适用对象:网络通信初学者、终端调试人员、嵌入式设备和 GNSS 设备开发人员
讨论范围:以常见的以太网和 IPv4 企业网络为主
1. 一台设备能够访问业务,需要哪些条件
设备能够访问某个网络服务,通常需要以下环节同时正常:
可以先用下面的类比理解:
| 网络概念 | 通俗理解 |
|---|---|
| 网口 | 设备连接网络的出入口 |
| MAC 地址 | 网络接口在当前链路上的二层标识 |
| IP 地址 | 网络接口在 IP 网络中的地址 |
| 子网掩码/前缀长度 | 判断哪些地址属于直连子网 |
| 路由表 | 决定数据从哪个接口、交给哪个下一跳 |
| 默认网关 | 没有更具体路由时使用的下一跳 |
| DNS | 把域名解析为 IP 地址 |
| VLAN、NAC、防火墙 | 网络分区、准入控制和访问控制 |
| 目标服务 | 最终提供业务的服务器程序 |
因此:
网线插好、网口灯亮,只能说明物理链路可能已经建立,不能证明 IP、路由、准入策略和目标服务一定正常。
2. “网口”可能指什么
日常所说的“网口”通常有两种含义。
2.1 终端设备上的网络接口
例如:
- 台式机主板上的 RJ45 网口;
- 笔记本扩展坞的有线网口;
- USB 转以太网适配器;
- GNSS 接收机上的
ETH0、ETH1; - Linux 中的
eth0、enp3s0; - Windows 中的“以太网”“以太网 2”。
一个网络接口通常具有:
- 接口名称和工作状态;
- 一个链路层地址,例如 MAC;
- 一个或多个 IP 地址;
- 与该接口相关的路由;
- 可能由该接口获得的 DNS 配置。
需要注意:
DNS 既可能按接口获取,也可能由操作系统统一管理,不能简单理解为“DNS 永远属于某一个网口”。
2.2 交换机或墙面上的接入口
例如:
交换机 Gi0/1
交换机 Gi0/2
墙面信息点 A-01
不同接入口可能配置不同的:
- VLAN;
- 802.1X 认证策略;
- MAC 地址限制;
- NAC 网络准入策略;
- ACL 访问控制规则;
- 速率和双工参数;
- 启用或关闭状态。
因此,遇到“换一个网口就不通”时,首先要确认:
换的是终端自身的网卡,
还是交换机侧的接入口?
3. MAC 地址是什么
MAC 地址是以太网和 Wi-Fi 等链路中使用的二层地址。
常见 48 位 MAC 地址写法为:
00:1A:2B:3C:4D:5E
或:
00-1A-2B-3C-4D-5E
其中:
- 48 位等于 6 字节;
- 每两个十六进制字符表示 1 字节。
3.1 MAC 地址属于网络接口
更准确地说:
MAC 地址通常属于某个物理或虚拟网络接口,而不是笼统地属于整台电脑。
例如:
| 网络接口 | 示例 MAC 地址 |
|---|---|
| 主板有线网卡 | 00:11:22:33:44:55 |
| USB 转网口 | 00:AA:BB:CC:DD:EE |
| Wi-Fi 网卡 | 10:20:30:40:50:60 |
| 虚拟机虚拟网卡 | 02:42:AC:11:00:02 |
换用另一块网卡后,即使仍是同一台电脑,交换机或准入系统看到的 MAC 地址也可能改变。
Wi-Fi 设备还可能使用随机化或私有 MAC,因此同一设备连接不同无线网络时,MAC 也可能不同。
3.2 MAC 地址主要在哪个范围内使用
MAC 地址主要用于同一个二层广播域内的帧转发。
一个 VLAN 通常对应一个独立的二层广播域。交换机通过学习收到帧的源 MAC,建立类似记录:
MAC 00:11:22:33:44:55 → 交换机端口 Gi0/1
以后收到目标 MAC 为该地址的帧时,交换机可以把帧转发到对应端口。
3.3 MAC 不是可靠的强身份凭据
很多操作系统允许修改或随机化 MAC 地址。
因此:
- MAC 可以作为接入识别条件;
- 仅依靠 MAC 不能完成强身份认证;
- 企业网络常结合用户账号、终端证书、交换机端口和安全客户端判断终端身份。
4. IP 地址是什么
IP 地址用于网络层寻址。
IPv4 地址常写成:
192.168.10.25
它表示该网络接口当前在 IPv4 网络中使用的地址。
| 对比项 | MAC 地址 | IP 地址 |
