檢視緯育 2026-0313 的原始碼

== 虛擬區域網路 VLAN == 
本講座介紹了虛擬區域網路（VLAN）與子網路分割的核心概念。講師先說明本次主題重點：VLAN、子網路分割、網路遮罩與進位制轉換。接著，分析未使用VLAN的傳統區域網路（LAN）在頻寬浪費與安全性上的問題，並比較物理隔離（多台Switch）與邏輯隔離（VLAN）的優缺點。隨後，深入解釋VLAN的運作原理、跨交換器通訊的Trunk Port機制，以及802.1Q標籤在封包中的作用與結構。最後預告後續課程將涵蓋VLAN設定實務與子網路切割計算。
=== 課程內容綱要 ===
* 主要目標
** 介紹兩大核心內容：虛擬區域網路（VLAN）及其設定，以及子網路分割。
* 前置知識
** 在學習子網路分割前，必須先了解網路遮罩（Network Mask）。
** 在學習網路遮罩前，必須先了解進位制轉換，以便將二進位的網路遮罩（如/8代表8個1）轉換為人類可讀的十進位格式。
* 子網路分割的計算
** 學習如何將一個網段（如/24）分割成更小的網段（如/26）。
** 計算內容包含分割後有幾段、每一段的網路ID範圍等細節。
* 延伸主題（進階，有興趣可自行研究）
** 變動長度子網路遮罩 (VLSM)：允許將網路分割成大小不同的子網段，例如第一段16個IP，第二段32個，依此類推。
** 無類別域間路由 (CIDR)：路由器使用的技術，相關資料與範例已提供給學員。
=== 傳統LAN的問題與VLAN的引入 ===
* 傳統LAN的廣播問題（第2層）
** 在單一LAN（所有主機接在同一台Switch）中，存在多種廣播行為，造成頻寬浪費。
** Switch處理封包的行為：
    1. 單播（Unicast）* 目的地MAC已知：Switch將封包送到目標所在的特定Port。
    2. 單播（Unicast）* 目的地MAC未知：Switch會將封包泛洪（Flooding）到所有連接的Port（除了來源Port）。
    3. 廣播（Broadcast）* 目的地為FFFF.FFFF.FFFF：Switch會將封包傳送給所有連接的Port。
    4. 多播（Multicast）* 目的地MAC第一個bit為1：Switch同樣會將封包傳送給所有連接的Port。
** 這些廣播行為（如ARP、DHCP請求）會佔用網路頻寬，即使與主機無關仍會收到，導致實際可用效能下降（例如1G網路實際用不到1G）。
* 傳統LAN的安全性問題
** 部門間無隔離：所有設備接在同一Switch下，不同部門（如RD、會計、管理）可互相存取，若有設備中毒風險易擴散。
** 竊聽風險：重要伺服器（如機房VIP封包、Email伺服器）容易被辦公室其他電腦存取。
** 訪客/實驗網路風險：提供給客戶或訪客的免費網路（如7-11、麥當勞）若未與公司內部網路隔離，會造成嚴重安全漏洞。
=== 解決方案比較 ===
* 方法一：物理隔離（購買多台Switch）
** 作法：為每個需要隔離的部門或網路購買獨立的Switch。
** 優點：技術門檻低、易於理解與管理（可貼標籤區分）。
** 缺點：
** 設備成本高。
** Port容易浪費（例如11台電腦也需買24-Port的Switch）。
** 接線複雜、管理困難、修改架構麻煩（人員調動需重新拉線）。
** 接線錯誤可能導致網路異常或無法連線。
* 方法二：邏輯隔離（使用VLAN）
** 作法：在單一台支援VLAN的Switch上，以邏輯方式劃分多個虛擬LAN。
** 優點：
** 降低設備成本。
** Port使用更有效率。
** 接線簡單、易於管理。
** 架構修改方便，可遠端設定或僅更換Port插槽。
** 缺點：需要相關網路知識才能正確設定。
=== VLAN運作原理與通訊 ===
* VLAN基本概念
** 將一個實體LAN在邏輯上分割成多個獨立的LAN。
** 設定VLAN後，不同VLAN成員預設無法互通，猶如接在兩台未連接的獨立Switch。
** 每個VLAN都是獨立廣播域，一個VLAN內的廣播風暴不會影響其他VLAN。
* VLAN成員管理
** 加入或移除VLAN成員很簡單，只需將設備網路線插入對應VLAN的Port。
** 終端設備（如電腦、印表機）不需要也無法識別VLAN。
* 跨Switch的VLAN通訊
