BRAS配置及其维护

1、 TIME yyyy-M-d 2022-1-1第页BRAS配置及其维护本手册分三个部分，第一部分是业务介绍，主要介绍的是设备支持哪些功能。第二部分是常见配置，有VLAN自动获取IP地址配置(即DHCP)，VLAN静态用户配置，强制WEB认证配置，PPPOE配置等。第三部分是常见故障处理，主要是radius问题，对接设备问题等案例。BRAS业务功能 VLAN透传VLAN用户接入 PPPOE用户接入 强制PORTAL组播多网段功能多域控制源地址路由功能Trunk 功能 ACL控制Intergroup组UCL控制QOS NAT 计费本地计费 radius计费 计费方案认证 认证方式 WEB认证、pp

2、poe认证、绑定认证；R009还有802.1X认证(支持EAP-SIM和EAP-MD5)。 认证方案地址管理 本地地址池外置DHCP Server 内置DHCP ServerRadius Server 路由 静态路由动态路由RIP OSPF ISIS BGP等安全性 用户安全 1、每个用户一个VLAN，在二层实现隔离。2、设置UCL规则，在三层实现隔离。3、帐号和端口绑定，杜绝地址欺骗。4、对于VLAN用户数据报文，对其IP地址、MAC地址，VLAN ID、端口进行绑定验证，抛弃非法报文。 设备安全网络侧通过IP报文攻击BRAS；通过配置可信任IP地址和配置网络侧接入访问限制来解决。用户侧的攻

3、击，系统可以自动识别出有异常的用户（VLAN和MAC），并自动关闭这些用户的业务，但是只能够手动恢复。设置当系统受到某个MAC的攻击，自动关闭此MAC。设置当系统受到某个VLAN的攻击，自动关闭此VLAN。BRAS常见配置3.1 维护终端的连接和配置BRAS的控制台提供本地维护和远程维护两种方式。本地维护采用串口或Telnet方式，远程维护可以采用Telnet方式。3.1.1 串口终端1、连接方式：将配置主机串口通过标准的RS232串口线与主控板上的维护串口COM连接：2、超级终端参数设置：波特率9600BRASbps，其他参数都采用默认参数即可。3.1.2 Telnet终端系统默认的维护网口

4、IP地址为*，子网掩码为*。1、本地连接：将配置主机的以太网口和BRAS主控板的维护网口通过局域网连接，此时BRAS使用标准网线与局域网相连，图3-3 注意：也可以将配置主机网口与BRAS主控板的维护网口ETH直接连接，但此时要使用交叉网线。2、远程连接：将配置主机和BRAS的维护网口通过广域网连接，图3-4 说明：远程管理不一定都连接在的ETH端口上。3-4只是远程Telnet的一种方法。还可通过带内方式（使用业务板的业务通道）进行远程维护。对于Telnet远程维护，必须保证有相应的路由可达BRAS，从维护终端上可以Ping通维护网口地址。3、登录BRAS设备：运行Telnet程序，如图3-

5、5所示，在连接窗口中键入BRAS的接口IP地址，建立连接。输入正确的用户名和口令，然后出现命令行提示符。图3-5也可以使用超级终端：选择“TCP/IP“协议，在“主机地址”处输入BRAS的登录IP地址，如图3-6所示：图3-63.1.3 操作用户管理BRAS系统控制台的登录验证主要对操作用户进行身份校验，通过对操作用户的用户名和密码的匹配识别，来允许或拒绝操作用户的登录。对于一个操作用户，有帐号（即用户名）、权限、密码、重复登录数（即该帐号可同时登录的个数）等属性。增加操作用户： 删除操作用户：设置用户权限：更改用户密码：更改用户登录次数：显示所有操作用户信息：显示登录的Telnet终端用户信

6、息：3.1.4 Telnet客户端管理对通过Telnet登录的操作用户，BRAS系统通过对客户端Telnet的IP地址的管理防止非法操作用户登录设备。BRAS系统建立一个Telnet客户端控制列表，通过对Telnet客户端IP地址的增加、删除、激活、去激活来管理Telnet操作用户。Telnet操作用户连接主机后也需要进行身份校验。 说明带内：inband 是指通过业务板的接口地址与BRAS互通。带外：outband 是指通过主控板的维护网口与BRAS互通。3.2 网管工作站配置在通过网管管理BRAS前，必须先在该BRAS中增加该网管工作站的参数，否则系统将不会处理网管的请求报文，用户将无法通

7、过网管维护该BRAS宽带智能接入服务器3.2.1 增加网管工作站：1、新加网管：需要设置网管ip、掩码，网管名称，网管GET/SET团体名，网管维护方式。2、激活网管工作站： 注意：在配置网管工作站时应注意以下问题：增加网管工作站时必须保证同一维护方式下网管IP地址及网管名称唯一。网管工作站参数增加后必须激活才能生效。团体名字符串是区别大小写的，即相同字符串但大小写不一致也会认为是两个不同的团体名字符串。3.3 业务配置 BRAS业务安照接入方式可以分为VLAN、PPPOE等，常用的业务配置还有：L2TP、NAT和专线业务。3.3.1 路由接入3.3.2静态VLAN用户业务1、系统组网说明：（

