admin管理员组文章数量:1536099
2024年2月6日发(作者:)
锐捷NBR路由器常见故障FAQ
锐捷NBR路由器常见故障FAQ
(2006-09-06)
锐捷NBR路由器常见故障FAQ
目录
管理设置 .......................................................................................................................................... 3
无法正常登录路由器的web管理界面。 ...................................................................... 3
使用默认的admin/admin帐号无法登录. ....................................................................... 3
初次设置之后无法上网 ................................................................................................................... 4
手动指定了电脑的IP地址设置之后可以上QQ,但无法浏览网页 ........................... 4
无法自动获取到IP地址从而上网 ................................................................................. 4
PPPOE拨号无法上网 ...................................................................................................... 5
常见的掉线原因 .............................................................................................................................. 6
配置错误导致掉线 ........................................................................................................... 6
Keepalive机制 ......................................................................................................... 6
地址池设置 ............................................................................................................... 6
多线路负载均衡 ....................................................................................................... 7
基于IP地址的限速 ................................................................................................. 8
当前的网络应用导致掉线 ............................................................................................... 9
病毒攻击 ................................................................................................................... 9
P2P软件的应用 ..................................................................................................... 15
ARP欺骗 ................................................................................................................ 18
DDOS攻击 ............................................................................................................. 20
路由器端口协商问题 ............................................................................................. 21
掉线问题排障思路......................................................................................................................... 22
借助日志功能分析故障原因 ......................................................................................................... 24
日志信息的解释 ............................................................................................................. 24
关于ARP 欺骗 ...................................................................................................... 24
关于路由表变化 ..................................................................................................... 24
重要事件记录 ......................................................................................................... 25
日志服务的定时统计功能 ............................................................................................. 25
锐捷NBR路由器常见故障FAQ
管理设置
无法正常登录路由器的web管理界面。
路由器初始IP地址为192.168.1.1/24,默认帐号为admin/admin,使用web登录路由器时,需要准备的工作如下:
1) 主机的IP地址更改为192.168.1.x/24,网关指向192.168.1.1;
2) 主机上需要安装java虚拟机程序,要求为java 1.3.1版本(随机光盘附带,见
3) 在主机上ping路由器的IP地址192.168.1.1以测试主机与路由器的通信是否可正常。可以ping通,则说明主机与路由器通信可正常。如若不能ping通,建议首先将路由器复位至出厂值;
复位方法:在路由器通电情况下,长按前面板的reset键5秒钟以上,此时路由器将自动重启即恢复出厂状态。
4) ping通路由器的IP地址而在IE内输入路由器的IP地址之后仍旧不能提示路由器的管理界面;或者,复位之后仍旧无法ping通路由器, 请通过超级终端登录路由器此时的配置以及工作状态。
若路由器配置仍存在,说明未复位成功,确认复位的方法。
若路由器自动进入rom模式,则需要重新升级路由器的软件,您可以与经销商联系。
5)必须确认路由器web管理相关文件是否存在:、、,若flash内无这些文件,请重新升级路由器的打包升级文件UPD即可更新这些文件。
