網(wǎng)絡(luò)故障排除手冊

1、吧網(wǎng)絡(luò)故障排除手冊1/59目錄1設(shè)備.61.1各型號硬件參數(shù)（包括帶機數(shù)、flash 、內(nèi)存、端口、插槽、模塊等）. 61.2NBR 的正式軟件版本 .71.3NBR2000 上如何配置鏡像？ .81.4NBR 接口是自適應(yīng)的 .81.59.0b7 版本發(fā)生規(guī)律性的掉線 .81.6設(shè)備面板上的指示燈 .82基本設(shè)置 .102.1如何設(shè)置系統(tǒng)時間（動靜態(tài)）？.102.2如何更改接口MAC ？ .102.3如何設(shè)置用戶名密碼？（telnet、enable、登錄時需要） .112.4如何恢復(fù)密碼、出廠配置？.112.5不支持 SSH 登錄管理 .122.6設(shè)置超級終端時哪步最可能出錯？.122.7如

2、何更改 console 口的波特率？.122.8如何配置 keepalive ？ .122.9管理哪些版本需要安裝JRE？ .132.10流量監(jiān)控能監(jiān)控哪些內(nèi)容？ .132.11如何配置雙機熱備？ .133ACL.153.1ACL 的種類和功能 .153.2常用的 ACL配置 .153.3遠程登錄更改ACL 時的注意事項（ WEB 和 telnet） .163.4如何限制管理ip（只允許某個ip 管理）？ .163.5配置的 ACL不起作用 .173.6只允許瀏覽網(wǎng)頁，禁止訪問其他業(yè)務(wù).174NAT.182/594.1如何在 NBR 上配置 DDNS ？ .184.2如何配置反向映射（即反向端

3、口映射、反向NA T）？ .184.3動態(tài)獲得 IP 時可以在 web 下配置反向 NAT 嗎？ .184.4用戶反映反向 NAT 不成功，如何測試主機是否開了相關(guān)服務(wù)？.194.5為什么配置了反向 NAT 后外網(wǎng)無法登錄管理？ .194.6能更改路由器登錄管理的默認端口嗎？.194.7用戶反映 QQ 登錄慢 .194.8配置保存 fail ，但上網(wǎng)正常 .205VLAN.215.1如何配置 VLAN ？ .215.2可以做 TRUNK 嗎？可以 VLAN 間路由嗎？.216路由 .236.1可以配置哪些路由協(xié)議？ .236.2兩條不同 ISP 線路，做主備，路由如何配置？.236.3兩條都是

4、同一 ISP 又不同網(wǎng)段的呢？同一網(wǎng)段呢？（列出不同版本不同配置方法）.236.4配置策略路由后優(yōu)先走哪條路由？.246.5雙線路不同運營商的網(wǎng)吧為什么玩游戲會卡？.247DNS 和 DHCP .257.1如何配置 DNS relay ？ .257.2多個 ISP 需要多個 DNS 時，建議不要配置DNS relay .257.3如何配置 DHCP ？能否指定分配 MAC ？ .268日志 .278.1如何打開日志及設(shè)置各項日志顯示？.278.2常見日志顯示信息 .288.3如何設(shè)置日志服務(wù)器？ .299限速 .309.1如何限制 P2P？如何限速？ .309.2為什么限速下傳是 1000，但

5、有些 PC 會超過到 1040？ .319.3限速參數(shù)如何建議？限速單位.319.4能否基于 MAC 限速？ .313/5910病毒攻擊3210.1怎么做網(wǎng)吧ARP 綁定（包括web 和 CLI ）？3210.2綁定時給用戶的建議3210.3綁定后要更改，如何操作？（包括web 和 CLI ）3310.4ARP 病毒的現(xiàn)象，查看哪些信息，解決辦法3310.5DDOS 攻擊的現(xiàn)象，查看哪些信息，解決辦法3410.6內(nèi)網(wǎng)使用公網(wǎng)地址時可以打開防外網(wǎng)攻擊嗎？這種情況如何防外網(wǎng)攻擊？3511VPN3611.1各版本支持的VPN3611.2如何配置VPN3612升級3812.1能否通過 web 升級？注

