目錄1.1 管理密碼丟失1.3 端口映射不成功1.4 設(shè)置ARP 雙向綁定（針對客戶端為靜態(tài)分配地址的情況）1.6 上網(wǎng)速度慢，玩游戲卡1.7 無法遠(yuǎn)程訪問路由器1.8 升級過程中出現(xiàn)問題解答1.10

目錄

1.1 管理密碼丟失

1.3 端口映射不成功

1.4 設(shè)置ARP 雙向綁定（針對客戶端為靜態(tài)分配地址的情況）

1.6 上網(wǎng)速度慢，玩游戲卡

1.7 無法遠(yuǎn)程訪問路由器

1.8 升級過程中出現(xiàn)問題解答

1.10 如何設(shè)置端口限速和網(wǎng)絡(luò)連接數(shù)，并查看端口/IP流量

1.11 如何限制某些應(yīng)用

1.12 如何劃分VLAN ，實(shí)現(xiàn)單臂路由，禁止網(wǎng)段間互訪

1.14 企業(yè)、網(wǎng)吧、酒店典型組網(wǎng)配置

1.16 如何抓包

1 常見問題處理

1.1 管理密碼丟失

? 將管理計(jì)算機(jī)的串口通過配置線纜與路由器的Console 口相連，在命令行下輸入password 命令并回車，按照系統(tǒng)提示，輸入新密碼，并重新輸入一次以確認(rèn)即可。 ? 恢復(fù)出廠設(shè)置。

1.2 恢復(fù)出廠設(shè)置

? 登錄Web 頁面，單擊“恢復(fù)到出廠設(shè)置”中的<復(fù)原>按鈕恢復(fù)設(shè)備到出廠設(shè)置（頁面向?qū)В涸O(shè)備管理→基本管理→配置管理）。

? 管理計(jì)算機(jī)串口連接或Telnet 到設(shè)備，命令行下輸入restore default命令并回車，確認(rèn)后，路由器將恢復(fù)到出廠設(shè)置并重新啟動(dòng)。

1.3 端口映射不成功

常見的端口映射不成功的原因及處理方法，如下：

1. 運(yùn)營商原因

一般較常見的如80端口無法映射成功，內(nèi)網(wǎng)訪問正常。

處理方法：聯(lián)系運(yùn)營商解決或者將映射的外部端口更換為其他端口。

其他測試驗(yàn)證方法：可以選擇將外部端口更換為其他端口（如8099）測試，遠(yuǎn)程訪問時(shí)格式為：http://XXX.XXX.XXX.XXX:8099，測試是否訪問正常來確認(rèn)是否該原因引起。

2. 服務(wù)器配置原因

內(nèi)網(wǎng)訪問正常，但是外網(wǎng)通過端口映射訪問不成功。

處理方法：請檢查服務(wù)器配置，特別是安全策略或者防火墻設(shè)置，確認(rèn)是否沒有開放非本地網(wǎng)段的訪問權(quán)限或者其他安全策略設(shè)置問題。

其他測試驗(yàn)證方法：可以采用某臺XP 系統(tǒng)的客戶端主機(jī)開啟遠(yuǎn)程協(xié)助（當(dāng)然也同樣需要先驗(yàn)證一下內(nèi)網(wǎng)其他PC 是否能遠(yuǎn)程登入）并在路由器上配置映射3389端口來驗(yàn)證路由器的端口映射功能是否正常。

3. 端口未全部映射

內(nèi)網(wǎng)訪問正常，一對一NAT 也正常，但是外網(wǎng)通過端口映射訪問不成功。

處理方法：某些應(yīng)用（特別如語音、監(jiān)控系統(tǒng)等）在實(shí)際工作過程中需要用到多個(gè)端口通信，而客戶實(shí)際可能只配置了一個(gè)或者部分端口的映射，請抓包確認(rèn)整個(gè)通信過程中用到的所有端口，并確認(rèn)是否均已設(shè)置映射。

