商务领航的网关问题解决
四川电信“商务领航”定制终端故障处理指导手册(试行)中国电信集团公司四川分公司2008年9月
目
录 1.
概述... 1
2.
常见问题及处理办法... 1
2.1
Navigator 1-1常见问题及处理... 1
2.2
Navigator 1-2常见问题及处理... 1
2.3
Navigator 2-1常见问题及处理... 5
n
华三ICG2000. 5
n
思科2型... 18
2.4
Navigator 2-2常见问题及处理... 22
1.
概述“商务领航”为品牌的定制终端业务丰富了企业宽带业务的内容,同时引入BBMS系统,为客户提供更好的服务。为了适应业务的开展,提供故障处理效率,编写了本手册。手册列举了各款定制终端的常见故障、使用问题,逐一说明了故障分析、处理办法。2.
常见问题及处理办法2.1
Navigator 1-1常见问题及处理Q1:Navigator1-1部分设备是按照我的e家要求进行配置的,因此存在下挂PC数量限制和IPTV端口绑定两个配置项,但企业客户没有类似需求,怎么解决?A:一方面,集团在6月份重新修订了1-1定制终端预配置要求(删除了下挂PC数量限制和IPTV端口绑定两个设置),该预配置要求已下发设备提供商;另一方面,如果设备为早期版本,安装后需要通过ITMS管理平台取消设备对下挂PC数量的限制。2.2
Navigator 1-2常见问题及处理Q1:贝尔1-2设备的ADSL口设备和LAN口设备能通用吗?A:能。只要切换设备的上行方式即可,操作方法如下:使用用户名:useradmin,密码admin!@#$%^登陆终端,进入设备后改动网络/WAN 选项:接口模式中选择 ADSL 或Ethernet ,选择后,点击保存,设备将自动重启,重启后即可以切换到所需的上行方式。 Q2:部分贝尔1-2设备在使用过程中出现无线不稳定的现象,怎么解决?A:Navigator1-2(贝尔EG662HW)出现无线不稳定的情况,经厂家确认是由软件bug造成,厂家已经在下一批发货的设备中更新了新版本,暂行的解决办法还是修改设备的无线设置,详细步骤如下:1、
CPE设备重置后,将设备LAN口接入电脑。IE输入默认地址:192.168.1.1,到登入画面: 2、
用户名:useradmin 密码:admin!@#$% 登入到配置页3、
选择左边导航栏“ 网络-------无线
”进入无线配置页面: 4、
在“主AP”页面中点选“无线配置”选项框中“选择信道”,并选择任一的信道, 例如”Channel-6”5、
点击保存:设置完毕! 2.3
Navigator 2-1常见问题及处理n
华三ICG2000Q1:在安装华三2-1定制终端后,内网无法获取到IP地址应该怎么解决?A:内网无法获取IP地址的原因肯定是设备的DHCP Server没有做好,此时要排查DHCP的设置,应该做如下操作进行检测和排查:1、WEB界面:登录设备—>高级配置—>DHCP首先确认DHCP功能已经开启,即选中下图中的“启用”图1 启用DHCP功能点击进入DHCP接口设置页面,选择接口Vlan-interface 1,点击“应用”。选择类型为“服务器”,地址分配方式为“动态分配”,如下图图2 DHCP接口设置此时往下拉,可以看到如下白色框:图3 DHCP表项如果该框内没有任何表项,则只要在图2中填写好相应表项,点击应用即可。如果框内已经存在表项,则检查该表项是否正确,如果不正确则将该表项删除,再重新配置即可。配置完成后,点击保存配置,如下:图4 保存配置2、命令行排查用超级终端登录到设备上,通过display current-configuration来检查当前配置,重点查看dhcp的配置,如下:#dhcp enable#dhcp server ip-pool telecom
network 192.168.1.0 mask 255.255.255.0
gateway-list 192.168.1.1
dns-list 192.168.1.1 #查看是否存在以上配置,其中标红部分可能与实际情况有所不同。如果没有这些配置,则添加配置即可(添加方法:根据实际情况修改标红部分,拷贝并粘贴到配置里即可)。如果存在配置但有错误,那么直接修改配置即可,比如要将dns-list 192.168.1.1修改成202.102.192.68,修改过程如下:<Navigator>system-view System View: return to User View with Ctrl+Z.dhcp server
