BRAS设备的数据转发是硬件转发实现的，因此出问题的可能性比较低，一般如果反馈数据流量故障，比如限速不准，丢包，不通，需要确认故障用户是否在线，服务器授权的限速等属性是否正确，用户的数据流量是否到BRAS，如果这些都排查完成了，都没有问题，流量也确实到BRAS设备了，这时候就联系收集故障信息，并联系技术支持人员。

2.3 用户信息收集

现场业务故障的时候很多情况下光收集调试信息未必能马上确认现场业务的故障的原因，而用户急需恢复业务，不会给我们那么多时间急需定位，因此需要同步收集用户信息，目前我们用户信息收集的命令做的已经相对比较完善了。如果是单个用户故障则可以考虑只收集单个用户对应的模块用户信息，并且收集一部分正常用户的对应模块的用户信息进行对比分析。如果是多用户故障那就需要第一时间收集所有用户的信息，并联系技术支持人员。

用户信息收集分为两类，一类是在线用户表项信息收集，一类是异常下线原因用户的信息收集，下面就是分这两类介绍信息收集命令。

本章节涉及到的display命令中参数支持情况不严格与具体软、硬件版本对应，如果使用过程中与产品实际情况有差异，请以设备实际情况为准。

2.3.1 收集在线用户信息

这里主要收集的是用户在线信息，包括正常在线用户的信息，和临时用户信息，以及一些残留的用户信息。

在使用本章节的命令收集在线用户信息之前请务必查看相应命令手册，详细了解每个细分参数具体可能获取到的信息，这样在实际信息收集过程中才能够快速有效地收集到需要的信息。例如，如果查询单个用户的信息建议携带verbose参数，这样收集到的用户信息会更加全面。

1. 收集PPPoE模块信息

(1) 通过如下命令收集基于PPPoE接入的PPP用户的用户信息，一般以该命令收集为主。

<Sysname> display access-user user-type pppoe ?

> Redirect it to a file

>> Redirect it to a file in append mode

auth-type Specify a user by authentication type

count Display the total number of users

domain Specify users by ISP domain

interface Specify users by interface

ip-pool Specify users by an IP pool

ip-pool-group Specify users by an IP pool group

ip-type Specify users by IP type

ipv6-address-protocol Specify users by IPv6 address protocol

ipv6-pool Specify users by an IPv6 pool

ipv6-pool-group Specify users by an IPv6 pool group

lac-ip Specify users by the IP address of an LAC

lns-ip Specify users by the IP address of an LNS

mac-address Specify a user by MAC address

remote-name Specify users by the tunnel name

slot Specify the slot number

start-time Specify users by the start time of coming online

user-address-type Specify users by address type

user-group Specify users by a user group

username Specify a user by username

verbose Display detailed information about users

vpn-instance Specify a VPN instance

vxlan Specify users by a range of VXLANs

| Matching output

<cr>

(2) 通过如下命令收集基于PPPoE接入的PPPoE用户的用户信息，这个命令获取的信息和PPP调试获取的信息维度不同，是基于PPPoE收集的，所以用户信息比较少。

<Sysname> display pppoe-server ?

chasten PPPoE connection blocking

packet Packet statistics

session PPPoE session information

throttled-mac Throttled MAC information

2. 收集IPoE模块信息

(1) 通过如下命令收集IPoE的用户信息，也包括IPoE Web，可以通过参数来实现各种维度的收集

<Sysname> display access-user auth-type ?

admin Admin authentication

bind Bind authentication

dot1x 802.1X authentication

dvpn Dynamic VPN authentication

ike IKE authentication

mac-auth Mac authentication

portal Portal authentication

ppp PPP authentication

pre-auth Pre web authentication

sslvpn SSL VPN authentication

web-auth Web authentication

(2) IPoE bind认证用户信息收集命令如下。

<Sysname> display access-user auth-type bind ?

> Redirect it to a file

>> Redirect it to a file in append mode

count Display the total number of users

domain Specify users by ISP domain

interface Specify users by interface

ip-pool Specify users by an IP pool

ip-pool-group Specify users by an IP pool group

ip-type Specify users by IP type

ipv6-address-protocol Specify users by IPv6 address protocol

ipv6-pool Specify users by an IPv6 pool

ipv6-pool-group Specify users by an IPv6 pool group

lac-ip Specify users by the IP address of an LAC

lns-ip Specify users by the IP address of an LNS

mac-address Specify a user by MAC address

remote-name Specify users by the tunnel name

slot Specify the slot number

start-time Specify users by the start time of coming online

user-address-type Specify users by address type

user-group Specify users by a user group

user-type Specify users by type

username Specify a user by username

verbose Display detailed information about users

vpn-instance Specify a VPN instance

vxlan Specify users by a range of VXLANs

| Matching output

<cr>

3. 收集Portal模块信息

IPoE Web业务记录用户信息的是IPoE模块，因此Portal模块没有用户信息需要收集。

4. 收集L2TP模块信息

(1) L2TP隧道承载的稳态用户信息通过如下命令收集

<Sysname> display l2tp session ?

> Redirect it to a file

>> Redirect it to a file in append mode

lac Display L2TP session information of LAC

lns Display L2TP session information of LNS

local-address Specify sessions by the local IP address

remote-address Specify sessions by the remote IP address

statistics Statistics information

temporary L2TP temporary session information

tunnel-id Specify sessions by the specified local tunnel ID

username Specify sessions by the username

verbose Display detailed L2TP session information

| Matching output

<cr>

(2) L2TP隧道承载的非稳态用户信息通过如下命令收集

<Sysname> display l2tp session temporary ?

> Redirect it to a file

>> Redirect it to a file in append mode

| Matching output

<cr>

(3) L2TP隧道信息通过如下命令收集

<Sysname> display l2tp tunnel ?

> Redirect it to a file

>> Redirect it to a file in append mode

group-name Specify tunnels by the group name

group-number Specify tunnels by the group number

lac Display L2TP tunnel information of LAC

lns Display L2TP tunnel information of LNS

local-address Specify tunnels by the local IP address

remote-address Specify tunnels by the remote IP address

statistics Statistics information

tunnel-id Specify tunnels by the local L2TP tunnel ID

tunnel-name Specify tunnels by the remote tunnel name

verbose Display detailed L2TP tunnel information

vsrp L2TP VSRP tunnel information

| Matching output

<cr>

(4) LAC上通过如下命令收集L2TP接入的PPP用户的用户信息

<Sysname> display access-user user-type lac ?

> Redirect it to a file

>> Redirect it to a file in append mode

auth-type Specify a user by authentication type

count Display the total number of users

domain Specify users by ISP domain

interface Specify users by interface

ip-pool Specify users by an IP pool

ip-pool-group Specify users by an IP pool group

ip-type Specify users by IP type

ipv6-address-protocol Specify users by IPv6 address protocol

ipv6-pool Specify users by an IPv6 pool

ipv6-pool-group Specify users by an IPv6 pool group

lac-ip Specify users by the IP address of an LAC

lns-ip Specify users by the IP address of an LNS

mac-address Specify a user by MAC address

remote-name Specify users by the tunnel name

slot Specify the slot number

start-time Specify users by the start time of coming online

user-address-type Specify users by address type

user-group Specify users by a user group

username Specify a user by username

verbose Display detailed information about users

vpn-instance Specify a VPN instance

vxlan Specify users by a range of VXLANs

| Matching output

<cr>

(5) LNS上通过如下命令收集L2TP接入的PPP用户的用户信息

<Sysname> display access-user user-type lns ?

> Redirect it to a file

>> Redirect it to a file in append mode

auth-type Specify a user by authentication type

count Display the total number of users

domain Specify users by ISP domain

interface Specify users by interface

ip-pool Specify users by an IP pool

ip-pool-group Specify users by an IP pool group

ip-type Specify users by IP type

ipv6-address-protocol Specify users by IPv6 address protocol

ipv6-pool Specify users by an IPv6 pool

ipv6-pool-group Specify users by an IPv6 pool group

lac-ip Specify users by the IP address of an LAC

lns-ip Specify users by the IP address of an LNS

mac-address Specify a user by MAC address

remote-name Specify users by the tunnel name

slot Specify the slot number

start-time Specify users by the start time of coming online

user-address-type Specify users by address type

user-group Specify users by a user group

username Specify a user by username

verbose Display detailed information about users

vpn-instance Specify a VPN instance

vxlan Specify users by a range of VXLANs

| Matching output

<cr>

5. 收集DHCP模块信息

(1) 收集DHCP server可以分配的空闲地址信息

<Sysname> display dhcp server free-ip ?

> Redirect it to a file

>> Redirect it to a file in append mode

pool Specify a DHCP pool

vpn-instance Specify a VPN instance

| Matching output

<cr>

(2) 收集DHCP server已经分配出去在用的地址信息

<Sysname> display dhcp server ip-in-use ?

> Redirect it to a file

>> Redirect it to a file in append mode

interface Specify the interface

ip Specify an IP address

pool Specify a DHCP pool

subnet Specify s subnet

up-backup-group Specify a UPBACKUPGROUP

up-id Specify a UP Id

vpn-instance Specify a VPN instance

vxlan Specify a VXLAN

| Matching output

<cr>

(3) DHCP server超期链表记录的ip和mac的绑定信息

<Sysname> display dhcp server expired ?

> Redirect it to a file

>> Redirect it to a file in append mode

interface Specify the interface

ip Specify an IP address

mac Specify a MAC address

pool Specify a DHCP pool

up-backup-group Specify a UPBACKUPGROUP

up-id Specify a UP Id

verbose Detailed information

vpn-instance Specify a VPN instance

vxlan Specify a VXLAN

| Matching output

<cr>

(4) DHCP server冲突链表记录的ip和mac的绑定信息

<Sysname> display dhcp server conflict ?

> Redirect it to a file

>> Redirect it to a file in append mode

interface Specify the interface

ip Specify an IP address

up-backup-group Specify a UPBACKUPGROUP

up-id Specify a UP Id

vpn-instance Specify a VPN instance

vxlan Specify a VXLAN

| Matching output

<cr>

(5) DHCP relay记录DHCP中继的用户地址表项信息

<Sysname> display dhcp relay client-information ?

> Redirect it to a file

>> Redirect it to a file in append mode

interface Specify the interface

ip Specify an IP address

| Matching output

<cr>

6. 收集AAA模块信息

AAA模块用户相关的信息是没有对应的命令的，用户相关的信息都是由接入模块记录的。

2.3.2 收集异常下线用户信息

这里主要收集的是异常下线用户的相关信息，包括用户下线的原因，以及各个模块的协议报文交互计数，用来分析用户真正下线的原因。

在使用本章节的命令收集异常下线用户信息之前请务必查看相应命令手册，详细了解每个细分参数具体可能获取到的信息，这样在实际信息收集过程中才能够快速有效地收集到需要的信息。

1. 收集PPPoE模块信息

(1) 收集PPPoE的协商报文统计信息

<Sysname> display pppoe-server packet statistics ?

> Redirect it to a file

>> Redirect it to a file in append mode

slot Specify the slot number

| Matching output

<cr>

(2) 收集PPP的协商报文统计信息

<Sysname> display ppp packet statistics ?

> Redirect it to a file

>> Redirect it to a file in append mode

slot Specify the slot number

| Matching output

<cr>

(3) 收集PPP用户下线原因的统计信息

<Sysname> display aaa offline-record access-type ppp ?

> Redirect it to a file

>> Redirect it to a file in append mode

brief Display brief information

count Specify the number of records to be displayed

domain Specify an ISP domain

interface Specify an interface

ip Specify an IPv4 address

ipv6 Specify an IPv6 address

mac-address Specify a MAC address

s-vlan Specify a service provider network VLAN

slot Specify the slot number

username Specify a username

| Matching output

<cr>

2. 收集IPoE模块信息

(1) 收集异常下线DHCP接入用户的信息

<Sysname> display ip subscriber abnormal-logout ?

> Redirect it to a file

>> Redirect it to a file in append mode

interface Specify an interface

ip Specify the IP address

ip-type Specify users by IP type

ipv6 Specify the IPv6 address

mac Specify a MAC address

slot Specify the slot number

verbose Detailed information

| Matching output

<cr>

(2) 收集IPoE用户会话下线原因的统计信息。

<Sysname> display aaa offline-record access-type ipoe ?

> Redirect it to a file

>> Redirect it to a file in append mode

brief Display brief information

count Specify the number of records to be displayed

domain Specify an ISP domain

interface Specify an interface

ip Specify an IPv4 address

ipv6 Specify an IPv6 address

mac-address Specify a MAC address

s-vlan Specify a service provider network VLAN

slot Specify the slot number

username Specify a username

| Matching output

<cr>

(3) 收集IPoE用户的统计信息。

<Sysname> display access-user count ?

> Redirect it to a file

>> Redirect it to a file in append mode

| Matching output

<cr>

3. 收集L2TP模块信息

(1) 收集L2TP协议报文的统计信息。

<Sysname> display l2tp control-packet statistics ?

> Redirect it to a file

>> Redirect it to a file in append mode

summary Summary L2TP control packet statistics

tunnel L2TP control packet statistics of each tunnel

| Matching output

<cr>

(2) 收集L2TP的统计信息

<Sysname> display l2tp statistics ?

all All L2TP statistics

rdbm RedisDBM statistics

vsrp VSRP statistics

4. 收集DHCP模块信息

(1) 收集DHCP server的统计信息

<Sysname> display dhcp server statistics ?

> Redirect it to a file

>> Redirect it to a file in append mode

pool Specify a DHCP pool

vpn-instance Specify a VPN instance

| Matching output

<cr>

(2) 收集DHCP relay相关的统计信息

<Sysname> display dhcp relay packet statistics ?

> Redirect it to a file

>> Redirect it to a file in append mode

interface Specify the interface

| Matching output

<cr>

5. 收集AAA模块信息

(1) 通过AAA模块收集用户异常下线的记录。

<Sysname> display aaa abnormal-offline-record ?

> Redirect it to a file

>> Redirect it to a file in append mode

access-type Specify an access type

domain Specify an ISP domain

interface Specify an interface

ip Specify an IPv4 address

ipv6 Specify an IPv6 address

mac-address Specify a MAC address

offline-reason Specify a user offline reason

s-vlan Specify a service provider network VLAN

slot Specify the slot number

time Specify a time range

username Specify a username

| Matching output

<cr>

(2) 通过AAA模块收集用户正常下线的记录。

<Sysname> display aaa normal-offline-record ?

> Redirect it to a file

>> Redirect it to a file in append mode

access-type Specify an access type

domain Specify an ISP domain

interface Specify an interface

ip Specify an IPv4 address

ipv6 Specify an IPv6 address

mac-address Specify a MAC address

s-vlan Specify a service provider network VLAN

slot Specify the slot number

time Specify a time range

username Specify a username

| Matching output

<cr>

(3) 通过AAA模块收集用户下线的记录。

<Sysname> display aaa offline-record ?

> Redirect it to a file

>> Redirect it to a file in append mode

access-type Specify an access type

domain Specify an ISP domain

interface Specify an interface

ip Specify an IPv4 address

ipv6 Specify an IPv6 address

mac-address Specify a MAC address

s-vlan Specify a service provider network VLAN

slot Specify the slot number

time Specify a time range

username Specify a username

| Matching output

<cr>

(4) 通AAA模块收集用户上线的记录。

<Sysname> display aaa online-fail-record ?

> Redirect it to a file

>> Redirect it to a file in append mode

access-type Specify an access type

domain Specify an ISP domain

interface Specify an interface

ip Specify an IPv4 address

ipv6 Specify an IPv6 address

mac-address Specify a MAC address

s-vlan Specify a service provider network VLAN

slot Specify the slot number

time Specify a time range

username Specify a username

| Matching output

<cr>

(5) 通过AAA模块收集RADIUS报文的统计信息。

<Sysname> display radius statistics ?

> Redirect it to a file

>> Redirect it to a file in append mode

server Specify a RADIUS server

| Matching output

<cr>

(6) 通过radius模块收集RADIUS服务器的负载统计信息。

<Sysname> display radius server-load statistics ?

> Redirect it to a file

>> Redirect it to a file in append mode

| Matching output

<cr>

(7) 通过radius模块收集ISP域的在线接入用户统计信息。

<Sysname> display domain access-user statistics ?

> Redirect it to a file

>> Redirect it to a file in append mode

| Matching output

<cr>

3 BRAS业务故障处理导航

3.1 园区网应用故障处理导航

在园区网应用中，BRAS业务常见故障类型及处理措施如表2所示。

表2 园区网应用中的BRAS业务故障处理

故障类型	故障处理措施	适用产品
用户上线失败和异常下线故障处理	· PPPoE用户上线失败和异常下线故障处理 · L2TP用户上线失败和异常下线故障处理 · IPoE相关故障： ¡ IPoE用户上线失败和异常下线故障 ¡ IPoE DHCP用户上线失败和异常下线故障处理 ¡ IPoE NDRS用户上线失败和异常下线故障处理 ¡ IPoE静态用户上线失败和异常下线故障处理 ¡ IPoE Web用户无法上线故障处理	SR8800-X SR8800-X-S SR8800-F CR16000-F
NAT故障处理	接入用户与NAT联动故障处理	SR8800-X SR8800-X-S SR8800-F CR16000-F
转发故障处理	· NAT用户报文转发故障处理 · PPPoE转发故障处理 · L2TP转发故障处理 · IPoE转发故障处理	SR8800-X SR8800-X-S SR8800-F CR16000-F
用户无法上网或上网速率慢故障处理	· 用户获取到IP地址后上网慢故障处理 · 用户获取到IP地址后无法上网故障处理 · 用户流量转发丢包故障处理 · 大量用户上线速度慢故障处理	SR8800-X SR8800-X-S SR8800-F CR16000-F

3.2 运营商应用故障处理导航

· 对于转发与控制分离组网和一体化组网的通用故障处理，因故障处理步骤和思路是相同的，本手册仅以一体化组网为例进行介绍。

· 如果是转发与控制分离组网，在使用本手册进行故障定位之前请务必查看vBRAS-CP产品手册，详细了解转发与控制分离组网架构（具体为产品手册“转发与控制分离业务配置指导”中的“转发与控制分离系统概述”）和各个业务模块的配置差异（如DHCP、L2TP等），这样在实际排障过程中才能够快速有效地使用本手册进行故障处理。

· 对于转发与控制分离组网中，本手册涉及到的BRAS功能命令如无特殊说明均是指CP上执行的命令。

在运营商应用中，BRAS业务常见故障类型及处理措施如表3所示。

表3 运营商应用中的BRAS业务故障处理

故障类型	故障处理措施	适用产品
用户上线失败和异常下线故障处理	· PPPoE用户上线失败和异常下线故障处理 · L2TP用户上线失败和异常下线故障处理 · IPoE相关故障： ¡ IPoE用户上线失败和异常下线故障 ¡ IPoE DHCP用户上线失败和异常下线故障处理 ¡ IPoE NDRS用户上线失败和异常下线故障处理 ¡ IPoE静态用户上线失败和异常下线故障处理 ¡ IPoE Web用户无法上线故障处理	CR16000-F SR8800-F vBRAS-CP
NAT故障处理	接入用户与NAT联动故障处理	CR16000-F SR8800-F vBRAS-CP
转发故障处理	· NAT用户报文转发故障处理 · PPPoE转发故障处理 · L2TP转发故障处理 · IPoE转发故障处理	CR16000-F SR8800-F vBRAS-CP
用户无法上网或上网速率慢故障处理	· 用户获取到IP地址后上网慢故障处理 · 用户获取到IP地址后无法上网故障处理 · 用户流量转发丢包故障处理 · 大量用户上线速度慢故障处理	CR16000-F SR8800-F vBRAS-CP
转控分离组网应用下特有故障处理	· 转控分离组网中用户无法上线障故障处理 · CP-UP连接管理相关故障： ¡ CP-UP间通道故障探测 ¡ CP和UP之间的管理通道创建失败 ¡ CP和UP之间的管理通道报文转发异常 ¡ CP和UP之间的控制通道创建失败 ¡ CP和UP之间的控制通道报文转发异常 ¡ CP和UP之间的协议通道创建失败 ¡ CP和UP之间的协议通道报文转发异常 · 弹性伸缩相关故障： ¡ 对VM手动扩缩容失败 ¡ 对VM自动扩缩容失败 · CP异地容灾故障处理 · UP备份相关故障： ¡ 主备接口故障或发生切换 ¡ 主备接口切换耗时长 ¡ UP侧出现双主接口 ¡ UP侧出现双备接口 · 虚拟机部署失败故障处理 · VM无法注册故障处理 · VM CPU控制核占用率高故障处理	CR16000-F SR8800-F vBRAS-CP

4 用户上线失败和异常下线故障处理

4.1 PPPoE用户上线失败和异常下线故障处理

1. 故障描述

PPPoE用户上线失败或异常下线。

2. 常见原因

本类故障的常见原因主要包括：

· 用户输入的用户名/密码错误。

· 用户连续认证失败次数达到允许的最大值被设备静默，当前还处于静默期。

· 配置错误。例如未配置IP地址池或配置的IP地址池中IP地址已耗尽等原因导致用户无法获取IP地址。

· 用户已欠费。

3. 故障分析

本类故障的诊断流程如图2所示：

图2 PPPoE用户上线失败和异常下线故障诊断流程图

4. 处理步骤

(1) 查看PPPoE用户上线失败原因。

执行命令display aaa online-fail-record查看用户上线失败原因。

<Sysname> display aaa online-fail-record username aaa

Username: aaa

Domain: test

MAC address: 0010-9400-0007

Access type: PPPoE

Access interface: Ten-GigabitEthernet3/1/1

SVLAN/CVLAN: -/-

IP address: -

IPv6 address: -

Online request time: 2019/09/23 14:57:06

Online failure reason: PPP negotiation terminated.

其中Online failure reason显示的是用户上线失败的原因，根据原因可以大概判断故障，为后面的具体定位提供指引。请根据显示的原因查找“9.2 用户上线失败原因和异常下线原因”并按对应原因的处理方法排错。

有些原因是可以直接通过检查配置解决问题的，如Authentication method error、Local authentication request was rejected等。有些上线失败的原因里无法看到记录，请继续执行下一步。

(2) 查看PPPoE用户下线原因。

如果通过步骤1没有查看到用户上线失败原因，可能是用户上线成功后又被下线，此时通过执行display aaa offline-record命令查看用户下线原因进行定位。

<Sysname> display aaa online-fail-record username aaa

Username: aaa

Domain: test

MAC address: 0010-9400-0007

Access type: PPPoE

Access interface: Ten-GigabitEthernet3/1/1

SVLAN/CVLAN: -/-

IP address: 1.1.1.1

IPv6 address: -

Online request time: 2019/09/23 14:57:06

Online failure reason: ppp user request

如果用户上线之后又被下线，会通过Offline reason字段生成用户下线原因，根据此原因可以大概判断故障，为后面的具体定位提个指引。

请根据显示的原因查找“9.2 用户上线失败原因和异常下线原因”并按对应原因的处理方法排错。

如果无法通过display aaa offline-record命令查看用户下线原因，请继续执行下一步。

(3) 检查PPPoE用户相关配置是否正确。

请参考BRAS产品手册排查配置，例如参考相应模块配置手册中“配置任务简介”或“配置举例”进行排查。

¡ 如果配置错误，请更正配置后再尝试上线。

¡ 如果配置正确，但故障仍存在，则继续执行下一行。

(4) 检查用户是否被PPP静默抑制。

执行命令display ppp chasten user命令查看该用户是否被PPP静默抑制。

¡ 如果用户被静默抑制，根据显示的信息，待静默用户的剩余老化时间超时后，重新拨号。

¡ 如果用户没有被抑制，请继续执行下一步。

(5) 打开业务跟踪消息。

使用命令trace access-user打开用户的业务跟踪功能进行用户上线测试，在用户上线过程结束后，查看业务跟踪的消息报文。如果设备没有收到PADI或PADR报文，请检查二层网络是否可达、端口状态是否正常、接入类型是否是二层用户、认证方式是否包括PPP、接口下是否绑定了虚模板等。

(6) 检查用户是否被PPPoE静默抑制。

执行命令display pppoe-server chasten user命令查看该用户是否被PPPoE静默抑制。

¡ 如果用户被抑制，根据显示的信息，待静默用户的剩余老化时间超时后，重新拨号。

¡ 如果用户没有被抑制，请继续执行下一步。

(7) 检查设备故障。

如果出现看不到用户任何业务跟踪消息的情况，请检查以下配置：

¡ 确保设备物理连接均正常。

¡ 确保设备上相应的配置均正确无误。

¡ 确保二层网络配置正确。

¡ 确保报文可以到达设备。

可在Probe视图下执行display hardware internal rxtx packet statistic命令查看产品驱动收发包统计信息，检查用户报文是否上送至BRAS设备。（非vBRAS-CP设备）

在转发与控制分离组网，查看用户报文是否上送至BRAS设备的方法，请参见“8.1 转控分离组网中用户无法上线障故障处理”。

<Sysname> system-view

[Sysname-probe] probe

[Sysname-probe] display hardware internal rxtx packet statistic slot 3 cpu 0

Net port packet loss count:

code counter

Rx packets statistic:

counter success rate

NET ->RXTX : 171883335 171554546 342 pps

Cpu code input list:(Mgment to L1 queue)

code counter success(whitelist/normal)

5 14475 14475(0/14475)

6 2308 2308(0/2308)

17 262 262(0/262)

26 1013133 986703(0/986703)

30 6014064 6014064(0/6014064)

35 282 282(0/282)

37 79280 79280(0/79280)

43 2423 2423(0/2423)

44 44438 44438(0/44438)

45 1181 1181(0/1181)

49 60638 60638(0/60638)

50 25 25(0/25)

51 60361 60361(0/60361)

52 496 496(0/496)

53 115767 115767(115726/41)

54 83228 83228(83228/0)

61 191235 191235(0/191235)

77 12007 11988(0/11988)

99 6041569 6041569(0/6041569)

106 30 30(0/30)

149 158129148 157826808(0/157826808)

