03-PPP业务故障处理

第4章 PPP业务故障处理

4.1 PPP业务接入介绍

4.1.1 原理及重要概念

PPPoE(PPP over Ethernet)属于链路层协议其主要功能是提供一个在以太网上进行点到点连接建立PPP会话及封装PPP数据包的方法由此可以对以太网上的用户进行认证和IP地址的分配泛范围应用的补充性协议

PPPoE用于通过以太网方便的提供多主机的接入制和计费中器上

每个主机都可以用它自己的PPP协议栈

这使得接入控制

同时提供方便的接入控提供给用户的是一个常PPPoE是PPP协议在更广

使以太网的主机通过一个简单的桥接设备连到一个远端的接入集

计费及其它服务都是针对单用户的而不是

见的用户接口针对网点或主机

PPP有两种验证方式PAP为两次握手验证口令为明文CHAP为三次握手验证口令为密文PPP验证可以采用CHAP或PAP验证方法CHAP验证更为安全可靠

无论是CHAP或PAP只是一种验证过程最终能否通过验证还需要AAA来作决定AAA可以利用本地验证数据库验证或由AAA服务器进行验证MA5200为用户提供PPPoE接入方式在该接入方式中用户采用虚拟拨号的方式接入到MA5200中获得MA5200的服务

4.1.2 PPPoE的实现

PPPoE有两个不同的阶段发现阶段和PPP会话阶段1. 发现阶段

当一个主机希望发起一个PPP会话的时候与PPP建立的端对端的关系不同系端

通过发现阶段

一个主机

由于网络的拓扑结构

它必须首先通过完成发现阶段

去确认对端的以太Mac地址并建立一个PPPoE的会话标识(SESSION ID)

发现阶段建立的是一种客户服务器的关

可以发现一个接入集中器然后从中挑选一个与之通信

服务器发现发现

客户端

一个主机可以和多个接入集中器相联系

阶段允许主机先找到所有的接入集中器

4-1

MA5200宽带IP接入设备 故障处理手册第4章 PPP业务

阶段顺利结束后地址和会话标识

主机和接入集中器都可以得到它们在以太网上建立点到点

即用来唯一定义一个会话的两个因素

对端的以太网

连接时所需要的信息

在PPP会话阶段建立之前发现阶段一直保持无状态一旦PPP会话建立起来主机和接入集中器都必须为PPP的虚接口(virtual interface)分配资源发现阶段可以分为四个步骤第一步

主机在本以太网内广播一个PADI

PPPoE Active Discovery

Initiation包在此包中包含主机想要得到的服务类型信息第二步

以太网内的所有接入集中器在收到这个初始化包后

将其中请求的

服务与自己能提供的服务进行比较集中器不能发PADO包

其中可以为此主机提供此服务的接入集

中器发回PADOPPPoE Active Discovery Offer包不能提供此服务的

第三步主机可能收到多个集中器的PADO包主机通过PADO的内容依据一定的条件从发回PADO包的可提供服务的接入集中器中挑选一个并向它发回一个会话请求包PADR广播

PPPoE Active Discovery Request

非

在这个包中再次包含所想得到的服务的信息

第四步被选定的接入集在收到会话请求包PADR后就开始准备进入PPP会话阶段它会产生一个会话标识以唯一的标识它和主机的这段PPPoE会话

并把这个特定的会话标识包含在会话确认包PADS

中发回给主机

PPPoE Active

Discovery Session-confirmation到PPP会话阶段PPP会话阶段

在任何时候如果收到PADT报文

则一方面通知用户连接管理模块PPPoE

如果没有错误发生就进入

而主机在收到会话确认包后如果没有错误发生也进入到

的会话DOWN一方面清理此用户的相应连接信息2. PPP会话阶段

一旦PPPoE的会话阶段开始后主机和接入集中器之间就依据PPP协议传送PPP数据进行PPP的各项协商和数据传输在这一阶段传输的数据包中必须包含在发现阶段确定的会话标识并保持不变结束会话

