<網芳進階>區段互通, 檔案共享
 

相信部分網友曾經遇到以下網芳相關問題:

1.不同區段的網芳問題??????
公司申請Hinet ADSL 分配到5 個固定IP, 其中一個拿來當作NAT, 連接內部區域網路, 使用虛擬IP, 可是使用虛擬IP 的PC 無法和使用真實IP 的PC 分享檔案

2.可以同時上網，但電腦間無法連結
HiFly or Seednet ADSL 同一帳號可以讓多人同時上網, 明明都連接到同一個集線器, 但是有時候在網芳之中卻找不到對方

3.兩條adsl的網路芳鄰可以合在一起嗎?
我和我的鄰居都申請了寬頻網路, 但是如何設定才能分享檔案

4.網芳安全~~~???
以網芳來分享資源, 到底安不安全

----------------------------------------------------------------
以上問題多半牽涉到, 同一條實體線路上, 存在兩個以上區段(Segment), 而並沒有以路由器(Router)隔開, 所謂 "同一條實體線路" 泛指以Hub/Switch/Repeater 串聯在一起的網路, 詳細討論請參考:

(IP分享器)實體IP與虛擬IP並存而且可以相互存取的問題
[url]http://www.pczone.com.tw/vbb3/showthread.php?t=29519[/url]

談了這麼多, 重點還是再於如何解決吧! 方法有二:

第一種方法: "三人行, 必有我師焉", 不要掉入TCP/IP 的迷思, 改用NetBEUI 或 IPX/SPX 來分享網芳
第二種方法: "本尊與分身", 一片網路卡分配兩組以上IP, 並啟動IP Routing

----------------------------------------------------------------
方法一: 不要掉入TCP/IP 的迷思, 改用NetBEUI 或 IPX/SPX 來分享網芳

1.開始->控制台->網路
2.如果沒有 "Client for Microsoft Networks", 請新增 "用戶端"
3.新增->Microsoft->NetBEUI, 並將NetBEUI 設成預設的通訊協定
4."檔案及列印分享" 內容要打勾(任一)
5.規劃 "識別資料" 之下的工作群組, 每一台PC 的 "電腦名稱" 必須不同
6."TCP/IP->網路卡" 的內容 "連結", "File and printer sharing for Microsoft Networks" 不要勾選

NetBEUI 是一個很有效率的通訊協定, 因為NetBEUI 不能穿越路由器, 所以很安全, 當然, 前題是你的區域網路必須與網際網路以路由器隔開, 或是自成一個封閉的網路

NetBEUI 的缺點: 除了打盹(Idle)以外, (可能)不支援Power Saving
[url]http://support.microsoft.com/support/kb/articles/Q267/6/43.asp[/url]

----------------------------------------------------------------
方法二: "本尊與分身", 一片網路卡分配兩組以上IP, 並啟動IP Routing

參考文件:
Multiple IP-addresses on a Network Card
[url]http://www.wown.com/J_Helmig/multiipa.htm[/url]

Install Router (for Win9x/ME)
[url]http://www.sohointer.net/howto/router.htm[/url]

Setup TCP-IP Routing (for WinNT/2K)
[url]http://www.wown.com/J_Helmig/routeset.htm[/url]

一片網路卡分配兩組以上IP, 對於WinNT/2K 來說是非常容易, 但是對於Win9x/ME 來說, 就必須用到Regedit.exe, 設定方法請看上述網址, 在此僅討論如何運用, 假設你的網路上有三台PC: Web Server, NAT Server & Win9x Client, 直接以Hub 串在一起

Web Server IP: 100.0.0.1, Gateway IP: 100.0.0.254
NAT Server IP: 100.0.0.2 & 192.168.0.1, Gateway IP: 100.0.0.254
Win9x Client IP: 192.168.0.3, Gateway IP: 192.168.0.1

