H3C ER5200路由器常见问题处理指南

H3C ER5200路由器常见问题处理指南

1 常见问题处理

1.1 设备指示灯异常

1. 正常的设备指示灯状态说明 指示灯 状态 亮 Power 灭 亮 W1/W2 灭 亮 100M 灭 1000M 亮 （含千兆口的设备） Link/Act 灭 含义 供电正常 电源关闭 物理链路存在，并建立连接 物理链路存在，但未建立连接或物理链路不存在 端口工作在100Mbit/s 端口工作在10Mbit/s或链路未建立 端口工作在1000Mbit/s 端口工作在10/100Mbit/s或链路未建立 亮 链路建立 闪烁 端口在收发数据 灭 链路未建立

2. 电源指示灯（POWER灯）不亮 处理方法：

(1) 请检查电源线是否连接正确。

(2) 请检查电源线插头是否插紧，无松动现象。

(3) 送当地授权服务中心（即ASC, 各地区的H3C授权服务中心的联系方式可

在H3C官方网站www.h3c.com.cn找到，也可拨打400-810-0504咨询）检测是否为设备硬件故障。

3. 不插网线各端口链路状态指示灯（Link/Act灯）常亮或者闪烁 处理方法：

(1) 重启设备观察是否恢复。

(2) 送当地授权服务中心（ASC）检测是否为设备硬件故障。 4. WAN、LAN口链路状态指示灯（Link/Act灯）不亮 处理方法：

(1) 请检查网线与路由器的WAN、LAN接口连接是否卡紧，无松动现象。 (2) 请重新连接网线两端的接口或重新按标准568B线序制作水晶头后再尝试连接。

(3) 请检查是否网线出现故障：可将网线的两端均插在路由器的两个LAN接口上，两个接口对应的指示灯都亮表示网线正常；否则网线可能存在问题，请更换一根之前使用正常的网线来重新尝试。

(4) 请检查端口的连接速率和双工模式配置是否有误：进入路由器Web设置页面，将WAN、LAN的连接速率和双工模式设置成和上行口、下行交换机端口一致，例如都设置为100M全双工观察（推荐两端均配置为自适应，即Auto模式）。

?

设置WAN端口基本属性 步骤 图示 通过管理计算机Web登录路由器 页面向导：接口设置→WAN设置→网口模式

?

设置LAN端口基本属性 步骤 图示 步骤 通过管理计算机Web登录路由器 页面向导：接口设置→LAN设置→端口设置 图示

1.2 无法通过Web登录路由器管理页面

1. IP地址问题导致 现象：

管理计算机不能Ping通路由器管理地址（即网关地址） 处理方法：

(1) 请使用串口配置线通过Console口下的 ip address命令来查看当前路由器的管理IP地址，核对您登录使用的路由器管理地址是否正确。 (2) 检查管理计算机的IP地址是否与路由器管理地址处于同一网段或者路由可达。

2. IE配置错误导致 现象：

管理计算机能Ping通路由器，但不能登录路由器Web设置页面 处理方法：

请检查Web浏览器是否设置了代理服务器或拨号连接，若有，请取消设置。

步骤 图示 步骤 图示 在浏览器窗口中，选择[工具/Internet 选项]进入“Internet 选项”窗口 选择“连接”页签，并单击<局域网设置（L）>按钮，进入“局域网（LAN）设置”页面。请确认未选中“为LAN使用代理服务器”选项；若已选中，请取消并单击<确定>按钮

3. 受到ARP欺骗导致 现象：

管理计算机Ping不通路由器管理地址或者能ping通，但是有丢包。 处理方法：

步骤 图示 步骤 图示 查看（arp –a）： 在管理计算机上通过arp -a查看学习到的网关的ARP表项是否正确（IP是否为路由 器的管理地址，MAC是否为路由器对应的MAC）。如果不正绑定（arp –s 路由器的IP地址 路由器MAC地确请使用arp -s来重新绑定址）： 路由器管理IP和LAN口对应的MAC地址

