H3C路由器常见故障
目录1.1 管理密码丢失1.3 端口映射不成功1.4 设置ARP 双向绑定(针对客户端为静态分配地址的情况)1.6 上网速度慢,玩游戏卡1.7 无法远程访问路由器1.8 升级过程中出现问题解答1.10
目录
1.1 管理密码丢失
1.3 端口映射不成功
1.4 设置ARP 双向绑定(针对客户端为静态分配地址的情况)
1.6 上网速度慢,玩游戏卡
1.7 无法远程访问路由器
1.8 升级过程中出现问题解答
1.10 如何设置端口限速和网络连接数,并查看端口/IP流量
1.11 如何限制某些应用
1.12 如何划分VLAN ,实现单臂路由,禁止网段间互访
1.14 企业、网吧、酒店典型组网配置
1.16 如何抓包
,1 常见问题处理
1.1 管理密码丢失
• 将管理计算机的串口通过配置线缆与路由器的Console 口相连,在命令行下输入password 命令并回车,按照系统提示,输入新密码,并重新输入一次以确认即可。 • 恢复出厂设置。
1.2 恢复出厂设置
• 登录Web 页面,单击“恢复到出厂设置”中的<复原>按钮恢复设备到出厂设置(页面向导:设备管理→基本管理→配置管理)。
• 管理计算机串口连接或Telnet 到设备,命令行下输入restore default命令并回车,确认后,路由器将恢复到出厂设置并重新启动。
1.3 端口映射不成功
常见的端口映射不成功的原因及处理方法,如下:
1. 运营商原因
一般较常见的如80端口无法映射成功,内网访问正常。
处理方法:联系运营商解决或者将映射的外部端口更换为其他端口。
其他测试验证方法:可以选择将外部端口更换为其他端口(如8099)测试,远程访问时格式为:http://XXX.XXX.XXX.XXX:8099,测试是否访问正常来确认是否该原因引起。
2. 服务器配置原因
内网访问正常,但是外网通过端口映射访问不成功。
处理方法:请检查服务器配置,特别是安全策略或者防火墙设置,确认是否没有开放非本地网段的访问权限或者其他安全策略设置问题。
其他测试验证方法:可以采用某台XP 系统的客户端主机开启远程协助(当然也同样需要先验证一下内网其他PC 是否能远程登入)并在路由器上配置映射3389端口来验证路由器的端口映射功能是否正常。
3. 端口未全部映射
内网访问正常,一对一NAT 也正常,但是外网通过端口映射访问不成功。
处理方法:某些应用(特别如语音、监控系统等)在实际工作过程中需要用到多个端口通信,而客户实际可能只配置了一个或者部分端口的映射,请抓包确认整个通信过程中用到的所有端口,并确认是否均已设置映射。
其他测试验证方法:尝试将服务器设置为DMZ 主机或者配置一对一NAT (外网地址不能是WAN 口地址)验证是否正常来确认是否该原因引起。
4. 配置问题
客户在防火墙、MAC 过滤等规则中添加了过滤规则,阻止了映射端口或者映射服务器的正常通信。
处理方法:检查路由器规则类相关配置,查看是否将映射的端口或者服务器过滤。 其他测试验证方法:可采用禁用防火墙、MAC 过滤等功能来排查,常见的为防火墙配置了入站或者出站通信策略引起。
,1.4 设置ARP 双向绑定(针对客户端为静态分配地址的情况)
1. 路由器端ARP 绑定
将局域网中的主机ARP 绑定为静态表项,具体方法见手册(页面向导:安全专区→ARP 安全→ARP 绑定)。
2. 主机端ARP 绑定
主机端(开始→运行→CMD 窗口)将路由器地址添加到静态ARP 表中,命令:arp –s 路由器的IP 地址路由器MAC 地址
1.5 局域网部分或者全网PC 掉线、无法访问Internet
1. 受到ARP 攻击或者ARP 欺骗导致(此类情况最普遍)
(1)掉线的PC Ping不通网关地址;
(2)掉线的PC 能ping 通网关地址,但是有丢包;
(3)掉线PC ping不通网关,Ping 主交换机下的其他PC 或者服务器能通。 处理方法:
如果全网掉线的PC 无法ping 通网关,无法登入网关,需要先拔掉所有WAN 口所接的网线,即对应的上行链路,再尝试ping 网关或者登录网关,以此来确定是内网问题还是外网攻击问题引起。
