Blog de Tecnologia

Network Working Group Y. Rekhter
Request for Comments: 1918 Cisco Systems
Obsoletes: 1627, 1597 B. Moskowitz
BCP: 5 Chrysler Corp.
Categoría: Mejor Práctica Actual D. Karrenberg

Asignación de direcciones para Internet privadas

Status de este memorándum

Este documento especifica unas "Mejores Prácticas Actuales", Best
Current Practices (BCP), para la comunidad Internet, y solicita su
discusión y sugerencias para mejorarlas. La distribución de este
memorándum es ilimitada.

1. Introducción

Para los propósitos de este documento, una empresa es una entidad que
maneja de manera autónoma una red usando TCP/IP y en particular, que
determina el plan de direccionamiento y las asignaciones de
direcciones dentro de esa red.

Este documento describe la asignación de direcciones en las redes
privadas. La asignación permite la completa conectividad de nivel de
red entre todas las máquinas de la empresa así como entre todas las
máquinas públicas de diferentes empresas. El coste de usar un espacio
privado de direcciones de Internet es el coste potencial del esfuerzo
de reasignar las direcciones de las máquinas y redes de públicos a
privados.

2. Motivación

Con la proliferación mundial de la tecnología TCP/IP, incluso fuera
de la propia Internet, un creciente número de empresas no conectadas
usan esta tecnología y sus capacidades de direccionamiento únicamente
para las comunicaciones internas, sin intención alguna de en algún
momento conectarse directamente a otras empresas o a la propia
Internet.

Internet ha crecido más allá de todas las previsiones. El continuo
crecimiento exponencial continúa presentando nuevos retos. Uno de los
retos es la constancia dentro de la comunidad de que el espacio de
direcciones globalmente únicas se agotará. Un asunto distinto y
bastante más acuciante es que la sobrecarga de encaminamiento crecerá
más allá de las capacidades de los "Proveedores de Servicios de
Internet", Internet Service Providers (ISP). Dentro de la comunidad
existen iniciativas en curso para encontrar soluciones duraderas para
ambos problemas. Mientras tanto es necesario reconsiderar los
procedimientos de asignación de direcciones, y su impacto en el
sistema de encaminamiento de Internet.

Para contener el aumento en la sobrecarga de encaminamiento, un
proveedor de Internet obtiene un bloque de espacio de direcciones de
un registro de direcciones, y entonces asigna a sus clientes
direcciones de ese bloque según las necesidades de cada cliente. El
resultado de este proceso es que las rutas hacia muchos clientes
pueden ser agrupadas, y aparecerán a los demás proveedores como una
sola ruta [RFC1518], [RFC1519]. Para que esta agregación de rutas sea
efectiva, los proveedores de Internet animarán a los clientes que se
unan a su red a usar el bloque de direcciones del proveedor, y en
consecuencia a renumerar sus máquinas. En el futuro, lo que ahora es
una recomendación podría convertirse en una obligación.

Con el actual tamaño de Internet y su ritmo de crecimiento ya no es
realista asumir que por el hecho de obtener una dirección IP
globalmente única de un registro de Internet, la organización que
consiga dicha dirección dispondrá de conectividad IP en todo Internet
una vez dicha organización se conecte a Internet. Todo lo contrario,
es bastante probable que cuando la organización se conecte a Internet
para alcanzar conectividad IP global en Internet la organización
tenga que cambiar las direcciones IP (renumerar) todas sus máquinas
públicas (las máquinas que necesitan conectividad IP global en
Internet), independientemente de si las direcciones inicialmente
usadas por la organización eran globalmente únicas o no.

Ha sido típico asignar direcciones globalmente únicas a todas las
máquinas que usan TCP/IP. Para prolongar la vida del espacio de
direcciones IPv4, los registros de direcciones solicitan más
justificaciones que nunca, haciendo más difícil que las
organizaciones obtengan espacios de direcciones adicionales
[RFC1466].

Se pueden dividir en tres categorías las máquinas que usan IP dentro
de las empresas:

Categoría 1: máquinas que no necesitan acceder a máquinas en otras
empresas, o Internet en general; las máquinas dentro
de esta categoría pueden usar direcciones IP que sean
únicas dentro de la empresa, pero que pueden no ser
únicas entre empresas.

