■

大家知道，路由器发生故障时，一般可以分为硬故障、软故障这两类，请问这两类故障各有什么明显的现象？

硬故障往往有这么几种常见现象：设备无法正常加电、部件发生损坏、系统软件发生损坏、其他一些现象。其中系统软件发生损坏现象，好像属于软故障，不过这种情况往往是设备自身存在问题，且与硬件紧密相关，所以将它归类于此。而其他一些现象主要是一些与硬件或多或少有关联的现象，例如升级设备时，设备的硬件容量达不到要求，设备散热不畅，影响系统运行不稳定现象等。

软故障一般有下面几种常见现象：网络规划不合理、功能不能实现、参数配置不正确等。其中参数配置不正确是最常见的软件故障，比方说线路两端路由器的配置不正确，或者参数无法保持匹配等。对于软故障，只要认真细致地查找，最后总能解决问题。

请问什么是路由器的NAT功能，引入该功能有什么作用？

路由器的NAT功能也叫网络地址转换功能，它的作用主要是将局域网内部自行定义的非法IP地址，自动转换为Internet网络上能识别的合法IP地址。考虑到IPv4地址在数量上的限制，单位从ISP申请并给局域网中的每台计算机分配一个合法IP地址是不现实的，使用路由器的NAT功能能较好解决IPV4地址短缺的问题。

请问普通路由器的NAT功能可以分为哪几种类型？

可以分为三种类型，静态NAT类型、NAT池类型和端口NAT类型，其中静态NAT类型可以将局域网中的每台主机永久映射成外部网络中的某个合法地址，NAT池类型通过动态分配的办法，共享很少的几个外部合法IP地址，端口NAT类型允许管理员只需申请一个合法IP地址，满足所有的主机连接Internet网络。

在H3C路由交换机组网的工作环境中，终端计算机无法上网访问时，网管员利用“display vrrp”命令观察VRRP备份组中每个路由器工作状态时，竟然看到有若干个VRRP路由器同时工作于Master状态，不知道该如何解决？

出现这种问题时，可以按照下面的顺序进行逐一排查：首先查看每个路由器VRRP配置是否相同，重点检查它们的认证字内容、认证方式、VRRP报文广播间隔时间、虚拟IP地址等参数是否相同，如果发现不相同时，应该及时将它们修改过来，因为VRRP要求组成备份组的所有路由器参数配置必须相同。其次查看通信端口的互通性，看看每个路由器相互连接端口有没有工作在up状态。在进行检查操作时，重点看看互连端口的配置参数，要是端口属于trunk或hybrid类型，要检查它们的PVID是否相同，有没有对VRRP备份组所在VLAN放行，各个端口有没有配置启用802.1x等协议，同时看看它们有没有由于LACP、STP、Smart-link、RRPP 等协议而阻塞，再利用“display interface”命令观察连接端口有没有大量错误的数据报文存在。第三查看VRRP数据报文的收发状态，开启VRRP调试开关功能，判断VRRP数据报文的收发状态是否正常，要是无法看到VRRP数据报文调试信息时，不妨开启IP数据报文调试功能进行查看。第四查看路由交换机后台系统CPU的占用情况，在命令行状态执行命 令“display cpu-usage”，看看VRRP数据报文互通的板卡和主板卡CPU消耗率是否超过90%，执行命令“display interface”看看端口数据流量是否正常，以判断网络中有没有广播风暴现象存在。一旦发现网络风暴现象存在，那么VRRP数据报文将不能正常传输给系统CPU处理，VRRP状态自然就不正常了。

在对路由器设备调试之前一般要注意哪些事项？

应注意下面一些事项：一是考虑调试命令生成的输出及所消耗的时间，因为有些调试操作会生成很多输入，造成后台系统停止响应或挂起。二是及时检查路由器CPU负载情况，确保设备有足够的CPU资源。三是注意使用“no debug all”、“undebug all”等命令及时停止调试操作，因为在调试过程中，路由器设备可能不会弹出相关提示。四是尽量将调试输出设置成自动显示。五是可以使用终端仿真器软件来将调试输出捕获到文件上，以方便查询更详细的调试内容。