其他測試驗(yàn)證方法：嘗試將服務(wù)器設(shè)置為DMZ 主機(jī)或者配置一對一NAT （外網(wǎng)地址不能是WAN 口地址）驗(yàn)證是否正常來確認(rèn)是否該原因引起。

4. 配置問題

客戶在防火墻、MAC 過濾等規(guī)則中添加了過濾規(guī)則，阻止了映射端口或者映射服務(wù)器的正常通信。

處理方法：檢查路由器規(guī)則類相關(guān)配置，查看是否將映射的端口或者服務(wù)器過濾。 其他測試驗(yàn)證方法：可采用禁用防火墻、MAC 過濾等功能來排查，常見的為防火墻配置了入站或者出站通信策略引起。

1.4 設(shè)置ARP 雙向綁定（針對客戶端為靜態(tài)分配地址的情況）

1. 路由器端ARP 綁定

將局域網(wǎng)中的主機(jī)ARP 綁定為靜態(tài)表項(xiàng)，具體方法見手冊（頁面向?qū)В喊踩珜^(qū)→ARP 安全→ARP 綁定）。

2. 主機(jī)端ARP 綁定

主機(jī)端（開始→運(yùn)行→CMD 窗口）將路由器地址添加到靜態(tài)ARP 表中，命令：arp –s 路由器的IP 地址路由器MAC 地址

1.5 局域網(wǎng)部分或者全網(wǎng)PC 掉線、無法訪問Internet

1. 受到ARP 攻擊或者ARP 欺騙導(dǎo)致（此類情況最普遍）

(1)掉線的PC Ping不通網(wǎng)關(guān)地址；

(2)掉線的PC 能ping 通網(wǎng)關(guān)地址，但是有丟包；

(3)掉線PC ping不通網(wǎng)關(guān)，Ping 主交換機(jī)下的其他PC 或者服務(wù)器能通。 處理方法：

如果全網(wǎng)掉線的PC 無法ping 通網(wǎng)關(guān)，無法登入網(wǎng)關(guān)，需要先拔掉所有WAN 口所接的網(wǎng)線，即對應(yīng)的上行鏈路，再嘗試ping 網(wǎng)關(guān)或者登錄網(wǎng)關(guān)，以此來確定是內(nèi)網(wǎng)問題還是外網(wǎng)攻擊問題引起。

? 如果此時(shí)能ping 通網(wǎng)關(guān)，那么很有可能是外網(wǎng)攻擊導(dǎo)致，請確認(rèn)設(shè)備相關(guān)防攻擊功能是否開啟，WAN 口運(yùn)營商側(cè)網(wǎng)關(guān)ARP 是否已經(jīng)靜態(tài)綁定，并聯(lián)系運(yùn)營商協(xié)助解決。

? 如果此時(shí)掉線PC 依然無法ping 通網(wǎng)關(guān)，則可能為內(nèi)網(wǎng)問題，請參考如下步驟：

1、在掉線PC 上MS-DOS 窗口通過arp –d 清掉當(dāng)前ARP 信息， arp -s來重新綁定網(wǎng)關(guān)的ARP 。例如arp –s 192.168.1.1 00-23-89-32-35-67（MAC 地址為路由器LAN 口對應(yīng)的MAC ）。

2、請檢查路由器ARP 綁定設(shè)置是否綁定了內(nèi)網(wǎng)各主機(jī)的ARP 信息，可以采用靜態(tài)和動(dòng)態(tài)綁定功能實(shí)現(xiàn)，具體配置步驟參見產(chǎn)品手冊！（頁面向?qū)В喊踩珜^(qū)→ARP 安全→ARP 綁定）