如果可以登录路由器的web管理界面,但调用java插件错误,无法打开图形化界面的情况:除了所安装的java版本非1.3.1,可能的原因是当前路由器的软件版本与web文件不对应,遇到这种情况直接升级UPD文件(所有的文件都更新到同一版本)。
使用默认的admin/admin帐号无法登录.
确认是否设置过路由器,如第一次使用,建议直接复位。复位方法参考<1>
如丢失路由器的口令而需要保留路由器的当前配置,请参考路由器用户手册或者相关文档关于密码丢失处理指导进行处理。
锐捷NBR路由器常见故障FAQ
初次设置之后无法上网
手动指定了电脑的IP地址设置之后可以上QQ,但无法浏览网页
确认主机的TCP/IP属性设置,手动分配IP地址的情况下:
确保主机的IP地址与路由器的管理IP同一个网段,主机需要将其网关指向路由器的IP地址。
DNS设置: 指定DNS为外网线路(比如电信、网通DNS),路由器自身不能解析域名。
若在某特定环境下需要将主机的DNS地址指向路由器lan口IP地址,需要在路由器设置DNS Relay:路由器将收到的DNS请求报文转发到真正的DNS服务器,并且将解析结果应答给请求主机。
配置举例:假设NAT inside接口的IP地址是192.168.1.1,DNS服务器的IP是202.101.98.55,则DNS relay功能配置如下:
ip nat application source list 1 destination udp 192.168.1.1 53 dest-change 202.101.98.55 53
其中ACL号1,如:access-list 1 permit any
上述ip nat application 命令的语义就是:如果有源地址满足access-list 1、目的地址是192.168.1.1、目的端口是53 的UDP 报文,则修改这个IP 报文的目的地址为202.101.98.55、目的端口为53。
无法自动获取到IP地址从而上网
默认情况下,路由器DHCP Server功能没有打开。需要手动开启DHCP服务器功能。
DHCP地址池设置时需注意:客户端子网、缺省网关、域名服务器即DNS都需要指定。
router(config)#service dhcp
!启用DHCP功能
router(config)#ip dhcp excluded 192.168.0.2 192.168.0.50
!排斥地址,不分配给客户端的,此为可选选项
router(config)#ip dhcp pool test
!配置地址池信息
router(config-dhcp)#network 192.168.0.0 255.255.255.0
!地址段
router(config-dhcp)#default-router 192.168.0.1
锐捷NBR路由器常见故障FAQ
!客户端的网关
router(config-dhcp)#dns-server 202.101.98.55
!客户端的DNS
router(config-dhcp)#end
router#write
!保存
PPPOE拨号无法上网
1) 确认不使用路由器而直接使用主机拨号可以正常使用;
2) 确认路由器的配置:帐号、密码是否设置正确;
3) 确认MODEM工作在桥模式Bridged;
4) 确认主机的DNS指向公网的域名服务器IP地址(非路由器的LAN口IP);
5) 可以通过show interface dialer x 查看拨号口的信息,确认路由器是否可获取到IP地址。
锐捷NBR路由器常见故障FAQ
常见的掉线原因
目前NBR路由器在实际环境中使用时,遇到最多的故障就是掉线,那么是什么原因导致的掉线呢?掉线的各种可能原因有如下几点:ARP欺骗等病毒、流量过大、线路质量、配置错误、DDOS攻击等。既然掉线的原因有这么多种,我们平常该如何准确快速的定位出故障原因所在,并解决呢?我们需要有一套清晰的排障思路和系统的排障方法,通过这两个法宝找出问题所在,再结合NBR路由器特有的安全功能去解决。
配置错误导致掉线
Keepalive机制
对于接口是否是通的判断是缺省每隔10 秒钟,发送一个DNS 或者Ping 的报文,精确的收到回答后,认为线路正常,如果没有收到,连续发送3 次,如果3 次都没有正确的应答,则认为该接口是Down 的(也就是认为此线路断开连接)。
如果线路稳定尽量不要使用该功能,而单线路用户则更没有必要使用。如果需要启用keepalive 线路检测,建议将发送的频度设置为5~10秒,这样1分钟内就可完成线路切换。
发送DNS报文检测线路:发送DNS 请求,向公网的DNS 服务器发送请求,通过回应验证广域网口的线路是不是正常。
NBR1000(config)#interface fast 1/0
NBR1000(config-if)#keepalive 10 dns 202.101.98.55
或 发送ping报文检测线路:发送ping 请求,向ISP 网关服务器发送ping 请求,通过回应验证广域网口的线路是不是正常。
NBR1000(config)#interface fast 1/0
NBR1000(config-if)#keepalive 10 ping 221.203.76.1
要求:线路检测机制所指定的DNS服务器或ISP网关本身稳定。
地址池设置
由于NBR系列路由器现采用的是多IP均衡的方式,在一般应用下使用1个公网IP地址即
锐捷NBR路由器常见故障FAQ
可满足需求;在一个地址池里设置多个连续的IP地址,一个主机不同的网络连接可能使用的公网地址不同,有可能造成游戏的掉线。
因此,如果外网有多IP地址,建议采用多IP地址池的方式设置。
单独地址池示例
:所有的主机使用221.203.76.13地址共享上网
ip nat pool nbr_setup_build_pool prefix-length 24
address 221.203.76.13 221.203.76.13 match interface FastEthernet 1/0
access-list 99 permit any
ip nat inside source list 99 pool nbr_setup_build_pool
多个地址池示例:奇数IP的主机使用221.203.76.13地址共享上网,偶数IP的主机则使用221.203.76.15地址共享上网
ip nat pool p1 prefix-length 24
address 221.203.76.13 221.203.76.13 match inte fa 1/0
ip nat pool p2 prefix-length 24
address 221.203.76.15 221.203.76.15 match inte fa 1/0
access-list 1 permit 192.168.0.1 0.0.0.254
access-list 2 permit 192.168.0.0 0.0.0.254
ip nat inside source list 1 pool p1 overload
ip nat inside source list 2 pool p2 overload
多线路负载均衡
如果外网存在多个线路,如果没有做路由的相应设置,按照路由器自身的均衡策略有可能一个主机不同的网络连接可能使用的不同线路,有可能造成游戏的掉线。
建议优化路由的设置:
1) 不同ISP提供商的双线路路由设置:
比如电信与网通,只导入网通的路由,将网通网段的目的地址出口指向网通线路,其他的目的地址指向电信线路。两条默认路由中,应该将指向网通线路的默认路由Metric值设置为较大的值,使之成为备份线路。
这样做的原因是电信的网络覆盖面广,出国线路主要是电信的。
锐捷NBR路由器常见故障FAQ
2)同一ISP提供商的双线路路由设置:
可以使用default-route对源地址的选路进行控制:
config t
!设置访问控制列表3100、3101 标识不同的主机范围
access-list 3100 permit ip 192.168.1.1 192.168.1.110 any
access-list 3101 permit ip 192.168.1.111 192.168.1.253 any
!设置符合3100访问控制列表的主机优先走fast 1/0 即wan0,匹配3101访问控制列表的主机 优先走fast 1/1 即wan1
ip default-route list 3100 out-interface FastEthernet 1/0
ip default-route list 3101 out-interface FastEthernet 1/1
!
