手册下载
H3C MSR WiNet系列路由器 用户FAQ-6W103-整本手册.pdf (460.36 KB)
H3C MSR WiNet系列路由器 用户FAQ
本文档介绍H3C MSR WiNet系列路由器的用户常见问题及解答。
在设备Web管理页面的导航栏中选择“系统工具>管理账户”,选中需要修改密码的账户,点击后面的编辑按钮,即可修改Web网管的登录密码。
修改方法如下:在设备Web管理页面的导航栏中选择“系统工具>远程管理”,单击“HTTP/HTTPS”页签,修改HTTP和HTTPS的登录端口号,注意:建议使用10000以上的端口号。修改完成后,点击<应用>按钮即可完成修改。
登录设备的Web管理页面进行如下设置:
(1) 在导航栏中选择“系统工具>远程管理”,单击“Telnet”页签,开启Telnet服务。
(2) 在导航栏中选择“系统工具>管理账户”,创建Telnet账号和密码。
请按照如下步骤进行排查:
(1) 在设备Web管理页面的导航栏中选择“系统工具>远程管理”,单击“HTTP/HTTPS”页签,确认是否已经开启远程访问功能,并确认远程访问的计算机IP地址是否在允许远程登录的IP范围内。
(2) 确认远程访问Web管理页面的格式是否正确。HTTP登录端口的缺省值为80,HTTPS登录端口的缺省值为443,修改登录端口时,建议使用10000以上的端口号。当登录端口为缺省值时,正确的格式为:http://ip-address或https://ip-address,例如http://192.168.100.10;当登录端口为非缺省值时,正确的格式为:http://ip-address:port或https://ip-address:port,例如http://192.168.100.10:12222。
(3) 确认远程访问的用户数量是否达到最大值,查看当前登录Web管理页面的用户的方法如下:将管理计算机串口连接到设备上或者通过管理计算机Telnet到设备,在用户视图下执行“display web user”命令。设置同时在线远程访问路由器的最大用户数的方法如下:在导航栏中选择“系统工具>管理账号”,进入管理账户页面,点击<添加>按钮,弹出添加管理员对话框。根据需要设置相关参数,并设置同时在线最大用户数,点击<添加>按钮完成管理员的添加。
恢复出厂配置的方法有如下三种:
· 在设备Web管理页面的导航栏中选择“系统工具>配置管理”,单击“恢复出厂配置”页签,点击<重置>按钮,在确认提示框中选择“是”,完成恢复出厂配置并强制重启设备。
· 若设备前面板上存在RESET按钮,可通过按下RESET按钮来恢复设备的出厂配置。长按RESET按钮4秒钟以上,设备将立刻恢复出厂配置并重新启动。
· 将管理计算机串口连接到设备上或者通过管理计算机Telnet到设备,在用户视图下执行“restore factory-default”命令,确认执行该命令后,设备将恢复到出厂设置并重新启动。
电源故障的现象是设备无法上电,前面板的电源指示灯SYS或者PWR不亮。
关闭设备电源开关后,按照如下步骤进行检查:
(1) 检查电源线是否与设备及供电设备正确连接。
(2) 检查供电设备是否正常工作。
(3) 检查所用电源线是否损坏。
如果上述检查项均未发现问题,并且故障现象仍未消失,请关注“新华三服务”微信公众号,选择“自助服务→400一键拨入”菜单寻求帮助。
当设备温度过高时,请确认使用场所及其温度和湿度是否符合如下要求:
· 设备必须在室内使用。
· 设备风扇散热口不要有遮挡。
· 室内温度和湿度要求如下表。
项目 |
描述 |
工作环境温度 |
· 无硬盘0°C~45°C · 带硬盘5°C~40°C |
工作环境湿度 |
· 无硬盘5%RH~95%RH(非凝露) · 带硬盘10%RH~80%RH(非凝露) |
常见的产生原因和处理办法如下:
· WAN口物理线路故障
处理方法:查看路由器WAN口指示灯是否正常,如果指示灯熄灭,则说明链路连接有问题,建议更换连接WAN口的网线观察。
· 前端光猫故障或者运营商线路故障
处理方法:电脑直连光猫测试,如果用户使用的PPPoE拨号方式,请输出正确的账号和密码并进行拨号,如果能上网,这说明路由器故障。如果依旧掉线,请联系运营商解决。
· 运营商定期回收IP地址
处理方法:此种情况一般出现在WAN口上网方式为PPPoE拨号,每次掉线时间间隔比较固定,请联系运营商确认并解决。
· 设备软件原因
处理方法:升级路由器的软件版本,具体方法请参见“设备软件升级”。
· 设备硬件故障
处理方法:请关注“新华三服务”微信公众号,选择“自助服务→400一键拨入”菜单寻求帮助。
限制接入终端访问外部网站可以通过如下方法解决:
· 方式1:创建上网行为管理策略。
上网行为管理策略可以通过预先定义用户组和时间组,配置上网管理行为策略,可以灵活控制某些用户在特定时间段内对特定网址分组的访问,用户可自定义网址分类,也可以使用路由器预先定义的网址特征库分组。
¡ 自定义网址分类步骤如下:在设备Web管理页面的导航栏中选择“上网行为管理>上网行为管理”,单击“自定义网址”页签,在自定义网址分类列表的下方,输入创建网址分类的名称,点击添加图标完成自定义网址分类的创建。点击刚创建的自定义网址分类对应的修改图标,设置网址关键字,点击<确定>按钮完成设置。