1.3 路由器运行一段时间后，局域网出现PC掉线、无法访问internet的现象

1. 受到ARP攻击或者ARP欺骗导致（此类情况最普遍） 现象：

(1) 掉线的PC Ping不通网关地址；

(2) 掉线的PC能ping通网关地址，但是有丢包；

(3) 掉线PC ping不通网关，Ping主交换机下的其他PC或者服务器能通。 处理方法：

如果全网掉线的PC无法ping通网关，无法登入网关，需要先拔掉所有WAN口所接的网线，即对应的上行链路，再尝试ping网关或者登录网关，以此来确定是内网问题还是外网攻击问题引起。

如果此时能ping通网关，那么很有可能是外网攻击导致，请确认设备相关防攻击功能是否开启，WAN口运营商测网关ARP是否已经静态绑定，并联系运营商协助解决。

如果此时掉线PC依然无法ping通网关，则可能为内网问题，请参考以下步骤：

步骤 图示 查看（arp –a）： 在掉线PC上通过arp -a查看学习到的网关的ARP表项是否正确（IP为网关地址对 应的MAC是否为路由器LAN（arp –s 路由器的IP 地址 路由器MAC地址）： 口对应的MAC）。如果不正绑定确请使用arp -s来重新绑定，如右图所示。 请将管理计算机直接接在路由器的某个LAN口，暂时拔掉其他端口上的线路，通过管理计算机登录路由器的Web管理界面 页面向导：安全专区→ARP安全→ARP绑定 请对局域网内的所有PC进行ARP静态绑定。如果之前已经绑定过的，则通过关键字（如掉线主机的MAC）过滤查询功能，检查路由器的ARP静态绑定表中是否存在掉线PC。若没有，则添加

2. 病毒等大流量攻击导致 处理方法：

步骤 图示 步骤 图示 请将管理计算机直接接在路由器的某个LAN口，暂时拔掉其他端口上的线路，通过管理计算机登录路由器的Web管理界面 页面向导：QoS设置→流量管理→IP流量限制 查看是否在路由器上启用了IP流量限制。不同应用场合下的推荐设置及描述请参见下表不同应用场合 页面向导：QoS设置→连接限制→网络连接限数 查看是否在路由器上启用了网络连接数限制。典型值为每IP分配300-500

应用场合 描述 应用场合 网吧 描述 建议您开启“弹性带宽”特性（选中“允许每IP通道借用空闲的带宽”单选框），即当在线用户未占用完有效带宽时，系统会为每个在线用户自动分配空闲带宽，其实际流量可以超过限速值，使带宽得以充分利用 另外，空闲带宽的自动分配有如下两种处理方式： ? 当局域网内所有用户的IP流量上限值设置为一致时，系统会为每位在线用户平均分配空闲带宽 ? 当局域网内所有用户的IP流量上限值设置为不一致时，系统会根据所设定的用户上限值按比率来分配空闲带宽 带宽推荐值： 以出口带宽30M，且统一限速为例，建议将“每IP上行流量上限”设置为500Kbps，“每IP下行流量上限”设置为800Kbps。详细的带宽计算方法参考本文“2.8 如何选择较适合自己网络的QoS和网络连接数设置？” 说明： ? 弹性带宽，业界普遍采用是基于统计的方法实现的：使用带宽统计，当总带宽达到一定总带宽的上限时，重新下发配置的基本带宽，从而总带宽达到下限。然后，带宽再逐渐增加到带宽上限，再重复下发规则。这种方法的主要问题：带宽抖动较大、不够精确、总带宽利用率较低。而H3C ER系列路由器使用一种独特的基于包精度的智能弹性技术，具有带宽抖动小、总带宽利用率高、配置简单、智能分配弹性带宽等优点 ? 仅当满足用户带宽需求后还有空闲带宽时，带宽才发生借用。比如：在线用户逐渐增多时，被借用的带宽会归还给增加的新用户，通俗的讲：有借有还 注意： 如果启用了弹性带宽功能，则配置每IP限速值后需要在接口带宽设置页面正确设置WAN1或者WAN2对应的实际带宽值，以保证智能弹性带宽功能的正确运行 应用场合 描述 建议您开启“固定带宽”特性（选中“每IP通道只能使用预设的带宽”单选框），即在线用户的实际流量不会超过限速值。设置前，最好能对不同用户区域的带宽使用进行一个合理的规划 带宽推荐值： 以出口带宽10M，且统一限速为例，建议将“每IP上行流量上限”设置为400Kbps，“每IP下行流量上限”设置为600Kbps。如果上网人数不多，可以适当放大。详细的带宽计算方法参考本文“2.8 如何选择较适合自己网络的QoS和网络连接数设置？” 企业

