H3C ER系列路由器常见问题处理指南

| 注册 |

中文 [ ] |

|

路由器

H3C ER5200 企业级双核宽带路由

器

首页服务支持文档中心维护维护手册

目录

手册下载

H3C ER系列路由器常见问题处理指南(V1.01)-整本手册.pdf (627.99 KB)

配套手册

H3C ER系列路由器常见问题处理指南(V1.01)

H3C ER系列路由器常见问题处理指南

杭州华三通信技术有限公司

目 录

2.3 管理密码丢失怎么办？

2.15 如何设置ARP双向绑定（针对客户端为静态分配地址的情况）？ 2.16 升级过程中出现问题解答 2.17 设备支持哪些功能？ 2.18 如何抓包？

3 典型应用配置简介

3.1 如何限制某些应用

3.2 如何划分VLAN，实现单臂路由，禁止网段间互访 3.4 企业、网吧、酒店典型组网配置

本手册仅介绍H3C ER系列路由器一些常见的问题处理方法，若仍不能排除，您可通过表4-1获取售后服务。

1 常见问题处理

1.1 设备指示灯异常

1. 正常的设备指示灯状态说明

2. 电源指示灯（POWER灯）不亮 处理方法：

(1) 请检查电源线是否连接正确。

(2) 请检查电源线插头是否插紧，无松动现象。

(3) 送当地授权服务中心（即ASC, 各地区的H3C授权服务中心的联系方式可在

H3C官方网站找到，也可拨打400-810-0504咨询）检测是否为设备硬件故障。

3. 不插网线各端口链路状态指示灯（Link/Act灯）常亮或者闪烁 处理方法：

(1) 重启设备观察是否恢复。

(2) 送当地授权服务中心（ASC）检测是否为设备硬件故障。 4. WAN、LAN口链路状态指示灯（Link/Act灯）不亮 处理方法：

(1) 请检查网线与路由器的WAN、LAN接口连接是否卡紧，无松动现象。

(2) 请重新连接网线两端的接口或重新按标准568B线序制作水晶头后再尝试连

接。

(3) 请检查是否网线出现故障：可将网线的两端均插在路由器的两个LAN接口上，

两个接口对应的指示灯都亮表示网线正常；否则网线可能存在问题，请更换一根之前使用正常的网线来重新尝试。

(4) 请检查端口的连接速率和双工模式配置是否有误：进入路由器Web设置页面，

将WAN、LAN的连接速率和双工模式设置成和上行口、下行交换机端口一致，例如都设置为100M全双工观察（推荐两端均配置为自适应，即Auto模式）。 设置WAN端口基本属性

设置LAN端口基本属性

1.2 无法通过Web登录路由器管理页面

1. IP地址问题导致 现象：

管理计算机不能Ping通路由器管理地址（即网关地址） 处理方法：

(1) 请使用串口配置线通过Console口下的<h3c> ip address命令来查看当前路

由器的管理IP地址，核对您登录使用的路由器管理地址是否正确。

(2) 检查管理计算机的IP地址是否与路由器管理地址处于同一网段或者路由可达。 2. IE配置错误导致 现象：

管理计算机能Ping通路由器，但不能登录路由器Web设置页面 处理方法：

请检查Web浏览器是否设置了代理服务器或拨号连接，若有，请取消设置。

3. 受到ARP欺骗导致 现象：

管理计算机Ping不通路由器管理地址或者能ping通，但是有丢包。

处理方法：

1.3 路由器运行一段时间后，局域网出现PC掉线、无法访问internet的现象

1. 受到ARP攻击或者ARP欺骗导致（此类情况最普遍） 现象：

(1) 掉线的PC Ping不通网关地址；

(2) 掉线的PC能ping通网关地址，但是有丢包；

(3) 掉线PC ping不通网关，Ping主交换机下的其他PC或者服务器能通。 处理方法：

如果全网掉线的PC无法ping通网关，无法登入网关，需要先拔掉所有WAN口所接的网线，即对应的上行链路，再尝试ping网关或者登录网关，以此来确定是内网问题还是外网攻击问题引起。

