网故障排除思路

　　　　　　　　　　　　　　　　　　　　　　　　　　　网故障排除思路

　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　作者：尹正杰

版权声明：原创作品，谢绝转载！否则将追究法律责任。

 

 

       这篇博客主要是来自production environment中的一次经历。刚刚新公司不久，之前在这个公司的2位网络的大牛离职了，他们选择了继续高飞，我来接替他们的工作，一种说不出来的感觉在心中荡漾，这种感觉“只可意会不能言传”啊。不过这次经理还是挺感激我们公司老大的，因为在其中学到不少的东西，你可能会说不就是学到了几个H3C命令吗，其实做技术学到几个命令是次要的（因为这些命令百度都烂大街了），主要是学处理故障的思路，了解一个架构的工作原理，这才是解决问题的根本原因！不然出了问题你总是迷迷糊糊的！

       在网络大神的面前，我只能说我是一名网络小白，因为我的职位是做系统运维的，平时对网络安全方面的知识我很感兴趣虽然会那么一点点python，但目前还欠火候。事情得从2个月前说起，我上网查资料的时候时候突然发现网页打不开了，紧接着同屋子的也有人反应无法访问网络了（我们公司是一个屋子做了很多人，而且不止一个部门。相信很多人），我们公司没有专门的网管，处理问题还得我去处理（相信有的哥们跟我一样吧，系统，网络的活都要干，其实挺好的，能学到的很多的东西）。

     当公司所有人都没有办法上网的时候，我就在公司借了一个笔记本，去公司机房，然后把运营商给我们公司的主线插到了笔记本上，发现右下角的小电脑是红灯，这个时候我明白了，可能是上联的交换机端口被人down掉了，于是问公司行政要了负责我们这一层的技术人员的电话，最后说是由于我们公司公网的IP不断的往外发包，已经把整个办公楼的出口打满了，被迫手动关闭了我们的上联交换机端口。整个过程用了不到5分钟左右确定断网的原因。

     我觉得作为一名运维工程师，就应该有稳的心态，不能慌，即使公司很多人催着你，你也要弄明白事情的重要性，按事情的严重级别来处理相应的事情，就比如公司断网的事情来说，我刚刚发现我断网了，我会怀疑是不是我电脑直插的交换机的上联核心交换机的那个端口是不是松了，我在发现这个问题时候不到1分钟就有的人就问说："怎么网页打不来？“,也看到有人在群里反馈，我自我感觉这一点我还是做的不错的。这时候我会开始怀疑是不是路由器出问题了，就直接拿着笔记本去机房做实验了，最后，果真是主线没有网络啦，下面的跳线链接到各个屋子的交换机当然也不好使了啊！我排查问题有个方法，就是“把问题最小化”。公司断网，接近300来人无法上网，而且我们公司做的是金融的，网络都没有这对员工办公造成了极大的影响。这看上去是一个大问题，而且是一个很大的问题。但是当所有人在催促你的时候，你应该淡定下来，把这个问题小化，就是整个局域网没有网络了呗。于是你就应该去路由器上去看看插在wan口的外线是否有电（您可以理解是否有网）。记得有一次，接口组的开发在群里反馈就吃个饭的时间，回来就没有网络了，吃饭前还好好的呢，回来就无法访问网络啦。但是我看其他的人都正常于是一下就确定了故障点在那个地方，你用“把问题最小化”的方法，不就是一个组没有网络了么。每个人的电脑都会链接到交换机上，交换机通过跳线把数据传送到路由器，最后路由器再把数据传送到公网上去！那么你就应该判断这根条线是否有问题，他是否能通路由器呢？于是我就把条线插到一位同事的电脑上，结果是能访问网络，我看交换机也是正常状态的，于是我拿了一个备用的交换机（就是一个八口的小HUB）,把所有的先插到这个新欢的交换机上，然后再把主线插上去，所有人就有网络了，所以维护网络你首先要明白他的工作原理，这样菜方便你自己排查问题！其实维护一家公司的网络，首先你要清楚公司的网络架构，以及你要明白每根线所对应的实际位置！这样你又懂原理又知道公司的网络架构，要是出了什么问题你应该一目了然并且很快确定故障点。

