H3C ER3200 系統(tǒng)管理目錄1.7 無法遠程訪問路由器1.8 升級過程中出現(xiàn)問題解答1.9 設備各指示燈含義1.10 如何設置端口限速和網(wǎng)絡連接數(shù)，并查看端口/IP流量2 獲取售后服務及相關資料

H3C ER3200 系統(tǒng)管理

目錄

1.7 無法遠程訪問路由器

1.8 升級過程中出現(xiàn)問題解答

1.9 設備各指示燈含義

1.10 如何設置端口限速和網(wǎng)絡連接數(shù)，并查看端口/IP流量

2 獲取售后服務及相關資料

1 常見問題處理

1.1 管理密碼丟失

? 將管理計算機的串口通過配置線纜與路由器的Console 口相連，在命令行下輸入password 命令并回車，按照系統(tǒng)提示，輸入新密碼，并重新輸入一次以確認即可。 ? 恢復出廠設置。

1.2 恢復出廠設置

? 登錄Web 頁面，單擊“恢復到出廠設置”中的<復原>按鈕恢復設備到出廠設置（頁面向導：設備管理→基本管理→配置管理）。

? 管理計算機串口連接或Telnet 到設備，命令行下輸入restore default命令并回車，確認后，路由器將恢復到出廠設置并重新啟動。

1.3 端口映射不成功

常見的端口映射不成功的原因及處理方法，如下：

1. 運營商原因

一般較常見的如80端口無法映射成功，內網(wǎng)訪問正常。

處理方法：聯(lián)系運營商解決或者將映射的外部端口更換為其他端口。

其他測試驗證方法：可以選擇將外部端口更換為其他端口（如8099）測試，遠程訪問時格式為：http://XXX.XXX.XXX.XXX:8099，測試是否訪問正常來確認是否該原因引起。

2. 服務器配置原因

內網(wǎng)訪問正常，但是外網(wǎng)通過端口映射訪問不成功。

處理方法：請檢查服務器配置，特別是安全策略或者防火墻設置，確認是否沒有開放非本地網(wǎng)段的訪問權限或者其他安全策略設置問題。

其他測試驗證方法：可以采用某臺XP 系統(tǒng)的客戶端主機開啟遠程協(xié)助（當然也同樣需要先驗證一下內網(wǎng)其他PC 是否能遠程登入）并在路由器上配置映射3389端口來驗證路由器的端口映射功能是否正常。

3. 端口未全部映射

內網(wǎng)訪問正常，一對一NAT 也正常，但是外網(wǎng)通過端口映射訪問不成功。

處理方法：某些應用（特別如語音、監(jiān)控系統(tǒng)等）在實際工作過程中需要用到多個端口通信，而客戶實際可能只配置了一個或者部分端口的映射，請抓包確認整個通信過程中用到的所有端口，并確認是否均已設置映射。

其他測試驗證方法：嘗試將服務器設置為DMZ 主機或者配置一對一NAT （外網(wǎng)地址不能是WAN 口地址）驗證是否正常來確認是否該原因引起。

4. 配置問題

客戶在防火墻、MAC 過濾等規(guī)則中添加了過濾規(guī)則，阻止了映射端口或者映射服務器的正常通信。

處理方法：檢查路由器規(guī)則類相關配置，查看是否將映射的端口或者服務器過濾。 其他測試驗證方法：可采用禁用防火墻、MAC 過濾等功能來排查，常見的為防火墻配置了入站或者出站通信策略引起。

1.4 設置ARP 雙向綁定（針對客戶端為靜態(tài)分配地址的情況）

1. 路由器端ARP 綁定

將局域網(wǎng)中的主機ARP 綁定為靜態(tài)表項，具體方法見手冊（頁面向導：安全專區(qū)→ARP 安全→ARP 綁定）。

2. 主機端ARP 綁定

主機端（開始→運行→CMD 窗口）將路由器地址添加到靜態(tài)ARP 表中，命令：arp –s 路由器的IP 地址 路由器MAC 地址

1.5 局域網(wǎng)部分或者全網(wǎng)PC 掉線、無法訪問Internet

1. 受到ARP 攻擊或者ARP 欺騙導致（此類情況最普遍）

(1) 掉線的PC Ping不通網(wǎng)關地址；

(2) 掉線的PC 能ping 通網(wǎng)關地址，但是有丟包；

(3) 掉線PC ping不通網(wǎng)關，Ping 主交換機下的其他PC 或者服務器能通。

處理方法：

如果全網(wǎng)掉線的PC 無法ping 通網(wǎng)關，無法登入網(wǎng)關，需要先拔掉所有WAN 口所接的網(wǎng)線，即對應的上行鏈路，再嘗試ping 網(wǎng)關或者登錄網(wǎng)關，以此來確定是內網(wǎng)問題還是外網(wǎng)攻擊問題引起。

