實體ip與nat雙線路問題

network wan load balance routing

kyokyolin 2018-06-27 14:35:16 ‧ 3373 瀏覽

您好
我想請問我的工作環境目前部門裏都是配實體ip，並無做nat出internet的轉換
但我有另一條備線是hinet但ip不夠用一定要做nat才能使用

我想問題有沒有辦法讓這2種環境都共存使用嗎?
比方我不用去改部門裏實體ip的電腦的ip設定，但當網路有問題時卻可以走備線hinet出去
或是說去某網站時都會走備線hinet而不走原本的線路之類

我知道如果把部門裏的ip都改成私有ip，然後做wan load balance + nat可以使用雙線並用的情況，但是否有辦法可以讓原本的電腦ip不去調整原本的實體ip，但又走備用的hinet，謝謝

看更多先前的討論...收起先前的討論...

slime iT邦大師 1 級 ‧ 2018-06-27 15:08:38 檢舉

如果是 Windows 電腦, 可以在每張網卡設定多個固定 IP 與 subnet mask .

然後用排程定期 ping gateway , 若 ping 不到 gateway , 就執行 route 修改路由表.

kyokyolin iT邦新手 5 級 ‧ 2018-06-27 18:32:38 檢舉

謝謝您的幫助，好像這個方法的確可以，但不知道是否有盡量不動client，只去調整gateway or router的方法，主要是希望能做到當原本網路不順時，我由出口端調整即可，謝謝

zyman2008 iT邦大師 6 級 ‧ 2018-06-27 19:44:16 檢舉

市面上蠻多的防火墻可以做到你要的, 不用改電腦ip.

kyokyolin iT邦新手 5 級 ‧ 2018-06-28 09:50:45 檢舉

zyman2008 您好，請否有推鍵的防火墻?還是需要使用到什麼樣的功能呢?謝謝

slime iT邦大師 1 級 ‧ 2018-06-28 11:34:32 檢舉

Load Sharing 這方向去找應該有很多, 或標 2WAN , Load Balance 的設備.

林門神JanusLin iT邦超人 1 級 ‧ 2018-06-28 14:23:20 檢舉

找我
MHG-450
NFW-560
還有更大台的

窮嘶發發發 iT邦高手 1 級 ‧ 2018-06-29 13:12:19 檢舉

多加一張網卡，一張跑 NAT 一張跑實體IP，兩條線路接對地方就好

kyokyolin iT邦新手 5 級 ‧ 2018-07-03 10:42:39 檢舉

窮嘶發發發您好我目前自己的電腦就是用這種方法，謝謝

kyokyolin iT邦新手 5 級 ‧ 2018-07-03 10:42:52 檢舉

門神JanusLin 感謝提供資料，謝謝

登入發表討論

直播研討會

{{ item.channelVendor }} {{ item.webinarstarted }} |

直播中

6 個回答

mytiny

iT邦超人 1 級 ‧ 2018-06-27 21:33:33

樓主如果是替您的客戶考量這個問題
小弟會建議您盡量不要碰這個架構
但如果是您自己的單位
小弟會說這些年來的網管都太過懶惰
架構再繼續這樣疊層架屋下去
遲早有一天會麻煩到不能解決

閒話說完，簡單回復
這是一個路由的狀況，都可以用有L3及NAT功能的防火牆來解
路由都有距離值及優先權，可以讓不通的路由給順序低的來跑
不過因為一定會遇到至少三個以上的地方需要路由(含NAT)
日後會越來越不知道路由跑去哪裡(如果網段又很多)
特別是您上了IPv6以後(公家單位都需要)

如果有工程師願意來做改全部架構的事
樓主您一定要特別感謝他
因為小弟相信願意做改架構的工程師已經越來越少

回應 1
分享
檢舉

kyokyolin iT邦新手 5 級 ‧ 2018-06-28 09:49:19 檢舉

謝謝您的回覆，我算是單位裏的網路管理者，但我不是決策者，改架構主管及其他單位主管基本上是不願意的，所以我才會希望是否能不動原架構下去調整，謝謝您的幫忙

登入發表回應

david_tseng

iT邦新手 5 級 ‧ 2018-06-28 09:03:01

建議您使用者端都改以防火牆做NAT上網，至於兩個WAN部份可採用雙WAN且具有wan load balance功能的防火牆或再加一個wan load balance的設備即可達到雙WAN或多WAN分流及備援

