路由后臺系統配置問答

江蘇 孫秀洪

Q 眾所周知，在Windows 操作系統中，用戶可以通過修改系統注冊表的方法，調整telnet 功能默認的端口號碼，請問在cisco路由器后臺系統中，有沒有辦法調整telnet 功能缺省的端口號碼？

答：答案是肯定的！用戶可以先以系統管理員權限登錄進入cisco 路由器后臺系統，再將其切換到線路配置模式狀態，在該狀態下通過路由器后臺系統自帶的rotary 命令，就能隨意修改telnet 功能的端口號碼。例如，要將默認的21 端口號碼修改成2222時，只要執行“rotary 2222”命令就可以了；當然，要想成功使用新的端口號碼，用戶還需要將路由器切換到全局配置模式狀態，在該狀態下通過ACL 禁止先前的缺省21 號端口，只要執行“access-list 101 deny tcp any any eq 21”字符串命令即可。

Q Quidway S8500 路由交換機支持回路監測功能，借助該功能可以快速定位網絡中的回路位置，可該功能有時不能隨意使用，不知是什么原因？

答：要是隨意使用這項功能，可能會對其他網段工作狀態造成影響。例如，要是交換機某端口工作在Trunk 模式，那么該端口下面要是包含了多個網段，此時如果隨意啟用回路監測受控功能，那么只要一個網段中存在回路，那么其他網段的工作狀態都會受到影響。一般來說，匯聚層交換機某端口下面連接的交換機支持并啟用回路監測功能時，那么就能將該端口設置成Trunk 模式，并且啟用回路監測功能，不過要關閉回路監測受控功能。如果下掛的交換機不支持回路監測功能，可以啟用端口回路監測功能，回路監測受控功能也能同時運行。

Q 為了便于管理寬帶路由器，不少管理員會啟用該設備的遠程管理功能，但該功能缺省會用到80 端口，該端口很容易被黑客非法利用，不利于網絡的安全穩定運行。請問如何避免這種現象發生？

答：要想保護寬帶路由器遠程管理安全，不妨將缺省的遠程管理端口調整為陌生號碼，日后只有知道新端口的人，才能對路由器進行遠程管理。

比方說，要將TP-Link 無線路由器Web 管理端口調整為“3456”時，只要先進入路由器后臺系統管理界面，依次展開“安全設置”、“遠端Web管理”節點，在對應節點下面，將“Web 管理端口”參數設置為“3456”。之后在“遠端Web管理IP 地址”位置處，輸入可以對寬帶路由器進行遠程管理的計算機公網IP 地址，單擊“保存”按鈕執行設置保存操作，最后重啟寬帶路由器設備，這樣日后只有在特定計算機上，并輸入新的端口號碼，才能對寬帶路由器進行遠程管理。

Q 大家知道，如果用戶在網絡中傳輸下載大容量信息時，那么網絡傳輸通道就很容易被堵塞。為避免網絡堵塞現象不斷發生，很多網管員都對H3C 路由交換機配置了流量控制功能，利用該功能及時將本地堵塞狀態報告給對方交換端口，希望對方暫時不要繼續向它發送數據信息，以防止堵塞現象更加嚴重。那么，流量控制功能該如何啟用呢？

答：流量控制功能只能在路由交換機的端口視圖模式下進行，為此我們先要在交換機后臺系統，通過“systemview”命令進入全局視圖模式，并執行“interface g2/1/2”之類的命令進入指定端口視圖狀態，在命令行狀態下輸入“flow-control”命令，端口流量控制功能就立即生效了。在默認狀態下，H3C 路由交換機的所有交換端口并沒有開啟流量控制功能，我們必須依照實際需要來開啟該功能。日后要想暫時取消某個交換端口的流量控制功能時，只要在指定端口視圖狀態下，輸入“undo flow-control”命令即可。

Q 為了讓路由器按需工作，系統管理員一般都要對其進行合適設置。可是在設置路由器后臺系統參數時，經常會遇到無法登錄路由器后臺系統管理頁面的故障，遇到這種故障時該如何來進行排查？

