网络故障排除手册.doc

此文档收集于网络，如有侵权，请联系网站删除吧网络故障排除手册目录1设备61.1各型号硬件参数（包括带机数、flash、内存、端口、插槽、模块等）61.2NBR的正式软件版本61.3NBR2000上如何配置镜像？71.4NBR接口是自适应的71.59.0b7版本发生规律性的掉线81.6设备面板上的指示灯82基本设置92.1如何设置系统时间（动静态）？92.2如何更改接口MAC？92.3如何设置用户名密码？（telnet、enable、登录时需要）102.4如何恢复密码、出厂配置？102.5不支持SSH登录管理102.6设置超级终端时哪步最可能出错？112.7如何更改console口的波特率？112.8如何配置keepalive？112.9管理哪些版本需要安装JRE？112.10流量监控能监控哪些内容？112.11如何配置双机热备？123ACL133.1ACL的种类和功能133.2常用的ACL配置133.3远程登录更改ACL时的注意事项（WEB和telnet）143.4如何限制管理ip（只允许某个ip管理）？143.5配置的ACL不起作用143.6只允许浏览网页，禁止访问其他业务154NAT164.1如何在NBR上配置DDNS？164.2如何配置反向映射（即反向端口映射、反向NAT）？164.3动态获得IP时可以在web下配置反向NAT吗？164.4用户反映反向NAT不成功，如何测试主机是否开了相关服务？174.5为什么配置了反向NAT后外网无法登录管理？174.6能更改路由器登录管理的默认端口吗？174.7用户反映QQ登录慢174.8配置保存fail，但上网正常175VLAN185.1如何配置VLAN？185.2可以做TRUNK吗？可以VLAN间路由吗？186路由196.1可以配置哪些路由协议？196.2两条不同ISP线路，做主备，路由如何配置？196.3两条都是同一ISP又不同网段的呢？同一网段呢？（列出不同版本不同配置方法）196.4配置策略路由后优先走哪条路由？206.5双线路不同运营商的网吧为什么玩游戏会卡？207DNS和DHCP217.1如何配置DNS relay？217.2多个ISP需要多个DNS时，建议不要配置DNS relay217.3如何配置DHCP？能否指定分配MAC？228日志238.1如何打开日志及设置各项日志显示？238.2常见日志显示信息238.3如何设置日志服务器？249限速259.1如何限制P2P？如何限速？259.2为什么限速下传是1000，但有些PC会超过到1040？259.3限速参数如何建议？限速单位269.4能否基于MAC限速？2610病毒攻击2710.1怎么做网吧ARP绑定（包括web和CLI）？2710.2绑定时给用户的建议2710.3绑定后要更改，如何操作？（包括web和CLI）2810.4ARP病毒的现象，查看哪些信息，解决办法2810.5DDOS攻击的现象，查看哪些信息，解决办法2910.6内网使用公网地址时可以打开防外网攻击吗？这种情况如何防外网攻击？2911VPN3011.1各版本支持的VPN3011.2如何配置VPN3012升级3212.1能否通过web升级？注意事项3212.2升级步骤及注意事项3212.3“Warning:please exec command : no security anti-lan-attack!”是什么意思？3412.4在升级时总是升级失败，每次都提示“-1”3413案例3513.1用户反映上网慢或掉线，登录路由器要查看哪些信息？3513.2电信局端线路改造后，路由器无法正常上网3513.32000重启后，发现时间ACL工作异常3613.4网吧外网口总是闪断3613.5端口出现地址冲突的告警，冲突源是路由器本身3613.6使用多地址池出现游戏掉线3613.7PPPOE拨号后无法上网3614RGNOS9.10B18专题3814.19.10B18比9.01B5的改进3814.2NBR系列路由器对9.10B18版本的支持情况3814.39.10B18版本的典型联动模型3914.4联动方案中，57+18和29/27+18的建议带机数3914.5在57/27/29+18模型下，S18为什么不能再串接S18？3914.6在57/29+27模型下，S27为什么不能再串接S18？3914.7联动建立后，web不能访问交换机3914.8ARP表或安全地址绑定表中出现100.132.*.*的IP地址4014.9NBR不停提示“交换机硬件资源不足，导致绑定不成功”4014.10弹性带宽中的保留带宽和最大带宽4014.11如何配置弹性带宽？4014.12弹性带宽停止时路由器如何限速？4114.13如何实现游戏带宽保证功能？