      局域网弄得越简单越好，弄的复杂起来排查难度也就来了，会考虑是否有环路等问题.由于我到公司的时间不长，压根就不清楚各个房间的线路分布情况，当出现问题的时候，我用寻线仪器一根一根找到没跟主线所对应的位置，最后终于明白了路由器的接线拓扑。说白了一个公司用了3个路由器！！！我的天，看的我是头晕眼花的，但是我把这个拓扑那给外部的公司看，他们说：”这么接线可以吗？“，”贵公司的网络真复杂“，”你们的网络拓扑真奇葩"等等之类的话.刚刚入职的时候我问过之前维护网络的工程师，他告诉我说，他之前就是这样接线的，最好不要动它。我也是问了在网络公司工作的表哥才知道是可以这么配置的。这个拓扑看起来但是其中的原理还是我到现在已经忘记了.拓扑图如下：

      如果懂网络的朋友一看就知道这不是一个局域网，而是三个局域网！最大的作用就起到了一个隔离，（没法，我为我所在的公司感到骄傲。公司有钱任性，哈哈！）有3个路由器，管理起来特别不方便，如果你要去一个室内去管理的话，首先,你要跑到相应的屋子去登陆路由器地址进行管理。于是我对老大提议说弄成一个局域网吧，老大也是同意了，并且进行了VLAN的划分，每个屋子都属于不通的VLAN，如果仔细的朋友会发现我们是2跟外网的线。；流量的负载均衡在路由器上做，因为路由器型号相对来说还是听牛逼的（H3C ER8300G2-X 路由器，至于我们公司的路由器软件版本我就不方便透露啦~，）

调整如下：

        这样，整改公司的网络管理我都在一台设备上管理啦，其它2台路由器我就直接下架了。既方便管理，有节省电费，哈哈~其实我说这么多就是想说要把公司的网络弄的简单化，让别人容易看懂~不然你走了，给下一任接替你的会留下一个坑的。

   

 

 

下面给小白分享一些小技巧：

一.常见问题处理

 

注意！要判断网络的故障点，首先就要了解公司的网络拓扑图，

 

假设某个公司同事无法上网，排查思路如下，其实没有必要按照我的操作来，等你遇到的多了，就上来就能解决问题，不用每个要去按照这个步骤处理事情啊！

 

解决方法：

 

先查物理层（数据链路层）：

 

1.检查电脑网线是否被踢掉了；

 

2.如果网线没有被踢掉，检查网卡是否被禁用了；

 

3.如果2者都没有问题，检查交换机端口是否接上了，有可能出现水晶头松动的现象导致的；

 

4.如果以上都没有问题的话，换个交换机接口测试一下看是否能正常访问网络；

 

再查网络层：

 

1.切换到cmd窗口ping网关地址，看是否能Ping通；

 

2.如果不能坚持ipv4的地址是否和路由器在同一个局域网，改成自动分配IP地址重新获取IP，检查是否能正确获取IP；

 

3.如果不能换个电脑将网线插到笔记本来，Ping网关地址如果通了,说明这个物理层和网络层都是木有问题的哟~

 

最后再查系统：

 

1.因为系统出现的问题很少，但不是木有啊！

 

2.我在工作中就遇到一个奇葩的事情，无论怎么样都获取不到IP，重启N次过后，有能获取到了IP，奇葩的网络~奇葩的系统啊！

 

3.重新安装网卡驱动（有的朋友会反馈，为什么不手动绑定IP地址呢？我想说的是~如果手动能绑定就能Ping通路由器的话，那么DHCP获取的IP肯定也可以连接的，所以可以跳过这个步骤。不要问我为什么，因为我测试过了~，就不让你掉坑了···哈哈）

 

4.如果以上方法都木有解决的话~换主板试试（其实还是属于物理层，哈哈~）网卡在主板上集成的，

 

5.再不好使的话~嘿嘿，你就看着办吧，不如重新安装系统试试~

 

　　方法有很多种，其实大家没有必要按照我的这个流程来，但是重新安装系统的事情最好不要干~除非在你的脑海里已经没有解决办法可言了，或者说你的解决方法没有重新安装系统的效率高的时候可以考虑做这个操作，这就好比你在服务器上部署了很多服务（比如公司一套生产测试环境的系统）。以上均是我的个人观点，如果您有什么建议欢迎指点~哈哈~

