H3C路由器常見問題處理

1常見問題處理1.1 管理密碼丟失?將管理計(jì)算機(jī)的串口通過配置線纜與路由器的 Console口相連，在命令行下輸入password命令并回車，按照系統(tǒng)提示，輸入新密碼，并重新輸入一次以確認(rèn)即可。?恢復(fù)出廠設(shè)置。1.2恢復(fù)出廠設(shè)置?登錄Web頁面，單擊“恢復(fù)到出廠設(shè)置”中的 ＜復(fù)原＞按鈕恢復(fù)設(shè)備到出廠設(shè)置（頁面向?qū)В涸O(shè)備管理-基本管理-配置管理）。?管理計(jì)算機(jī)串口連接或Telnet到設(shè)備，命令行下輸入 restoredefault命令并回車，確認(rèn)后，路由器將恢復(fù)到出廠設(shè)置并重新啟動(dòng)。端口映射不成功常見的端口映射不成功的原因及處理方法，如下：運(yùn)營商原因一般較常見的如80端口無法映射成功，內(nèi)網(wǎng)訪問正常。處理方法：聯(lián)系運(yùn)營商解決或者將映射的外部端口更換為其他端口。其他測(cè)試驗(yàn)證方法： 可以選擇將外部端口更換為其他端口（如8099）測(cè)試，遠(yuǎn)程訪問時(shí)格式為：http://XXX.XXX.XXX.XXX:8099 ，測(cè)試是否訪問正常來確認(rèn)是否該原因引起。服務(wù)器配置原因內(nèi)網(wǎng)訪問正常，但是外網(wǎng)通過端口映射訪問不成功。處理方法：請(qǐng)檢查服務(wù)器配置，特別是安全策略或者防火墻設(shè)置，確認(rèn)是否沒有開放非本地網(wǎng)段的訪問權(quán)限或者其他安全策略設(shè)置問題。其他測(cè)試驗(yàn)證方法： 可以采用某臺(tái)XP系統(tǒng)的客戶端主機(jī)開啟遠(yuǎn)程協(xié)助（當(dāng)然也同樣需要先驗(yàn)證一下內(nèi)網(wǎng)其他PC是否能遠(yuǎn)程登入）并在路由器上配置映射3389端口來驗(yàn)證路由器的端口映射功能是否正常。端口未全部映射內(nèi)網(wǎng)訪問正常，一對(duì)一 NAT也正常，但是外網(wǎng)通過端口映射訪問不成功。處理方法：某些應(yīng)用（特別如語音、監(jiān)控系統(tǒng)等）在實(shí)際工作過程中需要用到多個(gè)端口通信，而客戶實(shí)際可能只配置了一個(gè)或者部分端口的映射，請(qǐng)抓包確認(rèn)整個(gè)通信過程中用到的所有端口，并確認(rèn)是否均已設(shè)置映射。其他測(cè)試驗(yàn)證方法： 嘗試將服務(wù)器設(shè)置為DMZ主機(jī)或者配置一對(duì)一NAT（外網(wǎng)地址不能是WAN口地址）驗(yàn)證是否正常來確認(rèn)是否該原因引起。配置問題客戶在防火墻、MAC過濾等規(guī)則中添加了過濾規(guī)則，阻止了映射端口或者映射服務(wù)器的正常通信。處理方法：檢查路由器規(guī)則類相關(guān)配置，查看是否將映射的端口或者服務(wù)器過濾。其他測(cè)試驗(yàn)證方法： 可采用禁用防火墻、 MAC過濾等功能來排查，常見的為防火墻配置了入站或者出站通信策略引起。設(shè)置ARP雙向綁定（針對(duì)客戶端為靜態(tài)分配地址的情況）路由器端ARP綁定將局域網(wǎng)中的主機(jī)ARP綁定為靜態(tài)表項(xiàng)，具體方法見手冊(cè)（頁面向?qū)В喊踩珜^(qū)tARP安全tARP綁定）。