1. <form id='Nv6Fzy'></form>
        <bdo id='Nv6Fzy'><sup id='Nv6Fzy'><div id='Nv6Fzy'><bdo id='Nv6Fzy'></bdo></div></sup></bdo>

          • 当前位置:首页 >> 信息与通信 >>

            BRAS配置及其维护


            BRAS配置及其维护 配置及其维护
            本手册分三个部分,第一部分是业务介绍,主要介绍的是设备支持哪 些功能.第二部分是常见配置,有VLAN自动获取IP地址配置(即 DHCP),VLAN静态用户配置,强制WEB认证配置,PPPOE配置等. 第三部分是常见故障处理,主要是radius问题,对接设备问题等案例.

            2010-6-9

            第 1 页, 共 26 页

            1 BRAS 业务功能
            1.1 1.2 1.3 1.4 1.5 1.6 1.7 1.8 1.9 VLAN 透传 VLAN 用户接入 PPPOE 用户接入 强制 PORTAL 组播 多网段功能 多域控制 源地址路由功能 Trunk 功能

            1.10 ACL 控制 1.11 Intergroup 组 1.12 UCL 控制 1.13 QOS 1.14 NAT 1.15 计费 1.16 本地计费 1.17 radius 计费 1.18 计费方案 1.19 认证 1.20 认证方式
            WEB认证,pppoe认证,绑定认证;R009还有802.1X认证(支持EAP-SIM和EAP-MD5).

            2010-6-9

            第 2 页, 共 26 页

            1.21 认证方案 1.22 地址管理 1.23 本地地址池 1.24 外置 DHCP Server 1.25 内置 DHCP Server 1.26 Radius Server 1.27 路由 1.28 静态路由 1.29 动态路由
            RIP OSPF ISIS BGP等

            1.30 安全性 1.31 用户安全
            1,每个用户一个VLAN,在二层实现隔离. 2,设置UCL规则,在三层实现隔离. 3,帐号和端口绑定,杜绝地址欺骗. 4,对于VLAN用户数据报文,对其IP地址,MAC地址,VLAN ID,端口进行绑定验证,抛 弃非法报文.

            1.32 设备安全
            1, 网络侧通过IP报文攻击BRAS;通过配置可信任IP地址和配置网络侧接入访问限制 来解决. 2, 用户侧的攻击,系统可以自动识别出有异常的用户(VLAN和MAC),并自动关闭 这些用户的业务,但是只能够手动恢复. 设置当系统受到某个MAC的攻击,自动关闭此MAC. 设置当系统受到某个VLAN的攻击,自动关闭此VLAN.

            2010-6-9

            第 3 页, 共 26 页

            2 BRAS 常见配置
            维护终端的连接和配置 3.1 维护终端的连接和配置
            BRAS的控制台提供本地维护和远程维护两种方式.本地维护采用串口或Telnet方式,远程 维护可以采用Telnet方式.

            3.1.1 串口终端 1,连接方式:将配置主机串口通过标准的RS232串口线与主控板上的维护串口COM连接:

            2,超级终端参数设置:波特率9600BRASbps,其他参数都采用默认参数即可.

            3.1.2 Telnet 终端
            系统默认的维护网口IP地址为**********,子网掩码为********.

            1,本地连接:将配置主机的以太网口和BRAS主控板的维护网口通过局域网连接,此时
            BRAS使用标准网线与局域网相连,

            图3-3
            注意: 也可以将配置主机网口与BRAS主控板的维护网口ETH直接连接,但此时要使用交叉网线.

            2,远程连接:将配置主机和BRAS的维护网口通过广域网连接,

            图3-4
            说明: 远程管理不一定都连接在的ETH端口上.3-4只是远程Telnet的一种方法.还可通过带内方式(使用业 务板的业务通道)进行远程维护. 对于Telnet远程维护,必须保证有相应的路由可达BRAS,从维护终端上可以Ping通维护网口地址.

            3,登录BRAS设备:运行Telnet程序,如图3-5所示,在连接窗口中键入BRAS的接口IP地址, 建立连接.输入正确的用户名和口令,然后出现命令行提示符.
            2010-6-9 第 4 页, 共 26 页

            图3-5 也可以使用超级终端:选择"TCP/IP"协议,在"主机地址"处输入BRAS的登录IP地址, 如图3-6所示:

            图3-6

            3.1.3 操作用户管理
            BRAS系统控制台的登录验证主要对操作用户进行身份校验,通过对操作用户的用户名和密 码的匹配识别,来允许或拒绝操作用户的登录. 对于一个操作用户,有帐号(即用户名),权限,密码,重复登录数(即该帐号可同时 登录的个数)等属性. 1, 增加操作用户: 删除操作用户: 2, 设置用户权限:
            3, 更改用户密码:

            4, 更改用户登录次数:
            5, 显示所有操作用户信息: 2010-6-9 第 5 页, 共 26 页

            6, 显示登录的Telnet终端用户信息:

            3.1.4 Telnet 客户端管理
            对通过Telnet登录的操作用户,BRAS系统通过对客户端Telnet的IP地址的管理防止非法 操作用户登录设备.BRAS系统建立一个Telnet客户端控制列表,通过对Telnet客户端IP地址 的增加,删除,激活,去激活来管理Telnet操作用户.Telnet操作用户连接主机后也需要进 行身份校验.
            说明 带内:inband 是指通过业务板的接口地址与BRAS互通. 带外:outband 是指通过主控板的维护网口与BRAS互通.

