עודכן לפני חודש
המחשב הנייד שלך חושב שכתובתו היא 192.168.1.100. גם שלי. וגם של מיליוני אחרים. כולנו משתמשים באותה כתובת, ואיכשהו האינטרנט לא קורס לתוך כאוס.
זה לא באג — זו אחת מהחלטות העיצוב המשמעותיות ביותר בעולם הרשתות.
המצאת כתובות לשימוש חוזר
ב-1996, מתכנני האינטרנט ראו בעיה מתקרבת. ל-IPv4 היו 4.3 מיליארד כתובות — מספר שנראה עצום עד שדימיינת שכל מכשיר על פני כדור הארץ זקוק לאחת. RFC 1918 הציג משהו רדיקלי: כתובות IP שניתן לעשות בהן שימוש חוזר אינסופי ברשתות שונות, ללא התנגשות.
שלושה טווחים הוקצו כפרטיים — כתובות שלעולם לא יתנתבו באינטרנט הציבורי. התובנה הייתה עמוקה: אם כתובת לא יכולה לצאת מהרשת המקומית שלה, אין צורך שתהיה ייחודית ברמה גלובלית. כל בית, כל משרד, כל בית קפה יכולים להשתמש באופן עצמאי ב-192.168.1.1 מפני שאותן כתובות לעולם לא יפגשו זו את זו.
זה כמו שבכל בניין דירות יש דירה 101 משלו. מספר הדירה צריך להיות ייחודי רק בתוך הבניין. כתובת הרחוב מטפלת בייחודיות ברמת העיר.
שלושת הטווחים
10.0.0.0/8 — 16.7 מיליון כתובות
הרשת הארגונית שלך כשאתה מתכנן לכבוש את העולם. חברות גדולות משתמשות בטווח זה מפני שהן יכולות לחלק אותו לאלפי תתי-רשתות מבלי לדאוג אי פעם שייגמר להן. משרדים שונים, מחלקות, VLANים — מרחב הכתובות כה עצום עד שהוא הופך לבלתי נראה כמגבלה.
172.16.0.0/12 — מיליון כתובות
הילד האמצעי שמצא את ייעודו בענן. AWS מוגדר כברירת מחדל ל-172.31.0.0/16 ל-VPCים חדשים, ממש בטווח זה. הוא גדול מספיק לתשתית רצינית אך שונה מספיק מרשתות ביתיות כדי להימנע מהתנגשויות ניתוב VPN — שילוב שהפך אותו לבחירה הטבעית של ספקי הענן.
192.168.0.0/16 — 65,536 כתובות
הטווח שאתה בעצם פוגש בחיי היומיום. כל נתב ביתי מגיע עם זה כברירת מחדל — בדרך כלל 192.168.1.1 או 192.168.0.1. לרשתות עם עשרות ואפילו מאות מכשירים, זה יותר ממספיק. זהו הטווח שהביא את עולם הרשתות להמונים.
למה כתובות פרטיות חשובות
מתכנני RFC 1918 צדקו לדאוג. עד 2011, IANA הקצה את הבלוקים האחרונים של כתובות IPv4. כיום, כל כתובת שניתן לנתבה ציבורית תפוסה. אבל בכל זאת חיברנו עשרות מיליארדי מכשירים.
כתובות פרטיות אפשרו זאת באמצעות ריבוי. במקום שכל מכשיר יזדקק לכתובת גלובלית ייחודית, רשתות שלמות חולקות כתובת IP ציבורית אחת. בביתך יכולים להיות חמישים מכשירים — טלפונים, מחשבים ניידים, תאורה חכמה, תרמוסטטים — כולם מסתתרים מאחורי כתובת ציבורית אחת שספק האינטרנט הקצה לנתב שלך.
אותן כתובות 192.168.1.x מופיעות במיליוני בתים בו-זמנית. ללא צורך בתיאום, ללא רישום לעדכן, ללא הרשאות לבקש.
אבל יש יתרון שני שחשוב לא פחות: בידוד. כתובות פרטיות יוצרות גבול אבטחה טבעי. מכשירים באינטרנט הציבורי לא יכולים להגיע ישירות ל-192.168.1.100 גם אם ירצו — נתבים מוגדרים לחסום את התעבורה הזו. הרשת הפנימית שלך בלתי נראית מבחוץ מעצם תכנונה.
כיצד NAT מממש את זה
תרגום כתובות רשת (NAT) מאפשר למכשירים עם כתובות IP פרטיות לגשת לאינטרנט. המנגנון מפתיע בפשטותו.
המחשב הנייד שלך בכתובת 192.168.1.100 שולח בקשה לבקר באתר. הבקשה מגיעה לנתב שלך, שיש לו שתי פנים: כתובת פרטית (192.168.1.1) הפונה לרשת שלך, וכתובת ציבורית הפונה לאינטרנט.
כשהמנות עוברות דרכו, הנתב מחליף את כתובת המקור מה-IP הפרטי שלך ל-IP הציבורי שלו. הוא שומר טבלת תרגום המציינת איזה מכשיר פנימי ביצע את הבקשה ועל איזה פורט.