2. 路由器下掛交換機(jī)的問題導(dǎo)致

掉線PC ping網(wǎng)關(guān)不通，Ping 主交換機(jī)下的其他PC 或者服務(wù)器也不通。 處理方法：

(1)掉線PC 長ping 網(wǎng)關(guān)時(shí)，請觀察與掉線PC 相連的各級交換機(jī)各端口指示燈的狀

態(tài)，如果交換機(jī)端口依然常亮，代表交換機(jī)或者相連網(wǎng)線存在問題。

(2)如果是全網(wǎng)掉線，需要特別注意主交換機(jī)的各個(gè)端口指示燈情況（特別是連接路

由器的端口指示燈）是否正常閃爍。必要時(shí)可以重啟主交換機(jī)觀察是否能夠恢復(fù)。

(3)掉線PC 長ping 網(wǎng)關(guān)時(shí)，請觀察路由器與主交換機(jī)級聯(lián)的路由器LAN 端口指示

燈是否正常閃爍，如果指示燈常亮，可以嘗試更換一個(gè)LAN 觀察，如果還是常亮，掉線PC ping 不通網(wǎng)關(guān)，請直接將一臺PC 接在路由器LAN 口，拔掉路由器與交換機(jī)級聯(lián)的端口，PC 嘗試ping 網(wǎng)關(guān)地址，如果此時(shí)能ping 通，說明非路由器問題。如果此時(shí)還是依然ping 不通網(wǎng)關(guān)，并確認(rèn)PC 的IP 地址配置與路由器管理地址在同一網(wǎng)段，那可能就是路由器異常了，必要時(shí)可以重啟路由器觀察是否能夠恢復(fù)。

(4)另外如果是全網(wǎng)掉線，可以嘗試在某臺掉線PC 上長ping 網(wǎng)關(guān)地址，然后逐一插

拔主交換機(jī)上連接分交換機(jī)的各個(gè)端口網(wǎng)線，觀察掉線PC 能否ping 通網(wǎng)關(guān)，以此來判斷是局域網(wǎng)內(nèi)哪臺交換機(jī)底下的PC 出現(xiàn)異常導(dǎo)致。

3. 病毒等大流量攻擊導(dǎo)致

(1)請查看路由器上是否已經(jīng)啟用了IP 流量限制（頁面向?qū)В篞oS 設(shè)置→流量管理

→IP 流量限制）。QoS 的具體限速值選擇方法參考“1.10 如何設(shè)置端口限速和網(wǎng)絡(luò)連接數(shù)，并查看端口/IP流量”關(guān)于端口限速的設(shè)置問題。

(2)查看路由器上是否已經(jīng)啟用了網(wǎng)絡(luò)連接數(shù)限制（頁面向?qū)В篞oS 設(shè)置→連接限制

→網(wǎng)絡(luò)連接限數(shù)）。典型值為每IP 分配1000-2000。

4. 掉線PC 異常流量太大或者中毒，被路由器加入到黑名單中導(dǎo)致

登錄路由器查看黑名單列表中是否存在掉線PC （頁面向?qū)В喊踩珜^(qū)→防攻擊→異常流量防護(hù)），如果存在，選中它并將其刪除或等待生效時(shí)間之后再觀察是否恢復(fù)正常，或者可以選擇安全等級為中，即將主機(jī)的上行流量控制在10Mbps 范圍內(nèi)。

5. 運(yùn)營商網(wǎng)絡(luò)問題導(dǎo)致

能Ping 通同一交換機(jī)下的其他PC 、主交換機(jī)下的服務(wù)器地址和路由器地址，但Ping 不通路由器的上層運(yùn)營商網(wǎng)關(guān)或者DNS 地址，通過路由器中的診斷工具ping DNS和外網(wǎng)地址也不通。

