路由故障處理問答

■

大家知道，路由器發(fā)生故障時(shí)，一般可以分為硬故障、軟故障這兩類，請問這兩類故障各有什么明顯的現(xiàn)象？

硬故障往往有這么幾種常見現(xiàn)象：設(shè)備無法正常加電、部件發(fā)生損壞、系統(tǒng)軟件發(fā)生損壞、其他一些現(xiàn)象。其中系統(tǒng)軟件發(fā)生損壞現(xiàn)象，好像屬于軟故障，不過這種情況往往是設(shè)備自身存在問題，且與硬件緊密相關(guān)，所以將它歸類于此。而其他一些現(xiàn)象主要是一些與硬件或多或少有關(guān)聯(lián)的現(xiàn)象，例如升級設(shè)備時(shí)，設(shè)備的硬件容量達(dá)不到要求，設(shè)備散熱不暢，影響系統(tǒng)運(yùn)行不穩(wěn)定現(xiàn)象等。

軟故障一般有下面幾種常見現(xiàn)象：網(wǎng)絡(luò)規(guī)劃不合理、功能不能實(shí)現(xiàn)、參數(shù)配置不正確等。其中參數(shù)配置不正確是最常見的軟件故障，比方說線路兩端路由器的配置不正確，或者參數(shù)無法保持匹配等。對于軟故障，只要認(rèn)真細(xì)致地查找，最后總能解決問題。

請問什么是路由器的NAT功能，引入該功能有什么作用？

路由器的NAT功能也叫網(wǎng)絡(luò)地址轉(zhuǎn)換功能，它的作用主要是將局域網(wǎng)內(nèi)部自行定義的非法IP地址，自動(dòng)轉(zhuǎn)換為Internet網(wǎng)絡(luò)上能識(shí)別的合法IP地址。考慮到IPv4地址在數(shù)量上的限制，單位從ISP申請并給局域網(wǎng)中的每臺(tái)計(jì)算機(jī)分配一個(gè)合法IP地址是不現(xiàn)實(shí)的，使用路由器的NAT功能能較好解決IPV4地址短缺的問題。

請問普通路由器的NAT功能可以分為哪幾種類型？

可以分為三種類型，靜態(tài)NAT類型、NAT池類型和端口NAT類型，其中靜態(tài)NAT類型可以將局域網(wǎng)中的每臺(tái)主機(jī)永久映射成外部網(wǎng)絡(luò)中的某個(gè)合法地址，NAT池類型通過動(dòng)態(tài)分配的辦法，共享很少的幾個(gè)外部合法IP地址，端口NAT類型允許管理員只需申請一個(gè)合法IP地址，滿足所有的主機(jī)連接Internet網(wǎng)絡(luò)。

在H3C路由交換機(jī)組網(wǎng)的工作環(huán)境中，終端計(jì)算機(jī)無法上網(wǎng)訪問時(shí)，網(wǎng)管員利用“display vrrp”命令觀察VRRP備份組中每個(gè)路由器工作狀態(tài)時(shí)，竟然看到有若干個(gè)VRRP路由器同時(shí)工作于Master狀態(tài)，不知道該如何解決？

