NBR路由器常见故障FAQ

admin管理员组

文章数量:1536099

2024年2月6日发(作者：)

锐捷NBR路由器常见故障FAQ

锐捷NBR路由器常见故障FAQ

（2006-09-06）

锐捷NBR路由器常见故障FAQ

目录

管理设置 .......................................................................................................................................... 3

无法正常登录路由器的web管理界面。 ...................................................................... 3

使用默认的admin/admin帐号无法登录. ....................................................................... 3

初次设置之后无法上网 ................................................................................................................... 4

手动指定了电脑的IP地址设置之后可以上QQ，但无法浏览网页 ........................... 4

无法自动获取到IP地址从而上网 ................................................................................. 4

PPPOE拨号无法上网 ...................................................................................................... 5

常见的掉线原因 .............................................................................................................................. 6

配置错误导致掉线 ........................................................................................................... 6

Keepalive机制 ......................................................................................................... 6

地址池设置 ............................................................................................................... 6

多线路负载均衡 ....................................................................................................... 7

基于IP地址的限速 ................................................................................................. 8

当前的网络应用导致掉线 ............................................................................................... 9

病毒攻击 ................................................................................................................... 9

P2P软件的应用 ..................................................................................................... 15

ARP欺骗 ................................................................................................................ 18

DDOS攻击 ............................................................................................................. 20

路由器端口协商问题 ............................................................................................. 21

掉线问题排障思路......................................................................................................................... 22

借助日志功能分析故障原因 ......................................................................................................... 24

日志信息的解释 ............................................................................................................. 24

关于ARP 欺骗 ...................................................................................................... 24

关于路由表变化 ..................................................................................................... 24

重要事件记录 ......................................................................................................... 25

日志服务的定时统计功能 ............................................................................................. 25

锐捷NBR路由器常见故障FAQ

管理设置

无法正常登录路由器的web管理界面。

路由器初始IP地址为192.168.1.1/24，默认帐号为admin/admin，使用web登录路由器时，需要准备的工作如下：

1） 主机的IP地址更改为192.168.1.x/24,网关指向192.168.1.1；

2） 主机上需要安装java虚拟机程序，要求为java 1.3.1版本（随机光盘附带，见目录）。

3） 在主机上ping路由器的IP地址192.168.1.1以测试主机与路由器的通信是否可正常。可以ping通，则说明主机与路由器通信可正常。如若不能ping通，建议首先将路由器复位至出厂值；

复位方法：在路由器通电情况下，长按前面板的reset键5秒钟以上，此时路由器将自动重启即恢复出厂状态。

4） ping通路由器的IP地址而在IE内输入路由器的IP地址之后仍旧不能提示路由器的管理界面；或者，复位之后仍旧无法ping通路由器， 请通过超级终端登录路由器此时的配置以及工作状态。

若路由器配置仍存在，说明未复位成功，确认复位的方法。

若路由器自动进入rom模式，则需要重新升级路由器的软件，您可以与经销商联系。

5）必须确认路由器web管理相关文件是否存在：、、，若flash内无这些文件，请重新升级路由器的打包升级文件UPD即可更新这些文件。

如果可以登录路由器的web管理界面，但调用java插件错误，无法打开图形化界面的情况：除了所安装的java版本非1.3.1，可能的原因是当前路由器的软件版本与web文件不对应，遇到这种情况直接升级UPD文件（所有的文件都更新到同一版本）。

使用默认的admin/admin帐号无法登录.

确认是否设置过路由器，如第一次使用，建议直接复位。复位方法参考<1>

如丢失路由器的口令而需要保留路由器的当前配置，请参考路由器用户手册或者相关文档关于密码丢失处理指导进行处理。

锐捷NBR路由器常见故障FAQ

初次设置之后无法上网

手动指定了电脑的IP地址设置之后可以上QQ，但无法浏览网页

确认主机的TCP/IP属性设置，手动分配IP地址的情况下：

确保主机的IP地址与路由器的管理IP同一个网段，主机需要将其网关指向路由器的IP地址。

DNS设置： 指定DNS为外网线路（比如电信、网通DNS），路由器自身不能解析域名。

若在某特定环境下需要将主机的DNS地址指向路由器lan口IP地址，需要在路由器设置DNS Relay：路由器将收到的DNS请求报文转发到真正的DNS服务器，并且将解析结果应答给请求主机。

配置举例：假设NAT inside接口的IP地址是192.168.1.1，DNS服务器的IP是202.101.98.55，则DNS relay功能配置如下：

ip nat application source list 1 destination udp 192.168.1.1 53 dest-change 202.101.98.55 53

其中ACL号1，如：access-list 1 permit any

上述ip nat application 命令的语义就是：如果有源地址满足access-list 1、目的地址是192.168.1.1、目的端口是53 的UDP 报文，则修改这个IP 报文的目的地址为202.101.98.55、目的端口为53。

