Network Working Group Y. Rekhter RFC: 1597 T.J. Watson Research Center, IBM Corp. Categoría: Informativo B. Moskowitz Chrysler Corp. D. Karrenberg RIPE NCC G. de Groot RIPE NCC March 1994 Asignación de direcciones para Internets privadas Estado de esta nota Esta nota suministra información para la comunidad de Internet. Esta nota no especifica un estandar de Internet de ningún tipo. La distribución de esta nota es ilimitada. 1. Introducción. Este RFC describe métodos para preservar el espacio de direcciones IP, mediante la no globalización única de las direcciones IP de los host privados, mientras que sigue permitiendo una total conectividad en la capa de red entre todos los host así como entre todos los host públicos de diferentes empresas. El autor espera que usando estos métodos se pueda hacer significativos ahorros en la asignación del espacio de direcciones IP. Para los propositos de esta nota, una empresa es una entidad operando una red autonomamente usando TCP/IP y en particular, determinando el plan de direccionamiento y las asignaciones de direcciones dentro de la red. 2. Motivación Con la proliferación mundial de la tecnología TCP/IP, incluyendo fuera de Internet en si misma, un número en incremento de empresas no conectadas usan esta tecnología y sus capacidades de direccionamiento para sus propias comunicaciones intra empresa, sin ninguna intención de conectarse directamente a otras empresas o a internet en si misma. La práctica actual es asignar globalmente direcciones únicas a todos los host que usan TCP/IP. Hay una preocupación concerniente a que el espacio finito de direcciones IP podría quedar agotado. Por consiguiente, las guias de consultas para la asignación del espacio de direcciones IP han estado apretadas en los últimos años [1]. Estas reglas son sobre todo más conservadoras de lo que las empresas quisieran con el fin de implementar y operar sus redes. Postel [Pág. 1] RFC 1597 Asignación de direcciones para Internets privadas Mar-1994 Las máquinas dentro de las empresas que usan IP pueden ser divididas en tres categorías: - Máquinas que no requieren acceso a máquinas en otras empresas o a lo largo de Internet; - Máquinas que necesitan acceso a un conjunto limitado de servicios exteriores (p.e. E-mail, FTP, netnews, Acceso remoto) y que puede ser manejado por pasarelas a nivel de aplicación; - Máquinas que necesitan acceso a nivel de red fuera de la empresa, (suministrado via conectividad IP); - Máquinas dentre de la primera categoría pueden usar direcciones IP que son únicas dentro de la empresa, pero que pueden ser ambiguas emtre empresas. Para muchas máquinas en la segunda categoría, un acceso externo sin restricciones (suministrado via conectividad IP) puede ser innecesario e incluso indeseable por razones de privacidad/seguridad. Precisamente las máquinas dentro de la primera categoría, tales máquinas pueden usar direcciones IP que son únicas dentro de una empresa, pero pueden ser ambiguas entre empresas. Solamente las máquinas en la última categoría requieren direcciones IP que son únicas globalmente. Muchas aplicaciones requieren conectividas sólo dentro de una empresa e incluso no necesitan conectividad externa para la mayoría de las máquinas internas. En empresas grandes es amenudo fácil identificar un sustancial número de máquinas usando TCP/IP que no necesitan conectividad a nivel de red fuera de la empresa. Algunos ejemplos donde la conectividad externa puede no ser requerida son: - Un gran aeropuerto que tiene visualizadores de salidas/llegadas direccionables vía TCP/IP, es muy improbable que estos visualizadores necesiten ser accedidos directamente desde otras redes. - Las grandes organizaciones como bancos y bursatiles están cambiando al TCP/IP para sus comunicaciones internas. un gran Postel [Pág. 2] RFC 1597 Asignación de direcciones para Internets privadas Mar-1994 número de estaciones de trabajo locales, como cajas registradoras, maquinas de dinero y equipo en lugares administrativos rara vez necesitan tener tal conectividad. - Por motivos de seguridad, muchas empresas usan una pasarela en la capa de aplicación, (p.e. cortafuegos) para conectar su red interna a internet, la red interna usualmente no tiene acceso directo a Internet, de tal forma que sólo una o más máquinal cortafuegos son visibles desde Internet. En este caso, la red interna puede usar direcciones IP no únicas. - Si dos empresas se comunican a traves de un enlace privado propio, normalmente sólo un conjunto muy limitado de máquinas es mutuamente alcanzable desde la otra empresa a traves de este enlace. Sólo estas máquinas necesitan direcciones IP únicas globales. - Los interfaces de enrutadores en una red interna normalmente no necesitan ser accedidos directamente desde fuera de la empresa. 