網關、子網掩碼

我是一個無情的搬運工，以下內容都整理自百度。

1.什麼是網關

大家都知道，從一個房間走到另一個房間，必然要經過一扇門。同樣，從一個網絡向另一個網絡發送信息，也必須經過一道“關口”，這道關口就是網關。顧名思義，網關（Gateway）就是一個網絡連接到另一個網絡的“關口”。也就是網絡關卡。

網關(Gateway)又稱網間連接器、協議轉換器。默認網關在網絡層上以實現網絡互連，是最複雜的網絡互連設備，僅用於兩個高層協議不同的網絡互連。網關的結構也和路由器類似，不同的是互連層。網關既可以用於廣域網互連，也可以用於局域網互連。

那麼網關到底是什麼呢？網關實質上是一個網絡通向其他網絡的IP地址。比如有網絡A和網絡B，網絡A的IP地址範圍爲“192.168.1.1~192. 168.1.254”，子網掩碼爲255.255.255.0；網絡B的IP地址範圍爲“192.168.2.1~192.168.2.254”，子網掩碼爲255.255.255.0。在沒有路由器的情況下，兩個網絡之間是不能進行TCP/IP通信的，即使是兩個網絡連接在同一臺交換機（或集線器）上，TCP/IP協議也會根據子網掩碼（255.255.255.0）判定兩個網絡中的主機處在不同的網絡裏。而要實現這兩個網絡之間的通信，則必須通過網關。如果網絡A中的主機發現數據包的目的主機不在本地網絡中，就把數據包轉發給它自己的網關，再由網關轉發給網絡B的網關，網絡B的網關再轉發給網絡B的某個主機。網絡A向網絡B轉發數據包的過程。

如果搞清了什麼是網關，默認網關也就好理解了。就好像一個房間可以有多扇門一樣，一臺主機可以有多個網關。默認網關的意思是一臺主機如果找不到可用的網關，就把數據包發給默認指定的網關，由這個網關來處理數據包。默認網關。默認網關一般填寫x.x.x.1。默認網關必須是電腦自己所在的網段中的IP地址，而不能填寫其他網段中的IP地址。

2.什麼是子網掩碼

子網掩碼(subnet mask)又叫網絡掩碼、地址掩碼、子網絡遮罩，它是一種用來指明一個IP地址的哪些位標識的是主機所在的子網，以及哪些位標識的是主機的位掩碼。子網掩碼不能單獨存在，它必須結合IP地址一起使用。子網掩碼只有一個作用，就是將某個IP地址劃分成網絡地址和主機地址兩部分。

子網掩碼是一個32位地址，用於屏蔽IP地址的一部分以區別網絡標識和主機標識，並說明該IP地址是在局域網上，還是在廣域網上。

2.1 子網掩碼的作用和功能

子網掩碼是在IPv4地址資源緊缺的背景下爲了解決lP地址分配而產生的虛擬lP技術，通過子網掩碼將A、B、C三類地址劃分爲若干子網。通過邏輯運算，將IP地址劃分爲網絡標識(Net.ID)和主機標識(Host.ID)，只有網絡標識相同的兩臺主機在無路由的情況下才能相互通信。

子網掩碼是一個32位的2進制數， 其對應網絡地址的所有位都置爲1，對應於主機地址的所有位都置爲0。

子網掩碼告知路由器，地址的哪一部分是網絡地址，哪一部分是主機地址，使路由器正確判斷任意IP地址是否是本網段的，從而正確地進行路由。網絡上，數據從一個地方傳到另外一個地方，是依靠IP尋址。從邏輯上來講，是兩步的。第一步，從IP中找到所屬的網絡，好比是去找這個人是哪個小區的；第二步，再從IP 中找到主機在這個網絡中的位置，好比是在小區裏面找到這個人。

2.2 如何判斷兩個計算機是否屬於同一網絡

通過計算機的子網掩碼判斷兩臺計算機是否屬於同一網段的方法是，將計算機十進制的IP地址和子網掩碼轉換爲二進制的形式，然後進行二進制“與”(AND)計算（全1則得1，不全1則得0），如果得出的結果是相同的，那麼這兩臺計算機就屬於同一網段。

2.3 劃分子網

子網掩碼機制提供了子網劃分的方法。其作用是：減少網絡上的通信量；節省IP地址；便於管理；解決物理網絡本身的某些問題。使用子網掩碼劃分子網後，子網內可以通信，跨子網不能通信，子網間通信應該使用路由器，並正確配置靜態路由信息。劃分子網，就應遵循子網劃分結構的規則。就是用連續的1在IP地址中增加表示網絡地址，同時減少表示主機地址的位數。例如，IP地址爲130.39.37.100，網絡地址爲130.39.0.0、子網地址爲130.39.37.0、子網掩碼爲255.255.255.0，網絡地址部分和子網標識部分爲“1”所對應，主機標識部分爲“0”所對應。 使用CIDR表示爲：130.39.37.100/24即IP地址/ 掩碼長度。其中第三個字節上的255 所對應的8位二進制數值就是將主機地址位數借給了網絡地址部分，充當了劃分子網的位數。

2.3.1如欲將B類IP地址168.195.0.0劃分成27個子網：

• 1)27=11011
• 2)該二進制爲五位數，N = 5
• 3)將B類地址的子網掩碼255.255.0.0的主機地址前5位置1（B類地址的主機位包括後兩個字節，所以這裏要把第三個字節的前5位置1），得到 255.255.248.0
• 即爲劃分成27個子網的B類IP地址 168.195.0.0的子網掩碼（實際上是劃成了32-2=30個子網）。

2.3.2如欲將B類IP地址168.195.0.0劃分成若干子網，每個子網內有主機700臺：

• 1) 700=1010111100
• 2)該二進制爲十位數，N = 10
• 3)將該B類地址的子網掩碼255.255.0.0的主機地址全部置1，得到255.255.255.255
• 然後再從後向前將後10位置0，即爲： 11111111.11111111.11111100.00000000
• 即255.255.252.0。這就是該欲劃分成主機爲700臺的B類IP地址168.195.0.0的子網掩碼。

2.4 IPV6 和子網掩碼的關係

IPv6中沒有子網掩碼的概念，也沒有網絡號與主機號的概念。在IPV6中前綴長度就可以當作子網掩碼來理解。接口ID可以當作主機號來理解。在Windows XP中，IPv6地址的前綴長度默認爲64位。IPv6的地址空間過於廣大，可能一個子網的子網都要比整個IPv4的世界要大很多，所以子網的概念在IPv6世界裏已經淡化了。但是，同一站點的主機要想直接通信（不經過路由器），還是要求前綴相同纔行的。

3.交換機工作原理

交換機工作於OSI參考模型的第二層，即數據鏈路層。交換機內部的CPU會在每個端口成功連接時，通過將MAC地址和端口對應，形成一張MAC表。在今後的通訊中，發往該MAC地址的數據包將僅送往其對應的端口，而不是所有的端口。因此，交換機可用於劃分數據鏈路層廣播，即衝突域；但它不能劃分網絡層廣播，即廣播域。

交換機擁有一條很高帶寬的背部總線和內部交換矩陣。交換機的所有的端口都掛接在這條背部總線上，控制電路收到數據包以後，處理端口會查找內存中的地址對照表以確定目的MAC（網卡的硬件地址）的NIC（網卡）掛接在哪個端口上，通過內部交換矩陣迅速將數據包傳送到目的端口，目的MAC若不存在，廣播到所有的端口，接收端口迴應後交換機會“學習”新的MAC地址，並把它添加入內部MAC地址表中。

交換機屬於OSI第二層即數據鏈路層設備。它根據MAC地址尋址，通過站表選擇路由，站表的建立和維護由交換機自動進行。路由器屬於OSI第三層即網絡層設備，它根據IP地址進行尋址，通過路由表路由協議產生。交換機最大的好處是快速，由於交換機只須識別幀中MAC地址，直接根據MAC地址產生選擇轉發端口算法簡單，便於ASIC實現，因此轉發速度極高。

3.2交換機與集線器區別

• 從OSI體系結構來看，集線器屬於第一層物理層設備，而交換機屬於OSI的第二層數據鏈路層設備。也就是說集線器只是對數據的傳輸起到同步、放大和整形的作用，對於數據傳輸中的短幀、碎片等無法進行有效的處理，不能保證數據傳輸的完整性和正確性；而交換機不但可以對數據的傳輸做到同步、放大和整形，而且可以過濾短幀、碎片等。
• 從工作方式看，集線器是一種廣播模式，也就是說集線器的某個端口工作的時候，其它所有端口都能夠收聽到信息，容易產生廣播風暴，當網絡較大時網絡性能會受到很大影響；而交換機就能夠避免這種現象，當交換機工作的時候，只有發出請求的端口與目的端口之間相互響應而不影響其它端口，因此交換機就能夠隔離衝突域並有效地抑制廣播風暴的產生。
• 從帶寬來看，集線器不管有多少個端口，所有端口都共享一條帶寬，在同一時刻只能有兩個端口傳送數據，其它端口只能等待，同時集線器只能工作 在半雙工模式下；而對於交換機而言，每個端口都有一條獨佔的帶寬，當兩個端口工作時不影響其它端口的工作，同時交換機不但可以工作 在半雙工模式下而且可以工作在全雙工模式下。

3.3二層交換機、三層交換機、四層交換機

3.3.1 二層交換機

二層交換技術的發展比較成熟，二層交換機屬數據鏈路層設備，可以識別數據包中的MAC地址信息，根據MAC地址進行轉發，並將這些MAC地址與對應的端口記錄在自己內部的一個地址表中。

3.3.2 三層交換機

兼具有路由功能的二層交換機，在網際之間第一次通信時建立路由關係，在之後的多次通信就採用交換機的方式。在實際應用過程中，典型的做法是：處於同一個局域網中的各個子網的互聯以及局域網中VLAN間的路由，用三層交換機來代替路由器，而只有局域網與公網互聯之間要實現跨地域的網絡訪問時，才通過專業路由器。

下面先來通過一個簡單的網絡來看看三層交換機的工作過程。

使用IP的設備A------------------------三層交換機------------------------使用IP的設備B

比如A要給B發送數據，已知目的IP，那麼A就用子網掩碼取得網絡地址，判斷目的IP是否與自己在同一網段。如果在同一網段，但不知道轉發數據所需的MAC地址，A就發送一個ARP請求，B返回其MAC地址，A用此MAC封裝數據包併發送給交換機，交換機起用二層交換模塊，查找MAC地址表，將數據包轉發到相應的端口。

如果目的IP地址顯示不是同一網段的，那麼A要實現和B的通訊，在流緩存條目中沒有對應MAC地址條目，就將第一個正常數據包發送向一個缺省網關，這個缺省網關一般在操作系統中已經設好，這個缺省網關的IP對應第三層路由模塊，所以對於不是同一子網的數據，最先在MAC表中放的是缺省網關的MAC地址（由源主機A完成）；然後就由三層模塊接收到此數據包，查詢路由表以確定到達B的路由，將構造一個新的幀頭，其中以缺省網關的MAC地址爲源MAC地址，以主機B的MAC地址爲目的MAC地址。通過一定的識別觸發機制，確立主機A與B的MAC地址及轉發端口的對應關係，並記錄進流緩存條目表，以後的A到B的數據（三層交換機要確認是由A到B而不是到C的數據，還要讀取幀中的IP地址。），就直接交由二層交換模塊完成。這就通常所說的一次路由多次轉發。

3.3.3 四層交換機

第四層交換的一個簡單定義是：它是一種功能，它決定傳輸不僅僅依據MAC地址(第二層網橋)或源/目標IP地址（第三層路由），而且依據TCP/UDP(第四層) 應用端口號。第四層交換功能就象是虛IP，指向物理服務器。它所傳輸的業務服從各種各樣的協議，有HTTP、FTP、NFS、Telnet或其他協議。這些業務在物理服務器基礎上，需要複雜的載量平衡算法。