8、1）PC1接LS的端口3，VLAN ID为3； PC2接LS的端口8，VLAN ID为8；（2）PC1、PC2 通过LS连到业务接入板上的任意一个网口，比如网口0上；（3）业务接入板的网口0必须设为 tagged 方式，槽位号为3；（4）业务接入板的网口7接VOD Server 服务器，槽位号为1；（这里的vod server端口可以代表上行口的设置）（5）PC1、PC2 以VLAN ID认证的方式通过BRAS内虚模板的代理从BRAS内获取预先绑定的IP地址，从而实现上网、VOD点播等业务，系统基于VLAN ID对各用户实现管理功能，如认证、开通、计费等；（6）PC1、PC2为静态VLAN用户

9、，在BRAS内实现基于VLAN ID、IP地址二者的绑定，在系统挂有DHCP服务器的时候，所有静态VLAN用户的IP 地址必须是DHCP服务器地址池中的IP地址，而且这些地址必须从DHCP服务器地址池中排除，以免DHCP服务器再次分配这些IP地址。3、系统IP地址规划业务接入板网口7：/24；虚模板： 2/24；4、PC设置（静态VLAN用户，必须设置）PC1： IP地址：/24， 网关： 2；PC2： IP地址：2/24，网关： 2；5、LS的设置（1）端口3的VLAN ID为3；（2）端口8的VLAN ID为8；（3）端口25作上行，透传所有用户VLAN。6、服务器的设置VOD Serve

10、r： IP地址：/24，网关： ；系统数据配置配置虚模板配置虚模板的IP地址这里绑定用户vlan，可以分别绑定单个vlan，也可以连续绑定一段vlan，其中包含用户vlan即可)说明：1、由于VLAN端口在每个槽位下唯一，为唯一标识一个VLAN端口，必须具有slot槽位信息。每个VLAN端口一次只能绑定一个虚模板，即一次只能属于一个网段。2、当想要改变VLAN端口绑定的虚模板时，必须先解除以前的绑定关系。3、解绑定操作只有在此VLAN端口下没有任何类型的VLAN用户存在时才能执行成功，即不能有任何获取了合法IP地址的用户（无论上线与否）存在。（可以通过block 该vlan端口的状态实现）VL

11、AN端口激活配置VLAN端口认证配置如果不输入系统默认口令为VLAN 说明：系统默认的VLAN端口属性如下：端口状态为激活；认证方式是Web认证方式，系统默认密码是“vlan”，快速和绑定认证下上线的用户不使用VLAN端口CAR的标记；端口下用户数不受控，每端口最多带2048个可获得合法IP地址的用户。进入VLAN域激活VLAN域此处口令与VLAN端口配置一致激活帐号配置静态VLAN用户此处MAC地址可以不输入，如果录入则静态用户只允许带有此MAC地址网卡的PC机使用配置静态VLAN用户8、验证（1）在PC1、PC2上分别 Ping 虚模板、业务接入板上的各上行口、VOD Server 服务器

12、 的IP地址，应均能Ping通；（2）从服务器回Ping PC1、PC2，应均能Ping通；3.3.3 内置DHCP业务1、组网图内置dhcp server接入2、系统组网说明：（1）PC1接LS的端口3，VLAN ID为3； PC2接LS的端口8，VLAN ID为8；（2）PC1、PC2 通过LS连到业务接入板上的任意一个网口，比如网口0上；（3）业务接入板的网口0必须设为 tagged 方式；（4）业务接入板的网口7接VOD Server 服务器；（5）PC1、PC2 以VLAN ID认证的方式通过BRAS内虚模板代理的DHCP Server 动态地获取IP地址，从而实现上网、VOD点播等

13、业务，系统基于VLAN ID对 各用户实现管理等功能，如认证、开通、计费等；3、系统IP地址规划业务接入板网口7：/24；虚模板： /24；4、PC设置PC1：自动获取 IP 地址；PC2：自动获取 IP 地址。5、LS的设置（1）端口3的VLAN ID为3；（2）端口8的VLAN ID为8；（3）端口25的端口类型为tagged，透传所有业务VLAN；6、服务器的设置 VOD Server： IP地址：/24，网关： ；7、系统数据配置配置VOD服务器接口的IP地址配置虚模板的IP地址配置内置DHCP服务器的IP地址）绑定vlanbind vlan (这里绑定用户vlan，可以分别绑定单个v

14、lan，也可以连续绑定一段vlan，其中包含用户vlan即可)配置内置DHCP服务器的IP地址池配置地址池网关地址及掩码 注意： 网关ip地址和掩码用于检查地址段的地址是否和网关在一个子网内； 如果一个地址池中存有地址，就不能够修改这个参数； 网关地址应该和相应的虚模板的地址相同，如果不一样，在使用中会出现问题配置地址池的IP地址段配置DNS服务器的IP地址激活VLAN端口VLAN端口认证配置设置域及生成并激活用户的帐号进入VLAN域激活VLAN域8、PC验证（1）在PC1、PC2上分别可以获取IP地址；（2）在PC1、PC2上分别 Ping 虚模板、业务接入板上的各上行口、各服务器的IP地址

