路由基本原理:

路由器內(nèi)部有一個(gè)路由表，這表標(biāo)明了如果要去某個(gè)地方，下一步應(yīng)該往哪走。路由器從某個(gè)端口收到一個(gè)數(shù)據(jù)包，它首先把鏈路層的包頭去掉(拆包)，讀取目的IP地址，然后查找路由表，若能確定下一步往哪送，則再加上鏈路層的包頭(打包)，把該數(shù)據(jù)包轉(zhuǎn)發(fā)出去;如果不能確定下一步的地址，則向源地址返回一個(gè)信息，并把這個(gè)數(shù)據(jù)包丟掉。

路由技術(shù)其實(shí)是由兩項(xiàng)最基本的活動(dòng)組成，即決定最優(yōu)路徑和傳輸數(shù)據(jù)包。其中，數(shù)據(jù)包的傳輸相對(duì)較為簡(jiǎn)單和直接，而路由的確定則更加復(fù)雜一些。路由算法在路由表中寫入各種不同的信息，路由器會(huì)根據(jù)數(shù)據(jù)包所要到達(dá)的目的地選擇最佳路徑把數(shù)據(jù)包發(fā)送到可以到達(dá)該目的地的下一臺(tái)路由器處。當(dāng)下一臺(tái)路由器接收到該數(shù)據(jù)包時(shí)，也會(huì)查看其目標(biāo)地址，并使用合適的路徑繼續(xù)傳送給后面的路由器。依次類推，直到數(shù)據(jù)包到達(dá)最終目的地。

路由器之間可以進(jìn)行相互通訊，而且可以通過(guò)傳送不同類型的信息維護(hù)各自的路由表。路由更新信息主是這樣一種信息，一般是由部分或全部路由表組成。通過(guò)分析其它路由器發(fā)出的路由更新信息，路由器可以掌握整個(gè)網(wǎng)絡(luò)的拓?fù)浣Y(jié)構(gòu)。鏈路狀態(tài)廣播是另外一種在路由器之間傳遞的信息，它可以把信息發(fā)送方的鏈路狀態(tài)及進(jìn)的通知給其它路由器。

動(dòng)態(tài)路由是與靜態(tài)路由相對(duì)的一個(gè)概念，指路由器能夠根據(jù)路由器之間的交換的特定路由信息自動(dòng)地建立自己的路由表，并且能夠根據(jù)鏈路和節(jié)點(diǎn)的變化適時(shí)地進(jìn)行自動(dòng)調(diào)整。

使用靜態(tài)路由的好處是網(wǎng)絡(luò)安全保密性高。動(dòng)態(tài)路由因?yàn)樾枰酚善髦g頻繁地交換各自的路由表，而對(duì)路由表的分析可以揭示網(wǎng)絡(luò)的拓?fù)浣Y(jié)構(gòu)和網(wǎng)絡(luò)地址等信息。

靜態(tài)路由是在路由器中設(shè)置的固定的路由表du。除非管理員干預(yù)，否則靜態(tài)zhi路由不會(huì)發(fā)生變化。一般dao用于網(wǎng)絡(luò)規(guī)模不大、拓?fù)浣Y(jié)構(gòu)固定的網(wǎng)絡(luò)中。

當(dāng)動(dòng)態(tài)路由與靜態(tài)路由發(fā)生沖突時(shí)，以靜態(tài)路由為準(zhǔn)。動(dòng)態(tài)路由是網(wǎng)絡(luò)中的路由器之間相互通信，傳遞路由信息，利用收到的路由信息更新路由器表的過(guò)程。

它能實(shí)時(shí)地適應(yīng)網(wǎng)絡(luò)結(jié)構(gòu)的變化，如果路由更新信息表明發(fā)生了網(wǎng)絡(luò)變化，路由選擇軟件就會(huì)重新計(jì)算路由，并發(fā)出新的路由更新信息。

這些信息通過(guò)各個(gè)網(wǎng)絡(luò)，引起各路由器重新啟動(dòng)其路由算法，并更新各自的路由表以動(dòng)態(tài)地反映網(wǎng)絡(luò)拓?fù)渥兓?/p>

路由器的工作原理：

路由器工作在OSI七層協(xié)議中的第三層，也就是網(wǎng)絡(luò)層。其主要任務(wù)是接收來(lái)源于一個(gè)網(wǎng)絡(luò)接口的數(shù)據(jù)包，根據(jù)這個(gè)數(shù)據(jù)包中所含的目地址，決定轉(zhuǎn)發(fā)到的下一個(gè)目的地址。路由器中時(shí)刻維持著一張路由表，所有的數(shù)據(jù)包的發(fā)送和轉(zhuǎn)發(fā)都通過(guò)查找路由表來(lái)實(shí)現(xiàn)的。這個(gè)路由表可以靜態(tài)配置，也可以通過(guò)動(dòng)態(tài)路由協(xié)議產(chǎn)生。

路由器物理層從路由器的一個(gè)端口收到一個(gè)報(bào)文，上送到數(shù)據(jù)鏈路層。數(shù)據(jù)鏈路層去掉鏈路層封裝，根據(jù)報(bào)文的協(xié)議域上送到網(wǎng)絡(luò)層。網(wǎng)絡(luò)層首先看報(bào)文是否是送給本機(jī)的，若是，去掉網(wǎng)絡(luò)層封裝，送給上層。若不是，則根據(jù)報(bào)文的目的地址查找路由表，若找到路由，將報(bào)文送給相應(yīng)端口的數(shù)據(jù)鏈路層，數(shù)據(jù)鏈路層封裝后，發(fā)送報(bào)文。若找不到路由，報(bào)文丟棄。

路由器的作用：

1、異種網(wǎng)絡(luò)互連：比如具有異種子網(wǎng)協(xié)議的網(wǎng)絡(luò)互連

2、子網(wǎng)協(xié)議轉(zhuǎn)換：不同子網(wǎng)間包括局域網(wǎng)和廣域網(wǎng)之間的協(xié)議轉(zhuǎn)換

3、路由：也就是尋路

4、速率適配：利用自己的緩存和流控協(xié)議進(jìn)行適配

5、隔離網(wǎng)絡(luò)：防止廣播風(fēng)暴，還能實(shí)現(xiàn)防火墻

6、報(bào)文分片和重組：超過(guò)接口的MTU報(bào)文會(huì)被分片，到達(dá)目的地之后的報(bào)文會(huì)被重組

7、備份、流量控制：主備線路的切換和復(fù)雜的流量控制

華為:

路由協(xié)議或路由種類|相應(yīng)的默認(rèn)路由優(yōu)先級(jí)(Preference)

direct| 0

OSPF| 10

IS-IS I 15

Static I 60

RIP| 100

IBGP I 130

OSPF ASE/import I 150

EBGP| 170

UNKNOWN I 255

思科:

Route Source I Default AD (Administrative Distance)

Connected interface| 0

Static route| 1

EIGRPI90

IGRP | 100

OSPF | 110

RIP| 120

Extemal EIGRP I 170

Unknown| 255 (this route will never be used)

路由器路由匹配順序總結(jié)：

1.路由策略匹配。若路由器上有路由策略，首先執(zhí)行路由策略，若無(wú)路由策略，則查詢路由表。

2.最長(zhǎng)子網(wǎng)掩碼匹配。即當(dāng)在路由表中有多條 到達(dá)某個(gè)IP地址的路由時(shí)，優(yōu)先選擇子網(wǎng)掩碼最長(zhǎng)的路由。

3.管理距離最小匹配。若執(zhí)行最長(zhǎng)子網(wǎng)掩碼匹配后，路由表中 仍有多條到達(dá)某個(gè)IP地址的路由，優(yōu)先選擇管理距離（AD）最小的。

4.負(fù)載均衡。若執(zhí)行管理距離最小匹配后，路由表中仍有多條達(dá)到某個(gè)IP地址的路由，則 在剩余的多條鏈路上執(zhí)行負(fù)載均衡。注意：這里的負(fù)載均衡可能是等價(jià)的，也可能不是等價(jià)的，具體要看使用的路由協(xié)議。

交換機(jī)的作用：

交換機(jī)是一種工作在OSI七層協(xié)議中的第二層，也就是數(shù)據(jù)鏈路層，可以對(duì)電信號(hào)進(jìn)行轉(zhuǎn)發(fā)，為接入交換機(jī)的任意兩個(gè)網(wǎng)絡(luò)結(jié)點(diǎn)提供獨(dú)享的電信號(hào)通路，對(duì)接入的信息重新生成，通過(guò)內(nèi)部處理轉(zhuǎn)發(fā)到指定端口，達(dá)到自動(dòng)尋址和交換的作用，避免端口沖突問(wèn)題，提高網(wǎng)絡(luò)吞吐量的網(wǎng)絡(luò)設(shè)備。作用體現(xiàn)如下：

1、集線器：由于提供了大量的可供線纜連接的端口，因此可以被作為集線器使用，達(dá)到部署型星型拓?fù)渚W(wǎng)絡(luò)的目的。

2、中繼器：在轉(zhuǎn)發(fā)幀的時(shí)候重新產(chǎn)生一個(gè)不失真的方形電信號(hào)。

3、網(wǎng)橋：在內(nèi)置的端口上使用相同的轉(zhuǎn)發(fā)和過(guò)濾邏輯，所以具備網(wǎng)橋功能。

4、分成多個(gè)沖突域：將部署好的局域網(wǎng)分為多個(gè)沖突域，而每個(gè)沖突與都有自己獨(dú)立的帶寬，所以可以提高寬帶利用效率。

交換機(jī)的基本工作原理：

1、學(xué)習(xí)。根據(jù)收到數(shù)據(jù)幀中的源MAC地址建立該地址同交換機(jī)端口的映射，寫入MAC地址表中。

2、直接轉(zhuǎn)發(fā)。如果交換機(jī)根據(jù)數(shù)據(jù)幀中的目的MAC地址在建立好的MAC地址表中查詢到了，就對(duì)對(duì)應(yīng)端口進(jìn)行轉(zhuǎn)發(fā)。

3、泛洪（flood）。如果數(shù)據(jù)幀中的目的MAC地址不在MAC地址表中，則向所有端口轉(zhuǎn)發(fā)，也就是泛洪。

4、對(duì)于廣播幀和組播幀向所有端口進(jìn)行轉(zhuǎn)發(fā)。

5、更新。MAC地址表會(huì)每300s更新一次。

二層交換技術(shù)

　　二層交換機(jī)是數(shù)據(jù)鏈路層的設(shè)備，它能夠讀取數(shù)據(jù)包中的MAC地址信息并根據(jù)MAC地址來(lái)進(jìn)行交換。

　　交換機(jī)內(nèi)部有一個(gè)地址表，這個(gè)地址表標(biāo)明了MAC地址和交換機(jī)端口的對(duì)應(yīng)關(guān)系。當(dāng)交換機(jī)從某個(gè)端口收到一個(gè)數(shù)據(jù)包，它首先讀取包頭中的源MAC地址，這樣它就知道源MAC地址的機(jī)器是連在哪個(gè)端口上的，它再去讀取包頭中的目的MAC地址，并在地址表中查找相應(yīng)的端口，如果表中有與這目的MAC地址對(duì)應(yīng)的端口，則把數(shù)據(jù)包直接復(fù)制到這端口上，如果在表中找不到相應(yīng)的端口則把數(shù)據(jù)包廣播到所有端口上，當(dāng)目的機(jī)器對(duì)源機(jī)器回應(yīng)時(shí)，交換機(jī)又可以學(xué)習(xí)一目的MAC地址與哪個(gè)端口對(duì)應(yīng)，在下次傳送數(shù)據(jù)時(shí)就不再需要對(duì)所有端口進(jìn)行廣播了。

　　二層交換機(jī)就是這樣建立和維護(hù)它自己的地址表。由于二層交換機(jī)一般具有很寬的交換總線帶寬，所以可以同時(shí)為很多端口進(jìn)行數(shù)據(jù)交換。如果二層交換機(jī)有N個(gè)端口，每個(gè)端口的帶寬是M，而它的交換機(jī)總線帶寬超過(guò)N×M，那么這交換機(jī)就可以實(shí)現(xiàn)線速交換。二層交換機(jī)對(duì)廣播包是不做限制的，把廣播包復(fù)制到所有端口上。

　　二層交換機(jī)一般都含有專門用于處理數(shù)據(jù)包轉(zhuǎn)發(fā)的ASIC (Application specific Integrated Circuit)芯片，因此轉(zhuǎn)發(fā)速度可以做到非?？臁?/p>

三層交換技術(shù)