Categoría 2: máquinas que necesitan acceso a un conjunto reducido
de servicios externos (por ejemplo, e-mail, FTP,
news, login remoto) que pueden ser gestionados por
pasarelas intermedias (por ejemplo, pasarelas de
nivel de aplicación). Para muchas máquinas en esta
categoría, un acceso sin restricciones al exterior
(el proporcionado por la conectividad IP) puede ser
innecesario e incluso no deseable por razones de
seguridad y/o privacidad. Como en el caso de las
máquinas en la primera categoría, tales máquinas
pueden usar direcciones IP que sean únicas dentro de
la empresa, pero que puedan ser ambiguas entre
empresas distintas.

Categoría 3: máquinas que necesitan acceso de nivel de red hacia
el exterior de la empresa (proporcionado mediante la
conectividad IP); las máquinas en esta última
categoría necesitan direcciones IP que sean
globalmente únicas.

Nos referiremos a las máquinas en la primera y segunda categorías
como "privadas". Nos referiremos a las máquinas en la tercera
categoría como "públicas".

Muchas aplicaciones necesitan conectividad sólo dentro de una empresa
y no necesitan conectividad externa (fuera de la empresa) para la
mayoría de las máquinas internas. En frecuente que en las grandes
empresas sea sencillo identificar un considerable número de máquinas
usando TCP/IP que no necesitan conectividad de nivel de red fuera de
la empresa.

Algunos ejemplos donde la conectividad externa podría no ser
necesaria son:

- Un gran aeropuerto que tiene sus pantallas de llegadas y
salidas direccionables individualmente mediante TCP/IP. Es muy
improbable que estas pantallas necesiten ser directamente
accesibles desde otras redes.

- Grandes organizaciones como bancos y cadenas de pequeños
comercios que estén cambiando a TCP/IP para sus comunicaciones
internas. El elevado número de puestos locales tales como cajas
registradoras, dispensadores de efectivo, y equipamiento en
otros puestos raramente necesitan disponer de tal conectividad.


- Por razones de seguridad, muchas empresas usan pasarelas de
nivel de aplicación para conectar sus redes internas a
Internet. A menudo las redes internas no tienen acceso directo
a Internet, y sólo una o más pasarelas son visibles desde
Internet. En este caso, la red interna puede usar números de
red IP no únicos.

- Las interfaces de los encaminadores en una red interna a menudo
no necesitan ser directamente accesibles desde fuera de la
empresa.

3. Espacio de direcciones privado

La "Autoridad de Números Asignados en Internet", Internet Assigned
Numbers Authority (IANA), ha reservado los tres siguientes bloques de
direcciones IP para el uso en internets privadas:

10.0.0.0 - 10.255.255.255 (prefijo 10/8)
172.16.0.0 - 172.31.255.255 (prefijo 172.16/12)
192.168.0.0 - 192.168.255.255 (prefijo 192.168/16)

Nos referiremos al primer bloque como "bloque de 24 bits", al segundo
como "bloque de 20 bits" y al tercero como "bloque de 16 bits". Dese
cuenta que (en la notación anterior a CIDR) el primer bloque no es
más que un único número de red de clase A, mientras que el segundo
bloque es un conjunto de 16 números de red de clase B contiguos, y el
tercer bloque es un conjunto de 256 números de red de clase C
contiguos.

Una empresa que decida usar direcciones IP del espacio de direcciones
definido en este documento puede hacerlo sin tener que coordinarse
con la IANA o con un registro de Internet. De esta manera el espacio
de direcciones puede ser usado por muchas empresas. Las direcciones
de este espacio de direcciones privado sólo serán únicas dentro de la
empresa, o el conjunto de empresas que elijan colaborar sobre este
espacio para que puedan comunicarse con las demás en su propia
internet privada.

Como antes, cualquier empresa que necesite espacio de direcciones
globalmente único necesita obtener tales direcciones de un registro
de Internet. Una empresa que solicite direcciones IP para su
conectividad externa nunca recibirá direcciones de los bloques
definidos arriba.