出現(xiàn)這種問題時(shí)，可以按照下面的順序進(jìn)行逐一排查：首先查看每個(gè)路由器VRRP配置是否相同，重點(diǎn)檢查它們的認(rèn)證字內(nèi)容、認(rèn)證方式、VRRP報(bào)文廣播間隔時(shí)間、虛擬IP地址等參數(shù)是否相同，如果發(fā)現(xiàn)不相同時(shí)，應(yīng)該及時(shí)將它們修改過來，因?yàn)閂RRP要求組成備份組的所有路由器參數(shù)配置必須相同。其次查看通信端口的互通性，看看每個(gè)路由器相互連接端口有沒有工作在up狀態(tài)。在進(jìn)行檢查操作時(shí)，重點(diǎn)看看互連端口的配置參數(shù)，要是端口屬于trunk或hybrid類型，要檢查它們的PVID是否相同，有沒有對VRRP備份組所在VLAN放行，各個(gè)端口有沒有配置啟用802.1x等協(xié)議，同時(shí)看看它們有沒有由于LACP、STP、Smart-link、RRPP 等協(xié)議而阻塞，再利用“display interface”命令觀察連接端口有沒有大量錯(cuò)誤的數(shù)據(jù)報(bào)文存在。第三查看VRRP數(shù)據(jù)報(bào)文的收發(fā)狀態(tài)，開啟VRRP調(diào)試開關(guān)功能，判斷VRRP數(shù)據(jù)報(bào)文的收發(fā)狀態(tài)是否正常，要是無法看到VRRP數(shù)據(jù)報(bào)文調(diào)試信息時(shí)，不妨開啟IP數(shù)據(jù)報(bào)文調(diào)試功能進(jìn)行查看。第四查看路由交換機(jī)后臺(tái)系統(tǒng)CPU的占用情況，在命令行狀態(tài)執(zhí)行命 令“display cpu-usage”，看看VRRP數(shù)據(jù)報(bào)文互通的板卡和主板卡CPU消耗率是否超過90%，執(zhí)行命令“display interface”看看端口數(shù)據(jù)流量是否正常，以判斷網(wǎng)絡(luò)中有沒有廣播風(fēng)暴現(xiàn)象存在。一旦發(fā)現(xiàn)網(wǎng)絡(luò)風(fēng)暴現(xiàn)象存在，那么VRRP數(shù)據(jù)報(bào)文將不能正常傳輸給系統(tǒng)CPU處理，VRRP狀態(tài)自然就不正常了。

在對路由器設(shè)備調(diào)試之前一般要注意哪些事項(xiàng)？

應(yīng)注意下面一些事項(xiàng)：一是考慮調(diào)試命令生成的輸出及所消耗的時(shí)間，因?yàn)橛行┱{(diào)試操作會(huì)生成很多輸入，造成后臺(tái)系統(tǒng)停止響應(yīng)或掛起。二是及時(shí)檢查路由器CPU負(fù)載情況，確保設(shè)備有足夠的CPU資源。三是注意使用“no debug all”、“undebug all”等命令及時(shí)停止調(diào)試操作，因?yàn)樵谡{(diào)試過程中，路由器設(shè)備可能不會(huì)彈出相關(guān)提示。四是盡量將調(diào)試輸出設(shè)置成自動(dòng)顯示。五是可以使用終端仿真器軟件來將調(diào)試輸出捕獲到文件上，以方便查詢更詳細(xì)的調(diào)試內(nèi)容。

局域網(wǎng)中總有一些人在偷偷地干擾網(wǎng)絡(luò)安全穩(wěn)定運(yùn)行，如果禁止特定惡意用戶接入網(wǎng)絡(luò)，那么整個(gè)網(wǎng)絡(luò)運(yùn)行就能穩(wěn)定了。請問在使用TP-Link無線路由器共享上網(wǎng)的環(huán)境下，如何限制特定IP地址的終端用戶訪問無線局域網(wǎng)？

先進(jìn)入無線路由器后臺(tái)系統(tǒng)管理頁面，將鼠標(biāo)定位到該頁面左側(cè)顯示區(qū)域中的“安全設(shè)置”、“防火墻設(shè)置”選項(xiàng)，在對應(yīng)選項(xiàng)設(shè)置區(qū)域，將防火墻功能開啟成功。其次將“開啟IP地址過濾”、“開啟MAC地址過濾”等功能選中，同時(shí)將“禁止已設(shè)MAC地址列表中已啟用的MAC地址訪問Internet”、“凡是不符合已設(shè) IP地址過濾過則的數(shù)據(jù)包，允許通過本地路由器”等選項(xiàng)選中，再單擊“添加新條目”按鈕，將需要限制訪問的終端計(jì)算機(jī)IP地址添加進(jìn)來，確認(rèn)后保存設(shè)置操作。之后將鼠標(biāo)定位到“安全設(shè)置”、“MAC地址過濾”節(jié)點(diǎn)上，將需要限制上網(wǎng)訪問的終端計(jì)算機(jī)MAC地址添加進(jìn)來即可。