175 16985 16985(16979/6)

Callback function packets statistic:

total(r) success(r) total(c) success(c)

MACL: 0 0 0 0

NATL: 0 0 0 0

BFD: 0 0 0 0

(null): 0 0 0 0

Task input pkt statistics:

Task name total success

Main Task : 165540452 165540452

Icmp Task : 30 30

Cpu code input list:(L2 queue to platform)

code counter success drop rate

5 14475 14475 0 0

6 2308 2308 0 0

17 262 262 0 0

26 986703 986703 0 1

35 282 282 0 0

37 79280 79280 0 0

43 2423 2423 0 0

44 44438 44438 0 0

45 1181 1181 0 0

49 60638 60638 0 0

50 25 25 0 0

51 60361 60361 0 0

52 496 496 0 0

53 115767 115767 0 0

54 83228 83228 0 0

61 191235 191235 0 0

77 11988 11988 0 0

99 6041569 6041569 0 12

106 30 30 0 0

149 157826808 157826808 0 314

175 16985 16985 0 0

Cpu code to protocol:

5 ARP_REQ_LOCAL

6 ARP_REL

17 ARP_REQ

26 PPPOE

30 DIAG

35 ND_NA

37 LLDP,CDP

43 ND_NS

44 ND_RS

45 ND_RA

49 OSPF_HELLO,OSPF_LSU,OSPF_LSACK

50 OSPF_DD,OSPF_LSR

51 OSPFV3_HELLO,OSPFV3_LSU,OSPFV3_LSACK

52 OSPFV3_DD,OSPFV3_LSR

53 LDP_HELLO

54 LDP_NOTIF,LDP_INIT,LDP_KPALV,LDP_ADDR,LDP_LABEL

61 DHCP_IPOE,DHCP_SNOOPING,DHCP,DHCPv6_RELAY,DHCPv6_RELS,DHCPv6_SERV

77 IP_SUBNET

99 PPPOE_PPP

106 ICMP,ICMPV6

149 L2TP

175 APP_TELNET

Debug packets statistic:

counter counter rate

NET->RXTX->SERVICE: 0 0 0 pps

SERVICE->RXTX->NET: 0 0 0 pps

failed

MbufTrSend: 0

FoundIfindex: 0

SaveCoreSta: 0

MainCoreSta: 0

TxFailedSta: 0

26和99表示PPPoE、PPPoE_PPP，若26和99收包计数有增加则表示设备已收到PPP/PPPoE报文并已上送平台，可以通过转发的调试开关逐步排查报文丢弃在哪个一层，若此计数没有增加，则执行display hardware internal np pktcnt drop命令查看驱动是否有丢包计数。

<Sysname> system-view

[Sysname-probe] probe

[Sysname-probe] display hardware internal np pktcnt drop slot 3 （不同产品查看丢包计数的命令不太相同）

Current Mcode Type: SIRIUS_RELEASE

The NP 0 is Both NP

Drop packet statistics

32B7 116497 TOPparse total discarded pkts

350F 916677 TOPresolve total discarded pkts

51A 66 PRS Ingress route interface deny L2 forward

56B 384 PRS Ingress Route interface deny L2 forward

63C 403633 RSV Ingress ARP packet FTN or BROADCAST table no ma

tch

63E 372789 RSV Ingress PROTOCOL_MAC and BROADCAST table no mat

641 161878 RSV Ingress PROTOCOL_MAC.THB is set, but BROADCAST

table no match

645 149489 RSV Ingress multicast, MULTICAST.DROP is set

646 144150 RSV Ingress multicast, match MULTICAST default entr

y, but BROADCAST table no match

663 4 RSV Ingress broadcast packets from route port, PROT

OCOL_PORT table no match

若有丢包计数持续增加，则根据丢包原因分析可能问题。

若丢包计数没有增加，报文上送CPU的计数也没有增加，则说明报文没有成功上送至BRAS设备，请收集故障信息并联系技术支持。

只要保证上述配置均是正确的，则通过业务跟踪功能一定可以看到跟踪消息。

如果确认用户上线失败原因是配置问题，请根据跟踪消息检查相应的本地配置。

¡ 对于采用RADIUS认证的用户，需要检查是否正确配置了RADIUS服务器，RADIUS服务器状态是否正常。

¡ 对于采用本地认证的用户，需要检查本地帐号的配置是否正确且没有接入数限制等。

(8) 判断LCP协商是否通过。

可以通过分别在BRAS设备和客户端上（客户端可采用抓包方式）获取协商报文统计信息进行判断，这样可以很快地定位出LCP协商失败是设备的原因还是客户端的原因，或是设备间的配合问题。

<Sysname> display ppp packet statistics

PPP packet statistics in slot 97:

-----------------------------------LCP--------------------------------------

SEND_LCP_CON_REQ : 6185 RECV_LCP_CON_REQ : 6177

SEND_LCP_CON_NAK : 0 RECV_LCP_CON_NAK : 0

SEND_LCP_CON_REJ : 0 RECV_LCP_CON_REJ : 0

SEND_LCP_CON_ACK : 6177 RECV_LCP_CON_ACK : 6000

SEND_LCP_CODE_REJ : 0 RECV_LCP_CODE_REJ : 0

SEND_LCP_PROT_REJ : 0 RECV_LCP_PROT_REJ : 0

SEND_LCP_TERM_REQ : 0 RECV_LCP_TERM_REQ : 0

SEND_LCP_TERM_ACK : 0 RECV_LCP_TERM_ACK : 0

SEND_LCP_ECHO_REQ : 0 RECV_LCP_ECHO_REQ : 0

SEND_LCP_ECHO_REP : 0 RECV_LCP_ECHO_REP : 0

SEND_LCP_FAIL : 0 SEND_LCP_CON_REQ_RETRAN : 185

-----------------------------------IPCP-------------------------------------

SEND_IPCP_CON_REQ : 0 RECV_IPCP_CON_REQ : 0

SEND_IPCP_CON_NAK : 0 RECV_IPCP_CON_NAK : 0

SEND_IPCP_CON_REJ : 0 RECV_IPCP_CON_REJ : 0

SEND_IPCP_CON_ACK : 0 RECV_IPCP_CON_ACK : 0

SEND_IPCP_CODE_REJ : 0 RECV_IPCP_CODE_REJ : 0

SEND_IPCP_PROT_REJ : 0 RECV_IPCP_PROT_REJ : 0

SEND_IPCP_TERM_REQ : 0 RECV_IPCP_TERM_REQ : 0

SEND_IPCP_TERM_ACK : 0 RECV_IPCP_TERM_ACK : 0

SEND_IPCP_FAIL : 0

-----------------------------------IPV6CP-----------------------------------

SEND_IPV6CP_CON_REQ : 0 RECV_IPV6CP_CON_REQ : 0

SEND_IPV6CP_CON_NAK : 0 RECV_IPV6CP_CON_NAK : 0

SEND_IPV6CP_CON_REJ : 0 RECV_IPV6CP_CON_REJ : 0

SEND_IPV6CP_CON_ACK : 0 RECV_IPV6CP_CON_ACK : 0

SEND_IPV6CP_CODE_REJ : 0 RECV_IPV6CP_CODE_REJ : 0

SEND_IPV6CP_PROT_REJ : 0 RECV_IPV6CP_PROT_REJ : 0

SEND_IPV6CP_TERM_REQ : 0 RECV_IPV6CP_TERM_REQ : 0

SEND_IPV6CP_TERM_ACK : 0 RECV_IPV6CP_TERM_ACK : 0

SEND_IPV6CP_FAIL : 0

-----------------------------------OSICP------------------------------------

SEND_OSICP_CON_REQ : 0 RECV_OSICP_CON_REQ : 0

SEND_OSICP_CON_NAK : 0 RECV_OSICP_CON_NAK : 0

SEND_OSICP_CON_REJ : 0 RECV_OSICP_CON_REJ : 0

SEND_OSICP_CON_ACK : 0 RECV_OSICP_CON_ACK : 0

SEND_OSICP_CODE_REJ : 0 RECV_OSICP_CODE_REJ : 0

SEND_OSICP_PROT_REJ : 0 RECV_OSICP_PROT_REJ : 0

SEND_OSICP_TERM_REQ : 0 RECV_OSICP_TERM_REQ : 0

SEND_OSICP_TERM_ACK : 0 RECV_OSICP_TERM_ACK : 0

SEND_OSICP_FAIL : 0

-----------------------------------MPLSCP-----------------------------------

SEND_MPLSCP_CON_REQ : 0 RECV_MPLSCP_CON_REQ : 0

SEND_MPLSCP_CON_NAK : 0 RECV_MPLSCP_CON_NAK : 0

SEND_MPLSCP_CON_REJ : 0 RECV_MPLSCP_CON_REJ : 0

SEND_MPLSCP_CON_ACK : 0 RECV_MPLSCP_CON_ACK : 0

SEND_MPLSCP_CODE_REJ : 0 RECV_MPLSCP_CODE_REJ : 0

SEND_MPLSCP_PROT_REJ : 0 RECV_MPLSCP_PROT_REJ : 0

SEND_MPLSCP_TERM_REQ : 0 RECV_MPLSCP_TERM_REQ : 0

SEND_MPLSCP_TERM_ACK : 0 RECV_MPLSCP_TERM_ACK : 0

SEND_MPLSCP_FAIL : 0

-----------------------------------AUTH-------------------------------------

SEND_PAP_AUTH_REQ : 0 RECV_PAP_AUTH_REQ : 6000

SEND_PAP_AUTH_ACK : 0 RECV_PAP_AUTH_ACK : 0

SEND_PAP_AUTH_NAK : 0 RECV_PAP_AUTH_NAK : 0

SEND_CHAP_AUTH_CHALLENGE: 0 RECV_CHAP_AUTH_CHALLENGE: 0

SEND_CHAP_AUTH_RESPONSE : 0 RECV_CHAP_AUTH_RESPONSE : 0

SEND_CHAP_AUTH_ACK : 0 RECV_CHAP_AUTH_ACK : 0

SEND_CHAP_AUTH_NAK : 0 RECV_CHAP_AUTH_NAK : 0

SEND_PAP_AUTH_FAIL : 0 SEND_CHAP_AUTH_FAIL : 0

比较常见的故障现象：

¡ 某些PPPoE客户端在LCP协商过程中，发送了config-request报文，设备响应并发送config-nak/config-reject报文，此时客户端应当根据设备响应报文修改相应config-request报文中的属性值，但客户端可能一直不改变这些协商属性导致协商失败。这种情况可通过抓包或执行debugging ppp all命令打开调试开关查看什么属性导致协商失败，并针对该属性检查相应配置，确保配置正确。如无法解决该问题，请联系技术支持人员。

¡ 设备配置了CHAP(Challenge-Handshake Authentication Protocol)验证，但客户端只支持PAP验证，所以LCP协商一直不通过导致失败等。这种情况需要在设备上更改CHAP验证为PAP验证。

(9) 判断认证是否通过。

如果是本地认证，认证失败的原因可能是本地帐号不存在、认证域未激活、帐号未激活、帐号类型不一致、接入限制等。

如果是RADIUS认证，认证失败的原因可能是设备没有收到RADIUS回应报文，或者RADIUS认证拒绝。

(10) 判断NCP协商是否通过。

NCP在PPPoE中一般只进行地址的协商，所以NCP协商失败也就是地址协商失败。可以按照本地分配地址、RADIUS分配地址及DHCP分配地址情况，检查相关配置。

如果配置了NAT联动，请参见“5 NAT故障处理”进行NAT故障排查。

(11) 判断计费是否正常。

如果这时用户仍无法上线，则可能是计费故障，最常见的是开始计费失败，此时需要检查设备与AAA服务器之间路由是否可达，以及AAA服务器计费功能配置是否正确。

(12) 如果故障仍然未能排除，请收集如下信息，并联系技术支持人员。

¡ 上述步骤的执行结果。

¡ 设备的配置文件、日志信息、告警信息。

4.2 L2TP用户上线失败和异常下线故障处理

1. 故障描述

L2TP用户上线失败或异常下线。

2. 常见原因

本类故障的常见原因主要包括：

· LAC与LNS之间网络层转发不通。

· LAC与LNS之间建立隧道的业务板不支持L2TP功能。

· LAC或LNS未正常使能L2TP。

· LAC和LNS的L2TP组及属性配置不匹配。

· LAC和LNS的隧道认证方式或密码不一致。

· LAC端PPPoE接入业务故障。

· LAC和LNS端PPP认证方式不一致。

· LNS端配置了对应LAC类型的L2TP组，导致当前设备的角色变成了同时作为LNS和LAC的LTS（L2TP Tunnel Switch，L2TP隧道交换）设备。

· LNS端IP地址池配置错误，未对用户分配正确的IP地址。

3. 故障分析

本类故障的诊断流程如图3所示：

图3 L2TP用户上线失败和异常下线故障诊断流程图

4. 处理步骤

(1) 检查LAC端PPPoE接入业务是否正常。

具体方法可参见“4.1 PPPoE用户上线失败和异常下线故障处理”。

如果PPPoE接入业务正常，而故障现象仍未消除，请继续执行下一步。

(2) 在LNS端查看L2TP用户上下线失败原因。

¡ 执行命令display aaa online-fail-record查看用户上线失败原因。其中Online failure reason显示的是用户上线失败的原因，根据原因可以大概判断故障，为后面的具体定位提供指引。

¡ 如果没有查看到用户上线失败原因，可能是用户上线成功后又被下线，此时通过执行display aaa offline-record命令查看用户下线原因进行定位。如果无法通过display aaa offline-record命令查看用户下线原因，请继续执行下一步。

(3) 检查LAC端是否可以ping通LNS。

¡ 如果可以ping通，说明LAC和LNS之间网络层连通正常，请继续执行下一步。

¡ 如果ping不通，请检查LAC和LNS之间的网络层连通性。

(4) 检查LAC和LNS端建立隧道的业务板是否支持L2TP功能。

在LAC和LNS端分别执行display device命令，查看建立L2TP隧道的业务板类型。

¡ 如果是支持L2TP功能的业务板类型，请继续执行下一步。

¡ 如果不是支持L2TP功能的业务板类型，请结合组网应用情况，评估是否允许调整组网，组网调整完成后如果故障现象仍未消除，请继续执行下一步。

(5) 检查LAC和LNS端是否使能了L2TP。

在LAC和LNS端分别执行display current-configuration命令，查看结果中是否显示“l2tp enable”。

¡ 如果显示“l2tp enable”，则说明L2TP已经被正确使能，请继续执行下一步。

¡ 如果未显示“l2tp enable”，则需要在设备上配置l2tp enable命令使能L2TP，配置完成后如果故障现象仍未消除，请继续执行下一步。

(6) 检查LAC端和LNS端L2TP组配置的属性是否正确。

¡ LAC端

在LAC端上执行display l2tp-group verbose命令，查看显示信息中“LNS IP”项，确认所指定的LNS地址是否与实际的LNS端地址一致。如果地址不一致，需要通过lns-ip命令将地址配置成一致。

¡ LNS端

在LNS端上执行display l2tp-group verbose命令，查看如下三项：

- 显示信息中“Remote tunnel name”项，确认LNS端L2TP组中配置的Tunnel名称是否与LAC端配置的名称一致。

- 显示信息中“Local IP address”项，确认是否与LAC端lns-ip配置的地址一致。

- 显示信息中“VT number”项，查看绑定的虚模板是否为隧道接口的虚拟模板。如果不一致，需要在L2TP组视图下通过allow l2tp命令配置成一致。

上述L2TP组属性均设置正确后如果故障现象仍未消除，请继续执行下一步。

(7) 检查LAC和LNS端是否正确配置了隧道验证和相符的验证密码。

在LAC端和LNS端分别执行display l2tp-group verbose命令，查看“Tunnel auth”项，查看隧道两端的验证方案是否一致。如果不一致，则需要在L2TP组视图下通过tunnel authentication命令配置一致。

¡ 如果配置了隧道认证，需要确认在LAC和LNS端所配置的密码一致，如果不一致，需要在L2TP组视图下通过tunnel password命令进行设置。

¡ 如果隧道两端的认证方式和密码均一致，而故障现象仍未消除，请继续执行下一步。

(8) 检查LAC和LNS端PPP认证方式是否一致。

在LAC和LNS端分别执行display current-configuration interface virtual-template number命令，查看结果中显示的“ppp authentication-mode”是否一致。

¡ 如果显示不一致，请通过interface virtual-template命令进入虚拟模板接口视图，通过ppp authentication-mode命令配置认证方式。

¡ 如果显示一致，请继续执行下一步。

(9) 检查LNS端是否存在对应的LAC类型的L2TP组。

在LNS端查看LAC类型的l2tp-group组，查看建立隧道触发条件user项配置。

¡ 如果不存在与LAC端相同的建立隧道触发条件，请继续执行下一步。

¡ 如果存在与LAC端相同的建立隧道触发条件，请通过undo user命令删除，配置删除后，如果障现象仍未消除，请继续执行下一步。

(10) 检查用户是否分配到IP地址。

¡ 如果用户未分配到IP地址，需要在LNS上配置正确的地址池。

¡ 如果用户分配到正确的IP地址，而故障现象仍未消除，请继续执行下一步。

(11) 如果故障仍然未能排除，请收集如下信息，并联系技术支持人员。

¡ 上述步骤的执行结果。

¡ 设备的配置文件、日志信息、告警信息。

4.3 IPoE用户上线失败和异常下线故障

本章主要介绍IPoE用户无法上线的通用故障的定位方法。DHCP用户、NDRS用户、静态用户、IPoE web用户的详细故障定位方法，具体请参见相应章节的故障处理。

1. 故障描述

IPoE用户上线失败或异常下线。

2. 常见原因

本类故障的常见原因主要包括：

· 认证域配置错误导致认证失败。

· IP地址池或DHCP服务器配置错误导致无法获取IP地址。

3. 故障分析

本类故障的诊断流程如图4所示：

图4 IPoE用户上线失败和异常下线故障诊断流程图

4. 处理步骤

(1) 查看IPoE用户上线失败原因。

执行命令display aaa online-fail-record查看用户上线失败原因。

<Sysname> display aaa online-fail-record username aaa

Username: aaa

Domain: test

MAC address: 0010-9400-0007

Access type: IPoE

Access interface: Ten-GigabitEthernet3/1/1

SVLAN/CVLAN: -/-

IP address: -

IPv6 address: -

Online request time: 2019/09/23 14:57:06

Online failure reason: DHCP with server no response

其中Online failure reason显示的是用户上线失败的原因，根据原因可以大概判断故障，为后面的具体定位提供指引。

请根据显示的原因查找“9.2 用户上线失败原因和异常下线原因”并按对应原因的处理方法排错。

(2) 查看IPoE用户下线原因。

如果通过步骤1没有查看到用户上线失败原因，可能是用户上线成功后又被下线，此时通过执行display aaa offline-record命令查看用户下线原因进行定位。

如果用户上线之后又被下线，会通过Offline reason字段生成用户下线原因，根据此原因可以大概判断故障，为后面的具体定位提个指引。

请根据显示的原因查找“9.2 用户上线失败原因和异常下线原因”并按对应原因的处理方法排错。

如果无法通过display aaa offline-record命令查看用户下线原因，请继续执行下一步。

(3) 检查用户是否通过认证。

¡ 如果用户未通过认证，请根据IPoE认证方式，检查所使用的认证域相关配置。

¡ 如果用户通过了认证，请继续执行下一步。

(4) 检查用户是否获取IP地址。

¡ 如果用户未获取到IP地址，请检查IP地址池或DHCP服务器配置，例如DHCP服务是否开启等。

¡ 如果用户获取到IP地址，请继续执行下一步。

(5) 打开业务跟踪功能，通过跟踪用户上线过程来定位故障。

(6) 如果故障仍然未能排除，请收集如下信息，并联系技术支持人员。

¡ 上述步骤的执行结果。

¡ 设备的配置文件、日志信息、告警信息。

4.4 IPoE DHCP用户上线失败和异常下线故障处理

1. 故障描述

IPoE DHCP用户上线失败或异常下线。

2. 常见原因

本类故障的常见原因主要包括：

· 配置错误，比如上线DHCPv6用户，上线接口IPv6网络层没有UP、接口没有配置M标记等。

· DHCP用户尝试上线失败（包括认证失败等）。

· DHCP用户上线成功后被下线。

· DHCP用户被抑制。

· DHCP用户报文未上送成功。

3. 故障分析

本类故障的诊断流程如图5所示：

图5 IPoE DHCP用户上线失败和异常下线故障诊断流程图

4. 处理步骤

(1) 查看IPoE DHCP用户上线失败原因。

执行命令display aaa online-fail-record命令查看用户上线失败原因。

<Sysname> display aaa online-fail-record

Total count: 108

Username: 001094500021

Domain: dm1

MAC address: 0010-9450-0021

Access type: IPoE

Access UP ID: 1354

Access interface: XGE3/1/1

SVLAN/CVLAN: -/-

IP address: -

IPv6 address: -

Online request time: 2021/08/15 07:38:15

Online failure reason: DHCP with server no response

Online failure reason字段显示的是用户上线失败原因，如果DHCP用户报文已上送，此处会通过Online fail reason字段生成用户上线失败原因，根据原因可以大概判断故障，为后面的具体定位提供指引。

请根据显示的原因查找“9.2 用户上线失败原因和异常下线原因”并按对应原因的处理方法排错。

(2) 查看IPoE DHCP用户下线原因。

如果通过步骤1没有查看到用户上线失败原因，可能是用户上线成功后又被下线，此时通过执行display aaa offline-record命令查看用户下线原因进行定位。

<Sysname> display aaa offline-record

Total count: 4

Username: 001094500021

Domain: dm1

MAC address: 0010-9450-0021

Access type: IPoE

Access UP ID: 1354

Access interface: XGE3/1/1

SVLAN/CVLAN: -/-

IP address: 9.0.3.1

IPv6 address: -

Online request time: 2021/08/15 08:05:17

Offline time: 2021/08/15 08:09:08

Offline reason: dhcp release

如果用户上线之后又被下线，会通过Offline reason字段生成用户下线原因，根据此原因可以大概判断故障，为后面的具体定位提个指引。

请根据显示的原因查找“9.2 用户上线失败原因和异常下线原因”并按对应原因的处理方法排错。

如果无法通过display aaa offline-record命令查看用户下线原因，请继续执行下一步。

(3) 检查IPoE DHCP用户相关配置是否正确。

请参考BRAS产品手册排查配置，例如参考相应模块配置手册中“配置任务简介”或“配置举例”进行排查。

¡ 如果配置错误，请更正配置后再尝试上线。

¡ 如果配置正确，但故障仍存在，则继续执行下一行。

(4) 查看用户是否被静默抑制。

请从如下角度进行故障排查：

¡ 执行display ip subscriber chasten user quiet命令查看用户是否被静默抑制。如果用户被静默抑制，只需等待用户静默抑制老化后重新拔号上线即可。

¡ 执行display dhcp interface-rate-suppression命令查看用户是否被DHCP接口攻击抑制。如果State字段显示为“Restrain”，则表示用户被静默抑制，则需要考虑是否客户端存在DHCP报文多发情况，请结合现网情况通过dhcp interface-rate-suppression threshold命令合理调整DHCP接口攻击抑制阈值，以避免用户频繁被抑制。

若用户没有被静默抑制，则需要考虑是否是协议报文在上送过程中存在丢失情况，排查报文是否上送BRAS相关模块。

(5) 查看DHCP相关模块是否收到报文。

执行display dhcp-access packet statistics命令查看用户发送的DHCP协议报文是否到达BRAS设备，以排查DHCP协议报文丢失的阶段，然后再根据丢弃的原因进行故障定位。

<Sysname> display dhcp-access packet statistics

Received packets

Received from clients : 32

DHCPDISCOVER : 24

DHCPREQUEST : 4

DHCPDECLINE : 0

DHCPRELEASE : 4

DHCPINFORM : 0

Received from servers : 8

DHCPOFFER : 4

DHCPACK : 4

DHCPNAK : 0

Sent packets

Send to clients : 8

DHCPOFFER : 4

DHCPACK : 4

DHCPNAK : 0

Send to servers : 148135

DHCPDISCOVER : 148127

DHCPREQUEST : 4

DHCPDECLINE : 0

DHCPRELEASE : 4

回显中DHCPDISCOVER字段表示DHCP Discover报文上送到DHCP模块的计数，若此计数有增长，表示报文已上送到DHCP模块，此时可执行下列命令打开业务跟踪消息，根据跟踪消息进行故障定位，并搜集业务跟踪的消息。

¡ 执行命令trace access-user打开用户的业务跟踪。

¡ 执行debugging dhcp server packet命令打开DHCP协议报文调试开关。

¡ 执行terminal debugging命令和terminal monitor打开命令行用户终端显示功能。

若计数没有增长，则在用户视图下执行debugging ip subscriber all命令打开IPoE模块的调试开关，查看IPoE接入模块是否收到报文，若IPoE接入模块已收到报文但是将报文丢弃，则根据调试信息详细分析原因。若IPoE接口模块并没有收到报文，则继续执行下一步。

(6) 检查用户报文是否上送至BRAS设备。

Probe视图下执行display hardware internal rxtx packet statistic命令查看产品驱动收发包统计信息。（非vBRAS-CP设备）

在转发与控制分离组网，查看用户报文是否上送至BRAS设备的方法，请参见“8.1 转控分离组网中用户无法上线障故障处理”。

<Sysname> system-view

[Sysname-probe] probe

[Sysname-probe] display hardware internal rxtx packet statistic slot 3 cpu 0

Net port packet loss count:

code counter

Rx packets statistic:

counter success rate

NET ->RXTX : 3177780 3177780 9 pps

Cpu code input list:(Mgment to L1 queue)

code counter success(whitelist/normal)

5 2057 2057(0/2057)

6 2077 2077(0/2077)

17 98 98(0/98)

18 48 48(0/48)

30 2091197 2091197(0/2091197)

35 573 573(0/573)

43 565 565(0/565)

45 4327 4327(0/4327)