无法自动获取到IP地址从而上网

默认情况下，路由器DHCP Server功能没有打开。需要手动开启DHCP服务器功能。

DHCP地址池设置时需注意：客户端子网、缺省网关、域名服务器即DNS都需要指定。

router(config)#service dhcp

!启用DHCP功能

router(config)#ip dhcp excluded 192.168.0.2 192.168.0.50

!排斥地址，不分配给客户端的，此为可选选项

router(config)#ip dhcp pool test

!配置地址池信息

router(config-dhcp)#network 192.168.0.0 255.255.255.0

!地址段

router(config-dhcp)#default-router 192.168.0.1

锐捷NBR路由器常见故障FAQ

!客户端的网关

router(config-dhcp)#dns-server 202.101.98.55

!客户端的DNS

router(config-dhcp)#end

router#write

!保存

PPPOE拨号无法上网

1） 确认不使用路由器而直接使用主机拨号可以正常使用；

2） 确认路由器的配置：帐号、密码是否设置正确；

3） 确认MODEM工作在桥模式Bridged；

4） 确认主机的DNS指向公网的域名服务器IP地址（非路由器的LAN口IP）；

5） 可以通过show interface dialer x 查看拨号口的信息，确认路由器是否可获取到IP地址。

锐捷NBR路由器常见故障FAQ

常见的掉线原因

目前NBR路由器在实际环境中使用时，遇到最多的故障就是掉线，那么是什么原因导致的掉线呢？掉线的各种可能原因有如下几点：ARP欺骗等病毒、流量过大、线路质量、配置错误、DDOS攻击等。既然掉线的原因有这么多种，我们平常该如何准确快速的定位出故障原因所在，并解决呢？我们需要有一套清晰的排障思路和系统的排障方法，通过这两个法宝找出问题所在，再结合NBR路由器特有的安全功能去解决。

配置错误导致掉线

Keepalive机制

对于接口是否是通的判断是缺省每隔10 秒钟，发送一个DNS 或者Ping 的报文，精确的收到回答后，认为线路正常，如果没有收到，连续发送3 次，如果3 次都没有正确的应答，则认为该接口是Down 的（也就是认为此线路断开连接）。

如果线路稳定尽量不要使用该功能，而单线路用户则更没有必要使用。如果需要启用keepalive 线路检测，建议将发送的频度设置为5~10秒，这样1分钟内就可完成线路切换。

发送DNS报文检测线路：发送DNS 请求，向公网的DNS 服务器发送请求，通过回应验证广域网口的线路是不是正常。

NBR1000(config)#interface fast 1/0

NBR1000(config-if)#keepalive 10 dns 202.101.98.55

或 发送ping报文检测线路：发送ping 请求，向ISP 网关服务器发送ping 请求，通过回应验证广域网口的线路是不是正常。

NBR1000(config)#interface fast 1/0

NBR1000(config-if)#keepalive 10 ping 221.203.76.1

要求：线路检测机制所指定的DNS服务器或ISP网关本身稳定。

地址池设置

由于NBR系列路由器现采用的是多IP均衡的方式，在一般应用下使用1个公网IP地址即

锐捷NBR路由器常见故障FAQ

可满足需求；在一个地址池里设置多个连续的IP地址，一个主机不同的网络连接可能使用的公网地址不同，有可能造成游戏的掉线。

因此，如果外网有多IP地址，建议采用多IP地址池的方式设置。

单独地址池示例

：所有的主机使用221.203.76.13地址共享上网

ip nat pool nbr_setup_build_pool prefix-length 24

address 221.203.76.13 221.203.76.13 match interface FastEthernet 1/0

access-list 99 permit any

ip nat inside source list 99 pool nbr_setup_build_pool

多个地址池示例：奇数IP的主机使用221.203.76.13地址共享上网，偶数IP的主机则使用221.203.76.15地址共享上网

ip nat pool p1 prefix-length 24

address 221.203.76.13 221.203.76.13 match inte fa 1/0

ip nat pool p2 prefix-length 24

address 221.203.76.15 221.203.76.15 match inte fa 1/0

access-list 1 permit 192.168.0.1 0.0.0.254

access-list 2 permit 192.168.0.0 0.0.0.254

ip nat inside source list 1 pool p1 overload

ip nat inside source list 2 pool p2 overload

多线路负载均衡

如果外网存在多个线路，如果没有做路由的相应设置，按照路由器自身的均衡策略有可能一个主机不同的网络连接可能使用的不同线路，有可能造成游戏的掉线。

建议优化路由的设置：

1） 不同ISP提供商的双线路路由设置：

比如电信与网通，只导入网通的路由，将网通网段的目的地址出口指向网通线路，其他的目的地址指向电信线路。两条默认路由中，应该将指向网通线路的默认路由Metric值设置为较大的值，使之成为备份线路。

这样做的原因是电信的网络覆盖面广，出国线路主要是电信的。

锐捷NBR路由器常见故障FAQ

2）同一ISP提供商的双线路路由设置：

可以使用default-route对源地址的选路进行控制：

config t

!设置访问控制列表3100、3101 标识不同的主机范围

access-list 3100 permit ip 192.168.1.1 192.168.1.110 any

access-list 3101 permit ip 192.168.1.111 192.168.1.253 any

!设置符合3100访问控制列表的主机优先走fast 1/0 即wan0，匹配3101访问控制列表的主机 优先走fast 1/1 即wan1

ip default-route list 3100 out-interface FastEthernet 1/0

ip default-route list 3101 out-interface FastEthernet 1/1

!

