iT邦幫忙

1

關於DHCP分配不同網段 IP 網路互通的問題

  • 分享至 

  • xImage

你好,我是用一台 Windows Server 2008 R2 作為 DHCP Server。

公司的整個網路只有一個實體網段, 各辦公室的網路都是透過各辦公室的SWITCH 的一條主要線路連到 主交換機 。
目前使用 防火牆設備當作通訊閘, 防火牆設備的IP是 192.168.1.254
目前所有連上網路的用戶端電腦都是取得 192.168.1.1 ~ 192.168.1.200 , 通訊閘指向防火牆設備的IP。

DHCP Server 是用 虛擬機的方式運作,只有一個網路介面 , 我在網路組態的 TCP/IP通訊協定中設定兩個 IP,分別是 192.168.1.210 以及 192.168.11.210
DHCP 分配 192.168.1.1 ~ 192.168.1.200 (簡稱領域1) 以及 192.168.11.1 ~ 192.168.11.200 (簡稱領域2) 這兩個領域的動態IP。
領域1 的網段中主要是一些伺服器以及桌上型電腦。

DHCP 的通訊閘指向防火牆設備的IP。

整個公司的網路中有一些無線AP , 我現在想做到的是 透過無線AP上網的裝置,只能取得 領域2 的IP。
透過實體網路(不透過無線AP)連上網路的裝置只能取得 領域1 的IP。

但是必須能透達到一點就是不論是取得領域1或是領域2 IP 的電腦必須能夠互通。

我曾經試過將無線AP的IP 設定成 192.168.11.253 , 通訊閘設定成 DHCP的IP:192.168.11.210。
無線AP的通訊閘必須設定成和自己的IP同一個網段,所以無法指向防火牆設備的IP。
無線AP取消 本身的 DHCP 功能,透過無線AP上網的電腦只透過上述中的 Windows Server 2008 R2架設的 DHCP取得IP。

目前遇到以下兩個問題:

問題一:
當 DHCP SERVER 同時啟用領域1和領域2的時候,透過無線AP聯網的電腦無法取得任何領域的IP。

問題二:
當DHCP SERVER 停用領域1 , 只啟用領域2的時候,用一台筆電連線到無線AP,可以分配到領域2的IP, 也可以正常 Ping 到 DHCP Server 的兩個 IP
但是卻無法PING 到 領域 1 的其他電腦。

領域 1 中的其他電腦也無法 PING 到 領域 2 的這一台 筆電。

越來越多同事使用 手機或是筆電來連上公司的網路,因為實際工作需求,還不太能夠去禁止大家用筆電或手機上網。
本來想用 DHCP 中的超級領域功能來解決 實體網路中 IP 不足的問題,但是超級領域是隨機分配各領域中的IP給電腦,反而會變成不好管理。
如果用超級領域來解決的話,變成每一台電腦都必須設定 MAC ADDRESS 和IP 的對應關係,才能確定能取得領域1或是領域2 的IP。

我現在的想法是, 只要透過無線 AP 連線的裝置(例如:手機、筆電、無線印表事務機等) 都集中到一個領域中,但是這些裝置也必須要能跟
主要領域中的伺服器或桌上型電腦相通。

有人知道如何解決這個問題嗎?
謝謝。

圖片
  直播研討會
圖片
{{ item.channelVendor }} {{ item.webinarstarted }} |
{{ formatDate(item.duration) }}
直播中
20
yesongow
iT邦大師 1 級 ‧ 2013-03-31 15:47:10
最佳解答

基本上,要區分兩個網段,就必須要有兩個閘道器ip,
例如192.168.1.254與192.168.11.254。

若要解決問題2的現象,必須有以下四種方式,選一種解決

A.透過防火牆的多張網路介面。(或是防火牆用Tag方式與L2交換器連線)
防火牆的LAN1為192.168.1.254,而防火牆的LAN2 or DMZ設定為192.168.11.254
並須設定Allow LAN1 to LAN2 Any,與Allow LAN2 to LAN1 any
或是Aloow LAN to DMZ any,與Allow DMA to LAN any
且防火牆的兩孔,必須分開接於兩台獨立的交換器,此兩台不可互通,代表VLAN1與VLAN11
或是分接於網管型交換器的VLAN1 孔與VLAN11孔。

