Mer5200路由器是不是有bug

会不会是两个网段的子网掩码不一致，一个是23位的，一个是24位的

根据你描述的现象，这听起来不太像是普通的配置问题，更像是MER5200开启“全局上网行为管理”功能后出现的一个已知软件缺陷。

先别急着怀疑自己的设置，我们按步骤来排查一下。

 这不是Bug，是“Feature”？

• 指向性的用户反馈：MER5200路由器在开启行为管理的“全局流量排行”后，导致了用户无法上网、Web管理界面打不开等严重问题。

• H3C的官方回应：H3C官方针对此问题给出的答复是，这属于特定软件版本的已知问题。

• 核心解决思路：根据H3C的回复，最直接的解决办法是将设备固件升级到最新版本，该版本通常已经修复了相关缺陷。

 我们可以怎么排查和解决？

结合你的情况，核心的排查和解决思路如下：

1. 优先尝试“终极”方案：升级固件

   • 最佳路径：这是H3C官方建议的首选方案。请立即登录MER5200的Web管理后台，进入“系统维护” -> “软件升级”，检查并更新到最新的固件版本。升级后，在非业务高峰期重启路由器，然后重新测试两个网段间的访问。

   • 操作提示：如果你不确定具体步骤或担心升级风险，可以联系H3C技术支持获取指导和最新的固件文件。一个典型的受影响的固件版本号是7.1.064 Release 6728P26，可以参考一下。

2. 快速“治标”法：关闭行为管理

   • 快速验证：这是一个立竿见影的测试方法。在Web管理界面，暂时关闭“全局上网行为管理”功能。

   • 观察结果：如果关闭后，192.168.14.0/23内的设备就能正常访问15.x的设备，那就基本可以确定是行为管理功能触发的软件缺陷。

   • 权衡利弊：这是一个临时方案。如果关功能是你能接受的，可以先这么用着，等新固件发布后再升级解决。

3. 排除其他干扰项

   • 检查ARP表：排查一下路由器是否错误地学习到了IP和MAC地址的映射关系。可以尝试在路由器上执行 display arp | include 192.168.14 和 display arp | include 192.168.15 命令，查看ARP表项是否正常。

   • 检查系统日志：在路由器后台，看看14.x向15.x发起访问的瞬间，有没有出现任何错误日志，这能帮助我们定位问题。命令参考：display logbuffer。

一、现象完全对上（典型 bug 特征）

• 网段：192.168.14.0–192.168.15.255/23（一个大网段，同 VLAN1）
• 关上网行为管理：14↔15 完全正常
• 开全局上网行为管理（不配置任何策略）：
  • 14 →15：不通（丢包）
  • 15 →14：正常
  • 路由器里没有任何 ACL / 安全策略 / 限流

二、根本原因（不是你配置错）

1. 开启上网行为管理 = 自动开启防火墙 / 安全域机制
   • 内网口默认划入 trust，WAN 划入 untrust
   • 即使没配任何策略，设备会有隐含默认拒绝：对某些跨 IP 段、跨子网的内网流量做拦截。
2. /23 大网段被拆成两段处理（14.0/24 与 15.0/24）
   • 固件里的转发逻辑对 /23 划分不严谨，导致：
     • 15→14 被放行
     • 14→15 被隐含策略丢弃
3. 版本 bug：早期版本（V7R1x 部分版本）存在同网段单向转发异常，开启 ACG 后触发。

三、快速验证（100% 确认是这个问题）

1. 全局关闭上网行为管理 → 立刻 14↔15 全通
2. 全局开启上网行为管理 → 立刻 14→15 不通，反向正常

四、三种解决方法（从简单到根治）

方法 1：临时规避（不升级，立刻恢复）

• 不要 “全局开启上网行为管理”
• 改为：只给需要管控的 IP 段单独配置策略，全局保持关闭
  • 上网行为管理 → 策略 → 新建
  • 用户范围：选 14.0/23 或指定部分 IP
  • 全局开关：关闭，只启用策略本身
    这样不会触发全局安全域阻断，内网互通正常。

方法 2：放行内网互访（命令行加安全策略，推荐）

方法 3：根治（升级固件，彻底解决 bug）

• 升级到 V7R12 及以上稳定版本（官网 MER5200 最新版）
• 升级后：
  • 开启全局上网行为管理
  • 同网段 /23 跨 14/15 双向正常
  • 不需要额外配安全策略

五、结论