基于IP地址的限速
路由器设置限速的单位为Kbitps,如果启用了限速功能,把速度限制得过低,也可能导致一些游戏掉线。
锐捷NBR路由器常见故障FAQ
当前的网络应用导致掉线
此时,可以通过查看路由器的CPU状态来初步判定:如果CPU利用率很高,那么有可能是病毒、内部流量过大、DDOS攻击造成,需要采取相应的办法去定位和解决;如果CPU利用率不高,那可能是其它原因导致的掉线。
NBR1000#sh cpu
CPU utilization for five seconds: 1%
CPU utilization for one minute : 1%
CPU utilization for five minutes: 1%
CPU utilization peak for five seconds: 99%,at: 2006-8-7 18:15:01
!路由器启动以来的高峰CPU使用率
CPU utilization peak for one minute : 93%,at: 2006-8-7 18:16:9
CPU utilization peak for five minutes: 49%,at: 2006-8-7 18:16:53
病毒攻击
网络病毒层出不穷,但是道高一尺,魔高一丈,所有的网络病毒都是通过网络传输的,网络病毒的数据报文也一定遵循TCP/IP协议,一定有源IP地址,目的IP地址,源TCP/IP端口,目的TCP/IP端口,同一种网络病毒,一般目的IP端口是相同的,比如冲击波病毒的端口是135,震荡波病毒的端口是445,只要把这些端口在路由器上给限制了,那么外部的病毒就无法通过路由器这个唯一的入口进入到内部网了,内部的网络病毒发起的报文,由于在路由器上作了限制,路由器不加以处理,则可以降低病毒报文占据大量的网络带宽。
通过NBR路由器如何判断内部网络是否有病毒存在呢?
通过CLI模式,首先执行“show ip nat statistics”
出现如下的执行结果:
NBR# show ip nat statistics
Total active translations: 146 (1 static, 145 dynamic; 146 extended)
锐捷NBR路由器常见故障FAQ
Outside interfaces: FastEthernet 1/0
Inside interfaces: FastEthernet 0/0
Maximum nat entries permitted: 10000
Maxhits: 0 Last hit maximum: never
Peak: 5138 Last hit peak value: 1w4d
Hits: 522298523 Misses: 3064356
Expired translations: 3077267
Dynamic mappings:
-- Inside Source
access-list 1 interface FastEthernet1/0 refcount 145
上面的结果,用红色的显示是当前NBR中,并发的NAT节点数量为146条,用蓝色的显示,路由器从开机到现在,最高的并发NAT节点数量为5138,发生在1周零4天前。
当并发NAT节点数量达到允许的最大节点数(这里是10000条)后,出现的反应就是网络上网速度非常慢,由于所有的NAT节点数都被占用,便会出现网页无法打开的情况,由于网络游戏无法申请到NAT节点的资源,这时网络游戏就表现出掉线的现象。
以上的“show ip nat statistics”指令仅仅是简单的看看网络是否正常,看到的信息也是非常有限的,NBR还提供了可以查看每条NAT节点信息的指令,可以在CLI模式下,运行“show
ip nat translations”,对于没有病毒的,运行结果如下:
NBRt#show ip nat translations
Pro Inside global Inside local Outside local Outside global
tcp 221.203.76.139:1550 192.168.1.139:1550 61.132.138.98:25 61.132.138.98:25
udp 221.203.76.139:1073 192.168.1.162:6970 64.132.47.205:27422 64.132.47.205:27422
udp 221.203.76.139:1095 192.168.1.193:4000 218.17.209.22:8000 218.17.209.22:8000
udp 221.203.76.139:1188 192.168.1.32:6975 221.208.76.130:7000 221.208.76.130:7000
tcp 221.203.76.139:2063 192.168.1.168:2063 202.104.242.29:80 202.104.242.29:80
上面是部分NAT节点信息汇总,当然了,以上仅仅节选了一部分的NAT节点信息,上面的显示结果中,第一列为NBR的出口的IP地址和端口,如果从运营商那里仅仅得到一个IP地址,那么一般就是NBR的WAN口IP地址了。
锐捷NBR路由器常见故障FAQ
第二列为局域网内部的PC的IP地址和端口,就是内部有访问外网的PC的IP地址和网络的端口了,第三和第四列一般来说是一样的,就是内部PC所访问的站点的IP地址和网络端口了。比如如果是80端口,便可以看出这个内部PC现在在用网络浏览器访问网站,如果是8000端口,则是上QQ了,如果是7000、7100、7200,则说明这台PC现在在玩“传奇”游戏了。如果是20、21端口,则是在执行FTP下载软件了。
以上这个是没有病毒的典型的NAT节点信息,如果内部网存在病毒,又是怎样一种情况呢?这里也有一个例子来说明,如果内部网带病毒,用NBR的诊断指令,是很容易判断出来的,同时还可以简单的知道都有哪些PC感染了网络病毒。
