路由后台系统配置问答

江苏 孙秀洪

Q 众所周知，在Windows 操作系统中，用户可以通过修改系统注册表的方法，调整telnet 功能默认的端口号码，请问在cisco路由器后台系统中，有没有办法调整telnet 功能缺省的端口号码？

答：答案是肯定的！用户可以先以系统管理员权限登录进入cisco 路由器后台系统，再将其切换到线路配置模式状态，在该状态下通过路由器后台系统自带的rotary 命令，就能随意修改telnet 功能的端口号码。例如，要将默认的21 端口号码修改成2222时，只要执行“rotary 2222”命令就可以了；当然，要想成功使用新的端口号码，用户还需要将路由器切换到全局配置模式状态，在该状态下通过ACL 禁止先前的缺省21 号端口，只要执行“access-list 101 deny tcp any any eq 21”字符串命令即可。

Q Quidway S8500 路由交换机支持回路监测功能，借助该功能可以快速定位网络中的回路位置，可该功能有时不能随意使用，不知是什么原因？

答：要是随意使用这项功能，可能会对其他网段工作状态造成影响。例如，要是交换机某端口工作在Trunk 模式，那么该端口下面要是包含了多个网段，此时如果随意启用回路监测受控功能，那么只要一个网段中存在回路，那么其他网段的工作状态都会受到影响。一般来说，汇聚层交换机某端口下面连接的交换机支持并启用回路监测功能时，那么就能将该端口设置成Trunk 模式，并且启用回路监测功能，不过要关闭回路监测受控功能。如果下挂的交换机不支持回路监测功能，可以启用端口回路监测功能，回路监测受控功能也能同时运行。

Q 为了便于管理宽带路由器，不少管理员会启用该设备的远程管理功能，但该功能缺省会用到80 端口，该端口很容易被黑客非法利用，不利于网络的安全稳定运行。请问如何避免这种现象发生？

答：要想保护宽带路由器远程管理安全，不妨将缺省的远程管理端口调整为陌生号码，日后只有知道新端口的人，才能对路由器进行远程管理。

比方说，要将TP-Link 无线路由器Web 管理端口调整为“3456”时，只要先进入路由器后台系统管理界面，依次展开“安全设置”、“远端Web管理”节点，在对应节点下面，将“Web 管理端口”参数设置为“3456”。之后在“远端Web管理IP 地址”位置处，输入可以对宽带路由器进行远程管理的计算机公网IP 地址，单击“保存”按钮执行设置保存操作，最后重启宽带路由器设备，这样日后只有在特定计算机上，并输入新的端口号码，才能对宽带路由器进行远程管理。

Q 大家知道，如果用户在网络中传输下载大容量信息时，那么网络传输通道就很容易被堵塞。为避免网络堵塞现象不断发生，很多网管员都对H3C 路由交换机配置了流量控制功能，利用该功能及时将本地堵塞状态报告给对方交换端口，希望对方暂时不要继续向它发送数据信息，以防止堵塞现象更加严重。那么，流量控制功能该如何启用呢？

答：流量控制功能只能在路由交换机的端口视图模式下进行，为此我们先要在交换机后台系统，通过“systemview”命令进入全局视图模式，并执行“interface g2/1/2”之类的命令进入指定端口视图状态，在命令行状态下输入“flow-control”命令，端口流量控制功能就立即生效了。在默认状态下，H3C 路由交换机的所有交换端口并没有开启流量控制功能，我们必须依照实际需要来开启该功能。日后要想暂时取消某个交换端口的流量控制功能时，只要在指定端口视图状态下，输入“undo flow-control”命令即可。

Q 为了让路由器按需工作，系统管理员一般都要对其进行合适设置。可是在设置路由器后台系统参数时，经常会遇到无法登录路由器后台系统管理页面的故障，遇到这种故障时该如何来进行排查？

答：在初次登录路由器后台系统时，需要检查客户机与路由器之间的物理连接是否正常，客户机的IP 地址是否和路由器LAN 口处于相同的一个网段。如果上述操作仍不能登录路由器后台系统，可以尝试将路由器恢复为出厂设置。

要是用户自行调整过路由器的管理端口，那么需要在IE 浏览器窗口的地址栏中输入“http://路由器管理端口IP:具体号码”，比方说输入“http://192.168.1.1:8080”，才能登录路由器后台系统。倘若之前能成功登录路由器后台系统，现在不能登录路由器，那很可能是他人调整过路由器的配置或缺省的80 端口遭遇攻击，这时不妨重启或复位路由器，调整路由器后台系统的管理端口，换用别的登录账号和密码。