15、，应均能Ping通；（3）从各服务器回Ping PC1、PC2，应均能Ping通；（4）从BRAS上Ping PC1、PC2，应均能Ping通；3.3.4 WEB认证业务1、系统组网说明：（1）PC1接LS的端口3，VLAN ID为3； PC2接LS的端口8，VLAN ID为8；（2）PC1、PC2 通过LS连到业务接入板上的任意一个网口，比如网口0上；（3）业务接入板的网口0必须设为 tagged 方式；（4）业务接入板的网口7接WEB Server 服务器；（5）PC1、PC2 以VLAN ID认证的方式通过BRAS内虚模板的代理从DHCP Server 动态地获取IP地址。2、系统IP地

16、址规划业务接入板网口7：/24；虚模板： /24；3、PC设置PC1：自动获取 IP 地址；PC2：自动获取 IP 地址。4、LS的设置（1）端口3的VLAN ID为3；（2）端口8的VLAN ID为8；（3）端口25的5、服务器的设置 WEB Server： IP地址：/24，网关： ；6、数据配置配置WEB服务器接口的IP地址配置默认路由配置虚模板的IP地址配置内置DHCP服务器的IP地址绑定用户vlanbind vlan 3绑定用户vlan，可以分别绑定单个vlan，也可以连续绑定一段vlan，其中包含用户vlan即可配置强制web服务器地址配置内置DHCP服务器的IP地址池配置地址池网

17、关地址及掩码配置地址池的IP地址段(配置DNS服务器的IP地址激活VLAN端口这里配置dns地址 定义用户认证前可以访问web服务器和DNS服务器配置认证方案，采用本地认证配置计费方案，不计费进入域配置，假设域名为beier绑定认证方案绑定计费方案激活域添加用户如果采用radius认证计费需要作如下修改：新建或进入一个RADIUS策略设置RADIUS服务器的主IP设置RADIUS服务器的备用IP 设置RADIUS服务器的密钥绑定域和radius服务器Radius认证时需要在radius服务器上设置用户的帐号、密码。7、验证（1）在PC1、PC2上分别可以获取IP地址；（2）在PC1、PC2上分

18、别 Ping 虚模板、业务接入板上的各上行口， 应均能Ping通。此时上行口如果接到其它设备上（如三层交换机，路由器），从PC机上应PING不通其它设备的IP地址，原因是在没有进行认证。（3）打开IE浏览器，弹出WEB服务器IP地址，输入帐号、密码，认证通过后可以上网，也可以ping通其他上层设备地址。3.3.5 PPPOE业务1、系统组网说明（1）LS此时当作HUB使用；（2）PC1接LS的任意端口如3，PC2接LS的任意端口如8；（3）PC1、PC2 通过LS连到业务接入板上的任意一个网口，比如网口0上；（4）业务接入板的网口0此时设为 untagged 方式；（5）业务接入板的网口4接R

19、adius Server 服务器； 业务接入板的网口7接VOD Server 服务器；2、系统IP地址规划业务接入板网口4： /24；业务接入板网口7： /24；PC1、PC2所在的IP地址池的网段： 3、PC设置PC1：自动获取 IP 地址；PC2：自动获取 IP 地址。4、LS的设置（1）LS当HUB使用时，下带业务报文不带任何VLAN，则业务接入端口应为untagged方式。（2）如果LS下带业务有VLAN时，则3、8端口分别配置各自的VLAN，上行口25口透传所有用户VLAN。业务接入板的端口设为tagged方式；其他配置与untagged相同5、服务器的设置Radius Server

20、： IP地址：/24，网关： ；VOD Server： IP地址：/24， 网关： ；6、系统数据配置配置Radius服务器的接口IP地址配置VOD服务器的接口IP地址配置业务接入板的接口属性配置虚模板的IP地址）配置VPDN组1配置内置DHCP服务器的IP地址池配置地址池网关地址及掩码配置地址池的IP地址段）配置DNS服务器的IP地址配置RAIDUS服务器要与RAIDUS侧设成一样的密钥）配置认证方案配置计费方案配置一个域配置该域的地址池7、验证：（1）在PC1、PC2上分别运行pppoe程序可以拨号上网，获取相应的IP地址；（2）在PC1、PC2上分别 Ping 虚模板、业务接入板上的各上

21、行口、各服务器的IP地址，应均能Ping通；BRAS常见FAQ为什么修改了BRAS的主机名后VLAN绑定用户不能上网？VLAN绑定用户的帐号格式为：主机名-vlan-槽位号-vlan号 vlan。因为修改BRAS主机名的时候不能同时更新VLAN用户帐号中相应的主机名，当用户上线的时候携带过来的帐号中的主机名就成了修改以后的主机名了，与原先配置的VLAN用户账号不相同，所以无法通过认证上网。解决方式有：恢复原来的主机名，或者删除并重新添加相应的VLAN帐号。告警PAYLOAD OF PPP OVERFLOW的意思？某些拨号用户发送的报文长度超出了1492字节而被BRAS丢弃（正常PPP报文小于1

22、492），对正常业务没有影响。地址池中还有剩余地址可以分配，但经常有告警无空余地址可分配。由于域中设置了多个地址池，在上网高峰期的时候，如果某个地址池的地址分配完了过后，就会有此告警。因为BRAS并不知道这个地址池被PPPOE用户还是VLAN用户在使用，也不知道这个地址池分配完后会不会有第二个地址池供分配，所以一旦地池分配完后就会打印这个告警！是否可以查看pppoe拨号用户上网时间？对于在线用户，可以参考使用命令行*查看具体xxx用户的上线时间及时长；对于RADIUS认证计费用户，还可以在RADIUS服务器上进行相关查询。BRAS下带交换机是否可以配置成VLAN 1的静态用户？可以。将VLAN

