Network Working Group Y. Rekhter Request for Comments: 1918 Cisco Systems Obsoletes: 1627, 1597 B. Moskowitz BCP: 5 Chrysler Corp. Categoría: Mejor Práctica Actual D. Karrenberg RIPE NCC G. J. de Groot RIPE NCC E. Lear Silicon Graphics, Inc. Febrero 1996 Asignación de direcciones para Internet privadas Status de este memorándum Este documento especifica unas "Mejores Prácticas Actuales", Best Current Practices (BCP), para la comunidad Internet, y solicita su discusión y sugerencias para mejorarlas. La distribución de este memorándum es ilimitada. 1. Introducción Para los propósitos de este documento, una empresa es una entidad que maneja de manera autónoma una red usando TCP/IP y en particular, que determina el plan de direccionamiento y las asignaciones de direcciones dentro de esa red. Este documento describe la asignación de direcciones en las redes privadas. La asignación permite la completa conectividad de nivel de red entre todas las máquinas de la empresa así como entre todas las máquinas públicas de diferentes empresas. El coste de usar un espacio privado de direcciones de Internet es el coste potencial del esfuerzo de reasignar las direcciones de las máquinas y redes de públicos a privados. 2. Motivación Con la proliferación mundial de la tecnología TCP/IP, incluso fuera de la propia Internet, un creciente número de empresas no conectadas usan esta tecnología y sus capacidades de direccionamiento únicamente para las comunicaciones internas, sin intención alguna de en algún momento conectarse directamente a otras empresas o a la propia Internet. Internet ha crecido más allá de todas las previsiones. El continuo crecimiento exponencial continúa presentando nuevos retos. Uno de los Rekhter, et al Mejor Práctica Actual [Pág. 1] RFC 1918 Asignación de Direcciones Privadas Febrero 1996 retos es la constancia dentro de la comunidad de que el espacio de direcciones globalmente únicas se agotará. Un asunto distinto y bastante más acuciante es que la sobrecarga de encaminamiento crecerá más allá de las capacidades de los "Proveedores de Servicios de Internet", Internet Service Providers (ISP). Dentro de la comunidad existen iniciativas en curso para encontrar soluciones duraderas para ambos problemas. Mientras tanto es necesario reconsiderar los procedimientos de asignación de direcciones, y su impacto en el sistema de encaminamiento de Internet. Para contener el aumento en la sobrecarga de encaminamiento, un proveedor de Internet obtiene un bloque de espacio de direcciones de un registro de direcciones, y entonces asigna a sus clientes direcciones de ese bloque según las necesidades de cada cliente. El resultado de este proceso es que las rutas hacia muchos clientes pueden ser agrupadas, y aparecerán a los demás proveedores como una sola ruta [RFC1518], [RFC1519]. Para que esta agregación de rutas sea efectiva, los proveedores de Internet animarán a los clientes que se unan a su red a usar el bloque de direcciones del proveedor, y en consecuencia a renumerar sus máquinas. En el futuro, lo que ahora es una recomendación podría convertirse en una obligación. Con el actual tamaño de Internet y su ritmo de crecimiento ya no es realista asumir que por el hecho de obtener una dirección IP globalmente única de un registro de Internet, la organización que consiga dicha dirección dispondrá de conectividad IP en todo Internet una vez dicha organización se conecte a Internet. Todo lo contrario, es bastante probable que cuando la organización se conecte a Internet para alcanzar conectividad IP global en Internet la organización tenga que cambiar las direcciones IP (renumerar) todas sus máquinas públicas (las máquinas que necesitan conectividad IP global en Internet), independientemente de si las direcciones inicialmente usadas por la organización eran globalmente únicas o no. Ha sido típico asignar direcciones globalmente únicas a todas las máquinas que usan TCP/IP. Para prolongar la vida del espacio de direcciones IPv4, los registros de direcciones solicitan más justificaciones que nunca, haciendo más difícil que las organizaciones obtengan espacios de direcciones adicionales [RFC1466]. Se pueden dividir en tres categorías las máquinas que usan IP dentro de las empresas: Categoría 1: máquinas que no necesitan acceder a máquinas en otras empresas, o Internet en general; las máquinas dentro de esta categoría pueden usar direcciones IP que sean únicas dentro