如果此时能ping通网关，那么很有可能是外网攻击导致，请确认设备相关防攻击功能是否开启，WAN口运营商测网关ARP是否已经静态绑定，并联系运营商协助解决。

如果此时掉线PC依然无法ping通网关，则可能为内网问题，请参考以下步骤：

2. 病毒等大流量攻击导致 处理方法：

步骤

图示

页面向导：QoS 设置→连接限制→网 络连接限数 查看是否在路由器上启用了网络连接 数限制。典型值为每 IP 分配 300-500

应用场合

描述 建议您开启“弹性带宽”特性(选中“允许每 IP 通道借用空闲的带宽” 单选框),即当在线用户未占用完有效带宽时，系统会为每个在线用户 自动分配空闲带宽，其实际流量可以超过限速值，使带宽得以充分利用 另外，空闲带宽的自动分配有如下两种处理

方式：

当局域网内所有用户的 IP 流量上限值设置为一致时，系统会为每 位在线用户平均分配空闲带宽

当局域网内所有用户的 IP 流量上限值设置为不一致时，系统会根 据所设定的用户上限值按比率来分配空闲带宽

带宽推荐值： 以出口带宽 30M,且统一限速为例，建议将“每 IP 上行流量上限”设 置为 500Kbps,“每 IP 下行流量上限”设置为 800Kbps。详细的带宽 计算方法参考本文“2.8 如何选择较适合自己网络的 QoS 和网络连接 数设置？” 说明：

弹性带宽， 业界普遍采用是基于统计的方法实现的： 使用带宽统计， 当总带宽达到一定总带宽的上限时，重新下发配置的基本带宽，从 而总带宽达到下限。然后，带宽再逐渐增加到带宽上限，再重复下

网吧

发规则。这种方法的主要问题：带宽抖动较大、不够精确、总带宽 利用率较低。而 H3C ER 系列路由器使用一种独特的基于包精度的 智能弹性技术，具有带宽抖动小、总带宽利用率高、配置简单、智 能分配弹性带宽等优点

仅当满足用户带宽需求后还有空闲带宽时， 带宽才发生借用。 比如： 在线用户逐渐增多时，被借用的带宽会归还给增加的新用户，通俗 的讲：有借有还

注意： 如果启用了弹性带宽功能，则配置每 IP 限速值后需要在接口带宽设置 页面正确设置 WAN1 或者 WAN2 对应的实际带宽值，以保证智能弹性 带宽功能的正确运行

3. 掉线PC异常流量太大或者中毒，被路由器加入到黑名单中导致 处理方法：

4. 路由器下挂交换机的问题导致 现象：

掉线PC ping网关不通，Ping主交换机下的其他PC或者服务器也不通。 处理方法：

(1) 掉线PC长ping网关时，请观察与掉线PC相连的各级交换机各端口指示灯的

状态，如果交换机端口依然常亮，代表交换机或者相连网线存在问题。

(2) 如果是全网掉线，需要特别注意主交换机的各个端口指示灯情况（特别是连接

路由器的端口指示灯）是否正常闪烁。必要时可以重启主交换机观察是否能够恢复。

(3) 掉线PC长ping网关时，请观察路由器与主交换机级联的路由器LAN端口指

示灯是否正常闪烁，如果指示灯常亮，可以尝试更换一个LAN观察，如果还是常亮，掉线PC ping不通网关，请直接将一台PC接在路由器LAN口，拔掉路由器与交换机级联的端口，PC尝试ping网关地址，如果此时能ping通，说明

非路由器问题。如果此时还是依然ping不通网关，并确认PC的IP地址配置与路由器管理地址在同一网段，那可能就是路由器异常了，必要时可以重启路由器观察是否能够恢复。 (4) 另外如果是全网掉线，可以尝试在某台掉线PC上长ping网关地址，然后逐一

插拔主交换机上连接分交换机的各个端口网线，观察掉线PC能否ping通网关，以此来判断是局域网内哪台交换机底下的PC出现异常导致。 5. 运营商网络问题导致 现象：

能Ping通同一交换机下的其他PC、主交换机下的服务器地址和路由器地址，但Ping不通路由器的上层运营商网关或者DNS地址，通过路由器中的诊断工具ping DNS和外网地址也不通。 处理方法：