3. 掉线PC异常流量太大或者中毒，被路由器加入到黑名单中导致 处理方法：

步骤 通过管理计算机Web登录路由器 页面向导：安全专区→防攻击→异常流量防护 查看黑名单列表中是否存在掉线PC，如果存在，选中它并将其删除或等待生效时间之后再观察是否恢复正常 或者可以选择安全等级为中，即将主机的上行流量控制在10Mbps范围内

4. 路由器下挂交换机的问题导致 现象：

掉线PC ping网关不通，Ping主交换机下的其他PC或者服务器也不通。

图示 处理方法：

(1) 掉线PC长ping网关时，请观察与掉线PC相连的各级交换机各端口指示灯的状态，如果交换机端口依然常亮，代表交换机或者相连网线存在问题。 (2) 如果是全网掉线，需要特别注意主交换机的各个端口指示灯情况（特别是连接路由器的端口指示灯）是否正常闪烁。必要时可以重启主交换机观察是否能够恢复。

(3) 掉线PC长ping网关时，请观察路由器与主交换机级联的路由器LAN端口指示灯是否正常闪烁，如果指示灯常亮，可以尝试更换一个LAN观察，如果还是常亮，掉线PC ping不通网关，请直接将一台PC接在路由器LAN口，拔掉路由器与交换机级联的端口，PC尝试ping网关地址，如果此时能ping通，说明非路由器问题。如果此时还是依然ping不通网关，并确认PC的IP地址配置与路由器管理地址在同一网段，那可能就是路由器异常了，必要时可以重启路由器观察是否能够恢复。

(4) 另外如果是全网掉线，可以尝试在某台掉线PC上长ping网关地址，然后逐一插拔主交换机上连接分交换机的各个端口网线，观察掉线PC能否ping通网关，以此来判断是局域网内哪台交换机底下的PC出现异常导致。 5. 运营商网络问题导致 现象：

能Ping通同一交换机下的其他PC、主交换机下的服务器地址和路由器地址，但Ping不通路由器的上层运营商网关或者DNS地址，通过路由器中的诊断工具ping DNS和外网地址也不通。 处理方法：

运营商侧网络可能出现了问题，需要联系运营商进行确认解决。 6. 域名解析服务器（DNS）异常导致 现象：

能Ping通网关地址，QQ也能上，或者下载正常，但是所有网页打不开。 处理方法：

可能是域名解析服务器（DNS）异常导致，可以将掉线PC的DNS地址静态设置为运营商提供的DNS地址观察，或者可以更换一个新的DNS地址观察能否恢复。

1.4 上网速度慢、玩游戏卡

1. QoS限速不合理（限速过大，使得部分PC占用过多带宽或限速过小）导致 处理方法：

步骤 通过管理计算机Web登录路由器 页面向导：QoS设置→流量管理→IP流量限制 查看是否在路由器上启用了IP流量限制。不同应用场合下的推荐设置及描述请参见下表不同应用场合

