弘浩明传AC培训之运维篇Ver1.0.ppt

AC培训之运维篇,Date /2011.07,技术支持部,Title,管理平台维护常用命令 业务平台维护常用命令 AP加入AC阶段常见问题 用户获取不到地址常见问题 用户获取地址，无法正常弹portal页面 用户弹出portal，无法通过认证,1、管理平台常用维护命令,1.1、如何修改管理平台后台账号密码,在管理平台后台命令行提示符下输入： passwd 根据提示输入新的口令 可以修改root，vupdate用户默认口令。,1.2、如何修改接口IP地址,/etc/network.d/目录下存放的是网卡配置文件 ifcfg-ethX (X是网卡的编号，为数字0-5) 此配置文件的格式如下： DEVICE=eth3 ONBOOT=yes BOOTPROTO=none HWADDR=00:0b:ab:1a:9c:a4 NETMASK= IPADDR=7 TYPE=Ethernet USERCTL=no IPV6INIT=no PEERDNS=yes 其中我们只需要配置蓝色的两个字段即可 系统内置vi编辑工具，可以直接用vi编辑相关配置文件。,1.3、增加静态路由和默认路由,/etc/network.d/目录下存放有静态路由配置文件static_route static_route的配置格式如下： -net /24 gw default gw 其中第一条是网段路由,其含义是： 目的IP是 掩码为这个网段的, 网关为 其中第二条是默认路由,其含义是： 默认路由为,1.4、修改网络配置文件，让其立即生效,修改/etc/network.d下面的网络配置文件后, 如果想其立即生效 执行/etc/init.d/network restart 保存配置文件 执行copy_run_to_startup,1.5、debug命令,排查故障时可以打开后台的debug命令，输出相关调试信息，执行较多的命令如： 执行debug accomm all 关闭debug消息打印 执行no debug accomm all,2、业务平台常用维护命令,2.1、如何配置带vlan标记的互联接口,interface GigabitEthernet 1/0.0 vlan id 49 ip address 22 52,2.2、接口协商常见问题,如果和对端设备link不上，建议对端设备接口配置强制全双工，业务板接口配置以下命令 interface GigabitEthernet 1/0.0 duplex full #强制全双工 业务板2、3号端口和对端设备link不上（包括业务板的12GE背插扩展板），尝试在全局模式下配置以下命令 BNOS(config)# Front-Port-Serdes port 2 BNOS(config)# Front-Port-Serdes port 3,2.3、查看端口状态,查看端口1/0状态 show interface 1/0 查看所有端口状态 show interface GigaEthernet 1/0: = Ethernet address is 00:08:d2:f2:70:a1 MTU is 1500 Line link state is UP Admin state is UP Work mode is 1000m, full 55018(53.746k) packets received 64bytes: 1164(1.140k) 65-127bytes: 31000(30.280k) 128-255bytes: 5302(5.182k) 256-511bytes: 4099(4.003k) 512-1023bytes: 3607(3.535k) 1024-1518bytes: 9810(9.594k) 1519-1530bytes: 36(36) 50679(49.503k) packets sent 64bytes: 160(160) 65-127bytes: 23987(23.435k) 128-255bytes: 3184(3.112k) 256-511bytes: 4487(4.391k) 512-1023bytes: 3392(3.320k) 1024-1518bytes: 13189(12.901k) 1519-1530bytes: 2280(2.232k) 1444(1.420k) multicast packets received 0(0) multicast packets sent 24(24) input errors, 