6070
社区成员
呵呵,几个网络问题,急需解决,欢迎讨论。
三个问题。背景如下:
背景是一条T1线路,一家公司分到123.123.123.81、82、83、84、85、86六个IP(A类),掩码为255.255.255.248,网关为123.123.123.81(在ISP那里),一台宽带路由器(支持multi-DMZ)内部拨号上网,82的IP分给此路由器,网关指向81。
问题如下:
1、我要把这些IP分给内部几台机器,同时这几台机器也在LAN内,也有自己的内部IP(192.168.1.xx),我现在的做法是在路由器里面做multi-DMZ,直接将一个全球寻址IP分给一个内部机器,问题是,如果没有multi-DMZ功能,我该如何将这些IP分给内部的几台机器,同时他们也有自己的内部IP,同时内部外部都能用不同的IP访问。
2、做好multi-DMZ配置后,出现一个问题,内部的机器不能通过全球寻址IP找到目标机器,比如一台机器的IP是83,网卡也绑定了这个IP,在内部直接Ping 83不行,但在Internet上Ping 83可以找到此机器。如何解释此现象。
3、在Internet上,许多地方Ping 83也出现一个现象,比如一个分公司,A机可以Ping 83,B机不可以,两者网络配置一致,并且排除防火墙因素。但一段时间后B机也可以了,此问题在几个分公司局域网内都出现。做Tracert时,不能访问的机器路由到了81就Stop了。如何看这个现象。
背景是一条T1线路,一家公司分到123.123.123.81、82、83、84、85、86六个IP(A类),掩码为255.255.255.248,网关为123.123.123.81(在ISP那里),一台宽带路由器(支持multi-DMZ)内部拨号上网,82的IP分给此路由器,网关指向81。
问题如下:
1、我要把这些IP分给内部几台机器,同时这几台机器也在LAN内,也有自己的内部IP(192.168.1.xx),我现在的做法是在路由器里面做multi-DMZ,直接将一个全球寻址IP分给一个内部机器,问题是,如果没有multi-DMZ功能,我该如何将这些IP分给内部的几台机器,同时他们也有自己的内部IP,同时内部外部都能用不同的IP访问。
2、做好multi-DMZ配置后,出现一个问题,内部的机器不能通过全球寻址IP找到目标机器,比如一台机器的IP是83,网卡也绑定了这个IP,在内部直接Ping 83不行,但在Internet上Ping 83可以找到此机器。如何解释此现象。
3、在Internet上,许多地方Ping 83也出现一个现象,比如一个分公司,A机可以Ping 83,B机不可以,两者网络配置一致,并且排除防火墙因素。但一段时间后B机也可以了,此问题在几个分公司局域网内都出现。做Tracert时,不能访问的机器路由到了81就Stop了。如何看这个现象。
...全文
当前发帖距今超过3年,不再开放新的回复
发表回复
Aceryt 2004-09-22
1、确实只有用M-DMZ了
2、最后使用了手工在每台机子添加静态路由解决,好在机子不多。
3、还是没法解释,呵呵
icuc88的法子是不错,可是就是和凤凰说的,预算很有限,除了这台宽带路由器,其他的几乎不用考虑了。
今天又一个倒霉事儿,在内部一台位于DMZ的机子上用Serv-U配置了FTP Server,内部测试通过,可外面怎么都不能访问。检查过,也不觉得这台宽带路由器的配置有啥不妥。
2、最后使用了手工在每台机子添加静态路由解决,好在机子不多。
3、还是没法解释,呵呵
icuc88的法子是不错,可是就是和凤凰说的,预算很有限,除了这台宽带路由器,其他的几乎不用考虑了。
今天又一个倒霉事儿,在内部一台位于DMZ的机子上用Serv-U配置了FTP Server,内部测试通过,可外面怎么都不能访问。检查过,也不觉得这台宽带路由器的配置有啥不妥。
凤凰 2004-09-07
回复人: icuc88(职业特种兵/构建底层建筑) ( ) 信誉:195
内网---FireWall----Internet
|
|
DMZ
-------------------------------------------
使用FireWall当然可以,不过一个普通FireWall可是要2.5万+
而一个宽带路由器多少钱? 2000就是很好的了
内网---FireWall----Internet
|
