FTTH故障处理(华为)

宽带业务故障处理WEIHUPage1宽带业务故障处理流程初步定位故障位置检查ONU检查OLT开始结束检查线路状况检查上层设备Page2常见故障故障现象初步判断故障位置及原因个别端口用户无法上网用户终端或者外线故障，如：PON端口故障光路问题数据配置问题，包括：ONT绑定的模板错误ONT与业务流的映射关系错误VLAN通道配置错误整板用户无法上网PON单板故障整框用户无法上网光路问题主控板或者是上行单板故障网络攻击BRAS设备下的所有用户无法上网上行设备问题Page3宽带典型故障序号常见故障分类可能原因1深入分析PPPOE报文交互过程非常有助于理解宽带拨号全过程，同时对处理宽带设备故障1、“错误678”。原因是链路不通导致，即终端PC机到BAS的链路不通，一般可能是数据未配置或错误、端口环路或是其他原因，导致PC数据不能送到BAS，或BAS收到报文不作响应。

2、“错误676”。由于PADI报文是广播报文，该报文能够到达BAS，PADR报文是单播报文，该报文不能到达BAS。出现该问题原因一般是由于设备上行端口mac地址漂移导致，或是其他原因导致PADR报文不能到达BAS。

3、“错误619”。该问题一般是由于用户认证异常，原因可能是Radius用户的绑定信息更改了。解决此问题，一般是将用户信息初始化。

4、“错误691”。用户名密码错，一般也是将用户信息初始化，或是重新设置口令等。5、”错误718“。原因为BAS把CODE=1报文送给RADIUS，但RADIUS没有回应。2环路分析MAC漂移原理Page4PPPoE故障处理步骤检查端口是否激活检查ONT是否正常检查上行口是否在线检查Service-port是否正常检查线路配置检查业务流的MAC地址学习数检查获取用户MAC检查PITP配置检查PPPOE单MAC配置检查安全特性配置检查是否存在环网或者MAC地址漂移检查PITP没有开启,PPPoE为multi-mac,防MAC欺骗没有开启Page5案例–ONU下用户宽带语音业务闪断故障现象ONU设备下两个FE口分别接宽带与语音业务，不同的时间段会出现宽带与语音业务闪断的现象，闪断时间一般为几十秒。故障分析由于故障发生时间很短，此类问题很难定位，需要对组网及业务流程了解透彻。经确认组网如图所示，宽带与语音业务的网关都终结在BAS上，BAS为单MAC设备。对于闪断类问题是不好定位故障的，一般需要捕捉故障时的报文来定位故障出在哪里。操作步骤1、通过以上分析，建议通过故障时抓包的手段来定位。在LSW的下行口作镜像抓包，故障时抓包发现，拨号用户的PADI报文可以正常送到LSW上，但是PADR报文不能送到LSW上去。接下来据此分析原因，比较PADI和PADR的区别，PADI是广播报文，PADR是单播报文，广播报文可以正常转发，但是单播报文被丢弃，这种情况怀疑应该是由于下层网络发生了MAC地址漂移。网关的MAC地址在下层设备发生了漂移，此时广播报文可以正常转发，但是目的MAC是网关的单播报文会被全部丢弃。BASLSWMA5680TONUDSLAMIADPage6案例–ONU下用户宽带语音业务闪断2、那么产生MAC漂移一般为用户端环路或者是攻击导致，如何确认是否就是这个原因引起的呢，因为故障发生时间很短，如果故障发生时再处理，肯定来不及。决制定抓包方案，在ONU上把接DSLAM的FE口镜像到另一FE口，之后在PC上设置通过源MAC（BAS的MAC）来抓包。3、搭建抓包环境后抓到了故障时的数据包，为某一端口发送源MAC为BAS的MAC的ARP攻击报文，造成业务中断。总结1、组网不规范。网络层次多出一层，建议采用集成语音业务的MDU设备来替换此种组网；2、在DSLAM设备上开启MAC过滤及环路检测功能。Page7案例–MA5620网管与语音业务时通时断组网：BAS--OLT—MA5620

故障现象：OLT下挂的MA5620设备不能PING通BAS，可以PING通OLT设备，网管和语音业务是通时断。

原因分析：1、用户攻击。2、ARP表项混乱。3、IP与MAC地址冲突。4、其他。处理过程1、在某一台MA5620设备上PING

BAS，同时在OLT上做ACL统计查看ICMP报文已从OLT上行口发送出去，但是BAS设备没有响应，初步分析有两种可能，一是OLT发送出去的ICMP或者ARP报文异常，另一种是BAS上处理存在问题。

2、为了证实上述分析制定详细抓包方案，具体方案见附件。

通过分析抓包报文，MA5620发出去的PING报文VLAN、MAC是正确的，报文正确的到达了OLT，同时OLT也发送到了BAS，但是BAS却没有响应。分析问题出在BAS侧。Page8案例–MA5620网管与语音业务时通时断3、

