H3C ER3260G2 路由器
目录
1常见问题处理
1.1 管理密码丢失
1.2 恢复出厂设置
1.3 端口映射不成功
1.4 设置ARP双向绑定(针对客户端为静态分配地址的情况)
1.5 局域网部分或者全网PC掉线、无法访问Internet
1.6 上网速度慢,玩游戏卡
1.7 无法远程访问路由器
1.8 升级过程中出现问题解答
1.9 设备各指示灯含义
1.10 如何设置端口限速和网络连接数,并查看端口/IP流量
1.11 如何限制某些应用
1.12 如何划分VLAN,实现单臂路由,禁止网段间互访
1.13 IPSEC VPN典型组网配置
1.14 企业、网吧、酒店典型组网配置
1.15 设备支持哪些功能
1.16 如何抓包
2获取售后服务及相关资料
1 常见问题处理
1.1 管理密码丢失
1. 通过USB恢复默认密码
在登录页面点击“忘记密码”,按照提示下载如:ER8300G2_restore.txt( ER8300G2对应产品名),将该文件放入U盘(目前只支持FAT32格式的U盘)中,将U盘插入设备USB接口,设备登录密码恢复至默认密码。如不能正常下载上述文件,可手动创建上述文件,在文件第一行顶格输入restore password即可。
2. 通过串口更改新密码
将管理计算机的串口通过配置线缆与路由器的Console口相连,在命令行下输入password命令并回车,按照系统提示,输入新密码,并重新输入一次以确认即可。
恢复出厂设置。
1.2 恢复出厂设置
?登录Web页面,单击“恢复到出厂设置”中的<复原>按钮恢复设备到出厂设置(页面向导:设备管理→基本管理→配置管理)。
?管理计算机串口连接或Telnet到设备,命令行下输入restore default命令并回车,确认后,路由器将恢复到出厂设置并重新启动。
1.3 端口映射不成功
常见的端口映射不成功的原因及处理方法,如下:
1. 运营商原因
一般较常见的如80端口无法映射成功,内网访问正常。
处理方法:联系运营商解决或者将映射的外部端口更换为其他端口。
其他测试验证方法:可以选择将外部端口更换为其他端口(如8099)测试,远程访问时格式为:http://XXX.XXX.XXX.XXX:8099,测试是否访问正常来确认是否该原因引起。
2. 服务器配置原因
内网访问正常,但是外网通过端口映射访问不成功。
处理方法:请检查服务器配置,特别是安全策略或者防火墙设置,确认是否没有开放非本地网段的访问权限或者其他安全策略设置问题。
其他测试验证方法:可以采用某台XP系统的客户端主机开启远程协助(当然也同样需要先验证一下内网其他PC是否能远程登入)并在路由器上配置映射3389端口来验证路由器的端口映射功能是否正常。
3. 端口未全部映射
内网访问正常,一对一NAT也正常,但是外网通过端口映射访问不成功。
处理方法:某些应用(特别如语音、监控系统等)在实际工作过程中需要用到多个端口通信,而客户实际可能只配置了一个或者部分端口的映射,请抓包确认整个通信过程中用到的所有端口,并确认是否均已设置映射。
其他测试验证方法:尝试将服务器设置为DMZ主机或者配置一对一NAT(外网地址不能是WAN口地址)验证是否正常来确认是否该原因引起。
4. 配置问题
客户在防火墙、MAC过滤等规则中添加了过滤规则,阻止了映射端口或者映射服务器的正常通信。
处理方法:检查路由器规则类相关配置,查看是否将映射的端口或者服务器过滤。
其他测试验证方法:可采用禁用防火墙、MAC过滤等功能来排查,常见的为防火墙配置了入站或者出站通信策略引起。
1.4 设置ARP双向绑定(针对客户端为静态分配地址的情况)
1. 路由器端ARP绑定
将局域网中的主机ARP绑定为静态表项,具体方法见手册(页面向导:安全专区→ARP安全→ARP绑定)。
2. 主机端ARP绑定
主机端(开始→运行→CMD窗口)将路由器地址添加到静态ARP表中,命令:arp –s 路由器的IP 地址路由器MAC地址
1.5 局域网部分或者全网PC掉线、无法访问Internet
1. 受到ARP攻击或者ARP欺骗导致(此类情况最普遍)
(1)掉线的PC Ping不通网关地址;
(2)掉线的PC能ping通网关地址,但是有丢包;
(3)掉线PC ping不通网关,Ping主交换机下的其他PC或者服务器能通。
处理方法:
如果全网掉线的PC无法ping通网关,无法登入网关,需要先拔掉所有WAN口所接的网线,即对应的上行链路,再尝试ping网关或者登录网关,以此来确定是内网问题还是外网攻击问题引起。
?如果此时能ping通网关,那么很有可能是外网攻击导致,请确认设备相关防攻击功能是否开启,WAN口运营商侧网关ARP是否已经静态绑定,并联系运营商协助解决。
?如果此时掉线PC依然无法ping通网关,则可能为内网问题,请参考如下步骤:
1、在掉线PC上MS-DOS窗口通过arp –d清掉当前ARP信息,arp -s来重
新绑定网关的ARP。例如arp –s 192.168.1.1 00-23-89-32-35-67(MAC地址
为路由器LAN口对应的MAC)。
2、请检查路由器ARP绑定设置是否绑定了内网各主机的ARP信息,可以采
用静态和动态绑定功能实现,具体配置步骤参见产品手册!(页面向导:安全专
区→ARP安全→ARP绑定)
2. 路由器下挂交换机的问题导致
掉线PC ping网关不通,Ping主交换机下的其他PC或者服务器也不通。
处理方法:
(1)掉线PC长ping网关时,请观察与掉线PC相连的各级交换机各端口指示灯的状
态,如果交换机端口依然常亮,代表交换机或者相连网线存在问题。
(2)如果是全网掉线,需要特别注意主交换机的各个端口指示灯情况(特别是连接路
由器的端口指示灯)是否正常闪烁。必要时可以重启主交换机观察是否能够恢
复。
(3)掉线PC长ping网关时,请观察路由器与主交换机级联的路由器LAN端口指示
灯是否正常闪烁,如果指示灯常亮,可以尝试更换一个LAN观察,如果还是
常亮,掉线PC ping不通网关,请直接将一台PC接在路由器LAN口,拔掉
路由器与交换机级联的端口,PC尝试ping网关地址,如果此时能ping通,
说明非路由器问题。如果此时还是依然ping不通网关,并确认PC的IP地址
配置与路由器管理地址在同一网段,那可能就是路由器异常了,必要时可以重
启路由器观察是否能够恢复。
(4)另外如果是全网掉线,可以尝试在某台掉线PC上长ping网关地址,然后逐一插
拔主交换机上连接分交换机的各个端口网线,观察掉线PC能否ping通网关,
以此来判断是局域网内哪台交换机底下的PC出现异常导致。
3. 病毒等大流量攻击导致
