目录
1常见问题处理
1.1 管理密码丢失
1.2 恢复出厂设置
1.3 端口映射不成功
1.4 设置ARP双向绑定(针对客户端为静态分配地址的情况)
1.5 局域网部分或者全网PC掉线、无法访问Internet
1.6 上网速度慢,玩游戏卡
1.7 无法远程访问路由器
1.8 升级过程中出现问题解答
1.9 设备各指示灯含义
1.10 如何设置端口限速和网络连接数,并查看端口/IP流量
1.11 如何限制某些应用
1.12 如何划分VLAN,实现单臂路由,禁止网段间互访
1.13 IPSEC VPN典型组网配置
1.14 企业、网吧、酒店典型组网配置
1.15 设备支持哪些功能
1.16 如何抓包
2获取售后服务及相关资料
1 常见问题处理
1.1 管理密码丢失
?将管理计算机的串口通过配置线缆与路由器的Console口相连,在命令行下输入password命令并回车,按照系统提示,输入新密码,并重新输入一次以确认即可。
?恢复出厂设置。
1.2 恢复出厂设置
?登录Web页面,单击“恢复到出厂设置”中的<复原>按钮恢复设备到出厂设置(页面向导:设备管理→基本管理→配置管理)。
?管理计算机串口连接或Telnet到设备,命令行下输入restore default命令并回车,确认后,路由器将恢复到出厂设置并重新启动。
1.3 端口映射不成功
常见的端口映射不成功的原因及处理方法,如下:
1. 运营商原因
一般较常见的如80端口无法映射成功,内网访问正常。
处理方法:联系运营商解决或者将映射的外部端口更换为其他端口。
其他测试验证方法:可以选择将外部端口更换为其他端口(如8099)测试,远程访问时格式为:http://XXX.XXX.XXX.XXX:8099,测试是否访问正常来确认是否该原因引起。
2. 服务器配置原因
内网访问正常,但是外网通过端口映射访问不成功。
处理方法:请检查服务器配置,特别是安全策略或者防火墙设置,确认是否没有开放非本地网段的访问权限或者其他安全策略设置问题。
其他测试验证方法:可以采用某台XP系统的客户端主机开启远程协助(当然也同样需要先验证一下内网其他PC是否能远程登入)并在路由器上配置映射3389端口来验证路由器的端口映射功能是否正常。
3. 端口未全部映射
内网访问正常,一对一NAT也正常,但是外网通过端口映射访问不成功。
处理方法:某些应用(特别如语音、监控系统等)在实际工作过程中需要用到多个端口通信,而客户实际可能只配置了一个或者部分端口的映射,请抓包确认整个通信过程中用到的所有端口,并确认是否均已设置映射。
其他测试验证方法:尝试将服务器设置为DMZ主机或者配置一对一NAT(外网地址不能是WAN口地址)验证是否正常来确认是否该原因引起。
4. 配置问题
客户在防火墙、MAC过滤等规则中添加了过滤规则,阻止了映射端口或者映射服务器的正常通信。
处理方法:检查路由器规则类相关配置,查看是否将映射的端口或者服务器过滤。
其他测试验证方法:可采用禁用防火墙、MAC过滤等功能来排查,常见的为防火墙配置了入站或者出站通信策略引起。
1.4 设置ARP双向绑定(针对客户端为静态分配地址的情况)
1. 路由器端ARP绑定
将局域网中的主机ARP绑定为静态表项,具体方法见手册(页面向导:安全专区→ARP安全→ARP绑定)。
2. 主机端ARP绑定
主机端(开始→运行→CMD窗口)将路由器地址添加到静态ARP表中,命令:arp –s 路由器的IP 地址路由器MAC地址
1.5 局域网部分或者全网PC掉线、无法访问Internet
1. 受到ARP攻击或者ARP欺骗导致(此类情况最普遍)
(1)掉线的PC Ping不通网关地址;
(2)掉线的PC能ping通网关地址,但是有丢包;
(3)掉线PC ping不通网关,Ping主交换机下的其他PC或者服务器能通。
处理方法:
如果全网掉线的PC无法ping通网关,无法登入网关,需要先拔掉所有WAN口所接的网线,即对应的上行链路,再尝试ping网关或者登录网关,以此来确定是内网问题还是外网攻击问题引起。
?如果此时能ping通网关,那么很有可能是外网攻击导致,请确认设备相关防攻击功能是否开启,WAN口运营商侧网关ARP是否已经静态绑定,并联系运营商协助解决。
?如果此时掉线PC依然无法ping通网关,则可能为内网问题,请参考如下步骤:
1、在掉线PC上MS-DOS窗口通过arp –d清掉当前ARP信息,arp -s来重
新绑定网关的ARP。例如arp –s 192.168.1.1 00-23-89-32-35-67(MAC地址
为路由器LAN口对应的MAC)。
2、请检查路由器ARP绑定设置是否绑定了内网各主机的ARP信息,可以采
用静态和动态绑定功能实现,具体配置步骤参见产品手册!(页面向导:安全专
区→ARP安全→ARP绑定)
2. 路由器下挂交换机的问题导致
掉线PC ping网关不通,Ping主交换机下的其他PC或者服务器也不通。
处理方法:
(1)掉线PC长ping网关时,请观察与掉线PC相连的各级交换机各端口指示灯的状
态,如果交换机端口依然常亮,代表交换机或者相连网线存在问题。
(2)如果是全网掉线,需要特别注意主交换机的各个端口指示灯情况(特别是连接路
由器的端口指示灯)是否正常闪烁。必要时可以重启主交换机观察是否能够恢
复。
(3)掉线PC长ping网关时,请观察路由器与主交换机级联的路由器LAN端口指示
灯是否正常闪烁,如果指示灯常亮,可以尝试更换一个LAN观察,如果还是
常亮,掉线PC ping不通网关,请直接将一台PC接在路由器LAN口,拔掉
路由器与交换机级联的端口,PC尝试ping网关地址,如果此时能ping通,
说明非路由器问题。如果此时还是依然ping不通网关,并确认PC的IP地址
配置与路由器管理地址在同一网段,那可能就是路由器异常了,必要时可以重
启路由器观察是否能够恢复。
(4)另外如果是全网掉线,可以尝试在某台掉线PC上长ping网关地址,然后逐一插
拔主交换机上连接分交换机的各个端口网线,观察掉线PC能否ping通网关,
以此来判断是局域网内哪台交换机底下的PC出现异常导致。
3. 病毒等大流量攻击导致
(1)请查看路由器上是否已经启用了IP流量限制(页面向导:QoS设置→流量管理
→IP流量限制)。QoS的具体限速值选择方法参考“1.10 如何设置端口限速和
网络连接数,并查看端口/IP流量”关于端口限速的设置问题。
(2)查看路由器上是否已经启用了网络连接数限制(页面向导:QoS设置→连接限制
