1. Private Network Là Gì?
Private network là một hệ thống network sử dụng subnet riêng. Những địa chỉ IP này thường được sử dụng trong các mạng LAN tại tòa nhà, văn phòng hoặc doanh nghiệp.
Cả IPv4 và IPv6 đều có các dải địa chỉ Private IP được quy định theo các tiêu chuẩn quốc tế. Các nhà cung cấp dịch vụ Internet (ISP) thường chỉ cấp một địa chỉ Public IPv4 cho mỗi hộ gia đình, nhưng do nhu cầu kết nối của nhiều thiết bị trong một mạng nội bộ (như máy tính, điện thoại, IoT…), giải pháp sử dụng NAT (Network Address Translation) hoặc PAT (Port Address Translation) giúp các thiết bị trong mạng nội bộ có thể truy cập Internet thông qua một public ip duy nhất.
Private network cũng được sử dụng phổ biến trong các doanh nghiệp để tăng cường bảo mật bằng cách giới hạn kết nối trực tiếp từ bên ngoài. Trong trường hợp cần truy cập Internet, họ thường sử dụng proxy hoặc cổng SOCKS để kiểm soát lưu lượng truy cập.
Mặc dù có thể sử dụng các subnet được quy hoạch cho public trong mạng nội bộ (local network), nhưng điều này không được khuyến khích vì những lý do sau:
Xung Đột Địa Chỉ Khi Kết Nối Internet
- Nếu bạn sử dụng một subnet public trong mạng nội bộ mà dải địa chỉ đó thực sự được sở hữu bởi một tổ chức trên Internet, các thiết bị trong mạng nội bộ sẽ không thể kết nối đúng đến tài nguyên thực tế trên Internet.
- Ví dụ: Nếu mạng nội bộ của bạn dùng dải IP 8.8.8.0/24 (một phần của Google), các thiết bị nội bộ sẽ không thể truy cập đúng đến 8.8.8.8 (DNS của Google) vì chúng sẽ bị định tuyến nội bộ thay vì đi ra Internet.
Khó Triển Khai NAT và Firewall
- NAT (Network Address Translation) chủ yếu được thiết kế để chuyển đổi giữa các địa chỉ Private IP và địa chỉ IP công cộng. Nếu bạn dùng địa chỉ public trong mạng nội bộ, NAT có thể không hoạt động đúng, gây khó khăn khi truy cập Internet.
- Firewall cũng có thể gặp vấn đề khi phân biệt giữa lưu lượng nội bộ và lưu lượng đi ra Internet, làm ảnh hưởng đến các chính sách bảo mật.
Gây Rối Loạn Hệ Thống DNS
Khi sử dụng các subnet public trong mạng nội bộ, các truy vấn DNS có thể bị lỗi hoặc bị chặn, dẫn đến việc một số tên miền hoặc dịch vụ trực tuyến không thể truy cập đúng.
Vấn Đề Khi Mở Rộng Hoặc Kết Nối VPN
- Nếu sau này bạn cần kết nối mạng nội bộ của mình với một mạng khác (chẳng hạn thông qua VPN), việc sử dụng dải IP public có thể gây xung đột địa chỉ với mạng của đối tác.
- Điều này thường xảy ra với các doanh nghiệp khi mở rộng hệ thống, dẫn đến việc phải quy hoạch lại toàn bộ mạng, gây gián đoạn.
Vi Phạm Quy Định Mạng
Sử dụng địa chỉ IP public mà không được cấp phép có thể vi phạm chính sách của nhà cung cấp dịch vụ Internet (ISP) hoặc vi phạm các quy định về quản lý mạng.
✅ Giải Pháp Đề Xuất
- Luôn sử dụng các dải IP private được quy định trong RFC 1918 đối với IPv4 hoặc fc00::/7 (ULA) đối với IPv6 để đảm bảo tính tương thích và tránh xung đột địa chỉ.
- Nếu cần kết nối từ bên ngoài, hãy sử dụng NAT hoặc VPN thay vì gán địa chỉ public trực tiếp vào mạng nội bộ.