4114.14限速和弹性带宽可以共存4114.15访问NBR web 界面慢4214.16无法telnet NBR12004214.17开启信任arp机制后在路由器上看到多个ip对应同一个MAC4214.18联动后出现部分主机无法上网4214.19NBR的arp表中的trust状态4214.20如何配置802.1Q？4314.21如何使用show命令排查故障？4314.22（NBR300S27S18）模型，开启联动后同一台S18下多台电脑不能上网481 设备1.1 各型号硬件参数（包括带机数、flash、内存、端口、插槽、模块等）型号端口扩展槽内存FlashNAT数包转发率带机数NBR25001个千兆WAN口，2个百兆WAN口，5个千兆LAN口无256M32M50万700Kpps1500NBR2000/28-212个千兆口，1个百兆口无256M32M50万650Kpps1000NBR12002个百兆WAN口，4个百兆LAN口1个64M8M5万150Kpps250NBR11002个百兆WAN口，4个百兆LAN口无64M8M5万120Kpps150NBR3001个百兆WAN口，4个百兆LAN口无64M8M5万100Kpps150NBR802个百兆WAN口，4个百兆LAN口无64M8M5万80Kpps851.2 NBR的正式软件版本版本发布日期较上一版本的改进6.142004年8月-8.02005年1月-8.102005年3月-8.212005年7月-8.302005年11月-8.412006年8月2日增加了免费ARP、IP限速。8.41以前的版本不支持log信息，不支持arp spoof 不支持内网防攻击。但很好地支持了双ADSL自动负载均衡。8.52006年8月16日相比8.41以前的版本增强了防内外网攻击，内网的anti arp-spoofing，支持更多的系统Log信息。9.0b72006年12月6日增强了防内外网攻击、MAC/IP自动绑定、电信网通线路自动选择，支持ARP自动绑定，稳定性大大加强，但存在与华为ARP兼容的问题，升级后经常会报定时断线。9.0以前的版本的WEB管理基于绿色的JAVA界面。9.01b52007年6月24日不再需要JAVA的支持，它打开管理页面的速度大大提高。还有以下特性：l 监控页面和配置页面密码分开设。l 防火墙可以一条一条删除，并可任意调整先后顺序。l 增加公网IP设置模式（适用于北京等地区不需NAT的应用模式）。l 防攻击内容的丰富。NBR受攻击情况下，ping NBR 不丢包。l 对ARP 单播报文优化处理：满足一些地区电信局端对ARP欺骗的特殊处理。 l 网通地址库更新。9.10.b182007年12月10日请参考9.10b18专题。1.3 NBR2000上如何配置镜像？配置命令如下：nbr2000(config)#mirror master lan 0 slave wan 0 allNbr2000(config)#mirror master lan 0 slave wan 1 all 监控pc可以不配ip地址，配了IP的监控pc可以上网。硬件版本是1.0的NBR1000/1000E，不能开启端口镜像的功能，否则会引起掉线。1.4 NBR接口是自适应的是自适应的。1.5 9.0b7版本发生规律性的掉线当对端是华3的设备（MAC地址以00e0.fc开头）时，由于华3设置的ARP是以单播的形式发送的，而我司的ARP按照标准，是以广播的形式发送，所以双方ARP协商有问题，必须将我司的设备的ARP老化时间缩短，一般建议设置为5s以下，NBR (config)#arp timeout 5，注意不能在外网口配置ARP绑定及免费ARP。1.6 设备面板上的指示灯NBR路由器上每个网口都拥有M指示灯和Link/ACT指示灯，这表示此端口是工作在100M还是工作在M，可以从其是否闪烁看出其是否在转发数据。路由器还有一个状态指示灯status，这表示它的供电电源是否正常。在1200和2000还存在着个指示灯：l 饱和：CPU利用率大于%l 繁忙：CPU利用率大于%,小于%l 正常：CPU利用率小于%l 空闭：CPU利用率小于%NBR1200还多了一个报警灯，当设备受到DDOS攻击时，报警灯闪烁。2 基本设置2.1 如何设置系统时间（动静态）？静态设置路由器时间的命令是：NBR#clock set 11:11:11 30 april 2007 或NBR #calendar set 11:11:11 30 april 2007K 由于NBR2000和NBR28/21无时钟芯片，无法保存静态时钟，故必须配置动态时钟。其他NBR路由器不存在该问题。