运营商侧网络可能出现了问题，需要联系运营商进行确认解决。 6. 域名解析服务器（DNS）异常导致 现象：

能Ping通网关地址，QQ也能上，或者下载正常，但是所有网页打不开。 处理方法：

可能是域名解析服务器（DNS）异常导致，可以将掉线PC的DNS地址静态设置为运营商提供的DNS地址观察，或者可以更换一个新的DNS地址观察能否恢复。

1.4 上网速度慢、玩游戏卡

1. QoS限速不合理（限速过大，使得部分PC占用过多带宽或限速过小）导致 处理方法：

应用场合

描述 建议您开启“弹性带宽”特性(选中“允许每 IP 通道借用空闲的带宽” 单选框),即当在线用户未占用完有效带宽时，系统会为每个在线用户 自动分配空闲带宽，其实际流量可以超过限速值，使带宽得以充分利用 另外，空闲带宽的自动分配有如下两种处理方式：

当局域网内所有用户的 IP 流量上限值设置为一致时，系统会为每 位在线用户平均分配空闲带宽

当局域网内所有用户的 IP 流量上限值设置为不一致时，系统会根 据所设定的用户上限值按比率来分配空

闲带宽

带宽推荐值： 以出口带宽 30M,且统一限速为例,建议将“每 IP 上行流量上限”设置 为 500Kbps,“每 IP 下行流量上限”设置为 800Kbps,详细的带宽计 算方法参考本文“2.8 如何选择较适合自己网络的 QoS 和网络连接数 设置？” 说明：

弹性带宽， 业界普遍采用是基于统计的方法实现的： 使用带宽统计， 当总带宽达到一定总带宽的上限时，重新下发配置的基本带宽，从 而总带宽达到下限。然后，带宽再逐渐增加到带宽上限，再重复下 发规则。这种方法的主要问题：带宽抖动较大、不够精确、总带宽 利用率较低。而 H3C ER 系列路由器使用一种独特的基于包精度的 智能弹性技术，具有带宽抖动小、总带宽利用率高、配置简单、智 能分配弹性带宽等优点

网吧

仅当满足用户带宽需求后还有空闲带宽时， 带宽才发生借用。 比如： 在线用户逐渐增多时，被借用的带宽会归还给增加的新用户，通俗 的讲：有借有还

注意： 如果启用了弹性带宽功能，则配置每 IP 限速值后需要在接口带宽设置 页面正确设置 WAN1 或者 WAN2 对应的实际带宽值，以保证智能弹性 带宽功能的正确运行

2. 路由配置不合理导致（使用双线路上网时） 现象：

该问题一般出现在双WAN的路由器且两条线路运营商不同的情况下，且有以下现象：

访问部分门户网站慢 部分游戏卡 处理方法：

(1) 一般来说，需要将双WAN的均衡模式选择为手动均衡，默认链路选择当地较

为稳定的运营商线路或者带宽较大的线路。均衡路由表里需要导入另一条运营商链路对应的路由表（常用路由表可在H3C官方网站中获取：首页>服务支持>软件下载>IP网络产品>路由器产品>ER

双WAN路由器基础路由表）。

(2) 使用tracert命令在游戏卡或者上网慢的主机上查看到达该网站或者该游戏服

务器的路由是从哪个接口出去的（参考步骤（4））。（例如：某网站的地址为电信地址，而路由却从连接网通线路的WAN接口出去了，则只需要添加一条静态路由（页面向导：高级设置→路由设置→静态路由），使其从连接电信线路的WAN接口出去便可以解决此问题。）

(3) 北方部分用户使用双WAN路由器按步骤（1）正确配置后，部分游戏或者网

页（如QQ类等），仍存在慢或者卡的问题，查看路由，确实走对了链路，这时需要将游戏卡或者网页慢的服务器地址（一般为电信地址）找出来（参考步骤（4）），通过设置静态路由或者策略路由使其从联通接口出去即可解决。 (4) 找出对应网站的服务器地址的方法为：开始菜单→运行→输入“CMD”，在弹