主機(jī)端ARP綁定主機(jī)端（開始t運(yùn)行tCMD窗口）將路由器地址添加到靜態(tài) ARP表中，命令：arp-s路由器的IP地址路由器MAC地址局域網(wǎng)部分或者全網(wǎng) PC掉線、無法訪問Internet受到ARP攻擊或者ARP欺騙導(dǎo)致（此類情況最普遍）（1） 掉線的PCPing不通網(wǎng)關(guān)地址；（2） 掉線的PC能ping通網(wǎng)關(guān)地址，但是有丟包；（3） 掉線PCping不通網(wǎng)關(guān)，Ping主交換機(jī)下的其他PC或者服務(wù)器能通。處理方法：如果全網(wǎng)掉線的PC無法ping通網(wǎng)關(guān)，無法登入網(wǎng)關(guān)，需要先拔掉所有 WAN口所接的網(wǎng)線，即對(duì)應(yīng)的上行鏈路，再嘗試ping網(wǎng)關(guān)或者登錄網(wǎng)關(guān)，以此來確定是內(nèi)網(wǎng)問題還是外網(wǎng)攻擊問題引起。?如果此時(shí)能ping通網(wǎng)關(guān)，那么很有可能是外網(wǎng)攻擊導(dǎo)致，請(qǐng)確認(rèn)設(shè)備相關(guān)防攻擊功能是否開啟，WAN口運(yùn)營商側(cè)網(wǎng)關(guān)ARP是否已經(jīng)靜態(tài)綁定，并聯(lián)系運(yùn)營商協(xié)助解決。?如果此時(shí)掉線PC依然無法ping通網(wǎng)關(guān)，則可能為內(nèi)網(wǎng)問題，請(qǐng)參考如下步驟：1、 在掉線PC上MS-DOS窗口通過arp-d清掉當(dāng)前ARP信息，arp-s來重新綁定網(wǎng)關(guān)的ARP。例如arp-s 00-23-89-32-35-67 （MAC地址為路由器LAN口對(duì)應(yīng)的MAC）。2、請(qǐng)檢查路由器ARP綁定設(shè)置是否綁定了內(nèi)網(wǎng)各主機(jī)的ARP信息，可以采用靜態(tài)和動(dòng)態(tài)綁定功能實(shí)現(xiàn)，具體配置步驟參見產(chǎn)品手冊(cè)！ （頁面向?qū)В喊踩珜^(qū)tARP安全tARP綁定）路由器下掛交換機(jī)的問題導(dǎo)致掉線PCping網(wǎng)關(guān)不通，Ping主交換機(jī)下的其他PC或者服務(wù)器也不通。處理方法：（1） 掉線PC長ping網(wǎng)關(guān)時(shí)，請(qǐng)觀察與掉線PC相連的各級(jí)交換機(jī)各端口指示燈的狀態(tài)， 如果交換機(jī)端口依然常亮，代表交換機(jī)或者相連網(wǎng)線存在問題。（2） 如果是全網(wǎng)掉線，需要特別注意主交換機(jī)的各個(gè)端口指示燈情況 （特別是連接路由器的端口指示燈）是否正常閃爍。必要時(shí)可以重啟主交換機(jī)觀察是否能夠恢復(fù)。（3） 掉線PC長ping網(wǎng)關(guān)時(shí)，請(qǐng)觀察路由器與主交換機(jī)級(jí)聯(lián)的路由器 LAN端口指示燈是否正常閃爍，如果指示燈常亮，可以嘗試更換一個(gè) LAN觀察，如果還是常亮，掉線 PCping不通網(wǎng)關(guān)，請(qǐng)直接將一臺(tái)PC接在路由器LAN口，拔掉路由器與交換機(jī)級(jí)聯(lián)的端口， PC嘗試ping網(wǎng)關(guān)地址，如果此時(shí)能ping通，說明非路由器問題。