0(0) output errors 23(23) drops rcvd rate is 0(0)packets/s, 34(34)/s sent rate is 0(0)packets/s, 32(32)/s Interface doesnt config IP address,2.4、查看dhcp用户信息,查看dhcp用户信息 BNOS# show dhcpuser IP 用户MAC 接入MAC PORT VLAN CVLAN LEASE ONLINE = 00:11:b5:1b:89:86 00:11:b5:1b:89:86 0 1409 1449 600 108 00:11:b5:1b:89:a0 00:11:b5:1b:89:a0 0 1409 1449 600 104 00:11:b5:1b:89:5c 00:11:b5:1b:89:5c 0 1409 1449 600 285 2 00:11:b5:1b:8a:10 00:11:b5:1b:8a:10 0 1409 1449 600 80 - Total online users: 4 BNOS#,2.5、查看认证用户信息,查看认证用户信息 BNOS# show auth-user 当前系统中共有30个认证用户在线 用户名 IP地址 端口 VLAN 类型 上网时长 =du 1 3480 dhcpS 4:45:12du 1 3480 dhcpS 0:15:44du 3 1 3480 dhcpS 1:25:44du 70 1 1801 dhcpS 3:21:21du 74 1 1801 dhcpS 4:26:26du 75 1 1801 dhcpS 3:3:52du 82 1 1911 dhcpS 0:28:30du 96 1 1799 dhcpS 3:50:20du 33 1 1799 dhcpS 2:40:7du 1 1801 dhcpS 0:57:560 1 1737 dhcpS 0:53:122 1 1739 dhcpS 1:2:2du 1 1 1799 dhcpS 0:19:301 1 1797 dhcpS 0:3:37du 48 1 1799 dhcpS 1:55:2du 68 1 1801 dhcpS 7:45:8 BNOS#,2.6、查看用户隧道转发表信息,查看用户隧道转发表信息 BNOS# show wireless station STA_MAC VLAN_AC VLAN_AP BSSID TunnPeerIp Tick LcTunId LcSesId RtTunId RtSesId SSID = 00:25:d3:6f:92:1b 1831 1831 00:11:b5:1a:2a:a6 8 131557412 779 34 779 34 CMCC 00:1f:3c:23:f4:fb 1799 1799 00:11:b5:1a:10:1d 5 146531968 716 5 716 5 CMCC-EDU 00:24:d2:60:ce:09 1911 1911 00:11:b5:1a:14:9e 51 148873511 141 3 141 3 CMCC-EDU 00:12:f0:41:90:b0 3480 3480 00:11:b5:19:d3:16 9 146828700 254 28 254 28 CMCC-EDU 00:25:d3:fb:3d:2a 1801 1801 00:11:b5:1a:0f:19 31 148207018 745 8 745 8 CMCC-EDU c4:17:fe:51:40:ff 1801 1801 00:11:b5:1a:2b:ed 36 147851884 172 11 172 11 CMCC-EDU 1c:4b:d6:58:e3:3e 3480 3480 00:11:b5:19:69:24 6 148552138 266 64 266 64 CMCC-EDU 00:0f:10:72:03:69 1739 1739 00:11:b5:19:c9:5a 0 148694949 415 0 415 0 CMCC 00:26:82:2c:b9:32 1803 1803 00:11:b5:1a:2b:57 26 148019106 677 0 677 0 CMCC-EDU 00:13:02:23:79:9e 1801 1801 00:11:b5:1a:0f:19 31 148621183 745 22 745 22 CMCC-EDU 00:26:5e:88:64:88 1803 1803 