? 如果此時能ping 通網(wǎng)關，那么很有可能是外網(wǎng)攻擊導致，請確認設備相關防攻擊功能是否開啟，WAN 口運營商側網(wǎng)關ARP 是否已經(jīng)靜態(tài)綁定，并聯(lián)系運營商協(xié)助解決。

? 如果此時掉線PC 依然無法ping 通網(wǎng)關，則可能為內網(wǎng)問題，請參考如下步驟：

1、在掉線PC 上MS-DOS 窗口通過arp –d 清掉當前ARP 信息， arp -s來

重新綁定網(wǎng)關的ARP 。例如arp –s 192.168.1.1 00-23-89-32-35-67（MAC 地

址為路由器LAN 口對應的MAC ）。

2、請檢查路由器ARP 綁定設置是否綁定了內網(wǎng)各主機的ARP 信息，可以采

用靜態(tài)和動態(tài)綁定功能實現(xiàn)，具體配置步驟參見產品手冊！（頁面向導：安全

專區(qū)→ARP 安全→ARP 綁定）

2. 路由器下掛交換機的問題導致

掉線PC ping網(wǎng)關不通，Ping 主交換機下的其他PC 或者服務器也不通。 處理方法：

(1) 掉線PC 長ping 網(wǎng)關時，請觀察與掉線PC 相連的各級交換機各端口指示燈的

狀態(tài)，如果交換機端口依然常亮，代表交換機或者相連網(wǎng)線存在問題。

(2) 如果是全網(wǎng)掉線，需要特別注意主交換機的各個端口指示燈情況（特別是連接

路由器的端口指示燈）是否正常閃爍。必要時可以重啟主交換機觀察是否能夠恢復。

(3) 掉線PC 長ping 網(wǎng)關時，請觀察路由器與主交換機級聯(lián)的路由器LAN 端口指

示燈是否正常閃爍，如果指示燈常亮，可以嘗試更換一個LAN 觀察，如果還是常亮，掉線PC ping 不通網(wǎng)關，請直接將一臺PC 接在路由器LAN 口，拔掉路由器與交換機級聯(lián)的端口，PC 嘗試ping 網(wǎng)關地址，如果此時能ping 通，說明非路由器問題。如果此時還是依然ping 不通網(wǎng)關，并確認PC 的IP 地址配置與路由器管理地址在同一網(wǎng)段，那可能就是路由器異常了，必要時可以重啟路由器觀察是否能夠恢復。

(4) 另外如果是全網(wǎng)掉線，可以嘗試在某臺掉線PC 上長ping 網(wǎng)關地址，然后逐一

插拔主交換機上連接分交換機的各個端口網(wǎng)線，觀察掉線PC 能否ping 通網(wǎng)關，以此來判斷是局域網(wǎng)內哪臺交換機底下的PC 出現(xiàn)異常導致。

3. 病毒等大流量攻擊導致

(1) 請查看路由器上是否已經(jīng)啟用了IP 流量限制（頁面向導：QoS 設置→流量管

理→IP 流量限制）。QoS 的具體限速值選擇方法參考“1.10 如何設置端口限速和網(wǎng)絡連接數(shù)，并查看端口/IP流量”關于端口限速的設置問題。

(2) 查看路由器上是否已經(jīng)啟用了網(wǎng)絡連接數(shù)限制（頁面向導：QoS 設置→連接限

制→網(wǎng)絡連接限數(shù)）。典型值為每IP 分配1000-2000。

4. 掉線PC 異常流量太大或者中毒，被路由器加入到黑名單中導致

登錄路由器查看黑名單列表中是否存在掉線PC （頁面向導：安全專區(qū)→防攻擊→異常流量防護），如果存在，選中它并將其刪除或等待生效時間之后再觀察是否恢復正常，或者可以選擇安全等級為中，即將主機的上行流量控制在10Mbps 范圍內。

5. 運營商網(wǎng)絡問題導致

能Ping 通同一交換機下的其他PC 、主交換機下的服務器地址和路由器地址，但Ping 不通路由器的上層運營商網(wǎng)關或者DNS 地址，通過路由器中的診斷工具ping DNS和外網(wǎng)地址也不通。