ip-pool
telecomdns-list 202.102.192.68save
//修改后保存配置修改后,再次通过display current-configuration检查一下配置是否正确 Q2:内网PC能够正确获取IP地址,但DNS地址并非202.102.192.68,这时候应该怎么解决?A:目前安徽使用的DNS服务器地址是202.102.192.68,但是内网PC自动获取到的DNS服务器地址却是192.168.1.1,结果导致无法上网、网页打不开等故障。此时只要修改DNS服务器的地址即可,如下:1、WEB界面进入DHCP 接口设置页面,看到DNS服务器的地址的确为192.168.1.1,选中该表项,点击“删除”。删除后白框内不存在任何表项,只要重新配置DHCP即可,如图5所示。图5删除DHCP表项图6 添加DHCP表项配置完成后,点击保存配置,如下:图7 保存配置2、命令行要将dns-list 192.168.1.1修改成202.102.192.68,修改过程如下:<Navigator>system-view System View: return to User View with Ctrl+Z.dhcp server
ip-pool
telecomdns-list 202.102.192.68save
//修改后保存配置修改后,通过display current-configuration检查一下配置是否正确Q3:内网PC能够正确获取IP地址,但是无法ping通内网网关,这时候应该怎么解决?A:首先检查PC获取到的网关地址是否正确,在cmd视图里通过ipconfig命令来查看。确认没有问题,此时可以怀疑是设备的Vlan Interface 1接口地址不正确。1、WEB界面登录到LAN口设置->Vlan接口设置页面,检查Vlan接口的IP地址是否正确,如下:图8检查Vlan接口设置如果不正确,则直接重新输入正确的IP地址,应用即可。2、命令行比如要将接口地址从192.168.2.1改成192.168.1.1,如下:interface Vlan-interface
1dis this //查看本视图下的配置信息#interface Vlan-interface1
ip address 192.168.2.1 255.255.255.0 #returnip address 192.168.1.1 24
//修改成192.168.1.1dis this#interface Vlan-interface1
ip address 192.168.1.1 255.255.255.0 #Returnquitsave
// 保存配置Q4:如果设备无法ping通公网地址应该怎么解决?A:在WEB界面里利用“诊断工具”的ping工具:图9诊断工具ping包测试在命令行方式下:ping 218.22.2.113(公网地址)发现设备无法ping通公网IP地址,根据WAN口的连接方式不同,分别讨论 1、PPPoE方式首先检查pppoe的帐号密码是否正确,判断方法就是将连接Ethernet0/0接口网线连接到PC上,PC通过pppoe来上网,检查是否存在问题;如果PC能够正常访问,则再次将网线接到Ethernet0/0接口,检查设备的Ethernet0/0接口指示灯是否正常,另外通过命令行方式检查interface Dialer 10接口信息是否正确,如下:display interface Dialer 10 Dialer10 current state: UP
Line protocol current state: UPDescription: Dialer10 InterfaceThe Maximum Transmit Unit is 1500, Hold timer is 10(sec) Internet Address is 218.22.2.116/28 PrimaryInternet protocol processing : disabledLink layer protocol is PPP LCP initialPhysical is Dialer, baudrate: 64000 bpsOutput queue : (Urgent queuing : Length)
100Output queue : (Protocol queuing : Length)
