AR18掉线解决办法03网吧故障排除.docx
- 文档编号:11208412
- 上传时间:2023-02-25
- 格式:DOCX
- 页数:11
- 大小:40.43KB
AR18掉线解决办法03网吧故障排除.docx
《AR18掉线解决办法03网吧故障排除.docx》由会员分享,可在线阅读,更多相关《AR18掉线解决办法03网吧故障排除.docx(11页珍藏版)》请在冰豆网上搜索。
AR18掉线解决办法03网吧故障排除
网吧故障排除FAQ
HangzhouHuawei-3ComTechnologyCo.,Ltd.
杭州华为3Com技术有限公司
Allrightsreserved
版权所有XX
目录
1介绍1
2FAQ2
2.1问题现象:
通过web配置PPPoE拨号后大部分网页无法打开2
2.2问题现象:
通过路由器下载速度慢,不使用路由器直接连接上行线路没有问题2
2.3问题现象:
用户使用双线路上网速度慢,断调其中一条线路后恢复正常3
2.4问题现象:
用户使用双线路上网速度,发现一些特定的网站或者游戏运行不正常3
2.5问题现象:
用户反馈使用路由器会出现周期性全网中断的情况,无法ping通网关和外网4
2.6问题现象:
用户反馈路由器偶尔出现上网速度很慢的情况,ping网关和外网延时很大4
2.7问题现象:
用户反馈只要网吧内有用户使用BT或者迅雷下载其它用户就会出现玩游戏卡的现象6
2.8问题现象:
用户反馈AR18-23-1只有后面两个端口可用,前面两个端口插上线灯不亮,无法使用7
2.9问题现象:
用户在上网高峰期时上网速度慢,并且NATsession数达到4万多条:
7
2.10其它问题:
7
2.10.1浙江某网吧用户反馈182224使用CAR限速不起作用7
2.10.2杭州某网吧在AR18-22-24上面划分Vlan之后,Vlan之间无法互通8
2.10.3泉州某网吧用户使用AR18-22,做虚拟服务器,希望内网、外网都能通过域名访问。
8
2.10.4问苏州某网吧反馈网吧更换AR1863路由器后,出现局域网主机无法上网,ping通网关的情况8
网吧故障排除FAQ
关键词:
故障,网吧、FAQ,
摘要:
本文主要介绍AR18系列路由器在网吧使用过程中经常碰到的故障及其解决方法。
缩略语:
缩略语
英文全名
中文解释
NAT
NetworkAddressTranslation
网络地址转换
1介绍
AR18系列路由器提供强大的转发性能及其丰富的应用特性,尤其是H3CAR18-63-1是华为3COM公司以H3C品牌推出的一款高性能的全GE的固定接口以太网路由器,它主要是定位于以太网接入的SMB市场、政府或企业分支机构的应用,如需出口带宽高的网吧、酒店和学校,政府部分的电子政务网应用,等等。
AR18-63-1路由器采用MIPS微处理器技术(主频为800MHz),缺省内存配置是256MB,Flash大小为16M。
其接口采用固定配置,该产品提供4个10/100/1000M自适应以太网接口(其中两个千兆以太网接口支持光/电可选,另外两个千兆以太网接口只支持电口)、1个AUX口和1个配置口。
由于AR18-63-1产品的CPU处理能力非常强大并采用全千兆接口,该产品具有非常高的IP转发性能。
AR18-63-1路由器采用华为3COM公司最新的VRP3.4网络操作系统平台,支持更多的功能特性,如最新开发动态VPN,最主要的是安全功能丰富,防攻击、报文过滤和NAT功能非常强大,特别适合于作为网络环境恶劣的Internet出口路由器。
同时VRP提供了中文帮助界面,配置简单,另外提供了丰富的软件特性,如QoS、路由、VPN等等,因此,又特别适合与SMB市场的应用。
总体来讲,AR18-63-1产品的几个突出特点是:
A、支持全千兆的以太网接口,并且支持的4个千兆接口足以满足一般的应用。
B、超强的IP转发性能,支持千兆的线速转发。
C、丰富的安全功能,支持丰富的防攻击、ASPF状态检测技术和应用过滤功能。
D、支持全面的VPN功能,如GRE、IPSec、L2TP和华为3COM公司专有的DVPN。
但在网吧的实际使用中经常因配置不当造成各种问题,本文主要总结AR18系列路由器使用中碰到的一些问题及其解决方法。
2FAQ
2.1问题现象:
通过web配置PPPoE拨号后大部分网页无法打开
A:
此问题可能由几个配置错误引起,可以通过以下几个步骤排除。
1、首先检查在dialer口下是否配置了nat和相应的ACL。
ACL是否把所有的内网地址已经包含。
2、然后检查pc上是否正确获得或者配置dns服务器地址,可以通过ping一些网站网址查看pc能否正确解析出地址来进行判断。
如果pc通过DHCP获得地址,可以在路由器上DHCP域内配置DNS服务器自动给pc分配,如下;