¡ 特征库是预定义好的,网络管理员可以定期下载更新特征库,具体配置步骤如下:在设备Web管理页面的导航栏中选择“上网行为管理>特征库管理”,单击“网址特征库”页签,进入网址特征库列表页面。根据实际情况,点击<本地更新特征库>或者<在线更新特征库>按钮来更新网址特征库。
完成上述设置后,开始创建上网行为管理策略,具体配置步骤如下:在设备Web管理页面的导航栏中选择“上网行为管理>上网行为管理”,在全局控制页签中勾选“开启上网行为管理”选项,开启网络应用访问控制和网址访问控制功能。单击“上网行为管理策略”页签,点击<添加>按钮,在新建上网行为管理策略对话框,设置策略名,选择用户范围,设置限制时段、网址控制和应用控制,点击<确定>按钮完成添加。
添加上网行为管理策略时,网址控制中选择的网址分类是由特征库管理中的网址特征库和自定义网址分类决定的。
· 方式2:定义网址黑名单或者白名单。
通过开启Web黑名单或白名单功能,使得局域网内的主机仅能或不能访问指定的网站,具体配置步骤如下:在设备Web管理页面的导航栏中选择“上网行为管理>上网行为管理”,单击“网站黑白名单”页签,点击<启用web黑名单>或<启用web白名单>按钮,在网址关键字配置项中,输入网址关键字,点击添加图标。逐一添加网址关键字后,点击<应用>按钮,完成web黑名单或白名单的配置。
通过创建上网行为管理策略方法进行限制。
(1) 网络管理员可以定期下载更新特征库,具体配置步骤如下:在设备Web管理页面的导航栏中选择“上网行为管理>特征库管理”,单击“应用特征库”页签,进入应用特征库列表页面。根据实际情况,点击<本地应用特征库>或者<在线应用特征库>按钮来更新网址特征库。
(2) 创建上网行为管理策略的配置步骤如下:在设备Web管理页面的导航栏中选择“上网行为管理>上网行为管理”,在全局控制页签中勾选“开启上网行为管理”选项,开启网络应用访问控制和网址访问控制功能。单击“上网行为管理策略”页签,点击<添加>按钮,在新建上网行为管理策略对话框,设置策略名,选择用户范围,设置限制时段、网址控制和应用控制,点击<确定>按钮完成添加。
添加上网行为管理策略时,网址控制中选择的应用控制是由特征库管理中的应用特征库决定的。
具体方法如下:
· 方式1:在设备Web管理页面的导航栏中选择“网络安全>ARP攻击防御”,单击“攻击防御管理”页签,勾选“仅允许ARP静态绑定的客户访问外网”选项,将客户端ARP绑定为静态表项,不在ARP静态绑定表中的客户端将无法访问外网。
· 方式2:在设备Web管理页面的导航栏中选择“上网行为管理>上网行为管理”,在全局控制页签中勾选“开启上网行为管理”选项,开启网络应用访问控制和网址访问控制功能。单击“上网行为管理策略”页签,点击<添加>按钮,在新建上网行为管理策略对话框中,通过设置用户范围可以选择某些IP应用此上网行为管理策略,再将网址控制动作设置为阻断,点击<添加>按钮实现限制特定IP不能访问外网。
常见的原因及处理方法如下。
这种原因最为普遍,常见的现象如下:
· PC Ping不通网关地址;
· PC能Ping通网关地址,但有丢包;
· PC Ping不通网关地址,但能Ping通主交换机下的其它PC或者服务器。
具体问题的处理方法:
如果路由器下挂的全部PC无法Ping通网关,且无法登录网关,则需要拔掉所有接到WAN口上的网线,然后尝试Ping网关或者登录网关,以此来判定是内网问题还是外网攻击问题引起。
· 若PC能Ping通网关,则可能是外网攻击导致的,请参考如下步骤进行处理:
a. 确认ARP防攻击功能是否已开启:在设备Web管理页面的导航栏中选择“网络安全>ARP攻击防御”,单击“攻击防御管理”页签,确认“仅允许ARP静态绑定的客户访问外网”选项是否已勾选,若已勾选,则只有静态ARP表项对应的PC可以访问外网,动态ARP表项对应的客户无法访问外网。
b. 确认WAN口运营商侧的网关ARP是否已静态绑定:在设备Web管理页面的导航栏中选择“网络安全>ARP攻击防御”,单击“攻击防御管理”页签,查看列表中是否已存在WAN口运营商侧的网关ARP表项。如果不存在,可通过点击<添加>按钮来添加,或者单击“动态ARP管理”页签,点击<固化>按钮将WAN口运营商侧的网关ARP进行静态绑定。如果WAN口运营商侧的网关ARP已静态绑定,请联系运营商协助解决。
· 若PC依然无法Ping通网关,则可能为内网问题,请参考如下步骤进行处理:
a. 在PC上选择“开始菜单→运行”,输入“CMD”,在弹出窗口中适用“arp –d”命令清除掉当前ARP信息,通过arp –s命令重新绑定网关的ARP。例如:arp –s 192.168.1.1 00-23-89-32-35-67(MAC地址为网关设备LAN口对应的MAC)。
b. 确认设备ARP绑定设置是否绑定了内网各主机的ARP信息。如果未绑定,则需要在设备Web管理页面的导航栏中选择“网络安全>ARP攻击防御”,单击“攻击防御管理”页签,添加ARP表项。
常见的现象:PC Ping不通网关,也Ping不通主交换机下的其它PC或者服务器。
具体处理方法如下:
· 在PC上使用ping –t命令Ping网关,请观察与此PC相连的各级交换机上各个端口的指示灯状态,如果交换机端口指示灯依然常亮,则表示交换机或者相连网线存在问题。
