IAG2000部分用户高峰期PPPOE认证不上故障处理案例

IAG2000部分用户高峰期PPPOE认证不上故障处理案例

一、        问题现象

某局点IAG2000部分用户在上网高峰期的时候，pppoe认证不上，或者容易掉线。问题总是在某个vlan里面出现。客户端故障截图：

二、        组网图

       组网图：

三、        处理过程

由于问题总是出现在某个vlan里面，首先怀疑一下几点：

1、可能是vlan用户大于254个，导致ip地址不够分，因此出现认证不上的情况。但是在跟客户了解的过程中发现每个vlan的用户总数都控制在200左右，不存在ip地址不够分的可能。

2、可能是二层链路出现环路。但是通过查看接入交换机每个端口的MAC地址学习情况，发现在网络中不存在环路情况；

3、可能是物理链路质量不好，或者认证客户端的原因导致认证不上。但是发现在非上网高峰期的时候，用户反映认证正常，并且网络质量良好，排除了物理链路和终端问题导致故障出现的可能性。

PPPOE建立过程：

因此在故障发生时，在终端和IAG同时抓包。客户端抓包如下：

发现在认证过程中，客户端仅广播发送了PADI报文，并且在没有收到服务器PADO响应报文的时候，重发了三次PADI报文，服务器仍然没有响应。因此客户端在没有收到任何回应的情况下出现678的报错，即服务器未响应。

IAG抓包如下：

Feb 17 21:06:49:890 2011 IAG2000 PPPOE/7/debug2:

  2011-2-17 21:6:49.889: PPPoE :GigabitEthernet1/1.34 IN discovery packet, len 60

    ff ff ff ff ff ff 00 26 9e 52 1a 39 88 63 11 09

    00 00 00 10 01 01 00 00 01 03 00 08 0a 00 00 00

    0c 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00

    00 00 00 00 00 00 00 00 00 00 00 00

*Feb 17 21:06:49:890 2011 IAG2000 PPPOE/7/debug2:

  2011-2-17 21:6:49.889: PPPoE Error: GigabitEthernet1/1.34, Too many sessions: Session num 100, Max Session Per-Our-Mac 100

*Feb 17 21:06:54:876 2011 IAG2000 PPPOE/7/debug2:

  2011-2-17 21:6:54.875: PPPoE :GigabitEthernet1/1.34 IN discovery packet, len 60

    ff ff ff ff ff ff 00 26 9e 52 1a 39 88 63 11 09

    00 00 00 10 01 01 00 00 01 03 00 08 0a 00 00 00

    0c 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00

    00 00 00 00 00 00 00 00 00 00 00 00

*Feb 17 21:06:54:876 2011 IAG2000 PPPOE/7/debug2:

  2011-2-17 21:6:54.876: PPPoE Error: GigabitEthernet1/1.34, Too many sessions: Session num 100, Max Session Per-Our-Mac 100

*Feb 17 21:06:59:876 2011 IAG2000 PPPOE/7/debug2:

  2011-2-17 21:6:59.875: PPPoE :GigabitEthernet1/1.34 IN discovery packet, len 60

    ff ff ff ff ff ff 00 26 9e 52 1a 39 88 63 11 09

    00 00 00 10 01 01 00 00 01 03 00 08 0a 00 00 00

    0c 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00

    00 00 00 00 00 00 00 00 00 00 00 00

*Feb 17 21:06:59:876 2011 IAG2000 PPPOE/7/debug2:

  2011-2-17 21:6:59.875: PPPoE Error: GigabitEthernet1/1.34, Too many sessions: Session num 100, Max Session Per-Our-Mac 100

*Feb 17 21:07:04:876 2011 IAG2000 PPPOE/7/debug2:

  2011-2-17 21:7:4.875: PPPoE :GigabitEthernet1/1.34 IN discovery packet, len 60

    ff ff ff ff ff ff 00 26 9e 52 1a 39 88 63 11 09

    00 00 00 10 01 01 00 00 01 03 00 08 0a 00 00 00

    0c 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00

    00 00 00 00 00 00 00 00 00 00 00 00

*Feb 17 21:07:04:876 2011 IAG2000 PPPOE/7/debug2:

  2011-2-17 21:7:4.875: PPPoE Error: GigabitEthernet1/1.34, Too many sessions: Session num 100, Max Session Per-Our-Mac 100

发现IAG2000已四次收到MAC为0026-9e52-1a39客户端发送的PADI报文，IAG会检查本地MAC所建立的会话数，默认最大会话数为100，一旦超出了最大会话数，就会将新建的会话删除，不回应客户端的会话请求。

四、        问题分析

上网高峰期时候，一个vlan内的用户同时在线数超出100的时候，当101个用户认证时，虽然将认证报文已发送给IAG，IAG会检查本地MAC所建立的会话数，若大于IAG所允许的最大会话数，则不响应新的客户端的请求报文。此时IAG默认最大会话数为100，即每个虚拟模板的最大会话数为100，也就是每个业务vlan同时最大在线数为100，超出最大会话数的认证将不再响应，那么当客户端在未收到任何回应的时候就会出现678的错误代码。

五、        问题结论

上网高峰期时候，当同一vlan用户上网在IAG2000所建立的会话数大于IAG2000的默认最大会话数，就会导致用户认证出现678错误代码。

六、        处理方法

通过命令pppoe-server max-sessions local-mac 修改IAG2000最大会话数为1K，问题现象消失。通过命令display pppoe-server session all查看会话数，发现有1个虚拟模板的会话数大于100，那么说明配置生效，IAG2000在一个本地MAC能够创建100以上的PPPoE session数目。