iT邦幫忙

0

區網看到的連不到

Q1.
假設我是A電腦 群組是workgroup 區網有a-z台電腦...我在網芳可以看到所有電腦.但我用angrp ip scanner掃描..只能掃到20台的電腦,有6台掃不到,假設是 b,c,p,q,x,y 這六台好了..

我ping b 但出現
Ping 要求找不到主機 b。請檢查名稱,然候再試一次。

但我到B去看她ip是 192.168.1.46, 群組是 mshome. 可正常上網.
用b ping a 正常

回到A.我ping 192.168.1.46...
出現 要求等候逾時。 我還是ping不到對方啊,所以不是解析的問題...求解....

q2.我門是八點半上班,但主管說她七點多來..沒人在使用電腦可是上網還是常常很慢....希望能解決...所以我用了angrp ip scanner掃描..發現了Q1的問題...Q2想問如何解決常常上網很慢的改善...
我家的架構是...防火牆是穿透式..外面有兩台server..mail跟ftp.對內就只有兩台hub..沒有switch...常常會上網很慢...公司規定下班一定要關機...所以除了幾台server不可能有人使用
.當然server並沒有用p2p之類的軟體..

16
vino1
iT邦大師 1 級 ‧ 2012-01-13 02:46:50
最佳解答
  1. 先檢查那六部 ping 無回應的, 是否有開啟OS自身防火牆or防毒軟體的防火牆,
    如果有的話, 試著關閉防火牆或是在防火牆中開啟 ICMP 及 tcp 139 & 445 port,
    然後再ping 看看是否有回應

2.因為您沒有敘述的很清楚, 假設您的網路架構如下圖好了

如您所說, 下班時所有電腦都關機, 主管上班使用網路就開始慢,
先跟您的主管跟同仁溝通後再做, 省的被批~
找一天早點進辦公室, 先把 firewall 上頭所有連接的網路線都拔除,
a. 拿台筆電直接接上ISP的設備, 測看上網速度
b. ISP的設備網路線接上firewall,筆電接在firewall,測看上網速度
c. DMZ 3台電腦網路線一台一台接回 firewall, 筆電接在firewall,測看上網速度
d. HUB A 網路線接回 firewall, 筆電接在HUB A,測看上網速度
e. HUB B 網路線接回 firewall, 筆電接在HUB B,測看上網速度

上述5個步驟依序做, 做到哪個步驟會變慢時, 就查那個步驟裡的設備看有無故障或電腦中毒!
還有, 先記下哪條線路在firewall的哪個port, 以免接不回去變成另一個災難~

看更多先前的回應...收起先前的回應...
magician iT邦研究生 2 級 ‧ 2012-01-13 09:29:27 檢舉


我家那詭異的網路架構圖....穿透式防火牆....不是一般的nat防火牆

vino1 iT邦大師 1 級 ‧ 2012-01-14 09:04:40 檢舉

你這應該是類似 UTM 那類的設備吧~ 用 Bridge 架設..
不過架構真的是有點怪怪的就是了~
請問那台 firewall 的設備型號是什麼?! 方便告知嗎..

magician iT邦研究生 2 級 ‧ 2012-01-16 09:41:40 檢舉

防火牆型號:FortiGate 60B

shuan0114 iT邦好手 1 級 ‧ 2012-01-16 11:22:47 檢舉

magician提到:
防火牆型號:FortiGate 60B

該不會是中華電信『資安艦隊』Fortigate系列?如果是的話,那台UTM機器因該是...防毒牆!! XD

vino1 iT邦大師 1 級 ‧ 2012-01-16 11:53:31 檢舉

這台設備,管理介面登入後, 有一個系統資源的儀表板
當網路慢的時候, 系統資源裡的 CPU 及 Ram 使用率是不是接近滿百?!
還有, 仔細看一下連線數是不是也很多?!

magician iT邦研究生 2 級 ‧ 2012-01-16 13:26:27 檢舉

聽說是中華電信裝的..是Fortigate系列沒錯.我是沒看到『資安艦隊』幾個字拉.
防毒牆????????????所以她不能當防火牆嗎??
因為在那台外面的那兩台linux都有做nat說..

