No relevant resource is found in the selected language.

This site uses cookies. By continuing to browse the site you are agreeing to our use of cookies. Read our privacy policy>

Reminder

To have a better experience, please upgrade your IE browser.

upgrade

Smart MX MA5600T ACL malfunction caused by PPP&DHCP packets SCUB CPU capturing and not processing by ACL

Publication Date:  2012-07-25 Views:  46 Downloads:  0
Issue Description
After configuring acl that denies all the packets on inbound and outbound direction interface still let some packets pass, very seldom unicast packets and more often broadcast packets.
Test scheme was the following: adsl client------MA5600T(upling GICE port 1)------cisco 3400.
Alarm Information
Null
Handling Process
1. To protect MA5600T from loops on subscriber ports enable subscriber ports loop check:
         ring check enable
2. To deny all packets with source mac not learned on the port and enhance security enable anti-macspoofing 
         security anti-macspoofing enable
         security anti-macspoofing max-mac-count 1
Root Cause
The cause - SCUB CPU process PPP & DHCP packets before ACL function. That cause that when adsl client connect with each other thus making a loop - some packets with source mac BRAS can travel from one adsl port to another and BRAS mac will be learned on adsl port causing mac address table inconsistent state - one mac will be learned on 2 ports (uplink and adsl) and thus causing system incorrect work and uplink lan switch will hang.
Target software versions: ma5600tv800r005c32b056, MA5600 V800R005C32B118, MA5600 V800R005C32B136.
capture packets from cisco switch are attached
Kiev-Test-HW-MA5600T(config)#display acl 4555
Link ACL  4555, 1 rule
Acl's step is 5
 rule 5 deny
Kiev-Test-HW-MA5600T(config)#display packet-filter 
{ all<K>|port<K> }:port 0/20/1
  Command:
          display packet-filter port 0/20/1
port 0/20/1
 Inbound:
 inbound Acl 3033 rule 1    port 0/20/1   running
 inbound Acl 3033 rule 5    port 0/20/1   running
 inbound Acl 3033 rule 15   port 0/20/1   running
 inbound Acl 3033 rule 20   port 0/20/1   running
 inbound Acl 4555 rule 5    port 0/20/1   running
port 0/20/1
 Outbound:
 outbound Acl 4555 rule 5    port 0/20/1   running
Kiev-Test-HW-MA5600T(config)#display service-port port 
{ frameid/slotid/portid<S><1,15> }:0/1/17
{ gemport<K>|ont<K>|<cr>|sort-by<K>|autosense<K> }:
  Command:
          display service-port port 0/1/17 
  -------------------------------------------------------------------------
  INDEX VLAN VLAN     PORT F/ S/ P VPI  VCI   FLOW  FLOW       RX  TX STATE
        ID   ATTR     TYPE                    TYPE  PARA
  -------------------------------------------------------------------------
     17 1400 common   adl  0/1 /17 1    33    -     -           7  10 up
     30  632 common   adl  0/1 /17 1    32    -     -          11  12 up
     43 1200 common   adl  0/1 /17 1    34    -     -         453 453 up
  -------------------------------------------------------------------------
   Total : 3  (Up/Down :    3/0)
   Note  : F--Frame, S--Slot, P--Port, VPI indicates GEM PortID for GPON,
           pri-tag indicates priority-tagged
           
 Kiev-Test-HW-MA5600T(config)#display mac-address port 0/1/17
  -----------------------------------------------------------------------------
  SRV-P TYPE  MAC            MAC TYPE F /S /P  VPI  VCI  FLOW  FLOW      VLANID
  INDEX                                                  TYPE  PARA         
  -----------------------------------------------------------------------------
     30 adl   000f-b058-291d dynamic  0 /1 /17 1    32   -     -            632
  -----------------------------------------------------------------------------
  Total: 1
  Note : SRV-P INDEX indicates service virtual port index,
         F--Frame, S--Slot, P--Port; VPI indicates GEM PortID for GPON
Kiev-Test-HW-MA5600T(config)#display mac-address vlan 632
  -----------------------------------------------------------------------------
  SRV-P TYPE  MAC            MAC TYPE F /S /P  VPI  VCI  FLOW  FLOW      VLANID
  INDEX                                                  TYPE  PARA         
  -----------------------------------------------------------------------------
      - eth   001b-fce7-4bb3 dynamic  0 /20/1  -    -    -     -            632
      - eth   0090-1a42-b0b9 dynamic  0 /20/1  -    -    -     -            632
      - eth   044b-8080-8003 dynamic  0 /20/1  -    -    -     -            632
      - eth   0090-1a42-a4b7 dynamic  0 /20/1  -    -    -     -            632
     30 adl   000f-b058-291d dynamic  0 /1 /17 1    32   -     -            632
  -----------------------------------------------------------------------------
  Total: 5
  Note : SRV-P INDEX indicates service virtual port index,
         F--Frame, S--Slot, P--Port; VPI indicates GEM PortID for GPON
Kiev-Test-HW-MA5600T(config)#
Suggestions

Null

END