基于IP地址的限速

路由器设置限速的单位为Kbitps，如果启用了限速功能，把速度限制得过低，也可能导致一些游戏掉线。

锐捷NBR路由器常见故障FAQ

当前的网络应用导致掉线

此时，可以通过查看路由器的CPU状态来初步判定：如果CPU利用率很高，那么有可能是病毒、内部流量过大、DDOS攻击造成，需要采取相应的办法去定位和解决；如果CPU利用率不高，那可能是其它原因导致的掉线。

NBR1000#sh cpu

CPU utilization for five seconds: 1%

CPU utilization for one minute : 1%

CPU utilization for five minutes: 1%

CPU utilization peak for five seconds: 99%,at: 2006-8-7 18:15:01

！路由器启动以来的高峰CPU使用率

CPU utilization peak for one minute : 93%,at: 2006-8-7 18:16:9

CPU utilization peak for five minutes: 49%,at: 2006-8-7 18:16:53

病毒攻击

网络病毒层出不穷，但是道高一尺，魔高一丈，所有的网络病毒都是通过网络传输的，网络病毒的数据报文也一定遵循TCP/IP协议，一定有源IP地址，目的IP地址，源TCP/IP端口，目的TCP/IP端口，同一种网络病毒，一般目的IP端口是相同的，比如冲击波病毒的端口是135，震荡波病毒的端口是445,只要把这些端口在路由器上给限制了，那么外部的病毒就无法通过路由器这个唯一的入口进入到内部网了，内部的网络病毒发起的报文，由于在路由器上作了限制，路由器不加以处理，则可以降低病毒报文占据大量的网络带宽。

通过NBR路由器如何判断内部网络是否有病毒存在呢？

通过CLI模式，首先执行“show ip nat statistics”

出现如下的执行结果：

NBR# show ip nat statistics

Total active translations: 146 (1 static, 145 dynamic; 146 extended)

锐捷NBR路由器常见故障FAQ

Outside interfaces: FastEthernet 1/0

Inside interfaces: FastEthernet 0/0

Maximum nat entries permitted: 10000

Maxhits: 0 Last hit maximum: never

Peak: 5138 Last hit peak value: 1w4d

Hits: 522298523 Misses: 3064356

Expired translations: 3077267

Dynamic mappings:

-- Inside Source

access-list 1 interface FastEthernet1/0 refcount 145

上面的结果，用红色的显示是当前NBR中，并发的NAT节点数量为146条，用蓝色的显示，路由器从开机到现在，最高的并发NAT节点数量为5138，发生在1周零4天前。

当并发NAT节点数量达到允许的最大节点数（这里是10000条）后，出现的反应就是网络上网速度非常慢，由于所有的NAT节点数都被占用，便会出现网页无法打开的情况，由于网络游戏无法申请到NAT节点的资源，这时网络游戏就表现出掉线的现象。

以上的“show ip nat statistics”指令仅仅是简单的看看网络是否正常，看到的信息也是非常有限的，NBR还提供了可以查看每条NAT节点信息的指令，可以在CLI模式下，运行“show

ip nat translations”，对于没有病毒的，运行结果如下：

NBRt#show ip nat translations

Pro Inside global Inside local Outside local Outside global

tcp 221.203.76.139:1550 192.168.1.139:1550 61.132.138.98:25 61.132.138.98:25

udp 221.203.76.139:1073 192.168.1.162:6970 64.132.47.205:27422 64.132.47.205:27422

udp 221.203.76.139:1095 192.168.1.193:4000 218.17.209.22:8000 218.17.209.22:8000

udp 221.203.76.139:1188 192.168.1.32:6975 221.208.76.130:7000 221.208.76.130:7000

tcp 221.203.76.139:2063 192.168.1.168:2063 202.104.242.29:80 202.104.242.29:80

上面是部分NAT节点信息汇总，当然了，以上仅仅节选了一部分的NAT节点信息，上面的显示结果中，第一列为NBR的出口的IP地址和端口，如果从运营商那里仅仅得到一个IP地址，那么一般就是NBR的WAN口IP地址了。