正常情况下

会话阶段

的结束是由PPP协议控制完成的但在PPPoE中定义了一个PADT包用来

主机或者接入集中器可以在PPP会话开始后的任何时候通过发

送这个数据包来结束会话

MA5200设备PPPoE用户的上线过程如图4-1

4-2

MA5200宽带IP接入设备 故障处理手册第4章 PPP业务

PPPoe Server从IPC上收到HAB板发来的PPPOE发现阶段的报文在线用户的上网数据从业务板转发握手报文从业务板发送到主控板置用户连接表用户状态online由PPPoe ServeR建立PPPOE的会话通知用户连接管理模块PPPOESession Up通知radiusClient发送开始计费请求用户连接管理模块创建一个用户连接表项通知控制转发模块,同时进入PPP的LCP状态通知转发模块PPP模块LCP状态完成根据配置决定CHAP或PAP状态PPP进行IPCP协商阶段认证成功进行本地验证或由Radius Client向域名表中的RADIUS服务器发送认证请求获取上网用户名图4-1 PPPoE 用户的上线过程

4.1.3 PPP终端软件的安装与设置

PPP客户端软件为EnterNet系列目前最高版本为EnterNet 500EnterNet 300在Window 98第二版上安装为例(1) 执行安装目录下的命令setup.exe出现图4-2界面

本文以

4-3

MA5200宽带IP接入设备 故障处理手册第4章 PPP业务

图4-2 安装初始界面

(2) 系统弹出安装类型选择窗口如图4-3选择quick install(accept defaultsettings)然后单击弹出文件拷贝进度窗口如图4-4

图4-3 安装类型选择

4-4

MA5200宽带IP接入设备 故障处理手册第4章 PPP业务

图4-4 文件拷贝进度

(3) 文件拷贝完后系统会弹出如图4-5窗口选择computer now.

单击重启计算机

Yes,I want to restart my

图4-5 安装完成

(4) 重启系统后会在桌面上有EnterNet 300的图标如图4-6运行程序

弹出窗口

Profiles–EnterNet 300

如图4-7

双击该图标

双击图中的图标

Create New Profiles

4-5

MA5200宽带IP接入设备 故障处理手册第4章 PPP业务

图4-6 快捷图标

图4-7 配置界面

(5) 弹出如图4-8的对话框下一步>继续

输入要建立的连接名字如MA5200单击<

图4-8 连接命名

(6) 弹出如图4-9的对话框依次输入用户名用户密码密码确认下一步>

单击<

4-6

MA5200宽带IP接入设备 故障处理手册第4章 PPP业务

图4-9 用户名和密码

(7) 弹出如图4-10对话框单击<下一步>

图4-10 服务器信息

(8) 弹出如图4-11对话框单击<完成>

4-7

MA5200宽带IP接入设备 故障处理手册第4章 PPP业务

图4-11 完成连接配置

(9) 在EnterNet 300配置窗口中会出现一个我们刚才建立的连接图标MA5200如图4-12

图4-12 增加了连接图标的配置窗口

(10) 选中并激活建立的连接名MA5200弹出图4-13对话框同时系

统会在Windows工具栏中增加一个蓝色的指示连接的图标

4-8

MA5200宽带IP接入设备 故障处理手册第4章 PPP业务

图4-13 虚拟拨号上网

(11) 在图4-13中单击进行PPP拨号系统会在很短时间内显示图4-14并在Windows工具栏中显示绿色图标

表示拨号成功

图4-14 当前连接实时信息

注意

EnterNet系列软件在不同的操作系统版本上可能会出现不能正常拨号上网

的情况此时请注意该软件的使用说明

4-9

MA5200宽带IP接入设备 故障处理手册第4章 PPP业务

4.1.4 PPP接入组网

图4-15右侧所示为VLAN用户与MA5100的ADSL用户PPP用户共同组网

城域网/骨干网DHCPAAAL3 Switch100M/1000MMA5200100MVODWeb... ...S2403MA5200100M... ...... ...24󰀀10Base_TMA5100... ...24󰀀10Base_T... ...24󰀀10Base_T用户线ATU-R... ...ATU-R图4-15 MA5200 接入组网图