剛剛想說進去看...結果
糟糕!Google 瀏覽器無法連線至 192.168.1.250

不過我能確定3個月前我有進去看過....晚點我再試試進的去否~~

magician iT邦研究生 2 級 ‧ 2012-01-16 14:12:47 檢舉

哈~~我忘記打port number...進去了...

現在很正常說
cpu 6%
ram 48%
連線數約500

magician iT邦研究生 2 級 ‧ 2012-01-17 10:07:44 檢舉

剛剛又有兩個人反映 很慢...上去看..
cpu 6%
ram 48%
連線數約250..

vino1 iT邦大師 1 級 ‧ 2012-01-17 20:08:40 檢舉

那請問一下, 您這台 FG 有開啟哪些功能嗎?!

magician iT邦研究生 2 級 ‧ 2012-01-18 09:53:12 檢舉

看起來真的就只開了一些防毒防駭的功能...

6
ctipde
iT邦高手 1 級 ‧ 2012-01-12 17:16:54

請問版大貴公司是否有DNS Server,由Q1來看 B電腦可以Ping到A電腦(是用電腦名稱還是IP來解析?) B電腦看來是防火牆功能開啟,導致ping功能被阻檔 如果是xp請修改防火牆設定允許回應。 另外上網慢請問貴公司的ftp與mail工作量大嗎?是否是Server在作傳輸佔住頻寬?
慢的定義請問直接client ping網路正常嗎

magician iT邦研究生 2 級 ‧ 2012-01-12 17:30:25 檢舉

好像有.有的話是架在linux下...我不太懂linux....orz
dns不是都用 電腦名稱解析才是dns嗎 ?
因為我也有開防火牆..所以也就沒想到b有沒有另外設定..等等來去看...
mail跟ftp工作量很少....ftp幾乎等於0....所以應該不是server造成的..
慢的定義?我看不懂....但所有client都可以上網(就是常常會很慢).也都可以ping到168.95.1.1

magician iT邦研究生 2 級 ‧ 2012-01-16 09:55:19 檢舉

問到了...沒有架DNS.
dns 是外管

magician iT邦研究生 2 級 ‧ 2012-01-18 09:50:04 檢舉

昨天有人剛好反應網路慢...上班時間...我跑去看..結果
Reply from 168.95.1.1: bytes=32 time>2000ms TTL=244
而我的仍然是
Reply from 168.95.1.1: bytes=32 time=2ms TTL=244
發現這次是因為不同GW的關係...我走252.她走253...
幫她改回252就正常了...
252 不知/不知 測試速率:990Kbps/990Kbps
253 12M/2M 測試速率:1.86Mbps/131Kbps
明明253只有電話結費盒.沒有開其他服務啊...難不成電話結費盒吃頻寬這麼重...

6
goodnight
iT邦研究生 4 級 ‧ 2012-01-14 00:51:33

感覺架構是錯了
第一層是防火牆
然後 DMZ 給 FTP, MAIL, WEB
第二層是 HUB, 連接區網

如果你的DNS 被外部代管, 區網的 DNS 要設防火牆的 GATEWAY, 例如192.168.1.1
先檢查你區網的 DNS 有沒有設對

我不知道你公司用哪一個等級的 NAT
一般來說, 好一點的 NAT 有兩個 WAN PORT, 一個DMZ
可以指定哪些人可以走 ADSL , 哪些人走 VDSL

什麼是穿透式防火牆??
防火牆本來就有穿透功能, 好的 NAT 還可以直接將外部 IP 對映給指定的 IP (SERVER)

magician iT邦研究生 2 級 ‧ 2012-01-16 09:52:24 檢舉

是啊~我學的架構也是
網際網路<=>防火牆WAN DMZ 給FTP,MAIL,WEB, LAN端接HUB
所以我進來後看設備劃出公司架構後,我也傻眼了..跟我學的完全不一樣..