49 79488 79488(0/79488)

50 85 85(0/85)

53 69830 69830(69823/7)

54 46567 46567(46566/1)

57 161707 161707(0/161707)

59 13052 13052(13044/8)

60 26280 26280(13953/12327)

61 30 30(0/30)

153 593518 593518(593513/5)

185 4354 4354(0/4354)

194 81927 81927(0/81927)

Callback function packets statistic:

total(r) success(r) total(c) success(c)

MACL: 0 0 0 0

NATL: 0 0 0 0

BFD: 0 0 0 0

(null): 0 0 0 0

Task input pkt statistics:

Task name total success

Main Task : 1086583 1086583

Icmp Task : 0 0

Cpu code input list:(L2 queue to platform)

code counter success drop rate

5 2057 2057 0 0

6 2077 2077 0 0

17 98 98 0 0

18 48 48 0 0

35 573 573 0 0

43 565 565 0 0

45 4327 4327 0 0

49 79488 79488 0 0

50 85 85 0 0

53 69830 69830 0 0

54 46567 46567 0 0

57 161707 161707 0 0

59 13052 13052 0 0

60 26280 26280 0 0

61 30 30 0 0

153 593518 593518 0 1

185 4354 4354 0 0

194 81927 81927 0 0

Cpu code to protocol:

5 ARP_REQ_LOCAL

6 ARP_REL

17 ARP_REQ

18 ARP_REQ_PROXY

30 DIAG

35 ND_NA

43 ND_NS

45 ND_RA

49 OSPF_HELLO,OSPF_LSU,OSPF_LSACK

50 OSPF_DD,OSPF_LSR

53 LDP_HELLO

54 LDP_NOTIF,LDP_INIT,LDP_KPALV,LDP_ADDR,LDP_LABEL

57 ISIS

59 BGP

60 BGP4P_IPV6

61 DHCP_IPOE,DHCP_SNOOPING,DHCP,DHCPv6_RELAY,DHCPv6_RELS,DHCPv6_SERV

153 IP_VSRP

185 VXLAN_GPE

194 CUSP

Debug packets statistic:

counter counter rate

NET->RXTX->SERVICE: 0 0 0 pps

SERVICE->RXTX->NET: 0 0 0 pps

failed

MbufTrSend: 0

FoundIfindex: 0

SaveCoreSta: 0

MainCoreSta: 0

TxFailedSta: 0

61表示DHCP_IPOE,DHCP_SNOOPING,DHCP，若61收包计数有增加则表示设备已收到DHCP报文并已上送平台，可以通过转发的调试开关逐步排查报文丢弃在哪个一层，若此计数没有增加，则执行display hardware internal np pktcnt drop命令查看驱动是否有丢包计数。

<Sysname> system-view

[Sysname-probe] probe

[Sysname-probe] display hardware internal np pktcnt drop slot 3 （不同产品查看丢包计数的命令不太相同）

Current Mcode Type: SIRIUS_RELEASE

The NP 0 is Both NP

Drop packet statistics

32B7 116497 TOPparse total discarded pkts

350F 916677 TOPresolve total discarded pkts

51A 66 PRS Ingress route interface deny L2 forward

56B 384 PRS Ingress Route interface deny L2 forward

63C 403633 RSV Ingress ARP packet FTN or BROADCAST table no ma

tch

63E 372789 RSV Ingress PROTOCOL_MAC and BROADCAST table no mat

641 161878 RSV Ingress PROTOCOL_MAC.THB is set, but BROADCAST

table no match

645 149489 RSV Ingress multicast, MULTICAST.DROP is set

646 144150 RSV Ingress multicast, match MULTICAST default entr

y, but BROADCAST table no match

663 4 RSV Ingress broadcast packets from route port, PROT

OCOL_PORT table no match

若有丢包计数持续增加，则根据丢包原因分析可能问题。

若丢包计数没有增加，报文上送CPU的计数也没有增加，则说明报文没有成功上送至BRAS设备，请继续执行下一步。

(7) 检查设备是否故障。

如果以上情况定位不到原因，请检查以下配置：

¡ 确认设备物理连接均正常。

¡ 确认网络配置正确。

(8) 如果故障仍然未能排除，请收集如下信息，并联系技术支持人员。

¡ 上述步骤的执行结果。

¡ 设备的配置文件、日志信息、告警信息。

4.5 IPoE NDRS用户上线失败和异常下线故障处理

1. 故障描述

IPoE NDRS用户上线失败或异常下线。

2. 常见原因

本类故障的常见原因主要包括：

· 配置错误，比如上线接口未使能IPv6能力、IPoE接入模式配置错误、未授权IPv6前缀或ND前缀池配置错误等。

· 认证失败。

· 用户被抑制。

· 用户报文未上送成功。

3. 故障分析

本类故障的诊断流程如图6所示：

图6 IPoE NDRS用户上线失败和异常下线故障诊断流程图

4. 处理步骤

(1) 查看IPoE NDRS用户上线失败原因。

执行命令display aaa online-fail-record命令查看用户上线失败原因。

<Sysname> display aaa online-fail-record

Username: user1

Domain: dm1

MAC address: 0000-5e00-01cc

Access type: IPoE

Access UP ID: 1353

Access interface: XGE3/1/1

SVLAN/CVLAN: -/-

IP address: -

IPv6 address: -

Online request time: 2021/08/15 06:09:54

Online failure reason: No prefix available

Online failure reason字段显示的是用户上线失败原因，根据原因可以大概判断故障，为后面的具体定位提供指引。

请根据显示的原因查找“9.2 用户上线失败原因和异常下线原因”并按对应原因的处理方法排错。

有些原因是可以直接通过检查配置解决问题的，如Authentication method error、Local authentication request was rejected、No prefix available等。有些上线失败的原因里无法看到记录，请继续执行下一步。

(2) 查看IPoE NDRS用户下线原因。

如果通过步骤1没有查看到用户上线失败原因，可能是用户上线成功后又被下线，此时通过执行display aaa offline-record命令查看用户下线原因进行定位。

如果用户上线之后又被下线，会通过Offline reason字段生成用户下线原因，根据此原因可以大概判断故障，为后面的具体定位提个指引。

请根据显示的原因查找“9.2 用户上线失败原因和异常下线原因”并按对应原因的处理方法排错。

如果无法通过display aaa offline-record命令查看用户下线原因，请继续执行下一步。

(3) 检查IPoE NDRS用户相关配置是否正确。

请参考BRAS产品手册排查配置，例如参考相应模块配置手册中“配置任务简介”或“配置举例”进行排查。

¡ 如果配置错误，请更正配置后再尝试上线。

¡ 如果配置正确，但故障仍存在，则继续执行下一行。

(4) 查看用户是否被静默抑制。

执行display ip subscriber chasten user quiet命令查看用户是否被静默抑制。

如果用户被静默抑制，只需等待用户静默抑制老化后重新拔号上线即可；若用户没有被静默抑制，则需要考虑是否是协议报文在上送过程中存在丢失情况，排查报文是否上送BRAS相关模块。

(5) 查看相关组件是否收到报文。

执行下列命令打开业务跟踪消息，根据跟踪消息进行故障定位，并搜集业务跟踪的消息。

¡ 执行命令trace access-user打开用户的业务跟踪。

¡ 执行debugging ip subscriber all命令打开IPoE调试开关。

¡ 执行terminal debugging命令和terminal monitor打开命令行用户终端显示功能。

若没有收到报文，则继续执行下一步。

(6) 检查用户报文是否上送至BRAS设备。

Probe视图下执行display hardware internal rxtx packet statistic命令查看产品驱动收发包统计信息。（非vBRAS-CP设备）

在转发与控制分离组网，查看用户报文是否上送至BRAS设备的方法，请参见“8.1 转控分离组网中用户无法上线障故障处理”。

<Sysname> system-view

[Sysname-probe] probe

[Sysname-probe] display hardware internal rxtx packet statistic slot 3 cpu 0

Net port packet loss count:

code counter

Rx packets statistic:

counter success rate

NET ->RXTX : 3177780 3177780 9 pps

Cpu code input list:(Mgment to L1 queue)

code counter success(whitelist/normal)

5 2057 2057(0/2057)

6 2077 2077(0/2077)

17 98 98(0/98)

18 48 48(0/48)

30 2091197 2091197(0/2091197)

35 573 573(0/573)

43 565 565(0/565)

45 4327 4327(0/4327)

49 79488 79488(0/79488)

50 85 85(0/85)

53 69830 69830(69823/7)

54 46567 46567(46566/1)

57 161707 161707(0/161707)

59 13052 13052(13044/8)

60 26280 26280(13953/12327)

61 30 30(0/30)

153 593518 593518(593513/5)

185 4354 4354(0/4354)

194 81927 81927(0/81927)

Callback function packets statistic:

total(r) success(r) total(c) success(c)

MACL: 0 0 0 0

NATL: 0 0 0 0

BFD: 0 0 0 0

(null): 0 0 0 0

Task input pkt statistics:

Task name total success

Main Task : 1086583 1086583

Icmp Task : 0 0

Cpu code input list:(L2 queue to platform)

code counter success drop rate

5 2057 2057 0 0

6 2077 2077 0 0

17 98 98 0 0

18 48 48 0 0

35 573 573 0 0

43 565 565 0 0

45 4327 4327 0 0

49 79488 79488 0 0

50 85 85 0 0

53 69830 69830 0 0

54 46567 46567 0 0

57 161707 161707 0 0

59 13052 13052 0 0

60 26280 26280 0 0

61 30 30 0 0

153 593518 593518 0 1

185 4354 4354 0 0

194 81927 81927 0 0

Cpu code to protocol:

5 ARP_REQ_LOCAL

6 ARP_REL

17 ARP_REQ

18 ARP_REQ_PROXY

30 DIAG

35 ND_NA

43 ND_NS

45 ND_RA

49 OSPF_HELLO,OSPF_LSU,OSPF_LSACK

50 OSPF_DD,OSPF_LSR

53 LDP_HELLO

54 LDP_NOTIF,LDP_INIT,LDP_KPALV,LDP_ADDR,LDP_LABEL

57 ISIS

59 BGP

60 BGP4P_IPV6

61 DHCP_IPOE,DHCP_SNOOPING,DHCP,DHCPv6_RELAY,DHCPv6_RELS,DHCPv6_SERV

153 IP_VSRP

185 VXLAN_GPE

194 CUSP

Debug packets statistic:

counter counter rate

NET->RXTX->SERVICE: 0 0 0 pps

SERVICE->RXTX->NET: 0 0 0 pps

failed

MbufTrSend: 0

FoundIfindex: 0

SaveCoreSta: 0

MainCoreSta: 0

TxFailedSta: 0

若收包计数有增加则表示设备已收到ARP、ND或者未知源IP报文并已上送平台，可以通过转发的调试开关逐步排查报文丢弃在哪个一层，若此计数没有增加，则执行display hardware internal np pktcnt drop命令查看驱动是否有丢包计数。

<Sysname> system-view

[Sysname-probe] probe

[Sysname-probe] display hardware internal np pktcnt drop slot 3 （不同产品查看丢包计数的命令不太相同）

Current Mcode Type: SIRIUS_RELEASE

The NP 0 is Both NP

Drop packet statistics

32B7 116497 TOPparse total discarded pkts

350F 916677 TOPresolve total discarded pkts

51A 66 PRS Ingress route interface deny L2 forward

56B 384 PRS Ingress Route interface deny L2 forward

63C 403633 RSV Ingress ARP packet FTN or BROADCAST table no ma

tch

63E 372789 RSV Ingress PROTOCOL_MAC and BROADCAST table no mat

641 161878 RSV Ingress PROTOCOL_MAC.THB is set, but BROADCAST

table no match

645 149489 RSV Ingress multicast, MULTICAST.DROP is set

646 144150 RSV Ingress multicast, match MULTICAST default entr

y, but BROADCAST table no match

663 4 RSV Ingress broadcast packets from route port, PROT

OCOL_PORT table no match

若有丢包计数持续增加，则根据丢包原因分析可能问题。

若丢包计数没有增加，报文上送CPU的计数也没有增加，则说明报文没有成功上送至设备，请继续执行下一步。

(7) 检查设备故障。

如果以上情况定位不到原因，请检查以下配置：

¡ 确认设备物理连接均正常

¡ 确认网络配置正确

(8) 如果故障仍然未能排除，请收集如下信息，并联系技术支持人员。

¡ 上述步骤的执行结果。

¡ 设备的配置文件、日志信息、告警信息。

4.6 IPoE静态用户上线失败和异常下线故障处理

1. 故障描述

IPoE静态用户上线失败或异常下线。

2. 常见原因

本类故障的常见原因主要包括：

· 配置错误。

· 地址占位失败。

· 认证失败。

· 用户被抑制。

· 用户报文未成功上送到BRAS设备。

3. 故障分析

本类故障的诊断流程如图7所示：

图7 IPoE静态用户上线失败和异常下线故障诊断流程图

4. 处理步骤

(1) 查看IPoE静态用户上线失败原因。

执行命令display aaa online-fail-record命令查看用户上线失败原因。

<Sysname> display aaa online-fail-record

Username:

Domain:

MAC address: 0000-5e00-01cc

Access type: IPoE

Access UP ID: 1353

Access interface: XGE3/1/1

SVLAN/CVLAN: -/-

IP address: 2.2.2.9

IPv6 address: -

Online request time: 2021/08/15 06:09:54

Online failure reason: static user not config

Online failure reason字段显示的是用户上线失败原因，根据原因可以大概判断故障，为后面的具体定位提供指引。

请根据显示的原因查找“9.2 用户上线失败原因和异常下线原因”并按对应原因的处理方法排错。

有些原因是可以直接通过检查配置解决问题的，如Authentication method error、Local authentication request was rejected 、Static user not config等。有些上线失败的原因里无法看到记录，请继续执行下一步。

(2) 查看IPoE静态用户下线原因。

如果通过步骤1没有查看到用户上线失败原因，可能是用户上线成功后又被下线，此时通过执行display aaa offline-record命令查看用户下线原因进行定位。

如果用户上线之后又被下线，会通过Offline reason字段生成用户下线原因，根据此原因可以大概判断故障，为后面的具体定位提个指引。

请根据显示的原因查找“9.2 用户上线失败原因和异常下线原因”并按对应原因的处理方法排错。

如果无法通过display aaa offline-record命令查看用户下线原因，请继续执行下一步。

(3) 检查IPoE静态用户相关配置是否正确。

请参考BRAS产品手册排查配置，例如参考相应模块配置手册中“配置任务简介”或“配置举例”进行排查。

¡ 如果配置错误，请更正配置后再尝试上线。

¡ 如果配置正确，但故障仍存在，则继续执行下一行。

(4) 查看用户是否被静默抑制。

执行display ip subscriber chasten user quiet命令查看用户是否被静默抑制。

(5) 查看相关组件是否收到报文。

¡ 若是未知源IP触发静态用户上线，则执行debugging ip subscriber packet命令打开IPoE的报文收发调试开关，并根据调试信息进行定位。

¡ 若是ARP触发静态用户上线，则执行debugging arp packet interface ten-gigabitethernet xxx打开ARP的报文收发调试开关，并根据调试信息进行定位。

¡ 若是ND报文触发静态用户上线，则执行debugging ipv6 nd packet interface ten-gigabitethernet xxx命令打开ND的报文收发调试开关，并根据调试信息进行定位。

¡ 执行下列命令打开业务跟踪消息，根据跟踪消息进行故障定位，并搜集业务跟踪的消息。

- 执行命令trace access-user打开用户的业务跟踪。

- 执行debugging ip subscriber all命令打开IPoE调试开关。

- 执行terminal debugging命令和terminal monitor打开命令行用户终端显示功能。

¡ 若没有收到报文，则继续执行下一步。

(6) 检查用户报文是否上送至BRAS设备。

Probe视图下执行display hardware internal rxtx packet statistic命令查看产品驱动收发包统计信息。（非vBRAS-CP设备）

在转发与控制分离组网，查看用户报文是否上送至BRAS设备的方法，请参见“8.1 转控分离组网中用户无法上线障故障处理”。

<Sysname> system-view

[Sysname-probe] probe

[Sysname-probe] display hardware internal rxtx packet statistic slot 3 cpu 0

Net port packet loss count:

code counter

Rx packets statistic:

counter success rate

NET ->RXTX : 3177780 3177780 9 pps

Cpu code input list:(Mgment to L1 queue)

code counter success(whitelist/normal)

5 2057 2057(0/2057)

6 2077 2077(0/2077)

17 98 98(0/98)

18 48 48(0/48)

30 2091197 2091197(0/2091197)

35 573 573(0/573)

43 565 565(0/565)

45 4327 4327(0/4327)

49 79488 79488(0/79488)

50 85 85(0/85)

53 69830 69830(69823/7)

54 46567 46567(46566/1)

57 161707 161707(0/161707)

59 13052 13052(13044/8)

60 26280 26280(13953/12327)

61 30 30(0/30)

153 593518 593518(593513/5)

185 4354 4354(0/4354)

194 81927 81927(0/81927)

Callback function packets statistic:

total(r) success(r) total(c) success(c)

MACL: 0 0 0 0

NATL: 0 0 0 0

BFD: 0 0 0 0

(null): 0 0 0 0

Task input pkt statistics:

Task name total success

Main Task : 1086583 1086583

Icmp Task : 0 0

Cpu code input list:(L2 queue to platform)

code counter success drop rate

5 2057 2057 0 0

6 2077 2077 0 0

17 98 98 0 0

18 48 48 0 0

35 573 573 0 0

43 565 565 0 0

45 4327 4327 0 0

49 79488 79488 0 0

50 85 85 0 0

53 69830 69830 0 0

54 46567 46567 0 0

57 161707 161707 0 0

59 13052 13052 0 0

60 26280 26280 0 0

61 30 30 0 0

153 593518 593518 0 1

185 4354 4354 0 0

194 81927 81927 0 0

Cpu code to protocol:

5 ARP_REQ_LOCAL

6 ARP_REL

17 ARP_REQ

18 ARP_REQ_PROXY

30 DIAG

35 ND_NA

43 ND_NS

45 ND_RA

49 OSPF_HELLO,OSPF_LSU,OSPF_LSACK

50 OSPF_DD,OSPF_LSR

53 LDP_HELLO

54 LDP_NOTIF,LDP_INIT,LDP_KPALV,LDP_ADDR,LDP_LABEL

57 ISIS

59 BGP

60 BGP4P_IPV6

61 DHCP_IPOE,DHCP_SNOOPING,DHCP,DHCPv6_RELAY,DHCPv6_RELS,DHCPv6_SERV

153 IP_VSRP

185 VXLAN_GPE

194 CUSP

Debug packets statistic:

counter counter rate

NET->RXTX->SERVICE: 0 0 0 pps

SERVICE->RXTX->NET: 0 0 0 pps

failed

MbufTrSend: 0

FoundIfindex: 0

SaveCoreSta: 0

MainCoreSta: 0

TxFailedSta: 0

<Sysname> system-view

[Sysname-probe] probe

[Sysname-probe] display hardware internal np pktcnt drop slot 3 （不同产品查看丢包计数的命令不太相同）

Current Mcode Type: SIRIUS_RELEASE

The NP 0 is Both NP

Drop packet statistics

32B7 116497 TOPparse total discarded pkts

350F 916677 TOPresolve total discarded pkts

51A 66 PRS Ingress route interface deny L2 forward

56B 384 PRS Ingress Route interface deny L2 forward

63C 403633 RSV Ingress ARP packet FTN or BROADCAST table no ma

tch

63E 372789 RSV Ingress PROTOCOL_MAC and BROADCAST table no mat

641 161878 RSV Ingress PROTOCOL_MAC.THB is set, but BROADCAST

table no match

645 149489 RSV Ingress multicast, MULTICAST.DROP is set

646 144150 RSV Ingress multicast, match MULTICAST default entr

y, but BROADCAST table no match

663 4 RSV Ingress broadcast packets from route port, PROT

OCOL_PORT table no match

若有丢包计数持续增加，则根据丢包原因分析可能问题。

若丢包计数没有增加，报文上送CPU的计数也没有增加，则说明报文没有成功上送至设备，请继续执行下一步。

(7) 检查设备故障。

如果以上情况定位不到原因，请检查以下配置：

¡ 确认设备物理连接均正常。

¡ 确认网络配置正确。

(8) 如果故障仍然未能排除，请收集如下信息，并联系技术支持人员。

¡ 上述步骤的执行结果。

¡ 设备的配置文件、日志信息、告警信息。

4.7 IPoE Web用户无法上线故障处理

4.7.1 无法弹出Web认证页面故障处理

1. 故障描述

用户访问任意非Web认证页面，或者直接访问Web认证页面，无法弹出Web认证页面。

2. 常见原因

本类故障的常见原因主要包括：

· 认证前域视图下的Web认证页面URL配置错误。

· 认证前域阶段的QoS策略配置错误。

· 主机、服务器和设备之间的路由不通。

· 浏览器开启了HTTP代理功能。

· 用户输入的网址内携带了非标准的TCP端口号。

· 中间网络或DNS服务器出现问题。

· 设备上的HTTPS重定向功能不能正常使用。

· 用户访问的HTTPS协议的网站开启了HSTS（HTTP Strict Transport Security，HTTP严格传输安全协议）功能。

· Portal服务器无法识别转义后的URL特殊字符。

· Portal服务器配置错误。

3. 故障分析

本类故障的诊断流程如图8所示：

图8 Web认证页面无法弹出故障诊断流程图

4. 处理步骤

(1) 确认用户是否已在前域上线。

若用户未在前域上线，则解决用户前域上线问题。

(2) 确认Web认证相关置配置是否正确。

请从如下角度进行排查：

¡ 检查BRAS设备上Portal认证服务器IP地址配置是否正确。

¡ 检查BRAS设备上Web认证页面URL配置是否正确。

¡ 检查BRAS设备上认证前域阶段的QoS策略配置是否正确，即：

- 入方向：允许目的地址为Portal服务器的报文通过。

- 出方向：允许源地址为Portal服务器的报文通过。

¡ 检查Portal服务器上是否配置了IP地址组，以及是否将设备与IP地址组关联。

¡ 检查终端IP地址是否在Portal服务器上配置的IP地址组范围内。

(3) 确认终端和Portal服务器上的路由配置是否正确。

在终端上关闭防火墙功能后，执行Ping操作检查Portal服务器是否可达，如果Ping不通，首先需要确认终端和Portal服务器上的路由配置是否正确，同时需要注意：

¡ Portal服务器到终端的回程路由是否配置正确。

¡ 终端或者Portal服务器上是否存在有多个网卡。

在有多个网卡的情况下，终端和服务器之间的流量不一定全部经过配置有Portal认证的网络。以Windows终端为例，在cmd窗口上执行route print命令查看具体的路由信息，然后确定用户的Web访问流量是从哪个网卡出去。

最后，采取分段Ping的手段定位问题。首先从终端Ping网关（需要先取消认证，否则Ping不通），然后再从网关上Ping服务器。

(4) 终端的浏览器上是否开启了HTTP代理功能。

浏览器上开启了HTTP代理功能会导致用户无法访问Portal认证页面。以Windows IE浏览器为例，请打开IE浏览器，单击“工具”，选择“Internet选项>连接>局域网设置>代理服务器”中，关闭HTTP代理功能。

(5) 确认输入的网址是否使用非标准TCP端口。

非标准TCP端口是指非80或非443端口。用户输入的网址中若包含非标准TCP端口，会导致Portal认证页面无法弹出，例如http://10.1.1.1:18008。对于HTTP协议的网址，请使用80；对于HTTPS协议的网址，请使用443。

(6) 确认中间网络或DNS服务器是否出现问题。

a. 确认设备上是否将DNS服务器IP地址配置为允许访问的地址。

b. 检查中间网络连通性以及排查DNS服务器故障，在网关上进行流量统计（分别对连接终端下行接口和连接DNS服务器的上行接口）或镜像获取终端访问DNS服务器的报文，确认网关是否已将DNS请求发出，但却未收到回应报文。

(7) 确认HTTPS重定向功能是否开启。

a. 确认用户是否访问HTTPS网站。若是，由于Portal需要对用户的HTTPS请求进行重定向，因此就必须在设备上配置对HTTPS报文进行重定向的内部侦听端口号（通过http-redirect https-port命令）。在配置内部侦听端口号之前，需确保该端口号没有被其他服务占用，请先通过display tcp命令查看已被占用的TCP端口号。

b. 检查HTTPS重定向服务器关联的SSL服务器端策略是否存在，若不存在，请完善相关配置。

(8) 确认HTTPS网站是否开启了HSTS功能。

HTTPS网站开启了HSTS功能后，要求浏览器必须使用HTTPS访问，而且证书必须要合法。设备对用户浏览器进行HTTPS重定向时，设备会使用自签名证书（设备没有目标网站的证书，只能使用自签名证书）伪装成目标网站和浏览器建立SSL连接，此时浏览器一旦检测到证书不受信任，将会导致HTTPS重定向失败，无法弹出Portal认证页面。这种情况依赖于具体网站配置的HSTS协议的强制要求，无法解决。此时，建议用户更换其他网站进行尝试。

(9) 如果故障仍然未能排除，请收集如下信息，并联系技术支持人员。

¡ 上述步骤的执行结果。

¡ 设备的配置文件、日志信息和告警信息。

¡ 服务器上Portal相关配置截图。

¡ 设备与服务器之间的抓包文件。

¡ 在浏览器上对问题现象进行截图。

¡ 出现问题时，在设备上通过debugging portal和debugging ip packet命令收集Debug信息。

4.7.2 Web认证页面登录失败故障处理

1. 故障描述

Web用户认证失败或者认证异常。

2. 常见原因

本类故障的常见原因主要包括：

· BRAS设备上Portal认证服务器视图下配置的共享密钥和Portal认证服务器上的设置不一致。

· BRAS设备上Portal认证服务器视图下配置的Portal认证服务器地址不存在。

· BRAS设备收到的Portal报文非法。

· Web用户使用的认证域配置错误。

· RADIUS视图下配置共享密钥与RADIUS服务器上配置的不一致。

· RADIUS服务器认证拒绝。

· RADIUS服务器无响应。

3. 故障分析

本类故障的诊断流程如图9所示：

图9 Web认证页面登录失败故障诊断流程图

4. 处理步骤

(1) 检查BRAS设备上Portal认证服务器视图下配置的共享密钥与Portal服务器上的是否一致。

如图10所示，以iMC服务器为例，当输入“用户名”和“账号密码”，点击“上线”后登录界面上出现“向设备发送请求超时”的提示，表示BRAS设备上Portal认证服务器视图下配置的共享密钥有可能与服务器上配置的不一致。

图10 Web登录界面打印错误提示

此时，可以通过如下方法来检查：

在BRAS设备上执行debugging portal error命令，打开Portal错误调试信息开关。如果设备上打印如下信息，则可以确认BRAS设备和Portal服务器配置的共享密钥不一致。

*Jul 28 17:51:20:774 2021 Sysname PORTAL/7/ERROR: -MDC=1; Packet validity check failed due to invalid key.

