《ME60产品故障处理1103A课件》由会员分享,可在线阅读,更多相关《ME60产品故障处理1103A课件(89页珍藏版)》请在金锄头文库上搜索。
1、HUAWEI TECHNOLOGIES CO., LTD.All rights reservedInternal ME60产品故障处理ISSUE 1.0HUAWEI TECHNOLOGIES CO., LTD.All rights reserved目 录1.设备故障处理简介设备故障处理简介2.ME60 一般故障处理3.典型故障案例分析Page 1HUAWEI TECHNOLOGIES CO., LTD.All rights reserved日常设备故障处理步骤故障信息收集故障信息收集故障定位故障定位故障排除故障排除Page 2HUAWEI TECHNOLOGIES CO., LTD.All r
2、ights reserved目 录1.一般故障处理一般故障处理1.1 故障信息收集故障信息收集1.2 故障定位1.3 故障排除Page 3HUAWEI TECHNOLOGIES CO., LTD.All rights reserved故障信息收集 WHO WHAT WHEN故障信息收集故障信息收集 全方位,多角度收集全方位,多角度收集Page 4HUAWEI TECHNOLOGIES CO., LTD.All rights reservedWho? 谁出了问题?是某个用户 还是 多个用户?用户类型是什么?PPP、L2TP、DHCP。?某个VLAN下用户故障?某个端口下用户故障?某块单板下用户故
3、障?还是某个设备下用户故障?关键在于确定故障的范围!Page 5HUAWEI TECHNOLOGIES CO., LTD.All rights reservedWhat? 是什么问题?是不能上线还是不能上网?是访问DNS失败还是打开网页失败?是不能访问所有网站还是不能访问部分网站?是完全不能访问还是上网慢?关键在于确定故障的现象!Page 6HUAWEI TECHNOLOGIES CO., LTD.All rights reservedWhen? 何时产生的?是间歇性 还是 持续发生?发生时间有无规律?关键在于确定故障的时间!Page 7HUAWEI TECHNOLOGIES CO., LTD
4、.All rights reserved举例满足要求的故障信息收集: 某设备的GE1/0/0下全部 PPP用户出现不能上线的问题,在晚上的9:00故障出现,目前还未恢复。 某设备下的全部 DHCP用户不能打开部分网站的网页,如,DNS解析正常;ppp用户可以打开所有网站的网页;该现象从上行链路割接到A设备后出现,目前还未恢复。Page 8HUAWEI TECHNOLOGIES CO., LTD.All rights reserved目 录2.一般故障处理一般故障处理2.1 故障信息收集2.2 故障定位故障定位2.3 故障排除Page 9HUAWEI TECHNOLOGIES CO., LTD.
5、All rights reserved故障定位故障定位即从众多可能的原因中找出故障成因的过程,它通过一定的方法或手段分析、比较各种可能的故障成因,不断排除可能因素,最终确定故障发生的具体原因Page 10HUAWEI TECHNOLOGIES CO., LTD.All rights reserved故障定位l常用的故障定位的方法有:故障原始信息分析告警信息分析指示灯状态分析仪器仪表辅助分析性能统计辅助分析测试活动辅助分析(如环回操作、对比/互换、倒换/复位)Page 11HUAWEI TECHNOLOGIES CO., LTD.All rights reserved常用故障定位工具介绍Ping
6、TracertDisplayDebuggingTraceReset故障定位工具故障定位工具Page 12HUAWEI TECHNOLOGIES CO., LTD.All rights reservedPing 命令lping -a source-ip-address | -c count | -s packetsize | -t timeout * host-a source-ip-address:设置发送ICMP Echo Request报文的源IP地址。-c count:设置发送ICMP Echo Request报文的次数,缺省值为5。-s packetsize:设置发送ICMP Echo
7、 Request报文的长度(不包括IP和ICMP报文头),以字节为单位,缺省值为56。-t timeout:设置ping报文的超时时间,缺省值为2000ms。Page 13HUAWEI TECHNOLOGIES CO., LTD.All rights reservedTracert 命令ltracert利用IP报文的TTL域每经过一个路由器转发后减一,当TTL0时向源节点报告TTL超时这个特性实现。l首先发送一个TTL为1的UDP报文,因此第一跳发送回一个ICMP错误消息,明此数据报不能被发送;l之后再发送一个TTL为2的报文,在第二跳返回TTL超时,这个过程不断进行,直到到达目的地;l在目的
8、地,由于数据报中使用了无效的端口号(缺省为33434),目的主机会返回一个ICMP目的地不可达消息,该tracert操作结束。Page 14HUAWEI TECHNOLOGIES CO., LTD.All rights reservedTracert 命令参数介绍ltracert -a source-ip-address | -f first-TTL | -m max-TTL | -p port | -q nqueries | -w timeout * host-a source-ip-address:设置tracert报文的IP地址。-f first-TTL:设置初始TTL。-m max-T
9、TL:设置最大TTL。-p port:设置的主机的端口号,一般无须更改此选项。-q nqueries:设置每次发送的探测数据包的个数。-w timeout:设置报文的超时时间,单位是秒。host:目的主机的IP地址。Page 15HUAWEI TECHNOLOGIES CO., LTD.All rights reservedDisplay 命令ldisplay命令是网络维护和故障处理的重要工具 。ldisplay命令中的正则表达式l查看版本信息使用display version命令 l查看配置信息display current-configuration命令用来查看当前的配置信息。displa
