區網內原本可連線的電腦忽然無法連到gateway，請問可從哪邊下手檢查呢?

dhcp gateway firewall

johnmyung 2010-07-01 18:43:32 ‧ 34593 瀏覽

分享至

(1)原本從DHCP或手動設定的PC可正常上網，但會不定時出現無法連線的狀況。
(2)測試後，client可以連到區網內其他電腦卻ping不到gateway
(3)檢查firewall Loading一切正常cpu:5% session:5xx(MAX:8xxx)
(4)非固定電腦出現這狀況，所以先排除client端網卡故障的因素

請問可以如何再檢查或有什麼改善方式嗎? 感謝大家

登入發表討論

直播研討會

{{ item.channelVendor }} {{ item.webinarstarted }} |

直播中

6 個回答

zyman2008

iT邦大師 6 級 ‧ 2010-07-02 03:11:48

最佳解答

當問題發生時做下列檢查:
1)在client端檢查ARP Cache,確認有學到gateway的MAC address,而且是對的.
2)在gateway端檢查ARP table,確認table裡client的MAC address是對的.

回應 5
分享
檢舉

看更多先前的回應...收起先前的回應...

johnmyung iT邦新手 5 級 ‧ 2010-07-02 15:38:23 檢舉

(1)檢查過client端、firewall皆有正確的gateway MAC address
(2)當手動設定client端IP，可以連內部其他電腦，不知道是不是firewall連接的interface有狀況...

zyman2008 iT邦大師 6 級 ‧ 2010-07-02 17:41:37 檢舉

先釐清一下你的架構,是這樣嗎?

PC---switch---firewall---gateway
firewall 是transparent mode ?
DHCP IP 由誰發 ?
gateway 是甚麼設備 ?

johnmyung iT邦新手 5 級 ‧ 2010-07-04 00:19:00 檢舉

(1)PC---switch---firewall(gateway)
(2)firewall是nat mode
(3)DHCP IP由firewall提供
(4)Gateway就是firewall(Juniper SSG-20)

zyman2008 iT邦大師 6 級 ‧ 2010-07-05 20:51:47 檢舉

我覺得還是 ARP 學錯的問題, 當問題發生時請試一下:

在有問題的電腦上依序下兩個指令, arp -d ,然後再 ping -t <gateway ip>
在 SSG 20 CLI 下 command, clear arp
看做完第二個動作後是不是電腦就可以 ping 到 gateway 了.

johnmyung iT邦新手 5 級 ‧ 2010-07-05 21:24:23 檢舉

正常來說client端 clear ARP table後再去ping gateway應該很快就學到。
但目前client端清掉ARP後再ping gateway, 還是沒學到gateway的MAC address
不知該算學不到MAC所以ping不到, 還是ping不到所以學不到MAC

不過明天再遇到這狀況會嘗試清掉firewall上的arp cache, 感謝您的建議......

登入發表回應

花輪

iT邦大師 1 級 ‧ 2010-07-01 21:10:47

請清除它上面的灰塵，並將網路線的 RJ45 拔下重插試試看...

回應 2
分享
檢舉

花輪 iT邦大師 1 級 ‧ 2010-07-01 21:11:32 檢舉

更正：先清除 RJ45 接頭上的灰塵

johnmyung iT邦新手 5 級 ‧ 2010-07-02 15:27:01 檢舉

好吧! 我連這招都試了...沒啥影響 Orz

登入發表回應

ietemietem

iT邦新手 2 級 ‧ 2010-07-02 00:16:10

可否請大大說明一下整體的架構呢？ex：client到geteway有無其它設備？約有幾部pc…等等

回應 1
分享
檢舉

johnmyung iT邦新手 5 級 ‧ 2010-07-02 00:25:06 檢舉

(1)Client到gateway會經過2~3台switch
(2)約100部PC
(3)firewall是juniper-SSG20

登入發表回應

Ray

iT邦大神 1 級 ‧ 2010-07-02 00:28:48

試試:

所有 switch 關電源再打開.....
若有串接 switch, 先把其他 switch 的串接線拔掉.
把問題 PC 接到離 Gateway 最近的那台 switch.

回應 1
分享
檢舉

johnmyung iT邦新手 5 級 ‧ 2010-07-02 00:37:14 檢舉

我有試過重開switch、firewall，並將其中一個client的線路轉到厘gateway最近的firewall。
但是該位client端只有維持正常約48小時，又開始出現不定時無法連到gateway的狀況。
所以還蠻苦惱的...

登入發表回應

jackwan

iT邦研究生 4 級 ‧ 2010-07-02 10:31:40

會不會是某一台電腦中毒正在攻擊導致網路頻寬被吃光,看一下Switch的指示燈有沒有那一顆閃爍異常(閃的特別快), 如果有將閃爍異常的線拔掉再測試看看.

回應 1
分享
檢舉

johnmyung iT邦新手 5 級 ‧ 2010-07-02 15:41:46 檢舉

嗯嗯...第一時間有往這方面想，不過檢查後沒中毒的跡象。一方面網路傳輸也沒有異狀...