 

二.注意看企业的FAQ，您是否也中招了？

　　我们公司购买的有硬件防火墙，在这里我就不用介绍如何使用防火墙了，因为在买防火墙的时候供应商的技术支持会给你一个技术的文档的，所以我就没有必要多此一举啦~其实路由器也一样~大家平时要注意看看路由器的 Frequently Asked Questions(简称“FAQ”),因为都是一些干货啊！不信您看：

Router using small tricks 声明： 由于我们公司是H3C厂家的ER8300路由器，所以我介绍一下的使用技巧都是关于企业H3C路由器的使用小技巧！不适用其他厂商哟（如：华为，思科的路由器）。   1.管理密码丢失或者刚刚到手的路由器不知道密码怎么办？   如果您刚刚拿到别人的二手的H3C路由器，而且还没有过保的话可以咨询厂家如果破解，我在这里给出2个方法去处理 1>. 通过USB恢复默认密码 在登录页面点击“忘记密码”，按照提示下载如：ER8300G2_restore.txt( ER8300G2对应产品名)，将该文件放入U盘(目前只支持FAT32格式的U盘)中，将U盘插入设备USB接口，设备登录密码恢复至默认密码。如不能正常下载上述文件，可手动创建上述文件，在文件第一行顶格输入restore password即可。   2>. 通过串口更改新密码 将管理计算机的串口通过配置线缆与路由器的Console口相连，在命令行下输入password命令并回车，按照系统提示，输入新密码，并重新输入一次以确认即可。 2.恢复出厂设置 1>.web界面配置方法 登录Web页面，单击“恢复到出厂设置”中的<复原>按钮恢复设备到出厂设置（页面向导：设备管理→基本管理→配置管理）。 2>.命令行配置方法 管理计算机串口连接或Telnet到设备，命令行下输入restore default命令并回车，确认后，路由器将恢复到出厂设置并重新启动。   3.端口映射不成功 1>. 运营商原因(官方的第一个动作就是甩锅~哈哈~) 一般较常见的如80端口无法映射成功，内网访问正常。 处理方法： 联系运营商解决或者将映射的外部端口更换为其他端口。 其他测试验证方法： 可以选择将外部端口更换为其他端口（如8099）测试，远程访问时格式为：http://XXX.XXX.XXX.XXX:8099，测试是否访问正常来确认是否该原因引起。   2>. 服务器配置原因 内网访问正常，但是外网通过端口映射访问不成功。 处理方法： 请检查服务器配置，特别是安全策略或者软件防火墙（iptables,如果是内网的话可以不开放防火墙的，因为没谁现在在内网攻击你的服务器，毕竟你是运维啊,论攻击防护的话你应该比开发懂的多了去了！）设置，确认是否没有开放非本地网段的访问权限或者其他安全策略设置问题。 其他测试验证方法： 可以采用某台XP系统的客户端主机开启远程协助（当然也同样需要先验证一下内网其他PC是否能远程登入）并在路由器上配置映射3389端口来验证路由器的端口映射功能是否正常。   3>. 端口未全部映射 内网访问正常，一对一NAT也正常，但是外网通过端口映射访问不成功。 处理方法： 某些应用（特别如语音、监控系统等）在实际工作过程中需要用到多个端口通信，而公司同事实际可能只配置了一个或者部分端口的映射，请抓包确认整个通信过程中用到的所有端口，并确认是否均已设置映射。 其他测试验证方法： 尝试将服务器设置为DMZ主机或者配置一对一NAT（外网地址不能是WAN口地址）验证是否正常来确认是否该原因引起。   4>. 配置问题 您的同事或者员工在防火墙、MAC过滤等规则中添加了过滤规则，阻止了映射端口或者映射服务器的正常通信。 处理方法： 检查路由器规则类相关配置，查看是否将映射的端口或者服务器过滤。 其他测试验证方法： 可采用禁用防火墙、MAC过滤等功能来排查，常见的为防火墙配置了入站或者出站通信策略引起。   4. 设置ARP双向绑定（针对客户端为静态分配地址的情况） 注意这是手动配置的IP的操作，如果动态协议（DHCP）获取的话就只需要做步骤一的操作即可哟！ 1. 路由器端ARP绑定（我推荐这种，因为是在服务端配置就可以减少客户端的操作） 将局域网中的主机ARP绑定为静态表项，具体方法见手册（页面向导：安全专区→ARP安全→ARP绑定）。 2. 主机端ARP绑定（需要在客户端进行操作） 主机端（开始→运行→CMD窗口）将路由器地址添加到静态ARP表中，命令：arp  –s  路由器的IP 地址 路由器MAC地址     5.局域网部分或者全网PC掉线、无法访问Internet 1>. 