傳統(tǒng)的交換機(jī)本質(zhì)上是具有流量控制能力的多端口網(wǎng)橋，即傳統(tǒng)的(二層) 交換機(jī)。把路由技術(shù)引入交換機(jī)，可以完成網(wǎng)絡(luò)層路由選擇，故稱為三層交換，這是交換機(jī)的新進(jìn)展。交換機(jī)(二層交換)的工作原理交換機(jī)和網(wǎng)橋一樣，是工作在鏈路層的聯(lián)網(wǎng)設(shè)備，它的各個(gè)端口都具有橋接功能，每個(gè)端口可以連接一個(gè)LAN或一臺(tái)高性能網(wǎng)站或服務(wù)器，能夠通過(guò)自學(xué)習(xí)來(lái)了解每個(gè)端口的設(shè)備連接情況。所有端口由專用處理器進(jìn)行控制，并經(jīng)過(guò)控制管理總線轉(zhuǎn)發(fā)信息。

防火墻的定義

防火墻：一種高級(jí)訪問(wèn)控制設(shè)備，置于不同網(wǎng)絡(luò)安全域之間，它通過(guò)相關(guān)的安全策略來(lái)控制（允許、拒絕、監(jiān)視、記錄）進(jìn)出網(wǎng)絡(luò)的訪問(wèn)行為。

防火墻的核心技術(shù)

1、?包過(guò)濾：最常用的技術(shù)。工作在網(wǎng)絡(luò)層，根據(jù)數(shù)據(jù)包頭中的IP、端口、協(xié)議等確定是否數(shù)據(jù)包通過(guò)

2、?應(yīng)用代理：另一種主要技術(shù)，工作在第7層應(yīng)用層，通過(guò)編寫應(yīng)用代理程序，實(shí)現(xiàn)對(duì)應(yīng)用層數(shù)據(jù)的檢測(cè)和分析

3、?狀態(tài)檢測(cè)：工作在2－4層，控制方式與1同，處理的對(duì)象不是單個(gè)數(shù)據(jù)包，而是整個(gè)連接，通過(guò)規(guī)則表（管理人員和網(wǎng)絡(luò)使用人員事先設(shè)定好的）和連接狀態(tài)表，綜合判斷是否允許數(shù)據(jù)包通過(guò)。

4、?完全內(nèi)容檢測(cè)：需要很強(qiáng)的性能支撐，既有包過(guò)濾功能、也有應(yīng)用代理的功能。工作在2-7層，不僅分析數(shù)據(jù)包頭信息、狀態(tài)信息，而且對(duì)應(yīng)用層協(xié)議進(jìn)行還原和內(nèi)容分析，有效防范混合型安全威脅。

包過(guò)濾技術(shù)

包過(guò)濾技術(shù)是一種簡(jiǎn)單、有效的安全控制技術(shù)，它工作在網(wǎng)絡(luò)層，通過(guò)在網(wǎng)絡(luò)間相互連接的設(shè)備上加載允許、禁止來(lái)自某些特定的源地址、目的地址、TCP端口號(hào)等規(guī)則，對(duì)通過(guò)設(shè)備的數(shù)據(jù)包進(jìn)行檢查，限制數(shù)據(jù)包進(jìn)出內(nèi)部網(wǎng)絡(luò)。

包過(guò)濾的最大優(yōu)點(diǎn)是對(duì)用戶透明，傳輸性能高。但由于安全控制層次在網(wǎng)絡(luò)層、傳輸層，安全控制的力度也只限于源地址、目的地址和端口號(hào)，因而只能進(jìn)行較為初步的安全控制，對(duì)于惡意的擁塞攻擊、內(nèi)存覆蓋攻擊或病毒等高層次的攻擊手段，則無(wú)能為力。

?應(yīng)用代理技術(shù)

應(yīng)用代理防火墻工作在OSI的第七層，它通過(guò)檢查所有應(yīng)用層的信息包，并將檢查的內(nèi)容信息放入決策過(guò)程，從而提高網(wǎng)絡(luò)的安全性。

應(yīng)用網(wǎng)關(guān)防火墻是通過(guò)打破客戶機(jī)／服務(wù)器模式實(shí)現(xiàn)的。每個(gè)客戶機(jī)／服務(wù)器通信需要兩個(gè)連接：一個(gè)是從客戶端到防火墻，另一個(gè)是從防火墻到服務(wù)器。另外，每個(gè)代理需要一個(gè)不同的應(yīng)用進(jìn)程，或一個(gè)后臺(tái)運(yùn)行的服務(wù)程序，對(duì)每個(gè)新的應(yīng)用必須添加針對(duì)此應(yīng)用的服務(wù)程序，否則不能使用該服務(wù)。所以，應(yīng)用網(wǎng)關(guān)防火墻具有可伸縮性差的缺點(diǎn)。

?狀態(tài)檢測(cè)技術(shù)

狀態(tài)檢測(cè)防火墻工作在OSI的第二至四層，采用狀態(tài)檢測(cè)包過(guò)濾的技術(shù)，是傳統(tǒng)包過(guò)濾功能擴(kuò)展而來(lái)。狀態(tài)檢測(cè)防火墻在網(wǎng)絡(luò)層有一個(gè)檢查引擎截獲數(shù)據(jù)包并抽取出與應(yīng)用層狀態(tài)有關(guān)的信息，并以此為依據(jù)決定對(duì)該連接是接受還是拒絕。這種技術(shù)提供了高度安全的解決方案，同時(shí)具有較好的適應(yīng)性和擴(kuò)展性。狀態(tài)檢測(cè)防火墻一般也包括一些代理級(jí)的服務(wù)，它們提供附加的對(duì)特定應(yīng)用程序數(shù)據(jù)內(nèi)容的支持。

狀態(tài)檢測(cè)防火墻基本保持了簡(jiǎn)單包過(guò)濾防火墻的優(yōu)點(diǎn)，性能比較好，同時(shí)對(duì)應(yīng)用是透明的，在此基礎(chǔ)上，對(duì)于安全性有了大幅提升。這種防火墻摒棄了簡(jiǎn)單包過(guò)濾防火墻僅僅考察進(jìn)出網(wǎng)絡(luò)的數(shù)據(jù)包，不關(guān)心數(shù)據(jù)包狀態(tài)的缺點(diǎn)，在防火墻的核心部分建立狀態(tài)連接表，維護(hù)了連接，將進(jìn)出網(wǎng)絡(luò)的數(shù)據(jù)當(dāng)成一個(gè)個(gè)的事件來(lái)處理。主要特點(diǎn)是由于缺乏對(duì)應(yīng)用層協(xié)議的深度檢測(cè)功能，無(wú)法徹底的識(shí)別數(shù)據(jù)包中大量的垃圾郵件、廣告以及木馬程序等等。

