(IP分享器)實體IP與虛擬IP並存而且可以相互存取的問題
贊助商連結
以下文章中提到, 有關實體IP與虛擬IP並存而且可以相互存取的問題
http://netcity3.web.hinet.net/UserData/adslweb/#Q8 (第三段)
http://netcity3.web.hinet.net/UserData/adslweb/#Q11
"利用路由器所提供的IP橋接功能可使實體IP和虛擬IP共存,可以避免實體和虛擬IP兩者之間的發生存取問題(此為單純的IP分享器所做不到),而且使用實體IP的電腦亦可受到路由器所提供的防火牆保護"
.
這個功能的英文敘述為何? 是否指支援 Static Routing? 還是 Dynamic RIP-I/II? 還是指 "DMZ"? 是否多數IP分享器都已經支援這個功能?
.
小弟想要整理出一篇有關IP分享器的比較, "實體IP與虛擬IP並存而且可以相互存取" 這個功能看似平常, 卻很有學問, 由 Q8 第三個圖來看
Global Network IP Range: 230.75.240.146~150, Gateway 是 Router 的 WAN port IP
Virtual LAN IP Range: 192.168.16.2~254, Gateway 是 Router 的 LAN port IP
一般來說, 實體IP或DMZ是存取不到虛擬IP的, 但是如果像以上, Gateway 都指向 Router, 那麼聰明的 Router, 是有可能把這兩個區域網路結合成一個
.
請恕小弟愚昧, 遍尋各家的規格, 大多都沒有提到, 因此也不知道這個功能是否希鬆平常? 是否各IP分享器都已經包含這個功能? 如果您家有兩個以上固定IP混合虛擬IP, 而且您有使用IP分享器, 也麻煩您試試看
.
請各位先進指點一二, 謝謝
贊助商連結
infosupport 2001-10-26, 01:59 AM 其實此功能早在ADSL 開始時就遇到,原因是:
(1)ADSL 起初都是只有固八(8個IP) 的512/64K,768/128K,T1/384Kbps , 並無如目錢的PPPoE 計時制...
(2)所以當ADSL推出之時,許多企業用戶與高用量SOHO...ect 都將專線捨去,或是原本接專線的意願寄脫於ADSL寬頻..
(3)問題來了!! 去頭去尾與去除ATU-R 的IP Address後,只剩下5個Public IP Address,這對於企業來說,IP Address 是決對不夠用的!
(4)於是NAT/IP Shareing/Broadband Router ..etc 就趁勢推出市場,但因此一般都只將純Router 的幾個功能做入(如NAT,DHCP Client/Server..),並無考慮到其它機制,因主要也就是用NAT的功能而已..
(5)企業用戶架站使用合法IP Address, 聖下的User 就使用NAT分享上網,,真不得了囉!!寬頻為之瘋狂...
(6)發瘋囉! NAT下的PC Client 竟無法Login 到NAT外的Server? 只可上網...因此NAT設備只Support NAT Mode ,不像一般Bridge/Router 都有Support 橋接模式..照理說來,若使用NAT的模式下,封包不經過NAT重新包裝,虛擬IP與合法IP都可透過如路由(Routing)或是Bridge方式達到區段互通功能?
(7)為了將原來的合法IP Addres與虛擬IP Address共存於同一個LAN Segment上,且都能各自指向其通訊閘(合法IP的Gateway為ATU-R,虛擬IP為NAT..)出Internet , 並且能夠讓網芳通訊順暢(Microsoft NetBEUI),所以雖然IP不同,但一樣是同一個網路,不會因Brocast Packet被NAT所阻檔,所以來個Loopback Mode.. 將NAT 的WAN 與LAN Loop起來! 若是單Port 的話,就接上同一棵HUB 或Switch (一般建議使用Switch,因是Layer2的Bridge,,,),因1 WAN +1 LAN的NAT機型,Loopback後就沒洞可用了!!若是有1 WAN +4 LAN的機型才可以!!
(8)因做了Loopback後,網芳通訊(Microsoft NetBEUI)就可透過LAN-to-WAN-to-LAN 將封包傳送於合法IP與虛擬IP的網緞使用,且NAT 與何法IP Address都可共存於同一個LAN上,,因NAT 設備無Bridge 功能(一些高階機型,貴的機器才有,不過目前機乎於市場消失了!),所以暫時解決此一問題,不過因Spaning tree 與 Loop 的情況會因此讓一些NAT有不良的後疑症,如當機等現像產生,此NAT還要特別為此Loop的機制改寫一些軔體功能才可...所以並非所有NAT都Support 此種Loopback模式..