受到ARP攻击或者ARP欺骗导致（此类情况最普遍） (1)      掉线的PC Ping不通网关地址； (2)      掉线的PC能ping通网关地址，但是有丢包； (3)      掉线PC ping不通网关，Ping主交换机下的其他PC或者服务器能通。 处理方法：   如果全网掉线的PC无法ping通网关，无法登入网关，需要先拔掉所有WAN口所接的网线，即对应的上行链路，再尝试ping网关或者登录网关，以此来确定是内网问题还是外网攻击问题引起。 (1). 如果此时能ping通网关 那么很有可能是外网攻击导致，请确认设备相关防攻击功能是否开启，WAN口运营商侧网关ARP是否已经静态绑定，并联系运营商协助解决。 (2). 如果此时不能ping通网关 如果此时掉线PC依然无法ping通网关，则可能为内网问题，请参考如下步骤： 1、在掉线PC上MS-DOS窗口通过arp –d清掉当前ARP信息， arp  -s来重新绑定网关的ARP。例如arp –s 192.168.1.1 00-23-89-32-35-67（MAC地址为路由器LAN口对应的MAC）。 2、请检查路由器ARP绑定设置是否绑定了内网各主机的ARP信息，可以采用静态和动态绑定功能实现，具体配置步骤参见产品手册！（页面向导：安全专区→ARP安全→ARP绑定） 2>. 路由器下挂交换机的问题导致 掉线PC ping网关不通，Ping主交换机下的其他PC或者服务器也不通。 处理方法： (1)      掉线PC长ping网关时，请观察与掉线PC相连的各级交换机各端口指示灯的状态，如果交换机端口依然常亮，代表交换机或者相连网线存在问题。 (2)      如果是全网掉线，需要特别注意主交换机的各个端口指示灯情况（特别是连接路由器的端口指示灯）是否正常闪烁。必要时可以重启主交换机观察是否能够恢复。 (3)      掉线PC长ping网关时，请观察路由器与主交换机级联的路由器LAN端口指示灯是否正常闪烁，如果指示灯常亮，可以尝试更换一个LAN观察，如果还是常亮，掉线PC ping不通网关，请直接将一台PC接在路由器LAN口，拔掉路由器与交换机级联的端口，PC尝试ping网关地址，如果此时能ping通，说明非路由器问题。如果此时还是依然ping不通网关，并确认PC的IP地址配置与路由器管理地址在同一网段，那可能就是路由器异常了，必要时可以重启路由器观察是否能够恢复。 (4)      另外如果是全网掉线，可以尝试在某台掉线PC上长ping网关地址，然后逐一插拔主交换机上连接分交换机的各个端口网线，观察掉线PC能否ping通网关，以此来判断是局域网内哪台交换机底下的PC出现异常导致。 3>. 病毒等大流量攻击导致       请查看路由器上是否已经启用了IP流量限制（页面向导：QoS设置→流量管理→IP流量限制）。QoS的具体限速值选择方法参考：“10  如何设置端口限速和网络连接数，并查看端口/IP流量”关于端口限速的设置问题。 (1)” (2)      查看路由器上是否已经启用了网络连接数限制（页面向导：QoS设置→连接限制→网络连接限数）。典型值为每IP分配1000-2000。 4>. 掉线PC异常流量太大或者中毒，被路由器加入到黑名单中导致 登录路由器查看黑名单列表中是否存在掉线PC（页面向导：安全专区→防攻击→异常流量防护），如果存在，选中它并将其删除或等待生效时间之后再观察是否恢复正常，或者可以选择安全等级为中，即将主机的上行流量控制在10Mbps范围内。 5>. 运营商网络问题导致 能Ping通同一交换机下的其他PC、主交换机下的服务器地址和路由器地址，但Ping不通路由器的上层运营商网关或者DNS地址，通过路由器中的诊断工具ping DNS和外网地址也不通。 处理方法：运营商侧网络可能出现了问题，需要联系运营商进行确认解决。 6>. 域名解析服务器（DNS）异常导致 能Ping通网关地址，QQ也能上，或者下载正常，但是所有网页打不开。 处理方法： 可能是域名解析服务器（DNS）异常导致，可以将掉线PC的DNS地址静态设置为运营商提供的DNS地址观察，或者可以更换一个新的DNS地址观察能否恢复。 6.上网速度（打开网页）慢，玩游戏卡 1>. QoS限速不合理（限速过大，使得部分PC占用过多带宽或限速过小）导致 确认是否在路由器上启用了IP流量限制，并设置了合适的限速值，路由器的各WAN口带宽是否已经填入了实际带宽值（页面向导：QoS设置→流量管理→IP流量限制）。 不同应用场合下的推荐设置及描述请参见下表：