4.1.5 业务数据配置

MA5200 PPP业务接入的数据配置一般顺序见图4-16

配置IP POOL域配置引用认证

策略计费策略IPPOOLRadius服务器缺省本地认证不计费配置认证策略接口配置配置计费策略用户配置本地用户或Radius用户

配置Radius服务器图4-16 业务配置流程

4-10

MA5200宽带IP接入设备 故障处理手册第4章 PPP业务

4.2 常见故障现象及定位

PPP接入由于用户要实现正常的上网必须要在PC上安装PPPoE拨号软件Ethernet系列所以使用中要注意分析两方面的问题一个是MA5200本身及与其他设备对接等问题另一个就是PPPoE拨号软件本身的问题

4.2.1 PPP用户无法上网

首先同样应该检查光纤或网线连接是否中断LAN Switch是否掉电等如果物理连接正常但用户无法上网可以按如下步骤检查(1) 检查用户侧与以太网交换机之间的连接是否正常(2) 检查MA5200端口状态是否符合要求untagged

!

具体是tagged还是

还与用户侧与MA5200之间的交换机的设置有关系

如果能够拨号成功但无法上网

可能有如下原因

检查用户拨号情况

PPPoE拨号软件原因在Win XP操作系统下只能使用Ethernet 400

!

用户计算机原因可以在DOS下用route print查看是否有缺省路由如果没有需要重启计算机并重新拨号备缺少到用户网段的路由

MA5200缺少缺省网关或上连设

(3) 如果用户拨号协商成功但认证不通过括域是否激活入数等

帐号是否激活

检查用户帐号设置是否正确包

密码是否正确是否已达到用户名的最大接

4.2.2 PPP用户上网慢

(1) 检查用户侧与交换机交换机与HAB板HRB板与上层设备之间的工作模式是否匹配自协商模式

一般要求对接设备两端的工作模式必须一致

这时

如果设置为

可能协商成半双工需要强制把对接设备两端设为双方

都支持的某一全双工工作模式(2) 是否给用户设置了流控

注意分为用户流控和域流控

如果在域里设置

了set car-level和set car-default enable则域所有用户引用域设置的流控用户设置的流控无效注意当上行或下行的平均速率大于等于10M时峰值速率一定要控制不能超过该平均速率的4

5倍

4-11

MA5200宽带IP接入设备 故障处理手册第4章 PPP业务

4.3 案例

4.3.1 PPP用户拨号不成功

[案例标题]

EnterNet 300不支持Windows xp导致PPP用户拨号不成功[现象描述]

一栋楼单个用户反映用PPPoE拨号软件EnterNet 300拨号不成功整栋楼是通过S2403F上接MA5200上网所有用户都是PPPoE用户[原因分析]

通过电话询问该栋楼的用户都能上网

只有该用户不能上网

开始怀疑是

S2403F接该用户的端口坏掉更换端口故障依然[处理过程]

说明问题出在PC终端

到用户家查看发现该用户使用的是Window xp操作系统在现场用便携机用EnterNet 300拨号上网正常明400

于是定位问题是EnterNet 300不支持

Windows xp导致ppp用户拨号不成功到网上查看EnterNet 300软件的说

发现它不支持Windows xp操作系统Windows xp下必须用EnterNet

4.3.2 PPPoE用户异常上线

[案例标题]

由于S2403F端口没有划分VLAN导致PPPoE用户异常上线[现象描述]

MA5200版本是V100R002B01D00009S2403F--PC的组网方式

采用NE16--2630--MA5200--

MA5200只开通PPPoE业务小区PPPoE用户

到现场问题重现

只要把电脑设置成为自动

采用私网地址(地址段为10.X.X.X)在NE16上做NAT转换后接入公网用户不用拨号认证就能正常上网

获取IP地址方式开机就可以获取到一个192.168.0.X/24的IP地址网关指向192.168.0.1DNS也是192.168.0.1可以正常上网跟一般的PPPoE用户通过认证以后上网没什么两样

4-12

MA5200宽带IP接入设备 故障处理手册第4章 PPP业务

[原因分析]

由于S2403F各个业务端口划在同一个VLAN中S2403F采用缺省配置S2403F下带的PPPoE用户可以互通如果这台S2403F下面有一台pc1机

windows xp用户设定了internet连接共享并且通过PPPoE拨号正

这个时候在该PC1

常建立连接获得一个10.11.0.34/16的IP地址的话同时这台PC1启动DHCP功能而且设定网卡的IP为192.168.0.1/24

里面就建立了10.11.0.34到192.168.0.1的互通的关系这这种情况下如果在该S2403F下面再有一台PC2并且设定为动态获取IP地址的话pc2就可以获得一个192.168.0.x/24的IP地址一个PC2存在网络里[处理过程]