(9)當Loopback Mode完成後,ATU-R,NAT WAN,NAT LAN都同時存再於同一個實體層中,合法IP就直街跑到ATU-R 上Internet, 虛擬IP的Gateway就是NAT 的LAN Port IP Address, 經過NAT轉換後在從ATu-R 出Internet,,,而網芳也通....
(10)接下來PPPoE 形成市場多數家庭使用,所有PC端都透過NAT的PPPoE內建軔體撥接,不需外掛RASPPPoE 或EtherPPPoE 等撥街專用軟體,但如同使用NAT於目前來說還是會有一些特定限制,如VoIP,Game 等, 因ISP目前都有支援同一帳號多人同時撥上的功能(Multi-Login),Hinet可同時二台...若使用前述LoopBack Mode後,若同時於PC端都加裝PPPoE玻接軟體,PC端就可選擇使用NAT 或撥街PPPoE 軟體了,,因若使用PPPoE撥接時,是直接找到ATU-R 連線到ISP認証,兒不透過NAT設備,如此一來,多數電腦還是透過NAT出Internet,而需要合法IP的PC端就可使用PPPoE軟體直接取得地二個合法IP了....
所以FIY 所討論到此與Routing Protocol,DMZ 都無關,只是NAT & Bridge Mode的關連而已,,當然與同一個LAN Port 可Bind幾個IP是相關的...如同Win98 與NT等同一片網卡不都是可給予幾組不同的IP 位置相同的嗎?
就目前為止,此功能大多的NAT 設備均以包擴(非特殊功能).除少部份的還未Support...
感謝(感動)!! 讓小弟茅塞頓開, 小弟還在努力學習中, 您應該就是那位"Support 就是無條件的付出!!"(題外話)
.
承蒙指教, 小弟想繼續詢問幾個有關問題:
.
1. 上述(7), 合法IP的Gateway應該設為Router(NAT)的WAN IP吧? 因為小弟一直在想像實體佈線該如何接法(請對照 Q-08 第三個圖)? 如果Gateway設在ATU-R, 那麼佈線應該是
(A) Internet<->ATU-R<->Hub<->(GlobalNetwork & Router)<->Hub<->VirtualLAN
那麼 Router 是否知道哪些合法IP可以和虛擬IP區段互通呢?
.
依照 Q-08 第三個圖, Gateway設在Router/NAT(的WAN IP), 佈線
(B) Internet<->ATU-R<->Router<->Hub<->(GlobalNetwork & VirtualLAN)
Router 必須支援 Bridge mode, 正確嗎? 不過邏輯上看來, (A)的接法似乎也行!
.
2. 上述(7), 提到"Loopback", 這讓小弟想到由 antion 兄所發表的 "寬頻分享器(DI-701)另類接線法--方便取得其餘IP"
http://www.pczone.com.tw/showthread.php?t=21152
這樣的佈線應該是
(C) Internet<->ATU-R<->Switching Hub<->(GlobalNetwork & Router & VirtualLAN)
假設線路都正確而仍然失敗的網友, 其IP分享器大概是不支援"Loopback", 正確嗎? 應該也是無法讓合法IP&虛擬IP區段互通吧?
.
3. 上述(7), 您說的 LoopBack 和 Virtual Server Loopback 有必然的關係嗎? 以下是摘錄自 Practically Networked 的說明
Virtual Server "Loopback" - This is the ability to reach Virtual servers from LAN machines by using the router WAN address.
4. 假設小弟是HiFly ADSL計時制撥接用戶, 可以有兩個動態合法IP, 如果佈線是
(D) Internet<->ATU-R<->Hub<->(一台PC & Router)<->Hub<->Virtual LAN
那麼是否有辦法讓PC(執行PPPoE 撥接)受到Router(NAT)的內建Firewall保護?
當然, 換成以下佈線
(E) Internet<->ATU-R<->Router<->Hub<->一台PC & Virtual LAN
則PC雖然可以躲在Router(NAT)後面, 但是無法執行PPPoE, 所以只能用虛擬IP, 正確嗎?
.
