NBR路由器常见故障FAQ.docx
《NBR路由器常见故障FAQ.docx》由会员分享,可在线阅读,更多相关《NBR路由器常见故障FAQ.docx(21页珍藏版)》请在冰豆网上搜索。
NBR路由器常见故障FAQ
锐捷NBR路由器常见故障FAQ
(2006-09-06)
目录
管理设置3
无法正常登录路由器的web管理界面。
3
使用默认的admin/admin帐号无法登录.3
初次设置之后无法上网4
手动指定了电脑的IP地址设置之后可以上QQ,但无法浏览网页4
无法自动获取到IP地址从而上网4
PPPOE拨号无法上网5
常见的掉线原因6
配置错误导致掉线6
Keepalive机制6
地址池设置6
多线路负载均衡7
基于IP地址的限速8
当前的网络应用导致掉线9
病毒攻击9
P2P软件的应用15
ARP欺骗18
DDOS攻击20
路由器端口协商问题21
掉线问题排障思路22
借助日志功能分析故障原因24
日志信息的解释24
关于ARP欺骗24
关于路由表变化24
重要事件记录25
日志服务的定时统计功能25
管理设置
无法正常登录路由器的web管理界面。
路由器初始IP地址为192.168.1.1/24,默认帐号为admin/admin,使用web登录路由器时,需要准备的工作如下:
1)主机的IP地址更改为192.168.1.x/24,网关指向192.168.1.1;
2)主机上需要安装java虚拟机程序,要求为java1.3.1版本(随机光盘附带,见目录)。
3)在主机上ping路由器的IP地址192.168.1.1以测试主机与路由器的通信是否可正常。
可以ping通,则说明主机与路由器通信可正常。
如若不能ping通,建议首先将路由器复位至出厂值;
复位方法:
在路由器通电情况下,长按前面板的reset键5秒钟以上,此时路由器将自动重启即恢复出厂状态。
4)ping通路由器的IP地址而在IE内输入路由器的IP地址之后仍旧不能提示路由器的管理界面;或者,复位之后仍旧无法ping通路由器,请通过超级终端登录路由器此时的配置以及工作状态。
若路由器配置仍存在,说明未复位成功,确认复位的方法。
若路由器自动进入rom模式,则需要重新升级路由器的软件,您可以与经销商联系。
5)必须确认路由器web管理相关文件是否存在:
index.htm、vms15.htm、webclt.jar,若flash内无这些文件,请重新升级路由器的打包升级文件UPD即可更新这些文件。
如果可以登录路由器的web管理界面,但调用java插件错误,无法打开图形化界面的情况:
除了所安装的java版本非1.3.1,可能的原因是当前路由器的软件版本与web文件不对应,遇到这种情况直接升级UPD文件(所有的文件都更新到同一版本)。
使用默认的admin/admin帐号无法登录.
确认是否设置过路由器,如第一次使用,建议直接复位。
复位方法参考<1>
如丢失路由器的口令而需要保留路由器的当前配置,请参考路由器用户手册或者相关文档关于密码丢失处理指导进行处理。
初次设置之后无法上网
手动指定了电脑的IP地址设置之后可以上QQ,但无法浏览网页
确认主机的TCP/IP属性设置,手动分配IP地址的情况下:
确保主机的IP地址与路由器的管理IP同一个网段,主机需要将其网关指向路由器的IP地址。
DNS设置:
指定DNS为外网线路(比如电信、网通DNS),路由器自身不能解析域名。
若在某特定环境下需要将主机的DNS地址指向路由器lan口IP地址,需要在路由器设置DNSRelay:
路由器将收到的DNS请求报文转发到真正的DNS服务器,并且将解析结果应答给请求主机。
配置举例:
假设NATinside接口的IP地址是192.168.1.1,DNS服务器的IP是202.101.98.55,则DNSrelay功能配置如下:
ipnatapplicationsourcelist1destinationudp192.168.1.153dest-change202.101.98.5553
其中ACL号1,如:
access-list1permitany
上述ipnatapplication命令的语义就是:
如果有源地址满足access-list1、目的地址是192.168.1.1、目的端口是53的UDP报文,则修改这个IP报文的目的地址为202.101.98.55、目的端口为53。
无法自动获取到IP地址从而上网
默认情况下,路由器DHCPServer功能没有打开。
需要手动开启DHCP服务器功能。
DHCP地址池设置时需注意:
客户端子网、缺省网关、域名服务器即DNS都需要指定。
router(config)#servicedhcp
!
