PON网络MAC地址欺骗引起PPPOE拨号认证失败的案例.doc

PON网络MAC地址欺骗引起PPPOE拨号认证失败的案例.doc PON网络MAC地址欺骗引起PPPOE拨号认证失败的案例 故障现象: 2012年7月11日～ GPON网络出现大量用户PPPOE拨号认证失败投诉～拨号错误代码676～但同台OLT下部分用户能够正常拨号。 原因分析: PPPOE拨号认证失败原因很多～主要有设备软硬件问题、物理链路问题、PPPOE 协议 离婚协议模板下载合伙人协议 下载渠道分销协议免费下载敬业协议下载授课协议下载 报文丢失等几大类。此次故障中上报拨号676错误～首先排除物理链路问题(物理链路中断会上报678错误代码)～从设备软硬件和协议报文丢失方面分析。 1、从设备软硬件方面分析 检查OLT各单板(主控板、上下行板)的告警性能误码状态～发现无任何异常告警和异常性能。上行G28单板和下行PON板的流量状态也未超负荷～其中上行G28板流量很少～排除设备单板软硬件及网络拥塞问题。 2、查看MAC地址 表 关于同志近三年现实表现材料材料类招标技术评分表图表与交易pdf视力表打印pdf用图表说话 pdf 与现场供电交换机抓包对比分析 在网管上用show svc all 命令查看～发现有一个DHCP获得的地址和BARS 相 )～详见下图红色字体标识。 同(00:30:88:01:d6:5b为BRAS的MAC地址 图1 查看故障OLT下的业务流数据 上图中红色字体显示～有一个设备DHCP获得的地址和BRAS的相同～该条流标识为“3F8BAB”,该设备还发出了一个ARP广播报文请求IP地址为10.240.136.1的设备,并且该设备DHCP获得1402,58的vlan数值。 通过show crs gem命令找到流标识为“3F8BAB”对应的GEM号,然后在OLT的交叉连接中找到同GEM号的ONU为ONT-14-3-4,该台ONU下挂了的供电交换机管理vlan正是58,而1402的vlan是在OLT的PON口所标记的svlan～找到该台供电交换机后,在其管理口做镜像抓包结果如下: 图2 现场供电交换机管理口镜像抓包截图 从上图第一行可以看出,该供电交换机mac地址为00:22:93:55:c0:bf,且发 与图1数据吻合。 出了请求IP为10.240.136.1设备MAC地址的广播包, 以上分析结果可以看出,是供电交换机自身向上层网络发送了BRAS的MAC从 地址。 3、现场OLT上行口捕获PPPOE拨号报文分析 1,宽带用户PPPOE拨号流程 , PPPoE拨号的工作流程包含两大部分: PPPOE发现阶段和PPP会话阶段。PPPOE发现阶段是无状态的～目的是获得PPPoE终结端,BRAS,的以太网MAC地址～并建立一个唯一的PPPoE SESSION-ID。PPP会话阶段的主要目的是进行链路层和网络层协议的协商～协商后用户即可发送业务数据报文访问互联网。PPPOE发现和会话阶段协议报文发送流程如下图。 ,2,OLT上行口镜像抓包分析 至投诉用户家中～进行电脑拨号～同时工程师在OLT上行口镜像抓包～获取报文如下: 从上述抓包结果分析可得～用户电脑拨号发出的PADI广播报文能够正常抵达BRAS设备～同时BRAS设备回应的PADO报文也能够顺利发送至拨号电脑～但 从而导致BRAS是用户电脑发出的PADR请求报文没有在OLT的上行口正常发出,无法响应PADS报文,用户拨号出现异常。 4、原因综合分析 ,1,供电交换机伪装BRAS,间歇性地向OLT发送BRAS的MAC地址,该MAC地址被OLT的上行G28单板记录在MAC地址表内,且该MAC地址条目会将原先正常BRAS的MAC地址条目冲掉。 ,2,用户电脑发出PADI广播报文后,真正的BRAS和伪BRAS都收到该报文,然后真正的BRAS响应PADO报文,用户电脑正常接收.此时用户电脑会发出PADR报文,因PADR报文的发出是以BRAS的MAC地址为目的地(不区分端口信息),当该 ,OLT按照G28单板内伪BRAS的MAC地址条目,PADR报文送到OLT的G28上联板时 将该报文转发至伪BRAS,而伪BRAS无法响应PADR报文,导致用户拨号报676错误代码。 经验 总结 初级经济法重点总结下载党员个人总结TXt高中句型全总结.doc高中句型全总结.doc理论力学知识点总结pdf : 通过在OLT的下行PON口设臵欺骗MAC地址过滤策略,杜绝用户侧伪BRAS设备将真正BRAS的MAC信息发送至上层网络,排除故障。 设定的过滤规则如下: copy profile classifier New CHECKBRAS5B 建立一个名为CHECKBRAS5B的classifier conf 配臵模式 profile classifier CHECKBRAS5B 进入编辑classifier smac 00:30:88:01:d6:5b 源地址 00:30:88:01:d6:5b(BRAS地址) action deny 设定deny动作,拒绝, exit 将上述classifier配臵到指定端口 conf int olt-14-4 edit port olt-14-4 oos classifier CHECKBRAS5B edit port olt-14-4 is 查看建立的classifier的内容 sh profile classifier CHECKBRAS5B CHECKBRAS5B -------------------------------------------------------------------------------- Match: Destination MAC : * * Source MAC : 00:30:88:01:d6:5b * Vlan : * * Ethernet Type : * * User Priority : * * Diffserv Code Point : * * Protocol : * * Source IP Address : * * Destination IP Address : * * L4 Source Port : * * L4 Destination Port : * * Actions: Security : Deny Special : Pass Mark VLAN Tag : Mark VLAN Priority : Mark DSCP : Mark DP : Queue Mgmt Profile : NEW Queue Mgmt Service : Q0 Link: Next profile : 查询PON口上启用的classifier sh port conf olt-14-4 OLT-14-4 -------------------------------------------------------------------------------- Administrative state | OOS Forward error correction | OFF Packet classifier profile(s) (PON->SYS) | CHECKBRAS5B Queue manager profile (SYS->PON) | FIXED QoS ingress assignment mode | 802.1p QoS ingress marking mode | 802.1p Rate limited packet types | NONE Rate limit Mbps | 0 Peak information rate in Kbps | 0 Peak burst size in KB | 0 IPTV Admission Control Kbps | 0 Differential fiber reach | 0-20 km US total Kbps | 1244160 US PON overhead Kbps | 104448 US FEC overhead Kbps | 0 US OMCC bandwidth Kbps | 32768 US fixed bandwidth Kbps | 57344 US assured bandwidth Kbps | 0 US used Kbps | 194560 US available Kbps | 1049600 查看PM计数值～计数区间为两次命令之间的PM计数器计数到的数值 sh profile pm ap-14 DELTA CMPL CHECKBRAS5B 0 DELTA CMPL CHECKDST 0 DELTA CMPL CHECKSRC 0