10、y saved-configuration命令用来查看存储设备中 l查看接口信息可以使用命令display ip interface。ldisplay diagnostic-information命令是多条display命令的集合 Page 16HUAWEI TECHNOLOGIES CO., LTD.All rights reserved检查设备状态l查看系统告警使用display trapbuffer 命令查看系统内存中的告警信息 l查看系统日志使用display logbuffer命令查看操作日志,确定是否有非法操作l检查补丁 使用 display patch-information a
11、ll 命令查看补丁情况。某些版本已经发现的问题可能已经在对应版本的补丁中解决,如果发现问题应当检查对应版本是否发布过相应问题的补丁,同时查看设备是否已经安装了相应的补丁程序。 l其它使用display cpu-usage 命令查看系统CPU利用率,确定系统是否运行正常 Page 17HUAWEI TECHNOLOGIES CO., LTD.All rights reserved检查设备状态l其他使用display version命令查看系统开机工作持续时间,该项记录了系统复位或启动以来的时间,这样有利于问题定位。使用display temperature slot 检查单板温度。使用displ
12、ay power 检查电源运行状态。使用display fan 检查风扇运行状态。使用display voltage slot 检查单板电压状态。使用display device 检查单板工作状态。使用display alarm all 检查当前系统告警信息。Page 18HUAWEI TECHNOLOGIES CO., LTD.All rights reserved检查配置信息l使用display current-configuration 检查系统的全部配置数据。可以通过将当前配置数据和备份数据进行比较发现定位问题。l使用display ip routing查看路由信息。Page 19HU
13、AWEI TECHNOLOGIES CO., LTD.All rights reserved检查配置信息l使用display saved-configuration查看保存的配置信息。l使用display domain查看域配置信息。l使用display radius-server configuration查看Radius状态。Page 20HUAWEI TECHNOLOGIES CO., LTD.All rights reserved使用调试工具l打开某个模块调试开debugging modulenamel打开终端显示调试信息功能terminal debuggingl打开终端显示信息中心发
14、送的调试/日志/告警信息功能terminal monitorundo terminal monitor命令关闭调试信息输出开关时,所有模块的调试信息均不送往控制台。Page 21HUAWEI TECHNOLOGIES CO., LTD.All rights reserved使用调试工具l打开业务跟踪的调试开关Quidwaytrace enablel创建跟踪对象Quidwaytrace object如果是系统创建跟踪对象成功,为所创建的对象生成一个 对象ID;如果是系统删除跟踪对象成功,返回提示信息。 undo trace object 命令用于删除跟踪对象。Page 22HUAWEI TECH
15、NOLOGIES CO., LTD.All rights reservedReset 命令l根据所提供的功能,VRP平台的reset命令主要包括两类:l复位连接,例如:reset bgp ipv4 alll清除统计信息 reset counters interface reset ip statisticsPage 23HUAWEI TECHNOLOGIES CO., LTD.All rights reservedReset 步骤l首先使用reset命令清空统计值。l然后执行ping命令使路由器端口收发报文。l最后使用display命令查看统计值。Page 24HUAWEI TECHNOLOG
16、IES CO., LTD.All rights reserved目 录2.ME60 一般故障处理一般故障处理2.1 故障信息收集2.2 故障定位2.3 故障排除故障排除Page 25HUAWEI TECHNOLOGIES CO., LTD.All rights reserved故障排除l故障定位后,排除故障的典型措施或步骤如下:修改配置数据检修线路更换单板倒换系统复位单板Page 26HUAWEI TECHNOLOGIES CO., LTD.All rights reserved目 录1.设备故障处理简介2.ME60 一般故障处理一般故障处理3.典型故障案例分析Page 27HUAWEI TE
17、CHNOLOGIES CO., LTD.All rights reserved常见故障业务IPOX业务故障处理PPPOX业务故障处理Page 28HUAWEI TECHNOLOGIES CO., LTD.All rights reserved常见故障业务IPOX业务故障处理Page 29HUAWEI TECHNOLOGIES CO., LTD.All rights reservedIPOX业务故障处理lIPOX业务介绍lIP地址获取流程介绍l认证流程介绍l常见故障现象分析Page 30HUAWEI TECHNOLOGIES CO., LTD.All rights reservedIPOX业务介
18、绍lIPOX接入是指以ATM、Ethernet II或802.1Q协议和用户之间建立链路,以静态配置或DHCP(Dynamic Host Configuration Protocol)方式获取IP地址,以Web认证、快速认证、绑定等方式验证用户身份的接入方式。lIPOX接入方式中,ME60以VLAN或者PVC标识并严格隔离用户。 Page 31HUAWEI TECHNOLOGIES CO., LTD.All rights reservedIP地址获取流程介绍l静态用户的IP地址获取流程静态用户的IP地址由用户指定,但需要在ME60上通过static-user命令进行配置,并且和客户端指定的IP