→网络连接限数)。典型值为每IP分配1000-2000。
4. 掉线PC异常流量太大或者中毒,被路由器加入到黑名单中导致
登录路由器查看黑名单列表中是否存在掉线PC(页面向导:安全专区→防攻击→异常流量防护),如果存在,选中它并将其删除或等待生效时间之后再观察是否恢复正常,或者可以选择安全等级为中,即将主机的上行流量控制在10Mbps范围内。
5. 运营商网络问题导致
能Ping通同一交换机下的其他PC、主交换机下的服务器地址和路由器地址,但Ping 不通路由器的上层运营商网关或者DNS地址,通过路由器中的诊断工具ping DNS 和外网地址也不通。
处理方法:运营商侧网络可能出现了问题,需要联系运营商进行确认解决。
6. 域名解析服务器(DNS)异常导致
能Ping通网关地址,QQ也能上,或者下载正常,但是所有网页打不开。
处理方法:可能是域名解析服务器(DNS)异常导致,可以将掉线PC的DNS地址静态设置为运营商提供的DNS地址观察,或者可以更换一个新的DNS地址观察能否恢复。
1.6 上网速度慢,玩游戏卡
1. QoS限速不合理(限速过大,使得部分PC占用过多带宽或限速过小)导致
确认是否在路由器上启用了IP流量限制,并设置了合适的限速值,路由器的各WAN 口带宽是否已经填入了实际带宽值(页面向导:QoS设置→流量管理→IP流量限制)。
不同应用场合下的推荐设置及描述请参见下表:
2. 路由配置不合理导致(使用双线路上网时)
该问题一般出现在双WAN的路由器且两条线路运营商不同的情况下,且有以下现象:?访问部分门户网站慢
?部分游戏卡
处理方法:
(1)一般来说,需要将双WAN的均衡模式选择为手动均衡,默认链路选择当地较为
稳定的运营商线路或者带宽较大的线路。均衡路由表里需要导入另一条运营商链路对应的路由表(常用路由表可在H3C官方网站中获取:首页>服务支持>软件下载>路由器>ER双WAN路由器基础路由表)。
(2)使用tracert命令在游戏卡或者上网慢的主机上查看到达该网站或者该游戏服务
器的路由是从哪个接口出去的(参考步骤(4))。(例如:某网站的地址为电信地址,而路由却从连接网通线路的WAN接口出去了,则只需要添加一条静态路由(页面向导:高级设置→路由设置→静态路由),使其从连接电信线路的WAN接口出去便可以解决此问题。)
(3)北方部分用户使用双WAN路由器按步骤(1)正确配置后,部分游戏或者网页(如
QQ类等),仍存在慢或者卡的问题,查看路由,确实走对了链路,这时需要将游戏卡或者网页慢的服务器地址(一般为电信地址)找出来(参考步骤(4)),通过设置静态路由或者策略路由使其从联通接口出去即可解决。
(4)找出对应网站的服务器地址的方法:开始菜单→运行→输入“CMD”,在弹出窗
口输入ping 访问慢的网站地址即可,例如ping https://www.doczj.com/doc/0a1113264.html, 。接下来显示的IP地址即为该网站对应的服务器地址。找出对应游戏服务器地址的方法:在某PC上退出其他所有应用程序,只打开该游戏,然后在系统开始菜单→运行→输入“CMD”,在弹出窗口输入“netstat –bn”,找到对应游戏进程的Foreign Address地址,即为该游戏所对应的服务器地址。(使用该方法还可以快速找到游戏对应端口,在一些企业中可以将该游戏端口通过防火墙功能封掉,参见1.13)
(5)查看对应地址属于哪个运营商的方法:此类查询网站很多,直接在百度里搜索IP
地址查询即可找到。如https://www.doczj.com/doc/0a1113264.html,。
3. 路由器受攻击、负荷太重或下挂交换机级联端口出现拥塞导致
Ping路由器LAN接口地址延时很大或有丢包。
处理方法:查看CPU和内存的利用率情况(页面向导:系统监控→运行信息→性能监视)。
?如果CPU利用率很高,很可能是内/外网中存在攻击或者路由器负荷太重;
?如果CPU利用率正常,那可能就是内网的问题,查看下接交换机是否负荷太重或者网线干扰、水晶头松动等其他原因。
4. 路由器上层问题导致
Ping路由器LAN口地址、WAN口地址正常,但Ping打开很慢的网站或者Ping 玩游戏卡的服务器地址出现延时很大或丢包的现象,使用路由器自带的维护工具Ping打开很慢的网站或者Ping玩游戏卡的服务器地址出现同样的现象。
处理方法:
(1)路由器上层设备(可能是光猫或者其他设备)出现异常,可尝试重启或者更换观
察。
(2)运营商网络侧可能出现了网络拥塞等问题,需要联系运营商进行确认解决。
(3)游戏或者网站服务器满负荷导致,需要关注游戏官方网站的公告或者咨询游戏服
务商。
1.7 无法远程访问路由器
(1)请通过本地管理计算机登录路由器确认是否开启远程访问功能,并确认远程访问
的计算机是否在远程管理PC的IP范围内(页面向导:设备管理→用户管理→
远程管理)。
(2)请确认远程访问Web的格式是否正确,正确的格式为:
http://xxx.xxx.xxx.xxx:port或https://xxx.xxx.xxx.xxx:port,例如
http://221.23.212.12:8080。
(3)同一时间,路由器最多允许五个用户远程通过Web或T elnet进行管理和设置,
请确认远程访问的计算机数量是否达到最大值。
1.8 升级过程中出现问题解答
升级方法如下:
(1)升级前请备份当前版本的配置文件。在升级软件期间,请确保网络稳定,不要断
电。
(2)下载最新版本软件。最新版本下载地址:https://www.doczj.com/doc/0a1113264.html,网站,首页→服务支
持→软件下载→路由器→H3C ER系列路由器。
(3)设备升级。登录路由器管理页面,进入备管理→基本管理→软件升级页面,点击<
浏览>按钮选择下载好的.bin文件(下载的文件可能压缩包,需要解压缩获
取.bin文件),点击<升级>按钮等待1~3分钟后设备自动重启,升级过程中,
不要随便切换网页,直至完成升级。
升级过程中提示错误时,处理方法如下:
?提示错误文件:请确认升级选中的文件是否为.bin的设备版本文件。
?提示上传文件内容错误:请确认下载的版本文件名表示的型号是否与当前升级的设备型号一致,下载的版本文件是否做过改动。
1.9 设备各指示灯含义
1. 正常的设备指示灯状态说明
2. 电源指示灯(POWER灯)不亮
(1)请检查电源线是否连接正确。