有兩臺(tái)Quidway系列路由器相互間物理連接是通暢的，不過它們之間始終無法使用RIP協(xié)議互通，不知道是怎么回事？

出現(xiàn)這種現(xiàn)象的原因主要有下面幾個(gè)：一是子網(wǎng)掩碼可能不匹配。主網(wǎng)中的每一路由器和主機(jī)都應(yīng)有相同的子網(wǎng)掩碼。要是網(wǎng)絡(luò)子網(wǎng)掩碼長度不匹配，那么數(shù)據(jù)包就無法正確路由。二是連接端口上可能關(guān)閉掉了RIP功能。對于這種情況，先要查看一下連接端口的配置狀態(tài)，一旦確認(rèn)RIP功能被關(guān)閉運(yùn)行時(shí)，不妨使用“router rip”命令重新啟用RIP功能。第三可能是相應(yīng)的網(wǎng)段沒有使能。

當(dāng)遇到路由器的路由表項(xiàng)丟失故障時(shí)，該怎么進(jìn)行來排查？

對于Quidway系列路由器來說，首先執(zhí)行“display rip”命令，查看路由器RIP的相關(guān)配置是否正確。例如，主要檢查有關(guān)接口是否已經(jīng)使能，RIP有沒有啟動(dòng)，network命令指定的工作子網(wǎng)是否正確等等。其次通過“debug rip”等命令，來查看RIP協(xié)議的相關(guān)調(diào)試信息。一般通過調(diào)試信息，就能直觀知道RIP數(shù)據(jù)報(bào)文有沒有被正確的收發(fā)；要是發(fā)送或接收存在故障時(shí)，也能通過調(diào)試信息判斷出是什么原因造成發(fā)送或接收數(shù)據(jù)報(bào)文失敗。

Quidway S8500路由交換機(jī)可以同時(shí)插入若干塊板卡，每塊板卡可以負(fù)載24個(gè)光端口，每個(gè)端口的狀態(tài)都會(huì)影響板卡工作狀態(tài)，如果光端口輸入、輸出請求比較多，板卡就要耗費(fèi)更多CPU資源應(yīng)付這些請求，如果CPU資源消耗嚴(yán)重時(shí)，整塊板卡都可能無法工作。請問，如何判斷路由交換機(jī)板卡的工作狀態(tài)是否正常？

為了及時(shí)了解板卡工作狀態(tài)，只要對它們的CPU資源使用情況進(jìn)行監(jiān)控，要是發(fā)現(xiàn)CPU消耗率在50%以上時(shí)，就要排查板卡上每個(gè)光端口的流量狀態(tài)是否正常了，直到找出不正常的端口，同時(shí)執(zhí)行“shutdown”命令關(guān)閉端口工作狀態(tài)。在查看板卡CPU資源消耗情況時(shí)，可以先將交換機(jī)系統(tǒng)切換到全局視圖模式狀態(tài)，通過“display cpu”命令，就能發(fā)現(xiàn)板卡最近五秒鐘、最近一分鐘、最近五分鐘的CPU資源消耗情況了。 除了CPU消耗情況會(huì)影響板卡狀態(tài)，板卡溫度也會(huì)對其工作狀態(tài)產(chǎn)生影響，要是交換機(jī)散熱不良的話，那么板卡溫度將會(huì)持續(xù)上升，同時(shí)溫度的不斷攀升，會(huì)影響路由交換機(jī)的響應(yīng)能力，嚴(yán)重時(shí)能造成交換機(jī)發(fā)生死機(jī)現(xiàn)象。所以，通過“display en”命令查看板卡溫度，也能判斷網(wǎng)卡的工作狀態(tài)是否正常。

