IPv4的所有地址为 0.0.0.0-255.255.255.255,其中有一部分地址被抽出来作为保留地址供内网使用,其它地址为互联网地址。从IP地址所处的段,我们可以判断IP地址是否是内网地址或公网地址。
以下地址为保留地址段,可以作为内网地址:
10.0.0.0-10.255.255.255 CIDR格式:10.0.0.0/8
172.16.0.0-172.31.255.255 CIDR格式:172.16.0.0/12
192.168.0.0-192.168.255.255 CIDR格式:192.168.0.0/16
全网地址排除掉私网地址就是互联网公网地址,以下是排除内网地址之后的四个大的公网地址段:
公网:0.0.0.0-9.255.255.255
# CIDR格式:
0.0.0.0/5
8.0.0.0/7
公网:11.0.0.0-172.15.255.255
# CIDR格式:
11.0.0.0/812.0.0.0/616.0.0.0/432.0.0.0/364.0.0.0/2128.0.0.0/3160.0.0.0/5168.0.0.0/6172.0.0.0/12#bugfix: 以下不要172.12.0.0/15172.14.0.0/16172.15.0.0/32
公网:172.32.0.0-192.167.255.255
# CIDR格式:
172.32.0.0/11172.64.0.0/10172.128.0.0/9173.0.0.0/8174.0.0.0/7176.0.0.0/4192.0.0.0/9192.128.0.0/11192.160.0.0/13
公网:192.169.0.0-255.255.255.255
# CIDR格式:
192.169.0.0/16192.170.0.0/15192.172.0.0/14192.176.0.0/12192.192.0.0/10193.0.0.0/8194.0.0.0/7196.0.0.0/6200.0.0.0/5208.0.0.0/4224.0.0.0/3
其中 CIDR 格式的地址一般在防火墙上用的比较多,有的防火墙不支持IP段的格式,只支持IP/掩码的格式。一个IP段转换为掩码的格式有可能会被拆成很多段,其中IP段与CIDR格式间的转换是通过cidr-merger实现的,工具地址为:
https://github.com/zhanhb/cidr-merger
CIDR-Merger 工具介绍
有了内网地址和外网地址,我们就可以在防火墙上隔离内外网了,比如一个终端只能访问内网,那么就只放行三个内网地址段。如果终端只访问互联网,不允许访问内网,那么则在防火墙上放行公网地址段,默认策略设为阻止即可。
除了提到的三个保留地址,目前为了应对公网地址不足的问题。在公网地址段中又划出来了一个运营商内网地址段。目的是让各地的运营商共用这个保留地址段,普通上网用户拿到的IP不再是公网IP,而是运营商的内网IP。这个策略是否实施,要看各地运营商的实际情况。运营商级保留地址段为 100.64.0.0-100.127.255.255
参考
https://www.darecy.com/1157.html
全文完。
如果转发本文,文末务必注明:“转自微信公众号:生有可恋”。