局域网中总有一些人在偷偷地干扰网络安全稳定运行，如果禁止特定恶意用户接入网络，那么整个网络运行就能稳定了。请问在使用TP-Link无线路由器共享上网的环境下，如何限制特定IP地址的终端用户访问无线局域网？

先进入无线路由器后台系统管理页面，将鼠标定位到该页面左侧显示区域中的“安全设置”、“防火墙设置”选项，在对应选项设置区域，将防火墙功能开启成功。其次将“开启IP地址过滤”、“开启MAC地址过滤”等功能选中，同时将“禁止已设MAC地址列表中已启用的MAC地址访问Internet”、“凡是不符合已设 IP地址过滤过则的数据包，允许通过本地路由器”等选项选中，再单击“添加新条目”按钮，将需要限制访问的终端计算机IP地址添加进来，确认后保存设置操作。之后将鼠标定位到“安全设置”、“MAC地址过滤”节点上，将需要限制上网访问的终端计算机MAC地址添加进来即可。

有两台Quidway系列路由器相互间物理连接是通畅的，不过它们之间始终无法使用RIP协议互通，不知道是怎么回事？

出现这种现象的原因主要有下面几个：一是子网掩码可能不匹配。主网中的每一路由器和主机都应有相同的子网掩码。要是网络子网掩码长度不匹配，那么数据包就无法正确路由。二是连接端口上可能关闭掉了RIP功能。对于这种情况，先要查看一下连接端口的配置状态，一旦确认RIP功能被关闭运行时，不妨使用“router rip”命令重新启用RIP功能。第三可能是相应的网段没有使能。

当遇到路由器的路由表项丢失故障时，该怎么进行来排查？

对于Quidway系列路由器来说，首先执行“display rip”命令，查看路由器RIP的相关配置是否正确。例如，主要检查有关接口是否已经使能，RIP有没有启动，network命令指定的工作子网是否正确等等。其次通过“debug rip”等命令，来查看RIP协议的相关调试信息。一般通过调试信息，就能直观知道RIP数据报文有没有被正确的收发；要是发送或接收存在故障时，也能通过调试信息判断出是什么原因造成发送或接收数据报文失败。

Quidway S8500路由交换机可以同时插入若干块板卡，每块板卡可以负载24个光端口，每个端口的状态都会影响板卡工作状态，如果光端口输入、输出请求比较多，板卡就要耗费更多CPU资源应付这些请求，如果CPU资源消耗严重时，整块板卡都可能无法工作。请问，如何判断路由交换机板卡的工作状态是否正常？

为了及时了解板卡工作状态，只要对它们的CPU资源使用情况进行监控，要是发现CPU消耗率在50%以上时，就要排查板卡上每个光端口的流量状态是否正常了，直到找出不正常的端口，同时执行“shutdown”命令关闭端口工作状态。在查看板卡CPU资源消耗情况时，可以先将交换机系统切换到全局视图模式状态，通过“display cpu”命令，就能发现板卡最近五秒钟、最近一分钟、最近五分钟的CPU资源消耗情况了。 除了CPU消耗情况会影响板卡状态，板卡温度也会对其工作状态产生影响，要是交换机散热不良的话，那么板卡温度将会持续上升，同时温度的不断攀升，会影响路由交换机的响应能力，严重时能造成交换机发生死机现象。所以，通过“display en”命令查看板卡温度，也能判断网卡的工作状态是否正常。

为了让路由器按需工作，系统管理员一般都要对其进行合适设置。可是在设置路由器后台系统参数时，经常会遇到无法登录路由器后台系统管理页面的故障，遇到这种故障时该如何来进行排查？

在初次登录路由器后台系统时，需要检查客户机与路由器之间的物理连接是否正常，客户机的IP地址是否和路由器LAN口处于相同的一个网段。如果上述操作仍不能登录路由器后台系统，可以尝试将路由器恢复为出厂设置。

