بهروزرسانی شده ۱ ماه پیش
כל כתובת IP שאינה מגיעה לאינטרנט משרתת מטרה.
מרחב הכתובות של IPv4 מספק למעלה מ-4 מיליארד כתובות ייחודיות, אך חלקים משמעותיים הוצאו במכוון מהניתוב הציבורי. טווחים שמורים אלה מהווים את הארכיטקטורה הבלתי נראית שהופכת רשתות פרטיות לאפשריות, מונעת מדוגמאות תיעוד לתקוף מערכות אמיתיות, ומספקת כתובות לפרוטוקולים לתקשר עם עצמם.
מה הן כתובות IP שמורות?
ה-Internet Assigned Numbers Authority (IANA) מנהלת מרשמים המתעדים אילו בלוקי כתובות IP שמורים ומדוע. הסתייגויות אלה, המוגדרות דרך מסמכי IETF Request for Comments (RFC), כוללות מטא-נתונים לגבי האם ניתן להשתמש בכתובות כמקור או יעד, האם נתבים צריכים להעביר אותן, והאם הן נגישות גלובלית.
זה אינו ביורוקרטיה — זה מניעת כאוס. ללא תיאום, הנתב 192.168.1.1 ברשת הביתית שלך עלול לנסות לנתב לנתב 192.168.1.1 של מישהו אחר בצד השני של העולם.
טווחי רשת פרטית (RFC 1918)
בשנת 1996, כשדלדול IPv4 הלך ונראה באופק, RFC 1918 הפריש שלושה בלוקי כתובות שלעולם לא יוכלו לנתב באינטרנט הציבורי. החלטה זו אפשרה למיליארדי מכשירים להתקיים ברשתות פרטיות מבלי לצרוך מרחב כתובות ציבורי.
10.0.0.0/8 — טווח הארגונים
עם 16.7 מיליון כתובות, זהו הבלוק הפרטי הגדול ביותר. ארגונים מעדיפים אותו מפני שהוא מספק מקום להיררכיות רשת מורכבות — ניתן לפצל אותו לרשתות משנה באופן נרחב תוך שמירה על גבולות ברורים בין מחלקות, מרכזי נתונים ואזורי אבטחה.
172.16.0.0/12 — טווח הענן
הטווח האמצעי מציע כמיליון כתובות. הוא היה פחות נפוץ ברשתות מסורתיות, אך מצא חיים חדשים כאשר Amazon Web Services בחרה בו כברירת מחדל לתצורות Virtual Private Cloud. כיום מיליוני מכונות ענן גרות כאן.
192.168.0.0/16 — טווח הבית
טווח זה מפעיל כמעט כל רשת ביתית ומשרד קטן. נתבי צרכנים מוגדרים כברירת מחדל לרשתות משנה כמו 192.168.1.0/24 מפני ש-254 כתובות מספיקות לבית מגורים, והטווח קטן מספיק כדי שרתי DHCP פשוטים ינהלו אותו בקלות.
מדוע כתובות פרטיות מבודדות
כתובות פרטיות הן רעל לנתבי האינטרנט. נתבי קצה משליכים מנות עם כתובות מקור או יעד פרטיות ברגע שהן נראות. בידוד זה ממלא תפקיד כפול: הוא מספק אבטחה על ידי מניעת גישה ישירה לאינטרנט לציוד פרטי, ומאפשר שימוש חוזר באותם טווחי כתובות על פני מיליוני רשתות עצמאיות בו-זמנית.
Network Address Translation (NAT) מגשרת בין הרשתות המבודדות הללו לאינטרנט, ומתרגמת כתובות פרטיות לציבוריות בגבול. הכתובת 192.168.1.100 של המחשב הנייד שלך הופכת לכתובת ה-IP הציבורית של ספק האינטרנט שלך כשמנות חוצות את שער הרשת.
זה לא היה הכוונה המקורית. RFC 1918 עסק בשימור כתובות. אך הבידוד יצר גבול אבטחה במקרה — ציוד פרטי אינו נגיש מהאינטרנט כברירת מחדל. הארכיטקטורה עיצבה התנהגות בדרכים שמעצביה לא צפו.