處理方法：運(yùn)營商側(cè)網(wǎng)絡(luò)可能出現(xiàn)了問題，需要聯(lián)系運(yùn)營商進(jìn)行確認(rèn)解決。

6. 域名解析服務(wù)器（DNS ）異常導(dǎo)致

能Ping 通網(wǎng)關(guān)地址，QQ 也能上，或者下載正常，但是所有網(wǎng)頁打不開。

處理方法：可能是域名解析服務(wù)器（DNS ）異常導(dǎo)致，可以將掉線PC 的DNS 地址靜態(tài)設(shè)置為運(yùn)營商提供的DNS 地址觀察，或者可以更換一個(gè)新的DNS 地址觀察能否恢復(fù)。

1.6 上網(wǎng)速度慢，玩游戲卡

1. QoS限速不合理（限速過大，使得部分PC 占用過多帶寬或限速過小）導(dǎo)致

確認(rèn)是否在路由器上啟用了IP 流量限制，并設(shè)置了合適的限速值，路由器的各WAN 口帶寬是否已經(jīng)填入了實(shí)際帶寬值（頁面向?qū)В篞oS 設(shè)置→流量管理→IP 流量限制）。 不同應(yīng)用場合下的推薦設(shè)置及描述請參見下表：

2. 路由配置不合理導(dǎo)致（使用雙線路上網(wǎng)時(shí)）

該問題一般出現(xiàn)在雙WAN 的路由器且兩條線路運(yùn)營商不同的情況下，且有以下現(xiàn)象： ? 訪問部分門戶網(wǎng)站慢

? 部分游戲卡

處理方法：

(1)一般來說，需要將雙WAN 的均衡模式選擇為手動(dòng)均衡，默認(rèn)鏈路選擇當(dāng)?shù)剌^為

穩(wěn)定的運(yùn)營商線路或者帶寬較大的線路。均衡路由表里需要導(dǎo)入另一條運(yùn)營商鏈路對應(yīng)的路由表（常用路由表可在H3C 官方網(wǎng)站中獲取：首頁>服務(wù)支持>軟件下載>路由器>ER雙WAN 路由器基礎(chǔ)路由表）。

(2)使用tracert 命令在游戲卡或者上網(wǎng)慢的主機(jī)上查看到達(dá)該網(wǎng)站或者該游戲服務(wù)

器的路由是從哪個(gè)接口出去的（參考步驟（4））。（例如：某網(wǎng)站的地址為電信地址，而路由卻從連接網(wǎng)通線路的WAN 接口出去了，則只需要添加一條靜態(tài)路由（頁面向?qū)В焊呒壴O(shè)置→路由設(shè)置→靜態(tài)路由），使其從連接電信線路的WAN 接口出去便可以解決此問題。）

(3)北方部分用戶使用雙WAN 路由器按步驟（1）正確配置后，部分游戲或者網(wǎng)頁（如

QQ 類等），仍存在慢或者卡的問題，查看路由，確實(shí)走對了鏈路，這時(shí)需要將游戲卡或者網(wǎng)頁慢的服務(wù)器地址（一般為電信地址）找出來（參考步驟（4）），通過設(shè)置靜態(tài)路由或者策略路由使其從聯(lián)通接口出去即可解決。

(4)找出對應(yīng)網(wǎng)站的服務(wù)器地址的方法：開始菜單→運(yùn)行→輸入“CMD ”，在彈出窗

口輸入ping 訪問慢的網(wǎng)站地址即可，例如ping www.baidu.com 。接下來顯示的IP 地址即為該網(wǎng)站對應(yīng)的服務(wù)器地址。找出對應(yīng)游戲服務(wù)器地址的方法：在某PC 上退出其他所有應(yīng)用程序，只打開該游戲，然后在系統(tǒng)開始菜單→運(yùn)行→輸入“CMD ”，在彈出窗口輸入“netstat –bn ”，找到對應(yīng)游戲進(jìn)程的Foreign Address 地址，即為該游戲所對應(yīng)的服務(wù)器地址。（使用該方法還可以快速找到游戲?qū)?yīng)端口，在一些企業(yè)中可以將該游戲端口通過防火墻功能封掉，參見1.13）

