因在NE40上配置策略端口号为0的过滤,导致网管上下发EPON的配置无法成功

发布时间:  2012-07-27 浏览次数:  84 下载次数:  0
问题描述

组网:
ONU--5200G--NE40(策略配置)---NMS

MA5200G下挂EPON,网管上批量下发EPON的配置无法成功的问题。

告警信息

处理过程
1、场抓包SNMP报文,仔细分析他抓到的报文,发现网管下发配置不成功时,SNMP协议承载在UDP协议上的,UDP协议明写着长过为7402字节的报文,但抓包只有一个SNMP包大小为336。
2、以网管IP抓包IP报文,抓到正常IP报文,当网管下发多个ONU的配置时,此时配置包过大而分片,分片报文头是正常的SNMP协议包,而后续的分片报文纯是IP包,这种UDP分片的IP报文默认的端口号为0。
3、在城域网上NE40上做了禁止UDP端口号为零的报文,所以造成数据包给丢失,将端口号为零的ACL删除后,业务测试正常。
根因
1、在网管上下发一个ONU的配置是可以成功的,若下发多个ONU(批量下发)配置,这时就不成功,初步怀疑是下发多个ONU配置时下发的是大包,需要拆分,拆分后的包被丢掉了。
建议与总结
如果有大包的分片报文,只能通过第一个包,后续分片会匹配防病毒策略丢掉。原因是后续分片只有协议号是tcp或udp的,但没有具体tcp/udp端口,NE80/NE40会认为是端口号为0,匹配到防病毒策略后就会丢弃后续分片报文。 如果设备上有以下配置,请建议客户删除。
例如:rule 65 deny udp destination-port eq 0
         rule 70 deny tcp destination-port eq 0

END