• 如果此时能ping 通网关,那么很有可能是外网攻击导致,请确认设备相关防攻击功能是否开启,WAN 口运营商侧网关ARP 是否已经静态绑定,并联系运营商协助解决。
• 如果此时掉线PC 依然无法ping 通网关,则可能为内网问题,请参考如下步骤:
1、在掉线PC 上MS-DOS 窗口通过arp –d 清掉当前ARP 信息, arp -s来重新绑定网关的ARP 。例如arp –s 192.168.1.1 00-23-89-32-35-67(MAC 地址为路由器LAN 口对应的MAC )。
2、请检查路由器ARP 绑定设置是否绑定了内网各主机的ARP 信息,可以采用静态和动态绑定功能实现,具体配置步骤参见产品手册!(页面向导:安全专区→ARP 安全→ARP 绑定)
2. 路由器下挂交换机的问题导致
掉线PC ping网关不通,Ping 主交换机下的其他PC 或者服务器也不通。 处理方法:
(1)掉线PC 长ping 网关时,请观察与掉线PC 相连的各级交换机各端口指示灯的状
态,如果交换机端口依然常亮,代表交换机或者相连网线存在问题。
(2)如果是全网掉线,需要特别注意主交换机的各个端口指示灯情况(特别是连接路
由器的端口指示灯)是否正常闪烁。必要时可以重启主交换机观察是否能够恢复。
(3)掉线PC 长ping 网关时,请观察路由器与主交换机级联的路由器LAN 端口指示
灯是否正常闪烁,如果指示灯常亮,可以尝试更换一个LAN 观察,如果还是常亮,掉线PC ping 不通网关,请直接将一台PC 接在路由器LAN 口,拔掉路由器与交换机级联的端口,PC 尝试ping 网关地址,如果此时能ping 通,说明非路由器问题。如果此时还是依然ping 不通网关,并确认PC 的IP 地址配置与路由器管理地址在同一网段,那可能就是路由器异常了,必要时可以重启路由器观察是否能够恢复。
(4)另外如果是全网掉线,可以尝试在某台掉线PC 上长ping 网关地址,然后逐一插
拔主交换机上连接分交换机的各个端口网线,观察掉线PC 能否ping 通网关,以此来判断是局域网内哪台交换机底下的PC 出现异常导致。
,3. 病毒等大流量攻击导致
(1)请查看路由器上是否已经启用了IP 流量限制(页面向导:QoS 设置→流量管理
→IP 流量限制)。QoS 的具体限速值选择方法参考“1.10 如何设置端口限速和网络连接数,并查看端口/IP流量”关于端口限速的设置问题。
(2)查看路由器上是否已经启用了网络连接数限制(页面向导:QoS 设置→连接限制
→网络连接限数)。典型值为每IP 分配1000-2000。
4. 掉线PC 异常流量太大或者中毒,被路由器加入到黑名单中导致
登录路由器查看黑名单列表中是否存在掉线PC (页面向导:安全专区→防攻击→异常流量防护),如果存在,选中它并将其删除或等待生效时间之后再观察是否恢复正常,或者可以选择安全等级为中,即将主机的上行流量控制在10Mbps 范围内。
5. 运营商网络问题导致
能Ping 通同一交换机下的其他PC 、主交换机下的服务器地址和路由器地址,但Ping 不通路由器的上层运营商网关或者DNS 地址,通过路由器中的诊断工具ping DNS和外网地址也不通。
处理方法:运营商侧网络可能出现了问题,需要联系运营商进行确认解决。
6. 域名解析服务器(DNS )异常导致
能Ping 通网关地址,QQ 也能上,或者下载正常,但是所有网页打不开。
处理方法:可能是域名解析服务器(DNS )异常导致,可以将掉线PC 的DNS 地址静态设置为运营商提供的DNS 地址观察,或者可以更换一个新的DNS 地址观察能否恢复。
1.6 上网速度慢,玩游戏卡
1. QoS限速不合理(限速过大,使得部分PC 占用过多带宽或限速过小)导致
确认是否在路由器上启用了IP 流量限制,并设置了合适的限速值,路由器的各WAN 口带宽是否已经填入了实际带宽值(页面向导:QoS 设置→流量管理→IP 流量限制)。 不同应用场合下的推荐设置及描述请参见下表:
2. 路由配置不合理导致(使用双线路上网时)