為了讓路由器按需工作，系統(tǒng)管理員一般都要對其進(jìn)行合適設(shè)置。可是在設(shè)置路由器后臺(tái)系統(tǒng)參數(shù)時(shí)，經(jīng)常會(huì)遇到無法登錄路由器后臺(tái)系統(tǒng)管理頁面的故障，遇到這種故障時(shí)該如何來進(jìn)行排查？

在初次登錄路由器后臺(tái)系統(tǒng)時(shí)，需要檢查客戶機(jī)與路由器之間的物理連接是否正常，客戶機(jī)的IP地址是否和路由器LAN口處于相同的一個(gè)網(wǎng)段。如果上述操作仍不能登錄路由器后臺(tái)系統(tǒng)，可以嘗試將路由器恢復(fù)為出廠設(shè)置。

要是用戶自行調(diào)整過路由器的管理端口，那么需要在IE瀏覽器窗口的地址欄中輸入“http://路由器管理端口IP:具體號(hào)碼”，比方說輸入“http://192.168.1.1:8080”，才能登錄路由器后臺(tái)系統(tǒng)。倘若之前能成功登錄路由器后臺(tái)系統(tǒng)，現(xiàn)在不能登錄路由器，那很可能是他人調(diào)整過路由器的配置或缺省的80端口遭遇攻擊，這時(shí)不妨重啟或復(fù)位路由器，調(diào)整路由器后臺(tái)系統(tǒng)的管理端口，換用別的登錄賬號(hào)和密碼。

在復(fù)位都無法解決問題的情況下，多半是路由器遭受了ARP欺騙攻擊，建議認(rèn)真找出欺騙源、查殺病毒或?qū)⑵涓綦x。當(dāng)然，也有可能是IE瀏覽器自身問題，例如瀏覽器啟用了代理功能后，就可能無法登錄路由器，這時(shí)不妨打開IE瀏覽器窗口，依次點(diǎn)擊“工具”、“Internet 選項(xiàng)”命令，彈出Internet選項(xiàng)設(shè)置對話框，點(diǎn)擊“連接”標(biāo)簽，在對應(yīng)標(biāo)簽頁面的“局域網(wǎng)設(shè)置”位置處，點(diǎn)擊“設(shè)置”按鈕，在其后界面中請確定“代理服務(wù)器”的“為LAN使用代理服務(wù)器”選項(xiàng)處于取消選中狀態(tài)，如果已經(jīng)被勾選時(shí)，應(yīng)該立即取消。

某局域網(wǎng)有100多臺(tái)終端計(jì)算機(jī)，這些終端計(jì)算機(jī)通過各個(gè)樓層交換機(jī)，與H3C S8500系列路由交換機(jī)連接上網(wǎng)。最近幾天，總有人反應(yīng)說他們的終端計(jì)算機(jī)上網(wǎng)速度很慢，有時(shí)連簡單網(wǎng)頁都打不開，管理員懷疑有人偷偷在進(jìn)行BT下載。請問怎樣準(zhǔn)確知道誰在悄悄下載，或者如何能有效控制用戶的下載操作？

只要在局域網(wǎng)中部署sniffer這樣的監(jiān)控工具，通過這些監(jiān)控工具的數(shù)據(jù)流量視圖，就可以十分輕松地看到局域網(wǎng)中究竟哪臺(tái)計(jì)算機(jī)的數(shù)據(jù)流量比較大了，這些流量不正常的計(jì)算機(jī)，自然是有人在偷偷進(jìn)行BT下載操作了。當(dāng)然，由于這里的H3C S8500系列路由交換機(jī)支持流量查看功能，我們可以在交換機(jī)后臺(tái)系統(tǒng)命令行狀態(tài)執(zhí)行“display dia”命令，查看核心交換機(jī)所有交換端口的流量變化狀態(tài)，這樣也能找到悄悄進(jìn)行BT下載操作的計(jì)算機(jī)系統(tǒng)。如果想有效控制用戶的惡意下載行為，不妨利用聚生網(wǎng)管、超級網(wǎng)管、網(wǎng)路崗之類的專業(yè)工具，來對下載操作進(jìn)行嚴(yán)格控制。

