wù)器資源記錄和其他引
用內(nèi)部私有地址的信息。Internet服務(wù)提供商應(yīng)特別采取措施避免這種泄漏。   
4  使用私有地址空間的優(yōu)缺點(diǎn)
使用私有地址空間的顯著的優(yōu)點(diǎn)是通過使不需要全局唯一地址的情況下不使用它而達(dá)
到保存全局唯一的地址空間的目的。
企業(yè)本身也從使用私有地址空間得到很多好處：它們得到了多于它們能從全局唯一地址
儲備中獲得的地址儲備，使它們在網(wǎng)絡(luò)的設(shè)計中獲得很多的靈活性。這樣使地址規(guī)劃在操作
和管理上更方便，成長擴(kuò)展更容易。
由于各種原因，Internet已經(jīng)遇到過這樣的情況：一個還沒有連到Internet的企業(yè)使用
未從IANA分配的地址給內(nèi)部的主機(jī)。在某些情況下，這個地址已經(jīng)分配給其他企業(yè)。當(dāng)這
個企業(yè)以后連到Internet時，可能發(fā)生一些嚴(yán)重的問題， 例如當(dāng)存在沖突的地址時， IP
路由不能正確操作。 使用私有地址空間為這些企業(yè)提供了一個安全的選擇， 可以避免需要
連接外部網(wǎng)絡(luò)時發(fā)生的沖突。 有人會說， 對于重新編址的潛在需要顯示了使用私有網(wǎng)絡(luò)以
外地址的一個顯著的缺點(diǎn)。  但是， 我們必須看到， 由于許多主機(jī)可能永遠(yuǎn)不需要轉(zhuǎn)到第
三類， 而且一個企業(yè)也許不會與其他的企業(yè)互連(在IP級)。
但是即使重新編址發(fā)生了，  我們必須看到一個使用CIDR(非類的域間路由)連到
Internet上的企業(yè)， 當(dāng)換了Network Service Providers(網(wǎng)絡(luò)服務(wù)提供商)時， 傾向于重新
對它的公有主機(jī)編址。 這樣重新編址在未來有可能經(jīng)常發(fā)生， 無論這個企業(yè)是否使用私有
網(wǎng)絡(luò)以外的地址段。 能便利于重新編址的工具(例如DHCP)的確使之費(fèi)心更少。 
也要看到私有和公有主機(jī)之間清晰的劃分和由此對重新編址的需要使在連接以外的控
制更困難， 所以在某種程度上重新編址的需要可以看作是一個優(yōu)點(diǎn)。
5  操作上的考慮
網(wǎng)絡(luò)規(guī)劃上一個推薦的策略是先設(shè)計網(wǎng)絡(luò)的私有部分， 并在所有的內(nèi)部連接上使用私
有地址空間。 然后在需要的地方設(shè)計公有子網(wǎng)并設(shè)計外部的連接。
這個設(shè)計并非固定不變。 如果一些主機(jī)將來需要改變狀態(tài)， 能通過僅對涉及到的主機(jī)
重新編址并安裝另外所需的物理子網(wǎng)來實(shí)現(xiàn)。
如果需要設(shè)計一個合適的子網(wǎng)模式， 并能被所涉及的設(shè)備所支持， 建議使用24位的
私有地址空間， 并制定一種可擴(kuò)展的地址設(shè)計規(guī)劃。 如果子網(wǎng)化有問題， 可以使用16
位的包括255個連續(xù)網(wǎng)絡(luò)地址的C類地址。
在同一物理媒質(zhì)上使用多個IP網(wǎng)絡(luò)(子網(wǎng))有很多缺點(diǎn)。 我們建議避免如此， 除非運(yùn)
行上的問題被很好地理解并證實(shí)所有的設(shè)備都能正確地支持。
把一臺主機(jī)從私有狀態(tài)轉(zhuǎn)到公有狀態(tài)將涉及到地址和多數(shù)情況下物理連接的變更。 在
這些變更能被預(yù)見到的地方(如機(jī)房)， 建議為私有和公有子網(wǎng)配置不同的物理媒質(zhì)， 以利
于此變更。
在整個網(wǎng)絡(luò)上能容易地變更所有主機(jī)的狀態(tài)， 且不對企業(yè)網(wǎng)絡(luò)的整體產(chǎn)生破壞。 因此
建議按照將來在同一子網(wǎng)上可能發(fā)生相同的連接上的變更把主機(jī)分組。 
強(qiáng)烈建議在連接外部網(wǎng)絡(luò)的路由器上的內(nèi)外兩端的連接上設(shè)置合適的包和路由過濾， 
以避免包和路由信息的丟失。 企業(yè)還應(yīng)該過濾任何進(jìn)入的私有網(wǎng)絡(luò)地址以避免出現(xiàn)不明確
的路由狀態(tài)， 這種狀態(tài)在對私有地址空間的路由指向企業(yè)外部時發(fā)生。
對于那些預(yù)見到較大的交互通信需求的組織集團(tuán)， 可以考慮通過設(shè)計一個公共的地址