            3.2 网管工作站配置
            在通过网管管理BRAS前,必须先在该BRAS中增加该网管工作站的参数,否则系统将不会 处理网管的请求报文,用户将无法通过网管维护该BRAS宽带智能接入服务器

            3.2.1 增加网管工作站:
            1,新加网管: 需要设置网管ip,掩码,网管名称,网管GET/SET团体名,网管维护方式. 2,激活网管工作站:
            注意: 在配置网管工作站时应注意以下问题: 增加网管工作站时必须保证同一维护方式下网管IP地址及网管名称唯一. 网管工作站参数增加后必须激活才能生效. 团体名字符串是区别大小写的,即相同字符串但大小写不一致也会认为是两个不同的团体名字符串.

            3.3 业务配置
            BRAS业务安照接入方式可以分为VLAN, PPPOE等, 常用的业务配置还有: L2TP, NAT 和专线业务.
            2010-6-9 第 6 页, 共 26 页

            3.3.1 路由接入 3.3.2 静态 VLAN 用户业务
            1,系统组网说明: 系统组网说明: (1)PC1接LS的端口3,VLAN PC2接LS的端口8,VLAN ID为3; ID为8;

            (2)PC1,PC2 通过LS连到业务接入板上的任意一个网口,比如网口0上; (3)业务接入板的网口0必须设为 tagged 方式,槽位号为3; (4)业务接入板的网口7接VOD Server 服务器,槽位号为1;(这里的vod server端 口可以代表上行口的设置) (5)PC1,PC2 以VLAN ID认证的方式通过BRAS内虚模板的代理从BRAS内获取预 先绑定的IP地址,从而实现上网,VOD点播等业务,系统基于VLAN ID对各用户 实现管理功能,如认证,开通,计费等; (6)PC1,PC2为静态VLAN用户,在BRAS内实现基于VLAN ID,IP地址二者的绑

            定,在系统挂有DHCP服务器的时候,所有静态VLAN用户的IP 地址必须是DHCP 服务器地址池中的IP地址,而且这些地址必须从DHCP服务器地址池中排除,以免 DHCP服务器再次分配这些IP地址. 3,系统 IP 地址规划 业务接入板网口7:192.9.9.7/24; 虚模板: 152.9.9.52/24;

            设置( 用户,必须设置) 4,PC 设置(静态 VLAN 用户,必须设置) PC1: IP地址:152.9.9.1/24, 网关: 152.9.9.52; PC2: IP地址:152.9.9.12/24,网关: 152.9.9.52; 5,LS 的设置 (1)端口3的VLAN ID为3; (2)端口8的VLAN ID为8; (3)端口25作上行,透传所有用户VLAN.

            2010-6-9

            第 7 页, 共 26 页

            6,服务器的设置 VOD Server: IP地址:192.9.9.9/24,网关: 192.9.9.7; 7, 系统数据配置 配置虚模板 配置虚模板的IP地址 这里绑定用户vlan, 可以分别绑定单个vlan, 也可以连续绑定一段vlan, 其中包含用户vlan 即可)

            说明: 1,由于VLAN端口在每个槽位下唯一,为唯一标识一个VLAN端口,必须具有slot槽位信息.每个VLAN 端口一次只能绑定一个虚模板,即一次只能属于一个网段. 2,当想要改变VLAN端口绑定的虚模板时,必须先解除以前的绑定关系. 3,解绑定操作只有在此VLAN端口下没有任何类型的VLAN用户存在时才能执行成功,即不能有任何 获取了合法IP地址的用户(无论上线与否)存在.(可以通过block 该vlan端口的状态实现)

            VLAN端口激活配置 VLAN端口认证配置 如果不输入系统默认口令为VLAN
            说明: 系统默认的VLAN端口属性如下: 端口状态为激活; 认证方式是Web认证方式,系统默认密码是"vlan",快速和绑定认证下上线的用户不使用VLAN端口 CAR的标记; 端口下用户数不受控,每端口最多带2048个可获得合法IP地址的用户.

            进入VLAN域 激活VLAN域 此处口令与VLAN端口配置一致 激活帐号 配置静态VLAN用户
            2010-6-9 第 8 页, 共 26 页

            此处MAC地址可以不输入,如果录入则静态用户只允许带有此MAC地址网卡的PC机使 用 配置静态VLAN用户 8,验证 (1)在PC1,PC2上分别 Ping 虚模板,业务接入板上的各上行口,VOD Server 服务器 的IP地址,应均能Ping通; (2)从服务器回Ping PC1,PC2,应均能Ping通;

            3.3.3 内置 DHCP 业务
            1,组网图

            内置dhcp server接入

            2,系统组网说明: 系统组网说明: (1)PC1接LS的端口3,VLAN PC2接LS的端口8,VLAN ID为3; ID为8;