|---|---|---|
| 所属层次 | 数据链路层 | 网络层 |
| 主要用途 | 当前链路上的帧交付 | 跨网络寻址和路由 |
| 常见格式 | 00:11:22:33:44:55 | 192.168.10.25 |
| 是否通常随网络变化 | 较稳定,但可修改或随机化 | 经常随接入网络变化 |
| 经过路由器后 | 二层帧重新封装,MAC 逐跳变化 | IP 通常保持不变,NAT 等情况除外 |
可以简化为:
MAC:当前这一跳把帧交给谁
IP:IP数据包最终要去哪里
5. 网口、MAC 和 IP 的关系
三者是不同层次的概念:
一个接口的典型配置可能是:
接口名称:eth0
MAC地址:00:11:22:33:44:55
IPv4地址:192.168.10.25/24
默认网关:192.168.10.1
DNS服务器:192.168.10.2
需要注意:
- 一个接口可以配置多个 IP;
- 一台设备可以同时使用多个接口;
- 同一子网中的普通单播 IPv4 地址通常必须唯一;
- 换网卡后,MAC 和接口上的静态配置可能同时变化;
- 两个外观相同的交换机端口可能属于不同 VLAN。
6. MAC 与 IP 怎样配合
6.1 访问同一链路上的 IPv4 设备
假设:
设备A
IP:192.168.10.25
MAC:AA:AA:AA:AA:AA:AA
设备B
IP:192.168.10.30
MAC:BB:BB:BB:BB:BB:BB
如果设备 A 根据路由表判断设备 B 位于本地直连链路,并且邻居缓存中没有对应记录,A 通常使用 ARP 查询:
谁拥有 192.168.10.30?
设备 B 返回自己的 MAC 后,设备 A 可以发送:
以太网目标MAC:BB:BB:BB:BB:BB:BB
IP目标地址:192.168.10.30
ARP 可以概括为:
已知本地链路上的IPv4地址
→ 查询对应的链路层地址
IPv6 不使用 ARP,而使用邻居发现协议 NDP。本文后续仍以 IPv4 为主。
6.2 访问其他网络
如果目标不属于本地直连网络,主机会查询路由表。
若匹配到一条经网关转发的路由,则发送时:
以太网目标MAC:下一跳网关的MAC
IP目标地址:远端服务器的IP
如果没有更具体的路由,才可能使用默认路由。
因此:
- IP 地址描述网络层的源和目标;
- MAC 地址完成当前链路上的下一跳交付;
- 数据每经过一个路由器,二层帧通常都会重新封装。
7. IP、子网掩码、默认网关和 DNS
7.1 IP 地址
例如:
192.168.10.25
如果两台设备错误地使用相同的普通单播 IPv4 地址,可能出现:
- ARP 记录反复变化;
- 网络时通时断;
- 数据发往错误设备;
- 操作系统提示地址冲突。
7.2 子网掩码和前缀长度
例如:
IP地址:192.168.10.25
子网掩码:255.255.255.0
也可以写成:
192.168.10.25/24
其中 /24 表示网络前缀占 24 位。
IPv4 网络地址可表示为:
N = A AND M \mathbf N = \mathbf A \operatorname{AND} \mathbf M N=AANDM
其中:
- N \mathbf N N:网络地址;
- A \mathbf A A:IPv4 地址的 32 位二进制表示;
- M \mathbf M M:子网掩码的 32 位二进制表示;
- AND \operatorname{AND} AND:逐位逻辑与。
本例中:
IP地址: 192.168.10.25
子网掩码:255.255.255.0
网络地址:192.168.10.0
对于该 /24 子网:
网络地址:192.168.10.0
广播地址:192.168.10.255
常规主机地址:192.168.10.1 ~ 192.168.10.254
这一范围只适用于该示例,不能直接套用于 /31、/32 等特殊前缀。
子网掩码错误时,主机可能:
- 把远端目标误认为本地目标,不断发送 ARP;
- 把本地目标误认为远端目标,错误地交给网关;
- 出现部分地址可达、部分地址不可达。
7.3 默认网关
默认网关通常是默认路由使用的下一跳,例如:
192.168.10.1
更准确地说:
操作系统按最长前缀匹配选择路由;只有没有更具体路由时,才使用默认路由。
常见情况:
访问直连网络
→ 直接交付
存在更具体的静态路由
→ 按该路由转发
没有更具体路由
→ 使用默认路由和默认网关
如果缺少正确的默认路由,常见现象是:
能访问本地子网
不能访问其他网段
7.4 DNS
DNS 把域名解析成 IP 地址,例如:
server.example.com
→
192.0.2.10
DNS 配置错误时,可能出现:
直接访问IP正常
使用域名失败
但 DNS 不负责:
- 建立物理链路;
- 划分 VLAN;
- 选择路由;
- 放行防火墙;
- 启动目标服务。
直接使用 IP 通信时,也不一定需要 DNS。
8. “绑定 MAC”可能表示什么
“绑定”不是一个单一协议,必须结合具体设备和策略理解。
8.1 接口本身使用一个 MAC
eth0 → 00:11:22:33:44:55
eth1 → 00:AA:BB:CC:DD:EE
这是接口的正常属性,不代表存在访问限制。
8.2 交换机端口安全
交换机可以限制某个端口允许出现的 MAC,例如:
Gi0/1 只允许指定MAC接入
根据设备和配置,违规后可能:
- 丢弃违规帧;
- 记录日志;
- 限制端口;
- 在部分设备上将端口置为错误关闭状态。
常见方式包括:
- 静态安全 MAC;
- 动态安全 MAC;
- Sticky MAC;
- Port Security。
这类行为取决于厂商和具体违规模式,不能一概而论。
8.3 DHCP 地址保留
DHCP 服务器可以为某个客户端保留固定地址:
指定客户端
→ DHCP分配192.168.10.25
服务器可能依据:
- MAC 地址;
- DHCP Client Identifier;
- 中继代理信息;
- 其他管理标识。
DHCP 地址保留只决定“分配哪个地址”,不等于交换机端口只允许该 MAC,也不必然阻止终端手工配置其他地址。
8.4 DHCP Snooping 与动态 ARP 检测
交换机可通过 DHCP Snooping 建立可信绑定表,例如:
IP
MAC
VLAN
接入端口
租约
动态 ARP 检测可以利用该绑定表检查不可信端口收到的 ARP 报文,阻止部分地址冒用行为。
因此:
DHCP地址保留
→ 地址分配策略
DHCP Snooping/DAI
→ 报文和接入关系检查
两者不是同一功能。
8.5 NAC 网络准入
NAC 可能综合判断:
- 用户账号;
- 终端 MAC 和 IP;
- 终端证书;
- 交换机和接入端口;
- VLAN;
- 安全客户端状态;
- 补丁、防病毒和安全基线。
检查失败后,终端可能:
- 被拒绝接入;
- 被分配到隔离 VLAN;
- 只能访问认证或修复服务器;
- 无法访问敏感业务资源。
9. 为什么原网口能通,换一个就不通
需要区分两种情况。
9.1 换了终端自身的网卡
例如从主板网卡换成 USB 转网口。
MAC 地址改变
可能导致:
- DHCP 地址保留不再匹配;
- NAC 未登记新接口;
- IP、MAC、证书或终端关系不匹配;
- 白名单中没有新 MAC。
接口配置没有迁移
静态配置通常属于具体接口。
原接口可能配置:
IP:192.168.10.25/24
网关:192.168.10.1
DNS:192.168.10.2
新接口可能仍是:
自动获取地址
没有预期的静态路由
使用了不同DNS
路由选择改变
多网卡设备可能同时有:
- 有线网卡;
- Wi-Fi;
- VPN;
- 虚拟机网卡。
配置不当时可能出现:
- 数据从错误接口发出;
- 默认路由被 VPN 或其他网卡改变;
- 请求和返回流量路径不一致。
驱动或链路问题
例如:
- 网卡驱动异常;
- 接口被禁用;
- 自动协商失败;
- 速率或双工不匹配;
- 转接器或网线故障。
9.2 换了交换机或墙面接入口
即使终端网卡和 MAC 不变,也可能因为接入端口不同而不通。
VLAN 不同
端口A → VLAN 10 → 办公网
端口B → VLAN 20 → 设备管理网
原静态 IP 接入 VLAN 20 后,IP、网关和真实网络可能不匹配。
端口未开通
端口可能处于:
shutdown
error-disabled
未配置
未授权
端口安全策略不同
新端口可能:
- 不允许当前 MAC;
- 限制可学习的 MAC 数量;
- 已学习其他 Sticky MAC;
- 使用不同准入策略。
需要重新认证
新端口可能要求:
- 802.1X 用户认证;
- 终端证书;
- 安全客户端在线;
- 终端合规检查。
即使 IP、掩码和网关正确,认证失败仍可能导致隔离。
ACL 或安全域不同
新端口可能能访问网关,但不能访问特定服务器或端口。
10. 奇安信在网络中可能是什么角色
奇安信是网络安全产品和服务厂商,不是一种网络协议。
实际环境中,“奇安信”可能指:
- 终端安全客户端;
- EDR 或防病毒系统;
- NAC 网络准入系统;
- 防火墙或安全网关;
- 上网行为管理或代理;
- 终端管控平台。
因此:
电脑安装了奇安信客户端,不等于所有网络故障都由奇安信造成。
需要确认:
- 实际部署的是哪一种产品;
- 策略在终端、交换机、准入控制器还是网关执行;
- 是否有对应的拒绝、隔离或告警日志。
11. 安全系统怎样阻断通信
可能的阻断位置包括:
- 终端安全软件限制应用联网;
- 802.1X 或 NAC 认证失败;
- 交换机端口安全违规;
- 防火墙或 ACL 拒绝;
- DNS 或代理策略限制;
- 目标服务器拒绝访问。
12. 配置正确,网络仍然可能不通吗
完全可能。
先定义基础网络和服务条件:
C b a s e = C l i n k ∧ C L 2 ∧ C r o u t e ∧ C p o l i c y ∧ C s e r v e r C_{\mathrm{base}} = C_{\mathrm{link}} \land C_{\mathrm{L2}} \land C_{\mathrm{route}} \land C_{\mathrm{policy}} \land C_{\mathrm{server}} Cbase=Clink∧CL2∧Croute∧Cpolicy∧Cserver
其中:
- C b a s e C_{\mathrm{base}} Cbase:不考虑名称解析时,业务访问的基础条件;
- C l i n k C_{\mathrm{link}} Clink:物理链路是否正常;
- C L 2 C_{\mathrm{L2}} CL2:VLAN、二层接入和邻居解析是否正常;
- C r o u t e C_{\mathrm{route}} Croute:IP 配置和路由是否可达;
- C p o l i c y C_{\mathrm{policy}} Cpolicy:NAC、ACL、防火墙等策略是否允许;
- C s e r v e r C_{\mathrm{server}} Cserver:目标主机和目标服务是否正常;
- ∧ \land ∧:逻辑“并且”。
如果直接使用 IP 访问:
C s e r v i c e = C b a s e C_{\mathrm{service}} = C_{\mathrm{base}} Cservice=Cbase
如果使用域名访问,还需要名称解析:
C s e r v i c e = C b a s e ∧ C n a m e C_{\mathrm{service}} = C_{\mathrm{base}} \land C_{\mathrm{name}} Cservice=Cbase∧Cname
其中:
- C s e r v i c e C_{\mathrm{service}} Cservice:目标业务最终是否可用;
- C n a m e C_{\mathrm{name}} Cname:DNS 或其他名称解析是否正常。
因此,即使以下配置正确:
IP地址
子网掩码
默认网关
DNS
网络仍可能因以下原因失败:
VLAN错误
端口未授权
802.1X失败
NAC隔离
ACL或防火墙拒绝
终端安全策略拒绝
目标服务未启动
13. 按层次定位“网络不通”
排查网络故障时,应从底层到上层逐步确认,避免一开始就把问题归因于 IP、DNS 或安全软件。
| 检查层次 | 典型现象 | 优先检查内容 |
|---|---|---|
