# 思考

1、家庭宽带中的网络出口IP，如何把自己家庭内网的一个端口映射到，公网（网络出口IP），家庭用户怎么可以随意操作出口IP地址端口的开放情况？

2、不同家庭之间，宽带处于同一个vlan，不同家庭之间是否可以通信

3、宽带和专线的区别，宽带出口IP不固定

家庭网络设备

猫、路由器、WIFI

入户光纤插入猫上面，然后用网线连接猫和路由器，然后在用网线连接路由器电脑。

路由器可以发射WIFI，使用手机通过wifi可以连接到路由器上面。

# 猫/光猫

分为猫（普通网线，淘汰）、光猫（光纤）：区别是否支持光纤。

路由器上同时存在 WAN 和 LAN 两种接口，二者分工不同：WAN 负责 “对外” 连接互联网，LAN 负责 “对内” 连接本地设备

PON（无源光网络）技术，

光猫功能：

猫的功能：

没有路由器缺点：每次开机都需要拨号、只能同时支持一台设备上网、没有wifi

# 路由器

路由器会帮你自动拨号（路由器上网了），然后路由器在通过wifi、网线连接其它设备，让其它设备也可以上网。

路由器帮我们拨号之后，就相当与路由器这个东西有网了。然后路由器通过wifi 、网线连接其它设备，让其他设备也可以上网。

注：一般来说默认光猫拨号，运营商安装时默认这么设置，但是也可以改为路由器拨号。

# 网关

网关（Gateway）是连接不同网络的设备（通常是路由器），负责将内网主机的流量转发到外部网络（如互联网）。

网关是否等于出口IP？

不一定，网关和出口IP（即公网IP）是相关但不同的概念，具体区别如下：

对比项	网关（Gateway）	出口IP（公网IP）
定义	内网流量的下一跳设备（通常是路由器内网IP）	公网上标识流量的源IP（NAT转换后的IP）
作用	负责将内网主机的流量转发到外网	互联网上其他主机看到的访问来源IP
典型值	内网IP（如 192.168.1.1）	公网IP（如 120.240.10.20）
配置位置	主机的网络设置（如IP、子网掩码、网关）	由路由器/NAT设备自动映射或ISP分配

关键区别与关系

1. 网关是“内网出口”

   • 网关是内网主机访问外网的第一跳设备（通常是路由器内网接口的IP）。

   • 例如：主机 192.168.1.100 的网关是 192.168.1.1（路由器LAN口IP）。

2. 出口IP是“公网标识”

   • 出口IP是内网流量经过NAT转换后，在互联网上显示的源IP（由ISP分配或云服务商提供）。

   • 例如：内网主机访问百度时，百度看到的请求IP是路由器的公网IP（如 120.240.10.20），而非主机的内网IP。

• 主机必须通过正确的网关才能将流量送至路由器，进而通过NAT转换为出口IP。

• 排查顺序：先确认网关配置 → 再测试NAT/出口IP是否正常。

主机访问互联网的流程：
主机 → 网关（192.168.1.1，家庭路由器内网IP） → 路由器 → 互联网。

网关是 192.168.1.1（路由器LAN口IP）、

# WAN口IP

路由器WAN口IP的可能类型

(1) 公网IP（常见于家庭宽带/企业专线）

• 动态公网IP：
  大多数家庭宽带（如电信、联通）会动态分配一个公网IP（每次拨号可能变化）。

  • 示例：120.240.10.20（通过PPPoE拨号获取）。

• 静态公网IP：
  企业专线通常付费购买固定公网IP（如云服务器）。

  • 示例：203.179.80.1（长期不变）。

(2) 私网IP（运营商NAT转换）

• 部分ISP因IPv4短缺，会在骨干网做NAT，导致路由器WAN口获取的是运营商内网IP（如10.0.0.1）。

  • 此时，出口IP ≠ WAN口IP，需通过curl ifconfig.me查询真实公网IP。

  • 影响：无法直接做端口映射，影响P2P或远程访问。

(3) 特殊场景（多层NAT）

• 例如：
  主机 → 家庭路由器（192.168.1.1）→ 光猫（192.168.100.1）→ ISP NAT → 公网

  • 这种情况下，家庭路由器的WAN口IP可能是光猫分配的私网IP（如192.168.100.2）。

# 路由器

路由器的主要功能：

• NAT转换：将内网设备的私网IP（如192.168.1.100）映射到公网IP（如120.240.10.20）。

• DHCP服务：为内网设备分配IP（如192.168.2.100）。

• 防火墙/流量控制：管理内外网访问策略。

路由器的接口

接口	作用	典型IP
WAN口	连接光猫（或上级网络）	动态/静态IP（如192.168.1.2或公网IP）
LAN口	连接内网设备（PC、手机）	192.168.2.1（路由器管理IP）