00:11:b5:1a:2b:57 26 147358848 677 0 677 0 CMCC-EDU 00:15:af:52:a6:9b 1783 1783 00:11:b5:17:f6:38 89 148749577 621 0 621 0 CMCC 00:1f:3b:04:ef:6f 1799 1799 00:11:b5:1a:10:59 1 148087423 722 14 722 14 CMCC-EDU 00:1f:3c:33:cb:65 1799 1799 00:11:b5:1a:10:59 1 148904055 722 30 722 30 CMCC-EDU 00:e0:4c:9b:85:5f 1803 1803 00:11:b5:1a:10:8b 27 145850746 679 0 679 0 CMCC-EDU 1c:4b:d6:92:a8:e7 1801 1801 00:11:b5:1a:0f:19 31 147781170 745 68 745 68 CMCC-EDU BNOS#,2.7、常用debug调试开关,Dhcp调试开关 debug dhcp #打开dhcp调试开关 no debug dhcp #关闭dhcp调试开关 Radius调试开关 debug radius #打开radius调试开关 no debug radius #关闭radius调试开关 Portal调试开关 debug exportal #打开portal调试开关 no debug exportal #关闭portal调试开关,3、AP加入AC阶段常见问题,3.1、ap无法获取地址或获取地址不正确,排查流程图,3.1、ap无法获取地址或获取地址不正确,排查步骤 AP到AC为二层组网方式： 如果AP加电正常，则在AC上开启debug dhcp,查看是否有AP的DHCP Discover请求包上来，如果有DHCP Discover包，则先检查AP地址池配置，available-interface port vlan 是否配置正确，ip dhcp server 是否配置正确，option-60 enterprise-code 配置是否正确。确认以上配置无误，则需根据打印信息判断上报的信息是否为AP发出（根据MAC地址以及接入端口和VLAN）。如果AC回复offer报文，未收到AP的request报文，原因可能是AP发了，但未正确上传到AC，需检查线路和中间设备配置，特别注意热点接入交换机环路以及中间交换机的QINQ配置； 如果AC上没有看到debug 打印信息，则说明Discover包没有上传至AC，故障可能出现在传输或者中间设备上，排查思路可以跟踪AP MAC地址，从接入层交换机开始排查，查看是否存在AP MAC和对应的VLAN ID，如果有MAC但对应的VLAN ID不正确，需要检查交换机接口配置。 确认AC所下发的业务VLAN和接入层交换机没有问题，且接入层交换机又可以正常查看到AP的MAC，这就要一层一层逐一往上跟踪AP MAC，直到找到丢失AP MAC的交换机，找到这台交换机检查接口配置，同时也要检查这台设备的下联设备接口配置，查看是否有透传AP管理VLAN。,3.1、ap无法获取地址或获取地址不正确,AP到AC为三层组网方式： 首先确认AC上是否可以看到打印信息，如果没有，则在中继设备上查看是否有打印，如果中继设备也没有打印，则按上述：“AP到AC为二层组网方式”处理方法排查。注：三层接入地址池接入控制语句ip pool available-interface 需配置在全局模式下。 如果中继上有DHCP Discover包，但AC上没有，则在AC上检查看能否PING通中继上AP地址池的网关，如不通则检查路由配置，（注有时候要ping通中继网关需先no掉三层地址）检查完确认路由无问题，在重新配置ap三层管理地址池，no地址池时请将全局模式下的ip pool available-interface 语句一并no掉。 在AC上如果可以看到Discover包和Offer包，但没有其它报文，这就需要检查中继设备，在中继设备上可以看到OFFER，但AP端收不到，在确保VLAN透传配置无误的情况下，基本是中继配置有问题，如果是华为设备作BRAS ,AC置的dhcp server地址与华为上配置的dhcp relay地址一致. AP的地址不是从AC上获取的； 一般原因为，ap发送多次携带option60属性的dhcp请求报文，没有得到响应，一定时间后，发送普通dhcp请求报文，获取了其他dhcp服务器分配的ip地址。