CloudFlare最近启动了 一组公共DNS服务器,它为所有Internet用户强调隐私和性能。

他们的新的任意播DNS服务允许感兴趣的用户将其互联网连接的设备作为DNS解析器指向CloudFlare的基础架构,以替换或增强其ISP的服务。

CloudFlare使用IP地址1.1.1.1和1.0.0.1作为主要和辅助IPv4地址。有了这些虚荣地址,再加上免费的隐私和性能优势,我们希望该服务在系统管理员中变得非常流行。

这些特定的IP地址具有易于记忆的数字吸引力,但是它们存在一个主要问题:它们已经在当今的专用网络中使用。

这意味着CloudFlare的新服务可能会给IT管理员和托管服务提供商带来意想不到的麻烦。

私有空间与公共地址空间有关的问题

为了使承载我们的请求和信息的位知道要路由到哪里,它们需要一个地址才能到达:这些是IP地址。

IP地址可以分为公共地址或私有地址。 (有例外,但是为了简单起见,让我们暂时坚持公开和私有)。

1996年,网络工作组授权 RFC1918 保留某些地址范围(10.0.0.0/8、192.168.0.0/16和172.16.0.0/16)用作私有地址。这是因为地址空间限制意味着每个设备都不能拥有公共IP地址。

因此,系统管理员通常会配置其网络设备(如交换机,路由器和防火墙),以将IP地址从这些RFC1918地址空间之一分发给其客户端。

反过来,使用Internet将到达互联网上公共目标的任何请求从专用转换为公共网络地址空间。 网络地址解读 (NAT)。

虽然1.0.0.0/8地址范围一直被认为是公开的,但是网络设备供应商和系统管理员都已经习惯了使用该范围内的IP地址供私人使用的不良习惯。

根据您网络设备的配置,由于CloudFlare的新DNS服务,您的团队可能需要解决一件事或多件事。

要强调: 这些问题并不新鲜。但是,随着针对互联网工作至关重要的协议的免费,消费者友好型服务的推出,问题可能比以往更加突出。

这是本周的一些调查结果,因为我们已经分析了数据并从网络上读取了报告。

受影响的:思科无线局域网控制器

如果您使用的是Cisco Aironet无线局域网控制器和访问点,则需要查看设备配置。 思科的默认文档和配置示例使用1.1.1.1作为强制门户IP到现在为止,这种工作本来就相当可靠。

但是,在全局Internet路由表中再次存在到1.1.1.1的路由时,外围防火墙或路由器可能会将来宾用户的强制门户请求转发到CloudFlare而不是无线LAN控制器上。

受影响的:高可用性群集共享的IP地址

当您将防火墙等设备配置为高可用性(HA)对时,通常会给它们中的每一个:

  • 区分它们的唯一IP地址,以及
  • 他们监视一个共享地址以服务来自下游设备的请求。

遗憾的是,系统管理员通常将1.0.0.0/24和1.1.1.0/24地址空间用于这些目的。

受影响的:ISP调制解调器和网关

AT&T customers within 此DSLReports线程 例如,某些DSL调制解调器正在将对1.1.1.1的请求路由回LAN接口,从而有效地阻止了这些数据包从Internet的转发。在大量情况下,这可能会导致调制解调器受到拒绝服务。

有关处理CloudFlare公告的建议

我们建议您积极调查是否由于CloudFlare公告而在您管理的网络上出现问题。

  1. 审核每个客户端网络以查找可能正在使用受影响的IP地址之一或变体的设备。 (如果您是Auvik合作伙伴,我们可以为您提供帮助。请参阅文章底部的注释。)
  2. 如果您看到任何具有受影响IP地址的设备,请根据CloudFlare IP当前正在服务的应用程序确定适当的新IP寻址方案。
  3. 定义一种用于实现寻址更改的过程方法(MOP)。理想情况下,您将在模拟生产的实验室环境中测试此MOP。但是,如果该功能不可用,那么至关重要的一点是,您必须正确确定一个回滚过程,以最大程度地减少客户端停机时间。
  4. 与您的客户一起安排维护时段,并实施建议的更改。
  5. 记录您对客户网络所做的更改。
  6. 更新您内部维护的所有配置模板或最佳实践文档,以声明公用IP地址范围不应用于私有网络应用程序。这样做也很有意义:
    • 将更新分发给将来可能在设计或支持网络方面起作用的所有技术人员。
    • 确保加入团队的所有新人员都对这些文件进行了审核,这是您的入职课程的一部分。

Auvik可以帮助您查找配置错误的IP地址

如果您是Auvik的当前合作伙伴,我们可以帮助您生成有关使用受影响IP地址配置的网络设备的报告。只是 启用只读支持访问 从您的MSP信息中心发送,然后发送电子邮件至 [电子邮件  protected] 请求您的个性化报告的副本。

如果您还不是Auvik合作伙伴,请联系 [电子邮件  protected] 或单击“请求免费试用”按钮 Auvik主页 与我们谈谈如何提供帮助。