            (2)PC1,PC2 通过LS连到业务接入板上的任意一个网口,比如网口0上; (3)业务接入板的网口0必须设为 tagged 方式; (4)业务接入板的网口7接VOD Server 服务器; (5)PC1,PC2 以VLAN ID认证的方式通过BRAS内虚模板代理的DHCP Server 动态地获取IP地址,从而实现上网,VOD点播等业务,系统基于VLAN ID对 各用户实现管理等功能,如认证,开通,计费等; 3,系统 IP 地址规划 业务接入板网口7:192.9.9.7/24; 虚模板: 4,PC 设置 PC1:自动获取 IP 地址; PC2:自动获取 IP 地址. 152.9.9.1/24;

            2010-6-9

            第 9 页, 共 26 页

            5,LS 的设置 (1)端口3的VLAN ID为3; (2)端口8的VLAN ID为8; (3)端口25的端口类型为tagged,透传所有业务VLAN; 6,服务器的设置 VOD Server: IP地址:192.9.9.9/24,网关: 192.9.9.7; 7,系统数据配置 配置VOD服务器接口的IP地址 配置虚模板的IP地址 配置内置DHCP服务器的IP地址) 绑定vlanbind vlan (这里绑定用户vlan, 可以分别绑定单个vlan, 也可以连续绑定一段vlan, 其中包含用户vlan即可) 配置内置DHCP服务器的IP地址池 配置地址池网关地址及掩码
            注意: 网关ip地址和掩码用于检查地址段的地址是否和网关在一个子网内; 如果一个地址池中存有地址, 就不能够修改这个参数; 网关地址应该和相应的虚模板的地址相同,如果不一样,在使用中会出现问题

            配置地址池的IP地址段 配置DNS服务器的IP地址

            激活VLAN端口VLAN端口认证配置

            设置域及生成并激活用户的帐号 进入VLAN域 激活VLAN域 8,PC 验证 (1)在PC1,PC2上分别可以获取IP地址; (2)在PC1,PC2上分别 Ping 虚模板,业务接入板上的各上行口,各服务器的IP地址,应 均能Ping通;
            2010-6-9 第 10 页, 共 26 页

            (3)从各服务器回Ping (4)从BRAS上Ping

            PC1,PC2,应均能Ping通; PC1,PC2,应均能Ping通;

            3.3.4 WEB 认证业务
            1,系统组网说明: 系统组网说明: (1)PC1接LS的端口3,VLAN PC2接LS的端口8,VLAN ID为3; ID为8;

            (2)PC1,PC2 通过LS连到业务接入板上的任意一个网口,比如网口0上; (3)业务接入板的网口0必须设为 tagged 方式; (4)业务接入板的网口7接WEB Server 服务器; (5)PC1,PC2 以VLAN ID认证的方式通过BRAS内虚模板的代理从DHCP Server 动态地获 取IP地址. 2,系统 IP 地址规划 业务接入板网口7:192.9.9.7/24; 虚模板: 3,PC 设置 PC1:自动获取 IP 地址; PC2:自动获取 IP 地址. 4,LS 的设置 (1)端口3的VLAN ID为3; (2)端口8的VLAN ID为8; (3)端口25的 5,服务器的设置 WEB Server: 6,数据配置 配置WEB服务器接口的IP地址 配置默认路由 配置虚模板的IP地址
            2010-6-9 第 11 页, 共 26 页

            152.9.9.1/24;

            IP地址:192.9.9.9/24,网关: 192.9.9.7;

            配置内置DHCP服务器的IP地址 绑定用户vlanbind vlan 3 绑定用户vlan,可以分别绑定单个vlan,也可以连续绑定一段vlan,其中包含用户vlan即可 配置强制web服务器地址 配置内置DHCP服务器的IP地址池 配置地址池网关地址及掩码 配置地址池的IP地址段 (配置DNS服务器的IP地址 激活VLAN端口 这里配置dns地址 定义用户认证前可以访问web服务器和DNS服务器 配置认证方案,采用本地认证 配置计费方案,不计费 进入域配置,假设域名为beier 绑定认证方案 绑定计费方案 激活域 添加用户 如果采用radius认证计费需要作如下修改: 新建或进入一个RADIUS策略 设置RADIUS服务器的主IP 设置RADIUS服务器的备用IP 设置RADIUS服务器的密钥 绑定域和radius服务器 Radius认证时需要在radius服务器上设置用户的帐号,密码. 7,验证 (1)在PC1,PC2上分别可以获取IP地址; (2)在PC1,PC2上分别 Ping 虚模板,业务接入板上的各上行口, 应均能Ping通.此时上 行口如果接到其它设备上(如三层交换机,路由器),从PC机上应PING不通其它设备 的IP地址,原因是在没有进行认证.
            2010-6-9 第 12 页, 共 26 页

            (3)打开IE浏览器,弹出WEB服务器IP地址,输入帐号,密码,认证通过后可以上网,也可 以ping通其他上层设备地址.