一般为传输线路中间配置不正确，未正确透传AP管理VLAN或者中继设备配置不正确。,3.2、ap正确获取地址，无法加入到AC,排查流程图,3.2、ap正确获取地址，无法加入到AC,排查步骤： 查看管理地址池中相关AC管理地址的语句是否配置正确。 option-60 ac-manage-ip option-43 ip-list 原则是AC管理平台地址必须与AP获取的地址路由可达；如果AP到AC为三层，且管理平台是nat出去的，AP只能访问nat后的管理平台地址，那么此地址就需要配置为nat后的管理平台地址。确保AP获取了正确的AC管理平台地址，可以远程到AP上查看相关AP日志。 从管理平台直接ping AP的ip地址，看是否能通。 如果不通，在管理平台用route n查看是否有正确的默认路由，如果存在两条默认路由则删除其中一条不正确的，直到能ping通AP的ip。提示如果AP到AC是三层，AP可以直接访问管理平台地址而不是nat后的管理平台地址，那么无需在ap三层管理地址池下配置ip nat outside，否则可能会出现管理平台无法ping通ap的ip地址。 Ap能正常ping通管理平台，但无法加入ac。 可以在管理平台后台打开相关调试开关，查看在步骤加入不正常。 #debug accomm all 关闭调试开关 #no debug accomm all 一般为没有配置正确的AP版本信息，可以根据调试信息看到AP上报的版本信息。 确保AP状态不是胖AP模式，确保运行的瘦AP版本和AC版本经过了严格联调测试。,3.3、ap加入到AC，但配置无法下发,排查步骤： 查看AP所在的分组是否和相应的WLAN分组正确关联。 在web管理页面，WLAN-分组策略关联中，AP所在的分组是否和WLAN分组关联。 是否配置了错误的AP升级参数。 在web管理页面，基本配置-AP版本信息中，升级特征码、目标版本以及目标版本文件是否配置正确，如果AP升级失败，可能会不断重启循环走升级流程，导致配置无法正确下发。 AC管理平台和AP之间单向通信故障也可能出现在管理平台上显示AP在线但无法下发配置的情况。 在管理平台show wtp，然后选择ping 其中的某一个AP，看是否能ping通，如果不通参考3.2中处理。,4、用户获取不到地址,4.1、用户获取不到地址,排查流程图：,4.1、用户获取不到地址,排查此类故障，首先要查看是否是所有的STA获取不到地址，还是极个别少数的STA获取不到地址，如果是个别现象，要看这些STA是否有相同属性，比如在同一个热点（一个ONU下或者一个接入交换机下或者一个AP下），主要关注传输故障、AP故障、某个热点的SSID配置是否正确等。因为如果AC出现问题，应该是全部STA都无法获取地址，而不会是某一小部分。还有个要注意的地方就是，现场AP无线信号质量如何，是否干扰严重，这个都会影响到用户获取地址，如果所有STA都无法获取地址，那么按照以下方法排查。,4.2、本地转发模式，用户获取不到地址,排查步骤： 在接入平台开启debug dhcp调试开关，查看是否收到用户DHCP请求信息，如果没有则主要放在链路排查上。通过排查接入交换和汇聚交换机，查看用户的业务VLAN有没有一级一级透传到AC上来（用户地址在外置BRAS上拿地址的话，采用同样的排查方法）。 检查WLAN分组中的SSID配置，如果AP的管理VLAN和业务VLAN在同一个VLAN当中，SSID的VLAN ID需配置为0，如果管理VLAN和业务VLAN不是同一个VLAN，则SSID中的VLAN ID需配置成业务VLAN ID（确保接入交换机接AP端口为业务VLAN打上相应标签）。 如果接入平台有收到用户DHCP请求报文，看AC是否回给用户OFFER报文，以及用户终端收到OFFER报文后是否发出REQUEST报文，AC收到用户终端的REQUSET报文后会发一个ACK确认报文，用户终端收到ACK确认报文，整个DHCP流程就正常走完，用户终端就可以获取到正确IP地址，任何一个环节出现问题，都会导致用户终端获取不到地址。 一般问题会出现在以下几种情况之一：,4.2、本地转发模式，用户获取不到地址,提示找不到可用的地址池，一般是地址池中的available-interface port X vlan XXX语句配置参数与用户终端上报的端口和VLAN号不匹配，或者是地址池中配置有option60属性。 接入平台有回OFFER报文，但未收到用户的REQUEST报文，此种情况可能是AP到AC单向通信造成，比如中间交换机有配置QINQ，也有可能是接入交换机端出现了环路，产生了广播风暴，导致报文在接入交换机端丢失，重点排查放在中间链路。