Pourquoi les réseaux domestiques sont-ils préfixés 192.168?

47

Pourquoi les réseaux domestiques sont-ils préfixés 192.168?

Pourquoi ces chiffres?

Pour des raisons historiques?

alex
la source

Réponses:

77

La réponse courte

Une spécification Internet appelée RFC 1918 réservait quelques blocs d'adresses pour les réseaux "privés", ce que vous devriez utiliser lorsque vous ne disposez pas d'assez d'adresses IP publiques et routables. 192.168 / 16 était l'un de ces blocs.

La réponse longue (et puis certains)

Au bon vieux temps, tout sur Internet recevait sa propre adresse IP publique, routable et "routable" qu'il ne fallait presque jamais changer. C'était génial parce que chaque fois que vous vouliez exécuter une nouvelle application géniale qui implémentait un nouveau protocole, ou configurer votre propre serveur à la maison qui était accessible n'importe où, vous pouviez simplement exécuter le logiciel sans vous soucier de la redirection de port de traduction d'adresses réseau (NAT) / mappage ou ALG ou DMZ ou ports de déclenchement ou épingle à cheveux. Les ingénieurs qui ont écrit le logiciel n’ont pas non plus besoin de devenir des experts des problèmes de traversée du NAT, mais uniquement pour concrétiser leur bonne idée.

Mais l’ Autorité des numéros attribués à l’ Internet a commencé à s’inquiéter du fait qu’elle manquerait d’adresses trop rapidement, de sorte qu’il était plus difficile pour les fournisseurs de services Internet d’obtenir des adresses. Les fournisseurs de services Internet ont donc rendu l’accès aux adresses plus difficile pour les clients. Lorsque le haut débit à domicile et les réseaux domestiques ont vraiment commencé à faire leur chemin, il était devenu pratique courante de donner à chaque ménage une seule adresse IP publique (et même cela va bientôt disparaître). Donc, si vous vouliez avoir plus d'une machine de votre foyer sur Internet, vous deviez utiliser une passerelle NAT qui simulait comme si toutes les machines de votre réseau domestique partageaient la même adresse IP publique. Mais toutes les autres machines de votre réseau domestique avaient besoin de leurs propres adresses IP privées pour communiquer avec la passerelle NAT et d'un groupe de travail d'ingénierie Internet antérieur .La spécification appelée RFC 1918 avait défini quelques blocs d’adresses IP pouvant être utilisés pour des réseaux privés tels que:

8.10 (10.0.0.0 par 10.255.255.255)
172,16 / 12 (172. 16 .0.0 par 172. 31 .255.255)
192,168 / 16 (192.168.0.0 par 192.168.255.255)

Le NAT enfreint en réalité un principe de conception Internet très important appelé End to End . Espérons que nous pourrons revenir à une connectivité sans faille de bout en bout à mesure que nous passerons à IPv6. IPv6 a un espace d'adressage si important que nous ne devrions jamais pouvoir nous épuiser. Nous ne devrions donc jamais avoir besoin de NAT pour IPv6. J'espère que cela ouvrira de nouveau la porte à de nombreux protocoles innovants qui sont un peu difficiles à écrire lorsque toutes les machines qui souhaitent utiliser les protocoles sont derrière un nombre arbitraire de NAT mis en œuvre différemment qui parviennent à casser des choses en grand nombre de façons différentes, souvent subtiles.