锐捷NBR路由器常见故障FAQ

第二列为局域网内部的PC的IP地址和端口，就是内部有访问外网的PC的IP地址和网络的端口了，第三和第四列一般来说是一样的，就是内部PC所访问的站点的IP地址和网络端口了。比如如果是80端口，便可以看出这个内部PC现在在用网络浏览器访问网站，如果是8000端口，则是上QQ了，如果是7000、7100、7200，则说明这台PC现在在玩“传奇”游戏了。如果是20、21端口，则是在执行FTP下载软件了。

以上这个是没有病毒的典型的NAT节点信息，如果内部网存在病毒，又是怎样一种情况呢？这里也有一个例子来说明，如果内部网带病毒，用NBR的诊断指令，是很容易判断出来的，同时还可以简单的知道都有哪些PC感染了网络病毒。

一样的，还是执行“show ip nat statistics”和 “show ip nat translations”指令来分析。

NBR#show ip nat statistics

Total active translations: 10000 (0 static, 10000 dynamic; 10000 extended)

Outside interfaces: FastEthernet0

Inside interfaces: FastEthernet1

Maximum nat entries permitted: 10000

Maxhits: 52162 Last hit maximum: 00:00:00

Peak: 10000 Last hit peak value: 00:30:20

Hits: 522298523 Misses: 3064356

Expired translations: 3077267

Dynamic mappings:

-- Inside Source

access-list 1 interface FastEthernet0 refcount 145

可以看出，以上的显示说明在当前NAT的并发节点数量达到了10000条，这个非常明显的，肯定是有网络病毒了。继续执行“show ip nat translations ”来分析了。

锐捷NBR路由器常见故障FAQ

NBR#show ip nat translations

tcp 220.189.244.148:3555 192.168.2.57:3555 21.68.161.51:445 21.68.161.51:445

tcp 220.189.244.148:1909 192.168.2.46:1909 192.168.254.72:445 192.168.254.72:445

tcp 220.189.244.148:2709 192.168.2.3:2709 192.168.83.170:445 192.168.83.170:445

tcp 220.189.244.148:2375 192.168.2.3:1652 192.168.192.127:445 192.168.192.127:445

tcp 220.189.244.148:2815 192.168.2.3:2815 192.168.211.198:445 192.168.211.198:445

tcp 220.189.244.148:4783 192.168.2.57:4783

tcp 220.189.244.148:2707 192.168.2.3:2707

tcp 220.189.244.148:2471 192.168.2.36:2471

tcp 220.189.244.148:2812 192.168.2.3:2812

tcp 220.189.244.148:4759 192.168.2.57:4759

tcp 220.189.244.148:2628 192.168.2.57:2628

tcp 220.189.244.148:2372 192.168.2.3:1650

tcp 220.189.244.148:2483 192.168.2.57:2483

tcp 220.189.244.148:2718 192.168.2.3:2718

tcp 220.189.244.148:2474 192.168.2.36:2474

tcp 220.189.244.148:1566 192.168.2.36:3059

tcp 220.189.244.148:2378 192.168.2.3:1662

tcp 220.189.244.148:2716 192.168.2.3:2716

tcp 220.189.244.148:2717 192.168.2.3:2717

tcp 220.189.244.148:3635 192.168.2.57:3635

tcp 220.189.244.148:2478 192.168.2.36:2478

tcp 220.189.244.148:1912 192.168.2.46:1912

tcp 220.189.244.148:2715 192.168.2.3:2715

tcp 220.189.244.148:2381 192.168.2.3:1674

tcp 220.189.244.148:2713 192.168.2.3:2713

tcp 220.189.244.148:1668 192.168.2.46:2946

tcp 220.189.244.148:2477 192.168.2.36:2477

tcp 220.189.244.148:1915 192.168.2.46:1915

214.199.125.249:445

192.168.83.170:445

192.168.112.158:445

192.168.211.198:445

11.161.176.165:445

201.65.202.150:445

192.168.192.127:445

132.143.52.175:445

192.168.83.170:445

192.168.112.158:445

192.168.254.17:135

192.168.192.127:445

192.168.83.170:445

192.168.83.170:445

211.78.100.229:445

192.168.112.158:445

192.168.254.72:445

192.168.83.170:445

192.168.192.127:445

192.168.83.170:445

192.168.126.141:135

192.168.112.158:445

192.168.254.72:445

214.199.125.249:445

192.168.83.170:445

192.168.112.158:445

192.168.211.198:445

11.161.176.165:445

201.65.202.150:445

192.168.192.127:445

132.143.52.175:445

192.168.83.170:445

192.168.112.158:445

192.168.254.17:135

192.168.192.127:445

192.168.83.170:445

192.168.83.170:445

211.78.100.229:445

192.168.112.158:445

192.168.254.72:445

192.168.83.170:445

192.168.192.127:445

192.168.83.170:445

192.168.126.141:135

192.168.112.158:445

192.168.254.72:445

锐捷NBR路由器常见故障FAQ

tcp 220.189.244.148:2694 192.168.2.3:2694 192.168.83.170:445 192.168.83.170:445

tcp 220.189.244.148:2482 192.168.2.36:2482 192.168.112.158:445 192.168.112.158:445

