分析幾個無法上網的問題

有關UTT Hiper 產品,都可以在這裡討論

版主: support

分析幾個無法上網的問題

文章fae » 2012年 10月 30日, 08:09

近期有些艾泰路由器的使用用戶,在安裝了幾年下來相安無事,不過近期卻發生有時可以上網,有時無法上網的問題,以下特別使用HiPER路由器內建的幾個常見Log訊息,來快速分辨問題點:

1.近期發生最多的-網路迴圈Loop狀況.
由於一般出租套房早期建置都採用一般市售家用交換器Switch HUb, 這種交換器無論是5 port , 8,16.24都是成本低廉,基本上就是用種來建構網路,另外由於目前智慧手機大量興起, 所以於出租套房無線網路需求也增多了, 以及套房內可能不止一台電腦使用, 也可能於套房內私裝一台Switch HUB來擴充有線網路的使用.

以下是當HiPER路由器下面, 交換器發生Loop現象時, 會看到ARP的告警,來自於HiPER路由器的LAN IP以及MAC開頭00:22:aa 的MAC位置:
loop.JPG
loop.JPG (28.9 KiB) 被瀏覽 429947 次



2. 分享器,無線分享器裝錯,發出IP位置:
也就是內部網路除了原本的HiPER路由器以外,因為房客的網路接錯(應該接WAN端),導置內部網路有其他DHCP Server發放IP, 其他房客就抓到此無法上網的IP位置.
原本預設HiPER路由器的IP為192.168.16.1 , 不過內網出現了192.168.0.1 的IP位置出來搗亂,發放IP位置了!

DHCPS: server conflict conflict ip=192.168.0.1,mac=00:1e:8c:3b:0e:27
DHCPS: server conflict conflict ip=192.168.0.1,mac=00:1e:8c:3b:0e:27
DHCPS: server conflict conflict ip=192.168.0.1,mac=00:1e:8c:3b:0e:27
DHCPS: server conflict conflict ip=192.168.0.1,mac=00:1e:8c:3b:0e:27
DHCPS: server conflict conflict ip=192.168.0.1,mac=00:1e:8c:3b:0e:27
DHCPS: server conflict conflict ip=192.168.0.1,mac=00:1e:8c:3b:0e:27
DHCPS: server conflict conflict ip=192.168.0.1,mac=00:1e:8c:3b:0e:27


3. NAT 連線數超出限制
HiPER路由器為了管制如p2p大量下載所發起的大量連線,以及抑制病毒發起大量連線等問題, 預設限制了每台電腦最大可用的連線數session, 當電腦連線超出預設2500條後, 系統即會開始對於此台電腦的對外連線做出限制,也就是超出預設2500條後的連線, 就不會再讓此台電腦去建立新的session, 比如此台電腦正在大量使用P2P軟體,當此台電腦超出限制開始, 可能這台PC開啟新的網頁後,就會無法顯示網頁! 因為HiPER啟動管制了此台電腦新的session增加.

nat exceeded 192.168.16.221
nat exceeded 192.168.16.221
nat exceeded 192.168.16.221
nat exceeded 192.168.16.221
nat exceeded 192.168.16.221
nat exceeded 192.168.16.221
nat exceeded 192.168.16.2
nat exceeded 192.168.16.2
nat exceeded 192.168.16.2
nat exceeded 192.168.16.2
nat exceeded 192.168.16.2

以上192.168.16.221 以及192.168.16.2 的IP位置,可能經常無法開啟網頁,因為連線數已經超出限制!

