iT邦幫忙

0

網路架構AP LAN與WAN的接法疑問

不好意思因沒上過網路相關詳細課程,網路的知識大多都是邊上班邊摸索,
對於細節的路由概念以及特殊接法沒有太多的概念,先在這邊跟大家說聲抱歉都問一些網路基本概論
我先來大概敘述一下網路環境,但主要疑惑是在AP的接線部分


目前公司的網路是走:
因AP為門店才有,這邊以走回總公司方向
門店:AP→VPN→公司防火牆
因DHCP為公司防火牆所擔任,僅走到這裡
目前我想要可以遠端連線到門店AP,
目前配置是:
AP WAN:10.0.0.X
AP LAN:192.168.門店編號.11
AP DHCP:關閉
網路線接LAN PORT
目前配置無法經由總公司連到AP,

同事告訴我,LAN要設定10.0.0.X
WAN要設定192.168.編號.11
然後網路線接LAN PORT
但是對於接LAN PORT跟WAN PORT的看法不太一樣,也一直是我在疑惑的一個方向
接LAN與接WAN的時機與用法是甚麼?
再來VPN直接接AP LAN,
WAN的10.0.0.X這部分的設定是不是根本不用設定?
就算設定Dynamic IP也是可以正常作用,
而連不進去AP的原因是甚麼?
但是其他設備(POS、刷卡機等)則都連得到,
而且其他設備也都是在AP底下,
接LAN與接WAN得差別到底是在哪裡...

不好意思,廢話比較多~~


再來還有前公司的小小疑問

前公司的網路是走:
防火牆-SWITCH L3-SWITCH L2-AP
有DHCP SERVER負責分發IP,
AP的部分,網路線是接在LAN孔,
AP WAN設定Dynamic IP
AP LAN設定192.168.50.X
AP DHCP關閉,統一由DHCP分發IP給使用者
AP網段與行政網段不同,但防火牆路由都有設定好網段互通
不過通常一旦接上公司內部網路,就無法再連進去AP,每次要改SSID之類的都是重置
每次都要重置的部分算是一直在我心中的疑惑,還是我當初鬼打牆都連錯AP LAN?


不好意思補充一下,
我所指的VPN是委外廠商所架設的一個設備

補充上秀下限的圖
https://ithelp.ithome.com.tw/upload/images/20180614/201027194s8Sp9lzPp.jpg

看更多先前的討論...收起先前的討論...
阿輪 iT邦新手 5 級 ‧ 2018-06-14 16:44:59 檢舉
可以畫圖嗎XD
Dickens iT邦新手 4 級 ‧ 2018-06-14 17:03:12 檢舉
好,我晚點有空來補一下圖謝謝XD"
不過主要還是想要了解一台AP插LAN跟WAN的差別
comhlp iT邦新手 5 級 ‧ 2018-06-15 16:09:12 檢舉
要看懂你的問題就夠煩了....首先你要贅清一點 純AP產品的規格 通常最多只有兩個ETHERNET PORT 不設"路由"功能 功能上主要針對無線流量控制 監控/ 多SSID 及 MESH,所以如果你用純AP產品根本就不會有這個疑慮, 你的情況應該是買ROUTER來當AP用!! 所以就要把DHCP 關掉...WAN PORT的設定的確可有可無 不過你同事事叫你SET指定IP 有沒有其它備用方案和部署就不得而知了,你現在的AP就像一隻有WIFI的HUB/SWITCH就是了

然後看你的圖我就更不明白了 你說"連不進"的意思 是由總公司 VPN 到門店 "連線成功後" 卻不能ACCESS AP的的控制頁嗎?

那我要先請問如你身處門店的網絡中 又是否能連進AP的控制頁面?

如果VPN是自家設定的 是沒可能進不了你的AP控制頁面...

在這麼多不確定不明朗的情況下 最有可能的就是你的AP沒有設定GATEWAY值 因為如果你的裝置身處不同網段 互通就只能靠防火裝的ROUTE了
Dickens iT邦新手 4 級 ‧ 2018-06-15 18:41:28 檢舉
好的謝謝大大 我在朝這方面試試看,感謝!!
就我的理解,DHCP 是那台宏遠 VPN 派發的,所以如果網路架構不能改變
如果要讓外面的能夠連到裡面的 AP,那麼你必須確認 宏遠 vpn這台你有設定權,而且他有 nat 或 dmz 或 port mapping 的功能
不然,是無法讓 AP可以對外的,而且說不定連中華小烏龜的設定都要改
Dickens iT邦新手 4 級 ‧ 2018-06-20 09:46:22 檢舉
好的,那可能真的是後來才安裝AP導致VPN無設定,
我再確認看看,謝謝!!
0
阿輪
iT邦新手 5 級 ‧ 2018-06-14 16:56:30
最佳解答