** 需求：當單一Switch的Port不足時，可在多台Switch上設定相同VLAN ID並互相溝通。
** 作法：使用一條網路線連接兩台Switch，並將連接的兩個Port設定為Trunk Port（Cisco術語，也稱Tag Port）。
** 原理：不同Switch上相同VLAN ID（如VLAN 10）的成員可互通，不同VLAN ID（如VLAN 10與VLAN 20）仍相互隔離。
* VLAN間通訊
** 需求：不同VLAN之間需要互通或連上網路。
** 作法：為每個VLAN設定對外閘道器（Gateway），並在閘道器（如路由器）上設定路由規則，允許不同VLAN網段間的流量轉發。
** 重點：VLAN間能否互通或上網由第3層的閘道器決定，與VLAN本身無關。
=== 802.1Q協定與封包結構 ===
* 用途
** 當封包需要跨越Switch的Trunk Port時，會在原始乙太網路框架（Frame）中插入一個802.1Q標籤（Tag），標示封包屬於哪個VLAN。
* 封包結構
** 802.1Q標籤是4-byte欄位，插入於來源MAC位址（SA）與類型（Type/Length）之間。
** TPID（Tag Protocol Identifier）：固定值0x8100，告知Switch此封包帶有VLAN標籤。僅支援VLAN的Switch能識別0x8100。
** PCP（Priority Code Point）：3位元，用於設定服務品質（QoS）優先權。
** DEI（Drop Eligible Indicator）：1位元，指示在網路壅塞時此封包可被優先丟棄。
** VLAN ID（VID）：12位元，最重要欄位，用於標示封包所屬VLAN，範圍0至4095，提供大量可用VLAN。
* Tagging流程
** 終端設備（如電腦A）發送的封包不帶Tag。
** 封包進入Access Port後，若需經由Trunk Port傳送到另一台Switch，Switch會加上對應的VLAN Tag。
** 封包到達目的Switch後，在送往終端設備（如電腦E）前，Switch會移除Tag，因終端設備無法識別帶Tag的封包。
[[檔案:2026-0313-07.png|800px]]
=== 802.1Q VLAN Tag 原理與識別 ===
* 802.1Q Tag的結構與插入位置
** 802.1Q tag，俗稱VLAN tag，是在既有的乙太網路框架（frame）中，於來源MAC位址與類型（Type）欄位之間插入的一個區塊。
** 它可以被識別的原因是，其協定ID（Protocol ID, PID）欄位使用了8100這個特定的十六進位值。
** 這個PID欄位與原本的Type欄位一樣都是2個位元組（bytes），因此支援802.1Q的交換器（switch）讀到8100時，便知道這是一個VLAN tag，並能接著解析後續的優先級（PCP）與VLAN ID（VID）資訊。
* 終端設備與VLAN Tag的相容性
** 一般的終端設備，如電腦、手機、印表機等，其網路卡理論上無法識別8100這個PID，因此看不懂VLAN tag。
** 之前有同學用Wireshark抓到含tag的封包，是因為Wireshark軟體看得懂，但作業系統層級的網路堆疊或硬體網卡本身通常不具備此功能，除非網卡有特別設定或驅動程式支援。
=== VLAN Tag 的使用情境與通訊原理 ===
* 單一交換器內通訊
** 當兩個端點設備連接在同一台交換器、同一個VLAN底下時，它們之間的通訊是標準的乙太網路封包，不需要VLAN tag。
** 如果這兩個端點分屬不同的VLAN，它們之間根本無法通訊，與tag無關。
* 跨交換器間同VLAN通訊
** 步驟 1 (傳送端): 當VLAN 1的設備要傳送封包到另一台交換器的VLAN 1時，封包會先送至Switch 1的Trunk Port。Switch 1識別到目的地在另一台交換器，便會為封包貼上對應的VLAN ID標籤。
** 步驟 2 (傳輸中): 帶有標籤的封包會從Switch 1的Trunk Port經由實體網路線，傳送到Switch 2的Trunk Port。在傳輸過程中，VLAN標籤會一直被保留。
** 步驟 3 (接收端): Switch 2從其Trunk Port收到帶有標籤的封包。交換器的中央處理器會讀取標籤上的VLAN ID，並在內部尋找對應的VLAN群組。
** 步驟 4 (轉發): 找到目標VLAN後，Switch 2會移除VLAN標籤，然後根據封包中的目的地MAC位址，將封包轉發到該VLAN內的正確連接埠。最終接收到封包的終端設備，收到的仍然是沒有tag的封包。
=== 可管理型交換器 (Managed Switch) 與連接埠類型 ===
