《宽带运维经验交流》由会员分享,可在线阅读,更多相关《宽带运维经验交流(87页珍藏版)》请在金锄头文库上搜索。
1、1,ADSL接入和故障判断及处理 LAN接入和故障判断及处理,交流提纲,2,必要的背景知识:,1、 TCP / IP 协议 2、XDSL接入技术 3、LAN接入技术 4、简单故障处理及判断,兴趣是最好的老师!,3,ADSL利用现有双绞线传输非对称数据业务,从中心局到用户端方向(下行)速率最高可达8Mb/s,从用户端到中心局方向(上行)速率较低,可达960Kb/s。但是,实际使用过程中下行速率往往只能达到45Mbps。在线路质量不太理想的情况下还可能更低些。,XDSL技术与应用,4,ADSL系统的基本原理是“不对称”即在下行方向传送高速数字信号,而在上行方向用户发送机工作在很低频率。这样可以保证
2、用户侧的串音比对称传输系统低很多,从而确保传输距离。,XDSL技术与应用,5,XDSL技术与应用,6,ADSL接入网拓朴图,7,我们目前的处境,游戏”卡”,DNS服务器又死机啦,病毒、操作系统问题,线路问题,?问题,传奇、MU、天堂2,上不了网,打不开网页,游戏玩不了,网速慢,频繁掉线,电信又屏蔽我们的IP啦,8,用户侧问题,XDSL MODEM问题、用户PC问题等,网络侧问题,主要包括BRAS设备故障、DSLAM设备和端口故障,线路故障和线路质量不佳,ADSL故障比例分布,9,ADSL故障处理现状,对于以上各种故障,目前的解决方式是:几乎所有的上报故障都需要维护人员上门解决。并且由于各个排障
3、环节相互独立,没有统一的故障检测手段,导致了对故障定位不准、处理周期长等后果。,10,异常掉线、频繁掉线原因,掉线内部原因分析 1、维持PPP连接的KEEP ALIVE报文丢失导致PPP连接中断 2、Radius报文丢失造成设备对用户强制下线 PPP的KEEP ALIVE报文丢失是掉线的主要原因,11,异常掉线、频繁掉线原因,掉线实际原因分析 从实际情况来看,家庭网络、终端病毒、分离器、接入线路和用户隔离等问题都可能导致PPP KEEP ALIVE报文丢失: 1、接入线路质量不好或过长、噪声过大、线路接触不良导致高频衰减过大 2、用户室内布线混乱,在分离器外线口串/并接其它音频设备,分离器安装
4、不当造成分离不清 3、病毒严重危害个人电脑的稳定性,经常导致掉线、重启等现象 4、在没有二层隔离的情况下,容易引起二层报文的广播风暴,阻塞正常的PPP KEEP ALIVE报文,引起异常掉线,12,异常掉线、频繁掉线解决方案,ADSL线路问题排查整治 检查接入网线路问题是整治的重点,考虑到线路侧问题比较多而且情况复杂,排查时可重点参考以下原则: 1、线路环阻小于1.1 K欧姆,对于大于1.1 K欧姆的情况,检查线路是否存在接触不良的问题 2、在用户处安装时,全面检查从分线盒到室内的线路和终端设备,按规范进行整改 3、针对无法通过用户侧线路优化改善线路条件的情况,可以采取将MODEM更换为自适应
5、能力的MODEM,提高ADSL稳定性 4、宽带112测试系统的建立,可以对线路质量进行快速诊断,缩短故障响应时间 5、建立完善的用户档案,将线路参数、ADSL链接等参数记录,以便维护进行参考,13,异常掉线、频繁掉线解决方案,加强用户二层隔离和标识 在没有二层隔离的情况下,容易引起二层报文的广播风暴,阻塞正常的PPP KEEP ALIVE报文,引起异常掉线。 只有实现每个用户一个VLAN/PVC,才能实现用户在二层网络的隔离,避免形成广播风暴,并可对用户管理、业务扩展等项目提供必要的支撑,14,网络速度慢,所谓上网速度慢是指端口速率不达标,无法保障承诺的带宽。导致网速慢的因素涉及到用户计算机、
6、接入网、城域网、INTERNET和服务器等环节,由于计算机、INTERNET和服务器无法直接控制因此整治的重点在于接入网和城域网。 从对接入网和城域网的统计情况来看,接入层线路质量差(接头氧化、平行入户线、抽头)和组网架构不合理(BAS外挂汇聚、多级级联组网、设备处理性能差、VLAN广播区域过大)是造成网速慢的关键问题。,15,网络速度慢,网络速度慢原因分析 1、接入线路质量问题 2、接入层组网结构问题 3、多用户共享VLAN引起广播问题 4、未进行流量控制 5、用户侧网络和计算机问题 6、路由规划不合理 7、以太网端口协商模式不一致问题 8、光纤收发器问题,16,用户帐号失窃,目前,用户安全
7、问题是开展宽带网络业务遇到的主要问题。 出现用户帐号非法共享、盗用以及非法用户追踪困难等问题的原因在于:我们目前没有对宽带用户帐号安全提供限制和可靠性保护,根本原因是由于城域网VLAN资源不足,无法对宽带用户进行唯一标识。,17,用户帐号解决方案,MAC地址绑定 在RADIUS SERVER上将上网计算机的MAC地址与用户上网帐号进行唯一性绑定,限制上网帐号的唯一使用性。 实现起来比较简单,无须改造现有的网络结构和DSLAM设备,但是它在RADIUS SERVER端的维护量很大,需要经常维护庞大的用户MAC地址表,一旦用户更换电脑或网卡则必须在RADIUS SERVER上进行重新绑定,从而带来
8、额外的工作量或引起用户投诉。,18,用户帐号解决方案,端口+帐号绑定 在DSLAM上将用户ADSL MODEM使用的DSLAM端口与用户上网帐号进行唯一性绑定,限制上网帐号的唯一使用性。 实现起来比较简单,无须改造现有的网络结构和DSLAM设备,需要统计用户使用的DSLAM端口,搞清DSLAM端口与用户上网帐号对应关系,19,用户帐号解决方案,PITP、PPPOE+扩展协议 PITP(Policy Inforation Transmission Protocol),即策略信息传送协议,包括端口信息获取、带宽资源收集、QOS策略下发以及配置维护信息传送等四种不同的策略信息动作,是华为公司为了解决