運用上述方法讓Web Server 分配兩個IP (不用修改 DefaultGateway), 並啟動IP Routing, 結果得到

Web Server IP: 100.0.0.1 & 192.168.0.2

你可以在Win9x/ME 執行 "Winipcfg /all" 或在 WinNT, "ipconfig /all", 觀察網路卡的IP 以及是否啟動IP Routing

在所有的PC 建立\Windows\lmhosts 及 \Windows\hosts (純文字, 沒有附檔名) 如下

100.0.0.1 Web
100.0.0.2 Nat
192.168.0.1 Nat-2
192.168.0.2 Web-2
192.168.0.3 Win03

如果你的NAT Server 是Windows-based, 那麼你只要在NAT Server 啟動IP Routing, 就可以從任一台PC "Ping" 任一台PC 的任一個IP

如果你的NAT Server 不是 Windows-based, 或者是屬於Proxy Server, 那麼請在所有IP 為 192.168.0.xxx (除了NAT & Web Server) 執行

Route add 100.0.0.1 192.168.0.2 (請編輯成批次檔 xxx.BAT, 複製於 "啟動" 檔案匣)

請執行 Netstat -r 檢查 IP Routing Table 是否正確

大功告成!! 如果你還是不能從網芳看到對方, 可以從 "開始->尋找->電腦", 輸入 "\\xxx.xxx.xxx.xxx" 或主機名稱, 就可以搜尋到對方, 如果再從分享的資料匣建立本機磁碟機, 還可以增進傳輸效率喔!

談到了這裡, 當然不能不談這個方法的缺點:
1.Win9x/ME 內建的Router.exe 只支援Static Routing Table, 所以Web Server 如果是動態IP, 那麼只能Ping 它的虛擬IP (192.168.0.2)

2.以TCP/IP 分享網芳, 除了內部網路之外, 可能全世界也都可以與你分享喔! 雖然你可以為資源分享加上密碼, 所謂 "此地無銀三百兩", "道高一尺, 魔高一丈", 反而更吸引好奇的或是想 "拿你練功" 的不速之客喔!

----------------------------------------------------------------
當然, 還有一種最典型的網路架構:

Internet
　↑
　Hub-1
　↑
　NAT & Web Server (真實IP, DMZ 非軍事區)
　↑
　Hub-2
　↑
　PC LAN (虛擬IP)

在這個情況之下, 只有NAT & Web Server 較不安全, 一般來說NAT Server 不能允許虛擬IP 從外界(Hub-1)的方向進入, 因此使用虛擬IP 的PC LAN 相當安全, 但是此時只能由PC LAN 分享Web Server 的資源(單向), 反之則不成, 以上討論不涉及病毒, 事實上病毒多半是自己邀請進來的, 或是別人送給你, 你就接受了, 因此與我們的主題無關, 不過, 有許多專家推薦 Zone Labs 的 ZoneAlarm, 而且對於個人非營利則免費, 請不妨試試看
[url]http://www.zonelabs.com/[/url]

----------------------------------------------------------------
最後很簡單的談一談, 兩個區域網路要如何分享資源

1.如果距離近, 可以拉一條線(Ethernet, ISDN, Leased Line...)或是以無線網路連結
2.如果距離遠, 考慮透過Internet, 以Virtual Private Network(VPN) 的方式連結, WinNT/2K 可以是Microsoft VPN Server or Client, Win9x/ME 只能當作Client, 由於超出小弟的能力所及, 因此詳情請參考:

Practically Networked "VPN Help"
[url]http://www.practicallynetworked.com/support/VPN_help.htm[/url]

Practically Networked "Virtual Private Networks"
[url]http://www.microsoft.com/windows2000/technologies/communications/vpn/default.asp[/url]

