iT邦幫忙

2

內外網IP互相污染?(Clear)

D.K. 2019-12-18 02:26:053356 瀏覽

Hello all,
這是小弟第一次在ithome發問,還不太熟悉這邊社群的生態~
因為我本身並不是專職IT相關職務,還有很多知識是需要學習的

--
大概簡略的說明一下公司情境 & 問題狀況

  • 公司User約30人上下,有規劃不同工作區域但都在同一層大樓內
  • 未導入MIS / IT專職人員維護設備

內部有兩條獨立網路,且SW沒有互相連接的線路(如附件所示)

  • 內部LAN
    1. 雖然沒有DHCP Server,但每台Win設備都有配置自己的IP
    2. 主要用途為連線至WinServer2008的進銷存server
  • 外部LAN(192.168.1.0/24)
    1. 使用DHCP 開放給無管制設備瀏覽網路&聯繫客戶使用

因工作人員反應,內部LAN常不明原因IP相衝而無法連線Server,
初期先透過Advanced IP Scanner掃一下內外LAN的設備,

發現了外部LAN區然掃到內部LAN的設備
檢查了內部LAN的設備Win網路設定,也看到使用跟外部LAN同一網段的IP 192.168.1.x

(情境說明結束)

--
目前檢修後的處理方向有兩個

  1. 調整D-Link DIR-809網段,與內部LAN區隔
  2. 檢查每個工作區域是否有User接錯SW,造成內外網IP污染到

不曉得社群其他朋友,會有怎樣的處理方式?

https://ithelp.ithome.com.tw/upload/images/20191218/20123667CkTjaROaPJ.jpg

看更多先前的討論...收起先前的討論...
mytiny iT邦大師 1 級 ‧ 2019-12-18 09:10:08 檢舉
樓主的情況在於無法管控User亂插網路,也無法管制User不私自改動電腦網路設定,再加上沒有好的網路設備與網管工具,因此不管怎麼分類設定,永遠都要幫它們收爛攤子。
假如 內部 LAN 跟 外部 LAN 沒有需要串連的話,樓主目前的網路架構是有問題的
首先請先確認 VTU-R4 是接到哪一台設備,還是他也是單獨的對外線路,如果他跟I-04GW使用不同的外線,那麼,樓主IP混亂的情形就不會發生
另外,內部LAN 建議還是把 DHCP架起來,確認內外LAN沒有網路線互串
還有內外LAN使用不同的IP網段,這樣可以避免IP衝突持續發生
還有如果內外LAN要串聯,那要做的網路設定還不少,
真的建議找專業的IT人員幫忙處理,這樣會比較快解決
D.K. iT邦新手 5 級 ‧ 2019-12-18 14:41:05 檢舉
@all
這個坑我比較算是先出report給公司做評估,看後續是要自己養人 or 找SI維護 XD
slime iT邦大師 1 級 ‧ 2019-12-18 16:50:19 檢舉
建議先進一步釐清"掃到的 IP "是不是公司規劃使用的?

如網友提到的可能: 有人私自架設基地台.

而這個情況會造成有些電腦正常有些電腦無法連線.

而判斷方式, 大致上除了 IP 外, 再紀錄:
1. MAC Address
2. 電腦名稱
這樣比對後, 如果有私架分享器給手機或其他用途, 就會出現有 IP 但無電腦名稱等情況.

另一個方式是趁假日同事沒上班, 這時後掃瞄看看, 比較可以排除私架分享器.
echochio iT邦高手 1 級 ‧ 2019-12-18 17:22:16 檢舉
每個人做法不同 , 最完整是統計一下 MAC
主機可能無法打掉, 當然最好打掉 重練 , 不要再有 192.168.1.X
全部換成 192.168.120.X 這類比較少用的內部IP
發現不是統計的 MAC 一律不讓他上網 ...
taki5000 iT邦新手 5 級 ‧ 2019-12-21 21:36:00 檢舉
先買一台防火牆兼發IP吧..居易的....就好
DHCP Snooping打開
只給Switch DHCP權限
之後再用Port Security寫死Port跟MAC的對應
3
雷伊
iT邦好手 1 級 ‧ 2019-12-18 13:14:55
最佳解答

如果網路拓樸圖沒畫錯的話,左(內)右(外)是不可能相通的

您的問題有幾個地方可以偵錯
1.實際上是否有錯誤的實體線路橋接內外網工作區的SWITCH,內網工作區不用Print?
2.內網工作區的電腦IP閘道你是設在哪一台?給不給出外網?
3.D-Link DIR-809的無線網路有管控?內部工作區是否有人用筆電取得192.168.1.X?