(1) 经检查MA5200数据确认MA5200并没有配置DHCP代理等其他功能

该用户连接的S2403F没有划分VLAN

并且网关和DNS都是

192.168.0.1PC2就顺利的上网了但是对于MA5200来说并不知道有

(2) 在用户现场模拟了一个环境利用操作系统为Windows xp的主机正常拨号上网并且开通INTERNET共享连接服务同时在同一台S2403F下面接另一台便携机PC2

并且设定该便携机为自动获取IP地址方式

(3) 在Windows xp这台电脑正确拨号上网以后另一台便携机PC2也就可以顺利上网了当Windows xp这台便携机断开网络连接以后上网

(4) 通过分析数据流得出是由于S2403F采用缺省配置时所有端口在同一个VLAN中在S2403F上为每个端口分配置一个不同的VLAN测试PC2不能获得非法地址问题解决

在进行PC2也不能

4.3.3 PPPoE用户异常下线

[案例标题]

PPPoE接入时由于RADIUS服务器不支持实时计费导致用户异常下线[现象描述]

MA5200的版本为V100R002B03D106用户通过PPPoE拨号RADIUS远端认证上网

发现上网半小时左右就下线了

用户端PPPoE拨号软件显

示与服务器断开连接必须重新连接再过半个多小时又下线[原因分析]

4-13

MA5200宽带IP接入设备 故障处理手册第4章 PPP业务

MA5200目前的RADIUS计费设置中每隔固定时间就会产生一个实时计费报文送到RADIUS服务器上要求对端RADIUS服务器必须响应该实时计费报文

即不管服务器是否真的进行实时计费

都要返回一个计费响应报文

或者对此报文不响应

给5200如果对端RADIUS服务器不支持该报文在重试了指定的次数后从而将用户强行下线[处理过程]

(1) 打开DEBUG RADIUS和DEBUG RADIUS-PKT开关发现用户可以正常认证通过也开始正常计费但经过一段时间后分钟

MA5200默认值为12

MA5200就会认为与RADIUS服务器的联系中断

MA5200就开始向主用RADIUS服务器发实时计费报文但3秒后

3秒后仍没有响应

第三

发现没有收到计费响应报文就又重新发了一次

次将MA5200就认为主用RADIUS服务器可能出现了问题就将数据报文发向备用服务器结果3秒后仍没有响应

MA5200就放弃了重试又过了

12分钟后MA5200又重复了上述过程结果仍然一样再过12分钟后MA5200最后一次重试发现RADIUS服务器仍没有响应就认为RADIUS服务器可能都出现了问题放弃了重试将用户强行下线以防止损失(2) 询问RADIUS厂家得知该服务器不支持实时计费报文只支持上线计费报文和下线计费报文

(3) 由于MA5200没有控制发送实时计费报文的命令为了使实时计费不影响用户的正常认证和计费需要将MA5200 RADIUS HOST中的两个属性realtime-account-interval 和permit-failed-count 的值都更改为255可以保证用户上网只要不超过255×255常下线[建议与总结]

在与RADIUS对接时利用DEBUG RADIUS和DEBUG RADIUS-PKT开关

可以实时监控MA5200和RADIUS服务器的通讯协助排除问题

这样就

65025分钟=1083小时就不会异

4.3.4 PPPoE用户获得VLAN用户IP地址

[案例标题]

数据配置不当导致PPPoE用户获得VLAN用户IP地址[现象描述]

4-14

MA5200宽带IP接入设备 故障处理手册第4章 PPP业务

某局点开MA5200MA5200软件版本为MA5200V100R002B01D00009组网为MA5200上行对接设备为路由设备MA5200

有5块以太接入板

1

下挂35台S2403F其中27台S2403F下挂用户采用PPPoE接入方式少量S2403F(8台)下挂用户采用VLAN接入方式初步规划为槽位为02的HAB板和槽位为3的HAB板部分端口下挂PPPoE用户而槽位3和槽位4挂VLAN用户根据局方要求要进行用户隔离要求每一个S2403F的端口都划一个VLAN所以工程师将PPPoE的用户的VLAN ID设置为1