(2)请检查电源线插头是否插紧,无松动现象。
(3)送当地授权服务中心(ASC)检测是否为设备硬件故障。
3. 不插网线各端口链路状态指示灯(Link/Act灯)常亮或者闪烁
(1)重启设备观察是否恢复。
(2)送当地授权服务中心(ASC)检测是否为设备硬件故障。
4. WAN、LAN口链路状态指示灯(Link/Act灯)不亮
(1)请检查网线与路由器的WAN、LAN接口连接是否卡紧,无松动现象。
(2)请重新连接网线两端的接口或重新按标准568B线序制作水晶头后再尝试连接。
(3)请检查是否网线出现故障:可将网线的两端均插在路由器的两个LAN接口上,两
个接口对应的指示灯都亮表示网线正常;否则网线可能存在问题,请更换一根
之前使用正常的网线来重新尝试。
(4)请检查端口的连接速率和双工模式配置是否有误:进入路由器Web设置页面,将
WAN、LAN的连接速率和双工模式设置成和上行口、下行交换机端口一致,
例如都设置为100M全双工观察(推荐两端均配置为自适应,即Auto模式。
页面向导:接口设置→WAN设置→网口模式;接口设置→LAN设置→端口设
置)。
1.10 如何设置端口限速和网络连接数,并查看端口/IP流量
1. 每IP流量限制
根据二八理论,即80%的带宽被20%的人占用来计算,而且占用的带宽大多为下行带宽,上行带宽一般选择下行带宽的一半或者2/3左右。
例如运营商带宽为10Mbps,带机量100台PC,80%的带宽就是8Mbps,20%的人就是20个人,那么8Mbps*1000=8000kbps(实际上应该乘以1024,这里简单以1000计算),8000kbps/20=400kbps,则理论值为每IP需要下行限速400kbps,上行值为200~300kbps,当然该计算值是理论值,需要根据实际的网络使用量来适当变化。如果是ADSL宽带类型客户,则上行带宽建议限制为100kbps,且不推荐允许每IP通道借用空闲的带宽。如果企业、酒店等环境,平时使用网络的时间或者占用的流量不是很大,那么可以适当将限速值调高,如下行600kbps,上行400kbps,并开启允许每IP通道借用空闲的带宽。如网吧环境,带宽使用量较大,则需要增加带宽或者较少带机量来提高客户网速的体验,保证游戏和视频的正常工作。网吧一般建议每IP限速下行800kbps,上行500kbps,开启弹性带宽功能,即允许每IP 通道借用空闲的带宽。双WAN设备需要针对不同WAN口计算不同的限速值予以限制,最终主机获得的带宽为双WAN带宽限速总和。
2. 网络连接数
一般建议每IP设置在1000~2000即可保证正常应用访问。
3. 查看端口/IP流量
(1)查看每个物理端口流量:系统监控→流量监控→端口流量。
(2)查看局域网内各在线主机通过WAN口的流量:系统监控→流量监控→IP流量
(3)实时查看WAN口流量:系统监控→流量监控→流量监视
1.11 如何限制某些应用
1. 限制某些游戏(通常采用封游戏端口的方法)
以诛仙游戏(通信端口为29000,某款游戏的通信端口需要抓包获取,如何抓包请参见“1.16 如何抓包”)为例介绍:
(1)开启防火墙功能(页面向导:安全专区→防火墙→防火墙设置)。
(2)设置出站通讯策略:添加如下规则,禁止所有IP发往目的端口为29000的UDP
报文通过(页面向导:安全专区→防火墙→出站通信策略),如下图所示。
2. 限制访问某些网站
(1)通过设备的网站过滤功能实现:
在路由器上设置让局域网内的主机仅能或不能访问固定的某些网站(页面向导:安全专区→接入控制→网站过滤)。
(2)通过防火墙的出站通信策略实现部分用户无法访问部分网站。
首先通过ping需要过滤的网站域名,获取到该网站的服务器地址,然后再添加规则。
如:禁止源IP地址范围为192.168.1.2~192.168.1.200的客户端访问目的服务器122.227.209.17 目的端口为80的TCP报文通过。(注意:部分大型网站在某个地区有多个地址,或者在多个地区都有服务器地址,可以尝试禁止目的服务器地址所在的网段后,再通过上述办法找出能ping通的其他服务器地址,再添加规则过滤即可。)
3. 限制某些IP不能上外网
?勾选仅允许DHCP服务器分配的客户端访问外网,不在路由器DHCP服务器分配的客户列表中的用户将无法访问外网(页面向导:安全专区→接入控制→IPMAC过滤)。
?勾选仅允许ARP静态绑定的客户端访问外网,将客户端ARP绑定为静态表项,不在ARP静态绑定表中的客户端将无法访问外网(页面向导:安全专区→接入控制→IPMAC过滤)。
1.12 如何划分VLAN,实现单臂路由,禁止网段间互访
1. 组网图
2. 组网需求
如上图所示,无管理Switch A连接ER路由器的LAN1接口,有管理Switch B连接LAN2接口,实现Switch A下所有客户端获取到VLAN2的地址,Switch B下存在两个VLAN(VLAN3:192.168.3.0/24,VLAN4:192.168.4.0/24)对应两个部门,部门之间禁止互访。
3. 配置步骤
(1)新增三个VLAN(页面向导:接口设置→VLAN设置→VLAN设置):
? VLAN2:IP地址填192.168.2.1(即VLAN2的网关地址),子网掩码:255.255.255.0。
? VLAN3 IP为192.168.3.1,VLAN4 IP为192.168.4.1,子网掩码均为255.255.255.0。
(2)编辑LAN1口配置(页面向导:接口设置→VLAN 设置→Trunk口设置),双击
LAN1口所在条目进入编辑状态,将LAN1口的PVID和允许通过的VLAN均
改为2。(如果其他LAN口同样接无管理设备实现类似功能可参考此步。)
(3)编辑LAN2口配置,允许通过的VLAN改为3~4。Switch B的上行端口设置为
Trunk,允许VLAN3、VLAN4通过即可。(如果有管理交换机下存在更多的
VLAN,则只需添加到允许通过的VLAN中即可。)
(4)如果局域网内用户通过动态DHCP获取对应网段的IP,需要通过页面向导:接口
设置→DHCP设置→DHCP设置,添加各个VLAN网段对应的DHCP地址池。
(5)配置VLAN3和VLAN4网关不能互访,在设备防火墙功能的出站通信策略中增加
一条规则,禁止源地址范围为192.168.3.2-192.168.3.254访问目的地址范围为
192.168.4.2-192.168.4.254的所有服务.