回應 1
分享
檢舉

kyokyolin iT邦新手 5 級 ‧ 2018-06-28 09:53:19 檢舉

之前問過廠商也是給這樣的建議，但主要的問題就是單位內不想去動原本實體ip的部份，滿傷腦筋的，謝謝您的回覆

登入發表回應

nicelink001

iT邦新手 4 級 ‧ 2018-06-28 13:03:58

那作業系統實體ip的電腦為何 ?

實體ip的電腦要有兩片網卡 ... 一片實體ip不變一片設虛擬 IP 接內部 IP

如 linux 那好辦 (windows 那就找軟體) , 用 linux nat ... 去 google 一大堆 ....

之前我設過 "去某網站時都會走備線" ....那備線就是 linux nat .....

後來有 L3 好辦了 ... 當 gateway ping 不到 8.8.8.8 時切換成備線遠傳 , 發信通知 ....(我 L3 是 RouterOS )

回應 2
分享
檢舉

kyokyolin iT邦新手 5 級 ‧ 2018-07-03 10:43:44 檢舉

您好，我目前自己電腦就是用這種方法去解決，謝謝您的提供

nicelink001 iT邦新手 4 級 ‧ 2018-07-05 11:16:49 檢舉

看到你後面回說已有 RouterOS。
RouterOS 可以用 Transparent + NAT 併行 , 但是我沒做過 ......
可能要用 VM 的 ROS 先測測看 ...

登入發表回應

林門神JanusLin

iT邦超人 1 級 ‧ 2018-06-28 14:27:04

找我
小台的
MHG-450
NFW-560
還有更大台的

回應 1
分享
檢舉

kyokyolin iT邦新手 5 級 ‧ 2018-07-03 10:44:01 檢舉

謝謝您提供資訊

登入發表回應

chommy

iT邦新手 1 級 ‧ 2018-06-29 14:48:05

找一台可以多WAN對應多LAN的防火牆，
(例如:RouterOS)
放在最前端設定好應該就可以了

回應 1
分享
檢舉

kyokyolin iT邦新手 5 級 ‧ 2018-07-03 10:45:34 檢舉

您好，我們目前備線上的hinet就是用routeros做wan load balance，謝謝您

登入發表回應

dragonforce

iT邦新手 5 級 ‧ 2018-07-02 16:53:50

不動架構就要花錢換了 ~
需要一台firewall, 看你環境找台小的即夠用.

可以用兩條policy based route,
#1, run bridge mode, 讓你不用動IP, default都走原本的WAN; 但同時進行connectivity check, 當這個WAN出問題時這條route失效;
#2, 走hinet WAN, 幫你做NAT 出去. 所以當#1 失效時, 就會走第二條路.

回應 3
分享
檢舉

kyokyolin iT邦新手 5 級 ‧ 2018-07-03 10:52:24 檢舉

您好，是的目前也是希望用這樣的方法去解，但有一個疑問，我的預設ip是實體的
比方 a.a.a.a
hinet是 b.b.b.b好了

而我的電腦上只會有a.a.a.a的設定，那如果我要走hinet wan nat出去時，因為原本電腦上的ip是設定a.a.a.a的實體ip，等於是我實體ip在內部，做nat後轉成hinet的b.b.b.b出去，這樣實際上是可行嗎?不會有routing衝突的問題嗎? 謝謝

dragonforce iT邦新手 5 級 ‧ 2018-07-03 13:28:53 檢舉

解法有二:

如果買台小防火牆的話, 那就用那台直接去撥hinet 線路, 也就是hinet 附的router就不用它了, 這樣做的好處是一次NAT.
如果因為各種原因, hinet那台router沒法拿掉, 那就讓新買這台小防火牆把 .a one-2-one NAT到 .b, 上面routing 設對即可, 簡單設就是default route 全指向hinet 附的router. 這樣的作法會有兩次NAT, 怕有些軟體沒法run.