B.使用Layer3路由型交換器。
將L3 Switch分切兩個VLAN,個別為VLAN1,與VLAN11,並將Vlna Interface IP個別設定為192.168.1.254與192.168.11.254,
並設定Defualt Routing至防火牆的LAN IP,
且VLAN11需要設定DHCP Relay至Windows DHCP server的IP
此時Windows DHCP 只能有一張網卡,且只能有192.168.1.xx的IP,不能有192.168.11.xx網段的IP喔!
而DHCP主機是可以透過L3 switch routing而ping到192.168.11.254喔。

C.透過L2交換器及單一實體網卡,及Windows系統
Windows DHCP Server雖然是虛擬機,且實體機可能沒有兩張網路卡!
但也請給它兩張虛擬的網路卡,只是虛擬平台的網路設定,請將實體網路卡透過Tag方式,與網管型交換器連線,這樣就可避免兩個廣播封包互相影響DHCP 的IP派發!

DHCP主機的網卡部份,請各別設定為192.168.1.254與192.168.11.254
並在DHCP server上,啟動路由功能,以便AP網段的設備,可透過192.168.11.254連線至192.168.1.xx。
至於windows的路由功能穩定嗎?快嗎?好管理嗎?不在此討論。

D.透過2台無網管交換器及兩張實體網卡,及Windows系統
在沒有網管型交換的環境下,請確認Windows DHCP 主機所使用的虛擬網卡,能各別對應到兩張實體網路卡,而實體網路卡各別分接兩台交換器,此兩台交換器不可互通,以免DHCP發放IP時,發生互相影響的現象。

當您選以上一種方案後,就不會有問題一的困擾了。

感謝回應,我想 C 方案可能是我目前比較可能會實行的方案。
C方案可以在不修改目前的網路拓樸和佈線架構上達成嗎?
因為目前如果要把一個實體網段切?兩個實體網段,可能要改網路拓樸和佈線架構,可是一項很大的工程。
我看除了 C 方案以外其他的方案似乎都是必須改實體網路架構。

yesongow iT邦大師 1 級 ‧ 2013-04-01 08:27:07 檢舉

要不要修改網路拓樸與佈線架構,與上面四種,毫無關係!
全在於目前所有的交換器,是否為網管型的交換器。
若全部都不是網管型的交換器,而依照需求,要區分以下八種網段時,
PC,Trust_AP,Server,Guest_AP,DMZ,Sales,RD,Financial
則要骨幹線路必須要拉8倍的線路,才能串連以上8種網路,使其各自互通。

若全部都是網管型的交換器,只要將交換器互相連線的骨幹孔(例如Port23,24),設定為帶Tag的功能,並依照其他需求,將Port 1~22分別設定正確的VLAN代號,即可全公司同網段的電腦/NB互相連線。

若是不同網段的設備要互相連線,建議以Layer3 core switch來提供Routing功能。

15
xxoo1122
iT邦新手 3 級 ‧ 2013-03-31 13:13:50

不知道你的防火牆及交換機是何型號,所以我先假設你的防火牆支持802.1Q及你的交換機支持VLAN及TRUNK功能,首先把DHCP這個服務都改到防火牆執行,然後在防火牆上切2個子介面分別是192.168.1.254及192.168.11.254,然後在交換機上創建VLAN(VLAN10:192.168.1.0/24,VLAN11:192.168.11.024)然後把PORT劃分到你規劃的VLAN中,最後交換機到防火牆的UPLINK設定TRUNK,,這樣大概就OK了!

7
jimmyfu
iT邦新手 5 級 ‧ 2013-04-01 16:46:50

簡單來說,這個不是DHCP可以解決的問題
你需要L3的Switch或透過好一點的防火牆來做Routing
最好是能再搭配上可管理的無線AP,來做無線連線的認證管理
甚至切分多個SSID,讓個人的手持裝置不能連進公司網路只能上網
但筆電可以與內網互通
外來訪客也可讓他只能上網但與內網不互通,並可提供臨時上網的帳號使用以便管制
需要更詳細的資料可以再與我聯繫,謝謝

我要發表回答

立即登入回答