自己在宿舍台式机上部署了一些服务，台式机接在自己的路由器下并设置了端口转发，路由器接宿舍有线网。

现在的问题是，当使用有公网ip的设备访问该服务http://10.129.*.*:port正常；另一栋宿舍楼的同学电脑直接通过有线网接入，也是10.129.*.*的ip，但没法访问该服务；当他切换成PKU无线网又能够访问了。

按我的理解，宿舍有线网应该都是在同一个10.129网段下，应该不会出现这个问题才对（之前用FTP时也有同样的问题）。如果是NAT的问题，那为什么同样是10网段的PKU又能访问呢？

逻辑貌似是：同网段不能相互访问（指的是以子网掩码划分的网段），非同网段可以相互访问。不知道为什么要这样设计

JimmyChan (用户名极难填) 在 ta 的帖子中提到：

自己在宿舍台式机上部署了一些服务，台式机接在自己的路由器下并设置了端口转发，路由器接宿舍有线网。

现在的问题是，当使用有公网ip的设备访问该服务http://10.129.*.*:port正常；另一栋宿舍楼的同学电脑直接通过有线网接入，也是10.129.*.*的ip，但没法访问该服务；当他切换成PKU无线网又能够访问了。

按我的理解，宿舍有线网应该都是在同一个10.129网段下，应该不会出现这个问题才对（之前用FTP时也有同样的问题）。如果是NAT的问题，那为什么同样是10网段的PKU又能访问呢？

着实让人摸不着头脑

Xymmh (Xymmh) 在 ta 的帖子中提到：

逻辑貌似是：同网段不能相互访问（指的是以子网掩码划分的网段），非同网段可以相互访问。不知道为什么要这样设计

请站内提供具体的IP地址让技术老师查一下原因。

JimmyChan (用户名极难填) 在 ta 的帖子中提到：

自己在宿舍台式机上部署了一些服务，台式机接在自己的路由器下并设置了端口转发，路由器接宿舍有线网。

现在的问题是，当使用有公网ip的设备访问该服务http://10.129.*.*:port正常；另一栋宿舍楼的同学电脑直接通过有线网接入，也是10.129.*.*的ip，但没法访问该服务；当他切换成PKU无线网又能够访问了。

按我的理解，宿舍有线网应该都是在同一个10.129网段下，应该不会出现这个问题才对（之前用FTP时也有同样的问题）。如果是NAT的问题，那为什么同样是10网段的PKU又能访问呢？

虽然我是隔壁的，不过我们校园网有一样的“同网段不能相互访问”的设计，这个称作二层隔离，本身是为了安全性，因为同一个网段的机器可能有几千上万台（16位或17位掩码），如果不隔离的话随便发个 ARP 包都可能出现 ARP 洪水攻击的效果。隔离后的效果是同网段机器 Ping 不通，找不到目标主机，这属于 feature 而非 BUG。如果贵校也有一样的安全策略，那么有如下解决办法：

对于特定的两台想互通的同网段机器，解决办法是手动加上路由，比如对于网段 10.129.0.0/16，有 A 10.129.20.24 和  B 10.129.6.15，两台机器可以从网络配置看到网关，比方说 10.129.0.1，那么 A 需要手动加上路由到 10.129.6.15 需要走10.129.0.1，B也需要手动加上路由到 10.129.20.24 需要走10.129.0.1。

例如对 A 来说，Windows 上配置 route add 10.129.6.15 mask 255.255.0.0 10.129.0.1，Linux 上配置 ip route add 10.129.6.15 via 10.129.0.1 。

只有A和B都完成类似这样的配置后才能互通。

JimmyChan (用户名极难填) 在 ta 的帖子中提到：

自己在宿舍台式机上部署了一些服务，台式机接在自己的路由器下并设置了端口转发，路由器接宿舍有线网。

现在的问题是，当使用有公网ip的设备访问该服务http://10.129.*.*:port正常；另一栋宿舍楼的同学电脑直接通过有线网接入，也是10.129.*.*的ip，但没法访问该服务；当他切换成PKU无线网又能够访问了。