动态设置路由器时间的命令是：NBR(config)# sntp enableNBR(config)# sntp interval 60 /单位分钟NBR(config)#sntp server 128.9.176.30对于内网使用公网地址的地区（如北京），其路由器外网口地址配为私网地址，无法直接向公网时钟服务器获取时钟。这种情况需在内网建一个时钟服务器，将SNTP server指向内网的服务器地址。2.2 如何更改接口MAC？NBR可以更改接口MAC。l 内网口：例如之前为了防ARP病毒，做了双向绑定。现在更改网关设备，将网关设备的接口MAC改成原来的，就省了所有PC重新绑定网关的麻烦。l 外网口：有的ISP为了防ARP病毒或对PPPOE进行认证，对用户接入设备进行绑定。当更换该设备时，可将新设备外网口MAC改成旧MAC。配置命令如下：NBR(config-if)#mac-address 1111.1111.11112.3 如何设置用户名密码？（telnet、enable、登录时需要）telnet使用用户名和密码进行登录：NBR（config)#username xxx password xxxNBR（config）#line vty 0 4 NBR（config-line)#login local telnet只使用密码登录：NBR（config）#line vty 0 4 NBR（config-line)#login NBR（config-line)#password xxx 设置console方式与telnet相同，只需将vty 0 4改为console 0即可。设置enable密码：NBR(config)#enable secret lever 15 0 xxx /注意：设置密码不要加空格2.4 如何恢复密码、出厂配置？恢复出厂配置有两种方式：l 第一种方法是在运行情况下长按reset键8秒，这时系统会把原来的配置清空，恢复成出产设置。l 第二种方法是在设备加电时按Ctrl+C进入配置菜单界面，选择更改文件选项，把config.text改成config.bak，再断电重启路由器。这种方法可以保留原先配置。默认的IP地址是192.168.1.1/24,默认的15级密码是：admin2.5 不支持SSH登录管理不支持。2.6 设置超级终端时哪步最可能出错？设置超级终端时在设置“数据流控”这步最容易错，在属性设置中点取“还原成默认值”就可以避免这个问题，这样也避免波特率出错。当遇到超级终端无法显示、乱码、无法敲入等都可能是该问题。也可以通过接入其他设备看是否显示正常来确认问题所在。2.7 如何更改console口的波特率？ 配置命令如下：Nbr(config)line console 0Nbr(config-line)# speed 576002.8 如何配置keepalive？keepalive用于检查线路是否正常，缺省每隔10 秒发送一个DNS或Ping 的报文，收到回答，则认为线路正常；若连续发送3 次，均未收到回答，则认为该接口是Down 的。配置命令如下：NBR(config-if)#keepalive 10 ping 221.203.76.1 或NBR(config-if)#keepalive 10 dns 202.101.98.55一般选择稳定的目的地址进行测试。单线路情况下不使用该功能。2.9 管理哪些版本需要安装JRE？在管理9.0B7以前的的nbr软件版本时，需要安装1.31的JRE软件版本。若没安装，可以打开首页，但无法进入配置界面。如果JRE版本不符的话，会出现某些页面无法正常显示，如：“配置向导”项空白。2.10 流量监控能监控哪些内容？流量监控可以显示系统信息（版本信息、运行时间，CPU的利用率，内存的使用率等）、接口信息（各接口状态、统计信息）、IP流量信息及系统日志信息。L 流量监控不能和限速同时配置。2.11 如何配置双机热备？VRRP配置如下：NBR-Ainterface GigabitEthernet 0/0 vrrp 1 priority 120 /vrrp1组的优选级为120，默认为100 vrrp 1 ip 192.168.1.1 /vrrp1的虚拟网关IP为192.168.1.1 vrrp 1 track GigabitEthernet 0/1 30 /当外网口（g0/1）down掉，降低30的优先级，降低后VRRP1的优先级为90vrrp 2 ip 192.168.2.1 /vrrp2的虚拟网关IP为192.168.2.1vrrp 2 track GigabitEthernet 0/1 30 /当外网口（g0/1）down掉，降低30的优先级，降低后VRRP2的优先级为70NBR-Binterface