6、意事項3812.2升級步驟及注意事項3812.3“ Warning:please exec command : no security anti-lan-attack! ”是什么意思？4112.4在升級時總是升級失敗，每次都提示“-1”4113案例4213.1用戶反映上網(wǎng)慢或掉線，登錄路由器要查看哪些信息？4213.2電信局端線路改造后，路由器無法正常上網(wǎng)4213.32000 重啟后，發(fā)現(xiàn)時間ACL 工作異常4313.4網(wǎng)吧外網(wǎng)口總是閃斷4313.5端口出現(xiàn)地址沖突的告警，沖突源是路由器本身4313.6使用多地址池出現(xiàn)游戲掉線4313.7PPPOE 撥號后無法上網(wǎng)4414RGNOS9.10B1

7、8 專題4514.19.10B18 比 9.01B5 的改進4514.2NBR 系列路由器對9.10B18 版本的支持情況4614.39.10B18 版本的典型聯(lián)動模型4614.4聯(lián)動方案中， 57+18 和 29/27+18 的建議帶機數(shù)4614.5在 57/27/29+18 模型下， S18 為什么不能再串接S18？4614.6在 57/29+27 模型下， S27 為什么不能再串接S18？474/5914.7聯(lián)動建立后， web 不能訪問交換機4714.8ARP 表或安全地址綁定表中出現(xiàn)的 IP 地址4714.9NBR 不停提示“交換機硬件資源不足，導(dǎo)致綁定不成功”4714.10彈性帶寬

8、中的保留帶寬和最大帶寬4814.11如何配置彈性帶寬？4814.12彈性帶寬停止時路由器如何限速？4814.13如何實現(xiàn)游戲帶寬保證功能？4914.14限速和彈性帶寬可以共存4914.15訪問 NBR web界面慢5014.16無法 telnet NBR12005014.17開啟信任 arp 機制后在路由器上看到多個ip 對應(yīng)同一個MAC5014.18聯(lián)動后出現(xiàn)部分主機無法上網(wǎng)5014.19NBR 的 arp 表中的 trust 狀態(tài)5114.20如何配置 802.1Q ？5114.21如何使用 show 命令排查故障？5114.22（ NBR300 S27 S18）模型，開啟聯(lián)動后同一臺S1

9、8 下多臺電腦不能上網(wǎng)575/591設(shè)備1.1各型號硬件參數(shù)（包括帶機數(shù)、flash 、內(nèi)存、端口、插槽、模塊等）型號端口擴 展內(nèi)存FlashNAT 數(shù)包轉(zhuǎn)發(fā)率帶機數(shù)槽NBR25001 個千兆 WAN 口， 2無256M32M50 萬700Kpps1500個百兆WAN口， 5個千兆 LAN 口NBR2000/2 個千兆口， 1 個百兆無256M32M50 萬650Kpps100028-21口NBR12002 個百兆 WAN 口， 41 個64M8M5 萬150Kpps250個百兆 LAN 口NBR11002 個百兆 WAN 口， 4無64M8M5 萬120Kpps150個百兆 LAN 口NBR

10、3001 個百兆 WAN 口， 4無64M8M5 萬100Kpps150個百兆 LAN 口NBR802 個百兆 WAN 口， 4無64M8M5 萬80Kpps85個百兆 LAN 口6/591.2NBR 的正式軟件版本版本發(fā)布日期較上一版本的改進6.142004年 8 月-8.02005年 1 月-8.102005年 3 月-8.212005年 7 月-8.302005年11月-8.412006年8月2日增加了免費 ARP 、 IP 限速。 8.41 以前的版本不支持log 信息，不支持 arp spoof 不支持內(nèi)網(wǎng)防攻擊。 但很好地支持了雙ADSL 自動負載均衡。8.52006年8月16日相

11、比 8.41 以前的版本增強了防內(nèi)外網(wǎng)攻擊， 內(nèi)網(wǎng)的 anti arp-spoofing ，支持更多的系統(tǒng) Log 信息。9.0b72006年12月6日增強了防內(nèi)外網(wǎng)攻擊、 MAC/IP自動綁定、電信網(wǎng)通線路自動選擇，支持 ARP 自動綁定， 穩(wěn)定性大大加強， 但存在與華為ARP 兼容的問題，升級后經(jīng)常會報定時斷線。9.0 以前的版本的 WEB 管理基于綠色的 JAVA 界面。9.01b52007年6月24日不再需要 JAVA 的支持， 它打開管理頁面的速度大大提高。還有以下特性：監(jiān)控頁面和配置頁面密碼分開設(shè)。防火墻可以一條一條刪除，并可任意調(diào)整先后順序。增加公網(wǎng) IP 設(shè)置模式（適用于北京等