(1)请查看路由器上是否已经启用了IP流量限制(页面向导:QoS设置→流量管理
→IP流量限制)。QoS的具体限速值选择方法参考“1.10 如何设置端口限速和
网络连接数,并查看端口/IP流量”关于端口限速的设置问题。
(2)查看路由器上是否已经启用了网络连接数限制(页面向导:QoS设置→连接限制
→网络连接限数)。典型值为每IP分配1000-2000。
4. 掉线PC异常流量太大或者中毒,被路由器加入到黑名单中导致
登录路由器查看黑名单列表中是否存在掉线PC(页面向导:安全专区→防攻击→异常流量防护),如果存在,选中它并将其删除或等待生效时间之后再观察是否恢复正常,或者可以选择安全等级为中,即将主机的上行流量控制在10Mbps范围内。
5. 运营商网络问题导致
能Ping通同一交换机下的其他PC、主交换机下的服务器地址和路由器地址,但Ping 不通路由器的上层运营商网关或者DNS地址,通过路由器中的诊断工具ping DNS 和外网地址也不通。
处理方法:运营商侧网络可能出现了问题,需要联系运营商进行确认解决。
6. 域名解析服务器(DNS)异常导致
能Ping通网关地址,QQ也能上,或者下载正常,但是所有网页打不开。
处理方法:可能是域名解析服务器(DNS)异常导致,可以将掉线PC的DNS地址静态设置为运营商提供的DNS地址观察,或者可以更换一个新的DNS地址观察能否恢复。
1.6 上网速度慢,玩游戏卡
1. QoS限速不合理(限速过大,使得部分PC占用过多带宽或限速过小)导致
确认是否在路由器上启用了IP流量限制,并设置了合适的限速值,路由器的各WAN 口带宽是否已经填入了实际带宽值(页面向导:QoS设置→流量管理→IP流量限制)。
不同应用场合下的推荐设置及描述请参见下表:
2. 路由配置不合理导致(使用双线路上网时)
该问题一般出现在双WAN的路由器且两条线路运营商不同的情况下,且有以下现象:?访问部分门户网站慢
?部分游戏卡
处理方法:
(1)一般来说,需要将双WAN的均衡模式选择为手动均衡,默认链路选择当地较为
稳定的运营商线路或者带宽较大的线路。均衡路由表里需要导入另一条运营商链路对应的路由表(常用路由表可在H3C官方网站中获取:首页>服务支持>软件下载>路由器>ER双WAN路由器基础路由表)。
(2)使用tracert命令在游戏卡或者上网慢的主机上查看到达该网站或者该游戏服务
器的路由是从哪个接口出去的(参考步骤(4))。(例如:某网站的地址为电信地址,而路由却从连接联通线路的WAN接口出去了,则只需要添加一条静态路由(页面向导:高级设置→路由设置→静态路由),使其从连接电信线路的WAN接口出去便可以解决此问题。)
(3)北方部分用户使用双WAN路由器按步骤(1)正确配置后,部分游戏或者网页(如
QQ类等),仍存在慢或者卡的问题,查看路由,确实走对了链路,这时需要将游戏卡或者网页慢的服务器地址(一般为电信地址)找出来(参考步骤(4)),通过设置静态路由或者策略路由使其从联通接口出去即可解决。
(4)找出对应网站的服务器地址的方法:开始菜单→运行→输入“CMD”,在弹出窗
口输入ping 访问慢的网站地址即可,例如ping https://www.360docs.net/doc/ff1884979.html, 。接下来显示的IP地址即为该网站对应的服务器地址。找出对应游戏服务器地址的方法:在某PC上退出其他所有应用程序,只打开该游戏,然后在系统开始菜单→运行→输入“CMD”,在弹出窗口输入“netstat –bn”,找到对应游戏进程的Foreign Address地址,即为该游戏所对应的服务器地址。(使用该方法还可以快速找到游戏对应端口,在一些企业中可以将该游戏端口通过防火墙功能封掉,参见1.13)
(5)查看对应地址属于哪个运营商的方法:此类查询网站很多,直接在百度里搜索IP
地址查询即可找到。如https://www.360docs.net/doc/ff1884979.html,。
3. 路由器受攻击、负荷太重或下挂交换机级联端口出现拥塞导致
Ping路由器LAN接口地址延时很大或有丢包。
处理方法:查看CPU和内存的利用率情况(页面向导:系统监控→运行信息→性能监视)。
?如果CPU利用率很高,很可能是内/外网中存在攻击或者路由器负荷太重;
?如果CPU利用率正常,那可能就是内网的问题,查看下接交换机是否负荷太重或者网线干扰、水晶头松动等其他原因。
4. 路由器上层问题导致
Ping路由器LAN口地址、WAN口地址正常,但Ping打开很慢的网站或者Ping 玩游戏卡的服务器地址出现延时很大或丢包的现象,使用路由器自带的维护工具Ping打开很慢的网站或者Ping玩游戏卡的服务器地址出现同样的现象。
处理方法:
(1)路由器上层设备(可能是光猫或者其他设备)出现异常,可尝试重启或者更换观
察。
(2)运营商网络侧可能出现了网络拥塞等问题,需要联系运营商进行确认解决。
(3)游戏或者网站服务器满负荷导致,需要关注游戏官方网站的公告或者咨询游戏服
务商。
1.7 无法远程访问路由器
(1)请通过本地管理计算机登录路由器确认是否开启远程访问功能,并确认远程访问
的计算机是否在远程管理PC的IP范围内(页面向导:设备管理→用户管理→
远程管理)。
(2)请确认远程访问Web的格式是否正确,正确的格式为:
http://xxx.xxx.xxx.xxx:port或https://xxx.xxx.xxx.xxx:port,例如
http://221.23.212.12:8080。
(3)同一时间,路由器最多允许五个用户远程通过Web或Telnet进行管理和设置,
请确认远程访问的计算机数量是否达到最大值。
1.8 升级过程中出现问题解答
升级方法如下:
(1)升级前请备份当前版本的配置文件。在升级软件期间,请确保网络稳定,不要断
电。
(2)下载最新版本软件。最新版本下载地址:https://www.360docs.net/doc/ff1884979.html,网站,首页→服务支
持→软件下载→路由器→H3C ER系列路由器。
(3)设备升级。登录路由器管理页面,进入备管理→基本管理→软件升级页面,点击<
浏览>按钮选择下载好的.bin文件(下载的文件可能压缩包,需要解压缩获
取.bin文件),点击<升级>按钮等待1~3分钟后设备自动重启,升级过程中,
不要随便切换网页,直至完成升级。
升级过程中提示错误时,处理方法如下:
?提示错误文件:请确认升级选中的文件是否为.bin的设备版本文件。
?提示上传文件内容错误:请确认下载的版本文件名表示的型号是否与当前升级的设备型号一致,下载的版本文件是否做过改动。