登入發表回應

SunAllen

iT邦研究生 1 級 ‧ 2010-07-02 15:47:45

有沒有可能，網路中其中一台設備或pc 的ip 跟 gateway 的ip 衝突到

最近有新增加或是調整什麼設備嗎

回應 20
分享
檢舉

看更多先前的回應...收起先前的回應...

johnmyung iT邦新手 5 級 ‧ 2010-07-02 15:59:59 檢舉

(1)沒有IP設定跟gateway衝到，內部也沒有其他DHCP server
(2)最近沒有新增骨幹設備，只有新增10台左右的PC

SunAllen iT邦研究生 1 級 ‧ 2010-07-02 16:12:41 檢舉

連不到gateway 的時候，把gateway lan 端網路線拔下來，client 端 ping 的到 gatwway的ip嗎?

johnmyung iT邦新手 5 級 ‧ 2010-07-02 17:05:18 檢舉

(1)這倒沒試過，因為一拔全公司都會斷線，所以不敢輕易試這招
(2)不過下班時間後較少user時，相同的電腦就不會發生這類狀況

SunAllen iT邦研究生 1 級 ‧ 2010-07-02 17:08:59 檢舉

相同的電腦就不會發生這類狀況

請問 johnmyung 是怎樣的狀況?

johnmyung iT邦新手 5 級 ‧ 2010-07-02 18:43:48 檢舉

嗯...就是指同一台電腦,同一名user,一樣持續用遠端桌面之類的方式工作
但是晚間卻不會出現"暫時無法連到gateway導致沒辦法上網的情況"

SunAllen iT邦研究生 1 級 ‧ 2010-07-02 19:25:54 檢舉

"暫時無法連到gateway" 是什麼設備送出來的訊息?

SunAllen iT邦研究生 1 級 ‧ 2010-07-02 19:26:21 檢舉

作業系統的版本是?

johnmyung iT邦新手 5 級 ‧ 2010-07-02 19:44:50 檢舉

client:XP
無法連線訊息: ping gateway顯示"request time out"

SunAllen iT邦研究生 1 級 ‧ 2010-07-02 19:55:49 檢舉

pc-->switch-->gateway-->firewall 如果架構是這樣子的話，那感覺像是卡在 switch--Gateway 這一段，因為大大說連不到gateway的時候，pc是互通的，所以pc--switch 理論上應該是好的。

照上面全部訊息看起來，如果是我，我可能會去換
連接 switch--gateway 的那條線，switch 那一端換一個port接。
如果再不行
我會把gateway的線拔掉，隨便找一台pc 設定成gateway ip，看看其它台pc找不找的到。

如果找的到，而且穩定那是gateway的問題就有很大的機率。

johnmyung iT邦新手 5 級 ‧ 2010-07-04 00:25:40 檢舉

我想更換在firewall上連接的interface 不知道這作法會不會有點不切實際
現在有另一個想法，就是當固定IP的user無法連線時，試看看從firewall能否ping到client...

SunAllen iT邦研究生 1 級 ‧ 2010-07-04 01:40:28 檢舉

更換interface 是可以試的
往回ping 也是很重要的參考依據

剛想到 firewall 上面的policy 有設schedule 嗎? 時間到就斷線的那種 policy?

ayu iT邦好手 2 級 ‧ 2010-07-04 03:35:16 檢舉

如果是只有特定一部電腦會這樣(先確認他沒跟其它IP衝突)....
有點懷疑, 該電腦的user是否有執行什麼怪東西,
導致除了default-gateway之外, 還有其它的gateway/tunnel連外方式.

johnmyung iT邦新手 5 級 ‧ 2010-07-04 14:22:32 檢舉

(1)確定client端沒有發生ip衝突, 至少他是一早來就可以正常上網, 如果有衝到應該是後面的user無法連線
(2)一開始有先檢查過較常發生無法連線的電腦, 都蠻乾淨的, 除了user瘋狂下一部裝上了Yahoo的瀏覽器套件外, 就沒什麼額外的軟體了(當然我移除了Yahoo套件後斷線狀況並沒有改善)
(3)我這邊有先注意default Gateway不管是DHCP或手動設定IP都可連到正確位置, 所以到不是連到錯誤gateway的狀況
(4)firewall上的規則沒有針對連線時間做限制, 畢竟client多是連到DMZ區作業, 所以這方面規則倒挺單純的

srv iT邦研究生 1 級 ‧ 2010-07-06 08:22:39 檢舉

會不會網路中有人私下拿 IP分享器當 HUB 用, 卻沒關掉 DHCP ?

johnmyung iT邦新手 5 級 ‧ 2010-07-09 14:44:11 檢舉

應該不是這問題，因為手動指定ip且紀錄gateway MAC皆正確的電腦也是會無法連線

ietemietem iT邦新手 2 級 ‧ 2010-07-10 21:07:38 檢舉

可以找經銷商換一台gateway試看看嗎？

johnmyung iT邦新手 5 級 ‧ 2010-07-14 14:02:37 檢舉

上週五將其中一台switch改經過一台ip share再接到公司網路，奇蹟似的問題改善了...
雖然還是有少數1~2個user會偶爾斷線，不過至少是先治標
接著應該就是慢慢治本了

SunAllen iT邦研究生 1 級 ‧ 2010-07-14 14:05:53 檢舉

所以感覺上是接法出了問題

會是接成loop 嗎

johnmyung iT邦新手 5 級 ‧ 2010-07-14 14:55:46 檢舉

囧~~沒有接成loop啦
因為改經ip share出去的switch是一台小分支，不是骨幹等級
而且同樣的設備先前已經正常跑了約一個月，如果是loop應該很快就有user反應無法上網

johnmyung iT邦新手 5 級 ‧ 2012-12-10 17:41:08 檢舉

事隔二年回應一下當時的解答，當時的公司變前公司又是另一段故事了．

問題的原因“ISP限定mac address同時連線數”，只限定100個mac連線到IDC進而到外網，所以造成非特定人員無法上網，而不幸的地方在於小弟與對方承辦業務都不是初始的簽約人，所以問題發生時只確認公司與機房線路正常就轉向檢查節點設備最終導致處理時間過長，至於當年為什麼限定數量也沒有書面記錄就不得而知了......

登入發表回應