在复位都无法解决问题的情况下，多半是路由器遭受了ARP 欺骗攻击，建议认真找出欺骗源、查杀病毒或将其隔离。当然，也有可能是IE 浏览器自身问题，例如浏览器启用了代理功能后，就可能无法登录路由器，这时不妨打开IE 浏览器窗口，依次点击“工具”、“Internet 选项”命令，弹出Internet 选项设置对话框，点击“连接”标签，在对应标签页面的“局域网设置”位置处，点击“设置”按钮，在其后界面中请确定“代理服务器”的“为LAN 使用代理服务器”选项处于取消选中状态，如果已经被勾选时，应该立即取消。

Q 某网络管理员尝试从路由器后台系统，使用ping 命令测试局域网中目标主机的连通性时，发现该主机的IP 地址始终无法ping 通，不知道为何？

答：首先检查目标主机系统是否禁用了ping 命令测试功能，一旦该系统启用了防火墙或者进行了包过滤，那么路由器就可能无法ping 通该主机的IP 地址。在排除主机系统因素后，再检查交换机的网络配置是否正确；在确认网络配置正确的情况下，查看目标主机与交换机相连端口究竟位于哪个VLAN，该VLAN 有没有配置VLAN 接口参数，VLAN接口的IP 地址与目标主机的IP 地址是否处于相同的工作子网。

在上述配置都正确的情况下，不妨打开交换机的ARP 调试开关，检查交换机能不能正常发送或接收ARP 数据报文，要是发现交换机只能发送而无法接收ARP 数据报文时，那问题可能出在以太网物理层上。最后检查路由器与交换机之间的连通性是否正常，如果不正常，那问题可能就出在交换机和路由器之间的链路中。

Q 某局域网共有80 多台计算机，这些计算机分别连接到各个楼层交换机，再通过H3C S8500 系列路由交换机上网访问。最近几天，总有用户在抱怨，说他们的计算机上网速度很慢，有时连简单网页都打不开，网管员怀疑有人悄悄在进行BT 下载，请问如何准确知道谁在悄悄下载，或者能有效控制用户的下载操作？

答：只要在局域网中部署sniffer 这样的监控工具，通过这些监控工具的数据流量视图，就可以十分轻松地看到局域网中究竟哪台计算机的数据流量比较大了，这些流量不正常的计算机，自然是有人在偷偷进行BT 下载操作了。

当然，由于这里的H3C S8500 系列路由交换机支持流量查看功能，我们可以在交换机后台系统命令行状态执行“display dia”命令，查看核心交换机所有交换端口的流量变化状态，这样也能找到悄悄进行BT 下载操作的计算机系统。如果想有效控制用户的恶意下载行为，不妨利用聚生网管、超级网管、网路岗之类的专业工具，来对下载操作进行严格控制。

Q 最近，笔者发现单位局域网核心路由交换机的VRRP 状态频繁转换，不知道为什么会出现这种现象？

答：这种问题多半是备份组的定时器间隔时间设置比较短引起的，此时只要尝试延长这个时间间隔，或者启用抢占延迟，说不定就能避免VRRP 状态频繁转换。

Q 为了保护思科路由器登录安全，请问如何为不同登录方式启用复杂登录密码？

答：思科路由器同时支持多种设备登录方式，比方说VTY（Telnet）、Console、AUX 等，只有为这些登录方式启用复杂登录密码，才能保证设备的安全稳定运行。VTY（Telnet）、Console、AUX 等登录方式，都属于行模式的接口，要为这些登录方式设置密码，需要先以特权身份登录路由器后台系统，在特权模式状态下使用“service passwordencryption”命令，强制对明文密码内容执行加密操作。之后使用“line console 0”命令，进入Console 登录方式的行模式状态，开始进行登录认证配置，再依次执行“Password)(*&po541276”、“login”命令，将Console 登录认证密码设置为十分复杂的“)(*&po541276”内容。最后输入“exit”命令，退出Console 登录方式的行模式状态，结束该方式的认证密码设置操作。

要配置VTY（Telnet）登录方式的认证密码时，也是在特权模式状态下，使用“Line vty 0 10”命令，进入Telnet远程登录方式的行模式状态，开始进行登录认证配置，这里的“10”表示同时启用10 个虚拟登录接口，说明同时允许有10 个用户通过Telnet 方式登录到这台路由器。之后依次执行“Password)(*&po541276”、“login”、“exit”命 令，将Telnet 方式登录密码设置为“)(*&po541276”，同时退出Telnet 登录方式的行模式状态。再按照同样方法，为AUX方式设置好合适的登录认证密码。