1. 光猫LAN口：

   • 默认IP可能是192.168.1.1（光猫管理地址）。

   • 如果光猫拨号，它会从ISP获取公网IP（WAN口IP），并通过LAN口向下级设备（路由器）分配一个私网IP（如192.168.1.2）。

2. 路由器WAN口：

   • 连接光猫LAN口，获取IP（可能是192.168.1.2，即光猫的DHCP分配）。

   • 如果光猫已拨号，路由器WAN口IP是内网IP（192.168.1.x）；
     如果路由器自己拨号（桥接模式），WAN口会直接获取公网IP（如120.240.10.20）。

3. 路由器LAN口：

   • 分配另一段内网IP（如192.168.2.1）给PC、手机等设备。

# 查看路由器WAN口IP？

(1) 通过路由器管理界面

登录路由器后台（通常访问http://192.168.1.1），在WAN口状态或网络设置中查看：

• PPPoE拨号：显示获取的公网IP（如120.240.10.20）。

• 动态IP（DHCP）：显示ISP分配的IP（可能是公网或私网）。

(2) 通过命令行（Linux/路由器Shell）

如果路由器支持SSH/Telnet，登录后执行：

ifconfig eth0  # 或 ip addr show eth0（具体网卡名可能为pppoe、wan等）

输出示例：

eth0: flags=4163<UP,BROADCAST,RUNNING,MULTICAST>  
      inet 120.240.10.20  netmask 255.255.255.0  gateway 120.240.10.1

(3) 直接查询出口公网IP

即使WAN口IP是私网，也能通过以下命令获取实际出口IP：

curl ifconfig.me  # 或 curl cip.cc

# 问题

光猫的LAN口IP和路由器的WAN口IP为什么在同一网段？

• 因为光猫的LAN口充当DHCP服务器，给路由器的WAN口分配一个同网段IP（如192.168.1.2），使路由器能通过光猫访问外网。

• 如果不在同一网段，路由器无法与光猫通信，导致无法上网。

让路由器直接获取公网IP？

• 光猫改为桥接模式：

  1. 登录光猫后台（如192.168.1.1），关闭PPPoE拨号，设为桥接（Bridge）。

  2. 路由器WAN口改用PPPoE拨号，输入ISP账号密码。

  3. 此时路由器WAN口会直接获取公网IP（如120.240.10.20）。

设备	角色	关键IP
光猫	光电转换 + 基础路由	LAN口：192.168.1.1（管理IP）
路由器	NAT + DHCP + 防火墙	WAN口：192.168.1.2（光猫分配）或公网IP（桥接模式）
终端设备	上网	192.168.2.x（路由器分配）

• 光猫LAN口：连接下级设备（如路由器WAN口），提供网络出口。

• 路由器WAN口：从光猫获取IP，负责NAT转换和公网通信。

• 优化建议：

  • 光猫改桥接 + 路由器拨号，可提升性能并获取公网IP。

  • 避免光猫和路由器IP冲突（如都设192.168.1.1）。

# Wifi

Wifi 是路由器发射出来的信号，就像一根无形的网线，连接手机/电脑到路由器。

问题：为什么wifi信号是慢格，但是就是没有网络，连接上wifi就等于连接上路由器，路由器有网络，所以手机才可以上网。

# 宽带大小

为啥20M 宽带，最大下载速度只能到2.5M？

宽带大小一般用单位20Mb，而乒赛一般是用MB做单位的。之间换算关系1Btte = 8 bit

#  两地共用一个宽带

通过光纤收发器和网线来连接两个不同的子网。

# 无线网桥

无线网桥（Wireless Bridge）作为一种基于无线通信技术的网络连接设备，能够在无法布线或布线成本过高的环境中，替代传统网线，实现两个或多个独立网络之间的高速、稳定桥接。

无线网桥支持点对点（PTP）和点对多点（PTMP）两种传输模式。点对点模式适用于一对一的传输需求，比如将 A 楼与 B 楼的网络连接起来；点对多点模式则可实现一个中心点与多个终端的连接，常用于总部与多个分站点之间的网络通信。