路由器在長時(shí)間工作過程中，經(jīng)常會(huì)遇到死機(jī)或頻繁掉線問題，給用戶帶來很多不便。請問會(huì)有什么原因造成了這些問題？

主要有五方面的原因：一是網(wǎng)絡(luò)病毒造成的攻擊。在局域網(wǎng)中要是有計(jì)算機(jī)存在病毒，而且這些病毒會(huì)專門攻擊路由器特定端口或者在局域網(wǎng)中不斷發(fā)送廣播包，那么路由器可能會(huì)因?yàn)樨?fù)載過重而引起死機(jī)掉線等問題。二是帶機(jī)數(shù)量過多。當(dāng)路由器和自己所帶計(jì)算機(jī)數(shù)量和應(yīng)用不匹配，可能會(huì)出現(xiàn)路由器根本就無法承擔(dān)網(wǎng)絡(luò)負(fù)載的現(xiàn)象，而造成死機(jī)掉線的問題出現(xiàn)。三是接入線路質(zhì)量差。質(zhì)量差的接入線路，會(huì)大大增加產(chǎn)生信號(hào)干擾的可能性，這種干擾有時(shí)也會(huì)引起路由器經(jīng)常掉線甚至死機(jī)。四是參數(shù)設(shè)置錯(cuò)誤。有時(shí)，錯(cuò)誤的參數(shù)設(shè)置，會(huì)造成路由器發(fā)生掉線死機(jī)的現(xiàn)象。五是路由器自身質(zhì)量較差。自身質(zhì)量較差的路由器，工作起來穩(wěn)定性無法保證，死機(jī)或頻繁掉線問題也是不可避免。

某局域網(wǎng)使用寬帶路由器組網(wǎng)，通過寬帶Modem進(jìn)行上網(wǎng)。最近，上網(wǎng)一段時(shí)間后就會(huì)發(fā)生掉線故障，將路由器關(guān)閉電源后再重新接通，又能恢復(fù)上網(wǎng)了，不知道是怎么回事，該如何解決這種問題呢？

首先檢查局域網(wǎng)中是否存在多個(gè)DHCP服務(wù)器，造成IP地址使用混亂。可以嘗試將局域網(wǎng)中的所有DHCP服務(wù)器關(guān)閉，使用手動(dòng)指定IP地址方式或僅保留一個(gè)DHCP服務(wù)器。其次檢查寬帶路由器和ADSL設(shè)備是否存在散熱不良現(xiàn)象。要是剛上網(wǎng)時(shí)正常，過一會(huì)網(wǎng)速下降，這時(shí)要是用手摸設(shè)備很燙，用其他設(shè)備替換速度就正常，就意味著設(shè)備散熱性能不好。第三檢查所有連接的計(jì)算機(jī)是否感染上了網(wǎng)絡(luò)病毒或木馬，可以用最新版本的殺毒軟件和木馬專殺工具，徹底掃描局域網(wǎng)中的計(jì)算機(jī)，確保將病毒或者木馬清除干凈后再接到局域網(wǎng)中。第四檢查局域網(wǎng)使用的寬帶路由器與ISP的局端設(shè)備是否保持兼容，這類問題可以嘗試通過設(shè)備替換法來觀察解決。

為了便于管理寬帶路由器，不少管理員會(huì)啟用該設(shè)備的遠(yuǎn)程管理功能，但該功能缺省會(huì)用到80端口，該端口很容易被黑客非法利用，不利于網(wǎng)絡(luò)的安全穩(wěn)定運(yùn)行。請問如何避免這種現(xiàn)象發(fā)生？

