DNS 中显示“100.xxx”IP

DNS 中显示“100.xxx”IP

在我们的 Windows 环境中,我们的客户会注册自己的 DNS。我们有本地 Windows DNS 服务器和防火墙,为 VPN 连接分配单独的范围。

最近,我们发现我们的一台机器在 DNS 中注册了两个列表 - 一个在 VPN 的正确范围内,另一个具有“100.91.47.x”IP 地址。维基百科将此范围列为:

用于服务提供商与其用户在使用运营商级 NAT 时的通信[3]

对此的描述对我来说毫无意义,也不明白为什么会发生这种情况。此地址不在我们通过 DHCP 分配的任何范围内,我们以前从未在任何其他机器上看到过它。有问题的机器是一台带有 4G 连接卡的平板电脑,这可能与此有关。

知道为什么这台机器在 DNS 中两次出现第二个“100.xxx”IP 地址吗?我很想知道原因。

答案1

IPv4 地址不足。

很长时间以来都没有足够的地址,因此部署了 NAT。您的 PC 没有获得公共地址,您的互联网路由器有,并且您的 PC 共享其地址。您的 PC 获得的地址通常来自 RFC1918 私有地址范围:

192.168.0.0/16
172.16.0.0/12
10.0.0.0/8

这些地址并非全球唯一,只要位于不同的专用网络上,多个设备都可以使用它们,因此问题解决了,至少在我们让所有人都使用 IPv6 之前是这样。但这需要很长时间,而与此同时,世界上每个人都想要一部手机,每部手机都有一个来自 ISP 的地址。目前 IPv4 地址大约有 40 亿个,而人口超过 70 亿,所以这是不可能的。

因此,运营商必须做同样的事情,对手机进行 NAT。但他们不能使用 RFC1918 地址,因为它们可能与客户正在使用的地址冲突,所以他们要求使用自己的地址范围来执行此操作。看起来 4G 提供商正在使用它们。

答案2

听起来像是 NAT 和防火墙策略设置为允许“任何”来自 VPN 的访问,但实际上不应该。当防火墙策略允许“任何”来源通过防火墙时,其 NAT 地址也将在经过身份验证后被允许通过,并将在 DNS 中显示为一个选项,因为它在 NAT 发生之前就到达了服务器,但就路由到该 100.x 地址而言,第 3 层并不存在,所以这不是什么大问题。

相关内容