按我的理解，宿舍有线网应该都是在同一个10.129网段下，应该不会出现这个问题才对（之前用FTP时也有同样的问题）。如果是NAT的问题，那为什么同样是10网段的PKU又能访问呢？

学到了，原来还有这样的方法。

校园网实际上是分成了10.129.96.0/19、10.129.192.0/19、10.129.224.0/20等网段，它们的前两段都是10.129，容易让人感到困惑

holderoberts (HolderRoberts) 在 ta 的帖子中提到：

虽然我是隔壁的，不过我们校园网有一样的“同网段不能相互访问”的设计，这个称作二层隔离，本身是为了安全性，因为同一个网段的机器可能有几千上万台（16位或17位掩码），如果不隔离的话随便发个 ARP 包都可能出现 ARP 洪水攻击的效果。隔离后的效果是同网段机器 Ping 不通，找不到目标主机，这属于 feature 而非 BUG。如果贵校也有一样的安全策略，那么有如下解决办法：

对于特定的两台想互通的同网段机器，解决办法是手动加上路由，比如对于网段 10.129.0.0/16，有 A 10.129.20.24 和  B 10.129.6.15，两台机器可以从网络配置看到网关，比方说 10.129.0.1，那么 A 需要手动加上路由到 10.129.6.15 需要走10.129.0.1，B也需要手动加上路由到 10.129.20.24 需要走10.129.0.1。

例如对 A 来说，Windows 上配置 route add 10.129.6.15 mask 255.255.0.0 10.129.0.1，Linux 上配置 ip route add 10.129.6.15 via 10.129.0.1 。

……

学到了，原来是这样。不过我同一个宿舍的另一位同学使用有线网却能访问，他和前一位同学的ip网段倒是一样的。

这个同学的设备是和我一样在路由器后的，不知道这是否会有影响？

holderoberts (HolderRoberts) 在 ta 的帖子中提到：

虽然我是隔壁的，不过我们校园网有一样的“同网段不能相互访问”的设计，这个称作二层隔离，本身是为了安全性，因为同一个网段的机器可能有几千上万台（16位或17位掩码），如果不隔离的话随便发个 ARP 包都可能出现 ARP 洪水攻击的效果。隔离后的效果是同网段机器 Ping 不通，找不到目标主机，这属于 feature 而非 BUG。如果贵校也有一样的安全策略，那么有如下解决办法：

对于特定的两台想互通的同网段机器，解决办法是手动加上路由，比如对于网段 10.129.0.0/16，有 A 10.129.20.24 和  B 10.129.6.15，两台机器可以从网络配置看到网关，比方说 10.129.0.1，那么 A 需要手动加上路由到 10.129.6.15 需要走10.129.0.1，B也需要手动加上路由到 10.129.20.24 需要走10.129.0.1。

例如对 A 来说，Windows 上配置 route add 10.129.6.15 mask 255.255.0.0 10.129.0.1，Linux 上配置 ip route add 10.129.6.15 via 10.129.0.1 。

……

两边都关了防火墙也不行

JimmyChan (用户名极难填) 在 ta 的帖子中提到：

自己在宿舍台式机上部署了一些服务，台式机接在自己的路由器下并设置了端口转发，路由器接宿舍有线网。

现在的问题是，当使用有公网ip的设备访问该服务http://10.129.*.*:port正常；另一栋宿舍楼的同学电脑直接通过有线网接入，也是10.129.*.*的ip，但没法访问该服务；当他切换成PKU无线网又能够访问了。

按我的理解，宿舍有线网应该都是在同一个10.129网段下，应该不会出现这个问题才对（之前用FTP时也有同样的问题）。如果是NAT的问题，那为什么同样是10网段的PKU又能访问呢？