(5)查看對應(yīng)地址屬于哪個(gè)運(yùn)營商的方法：此類查詢網(wǎng)站很多，直接在百度里搜索IP

地址查詢即可找到。如www.ip138.com 。

3. 路由器受攻擊、負(fù)荷太重或下掛交換機(jī)級聯(lián)端口出現(xiàn)擁塞導(dǎo)致

Ping 路由器LAN 接口地址延時(shí)很大或有丟包。

處理方法：查看CPU 和內(nèi)存的利用率情況（頁面向?qū)В合到y(tǒng)監(jiān)控→運(yùn)行信息→性能監(jiān)視）。

? 如果CPU 利用率很高，很可能是內(nèi)/外網(wǎng)中存在攻擊或者路由器負(fù)荷太重；

? 如果CPU 利用率正常，那可能就是內(nèi)網(wǎng)的問題，查看下接交換機(jī)是否負(fù)荷太重或者網(wǎng)線干擾、水晶頭松動(dòng)等其他原因。

4. 路由器上層問題導(dǎo)致

Ping 路由器LAN 口地址、WAN 口地址正常，但Ping 打開很慢的網(wǎng)站或者Ping 玩游戲卡的服務(wù)器地址出現(xiàn)延時(shí)很大或丟包的現(xiàn)象，使用路由器自帶的維護(hù)工具Ping 打開很慢的網(wǎng)站或者Ping 玩游戲卡的服務(wù)器地址出現(xiàn)同樣的現(xiàn)象。 處理方法：

(1)路由器上層設(shè)備（可能是光貓或者其他設(shè)備）出現(xiàn)異常，可嘗試重啟或者更換觀

察。

(2)運(yùn)營商網(wǎng)絡(luò)側(cè)可能出現(xiàn)了網(wǎng)絡(luò)擁塞等問題，需要聯(lián)系運(yùn)營商進(jìn)行確認(rèn)解決。

(3)游戲或者網(wǎng)站服務(wù)器滿負(fù)荷導(dǎo)致，需要關(guān)注游戲官方網(wǎng)站的公告或者咨詢游戲服

務(wù)商。

1.7 無法遠(yuǎn)程訪問路由器

(1)請通過本地管理計(jì)算機(jī)登錄路由器確認(rèn)是否開啟遠(yuǎn)程訪問功能，并確認(rèn)遠(yuǎn)程訪問

的計(jì)算機(jī)是否在遠(yuǎn)程管理PC 的IP 范圍內(nèi)（頁面向?qū)В涸O(shè)備管理→用戶管理→遠(yuǎn)程管理）。

(2)請確認(rèn)遠(yuǎn)程訪問Web 的格式是否正確，正確的格式為：

(3)同一時(shí)間，路由器最多允許五個(gè)用戶遠(yuǎn)程通過Web 或T elnet 進(jìn)行管理和設(shè)置，

請確認(rèn)遠(yuǎn)程訪問的計(jì)算機(jī)數(shù)量是否達(dá)到最大值。

1.8 升級過程中出現(xiàn)問題解答

升級方法如下：

(1)升級前請備份當(dāng)前版本的配置文件。在升級軟件期間，請確保網(wǎng)絡(luò)穩(wěn)定，不要斷

電。

(2)下載。最新版本下載地址：www.h3c.com.cn 網(wǎng)站，首頁→服務(wù)支

持→軟件下載→路由器→H3C ER系列路由器。

(3)設(shè)備升級。登錄路由器管理頁面，進(jìn)入備管理→基本管理→軟件升級頁面，點(diǎn)擊<

瀏覽>按鈕選擇下載好的.bin 文件（下載的文件可能壓縮包，需要解壓縮獲取.bin 文件），點(diǎn)擊<升級>按鈕等待1～3分鐘后設(shè)備自動(dòng)重啟，升級過程中，不要隨便切換網(wǎng)頁，直至完成升級。