3. Espacio de direcciones privadas La autoridad de asignación de números de Internet (IANA) a reservado los siguientes tres bloques del espacio de direcciones IP para redes privadas: 10.0.0.0 - 10.255.255.255 172.16.0.0 - 172.31.255.255 192.168.0.0 - 192.168.255.255 Nos referiremos al primer bloque como "bloque de 24-bit", al segundo bloque como "bloque de 20-bit", y al tercero como "bloque de 16-bit". Observe que el primer bloque no es más que una única red de clase A, mientras que el segundo bloque es un conjunto de 16 redes contiguas de clase B, y el tercer bloque es un conjunto de 255 redes contiguas de clase C. Una empresa que decida usar direcciones fuera del espacio de direcciones definido en este documento puede hacerlo sin ninguna corrdinación con la IANA o un registro de Internet. El espacio de direccionamiento puede ser usado así por muchas empresas. Las direcciones dentro de este espacio de direcciones privadas sólo serán únicas dentro de la empresa. Como antes, cualquier empresa que necesite obtener un espacio de Postel [Pág. 3] RFC 1597 Asignación de direcciones para Internets privadas Mar-1994 direccionamiento único globaldeberá obtener tales direcciones desde un registro de Internet. Una empresa que requiera direcciones IP para su conectividad externa nunca será asignada con direcciones desde los bloques definidos anteriormente. Con el fin de usar un espacio de direcciones privado, una empresa necesita determinar que máquinas no necesitan tener conectividad en la capa de red fuera de la empresa en el futuro próximo. Tales máquinas serán llamadas máquinas privadas, y usarán el espacio de direcciones privada definido anteriormente. Sin embargo, estas no podrán tener conectividad IP a cualquier máquina externa. Aunque las máquinas privadas no tengan conectividad externa en la capa de red pueden seguir teniendo acceso a servicios externos mediante retransmisores en la capa de aplicación. Todas las demás máquinas, serán llamadas públicas y usarán un espacio de direccionamiento público asignado por un registro de internet. Las máquinas públicas pueden comunicarse con otras máquinas dentro de la empresa tanto públicas como privadas y pueden tener conectividad con máquinas públicas externas. Las máquinas públicas no tienen conectividad a máquinas privadas de otras empresas. Mover una máquina de privada a pública o viceversa inplica un cambio de dirección IP. Debido a que las direcciones privadas no tienen un significado global, la información de enrutamiento sobre redes privadas no serán propagadas en enlaces entre empresas, y los paquetes con direcciones de fuente o destino privadas no serán remitidas a traves de tales enlaces. Los enrutadores en las redes no usan espacio de direcciones privadas, especialmente de los suministradores de servicio de Internet, se espera que estén configurados para rechazar, (filtrado hacia afuera), información de enrutamiento sobre redes privadas. Si uno de esos enrutadores recibe tal información el rechazo no será tratado como un error del protocolo de enrutamiento. Las referencias indirectas a tales direcciones deben ser contenidas dentro de la empresa. Ejemplos prominentes de tales referencias son los registros de recurso DNS y otra información referiendose a direcciones privadas internas. En particulas, los suministradores de servicio de Internet deberán tomar medidas para previnir tales salidas. 