我把這張圖拿去問一個CCIE的講師,她回答的很簡潔...就是...穿透式防火牆.
所以我自然也就跟著說這是穿透式防火牆...

我也不知是哪一等級的NAT (防火牆型號:FortiGate 60B)
不過真的有兩個WAN,一個DMZ,也真的接了兩台xdsl..
只不過前方各有一台LINUX就是了

magician iT邦研究生 2 級 ‧ 2012-01-16 14:18:29 檢舉

恩...我進去防火牆後,在 操作模式 裡的選項就只有
nat 跟 Transparent(穿透模式)...這兩種.

6
shuan0114
iT邦好手 1 級 ‧ 2012-01-16 11:47:44

建議版主試著把所有的電腦,改成相同的群組,在區域網路中兩台電腦傳輸效能會比較好,另外,無法ping到電腦的話,有可能是防毒軟體擋掉。舉例來說:之前本人在安裝『賣咖啡』防毒軟體時,預設是將Ping功能關閉,所以手動開啟後,就可以正常ping到。
另外,傳輸速路慢,可以先查看一下硬體設備,如:Hub(與Switch是不一樣的設備,且hub上連接越多電腦,頻寬會被平分掉喔,舉例:100MB的Hub,接兩台電腦的話,每台電腦的速率就只分到50MB,四台的話就分到25MB..依此類推)、網路線(不同的線材傳輸速有差)、電腦主機!!最後再檢查TCP/IP設定!!
個人經驗:之前同仁反應網路很慢,結果測試後,發現其實是網路線線頭在製作時有弄錯(我不是兇手),於是將網路線換過之後,就變很快了!!

看更多先前的回應...收起先前的回應...
magician iT邦研究生 2 級 ‧ 2012-01-16 12:05:28 檢舉

我也是盡量把所有電腦改成相同群組,至於防毒軟體.全公司的防毒都是我裝的.所以不可能只有六台被防毒擋掉.其他台都沒被檔掉..我三個星期前才將防毒全面更新到nod32 v5.

我家三台都是sw (dlink des-1024d),不是hub.畫圖時習慣寫hub.
線材都是cat5 ...
主機都很爛啦...全部都是2004-2006之間的二手電腦

線頭檢查就比較麻煩..看起來都是568b的接法..

shuan0114 iT邦好手 1 級 ‧ 2012-01-17 09:08:31 檢舉

magician提到:
dlink des-1024d

剛查了一下這台Switch的傳輸速率:10Mbps~100Mbps,
所以電腦最快傳輸速率也(上網)只有100Mbps阿!!
看您公司的架構有點像Load balance,
不清楚貴公司Web是否有對外開放?
如果有的話,
右半段頻寬因該很吃緊,
這時候公司的電腦還是由右邊出去外面的話,
那上網速度因該是....@#$%^,
試著先讓公司內部人員從左邊出去,
看是否有改善!!!

magician iT邦研究生 2 級 ‧ 2012-01-17 10:20:37 檢舉

一般sw都是10Mbps~100Mbps...光籤才有可能1Gbps.

公司web在別人家代管...不在公司內部...所以頻寬跟web無關..

架構的確看起來像Load balance,只是在防火牆上我看不到Load balance之類的選項設定.
所以其實沒有Load balance....不知是不是通透模式沒有這種選項..
如果有Load balance,那GB就會設250,而不是252或253了..

感謝你跑去查她的傳輸速率^^

shuan0114 iT邦好手 1 級 ‧ 2012-01-17 16:16:22 檢舉

那我有點好奇,
您那台web iis server的主要功能??(測試網站..)
您所謂的有人反映很慢時,
是有間隔固定時間??還是隨時隨地都有會有塞車情況??
如間隔或特地時間會很慢的話,
會不會有什麼排程(備份)剛好落在那段時間內??
另外,我看您們公司有FTP,
會不會剛好塞車時,
有人在使用FTP呢??

magician iT邦研究生 2 級 ‧ 2012-01-18 10:02:33 檢舉

web iis server的主要功能是給大陸簡轉正體用...
我不該打WEB讓妳們誤會....
其時就是一台簡體版的WIN2K 裝了IIS要讓大陸可以連到我家的正航系統...