要是用户自行调整过路由器的管理端口，那么需要在IE浏览器窗口的地址栏中输入“http://路由器管理端口IP:具体号码”，比方说输入“http://192.168.1.1:8080”，才能登录路由器后台系统。倘若之前能成功登录路由器后台系统，现在不能登录路由器，那很可能是他人调整过路由器的配置或缺省的80端口遭遇攻击，这时不妨重启或复位路由器，调整路由器后台系统的管理端口，换用别的登录账号和密码。

在复位都无法解决问题的情况下，多半是路由器遭受了ARP欺骗攻击，建议认真找出欺骗源、查杀病毒或将其隔离。当然，也有可能是IE浏览器自身问题，例如浏览器启用了代理功能后，就可能无法登录路由器，这时不妨打开IE浏览器窗口，依次点击“工具”、“Internet 选项”命令，弹出Internet选项设置对话框，点击“连接”标签，在对应标签页面的“局域网设置”位置处，点击“设置”按钮，在其后界面中请确定“代理服务器”的“为LAN使用代理服务器”选项处于取消选中状态，如果已经被勾选时，应该立即取消。

某局域网有100多台终端计算机，这些终端计算机通过各个楼层交换机，与H3C S8500系列路由交换机连接上网。最近几天，总有人反应说他们的终端计算机上网速度很慢，有时连简单网页都打不开，管理员怀疑有人偷偷在进行BT下载。请问怎样准确知道谁在悄悄下载，或者如何能有效控制用户的下载操作？

只要在局域网中部署sniffer这样的监控工具，通过这些监控工具的数据流量视图，就可以十分轻松地看到局域网中究竟哪台计算机的数据流量比较大了，这些流量不正常的计算机，自然是有人在偷偷进行BT下载操作了。当然，由于这里的H3C S8500系列路由交换机支持流量查看功能，我们可以在交换机后台系统命令行状态执行“display dia”命令，查看核心交换机所有交换端口的流量变化状态，这样也能找到悄悄进行BT下载操作的计算机系统。如果想有效控制用户的恶意下载行为，不妨利用聚生网管、超级网管、网路岗之类的专业工具，来对下载操作进行严格控制。

路由器在长时间工作过程中，经常会遇到死机或频繁掉线问题，给用户带来很多不便。请问会有什么原因造成了这些问题？

主要有五方面的原因：一是网络病毒造成的攻击。在局域网中要是有计算机存在病毒，而且这些病毒会专门攻击路由器特定端口或者在局域网中不断发送广播包，那么路由器可能会因为负载过重而引起死机掉线等问题。二是带机数量过多。当路由器和自己所带计算机数量和应用不匹配，可能会出现路由器根本就无法承担网络负载的现象，而造成死机掉线的问题出现。三是接入线路质量差。质量差的接入线路，会大大增加产生信号干扰的可能性，这种干扰有时也会引起路由器经常掉线甚至死机。四是参数设置错误。有时，错误的参数设置，会造成路由器发生掉线死机的现象。五是路由器自身质量较差。自身质量较差的路由器，工作起来稳定性无法保证，死机或频繁掉线问题也是不可避免。

某局域网使用宽带路由器组网，通过宽带Modem进行上网。最近，上网一段时间后就会发生掉线故障，将路由器关闭电源后再重新接通，又能恢复上网了，不知道是怎么回事，该如何解决这种问题呢？

首先检查局域网中是否存在多个DHCP服务器，造成IP地址使用混乱。可以尝试将局域网中的所有DHCP服务器关闭，使用手动指定IP地址方式或仅保留一个DHCP服务器。其次检查宽带路由器和ADSL设备是否存在散热不良现象。要是刚上网时正常，过一会网速下降，这时要是用手摸设备很烫，用其他设备替换速度就正常，就意味着设备散热性能不好。第三检查所有连接的计算机是否感染上了网络病毒或木马，可以用最新版本的杀毒软件和木马专杀工具，彻底扫描局域网中的计算机，确保将病毒或者木马清除干净后再接到局域网中。第四检查局域网使用的宽带路由器与ISP的局端设备是否保持兼容，这类问题可以尝试通过设备替换法来观察解决。

