H3CER3200系统管理.docx

H3C ER3200 系统管理目录1 常见问题处理1.1 管理密码丢失1.2 恢复出厂设置1.3 端口映射不成功1.4 设置 ARP 双向绑定（针对客户端为静态分配地址的情况）1.5 局域网部分或者全网 PC 掉线、无法访问 Internet1.6 上网速度慢，玩游戏卡1.7 无法远程访问路由器1.8 升级过程中出现问题解答1.9 设备各指示灯含义1.10 如何设置端口限速和网络连接数，并查看端口/IP 流量1.11 如何限制某些应用1.12 如何划分 VLAN，实现单臂路由，禁止网段间互访1.13 IPSEC VPN 典型组网配置1.14 企业、网吧、酒店典型组网配置1.15 设备支持哪些功能1.16 如何抓包2 获取售后服务及相关资料1 常见问题处理1.1 管理密码丢失• 将管理计算机的串口通过配置线缆与路由器的 Console 口相连，在命令行下输入password 命令并回车，按照系统提示，输入新密码，并重新输入一次以确认即可• 恢复出厂设置1.2 恢复出厂设置• 登录 Web 页面，单击“恢复到出厂设置”中的按钮恢复设备到出厂设置（页面向导：设备管理→基本管理→配置管理）。

• 管理计算机串口连接或 Telnet 到设备，命令行下输入 restore default 命令并回车，确认后，路由器将恢复到出厂设置并重新启动1.3 端口映射不成功常见的端口映射不成功的原因及处理方法，如下：1. 运营商原因一般较常见的如 80 端口无法映射成功，内网访问正常处理方法：联系运营商解决或者将映射的外部端口更换为其他端口其他测试验证方法：可以选择将外部端口更换为其他端口（如 8099）测试，远程访问时格式为：http://XXX.XXX.XXX.XXX:8099，测试是否访问正常来确认是否该原因引起2. 服务器配置原因内网访问正常，但是外网通过端口映射访问不成功处理方法：请检查服务器配置，特别是安全策略或者防火墙设置，确认是否没有开放非本地网段的访问权限或者其他安全策略设置问题其他测试验证方法：可以采用某台 XP 系统的客户端主机开启远程协助（当然也同样需要先验证一下内网其他 PC 是否能远程登入）并在路由器上配置映射 3389 端口来验证路由器的端口映射功能是否正常3. 端口未全部映射内网访问正常，一对一 NAT 也正常，但是外网通过端口映射访问不成功处理方法：某些应用（特别如语音、监控系统等）在实际工作过程中需要用到多个端口通信，而客户实际可能只配置了一个或者部分端口的映射，请抓包确认整个通信过程中用到的所有端口，并确认是否均已设置映射。

其他测试验证方法：尝试将服务器设置为 DMZ 主机或者配置一对一 NAT（外网地址不能是 WAN 口地址）验证是否正常来确认是否该原因引起4. 配置问题客户在防火墙、MAC 过滤等规则中添加了过滤规则，阻止了映射端口或者映射服务器的正常通信处理方法：检查路由器规则类相关配置，查看是否将映射的端口或者服务器过滤其他测试验证方法：可采用禁用防火墙、MAC 过滤等功能来排查，常见的为防火墙配置了入站或者出站通信策略引起1.4 设置 ARP 双向绑定（针对客户端为静态分配地址的情况）1. 路由器端 ARP 绑定将局域网中的主机 ARP 绑定为静态表项，具体方法见手册（页面向导：安全专区→ARP 安全→ARP 绑定）2. 主机端 ARP 绑定主机端（开始→运行→CMD 窗口）将路由器地址添加到静态 ARP 表中，命令：arp –s 路由器的 IP 地址 路由器 MAC 地址1.5 局域网部分或者全网 PC 掉线、无法访问 Internet1. 受到 ARP 攻击或者 ARP 欺骗导致（此类情况最普遍）(1) 掉线的 PC Ping 不通网关地址；(2) 掉线的 PC 能 ping 通网关地址，但是有丢包；(3) 掉线 PC ping 不通网关，Ping 主交换机下的其他 PC 或者服务器能通。