19、地址保持一致,以通过报文一致性检查。Page 32HUAWEI TECHNOLOGIES CO., LTD.All rights reservedIP地址获取流程介绍(续)lWeb/快速/绑定认证用户的IP地址获取流程(1) 用户计算机开机时,广播DHCP Discovery消息报文。(2) ME60收到DHCP Discovery报文后,检查用户所在bas接口是否允许通过DHCP获取IP地址(即bas接口的认证方式中是否包含Web/快速/绑定认证中的一种)。(3) 如果bas接口不允许通过DHCP获取IP地址,则分配IP地址失败;否则生成绑定格式的用户名到bas接口指定的认证前域进行认证,如
20、果认证不通过,则分配IP地址失败,否则转(4)。Page 33HUAWEI TECHNOLOGIES CO., LTD.All rights reservedIP地址获取流程介绍(续)(4) ME60回应用户的DHCP Discovery消息报文。(5) 用户发送DHCP Request消息报文。(6) ME60判断根据用户所在bas接口指定的认证前域所引用的地址池是否为本地地址池。如果是本地地址池,转(7),否则转(8)。(7) ME60从本地地址池中直接选取一个地址,并连同地址租期等信息一起回应给用户,转(9)。(8) ME60通过DHCP Relay功能将用户的DHCP请求转发给DHCP
21、服务器,并将DHCP服务器的回应信息发送给用户。(9) 用户获得具有一定租期的IP地址后,用户接入的链路建立。Page 34HUAWEI TECHNOLOGIES CO., LTD.All rights reservedWEB认证和快速认证流程ClientME60Web ServerRADIUSServerDHCP阶段强制Web认证阶段认证阶段DHCP DiscoveryDHCP OfferDHCP ReqeusetDHCP AckHTTP ReqeusetHTTP RedirectionHTTP ReqeusetHTTP AckUser Name/PasswordChallenge Reqe
22、usetChallenge AckAuth RequestAuth RequestAuth AckLogin RequestLogin AckWAT_ACK_AUTHAuth SuccessAFF_ACK_AUTHPage 35HUAWEI TECHNOLOGIES CO., LTD.All rights reserved绑定认证流程lME60收到用户的DHCP报文时,根据用户接入的bas接口信息自动生成用户名和密码,到用户所在bas接口指定的认证域进行认证。l认证通过后,ME60为用户分配IP地址,用户可以正常上网,ME60开始计费。l用户在线过程中,用户关机、断开网络或释放IP地址时,ME
23、60删除用户的连接信息,停止计费。Page 36HUAWEI TECHNOLOGIES CO., LTD.All rights reserved静态用户认证流程lME60收到用户的ARP/IP报文或者ME60通过ARP探测到用户存在时,由ME60根据用户接入的bas接口信息自动生成用户名和密码,到bas接口指定的认证域或者认证前域进行认证。l认证通过后,用户可以正常上网,ME60开始计费。l用户在线过程中,用户关机,断开网络时,ME60删除用户的连接信息,停止计费。Page 37HUAWEI TECHNOLOGIES CO., LTD.All rights reserved常见故障现象分析l用
24、户无法获取地址l无法打开Web认证页面l认证无法通过l用户异常断线等 Page 38HUAWEI TECHNOLOGIES CO., LTD.All rights reserved检查要点WEBWEB服务器服务器服务器服务器认证前认证前认证前认证前/ /时时时时域域域域BASBAS接口配置接口配置接口配置接口配置地址池配置地址池配置地址池配置地址池配置DHCPDHCP服务器服务器服务器服务器交换机配置交换机配置交换机配置交换机配置UCL/ACLUCL/ACLPage 39HUAWEI TECHNOLOGIES CO., LTD.All rights reserved用户无法获得IP地址分析lB
25、AS接口接入类型配置错误l用户认证前域认证失败打开DHCP调试开关后,只能收到用户的DHCP Discovery报文,没有任何后续报文。lIP地址池不存在打开DHCP调试开关后,只能收到用户的DHCP Discovery报文,没有任何后续报文。l地址池无空闲地址打开DHCP调试开关后,只能收到用户的DHCP Discovery报文,没有任何后续报文:常见原因常见原因Page 40HUAWEI TECHNOLOGIES CO., LTD.All rights reserved使用调试工具lDHCP调试命令包括DHCPS(DHCP Server Module)、DHCPC(DHCP Client
26、Module)、DHCPR(DHCP Relay Module)三个模块的命令,分别负责DHCP服务器消息、DHCP客户端消息、DHCP Relay消息。debugging dhcpc/dhcpr/dhcps packetterminal monitorterminal debugginglWEB调试工具debugging web packetterminal monitorterminal debugginglRadius调试工具debugging radius packetterminal monitorterminal debuggingPage 41HUAWEI TECHNOLOGIE