            3.3.5 PPPOE 业务
            1,系统组网说明 (1)LS此时当作HUB使用; (2)PC1接LS的任意端口如3,PC2接LS的任意端口如8; (3)PC1,PC2 通过LS连到业务接入板上的任意一个网口,比如网口0上; (4)业务接入板的网口0此时设为 untagged 方式; (5)业务接入板的网口4接Radius Server 服务器; 业务接入板的网口7接VOD Server 服务器; 2,系统 IP 地址规划 业务接入板网口4: 业务接入板网口7: 10.10.2.7/24; 192.9.9.7/24;

            PC1,PC2所在的IP地址池的网段: 152.3.3.0 255.255.255.0 3,PC 设置 PC1:自动获取 IP 地址; PC2:自动获取 IP 地址. 4,LS 的设置 (1) LS当HUB使用时, 下带业务报文不带任何VLAN, 则业务接入端口应为untagged方式. (2)如果LS下带业务有VLAN时,则3,8端口分别配置各自的VLAN,上行口25口透传所 有用户VLAN.业务接入板的端口设为tagged方式;其他配置与untagged相同 5,服务器的设置 Radius Server: IP地址:10.10.2.9/24,网关: 10.10.2.7; VOD Server: IP地址:192.9.9.9/24, 网关: 192.9.9.7;

            6,系统数据配置 配置Radius服务器的接口IP地址 配置VOD服务器的接口IP地址
            2010-6-9 第 13 页, 共 26 页

            配置业务接入板的接口属性 配置虚模板的IP地址) 配置VPDN组1 配置内置DHCP服务器的IP地址池 配置地址池网关地址及掩码 配置地址池的IP地址段) 配置DNS服务器的IP地址 配置RAIDUS服务器 要与RAIDUS侧设成一样的密钥) 配置认证方案 配置计费方案 配置一个域 配置该域的地址池 7,验证: 验证: (1)在PC1,PC2上分别运行pppoe程序可以拨号上网,获取相应的IP地址; (2)在PC1,PC2上分别 Ping 虚模板,业务接入板上的各上行口,各服务器的IP地址,应 均能Ping通;

            3 BRAS 常见 FAQ
            3.1 为什么修改了 BRAS 的主机名后 VLAN 绑定用户不能上网?

            VLAN绑定用户的帐号格式为:主机名-vlan-槽位号-vlan号 @vlan. 因为修改BRAS主机名的时候不能同时更新VLAN用户帐号中相应的主机名,当用户上线的 时候携带过来的帐号中的主机名就成了修改以后的主机名了, 与原先配置的VLAN用户账号 不相同,所以无法通过认证上网. 解决方式有:恢复原来的主机名,或者删除并重新添加相应的VLAN帐号.

            3.2

            告警 PAYLOAD OF PPP OVERFLOW 的意思?

            某些拨号用户发送的报文长度超出了1492字节而被BRAS丢弃(正常PPP报文小于1492),对
            2010-6-9 第 14 页, 共 26 页

            正常业务没有影响.

            3.3

            地址池中还有剩余地址可以分配,但经常有告警无空余地址可分配.

            由于域中设置了多个地址池,在上网高峰期的时候,如果某个地址池的地址分配完了过后, 就会有此告警.因为BRAS并不知道这个地址池被PPPOE用户还是VLAN用户在使用,也不 知道这个地址池分配完后会不会有第二个地址池供分配, 所以一旦地池分配完后就会打印这 个告警!

            3.4

            是否可以查看 pppoe 拨号用户上网时间?

            对于在线用户,可以参考使用命令行********************查看具体xxx用户的上线时间及 时长;对于RADIUS认证计费用户,还可以在RADIUS服务器上进行相关查询.

            3.5

            BRAS 下带交换机是否可以配置成 VLAN 1 的静态用户?

            可以.将VLAN 1的数据包透传送到BRAS处理即可.

            3.6

            VLAN 用户强制 PORTAL 认证需要做哪些配置?

            <1>指定portal服务器地址: <2>设置portal协议的共享密钥:

            3.7

            不删除数据,如何禁止某些 VLAN 用户上网?

            方法很多,比如block相应的VLAN端口,VLAN用户的账号,删除虚模板中绑定的VLAN等. 如果block相应的VLAN域,则所有的VLAN bind或fast用户就都不能上网了

            3.8

            什么是 ARP 探测机制?

            BRAS中对于VLAN用户有一个ARP探测机制.当用户在线时,每隔15-20秒向VLAN用户 发送一个ARP探测(ARP请求),如果收到用户的响应,则表明用户在线;如果BRAS没有 收到ARP的响应,则每隔5秒向用户发送一个ARP探测报文,如果在经过一组探测的后(此 次数可设),仍没有回应,则BRAS将断开用户的连接.如果配置中的ARP探测次数设置为 20,当用户异常下线后(拔网线或关机),将至少要经过5*20=100秒后,BRAS才切断用户 的连接.如果是RADIUS认证计费,此时才向radius-server发送计费结束请求报文(code=4). 在这100秒的时间内用户仍然在线.

            2010-6-9

            第 15 页, 共 26 页

            3.9

            如何禁用地址池中的某个地址?

            使用命令:*************

            3.10 如何限制用户的接入数?
            VLAN用户可以通过限制VLAN的接入数和限制VLAN帐号的接入数来确定, 取交集为实际允许用 户的接入数;PPPOE拨号用户只在账号中进行限制.

            3.11 如果不同 L2 交换机送到同一 BRAS 的 VLAN 相同的话,是否会有问题?
            没有问题, 因为VLAN与BRAS上具体的物理端口没有关系. 如果是VLAN用户, 只是将VLAN 绑定到某个虚模板上;如果用户端采用PPPOE拨号上网,则BRAS根本不处理VLAN信息.