应用场合 描述 图示 应用场合 网吧 描述 建议您开启“弹性带宽”特性（选中“允许每IP通道借用空闲的带宽”单选框），即当在线用户未占用完有效带宽时，系统会为每个在线用户自动分配空闲带宽，其实际流量可以超过限速值，使带宽得以充分利用 另外，空闲带宽的自动分配有如下两种处理方式： ? 当局域网内所有用户的IP流量上限值设置为一致时，系统会为每位在线用户平均分配空闲带宽 ? 当局域网内所有用户的IP流量上限值设置为不一致时，系统会根据所设定的用户上限值按比率来分配空闲带宽 带宽推荐值： 以出口带宽30M，且统一限速为例,建议将“每IP上行流量上限”设置为500Kbps，“每IP下行流量上限”设置为800Kbps，详细的带宽计算方法参考本文“2.8 如何选择较适合自己网络的QoS和网络连接数设置？” 说明： ? 弹性带宽，业界普遍采用是基于统计的方法实现的：使用带宽统计，当总带宽达到一定总带宽的上限时，重新下发配置的基本带宽，从而总带宽达到下限。然后，带宽再逐渐增加到带宽上限，再重复下发规则。这种方法的主要问题：带宽抖动较大、不够精确、总带宽利用率较低。而H3C ER系列路由器使用一种独特的基于包精度的智能弹性技术，具有带宽抖动小、总带宽利用率高、配置简单、智能分配弹性带宽等优点 ? 仅当满足用户带宽需求后还有空闲带宽时，带宽才发生借用。比如：在线用户逐渐增多时，被借用的带宽会归还给增加的新用户，通俗的讲：有借有还 注意： 如果启用了弹性带宽功能，则配置每IP限速值后需要在接口带宽设置页面正确设置WAN1或者WAN2对应的实际带宽值，以保证智能弹性带宽功能的正确运行 应用场合 描述 建议您开启“固定带宽”特性（选中“每IP通道只能使用预设的带宽”单选框），即在线用户的实际流量不会超过限速值。设置前，最好能对不同用户区域的带宽使用进行一个合理的规划 带宽推荐值： 以出口带宽10M，且统一限速为例，建议将“每IP上行流量上限”设置为400Kbps，“每IP下行流量上限”设置为600Kbps。如果上网人数不多，可以适当放大，详细的带宽计算方法参考本文“2.8 如何选择较适合自己网络的QoS和网络连接数设置？” 企业

2. 路由配置不合理导致（使用双线路上网时） 现象：

该问题一般出现在双WAN的路由器且两条线路运营商不同的情况下，且有以下现象：

?

访问部分门户网站慢 部分游戏卡

?

处理方法：

(1) 一般来说，需要将双WAN的均衡模式选择为手动均衡，默认链路选择当地较为稳定的运营商线路或者带宽较大的线路。均衡路由表里需要导入另一条运营商链路对应的路由表（常用路由表可在H3C官方网站中获取：首页>服务支持>软件下载>IP网络产品>路由器产品>ER双WAN路由器基础路由表）。

(2) 使用tracert命令在游戏卡或者上网慢的主机上查看到达该网站或者该游戏服务器的路由是从哪个接口出去的（参考步骤（4））。（例如：某网站的地址为电信地址，而路由却从连接网通线路的WAN接口出去了，则只需要添加一条静态路由（页面向导：高级设置→路由设置→静态路由），使其从连接电信线路的WAN接口出去便可以解决此问题。）

页面向导 图示 页面向导 图示 通过管理计算机Web登录路由器 页面向导：高级设置→路由设置→静态路由

(3) 北方部分用户使用双WAN路由器按步骤（1）正确配置后，部分游戏或者网页（如QQ类等），仍存在慢或者卡的问题，查看路由，确实走对了链路，这时需要将游戏卡或者网页慢的服务器地址（一般为电信地址）找出来（参考步骤（4）），通过设置静态路由或者策略路由使其从联通接口出去即可解决。 (4) 找出对应网站的服务器地址的方法为：开始菜单→运行→输入“CMD”，在弹出窗口输入ping 访问慢的网站地址即可，例如ping www.http://www.wodefanwen.com/ 。接下来显示的IP地址即为该网站对应的服务器地址。找出对应游戏服务器地址的方法：在某PC上退出其他所有应用程序，只打开该游戏，然后在系统开始菜单→运行→输入“CMD”，在弹出窗口输入“netstat –bn” ，找到对应游戏进程的Foreign Address地址，即为该游戏所对应的服务器地址。（使用该方法还可以快速找到游戏对应端口，在一些企业中可以将该游戏端口通过防火墙功能封掉。）

(5) 查看对应地址属于哪个运营商的方法：此类查询网站很多，直接在百度里搜索IP地址查询即可找到。如www.ip138.com。

3. 路由器受攻击、负荷太重或下挂交换机级联端口出现拥塞导致 现象：

Ping路由器LAN接口地址延时很大或有丢包。 处理方法：

页面向导 图示 页面向导 图示 通过管理计算机Web登录路由器 页面向导：系统监控→运行信息→性能监视 查看CPU和内存的利用率情况。如果CPU利用率很高，很可能是内/外网中存在攻击或者路由器负荷太重；如果CPU利用率正常，那可能就是内网的问题，查看下接交换机是否负荷太重或者网线干扰、水晶头松动等其他原因