如果条件允许可以在AP接入交换机和AC下行口（用户报文上传AC端口）同时抓包。 接入平台报CPU利用率高，用户获取不到地址，基本上是接入交换机或者是传输端发生环路，产生广播分包，AC收到大量广播报文，导致拒绝服务。,4.3、集中转发模式，用户获取不到地址,集中转发模式下用户获取不到地址，首先应该检查下发的SSID是集中转发模式还是本地转发模式，然后应该检查隧道配置是否正确，确保隧道能正常工作。 排查步骤： 接入平台下show wireless station是否有隧道表，有则表示数据同步正常。如果没有检查相关隧道配置，比如管理平台的access.conf和forword.conf文件配置，管理平台隧道目的地址（接入平台地址，AP路由可达的接入平台地址）、隧道端口（5248）、隧道模式（1-MACBrigde），接入平台的相关隧道配置。 管理平台的业务VLAN配置，特别是WLAN和VLAN关联，如果没有qinq配置，内层VLAN就是对应业务VLAN，外层VLAN配置为0。 排查隧道故障两个调试开关，debug wireless-data-tunnel和debug wireless-data-sync，在全局模式下执行，可以跟踪处理隧道报文经过，以及用户关联数据等信息。 如果是三层终结的隧道模式，show wireless station隧道表建立正常，用户还是获取不到地址，参照本地转发排查步骤3。 如果是二层转发的隧道模式，show wireless station隧道表建立正常，用户还是获取不到地址，则需要检查上面BRAS的数据是否制作正确，以及透传的业务VLAN是否准确无误。,5、用户获取地址，无法正常弹portal页面,5、用户获取地址，无法正常弹portal页面,排查流程图,5、用户获取地址，无法正常弹portal页面,排查步骤: STA首先在windows dos窗口下输入命令ping 40（portal服务器地址）,如果能pint通，再在dos窗口下输入nslookup命令，根据提示输入或者其他网站域名，看是否能解析成IP地址，如果提示time out无法正确解析，则肯定是DNS域名服务器出现故障了，可以尝试在IE浏览器页面直接输入回车，正常情况应该是能打开portal页面； 如果STA无法ping通portal服务器地址，则重点放在AC上。通过console或telnet进入AC接入平台，在AC上ping portal地址，如果不通，排查AC的出口路由，主要是定位AC与portal服务器之间网络是否正常通信。如果在AC上可以ping通，检查AC配置，例如认证策略配置，用户地址池内引用的策略是否允许用户不经过认证就访问portal服务器。 如果无线用户可以同时ping通portal服务器及正常DNS解析，打开浏览器输入任意IP地址或网站，观察AC是否重定向portal的URL，如果AC重定向到portal服务器，但是portal服务器无法推送认证页面，同时无线用户再手工输入portal页面的URL是否可以正常打开portal页面，如果不行，请与局方沟通，协调portal厂家，共同进一步定位问题所在。 如果打开portal页面时提示非热点区域，或者获取不到AC地址等错误提示，则表示portal服务器侧未注册ac和用户地址段相关信息。,5、用户获取地址，无法正常弹portal页面,如果无线用户通过浏览器无重定向portal的URL，我们重点检查AC上的认证策略（用户地址池认证前只允许访问portal地址、自服务地址和国漫服务器地址，其他地址不允许访问）以及AC负荷情况（查看CPU利用率等，看是否遭到了TCP同步攻击等现象）。 有的省市具有集团的portal和省内自己的portal两套系统，对重定向的url后携带的字段要求不一致，例如有的省份要求携带wlanacip字段、vlan字段等，比如说移动集团星巴克功能需要携带ssid字段，移动集团也为CMCC和CMCC-EDU用户定制了个性化的portal页面都需要携带ssid字段，这些字段如果上报不正确也无法弹出正确的相应的portal页面。 列出几个常用的在全局模式配置携带字段的语句： ex-portal ac-name string wlanacip ipaddress 配置AC推送的portal-url中ac-name 值和wlanacip的值，其中wlanacip为可选参数，不配置则推送的protal-url不会携带wlanacip。 wireless star