· 如果全部PC无法访问Internet,请观察主交换机上各个端口指示灯的状态,重点关注连接路由器的端口指示灯是否正常闪烁。若主交换机端口指示灯一直快速闪烁,则可以尝试重启主交换机;若主交换机端口指示灯正常闪烁,则可能是配置问题,需通过Web网管页面检查配置是否正确。
· 在PC上使用ping –t命令Ping网关,请观察路由器与主交换机直连的路由器LAN端口指示灯是否正常闪烁。如果指示灯常亮,可以尝试更换一个LAN口,再观察指示灯的状态,如果依然是常亮,且PC Ping不通网关,请将一台PC直接连到路由器上,如果能正常上网,则说明是交换机的问题;如果不能上网,则说明是路由器出现异常,可以重启路由器,观察指示灯是否能够恢复正常闪烁,如果路由器不能恢复正常闪烁,则可能是路由器硬件问题,请关注“新华三服务”微信公众号,选择“自助服务→400一键拨入”菜单寻求帮助。
· 在PC上使用ping –t命令Ping网关,然后逐一插拔主交换机上连接分交换机上各个端口的网线,观察PC能否Ping通网关,以此来判断是由局域网内哪台交换机下的PC出现异常导致。
具体处理方法如下:
· 确认PC无法访问Internet是否由路由器的带宽策略导致的。在设备Web管理页面的导航栏中选择“上网行为管理>带宽管理”,单击“带宽限速”页签,确认是否存在带宽策略。
¡ 如果不存在带宽策略,则说明故障可能是其它原因导致的。
¡ 如果存在带宽策略,点击带宽策略对应的操作列修改图标,在编辑带宽策略对话框中,确认PC是否在带宽策略所选的用户组内。
- 若PC不在带宽策略所选的用户组内,则说明故障可能是其它原因导致的。
- 若PC在带宽策略所选的用户组内,请确认流量和适用时间段的限制是否合理。合理设置带宽策略后,若PC能正常访问,则说明故障已经恢复;若PC仍然不能正常访问,则说明故障可能是其它原因导致的。
· 确认PC无法访问Internet是否由路由器的网络连接限制导致的。在设备Web管理页面的导航栏中选择“网络安全>连接限制”,单击“网络连接限制数”页签,确认路由器上是否已开启网络连接限制数功能,且存在网络连接限制数规则。
¡ 如果不存在网络连接限制数规则,则说明故障可能是其它原因导致的。
¡ 如果存在网络连接限制数规则,点击规则对应的操作列修改图标,在修改网络连接限制数规则对话框中,请确认各连接数上限的设置是否合理(推荐值为1000~2000)。合理设置各连接数上限后,若PC能正常访问,则说明故障已经恢复;若PC仍然不能正常访问,则说明故障可能是其它原因导致的。
· 确认PC无法访问Internet是否由流量过大导致的。在设备Web管理页面的导航栏中选择“网络安全>DDOS攻击防御”,在攻击防御列表中,点击已创建的攻击防御对应的编辑图标,在编辑攻击防御对话框中,确认是否在异常流攻击防御中勾选了“启动扫描攻击防御”以及“源IP地址加入黑名单”选项。
¡ 如果未勾选上述两个选项或者未勾选“源IP地址加入黑名单”选项,则说明故障是其它原因导致的。
¡ 如果勾选了上述两个选项,当PC流量过大时,路由器可能会将PC的流量判定为病毒攻击,然后会将该PC的IP地址加入黑名单。在设备导航栏中选择“网络安全>连接限制”,单击“黑名单管理”页签,确认是否存在黑名单。若存在黑名单,逐一将其解除,观察故障是否恢复正常。若PC能正常访问,则说明故障已经恢复;若PC仍然不能正常访问,则说明故障可能是其它原因导致的。
常见的现象:PC能够Ping通同一交换机下的其它PC、主交换机下的服务器和路由器,但Ping不通路由器的上层运营商网关或者DNS地址,通过路由器中的诊断工具Ping DNS和外网地址也不通。
处理方法:联系运营商对运营商侧网络进行问题确认并解决。
常见的现象:PC能够Ping通网关,QQ登录正常或下载正常,但所有网页打不开。
处理方法:将无法正常访问的PC的DNS地址静态设置为运营商提供的DNS地址,或者更换一个较少人使用的DNS地址,具体步骤如下:
(1) 通过百度查询当前运营商的DNS地址。
(2) 在PC上运行“开始→控制面板→网络与共享中心”,打开本地连接对话框,点击<属性>按钮。
(3) 在本地连接属性对话框中,选择“Internet协议版本4(TCP/IPv4)”选项,点击<属性>按钮。
(4) 在Internet协议版本4(TCP/IPv4)属性对话框中,将查询到的运营商DNS地址设置为首选DNS服务器地址,设置完成后,点击<确定>按钮即可保存配置。
完成上述配置后,观察故障是否恢复正常。若PC能正常访问,则说明故障已经恢复;若PC仍然不能正常访问,则说明故障可能是其它原因导致的。
常见的现象:内网存在非法的DHCP服务器给终端分配了错误的IP地址,导致终端上不去网的情况。
确认内网是否存在非法DHCP服务器的方法:如果内网存在部分终端不能上网,可以查看终端获取的IP地址是否为路由器分配的地址,终端的网关地址是否正确。当终端获取的IP地址和网关地址不正常,终端获取的IP地址不是路由器分配的IP地址,则确定内网存在非法的DHCP服务器。
处理方法:
· 如果内网的交换机支持DHCP Snooping功能,可以在交换机上开DHCP Snooping功能,拒绝非法的DHCP报文,即可解决该问题;
· 如果内网的交换机不支持DHCP Snooping功能,只能人为的找到非法的DHCP 服务器,然后将其拆除,即可解决该问题。
常见的原因及处理方法如下。