Para usar el espacio de direcciones privado, una empresa necesita
determinar qué máquinas no necesitan disponer de conectividad de
nivel de red hacia el exterior de la empresa en un futuro previsible
y así poder clasificarlas como privadas. Tales máquinas usarán el
espacio de direcciones privado definido anteriormente. Las máquinas
privadas pueden comunicarse con el resto de máquinas de la empresa,
tanto públicas como privadas. Sin embargo, no pueden tener
conectividad IP a ninguna máquina fuera de la empresa. Aunque no
dispongan de conectividad IP externa (fuera de la empresa), las
máquinas privadas aún pueden tener acceso a servicios externos
mediante el uso de pasarelas (por ejemplo, pasarelas de nivel de
aplicación).

El resto de máquinas serán públicas y usarán espacio de direcciones
globalmente únicas asignadas por un registro de Internet. Las
máquinas públicas pueden comunicarse con otras máquinas dentro de la
empresa, tanto públicas como privadas, y pueden tener conectividad IP
con máquinas públicas fuera de la empresa. Las máquinas públicas no
tienen conectividad con las máquinas privadas de otras empresas.

Cambiar una máquina de privada a pública o viceversa implica un
cambio de dirección IP, cambios en las entradas DNS correspondientes,
y cambios en los ficheros de configuración de otras máquinas que
referencien a la máquina por su dirección IP.

Puesto que las direcciones privadas no tienen significado global, la
información de encaminamiento acerca de las redes privadas no se
propagará en los enlaces entre empresas, y los paquetes con
direcciones origen o destino privadas no deberían ser reenviados por
dichos enlaces. Se supone que los encaminadores en las redes que no
usen espacio de direcciones privados, especialmente aquéllos situados
en los proveedores de servicios de Internet, estarán configurados
para rechazar (filtrar) la información de encaminamiento acerca de
redes privadas. Si uno de estos encaminadores recibe tal información,
el rechazo no será tratado como un error en el protocolo de
encaminamiento.

Las referencias indirectas a tales direcciones deberán quedar
limitadas a los límites de la empresa. Ejemplos significativos de
estas referencias son los "Registros de Recursos DNS", DNS Resource
Records, y otra información importante acerca de las direcciones
privadas internas. En particular, los proveedores de servicios de
Internet deberían tomar medidas para evitar dichas fugas de
información.

4. Ventajas y desventajas de usar espacio de direcciones privado

La ventaja obvia de usar espacio de direccionamiento privado de
manera global es conservar el espacio de direcciones globalmente
únicas no usando estas direcciones donde no sea necesaria esta
unicidad.



Las propias empresas también obtendrán ciertas ventajas por el uso
del espacio de direccionamiento privado: ganan gran flexibilidad en
el diseño de la red al tener más espacio de direcciones a su
disposición del que dispondrían obteniendo direcciones globalmente
únicas. Esto permite esquemas de direccionamiento operacional y
administrativamente provechosos, así como una sencilla escalabilidad.

Por diversas razones, en Internet se han dados casos en los que una
empresa que no está conectada a Internet ha usado direcciones IP para
sus máquinas sin haberlas solicitado previamente a la IANA. En
algunos casos este espacio de direcciones ya ha sido asignado a otras
empresas. Si posteriormente tal empresa se conecta a Internet, esto
podría potencialmente crear problemas muy graves, puesto que el
encaminamiento IP no puede funcionar correctamente en presencia de
direccionamiento ambiguo. Aunque en principio los proveedores de
servicios de Internet deberían protegerse de tales errores mediante
el uso de filtros de rutas, en la práctica no siempre sucede así. El
uso del espacio de direcciones privado proporciona una elección
segura para tales empresas, evitando conflictos cuando sea necesaria
la conectividad externa.

Uno de los principales inconvenientes del uso de direcciones privadas
es que puede reducir la flexibilidad de la empresa para salir a
Internet. Cuando se compromete a usar direcciones privadas, se está
comprometiendo a renumerar parte o toda la empresa, si se decidiera a
proporcionar conectividad IP entre esa parte (o toda la empresa) e
Internet. A menudo el coste de renumerar puede medirse contando el
número de máquinas que deben pasar de privado a público. Sin embargo,
como se discutió previamente, incluso si una red usa direcciones
globalmente únicas, aún puede ser necesario tener que renumerar para
lograr conectividad IP hacia todo Internet.