1.9 设备各指示灯含义
1. 正常的设备指示灯状态说明
2. 电源指示灯(POWER灯)不亮
(1)请检查电源线是否连接正确。
(2)请检查电源线插头是否插紧,无松动现象。
(3)送当地授权服务中心(ASC)检测是否为设备硬件故障。
3. 不插网线各端口链路状态指示灯(Link/Act灯)常亮或者闪烁
(1)重启设备观察是否恢复。
(2)送当地授权服务中心(ASC)检测是否为设备硬件故障。
4. WAN、LAN口链路状态指示灯(Link/Act灯)不亮
(1)请检查网线与路由器的WAN、LAN接口连接是否卡紧,无松动现象。
(2)请重新连接网线两端的接口或重新按标准568B线序制作水晶头后再尝试连接。
(3)请检查是否网线出现故障:可将网线的两端均插在路由器的两个LAN接口上,两
个接口对应的指示灯都亮表示网线正常;否则网线可能存在问题,请更换一根
之前使用正常的网线来重新尝试。
(4)请检查端口的连接速率和双工模式配置是否有误:进入路由器Web设置页面,将
WAN、LAN的连接速率和双工模式设置成和上行口、下行交换机端口一致,
例如都设置为100M全双工观察(推荐两端均配置为自适应,即Auto模式。
页面向导:接口设置→WAN设置→网口模式;接口设置→LAN设置→端口设
置)。
1.10 如何设置端口限速和网络连接数,并查看端口/IP流量
1. 每IP流量限制
根据二八理论,即80%的带宽被20%的人占用来计算,而且占用的带宽大多为下行带宽,上行带宽一般选择下行带宽的一半或者2/3左右。
例如运营商带宽为10Mbps,带机量100台PC,80%的带宽就是8Mbps,20%的人就是20个人,那么8Mbps*1000=8000kbps(实际上应该乘以1024,这里简单以1000计算),8000kbps/20=400kbps,则理论值为每IP需要下行限速400kbps,上行值为200~300kbps,当然该计算值是理论值,需要根据实际的网络使用量来适当变化。如果是ADSL宽带类型客户,则上行带宽建议限制为100kbps,且不推荐允许每IP通道借用空闲的带宽。如果企业、酒店等环境,平时使用网络的时间或者占用的流量不是很大,那么可以适当将限速值调高,如下行600kbps,上行400kbps,并开启允许每IP通道借用空闲的带宽。如网吧环境,带宽使用量较大,则需要增加带宽或者较少带机量来提高客户网速的体验,保证游戏和视频的正常工作。网吧一般建议每IP限速下行800kbps,上行500kbps,开启弹性带宽功能,即允许每IP 通道借用空闲的带宽。双WAN设备需要针对不同WAN口计算不同的限速值予以限制,最终主机获得的带宽为双WAN带宽限速总和。
2. 网络连接数
一般建议每IP设置在1000~2000即可保证正常应用访问。
3. 查看端口/IP流量
(1)查看每个物理端口流量:系统监控→流量监控→端口流量。
(2)查看局域网内各在线主机通过WAN口的流量:系统监控→流量监控→IP流量
(3)实时查看WAN口流量:系统监控→流量监控→流量监视
1.11 如何限制某些应用
1. 限制某些游戏(通常采用封游戏端口的方法)
以诛仙游戏(通信端口为29000,某款游戏的通信端口需要抓包获取,如何抓包请参见“1.16 如何抓包”)为例介绍:
(1)开启防火墙功能(页面向导:安全专区→防火墙→防火墙设置)。
(2)设置出站通讯策略:添加如下规则,禁止所有IP发往目的端口为29000的UDP
报文通过(页面向导:安全专区→防火墙→出站通信策略),如下图所示。
2. 限制访问某些网站
(1)通过设备的网站过滤功能实现:
在路由器上设置让局域网内的主机仅能或不能访问固定的某些网站(页面向导:安全专区→接入控制→网站过滤)。
(2)通过防火墙的出站通信策略实现部分用户无法访问部分网站。
首先通过ping需要过滤的网站域名,获取到该网站的服务器地址,然后再添加规则。
如:禁止源IP地址范围为192.168.1.2~192.168.1.200的客户端访问目的服务器122.227.209.17 目的端口为80的TCP报文通过。(注意:部分大型网站在某个地区有多个地址,或者在多个地区都有服务器地址,可以尝试禁止目的服务器地址所在的网段后,再通过上述办法找出能ping通的其他服务器地址,再添加规则过滤即可。)
3. 限制某些IP不能上外网
?勾选仅允许DHCP服务器分配的客户端访问外网,不在路由器DHCP服务器分配的客户列表中的用户将无法访问外网(页面向导:安全专区→接入控制→IPMAC过滤)。
?勾选仅允许ARP静态绑定的客户端访问外网,将客户端ARP绑定为静态表项,不在ARP静态绑定表中的客户端将无法访问外网(页面向导:安全专区→接入控制→IPMAC过滤)。
1.12 如何划分VLAN,实现单臂路由,禁止网段间互访
1. 组网图
2. 组网需求
如上图所示,无管理Switch A连接ER路由器的LAN1接口,有管理Switch B连接LAN2接口,实现Switch A下所有客户端获取到VLAN2的地址,Switch B下存在两个VLAN(VLAN3:192.168.3.0/24,VLAN4:192.168.4.0/24)对应两个部门,部门之间禁止互访。
3. 配置步骤
(1)新增三个VLAN(页面向导:接口设置→VLAN设置→VLAN设置):
? VLAN2:IP地址填192.168.2.1(即VLAN2的网关地址),子网掩码:255.255.255.0。
? VLAN3 IP为192.168.3.1,VLAN4 IP为192.168.4.1,子网掩码均为255.255.255.0。
(2)编辑LAN1口配置(页面向导:接口设置→VLAN 设置→Trunk口设置),双击
LAN1口所在条目进入编辑状态,将LAN1口的PVID和允许通过的VLAN均
改为2。(如果其他LAN口同样接无管理设备实现类似功能可参考此步。)
(3)编辑LAN2口配置,允许通过的VLAN改为3~4。Switch B的上行端口设置为
Trunk,允许VLAN3、VLAN4通过即可。(如果有管理交换机下存在更多的
VLAN,则只需添加到允许通过的VLAN中即可。)
(4)如果局域网内用户通过动态DHCP获取对应网段的IP,需要通过页面向导:接口
设置→DHCP设置→DHCP设置,添加各个VLAN网段对应的DHCP地址池。
(5)配置VLAN3和VLAN4网关不能互访,在设备防火墙功能的出站通信策略中增加
一条规则,禁止源地址范围为192.168.3.2-192.168.3.254访问目的地址范围为
192.168.4.2-192.168.4.254的所有服务.
