集團專網是集團總公司及下屬各企業之間進行信息交互，資源共享的重要平臺。集團專網具有接入企業數量多，接入方式多樣化等特點。因此，有效合理的網絡規劃及部署成為實現整體網絡高效運轉的唯一途徑。
集團數據中心核心網絡和下屬企業局域網已遵循集團IT基礎設施建設標準，按照層次化的網絡結構分別進行實施和改造，保證集團公司及下屬企業之間信息資源的獲取和溝通。
數據中心在承接數據中心機房核心網絡，集團專網的運維服務的過程中，發現盡管數據中心核心網絡以及集團專網路由器已經按照既定規範進行了標準化的配置，但網絡中仍存在非集團規劃的私有地址。根據集團管信部及運維服務管理的要求，數據中心對未按要求使用的私有地址的問題出具整改建議。

二、潛在危害

集團專網作為大型網絡，網內IP地址的合理規劃和部署成為網絡設計中的重要環節，將會直接影響到路由協議算法的效率。專網網絡性能，安全性，可擴展性，可管理性甚至各類網絡應用都與此有緊密的聯系。

根據數據中心的運維經驗，大型網絡內使用私有IP地址存在以下危害：
地址混亂導致通訊失敗：
一個IP網絡中不應有兩個主機采用相同的IP地址。如下屬企業隨意使用私有IP地址分配給用戶主機，整體網絡中產生地址重疊的可能性大大增加。一旦發生，將造成路由尋址錯誤，嚴重的可導致通訊失敗，使企業內使用該地址的用戶無法與專網內其他設備正常通訊。
降低整體網絡性能：
使用私有地址導致地址不連續，地址在分層次結構的網絡中不易於進行路徑疊合，無法有效聚合路由表。當路由器尋址和路由表發生變動時，會導致路由算法的效率大大降低，企業專線網絡設備和核心網絡設備均會增加負荷，造成網絡收斂速度慢，路由抖動時間長，路由成環的可能性增加。整體網絡性能大大降低。

確保私有地址信息不擴散到集團專網；
避免私有地址信息對核心網絡系統產生不良影響；
私有地址不直接訪問核心業務資源；

三、具體措施

1、確保私有地址信息不擴散到集團專網；
數據中心已與上述企業相關負責人聯系並說明了整改方式，通過了解企業私有地址應用場景，私有地址使用人員等信息，合理建議企業如何減少私有地址的使用。對於確實暫時無法更改的企業，需將私有地址信息控制在企業局域網內部，保證其不擴散到集團專網中。

2、避免私有地址信息對核心網絡系統產生不良影響；
通過技術手段，在數據中心廣域網核心路由器中進行設置，使得集團專網中的私有地址路由信息無法通過核心路由器，傳遞到核心業務所在的網絡區域。從而有效避免私有地址路由信息對核心網絡系統產生潛在的不良影響。

3、私有地址不可直接訪問核心業務資源；
在站點企業專線路由器上進行設置，應用網絡地址轉換（NAT）的技術，達到私有地址不可直接訪問到核心業務資源的目的。
一對多轉換 – 多個私有地址轉換成為一個集團規劃地址，訪問核心業務資源；
一對一轉換 – 一個私有地址轉換成為一個固定的集團規劃地址，不僅可以訪問核心業務資源，也可被專網內其他用戶訪問；
在數據中心專線防火墻中設置訪問策略，禁止以私有地址為源的地址段訪問數據中心核心系統資源；

註：采用nat技術以後，雖解決了地址沖突和重疊的問題，但是訪問的源地址將會被隱藏，的與行為審計，和溯源取證帶來了不便利性，還請看到的朋友根據企業實際現狀選擇處理的方式。

屏蔽私有地址路由信息實施方法

1、在數據中心核心路由器上配置前綴訪問列表，鎖定被發現的私有網段；
2、在相對應的動態路由區域中，在入口方向添加此前綴列表；
3、前綴列表策略為禁止；

拓撲說明：
R1,R2,R3模擬專線站點接入環境，R2,R3為專線路由器，R1為企業內網三層交換機。運行在OSPF AREA 2；
R4,R5,R6模擬數據中心廣域網核心接入環境，R4,R5為廣域網路由器，R6為核心交換。運行在OSPF AREA 0；
R1廣播172.16.0.0/24地址段，R2,R3配置前綴訪問列表，禁止172.16.0.0/24路由信息進入AREA 0區域。
R4,R5,R6不接收172.16.0.0/24路由信息。完成路由屏蔽功能。

R2路由器配置：
R2(config)#do sh runn
Building configuration...