如果确认不一致，请修改BRAS设备上Portal服务器视图下配置的共享密钥或者Portal认证服务器上配置的共享密钥，使其两者保持一致。

(2) 检查BRAS设备上Portal认证服务器视图下配置的Portal认证服务器IP地址是否存在。

当Portal服务器收到BRAS设备发送的认证报文时，Portal服务器会校验报文的源IP是否Portal服务器上设置允许接入设备的IP地址，若不是则认为是非法报文，直接丢弃。

如图11所示，以iMC服务器为例，当输入“用户名”和“账号密码”，点击“上线”后登录界面上出现“向设备发送请求超时”的提示，表示设备上Portal认证服务器视图下配置的Portal认证服务器地址可能不存在。

图11 Web登录界面打印错误提示

此时，可以通过如下方法来检查：

¡ 在设备上执行debugging portal error命令，打开Portal错误调试信息开关。如果设备上打印如下信息，则可以确认设备上配置的Portal认证服务器IP地址错误。

*Jul 28 19:15:10:665 2021 Sysname PORTAL/7/ERROR: -MDC=1;Packet source unknown. Server IP:192.168.161.188, VRF Index:0.

如果确认不正确，请在设备的Portal服务器视图下，执行ip命令修改Portal服务器的IP地址。

(3) 检查设备上认证域配置是否正确。

检查配置确保认证域在设备上存在且配置正确，否则将会导致用户将无法认证。

如图12所示，以iMC为例，当输入“用户名”和“账号密码”，点击“上线”后登录界面上出现“设备拒绝请求”的提示，表示设备上认证域可能配置不正确。

图12 Web登录界面打印错误提示

此时，可以通过如下方法来检查：

¡ 在设备上执行debugging portal error命令，打开Portal错误调试信息开关。如果设备上打印如下信息，则可能是设备上认证域配置错误，需要进一步排查。

*Jul 28 19:49:12:725 2021 Sysname PORTAL/7/ERROR: -MDC=1; User-SM [21.0.0.21]: AAA processed authentication request and returned error.

如果认证域配置不正确，请执行相应的命令将Web用户使用的认证域配置修改正确。

(4) 检查RADIUS视图下配置共享密钥是否与RADIUS服务器上配置的一致。

如图13所示，以iMC服务器为例，当输入“用户名”和“账号密码”，点击“上线”后登录界面上出现“向设备发送请求超时”的提示，表示RADIUS视图下共享密钥和服务器上配置的不一致。

图13 Web认证登录界面打印错误提示

在设备上执行debugging radius error命令，打开RADIUS错误调试信息开关。如果设备上打印如下信息，则可以确认设备上RADIUS视图下配置共享密钥和RADIUS服务器上配置的不一致。

*Jul 28 19:49:12:725 2021 Sysname RADIUS/7/ERROR: -MDC=1; The response packet has an invalid Response Authenticator value.

当设备向RADIUS服务器发起认证请求时，服务器会首先对请求报文使用共享密钥进行校验，如果校验失败，服务器会通知设备校验失败。如果共享密钥配置错误，请将RADIUS视图下共享密钥和服务器上配置的保持一致。

(5) 检查Portal报文是否非法。

当设备收到Portal服务器发送过来的Portal协议报文时，对报文做合法性校验，如果报文长度不对、报文校验段错误，则该报文将被视为非法报文而丢弃。

可通过如下方法进行排查：

通过display portal packet statistics命令查看是否存在非法报文计数增长，如果计数增长，可通过在设备上执行debugging portal error命令，打开Portal错误调试信息开关排查具体原因。

如果Portal协议报文非法，请在技术支持人员的协助下确认报文非法的原因并进行修改，使Portal协议报文成为合法报文。

(6) 检查是否获取用户物理信息失败。

用户上线过程中Portal会查找用户物理信息，并根据对应的物理信息确定用户所在的接口等信息。如果查找物理信息失败，则用户会上线失败。

可通过如下方式进行检查：

在设备上执行debugging portal event命令，打开Portal事件调试信息开关。如果设备上打印如下信息，表示获取用户物理信息失败。

*Jul 28 19:49:12:725 2021 Sysname PORTAL/7/ERROR: -MDC=1; User-SM [21.0.0.21]: Failed to find physical info for ack_info.

确认获取用户物理信息失败后，请排查设备是否存在该认证用户的表项，如果不存在，请进一步排查具体原因。

(7) 检查RADIUS服务器是否认证拒绝。

RADIUS服务器回应认证拒绝有多种原因，最常见的有用户名密码错误、RADIUS服务器授权策略无法匹配等。这些问题，首先需要查看服务器端的认证日志或者在设备上通过debugging radius error命令打开RADIUS错误调试信息开关查看相关的Debug信息找到根本原因后，再调整服务器、终端或设备配置。

(8) 检查RADIUS服务器是否无响应。

可通过如下方法快速确认RADIUS服务器是否有回应。

¡ 在BRAS设备上执行display radius scheme命令查看服务器状态。如果为Blocked，则表示服务器不可用。

¡ 查看设备是否打印如下日志：

RADIUS/4/RADIUS_AUTH_SERVER_DOWN: -MDC=1; RADIUS authentication server was

blocked: server IP=192.168.161.188, port=1812, VPN instance=public.

¡ 在设备上执行debugging radius event命令打开RADIUS事件调试信息开关，如果设备上打印如下信息，表示RADIUS服务器无回应。

*Jul 28 19:49:12:725 2021 Sysname RADIUS/7/evnet: -MDC=1; Reached the maximum retries.

确认RADIUS服务器无响应后，可根据如下步骤进行处理：

a. 确认服务器是否添加了设备IP地址。

- 如果没有添加，请添加正确的设备IP地址。如果已经添加，那么需要确定服务器添加的设备IP地址与认证请求的源IP地址是否一致（设备默认出接口的IP地址作为向RADIUS服务器发送RADIUS报文时使用的源IP地址，该源IP地址可以根据实际需要通过命令进行修改，具体介绍请参见“BRAS业务命令参考/AAA”中的“source-ip命令”）。

- 如果已添加，则需确认服务器上添加的设备IP地址必须为认证请求的源IP地址。

b. 确认设备和服务器上同时获取报文确认中间链路是否存在问题，例如中间网络存在防火墙，防火墙未放通RADIUS（默认认证端口：1812）报文。如果出现大量用户无法认证，设备上的日志里出现RADIUS服务器Down记录，那么大概率是服务器或中间网络出现异常，需要逐一排查。

(9) 如果故障仍然未能排除，请收集如下信息，并联系技术支持人员。

¡ 上述步骤的执行结果。

¡ 设备的配置文件、日志信息、告警信息。

¡ Portal服务器上Portal相关配置截图。

¡ 设备与AAA服务器间的抓包文件。

¡ 在客户端浏览器上对问题现象截图。

¡ 通过开启debugging portal命令收集调试信息。

5 NAT故障处理

5.1 接入用户与NAT联动故障处理

1. 故障描述

接入用户与NAT联动的场景中，联动用户上线成功，但NAT设备未能为其分配公网资源。

2. 常见原因

本类故障的常见原因主要包括：

· 认证域的用户地址类型错误，导致用户上线后未能触发NAT和BRAS联动。

· NAT配置错误导致联动用户匹配不上配置。

· 没有可用的NAT公网地址资源，导致端口块申请失败。

3. 故障分析

本类故障的诊断流程如图14所示：

图14 接入用户与NAT联动故障诊断流程图

4. 处理步骤

(1) 检查上线成功的用户是否分配到公网资源。

a. 执行display access-user命令查看已上线用户的信息，查看上线用户的“UserID”信息。

b. 执行display nat user-information命令，根据上线用户的“UserID”信息查看是否有相关的表项信息。

如果不存在已上线用户的表项信息，说明NAT设备未能为上线用户分配公网资源，接下来请继续执行下一步。

(2) 检查认证域的用户地址类型是否有误。

执行命令display domain name查看认证域的用户地址类型。

¡ 如果User address type字段显示为“private-ipv4”、“ds-lite”或“private-ds”，则表示用户地址类型正确。接下来请继续执行下一步。

¡ 如果User address type字段显示为“private-ipv4”、“ds-lite”和“private-ds”之外的其他类型，则表示用户地址类型不正确，请在认证域视图下通过user-address-type命令修改用户地址类型为“private-ipv4”、“ds-lite”或“private-ds”。

(3) 检查NAT配置是否有误。

a. 执行display nat outbound命令查看NAT配置。

- 确认“Config status”字段显示为“Active”。

- 确认“ACL”字段显示的ACL规则能够匹配上用户报文。

b. 执行display nat address-group命令查看NAT地址组信息，确认“Port block size”字段的取值与配置的端口块大小一致。

c. 对于双机CGN框间热备或N:1温备场景中的CGN框间备份，需要使用保护隧道进行数据备份和流量透传。对于MPLS保护隧道，执行display nat mpls-tunnel命令，确认“Local VPN”和“Peer VPN”字段中的“NID”和“MPLS label”取值不为空。对于SRv6保护隧道，执行display nat srv6-tunnel命令，确认“Local VPN”字段和“Peer VPN”字段中的“Locator name”、“End.DT4 SID”或“Locator name”、“End.DT6 SID”取值不为空。

如果以上NAT配置信息不正确，请修改NAT配置。如果NAT配置信息正确，请继续执行下一步。

(4) 检查NAT公网地址资源是否耗尽。

执行display nat address-group resource-usage命令查看NAT地址组使用率信息。

¡ 如果“Port-block Usage”字段显示为“100%”，则表示地址组中公网地址资源已耗尽，请添加新的公网地址资源。

¡ 如果Port-block Usage字段显示为“100%”之外的其他数值，请继续执行下一步。

(5) 如果故障仍然未能排除，请收集如下信息，并联系技术支持人员。

¡ 上述步骤的执行结果。

¡ 设备的配置文件、日志信息、告警信息。

6 转发故障处理

6.1 NAT用户报文转发故障处理

1. 故障描述

NAT设备为用户分配NAT端口块成功，但流量不通或部分不通。

2. 常见原因

本类故障的常见原因主要包括：

· 用户流量未能到达NAT设备。

· NAT设备上没有到达公网的路由。

· 用户流量不匹配NAT设备上的QoS引流策略。

· NAT设备上用户流量转换的会话表项或EIM表项已达到软件规格。

3. 故障分析

本类故障的诊断流程如图15所示：

图15 NAT用户报文转发故障诊断流程图

4. 故障处理步骤

(1) 检查用户流量是否到达NAT设备。

在NAT设备上执行display counters inbound interface命令查看入接口的报文统计信息，或者在用户报文入接口抓包。

如果入接口的报文统计信息与实际产生的用户报文数量相差较大，或者在入接口没有抓到用户报文，说明用户报文无法到达NAT设备，请在用户接入设备上配置到达NAT设备的路由。如果故障依然存在，请继续执行下一步。

(2) 检查NAT设备上是否有到达公网的路由。

执行display ip routing-table命令查看NAT设备上用户报文目的地址的路由。

如果NAT设备上没有用户报文目的地址的公网路由，请在NAT设备上配置到达公网的路由。如果故障依然存在，请继续执行下一步。

(3) 检查用户流量是否匹配入接口引流规则。

在NAT设备上用户报文入接口引流策略的traffic behavior下配置accounting packet。然后执行display qos policy interface inbound命令查看入接口引流策略的报文统计信息。

如果“Accounting enable”字段下统计信息计数没有增长，请修改引流规则，使其能够匹配用户流量。如果故障依然存在，请继续执行下一步。

(4) 检查NAT设备上NAT会话数目或EIM表项数目是否达到软件规格。

执行display nat statistics summary命令查看“Sessions”字段和“EIM”字段的计数信息。“Sessions”字段表示NAT会话个数，“EIM”字段表示EIM表项个数。

如果NAT会话和EIM表项个数超过软件规格，请减少不必要的会话，降低表项数目。如果故障依然存在，请继续执行下一步。

(5) 检查单个用户的会话数是否超过分配给用户的端口块总端口数和PortLimit配置。

执行display nat user-information local ipv4 ipv4-address命令查看“Total/TCP/UDP/ICMP sessions”字段、“Port total”字段和“Total/TCP/UDP/ICMP port limit”字段的值。如果Total sessions计数达到Port total的值，说明端口已经耗尽，无法为用户的新连接分配端口。请在用户下线后通过port-block命令增加NAT地址组中的端口资源。

如果各协议的sessions计数达到对应的port limit字段的值，说明已达到对应协议端口连接数限制的上限，无法为对应协议的新连接分配端口。请使用port-limit命令增加允许协议建立的连接数，或者执行undo port-limit命令用来取消分配给协议的端口数量的限制。

如果故障依然存在，请继续执行下一步。

(6) 如果故障仍然未能排除，请收集如下信息，并联系技术支持人员。

¡ 上述步骤的执行结果。

¡ 设备的配置文件、日志信息、告警信息。

6.2 PPPoE转发故障处理

1. 故障描述

PPPoE转发常见故障现象有：

· 从客户端往公网侧的上行流量转发不通。

· 从公网侧往客户端的下行流量转发不通。

2. 常见原因

本类故障的常见原因主要包括：

· 用户不在线。

· 用户的所属VPN、User group等授权属性信息错误。

· 用户路由添加错误。

· 网络配置问题或者链路连接问题。

· 超过报文限速值。

3. 故障分析

本类故障的诊断流程如图16所示：

图16 PPPoE转发故障诊断流程图

4. 处理步骤

(1) 检查用户是否正常在线。

执行display access-user verbose命令查看用户是否在线，如在线则检查各字段是否正确。

¡ 若用户不在线，则解决用户上线问题。

¡ 若用户在线，但用户信息错误（如用户IP地址、MAC地址、所属VPN和ISP域等），则更正配置后，让用户先下线再重新上线。

¡ 若用户在线，且用户信息正确，则继续下一步。

(2) 检查用户路由是否正确添加。

执行display ip routing-table命令查看用户UNR路由是否存在：

¡ 若存在，则继续下一步。

¡ 若不存在，则让用户下线后再重新上线。如无法解决，则继续下一步。

(3) 检查BRAS设备到外网路由是否可达。

在BRAS设备上ping某个外网IP地址，若可以ping通，则继续下一步。若ping不通，则排查报文转发路径上所有链路，解决路由故障问题。

(4) 检查是否做了限速配置。

从如下角度检查是否配置了报文限速，如是则检查用户报文速率超过了限速值，否则请继续下一步。

¡ 检查用户上线接口是否配置了限速策略。

¡ 检查用户接入ISP域或AAA服务器是否设置了用户授权CAR。

¡ 检查用户转发路径上的其它链路段设备是否配置了限速策略。

(5) 如果故障仍然未能排除，请收集如下信息，并联系技术支持人员。

¡ 上述步骤的执行结果。

¡ 设备的配置文件、日志信息、告警信息。

6.3 L2TP转发故障处理

1. 故障描述

L2TP转发常见故障现象有：

· 从客户端往LNS内网的上行流量转发不通。

· 从LNS内网往客户端的下行流量转发不通。

2. 常见原因

本类故障的常见原因主要包括：

· 用户不在线。

· 用户基本信息错误。

· 用户路由添加错误。

· 网络配置或者链路故障。

3. 故障分析

本类故障的诊断流程如图17所示：

图17 L2TP转发故障诊断流程图

4. 处理步骤

(1) 检查用户是否正常在线。

分别在LAC和LNS上执行display access-user verbose命令查看用户是否在线，如在线则检查各字段是否正确。

¡ 若用户不在线，则解决用户上线问题。

¡ 若用户在线，但用户信息错误（如用户IP地址、MAC地址、所属VPN和ISP域等），则更正配置后，让用户先下线再重新上线。

¡ 若用户在线，且用户信息正确，则继续下一步。

(2) 检查用户路由是否正确添加。

分别在LAC和LNS上执行display ip routing-table命令查看用户UNR路由是否存在：

¡ 若存在，则继续下一步。

¡ 若不存在，则让用户下线后再重新上线。如无法解决，则继续下一步。

(3) 检查LAC和LNS之间路由是否可达。

在LAC设备上ping LNS设备的出口IP地址，若可以ping通，则继续下一步。若ping不通，则排查报文转发路径上所有链路，解决路由故障问题。

(4) 检查是否做了限速配置。

从如下角度检查是否配置了报文限速，如是则检查用户报文速率超过了限速值，否则请继续下一步。

¡ 检查用户上线接口是否配置了限速策略。

¡ 检查用户接入ISP域或AAA服务器是否设置了用户授权CAR。

¡ 检查用户转发路径上的其它链路段设备是否配置了限速策略。

(5) 如果故障仍然未能排除，请收集如下信息，并联系技术支持人员。

¡ 上述步骤的执行结果。

¡ 设备的配置文件、日志信息、告警信息。

6.4 IPoE转发故障处理

1. 故障描述

IPoE转发常见故障现象有：

· IPoE用户侧去往网络侧的流量不通。

· IPoE网络侧去往用户侧的流量不通。

2. 常见原因

本类故障的常见原因主要包括：

· 用户不在线。

· 用户基本信息错误。

· 用户路由添加错误。

· 网络配置或者链路连接故障。

3. 故障分析

本类故障的诊断流程如图18所示：

图18 IPoE转发故障诊断流程图

4. 处理步骤

(1) 检查用户是否正常在线。

执行display access-user verbose命令查看用户是否在线，如在线则检查各字段是否正确。

¡ 若用户不在线，则解决用户上线问题。

¡ 若用户在线，但用户信息错误（如用户IP地址、MAC地址、所属VPN和ISP域等），则更正配置后，让用户先下线再重新上线。

¡ 若用户在线，且用户信息正确，则继续下一步。

(2) 检查用户路由是否正确添加。

执行display ip routing-table命令查看用户UNR路由是否存在：

¡ 若存在，则继续下一步。

¡ 若不存在，则让用户下线后再重新上线。如无法解决，则继续下一步。

(3) 检查BRAS设备到外网路由是否可达。

在BRAS设备上ping某个外网IP地址，若可以ping通，则继续下一步。若ping不通，则排查报文转发路径上所有链路，解决路由故障问题。

(4) 检查是否做了限速配置。

从如下角度检查是否配置了报文限速，如是则检查用户报文速率超过了限速值，否则请继续下一步。

¡ 检查用户上线接口是否配置了限速策略。

¡ 检查用户接入ISP域或AAA服务器是否设置了用户授权CAR。

¡ 检查用户转发路径上的其它链路段设备是否配置了限速策略。

(5) 如果故障仍然未能排除，请收集如下信息，并联系技术支持人员。

¡ 上述步骤的执行结果。

¡ 设备的配置文件、日志信息、告警信息。

7 用户无法上网或上网速率慢故障处理

7.1 用户获取到IP地址后上网慢故障处理

1. 故障描述

用户上网慢常见故障现象有：

· 观看视频卡顿、打开网页慢。

· 从客户端往公网侧的上行流量转发慢。

· 从公网侧往客户端的下行流量转发慢。

2. 常见原因

本类故障的常见原因主要包括：

· 网络配置问题或者链路故障。

· BRAS到DNS服务器之间链路质量差导致丢包。

3. 故障分析

本类故障的诊断流程如图19所示：

图19 用户获取到IP地址后上网慢故障诊断流程图

4. 处理步骤

(1) 检查是否因用户局域网问题导致上网慢。

请从下列角度排查用户局域网问题：

¡ 家庭路由器和光猫长时间未重启，可重启家庭路由器和光猫后再尝试上网。

¡ 检查局域网内是否有其他用户在上传或下载超大文件，占用过多带宽。

¡ 检查用户上网终端硬件是否老旧、性能较低，如电脑网卡性能较差、内存较小等。

¡ 检查用户上网终端是否中了病毒。

¡ 检查家庭路由器、光猫老化或损坏。

¡ 检查网线是否老化、水晶头是否松动。

(2) 检查是否因内容服务商问题导致上网慢。

可能因内容服务商的服务器性能无法满足突发的网络需求，或者故障等原因导致访问相应网站速度慢。可以通过更换其它网站测试访问速度是否正常：

¡ 若正常，则表示是网站问题。

¡ 若问题仍存在，请继续执行下一步。

(3) 检查是否是运营商网络问题导致上网慢。

请从下列角度排查运营商网络问题：

¡ 在BRAS设备上ping DNS服务器地址，检查二者之间路由是否可达，如果路由不可达，则解决路由问题。如果路由可达，查看ping DNS服务器是否有丢包。

¡ 如果BRAS设备到DNS服务器之间路由可达，查看ping DNS服务器是否有丢包。如果有丢包，则在BRAS设备上做MQC流统计看是否在BRAS设备丢包。

- 如果是BRAS设备丢包，则收集故障信息，并联系技术支持人员。

- 如果不是BRAS设备丢包，则联系客户一起协助进行网络排查，包括DNS服务器是否满，中间设备是否有丢包等。

¡ 检查BRAS是否做了CGN，如果做了CGN，则需要参考NAT故障处理进行排查。

¡ BRAS设备上用户限速配置是否正确。

¡ 接入层、汇聚层、核心层设备是否出现故障，导致网络延时增大、数据丢失。

¡ 宽带线路是否老化。

(4) 如果故障仍然未能排除，请收集如下信息，并联系技术支持人员。

¡ 上述步骤的执行结果。

¡ 设备的配置文件、日志信息、告警信息。

7.2 用户获取到IP地址后无法上网故障处理

1. 故障描述

用户获取到IP地址后无法上网。

2. 常见原因

本类故障的常见原因主要包括：

· 用户还未上线成功。

· BRAS设备上用户路由没有添加或者添加错误。

· 网络配置故障或者链路连接故障。

3. 故障分析

本类故障的诊断流程如图20所示：

图20 用户获取到IP地址后无法上网故障诊断流程图

4. 处理步骤

(1) 检查用户是否正常在线。

执行display access-user verbose命令查看用户是否在线，如在线则检查各字段是否正确。

¡ 若用户不在线，则解决用户上线问题。

¡ 若用户在线，但用户信息错误，如用户所属VPN等，则更正配置后，让用户先下线再重新上线。

¡ 若用户在线，且用户信息正确，则继续下一步。

(2) 检查用户路由是否正确添加

执行display ip routing-table命令查看用户UNR路由是否存在：

¡ 若存在，则继续下一步。

¡ 若不存在，则让用户下线后再重新上线。如无法解决，则继续下一步。

(3) 检查BRAS设备到外网路由是否可达。

在BRAS设备上ping某个外网IP地址，若可以ping通，则继续下一步。若ping不通，则排查报文转发路径上所有链路，解决路由故障问题。

(4) 如果故障仍然未能排除，请收集如下信息，并联系技术支持人员。

¡ 上述步骤的执行结果。

¡ 设备的配置文件、日志信息、告警信息。

7.3 用户流量转发丢包故障处理

1. 故障描述

用户流量转发全部丢包或部分丢包。

2. 常见原因

本类故障的常见原因主要包括：

· 用户还未上线成功。

· 用户信息错误。

· 网络配置故障或者链路连接故障。

· 超过报文限速值。

3. 故障分析

本类故障的诊断流程如图21所示：

图21 用户流量转发丢包故障诊断流程图

4. 处理步骤

(1) 检查用户是否正常在线。

执行display access-user verbose命令查看用户是否在线，如在线则检查各字段是否正确。

¡ 若用户不在线，则解决用户上线问题。

¡ 若用户在线，但用户信息错误，如用户所属VPN等，则更正配置后，让用户先下线再重新上线。

¡ 若用户在线，且用户信息正确，则继续下一步。

(2) 检查用户路由是否正确添加。

执行display ip routing-table命令查看用户UNR路由是否存在：

¡ 若存在，则继续下一步。

¡ 若不存在，则让用户下线后再重新上线。如无法解决，则继续下一步。

(3) 检查BRAS设备到外网路由是否可达。

在BRAS设备上ping某个外网IP地址，若可以ping通，则继续下一步。若ping不通，则排查报文转发路径上所有链路，解决路由故障问题。

(4) 检查是否做了限速配置。

从如下角度检查是否配置了报文限速，如是则检查用户报文速率超过了限速值，否则请继续下一步。

¡ 检查用户上线接口是否配置了限速策略。

¡ 检查用户接入ISP域或AAA服务器是否设置了用户授权CAR。

¡ 检查用户转发路径上的其它链路段设备是否配置了限速策略。

(5) 如果故障仍然未能排除，请收集如下信息，并联系技术支持人员。

¡ 上述步骤的执行结果。

¡ 设备的配置文件、日志信息、告警信息。

(6) 如果故障仍然未能排除，请收集如下信息，并联系技术支持人员。

¡ 上述步骤的执行结果。

¡ 设备的配置文件、日志信息、告警信息。

7.4 大量用户上线速度慢故障处理

1. 故障描述

大量用户上线速度慢。

2. 常见原因

本类故障的常见原因主要包括：

· 配置错误，导致部分用户协商失败，报文重传。

· 报文限速，导致丢包。

· 设备与AAA服务器交互慢，导致认证授权计费慢等。

· 设备CPU占用率过高。

3. 故障分析

本类故障的诊断流程如图22所示：

图22 大量用户上线速度慢故障诊断流程图

4. 处理步骤

(1) 检查是否有用户上线失败。

执行display aaa online-fail-record命令检查是否有用户上线失败，若存在用户上线失败，请根据上线失败原因排查上线失败原因；若是配置错误导致上线失败则更正配置后，再重新上线。