23、 1的数据包透传送到BRAS处理即可。VLAN用户强制PORTAL认证需要做哪些配置？指定portal服务器地址：设置portal协议的共享密钥：不删除数据，如何禁止某些VLAN用户上网？方法很多，比如block相应的VLAN端口、VLAN用户的账号，删除虚模板中绑定的VLAN等。如果block相应的VLAN域，则所有的VLAN bind或fast用户就都不能上网了什么是ARP探测机制？BRAS中对于VLAN用户有一个ARP探测机制。当用户在线时，每隔1520秒向VLAN用户发送一个ARP探测（ARP请求），如果收到用户的响应，则表明用户在线；如果BRAS没有收到ARP的响应，则每隔5秒向用户

24、发送一个ARP探测报文，如果在经过一组探测的后（此次数可设），仍没有回应，则BRAS将断开用户的连接。如果配置中的ARP探测次数设置为20，当用户异常下线后（拔网线或关机），将至少要经过5*20=100秒后，BRAS才切断用户的连接。如果是RADIUS认证计费，此时才向radius-server发送计费结束请求报文(code=4)。在这100秒的时间内用户仍然在线。如何禁用地址池中的某个地址？使用命令：*如何限制用户的接入数？VLAN用户可以通过限制VLAN的接入数和限制VLAN帐号的接入数来确定，取交集为实际允许用户的接入数；PPPOE拨号用户只在账号中进行限制。如果不同L2交换机送到同一B

25、RAS的VLAN相同的话，是否会有问题？没有问题，因为VLAN与BRAS上具体的物理端口没有关系。如果是VLAN用户，只是将VLAN绑定到某个虚模板上；如果用户端采用PPPOE拨号上网，则BRAS根本不处理VLAN信息。局域网内用户能否通过代理服务器进行WEB认证上网？不可以。代理服务器可以实现WEB认证上网，但局域网内的用户不能实现。局域网内用户能否通过代理服务器进行WEB认证上网？不可以。代理服务器可以实现WEB认证上网，但局域网内的用户不能实现。能否用HUB代替Lanswitch开VLAN业务？不可以，因为HUB不能处理VLAN标记。虚模板能否配置第二个IP地址？不能，只能配置一个IP地

26、址！如何通过BRAS管理下带的设备？将下带的设备当作一个VLAN静态用户即可，BRAS上只需要做VLAN静态用户的相关数据。BRAS双上行组网问题？BRAS可以使用双上行的组网方式。在BRAS上可以做一条默认路由，在相应的域中也可以设置源地址路由，这样可以实现不同域的用户使用不同的出口访问网络。上行的主备用路由如何实现？使用双上行的组网方式，做两条默认路由，并指定不同的preference即可实现路由备份。如何修改RADIUS-SERVER的IP地址？首先切断所有使用该RADIUS-SERVER进行认证计费的所有用户，确认无任何和该RADIUS-SERVER进行交换的RADIUS报文，然后即可

27、以修改其IP地址。如何修改地址池router-ip的IP地址？首先切断用户的连接，收回该地址池中的所有IP地址，然后即可以直接修改IP地址。如何修改虚模板的IP地址？首先切断所有与此虚模板有关的用户连接，删除所有VLAN静态用户数据，然后即可修改此虚模板的IP地址。当域中配置多个地址池后，能否通过radius属性让用户从指定地址池中获取IP地址？在RADIUS协议中，可以通过88号属性（frame pool）让用户从指定的地址池中获取IP地址，是否可以通过WEB页面修改用户的口令？通常Portal(WEB)认证的用户可以通过portal页面修改其密码，但普通的VLAN用户、拨号用户不能在web

28、页面修改口令。用户之间如何实现互通？假设BRAS上没有设置ACL等访问控制。有如下几种可能：用户采用PPPOE拨号上网。此时两个用户只要通过认证上网，那么他们就可以互访；VLAN用户，属于不同VLAN，不同网段。只要用户的PC上网关设置正确即可互通；VLAN用户，属于不同VLAN，相同网段。在BRAS上打开ARP代理： (config)#proxy-arp enable即可。VLAN用户，属于相同VLAN，相同网段。用户通过二层交换机即可互访。BRAS下的用户如果出现打不开某些网站或某些业务不正常的时候如何处理？A：出现这类问题一般有两类情况：1)NAT用户 2)VPN（L2tp）用户 对于出

29、现只有个别网站打不开或是某些业务不正常时，一般都是由于报文分片造成的，由于NATPOSL2TP都不支持分片，如果报务器送回来的报文超过一定的长度，在网络上传输时被分片了，这些报文在经过BRAS时就会被丢弃，从而导致业务不正常。出现这类问题时，可以通过修改客户端的MSS值使得传输的报文长度减小达到不分片的效果。（相应的软件可以到互联网上搜索如irad.exe等）BRAS的用户分别通过什么样的流程分配IP？ Answer：对VLAN用户：VLAN用户发起DHCP会带上用户的VLAN信息，BRAS首先根据此VLAN在哪个虚模板下绑定来找到对应的虚模板，再查看虚模板下的DHCP服务器的地址，如果是非B