1.13 IPSEC VPN典型组网配置
VPN 设置请参考《H3C SMB Router IPSec VPN配置指导》和用户手册(获取地址:https://www.360docs.net/doc/ff1884979.html,→首页→服务支持→文档中心→路由器→H3C ER3100 企业级宽带路由器→典型配置→《H3C SMB Router IPSec VPN配置指导》)。
1.14 企业、网吧、酒店典型组网配置
典型组网配置请参考《H3C ER系列企业级路由器用户手册》中第12章和第13章。
(获取地址:https://www.360docs.net/doc/ff1884979.html,→首页→服务支持→文档中心→路由器→H3C ER3100 企业级宽带路由器→《ER系列企业级路由器用户手册》)。
视频配置案例参考《H3C ER系列路由器视频典型配置指导》(获取地址:https://www.360docs.net/doc/ff1884979.html,→首页→服务支持→文档中心→路由器→H3C ER系列路由器→H3C ER6300千兆路由器→视频配置案例→《H3C ER系列路由器视频典型配置指导》)。
1.15 设备支持哪些功能
ER系列路由器支持的详细功能请参见各产品的版本说明书(获取路径:https://www.360docs.net/doc/ff1884979.html,→首页→服务支持→软件下载→路由器→H3C ER系列路由器,下载该产品的版本和版本说明书)。
1.16 如何抓包
以下简单介绍如何使用Wireshark1.4.2来抓取网络数据报文,以便更有效地分析网络故障。
(1)打开Wireshark抓包工具,键盘上按下Ctrl+I,打开选择抓包网卡页面,点击Start
按钮开始抓包。
(2)键盘上按下Ctrl+E选择终止抓包,按下Ctrl+S保存刚才抓取到的数据报文到本
地,注意抓包时间尽量不要过长,以免数据报文太大,不方便发送给技术工程
师协助判断。终止后再按Ctrl+E又开始抓包,如遇弹出页面选择
抓包信息。
(3)抓包技巧:关键是要将异常现象的整个过程抓捕下来。如网页打不开,先打开抓
包软件开始抓包,再尝试访问某个固定的网页两次,复现故障现象,然后再终
止抓包,并将获取到的数据报文保存或提供技术工程师分析。
(4)需将PC直接接在路由器的某个空闲LAN口,通过页面向导:接口设置→LAN
设置→端口镜像设置,将PC所接的LAN口勾选为镜像端口,WAN1、WAN2
口以及连接路由器的LAN口勾选为被镜像端口,TAG方式选择untagged,
将交互数据包镜像到PC上。这样就能使工程师快速找出问题原因所在。
2 获取售后服务及相关资料
1. 获取售后服务
表2-1 获取售后服务
2. 信息反馈方法
请在设备故障时收集故障相关信息,并将信息提供给H3C技术支持工程师协助分析。
表2-2 信息反馈
3. 获取资料及售后服务导航
如果您目前的网络环境与Internet连通,则可以使用下表中的各导航高效快捷地获取H3C官方网站(https://www.360docs.net/doc/ff1884979.html,)上的最新信息。
表2-3 资料及售后服务导航
CMSR系列路由器IPsec典型配置举例V
C M S R系列路由器I P s e c典型配置举例V 文件排版存档编号:[UYTR-OUPT28-KBNTL98-UYNN208]
1?简介 本文档介绍IPsec的典型配置举例。
2?配置前提 本文档适用于使用Comware V7软件版本的MSR系列路由器,如果使用过程中与产品实际情况有差异,请参考相关产品手册,或以设备实际情况为准。 本文档中的配置均是在实验室环境下进行的配置和验证,配置前设备的所有参数均采用出厂时的缺省配置。如果您已经对设备进行了配置,为了保证配置效果,请确认现有配置和以下举例中的配置不冲突。 本文档假设您已了解IPsec特性。 3?使用iNode客户端基于证书认证的L2TP over IPsec功能配置举例 3.1?组网需求 如所示,PPP用户Host与Device建立L2TP隧道,Windows server 2003作为CA服务器,要求: 通过L2TP隧道访问Corporate network。 用IPsec对L2TP隧道进行数据加密。 采用RSA证书认证方式建立IPsec隧道。 图1基于证书认证的L2TP over IPsec配置组网图 3.2?配置思路 由于使用证书认证方式建立IPsec隧道,所以需要在ike profile 中配置local-identity为dn,指定从本端证书中的主题字段取得 本端身份。 3.3?使用版本
本举例是在R0106版本上进行配置和验证的。 3.4?配置步骤 3.4.1?Device的配置 (1)配置各接口IP地址 #配置接口GigabitEthernet2/0/1的IP地址。
路由器端口详细解析
路由器网络接口解析大全(转贴)路由器网络接口解析大全 Router#show interface e0/0 Ethernet0/0 is up, line protocol is down Hardware is AmdP2, address is 0009.4375.5e20 (bia 0009.4375.5e20) Internet address is 192.168.1.53/24 MTU 1500 bytes, BW 10000 Kbit, DLY 1000 usec, reliability 172/255, txload 3/255, rxload 39/255 Encapsulation ARPA, loopback not set Keepalive set (10 sec) ARP type: ARPA, ARP Timeout 04:00:00 Last input never, output 00:00:07, output hang never Last clearing of "show interface" counters never Input queue: 0/75/0/0 (size/max/drops/flushes); Total output drops: 0 Queueing strategy: fifo Output queue :0/40 (size/max) 5 minute input rate 0 bits/sec, 0 packets/sec 5 minute output rate 0 bits/sec, 0 packets/sec 0 packets input, 0 bytes, 0 no buffer Received 0 broadcasts, 0 runts, 0 giants, 0 throttles 0 input errors, 0 CRC, 0 frame, 0 overrun, 0 ignored 0 input packets with dribble condition detected 50 packets output, 3270 bytes, 0 underruns 50 output errors, 0 collisions, 2 interface resets 0 babbles, 0 late collision, 0 deferred 50 lost carrier, 0 no carrier 0 output buffer failures, 0 output buffers swapped out (1) 接口和活动状态 在上面的显示中,内容表示硬件接口是活动的,而处理行协议的软件过程相信次接口可用。