1.13 IPSEC VPN典型组网配置
VPN 设置请参考《H3C SMB Router IPSec VPN配置指导》和用户手册(获取地址:https://www.doczj.com/doc/0a1113264.html,→首页→服务支持→文档中心→路由器→H3C ER3100 企业级宽带路由器→典型配置→《H3C SMB Router IPSec VPN配置指导》)。
1.14 企业、网吧、酒店典型组网配置
典型组网配置请参考《H3C ER系列企业级路由器用户手册》中第12章和第13章。
(获取地址:https://www.doczj.com/doc/0a1113264.html,→首页→服务支持→文档中心→路由器→H3C ER3100 企业级宽带路由器→《ER系列企业级路由器用户手册》)。
视频配置案例参考《H3C ER系列路由器视频典型配置指导》(获取地址:https://www.doczj.com/doc/0a1113264.html,→首页→服务支持→文档中心→路由器→H3C ER系列路由器→H3C ER6300千兆路由器→视频配置案例→《H3C ER系列路由器视频典型配置指导》)。
1.15 设备支持哪些功能
ER系列路由器支持的详细功能请参见各产品的版本说明书(获取路径:https://www.doczj.com/doc/0a1113264.html,→首页→服务支持→软件下载→路由器→H3C ER系列路由器,下载该产品的版本和版本说明书)。
1.16 如何抓包
以下简单介绍如何使用Wireshark1.4.2来抓取网络数据报文,以便更有效地分析网络故障。
(1)打开Wireshark抓包工具,键盘上按下Ctrl+I,打开选择抓包网卡页面,点击Start
按钮开始抓包。
(2)键盘上按下Ctrl+E选择终止抓包,按下Ctrl+S保存刚才抓取到的数据报文到本
地,注意抓包时间尽量不要过长,以免数据报文太大,不方便发送给技术工程
师协助判断。终止后再按Ctrl+E又开始抓包,如遇弹出页面选择
抓包信息。
(3)抓包技巧:关键是要将异常现象的整个过程抓捕下来。如网页打不开,先打开抓
包软件开始抓包,再尝试访问某个固定的网页两次,复现故障现象,然后再终
止抓包,并将获取到的数据报文保存或提供技术工程师分析。
(4)需将PC直接接在路由器的某个空闲LAN口,通过页面向导:接口设置→LAN
设置→端口镜像设置,将PC所接的LAN口勾选为镜像端口,WAN1、WAN2
口以及连接路由器的LAN口勾选为被镜像端口,TAG方式选择untagged,
将交互数据包镜像到PC上。这样就能使工程师快速找出问题原因所在。
2 获取售后服务及相关资料
1. 获取售后服务
表2-1 获取售后服务
2. 信息反馈方法
请在设备故障时收集故障相关信息,并将信息提供给H3C技术支持工程师协助分析。
表2-2 信息反馈
3. 获取资料及售后服务导航
如果您目前的网络环境与Internet连通,则可以使用下表中的各导航高效快捷地获取H3C官方网站(https://www.doczj.com/doc/0a1113264.html,)上的最新信息。
表2-3 资料及售后服务导航
目录 1概述···························································································································· 1-1 1.1 产品简介···················································································································1-1 1.2 产品组件···················································································································1-1 1.3 典型组网···················································································································1-2 1.3.1 组织架构··········································································································1-2 1.3.2 典型组网··········································································································1-2 2安装前的准备工作·········································································································· 2-1 2.1 安装前需确认的内容····································································································2-1 2.2 Broker服务器配置要求 ································································································2-1 2.3 AD服务器配置要求·····································································································2-1 2.4 CAS服务器配置要求···································································································2-2 3安装VDI云桌面管理平台 ································································································ 3-1 3.1 安装CAS ··················································································································3-1 3.2 安装AD域控服务器 ····································································································3-1 3.2.1 通过命令行启动安装域控制器和DNS配置。 ···························································3-1 3.2.2 在弹出的对话框中点击下一步。 ············································································3-2 3.2.3 在弹出的对话框中点击下一步。 ············································································3-3 3.2.4 在弹出的对话框中选中”在心林中新建域”,点击下一步。 ············································3-3 3.2.5 在弹出的对话框输入根级域名,点击下一步。 ··························································3-4 3.2.6 选中正确的林功能级别(本服务器安装的是2008 Server R2),点击下一步 . ·····················3-5 3.2.7 自动配置DNS ···································································································3-6 3.2.8 因为没有创建DNS服务器委派,弹出警告提示,单击”是”继续下一步································3-8 3.2.9 指定AD域的数据库.