Q 在尝试建立Quidway S8500 路由交换机BGP 邻居关系时，有时无法切换到Established 状态，这样就不能成功建立邻居关系，这是什么原因呢？

答：一般来说，要成功建立BGP 邻居关系，需要路由交换机能正确交换open 数据报文，以及开通179 端口创建TCP 会话。为此，需要进行下面几项排查操作：一是借助ping 命令测试tcp 连接状态是否正常，考虑到一台路由器可能有若干接口可以达到对端，可以通过拓展的“ping -a ip 地址”命令指定发送ping 测试包的源IP 地址；二是检查peer ebgpmax-hop 功能是否配置启用，确认物理连接上是否有直接连接的EBGP 邻居；三是通过display ip routing-table命令判断本地路由表中有没有到邻居的可用路由；四是检查邻居的IP 地址、AS 号等参数配置是否正确；五是检查ACL中有没有对TCP179 端口进行限制，如果限制存在的话，必须及时予以解除。

Q Quidway S8500 路由交换机可以同时插入若干块板卡，每块板卡可以负载24 个光端口，每个端口的状态都会影响板卡工作状态，如果光端口输入、输出请求比较多，板卡就要耗费更多CPU 资源应付这些请求，如果CPU 资源消耗严重时，整块板卡都可能无法工作。请问，如何判断板卡的工作状态是否正常？

答：为了及时了解板卡工作状态，只要对它们的CPU 资源使用情况进行监控，要是发现CPU 消耗率在50%以上时，就要排查板卡上每个光端口的流量状态是否正常了，直到找出不正常的端口，同时执行“shutdown”命令关闭端口工作状态。在查看板卡CPU 资源消耗情况时，可以先将交换机系统切换到全局视图模式状态，通过“display cpu”命令，就能发现板卡最近五秒钟、最近一分钟、最近五分钟的CPU 资源消耗情况了。除了CPU 消耗情况会影响板卡状态，板卡温度也会对其工作状态产生影响，要是交换机散热不良的话，那么板卡温度将会持续上升，同时温度的不断攀升，会影响路由交换机的响应能力，严重时能造成交换机发生死机现象。所以，通过“display en”命令查看板卡温度，也能判断网卡的工作状态是否正常。

Q 在规模大一些的局域网中，不少网管员会将Quidway S8500 核心路由交换机的DHCP中继代理功能配置启用起来，同时结合DHCP 服务器，为客户机提供IP 地址分配服务。然而，核心路由交换机的DHCP 中继代理状态，会对客户机的网络连接状态造成影响；不少客户机不能获取动态IP 地址，都是因为DHCP 中继代理状态不正常造成的。那么日后当再次遇到客户机无法上网现象时，该怎样来判断核心交换机的中继状态正常呢？

答：先进入Quidway S8500核心路由交换机后台系统全局视图模式状态，输入字符串命 令“display dhcp-server GroupNo”，检查指定的DHCP 服务器是否有效，也就是说，这里指向的DHCP 服务器地址与局域网中真实有效的DHCP 服务器地址是否相同，要是不相同的话，一定要重新修改过来。而且，从该命令返回的结果中，我们还能识别交换端口接收报文的状态；一旦看到交换机只能接收discover 报文，而无法接收响应报文，那就说明局域网中的指定DHCP 服务器不能正常向交换机发送报文，此时应该认真检查DHCP 服务器的工作状态是否正常。在DHCP服务器状态正常时，尝试在其中通过ping 命令测试无法上网客户机所在Vlan 的IP 地址，以便识别DHCP 服务器能否找到指定客户机所在网段的路由，要是无法找到的话，那可能是DHCP 服务器的网关地址没有配置好，此时只要将该网关地址配置为客户机所在Vlan接口的IP 地址就能解决问题了。

Q 在H3C 路由交换机开启了DHCP 中继功能的情况下，局域网的DHCP 服务器与普通客户端系统位于相同的工作网段，但是普通客户端系统始终不能获取有效的上网地址，不知道该怎么解决？

答：出现上述故障，多半是网络连接不通畅、DHCP 服务未开启、DHCP 服务器没有对地址池参数进行正确配置等因素引起的。此时，可以借助专业线缆测试工具判断网络线缆的连通性是否正常，在网络通畅的情况下，进入交换机后台系统视图界面，在该状态下执行“dhcp enable”命令，开启DHCP 服务。之后，正确配置包含或与接收接口IP 地址在相同网段的地址池，以及正确配置与接口IP 地址网段相同的地址池网段。如果上述配置都正常的情况下，可以使用“display dhcp server expired all”命令判断地址有没有存在过期租约现象，要是存在的话，可以执行“reset dhcp server ip-in-use”命令，将那些过期租约成功删除掉。要是还无法解决问题时，可以尝试扩大配置的地址池网段，确保有足够的地址可以分配利用。