(2) 检查是否有用户异常下线。

执行命令display aaa offline-record检查是否有用户异常下线，若存在异常下线用户，请根据异常下线原因排查下线原因；若是配置错误导致异常下线则更正配置后，再重新上线。

(3) 检查驱动是否有限速丢包。（非vBRAS-CP设备）

Probe视图下执行display hardware internal np pktcnt drop命令查看驱动丢包统计，是否有异常丢包计数，若有则排查丢包原因，若是配置触发则修改配置重新上线。

(4) 检查报文是否有重传。

查看协议报文统计，查看报文是否有重传计数。

¡ DHCP协议报文：请执行display dhcp server packet statistics命令查看DHCP协议报文是否有重传计数。

¡ PPPoE协议报文：请执行display pppoe-server packet statistics命令查看PPPoE协议报文是否有重传计数。

¡ PPP协议报文：，请执行display ppp packet statistics命令查看PPP协议报文是否有重传计数。

若是PPPoE用户上线，则需要分析重传报文是发生在LCP协商阶段、认证阶段，还是IPCP协商阶段，以便进一步定位报文重传原因；若是认证阶段报文有大量重传，则继续下一步。

(5) 排查设备与AAA服务器间通信是否正常。

若认证方式是远端AAA认证，先临时将认证方式修改为不认证，查看上线速率是否有提升。若有提升，则表示设备与AAA服务器交互慢，继续排查设备与AAA服务器交互慢的原因，否则继续下一步。

(6) 检查设备状态。

执行display cpu-usage命令检查设备CPU占用率，若CPU占用较高，则继续执行monitor process命令查看是哪个进程占CPU比较多，收集相关信息并继续执行下一步。

(7) 如果故障仍然未能排除，请收集如下信息，并联系技术支持人员。

¡ 上述步骤的执行结果。

¡ 设备的配置文件、日志信息、告警信息。

8 转控分离组网应用下特有故障处理

8.1 转控分离组网中用户无法上线障故障处理

本章主要介绍转发与控制分离组网中的特有故障的定位方法。对于不是转发与控制分离组网中特有故障的定位方法，同普通BRAS接入故障处理，具体请参见相应章节的故障处理。

1. 故障描述

在转发与控制分离组网中，用户无法正常上线。

2. 常见原因

本类故障的常见原因主要包括：

· BRAS-VM注册故障。

· FWD-VM注册故障。

· CU间NETCONF通道故障。

· CU间CUSP通道故障。

· CU间VXLAN通道故障。

· 远程口没有被管理。

· 配置下发故障。

· 网络故障。

3. 故障分析

本类故障的诊断流程如图23所示：

图23 转控分离组网中用户无法上线故障诊断流程图

4. 处理步骤

(1) 检查BRAS-VM和FWD-VM是否注册成功。

在CP上执行display vm命令查看BRAS-VM和FWD-VM是否向CTRL-VM注册成功。

¡ 如果Registration字段显示为“Registered”，则表示注册成功。请继续执行下一步。

¡ 如果Registration字段显示不为“Registered”，则表示未注册成功。具体故障处理请参见CP产品故障处理手册中的“VM管理故障处理”。

(2) 检查NETCONF通道是否建立。

在CP上执行display netconfc session命令查看CP和UP之间的NETCONF通道是否建立。

¡ 如果可以看到显示信息，则表示NETCONF通道建立成功。请继续执行下一步。

¡ 如果看不到显示信息，则表示NETCONF通道未建立成功。具体故障处理请参见“CP-UP连接管理故障处理”。

(3) 检查CUSP通道是否建立。

在CP上执行display cusp controller命令查看CP和UP之间的CUSP通道是否建立。

¡ 如果Connection state字段显示为“Established”，则表示CUSP通道建立成功。请继续执行下一步。

¡ 如果Connection state字段显示不为“Established”，则表示CUSP通道未建立成功。具体故障处理请参见“CP-UP连接管理故障处理”。

(4) 检查VXLAN通道是否建立。

在CP上执行display protocol-tunnel verbose命令查看CP和UP之间的VXLAN通道是否建立。

¡ 如果Active字段显示为“Yes”，则表示VXLAN通道建立成功。请继续执行下一步。

¡ 如果Active字段显示为“No”，则表示VXLAN通道未建立成功。具体故障处理请参见“CP-UP连接管理故障处理”。

(5) 检查CP是否成功将UP所需BRAS相关配置下发到UP。

在UP上的用户上线接口视图下执行display this命令查看当前接口上是否存在cp-management配置。若存在则表示当前接口已正常接受CP的远程管理，BRAS相关配置被正常下发；若不存在则表示当前接口未接受CP的远程管理，请继续执行下一步。

(6) 检查UP是否收到报文。

在UP上执行display protocol-tunnel packet statistics命令，查看Output packet statistics字段统计：

¡ 若对应报文计数有增加，则继续下一步。

¡ 若对应报文计数没有增加，则先执行debugging ucm forward all命令打开UCM的调试信息开关，查看报文是否上送平台。若没有查看驱动是否有丢包计数，若有丢包计数则联系技术支持人员，若无丢包计数则继续排查网络配置以及链路是否存在故障。

(7) 检查CP是否收到报文。

在CP上执行display protocol-tunnel packet statistics命令，查看Input packet statistics字段统计：

¡ 若对应的报文计数有增加，则继续下一步。

¡ 若对应的报文计数没有增加，则需要在UP与CP连接的网卡通过tcpdump抓包。

¡ 若报文已上送CP，则在FWD的内部口通过Packet Capture功能抓包，查看报文是否已送到FWD，若报文已到达FWD，则在Probe视图下执行display driver ten-gigabitethernet xxx message命令查看X86驱动的丢包统计，可能因为VLAN ID不对，驱动白名单黑名单丢包，可以尝试重新创建VXLAN通道，重新上线。

(8) 根据PPPoE、L2TP或IPoE用户上线失败故障处理章节继续定位。

(9) 如果故障仍然未能排除，请收集如下信息，并联系技术支持人员。

¡ 上述步骤的执行结果。

¡ 设备的配置文件、日志信息、告警信息。

8.2 CP-UP连接管理故障处理

8.2.1 CP-UP间通道故障探测

1. 故障描述

转控分离架构下CP和指定UP间控制通道、管理通道或者协议通道的状态异常。在CTRL-VM上执行cudetect cu tunnel-state命令时，显示信息中的NETCONF Tunnel、CUSP Tunnel、Protocol Tunnel字段取值不全为OK。例如：

<Sysname> cudetect cu tunnel-state up-id 1024

Please wait a few minutes...

Finished.

NETCONF Tunnel: NOK

Please configure the source IP of the NETCONF connetion abc to a interface on CP.

Please check the route to destination IP on CP.

CUSP Tunnel: OK

Protocol Tunnel: NOK

Please check the listening IP of the CUSP controller and the source IP of the protocol tunnel on CP.

2. 常见原因

本类故障的常见原因主要包括如下几类：

· CP与UP之间管理通道配置错误，即NETCONF会话配置错误。

· CP与UP之间控制通道配置错误，即CUSP相关配置错误。

· CP与UP之间协议通道配置错误，即VXLAN隧道相关配置错误。

3. 故障分析

本类故障的诊断思路如下：

(1) 检查CP与UP之间管理通道配置。

(2) 检查CP与UP之间控制通道配置。

(3) 检查CP与UP之间协议通道配置。

本类故障的诊断流程如图24所示。

图24 CP-UP间通道故障探测排查步骤

4. 处理步骤

(1) 检查CP和UP上管理通道的配置详细信息。

在CP上执行命令display current-configuration configuration netconf-client，检查CP侧管理通道的配置信息：

netconf-client

source-address 2.2.2.2

connection 1024

user-name netconf password cipher $c$3$gwdAnb/zm8CEwMs5H9eQ89Hf4JFKXw==

destination-address 1.1.1.1

在CP上执行命令display current-configuration configuration up-manage，检查该UP管理实例绑定的NETCONF连接策略，显示信息如下：

bind netconf-connection 1024

在UP上执行命令display current-configuration | begin ssh，检查UP侧管理通道相关配置信息：

ssh server enable

ssh user netconf service-type netconf authentication-type password

local-user netconf class manage

password hash

bDm4CAp6rlXr9txtlp2w0URVUj8iKJ5a6MhLHmBMoHw==

service-type ssh

authorization-attribute user-role network-admin

authorization-attribute user-role network-operator

netconf ssh server enable

¡ 在CTRL-VM的任意视图下，执行cudetect cu tunnel-state up-id up-id命令，如果显示信息中NETCONF Tunnel字段为NOK时，根据该命令的详细故障提示信息进一步判断：

- 详细提示为“Please configure the source IP of the NETCONF connetion connetion-name to a interface on CP.”时，表示CP侧接口上未配置IP地址，其中connetion-name表示NETCONF连接策略的名称。该情况下，请将CP侧用于NETCONF会话的Loopback接口IP地址与CP的netconf client视图下源地址设置保持一致。

- 详细提示为“Please check the route to destination IP on CP.”时，表示CP侧缺少到UP侧的路由。该情况下，请在CP上配置静态路由或路由协议，以保证NETCONF会话的源和目的地址之间可达。

- 详细提示为“Please check the username and password on CP.”时，表示CP侧配置的与UP侧建立NETCONF会话使用的用户名或密码不合法。请保证CP侧netconf client视图下user-name命令设置的用户名和密码与UP侧的SSH类型的本地用户配置匹配。UP侧的SSH类型的本地用户的认证方式为password。

- 详细提示为“Please check the network configuration between CP and UP.”时，表示UP侧可能未配置IP地址或到CP的路由，也可能是CP和UP间网络故障。请在UP侧规划用于NETCONF会话的接口上配置IP地址，该IP地址必须与CP侧netconf client视图下通过destination-address命令配置的目的地址保持一致，并通过命令display netconf session显示信息中的Client IP address字段检查是否配置成功。再执行命令display ip routing-table确认UP侧NECONF会话客户端IP到CP的NECONF会话源地址可达。如果不可达，请在UP侧配置静态路由或路由协议。

- 详细提示为“Please check the NETCONF SSH configuration between CP and UP.”时，表示CP和UP的SSH配置有误。请确认CP和UP上SSH配置无缺失。

- 如果是其它提示信息，请参见“CP和UP之间管理通道创建失败”处理。

¡ 在CTRL-VM上执行cudetect cu tunnel-state up-id up-id命令，如果显示信息中NETCONF Tunnel字段为NA，则表示NETCONF模块本身状态异常，请参见“CP和UP之间管理通道创建失败”继续处理。

¡ 在CTRL-VM上执行cudetect cu tunnel-state up-id up-id命令，如果显示信息中NETCONF Tunnel字段为OK，则表示CP与UP之间管理通道状态正常，请继续排除其它通道的配置问题。

(2) 检查CP和UP上控制通道的配置详细信息。

在CP上执行命令display current-configuration configuration cusp-controller和display current-configuration configuration up-manage检查CP和UP控制通道的配置信息：

cusp controller

listening-ip 2.2.2.2

agent up1

agent-ip 1.1.1.1

up-manage id 1024

control-tunnel cusp-agent up1

up-config

cusp agent up1

local-address 1.1.1.1

controller address 2.2.2.2

¡ 在CTRL-VM的任意视图下，执行cudetect cu tunnel-state up-id up-id命令，如果显示信息中CUSP Tunnel字段为NOK，请根据该命令的详细故障提示信息进一步判断：

- 详细提示为“Please configure the CUSP controller on CP.”时，表示CP侧未开启CUSP控制器功能，请在CP的系统视图下执行cusp controller命令开启CUSP控制器功能。

- 详细提示为“Please configure the listening IP on CP.”时，表示CP侧未配置CUSP控制器的监听地址，请在CP的cusp-controller视图下执行listening-ip命令配置CUSP控制器的监听地址。

- 详细提示为“Please configure the listening IP to an interface on CP.”时，表示CP侧未在接口上配置CUSP控制器的监听地址，请在规划的CUSP控制通道接口上配置IP地址，并保证该IP地址与CP的cusp-controller视图下listening-ip命令配置的监听地址一致。

- 详细提示为“Please configure the CUSP agent on CP.”时，表示CP侧未添加CUSP代理，请在CP的agent视图下执行agent命令添加CUSP代理。

- 详细提示为“Please configure the CUSP agent IP on CP.”时，表示CP侧CUSP控制器未配置允许连接的CUSP代理的IP地址，请在CP的agent视图下执行agent-ip命令配置IP地址。

- 详细提示为“Please check the IP version of the listening IP and CUSP agent IP on CP.”时，表示CP侧CUSP控制器的监听地址和CUSP代理的地址的版本不一致，请在CP的cusp-controller视图下通过listening-ip命令或者CP的agent视图下agent-ip命令修改IP地址，并保证两者同为IPv4或IPv6地址。

- 详细提示为“Please configure the VPN instance on CP.”时，表示CP侧未创建CUSP控制器所属的VPN实例。在CP的cusp-controller视图下执行listening-ip命令时请确认指定的VPN实例已创建。

- 详细提示为“Please check the listening IP on CP and the controller address on UP.”时，表示CP侧CUSP控制器的监听地址和UP侧配置的CUSP控制器的IP地址不一致。请在CP的cusp-controller视图下通过listening-ip命令或者cusp-agent视图下controller address命令修改IP地址，保持两者一致。

- 详细提示为“Please check the agent IP on CP and the local address on UP.”时，表示CP侧配置CUSP代理的IP地址和UP侧配置CUSP代理的本地IP地址不一致，请在CP的agent视图下通过agent-ip命令或cusp-agent视图下的local-address命令修改IP地址，保持两者一致。

- 详细提示为“Please configure the CUSP agent on UP.”时，表示UP侧未配置CUSP代理。请在CP的up-config视图下执行cusp agent命令配置CUSP代理。

- 详细提示为“Please configure the local address on UP.”时，表示UP侧未配置CUSP代理的本地IP地址。请在CP的cusp-agent视图下执行local-address命令配置CUSP代理的本地IP地址。

- 详细提示为“Please configure the controller address on UP.”时，表示UP侧未配置CUSP代理连接的CUSP控制器的IP地址。请在CP的cusp-agent视图下执行controller address命令配置CUSP控制器的IP地址。

- 详细提示为“Please check the IP version of the local address and controller address on UP.”时，表示UP侧CUSP控制器的IP地址和CUSP代理的本地IP地址的IP版本不一致。请在CP的cusp-agent视图下执行undo local-address命令或undo controller address命令，删除错误配置的IP地址后再重新配置。

- 详细提示为“Cannot check the UP configuration because of the disconnection of the CU NETCONF tunnel.”时，表示CP和UP间管理通道状态异常，CP侧无法检查UP侧CUSP配置。请返回步骤(1)检查CP和UP上管理通道的配置详细信息。

¡ 在CTRL-VM上执行cudetect cu tunnel-state up-id up-id命令，如果显示信息中CUSP Tunnel字段为NA表示无法检测具体错误原因，请参见“CP和UP之间控制通道创建失败”继续处理。

¡ 在CTRL-VM上执行cudetect cu tunnel-state up-id up-id命令，如果显示信息中CUSP Tunnel字段为OK，CP与UP之间控制通道状态正常，请继续排除其它通道的配置问题。

(3) 检查CP和UP上协议通道的配置详细信息。

在CP上执行命令display current-configuration | begin up-manage检查CP侧和UP侧协议通道的配置信息：

up-manage id 1024

protocol-tunnel vxlan 10 source 2.2.2.2 destination 1.1.1.1

cu-agent

protocol-tunnel vxlan 10 source 1.1.1.1 destination 2.2.2.2

¡ 在CTRL-VM上执行cudetect cu tunnel-state up-id up-id命令，如果显示信息中Protocol Tunnel字段为NOK，根据该命令的详细故障提示信息进一步判断：

- 详细提示为“Please configure the protocol tunnel on CP.”时，表示CP侧未配置协议通道参数，请在CP侧UP管理视图下执行 protocol-tunnel命令配置CP和UP之间的协议通道的参数。

- 详细提示为“Please check the listening IP of the CUSP controller and the source IP of the protocol tunnel on CP.”时，表示CP侧协议通道源IP地址和CUSP控制器监听地址不一致，请在CP侧UP管理视图下执行protocol-tunnel命令修改协议通道的源IP地址，并保证与listening-ip命令配置的监听地址一致。

- 详细提示为“Please check the agent IP of the CUSP controller and the destination IP of the protocol tunnel on CP.”时，表示CP侧协议通道目的IP地址和CUSP控制器代理地址不一致。请在CP侧UP管理视图下执行protocol-tunnel命令修改协议通道源的目的IP地址，并保证与agent-ip命令配置的代理地址一致。

- 详细提示为“Please check the source IP of the protocol tunnel on CP and the destination IP of the protocol tunnel on UP.”时，表示CP侧协议通道源IP地址和UP侧协议通道目的IP地址不一致。请在CP侧UP管理视图下执行protocol-tunnel命令修改CP侧的协议通道的源IP地址，或cu-agent视图下执行protocol-tunnel命令修改UP侧的协议通道的目的IP地址，并保证两者一致。

- 详细提示为“Please check the destination IP of the protocol tunnel on CP and the source IP of the protocol tunnel on UP.”时，表示CP侧协议通道目的IP地址和UP侧协议通道源IP地址不一致。请在CP侧UP管理视图下执行protocol-tunnel命令修改CP侧的协议通道的目的IP地址，或cu-agent视图下执行protocol-tunnel命令修改UP侧的协议通道的源IP地址，并保证两者一致。

- 详细提示为“Please configure the protocol tunnel on UP.”时，表示UP侧未配置协议通道参数。请在CP侧cu-agent视图下执行protocol-tunnel命令配置UP和CP之间的协议通道的参数。

- 详细提示为“Please check the local address of the CUSP agent and the source IP of the protocol tunnel on UP.”时，表示UP侧协议通道源IP地址和CUSP代理的本地地址不一致。请在CP侧cu-agent视图下执行protocol-tunnel命令修改UP侧协议通道源IP地址，并保证与local-address命令指定的地址一致。

- 详细提示为“Please check the controller address of the CUSP agent and the destination IP of the protocol tunnel on UP.”时，表示UP侧协议通道目的IP地址和CUSP代理的控制器地址不一致。请在CP侧cu-agent视图下执行protocol-tunnel命令修改UP侧协议通道目的IP地址，并保证与controller address命令指定的地址一致。

- 详细提示为“Please check the VXLAN ID of the protocol tunnel between CP and UP.”时，表示CP和UP间协议通道VXLAN编号不一致。请在CP侧UP管理视图下执行protocol-tunnel命令修改CP侧的VXLAN编号，或cu-agent视图下执行protocol-tunnel命令修改UP侧的VXLAN编号，并保证两者一致。

- 详细提示为“Please check the abnormal state of the CUSP tunnel between CP and UP.”时，表示CP和UP间控制通道状态异常。请返回步骤(1)检查CP和UP上控制通道的配置详细信息。

- 详细提示为“Cannot check the configuration of the protocol tunnel on UP because of the disconnection of the CU NETCONF tunnel.”时，表示CP和UP间管理通道状态异常，CP侧无法检查UP侧协议通道配置。请返回步骤(1)检查CP和UP上管理通道的配置详细信息。

¡ 在CTRL-VM上执行cudetect cu tunnel-state up-id up-id命令，如果显示信息中Protocol Tunnel字段为NA表示VXLAN模块本身状态异常，故障探测工具无法检测具体错误原因，请参见“CP和UP之间协议通道创建失败”继续处理。

¡ 在CTRL-VM上执行cudetect cu tunnel-state up-id up-id命令，如果显示信息中Protocol Tunnel字段为OK，CP与UP之间协议通道状态正常。

(4) 如果故障仍然未能排除，请收集如下信息，并联系技术支持人员。

¡ 上述步骤的执行结果。

¡ 设备的配置文件、日志信息、告警信息。

5. 告警与日志

8.2.2 CP和UP之间的管理通道创建失败

1. 故障描述

CP和UP之间未创建管理通道。在CP上执行display netconfc session命令时，没有显示指定UP（Peer ID）的NETCONF会话信息。

2. 常见原因

本类故障的常见原因包括：

· 物理链路故障，导致CP与UP设备之间的路由不通。

· CP或UP的管理通道配置错误。

3. 故障分析

本类故障的诊断流程如图25所示。

图25 CP和UP之间的管理通道创建失败的诊断流程图

4. 处理步骤

(1) 检查物理链路是否存在故障。

在CP上尝试能否ping通UP设备上与CP直连接口的IP地址。

如果不能ping通，则在CP上执行display ip routing-table命令或者display route-static routing-table命令查看去往UP的路由出接口，再执行display interface命令检查该接口状态：

<CTRL-VM> display interface gigabitethernet 5/3/0

GigabitEthernet5/3/0

Interface index: 386

Current state: Administratively DOWN

Line protocol state: DOWN

...

a. 如果Current state显示为Administratively DOWN，则在接口下执行undo shutdown命令打开关闭的接口。如果Current state显示为DOWN，则检查接口的物理连线是否正确。

b. 在UP上重复以上步骤检查和修复UP上去往CP的路由出接口状态。

c. 如果CP和UP之间存在其他设备，按上述步骤逐跳检查和修复CP和UP之间各设备连接的物理接口状态。

d. 如果CP和指定UP间物理链路正常，而问题仍未解决，请继续执行以下操作。

(2) 检查CP上的管理通道配置是否存在错误。

在CP上执行命令display current-configuration configuration netconf-client检查CP侧管理通道的配置信息：

<CTRL-VM> display current-configuration configuration netconf-client

netconf-client

source-address 2.2.2.2

connection 1024

user-name netconf password cipher $c$3$J29ZV3fWskY85w0NwEO1p/LAWauPdx6Kw4xiLOn

W2dPMGEs=

destination-address 1.1.1.1

connection 1025

user-name netconf password cipher $c$3$YhPZ2Xk+MH9BNcxshQ0w8fewibpnQw2ojT1xkP2

hax3HDaE=

destination-address 3.3.3.3

在CTRL-VM上执行cudetect cu tunnel-state up-id up-id命令，如果显示信息中“NETCONF Tunnel”字段为NOK或NA，请参见“CP-UP间通道故障探测”检查CP和UP上管理通道的配置详细信息；如果该字段显示为OK，而问题仍未解决，请继续执行以下操作。

(3) 检查UP上的管理通道配置是否存在错误。

在UP上执行display current-configuration | begin ssh命令：

<UP1024> display current-configuration | begin ssh

ssh server enable

ssh user netconf service-type netconf authentication-type password

...

local-user netconf class manage

password hash $h$6$nJfK2tYuvrbih32X$+reBw1rUDg9R3z1rJ2+cs09hYIVQT7IzzxdnZe2/Nsg

liHTsJI+qDT/dbRqLQpP+it44esvq9xRfcujMdRB9Bw==

service-type ssh

authorization-attribute user-role network-admin

authorization-attribute user-role network-operator

netconf ssh server enable

return

¡ 请确保UP上配置了ssh server enable命令。

¡ 请确保UP上开启了NETCONF over SSH的接入方式（netconf ssh server enable命令）。

(4) 如果故障仍然未能排除，请收集如下信息，并联系技术支持人员。

¡ 上述步骤的执行结果。

¡ 设备的配置文件、日志信息、告警信息。

5. 告警与日志

8.2.3 CP和UP之间的管理通道报文转发异常

1. 故障描述

CP和UP之间的管理通道未能正常转发管理报文，导致用户业务流量被丢弃。

2. 常见原因

本类故障的常见原因为物理链路故障，导致CP与UP设备之间的路由不通。

3. 故障分析

本类故障的诊断流程如图26所示。

图26 CP和UP之间的管理通道报文转发异常的诊断流程图

4. 处理步骤

(1) 检查物理链路是否存在故障。

在CP上尝试能否ping通UP设备上与CP直连接口的IP地址。

<CTRL-VM> display interface gigabitethernet 5/3/0

GigabitEthernet5/3/0

Interface index: 386

Current state: Administratively DOWN

Line protocol state: DOWN

...

a. 如果Current state显示为Administratively DOWN，则在接口下执行undo shutdown命令打开关闭的接口。如果Current state显示为DOWN，则检查接口的物理连线是否正确。

b. 在UP上重复以上步骤检查和修复UP上去往CP的路由出接口状态。

c. 如果CP和UP之间存在其他设备，按上述步骤逐跳检查和修复CP和UP之间各设备连接的物理接口状态。

(2) 如果故障仍然未能排除，请收集如下信息，并联系技术支持人员。

¡ 上述步骤的执行结果。

¡ 设备的配置文件、日志信息、告警信息。

5. 告警与日志

8.2.4 CP和UP之间的控制通道创建失败

1. 故障描述

CP和UP之间未创建控制通道。在CP上执行display cusp controller命令时，没有显示指定UP的CUSP代理信息（即Agent name及UP ID、Control tunnel state等字段）。

2. 常见原因

本类故障的常见原因包括：

· 物理链路故障，导致CP与UP设备之间的路由不通。

· CP或UP的控制通道配置错误。

3. 故障分析

本类故障的诊断流程如图27所示。

图27 CP和UP之间的控制通道创建失败的诊断流程图

4. 处理步骤

(1) 检查物理链路是否存在故障。

在CP上尝试能否ping通UP设备上与CP直连接口的IP地址。

<CTRL-VM> display interface gigabitethernet 5/3/0

GigabitEthernet5/3/0

Interface index: 386

Current state: Administratively DOWN

Line protocol state: DOWN

...

a. 如果Current state显示为Administratively DOWN，则在接口下执行undo shutdown命令打开关闭的接口。如果Current state显示为DOWN，则检查接口的物理连线是否正确。

b. 在UP上重复以上步骤检查和修复UP上去往CP的路由出接口状态。

c. 如果CP和UP之间存在其他设备，按上述步骤逐跳检查和修复CP和UP之间各设备连接的物理接口状态。

d. 如果CP和指定UP间物理链路正常，而问题仍未解决，请继续执行以下操作。

(2) 检查CP上的控制通道配置是否存在错误。

在CP上执行display current-configuration | begin cusp命令，查看是否配置了listening-ip、agent-ip命令：

<CTRL-VM> display current-configuration | begin cusp

cusp controller

listening-ip 2.2.2.2

agent up1024

agent-ip 1.1.1.1

agent up1025

agent-ip 3.3.3.3

...

