192.168.100(192.168.100.1手机登录wifi设置)

路由器总掉线 一个命令就能猜出八九分

明明网络强度满格或有线图标正常，但视频卡成PPT、网页刷不开、游戏动不了，闲心这些问题很多小伙伴都碰到过。每次都要开关路由、宽带/光猫、插拔网线……一通忙。有没有啥办法能快速确定故障到底在哪儿，方便处理呢？其实只要活用一个命令就搞定啦。

遇到这种情况，同时把按下WIN键＋R键打开运行，然后输入cmd，回车进入命令提示符。先ping一下路由器的IP地址，IP一般是192.168.0.1或192.168.1.1，命令就是ping 192.168.0.1或ping 192.168.1.1。

网络正常时丢包率应为0，有线连接延时<1ms，无线连接延时<10ms，大于这些值就说明路由连接有问题。有可能是某个设备在进行大带宽连接，如下载、观看高清视频等，也有可能连接设备数量超过了服务商的限制，都需要减少连接设备，并在路由管理界面检查是否有外部盗连。

啥？你不知道自家的路由器IP？这也简单，可以在CMD窗口中运行命令DNS检测命令nslookup+任意网站。其中显示的Localhosts地址即为路由器IP，另一个网站IP也要记好，下面可能用得到。

ping路由器没有问题？来试试外部访问能力吧，可以ping之前测试到的外部网站IP，也可以直接ping网站名。注意有些网站会屏蔽ping命令，以防借此进行网络攻击。所以可以用不同方式多ping几个网站。

一般来讲，如果外部网络访问正常的话，延时应该<50ms，丢包率为0，如果延时高于50ms，但在100ms左右的话，同样需要考虑是否有设备进行高带宽连接，如连接了IPTV机顶盒的话，需要关闭机顶盒重新测试。

如果丢包率很高，延时达到数百ms甚至大量网站无法ping通，则应检查入户和路由器连线是否连接正常。光纤入户还要注意是否有过大的弯折，因为光线入射角度过大就会从边缘射出，损失信号，甚至可能造成光纤断裂。

还可将电脑直连宽带/光猫进行测试，如果电脑直连一切正常，ping路由器也表现很好，那么问题在路由器与入户宽带/光猫的连线或兼容性上，应检查连线与接口状态。有条件可以升级/降低路由器固件版本，或干脆更换一台路由器测试是否有兼容性问题。

最后，如果发生故障时路由器或宽带/光猫有明显异常，比如指示灯乱跳、发热等，那么极可能是硬件处理能力不足或外部网络有问题，需要升级路由器或与服务商联系更换入户猫了。由于最近各大运营商正在进行网络升级改造，这种情况也并不罕见。

华为防火墙小型企业边界网关配置实例

组网及规划：

华为USG6000作为边界网关实现企业内部网络出口，防火墙实现内部网络NAT功能实现访问Internet功能

实现公司财务部门访问内网服务器。

办公网络不能访问内网服务器，

办公室及财务部均可以访问外网。

外部网络可以通过NatServer实现外部网络通过8080端口访问内网服务器80端口。

网络规划：办公网地址段：192.168.10.0/24 VLAN：10

财务地址段：192.168.20.0/24 VLAN：20

服务器地址段：192.168.200.0/24

运营商固定IP地址：202.1.1.1/24

网络组网见下图：

办公接入交换机配置：

sysname BanGong

#

vlan batch 10

#

interface Eth-Trunk1

port link-type trunk

port trunk allow-pass vlan 10

#

interface GigabitEthernet0/0/1

port link-type access

port default vlan 10

interface GigabitEthernet0/0/23

eth-trunk 1

#

interface GigabitEthernet0/0/24

eth-trunk 1

财务接入交换机配置：

sysname CaiWu

#

vlan batch 20

interface Eth-Trunk1

port link-type trunk

port trunk allow-pass vlan 20

#

interface GigabitEthernet0/0/1

port link-type access

port default vlan 20

interface GigabitEthernet0/0/23

eth-trunk 1

#

interface GigabitEthernet0/0/24

eth-trunk 1

#

核心交换机配置：

sysname SW

#

undo info-center enable

#

vlan batch 10 20 100

#

interface Vlanif10

ip address 192.168.10.254 255.255.255.0

#

interface Vlanif20

ip address 192.168.20.254 255.255.255.0

#

interface Vlanif100

ip address 192.168.100.1 255.255.255.0

#

interface Eth-Trunk1

port link-type trunk

port trunk allow-pass vlan 10

#

interface Eth-Trunk2

port link-type trunk

port trunk allow-pass vlan 20

#

interface GigabitEthernet0/0/1

port link-type access

port default vlan 100

#

interface GigabitEthernet0/0/21

eth-trunk 2

#

interface GigabitEthernet0/0/22

eth-trunk 2

#

interface GigabitEthernet0/0/23

eth-trunk 1

#

interface GigabitEthernet0/0/24

eth-trunk 1

#

ip route-static 0.0.0.0 0.0.0.0 192.168.100.2

#

防火墙配置：

acl number 2000

rule 5 permit source 192.168.10.0 0.0.0.255

#

interface GigabitEthernet0/0/0

undo shutdown

ip address 202.1.1.1 255.255.255.0

#

interface GigabitEthernet1/0/0

undo shutdown

ip address 192.168.100.2 255.255.255.0

#

interface GigabitEthernet1/0/1

undo shutdown

ip address 192.168.200.254 255.255.255.0

#

firewall zone local

set priority 100

#

firewall zone trust

set priority 85

add interface GigabitEthernet1/0/0

#

firewall zone untrust

set priority 5

add interface GigabitEthernet0/0/0

#

firewall zone dmz

set priority 50

add interface GigabitEthernet1/0/1

#

ip route-static 0.0.0.0 0.0.0.0 GigabitEthernet0/0/0 202.1.1.2

ip route-static 192.168.10.0 255.255.255.0 192.168.100.1

ip route-static 192.168.20.0 255.255.255.0 192.168.100.1

#

nat server 0 protocol tcp global 202.1.1.1 8080 inside 192.168.200.1 www

#

security-policy

rule name policy_ses_1

source-zone trust

destination-zone untrust

source-address 192.168.10.0 mask 255.255.255.0

action permit

rule name policy_ses_2

source-zone trust

destination-zone dmz

source-address 192.168.20.0 mask 255.255.255.0

action permit

rule name policy_ses_3

source-zone trust

destination-zone untrust

source-address 192.168.20.0 mask 255.255.255.0

action permit

rule name Untrust_DMA

source-zone untrust

destination-zone dmz

destination-address 192.168.200.1 mask 255.255.255.255

action permit

#

nat-policy

rule name policy_nat_1

source-zone trust

egress-interface GigabitEthernet0/0/0

source-address 192.168.10.0 mask 255.255.255.0

action source-nat easy-ip

rule name policy_nat_2

source-zone trust

egress-interface GigabitEthernet0/0/0

source-address 192.168.20.0 mask 255.255.255.0

action source-nat easy-ip

验证配置：办公PC可以访问Internet，不能访内网问服务器。

财务PC:可以访问Internet，也可以访问内网服务器。

外网PC可以通过NATSERVER实现访问内网服务器：