iT邦幫忙

0

網路遮罩255.255.255.0與255.255.255.254

小弟不才對IP及網路認識不足 問題已經解決
但對這設定還是無法理解 也上網看過 但還是不懂 還是單純的衝突?

先說一下公司的環境比較特殊 公司走學術網路 也隔一道防火牆(不是圖上的 這是後來再買的防火牆)他們的網路不能動

但還有自己中華電信的網路(固定ip X.X.X.211~216) 不過這條是用來做外部連接 也就是接監視器可以從外部也看得到 內部開程式也沒有問題
兩條線路原本是毫不相干 到這裡是沒有問題 日子平安的過去...
https://ithelp.ithome.com.tw/upload/images/20190611/20116915usU0q3qZuW.png
直到我們公司要裝系統 所以有在買防火牆(圖上) 現在是防火牆來控制整個公司的網路(w1就是接到我們公司的網路)

因為系統要做外部連接 走學網是進不來了 我們又接一條網路線到wan2(綠線)
把監視器擋住 (內網看不到 外網手機走4G看得到)
虛擬機器(192.168.0.54是可以進來的)
只要wan2拔掉 內網監視器就正常 所以絕對是防火牆擋住

https://ithelp.ithome.com.tw/upload/images/20190611/20116915reibU3OHib.png
https://ithelp.ithome.com.tw/upload/images/20190611/20116915Pg6AnQ8Uk6.png
原本是設定防火牆去開port但還是無法 (但好像不是這樣做)
後來請電腦公司做了半天的設定 最後從只將WAN2的網路遮罩改成下方.254 內網就能連入監視器

簡單來說 為何網路遮罩設255.255.255.0行不通 而設255.255.255.254卻可以連上監視器

看更多先前的討論...收起先前的討論...
我只能說我想幫忙,但是我看你的文字看得好辛苦,整個網路架構聽完你說完整個還是很抽象
跑得快 iT邦新手 3 級 ‧ 2019-06-11 16:44:27 檢舉
看看拓樸圖示要不要再詳加描述一下
kmdodo8 iT邦新手 5 級 ‧ 2019-06-11 18:51:39 檢舉
不好意思 因為沒有圖片可以使用 只好用小畫家塗塗改改 有再多一點文字上的解說
2樓已經把網路環境都做出來了
防火牆放在小烏龜外面是我無法理解的事,是不是你們做錯架構了?

那防火牆有支援多路由吧?
kmdodo8 iT邦新手 5 級 ‧ 2019-06-12 09:37:48 檢舉
防火牆放在小烏龜外面是我無法理解的事,是不是你們做錯架構了?
這我理解 我是後來進公司 監視器已經在之前就架設好 聽主管說當初監視器公司 有問要不要架防火牆 後來不知道為什麼選擇不架

那防火牆有支援多路由吧?
只有兩條WAN 還有數台交換器插著
vegalou iT邦新手 4 級 ‧ 2019-06-13 20:12:01 檢舉
CCTV做在實體網路上,是因為他們要在外網直接看錄影截圖或者回放。

我猜是當時的P2P技術不佳。

遮罩的計算就看當時配的IP數量有關。

2 個回答

3
jasonlin268
iT邦研究生 5 級 ‧ 2019-06-11 18:18:05
最佳解答

根據樓主不清楚的說明,猜測網路大概如下:

https://ithelp.ithome.com.tw/upload/images/20190611/20006603vGyXW5gkfw.png

如果wan2的網路遮罩是255.255.255.0,而新防火牆沒有設好nat loopback,則wan1內網的電腦就會連不上監視器的外網IP,如果廠商把wan2的網路遮罩改為255.255.255.254,則X.X.X.211與監視器的X.X.X.216是不同網段,所以wan1內網的電腦就會經由學術網路、網際網路而連上監視器,但是此時外網的電腦能連上x.x.x.211 --> 192.168.0.54 (3389)的虛擬機嗎?
以上純屬猜測...

看更多先前的回應...收起先前的回應...
kmdodo8 iT邦新手 5 級 ‧ 2019-06-11 18:47:17 檢舉

您好 感謝您的回覆
架構上完全是對的
我的問題在於網路遮罩設定成255.255.255.254就可連入監視器
原本設定255.255.255.0卻完全不行

但是此時外網的電腦能連上x.x.x.211 --> 192.168.0.54 (3389)的虛擬機嗎?
可以連上 不管網路遮罩設255.255.255.0或是255.255.255.254都是可以連上 (防火牆有指定PORT至192.168.0.54的虛擬機)

另外這圖片是網路上的嗎...? 以後若有問題可以做使用

zyman2008 iT邦大師 8 級 ‧ 2019-06-11 19:59:34 檢舉

監視器如果default gateywa指向小烏龜, 就會不知道要怎麼route到172.X.X.X/255.255.255.0
所以要檢查政策規則設定,
從172.x.x.x/255.255.255.0到x.x.x.216,要做NAT.
將來源IP-172.x.x.x轉成wan2的x.x.x.211去連x.x.x.216
這樣從監視器回來的封包才會往wan2送.

jasonlin268 iT邦研究生 5 級 ‧ 2019-06-12 10:51:55 檢舉

還沒完全解答樓主的疑問就被選為最佳解答,實在是受之有愧,
建議樓主可以從公司內網的PC上使用tracert指令來追蹤是如何連接到監視器,這樣比較能確認網路封包的走向:
tracert X.X.X.216

kmdodo8 iT邦新手 5 級 ‧ 2019-06-13 14:26:41 檢舉

因為前面被提到太籠統 結果滑下來就把整個架構畫出來 太讓我震驚
(自己也是新手 原以為是設定上的問題 但好像越搞越複雜 而監視器那邊也是自己不能碰的地方 設定也不清楚 就只好草草結案)

但能否再請教您一次 關於畫出來的圖片部分 是您自己手畫的嗎

jasonlin268 iT邦研究生 5 級 ‧ 2019-06-14 09:43:41 檢舉

圖的部分是我用Visio針對您的提問畫的,所以您可以自行運用。

0
wesleychen
iT邦新手 5 級 ‧ 2019-06-12 08:59:58

您監視器的subnet mask是/24 還是/29 ??

kmdodo8 iT邦新手 5 級 ‧ 2019-06-13 14:28:01 檢舉

這個...我就不知道了 剛來公司 監視器就設定好了
我也沒有管理介面可以去看

監視器的subnet mask 如果是/29
WAN2 subnet mask 設/24 二個設備應該連不起來(不同段啊~)

我要發表回答

立即登入回答