升級過程中提示錯(cuò)誤時(shí)，處理方法如下：

? 提示錯(cuò)誤文件：請確認(rèn)升級選中的文件是否為.bin 的設(shè)備版本文件。

? 提示上傳文件內(nèi)容錯(cuò)誤：請確認(rèn)下載的版本文件名表示的型號是否與當(dāng)前升級的設(shè)備型號一致，下載的版本文件是否做過改動(dòng)。

1.9 設(shè)備各指示燈含義

1. 正常的設(shè)備指示燈狀態(tài)說明

2. 電源指示燈（POWER 燈）不亮

(1)請檢查電源線是否連接正確。

(2)請檢查電源線插頭是否插緊，無松動(dòng)現(xiàn)象。

(3)送當(dāng)?shù)厥跈?quán)服務(wù)中心（ASC ）檢測是否為設(shè)備硬件故障。

3. 不插網(wǎng)線各端口鏈路狀態(tài)指示燈（Link/Act燈）常亮或者閃爍

(1)重啟設(shè)備觀察是否恢復(fù)。

(2)送當(dāng)?shù)厥跈?quán)服務(wù)中心（ASC ）檢測是否為設(shè)備硬件故障。

4. WAN、LAN 口鏈路狀態(tài)指示燈（Link/Act燈）不亮

(1)請檢查網(wǎng)線與路由器的WAN 、LAN 接口連接是否卡緊，無松動(dòng)現(xiàn)象。

(2)請重新連接網(wǎng)線兩端的接口或重新按標(biāo)準(zhǔn)568B 線序制作水晶頭后再嘗試連接。

(3)請檢查是否網(wǎng)線出現(xiàn)故障：可將網(wǎng)線的兩端均插在路由器的兩個(gè)LAN 接口上，兩

個(gè)接口對應(yīng)的指示燈都亮表示網(wǎng)線正常；否則網(wǎng)線可能存在問題，請更換一根之前使用正常的網(wǎng)線來重新嘗試。

(4)請檢查端口的連接速率和雙工模式配置是否有誤：進(jìn)入路由器Web 設(shè)置頁面，將

WAN 、LAN 的連接速率和雙工模式設(shè)置成和上行口、下行交換機(jī)端口一致，例如都設(shè)置為100M 全雙工觀察（推薦兩端均配置為自適應(yīng)，即Auto 模式。頁面向?qū)В航涌谠O(shè)置→WAN 設(shè)置→網(wǎng)口模式；接口設(shè)置→LAN 設(shè)置→端口設(shè)置）。

1.10 如何設(shè)置端口限速和網(wǎng)絡(luò)連接數(shù)，并查看端口/IP流量

1. 每IP 流量限制

根據(jù)二八理論，即80的帶寬被20的人占用來計(jì)算，而且占用的帶寬大多為下行帶寬，上行帶寬一般選擇下行帶寬的一半或者2/3左右。

例如運(yùn)營商帶寬為10Mbps ，帶機(jī)量100臺PC ，80的帶寬就是8Mbps ，20的人就是20個(gè)人，那么8Mbps*1000=8000kbps（實(shí)際上應(yīng)該乘以1024，這里簡單以1000計(jì)算），8000kbps/20=400kbps，則理論值為每IP 需要下行限速400kbps ，上行值為200～300kbps ，當(dāng)然該計(jì)算值是理論值，需要根據(jù)實(shí)際的網(wǎng)絡(luò)使用量來適當(dāng)變化。如果是ADSL 寬帶類型客戶，則上行帶寬建議限制為100kbps ，且不推薦允許每IP 通道借用空閑的帶寬。如果企業(yè)、酒店等環(huán)境，平時(shí)使用網(wǎng)絡(luò)的時(shí)間或者占用的流量不是很大，那么可以適當(dāng)將限速值調(diào)高，如下行600kbps ，上行400kbps ，并開啟允許每IP 通道借用空閑的帶寬。如網(wǎng)吧環(huán)境，帶寬使用量較大，則需要增加帶寬或者較少帶機(jī)量來提高客戶網(wǎng)速的體驗(yàn)，保證游戲和視頻的正常工作。網(wǎng)吧一般建議每IP 限速下行800kbps ，上行500kbps ，開啟彈性帶寬功能，即允許每IP 通道借用空閑的帶寬。雙WAN 設(shè)備需要針對不同WAN 口計(jì)算不同的限速值予以限制，最終主機(jī)獲得的帶寬為雙WAN 帶寬限速總和。