答：在初次登錄路由器后臺系統時，需要檢查客戶機與路由器之間的物理連接是否正常，客戶機的IP 地址是否和路由器LAN 口處于相同的一個網段。如果上述操作仍不能登錄路由器后臺系統，可以嘗試將路由器恢復為出廠設置。

要是用戶自行調整過路由器的管理端口，那么需要在IE 瀏覽器窗口的地址欄中輸入“http://路由器管理端口IP:具體號碼”，比方說輸入“http://192.168.1.1:8080”，才能登錄路由器后臺系統。倘若之前能成功登錄路由器后臺系統，現在不能登錄路由器，那很可能是他人調整過路由器的配置或缺省的80 端口遭遇攻擊，這時不妨重啟或復位路由器，調整路由器后臺系統的管理端口，換用別的登錄賬號和密碼。

在復位都無法解決問題的情況下，多半是路由器遭受了ARP 欺騙攻擊，建議認真找出欺騙源、查殺病毒或將其隔離。當然，也有可能是IE 瀏覽器自身問題，例如瀏覽器啟用了代理功能后，就可能無法登錄路由器，這時不妨打開IE 瀏覽器窗口，依次點擊“工具”、“Internet 選項”命令，彈出Internet 選項設置對話框，點擊“連接”標簽，在對應標簽頁面的“局域網設置”位置處，點擊“設置”按鈕，在其后界面中請確定“代理服務器”的“為LAN 使用代理服務器”選項處于取消選中狀態，如果已經被勾選時，應該立即取消。

Q 某網絡管理員嘗試從路由器后臺系統，使用ping 命令測試局域網中目標主機的連通性時，發現該主機的IP 地址始終無法ping 通，不知道為何？

答：首先檢查目標主機系統是否禁用了ping 命令測試功能，一旦該系統啟用了防火墻或者進行了包過濾，那么路由器就可能無法ping 通該主機的IP 地址。在排除主機系統因素后，再檢查交換機的網絡配置是否正確；在確認網絡配置正確的情況下，查看目標主機與交換機相連端口究竟位于哪個VLAN，該VLAN 有沒有配置VLAN 接口參數，VLAN接口的IP 地址與目標主機的IP 地址是否處于相同的工作子網。

在上述配置都正確的情況下，不妨打開交換機的ARP 調試開關，檢查交換機能不能正常發送或接收ARP 數據報文，要是發現交換機只能發送而無法接收ARP 數據報文時，那問題可能出在以太網物理層上。最后檢查路由器與交換機之間的連通性是否正常，如果不正常，那問題可能就出在交換機和路由器之間的鏈路中。

Q 某局域網共有80 多臺計算機，這些計算機分別連接到各個樓層交換機，再通過H3C S8500 系列路由交換機上網訪問。最近幾天，總有用戶在抱怨，說他們的計算機上網速度很慢，有時連簡單網頁都打不開，網管員懷疑有人悄悄在進行BT 下載，請問如何準確知道誰在悄悄下載，或者能有效控制用戶的下載操作？

答：只要在局域網中部署sniffer 這樣的監控工具，通過這些監控工具的數據流量視圖，就可以十分輕松地看到局域網中究竟哪臺計算機的數據流量比較大了，這些流量不正常的計算機，自然是有人在偷偷進行BT 下載操作了。

當然，由于這里的H3C S8500 系列路由交換機支持流量查看功能，我們可以在交換機后臺系統命令行狀態執行“display dia”命令，查看核心交換機所有交換端口的流量變化狀態，這樣也能找到悄悄進行BT 下載操作的計算機系統。如果想有效控制用戶的惡意下載行為，不妨利用聚生網管、超級網管、網路崗之類的專業工具，來對下載操作進行嚴格控制。