tcp 220.189.244.148:1892 192.168.2.46:1892 192.168.254.72:445 192.168.254.72:445

tcp 220.189.244.148:2433 192.168.2.22:2433 192.168.225.151:135 192.168.225.151:135

tcp 220.189.244.148:4400 192.168.2.57:4400 34.156.10.41:445 34.156.10.41:445

tcp 220.189.244.148:2483 192.168.2.36:2483 192.168.112.158:445 192.168.112.158:445

tcp 220.189.244.148:1893 192.168.2.46:1893 192.168.254.72:445 192.168.254.72:445

tcp 220.189.244.148:2480 192.168.2.36:2480 192.168.112.158:445 192.168.112.158:445

tcp 220.189.244.148:1682 192.168.2.46:1682 192.168.111.188:445 192.168.111.188:445

tcp 220.189.244.148:2693 192.168.2.3:2693 192.168.83.170:445 192.168.83.170:445

从上面的显示结果看，在第三列，看到访问的目的的IP地址的网络端口都是135、445，这个我们前面有说过，是“冲击波”和“振荡波”病毒的攻击端口和传播端口，有访问这些端口的，在第二列中显示的局域网IP地址的PC都感染了病毒，比如：

192.168.2.3、192.168.2.46、192.168.2.57，这些IP地址的内部PC，很明显的都感染了网络病毒了。对于感染了网络病毒的网吧，反应出来的实际表现就是上网速度慢，网页无法打开，玩网络游戏会卡，网络游戏掉线等诸多现象。

那如果内部有病毒了，该这么办呢？

配置防病毒功能，对于锐捷NBR路由器，有多种方式可以采用，如果仅仅简单的配置防止冲击波，则可以在WEB配置向导中，把启用防冲击波病毒的钩打上便可以了， 也可以在中文setup中，简单的回答便可以启用防止冲击波病毒了。