27、S CO., LTD.All rights reserved使用调试工具l业务跟踪Quidwaytrace enable Quidway trace object mac-address 0006-5B68-172D output Page 42HUAWEI TECHNOLOGIES CO., LTD.All rights reserved使用命令查询l查看认证前域Quidwaydisplay domain name default0 Domain-name : default0 Domain-state : Active Domain-type : Normal domain Authent
28、ication-scheme-name : default0 Accounting-scheme-name : default0 User-group-name : 1 Page 43HUAWEI TECHNOLOGIES CO., LTD.All rights reserved使用命令查询 Web-server-IP-address : 192.168.7.253 Web-URL : - Web-server-work-mode : GET Dns-IP-address : - Queue-pro : - IP-address-pool-name : temp TimeRange-Qos :
29、 DisabledPage 44HUAWEI TECHNOLOGIES CO., LTD.All rights reserved使用命令查询l查看认证域Quidwaydisplay domain name isp Domain-name : isp Domain-state : Active Domain-type : Normal domain Authentication-scheme-name : auth1 Accounting-scheme-name : acct1 User-group-name : 2 IP-address-pool-name : huawei Page 45HU
30、AWEI TECHNOLOGIES CO., LTD.All rights reserved使用命令查询l查看BAS接口信息Quidwaydisplay bas-interface GigabitEthernet 2/0/1.1 Access type : Layer2-subscriber BASIF state : Updated BASIF name : - Pre-authentication default domain : default0 Authentication default domain : isp Replace authentication domain forci
31、bly : none Roam domain : default1 Accounting copy RADIUS server : - Authentication method : web Page 46HUAWEI TECHNOLOGIES CO., LTD.All rights reserved使用命令查询l查看地址池Quidwaydisplay ip pool name huawei Pool-Name : huawei Pool-No : 0 Lease : 3 Days 0 Hours 0 Minutes DNS-Suffix : - Primary-DNS : - Seconda
32、ry-DNS : - Primary-NBNS : - Secondary-NBNS : - Position : Local Status : Unlocked Gateway : 172.16.0.1 Mask : 255.255.255.0- ID start end total used idle conflicted disable - 0 172.16.0.2 172.16.0.10 9 0 9 0 0 -Page 47HUAWEI TECHNOLOGIES CO., LTD.All rights reserved使用命令查询l查看认证策略Quidwaydisplay authen
33、tication-scheme auth1 Authentication-scheme-name : auth1 Authentication-method : RADIUS Authentication-super method : Super authentication-super Authentication-fail-policy : Offline Authentication-fail-domain : - Page 48HUAWEI TECHNOLOGIES CO., LTD.All rights reserved使用命令查询l查看计费策略Quidwaydisplay acco
34、unting-scheme acct1 Accounting-scheme-name : acct1 Accounting-method : RADIUS Realtime-accounting-switch : Disabled Realtime-accounting-interval(min) : - Start-accounting-fail-policy : Offline Realtime-accounting-fail-policy : Online Realtime-accounting-failure-retries : 3 Page 49HUAWEI TECHNOLOGIES
35、 CO., LTD.All rights reserved强制WEB失败直接输入web服务器的地址可以访问不可以访问是否是DNS原因(输入IP是否强制)认证前默认域是否配置了web认证服务器web认证服务器是否允许用户认证前访问web认证服务器配置上行路由是否正确可达ACL是否正确配置Page 50HUAWEI TECHNOLOGIES CO., LTD.All rights reserved强制WEB失败分析常见原因常见原因l没有指定强制Web认证服务器l没有配置相应的ACLlWeb认证服务器不可达lDNS服务器不可用lWeb服务器配置错误Page 51HUAWEI TECHNOLOGIES