如果此時(shí)還是依然 ping不通網(wǎng)關(guān)，并確認(rèn)PC的IP地址配置與路由器管理地址在同一網(wǎng)段，那可能就是路由器異常了，必要時(shí)可以重啟路由器觀察是否能夠恢復(fù)。（4） 另外如果是全網(wǎng)掉線，可以嘗試在某臺(tái)掉線 PC上長ping網(wǎng)關(guān)地址，然后逐一插拔主交換機(jī)上連接分交換機(jī)的各個(gè)端口網(wǎng)線，觀察掉線 PC能否ping通網(wǎng)關(guān)，以此來判斷是局域網(wǎng)內(nèi)哪臺(tái)交換機(jī)底下的PC出現(xiàn)異常導(dǎo)致。病毒等大流量攻擊導(dǎo)致（1） 請(qǐng)查看路由器上是否已經(jīng)啟用了 IP流量限制（頁面向?qū)В篞oS設(shè)置t流量管理tIP流量限制）。QoS的具體限速值選擇方法參考“ 1.10如何設(shè)置端口限速和網(wǎng)絡(luò)連接數(shù)，并查看端口/IP流量”關(guān)于端口限速的設(shè)置問題。（2） 查看路由器上是否已經(jīng)啟用了網(wǎng)絡(luò)連接數(shù)限制（頁面向?qū)В?QoS設(shè)置t連接限制t網(wǎng)絡(luò)連接限數(shù)）。典型值為每IP分配1000-2000。掉線PC異常流量太大或者中毒，被路由器加入到黑名單中導(dǎo)致登錄路由器查看黑名單列表中是否存在掉線 PC（頁面向?qū)В喊踩珜^(qū)t防攻擊T異常流量防護(hù)） ，如果存在，選中它并將其刪除或等待生效時(shí)間之后再觀察是否恢復(fù)正常，或者可以選擇安全等級(jí)為中，即將主機(jī)的上行流量控制在 10Mbps范圍內(nèi)。運(yùn)營商網(wǎng)絡(luò)問題導(dǎo)致能Ping通同一交換機(jī)下的其他PC、主交換機(jī)下的服務(wù)器地址和路由器地址，但 Ping不通路由器的上層運(yùn)營商網(wǎng)關(guān)或者DNS地址，通過路由器中的診斷工具 pingDNS和外網(wǎng)地址也不通。處理方法：運(yùn)營商側(cè)網(wǎng)絡(luò)可能出現(xiàn)了問題，需要聯(lián)系運(yùn)營商進(jìn)行確認(rèn)解決。域名解析服務(wù)器（DNS）異常導(dǎo)致能Ping通網(wǎng)關(guān)地址，QQ也能上，或者下載正常，但是所有網(wǎng)頁打不開。處理方法：可能是域名解析服務(wù)器（DNS）異常導(dǎo)致，可以將掉線PC的DNS地址靜態(tài)設(shè)置為運(yùn)營商提供的DNS地址觀察，或者可以更換一個(gè)新的 DNS地址觀察能否恢復(fù)。上網(wǎng)速度慢，玩游戲卡QoS限速不合理（限速過大，使得部分 PC占用過多帶寬或限速過?。?dǎo)致確認(rèn)是否在路由器上啟用了 IP流量限制，并設(shè)置了合適的限速值， 路由器的各WAN口帶寬是否已經(jīng)填入了實(shí)際帶寬值（頁面向?qū)В?QoS設(shè)置t流量管理tip流量限制）。