Otro perjuicio de usar espacio de direcciones privado es que puede
obligar a renumerar cuando se unan varias redes privadas en una única
red física privada. Si revisamos los ejemplos enumerados en la
sección 2, nos daremos cuenta que las compañías tienden a unirse. Si
previamente a la unión dichas compañías mantuviesen sus propias redes
usando direccionamiento privado, entonces si después de la unión
estas redes se combinasen en una sola, algunas direcciones dentro de
la red combinada podrían no ser únicas. Como resultado, las máquinas
con dichas direcciones deberían ser renumeradas.

El coste de la renumeración también puede ser reducido por el
desarrollo y despliegue de herramientas que faciliten la renumeración
(por ejemplo, "Protocolo de Configuración Dinámica de Máquinas",
Dynamic Host Configuration Protocol (DHCP)). Cuando se esté
planteando si usar direcciones privadas, recomendamos consultar a los
fabricantes de hardware y software sobre la disponibilidad de dichas
herramientas. Un esfuerzo separado del IETF (PIER Working Group) está
intentando documentar completamente los requisitos y procedimientos
para la renumeración.

5. Consideraciones operacionales

Una estrategia posible es diseñar primero la parte privada de la red
y usar el espacio de direcciones privado para todos los enlaces
internos. Entonces, planificar las subredes públicas en las
localizaciones necesarias y diseñar la conectividad externa.

Este diseño no tiene porqué ser indefinidamente fijo. Si
posteriormente un grupo de una o más máquinas necesita cambiar su
status (de privado a público, o viceversa), esto se puede hacer
renumerando sólo las máquinas involucradas, y cambiando la
conectividad física en caso necesario. En localizaciones donde dichos
cambios sean previsibles (salas de ordenadores, etc.), es aconsejable
configurar medios físicos separados para las subredes pública y
privada, y así facilitar tales cambios. Para evitar intervenciones de
importancia en la red, es aconsejable agrupar en sus propias subredes
máquinas con similares necesidades de conectividad.

Si se puede diseñar un adecuado esquema de división en subredes que
esté soportado por el equipamiento implicado, es aconsejable usar el
espacio privado de direcciones del bloque de 24 bits (red de clase A)
y diseñar un plan de direccionamiento con un buen camino de
crecimiento. Si el hacer las subredes es problemático se puede usar
el espacio de direcciones del bloque de 16 bits (redes de clase C) o
del bloque de 20 bits (redes de clase B).

Se podría estar tentado de tener tanto direcciones públicas como
privadas en el mismo medio físico. Aunque es posible, existen riesgos
en tales diseños (dese cuenta que los riesgos no tienen nada que ver
con el uso de direcciones privadas, sino que son debidos a la
presencia de múltiples subredes IP en una misma subred física de
datos). Aconsejamos prudencia cuando se trabaje en estos supuestos.

Se recomienda encarecidamente que los encaminadores que conectan las
empresas a las redes externas se configuren con los filtros de
paquetes y rutas adecuados en ambos extremos del enlace para evitar
fugas de paquetes e información de encaminamiento. Una empresa
también debería aislar a cualquier red privada de la información de
encaminamiento entrante para protegerse a sí misma de situaciones de
encaminamiento ambiguas que pueden presentarse si las rutas hacia el
espacio de direcciones privadas apunta hacia fuera de la empresa.

Es posible que ambos sitios, que coordinan sus respectivos espacios
de direcciones privadas, se comuniquen con el otro sobre una red
pública. Para hacer esto deben usar algún método de encapsulamiento
en sus fronteras con la red pública, manteniendo privadas sus
direcciones privadas.

Si dos (o más) organizaciones implementan la asignación de
direcciones especificada en este documento y más tarde desean
establecer conectividad IP con las demás, existe el riesgo de que la
unicidad en las direcciones pueda violarse. Para minimizar el riesgo
es altamente recomendable que una organización que use direcciones IP
privadas elija aleatoriamente de la lista de direcciones privadas,
cuando asigne sub-bloques en su asignación interna.