日志文件的存放路径································································3-9 3.2.10 设定administrator的密码,单击”下一步”······························································· 3-10 3.2.11 查看安装域控前的摘要信息,确认无误后单击下一步················································ 3-11 3.2.12 配置域控服务 ································································································ 3-11 3.2.13 安装完成后,重新启动服务器·············································································· 3-12 3.3 安装Broker服务器 ··································································································· 3-13 3.3.1 解压VDI安装包 ······························································································ 3-13 3.3.2 修改数据库配置······························································································· 3-13 3.3.3 CAS服务器数据库配置 ····················································································· 3-14 3.3.4 初始化数据并注册系统服务················································································ 3-15 3.3.5 运行VDI Broker服务························································································ 3-15 i
故障处理分析方法 【互联网专线】 一、客户所有电脑不能上网,网管正常 1、可以远程登陆路由器可能的故障原因及解决思路: 1.有可能是客户侧路由器配置口插入网线。 2.内网中ARP病毒。 3.交换机故障,查看是否上电 4. 查看交换机连接到路由器的网线是否有松动 (1)客户无法ping通网关(192.168.1.1) 查看是否获取到正常的IP地址(192.168.1.X),或者禁用网卡再启用,还是不行就重启下电脑。 (2)客户可以ping通网关 可以尝试重启下电脑,因为有可能是客户浏览器问题导致。 (3)本地连接受限 1. 查看下路由器DHCP是否有配置,如果有就叫客户禁用网卡再启用, 2. 还是不行就重启下电脑。 3. 如果还是受限就叫客户手动配置IP地址(192.168.1.100以后的没有人用的)跟首选DNS (218.207.217.241或219.141.136.10) 2、无法远程登陆路由器可能的故障原因及解决思路: 1.查看网管是否掉点,查看系统附件是否有路由器配置附件,打开查看是否有配置远程登 入 2.尝试PING客户侧外网IP地址,请到跳板上PING,因为部分集团有配置禁PING,只 有跳板才可以PING通。 3.查看设备是否有上电。 假如无法远程登陆路由器没必要判断以下三种情况(除非可以PING通客户侧外网IP)(1)客户无法ping通网关 xxxxx (2)客户可以ping通网关 xxxxx (3)本地连接受限 xxxx 二、客户部分电脑不能上网 1. 基本为客户侧内网问题,假如对方懂网络就直接跟他说我们可以连接到你们那边的路由器,外网一切正常,请查看下内网问题。(内网的问题基本为客户自己解决) 2. 可以与客户沟通,将设备重启
S5600系列交换机典型配置举例 2.1.1 静态路由典型配置 1. 组网需求 (1)需求分析 某小型公司办公网络需要任意两个节点之间能够互通,网络结构简单、稳定, 用户希望最大限度利用现有设备。用户现在拥有的设备不支持动态路由协议。 根据用户需求及用户网络环境,选择静态路由实现用户网络之间互通。 (2)网络规划 根据用户需求,设计如图2-1所示网络拓扑图。 图2-1 静态路由配置举例组网图 2. 配置步骤 交换机上的配置步骤: # 设置以太网交换机Switch A的静态路由。
[SwitchB] ip route-static 1.1.1.0 255.255.255.0 1.1.3.1 # 设置以太网交换机Switch C的静态路由。
通过在外网口配置nat基本就OK了,以下配置假设Ethernet0/0为局域网接口,Ethernet0/1为外网口。 1、配置内网接口(E t h e r n e t0/0):[M S R20-20]i n t e r f a c e E t h e r n e t0/0 [M S R20-20 2、使用动态分配地址的方式为局域网中的P C分配地址[M S R20-20]d h c p s e r v e r i p-p o o l 1 [M S R20-20-d h c p-p o o l-1]n e t w o r k2 4 [M S R20-20 [M S R20-20 3、配置n a t [M S R20-20]n a t a d d r e s s-g r o u p1公网I P公网I P [MSR20-20]acl number 3000 [MSR20-20-acl-adv-3000]rule 0 permit ip 4、配置外网接口(Ethernet0/1) [MSR20-20] interface Ethernet0/1 [MSR20-20- Ethernet0/1]ip add 公网IP [MSR20-20- Ethernet0/1] nat outbound 3000 address-group 1 5.加默缺省路由 [MSR20-20]route-stac 0.0.0外网网关 总结: 在2020路由器下面, 配置外网口, 配置内网口, 配置acl 作nat, 一条默认路由指向电信网关. ok! Console登陆认证功能的配置 关键词:MSR;console; 一、组网需求: 要求用户从console登录时输入已配置的用户名h3c和对应的口令h3c,用户名和口令正确才能登录成功。 二、组网图: 三、配置步骤:
常见网络故障处理方法 Document serial number【NL89WT-NY98YT-NC8CB-NNUUT-NUT108】
NO: 常见网络故障处理方法 作业指导书 (第A版) 编制人: 审核人: 批准人:
版本修订记录
目录 3、交换机常见故障及解决方 法 (7) 1光缆链路的主要故障 一般分为两步: 收发器暂时不要和交换设备连接。我们先使用两台笔记本电脑连接收发器,两台电脑之间互Ping。待测试好了以后再连接交换设备。一台笔记本电脑ping 另外一台电脑的IP 地址,例如,PC1 Ping PC2, 命令为Ping –t –l 65000。如果丢包少于5%,则比较正常,如果丢包较多,则需要仔细检查。 收发器连接交换设备以后,我们建议仍然使用Ping 的命令来测试,例如PC1 PingPC2, 命令为Ping –t –l 1500, 数据包长度一般不是65500,因为不同的交换机或路由器对包长的限制不同。但是1500 字节的数据包应该很少丢包,否则需要仔细检查。 故障现象: 1光缆熔接不良(有空气) 2光缆断裂或受到挤压 3接头处抛光不良 4接头处接触不良 5光缆过长 6核心直径不匹配