| 物理链路 | 网口灯不亮;接口显示“网络电缆被拔出”或 DOWN | 网线、网卡、交换机端口、接口启用状态、速率与双工协商 |
| 二层接入 | 链路已建立,但无法解析网关或同网段设备的 MAC | VLAN、交换机端口配置、端口安全、802.1X、NAC、ARP 报文是否被阻断 |
| IP 配置 | 未获得预期 IP;出现 169.254.x.x;静态地址配置异常 | DHCP、IP 地址、前缀长度、地址冲突、接口是否配置正确 |
| 三层路由 | 同网段可达,但其他网段不可达 | 路由表、默认网关、静态路由、VPN 路由、防火墙和 ACL |
| 名称解析 | 直接访问 IP 正常,但使用域名失败 | DNS 服务器、解析结果、代理配置、域名访问策略 |
| 传输层 | 主机可达,但目标 TCP/UDP 端口不可用 | 服务是否监听、端口号、本机防火墙、中间防火墙和 ACL |
| 应用层 | TCP 连接成功,但登录或业务操作失败 | 用户名、密码、证书、应用协议、服务配置和访问权限 |
| 网络准入 | 只能访问认证页或修复服务器;无法进入业务网络 | 802.1X 认证、NAC 准入状态、终端证书、安全客户端和合规检查 |
注意:
ping主要用于测试 ICMP 回显是否可达。目标主机或防火墙禁止 ICMP 时,ping失败并不能证明 TCP、UDP 或具体业务一定不可用。
13.1 推荐判断思路
接口未连接
→ 先检查物理链路
接口已连接,但网关邻居解析失败
→ 检查VLAN、ARP、端口安全和网络准入
网关可达,但远端IP不可达
→ 检查路由、防火墙和ACL
远端IP可达,但业务端口失败
→ 检查服务监听和端口策略
业务端口可达,但应用登录失败
→ 检查账号、证书、协议和权限
IP访问正常,但域名访问失败
→ 检查DNS或代理配置
14. 推荐排查顺序
14.1 检查物理链路
Windows:
Get-NetAdapter
Linux:
ip link
ethtool eth0
重点检查:
接口是否启用
是否检测到链路
协商速率和双工是否正常
14.2 查看 MAC、IP、路由和 DNS
Windows:
ipconfig /all
getmac /v
route print
PowerShell:
Get-NetAdapter
Get-NetIPConfiguration
Linux:
ip addr
ip route
resolvectl status
部分 Linux 系统也可查看:
cat /etc/resolv.conf
但在使用 systemd-resolved 时,该文件可能只是符号链接或本地转发配置。
换网口前后重点对比:
接口名称
MAC地址
IPv4地址和前缀
默认路由
路由度量值
DNS服务器
DHCP状态
14.3 检查是否获得链路本地地址
Windows 在没有获得预期 DHCP 地址时,可能自动配置:
169.254.x.x/16
这是 IPv4 链路本地地址。
在本应使用企业 DHCP 的场景中,它通常提示终端未获得预期租约,但不能仅凭该地址断定 DHCP 服务器本身故障。
14.4 检查本机协议栈
Windows:
ping 127.0.0.1
ping 本机IPv4地址
Linux:
ping -c 4 127.0.0.1
ping -c 4 本机IPv4地址
这些测试主要检查本机协议栈和本地地址绑定,不会验证网线、交换机或外部链路。
14.5 检查邻居解析和网关
测试网关:
ping 192.168.10.1
查看邻居缓存:
Windows:
arp -a
Linux:
ip neigh
Linux 中邻居项长期显示:
INCOMPLETE
FAILED
通常表示没有成功解析下一跳链路层地址。
可能原因包括:
- VLAN 不一致;
- 链路或网关异常;
- 地址和掩码错误;
- 端口准入未通过;
- ARP 报文被安全策略阻断。
14.6 检查路由选择
Windows:
route print
tracert 目标IP
Linux:
ip route
ip route get 目标IP
traceroute 目标IP
多网卡设备应重点确认:
目标地址匹配哪条路由?
数据从哪个接口发出?
默认路由是否被VPN或虚拟网卡改变?
