MA5200 FAQ和案例.docx
- 文档编号:2203249
- 上传时间:2023-05-02
- 格式:DOCX
- 页数:20
- 大小:36.81KB
MA5200 FAQ和案例.docx
《MA5200 FAQ和案例.docx》由会员分享,可在线阅读,更多相关《MA5200 FAQ和案例.docx(20页珍藏版)》请在冰点文库上搜索。
MA5200FAQ和案例
FAQ和案例
.1 常见问题解答
(1) V100R002B03D103版本开强制PORTAL业务时,用户不用认证就可以上网?
答:
此版本的系统缺省配置是ACLDISABLE也就是说所有用户在没认证之前可以访问权限不受控,可以访问任何一个站点。
解决方法在AAA配置模式下执行acl-slotslot-idenable。
(2) V100R002B01版本开VLAN+Web业务时,用户获取IP地址后,不用登录Web服务器就可以上网,怎么处理?
答:
● 用showvlanport命令检查相应VLAN端口的属性是否设置为WEBAUTH。
● 查看主机版本与单板版本是否配套。
(3) 在修改用户的带宽属性后,从用户侧下载大文件,下载速度没有变化,为什么?
答:
● 修改完用户的带宽属性后,由于用户没有下线后重新上线导致用户带宽属性没有更新。
● 以B01为例,由于在用户所属的域中已经用setcar-level指定了域模式下的流量控制级别,同时用setcar-defaultenable命令将全局用户的流量控制设置为域设置的流量控制。
此时无论是在adduser时规定是否选用域模式下的流量控制级别,或者用setlocal-usercar-level来指定用户的流量控制级别,用户的带宽属性都是用户所属的域的带宽属性。
如果将setcar-defaultenableenable改为setcar-defaultenabledisable则流量控制使用用户各自帐号下设置的控制级别。
(4) VLAN用户绑定认证设密码时,在VLANPORT、VLAN-BATCH处直接回车,认证不通过,为什么?
答:
这是由于直接敲入vlanportucSlotusVlanIDnumberauthpolicygeneral|fast|bind命令后回车,系统缺省认为密码是“vlan”。
vlan-batchlocaluserucSlotusVlanIDnumber后回车系统默认为没有密码,导致用户密码不匹配,要求在VLAN-BATCH处手工输入密码保持与VLANPORT处密码一致。
(5) HAB、HRB端口状态不断的UP、DOWN,为什么?
答:
一般来讲,很可能是物理线路的问题,请仔细检查物理线路尤其是光路传输是否正常。
(6) 在使用了NAT板以后,为什么ping1450以上的包时,会有丢包现象,为什么?
答:
因为目前我们的NAT板不支持大包切片处理,最大只能支持1450的包。
(7) VLAN用户在线,如何修改相关DHCP服务器或地址池配置?
答:
只要DHCP的地址被获取,就不能修改(或删除)DHCP或地址池,修改前,必须把VLANPORT设置成阻塞状态,再把在线用户踢下线(如果先踢用户下线,要快点执行阻塞端口的命令,否则下线用户很快就又能上线),然后再进行相应的修改(或删除)。
(8) 用串口与MA5200相连,超级终端上有显示,但是无法输入字符,为什么?
答:
请检查超级终端的如下设置是否正确:
波特率 115200bps
数据位 8
奇偶校验 无
停止位 1
流量控制 无
(9) MA5200外网口已经配置了IP,并且和PC在同一网段,为什么在MA5200上ping与外网口相连的PC不通呢?
答:
因为MA5200设计本身就是这样,如果要判断PC与MA5200是否能够正常通信,只要在PC上pingMA5200的外网口能通就可以了。
(10) VLAN用户,PC终端已经正确获取IP,并且能ping通MA5200的虚模板和上行口接口地址,但是就是不能访问外面,为什么?
答:
● 请执行showconnectusername检查用户是否在线,如果没有,请检查用户帐号是否设置,密码是否与VLANPORT设置一致;
● 请检查MA5200路由是否已经正确设置;
● 检查MA5200上接设备对MA5200用户网段是否做了回程路由。
(11) 从R001升级到R002版本时,为什么从外网口加载软件的速度很慢,并且ping外网口,大包根本通不过?