在CTRL-VM上执行cudetect cu tunnel-state up-id up-id命令，如果显示信息中“CUSP Tunnel”字段为NOK或NA，请参见“CP-UP间通道故障探测”检查CP和UP上控制通道的配置详细信息；如果该字段显示OK，而问题仍未解决，请继续执行以下操作。

(3) 检查UP上的控制通道配置是否存在错误。

在UP上执行display current-configuration | begin cusp命令：

<UP1024> display current-configuration | begin cusp

cusp agent up1024

local-address 1.1.1.1

controller address 2.2.2.2

...

¡ 请确保UP上local-address命令（cusp-agent视图）和CP上agent-ip命令（agent视图）配置的IP地址一致。

¡ 请确保UP上controller address命令（cusp-agent视图）和CP上listening-ip命令（cusp-controller视图）配置的IP地址一致。

(4) 如果故障仍然未能排除，请收集如下信息，并联系技术支持人员。

¡ 上述步骤的执行结果。

¡ 设备的配置文件、日志信息、告警信息。

5. 告警与日志

8.2.5 CP和UP之间的控制通道报文转发异常

1. 故障描述

CP和UP之间的控制通道未能正常转发控制报文，导致用户业务流量被丢弃。

2. 常见原因

本类故障的常见原因为物理链路故障，导致CP与UP设备之间的路由不通。

3. 故障分析

本类故障的诊断流程如图28所示。

图28 CP和UP之间的控制通道报文转发异常的诊断流程图

4. 处理步骤

(1) 检查物理链路是否存在故障。

在CP上尝试能否ping通UP设备上与CP直连接口的IP地址。

<CTRL-VM> display interface gigabitethernet 5/3/0

GigabitEthernet5/3/0

Interface index: 386

Current state: Administratively DOWN

Line protocol state: DOWN

...

a. 如果Current state显示为Administratively DOWN，则在接口下执行undo shutdown命令打开关闭的接口。如果Current state显示为DOWN，则检查接口的物理连线是否正确。

b. 在UP上重复以上步骤检查和修复UP上去往CP的路由出接口状态。

c. 如果CP和UP之间存在其他设备，按上述步骤逐跳检查和修复CP和UP之间各设备连接的物理接口状态。

(2) 如果故障仍然未能排除，请收集如下信息，并联系技术支持人员。

¡ 上述步骤的执行结果。

¡ 设备的配置文件、日志信息、告警信息。

5. 告警与日志

8.2.6 CP和UP之间的协议通道创建失败

1. 故障描述

在CP和UP上分别执行display protocol-tunnel verbose命令，查看到CP和UP之间的VXLAN通道未正常建立，显示信息中的Active字段显示为“No”。

2. 常见原因

本类故障的常见原因主要包括：

· 协议通道VXLAN相关的配置错误。

· CP和指定UP间CUSP通道故障。

· 物理链路故障。

3. 故障分析

本类故障的诊断流程如图29所示。

图29 CP和UP之间的协议通道创建失败的故障诊断流程图

4. 处理步骤

(1) 检查物理链路是否存在故障。

在CP上执行display ip routing-table命令或者display route-static routing-table命令查看去往UP的路由出接口，执行display interface命令检查出接口状态，例如，

<Sysname> display interface gigabitethernet 1/0/1

GigabitEthernet1/0/1

Interface index: 386

Current state: Administratively DOWN

Line protocol state: DOWN

…

a. 如果Current state显示为Administratively DOWN，则在接口下执行undo shutdown命令打开关闭的接口。如果Current state显示为DOWN，则检查接口的物理连线。

b. 在UP上重复以上步骤检查和修复UP上去往CP的路由出接口状态。

c. 如果CP和UP之间存在其他设备，按上述步骤逐跳检查和修复CP和UP之间各设备连接的物理接口状态。

d. 如果CP和指定UP间物理链路正常，问题仍未解决，则请继续执行以下操作。

(2) 检查协议通道VXLAN相关的配置。

在CP上执行命令display current-configuration configuration up-manage检查CP侧和UP侧协议通道的详细配置信息：

<Sysname> display current-configuration configuration up-manage

up-manage id 1024

protocol-tunnel vxlan 10 source 2.2.2.2 destination 1.1.1.1

cu-agent

protocol-tunnel vxlan 10 source 1.1.1.1 destination 2.2.2.2

在CTRL-VM上执行cudetect cu tunnel-state up-id up-id命令，如果显示信息中Protocol Tunnel字段为NOK或NA时，请参见“CP-UP间通道故障探测”中的CP和UP上协议通道的配置检查部分排查和修改UP和CP间的协议通道配置。

如果协议通道VXLAN相关的配置正常，问题仍未解决，则请继续执行以下操作。

(3) 检查CP和指定UP间CUSP通道是否正常。

在CP上执行display cusp controller命令时：

¡ 如果没有显示指定UP的CUSP代理信息（即Agent name及UP ID、Control tunnel state等字段），则表示CUSP通道没有建立成功，请参见“CP和UP之间的控制通道创建失败”故障处理手册继续处理。

¡ 如果Connection state字段显示为“Established”，则表示CUSP通道建立成功。请继续执行下一步。

(4) 如果故障仍然未能排除，请收集如下信息，并联系技术支持人员。

¡ 上述步骤的执行结果。

¡ 设备的配置文件、日志信息、告警信息。

5. 告警与日志

8.2.7 CP和UP之间的协议通道报文转发异常

1. 故障描述

CP和UP之间的协议通道未能正常转发VXLAN报文，导致用户业务流量被丢弃。

2. 常见原因

本类故障的常见原因主要包括：

· 协议通道VXLAN相关的配置错误。

· CP没有对UP上的用户上线接口的远程纳管。

· UP未正常上送报文到CP处理。

· CP与UP设备之间物理链路存在故障。

3. 故障分析

本类故障的诊断流程如图30所示。

图30 CP和UP之间的协议通道报文转发异常的故障诊断流程图

4. 处理步骤

(1) 检查物理链路是否存在故障。

在CP上执行display ip routing-table命令或者display route-static routing-table命令查看去往UP的路由出接口，执行display interface命令检查出接口状态，例如，

<Sysname> display interface gigabitethernet 1/0/1

GigabitEthernet1/0/1

Interface index: 386

Current state: Administratively DOWN

Line protocol state: DOWN

…

a. 如果显示为Administratively DOWN，则在接口下执行undo shutdown命令打开关闭的接口。如果Current state显示为DOWN，则检查接口的物理连线。

b. 在UP上重复以上步骤检查和修复UP上去往CP的路由出接口状态。

c. 如果CP和UP之间存在其他设备，按上述步骤逐跳检查和修复CP和UP之间各设备连接的物理接口状态。

d. 如果CP和指定UP间物理链路正常，问题仍未解决，则请继续执行以下操作。

(2) 检查协议通道VXLAN相关的配置。

在CP上执行命令display current-configuration configuration up-manage检查CP侧和UP侧协议通道的详细配置信息：

<Sysname> display current-configuration configuration up-manage

up-manage id 1024

protocol-tunnel vxlan 10 source 2.2.2.2 destination 1.1.1.1

cu-agent

protocol-tunnel vxlan 10 source 1.1.1.1 destination 2.2.2.2

如果协议通道VXLAN相关的配置正常，问题仍未解决，则请继续执行以下操作。

(3) 检查远端接口是否被管理。

在UP上的用户上线接口下执行display this命令，查看当前接口上是否存在cp-management配置。

¡ 若存在则表示当前接口已正常接受CP的远程管理，BRAS相关配置被正常下发；

¡ 若不存在则表示当前接口未接受CP的远程管理，请参见“CP和UP之间的管理通道创建失败”，“CP和UP之间的控制通道创建失败”排查管理通道和控制通道故障。

¡ 如果远端接口被正常管理，问题仍未解决，则请继续执行以下操作。

(4) 检查CP和UP之间协议报文的交互是否正常。

在用户端模拟反复上线拨号操作，同时在CP上以一定的间隔（推荐30秒）重复执行display protocol-tunnel packet statistics命令，查看显示的协议通道的报文统计信息，并记录每次显示的Input packet statistics值：

¡ 若对应的报文计数有增加，则表示VXLAN协议通道正常。

¡ 若对应的报文计数没有增加，则表示CP上未收到UP的协议报文。以一定的间隔（推荐30秒）重复执行display protocol-tunnel packet statistics命令，并记录每次显示Output packet statistics值：

<Sysname> display protocol-tunnel packet statistics

Input packet statistics:

Total: 7283

PPPoE PADI and PADO: 3

Other PPPoE: 0

DHCP DISCOVER and OFFER: 129

Other DHCP: 181

DHCPv6: 0

ND: 6970

L2TP: 0

ARP: 0

IPv4 data miss: 0

IPv6 data miss: 0

Ethernet: 0

IPv4: 0

IPv6: 0

Drop: 0

Output packet statistics:

Total: 1121

PPPoE PADI and PADO: 6

Other PPPoE: 0

DHCP DISCOVER and OFFER: 284

Other DHCP: 393

DHCPv6: 0

ND: 0

L2TP: 0

ARP: 0

IPv4 data miss: 417

IPv6 data miss: 21

Ethernet: 0

IPv4: 0

IPv6: 0

Drop: 0

若对应报文计数没有增加，则执行debugging ucm forward all命令打开UCM的调试信息开关，收集调试信息，并继续执行以下操作。

(5) 如果故障仍然未能排除，请收集如下信息，并联系技术支持人员。

¡ 上述步骤的执行结果。

¡ 设备的配置文件、日志信息、告警信息。

5. 告警与日志

8.3 弹性伸缩故障处理

8.3.1 对VM手动扩缩容失败

1. 故障描述

采用VNFM-vBRAS对VM进行手工扩缩容失败。

2. 常见原因

本类故障的常见原因主要包括：

· 对BRAS-VM进行手工缩容时，BRAS-VM关联了UP。

· vBRAS与VNFM-vBRAS之间的链路故障。

· vBRAS与VNFM-vBRAS之间的连接配置错误。

· 部署VM的服务器硬件资源不足。

3. 故障分析

本类故障的诊断流程如图31所示。

图31 对VM手动伸缩失败的故障诊断流程图

4. 处理步骤

(1) 检查BRAS-VM是否关联了UP。

当进行手工扩容操作时，无论BRAS-VM是否关联UP，请执行步骤(2)。

当进行手工缩容操作时，请在CP上执行display bras-vm-up associated-info命令查看BRAS-VM与UP的关联信息。

<Sysname> display bras-vm-up associated-info

Slot UP ID

129, 130 1024

¡ 如果BRAS-VM关联了UP，则请在CP上执行up-migrate to bras-vm命令将UP从该BRAS-VM迁出。

¡ 如果BRAS-VM未关联UP，则执行步骤(2)。

(2) 检查vBRAS与VNFM-vBRAS之间的链路是否故障。

如果CP上输出如下日志信息，则表示vBRAS与VNFM-vBRAS之间的链路存在故障。

VMMGR/4/VMMGR_CREATE_FAIL: Failed to manually create VM 99 in group 67. Reason: Failed to connect to the vBRASSO server.

VMMGR/4/VMMGR_DELETE_FAIL: Failed to delete the manually created VM on slot 99 in group 67. Reason: Connection with the vBRASSO server timed out.

请在CTRL-VM上执行ping命令，检测到VNFM-VBRAS的IP地址的连通性。

¡ 如果不可以ping通，则请参见“Ping不通故障处理”进行定位。

¡ 如果可以ping通，则执行步骤(3)。

(3) 检查vBRAS与VNFM-vBRAS之间的连接配置是否错误。

如果存在以下情况，则表示vBRAS与VNFM-VBRAS之间的连接配置错误：

¡ CP上输出如下日志信息：

VMMGR/4/VMMGR_CREATE_FAIL: Failed to manually create VM 99 in group 67. Reason: Failed to connect to the vBRASSO server.

VMMGR/4/VMMGR_DELETE_FAIL: Failed to delete the manually created VM on slot 99 in group 67. Reason: Connection with the vBRASSO server timed out.

¡ 在CP上执行display vbras-cp stable state vnfm命令显示VNFM模块的运行状态信息，显示和VNFM的通信状态为Not configured或Disconnected。

<Sysname> display vbras-cp stable state vnfm

------------------------------VNFM state------------------------------

VNFM communication state: Connected

请在CP上执行display current-configuration命令查看VNFM-vBRAS的配置信息，需要确保vnfm address命令的配置和登录VNFM-vBRAS时实际使用的IP地址、端口号、用户名、密码和与VNFM-vBRAS通信的方式（HTTP或HTTPS）一致，以保证各功能模块能够和VNFM-vBRAS正常通信。

<Sysname> display current-configuration | include vnfm

vnfm address 192.168.73.33 user test password simple 123456789 http-method port 30000

¡ 如果VNFM-vBRAS配置不正确，则执行vnfm address命令修改VNFM-vBRAS的配置信息。

¡ 如果VNFM-vBRAS配置正确，则执行步骤(4)。

(4) 检查VM部署是否正常。

如果CP上输出如下日志信息，则表示VM部署不正常。

VMMGR/4/VMMGR_CREATE_FAIL: Failed to manually create VM 99 in group 67. Reason: The vBRASSO server failed to create the VM.

VMMGR/4/VMMGR_DELETE_FAIL: Failed to delete the manually created VM on slot 99 in group 67. Reason: The vBRASSO server failed to delete the VM.

¡ 如果VM部署不正常，则请参见“VM部署失败故障处理”进行定位。

¡ 如果VM部署正常，则执行步骤(5)。

(5) 如果故障仍然未能排除，请收集如下信息，并联系技术支持人员。

¡ 上述步骤的执行结果。

¡ 设备的配置文件、日志信息、告警信息。

5. 告警与日志

8.3.2 对VM自动扩缩容失败

1. 故障描述

对VM进行自动扩缩容失败。

2. 常见原因

本类故障的常见原因主要包括：

· 未开启BRAS-VM自动扩缩容功能。

· 自动扩缩容的延时时间到达后，不满足扩缩容条件。

· vBRAS与VNFM-VBRAS之间的链路故障。

· vBRAS与VNFM-VBRAS之间的连接配置错误。

· 部署VM的服务器硬件资源不足。

3. 故障分析

本类故障的诊断流程如图32所示。

图32 对VM自动扩缩容失败的故障诊断流程图

4. 处理步骤

(1) 判断是否基于UP数进行自动扩缩容失败。

在CP上执行display bras-scale capacity命令查看当前BRAS-VM的扩缩容能力。

<Sysname> display bras-scale capacity slot 129

Slot: 129, 130

Current UP count: 16

UP count threshold: 64

Current user count: 1000

Max user count: 2000000

User count lower threshold: 200000

User count alert threshold: 1600000

User count upper threshold: 1800000

Current delay time: 300s(will expand to 600s after 2 retry)

¡ 如果Current UP count（当前UP数）字段的值大于等于UP count threshold（UP扩容门限）字段的值、或者Current UP count（当前UP数）字段的值为0，则表示基于UP数进行自动扩缩容失败，请执行步骤(2)。

¡ 如果Current UP count（当前UP数）字段的值小于UP count threshold（UP扩容门限）字段的值、或者Current UP count（当前UP数）字段的值不为0，则表示基于用户数进行自动扩缩容失败，请执行步骤(3)。

(2) 检查BRAS-VM自动扩缩容功能是否开启。

在CP上执行display current-configuration命令查看BRAS-VM自动扩缩容功能是否开启。

<Sysname> display current-configuration | include bras-scale

bras-scale enable

¡ 如果BRAS-VM自动扩缩容功能未开启，则在系统视图下执行bras-scale enable命令开启BRAS-VM自动扩缩容功能。

¡ 如果BRAS-VM自动扩缩容功能开启，则执行步骤(3)。

(3) 检查BRAS-VM自动扩缩容的超时时间是否到达。

如果CP上输出如下日志信息，则表示已到达BRAS-VM自动扩缩容的超时时间。

VMMGR/4/VMMGR_CREATE_FAIL_FINAL: Failed to automatically create VM 99 in group 67 after the maximum number of retries reached.

VMMGR/4/VMMGR_DELETE_FAIL_FINAL: Failed to delete the automatically created VM on slot 99 in group 67 after the maximum number of retries reached.

请在CP上执行display bras-scale capacity命令查看当前的自动扩缩容的延迟时间。

<Sysname> display bras-scale capacity slot 129

Slot: 129, 130

Current UP count: 16

UP count threshold: 64

Current user count: 1000

Max user count: 2000000

User count lower threshold: 200000

User count alert threshold: 1600000

User count upper threshold: 1800000

Current delay time: 300s(will expand to 600s after 2 retry)

¡ 如果Current delay time字段显示值大于bras-scale delay-time命令配置值，则表示自动扩缩容的超时时间超时，请等待Current delay time所对应的时间再进行用户上下线操作。

¡ 如果Current delay time字段显示值与bras-scale delay-time命令配置值相同，则表示自动扩缩容的超时时间未超时，请执行步骤(4)。

(4) 检查vBRAS与VNFM-VBRAS之间的链路是否故障。

如果CP上输出如下日志信息，则表示vBRAS与VNFM-vBRAS之间的链路存在故障。

VMMGR/4/VMMGR_CREATE_FAIL: Failed to manually create VM 99 in group 67. Reason: Failed to connect to the vBRASSO server.

VMMGR/4/VMMGR_DELETE_FAIL: Failed to delete the manually created VM on slot 99 in group 67. Reason: Connection with the vBRASSO server timed out.

请在CTRL-VM上执行ping命令，检测到VNFM-VBRAS的IP地址的连通性。

¡ 如果不可以ping通，则请参见“Ping不通故障处理”进行定位。

¡ 如果可以ping通，则执行步骤(5)。

(5) 检查vBRAS与VNFM-VBRAS之间的连接配置是否错误。

如果存在以下情况，则表示vBRAS与VNFM-VBRAS之间的连接配置错误：

¡ CP上输出如下日志信息：

VMMGR/4/VMMGR_CREATE_FAIL: Failed to manually create VM 99 in group 67. Reason: Failed to connect to the vBRASSO server.

VMMGR/4/VMMGR_DELETE_FAIL: Failed to delete the manually created VM on slot 99 in group 67. Reason: Connection with the vBRASSO server timed out.

¡ 在CP上执行display vbras-cp stable state vnfm命令显示VNFM模块的运行状态信息，显示和VNFM的通信状态为Not configured或Disconnected。

<Sysname> display vbras-cp stable state vnfm

------------------------------VNFM state------------------------------

VNFM communication state: Connected

<Sysname> display current-configuration | include vnfm

vnfm address 192.168.73.33 user test password simple 123456789 http-method port 30000

¡ 如果VNFM-vBRAS配置不正确，则执行vnfm address命令修改VNFM-vBRAS的配置信息。

¡ 如果VNFM-vBRAS配置正确，则执行步骤(6)。

(6) 检查VM部署是否正常。

如果CP上输出如下日志信息，则表示VM部署不正常。

VMMGR/4/VMMGR_CREATE_FAIL: Failed to manually create VM 99 in group 67. Reason: The vBRASSO server failed to create the VM.

VMMGR/4/VMMGR_DELETE_FAIL: Failed to delete the manually created VM on slot 99 in group 67. Reason: The vBRASSO server failed to delete the VM.

¡ 如果VM部署不正常，则请参见“VM部署失败故障处理”进行定位。

¡ 如果VM部署正常，则执行步骤(7)。

(7) 如果故障仍然未能排除，请收集如下信息，并联系技术支持人员。

¡ 上述步骤的执行结果。

¡ 设备的配置文件、日志信息、告警信息。

5. 告警与日志

8.4 CP异地容灾故障处理

1. 故障描述

· 热备模式下，用户在主CP上线后，用户信息无法备份到备CP。

· 互为主备的CP无法协商出主备角色，出现双主或者双备。

· 主备切换后新用户无法通过新主CP上线。

2. 常见原因

本类故障的常见原因主要包括：

· 路由故障。

· CP心跳通道未建立成功。

· CP数据备份通道未建立成功。

· 设备发送RADIUS报文使用的源接口配置错误。

· 主备CP上配置不一致。

3. 故障分析

本类故障的诊断流程如图33所示：

图33 CP异地容灾故障诊断流程图

4. 处理步骤

(1) 检查主备CP之间路由是否可达。

在其中一台CP上ping另一台CP，如果可以ping通，则继续下一步。如果不能ping通，则解决路由不通问题。

(2) 检查主备和UP之间路由是否可达。

在UP上分别ping主备CP，如果都可以ping通，则继续下一步。如果不能ping通，则解决路由不通问题。

(3) 检查主CP和AAA等服务器间路由是否可达。

在主CP上ping AAA等服务器，如果可以ping通，则继续下一步。如果不能ping通，则解决路由不通问题。

(4) 检查主备CP上BRAS相关配置是否一致。

在主备CP上均执行display current-configuration命令，对比主备CP上配置是否一致，例如IP地址池配置、设备发送RADIUS报文使用的源接口配置等。若一致，请继续下一步；若不一致，请修改为一致。

(5) 检查主备CP间容灾通道是否正常。

请执行下列操作，检查主备CP间容灾通道是否正常。

¡ 执行display cp disaster-recovery data-tunnel命令，查看数据备份通道连接状态，若未正常建立则检查数据通道配置以及网络配置、链路连接状态。

¡ 执行display cp disaster-recovery heartbeat-tunnel命令查看心跳通道的TCP连接状态，若未正常建立，则检查心跳通道相关配置以及网络配置、链路连接状态。

¡ 执行display cp disaster-recovery protect-tunnel statistics命令查看灾备保护通道的报文统计是否正常，若不正常，则检查相关配置以及网络配置、链路连接状态。

¡ 执行display cp disaster-recovery group命令查看CP灾备组的配置和运行数据信息，若CUSP通道连接异常则继续执行下一步。

(6) 检查CU通道是否连接正常

在CP执行命令display cusp controller显示CUSP控制器的连接信息。

在UP执行命令display cusp agent显示CUSP代理的连接信息。

若是CUSP通道连接异常，则检查CUSP配置，并根据CUSP连接故障处理手册继续排查。

(7) 检查设备是否处于稳态

在CP上执行display vbras-cp stable state命令查看转发与控制分离系统是否处于稳定状态。

(8) 如果故障仍然未能排除，请收集如下信息，并联系技术支持人员。

¡ 上述步骤的执行结果。

¡ 设备的配置文件、日志信息、告警信息。

8.5 UP备份故障处理

8.5.1 主备接口故障或发生切换

1. 故障描述

主备接口处于非正常工作状态。在CP设备上执行display up-backup-profile命令，显示信息中Master字段标识的主用接口对应的state字段取值不是master(normal)，或者Backup字段标识的备用接口对应的state字段取值不是backup(normal)，如下例所示，

<Sysname> display up-backup-profile

…

Interface group 1:

Master: Remote-GE1024/1/0/1, state=backup(normal), VRID=1

Backup: Remote-GE1025/1/0/1, state=master(normal)

…

2. 常见原因

本类故障的常见原因主要包括：

· UP上主备接口物理链路Down。

· 接口所在UP与CP之间的CUSP通道故障。

· UP上Track监测项状态异常。

· CP上关闭了故障恢复后的回切功能。

3. 故障分析

本类故障的诊断思路如下：

(1) 检查UP上主备接口物理链路状态是否正常。

(2) 通过备份策略模板的显示信息，查看故障的具体原因。

(3) 检查接口所在UP与CP之间的CUSP通道状态。

(4) 检查UP侧Track监控状态。

(5) 检查CP上的故障恢复后的回切功能是否正常。

本类故障的诊断流程如图34所示。

图34 主备接口切换异常

4. 处理步骤

(1) 检查UP上主备接口物理链路状态是否正常。

在UP上执行display interface命令检查出接口状态，例如：

<Sysname> display interface ten-gigabitethernet 3/1/1

Ten-GigabitEthernet3/1/1

Interface index: 386

Current state: Administratively DOWN

Line protocol state: DOWN

…

a. 如果Current state显示为Administratively DOWN，则在接口下执行undo shutdown命令打开关闭的接口。

b. 如果Current state显示为DOWN，则检查接口的物理连线。

c. 在UP上重复以上步骤检查和修复UP上去往CP的路由出接口状态。

d. 如果CP和指定UP间物理链路正常，问题仍未解决，则请继续执行以下操作。

(2) 在CP上执行display up-backup-profile命令，查看备份策略模板的显示信息。有以下几种情况：

¡ 如果Reason字段显示为CUSP down，则表示主接口所在UP和CP之间的CUSP通道故障，请执行步骤(3)。

¡ 如果Reason字段显示为Track negative，则表示UP通过Track监控到网络侧接口的状态为Down，请执行步骤(4)。

¡ 如果Failure recovery字段显示为Disabled，则表示故障恢复的回切功能处于关闭状态，请执行步骤(5)。

(3) 检查接口所在UP与CP之间的CUSP通道状态。

在CP上执行display cusp controller命令显示指定的UP与CP间CUSP控制器的连接信息。

¡ 如果显示信息中Control tunnel state为Inactive，则请参考“CP-UP连接管理故障处理”中的“CP和UP之间的控制通道创建失败”处理。

¡ 如果显示信息中Control tunnel state为Active，则表示CUSP通道状态正常，故障仍未解决，则请继续执行以下操作。

(4) 检查UP侧Track监控状态。

在CP上的UP备份策略模板视图下执行display this命令，查看是否配置了CP监控UP的网络侧Track监控命令：up-id up-id network-state track uplink-group group-name。

