校园网BRAS双机热备下VPDN的故障分析

2021-12-27赖彩明中国联通江西省分公司云网运营中心南昌市330096

江西通信科技 2021年4期

关键词：热备双机校园网

赖彩明中国联通江西省分公司云网运营中心南昌市 330096

王荣万贤平中国联通南昌市分公司云网运营中心南昌市 330000

0 概述

为实现资源整合、统一管理和集中维护，南昌各高校已逐步完成校园网数字化改造。校园网成为了一张大的局域网，拥有防火墙/路由器、BRAS、交换机、AAA等网络设备，学生能通过统一的身份认证访问校园内外相关资源。

网络故障的原因有很多，有可能是网络设备故障，也有可能是服务器系统故障，还有可能是软件故障，当出现网络故障时，网络管理员要收集故障信息，对故障进行逐步分析排查，及时恢复业务。

对于校园网来说，核心网络设备出现故障可能是最严重的问题，核心设备一旦宕机，直接影响校园全部用户，从故障的出现到业务恢复，少则几十分钟，从则几十小时，这将导致巨大的损失。

这时，双机热备就起着关键作用。双机热备特指基于高可用系统中的两台服务器的热备，故得名双机热备，双机高可用按工作中的切换方式分为：主-备方式（Active-Standby方式）和双主机方式（Active-Active方式），主-备方式即指的是一台服务器处于某种业务的激活状态（即Active状态），另一台服务器处于该业务的备用状态（即Standby状态)。而双主机方式通常指两种不同业务分别在两台服务器上互为主备状态（即Active-Standby和Standby-Active状态）。

因为BRAS在网络中起到了关键且不可替代的作用，所以在校园网中，最常见的热备方式就是对BRAS进行双机热备。

某高校核心网架构为防火墙+BRAS（双机热备）+交换机模式。其中，BRAS位于网络的二层与三层之间，向下完成业务汇聚和控制，向上数据路由转发，是校园网中的关键设备。在此类组网的实际维护中也可能会碰到一些问题，撰写本文的目的是通过分析校园网双机热备下的VPDN故障处理过程，以提升网络维护水平。

1 校园网组网

校园网核心层设备为2台防火墙，负责校园网出口流量的转发和NAT转换。汇聚层设备为2台ME60（BRAS），负责与AAA联动，用户IP地址分配等功能。ME60与防火墙交叉组网，同时以V字形组网并启用VRRP+BFD。BFD1监测peer状态，BFD2检测ME60-1的链路状态，BFD3检测ME60-2的链路状态。正常情况下，ME60-1为主，ME60-2为备。当ME60-1的下行链路出现故障，BFD1和BFD2会DOWN，ME60-1通过这监测两个BFD状态，由主用降为备用。同时，ME60-2监测到BFD1中断，BFD3正常，则由备用升为主用。

主设备优先级为200，如果当两条上行链路都断掉的话，优先级降为80，切换为备。同时对下行的链路track BFD PEER和LINK的状态监测。

两台ME60配置相同的IP地址池、QOS参数等信息，保证共有属性的一致性。对于用户信息，只需要IP路由可达，通过TCP协议进行备份。为解决PPPOE的radius认证精确绑定问题，VRRP+为NAS-PORT-ID和NAS-IP-Adress配置统一的虚拟标识，保证主备设备信息完全一致。

2 故障现象和处理过程

校园用户反映无法通过ME60拨号到远端LNS，现场测试用户端拨号不成功，用户停止在验证用户名密码状态后无反应。

通过在LNS侧抓包分析，发现LNS同终端用户完成LCP协商后，通过CHAP认证挑战请求用户，但此时又收到用户的LCP协商请求，所以LNS无法继续进行下一步流程。

通过在主BRAS上行口和LNS侧抓包对比，发现主ME60只发出一份，而LNS却能收到两份。考虑到两台ME60是双机热备组网，，因此另一份报文可能为备ME60发出去的，在备ME60上行口抓包确认发出了一份相同的报文。

我们继续在汇聚交换机分别与两台BRAS相连的上行链路抓包发现，发现交换机将原本只应该发送至主设备的报文同时发送至了备用设备，备用ME60将此报文正常转发到LNS，导致LNS收到2份相同的报文。在交换机上根据报文的目的MAC地址0000-03ea-eb84查看MAC转发表，确定该MAC从聚合口Eth-Trunk11学到，不存在MAC地址漂移。因此交换机应该按MAC转发表将此报文转发至Eth-Trunk11，在Eth-Trunk12上抓到该相同报文是不正常的。

通过与用户再次沟通，进一步了解到，学校近期将老校区出口割接到新校区校园网，接入用户数激增，导致交换机Slot2的MAC地址数量溢出。用户紧急联系设备厂家调配板卡并完成扩容后，业务恢复正常，故障解决。

3 分析总结

通过逐步分析，发现故障原因为交换机MAC超过阀值，用户侧上行单拨报文被泛洪到广播域所有端口。一般组网下MAC地址超阀，不影响业务（会增加广播包流量），但恰好学校组网为两台BRAS双机热备，备用BRAS收到上行报文后，通过同步的用户表项正常转发，导致LNS收到2份相同报文，认证失败。通过分析此案例，我们可以吸取经验，在日常维护中定期检查交换机板卡用户MAC数量，提前进行扩容。