24VLAN用户的VLAN ID设置为31以后用户测试的时候发现PPPoE

但是如运行拨号程序

的用户在重起机器后就已经获得了一个本属于VLAN用户的地址果不运行拨号程序获得正确的地址是PING不通DNS的后

用户获得了正确的地址

用户仍能正常上网

这说明

虽然用户获得了

两个地址但是并不影响PPPOE用户的上网但是PPPoE用户占用了VLAN用户的IP地址必然会造成VLAN用户的地址池不足,影响用户上网[原因分析]

在配置VLAN用户端口数据的时候并没有将VLAN 1-24 BLOCK掉,而系统默认是ACTIVE的所以用户在重起机器时会通过内置DHCP的认证获得VLAN用户的地址至于用户在运行拨号程序之前获得的本属于VLAN用户的地址PING不出去是很容易理解的因为工程师并没有配置VLAN ID<24的用户账号[处理过程]

把VLAN 1--24BLOCK掉或者把S2403F的上行口改为UNTAGGED应MA5200的下行口也改为UNTAGGED测试结果恢复正常户不能再获得VLAN用户的地址

相

PPPoE用

4.3.5 PPPoE用户RADIUS认证失败

[案例标题]

因PPPoE拨号软件设置问题导致PPPoE用户RADIUS认证失败[现象描述]

某局MA5200

版本为MA5200V100R002B01D00007

基本组网为

MA5200+MA5100+CPE下挂用户采用PPPoE接入RADIUS认证机房人员在机房里用PPPoE帐号拨号在RADIUS上发现该认证已通过但是MA5200总是发出计费停止报文常拨号上网

用户很快就掉线

但是其他用户又可以正

4-15

MA5200宽带IP接入设备 故障处理手册第4章 PPP业务

[告警信息]

[AAADebug]EventUCM->AAA:AuthReq,IE=Unknown,Ref=778240000,Info=41475456[AAADebug]FSM:UCIB=1721;State=Void

[AAADebug]AuthenInfo:UN=bnadsltestPAP=123456Port=0x01000000[AAADebug]EventAAA->RDS:AuthReq,IE=Accept,Ref=0,Info=41475456[AAADebug]FSM:UCIB=1721;State=WaitAuthAck[RDS_Debug]SendRawPakcetis:

[RDS_Debug]Send:IP=[61.166.150.99],UserIndex=[1721],ID=[26],RetryTimes=[0],Code=[1],Length=[70]

[RDS_Debug]ReceiveRawPacketis:

[RDS_Debug]IP=[61.166.150.99],Code=[2],Length=[74]

[AAADebug]EventRDS->AAA:AuthAck,IE=Accept,Ref=0,Info=42698752[AAADebug]FSM:UCIB=1721;State=WaitAuthAckChangeIpSectionBitMap->change5from0to8

AllocIpAddrFromIpSection->successgetip218.63.71.7

AllocIpAddrFromPool->alloc ip 218.63.71.7 from section 0 pool 0[AAADebug]Local IP allocated for UCIB 1721 as RADIUS NAS-Alloc:218.63.71.7

[AAADebug]Event AAA->UCM: AuthAck,IE=Accept,Ref=0,Info=42698752[AAADebug]FSM: UCIB=1721;State=WaitLoginReq

[AAADebug]Event UCM->AAA: LoginReq,IE=Unknown,Ref=778240000,Info=0[AAADebug]FSM: UCIB=1721;State=WaitLoginReq

[AAADebug]Event AAA->RDS: LoginReq,IE=Unknown,Ref=778240000,Info=0[AAADebug]FSM: UCIB=1721;State=WaitLoginAck[RDS_Debug]Send Raw Pakcet is:

[RDS_Debug]Send:IP=[61.166.150.99],UserIndex=[1721],ID=[10],RetryTimes=[0],Code=[4],Length=[86]

[RDS_Debug]Receive Raw Packet is:

[RDS_Debug]IP=[61.166.150.99],Code=[5],Length=[28]

