这一次来谈谈网关是什么。
从一个房间走到另一个房间，必然要经过一扇门。同样，从一个网络向另一个网络发送信息，也必须经过一道“关口”，这道关口就是网关。

　　什么是网关


　　顾名思义，网关（Gateway）就是一个网络连接到另一个网络的“关口”。

　　按照不同的分类标准，网关也有很多种。TCP/IP协议里的网关是最常用的，在这里我们所讲的“网关”均指TCP/IP协议下的网关。

　　那么网关到底是什么呢？网关实质上是一个网络通向其他网络的IP地址。比如有网络A和网络B，网络A的IP地址范围为“192.168.1.1~192. 168.1.254”，子网掩码为255.255.255.0；网络B的IP地址范围为“192.168.2.1~192.168.2.254”，子网掩码为255.255.255.0。在没有路由器的情况下，两个网络之间是不能进行TCP/IP通信的，即使是两个网络连接在同一台交换机（或集线器）上，TCP/IP协议也会根据子网掩码（255.255.255.0）判定两个网络中的主机处在不同的网络里。而要实现这两个网络之间的通信，则必须通过网关。如果网络A中的主机发现数据包的目的主机不在本地网络中，就把数据包转发给它自己的网关，再由网关转发给网络B的网关，网络B的网关再转发给网络B的某个主机（如附图所示）。网络B向网络A转发数据包的过程也是如此。

所以说，只有设置好网关的IP地址，TCP/IP协议才能实现不同网络之间的相互通信。那么这个IP地址是哪台机器的IP地址呢？网关的IP地址是具有路由功能的设备的IP地址，具有路由功能的设备有路由器、启用了路由协议的服务器（实质上相当于一台路由器）、代理服务器（也相当于一台路由器）。


　　什么是默认网关


　　如果搞清了什么是网关，默认网关也就好理解了。就好像一个房间可以有多扇门一样，一台主机可以有多个网关。默认网关的意思是一台主机如果找不到可用的网关，就把数据包发给默认指定的网关，由这个网关来处理数据包。现在主机使用的网关，一般指的是默认网关。
　　如何设置默认网关


　　一台电脑的默认网关是不可以随随便便指定的，必须正确地指定，否则一台电脑就会将数据包发给不是网关的电脑，从而无法与其他网络的电脑通信。默认网关的设定有手动设置和自动设置两种方式。

　　1. 手动设置

　　手动设置适用于电脑数量比较少、TCP/IP参数基本不变的情况，比如只有几台到十几台电脑。因为这种方法需要在联入网络的每台电脑上设置“默认网关”，非常费劲，一旦因为迁移等原因导致必须修改默认网关的IP地址，就会给网管带来很xxx烦，所以不推荐使用。

　　在Windows 9x中，设置默认网关的方法是在“网上邻居”上右击，在弹出的菜单中点击“属性”，在网络属性对话框中选择“TCP/IP协议”，点击“属性”，在“默认网关”选项卡中填写新的默认网关的IP地址就可以了。

　　需要特别注意的是：默认网关必须是电脑自己所在的网段中的IP地址，而不能填写其他网段中的IP地址。

　　2. 自动设置

　　自动设置就是利用DHCP服务器来自动给网络中的电脑分配IP地址、子网掩码和默认网关。这样做的好处是一旦网络的默认网关发生了变化时，只要更改了DHCP服务器中默认网关的设置，那么网络中所有的电脑均获得了新的默认网关的IP地址。这种方法适用于网络规模较大、TCP/IP参数有可能变动的网络。

　　另外一种自动获得网关的办法是通过安装代理服务器软件（如MS Proxy）的客户端程序来自动获得，其原理和方法和DHCP有相似之处。

实验设计
　　
　　　　我们通过设计一个简单的实验来帮助学员更深入直观地理解上述三个知识点所涉及的基本概念与原理。在实验中，我们利用ping命令来检验主机间能否进行正常的双向通信。在"ping"的过程中，源主机向目标主机发送ICMP的Echo Request报文，目标主机收到后，向源主机发回ICMP的Echo Reply报文，从而可以验证源与目标主机能否进行正确的双向通信。
　　
　　实验的拓扑结构： 如图（1）所示。