答:
这是因为,这时外网口和PC协商不成功,或协商成半双工所造成的,请手工将PC网卡设置为10M全双工。
(12) S2403F升级到120版本后,通过Telnet和HGMP不能共同管理S2403F,为什么?
答:
主要是因为VLAN设置不对,HGMP必须用2047,而Telnet管理用的VLAN不是2047。
(13) S2403F不能注册成功,反复重启,HGMP不能管理,为什么?
答:
可能是S2403F升级没有升级BIOS。
(14) VLAN和PPPoE业务是否能共存?
答:
能够共存,如果想要VLAN和PPPoE用户在同一网段,则只需配一个虚模板。
(15) MA5200单多模光功率分别是多少?
答:
S2403F:
单模:
发射功率:
(-8)——(-15)dBm
接收灵敏度:
-31dBm
多模:
发射功率:
(-14)——(-20)dBm
接收灵敏度:
-31dBm
MA5200:
单模:
发射功率:
(-14)——(-20)dBm
接收功率:
(-8)——(-31)dBm
多模:
发射功率:
(-14)——(-19)dBm
接收功率:
(-8)——(-30)dBm
单模千兆扣板范围是-9.5~-4dBm发送
百兆单模扣板范围是-15~-8dBm
千兆光功率
单模:
输出功率:
-11.5到-3dBm
接收功率:
-20到-3dBm
多模:
输出功率:
-9.5到-4dBm
接收功率:
-17到0dBm。
(16) 如何区分单多模光纤
答:
黄色的光纤是单模光纤。
桔红色的光纤是多模光纤。
注意:
在短距离中,单模光口可以使用多模光纤,反之则不可以
(17) HAB、HRB默认端口类型分别是什么?
答:
HAB板端口默认类型是TAGGED,HRB端口默认类型是UNTAGGED。
(18) RADIUS认证计费用户,认证通过之后,短时间下网,为什么?
答:
原因很可能是认证虽然通过,但计费没有做好数据,请检查计费设置;
(19) 目前MA5200支持操作用户名数量是多少?
答:
128个。
(20) 对外置DHCPServer,用户申请IP地址后,ping虚模板时通时断。
答:
可能是DHCPServer的R003路由是否配了多条,请只配一条。
(21) S2403F级连配置需要注意些什么?
答:
在配置母S2403F时不仅需要把本身用户端口的VLANID划分好,同时子2403F分配的VLANID也要在此配置中体现出来,即对于子S2403F所要分配的VLANID在母S2403F配置时要包括母S2403F的上行口和级连口,在配置母S2403F广播口时在包括用户端口、上行口的同时还要把级连口2也包括进去,这样母S2403F才能对子S2403F的端口进行管理。
(22) 用户终端已经正常上网,但是,从PC终端pingMA5200能通,而从MA5200ping该PC终端,却ping不通,为什么?
答:
请检查PC终端是否安装了防火墙之类的软件,对ICMP报文进行隔离。
更改软件的设置允许PC对ICMP报文响应或删除该软件。
9.2 案例
9.2.1 IP地址与地址池分配地址冲突
[案例标题]
用户终端问题导致出现IP地址与地址池分配地址冲突。
[现象描述]
某局采用MA5200接入设备实现网吧的宽带上网,具体组网为:
MA5200通过GE口接到汇聚层设备8750,8750再通过GE口上行到高端路由器接入公网,MA5200通过百兆光口下接S2403F实现网吧接入。
在网络运行中,业务正常,但在MA5200上出现0000567810010a072001/11/27-11:
04:
35minorIPPOOL:
ipreleasednotinpool(IPPOOL:
0ip:
192.168.0.21)的地址告警。
[告警信息]
告警信息如下:
0000567810010a072001/11/27-11:
04:
35minor IPPOOL:
ipreleasednotinpool(IPPOOL:
0ip:
192.168.0.21)0000567710010a072001/11/27-10:
40:
43minor IPPOOL:
ipreleasednotinpool(IPPOOL:
0ip:
192.168.0.21)
0000567610010a07 2001/11/27-09:
58:
49minor IPPOOL:
ipreleasednotinpool(IPPOOL:
0ip:
192.168.0.21)
打开debugdhcp开关和monitor开关:
DHCPRELAY_ProcPkt()print:
thisisabroardcastDHCPpacket,VlanId=62,ulRcvIfIndex=3030000kXid:
3413527059cmd:
1Htype:
1Hlen:
6Hops:
0Secs:
0Flag:
0Ciadd:
0.0.0.0Yiadd:
0.0.0.0Siadd:
0.0.0.0Giadd:
0.0.0.0Sname:
Options:
MSGTYPE:
1SERVERIP:
REQUESTIP:
192.168.0.42REQUESTPARAMLIST:
0x01,0x0F,0x03,0x06,0x2C,0x2E,0x2F,0x2B,0x4DROUTERIP:
DNSIP:
NetbiosNameServerIP:
HOSTNAME:
g01DOMAINNAME:
SUBNETMASK:
[原因分析]
由于这些发生地址冲突的网吧,其内部的PC机是由MA5200直接分配IP地址,这些网吧没有采用代理主机的方式组网,因此怀疑是网吧内部可能存在DHCP服务器,而造成与IP地址池分配地址发生冲突。
由于注册表中DHCP表项被更改也能造成与以上完全相同的告警,因此也不能排除存在一些黑客软件或病毒的可能性。
[处理过程]
(1) 使用NetxRay抓包工具软件抓取BOOTP报文,但由于网吧内部采用的都是LANSwitch,进行了二层隔离,抓包数据都是Request的无效信息;
(2) 据分析:
可能在网吧内部存在DHCP服务器,因此将网吧上行到S2403F的端口断开,每台PC都重新更新地址,但无异常信息显示;排除存在DHCP服务器的可能性;
(3) 将接到PC的网线断开,发现PC机注册表中的DHCP表项被更改,与MA5200分配地址段不符;
(4) 将问题定位到黑客程序或病毒上,通过网上查找病毒资料,发现NIMDA和FUNLOVE都没有更改注册表中DHCP表项的属性;
(5) 重点对出现告警信息的网吧进行排查,发现固定的几台机器在重启或开机时MA5200上出现告警,并且和地址池冲突的地址为一个固定值,经与网吧技术员交流发现这些机器装有pro-Magic5.1的系统恢复软件,由于这些网吧原来采用MA5100实现ADSL上网,代理主机分配的网段为192.168.0.X,而机器在开机或重启时,恢复软件将数据恢复为原ADSL时的配置数据;
(6) 到其他网吧调查发现:
产生地址告警的PC机都装有远志公司生产的还原卡,它是采用硬件的形式实现系统恢复,跟pro-Magic软件的原理相同,至此问题完全定位。
[建议与总结]
由于目前网吧不可能放弃恢复系统的各种安全机制,因此告警信息只能正确定位,没有根除。
9.2.2 201卡上网不能通过认证
[案例标题]
由于用户IE连接属性设置不正确导致201卡上网不能通过认证而建立不了连接。
[现象描述]
某局在某校园iTELLIN201卡业务放号,该局点的iTELLIN201卡号上网是WEB认证方式(用户通过S2403F接到我们MA5200上的)。
有一学生反映其电脑输入卡号和密码后不能通过认证,建立不了连接,上不了网。
到该学生宿舍测试发现能获取IP地址,但每次输入卡号和密码点击连接后,不能建立宽带连接而都转到他以前设置的200卡拨号连接上去(即出现一个提示输入用户卡号和密码的200卡拨号上网提示界面),导致201卡不能通过认证。
[原因分析]
用自己的便携能顺利上网说明用户自己的电脑本身设置有问题,而不是网络的问题。
每次输入卡号和密码后点击连接都转为200卡拨号上网提示界面,说明用户在为200卡拨号建立了一个强制的默认连接,所以用户的每次连接认证都被强制转为了200卡认证了。
要实现201卡号正常认证,必须解除200卡的强制连接。
[处理过程]
(1) 将用户已经建立的200卡号连接删掉,检测还不行;
(2) 查看IE属性,发现其连接属性中拨号设置中的选项选择的是“始终拨打默认连接”,将连接属性改为“从不进行拨号连接”,问题得到解决;
(3) 再建立200卡的连接,发现200卡也能正常连接上网,且不影响201卡的认证连接,说明是由于其IE的默认连接设置的原因。
[建议与总结]
对用户不能上网的问题要采取逐段分析的方法,对类似问题,首先用自己的便携测试,如果能上网,则排除网络原因,直接从用户的设置中着手,根据具体现象查找原因。
9.2.3 S2403F注册不到MA5200上
[案例标题]
光电转换器未重起导致S2403F注册不到MA5200上。