Q 最近，筆者發現單位局域網核心路由交換機的VRRP 狀態頻繁轉換，不知道為什么會出現這種現象？

答：這種問題多半是備份組的定時器間隔時間設置比較短引起的，此時只要嘗試延長這個時間間隔，或者啟用搶占延遲，說不定就能避免VRRP 狀態頻繁轉換。

Q 為了保護思科路由器登錄安全，請問如何為不同登錄方式啟用復雜登錄密碼？

答：思科路由器同時支持多種設備登錄方式，比方說VTY（Telnet）、Console、AUX 等，只有為這些登錄方式啟用復雜登錄密碼，才能保證設備的安全穩定運行。VTY（Telnet）、Console、AUX 等登錄方式，都屬于行模式的接口，要為這些登錄方式設置密碼，需要先以特權身份登錄路由器后臺系統，在特權模式狀態下使用“service passwordencryption”命令，強制對明文密碼內容執行加密操作。之后使用“line console 0”命令，進入Console 登錄方式的行模式狀態，開始進行登錄認證配置，再依次執行“Password)(*&po541276”、“login”命令，將Console 登錄認證密碼設置為十分復雜的“)(*&po541276”內容。最后輸入“exit”命令，退出Console 登錄方式的行模式狀態，結束該方式的認證密碼設置操作。

要配置VTY（Telnet）登錄方式的認證密碼時，也是在特權模式狀態下，使用“Line vty 0 10”命令，進入Telnet遠程登錄方式的行模式狀態，開始進行登錄認證配置，這里的“10”表示同時啟用10 個虛擬登錄接口，說明同時允許有10 個用戶通過Telnet 方式登錄到這臺路由器。之后依次執行“Password)(*&po541276”、“login”、“exit”命 令，將Telnet 方式登錄密碼設置為“)(*&po541276”，同時退出Telnet 登錄方式的行模式狀態。再按照同樣方法，為AUX方式設置好合適的登錄認證密碼。

Q 在嘗試建立Quidway S8500 路由交換機BGP 鄰居關系時，有時無法切換到Established 狀態，這樣就不能成功建立鄰居關系，這是什么原因呢？

答：一般來說，要成功建立BGP 鄰居關系，需要路由交換機能正確交換open 數據報文，以及開通179 端口創建TCP 會話。為此，需要進行下面幾項排查操作：一是借助ping 命令測試tcp 連接狀態是否正常，考慮到一臺路由器可能有若干接口可以達到對端，可以通過拓展的“ping -a ip 地址”命令指定發送ping 測試包的源IP 地址；二是檢查peer ebgpmax-hop 功能是否配置啟用，確認物理連接上是否有直接連接的EBGP 鄰居；三是通過display ip routing-table命令判斷本地路由表中有沒有到鄰居的可用路由；四是檢查鄰居的IP 地址、AS 號等參數配置是否正確；五是檢查ACL中有沒有對TCP179 端口進行限制，如果限制存在的話，必須及時予以解除。

Q Quidway S8500 路由交換機可以同時插入若干塊板卡，每塊板卡可以負載24 個光端口，每個端口的狀態都會影響板卡工作狀態，如果光端口輸入、輸出請求比較多，板卡就要耗費更多CPU 資源應付這些請求，如果CPU 資源消耗嚴重時，整塊板卡都可能無法工作。請問，如何判斷板卡的工作狀態是否正常？

答：為了及時了解板卡工作狀態，只要對它們的CPU 資源使用情況進行監控，要是發現CPU 消耗率在50%以上時，就要排查板卡上每個光端口的流量狀態是否正常了，直到找出不正常的端口，同時執行“shutdown”命令關閉端口工作狀態。在查看板卡CPU 資源消耗情況時，可以先將交換機系統切換到全局視圖模式狀態，通過“display cpu”命令，就能發現板卡最近五秒鐘、最近一分鐘、最近五分鐘的CPU 資源消耗情況了。除了CPU 消耗情況會影響板卡狀態，板卡溫度也會對其工作狀態產生影響，要是交換機散熱不良的話，那么板卡溫度將會持續上升，同時溫度的不斷攀升，會影響路由交換機的響應能力，嚴重時能造成交換機發生死機現象。所以，通過“display en”命令查看板卡溫度，也能判斷網卡的工作狀態是否正常。