GigabitEthernet 0/0 vrrp 1 ip 192.168.1.1 /vrrp1的虚拟网关IP为192.168.1.1 vrrp 1 track GigabitEthernet 0/1 30 /当外网口（g0/1）down掉，降低30的优先级，降低后VRRP1的优先级为70 vrrp 2 priority 120 /vrrp2组的优选级为120 vrrp 2 ip 192.168.2.1 /vrrp2的虚拟网关IP为192.168.2.1 vrrp 2 track GigabitEthernet 0/1 30 /当外网口（g0/1）down掉，降低30的优先级，降低后VRRP2的优先级为90K 数值越大，优先级越高，优先级高的为主，低的为备。3 ACL3.1 ACL的种类和功能查看配置：NBR(config)#access-list ? IP standard access list IP extended access list IP standard access list (expanded range) IP extended access list (expanded range) IP address range standard access list IP address range extended access list MAC access list从上面的信息可以看出，NBR路由器的ACL共分成7类，199是标准访问列表，100199是扩展访问列表，13001999是标准扩展Range的访问列表，30003099是标准的基于IP range的访问列表，31003199是扩展的基于IP地址范围的访问列表。40004199是基于MAC地址的访问列表,只能在NBR的交换口上配置，NBR2000、NBR21/28不支持。3.2 常用的ACL配置常用ACL配置有：access-list 3198 deny tcp any any eq 135/冲击波、震荡波access-list 3198 deny tcp any any eq 139/魔波access-list 3198 deny tcp any any eq 445/冲击波、震荡波、魔波access-list 3198 deny udp any any eq 137/137、138、139为netbios端口access-list 3198 deny udp any any eq 138access-list 3198 deny udp any any eq 139access-list 3198 permit ip any anyaccess-list 3199 deny icmp any any echo/禁止从外网ping路由器access-list 3199 deny tcp any any eq 135access-list 3199 deny tcp any any eq 139access-list 3199 deny tcp any any eq 445access-list 3199 deny tcp any host x.x.x.x eq 80/禁止外网访问路由器管理页面，如果有多条接入线路，请依次配置，如果配置了WEB端口映射，请去掉。K 同一接口下可以同时在in和out方向应用不同的ACL。带交换口的NBR的内网口可增加1条基于MAC的ACL。即一个端口最多可以配置3条ACL。3.3 远程登录更改ACL时的注意事项（WEB和telnet）远程配置ACL时首先应提醒用户，配置可能引起网络中断，若中断仅需花一分钟时间重启即可。在用户同意配置情况下，不删除原ACL，配置新的替换到接口。等运行正常后再删除原ACL。telnet配置时，后配的总是摆在后面。而ACL是按顺序从上往下匹配的，故一般不对原ACL直接进行更改。WEB配置时，可以调整各项顺序。ACL默认是deny的。3.4 如何限制管理ip（只允许某个ip管理）？限制管理IP是针对TELNET或WEB来说的，对console口无效。限telnet管理主机配置如下： NBR (config)#access-list 11 permit 192.168.1.27 0.0.0.0 /定义一条ACL，允许一个主机 NBR(config)#line vty 0 4 /进入TELNET模式 NBR(config-line)#access-class 11 in /配置在接口上，只允许192.168.1.27的主机进行TELNET配置。在接口上配置ACL可以限制WEB和telnet管理主机。 