当前位置：首页 > article >正文

初识Linux · IP协议· 下

article 2025/9/18 3:10:55

前言：

内网IP和公网IP

内网IP

公网IP

路由

前言：

前文我们介绍了IP协议的协议头，通过源码等方式我们理解了IP协议中的字段，比如8位协议，比如通过环回问题引出的8位最大生存时间，比如8位协议，首部长度等，通过对字段的理解，我们成功理解了IP报文是如何分用和分离的。并且通过IP地址不够的问题，引出了网段划分的两种方式，以及为什么需要网段划分等问题，以及一个局域网内的主机数应该是2^n - 2，因为存在主机号全0和全1的特殊IP。

那么对于IP协议报头我们还没有介绍的是：16位标识，3位标志，13位片偏移，这个话题我们放在后文的IP分片中介绍。

本文将带领同学们，从什么是内网IP和公网IP，到内网报文如何从内网交付到公网。

废话不多说，直接进入主题吧！

内网IP和公网IP

虽然前文我们介绍了IP地址是网络号加主机号，并且引入了CIDR的网段划分方式，但是实际上，IP地址数量的上限问题仍然没有得到解决。

它的上限还是42亿多，CIDR只是在提高了IP地址的使用效率和提高了路由的聚合能力，真正提高IP地址数量的上限，或者说变相的提高IP地址的上限还是要通过内网和公网IP的引入。

内网IP

我们首先建立这么一个认识，即我们大多数情况下不是直连Internet的，而是在一个一个的小世界中，这个小世界就是我们所在的内网。

理论上来说如果我们想建立一个内网的话，使用任意的IP地址都可以，对32位的比特位任意安排即可，但是就像RFC 1918规定了组建局域网的私有IP地址只能如下：

类别	地址范围	子网掩码	说明
A 类	`10.0.0.0` – `10.255.255.255`	`/8`（255.0.0.0）	大型网络
B 类	`172.16.0.0` – `172.31.255.255`	`/12`（255.240.0.0）	中型网络
C 类	`192.168.0.0` – `192.168.255.255`	`/16`（255.255.0.0）	小型网络（如家用路由器）

那么有人好奇了，掩码怎么是16，昨天我查出来的192.168.101的网络号怎么来的？这实际上更加符合RFC的精神，即他只规定了私有IP地址的范围为这三种，而没有规定子网掩码，所以实际上是给了我们一大片土地，至于这个土地怎么分配，就是我们的事儿了。

那么脱离这个范围的IP地址，称为全局IP（公网IP）。

前文我们也说了，我们网络通信的时候不是直连Internet的，都是在一个一个的局域网的，并且RFC规定了局域网的私有IP字段，即这些IP是专门保留的，不能出现在互联网中，也就是说内网IP不能出现在公网中，如果内网IP出现在了公网中，那么公网路由器是会直接丢弃报文，拒绝转发的，这样设计主要是为了使用内网IP+NAT转换可以让一个集体共享一个公网IP访问互联网。

那么具体报文是怎么交付的呢，我们通过下图介绍：

内网构建：

首先我们要承认一个点就是：路由器是能够构建子网的。那么不同的局域网中有不同的主机，对于不同的局域网的主机的IP是可以一样的。对于路由器来说，它一般存在两个IP，分别是LAN口IP和WAN口IP，LAN口IP就是该局域网内的网络号+自己的主机号。

那么一个路由器能构建一个子网，该子网内的IP有192.168.1.201和192.168.1.200，这是第一个局域网，而路由器也是主机，所以多台路由器放到了一起，也是一个局域网，那么它们的IP是WAN口IP，即10.1.1.2。

和一个路由器构建的子网一样，多台路由器所在的不同的子网，不同由路由器构建的子网中不同的路由器可能IP相同。到了这里，我们隐约对如何增加IP地址的上限好像有了一定的认知了。

