Wifi路由器下pc和wifi路由器同网段pc互访的实现过程

首先,部分家用路由器允许从wan口直接访问lan网段的ip地址。但大部分路由器不支持,本例就是一款支持这个条件的wifi路由器。

问题:同事笔记本(使用wifi路由器连接)和交换机下面的pc实现互访,使用mstsc和飞秋内网传数据。发现,从wifi路由器下笔记本可以ping通交换机下pc,但pc无法ping通wifi路由器下pc。

组网:

分析过程:

笔记本的网络配置:

 台式机的配置:

 

Wifi路由器的配置

 

笔记本能192.168.13.75ping通台式机192.168.207.53,台式机抓包发现,如下图:

 

笔记本的ping显示:

因为,笔记本ping消息发出后,经过wifi路由器路由器,根据路由器的处理方式,先进行查询路由表,由wan口缺省路由器出去的,要进行nat转换,转换源ip为路由器wan口的ip地址,所以台式机上收到的是wan口192.168.207.44的ping请求,ttl为64-1=63。台式机对wan口ip发出ttl为128的reply消息,到达wifi路由器路由器的wan口后,按照先查nat表,再查路由表的次序,因为是自内到外的访问,所以nat表里有内外的ip对应关系的记录,转换目的ip为内网192.168.13.75,路由器的lan口有192.168.13.0的直连路由表,确定由lan口直接发出到192.168.13.75。经一级路由器,所以笔记本收到的ttl为128-1=127。

而台式机192.168.205.53ping笔记本ip192.168.13.75,因为192.168.13.75不是pc的直连路由192.168.207.0/24网段,所以走默认路由器表项0.0.0.0/0.0.0.0。

从接入交换机的上级路由器发出,没有发到wifi路由器路由器上,所以ping不通,会显示time out。

  

应该在pc上添加192.168.13.0/24的路由指向wifi路由器路由器的wan口地址192.168.207.44上,这样对于自外(路由器之外)的访问,查询nat表,没有映射关系,直接查询直连路由表项,就会由路由器lan口发出到笔记本。

结论:在pc上添加一条静态路由192.168.13.0/24指向192.168.207.44。

操作过程:

 

如上图:路由添加成功

执行ping命令,结果却不通

奇怪,抓包看笔记本是否收到包?

 

 

 

抓包和mac地址显示是从路由器的lan口发出消息,

为什么没有回包?

检查笔记本的路由表

路由正常,有获取的默认网关。看一下有没有查询路由表后,获取网关mac地址的过程?

清除掉笔记本的mac缓冲表,台式机再次ping,笔记本抓包里过滤arp过滤icmp||arp contains 0d01(查看是否有笔记本查询网关mac的消息)?

 

 

Arp缓冲表查询正常

这个过程说明,收到ping包后,笔记本查询路由表,确定了出口为自身192.168.207.75,指向192.168.13.1,因为清除了arp缓冲,所以要查询网关的mac地址。获取到mac地址后,没有发包,说明网络层是没有问题的,考虑网络层以上是否有其他限制?

检查防火墙的设置,发现防火墙开启,关闭防火墙后,可以实现外部ping通。

 

 应该是防火墙拦截icmp的request消息,导致应用层没有收到,所以没有回reply消息。

 

 

 

感悟:

  1. 排除网络问题要理清拓扑关系,分析包的转发过程。
  2. 要利用好抓包工具,判断包走到哪一步了?

知识点:

    有的路由器支持wan口收到没有nat映射关系的包时,会查询路由表,符合内网路由表的,会转发消息。但有的路由器,没有nat映射关系,就丢弃数据包。

  1. 我们公司这台wifi路由器的转发过程,由内部发起的,到达lan口后,先查路由表,确定是走缺省路由的,走wan口发出的,执行nat转换,转换源ip为wan口ip地址。外部来的访问,首先检查nat映射表里是否有对应关系,有的话,先执行nat转换,转换目的ip为nat记录中的内部ip,再查路由表,是lan口网络地址的,走lan口转发,和lan口网段不一致的,再由wan口发出。Nat表里没有的,不进行目的ip转换,查路由表,符合lan口网段的,送到lan口转发。不符合lan口网段的,由wan口再次发出。
  2. Ip包的访问过程,首先查询路由表,直连路由级别最高,最先查询,通过目的ip地址和自身掩码相与得到一个网络号,和路由表里自身网络号比较,相同就是同一网段,不同就去查询其他静态路由,同样的过程,没有找到话,使用缺省路由,由网关发出。网关一定是和自身ip在同一网段的ip地址。

确定出口后,检查mac缓冲表,没有下一跳mac地址的话,发起arp查询,得到回复后,使用这个mac地址组包,发出ip包。

   3.防火墙工作于三层之上,网络层应该是工作的,防火墙拦截会导致ping的request对应的应用层收不到。

   4.Wireshark的contains可以用于查询16进制串和字符串。

Logo

开放原子开发者工作坊旨在鼓励更多人参与开源活动,与志同道合的开发者们相互交流开发经验、分享开发心得、获取前沿技术趋势。工作坊有多种形式的开发者活动,如meetup、训练营等,主打技术交流,干货满满,真诚地邀请各位开发者共同参与!

更多推荐