网络故障排除手册

1、吧网络故障排除手册1/59目录1设备.61.1各型号硬件参数（包括带机数、flash 、内存、端口、插槽、模块等）. 61.2NBR 的正式软件版本 .71.3NBR2000 上如何配置镜像？ .81.4NBR 接口是自适应的 .81.59.0b7 版本发生规律性的掉线 .81.6设备面板上的指示灯 .82基本设置 .102.1如何设置系统时间（动静态）？.102.2如何更改接口MAC ？ .102.3如何设置用户名密码？（telnet、enable、登录时需要） .112.4如何恢复密码、出厂配置？.112.5不支持 SSH 登录管理 .122.6设置超级终端时哪步最可能出错？.122.7如

2、何更改 console 口的波特率？.122.8如何配置 keepalive ？ .122.9管理哪些版本需要安装JRE？ .132.10流量监控能监控哪些内容？ .132.11如何配置双机热备？ .133ACL.153.1ACL 的种类和功能 .153.2常用的 ACL配置 .153.3远程登录更改ACL 时的注意事项（ WEB 和 telnet） .163.4如何限制管理ip（只允许某个ip 管理）？ .163.5配置的 ACL不起作用 .173.6只允许浏览网页，禁止访问其他业务.174NAT.182/594.1如何在 NBR 上配置 DDNS ？ .184.2如何配置反向映射（即反向端

3、口映射、反向NA T）？ .184.3动态获得 IP 时可以在 web 下配置反向 NAT 吗？ .184.4用户反映反向 NAT 不成功，如何测试主机是否开了相关服务？.194.5为什么配置了反向 NAT 后外网无法登录管理？ .194.6能更改路由器登录管理的默认端口吗？.194.7用户反映 QQ 登录慢 .194.8配置保存 fail ，但上网正常 .205VLAN.215.1如何配置 VLAN ？ .215.2可以做 TRUNK 吗？可以 VLAN 间路由吗？.216路由 .236.1可以配置哪些路由协议？ .236.2两条不同 ISP 线路，做主备，路由如何配置？.236.3两条都是

4、同一 ISP 又不同网段的呢？同一网段呢？（列出不同版本不同配置方法）.236.4配置策略路由后优先走哪条路由？.246.5双线路不同运营商的网吧为什么玩游戏会卡？.247DNS 和 DHCP .257.1如何配置 DNS relay ？ .257.2多个 ISP 需要多个 DNS 时，建议不要配置DNS relay .257.3如何配置 DHCP ？能否指定分配 MAC ？ .268日志 .278.1如何打开日志及设置各项日志显示？.278.2常见日志显示信息 .288.3如何设置日志服务器？ .299限速 .309.1如何限制 P2P？如何限速？ .309.2为什么限速下传是 1000，但

5、有些 PC 会超过到 1040？ .319.3限速参数如何建议？限速单位.319.4能否基于 MAC 限速？ .313/5910病毒攻击3210.1怎么做网吧ARP 绑定（包括web 和 CLI ）？3210.2绑定时给用户的建议3210.3绑定后要更改，如何操作？（包括web 和 CLI ）3310.4ARP 病毒的现象，查看哪些信息，解决办法3310.5DDOS 攻击的现象，查看哪些信息，解决办法3410.6内网使用公网地址时可以打开防外网攻击吗？这种情况如何防外网攻击？3511VPN3611.1各版本支持的VPN3611.2如何配置VPN3612升级3812.1能否通过 web 升级？注

6、意事项3812.2升级步骤及注意事项3812.3“ Warning:please exec command : no security anti-lan-attack! ”是什么意思？4112.4在升级时总是升级失败，每次都提示“-1”4113案例4213.1用户反映上网慢或掉线，登录路由器要查看哪些信息？4213.2电信局端线路改造后，路由器无法正常上网4213.32000 重启后，发现时间ACL 工作异常4313.4网吧外网口总是闪断4313.5端口出现地址冲突的告警，冲突源是路由器本身4313.6使用多地址池出现游戏掉线4313.7PPPOE 拨号后无法上网4414RGNOS9.10B1

7、8 专题4514.19.10B18 比 9.01B5 的改进4514.2NBR 系列路由器对9.10B18 版本的支持情况4614.39.10B18 版本的典型联动模型4614.4联动方案中， 57+18 和 29/27+18 的建议带机数4614.5在 57/27/29+18 模型下， S18 为什么不能再串接S18？4614.6在 57/29+27 模型下， S27 为什么不能再串接S18？474/5914.7联动建立后， web 不能访问交换机4714.8ARP 表或安全地址绑定表中出现100.132.*.* 的 IP 地址4714.9NBR 不停提示“交换机硬件资源不足，导致绑定不成功

