iT邦幫忙

0

ap wifi的設定與接法

08/06更新

找到問題了,結果竟然是一開始那台Switch把DHCP塞住了...
導致拿不到DHCP派發的電腦會拿到.0段,switch重開就好了
不過搞不懂原因就是了...

switch型號:HP 1920-48G
我有進管理port看過,裡面沒有任何設定值...就單純是台switch而已


目前公司接法如下
adsl→fortigate 80e(dhcp)→switch→ap wifi(接lan)
由80e去派.2段的ip
可是最近突然內網會收到.0段的ip導致設備無法上網

switch牌子沒統一,但皆為單純switch
AP都是家用的WIFI機,串在switch後不只一台

會是其中一台ap的問題嗎?
ap設定是ap模式並關掉本身的dhcp
然後進端接lan 就沒接其他東西了

看更多先前的討論...收起先前的討論...
竹本立里 iT邦研究生 2 級 ‧ 2021-07-23 10:23:29 檢舉
先說說你有全公司電腦的MAC 表嗎?
阿輪 iT邦新手 4 級 ‧ 2021-07-23 10:27:47 檢舉
當然沒有,這邊的人不會做這麼精密的工作
就算我提出也只會回遇到問題再說的那種
竹本立里 iT邦研究生 2 級 ‧ 2021-07-23 11:19:00 檢舉
自己收集呀,
設定白名單,不認識的 拒絕上網, 甚至拒絕連內網
有個工具叫portscan ,可以把你指定的一個網段的IP全掃描起來,裡面就會有NAC ADDRESS跟主機名稱,你可以輕易揪出哪一個陌生人在搗蛋

2 個回答

1
mytiny
iT邦大師 1 級 ‧ 2021-07-23 09:58:35
最佳解答

樓主要想想描述的內容
除樓主外的網路先進是否能看得懂
不是貴公司的員工會很難猜得出全貌

以下都是在下猜的:貴公司用的是FG-80E
但是Switch與AP用的是其他牌
而且AP應該是屬於家用設備

現象猜想是在原本的網段中
突然出現其他網段的IP
這情形通常是因為有人私接"路由器"
私接的設備有發其他網段DHCP所造成
解決辦法是開啟Fortigate的設備辨識
然後由FortiView去找出哪些是不同網段的設備將之處理

多說一點:
如果貴公司其他網路設備用的是同防火牆的廠牌
要不是不會發生此現象,要不早就找到私接的東西在哪了

看更多先前的回應...收起先前的回應...
阿輪 iT邦新手 4 級 ‧ 2021-07-23 10:04:51 檢舉

對 是Forti的80E
switch後其實不只一台AP
我有檢查的也只是其中一台
USER端目前調查是沒有亂私接
看來.0段很有可能是其他台AP派的對不對?

80E照理來說不會有這種低級問題吧...?
我從80E裡面去查有發現很多其他.0段的紀錄,可是找不太到來源

公司的網路架構很簡單,就是設備很雜
除了進端的80E以外
switch牌子沒有統一,但確定都沒管理介面與vlan功能
AP也是,全是家用的沒有固定牌子

阿輪 iT邦新手 4 級 ‧ 2021-07-23 10:13:33 檢舉

另外我也希望東西能統一阿...哈哈

mytiny iT邦大師 1 級 ‧ 2021-07-23 10:15:47 檢舉

80E照理來說不會有這種低級問題吧...?

這跟低不低級無關,是FG只能一個介面發一段DHCP
另外如果有很多台AP,確實需要好好每台檢查一下
有時,斷電或不正常重啟,家用AP會回到初始值

至於如何找到來源
因為樓主沒說OS版本,先以6.2說
在左側功能表user&device內
有項Device Inventory內可以查查看
如果樓主用的是FortiSwitch
在switch port的搜尋內丟IP就會直接告訴接哪一埠了

阿輪 iT邦新手 4 級 ‧ 2021-07-23 10:30:42 檢舉

抱歉,之前的問答都沒人會這麼祥細的幫我找問題
自然而然的就講得很簡單了XD

版本是7.0
不過選項跟6.2差不多,我有找到在哪看,謝謝~

不過只看到被派.0段的用戶,找不到來源是誰
硬要說有問題的port知道
但接在上面的switch跟AP有好多台
沒有fortiswitch,有HP、Cisco、netgear...Tenda?
ap的話就是家用常見品牌了ASUS、TP-LINK...之類的

所以看來還是得一台台AP去測試了,謝謝!

mytiny iT邦大師 1 級 ‧ 2021-07-23 10:46:29 檢舉

感謝樓主的給分!謝謝!
在樓主查找來源的同時
提醒樓主日後這些衝突事件仍會發生
所以記得要將每台AP的MAC抄下來供日後比對尋找
另外建議可以思考一下未來的防治方法

阿輪 iT邦新手 4 級 ‧ 2021-07-26 12:31:17 檢舉

這就是問題,因為每一台分享器都是AP模式
照理來說只會取得我底層所派發的.2段
所以相對也無法由MAC找到...
由有問題的.0段去反查只能查到誰拿到.0
但是找不到發送.0段的那台AP

0
yesongow
iT邦大師 1 級 ‧ 2021-07-23 16:00:12

最近突然內網會收到.0段的ip導致設備無法上網

不能上網的電腦,在(命令提示字元)模式下,使用ipconfig
可以看到電腦的IPv4 位址 ,子網路遮罩, 預設閘道

而這個(預設閘道)通常就是私接的網路設備,含dhcp功能
請使用arp -a 指令,去記錄(預設閘道)這台設備的mac-address

網際網路網址 實體位址 類型
192.168.0.254 f4-28-53-64-b6-dc 動態

這時候,網管型switch通常就能去列出f4-28-53-64-b6-dc這個設備,是在哪台switch底下?
哪個port?

把它確認一下,是否為機房設備?還是小屁孩的線路?Disable switch port
這樣他的設備,不通後,他的dhcp 就不會再影響公司內部DHCP發放,及網路通訊

阿輪 iT邦新手 4 級 ‧ 2021-07-26 12:33:22 檢舉

其實不用查switch,因為是串連的~
拿到.0段的電腦gateway會是.2段
因為分享器都是AP模式

防火牆出去的port只有1個
防火牆>switch>AP1、AP2、AP3
所以怎麼查應該都是會查到中間那台switch上有問題而已

然後我們的switch沒有那麼高級的功能...
Disable switch port之類的

sky1jacky iT邦新手 5 級 ‧ 2021-07-29 17:05:58 檢舉

公司的網路架構與網點資訊是否有建立起來, 若已經熟悉運作, 也可大約知道有沒有人偷亂接設備, 也大約知道那個部門最會亂接, 若照你所說全部AP都設定AP模式,那就很有可能有人在這個網路中介接設備而不自知了, 或是有RD測試項目也可能與現有DHCP衝突不自知.

會建議將網點資訊收集起來, 才能好好控管,累一次就好

我要發表回答

立即登入回答