30、RAS接口地址或环回地址则把DHCP 报文转发到所配置的DHCP服务器。如果是BRAS的接口地址或环回地址则查找哪一个地址池的网关地址和此虚模板相同，找到后便从找到的地址也里分配IP。对PPPOE用户：用户发起PADI报文会进入PPP DISOVERY阶段，收到PADS报文后进行验证和LCP协商，如果认证通过，BRAS根据用户认证的域查找此域下的地址池，并从地址池中分配地址，如果是R006/R007/R009的版本则域下地址池可能多个，则依次从地址池中分配直到分配到第一个空闲可用的IP地址。BRAS的radius状态不停的up、down，但用户无法上线，而本地认证用户正常这是为什么？ ANSW

31、ER：这应该是radius对BRAS发出的认证或者计费报文没有响应导致。BRAS的radius状态是靠radius报文来触发改变的，如果连续几个报文不响应，radius状态变为down，如果接下来的报文radius响应了，radius状态变为up。上述不断up、down的情况就是用户不断请求，认证报文或者计费报文不响应导致。BRAS的用户认证通过后是否可以强推页面？Answer：能实现用户认证通过后的强推功能。强推分为两种：ppp用户的强推和VLAN用户的强推。这两种方式的区别：PPPoE用户上线时会通过PADM报文获取BRAS上配置的URL属性，并根据该属性的内容进行自动强推；vlan方式是

32、对用户报文的重定向（就是用户打开第一个网页的时候，网页出现的是强推的页面）。BRAS是否在RADIUS报中带用户的MAC地址？Answer： 可以。BRAS的VLAN和PPPOE用户是否可以共用一个地址池？Answer：可以。二者根据不同的策略找到对应的地址池，可以从相同的地址池中分配IP地址，BRAS的地址池有IP地址管理策略可以保证二者分配的地址不会冲突。怎样使用户上网帐号不带域名？将用户所在的域设置成默认域，这样用户上网时如果账号中不带域名，系统就会自动添加上默认域名。BRAS拨号用户RADIUS认证时能否不向RADIUS服务器传送域名？可以如何控制用户的上网带宽？如何查看在线的用户？P

33、PPOE用户能否实现随意输入用户名、密码就能上网？不可以，至少用户名正确。如果使用简单认证（simple），即建立一个simple的authen方案，在指定的域里绑定，则只需要用户名正确，不验证密码；否则用户名和密码必须都正确才能够认证通过。为什么不同用户登录到BRAS看到的可执行命令数不一样？BRAS用户的级别分为多种：普通用户、操作者级用户、管理级用户。如果这两个用户的级别不一致，那么能够看到的命令行数将是不一样的。如何修改用户的口令？使用user password然后根据提示输入用户名和口令。注意：只有高级别的用户才可以修改其本身及低级别用户的口令。root用户的口令需要使用root用户

34、登录后修改。如何删除/保存配置数据？如何查看BRAS系统的CPU占用率。如何查询BRAS端口流量？如何查询BRAS端口的MAC地址和端口模式？如何设置外网口（ETH）的IP地址？怎样消除LOG日志满告警？系统支持的用户数是多少？BRAS常见故障处理BRAS PPPoE & vlan用户无法访问个别网站 现象描述 BRAS 下用户个别网站无法访问，比如sohu，sina等。原因分析1、DNS服务器问题2、MTU值问题3、该网站对此公网地址段做限制处理过程1。可以解析该网站域名，排除DNS服务器问题2。查看LS、BRAS、LS协商后的mtu值为1500，先后改为1502、1508，并改小用户端的m

35、tu值，问题依旧，排除mtu值问题。3。将PC直接接在BRAS上测试，问题依旧,排除LS问题。4。BRAS上行口抓包，没有发现该网站回报文，检查BRAS以及上层设备的路由，配置无误。5。将另外一局点的部分网段地址在本局点测试，可以访问该网站，故断定是该网站对一些公网地址段做了限制。BRAS下DHCP用户可以获取IP地址但是无法打开网页现象描述 组网为：RouterRouterBRASLSPC故障现象：用户开机可以正常的获取IP地址，但是无法打开网页。原因分析可能的原因：1、配置错误2、用户端pc的问题,DNS问题。3、路由问题处理过程登录设备检查用户的配置没有问题，排除BRAS配置问题。2、同

36、一个终端，用户改用PPPOE拨号方式，可以正常上网，排除用户端PC的问题。3、用户采用DHCP获取IP地址后，PING网关可以PING通，PINGBRAS和ROUTER的互联地址也没有问题，但是PING外网地址却无法PING通。同时采用DHCP上网的用户，有时可以打开网页，有时不能打开网页。于是初步判定问题在上层设备。4、经过在ROUTER的进行仔细的检查，发现ROUTER下接的2台BRAS设备同时使用了一个IP网段作地址池，从而ROUTER在进行路由转发时，造成了路由混乱。小结：由于2台BRAS使用了同一个网段的IP地址，所以在ROUTER上作回程路由时，有两条路由可以选择，并且是等值的。当

37、路由选择正确时，用户可以打开网页，否则虽然可以获取IP地址还是无法打开网页。BRAS 与RADIUS之间UP 、DOWN告警。现象描述BRAS与RADIUS之间UP、DOWN告警原因分析1、BRAS与RADIUS之间物理链路UP、DOWN，丢包、时延较大。2、RADIUS处理能力有限，某一时刻比较繁忙，没有及时响应。3、由于某种原因，RADIUS没有发送回应报文。处理过程1、查看BRAS和RADIUS之间物理链路不丢包，时延正常，物理端口没有UP、DOWN。2、查看debugradius报文，可以看到某个用户的CODE=1的报文没有回应，重发几次也没有回应。查看该用户报文没有3、RADIUS报

