iT邦幫忙

0

兩張網卡,不能2個gateway嗎?

匿名 2011-11-17 11:15:4232757 瀏覽

請教一下大家,我有一台server,有兩張網卡,一個網卡設定了固定IP可以正常連線沒問題。我想把另一個IP設定內網的虛擬IP,連到居易2110(VPN),這樣我可以遠端連上VPN,在透過這個虛擬IP連上主機。

但是現在遇到一個問題,如果只設定固定IP,這個IP可以正常連外/外面連上主機。但是當我把另一張網卡設定虛擬IP的時候,如果有設定GATEWAY,那固定IP就掛了,沒辦法連,得把虛擬IP用的那張網卡關掉,或是移除虛擬IP的設定,固定IP才能正常。或是虛擬IP的設定中,沒有設定GATEWAY,固定IP就正常了。但問題是沒有設定GATEWAY,這個虛擬IP就沒辦法連。怎麼會這樣呢?

喔,對了,我是使用centos。謝謝啦。

CalvinKuo iT邦大師 7 級 ‧ 2011-11-17 11:54:10 檢舉
問題可能出在Route吧....
你的架構怪怪的...
固定IP該不會是實體IP吧,一般架VPN不就是為了防止外部攻擊,設實體IP不就要把一堆不用的服務關掉。
若你的居易2110 VPN設定正確的話,應該可以連上Server那個網段的所有電腦。
沒有Server就把VPN那網段Route add上去吧。

要補充架構與設定資料,版上其他高手才有辦法幫你。
10
jazozazo
iT邦高手 1 級 ‧ 2011-11-17 12:05:57

自己加個static route 試試看

4
michaelwan
iT邦高手 1 級 ‧ 2011-11-17 15:54:18

透過這個虛擬IP連上主機

要看那個主機IP是什麼.
Gateway當然可以設定很多個, 不過你要先告訴它什麼目的走什麼Gateway.
也就是設static route啦.

8
wiseguy
iT邦超人 1 級 ‧ 2011-11-18 00:35:23

看起來只不過是你虛擬 IP 的網卡的優先權比較高,所以當它一啟用,所有的對外通訊都會透過它的 gateway 跑。

方法一:兩個網卡設定互換,讓固定 IP 的優先權比較高。
方法二:如果網卡設定互換沒用,對外依然是跑虛擬 IP,那就手動設定 route:
假設你的固定 IP 是 1.2.3.4,而虛擬 IP 是 192.168.1.2
先打 route 指令,你應該會看到如下類似的資訊:

<pre class="c" name="code">Kernel IP routing table
Destination     Gateway         Genmask         Flags Metric Ref    Use Iface
1.2.3.0         *               255.255.255.0   U     0      0        0 eth1
192.168.1.0     *               255.255.255.0   U     0      0        0 eth0
169.254.0.0     *               255.255.0.0     U     0      0        0 eth0
default         192.168.1.1     0.0.0.0         UG    0      0        0 eth0

先加一個虛擬 IP 用的 route:
route add -net 192.168.0.0 netmask 255.255.0.0 dev eth0
再改掉預設 route:
route add default gw 1.2.3.255

匿名 檢舉

route add -net 192.168.0.0 netmask 255.255.0.0 dev eth0

不用設定gateway嗎?

0
charley2010
iT邦新手 3 級 ‧ 2011-11-18 18:27:43

舉我親身經歷的例子,我前一份工作,併購一家精品公司,主管要求總公司與精品公司之間要用vpn設備建Site to Site的vpn tunnel,精品公司的使用者要能利用這vpn tunnel來收送在總公司的mail server,而在精品公司上Internet有二台防火牆做HA,另有一個ROUTER接各百貨的櫃點的一個MPLS VPN區域網路。
我們建好了總公司與精品公司的vpn tunnel,結果USER一直無法收送郵件,二邊用tracert指令,結果總公司的路由是正確的,但精品公司是完全都沒有經過任何一點,看了精品公司的網路架構圖,實在看不出問題,後來請精品公司不懂網路的it,在自己電腦下ipconfig /all指令,才嚇到,電腦只有一張網路卡,雖只設一個ip但Gateway竟有三個,分別是二台防火牆及Router的IP,偏偏路由就是走到ROUTER,但ROUTER並沒有設定往我們公司的相關路由設定,所以封包到Router就停了,才找到真的原因....
所以:
1.如前面其他先進回答可知,一台電腦或server不管有幾張網路,是可以設定多個gateway
2.但不建議,如我的例子,在找路由問題時會較麻煩,而且我還遇到不懂網路的IT,讓我們花了許多時間在找問題點。
3.除非你對網路知識有一定的瞭解,真的有需要設多個GATEWAY,你也會設定server與相關網路設備的Routing設定,再來做,否則就不要自找麻煩了。
4.網卡是不一定要設定gateway的喔,server有二張網卡比較常見的應用只會有一張會設定gateway
5.何謂gateway,講白話點,gateway就是離開server所在網段的出口,如果你的封包沒有要離開這個網段,gateway可設定也可不設,設錯也沒關係,譬如說二台電腦網卡對接,只是為了傳檔案,就可不用設gateway