12、地區(qū)不需NAT 的應(yīng)用模式）。防攻擊內(nèi)容的豐富。 NBR 受攻擊情況下， ping NBR不丟包。對 ARP 單播報文優(yōu)化處理：滿足一些地區(qū)電信局端對ARP 欺騙的特殊處理。7/59網(wǎng)通地址庫更新。2007 年 12 月 10 日請參考 9.10b18 專題。1.3NBR2000 上如何配置鏡像？配置命令如下：nbr2000(config)#mirror master lan 0 slave wan 0 allNbr2000(config)#mirror master lan 0 slave wan 1 all監(jiān)控 pc 可以不配ip 地址，配了IP 的監(jiān)控 pc 可以上網(wǎng)。硬件版本是1.0

13、的 NBR1000/1000E ，不能開啟端口鏡像的功能，否則會引起掉線。1.4NBR 接口是自適應(yīng)的是自適應(yīng)的。1.59.0b7 版本發(fā)生規(guī)律性的掉線當對端是華3 的設(shè)備（ MAC 地址以 00e0.fc 開頭）時，由于華3 設(shè)置的 ARP 是以單播的形式發(fā)送的，而我司的ARP 按照標準，是以廣播的形式發(fā)送，所以雙方ARP 協(xié)商有問題，必須將我司的設(shè)備的ARP 老化時間縮短，一般建議設(shè)置為5s 以下， NBR(config)#arp timeout 5 ，注意不能在外網(wǎng)口配置ARP 綁定及免費ARP 。1.6設(shè)備面板上的指示燈NBR 路由器上每個網(wǎng)口都擁有M 指示燈和Link/ACT指示燈，

14、這表示此端口是工8/59作在 100M 還是工作在M ，可以從其是否閃爍看出其是否在轉(zhuǎn)發(fā)數(shù)據(jù)。路由器還有一個狀態(tài)指示燈status，這表示它的供電電源是否正常。在1200 和 2000 還存在著個指示燈：飽和： CPU 利用率大于%繁忙： CPU 利用率大于%,小于 %正常： CPU 利用率小于%空閉： CPU 利用率小于 %NBR1200 還多了一個報警燈，當設(shè)備受到DDOS 攻擊時，報警燈閃爍。9/592基本設(shè)置2.1如何設(shè)置系統(tǒng)時間（動靜態(tài)）？靜態(tài)設(shè)置路由器時間的命令是：NBR#clock set 11:11:11 30 april 2007或NBR #calendar set 11:1

15、1:11 30 april 2007由于 NBR2000 和 NBR28/21 無時鐘芯片，無法保存靜態(tài)時鐘，故必須配置動態(tài)時鐘。其他 NBR 路由器不存在該問題。動態(tài)設(shè)置路由器時間的命令是：NBR(config)# sntp enableNBR(config)# sntp interval 60/單位分鐘對于內(nèi)網(wǎng)使用公網(wǎng)地址的地區(qū)（如北京），其路由器外網(wǎng)口地址配為私網(wǎng)地址，無法直接向公網(wǎng)時鐘服務(wù)器獲取時鐘。這種情況需在內(nèi)網(wǎng)建一個時鐘服務(wù)器，將SNTP server指向內(nèi)網(wǎng)的服務(wù)器地址。2.2如何更改接口 MAC ？NBR 可以更改接口MAC 。內(nèi)網(wǎng)口：例如之前為了防ARP 病毒，做了雙向綁定

16、?，F(xiàn)在更改網(wǎng)關(guān)設(shè)備，將網(wǎng)關(guān)設(shè)備的接口MAC 改成原來的，就省了所有PC 重新綁定網(wǎng)關(guān)的麻煩。10/59外網(wǎng)口：有的ISP 為了防 ARP 病毒或?qū)PPOE 進行認證，對用戶接入設(shè)備進行綁定。當更換該設(shè)備時，可將新設(shè)備外網(wǎng)口MAC 改成舊 MAC 。配置命令如下：2.3如何設(shè)置用戶名密碼？（telnet 、enable 、登錄時需要）telnet 使用用戶名和密碼進行登錄：NBR（ config)#username xxx password xxxNBR（ config）#line vty 0 4NBR（ config-line)#login localtelnet 只使用密碼登錄：NBR（