מרחב כתובות משותף (RFC 6598)
100.64.0.0/10 — NAT ברמת הספק
עד שנת 2012, אפילו שימור IPv4 לא הספיק. ספקי אינטרנט היו צריכים לפרוס Carrier-Grade NAT כדי לשתף כתובות ציבוריות דלות בין מנויים רבים, אך שימוש במרחב RFC 1918 יצר התנגשויות עם הרשתות הפרטיות של הלקוחות עצמם.
RFC 6598 הפריש את 100.64.0.0/10 במיוחד לתשתיות ספקים. ספקי שירות משתמשים בכתובות אלה בצד הפונה ללקוח של ציוד CGNAT, תוך הימנעות מהתנגשויות עם מנויים המשתמשים ב-10.0.0.0/8 או ב-192.168.0.0/16.
הפשרה היא אמיתית: CGNAT שובר העברת פורטים, מסבך יישומי עמית-לעמית, ומוסיף שכבת NAT נוספת בין המשתמשים לאינטרנט. אם ספק האינטרנט שלך משתמש ב-CGNAT, אתה מאחורי NAT כפול — הנתב שלך מתרגם את הציוד שלך, ואז הספק מתרגם את הנתב שלך. אך זה הרוויח שנים של כדאיות IPv4 בזמן שפריסת IPv6 ממשיכה.
טווח הלולאה
127.0.0.0/8 — הכתובת שלא הולכת לשום מקום
כל טווח 127.0.0.0/8 שמור ללולאה, אם כי 127.0.0.1 היא הבחירה המקובלת. מנות הנשלחות לכתובות לולאה לעולם אינן נוגעות בממשק רשת — הן נתפסות ומעובדות על ידי מחסנית ה-TCP/IP המקומית.
זה מאפשר תהליכי עבודה קריטיים: בדיקת שירותי רשת ללא רשת אמיתית, תקשורת בין-תהליכית תוך שימוש ב-TCP/IP סטנדרטי, ווידוא שניתן לסמוך על שירותים שיגיעו לעצמם. יישומים הקשורים ל-127.0.0.1 אינם גלויים לרשת, ויוצרים גבול אבטחה לכלי פיתוח וממשקי ניהול.
טווח קישור-מקומי
169.254.0.0/16 — כשהכל נכשל
טווח זה מטפל במצב כשל ספציפי: מכשיר המוגדר ל-DHCP אינו יכול להגיע לאף שרת DHCP. במקום להישאר ללא תצורה לחלוטין, המכשיר מקצה לעצמו כתובת מטווח זה באמצעות Automatic Private IP Addressing (APIPA).
כתובות APIPA מאפשרות לציוד באותו קטע רשת פיזי לתקשר גם כאשר שירותים מרכזיים אינם פועלים. אך הן מוגבלות — אין שער ברירת מחדל, ואין ניתוב מעבר לקישור המקומי.
אם אתה רואה 169.254.x.x על מכשיר, משהו שבור. המכשיר ניסה לקבל כתובת IP נכונה מ-DHCP ונכשל. כתובת הקישור-מקומי היא סימפטום, לא פתרון — היא אומרת לך לבדוק את שרת ה-DHCP שלך או את קישוריות הרשת.
טווחים למטרות מיוחדות
0.0.0.0/8 — רשת זו
הכתובת 0.0.0.0 מציינת כתובת לא ידועה או לא מוגדרת. זו הכתובת שמכשיר משתמש בה ככתובת מקור בעת שידור הודעת DHCP DISCOVER לפני שיש לו כתובת IP. היא גם מייצגת מסלול ברירת מחדל בטבלאות ניתוב. טווח זה לעולם לא אמור להופיע בתעבורה רגילה.
192.0.0.0/24 — הקצאות פרוטוקול
IANA שמרה בלוק זה לכתובות המשמשות פרוטוקולי IETF לפונקציות טכניות ספציפיות. כתובות אלה מופיעות במפרטי פרוטוקולים ובמימושים, אך אינן מיועדות לרשתות כלליות.