* 可管理型交換器
** 能夠看懂並處理802.1Q tag的設備，通常是可管理型（Managed）或智慧型（Smart）交換器，在台灣常被稱為「網管型交換器」。
** 其功能包括：辨識VLAN、決定封包轉發路徑、決定何時加上或移除VLAN tag。
* Access Port (存取埠)
** 又稱為Untagged Port或Basics Port，用於連接終端設備（如電腦、印表機）。
** 封包離開此port時不會帶有VLAN tag。交換器會移除傳入的tag或為傳出的封包移除tag。
** 廠商用詞可能為「Access Mode」或「Access Link」。
* Trunk Port (主幹埠)
** 又稱為Tagged Port、802.1Q Port，或簡稱T Port，「Trunk」一詞源於思科（Cisco）。
** 功能是允許不同交換器上相同VLAN的封包進行傳輸。一般會將兩台交換器的Trunk Port以實體線路對接。
* Hybrid Port (混合埠)
** 同時具備Access Port與Trunk Port的特性。
** 若收到無標籤的封包，會將其送到預設VLAN；若收到有標籤的封包，則根據標籤送到指定VLAN。
* Tunnel Port (通道埠)
** 較少見，用於特殊場景如Q-in-Q，允許跨越廣域網路（如網際網路）連接地理位置不同但屬同一VLAN的網路，需與ISP協調。
=== VLAN 設定相關名詞與概念 ===
* VLAN的建立與命名
** 在設定介面中建立新VLAN，並設定VLAN ID（一個數字）。大多數設備有預設VLAN 1。
** 部分廠商允許為VLAN取描述性名稱，但此非802.1Q標準。
* VLAN 成員 (VLAN Member) 的劃分方式
** By Port (基於埠)：最基本且常見的方式，將交換器的特定port劃歸給一個VLAN，相對安全。
** By MAC Address (基於MAC位址)：將特定MAC位址劃歸給一個VLAN，設備不論插入哪個port都會自動歸屬，但可透過修改MAC位址破解。
** By IP Subnet (基於IP網段)：根據設備IP位址劃分VLAN，使用者若自行更改IP可能跳到不同VLAN，安全性較低。
** By Protocol (基於協定)：根據網路層協定（如IP、IPX）劃分，較少見。
* VLAN ID (VID)
** 指802.1Q標頭中那個12位元的識別碼數字，與建立的VLAN設定相對應。
* PVID (Port VLAN ID)
** 指以Port為基礎的VLAN ID，代表該port預設屬於哪個VLAN。
** 為避免混亂，強烈建議將VLAN ID、VID和PVID設定為同一個數字。
=== VLAN 實務應用案例 ===
* 案例一：單一交換器內的部門隔離
** 情境: 將不同部門（如辦公室、業務、會計）的網路完全隔離開。
** 作法: 在一台網管型交換器上建立多個VLAN，並將不同port群組分別指派給對應的VLAN。
** 結果: 各部門之間網路完全隔離，無法互通。
* 案例二：VLAN 網路擴充
** 情境: 原有交換器的連接埠不敷使用。
** 作法 (推薦): 添購新的網管型交換器，在新舊交換器上各設定一個Trunk Port並對接，即可讓兩台交換器上相同VLAN的設備互相通訊。
** 作法 (省錢): 將一台無VLAN功能的舊交換器，直接連接到主交換器上已劃分給某VLAN的Access Port，即可延伸該VLAN的連接埠。
* 案例三：部分互通與上網權限控制
** 情境: 複雜需求，如辦公室與業務部可互通並上網；會計與設計部獨立且不能上網；訪客可上網但不能存取內部網路。
** 作法: 需一台支援VLAN的路由器。在路由器上設定Inter-VLAN Routing（跨VLAN路由），針對不同VLAN設定允許/阻擋互通、允許/阻擋存取網際網路的規則。
* 案例四：在既有舊式網路中導入VLAN（低成本方案）