處理方法：運營商側網(wǎng)絡可能出現(xiàn)了問題，需要聯(lián)系運營商進行確認解決。

6. 域名解析服務器（DNS ）異常導致

能Ping 通網(wǎng)關地址，QQ 也能上，或者下載正常，但是所有網(wǎng)頁打不開。

處理方法：可能是域名解析服務器（DNS ）異常導致，可以將掉線PC 的DNS 地址靜態(tài)設置為運營商提供的DNS 地址觀察，或者可以更換一個新的DNS 地址觀察能否恢復。

1.6 上網(wǎng)速度慢，玩游戲卡

1. QoS限速不合理（限速過大，使得部分PC 占用過多帶寬或限速過小）導致

確認是否在路由器上啟用了IP 流量限制，并設置了合適的限速值，路由器的各WAN 口帶寬是否已經(jīng)填入了實際帶寬值（頁面向導：QoS 設置→流量管理→IP 流量限制）。 不同應用場合下的推薦設置及描述請參見下表：

2. 路由配置不合理導致（使用雙線路上網(wǎng)時）

該問題一般出現(xiàn)在雙WAN 的路由器且兩條線路運營商不同的情況下，且有以下現(xiàn)象： ? 訪問部分門戶網(wǎng)站慢

? 部分游戲卡

處理方法：

(1) 一般來說，需要將雙WAN 的均衡模式選擇為手動均衡，默認鏈路選擇當?shù)剌^

為穩(wěn)定的運營商線路或者帶寬較大的線路。均衡路由表里需要導入另一條運營商鏈路對應的路由表（常用路由表可在H3C 官方網(wǎng)站中獲?。菏醉?服務支持>軟件下載>路由器>ER雙WAN 路由器基礎路由表）。

(2) 使用tracert 命令在游戲卡或者上網(wǎng)慢的主機上查看到達該網(wǎng)站或者該游戲服

務器的路由是從哪個接口出去的（參考步驟（4））。（例如：某網(wǎng)站的地址為電信地址，而路由卻從連接網(wǎng)通線路的WAN 接口出去了，則只需要添加一條靜態(tài)路由（頁面向導：高級設置→路由設置→靜態(tài)路由），使其從連接電信線路的WAN 接口出去便可以解決此問題。）

(3) 北方部分用戶使用雙WAN 路由器按步驟（1）正確配置后，部分游戲或者網(wǎng)頁

（如QQ 類等），仍存在慢或者卡的問題，查看路由，確實走對了鏈路，這時需要將游戲卡或者網(wǎng)頁慢的服務器地址（一般為電信地址）找出來（參考步驟

（4）），通過設置靜態(tài)路由或者策略路由使其從聯(lián)通接口出去即可解決。

(4) 找出對應網(wǎng)站的服務器地址的方法：開始菜單→運行→輸入“CMD ”，在彈出

窗口輸入ping 訪問慢的網(wǎng)站地址即可，例如ping www.baidu.com 。接下來顯示的IP 地址即為該網(wǎng)站對應的服務器地址。找出對應游戲服務器地址的方法：在某PC 上退出其他所有應用程序，只打開該游戲，然后在系統(tǒng)開始菜單→運行→輸入“CMD ”，在彈出窗口輸入“netstat –bn ” ，找到對應游戲進程的Foreign Address地址，即為該游戲所對應的服務器地址。（使用該方法還可以快速找到游戲對應端口，在一些企業(yè)中可以將該游戲端口通過防火墻功能封掉，參見1.13）

(5) 查看對應地址屬于哪個運營商的方法：此類查詢網(wǎng)站很多，直接在百度里搜索

IP 地址查詢即可找到。如。

3. 路由器受攻擊、負荷太重或下掛交換機級聯(lián)端口出現(xiàn)擁塞導致

Ping 路由器LAN 接口地址延時很大或有丟包。

處理方法：查看CPU 和內存的利用率情況（頁面向導：系統(tǒng)監(jiān)控→運行信息→性能監(jiān)視）。

? 如果CPU 利用率很高，很可能是內/外網(wǎng)中存在攻擊或者路由器負荷太重；

? 如果CPU 利用率正常，那可能就是內網(wǎng)的問題，查看下接交換機是否負荷太重或者網(wǎng)線干擾、水晶頭松動等其他原因。

4. 路由器上層問題導致

Ping 路由器LAN 口地址、WAN 口地址正常，但Ping 打開很慢的網(wǎng)站或者Ping 玩游戲卡的服務器地址出現(xiàn)延時很大或丟包的現(xiàn)象，使用路由器自帶的維護工具Ping 打開很慢的網(wǎng)站或者Ping 玩游戲卡的服務器地址出現(xiàn)同樣的現(xiàn)象。 處理方法：