2. Địa Chỉ Private IP Trong IPv4
Internet Engineering Task Force (IETF) đã chỉ định ba dải địa chỉ IPv4 dành riêng cho mạng nội bộ, được định nghĩa trong RFC 1918:
| Block Size | Range IP | Số lượng IP | MAX CIDR | Kích thước Host ID | Mask |
|---|---|---|---|---|---|
| 24-bit block | 10.0.0.0 – 10.255.255.255 | 16,777,216 | 10.0.0.0/8 (255.0.0.0) | 24 bits | 8 bits |
| 20-bit block | 172.16.0.0 – 172.31.255.255 | 1,048,576 | 172.16.0.0/12 (255.240.0.0) | 20 bits | 12 bits |
| 16-bit block | 192.168.0.0 – 192.168.255.255 | 65,536 | 192.168.0.0/16 (255.255.0.0) | 16 bits | 16 bits |
3. Dedicated space cho carrier-grade NAT deployment.
IANA cũng đã cấp phát dải địa chỉ 100.64.0.0/10 để sử dụng cho Carrier-Grade NAT (CGNAT), giúp nhà cung cấp dịch vụ mạng có thể quản lý tốt hơn số lượng lớn khách hàng sử dụng chung IPv4.
| Dải địa chỉ IP | Số lượng địa chỉ | CIDR lớn nhất | Kích thước Host ID | Bit mặt nạ |
| 100.64.0.0 – 100.127.255.255 | 4,194,304 | 100.64.0.0/10 (255.192.0.0) | 22 bits | 10 bits |
4. Địa Chỉ Private IPv6
IPv6 cung cấp một giải pháp mạnh mẽ hơn cho mạng nội bộ với các địa chỉ Unique Local Address (ULA). Dung lượng địa chỉ được IANA dành riêng cho mục đích này là fc00::/7.
Dải địa chỉ này bao gồm:
fd00::/8: Được thiết kế cho các khối định tuyến /48, giúp người dùng có thể tạo nhiều subnet theo nhu cầu.
| RFC 4193 Block | Prefix/L | Global ID (random) | Subnet ID | Số lượng địa chỉ trong subnet |
| 48 bits | 16 bits | 64 bits | 64 bits | 18,446,744,073,709,551,616 |
Ví dụ về địa chỉ Private IPv6:
fd12:3456:789a:1::1 (Subnet fd12:3456:789a:1::/64)5. Địa Chỉ Link-Local
Địa chỉ Link-Local là một loại địa chỉ mạng nội bộ chỉ hoạt động trong cùng một kết nối mạng, chẳng hạn như trên một switch hoặc trong một mạng không dây. Địa chỉ này không thể được định tuyến ra ngoài.
IPv4
Trong IPv4, dải địa chỉ 169.254.0.0/16 được dành riêng cho mục đích Link-Local. Nếu một thiết bị không thể lấy được IP qua DHCP, nó có thể tự động gán một địa chỉ trong khoảng 169.254.1.0 – 169.254.254.255.
IPv6
IPv6 sử dụng dải fe80::/10 để gán địa chỉ tự động cho các thiết bị trong cùng một liên kết mạng mà không cần DHCP. Việc triển khai địa chỉ Link-Local trong IPv6 là bắt buộc, vì một số chức năng của giao thức IPv6 phụ thuộc vào nó.
6. Loopback Address
Loopback address là một địa chỉ đặc biệt dành riêng cho giao tiếp nội bộ trên thiết bị.
- IPv4: Địa chỉ loopback là 127.0.0.0/8 (thường được sử dụng là
127.0.0.1). - IPv6: Địa chỉ loopback là ::1.
7. Các Vấn Đề Khi Sử Dụng Private Address
Sai Lệch Định Tuyến (Misrouting)
Các gói tin có địa chỉ Private IP đôi khi có thể bị gửi nhầm ra Internet, gây ra các vấn đề về DNS hoặc tấn công giả mạo (spoofing). Để giảm thiểu rủi ro, các router biên (edge routers) thường được cấu hình để chặn lưu lượng từ các dải private address.
