经常做企业网，校园网运维，或者接触过中小型网络搭建的兄弟，大概率会遇到一个有意思的问题：就是会发现有些单位在规划内网地址时，使用的是公网地址，而不是使用互联网号码分配机构（IANA）规划的私网地址。

      案例：某单位使用192.1.0.0/16这个看似私网地址，实际上是美国的公网网段作为企业内部的局域网地址网段，并且部署一台地址为192.1.255.22的内网DNS服务器。

      按道理说，192.1.0.0/16的地址是美国的公网地址段，可实际用起来才发现：访问这个DNS服务器时，根本没连到美国那边；更让人疑惑的是，明明内网用了“美国公网网段”，内网设备却依然能正常上外网。这到底是为啥？如果上外网时，特意去访问192.1.0.0/16这段的美国公网地址，又会发生什么？

 

      先给大家科普个小知识点，不用记太复杂，能懂就行：

      在公网上，192.1.0.0/16这个整个大网段，都是分配给美国使用的，属于正经的美国公网地址段，咱们配置的192.1.255.22，正好就在这个网段里，理论上确实是美国那边的公网IP。

      而咱们常用的内网私有地址，其实有明确的官方范围（RFC 1918标准），分别是10.0.0.0/8、172.16.0.0/12、192.168.0.0/16这三段，这些地址是全球通用的内网专用地址，不会被分配给任何公网设备，也不能在公网上直接路由，就像小区内部的门牌号，只在自己院子里有用。

      但重点来了，很多中单位内网，因为内网设备多、官方私有地址不够用，或者运维图方便，会把192.1.0.0/16这类美国公网网段，当成自己的内网私有地址在用。这在互联网内网搭建中很常见，属于一种非标准的内网地址规划方式，比如不少小型工厂、校园实验室的内网，都会这么操作。

      这就相当于，咱们在自己的“院子”里（单位内网），划了一块地，给它起了个名字（192.1.0.0/16），而这个名字，跟在外面的“马路”上（互联网）的名字一样。但咱们不管外面，只在自己院子里用这个名字，内部设备用这个网段的IP互相通信，就完全没问题。

 

 疑问1：为啥用了“美国公网网段”当内网，还能正常上外网？

关键就在于一个叫NAT（网络地址转换）的技术，简单说就是“地址伪装”，也是现在绝大多数内网设备能共享上网的核心原理，不管是家庭WiFi、企业内网，本质上都靠它。

 

      咱们举个真实案例：某小型制造企业，内网用192.1.0.0/16网段，内网有50台办公电脑，每台电脑的IP都是192.1.x.x（比如192.1.5.24）。这个企业只向运营商申请了1个公网IP（比如119.110.120.6），并在网关服务器上开启了IP转发功能，配置了iptables的SNAT转换规则。

 

      当内网员工用电脑（192.1.5.24）浏览网页、刷视频时，数据包会先发送到公司的网关（路由器/三层交换机）。网关就像一个“中转站”，会做一件关键操作：把数据包里的“源IP”（也就是192.1.5.24这个内网IP），替换成公司申请的公网IP（119.110.120.6），然后再发送到互联网上。

 

      互联网上的服务器（比如抖音、微信）收到数据包后，只会看到公网IP（119.110.120.6），并把响应数据返回给这个公网IP。网关收到响应数据后，再把公网IP替换回对应的内网IP（192.1.5.24），转发给对应的员工电脑，这样就完成了一次上网请求，员工就能正常刷小姐姐、用软件了。

 

      总结：内网设备的IP，只会在内部使用，一旦要出外网，就会被网关的NAT技术“伪装”成合法的公网IP，互联网上的设备根本看不到内网的网段IP，自然不会有冲突，也能正常上网。而且网关服务器还会维护一个地址映射表，准确区分不同内网设备的请求，不会搞混数据。

 

疑问2：上外网时，如果特意访问192.1.0.0/16这段的美国公网地址，会发生什么？

      答案很明确：百分之百访问失败，而且数据包根本不会出内网，更不会连接到美国的公网设备，常见的现象就是“无法访问此网站”“超时连接”，具体原因有两个，结合前面的案例说更易懂：

第一个原因：路由优先级的问题（最核心）。

      咱们企业、校园的网关（路由器）里，都会有一条“直连路由”，凡是属于192.1.0.0/16这个网段的地址，都属于内网的地址，不会走互联网出口（默认网关）。

      举个大白话例子：你在内网电脑上，特意输入192.1.1.8想访问，电脑会先告诉网关“我要找192.1.1.8”。网关一看这个IP开头是192.1.0.0/16这个网段的地址，会判定它是内网地址，直接就在内网里转发数据包，但咱们内网里根本没有这台设备，数据包转来转去找不到目标，最后就超时失败了，全程都没碰过互联网出口，自然到不了美国那边。

第二个原因：NAT转换的“筛选规则”。

      网关的NAT转换，不是所有数据包都能转的，它有个默认逻辑：只转换“内网IP访问外网非192.1.1.0/16网段IP”的数据包。要是内网IP访问的是192.1.1.0/16网段的IP，网关会直接判定这是内网内部的通信请求，不会触发NAT转换，也就不会把内网IP伪装成公网IP，数据包自然出不去外网。

 

      其实和咱们开头说的DNS问题一样，部署一台地址为192.1.255.22的内网DNS服务器，为什么可以识别到是内网的服务而不是采用美国已经使用的这个公网地址作为地址解析：因为这个DNS就会被判定为内网地址，网关不会把访问DNS的请求转发到外网，只会在内网里找这台DNS服务器。

 

最后给大家做个总结，一句话理清所有疑问，记这句话就够了：

1. 内网用公网网段当私有地址，能正常上外网，靠的是NAT地址转换（内网IP伪装成公网IP）；

2. 访问美国公网IP会失败，是因为路由优先找内网、不触发NAT转换，数据包出不去；

3. 192.1.255.22看似是美国DNS，实则被内网“圈走”，全程只在内网转发，和美国公网无关。

 

      另外提醒一句：这种非标准的内网地址规划（用公网网段当内网），存有小隐患——比如后续如果企业需要访问美国192.1.0.0/16网段的公网服务器（比如部分外贸企业、科研单位），就会出现访问失败的情况，需要额外配置静态路由规避冲突哦～

      所以建议规划时还是按规范进行，避免增加不必要的工作及运维难度。

阅读原文：https://mp.weixin.qq.com/s/8XuK8e_cmEIh2bM33-P7uQ