3.5 配置的ACL不起作用可能的故障原因有：l 配置顺序不对，ACL是从上往下逐条匹配，一旦上条已经匹配，下调将不起作用。l 未正确应用，ACL配置完后应该关联才起作用。l 配置时间ACL后，由于系统时间更改，引发控制改变。常见于无时钟芯片的NBR2000重启时。3.6 只允许浏览网页，禁止访问其他业务配置方法：只打开80和53端口。NBR(config)#access-list 101 permit ip any host 202.101.98.55NBR(config)#access-list 101 permit tcp any any eq 80NBR(config)#access-list 101 permit tcp any any eq 53NBR(config-if)#ip access-group 101 inL 如果只打开80端口，未打开53端口，则会出现无法通过域名访问网页的现象。4 NAT 4.1 如何在NBR上配置DDNS？NBR (config)#ddns 88ip abcNBR(config-ddns)#password abcNBR(config-ddns)#bind f 1/0公司的产品现在只支持88IP，需要使用bind命令来绑定使用DDNS 服务的接口。若希望通过其他服务商提供DDNS服务来发布网站，可以通过将拨号口映射到内网网站服务器上来实现。4.2 如何配置反向映射（即反向端口映射、反向NAT）？NBR (config)#ip nat inside source static 192.168.0.2 1.1.1.1 permit-inside这条命令是将内网的192.168.0.2上的端口全部映射到1.1.1.1这个外网地址上去。permit-inside的作用是允许内网直接使用1.1.1.1访问。两个公网IP不能全映射到同一内网IP，但可以一个做全映射另一个做端口映射，还可以在服务器上设置second ip来解决。4.3 动态获得IP时可以在web下配置反向NAT吗？在WEB下不可以配置动态地址的反向NAT，要解决这个问题必须在命令行下配置：NBR (config)#ip nat inside source static tcp 192.168.0.4 80 interface dial 0 80 /注意，必须映射dial接口，而非物理接口。4.4 用户反映反向NAT不成功，如何测试主机是否开了相关服务？首先登录路由器，确认路由器配置没问题。然后，再检查用户主机是否开启相关服务。使用telnet命令，NBR#telnet 1.1.1.1 80，如果出现% Destination unreachable; gateway or host down则表示该主机的web服务没有打开。4.5 为什么配置了反向NAT后外网无法登录管理？配置了反向NAT后，特别是将服务器的全部端口都映射到路由器上后，外网的访问将被转向内网服务器，所以无法登录管理。4.6 能更改路由器登录管理的默认端口吗？不可以更改登录管理默认端口。4.7 用户反映QQ登录慢可以通过配置如下命令解决此问题。NBR (config)#ip nat application qq 1024 K 从8.22版本开始就会出现这种情况，一直到9.0B7。4.8 配置保存fail，但上网正常可能的故障原因是：闪存故障，或者Flash满。受到攻击，经常会出现内存被消耗光的现象。可以通过限制NAT 结点总数为 7000条再重启路由器来解决。 5 VLAN 5.1 如何配置VLAN？在NBR路由器（9.10B18版本之前）中可以分成两个系列，除了NBR2000支持802.1Q能配置子接口，提供交换机Trunk连入外，其他型号不支持该功能，只能对每个LAN口配置一个VLAN。线路的连接方式是每个VLAN用一根线连到不同的LAN口中。配置如下：interface FastEthernet 0/0 /LAN0口的配置不用配成子接口，也不用封装ip address 192.168.0.1 255.255.255.0interface FastEthernet 0/0.1 /LAN1-LAN3分别对应0/0.1-0.3 encapsulation dot1Q 1 /LAN1-LAN3分别对应dot1Q 1- dot1Q 3 ip address 192.168.1.1 255.255.255.0 vlan port 1 /LAN1-LAN3分别配成port1-3，LAN0口不用配置 NBR2000配置如下： interface GigabitEthernet 0/0 /物理口不能封装成dot1Qinterface GigabitEthernet 0/0.1 /2000子接口和其他不同，不止配置3个子接口 encapsulation dot1Q 10 /VLAN ID可配置范围1-506 ip address 192.168.1.1 255.255.255.0 在9.10B18中支持802.1Q，不再需要每个vlan一根线连接到路由器的LAN口。