3. 网络层

　　网络层的主要协议有IP、ICMP、IGMP、ARP等；

　　IP地址分类：ABCDE ，根据32比特位的IP中网络号所占位数进行决定IP的类型

　　A：0 0000000 网络号| 00000000 00000000 00000000 00000000主机号

　　B：10 000000 00000000 网络号| 00000000 00000000 00000000主机号

　  C：110 00000 00000000  00000000 网络号|00000000 00000000主机号

　　D：1110 0000 00000000  00000000 00000000 00000000 以此类推 就可以分出IP的类别

　　ARP address resolution protocol 地址解析协议(主要用于解决局域网的IP与MAC地址映射)

　　分组转发算法：

　　　　1.从数据报文中取IP地址D,计算处其网络地址N

　　　　2.若N是与router 直接相连接的 网络地址，则直接交付，不需经过其它路由器而直接发送目的主机(包含了MAC地址与D转换)，否则间接交付数据报文并执行3

　　　　3.若路由表中包含目的地址为D的特定主机路由，则把数据报文转发给表中指明的下一跳路由并执行4

　　　　4.若路由表中有到达N的路由，则把数据报文转发给路由表中指定的下一跳路由，否则执行5

　　　　5.若路由表中 默认的路由，则把数据报文转发 给默认路由，否则执行6

　　　　6.报告分组 转发 出错

　　划分子网：<网络号：子网号：主机号> 子网号的比特位数决定了子网的个数的关系：2Bit位数减去2

　　虚拟专用网工作原理：

1. 通常情况下，VPN网关采取双网卡结构，外网卡使用公网IP接入Internet。

2. 网络一(假定为公网internet)的终端A访问网络二(假定为公司内网)的终端B，其发出的访问数据包的目标地址为终端B的内部IP地址。

3. 网络一的VPN网关在接收到终端A发出的访问数据包时对其目标地址进行检查，如果目标地址属于网络二的地址，则将该数据包进行封装，封装的方式根据所采用的VPN技术不同而不同，同时VPN网关会构造一个新VPN数据包，并将封装后的原数据包作为VPN数据包的负载，VPN数据包的目标地址为网络二的VPN网关的外部地址。

4. 网络一的VPN网关将VPN数据包发送到Internet，由于VPN数据包的目标地址是网络二的VPN网关的外部地址，所以该数据包将被Internet中的路由正确地发送到网络二的VPN网关。

5. 网络二的VPN网关对接收到的数据包进行检查，如果发现该数据包是从网络一的VPN网关发出的，即可判定该数据包为VPN数据包，并对该数据包进行解包处理。解包的过程主要是先将VPN数据包的包头剥离，再将数据包反向处理还原成原始的数据包。

6. 网络二的VPN网关将还原后的原始数据包发送至目标终端B，由于原始数据包的目标地址是终端B的IP，所以该数据包能够被正确地发送到终端B。在终端B看来，它收到的数据包就和从终端A直接发过来的一样。

7. 从终端B返回终端A的数据包处理过程和上述过程一样，这样两个网络内的终端就可以相互通讯了。

   　　NAT网络地址转换原理：局域网内的主机的IP为局域网IP不可访问外网，但是局域网中有可访问外网的IP地址， NAT地址转换的方式有：

   　　　　1.可访问外网的IP足够多的情况下，为局域网内的主机各分配一个可访问外网的IP

   　　　　2.可访问外网的IP不足够的情况下，动态IP分配方式，即为局域网内的要访问外网的主机动态分配可用的IP，当其不用时回收IP再分配给需要访外网的主机使用

   　　　　3.可访问外网的IP不足够的情况下，静态IP分配方式，即为某一组主机只分配某个固定可用的IP，其它分组则分配其它可用的IP