要想保護(hù)寬帶路由器遠(yuǎn)程管理安全，不妨將缺省的遠(yuǎn)程管理端口調(diào)整為陌生號(hào)碼，日后只有知道新端口的人，才能對路由器進(jìn)行遠(yuǎn)程管理。比方說，要將TP-Link無線路由器Web管理端口調(diào)整為“3456”時(shí)，只要先進(jìn)入路由器后臺(tái)系統(tǒng)管理界面，依次展開“安全設(shè)置”、“遠(yuǎn)端Web管理”節(jié)點(diǎn)，在對應(yīng)節(jié)點(diǎn)下面，將“Web管理端口”參數(shù)設(shè)置為“3456”。之后，在“遠(yuǎn)端Web管理IP地址”位置處，輸入可以對寬帶路由器進(jìn)行遠(yuǎn)程管理的計(jì)算機(jī)公網(wǎng)IP地址，單擊“保存”按鈕執(zhí)行設(shè)置保存操作，最后重啟寬帶路由器設(shè)備，這樣日后只有在特定計(jì)算機(jī)上，并輸入新的端口號(hào)碼，才能對寬帶路由器進(jìn)行遠(yuǎn)程管理。

為了管理安全，有的管理員會(huì)為路由器設(shè)置一個(gè)復(fù)雜的登錄密碼，但時(shí)間長了，很容易忘記該密碼。請問當(dāng)忘記登錄路由器后臺(tái)系統(tǒng)管理密碼時(shí)，該怎么辦呢？

有的路由器設(shè)備后面有一個(gè)復(fù)位功能按鈕，依照操作說明按住這個(gè)功能按鈕數(shù)秒會(huì)恢復(fù)默認(rèn)配置，登錄后臺(tái)系統(tǒng)的用戶名和密碼會(huì)被自動(dòng)恢復(fù)成默認(rèn)值。

為了保護(hù)思科路由器登錄安全，請問如何為不同登錄方式啟用復(fù)雜登錄密碼？

思科路由器同時(shí)支持多種設(shè)備登錄方式，比方說VTY（Telnet）、Console、AUX 等，只有為這些登錄方式啟用復(fù)雜登錄密碼，才能保證設(shè)備的安全穩(wěn)定運(yùn)行。VTY（Telnet）、Console、AUX等登錄方式，都屬于行模式的接口，要為這些登錄方式設(shè)置密碼，需要先以特權(quán)身份登錄路由器后臺(tái)系統(tǒng)，在特權(quán)模式狀態(tài)下使用“service password-encryption”命令，強(qiáng)制對明文密碼內(nèi)容執(zhí)行加密操作。之后使用“l(fā)ine console 0”命令，進(jìn)入Console登錄方式的行模式狀態(tài)，開始進(jìn)行登錄認(rèn)證配置，再依次執(zhí)行“Password )(*&po541276”、“l(fā)ogin”命令，將Console登錄認(rèn)證密碼設(shè)置為十分復(fù)雜的“)(*&po541276”內(nèi)容。最后輸入“exit”命令，退出Console登錄方式的行模式狀態(tài)，結(jié)束該方式的認(rèn)證密碼設(shè)置操作。

要配置VTY（Telnet）登錄方式的認(rèn)證密碼時(shí)，也是在特權(quán)模式狀態(tài)下，使用“Line vty 0 10”命令，進(jìn)入Telnet遠(yuǎn)程登錄方式的行模式狀態(tài)，開始進(jìn)行登錄認(rèn)證配置，這里的“10”表示同時(shí)啟用10個(gè)虛擬登錄接口，說明同時(shí)允許有10個(gè)用戶通過Telnet方式登錄到這臺(tái)路由器。之后依次執(zhí)行“Password )(*&po541276”、“l(fā)ogin”、“exit”命令，將Telnet方式登錄密碼設(shè)置為“)(*&po541276”，同時(shí)退出Telnet登錄方式的行模式狀態(tài)。再按照同樣方法，為AUX方式設(shè)置好合適的登錄認(rèn)證密碼。