不同應(yīng)用場(chǎng)合下的推薦設(shè)置及描述請(qǐng)參見下表：應(yīng)月坊蘭描述網(wǎng)吧建議憊選中紅允許毎1卩逋這佶用空砌帶蠱"單選框上下行帶寬限制報(bào)萍值：職岀口帝宣3亂h且炕一偎遶為例，建論IV至IP上療濫量上限打段議帥弓QOKtip%“毎IPT檸洗童上限” ,瑯羽備需賽軒對(duì)不罔応ATJ口計(jì)算不■同的眼遠(yuǎn)詵予限限制，董攙主機(jī)紀(jì)得地獰寬為取嘰引」帯釦瑟1總和,具俸限殖值■計(jì)算方法多見U10如何址戟/口喂速駒闘站進(jìn)換歎，并臺(tái)看螭o/尸瘟董“企業(yè)建詡您選中“毎舊通道只樹便用頊設(shè)的帶競”單選框』特別是二DSL寬帶類型客戶口設(shè)置前」最好鵡對(duì)不同用戶醫(yī)或前帶寬使用進(jìn)廿一亍肴瑾的規(guī)劃.如果希望提嵩帶寬利用率”如賓誼等場(chǎng)所1建砂鋸中“允許每IPJ1道厝用空閑的帶寬円單選上下廿帶菟曜制擢薦仏以出口垮竟10【山且境一鳩鍾溝詞，建孤將“毒審上行渣畫上限”設(shè)章?lián)?D0Ktip雖“毒IP下幷藍(lán)董上限"設(shè)S^SOOKbps.加農(nóng)上阿人教不#可賦適當(dāng)鍛大e具休限連值計(jì)算方法蠡見（（110如何諛蚩站口限連和例轄連接觀畀查看嫦口IP金董杯路由配置不合理導(dǎo)致（使用雙線路上網(wǎng)時(shí)）該問題一般出現(xiàn)在雙WAN的路由器且兩條線路運(yùn)營商不同的情況下，且有以下現(xiàn)象：?訪問部分門戶網(wǎng)站慢?部分游戲卡處理方法：（1） 一般來說，需要將雙WAN的均衡模式選擇為手動(dòng)均衡，默認(rèn)鏈路選擇當(dāng)?shù)剌^為穩(wěn)定的運(yùn)營

商線路或者帶寬較大的線路。均衡路由表里需要導(dǎo)入另一條運(yùn)營商鏈路對(duì)應(yīng)的路由表（常用路由表可在H3C官方網(wǎng)站中獲?。?首頁＞服務(wù)支持＞軟件下載＞路由器＞ER雙WAN路由器基礎(chǔ)路由表）。（2） 使用tracert命令在游戲卡或者上網(wǎng)慢的主機(jī)上查看到達(dá)該網(wǎng)站或者該游戲服務(wù)器的路由是從哪個(gè)接口出去的（參考步驟（ 4））。（例如：某網(wǎng)站的地址為電信地址，而路由卻從連接網(wǎng)通線路的WAN接口出去了，則只需要添加一條靜態(tài)路由（頁面向?qū)В焊呒?jí)設(shè)置t路由設(shè)置t靜態(tài)路由），使其從連接電信線路的WAN接口出去便可以解決此問題。）（3） 北方部分用戶使用雙WAN路由器按步驟（1）正確配置后，部分游戲或者網(wǎng)頁（如QQ類等），仍存在慢或者卡的問題，查看路由，確實(shí)走對(duì)了鏈路，這時(shí)需要將游戲卡或者網(wǎng)頁慢的服務(wù)器地址（一般為電信地址）找出來（參考步驟（ 4））,通過設(shè)置靜態(tài)路由或者策略路由使其從聯(lián)通接口出去即可解決。（4） 找出對(duì)應(yīng)網(wǎng)站的服務(wù)器地址的方法： 開始菜單t運(yùn)行t輸入“CMD”，在彈出窗口輸入ping訪問慢的網(wǎng)站地址即可，例如 ping 。接下來顯示的IP地址即為該網(wǎng)站對(duì)應(yīng)的服務(wù)器地址。找出對(duì)應(yīng)游戲服務(wù)器地址的方法： 在某PC上退出其他所有應(yīng)用程序， 只打開該游戲，然后在系統(tǒng)開始菜單t運(yùn)行t輸入“ CMD”，在彈出窗口輸入“netstat-bn”,找到對(duì)應(yīng)游戲進(jìn)程的ForeignAddress地址，即為該游戲所對(duì)應(yīng)的服務(wù)器地址。 （使用該方法還可以快速找到游戲?qū)?yīng)端口，在一些企業(yè)中可以將該游戲端口通過防火墻功能封掉，參見1.13）（5） 查看對(duì)應(yīng)地址屬于哪個(gè)運(yùn)營商的方法：此類查詢網(wǎng)站很多，直接在百度里搜索 IP地址查詢即可找到。女口。路由器受攻擊、負(fù)荷太重或下掛交換機(jī)級(jí)聯(lián)端口出現(xiàn)擁塞導(dǎo)致Ping路由器LAN接口地址延時(shí)很大或有丟包。處理方法：查看CPU和內(nèi)存的利用率情況(頁面向?qū)В合到y(tǒng)監(jiān)控t運(yùn)行信息t性能監(jiān)視)?如果CPU利用率很高，很可能是內(nèi)/外網(wǎng)中存在攻擊或者路由器負(fù)荷太重；?如果CPU利用率正常，那可能就是內(nèi)網(wǎng)的問題，查看下接交換機(jī)是否負(fù)荷太重或者網(wǎng)線干擾、水晶頭松動(dòng)等其他原因。路由器上層問題導(dǎo)致Ping路由器LAN口地址、WAN口地址正常，但Ping打開很慢的網(wǎng)站或者Ping玩游戲卡的服務(wù)器地址出現(xiàn)延時(shí)很大或丟包的現(xiàn)象， 使用路由器自帶的維護(hù)工具 Ping打開很慢的網(wǎng)站或者 Ping玩游戲卡的服務(wù)器地址出現(xiàn)同樣的現(xiàn)象。處理方法：路由器上層設(shè)備(可能是光貓或者其他設(shè)備)出現(xiàn)異常，可嘗試重啟或者更換觀察。運(yùn)營商網(wǎng)絡(luò)側(cè)可能出現(xiàn)了網(wǎng)絡(luò)擁塞等問題，需要聯(lián)系運(yùn)營商進(jìn)行確認(rèn)解決。游戲或者網(wǎng)站服務(wù)器滿負(fù)荷導(dǎo)致，需要關(guān)注游戲官方網(wǎng)站的公告或者咨詢游戲服務(wù)商。1.7無法遠(yuǎn)程訪問路由器請(qǐng)通過本地管理計(jì)算機(jī)登錄路由器確認(rèn)是否開啟遠(yuǎn)程訪問功能， 并確認(rèn)遠(yuǎn)程訪問的計(jì)算機(jī)是否在遠(yuǎn)程管理PC的IP范圍內(nèi)(頁面向?qū)В涸O(shè)備管理T用戶管理T遠(yuǎn)程管理) 。請(qǐng)確認(rèn)遠(yuǎn)程訪問Web的格式是否正確，正確的格式為： http://xxx.xxx.xxx.xxx:port或https://xxx.xxx.xxx.xxx:port，例如2:8080 。同一時(shí)間，路由器最多允許五個(gè)用戶遠(yuǎn)程通過 Web或Telnet進(jìn)行管理和設(shè)置，請(qǐng)確認(rèn)遠(yuǎn)程訪問的計(jì)算機(jī)數(shù)量是否達(dá)到最大值。1.8 升級(jí)過程中出現(xiàn)問題解答升級(jí)方法如下：升級(jí)前請(qǐng)備份當(dāng)前版本的配置文件。在升級(jí)軟件期間，請(qǐng)確保網(wǎng)絡(luò)穩(wěn)定，不要斷電。下載最新版本軟件。最新版本下載地址：網(wǎng)站，首頁t服務(wù)支持t軟件下載t路由器TH3CER系列路由器。設(shè)備升級(jí)。登錄路由器管理頁面， 進(jìn)入備管理T基本管理T軟件升級(jí)頁面， 點(diǎn)擊<瀏覽>按鈕選擇下載好的.bin文件(下載的文件可能壓縮包，需要解壓縮獲取 .bin文件)，點(diǎn)擊<升級(jí)〉按鈕等待1?3分鐘后設(shè)備自動(dòng)重啟，升級(jí)過程中，不要隨便切換網(wǎng)頁，直至完成升級(jí)。