            3.12 局域网内用户能否通过代理服务器进行 WEB 认证上网?
            不可以.代理服务器可以实现WEB认证上网,但局域网内的用户不能实现.

            3.13 局域网内用户能否通过代理服务器进行 WEB 认证上网?
            不可以.代理服务器可以实现WEB认证上网,但局域网内的用户不能实现.

            3.14 能否用 HUB 代替 Lanswitch 开 VLAN 业务?
            不可以,因为HUB不能处理VLAN标记.

            3.15 虚模板能否配置第二个 IP 地址?
            不能,只能配置一个IP地址!

            3.16 如何通过 BRAS 管理下带的设备?
            将下带的设备当作一个VLAN静态用户即可,BRAS上只需要做VLAN静态用户的相关数据.

            3.17 BRAS 双上行组网问题?
            BRAS可以使用双上行的组网方式. 在BRAS上可以做一条默认路由, 在相应的域中也可以设置 源地址路由,这样可以实现不同域的用户使用不同的出口访问网络.

            3.18 上行的主备用路由如何实现?
            使用双上行的组网方式,做两条默认路由,并指定不同的preference即可实现路由备份.
            2010-6-9 第 16 页, 共 26 页

            3.19 如何修改 RADIUS-SERVER 的 IP 地址?
            首先切断所有使用该RADIUS-SERVER进行认证计费的所有用户,确认无任何和该 RADIUS-SERVER进行交换的RADIUS报文,然后即可以修改其IP地址.

            3.20 如何修改地址池 router-ip 的 IP 地址?
            首先切断用户的连接,收回该地址池中的所有IP地址,然后即可以直接修改IP地址.

            3.21 如何修改虚模板的 IP 地址?
            首先切断所有与此虚模板有关的用户连接, 删除所有VLAN静态用户数据, 然后即可修改此虚 模板的IP地址.

            3.22 当域中配置多个地址池后,能否通过 radius 属性让用户从指定地址池中获 取 IP 地址?
            在RADIUS协议中,可以通过88号属性(frame pool)让用户从指定的地址池中获取IP地址, 是否可以通过WEB页面修改用户的口令? 通常Portal(WEB)认证的用户可以通过portal页面修改其密码,但普通的VLAN用户,拨号用 户不能在web页面修改口令.

            3.23 用户之间如何实现互通?
            假设BRAS上没有设置ACL等访问控制.有如下几种可能: <1>用户采用PPPOE拨号上网.此时两个用户只要通过认证上网,那么他们就可以互访; <2>VLAN用户,属于不同VLAN,不同网段.只要用户的PC上网关设置正确即可互通; <3>VLAN用户,属于不同VLAN,相同网段.在BRAS上打开ARP代理: (config)#proxy-arp enable即可. <4>VLAN用户,属于相同VLAN,相同网段.用户通过二层交换机即可互访.

            3.24 BRAS 下的用户如果出现打不开某些网站或某些业务不正常的时候如何处 理? A: 出现这类问题一般有两类情况:1)NAT 用户 2)VPN(L2tp)用户 对于出现只有个别网站打不开或是某些业务不正常时, 一般都是由于报文分片造 成的,由于 NAT\POS\L2TP 都不支持分片,如果报务器送回来的报文超过一定的
            2010-6-9 第 17 页, 共 26 页

            长度,在网络上传输时被分片了,这些报文在经过 BRAS 时就会被丢弃,从而导 致业务不正常.出现这类问题时,可以通过修改客户端的 MSS 值使得传输的报文 长度减小达到不分片的效果. (相应的软件可以到互联网上搜索如 irad.exe 等) 3.25 BRAS 的用户分别通过什么样的流程分配 IP? Answer: 对 VLAN 用户: VLAN 用户发起 DHCP 会带上用户的 VLAN 信息,BRAS 首先根据此 VLAN 在 哪个虚模板下绑定来找到对应的虚模板,再查看虚模板下的 DHCP 服务器的地 址,如果是非 BRAS 接口地址或环回地址则把 DHCP 报文转发到所配置的 DHCP 服务器.如果是 BRAS 的接口地址或环回地址则查找哪一个地址池的网 关地址和此虚模板相同,找到后便从找到的地址也里分配 IP. 对 PPPOE 用户: 收到 PADS 报文后进行验证 用户发起 PADI 报文会进入 PPP DISOVERY 阶段, 和 LCP 协商,如果认证通过,BRAS 根据用户认证的域查找此域下的地址池, 并从地址池中分配地址,如果是 R006/R007/R009 的版本则域下地址池可能多 个,则依次从地址池中分配直到分配到第一个空闲可用的 IP 地址. 3.26 BRAS 的 radius 状态不停的 up,down,但用户无法上线,而本地认证用 户正常这是为什么? ANSWER: 这应该是 radius 对 BRAS 发出的认证或者计费报文没有响应导致. BRAS 的 radius 状态是靠 radius 报文来触发改变的,如果连续几个报文不响应,radius 状态变 为 down,如果接下来的报文 radius 响应了,radius 状态变为 up.上述不断 up, down 的情况就是用户不断请求,认证报文或者计费报文不响应导致. 3.27 BRAS 的用户认证通过后是否可以强推页面? Answer: 能实现用户认证通过后的强推功能. 强推分为两种: ppp 用户的强推和 VLAN 用 户的强推.这两种方式的区别:PPPoE 用户上线时会通过 PADM 报文获取 BRAS 上 配置的 URL 属性,并根据该属性的内容进行自动强推;vlan 方式是对用户报文 的重定向(就是用户打开第一个网页的时候,网页出现的是强推的页面). 3.28 BRAS 是否在 RADIUS 报中带用户的 MAC 地址? Answer:
            2010-6-9 第 18 页, 共 26 页