出窗口输入ping 访问慢的网站地址即可，例如ping 。接下来显示的IP地址即为该网站对应的服务器地址。找出对应游戏服务器地址的方法：在某PC上退出其他所有应用程序，只打开该游戏，然后在系统开始菜单→运行→输入“CMD”，在弹出窗口输入“netstat –bn” ，找到对应游戏进程的Foreign Address地址，即为该游戏所对应的服务器地址。（使用该方法

还可以快速找到游戏对应端口，在一些企业中可以将该游戏端口通过防火墙功能封掉。）

(5) 查看对应地址属于哪个运营商的方法：此类查询网站很多，直接在百度里搜索

IP地址查询即可找到。如。

3. 路由器受攻击、负荷太重或下挂交换机级联端口出现拥塞导致 现象：

Ping路由器LAN接口地址延时很大或有丢包。 处理方法：

4. 路由器上层问题导致 现象：

Ping路由器LAN口地址、WAN口地址正常，但Ping打开很慢的网站或者Ping玩游戏卡的服务器地址出现延时很大或丢包的现象，使用路由器自带的维护工具Ping打开很慢的网站或者Ping玩游戏卡的服务器地址出现同样的现象。 处理方法：

(1) 路由器上层设备（可能是光猫或者其他设备）出现异常，可尝试重启或者更换

观察。

(2) 运营商网络侧可能出现了网络拥塞等问题，需要联系运营商进行确认解决。 (3) 游戏或者网站服务器满负荷导致，需要关注游戏官方网站的公告或者咨询游戏

服务商。

1.5 端口映射不成功

常见的端口映射不成功的原因及处理方法，如下： 1. 运营商原因

一般较常见的如80端口无法映射成功，内网访问正常。

处理方法：联系运营商解决或者将映射的外部端口更换为其他端口。

其他测试验证方法：可以选择将外部端口更换为其他端口（如8099）测试，远程访问时格式为：http://XXX.XXX.XXX.XXX:8099，测试是否访问正常来确认是否该原因引起。

2. 服务器配置原因

内网访问正常，但是外网通过端口映射访问不成功。

处理方法：请检查服务器配置，特别是安全策略或者防火墙设置，确认是否没有开放非本地网段的访问权限或者其他安全策略设置问题。

其他测试验证方法：可以采用某台XP系统的客户端主机开启远程协助（当然也同样需要先验证一下内网其他PC是否能远程登入）并在路由器上配置映射3389端口来验证路由器的端口映射功能是否正常。 3. 端口未全部映射

内网访问正常，一对一NAT也正常，但是外网通过端口映射访问不成功。

处理方法：某些应用（特别如语音、监控系统等）在实际工作过程中需要用到多个端口通信，而客户实际可能只配置了一个或者部分端口的映射，请抓包确认整个通信过程中用到的所有端口，并确认是否均已设置映射。