(1) 路由器上層設備（可能是光貓或者其他設備）出現(xiàn)異常，可嘗試重啟或者更換

觀察。

(2) 運營商網(wǎng)絡側可能出現(xiàn)了網(wǎng)絡擁塞等問題，需要聯(lián)系運營商進行確認解決。

(3) 游戲或者網(wǎng)站服務器滿負荷導致，需要關注游戲官方網(wǎng)站的公告或者咨詢游戲

服務商。

1.7 無法遠程訪問路由器

(1) 請通過本地管理計算機登錄路由器確認是否開啟遠程訪問功能，并確認遠程訪

問的計算機是否在遠程管理PC 的IP 范圍內（頁面向導：設備管理→用戶管理→遠程管理）。

(2) 請確認遠程訪問Web 的格式是否正確，正確的格式為：

(3) 同一時間，路由器最多允許五個用戶遠程通過Web 或Telnet 進行管理和設置，

請確認遠程訪問的計算機數(shù)量是否達到最大值。

1.8 升級過程中出現(xiàn)問題解答

升級方法如下：

(1) 升級前請備份當前版本的配置文件。在升級軟件期間，請確保網(wǎng)絡穩(wěn)定，不要

斷電。

(2) 下載。最新版本下載地址：www.h3c.com.cn 網(wǎng)站，首頁→服務

支持→軟件下載→路由器→H3C ER系列路由器。

(3) 設備升級。登錄路由器管理頁面，進入備管理→基本管理→軟件升級頁面，點

擊<瀏覽>按鈕選擇下載好的.bin 文件（下載的文件可能壓縮包，需要解壓縮獲取.bin 文件），點擊<升級>按鈕等待1～3分鐘后設備自動重啟，升級過程中，不要隨便切換網(wǎng)頁，直至完成升級。

升級過程中提示錯誤時，處理方法如下：

? 提示錯誤文件：請確認升級選中的文件是否為.bin 的設備版本文件。

? 提示上傳文件內容錯誤：請確認下載的版本文件名表示的型號是否與當前升級的設備型號一致，下載的版本文件是否做過改動。

1.9 設備各指示燈含義

1. 正常的設備指示燈狀態(tài)說明

2. 電源指示燈（POWER 燈）不亮

(1) 請檢查電源線是否連接正確。

(2) 請檢查電源線插頭是否插緊，無松動現(xiàn)象。

(3) 送當?shù)厥跈喾罩行模ˋSC ）檢測是否為設備硬件故障。

3. 不插網(wǎng)線各端口鏈路狀態(tài)指示燈（Link/Act燈）常亮或者閃爍

(1) 重啟設備觀察是否恢復。

(2) 送當?shù)厥跈喾罩行模ˋSC ）檢測是否為設備硬件故障。

4. WAN、LAN 口鏈路狀態(tài)指示燈（Link/Act燈）不亮

(1) 請檢查網(wǎng)線與路由器的WAN 、LAN 接口連接是否卡緊，無松動現(xiàn)象。

(2) 請重新連接網(wǎng)線兩端的接口或重新按標準568B 線序制作水晶頭后再嘗試連接。

(3) 請檢查是否網(wǎng)線出現(xiàn)故障：可將網(wǎng)線的兩端均插在路由器的兩個LAN 接口上，

兩個接口對應的指示燈都亮表示網(wǎng)線正常；否則網(wǎng)線可能存在問題，請更換一根之前使用正常的網(wǎng)線來重新嘗試。

(4) 請檢查端口的連接速率和雙工模式配置是否有誤：進入路由器Web 設置頁面，

將WAN 、LAN 的連接速率和雙工模式設置成和上行口、下行交換機端口一致，例如都設置為100M 全雙工觀察（推薦兩端均配置為自適應，即Auto 模式。頁面向導：接口設置→WAN 設置→網(wǎng)口模式；接口設置→LAN 設置→端口設置）。