8、”4714.10弹性带宽中的保留带宽和最大带宽4814.11如何配置弹性带宽？4814.12弹性带宽停止时路由器如何限速？4814.13如何实现游戏带宽保证功能？4914.14限速和弹性带宽可以共存4914.15访问 NBR web界面慢5014.16无法 telnet NBR12005014.17开启信任 arp 机制后在路由器上看到多个ip 对应同一个MAC5014.18联动后出现部分主机无法上网5014.19NBR 的 arp 表中的 trust 状态5114.20如何配置 802.1Q ？5114.21如何使用 show 命令排查故障？5114.22（ NBR300 S27 S18）模

9、型，开启联动后同一台S18 下多台电脑不能上网575/591设备1.1各型号硬件参数（包括带机数、flash 、内存、端口、插槽、模块等）型号端口扩 展内存FlashNAT 数包转发率带机数槽NBR25001 个千兆 WAN 口， 2无256M32M50 万700Kpps1500个百兆WAN口， 5个千兆 LAN 口NBR2000/2 个千兆口， 1 个百兆无256M32M50 万650Kpps100028-21口NBR12002 个百兆 WAN 口， 41 个64M8M5 万150Kpps250个百兆 LAN 口NBR11002 个百兆 WAN 口， 4无64M8M5 万120Kpps150

10、个百兆 LAN 口NBR3001 个百兆 WAN 口， 4无64M8M5 万100Kpps150个百兆 LAN 口NBR802 个百兆 WAN 口， 4无64M8M5 万80Kpps85个百兆 LAN 口6/591.2NBR 的正式软件版本版本发布日期较上一版本的改进6.142004年 8 月-8.02005年 1 月-8.102005年 3 月-8.212005年 7 月-8.302005年11月-8.412006年8月2日增加了免费 ARP 、 IP 限速。 8.41 以前的版本不支持log 信息，不支持 arp spoof 不支持内网防攻击。 但很好地支持了双ADSL 自动负载均衡。8.

11、52006年8月16日相比 8.41 以前的版本增强了防内外网攻击， 内网的 anti arp-spoofing ，支持更多的系统 Log 信息。9.0b72006年12月6日增强了防内外网攻击、 MAC/IP自动绑定、电信网通线路自动选择，支持 ARP 自动绑定， 稳定性大大加强， 但存在与华为ARP 兼容的问题，升级后经常会报定时断线。9.0 以前的版本的 WEB 管理基于绿色的 JAVA 界面。9.01b52007年6月24日不再需要 JAVA 的支持， 它打开管理页面的速度大大提高。还有以下特性：监控页面和配置页面密码分开设。防火墙可以一条一条删除，并可任意调整先后顺序。增加公网 IP

12、 设置模式（适用于北京等地区不需NAT 的应用模式）。防攻击内容的丰富。 NBR 受攻击情况下， ping NBR不丢包。对 ARP 单播报文优化处理：满足一些地区电信局端对ARP 欺骗的特殊处理。7/59网通地址库更新。9.10.b182007 年 12 月 10 日请参考 9.10b18 专题。1.3NBR2000 上如何配置镜像？配置命令如下：nbr2000(config)#mirror master lan 0 slave wan 0 allNbr2000(config)#mirror master lan 0 slave wan 1 all监控 pc 可以不配ip 地址，配了IP 的

13、监控 pc 可以上网。硬件版本是1.0 的 NBR1000/1000E ，不能开启端口镜像的功能，否则会引起掉线。1.4NBR 接口是自适应的是自适应的。1.59.0b7 版本发生规律性的掉线当对端是华3 的设备（ MAC 地址以 00e0.fc 开头）时，由于华3 设置的 ARP 是以单播的形式发送的，而我司的ARP 按照标准，是以广播的形式发送，所以双方ARP 协商有问题，必须将我司的设备的ARP 老化时间缩短，一般建议设置为5s 以下， NBR(config)#arp timeout 5 ，注意不能在外网口配置ARP 绑定及免费ARP 。1.6设备面板上的指示灯NBR 路由器上每个网口都