优势

1. 绕射能力强，在轻微遮挡环境下仍可使用；设备成本较低
2. 带宽高，可达 1Gbps 以上；抗干扰性强

劣势

1. 容易受到同频干扰，如 WiFi、蓝牙等设备干扰；带宽相对较低，一般不超过 300Mbps
2. 穿透性差，对传输路径要求严格，需确保无遮挡；设备成本较高

无线网桥：专注于远距离网络桥接，主要用于连接不同的网络段，终端设备（如手机、电脑）无法直接连接；

无线路由器：侧重于 WiFi 覆盖，为周边设备提供无线网络接入服务。

无线 AP（接入点） ：主要用于局部区域的 WiFi 覆盖，提升区域内设备的无线连接体验；

• 无线AP（Wi-Fi接入点） 就像是一个 “无线信号发射器”，专门负责把有线网络变成Wi-Fi信号，让你的手机、平板、笔记本能无线上网

无线网桥：则致力于解决 “最后一公里” 的骨干传输问题，实现远距离、跨区域的网络连接 。

无线AP是Wi-Fi网络的“信号基站”，专注于局部区域的无线覆盖，而无线网桥是“网络桥梁”，解决远距离数据传输问题。

• 需要手机/电脑上网 → 选无线AP。

• 需要连接两个远程网络 → 选无线网桥

# 思考

每户的个家庭都有一个公网IP吗？那用户可以知道自己的公网IP 吗？

既然出口IP不固定，那如何实现端口映射？

多个家庭共享同一个公网IP（CGNAT）时，用户是否处于同一个局域网？

同一个小区出口IP一样，那每个家庭用户之间是否可以通信？

用户可以随便开启路由器的公网端口？

# 答疑

1、家庭宽带端口映射与出口IP管理

端口映射（NAT）：

• 需通过路由器配置，在管理界面（通常为192.168.1.1）找到「端口转发」或「虚拟服务器」功能。

• 填写内网设备IP、内部端口及映射后的外部端口（如将内网192.168.1.100的80端口映射到公网IP的8080端口）。

• 限制：家庭宽带多为动态公网IP，重启光猫会变化，需配合DDNS服务（如花生壳）。

动态公网IP的特性

• 不固定性：家庭宽带的公网IP通常由运营商动态分配（PPPoE拨号），可能因以下情况变化：

  • 光猫/路由器重启

  • 运营商强制断线（如每48小时重新拨号）

  • IP池轮换

• 临时唯一性：即使IP不固定，在每次拨号后，用户会暂时独占一个公网IP，直到下次变化。

---

2. 用户如何知道当前公网IP？

即使IP动态变化，用户仍可通过以下方法实时获取当前公网IP：

方法1：通过路由器管理界面查看

• 登录路由器后台（如 192.168.1.1）。

• 找到 WAN口状态 或 拨号信息，显示的IP即为当前公网IP（非192.168.x.x/10.x.x.x等内网IP）。

方法2：使用IP查询服务

• 在连接到家庭网络的设备上访问：

curl ifconfig.me  # 终端命令

或直接打开以下网站：

• ip查询 查ip 网站ip查询 同ip网站查询 iP反查域名 iP查域名 同ip域名

出口IP控制：

• 动态IP问题：普通宽带运营商通常不提供固定IP，企业宽带可付费申请。

• 临时解决方案：

  • 使用DDNS工具动态绑定域名到变化IP。

  • 云服务器反向代理（如Nginx）到家庭IP。

• 端口开放：运营商常封锁80/443等端口，可尝试改用非标端口（如5000）。

端口映射与公网IP的关系

• 映射生效条件：

  • 内网端口（如192.168.1.100:80）已正确映射到路由器的公网端口（如8080）。

  • 公网IP未被运营商封锁目标端口（部分运营商封锁80/443等常用端口）。

• 访问方式：

  • 用户需通过 当前公网IP:映射端口 访问服务（如 123.45.67.89:8080）。

  • 若IP变化，需重新查询最新公网IP。

用户不能随意开启路由器的公网端口，原因如下：

---

运营商限制（主要障碍）

• 封锁常用端口：80（HTTP）、443（HTTPS）、21（FTP）等通常被运营商屏蔽，防止家庭用户架设公开服务。

• 动态IP问题：家庭宽带公网IP会定期变化（如PPPoE拨号重置），导致映射失效。

• CGNAT技术：移动等运营商使用共享IP（如100.64.x.x），用户根本没有独立公网IP，端口映射直接失效。

多个家庭共享同一个公网IP（CGNAT）时，用户是否处于同一个局域网？

答案：否
虽然所有用户共享一个公网IP（如 120.202.1.1），但运营商通过 运营商级NAT（Carrier-Grade NAT, CGNAT） 实现多级转换，每个家庭仍然处于独立的私有网络，具体架构如下：