            可以. 3.29 BRAS 的 VLAN 和 PPPOE 用户是否可以共用一个地址池? Answer: 可以.二者根据不同的策略找到对应的地址池,可以从相同的地址池中分配 IP 地址,BRAS 的地址池有 IP 地址管理策略可以保证二者分配的地址不会冲突. 3.30 怎样使用户上网帐号不带域名?
            将用户所在的域设置成默认域, 这样用户上网时如果账号中不带域名, 系统就会自动添加上 默认域名.

            3.31 BRAS 拨号用户 RADIUS 认证时能否不向 RADIUS 服务器传送域名?
            可以

            3.32 如何控制用户的上网带宽? 3.33 如何查看在线的用户? 3.34 PPPOE 用户能否实现随意输入用户名,密码就能上网?
            不可以,至少用户名正确. 如果使用简单认证(simple),即建立一个simple的authen方案, 在指定的域里绑定,则只需要用户名正确,不验证密码;否则用户名和密码必须都正确才能 够认证通过.

            3.35 为什么不同用户登录到 BRAS 看到的可执行命令数不一样?
            BRAS用户的级别分为多种:普通用户,操作者级用户,管理级用户.如果这两个用户的级 别不一致,那么能够看到的命令行数将是不一样的.

            3.36 如何修改用户的口令?
            使用user password然后根据提示输入用户名和口令.注意:只有高级别的用户才可以修改 其本身及低级别用户的口令.root用户的口令需要使用root用户登录后修改.

            2010-6-9

            第 19 页, 共 26 页

            3.37 如何删除/保存配置数据? 3.38 如何查看 BRAS 系统的 CPU 占用率. 3.39 如何查询 BRAS 端口流量? 3.40 如何查询 BRAS 端口的 MAC 地址和端口模式? 3.41 如何设置外网口(ETH)的 IP 地址? 3.42 怎样消除 LOG 日志满告警? 3.43 系统支持的用户数是多少?

            4 BRAS 常见故障处理
            4.1 BRAS PPPoE & vlan 用户无法访问个别网站
            现象描述 BRAS 下用户个别网站无法访问,比如sohu,sina等. 原因分析 1,DNS服务器问题 2,MTU值问题 3,该网站对此公网地址段做限制 处理过程 1.可以解析该网站域名,排除DNS服务器问题 2.查看LS,BRAS,LS协商后的mtu值为1500,先后改为1502,1508,并改小用户端 的mtu值,问题依旧,排除mtu值问题. 3.将PC直接接在BRAS上测试,问题依旧,排除LS问题. 4.BRAS上行口抓包,没有发现该网站回报文,检查BRAS以及上层设备的路由,配 置无误. 5.将另外一局点的部分网段地址在本局点测试,可以访问该网站,故断定是该网站 对一些公网地址段做了限制.

            4.2

            BRAS 下 DHCP 用户可以获取 IP 地址但是无法打开网页
            现象描述 组网为:
            2010-6-9 第 20 页, 共 26 页

            Router――Router――BRAS---LS----PC 故障现象: 用户开机可以正常的获取IP地址,但是无法打开网页. 原因分析 可能的原因: 1,配置错误 2,用户端pc的问题,DNS问题. 3,路由问题 处理过程 1, 登录设备检查用户的配置没有问题,排除BRAS配置问题. 2,同一个终端,用户改用PPPOE拨号方式,可以正常上网,排除用户端PC的问题. 3,用户采用DHCP获取IP地址后,PING网关可以PING通,PINGBRAS和ROUTER 的互联地址也没有问题,但是PING外网地址却无法PING通.同时采用DHCP上网 的用户,有时可以打开网页,有时不能打开网页.于是初步判定问题在上层设备. 4,经过在ROUTER的进行仔细的检查,发现ROUTER下接的2台BRAS设备同时使 用了一个IP网段作地址池,从而ROUTER在进行路由转发时,造成了路由混乱.小 结:由于2台BRAS使用了同一个网段的IP地址,所以在ROUTER上作回程路由时, 有两条路由可以选择,并且是等值的.当路由选择正确时,用户可以打开网页,否 则虽然可以获取IP地址还是无法打开网页.