升級(jí)過程中提示錯(cuò)誤時(shí)，處理方法如下：?提示錯(cuò)誤文件：請(qǐng)確認(rèn)升級(jí)選中的文件是否為 .bin的設(shè)備版本文件。?提示上傳文件內(nèi)容錯(cuò)誤：請(qǐng)確認(rèn)下載的版本文件名表示的型號(hào)是否與當(dāng)前升級(jí)的設(shè)備型號(hào)一致，下載的版本文件是否做過改動(dòng)。1.9設(shè)備各指示燈含義1.正常的設(shè)備指示燈狀態(tài)說明荷喬土，含崑Fower亮供電正常滅電謹(jǐn)昊湧物理鏈路存在』艇立連接枚理博歸存花|但耒謹(jǐn)立連接或物理鏈誦不存在100M殼端口工tt^1OOMbit/s滅端口工作在10him旳或璉路未建立1000L1(臂千兆口的設(shè)備)殼端口工作^IDOOMbits端口工tt^10；lOOLIbit乞取慨躊耒逢立Link/Act髓跆餐立閃爍師口在收發(fā)數(shù)菇滅電源指示燈(POWER燈)不亮請(qǐng)檢查電源線是否連接正確。請(qǐng)檢查電源線插頭是否插緊，無松動(dòng)現(xiàn)象。送當(dāng)?shù)厥跈?quán)服務(wù)中心(ASC)檢測(cè)是否為設(shè)備硬件故障。不插網(wǎng)線各端口鏈路狀態(tài)指示燈(Link/Act燈)常亮或者閃爍重啟設(shè)備觀察是否恢復(fù)。送當(dāng)?shù)厥跈?quán)服務(wù)中心(ASC)檢測(cè)是否為設(shè)備硬件故障。WAN、LAN口鏈路狀態(tài)指示燈(Link/Act燈)不亮請(qǐng)檢查網(wǎng)線與路由器的WAN、LAN接口連接是否卡緊，無松動(dòng)現(xiàn)象。請(qǐng)重新連接網(wǎng)線兩端的接口或重新按標(biāo)準(zhǔn) 568B線序制作水晶頭后再嘗試連接。請(qǐng)檢查是否網(wǎng)線出現(xiàn)故障：可將網(wǎng)線的兩端均插在路由器的兩個(gè) LAN接口上，兩個(gè)接口對(duì)應(yīng)的指示燈都亮表示網(wǎng)線正常；否則網(wǎng)線可能存在問題，請(qǐng)更換一根之前使用正常的網(wǎng)線來重新嘗試。⑷ 請(qǐng)檢查端口的連接速率和雙工模式配置是否有誤： 進(jìn)入路由器Web設(shè)置頁面，將WAN、LAN的連接速率和雙工模式設(shè)置成和上行口、 下行交換機(jī)端口一致， 例如都設(shè)置為100M全雙工觀察(推薦兩端均配置為自適應(yīng)，即 Auto模式。頁面向?qū)В航涌谠O(shè)置tWAN設(shè)置t網(wǎng)口模式；接口設(shè)置tLAN設(shè)置t端口設(shè)置)。1.10如何設(shè)置端口限速和網(wǎng)絡(luò)連接數(shù)，并查看端口/IP流量每IP流量限制根據(jù)二八理論，即80%的帶寬被20%的人占用來計(jì)算，而且占用的帶寬大多為下行帶寬，上行帶寬一般選擇下行帶寬的一半或者 2/3左右。例如運(yùn)營商帶寬為10Mbps，帶機(jī)量100臺(tái)PC,80%的帶寬就是8Mbps,20%的人就是20個(gè)人，那么8Mbps*1000=8000kbps(實(shí)際上應(yīng)該乘以1024，這里簡單以1000計(jì)算),8000kbps/20=400kbps ,則理論值為每IP需要下行限速400kbps，上行值為200?300kbps，當(dāng)然該計(jì)算值是理論值，需要根據(jù)實(shí)際的網(wǎng)絡(luò)使用量來適當(dāng)變化。