Si una empresa usa espacio de direcciones privado, o una mezcla de
espacios de direcciones privado y públicos, entonces los clientes DNS
externos a la empresa no deberían ver direcciones en el espacio de
direcciones privado usado por la empresa, puesto que estas
direcciones serían ambiguas. Una manera de asegurarse de esto es
disponer de dos servidores de nombres autorizados para cada zona DNS
que contengan las direcciones tanto públicas como privadas de las
máquinas. Un servidor sería visible desde el espacio de direcciones
público y contendría sólo el subconjunto de direcciones de la empresa
alcanzables mediante direcciones públicas. El otro servidor sería
alcanzable sólo desde la red privada y contendría el conjunto
completo de datos, incluyendo las direcciones privadas y cualesquiera
otras direcciones públicas alcanzables desde la red privada. Para
asegurar la consistencia, ambos servidores deberían configurarse a
partir de los mismos datos, de los cuales la zona públicamente
visible sólo contiene una versión filtrada. Hay cierto grado de
complejidad adicional asociada con la provisión de estas capacidades.

6. Consideraciones de seguridad

Las consideraciones de seguridad no se tratan en este memorándum.

7. Conclusión

Con el esquema descrito muchas grandes empresas sólo necesitarán un
bloque relativamente pequeño de direcciones del espacio de
direcciones IP globalmente únicas. Todo Internet se beneficia del
ahorro del espacio de direcciones globalmente únicas que tendrá como
efecto el aumento en la vida del espacio de direcciones IP. Las
empresas se benefician de la flexibilidad adicional proporcionada por
un espacio de direcciones privadas relativamente grande. Sin embargo,
el uso de direccionamiento privado requiere que una organización
renumere parte o la totalidad de su red empresarial, puesto que sus
necesidades de conectividad cambian con el tiempo.

8. Reconocimientos

Nos gustaría agradecer a Tony Bates (MCI), Jordan Becker (ANS), Hans-
Werner Braun (SDSC), Ross Callon (BayNetworks), John Curran (BBN
Planet), Vince Fuller (BBN Planet), Tony Li (cisco Systems), Anne
Lord (RIPE NCC), Milo Medin (NSI), Marten Terpstra (BayNetworks),
Geza Turchanyi (RIPE NCC), Christophe Wolfhugel (Pasteur Institute),
Andy Linton (connect.com.au), Brian Carpenter (CERN), Randy Bush
(PSG), Erik Fair (Apple Computer), Dave Crocker (Brandenburg
Consulting), Tom Kessler (SGI), Dave Piscitello (Core Competence),
Matt Crawford (FNAL), Michael Patton (BBN), y a Paul Vixie (Internet
Software Consortium) su revisión y comentarios constructivos acerca
del documento.

9. Referencias

[1] [RFC1466] Gerich, E., "Guidelines for Management of IP Address
Space", RFC 1466, Merit Network, Inc., Mayo 1993.

[2] [RFC1518] Rekhter, Y., and T. Li, "An Architecture for IP
Address Allocation with CIDR", RFC 1518, Septiembre 1993.

[3] [RFC1519] Fuller, V., Li, T., Yu, J., and K. Varadhan, "Class¬
less Inter-Domain Routing (CIDR): an Address Assignment and
Aggregation Strategy", RFC 1519, Septiembre 1993.


10. Direcciones de los autores

Yakov Rekhter
Cisco systems
170 West Tasman Drive
San Jose, CA, USA
Phone: +1 914 528 0090
Fax: +1 408 526-4952
EMail: yakov@cisco.com


Robert G Moskowitz
Chrysler Corporation
CIMS: 424-73-00
25999 Lawrence Ave
Center Line, MI 48015
Phone: +1 810 758 8212
Fax: +1 810 758 8173
EMail: rgm3@is.chrysler.com


Daniel Karrenberg
RIPE Network Coordination Centre


RFC 1918 Asignación de Direcciones Privadas Febrero 1996