还剩56页未读,继续阅读
本资源只提供10页预览,全部文档请下载后查看!喜欢就下载吧,查找使用更方便
文本内容:
吧网络故障排除手册目录TOC\o1-3\h\z\u1设备
61.1各型号硬件参数(包括带机数、flash、内存、端口、插槽、模块等)
61.2NBR的正式软件版本
61.3NBR2000上如何配置镜像?
71.4NBR接口是自适应的
71.
59.0b7版本发生规律性的掉线
81.6设备面板上的指示灯82基本设置
92.1如何设置系统时间(动静态)?
92.2如何更改接口MAC?
92.3如何设置用户名密码?(telnet、enable、登录时需要)
102.4如何恢复密码、出厂配置?
102.5不支持SSH登录管理
102.6设置超级终端时哪步最可能出错?
112.7如何更改console口的波特率?
112.8如何配置keepalive?
112.9管理哪些版本需要安装JRE?
112.10流量监控能监控哪些内容?
112.11如何配置双机热备?123ACL
133.1ACL的种类和功能
133.2常用的ACL配置
133.3远程登录更改ACL时的注意事项(WEB和telnet)
143.4如何限制管理ip(只允许某个ip管理)?
143.5配置的ACL不起作用
143.6只允许浏览网页,禁止访问其他业务154NAT
164.1如何在NBR上配置DDNS?
164.2如何配置反向映射(即反向端口映射、反向NAT)?
164.3动态获得IP时可以在web下配置反向NAT吗?
164.4用户反映反向NAT不成功,如何测试主机是否开了相关服务?
174.5为什么配置了反向NAT后外网无法登录管理?
174.6能更改路由器登录管理的默认端口吗?
174.7用户反映QQ登录慢
174.8配置保存fail,但上网正常175VLAN
185.1如何配置VLAN?
185.2可以做TRUNK吗?可以VLAN间路由吗?186路由
196.1可以配置哪些路由协议?
196.2两条不同ISP线路,做主备,路由如何配置?
196.3两条都是同一ISP又不同网段的呢?同一网段呢?(列出不同版本不同配置方法)
196.4配置策略路由后优先走哪条路由?
206.5双线路不同运营商的网吧为什么玩游戏会卡?207DNS和DHCP
217.1如何配置DNSrelay?
217.2多个ISP需要多个DNS时,建议不要配置DNSrelay
217.3如何配置DHCP?能否指定分配MAC?228日志
238.1如何打开日志及设置各项日志显示?
238.2常见日志显示信息
238.3如何设置日志服务器?249限速
259.1如何限制P2P?如何限速?
259.2为什么限速下传是1000,但有些PC会超过到1040?
259.3限速参数如何建议?限速单位
269.4能否基于MAC限速?2610病毒攻击
2710.1怎么做网吧ARP绑定(包括web和CLI)?
2710.2绑定时给用户的建议
2710.3绑定后要更改,如何操作?(包括web和CLI)
2810.4ARP病毒的现象,查看哪些信息,解决办法
2810.5DDOS攻击的现象,查看哪些信息,解决办法
2910.6内网使用公网地址时可以打开防外网攻击吗?这种情况如何防外网攻击?2911VPN
3011.1各版本支持的VPN
3011.2如何配置VPN3012升级
3212.1能否通过web升级?注意事项
3212.2升级步骤及注意事项
3212.3“Warning:pleaseexeccommand:nosecurityanti-lan-attack!”是什么意思?
3412.4在升级时总是升级失败,每次都提示“-1”3413案例
3513.1用户反映上网慢或掉线,登录路由器要查看哪些信息?
3513.2电信局端线路改造后,路由器无法正常上网
3513.32000重启后,发现时间ACL工作异常
3613.4网吧外网口总是闪断
3613.5端口出现地址冲突的告警,冲突源是路由器本身
3613.6使用多地址池出现游戏掉线
3613.7PPPOE拨号后无法上网3614RGNOS
9.10B18专题
3814.
19.10B18比
9.01B5的改进
3814.2NBR系列路由器对
9.10B18版本的支持情况
3814.
39.10B18版本的典型联动模型
3914.4联动方案中,57+18和29/27+18的建议带机数
3914.5在57/27/29+18模型下,S18为什么不能再串接S18?
3914.6在57/29+27模型下,S27为什么不能再串接S18?
3914.7联动建立后,web不能访问交换机
3914.8ARP表或安全地址绑定表中出现
100.
132.*.*的IP地址
4014.9NBR不停提示“交换机硬件资源不足,导致绑定不成功”
4014.10弹性带宽中的保留带宽和最大带宽
4014.11如何配置弹性带宽?
4014.12弹性带宽停止时路由器如何限速?
4114.13如何实现游戏带宽保证功能?
4114.14限速和弹性带宽可以共存
4114.15访问NBRweb界面慢
4214.16无法telnetNBR
12004214.17开启信任arp机制后在路由器上看到多个ip对应同一个MAC
4214.18联动后出现部分主机无法上网
4214.19NBR的arp表中的trust状态
4214.20如何配置
802.1Q?
4314.21如何使用show命令排查故障?
4314.22(NBR300-S27-S18)模型,开启联动后同一台S18下多台电脑不能上网481设备
1.1各型号硬件参数(包括带机数、flash、内存、端口、插槽、模块等)型号端口扩展槽内存FlashNAT数包转发率带机数NBR25001个千兆WAN口,2个百兆WAN口,5个千兆LAN口无256M32M50万700Kpps1500NBR2000/28-212个千兆口,1个百兆口无256M32M50万650Kpps1000NBR12002个百兆WAN口,4个百兆LAN口1个64M8M5万150Kpps250NBR11002个百兆WAN口,4个百兆LAN口无64M8M5万120Kpps150NBR3001个百兆WAN口,4个百兆LAN口无64M8M5万100Kpps150NBR802个百兆WAN口,4个百兆LAN口无64M8M5万80Kpps
851.2NBR的正式软件版本版本发布日期较上一版本的改进
6.142004年8月-
8.02005年1月-
8.102005年3月-
8.212005年7月-
8.302005年11月-
8.412006年8月2日增加了免费ARP、IP限速
8.41以前的版本不支持log信息,不支持arpspoof不支持内网防攻击但很好地支持了双ADSL自动负载均衡
8.52006年8月16日相比
8.41以前的版本增强了防内外网攻击,内网的antiarp-spoofing,支持更多的系统Log信息
9.0b72006年12月6日增强了防内外网攻击、MAC/IP自动绑定、电信网通线路自动选择,支持ARP自动绑定,稳定性大大加强,但存在与华为ARP兼容的问题,升级后经常会报定时断线
9.0以前的版本的WEB管理基于绿色的JAVA界面
9.01b52007年6月24日不再需要JAVA的支持,它打开管理页面的速度大大提高还有以下特性监控页面和配置页面密码分开设防火墙可以一条一条删除,并可任意调整先后顺序增加公网IP设置模式(适用于北京等地区不需NAT的应用模式)防攻击内容的丰富NBR受攻击情况下,pingNBR不丢包对ARP单播报文优化处理满足一些地区电信局端对ARP欺骗的特殊处理网通地址库更新
9.
10.b182007年12月10日请参考
9.10b18专题
1.3NBR2000上如何配置镜像?配置命令如下nbr2000config#mirrormasterlan0slavewan0allNbr2000config#mirrormasterlan0slavewan1all监控pc可以不配ip地址,配了IP的监控pc可以上网硬件版本是
1.0的NBR1000/1000E,不能开启端口镜像的功能,否则会引起掉线
1.4NBR接口是自适应的是自适应的
1.