4. 路由器上层问题导致 现象：

Ping路由器LAN口地址、WAN口地址正常，但Ping打开很慢的网站或者Ping玩游戏卡的服务器地址出现延时很大或丢包的现象，使用路由器自带的维护工具Ping打开很慢的网站或者Ping玩游戏卡的服务器地址出现同样的现象。 处理方法：

(1) 路由器上层设备（可能是光猫或者其他设备）出现异常，可尝试重启或者更换观察。

(2) 运营商网络侧可能出现了网络拥塞等问题，需要联系运营商进行确认解决。

(3) 游戏或者网站服务器满负荷导致，需要关注游戏官方网站的公告或者咨询游戏服务商。

1.5 端口映射不成功

常见的端口映射不成功的原因及处理方法，如下： 1. 运营商原因

一般较常见的如80端口无法映射成功，内网访问正常。

处理方法：联系运营商解决或者将映射的外部端口更换为其他端口。 其他测试验证方法：可以选择将外部端口更换为其他端口（如8099）测试，远程访问时格式为：http://XXX.XXX.XXX.XXX:8099，测试是否访问正常来确认是否该原因引起。 2. 服务器配置原因

内网访问正常，但是外网通过端口映射访问不成功。

处理方法：请检查服务器配置，特别是安全策略或者防火墙设置，确认是否没有开放非本地网段的访问权限或者其他安全策略设置问题。

其他测试验证方法：可以采用某台XP系统的客户端主机开启远程协助（当然也同样需要先验证一下内网其他PC是否能远程登入）并在路由器上配置映射3389端口来验证路由器的端口映射功能是否正常。 3. 端口未全部映射

内网访问正常，一对一NAT也正常，但是外网通过端口映射访问不成功。 处理方法：某些应用（特别如语音、监控系统等）在实际工作过程中需要用到多个端口通信，而客户实际可能只配置了一个或者部分端口的映射，请抓包确认整个通信过程中用到的所有端口，并确认是否均已设置映射。

其他测试验证方法：尝试将服务器设置为DMZ主机或者配置一对一NAT（外网地址不能是WAN口地址）验证是否正常来确认是否该原因引起。

2 FAQ

2.1 ER路由器的默认管理地址是多少？

192.168.1.1。

2.2 ER路由器的默认用户名、密码是多少？

默认用户名：admin 默认密码：admin，可通过设备底部的产品标签查看到该信息。

2.3 管理密码丢失怎么办？

将管理计算机的串口通过配置线缆与路由器的Console口相连，在命令行下输入password命令并回车，按照系统提示，输入新密码，并重新输入一次以确认即可。

2.4 如何恢复出厂设置？

登录Web页面，单击“恢复到出厂设置”中的<复原>按钮恢复设备到出厂设置（页面向导：设备管理→基本管理→配置管理）。

?

管理计算机串口连接或Telnet到设备，命令行下输入restore default命令并回车，确认后，路由器将恢复到出厂设置并重新启动。

?

2.5 路由表匹配的优先级是怎么样的？

策略路由表→静态路由表→均衡路由表→默认路由（最长匹配原则）。

2.6 网吧掉线主要有哪几类？

1. ISP线路原因引起掉线

ISP网关问题或DNS服务器问题，导致全网掉线（游戏、聊天、网页等业务都不可用）。

2. 网络攻击引起掉线

ARP攻击导致部分或所有PC掉线。 3. 网络流量拥塞引起掉线

?

非恶性攻击如BT、迅雷下载，LAN内PC异常或中毒，引起网络拥塞。 从外网或内网发起的恶性攻击，引起网络拥塞。

?

4. 网吧物理环境引起掉线

网线松动，交换机端口上的网线不小心被踢掉，网络设备如各交换机、路由器或者光猫的电源被异常断开。

5. 网络设备配置问题或者硬件故障问题引起掉线

?

交换机端口绑定或者路由器ARP绑定等其他误配置引起网络不通。 网络设备如各交换机、路由器或者光猫硬件故障引起掉线。

?