de la empresa, pero que pueden no ser Rekhter, et al Mejor Práctica Actual [Pág. 2] RFC 1918 Asignación de Direcciones Privadas Febrero 1996 únicas entre empresas. Categoría 2: máquinas que necesitan acceso a un conjunto reducido de servicios externos (por ejemplo, e-mail, FTP, news, login remoto) que pueden ser gestionados por pasarelas intermedias (por ejemplo, pasarelas de nivel de aplicación). Para muchas máquinas en esta categoría, un acceso sin restricciones al exterior (el proporcionado por la conectividad IP) puede ser innecesario e incluso no deseable por razones de seguridad y/o privacidad. Como en el caso de las máquinas en la primera categoría, tales máquinas pueden usar direcciones IP que sean únicas dentro de la empresa, pero que puedan ser ambiguas entre empresas distintas. Categoría 3: máquinas que necesitan acceso de nivel de red hacia el exterior de la empresa (proporcionado mediante la conectividad IP); las máquinas en esta última categoría necesitan direcciones IP que sean globalmente únicas. Nos referiremos a las máquinas en la primera y segunda categorías como "privadas". Nos referiremos a las máquinas en la tercera categoría como "públicas". Muchas aplicaciones necesitan conectividad sólo dentro de una empresa y no necesitan conectividad externa (fuera de la empresa) para la mayoría de las máquinas internas. En frecuente que en las grandes empresas sea sencillo identificar un considerable número de máquinas usando TCP/IP que no necesitan conectividad de nivel de red fuera de la empresa. Algunos ejemplos donde la conectividad externa podría no ser necesaria son: - Un gran aeropuerto que tiene sus pantallas de llegadas y salidas direccionables individualmente mediante TCP/IP. Es muy improbable que estas pantallas necesiten ser directamente accesibles desde otras redes. - Grandes organizaciones como bancos y cadenas de pequeños comercios que estén cambiando a TCP/IP para sus comunicaciones internas. El elevado número de puestos locales tales como cajas registradoras, dispensadores de efectivo, y equipamiento en otros puestos raramente necesitan disponer de tal conectividad. Rekhter, et al Mejor Práctica Actual [Pág. 3] RFC 1918 Asignación de Direcciones Privadas Febrero 1996 - Por razones de seguridad, muchas empresas usan pasarelas de nivel de aplicación para conectar sus redes internas a Internet. A menudo las redes internas no tienen acceso directo a Internet, y sólo una o más pasarelas son visibles desde Internet. En este caso, la red interna puede usar números de red IP no únicos. - Las interfaces de los encaminadores en una red interna a menudo no necesitan ser directamente accesibles desde fuera de la empresa. 3. Espacio de direcciones privado La "Autoridad de Números Asignados en Internet", Internet Assigned Numbers Authority (IANA), ha reservado los tres siguientes bloques de direcciones IP para el uso en internets privadas: 10.0.0.0 - 10.255.255.255 (prefijo 10/8) 172.16.0.0 - 172.31.255.255 (prefijo 172.16/12) 192.168.0.0 - 192.168.255.255 (prefijo 192.168/16) Nos referiremos al primer bloque como "bloque de 24 bits", al segundo como "bloque de 20 bits" y al tercero como "bloque de 16 bits". Dese cuenta que (en la notación anterior a CIDR) el primer bloque no es más que un único número de red de clase A, mientras que el segundo bloque es un conjunto de 16 números de red de clase B contiguos, y el tercer bloque es un conjunto de 256 números de red de clase C contiguos. Una empresa que decida usar direcciones IP del espacio de direcciones definido en este documento puede hacerlo sin tener que coordinarse con la IANA o con un registro de Internet. De esta manera el espacio de direcciones puede ser usado por muchas empresas. Las direcciones de este espacio de direcciones privado sólo serán únicas dentro de la empresa, o el conjunto de empresas que elijan colaborar sobre este espacio para que puedan comunicarse con las demás en su propia internet privada. Como antes, cualquier empresa que necesite espacio de direcciones globalmente único necesita obtener tales direcciones de un registro de Internet. Una empresa que solicite direcciones IP para su conectividad externa nunca recibirá direcciones de los bloques definidos arriba. Para usar el espacio de direcciones privado, una empresa necesita determinar qué máquinas no necesitan disponer de conectividad de nivel de red hacia el exterior de la empresa en un futuro