59.0b7版本发生规律性的掉线当对端是华3的设备(MAC地址以00e
0.fc开头)时,由于华3设置的ARP是以单播的形式发送的,而我司的ARP按照标准,是以广播的形式发送,所以双方ARP协商有问题,必须将我司的设备的ARP老化时间缩短,一般建议设置为5s以下,NBRconfig#arptimeout5,注意不能在外网口配置ARP绑定及免费ARP
1.6设备面板上的指示灯NBR路由器上每个网口都拥有100M指示灯和Link/ACT指示灯,这表示此端口是工作在100M还是工作在10M,可以从其是否闪烁看出其是否在转发数据路由器还有一个状态指示灯status,这表示它的供电电源是否正常在1200和2000还存在着4个指示灯饱和CPU利用率大于90%繁忙CPU利用率大于75%小于90%正常CPU利用率小于75%空闭CPU利用率小于5%NBR1200还多了一个报警灯,当设备受到DDOS攻击时,报警灯闪烁2基本设置
2.1如何设置系统时间(动静态)?静态设置路由器时间的命令是NBR#clockset11:11:1130april2007或NBR#calendarset11:11:1130april2007由于NBR2000和NBR28/21无时钟芯片,无法保存静态时钟,故必须配置动态时钟其他NBR路由器不存在该问题动态设置路由器时间的命令是NBRconfig#sntpenableNBRconfig#sntpinterval60//单位分钟NBRconfig#sntpserver
128.
9.
176.30对于内网使用公网地址的地区(如北京),其路由器外网口地址配为私网地址,无法直接向公网时钟服务器获取时钟这种情况需在内网建一个时钟服务器,将SNTPserver指向内网的服务器地址
2.2如何更改接口MAC?NBR可以更改接口MAC内网口例如之前为了防ARP病毒,做了双向绑定现在更改网关设备,将网关设备的接口MAC改成原来的,就省了所有PC重新绑定网关的麻烦外网口有的ISP为了防ARP病毒或对PPPOE进行认证,对用户接入设备进行绑定当更换该设备时,可将新设备外网口MAC改成旧MAC配置命令如下NBRconfig-if#mac-address
1111.
1111.
11112.3如何设置用户名密码?(telnet、enable、登录时需要)telnet使用用户名和密码进行登录NBR(config#usernamexxxpasswordxxxNBR(config)#linevty04NBR(config-line#loginlocaltelnet只使用密码登录NBR(config)#linevty04NBR(config-line#loginNBR(config-line#passwordxxx设置console方式与telnet相同,只需将vty04改为console0即可设置enable密码NBRconfig#enablesecretlever150xxx//注意设置密码不要加空格
2.4如何恢复密码、出厂配置?恢复出厂配置有两种方式第一种方法是在运行情况下长按reset键8秒,这时系统会把原来的配置清空,恢复成出产设置第二种方法是在设备加电时按Ctrl+C进入配置菜单界面,选择更改文件选项,把config.text改成config.bak,再断电重启路由器这种方法可以保留原先配置默认的IP地址是
192.
168.
1.1/24默认的15级密码是admin
2.5不支持SSH登录管理不支持
2.6设置超级终端时哪步最可能出错?设置超级终端时在设置“数据流控”这步最容易错,在属性设置中点取“还原成默认值”就可以避免这个问题,这样也避免波特率出错当遇到超级终端无法显示、乱码、无法敲入等都可能是该问题也可以通过接入其他设备看是否显示正常来确认问题所在
2.7如何更改console口的波特率?配置命令如下Nbrconfig#lineconsole0Nbrconfig-line#speed
576002.8如何配置keepalive?keepalive用于检查线路是否正常,缺省每隔10秒发送一个DNS或Ping的报文,收到回答,则认为线路正常;若连续发送3次,均未收到回答,则认为该接口是Down的配置命令如下NBRconfig-if#keepalive10ping
221.
203.
76.1或NBRconfig-if#keepalive10dns
202.
101.
98.55一般选择稳定的目的地址进行测试单线路情况下不使用该功能
2.9管理哪些版本需要安装JRE?在管理
9.0B7以前的的nbr软件版本时,需要安装
1.31的JRE软件版本若没安装,可以打开首页,但无法进入配置界面如果JRE版本不符的话,会出现某些页面无法正常显示,如“配置向导”项空白
2.10流量监控能监控哪些内容?流量监控可以显示系统信息(版本信息、运行时间,CPU的利用率,内存的使用率等)、接口信息(各接口状态、统计信息)、IP流量信息及系统日志信息流量监控不能和限速同时配置
2.11如何配置双机热备?VRRP配置如下NBR-AinterfaceGigabitEthernet0/0vrrp1priority120//vrrp1组的优选级为120,默认为100vrrp1ip
192.
168.
1.1//vrrp1的虚拟网关IP为
192.
168.
1.1vrrp1trackGigabitEthernet0/130//当外网口(g0/1)down掉,降低30的优先级,降低后VRRP1的优先级为90vrrp2ip
192.
168.
2.1//vrrp2的虚拟网关IP为
192.
168.
2.1vrrp2trackGigabitEthernet0/130//当外网口(g0/1)down掉,降低30的优先级,降低后VRRP2的优先级为70NBR-BinterfaceGigabitEthernet0/0vrrp1ip
192.
168.
1.1//vrrp1的虚拟网关IP为
192.
168.
1.1vrrp1trackGigabitEthernet0/130//当外网口(g0/1)down掉,降低30的优先级,降低后VRRP1的优先级为70vrrp2priority120//vrrp2组的优选级为120vrrp2ip
192.
168.
2.1//vrrp2的虚拟网关IP为
192.
168.
2.1vrrp2trackGigabitEthernet0/130//当外网口(g0/1)down掉,降低30的优先级,降低后VRRP2的优先级为90数值越大,优先级越高,优先级高的为主,低的为备3ACL
3.1ACL的种类和功能查看配置NBRconfig#access-list1-99IPstandardaccesslist100-199IPextendedaccesslist1300-1999IPstandardaccesslistexpandedrange2000-2699IPextendedaccesslistexpandedrange3000-3099IPaddressrangestandardaccesslist3100-3199IPaddressrangeextendedaccesslist4000-4199MACaccesslist从上面的信息可以看出,NBR路由器的ACL共分成7类,1-99是标准访问列表,100-199是扩展访问列表,1300-1999是标准扩展Range的访问列表,3000-3099是标准的基于IPrange的访问列表,3100-3199是扩展的基于IP地址范围的访问列表4000-4199是基于MAC地址的访问列表只能在NBR的交换口上配置,NBR
2000、NBR21/28不支持
3.2常用的ACL配置常用ACL配置有access-list3198denytcpanyanyeq135//冲击波、震荡波access-list3198denytcpanyanyeq139//魔波access-list3198denytcpanyanyeq445//冲击波、震荡波、魔波access-list3198denyudpanyanyeq137//
137、
138、139为netbios端口access-list3198denyudpanyanyeq138access-list3198denyudpanyanyeq139access-list3198permitipanyanyaccess-list3199denyicmpanyanyecho//禁止从外网ping路由器access-list3199denytcpanyanyeq135access-list3199denytcpanyanyeq139access-list3199denytcpanyanyeq445access-list3199denytcpanyhostx.x.x.xeq80//禁止外网访问路由器管理页面,如果有多条接入线路,请依次配置,如果配置了WEB端口映射,请去掉同一接口下可以同时在in和out方向应用不同的ACL带交换口的NBR的内网口可增加1条基于MAC的ACL即一个端口最多可以配置3条ACL
3.3远程登录更改ACL时的注意事项(WEB和telnet)远程配置ACL时首先应提醒用户,配置可能引起网络中断,若中断仅需花一分钟时间重启即可在用户同意配置情况下,不删除原ACL,配置新的替换到接口等运行正常后再删除原ACLtelnet配置时,后配的总是摆在后面而ACL是按顺序从上往下匹配的,故一般不对原ACL直接进行更改WEB配置时,可以调整各项顺序ACL默认是deny的
3.4如何限制管理ip(只允许某个ip管理)?限制管理IP是针对TELNET或WEB来说的,对console口无效限telnet管理主机配置如下NBRconfig#access-list11permit
192.