其他测试验证方法：尝试将服务器设置为DMZ主机或者配置一对一NAT（外网地址不能是WAN口地址）验证是否正常来确认是否该原因引起。

2 FAQ

2.1 ER路由器的默认管理地址是多少？

192.168.1.1。

2.2 ER路由器的默认用户名、密码是多少？

默认用户名：admin 默认密码：admin，可通过设备底部的产品标签查看到该信息。

2.3 管理密码丢失怎么办？

将管理计算机的串口通过配置线缆与路由器的Console口相连，在命令行下输入password命令并回车，按照系统提示，输入新密码，并重新输入一次以确认即可。

2.4 如何恢复出厂设置？

登录Web页面，单击“恢复到出厂设置”中的<复原>按钮恢复设备到出厂设

置（页面向导：设备管理→基本管理→配置管理）。

管理计算机串口连接或Telnet到设备，命令行下输入restore default命令并

回车，确认后，路由器将恢复到出厂设置并重新启动。

2.5 路由表匹配的优先级是怎么样的？

策略路由表→静态路由表→均衡路由表→默认路由（最长匹配原则）。

2.6 网吧掉线主要有哪几类？

1. ISP线路原因引起掉线

ISP网关问题或DNS服务器问题，导致全网掉线（游戏、聊天、网页等业务都不可用）。

2. 网络攻击引起掉线

ARP攻击导致部分或所有PC掉线。 3. 网络流量拥塞引起掉线

非恶性攻击如BT、迅雷下载，LAN内PC异常或中毒，引起网络拥塞。 从外网或内网发起的恶性攻击，引起网络拥塞。 4. 网吧物理环境引起掉线

网线松动，交换机端口上的网线不小心被踢掉，网络设备如各交换机、路由器或者光猫的电源被异常断开。

5. 网络设备配置问题或者硬件故障问题引起掉线

交换机端口绑定或者路由器ARP绑定等其他误配置引起网络不通。 网络设备如各交换机、路由器或者光猫硬件故障引起掉线。

2.7 无法远程访问路由器

(1) 请通过本地管理计算机登录路由器确认是否开启远程访问功能，并确认远程访

问的计算机是否在远程管理PC的IP范围内（页面向导：设备管理→用户管理→远程管理）。

(2) 请确认远程访问Web的格式是否正确，正确的格式为：

http://xxx.xxx.xxx.xxx:port或https://xxx.xxx.xxx.xxx:port，例如http://221.23.212.12:8080。 (3) 同一时间，路由器最多允许五个用户远程通过Web或Telnet进行管理和设置，

请确认远程访问的计算机数量是否达到最大值。

2.8 如何选择较适合自己网络的QoS和网络连接数设置？

1. 每IP流量限制

根据二八理论，即80%的带宽被20%的人占用来计算，而且占用的带宽大多为下行带宽，上行带宽一般选择下行带宽的一半或者2/3左右。

例如运营商带宽为10Mbps，带机量100台PC，80%的带宽就是8Mbps，20%的人就是20个人，那么8Mbps*1000=8000kbps（实际上应该乘以1024，这里简单以1000计算），8000kbps/20=400kbps，则理论值为每IP需要下行限速400kbps，上行值为200～300kbps，当然该计算值是理论值，需要根据实际的网络使用量来适当变化。如果是ADSL宽带类型客户，则上行带宽建议限制为100kbps，且不推荐允许每IP通道借用空闲的带宽。如果企业、酒店等环境，平时使用网络的时间或者占用的流量不是很大，那么可以适当将限速值调高，如下行600kbps，上行400kbps，并开启允许每IP通道借用空闲的带宽。如网吧环境，带宽使用量较大，则需要增加带宽或者较少带机量来提高客户网速的体验，保证游戏和视频的正常工作。网吧一般建议每IP限速下行800kbps，上行500kbps，开启弹性带宽功能，即允许每IP通道借用空闲的带宽。双WAN设备需要针对不同WAN口计算不同的限速值予以限制，最终主机获得的带宽为双WAN带宽限速总和。 2. 网络连接数

一般建议每IP设置在300～500即可保证正常应用访问。 3. 查看端口/IP流量

(1) 查看每个物理端口流量：系统监控→流量监控→端口流量。 (2) 查看局域网内各在线主机通过WAN口的流量：系统监控→流量监控→IP流量。 (3) 实时查看WAN口流量：系统监控→流量监控→流量监视。

2.9 主备模式、均衡模式和手动模式有什么区别？

2.10 ER路由器的同一功能不同规则条目之间的优先级是怎么

样的？

各项规则前面都有个序列号，序列号越小优先级越高，ER5XXXV201R006版本、ER3XXXV201R008版本开始，各项规则不仅序列号越小优先级越高，而且规则排在前面的优先级越高，新加的规则统一加到规则表的最后面，如果要改变优先级，可修改当前规则的序号。

2.11 为什么串口登录设备使用命令system无法进入系统视图？

ER系列路由均为智能Web管理路由器，一般的配置和维护均需要通过WEB进行，串口只提供简单的维护命令，如恢复出厂设置、查看路由器管理地址、修改密码等等。

2.12 为什么ER路由器的网站过滤（URL过滤）功能无法过滤HTTPS的网站？

ER路由器的网站过滤（URL过滤）功能仅对HTTP协议（即TCP的80端口）的报文生效，如果是HTTPS类型的网站，则无法过滤。请使用防火墙的出站通信策略过滤网站的目的地址实现。