4. Ventajas y desventajas del uso del espacio de direcciones privadas. La ventaja obvia del uso del espacio de direcciones privado para Internet a la larga es la conservación del espacio de direcciones único global mediante el no uso de de direcciones únicas donde no Postel [Pág. 4] RFC 1597 Asignación de direcciones para Internets privadas Mar-1994 sean requeridas. Las empresas por si mismas también gozan de un número de ventajas de el uso de direcciones privadas: Ganan en flexibilidad en el diseño de la red por que tienen más espacio de direccionamiento a su disposición que el que podrían obtener de la piscina global única. Esto habilita operatividad y esquemas de administración de direcciones convenientes así como caminos más fáciles de crecer. Por una variedas de motivos, Internet ya se ha encontrado situaciones donde una empresa que no estaba conectada a Internet estaba usando un espacio de direcciones IP para sus máquinas fuera del espacio de direcciones asignado por la IANA. en tales casos este espacio de direcciones ya ha sido asignado a otras empresas. Cuando tal empresa se conecta luego a Internet, puede crear potencialmente serios problemas, tal y como que el enrutamiento IP no puede proveer operaciones correctas en presencia de un direccionamiento ambiguo. Usar un espacio de direcciones privado suministra una elección segura para tales empresas, evitando choques una vez que la conectividad exterior sea necesaria. Alguien podría argumentar que la necesidad potencial de renumerar representa una desventaja significativa del uso de direcciones fuera del bloque permitido para internets privadas. Sin embargo, necesitamos observar que la necesidad es sólo "potencial", debido a que muchas máquinas podrían no moverse nunca a la tercera categoría, y una empresa podría no decidirse nunca a interconectarse (a nivel IP) con otra empresa. Pero incluso si hay que renumerar, tenemos que observar que con el "Classless Inter-Domain Routing (CIDR)", una empresa que está conectada a Internet puede ser animada a renumerar sus máquinas públicas, si cambia de suministrador de Internet. Es probable que esta renumeración suceda más veces en el futuro, independientemente de si una empresa usa o no usa direcciones fuera del bloque localizado para redes privadas. Las herramientas que ayudan la renumeración, (p.e. DHCP) podrían quitarle muchas preocupaciones. Observe también la división limpia entre máquinas públicas y privadas y la necesidad resultante de renumerar hace la conectividad al exterior incontrolada más dificultosa, de tal forma que extendemos la necesidad de renumerar como una ventaja. 5. Consideraciones de operación. Una estrategia recomendada es el diseño de la parte privada de la red primero y usar un espacio de direcciones privado para todos los enlaces internos. entonces se planean las subredes públicas y las Postel [Pág. 5] RFC 1597 Asignación de direcciones para Internets privadas Mar-1994 localizaciones necesarias y diseñar la conectividad externa. Este diseño no es permanentemente fijo. Si un número de máquinas requieren cambiar de estado posteriormente esto puede ser realizado mediante la renumeración sólo de las máquinas involucradas y la instalación de otra subred física si fuere necesario. Si un esquema de subred puede ser diseñado y soportado convenientemente por el equipo concerniente, es aconsejable el uso de bloques de 24-bit del espacio de direcciones privado y hacer un plan de direccionamiento con un buén camino de crecimiento. Si las subredes es un problema, puede ser usado el bloque de clase C de 16-bit, que consiste en 256 redes de clase C continuas. El uso de multiples subredes IP en el mismo medio físico tiene muchas trampas. Recomendamos que se evite a menos que los problemas de operacionales se puedan entender y prevenir adecuadamente por el equipo de soporte. Mover el estado de una única máquina entre pública y privada puede involucrar un cambio de direcciones y en la mayoría de los casos de conectividad física. En los lugares donde tales cambios puedan ser previstos (salas de servidores, etc.) puede ser aconsejable configurar medios físicos separados para subredes públicas y privadas que faciliten tales cambios. Cambiar el estado de todas las máquinas de una (sub)red entera puede ser hecho más fácilmente y sin interrupción para la red corporativa como un todo. Por consiguiente es aconsejable agrupar las máquinas que por necesidades de conectividad puedan experimentar cambios similares en el futuro en sus propias subredes. Es fuertemente recomendable que los enrutadores que