 

2>. 路由配置不合理导致（使用双线路上网时） 该问题一般出现在双WAN的路由器且两条线路运营商不同的情况下，且有以下现象： （A）访问部分门户网站慢 （B）部分游戏卡 处理方法： (1)      一般来说，需要将双WAN的均衡模式选择为手动均衡，默认链路选择当地较为稳定的运营商线路或者带宽较大的线路。均衡路由表里需要导入另一条运营商链路对应的路由表（常用路由表可在H3C官方网站中获取： 首页>服务支持>软件下载>路由器>ER双WAN路由器基础路由表）。 (2)      使用tracert命令在游戏卡或者上网慢的主机上查看到达该网站或者该游戏服务器的路由是从哪个接口出去的（参考步骤（4））。（例如：某网站的地址为电信地址，而路由却从连接联通线路的WAN接口出去了，则只需要添加一条静态路由（页面向导：高级设置→路由设置→静态路由），使其从连接电信线路的WAN接口出去便可以解决此问题。） (3)      北方部分用户使用双WAN路由器按步骤（1）正确配置后，部分游戏或者网页（如QQ类等），仍存在慢或者卡的问题，查看路由，确实走对了链路，这时需要将游戏卡或者网页慢的服务器地址（一般为电信地址）找出来（参考步骤（4）），通过设置静态路由或者策略路由使其从联通接口出去即可解决。 (4)      找出对应网站的服务器地址的方法：开始菜单→运行→输入“CMD”，在弹出窗口输入ping 访问慢的网站地址即可，例如ping www.baidu 。接下来显示的IP地址即为该网站对应的服务器地址。找出对应游戏服务器地址的方法：在某PC上退出其他所有应用程序，只打开该游戏，然后在系统开始菜单→运行→输入“CMD”，在弹出窗口输入“netstat –bn” ，找到对应游戏进程的Foreign Address地址，即为该游戏所对应的服务器地址。（使用该方法还可以快速找到游戏对应端口，在一些企业中可以将该游戏端口通过防火墙功能封掉，参见13） (5)      查看对应地址属于哪个运营商的方法：此类查询网站很多，直接在百度里搜索IP地址查询即可找到。如 www.ip138。   3>. 路由器受攻击、负荷太重或下挂交换机级联端口出现拥塞导致 Ping路由器LAN接口地址延时很大或有丢包。 处理方法：查看CPU和内存的利用率情况（页面向导：系统监控→运行信息→性能监视）。 (1)  如果CPU利用率很高，很可能是内/外网中存在攻击或者路由器负荷太重； (2)  如果CPU利用率正常，那可能就是内网的问题，查看下接交换机是否负荷太重或者网线干扰、水晶头松动等其他原因。   4>. 路由器上层问题导致 Ping路由器LAN口地址、WAN口地址正常，但Ping打开很慢的网站或者Ping玩游戏卡的服务器地址出现延时很大或丢包的现象，使用路由器自带的维护工具Ping打开很慢的网站或者Ping玩游戏卡的服务器地址出现同样的现象。 处理方法： (1)      路由器上层设备（可能是光猫或者其他设备）出现异常，可尝试重启或者更换观察。 (2)      运营商网络侧可能出现了网络拥塞等问题，需要联系运营商进行确认解决。 (3)      游戏或者网站服务器满负荷导致，需要关注游戏官方网站的公告或者咨询游戏服务商。 7.无法远程访问路由器 运维是一件责任心很强的工作，即使你到家了，或者你还在梦乡中，你都得为你的工作付出你的那份责任心,网络工程师也是属于运维的范畴~他们如果在家了，有人打电话说要做一个NAT什么的，您就需要在家通过web或者telnet来对你的路由器进行管理（这样就方便你不用去公司也能实现办公啦~）。 (1)      请通过本地管理计算机登录路由器确认是否开启远程访问功能，并确认远程访问的计算机是否在远程管理PC的IP范围内（页面向导：设备管理→用户管理→远程管理）。 (2)      请确认远程访问Web的格式是否正确，正确的格式为：http://xxx.xxx.xxx.xxx:port或https://xxx.xxx.xxx.xxx:port，例如http://221.23.212.12:8080。 (3)      同一时间，路由器最多允许五个用户远程通过Web或Telnet进行管理和设置，请确认远程访问的计算机数量是否达到最大值。 8.升级过程中出现问题解答 大家应该都听过刷系统吧，路由器即使买的是其他厂商的也可以刷成H3C的系统哟，如果你本事就是H3C系统的话，如何将你的当前的软件版本升级呢？路由器本身也是一个操作系统哟，不过都是命令行上的操作界面，当然我平时用的都是web界面，不要问我为什么，因为我喜欢web的界面`哈哈~ 升级方法如下： (1)      升级前请备份当前版本的配置文件。在升级软件期间，请确保网络稳定，不要断电。 (2)      下载 最新版本软件。最新版本下载地址：www.h3c网站，首页→服务支持→软件下载→路由器→H3C ER系列路由器。 (3)      设备升级。登录路由器管理页面，进入备管理→基本管理→软件升级页面，点击<浏览>按钮选择下载好的.bin文件（下载的文件可能压缩包，需要解压缩获取.bin文件），点击<升级>按钮等待1～3分钟后设备自动重启，升级过程中，不要随便切换网页，直至完成升级。 升级过程中提示错误时，处理方法如下： (1)  提示错误文件：请确认升级选中的文件是否为.bin的设备版本文件。 (2)  提示上传文件内容错误：请确认下载的版本文件名表示的型号是否与当前升级的设备型号一致，下载的版本文件是否做过改动。 9.设备各指示灯含义 1>. 正常的设备指示灯状态说明 2>. 电源指示灯（POWER灯）不亮 (1)      请检查电源线是否连接正确。 (2)      请检查电源线插头是否插紧，无松动现象。 (3)      送当地授权服务中心（ASC）检测是否为设备硬件故障。 3>. 不插网线各端口链路状态指示灯（Link/Act灯）常亮或者闪烁 (1)      重启设备观察是否恢复。 (2)      送当地授权服务中心（ASC）检测是否为设备硬件故障。 4>. WAN、LAN口链路状态指示灯（Link/Act灯）不亮 (1)      请检查网线与路由器的WAN、LAN接口连接是否卡紧，无松动现象。 (2)      请重新连接网线两端的接口或重新按标准568B线序制作水晶头后再尝试连接。 (3)      请检查是否网线出现故障：可将网线的两端均插在路由器的两个LAN接口上，两个接口对应的指示灯都亮表示网线正常；否则网线可能存在问题，请更换一根之前使用正常的网线来重新尝试。 (4)      请检查端口的连接速率和双工模式配置是否有误：进入路由器Web设置页面，将WAN、LAN的连接速率和双工模式设置成和上行口、下行交换机端口一致，例如都设置为100M全双工观察（推荐两端均配置为自适应，即Auto模式。页面向导：接口设置→WAN设置→网口模式；接口设置→LAN设置→端口设置）。 10.如何设置端口限速和网络连接数，并查看端口/IP流量 1>. 每IP流量限制 根据二八理论，即80%的带宽被20%的人占用来计算，而且占用的带宽大多为下行带宽，上行带宽一般选择下行带宽的一半或者2/3左右。 例如运营商带宽为10Mbps，带机量100台PC，80%的带宽就是8Mbps，20%的人就是20个人，那么8Mbps*1000=8000kbps（实际上应该乘以1024，这里简单以1000计算），8000kbps/20=400kbps，则理论值为每IP需要下行限速400kbps，上行值为200～300kbps，当然该计算值是理论值，需要根据实际的网络使用量来适当变化。如果是ADSL宽带类型客户，则上行带宽建议限制为100kbps，且不推荐允许每IP通道借用空闲的带宽。如果企业、酒店等环境，平时使用网络的时间或者占用的流量不是很大，那么可以适当将限速值调高，如下行600kbps，上行400kbps，并开启允许每IP通道借用空闲的带宽。