** 情境: 公司設備皆不支援VLAN，但希望實現網路控制。
** 作法: 添購一台具備VLAN功能的多功能路由器，將所有舊的普通Switch都連接到這台新設備下方。在新設備上將其LAN port指派給不同VLAN，並為各VLAN設定獨立的IP網段、閘道器及互通規則。
** 效能限制: 所有部門的流量都集中通過單一線路連到新路由器，易形成頻寬瓶頸，但對非高強度使用的公司是經濟實惠的方案。
[[檔案:2026-0320-07.png|800px]]
=== VLAN 基礎與 Layer 分類 ===
* VLAN 屬於 Layer 2 功能；Layer 3 為 IP 層設定，與本次交換器 VLAN 示範無關。介面常見 QoS、Security、ACL 等，但本次重點聚焦 VLAN。
* VLAN ID 與命名：以 VID（數字）為唯一識別，如 VLAN10 命名「Office」。部分介面限制文字輸入避免錯誤。
* 介面差異：
** 品牌 A：建立 VLAN 時可同頁同時選埠並指派 untagged 與 trunk。
** 品牌 B（台灣品牌 居易科技）：需先建立 VLAN「殼」，再到介面/埠頁面分派成員與屬性。
=== 不同廠牌交換器介面差異與操作流程 ===
* 廠牌介面與用詞差異大，無統一流程；實務上常需查手冊或聯繫客服。選購前確認功能與介面，網購可退貨但不宜濫用。
* 第一台 Switch（介面直覺、圖示清楚）：在 VLAN 建立畫面直接選擇埠、指定 untagged（接電腦）與 trunk（上行/穿標），一步完成並提供埠流量與連線資訊。
* 第二台 Switch（居易科技，穩定且用詞獨特）：內部以 Linux 為基礎，兩段式 VLAN 流程：
  1. VLAN Management → Create VLAN：建立 VLAN10、名稱 Office。
  2. Switch VLAN/Interface/Port Setting：分派成員與型態，1–7 設 access（untagged，PVID 鎖定），8 設 trunk（coming home）；若誤設，需回到編輯頁移除 access 指派並改為 trunk。Hybrid 埠允許調整 tagged/untagged。
* PoE 管理與其他功能：可逐埠開關 PoE、限速（如 10/100 Mbps）；非網管型交換器通常無逐埠限速。
* 介面導覽策略：優先尋找 VLAN Management、Switch VLAN；若不確定，逐項嘗試以找到 Create 與 Port 分派的正確路徑。
=== 內部網路設定（VLAN/LAN/DHCP/DNS/Gateway）與多設備互聯 ===
* 先完成內部（LAN/VLAN）設定，再進行外部上網配置。
* 建立 VLAN（例如 VLAN10「office」）、選擇對應實體埠（留意標示與實體排列可能不同；部分設備預設 Port 1 為 WAN）。
* 於 LAN/General 設定該 VLAN 子網（如 10.0.1.0/24，.1 為 Gateway），DHCP 發放範圍（100–199）、租約時間（如 120 分）、DNS 設定。
* 多品牌互聯偏好同品牌；異品牌需雙端一致配置 tag port/VLAN，設定工作量顯著增加。可向代理商申請樣機試用與技術支援。
=== 外部上網（WAN）設定與檢測 ===
* 在 WAN 介面選正確 WAN 埠，依 ISP（如中華電信）資料設定固定 IP、遮罩、Gateway，或使用 PPPoE 帳密撥接。一般進階選項可不動。
* 若內部 VLAN 正常但無法上網，查看狀態頁是否取得公有 IP並致電客服排除。
5. Wi-Fi 與附加功能
* USB 儲存分享：部分設備可插隨身碟形成簡易 NAS（硬碟/SSD可能受供電限制）。
* 行動備援與無線：部分設備可插 4G SIM 作備援；介面提供相關設定。
* 第二款設備（例：居易科技 28/29 系列）特色：