¡ 如果存在该配置，则需要在主用接口所在的UP上查找与CP侧匹配的Track项联动命令user-plane switchover track track-id uplink-group group-name，它们所属的uplink-group group-name相同。然后执行display track track-id命令，查看UP上的对应Track项的状态，如果State显示为Negative则表示Track项关联的监测对象异常。例如：

<Sysname> display track all

Track ID: 2

State: Negative

Duration: 0 days 0 hours 0 minutes 32 seconds

Tracked object type: BFD

Notification delay: Positive 20, Negative 30 (in seconds)

Tracked object:

BFD session mode: Echo

Outgoing interface: Ten-GigabitEthernet3/1/1

…

则按照Tracked object的信息，排查监测对象的异常。

¡ 如果不存在该配置，查看UP上的对应Track项的状态时，State显示为Positive，请继续以下操作排查其他原因。

(5) 检查CP上的故障恢复后的回切功能是否正常。

在CP上在UP备份策略模板视图下执行display this命令，检查CP上的故障恢复后的回切功能是否开启。

¡ 如果未开启，则执行failure-recovery-switch enable命令，开启主UP或主UP接口故障恢复后的回切功能。

¡ 如果故障恢复的回切功能已开启，请合理配置delay delay-time值，例如30秒。配置的delay-time过大时，主UP或主UP接口故障恢复后无法及时回切，可能会影响工作效率；配置的delay-time过小时，可能会导致主备切换频繁。

¡ 如果故障恢复后的回切功能配置正常，问题仍未解决，则请继续执行以下操作。

(6) 如果故障仍然未能排除，请收集如下信息，并联系技术支持人员。

¡ 上述步骤的执行结果。

¡ 设备的配置文件、告警信息

¡ 执行display system internal up-backup log event命令记录UP备份的日志事件信息。

5. 告警与日志

8.5.2 主备接口切换耗时长

1. 故障描述

主备接口切换耗时长，主接口故障后不能及时切换到备份接口或者主接口故障恢复后，不能及时回切，导致用户流量中断。

2. 常见原因

本类故障的常见原因主要包括：

· 设置的故障恢复回切延迟过长。

· 配置CUSP通道故障时的延迟切换时间过长。

· 配置CUSP通道故障恢复时的延迟回切时间过长。

· 业务模块处理慢。

3. 故障分析

本类故障的诊断思路如下：

(1) 检查是否配置的主UP或主UP接口故障恢复后的回切延迟时间过长。

(2) 检查是否配置CUSP通道故障时的延迟切换时间过长。

(3) 检查是否配置CUSP通道故障恢复时的延迟切换时间过长。

(4) 检查是否业务模块处理切换事件慢。

本类故障的诊断流程如图35所示。

图35 主备接口切换耗时长

4. 处理步骤

(1) 在CP设备上执行display up-backup-profile命令，检查显示信息中Delay time的延迟时间，判断时延是否设置过长，例如：

<Sysname> display up-backup-profile 1

Profile ID: 1

Backup mode: Hot standby

Failure recovery: Enabled Delay time: 1800 seconds

CUSP tunnel down switchover Delay time: 1800 seconds

CUSP tunnel up switchover Delay time: 60000 milliseconds

Route advertise: Disabled

Interface backup mode: Inherit-main

Interface group 1:

Master: Remote-GE2009/1/3/0, state=backup(normal), VRID=2

Backup: Remote-GE2000/1/3/0, state=master(normal)

Switchback state: Waiting(remaining time: 1797 seconds)

¡ 显示信息中Failure recovery字段为Enabled，表示故障恢复的回切功能开启，故障回切时延取值范围为0～1800秒，默认值为30秒。如果Delay time远大于30秒，请执行步骤(2)。

¡ 显示信息中CUSP tunnel down switchover字段对应的Delay time表示CUSP通道故障时的延迟切换时间，取值范围是0～1800秒。缺省情况下，当CP设备和某个UP设备之间CUSP连接发生故障时，CP设备延迟50ms对UP设备或该UP设备上的接口做主备切换。如果Delay time远大于50ms，请执行步骤(3)。

¡ 显示信息中CUSP tunnel up switchover字段对应的Delay time表示CUSP通道故障恢复时的延迟切换时间，取值范围是0～60000毫秒，缺省情况下，当CP设备和某个UP设备之间CUSP连接的故障恢复时，CP设备在3秒后对该UP设备上的接口或UP做主备切换。如果Delay time远大于3秒，请执行步骤(4)。

(2) 如果步骤(1)中发现故障恢复的回切时延过长，则调整故障恢复回切延迟时间。

在CP上的UP备份策略模板视图或CGN-UP备份策略模板视图执行failure-recovery-switch enable [ delay delay-time ]命令，通过指定delay delay-time参数调整故障恢复回切延迟时间。如果故障恢复回切延迟时间合适，问题仍未解决，则请继续执行以下操作。

(3) 如果步骤(1)中发现CUSP通道故障时的延迟切换过长，则调整CUSP通道故障时的延迟切换时间。

在CP上的UP备份策略模板视图或CGN-UP备份策略模板视图执行control-tunnel-down switchover [ delay sec-delay-time | msec-delay msec-delay-time ]命令修改CUSP通道故障时的延迟切换时间。如果CUSP通道故障时的延迟切换时间合适，问题仍未解决，则请继续执行以下操作。

(4) 如果步骤(1)中发现CUSP通道故障恢复的延迟切换过长，则调整CUSP通道故障恢复的延迟切换时间。

在CP上的UP备份策略模板视图或CGN-UP备份策略模板视图执行control-tunnel-up switchover msec-delay delay-time命令修改CUSP通道故障恢复的延迟切换时间。如果CUSP通道故障恢复的延迟切换时间，问题仍未解决，则请继续执行以下操作。

(5) 如果存在业务模块阻塞，请等待60s后超时自动主备切换。如果等待60s后超时后，问题仍未解决，则请继续执行以下操作。

(6) 如果故障仍然未能排除，请收集如下信息，并联系技术支持人员。

¡ 上述步骤的执行结果。

¡ 设备的配置文件、告警信息。

¡ 执行display system internal up-backup log event命令记录UP备份的日志事件信息。

5. 告警与日志

8.5.3 UP侧出现双主接口

1. 故障描述

主备切换时，CP通知UP侧主用接口切换为备份工作状态、备用接口切换为主用工作状态，但主用接口状态未改变，导致存在双主接口。出现双主接口的场景时，与UP对接的用户接入设备会反复刷新业务转发接口，产生转发表项震荡，业务流量产生丢包。

在主备接口所在UP上分别执行display system internal up interface-backup命令，显示信息中主备接口的State字段都为Master，

<Sysname> system-view

[Sysname] probe

[Sysname-probe] display system internal up interface-backup

Interface: Ten-GigabitEthernet3/1/4

IfIndex: 65

State: Master

Backup mode: Hot standby

Interface backup mode: Inherit-main

Resource ID: 0x20001

Virtual MAC: 0000-5e00-0101

Switchover upon ctrl tunnel down: Enabled

Switchover delay: 0

2. 常见原因

本类故障的常见原因主要包括：

· 主用接口所在的UP与CP间CUSP通道故障，且配置了UP设备的主用接口不切换为备用接口。

· UP上的UCM业务模块未通知UP备份模块的主接口切换为备份工作状态。

3. 故障分析

本类故障的诊断思路如下：

(1) 在CP上检查备份组切换原因，在UP侧检查是否配置了UP设备的主用接口不切换为备用接口。

(2) 恢复CP和UP间的CUSP通道。

本类故障的诊断流程如图36所示。

图36 UP侧出现双主接口的诊断流程图

4. 处理步骤

(1) 在CP上执行display up-backup-profile profile-id switch-history命令，检查最近一次的故障切换原因。

<Sysname> display up-backup-profile 1 switch-history

Reason Interface State Time

CUSP down Remote-GE2009/1/3/0 Switchover to backup 2021-08-30 04:28:39

¡ 如果Reason字段显示为CUSP down表示最近一次切换是由CUSP故障导致，则执行步骤(2)，进一步排查UP侧配置，且修复CP和UP之间的CUSP通道。

¡ 如果Reason字段不显示为CUSP down，则表示业务模块可能存在问题导致UP侧双主，则执行步骤(3)，收集UP备份的日志事件信息。

(2) 检查UP侧配置，执行display current-configuration命令检查是否配置了UP设备的主用接口不切换为备用接口，具体命令形式为user-plane control-tunnel-down switchover track track-id。

在CP上执行display cusp controller命令显示指定的UP与CP间CUSP控制器的连接信息。

¡ 如果显示信息中Control tunnel state为Inactive，则请参考“CP-UP连接管理故障处理”中的“CP和UP之间的控制通道创建失败”处理。

¡ 如果显示信息中Control tunnel state为Active，则表示CUSP通道状态正常，故障仍未解决，则请继续执行以下操作。

(4) 如果故障仍然未能排除，请收集如下信息，并联系技术支持人员。

¡ 上述步骤的执行结果。

¡ 设备的配置文件、告警信息。

¡ 执行display system internal up-backup log event命令记录UP备份的日志事件信息。

5. 告警与日志

8.5.4 UP侧出现双备接口

1. 故障描述

主备接口所在UP与CP间的CUSP通道都故障，CP无法通知主备接口状态切换，同时主备接口也都发生故障，此时存在双备接口的情况。用户的业务流量转发到主备UP上都会无法处理，此时用户无法上线。

在主备接口所在UP上分别执行display system internal up interface-backup命令，显示信息中主备接口的State字段都为Backup，

<Sysname> system-view

[Sysname] probe

[Sysname-probe]display system internal up interface-backup

Interface: Ten-GigabitEthernet3/1/4

IfIndex: 65

State: Backup

Backup mode: Hot standby

Interface backup mode: Inherit-main

Resource ID: 0x20001

Virtual MAC: 0000-5e00-0101

Switchover upon ctrl tunnel down: Enabled

Switchover delay: 0

2. 常见原因

本类故障的常见原因主要包括：

· 主备接口发生故障，主备接口所在UP与CP间的CUSP通道都故障，且均未配置UP设备的主用接口不切换为备用接口。

· UCM业务模块未通知UP备份模块的备用接口切换为主用工作状态。

3. 故障分析

本类故障的诊断思路如下：

(1) 检查UP上主备接口物理链路状态是否正常。

(2) 检查CP和UP间的CUSP是否故障。

(3) 记录UP备份的日志事件信息。

本类故障的诊断流程如图37所示。

图37 UP侧出现双备接口的诊断流程图

4. 处理步骤

(1) 检查UP上主备接口物理链路状态是否正常。

在UP上执行display interface命令检查出接口状态，例如：

<Sysname> display interface ten-gigabitethernet 3/1/1

Ten-GigabitEthernet3/1/1

Interface index: 386

Current state: Administratively DOWN

Line protocol state: DOWN

…

a. 如果Current state显示为Administratively DOWN，则在接口下执行undo shutdown命令打开关闭的接口。

b. 如果Current state显示为DOWN，则检查接口的物理连线。

c. 在UP上重复以上步骤检查和修复UP上去往CP的路由出接口状态。

d. 如果CP和指定UP间物理链路正常，问题仍未解决，则请继续执行以下操作。

(2) 检查接口所在UP与CP之间的CUSP通道状态。

在CP上执行display cusp controller命令显示指定的UP与CP间CUSP控制器的连接信息。

¡ 如果显示信息中Control tunnel state为Inactive，则请参考“CP-UP连接管理故障处理”中的“CP和UP之间的控制通道创建失败”处理。

¡ 如果显示信息中Control tunnel state为Active，则表示CUSP通道状态正常，故障仍未解决，则请继续执行以下操作。

(3) 如果故障仍然未能排除，请收集如下信息，并联系技术支持人员。

¡ 上述步骤的执行结果。

¡ 设备的配置文件、告警信息。

¡ 执行display system internal up-backup log event命令记录UP备份的日志事件信息。

5. 告警与日志

8.6 虚拟机部署失败故障处理

1. 故障描述

虚拟机手动扩容、自动扩容和初始部署时，任意服务器主机上的VM创建或启动失败。

2. 常见原因

本类故障的常见原因包括：

· 服务器主机存储池的容量不足。

· 服务器主机剩余内存不满足要求。

· 服务器主机CPU个数不满足要求。

3. 故障分析

本类故障的诊断流程如图38所示。

图38 虚拟机部署故障诊断流程图

4. 处理步骤

(1) 检查虚拟机部署是否正常。

通过URL：http://服务器主机IP地址:8080/cas/login登录服务器主机的CAS管理页面。在服务器主机管理页面的“云资源”页签查看虚拟机是否存在且处于“绿色”正常启动状态。

图39 服务器主机管理页面的“云资源”页签示意图

(2) 如果虚拟机创建或启动失败，请参考“H3C CAS云计算管理平台维护手册”中的“一键巡检”处理。如果未解决，请继续执行以下操作。

(3) 如果故障仍然未能排除，请收集如下信息，并联系技术支持人员。

¡ 上述步骤的执行结果。

¡ 设备的配置文件、日志信息、告警信息。

5. 告警与日志

8.7 VM无法注册故障处理

1. 故障描述

BRAS-VM和FWD-VM未向当前主用CTRL-VM注册，当前主用CTRL-VM无法管理这些BRAS-VM和FWD-VM。在CTRL-VM上执行display vm命令，VM的Registration字段值包含Unregistered字样，表示该VM未注册。

<Sysname> display vm

Abbreviation: R-Role M-Master S-Standby MD-MAD down DING-DESTROYING

Slot VM name Type State(R) Registration

1 ctrl-vm-1 CTRL-VM Normal(M) --

2 -- CTRL-VM Absent(-) --

5 fwd-vm-1 FWD-VM Normal(-) Registered

6 -- FWD-VM Absent(-) Unregistered

97 bras-vm-1 BRAS-VM Normal(M) Registered

98 bras-vm-2 BRAS-VM Normal(S) Registered

100 -- BRAS-VM Absent(-) Unregistered

2. 常见原因

· 若非特殊强调，下文描述中的VM均指未注册的BRAS-VM和FWD-VM。

· CTRL-VM之间通过LIPC（Leopard Inter-process Communication，Leopard版本进程间通信）机制交互信息。因此，备用CTRL-VM无需向主用CTRL-VM注册，不存在备用CTRL-VM注册故障的问题

本类故障的常见原因主要包括：

· VM创建失败

· VM未上电

· VM正在启动（未完成启动）

· VM和CTRL-VM之间的控制链路通信异常

· VM和CTRL-VM之间的NETCONF通道连接异常

· VM和CTRL-VM之间的SSH连接异常

3. 故障分析

本类故障的诊断流程如图40所示。

图40 VM无法注册故障诊断流程图

4. 处理步骤

(1) 检查VM是否部署成功。

在CTRL-VM上执行display vm命令：

¡ 如果显示信息中VM的State(R)字段的值为Normal，则表示该VM部署成功。

¡ 如果显示信息中VM的State(R)字段的值为Absent，则表示该VM可能未部署或者部署失败，请参见《虚拟机部署失败故障处理》章节进行处理。

如果虚拟机部署成功后仍无法注册，请执行步骤(2)。

<Sysname> display vm

Abbreviation: R-Role M-Master S-Standby MD-MAD down DING-DESTROYING

Slot VM name Type State(R) Registration

1 ctrl-vm-1 CTRL-VM Normal(M) --

2 -- CTRL-VM Absent(-) --

5 fwd-vm-1 FWD-VM Normal(-) Registered

6 -- FWD-VM Absent(-) Unregistered

97 bras-vm-1 BRAS-VM Normal(M) Registered

98 bras-vm-2 BRAS-VM Normal(S) Registered

100 -- BRAS-VM Absent(-) Unregistered

以上显示信息表明：Slot 6为FWD-VM，Slot 100为BRAS-VM，这两个VM均未注册。（Slot 2是系统为备用CTRL-VM预留的编号）

(2) 确认VM是否上电。

登录服务器主机的CAS管理页面，URL为http://服务器主机IP地址:8080/cas/login。在CAS管理页面的“云资源”页签查看VM是否上电。其中，图标为绿色的VM处于正常上电状态；图标为红色的VM处于未上电状态。

图41 CAS云资源页面局部图

¡ 对于未上电的VM，请通过CAS页面给VM上电。

¡ 对于已上电的VM，若仍无法注册，请执行步骤(3)。

(3) 检查VM是否正在启动。

通过CAS管理页面的“云资源”页签，根据页面上的提示信息可以查看VM是否处于启动过程中。

VM从上电到完成注册一般需要1～5分钟，这段时间叫做启动时间。如果VM启动过程没有超过VM启动时间，请耐心等待。

如果VM启动完毕后，VM仍无法注册，请执行步骤(4)。

(4) 检查未注册的BRAS-VM/FWD-VM和CTRL-VM之间的通信是否正常。

VM使用控制通道进行注册。在CTRL-VM的任意视图下，执行命令ping -vpn-instance vpn-instance-name host，查看能否Ping通VM控制通道接口的IP地址。

¡ 如果能Ping通，表示VM与CTRL-VM通信正常，请执行步骤(5)。

¡ 如果Ping失败，表示VM与CTRL-VM通信异常。请在技术支持人员的协助下，排除VM与CTRL-VM之间控制通道的链路故障。

以上ping命令中，vpn-instance-name参数的取值固定为__vm_private_ctrl_vpn，host参数为未注册FWD-VM和BRAS-VM控制通道的IP地址。请在CTRL-VM的用户视图执行more ovf-env-startup.xml命令，通过control-network-segment字段查看VM控制通道IP地址所在网段。然后根据如下地址分配规则，获得FWD-VM和BRAS-VM控制通道的IP地址：

¡ slot编号为5的FWD-VM的控制通道的IP地址为X.X.X.2。

¡ slot编号为6的FWD-VM的控制通道的IP地址为X.X.X.3。

¡ BRAS-VM的控制通道的IP地址为X.X.X.group-id，group-id为BRAS-VM所在的组号，两个BRAS-VM为一组，组号从66开始编号。例如，slot编号为97和98的BRAS-VM的控制通道的IP地址为X.X.X.66，slot编号为99和100的BRAS-VM的控制通道的IP地址为X.X.X.67，以此类推。

<CTRL-VM> more ovf-env-startup.xml

<?xml version="1.0" encoding="UTF-8"?>

<Environment

其它显示信息略……

</PropertySection>

</Environment>

(5) 检查未注册的BRAS-VM/FWD-VM和CTRL-VM之间的NETCONF通道会话连接是否正常。

# 在CAS上通过打开VM的远程控制台登录VM，在该VM的任意视图下执行display netconf session命令查看已创建的NETCONF会话的信息。

# 在BRAS-VM（Slot编号为97）上查看NETCONF会话信息。

[Sysname-vm-net-slot97] display netconf session

Session ID: 1 Session type : Agent

Username : __private_admin_user__

Client IP address : 192.168.0.1

Session statistics:

Received RPCs : 10 Received bad RPCs : 0

Output RPC errors: 1 Output notifications: 0

Session ID: 2 Session type : Agent

Username : __private_admin_user__

Client IP address : 192.168.0.1

Session statistics:

Received RPCs : 6 Received bad RPCs : 0

Output RPC errors: 0 Output notifications: 0

Session ID: 3 Session type : Agent

Username : __private_admin_user__

Client IP address : 192.168.0.1

Session statistics:

Received RPCs : 8 Received bad RPCs : 0

Output RPC errors: 0 Output notifications: 0

¡ 如果显示信息中包含三个Agent类型的NETCONF会话，且Username字段值均为__private_admin_user__，Client IP address字段值为CTRL-VM控制通道的IP地址，则表示NETCONF通道会话连接正常，请执行步骤(6)。否则，表示NETCONF通道会话连接异常。

¡ 如果NETCONF通道会话连接异常，请通过以下步骤查看是否开启NETCONF over SSH服务器功能。

# 在CAS上通过打开VM的远程控制台登录VM，在该VM的任意视图下执行命令display netconf service，查看NETCONF over SSH服务开启状态。

[Sysname-vm-net-slot97] display netconf service

NETCONF over SOAP over HTTP: Disabled (port 80)

NETCONF over SOAP over HTTPS: Disabled (port 832)

NETCONF over SSH: Enabled (port 830)

NETCONF over Telnet: Enabled

NETCONF over Console: Enabled

SOAP timeout: 10 minutes Agent timeout: 0 minutes

Active Sessions: 3

Service statistics:

NETCONF start time: 2021-09-07T09:37:07

Output notifications: 6

Output RPC errors: 2

Dropped sessions: 3

Sessions: 6

Received bad hellos: 0

Received RPCs: 72

Received bad RPCs: 0

- 如果显示信息中NETCONF over SSH字段的取值为Enabled，则表示功能已开启，请执行步骤(6)。

- 如果NETCONF over SSH的状态为Disabled，请参照以下步骤开启NETCONF over SSH功能。

[Sysname-vm-net-slot97] netconf ssh server enable

(6) 检查注册失败的BRAS-VM/FWD-VM和CTRL-VM之间的SSH会话连接是否正常。

# 在CAS上通过打开VM的远程控制台登录VM，在该VM的任意视图下执行display ssh server session命令查看已创建的SSH会话的信息。

[Sysname-vm-net-slot97] display ssh server session

UserPid SessID Ver Encrypt State Retries Serv Username

801 0 2.0 aes128-ctr Established 0 NETCONF __private_admin_user__

802 0 2.0 aes128-ctr Established 0 NETCONF __private_admin_user__

803 0 2.0 aes128-ctr Established 0 NETCONF __private_admin_user__

3363 0 2.0 aes128-ctr Established 0 Stelnet __private_admin_user__

¡ 如果显示信息中包含三个NETCONF服务会话，其中Username取值均为__private_admin_user__，Serv取值均为NETCONF，则表示SSH会话连接正常，请执行步骤(7)。否则，表示SSH会话连接异常。

¡ 如果SSH会话连接异常，可参照以下步骤解决SSH会话连接异常问题。

# 在VM上执行display ssh server status命令，检查是否因为未开启Stelnet服务器功能，导致SSH会话连接异常。

[Sysname-vm-net-slot97] display ssh server status

Stelnet server: Enable

SSH version : 2.0

SSH authentication-timeout : 60 second(s)

SSH server key generating interval : 0 hour(s)

SSH authentication retries : 3 time(s)

SFTP server: Enable

SFTP Server Idle-Timeout: 10 minute(s)

NETCONF server: Enable

SCP server: Disable

- 如果Stelnet server字段取值为Enable，表示Stelnet服务器功能已开启。

- 如果Stelnet server字段取值为Disable，表示Stelnet服务器功能未开启，请执行以下操作开启Stelnet服务器功能。

[Sysname-vm-net-slot97] ssh server enable

# 检查是否因为公钥不一致，导致SSH会话连接异常。CTRL-VM上的本地vmmgrpublickey必须和BRAS-VM/FWD-VM上保存的对端vmmgrpublickeyCP公钥一致，否则，会导致SSH会话连接异常。

在CTRL-VM上查看公钥vmmgrpublickey的信息。

<Sysname> display public-key local rsa public name vmmgrpublickey

=============================================

Key name: vmmgrpublickey

Key type: RSA

Key length: 1024

Time when key pair created: 11:10:54 2021/09/22

Key code:

30819F300D06092A864886F70D010101050003818D0030818902818100AB0FF5506AD71A75

A775479827EB14B5584CB4E59BC154FC2C80F708A2241F2E7801C6B8863B31BD85B6F64622

1996E5FD8A04EB4ABEAC7A6A26FB2AC8CC38C1DB88DC9C3A6347765485C28190D9E7DD386C

F00AEB30D3D06D437BE1328B9E6914103726E0D9CEEB203AD2B237732225526B858C89BBF7

B195EDDDB2103E5F130203010001

在VM上查看对端公钥vmmgrpublickey的信息。

[Sysname-vm-net-slot97] display public-key peer name vmmgrpublickey

=============================================

Key name: vmmgrpublickey

Key type: RSA

Key length: 1024

Key code:

30819F300D06092A864886F70D010101050003818D0030818902818100AB0FF5506AD71A75

A775479827EB14B5584CB4E59BC154FC2C80F708A2241F2E7801C6B8863B31BD85B6F64622

1996E5FD8A04EB4ABEAC7A6A26FB2AC8CC38C1DB88DC9C3A6347765485C28190D9E7DD386C

F00AEB30D3D06D437BE1328B9E6914103726E0D9CEEB203AD2B237732225526B858C89BBF7

B195EDDDB2103E5F130203010001

[Sysname-vm-net-slot97]]

- 如果CTRL-VM上的公钥与VM上保存的公钥的Key code不一致，请重启该VM。VM重启后，会自动同步CTRL-VM上的公钥，并重新注册。

- 如果公钥一致，请执行步骤(7)。

(7) 如果故障仍然未能排除，请收集如下信息，并联系技术支持人员。

¡ 上述步骤的执行结果。

¡ 设备的配置文件、日志信息、告警信息。

5. 告警与日志

8.8 VM CPU控制核占用率高故障处理

1. 故障描述

vBRAS的转发平面用于实现二三层转发，控制平面主要用于实现转发的控制。相对应的，vBRAS的CPU也分为转发核和控制核。因为网络中一直有大量报文需要转发，所以，转发核可能一直处于占用率高的状态，这是正常现象。而控制核控制设备的运行以及指导转发，CPU控制核占用率过高会影响系统处理能力，进而引发业务异常。所以，我们需要关注CPU控制核占用率。本文仅描述CPU控制核占用率高的问题。