36、 CO., LTD.All rights reserved处理建议一l用户获取地址后直接在浏览器中输入Web认证服务器的地址,检查是否能打开Web认证的页面,如果不能则有可能错误原因:错误原因处理建议Web认证服务器不可达 检查ME60的路由表是否正确,默认路由下一跳是否可达。必要时可以先把用户可以访问的权限全部打开,看用户是否可以正常访问其它网页,如果可以则再通过tracert来检查到Web认证服务器的路由是否可达。Web认证服务器不可用 在其他设备访问Web认证服务器,检查是否正常。也可以把强制Web认证服务器地址改为其他地址测试。ACL没有配置允许用户在认证前可以访问Web认证服务器 请
37、检查对应ACL的配置。Page 52HUAWEI TECHNOLOGIES CO., LTD.All rights reserved处理建议二l如果可打开Web认证页面,则在浏览器中随意输入一个IP地址(如1.1.1.1),检查是否可以重定向到Web认证页面,如果不能则可能有可能是:错误原因处理建议没有在对应认证前域下指定认证的服务器请检查相应域的配置。没有配置相应的ACL配置ACL,使用户所在的user-group组只能访问Web服务器、DNS等,而其它地址都应当是禁止访问的。用户user-group组与ACL配置中的不一致修改用户所在域的user-group,使其和ACL配置中的一致。Pa
38、ge 53HUAWEI TECHNOLOGIES CO., LTD.All rights reserved处理建议三l如果在(处理建议二)中可以重定向到Web认证服务器,则在IE中输入一个域名(如),检查是否可以重定向到Web认证页面,如果不能则可能是DNS服务器不可达或不可用,可更换DNS服务器测试。Page 54HUAWEI TECHNOLOGIES CO., LTD.All rights reserved无法通过WEB认证lWEB服务器配置错误,未发送认证请求lradius 上不存在该帐号/帐号封死lradius上做了位置绑定,与实际情况不符合lradius上配置的NAS地址不正确l设备
39、和radius的密钥不一致l到radius的路由不通lradius下发数据不附合设备的定义常见原因常见原因Page 55HUAWEI TECHNOLOGIES CO., LTD.All rights reserved静态用户无法上线分析l查看地址池中是否除去了静态用户地址使用display current-configuration 命令查看处理方法处理方法Page 56HUAWEI TECHNOLOGIES CO., LTD.All rights reserved常见故障业务PPPOX业务故障处理Page 57HUAWEI TECHNOLOGIES CO., LTD.All rights r
40、eservedPPPOX业务故障处理lPPPOX业务介绍lPPPOX业务接入流程l常见故障现象分析Page 58HUAWEI TECHNOLOGIES CO., LTD.All rights reservedPPPOX业务介绍lPPPoX接入是指通过PPPoX虚拟拨号方式在ME60与用户之间建立点到点的连接,使用PAP或CHAP方式验证用户身份,通过PPP(Point-to-Point Protocol)协商获取IP地址的接入方式。lME60中,PPPoE和PPP(Point-to-Point Protocol)属于不同的功能项。ME60内置了PPPoE服务器和PPP服务器。Page 59HU
41、AWEI TECHNOLOGIES CO., LTD.All rights reservedPPPOX业务介绍lPPPoE服务器用于建立用户和ME60之间的会话(Session),终结用户的PPPoE报文,从中取出相应的PPP报文发送给PPP服务器,或者将PPP服务器的PPP报文进行PPPoE封装后发送给用户。lPPP服务器则在PPPoE会话建立后,或者PPPOA直接在相应的链路上和用户进行PPP协商,分配IP地址,验证用户身份,完成用户的接入认证过程。此时ME60的作用是BAS(Broadband Access Server),在认证后终结用户的PPP报文,取出相应的IP报文进行转发,或者将
42、发送给用户的IP报文进行PPP封装后交给PPPoE服务器处理。Page 60HUAWEI TECHNOLOGIES CO., LTD.All rights reservedPPPOE接入流程ClientME60RADIUS ServerPPPoE发现阶段LCP协商段PPP认证阶段PADIPADOPADRPADSConfig-reqConifg-ackAuth-reqLogin-req用户在线Auth-reqAuth-ackAuth-ackLogin-ackPage 61HUAWEI TECHNOLOGIES CO., LTD.All rights reserved常见故障现象l用户认证无法通过
43、l用户无法获取地址l用户异常断线等。注意:1、PPPoE上线包括Discovery阶段、LCP(Link Control Protocol)协商 阶段、验证阶段及IP地址分配阶段,任何一步失败都可能导致用户上线失败。所以PPPoE业务失败时,可通过调试信息或业务跟踪的信息检查哪个阶段失败。2、使用调试命令或业务跟踪信息前,首先应确认ME60数据配置是否正确。Page 62HUAWEI TECHNOLOGIES CO., LTD.All rights reserved检查要点认证方式认证方式认证方式认证方式认证域认证域认证域认证域 Access typeAccess type不不不不匹配匹配匹配
44、匹配Vlan Vlan 配置错误配置错误配置错误配置错误IPIP地址池地址池地址池地址池接口与虚模接口与虚模接口与虚模接口与虚模板绑定板绑定板绑定板绑定Radius Radius 错误错误错误错误Page 63HUAWEI TECHNOLOGIES CO., LTD.All rights reserved使用调试工具lQuidwaytrace enable lQuidway trace object mac-address 0000-0000-0001 output Page 64HUAWEI TECHNOLOGIES CO., LTD.All rights reserved使用命令查询 di