500 Output queue : (FIFO queuing : Length)
75
Last 300 seconds input:
0 bytes/sec 0 packets/sec
Last 300 seconds output:
0 bytes/sec 0 packets/sec
0 packets input, 0 bytes, 0 drops
0 packets output, 0 bytes, 0 drops重点检查接口前面几项,接口是否UP,IP地址是否已经获取。如果信息不正确,则重新配置WAN口的PPPoE。如下:WEB界面图10 配置WAN为pppoe方式图命令行:修改标红参数,配置以下命令<Navigator><Navigator>system-viewSystem View: return to User View with Ctrl+Z.dialer-rule 10 ip permitinterface Dialer 10 dialer user username dialer-group 10 dialer bundle 10 ip address ppp-negotiate mtu 1492 tcp mss 1024 ppp ipcp dns admit-any ppp ipcp dns request ppp chap user user ppp chap password cipher password ppp pap local-user user password cipher passwordquitinterface Ethernet 0/0pppoe-client dial-bundle-number 10quitip route-static 0.0.0.0 0.0.0.0 Dialer 10 2、WAN口采用Manual方式首先检查WAN口接口地址是否正确WEB页面图11 检查WAN口IP地址 命令行:interface Ethernet 0/0display this#interface Ethernet0/0
port link-mode routeip address 218.22.2.116 255.255.255.252 #return 检查配置没有问题后,ping一下公网的网关(即与设备相连的局方网关设备IP地址,比如本例中就是218.22.2.115)。ping通,则说明线路没有问题。检查设备的路由设置是否正确:进入到“高级配置->路由设置->创建”页面图12检查路由设置 查看是否存在默认路由(目的IP地址全0,掩码全0),如果不存在则增加一条,下一跳为公网网关IP地址。Q5:如果内网PC能ping通内网网关,设备能ping通公网地址,但是内网PC无法ping通公网地址,该怎么解决?A:这种现象的原因肯定是地址转换出问题,通过以下步骤排查1、检查配置是否正确进入“高级配置->地址转换->地址转换设置”页面,查看是否存在红色表项。图13 检查地址转换设置 2、如果不存在,则增加一项即可。注意:PPPoE方式,要选择Dialer10接口;Manual方式要选择Ethernet0/0Q6:如果内网PC无法打开某些网页,该怎么解决?A:这个问题的原因很有可能是tcp-mss值过大的原因,可以通过tcp-mss值来解决(一般情况,将该值设置成1024)。修改方法如下:WEB页面:进入“高级配置->WAN口设置”,修改tcp-mss值图14 修改TCP MSS值 命令行:<Navigator>sy<Navigator>system-view System View: return to User View with Ctrl+Z.interface ethernet0/0tcp mss 1024dis thisQ7:内网提供网站服务器,应如何实现?A:
现在假设企业单位要向外提供网站服务,即外面的人能通过某网址访问该公司网站。此时要在我们设备做一个内部服务器映射的配置。 内网服务器ip地址192.168.1.23
端口8000WAN口ip地址 218.22.2.116
端口 8000 WEB界面配置方法:图15配置内网服务器 命令行:interface Ethernet 0/0 nat server protocol
tcp global
218.22.2.116 8000 inside
192.168.1.23 8000 注意:1、外网PC访问该网站的时候,IE里要带端口号8000来访问,如下:图16 带端口号访问内网服务器 2、选择协议类型和端口号要视具体的应用,这一块可以咨询客户的信息技术人员。n
