公司目前有兩條ADSL,兩台小烏龜後也都接著兩台不同的防火牆。
DC是在192.168.1.6
場內測試電腦走的都是10.1.1.X
原本有一台電腦可以跨網段連結 PING的到 192.168.1.X & 10.1.1.X
也可以互傳資料
不過最近公司更新電腦設備,把電腦換掉之後,使用DHCP自動取得IP
IP: 192.168.1.191
MASK:255.255.255.0
GW: 192.168.1.253
DNS:192.168.1.6
可以PING的到168.95.1.1 也可以PING 192.168.1.X
不過就是無法PING 10.1.1.X的網段
現在想知道,之前人設定跨網段的方式,因為我把PC_OLD的IP重設、改電腦名稱、退網域,還是可以連結到10.1.1.X的網段,不過PC1給他192.168.1.249的GW,就可以很正常的PING到10.1.1.X的網段,但是因為沒有走192.168.1.253 所以無法連結到INTERNET,變成可以跨網段,但是無法上網的狀況。
感覺好像是某個地方設定PC+OLD的MAC,讓他可以跨網段又上網,但是我找不到...
請大家幫忙看看有可能是哪個地方的設定問題。 THX
目前知道兩台SWITCH有跳一條網路線,不過設定方式既清楚了
已邀請的邦友 {{ invite_list.length }}/5
請再253的防火牆內加入10.1.1.121的路由就可以了,你說249的GW可以連10.1.1.121那是在249GW裡有加192.168.1.X的路由,如兩台防火牆是同一型號那你可連進去249的防火牆裡看他的設定就知道了
http://jerry.twblogs.net/000/CONFIG.JPG
這是舊的那台PC的路由表
我要如何把現在的新電腦,設定成相同的樣子呢?
您好 感謝您的解答
今天去跑了一趟機房 依照現況再重新畫了一張圖
然後我有照您的方法試過 增加一個GW 詳細如下圖
不過一樣是可以PING到10.1.1.X 跟 192.168.1.X
蛋依然無法連上網際網路
更正
依照上面圖的設定 是無法連接10.11.X的網段
網際網路可以連的
照這樣說 我是應該設定FW還是SWITCH呢?
a218066大大
其實已經搞定好一個禮拜左右 現在才有時間來這邊還願給各位..
沒錯 就是用你的辦法
我也是問其他朋友提醒才想起這routing table要ADD給他一個靜態路由指向...
下的指令是這樣
route add -p 10.1.1.0 MASK 255.255.255.0 192.168.1.249 METRIC 1
結果馬上就打完收工了...
才發現他這是寫進去regedit 所以我的OLD_PC退網域或是改IP都還是可以連10的網段
這才恍然大悟...
謝謝各位提供的解決方案,讓我這初學MIS小弟受益良多。
敝公司在新竹園區..有點距離。
不過真的感謝您的解答
應該只要該網卡多設一個IP就行了,選 進階
這個例子是192.168.1.223 GW:192.168.1.10
設定一組IP 我的例子是設定169.254.100.223
這樣就會把169.254.100.X 走 169.254.100.223出去。
192.168.1.X 會走 192.168.1.223
0.0.0.0(外網)透過192.168.1.223走GW 192.168.1.10
還有Switch的IP是做為管理使用的,沒有Route功能。
你必須在你的192.168.1.253那台防火牆建一個10.1.1.252 (舉例)IP
以FG-80C來說
應該會有一筆靜態路由加進去,若無就請你新增
讚同上面做法,這做法才是最好的做法,而又很簡單
如果不用上面做法,那麼兩邊的SW必需是L3的,而且需要起routing,兩邊SW都要設定靜態路由,對接的PORT要獨立一/30的網段,這樣也能提供連通性
內部的routing就讓內部的L3設備去做,上到FIREWALL,除非是沒有設備才這樣做
回應calvinkuo大大
網卡設定兩個IP的方法不可行
192.168.1.X這個IP沒問題,其GATEWAY與該IP位於同一網段
10.1.1.x則會有很大的問題,因為這台電腦的實體uplink,並不存在這個ip,由一個網段到另一個網段,一定要經過匣道,但10.1.1.x這個網段的匣道是在另一個實體設備上,找不到匣道根本連不出去,更不用說要到另一個網段,除非設定vlan,設定trunk,讓10.1.1.x段的網路,一直延申到該pc所在的位置
感謝兩位高手,我在PC1上面修改了設定如下
可以PING到10.1.1.X的網段,也可以PING 192.168.1.X 無法PING 168.95.1.1
不過卻可以上網,但是,非常的慢,TRACSER不給追,不過猜測應該是走192.168.1.249的網段出去,繞了一大圈所以很慢,如果上網可以判斷直接走192.168.1.253的話,那就解決問題了..
pisceseros大大,看版主NS5GT & PC-OLD應用設定192.168.1.249來Route 10.1.1.X網段。不知道192.168.1.249是啥設備?