处理方法:在设备Web管理页面的导航栏中选择“上网行为管理>带宽管理”,单击“带宽限速”页签,确认路由器的各WAN口是否启用了带宽限速,并确认限速值是否合理。若限速值不合理,需重新设置合适的限速值。
不同应用场合下推荐的带宽限速设置,请参见下表:
应用场合 |
描述 |
网吧 |
建议将带宽策略的流量分配方式设置为共享式,即分配的上传或者下载带宽为总带宽,由所有用户共同使用。设置带宽策略时,先选定接口和适用该策略的用户组,再设置流量限制。流量限制中的上传带宽为所选用户组中各用户上传带宽的总和,下载带宽为所选用户组中各用户下载带宽的总和。双WAN设备需要针对不同的WAN口计算不同的限速值予以限制,最终主机获得的带宽为双WAN带宽限速总和。具体限速值计算方法请参见“如何设置带宽限速和网络连接数限制,以及查看基于端口或者基于IP的流量?” |
企业 |
· 对于需要独享固定带宽的用户,建议将带宽策略的流量分配方式设置为独占式,即分配的带宽为单个用户的带宽,由单个用户独享。设置带宽策略时,先选定接口和适用该策略的用户组,再设置流量限制。流量限制中的上传带宽为所选用户组中单个用户的上传带宽,下载带宽为所选用户组中单个用户的下载带宽。如果上网人数较多,可以适当缩小流量限制。具体限速值计算方法参见“如何设置带宽限速和网络连接数限制,以及查看基于端口或者基于IP的流量?” · 对于需要提高带宽利用率的用户,如宾馆等场所,建议将带宽策略的流量分配方式设置为共享式,即分配的上传或者下载带宽为总带宽,由所有用户共同使用。设置带宽策略时,先选定接口和适用该策略的用户组,再设置流量限制。流量限制中的上传带宽为所选用户组中各用户上传带宽的总和,下载带宽为所选用户组中各用户下载带宽的总和。如果上网人数不多,可以适当放大流量限制。具体限速值计算方法参见“如何设置带宽限速和网络连接数限制,以及查看基于端口或者基于IP的流量?” |
若路由器配置了双WAN的情况下,出现访问部分门户网站慢或者玩部分游戏卡的现象,则可能是由负载分担配置不合理导致的。
处理方法:
在设备Web管理页面的导航栏中选择“网络设置>外网配置”,单击“修改多WAN策略”页签,根据多WAN所属运营商的情况,可选择不同的模式:
· 当多WAN属于同一运营商,且各链路的带宽一致时,需选择“平均分配负载分担”模式;
· 当多WAN属于同一运营商,且各链路的带宽不一致时,需选择“带宽比例负载分担”模式,并分配具体的链路带宽;
· 当多WAN属于不同运营商,且多WAN链路的带宽一致时,需选择“基于运营商的负载分担”模式,设置各链路属的运营商,并导入运营商地址库;
· 当多WAN属于不同运营商时,且多WAN链路的带宽不一致时,需选择“多链路高级负载分担”模式,分配具体的链路带宽,设置各链路属的运营商,并导入运营商地址库。
导入运营商地址库之前,需先点击<下载移动运营商地址范围>、<下载联通运营商地址范围>和<下载电信运营商地址范围>按钮,在弹出的网页中下载“MSR路由器运营商地址表”压缩包,获取各运营商地址表后,再点击<导入运营商地址库>按钮将其导入到各链路的运营商地址库中。
设置完成后,点击<应用>按钮应用上述设置。
若路由器配置了双WAN且属于不同运营商的情况下,出现访问部分门户网站慢或者玩部分游戏卡的现象,则可能是没有针对特定的服务器或者网址进行路由优化导致的。
处理方法:
(1) 在游戏卡或者上网慢的PC上选择“开始菜单→运行”,输入“CMD”,在弹出窗口使用tracert命令查看到达该网站或者游戏服务器的下一跳的出接口,方法参见步骤(2)。例如:某网站的地址为电信地址,查找方法参考步骤(3),而路由却从连接联通线路的WAN接口出去了,则需要在设备Web管理页面的导航栏中选择“高级选项>静态路由”,然后添加一条静态路由,使到达目的网站的路由下一跳改为电信线路的WAN口即可解决此问题。若用户使用多WAN路由器已经按上述步骤进行了配置,但浏览网页(如QQ类等)或者玩部分游戏仍然存在慢或者卡的问题,Telnet到路由器上,通过display ip routing-table命令查看路由器的路由表,确认路由的出接口是否正确,参考步骤(2)找出游戏卡或者网页慢的服务器地址,再通过设置静态路由或者策略路由使报文从其它运营商接口转出,来尝试解决该问题。
(2) 查找网站对应服务器地址的方法:在某PC上选择“开始菜单→运行”,输入“CMD”,在弹出窗口输入Ping访问慢的网站地址即可,例如ping www.baidu.com。接下来显示的IP地址即为该网站对应的服务器地址。查找游戏对应服务器地址的方法:在某PC上退出其它所有应用程序,只打开该游戏,然后选择“开始菜单→运行”,输入“CMD”,在弹出窗口输入“netstat –bn”,找到该游戏对应进程的Foreign Address地址,即为该游戏对应的服务器地址。使用该方法还可以快速找到游戏对应端口,对于一些企业客户,可以将该游戏端口通过防火墙功能封掉,具体方法请参见“如何限制某些应用的使用?”。
(3) 查找IP地址所属运营商的方法:此类查询网站较多,通过百度搜索“IP地址查询”即可,例如www.ip138.com。
常见的现象:在内网PC上Ping路由器LAN接口地址延时很大或者有大量丢包。
处理方法:在设备Web管理页面的导航栏中选择“系统信息页面”,查看路由器的CPU利用率和内存利用率。
· 如果CPU利用率很高,则可能是内/外网中存在攻击或者路由器负荷太重;
