背景介紹

今天這個案例是弱電朋友經常犯的問題，我來做個分享。這是一個校園監控項目，網絡規劃簡單，直接用路由器做2個VLAN，分別是辦公網和監控網絡，如下：

按照上述拓撲完成規劃配置后，技術人員發現VLAN1辦公網無法訪問VLAN2的NVR，需要解決。這是一個弱電人很常見的錯誤，我們來一起看一下問題。

排障分析

第一步：確認問題現象

在PC1上ping NVR的地址192.168.2.108：

問題現象存在，下一步確認PC1是否能通VLAN2網關和電腦PC2。

第二步：確認PC1能跨三層訪問VLAN2設備

PC1分別ping VLAN2接口和VLAN2下的PC2：

可見都是能通的，說明路由器VLAN配置、PC1、PC2等IP參數配置均無問題。但要驗證NVR是否存在網絡中，我們到路由器上看下ARP列表確認NVR是否存在網絡中：

說明NVR實際是存在于路由器的LAN網絡中的，下一步需要確認下NVR的網關配置是否正確。

第三步：確認NVR的網關配置

從PC2上登錄NVR查看網絡參數：

可以看到這是一臺雙網卡NVR，接入路由器網絡的是網卡配，IP為192.168.2.108/24，網關為192.168.2.1。該網卡配置沒問題，但是我們注意到：NVR另一塊網卡1的IP居然也是1網段的：192.168.1.108/24！

這塊獨立網卡1是連接IPC等設備，用于內部預覽通信，也就是說，這塊網卡1與路由器的1網段無關。我補充個拓撲大家就明白了：

所以PC1為什么不能跨三層通過網卡2訪問NVR？因為存在與網卡1的IP段沖突！！

第四步：總結分析

NVR有2塊獨立網卡，網卡1是1.108，網卡2是2.108；

PC1源IP是1.11，跨三層訪問NVR時網卡2能收到包；

但NVR回包的時候發現自己網卡1有1網段有直連路由，但其并沒有發現網卡1下有1.11這個設備，因此不予理會（就算有也會從網卡1發出去，PC1根本得不到應答）。

解決方案

解決方案也很簡單，保證辦公網絡VLAN1的網段和NVR內部網卡1不沖突即可。現場是將網卡1改成了4網段：

修改后的ping測試：

VLAN1 PC1能正常訪問NVR管理頁面：