規(guī)劃來組成一個企業(yè)， 這個規(guī)劃被必要的組織協(xié)議如注冊機(jī)構(gòu)所支持。
如果在同一企業(yè)的兩個站點(diǎn)需要使用外部的服務(wù)提供商互連， 可以考慮使用IP隧道技
術(shù)以避免發(fā)生私有網(wǎng)絡(luò)上的包的丟失。 
避免DNS RRs丟失的一個可能的措施是運(yùn)行兩個域名服務(wù)器， 一個外部的服務(wù)器授
權(quán)服務(wù)于所有全局唯一的IP地址， 一個內(nèi)部的服務(wù)器授權(quán)服務(wù)于所有企業(yè)內(nèi)部的私有和公
有的IP地址。 為了保持連貫性， 這些服務(wù)器應(yīng)該從外部服務(wù)器接收到的已被過濾版本的
數(shù)據(jù)進(jìn)行配置。
在所有內(nèi)部公有和私有主機(jī)上的解析器， 只查詢內(nèi)部的域名服務(wù)器。 外部的服務(wù)器解
析從企業(yè)外部來的查詢， 并且連接全局的域名服務(wù)器。  內(nèi)部的服務(wù)器把針對企業(yè)外部信
息的查詢前送至外部服務(wù)器， 因此所有的內(nèi)部主機(jī)能訪問全局的域名服務(wù)器。 這樣保證了
私有主機(jī)的信息不會到達(dá)企業(yè)外部的解析器和域名服務(wù)器。 
6  參考
[1] Gerich， E。， "Guidelines for Management of IP Address Space"， RFC
       1466， Merit Network， Inc。， May 1993。
7  安全上的考慮
	雖然使用私有地址空間可以增進(jìn)安全性， 但這不能替換專門的安全措施。
8  結(jié)論
	借助詳細(xì)的規(guī)劃， 很多大的企業(yè)需要相對更少的全局地址空間。 整個Internet由于節(jié)
約了全局地址空間， 并由此有效地延長IP地址空間的使用期限而受益。 企業(yè)由于能使用
相對更大的地址空間而增加的靈活性而受益。
9  致謝
感謝Tony Bates (RIPE NCC)， Jordan Becker (ANS)，
   Hans-Werner Braun (SDSC)， Ross Callon (Wellfleet)， John Curran
   (NEARNET)， Vince Fuller (Barrnet)， Tony Li (cisco Systems)， Anne Lord
   (RIPE NCC)， Milo Medin (NSI)， Marten Terpstra (RIPE NCC)， 和 Geza
   Turchanyi (RIPE NCC)的審閱和建設(shè)性的建議。
10 作者聯(lián)系方式
Yakov Rekhter   
T.J.  Watson Research Center， IBM Corp。 
P.O. Box 218
Yorktown Heights, NY, 10598   
Phone: +1 914 945 3896   
Fax: +1 914 945 2141
EMail: yakov@watson.ibm.com   

Robert G Moskowitz  
Chrysler Corporation
CIMS: 424-73-00   25999 Lawrence Ave   
Center Line， MI 48015
Phone: +1 810 758 8212   
Fax: +1 810 758 8173   
EMail: 3858921@mcimail.com

Daniel Karrenberg   
RIPE Network Coordination Centre   Kruislaan 409 
1098 SJ Amsterdam， the Netherlands   
Phone: +31 20 592 5065
Fax: +31 20 592 5090   
EMail: Daniel.Karrenberg@ripe.net   

Geert Jan de Groot
RIPE Network Coordination Centre   Kruislaan 409
1098 SJ Amsterdam， the Netherlands   
Phone: +31 20 592 5065
Fax: +31 20 592 5090   
EMail: GeertJan.deGroot@ripe.net
RFC1597——Address Allocation for Private Internets             私有Internet的地址分配


1
RFC文檔中文翻譯計劃