ME60用户无法上线异常掉线问题分析_V2

1、HUAWEI TECHNOLOGIES CO., LTDHuawei Confidential Security Level: 2021-12-14ME60ME60用户无法上线、用户无法上线、异常掉线问题分析异常掉线问题分析目录目录 用户上线流程介绍用户上线流程介绍 用户无法上线定位方法及思路用户无法上线定位方法及思路 无法上线问题案例分析无法上线问题案例分析 用户异常掉线定位方法及思路用户异常掉线定位方法及思路 异常掉线问题案例分析异常掉线问题案例分析HUAWEI TECHNOLOGIES CO., LTD.Huawei Confidential Page 3用户上线流程介绍l用户上线流程简

2、单来说就是用户在用户上线流程简单来说就是用户在BRAS上进行认证登记，上进行认证登记， BRAS下发用户数据转发所需下发用户数据转发所需要表项到底层的过程。要表项到底层的过程。l1. 用户发出连接请求报文到达BRAS 后，BRAS 的接入识别组件负责处理用户报文，从中提取用户的物理位置信息并判断是否允许接入，如果允许接入则向连接管理组件发用户连接请求。l2. 连接管理组件根据接入限制等条件判断是否允许用户接入，如果允许用户接入，给接入识别组件回应成功。l3. 接入识别组件接到连接管理组件成功回应后，通知用户，用户向接入识别组件发认证请求报文，接入识别组件从报文中提取用户名等认证信息，将认证信息

3、打包后发送给连接管理组件要求认证。l4. 连接管理组件将来自接入识别组件的认证请求转发给AAA 及用户管理组件。l5. AAA 及用户管理组件根据认证方案、授权方案进行认证和授权，然后将认证结果连同授权信息回应给连接管理组件。l6. 如果认证成功，连接管理组件向地址分配与管理组件申请IP 地址。l7. 地址分配与管理组件根据用户的地址池信息，采用相应的地址分配策略分配IP 地址（远端地址需要到外部的DHCP 服务器分配），并将分配结果回应给连接管理组件。l8. 连接管理组件将认证结果连同IP 地址一起回应给接入识别组件，接入识别组件与用户交互后，用户即可上线。l9. 用户上线后，AAA 及用户

4、管理组件、业务控制组件共同负责对用户使用的基本业务、增值业务进行计费、带宽限制、QoS 等控制。HUAWEI TECHNOLOGIES CO., LTD.Huawei Confidential Page 4PPP用户上线流程用户PPPoEPPPCMAAARadiusAMDHCPC拨号上线 PPPoE发现阶段协商创建PPPoE控制块 底层链路Up事件创建PPP控制块 LCP协商开始Chap认证，发送Challenge回应Chap Challenge，发送用户名发起用户认证请求携带用户物理信息创建用户表项用户认证请求认证请求认证回应，可能含有授权信息认证回应（含有授权信息）根据AAA授权获取IP地

5、址通过DHCPC向服务器申请地址 地址申请回应用户认证回应IPCP协商连接UPSAM下发用户CIP表项用户CIP表项下发成功回应上线连接完成通知上线完成计费开始请求计费开始回应用户获取IP地址，上线成功PPP连接UP回应Chap Success，认证成功HUAWEI TECHNOLOGIES CO., LTD.Huawei Confidential Page 5DHCP用户上线流程用户上线完成客户终端DHCPRDHCPSUCMAAAAM RadiusSAMDiscovery报文 连接请求用户认证请求远程认证请求认证回应用户认证回应含授权信息CM连接回应，含地址池号转发discovery根据地址

