陳志勇+高飛

摘要：針對(duì)我公司互動(dòng)電視、集團(tuán)專線業(yè)務(wù)發(fā)展中，經(jīng)常出現(xiàn)的用戶端設(shè)備獲取錯(cuò)誤IP地址的情況，本文詳細(xì)介紹了這種故障的現(xiàn)象、產(chǎn)生的原因以及解決這種故障的三個(gè)方案。這三個(gè)方案層層深入，從快速應(yīng)對(duì)解決問題的方案，到用戶業(yè)務(wù)接入模式向PUPSPV改變實(shí)現(xiàn)精細(xì)化管理的最終解決方案，都非常貼近我們網(wǎng)絡(luò)運(yùn)行、用戶接入的實(shí)際情況。

關(guān)鍵詞：IP地址；PPPOE；DHCP；EPON；OLT；ONU；QINQ

中圖分類號(hào)：TP393 文獻(xiàn)標(biāo)識(shí)碼：A 文章編號(hào)：1009-3044（2016）15-0028-02

隨著公司有線寬帶業(yè)務(wù)、互動(dòng)電視業(yè)務(wù)的快速發(fā)展，網(wǎng)絡(luò)中出現(xiàn)的各類故障也隨之增多，其中有一類故障就是用戶的終端設(shè)備無法獲取正確的業(yè)務(wù)IP地址而導(dǎo)致的業(yè)務(wù)不通故障，本文就對(duì)這類故障的故障現(xiàn)象、故障原因、解決方案等幾方面進(jìn)行了著重介紹。

1 業(yè)務(wù)地址獲取錯(cuò)誤故障情況分析

我公司運(yùn)維部門與維護(hù)技術(shù)人員配合，處理了多次因?yàn)镮P地址獲取錯(cuò)誤而導(dǎo)致的故障，根據(jù)多次故障排除經(jīng)驗(yàn)我們發(fā)現(xiàn)地址獲取錯(cuò)誤主要發(fā)生在互動(dòng)業(yè)務(wù)和集團(tuán)用戶專線中，而一般基于PPPOE撥號(hào)或者基于WEB業(yè)面認(rèn)證的業(yè)務(wù)都沒有出現(xiàn)這樣的問題，分析原因主要是因?yàn)榛?dòng)業(yè)務(wù)和集團(tuán)用戶專線這兩種業(yè)務(wù)是通過DHCP 服務(wù)器給用戶終端分配IP地址的，用戶終端沒有獲取到DHCP服務(wù)器分配的正確IP地址。分析該問題產(chǎn)生的原因，首先查看用戶獲取到的IP地址，通過獲取的錯(cuò)誤地址進(jìn)行分析。在實(shí)際故障中我們發(fā)現(xiàn)獲取的錯(cuò)誤IP地址是“192.168.1.X”或者是“192.168.0.X”這類地址一般是用戶端路由器默認(rèn)分配的地址段，由于用戶端路由器都有DHCP功能，而且一般用戶使用路由器時(shí)此功能都是默認(rèn)打開的，因此獲取該類地址必定是業(yè)務(wù)使用的虛擬局域網(wǎng)中有非法的路由器接入，從而導(dǎo)致網(wǎng)絡(luò)中相當(dāng)于出現(xiàn)了兩個(gè)DHCP服務(wù)器，用戶終端設(shè)備無法獲取合法的那個(gè)DHCP服務(wù)器分配的地址，就會(huì)導(dǎo)致實(shí)際業(yè)務(wù)連接失敗無法上網(wǎng)。

2 故障原理分析

當(dāng)有非法路由器接入時(shí)，為什么用戶終端設(shè)備會(huì)接收錯(cuò)誤的IP地址而無法接收到真正DHCP服務(wù)器分配的地址呢，接下來我們從DHCP服務(wù)器的工作原理繼續(xù)分析。

如圖1所示，我公司用戶接入網(wǎng)為EPON網(wǎng)絡(luò)方案，OLT設(shè)備放置在機(jī)房，用戶端接入設(shè)備為ONU，數(shù)據(jù)信號(hào)采用FTTH（光纖入戶）方式送達(dá)用戶家中。

在上圖中VLAN90是為用戶提供互動(dòng)電視業(yè)務(wù)的VLAN，用戶端的機(jī)頂盒接入VLAN90通過中心機(jī)房的合法互動(dòng)業(yè)務(wù)DHCP服務(wù)器獲取業(yè)務(wù)IP地址。在上圖中用戶A、B、C都是接入在OLT的同一PON口2/1下的。用戶B家中安裝了無線路由器，用于寬帶信號(hào)的無線接入，但是由于線路接錯(cuò)，將ONU上互動(dòng)業(yè)務(wù)的輸出端口與無線路由器的LAN口相連接。由于無線路由器具有DHCP功能，這樣錯(cuò)誤連接的結(jié)果就相當(dāng)于在VLAN90中接入了一臺(tái)DHCP服務(wù)器，因此當(dāng)用戶A家中的機(jī)頂盒接受了用戶B家中無線路由器分配的IP地址就會(huì)導(dǎo)致互動(dòng)業(yè)務(wù)故障。