2.7 无法远程访问路由器

(1) 请通过本地管理计算机登录路由器确认是否开启远程访问功能，并确认远程访问的计算机是否在远程管理PC的IP范围内（页面向导：设备管理→用户管理→远程管理）。

(2) 请确认远程访问Web的格式是否正确，正确的格式为：

http://xxx.xxx.xxx.xxx:port或https://xxx.xxx.xxx.xxx:port，例如http://221.23.212.12:8080。

(3) 同一时间，路由器最多允许五个用户远程通过Web或Telnet进行管理和设置，请确认远程访问的计算机数量是否达到最大值。

2.8 如何选择较适合自己网络的QoS和网络连接数设置？

1. 每IP流量限制

根据二八理论，即80%的带宽被20%的人占用来计算，而且占用的带宽大多为下行带宽，上行带宽一般选择下行带宽的一半或者2/3左右。

例如运营商带宽为10Mbps，带机量100台PC，80%的带宽就是8Mbps，20%的人就是20个人，那么8Mbps*1000=8000kbps（实际上应该乘以1024，这里简单以1000计算），8000kbps/20=400kbps，则理论值为每IP需要下行限速400kbps，上行值为200～300kbps，当然该计算值是理论值，需要根据实际的网络使用量来适当变化。如果是ADSL宽带类型客户，则上行带宽建议限制为100kbps，且不推荐允许每IP通道借用空闲的带宽。如果企业、酒店等环境，平时使用网络的时间或者占用的流量不是很大，那么可以适当将限速值调高，如下行600kbps，上行400kbps，并开启允许每IP通道借用空闲的带宽。如网吧环境，带宽使用

量较大，则需要增加带宽或者较少带机量来提高客户网速的体验，保证游戏和视频的正常工作。网吧一般建议每IP限速下行800kbps，上行500kbps，开启弹性带宽功能，即允许每IP通道借用空闲的带宽。双WAN设备需要针对不同WAN口计算不同的限速值予以限制，最终主机获得的带宽为双WAN带宽限速总和。 2. 网络连接数

一般建议每IP设置在300～500即可保证正常应用访问。 3. 查看端口/IP流量

(1) 查看每个物理端口流量：系统监控→流量监控→端口流量。

(2) 查看局域网内各在线主机通过WAN口的流量：系统监控→流量监控→IP流量。

(3) 实时查看WAN口流量：系统监控→流量监控→流量监视。

2.9 主备模式、均衡模式和手动模式有什么区别？

工作模式 描述 主备模式主要应用于两条链路带宽相差较大且互为备份的情况下（比如：主用链路采用带宽较大的光纤接入，备用链路采用带宽较小的ADSL接入） 正常情况下，只有您设定的主链路处于工作状态。当主链路发生故障时（比如：连接路由器端口的物理链路断开了），路由器自动将主链路上的流量切换到备份链路；主链路恢复正常后，路由器自动将备份链路上的流量切换回主链路 均衡模式主要应用于同一运营商双线路接入 正常情况下，路由器会匹配路由表来选择优先链路转发流量。对于未指定优先链路的流量，路由器会根据您设定的两链路带宽的比例来转发，从而实现两条链路分担上网流量。当某条链路出现故障时（比如：连接路由器端口的物理链路断开了），该链路会被屏蔽，路由器将流量转到另一条链路上；当该链路恢复正常后，路由器会将流量重新分配到两条链路上 手动模式主要应用于不同运营商双线路接入 正常情况下，路由器会匹配路由表来选择优先链路转发流量。对于未指定优先链路的流量，路由器会根据您设定的缺省链路来转发。当某条链路出现故障时（比如：连接路由器端口的物理链路断开了），该链路会被屏蔽，路由器将流量转到另一条链路；当该链路恢复正常后，路由器会将流量重新分配到两条链路上 主备模式 均衡模式 手动模式

2.10 ER路由器的同一功能不同规则条目之间的优先级是怎么样的？

各项规则前面都有个序列号，序列号越小优先级越高，ER5XXXV201R006版本、ER3XXXV201R008版本开始，各项规则不仅序列号越小优先级越高，而且规则排在前面的优先级越高，新加的规则统一加到规则表的最后面，如果要改变优先级，可修改当前规则的序号。