看更多先前的回應...收起先前的回應...
匿名 檢舉

1.我eth0設虛擬ip,連到易居,有兩個目的:
這樣到時後內網的機器可以直接互連,方便機器間傳檔,但又不會吃到對internet的頻寬.
必要時,可以用vpn的方式連易居,再連各主機的eth0,連進主機

2.eth1是直接使用isp給的固定ip連上internet,並不會再連都易居上

1.很好奇你這台電腦所要扮演的角色為何?這台電腦直連Interlnet不是被攻擊入侵的風險極大嗎?您的做法有點奇怪。
2.如果是我的接法,ISP - 居易2110 - 內網電腦,居易2110 另有一個VPN Tunnel連到遠端的另一網段。

  1. 所以居易的內網IP為內網的Default Gateway,那麼內網電腦不管是到Internet或是vpn,居易2110均有路由紀錄,那你所說的電腦也不需要再裝一張網卡,這也是一般的做法。
  2. 如果方便的話,能否提供網路架構圖,那麼許多前輩比較能看出您的需求與問題,提供較好的方法。
  1. 您的做法也不是不行,因為serve有二個Gateway,表示到其它網段有二個出口,所以您必需在這台server,以指令方式,手動設定至少二筆以上路由,指定那些網段要從那個網卡出去才行。
allen1975 iT邦新手 3 級 ‧ 2011-12-01 14:50:30 檢舉

不好意思 額外請教下
charley 大大
精品公司是透過mpls-vpn 與各點 傳輸資料應該是類似Pos系統
那麼貴公司與精品公司 vpn 是走一般網路
還是有另外申請mpls-vpn
因為一般網路 在島內穩定性有 但難免會有斷線情況 這樣傳輸郵件不是不穩定.
謝謝

當時因精品公司在一個月內就要搬到總公司大樓,所以是用三地的原有Internet網路,利用三台Juniper防火牆建Site to Site的VPN Tunnel

2
cychin
iT邦新手 4 級 ‧ 2011-11-21 10:22:45

您好,

原則上,在網路的設定中,只能有一個Default Gateway,也就是預設路由,通常預設路由是指 IP網段 0.0.0.0/0.0.0.0 利用那以個節點來作繞送,您的問題基本上來看,Server接了兩片網卡,一片是對ISP,另一片是接到內網的VPN,而兩張網卡也設定了Gateway,此種設定等於設了兩筆預設路由,因為只能有一個預設路由,所以才會發生不能使用的問題,大致的解決方式如下:

  1. 對ISP網卡:設定IP/Netmask/Gateway
  2. 對內VPN網卡:設定IP/Netmask (居易的內網IP網段)
  3. 增加對內VPN路由:假定居易的設備對內的IP網段為:192.168.1.x/255.255.255.0,居易提供VPN的網段為192.168.100.x/255.255.255.0,則Server增加一筆路由為:route add -net 192.168.100.0 netmask 255.255.255.0 gw 192.168.1.254(假定為居易的IP)

以上設定後,大致的網路流向為,除了往居易的VPN要走對內的網卡外,其餘所有對外的連線都走ISP這條路出去。

提供給您參考,如有錯誤請指教,謝謝

匿名 檢舉

cychin提到:
假定居易的設備對內的IP網段為:192.168.1.x/255.255.255.0,居易提供VPN的網段為192.168.100.x/255.255.255.0,

cychin大,可以請教下這段的意思嗎?這兩組IP差異在哪呢?謝謝啦。

cychin iT邦新手 4 級 ‧ 2011-11-21 12:17:57 檢舉

您好,已回覆在補充說明了,謝謝

0
htcj0110
iT邦新手 5 級 ‧ 2015-08-28 23:16:59

其實你應該思考一下你這台CentOS目前所擔任的角色及提供的服務是什麼,再來考量是否需要用到2張網卡.通常,若是要擔任router,才會同時使用2張網卡,不然,在一般情況下,一張網卡即已足夠,自然也不會有設2個gateway的狀況.

我要發表回答

立即登入回答