這會是什麼情況下會發生呢????

網路管理防火牆

魯大 2015-08-25 15:04:07 ‧ 4771 瀏覽

分享至

去年公司新增加了一條光纖網路的線路
是中華的光纖線路，配了幾組的實體的IP
最近發現了一個很奇怪的問題
由公司對外連線到某個網站的網頁不通
查了很久，一直找不到真正的原因
目前只知道新增加的光纖線路所配的IP跟該網站的IP在同一個網段
只有最後一個碼是不同，其它的都一樣
用「Tracert」指令測試，只能抓到防火牆，確定防火牆有開放對外
有人有遇過相同的問題嗎?? 有什麼可解決的辦法???

看更多先前的討論...收起先前的討論...

窮嘶發發發 iT邦高手 1 級 ‧ 2015-08-25 15:28:14 檢舉

你那組IP區段的網路遮罩設錯了，請檢查一次，千萬別設為 255.255.255.0 喔
請看清楚中華給你的小紙片上面寫的，基本上他會給你 8各IP扣掉頭尾只有六個可用
因此應該是 255.255.255.248 ，如果你不是設這個，就會出問題的

純真的人 iT邦大師 1 級 ‧ 2015-08-25 16:34:38 檢舉

看起來很像是NAT Loopback的問題...

窮嘶發發發 iT邦高手 1 級 ‧ 2015-08-25 17:15:43 檢舉

還有什麼叫做同網段，去翻翻定義吧
138.140.1.1 / 255.255.255.248 跟
138.140.1.9 / 255.255.255.248 是不同網段的喔
但如果是 138.140.1.1 / 255.255.255.232 & 138.140.1.9 / 255.255.255.232
這兩個就是同網段的了，你的 TCPIP 概論要重修一遍喔
你的防火牆或是分享器或是整合器，針對哪各有 8各IP的網段是怎麼設定的
請你搞清楚，遮罩的地方絕對是 255.255.255.248
你如果打成 255.255.255.0 那就會發生你的網段因未設定不正確而發生蓋台的狀況喔

花輪 iT邦大師 1 級 ‧ 2015-08-25 21:25:03 檢舉

jones888提到：
138.140.1.1 / 255.255.255.232

是我看錯還是 JONES 大打錯，請問那個 232 是怎麼來的啊? 遮罩怎會出現232！

窮嘶發發發 iT邦高手 1 級 ‧ 2015-08-26 08:54:53 檢舉

恩是我打錯應該是 255.255.255.248 => 一個網段 8各IP
再補充常用遮罩
網段IP量遮罩可切割網段，可用IP數量
1 255.255.255.255 但實際上不可用
2 255.255.255.254 但實際上不可用
4 255.255.255.252 可分成64個子網路，每個子網路實際可用ip為2
8 255.255.255.248 可分為32個子網路，每個子網路實際可用ip為6
16 255.255.255.240 可分為16個子網路，每個子網路實際可用ip為14
32 255.255.255.224 可分為8個子網路，每個子網路實際可用ip為30
64 255.255.255.192 可分為4個子網路，每個子網路實際可用ip為62
128 255.255.255.128 可分為2個子網路，每個子網路實際可用ip為126
256 255.255.255.0 可分為1個子網路，每個子網路實際可用ip為254

窮嘶發發發 iT邦高手 1 級 ‧ 2015-08-26 08:56:29 檢舉

138.140.1.1 / 255.255.255.240 & 138.140.1.9 / 255.255.255.240 是相同網段的

海綿寶寶 iT邦大神 1 級 ‧ 2015-08-27 08:41:10 檢舉

報告魯大
這個我完全不會

只能在此搖旗吶喊助威
看看 raytracy 大神是否可以撥空前來指教指教

一級屠豬士 iT邦大師 1 級 ‧ 2015-08-27 09:41:20 檢舉

http://www.subnet-calculator.com/

subnet mask on line 計算器,
Hosts per Subnet 可以選6, 就會幫忙計算出來你的情況下,
要使用的subnet mask.
若有輸入ip address, 也會把 host address range, Broadcast Address, Subnet ID, 一併處理.