该问题一般出现在双WAN 的路由器且两条线路运营商不同的情况下,且有以下现象: • 访问部分门户网站慢
• 部分游戏卡
处理方法:
(1)一般来说,需要将双WAN 的均衡模式选择为手动均衡,默认链路选择当地较为
稳定的运营商线路或者带宽较大的线路。均衡路由表里需要导入另一条运营商链路对应的路由表(常用路由表可在H3C 官方网站中获取:首页>服务支持>软件下载>路由器>ER双WAN 路由器基础路由表)。
(2)使用tracert 命令在游戏卡或者上网慢的主机上查看到达该网站或者该游戏服务
器的路由是从哪个接口出去的(参考步骤(4))。(例如:某网站的地址为电信地址,而路由却从连接网通线路的WAN 接口出去了,则只需要添加一条静态路由(页面向导:高级设置→路由设置→静态路由),使其从连接电信线路的WAN 接口出去便可以解决此问题。)
(3)北方部分用户使用双WAN 路由器按步骤(1)正确配置后,部分游戏或者网页(如
QQ 类等),仍存在慢或者卡的问题,查看路由,确实走对了链路,这时需要将游戏卡或者网页慢的服务器地址(一般为电信地址)找出来(参考步骤(4)),通过设置静态路由或者策略路由使其从联通接口出去即可解决。
(4)找出对应网站的服务器地址的方法:开始菜单→运行→输入“CMD ”,在弹出窗
口输入ping 访问慢的网站地址即可,例如ping www.baidu.com 。接下来显示的IP 地址即为该网站对应的服务器地址。找出对应游戏服务器地址的方法:在某PC 上退出其他所有应用程序,只打开该游戏,然后在系统开始菜单→运行→输入“CMD ”,在弹出窗口输入“netstat –bn ”,找到对应游戏进程的Foreign Address 地址,即为该游戏所对应的服务器地址。(使用该方法还可以快速找到游戏对应端口,在一些企业中可以将该游戏端口通过防火墙功能封掉,参见1.13)
(5)查看对应地址属于哪个运营商的方法:此类查询网站很多,直接在百度里搜索IP
地址查询即可找到。如www.ip138.com 。
3. 路由器受攻击、负荷太重或下挂交换机级联端口出现拥塞导致
Ping 路由器LAN 接口地址延时很大或有丢包。
处理方法:查看CPU 和内存的利用率情况(页面向导:系统监控→运行信息→性能监视)。
• 如果CPU 利用率很高,很可能是内/外网中存在攻击或者路由器负荷太重;
• 如果CPU 利用率正常,那可能就是内网的问题,查看下接交换机是否负荷太重或者网线干扰、水晶头松动等其他原因。
4. 路由器上层问题导致
Ping 路由器LAN 口地址、WAN 口地址正常,但Ping 打开很慢的网站或者Ping 玩游戏卡的服务器地址出现延时很大或丢包的现象,使用路由器自带的维护工具Ping 打开很慢的网站或者Ping 玩游戏卡的服务器地址出现同样的现象。 处理方法:
(1)路由器上层设备(可能是光猫或者其他设备)出现异常,可尝试重启或者更换观
察。
(2)运营商网络侧可能出现了网络拥塞等问题,需要联系运营商进行确认解决。
(3)游戏或者网站服务器满负荷导致,需要关注游戏官方网站的公告或者咨询游戏服
务商。
,1.7 无法远程访问路由器
(1)请通过本地管理计算机登录路由器确认是否开启远程访问功能,并确认远程访问
的计算机是否在远程管理PC 的IP 范围内(页面向导:设备管理→用户管理→远程管理)。
(2)请确认远程访问Web 的格式是否正确,正确的格式为:
(3)同一时间,路由器最多允许五个用户远程通过Web 或T elnet 进行管理和设置,
请确认远程访问的计算机数量是否达到最大值。
1.8 升级过程中出现问题解答
升级方法如下:
(1)升级前请备份当前版本的配置文件。在升级软件期间,请确保网络稳定,不要断
电。
(2)下载。最新版本下载地址:www.h3c.com.cn 网站,首页→服务支
持→软件下载→路由器→H3C ER系列路由器。
(3)设备升级。登录路由器管理页面,进入备管理→基本管理→软件升级页面,点击<
浏览>按钮选择下载好的.bin 文件(下载的文件可能压缩包,需要解压缩获取.bin 文件),点击<升级>按钮等待1~3分钟后设备自动重启,升级过程中,不要随便切换网页,直至完成升级。