思科2型Q1:思科2-1设备对OSPF是否支持? 在WAN0 和WAN1上是否支持COST值设置?A:思科2-1设备目前仅在局域网端支持动态路由协议OSPF/RIP;在广域网端口WAN0或设置为广域网模式的WAN1端口上,目前仅支持静态路由,后续版本将会支持动态路由。Q2:如何在navigator中实现对网内单机进行限速?A:QoS中单机限速可以做到(可针对单个ip地址或者单个MAC地址),但是请注意目前只支持“上行”(从LAN->WAN)单方向限速,也就是说无法限制用户的下载速度。但是可以利用防火墙->连接数目限制功能,限制单机能发起的TCP连接,这样对BT等多线程下载程序是有作用的。至于下行限速功能的开发研发目前正在积极讨论中。Q3:在使用思科2-1设备的过程中,如果采用虚拟服务器的配置方法,此时原来对于思科2-1设备的远程管理和远程监控都将失效。请问如何解决这个问题?A:不到万不得已的情况下(不清楚服务器需要对外开放哪些端口,且又没有多余的公网ip地址可以专门提供给服务器使用)不建议使用虚拟服务器功能,如果内部有服务器需要对外服务的话,建议通过端口转发或者放在DMZ去做静态NAT来实现。Q4:更改vlan设置,无论是增加vlan也好或者是更改某个端口所属的vlan,设备的所有局域网端口都会重启连接一次,为什么会这样?A:这是navigator的芯片特性所致,任何一个vlan的改变中都将影响到芯片组。请在操作前通告最终用户或在网络空闲时进行,以免影响最终用户正常连接网络。Q5:思科2-1设备原有IOS版本为:1.0.48
在升级到2.0.18的过程中,设备断电。重启设备后,主机上网络状态显示为:受限制或者无连接,且无法访问web操作界面。RESET后重启,故障依旧。设备指示灯状态为:前面板上 POWER灯长亮,STATUS灯一直闪烁,其余指示灯不亮。请问此时该如何处理?A:如用户在软件升级过程中意外断电或者其他原因导致系统不能正常启动。现象是状态灯一直闪烁,需要用以下方法加载新的系统软件:1)
确认固件版本是1.0.12以上2)
先断电,按Reset键,同时加电,当状态灯变为橙色闪烁时,放开Reset键,路由器这时进入软件加载模式。3)
把PC的IP地址改为192.168.1.1004)
先把升级软件复制到你的目录下,在PC上打开运行àcommand ,并用TFTP程序加载新的软件到路由器192.168.1.1例如:tftp –i 192.168.1.1 put image-1.0.30.img (image-1.0.30.img为软件名称)5)此时Dos命令行会提示”Transfer Successful”的字样,路由器软件加载需要7-10分钟,当状态灯变成绿色不闪烁时,路由器这时已恢复到正常状态。Q6:某用户原有其他路由器提供上网,现添加navigator后,用户不想进行替换,想也把原路由器接上navigator的LAN口使用上,怎么解决?A:建议替换原有的路由器和防火墙(如果原先的设备不是很好),Navigator能完全的替代。如果保留原有路由器,也可以。组网举例如下:---------(10.0.0.0/24)原有路由器----(192.168.1.0/24)----Navigator(WAN)-------此时网络中有两台路由器,一共要做两次NAT。Q7:一些用户反映单独接一台电脑时,路由器cpu使用率就达到了60%左右,确认没有配置其他功能,并且没有连外网,什么原因?A:路由器开启一段时间后cpu的使用率会慢慢降下来的,如持续偏高,可重启设备或升级软件版本。Q8:如用户反映无线网络反复中断,重启路由器后就又恢复正常了,该怎么解释?A:如果同一区域无线网络数量较多,则信道可能会产生一定的干扰,可以尝试更换其他信道。Q9:测试发现开启QoS后,用户侧发送标记不同DSCP值的数据流,思科2-1设备上无法识别此DSCP值,还是以思科2-1设备上设定的DSCP值送出去。A:思科2-1设备在设计QoS时充分做了市场调查,发现在全球的思科传统IOS设备上,真正开启QoS的不到20%,所以NAV设计上做了相应的简化,目前能做的是在网关上根据上行流量的特征(端口号,IP,MAC)标记DSCP值。不去理解送入NAV流量中的DSCP值,因为在中小企业中从接入交换机层次开始部署QoS的基本上没有,所以在出口网关上集中标记就可以了。