有兩層 router, 大家要一起透過 NAT 出去?

**DearHoney** · 2002-02-21, 08:28 PM

我公司內的架構:

語法:

對外
|
|
Firewall(NAT)(10.34.1.254)
|                 +st1(10.34.2.1)---(10.34.2.x)
|                 |
main(10.34.1.1)---+st2(10.34.3.1)---(10.34.3.x)
                  |
                  +st3(10.34.4.1)---(10.34.4.x)
                  |
                  +st4(10.34.5.1)---(10.34.5.x)

五台主機 router (main,st1,st2,st3,st4) 全部都是 Windows2000 Server, 也不可能更換成其他作業系統, 規劃上是這樣之後, 從 Firewall 出去. 本身都有在使用「路由及遠端管理」，所以是 router。

現在整個公司內部彼此的連線均沒有問題, 也就是整個 (10.34.x.x) 彼此都可以互連. 問題是現在位於 10.34.1.x 的所有主機, 以及 st1-st4 這四台主機才可以透過 Firewall 出去, 但是在 st1-st4 下面的所有主機, 也就是 10.34.2-5.x, 則全部都不能出去. 我曾經在 st1-st4 上再加上 NAT 轉換, 就可以出去了, 但是主管表示不可以用這種方法. 一定要大家在內部都使用自己的真實 IP, 不要在內部就被 NAT 轉換過, 而且這種方法會造成 st1-st4 這四個網域彼此不能互連, 也就是大家只能往上層跑, 但是彼此卻看不到對方.

我應該在 main 或是 st1-st4 這五台主機再加上什麼樣的路由設定才能解決最末端四個網域的主機無法連到外面的問題呢?

**DearHoney** · 2002-02-21, 08:31 PM

語法:

Network Destination        Netmask          Gateway       Interface  Metric
          0.0.0.0          0.0.0.0      10.34.1.254       10.34.1.1       1
        10.34.1.0    255.255.255.0        10.34.1.1       10.34.1.1       1
        10.34.1.1  255.255.255.255        127.0.0.1       127.0.0.1       1
        10.34.2.0    255.255.255.0        10.34.1.2       10.34.1.1       1
        10.34.3.0    255.255.255.0        10.34.1.3       10.34.1.1       1
        10.34.4.0    255.255.255.0        10.34.1.4       10.34.1.1       1
        10.34.5.0    255.255.255.0        10.34.1.5       10.34.1.1       1
   10.255.255.255  255.255.255.255        10.34.1.1       10.34.1.1       1
        127.0.0.0        255.0.0.0        127.0.0.1       127.0.0.1       1
     211.73.204.0    255.255.255.0   211.73.204.198       10.34.1.1       1
   211.73.204.198  255.255.255.255        127.0.0.1       127.0.0.1       1
   211.73.204.255  255.255.255.255   211.73.204.198       10.34.1.1       1
        224.0.0.0        224.0.0.0        10.34.1.1       10.34.1.1       1
  255.255.255.255  255.255.255.255        10.34.1.1       10.34.1.1       1
Default Gateway:       10.34.1.254
===========================================================================
Persistent Routes:
  None

這是 main 那一台主機的 routing table。

**Lettuce** · 2002-02-21, 09:36 PM

ㄟ....
你不會是那個DearHoney(玩音效卡那個)吧..ㄏㄏ

貴公司有那麼多台機器..
需要分割到5個subnet嗎??
要不要考慮..直接用一個Supernetting接起來就好啦??

Firewall = 10.34.1.254(mask 255.255.0.0)

main = 10.34.1.1(mask 255.255.0.0, gateway 10.34.1.254)
st1 = 10.34.2.1(mask 255.255.0.0, gateway 10.34.1.254)
st2 = 10.34.3.1(mask 255.255.0.0, gateway 10.34.1.254)
st3 = 10.34.4.1(mask 255.255.0.0, gateway 10.34.1.254)
st4 = 10.34.5.1(mask 255.255.0.0, gateway 10.34.1.254)

試試看吧..
若不能這樣設定..方便告知是那的問題.^^.

**feign** · 2002-02-21, 09:43 PM

試試看,在st1-st4的router上default gateway 都設10.34.1.1
static route 再分別往其他的router送

**janglang** · 2002-02-21, 10:18 PM

大哥,請問您的10.34.1.1的ip alias設了幾個ㄚ?或難道您插了5片網路卡???

**DearHoney** · 2002-02-21, 10:25 PM

我是那個寫 http://www.dearhoney.idv.tw/ 的沒錯，不過畢竟那只是個人興趣，我還是要謀生的，所以也有一份正當職業啊.....

我公司的機器的確沒有那麼多，加起來頂多一百台吧，不過，之前的架構圖是主管的要求，因為我們公司有四個部門，希望能夠按照每個部門去分 IP，所以會有這樣的規劃，其實 main 與 st1 至 st4 都有 Active Directory，也是按照這個架構圖來建構，所以高級主管的帳號都在 main 那一台，四個部門的主管與人員都在各自的 st? 裡面。然後又希望如果網路出問題時，能夠從 private IP 迅速看出是那個部門的誰誰誰在作亂，所以一定要按照這個網路圖案施工，而不是只要讓全公司的電腦都能上網就好了。

關於 st1-st4 的 default gateway 改為 34.10.1.1，另外加上 static route 的方法我的確沒想過，明天到公司再試試看。我們現在是只有在 main 那台主機上添加額外的 static route，指到四個網段而已。

當然也希望大家能夠多幫幫忙，看看是不是還有其他的路可以走，我覺得蠻有挑戰性的。

**Lettuce** · 2002-02-21, 11:01 PM

寄個PM給你..有空收一下..

你那什麼公司呀..不到100台電腦要切到5個C Class..
要不要考慮拿台Layer 2的Management Switch把網段切開就好了..
又順又有效..

**DearHoney** · 2002-02-22, 01:36 AM

傍晚一定是腦袋不清了，其實 st1 到 st4 這四台機器的 default gateway 都是 10.34.1.1，然後 10.34.1.1 這一台的 default gateway 是 10.34.1.254，也就是 Firewall。

**janglang** · 2002-02-22, 11:35 AM

抱歉,先前我弄錯了您的架構,以st1為例,它應該有10.34.1.2 及 10.34.2.1兩個ip吧?
那您的設定是否為:
ip 10.34.1.2 mask 255.255.255.0 及ip 10.34.2.1 mask 255.255.255.0
default gateway 10.34.1.1 ?

而nat那台是否有 10.34.0.0 mask 255.255.0.0 gateway 10.34.1.1 這個 route ?
or 乾脆加上
net:10.34.2.0 mask: 255.255.255.0 gateway:10.34.1.2 interface:10.34.1.254
net:10.34.3.0 mask: 255.255.255.0 gateway:10.34.1.3 interface:10.34.1.254
net:10.34.4.0 mask: 255.255.255.0 gateway:10.34.1.4 interface:10.34.1.254
net:10.34.5.0 mask: 255.255.255.0 gateway:10.34.1.5 interface:10.34.1.254

我覺得您的10.34.1.1這台當router有點多餘耶,似乎多了一層,還是您怕nat server的loading 太重,所以分散工作?