5.2 可以做TRUNK吗？可以VLAN间路由吗？NBR2000和其他型号的区别是：2000同普通路由器，可配置多个dot1Q的子接口。交换机通过trunk只需一根网络线与他相连，就能达到多个VLAN间路由功能，即单臂路由。物理口不用配置。其他虽然有带多个LAN口，但每个口只能属于一个VLAN，只能提供4个VLAN接入，非标准dot1Q。每个VLAN都必须有一根网络线连入，也可VLAN间路由。物理口配置成LAN0口。6 路由6.1 可以配置哪些路由协议？可以配置静态路由、RIP动态路由。6.2 两条不同ISP线路，做主备，路由如何配置？如果两条ISP线路，一般选带宽大的做主路由，另一条做备份路由，配置如下：Ip route 0.0.0.0 0.0.0.0 interface f1/0 x.x.x.x /静态路由Ip route 0.0.0.0 0.0.0.0 interface f1/1 y.y.y.y 100 /浮动静态路由ip route 58.19.144.0 255.255.240.0 y.y.y.y /需配置备份线路路由表6.3 两条都是同一ISP又不同网段的呢？同一网段呢？（列出不同版本不同配置方法）如果都是同一ISP不同网段的两条个地址，8.41版本无需特别配置。对于8.5以上的版本，须配置策略路由：方法一access-list 10 permit ip 192.168.0.0 0.0.0.254 /定义偶数IPaccess-list 20 permit ip 192.168.0.1 0.0.0.254 /定义奇数IPip default-route list 10 out-interface FastEthernet 1/0 /偶数IP地址从F1/0路由出去ip default-route list 20 out-interface FastEthernet 1/1 /奇数IP地址从F1/1路由出去方法二access-list 10 permit ip 192.168.0.0 0.0.0.254 /定义偶数IPaccess-list 20 permit ip 192.168.0.1 0.0.0.254 /定义奇数IProute-map net210 permit 10 match ip address 10 /关联ACL10 set ip next 172.31.0.29 /设置下一条，可以是接口route-map net210 permit 20 match ip address 20 /关联ACL20 set ip next 61.154.9.254 /设置下一条，或set interface FastEthernet 1/0interface FastEthernet 0/0 ip policy route-map net210 /应用在内网口同一网段，可先接入交换机，再连入路由器。但需和ISP协商配成AP，否则会引起环路，不能实现增大带宽目的。6.4 配置策略路由后优先走哪条路由？路由优先级从高到低的顺序依次是：route-map、静态路由、ip default-route、默认路由。6.5 双线路不同运营商的网吧为什么玩游戏会卡？ 出现这种现像的原因是某条运营商的路由表不全，造成应该从A运营商线路走的跑到B运营商去了。遇到这种情况，先让用户查询一下这个游戏服务器的IP地址（仅运行游戏，在DOS下用netstat an查询），再查询该IP属于那一个运营商的，再traceroute跟踪一下路由，看看是不是从正确的线路出去，如果不正确，就通过手工添加路由表的方式解决。7 DNS和DHCP 7.1 如何配置DNS relay？配置命令如下：NBR（config）# access-list 1 permit anyNBR（config）# ip nat application source list 1 destination udp 192.168.1.1 53 dest-change 202.101.98.55 53 /其中192.168.1.1为NAT relay地址，202.101.98.55为DNS服务器地址。7.2 多个ISP需要多个DNS时，建议不要配置DNS relayNBR只可配置一条DNS relay。如果使用路由器的DNS中继功能，不慎泄露路由器密码，或者密码设置被猜破，将会造成MITM攻击（Man-in-the-Middle Attack，译为“中间人攻击”）。