Q 在規模大一些的局域網中，不少網管員會將Quidway S8500 核心路由交換機的DHCP中繼代理功能配置啟用起來，同時結合DHCP 服務器，為客戶機提供IP 地址分配服務。然而，核心路由交換機的DHCP 中繼代理狀態，會對客戶機的網絡連接狀態造成影響；不少客戶機不能獲取動態IP 地址，都是因為DHCP 中繼代理狀態不正常造成的。那么日后當再次遇到客戶機無法上網現象時，該怎樣來判斷核心交換機的中繼狀態正常呢？

答：先進入Quidway S8500核心路由交換機后臺系統全局視圖模式狀態，輸入字符串命 令“display dhcp-server GroupNo”，檢查指定的DHCP 服務器是否有效，也就是說，這里指向的DHCP 服務器地址與局域網中真實有效的DHCP 服務器地址是否相同，要是不相同的話，一定要重新修改過來。而且，從該命令返回的結果中，我們還能識別交換端口接收報文的狀態；一旦看到交換機只能接收discover 報文，而無法接收響應報文，那就說明局域網中的指定DHCP 服務器不能正常向交換機發送報文，此時應該認真檢查DHCP 服務器的工作狀態是否正常。在DHCP服務器狀態正常時，嘗試在其中通過ping 命令測試無法上網客戶機所在Vlan 的IP 地址，以便識別DHCP 服務器能否找到指定客戶機所在網段的路由，要是無法找到的話，那可能是DHCP 服務器的網關地址沒有配置好，此時只要將該網關地址配置為客戶機所在Vlan接口的IP 地址就能解決問題了。

Q 在H3C 路由交換機開啟了DHCP 中繼功能的情況下，局域網的DHCP 服務器與普通客戶端系統位于相同的工作網段，但是普通客戶端系統始終不能獲取有效的上網地址，不知道該怎么解決？

答：出現上述故障，多半是網絡連接不通暢、DHCP 服務未開啟、DHCP 服務器沒有對地址池參數進行正確配置等因素引起的。此時，可以借助專業線纜測試工具判斷網絡線纜的連通性是否正常，在網絡通暢的情況下，進入交換機后臺系統視圖界面，在該狀態下執行“dhcp enable”命令，開啟DHCP 服務。之后，正確配置包含或與接收接口IP 地址在相同網段的地址池，以及正確配置與接口IP 地址網段相同的地址池網段。如果上述配置都正常的情況下，可以使用“display dhcp server expired all”命令判斷地址有沒有存在過期租約現象，要是存在的話，可以執行“reset dhcp server ip-in-use”命令，將那些過期租約成功刪除掉。要是還無法解決問題時，可以嘗試擴大配置的地址池網段，確保有足夠的地址可以分配利用。

Q ARP 病毒攻擊現象在網絡中經常發生，每次發生病毒攻擊現象后，華三系列路由交換機幾乎都能將病毒造成的地址沖突記錄保存下來，那么日后依照沖突記錄，能快速定位具體染毒的客戶機嗎？

答：很簡單！先在后臺系統全局模式狀態下執行“dis logbuff”命令，查看系統日志信息，找到地址沖突記錄，記下染毒的客戶機MAC 地址，以及它所處的VLAN；依照VLAN 內容，查找局域網組網資料，得到客戶機所連交換機IP 地址；遠程登錄接入交換機后臺系統，通過“disp mac-address”命令，來獲取對應交換端口與MAC 地址映射記錄，依照病毒主機MAC 地址，找到病毒主機所連的交換端口；進入特定交換端口視圖模式狀態，利用“shutdown”命令，斷開客戶機與局域網的連接，避免ARP 病毒繼續攻擊局域網；之后在交換端口查看線纜上的標簽說明，或者順著線纜，找到染毒的客戶機；借助專業工具將ARP病毒查殺干凈，再將客戶機重新接入局域網即可。