當然也可以選擇 subnet mask ...
還蠻有趣的.

CalvinKuo iT邦大師 7 級 ‧ 2015-08-27 09:41:28 檢舉

或許問一下對方網站管理員看看...
搞不好是被他們家防火牆給擋了，或者對方防火牆子網路遮照設錯，防火牆擋可能之前有同網段試圖攻擊吧...

魯大 iT邦高手 1 級 ‧ 2015-08-27 13:07:08 檢舉

魯大 iT邦高手 1 級 ‧ 2015-08-27 13:07:19 檢舉

魯大 iT邦高手 1 級 ‧ 2015-08-27 13:07:45 檢舉

魯大 iT邦高手 1 級 ‧ 2015-08-27 13:08:02 檢舉

魯大 iT邦高手 1 級 ‧ 2015-08-28 16:22:03 檢舉

jones888提到：
你的 TCPIP 概論要重修一遍喔

完全沒有修過這門課程..

魯大 iT邦高手 1 級 ‧ 2015-08-28 16:26:13 檢舉

今天有測試了一下，修改了netmask的值--> 255.255.255.248
剛改好時有通，而且也可以連到之前發現不能連的網站
但是過了不久就發現--> 網路已經斷線了...

於是又改回來原本的狀態..
到底是要怎麼設定啊

一級屠豬士 iT邦大師 1 級 ‧ 2015-08-28 17:41:26 檢舉

請堅持使用 255.255.255.248

魯大 iT邦高手 1 級 ‧ 2015-09-01 16:53:27 檢舉

設成255.255.255.248，網路會變成不通
所以應該不是這樣設定的吧

魯大 iT邦高手 1 級 ‧ 2015-09-01 16:54:34 檢舉

不好意思，各位
問題還沒有真正得到解決，所以我還不能選擇誰的回答是最佳解答

魯大 iT邦高手 1 級 ‧ 2015-09-10 08:30:07 檢舉

唉，找了電信業者來處理，結果還是一樣
而業者丟下一個問題，那就是：對方把你的IP給封鎖了
要我直接找對方詢問是否有封鎖這件事

這件事就先到這吧，後續有處理結果再行分享

魯大 iT邦高手 1 級 ‧ 2015-10-07 11:30:42 檢舉

目前問題已經解決
解決的方式就是請電信業者更換IP
提供給大家參考

登入發表討論

直播研討會

{{ item.channelVendor }} {{ item.webinarstarted }} |

直播中

3 個回答

窮嘶發發發

iT邦高手 1 級 ‧ 2015-08-26 11:51:02

最佳解答

我在討論已經把子網路遮罩PO出來了這裡就不再贅述

題主的問題很簡單，你如果在分享器上面
把中華給你的遮罩從 255.255.255.248 設成 255.255.255.0
對方網站假設是 138.1.1.1，你分享器的 IP 假設是 138.1.1.9
對分享器而言，因為你遮罩設成 255.255.255.0
所以他會認定要去 138.1.1.1 的路徑只要經過自己就好，不需要轉發
可是，要去 138.1.1.1 一定要轉到上個網段的路由器才能找到
例如上個網段的路由器 IP 為 138.1.1.6，你的路由器以為 138.1.1.1 是相同網段
所以他根本就不會執行轉發的動作，所以你的 TRACERT 只到自己的防火牆就停了

我會知道這個是因為我剛學網路的時候遇過相同的問題
我自己在 ROUTER 上面設錯遮罩，以致於這些鄰近的IP網站完全都進不去
弄了兩天才發現原因，把遮罩改好就正常了

題主很久沒回應了，是找到答案打算放生我們這些回答的人嗎

回應 6
分享
檢舉

看更多先前的回應...收起先前的回應...