透過HiPER路由器特殊的內建log 顯示告警資訊,可以協助您快速找到網路問題!
FAE
華網國際-華人網路,放眼國際
技術支援專線 TEL:03-4622360
電子郵件: support@router.com.tw
Line: http://line.me/ti/p/@920lrbdn

此論壇提供技術相關資料 無法於此回覆或發言 若有技術問題可以直接mail /撥打服務專線 或是加line諮詢..
fae
系統管理員
 
文章: 1155
註冊時間: 2010年 3月 5日, 10:51

Re: 幾個無法上網的問題

文章fae » 2012年 10月 30日, 08:11

HiPER路由器的Log資料解釋對照表:
異常告警資訊

mac new 00:e0:4c:8b:08:47
mac old 00:e0:4c:8b:25:eb
arp spoof 192.168.1.26 / IP 位址的MAC位址發生變化

可能成因:
1、某內網設備安裝了雙網卡:某些網路內部的伺服器安裝了雙網卡,並且使用了雙網卡搭售軟體,將兩塊網卡綁定在同一個IP位址,以提高伺服器的網路吞吐能力,因為兩塊網卡的MAC位址不同,所以在歷史記錄裡面可以看到多條(每條資訊的mac old和mac new和下一條相同)該IP位址的MAC位址變化資訊。
2、某網路設備的MAC位址發生變化:網路內部某個設備更換了網卡(或者修改了MAC位址),在歷史記錄裡面可以看到一條該IP位址的MAC位址變化資訊。
3、ARP欺騙攻擊:網路內部存在ARP欺騙木馬,在歷史記錄裡面看到多條(每條資訊的mac old相同或每條資訊的mac new相同)該IP 位址的MAC位址變化資訊。

mac new 00:e0:4c:8b:08:47
ip inuse 192.168.1.26

可能成因:
1、網路內部存在ARP欺騙,但是因為設備上綁定了使用者的ip/mac位址,所以欺騙無效。需要注意的是,ARP欺騙對內網的主機同樣起到欺騙作用,如果此時pc上也綁定了ip/mac地址,則ARP欺騙不起作用。
2、網路內部存在兩台IP位址一樣,但是mac位址不同的網路設備。
arp spoof 00:22:aa:40:17:11
ip inuse 192.168.1.1 / IP地址衝突

如果ip inuse後面的IP位址就是設備的LAN 口 IP位址,有兩個可能性:
1、網路內部有其他網路設備也配置了192.168.1.1的ip位址,和設備的lan口衝突;
2、網路存在arp欺騙。
以上兩點,如果網內的主機和路由器之間相互綁定了ARP 資訊的話,則不受影響。

同時,如果arp spoof 後面的MAC位址就是設備的LAN 口 MAC位址,可能的原因:
內網存在環路,建議檢查交換機或者網線。
dhcp:ip conflicted arp:192.168.16.47 / DHCP地址衝突

可能成因:
DHCP Server在準備分配IP地址192.168.16.47給某用戶時,發現該IP在內網已存在,系統會再次分配其他IP位址給用戶。
nat exceeded 192.168.16.221 / NAT會話超限

為了防止DDoS攻擊,網路安全 ->連接限制,定義了每個IP同時能夠併發的NAT會話的數量(默認TCP 2200條/UDP 2200條),如果某IP使用的NAT會話超過了這個數字,那麼就會出現“nat exceeded”的提示,同時在系統狀態 -> NAT統計頁面會有該IP的“超限次數”的計數。

可能成因:
1、蠕蟲病毒的dos攻擊,比如衝擊波、sql蠕蟲等;
2、p2p軟體/遊戲等剛開始連接遠端的時候,會發出很多連接,往往這時候會話可能超限,一段時間後下載/遊戲真正開始的時候會恢復正常;
3、用戶正在上網,使用了幾百條會話,該用戶的電腦突然死機/斷電,那麼它原來的幾百條會話仍然會保留在路由器的NAT列表內,直到超時。此時該用戶再次上網,如果前面的會話仍然未超時,就容易出現超限的現象。

如果需要知道該使用者究竟是因為什麼原因導致該消息出現,可以在消息發生的當時在 系統狀態 -> 上網監控 頁面,選擇“內網位址”條件查詢一下該IP所發生的上網行為。
arp exceeded 192.168.18.254 / ARP請求超過系統限制