5. 據您所知, 目前市面上常見的 NT5000 以下IP分享器, 是否都不支援合法IP與虛擬IP區段互通的功能? SAR-7104K2(支援RIP-I/II & Static Routing)也不支援 Bridge mode 嗎?
.
謝謝
.
--------------------------------------------------------------
註: 提供給有興趣的網友, 不妨參考另一篇文章(資訊家族討論區)
ADSL & Cable Modem 寬頻討論 -> 跨越虛擬IP網段的解決方案!!
http://www.routers.com.tw/access/topic.asp?TOPIC_ID=386&FORUM_ID=40&CAT_ID=12&Topic_Title=%B8%F3%B6V%B5%EA%C0%C0IP%BA%F4%BDv%AA%BA%B8%D1%A8M%A4%E8%AE%D7%21%21&Forum_Title=ADSL+%26+Cable+Modem+%BCe%C0W%B0Q%BD%D7
infosupport 2001-10-26, 08:42 PM 回應討論問題:
(1)此Router 為有Support Bridge Mode功能的ㄅbroadband Router!! 合法IP網段透過Router的WAN Port 橋接出去,而虛擬IP網段的就使用NAT ...這一台當初做出來時功能的確蠻好的,不過漸漸地於主流市場就很少看到...
您的network Configuration正確,不過一定要Support bridge Mode的機型才可!!
(2)沒錯!! 就是此種接法 !! 不過看其NAT是否有做過任體修正才可!! 若不能使用合法IP&虛擬IP區段互通,就是不Support!!
(3)的 LoopBack 和 Virtual Server Loopback 基本上是不同的涵義,loopback方式是要將原本只能透過NAT的方式Bypass 掉,而將設定於同一網路內的合法IP直接繞道Public IP上(ATU-R)出Internet .. 而Virtual Server Loopback 是主要將設定於虛擬IP上的Server能夠讓Local NAT虛擬IP的PC直接使用WAN Port 合法IP 存取方式 !
(4)一但PC Client執行了PPPoE撥號,就是不透過NAT,所以與NAT無關,也就不會受到保護!
若是躲在NAT後RUN PPPoE 是不通的!!除非NAT設備有Support Multi-Session PPPoE即可!(由NAT使用PPPoE 多重連接去取得多組IP給NAT下的指定電腦使用)
(5)NAT可Support 合法IP與虛擬IP區段互通的功能,若能夠如寬頻分享器另類接線法,或Support Loopback Mode方式(LAN & WAN對接),都可達到!! 支援Bridge Mode的機型非常少!
因成本考量,與大多人的需求,都不會使用到;而後來的研發就所性的設計Multi-DMZ 的方式,
讓有多組實體IP的使用者能將Public IP一一的直接對應內部虛擬IP歐..就不需要Bridge Mode使用,也就沒有合法IP與虛擬IP區段互通的問題了!
以目前來說, 80%以上的User環境都是PPPoE(因便宜拉!),所以看設計NAT機器廠商是要低價多銷,或是多功能價高的量少的市場罷了!!
Practically Networked 的確是目前看到的有關Software & Hardware 介紹與平比較為完整的網站,有空道上頭看看:http://www.practicallynetworked.com/ ㄝ,可學到不少產品新知與最新技術,尤其是討論區中的問題,都可做參考,記得上回還有網友參考上頭的討論與技術,將7104 換成是Linksys 的Fimeware...真糟糕!!
再一次感謝, 您果然也是工作狂&好心腸
.
Multi-Session PPPoE 不完全滿足小弟的需求, 因為既然有NAT, 那麼一個NAT也就夠了, 小弟心理想的正是躲在NAT後RUN PPPoE(bypass NAT)!? 小弟還是把一個想像中的環境 post 出來, 看看是否有辦法達成
.
小弟的假設環境是, 有許多玩 online game 的網友會申請 SeedNet ADSL (IPx5) 或 HiFly ADSL (IPx2), 以上都是計時制PPPoE撥接上網, 大家所看上的就是 IP 不只一個, 少數 online game 需要合法IP才可以玩(聽說), 於是 antion 兄的 Loopback 接法就派上用場了(很有彈性), 但是小弟比較在意的是, 合法IP代表不經過Router, 安全性差了點, 那麼還得加裝個人防火牆, 此外合法IP和虛擬IP不通, 這兩項缺點, 然而即使Router支援Bridge mode, 然而其合法IP必須是固定的, 這又不符目前的低廉ADSL計時制環境, 所以呢, 傷腦筋喔!