魯大 iT邦高手 1 級 ‧ 2015-08-27 08:28:07 檢舉

謝謝你的回答
你的論點跟我的預先的想法是相同的
問題應該就出在遮罩
但是，信電商給的就是255.255.255.0
該線路是固6IP，實在不曉得遮罩要怎麼設???

魯大 iT邦高手 1 級 ‧ 2015-08-27 08:29:32 檢舉

另，我從不放生
我也一直很尊重認真回答的每一個人

窮嘶發發發 iT邦高手 1 級 ‧ 2015-08-27 12:38:09 檢舉

請改成 255.255.255.248 吧，他給錯了

窮嘶發發發 iT邦高手 1 級 ‧ 2015-08-27 12:40:49 檢舉

基本上你可以直接問中華電信，然後問他給六個IP遮罩用 255.255.255.0 對嗎
或是請他轉找有 CCIE 的工程師聽，他會更明白這個是他們給錯資料了

窮嘶發發發 iT邦高手 1 級 ‧ 2015-08-27 16:05:36 檢舉

我10年前曾經申請 4.5M 的專線，隨便畫了一張需求圖給中華電信，申請 64個IP ，那時他給的遮罩是 255.255.255.192 ，因為我說我們總共有5x 電腦要對外，所以要這麼多，他就給了，然後沒多久速度更快更便宜的ADSL出來了，我們實際上也沒有這種需求後來就退掉了，我遮罩設錯就是這時候發生的，那時是在路由器那邊我設錯，造成很多的網站都沒辦法上，搞了兩天，一個中華電信的林姓CCIE工程師跟我核對設定發現我設定錯誤，把遮罩改成 192 之後才正常，所以你的狀況我遇過，不信你自己弄過就知道了，IP不用改，只要改遮罩就行了

魯大 iT邦高手 1 級 ‧ 2015-08-28 16:21:21 檢舉

今天給它直接改成255.255.255.248，結果..
嘿嘿，通了，可以直接連到之前不能連的網站了
但是，網路的速度卻漸漸變慢了... 慢到整個停了... 完全連不上了...
於是又改回來了.. 又可以連線了...

登入發表回應

mytiny

iT邦超人 1 級 ‧ 2015-08-25 18:38:30

去年公司新增加了一條

用「Tracert」指令測試，只能抓到防火牆

莫非版大這條線路從新增之初
防火牆就一直沒有把流量從這條線導出過
具體是用哪一種防火牆，用的什麼多線路聯外的方式呢?
因為據小弟所知，多線路聯外需要設定，
也不是每種防火牆都可以做到

也許版大認為不是網路設備的問題
那麼除請電信查明線路之外，
也應該是查一下DNS試試(或直接用IP連網頁)

如果能提供更多的資料或架構圖
相信很多網路高手先進會更能協助版大

回應 1
分享
檢舉

魯大 iT邦高手 1 級 ‧ 2015-08-27 08:25:15 檢舉

謝謝你的回答
我先前就已經先詢問過電信商
也已經排除這個情況

登入發表回應

cmwang

iT邦大師 1 級 ‧ 2015-08-28 21:36:16

Hinet那種固3或固6IP的線路user端的netmask的確是255.255.255.0,而default router(i.e. Hinet的BRAS)通常是那個subnet的頭或尾,同一subnet上不同user間其實是靠BRAS做L2 bridging互通的,假設鵝拿到A.B.C.1-3/24好了,那鵝家設備的IP就要設成A.B.C.1-3/24,GW要設成A.B.C.254,如果鵝家的client要連到A.B.C.4-254時,VTU-R之類設備會把相關traffic轉給BRAS,BRAS再將其轉給真正的destination,反之亦然,並不是用routing mode做的(i.e.用routing mode要切3個IP時包括subnet/gw/broadcast address就只能切成/29,user能用的IP其實是5個,等於8個IP包括subnet/gw/broadcast address要浪費3個IP),如果是routing mode的話A.B.C.1-3/29和GW(i.e. A.B.C.254/24)根本不在同一subnet上,那client連不上的GW是要怎麼當GW啊....