前言

工作中常聽別人說的本地網絡是什么意思？同一網段又是什么意思？它倆有關系嗎？

在工作中內經常會遇到相關的網絡問題，涉及網絡通信中一些常見的詞匯，如IP地址、子網掩碼、網關和DNS等。具體一點：經常會遇到A服務器與B服務器無法連接，而網絡管理人員只會跟你說看一下網關配置、是否存在網閘、防火墻等等。

基于此，個人對于此類知識進行簡單拓展，不深入，目的是工作中能進行基本使用和與網絡管理人員順利溝通。（順便吐槽下：個人認為，工作中面向不同專業的人，說大白話是溝通順暢的基礎，比如在公司報銷時，你問財務需要什么，財務跟你說增值稅專用發票、增值稅普通發票、記賬聯、抵扣聯、發票聯、稅務發票和財政票據等詞匯卻不舉例說明那類費用需要什么票，還反問你這么簡單都不懂你煩不煩）。

IP

什么是ip

IP地址是由數字和點組成的字符串，用于標識網絡中的唯一設備。每個連接到互聯網的設備都必須有一個IP地址，否則無法上網。其基本格式通常為四個數字組，如“192.168.1.1”。

ip格式和組成

ip格式

ip地址長度為32bit，即4個字節（byte）。我們都知道1byte=8bit，可以表示2的8次方，即0~255。

所以ip表示形式有兩種：

點分十進制：192.168.1.1（常用，方便人理解）

二進制表示：11000000101010000000000100000001（即每個數轉換成一個8位的2進制數。顏色僅僅為了區分顯示每個數，沒有其他含義）

ip組成

IP地址由網絡號和主機號組成，網絡號相同的主機稱之為本地網絡，網絡號不相同的主機稱之為遠程網絡主機。遠程網絡中的主機要相互通信必須通過網關（Gateway）來傳遞轉發數據。下面詳細說明：

IP地址由網絡號和主機號組成。

即ip的32bit即4個字節，是由網絡號和主機號共同組成的。那么哪部分屬于網絡號，哪部分屬于主機號呢？ip地址有如下規定：

IP地址可以分為A類、B類、C類、D類和E類：

每段IP地址的首尾兩個地址是做為網段地址和網段廣播地址使用的，不能做為主機地址使用（所以下述主機數都-2，如192.168.1.0和192.168.1.255都不能作為主機地址使用）；

0.0.0.0是一個特殊用途的IP地址，通常在網絡上下文中指代“所有地址”或“任何地址”、以0開頭的其他IP地址（如0.0.0.1）也被保留用于特殊用途，并且不應分配給網絡上的設備。例如，0.0.0.0/8塊被保留用于設備在尚不知道自己的IP地址時進行自我識別，0.0.0.0/32塊用于表示默認路由。（A類網絡-1）；

127.0.0.0網段，留做本機網卡測試。（A類網絡-1）

A類網絡（大型網絡）：?網絡號是8位，第1位是0，主機位是24位。A類是大型網絡，網絡地址數量較少，有126(2^7-2)個網絡，主機數2^24-2。

B類網絡（中型網絡）：?網絡號是16位，前兩位是10，其他位隨意變化，主機位是16位，主機數2^16-2。B類網絡地址適用于中等規模的網絡，有16384個網絡。

C類網絡（小型網絡）：?網絡號是24位，前三位是110，其他位隨意變化 ，主機位是8位，C類網絡地址數量較多，有2097152個網絡。適用于小規模的局域網絡主機數2^8-2=254。

D類網絡（組播）：?前四位是1110，其他位隨意變化。

**E類網絡（用于研究）：**前五位是11110，其他位隨意變化。保留用于研究和將來使用。

網絡號相同的主機稱之為本地網絡，網絡號不相同的主機稱之為遠程網絡主機，本地網絡中的主機可以直接相互通信。

C類網絡（小型網絡）為例：

ip地址192.168.1.1和192.168.1.2就是本地網絡。

ip地址192.168.1.1和192.168.2.2就是遠程網絡。

思考一個問題：本地網絡中的主機可以直接相互通信，這句話是對的嗎？

答案：不一定！

再思考一個問題：同一網段的主機可以直接相互通信，這句話是對的嗎？

?

要了解這個問題，我們還需要了解子網掩碼

子網掩碼

什么是子網掩碼

??子網掩碼用來指明一個ip地址的哪些位標識的是主機所在的子網，以及哪些位標識的是主機的位掩碼。子網掩碼不能單獨存在，它必須結合IP地址一起使用。

子網掩碼的作用

??子網掩碼一定是配合IP地址來使用的。子網掩碼工作過程是：將32位的子網掩碼與IP地址進行二進制形式的按位邏輯與運算得到的便是網絡地址，將子網掩碼二進制按位取反，然后IP地址進行二進制的邏輯“與”（AND）運算，得到的就是主機地址。

這里我是這么理解的，子網掩碼+ip確定了當前機器所在的網段。

例如：一臺機器ip是192.168.1.1，子網掩碼是255.255.255.0

IP地址192.168.1.1轉換為二進制是11000000.10101000.00000001.00000001，

子網掩碼255.255.255.0轉換為二進制是11111111.11111111.11111111.00000000。
進行逐位按位與運算：將IP地址與子網掩碼進行逐位按位與（AND）運算。這個運算會比較兩個數字的每一位，只有當兩位都是1時，結果才是1，否則結果是0。IP地址192.168.1.1和子網掩碼255.255.255.0進行按位與運算的結果是11000000.10101000.00000001.00000000。

點分十進制：

192.168.1.1和255.255.255.0進行運算，根據上述紅字部分，可知255與任何數計算都是這個數本身，0與任何書計算后都是0. 結果為:192.168.1.0

綜上，該機器在子網中的的網絡地址是192.168.1.0，主機地址是1

完成這個問題后再繼續。

ip是192.168.3.2，子網掩碼是255.255.0.0，網絡地址是多少？主機地址又是多少?