如果还有一些其他的网络病毒需要设置，则需要在CLI或者是Web配置中添加了。

比如在WEB中，可以采用在安全配置的防火墙配置功能，具体的配置界面如图：

(在图形化界面下内部防火墙对access-list 3198操作、外部防火墙对access-list 3199操作)。

锐捷NBR路由器常见故障FAQ

也可以通过CLI方式进行配置

以下配置都是在全局配置模式下进行：

access-list 100 deny tcp any any eq 135

//, W32/病毒利用此端口

access-list 100 deny tcp any any eq 136

access-list 100 deny tcp any any eq 137

//NETBIOS Name Service端口，部分病毒会利用此端口

access-list 100 deny tcp any any eq 138

//NETBIOS Datagram Service端口，部分病毒会利用此端口

access-list 100 deny tcp any any eq 139

锐捷NBR路由器常见故障FAQ

//NETBIOS Session Service端口，部分病毒会利用此端口

access-list 100 deny tcp any any eq 445

//Lioten,Randon,WORM_DELODER.A,W32/Deloder.A, r, Sasser等病毒利用此端口

access-list 100 deny udp any any eq 135

//DCE endpoint resolution端口，部分病毒会利用此端口

access-list 100 deny udp any any eq 136

access-list 100 deny udp any any eq netbios-ns

access-list 100 deny udp any any eq netbios-dgm

access-list 100 deny udp any any eq 139

access-list 100 deny udp any any eq 445

access-list 100 deny tcp any any eq 4444

//CrackDown, Prosiak, Swift Remote, AlexTrojan等病毒利用此端口

access-list 100 deny udp any any eq tftp

access-list 100 permit ip any any

最后需要在NBR的LAN口上应用该ACL

步骤如下：NBR（config）#

interface FastEthernet 0/0

NBR（config-if）#ip access-group 100 in

P2P软件的应用

流量过大也会造成NBR路由器CPU利用率特别高，NBR路由器提供流量监控的功能，可以很方便的进行内部流量的监控，并通过前面介绍的限速功能进行合理的控制，很好的解

锐捷NBR路由器常见故障FAQ

决了由于流量过大造成的掉线问题

步骤如下：

NBR(config)#ip nat translation netflow

！开启流量监控

然后，通过命令查看用户带宽的使用情况包括IN和OUT。

NBR#sh ip nat translations flowrate inbound（outbound）

IP Inbound(Kb/sec) Outbound(Kb/sec) IsLimit IsSpecial

192.168.210.86 4 0 - -

192.168.210.81 3 10 - -

192.168.210.90 1 14 - -

192.168.210.198 0 1 - -

192.168.210.85 0 0 - -

192.168.210.87 0 0 - -

流量限速的设置

一般情况下，上行512kbps,下行1024kbps(1M）为合理的速度，也可以根据流量监控的数据进行调整。

设置基于IP地址的限速功能，可以通过CLI方式、Web管理方式进行配置的，具体的命令格式如下：

通过TELNET或者控制台，进入到路由器的CLI的配置模式下，在全局配置模式下，通过如下的指令来配置路由器的基于IP地址的限速功能。

1、ip nat translation rate-limit default inbound Kbit outbound Kbit

该命令是对所有的经过nat的ip host主机进行流量限速。其中：

inbound Kbit：是对从inside口收进来的nat转发报文进行流量限速，单位是Kbit。

outbound Kbit：是对从outside口收进来的nat转发报文进行流量限速，单位是Kbit。

单位是Kbit，其速率范围是从10Kbit-100000Kbit。

（该命令在全局配置层配置）

2、ip nat translation rate-limit inbound Kbit outbound Kbit

该命令是对某个特定的经过nat的ip host主机进行流量限速。其中：

锐捷NBR路由器常见故障FAQ

：指明了要进行限速的特定ip地址。

inbound Kbit：是对从inside口收进来的nat转发报文进行流量限速，单位是Kbit。

outbound Kbit：是对从outside口收进来的nat转发报文进行流量限速，单位是Kbit。

单位是Kbit，其速率范围是从10Kbit-100000Kbit。

（该命令在全局配置层配置）

3、 ip nat translation rate-limit iprange downip upip inbound Kbit outbound Kbit

该命令是对经过nat的符合ip范围的主机进行流量限速。单位是Kbit，其速率范围是从10Kbit-100000Kbit。

流量限速的例子：

nbr1000(config)#ip nat translation rate-limit default inbound 2000 outbound 4000

nbr1000(config)#ip nat translation rate-limit ip 192.168.210.124 inbound 10000 outbound

10000

上面配置命令中对所有经过nat的ip host主机，上行（从inside收进来的报文）流量速率限制在2000kbps (200Kbyte/s)，下行（从outside收进来的报文）流量速率限制在4000kbps。(400Kbyte/s)

注意，在命令中的是bps的单位，也就是每秒多少个bit，而在平时的下载中的速度，一般是以字节为单位的，一般来说可以按照10bit＝1byte来计算。

对来自192.168.210.124的主机报文，上行（从inside收进来的报文）流量速率限制在1000kbps，下行（从outside收进来的报文）流量速率限制在1000kbps。

通过查看各个用户的NAT节点占用情况，也可以判断内部是否有P2P等大流量的下载应用

NBR#show ip nat statistics per-user

NAT inside user count: 8, peak: 24 @ 2d,04:08:10 ago

Maximum nat entries for inside per user ip: 1000

IP count config

192.168.0.81 1000 0

192.168.0.85 10 0

0.8.10.0 1 0

锐捷NBR路由器常见故障FAQ

如果NAT总结点数很高，而且表现为某个用户占用的结点数特别多，可能有人中毒了或者用P2P软件比如BT在下载，如果出现类似0.8.10.0等非局域网地址，这表明有人对外网发起DDOS攻击（请参考的防DDOS攻击篇）

如果有人在BT下载，可以通过IP NAT结点控制来进行限制，也就是限制每个用户使用的NAT结点数来达到限BT下载的效果。

NBR1000(config)#ip nat translation per-user 0.0.0.0 120

对每IP的NAT结点数进行限制，一般情况设置为120，比较合理。结点控制可以针对每个用户也可以针对个别用户，这点也可以在网吧VIP分区中应用到。

ARP欺骗

大家都知道，内部PC要上网，则要设置PC的IP地址，还有网关地址，这里的网关地址就是NBR路由器的内部网接口IP地址，内部PC是如何访问外部网络呢？就是把访问外部网的报文发送给NBR的内部网，由NBR路由器进行NAT地址转发后，再把报文发送到外部网络上，同时又把外部回来的报文，去查询路由器内部的NAT链接，回送给相关的内部PC，完成一次网络的访问。

在网络上，存在两个地址，一个是IP地址，一个是MAC地址，MAC地址就是网络物理地址，内部PC要把报文发送到网关上，首先根据网关的IP地址，通过ARP去查询NBR的MAC地址，然后把报文发送到该MAC地址上，MAC地址是物理层的地址，所有报文要发送，最终都是发送到相关的MAC地址上的。所以在每台PC上，都有ARP的对应关系，就是IP地址和MAC地址的对应表，这些对应关系就是通过ARP和RARP报文进行更新的。

目前在网络上有一种病毒，会发送假冒的ARP报文，比如发送网关IP地址的ARP报文，把网关的IP对应到自己的MAC上，或者一个不存在的MAC地址上去，同时把这假冒的ARP报文在网络中广播，所有的内部PC就会更新了这个IP和MAC的对应表，下次上网的时候，就会把本来发送给网关的MAC的报文，发送到一个不存在或者错误的MAC地址上去，这样就会造成断线了。