MITM是一种“间接”的入侵攻击，这种攻击模式是通过各种技术手段将受入侵者控制的一台计算机虚拟放置在网络连接中的两台通信计算机之间，这台计算机就称为“中间人”。然后入侵者把这台计算机模拟一台或两台原始计算机，使“中间人”能够与原始计算机建立活动连接并允许其读取或修改传递的信息，然而两个原始计算机用户却认为他们是在互相通信。通常，这种“拦截数据修改数据发送数据”的过程就被称为“会话劫持”（Session Hijack）。DNS欺骗（DNS Spoofing），就是其中的一种惯用手法。攻击者通过入侵DNS服务器、控制路由器等方法把受害者要访问的目标机器域名对应的IP解析为攻击者所控制的机器，这样受害者原本要发送给目标机器的数据就发到了攻击者的机器上，这时攻击者就可以监听甚至修改数据，从而收集到大量的信息。如果攻击者只是想监听双方会话的数据，他会转发所有的数据到真正的目标机器上，让目标机器进行处理，再把处理结果发回到原来的受害者机器；如果攻击者要进行彻底的破坏，他会伪装目标机器返回数据，这样受害者接收处理的就不再是原来期望的数据，而是攻击者所期望的了。例如让DNS服务器解析银行网站的IP为自己机器IP，同时在自己机器上伪造银行登录页面，那么受害者的真实账号和密码就暴露给入侵者了。另外，DNS通过路由器做中继，多了一个可能的故障点。所以建议用户不要配置DNS relay，可以直接在网卡上添加DNS服务器地址，而且可以设置主备。7.3 如何配置DHCP？能否指定分配MAC？DHCP配置如下：NBR(config)#service dhcp /启用DHCP功能NBR(config)#ip dhcp excluded 192.168.0.2 192.168.0.50 /排斥地址，不分配给客户端NBR(config)#ip dhcp pool test /配置地址池信息NBR(config-dhcp)#network 192.168.0.0 255.255.255.0 /地址段NBR(config-dhcp)#default-router 192.168.0.1 /网关NBR(config-dhcp)#dns-server 202.101.98.55 /客户端的DNS可以对MAC进行指定分配：ip dhcp pool XiaoLi /地址池 hardware-address 00e0.4c74.263c /指定MAC host 10.0.0.27 255.0.0.0 /指定IPdns-server 61.232.202.158 211.98.2.4 default-router 10.0.0.18 日志8.1 如何打开日志及设置各项日志显示？打开日志配置： NBR（config）#logging on /开启日志 NBR（config）#service sequence-numbers /日志信息序列号NBR（config）#service timestamps log datetime /日志信息的时间戳格式为日期形式NBR（config）#service timestamps debug uptime /时间戳格式为路由器启动时间形式NBR（config）#logging 192.168.1.168 /将日志信息发给Syslog serverNBR（config）#logging trace enable /开启定时统计，必须在开启日志序列号的前提下才能开启该功能 NBR（config）#logging buffered /将日志信息记录到内存缓冲区NBR（config）#logging file flash: /将日志信息记录在扩展FLASH 上NBR（config）#logging console /设置允许在控制台上显示的日志信息级别NBR（config）#logging monitor /设置允许在VTY 窗口上显示的日志信息级别NBR（config）#logging trap /设置允许发送给syslog server 的日志信息级别设置各项日志显示：security anti-wan-attack level high /打开外网攻击的日志信息security anti-arp-spoofing /打开内网ARP欺骗的日志信息security anti-lan-attack /打开内网攻击的日志功能其他ACL的应用，也能在日志里显示匹配统计信息。8.2 常见日志显示信息2006-8-7 18:14:46 NBR1000: %6:%IP-4-DUPADDR1: Duplicate address 192.168.11 on FastEthernet 0/0, sourced by 00d0.f8fb.0036 上述信息显示有IP地址跟网关冲突，内网可能有人在进行ARP 欺骗了。