硬體防火牆第四段IP設定為.0 為什麼只有一台電腦能上網

ip為0

liurambo0911 2011-04-28 17:20:17 ‧ 10490 瀏覽

分享至

先劃一下配置圖

一般來說有點經驗的人都知道.0跟.255要跳過不能用
今天一位女同事出去裝機
結果差點把IT都給考倒了
因為她把防火牆IP設定為.0

後來找到問題都修正後就正常了
可是我自己不太懂為什麼只有一台能上網???

外部可以正常連線到第一台192.168.1.1
.1也可以正常上網
但是.2、.3都死機

有哪位先進可以指點一下

看更多先前的討論...收起先前的討論...

zyman2008 iT邦大師 6 級 ‧ 2011-04-29 10:29:17 檢舉

IP 設定應該是 OK 的,如果防火牆允許這樣設.
看起來像是 NAT 的問題.
防火牆是怎麼設定讓外面遠端到192.168.1.1? 是port對應還是 1 to 1 NAT ?

另外方便知道防火牆的品牌/型號/韌體版本嗎?
如果手上剛好有一樣的可以幫忙複製一下,找看看是甚麼問題.

liurambo0911 iT邦高手 1 級 ‧ 2011-04-29 10:58:21 檢舉

合勤 USG20
問題是解決掉了把防火牆的IP改為正常的.1 其他電腦GATEWAY都改成.1
只是我個人以及辦公室內的IT部門沒人搞得懂"為何設定錯誤時第一台還能夠上網？"

liurambo0911 iT邦高手 1 級 ‧ 2011-04-29 11:11:12 檢舉

因為255.255.255.0的子網路遮罩加上gateway設定成192.168.1.0,會變成他只有一個通路,所以只有一條網路可以通,192.168.1.1會通是因為他第一個開機所以只有他可以用
=======================
這是我朋友說的不知道各位覺得如何?

zyman2008 iT邦大師 6 級 ‧ 2011-04-29 14:30:35 檢舉

剛好手上有USG 20可以測,韌體版本2.21(BDQ.2)
把USG 20 LAN端的IP設成 192.168.1.0,底下的PC設DHCP自動取得IP,都可以正常上網. 所以反而是在你描述的狀況下, .2、.3都死機看起來是異常.
指是不知道當下在USG 20上有沒有做其他特別的設定,造成問題.所以也無法解釋發生了什麼事.除非有保留當時的設定檔,也許能夠找到答案.

lordrd iT邦新手 2 級 ‧ 2011-04-29 21:31:41 檢舉

原本的問題是 "自訂IP" 不是 DHCP ~

cheaster iT邦新手 4 級 ‧ 2011-04-30 11:53:18 檢舉

重點應該是…你們的lan，是在fw設定嗎?

如果是，那最好看一下，你們的lan是不是gateway是設定到192.168.1.1…
基本上，以習慣來說，我們切網路是這樣192.168.1.0/24…
可以知道0跟255都不能設定，0是網路識別碼(hostid皆都0)，255是廣播位址(hostid皆為1)…但還有一個不能設定，也就是gateway的位址，以上述192.168.1.0/24來看，一般的習慣會用192.168.1.254當作gateway…但其實gateway是可以變的…沒有說一定要254；而一般我們把設備當作gateway，但其實也沒有「一定」要這樣做

所以，先假設你們的lan在設備上其實是這樣設定的
ip/mask:192.168.1.0/24
gateway:192.168.1.1

所以如果底下的手動設定ip的電腦並沒有把gateway設定為192.168.1.1的話，那就會出不去，而改設為192.168.1.1之後，流量都會先連到那一台為192.168.1.1的電腦上再流出去…

而為什麼有設定為192.168.1.1的這台電腦當時可以出去…得看當時的設定為何，也要看設備怎麼判定這一台跟gateway同ip的電腦的流向，我在想，很有可能是電腦本身可能已經有gateway的設定在自身上或自身判定自己就是lan的gateway，而設備會放行gateway也是很自然的事。

liurambo0911 iT邦高手 1 級 ‧ 2011-04-30 20:49:46 檢舉

感謝zyman2008的測試

ㄟ不好意思
是不是DHCP我還得跟她確認看看
但就已知結果就是如圖中的設定三台電腦各是.1 .2 .3
本來也都沒事同事要準備離開現場了
才又發現後面兩台電腦都不能上網
緊急打回公司求援另一位同事檢查到.0這個狀況後
全部同新設定過就排除這個狀況了
到底當時有沒有做過其他的設定現在也不可考
因為.....這實在是不需要教完全沒想到新同事會犯下的錯誤
SOP上已經加註這項設定了

zyman2008 iT邦大師 6 級 ‧ 2011-05-02 18:21:59 檢舉

因為.....這實在是不需要教

這件事可是有學問的喔.
例如: 為什麼 IP address 不能設全為 0 或全為 1 ?

登入發表討論

直播研討會

{{ item.channelVendor }} {{ item.webinarstarted }} |

直播中

3 個回答

zyman2008

iT邦大師 6 級 ‧ 2011-05-02 18:52:13

最佳解答

以樓主的硬體防火牆而言,經過測試 IP routing, NAT 功能,是可以支援設定為 192.168.1.0/255.255.255.0
依樓主的架構圖,防火牆後的三台 PC.
我的測試環境是三台 Windows 7 PC,手動設定 IP address為192.168.1.X, Subnet Mask:255.255.255.0,Default Gateway:192.168.1.0
DNS server:168.95.1.1,測試結果是三台PC都可以上網,沒有問題.
至於樓主同事當時設定沒留下已不可考,所以無法還原是發生了什麼事.

另外一個大哉問,希望以下解釋能讓大家 "知其所以然".
問題:為什麼全為 0 或全為 1 的 subnet 或 host address 不能用 ?
答案:決定因素在,OS或網路設備的IP stack是否有支援 RFC1878.
如果所在的網路環境內都有支援,routing就沒問題.
在實作上,若無法確定所有的OS或設備都支援.為避免產生問題,所以保險
起見就是不要用.
所以如果有人問你這個問題呢,回答上應該是: 不建議用,而不是一定不能
用.(用這問題去考考你的老師或師傅吧)

回應
分享
檢舉

登入發表回應

ctipde

iT邦高手 1 級 ‧ 2011-04-28 18:19:02

舉例來說0~127的IP設定
N 代表網路位元，H 代表主機位元。剛剛提到網路位元是用來對網路區段進行識別，假使現在有兩個 class A 的 IP 位址，其 Network bits 完全相同，這就表示此兩個 IP 位址是位於同一個網路區段內，也就是說只要有一個 Network bit 不同，就分別屬於不同的網路區段。

所以由這裡可以得知 class A 扣除最左邊的一個位元外，還有 7 個 Network bits 可以做不同的排列組合，有幾種排列組合就代表可以有幾個網路區段，以這裡來說就是 2 的七次方 = 128 個網路段。

現在如果把前面 8 個 bit 換算成十進位，則其範圍是從 0~127，因為以二進位來說，其最小到最大的範圍是從 (00000000)~(01111111)，那換算成十進位就是 0~127 囉，不過您需要把 0 (給 default route 用) 及 127 (給 loopback address 用) 給扣除，所以真正可用者為 1 ~ 126。