時間不固定.所以才難找.因為她們反應慢時我大多不覺得慢..
我的排程(備份)是每天下班時間8點...公司六點後都不會有人在..
FTP,去年只有一筆資料上傳....還是我做測試時傳的....

昨天有人剛好反應網路慢...上班時間...我跑去看..結果
Reply from 168.95.1.1: bytes=32 time>2000ms TTL=244
而我的仍然是
Reply from 168.95.1.1: bytes=32 time=2ms TTL=244
發現這次是因為不同GW的關係...我走252.她走253...
幫她改回252就正常了...
252 不知/不知 測試速率:990Kbps/990Kbps
253 12M/2M 測試速率:1.86Mbps/131Kbps
明明253只有電話結費盒.沒有開其他服務啊...難不成電話結費盒吃頻寬這麼重...

shuan0114 iT邦好手 1 級 ‧ 2012-01-18 10:31:40 檢舉

照這樣來看,您的左邊頻寬被吃掉了,才會造成Reply from 168.95.1.1: bytes=32 time>2000ms TTL=244情況出現,不知道您ADSL的速率多少??我推測最有可能是您左邊那臺linux造成您網路很慢!!(個人推測)

magician iT邦研究生 2 級 ‧ 2012-01-19 08:47:14 檢舉

12M/2M
可是只有開ftp 跟 smb,和外接電話結費盒.才四線.
而ftp根本沒人在用..
至少現在可以猜測是253常常有頻寬被吃了.

shuan0114 iT邦好手 1 級 ‧ 2012-01-19 09:27:53 檢舉

可以參考一下我的補充!!
另外,可以登入FortiGate 60B裡面看一下右下角,
哪台IP流量使用最大,
在往下去追查兇手!!!

magician iT邦研究生 2 級 ‧ 2012-01-19 09:40:07 檢舉

右下角沒東西....
有系統資訊,授權資訊,設備作業,系統資元,警示訊息,cli控制台,統計 這幾項

magician iT邦研究生 2 級 ‧ 2012-01-19 10:06:28 檢舉

來源地址 來源埠號 目的地址 目的埠號 到期時間 (sec) 政策 ID
192.168.1.95 1062 98.137.130.88 443 3184 3
192.168.1.95 1046 98.136.48.117 80 3563 3
192.168.1.56 3203 74.125.31.94 80 3556 1
192.168.1.56 3205 74.125.31.94 80 3545 1
192.168.1.56 3223 74.125.31.101 80 3594 1
192.168.1.12 49901 69.171.229.38 80 3592 1
192.168.1.12 49956 69.171.228.22 80 3597 1
192.168.1.12 49971 69.171.227.50 80 3580 1
192.168.1.12 49865 69.171.227.50 80 3578 1
192.168.1.12 49866 69.171.227.50 80 3577 1
192.168.1.12 49867 69.171.227.50 80 3576 1
192.168.1.12 49378 69.171.227.50 443 3572 1
192.168.1.12 50966 66.220.153.29 443 3598 1
192.168.1.85 2800 65.55.5.231 80 3412 1
192.168.1.54 1240 64.4.61.37 1863 3588 3
192.168.1.54 1240 64.4.61.37 1863 3588 3
192.168.1.56 2367 64.4.61.218 1863 3575 1
192.168.1.158 1122 64.4.61.212 1863 3575 1
192.168.1.13 1080 64.4.61.210 1863 3589 3