Spiff
la source
8
Très bonne réponse. Il est également utile de noter que le NATing est souvent une mesure de sécurité utile (certainement pour les utilisateurs à domicile qui pourraient autrement être vulnérables aux attaques entrantes). Bien qu'il existe de nombreuses adresses IPv6 à contourner, il est tout à fait possible qu'elles iront plus vite qu'elles ne le devraient si les gens peuvent réserver / acheter de gros blocs. La raison pour laquelle IPv4 a commencé à s’épuiser si tôt a été une combinaison de la manière dont les classes ont été mises en œuvre et de plusieurs grandes organisations qui ont acheté plusieurs espaces de classe A, qui leur sont toujours enregistrés mais qui ne sont pratiquement pas utilisées. NAT et CIDR ont ensemble ralenti le problème.
AdamV
7
@AdamV NAT en soi n'est pas une mesure de sécurité utile. L'effet secondaire du NAT consistant à bloquer les connexions entrantes non sollicitées par défaut pourrait être considéré comme une mesure de sécurité, mais nous en serions tous mieux si nous utilisions simplement des pare-feu pour cela, sans introduire de rupture avec le style NAT. En outre, à quel moment une classe A a-t-elle déjà été achetée (à l'exception de celles qui ne changent que fortuitement de mains lors de fusions et acquisitions d'entreprises)?
Spiff
Le MIT possède par exemple un espace IP / 8 (ancienne classe A). Il en va de même pour le DoD et de nombreux autres organismes gouvernementaux.
MDMarra
5
"IPv6 a un espace d'adressage si grand que nous ne devrions jamais pouvoir en manquer" et vous devez alors installer un réseau pour le mars et un pour jupiter .. ça me rappelle un peu "nah, 640kb .. PLUS de RAM que jamais nécessaire ":)
akira
2
@Spiff: et certains réseaux dans d'autres galaxies et tout d'un coup, vous souhaitez avoir des adresses IP 1024 bits :) ce commentaire n'était pas vraiment sérieux, d'ailleurs
Akira
19

Il s’agit d’un bloc privé d’adresses IP qui ne peuvent pas être routées sur l’Internet public et qui sont réservées à un usage interne pour être mises en NAT au monde extérieur. Le document qui définit cela est RFC 1918 , qui est appliqué par l' IANA .

Les blocs d'adresses IPv4 à usage privé sont les suivants:

 10.0.0.0 /8     (any address beginning with 10.x.x.x)
 192.168.0.0 /16 (any address beginning with 192.168.x.x)
 172.16.0.0 /12  (any address beginning with 172.16.x.x through 172.31.x.x)
MDMarra
la source
4

la réponse courte est, vraiment, nous ne savons pas.

Il est évidemment utile d’avoir des plages d’adresses spéciales disponibles pour les réseaux locaux.

et rfc 1918 peut les avoir spécifiées, mais n'explique pas pourquoi ces plages d'adresses particulières ont été attribuées, plutôt qu'une autre. (c’est-à-dire que 192.168.xy n’est pas intrinsèquement différent de 193.169.xy, sauf qu’il est convenu par convention d’être utilisé comme "privé". cela aurait tout aussi bien pu être n’importe quelle plage d’adresses.)

0.xyz ou 255.xyz auraient peut-être été un choix plus évident, mais pourraient ne pas être disponibles. nous nous retrouvons donc avec un groupe aléatoire de nombres sans signification.

shloime
la source
2
J'ai l'impression que c'est la seule réponse qui répond même à la question "Pourquoi ces chiffres?"
joshfindit
3

Chaque ordinateur d'un réseau a une adresse pour s'identifier. Dans un réseau, quelqu'un attribue une adresse à chaque ordinateur en s'assurant qu'il n'y a pas de doublons. Les internets sont des réseaux interconnectés. Lorsque deux réseaux veulent être connectés, les adresses d'identification doivent désormais être uniques sur les deux réseaux. Si vous avez un réseau, un Internet ou une collection de ces réseaux, vous pouvez utiliser le schéma de votre choix pour attribuer les adresses. Toutefois, si vous souhaitez les connecter à Internet, vous devez uniquement utiliser les adresses de vos ordinateurs qui ne sont pas utilisées par les autres utilisateurs du reste de l’Internet. Il existe des moyens d'obtenir une adresse à cette fin.