兄台可有兩全其美又價美物廉的解決知道呢? (明知不可, 但大家純討論, 增加學問)
您所說的Multi-Session PPPoE, 是否也就是 Multi-NAT?
http://www.zyxel.com/support/supportnote/zywall10/faq/prod_faq.htm#a8
.
好像這功能的確可以模擬小弟所要的環境, 而且又可以區域互通(實際上都是虛擬IP), 雖然它的作用好像還是 Port Mapping or Virtual Server, 不過好像只有少數IP分享器支援, 而且也只支援兩個NAT, 只能滿足HiFly的需求, 但是再仔細看下去, 經過 NAT-mapped 的local 主機, 好像也就失去Firewall, 正確嗎? 最後又回到了Loopback 原點
infosupport 2001-10-27, 09:50 AM 最初由 FYI
您所說的Multi-Session PPPoE, 是否也就是 Multi-NAT?
http://www.zyxel.com/support/supportnote/zywall10/faq/prod_faq.htm#a8
.
好像這功能的確可以模擬小弟所要的環境, 而且又可以區域互通(實際上都是虛擬IP), 雖然它的作用好像還是 Port Mapping or Virtual Server, 不過好像只有少數IP分享器支援, 而且也只支援兩個NAT, 只能滿足HiFly的需求, 但是再仔細看下去, 經過 NAT-mapped 的local 主機, 好像也就失去Firewall, 正確嗎? 最後又回到了Loopback 原點
Multi-NAT 非Multi-Session PPPoE!!
Multi-NAT 為目前Multi-DMZ 的祖先,我們都了解,Multi-DMZ 為多組固定合法IP Address 可以分別單獨對應到內部的多組固定虛擬IP Address,是一對一的IP Mapping Mode, 然而於RFC標準文件中就NAT 的部分其實有許多不同機制!(RFC1631)http://ftp.ck.tp.edu.tw/document/RFC/rfc1631.txt
而Multi-Session PPPoE是PPPoE 的機制,與NAT 是不同的;一般的NAT設備內建PPPoE 連接功能,但是一次只能連接一個Session ,也就是說於NAT 下的PC 都是共同Share 同一條Session ,同一組經PPPoE 連接所得到的合法IP Address,但是某些ISP(Hinet,seednet.etc)都可允許多條Session 同時連接,以便讓一台以上的PC能夠上網,但是若使用NAT 的PPPoE 撥號,則同時只能Support 一條Session連上,一些NAT設備製造商於是設計了多組PPPoE撥號功能(因User Account都是相同),可同時對ISP連接多組的PPPoE Session, 然後將其中的Session 分別直接對應於虛擬IP上給此台特定PC專用(指定電腦,如固定IP使用之Multi-DMZ功能!)
若ISP 可同時允許5條Session(Multi-Login),如Seednet就是! 那一般的NAT 下的User就規劃與使用NAT PPPoE 連接同一條Session使用(與一般的NAT使用相同)NAT下還有4台PC Client 需用到個別的合法IP Address,可經由其他4組的PPPoE Session 連接ISP另外取得4組合法IP直接對應到NAT 下的PC Client 上! 雖是固定IP Address,但還是受到NAT保護!!
整理結論:
(1)Multi-NAT :為一般的專業Router 上都有Support(如CISCO,Intel,3COM,..etc)
可設定一對一,或一對多,或多對多等,非常具有彈性!!
(2)Multi-DMZ :為Firewall衍生出的機制,將合法IP兒直接對應內部的虛擬IP(8,16組),一些NNAT 有Support! 不過教適用於有固定合法IP位置的人使用(如固接ADSL..etc)
(3)Multi-Session PPPoE:為標準PPPoE衍生出的機制,將合法IP直接對應內部的虛擬IP(5組),為使用撥接計時制,且ISP可Support 一次最高所能取得的IP數量,適用於PPPoE的人使用(如撥接ADSL PPPoE)
謝謝, 原來除了IP橋接, Loopback 之外, 大家所尋找的目標應該是 Multi-Session PPPoE, NexLand ISB SOHO 可能是其中比較便宜的吧!
小弟想繼續請教一個應用上的問題, 據其他網友的經驗, Creative VoIP Blaster 不能配合IP分享器使用, 也許還有少數軟體也是, 原因可能是需要合法IP & 不確定開啟哪些 port, 甚至可能是動態開啟 port 且 Random, 但是理論上來說, 只要把連接 VoIP 的PC 放在 DMZ, 或是利用 Multi-NAT or Multi-Session PPPoE, 應該可以解決, 不知您是否曾經解決過類似問題? 有哪些方法?
坦白說, 小弟有機會的話, 會想辦法採購幾個 VoIP Blaster, 但是目前要先瞭解如何配合適當的IP分享器
謝謝, 原來除了IP橋接, Loopback 之外, 大家所尋找的目標應該是 Multi-Session PPPoE, NexLand ISB SOHO 可能是其中比較便宜的吧!
小弟想繼續請教一個應用上的問題, 據其他網友的經驗, Creative VoIP Blaster 不能配合IP分享器使用, 也許還有少數軟體也是, 原因可能是需要合法IP & 不確定開啟哪些 port, 甚至可能是動態開啟 port 且 Random, 但是理論上來說, 只要把連接 VoIP 的PC 放在 DMZ, 或是利用 Multi-NAT or Multi-Session PPPoE, 應該可以解決, 不知您是否曾經解決過類似問題? 有哪些方法?
坦白說, 小弟有機會的話, 會想辦法採購幾個 VoIP Blaster, 但是目前要先瞭解如何配合適當的IP分享器
-Hero- 2001-12-19, 11:39 AM 最初由 infosupport 發表
Multi-NAT 非Multi-Session PPPoE!!
Multi-NAT 為目前Multi-DMZ 的祖先,我們都了解,Multi-DMZ 為多組固定合法IP Address 可以分別單獨對應到內部的多組固定虛擬IP Address,是一對一的IP Mapping Mode, 然而於RFC標準文件中就NAT 的部分其實有許多不同機制!(RFC1631)http://ftp.ck.tp.edu.tw/document/RFC/rfc1631.txt
而Multi-Session PPPoE是PPPoE 的機制,與NAT 是不同的;一般的NAT設備內建PPPoE 連接功能,但是一次只能連接一個Session ,也就是說於NAT 下的PC 都是共同Share 同一條Session ,同一組經PPPoE 連接所得到的合法IP Address,但是某些ISP(Hinet,seednet.etc)都可允許多條Session 同時連接,以便讓一台以上的PC能夠上網,但是若使用NAT 的PPPoE 撥號,則同時只能Support 一條Session連上,一些NAT設備製造商於是設計了多組PPPoE撥號功能(因User Account都是相同),可同時對ISP連接多組的PPPoE Session, 然後將其中的Session 分別直接對應於虛擬IP上給此台特定PC專用(指定電腦,如固定IP使用之Multi-DMZ功能!)
若ISP 可同時允許5條Session(Multi-Login),如Seednet就是! 那一般的NAT 下的User就規劃與使用NAT PPPoE 連接同一條Session使用(與一般的NAT使用相同)NAT下還有4台PC Client 需用到個別的合法IP Address,可經由其他4組的PPPoE Session 連接ISP另外取得4組合法IP直接對應到NAT 下的PC Client 上! 雖是固定IP Address,但還是受到NAT保護!!
整理結論:
(1)Multi-NAT :為一般的專業Router 上都有Support(如CISCO,Intel,3COM,..etc)
可設定一對一,或一對多,或多對多等,非常具有彈性!!
(2)Multi-DMZ :為Firewall衍生出的機制,將合法IP兒直接對應內部的虛擬IP(8,16組),一些NNAT 有Support! 不過教適用於有固定合法IP位置的人使用(如固接ADSL..etc)
(3)Multi-Session PPPoE:為標準PPPoE衍生出的機制,將合法IP直接對應內部的虛擬IP(5組),為使用撥接計時制,且ISP可Support 一次最高所能取得的IP數量,適用於PPPoE的人使用(如撥接ADSL PPPoE)
閣下真乃高人也,
想請教一下;
針對整理結論(2)而言;
假設我有兩個固定IP,
1個給SERVER
1個給20台Client做分享
那我是否只要買具 "Multi-DMZ" 功能的IP分享器與 24 Port的HUB呢?
而其接法則如第一篇所參考的圖呢?
|