conectan empresas a redes externas estén configurados con filtros de paquetes y enrutamiento adecuados en ambos extremos del enlace con el fin de prevenir la salida de paquetes e información de enrutado. Una empresa debería también filtrar cualquier red privada de información de enrutado entrante con el fin de protegerse de situaciones de enrutado ambiguas que pueden producirse si la ruta al espacio de direccionamiento privado apuntan hacia fuera de la empresa. Los grupos de organizaciones que prevean grandes necesidades de comunicación entre ellos pueden considerar la formación de una empresa similar a un registro mediante el diseño de un plan de soporte de un espacio de direcciones común mediante los arreglos organizativos necesarios. Si dos máquinas de una misma empresa necesitan ser conectadas usando Postel [Pág. 6] RFC 1597 Asignación de direcciones para Internets privadas Mar-1994 un suministrador de servicio externo, se puede considerar el uso de un tunel para prevenir pérdidas de paquetes desde la red privada. Una posible aproximación para evitar perdidas de DNS RRs es el ejecutar dos servidores de nombres, un servidor externo autoritativo para todas las direcciones IP únicas globales de la empresa y un servidor interno autoritativo para todas las direcciones IP de la empresa, tanto públicas como privadas. Con el fin de asegurarse la consistencia entre ambos servidores deberán ser configurados desde los mismos datos de los cuales, el servidor de nombres externo sólo recibe una versión filtrada. Los resolutores de todas las máquinas internas, tanto públicas como privadas,preguntan sólo al servidor de nombres interno. El servidor de nombres externo resuelve preguntas desde resolutores de fuera de la empresa y es enlazado con el DNS global. El servidor interno remite todas las preguntas para información de fuera de la empresa al servidor de nombres externo, de tal forma que todas las máquinas internas pueden acceder al DNS global. Esto asegura que la información sobre máquinas privadas no es leida por resolutores y DNS de fuera de la empresa. 6. referencias [1] Gerich, E., "Guidelines for Management of IP Address Space", RFC 1466, Merit Network, Inc., May 1993. 7. Consideraciones de seguridad. Aunque el uso del espacio de direcciones privado puede mejorar la seguridad, no es un sustituto para medidas de seguridad dedicadas. 8. Conclusión. Con el esquema descrito muchas grandes empresas sólo necesitarán un bloque relativamente pequeño de direcciones del espacio de direc­ cionamiento global único. Los beneficios a la larga en Internet a traves de la conservación del espacio de direccines único global es que alargarán con eficacia la vida del espacio de direcciones IP. Las empresas se beneficiarán del incremento de flexibilidad suministrado por un espacio de direcciones relativamente grande. 9. Reconocimientos. queremos dar las gracias a Tony Bates (RIPE NCC), Jordan Becker (ANS), Hans-Werner Braun (SDSC), Ross Callon (Wellfleet), John Curran (NEARNET), Vince Fuller (Barrnet), Tony Li (cisco Systems), Anne Lord Postel [Pág. 7] RFC 1597 Asignación de direcciones para Internets privadas Mar-1994 (RIPE NCC), Milo Medin (NSI), Marten Terpstra (RIPE NCC), and Geza Turchanyi (RIPE NCC) por su revisión y comentarios constructivos. 10. Direcciones de los autores. Yakov Rekhter T.J. Watson Research Center, IBM Corp. P.O. Box 218 Yorktown Heights, NY, 10598 Phone: +1 914 945 3896 Fax: +1 914 945 2141 EMail: yakov@wat­ son.ibm.com Robert G Moskowitz Chrysler Corporation CIMS: 424-73-00 25999 Lawrence Ave Center Line, MI 48015 Phone: +1 810 758 8212 Fax: +1 810 758 8173 EMail: 3858921@mci­ mail.com Daniel Karrenberg RIPE Network Coordination Centre Kruislaan 409 1098 SJ Amsterdam, the Netherlands Phone: +31 20 592 5065 Fax: +31 20 592 5090 EMail: Daniel.Karren­ berg@ripe.net Geert Jan de Groot RIPE Network Coordination Centre Kruislaan 409 1098 SJ Amsterdam, the Netherlands Phone: +31 20 592 5065 Fax: +31 20 592 5090 EMail: GeertJan.deG­ root@ripe.net Notas del traductor: Este documento está expuesto a posibles errores de traducción, de tal forma que no me hago responsable de cualquier posible daño o pérdida que se pueda producir de interpretaciones incorrectas del documento. Postel [Pág. 8]