且目前不支持802.1p(二层QoS),因为业界流行的做法是标记三层DSCP值,因为能提供更丰富的功能。Q10:DMZ区域内的服务是否可以访问外网?A:不可以,是由DMZ特性决定的,DMZ区下的服务器就是不能访问公网的DMZ网络访问控制策略:当规划一个拥有DMZ的网络时候,我们可以明确各个网络之间的访问关系,可以确定以下六条访问控制策略。1)内网可以访问外网内网的用户显然需要自由地访问外网。在这一策略中,防火墙需要进行源地址转换。2)内网可以访问DMZ此策略是为了方便内网用户使用和管理DMZ中的服务器。3)外网不能访问内网很显然,内网中存放的是公司内部数据,这些数据不允许外网的用户进行访问。4)外网可以访问DMZDMZ中的服务器本身就是要给外界提供服务的,所以外网必须可以访问DMZ.同时,外网访问DMZ需要由防火墙完成对外地址到服务器实际地址的转换。5)DMZ不能访问内网很明显,如果违背此策略,则当入侵者攻陷DMZ时,就可以进一步进攻到内网的重要数据。6)DMZ不能访问外网此条策略也有例外,比如DMZ中放置邮件服务器时,就需要访问外网,否则将不能正常工作。在网络中,非军事区(DMZ)是指为不信任系统提供服务的孤立网段,其目的是把敏感的内部网络和其他提供访问服务的网络分开,阻止内网和外网直接通信,以保证内网安全。Q11:怎么使用QoS的流量限制,在安装过程中使用基于端口、基于主机、应用程序的流量限制如何实现?A:这三种只能选择其中一种实现方式,同时不能对VPN隧道使用。
1) 基于端口: 从LAN口到WAN口有4个队列,可以分配不同权值控制流量。可以把LAN口分配到不同队列以控制效果。每个队列还可以修改dscp值,对应列表为
Navigator QoS
Traffic Class
DSCP value
--------------------------------------------------
Low
0x00
Medium
0x10
High
0x20
Highest
0x30 2) 基于主机:可以做具体某速率的上行限速功能,需要指定内网某个ip 或者 mac地址
3) 应用程序:通过指定或者自定义某些服务(端口号),可以细化到对某个(/段)源地址到某个(/段)目的地址的限速。有点像ACL。Q12:使用过程中,无线只能支持10几个连接,是否有连接数量的设置,怎样更改? 无线在使用过程中,是否下载时,设备性能下降很快,能否解决。A:无线WLAN上没有连接数目的限制。建议接无线的人数不要超过20,其实一般的AP,比如专用的无线热点覆盖AP单台AP接入20个用户也就基本达到极限了。如果是十多个人,无线连接应该能连接上(获取IP地址),只不过上网感觉会很慢,这个是正常的。无线信道是半双工的,十多个人在抢一个信道、轮流收发信号,的确可能会感觉慢。Q13:防火墙阻挡的端口和NAT的端口转发的端口,会不会防火墙一起阻挡掉!有没有封端口的好方法?A:你手动设定某些端口TCP/UDP阻隔后,动态NAT会自动绕过这些端口号选择别的端口做NAT。用户应该不用担心也感觉不到这个问题的。 如果是想封应用程序(MSN/BT),建议使用思科2-2设备做应用程序控制,且不是基于封端口的,而是基于深度包检测和特征库识别的。比较简单有效。2.4
Navigator 2-2常见问题及处理(多数问题可参照思科2-1设备)Q1:思科2-2设备在网络中使用时,在已将IPS等占用CPU的功能关闭的情况下,还会出现CPU利用率过高,频繁掉线,这是什么原因?A:故障分析:思科2-2设备在目前使用的2.0.23版本环境下CPU资源利用率高是一个已知问题,该问题会影响设备在CPU使用率较高时的转发性能。解决办法:目前Cisco内部已在新的2.0.27版本的对Navigator系统资源使用进行了优化,新版本可以有效减少CPU在开启IPS功能时的利用率,同时较好的保证了系统在开启IPS且CPU使用较高的情况下,设备转发性能的稳定。在巢湖电信的测试中可以看到,新版本减少约15%-20%的CPU使用率,在6M和10M全速下载并开启IPS的测试条件下,路由器工作稳定。计划暂定对1至2个试点用户进行软件升级,观察在开启IPS的情况下,Navigator设备使用的情况。同时,由于目前2.0.27版软件正在Cisco实验室内部进行最后Release前的一系列测试工作,现阶段暂提供2.0.27 beta版的试用,在7月底软件正式发布后,可对全部Navigator进行软件升级。Q2:思科2-2设备网络适应能力较差,防病毒能力较差,一旦网络中有病毒,
页:
[1]