如果路由器操作员拆卸此硬件接口,第一个字段将显示信息is administratively down.如果路由器在活动间隔内收到5000个以上的错误,单词Disabled将出现在此字段中,以显示连路由器自动禁用此端口。行协议字段还显示以前提到的三个描述之一:up 、down、administratively down.如果字段项是up,则表示处理行协议和软件过程相信此接口可用,因为她正在接收keepalives的目的也是如此,其他设备可以确定某个空闲连接是否仍然活动。对于以太网接口,Keepalives的默认值是10s。我们不久将注意到,Keepalives设置可以通过为特定接口使用show interfaces命令来获得。可以用keepalive interface 命令来改变keepalives 设置。此命令的格式如下: Keepalive seconds (2) 硬件字段为你提供接口的硬件类型。在以上的例子中,硬件是CISCO扩展总线(CxBus)以太网,即接口处理器的533-Mbps数据总线。因此,硬件通知我们高速CxBus接口处理器用于支持以太网连接。同时还要注意显示字段包括接口的Mac地址。Mac是48位长的。因为Mac地址的头24位是表示生产厂家ID,所以十六进制数00-10-79是由IEEE分配给Csico的标识符。 (3) Internet地址 如果某个接口是为IP路由配置,那么将为它分配一个Internet地址。此地址后面是他的子网掩码。IP地址是205.141.192.1/24 。反斜杠(/)后面表示此地址的头24位表示网络,他等于子网掩码255.255.255.0。
H3C IRF堆叠典型配置举例
典型配置举例一IRF检测方式)1.1.1 IRF典型配置举例(LACP MAD 1. 组网需求现的接入需求。由于公司人员激增,接入层交换机提供的端口 数目已经不能满足PC 需要在保护现有投资的基础上扩展端口接入数量,并要求网络易管理、易维护。组网图2. 典型配置组网图(LACP MAD1-13 IRF检测方式)图 3. 配置思路 Device A提供的接入端口数目已经不能满足网络需求,需要另外增加一台设备?Device B。(本文以两台设备组成IRF为例,在实际组网中可以根据需要,将多台设备组成IRF,配置思路和配置步骤与本例类似) 鉴于第二代智能弹性架构IRF技术具有管理简便、网络扩展能力强、可靠性高等?优点,所以本例使用IRF技术构建接入层(即在Device A和Device B上配置IRF功能)。 为了防止万一IRF链路故障导致IRF分裂、网络中存在两个配置冲突的IRF,需?要启用MAD 检测功能。因为接入层设备较多,我们采用LACP MAD检测。 4. 配置步骤 为便于区分,下文配置中假设IRF形成前Device A的系统名称为DeviceA,Device B的系统名称为Device B;中间设备Device C的系统名称为DeviceC。 (1)配置设备编号 # Device A保留缺省编号为1,不需要进行配置。 。2上将设备的成员编号修改为Device B在#
H3C S5600系列交换机典型配置举例
S5600系列交换机典型配置举例 2.1.1 静态路由典型配置 1. 组网需求 (1)需求分析 某小型公司办公网络需要任意两个节点之间能够互通,网络结构简单、稳定, 用户希望最大限度利用现有设备。用户现在拥有的设备不支持动态路由协议。 根据用户需求及用户网络环境,选择静态路由实现用户网络之间互通。 (2)网络规划 根据用户需求,设计如图2-1所示网络拓扑图。 图2-1 静态路由配置举例组网图 2. 配置步骤 交换机上的配置步骤: # 设置以太网交换机Switch A的静态路由。
[SwitchB] ip route-static 1.1.1.0 255.255.255.0 1.1.3.1 # 设置以太网交换机Switch C的静态路由。
H3C MSR系列路由器IPsec典型配置举例(V7)
1 简介 本文档介绍IPsec的典型配置举例。 2 配置前提 本文档适用于使用Comware V7软件版本的MSR系列路由器,如果使用过程中与产品实际情况有差异,请参考相关产品手册,或以设备实际情况为准。 本文档中的配置均是在实验室环境下进行的配置和验证,配置前设备的所有参数均采用出厂时的缺省配置。如果您已经对设备进行了配置,为了保证配置效果,请确认现有配置和以下举例中的配置不冲突。 本文档假设您已了解IPsec特性。 3 使用iNode客户端基于证书认证的L2TP over IPsec功能配置举例 3.1 组网需求 如图1所示,PPP用户Host与Device建立L2TP隧道,Windows server 2003作为CA服务器,要求: ?通过L2TP隧道访问Corporate network。 ?用IPsec对L2TP隧道进行数据加密。 ?采用RSA证书认证方式建立IPsec隧道。 图1 基于证书认证的L2TP over IPsec配置组网图 3.2 配置思路 由于使用证书认证方式建立IPsec隧道,所以需要在ike profile中配置local-identity 为dn,指定从本端证书中的主题字段取得本端身份。 3.3 使用版本 本举例是在R0106版本上进行配置和验证的。 3.4 配置步骤 3.4.1 Device的配置 (1) 配置各接口IP地址
# 配置接口GigabitEthernet2/0/1的IP地址。
路由器网络接口解析--fastethernet
Router#show interface e0/0 Ethernet0/0 is up, line protocol is down Hardware is AmdP2, address is 0009.4375.5e20 (bia 0009.4375.5e20) Internet address is 192.168.1.53/24 MTU 1500 bytes, BW 10000 Kbit, DL Y 1000 usec, reliability 172/255, txload 3/255, rxload 39/255 Encapsulation ARPA, loopback not set Keepalive set (10 sec) ARP type: ARPA, ARP Timeout 04:00:00 Last input never, output 00:00:07, output hang never Last clearing of "show interface" counters never