38、文2号属性User-Password用户密码。参照RFC定义。仅对PAP认证才有此属性,最小长度为16,最大长度为128。若用户输入密码为空，由于加密后长度为0,此时不向服务器传递此属性。4、至此问题定位：BRASVPDN组设置的接收PPP的认证方式为PAP。当用户拨号密码为空时，在发送CODE=1的报文时，就不带2Password的属性，由于这台RADIUS服务器对这类报文认为是非法报文，所以当RADIUS收到这个报文时，丢弃掉，不予回应。BRAS 由于CAR值峰值速率与平均速率的比例配置不正确导致用户上网慢现象描述BRAS下PPPOE用户为RADIUS认证，上网非常慢，无论打开网页或下载时

39、都较慢，测试时6M的用户在本地下载时只有200K左右。原因分析：可能原因1、病毒攻击2、链路不正常3、二层网络广播包较大4、car值定义不正确，峰值速率与平均速率比例不对处理过程登录设备查看告警，无任何异常告警，可以排除病毒攻击的原因2、查看端口状态，正常，无校验错误包及广播包3、查看在线用户的car值，发现RADIUS下发的car值的上下行的峰值速率与平均速率相同4、建议用户将峰值速率更改为平均速率的五倍后问题解决小结：BRAS，各个版本无论RADIUS下发car值属性还是本地定义car值，都需要保证峰值速率为平均速率或者基本速率的5倍，否则用户上网的速率可能会不理想。对端设备故障导致BRA

40、S下VLAN接入及路由方式接入用户不能打开网页现象描述BRAS上行通过GE口和具有二层功能的三层交换机C相连，对端接口为二层接口，从而实现宽带上网业务。BRAS下带有VLAN、PPPOE、路由接入三种用户，发生故障时VLAN用户和路由方式用户telnet、ftp、QQ、foxmail等业务都正常，但是无法打开http网页，而PPPOE用户业务都正常。原因分析1、由于BRAS的PPPOE业务是正常的，所以GE口没问题；2、VLAN和路由方式用户均能认证通过，且对上行接口PING大包均能通，说明不是板的原因；3、VLAN和路由方式用户的telnet、ftp、QQ、foxmail等业务应用是正常的，

41、但打不开HTTP报文，问题出在两设备对接或对端设备对HTTP这类报文处理上；4、PPPOE用户正常，而VLAN用户不正常，两种用户从PC机出来的报文分片大小不一致，怀疑对接MTU值不一致；5、怀疑对端C交换机故障导致对大报文处理有问题。处理过程1、从PPPOE方式用户上对BRAS对端的C交换机二层接口进行PING大包操作，一切正常；2、从路由方式用户上对BRAS对端做同样的ping大包操作，发现PING包包长达到1469就不能PING通，显示超时；3、在C交换机上对对接BRAS的GE口进行镜像抓包，并且从BRAS上进行PING大包测试，发现BRAS的上行口没有收到超过1469以上包长回来的包；

42、4、确认双方MTU值都是1500；5、对C交换机二层端口进行更换，总共更换了6个GE口中的4个，发现问题依旧；6、更换C交换机的二层接口为三层接口上，发现业务恢复正常，PING大包正常，所有应用均正常了，定位为对端设备二层接口问题。由于网络中存在多个PPPoE server导致PPPoE用户不能上线现象描述BRAS设备，采用本地认证方式，配置好数据后用户拨号不能上线。原因分析1、物理线路问题，导致拨号信息不能传送到BRAS。 2、数据配置错误，导致认证失败 3、网络结构问题，导致拨号信息不能传送到BRAS。处理过程1、检查PC、lanswitch和BRAS业务接入网口指示灯闪烁正常。2、检查B

43、RAS的配置数据，发现该设备的域名及认证数据完备，数据配置没有问题。 3、打开BRAS的debug aaa开关，没有发现该帐号的认证信息，说明用户没有把认证信息送给BRAS。4、打开debug ppp和debug pppoe，看不到用户ppp发现阶段的报文，这种情况一般都是由于PC在拨号时没有正确的发现pppoe的server引起的。而不能发现server可能是由于通路有问题引起。因此检查pc到lanswitch到BRAS间的数据传送通路。5、检查lanswitch数据配置，其lanswitch配置为access端口，不存在vlan划分错误的问题，因此pppoe的拨号信息应该能够正确的送到BR

44、AS上。到底是不是发现了pppoe的server，在拨号软件上也有指示。6、请用户查看enternet300在属性菜单中提供的信息。发现该软件指示了多个pppoe的服务器，当前选择的并不是BRAS，在选择BRAS后，可以正常认证通过。原来该用户是购买BRAS作测试用，在没有安装BRAS之前，使用的是pppoeserver的仿真软件，因此在网络中存在多个pppoe的server。建议与总结如果网络中有多个pppoe的server，在pppoe的发现阶段，PC可能是根据报文响应的到达的早晚来选择哪一个作为server，因此当网络中有多个server的时候可能会选择错误。本案例发生的测试环境中，在运