2.11 为什么串口登录设备使用命令system无法进入系统视图？

ER系列路由均为智能Web管理路由器，一般的配置和维护均需要通过WEB进行，串口只提供简单的维护命令，如恢复出厂设置、查看路由器管理地址、修改密码等等。

2.12 为什么ER路由器的网站过滤（URL过滤）功能无法过滤HTTPS的网站？

ER路由器的网站过滤（URL过滤）功能仅对HTTP协议（即TCP的80端口）的报文生效，如果是HTTPS类型的网站，则无法过滤。请使用防火墙的出站通信策略过滤网站的目的地址实现。

2.13 为什么无法ping通ER路由器的WAN口地址？

ER路由器的WAN口默认禁止ping，需要到安全专区的IDS防范页面取消WAN口ping扫描即可。

2.14 为什么设备部分管理页面无法打开？

此问题主要是由于管理计算机会将之前访问过设备的部分Web页面进行缓存。当设备升级软件后，Web页面进行了比较大的优化和改动，而管理计算机仍然使用缓存的内容访问设备Web页面，导致与设备目前的管理页面不匹配，因此无法打开部分页面。

解决方法：删除IE浏览器中的缓存信息，然后重新刷新Web页面。

2.15 如何设置ARP双向绑定（针对客户端为静态分配地址的情况）？

1. 路由器端ARP绑定

将局域网中的主机ARP绑定为静态表项，具体方法见手册（页面向导：安全专区→ARP安全→ARP绑定）。

2. 主机端ARP绑定

主机端（开始→运行→CMD窗口）将路由器地址添加到静态ARP表中，命令：arp –s 路由器的IP 地址 路由器MAC地址

例如：arp –s 192.168.1.1 00-23-89-32-35-67（MAC地址为路由器LAN口对应的MAC）。

将以上命令中的IP地址替换成客户网络的实际网关地址，MAC地址替换成各个主机MAC地址（可通过ipconfig/all来查看），然后保存到IPMAC绑定.txt文档里，并修改文件名为IPMAC绑定.bat，制作成批处理文件，再拖到开始—启动栏里，随电脑开机启动即可绑定网关ARP。

另外，也可到internet里获取专用的ARP防火墙绑定路由器的网关。

2.16 升级过程中出现问题解答

升级方法如下：

(1) 升级前请备份当前版本的配置文件。在升级软件期间，请确保不要断电。 (2) 下载最新版本软件。最新版本下载地址：www.h3c.com.cn网站，首页→服务支持→软件下载→IP网络产品→路由器产品→H3C ER系列路由器。

(3) 设备升级。登录路由器管理页面，进入备管理→基本管理→软件升级页面，点击<浏览>按钮选择下载好的.bin文件（下载的文件可能压缩包，需要解压缩获取.bin文件），点击<升级>按钮等待1～3分钟后设备自动重启，完成升级。

升级过程中提示错误时，处理方法如下：

?

提示错误文件：请确认升级选中的文件是否为.bin的设备版本文件。

提示上传文件内容错误：请确认下载的版本文件名表示的型号是否与当前升级的设备型号一致，下载的版本文件是否做过改动。

?

2.17 设备支持哪些功能？

ER系列路由器支持的详细功能请参见各产品的版本说明书（获取路径：www.h3c.com.cn→首页→服务支持→软件下载→IP网络产品→路由器产品→H3C ER系列路由器，下载该产品的版本和版本说明书）。

2.18 如何抓包？

以下简单介绍如何使用Wireshark1.4.2来抓取网络数据报文，以便更有效地分析网络故障。

(1) 打开Wireshark抓包工具，键盘上按下Ctrl+I，打开选择抓包网卡页面，点击Start按钮开始抓包。

(2) 键盘上按下Ctrl+E选择终止抓包，按下Ctrl+S保存刚才抓取到的数据报文到本地，注意抓包时间尽量不要过长，以免数据报文太大，不方便发送给技术工程师协助判断。终止后再按Ctrl+E又开始抓包，如遇弹出页面选择保存抓包信息。

(3) 抓包技巧：关键是要将异常现象的整个过程抓捕下来。如网页打不开，先打开抓包软件开始抓包，再尝试访问某个固定的网页两次，复现故障现象，然后再终止抓包，并将获取到的数据报文保存或提供技术工程师分析。