Input queue: 0/75/0/0 (size/max/drops/flushes); Total output drops: 0 Queueing strategy: fifo Output queue :0/40 (size/max) 5 minute input rate 0 bits/sec, 0 packets/sec 5 minute output rate 0 bits/sec, 0 packets/sec 0 packets input, 0 bytes, 0 no buffer Received 0 broadcasts, 0 runts, 0 giants, 0 throttles 0 input errors, 0 CRC, 0 frame, 0 overrun, 0 ignored 0 input packets with dribble condition detected 50 packets output, 3270 bytes, 0 underruns 50 output errors, 0 collisions, 2 interface resets 0 babbles, 0 late collision, 0 deferred 50 lost carrier, 0 no carrier 0 output buffer failures, 0 output buffers swapped out (1) 接口和活动状态 在上面的显示中,内容表示硬件接口是活动的,而处理行协议的软件过程相信次接口可用。如果路由器操作员拆卸此硬件接口,第一个字段将显示信息is administratively down.如果路由器在活动间隔内收到5000个以上的错误,单词Disabled将出现在此字段中,以显示连路由器自动禁用此端口。行协议字段还显示以前提到的三个描述之一:up 、down、administratively down.如果字段项是up,则表示处理行协议和软件过程相信此接口可用,因为她正在接收keepalives的目的也是如此,其他设备可以确定某个空闲连接是否仍然活动。对于以太网接口,Keepalives的默认值是10s。我们不久将注意到,Keepalives设置可以通过为特定接口使用show interfaces命令来获得。可以用keepalive interface 命令来改变keepalives 设置。此命令的格式如下: Keepalive seconds (2) 硬件字段为你提供接口的硬件类型。在以上的例子中,硬件是CISCO扩展总线(CxBus)以太网,即接口处理器的533-Mbps数据总线。因此,硬件通知我们高速CxBus接口处理器用于支持以太网连接。同时还要注意显示字段包括接口的Mac地址。Mac是48位长的。因为Mac地址的头24位是表示生产厂家ID,所以十六进制数00-10-79是由IEEE分配给Csico 的标识符。 (3) Internet地址 如果某个接口是为IP路由配置,那么将为它分配一个Internet地址。此地址后面是他的子网
路由器的telnet远程登录配置实验报告
实验二路由器的telnet远程登录配置 实验目标 掌握采用Telnet方式配置路由器的方法。 实验背景 你是某公司新进的网管,公司要求你熟悉网络产品,首先要求你登录路由器,了解、掌握路由器的命令行操作; 作为网络管理员,你第一次在设备机房对路由器进行了初次配置后,希望以后在办公室或出差时也可以对设备进行远程管理,现要在路由器上做适当配置。 实验设备 Router _2811 1台;PC 1台;交叉线;配置线 说明:交叉线:路由器与计算机相连路由器与交换机相连 直连线:计算机与交换机相连 PC IP: Submask: ROUTER 0 1、Fa 0/0 给PC机配置IP地址 2、通过PC机的超级终端程序terminal登陆路由器 3、询问你是否使用对 话形式的配置模式时输 入NO
4、在全局模式下更改名字 5、设置特权模式密码 6、输入exit直到退回到用户模式 7、设置完密码从用户模式进入到特权模式时需要输入密码
8、进入远程登录用户管理视图,0-4个用户 9、设置telnet远程登录密码,密码明码显示 10、打开登录认证功能 11、退回到全局模式,进入路由器0模块第0个端口 12、该端口配置相应的IP地址和子网掩码 13、端口激活 14、配置IP地址,已接通
15、查看本机TCP/IP配置情况(IP地址、子网掩码、网关、MAC地址) 16、检查是否可以ping 通 17、远程登录到路由器上
18、显示路由器当前配置情况 19、保存当前配置
20、查看当前配置 21、重启路由器,重新进入看看是否可以远程登录上路由器
路由器接口详细图解
路由器接口详细图解 路由器所在的网络位置比较复杂,既可是内部子网边缘,也可位于内、外部网络边缘。同时为了实现强大的适用性,它需要连接各种网络,这样,它的接口也就必须多种多样。对于这些,不要说一般的网络爱好者,就连许多网管人员都无法说清楚。为此笔者向大家全面介绍路由器的各种接口及连接方法。 本文快速导读 接口篇 第一页局域网接口 第二页广域网接口 第三页路由器配置接口 连接篇 第四页路由器与局域网接入设备之间的连接 第五页路由器与Internet接入设备的连接 第六页配置端口连接方式 一、路由器接口 路由器具有非常强大的网络连接和路由功能,它可以与各种各样的不同网络进行物理连接,这就决定了路由器的接口技术非常复杂,越是高档的路由器其接口种类也就越多,因为它所能连接的网络类型越多。路由器的端口主要分局域网端口、广域网端口和配置端口三类,下面分别介绍。 1. 局域网接口 常见的以太网接口主要有AUI、BNC和RJ-45接口,还有FDDI、ATM、千兆以太网等都有相应的网络接口,下面分别介绍主要的几种局域网接口。 (1)A UI端口 AUI端口它就是用来与粗同轴电缆连接的接口,它是一种“D”型15针接口,这在令牌环网或总线型网络中是一种比较常见的端口之一。路由器可通过粗同轴电缆收发器实现与10Base-5网络的连接。但更多的则是借助于外接的收发转发器(AUI-to-RJ-45),实现与10Base-T以太网络的连接。当然,也可借助于其他类型的收发转发器实现与细同轴电缆(10Base-2)或光缆(10Base-F)的连接。AUI接口示意图如图1所示。 此主题相关图片如下:
(2).RJ-45端口 RJ-45端口是我们最常见的端口了,它是我们常见的双绞线以太网端口。因为在快速以太网中也主要采用双绞线作为传输介质,所以根据端口的通信速率不同RJ-45端口又可分为10Base-T网RJ-45端口和100Base-TX网RJ-45端口两类。其中,10Base-T网的RJ-45 端口在路由器中通常是标识为“ETH”,而100Base-TX 网的RJ-45端口则通常标识为“10/100bTX”。 此主题相关图片如下: 如图2所示为10Base-T 网RJ-45端口,而图3所示的为10/100Base-TX网RJ-45端口。其实这两种RJ-45端口仅就端口本身而言是完全一样的,但端口中对应的网络电路结构是不同的,所以也不能随便接。 此主题相关图片如下: (3).SC端口 SC端口也就是我们常说的光纤端口,它是用于与光纤的连接。光纤端口通常是不直接用光纤连接至工作站,而是通过光纤连接到快速以太网或千兆以太网等具有光纤端口的交换机。这种端口一般在高档路由器才具有,都以“100b FX”标注,如图4所示。 此主题相关图片如下: 2. 广域网接口 在上面就讲过,路由器不仅能实现局域网之间连接,更重要的应用还是在于局域网与广域网、广域网与广域网之间的连接。但是因为广域网规模大,网络环境复杂,所以也就决定了路由器用于连接广域网的