dhcpserverip-poollan
network192.168.1.0mask255.255.255.0
gateway-list192.168.1.1
dns-list202.106.0.20202.106.46.151
3、然后检查dialer口下是否配置mtu和tcpmss,因为pppoe链路最大mtu为1492如果传大于接口MTU的报文可能会造成丢包,如果没有配置的话请在dialer口下增加mtu1492,tcpmss1452的配置(如果仍然无法打开特定的一些网页,请查看dialer口拨号成功后dialer口的MTU值,修改tcpmss的值为mtu值减40),如下:
interfaceDialer0
link-protocolppp
pppchapusertest
pppchappasswordcipher=W6JJ`N_LBKQ=^Q`MAF4<<"TX$_S#6.NM(0=0\)*5WWQ=^Q`MAF4<<
"TX$_S#6.N
ppppaplocal-usertestpasswordcipher=W6JJ`N_LBKQ=^Q`MAF4<<"TX$_S#6.NM(0=0\)
*5WWQ=^Q`MAF4<<"TX$_S#6.N
mtu1492
tcpmss1452
ipaddressppp-negotiate
dialerusertest
dialerbundle1
2.2问题现象:
通过路由器下载速度慢,不使用路由器直接连接上行线路没有问题
此类问题一般是由于以太网接口协商速率/双工模式不正确引起的,一般情况下只需要把接口配置自协商模式就可以;也可以根据运营商的配置,强制接口为100M/全双工或其他模式;
问题举例:
1.北京某网吧上网高峰时下载速度慢。
2.某网吧反馈通过ftp方式下载速度太慢只有6K左右,不用我们的设备可以达到6M左右。
此问题是由于以太接口协商的方式不正确导致,虽然察看三层接口发现协商方式都是100M全双工,可是发现交换口2层显示是100M半双工。
导致下载速度太慢。
2.3问题现象:
用户使用双线路上网速度慢,断调其中一条线路后恢复正常
此类问题一般是用户配置两条等价默认路由造成的。
网吧采用等价路由且出接口均配置NAT来进行负载分担,使访问同一网络地址的报文分别通过不同链路转发,因为现在NAT实现是基于全局的,同时有两个接口启用NAT,一旦NATsession建立后后续的报文会按照已有的session进行转换,此时如果转换后源为一个接口的但是却从另外一个接口发出,此时如果上层设备启用了类似于单播源地址检测的功能后,这样的报文就会被丢弃。
规避方法有两种:
1、如果用户两条线路为不同的运营商,可根据《网吧负载均衡配置》进行修改配置解决。
2、如果两条链路均为电信或网通链路,可以利用策略路由中ACL区分单双号主机的方式对主机流量进行区分。
方法1路由器典型配置:
方法2路由器典型配置:
2.4问题现象:
用户使用双线路上网速度,发现一些特定的网站或者游戏运行不正常
此类问题是因为用户采用不同运营商线路接入网络,根据《网吧典型配置》指导进行配置,精确定义网通地址段路由。
一些特定的网站和网络游戏运行不正常可能是因为路由定义错误造成,原本是在网通网络的服务器没有在网通地址段定义,结果从电信线路发出。
解决方法,通过ping网站地址或者查看游戏的配置文件找到服务器的地址,在路由器中更改路由表,定义包含这些服务器的地址段。
问题举例:
Q:
大庆某网吧反馈使用双线路负载分担配置后个别游戏和网站访问速度慢。
A:
此问题是因为缺少相应的静态路由配置造成。
虽然负载分担配置模板内已经定义了绝大部分网通地址段,但仍然有个别网通地址段没有定义进去,因此会使访问这些服务器的报文从电信线路发出,导致访问速度慢。
解决的方法为,通过dns或者其它方法获取游戏服务器或者网站服务器的地址,在路由器上增加对于此地址或者地址段的静态路由,下一跳指向网通网关。
2.5问题现象:
用户反馈使用路由器会出现周期性全网中断的情况,无法ping通网关和外网
如果用户出现全网中断的问题一般是因为ARP欺骗造成的,解决的方法是:
对于182X路由器可以采用静态ARP或者arpfixed命令,把动态ARP进行绑定;对于1863路由器可以采用arpfixed命令或者firewallmac-bind命令对mac地址进行绑定(需要使能防火墙mac地址绑定功能)。
另外一种方法是在路由器LAN口采用周期性发送免费ARP来规避此问题。
2.6问题现象:
用户反馈路由器偶尔出现上网速度很慢的情况,ping网关和外网延时很大
此类问题一般是由于路由器受到攻击造成的,可以登陆到路由器后通过查看路由器cpu的历史记录和接口统计信息来进行判断,如果cpu占用率出现达到80%或者90%的情况,接口下有大量的overrun的错误,则说明路由器受到攻击。