小弟並非網路專家, 因此謬誤在所難免, 許多資訊也是來自於浩瀚的網際網路, 小弟並無特殊建樹, 本諸 "取之於人, 用之於人", 敬請各位不吝批評指教

看了看，很高興FYI所提出的方法，但，說實在的，小弟不建議用NetBEUI或IPX/SPX來達成
網芳的功能。

WHY? 因為目前幾乎沒有軟體是用這兩種協定了，NetWare在最新版本中記得是預設以TCP/IP
為通訊協定了，且多安裝一種協定，LAN的效能就會更低落。尤其是NetBEUI，幾乎都是以廣
播來達到連結的目的。

　　　　　　　　　　　　　--> Public IP (DMZ)
　　　　　　　　　　　　　|
若以單純的 --> ADSL --> NAT --> Private IP 這種架構的話，在公司行號中可能以網站
維護之類的之大宗，此時只要在 Public IP的區域中架設WINS Server，private IP的電腦
都指向該Wins Server，當然Public IP的電腦亦要指向此Wins Server，這樣子，就可達到
Private IP的電腦可以在網芳看到Public IP的電腦了。但若你要有反向的效果?這個..:p

還有以 \\xxx.xxx.xxx.xxx 的方式來達到網芳是不須再做任何的設定，若你知道IP的話，
只要沒有防火牆之類的檔住139 Port的話，理應就可以達到。

PS.　這亦只是小弟的看法而以，可能亦有誤∼請大家多多指教:)

NetBUEI雖然廣播很多,但不可否認的確是一個小而實用的通訊協定
NetBUEI主要是針對區域網路而設計,在廣域網路上,實用性當然是比不上TCP/IP
但只要你有在企業裡待過,你就會發現NetBUEI在某些方面比TCP/IP好用多了
也簡單多了,當然如果機器很多,可以用VALN或是其他方式來有效隔離廣播封包

感謝大家的指教, 不過小弟本意, 原只是針對網路新手, 希望能夠稍稍遏止版上網芳問題蔓延之勢, 話說回來, 問題是答不完的, 不過有討論才會有進步
[QUOTE][i]最初由 mingsheu 發表[/i]
[B]WHY? 因為目前幾乎沒有軟體是用這兩種協定了，NetWare在最新版本中記得是預設以TCP/IP
為通訊協定了，且多安裝一種協定，LAN的效能就會更低落。尤其是NetBEUI，幾乎都是以廣播來達到連結的目的。[/B][/QUOTE]
小弟淺見是, 用交換器取代集線器, 應該可以改進效能吧! 交換器有學習的功能, 否則照理說, 當小弟用NetBEUI 在兩台PC 中傳檔案, 交換器上的 "LINK/ACT" 應該是全部閃爍才是, 這也是小弟多方建議新手們, 不要節省交換器和集線器的差額, 也不要節省10/100M 和純100M or 純10M 的差額, 不值得
[QUOTE][B]　　　　　　　　　　　　　--> Public IP (DMZ)
　　　　　　　　　　　　　|
若以單純的 --> ADSL --> NAT --> Private IP 這種架構的話，在公司行號中可能以網站
維護之類的之大宗，此時只要在 Public IP的區域中架設WINS Server，private IP的電腦
都指向該Wins Server，當然Public IP的電腦亦要指向此Wins Server，這樣子，就可達到
Private IP的電腦可以在網芳看到Public IP的電腦了。但若你要有反向的效果?這個..[/B][/QUOTE]
講到重點了! 只要有需求, 問題還是要解決
[QUOTE][B]還有以 \\xxx.xxx.xxx.xxx 的方式來達到網芳是不須再做任何的設定，若你知道IP的話，
只要沒有防火牆之類的檔住139 Port的話，理應就可以達到。
[/B][/QUOTE]
不完全解決真實IP 與虛擬IP 並存的問題

最終, 除了簡單, 容易, 效率高之外, 還是要考慮安全, NetBEUI 應該是比TCP/IP 來的安全吧! 而且本文的用意是在於一個小型的Win9x/ME 網路, WINS Server 已經超出小弟能力範圍