沒有請IT的公司又需要IT支援,說真的一個IT比一個總務有用多了
我不是很喜歡回答這種問題
因為邦友的無私導致我們IT在各行各業的生存空間逐漸被壓縮了

D.K. iT邦新手 5 級 ‧ 2019-12-18 14:38:52 檢舉

就如你所說的,IT支援本來就需要專職的人員/廠商來處理
在這種沒有相關留存資料的地方,非技術人員怎樣查修都是有限度的~

--
不過也因為有社群的協助,讓我知道怎樣出這份IT報告給服務的公司

0
阿展展展
iT邦好手 1 級 ‧ 2019-12-18 04:46:45

不好意思 稍微整理一下
所以你遇到的狀況是:內部LAN常不明原因IP相衝而無法連線Server
你問的問題是:有沒有更加良好的改善方式
以上有誤煩請告知

dragonH iT邦超人 6 級 ‧ 2019-12-18 13:45:50 檢舉

是的話有什麼改善方式嗎

/images/emoticon/emoticon13.gif

D.K. iT邦新手 5 級 ‧ 2019-12-18 15:52:30 檢舉

阿展展展
原諒我在半夜時心血來潮來ithome發文

--
比較想問問社群其他User
遇到這種狀況,還會有哪些地方會去check的~

dragonH大大會幫你的/images/emoticon/emoticon48.gif

2
zyman2008
iT邦大師 8 級 ‧ 2019-12-18 08:19:49

建議要設法管制未經許可設備不能任意接入有線/無線網路.
有線部分,
你目前的交換機都是沒有管理功能的機型,不管是要查或是要管制有線的接入設備.都沒辦法用網路設備從第一個接入點下手管制.
不換設備,就要看是否可強制用實體安全的方式補強.桌機/印表機等固定OA設備,一律上RJ45 Security Lock,避免使用者私接設備,造成內外網跨接問題. 會議室只能用筆電走無線.
無線部分,
需要換有支援802.1X驗證功能的無線設備.

但做這些事還是需要專業的人來做,公司不養人就外包給SI來執行.

D.K. iT邦新手 5 級 ‧ 2019-12-18 14:55:14 檢舉

我是很想推坑網管型設備,不過現有的實體環境不允許(無獨立空間/無空調/安裝在開放的辦公空間)

當然~除了硬體的坑,還有其他沒在文內的問題也要補

zyman2008 iT邦大師 8 級 ‧ 2019-12-19 17:13:10 檢舉

所以不換switch就是用實體安全手法管制.
https://www.youtube.com/watch?v=TeLVFRc7WA8
加網路線硬體鎖,一條網路線兩端共要兩個頭.所以鎖一台電腦成本大概 NTD300.
24 ports x 300=7200
所以可以和換網管switch的花費做一下比較.

D.K. iT邦新手 5 級 ‧ 2019-12-19 20:30:59 檢舉

zyman2008
lol
這幾天也有google ad也有餵我這產品

0
harrytsai
iT邦新手 4 級 ‧ 2019-12-18 08:55:56

先查一下固定IP配發多少到多少,然後再去調整DHCP配發的範圍,兩個隔開來就好了

1
pxpx1105
iT邦新手 5 級 ‧ 2019-12-18 09:05:17

目前看起來,我覺得以資安來講比較重大的問題是
貴公司沒防火牆,如果企業有重大的資料存取在server 2008上
遇上攻擊的話,資料保護的問題應該蠻大的

首先先謝謝你畫的還算完整的網路拓樸,不過還是有幾個點需要釐清
1.對外網路的那兩個如果都是各自出去的話,應該不會有這個問題,是不是外面那邊有哪邊設備沒有清楚
2.這個情況,其實建議就是在VTUR4後面多架構一個dhcp,然後網段不要和另外一邊重疊