14、拥有M 指示灯和Link/ACT指示灯，这表示此端口是工8/59作在 100M 还是工作在M ，可以从其是否闪烁看出其是否在转发数据。路由器还有一个状态指示灯status，这表示它的供电电源是否正常。在1200 和 2000 还存在着个指示灯：饱和： CPU 利用率大于%繁忙： CPU 利用率大于%,小于 %正常： CPU 利用率小于%空闭： CPU 利用率小于 %NBR1200 还多了一个报警灯，当设备受到DDOS 攻击时，报警灯闪烁。9/592基本设置2.1如何设置系统时间（动静态）？静态设置路由器时间的命令是：NBR#clock set 11:11:11 30 april 2007或NB

15、R #calendar set 11:11:11 30 april 2007由于 NBR2000 和 NBR28/21 无时钟芯片，无法保存静态时钟，故必须配置动态时钟。其他 NBR 路由器不存在该问题。动态设置路由器时间的命令是：NBR(config)# sntp enableNBR(config)# sntp interval 60/单位分钟NBR(config)#sntp server 128.9.176.30对于内网使用公网地址的地区（如北京），其路由器外网口地址配为私网地址，无法直接向公网时钟服务器获取时钟。这种情况需在内网建一个时钟服务器，将SNTP server指向内网的服务器地

16、址。2.2如何更改接口 MAC ？NBR 可以更改接口MAC 。内网口：例如之前为了防ARP 病毒，做了双向绑定。现在更改网关设备，将网关设备的接口MAC 改成原来的，就省了所有PC 重新绑定网关的麻烦。10/59外网口：有的ISP 为了防 ARP 病毒或对PPPOE 进行认证，对用户接入设备进行绑定。当更换该设备时，可将新设备外网口MAC 改成旧 MAC 。配置命令如下：NBR(config-if)#mac-address 1111.1111.11112.3如何设置用户名密码？（telnet 、enable 、登录时需要）telnet 使用用户名和密码进行登录：NBR（ config)#us

17、ername xxx password xxxNBR（ config）#line vty 0 4NBR（ config-line)#login localtelnet 只使用密码登录：NBR（ config）#line vty 0 4NBR（ config-line)#loginNBR（ config-line)#password xxx设置 console 方式与 telnet 相同，只需将vty 0 4 改为 console 0 即可。设置 enable 密码：NBR(config)#enable secret lever 15 0 xxx/注意：设置密码不要加空格2.4如何恢复密码、出厂

18、配置？恢复出厂配置有两种方式：第一种方法是在运行情况下长按reset 键 8 秒，这时系统会把原来的配置清空，恢复11/59成出产设置。第二种方法是在设备加电时按 Ctrl+C 进入配置菜单界面，选择更改文件选项，把 config.text 改成 config.bak ，再断电重启路由器。这种方法可以保留原先配置。默认的 IP 地址是 192.168.1.1/24, 默认的 15 级密码是： admin2.5不支持 SSH 登录管理不支持。2.6设置超级终端时哪步最可能出错？设置超级终端时在设置“数据流控” 这步最容易错， 在属性设置中点取“还原成默认值”就可以避免这个问题，这样也避免波特率出

19、错。当遇到超级终端无法显示、乱码、无法敲入等都可能是该问题。也可以通过接入其他设备看是否显示正常来确认问题所在。2.7如何更改 console口的波特率？配置命令如下：Nbr(config) line console 0Nbr(config-line)# speed 576002.8如何配置 keepalive ？keepalive 用于检查线路是否正常，缺省每隔10 秒发送一个DNS 或 Ping 的报文，收到回答，则认为线路正常；若连续发送3 次，均未收到回答，则认为该接口是Down的。12/59配置命令如下：NBR(config-if)#keepalive 10 ping 221.203

20、.76.1或NBR(config-if)#keepalive 10 dns 202.101.98.55一般选择稳定的目的地址进行测试。单线路情况下不使用该功能。2.9管理哪些版本需要安装JRE ？在管理 9.0B7 以前的的nbr 软件版本时， 需要安装1.31 的 JRE 软件版本。 若没安装， 可以打开首页，但无法进入配置界面。如果 JRE 版本不符的话，会出现某些页面无法正常显示，如：“配置向导”项空白。2.10 流量监控能监控哪些内容？流量监控可以显示系统信息（版本信息、运行时间，CPU 的利用率，内存的使用率等）、接口信息（各接口状态、统计信息）、 IP 流量信息及系统日志信息。流量