            4.3

            BRAS 与 RADIUS 之间 UP ,DOWN 告警.
            现象描述 BRAS 与RADIUS之间UP ,DOWN告警 原因分析 1,BRAS与RADIUS之间物理链路UP,DOWN,丢包,时延较大. 2,RADIUS处理能力有限,某一时刻比较繁忙,没有及时响应. 3,由于某种原因,RADIUS没有发送回应报文. 处理过程 1, 查看BRAS和RADIUS之间物理链路不丢包, 时延正常, 物理端口没有UP, DOWN. 2,查看debug radius 报文,可以看到某个用户的CODE=1的报文没有回应,重发几次
            2010-6-9 第 21 页, 共 26 页

            也没有回应.查看该用户报文没有 3,RADIUS报文2号属性User-Password用户密码.参照 RFC 定义. 仅对 PAP 认证才有此属性, 最小长度为16, 最大长度为128. 若用户输入密码为空,由 于加密后长度为0,此时不向服务器传递此属性. 4,至此问题定位:BRAS VPDN组设置的接收PPP的认证方式为PAP.当用户拨号密 码为空时,在发送CODE=1的报文时,就不带[2 Password ]的属性,由于这

            台RADIUS服务器对这类报文认为是非法报文,所以当RADIUS收到这个报文时,丢 弃掉,不予回应.

            4.4

            BRAS 由于 CAR 值峰值速率与平均速率的比例配置不正确导致用户上网 慢
            现象描述 BRAS下PPPOE用户为RADIUS认证,上网非常慢,无论打开网页或下载时都较慢,测 试时6M的用户在本地下载时只有200K左右. 原因分析: 可能原因 1,病毒攻击 2,链路不正常 3,二层网络广播包较大 4,car值定义不正确,峰值速率与平均速率比例不对 处理过程 1, 登录设备查看告警,无任何异常告警,可以排除病毒攻击的原因 2,查看端口状态,正常,无校验错误包及广播包 3,查看在线用户的car值,发现RADIUS下发的car值的上下行的峰值速率与平 均速率相同 4,建议用户将峰值速率更改为平均速率的五倍后问题解决

            小结:BRAS,各个版本无论RADIUS下发car值属性还是本地定义car值,都需 要保证峰值速率为平均速率或者基本速率的5倍,否则用户上网的速率可能会 不理想.
            2010-6-9 第 22 页, 共 26 页

            4.5

            对端设备故障导致 BRAS 下 VLAN 接入及路由方式接入用户不能打开网页
            现象描述 BRAS上行通过GE口和具有二层功能的三层交换机C相连,对端接口为二层接口, 从而实现宽带上网业务.BRAS下带有VLAN,PPPOE,路由接入三种用户,发生 故障时VLAN用户和路由方式用户telnet,ftp,QQ,foxmail等业务都正常,但是无 法打开http网页,而PPPOE用户业务都正常. 原因分析 1,由于BRAS的PPPOE业务是正常的,所以GE口没问题; 2,VLAN和路由方式用户均能认证通过,且对上行接口PING大包均能通,说明不 是板的原因; 3,VLAN和路由方式用户的telnet,ftp,QQ,foxmail等业务应用是正常的,但打 不开HTTP报文,问题出在两设备对接或对端设备对HTTP这类报文处理上; 4,PPPOE用户正常,而VLAN用户不正常,两种用户从PC机出来的报文分片大小 不一致,怀疑对接MTU值不一致; 5,怀疑对端C交换机故障导致对大报文处理有问题. 处理过程 1,从PPPOE方式用户上对BRAS对端的C交换机二层接口进行PING大包操作,一 切正常; 2,从路由方式用户上对BRAS对端做同样的ping大包操作,发现PING包包长达到 1469就不能PING通,显示超时; 3,在C交换机上对对接BRAS的GE口进行镜像抓包,并且从BRAS上进行PING大 包测试,发现BRAS的上行口没有收到超过1469以上包长回来的包; 4,确认双方MTU值都是1500; 5,对C交换机二层端口进行更换,总共更换了6个GE口中的4个,发现问题依旧; 6,更换C交换机的二层接口为三层接口上,发现业务恢复正常,PING大包正常, 所有应用均正常了,定位为对端设备二层接口问题.

            4.6

            由于网络中存在多个 PPPoE server 导致 PPPoE 用户不能上线
            现象描述 BRAS设备,采用本地认证方式,配置好数据后用户拨号不能上线.
            2010-6-9 第 23 页, 共 26 页

            原因分析 1,物理线路问题,导致拨号信息不能传送到BRAS. 2,数据配置错误,导致认证失败 3,网络结构问题,导致拨号信息不能传送到BRAS. 处理过程 1,检查PC,lanswitch和BRAS业务接入网口指示灯闪烁正常. 2,检查BRAS的配置数据,发现该设备的域名及认证数据完备,数据配置没有问 题. 3,打开BRAS的debug aaa开关,没有发现该帐号的认证信息,说明用户没有把认 证信息送给BRAS. 4,打开debug ppp和debug pppoe,看不到用户ppp发现阶段的报文,这种情况一般 都是由于PC在拨号时没有正确的发现pppoe的server引起的.而不能发现server可能 是由于通路有问题引起.因此检查pc到lanswitch到BRAS间的数据传送通路. 5,检查lanswitch数据配置,其lanswitch配置为access端口,不存在vlan划分错误的 问题,因此pppoe的拨号信息应该能够正确的送到BRAS上.到底是不是发现了 pppoe的server,在拨号软件上也有指示. 6,请用户查看enternet300在属性菜单中提供的信息.发现该软件指示了多个pppoe 的服务器,当前选择的并不是BRAS,在选择BRAS后,可以正常认证通过.原来 该用户是购买BRAS作测试用,在没有安装BRAS之前,使用的是pppoeserver的仿 真软件,因此在网络中存在多个pppoe的server. 建议与总结 如果网络中有多个pppoe的server,在pppoe的发现阶段,PC可能是根据报文响应的 到达的早晚来选择哪一个作为server, 因此当网络中有多个server的时候可能会选择 错误. 本案例发生的测试环境中,在运营的没有进行VLAN隔离的以太网中,如果某用户 非法安装此类软件,也可能造成其它用户不能正常的拨号.因此建议: 1,在发生用户不能正常拨号时,除了利用BRAS的诊断信息外,还可以多利用拨 号软件本身的提供的信息来判断解决问题. 2,从网络安全的角度出发,对pppoe用户划分vlan进行隔离.