|
DMZ
-------------------------------------------
使用FireWall当然可以,不过一个普通FireWall可是要2.5万+
而一个宽带路由器多少钱? 2000就是很好的了
icuc88 2004-09-02
NAT啊,NAT。
内网---FireWall----Internet
|
|
DMZ
DMZ和内网全部都用私有地址,做NAT到Internet。
DMZ和内网之间的访问也需要NAT一下。
=============
内网(包括服务器)-------路由--------Internet
路由的内网口还是私有地址
外网口是公网地址,然后用一个IP做PAT,给内网访问Internet用
其他的IP做静态NAT,交给服务器用
=========
方案很多了,看你的路由(防火墙)是否支持,如何支持。
内网---FireWall----Internet
|
|
DMZ
DMZ和内网全部都用私有地址,做NAT到Internet。
DMZ和内网之间的访问也需要NAT一下。
=============
内网(包括服务器)-------路由--------Internet
路由的内网口还是私有地址
外网口是公网地址,然后用一个IP做PAT,给内网访问Internet用
其他的IP做静态NAT,交给服务器用
=========
方案很多了,看你的路由(防火墙)是否支持,如何支持。
Aceryt 2004-09-02
楼上大家说得很有道理,非常感谢,今天我整理一下思路,给老板一个Report。
womenspig 2004-09-01
我比较笨,呵呵。我来接分就好了。
prettyjerry 2004-09-01
跟着学习
Aceryt 2004-09-01
1、忘了说,设备和规划设计不能更改,我只是假设此路由器不带multi-DMZ的话,该怎样配,不知道有没有人有经验。
2、在内部的LAN做,我把网关指向路由器LAN Interface的IP了。
2、在内部的LAN做,我把网关指向路由器LAN Interface的IP了。
夜鹰 2004-09-01
学习
1t24 2004-09-01
1.没有multi-DMZ功能:------
可以使用服务器拨号,安装winrouts ,分配IP。
2.是否正确设置?网关:内部路由IP。 DNS:(ISP)123.123.123.81
3.很不解“但一段时间后B机也可以了”。
可以使用服务器拨号,安装winrouts ,分配IP。
2.是否正确设置?网关:内部路由IP。 DNS:(ISP)123.123.123.81
3.很不解“但一段时间后B机也可以了”。
Aceryt 2004-09-01
1、已经绑定了,每个内部机器都有两个IP,一个公有IP,一个私有IP。
2、在LAN的Interface上做过路由,比如,到83的都转向内部的一个IP,但这样的话,Internet访问就会出错。所以取消了。
2、在LAN的Interface上做过路由,比如,到83的都转向内部的一个IP,但这样的话,Internet访问就会出错。所以取消了。
kingday512 2004-09-01
1。你可以在一块网卡上帮定多个ip
2.内部没有帮定123。123。。无法访问,这是你的路由器设置的问题阿
3。up
2.内部没有帮定123。123。。无法访问,这是你的路由器设置的问题阿
3。up
凤凰 2004-09-01
关于绑定多个ip做DMZ的问题
要具体看你的网络环境,一般在INTERNET能够ping通你的服务器的局域网地址是因为其实那个时候ping 局域网地址就是ping公网地址了啦
宽带路由器对绑定多个ip的解析在局域网里存在多个DMZ的时候容易出现混乱
总之,现在的宽带路由器只是过渡的低端产品,要想在上面做许多原本是路由器的功能,实在吃力
要具体看你的网络环境,一般在INTERNET能够ping通你的服务器的局域网地址是因为其实那个时候ping 局域网地址就是ping公网地址了啦
宽带路由器对绑定多个ip的解析在局域网里存在多个DMZ的时候容易出现混乱
总之,现在的宽带路由器只是过渡的低端产品,要想在上面做许多原本是路由器的功能,实在吃力
凤凰 2004-09-01
楼主的情况是不是现在想在宽带路由器上面做DMZ?
很遗憾,现在的宽带路由器的DMZ都只是有限的支持,解决方法只能是添加一个路由器!