21、监控不能和限速同时配置。2.11 如何配置双机热备？VRRP 配置如下：NBR-Ainterface GigabitEthernet 0/0vrrp 1 priority 120/vrrp1组的优选级为120 ，默认为 100vrrp 1 ip 192.168.1.1/vrrp1的虚拟网关IP 为 192.168.1.113/59vrrp 1 track GigabitEthernet 0/1 30/当外网口（ g0/1）down 掉，降低30的优先级，降低后 VRRP1 的优先级为 90vrrp 2 ip 192.168.2.1/vrrp2的虚拟网关 IP 为 192.168.2.1vrrp

22、 2 track GigabitEthernet 0/1 30/当外网口（ g0/1）down 掉，降低30的优先级，降低后 VRRP2 的优先级为 70NBR-Binterface GigabitEthernet 0/0vrrp 1 ip 192.168.1.1/vrrp1的虚拟网关IP 为 192.168.1.1vrrp 1 track GigabitEthernet 0/1 30/当外网口（ g0/1 ） down 掉，降低 30 的优先级，降低后VRRP1 的优先级为70vrrp 2 priority 120/vrrp2组的优选级为120vrrp 2 ip 192.168.2.1/vr

23、rp2的虚拟网关IP 为 192.168.2.1vrrp 2 track GigabitEthernet 0/1 30/当外网口（ g0/1 ） down 掉，降低 30 的优先级，降低后VRRP2 的优先级为90数值越大，优先级越高，优先级高的为主，低的为备。14/593ACL3.1ACL 的种类和功能查看配置：NBR(config)#access-list ?IP standard access listIP extended access list IP standard access list (expanded range) IP extended access list (expa

24、nded range) IP address range standard access list IP address range extended access listMAC access list从上面的信息可以看出，NBR 路由器的ACL 共分成 7 类， 1 99 是标准访问列表，100 199 是扩展访问列表，1300 1999 是标准扩展Range 的访问列表，3000 3099 是标准的基于IP range 的访问列表， 3100 3199 是扩展的基于IP 地址范围的访问列表。4000 4199 是基于 MAC 地址的访问列表 ,只能在 NBR 的交换口上配置， NBR20

25、00 、NBR21/28不支持。3.2常用的 ACL 配置常用 ACL 配置有：access-list 3198 deny tcp any any eq 135/冲击波、震荡波access-list 3198 deny tcp any any eq 139/魔波access-list 3198 deny tcp any any eq 445/冲击波、震荡波、魔波15/59access-list 3198 deny udp any any eq 137/137、138 、 139 为 netbios端口access-list 3198 deny udp any any eq 138access-

26、list 3198 deny udp any any eq 139access-list 3198 permit ip any anyaccess-list 3199 deny icmp any any echo/ 禁止从外网ping路由器access-list 3199 deny tcp any any eq 135access-list 3199 deny tcp any any eq 139access-list 3199 deny tcp any any eq 445access-list 3199 deny tcp any host x.x.x.x eq 80/ 禁止外网访问路由器管

27、理页面，如果有多条接入线路，请依次配置，如果配置了WEB端口映射，请去掉。同一接口下可以同时在in 和 out 方向应用不同的ACL 。带交换口的NBR 的内网口可增加 1 条基于 MAC 的 ACL 。即一个端口最多可以配置3 条 ACL 。3.3远程登录更改 ACL 时的注意事项（ WEB 和 telnet ）远程配置ACL时首先应提醒用户，配置可能引起网络中断，若中断仅需花一分钟时间重启即可。 在用户同意配置情况下， 不删除原 ACL ，配置新的替换到接口。 等运行正常后再删除原 ACL 。telnet 配置时， 后配的总是摆在后面。 而 ACL 是按顺序从上往下匹配的，故一般不对原 A

28、CL 直接进行更改。 WEB 配置时，可以调整各项顺序。 ACL 默认是deny 的。3.4如何限制管理 ip （只允许某个 ip 管理）？限制管理IP 是针对 TELNET 或 WEB 来说的，对console 口无效。限 telnet 管理主机配置如下：16/59NBR (config)#access-list 11 permit 192.168.1.27 0.0.0.0/ 定义一条ACL，允许一个主机NBR(config)#line vty 0 4/进入 TELNET 模式NBR(config-line)#access-class 11 in/ 配置在接口上，只允许192.168.1.27的主机进行TELNET 配置。在接口上配置ACL 可以限制WEB 和 telnet 管理主机。3.5配置的 ACL 不起作用可能的故障原因有：配置顺序不对，ACL 是从上往下逐条匹配，一旦上条已经匹配，下调将不起作用。未正确应用，ACL 配置完后应该关联才起作用。配置时间A