100.64.0.0/10私网共享地址空间
100.64.0.0/10 ——也就是著名的 CGNAT 共享地址空间(RFC 6598)。
要点
- 范围:
100.64.0.0—100.127.255.255(共 /10,约 4194304 个地址) - 用途:供运营商做 Carrier-Grade NAT(NAT444/CGNAT),并不在公网可路由
- 与 RFC1918 的区别:不是传统私网(10/8、172.16/12、192.168/16),但同样不要在互联网宣告或期望可达
- 典型场景:ISP/移动网核心网、中间过渡网段、客户与运营商交界面、超大规模隧道/overlay 的“灰色”中间层
- 注意:企业内部若非与运营商对接,优先用 RFC1918;与第三方互联前务必确认是否占用,避免重叠。
地址类型
- 类型:公共 IPv4 地址
- 私有/保留检查:
- RFC 1918 私有网段:10.0.0.0/8、172.16.0.0/12、192.168.0.0/16 → 不在
- 100.64.0.0/10 → CGNAT(Carrier-Grade NAT)地址,专用于运营商网络中的 NAT 转换
子网与掩码
CIDR:
/10→ 掩码 255.192.0.0常见切分(示例):
/20:每段 4096 IP,块起点如100.64.0.0/20、100.64.16.0/20…/24:每段 256 IP,块起点如100.64.0.0/24、100.64.1.0/24…/29:每段 8 IP(点对点/小规模 NAT 池)
架构示意(NAT444:私网→CGNAT→公网)

什么时候用 / 不用
- ✅ 用:和 ISP 的对接网、BRAS/BNG 背后、5G 核心网、需要与公网隔离但又不想占用 RFC1918 的“中立”网段
- ⚠️ 避免:企业内部大面积替代 RFC1918;跨组织互联未协商统一前直接使用
- 🚫 不要:在 BGP 对外宣告;在需要公网可达的服务上配置该网段
路由/防火墙实务片段
Linux 路由标黑洞(避免误流量外发):
1
ip route add 100.64.0.0/10 blackhole
或明确只在内网/隧道可达时指向下一跳:
1
ip route add 100.64.0.0/10 via 10.0.0.1
防火墙(例:iptables)把该段视为“私有”源地址处理:
1
2iptables -A INPUT -s 100.64.0.0/10 -j DROP # 若不期望从外部入站
iptables -A FORWARD -s 100.64.0.0/10 -j ACCEPT # 在内部转发白名单中放行
与其它保留网段速对比
- RFC1918:
10/8、172.16/12、192.168/16(企业私网) - RFC6598:
100.64/10(共享私有空间,面向运营商) - CGNAT 往往配合 IPv6 过渡(DS-Lite、464XLAT、MAP-T)等一并出现