H3C路由交換機(jī)鏈路層協(xié)議狀態(tài)、端口物理狀態(tài)都正常，與該交換端口直接相連的客戶端系統(tǒng)，向路由交換機(jī)傳送IP報(bào)文時(shí)，路由交換機(jī)卻無法成功對其進(jìn)行轉(zhuǎn)發(fā)，不知道是怎么回事？

遇到這種現(xiàn)象時(shí)，先要看看交換機(jī)有沒有開啟動(dòng)態(tài)路由功能，如果發(fā)現(xiàn)其還沒有開啟，那多半就是交換機(jī)的靜態(tài)路由存在錯(cuò)誤。這個(gè)時(shí)候，不妨切換到交換機(jī)后臺(tái)系統(tǒng)指定端口視圖模式狀態(tài)，在命令行狀態(tài)下執(zhí)行字符串命令“display ip routing-table protocol static”，從返回結(jié)果信息中看看交換機(jī)的靜態(tài)路由有沒有配置正確。在靜態(tài)路由配置正確的情況，繼續(xù)執(zhí)行命令“display ip routing-table”，檢查指定靜態(tài)路由是否工作正常。一般來說，在靜態(tài)路由啟用同時(shí)參數(shù)配置正確的情況下，路由交換機(jī)應(yīng)該能對數(shù)據(jù)報(bào)文執(zhí)行轉(zhuǎn)發(fā)操作。

有的局域網(wǎng)只能玩游戲或使用QQ，無法正常瀏覽網(wǎng)頁，請問這些現(xiàn)象與路由器有關(guān)嗎？

這種現(xiàn)象主要是DNS解析不當(dāng)?shù)膯栴}，可能與路由器有一定關(guān)系。建議用戶在路由器和計(jì)算機(jī)系統(tǒng)手動(dòng)設(shè)置好正確的DNS服務(wù)器地址。

邊界路由器作為單位內(nèi)網(wǎng)和外網(wǎng)的連接“樞紐”，它的安全性能與單位內(nèi)網(wǎng)的運(yùn)行狀態(tài)息息相關(guān)，如果它自身的安全不能保障，那么單位內(nèi)網(wǎng)也幾乎沒有安全可言。請問如何提高邊界路由器自身的安全防護(hù)能力呢？

可以采取下面的措施來提升邊界路由器自身的安全能力：一是建立嚴(yán)格過濾規(guī)則，因?yàn)橥ㄟ^正確使用過濾規(guī)則，可以很輕松地將惡意攻擊屏蔽在本地網(wǎng)絡(luò)之外。二是嚴(yán)格規(guī)范使用密碼，例如為邊界路由器設(shè)置不容易被猜出的登錄密碼，為邊界路由器的Consol端口設(shè)置相對復(fù)雜的密碼，為特殊情況下的路由器遠(yuǎn)程訪問操作設(shè)置特權(quán)密碼等等。三是學(xué)會(huì)分析日志記錄，因?yàn)樗羞M(jìn)出本地網(wǎng)絡(luò)的全部通信狀況都會(huì)被自動(dòng)記錄下來，對這些記錄進(jìn)行分析后，能及時(shí)發(fā)現(xiàn)潛藏在本地網(wǎng)絡(luò)中的各種安全威脅。比如說，通過查看分析連接到Internet的日志記錄，可以判斷出本地網(wǎng)絡(luò)中是否有間諜軟件程序或特洛伊木馬程序在與外部網(wǎng)絡(luò)建立連接，通過查看進(jìn)網(wǎng)記錄，能了解到惡意用戶對本地網(wǎng)絡(luò)進(jìn)行了哪些操作，操作是在什么時(shí)間進(jìn)行的。四是禁用一些無關(guān)服務(wù)，例如禁用默認(rèn)的Http管理服務(wù)、IP直接廣播服務(wù)、常用的SNMP服務(wù)以及ICMP ping請求、IP源路由等服務(wù)。