· 如果CPU利用率正常,则可能是内网的问题,查看下接交换机是否负荷太重或者网线干扰、水晶头松动等其它原因。
常见的现象:在PC上能够Ping通路由器LAN口地址和WAN口地址,但Ping访问速度慢的网站服务器地址或者游戏服务器地址,出现延时大或者丢包的现象,使用路由器自带的维护工具Ping访问速度慢的网站服务器地址或者游戏服务器地址,也出现同样的现象。
处理方法:
· 如果路由器上层设备(可能是光猫或者其它设备)出现异常,则可以尝试重启或者更换上层设备。
· 如果运营商网络侧出现了网络拥塞等问题,则需要联系运营商进行确认解决。
· 如果游戏或者网站服务器满负荷,则需要关注游戏官方网站的公告或者咨询游戏服务商。
根据二八理论(即80%的带宽被20%的人占用)来计算,而且占用的带宽大多为下行带宽,上行带宽一般选择下行带宽的一半或者2/3左右。
例如运营商带宽为10Mbps,带机量100台PC,80%的带宽就是8Mbps,20%的人就是20个人,那么8Mbps*1000=8000kbps(实际上应该乘以1024,这里简单以1000计算),8000kbps/20=400kbps,则理论值为每IP需要下行限速400kbps,上行值为200~300kbps,当然该计算值是理论值,需要根据实际的网络使用量来适当变化。如果是ADSL宽带类型客户,则上行带宽建议限制为100kbps,且不推荐“共享式”流量分配方式。如果企业、酒店等环境,平时使用网络的时间或者占用的流量不是很大,那么可以适当将限速值调高,如下行600kbps,上行400kbps,并开启“共享式”流量分配方式。如网吧环境,带宽使用量较大,则需要增加带宽或者较少带机量来提高客户网速的体验,保证游戏和视频的正常工作。网吧一般建议每IP限速下行800kbps,上行500kbps,开启弹性带宽功能,即允许每IP通道借用空闲的带宽。双WAN设备需要针对不同的WAN口计算不同的限速值予以限制,最终主机获得的带宽为双WAN带宽限速总和。
在设备Web管理页面的导航栏中选择“网络安全>连接限制”,单击“网络连接限制数”页签,设置开启网络连接限制数,并添加规则(每IP总连接数上限设置为1000-2000)。
在设备Web管理页面的导航栏中选择“系统信息”,通过“接口速率”图表可以查看每个WAN端口流量;通过“用户状态”图表可以查看局域网内各在线主机通过WAN口的流量。
设备支持对DDNS(Dynamic Domain Name System,动态域名系统)服务的配置。
配置准备:使用DDNS服务之前,需要提前在DDNS服务器(即DDNS服务提供商,如花生壳网站)上注册。设备向DDNS服务器申请域名时,需使用WAN接口获取的公网IP地址。
配置方法:在设备Web管理页面的导航栏中选择“高级选项>动态DNS”,点击<添加>按钮,进入新建动态DNS策略页面。根据实际情况配置完成后,点击<确定>按钮,启动动态DNS服务。
端口映射不成功的常见原因及处理方法,如下:
(1) 运营商原因
这种原因比较常见,问题现象:例如NAT配置中端口映射的外部端口为80,无法映射成功,但内网PC之间访问正常。
处理方法:联系运营商确认指定端口是否可用或者将映射的外部端口更换为其它端口。更换映射外部端口的具体方法:在设备Web管理页面的导航栏中选择“网络设置>NAT配置”,点击端口映射列表中指定端口映射对应的修改图标,在修改端口配置对话框中,更改外部端口的起始端口号和结束端口号,点击<确定>按钮完成配置。如果指定唯一的外部端口,请将起始端口号和结束端口号设置为同一数值即可。
验证方法:选择将外部端口更换为其它端口(如8099)。当外网PC远程访问内网时,格式为:http://ip-address:8099,测试访问是否正常。如果不能正常访问,则说明问题不是该原因引起。
(2) 服务器配置原因
问题现象:内网PC之间访问正常,但外网通过端口映射访问内网不成功。
处理方法:检查服务器配置,重点检查安全策略和防火墙设置,确认是否存在开放非本地网段的访问权限或者其它安全策略的设置问题。
验证方法:
a. 在Windows操作系统的客户端主机和内网PC上,右键点击“我的电脑”,选择“属性”菜单项,在左侧菜单栏中选择“远程设置”菜单项,在系统属性对话框中单击“远程”页签,勾选“允许远程协助连接到这台计算机”选项,点击<应用>按钮设置完成。
b. 在路由器上配置端口映射的外部端口为3389,配置端口映射的具体方法:在设备Web管理页面的导航栏中选择“网络设置>NAT配置”,点击<添加>按钮,在添加NAT端口映射对话框中,选择接口、协议类型和外部地址,将外部端口选择为“自定义端口”,将起始端口号和结束端口号都设置为3389,根据需要实际情况设置内部地址和内部端口后,点击<确定>按钮完成端口映射的配置。
c. 测试路由器的端口映射功能是否正常。验证外网PC是否能够远程登录内网PC。
(3) 端口未全部映射原因
问题现象:内网PC之间访问正常,一对一NAT也正常,但外网通过端口映射访问不成功。
处理方法:某些应用(如语音、监控系统等)在使用过程中需要用到多个端口进行通信,请使用抓包的方式,确认设备上是否配置应用通信所需的全部端口,以及是否均已设置映射。
验证方法:尝试将服务器设置为DMZ主机或者配置一对一NAT,但外网地址不能是WAN口地址,测试访问是否正常。如果不能正常访问,则说明问题不是该原因引起。