45、营的没有进行VLAN隔离的以太网中，如果某用户非法安装此类软件，也可能造成其它用户不能正常的拨号。因此建议：1、在发生用户不能正常拨号时，除了利用BRAS的诊断信息外，还可以多利用拨号软件本身的提供的信息来判断解决问题。2、从网络安全的角度出发，对pppoe用户划分vlan进行隔离。路由问题导致BRAS下挂用户访问省外站点速度慢现象描述某电信组网：internet路由器LSBRASDSLAMusers。从BRAS开通业务以来一直存在问题：BRAS下挂用户访问省内网站正常，但在打开省外网页时速度比窄带拨号还要慢得多。原因分析访问省内网站正常说明BRAS接口配置、路由配置正常（BRAS只配置一条指

46、到LS的缺省路由），怀疑访问省外网站时所经路径有问题处理过程使用BRAS网段的用户Tracert省外站点A多次，每次所经路由相同（路由稳定），跳数为x；使用LS下其他网段（访问省外站点速度正常的网段）用户Tracert站点A多次，每次所经路由也相同，跳数为y，发现xy，且开始几跳路径相同，但从路由器R开始分开，说明路由器R配置了源地址路由，通过修改路由器R的配置，BRAS下挂用户访问速度正常。建议与总结由于internet的连通性，访问某站点时不经最佳路由可能也可打开，但速度肯定要慢，这时一定要注意路由的配置，保证业务流走最佳路径。由于对端千兆口发光功率过大导致和BRAS千兆对接不通现象描述p

47、ppoe用户-BRAS-某设备-INTERNET节点；故障现象：BRASNAT千兆和某设备对接，BRASNAT板设置成千兆全双工，对端也配置成千兆全双工，BRAS配置IP地址:xx.xx.xx.2/52，对端配置IP地址;xx.xx.xx.1/52，两边的端口都UP，但是无法PING通对方。原因分析BRAS和对端配置的IP地址在同一个网段，互相PING不通说明二者在三层网络层没有互通，需要做的工作就是从物理层查到链路层然后到网络层，看故障出在什么地方，然后定位解决。处理过程1、怀疑对端和BRAS二者千兆口模式设置不对，把对端接BRAS的千兆端口改为自适应模式，BRAS设置成千兆全双工模式，查看

48、BRAS千兆端口状态为UP，查看对端千兆端口状态为down，二者无法PING通；把对端千兆端口改为自适应模式，BRAS千兆端口也配置成自适应模式，BRAS的千兆端口状态为UP，对端千兆端口状态为DOWN，二者无法PING通；把对端千兆端口改为千兆全双工模式，BRAS千兆端口改为自适应模式，BRAS千兆端口状态为DOWN，对端千兆端口状态为DOWN，二者没法PING通；只有把BRAS和对端千兆对接的时候二者的千兆口必须都设置成千兆全双工模式，物理层才能互通，二者的千兆端口状态才能都UP。2、对端和BRAS的千兆口的物理状态都是UP，但没法PING通，怀疑对端数据配置有误（BRAS只需要配置一个I

49、P地址，没有什么数据而言，所以不用怀疑BRAS数据问题）。对端属于一个三层交换机，所有的IP接入都是通过VLAN接入的，也就是说xx.xx.xx.1是配置在某个VLAN下的，而每个千兆口默认的是tagged模式，BRAS千兆口只支持untagged模式，把对端的千兆端口模式改成untagge 的，互相还是PING不同；BRAS千兆口默认的是没有流控的，查看对端配置数据，千兆口也没有作流控，不存在因为二者流控配置不一致而导致不通的可能；3、数据仔细核查没有问题，故障的焦点还是转移到物理连接上，经过确认，BRAS千兆口能够接受的光的光功率范围是-20db-9db，用光功率计测试对端发过来的光，发现

50、光功率是 -7db。问题终于定位是对端光功率过大导致不通，在对端和BRAS之间加个光衰器，让对端送过来的光的功率为-10db，问题立刻解决。建议与总结BRAS千兆口和别的厂家对接的时候涉及的方面很多，如果对接不成功，可以分层考虑，定位是哪一层不通，然后解决。而且要排除物理端口UP就一定能PING通的误区。附录资料：从 XML 生成可与 Ajax 共同使用的 JSON时下，非常流行使用 JavaScript 代码为数据驱动的 Web 应用程序添加互动性。若能将数据编码成 JavaScript Object Notation（JSON）的格式，您就可以更轻松地通过 JavaScript 语言使用它

51、。通过本文，发掘使用 XSLT V2 从 XML 数据生成 JSON 的几种不同方法。几年前，许多开发人员很看好 XML、XSLT、Extensible HTML （XHTML）和其他一些基于标记的语言。现在，Asynchronous JavaScript and XML（AJAX）成了新的热点，人们又将目光转向了使用 JavaScript 代码的数据驱动的富 Internet 应用程序。但是开发人员是否已经消除了 XML 和这一新技术之间的鸿沟呢？当然，您可以在 Web 客户机中使用 XML 解析器来读取数据，但这种做法会带来两个问题。第一，出于安全方面的原因，XML 数据只能从与此页面相同