如果是ADSL寬帶類型客戶，則上行帶寬建議限制為100kbps，且不推薦允許每IP通道借用空閑的帶寬。如果企業(yè)、酒店等環(huán)境,平時(shí)使用網(wǎng)絡(luò)的時(shí)間或者占用的流量不是很大，那么可以適當(dāng)將限速值調(diào)高，如下行 600kbps,上行400kbps,并開啟允許每IP通道借用空閑的帶寬。如網(wǎng)吧環(huán)境,帶寬使用量較大,則需要增加帶寬或者較少帶機(jī)量來提高客戶網(wǎng)速的體驗(yàn),保證游戲和視頻的正常工作。網(wǎng)吧一般建議每 IP限速下行800kbps,上行500kbps,開啟彈性帶寬功能,即允許每IP通道借用空閑的帶寬。雙WAN設(shè)備需要針對(duì)不同WAN口計(jì)算不同的限速值予以限制,最終主機(jī)獲得的帶寬為雙WAN帶寬限速總和。網(wǎng)絡(luò)連接數(shù)一般建議每IP設(shè)置在1000?2000即可保證正常應(yīng)用訪問。查看端口/IP流量查看每個(gè)物理端口流量：系統(tǒng)監(jiān)控t流量監(jiān)控t端口流量。查看局域網(wǎng)內(nèi)各在線主機(jī)通過WAN口的流量：系統(tǒng)監(jiān)控t流量監(jiān)控tIP流量實(shí)時(shí)查看WAN口流量：系統(tǒng)監(jiān)控t流量監(jiān)控t流量監(jiān)視1.11如何限制某些應(yīng)用限制某些游戲(通常采用封游戲端口的方法)以誅仙游戲(通信端口為29000,某款游戲的通信端口需要抓包獲取,如何抓包請(qǐng)參見“ 1.16如何抓包”)為例介紹：開啟防火墻功能(頁面向?qū)В喊踩珜^(qū)T防火墻T防火墻設(shè)置) 。設(shè)置出站通訊策略：添加如下規(guī)則，禁止所有IP發(fā)往目的端口為29000的UDP報(bào)文通過(頁面向?qū)В喊踩珜^(qū)T防火墻T出站通信策略) ，如下圖所示。

H岀站J8雄握蚪—怦真屈話愿 區(qū)*xt協(xié)說莢勒irapvEQ就民4C-D.0堵幹］p： 255.255.2詰.255&媒口范=1J-幄那3$>冃的】隔址牯國UQ.0.0.0闿號(hào)IP： i5^.2M.J65\29(H)0.?29400(JM46553尅3-- -fig五応00；00-0E00B00是哥啟用F(OiA.觸ETmi打飾】11/arl.ootlHTindrdLar litttin9?r士時(shí)■限制訪問某些網(wǎng)站通過設(shè)備的網(wǎng)站過濾功能實(shí)現(xiàn)：在路由器上設(shè)置讓局域網(wǎng)內(nèi)的主機(jī)僅能或不能訪問固定的某些網(wǎng)站(頁面向?qū)В喊踩珜^(qū)t接入控制t網(wǎng)站過濾)。通過防火墻的出站通信策略實(shí)現(xiàn)部分用戶無法訪問部分網(wǎng)站。首先通過ping需要過濾的網(wǎng)站域名，獲取到該網(wǎng)站的服務(wù)器地址，然后再添加規(guī)則。如：禁止源IP地址范圍為?00的客戶端訪問目的服務(wù)器 7目的端口為80的TCP報(bào)文通過。(注意：部分大型網(wǎng)站在某個(gè)地區(qū)有多個(gè)地址，或者在多個(gè)地區(qū)都有服務(wù)器地址，可以嘗試禁止目的服務(wù)器地址所在的網(wǎng)段后， 再通過上述辦法找出能 ping通的其他服務(wù)器地址，再添加規(guī)則過濾即可。)