[家庭A] 192.168.1.100 → 运营商内网IP 100.64.1.1 → 公网IP 120.202.1.1  
[家庭B] 192.168.1.100 → 运营商内网IP 100.64.1.2 → 公网IP 120.202.1.1  
[家庭C] 10.0.0.100 → 运营商内网IP 100.64.1.3 → 公网IP 120.202.1.1

• 关键点：

  • 家庭内网（如 192.168.1.0/24）和运营商内网（100.64.0.0/10）是两层不同的私有网络。

  • 家庭之间无法直接通信，因为：

    • 运营商NAT设备会隔离不同用户的 100.64.x.x 流量。

    • 家庭路由器的防火墙默认阻止来自WAN口的访问。

共享公网IP时，家庭用户之间能否互相访问？

答案：通常不能，但有例外

场景	是否可通信	原因
默认情况（CGNAT）	❌ 否	运营商NAT设备隔离用户，且家庭路由器防火墙阻止入站连接。
运营商配置错误	⚠️ 可能	极少数情况下，运营商未正确隔离用户（罕见且违反安全策略）。
双方主动建立VPN连接	✅ 能	通过第三方服务器（如WireGuard/OpenVPN）绕过CGNAT限制。
使用IPv6（若支持）	✅ 能	每户有独立公网IPv6地址，防火墙放行后可直接通信。

VLAN（Virtual Local Area Network） 是一种虚拟局域网技术，用于在物理网络中划分逻辑隔离的广播域。

在运营商内网（CGNAT环境）中，不同家庭用户的运营商内网IP（如100.64.1.1和100.64.1.2）默认也无法直接通信，原因如下：

---

运营商内网IP（100.64.x.x）的隔离机制

（1）CGNAT的层级隔离

• 运营商NAT设备会严格隔离用户流量，即使同属100.64.0.0/10网段：

  • 家庭A的100.64.1.1 ↔ 家庭B的100.64.1.2 默认无法互通。

  • 数据包需经过运营商NAT设备转换，而设备会丢弃“横向流量”（用户间直接通信）。

（2）运营商的策略限制

• 安全策略：防止用户间攻击或嗅探（如ARP欺骗、端口扫描）。

• QoS管理：避免用户占用内网带宽影响其他用户。

（3）技术实现

• NAT会话表仅允许 “从内网发起的外向连接”（如家庭用户访问互联网）。

• 主动从外部（包括其他用户）发起的连接会被丢弃。

写这篇文章的目的，显示出口IP为家庭宽带，但是这个ip上开启某些端口服务（显示开放9876/login、5357/    ），当时测绘显示为联通住宅用户，但是出口IP怎么能随便操作家庭用户的出口IP端口，暂且判定测绘结果显示错误。

如果认定为用户住宅的的出口IP，那是攻击者动态代理池里面的IP？代理池的动态IP怎么能设置为一个住在用户的出口IP； 哪如果是VPN？用户怎么和一个出口IP建立VPN加密链接呢

之后复测显示之前开放的端口不在开放。

将代理池的IP设置为住宅用户的网络出口IP（即家庭宽带IP）在技术上是可行的，但实际应用中存在显著限制和风险。以下是关键点分析：

---

1. 技术可行性

（1）动态住宅IP的特点

• IP来源：家庭宽带通过PPPoE拨号获取动态公网IP（如电信/联通），或共享IP（如移动CGNAT）。

• 可用性：

  • 动态IP：每次拨号IP会变，需配合DDNS或API实时更新代理池。

  • CGNAT环境：无真实公网IP（如100.64.x.x），无法直接作为代理出口。

（2）实现方式

• 家庭网关部署代理服务：

  • 在树莓派/旧电脑安装代理软件（如Squid、3proxy）。

  • 配置端口转发（如将路由器的5000端口映射到内网代理服务的端口）。

• 动态IP管理：

  • 使用DDNS（如花生壳）绑定域名，代理池通过域名连接。

  • 或通过API定期获取当前IP并更新代理池配置。

运营商限制

限制类型	影响
IP频繁变化	代理池需频繁更新IP，否则连接中断。
端口封锁	80/443/22等常用端口可能被运营商屏蔽，需改用非标端口（如5000-6000）。
流量监控	异常高流量可能触发运营商限速或封停（家庭宽带禁止商用）。