magician iT邦研究生 2 級 ‧ 2012-01-19 10:08:00 檢舉

192.168.1.46 1191 64.4.61.131 1863 3584 3
192.168.1.12 49253 64.4.44.94 1863 3591 1
192.168.1.12 49253 64.4.44.94 1863 3591 1
192.168.1.67 1105 64.4.44.82 1863 3583 1
192.168.1.32 1109 64.4.34.52 1863 3594 1
192.168.1.46 1193 61.58.97.53 58801 3559 3
192.168.1.46 1193 61.58.97.53 58801 3535 3
192.168.1.12 50063 60.199.168.203 25757 3578 1
192.168.1.56 3552 222.73.245.112 80 3559 1
192.168.1.56 3594 222.73.245.107 80 3565 1
192.168.1.56 3596 222.73.245.107 80 3565 1
192.168.1.56 3600 222.73.245.107 80 3565 1
192.168.1.56 3600 222.73.245.107 80 3565 1
192.168.1.46 1399 219.84.203.9 443 3600 3
192.168.1.99 1063 207.46.125.60 1863 3594 1
192.168.1.85 1096 207.46.124.217 1863 3569 1
192.168.1.99 1816 207.46.124.169 1863 3470 1
192.168.1.56 3468 203.69.113.9 80 3584 1

magician iT邦研究生 2 級 ‧ 2012-01-19 10:08:43 檢舉

192.168.1.56 3470 203.69.113.9 80 3584 1
192.168.1.56 3431 203.69.113.49 80 3582 1
192.168.1.56 3172 203.69.113.35 80 3295 1
192.168.1.56 3460 203.69.113.26 80 3593 1
192.168.1.56 3462 203.69.113.26 80 3593 1
192.168.1.56 3428 203.69.113.17 80 3585 1
192.168.1.56 3429 203.69.113.17 80 3580 1
192.168.1.56 3424 203.69.113.10 80 3593 1
192.168.1.56 3538 203.69.113.10 80 3593 1
192.168.1.99 1027 192.168.1.253 139 3599 3
192.168.1.67 1071 192.168.1.253 139 3593 3
192.168.1.67 1071 192.168.1.253 139 3592 3
192.168.1.188 1026 192.168.1.253 139 3573 3
192.168.1.6 4139 192.168.1.253 139 3573 3
192.168.1.32 1034 192.168.1.253 445 3509 3
192.168.1.12 49187 192.168.1.253 445 3487 3
192.168.1.196 1025 192.168.1.253 445 3410 3

magician iT邦研究生 2 級 ‧ 2012-01-19 10:10:01 檢舉

192.168.1.68 1028 192.168.1.253 445 3359 3
192.168.1.99 1027 192.168.1.253 139 3323 3
192.168.1.12 51108 192.168.1.250 8000 3600
192.168.1.12 51100 192.168.1.250 8000 3588
192.168.1.188 1588 157.166.224.245 80 3599 3
192.168.1.56 3534 110.75.203.32 8080 3599 1
192.168.1.56 3641 110.75.200.7 80 3592 1

防火牆上頻寬吃重的..有62條..該怎麼看呢

shuan0114 iT邦好手 1 級 ‧ 2012-01-20 10:22:24 檢舉

FortiGate 60B只能看哪些電腦連線數,無法察看流量,且您上述列出來的,只不過世前一天的紀錄,因為FortiGate設備主要功能不在於此,故只會保留前一天的資料紀錄!!(我有詢問過廠商,並需透過外接電腦且該台電腦上安裝流量監控軟體才可)

註:您上述的資料可以看出哪台電腦(IP)一直對外連線,可以看出哪走哪種port出去!!

4
sharbui
iT邦新手 3 級 ‧ 2012-01-16 11:52:19

Q1:

  1. 檢查六台電腦的防火牆 -> 若確定防火牆已關 -> 檢查各電腦的ARP(cmd -> arp -a)
    Q2:
    各PC的GW是設在? 60B的WAN DMZ LAN要標出來,網路圖上您的實體IP最好馬賽克掉...linux是PC主機還是其他?..可能得進去看看linux上倒底開了什麼服務, 及60B上開了什麼服務, 才能知道當然此架構的目的為何....

雖然看起來架構真的很奇怪, 但一定有原因, 不然就是我們太粗淺無法理解...XDDD

magician iT邦研究生 2 級 ‧ 2012-01-16 13:37:49 檢舉

gw是252..如果user覺得慢會自己改成253

60B
wan就是253跟252
lan是250
沒有dmz區...
linux是pc主機..服務要怎麼看我不會...
60b...今天都進不去.

我要發表回答

立即登入回答