在BAS上通过管理IP（10.128.15.73）查看在线信息为无，同时根据MAC查看语音的IP在线。<MA5200F-2-FZFQ>display

access-user

ip-address

10.128.15.73

%No

user<MA5200F-2-FZFQ>display

access-user

mac-address

0018-8288-a81fUser

access

index

:

48

State

:

UsedUser

name

:

MA5200F-2-FZFQ-vlan-25-0033@adminUser

access

port

type

:

GegabitethernetUser

access

port

:

25

User

access

VLAN

:

33

User

MAC

:

0018-8288-a81f

User

IP

address

:

10.224.98.33User

access

type

:

VLAN-normalUser

authentication

type

:

Bind

authentication

Page9案例–MA5620网管与语音业务时通时断4、在BAS上通过端口来查看用户在线信息，发现一个规律，一台MA5620设备的管理IP与语音IP不能同时在线，由于MA5620设备的多个三层接口只有一个MAC，怀疑BAS不支持多用户使用同一MAC认证.

[MA5200F-2-FZFQ-aaa]display

access-user

port

gigabitethernet

25

用户ID

用户名

IP

地址

MA90

MA5200F-2-FZFQ-vlan-25-0033@admin10.224.98.34

0018-8288-a835279

91010031212@fzcnc

58.22.26.172

001a-6422-fab1414

MA5200F-2-FZFQ-vlan-25-0031@admin

10.224.98.33

0018-8288-a81f480

MA5200F-2-FZFQ-vlan-25-0031@admin10.128.15.71

0018-8288-a859484

MA5200F-2-FZFQ-vlan-25-0031@admin10.128.15.75

0018-8288-a819542

MA5200F-2-FZFQ-vlan-25-0033@admin10.224.98.22

001a-a934-664a701

MA5200F-2-FZFQ-vlan-25-0031@admin10.128.15.77

0018-8288-a847719

MA5200F-2-FZFQ-vlan-25-0033@admin

10.224.98.36

0018-8288-a84d766

MA5200F-2-FZFQ-vlan-25-0031@admin10.128.15.78

0018-8288-a82fPage10案例–MA5620网管与语音业务时通时断5、为了证实上述推断，做如下测试，在BAS上跟据MAC来强制用户下线，同时在MA5620设备上PING管理IP的网关地址，发现PING一段时间后网管正常。证实BAS设备一个MAC地址只允许接入一个用户[MA5200F-2-FZFQ-aaa]cut

access-user

mac-address

0018-8288-a81f注意：总共

1

用户被切断JiaXinYinZuo_3#03-05_MA5620(config)#ping

-c

100

10.128.15.1

PING

10.128.15.1:

56

data

bytes,

press

CTRL_C

to

breakRequest

time

outRequest

time

outReply

from

10.128.15.1:

bytes=56

Sequence=31

ttl=255

time

=

7

ms总结1）MA5200G缺省情况下，一个MAC地址只允许接入一个用户，3356版本支持多个用户用同一个mac上线。命令如下命令设置，N为对应的会话数，即允许同一个MAC地址接入的最大用户数目。pppoe-server

max-sessions

remote-mac

N

2）MA5200F设备一个MAC地址只允许接入一个用户，不能设置。可以将语音IP的网关与管理IP配置在不同的设备上。Page11案例－MA5680T下的用户打开网页有时很慢，有时很正常，语音业务及网管正常组网描述：MA5620——5680T——5200G原因分析：1、查看MDU

流量模板索引配置没有问题；2、PING网站域名时通时不通，具体表现为：当能PING通的时候，如果一直长PING则不会丢包，如果此时中断PING包，然后再PING就很有可能PING不通了，但过一会又能PING通，也没有明显规律；3、查看OLT配置，发现MAC地址老化时间为10S，怀疑MAC地址老化过快导致，修改为300S后问题依旧；4、从PC

PING

MA5200G上的网关地址一直正常，初步判断是MA5200G及以上设备问题；5、后又发现MA5680T是双上行，但1端口没有配置数据，只是ONLINE，后确认对接的MA5200G上做了链路聚合，MA5680T上没有相应的配置，拔掉1端口的光纤后问题解决。Page12案例－MA5680T下的用户打开网页有时很慢，有时很正常，语音业务及网管正常

处理过程：在OLT上配置链路聚合后彻底解决问题。为什么PING

MA5200G上的网关地址一直正常，而PING网站域名时通时不通？这与MA5200G上的负荷分担机制有关，由于PING

MA5200G上的网关地址时，源MAC与目地MAC都是固定的，所以只会出现通或不通的情况，刚好这里是通的情况。而PING

网站域名时，由于网站可以有多台服务器，所以目的MAC不是固定的，所以回来的ICMP报文就有可能从1端口的链路回来，就出现概率性不通的情况。Page14附录－PPPoE交互错误提示

1、“错误678”。原因是链路不通导致，即终端PC机到BAS的链路不通，一般可能是数据未配置或错误、端口环路或是其他原因，导致PC数据不能送到BAS，或BAS收到报文不作响应。

2、“错误