一样的,还是执行“show ip nat statistics”和 “show ip nat translations”指令来分析。
NBR#show ip nat statistics
Total active translations: 10000 (0 static, 10000 dynamic; 10000 extended)
Outside interfaces: FastEthernet0
Inside interfaces: FastEthernet1
Maximum nat entries permitted: 10000
Maxhits: 52162 Last hit maximum: 00:00:00
Peak: 10000 Last hit peak value: 00:30:20
Hits: 522298523 Misses: 3064356
Expired translations: 3077267
Dynamic mappings:
-- Inside Source
access-list 1 interface FastEthernet0 refcount 145
可以看出,以上的显示说明在当前NAT的并发节点数量达到了10000条,这个非常明显的,肯定是有网络病毒了。继续执行“show ip nat translations ”来分析了。
锐捷NBR路由器常见故障FAQ
NBR#show ip nat translations
tcp 220.189.244.148:3555 192.168.2.57:3555 21.68.161.51:445 21.68.161.51:445
tcp 220.189.244.148:1909 192.168.2.46:1909 192.168.254.72:445 192.168.254.72:445
tcp 220.189.244.148:2709 192.168.2.3:2709 192.168.83.170:445 192.168.83.170:445
tcp 220.189.244.148:2375 192.168.2.3:1652 192.168.192.127:445 192.168.192.127:445
tcp 220.189.244.148:2815 192.168.2.3:2815 192.168.211.198:445 192.168.211.198:445
tcp 220.189.244.148:4783 192.168.2.57:4783
tcp 220.189.244.148:2707 192.168.2.3:2707
tcp 220.189.244.148:2471 192.168.2.36:2471
tcp 220.189.244.148:2812 192.168.2.3:2812
tcp 220.189.244.148:4759 192.168.2.57:4759
tcp 220.189.244.148:2628 192.168.2.57:2628
tcp 220.189.244.148:2372 192.168.2.3:1650
tcp 220.189.244.148:2483 192.168.2.57:2483
tcp 220.189.244.148:2718 192.168.2.3:2718
tcp 220.189.244.148:2474 192.168.2.36:2474
tcp 220.189.244.148:1566 192.168.2.36:3059
tcp 220.189.244.148:2378 192.168.2.3:1662
tcp 220.189.244.148:2716 192.168.2.3:2716
tcp 220.189.244.148:2717 192.168.2.3:2717
tcp 220.189.244.148:3635 192.168.2.57:3635
tcp 220.189.244.148:2478 192.168.2.36:2478
tcp 220.189.244.148:1912 192.168.2.46:1912
tcp 220.189.244.148:2715 192.168.2.3:2715
tcp 220.189.244.148:2381 192.168.2.3:1674
tcp 220.189.244.148:2713 192.168.2.3:2713
tcp 220.189.244.148:1668 192.168.2.46:2946
tcp 220.189.244.148:2477 192.168.2.36:2477
tcp 220.189.244.148:1915 192.168.2.46:1915
214.199.125.249:445
192.168.83.170:445
192.168.112.158:445
192.168.211.198:445
11.161.176.165:445
201.65.202.150:445
192.168.192.127:445
132.143.52.175:445
192.168.83.170:445
192.168.112.158:445
192.168.254.17:135
192.168.192.127:445
192.168.83.170:445
192.168.83.170:445
211.78.100.229:445
192.168.112.158:445
192.168.254.72:445
192.168.83.170:445
192.168.192.127:445
192.168.83.170:445
192.168.126.141:135
192.168.112.158:445
192.168.254.72:445
214.199.125.249:445
192.168.83.170:445