17、config）#line vty 0 4NBR（ config-line)#loginNBR（ config-line)#password xxx設(shè)置 console 方式與 telnet 相同，只需將vty 0 4 改為 console 0 即可。設(shè)置 enable 密碼：NBR(config)#enable secret lever 15 0 xxx/注意：設(shè)置密碼不要加空格2.4如何恢復(fù)密碼、出廠配置？恢復(fù)出廠配置有兩種方式：第一種方法是在運行情況下長按reset 鍵 8 秒，這時系統(tǒng)會把原來的配置清空，恢復(fù)11/59成出產(chǎn)設(shè)置。第二種方法是在設(shè)備加電時按 Ctrl+C 進入配置菜單界面

18、，選擇更改文件選項，把 config.text 改成 config.bak ，再斷電重啟路由器。這種方法可以保留原先配置。默認的 IP 地址是默認的 15 級密碼是： admin2.5不支持 SSH 登錄管理不支持。2.6設(shè)置超級終端時哪步最可能出錯？設(shè)置超級終端時在設(shè)置“數(shù)據(jù)流控” 這步最容易錯， 在屬性設(shè)置中點取“還原成默認值”就可以避免這個問題，這樣也避免波特率出錯。當遇到超級終端無法顯示、亂碼、無法敲入等都可能是該問題。也可以通過接入其他設(shè)備看是否顯示正常來確認問題所在。2.7如何更改 console口的波特率？配置命令如下：Nbr(config) line console 0Nbr(

19、config-line)# speed 576002.8如何配置 keepalive ？keepalive 用于檢查線路是否正常，缺省每隔10 秒發(fā)送一個DNS 或 Ping 的報文，收到回答，則認為線路正常；若連續(xù)發(fā)送3 次，均未收到回答，則認為該接口是Down的。12/59配置命令如下：或一般選擇穩(wěn)定的目的地址進行測試。單線路情況下不使用該功能。2.9管理哪些版本需要安裝JRE ？在管理 9.0B7 以前的的nbr 軟件版本時， 需要安裝1.31 的 JRE 軟件版本。 若沒安裝， 可以打開首頁，但無法進入配置界面。如果 JRE 版本不符的話，會出現(xiàn)某些頁面無法正常顯示，如：“配置向?qū)А表?/p>

20、空白。2.10 流量監(jiān)控能監(jiān)控哪些內(nèi)容？流量監(jiān)控可以顯示系統(tǒng)信息（版本信息、運行時間，CPU 的利用率，內(nèi)存的使用率等）、接口信息（各接口狀態(tài)、統(tǒng)計信息）、 IP 流量信息及系統(tǒng)日志信息。流量監(jiān)控不能和限速同時配置。2.11 如何配置雙機熱備？VRRP 配置如下：NBR-Ainterface GigabitEthernet 0/0vrrp 1 priority 120/vrrp1組的優(yōu)選級為120 ，默認為 100vrrp 1 ip 192.168.1.1/vrrp1的虛擬網(wǎng)關(guān)IP 為 192.168.1.113/59vrrp 1 track GigabitEthernet 0/1 30/當外

21、網(wǎng)口（ g0/1）down 掉，降低30的優(yōu)先級，降低后 VRRP1 的優(yōu)先級為 90vrrp 2 ip 192.168.2.1/vrrp2的虛擬網(wǎng)關(guān) IP 為 192.168.2.1vrrp 2 track GigabitEthernet 0/1 30/當外網(wǎng)口（ g0/1）down 掉，降低30的優(yōu)先級，降低后 VRRP2 的優(yōu)先級為 70NBR-Binterface GigabitEthernet 0/0/vrrp1的虛擬網(wǎng)關(guān)IP 為vrrp 1 track GigabitEthernet 0/1 30/當外網(wǎng)口（ g0/1 ） down 掉，降低 30 的優(yōu)先級，降低后VRRP1 的優(yōu)