2. 網(wǎng)絡(luò)連接數(shù)

一般建議每IP 設(shè)置在1000～2000即可保證正常應(yīng)用訪問。

3. 查看端口/IP流量

(1)查看每個(gè)物理端口流量：系統(tǒng)監(jiān)控→流量監(jiān)控→端口流量。

(2)查看局域網(wǎng)內(nèi)各在線主機(jī)通過WAN 口的流量：系統(tǒng)監(jiān)控→流量監(jiān)控→IP 流量

(3)實(shí)時(shí)查看WAN 口流量：系統(tǒng)監(jiān)控→流量監(jiān)控→流量監(jiān)視

1.11 如何限制某些應(yīng)用

1. 限制某些游戲（通常采用封游戲端口的方法）

以誅仙游戲（通信端口為29000，某款游戲的通信端口需要抓包獲取，如何抓包請參見“1.16 如何抓包”）為例介紹：

(1)開啟防火墻功能（頁面向?qū)В喊踩珜^(qū)→防火墻→防火墻設(shè)置）。

(2)設(shè)置出站通訊策略：添加如下規(guī)則，禁止所有IP 發(fā)往目的端口為29000的UDP

報(bào)文通過（頁面向?qū)В喊踩珜^(qū)→防火墻→出站通信策略），如下圖所示。

2. 限制訪問某些網(wǎng)站

(1)通過設(shè)備的網(wǎng)站過濾功能實(shí)現(xiàn)：

在路由器上設(shè)置讓局域網(wǎng)內(nèi)的主機(jī)僅能或不能訪問固定的某些網(wǎng)站（頁面向?qū)В喊踩珜^(qū)→接入控制→網(wǎng)站過濾）。

(2)通過防火墻的出站通信策略實(shí)現(xiàn)部分用戶無法訪問部分網(wǎng)站。

首先通過ping 需要過濾的網(wǎng)站域名，獲取到該網(wǎng)站的服務(wù)器地址，然后再添加規(guī)則。如：禁止源IP 地址范圍為192.168.1.2～192.168.1.200的客戶端訪問目的服務(wù)器122.227.209.17 目的端口為80的TCP 報(bào)文通過。（注意：部分大型網(wǎng)站在某個(gè)地區(qū)有多個(gè)地址，或者在多個(gè)地區(qū)都有服務(wù)器地址，可以嘗試禁止目的服務(wù)器地址所在的網(wǎng)段后，再通過上述辦法找出能ping 通的其他服務(wù)器地址，再添加規(guī)則過濾即可。）

3. 限制某些IP 不能上外網(wǎng)

? 勾選僅允許DHCP 服務(wù)器分配的客戶端訪問外網(wǎng)，不在路由器DHCP 服務(wù)器分配的客戶列表中的用戶將無法訪問外網(wǎng)（頁面向?qū)В喊踩珜^(qū)→接入控制→IPMAC 過濾）。

? 勾選僅允許ARP 靜態(tài)綁定的客戶端訪問外網(wǎng)，將客戶端ARP 綁定為靜態(tài)表項(xiàng)，不在ARP 靜態(tài)綁定表中的客戶端將無法訪問外網(wǎng)（頁面向?qū)В喊踩珜^(qū)→接入控制→IPMAC 過濾）。