טווחי תיעוד (RFC 5737)
שלושה בלוקים של /24 קיימים אך ורק לדוגמאות, תיעוד וכתיבה טכנית:
- 192.0.2.0/24 (TEST-NET-1)
- 198.51.100.0/24 (TEST-NET-2)
- 203.0.113.0/24 (TEST-NET-3)
לפני הסתייגויות אלה, תיעוד טכני השתמש בכתובות IP אמיתיות, ובאופן לא מכוון הכוון תעבורה לרשתות לא חשודות. דמיין כתיבת מדריך חומת אש שבמקרה הורה לאלפי קוראים לחסום תעבורה מעסק פועל.
כיום ניתן להשתמש בבטחה בכתובות אלה בתיעוד, מבלי לחשוש שיתנגשו עם רשתות אמיתיות. לעולם אל תשתמש בטווחים אלה לייצור — הם נראים כעובדים בהתחלה אך נכשלים בצורה בלתי צפויה כיוון שהם מסוננים בהקשרים שונים.
טווח Multicast
224.0.0.0/4 — אחד לרבים
בניגוד לכתובות unicast המזהות ממשקים בודדים, כתובות multicast מייצגות קבוצות של מקלטים מעוניינים. מנה בודדת הנשלחת לכתובת multicast יכולה להגיע למספר יעדים בו-זמנית.
Multicast מפעיל שידורי וידאו יעילים, עדכוני פרוטוקול ניתוב, גילוי שירותים והפצת נתונים בזמן אמת. ללא זה, שידור חי לאחד מיליון צופים יצריך שליחת מיליון זרמים נפרדים. עם multicast, נתבים משכפלים מנות רק היכן שנחוץ, ומפזרים עומס בצורה חכמה על פני הרשת.
כתובות Multicast מתנהגות באופן שונה מהותית מ-unicast. אל תצפה לניתוב רגיל — כתובות אלה אינן מזהות יעדים, הן מזהות קבוצות.
שימוש עתידי ושידור
240.0.0.0/4 — שמור לשימוש עתידי
טווח זה הופרש במקור לשימוש עתידי. כשכתובות IPv4 הלכו ואזלו, הופיעו הצעות לפדות מרחב זה, אך חששות לתאימות עם מערכות קיימות מנעו אימוץ. מכשירי רשת רבים מתייחסים לכתובות אלה כלא חוקיות, מה שהופך את המרחב לבלתי שמיש ללא החלפה נרחבת של ציוד.
זהו פוסיל טכנולוגי — מרחב שהופרש למחר אך נלכד בהנחות של אתמול.
255.255.255.255 — שידור מוגבל
מנות הנשלחות ל-255.255.255.255 משדרות לכל המכשירים בקטע הרשת המקומי אך לעולם אינן מועברות על ידי נתבים. לקוחות DHCP משתמשים בכתובת זו לשידור הודעות DISCOVER כאשר טרם יש להם כתובת IP משלהם.
הארכיטקטורה שהתגבשה
טווחי כתובות שמורות אינם תוספת מנהלתית — הם החלטות ארכיטקטוניות שעיצבו את אופן פעולת האינטרנט:
מניעת כאוס: טווחי תיעוד מונעים ממדוגמאות טכניות לתקוף בטעות רשתות מבצעיות. לפני הסתייגויות אלה, כל מדריך הייתה תקרית אבטחה פוטנציאלית.
אפשרות קנה מידה: טווחי RFC 1918 הפרטיים מאפשרים למיליארדי מכשירים לפעול ללא כתובות ציבוריות. ללא זה, האינטרנט היה מתמצה בכתובות שנים לפני שה-IPv6 היה מוכן.
יצירת אבטחה במקרה: בידוד כתובות פרטיות לא תוכנן כתכונת אבטחה, אך הפך לכזה. NAT כחומת אש, רשתות פרטיות שאינן נגישות כברירת מחדל — אלה נבעו מהחלטות שימור כתובות.
