BNG专家组系列培训4-典型故障定界与定位详解.pptVIP

* Page * 防攻击支持黑/白/自定义名单功能。这三种名单本身也是协议上送通道，可以对他们配置Car限速，丢弃，设置优先 级等动作，这使得我们对协议报文的过滤和控制非常有效。 我们可以用ACL将合法的，未知的，非法的放入这些名 单中，分开处理，避免攻击或攻击时的牵连影响。鉴于以上三点攻击情况，结合防攻击功能的特点，防攻击配置思 路如下： 收集设备上运行的各种业务涉及的协议，并进行归类 用ACL对三层报文进行过滤，合法协议报文入白名单和自定义名单，其他报文走黑名单 对以下三类名单的优先级，上送带宽，告警功能进行规划 非三层业务进行带宽限制，设备上不部署的业务有选择地关闭 安全防攻击分析与配置 内容介绍 用户上下线类 用户无法上网或者上网慢 CPU高与安全防攻击 用户侧组播 Page * 组播组网与介绍 BRAS设备作为用户侧DR设备接入，部署用户侧组播业务 组播部署涉及的协议分为主机-路由器之间的组成员关系协议和路由器-路由器之间的组播路由协议。 组成员关系协议包括IGMP(互连网组管理协议)。 组播路由协议分为域内组播路由协议和域间组播路由协议。域内的组播协议又分为密集模式与稀疏模式。域内组播路由协议主要使用PIM-SM，PIM-DM，DVMRP协议。目前现网部署基本使用的都是PIM-SM。 Page * 查看是否存在组播转发表、路由表 使用display multicast routing-table、 display multicast routing-table查看是否存在(*,G),(S,G)表项 查看用户侧接入接口是否在对应的组播出接口中 如用户侧接入接口为Eth-Trunk2.1888，以下命令可以查看用户接入的组播映射口，建议确认该组播映射口是否在组播转发表的出接口中。命令如： display multicast mapping interface Eth-Trunk2.1888 – Eth-Trunk2.1888: Interface VPN - - - - - - - - - - - - - - - TUA9 NULL 找到故障用户，确认故障用户是否在观看相应的节目 找到故障用户的IP，如下命令查看用户的组播业务观看情况： [HUAWEI-hidecmd]display multicast-user order-programme user-ip 8 User ID:258904 User IPv4 address :8 Gateway IPv4 address: User token (IPv4) :387499 BRAS interface :Eth-Trunk0.1 User MAC-address :0007-6369-5e8c MAX program list :4 User VLAN :P-VLAN 2121 / C-VLAN 561 ? NO.1 Group address : Source address : Proxy interface:TUA1 组播问题定位思路 Page * 查看故障频道，确认有哪些用户查看该 频道 display multicast-group order-programme group-ip out-infterface GigabitEthernet 2/0/0.1 User ID:161405 User IPv4 address :26 Gateway IPv4 address: User token (IPv4) :127523 BRAS interface :GigabitEthernet2/0/0.1 User MAC-address :0007-6344-3917 MAX program list :4 User VLAN :P-VLAN 2401 / C-VLAN 1258 抓包分析 对于由于组播业务极其敏感，组播卡屏一般是由于组播报文乱序或丢包导致。需要抓包分析报文。 目前遇到的是RTP类型的报文较多，需要将报文decode as RTP协议，然后查看sequence即可。 组播问题定位思路 * * * * * * * * * * * * * * * * * * * * * * * * * * HUAWEI TECHNOLOGIES CO., LTD. Huawei Confidential 英文标题:32-35pt 颜色: R153 G0