7填充物直径不匹配 8弯曲过度(弯曲半径过小) 2光纤故障排除方法 首先看光纤收发器或光模块的指示灯和双绞线端口指示灯是否已亮 2.1.1如收发器的光口(FX)指示灯不亮,请确定光纤链路是否交叉链接光纤跳线 一头是平行方式连接;另一头是交叉方式连接。 2.1.2如A收发器的光口(FX)指示灯亮、B收发器的光口(TX)指示灯不亮,则故障在A收发器端: 一种可能是:A收发器(TX)光发送口已坏,因为B收发器的光口(FX)接收不到光信号;另一种可能是:A收发器(TX)光发送口的这条光纤链路有问题(光缆或光线跳线可能断了)。 c、双绞线(TP)指示灯不亮,请确定双绞线连线是否有错或连接有误请用通断测试仪检测;(不过有些收发器的双绞线指示灯须等光纤链路接通后才亮。) d、有的收发器有两个RJ45端口:(To HUB)表示连接交换机的连接线是直通线;(To Node)表示连接交换机的连接线是交叉线(接单机); e、有的发器侧面有MPR开关:表示连接交换机的连接线是直通线方式;DTE开关:连接交换机的连接线是交叉线方式。 2、光缆、光纤跳线是否已断 a、光缆通断检测:用激光手电、太阳光、发光体对着光缆接头或偶合器的一头照光;在另一头看是否有可见光如有可见光则表明光缆没有断。 b、光纤连线通断检测:用激光手电、太阳光等对着光纤跳线的一头照光;在另一头看是否有可见光如有可见光则表明光纤跳线没有断。 3、半/全双工方式是否有误 有的收发器侧面有FDX开关:表示全双工;HDX开关:表示半双工。 4、用光功率计仪表检测 光纤收发器或光模块在正常情况下的发光功率:多模:-10db--18db之间;单模20公里:-8db--15db之间;单模60公里:-5db--12db之间;如果在光纤收发器的发光功率在:-30db--45db之间,那么可以判断这个收发器有问题。 1. TXLINK灯不亮; 答:造成该故障的原因有二,一为接错双绞线,本收发器和光纤头及指示器同侧的RJ45口接PC机用交叉双绞线,接HUB或SWITCH用平行双绞线;二为通过双绞线所连的电口不是100M速率。 2. FXLINK灯不亮; 答:原因一:光纤线接错,正确接法为TX-RX; 原因二:传输距离太长或中间损耗太大,超过本产品的标称损耗,解决办法为采取办法减小中间损耗或是更换为传输距离更长的收发器; 3.五灯全亮或指示器正常但无法传输; 答:一般关断电源重启一下即可恢复正常; 4.光纤正常连接后FXRX灯常亮;
1.2 DHCP服务器接口地址池典型配置指导 1.2.1 组网图 图1-2 DHCP服务器接口地址池配置举例 1.2.2 应用要求 ●Switch A作为DHCP服务器,其VLAN接口1的IP地址为192.168.0.1/24; ●客户端属于VLAN1,通过DHCP方式动态获取IP地址; ●DHCP服务器通过接口地址池为MAC地址为000D-88F7-0001的客户文件服务器分配固定的IP地址192.168.0.10/24,为其它客户端主机分配192.168.0.0/24网段的IP地址,有效期限为10天。DNS服务器地址为192.168.0.20/24,WINS服务器地址为192.168.0.30/24。 1.2.3 适用产品、版本 表1-2 配置适用的产品与软硬件版本关系 1.2.4 配置过程和解释 # 使能DHCP服务
[SwitchA-Vlan-interface1] ip address 192.168.0.1 24 # 配置VLAN接口1工作在DHCP接口地址池模式 [SwitchA-Vlan-interface1] dhcp select interface # 配置DHCP接口地址池中的静态绑定地址 [SwitchA-Vlan-interface1] dhcp server static-bind ip-address 192.168.0.10 mac-address 000D-88F7-0001 # 配置DHCP接口地址池的地址池范围、DNS服务器地址、WINS服务器地址 [SwitchA-Vlan-interface1] dhcp server expired day 10 [SwitchA-Vlan-interface1] dhcp server dns-list 192.168.0.20 [SwitchA-Vlan-interface1] dhcp server nbns-list 192.168.0.30 [SwitchA-Vlan-interface1] quit 1.2.5 完整配置 # interface Vlan-interface1 ip address 192.168.0.1 255.255.255.0 dhcp select interface dhcp server static-bind ip-address 192.168.1.10 mac-address 000d-88f7-0001 dhcp server dns-list 192.168.0.20 dhcp server nbns-list 192.168.0.30 dhcp server expired day 10 # dhcp server forbidden-ip 192.168.0.10 dhcp server forbidden-ip 192.168.0.20 dhcp server forbidden-ip 192.168.0.30 # 1.2.6 配置注意事项 当DHCP服务器采用接口地址池模式分配地址时,在接口地址池中的地址分配完之后,将会从包含该接口地址池网段的全局地址池中挑选IP地址分配给客户端,从而导致获取到全局地址池地址的客户端与获取到接口地址池地址的客户端处在不同网段,无法正常进行通信。 故在本例中,建议从VLAN接口1申请IP地址的客户端数目不要超过250个。
H3C路由器NAT典型配置案列(史上最详细)神马CCIE,H3CIE,HCIE等网络工程师日常实施运维必备,你懂的。 NAT典型配置举例 内网用户通过NAT地址访问外网(静态地址转换) 1. 组网需求 内部网络用户使用外网地址访问Internet。 2. 组网图 图1-5 静态地址转换典型配置组网图 3. 配置步骤 # 按照组网图配置各接口的IP地址,具体配置过程略。 # 配置内网IP地址到外网地址之间的一对一静态地址转换映射。
There are 1 outbound static NAT mappings. IP-to-IP: Local IP : Global IP : Interfaces enabled with static NAT: There are 1 interfaces enabled with static NAT. Interface: GigabitEthernet1/2 # 通过以下显示命令,可以看到Host访问某外网服务器时生成NAT会话信息。[Router] display nat session verbose Initiator: Source IP/port: Destination IP/port: VPN instance/VLAN ID/VLL ID: -/-/- Protocol: ICMP(1) Responder: Source IP/port: Destination IP/port: VPN instance/VLAN ID/VLL ID: -/-/- Protocol: ICMP(1) State: ICMP_REPLY Application: INVALID Start time: 2012-08-16 09:30:49 TTL: 27s Interface(in) : GigabitEthernet1/1 Interface(out): GigabitEthernet1/2 Initiator->Responder: 5 packets 420 bytes Responder->Initiator: 5 packets 420 bytes Total sessions found: 1 内网用户通过NAT地址访问外网(地址不重叠) 1. 组网需求