192.168.112.158:445
192.168.211.198:445
11.161.176.165:445
201.65.202.150:445
192.168.192.127:445
132.143.52.175:445
192.168.83.170:445
192.168.112.158:445
192.168.254.17:135
192.168.192.127:445
192.168.83.170:445
192.168.83.170:445
211.78.100.229:445
192.168.112.158:445
192.168.254.72:445
192.168.83.170:445
192.168.192.127:445
192.168.83.170:445
192.168.126.141:135
192.168.112.158:445
192.168.254.72:445
锐捷NBR路由器常见故障FAQ
tcp 220.189.244.148:2694 192.168.2.3:2694 192.168.83.170:445 192.168.83.170:445
tcp 220.189.244.148:2482 192.168.2.36:2482 192.168.112.158:445 192.168.112.158:445
tcp 220.189.244.148:1892 192.168.2.46:1892 192.168.254.72:445 192.168.254.72:445
tcp 220.189.244.148:2433 192.168.2.22:2433 192.168.225.151:135 192.168.225.151:135
tcp 220.189.244.148:4400 192.168.2.57:4400 34.156.10.41:445 34.156.10.41:445
tcp 220.189.244.148:2483 192.168.2.36:2483 192.168.112.158:445 192.168.112.158:445
tcp 220.189.244.148:1893 192.168.2.46:1893 192.168.254.72:445 192.168.254.72:445
tcp 220.189.244.148:2480 192.168.2.36:2480 192.168.112.158:445 192.168.112.158:445
tcp 220.189.244.148:1682 192.168.2.46:1682 192.168.111.188:445 192.168.111.188:445
tcp 220.189.244.148:2693 192.168.2.3:2693 192.168.83.170:445 192.168.83.170:445
从上面的显示结果看,在第三列,看到访问的目的的IP地址的网络端口都是135、445,这个我们前面有说过,是“冲击波”和“振荡波”病毒的攻击端口和传播端口,有访问这些端口的,在第二列中显示的局域网IP地址的PC都感染了病毒,比如:
192.168.2.3、192.168.2.46、192.168.2.57,这些IP地址的内部PC,很明显的都感染了网络病毒了。对于感染了网络病毒的网吧,反应出来的实际表现就是上网速度慢,网页无法打开,玩网络游戏会卡,网络游戏掉线等诸多现象。
那如果内部有病毒了,该这么办呢?
配置防病毒功能,对于锐捷NBR路由器,有多种方式可以采用,如果仅仅简单的配置防止冲击波,则可以在WEB配置向导中,把启用防冲击波病毒的钩打上便可以了, 也可以在中文setup中,简单的回答便可以启用防止冲击波病毒了。
如果还有一些其他的网络病毒需要设置,则需要在CLI或者是Web配置中添加了。
比如在WEB中,可以采用在安全配置的防火墙配置功能,具体的配置界面如图:
(在图形化界面下内部防火墙对access-list 3198操作、外部防火墙对access-list 3199操作)。
锐捷NBR路由器常见故障FAQ
也可以通过CLI方式进行配置
以下配置都是在全局配置模式下进行:
access-list 100 deny tcp any any eq 135
//, W32/病毒利用此端口
access-list 100 deny tcp any any eq 136
access-list 100 deny tcp any any eq 137
//NETBIOS Name Service端口,部分病毒会利用此端口
access-list 100 deny tcp any any eq 138
//NETBIOS Datagram Service端口,部分病毒会利用此端口
access-list 100 deny tcp any any eq 139
锐捷NBR路由器常见故障FAQ
//NETBIOS Session Service端口,部分病毒会利用此端口
access-list 100 deny tcp any any eq 445
//Lioten,Randon,WORM_DELODER.A,W32/Deloder.A, r, Sasser等病毒利用此端口
access-list 100 deny udp any any eq 135
//DCE endpoint resolution端口,部分病毒会利用此端口
access-list 100 deny udp any any eq 136
access-list 100 deny udp any any eq netbios-ns
access-list 100 deny udp any any eq netbios-dgm
access-list 100 deny udp any any eq 139
access-list 100 deny udp any any eq 445