H3C路由器配置实例
通过在外网口配置nat基本就OK了,以下配置假设Ethernet0/0为局域网接口,Ethernet0/1为外网口。 1、配置内网接口(E t h e r n e t0/0):[M S R20-20]i n t e r f a c e E t h e r n e t0/0 [M S R20-20 2、使用动态分配地址的方式为局域网中的P C分配地址[M S R20-20]d h c p s e r v e r i p-p o o l 1 [M S R20-20-d h c p-p o o l-1]n e t w o r k2 4 [M S R20-20 [M S R20-20 3、配置n a t [M S R20-20]n a t a d d r e s s-g r o u p1公网I P公网I P [MSR20-20]acl number 3000 [MSR20-20-acl-adv-3000]rule 0 permit ip 4、配置外网接口(Ethernet0/1) [MSR20-20] interface Ethernet0/1 [MSR20-20- Ethernet0/1]ip add 公网IP [MSR20-20- Ethernet0/1] nat outbound 3000 address-group 1 5.加默缺省路由 [MSR20-20]route-stac 0.0.0外网网关 总结: 在2020路由器下面, 配置外网口, 配置内网口, 配置acl 作nat, 一条默认路由指向电信网关. ok! Console登陆认证功能的配置 关键词:MSR;console; 一、组网需求: 要求用户从console登录时输入已配置的用户名h3c和对应的口令h3c,用户名和口令正确才能登录成功。 二、组网图: 三、配置步骤:
内网通过路由器端口映射实现外网的远程访问
宽带路由器端口映射远程控制电脑 利用宽带路由器端口映射或者是DMZ主机,再配合微软自带的终端服务实现在家里远程操作办公室电脑。 图解宽带路由器端口映射远程控制电脑,关于很多的宽带路由器端口映射问题,都是涉及到远程控制电脑的,所以要先了解远程控制电脑的一些基本知识才能为以后的日志配置做好准备。 宽带路由器端口映射方案一:由于小的电脑在局域网,只有利用反弹型远程控制软件(如:灰鸽子等);但是,考虑到它属于后门程序,使用也比较复杂,便放弃这个方案。 宽带路由器端口映射方案二:利用宽带路由器端口映射或者是DMZ 主机,再配合微软自带的终端服务实现在家里远程操作办公室电脑。宽带路由器端口映射实现步骤: 1、查看小办公室电脑IP网关地址(一般情况下网关地址就是路由器LAN口地址,这个就是要访问的网电脑),在浏览器里面输入192.168.1.1。输入相应的用户以及密码进入路由器(默认情况下都是admin),如下图所示:
2、依次点击网络参数——WAN口设置。一般情况下WAN口连接类型是PPPoE,请注意选定“自动连接,在开机和断线后自动进行连接”,再点击保存,如下图所示:
3、为了方便,不使用第二步,直接点击设置向导:如下图 点击下一步,出现: 如果是宽带拨号上网选择第二个,PPPoE(ADSL虚拟拨号),下一步 输入上网账号和密码:
输入完成,点击下一步,设置无线上网账号和密码: 完成: 4、接下来设置路由器映射: 依次点击转发规则——虚拟服务器,添加端口和IP地址
继续添加远程桌面端口3389。 同时,还可以通过DMZ主机实现;但是,这个方法有很大的风险,容易受到来自外部的攻击。打开DMZ主机的方法如下;依次点击转发规则——DMZ主机,填写相应的IP地址,并勾选启用,如下图所示:
路由器接口及连接-初学者必备
全面图解路由器接口及连接 路由器所在的网络位置比较复杂,既可是内部子网边缘,也可位于内、外部网络边缘。同时为了实现强大的适用性,它需要连接各种网络,这样,它的接口也就必须多种多样。对于这些,不要说一般的网络爱好者,就连许多网管人员都无法说清楚。为此笔者向大家全面介绍路由器的各种接口及连接方法。 本文快速导读 接口篇 第一页局域网接口 第三页广域网接口 第六页路由器配置接口 连接篇 第七页路由器与局域网接入设备之间的连接 第八页路由器与Internet接入设备的连接 第十页配置端口连接方式 一、路由器接口 路由器具有非常强大的网络连接和路由功能,它可以与各种各样的不同网络进行物理连接,这就决定了路由器的接口技术非常复杂,越是高档的路由器其接口种类也就越多,因为它所能连接的网络类型越多。路由器的端口主要分局域网端口、广域网端口和配置端口三类,下面分别介绍。 1. 局域网接口 常见的以太网接口主要有AUI、BNC和RJ-45接口,还有FDDI、ATM、千兆以太网等都有相应的网络接口,下面分别介绍主要的几种局域网接口。 (1)AUI端口 AUI端口它就是用来与粗同轴电缆连接的接口,它是一种“D”型15针接口,这在令牌环网或总线型网络中是一种比较常见的端口之一。路由器可通过粗同轴电缆收发器实现与 10Base-5网络的连接。但更多的则是借助于外接的收发转发器(AUI-to-RJ-45),实现与 10Base-T以太网络的连接。当然,也可借助于其他类型的收发转发器实现与细同轴电缆 (10Base-2)或光缆(10Base-F)的连接。AUI接口示意图如图1所示。 此主题相关图片如下: (2).RJ-45端口 RJ-45端口是我们最常见的端口了,它是我们常见的双绞线以太网端口。因为在快速以太网中也主要采用双绞线作为传输介质,所以根据端口的通信速率不同RJ-45端口又可分为 10Base-T网RJ-45端口和100Base-TX网RJ-45端口两类。其中,10Base-T网的RJ-45 端口在路由器中通常是标识为“ETH”,而100Base-TX 网的RJ-45端口则通常标识为 “10/100bTX”。 此主题相关图片如下:
史上最详细H3C路由器NAT典型配置案例
神马CCIE, H3CIE,HCIE等网络工程师日常实施运维必备,你懂的。 NAT典型配置举例 内网用户通过NAT地址访问外网(静态地址转换) 1. 组网需求 内部网络用户使用外网地址访问In ternet 。 2. 组网图 图1-5 静态地址转换典型配置组网图 3. 配置步骤 # 按照组网图配置各接口的IP地址,具体配置过程略。 # 配置内网IP地址到外网地址之间的一对一静态地址转换映射。
There are 1 in terfaces en abled with static NAT.
