5G优化案例：5G CPE附着成功后无法访问公网网页问题分析案例.docxVIP

5G CPE附着成功后无法访问公网网页问题分析报告 XX XX 年 XX月 目 录 TOC \o 1-1 \h \z \u 一、 问题描述 3 二、 分析过程 3 三、 解决措施 6 四、 经验总结 7 5G CPE 附着成功后无法访问公网网页问题分析报告 XX 【摘要】XX电信在使用 CPE 进行业务演示调试时发现，5G CPE 可以入网，但却不能打开公网，通过对 CPE 进行用户跟踪、核心网侧抓包跟踪、DNS 服务器侧进行分析，发现CPE 从基站到核心网侧都接入正常，最终是由于数通未配通到 DNS 服务器的 53 端口，而53 端口正是 DNS 接收和解析报文的关键端口，再数通侧将 53 端口的链路配通后，问题得以解决。 【关键字】5G_NR、CPE、公网业务、53 端口、 一、 问题描述 在XX电信 5G NSA 实验局中，CPE 成功获取到核心网分配的入网 IP，核心网侧 UNC（DSP MMCTX、DSP SMCTX）、CGW（DSP CPPDPCTXT）、DGW（DSP UPPDPCTXT）以及用户跟踪也均显示 CPE 终端成功附着。但是 CPE 终端无法打开百度等网页，业务不能正常进行。 二、 分析过程 首先在核心网侧、终端侧 ping 114.114.114.114 等公网地址测试，可以 ping 通，根据平常入场经验可认定核心网已经完成了路由任务，不应该有问题。然后则分析 DNS 解析，检查 CGW 上 DNS 配置（SET APNDNS）是否正确，未解决则进入下一步。 在 DGW 上做用户跟踪，使用 Wireshark 打开 pcap 格式报文进行分析，看到 DNS 没有回复报文，DNS 解析确实有异常。 图 1 DGW 上用户跟踪报文 DNS 服务器解析异常问题可以分别从一下几方面问题入手： （1）DNS 服务器是否故障。这里我们使用的是现网的 DNS 服务器，现网业务正常，排除这个可能性。 （2）终端发的 DNS 包格式是否异常。CPE 侧抓包，重点分析 DNS 报文（在 Wireshark 上过滤，Filter 一栏中输入 ip.addr == x.x.x.x[DNS 服务器地址]），结论是终端侧发出的报文没有问题。 图 2 CPE 终端消息抓包正常 （3）有无来自基站的影响？由于终端发出的报文未发现端倪，希望进一步确定数据在到达核心网前是否就有异常，在基站与核心网对接的交换机上做端口镜像抓包。结果依然一切正常。 图 3 交换机配置端口镜像 （4）由于多个节点中的网元都未发现问题，我们重新从核心网侧分析。在 DGW 配置测试 loopback，地址为终端地址池中的一个，去 Ping DNS 服务器地址，能通。 图 4 DGW 的 loopback 可 ping 通 DNS 服务器 DNS 路由链路正常，但就是未解析、回复报文。由于现网 DNS 服务器不好抓包，再次打开 DGW 的用户跟踪结果发现，多条“Malformed Packet”的报文有一个共同点：都是目标端口为 53 的 DNS 解析报文。而 DNS 服务器正是依赖 53 端口来做解析的。 图 5 目标端口为 53 的报文显示异常 （5）梳理以上信息后，初步确认问题与核心网无关，而是在出口防火墙上出现了问题。我们决定跳过核心网，将 PC 直连到与 FW 对接的核心网 EOR 交换机，在交换机里同一个 VRF_Internet 下起一个测试 Vlanif 网关，网关地址和 PC 地址都与终端地址池同一网段，这时在 PC 上 Ping DNS 服务器地址、测试公网地址仍然能通。但在 PC 打开网页时，失败，故障点得到确认。 图 6 测试 PC 直接 Ping DNS 服务器 三、 解决措施 实验局中核心网分配给终端的地址采用了新的地址池，数通的防火墙在做新地址网段的发布时，端口策略不正确，53 端口没有配通导致 DNS 解析无法正常进行。在修改策略之后问题得到解决。 53 端口决定了 DNS 是否能成功解析，这也就是前面为什么能 Ping 通地址，路由没有问题，却不能打开网页：报文正常+能 Ping 通 DNS 服务器≠DNS 解析成功！ 四、 经验总结 在 5G 业务演示初期，众多业务调试中的问题都会涉及从终端→无线→核心网→数通→公网端到端的链路分析，对于以后端到端链路分析的问题，建议基于以下几个“关键节点”展开： 图 7 定位思路