在升級路由器后臺(tái)系統(tǒng)的時(shí)候，經(jīng)常會(huì)遭遇一些意外而無法順利升級的問題。請問如何才能保證路由器升級順暢？

首先關(guān)閉系統(tǒng)防火墻。為了防止系統(tǒng)防火墻干擾路由器后臺(tái)系統(tǒng)升級操作，建議在正式升級之前，關(guān)閉系統(tǒng)自帶防火墻的運(yùn)行狀態(tài)。其次選準(zhǔn)升級版本文件。要是升級文件選擇不準(zhǔn)確，在升級過程中會(huì)出現(xiàn)“請檢查文件名是否正確”的提示信息。選擇升級文件時(shí)，既要根據(jù)設(shè)備型號(hào)進(jìn)行選擇，又要根據(jù)硬件版本進(jìn)行選擇，只有升級文件同時(shí)匹配型號(hào)信息和硬件版本，才能保證升級成功。第三部署TFTP服務(wù)器。為了能讓路由器后臺(tái)系統(tǒng)正確讀取到下載得到的最新升級文件，在進(jìn)行升級操作之前，我們必須先運(yùn)行升級文件包中的“tftpd32.exe”文件，以便將本地計(jì)算機(jī)部署成為簡易的TFTP服務(wù)器。這樣，當(dāng)我們在路由器后臺(tái)系統(tǒng)打開升級頁面，在“文件名”位置處輸入擴(kuò)展名為“bin”的升級文件路徑時(shí)，路由器才能正確讀取到指定文件中的內(nèi)容，從而保證系統(tǒng)升級成功。第四是排除其他一些干擾。例如，在升級固件過程中，一定不能斷電；要關(guān)閉所有正在運(yùn)行的程序，特別是要關(guān)閉殺毒軟件和屏幕保護(hù)程序；盡量從設(shè)備官方站點(diǎn)頁面中下載固件程序和刷新升級工具，同時(shí)保證固件版本要與設(shè)備的硬件型號(hào)保持吻合；不要通過無線網(wǎng)絡(luò)進(jìn)行升級操作；升級結(jié)束后，必須及時(shí)進(jìn)行手工重啟，確保升級操作進(jìn)行到底。

征稿函

欄目定位：

基礎(chǔ)設(shè)施管理包括對硬件、軟件和人力的使用、綜合與協(xié)調(diào)，以便對網(wǎng)絡(luò)資源進(jìn)行監(jiān)視、測試、配置、分析、評價(jià)和控制。

同時(shí)也征集您在網(wǎng)絡(luò)管理方面遇到的問題、疑惑。

文章選材（不限于以下議題，可自由發(fā)揮）：

1.設(shè)備運(yùn)維：介紹、分析硬件設(shè)備的維修、保養(yǎng)、管理、配置、優(yōu)化的經(jīng)驗(yàn)技巧。

2.網(wǎng)管軟件：介紹網(wǎng)絡(luò)管理工作中相關(guān)的工具軟件，使用方法、實(shí)現(xiàn)目的、網(wǎng)絡(luò)情況的前后對比效果。

3.網(wǎng)管經(jīng)驗(yàn)：在以往的網(wǎng)絡(luò)管理工作中的設(shè)計(jì)、實(shí)施、經(jīng)驗(yàn)教訓(xùn)。

4.機(jī)房與數(shù)據(jù)中心（實(shí)用性）：對企業(yè)和數(shù)據(jù)中心中的IT基礎(chǔ)設(shè)施以及硬件設(shè)備的維修、保養(yǎng)、管理、配置、優(yōu)化的經(jīng)驗(yàn)技巧。文章強(qiáng)調(diào)實(shí)用性，可操作性和可靠性，有總結(jié)的內(nèi)容。

5.機(jī)房與數(shù)據(jù)中心（概念性）：機(jī)房與數(shù)據(jù)中心中UPS、布線、路由交換、監(jiān)控管理、機(jī)柜機(jī)架、空調(diào)制冷、規(guī)章制度等的說明、總結(jié)與展望，可對現(xiàn)有情況進(jìn)行總結(jié)和對新技術(shù)、新產(chǎn)品的評定、評測等。投稿信箱：netadmin@365master.com