1.12 如何劃分VLAN ，實(shí)現(xiàn)單臂路由，禁止網(wǎng)段間互訪

1. 組網(wǎng)圖

2. 組網(wǎng)需求

如上圖所示，無管理Switch A連接ER 路由器的LAN1接口，有管理Switch B連接LAN2接口，實(shí)現(xiàn)Switch A 下所有客戶端獲取到VLAN2的地址，Switch B 下存在兩個(gè)VLAN （VLAN3:192.168.3.0/24，VLAN4:192.168.4.0/24）對應(yīng)兩個(gè)部門，部門之間禁止互訪。

3. 配置步驟

(1)新增三個(gè)VLAN （頁面向?qū)В航涌谠O(shè)置→VLAN 設(shè)置→VLAN 設(shè)置）：

? VLAN2：IP 地址填192.168.2.1（即VLAN2的網(wǎng)關(guān)地址），子網(wǎng)掩碼：255.255.255.0。 ? VLAN3 IP為192.168.3.1，VLAN4 IP為192.168.4.1，子網(wǎng)掩碼均為255.255.255.0。

(2)編輯LAN1口配置（頁面向?qū)В航涌谠O(shè)置→VLAN 設(shè)置→Trunk 口設(shè)置），雙擊

LAN1口所在條目進(jìn)入編輯狀態(tài)，將LAN1口的PVID 和允許通過的VLAN 均改為2。（如果其他LAN 口同樣接無管理設(shè)備實(shí)現(xiàn)類似功能可參考此步。）

(3)編輯LAN2口配置，允許通過的VLAN 改為3～4。Switch B的上行端口設(shè)置為

Trunk ，允許VLAN3、VLAN4通過即可。（如果有管理交換機(jī)下存在更多的VLAN ，則只需添加到允許通過的VLAN 中即可。）

(4)如果局域網(wǎng)內(nèi)用戶通過動(dòng)態(tài)DHCP 獲取對應(yīng)網(wǎng)段的IP ，需要通過頁面向?qū)В航涌?/p>

設(shè)置→DHCP 設(shè)置→DHCP 設(shè)置，添加各個(gè)VLAN 網(wǎng)段對應(yīng)的DHCP 地址池。

(5)配置VLAN3和VLAN4網(wǎng)關(guān)不能互訪，在設(shè)備防火墻功能的出站通信策略中增加

一條規(guī)則，禁止源地址范圍為192.168.3.2-192.168.3.254訪問目的地址范圍為192.168.4.2-192.168.4.254的所有服務(wù).

1.13 IPSEC VPN典型組網(wǎng)配置

VPN 設(shè)置請參考《》和用戶手冊（獲取地址：www.h3c.com.cn →首頁→服務(wù)支持→文檔中心→路由器→H3C ER3100 企業(yè)級寬帶路由器→典型配置→《H3C SMB Router IPSec VPN配置指導(dǎo)》）。

1.14 企業(yè)、網(wǎng)吧、酒店典型組網(wǎng)配置

典型組網(wǎng)配置請參考《H3C ER系列企業(yè)級路由器用戶手冊》中第12章和第13章。（獲取地址：www.h3c.com.cn →首頁→服務(wù)支持→文檔中心→路由器→H3C ER3100 企業(yè)級寬帶路由器→《ER 系列企業(yè)級路由器用戶手冊》）。

視頻配置案例參考《H3C ER 系列路由器視頻典型配置指導(dǎo)》（獲取地址：www.h3c.com.cn →首頁→服務(wù)支持→文檔中心→路由器→H3C ER 系列路由器→H3C ER6300千兆路由器→視頻配置案例→《H3C ER 系列路由器視頻典型配置指導(dǎo)》）。

1.15 設(shè)備支持哪些功能

ER 系列路由器支持的詳細(xì)功能請參見各產(chǎn)品的（獲取路徑：www.h3c.com.cn →首頁→服務(wù)支持→軟件下載→路由器→H3C ER 系列路由器，下載該產(chǎn)品的版本和版本說明書）。