誤刪VPN惹故障

VPN即虛擬專用網(wǎng)絡(luò)，可以把它理解成是虛擬出來的企業(yè)內(nèi)部專線。它可以通過特殊的加密通訊協(xié)議，將位于不同物理位置的兩個(gè)或多個(gè)企業(yè)內(nèi)部網(wǎng)之間建立一條專有的通訊線路。

本文講到的MPLS L3 VPN是基于MPLS的VPN技術(shù)，即三層VPN，是在網(wǎng)絡(luò)路由和交換設(shè)備上應(yīng)用的MPLS技術(shù)，它簡化了核心路由器路由的選擇方式，利用傳統(tǒng)路由技術(shù)的標(biāo)記交換來實(shí)現(xiàn)IP虛擬專用網(wǎng)絡(luò)，從而實(shí)現(xiàn)路由數(shù)據(jù)的快速轉(zhuǎn)發(fā)。

筆者單位一專線業(yè)務(wù)出現(xiàn)故障，首先從故障現(xiàn)象開始分析，逐級排查，最后將故障定位在了交換機(jī)VLAN缺失造成的。在故障處理的過程中還出現(xiàn)了一個(gè)小插曲，即CPU數(shù)據(jù)轉(zhuǎn)發(fā)擁塞，在進(jìn)行ARP觸發(fā)后故障排除。接下來就具體介紹一下故障的處理過程。

圖1 網(wǎng)絡(luò)拓?fù)涫疽鈭D

故障現(xiàn)象

近日，某專線單位反映，位于ZC的某專線視頻業(yè)務(wù)中斷。

網(wǎng)絡(luò)結(jié)構(gòu)

在分析該故障原因前，我們先介紹一下網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)（如圖1）。

在圖1中，BRAS設(shè)備即ZC的 BRAS，利用 EPON設(shè)備實(shí)現(xiàn)了該專線單位視頻業(yè)務(wù)的接入，然后通過BRAS和核心路由器之間建立VPN隧道，最終通過專線將數(shù)據(jù)轉(zhuǎn)發(fā)至總部路由器。

故障分析

首先登錄到OLT設(shè)備上查看ONU的狀態(tài)，沒有發(fā)現(xiàn)異常，即設(shè)備在線和端口正常。然后在OLT的全局模式下使用命令show ma c-addresstable l2-switch vlan 315，查看該視頻業(yè)務(wù)的MAC地址，得到的結(jié)果是在PON口上學(xué)習(xí)到了8個(gè)攝像頭的MAC地址，但是在OLT連接BRAS的端口上并沒有學(xué)習(xí)到VLAN315的MAC地址。接著，使用命令show running configuration interface port 25查看端口的配置，并沒有發(fā)現(xiàn)該VLAN在端口25上配置。

找到這個(gè)故障點(diǎn)后，我們立即在端口上進(jìn)行VLAN添加，具體的配置命令即：

//添加VLAN315

通過上面的配置后，繼續(xù)使用命令依然在端口25查看不到MAC地址。這時(shí)候我們轉(zhuǎn)變思路在OLT上設(shè)置一個(gè)VLAN315的IP地址，ping BRAS上子接口315的IP地址，依然Ping不通。

故障解決

重新審視該故障，進(jìn)行思路的梳理。在OLT上添加上VLAN后，數(shù)據(jù)還是不通。登錄到BRAS上查看該接口的配置，子接口的IP地址即攝像頭的網(wǎng)關(guān)都沒有問題。問題分析到這里遇到了困難，這個(gè)時(shí)候首先需要清晰的思路和對整個(gè)故障現(xiàn)象宏觀的認(rèn)識(shí)，目的是在查找設(shè)備配置手冊或者咨詢廠家技術(shù)客服時(shí)，能清楚地表達(dá)出故障現(xiàn)象，以期通過資料的查找和尋求幫助的方式解決故障。

圖2 查看鏈路聚合成員端口

大家都知道，BRAS是三層路由設(shè)備，子接口上的IP地址和攝像頭的首次通訊是通過ARP學(xué)習(xí)得到的。這里就涉及到主機(jī)間通訊的基本原理，同時(shí)結(jié)合BRAS自身的工作原理和特性，需要使用到ARP觸發(fā)機(jī)制，即在BRAS上需要對攝像頭進(jìn)行Ping操作，然后觸發(fā)BRAS和攝像頭的ARP請求，從而實(shí)現(xiàn)BRAS和攝像頭的正常通信。按照這個(gè)思路，我們在BRAS上對攝像頭的IP地址進(jìn)行Ping操作后，該專線視頻業(yè)務(wù)恢復(fù)正常。

經(jīng)驗(yàn)總結(jié)

上面我們從得知網(wǎng)絡(luò)故障現(xiàn)象，從OLT上開始排查，發(fā)現(xiàn)在OLT上VLAN缺失，但是在VLAN添加上數(shù)據(jù)依然不通。緊接著又對網(wǎng)絡(luò)機(jī)制和網(wǎng)絡(luò)故障進(jìn)行分析后，發(fā)現(xiàn)OLT對應(yīng)的端口VLAN被刪除時(shí)數(shù)據(jù)轉(zhuǎn)發(fā)出現(xiàn)了問題，具體是因?yàn)锽RAS端口和OLT互聯(lián)使用的是鏈路聚合互聯(lián)，可以對成員端口進(jìn)行查看比較直觀地看到故障端倪（如圖2）。

通過圖2我們可以看到，成員端口gei-0/0/1/9存在丟包（Drop-packets）現(xiàn)象，OLT上聯(lián)端口VLAN被刪除后，M6000在 給 OLT發(fā)包時(shí)，得不到回應(yīng)，導(dǎo)致該子接口在CPU中的數(shù)據(jù)轉(zhuǎn)發(fā)出現(xiàn)問題，鏈路發(fā)生擁塞。在BRAS上對攝像頭進(jìn)行Ping操作后，實(shí)現(xiàn)BRAS對攝像頭的ARP觸發(fā)，從而恢復(fù)數(shù)據(jù)通信。

后期網(wǎng)絡(luò)恢復(fù)后，我們在對OLT設(shè)備管理人員走訪時(shí)發(fā)現(xiàn)，該單位為了進(jìn)一步規(guī)范交換機(jī)和OLT等二層設(shè)備的VLAN的配置操作時(shí)，將一些不再使用的VLAN進(jìn)行了清理和刪除，而該VLAN的刪除屬于誤操作。

針對該故障的發(fā)生，我們專門對網(wǎng)絡(luò)設(shè)備配置制度進(jìn)行了補(bǔ)充和完善，具體表現(xiàn)在統(tǒng)計(jì)在用VLAN的用途和使用情況，做到VLAN的使用有據(jù)可查，進(jìn)一步杜絕了VLAN的重復(fù)使用和誤操作等情況的發(fā)生。設(shè)備的誤操作再一次向我們敲響了警鐘，設(shè)備配置的異常刪除，會(huì)給網(wǎng)絡(luò)通信帶來意想不到的故障，也不是簡單恢復(fù)這么簡單，所以這就需要我們加強(qiáng)設(shè)備配置的管理，做到規(guī)范配置管理設(shè)備，從而為網(wǎng)絡(luò)的和諧穩(wěn)定打下良好的基礎(chǔ)。