כשל מבוקר: כתובות קישור-מקומי מבטיחות שמכשירים עדיין יכולים לתקשר כאשר שירותים מרכזיים נכשלים. הרשת עוברת לתקשורת מקומית בלבד במקום כשל מוחלט.
קניית זמן: טווחים כמו 100.64.0.0/10 מאריכים את כדאיות IPv4 על ידי אפשרות לספקי שירות לשתף כתובות בצורה אגרסיבית יותר. כל שנה ש-IPv4 נשאר כדאי היא עוד שנה להבשלת פריסת IPv6.
עיון מוסמך
IANA מנהלת את מרשמי הכתובות למטרות מיוחדות הסמכותיים:
המרשם כולל מידע מפורט על כל בלוק שמור: ה-RFC המגדיר, האם כתובות ניתנות להעברה, נגישות גלובלית, ותקפות ככתובות מקור או יעד.
השלד הנסתר
טווחי כתובות IP שמורות הם השלד הנסתר שעליו עומד האינטרנט הגלוי. RFC 1918 לא רק שמר כתובות — הוא יצר ארכיטקטורה שבה רשתות פרטיות מבודדות כברירת מחדל, שבה NAT מספק גבול אבטחה בלתי מכוון, שבה טופולוגיית הרשת משקפת באופן טבעי את המבנה הארגוני.
הסתייגויות אלה הן החלטות שמצטברות. כל אחת פתרה בעיה מיידית תוך יצירת תכונות מתעוררות שעיצבו את כל מה שנבנה עליהן.
כל כתובת IP שאינה מגיעה לאינטרנט עושה בדיוק את מה שהיא תוכננה לעשות: מספקת מבנה, מונעת כאוס, וקונה זמן לפתרונות טובים יותר להבשיל.
שאלות נפוצות על טווחי כתובות IP שמורות
מדוע המכשיר שלי מציג כתובת 169.254.x.x?
המכשיר שלך ניסה לקבל כתובת IP משרת DHCP ונכשל. הכתובת 169.254.x.x היא גיבוי המאפשר תקשורת מקומית אך אינו יכול להגיע לאינטרנט. בדוק שרת ה-DHCP שלך פועל ושלמכשיר שלך יש קישוריות רשת אליו.
האם אני יכול להשתמש בכתובות 10.x.x.x באינטרנט?
לא. כתובות RFC 1918 הפרטיות (10.0.0.0/8, 172.16.0.0/12, 192.168.0.0/16) נשמטות על ידי נתבי האינטרנט. אתה זקוק ל-Network Address Translation (NAT) כדי להמיר כתובות פרטיות לציבוריות לצורך תקשורת אינטרנט.
מה ההבדל בין 10.0.0.0/8 ל-192.168.0.0/16?
שניהם טווחי כתובות פרטיות, אך 10.0.0.0/8 מספק 16.7 מיליון כתובות ואילו 192.168.0.0/16 מספק 65,536. ארגונים משתמשים בדרך כלל בטווח הגדול יותר 10.x.x.x לרשתות מורכבות; נתבי בית מוגדרים כברירת מחדל ל-192.168.x.x מפני שהוא מספיק לציוד ביתי.
מדוע אני לא יכול להעביר פורטים כשספק האינטרנט שלי משתמש ב-CGNAT?
Carrier-Grade NAT אומר שאתה מאחורי NAT כפול — הנתב שלך מתרגם כתובות, ואז הספק שלך מתרגם שוב. העברת פורטים דורשת שליטה בכתובת ה-IP הציבורית, אך עם CGNAT, אתה משתף כתובת זו עם מנויים אחרים. אין לך שליטה עליה, ולכן אינך יכול להעביר פורטים דרכה.
אילו כתובות IP כדאי להשתמש בתיעוד או מדריכים?
השתמש בטווחי התיעוד של RFC 5737: 192.0.2.0/24, 198.51.100.0/24, או 203.0.113.0/24. כתובות אלה שמורות במיוחד לדוגמאות ולעולם לא יתנגשו עם רשתות אמיתיות.
מקורות
آیا این صفحه مفید بود؟