启用DHCP功能
router(config)#ipdhcpexcluded192.168.0.2192.168.0.50
!
排斥地址,不分配给客户端的,此为可选选项
router(config)#ipdhcppooltest
!
配置地址池信息
router(config-dhcp)#network192.168.0.0255.255.255.0
!
地址段
router(config-dhcp)#default-router192.168.0.1
!
客户端的网关
router(config-dhcp)#dns-server202.101.98.55
!
客户端的DNS
router(config-dhcp)#end
router#write
!
保存
PPPOE拨号无法上网
1)确认不使用路由器而直接使用主机拨号可以正常使用;
2)确认路由器的配置:
帐号、密码是否设置正确;
3)确认MODEM工作在桥模式Bridged;
4)确认主机的DNS指向公网的域名服务器IP地址(非路由器的LAN口IP);
5)可以通过showinterfacedialerx查看拨号口的信息,确认路由器是否可获取到IP地址。
常见的掉线原因
目前NBR路由器在实际环境中使用时,遇到最多的故障就是掉线,那么是什么原因导致的掉线呢?
掉线的各种可能原因有如下几点:
ARP欺骗等病毒、流量过大、线路质量、配置错误、DDOS攻击等。
既然掉线的原因有这么多种,我们平常该如何准确快速的定位出故障原因所在,并解决呢?
我们需要有一套清晰的排障思路和系统的排障方法,通过这两个法宝找出问题所在,再结合NBR路由器特有的安全功能去解决。
配置错误导致掉线
Keepalive机制
对于接口是否是通的判断是缺省每隔10秒钟,发送一个DNS或者Ping的报文,精确的收到回答后,认为线路正常,如果没有收到,连续发送3次,如果3次都没有正确的应答,则认为该接口是Down的(也就是认为此线路断开连接)。
如果线路稳定尽量不要使用该功能,而单线路用户则更没有必要使用。
如果需要启用keepalive线路检测,建议将发送的频度设置为5~10秒,这样1分钟内就可完成线路切换。
发送DNS报文检测线路:
发送DNS请求,向公网的DNS服务器发送请求,通过回应验证广域网口的线路是不是正常。
NBR1000(config)#interfacefast1/0
NBR1000(config-if)#keepalive10dns202.101.98.55
或发送ping报文检测线路:
发送ping请求,向ISP网关服务器发送ping请求,通过回应验证广域网口的线路是不是正常。
NBR1000(config)#interfacefast1/0
NBR1000(config-if)#keepalive10ping221.203.76.1
要求:
线路检测机制所指定的DNS服务器或ISP网关本身稳定。
地址池设置
由于NBR系列路由器现采用的是多IP均衡的方式,在一般应用下使用1个公网IP地址即可满足需求;在一个地址池里设置多个连续的IP地址,一个主机不同的网络连接可能使用的公网地址不同,有可能造成游戏的掉线。
因此,如果外网有多IP地址,建议采用多IP地址池的方式设置。
单独地址池示例:
所有的主机使用221.203.76.13地址共享上网
ipnatpoolnbr_setup_build_poolprefix-length24
address221.203.76.13221.203.76.13matchinterfaceFastEthernet1/0
access-list99permitany
ipnatinsidesourcelist99poolnbr_setup_build_pool
多个地址池示例:
奇数IP的主机使用221.203.76.13地址共享上网,偶数IP的主机则使用221.203.76.15地址共享上网
ipnatpoolp1prefix-length24
address221.203.76.13221.203.76.13matchintefa1/0
ipnatpoolp2prefix-length24
address221.203.76.15221.203.76.15matchintefa1/0
access-list1permit192.168.0.10.0.0.254
access-list2permit192.168.0.00.0.0.254
ipnatinsidesourcelist1poolp1overload
ipnatinsidesourcelist2poolp2overload
多线路负载均衡
如果外网存在多个线路,如果没有做路由的相应设置,按照路由器自身的均衡策略有可能一个主机不同的网络连接可能使用的不同线路,有可能造成游戏的掉线。
建议优化路由的设置:
1)不同ISP提供商的双线路路由设置:
比如电信与网通,只导入网通的路由,将网通网段的目的地址出口指向网通线路,其他的目的地址指向电信线路。
两条默认路由中,应该将指向网通线路的默认路由Metric值设置为较大的值,使之成为备份线路。
这样做的原因是电信的网络覆盖面广,出国线路主要是电信的。
2)同一ISP提供商的双线路路由设置:
可以使用default-route对源地址的选路进行控制:
configt
!