1.10 如何設置端口限速和網(wǎng)絡連接數(shù)，并查看端口/IP流量

1. 每IP 流量限制

根據(jù)二八理論，即80的帶寬被20的人占用來計算，而且占用的帶寬大多為下行帶寬，上行帶寬一般選擇下行帶寬的一半或者2/3左右。

例如運營商帶寬為10Mbps ，帶機量100臺PC ，80的帶寬就是8Mbps ，20的人就是20個人，那么8Mbps*1000=8000kbps（實際上應該乘以1024，這里簡單以1000計算），8000kbps/20=400kbps，則理論值為每IP 需要下行限速400kbps ，上行值為200～300kbps ，當然該計算值是理論值，需要根據(jù)實際的網(wǎng)絡使用量來適當變化。如果是ADSL 寬帶類型客戶，則上行帶寬建議限制為100kbps ，且不推薦允許每IP 通道借用空閑的帶寬。如果企業(yè)、酒店等環(huán)境，平時使用網(wǎng)絡的時間或者占用的流量不是很大，那么可以適當將限速值調高，如下行600kbps ，上行400kbps ，并開啟允許每IP 通道借用空閑的帶寬。如網(wǎng)吧環(huán)境，帶寬使用量較大，則需要增加帶寬或者較少帶機量來提高客戶網(wǎng)速的體驗，保證游戲和視頻的正常工作。網(wǎng)吧一般建議每IP 限速下行800kbps ，上行500kbps ，開啟彈性帶寬功能，即允許每IP 通道借用空閑的帶寬。雙WAN 設備需要針對不同WAN 口計算不同的限速值予以限制，最終主機獲得的帶寬為雙WAN 帶寬限速總和。

2. 網(wǎng)絡連接數(shù)

一般建議每IP 設置在1000～2000即可保證正常應用訪問。

3. 查看端口/IP流量

(1) 查看每個物理端口流量：系統(tǒng)監(jiān)控→流量監(jiān)控→端口流量。

(2) 查看局域網(wǎng)內各在線主機通過WAN 口的流量：系統(tǒng)監(jiān)控→流量監(jiān)控→IP 流量

(3) 實時查看WAN 口流量：系統(tǒng)監(jiān)控→流量監(jiān)控→流量監(jiān)視

1.11 如何限制某些應用

1. 限制某些游戲（通常采用封游戲端口的方法）

以誅仙游戲（通信端口為29000，某款游戲的通信端口需要抓包獲取，如何抓包請參見“1.16 如何抓包”）為例介紹：

(1) 開啟防火墻功能（頁面向導：安全專區(qū)→防火墻→防火墻設置）。

(2) 設置出站通訊策略：添加如下規(guī)則，禁止所有IP 發(fā)往目的端口為29000的UDP

報文通過（頁面向導：安全專區(qū)→防火墻→出站通信策略），如下圖所示。

2. 限制訪問某些網(wǎng)站

(1) 通過設備的網(wǎng)站過濾功能實現(xiàn)：

在路由器上設置讓局域網(wǎng)內的主機僅能或不能訪問固定的某些網(wǎng)站（頁面向導：安全專區(qū)→接入控制→網(wǎng)站過濾）。

(2) 通過防火墻的出站通信策略實現(xiàn)部分用戶無法訪問部分網(wǎng)站。

首先通過ping 需要過濾的網(wǎng)站域名，獲取到該網(wǎng)站的服務器地址，然后再添加規(guī)則。如：禁止源IP 地址范圍為192.168.1.2～192.168.1.200的客戶端訪問目的服務器122.227.209.17 目的端口為80的TCP 報文通過。（注意：部分大型網(wǎng)站在某個地區(qū)有多個地址，或者在多個地區(qū)都有服務器地址，可以嘗試禁止目的服務器地址所

在的網(wǎng)段后，再通過上述辦法找出能ping 通的其他服務器地址，再添加規(guī)則過濾即可。）

3. 限制某些IP 不能上外網(wǎng)

? 勾選僅允許DHCP 服務器分配的客戶端訪問外網(wǎng)，不在路由器DHCP 服務器分配的客戶列表中的用戶將無法訪問外網(wǎng)（頁面向導：安全專區(qū)→接入控制→IPMAC 過濾）。

? 勾選僅允許ARP 靜態(tài)綁定的客戶端訪問外網(wǎng)，將客戶端ARP 綁定為靜態(tài)表項，不在ARP 靜態(tài)綁定表中的客戶端將無法訪問外網(wǎng)（頁面向導：安全專區(qū)→接入控制→IPMAC 過濾）。

1.12 如何劃分VLAN ，實現(xiàn)單臂路由，禁止網(wǎng)段間互訪

1. 組網(wǎng)圖

2. 組網(wǎng)需求

如上圖所示，無管理Switch A連接ER 路由器的LAN1接口，有管理Switch B連接LAN2接口，實現(xiàn)Switch A 下所有客戶端獲取到VLAN2的地址，Switch B 下存在兩個VLAN （VLAN3:192.168.3.0/24，VLAN4:192.168.4.0/24）對應兩個部門，部門之間禁止互訪。

3. 配置步驟

(1) 新增三個VLAN （頁面向導：接口設置→VLAN 設置→VLAN 設置）：