如网吧环境，带宽使用量较大，则需要增加带宽或者较少带机量来提高客户网速的体验，保证游戏和视频的正常工作。网吧一般建议每IP限速下行800kbps，上行500kbps，开启弹性带宽功能，即允许每IP通道借用空闲的带宽。双WAN设备需要针对不同WAN口计算不同的限速值予以限制，最终主机获得的带宽为双WAN带宽限速总和。 2>. 网络连接数 一般建议每IP设置在1000～2000即可保证正常应用访问。 3>. 查看端口/IP流量 (1)      查看每个物理端口流量：系统监控→流量监控→端口流量。 (2)      查看局域网内各在线主机通过WAN口的流量：系统监控→流量监控→IP流量 (3)      实时查看WAN口流量：系统监控→流量监控→流量监视 11.如何限制某些应用 1>. 限制某些游戏（通常采用封游戏端口的方法） 以诛仙游戏（通信端口为29000，某款游戏的通信端口需要抓包获取，如何抓包请参见“16  如何抓包”）为例介绍： (1)       开启防火墙功能（页面向导：安全专区→防火墙→防火墙设置）。 (2)       设置出站通讯策略：添加如下规则，禁止所有IP发往目的端口为29000的UDP报文通过（页面向导：安全专区→防火墙→出站通信策略），如下图所示。   嘿嘿~如果您按照这个匹配了某个MAC地址，那么无论这台机器是静态获取的局域网IP还是动态获取的IP地址均无法正常访问网络...紧紧是可以Ping同路由器网关地址而已~   2>. 限制访问某些网站 (1)      通过设备的网站过滤功能实现： 在路由器上设置让局域网内的主机仅能或不能访问固定的某些网站（页面向导：安全专区→接入控制→网站过滤）。 (2)      通过防火墙的出站通信策略实现部分用户无法访问部分网站。 首先通过ping需要过滤的网站域名，获取到该网站的服务器地址，然后再添加规则。如：禁止源IP地址范围为192.168.1.2～192.168.1.200的客户端访问目的服务器122.227.209.17 目的端口为80的TCP报文通过。（注意：部分大型网站在某个地区有多个地址，或者在多个地区都有服务器地址，可以尝试禁止目的服务器地址所在的网段后，再通过上述办法找出能ping通的其他服务器地址，再添加规则过滤即可。）   3>. 限制某些IP不能上外网 (1) 勾选仅允许DHCP服务器分配的客户端访问外网，不在路由器DHCP服务器分配的客户列表中的用户将无法访问外网（页面向导：安全专区→接入控制→IPMAC过滤）。 (2) 勾选仅允许ARP静态绑定的客户端访问外网，将客户端ARP绑定为静态表项，不在ARP静态绑定表中的客户端将无法访问外网（页面向导：安全专区→接入控制→IPMAC过滤）。   12.如何划分VLAN，实现单臂路由，禁止网段间互访 1>. 组网图 2>. 组网需求 如上图所示，无管理Switch A连接ER路由器的LAN1接口，有管理Switch B连接LAN2接口，实现Switch A下所有客户端获取到VLAN2的地址，Switch B下存在两个VLAN（VLAN3:192.168.3.0/24，VLAN4:192.168.4.0/24）对应两个部门，部门之间禁止互访。 3>. 配置步骤 (1)      新增三个VLAN（页面向导：接口设置→VLAN设置→VLAN设置）： • VLAN2：IP地址填192.168.2.1（即VLAN2的网关地址），子网掩码：255.255.255.0。 • VLAN3 IP为192.168.3.1，VLAN4 IP为192.168.4.1，子网掩码均为255.255.255.0。 (2)      编辑LAN1口配置（页面向导：接口设置→VLAN 设置→Trunk口设置），双击LAN1口所在条目进入编辑状态，将LAN1口的PVID和允许通过的VLAN均改为2。