access-list 100 deny tcp any any eq 4444
//CrackDown, Prosiak, Swift Remote, AlexTrojan等病毒利用此端口
access-list 100 deny udp any any eq tftp
access-list 100 permit ip any any
最后需要在NBR的LAN口上应用该ACL
步骤如下:NBR(config)#
interface FastEthernet 0/0
NBR(config-if)#ip access-group 100 in
P2P软件的应用
流量过大也会造成NBR路由器CPU利用率特别高,NBR路由器提供流量监控的功能,可以很方便的进行内部流量的监控,并通过前面介绍的限速功能进行合理的控制,很好的解
锐捷NBR路由器常见故障FAQ
决了由于流量过大造成的掉线问题
步骤如下:
NBR(config)#ip nat translation netflow
!开启流量监控
然后,通过命令查看用户带宽的使用情况包括IN和OUT。
NBR#sh ip nat translations flowrate inbound(outbound)
IP Inbound(Kb/sec) Outbound(Kb/sec) IsLimit IsSpecial
192.168.210.86 4 0 - -
192.168.210.81 3 10 - -
192.168.210.90 1 14 - -
192.168.210.198 0 1 - -
192.168.210.85 0 0 - -
192.168.210.87 0 0 - -
流量限速的设置
一般情况下,上行512kbps,下行1024kbps(1M)为合理的速度,也可以根据流量监控的数据进行调整。
设置基于IP地址的限速功能,可以通过CLI方式、Web管理方式进行配置的,具体的命令格式如下:
通过TELNET或者控制台,进入到路由器的CLI的配置模式下,在全局配置模式下,通过如下的指令来配置路由器的基于IP地址的限速功能。
1、ip nat translation rate-limit default inbound Kbit outbound Kbit
该命令是对所有的经过nat的ip host主机进行流量限速。其中:
inbound Kbit:是对从inside口收进来的nat转发报文进行流量限速,单位是Kbit。
outbound Kbit:是对从outside口收进来的nat转发报文进行流量限速,单位是Kbit。
单位是Kbit,其速率范围是从10Kbit-100000Kbit。
(该命令在全局配置层配置)
2、ip nat translation rate-limit inbound Kbit outbound Kbit
该命令是对某个特定的经过nat的ip host主机进行流量限速。其中:
锐捷NBR路由器常见故障FAQ
:指明了要进行限速的特定ip地址。
inbound Kbit:是对从inside口收进来的nat转发报文进行流量限速,单位是Kbit。
outbound Kbit:是对从outside口收进来的nat转发报文进行流量限速,单位是Kbit。
单位是Kbit,其速率范围是从10Kbit-100000Kbit。
(该命令在全局配置层配置)
3、 ip nat translation rate-limit iprange downip upip inbound Kbit outbound Kbit
该命令是对经过nat的符合ip范围的主机进行流量限速。单位是Kbit,其速率范围是从10Kbit-100000Kbit。
流量限速的例子:
nbr1000(config)#ip nat translation rate-limit default inbound 2000 outbound 4000
nbr1000(config)#ip nat translation rate-limit ip 192.168.210.124 inbound 10000 outbound
10000
上面配置命令中对所有经过nat的ip host主机,上行(从inside收进来的报文)流量速率限制在2000kbps (200Kbyte/s),下行(从outside收进来的报文)流量速率限制在4000kbps。(400Kbyte/s)
注意,在命令中的是bps的单位,也就是每秒多少个bit,而在平时的下载中的速度,一般是以字节为单位的,一般来说可以按照10bit=1byte来计算。
对来自192.168.210.124的主机报文,上行(从inside收进来的报文)流量速率限制在1000kbps,下行(从outside收进来的报文)流量速率限制在1000kbps。
通过查看各个用户的NAT节点占用情况,也可以判断内部是否有P2P等大流量的下载应用
NBR#show ip nat statistics per-user
NAT inside user count: 8, peak: 24 @ 2d,04:08:10 ago
Maximum nat entries for inside per user ip: 1000
IP count config
192.168.0.81 1000 0
192.168.0.85 10 0
0.8.10.0 1 0
锐捷NBR路由器常见故障FAQ
如果NAT总结点数很高,而且表现为某个用户占用的结点数特别多,可能有人中毒了或者用P2P软件比如BT在下载,如果出现类似0.8.10.0等非局域网地址,这表明有人对外网发起DDOS攻击(请参考的防DDOS攻击篇)
如果有人在BT下载,可以通过IP NAT结点控制来进行限制,也就是限制每个用户使用的NAT结点数来达到限BT下载的效果。
NBR1000(config)#ip nat translation per-user 0.0.0.0 120