כשמגיעה התגובה מהאתר, היא ממוענת לכתובת ה-IP הציבורית של הנתב. הנתב בודק את הטבלה שלו, רואה שמנה זו שייכת למחשב הנייד שלך, מחליף את כתובת היעד בחזרה ל-192.168.1.100, ומעביר אותה אליך.
מבחינת האתר, הוא מנהל שיחה עם הנתב שלך. הוא אף פעם לא יודע שהמחשב הנייד שלך קיים. מבחינת המחשב הנייד שלך, הוא מדבר ישירות עם האתר. התרגום שקוף לחלוטין.
לכן חמישים מכשירים בביתך יכולים כולם לגשת לאינטרנט דרך כתובת IP ציבורית אחת. הנתב עוקב אחר כל שיחה, מחליף כתובות בזמן אמת בשני הכיוונים.
בחירת הטווח שלך
ההחלטה פשוטה יותר ממה שנראה.
רשתות ביתיות (פחות ממאה מכשירים): השתמש ב-192.168.1.x ואל תחשוב על זה יותר. זה מה שהנתב שלך מצפה, מה שהמכשירים שלך מצפים, מה שכל מדריך מניח. בחר אוקטט שלישי שונה (192.168.2.x, 192.168.50.x) אם אתה רוצה להרגיש ייחודי, אבל ברירת המחדל עובדת מצוין.
עסקים בינוניים (100–1000 מכשירים): שקול 172.16.x.x, במיוחד אם עובדים מתחברים מרחוק. שימוש בטווח שונה מרשתות ביתיות טיפוסיות מונע התנגשויות ניתוב VPN. כשמישהו מתחבר מהבית לרשת המשרד, מרחבי כתובות נפרדים מאפשרים למחשב להבחין לאיזה מדפסת בכתובת 10.1.1.50 התכוונת — זו שבבית או זו שבמשרד.
ארגונים גדולים או תוכניות צמיחה שאפתניות: התחל עם 10.x.x.x. מרחב הכתובות כה גדול שאתה יכול לחלק לתתי-רשתות בחופשיות מבלי לדאוג אי פעם ממיצוי. משרדים שונים, מחלקות, אזורי רשת — חלק כרצונך. לעולם לא תצטרך לבצע מספור מחדש כי תכננת בקטן מדי.
מלכודת ניתוב ה-VPN: אם הרשת הביתית שלך משתמשת ב-192.168.1.x ואתה מתחבר ב-VPN לרשת משרדית שגם משתמשת ב-192.168.1.x, טבלת הניתוב שלך הופכת לדו-משמעית. האם 192.168.1.10 היא המדפסת שלידך או השרת בצד השני של הארץ? המחשב שלך לא יכול לדעת. לכן ארגונים לרוב משתמשים ב-10.x.x.x — הדבר מובטח לא להתנגש עם רשתות ביתיות.
שאלות נפוצות על כתובות IP פרטיות
האם שני מכשירים ברשתות שונות יכולים לקבל כתובת IP פרטית זהה?
כן — וזה קורה כל הזמן. מיליוני מכשירים ברחבי העולם משתמשים ב-192.168.1.1 עכשיו ממש. זה עובד מפני שכתובות פרטיות לעולם לא עוזבות את הרשת המקומית שלהן. NAT מחליף אותן בכתובות ציבוריות בגבול הרשת, כך שהן לעולם לא מתנגשות באינטרנט.
למה אני לא יכול לגשת למכשיר בכתובת 192.168.x.x מחוץ לרשת שלי?
נתבים מוגדרים לחסום תעבורה המיועדת לטווחי IP פרטיים. גם אם ידעת בדרך כלשהי את ה-IP הפנימי של מישהו, מנות הממוענות ל-192.168.x.x, 10.x.x.x, או 172.16.x.x נמחקות על ידי נתבי האינטרנט. זוהי תכונת אבטחה — הרשת הפנימית שלך בלתי נראית מעצם תכנונה.
מה קורה אם אני משתמש בטווח IP ציבורי לרשת הפנימית שלי?
תפגע בגישה לכל מי שמחזיק באותן כתובות באופן לגיטימי. אם תשתמש פנימית ב-8.8.8.x (טווח ה-DNS של Google), המכשירים שלך לא יוכלו להגיע לשרתי ה-DNS של Google — הם יתנתבו לרשת הפנימית שלך במקום. השתמש תמיד בטווחי RFC 1918 הפרטיים לכתובות פנימיות.
האם 172.16.x.x מיועד באמת לתשתית ענן?
לא רק, אבל AWS הפך אותו לפופולרי על ידי הגדרת VPCים חדשים ל-172.31.0.0/16 כברירת מחדל. היתרון המעשי: הוא שונה מרשתות ביתיות טיפוסיות (192.168.x.x) ומרשתות ארגוניות טיפוסיות (10.x.x.x), מה שמפחית התנגשויות VPN בעת חיבור סביבות.
מקורות
האם דף זה היה מועיל?