6、池号，申请地址和网关从地址池中分配空闲地址回应OfferOffer报文Request 报文转发Request地址Renew或地址确认请求地址申请成功回应ACKAck报文连接建立UP下发CIB表项CIB表项下发回应创建用户Mac Hash表项创建用户表项用户获取IP地址，上线成功上线连接完成通知ARP下发ARP探测请求创建ARP表项，启动探测定时器ARP探测请求回应拆分CIB表项，下发到微码HUAWEI TECHNOLOGIES CO., LTD.Huawei Confidential Page 6l上述用户上线流程中的任何一点有问题都会导致用户无法上线上述用户上线流程中的任何一点有问题都会导致

7、用户无法上线l具体问题点可通过如下手段进行确认具体问题点可通过如下手段进行确认ptrace - 定位无法上线问题的杀手锏pdisplay aaa online-fail-record pdebug p客户端及设备镜像抓包ltrace无信息无信息p二层设备及链路pVlan配置pME60配置p单板硬件p单板VLAN表项用户无法上线定位方法及思路ltrace有信息有信息p规格pIP地址池配置pRadius服务器pDHCP服务器pME60设备内部队列HUAWEI TECHNOLOGIES CO., LTD.Huawei Confidential Page 7用户上线失败原因解释User online

8、fail reason解释PPP authentication fail PPP用户认证失败，一般是用户名和密码不匹配导致。IP address alloc fail IP地址分配失败。一般是地址池分配光了，没有可用的IP地址导致。IP address conflict IPIP地址冲突，一般是静态用户的IP地址没有从地址池中禁止掉导致。mac address conflict MACMAC地址冲突，一般是MAC地址仿冒，有攻击Start accounting fail开始计费失败，ME60到计费服务器之间的链路不通，或者计费服务器没有正确配置导致不回应计费报文。Domain or user

9、access limit域或用户接入限制，域下或者用户配置了接入用户的限制数量Port access limit端口接入限制，bas接口下配置了接入用户数量的限制PPP negotiate fail PPP协商失败，一般是PPP协商参数配置的不一致导致。Send authentication request fail发送认证请求失败，ME60到radius服务器的链路不通，路由不可达，或者radius服务器配置不正确，不回应认证报文。Radius authentication reject RADIUS认证拒绝，一般是用户名和密码不对Radius authentication send fai

10、l发送认证RADIUS 请求失败，一般是ME60到radius的路由不可达，或者radius服务器配置不对，不回应认证报文。Local authentication reject本地认证拒绝，一般是用户名或密码错误，本地认证，PPPOE用户名必须带域名Local authentication no user找不到本地用户，本地认证没有配置对应的用户名Local Authentication user type not match本地帐号类型不匹配Local Authentication user block本地帐号未激活HUAWEI TECHNOLOGIES CO., LTD.Huawei C

11、onfidential Page 8用户无法上线定位方法及思路接口板接口板主控板主控板用户PPPoEPPPCMAAARadiusAMDHCPC拨号上线 PPPoE发现阶段协商创建PPPoE控制块 底层链路Up事件创建PPP控制块 LCP协商开始Chap认证，发送Challenge回应Chap Challenge，发送用户名发起用户认证请求携带用户物理信息创建用户表项用户认证请求认证请求认证回应，可能含有授权信息认证回应（含有授权信息）根据AAA授权获取IP地址通过DHCPC向服务器申请地址 地址申请回应用户认证回应IPCP协商连接UPSAM下发用户CIP表项用户CIP表项下发成功回应上线连接完

12、成通知上线完成计费开始请求计费开始回应用户获取IP地址，上线成功PPP连接UP回应Chap Success，认证成功报文是否到达me60ppp chasten配置防攻击Vlan是否允许接入MTU等配置是否合理接口板接口板UCM队列是否正常Radius性能是否足够Radius是否正常（挂死）地址池配置Client与server状态用户表项是否正确用户获取地址后马上掉线是否配置radius-server是否达到规格，表项满AAA队列是否正常HUAWEI TECHNOLOGIES CO., LTD.Huawei Confidential Page 9无法上线问题案例分析l一、故障现象一、故障现象p组