[QUOTE][i]最初由 alexteng 發表[/i]
[B]NetBUEI雖然廣播很多,但不可否認的確是一個小而實用的通訊協定
NetBUEI主要是針對區域網路而設計,在廣域網路上,實用性當然是比不上TCP/IP
但只要你有在企業裡待過,你就會發現NetBUEI在某些方面比TCP/IP好用多了
?.. [/B][/QUOTE]
是沒有錯！但是，除非這個區域不上網，完全不須有TCP/IP存在時，才使用之，
否則，多綁一個協定似乎不太須要！
當然很多環境都不一樣，一定是有NetBEUI0發揮長才的空間！

[QUOTE][i]最初由 FYI 發表[/i]
小弟淺見是, 用交換器取代集線器, 應該可以改進效能吧! 交換器有學習的功能, 否則照理說, 當小弟用NetBEUI 在兩台PC 中傳檔案, 交換器上的 "LINK/ACT" 應該是全部閃爍才是[/B][/QUOTE]
交換器學習的應該是TCP/IP封包中目的位置的MAC位址，NetBEUI應該不行才是！
不過alexteng所言甚是，可切VLAN來降低碰撞產生。

[QUOTE]最終, 除了簡單, 容易, 效率高之外, 還是要考慮安全, NetBEUI 應該是比TCP/IP 來的安全吧! 而且本文的用意是在於一個小型的Win9x/ME 網路, WINS Server 已經超出小弟能力範圍[/B][/QUOTE]
Wins是WINDOWS系統中最容易的一個Service，只是....他得是Server以上的才會出現！
其安裝方式是，裝好後就可以了，只剩把client的wins設定指向這台Wins而以(這時配合
DHCP是最輕鬆的方法)。

小弟臨時想到了一個[B]"IP Spoofing"[/B]安全性的問題, 這個問題對於熟悉Linux Ipchains 的網友來說, 應該都很清楚

假設網路佈線如下:

　　　　　　　　┌→ Server(DMZ)
PC(Internet) ←Hub→ NAT Server
　　　　　　　　└→ PC LAN

PC(Internet): 61.xxx.xxx.1
Server(DMZ): 61.xxx.xxx.3
NAT Server: 61.xxx.xxx.2 & 192.168.0.1
PC LAN: 192.168.0.xxx

當您運用IP routing & 多重IP, 使得DMZ 與 PC LAN 可以資源共享時, 在Internet 上的PC, 尤其是要注意IP 分佈在同一個C Class 的PC, 它可以假裝成為你的PC LAN(192.168.0.xxx), 而入侵你的網路, 這就是IP Spoofing, 阻止的方法就是安裝防火牆於NAT Server, 但是這樣一來, 要讓Server(DMZ) 分享你的PC LAN, 也許就不能用前面介紹過的簡單方法, 你可能真的需要架設WINS Server, 以控管哪些才是你的內部網路, 或許還有其他方法, 但已經不是小弟的專長

網路安全是一門大學問, 實在不是三言兩語所能道盡, 在此只是提醒想運用小弟所提供的方法架設區域網路的網友, 不要輕忽網路安全, 如果你使用IP 分享器, 或是安裝WinNT/2K, 那麼你也許比較安全, 如果你的Server 是Win9x/ME, 或是你使用IP 分享器的Loopback 佈線方式, 建議你還是裝一套ZoneAlarm 或Lockdown 吧! 不要到了哪天, 才發現怎麼網路突然多出那麼多芳鄰來

[quote][b]2.可以同時上網，但電腦間無法連結
HiFly or Seednet ADSL 同一帳號可以讓多人同時上網, 明明都連接到同一個集線器, 但是有時候在網芳之中卻找不到對方[/b][/quote]
這個問題, 相信大多數網友都已經經由NetBEUI 或IPX 加以解決, 但是萬一你非得跑NetBIOS over TCP/IP 不可呢? 既然如此, 小弟還是盡力補充 "Multiple IP-addresses on a Network Card" 的另一個更簡單方法

"Multiple IP-addresses on a Network Card" 這已經不能算是新聞了, 只不過一般網友並無此需求, 除了以上透過Regedit.exe 直接修改IP 的進階方法之外, 對於使用PPPoE 上網的PC, 則有另一個更簡單的方法: [B]"安裝TCP/IP"![/B] 不要懷疑, 您或許已經安裝了, 而且已經享受到沒有移除的壞處--感覺[B]網路會停頓![/B] 沒錯, 那正是安裝了TCP/IP 但是卻不指定IP 的關係
[url]http://www.helmig.com/j_helmig/adslfix.htm#delay[/url]

首先請看一下[網路]的內容是否已經有:

PPP over Ethernet Protocol -> 網路卡
[B]TCP/IP -> 網路卡[/B]
File and printer sharing for Microsoft Networks
(請參考 [url]http://www.helmig.com/j_helmig/adslpoe9.htm[/url])

請在每一台撥號上網的PC, 修改 "TCP/IP -> 網路卡"
IP: 192.168.0.xxx/255.255.255.0
Gateway: None
連結 "File and printer sharing for Microsoft Networks"

其實說穿了, 原理和使用NetBEUI 相同, 也就是在同一片網路卡上, 執行兩種通訊協定, 一個是為了連線Internet, 而另一個則是為了分享內部網路, 因為是以虛擬IP 分享網芳, 除了無法阻擋 "IP Spoofing" 之外, 應該可以得到僅次於NetBEUI 的安全保障, 請您自己試一試

其次再補充一個特別的連線問題, 也許您不曾碰到, 但是不妨瞭解一下, 一般來說, 在一個小型的區域網路裡面, 通常只會有一個C 區段(C Class), 假設是 192.168.0.0, Gateway 是 192.168.0.1, 當您使用PPP or PPPoE 撥號上網, 或者連結虛擬私人網路(VPN)之後, [B]Default Gateway 將會變更為ISP 指定的Gateway[/B], 萬一原來的Gateway 連接到另一個區段 192.168.1.0 (Gateway:192.168.1.1), 那麼這時候, 在 192.168.0.0 這個區段的PC 將無法連結 192.168.1.0 的區段(連結 192.168.0.0 的區段仍會正常), 因為Default Gateway 已經不再是 192.168.0.1, 詳情請參考:
[url]http://www.helmig.com/j_helmig/tcpipwan.htm#dialout[/url]

解決的方法是執行:

C:\Windows\ROUTE.exe ADD 192.168.1.0 MASK 255.255.255.0 192.168.0.1
這個指令的意義是, 所有送到 192.168.1.0 區段的封包, 都要透過Gateway 192.168.0.1

此外, 上面提到[B]虛擬私人網路(VPN)連線[/B]也會有類似問題, 因為VPN 也是一種[B]撥號連線[/B], 因此也會改變Default Gateway, 解決的方法就是:

1.由 "Winipcfg /all" or "Ipconfig /all", 找出 Microsoft VPN adapter 的Gateway IP
2.執行 Route.exe, 以便將VPN 封包導向VPN Gateway
3.從[撥號網路]VPN 的撥號內容, 取消 Use default gateway on remote network, 然後重新連線, 如此一來, 只有VPN 封包會透過VPN Gateway, 而其他封包則會透過Default Gateway, 原來的區域網路就不會有問題
4.如果不需要隨時保持VPN 連線, 另一個方法是, 平時不連線VPN, 需要時再撥號VPN, 最好從[撥號網路]選擇 "顯示連線資訊", 才容易分辨VPN 是否作用中
5.如果以上都不行, 很可能就是ISP 直接提供VPN 骨幹, 因此可能無解

如果您想更進一步瞭解VPN, 請到
FAST FTP Search v4.0 - The World's Largest File Search Engine
[url]http://ftpsearch.lycos.com/?form=medium[/url]
找一個檔案 "MSPPTP.EXE", 或到
Practically Networked VPN Help
[url]http://www.practicallynetworked.com/support/VPN_help.htm[/url]