设置访问控制列表3100、3101标识不同的主机范围
access-list3100permitip192.168.1.1192.168.1.110any
access-list3101permitip192.168.1.111192.168.1.253any
!
设置符合3100访问控制列表的主机优先走fast1/0即wan0,匹配3101访问控制列表的主机优先走fast1/1即wan1
ipdefault-routelist3100out-interfaceFastEthernet1/0
ipdefault-routelist3101out-interfaceFastEthernet1/1
!
基于IP地址的限速
路由器设置限速的单位为Kbitps,如果启用了限速功能,把速度限制得过低,也可能导致一些游戏掉线。
当前的网络应用导致掉线
此时,可以通过查看路由器的CPU状态来初步判定:
如果CPU利用率很高,那么有可能是病毒、内部流量过大、DDOS攻击造成,需要采取相应的办法去定位和解决;如果CPU利用率不高,那可能是其它原因导致的掉线。
NBR1000#shcpu
CPUutilizationforfiveseconds:
1%
CPUutilizationforoneminute:
1%
CPUutilizationforfiveminutes:
1%
CPUutilizationpeakforfiveseconds:
99%,at:
2006-8-718:
15:
01
!
路由器启动以来的高峰CPU使用率
CPUutilizationpeakforoneminute:
93%,at:
2006-8-718:
16:
9
CPUutilizationpeakforfiveminutes:
49%,at:
2006-8-718:
16:
53
病毒攻击
网络病毒层出不穷,但是道高一尺,魔高一丈,所有的网络病毒都是通过网络传输的,网络病毒的数据报文也一定遵循TCP/IP协议,一定有源IP地址,目的IP地址,源TCP/IP端口,目的TCP/IP端口,同一种网络病毒,一般目的IP端口是相同的,比如冲击波病毒的端口是135,震荡波病毒的端口是445,只要把这些端口在路由器上给限制了,那么外部的病毒就无法通过路由器这个唯一的入口进入到内部网了,内部的网络病毒发起的报文,由于在路由器上作了限制,路由器不加以处理,则可以降低病毒报文占据大量的网络带宽。
通过NBR路由器如何判断内部网络是否有病毒存在呢?
通过CLI模式,首先执行“showipnatstatistics”
出现如下的执行结果:
NBR#showipnatstatistics
Totalactivetranslations:
146(1static,145dynamic;146extended)
Outsideinterfaces:
FastEthernet1/0
Insideinterfaces:
FastEthernet0/0
Maximumnatentriespermitted:
10000
Maxhits:
0Lasthitmaximum:
never
Peak:
5138Lasthitpeakvalue:
1w4d
Hits:
522298523Misses:
3064356
Expiredtranslations:
3077267
Dynamicmappings:
--InsideSource
access-list1interfaceFastEthernet1/0refcount145
上面的结果,用红色的显示是当前NBR中,并发的NAT节点数量为146条,用蓝色的显示,路由器从开机到现在,最高的并发NAT节点数量为5138,发生在1周零4天前。
当并发NAT节点数量达到允许的最大节点数(这里是10000条)后,出现的反应就是网络上网速度非常慢,由于所有的NAT节点数都被占用,便会出现网页无法打开的情况,由于网络游戏无法申请到NAT节点的资源,这时网络游戏就表现出掉线的现象。
以上的“showipnatstatistics”指令仅仅是简单的看看网络是否正常,看到的信息也是非常有限的,NBR还提供了可以查看每条NAT节点信息的指令,可以在CLI模式下,运行“showipnattranslations”,对于没有病毒的,运行结果如下:
NBRt#showipnattranslations
ProInsideglobalInsidelocalOutsidelocalOutsideglobal
tcp221.203.76.139:
1550192.168.1.139:
155061.132.138.98:
2561.132.138.98:
25
udp221.203.76.139:
1073192.168.1.162:
697064.132.47.205:
2742264.132.47.205:
27422
udp221.203.76.139:
1095192.168.1.193:
4000218.17.209.22:
8000218.17.209.22:
8000
udp221.203.76.139:
1188192.168.1.32:
6975221.208.76.130:
7000221.208.76.130:
7000
tcp221.203.76.139:
2063192.168.1.168:
2063202.104.242.29:
80202.104.242.29:
80
上面是部分NAT节点信息汇总,当然了,以上仅仅节选了一部分的NAT节点信息,上面的显示结果中,第一列为NBR的出口的IP地址和端口,如果从运营商那里仅仅得到一个IP地址,那么一般就是NBR的WAN口IP地址了。
第二列为局域网内部的PC的IP地址和端口,就是内部有访问外网的PC的IP地址和网络的端口了,第三和第四列一般来说是一样的,就是内部PC所访问的站点的IP地址和网络端口了。
比如如果是80端口,便可以看出这个内部PC现在在用网络浏览器访问网站,如果是8000端口,则是上QQ了,如果是7000、7100、7200,则说明这台PC现在在玩“传奇”游戏了。
如果是20、21端口,则是在执行FTP下载软件了。
以上这个是没有病毒的典型的NAT节点信息,如果内部网存在病毒,又是怎样一种情况呢?
