H3c msr3640-xs上不了网

排查一下，确认是内网还是外网问题

MSR3640-XS 突然断网完整分层排查（内网通、外网不通 / 全网断两种场景）
一、第一步：区分故障范围（快速定位方向）
所有终端全断网 → 出口链路 / 运营商 / 路由器公网配置故障
仅部分 VLAN / 终端不能上网 → NAT、ACL、安全策略、内网路由问题
内网互通正常、仅外网打不开 → 重点查 WAN 链路、默认路由、NAT、运营商
二、物理 & 接口层（突然断网最高频）
查看内外网接口状态、错包
plaintext
display ip interface brief
display interface GigabitEthernet 0/X

WAN 口 Down：网线、光模块、运营商线路故障；更换线缆 / 端口测试
接口 Up 但大量 CRC/Input error：网线老化、光衰过大、端口协商异常
设备硬件负载
plaintext
display cpu-usage
display memory

CPU / 内存长期 90%+ 会丢包断流，排查广播风暴、环路、病毒流量
三、WAN 公网链路连通性排查
1、静态 IP 专线场景
plaintext
# ping 运营商对端网关
ping 运营商网关IP

不通：运营商线路中断、欠费、上联设备故障，联系运营商核查
能通但无法上网：往下查路由、NAT
2、PPPoE 拨号场景
plaintext
display pppoe session
display dialer

会话断开：重新拨号、检查账号密码、运营商端口故障
plaintext
dialer restart

四、三层路由故障（突然断网常见）
查看全局路由表，必须存在默认路由 0.0.0.0/0
plaintext
display ip routing-table

无默认路由：静态路由丢失、NQA 联动失效、OSPF/BGP 撤销缺省路由
修复示例：
plaintext
ip route-static 0.0.0.0 0 运营商下一跳

内网网段回程路由缺失（运营商侧无内网回指，回程丢包）
联系运营商添加内网静态路由；或在出口做 NAT 规避回程路由问题
五、NAT 转换失效（内网通、外网不通典型）
查看 NAT 配置、转换表项
plaintext
display nat address-group
display nat session all

故障点：
NAT 地址池耗尽，无法分配公网端口；
ACL 匹配内网网段错误，未放行用户流量；
外网接口未绑定 NAT outbound 策略。
标准修复模板：
plaintext
acl number 3000
rule permit source 内网网段 0
nat address-group 1 公网地址段
interface WAN口
nat outbound 3000 address-group 1

六、ACL / 安全策略拦截流量
全局包过滤、接口 inbound/outbound 阻断外网报文
plaintext
display packet-filter all

防火墙域间策略（MSR 带安全板卡）
源 Trust→目的 Untrust 未放行 IP、ICMP、TCP/UDP，全部上网流量丢弃
七、DNS 解析问题（能 ping 公网 IP，打不开网页）
plaintext
nslookup www.baidu.com
ping 8.8.8.8

IP 能通、域名失败：DNS 服务器失效，更换公共 DNS（223.5.5.5/8.8.8.8）
plaintext
dns server 223.5.5.5

八、突发故障特有诱因（突然断网）
运营商侧割接、端口故障、宽带欠费；
内网环路产生广播风暴，路由器 CPU 打满丢包；
plaintext
display stp brief
display mac-address flapping record

NQA 联动静态路由，链路探测失败自动删除默认路由；
plaintext
display nqa results

设备会话表耗尽，新建连接无法转发；
plaintext
display nat session count

配置丢失、保存失效，重启后恢复出厂配置。
极简快速排查顺序
查看 WAN 接口是否 UP，ping 运营商网关判断链路死活；
检查路由表是否存在 0.0.0.0 默认路由；
查看 NAT 策略、地址池是否正常、有无会话；
核对 ACL / 域间策略是否放行内网访问外网；
测试公网 IP 连通性，区分 DNS 问题；
查看 CPU、MAC 漂移、环路、会话表负载；
临时重启 WAN 拨号 / 整机路由器恢复临时业务。

1. 物理层排查：确认硬件与线路连接

• 检查接口指示灯：确认路由器的 WAN 口（外网接口）指示灯是否正常亮起或闪烁。如果指示灯不亮或呈异常状态，可能是 WAN 口网线松动、接触不良或网线损坏。建议重新插拔 WAN 口网线，或更换一根确认完好的网线进行测试。
• 检查供电状态：确认路由器电源适配器正常，设备通电后 SYS、WAN 等指示灯按序点亮。

2. 链路层验证：测试外网宽带连通性

• 光猫直连测试：将外网宽带线从路由器 WAN 口拔下，直接连接到电脑上，按照运营商提供的方式（如 PPPoE 拨号或自动获取 IP）尝试上网。
  • 若电脑直连可以上网：说明宽带线路和账号正常，故障点在路由器配置或设备本身。
  • 若电脑直连也无法上网：说明是外网宽带线路异常、账号欠费或局端端口故障，请直接联系运营商处理。

3. 网络层诊断：核对路由与参数配置

• 核对 WAN 口参数：
  • 若为 PPPoE 拨号：确认宽带账号和密码输入正确，且无多余空格或大小写错误。
  • 若为 静态 IP：确认填写的 IP 地址、子网掩码、默认网关及 DNS 与运营商提供的一致。
  • 若为 DHCP 动态获取：确认 WAN 口已成功获取到非 0.0.0.0 或 169.254.x.x 的有效 IP 地址。
• 检查路由与 NAT 配置：
  • 确认是否配置了正确的默认路由（Default Route）指向外网网关。
  • 确认 WAN 口已正确配置 NAT（如 nat outbound），以确保内网流量能够正常进行源地址转换。
• 检查 DNS 配置：若终端能登录微信/QQ 但无法打开网页，通常是 DNS 配置不正确导致。请在终端或路由器上配置正确的运营商 DNS 地址。

4. 进阶处置与异常排查

• 排查内网异常：检查内网是否存在非法的 DHCP 服务器，导致终端获取到了错误的 IP 地址或网关。
• 重启或恢复出厂：若参数配置均无误但仍无法联网，可尝试在管理界面执行软重启。若依然无效，可长按 RESET 键恢复出厂设置，然后仅配置 WAN 口连接类型与账号密码，跳过高级 QoS 或防火墙策略，以排除兼容性干扰。