14.7 区分 DNS 与 IP 可达性
先选择单位明确允许访问的目标 IP,再测试域名:
ping 目标IP
nslookup server.example.com
判断思路:
IP访问正常,域名解析失败
→ 优先检查DNS
目标IP也不可达
→ 优先检查链路、VLAN、路由和策略
不要把某个公网 IP 的 ping 结果作为唯一依据,因为企业出口可能禁止公网 ICMP。
14.8 检查 TCP 业务端口
Windows PowerShell:
Test-NetConnection 192.168.10.100 -Port 8080
Linux:
nc -vz 192.168.10.100 8080
如果主机可达但 TCP 端口失败,可能是:
- 服务未启动;
- 服务只监听回环地址或其他接口;
- 本机或中间防火墙阻断;
- ACL 阻断;
- 终端安全软件限制应用。
14.9 核对准入和安全日志
建议记录:
故障时间
终端用户名
接口名称
MAC地址
源IP
交换机端口
VLAN
目标IP
目标端口
应用程序
再由管理员检查:
- 802.1X 认证结果;
- NAC 准入状态;
- 是否进入隔离 VLAN;
- Port Security 告警;
- ACL 和防火墙拒绝日志;
- 终端安全客户端告警;
- 目标服务器访问日志。
不要在生产网络中擅自绕过或卸载安全客户端。没有日志证据时,也不应直接断定“就是奇安信拦截”。
15. “换网口不通”快速定位表
| 现象 | 优先检查 |
|---|---|
| 换口后链路灯不亮 | 网线、端口关闭、网卡和自动协商 |
获得 169.254.x.x | DHCP、VLAN、认证和链路 |
| 静态 IP 不变,但网关不可达 | VLAN、掩码、网关、邻居解析和准入 |
| 换 USB 网卡后不通 | MAC 改变、接口配置、路由和 NAC 登记 |
| 新端口进入错误关闭 | Port Security、环路或其他端口保护 |
| 网关可达,远端不可达 | 路由、防火墙、ACL 和安全域 |
| IP 可访问,域名失败 | DNS、代理或域名策略 |
| 主机可达,TCP 端口失败 | 服务监听、防火墙、ACL 和应用控制 |
| 只能访问认证或修复页面 | 802.1X 或 NAC 隔离 |
| 配置看似正确但仍不通 | 安全日志、地址冲突和实际路由出口 |
16. 完整示例
原连接配置:
终端接口:eth0
MAC:00:11:22:33:44:55
IP:192.168.10.25/24
默认网关:192.168.10.1
DNS:192.168.10.2
交换机端口:Gi0/1
VLAN:10
网络侧可能配置:
Gi0/1属于VLAN 10
终端已通过NAC认证
端口安全允许当前MAC
把设备换到 Gi0/8 后,本机 IP、掩码、网关和 DNS 没有改变,但 Gi0/8 可能:
属于VLAN 20
要求重新进行802.1X认证
使用不同ACL
不允许当前MAC
被NAC划入隔离网络
因此,网络仍可能不通。
这说明:
本机参数正确,只表示终端会按这些参数发送数据;交换机、路由器、安全系统和目标服务是否允许并正确处理数据,还需要分别确认。
17. 核心关系总结
网口、MAC 和 IP
网络接口
├── 使用MAC完成当前链路上的二层通信
└── 配置IP完成网络层通信
IP、掩码、路由和 DNS
IP地址 → 标识接口的网络层地址
子网掩码 → 确定直连网络前缀
路由表 → 选择出口和下一跳
默认网关 → 默认路由使用的下一跳
DNS → 使用域名时查询目标IP
“绑定 MAC”可能表示
接口自身使用MAC
交换机端口限制MAC
DHCP按客户端标识保留地址
DHCP Snooping记录IP-MAC-VLAN-端口
NAC绑定终端、用户和接入位置
奇安信是否可能造成网络不通
可能,但取决于实际产品、部署位置和策略。
以下环节都可能阻断通信:
终端安全策略
802.1X认证
NAC准入
交换机端口安全
ACL
防火墙
代理或DNS策略
目标服务权限
是否由某一安全产品造成,应以终端、准入、交换机、防火墙和服务器日志为依据。
参考资料
-
RFC 826:An Ethernet Address Resolution Protocol
https://www.rfc-editor.org/rfc/rfc826 -
RFC 2131:Dynamic Host Configuration Protocol
https://www.rfc-editor.org/rfc/rfc2131 -
RFC 3927:Dynamic Configuration of IPv4 Link-Local Addresses
https://www.rfc-editor.org/rfc/rfc3927 -
RFC 4632:Classless Inter-domain Routing
https://www.rfc-editor.org/rfc/rfc4632 -
Cisco Port Security Configuration Guides
https://www.cisco.com/ -
奇安信终端安全准入系统(NAC)
https://www.qianxin.com/

601

被折叠的 条评论
为什么被折叠?