3.然後因為你可能會想要控管內部可以存取什麼網頁或者行為,會建議在新增一個設備類似防火牆之類的去處理

回錯地方orz

XD

0
shinyyork
iT邦新手 4 級 ‧ 2019-12-18 11:48:05

1.把外部DHCP網段改掉~就不怕接錯!改DHCP server就行~最快!
2.內部交換器鎖port mac~這樣就算接錯 網路也不會通~這種安全但設定頗麻煩!
3.如果真的接錯線~ 你把每個port都貼不同顏色貼紙(內外兩種顏色)~這種是不需設定~缺點麻煩!

D.K. iT邦新手 5 級 ‧ 2019-12-18 14:42:41 檢舉

都是無網管型的SW 可以鎖嗎 XD

1
japhenchen
iT邦高手 1 級 ‧ 2019-12-18 12:42:15

我猜,有人自己帶IP分享器並且錯接在分享器的LAN孔上,造成分享器上的DHCP亂配發IP造成與靜態IP衝突,並非內外網交互污染這種事啦

D.K. iT邦新手 5 級 ‧ 2019-12-18 15:54:10 檢舉

japhenchen

私接設備倒是有這檔事,
只是我想不透的是怎麼兩條區分的線路,會ping到內部設備

有人私設VPN

0
bidonsu
iT邦新手 4 級 ‧ 2019-12-19 19:14:07

看起來是靜態IP與動態IP分配重疊的ISSUE,如果您自身沒有具備這方面的技術,建議找廠商或是有MIS資歷的朋友來協助處理,省的越搞越亂發散出更多不必要的ISSUE來。

看更多先前的回應...收起先前的回應...
D.K. iT邦新手 5 級 ‧ 2019-12-19 20:33:00 檢舉

bidonsu

ohh
我初步也是往這方向去處理,不過能做的就只有改DHCP server派發的網段

bidonsu iT邦新手 4 級 ‧ 2019-12-24 15:10:39 檢舉

其實貴司所謂的內部不上網的電腦與外部上網的電腦都是同一個網段,一邊有DHCP,一邊沒有DHCP,沒有DHCP端的SWITCH又同時接上分享器,然而兩台分享器接在CHT小烏龜的HUB port上,這種情況下是極有可能發生您所描述的行為,因為內部電腦與外部電腦的網段IP分配只要有重疊當然有機會發生IP重複分配的機率。
如果貴司目前的應用管理需求(包含SERVER與外網使用條件等)不說明清楚,其實邦友們也很難給出合適的建議,對我來說本題的敘述如果是在描述內外部電腦IP重複使用,那是有絕對有很大的機率,如果想在不投入太多資本支出的情況下避免IP重複使用的機率,那就是回文中提的內外部電腦靜態IP與動態IP規劃在兩個LAN(其實應該算是同一個LAN)應避免重疊,至於貴司是否有其他需求或是連線使用限制,就有待貴司提供進一步分享信息(兩台分享器接線至CHT小烏龜實情,上網行為管制與SERVER連線需求條件...等),才能再深入討論調整檢修的相關建議。

D.K. iT邦新手 5 級 ‧ 2019-12-27 12:05:26 檢舉

bidonsu

ohh
事實上邦友已經提供夠詳細的建議,尤其在結束後還是有熱心的邦友(like you)繼續回答

這讓我感到蠻驚喜的

bidonsu iT邦新手 4 級 ‧ 2020-01-07 09:26:45 檢舉

恭喜您的問題獲得了圓滿的解答,既然獲得了邦友們的協助,也期望在未來您也能在自己的能力範圍內,貢獻自己的熱心來幫助其他需要協助的邦友們。

0
Ventus
iT邦見習生 ‧ 2019-12-19 23:23:03

你得先查清楚是不是有人把兩個網路串起來了...
不然就你的架構圖左右兩邊是不可能相通的...

D.K. iT邦新手 5 級 ‧ 2019-12-20 02:18:32 檢舉

有推薦的工具嗎?
目前是看中入門款的探針型線路檢測器

mytiny iT邦大師 1 級 ‧ 2019-12-20 10:46:00 檢舉

我要發表回答

立即登入回答