45、splay current-configuration | begin 2/0/0.1 interface GigabitEthernet2/0/0.1 pppoe-server bind virtual-template 1 undo shutdown user-vlan 10 bas access-type layer2-subscriber default-domain authentication huawei查询接口是否绑定了模板Page 65HUAWEI TECHNOLOGIES CO., LTD.All rights reserved使用命令查询l显示用户上线失败原因 Quidw
46、aydisplay aaa online-fail-record - User name : huaweiisp User MAC : 0050-04b4-604c User access type : PPPoE User access interface : Ethernet2/0/0.1 User access Vlan : 10 User IP address : 255.255.255.255 User ID : 13 User authen state : Authened User acct state : AcctIdle User author state : AuthorI
47、dle User acct sessionID: Quidway013 User login time : 2005/11/18 15:29:13 User online fail reason: Radius authentication send fail -Radius认证服务器通讯故障Page 66HUAWEI TECHNOLOGIES CO., LTD.All rights reserved使用命令查询Radius认证服务器拒绝l显示用户上线失败原因Quidway-aaa-domain-huaweidis aaa online-fail-record - User name : hu
48、aweihuawei User MAC : 0050-04b4-604c User access type : PPPoE User access interface : Ethernet2/0/0.1 User access Vlan : 10 User IP address : 255.255.255.255 User ID : 15 User authen state : Authened User acct state : AcctIdle User author state : AuthorIdle User acct sessionID: Quidway0100d286a00015
49、 User login time : 2005/11/18 15:35:35 User online fail reason: Radius authentication rejectPage 67HUAWEI TECHNOLOGIES CO., LTD.All rights reserved使用命令查询l显示用户下线原因Quidwaydisplay aaa offline-record User name : huaweiisp User MAC : 0050-04b4-604c User access type : PPPoE User access interface : Etherne
50、t2/0/0.1 User access Vlan : 10 User IP address : 172.16.0.2 User ID : 10 User authen state : Authened User acct state : AcctIdle User author state : AuthorIdle User acct sessionID: Quidway010899f1b00010 User login time : 2005/11/18 14:23:30 User offline time : 2005/11/18 14:24:10 User offline reason
51、: PPP user request用户请求Page 68HUAWEI TECHNOLOGIES CO., LTD.All rights reserved使用命令查询l显示某端口在线用户 Quidwaydisplay access-user interface GigabitEthernet2/1/1 - UserID Username Interface IP address MAC - 35 userppp Eth2/1/1 172.171.0.10 0000-0000-0001 - Total 1 Page 69HUAWEI TECHNOLOGIES CO., LTD.All right
52、s reserved常见问题l为什么拔号时显示找不到服务器?l用户进行PPPoE拔号时,拔号器提示找不到服务器(Windows XP自带的PPPoE拨号器提示错误678:远程计算机没有反应),这表示客户端发出PADI(PADM-Initialization)报文时没有收到PADO(PADM-Offer)响应。可能的原因如下。ME60上bas接口接入类型配置错误bas接口认证方法配置错误接口没有绑定虚模板二层网络中断ATM的封装格式不对(snap和vcmux)PPPOEOA时PVC没有绑定VE或者VE下没有VT所在BAS接口是否UPPPPOA时PVC下没有绑定VT Page 70HUAWEI T
53、ECHNOLOGIES CO., LTD.All rights reserved常见问题l二层网络中断的典型现象如下(打开PPPoE/PPP调试开关和业务跟踪功能)。用户进行PPPoE拨号时,ME60收不到任何报文。用户进行PPPoE拨号时,ME60收到PADI报文,并已经响应了PADO报文,但是收不到用户的PADR(PADM-Request)报文。此时请检查二层网络物理联接是否正常、VLAN划分是否正确,必要时可以在二层网络的设备上截取报文进行分析。 Page 71HUAWEI TECHNOLOGIES CO., LTD.All rights reservedPPP Radius认证失败l打
54、开RADIUS调试开关,检查是否能够收到RADIUS认证报文,如果不能则说明不是RADIUS故障.l常见的AAA错误包括用户名或密码错误、用户名未激活、用户名不存在、域未激活等。对应以上每种原因,通过业务跟踪功能都可以看到对应的提示,常见的AAA业务跟踪信息格式如下。 -2007/7/27 13:41:27-AAA0006-5ba6-df2c:Receive authentication ack from LAM successfully(UserID = 42, Result = Failure, Fail reason = User not exist)Page 72HUAWEI TECH
55、NOLOGIES CO., LTD.All rights reserved目 录1.设备故障处理简介2.ME60 一般故障处理3.典型故障案例分析典型故障案例分析Page 73HUAWEI TECHNOLOGIES CO., LTD.All rights reserved故障案例l某局新开局使用:DLASM-ME60-路由器组网结构,DLASM下面有PPP拨号用户和VLAN绑定用户,用户VLAN绑定用户无法正常上网。Page 74HUAWEI TECHNOLOGIES CO., LTD.All rights reserved收集故障现象l故障申告所有VLAN绑定用户无法正常上网,PPP拨号用户
56、正常。Page 75HUAWEI TECHNOLOGIES CO., LTD.All rights reserved故障分析l所有绑定用户都无法正常上网,说明可能是物理上出现问题或是数据配置问题。lPPP拨号用户正常,说明从DLASM到ME60物理连接正常。lVLAN绑定用户无法正常上网,需要从DLSAM侧开始判断。Page 76HUAWEI TECHNOLOGIES CO., LTD.All rights reserved接口UP说明物理连接没有问题链接协议也是UP查看数据l查看ME60接入端口状态display interface GigabitEthernet 2/0/0.1Gigabi
57、tEthernet2/0/0.1 current state: upLine protocol current state: upPage 77HUAWEI TECHNOLOGIES CO., LTD.All rights reserved查看数据l查看ME60接入端口配置Quidwayinterface GigabitEthernet2/0/0.1Quidway-GigabitEthernet2/0/0.1display this # interface GigabitEthernet2/0/0.1user-vlan 10 bas access-type layer2-subscriber
58、default-domain authentication isp authentication-method bind#用户所属VLAN10检查于DSLAM是否匹配Page 78HUAWEI TECHNOLOGIES CO., LTD.All rights reserved查看数据l确保DLSAM数据匹配的后检查接口引用的域配置Quidwaydisplay domain name isp Domain-name : isp Domain-state : Active Domain-type : Normal domain Authentication-scheme-name : auth1
59、Accounting-scheme-name : acct1 Authorization-scheme-name : - RADIUS-server-group : rd1 . IP-address-pool-name : pool1 TimeRange-Qos : Disabled重点关注红色部分内容上述部分发现该域使用的是RADIUS认证,并且引用POOL1的地址池Page 79HUAWEI TECHNOLOGIES CO., LTD.All rights reserved查看数据l查看认证策略及计费策略是否正确 Quidwaydisplay authentication-scheme a
60、uth1 Authentication-scheme-name : auth1 Authentication-method : RADIUS Authentication-super method : Super authentication-super Authentication-fail-policy : Offline Authentication-fail-domain : -Quidwaydisplay accounting-scheme acct1 Accounting-scheme-name : acct1 Accounting-method : RADIUS Realtime
61、-accounting-switch : Disabled Realtime-accounting-interval(min) : - Start-accounting-fail-policy : Offline Realtime-accounting-fail-policy : Online Realtime-accounting-failure-retries : 3说明认证和计费策略正确Page 80HUAWEI TECHNOLOGIES CO., LTD.All rights reserved查看数据l查看Radius服务器是否UP Quidwaydisplay radius-serv
62、er configuration WY-R1-YY-radius-testdisplay radius-server configuration RADIUS no response packet count : 10 RADIUS auto recover time(Min) : 3 - Server-group-name : rd1 Authentication-server: IP:192.168.7.253 Port:1812 Weight0 UP Vpn: - Authentication-server: - Accounting-server : IP:192.168.7.253