毀料詩毀IT■止1阿創(chuàng)苗姑】Pt163.1.2 靜臬律： [192.H -(SS515廉般 5S3^日時(shí)於地址范固上衿-處T.沁IT 情琥[p； P?箭■口需岡■[SO +|盹 用殆射Q寶玫肝恂」 日二三ED五齊吋-師丁 口苗衛(wèi)口帀7口林1啊1限制某些IP不能上外網(wǎng)?勾選僅允許DHCP服務(wù)器分配的客戶端訪問外網(wǎng)，不在路由器 DHCP服務(wù)器分配的客戶列表中的用戶將無法訪問外網(wǎng)（頁面向?qū)В喊踩珜^(qū)t接入控制t IPMAC過濾）。?勾選僅允許ARP靜態(tài)綁定的客戶端訪問外網(wǎng)，將客戶端 ARP綁定為靜態(tài)表項(xiàng)，不在ARP靜態(tài)綁定表中的客戶端將無法訪問外網(wǎng)（頁面向?qū)В喊踩珜^(qū)t接入控制t IPMAC過濾）。如何劃分VLAN，實(shí)現(xiàn)單臂路由，禁止網(wǎng)段間互訪組網(wǎng)圖組網(wǎng)需求如上圖所示，無管理SwitchA連接ER路由器的LAN1接口，有管理SwitchB連接LAN2接口，實(shí)現(xiàn)SwitchA下所有客戶端獲取到VLAN2的地址，SwitchB下存在兩個(gè)VLAN（VLAN3:/24 ,VLAN4:/24 ）對(duì)應(yīng)兩個(gè)部門，部門之間禁止互訪。配置步驟（1） 新增三個(gè)VLAN（頁面向?qū)В航涌谠O(shè)置tVLAN設(shè)置tVLAN設(shè)置）：?VLAN2:IP地址填（即VLAN2的網(wǎng)關(guān)地址），子網(wǎng)掩碼：。?VLAN3IP為,VLAN4IP為，子網(wǎng)掩碼均為。⑵編輯LAN1口配置（頁面向?qū)В航涌谠O(shè)置t VLAN設(shè)置tTrunk口設(shè)置），雙擊LAN1口所在條目進(jìn)入編輯狀態(tài)，將 LAN1口的PVID和允許通過的VLAN均改為2。（如果其他LAN口同樣接無管理設(shè)備實(shí)現(xiàn)類似功能可參考此步。 ）（3） 編輯LAN2口配置，允許通過的VLAN改為3?4。SwitchB的上行端口設(shè)置為Trunk，允許VLAN3、VLAN4通過即可。（如果有管理交換機(jī)下存在更多的 VLAN，則只需添加到允許通過的VLAN中即可。）（4） 如果局域網(wǎng)內(nèi)用戶通過動(dòng)態(tài) DHCP獲取對(duì)應(yīng)網(wǎng)段的 IP，需要通過頁面向?qū)В航涌谠O(shè)置tDHCP設(shè)置tDHCP設(shè)置，添加各個(gè)VLAN網(wǎng)段對(duì)應(yīng)的DHCP地址池。⑸配置VLAN3和VLAN4網(wǎng)關(guān)不能互訪，在設(shè)備防火墻功能的出站通信策略中增加一條規(guī)則，禁止源地址范圍為-54訪問目的地址范圍為192.16842-192.1684254的所有服務(wù)?i■剛純航BL網(wǎng)：用玄3.51腎礪|□花聘11[!92. 4.2潔朝P； {l92.3u書仁11?二厚i|1 f-旦血M 24f0ii目-二三0]近代MM'JBHT MBIfun環(huán)站T宙WQPpov旦■ffii范用1、15個(gè)手？r寸竝1IPSECVPN典型組網(wǎng)配置VPN設(shè)置請(qǐng)參考《H3CSMBRouterIPSecVPN