168.
1.
270.
0.
0.0//定义一条ACL,允许一个主机NBRconfig#linevty04//进入TELNET模式NBRconfig-line#access-class11in//配置在接口上,只允许
192.
168.
1.27的主机进行TELNET配置在接口上配置ACL可以限制WEB和telnet管理主机
3.5配置的ACL不起作用可能的故障原因有配置顺序不对,ACL是从上往下逐条匹配,一旦上条已经匹配,下调将不起作用未正确应用,ACL配置完后应该关联才起作用配置时间ACL后,由于系统时间更改,引发控制改变常见于无时钟芯片的NBR2000重启时
3.6只允许浏览网页,禁止访问其他业务配置方法只打开80和53端口NBRconfig#access-list101permitipanyhost
202.
101.
98.55NBRconfig#access-list101permittcpanyanyeq80NBRconfig#access-list101permittcpanyanyeq53NBRconfig-if#ipaccess-group101in如果只打开80端口,未打开53端口,则会出现无法通过域名访问网页的现象4NAT
4.1如何在NBR上配置DDNS?NBRconfig#ddns88ipabcNBRconfig-ddns#passwordabcNBRconfig-ddns#bindf1/0公司的产品现在只支持88IP,需要使用bind命令来绑定使用DDNS服务的接口若希望通过其他服务商提供DDNS服务来发布网站,可以通过将拨号口映射到内网网站服务器上来实现
4.2如何配置反向映射(即反向端口映射、反向NAT)?NBRconfig#ipnatinsidesourcestatic
192.
168.
0.
21.
1.
1.1permit-inside这条命令是将内网的
192.
168.
0.2上的端口全部映射到
1.
1.
1.1这个外网地址上去permit-inside的作用是允许内网直接使用
1.
1.
1.1访问两个公网IP不能全映射到同一内网IP,但可以一个做全映射另一个做端口映射,还可以在服务器上设置secondip来解决
4.3动态获得IP时可以在web下配置反向NAT吗?在WEB下不可以配置动态地址的反向NAT,要解决这个问题必须在命令行下配置NBRconfig#ipnatinsidesourcestatictcp
192.
168.
0.480interfacedial080//注意,必须映射dial接口,而非物理接口
4.4用户反映反向NAT不成功,如何测试主机是否开了相关服务?首先登录路由器,确认路由器配置没问题然后,再检查用户主机是否开启相关服务使用telnet命令,NBR#telnet
1.
1.
1.180,如果出现%Destinationunreachable;gatewayorhostdown则表示该主机的web服务没有打开
4.5为什么配置了反向NAT后外网无法登录管理?配置了反向NAT后,特别是将服务器的全部端口都映射到路由器上后,外网的访问将被转向内网服务器,所以无法登录管理
4.6能更改路由器登录管理的默认端口吗?不可以更改登录管理默认端口
4.7用户反映QQ登录慢可以通过配置如下命令解决此问题NBRconfig#ipnatapplicationqq1024从
8.22版本开始就会出现这种情况,一直到
9.0B
74.8配置保存fail,但上网正常可能的故障原因是闪存故障,或者Flash满受到攻击,经常会出现内存被消耗光的现象可以通过限制NAT结点总数为7000条再重启路由器来解决5VLAN
5.1如何配置VLAN?在NBR路由器(
9.10B18版本之前)中可以分成两个系列,除了NBR2000支持
802.1Q能配置子接口,提供交换机Trunk连入外,其他型号不支持该功能,只能对每个LAN口配置一个VLAN线路的连接方式是每个VLAN用一根线连到不同的LAN口中配置如下interfaceFastEthernet0/0//LAN0口的配置不用配成子接口,也不用封装ipaddress
192.
168.
0.
1255.
255.
255.0interfaceFastEthernet0/
0.1//LAN1-LAN3分别对应0/
0.1-
0.3encapsulationdot1Q1//LAN1-LAN3分别对应dot1Q1-dot1Q3ipaddress
192.
168.
1.
1255.
255.
255.0vlanport1//LAN1-LAN3分别配成port1-3,LAN0口不用配置NBR2000配置如下interfaceGigabitEthernet0/0//物理口不能封装成dot1QinterfaceGigabitEthernet0/
0.1//2000子接口和其他不同,不止配置3个子接口encapsulationdot1Q10//VLANID可配置范围1-506ipaddress
192.
168.
1.
1255.
255.
255.0在
9.10B18中支持
802.1Q,不再需要每个vlan一根线连接到路由器的LAN口
5.2可以做TRUNK吗?可以VLAN间路由吗?NBR2000和其他型号的区别是2000同普通路由器,可配置多个dot1Q的子接口交换机通过trunk只需一根网络线与他相连,就能达到多个VLAN间路由功能,即单臂路由物理口不用配置其他虽然有带多个LAN口,但每个口只能属于一个VLAN,只能提供4个VLAN接入,非标准dot1Q每个VLAN都必须有一根网络线连入,也可VLAN间路由物理口配置成LAN0口6路由
6.1可以配置哪些路由协议?可以配置静态路由、RIP动态路由
6.2两条不同ISP线路,做主备,路由如何配置?如果两条ISP线路,一般选带宽大的做主路由,另一条做备份路由,配置如下Iproute
0.
0.
0.
00.
0.
0.0interfacef1/0x.x.x.x//静态路由Iproute
0.
0.
0.
00.
0.
0.0interfacef1/1y.y.y.y100//浮动静态路由iproute
58.
19.
144.
0255.
255.
240.0y.y.y.y//需配置备份线路路由表
6.3两条都是同一ISP又不同网段的呢?同一网段呢?(列出不同版本不同配置方法)如果都是同一ISP不同网段的两条个地址,
8.41版本无需特别配置对于
8.5以上的版本,须配置策略路由方法一access-list10permitip
192.
168.
0.
00.
0.
0.254//定义偶数IPaccess-list20permitip
192.
168.
0.
10.
0.
0.254//定义奇数IPipdefault-routelist10out-interfaceFastEthernet1/0//偶数IP地址从F1/0路由出去ipdefault-routelist20out-interfaceFastEthernet1/1//奇数IP地址从F1/1路由出去方法二access-list10permitip
192.
168.
0.
00.
0.
0.254//定义偶数IPaccess-list20permitip
192.
168.
0.
10.
0.
0.254//定义奇数IProute-mapnet210permit10matchipaddress10//关联ACL10setipnext
172.
31.
0.29//设置下一条,可以是接口route-mapnet210permit20matchipaddress20//关联ACL20setipnext
61.
154.