(4) 配置问题
问题现象:设备的防火墙、MAC过滤等规则中添加了过滤规则,阻止了映射端口或者映射服务器的正常通信。
问题产生原因:一般情况下,此类问题是由防火墙配置了入站或者出站通信策略引起的。
处理方法:检查设备规则类相关配置,确认是否过滤了映射的端口或者服务器。
验证方法:通过禁用防火墙、MAC过滤等功能来测试。
设置步骤如下:
(1) 路由器端ARP绑定。
在设备Web管理页面的导航栏中选择“网络安全>ARP攻击防御”,单击“攻击防御管理”页签,点击<添加>按钮,将局域网中的主机ARP绑定为静态表项。
(2) 主机端ARP绑定。
在主机上选择“开始”菜单,在运行输入框中输入“cmd”后键入回车。在弹出的CMD窗口中,输入如下格式的命令:arp –s 路由器的IP地址 路由器MAC地址,将路由器地址添加到静态ARP表中。
建议使用Internet Explorer 10及以上版本、Chrome 57及以上版本、Firefox 35及以上版本的浏览器访问Web管理页面。
该问题可以配置静态路由来解决。设置静态路由之前,需要知道当前网络的出接口和网关的IP地址。具体方法如下:
在设备Web管理页面的导航栏中选择“高级选项>静态路由”,点击<添加>按钮,将目的IP地址设置为外网服务器所在的网段地址或者IP地址,根据填写的目的IP地址设置掩码长度,并选择WAN 2的出接口,点击<确定>按钮即可完成配置。
通过下面的举例,介绍划分VLAN的方法。
如上图所示,无管理Switch A连接MSR路由器的GE2接口,有管理Switch B连接GE3接口,实现Switch A下所有客户端获取到VLAN2的地址,Switch B下存在两个VLAN(VLAN3:192.168.3.0/24,VLAN4:192.168.4.0/24)对应两个部门,部门之间禁止互访。
(1) 在设备Web管理页面的导航栏中选择“网络设置>LAN配置”,分别添加如下三个VLAN:
¡ VLAN2:VLAN ID为2,接口IP地址为192.168.2.1,子网掩码为255.255.255.0;
¡ VLAN3:VLAN ID为3,接口IP地址为192.168.3.1,子网掩码为255.255.255.0;
¡ VLAN4:VLAN ID为4,接口IP地址为192.168.4.1,子网掩码为255.255.255.0。
(2) 在设备Web管理页面的导航栏中选择“网络设置>LAN配置”,单击“VLAN划分”页签,点击GE2端口对应的操作列修改图标,进入详细端口配置页面。将GE2端口的PVID和允许通过的VLAN均改为2。如果其它GE口也连接无管理设备来实现类似功能,可参考此步骤进行配置。
(3) 在设备Web管理页面的导航栏中选择“网络设置>LAN配置”,单击“VLAN划分”页签,点击GE3端口对应的操作列修改图标,进入详细端口配置页面。Switch A和Switch B上都将VLAN3和VLAN4选择到已选VLAN中。如果有管理交换机下存在更多的VLAN,则只需添加到允许通过的VLAN中即可。
(4) 如果局域网内用户通过动态DHCP获取对应网段的IP,需要在设备Web管理页面的导航栏中选择“网络设置>LAN配置”,为各个VLAN网段添加对应的DHCP地址池。
(5) 配置VLAN3和VLAN4网关不能互访,在设备防火墙功能的出站通信策略中增加安全规则,禁止源地址范围为192.168.3.2-192.168.3.254访问目的地址范围为192.168.4.2-192.168.4.254的所有服务。在设备Web管理页面的导航栏中选择“网络安全>防火墙”,点击<添加>按钮来创建安全规则。本例需要分别创建如下两条安全规则:
¡ 安全规则1:将接口设置为GE3,协议选择为所有协议,源IP地址/掩码设置为192.168.3.1/255.255.255.0,目的IP地址/掩码设置为192.168.4.1/255.255.255.0,动作选择为允许,优先级设置为0。
¡ 安全规则2:将接口设置为GE3,协议选择为所有协议,源IP地址/掩码设置为192.168.3.0/255.255.255.0,目的IP地址/掩码设置为192.168.4.0/255.255.255.0,动作选择为拒绝,优先级设置为1。
在设备Web管理页面的导航栏中选择“网络设置>LAN配置”,在列表中选择需要修改地址池范围或者掩码的接口,点击其对应的操作列修改图标,进入修改LAN页面。根据需要修改地址池起始地址和结束地址,以及子网掩码,点击<确定>按钮即可完成配置。
设备软件升级步骤如下:
(1) 升级前请保存并备份当前版本的配置文件。在升级软件期间,请确保网络稳定,不要断电。
(2) 下载最新版本软件。登录H3C官方网站,选择“首页→产品支持与服务→文档与软件→软件下载→路由器→H3C MSR WiNet智慧路由器网关”。
(3) 在设备Web管理页面的导航栏中选择“系统工具>系统升级”,点击<升级系统软件>按钮,选择下载好的.ipe文件(如果下载的文件是压缩包,则需要解压缩获取.ipe文件),并勾选“立即重启设备”选项,点击<确定>按钮开始升级。等待1~3分钟后设备自动重启,升级过程中,不要随便切换网页,直至完成升级。
升级过程中常见的错误提示及处理方法如下:
· 提示错误文件:请确认升级系统软件时选中的文件是否为.ipe的软件版本文件。