** 介面功能豐富、韌體更新頻繁、可提供最多三組 WAN、支援 SIP；價格約 5,000–6,000 元級距。
** VLAN 快速建立多組並與無線 SSID（SSID1–4）對應，可選擇是否使用 Tag；建立後可能需重開機。
** 為 LAN1–LAN4 分別設定網段、DHCP、Gateway/DNS；在互聯路由頁勾選 LAN 間互通（以路由轉送實現）。
** 無線設定包含工作模式、頻道（建議 Auto 或依現場干擾調整）、多組 SSID 對應不同 VLAN；可啟用「Isolate the member」隔離同 SSID 成員；安全性與密碼在 Security 分頁設定，亦支援 WPS/WDS。
=== 實務操作與學習節奏 ===
* 練習：在設備介面中多點選與模擬不同品牌設定，建立直覺與信心。
* 心法：確認實體埠排列與介面標註、注意設定分散在不同分頁、先抓核心需求（內部網、上網、VLAN/SSID 對應），再探附加功能。
* 課程安排：下次進行「業績輔導」，時長約 1–1.5 小時，必要時加開，採循序漸進以確保考試準備。
實作案例：VLAN10「辦公室」配置
* 目標：建立 VLAN10「Office」，Ports 1–4（或 1–7）為 access（untagged），8 為 trunk（上行/穿標）。
* 品牌 A 步驟：在 VLAN 建立畫面輸入 VLAN ID 10、名稱 Office，勾選埠、指定 untagged 與 trunk，按 Create/Apply 完成。
* 品牌 B 步驟：先 Create VLAN（僅建立殼），再到 Interface/Port Setting 將 1–7 設 access（untagged、PVID 鎖定），8 設 trunk（coming home）；若誤設需回到編輯修正。
選購、退貨與客服經驗
* 選購前確認設備是否具備所需 VLAN/網管功能與介面符合偏好；可向官方網站查詢代理商並申請樣機實測。網購雖可退貨，但有道德與包裝費考量。
* 台灣設備客服普遍願意協助，對舊機亦提供支援，必要時轉由資深同事處理；與部分大型軟體公司短期支援限制不同。
[[檔案:2026-0320-08.png|800px]]
== 子網路切割、VLSM、CIDR ==
本次系列課程詳細介紹了數字系統、進位制轉換、IP位址分配與網路分割等核心網路基礎概念。課程首先從數字系統的基礎知識講起，涵蓋十進制、二進制、八進制與十六進制，並透過範例詳細演示了不同進位制之間的轉換方法，強調了短除法和記憶2的次方值等計算訣竅。講師也介紹了如何利用Windows內建的小算盤等工具來輔助和驗證計算。<br><br>
接著，課程深入探討了網路管理中的實際問題，分析了在同一網段內使用私有IP所引發的頻寬佔用與安全性風險，並提出了虛擬區域網路（VLAN）和切割子網路（Subnetting）作為解決方案。課程的核心在於闡述網路遮罩（Netmask）的概念與應用，詳細拆解了電腦如何利用自身的IP位址、目標IP位址與子網路遮罩進行AND運算，以判斷封包應在網內傳送還是交由閘道器處理。此外，課程還介紹了網路遮罩的CIDR表示法，並透過實際案例計算出特定網段的網路位址、廣播位址與可用IP範圍，為後續講解VLSM（可變長度子網路遮罩）與CIDR（無類別區隔路由）等進階網路優化技術打下基礎。
=== 數字系統與進制介紹 ===
* 數字系統基礎
**所有數字系統的主要目的都是表示數量和進行計數。
**人類最早可能因為有十根手指而發展出十進制。
* 常見進制
**十進制 (Decimal)：基數為10，使用符號0-9，是日常生活中最常用的進制。
**六十進制 (Sexagesimal)：基數為60，應用於時間計算（時、分、秒）。
**二進制 (Binary)：基數為2，僅使用符號0和1，是電腦與數位訊號的基礎。英文縮寫為BIN。
**十六進制 (Hexadecimal)：基數為16，使用符號0-9及A-F（A=10, F=15）。常用於表示記憶體位置和色彩值，通常以0x前綴表示，如0xA8。英文縮寫為HEX。
**八進制 (Octal)：基數為8，使用符號0-7，在早期電腦系統中較為常用。英文縮寫為OCT。
=== 進位制轉換計算方法 ===
* 任意進制轉十進制
**方法：將數字的每一位，從右至左，分別乘以其基數的次方（從0次方開始遞增），然後將所有結果相加。
**範例 (二進制 10101000 轉十進制)：計算 (12^7) + (02^6) + (12^5) + (02^4) + (12^3) + (02^2) + (02^1) + (02^0)，即 128 + 32 + 8 = 168。
* 十進制轉任意進制