[现象描述]
S2403F与MA5200通过光电转换器相连,S2403F版本刚从V1.0版本升到V1.2版本,MA5200版本为MA5200V100R002B01D011。
S2403F升级完重起后,在MA5200上使用showlanswitch查看,看不到S2403F的信息,显示为nolanswitch,当把S2403F掉线重起时,在MA200侧看不到任何告警的信息
[原因分析]
在MA5200上看不到S2403F,有两种可能:
(1) 在S2403F升级时,V10升到V1.2需加载两个软件:
App.bin、fpga.bin,此问题可能是由于fpga.bin软件没有加载导致;
(2) S2403F升级后,注册信息没有发到MA5200,导致MA5200系统内没有S2403F的注册信息。
由于S2403F与MA5200之间通过了一个光电转换器,而光电转换器由于没有掉电一直在线,导致了MA5200没有收到S2403F的注册信息。
[处理过程]
(1) 检查S2403F升级过程,确认两个软件都已经加载;
(2) 重新重起S2403F;
(3) 在MA5200上查看告警信息,发现没有该端口up、down的注册信息;
(4) 把光电转换器进行重起,在MA5200上收到了S2403F的注册信息;
(5) 再showlanswitch,已经能够发现S2403F。
9.2.4 用户无法正常上网
[案例标题]
因10M/E1转换器不支持802.1q协议导致用户无法正常上网
[现象描述]
MA5200版本为B01D012,10M/E1转换器为某公司生产。
组网:
5203(HAB)+10M/E1+2M传输线+E1/10M转换器+2403F+PC,进行VLAN认证。
出现的现象为:
能PING通大网的网站,开OICQ能正常聊天,但打不开网页。
[原因分析]
(1) IE或DNS问题,DNS无法解析域名,使网页无法打开;
(2) 端口模式配合问题导致无法打开网页;
(3) 帧长加大(加了802.1q协议头),E1/10BASE-T转换器处理能力降低,导致网页无法打开。
[处理过程]
(1) 怀疑是IE或DNS问题,仔细查过且更换PC上网,现象一样,排除DNS、IE的原因;
(2) 端口模式配合问题,将所有连着的端口模式设置成一致10MFULL,或10MHAL都试过,故障依旧;
(3) 将2M传输系统接到路由器上,上网正常;
(4) 将2M传输系统和S2403F对调位置,组网变为:
5203(HAB)+10M/E1+2M传输线+E1/10M转换器,能正常上网;
(5) 10M/E1转换器生产商的工程师答复以前也遇到过这类情况,在他们的传输系统里走带802.1q协议头的以太帧,也打不开网页。
9.2.5 VLAN用户上网时断时续
[案例标题]
外置DHCP配置出错导致VLAN用户上网时断时续。
[现象描述]
某局采用路由器下挂MA5200和DHCPServer,MA5200的版本为V100R002B01D012,采用VLAN接入方式上网。
用户获取IP地址后,正常上网。
但是过段时间后,不能上网,用户可以ping通虚模板接口地址,但是不能ping通上行口地址。
有时这种情况持续一段时间后自动恢复,用winipcfg释放IP地址后,用户上网正常,这种情况反复出现。
[原因分析]
出现上述现象,有可能为以下问题:
(1) 数据配置问题:
用户上网一段时间出现异常情况,有可能数据配置文件中配置闲置切断功能;
(2) 软硬件问题:
MA5200的VLAN用户正常情况下,只要能获得IP地址,即可ping通上行口。
检查软件版本是否配套、硬件是否工作正常;
(3) 外部数据配置问题:
外置DHCPServer数据配置出错或者工作不稳定。
[处理过程]
(1) 查看数据配置有无配置闲置切断,没有配置;
(2) 查看单板状态,均为normal;
(3) 查看各单板软件,均为V100R002B01D012;
(4) 更换硬件,问题依然存在;
(5) 查看DHCP配置,003路由器选项配置了两个网关,发现问题所在。
外置DHCPServer在地址池的配置中,003路由器中,配置了两个网关,第一个为虚模板地址,第二个为MA5200上行口对端地址。
当用户所发送的数据报文目的地址与用户所在地址为不同网段时,就由网关转发。
用户获取IP地址时,同时获得了两个网关,这两个网关在用户侧因优先级一致,所以轮选的。
用户选择MA5200上行口对端地址为网关时,用户的数据报文就不能由上行口对端地址正常转发,导致用户上网时断时续。