看他NS5GT的Route,ethernet1像是接LAN 192.168.1.X & 10.1.1.X (透過192.168.1.249 Route)
ethernet2&3 分別是不同IP外網(可能是ADSL1 & 2),跟他的架構圖不太一樣喔。
不要設在預設Gateway 那會加一筆0.0.0.0往192.168.1.249 (看起來249不會幫你轉到WAN去)
照 a218066大大補充回答的 route -p add命令下就可以了。
應該是192.168.1.253的防火牆沒有設定到10.1.1.121的路由
可以參考.249防火牆的設定
設定好路由後應該就可以了
根據小弟看您提供的新拓撲,就會讓人直接想到,貴公司以前是沒有ADSL_2及那台FORTI的吧
事實上我是不建議這種接法的,這種接法會造一些繞來繞去的思考問題,如果不考慮
load share的問題的話,ADSL-1就直接獨立出來,提供192.168.1.X這一種的USER
使用,ADSL_2則提供10.1.1.X,然後將兩台FIREWAL對接,再將兩邊的路由加到兩台上去
但如果兩個subnet之間有傳輸大量資料的需求,最好是不要使用貴公司目前的接法,還有我上述
的接法,最好兩台SW對接然後起routing,把內部子網路之間的資料交換,交由firewall去執
行是很不好的做法的,另外你提到,目前問題是新的電腦於兩子網路間不能互動,這牽涉到一個
管理上的問題,你應該要去想,如何讓end user在無腦使用的情況下,讓你自己可以做到最簡
單,最輕鬆的管理。
您好 很感謝您的方案建議,管理問題的話,因為192.168.1.X是主要網段,10.1.1.X是工程用網段,為了讓頻寬不互相干擾所以才分開兩條ADSL,為了讓工程部主管能於辦公室電腦(192.168.1.151)直接管理於(10.1.1.X)下的工程用設備,不需要經常性的線內線外跑,所以才需要跳一個線給他在辦公室做連線,且現階段只有開放他那台電腦可以跨網段,USER是不可以連線的。
原來你的需求是這樣,那其實你不應該在電腦上做這件事,PC_OLD的設法,IP:192.168.1.151,GW:192.168.1.254.249,GW我不太清楚你設的是多少,你的需求其實很簡單,只要在netsrcen裡面就能完成,第一,設定一筆靜態路由,把往10.1.1.X的往3COM那邊丟過去,第二,建立ACL,只允許151可以通過,3COM部份也要設一筆靜態路由,將151丟回去,如此一來就完成了。
方法摘要:
1.在netscren及3COM SW上建立靜態路由,提供192.168.1.X及10.1.1.X之間的連通性
2.使用ACL來限制存取的權限(也可使用policy route)。
不同subnet之間的溝通,請在第3層設備上去施做,像這種在PC上的做法,其實很不建議,因為你失去控制這件事情的主導權,如果你們公司的員工看到這篇,那他們也可以照做,到時就很危險了,因為你連151這IP都秀出來了,到時改個IP就能連過去,PC_OLD總有關機的時候,除非你有做IP與MAC的綁定。
依照版主的新拓樸,3COM L3 Switch跟netscreen(192.168.1.253)直連,所以應該會有192.168.1X的路由,那只要在netscreen的firewall上設定連到10.1.1.X的路由就可以通了
不過有個疑問,192.168.1.249是哪台設備的IP,3COM L3 Switch嗎?
另外,如果你要限制只有192.168.1.151這個IP能連到10.1.1.X的網段的話,可以參考樓上大大的作法,建議對那個主管的電腦做IP與MAC的綁定,不然改天有外部人員或員工把IP改為192.168.1.151,他也可以連到10.1.1.X的網段了。
iThome鐵人賽
看影片追技術