· 提示上传文件内容错误:请确认下载的软件版本文件名标识的设备型号是否与当前升级的设备型号一致,下载的软件版本文件是否被改动过。
表1 指示灯状态说明
指示灯 |
位置 |
状态 |
含义 |
系统指示灯SYS |
前面板 |
绿色常亮 |
SDRAM进行检测(BootRom阶段) |
8HZ绿色闪烁 |
镜像搬移解压缩(BootRom阶段) |
||
1HZ绿色闪烁 |
COMWARE按照配置启动,标识BootRom阶段结束,正常状态 |
||
1HZ黄色闪烁 |
SDRAM检测失败(BootRom阶段) |
||
8HZ黄色闪烁 |
扩展段不存在(BootRom阶段) |
||
黄色常亮 |
镜像不存在(BootRom阶段) |
||
灯灭 |
没有电源输入,或工作故障状态 |
||
绿色快闪5s |
U盘自动配置成功(用户态阶段) |
||
黄色快闪10s |
U盘自动配置失败(用户态阶段) |
||
GE口黄色指示灯和GE口绿色指示灯 |
前面板 |
绿色常亮 |
链路连通并工作在千兆模式 |
绿色闪烁 |
有数据收发,工作在千兆模式 |
||
黄色常亮 |
链路连通并工作在十、百兆模式 |
||
黄色闪烁 |
有数据收发,工作在十、百兆模式 |
||
灯灭 |
链路没有连通 |
||
FE口指示灯 |
前面板 |
绿色常亮 |
表示链路连通并工作在十、百兆模式 |
绿色闪烁 |
表示有数据收发,工作在十、百兆模式 |
||
灯灭 |
表示链路没有连通 |
||
VPN指示灯 |
前面板 |
常亮 |
至少成功建立了一个IPSec VPN隧道 |
灯灭 |
无IPSec VPN隧道 |
||
蓝牙指示灯 |
前面板 |
常亮 |
与蓝牙接入设备建立连接 |
灯灭 |
断开连接 |
||
Micro SD卡指示灯 |
前面板 |
绿色常亮 |
Micro SD卡在位,主机检测通过 |
灯灭 |
没有插入Micro SD卡或插入故障 |
||
Combo口指示灯(GE口/SFP光口) |
前面板 |
绿色常亮 |
链路连通并工作在千兆模式 |
绿色闪烁 |
有数据收发,工作在千兆模式 |
||
黄色常亮 |
链路连通并工作在十、百兆模式 |
||
黄色闪烁 |
有数据收发,工作在十、百兆模式 |
||
灯灭 |
链路没有连通 |
||
SIM0/1槽位指示灯 |
前面板 |
绿色常亮 |
表示该SIM卡在位 |
1Hz绿色闪烁 |
表示正在使用该SIM卡拨号 |
||
8Hz绿色闪烁 |
表示该SIM卡对应4G接口在进行数据收发(2/3/4G数据收发) |
||
黄色常亮 |
表示该SIM卡处于故障状态 |
||
灯灭 |
表示未插SIM卡(SIM在位而4G模块不在位或4G模块初始化中) |
||
网络信号指示灯 |
前面板 |
4个绿色灯亮 |
表示4G网络信号非常强(RSSI大于或等于-75dBm) |
3个绿色灯亮 |
表示4G网络信号强(RSSI大于或等于-85dBm且小于-75dBm) |
||
2个绿色灯亮 |
表示4G网络信号一般(RSSI大于或等于-95dBm且小于-85dBm) |
||
1个绿色灯亮 |
表示4G网络信号差(RSSI大于或等于-110dBm且小于-95dBm) |
||
4个黄色灯亮 |
表示2G或3G网络信号非常强(RSSI大于或等于-75dBm) |
||
3个黄色灯亮 |
表示2G或3G网络信号强(RSSI大于或等于-85dBm且小于-75dBm) |
||
2个黄色灯亮 |
表示2G或3G网络信号一般(RSSI大于或等于-95dBm且小于-85dBm) |
||
1个黄色灯亮 |
表示2G或3G网络信号差(RSSI大于或等于-110dBm且小于-95dBm) |
||
灯全灭 |
表示网络不能使用(RSSI小于-110dBm) |
||
4G LTE指示灯 |
前面板 |
绿色常亮 |
表示链路已经连通,工作在4G模式 |
8HZ绿色闪烁 |
有数据收发,工作在4G模式 |
||
黄色常亮 |
表示链路已经连通,工作在3G模式 |
||
8HZ黄色闪烁 |
有数据收发,工作在3G模式 |
||
灯灭 |
表示网络未连通或无4G modem |
||
4G LTE指示灯 |
前面板 |
绿色常亮 |
表示链路已经连通,工作在4G模式 |
8HZ绿色闪烁 |
有数据收发,工作在4G模式 |
||
黄色常亮 |
表示链路已经连通,工作在3G模式 |
||
8HZ黄色闪烁 |
有数据收发,工作在3G模式 |
||
灯灭 |
表示网络未连通或无4G modem |
||
2.4G WLAN指示灯 |
前面板 |
绿色常亮 |
无线网络已连通 |
绿色闪烁 |
有数据收发 |
||
灯灭 |
链路空闲 |
||
CNDE指示灯 |
前面板 |
绿色常亮 |
正常 |
8HZ绿色闪烁 |
加密数据 |
||
灯灭 |
没有电源输入,或没有加密数据 |
||
2.4G WLAN指示灯 |
前面板 |
绿色常亮 |
无线网络已连通 |
绿色闪烁 |
有数据收发 |
||
灯灭 |
链路空闲 |
||
CNDE指示灯 |
前面板 |
绿色常亮 |
正常 |
8HZ绿色闪烁 |
加密数据 |
||
灯灭 |
没有电源输入,或没有加密数据 |
||
电源指示灯PWR |
前面板 |
绿色常亮 |
