四回合 让企业路由器图形管理界面露怯1

四回合 让企业路由器图形管理界面露1

众所周知企业级路由器不同于平时大家使用的家庭宽带路由器，大部分命令和配置都是在命令提示窗口下一条条指令配置的，因此上手难度比较大，一般人需要通过console线接口连接计算机进行管理。然而目前越来越多的企业路由器，特别是中低端型号开始引入了图形化设置界面，在图形化界面模式下我们可以像配置家庭宽带路由器那样设置各个参数，管理网络。这种改变让越来越多的企业网络管理员放弃了冗余命令，放弃了Console线。然而你是否知道图形化管理界面存在着先天不足，如果过分信赖他的话，恐怕会为企业内网带来这样或那样的隐患，即使日后出现了网络故障也无法快速定位和解决。今天就请各位读者跟随笔者一起让企业路由器图形管理界面露出真面目。

　　回合一：图形管理缺省设置让网络故障排查更困难

　　众所周知图形管理界面最大的好处就是简单方便，我们通过里面的诸如设置向导等功能可以在最短时间内完成企业路由器的接入工作。然而在图形化管理界面下一些参数的缺省设置却着实让网络故障排查变得更加困难。

　　笔者曾经遇到过通过图形管理界面配置实达NBR2000网吧级路由器，在管理界面下针对IP信息以及外网连接等多个参数设置完毕，然而最后调试时却发现网络怎么也不通，下连客户机无法顺利上网。使用ping检测工具发现不论ping该路由器哪个WAN口地址都是不通的，所以将故障排查都放到了WAN口线路连接和参数配置上。谁知道经过反复排查发现WAN接口设置并没有错误，ping不通只是因为默认情况下图形化管理界面中通过下拉菜单或设置向导配置后系统自动给路由器添加了一些基本的访问控制列表ACL，从而自动屏蔽了包括ping在内的常见网络检测数据包。笔者使用Console线连接到NBR2000路由器命令管理界面中，通过sh run命令看到了默认添加的信息，原来在图形化管理界面中设置参数或通过设置向导建立配置后路由器自身添加了多条访问控制列表，从而屏蔽了ping数据包，这也是为什么设置完毕后网络不通采用ping检测无效的原因。最终笔者经过长时间排查发现网络不通是由于外网连接线松动导致。（如图1）