A与B为实验用的PC机，使用Windows2000Professional作操作系统。　
　　
　　实验方案：
　　
　　　　步骤1：
　　
　　　　设置两台主机的IP地址与子网掩码：
　　　　A: 10.2.2.2 255.255.254.0
　　　　B: 10.2.3.3 255.255.254.0
　　　　两台主机均不设置缺省网关。
　　
　　　　用arp -d命令xx两台主机上的ARP表，然后在A与B上分别用ping命令与对方通信，在A与B上分别显示，
　　　　A: Reply from 10.2.3.3: bytes=32 time<10ms TTL=128
　　　　B: Reply from 10.2.2.2: bytes=32 time<10ms TTL=128
　　用arp -a命令可以在两台PC上分别看到对方的MAC地址。
　　
　　　　分析：由于主机将各自通信目标的IP地址与自己的子网掩码相"与"后，发现目标主机与自己均位于同一网段（10.2.2.0），因此通过ARP协议获得对方的MAC地址，从而实现在同一网段内网络设备间的双向通信。
　　
　　　　步骤2：
　　
　　　　将A的子网掩码改为：255.255.255.0，其他设置保持不变。
　　
　　　　操作1：用arp -d命令xx两台主机上的ARP表，然后在A上"ping"B，在A上显示结果为：Destination host unreachable
　　
　　　　用arp -a命令在两台PC上均不能看到对方的MAC地址。
　　
　　　　分析1：A将目标设备的IP地址（10.2.3.3）和自己的子网掩码（255.255.255.0）相"与"得10.2.3.0，和自己不在同一网段（A所在网段为：10.2.2.0），则A必须将该IP分组首先发向缺省网关。由于A的缺省网关没有配置，无法对分组进行正确发送，因此显示"目标主机不可到达"。
　　
　　　　操作2：接着在B上"ping"A，在B上显示结果为：
　　
　　　　 Request timed out
　　
　　　　 此时用arp -a命令可以在两台PC上分别看到对方的MAC地址。
　　
　　　　 分析2：B将目标设备的IP地址（10.2.2.2）和自己的子网掩码（255.255.254.0）相"与"，发现目标主机与自己均位于同一网段（10.2.2.0），因此，B通过ARP协议获得A的MAC地址，并可以正确地向A发送Echo Request报文。但由于A不能向B正确地发回Echo Reply报文（原因见分析1），故B上显示ping的结果为"请求超时"。在该实验操作中，通过观察A与B的ARP表的变化，可以验证：在一次ARP的请求与响应过程中，通信双方就可以获知对方的MAC地址与IP地址的对应关系，并保存在各自的ARP表中。
　　
　　　　 步骤3：
　　
　　　　 在前面实验的基础上，把A的缺省网关设为：10.2.2.1，网关的子网掩码为：255.255.0.0。
　　　　 在A与B上分别用ping命令与对方通信，各自的显示结果为：
　　
　　　　　　 A: Reply from 10.2.3.3: bytes=32 time<10ms TTL=128
　　　　　　 B: Reply from 10.2.2.2: bytes=32 time<10ms TTL=127
　　
　　　　 在A与B上分别用tracert命令追踪数据的传输路径，结果分别为：
　　
　　　　 A: tracert 10.2.3.3
　　
　　　　 Tracing route to 10.2.3.3 over a maximum of 30 hops:
　　　　 　　 1 <10 ms <10 ms <10 ms 10.2.2.1
　　　　 　　 2 <10 ms <10 ms <10 ms 10.2.3.3
　　　　 Trace complete.
　　
　　　　 B: tracert 10.2.2.2
　　
　　　　 Tracing route to 10.2.2.2 over a maximum of 30 hops:
　　　　 　　 1 <10 ms <10 ms <10 ms 10.2.2.2
　　　　 Trace complete.
　　
　　　　分析：如步骤2中的分析，由于A认为B与其不在同一个网段，故从A发向B的报文需要经过网关转发；而B认为A与其在同一个网段，故B不需要经过网关直接向A发送报文，从而可以观察到A与B双向通信时传输路径的不对称性。由于ping命令结果显示的是从目标主机返回的Echo Reply报文的TTL的值，而B收到从A返回的Echo Reply报文经过了网关的转发，所以在B中显示该IP报文的TTL值降为了127（从A发出的IP分组的TTL的初始值为128，每经过一个网关，TTL值减1）。
　　
　　　　步骤４：
　　
　　　　用arp -d命令xxA中的ARP表，在A上ping一台外网段的主机，如中大的WWW （202.116.64.8），再用arp -a可观察到A的ARP表中只有缺省网关的MAC地址信息。
　　
　　　　分析：当源主机要和外网段的主机进行通信时，它并不需要获取远程主机的MAC地址，而是把IP分组发向缺省网关，由网关IP分组的完成转发过程。如果源主机没有缺省网关MAC地址的缓存记录，则它会通过ARP协议获取网关的MAC地址，因此在A的ARP表中只观察到网关的MAC地址记录，而观察不到远程主机的MAC地址。