表示系统电源供电正常 |
灯灭 |
没有电源输入或主控板工作故障 |
||
CF卡指示灯 |
前面板 |
绿色常亮 |
表示CF卡在位,主机检测通过 |
绿色闪烁 |
表示系统正在访问CF卡,不可拔出 |
||
黄色常亮 |
表示CF卡在位,但检测未通过 |
||
灯灭 |
表示没有插入CF卡或CF卡不可识别 |
||
VPM |
前面板 |
绿色常亮 |
表示VPM在位并且检测通过 |
黄色常亮 |
表示VPM在位,但检测未通过 |
||
灯灭 |
表示VPM槽位无插卡 |
||
USB Console接口指示灯 |
前面板 |
常亮 |
正在使用USB CONSOLE口配置 |
灯灭 |
未使用USB CONSOLE口配置 |
||
Console接口指示灯 |
前面板 |
常亮 |
正在使用串口CONSOLE口配置 |
灯灭 |
未使用串口CONSOLE口配置 |
(1) 请检查电源线是否连接正确。
(2) 请检查电源线插头是否插紧,无松动现象。
(3) 请关注“新华三服务”微信公众号,选择“自助服务→400一键拨入”菜单寻求帮助。
(1) 重启设备,观察指示灯是否恢复。
(2) 请关注“新华三服务”微信公众号,选择“自助服务→400一键拨入”菜单寻求帮助。
(1) 请检查网线与路由器的WAN、LAN接口连接是否卡紧,无松动现象。
(2) 请重新连接网线两端的接口或重新按标准568B线序制作水晶头后,再尝试连接。
(3) 请检查网线是否出现故障:可将网线的两端均插在路由器的两个LAN接口上,两个接口对应的指示灯都亮,表示网线正常;否则网线可能存在问题,请更换一根之前使用正常的网线来重新尝试。
(4) 请检查端口的连接速率和双工模式配置是否有误:在设备Web管理页面的导航栏中选择“网络设置>端口管理”,将端口的连接速率和双工模式设置成与上行口、下行交换机端口一致,例如将端口模式都设置为全双工,速率设置为100M(推荐将上行口、下行交换机端口均配置为自适应,即Auto模式)。
在设备Web管理页面的导航栏中选择“系统工具>网络诊断”,单击“抓包工具”页签,点击GE2端口对应的操作列修改图标,进入详细端口配置页面。将GE2端口的PVID和允许通过的VLAN均改为2。如果其它GE口也连接无管理设备来实现类似功能,可参考此步骤进行配置。
简单介绍如何使用Wireshark1.4.2来抓取网络数据报文,以便更有效地分析网络故障。
(1) 打开Wireshark抓包工具,键盘上按下Ctrl+I,打开选择抓包网卡页面,点击Start按钮开始抓包。
(2) 键盘上按下Ctrl+E选择终止抓包,按下Ctrl+S保存刚才抓取到的数据报文到本地,注意抓包时间尽量不要过长,以免数据报文太大,不方便发送给技术工程师协助判断。终止后,再按Ctrl+E又开始抓包,如遇弹出页面选择<Save>保存抓包信息。
(3) 抓包技巧:关键是要将异常现象的整个过程抓捕下来。如网页打不开,先打开抓包软件开始抓包,再尝试访问某个固定的网页两次,复现故障现象,然后再终止抓包,并将获取到的数据报文保存或提供技术工程师分析。
(4) 需将PC直接接在路由器的某个空闲LAN口,在设备Web管理页面的导航栏中选择“系统工具>网络诊断”,单击“端口镜像”页签,将WAN1口、WAN2口以及连接路由器的LAN口设置为镜像的源端口,其方向设置为双方向;将PC所接的LAN口设置为镜像的目的端口。这样可以帮助工程师快速地找出问题的产生原因。
故障类型 |
描述 |
如何获取售后服务 |
硬件类故障 |
例如:出现设备不能正常通电、未插网线但以太网端口指示灯却常亮等问题 |
请关注“新华三服务”微信公众号,选择“自助服务→400一键拨入”菜单寻求帮助 |
软件类问题 |
例如:出现设备功能不可用、异常等问题或配置咨询 |
请根据表3中所涉及的项目详细并准确地记录相关信息,然后请关注“新华三服务”微信公众号,选择“自助服务→400一键拨入”菜单寻求帮助 |
为了快速定位问题,请在设备故障时收集如下信息,提供给H3C技术支持工程师协助分析。
反馈项目 |
描述 |
网络拓扑图 |
提供您当前所处的网络具体包含哪些网络设备、设备之间是如何连接的、开展了哪些应用等 |
软件版本和设备的条码信息 |
获取方法: 通过管理计算机登录路由器的Web管理页面,在导航栏中选择“系统信息”,可以查看设备的序列号和软件版本 |
配置信息 |
获取方法: 通过管理计算机登录路由器的Web管理页面,在导航栏中选择“系统工具>配置管理”,单击“备份恢复配置”页签,点击“导出当前配置”按钮 |
诊断信息 |
获取方法: 通过管理计算机登录路由器的Web管理页面,在导航栏中选择“系统工具>网络诊断”,单击“诊断”页签,点击“收集诊断信息”按钮 |
日志信息 |
获取方法: 通过管理计算机登录路由器的Web管理页面,在导航栏中选择“系统工具>系统日志”,点击“导出”按钮 |
故障现象 |
提供您当前网络或设备的详细故障现象以及近期您对设备所做的关键操作 |
抓包信息 |
获取方法: 将设备下行LAN或WAN口的流量进行镜像,并使用Wireshark抓包工具抓包,同时保存相应信息,抓包方法请参考“如何抓包?” 端口镜像的配置方法:在设备Web管理页面的导航栏中选择“系统工具>网络诊断”,单击“端口镜像”页签,根据界面提示设置相关参数即可 |
其它 |
您尝试做了哪些故障定位措施 |