In terface: GigabitEthernet1/2 Total sessi ons found: 1 内网用户通过 NAT 地址访问外网(地址不重叠) 1. 组网需求 ? 某公司内网使用的IP 地址为。 ? 该公司拥有和两个外网 IP 地址。 需要实现,内部网络中网段的用户可以访问 In ternet ,其它网段的用户不能访问 In ternet 使用的外网地址为和。 2. 组网图 #通过以下显示命令,可以看到 [Router] display nat sessi on verbose In itiator: Source IP/port: ID: -/-/ Protocol: ICMP(1) Resp on der: Source IP/port: ID: -/-/ Protocol: ICMP(1) State: ICMP_REPLY Applicatio n: INVALID Start time: 2012-08-16 09:30:49 Interface(in): GigabitEthernet1/1 In terface(out): GigabitEthernet1/2 In itiator->Resp on der: Resp on der- >ln itiator: Host 访问某外网服务器时生成 Desti nati on IP/port: Desti nati on IP/port: TTL: 27s 5 packets 5 packets NAT 会话信息。 VPN in sta nce/VLAN ID/VLL VPN in sta nce/VLAN ID/VLL 420 bytes 420 bytes
H3C IPv6 静态路由配置
操作手册 IP路由分册 IPv6 静态路由目录 目录 第1章 IPv6静态路由配置......................................................................................................1-1 1.1 IPv6静态路由简介.............................................................................................................1-1 1.1.1 IPv6静态路由属性及功能........................................................................................1-1 1.1.2 IPv6缺省路由..........................................................................................................1-1 1.2 配置IPv6静态路由.............................................................................................................1-2 1.2.1 配置准备..................................................................................................................1-2 1.2.2 配置IPv6静态路由...................................................................................................1-2 1.3 IPv6静态路由显示和维护..................................................................................................1-2 1.4 IPv6静态路由典型配置举例(路由应用).........................................................................1-3 1.5 IPv6静态路由典型配置举例(交换应用).........................................................................1-5
如何在路由器上设置远程访问有固定公网IP
如何在路由器上设置远 程访问有固定公网I P Document number【SA80SAB-SAA9SYT-SAATC-SA6UT-SA18】
要实现远程访问,要在路由器上做端口映射。假如路由器用的公网IP是现在有一台摄像机IP是需要外网访问,它默认的HTTP端口是80,数据端口553,那么该如何实现呢 1.因为默认的80端口不能转发,所以首先修改这台摄像机的HTTP端口为801,方法如下: 2.修该后摄像机会重启,用DeviceSearch搜索工具,显示端口已经改成了801 接下来,需要在路由器上面进行设置,以TP—LINK路由器为例: 1.登陆到TP—LINK路由器。 2.打开虚拟服务器转发规则:
3.添加两个端口,一个是HTTP 801,一个是数据端口553: 此处的端口要和摄像机修改后的数据端口相一致,553端口也要转发,否则可能进行远程观看时会没有图像。
4如果路由器上面的IP与MAC绑定功能开启了,需要将摄像机的IP与MAC地址添加上去,如下图: 5.访问时,路由器公网IP加端口进行访问,打开IE浏览器,输入 出现登陆页面,如下截图: 7.输入用户名admin,密码admin
8.根据你的上行带宽,调整摄像机的比特流率,调整方法如下:点击下图中的视频及音频按钮 9.将比特流率控制在你的最大上行带宽以内,否则图像会传不过来
注: 以上是通过IE浏览器,输入,进行访问的摄像机,但一次只能看到一台摄像机,那如果内网中,有 多台摄像机需要进行访问,该如何设置呢 方法有两种: 第一种:还是通过IE浏览器进行访问, 假如有第二台摄像机IP是需要外网访问 1.同样的方法,要修改摄像机的HTTP端口和数据端口:
[史上完整]H3C路由器NAT典型配置案例解析
H3C路由器NAT典型配置案列(史上最详细) 神马CCIE,H3CIE,HCIE等网络工程师日常实施运维必备,你懂的。 1.11 NAT典型配置举例 1.11.1 内网用户通过NAT地址访问外网(静态地址转换) 1. 组网需求 内部网络用户10.110.10.8/24使用外网地址202.38.1.100访问Internet。 2. 组网图 图1-5 静态地址转换典型配置组网图 3. 配置步骤 # 按照组网图配置各接口的IP地址,具体配置过程略。 # 配置内网IP地址10.110.10.8到外网地址202.38.1.100之间的一对一静态地址转换映射。