[AAADebug]Event RDS->AAA: LoginAck,IE=LoginAck,Ref=0,Info=0[AAADebug]FSM: UCIB=1721;State=WaitLoginAck

[AAADebug]Event AAA->UCM: LoginAck,IE=LoginAck,Ref=0,Info=0

[AAADebug]Event UCM->AAA: LogoutReq,IE=Unknown,Ref=778240000,Info=0[AAADebug]FSM: UCIB=1720;State=Online

[AAADebug]Event AAA->RDS: LogoutReq,IE=Unknown,Ref=778240000,Info=0[AAADebug]FSM: UCIB=1720;State=WaitLogoutAck[RDS_Debug]Send Raw Pakcet is:

[RDS_Debug]Send:IP=[61.166.150.99],UserIndex=[1720],ID=[11],RetryTimes=[0],Code

4-16

MA5200宽带IP接入设备 故障处理手册

=[4],Length=[116]

[RDS_Debug]Receive Raw Packet is:

[RDS_Debug]IP=[61.166.150.99],Code=[5],Length=[28]

第4章 PPP业务

[AAADebug]Event RDS->AAA: LogoutAck,IE=LogoutAck,Ref=0,Info=0[AAADebug]FSM: UCIB=1720;State=WaitLogoutAck

[AAADebug]Event AAA->UCM: LogoutAck,IE=LogoutAck,Ref=0,Info=0[AAADebug]FSM: UCIB=1720;State=Stop

[AAADebug]Event UCM->AAA: Free,IE=Accept,Ref=0,Info=0[AAADebug]FSM: UCIB=1720;State=Stop

[原因分析]

在机房拨号用户无法成功并且在RADIUS上能观察到该用户认证通过但是其他的用户可以正常拨号上网我们确认MA5200的配置没有问题怀疑机房的PPPoE拨号软件设置有问题[处理过程]

(1) 机房采用认证拨号时RADIUS上能看到认证通过这就说明到MA5200的物理链路没问题可确认问题出在终端上(2) 检查网卡

发现运行正常

所以问题就定位到了PPPoE的拨号软件上

ENTERNET300

(3) 检查PPPoE软件设置配置选卡成了需要

(4) 将此值改成不需要加密

RADIUS认证和本地认证都可以通过了发现在用来拨号的这个连接的属性里

默认值是不需要

有一个

此选卡里有一项是说是否需要加密但是却选

4.3.6 升级后部分PPPoE用户认证失败

[案例标题]

R002版本用户名不区分大小写导致升级后部分PPPoE用户认证失败[现象描述]

MA5200下接S2403F

用户采用PPPoE接入认证方式为RADIUS认证

升级后版本为

MA5200升级前的版本为V100R001B01D00006法认证通不能上网客户端所用软件为ENTERNET 300[原因分析]

(1) 主机版本与单板版本不配套

4-17

V100R002B01D013升级前PPPoE业务正常升级后部分PPPoE用户无

MA5200宽带IP接入设备 故障处理手册第4章 PPP业务

(2) 与RADIUS服务器通信不正常(3) 数据配置不对

(4) PPPoE客户端软件问题[处理过程]

(1) 首先用show version查看主机主机版本为V100R002B01D013show board查看各单板版本版本也为V100R002B01D013问题

(2) 从MA5200控制台上PING RADIUS服务器可以PING通用SHOWRADIUS-SETTING查看RADIUS服务器状态RADIUS通信没有问题

(3) 由于只有几个用户上不了网查看MA5200数据配置没有问题(4) 可能PPPoE软件在客户端使用存在一定的问题了一下用户可以上网(5) 打开DEBUG网的用户

用一个临时账号测试STATE=UP

MA5200与

用

软件版本没

说明用户的PPPoE软件没有问题

与局方沟通

了解到不能上

系统提示用户账号不存在

账号在RADIUS侧均为大写而从打开的DEBUG信息发现

MA5200送往RADIUS的认证报文中用户名为小写

(6) 原来的R001版本是区分大小写的但是为了更好的适应用户的使用习惯

R002版本中已取消大小写的区分

RADIUS侧把数据改为小写

用户

可以正常上网

4-18