Como a rota entre dois IPs privados pode passar por IPs públicos?

3

Estou tentando entender o que essa saída de traceroute significa. Alterei os endereços IP para privacidade, mas mantive a distinção de intervalo de IP público / privado.

traceroute.db -e -n 10.1.1.9
traceroute to (10.1.1.9), 30 hops max, 60 byte packets
 1  10.0.0.1  0.596 ms  0.588 ms  0.577 ms
 2  10.0.0.2  1.032 ms  1.029 ms  1.084 ms
 3  10.0.0.3  3.360 ms  3.355 ms  3.338 ms
 4  23.0.0.4  3.974 ms  4.592 ms  4.584 ms
 5  23.0.0.5  13.442 ms  13.445 ms  13.434 ms
 6  45.0.0.6  13.195 ms  12.924 ms  12.913 ms
 7  67.0.0.7  52.088 ms  51.683 ms  52.040 ms
 8  10.1.1.8  46.878 ms  44.575 ms  44.815 ms
 9  10.1.1.9  45.932 ms  45.603 ms  45.593 ms

O primeiro intervalo 10.0. * está dentro da minha organização. O último intervalo 10.1. * É outro site da minha organização. Os endereços intermediários pertencem a vários ISPs. Espero que exista algum tipo de VPN entre os dois sites, mas não sei muito sobre nossa topologia de rede.

O que eu não entendo é como a rota pode ir de um endereço particular por meio de endereços públicos para endereços particulares. A pesquisa levou-me a IPs públicos no Traceroute MPLS , o que dá uma explicação possível: MPLS . MPLS é a única explicação possível ou mais provável? Caso contrário, o que isso me diz sobre nossa infra-estrutura de rede?

Pergunta de bônus para minha edificação: neste cenário, quem está gerando o TTL ICMP excedeu os pacotes e, se for relevante, desconfigurando seus endereços de origem e destino?

    
por Gilles 28.06.2011 / 20:42

1 resposta

4

Existem servidores em ambas as extremidades que estão fazendo Network Address Translation (NAT). À medida que o endereço passa por esses servidores, o endereço do cabeçalho no pacote de dados é reescrito para o endereço de Internet desses servidores. O servidor controla quais conexões pertencem a qual host interno.

Traceroute exibe dados de dentro de um pacote ICMP indicando se o host foi ou não alcançado em um determinado número de saltos. Os roteadores NAT não alteram esses dados. Como resultado, você vê o endereço em que cada host recebeu o pacote.

Normalmente, o nome do servidor na extremidade mais distante, nesse caso, foi roteado usando DNAT (NAT de destino) para um host na rede privada.

É provável que o endereço esteja sendo passado por um túnel VPN entre dois sites. A VPN deve encapsular os endereços fonte e final dentro dos pacotes enviados entre os saltos 3 e 7. O efeito é o mesmo, embora o mecanismo seja diferente. Os roteadores nos saltos 3 e 7 saberiam os intervalos de endereços suportados pelos roteadores remotos e roteariam os pacotes de acordo. Deixando o hop 7, o destino do IP seria 67.0.0.7 com um endereço público pertencente ao hop 3. Isso é invisível devido à maneira como o rastreamento de rota funciona. Dependendo do protocolo VPN, alguns saltos após o salto 7 podem não ser rastreáveis.

Em alguns casos, você pode ver um roteamento de ISP em endereços privados para um endereço público. Isto aparecerá como um ou mais endereços privados entre dois endereços públicos. Se os roteadores intermediários com endereços públicos pertencerem à mesma organização, é possível que eles tenham regras de roteamento que permitam a comunicação de ponta a ponta sem tradução.

    
por 28.06.2011 / 21:01