很遗憾,现在的宽带路由器的DMZ都只是有限的支持,解决方法只能是添加一个路由器!
DarkRuler 2004-09-01
1,你的情况就是路由器对有私网IP的机器要开NAT,对于有公网IP的机器又要关NAT。
一般宽带路由器都是不能关NAT的,有一些就是可以控制的也就是要么关,要么开。不可能像以上那样的。不用Multi-DMZ就不太可能了。
但在一些日本出售的宽带路由器上有一个比较特别的连接方式,叫Unnumber IP +Private.
Unnumber IP就是NAT关,内网机器都自己设置公网IP,然后可以通过路由器正常出去。
Private就是NAT开,内网机器从路由器得到私网IP,然后通过路由器NAT后出去。
这样比用Multi-DMZ还要好,但连接方式一定要是PPPoE,其它不行。
不过这样的路由器不太好找,我知道Corega的有。
2.就像上面 dancingbit(芥子) 所说的那样,这是路由器的一个BUG,有一部分宽带路由器是不支持那样访问的。不光是DMZ,就是virtual server等都可能会有同样的问题。
3.这个问题不好说,不过关于Multi-DMZ,你不要看路由器上可以加很多很多个,其实二三个的时候一般都可以正常工作,多了就不能保证了,因为这个功能有这个功能的路由器本来就不多,而且这个功能用很得也很少,厂家也不会很认真的去测试这功能。(你可以用测试性能的软件来试,开五个DMZ,同时测五个DMZ的性能,我保证正常运行30分种以上的就已经是很好的了,运气不好的话,路由器会直接死机)
一般宽带路由器都是不能关NAT的,有一些就是可以控制的也就是要么关,要么开。不可能像以上那样的。不用Multi-DMZ就不太可能了。
但在一些日本出售的宽带路由器上有一个比较特别的连接方式,叫Unnumber IP +Private.
Unnumber IP就是NAT关,内网机器都自己设置公网IP,然后可以通过路由器正常出去。
Private就是NAT开,内网机器从路由器得到私网IP,然后通过路由器NAT后出去。
这样比用Multi-DMZ还要好,但连接方式一定要是PPPoE,其它不行。
不过这样的路由器不太好找,我知道Corega的有。
2.就像上面 dancingbit(芥子) 所说的那样,这是路由器的一个BUG,有一部分宽带路由器是不支持那样访问的。不光是DMZ,就是virtual server等都可能会有同样的问题。
3.这个问题不好说,不过关于Multi-DMZ,你不要看路由器上可以加很多很多个,其实二三个的时候一般都可以正常工作,多了就不能保证了,因为这个功能有这个功能的路由器本来就不多,而且这个功能用很得也很少,厂家也不会很认真的去测试这功能。(你可以用测试性能的软件来试,开五个DMZ,同时测五个DMZ的性能,我保证正常运行30分种以上的就已经是很好的了,运气不好的话,路由器会直接死机)
jerryfly 2004-09-01
唉,看著看著,才知道自己的技術狂差....
只能關注...收藏....
只能關注...收藏....
dancingbit 2004-09-01
1.有的路由器可以配置地址池,如既不可以配置地址池也不具备multi-DMZ的话,大概没有什么办法了。
2.很多人提过相似的问题,我觉得是现在的宽带路由器产品在做NAT方面的缺陷所造成的,因为内部机器使用全局IP地址访问同一局域网内的机器,数据包从路由器出来之后立刻要返回,如果路由器不能正确处理这种特殊情况的话就会出现这种情形,目前没有想到其他的解释。
3.觉得还象是宽带路由器的问题吧。先想想。
2.很多人提过相似的问题,我觉得是现在的宽带路由器产品在做NAT方面的缺陷所造成的,因为内部机器使用全局IP地址访问同一局域网内的机器,数据包从路由器出来之后立刻要返回,如果路由器不能正确处理这种特殊情况的话就会出现这种情形,目前没有想到其他的解释。
3.觉得还象是宽带路由器的问题吧。先想想。
zdmysun 2004-09-01
学习一下。
Davelu 2004-09-01
你都搞不定,呵呵。
beerqiqi 2004-09-01
关注中。。。