previsible y así poder clasificarlas como privadas. Tales máquinas usarán el Rekhter, et al Mejor Práctica Actual [Pág. 4] RFC 1918 Asignación de Direcciones Privadas Febrero 1996 espacio de direcciones privado definido anteriormente. Las máquinas privadas pueden comunicarse con el resto de máquinas de la empresa, tanto públicas como privadas. Sin embargo, no pueden tener conectividad IP a ninguna máquina fuera de la empresa. Aunque no dispongan de conectividad IP externa (fuera de la empresa), las máquinas privadas aún pueden tener acceso a servicios externos mediante el uso de pasarelas (por ejemplo, pasarelas de nivel de aplicación). El resto de máquinas serán públicas y usarán espacio de direcciones globalmente únicas asignadas por un registro de Internet. Las máquinas públicas pueden comunicarse con otras máquinas dentro de la empresa, tanto públicas como privadas, y pueden tener conectividad IP con máquinas públicas fuera de la empresa. Las máquinas públicas no tienen conectividad con las máquinas privadas de otras empresas. Cambiar una máquina de privada a pública o viceversa implica un cambio de dirección IP, cambios en las entradas DNS correspondientes, y cambios en los ficheros de configuración de otras máquinas que referencien a la máquina por su dirección IP. Puesto que las direcciones privadas no tienen significado global, la información de encaminamiento acerca de las redes privadas no se propagará en los enlaces entre empresas, y los paquetes con direcciones origen o destino privadas no deberían ser reenviados por dichos enlaces. Se supone que los encaminadores en las redes que no usen espacio de direcciones privados, especialmente aquéllos situados en los proveedores de servicios de Internet, estarán configurados para rechazar (filtrar) la información de encaminamiento acerca de redes privadas. Si uno de estos encaminadores recibe tal información, el rechazo no será tratado como un error en el protocolo de encaminamiento. Las referencias indirectas a tales direcciones deberán quedar limitadas a los límites de la empresa. Ejemplos significativos de estas referencias son los "Registros de Recursos DNS", DNS Resource Records, y otra información importante acerca de las direcciones privadas internas. En particular, los proveedores de servicios de Internet deberían tomar medidas para evitar dichas fugas de información. 4. Ventajas y desventajas de usar espacio de direcciones privado La ventaja obvia de usar espacio de direccionamiento privado de manera global es conservar el espacio de direcciones globalmente únicas no usando estas direcciones donde no sea necesaria esta unicidad. Rekhter, et al Mejor Práctica Actual [Pág. 5] RFC 1918 Asignación de Direcciones Privadas Febrero 1996 Las propias empresas también obtendrán ciertas ventajas por el uso del espacio de direccionamiento privado: ganan gran flexibilidad en el diseño de la red al tener más espacio de direcciones a su disposición del que dispondrían obteniendo direcciones globalmente únicas. Esto permite esquemas de direccionamiento operacional y administrativamente provechosos, así como una sencilla escalabilidad. Por diversas razones, en Internet se han dados casos en los que una empresa que no está conectada a Internet ha usado direcciones IP para sus máquinas sin haberlas solicitado previamente a la IANA. En algunos casos este espacio de direcciones ya ha sido asignado a otras empresas. Si posteriormente tal empresa se conecta a Internet, esto podría potencialmente crear problemas muy graves, puesto que el encaminamiento IP no puede funcionar correctamente en presencia de direccionamiento ambiguo. Aunque en principio los proveedores de servicios de Internet deberían protegerse de tales errores mediante el uso de filtros de rutas, en la práctica no siempre sucede así. El uso del espacio de direcciones privado proporciona una elección segura para tales empresas, evitando conflictos cuando sea necesaria la conectividad externa. Uno de los principales inconvenientes del uso de direcciones privadas es que puede reducir la flexibilidad de la empresa para salir a Internet. Cuando se compromete a usar direcciones privadas, se está comprometiendo a renumerar parte o toda la empresa, si se decidiera a proporcionar conectividad IP entre esa parte (o toda la empresa) e Internet. A menudo el coste de renumerar puede medirse contando el número de máquinas que deben pasar de privado a