Q 局域網中的客戶機無法上網訪問時，網管員利用“display vrrp”命令觀察H3C路由交換機VRRP 備份組中每個路由器工作狀態時，竟然看到有若干個VRRP 路由器同時工作于Master 狀態，不知道該如何解決？

答：出現這種問題時，可以按照下面的順序進行逐一排查：首先查看每個路由器VRRP配置是否相同，重點檢查它們的認證字內容、認證方式、VRRP報文廣播間隔時間、虛擬IP 地址等參數是否相同，如果發現不相同時，應該及時將它們修改過來，因為VRRP 要求組成備份組的所有路由器參數配置必須相同。

其次查看通信端口的互通性，看看每個路由器相互連接端口有沒有工作在up 狀態。在進行檢查操作時，重點看看互連端口的配置參數，要是端口屬于trunk 或hybrid類型，要檢查它們的PVID 是否相同，有沒有對VRRP 備份組所在VLAN 放行，各個端口有沒有配置啟用802.1x 等協議，同時看看它們有沒有由于LACP、STP、Smart-link、RRPP 等協議而阻塞，再利用“display interface”命令觀察連接端口有沒有大量錯誤的數據報文存在。

第三查看VRRP 數據報文的收發狀態，開啟VRRP 調試開關功能，判斷VRRP 數據報文的收發狀態是否正常，要是無法看到VRRP 數據報文調試信息時，不妨開啟IP 數據報文調試功能進行查看。

第四查看路由交換機后臺系統CPU 的占用情況，在命令行狀態執行命令“display cpu-usage”，看看VRRP 數據報文互通的板卡和主板卡CPU消耗率是否超過90%，執行命令“display interface”看看端口數據流量是否正常，以判斷網絡中有沒有廣播風暴現象存在。一旦發現網絡風暴現象存在，那么VRRP 數據報文將不能正常傳輸給系統CPU 處理，VRRP 狀態自然就不正常了。

Q 不少黑客往往會向局域網中發送虛假的TC-BPDU 報文，對核心路由交換機實施欺騙攻擊，要是核心路由交換機在短時間內接受到太多的TC-BPDU報文，那么系統就會頻繁刪除MAC 地址列表或ARP 列表操作，這樣的操作很容易造成交換機反應遲鈍現象，請問如何預防這種欺騙攻擊？

答：可以配置啟用核心路由交換機自帶的預防TC-BPDU報文攻擊保護功能，當配置了這項功能后，交換機日后接受到TC-BPDU 報文，缺省每隔10秒鐘刪除一次MAC 地址列表或ARP 列表，避免了頻繁刪除操作消耗太多的系統資源，同時在這段時間內，預防TC-BPDU報文攻擊保護功能還會同時監控交換機是否接受到其他TCBPDU 報文，要是接受到的話，就會強制后臺系統在指定時間段后，再刪除一次ARP 列表記錄和MAC 地址列表記錄，確保刪除操作不會太頻繁。在配置這項功能時，可以在系統全局模式狀態下，輸入“stp tcprotection enable”命令即可。

Q 有時候，無法查看到Quidway S8500 路由交換機ospf 的鄰接狀態，不知道是什么原因？

答：要是命令的輸出中看不到鄰接狀態，那么就證明連接有問題或ACL 配置不當。此時，可以使用display interface 命令，確認交換端口是否up，line protocol 是否up，如果不正確的話，那就證明網絡鏈路有問題。

使用ping 命令檢查能否ping 通鄰居路由交換機的接口；要是能ping 通的話，需要使用display ospf interface命令檢查是否所有的鄰居路由器對應接口上的ospf 功能是否都啟用了，檢查端口有沒有被設置成passive 接口，因為在ospf passive 接口上不會發送hello 包。當然，還要對路由交換機的ACL 配置進行檢查。