对每IP的NAT结点数进行限制,一般情况设置为120,比较合理。结点控制可以针对每个用户也可以针对个别用户,这点也可以在网吧VIP分区中应用到。
ARP欺骗
大家都知道,内部PC要上网,则要设置PC的IP地址,还有网关地址,这里的网关地址就是NBR路由器的内部网接口IP地址,内部PC是如何访问外部网络呢?就是把访问外部网的报文发送给NBR的内部网,由NBR路由器进行NAT地址转发后,再把报文发送到外部网络上,同时又把外部回来的报文,去查询路由器内部的NAT链接,回送给相关的内部PC,完成一次网络的访问。
在网络上,存在两个地址,一个是IP地址,一个是MAC地址,MAC地址就是网络物理地址,内部PC要把报文发送到网关上,首先根据网关的IP地址,通过ARP去查询NBR的MAC地址,然后把报文发送到该MAC地址上,MAC地址是物理层的地址,所有报文要发送,最终都是发送到相关的MAC地址上的。所以在每台PC上,都有ARP的对应关系,就是IP地址和MAC地址的对应表,这些对应关系就是通过ARP和RARP报文进行更新的。
目前在网络上有一种病毒,会发送假冒的ARP报文,比如发送网关IP地址的ARP报文,把网关的IP对应到自己的MAC上,或者一个不存在的MAC地址上去,同时把这假冒的ARP报文在网络中广播,所有的内部PC就会更新了这个IP和MAC的对应表,下次上网的时候,就会把本来发送给网关的MAC的报文,发送到一个不存在或者错误的MAC地址上去,这样就会造成断线了。
锐捷NBR路由器常见故障FAQ
这就是ARP地址欺骗,这就是造成内部PC和外部网隔离的主要原因,该病毒在前一段时间特别的猖獗。针对这种情况,NBR路由器开发了防ARP地址欺骗的功能。
使用免费arp功能
在web管理界面下可以直接设置,如下述图所示:
或者使用命令行方式:
NBR (config)#interface fast 0/0
NBR(config-if)#arp gratuitous-send interval 1
!设置免费arp发送时间间隔为1秒
目前的ARP欺骗可以总结为两种
冒充网关,欺骗内网PC,使内网PC掉线。
冒充内网PC,欺骗网关,结果也是内网PC掉线。
NBR路由器的免费ARP功能可以解决第一种针对主机发起的网关ARP欺骗,对于第二中针对网关发起的主机ARPqioian,需要NBR路由器通过使用静态的arp表项将客户端电脑的IP与MAC地址绑定来解决。
在电脑商MAC地址显示格式为XX-XX-XX-XX-XX-XX,在使用静态的arp表项做绑定时需要注意输入的格式为。
锐捷NBR路由器常见故障FAQ
命令行方式下进行设置:
NBR#config t
NBR (config)#arp 192.168.0.10 00d0.f800.74f2 arpa
!绑定IP192.168.0.10和00-d0-f8-00-74-f2
NBR200(config)#arp 192.168.0.11 00d0.f800.768e arpa
NBR200(config)#arp 192.168.0.13 00d0.f800.9127 arpa
NBR200(config)#arp 192.168.0.14 00d0.f800.75b7 arpa
NBR200(config)#arp 192.168.0.15 00d0.2f00.747d arpa
取消绑定的方法:
取消绑定的设置比如:arp 192.168.0.14 00d0.f800.75b7 arpa
NBR(config)#no arp 192.168.1.14
! 取消绑定192.168.0.14
DDOS攻击
DDOS攻击的原理就是利用TCP的三次握手协商的特点,每次只发送第一个SYN报文,让路由器收到SYN报文以后应答SYN ACK 报文,而攻击者不理会SYN ACK报文,让连接无法创建,这样路由器就要消耗系统资源不断重传报文。大量的SYN报文,将使路由器的系统资源被消耗尽,最后就导致掉线现象的出现。DDOS 攻击不仅可以针对内网地址,也可以外网地址。目前,更多的是NBR外网地址受到攻击。
NBR 支持对内外网的DDOS攻击进行防范。
NBR路由器防内网攻击配置
第一步:配置标准ACL,指定内网网关地址
NBR(config)#access-list 10 permit host 192.168.1.1
第二步:在LAN口上,应用限速命令。
interface FastEthernet 1/0
锐捷NBR路由器常见故障FAQ
rate-limit input access-group 10 64000 3000 3000 conform-action transmit exceed-action
drop
这样,所有针对内网网关地址的DOS报文将被限速。
NBR路由器防外网攻击配置
NBR路由器防止外网攻击只要在全局配置模式下,启用抗外网攻击功能,并指定抗攻击等级即可。
NBR(config)#security anti-wan-attack level ?
high Security level-high
low Security level-low
medium Security level-medium
一般情况选择等级high,最高级别。NBR路由器不仅可以对付针对本机的DDOS攻击,还可以对付针对内建服务器的DDOS攻击。
防内建服务器被攻击
NBR(config)#ip nat translation outside 222.200.11.2 1000
222.200.11.2 是内建服务器的外网地址,1000为允许创建的连接数。通过这样的限制,内网服务器就会受到保护。
路由器端口协商问题
部分地区发现路由器WAN口与所连接的对端设备接口之间存在协商问题,有掉包情况出现,这也是网络游戏瞬断的可能原因。
遇到此情况请将WAN口的速率以及双工模式进行强制:
interface FastEthernet 1/0
speed 100
duplex full
!