升级过程中提示错误时,处理方法如下:
• 提示错误文件:请确认升级选中的文件是否为.bin 的设备版本文件。
• 提示上传文件内容错误:请确认下载的版本文件名表示的型号是否与当前升级的设备型号一致,下载的版本文件是否做过改动。
1.9 设备各指示灯含义
1. 正常的设备指示灯状态说明
2. 电源指示灯(POWER 灯)不亮
(1)请检查电源线是否连接正确。
(2)请检查电源线插头是否插紧,无松动现象。
(3)送当地授权服务中心(ASC )检测是否为设备硬件故障。
3. 不插网线各端口链路状态指示灯(Link/Act灯)常亮或者闪烁
(1)重启设备观察是否恢复。
(2)送当地授权服务中心(ASC )检测是否为设备硬件故障。
4. WAN、LAN 口链路状态指示灯(Link/Act灯)不亮
(1)请检查网线与路由器的WAN 、LAN 接口连接是否卡紧,无松动现象。
(2)请重新连接网线两端的接口或重新按标准568B 线序制作水晶头后再尝试连接。
(3)请检查是否网线出现故障:可将网线的两端均插在路由器的两个LAN 接口上,两
个接口对应的指示灯都亮表示网线正常;否则网线可能存在问题,请更换一根之前使用正常的网线来重新尝试。
(4)请检查端口的连接速率和双工模式配置是否有误:进入路由器Web 设置页面,将
WAN 、LAN 的连接速率和双工模式设置成和上行口、下行交换机端口一致,例如都设置为100M 全双工观察(推荐两端均配置为自适应,即Auto 模式。页面向导:接口设置→WAN 设置→网口模式;接口设置→LAN 设置→端口设置)。
1.10 如何设置端口限速和网络连接数,并查看端口/IP流量
1. 每IP 流量限制
根据二八理论,即80的带宽被20的人占用来计算,而且占用的带宽大多为下行带宽,上行带宽一般选择下行带宽的一半或者2/3左右。
例如运营商带宽为10Mbps ,带机量100台PC ,80的带宽就是8Mbps ,20的人就是20个人,那么8Mbps*1000=8000kbps(实际上应该乘以1024,这里简单以1000计算),8000kbps/20=400kbps,则理论值为每IP 需要下行限速400kbps ,上行值为200~300kbps ,当然该计算值是理论值,需要根据实际的网络使用量来适当变化。如果是ADSL 宽带类型客户,则上行带宽建议限制为100kbps ,且不推荐允许每IP 通道借用空闲的带宽。如果企业、酒店等环境,平时使用网络的时间或者占用的流量不是很大,那么可以适当将限速值调高,如下行600kbps ,上行400kbps ,并开启允许每IP 通道借用空闲的带宽。如网吧环境,带宽使用量较大,则需要增加带宽或者较少带机量来提高客户网速的体验,保证游戏和视频的正常工作。网吧一般建议每IP 限速下行800kbps ,上行500kbps ,开启弹性带宽功能,即允许每IP 通道借用空闲的带宽。双WAN 设备需要针对不同WAN 口计算不同的限速值予以限制,最终主机获得的带宽为双WAN 带宽限速总和。
2. 网络连接数
一般建议每IP 设置在1000~2000即可保证正常应用访问。
3. 查看端口/IP流量
(1)查看每个物理端口流量:系统监控→流量监控→端口流量。
(2)查看局域网内各在线主机通过WAN 口的流量:系统监控→流量监控→IP 流量
(3)实时查看WAN 口流量:系统监控→流量监控→流量监视
,1.11 如何限制某些应用
1. 限制某些游戏(通常采用封游戏端口的方法)
以诛仙游戏(通信端口为29000,某款游戏的通信端口需要抓包获取,如何抓包请参见“1.16 如何抓包”)为例介绍:
(1)开启防火墙功能(页面向导:安全专区→防火墙→防火墙设置)。
(2)设置出站通讯策略:添加如下规则,禁止所有IP 发往目的端口为29000的UDP
报文通过(页面向导:安全专区→防火墙→出站通信策略),如下图所示。
2. 限制访问某些网站
(1)通过设备的网站过滤功能实现:
在路由器上设置让局域网内的主机仅能或不能访问固定的某些网站(页面向导:安全专区→接入控制→网站过滤)。
(2)通过防火墙的出站通信策略实现部分用户无法访问部分网站。