规避方法为增加防火墙配置。
通过配置防火墙功能尽可能得将攻击报文拒绝掉,减少系统受攻击的概率。
防火墙定义acl如下:
aclnumber3002
rule0denyudpdestination-porteqtftp
rule1denytcpdestination-porteq4444
rule2denytcpdestination-porteq135
rule3denyudpdestination-porteq135
rule4denyudpdestination-porteqnetbios-ns
rule5denyudpdestination-porteqnetbios-dgm
rule6denytcpdestination-porteq139
rule7denyudpdestination-porteqnetbios-ssn
rule8denytcpdestination-porteq445
rule9denyudpdestination-porteq445
rule10denyudpdestination-porteq593
rule11denytcpdestination-porteq593
rule12denytcpdestination-porteq5554
rule13denytcpdestination-porteq9995
rule14denytcpdestination-porteq9996
rule15denyudpdestination-porteq1434
rule16denytcpdestination-porteq1068
rule17denytcpdestination-porteq5800
rule18denytcpdestination-porteq5900
rule19denytcpdestination-porteq10080
rule20denytcpdestination-porteq455
rule21denyudpdestination-porteq455
rule22denytcpdestination-porteq3208
rule23denytcpdestination-porteq1871
rule24denytcpdestination-porteq4510
rule25denyudpdestination-porteq4334
rule26denytcpdestination-porteq4331
rule27denytcpdestination-porteq4557
rule28denyudpdestination-porteq4444
rule29denyudpdestination-porteq1314
rule30denytcpdestination-porteq6969
rule31denytcpdestination-porteq137
rule32denytcpdestination-porteq389
rule33denytcpdestination-porteq138
rule34denyudpdestination-porteq136
rule35denytcpdestination-porteq1025
rule36denytcpdestination-porteq6129
rule37denytcpdestination-porteq1029
rule38denytcpdestination-porteq20168
rule39denytcpdestination-porteq4899
rule40denytcpdestination-porteq45576
rule41denytcpdestination-porteq1433
rule42denytcpdestination-porteq1434
rule43denyudpdestination-porteq1433以上过滤一些常见的攻击端口
rule44permitipdestination192.168.1.00.0.0.255允许目的地址是内网的数据进来
rule45permiticmpsource60.190.143.2330destination60.190.143.2340因为配置了
detect功能所以允许运营商的网关icmp报文进来
rule48permittcpdestination-porteqtelnet为了方便远程定位登陆,打开telnet端口
rule1000denyip拒绝所有的不明报文
在wan接口入方向启用防火墙:
interfaceGigabitEthernet1/0
descriptiontoDianXin
ipaddress60.190.143.234255.255.255.252