发送报文：

假设现在的情景是发送源IP地址为192.168.1.201/24，目的IP地址为122.77.241.3/24的报文。那么主机A发送报文的时候，是有能力知道自己所在的局域网的网络号的，主机A发现目的IP不在同一子网时，默认发送到默认网关。（如果报文的源IP和目的IP在一个网段，可以通过MAC地址通信，后面介绍）路由器收到之后，发现目的IP的网段不是由路由器所处的网段，那么同理，发送到默认网关，由出入口路由器对比路由表，交付对应的报文。

有意思的来了，我们上文明确提出了：内网IP不能出现在公网中。那么在报文交付的过程中，从主机A处在的内网，到达了由路由器组成的更大的内网，最后到达了广域网，到达广域网的过程，是否暴露了自己的内网IP？

那么真正的发送报文是要经过NAT转换的：

报文从主机A交付的过程，源IP地址为192.168.1.201，目的IP地址为122.77.241.3，此时对比网络号发现不是自己所处的局域网，那么交付给出入口路由器，交付成功之后，出入口路由器更新源IP地址为自己的WAN口地址，出入口路由表查找目的IP的最优匹配路由来决定下一跳，交付成功之后同样更新源IP地址为自己的WAN口地址，一对比发现是在广域网，就进行报文交付的工作。上述的路由工作涉及到路由表等，即报文转接是通过路由器查路由表完成的，我们后面介绍。

这个过程，IP地址的不断变化，我们可以简单的理解为NAT技术，那么在NAT的这个过程，不只是会更改对应的IP地址，还会在NAT表中记录记录映射关系，比如端口号之间的映射，而返回数据的时候，因为多层NAT会产生嵌套映射，必须逐级还原才能成功回包。其中的WAN口IP就是上层网络的网段。

那么上述的过程，我们似乎发现了变相提高IP地址数量上限的方法：通过分层私网 + NAT 大量复用地址资源。

但是我们要清楚的是，虽然IPv4间接提高了IP地址的数量，但是多层NAT必定引入了延迟和维护成本，所以只能说NAT技术好，但是不能根治IP数量不够的情况，IPv6才是解决根本的方法。

公网IP

公网IP代表的是全球可达的互联网网络，比如一家公司有了公网IP，那么在Internet中，任何IP都可以访问这个IP。

但是因为IPv4早已枯竭，所以对于公网IP地址一般不会给到个人，最多给到公司或大学一类的，比如腾讯云的云服务器等。而目前国家大力推广IPv6就是为了让所有的主机都有自己的公网IP，这样就可以让减少多层NAT转换带来的延迟，网络负担等问题。

而我们在前文提及运营商，在这里的角色非常之重要。

我们不妨思考，为了打游戏使用的流量给到了运营商，比如中国移动，而不是给到了王者荣耀这种游戏公司？

因为公网IP下发的时候，先是给到了运营商，那么运营商负责将公网IP分配给服务厂商，分配给学校等，也就是说，运行商首先拥有了公网IP，那么在跨网段转发的时候，运营商不仅在逻辑上承担了这个责任，在物理上也承担了这个责任，因为他在物理上需要安装光缆，安装基站，安装一切的基础设施等。中国被称为基站狂魔也不是没有原因的。

所以我们对公网有这么一个定义:公网就是全球可达的互联网网络，公网IP是互联网通信的“身份证号”，是唯一、可被任何人访问的地址。

那么因为ipv4地址的短缺，不得不让大多数终端使用内网+NAT技术，才能访问到公网，但是我们要清楚一个点就是：IPv6才是解决根本的方法。

路由

前文我们多次提及了路由表的概念，我们可以来看一个真实的路由表：

路由表的Destination是目的网络地址,Genmask是子网掩码,Gateway是下一跳地址,Iface是发送接口,Flags中的U标志表示此条目有效(可以禁用某些条目),G 标志表示此条目的下一跳地址是某个路由器的地址,没有G标志的条目表示目的网络地址是与本机接口直接相连的网络,不必经路由器转发