锐捷NBR路由器常见故障FAQ

这就是ARP地址欺骗，这就是造成内部PC和外部网隔离的主要原因，该病毒在前一段时间特别的猖獗。针对这种情况，NBR路由器开发了防ARP地址欺骗的功能。

使用免费arp功能

在web管理界面下可以直接设置，如下述图所示：

或者使用命令行方式：

NBR (config)#interface fast 0/0

NBR(config-if)#arp gratuitous-send interval 1

！设置免费arp发送时间间隔为1秒

目前的ARP欺骗可以总结为两种

 冒充网关，欺骗内网PC，使内网PC掉线。

 冒充内网PC，欺骗网关，结果也是内网PC掉线。

NBR路由器的免费ARP功能可以解决第一种针对主机发起的网关ARP欺骗，对于第二中针对网关发起的主机ARPqioian，需要NBR路由器通过使用静态的arp表项将客户端电脑的IP与MAC地址绑定来解决。

在电脑商MAC地址显示格式为XX-XX-XX-XX-XX-XX，在使用静态的arp表项做绑定时需要注意输入的格式为。

锐捷NBR路由器常见故障FAQ

命令行方式下进行设置：

NBR#config t

NBR (config)#arp 192.168.0.10 00d0.f800.74f2 arpa

！绑定IP192.168.0.10和00-d0-f8-00-74-f2

NBR200(config)#arp 192.168.0.11 00d0.f800.768e arpa

NBR200(config)#arp 192.168.0.13 00d0.f800.9127 arpa

NBR200(config)#arp 192.168.0.14 00d0.f800.75b7 arpa

NBR200(config)#arp 192.168.0.15 00d0.2f00.747d arpa

取消绑定的方法：

取消绑定的设置比如：arp 192.168.0.14 00d0.f800.75b7 arpa

NBR(config)#no arp 192.168.1.14

! 取消绑定192.168.0.14

DDOS攻击

DDOS攻击的原理就是利用TCP的三次握手协商的特点，每次只发送第一个SYN报文，让路由器收到SYN报文以后应答SYN ACK 报文，而攻击者不理会SYN ACK报文，让连接无法创建，这样路由器就要消耗系统资源不断重传报文。大量的SYN报文，将使路由器的系统资源被消耗尽，最后就导致掉线现象的出现。DDOS 攻击不仅可以针对内网地址，也可以外网地址。目前，更多的是NBR外网地址受到攻击。

NBR 支持对内外网的DDOS攻击进行防范。

 NBR路由器防内网攻击配置

第一步：配置标准ACL，指定内网网关地址

NBR(config)#access-list 10 permit host 192.168.1.1

第二步：在LAN口上，应用限速命令。

interface FastEthernet 1/0

锐捷NBR路由器常见故障FAQ

rate-limit input access-group 10 64000 3000 3000 conform-action transmit exceed-action

drop

这样，所有针对内网网关地址的DOS报文将被限速。

 NBR路由器防外网攻击配置

NBR路由器防止外网攻击只要在全局配置模式下，启用抗外网攻击功能，并指定抗攻击等级即可。

NBR(config)#security anti-wan-attack level ?

high Security level-high

low Security level-low

medium Security level-medium

一般情况选择等级high，最高级别。NBR路由器不仅可以对付针对本机的DDOS攻击，还可以对付针对内建服务器的DDOS攻击。

防内建服务器被攻击

NBR(config)#ip nat translation outside 222.200.11.2 1000

222.200.11.2 是内建服务器的外网地址，1000为允许创建的连接数。通过这样的限制，内网服务器就会受到保护。

路由器端口协商问题

部分地区发现路由器WAN口与所连接的对端设备接口之间存在协商问题，有掉包情况出现，这也是网络游戏瞬断的可能原因。

遇到此情况请将WAN口的速率以及双工模式进行强制：

interface FastEthernet 1/0

speed 100

duplex full

!

补充：路由器使用光纤模块时如果无法linkup使用如上命令也可解决问题

锐捷NBR路由器常见故障FAQ

掉线问题排障思路

遇到掉线，首先要检测的是线路质量是否有问题。如果要判断外网线路质量，那么最简单的就是直接用PC接外网线路进行测试，基本就可以判断出线路的好坏！也可以请电信的工作人员分析外网线路的质量情况，比如电信局端对应接口的状态，看下是否有错误数据包等等，也可以判断出线路是否有问题。在确认外网线路没有问题的基础上，再按照以下的思路和方法去分析定位。