La raison pour laquelle 192.168 existe est qu’il n’est pas nécessaire de demander une adresse à une autre personne. Vous pouvez choisir celles qui commencent par 192.168 et il n'y aura pas de conflit avec une autre, car ces adresses ne peuvent être utilisées que dans votre ou vos réseaux et ne sont pas utilisées par certains en dehors de votre réseau pour référencer vos machines. Ils peuvent également utiliser les adresses 192.168 pour la machine à l'intérieur de ce réseau que vous ne pourrez pas voir afin qu'elles n'entrent pas en conflit avec vos adresses 192.168.

Cela pose la question de savoir d’où vient le 192.168, mais pas pourquoi il est utilisé pour les ordinateurs personnels connectés à Internet. Les adresses à distribuer pour les ordinateurs sur Internet sont devenues rares. Par conséquent, plutôt que d’attribuer de manière permanente une adresse à chaque ordinateur, votre fournisseur d’accès Internet a attribué une adresse temporaire pendant la connexion de votre modem. Ils ont alors utilisé le numéro d’une autre personne pour vous déconnecter. De cette façon, un nombre pourrait être partagé par des dizaines de clients.

Lorsque des domiciles ont commencé à avoir plusieurs ordinateurs, de sorte qu'ils sont devenus leurs propres réseaux plutôt qu'un ordinateur sur le réseau du fournisseur de services Internet, le schéma 192.168 a été utilisé pour les réseaux domestiques et le fournisseur de services Internet, matériel et logiciel ont géré toute la magie nécessaire pour convertir votre adresse interne non accessible par Internet. , 192.168, en un qui est partagé par tous les ordinateurs de votre réseau domestique. Ils ressemblent tous à un seul ordinateur pour les réseaux extérieurs.

CW Holeman II
la source
3

Comme indiqué, 198.168.0.0/16 est une plage d'adresses privée. Cette plage est généralement utilisée pour les petits réseaux. Elle est donc devenue la valeur par défaut pour les routeurs domestiques. Comme discuté ci-dessous, cela fournit une mesure de sécurité.

169.254.0.0/16 a été réservé pour une adresse configurée automatiquement. Ils sont utilisés par zeroconf et bonjour pour configurer une adresse lorsqu'une adresse n'est pas disponible autrement. Les systèmes utilisant ces adresses peuvent toujours avoir accès à Internet s'ils peuvent découvrir un proxy dans cette plage d'adresses.

Bien que la bout en bout soit un bon principe de conception, il peut s'agir d’un mauvais principe de sécurité. Auparavant, les administrateurs système travaillaient dans un réseau de confiance et les virus, vers, etc., suscitaient peu de préoccupations. Les temps ont changé.

En pratique, la plupart des réseaux comprennent un grand nombre de machines qui ne devraient jamais être directement accessibles depuis Internet, et quelques-unes qui doivent l'être. En plaçant les machines qui n'ont pas besoin d'être adressables depuis Internet sur une adresse réseau privée, elles sont automatiquement sécurisées depuis Internet. De nombreuses organisations ont déplacé la plupart des machines des adresses publiques aux adresses privées même lorsqu'elles disposent des adresses publiques disponibles.

Les machines avec des adresses sur une adresse privée ont besoin d'assistance pour accéder à Internet. Les routeurs domestiques fournissent une traduction d'adresses réseau (NAT) pour mapper la machine sur une adresse Internet valide. Ils peuvent fournir un pare-feu pour limiter les ports sur Internet accessibles, et permettre également à une machine d'être désignée serveur DMZ.

Les grandes organisations disposeront de serveurs de messagerie et de serveurs proxy dans une zone démilitarisée (DMZ) dont l’accès au réseau de l’organisation est limité. Ces machines peuvent avoir une adresse Internet valide ou utiliser NAT pour accéder au réseau. La NAT peut également être utilisée pour permettre aux machines situées sur des adresses privées d'accéder à certains ou à tous les services sur Internet. Dans tous les cas, ils utiliseront probablement un ou plusieurs pare-feu pour séparer Internet, le DMX et le réseau interne.

BillThor
la source