簡單理解
WAN 對外
LAN 對內

大概猜測了一下您的配置:
首先你們的WAN端,看起來好像根本沒接東西?所以設啥都沒差。

網路線接LAN的意思是為了上網,如果你們WAN沒有接線,那台AP就是單純的被當作hub而已,又因為DHCP被關掉了,所以要手動設定IP。

這表示前面還有一台類似中華電信的小烏龜還什麼之類的,
所以你想從總公司連回那台AP基本上是不可能的喔~

看文字我只能猜到這樣,如果可以的話畫個圖吧XD

漏回下面的,當你連上前公司內部網路時,你會被防火牆另配一組IP,
然後那個IP也許沒有在AP連線的允取清單內(或甚至不同網段),所以無法連上AP,大概?

然後我仔細看了你們同事說的...恩...
你們對外網路線應該要接在WAN,然後將WAN設定成192.168.編號.11,然後LAN設定10.0.0.x後,當你VPN回總公司的時候所得到的新IP會跟你WAN IP是同網段的,這樣就可以連回AP了,可能是這個意思吧?

不過...就算這樣還是會被小烏龜擋下來啊?
還是你的意思是VPN回總公司後還要可以連到門店AP?
這樣的話就是我說的那樣改大概就可以了~

看更多先前的回應...收起先前的回應...
Dickens iT邦新手 4 級 ‧ 2018-06-14 17:09:54 檢舉

是的,WAN的部分完全沒插線,不過跟同事在討論該插LAN還是WAN
所以我覺得既然WAN完全沒插線,設定甚麼就沒關係

門店的現場是小烏龜→VPN→AP→各個設備(POS、出單機等),目前是都可以連到POS機、出單機等,僅AP的部分連不到

然後我的位置是在總公司,是要連門店VPN後的AP

AP我通常都拿來稱做含DHCP的HUB哈哈,不確定業界是不是也都這樣稱
SWITCH 交換器
AP 含DHCP、ROUTER的功能,以目前趨勢基本上就是都包含WIFI功能
ROUTER 路由器,現大多由AP取代,這台機器我踏入企業後就沒碰過,所以細節設定我也不懂
HUB 單純集線器,最陽春那種分接網路的,不含DHCP功能

阿輪 iT邦新手 5 級 ‧ 2018-06-14 17:20:50 檢舉

小烏龜→VPN→AP→各個設備
....................↑這個VPN又是什麼?

我內容有修正,你再看看吧~

阿輪 iT邦新手 5 級 ‧ 2018-06-14 17:29:03 檢舉

因為這些設定牽扯到網段,還有VPN,還有你們公司的網路架構設計,詳細最好是直接問總公司的資訊人員會比較清楚吧?

Dickens iT邦新手 4 級 ‧ 2018-06-14 17:33:20 檢舉

我們的VPN是委外廠商的一個設備
主要就是讓我們公司與門店的設備形成一個虛擬內網

不瞞您說我就是總公司資訊人員哈哈
只是因為資訊部就兩位同事,
他不懂的事情我就得自己研究,所以才想說上來問問各位,
主要也讓自己明白這部分的網路知識

架構基本上沒有甚麼出錯,
只是我自己會希望AP至少要能連入,改SSID或著門店筆電無法連線的時候,我可以看是查看設定以及重開機這樣

Dickens iT邦新手 4 級 ‧ 2018-06-14 17:38:05 檢舉

嗯 ... 不好意思用OfficeNote做的圖,有點亂
https://ithelp.ithome.com.tw/upload/images/20180614/20102719ZfD8s5oYxS.jpg

蟹老闆 iT邦大師 1 級 ‧ 2018-06-14 23:15:43 檢舉

你IP遮罩方式錯了,應該用192.168.n.X,n是已知數
若單看圖我會認為有8個網段存在這個網路裡.

Dickens iT邦新手 4 級 ‧ 2018-06-15 11:19:11 檢舉

啊 不好意思 那個n是指不同的門店有不同的編號,所以整個門店的網段都是同一個,不好意思沒說清楚,
總之還是謝謝蟹老闆

阿輪 iT邦新手 5 級 ‧ 2018-06-20 09:09:36 檢舉

看圖的話就跟我想得差不多了,不過這樣你得在VPN上先設定DMZ之類的讓他從外面連回來特定小烏龜IP的特定port後,導入特定IP(AP的IP),這樣才有辦法,不然你從總公司連到小烏龜就沒路了,理所當然的連不到AP~