22、先級為70vrrp 2 priority 120/vrrp2組的優(yōu)選級為120/vrrp2的虛擬網(wǎng)關(guān)IP 為vrrp 2 track GigabitEthernet 0/1 30/當外網(wǎng)口（ g0/1 ） down 掉，降低 30 的優(yōu)先級，降低后VRRP2 的優(yōu)先級為90數(shù)值越大，優(yōu)先級越高，優(yōu)先級高的為主，低的為備。14/593ACL3.1ACL 的種類和功能查看配置：NBR(config)#access-list ?<1-99>IP standard access list<100-199>IP extended access list<1300-1999&

23、gt; IP standard access list (expanded range)<2000-2699> IP extended access list (expanded range)<3000-3099> IP address range standard access list<3100-3199> IP address range extended access list<4000-4199>MAC access list從上面的信息可以看出，NBR 路由器的ACL 共分成 7 類， 1 99 是標準訪問列表，100 199 是擴展

24、訪問列表，1300 1999 是標準擴展Range 的訪問列表，3000 3099 是標準的基于IP range 的訪問列表， 3100 3199 是擴展的基于IP 地址范圍的訪問列表。4000 4199 是基于 MAC 地址的訪問列表 ,只能在 NBR 的交換口上配置， NBR2000 、NBR21/28不支持。3.2常用的 ACL 配置常用 ACL 配置有：access-list 3198 deny tcp any any eq 135/沖擊波、震蕩波access-list 3198 deny tcp any any eq 139/魔波access-list 3198 deny tcp a

25、ny any eq 445/沖擊波、震蕩波、魔波15/59access-list 3198 deny udp any any eq 137/137、138 、 139 為 netbios端口access-list 3198 deny udp any any eq 138access-list 3198 deny udp any any eq 139access-list 3198 permit ip any anyaccess-list 3199 deny icmp any any echo/ 禁止從外網(wǎng)ping路由器access-list 3199 deny tcp any any eq 1

26、35access-list 3199 deny tcp any any eq 139access-list 3199 deny tcp any any eq 445access-list 3199 deny t/ 禁止外網(wǎng)訪問路由器管理頁面，如果有多條接入線路，請依次配置，如果配置了WEB端口映射，請去掉。同一接口下可以同時在in 和 out 方向應(yīng)用不同的ACL 。帶交換口的NBR 的內(nèi)網(wǎng)口可增加 1 條基于 MAC 的 ACL 。即一個端口最多可以配置3 條 ACL 。3.3遠程登錄更改 ACL 時的注意事項（ WEB 和 telnet ）遠程配置ACL時首先應(yīng)提醒用戶，配置可能引起網(wǎng)絡(luò)中

27、斷，若中斷僅需花一分鐘時間重啟即可。 在用戶同意配置情況下， 不刪除原 ACL ，配置新的替換到接口。 等運行正常后再刪除原 ACL 。telnet 配置時， 后配的總是擺在后面。 而 ACL 是按順序從上往下匹配的，故一般不對原 ACL 直接進行更改。 WEB 配置時，可以調(diào)整各項順序。 ACL 默認是deny 的。3.4如何限制管理 ip （只允許某個 ip 管理）？限制管理IP 是針對 TELNET 或 WEB 來說的，對console 口無效。限 telnet 管理主機配置如下：16/59/ 定義一條ACL，允許一個主機NBR(config)#line vty 0 4/進入 TELNE

28、T 模式NBR(config-line)#access-class 11 in/ 配置在接口上，只允許的主機進行TELNET 配置。在接口上配置ACL 可以限制WEB 和 telnet 管理主機。3.5配置的 ACL 不起作用可能的故障原因有：配置順序不對，ACL 是從上往下逐條匹配，一旦上條已經(jīng)匹配，下調(diào)將不起作用。未正確應(yīng)用，ACL 配置完后應(yīng)該關(guān)聯(lián)才起作用。配置時間ACL 后，由于系統(tǒng)時間更改，引發(fā)控制改變。常見于無時鐘芯片的NBR2000 重啟時。3.6只允許瀏覽網(wǎng)頁，禁止訪問其他業(yè)務(wù)配置方法：只打開80 和 53 端口。NBR(config)#access-list 101 permit tcp any any eq 80NBR(config)#access-list 101 permit t