2.13 为什么无法ping通ER路由器的WAN口地址？

ER路由器的WAN口默认禁止ping，需要到安全专区的IDS防范页面取消WAN口ping扫描即可。

2.14 为什么设备部分管理页面无法打开？

此问题主要是由于管理计算机会将之前访问过设备的部分Web页面进行缓存。当设备升级软件后，Web页面进行了比较大的优化和改动，而管理计算机仍然使用缓存

的内容访问设备Web页面，导致与设备目前的管理页面不匹配，因此无法打开部分页面。

解决方法：删除IE浏览器中的缓存信息，然后重新刷新Web页面。

2.15 如何设置ARP双向绑定（针对客户端为静态分配地址的情况）？

1. 路由器端ARP绑定

将局域网中的主机ARP绑定为静态表项，具体方法见手册（页面向导：安全专区→ARP安全→ARP绑定）。

2. 主机端ARP绑定

主机端（开始→运行→CMD窗口）将路由器地址添加到静态ARP表中，命令：arp –s 路由器的IP 地址 路由器MAC地址

例如：arp –s 192.168.1.1 00-23-89-32-35-67（MAC地址为路由器LAN口对应的MAC）。

将以上命令中的IP地址替换成客户网络的实际网关地址，MAC地址替换成各个主机MAC地址（可通过ipconfig/all来查看），然后保存到IPMAC绑定.txt文档里，并修改文件名为IPMAC绑定.bat，制作成批处理文件，再拖到开始—启动栏里，随电脑开机启动即可绑定网关ARP。

另外，也可到internet里获取专用的ARP防火墙绑定路由器的网关。

2.16 升级过程中出现问题解答

升级方法如下：

(1) 升级前请备份当前版本的配置文件。在升级软件期间，请确保不要断电。 (2) 下载。最新版本下载地址：网站，首页→服务

支持→软件下载→IP网络产品→路由器产品→H3C ER系列路由器。

(3) 设备升级。登录路由器管理页面，进入备管理→基本管理→软件升级页面，点

击<浏览>按钮选择下载好的.bin文件（下载的文件可能压缩包，需要解压缩获取.bin文件），点击<升级>按钮等待1～3分钟后设备自动重启，完成升级。 升级过程中提示错误时，处理方法如下：

提示错误文件：请确认升级选中的文件是否为.bin的设备版本文件。 提示上传文件内容错误：请确认下载的版本文件名表示的型号是否与当前升级

的设备型号一致，下载的版本文件是否做过改动。

2.17 设备支持哪些功能？

ER系列路由器支持的详细功能请参见各产品的（获取路径：→首页→服务支持→软件下载→IP网络产品→路由器产品→H3C ER系列路由器，下载该产品的版本和版本说明书）。

2.18 如何抓包？

以下简单介绍如何使用Wireshark1.4.2来抓取网络数据报文，以便更有效地分析网络故障。

(1) 打开Wireshark抓包工具，键盘上按下Ctrl+I，打开选择抓包网卡页面，点击

Start按钮开始抓包。

(2) 键盘上按下Ctrl+E选择终止抓包，按下Ctrl+S保存刚才抓取到的数据报文到

本地，注意抓包时间尽量不要过长，以免数据报文太大，不方便发送给技术工程师协助判断。终止后再按Ctrl+E又开始抓包，如遇弹出页面选择<Save>保存抓包信息。

(3) 抓包技巧：关键是要将异常现象的整个过程抓捕下来。如网页打不开，先打开

抓包软件开始抓包，再尝试访问某个固定的网页两次，复现故障现象，然后再终止抓包，并将获取到的数据报文保存或提供技术工程师分析。 (4) 需将PC直接接在路由器的某个空闲LAN口，通过页面向导：接口设置→LAN

设置→端口镜像设置，将PC所接的LAN口勾选为镜像端口，WAN1、WAN2口以及连接路由器的LAN口勾选为被镜像端口，TAG方式选择untagged，将交互数据包镜像到PC上。这样就能使工程师快速找出问题原因所在。

本文来源：https://www.bwwdw.com/article/r7j1.html