因為那台VPN構造我也不清楚,可能要問一下委外廠商是否有辦法這樣設定~

阿 你們門店的中華電信網路也要記得申請固定IP才行。

阿輪 iT邦新手 5 級 ‧ 2018-06-20 09:14:34 檢舉

只是原本一直以為你的VPN是指軟體而已,原來是硬體設備,這樣你們門店應該是透過那台VPN的WAN在向小烏龜通訊的,所以外部連線進來後的所有設定都要在VPN上做~AP只是單純的Wifi跟HUB而已

阿輪 iT邦新手 5 級 ‧ 2018-06-20 09:19:14 檢舉

一般從外部連進內部的設定
總公司(防火牆記得允許此IP連線)→連線114.10.x.x port:1234(門店小烏龜固定IP,由VPN撥號取得)→DMZ到192.168.x.11(AP),就會看到AP的登入畫面了。

如果是用小烏龜本身撥號的話,就得在小烏龜上做DMZ喔,我是不建議啦...中華本身的硬撥都好爛...

還有這樣做的缺點就是,任何人只要取得這組IP跟PORT,都有辦法從外部入侵到你們的AP喔~

Dickens iT邦新手 4 級 ‧ 2018-06-20 09:33:32 檢舉

其實進來之後看了很多地方真的有感覺到資安還蠻差的哈哈,
了解,我先試著從VPN下手看能不能進去設定,
這部分好像廠商沒提供登入帳密,比較尷尬一點

阿輪 iT邦新手 5 級 ‧ 2018-06-21 14:53:20 檢舉

說是資安不好,可是我覺得那台VPN反而是最好的資安,因為你們所有作業等於都是在總公司內運作,想把資料外流反而很困難XD

Dickens iT邦新手 4 級 ‧ 2018-06-21 16:28:02 檢舉

一體兩面,這台VPN跑不太動大資料哈哈
門店資料量很少還好,但是另一個部門資料量非常龐大,三不五時當機哈哈

主要是感覺這邊防火牆,沒有去設定到很細,
再來SWITCH也只有到L2,很多時候還蠻綁手綁腳的

阿輪 iT邦新手 5 級 ‧ 2018-06-25 10:01:28 檢舉

資安跟方便本來就是兩個相反的存在囉,
最近我們公司也在弄,所以也知道很麻煩~

0
mytiny
iT邦大師 1 級 ‧ 2018-06-15 08:37:07

按照小弟單純的理解,樓主所說的AP
應該就是一般家用無線分享器

這樣來說,WAN跟LAN的接口,必定在不同的網段
由於在分公司使用,主要的連接都已由廠商規劃設定
因此看來只會有一個192.168.x.x網段,故而不會用到WAN
只是因LAN有好幾個接口,所以都被拿來當HUB使用
如果還有什麼不通的,就問廠商吧(不是有付服務費嗎?)

Dickens iT邦新手 4 級 ‧ 2018-06-15 11:21:06 檢舉

好的,大大的一番話讓我大概有個區分LAN和WAN的方向,
非常感謝大大

0
nicelink001
iT邦新手 4 級 ‧ 2018-06-15 14:00:08

wifi 192.168.X.11 那台 沒設 gateway 所以總公司連不到 .....
例如 總公司的網段是 192.168.1.X/24
那台 wifi 192.168.X.11 要設定 到 192.168.1.0/24 往 192.168.X.1
就 windows 來解釋是

route ADD 192.168.1.0 MASK 255.255.255.0 192.168.X.1

Dickens iT邦新手 4 級 ‧ 2018-06-15 14:13:05 檢舉

非常感謝!我在嘗試設定看看!!

把那台 wifi 當個 PC 來看 , 它如沒設 gatway
那你覺得總公司 ping 它 , 它會回應嗎 ?
理論上不會回的因為它不知往哪回 ....... XD

Dickens iT邦新手 4 級 ‧ 2018-06-15 18:28:31 檢舉

也是 XDD 只好直接迷路了

0
yesongow
iT邦大師 1 級 ‧ 2018-06-15 15:04:21

由於總公司需要連線到門市的 IP,所以不能讓AP以NAT模式運作!
如果門市外線接在WAN,那要從WAN端連入LAN 任何設備,基本上會被NAT架構阻檔,你又不可能IP MAP

所以,這時候應該將門市外線接在LAN端,並關閉 AP LAN的DHCP服務,並且找AP的一個 設定,無線橋接之類的,好讓AP對外不走WAN線路,而是走LAN 的特定IP

Dickens iT邦新手 4 級 ‧ 2018-06-15 18:30:27 檢舉

了解,WAN LAN的一些細節在NAT的部分是關鍵,然後LAN的部分則是要明確指定

我要發表回答

立即登入回答