9.254//设置下一条,或setinterfaceFastEthernet1/0interfaceFastEthernet0/0ippolicyroute-mapnet210//应用在内网口同一网段,可先接入交换机,再连入路由器但需和ISP协商配成AP,否则会引起环路,不能实现增大带宽目的
6.4配置策略路由后优先走哪条路由?路由优先级从高到低的顺序依次是route-map、静态路由、ipdefault-route、默认路由
6.5双线路不同运营商的网吧为什么玩游戏会卡?出现这种现像的原因是某条运营商的路由表不全,造成应该从A运营商线路走的跑到B运营商去了遇到这种情况,先让用户查询一下这个游戏服务器的IP地址(仅运行游戏,在DOS下用netstat–an查询),再查询该IP属于那一个运营商的,再traceroute跟踪一下路由,看看是不是从正确的线路出去,如果不正确,就通过手工添加路由表的方式解决7DNS和DHCP
7.1如何配置DNSrelay?配置命令如下NBR(config)#access-list1permitanyNBR(config)#ipnatapplicationsourcelist1destinationudp
192.
168.
1.153dest-change
202.
101.
98.5553//其中
192.
168.
1.1为NATrelay地址,
202.
101.
98.55为DNS服务器地址
7.2多个ISP需要多个DNS时,建议不要配置DNSrelayNBR只可配置一条DNSrelay如果使用路由器的DNS中继功能,不慎泄露路由器密码,或者密码设置被猜破,将会造成MITM攻击(Man-in-the-MiddleAttack,译为“中间人攻击”)MITM是一种“间接”的入侵攻击,这种攻击模式是通过各种技术手段将受入侵者控制的一台计算机虚拟放置在网络连接中的两台通信计算机之间,这台计算机就称为“中间人”然后入侵者把这台计算机模拟一台或两台原始计算机,使“中间人”能够与原始计算机建立活动连接并允许其读取或修改传递的信息,然而两个原始计算机用户却认为他们是在互相通信通常,这种“拦截数据——修改数据——发送数据”的过程就被称为“会话劫持”(SessionHijack)DNS欺骗(DNSSpoofing),就是其中的一种惯用手法攻击者通过入侵DNS服务器、控制路由器等方法把受害者要访问的目标机器域名对应的IP解析为攻击者所控制的机器,这样受害者原本要发送给目标机器的数据就发到了攻击者的机器上,这时攻击者就可以监听甚至修改数据,从而收集到大量的信息如果攻击者只是想监听双方会话的数据,他会转发所有的数据到真正的目标机器上,让目标机器进行处理,再把处理结果发回到原来的受害者机器;如果攻击者要进行彻底的破坏,他会伪装目标机器返回数据,这样受害者接收处理的就不再是原来期望的数据,而是攻击者所期望的了例如让DNS服务器解析银行网站的IP为自己机器IP,同时在自己机器上伪造银行登录页面,那么受害者的真实账号和密码就暴露给入侵者了另外,DNS通过路由器做中继,多了一个可能的故障点所以建议用户不要配置DNSrelay,可以直接在网卡上添加DNS服务器地址,而且可以设置主备
7.3如何配置DHCP?能否指定分配MAC?DHCP配置如下NBRconfig#servicedhcp//启用DHCP功能NBRconfig#ipdhcpexcluded
192.
168.
0.
2192.
168.
0.50//排斥地址,不分配给客户端NBRconfig#ipdhcppooltest//配置地址池信息NBRconfig-dhcp#network
192.
168.
0.
0255.
255.
255.0//地址段NBRconfig-dhcp#default-router
192.
168.
0.1//网关NBRconfig-dhcp#dns-server
202.
101.
98.55//客户端的DNS可以对MAC进行指定分配ipdhcppoolXiaoLi//地址池hardware-address00e
0.4c
74.263c//指定MAChost
10.
0.
0.
27255.
0.
0.0//指定IPdns-server
61.
232.
202.
158211.
98.
2.4default-router
10.
0.
0.18日志
8.1如何打开日志及设置各项日志显示?打开日志配置NBR(config)#loggingon//开启日志NBR(config)#servicesequence-numbers//日志信息序列号NBR(config)#servicetimestampslogdatetime//日志信息的时间戳格式为日期形式NBR(config)#servicetimestampsdebuguptime//时间戳格式为路由器启动时间形式NBR(config)#logging
192.
168.
1.168//将日志信息发给SyslogserverNBR(config)#loggingtraceenable//开启定时统计,必须在开启日志序列号的前提下才能开启该功能NBR(config)#loggingbuffered//将日志信息记录到内存缓冲区NBR(config)#loggingfileflash://将日志信息记录在扩展FLASH上NBR(config)#loggingconsole//设置允许在控制台上显示的日志信息级别NBR(config)#loggingmonitor//设置允许在VTY窗口上显示的日志信息级别NBR(config)#loggingtrap//设置允许发送给syslogserver的日志信息级别设置各项日志显示securityanti-wan-attacklevelhigh//打开外网攻击的日志信息securityanti-arp-spoofing //打开内网ARP欺骗的日志信息securityanti-lan-attack //打开内网攻击的日志功能其他ACL的应用,也能在日志里显示匹配统计信息
8.2常见日志显示信息2006-8-718:14:46NBR1000:%6:%IP-4-DUPADDR1:Duplicateaddress
192.
168.11onFastEthernet0/0sourcedby00d
0.f8fb.0036上述信息显示有IP地址跟网关冲突,内网可能有人在进行ARP欺骗了%6:arpupdatemacaddressof
192.
168.
0.90becomechangetonewmac:
00.0A.EB.
84.
05.73上述信息显示
192.
168.
0.90的MAC地址切换,可能有人在冒充
192.
168.
0.90查查
00.0A.EB.
84.
05.73是哪个家伙的MAC,可能中毒了或者正在捣蛋%6:ipff_proc_default_route_event fordfc000072006-8-821:14:6 taicang:%6:DFCupdate:L2head len=14[
00.
16.C
7.
89.
93.
40.
00.D
0.F
8.FB.F
1.9F.
08.
00.]nexthop
218.
4.
58.201interface
[2]:recuintf[-1]上述两条信息显示默认路由下一跳发生变化,可能是路由器刚启动或者端口up/down变化请确认线路是否正常2006-8-821:14:6 taicang:%5:%LINEPROTOCOLCHANGE:InterfaceFastEthernet1/0changedstatetoUP上述信息显示接口发生了up/down2006-8-914:0:21NBR1000%6:SystemreturnedtoROMreloadat2006-08-0219:06:34上述信息显示设备发生了重启2006-8-914:0:17NBR1000:%5:Configuredfromconsolebyvty
0192.
168.
35.229上述信息显示有人对路由器配置进行改动,从远程登录进行了配置,地址为
192.
168.
35.2292010-9-2112:25:53taicang:%5:Configuredfromconsolebyconsole上述信息显示控制台口对路由器进行了配置2006-8-715:27:9 taicang:%5:Configuredfromwebconsole
61.
177.
57.158上述信息显示有人使用Web登录,对路由器进行了配置
8.3如何设置日志服务器?
1.在日志服务器(例如IP为
192.
68.
0.2)上安装第三方日志软件
1.在路由器上配置如下命令NBR(config)#loggingserver
192.
168.
0.29限速
9.1如何限制P2P?如何限速?启用了NAT一种是限制每个IP的并发连接数NBRconfig#ipnattranslationper-ip
0.
0.