用戶A的機(jī)頂盒是怎樣獲取B用戶無線路由器分配的地址的呢？因?yàn)镈HCP服務(wù)器的IP地址對(duì)于用戶家的機(jī)頂盒來說是未知的，因此當(dāng)A用戶的機(jī)頂盒加入網(wǎng)絡(luò)后，機(jī)頂盒會(huì)以廣播方式DHCP Discover報(bào)文（發(fā)現(xiàn)信息報(bào)文）來尋找DHCP服務(wù)器，即向地址255.255.255.255發(fā)送特定的廣播信息，網(wǎng)絡(luò)上每一臺(tái)安裝了TCP/IP協(xié)議的主機(jī)都會(huì)接收到這種廣播信息，但只有DHCP服務(wù)器才會(huì)做出響應(yīng)。

這時(shí)網(wǎng)絡(luò)中的合法DHCP服務(wù)器和B用戶的無線路由器分別都收到廣播，收到廣播后它們都向A用戶機(jī)頂盒發(fā)送DHCP offer報(bào)文（提供信息），該報(bào)文中包含它們從各自的IP地址池中挑出的一個(gè)IP地址。機(jī)頂盒兩個(gè)反饋都收到，但是由于用戶A與用戶B在OLT的同一PON口下，機(jī)頂盒會(huì)先收到路由器的反饋，它會(huì)將路由器分配的IP地址和給它這個(gè)IP地址的DHCP設(shè)備記錄下，然后機(jī)頂盒再次廣播一個(gè)DHCP request報(bào)文（請(qǐng)求信息），通知所有的DHCP服務(wù)器，它將選擇無線路由器所提供的IP地址，無線路由器收到回復(fù)后記錄分配出去的IP地址已被使用，然后再向A用戶機(jī)頂盒發(fā)送一個(gè)包含它提供的IP地址和其他設(shè)置的DHCP ACK報(bào)文（確認(rèn)信息），告訴機(jī)頂盒可以使用它所提供的IP地址，然后機(jī)頂盒便將其TCP/IP協(xié)議與網(wǎng)卡綁定。而合法DHCP服務(wù)器收到機(jī)頂盒回復(fù)的DHCP request報(bào)文后，知道它所發(fā)的IP地址未被使用，重新放回到自己的IP地址池中等待重新分配。至此機(jī)頂盒就獲取到了錯(cuò)誤的IP地址，導(dǎo)致了其通訊故障。

3 避免分配到錯(cuò)誤IP地址的解決方案

3.1為終端設(shè)備填寫固定IP地址+屏蔽非法路由器MAC地址。

由于安裝維護(hù)人員上門維修需要為用戶快速解決故障，因此如果維護(hù)人員上門維修時(shí)發(fā)現(xiàn)機(jī)頂盒獲取的地址為非法錯(cuò)誤IP地址時(shí)，可以將機(jī)頂盒網(wǎng)卡的IP地址設(shè)置方式修改為填寫固定IP地址方式，然后填寫上合法DHCP分配的IP地址，這樣可以快速的解決故障。當(dāng)然對(duì)于錯(cuò)誤連接方式接入業(yè)務(wù)VLAN的非法無線路由器，我們需要查出它的MAC地址對(duì)其進(jìn)行屏蔽。

在網(wǎng)絡(luò)中DHCP服務(wù)器也充當(dāng)著網(wǎng)關(guān)的作用，如果獲得了非法網(wǎng)關(guān)地址，也就是知道了非法無線路由器的IP地址，將筆記本電腦接入網(wǎng)絡(luò)獲取錯(cuò)誤的IP地址，如下圖運(yùn)行命令行程序cmd.exe，通過arp –a命令可以查出非法路由器的MAC地址。

在圖2中分配IP地址的路由器IP地址為：192.168.11.1，它的MAC地址為：54：36：9b：05：c8：eb，接下來在接入設(shè)備OLT上我們配置命令：mac-address-table blackhole 54：36：9b：05：c8：eb vlan 90，將非法路由器的MAC地址加入MAC地址黑洞，OLT對(duì)源地址為該MAC地址的報(bào)文做丟棄處理，用戶終端將不會(huì)再收到這臺(tái)非法路由器的DHCP offer報(bào)文，這樣非法接入的無線路由器就不會(huì)對(duì)其他用戶端設(shè)備造成影響了。