            2010-6-9

            第 24 页, 共 26 页

            4.7

            路由问题导致 BRAS 下挂用户访问省外站点速度慢
            现象描述 某电信组网:internet-路由器-LS-BRAS-DSLAM-users.从BRAS开通业务以 来一直存在问题:BRAS下挂用户访问省内网站正常,但在打开省外网页时速度比 窄带拨号还要慢得多. 原因分析 访问省内网站正常说明BRAS接口配置,路由配置正常(BRAS只配置一条指到LS 的缺省路由),怀疑访问省外网站时所经路径有问题 处理过程 使用BRAS网段的用户Tracert省外站点A多次,每次所经路由相同(路由稳定),跳 数为x;使用LS下其他网段(访问省外站点速度正常的网段)用户Tracert站点A多次, 每次所经路由也相同,跳数为y,发现x>>y,且开始几跳路径相同,但从路由器R开始 分开,说明路由器R配置了源地址路由,通过修改路由器R的配置,BRAS下挂用户访 问速度正常. 建议与总结 由于internet的连通性,访问某站点时不经最佳路由可能也可打开,但速度肯定要慢, 这时一定要注意路由的配置,保证业务流走最佳路径.

            4.8

            由于对端千兆口发光功率过大导致和 BRAS 千兆对接不通
            现象描述 pppoe用户-->BRAS-->某设备-->INTERNET节点; 故障现象: 故障现象: BRASNAT千兆和某设备对接,BRASNAT板设置成千兆全双工,对端也配置成千兆全 双工,BRAS配置IP地址:xx.xx.xx.2/255.255.255.252,对端配置IP地 址;xx.xx.xx.1/255.255.255.252,两边的端口都UP,但是无法PING通对方. 原因分析 BRAS和对端配置的IP地址在同一个网段,互相PING不通说明二者在三层网络层没有 互通,需要做的工作就是从物理层查到链路层然后到网络层,看故障出在什么地方, 然后定位解决. 处理过程
            2010-6-9 第 25 页, 共 26 页

            1,怀疑对端和BRAS二者千兆口模式设置不对,把对端接BRAS的千兆端口改为自适 应模式,BRAS设置成千兆全双工模式,查看BRAS千兆端口状态为UP,查看对端千兆 端口状态为down,二者无法PING通;把对端千兆端口改为自适应模式,BRAS千兆端 口也配置成自适应模式,BRAS的千兆端口状态为UP,对端千兆端口状态为DOWN, 二者无法PING通;把对端千兆端口改为千兆全双工模式,BRAS千兆端口改为自适应 模式, BRAS千兆端口状态为DOWN, 对端千兆端口状态为DOWN, 二者没法PING通; 只有把BRAS和对端千兆对接的时候二者的千兆口必须都设置成千兆全双工模式,物 理层才能互通,二者的千兆端口状态才能都UP. 2,对端和BRAS的千兆口的物理状态都是UP,但没法PING通,怀疑对端数据配置有 误 (BRAS只需要配置一个IP地址, 没有什么数据而言, 所以不用怀疑BRAS数据问题) . 对端属于一个三层交换机,所有的IP接入都是通过VLAN接入的,也就是说xx.xx.xx.1 是配置在某个VLAN下的,而每个千兆口默认的是tagged模式,BRAS千兆口只支持 untagged模式,把对端的千兆端口模式改成untagge 的,互相还是PING不同;BRAS千 兆口默认的是没有流控的,查看对端配置数据,千兆口也没有作流控,不存在因为二 者流控配置不一致而导致不通的可能; 3,数据仔细核查没有问题,故障的焦点还是转移到物理连接上,经过确认,BRAS千 兆口能够接受的光的光功率范围是-20db~-9db,用光功率计测试对端发过来的光,发 现光功率是 -7db.问题终于定位是对端光功率过大导致不通,在对端和BRAS之间加 个光衰器,让对端送过来的光的功率为-10db,问题立刻解决. 建议与总结 BRAS千兆口和别的厂家对接的时候涉及的方面很多,如果对接不成功,可以分层考 虑,定位是哪一层不通,然后解决.而且要排除物理端口UP就一定能PING通的误区.

            2010-6-9

            第 26 页, 共 26 页


            相关文章:
            社招笔试维护与服务支撑题库
            社招笔试维护与服务支撑题库_职业技术培训_职业教育_教育专区。社招笔试维护与...10 A.DNS 故障 B.DSLAM 用户端口故障 C.BRAS 用户端口数据配置错误 D.省...
            更多相关标签: