意思就是印表機沒給虛擬IP啊，然後防火牆沒透通當然會這樣
原則上看圖就知道實體IP就是這麼浪費掉的，你內部的印表機給實體IP要幹嘛
給其他學校也能印過來 ??? 然後你內部的電腦給實體IP卻不是用 路由器的DHCP派發的，這也很怪，相信這台說是用實體啦，可是去外面絕對找不到，建議把環境單純化，該NAT就NAT，該PORT MAPING 就 PORT MAPING，建議多翻翻書，把IP省點用，外面現在要申請很困難的

窮嘶您好:
1.有再想宣導把非必要上網的都改虛擬ip，不過只要在router內同網段的虛擬ip還是可以互聯的到..也怕會電腦中毒攻擊同網段的設備(印表機亂印等等)
2.C電腦是我自己電腦，外網可連固定ip，多設一組虛擬ip(手動)是測試用
3.路由器DHCP應該只能發虛擬ip對吧??
1.有再想宣導把非必要上網的都改虛擬ip，不過只要在router內同網段的虛擬ip還是可以互聯的到..也怕會電腦中毒攻擊同網段的設備(印表機亂印等等)
2.C電腦是我自己電腦，外網可連固定ip，多設一組虛擬ip(手動)是測試用
3.路由器DHCP或DHCPserver應該只能發虛擬ip對吧??我查了DHCP可以設定一個網段虛擬ip配發..但可以做到哪個空間給A網段、哪個空間給B網段嗎..router 到各樓是走光纖到樓層switch，switch在走到各空間，動態分配虛擬ip，有可能同個空間配到不同網段
謝謝 這好像又是另一個問題..

DHCP 可以發 真實IP啊，也可以覆蓋真實IP，但只限於內部覆蓋，公眾網路還是以可以路由到的IP為準，就跟 DNS 一樣，你看MS不爽，你可用DNS覆蓋把MS所有的網站指向HINET，這樣你內部只要上MS就會跑到HINET，所以問題是，你的真實IP如果外面找不到，意義在哪，如果你設定真實IP的機器，路由根本進不來，你設定真實IP的機器在哪裡

接著 DMZ參考一下做法，假如你公眾網路找的到你的真實IP的印表機，你前面沒有防火牆，你認為你的印表機不可能遭受攻擊 ?
還有6850只是交換器吧，沒有簡易防火牆功能，你把一台需要真實IP的印表機放內部，根本做不了NAT 或是 PORTMAPPING，這樣，這台印表機外面根本連不到，這各設定根本白設，既然無法NAT 跟 PORTMAPPING
你內部怎麼找的到設定的真實IP 呢，因為虛擬跟真實根本不同網段
同理，你的桌機也是一樣的狀況

要防外部網路攻擊要看防火牆的能力，要防內部攻擊，要看你們交換器的能力，看起來，等級都很低，應該只有基本的ARP 廣播封鎖而已，如果你們每各網段都有路由器或高階點的防火牆，那麼才有可能把攻擊封鎖在各自的網段內，避免攻擊擴散

你的問題 3 我之前用的是思科的設備，是可以配發實體IP的，因為我搞過，只是後來根本沒用那麼多，又被攻擊，所以就放棄人人用實體IP上網了，還有DHCP 可以配發多個網段，他可以設定作用在哪一張 NIC 上面，假如你有10個網段要配發，那麼你要有 10張NIC 去接到每各要配發的實體交換機，接著DHCP 配置的網段要設定好要在哪一張NIC發布，而且每個不同的網段要有一台路由器連接，DHCP跟交換器 是沒有路由協定的，要多網段路由，你要上路由協定，設定好路由表，這樣所有的網段才會通