9、IP DSLAM VLAN ID不足、IPTN QOS以及统一维护管理等问题而提出的一种新型协议,可解决用户上网帐号盗用问题。 用户在PPP拨号过程中,PPP认证报文由IP DSLAM透传给BAS问题。BAS设备终结PPP认证报文,同时通过PITP协议与IP DSLAM设备进行消息交换,由IP DSLAM设备将用户所在的物理端口信息、槽位号和IP DSLAM设备号上报到BAS设备,再由BAS设备上报给RADIUS SERVER,完成用户帐号与所在IP DSLAM设备号、槽位号和端口号等物理位置的唯一绑定。,20,Troubleshooting Tips,21,线路问题,原因分析 1、线路质量差
10、、线路阻抗不匹配、线路老化、强干扰源 2、外线距离过远。 3、接头过多,接头接触不良,导致信号衰减过大。 4、MODEM长时间运转不关机,导致MODEM过热,影响其正常工作. 5、用户家中电话分机过多,语音分离器安装不正确。用户电话若要接分机,则ADSL过滤器必须接在分线盒之前,即外线直接接入语音分离器。 6、线路中有复连现象。例如:同一主干上同时复接话音和信号,同一外线安装一个以上MODEM等。,22,电缆交接箱,10/20/30/50/100对 铜芯大对数电缆,分线盒,电缆交接箱,10/20/30/50/100对 铜芯大对数电缆,分线盒,普通模拟电话,铝芯,铁芯线,铝芯,铁芯线,铜芯线,线
11、路问题线路质量差、阻抗不匹配等,线路问题,23,电缆交接箱,3-5KM,10/20/30/50/100对 铜芯大对数电缆,分线盒,铜芯线,线路问题外线距离过远,线路问题,24,电缆交接箱,3-5KM,10/20/30/50/100对 铜芯大对数电缆,分线盒,铜芯线,其它问题,线路问题,25,用户侧问题,26,用户侧问题,27,用户侧问题,限制本机向外所有地址的TCP 135139端口的访问,适用于:“机盲”用户,一台PC=“病毒窝”; 杀不清,理还乱。,28,用户侧问题,限制所有地址对本机的TCP 135139端口的访问,适用于:所有用户,从源头上杜绝病毒传播通道,29,关于PPPOE拨号软件
12、,1、Enet3.0,Enet5.0 2、Winxp自带,我们目前的拨号软件包:,问题:,1、系统兼容性问题,问题多 2、易用性问题,多为国外产品 3、知识产权问题,潜在的法律问题,30,关于PPPOE拨号软件,1、国人自主开发,更贴近国情 2、两个亮点: A、断线自动重拨 B、用户端故障检测系统,短期的解决方案:ADSL拨号王,将来的解决方案:自主开发,1、完全适合本土特色 2、不单单是一个拨号软件,而是一个综合业务平台,一些增值业务IM等 3、知识产权问题,不存在,31,LAN接入,LAN接入方式适合于对密集用户的集中接入,是宽带接入的主要手段,实现“千兆到小区,百兆到楼头,十兆到家庭”,
13、让用户真正体会到信息高速公路的无穷魅力。,32,Lan 接入存在的问题,1、由于楼道接入交换机未作端口隔离,一旦有个别用户中毒容易造成整个楼层上不了网 2、汇接交换机不作vlan 划分 一旦有个别用户中毒就会导致整个交换机下挂的用户上不了网,33,解决办法,1、引导用户装防病毒软件 2、楼道交换机做端口隔离 3、汇接交换机做vlan隔离,34,Lan接入运维的一些要点用户侧,35,限制本机向外所有地址的TCP 135139端口的访问,适用于:“机盲”用户,一台PC=“病毒窝”; 杀不清,理还乱。,Lan接入运维的一些要点用户侧,36,限制所有地址对本机的TCP 135139端口的访问,适用于:
14、所有用户,从源头上杜绝病毒传播通道,Lan接入运维的一些要点用户侧,37,Lan接入运维的一些要点资源管理,38,黑洞法Black Hole Filtering,FIB - - - - - - - -,Ingress ACL - - - -,Null0,Packets Arrive,Route to the Bit Bucket Saves on CPU and ACL processing,Lan接入运维的一些要点病毒防范,39,Lan接入运维的一些要点病毒防范,No ip route 221.3.143.118 255.255.255.255 null0,1、Sniffer,Netxray
15、 2、Netflow系列软件包 3、用户终端防火墙软件日志 4、路由器NAT日志记录,适用:丢弃所有针对受攻主机的流量保护其他主机的安全,40,Lan接入运维的一些要点病毒防范,路由器、三层交换机ACL过滤,适用:将正常流量和攻击流量一起阻拦 对虚假的和应用层的攻击无效,access-list 170 permit icmp any any echo access-list 170 permit icmp any any echo-reply log-input access-list 170 permit udp any any eq echo access-list 170 permit udp any eq echo any access-list 170 permit tcp any any established access-list 170 permit tcp any any access-list 170 permit ip any any interface serial 0 ip access-group 170 ou