首先通过ping 需要过滤的网站域名,获取到该网站的服务器地址,然后再添加规则。如:禁止源IP 地址范围为192.168.1.2~192.168.1.200的客户端访问目的服务器122.227.209.17 目的端口为80的TCP 报文通过。(注意:部分大型网站在某个地区有多个地址,或者在多个地区都有服务器地址,可以尝试禁止目的服务器地址所在的网段后,再通过上述办法找出能ping 通的其他服务器地址,再添加规则过滤即可。)
3. 限制某些IP 不能上外网
• 勾选仅允许DHCP 服务器分配的客户端访问外网,不在路由器DHCP 服务器分配的客户列表中的用户将无法访问外网(页面向导:安全专区→接入控制→IPMAC 过滤)。
• 勾选仅允许ARP 静态绑定的客户端访问外网,将客户端ARP 绑定为静态表项,不在ARP 静态绑定表中的客户端将无法访问外网(页面向导:安全专区→接入控制→IPMAC 过滤)。
1.12 如何划分VLAN ,实现单臂路由,禁止网段间互访
1. 组网图
2. 组网需求
如上图所示,无管理Switch A连接ER 路由器的LAN1接口,有管理Switch B连接LAN2接口,实现Switch A 下所有客户端获取到VLAN2的地址,Switch B 下存在两个VLAN (VLAN3:192.168.3.0/24,VLAN4:192.168.4.0/24)对应两个部门,部门之间禁止互访。
3. 配置步骤
(1)新增三个VLAN (页面向导:接口设置→VLAN 设置→VLAN 设置):
• VLAN2:IP 地址填192.168.2.1(即VLAN2的网关地址),子网掩码:255.255.255.0。 • VLAN3 IP为192.168.3.1,VLAN4 IP为192.168.4.1,子网掩码均为255.255.255.0。
(2)编辑LAN1口配置(页面向导:接口设置→VLAN 设置→Trunk 口设置),双击
LAN1口所在条目进入编辑状态,将LAN1口的PVID 和允许通过的VLAN 均改为2。(如果其他LAN 口同样接无管理设备实现类似功能可参考此步。)
(3)编辑LAN2口配置,允许通过的VLAN 改为3~4。Switch B的上行端口设置为
Trunk ,允许VLAN3、VLAN4通过即可。(如果有管理交换机下存在更多的VLAN ,则只需添加到允许通过的VLAN 中即可。)
(4)如果局域网内用户通过动态DHCP 获取对应网段的IP ,需要通过页面向导:接口
设置→DHCP 设置→DHCP 设置,添加各个VLAN 网段对应的DHCP 地址池。
(5)配置VLAN3和VLAN4网关不能互访,在设备防火墙功能的出站通信策略中增加
一条规则,禁止源地址范围为192.168.3.2-192.168.3.254访问目的地址范围为192.168.4.2-192.168.4.254的所有服务.
1.13 IPSEC VPN典型组网配置
VPN 设置请参考《》和用户手册(获取地址:www.h3c.com.cn →首页→服务支持→文档中心→路由器→H3C ER3100 企业级宽带路由器→典型配置→《H3C SMB Router IPSec VPN配置指导》)。
1.14 企业、网吧、酒店典型组网配置
典型组网配置请参考《H3C ER系列企业级路由器用户手册》中第12章和第13章。(获取地址:www.h3c.com.cn →首页→服务支持→文档中心→路由器→H3C ER3100 企业级宽带路由器→《ER 系列企业级路由器用户手册》)。
视频配置案例参考《H3C ER 系列路由器视频典型配置指导》(获取地址:www.h3c.com.cn →首页→服务支持→文档中心→路由器→H3C ER 系列路由器→H3C ER6300千兆路由器→视频配置案例→《H3C ER 系列路由器视频典型配置指导》)。
1.15 设备支持哪些功能
ER 系列路由器支持的详细功能请参见各产品的(获取路径:www.h3c.com.cn →首页→服务支持→软件下载→路由器→H3C ER 系列路由器,下载该产品的版本和版本说明书)。