网络常见故障处理方法 1.网络突然中断 网卡IP地址的设置错误 右键点击网上邻居,在弹开菜单中选择属性,然后继续右键点击本地网络,在弹开菜单中选择属性,进入本地连接属性栏,之后双击INTERNET协议( TCP/IP),可才看到自己的IP地址,子网掩码,DNS等相关设置。 在公司内部每个人的地址多不相同,如果你的地址与别人的相同,就会造成 IP地址冲突,导致上不去网络;而且配置与网关给的配置不一样,也有上不去网络 的可能。 网卡误操作被禁用 网卡被禁用后,在右下角将没有连接提示,需要用右键点击网络邻居,在弹开菜单中选择属性,然后继续右键点击本地网络,在弹开菜单中选择启用。 网线接触不良,网卡插错或插的不严实 这类故障通常因为设备的老化或者网络头的磨损导致的,这类故障要彻底解决的话需要更换交换机或者更换网络头。 交换机停止工作 通常是有人不小心碰到了电源,导致设备断电。通常这种情况发生,会导致掉电设备上所有的用户多会中断与网络的连接。 电脑中了恶性病毒 电脑在中病毒后,通常情况是系统运行速度变慢,上网速度也变的缓慢;当电脑中一些恶性病毒后,病毒会对一些常用端口发病毒包,从而导致电脑上不去网或 者一些软件无法正常使用。 2.网络正常,邮件收发有问题
邮件服务器设置错误 邮件服务一般需要用户设置SMTP服务器,POP3服务器以及用户名和密码;其中SMTP服务器是发件服务器,邮件的收发多是通过该服务器来发送,POP3服务器是收 件服务器,你收到的邮件多是从POP3服务器上传送到本地的。如果用户更改设置后,发现邮件能收不能发,或者邮件能发不能收,只需要查看响应的服务器设置就可以。 电脑操作系统故障导致邮件收发出现问题 ???此类故障主要因为电脑配置,系统稳定性所导致。当电脑配置教低,系统稳定性又很差时,电脑经常出现各种故障,有时出现突然邮件收发出现问题;一般此类问题解决方法就是重启操作系统。 邮件提供商的配置问题 当您在一个地方使用邮件服务很正常,换到另外一个地点后,邮件服务突然出 现问题,而上网正常,很又可能是邮件提供商或者当地的网络提供商对网络进行了一些安全设置,所以这时你需要联系邮件提供商或者当地的网络提供商来处理此类问题。 3.网络时断时续,很不稳定 ???当网络配置完后,发现网络时断时续,首先我们需要查看我们的路由等设备配置,查看网络设备配置上是否有任何问题。 ???如果网络时断时续是网络正常运行一段时候后才发生的,那我们需要查看路由设备的CPU利用率等相关数据,以此来确定是否问题来源于内部网络病毒。 ???如果确认上面那些多没有问题,那我们需要联系我们的网络提供商,一起配合检查线路。 4.网络故障查询经常使用的命令 Ping命令的使用技巧 ???Ping是个使用频率极高的实用程序,用于确定本地主机是否能与另一台主机交换(发送与接收)数据报。根据返回的信息,我们就可以推断TCP/IP参数是否设置得正确以及运行是否正常. Ping命令的常用参数选项: ???ping IP –t 连续对IP地址执行Ping命令,直到被用户以Ctrl+C中断。
H3C路由器设置 1. 端口映射 如某公司内网有做游戏或者其他服务机器,需要外网的机器访问时,需要设置端口映射 内部机器:192.168.2.223 外网IP:61.190.38.198 需要做端口映射:在NAT配置中设置 2. 内网中的PC通过域名访问内部的服务器 内部服务器IP:192.168.3.2(VLAN3) TCP端口:80和3777 内部PC机:192.168.2.0/24和192.168.1.0/24(VLAN2和VLN1) 命令配置: Acl number 3400 Rule 0 permit tcp source 192.168.2.0 0.0.0.255 destination 192.168.3.2 0 destination-port eg 80 Rule 5 permit tcp source 192.168.2.0 0.0.0.255 destination 192.168.3.2 0 destination-port eg 3777
Rule 10 permit tcp source 192.168.1.0 0.0.0.255 destination 192.168.3.2 0 destination-port eg 80 Rule 15 permit tcp source 192.168.1.0 0.0.0.255 destination 192.168.3.2 0 destination-port eg 3777 Interface vlan-interface 3 Nat outbound 3400 注:acl的子网掩码和子网掩码是相反的,192.168.1.0/24的子网掩码是255.255.255.0 则acl的子网掩码是0.0.0.255 3. IP和MAC地址绑定 防止ARP欺骗 1) arp扫描:ARP防攻击 2) 固化 4. 互联网访问控制 1) 设置时间
常见的网络故障分析与处理 如今,计算机网络技术飞速发展,在社会生活和工作中的重要性日趋凸显。它给人们带来了极大的便利,但是同时,层出不穷、种类繁多的网络故障也给人们带来了很多的烦恼。本文将简单介绍一些常见的网络故障及其处理方法。 一、计算机网络故障分类 网络故障按性质分为物理故障和逻辑故障;按对象分为线路故障、路由器故障和主机故障。 物理故障主要有网卡、网线、交换机、路由器等故障。 逻辑故障主要有网络协议、网络设备配置等故障。 二、物理故障分析与处理 1、线路故障 线路故障的发生率很高,包括线路损坏和线路受到严重电磁干扰。 处理方法:观察网线两端口处是否松动、磨损或断开,如发现问题则处理;否则继续处理如下:若线路短,可将网线一端插入正常RJ45插座内,另一端插入正常HUB端口,然后用Ping命令检查线路与网管中心服务器端口是否连通。若线路长,或网线不方便移动,就用网线测试器测量网线的好坏。目前,大约有70%的网络故障是由此类故障引起的。 2、集线器(或路由器)故障 集线器(或路由器)物理损坏,导致网络不通。
处理方法:替换排除法,用通信正常的网线将主机和集线器连接,如能正常通信,则可确定集线器正常;否则更换一个端口排查是 端口故障还是集线器故障,如更换端口后能正常通信,则确定为端口故障;如若始终不能正常通信,则可能是集线器故障。更换一个能正 常使用的集线器,如能正常通信则确定为集线器故障。 3、主机物理故障 包括网卡松动,网卡物理故障,主机网卡插槽故障。 处理方法:网卡松动可重新拔插固定网卡;主机网卡插槽故障可更换一个网卡插槽;网卡物理故障可将其插到正常工作的主机上测试,若仍无法工作,即更换网卡。 四、逻辑故障分析与处理 1、路由器逻辑故障 包括路由器端口参数设定有误,路由器路由配置错误、路由器CPU利用率过高和路由器内存余量太小等。 逻辑故障最常见的是配置错误导致网络异常或故障。配置错误 可能是路由器端口参数设定有误,或路由器路由配置错误以至于路由循环或找不到远端地址,或路由掩码设置错误等。比如,掩码为255.255.255.0,IP地址为192.168.0.1的主机就ping不通IP地址为192.168.1.1的路由器。 处理方法:该故障可用ping命令或用traceroute命令(路由跟踪程序)查看远端地址中哪个节点出现问题,对该节点参数进行检查
操作手册 IP路由分册 IPv6 静态路由目录 目录 第1章 IPv6静态路由配置......................................................................................................1-1 1.1 IPv6静态路由简介.............................................................................................................1-1 1.1.1 IPv6静态路由属性及功能........................................................................................1-1 1.1.2 IPv6缺省路由..........................................................................................................1-1 1.2 配置IPv6静态路由.............................................................................................................1-2 1.2.1 配置准备..................................................................................................................1-2 1.2.2 配置IPv6静态路由...................................................................................................1-2 1.3 IPv6静态路由显示和维护..................................................................................................1-2 1.4 IPv6静态路由典型配置举例(路由应用).........................................................................1-3 1.5 IPv6静态路由典型配置举例(交换应用).........................................................................1-5
telnet 防火墙IP地址 用户名 密码 --进入普通用户权限-- --在此命令下可输入一般命令-- --可用?看有哪些命令和命令的作用-- system-view --进入超级管理员权限界面-- --此提示符下可输绝大部分命令-- --(极少数需要在com终端输入)-- quit --退出当前状态,返回上一级-- 一般命令(不一定要把命令写全) display current 展示当前配置 acl number 3050 进入访问控制列表3050号 rule 66 permit ip ........ 在当前访问控制表增加或修改规则66号 rule的具体用法可用rule ?一步步显示出来,亦可参考我原写的命令 我原配置需要涉及的部分 1.ip和mac绑定,绑定方法具体看一下参数文件你就可明白 2.策略号3050 在该条策略中如有permit就是允许你指定的ip或ip段上网 3.策略号3051和305作用是限流 在该策略号具体用法可参考其中的rule规则 最后是save 否则一重启这些改动就会无效 sH3C路由器 ##################################################################### 1、system-view 进入系统视图模式 2、sysname R1 为设备命名为R1 3、display ip routing-table 显示当前路由表 4、 language-mode Chinese|English 中英文切换 5、interface Ethernet 0/0 进入以太网端口视图
6、 ip address 192.168.1.1 255.255.255.0 配置IP地址和子网掩码 7、 undo shutdown 打开以太网端口 8、 shutdown 关闭以太网端口 9、 quit 退出当前视图模式 10、 ip route-static 192.168.2.0 255.255.255.0 192.168.12.2 description To.R2 配置静态路由 11、 ip route-static 0.0.0.0 0.0.0.0 192.168.12.2 description To.R2 配置默认的路由 H3C S3100 Switch H3C S3600 Switch H3C MSR 20-20 Router ##################################################################### 1、调整超级终端的显示字号; 2、捕获超级终端操作命令行,以备日后查对; 3、 language-mode Chinese|English 中英文切换; 4、复制命令到超级终端命令行,粘贴到主机; 5、交换机清除配置 :
计算机网络几种典型故障的处理及维护方法 摘要网络故障极为普遍,网络故障的种类也多种多样,要在网络出现故障时及时对出现故障的网络进行维护,以最快的速度恢复网络的正常运行,掌握一套行之有效的网络维护理论、方法和技术是关键。就网络中常见故障进行分类,并对各种常见网络故障提出相应的解决方法。 关键词网络故障网络维护分类解决办法 随着计算机的广泛应用和网络的日趋流行,功能独立的多个计算机系统互联起来,互联形成日渐庞大的网络系统。计算机网络系统的稳定运转已与功能完善的网络软件密不可分。计算机网络系统,就是利用通讯设备和线路将地理位置不同的、信息交换方式及网络操作系统等共享,包括硬件资源和软件资源的共享:因此,如何有效地做好本单位计算机网络的日常维护工作,确保其安全稳定地运行,这是网络运行维护人员的一项非常重要的工作。 在排除比较复杂网络的故障时,我们常常要从多种角度来测试和分析故障的现象,准确确定故障点。 一、分析模型和方法 (一)七层的网络结构分析模型方法 从网络的七层结构的定义和功能上逐一进行分析和排查,这是传统的而且最基础的分析和测试方法。这里有自下而上和自上而下两种思路。自下而上是:从物理层的链路开始检测直到应用。自上而下是:从应用协议中捕捉数据包,分析数据包统计和流量统计信息,以获得有价值的资料。 (二)网络连接结构的分析方法 从网络的连接构成来看,大致可以分成客户端、网络链路、服务器端三个模块。 1、客户端具备网络的七层结构,也会出现从硬件到软件、从驱动到应用程序、从设置错误到病毒等的故障问题。所以在分析和测试客户端的过程中要有大量的背景知识,有时PC的发烧经验也会有所帮助。也可以在实际测试过程中询问客户端的用户,分析他们反映的问题是个性的还是共性的,这将有助于自己对客户端的进一步检测作出决定。 2、来自网络链路的问题通常需要网管、现场测试仪,甚至需要用协议分析仪来帮助确定问题的性质和原因。对于这方面的问题分析需要有坚实的网络知识和实践经验,有时实践经验会决定排除故障的时间。 3、在分析服务器端的情况时更需要有网络应用方面的丰富知识,要了解服务器的硬件性能及配置情况、系统性能及配置情况、网络应用及对服务器的影响情况。 (三)工具型分析方法 工具型分析方法有强大的各种测试工具和软件,它们的自动分析能快速地给出网络的各种参数甚至是故障的分析结果,这对解决常见网络故障非常有效。 (四)综合及经验型分析方法靠时间、错误和成功经验的积累 在大多数的阿络维护工作人员的工作中是采用这个方法的,再依靠网管和测试工具迅速定位网络的故障。 二、计算机无法上网故障排除 1、对于某台联网计算机上不了网的故障,首先要分别确定此计算机的网卡安装是否正确,是否存在硬件故障,网络配置是否正确在实际工作中我们一般采用Ping本机的回送地址(127.0.0.1)来判断网卡硬件安装和TCP/IP协议的正确性。 如果能Ping通,即说明这部分没有问题。如果出现超时情况,则要检查计算机的网卡
ICT企业网关H3C路由器配置实例 以下是拱墅检查院企业网关的配置实例。路由器是选H3C MRS20-10(ICG2000),具体配置的内容是: PPP+DHCP+NAT+WLAN [H3C-Ethernet0/2] # version 5.20, Beta 1605 # sysname H3C # domain default enable system # dialer-rule 1 ip permit # vlan 1 # domain system access-limit disable state active idle-cut disable self-service-url disable
# dhcp server ip-pool 1 network 192.168.1.0 mask 255.255.255.0 gateway-list 192.168.1.1 dns-list 202.101.172.35 202.101.172.46 # acl number 2001 rule 1 permit source 192.168.1.0 0.0.0.255 # wlan service-template 1 crypto ssid h3c-gsjcy authentication-method open-system cipher-suite wep40 wep default-key 1 wep40 pass-phrase 23456 service-template enable # wlan rrm 11a mandatory-rate 6 12 24 11a supported-rate 9 18 36 48 54 11b mandatory-rate 1 2 11b supported-rate 5.5 11 11g mandatory-rate 1 2 5.5 11