可能成因:
1、網內主機數量超過系統的限制的arp表最大值,超過的ip位址將被顯示出來,此時該使用者將無法正常上網;
2、網路內部有人使用arp dos或者arp 掃描軟體(p2p終結者等),此時在 系統狀態 ->NAT統計 頁面,可以觀察此IP發送的廣播包數量很大,攻擊的時候,因為arp表已滿,將影響新使用者通過設備上網。
nat host exhausted192.168.1.253
spoof ip detected ip=192.168.1.253 / IP為發送偽造源地址(攻擊)的地址

可能原因:
內網存在偽造源地址攻擊,將影響新使用者通過設備上網。重啟路由器可暫時解決問題。可在 網路安全 -> 攻擊防禦 頁面,啟用IP欺騙防禦。


blast wave detected ip=192.168.1.253 / IP為發送衝擊波病毒的主機位址

可能原因:
內網存在衝擊波病毒攻擊,可在 網路安全 -> 攻擊防禦 頁面,啟用衝擊波病毒防禦。

DHCPS: server conflict conflict ip=192.168.0.241,mac=00:1e:8c:3b:0e:27 / DHCP 伺服器衝突

可能原因:
內網有多台DHCP伺服器存在,ip=192.168.0.241,mac=00:1e:8c:3b:0e:27 的電腦,開啟了DHCP 服務。


DHCPS: no ip in pool: pool1 /DHCP位址集區耗盡

可能原因:
DHCP位址集區內的IP都已分配出去,無IP位址可分配,可在 基本配置 -> DHCP配置 頁面調大DHCP位址數。

DHCPS: MAX Client ignore new client / 資源耗竭

可能原因:
ARP緩存表被占滿,重啟路由器可以解決該問題。



內網告警信息

Attack icmp attack,icmppps = 8675,icmpLimit = 100
Attack 192.168.0.43 is offline

針對內網 IP 做了 會話限制(TCP/UDP/ICMP),若超過了限制,會有所提示,並對IP地址做短時間的限制網路。

撥號信息詳解

Session Down dial_01 // 連接掛斷,dial_01 為PPPoE撥號線路

Call Terminated @clearSession:117 // 呼叫失敗,一般為線路故障

Outgoing Call @61:118-245 // 連接開始呼出

PPPoE Up 00:25:9e:d4:37:ac // PPPoE 成功與設備為00:25:9e:d4:37:ac 建立連接

Call Connected@_netiNetworkStateChanged:6244, on Line 1, on Channel 0
// 實體層/鏈路層連接完成,但IP仍不可使用

Session Up dial_01 // PPPoE撥號連線成功

線路檢測資訊

Rt Down 221.12.134.145/eth2 /該物理埠上所配置的路由中斷
Rt Up 221.12.134.145/eth2 /該物理埠上所配置的路由生效

可能成因:
1、Rt Down 雙線路固定/動態ip接入的時候,開啟線路檢測,若發現線路符合中斷的條件,該條外線將被斷開;
2、Rt Up 中斷以後,若線路符合的恢復條件的時候,該線路將自動恢復。

備註:ethx 表明的是線路介面,eth2 -> WAN1,eth3 -> WAN2
檢測方式一般以ping為主,故配置檢測目標時請確認是否響應ping。

若Up、Down 頻繁出現,會影響內網的上網,建議單機測試外網線路是否穩定。
FAE
華網國際-華人網路,放眼國際
技術支援專線 TEL:03-4622360
電子郵件: support@router.com.tw
Line: http://line.me/ti/p/@920lrbdn

此論壇提供技術相關資料 無法於此回覆或發言 若有技術問題可以直接mail /撥打服務專線 或是加line諮詢..
fae
系統管理員
 
文章: 1155
註冊時間: 2010年 3月 5日, 10:51


回到 UTT 艾泰科技產品討論區

誰在線上

正在瀏覽這個版面的使用者:沒有註冊會員 和 4 位訪客