No relevant resource is found in the selected language.

This site uses cookies. By continuing to browse the site you are agreeing to our use of cookies. Read our privacy policy>

Reminder

To have a better experience, please upgrade your IE browser.

upgrade

NMS Is Abnormal Because ACL of the ME60 Is Incorrectly Configured

Publication Date:  2012-07-27 Views:  55 Downloads:  0
Issue Description
Version: VRP (R) software, Version 5.30 (CN),  RELEASE 0021.
Topology: network management-backbone network-ME60-switch-dislam
ME60 connects to DSLAMs of Z and A manufacturers. Only the network management system (NMS) of A manufacturer cannot be set up.
      
Alarm Information
Null
Handling Process
1. Check upstream and downstream interfaces of the ME60. There is no CRC packet and the traffic on the interface is light.
2. Capture packet at upstream and downstream of the ME60. According to the result, some packets are discarded on the ME60. Not all the fragmented packets are discarded, while the packets with data as full zeros are discarded (UDP in MF bit of the first packet, and the fragmented packet that is IP packet has no UDP header).
3. Check ACL configuration of the ME60:
acl number 3001
..............................
rule 25 permit udp destination-port eq 0   //命中该ACL
.............................
traffic classifier antivirus operator and
 if-match acl 3001
traffic behavior antivirus
 deny
traffic policy global
 classifier antivirus behavior antivirus
traffic-policy global global
The second fragmented packet has no UDP header and the data is all zeros. The packet matches rule 25 of acl 3001, so it is discarded.
4. Configure acl 3002 on the device, do not check the second fragmented packet of UDP, and redistribute traffic policy globally. The configuration is as follows:
acl number 3002
 rule 10 permit udp fragment-type fragment-subseq
traffic behavior permitudpfragment              //By default, the packet can pass.
traffic policy global                                                           
 classifier permitudpfragment behavior permitudpfragment    //The configuration should be ensured.
 classifier antivirus behavior antivirus
traffic-policy global global 
The problem is solved.
Note: The ME60 cannot process the fragmented packets and it process them as common packets.
      
Root Cause
1. The DSLAM of Z manufacturer can set up NMS, it indicates that ACL on the ME60 does not restrict the NMS interface. The fragmented packet of A manufacturer may be faulty.
2. Analyze packet capture at upstream and downstream of the ME60. The NMS sends get SNMP packets to DSLAM of A manufacturer. The fragmented packets of REPLY SNMP are discarded on the ME60. As a result, the NMS cannot be set up.
3. The reason of packet loss is as follows: device forwarding (such as full traffic on the interface) or the configuration (such as QoS and ACL).
Suggestions
1. Check ACL configuration for packet loss.
2. The ME60 should process fragmented packets carefully.

END