0.0250另一种是限制IP带宽NBRconfig#ipnattranslationrate-limitdefaultinbound600outbound1500未启用NAT如果NBR路由器没有启用NAT功能,必须首先执行如下操作,然后使用以上两条命令限制P2P在内网口使用ipnatinside在外网口使用ipnatoutside无论是否启用NAT功能,都可以使用如下的QoS策略,对内网口下的用户限制带宽详情请参见命令手册NBR(config-if)#rate-limitinputaccess-group1106400030003000conform-actiontransmitexceed-actiondrop
9.2为什么限速下传是1000,但有些PC会超过到1040?因为限速是基于NAT通过CPU处理,在限定数值小幅波动属于正常现象
9.3限速参数如何建议?限速单位限速参数应根据外网带宽,内网PC数量,PC用途等一些因素进行一般将带宽除PC,再乘一系数(该系数可根据使用效果进行适当调节)建议inbound上传数值设置为200左右,outbound下载数值设置为400以上将下载速度设成上传的两倍以上NAT会话数一般限制在250到350限速单位为kbps
9.4能否基于MAC限速?
9.10版本可以通过限制进程数来实现基于MAC的限速10病毒攻击
10.1怎么做网吧ARP绑定(包括web和CLI)?把LAN口上学到的MAC地址和IP地址进行绑定,操作方法如下手动绑定NBR(config)#arpx.x.x.xH.H.Harpa//需一个个绑定自动绑定
9.0以上版本支持自动绑定NBRconfig#arpscaninterfaceg0/0//只需扫描内网口NBRconfig#arpconvertinterfaceg0/0//动态转为静态NBRconfig-if#mac-ipbind//绑定完可以锁定MAC地址表,只有在地址表里的PC才可以登录,该方法可以用来控制某些PC上网WEB方式
1.在“MAC/IP绑定”中点击“扫描LAN口”
1.在“ARP表”中点击“全选”
1.点击“动态→静态”
10.2绑定时给用户的建议对于网吧所有PC都安装了还原精灵的用户,为了保证绑定时没有ARP病毒,建议用户在非营业或客户少的时候进行绑定操作步骤如下首先拔掉外网线路,同时重启所有PC,绑定后再接入外网绑定时注意不能落下一台PC若要完全杜绝ARP病毒影响,还需在每台PC上绑定网关以上要求所有内网网关设在NBR上
10.3绑定后要更改,如何操作?(包括web和CLI)CLI方式NBRconfig#noarpA.B.C.D//noarpall用于重新绑定,重新绑定参考上题NBRconfig#arpA.B.C.DH.H.Harpa//手动绑适用少量修改在停止学习情况下,要进行少量更改(如更换一张网卡),无需恢复学习,直接修改即可WEB方式ARP选项——MAC/IP绑定——选择需要修改的ARP条目——删除――LAN口扫描――动态转静态
10.4ARP病毒的现象,查看哪些信息,解决办法ARP病毒发作时,会出现如下现象局域网台某些机器上不了网,Ping不通网关(没有双绑时)局域网所有的机器都上不了网,也Ping不通网关(没有双绑时)局域网中的机器Ping网关时延时很大,甚至达200ms以上(双绑后)可以通过两种办法来查看第一种办法查看ARP表,看看是不是有相同MAC对应不同IP的表项这个相同的MAC就是欺骗主机的MAC地址第二种办法是打开内网防ARP欺骗的功能,然后查看日志解决的办法有两个一是双向绑定二是找到欺骗主机进行杀毒
10.5DDOS攻击的现象,查看哪些信息,解决办法前面板有CPU利用率的LED显示,被攻击时status黄色灯会亮起,表示目前NBR正被攻击一般观察内外网口的灯闪烁的频率基本能定位外网还是内网攻击受到攻击还表现CPU使用率偏高,通过NBR#showinterface查看端口入方向流量和出方向流量相差很大且丢包严重通过NBR
9.10b11版本新开发的NBR#showsecurity信息可以确定攻击是外网发起的还是内网发起的如果是内网攻击,可以看到内网攻击者的IP和MAC地址若是外网攻击,可以通过NBR隐藏的调试命令模式下面查出DDOS攻击源IP地址(UDP以及ICMP攻击等无法记录)NBR#debugnetNBRdebug-net#tcp由于外网的攻击多是伪造源IP地址的攻击,很难查出攻击者建议向当地网监部门报案,因这种攻击行为已经产生了经济损失,网监部门理应受理如果担心网监不重视,可以通过以网吧协会的名义出面占用带宽的攻击方式,单方面从设备上着手,是没有办法解决的,只能从运营商上着手,让攻击不再过来,这样才是解决之道网吧也可以通过网协名义联合向运营商报案,让运营商重视该问题防DDOS攻击经常配置ACL,只允许内部网段被NAT和进入内网口,禁止外网口的web端口开启防内外网攻击功能
10.6内网使用公网地址时可以打开防外网攻击吗?这种情况如何防外网攻击?不可以,因为使用公网IP无需配置NAT,路由器无法识别那个是外网那个是内网,当开启防外网攻击时会丢弃正常的数据包导致断网这种情况下主要通过ACL和限速来防止外网攻击11VPN
11.1各版本支持的VPNV
8.41_B5及之前的版本只支持作为VPN客户端V
8.5_B9及之后的版本既支持VPDN(L2TP/PPTP)作为客户端也支持作为服务器端仅NBR1000的V
8.52版本支持Ipsec
11.2如何配置VPN以L2TP为例NBRconfig#hostnameL2TPserver//主机名设置为L2TPserverNBRconfig#enablesecret0star//特权口令设置为starNBRconfig#access-list1permitany//建立acl1,用来nat规则关联NBRconfig#vpdnenable//使能vpdn功能NBRconfig#vpdn-groupl2tp//DefaultL2TPVPDNgroup设置vpdn-group接口,名为l2tpNBRconfig-vpdn#accept-dialin//允许接受远程客户端拨入NBRconfig-vpdn-acc-in#protocoll2tp//设置隧道协议为l2tp,还可设成any、pptpNBRconfig-vpdn-acc-in#virtual-template2//使用虚模板接口2NBRconfig#usernamel2tppassword0l2tp//设置用户信息(创建l2tp/l2tp帐号)NBRconfig#iplocalpooll2tppool
10.
32.
1.
10010.
32.
1.200//创建本地地址池l2tppool,分配给拨入的远程VPN客户端,
10.
32.
1.100-
10.
32.
1.200NBRconfig#interfaceFastEthernet1/0//设置FastEthernet1/0口,用于连接InternetNBRconfig-if#ipnatoutsideNBRconfig-if#ipaddress
192.
168.
33.
39255.
255.
255.0NBRconfig#interfaceFastEthernet1/1NBRconfig-if#ipnatinsideNBRconfig-if#ipaddress
10.
32.
0.
1255.
255.
255.0NBRconfig#interfaceVirtual-Template2//创建虚模板接口2,使之成为绑定并负载L2TP会话的virtual-access接口模板NBRconfig-if#pppauthenticationchap/启动PPP验证,并指定身份验证模式为CHAPNBRconfig-if#IpunnumberedFastEthernet1/1//设置此无编号接口关联的接口为FastEthernet1/1NBRconfig-if#peerdefaultipaddresspooll2tppool//为拨入的用户选择分配IP地址的策略,使用地址池l2tppoolNBRconfig-if#ipnatinside//设置此虚模板接口参与nat,使远程客户端拨号到VPDN路由器之后通过此路由上网NBRconfig#ipnatinsidesourcelist1interfaceFastEthernet1/0overload//设置nat规则,关联ACL1,允许所有源主机进行natNBRconfig#iproute
0.