%6:arp update , mac address of 192.168.0.90 become change to new mac :00.0A.EB.84.05.73上述信息显示192.168.0.90的MAC地址切换，可能有人在冒充192.168.0.90。查查00.0A.EB.84.05.73是哪个家伙的MAC，可能中毒了或者正在捣蛋。%6:ipff_proc_default_route_event for dfc 00007 2006-8-8 21:14:6 taicang: %6:DFC update:L2 head len =14,00. 16. C7. 89. 93. 40. 00. D0. F8. FB. F1. 9F. 08. 00. nexthop 218.4.58.201 interface 2 : recu intf -1 上述两条信息显示默认路由下一跳发生变化，可能是路由器刚启动或者端口up/down变化。请确认线路是否正常。2006-8-8 21:14:6 taicang: %5:%LINE PROTOCOL CHANGE: Interface FastEthernet 1/0, changed state to UP 上述信息显示接口发生了up/down。2006-8-9 14:0:21 NBR1000：%6:System returned to ROM reload at 2006-08-02 19:06:34上述信息显示设备发生了重启。2006-8-9 14:0:17 NBR1000: %5:Configured from console by vty0 (192.168.35.229)上述信息显示有人对路由器配置进行改动，从远程登录进行了配置，地址为192.168.35.229。2010-9-21 12:25:53 taicang: %5:Configured from console by console 上述信息显示控制台口对路由器进行了配置。2006-8-7 15:27:9 taicang: %5:Configured from web console (61.177.57.158) 上述信息显示有人使用Web 登录，对路由器进行了配置。8.3 如何设置日志服务器？1. 在日志服务器（例如IP为192.68.0.2）上安装第三方日志软件。2. 在路由器上配置如下命令：NBR（config）#logging server 192.168.0.29 限速9.1 如何限制P2P？如何限速？启用了NATl 一种是限制每个IP的并发连接数：NBR (config)#ip nat translation per-ip 0.0.0.0 250l 另一种是限制IP带宽：NBR (config)#ip nat translation rate-limit default inbound 600 outbound 1500未启用NAT如果NBR路由器没有启用NAT功能，必须首先执行如下操作，然后使用以上两条命令限制P2P：l 在内网口使用ip nat insidel 在外网口使用ip nat outsideK 无论是否启用NAT功能，都可以使用如下的QoS策略，对内网口下的用户限制带宽。详情请参见命令手册。NBR（config-if）#rate-limit input access-group 110 64000 3000 3000 conform-action transmit exceed-action drop9.2 为什么限速下传是1000，但有些PC会超过到1040？因为限速是基于NAT通过CPU处理，在限定数值小幅波动属于正常现象。9.3 限速参数如何建议？限速单位限速参数应根据外网带宽，内网PC数量，PC用途等一些因素进行。一般将带宽除PC，再乘一系数（该系数可根据使用效果进行适当调节）。建议inbound上传数值设置为200左右，outbound下载数值设置为400以上。将下载速度设成上传的两倍以上。NAT会话数一般限制在250到350。限速单位为kbps9.4 能否基于MAC限速？9.10版本可以通过限制进程数来实现基于MAC的限速。10 病毒攻击10.1 怎么做网吧ARP绑定（包括web和CLI）？把LAN口上学到的MAC地址和IP地址进行绑定，操作方法如下：手动绑定NBR（config）#arp x.x.x.x H.H.H arpa /需一个个绑定自动绑定9.0以上版本支持自动绑定：NBR (con