(4) 需将PC直接接在路由器的某个空闲LAN口，通过页面向导：接口设置→LAN设置→端口镜像设置，将PC所接的LAN口勾选为镜像端口，WAN1、WAN2口以及连接路由器的LAN口勾选为被镜像端口，TAG方式选择untagged，将交互数据包镜像到PC上。这样就能使工程师快速找出问题原因所在。

3 典型应用配置简介

3.1 如何限制某些应用

1. 限制某些游戏（通常采用封游戏端口的方法）

以诛仙游戏（通信端口为29000，某款游戏的通信端口需要抓包获取，如何抓包请参见“2.18 如何抓包”）为例介绍：

(1) 开启防火墙功能（页面向导：安全专区→防火墙→防火墙设置）。 (2) 设置出站通讯策略：添加如下规则，禁止所有IP发往目的端口为29000的UDP报文通过（页面向导：安全专区→防火墙→出站通信策略），如下图所示。

2. 限制访问某些网站

(1) 通过设备的网站过滤功能实现：

在路由器上设置让局域网内的主机仅能或不能访问固定的某些网站（页面向导：安全专区→接入控制→网站过滤）。

(2) 通过防火墙的出站通信策略实现部分用户无法访问部分网站。

首先通过ping需要过滤的网站域名，获取到该网站的服务器地址，然后再添加规则。如：禁止源IP地址范围为192.168.1.2～192.168.1.200的客户端访问目的服务器122.227.209.17 目的端口为80的TCP报文通过。（注意：部分大型网站在某个地区有多个地址，或者在多个地区都有服务器地址，可以尝试禁止目的服务器地址所在的网段后，再通过上述办法找出能ping通的其他服务器地址，再添加规则过滤即可。）

3. 限制某些IP不能上外网

勾选仅允许DHCP服务器分配的客户端访问外网，不在路由器DHCP服务器分配的客户列表中的用户将无法访问外网（页面向导：安全专区→接入控制→IPMAC过滤）。

?

勾选仅允许ARP静态绑定的客户端访问外网，将客户端ARP绑定为静态表项，不在ARP静态绑定表中的客户端将无法访问外网（页面向导：安全专区→接入控制→IPMAC过滤）。

?

3.2 如何划分VLAN，实现单臂路由，禁止网段间互访

1. 组网图

2. 组网需求

如上图所示，无管理Switch A连接ER路由器的LAN1接口，有管理Switch B连接LAN2接口，实现Switch A下所有客户端获取到VLAN2的地址，Switch B下存在两个VLAN（VLAN3:192.168.3.0/24，VLAN4:192.168.4.0/24）对应两个部门，部门之间禁止互访。 3. 配置步骤

(1) 新增三个VLAN（页面向导：接口设置→VLAN设置→VLAN设置）： VLAN2：IP地址填192.168.2.1（即VLAN2的网关地址），子网掩码：255.255.255.0。

?

VLAN3 IP为192.168.3.1，VLAN4 IP为192.168.4.1，子网掩码均为255.255.255.0。

?

(2) 编辑LAN1口配置（页面向导：接口设置→VLAN 设置→Trunk口设置），双击LAN1口所在条目进入编辑状态，将LAN1口的PVID和允许通过的VLAN均改为2。（如果其他LAN口同样接无管理设备实现类似功能可参考此步。） (3) 编辑LAN2口配置，允许通过的VLAN改为3～4。Switch B的上行端口设置为Trunk，允许VLAN3、VLAN4通过即可。（如果有管理交换机下存在更多的VLAN，则只需添加到允许通过的VLAN中即可。）

(4) 如果局域网内用户通过动态DHCP获取对应网段的IP，需要通过页面向导：接口设置→DHCP设置→DHCP设置，添加各个VLAN网段对应的DHCP地址池。 (5) 配置VLAN3和VLAN4网关不能互访，在设备防火墙功能的出站通信策略中增加一条规则，禁止源地址范围为192.168.3.2-192.168.3.254访问目的地址范围为192.168.4.2-192.168.4.254的所有服务。

本文来源：https://www.bwwdw.com/article/r938.html