0.
0.
00.
0.
0.
0192.
168.
33.1如果在VPDN配置完成之后能拨到服务器但是访问不了,问题很大程度上在于路由问题也有可能是客户端设置的问题12升级
12.1能否通过web升级?注意事项可以通过WEB升级,升级前要提醒用户备好控制线,升级失败时使用无控制线请勿升级尽量不要远程升级,由于电源、网络等环境原因,容易引起升级不成功当升级失败时,无法远程解决升级前需仔细阅读《NBR用户手册》中的升级指南部分章节
12.2升级步骤及注意事项正常升级步骤
1.从网站下载升级安装程序到本地硬盘,解压文件夹,确认文件夹中含有Rgnos.bin和Rgnos.upd文件,双击startftp.exe启动TFTP服务器
1.关闭操作系统中运行的所有防火墙
1.(
9.0以下版本请略过此步骤)登录WEB管理配置界面,点击“安全配置”,在“防内网攻击”中,勾除“启用防内网攻击”选项
1.在操作系统“开始”“运行”中,输入“cmd”,点击“确定”打开命令提示符窗口在命令提示符中输入“telnetx.x.x.x”后回车(x.x.x.x代表当前主机的网关IP地址,即路由器内网IP地址),出现“password”(若出现Passwordrequiredbutnoneset提示,请使用WEB登录后,在“系统工具”的“设置口令”中设置telnet登录口令)
1.输入telnet登录口令,进入用户模式(),接着输入“en”命令回车后进入特权模式(#)(如果设置了WEB登录口令,在进入特权模式前还需要输入这个口令)
1.在特权模式(#)提示符下输入命令“copytftpupdate”,在“Addressornameofremotehost[]”里输入当前用于升级路由器的主机IP地址,“Sourcefilename[]”里输入“rgnos.upd”输入完毕后屏幕上会出现一连串“!”和提示,这表示路由器正在进行升级升级完成后,路由器会提示“Success:Transmissionsuccess”并回到特权模式(#)提示符
1.重启路由器,升级完成正常升级失败后的操作步骤
1.用控制线登录路由器,设置好超级终端(最后一项选择默认值)
1.将运行tftp的那台PC,接在LAN0口
1.重新启动路由器,3秒内按Ctrl+C,进入rom模式MainMenu:
1.TFTPDownloadRun
2.TFTPDownloadWriteIntoFile
3.X-ModemDownloadRun
4.X-ModemDownloadWriteIntoFile
5.ListActiveFiles
6.ListDeletedFiles
7.RunAFile
8.EraseAFile
9.SqueezeFileSystema.FormatFileSystemb.OtherUtilitiesPleaseselectanitem:2//选择把映像文件下载到内存中后再写入到flash中Filename[]:router.bin//映像文件名LocalIP[]:
100.
100.
100.100//本地ip地址RemoteIP[]:
100.
100.
100.171//tftp服务器ip地址ReadMacAddrfromeeprom=00-D0-F8-0F-C2-02%NowBeginDownloadFilerouter.binFrom
100.
100.
100.171senddownloadrequest.!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!%MissionCompletion.FILELEN=3558528EnterFileNameInputESCtoquit:[rgnos.bin]//写入到flash中的映像文件名,这里必须为rgnos.binThewirednandflashchecking!Itmaytakeseveralminutes.Sectorschecking:!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!Sectorscheckingfinish.Writefiletoflash:!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!Writefiletoflashsuccessfully!
1.此时重启或复位路由器就可以进入新升级的路由器主体软件了注意事项从
8.32以上版本升级到
9.0以下版本,可以直接升级.upd文件若升级到
9.01及以后的版本,首先要用copytftpflash,把主程序.bin升级然后重启路由器如果在正常升级步骤第3步中关闭防内网攻击后没保存,将导致重启后无法升级.upd文件),必须再用copytfptupd方式升级打包程序不管是升级哪个版本都要注意以下几点PC的防火墙和杀毒软件是关闭的PC有运行tftp服务器,并指定文件的路径路由器的防内网攻击关闭在传输文件时不能断电要保证PC与路由器是可ping通的
12.3“Warning:pleaseexeccommand:nosecurityanti-lan-attack!”是什么意思?升级时输出这样的信息,表明需要先关闭防内网攻击在全局配置模式下输入NBR2000config#nosecurityanti-lan-attack
12.4在升级时总是升级失败,每次都提示“-1”文件系统受到破坏,需要格式化flash后,按照升级失败的处理办法重新升级即可13案例
13.1用户反映上网慢或掉线,登录路由器要查看哪些信息?当定位可能的故障原因在路由器上后,需要登录路由器,检查以下信息查看配置(showrun),查限速、路由表等信息查看日志(showlog),查ARP攻击源、DDOS攻击、端口UP/DOWN等记录查看端口(showintface),查流量、丢包情况查看安全(showsecurity),查内网网攻击,前提是打开NBRconfig#securityanti-wan-attacklevelhigh、NBRconfig#securityanti-lan-attack、NBRconfig#securityanti-arp-spoof等设置查看ACL拦截(showipaccess-lists),查匹配ACL包数查看会话数(showipnatstatisticsper-user),查给IP进程数查看CPU(showcpu),查CPU利用率查看内存(showmemory),查内存使用率查看时钟(showclock),查时钟,对应log信息,定位故障出现时间
13.2电信局端线路改造后,路由器无法正常上网常见的故障现象是路由器无法正常上网但是如果将线路接到PC上,PC却可以正常上网可能的故障原因有
9.0B7版本,ISP换成华为的设备了对方路由器做了绑定,或者做了针对MAC地址的过滤策略,需将外网口的MAC地址改成能正常上网的PC的MAC地址;外网口上绑定MAC地址
13.32000重启后,发现时间ACL工作异常因为NBR2000不能保存时间,所以当NBR2000重启后,时间回到了1970年,因此时间ACL工作异常,解决的办法是用从时间服务器自动更新时间,来同步时间
13.4网吧外网口总是闪断出现闪断的原因是线路不稳定,NBR路由器对载波丢失比较敏感,默认是2秒如果改成10秒,可以大大减轻线路不稳定时造成的路由器端口重启在外网口增加载波延时,输入NBRconfig-if#Carry-delay10(范围0-60,默认为2s)
13.5端口出现地址冲突的告警,冲突源是路由器本身内网出现环路开启NBR的免费ARP通告,就能在日志中查到该信息NBRconfig-if#arpgratuitous-sendinterval
1513.6使用多地址池出现游戏掉线可能同一连接使用了不同公网地址转换,解决办法是做分流或只使用一个IP
13.7PPPOE拨号后无法上网可能原因有线路不通,通过直接使用主机拨号测试是否正常来确认帐号、密码设置错误MODEM工作在非桥模式BridgedDNS设置错误未获得正确IP,通过showinterfacedialerx查看拨号口的信息MTU值设置超过ADSL允许的值,这样在ADSL线路上会出现Ping得通上不了网的现象拨号闲置时间设置不对,应设成014RGNOS
9.10B18专题
14.