处理方法：如果全网掉线的 PC 无法 ping 通网关，无法登入网关，需要先拔掉所有 WAN 口所接的网线，即对应的上行链路，再尝试 ping 网关或者登录网关，以此来确定是内网问题还是外网攻击问题引起• 如果此时能 ping 通网关，那么很有可能是外网攻击导致，请确认设备相关防攻击功能是否开启，WAN 口运营商侧网关 ARP 是否已经静态绑定，并联系运营商协助解决• 如果此时掉线 PC 依然无法 ping 通网关，则可能为内网问题，请参考如下步骤：1、在掉线 PC 上 MS-DOS 窗口通过 arp –d 清掉当前 ARP 信息， arp -s 来重新绑定网关的 ARP例如 arp –s 192.168.1.1 00-23-89-32-35-67（MAC地址为路由器 LAN 口对应的 MAC）2、请检查路由器 ARP 绑定设置是否绑定了内网各主机的 ARP 信息，可以采用静态和动态绑定功能实现，具体配置步骤参见产品手册！（页面向导：安全专区→ARP 安全→ARP 绑定）2. 路由器下挂交换机的问题导致掉线 PC ping 网关不通，Ping 主交换机下的其他 PC 或者服务器也不通。

处理方法：(1) 掉线 PC 长 ping 网关时，请观察与掉线 PC 相连的各级交换机各端口指示灯的状态，如果交换机端口依然常亮，代表交换机或者相连网线存在问题2) 如果是全网掉线，需要特别注意主交换机的各个端口指示灯情况（特别是连接路由器的端口指示灯）是否正常闪烁必要时可以重启主交换机观察是否能够恢复3) 掉线 PC 长 ping 网关时，请观察路由器与主交换机级联的路由器 LAN 端口指示灯是否正常闪烁，如果指示灯常亮，可以尝试更换一个 LAN 观察，如果还是常亮，掉线 PC ping 不通网关，请直接将一台 PC 接在路由器 LAN 口，拔掉路由器与交换机级联的端口，PC 尝试 ping 网关地址，如果此时能 ping 通，说明非路由器问题如果此时还是依然 ping 不通网关，并确认 PC 的 IP 地址配置与路由器管理地址在同一网段，那可能就是路由器异常了，必要时可以重启路由器观察是否能够恢复4) 另外如果是全网掉线，可以尝试在某台掉线 PC 上长 ping 网关地址，然后逐一插拔主交换机上连接分交换机的各个端口网线，观察掉线 PC 能否 ping 通网关，以此来判断是局域网内哪台交换机底下的 PC 出现异常导致。

3. 病毒等大流量攻击导致(1) 请查看路由器上是否已经启用了 IP 流量限制（页面向导：QoS 设置→流量管理→IP 流量限制） QoS 的具体限速值选择方法参考“1.10 如何设置端口限速和网络连接数，并查看端口/IP 流量”关于端口限速的设置问题2) 查看路由器上是否已经启用了网络连接数限制（页面向导：QoS 设置→连接限制→网络连接限数）典型值为每 IP 分配 1000-20004. 掉线 PC 异常流量太大或者中毒，被路由器加入到黑名单中导致登录路由器查看黑名单列表中是否存在掉线 PC（页面向导：安全专区→防攻击→异常流量防护），如果存在，选中它并将其删除或等待生效时间之后再观察是否恢复正常，或者可以选择安全等级为中，即将主机的上行流量控制在 10Mbps 范围内5. 运营商网络问题导致能 Ping 通同一交换机下的其他 PC、主交换机下的服务器地址和路由器地址，但Ping 不通路由器的上层运营商网关或者 DNS 地址，通过路由器中的诊断工具 ping DNS 和外网地址也不通处理方法：运营商侧网络可能出现了问题，需要联系运营商进行确认解决6. 域名解析服务器（ DNS）异常导致能 Ping 通网关地址， 也能上，或者下载正常，但是所有网页打不开。

