在家里,我们订购了 ATT 宽带服务(实际上是光纤)。当然,他们在我们的家里租用并安装了一个路由器,作为我们私人网络上所有设备的互联网网关。该路由器有一个基于浏览器的 GUI,可以通过路由器的私有 IP 地址进行访问。
我浏览了 GUI,因为我希望填补我对网络知识的一些空白。我感到很困惑,因为我看到路由器 GUI 的“宽带状态”选项卡中列出了两个公共 IP 地址;本例中的假 IP:
- 宽带 IPv4 地址:87.91.35.144
- 网关 IPv4 地址:87.91.35.1
这两个公网IP地址有什么区别?
在我目前的思维模型中,我假设路由器充当网络地址转换 (NAT) 设备和 DHCP 服务器;路由器分配有一个公共 IP 地址、一个私有 IP 地址,并且作为 DHCP 服务器,它将与其拥有的私有 IP 位于同一子网 (/24 CIDR) 上的私有 IP 地址分发给我们家中的所有设备。那么为什么路由器 GUI 上似乎显示了两个公共 IP 地址?“世界”看到的公共 IP 地址是“宽带 IPv4 地址' 指定:87.91.35.144— 我说的“世界”是指当我访问类似网站时互联网告诉我的 IP 地址https://ip.me/或者https://www.whatismyip.com/
我的猜测是“网关 IPv4 地址' 正是我家里的路由器/NAT 设备,为我的 LAN 设备提供服务,而 '宽带 IPv4 地址' 是 ATT 网络上的另一个设备,可能是聚合器,就像边缘路由器一样,它收集来自整个 ATT 网络的客户的大量 ATT 客户端流量,然后将它们发送到其他自治系统 (AS) 或对等网络以到达目的地。这是我的猜测,但我没有经验可以确定。
我想知道,因为我正在学习配置网络防火墙,WAN 接口应该配置面向公共(Internet)的网关(我认为是路由器)的 IP 地址。我想我可以只用两个地址进行反复试验,但我宁愿改进我的思维模型。
答案1
在我目前的思维模型中,我假设路由器充当网络地址转换 (NAT) 设备和 DHCP 服务器;路由器分配有一个公共 IP 地址和一个私有 IP 地址,并且作为 DHCP 服务器,它将与其拥有的私有 IP 位于同一子网 (/24 CIDR) 上的私有 IP 地址分发给我们家中的所有设备。那么为什么路由器 GUI 上似乎显示了两个公共 IP 地址?
家用路由器并不追求精确的术语。它们只想显示一个简短的摘要,并在一个地方提供一些相关信息。
此处的“宽带”不描述 IP 地址的类型或用途 - 它不是“网关”的对应词。相反,它只是您自己的 IP 地址,即分配给路由器的 WAN/宽带接口的 IP 地址。
另一个地址不是来自接口,而是来自路由器的路由表。它是当前默认路由(即 0.0.0.0/0 路由)的“网关”或“下一跳”地址。
在 IP 路由中,路由的网关/下一跳必须是同一物理子网上的设备,因此实际路由器需要有一个位于您自己的 IP 子网内的 IP 地址。这里似乎您和您的上游网关都在 87.91.35.0/24 网络中(粗略猜测)。
我的猜测是,“网关 IPv4 地址”就是我家里的路由器/NAT 设备,为我的 LAN 设备提供服务,而“宽带 IPv4 地址”是 ATT 网络上的另一个设备,可能是聚合器,例如边缘路由器,它收集来自 ATT 网络上所有客户的大量 ATT 客户端流量,然后将它们发送到其他自治系统 (AS) 或对等网络以到达目的地。这是我的猜测,但我没有经验可以确定。
不,事实恰恰相反。“宽带 IPv4 地址”是路由器自己的地址,而“网关 IPv4 地址”是...路由器向其发送流量的另一个路由器。换句话说,后者描述的是路由器本身配置的“默认路由”,又称“默认网关”。
这里的“网关”并不意味着“客户到互联网的网关”,它还有“IP路由器”的旧含义。
(您计算机的“默认路由”指向您的路由器;您的路由器的“默认路由”指向物理连接另一端的某个 ISP 路由器;并且那路由器可能仍然具有指向下一个某处的“默认路由”,因为 AT&T 的网络很大,所以很可能具有完整 BGP 路由表的 AS 边界路由器仍然需要 1-3 跳。)
答案2
这不是一个完整的答案,因为我并不想重复u1686_grawity 的回答。不过,我确实想对问题的最后一段添加一些额外的评论。
首先,另一个快速回应:
那么为什么路由器 GUI 上似乎会显示两个公共 IP 地址?
由于 ISP 设备需要这两个地址(一个地址用于知道它应该响应哪个 IP 地址,另一个地址用于知道要将流量发送到哪个网关地址),因此它需要拥有正确的信息。那么,为什么不与您分享这些信息呢?(您甚至可以手动调整此类信息,因此显示当前设置肯定是有意义的。)
现在,关于原始问题的最后一段:
我想知道,因为我正在学习配置网络防火墙,WAN 接口应该配置面向公共(Internet)的网关(我认为是路由器)的 IP 地址。我想我可以只用两个地址进行反复试验,但我宁愿改进我的思维模型。
我的典型设置是这样的:
- 我有一个设备,例如“电缆调制解调器”或“DSL 调制解调器”,它直接与 ISP 交互。它可能提供 Wi-Fi,在这种情况下,我可能会为了方便而使用 Wi-Fi,并将本地 Wi-Fi 视为低保护区域。此设备至少有一个公共 IP 地址。
- 该设备将 IP 提供给防火墙,而防火墙完全由我控制。它可能使用子网上的 DHCP 来实现这一点,该子网可能很小。例如,192.168.3.0/30(ISP 调制解调器到上游/ISP 的 WAN 端口将具有 192.168.3.1/30,ISP 调制解调器到防火墙上游 WAN 端口的下游 LAN 端口为 192.168.3.2/30,192.168.3.0 和 192.168.3.3 通常被视为“不可用”的 IPv4)。
- 防火墙可以为我的网络提供服务(例如防火墙、路由、DHCP、文件共享、其他内容)和/或将流量路由/桥接至执行此类服务的设备。
- 然后,DHCP 服务器向我家周围的其他设备提供另一个子网中的其他地址,例如 192.168.4.0/24 或 192.168.5.0/22。
我倾向于远离 192.168.0.0/23 和 192.168.2.0/24,因为有些硬件默认使用这些。
这样,如果 ISP 调制解调器坏了,我只需要担心网络的一小部分,防火墙/路由器提供的地址可以保持不变/不受影响。唯一获得公共 IP 地址的是 ISP 使用的设备。
这是基本设置。现在,您可以进一步自定义/增强它,例如使用 DMZ,以便调制解调器将公共 IP 地址提供给防火墙,和/或将 ISP 调制解调器设置为桥接模式,和/或可能涉及使用桥接/路由/NAT/UPnP 来做一些更有趣的事情的其他有趣的事情。如果您正在学习,我建议将这些增强功能视为值得改进的下一个有趣步骤。但请注意,如果您开始自定义 ISP 调制解调器以使用 DMZ,那么如果您的调制解调器坏了,您不仅需要更换 ISP 调制解调器,而且还需要确保 ISP 调制解调器的自定义设置与您更换的调制解调器相同。就我个人而言,我希望尽可能多地由我拥有/监督的设备提供服务,因此我可能需要花时间等待与 ISP 支持部门互动,这种情况可能越少越好。