52、的那个域中读取。这虽然不是什么大的限制因素，但它的确会引起部署方面的问题，还会阻碍 DHTML 小部件的创建。第二，读取和解析 XML 会非常慢。另一种做法是让服务器执行 XML 的解析工作，方法是设置服务器，使之向浏览器发送以 JavaScript 代码或时下流行的 JavaScript Object Notation（JSON）编码的数据。本文将展示如下三种使用 XSLT V2 语言和 Saxon XSLT V2 处理器从 XML 数据生成 JSON 的技巧： 简单编码 通过函数调用加载数据 编码对象 JSON 简介要学习如何将数据编码成 JSON（它只是 JavaScript 的一个子集

53、），最好的方法是从数据开始。清单 1 显示了书籍列表的一个示例 XML 数据集。清单 1. 基本的图形化图书馆 Code Generation in Action JackHerrington Manning PHP Hacks JackHerrington OReilly Podcasting Hacks JackHerrington OReilly 这个数据集很简单，只包含三本书，每本书都具有惟一的 ID、书名、作者姓名及出版商的名字。（没错，我只选择了我自己的书作为数据集，但能怨我吗？这些书实在是不可多得的节日和生日礼物。）清单 2 显示了这些数据在 JSON 中的效果。清单 2. JS

54、ON 中的示例数据集 id: 1, title: Code Generation in Action, first: Jack, last: Herrington, publisher: Manning , . 方括号 () 表明这是一个数组。大括号 () 则表明这是一个散列表，该散列表由一组名称和值对组成。在本例中，我创建了一个散列表的数组 用来存储这类结构式数据的一种常见方法。另外一点值得注意的是字符串是通过单引号或双引号被编码的。所以，如果我想用单引号编码 OReilly，我就必须使用反斜杠对它进行转义：OReilly。 这让我编写的这个 XSLT 样式表更为有趣了一些。我并未在本例中放

55、上任何日期，但您也可以通过如下两种方法来编码日期。第一种方法是将日期作为字符串，该字符串必须在后面被解析。第二种方法是将日期作为一个对象，比如：publishdate: new Date( 2006, 6, 16, 17, 45, 0 )这段代码将 publishdate 的值设置为6/16/2006 5:45:00 p.m.。简单编码接下来我将陆续介绍 JSON 编码的几种技巧。第一种也是其中最简单的一种，此样式表如 清单 3 所示。清单 3. simple.xsl 样式表 var g_books = 1, id: ,name: ,first: ,last: ,publisher: ;要理解

56、此样式表，不妨先来看一下 清单 4 所示的输出。清单 4. simple.xsl 的输出var g_books = id: 1,name: Code Generation in Action,first: Jack,last: Herrington,publisher: Manning, id: 2,name: PHP Hacks,first: Jack,last: Herrington,publisher: OReilly, id: 3,name: Podcasting Hacks,first: Jack,last: Herrington,publisher: OReilly;这里，我将名为

57、 g_books 的变量设置为一个包含三个散列表的数组，每个散列表包含关于该书的信息。再回过头来看看 清单 3，您会发现第一个模板匹配 / 路径，它也是首先应用到输入数据集的模板，该模板使用 for-each 循环来遍历每本书。之后，它使用 标记来将文本从该数据输出到 JavaScript 输出代码。对于字符串，我使用名为 js:escape() 的定制函数，它在模板之前定义。该函数使用一个正则表达式将一个单引号标记更改为带有反斜杠的单引号标记。最后一个重要的元素是 标记，它告知处理器要输出的是文本而不是 XML。要检验此过程是否可以正常工作，我加入了一个 simple .html 文件，该文

58、件引用我在 simple.js 保存的 XSL 样式表的输出。这个 HTML 文件如 清单 5 所示。清单 5. simple.html 文件Simple JS loaderdocument.write( Found +g_books.length+ books );.html 文件使用 标记简单地加载已编码了的 JavaScript 代码。之后，第二个 标记将数组的长度写出到浏览器页面，如 图 1 所示。图 1. simple.html 的输出好了！数据文件包含三本书，相应的 JavaScript 文件也包含三本书。它真的可以工作！通过函数加载上述第一个示例很简单，而且在大多数情况下可以发挥

59、其作用，但它存在一些问题。第一个问题是对于数据何时被加载没有任何提示。如果数据是像页面那样被静态加载的，这不成问题。但是如果页面动态创建了一个 标记来按需加载数据，那么就很有必要知道 标记是何时完成的。实现此功能的最好的方法是让编码了的数据调用一个 JavaScript 函数，而不是只设置数据。这个概念很重要，所以我将花一些时间来介绍一下为什么您必须要通过动态生成的 标记来加载数据。页面加载后，从服务器获得数据是 Web 2.0 的核心功能。一种方法是使用 AJAX 机制通过到服务器的调用来加载 XML。然而，出于安全性的原因，AJAX 机制只限于从单一域获取数据。这在大多数情况下都没有问题，

60、但有时，您可能需要 JavaScript 代码运行在他人的页面上（例如，Google Maps）。在这种情况下从服务器获得数据的惟一方法是通过动态加载 标记。获悉 标记何时加载的最好的方法是让 标记返回的脚本调用函数而不是简单地加载数据。清单 6 显示了在函数调用中编码的数据。清单 6. Function1.jsAddBooks( id: 1,name: Code Generation in Action,first: Jack,last: Herrington,publisher: Manning, id: 2,name: PHP Hacks,first: Jack,last: Herrin