Q ARP 病毒攻击现象在网络中经常发生，每次发生病毒攻击现象后，华三系列路由交换机几乎都能将病毒造成的地址冲突记录保存下来，那么日后依照冲突记录，能快速定位具体染毒的客户机吗？

答：很简单！先在后台系统全局模式状态下执行“dis logbuff”命令，查看系统日志信息，找到地址冲突记录，记下染毒的客户机MAC 地址，以及它所处的VLAN；依照VLAN 内容，查找局域网组网资料，得到客户机所连交换机IP 地址；远程登录接入交换机后台系统，通过“disp mac-address”命令，来获取对应交换端口与MAC 地址映射记录，依照病毒主机MAC 地址，找到病毒主机所连的交换端口；进入特定交换端口视图模式状态，利用“shutdown”命令，断开客户机与局域网的连接，避免ARP 病毒继续攻击局域网；之后在交换端口查看线缆上的标签说明，或者顺着线缆，找到染毒的客户机；借助专业工具将ARP病毒查杀干净，再将客户机重新接入局域网即可。

Q 局域网中的客户机无法上网访问时，网管员利用“display vrrp”命令观察H3C路由交换机VRRP 备份组中每个路由器工作状态时，竟然看到有若干个VRRP 路由器同时工作于Master 状态，不知道该如何解决？

答：出现这种问题时，可以按照下面的顺序进行逐一排查：首先查看每个路由器VRRP配置是否相同，重点检查它们的认证字内容、认证方式、VRRP报文广播间隔时间、虚拟IP 地址等参数是否相同，如果发现不相同时，应该及时将它们修改过来，因为VRRP 要求组成备份组的所有路由器参数配置必须相同。

其次查看通信端口的互通性，看看每个路由器相互连接端口有没有工作在up 状态。在进行检查操作时，重点看看互连端口的配置参数，要是端口属于trunk 或hybrid类型，要检查它们的PVID 是否相同，有没有对VRRP 备份组所在VLAN 放行，各个端口有没有配置启用802.1x 等协议，同时看看它们有没有由于LACP、STP、Smart-link、RRPP 等协议而阻塞，再利用“display interface”命令观察连接端口有没有大量错误的数据报文存在。

第三查看VRRP 数据报文的收发状态，开启VRRP 调试开关功能，判断VRRP 数据报文的收发状态是否正常，要是无法看到VRRP 数据报文调试信息时，不妨开启IP 数据报文调试功能进行查看。

第四查看路由交换机后台系统CPU 的占用情况，在命令行状态执行命令“display cpu-usage”，看看VRRP 数据报文互通的板卡和主板卡CPU消耗率是否超过90%，执行命令“display interface”看看端口数据流量是否正常，以判断网络中有没有广播风暴现象存在。一旦发现网络风暴现象存在，那么VRRP 数据报文将不能正常传输给系统CPU 处理，VRRP 状态自然就不正常了。

Q 不少黑客往往会向局域网中发送虚假的TC-BPDU 报文，对核心路由交换机实施欺骗攻击，要是核心路由交换机在短时间内接受到太多的TC-BPDU报文，那么系统就会频繁删除MAC 地址列表或ARP 列表操作，这样的操作很容易造成交换机反应迟钝现象，请问如何预防这种欺骗攻击？

答：可以配置启用核心路由交换机自带的预防TC-BPDU报文攻击保护功能，当配置了这项功能后，交换机日后接受到TC-BPDU 报文，缺省每隔10秒钟删除一次MAC 地址列表或ARP 列表，避免了频繁删除操作消耗太多的系统资源，同时在这段时间内，预防TC-BPDU报文攻击保护功能还会同时监控交换机是否接受到其他TCBPDU 报文，要是接受到的话，就会强制后台系统在指定时间段后，再删除一次ARP 列表记录和MAC 地址列表记录，确保删除操作不会太频繁。在配置这项功能时，可以在系统全局模式状态下，输入“stp tcprotection enable”命令即可。

Q 有时候，无法查看到Quidway S8500 路由交换机ospf 的邻接状态，不知道是什么原因？

答：要是命令的输出中看不到邻接状态，那么就证明连接有问题或ACL 配置不当。此时，可以使用display interface 命令，确认交换端口是否up，line protocol 是否up，如果不正确的话，那就证明网络链路有问题。

使用ping 命令检查能否ping 通邻居路由交换机的接口；要是能ping 通的话，需要使用display ospf interface命令检查是否所有的邻居路由器对应接口上的ospf 功能是否都启用了，检查端口有没有被设置成passive 接口，因为在ospf passive 接口上不会发送hello 包。当然，还要对路由交换机的ACL 配置进行检查。