**方法：使用「短除法」，將十進制數值連續除以目標進制的基數，直到商數為0。將每次產生的餘數由下往上倒序排列，即為轉換結果。
**範例 (十進制 168 轉二進制)：連續除以2，將餘數倒序排列得到 10101000。
**範例 (十進制 168 轉十六進制)：168 ÷ 16 = 10 餘 8。因商數10小於16，除法結束。將結果 10 和 8 倒序排列並轉換為十六進制符號，得到 A8。
* 二進制、八進制與十六進制之間的快速轉換
**二進制轉十六進制：從右至左，將二進制數每「四位」一組進行分組，再分別轉換成對應的十六進制符號。訣竅是在每四位下標註8, 4, 2, 1輔助計算。
**二進制轉八進制：從右至左，將二進制數每「三位」一組進行分組，再分別轉換成對應的八進制數字。
**十六進制轉二進制：將每個十六進制符號獨立轉換為「四位」的二進制數。
**十六進制轉八進制：最快路徑是先轉為二進制，再將二進制數以三位一組轉換為八進制。
* 輔助工具
**Windows 小算盤：切換至「程式設計人員」模式，可快速在不同進位制（HEX, DEC, OCT, BIN）之間進行轉換與驗證。
**其他工具：如進位制對照表、手機App或專用計算機。講師建議在實務工作中使用工具以提高效率。
=== IP網路管理與安全性 ===
* 私有IP網路的問題
**頻寬使用率不佳：在同一大網段內，大量的ARP和DHCP廣播封包會形成廣播風暴，且所有流量集中於單一閘道器，導致網路效能下降。
**安全性風險：同一網段內的所有設備預設可以互相存取，封包容易被監控或側錄，增加資料外洩風險。
* 公有IP網路的風險
**將設備直接暴露於網際網路，容易成為駭客攻擊目標。駭客可透過IP掃描、埠號掃描及密碼猜測等自動化工具發動攻擊，植入惡意程式。
* 解決與防護方案
**虛擬區域網路 (VLAN)：邏輯上隔離不同部門或群組，阻斷廣播與非授權的內部互連。
**分割子網路 (Subnetting)：將一個大的IP網段分割成數個較小的子網路，分配給不同部門。
**防火牆與IDS/IPS：安裝防火牆是基本防護，可搭配入侵偵測/防禦系統來阻擋惡意攻擊。
**關閉不必要服務：減少系統被攻擊的曝險面積。
=== 網路遮罩 (Netmask) 與路由優化 ===
* 網路遮罩的核心作用
**也稱「子網路遮罩」或「掩碼」，是一串32位元的數字，由連續的1和連續的0組成。
**主要功能是幫助設備區分封包的目的地是位於「網內」（同一網段）還是「網外」（不同網段），從而決定封包的傳送路徑。
* CIDR表示法 (斜線表示法)
**使用斜線後接數字（如 /24）來表示遮罩中連續1的數量，這些1用於定義網路ID。
**範例：/24 代表前24位元為1，其十進位表示為 255.255.255.0。
* 同網段判斷原理
**電腦會將「本機IP」和「目的IP」分別與「本機的子網路遮罩」進行AND邏輯運算。
**結果相同：表示兩者在同一網段，封包會直接在區域網路內傳送（可能觸發ARP請求）。
**結果不同：表示兩者在不同網段，封包會被傳送至預設閘道器（Gateway）進行路由。
* 網路範圍計算
**透過IP位址與子網路遮罩，可以計算出一個網段的詳細資訊：
**網路位址 (Network Address)：主機ID部分全為0的位址，代表整個網段。
**廣播位址 (Broadcast Address)：主機ID部分全為1的位址，用於向網段內所有主機發送訊息。
**可用IP範圍：介於網路位址和廣播位址之間的IP，即為分段的IP去掉頭尾兩筆，就是該網斷最後得到的可用IP數量。
**範例 (10.1.4.2 / 255.255.252.0)：其網路位址為 10.1.4.0，廣播位址為 10.1.7.255，可用IP範圍為 10.1.4.1 至 10.1.7.254。
* IP位址優化技術
**變動長度子網路遮罩 (VLSM)：允許將一個大網段切割成大小不同的子網路，以更精確地滿足不同部門的需求，避免IP位址浪費。
**無類別區隔路由 (CIDR) / 路由聚合：將多個連續的子網路合併成一條路由紀錄（超網），大幅縮減路由表的規模，提升路由器的效能與網路穩定性。
[[檔案:2026-0331-06.png|800px]]