（如果其他LAN口同样接无管理设备实现类似功能可参考此步。） (3)      编辑LAN2口配置，允许通过的VLAN改为3～4。Switch B的上行端口设置为Trunk，允许VLAN3、VLAN4通过即可。（如果有管理交换机下存在更多的VLAN，则只需添加到允许通过的VLAN中即可。） (4)      如果局域网内用户通过动态DHCP获取对应网段的IP，需要通过页面向导：接口设置→DHCP设置→DHCP设置，添加各个VLAN网段对应的DHCP地址池。 (5)      配置VLAN3和VLAN4网关不能互访，在设备防火墙功能的出站通信策略中增加一条规则，禁止源地址范围为192.168.3.2-192.168.3.254访问目的地址范围为192.168.4.2-192.168.4.254的所有服务.   13.IPSEC VPN典型组网配置 我在配置ipsec vpn的时候遇到一个坑~这个协议要求你的子网不能冲突，我们公司在深圳上海都有分公司，我想通过这个协议让3个地区的人变成同一个局域网，以便于共享一些资源（其实我们公司共享软件用的都是开源的：samba，ftp） 具体的配置过程我就不再这里分享了，大家可以参考官网的配置来，其实操作起来很简单的：VPN 设置请参考《 H3C SMB Router IPSec VPN配置指导》和用户手册（获取地址：www.h3c→首页→服务支持→文档中心→路由器→H3C ER3100 企业级宽带路由器→典型配置→《H3C SMB Router IPSec VPN配置指导》） 如果你配置成功了，应该是这个样子的哟 14.企业、网吧、酒店典型组网配置 典型组网配置请参考《 H3C ER系列企业级路由器 用户手册》中第12章和第13章。（获取地址：www.h3c→首页→服务支持→文档中心→路由器→H3C ER3100 企业级宽带路由器→《ER系列企业级路由器 用户手册》）。 视频配置案例参考《 H3C ER系列路由器视频典型配置指导》（获取地址：www.h3c→首页→服务支持→文档中心→路由器→H3C ER系列路由器→H3C ER6300千兆路由器→视频配置案例→《H3C ER系列路由器视频典型配置指导》）。   15.设备支持哪些功能 如果您用的也是H3C厂家的ER系列(企业)路由器，那么就可以查看一下配置信息 ER系列路由器支持的详细功能请参见各产品的 版本说明书（获取路径：www.h3c→首页→服务支持→软件下载→路由器→H3C ER系列路由器，下载该产品的版本和版本说明书）。   16.如何抓包 以下简单介绍如何使用Wireshark1.4.2来抓取网络数据报文，以便更有效地分析网络故障。 (1)      打开Wireshark抓包工具，键盘上按下Ctrl+I，打开选择抓包网卡页面，点击Start按钮开始抓包。(这个软件包需要在你的笔记本上自己体检下载好哟~) (2)      键盘上按下Ctrl+E选择终止抓包，按下Ctrl+S保存刚才抓取到的数据报文到本地，注意抓包时间尽量不要过长，以免数据报文太大，不方便发送给技术工程师协助判断。终止后再按Ctrl+E又开始抓包，如遇弹出页面选择<Save>保存抓包信息。 (3)      抓包技巧：关键是要将异常现象的整个过程抓捕下来。如网页打不开，先打开抓包软件开始抓包，再尝试访问某个固定的网页两次，复现故障现象，然后再终止抓包，并将获取到的数据报文保存或提供技术工程师分析。 (4)      需将PC直接接在路由器的某个空闲LAN口，通过页面向导：接口设置→LAN设置→端口镜像设置，将PC所接的LAN口勾选为镜像端口，WAN1、WAN2口以及连接路由器的LAN口勾选为被镜像端口，TAG方式选择untagged，将交互数据包镜像到PC上。这样就能使工程师快速找出问题原因所在。

 

       

 

 

转载于:https://wwwblogs/yinzhengjie/p/6273217.html