这里也有一个例子来说明,如果内部网带病毒,用NBR的诊断指令,是很容易判断出来的,同时还可以简单的知道都有哪些PC感染了网络病毒。
一样的,还是执行“showipnatstatistics”和“showipnattranslations”指令来分析。
NBR#showipnatstatistics
Totalactivetranslations:
10000(0static,10000dynamic;10000extended)
Outsideinterfaces:
FastEthernet0
Insideinterfaces:
FastEthernet1
Maximumnatentriespermitted:
10000
Maxhits:
52162Lasthitmaximum:
00:
00:
00
Peak:
10000Lasthitpeakvalue:
00:
30:
20
Hits:
522298523Misses:
3064356
Expiredtranslations:
3077267
Dynamicmappings:
--InsideSource
access-list1interfaceFastEthernet0refcount145
可以看出,以上的显示说明在当前NAT的并发节点数量达到了10000条,这个非常明显的,肯定是有网络病毒了。
继续执行“showipnattranslations”来分析了。
NBR#showipnattranslations
tcp220.189.244.148:
3555192.168.2.57:
355521.68.161.51:
44521.68.161.51:
445
tcp220.189.244.148:
1909192.168.2.46:
1909192.168.254.72:
445192.168.254.72:
445
tcp220.189.244.148:
2709192.168.2.3:
2709192.168.83.170:
445192.168.83.170:
445
tcp220.189.244.148:
2375192.168.2.3:
1652192.168.192.127:
445192.168.192.127:
445
tcp220.189.244.148:
2815192.168.2.3:
2815192.168.211.198:
445192.168.211.198:
445
tcp220.189.244.148:
4783192.168.2.57:
4783214.199.125.249:
445214.199.125.249:
445
tcp220.189.244.148:
2707192.168.2.3:
2707192.168.83.170:
445192.168.83.170:
445
tcp220.189.244.148:
2471192.168.2.36:
2471192.168.112.158:
445192.168.112.158:
445
tcp220.189.244.148:
2812192.168.2.3:
2812192.168.211.198:
445192.168.211.198:
445
tcp220.189.244.148:
4759192.168.2.57:
475911.161.176.165:
44511.161.176.165:
445
tcp220.189.244.148:
2628192.168.2.57:
2628201.65.202.150:
445201.65.202.150:
445
tcp220.189.244.148:
2372192.168.2.3:
1650192.168.192.127:
445192.168.192.127:
445
tcp220.189.244.148:
2483192.168.2.57:
2483132.143.52.175:
445132.143.52.175:
445
tcp220.189.244.148:
2718192.168.2.3:
2718192.168.83.170:
445192.168.83.170:
445
tcp220.189.244.148:
2474192.168.2.36:
2474192.168.112.158:
445192.168.112.158:
445
tcp220.189.244.148:
1566192.168.2.36:
3059192.168.254.17:
135192.168.254.17:
135
tcp220.189.244.148:
2378192.168.2.3:
1662192.168.192.127:
445192.168.192.127:
445
tcp220.189.244.148:
2716192.168.2.3:
2716192.168.83.170:
445192.168.83.170:
445
tcp220.189.244.148:
2717192.168.2.3:
2717192.168.83.170:
445192.168.83.170:
445
tcp220.189.244.148:
3635192.168.2.57:
3635211.78.100.229:
445211.78.100.229:
445
tcp220.189.244.148:
2478192.168.2.36:
2478192.168.112.158:
445192.168.112.158:
445
tcp220.189.244.148:
1912192.168.2.46:
1912192.168.254.72:
445192.168.254.72:
445
tcp220.189.244.148:
2715192.168.2.3:
2715192.168.83.170:
445192.168.83.170:
445
tcp220.189.244.148:
238