público. Sin embargo, como se discutió previamente, incluso si una red usa direcciones globalmente únicas, aún puede ser necesario tener que renumerar para lograr conectividad IP hacia todo Internet. Otro perjuicio de usar espacio de direcciones privado es que puede obligar a renumerar cuando se unan varias redes privadas en una única red física privada. Si revisamos los ejemplos enumerados en la sección 2, nos daremos cuenta que las compañías tienden a unirse. Si previamente a la unión dichas compañías mantuviesen sus propias redes usando direccionamiento privado, entonces si después de la unión estas redes se combinasen en una sola, algunas direcciones dentro de la red combinada podrían no ser únicas. Como resultado, las máquinas con dichas direcciones deberían ser renumeradas. El coste de la renumeración también puede ser reducido por el desarrollo y despliegue de herramientas que faciliten la renumeración (por ejemplo, "Protocolo de Configuración Dinámica de Máquinas", Dynamic Host Configuration Protocol (DHCP)). Cuando se esté planteando si usar direcciones privadas, recomendamos consultar a los fabricantes de hardware y software sobre la disponibilidad de dichas Rekhter, et al Mejor Práctica Actual [Pág. 6] RFC 1918 Asignación de Direcciones Privadas Febrero 1996 herramientas. Un esfuerzo separado del IETF (PIER Working Group) está intentando documentar completamente los requisitos y procedimientos para la renumeración. 5. Consideraciones operacionales Una estrategia posible es diseñar primero la parte privada de la red y usar el espacio de direcciones privado para todos los enlaces internos. Entonces, planificar las subredes públicas en las localizaciones necesarias y diseñar la conectividad externa. Este diseño no tiene porqué ser indefinidamente fijo. Si posteriormente un grupo de una o más máquinas necesita cambiar su status (de privado a público, o viceversa), esto se puede hacer renumerando sólo las máquinas involucradas, y cambiando la conectividad física en caso necesario. En localizaciones donde dichos cambios sean previsibles (salas de ordenadores, etc.), es aconsejable configurar medios físicos separados para las subredes pública y privada, y así facilitar tales cambios. Para evitar intervenciones de importancia en la red, es aconsejable agrupar en sus propias subredes máquinas con similares necesidades de conectividad. Si se puede diseñar un adecuado esquema de división en subredes que esté soportado por el equipamiento implicado, es aconsejable usar el espacio privado de direcciones del bloque de 24 bits (red de clase A) y diseñar un plan de direccionamiento con un buen camino de crecimiento. Si el hacer las subredes es problemático se puede usar el espacio de direcciones del bloque de 16 bits (redes de clase C) o del bloque de 20 bits (redes de clase B). Se podría estar tentado de tener tanto direcciones públicas como privadas en el mismo medio físico. Aunque es posible, existen riesgos en tales diseños (dese cuenta que los riesgos no tienen nada que ver con el uso de direcciones privadas, sino que son debidos a la presencia de múltiples subredes IP en una misma subred física de datos). Aconsejamos prudencia cuando se trabaje en estos supuestos. Se recomienda encarecidamente que los encaminadores que conectan las empresas a las redes externas se configuren con los filtros de paquetes y rutas adecuados en ambos extremos del enlace para evitar fugas de paquetes e información de encaminamiento. Una empresa también debería aislar a cualquier red privada de la información de encaminamiento entrante para protegerse a sí misma de situaciones de encaminamiento ambiguas que pueden presentarse si las rutas hacia el espacio de direcciones privadas apunta hacia fuera de la empresa. Es posible que ambos sitios, que coordinan sus respectivos espacios de direcciones privadas, se comuniquen con el otro sobre una red Rekhter, et al Mejor Práctica Actual [Pág. 7] RFC 1918 Asignación de Direcciones Privadas Febrero 1996 pública. Para hacer esto deben usar algún método de encapsulamiento en sus fronteras con la red pública, manteniendo privadas sus direcciones privadas. Si dos (o más) organizaciones implementan la asignación de direcciones especificada en este documento y más tarde desean establecer conectividad IP con las demás, existe el riesgo de que la unicidad en las direcciones pueda violarse. Para minimizar el riesgo es altamente