19.10B18比
9.01B5的改进
9.10B18版本在
9.01B5的基础上增加了如下功能ARP抗攻击与S
57、S
29、S27的管理联动和安全联动管理联动实现对联动交换机VLAN、IP、端口安全、病毒过滤、端口镜像、流量限制、NBR保护、组播、系统密码的设置,并可查看系统信息、接口状态、接口信息;安全联动实现在联动交换机端口对PC进行自动MAC-IP绑定基于内网IP和公网IP的弹性带宽游戏带宽保证ACL域名过滤电信网通自动选路shownat和流量信息排序抗DDOS攻击MAC阻断基于MAC的NAT连接数限制外网对内网服务器的访问不受抗外网攻击模块影响版本升级错误保护NBR2000增加端口镜像功能支持内网子接口带TAG发送报文,且支持1个交换口同时属于多个VLAN全新的WEB界面
14.2NBR系列路由器对
9.10B18版本的支持情况并非各款NBR路由器都支持对
9.10B18版本的所有功能NBR
100、NBR
200、
1000、1000E不支持与S
57、S
29、S27的管理联动和安全联动NBR
100、NBR
200、
1000、1000E不支持基于内网IP和公网IP的弹性带宽NBR1000E、
1100、
1200、300支持内网子接口带TAG发送报文,且支持1个交换口同时属于多个VLAN
14.
39.10B18版本的典型联动模型有以下四种典型的联动模型NBR+57+29/27NBR+57+18NBR+29/27+29/27NBR+29/27+
1814.4联动方案中,57+18和29/27+18的建议带机数在S57接S18模型下,PC数不能超过500台在S27/29接S18模型下,PC数不能超过200台
14.5在57/27/29+18模型下,S18为什么不能再串接S18?这样会造成核心接入交换机一个物理端口上绑定的pc超过24台,核心接入交换机无法完成全部pc的绑定,未绑定pc将无法上网
14.6在57/29+27模型下,S27为什么不能再串接S18?27作为接入交换机,一个物理口只能连接一台pc,其他pc无法绑定,无法上网
14.7联动建立后,web不能访问交换机需要检查以下配置交换机上是否开启了web服务交换机是否配置了默认网关NBR是否启用NATNBR是否处于公网模式如果处于公网模式,需要打开IE选项中的“跨域访问”开关
14.8ARP表或安全地址绑定表中出现
100.
132.*.*的IP地址NBR发现某一MAC地址存在欺骗嫌疑,却没有ARP表项时,就会绑定上
100.
132.*.*的特殊IP地址这一动作是为了防止欺骗主机后续再发出ARP欺骗报文如果在安全地址表项中发现了
100.
132.*.*的静态三元素绑定表项时,检查MAC地址对应主机是否中毒如果确认该主机已正常了,可以在web的安全地址绑定表中选择该静态三元素绑定表项删除
14.9NBR不停提示“交换机硬件资源不足,导致绑定不成功”不停提示这个信息表示有PC一直无法完成绑定在S57/S27/S29接S18确认是否有PC接在端口镜像的目的口上,如果存在就是正常的因为端口镜像目的口不能配置端口安全,所以一直无法绑定
14.10弹性带宽中的保留带宽和最大带宽保留带宽弹性带宽调整时的底线值,当弹性带宽发挥作用时,用户分配到的带宽不会小于这个值当用户使用的带宽超过这个值,并且弹性带宽需要做限速时,这个值将成为限速的上限最大带宽用户可能分配到的最大带宽
14.11如何配置弹性带宽?配置弹性带宽时必须设置的值总带宽注意总带宽越贴近实际越好,若不设置,弹性带宽无法启用,所有用户只分配到保留带宽保留带宽和最大带宽注意可以参考该网吧以前配置的限速值,建议保留带宽为以前的限速上限,最大带宽为保留带宽的2-3倍可选配置弹性带宽的停止条件停止条件可以是带宽利用率(值为1%-100%),也可以是用户数量值为1-10000,默认值为带宽利用率达到90%时停止弹性带宽弹性带宽和ip限速无法同时配置,如果想单独为某个ip限速,必须先在弹性带宽里删除这个ip地址,反之亦然
14.12弹性带宽停止时路由器如何限速?在停止条件里未设置用户数量参数时,弹性带宽以带宽利用率为标准,当带宽利用率达到设定值时(默认为总带宽的90%),弹性带宽开启限速功能,限速值为保留带宽限速前占用带宽大于保留带宽的用户速度将降到保留带宽在停止条件里设置用户数量参数时,弹性带宽将同时以这两个用户数量和带宽利用率为标准,任一数值达到限定值时,都将开启限速功能限速值为保留带宽
14.13如何实现游戏带宽保证功能?游戏带宽保证是通过ACL来实现的NBR定义了一个2699的ACL,其中禁止的端口为大部分游戏使用的端口,使用如下命令在非游戏流量超过设定值时丢弃非游戏报文,达到保证游戏流量的目的NBRconfig-if#rate-limitinputaccess-group26992000000500000500000conform-actioncontinueexceed-actiondrop这命令中的3个数值的含义2000000用户自行定义的非游戏流量最大带宽500000默认突发流量,NBR自行设置为最大带宽的25%500000最大突发流量,NBR自行设置为最大带宽的25%
14.14限速和弹性带宽可以共存限速和弹性带宽可以共存共存时优先关系如下ip/range指定的限速ip/range指定的弹性带宽default指定的弹性带宽default指定的限速
14.15访问NBRweb界面慢可能原因是NBR比较忙、CPU较高NBR启动了抗内网攻击
14.16无法telnetNBR1200有可能的原因有CPU利用率比较高NBR系列只允许5个telnet连接,如果已经有5个人telnet上来,其他人就无法telnet了在linevty下建议不要配置exec-timeout00,这样有可能在用户异常断线时,连接依旧存在的情况NBR只允许100个tcp连接,如果系统受到攻击,导致系统已经建立了100个连接,则无法telnet了,建议配置servicetcp-keepalives-in
3014.17开启信任arp机制后在路由器上看到多个ip对应同一个MAC出现这种情况是由于配置错误导致的,需要在57的vlan1或者三层接口关闭arp代理
14.18联动后出现部分主机无法上网首先检查联动配置是否正确,接着查看接入交换机有没有主机的MAC/IP绑定,再查看网关设备上是否有主机的arp表项,最后检查NBR上是否有主机的ARP表项且状态标示是否正确
14.19NBR的arp表中的trust状态“trust”代表路由器发出了绑定命令给交换机,但是没收到交换机的确认“trust”代表路由器发出了绑定命令给交换机且收到了交换机的确认“trust”代表发出解绑命令给交换机,未收到交换机确认
14.20如何配置
802.1Q?以NBR1200为例Intf0/
0.1//创建子接口Ipadd
192.
168.
2.
1255.
255.
255.0//配置ip地址Encapsulationdot1Q2//封装
802.1Q,把该子接口配置为vlan2Vlanport03tag//接口出去的数据打上vlan2的标记,接口识别带vlan2标签的数据
14.21如何使用show命令排查故障?一般常用的show命令如下showrun,showlog,showcpu,showinterface,showarp,showipnatstatisticsper-user,showipnattranslationsflowrateinbound/outbound,showsecurity等showrun显示当前配置,主要用来确认配置是否正确showlog显示当前日志可以检查路由器是否受到攻击、网络中是否有arp欺骗发生等,在新版本中增加了中文日志方便用户查看,具体细节参看日志篇Showcpu输出信息如下CPUutilizationforfiveseconds:3%//5秒钟内CPU使用的平均值CPUutilizationforoneminute:2%//1分钟内CPU使用的平均值CPUutilizationforfiveminutes:2%//5分钟内CPU使用的平均值CPUutilizationpeakforfiveseconds:5%at:1970-3-53:55:48//5秒钟内CPU使用的最高值CPUutilizationpeakforoneminute:4%at:1970-3-53:20:33//1分钟内CPU使用的最高值CPUutilizationpeakforfiveminutes:4%at:1970-3-53:59:48//5分钟内CPU使用的最高值cpu利用率高有如下几种可能路由器所带主机数超过本身的带机数量路由器受到大流量的攻击网络中多台主机中毒频繁发出大量需要路由器处理的报文Showinterface输出信息如下==========================GigabitEthernet0/0========================GigabitEthernet0/0isUPlineprotocolisUP//物理层、协议层upHardwareisPQ3TSECGIGABITETHERNETCONTROLLERGigabitEthernetaddressis00d
0.f86b.dc64bia00d
0.f86b.dc64//MAC地址Interfaceaddressis:
192.
