由于traffic classifier匹配模式配置不正确,导致PPPOE用户无法正常上线的问题

发布时间:  2012-07-24 浏览次数:  114 下载次数:  0
问题描述
客户现网存在两种业务:PPPOE(数据业务)和IPTV业务。客户使用Mac-ACL和vlanid限制IPTV机顶盒访问的合法性。但是,业务割接过来之后,发现PPPOE用户无法正常上线,IPTV业务正常。组网图如下:
   MA5200G(PPPOE业务)   T64G(IPTV业务)
                \           /
                 \         /        
                    S9300
                      |
                   UA5000
                    /   \
                   /     \
                 PC     STB
告警信息

处理过程
classfier的匹配规则是or,具体如下:
traffic classifier STB operator and precedence 5                                 
 if-match vlan-id 3072 to 4031                                                  
 if-match acl 4000                                                              
traffic classifier ITMS operator and precedence 10                               
 if-match vlan-id 3072 to 4031                                                  
 if-match acl 4010
结果PPPOE业务正常
根因
1、用户名、密码错误;
2、MA5200G子接口BRAS业务配置错误;
3、MA5200G子接口下总结QinQ范围和PPPOE报文携带的不一致;
4、S9300配置错误,导致PPPOE报文不能正常转发给MA5200G
此次,割接出现的问题处于原因4。请关注S9300设备的配置的如下部分:
acl number 4000                                                                 
 rule 0 permit source-mac 00e0-8e00-0000 ffff-ff00-0000                         
 rule 1 permit source-mac 00c0-8c00-0000 ffff-ff00-0000                         
 rule 2 permit source-mac 0007-ba00-0000 ffff-ff00-0000                         
 rule 3 permit source-mac 001e-4000-0000 ffff-ff00-0000                         
 rule 4 permit source-mac 001d-b000-0000 ffff-ff00-0000
#                                                                               
acl number 4010                                                                 
 rule 1 permit source-mac 00d0-f800-0000 ffff-ff00-0000                         
 rule 2 permit source-mac 00d0-d000-0000 ffff-ff00-0000                         
 rule 3 permit source-mac 0019-c600-0000 ffff-ff00-0000                         
 rule 4 permit source-mac 0015-eb00-0000 ffff-ff00-0000                         
 rule 5 permit source-mac 0008-5c00-0000 ffff-ff00-0000                         
 rule 6 permit source-mac 0003-0f00-0000 ffff-ff00-0000                         
 rule 7 permit source-mac 0615-eb00-0000 ffff-ff00-0000                         
 rule 8 permit source-mac 001e-7300-0000 ffff-ff00-0000                         
 rule 9 permit source-mac 0022-9300-0000 ffff-ff00-0000                         
 rule 10 permit source-mac 001e-1000-0000 ffff-ff00-0000                        
 rule 11 permit source-mac 000a-c200-0000 ffff-ff00-0000                        
 rule 99 deny      //请注意这天rule
# //请注意下面的两个classifier的匹配规则是or,即两个条件只要匹配任何一个就会进入流分类器。
traffic classifier STB operator or precedence 5                                 
 if-match vlan-id 3072 to 4031                                                  
 if-match acl 4000                                                              
traffic classifier ITMS operator or precedence 10                               
 if-match vlan-id 3072 to 4031                                                  
 if-match acl 4010 
#                                                                               
traffic behavior PermitMAC                                                      
#                                                                               
traffic policy PermitMAC                                                        
 classifier STB behavior PermitMAC                                              
 classifier ITMS behavior PermitMAC 
interface Eth-Trunk1 //下行接口
 traffic-policy PermitMAC inbound
//ACL中的Mac地址是合法的STB机顶盒的MAC地址段,PPPOE用户的Mac不在permit的列表里面,所以最后只能匹配到最后的rule 99 deny规则。由于classifier匹配规则是or,所以只要匹配任何一项就满足流分类,使用策略转发,报文被deny掉,造成PPPOE业务不正常。
建议与总结
配置成“and”之后,需要acl和vlan两个条件都匹配才能进入,流分类器进行策略转发。PPPOE业务由于在IPTV的vlan中,只能匹配一个acl条件,所以不能进入流分类器,不使用策略转发。使用一般报文转发流程,结果PPPOE报文被正常转发出去。
同时,非法的STB机顶盒,由于既在IPTV的VLAN中,有匹配ACL,所以进入了流分类器,使用策略转发,所以最终被Deny掉了。实现和合法IPTV用户资源的保护。

END