补充:路由器使用光纤模块时如果无法linkup使用如上命令也可解决问题
锐捷NBR路由器常见故障FAQ
掉线问题排障思路
遇到掉线,首先要检测的是线路质量是否有问题。如果要判断外网线路质量,那么最简单的就是直接用PC接外网线路进行测试,基本就可以判断出线路的好坏!也可以请电信的工作人员分析外网线路的质量情况,比如电信局端对应接口的状态,看下是否有错误数据包等等,也可以判断出线路是否有问题。在确认外网线路没有问题的基础上,再按照以下的思路和方法去分析定位。
建议:排障前首先确认当前路由器的软件版本(show version),确认路由器的IOS是否为当前的最新版本。
确认外网线路正常而发生掉线情况,请在故障发生时通过如下步骤排查:
I 确认主机与路由器通信正常
可使用ping或者登录来判断(注:通过ping测试时需确认是否为路由器作回应)
如果路由器与主机不能正常通信:
掉线主机是否可以正常访问局域网的其他主机,如果否,故障发生在局域网;
局域网可以访问而网关无法访问:确认主机是否正确学习到路由器的物理地址、路由器是否正确学习到每客户端主机的物理地址,如果否请参考防arp欺骗说明进行设置。
通常的做法:将掉线的主机直接通过网线连接到路由器的LAN口,不经过局域网的交换机测试。
II 确认路由器与外网的连接以及工作状态
使用命令行方式登录路由器,通过ping外网的网关或者dns 来判断路由器与外网的连接状态(比如掉包 也有可能使得游戏掉线)。
通过查看路由器的状态信息可以帮助我们判断问题(show的使用请参考前面章节):
show cpu
show ip nat statistics per-user
show ip nat statistics
show ip nat translation
show memory
show ip access-lists
show interface
锐捷NBR路由器常见故障FAQ
show arp
一些比较复杂的情况可能需要涉及到抓包,可以通过SNIFFER等嗅探软件获取网络中的数据包进行分析。
锐捷NBR路由器常见故障FAQ
借助日志功能分析故障原因
如果通过以上步骤的分析,还无法定位到问题所在,那么可以借助NBR路由器特有的日志信息功能来分析。
NBR路由器提高丰富的日志功能支持,与传统路由器比起来,NBR针对网吧又做了针对性的日志功能。
日志信息的解释
关于ARP 欺骗
1、2006-8-7 18:14:46 NBR1000: %6:%IP-4-DUPADDR1: Duplicate address 192.168.0.1
on FastEthernet 0/0, sourced by 00d0.f8fb.0036
该信息显示有IP地址跟网关冲突,内网可能有人在进行ARP 欺骗了(00d0.f8fb.0036可能就是问题主机的mac地址)。
2、00388 taicang: %6:arp update , mac address of 192.168.0.90 become change to new
mac :.84.05.73
该信息显示192.168.0.90 MAC地址更新,可能有人在冒充192.168.0.90(可疑mac地址为:.84.05.73)。
关于路由表变化
00006 2006-8-8 21:14:6 taicang: %6:ipff_proc_default_route_event for dfc
00007 2006-8-8 21:14:6 taicang: %6:DFC update:L2 head len =14,[00. 16. C7. 89. 93. 40.
00. D0. F8. FB. F1. 9F. 08. 00. ] nexthop 218.4.58.201 interface [2] : recu intf [-1]
这两条信息显示默认路由下一跳发生变化,可能是路由器刚启动或者端口up/down变化。
请确认线路是否正常。
锐捷NBR路由器常见故障FAQ
重要事件记录
1、接口up/down
00005 2006-8-8 21:14:6 taicang: %5:%LINE PROTOCOL CHANGE: Interface FastEthernet
1/0, changed state to UP
2、重启事件记录
2006-8-9 14:0:21 NBR1000: %6:System returned to ROM reload at 2006-08-02
19:06:34
3、路由器配置改动
2006-8-9 14:0:17 NBR1000: %5:Configured from console by vty0 (192.168.35.229)
从远程登录进行了配置,地址为192.168.35.229.
00083 2010-9-21 12:25:53 taicang: %5:Configured from console by console
控制台口对路由器进行了配置。
00014 2006-8-7 15:27:9 taicang: %5:Configured from web console (61.177.57.158)
Web 登录,对路由器进行了配置
日志服务的定时统计功能
NBR路由器还可以设定定时统计,并支持日志服务器功能。
可以通过WEB、也可以通过CLI进行配置,配置步骤如下:
NBR(config)#service sequence-numbers
!日志信息序列号
NBR(config)#service timestamps log datetime
!日志信息的时间戳格式为日期形式
NBR(config)#service timestamps debug uptime
!日志信息的时间戳格式为路由器启动时间形式
锐捷NBR路由器常见故障FAQ
NBR(config)#logging trace enable
!开启定时统计,必须在开启日志序列号的前提下才能开启该功能
NBR(config)#logging 192.168.33.31
!设定日志服务器地址
定时统计会影响路由器一定的性能,目前通过命令logging trace enable来控制。除非出了故障,需要跟踪,一般情况下不建议打开。定时统计主要信息如下所示:
1、接口流量统计(1分钟1次)
2、定时记录nat条目最多的ip地址和mac地址 (1分钟一次)
3、定时记录路由器cpu利用率(5分钟一次)
4、定时记录路由器内存利用率(5分钟一次)
5、定时记录流量最大的ip地址和mac地址(1分钟一次)
6、定时记录nat会话总数(1分钟1次)
7、定时log hfc 总数(1分钟1次)
HFC为主机路由的个数,可以通过show ip cache来查看。如果HFC个数非常多,内存可能被消耗光。
版权声明:本文标题:NBR路由器常见故障FAQ 内容由热心网友自发贡献,该文观点仅代表作者本人, 转载请联系作者并注明出处:https://m.elefans.com/dongtai/1707176140a188605.html, 本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如发现本站有涉嫌抄袭侵权/违法违规的内容,一经查实,本站将立刻删除。
发表评论