100.64.0.0/10私网共享地址空间

100.64.0.0/10 ——也就是著名的 CGNAT 共享地址空间(RFC 6598)。

要点

  • 范围100.64.0.0100.127.255.255(共 /10,约 4194304 个地址)
  • 用途:供运营商做 Carrier-Grade NAT(NAT444/CGNAT),并不在公网可路由
  • 与 RFC1918 的区别:不是传统私网(10/8、172.16/12、192.168/16),但同样不要在互联网宣告或期望可达
  • 典型场景:ISP/移动网核心网、中间过渡网段、客户与运营商交界面、超大规模隧道/overlay 的“灰色”中间层
  • 注意:企业内部若非与运营商对接,优先用 RFC1918;与第三方互联前务必确认是否占用,避免重叠。

地址类型

  1. 类型:公共 IPv4 地址
  2. 私有/保留检查
    • RFC 1918 私有网段:10.0.0.0/8、172.16.0.0/12、192.168.0.0/16 → 不在
    • 100.64.0.0/10 → CGNAT(Carrier-Grade NAT)地址,专用于运营商网络中的 NAT 转换

子网与掩码

  • CIDR/10 → 掩码 255.192.0.0

  • 常见切分(示例):

    • /20:每段 4096 IP,块起点如 100.64.0.0/20100.64.16.0/20
    • /24:每段 256 IP,块起点如 100.64.0.0/24100.64.1.0/24
    • /29:每段 8 IP(点对点/小规模 NAT 池)

架构示意(NAT444:私网→CGNAT→公网)

daa5cb546cf2819fa5cb9ae76df4511b.png

什么时候用 / 不用

  • :和 ISP 的对接网、BRAS/BNG 背后、5G 核心网、需要与公网隔离但又不想占用 RFC1918 的“中立”网段
  • ⚠️ 避免:企业内部大面积替代 RFC1918;跨组织互联未协商统一前直接使用
  • 🚫 不要:在 BGP 对外宣告;在需要公网可达的服务上配置该网段

路由/防火墙实务片段

  • Linux 路由标黑洞(避免误流量外发):

    1
    ip route add 100.64.0.0/10 blackhole
  • 或明确只在内网/隧道可达时指向下一跳:

    1
    ip route add 100.64.0.0/10 via 10.0.0.1
  • 防火墙(例:iptables)把该段视为“私有”源地址处理:

    1
    2
    iptables -A INPUT  -s 100.64.0.0/10 -j DROP    # 若不期望从外部入站
    iptables -A FORWARD -s 100.64.0.0/10 -j ACCEPT # 在内部转发白名单中放行

与其它保留网段速对比

  • RFC1918:10/8172.16/12192.168/16(企业私网)
  • RFC6598:100.64/10共享私有空间,面向运营商)
  • CGNAT 往往配合 IPv6 过渡(DS-Lite、464XLAT、MAP-T)等一并出现