Xung Đột Địa Chỉ Khi Hợp Nhất Mạng
Do phạm vi địa chỉ Private IPv4 có hạn, ví dụ khi hợp nhất 2 site khác nhau, rất có thể sẽ xảy ra trùng lặp địa chỉ IP. Điều này có thể gây ra lỗi mạng và yêu cầu đổi địa chỉ hoặc sử dụng NAT để tránh xung đột.
Trong IPv6, điều này ít xảy ra hơn nhờ dung lượng địa chỉ ULA cực kỳ lớn (có hơn 1 nghìn tỷ tiền tố duy nhất), giúp giảm khả năng trùng lặp khi kết nối các mạng nội bộ với nhau.
8. Ví dụ về việc sử dụng Private IP trong mạng LAN.
Dưới đây là cách bạn có thể sử dụng các dải địa chỉ Private IP tương ứng với class A, B, C trong mạng nội bộ:
Class A (10.0.0.0/8)
- Mô tả: Dải địa chỉ này có thể chứa tới 16 triệu địa chỉ IP, thích hợp cho các mạng nội bộ quy mô lớn như tập đoàn hoặc hệ thống hạ tầng trung tâm dữ liệu.
- Ví dụ:
- Mạng công ty lớn có nhiều chi nhánh sử dụng 10.x.x.x/16 cho từng chi nhánh:
- 10.1.0.0/16 → Chi nhánh Hà Nội
- 10.2.0.0/16 → Chi nhánh Hồ Chí Minh
- 10.3.0.0/16 → Chi nhánh Đà Nẵng
- Các địa chỉ cụ thể trong một chi nhánh:
- 10.1.1.1 → Server DNS nội bộ
- 10.1.1.2 → Server DHCP
- 10.1.1.100 → Máy tính nhân viên
- Mạng công ty lớn có nhiều chi nhánh sử dụng 10.x.x.x/16 cho từng chi nhánh:
Class B (172.16.0.0/12)
- Mô tả: Có thể chứa 1 triệu địa chỉ, thích hợp cho các công ty tầm trung hoặc hệ thống mạng nội bộ của tổ chức lớn.
- Ví dụ:
- Một doanh nghiệp vừa sử dụng 172.16.0.0/16 để phân bổ các phòng ban:
- 172.16.1.0/24 → Phòng IT
- 172.16.2.0/24 → Phòng Kế Toán
- 172.16.3.0/24 → Phòng Nhân Sự
- Các thiết bị trong phòng IT:
- 172.16.1.1 → Router nội bộ
- 172.16.1.10 → Server ứng dụng
- 172.16.1.50 → Máy tính nhân viên IT
- Một doanh nghiệp vừa sử dụng 172.16.0.0/16 để phân bổ các phòng ban:
Class C (192.168.0.0/16)
- Mô tả: Có thể chứa 65.536 địa chỉ, phù hợp với mạng gia đình, văn phòng nhỏ, hoặc mạng WiFi của quán cà phê.
- Ví dụ:
- Một văn phòng nhỏ sử dụng 192.168.1.0/24 để quản lý các thiết bị:
- 192.168.1.1 → Router WiFi
- 192.168.1.10 → Máy in
- 192.168.1.50 → Laptop nhân viên
- 192.168.1.100 → Điện thoại kết nối WiFi
- Một văn phòng nhỏ sử dụng 192.168.1.0/24 để quản lý các thiết bị:
9. Kết Luận
Private network là một giải pháp hiệu quả để tối ưu hóa tài nguyên địa chỉ IP, tăng cường bảo mật và hỗ trợ kết nối nhiều thiết bị trong cùng một hệ thống mạng. Với sự phát triển của IPv6, các vấn đề về xung đột địa chỉ hoặc NAT có thể được giải quyết triệt để hơn. Hiểu rõ về các dải địa chỉ này giúp bạn quản lý hệ thống mạng một cách hiệu quả và tránh các sự cố không mong muốn.