recomendable que una organización que use direcciones IP privadas elija aleatoriamente de la lista de direcciones privadas, cuando asigne sub-bloques en su asignación interna. Si una empresa usa espacio de direcciones privado, o una mezcla de espacios de direcciones privado y públicos, entonces los clientes DNS externos a la empresa no deberían ver direcciones en el espacio de direcciones privado usado por la empresa, puesto que estas direcciones serían ambiguas. Una manera de asegurarse de esto es disponer de dos servidores de nombres autorizados para cada zona DNS que contengan las direcciones tanto públicas como privadas de las máquinas. Un servidor sería visible desde el espacio de direcciones público y contendría sólo el subconjunto de direcciones de la empresa alcanzables mediante direcciones públicas. El otro servidor sería alcanzable sólo desde la red privada y contendría el conjunto completo de datos, incluyendo las direcciones privadas y cualesquiera otras direcciones públicas alcanzables desde la red privada. Para asegurar la consistencia, ambos servidores deberían configurarse a partir de los mismos datos, de los cuales la zona públicamente visible sólo contiene una versión filtrada. Hay cierto grado de complejidad adicional asociada con la provisión de estas capacidades. 6. Consideraciones de seguridad Las consideraciones de seguridad no se tratan en este memorándum. 7. Conclusión Con el esquema descrito muchas grandes empresas sólo necesitarán un bloque relativamente pequeño de direcciones del espacio de direcciones IP globalmente únicas. Todo Internet se beneficia del ahorro del espacio de direcciones globalmente únicas que tendrá como efecto el aumento en la vida del espacio de direcciones IP. Las empresas se benefician de la flexibilidad adicional proporcionada por un espacio de direcciones privadas relativamente grande. Sin embargo, el uso de direccionamiento privado requiere que una organización renumere parte o la totalidad de su red empresarial, puesto que sus necesidades de conectividad cambian con el tiempo. 8. Reconocimientos Rekhter, et al Mejor Práctica Actual [Pág. 8] RFC 1918 Asignación de Direcciones Privadas Febrero 1996 Nos gustaría agradecer a Tony Bates (MCI), Jordan Becker (ANS), Hans- Werner Braun (SDSC), Ross Callon (BayNetworks), John Curran (BBN Planet), Vince Fuller (BBN Planet), Tony Li (cisco Systems), Anne Lord (RIPE NCC), Milo Medin (NSI), Marten Terpstra (BayNetworks), Geza Turchanyi (RIPE NCC), Christophe Wolfhugel (Pasteur Institute), Andy Linton (connect.com.au), Brian Carpenter (CERN), Randy Bush (PSG), Erik Fair (Apple Computer), Dave Crocker (Brandenburg Consulting), Tom Kessler (SGI), Dave Piscitello (Core Competence), Matt Crawford (FNAL), Michael Patton (BBN), y a Paul Vixie (Internet Software Consortium) su revisión y comentarios constructivos acerca del documento. 9. Referencias [1] [RFC1466] Gerich, E., "Guidelines for Management of IP Address Space", RFC 1466, Merit Network, Inc., Mayo 1993. [2] [RFC1518] Rekhter, Y., and T. Li, "An Architecture for IP Address Allocation with CIDR", RFC 1518, Septiembre 1993. [3] [RFC1519] Fuller, V., Li, T., Yu, J., and K. Varadhan, "Class­ less Inter-Domain Routing (CIDR): an Address Assignment and Aggregation Strategy", RFC 1519, Septiembre 1993. 10. Direcciones de los autores Yakov Rekhter Cisco systems 170 West Tasman Drive San Jose, CA, USA Phone: +1 914 528 0090 Fax: +1 408 526-4952 EMail: yakov@cisco.com Robert G Moskowitz Chrysler Corporation CIMS: 424-73-00 25999 Lawrence Ave Center Line, MI 48015 Phone: +1 810 758 8212 Fax: +1 810 758 8173 EMail: rgm3@is.chrysler.com Daniel Karrenberg RIPE Network Coordination Centre Rekhter, et al Mejor Práctica Actual [Pág. 9] RFC 1918 Asignación de Direcciones Privadas Febrero 1996 Kruislaan 409 1098 SJ Amsterdam, the Netherlands Phone: +31 20 592 5065 Fax: +31 20 592 5090 EMail: Daniel.Karrenberg@ripe.net Geert Jan de Groot RIPE Network Coordination Centre Kruislaan 409 1098 SJ Amsterdam, the Netherlands Phone: +31 20 592 5065 Fax: +31 20 592 5090 EMail: GeertJan.deGroot@ripe.net Eliot Lear Mail Stop 15-730 Silicon Graphics, Inc. 2011 N. Shoreline Blvd. Mountain View, CA 94043-1389 Phone: +1 415 960 1980 Fax: +1 415 961 9584 EMail: lear@sgi.com Traducción al castellano: José Luis Domingo López c/ Cruz del Sur 22 28007 Madrid - España EMail: jdomingo@internautas.org Rekhter, et al Mejor Práctica Actual [Pág. 10]