13、网图用户交换机(QinQ)OLTME60Internetp故障现象ME60下挂用户掉线然后无法上线成功，Trace信息没有任何信息显示。 l二、原因分析二、原因分析用户无法上线，且Trace信息没有显示有可能为：p用户上线报文没有到达ME60pME60配置错误pME60单板内部转发异常p其它原因HUAWEI TECHNOLOGIES CO., LTD.Huawei Confidential Page 10无法上线问题案例分析l一、故障现象一、故障现象l组网图组网图lAP-ME60-直连-AC（DHCP Server）l故障现象故障现象lME60直连AC做DHCP Server，DHCP用户无法

14、获得IP地址l二、原因分析出现此种情况有多种可能：出现此种情况有多种可能： 1、DHCP配置错误配置错误 2、DHCP Sever问题问题 3、转发问题、转发问题4、特殊配置、特殊配置HUAWEI TECHNOLOGIES CO., LTD.Huawei Confidential Page 11无法上线问题案例分析l一、故障现象一、故障现象l故障现象故障现象在Modem不做PVC与VLAN绑定情况下，IPTV拨号成功后，如果之前PPPoE用户在线则会自动掉线，且PPPoE用户拨号无法拨号成功。Modem做PVC与VLAN绑定后没有此问题。l二、原因分析二、原因分析出现此种情况有多种可能：出现此

15、种情况有多种可能：pME60的Eth-trunk处理流程问题p85交换机的vlan表项错误pModem或DSLAM处理流程错误HUAWEI TECHNOLOGIES CO., LTD.Huawei Confidential Page 12无法上线问题案例分析l一、故障现象一、故障现象l故障现象故障现象ME60设备扩容7槽位板卡不注册，插到8槽位板卡注册后大量用户无法上线 。l二、原因分析二、原因分析出现此种情况有多种可能：出现此种情况有多种可能：pME60配置错误，在新开局或扩容新板卡配置时可能出现。p链路异常，包括ME60到用户之间链路和ME60到radius服务器之间链路出现异常。pME6

16、0业务板卡出现异常。pME60主控板出现异常HUAWEI TECHNOLOGIES CO., LTD.Huawei Confidential Page 13无法上线问题案例分析l一、故障现象一、故障现象l故障现象故障现象cut access-user slot 5, cut access-user slot 6，出现大量用户无法上线。同时无法telnet设备的情况。 。l二、原因分析二、原因分析出现此种情况有多种可能：出现此种情况有多种可能：p二层交换机配置问题pRadius服务器性能问题。pAAA队列满问题。p其它问题。HUAWEI TECHNOLOGIES CO., LTD.Huawei

17、Confidential Page 14用户异常掉线定位方法及思路l用户上线之后用户上线之后ME60有对用户在线检测的功能，如果多次检测用户没有回应有对用户在线检测的功能，如果多次检测用户没有回应设备就会对用户进行下线处理设备就会对用户进行下线处理l一般用户异常掉线都是由于一般用户异常掉线都是由于ME60没有收到用户在线检测报文回应报文。即没有收到用户在线检测报文回应报文。即检测或者检测回应报文在二层网络或者检测或者检测回应报文在二层网络或者ME60内部丢弃内部丢弃l确认方法一般只有在确认方法一般只有在ME60下行的二层网络进行抓包。确认丢包位置下行的二层网络进行抓包。确认丢包位置lPPP用户用户缺省情况下，时间间隔为20秒，重传次数为3次 配置PPP二层检测时间间隔为40秒，超时检测次数为4次。 Quidway interface virtual-template 1Quidway-Virtual-Template1 ppp keepalive interval 40 retransmit 4lDHCP用户：用户：缺省情况下，时间间隔为30秒，重传次数为5次 配置允许探测用户失败的次数为2，探测用户的间隔时长是32秒。system-viewQuidway interface GigabitEthernet 3/0/0.3Quidway-GigabitEthernet3/0