3.2 OLT或交換機(jī)做DHCP SNOOPING配置

DHCP Snooping是一種使用在交換機(jī)等設(shè)備上的技術(shù)，它具有DHCP安全特性，通過建立和維護(hù)DHCP Snooping綁定表過濾不可信任的DHCP信息，這些信息是指來自不信任區(qū)域的DHCP信息。通過DHCP Snooping命令的配置，網(wǎng)絡(luò)中可以有效過濾掉非法路由器的相關(guān)DHCP報(bào)文，從而確保客戶端設(shè)備與真正DHCP服務(wù)器之間的通訊。

如圖3，在我們的網(wǎng)絡(luò)環(huán)境中，當(dāng)OLT開啟了 DHCP-Snooping功能后，它會(huì)對(duì)DHCP報(bào)文進(jìn)行偵聽，并可以從接收到的DHCP Request或DHCP Ack報(bào)文中提取并記錄IP地址和MAC地址信息。另外，通過DHCP-Snooping功能可以將某個(gè)物理端口設(shè)置為信任端口或不信任端口，信任端口可以正常接收并轉(zhuǎn)發(fā)DHCP Offer報(bào)文，而不信任端口會(huì)將接收到的DHCP Offer報(bào)文丟棄。

如圖3，在OLT上開啟DHCP-Snooping功能后，所有端口默認(rèn)為非信任端口，合法的DHCP 服務(wù)器必須連接在信任端口中。因此我們將OLT的上行端口G2/1配置為信任端口，這樣接入在PON口下的用戶端設(shè)備只能與上行端口接入的DHCP服務(wù)器進(jìn)行通訊，從而確保了用戶端獲取的IP地址是正確的。

3.3 采用QINQ技術(shù)

QINQ技術(shù)通過在以太幀中堆疊兩個(gè)802.1Q報(bào)頭，這樣報(bào)文就具有了兩層VLAN標(biāo)簽，有效地?cái)U(kuò)展了VLAN數(shù)目。VLAN增加后完全可以做到一用戶一業(yè)務(wù)一VLAN，即實(shí)現(xiàn)PUPSPV（精確標(biāo)識(shí)）。這樣每個(gè)用戶的每一業(yè)務(wù)都是唯一的一個(gè)VLAN，同一業(yè)務(wù)中的不同用戶劃分到了它們各自的廣播域中，廣播域中就用戶自己，自然就不會(huì)發(fā)生DHCP報(bào)文交叉?zhèn)鞑サ膯栴}了，用戶端獲取錯(cuò)誤IP地址的問題也相應(yīng)解決。

具體運(yùn)用QINQ技術(shù)實(shí)現(xiàn)PUPSPV的話，我們可以使用內(nèi)層VLAN標(biāo)記小區(qū)內(nèi)用戶和業(yè)務(wù)類型，外層VLAN標(biāo)記小區(qū)位置。內(nèi)層VLAN標(biāo)記由EOC終端進(jìn)行標(biāo)記，外層標(biāo)簽由分節(jié)點(diǎn)的匯聚交換機(jī)或OLT設(shè)備進(jìn)行標(biāo)記。最后進(jìn)入業(yè)務(wù)接入交換機(jī)后由上層的交換機(jī)解掉外層VLAN標(biāo)簽，實(shí)現(xiàn)正常業(yè)務(wù)通訊。由于交換機(jī)、OLT的廠商不同，相應(yīng)的配置方式和命令也有所差異，這里就不再具體介紹設(shè)備配置。

以上介紹了業(yè)務(wù)開展中最常見的IP地址獲取錯(cuò)誤的故障，其實(shí)地址獲取錯(cuò)誤往往就是因?yàn)榫W(wǎng)絡(luò)的廣播域太大，不能很好地將用戶隔離所造成的，這種廣播域太大的網(wǎng)絡(luò)往往也是造成廣播風(fēng)暴、報(bào)文攻擊、ARP攻擊大范圍發(fā)生的原因。因此將我們的網(wǎng)絡(luò)改造成PUPSPV用戶接入模式將有利于實(shí)現(xiàn)精細(xì)化管理與高效率運(yùn)營的要求。

參考文獻(xiàn)：

[1] 楊尚森.網(wǎng)絡(luò)管理與維護(hù)技術(shù)[M].電子工業(yè)出版社，2004.

[2] 王群.計(jì)算機(jī)網(wǎng)絡(luò)技術(shù)[M].清華大學(xué)出版社，2012.

[3] 阮曉龍，許成剛.網(wǎng)絡(luò)構(gòu)建與運(yùn)維管理[M].中國水利水電出版社，2012.

[4] 雷震甲.網(wǎng)絡(luò)工程師教程[M].3版. 清華大學(xué)出版社，2009.

[5] [美]思科公司著.思科網(wǎng)絡(luò)技術(shù)學(xué)院教程[M].人民郵電出版社，2002.