建议：排障前首先确认当前路由器的软件版本（show version），确认路由器的IOS是否为当前的最新版本。

确认外网线路正常而发生掉线情况，请在故障发生时通过如下步骤排查：

I 确认主机与路由器通信正常

可使用ping或者登录来判断（注：通过ping测试时需确认是否为路由器作回应）

如果路由器与主机不能正常通信：

掉线主机是否可以正常访问局域网的其他主机，如果否，故障发生在局域网；

局域网可以访问而网关无法访问：确认主机是否正确学习到路由器的物理地址、路由器是否正确学习到每客户端主机的物理地址，如果否请参考防arp欺骗说明进行设置。

通常的做法：将掉线的主机直接通过网线连接到路由器的LAN口，不经过局域网的交换机测试。

II 确认路由器与外网的连接以及工作状态

使用命令行方式登录路由器，通过ping外网的网关或者dns 来判断路由器与外网的连接状态（比如掉包 也有可能使得游戏掉线）。

通过查看路由器的状态信息可以帮助我们判断问题（show的使用请参考前面章节）：

show cpu

show ip nat statistics per-user

show ip nat statistics

show ip nat translation

show memory

show ip access-lists

show interface

锐捷NBR路由器常见故障FAQ

show arp

一些比较复杂的情况可能需要涉及到抓包，可以通过SNIFFER等嗅探软件获取网络中的数据包进行分析。

锐捷NBR路由器常见故障FAQ

借助日志功能分析故障原因

如果通过以上步骤的分析，还无法定位到问题所在，那么可以借助NBR路由器特有的日志信息功能来分析。

NBR路由器提高丰富的日志功能支持，与传统路由器比起来，NBR针对网吧又做了针对性的日志功能。

日志信息的解释

关于ARP 欺骗

1、2006-8-7 18:14:46 NBR1000: %6:%IP-4-DUPADDR1: Duplicate address 192.168.0.1

on FastEthernet 0/0, sourced by 00d0.f8fb.0036

该信息显示有IP地址跟网关冲突，内网可能有人在进行ARP 欺骗了(00d0.f8fb.0036可能就是问题主机的mac地址)。

2、00388 taicang: %6:arp update , mac address of 192.168.0.90 become change to new

mac :.84.05.73

该信息显示192.168.0.90 MAC地址更新，可能有人在冒充192.168.0.90（可疑mac地址为:.84.05.73）。

关于路由表变化

00006 2006-8-8 21:14:6 taicang: %6:ipff_proc_default_route_event for dfc

00007 2006-8-8 21:14:6 taicang: %6:DFC update:L2 head len =14,[00. 16. C7. 89. 93. 40.

00. D0. F8. FB. F1. 9F. 08. 00. ] nexthop 218.4.58.201 interface [2] : recu intf [-1]

这两条信息显示默认路由下一跳发生变化，可能是路由器刚启动或者端口up/down变化。

请确认线路是否正常。

锐捷NBR路由器常见故障FAQ

重要事件记录

1、接口up/down

00005 2006-8-8 21:14:6 taicang: %5:%LINE PROTOCOL CHANGE: Interface FastEthernet

1/0, changed state to UP

2、重启事件记录

2006-8-9 14:0:21 NBR1000: %6:System returned to ROM reload at 2006-08-02

19:06:34

3、路由器配置改动

2006-8-9 14:0:17 NBR1000: %5:Configured from console by vty0 (192.168.35.229)

从远程登录进行了配置，地址为192.168.35.229.

00083 2010-9-21 12:25:53 taicang: %5:Configured from console by console

控制台口对路由器进行了配置。

00014 2006-8-7 15:27:9 taicang: %5:Configured from web console (61.177.57.158)

Web 登录，对路由器进行了配置

日志服务的定时统计功能

NBR路由器还可以设定定时统计，并支持日志服务器功能。

可以通过WEB、也可以通过CLI进行配置，配置步骤如下：

NBR（config）#service sequence-numbers

！日志信息序列号

NBR（config）#service timestamps log datetime

！日志信息的时间戳格式为日期形式

NBR（config）#service timestamps debug uptime

！日志信息的时间戳格式为路由器启动时间形式

锐捷NBR路由器常见故障FAQ

NBR（config）#logging trace enable

！开启定时统计，必须在开启日志序列号的前提下才能开启该功能

NBR（config）#logging 192.168.33.31

！设定日志服务器地址

定时统计会影响路由器一定的性能，目前通过命令logging trace enable来控制。除非出了故障，需要跟踪，一般情况下不建议打开。定时统计主要信息如下所示：

1、接口流量统计（1分钟1次）

2、定时记录nat条目最多的ip地址和mac地址 （1分钟一次）

3、定时记录路由器cpu利用率（5分钟一次）

4、定时记录路由器内存利用率（5分钟一次）

5、定时记录流量最大的ip地址和mac地址（1分钟一次）

6、定时记录nat会话总数（1分钟1次）

7、定时log hfc 总数（1分钟1次）

HFC为主机路由的个数，可以通过show ip cache来查看。如果HFC个数非常多，内存可能被消耗光。

本文标签： 路由器地址报文IP地址