为了便于管理宽带路由器，不少管理员会启用该设备的远程管理功能，但该功能缺省会用到80端口，该端口很容易被黑客非法利用，不利于网络的安全稳定运行。请问如何避免这种现象发生？

要想保护宽带路由器远程管理安全，不妨将缺省的远程管理端口调整为陌生号码，日后只有知道新端口的人，才能对路由器进行远程管理。比方说，要将TP-Link无线路由器Web管理端口调整为“3456”时，只要先进入路由器后台系统管理界面，依次展开“安全设置”、“远端Web管理”节点，在对应节点下面，将“Web管理端口”参数设置为“3456”。之后，在“远端Web管理IP地址”位置处，输入可以对宽带路由器进行远程管理的计算机公网IP地址，单击“保存”按钮执行设置保存操作，最后重启宽带路由器设备，这样日后只有在特定计算机上，并输入新的端口号码，才能对宽带路由器进行远程管理。

为了管理安全，有的管理员会为路由器设置一个复杂的登录密码，但时间长了，很容易忘记该密码。请问当忘记登录路由器后台系统管理密码时，该怎么办呢？

有的路由器设备后面有一个复位功能按钮，依照操作说明按住这个功能按钮数秒会恢复默认配置，登录后台系统的用户名和密码会被自动恢复成默认值。

为了保护思科路由器登录安全，请问如何为不同登录方式启用复杂登录密码？

思科路由器同时支持多种设备登录方式，比方说VTY（Telnet）、Console、AUX 等，只有为这些登录方式启用复杂登录密码，才能保证设备的安全稳定运行。VTY（Telnet）、Console、AUX等登录方式，都属于行模式的接口，要为这些登录方式设置密码，需要先以特权身份登录路由器后台系统，在特权模式状态下使用“service password-encryption”命令，强制对明文密码内容执行加密操作。之后使用“line console 0”命令，进入Console登录方式的行模式状态，开始进行登录认证配置，再依次执行“Password )(*&po541276”、“login”命令，将Console登录认证密码设置为十分复杂的“)(*&po541276”内容。最后输入“exit”命令，退出Console登录方式的行模式状态，结束该方式的认证密码设置操作。

要配置VTY（Telnet）登录方式的认证密码时，也是在特权模式状态下，使用“Line vty 0 10”命令，进入Telnet远程登录方式的行模式状态，开始进行登录认证配置，这里的“10”表示同时启用10个虚拟登录接口，说明同时允许有10个用户通过Telnet方式登录到这台路由器。之后依次执行“Password )(*&po541276”、“login”、“exit”命令，将Telnet方式登录密码设置为“)(*&po541276”，同时退出Telnet登录方式的行模式状态。再按照同样方法，为AUX方式设置好合适的登录认证密码。

H3C路由交换机链路层协议状态、端口物理状态都正常，与该交换端口直接相连的客户端系统，向路由交换机传送IP报文时，路由交换机却无法成功对其进行转发，不知道是怎么回事？

遇到这种现象时，先要看看交换机有没有开启动态路由功能，如果发现其还没有开启，那多半就是交换机的静态路由存在错误。这个时候，不妨切换到交换机后台系统指定端口视图模式状态，在命令行状态下执行字符串命令“display ip routing-table protocol static”，从返回结果信息中看看交换机的静态路由有没有配置正确。在静态路由配置正确的情况，继续执行命令“display ip routing-table”，检查指定静态路由是否工作正常。一般来说，在静态路由启用同时参数配置正确的情况下，路由交换机应该能对数据报文执行转发操作。