处理方法：可能是域名解析服务器（DNS）异常导致，可以将掉线 PC 的 DNS 地址静态设置为运营商提供的 DNS 地址观察，或者可以更换一个新的 DNS 地址观察能否恢复1.6 上网速度慢，玩游戏卡1. QoS 限速不合理（限速过大，使得部分 PC 占用过多带宽或限速过小）导致确认是否在路由器上启用了 IP 流量限制，并设置了合适的限速值，路由器的各WAN 口带宽是否已经填入了实际带宽值（页面向导：QoS 设置→流量管理→IP 流量限制）不同应用场合下的推荐设置及描述请参见下表：应用场合 描述网吧建议您选中“允许每 IP 通道借用空闲的带宽 ”单选框上下行带宽限制推荐值：以出口带宽 30M，且统一限速为例，建议将“每 IP 上行流量上限”设 置为 500Kbps，“每 IP 下行流量上限” 设 置为 800Kbps ，双 WAN 设备需要针对不同 WAN 口计算不同的限速值予以限制，最终主机获得的带宽为双 WAN 带宽限速 总和 具体限速值计算方法参见“1.10 如何设置端口限速和网络连接数，并查 看端口/IP 流量”企业建议您选中“每 IP 通道只能使用预设的带宽 ”单选框，特别是 ADSL 宽带类型客户。

设置前，最好能对不同用户区域的带宽使用进行一个合理的规划如果希望提高带宽利用率，如宾馆等场所，建议您选中“允许每 IP 通道借用空闲的带宽”单选框上下行带宽限制推荐值：以出口带宽 10M，且统一限速为例，建议将“每 IP 上行流量上限”设 置为 400Kbps，“每 IP 下行流量上限” 设 置为 600Kbps如果上网人数不多，可以适当放大具体限速值计算方法参见“ 1.10 如何设置端口限速和网络连接数，并查看端口/IP 流量”2. 路由配置不合理导致（使用双线路上网时）该问题一般出现在双 WAN 的路由器且两条线路运营商不同的情况下，且有以下现象：• 访问部分门户网站慢• 部分游戏卡处理方法：(1) 一般来说，需要将双 WAN 的均衡模式选择为手动均衡，默认链路选择当地较为稳定的运营商线路或者带宽较大的线路均衡路由表里需要导入另一条运营商链路对应的路由表（常用路由表可在 H3C 官方网站中获取： 首页>服务支持> 软件下载>路由器>ER 双 WAN 路由器基础路由表）2) 使用 tracert 命令在游戏卡或者上网慢的主机上查看到达该网站或者该游戏服务器的路由是从哪个接口出去的（参考步骤（4））。

例如：某网站的地址为电信地址，而路由却从连接网通线路的 WAN 接口出去了，则只需要添加一条静态路由（页面向导：高级设置→路由设置→静态路由），使其从连接电信线路的 WAN 接口出去便可以解决此问题3) 北方部分用户使用双 WAN 路由器按步骤（1）正确配置后，部分游戏或者网页（如 类等），仍存在慢或者卡的问题，查看路由，确实走对了链路，这时需要将游戏卡或者网页慢的服务器地址（一般为电信地址）找出来（参考步骤（4）），通过设置静态路由或者策略路由使其从联通接口出去即可解决4) 找出对应网站的服务器地址的方法：开始菜单 →运行→输入“CMD”，在弹出窗口输入 ping 访问慢的网站地址即可，例如 ping 接下来显示的 IP 地址即为该网站对应的服务器地址找出对应游戏服务器地址的方法：在某 PC 上退出其他所有应用程序，只打开该游戏，然后在系统开始菜单→运行→输入“CMD”，在弹出窗口输入“netstat –bn” ，找到对应游戏进程的 Foreign Address 地址，即为该游戏所对应的服务器地址使用该方法还可以快速找到游戏对应端口，在一些企业中可以将该游戏端口通过防火墙功能封掉，参见 1.13）(5) 查看对应地址属于哪个运营商的方法：此类查询网站很多，直接在百度里搜索IP 地址查询即可找到。

如 3. 路由器受攻击、负荷太重或下挂交换机级联端口出现拥塞导致。