firewallpacket-filter3002inbound
natoutbound3001
启用防火墙功能后还需要关闭发送icmp不可达报文的功能,因为防火墙每拒绝一个报文都会发送一个icmp不可达报文,这样会无谓消耗路由器资源。
关闭命令如下:
[Quidway]unicmpunreachsend
[Quidway]unicmpredirectsen
问题举例:
Q:
某网吧收到外网强烈的攻击导致路由器转发速度急慢,cpu使用率很高无法上网。
A:
由于外面的攻击类型种类越来越复杂,很多攻击类型我们都不是很清楚所以我们只有通过配置防火墙功能尽可能得将攻击报文拒绝掉,减少系统受攻击的概率。
2.7问题现象:
用户反馈只要网吧内有用户使用BT或者迅雷下载其它用户就会出现玩游戏卡的现象
此类问题是由于使用BT或者迅雷下载抢占带宽造成的,规避方法为对网吧内每台主机使用基于IP地址限速功能进行限速,限速的带宽一般为上行300K,下行800K,可以根据用户的需要进行调整。
2.8问题现象:
用户反馈AR18-23-1只有后面两个端口可用,前面两个端口插上线灯不亮,无法使用
此问题是由于1823-1前两个以太网接口不支持自适应功能,需要使用交叉线进行连接。
类似的情况会存在于其它AR182X系列路由器上,除了AR1823-1和AR1823S-1路由器前两个以太网接口不支持自适应外,其他型号双WAN口路由器均为最后一个以太网接口不支持自适应,单WAN口路由器所有接口均支持自适应。
2.9问题现象:
用户在上网高峰期时上网速度慢,并且NATsession数达到4万多条:
此问题是因为按照“一个IP地址最多可以建立的natsession数目为49512个”的标准,当时这个IP地址的端口基本已用尽,所以造成后续的NATsession无法建立。
解决的方法有如下两个:
更改NAT转换使用地址的方式:
从使用接口地址进行NAT转换,更改为使用地址池进行NAT转换,NAT地址池中应该包含多个公网IP地址。
修改了TCP连接的NATaging-time值:
从以前的86400秒,更改为300秒。
将TCP连接的NATaging-time值改小,加速了TCP连接的natsession的老化,这对于节约natsession数目是有较大效果的。
2.10其它问题:
2.10.1浙江某网吧用户反馈182224使用CAR限速不起作用
与用户了解配置,发现用户在连接局域网接口上入方向启用CAR功能,流量限制是指限制从Internet和局域网内部之间的流量,因此如果使用CAR进行限速的话,应该在LAN接口出方向或者WAN口入方向进行限速。
华为3com技术不推荐使用CAR限速,因为CAR会把超出的流量直接丢掉,可能会造成游戏用户掉线、下载大文件时会失败和打开网页慢;推荐在LAN口上启用GTS限速,这个技术会把超出的流量缓存起来然后发出。
配置如下:
aclnumber3000
rule0permitipdestination192.168.1.1000
#
interfaceEthernet3/0
ipaddress192.168.1.1255.255.255.0
qosgtsacl3000cir64000cbs32000ebs0queue-length50
#
2.10.2杭州某网吧在AR18-22-24上面划分Vlan之后,Vlan之间无法互通
此问题的表现为在pc上可以ping通路由器的子接口地址,可是在路由器上却无法ping通pc。
这个问题是因为用户pc上启用防火墙导致的,应该把本地连接—>属性->高级窗口内把防火墙相关配置去掉就可以了。
2.10.3泉州某网吧用户使用AR18-22,做虚拟服务器,希望内网、外网都能通过域名访问。
如果想要实现内网、外网都能通过域名访问内网服务器,需要在路由器上配置nat域名映射的命令,如下:
natdns-map202.133.1.180tcp
注:
为公网注册的域名,202.133.1.1、80、tcp分别对于出接口配置的natserver的global地址,端口号以及协议。
2.10.4问苏州某网吧反馈网吧更换AR1863路由器后,出现局域网主机无法上网,ping通网关的情况
此问题的原因为网吧以前为防止ARP欺骗攻击,已经对局域网所有主机MAC进行绑定,而更换路由器后没有对这些主机进行解绑定操作,造成内网主机无法上网。
解决方法为对内网主机MAC重新进行绑定。
- 配套讲稿:
如PPT文件的首页显示word图标,表示该PPT已包含配套word讲稿。双击word图标可打开word文档。
- 特殊限制:
部分文档作品中含有的国旗、国徽等图片,仅作为作品整体效果示例展示,禁止商用。设计者仅对作品中独创性部分享有著作权。
- 关 键 词:
- AR18 解决办法 03 网吧 故障 排除