有的局域网只能玩游戏或使用QQ，无法正常浏览网页，请问这些现象与路由器有关吗？

这种现象主要是DNS解析不当的问题，可能与路由器有一定关系。建议用户在路由器和计算机系统手动设置好正确的DNS服务器地址。

边界路由器作为单位内网和外网的连接“枢纽”，它的安全性能与单位内网的运行状态息息相关，如果它自身的安全不能保障，那么单位内网也几乎没有安全可言。请问如何提高边界路由器自身的安全防护能力呢？

可以采取下面的措施来提升边界路由器自身的安全能力：一是建立严格过滤规则，因为通过正确使用过滤规则，可以很轻松地将恶意攻击屏蔽在本地网络之外。二是严格规范使用密码，例如为边界路由器设置不容易被猜出的登录密码，为边界路由器的Consol端口设置相对复杂的密码，为特殊情况下的路由器远程访问操作设置特权密码等等。三是学会分析日志记录，因为所有进出本地网络的全部通信状况都会被自动记录下来，对这些记录进行分析后，能及时发现潜藏在本地网络中的各种安全威胁。比如说，通过查看分析连接到Internet的日志记录，可以判断出本地网络中是否有间谍软件程序或特洛伊木马程序在与外部网络建立连接，通过查看进网记录，能了解到恶意用户对本地网络进行了哪些操作，操作是在什么时间进行的。四是禁用一些无关服务，例如禁用默认的Http管理服务、IP直接广播服务、常用的SNMP服务以及ICMP ping请求、IP源路由等服务。

在升级路由器后台系统的时候，经常会遭遇一些意外而无法顺利升级的问题。请问如何才能保证路由器升级顺畅？

首先关闭系统防火墙。为了防止系统防火墙干扰路由器后台系统升级操作，建议在正式升级之前，关闭系统自带防火墙的运行状态。其次选准升级版本文件。要是升级文件选择不准确，在升级过程中会出现“请检查文件名是否正确”的提示信息。选择升级文件时，既要根据设备型号进行选择，又要根据硬件版本进行选择，只有升级文件同时匹配型号信息和硬件版本，才能保证升级成功。第三部署TFTP服务器。为了能让路由器后台系统正确读取到下载得到的最新升级文件，在进行升级操作之前，我们必须先运行升级文件包中的“tftpd32.exe”文件，以便将本地计算机部署成为简易的TFTP服务器。这样，当我们在路由器后台系统打开升级页面，在“文件名”位置处输入扩展名为“bin”的升级文件路径时，路由器才能正确读取到指定文件中的内容，从而保证系统升级成功。第四是排除其他一些干扰。例如，在升级固件过程中，一定不能断电；要关闭所有正在运行的程序，特别是要关闭杀毒软件和屏幕保护程序；尽量从设备官方站点页面中下载固件程序和刷新升级工具，同时保证固件版本要与设备的硬件型号保持吻合；不要通过无线网络进行升级操作；升级结束后，必须及时进行手工重启，确保升级操作进行到底。

征稿函

栏目定位：

基础设施管理包括对硬件、软件和人力的使用、综合与协调，以便对网络资源进行监视、测试、配置、分析、评价和控制。

同时也征集您在网络管理方面遇到的问题、疑惑。

文章选材（不限于以下议题，可自由发挥）：

1.设备运维：介绍、分析硬件设备的维修、保养、管理、配置、优化的经验技巧。

2.网管软件：介绍网络管理工作中相关的工具软件，使用方法、实现目的、网络情况的前后对比效果。

3.网管经验：在以往的网络管理工作中的设计、实施、经验教训。

4.机房与数据中心（实用性）：对企业和数据中心中的IT基础设施以及硬件设备的维修、保养、管理、配置、优化的经验技巧。文章强调实用性，可操作性和可靠性，有总结的内容。

5.机房与数据中心（概念性）：机房与数据中心中UPS、布线、路由交换、监控管理、机柜机架、空调制冷、规章制度等的说明、总结与展望，可对现有情况进行总结和对新技术、新产品的评定、评测等。投稿信箱：netadmin@365master.com