?答：網絡地址：192.168.0.0? 主機地址：3.2? ??

網段

????????通常指的是一個計算機網絡中使用同一物理層設備能夠直接通信的部分。判斷兩個IP地址是否在同一網段的方法通常是比較它們的網絡地址是否相同。

再來看之前的問題：

本地網絡中的主機可以直接相互通信，這句話是對的嗎？答案肯定是不對。

192.168.1.1和192.168.1.2如果子網掩碼不一樣，那么肯定是無法通信的。

同一網段的主機可以直接相互通信，這句話是對的嗎？答案是對。

網關

????????遠程網絡中的主機要相互通信必須通過網關來傳遞轉發數據，意味著在兩個分隔的網絡之間進行數據傳輸時，需要依賴網關這個中介點來完成。

????????首先，網關（Gateway）是一個網絡通信的節點，它作為不同網絡或子網之間的橋梁，負責將一個網絡中的數據包轉發到另一個網絡。在沒有路由器的情況下，即使兩個網絡連接在同一臺交換機或集線器上，如果它們的子網掩碼設置導致它們被識別為不同的網絡，那么這兩個網絡中的主機就無法直接進行TCP/IP通信。這時，就需要通過各自網絡的網關來實現數據的傳遞和轉發。

其次，當一個網絡中的主機需要發送數據到另一個網絡中的主機時，它會將數據包發送到自己的網關。然后，這個網關會處理這些數據包，并將它們轉發到目標網絡的網關。最終，目標網絡的網關會將數據包傳遞給目標主機。這個過程就是所謂的路由，而執行這個功能的設備通常被稱為路由器或者層3交換機。

網閘

網閘是一種信息安全設備，用于在兩個獨立主機系統之間實現物理隔離和數據擺渡。

網閘的主要功能是保護內部網絡不受外部網絡的直接攻擊和入侵。它通過斷開網絡模型各層來實現物理隔離，確保內外網絡之間沒有物理連接、邏輯連接以及基于傳輸協議的信息交換。網閘允許數據以文件形式在兩個網絡之間進行無協議的擺渡，這樣外部攻擊者就無法通過網絡連接直接對內網造成威脅。

網閘的技術原理主要基于網絡模型各層的斷開，這意味著它能夠在網絡的各個層次上阻斷潛在的攻擊路徑。這種技術不僅能夠防止外部攻擊，還能有效避免內部信息泄露，因為它控制著數據的流向和訪問權限。

與防火墻相比，網閘提供了更高級別的安全隔離。防火墻主要是基于特定規則來允許或拒絕網絡流量，而網閘則通過完全隔離的方式來阻止未經授權的訪問和數據泄露。因此，網閘在電子政務、電子商務等對安全性要求極高的領域得到了廣泛應用。

盡管網閘在安全性方面表現出色，但它也有一些缺點，比如結構復雜，可能會增加系統的維護難度和成本。此外，由于網閘的隔離特性，它可能會限制網絡間的通信效率和靈活性。

總的來說，網閘是一種重要的網絡安全設備，它在保護內部網絡免受外部威脅的同時，也支持必要的數據交換。在選擇使用網閘時，需要根據具體的安全需求和網絡環境來權衡其優勢和潛在的局限性。

隔離網閘如何確保數據在內外網之間安全傳輸：

1. 物理隔離：網閘在任意時刻都只與內部或外部網絡中的一個連接，確保內外網之間不存在實時的網絡連接。這種物理斷開狀態防止了任何基于網絡協議的攻擊和數據泄露。

2. 非TCP/IP的數據擺渡：網閘不依賴TCP/IP或其他網絡通信協議來傳輸數據。相反，它使用非網絡方式（如通過文件）來在內外網之間擺渡數據，這樣即使外部網絡遭受攻擊，也不會影響內部網絡的安全。(可以理解數據被暫時存入到網閘中了)

3. 專用硬件設備：網閘通常使用專用的硬件設備（如固態介質、電子開關等）來控制數據的流向，這些設備具有高度的安全性和可靠性，能夠有效防止數據泄露和攻擊。

4. 訪問控制：網閘實現了細粒度的訪問控制，包括用戶認證、數據加密、內容過濾等，以確保只有授權的數據才能在內外網之間傳輸。

5. 審計與監控：網閘還提供了詳細的日志記錄和監控功能，能夠幫助管理員追蹤和監控所有通過網閘的數據流，以便及時發現和處理潛在的安全威脅。