63、Port:1813 Weight0 UP Vpn: - Radius服务器UPPage 81HUAWEI TECHNOLOGIES CO., LTD.All rights reserved查看数据l查看是否是地址池设置问题 Quidwaydisplay ip pool pool1 Pool-Name : pool1 Pool-No : 0 Lease : 3 Days 0 Hours 0 Minutes Position : Local Status : Unlocked Gateway : 172.16.1.1 Mask : 255.255.255.0 Vpn instance : publ
64、ic vpn-instance - ID start end total used idle conflicted disable - 0 172.16.1.2 172.16.1.100 99 0 99 0 0 -地地池OKPage 82HUAWEI TECHNOLOGIES CO., LTD.All rights reserved查看数据l综上查询发现ME60的数据配置基本没有问题,由于VLAN bind认证是在Radius上完成的,怀疑Radius上的设置有问题。打开Radius的debug开关查看故障:*Nov 21 11:35:34 2005 Quidway RDS/8/debug2:
65、 Radius Sent a Packet Server Template: 0 Server IP : 192.168.1.251 Protocol: Standard Code : 1 Len : 288 ID : 39 User-name(1) 28 Quidway-010isp Password 18 64cf4bca5d17bc8898938b8577b3c247 NAS-Port(5) 6 33554442 NAS-IP-Address(4) 6 192.168.1.1 Service-Type(6) 6 2 Framed-Protocol(7) 6 1 Framed-IP-Add
66、ress(8) 6 255.255.255.255 Calling-Station-Id(31) 19 00:50:04:b4:60:4c NAS-Identifier(32) 9 Quidway NAS-Port-Type(61) 6 15 NAS-Port-Id(87) 36 slot=2;subslot=0;port=0;vlanid=10; Login-IP-Host(14) 6 4294967295 Acct-Session-Id(44) 34 Quidway0100eaa1300039 Page 83HUAWEI TECHNOLOGIES CO., LTD.All rights r
67、eserved查看数据Nov 21 11:35:36 2005 Quidway RDS/8/debug2: NAS-Startup-Timestamp(26-59) 6 1132569618 Ip-Host-Addr(26-60) 35 255.255.255.255 00:50:04:b4:60:4c Connect-ID(26-26) 6 39 Version(26-254) 16 Huawei ME60 Product-ID(26-255) 8 MA5200 Domain-name(26-138) 5 isp*Nov 21 11:35:36 2005 Quidway RDS/8/debu
68、g2: Radius Received a Packet Server Template: 0 Server IP : 192.168.1.251 Server Port : 1812 Protocol: Standard Code : 3 Len : 36 ID : 39 Reply-Message(18) 16 Request denied Page 84HUAWEI TECHNOLOGIES CO., LTD.All rights reserved查看数据l查看上线失败记录display aaa online-fail-record - User name : Quidway-010is
69、p User MAC : 0000-0000-0001 User access type : IPoE User access interface : Ethernet2/1/1 Qinq Vlan/User Vlan: 0/0 User IP address : 255.255.255.255 User ID : 54 User authen state : Authened User acct state : AcctIdle User author state : AuthorIdle User acct sessionID: WY-R1-Y000b599cd00054 User log
70、in time : 2007/07/27 16:36:15 User online fail reason: Radius authentication reject Page 85HUAWEI TECHNOLOGIES CO., LTD.All rights reserved查看数据l查看Radius debug信息和上线失败记录得出Radius认证不通过,用户使用的用户名是Quidway-010isp,与Radius服务器设置相比较,发现是用户名错误导致用户无法上网。lbind认证的过程是ME60自动记录用户的相关信息,并生成用户名送往Radius认证,l帐号格式: 设备名-槽位号(2位)+子槽号(1位)+端口号(2位)+外层VLAN(4位)+0+内层VLAN(4位)域名密码默认为:VLAN在本例中用户以2/0/0.1端口VLAN10接入,所以帐号位:Quidway-010isp适用于2117以上版本Page 86HUAWEI TECHNOLOGIES CO., LTD.All rights reservedl本课程通过实例案例讲述了故障处理的思路和方法。如何通过获得的信息来逐步定位故障,以及如何使用相关的命令和工具来排查故障。小结小结小结小结Page 87谢谢