?完全內(nèi)容檢測(cè)技術(shù)

完全內(nèi)容檢測(cè)技術(shù)防火墻綜合狀態(tài)檢測(cè)與應(yīng)用代理技術(shù)，并在此基礎(chǔ)上進(jìn)一步基于多層檢測(cè)架構(gòu)，把防病毒、內(nèi)容過(guò)濾、應(yīng)用識(shí)別等功能整合到防火墻里，其中還包括IPS功能，多單元融為一體，在網(wǎng)絡(luò)界面對(duì)應(yīng)用層掃描，把防病毒、內(nèi)容過(guò)濾與防火墻結(jié)合起來(lái)，這體現(xiàn)了網(wǎng)絡(luò)與信息安全的新思路，(因此也被稱為“下一代防火墻技術(shù)”)。它在網(wǎng)絡(luò)邊界實(shí)施OSI第七層的內(nèi)容掃描，實(shí)現(xiàn)了實(shí)時(shí)在網(wǎng)絡(luò)邊緣布署病毒防護(hù)、內(nèi)容過(guò)濾等應(yīng)用層服務(wù)措施。完全內(nèi)容檢測(cè)技術(shù)防火墻可以檢查整個(gè)數(shù)據(jù)包內(nèi)容，根據(jù)需要建立連接狀態(tài)表，網(wǎng)絡(luò)層保護(hù)強(qiáng)，應(yīng)用層控制細(xì)等優(yōu)點(diǎn)，但由于功能集成度高，對(duì)產(chǎn)品硬件的要求比較高。

VLAN是英文Virtual Local Area Network的簡(jiǎn)稱，又叫虛擬局域網(wǎng)，是一種通過(guò)將局域網(wǎng)內(nèi)的設(shè)備邏輯地而不是物理地劃分成一個(gè)個(gè)網(wǎng)段從而實(shí)現(xiàn)虛擬工作組的技術(shù)。要想劃分VLAN，必須購(gòu)買支持VLAN功能的網(wǎng)絡(luò)設(shè)備。

劃分VLAN的作用：

VLAN是為解決以太網(wǎng)的廣播問(wèn)題和安全性而提出的，一個(gè)VLAN內(nèi)部的廣播和單播流量都不會(huì)轉(zhuǎn)發(fā)到其他VLAN中。即使是處在同一網(wǎng)段的兩臺(tái)計(jì)算機(jī)，如果不在同一VLAN中，它們各自的廣播流也不會(huì)相互轉(zhuǎn)發(fā)。

劃分VLAN有助于控制流量、減少設(shè)備投資、簡(jiǎn)化網(wǎng)絡(luò)管理、提高網(wǎng)絡(luò)的安全性。由于VLAN隔離了廣播風(fēng)暴，也隔離了不同VLAN之間的通訊，因此，不同VLAN之間的通訊必須依靠路由器或者三層交換機(jī)來(lái)實(shí)現(xiàn)。

優(yōu)勢(shì)

廣播風(fēng)暴防范

限制網(wǎng)絡(luò)上的廣播，將網(wǎng)絡(luò)劃分為多個(gè)VLAN可減少參與廣播風(fēng)暴的設(shè)備數(shù)量。VLAN分段可以防止廣播風(fēng)暴波及整個(gè)網(wǎng)絡(luò)。VLAN可以提供建立防火墻的機(jī)制，防止交換網(wǎng)絡(luò)的過(guò)量廣播。使用VLAN，可以將某個(gè)交換端口或用戶賦予某一個(gè)特定的VLAN組，該VLAN組可以在一個(gè)交換網(wǎng)中或跨接多個(gè)交換機(jī)，在一個(gè)VLAN中的廣播不會(huì)送到VLAN之外。同樣，相鄰的端口不會(huì)收到其他VLAN產(chǎn)生的廣播。這樣可以減少?gòu)V播流量，釋放帶寬給用戶應(yīng)用，減少?gòu)V播的產(chǎn)生。 [4]

安全

增強(qiáng)局域網(wǎng)的安全性’含有敏感數(shù)據(jù)的用戶組可與網(wǎng)絡(luò)的其余部分隔離，從而降低泄露機(jī)密信息的可能性。不同VLAN內(nèi)的報(bào)文在傳輸時(shí)是相互隔離的，即一個(gè)VLAN內(nèi)的用戶不能和其他VLAN內(nèi)的用戶直接通信，如果不同VLAN要進(jìn)行通信，則需要通過(guò)路由器或三層交換機(jī)等三層設(shè)備。 [4]

成本降低

成本高昂的網(wǎng)絡(luò)升級(jí)需求減少，現(xiàn)有帶寬和上行鏈路的利用率更高，因而可節(jié)約成本。 [4]

性能提高

將第二層平面網(wǎng)絡(luò)劃分為多個(gè)邏輯工作組(廣播域)可以減少網(wǎng)絡(luò)上不必要的流量并提高性能。 [4]

提高人員工作效率

VLAN為網(wǎng)絡(luò)管理帶來(lái)了方便，因?yàn)橛邢嗨凭W(wǎng)絡(luò)需求的用戶將共享同一個(gè)VLAN。 [4]

簡(jiǎn)化項(xiàng)目管理或應(yīng)用管理

VLAN將用戶和網(wǎng)絡(luò)設(shè)備聚合到一起，以支持商業(yè)需求或地域上的需求。通過(guò)職能劃分，項(xiàng)目管理或特殊應(yīng)用的處理都變得十分方便，例如可以輕松管理教師的電子教學(xué)開發(fā)平臺(tái)。此外，也很容易確定升級(jí)網(wǎng)絡(luò)服務(wù)的影響范圍。 [4]

增加了網(wǎng)絡(luò)連接的靈活性

借助VLAN技術(shù)，能將不同地點(diǎn)、不同網(wǎng)絡(luò)、不同用戶組合在一起，形成一個(gè)虛擬的網(wǎng)絡(luò)環(huán)境，就像使用本地VLAN一樣方便、靈活、有效。VLAN可以降低移動(dòng)或變更工作站地理位置的管理費(fèi)用，特別是一些業(yè)務(wù)情況有經(jīng)常性變動(dòng)的公司使用了VLAN后，這部分管理費(fèi)用大大降低。 [4]

組建條件

[編輯](javascript:;)

VLAN是建立在物理網(wǎng)絡(luò)基礎(chǔ)上的一種邏輯子網(wǎng)，因此建立VLAN需要相應(yīng)的支持VLAN技術(shù)的網(wǎng)絡(luò)設(shè)備。當(dāng)網(wǎng)絡(luò)中的不同VLAN間進(jìn)行相互通信時(shí)，需要路由的支持，這時(shí)就需要增加路由設(shè)備——要實(shí)現(xiàn)路由功能，既可采用路由器，也可采用三層交換機(jī)來(lái)完成，同時(shí)還嚴(yán)格限制了用戶數(shù)量。 [4]

劃分依據(jù)

按端口劃分VLAN

許多VLAN廠商都利用交換機(jī)的端口來(lái)劃分VLAN成員。被設(shè)定的端口都在同一個(gè)廣播域中。例如，一個(gè)交換機(jī)的1，2，3，4，5端口被定義為虛擬網(wǎng)AAA，同一交換機(jī)的6，7，8端口組成虛擬網(wǎng)BBB。這樣做允許各端口之間的通訊，并允許共享型網(wǎng)絡(luò)的升級(jí)。但是，這種劃分模式將虛擬網(wǎng)限制在了一臺(tái)交換機(jī)上。 [4]

第二代端口VLAN技術(shù)允許跨越多個(gè)交換機(jī)的多個(gè)不同端口劃分VLAN，不同交換機(jī)上的若干個(gè)端口可以組成同一個(gè)虛擬網(wǎng)。 [4]

以交換機(jī)端口來(lái)劃分網(wǎng)絡(luò)成員，其配置過(guò)程簡(jiǎn)單明了。因此，從目前來(lái)看，這種根據(jù)端口來(lái)劃分VLAN的方式仍然是最常用的一種方式。 [4]

按MAC地址劃分VLAN

這種劃分VLAN的方法是根據(jù)每個(gè)主機(jī)的MAC地址來(lái)劃分，即對(duì)每個(gè)MAC地址的主機(jī)都配置它屬于哪個(gè)組。這種劃分VLAN方法的最大優(yōu)點(diǎn)就是當(dāng)用戶物理位置移動(dòng)時(shí)，即從一個(gè)交換機(jī)換到其他的交換機(jī)時(shí)，VLAN不用重新配置，所以，可以認(rèn)為這種根據(jù)MAC地址的劃分方法是基于用戶的VLAN，這種方法的缺點(diǎn)是初始化時(shí)，所有的用戶都必須進(jìn)行配置，如果有幾百個(gè)甚至上千個(gè)用戶的話，配置是非常累的。而且這種劃分的方法也導(dǎo)致了交換機(jī)執(zhí)行效率的降低，因?yàn)樵诿恳粋€(gè)交換機(jī)的端口都可能存在很多個(gè)VLAN組的成員，這樣就無(wú)法限制廣播包了。另外，對(duì)于使用筆記本電腦的用戶來(lái)說(shuō)，他們的網(wǎng)卡可能經(jīng)常更換，這樣，VLAN就必須不停地配置。 [4]

按網(wǎng)絡(luò)層劃分

這種劃分VLAN的方法是根據(jù)每個(gè)主機(jī)的網(wǎng)絡(luò)層地址或協(xié)議類型(如果支持多協(xié)議)劃分的，雖然這種劃分方法是根據(jù)網(wǎng)絡(luò)地址，比如IP地址，但它不是路由，與網(wǎng)絡(luò)層的路由毫無(wú)關(guān)系。 [4]

這種方法的優(yōu)點(diǎn)是用戶的物理位置改變了，不需要重新配置所屬的VLAN，而且可以根據(jù)協(xié)議類型來(lái)劃分VLAN，這對(duì)網(wǎng)絡(luò)管理者來(lái)說(shuō)很重要，還有，這種方法不需要附加的幀標(biāo)簽來(lái)識(shí)別VLAN，這樣可以減少網(wǎng)絡(luò)的通信量。 [4]

這種方法的缺點(diǎn)是效率低，因?yàn)闄z查每一個(gè)數(shù)據(jù)包的網(wǎng)絡(luò)層地址是需要消耗處理時(shí)間的(相對(duì)于前面兩種方法)，一般的交換機(jī)芯片都可以自動(dòng)檢查網(wǎng)絡(luò)上數(shù)據(jù)包的以太網(wǎng)幀頭，但要讓芯片能檢查IP幀頭，需要更高的技術(shù)，同時(shí)也更費(fèi)時(shí)。當(dāng)然，這與各個(gè)廠商的實(shí)現(xiàn)方法有關(guān)。 [4]

按IP組播劃分

IP組播實(shí)際上也是一種VLAN的定義，即認(rèn)為一個(gè)組播組就是一個(gè)VLAN，這種劃分的方法將VLAN擴(kuò)大到了廣域網(wǎng)，因此這種方法具有更大的靈活性，而且也很容易通過(guò)路由器進(jìn)行擴(kuò)展，當(dāng)然這種方法不適合局域網(wǎng)，主要是效率不高。 [4]

基于規(guī)則的VLAN

也稱為基于策略的VLAN。這是最靈活的VLAN劃分方法，具有自動(dòng)配置的能力，能夠把相關(guān)的用戶連成一體，在邏輯劃分上稱為“關(guān)系網(wǎng)絡(luò)”。網(wǎng)絡(luò)管理員只需在網(wǎng)管軟件中確定劃分VLAN的規(guī)則（或?qū)傩裕?，那么?dāng)一個(gè)站點(diǎn)加入網(wǎng)絡(luò)中時(shí)，將會(huì)被“感知”，并被自動(dòng)地包含進(jìn)正確的VLAN中。同時(shí)，對(duì)站點(diǎn)的移動(dòng)和改變也可自動(dòng)識(shí)別和跟蹤。 [4]

采用這種方法，整個(gè)網(wǎng)絡(luò)可以非常方便地通過(guò)路由器擴(kuò)展網(wǎng)絡(luò)規(guī)模。有的產(chǎn)品還支持一個(gè)端口上的主機(jī)分別屬于不同的VLAN，這在交換機(jī)與共享式Hub共存的環(huán)境中顯得尤為重要。自動(dòng)配置VLAN時(shí)，交換機(jī)中軟件自動(dòng)檢查進(jìn)入交換機(jī)端口的廣播信息的IP源地址，然后軟件自動(dòng)將這個(gè)端口分配給一個(gè)由IP子網(wǎng)映射成的VLAN。 [4]

按用戶定義、非用戶授權(quán)劃分

基于用戶定義、非用戶授權(quán)來(lái)劃分VLAN，是指為了適應(yīng)特別的VLAN網(wǎng)絡(luò)，根據(jù)具體的網(wǎng)絡(luò)用戶的特別要求來(lái)定義和設(shè)計(jì)VLAN，而且可以讓非VLAN群體用戶訪問(wèn)VLAN，但是需要提供用戶密碼，在得到VLAN管理的認(rèn)證后才可以加入一個(gè)VLAN。 [4]

以上劃分VLAN的方式中，基于端口的VLAN端口方式建立在物理層上；MAC方式建立在數(shù)據(jù)鏈路層上；網(wǎng)絡(luò)層和IP廣播方式建立在第三層上。 [4]

VLAN之間的通信

盡管大約有80%的通信流量發(fā)生在VLAN內(nèi)，但仍然有大約20%的通信流量要跨越不同的VLAN。目前，解決VLAN之間的通信主要采用路由器技術(shù)。 [5]

VLAN之間通信一般采用兩種路由策略，即集中式路由和分布式路由。 [5]

(1)集中式路由

集中式路由策略是指所有VLAN都通過(guò)一個(gè)中心路由器實(shí)現(xiàn)互聯(lián)。對(duì)于同一交換機(jī)（一般指二層交換機(jī)）上的兩個(gè)端口，如果它們屬于兩個(gè)不同的VLAN，盡管它們?cè)谕唤粨Q機(jī)上，在數(shù)據(jù)交換時(shí)也要通過(guò)中心路由器來(lái)選擇路由。[5]

這種方式的優(yōu)點(diǎn)是簡(jiǎn)單明了，邏輯清晰。缺點(diǎn)是由于路由器的轉(zhuǎn)發(fā)速度受限，會(huì)加大網(wǎng)絡(luò)時(shí)延，容易發(fā)生擁塞現(xiàn)象。因此，這就要求中心路由器提供很高的處理能力和容錯(cuò)特性。 [5]

(2)分布式路由

分布式路由策略是將路由選擇功能適當(dāng)?shù)胤植荚趲в新酚晒δ艿慕粨Q機(jī)上（指三層交換機(jī)），同一交換機(jī)上的不同VLAN可以直接實(shí)現(xiàn)互通，這種路由方式的優(yōu)點(diǎn)是具有極高的路由速度和良好的可伸縮性。

優(yōu)點(diǎn)：廣播控制、帶寬利用、降低延遲、安全性

總結(jié)：它的全稱是虛擬局域網(wǎng)，作用就是把連接在同一交換機(jī)下的主機(jī)分為更小的邏輯網(wǎng)段，以減少?gòu)V播的數(shù)量，不同的VLAN之間不能通訊，這樣廣播就被限制在同一個(gè)業(yè)務(wù)需求主機(jī)的VLAN里，即便是連接在同一個(gè)交換機(jī)下，不同的VLAN也不會(huì)收到廣播的ARP請(qǐng)求！如果他們之間需要通訊，只能借助路由器或三層交換機(jī)

實(shí)現(xiàn)不同VLAN之間的訪問(wèn)，有兩種方式：

一種是通過(guò)三層交換機(jī)，通過(guò)默認(rèn)網(wǎng)關(guān)的方式實(shí)現(xiàn)不同VLAN之間的訪問(wèn)；一種是通過(guò)路由器，利用路由器的子端口和默認(rèn)路由的方式實(shí)現(xiàn)訪問(wèn)。

1.三層交換機(jī)與路由器實(shí)現(xiàn)不同VLAN間訪問(wèn)的原理相同，均是通過(guò)默認(rèn)路由的方式。

首先，需要在三層交換機(jī)上建立不同VLAN的網(wǎng)關(guān)；其次，將二層交換機(jī)的具體端口加入到該VLAN當(dāng)中；最后，在三層交換機(jī)中會(huì)默認(rèn)生成靜態(tài)路由，實(shí)現(xiàn)不同VLAN間的訪問(wèn)。

2.通過(guò)路由器實(shí)現(xiàn)不同VLAN之間的訪問(wèn)

路由器實(shí)現(xiàn)的方式基本類似，通過(guò)端口劃分子端口來(lái)實(shí)現(xiàn)。

首先，想要實(shí)現(xiàn)多少個(gè)VALN之間的通訊，就需要建立多少個(gè)子端口；其次，需要在子端口封裝802.1q協(xié)議，用于支持VLAN協(xié)議；最后，在子端口設(shè)置IP地址,也就是VLAN的網(wǎng)關(guān)地址。

單臂路由（router-on-a-stick）是指在路由器的一個(gè)接口上通過(guò)配置子接口（或“邏輯接口”，并不存在真正物理接口）的方式，實(shí)現(xiàn)原來(lái)相互隔離的不同VLAN（虛擬局域網(wǎng)）之間的互聯(lián)互通。

3、跨交換機(jī)實(shí)現(xiàn)VLAN間的通信

關(guān)于NAT的基礎(chǔ)知識(shí)

NAT，Network Address Translation 地址轉(zhuǎn)換，是路由器將內(nèi)網(wǎng)地址轉(zhuǎn)換為公網(wǎng)地址的一種技術(shù)。

NAT的實(shí)現(xiàn)方式主要有三種：

（1）靜態(tài)轉(zhuǎn)換：靜態(tài)轉(zhuǎn)換是一對(duì)一的轉(zhuǎn)換，有多少內(nèi)網(wǎng)地址需要轉(zhuǎn)換，就需要相應(yīng)的公網(wǎng)地址；用得很少；

（2）動(dòng)態(tài)轉(zhuǎn)換：動(dòng)態(tài)轉(zhuǎn)換是多對(duì)多的轉(zhuǎn)換，通常需要轉(zhuǎn)換的內(nèi)網(wǎng)地址略多于相應(yīng)的公網(wǎng)地址；將公網(wǎng)地址放在一個(gè)地址池里，當(dāng)有內(nèi)網(wǎng)地址需要訪問(wèn)外部網(wǎng)站時(shí)，從地址池中取出一個(gè)公網(wǎng)地址，用于內(nèi)網(wǎng)地址到公網(wǎng)地址的轉(zhuǎn)換；該方式適用于內(nèi)網(wǎng)地址略多于給定的公網(wǎng)地址，如果內(nèi)網(wǎng)地址遠(yuǎn)大于公網(wǎng)地址，當(dāng)多臺(tái)內(nèi)網(wǎng)機(jī)器需要訪問(wèn)公網(wǎng)時(shí)，會(huì)出現(xiàn)地址池枯竭，無(wú)法獲得對(duì)應(yīng)的公網(wǎng)地址；

NAT的優(yōu)點(diǎn)：

（1）寬帶共享 ：通過(guò)一個(gè)公網(wǎng)地址可以讓許多機(jī)器連上網(wǎng)絡(luò)；理論上所有網(wǎng)絡(luò)端口有多少一個(gè)公網(wǎng)IP就能夠支持多少臺(tái)機(jī)器聯(lián)網(wǎng)；解決了IP地址不夠用的情況；

（2）安全防護(hù)：通過(guò)NAT技術(shù)轉(zhuǎn)換后，實(shí)際機(jī)器隱藏自己的真實(shí)IP，僅通過(guò)端口來(lái)區(qū)別是內(nèi)網(wǎng)中的哪個(gè)機(jī)器，保證了自身安全。

NAT的缺點(diǎn)：

在一個(gè)具有NAT功能的路由器下的主機(jī)并沒有建立真正的端對(duì)端連接，并且不能參與一些因特網(wǎng)協(xié)議。一些需要初始化從外部網(wǎng)絡(luò)建立的TCP連接，和使用無(wú)狀態(tài)協(xié)議（比如UDP）的服務(wù)將被中斷。除非NAT路由器作一些具體的努力，否則送來(lái)的數(shù)據(jù)包將不能到達(dá)正確的目的地址。（一些協(xié)議有時(shí)可以在應(yīng)用層網(wǎng)關(guān)的輔助下，在參與NAT的主機(jī)之間容納一個(gè)NAT的實(shí)例，比如FTP。）NAT也會(huì)使安全協(xié)議變的復(fù)雜。

在整個(gè)NAT的轉(zhuǎn)換中，最關(guān)鍵的流程有以下幾點(diǎn)

網(wǎng)絡(luò)被分為私網(wǎng)和公網(wǎng)兩個(gè)部分，NAT網(wǎng)關(guān)設(shè)置在私網(wǎng)到公網(wǎng)的路由出口位置，雙向流量必須都要經(jīng)過(guò)NAT網(wǎng)關(guān)

網(wǎng)絡(luò)訪問(wèn)只能先由私網(wǎng)側(cè)發(fā)起，公網(wǎng)無(wú)法主動(dòng)訪問(wèn)私網(wǎng)主機(jī)；

NAT網(wǎng)關(guān)在兩個(gè)訪問(wèn)方向上完成兩次地址的轉(zhuǎn)換或翻譯，出方向做源信息替換，入方向做目的信息替換；

NAT網(wǎng)關(guān)的存在對(duì)通信雙方是保持透明的；

NAT網(wǎng)關(guān)為了實(shí)現(xiàn)雙向翻譯的功能，需要維護(hù)一張關(guān)聯(lián)表，把會(huì)話的信息保存下來(lái)。

三、NAT應(yīng)用

NAT主要可以實(shí)現(xiàn)以下幾個(gè)功能：數(shù)據(jù)包偽裝、平衡負(fù)載、端口轉(zhuǎn)發(fā)和透明代理。

數(shù)據(jù)偽裝:?可以將內(nèi)網(wǎng)數(shù)據(jù)包中的地址信息更改成統(tǒng)一的對(duì)外地址信息，不讓內(nèi)網(wǎng)主機(jī)直接暴露在因特網(wǎng)上，保證內(nèi)網(wǎng)主機(jī)的安全。同時(shí)，該功能也常用來(lái)實(shí)現(xiàn)共享上網(wǎng)。例如，內(nèi)網(wǎng)主機(jī)訪問(wèn)外網(wǎng)時(shí)，為了隱藏內(nèi)網(wǎng)拓?fù)浣Y(jié)構(gòu)，使用全局地址替換私有地址。

端口轉(zhuǎn)發(fā):?當(dāng)內(nèi)網(wǎng)主機(jī)對(duì)外提供服務(wù)時(shí)，由于使用的是內(nèi)部私有IP地址，外網(wǎng)無(wú)法直接訪問(wèn)。因此，需要在網(wǎng)關(guān)上進(jìn)行端口轉(zhuǎn)發(fā)，將特定服務(wù)的數(shù)據(jù)包轉(zhuǎn)發(fā)給內(nèi)網(wǎng)主機(jī)。例如公司小王在自己的服務(wù)器上架設(shè)了一個(gè)Web網(wǎng)站，他的IP地址為192.168.0.5，使用默認(rèn)端口80，現(xiàn)在他想讓局域網(wǎng)外的用戶也能直接訪問(wèn)他的Web站點(diǎn)。利用NAT即可很輕松的解決這個(gè)問(wèn)題，服務(wù)器的IP地址為210.59.120.89，那么為小王分配一個(gè)端口，例如81，即所有訪問(wèn)210.59.120.89:81的請(qǐng)求都自動(dòng)轉(zhuǎn)向192.168.0.5:80，而且這個(gè)過(guò)程對(duì)用戶來(lái)說(shuō)是透明的。

負(fù)載平衡:目的地址轉(zhuǎn)換NAT可以重定向一些服務(wù)器的連接到其他隨機(jī)選定的服務(wù)器。

失效終結(jié):目的地址轉(zhuǎn)換NAT可以用來(lái)提供高可靠性的服務(wù)。如果一個(gè)系統(tǒng)有一臺(tái)通過(guò)路由器訪問(wèn)的關(guān)鍵服務(wù)器，一旦路由器檢測(cè)到該服務(wù)器當(dāng)機(jī)，它可以使用目的地址轉(zhuǎn)換NAT透明的把連接轉(zhuǎn)移到一個(gè)備份服務(wù)器上，提高系統(tǒng)的可靠性。

透明代理:例如自己架設(shè)的服務(wù)器空間不足，需要將某些鏈接指向存在另外一臺(tái)服務(wù)器的空間；或者某臺(tái)計(jì)算機(jī)上沒有安裝IIS服務(wù)，但是卻想讓網(wǎng)友訪問(wèn)該臺(tái)計(jì)算機(jī)上的內(nèi)容，這個(gè)時(shí)候利用IIS的Web站點(diǎn)重定向即可輕松的幫助我們搞定。

NAT術(shù)語(yǔ)：比較難理解，所以這里用最明了的語(yǔ)言總結(jié)如下

內(nèi)部本地地址（?inside local address?）：局域網(wǎng)內(nèi)部主機(jī)的地址，通常是RFC1918地址空間中的地址，稱為私有地址。（待轉(zhuǎn)換的地址）

內(nèi)部全局地址（inside global address）：內(nèi)部本地地址被NAT路由器轉(zhuǎn)換后的地址，通常是一個(gè)可路由的公網(wǎng)地址。

外部全局地址（outside global address）：是與內(nèi)部主機(jī)通信的目標(biāo)主機(jī)的地址，通常是一個(gè)可路由的公網(wǎng)地址。

外部本地地址（outside local address）：是目標(biāo)主機(jī)可路由的公網(wǎng)地址被轉(zhuǎn)換之后的地址，通常是RFC1918地址空間中的地址。

示例

如圖所示： PC1地址：192.168.0.2/24，PC2地址：192.168.0.3/24，R1 E0/0地址：192.168.0.1/24??

R1?S0/0地址：202.106.0.1/24，R2?S0/0地址：202.106.0.2/24

R2 E0/0地址：202.106.1.1/24，?PC3地址：202.106.1.2/24?(模擬公網(wǎng)服務(wù)器)

1.靜態(tài)NAT：將一個(gè)私有地址和一個(gè)公網(wǎng)地址一對(duì)一映射的配置方法，這種方式不能節(jié)省IP，通常只為需要向外網(wǎng)提供服務(wù)的內(nèi)網(wǎng)服務(wù)器配置。

各接口地址按上面配置好之后，在R1和R2上配置路由（注意不要為192.168.0.0網(wǎng)絡(luò)增加路由項(xiàng)，因?yàn)樗接芯W(wǎng)絡(luò)不可以出現(xiàn)在公網(wǎng)路由表中，不然也不叫私有地址了）

路由配置好之后在R1上可以ping通PC3，但是PC1只能ping到R1的S0/0，再向前就ping不通了。因?yàn)闆]有192.168.0.0網(wǎng)絡(luò)的路由表項(xiàng)，所以被丟棄了！下面在R1上配置靜態(tài)NAT讓PC1可以和PC3通信。

Router(config)#int fa0/0

Router(config-if)#ip nat inside?//將該接口標(biāo)記為內(nèi)部接口

Router(config-if)#int s0

Router(config-if)#ip nat outside //將該接口標(biāo)記為外部接口

Router(config-if)#exit

Router(config)#ip nat inside source static 192.168.0.2 202.106.0.3 //將來(lái)自標(biāo)記為內(nèi)部接口的地址做為轉(zhuǎn)換源，將?192.168.0.2一對(duì)一的轉(zhuǎn)換成?202.106.0.3

動(dòng)態(tài)NAT：現(xiàn)在PC1就可以和PC3通信了。但是PC2不能，因?yàn)镽1并沒有為PC2提供地址轉(zhuǎn)換。當(dāng)然我們可以在R1上像給PC1做靜態(tài)轉(zhuǎn)換一樣也給PC2做一個(gè)，可如果我們有100臺(tái)機(jī)器工作量就太大了。下面在R1上再繼續(xù)配置：

Router(config)#access-list 10 permit 192.168.0.0?0.0.0.255?//定義標(biāo)準(zhǔn)訪問(wèn)控制列表10只允許定義的地址能夠被轉(zhuǎn)換

Router(config)#ip nat pool out 202.106.0.4 202.106.0.24 netmask 255.255.255.0?//定義名稱為out的地址池。

Router(config)#ip nat inside source list 10 pool out //將訪問(wèn)控制列表定義的地址和地址池關(guān)聯(lián)這樣就有前21個(gè)內(nèi)部主機(jī)能夠得到公網(wǎng)地址。

現(xiàn)在PC2也可以和PC3通信了。這就是動(dòng)態(tài)NAT，這種方式也不能節(jié)約IP地址。有一百臺(tái)主機(jī)就要100個(gè)公網(wǎng)IP，不常用。

PAT（Port Address Translation）端口地址轉(zhuǎn)換：用一個(gè)或多個(gè)公網(wǎng)IP為多個(gè)私有地址提供轉(zhuǎn)換，能夠節(jié)省大量IP地址，這種方式在現(xiàn)實(shí)網(wǎng)絡(luò)環(huán)境中最常用。

Router(config)#ip nat inside source list 10 pool out? overload //只需要在動(dòng)態(tài)NAT的基礎(chǔ)上多出一個(gè)“overload”就可以讓上面的21個(gè)公網(wǎng)地址反復(fù)使用。

如果我們只有一個(gè)公網(wǎng)地址且已經(jīng)分配給了R1的S0/0口，可以使用下面的命令來(lái)對(duì)這僅有的一個(gè)公網(wǎng)地址反復(fù)利用或叫超載。

Router(config)#ip nat inside source list 10 interface serial 0 overload //就是在R1上不設(shè)置地址池，因?yàn)橹挥幸粋€(gè)公網(wǎng)地址，而只對(duì)S0/0接口的地址超載。

?5、配置TCP負(fù)載平衡：還是上圖IP也不變，假如PC1和PC2提供的是相同的WWW服務(wù)，為了實(shí)現(xiàn)負(fù)載平衡可以做如下配置：

Router(config)#ip nat pool www 192.168.0.2 192.168.0.3 netmask 255.255.255.0 type rotary //配置地址池www并設(shè)成旋轉(zhuǎn)。

Router(config)#access-list 10 permit 202.106.0.3

Router(config)#ip nat inside?destination list 10?pool?www?//這樣當(dāng)外網(wǎng)主機(jī)訪問(wèn)202.106.0.3的時(shí)候路由器會(huì)自動(dòng)定向到192.168.0.2再有請(qǐng)求就定向到192.168.0.3如果地址池里還有別的地址會(huì)依次循環(huán)，實(shí)現(xiàn)負(fù)載平衡的目的。注意，地址有了，網(wǎng)絡(luò)中還要有對(duì)應(yīng)的主機(jī)存在，否則會(huì)使對(duì)方第一次連接失敗。