Current configuration : 1147 bytes
!
version 12.4
service timestamps debug datetime msec
service timestamps log datetime msec
no service password-encryption
!
hostname R2
!
boot-start-marker
boot-end-marker
!
no aaa new-model
memory-size iomem 5
!
ip cef
!
ip auth-proxy max-nodata-conns 3
ip admission max-nodata-conns 3

!
interface Loopback0
ip address 2.2.2.2 255.255.255.255
!
interface Ethernet0/0
ip address 10.8.12.2 255.255.255.0
full-duplex
!
interface Ethernet0/1
ip address 10.8.24.2 255.255.255.0
full-duplex
!
interface Ethernet0/2
ip address 10.8.23.2 255.255.255.0
full-duplex
!
interface Ethernet0/3
no ip address
shutdown
half-duplex
!
router ospf 1
router-id 2.2.2.2
log-adjacency-changes
area 0 filter-list prefix 10 in
area 0 filter-list prefix 10 out
network 10.8.12.0 0.0.0.255 area 2
network 10.8.23.0 0.0.0.255 area 0
network 10.8.24.0 0.0.0.255 area 0
!
ip http server
no ip http secure-server
!
ip forward-protocol nd
!
ip prefix-list 10 seq 5 deny 172.16.0.0/24
!
control-plane
!
line con 0
exec-timeout 0 0
line aux 0
line vty 0 4
login
!
End

R2路由表
R2(config)#do sh ip route
Codes: C - connected, S - static, R - RIP, M - mobile, B - BGP
D - EIGRP, EX - EIGRP external, O - OSPF, IA - OSPF inter area
N1 - OSPF NSSA external type 1, N2 - OSPF NSSA external type 2
E1 - OSPF external type 1, E2 - OSPF external type 2
i - IS-IS, su - IS-IS summary, L1 - IS-IS level-1, L2 - IS-IS level-2
ia - IS-IS inter area, * - candidate default, U - per-user static route
o - ODR, P - periodic downloaded static route

Gateway of last resort is not set

 1.0.0.0/32 is subnetted, 1 subnets

O 1.1.1.1 [110/11] via 10.8.12.1, 00:40:00, Ethernet0/0
2.0.0.0/32 is subnetted, 1 subnets
C 2.2.2.2 is directly connected, Loopback0
172.16.0.0/32 is subnetted, 1 subnets
O 172.16.0.1 [110/11] via 10.8.12.1, 00:40:00, Ethernet0/0
10.0.0.0/24 is subnetted, 8 subnets
C 10.8.12.0 is directly connected, Ethernet0/0
O 10.8.13.0 [110/20] via 10.8.12.1, 00:40:00, Ethernet0/0
C 10.8.23.0 is directly connected, Ethernet0/2
C 10.8.24.0 is directly connected, Ethernet0/1
O 10.8.35.0 [110/20] via 10.8.23.3, 00:40:11, Ethernet0/2
O 10.8.46.0 [110/20] via 10.8.24.4, 00:40:11, Ethernet0/1
O 10.8.45.0 [110/20] via 10.8.24.4, 00:40:13, Ethernet0/1
O 10.8.56.0 [110/30] via 10.8.24.4, 00:40:13, Ethernet0/1
[110/30] via 10.8.23.3, 00:40:13, Ethernet0/2
R2(config)#

R4路由器配置：
Building configuration...

Current configuration : 1035 bytes
!
version 12.4
service timestamps debug datetime msec
service timestamps log datetime msec
no service password-encryption
!
hostname R4
!
boot-start-marker
boot-end-marker
!
no aaa new-model
memory-size iomem 5
!
ip cef
!
ip auth-proxy max-nodata-conns 3
ip admission max-nodata-conns 3
!
interface Loopback0
ip address 4.4.4.4 255.255.255.255
!
interface Ethernet0/0
no ip address
shutdown
half-duplex
!
interface Ethernet0/1
ip address 10.8.24.4 255.255.255.0
full-duplex
!
interface Ethernet0/2
ip address 10.8.45.4 255.255.255.0
full-duplex
!
interface Ethernet0/3
ip address 10.8.46.4 255.255.255.0
full-duplex
!
router ospf 1
router-id 4.4.4.4
log-adjacency-changes
network 10.8.24.0 0.0.0.255 area 0
network 10.8.45.0 0.0.0.255 area 0
network 10.8.46.0 0.0.0.255 area 0
!
ip http server
no ip http secure-server
!
ip forward-protocol nd
!
control-plane
!
line con 0
exec-timeout 0 0
line aux 0
line vty 0 4
login
!
end

R4路由表
R4(config-router)#do sh ip route
Codes: C - connected, S - static, R - RIP, M - mobile, B - BGP
D - EIGRP, EX - EIGRP external, O - OSPF, IA - OSPF inter area
N1 - OSPF NSSA external type 1, N2 - OSPF NSSA external type 2
E1 - OSPF external type 1, E2 - OSPF external type 2
i - IS-IS, su - IS-IS summary, L1 - IS-IS level-1, L2 - IS-IS level-2
ia - IS-IS inter area, * - candidate default, U - per-user static route
o - ODR, P - periodic downloaded static route

Gateway of last resort is not set

 4.0.0.0/32 is subnetted, 1 subnets

C 4.4.4.4 is directly connected, Loopback0
10.0.0.0/24 is subnetted, 6 subnets
O 10.8.23.0 [110/20] via 10.8.24.2, 00:41:13, Ethernet0/1
C 10.8.24.0 is directly connected, Ethernet0/1
O 10.8.35.0 [110/20] via 10.8.45.5, 00:41:13, Ethernet0/2
C 10.8.46.0 is directly connected, Ethernet0/3
C 10.8.45.0 is directly connected, Ethernet0/2
O 10.8.56.0 [110/20] via 10.8.46.6, 00:41:13, Ethernet0/3
[110/20] via 10.8.45.5, 00:41:14, Ethernet0/2
R4(config-router)#

關於具有全國範圍的廣域網企業，集中idc場景下，分支企業使用私有地址分布到ospf下的防範措施。