你家里的设备——电脑、手机、NAS、游戏机——能同时上网、互相访问，背后都离不开一个核心设备：路由器。
今天我们就从一张典型的小型网络拓扑图出发，像搭积木一样，逐步搞懂：IP地址、网关、DNS、端口映射、DMZ、主路由、旁路由、代理这些听着熟悉但未必清楚的网络概念。

一、先认识“主路由”：网络的交通总站

图中的 192.168.1.1 就是主路由。它有两个关键接口：

• WAN口：连接宽带（光猫/小区网线），获取公网IP（如 123.123.123.123），是家庭网络通往互联网的大门。
• LAN口：连接家里的所有设备，分配私有IP地址（如 192.168.1.x）。

IP地址（IPv4） 就像门牌号，用于在网络中唯一标识一台设备。
例如 192.168.1.5 就是电脑的门牌号。

二、网段 & 子网掩码：谁和谁住在一个小区？

在 192.168.1.x 这个范围里，所有设备都属于同一个网段。
子网掩码（如 255.255.255.0）告诉我们：

• 前三位数字（192.168.1）是网络号（小区名）
• 最后一位（x）是主机号（房号）

所以：

• 192.168.1.1 和 192.168.1.5 在同一个网段，可以直接通信。
• 如果一台设备是 192.168.2.5，就需要通过网关才能访问它们。

三、网关：出门的路口

网关 是设备访问“非本网段”时的出口。
比如电脑（192.168.1.5）想访问百度（110.242.68.66），它发现对方不在自己的网段内，就把数据交给网关。

在大多数家庭网络中，网关就是主路由（192.168.1.1）。
但在你的拓扑图中，电脑的网关被设置为 192.168.1.2（旁路由）——这就是网络代理的关键。

四、DNS：从网址到IP的翻译官

你输入 www.baidu.com，电脑不知道它的IP。
它会问DNS服务器（通常是主路由或公共DNS如 114.114.114.114）：
“百度的IP是多少？”
DNS回复：110.242.68.66，电脑才能建立连接。

五、端口映射 & DMZ：让外网访问你家设备

主路由默认阻止外网主动连接你家设备（安全考虑）。
但如果你想让外网访问家里的NAS（192.168.1.3）的相册服务（端口 5000），就需要：

• 端口映射：告诉主路由：“外网访问 123.123.123.123:5000 → 转发到 192.168.1.3:5000”
• DMZ主机：更粗暴，把某个设备的所有端口都暴露给外网（不安全，少用）。

六、主角登场：旁路由（192.168.1.2）

旁路由不是必须的，它是一个“辅助路由器”，不承担主路由的NAT和拨号工作。
它的网线也插在主路由的LAN口上，拥有自己的IP（192.168.1.2），自己的网关指向主路由（192.168.1.1）。

旁路由的作用：处理经过它的流量。

七、如何通过旁路由实现代理？

这是你拓扑图中的核心设计：

• 电脑 的网关 设为 192.168.1.2（旁路由）
• 旁路由 的网关 设为 192.168.1.1（主路由）

数据流向（电脑上网为例）：

1. 电脑发出请求 → 目标 8.8.8.8
2. 电脑发现目标不在本地网段 → 把数据交给自己的网关（旁路由）
3. 旁路由收到数据 → 根据规则判断是否需要代理

• 如果是需要代理的流量（如访问国外网站） → 通过代理软件（如OpenClash、PassWall）加密转发到代理服务器
• 如果不需要代理（如访问国内网站） → 直接转发给主路由（192.168.1.1）

1. 主路由 → 正常NAT转发 → 访问互联网
2. 返回数据原路返回：互联网 → 主路由 → 旁路由 → 电脑

为什么要这样设计？

• 主路由不做代理：不影响其他设备（如手机、智能电视），保持稳定
• 只有指定设备（电脑）走旁路由：灵活控制哪些设备“翻墙”
• 旁路由故障不影响其他设备：其他设备的网关仍是主路由

八、总结：一张图里的网络智慧

设备	IP地址	网关	角色
主路由	192.168.1.1	无	网络出口、DHCP、NAT
旁路由	192.168.1.2	192.168.1.1	代理网关
NAS	192.168.1.3	192.168.1.1	存储服务
电脑	192.168.1.5	192.168.1.2	用户设备，经过代理

通过合理设置网关，我们可以让流量绕道旁路由，在不改变主路由配置的前提下，实现透明代理、去广告、流量分析等高级功能。

这就是家庭网络中“轻量级软路由”的典型玩法——主路由负责稳定，旁路由负责功能。

动手尝试：只需一台刷了OpenWrt或iStoreOS的旧路由器/树莓派/虚拟机，按照图中的IP规划设置网关指向，就能玩转旁路由代理了。