叉包舍 - PPPoE之常見撥號錯誤代碼及處理

pppoe用戶撥號上線過程可以分爲pppoe發現階段和ppp的會話兩個階段；678,676報錯發生在pppoe發現階段，691錯誤發生在ppp會話階段。

 1、678錯誤，一般是二層不通所致，根本原因就是撥號器在發送了padi之後，未收到BAS迴應的pado；


 2、676錯誤，有可能是BAS上存在限制，也有可能跟二層不通有關，根本原因就是撥號器在發送了padr之後，未收到BAS迴應的pads；

 （1）676常見場景一：

 ME60上配置了ppp connection chasten 5 60 300，假設60秒內某用戶撥號失敗5次，接下來300秒內BAS不再響應請求，撥號失敗錯誤代碼爲676。此機制是爲了避免用戶一直持續的撥號，防止網絡上非法用戶使用窮舉法試探正常用戶的口令，屬於ME60的安全措施；


 （2）676常見場景二：

 BAS的mac地址在二層匯聚設備上的對應vlan中漂移至非上行口的其他端口；

 BAS的mac地址正常情況下是學習在上行口的。如果某vlan內存在用戶模擬網關（BAS）持續發包，網關（BAS）的mac將不會再學習在上行口，而學習至用戶側端口。由於padi是廣播，所以撥號器的padi可以正常送給BAS,BAS迴應的pado，攜帶自己的mac爲源，撥號器mac爲目的，單播也能正常到達撥號器；但是之後撥號器的padr，攜帶自己的mac爲源，BAS的mac爲目的，二層轉發的時候，到達發生mac漂移的匯聚設備，通過目的mac查表會被抓發至另一用戶側端口，以致padr無法正常到達BAS，撥號器自然也無法收到pads，報錯676；



 3、691錯誤發生時，可以肯定的是撥號器與BAS之間二層網絡是通的，只有用戶在認證過程中發生了問題；

 （1）691常見場景一：撥號客戶端輸入的用戶名密碼錯誤；


 （2）691常見場景二：用戶賬號的radius上掛死；特別注意的是跨板eth-trunk場景下上線的用戶，如果用戶精綁定的方式不是根據內/外層標籤，而是以NAS-Port(5)屬性實現的，就要注意在eth-trunk下配置nas logic-port參數。防止用戶上線radius記錄的nas-port信息與下線時上報的不一致，導致在radius上掛死；


 （3）691一種特殊場景：

 bas子接口上配置的接入域與上用戶線攜帶的域名不一致，BAS會直接以域拒絕迴應撥號器的認證請求，會報錯691。

 比如上線用戶攜帶的域名和pppoe，但是在用戶上線的接口下配置了permit-domain  <domain name>，但是域名並非pppoe。





處理過程：（1）676常見場景一故障處理：

用戶側撥號，使用錯誤的用戶名/密碼連續撥號，會報5次691錯誤，第6次就上報676了；等待300s後，再按照上述順序嘗試，現象依舊；此現象屬於ME60上的保護機制，只需跟客戶解釋清楚即可；


（2）676常見場景二故障處理：

1、在ME60上根據用戶mac來trace access-user，發現並未收到用戶側發送的padr消息；

2、二層逐臺設備查詢ME60的mac地址，發現在匯聚交換機上被學習至了另外一個下行口；

3、最終發現匯聚交換機下掛某OLT的其中一個ONU下也學到了ME60的mac地址，懷疑是用戶模擬網關發包導致；

4、關閉此ONU，在匯聚交換機上ME60的mac地址學習到上行口，業務恢復正常。


（3）691一種特殊的場景故障處理：

1、在ME60上根據用戶mac來trace access-user，發現用戶上線過程中，還未開始認證，就直接被域拒絕了；

2、在ME60上檢查domain和bas接口的配置，發現domain無問題，bas接口下配置了permit-domain 允許用戶接入的域，而trace消息中用戶攜帶的域並非配置的permit-domain ；

3、在bas接口下刪除permit-domain 配置，或者加上用戶上線時攜帶的域名，問題解決。

建議與總結：用戶pppoe撥號的時候最常見的就是678,676,691三種錯誤，從原理上分析都比較簡單，但涉及的場景可能有多種，處理類似故障最有效的手段就是trace用戶mac和display aaa online-fail-record，定位用戶上線失敗的原因。再根據具體原因到設備上或者二層網絡中去查找問題