168.
0.221/24//接口ip地址ARPtype:ARPAARPTimeout:3600seconds//arp表超时时间MTU1500bytesBW1000000Kbit//MTU和带宽EncapsulationprotocolisEthernet-IIloopbacknotsetKeepaliveintervalis10secsetCarrierdelayis2sec//载波延迟时钟,以2s为周期检查线路状态,RXloadis1Txloadis2Queueingstrategy:FIFO//队列处理策略Outputqueue0/400drops;//队列长度40,当前使用0,丢弃0Inputqueue0/750drops5minutesinputrate3033495bits/sec2266packets/sec//5分钟内平均每秒上传(由于是内网口)的流量3M5minutesoutputrate11958761bits/sec2392packets/sec//5分钟内平均每秒下载(由于是内网口)的流量12M内网口下载(out方向)流量和外网口(in方向)下载流量应该属于一个单位数量级如果差距很大则有可能存在攻击403999134packetsinput4164667868bytes0reslack0nobuffer0droppedReceived4258185broadcasts0runts0giants//接受到4258185个广播包,0个碎片,0个巨型帧,广播包太多会影响网络性能,arp欺骗时广播包也很多0inputerrors0CRC0frame0overrun0abort430112008packetsoutput453071391bytes0underruns66dropped0outputerrors0collisions3interfaceresetsLinkMode:1000M/Full-Duplexmedia-typeistwisted-pair.Outputflowcontrolisoff;Inputflowcontrolisoff.Showarp通过查看arp表检查arp表项里主机ip和其MAC地址对应关系,当主机无法和网关通信时,可在主机和路由器上分别查看arp表项,确保ip和MAC的正确对应showipnatstatisticsper-user输出信息如下NATinsideusercount:320peak:329@1d12:00:13ago//当前用户为320,最多时为329Maximumnatentriesforinsideperuserip:300//每个ip最大进程数为300NATinsideuserall:329//内部共有用户329个IPcountconfig
192.
168.
1.
6230192.
168.
1.
9500192.
168.
1.
610192.
168.
1.
7770192.
168.
0.
100110192.
168.
1.
6710192.
168.
1.
9900192.
168.
0.
9350192.
168.
0.
21090192.
168.
0.2232980//有298个NAT进程,说明该主机再使用P2P软件,当网络延时大或卡的时候很有可能是部分主机在使用下载工具showipnattranslationsflowrateinbound当网络出现延时大或者游戏较卡时,可通过此命令查看带宽使用情况,找出是谁在占用大量带宽输出信息如下OnlineUsernumber:130//当前在线用户130个Totalinbound:977Kbps//上传占用的带宽为977KbpsTotaloutbound:7458Kbps//下载占用的带宽为7458KbpsIPInboundKb/secOutboundKb/secIsLimitIsSpecial
192.
168.
0.137200500**//该ip占用上传带宽为200Kbps,下载为500Kbps
192.
168.
0.208181167**
192.
168.
0.22368543--
192.
168.
0.7949280**
192.
168.
0.14043491**
192.
168.
0.10841500**
192.
168.
0.1863818**
192.
168.
0.17131244**showsecurity输出信息如下--------------------Wanattackparameter--------------------Securitylevel:highTcpretrynumber:2//TCP重连接数为2Tcpkeepalive:30sIpfragnumber:30//预存ip分片数为30Ipfragcurrent:0//当前ip分片为0------------------------Wanddosattackparameter------------------------GigabitEthernet0/1Inputmatchesalltrafficparams:128000bps5640limit5640extendedlimit//限速为128Kbps当外网口接收到和路由器自己通信(nat表里不存在的连接)的速率超过128Kbps,则认为存在外网攻击conformed0packets0bytes;action:transmit0exceeded0packets0bytes;action:drop0cbucket5640cbs5640;ebucket0ebs0------------------------Wanicmpattackparameter------------------------GigabitEthernet0/1Inputmatchesalltrafficparams:128000bps5640limit5640extendedlimitconformed0packets0bytes;action:transmit0exceeded0packets0bytes;action:drop0cbucket5640cbs5640;ebucket0ebs0--------------------Lanattackparameter--------------------GigabitEthernet0/0Inputmatchesalltrafficparams:64000bps5320limit5320extendedlimit//限速为64Kbps内网光口接收到和路由器自身通信的速率超过64Kbps,则认为存在内网攻击conformed1097packets52081bytes;action:transmit0exceeded0packets0bytes;action:drop0cbucket5274cbs5320;ebucket0ebs0-----------------------Lanicmpattackparameter-----------------------GigabitEthernet0/0Inputmatchesalltrafficparams:64000bps5320limit5320extendedlimit//限速为64Kbpsconformed0packets0bytes;action:transmit0exceeded0packets0bytes;action:drop0cbucket5320cbs5320;ebucket0ebs0-----------------------dropillegalpacket//超出限速丢弃-----------------------若攻击来自内网,则在此会显示攻击主机的MAC和ip
14.22(NBR300-S27-S18)模型,开启联动后同一台S18下多台电脑不能上网在交换机S2724G上show版本信息S2724G#shverSystemdescription:RuijieFullGigabitManagedSwitchS2724GByRuijieNetworkSystemstarttime:2008-1-228:17:24Systemhardwareversion:
1.10Systemsoftwareversion:RGNOS
10.
1.004Release18712Systembootversion:
10.
1.18777SystemCTRLversion:
10.
1.18398Systemserialnumber:1234942570085Deviceinformation:Device-1Hardwareversion:
1.10Softwareversion:RGNOS
10.
1.004Release18712BOOTversion:
10.
1.18777CTRLversion:
10.
1.18398SerialNumber:1234942570085S2724G#该版本下开启联动后,出现部分电脑不能在S27上完成绑定的情况,导致部分PC无法上网与支持联动功能的rgnos
9.1b
18.01版本NBR路由器配合使用的交换机S2724必须升级到rgnos
10.22正式版本或者后续版本交换机S2724升级后show版本信息如下S2724Gconfig#showversionSystemdescription:RuijieFullGigabitSecurityIntelligenceAccessSwitchS2724GByRuijieNetworkSystemstarttime:2008-1-237:10:24Systemhardwareversion:
1.0Systemsoftwareversion:RGNOS
10.
2.002Release30162Systembootversion:
10.
2.27014SystemCTRLversion:
10.
2.24195Systemserialnumber:0000000000000Deviceinformation:Device-1Hardwareversion:
1.0Softwareversion:RGNOS
10.
2.002Release30162BOOTversion:
10.
2.27014CTRLversion:
10.
2.24195SerialNumber:0000000000000。