9.2.6 PPPoE用户自动断线
[案例标题]
RADIUS服务器计费设置不正确导致MA5200PPPoE用户自动断线。
[现象描述]
MA5200版本为V100R002B01D00007,上行通过三层交换机连接RADIUS。
用户使用PPPoE方式接入,认证、计费都在RADIUS上进行。
用户拨号认证通过之后,用户能上网,但18秒钟后MA5200自动断开用户连接,屡试如此。
[原因分析]
认证能通过,用户上网也正常,18秒钟之后MA5200自动断开连接,说明认证没问题,RADIUS上没收到计费包,可能是计费问题。
仔细检查配置,在AAA配置计费中的配置:
acctschemextdxdisableenable-senableofflineoffline;其中有一项为“当RADIUS计费不成功,则自动离线”,当前正是计费包没有被RADIUS正确接收,因而MA5200自动断开了用户的连接。
[处理过程]
(1) 配置完成后,使用ENTERNET300虚拟拨号软件拨号,输入用户名密码之后,开始连接服务器。
认证通过后,用户便能上网了,可上线不久连接便断开了,再试,观察拨号软件登录情况,如前次的情况一样,连接在18秒后被中断。
怀疑是拨号软件问题是,于是换了另一PPPOE拨号软件,结果还是一样;
(2) 用showrunningconfigure查看配置,RADIUS服务器IP地址、认证计费端口设置都正确。
由于认证能通过,自动离线时间也是系统默认的。
建立本地用户,使用本地认证,拨号上网之后一切正常,没有出现自动断线的情况。
只使用RADIUS认证,不计费,结果一切都正常。
初步怀疑是计费问题,于是又使用本地认证,RADIUS计费;认证通过,但18秒钟时连接又中断了;
(3) 确定是RADIUS计费问题,仔细检查配置,在AAA配置计费中的配置:
acctschemextdxdisableenable-senableofflineoffline;其中有一项为“当RADIUS计费不成功,则自动离线”,当前正是计费包没有被RADIUS正确接收,因而MA5200自动断开了用户的连接;
(4) 协调局方检查RADIUS服务器的计费,改正计费后,使用RADIUS认证、计费,从MA5200的光口用光MODEM上网,通过虚拟拨号上网,故障排除。
9.2.7 PPP用户认证不通过
[案例标题]
RADIUS服务器设置错误导致PPP用户认证不通过。
[现象描述]
版本:
MA5200V100R002B01D012。
组网:
上行通过GE接L3,下行通过O8FI接S2403F,采用RADIUS认证计费,本地地址池分配地址,PPPoE拨号方式上网。
故障现象:
用Ethernet300拨号不能通过,返回用户名密码错误。
[原因分析]
(1) 输错了用户名和口令,换一个用户名和口令;
(2) RADIUS服务器上没有加相应的用户名和密码;
(3) RADIUS服务器上没有配置这个MA5200设备,没有加相关参数;
(4) MA5200上数据配置错误。
[处理过程]
(1) 重新输入用户名密码,认证还是不通过;
(2) 确认在RADIUS上存在这个用户名和密码;
(3) 让局方在RADIUS上检查参数,确认无误;
(4) 检查MA5200上数据,没有发现问题;
(5) 怀疑是不是在RADIUS上面的MA5200主机名重复,更改主机名并在radius上重新配置后问题还是没有解决;
(6) 在MA5200上打开monitor、debugaaa、debugradius-pks、debugradius开关抓包分析。
开始认证后5200收到了用户名和密码,都正确,然后开始认证,显示发送的RADIUS报文和认证过程如下:
[RDS_Debug]SendRawPakcetis:
0100004000006956000013720000500f 000028470105666c780212f5e06f3ed1 8935f280c4255b807a45192009737a6c 353230300506020700003d06000000
- 配套讲稿:
如PPT文件的首页显示word图标,表示该PPT已包含配套word讲稿。双击word图标可打开word文档。
- 特殊限制:
部分文档作品中含有的国旗、国徽等图片,仅作为作品整体效果示例展示,禁止商用。设计者仅对作品中独创性部分享有著作权。
- 关 键 词:
- MA5200 FAQ和案例 FAQ 案例