当出现以下情况时，说明设备的CPU控制核占用率高，需要确认CPU占用率高的具体原因。

· 对设备进行每日巡检时，连续使用display cpu-usage命令查看CPU的占用率，CPU占用率持续在80％以上。

# 执行display cpu-usage summary命令显示最近5秒、1分钟、5分钟内CPU占用率的平均值。

<CTRL-VM> display cpu-usage summary

Slot CPU Last 5 sec Last 1 min Last 5 min

1 0 85% 81% 16%

5 0 0% 0% 0%

97 0 0% 0% 0%

# 执行display cpu-usage history命令以图表的方式显示最近60个采样点的CPU占用率，观察CPU占用率是否持续在80％以上。显示信息中：

¡ 纵坐标表示CPU占用率，采用就近显示的原则。比如，占用率的间隔为5％，则实际统计值53％将被显示成55％，实际统计值52％将被显示成50％。

¡ 横坐标表示时间，时间越靠左表示距离当前时间越近。

¡ 用连续的#号表示该时刻的占用率，某个时间点上最高处的#号对应的纵坐标值即为该采样点计算的CPU占用率。采样间隔可通过monitor cpu-usage interval命令配置（缺省为1分钟）。

<Sysname> display cpu-usage history

100%|

95%|

90%|

85%|

80%|#

75%|#

70%|#

65%|#

60%|#

55%|#

50%|#

45%|#

40%|#

35%|#

30%|#

25%|#

20%|#

15%|# #

10%|# ### #

5%|# ########

------------------------------------------------------------

10 20 30 40 50 60 (minutes)

cpu-usage (Slot 1 CPU 0) last 60 minutes (SYSTEM)

其它CPU的显示信息略……

以Slot 1 CPU 0为例：以上显示信息表明系统（用“SYSTEM”表示）在最近60分钟内CPU的占用率情况：1分钟前大约为80％，12分钟前大约为5％，13分钟前大约为10％，14分钟前大约为15％，15分钟前大约为10％，16、17分钟前大约为5％，18分钟前大约为10％，19分钟前大约为5％，其它时间均小于或等于2％。

· 通过Telnet/SSH等方式登录设备，并执行命令行时，设备反应缓慢，出现卡顿现象。

· 设备上打印CPU占用率高的相关日志。

· SNMP网管上出现CPU占用率高的相关告警。

2. 常见原因

本类故障的常见原因主要包括：

· 网络攻击。

· 协议震荡，通常为路由协议震荡。

· 设备配置了流采样功能，流量太大或者采样频率太高，导致采样功能占用大量CPU资源。

· 设备产生海量日志，设备生成和管理这些日志需要占用大量CPU资源。

3. 故障分析

本类故障的诊断流程如图42所示。

图42 VM控制核CPU占用率高的故障诊断流程图

4. 处理步骤

(1) 确认设备是否受到网络攻击。

现网中，导致设备CPU占用率高最常见的原因是网络攻击。攻击者发起大量非正常网络交互对设备产生冲击，例如短时间内发送大量TCP连接建立请求报文或者ICMP请求报文，设备忙于处理这些攻击报文，导致CPU占用率高，从而影响设备正常业务的运行。

执行display system internal control-plane statistics命令，查看控制平面报文的统计信息，关注丢弃报文的数量。如果当前CPU占用率高，且Dropped字段取值较大时，则设备大概率受到了报文攻击。

<CTRL-VM-vm-net> display system internal control-plane statistics slot 1

Control plane slot 1

Protocol: Default

Bandwidth: 15360 (pps)

Forwarded: 108926 (Packets), 29780155 (Bytes)

Dropped : 0 (Packets), 0 (Bytes)

Protocol: ARP

Bandwidth: 512 (pps)

Forwarded: 1489284 (Packets), 55318920 (Bytes)

Dropped : 0 (Packets), 0 (Bytes)

Protocol: HTTP

Bandwidth: 1024 (pps)

Forwarded: 0 (Packets), 0 (Bytes)

Dropped : 0 (Packets), 0 (Bytes)

Protocol: HTTPS

Bandwidth: 1024 (pps)

Forwarded: 0 (Packets), 0 (Bytes)

Dropped : 0 (Packets), 0 (Bytes)

Protocol: NTP

Bandwidth: 1024 (pps)

Forwarded: 0 (Packets), 0 (Bytes)

Dropped : 0 (Packets), 0 (Bytes)

其它显示信息略……

¡ 如果受到了网络攻击，则先解决网络攻击问题。

¡ 如果未受到网络攻击，则执行步骤(2)。

(2) 确认VM接入网络是否存在广播、组播、未知单播报文风暴。

当VM的接入交换机链路存在环路时，可能会将大量的广播、组播、未知单播报文发送给vCP。vCP将这些报文上送CPU处理，可能会导致CPU占用率升高。可通过以下步骤来确认设备是否存在广播、组播、未知单播报文风暴。

a. 清除接口的统计信息。

<CTRL-VM> reset counters interface

b. 从缺省配置环境切换到VM网络配置环境，并进入VM网络配置环境的用户视图。多次执行display counters rate inbound interface命令查看端口使用率是否明显增大。（VM网络配置环境才能查询内部接口MGE和VMC类型接口的统计信息）

<CTRL-VM> system-view

[CTRL-VM] switchto vm-net-setup

Enter password:

As a best practice, use the default VM network setup. Changes in the VM network

setup environment might cause the CP to malfunction. If you need to change a set

ting, make sure you understand its impact on the services.

<CTRL-VM-vm-net> display counters rate inbound interface

Usage: Bandwidth utilization in percentage

Interface Usage(%) Total(pps) Broadcast(pps) Multicast(pps)

GE5/3/0 0.01 7 -- --

MGE0/31/0 0.01 1 -- --

MGE0/32/0 0.01 5 -- --

VMC1/1/0 0.05 60 -- --

VMC1/2/0 0.04 52 -- --

Overflow: More than 14 digits.

--: Not supported.

<CTRL-VM-vm-net>

c. 如果端口使用率明显增大，可继续多次执行display counters inbound interface命令查看接口收到的总报文数、广播和组播报文的数量，分别对应显示信息中Total(pkt)、Broadcast(pkt)、Multicast(pkt)字段的取值。如果广播和组播报文的增长速度快，广播、组播报文在接口收到的总报文数中占比大，则可能出现广播/组播风暴。如果广播和组播报文数量没有明显增加，但是接口收到的总报文数明显增加，则可能出现未知单播报文风暴。

<CTRL-VM-vm-net> display counters inbound interface

Interface Total(pkt) Broadcast(pkt) Multicast(pkt) Err(pkt)

GE5/3/0 141 27 111 0

MGE0/31/0 274866 47696 0 --

MGE0/32/0 1063034 684808 2 --

VMC1/1/0 11157797 7274558 50 0

VMC1/2/0 9653898 5619640 52 0

Overflow: More than 14 digits (7 digits for column "Err").

--: Not supported.

<CTRL-VM-vm-net> quit

[CTRL-VM] quit

<CTRL-VM>

¡ 如出现广播、组播、未知单播报文风暴，可进行如下处理：

- 检查VM的接入交换机上是否存在物理线路，避免网络拓扑出现环路。

- 检查VM的接入交换机上VLAN、端口聚合等配置，避免配置错误导致环路。

- 在VM上使用QoS策略针对组播、广播和未知单播报文进行限速。

¡ 如未出现广播、组播、未知单播报文风暴，请执行步骤(3)。

(3) 确认是否配置了流统计和采样功能，以及配置的参数是否合适。

当设备上配置了NetStream、sFlow等网络流量监控功能后，设备会对网络流量进行统计分析。如果网络流量较高，可能会导致CPU占用率偏高。此时，可进行以下处理：

¡ 配置过滤条件来精确匹配流量，仅统计分析用户关心的流量。

¡ 配置采样器，调整采样比例，使得NetStream、sFlow收集到的统计信息既能基本反映整个网络的状况，又能避免统计报文过多影响设备转发性能。

(4) 确认设备当前是否正在生成海量日志。

某些异常情况下，例如，设备受到攻击、运行中发生了错误、端口频繁Up/Down等，设备会不停地产生诊断信息或日志信息。此时系统软件要频繁的读写存储器，会造成CPU占用率升高。

可通过以下方式来判断设备是否正在生成海量日志：

¡ Telnet登录到设备，配置terminal monitor命令允许日志信息输出到当前终端。

<CTRL-VM> terminal monitor

The current terminal is enabled to display logs.

配置该命令后，如果有大量异常日志或者重复日志输出到命令行界面，则说明设备正在生成海量日志。

¡ 执行display logbuffer命令，查看显示信息中是否有大量异常日志或者某一条信息大量重复出现。

<CTRL-VM> display logbuffer reverse

Log buffer: Enabled

Max buffer size: 1024

Actual buffer size: 512

Dropped messages: 0

Overwritten messages: 0

Current messages: 410

%Jan 15 08:17:24:259 2021 CTRL-VM SHELL/6/SHELL_CMD: -Line=vty0-IPAddr=192.168.2.108-User=**; Command is display logbuffer

%Jan 15 08:17:19:743 2021 CTRL-VM SHELL/4/SHELL_CMD_MATCHFAIL: -User=**-IPAddr=192.168.2.108; Command display logfile in view shell failed to be matched.

%Jan 15 07:12:54:584 2021 CTRL-VM SHELL/6/SHELL_CMD: -Line=vty0-IPAddr=192.168.2.108-User=**; Command is display counters rate in

其它显示信息略……

<CTRL-VM> display logbuffer summary

Slot EMERG ALERT CRIT ERROR WARN NOTIF INFO DEBUG

1 0 0 2 9 24 12 128 0

5 0 0 0 41 72 8 2 0

97 0 0 42 11 14 7 40 0

如果设备正在生成海量日志，可以通过以下方法减少日志的生成：

¡ 关闭部分业务模块的日志输出功能。

¡ 使用info-center logging suppress命令禁止指定模块日志的输出。

¡ 使用info-center logging suppress duplicates命令开启重复日志抑制功能。

如果设备未生成海量日志，则执行步骤(6)。

(5) 收集CPU占用率相关信息，找到CPU控制核占用率高的业务模块。

a. 确认每个VM的slot编号。

# 登录CTRL-VM，在CTRL-VM上执行display vm命令，可以查看每个VM的slot编号。

<CTRL-VM> display vm

Abbreviation: R-Role M-Master S-Standby MD-MAD down DING-DESTROYING

Slot VM name Type State(R) Registration

1 DC1_CP_CTRL_VM_1 CTRL-VM Normal(M) --

2 DC1_CP_CTRL_VM_2 CTRL-VM Normal(S) --

5 DC1_CP_FWD_VM_5 FWD-VM Normal(-) Registered

6 DC1_CP_FWD_VM_6 FWD-VM Normal(-) Registered

97 DC1_CP_BRAS_VM_97 BRAS-VM Normal(M) Registered

98 DC1_CP_BRAS_VM_98 BRAS-VM Normal(S) Registered

99 DC1_CP_BRAS_VM_99 BRAS-VM Normal(M) Registered

100 DC1_CP_BRAS_VM_100 BRAS-VM Normal(S) Registered

b. 确定每个VM上CPU控制核的编号。

# 分别登录每个VM，在该VM上执行display driver forward命令查看该VM的控制核的编号。下面以CTRL-VM上（slot 1）的操作为例。

<CTRL-VM> system-view

[CTRL-VM] probe

[CTRL-VM-probe] display driver forward slot 1 enable

Fwd Statistics Enabled!

[CTRL-VM-probe] display driver forward slot 1 core

CPU STATE PLANE STATISTICS

0 USED Ctrl Fwd 0

1 USED Ctrl Fwd 0

2 USED Data Dis Rx 2196 Tx 0

3 USED Data Fwd Fwd 5183

4 USED Data Dis Rx 0 Tx 3833

以上显示信息表明：在CTRL-VM上控制核的编号为0和1。

# 在CTRL-VM上通过VM的slot编号可步骤登录BRAS-VM和FWD-VM。例如，在CTRL-VM上登录FWD-VM（slot编号为5，IP地址为192.168.0.2）的步骤如下：

<CTRL-VM> system-view

[CTRL-VM] switchto vm-net-setup

Enter password:

As a best practice, use the default VM network setup. Changes in the VM network

setup environment might cause the CP to malfunction. If you need to change a set

ting, make sure you understand its impact on the services.

<CTRL-VM-vm-net> switchto vm slot 5

Press CTRL+C to abort.

Connecting to 192.168.0.2 port 22.

********************************************************************************

* Without the owner's prior written consent, *

* no decompiling or reverse-engineering shall be allowed. *

********************************************************************************

<CTRL-VM-slot5>

c. 确定对CPU控制核占用率高的任务。

# 分别登录每个VM，在该VM上执行display process cpu命令查看一段时间内占用CPU最多的任务。下面以CTRL-VM（slot 1）上的操作为例。

[CTRL-VM-probe] display process cpu slot 1

CPU utilization in 5 secs: 0.4%; 1 min: 0.2%; 5 mins: 0.2%

JID 5Sec 1Min 5Min Name

1 0.0% 0.0% 0.0% scmd

2 5.5% 5.1% 5.0% [kthreadd]

3 0.0% 0.0% 0.0% [ksoftirqd/0]

5 0.0% 0.0% 0.0% [kworker/0:0H]

7 0.0% 0.0% 0.0% [rcu_sched]

8 0.0% 0.0% 0.0% [rcu_bh]

9 0.0% 0.0% 0.0% [migration/0]

其他显示信息略……

如果某个进程的CPU占用率高于5%，则需要针对该进程继续定位。

# 分别登录每个VM，在该VM上执行monitor process dumbtty命令实时查看进程在指定CPU上的占用率。下面以CTRL-VM的slot 1 CPU 0为例。

[CTRL-VM-probe] monitor process dumbtty slot 1 cpu 0

206 processes; 342 threads; 5134 fds

Thread states: 4 running, 338 sleeping, 0 stopped, 0 zombie

CPU0: 99.04% idle, 0.00% user, 0.96% kernel, 0.00% interrupt, 0.00% steal

CPU1: 98.06% idle, 0.00% user, 1.94% kernel, 0.00% interrupt, 0.00% steal

CPU2: 0.00% idle, 0.00% user, 100.00% kernel, 0.00% interrupt, 0.00% steal

CPU3: 0.00% idle, 0.00% user, 100.00% kernel, 0.00% interrupt, 0.00% steal

CPU4: 0.00% idle, 0.00% user, 100.00% kernel, 0.00% interrupt, 0.00% steal

Memory: 7940M total, 5273M available, page size 4K

JID PID PRI State FDs MEM HH:MM:SS CPU Name

322 322 115 R 0 0K 01:48:03 20.02% [kdrvfwdd2]

323 323 115 R 0 0K 01:48:03 20.02% [kdrvfwdd3]

324 324 115 R 0 0K 01:48:03 20.02% [kdrvfwdd4]

376 376 120 S 22 159288K 00:00:07 0.37% diagd

1 1 120 S 18 30836K 00:00:02 0.18% scmd

379 379 120 S 22 173492K 00:00:11 0.18% devd

2 2 120 S 0 0K 00:00:00 0.00% [kthreadd]

3 3 120 S 0 0K 00:00:02 0.00% [ksoftirqd/0]

其他显示信息略……

- 在monitor process dumbtty命令显示信息中找到CPU占用率超过5%的进程的JID，再对这些进程执行display proce job命令，收集进程的详细信息，并确认该进程是否运行在控制核上。

如果display proce job命令的显示信息中LAST_CPU字段的取值为控制核的编号（例如0～1），则说明该进程运行在CPU控制核上，则需要进一步定位；如果显示信息中LAST_CPU字段的取值为非控制核的编号，则说明该进程运行在CPU转发核上，无需关注，请执行步骤(7)。下面以pppd进程为例，通过显示信息可以看到，该进程包含多个线程，这些线程都运行在控制核上。

<CTRL-VM> display process name pppd

Job ID: 515

PID: 515

Parent JID: 1

Parent PID: 1

Executable path: /sbin/pppd

Instance: 0

Respawn: ON

Respawn count: 1

Max. spawns per minute: 12

Last started: Wed Nov 3 09:52:00 2021

Process state: sleeping

Max. core: 1

ARGS: --MaxTotalLimit=2000000 --MaxIfLimit=65534 --CmdOption=0x01047fbf --bSaveRunDb --pppoechastenflag=1 --pppoechastennum=6 --pppoechastenperiod=60 --pppoechastenblocktime=300 --pppchastenflag=1 --pppchastennum=6 --pppchastenperiod=60 --pppchastenblocktime=300 --PppoeKChasten --bSoftRateLimit --RateLimitToken=2048

TID LAST_CPU Stack PRI State HH:MM:SS:MSEC Name

515 0 136K 115 S 0:0:0:90 pppd

549 0 136K 115 S 0:0:0:0 ppp_misc

557 0 136K 115 S 0:0:0:10 ppp_chasten

610 0 136K 115 S 0:0:0:0 ppp_work0

611 1 136K 115 S 0:0:0:0 ppp_work1

612 1 136K 115 S 0:0:0:0 ppp_work2

613 1 136K 115 S 0:0:0:0 mp_main

618 1 136K 115 S 0:0:0:110 pppoes_main

619 1 136K 115 S 0:0:0:100 pppoes_mesh

620 1 136K 115 S 0:0:0:120 l2tp_mesh

621 1 136K 115 S 0:0:0:20 l2tp_main

- 对于运行在控制核、CPU占用率超过5%的进程，查看进程的Name字段的取值来确定该进程是否为用户态进程。

如果Process的Name取值中包含“[ ]”，表示它是内核线程，无需执行monitor thread dumbtty命令；如果Process的Name取值中未包含“[ ]”，表示它是用户态进程，它可能包含多个线程。对于多线程的用户态进程，还需要对该用户态进程执行monitor thread dumbtty命令，如果显示信息中某线程LAST_CPU字段的取值为CPU控制核的编号，且CPU字段取值大于5%，则该线程可能为导致CPU控制核占用率高的线程，需要进一步定位。

<CTRL-VM> monitor thread dumbtty slot 1 cpu 0

206 processes; 342 threads; 5134 fds

Thread states: 4 running, 338 sleeping, 0 stopped, 0 zombie

CPU0: 98.06% idle, 0.97% user, 0.97% kernel, 0.00% interrupt, 0.00% steal

CPU1: 97.12% idle, 0.96% user, 0.96% kernel, 0.96% interrupt, 0.00% steal

CPU2: 0.00% idle, 0.00% user, 100.00% kernel, 0.00% interrupt, 0.00% steal

CPU3: 0.00% idle, 0.00% user, 100.00% kernel, 0.00% interrupt, 0.00% steal

CPU4: 0.00% idle, 0.00% user, 100.00% kernel, 0.00% interrupt, 0.00% steal

Memory: 7940M total, 5315M available, page size 4K

JID TID LAST_CPU PRI State HH:MM:SS MAX CPU Name

322 322 2 115 R 00:04:21 0 20.15% [kdrvfwdd2]

323 323 3 115 R 00:04:21 0 20.15% [kdrvfwdd3]

324 324 4 115 R 00:04:21 0 20.15% [kdrvfwdd4]

1 1 1 120 S 00:00:02 21 0.19% scmd

376 376 1 120 S 00:00:00 1 0.19% diagd

2 2 0 120 S 00:00:00 0 0.00% [kthreadd]

其他显示信息略……

d. 确认异常任务的调用栈。

分别登录每个VM，在该VM的Probe视图下执行follow job命令确认异常任务的调用栈。下面以CTRL-VM上（slot 1）pppd进程（进程编号为515）的操作为例。

<CTRL-VM> system-view

[CTRL-VM] probe

[CTRL-VM-probe] follow job 515 slot 1

Attaching to process 515 (pppd)

Iteration 1 of 5

------------------------------

Thread LWP 515:

Switches: 3205

User stack:

#0 0x00007fdc2a3aaa8c in epoll_wait+0x14/0x2e

#1 0x0000000000441745 in ppp_EpollSched+0x35/0x5c

#2 0x0000000000000004 in ??

Kernel stack:

[<ffffffff811f0573>] ep_poll+0x2f3/0x370

[<ffffffff811f06c0>] SyS_epoll_wait+0xd0/0xe0

[<ffffffff814aed79>] system_call_fastpath+0x16/0x1b

[<ffffffffffffffff>] 0xffffffffffffffff

Thread LWP 549:

Switches: 20

User stack:

#0 0x00007fdc2a3aaa8c in epoll_wait+0x14/0x2e

#1 0x00000000004435d4 in ppp_misc_EpollSched+0x44/0x6c

Kernel stack:

[<ffffffffffffffff>] 0xffffffffffffffff

其它显示信息略……

e. 根据a、b、c、d步骤找到的任务的名称，找到对应的业务模块，定位并处理业务模块的问题。例如，如果任务snmpd的CPU占用率较高，可能是因为设备受到了SNMP攻击，或者NMS对设备的访问太频繁。需要进一步定位SNMP业务模块的问题；如果任务nqad的CPU占用率较高，可能是因为NQA探测太频繁，需要进一步定位NQA业务模块的问题。

(6) 如果故障仍然未能排除，请收集如下信息，并联系技术支持人员。

¡ 上述步骤的执行结果。

¡ 设备的配置文件、日志信息、告警信息。

5. 告警与日志

9 附录A 用户上线失败原因和异常下线原因

9.1 用户上线失败和异常下线定位方法

9.1.1 用户上线失败定位方法

如果用户上线失败，请执行display aaa online-fail-record命令查看用户上线失败原因。

例如，查询用户名为001094500020的用户上线失败原因。

<Sysname> display aaa online-fail-record username 001094500020

Total count: 116

Username: 001094500020

Domain: dm1

MAC address: 0010-9450-0020

Access type: IPoE

Access UP ID: 1353

Access interface: XGE3/1/1

SVLAN/CVLAN: -/-

IP address: -

IPv6 address: -

Online request time: 2021/08/15 07:42:15

Online failure reason: DHCP with server no response

根据Online failure reason字段提示信息，查看“9.2 用户上线失败原因和异常下线原因”对应原因码的故障处理方法。

若通过以上方法无法查到用户上线失败原因，可能是上线流程未走到AAA认证阶段或由于用户与设备间链路故障导致，此时可通过trace access-user命令（该命令的详细介绍请参见产品手册“BRAS业务命令参考”中的“UCM”）排查上线流程走到哪个阶段出现故障，以及根据实际组网情况排查链路故障。

9.1.2 用户异常下线定位方法

如果用户上线后异常下线，请执行display aaa abnormal-offline-record命令和display aaa offline-record命令查看用户下线原因。

例如，查询用户名为001094500021的用户下线原因。

<Sysname> display aaa offline-record username 001094500021

Total count: 4

Username: 001094500021

Domain: dm1

MAC address: 0010-9450-0021

Access type: IPoE

Access UP ID: 1354

Access interface: XGE3/1/1

SVLAN/CVLAN: -/-

IP address: 9.0.3.1

IPv6 address: -

Online request time: 2021/08/15 08:05:17

Offline time: 2021/08/15 08:09:08

Offline reason: dhcp release

根据Offline reason字段提示信息，查看“9.2 用户上线失败原因和异常下线原因”对应原因码的故障处理方法。

若通过以上方法无法查到用户异常下线原因，可能由于用户与设备间链路故障导致，此时需要根据实际组网情况排查链路故障。

(1) 检查认证服务器上是否添加了接入设备的IP地址或者添加的IP地址不正确，确保服务器上添加的接入设备的IP地址与设备发送认证请求报文的源IP地址相同。

(2) 检查设备和计费服务器之间的网络是否存在问题，确保认证服务器可达。

9.2.4 AAA with authorization data error

1. 提示信息

AAA with authorization data error

2. 常见原因

设备解析服务器下发的授权信息失败。

3. 处理方法

(1) 打开RADIUS报文调试信息开关，查看授权的属性内容。

(2) 确保服务器端下发的授权属性准确。

9.2.5 AAA with flow limit

1. 提示信息

AAA with flow limit

2. 常见原因

上线用户流量耗尽导致下线。

3. 处理方法

属于正常现象，无需处理。

9.2.6 AAA with memory alloc fail

1. 提示信息

AAA with memory alloc fail

1. 提示信息

AAA with realtime accounting fail

2. 常见原因

实时计费失败导致用户下线。

3. 处理方法

(1) 检查设备与计费服务器的共享密钥是否不匹配。若不匹配，请在对应的计费方案下设置与服务器匹配的共享密钥。

(2) 检查用户的认证域下是否配置了accounting update-fail [ max-times max-times ] offline命令。缺省情况下，如果用户实时计费失败，会继续保持在线。若不希望用户实时计费失败后下线，请在认证域下配置accounting update-fail online命令或者执行undo accounting update-fail命令恢复缺省情况。

(3) 如果故障仍然未能排除，请联系技术支持人员。

9.2.10 AAA with start accounting fail

1. 提示信息

AAA with start accounting fail

2. 常见原因

用户上线计费失败。

3. 处理方法

(1) 检查认证域下的计费配置，确保计费方案配置正确。

(2) 检查用户的认证域下是否配置了accounting start-fail offline命令。缺省情况下，如果用户计费开始失败，会继续保持在线。若不希望用户在计费开始失败后下线，请在认证域下配置accounting start-fail online命令或者执行undo accounting start-fail命令恢复缺省情况。

9.2.11 AAA with timer create fail

1. 提示信息

AAA with timer create fail

2. 常见原因

设备上的AAA定时器创建失败。

3. 处理方法

(1) 通过display memory命令查看设备的内存使用情况，确认设备可用内存是否不足。

(2) 通过display memory-threshold命令查看是否有内存门限告警，结合显示信息中的“Current free-memory state:”字段判断内存告警状态。

(3) 按需清理内存，例如减少在线用户数或者关闭一些不需要的业务。

9.2.12 AAA with user information err

1. 提示信息

AAA with user information err

2. 常见原因

用户进行LDAP认证时，未提供必须的用户名。

3. 处理方法

请用户修改上线使用的用户名后，重新尝试上线。

9.2.13 access-block

1. 提示信息

access-block

2. 常见原因

在转发与控制分离组网中，上线用户的接入UP被配置了禁止UP接入新用户。

3. 处理方法

在上线用户接入UP的UP管理视图下执行undo access-block命令取消禁止UP接入新用户配置。例如：

<Sysname> system-view

[Sysname] up-manage id 1024

[Sysname-up-manage-1024] undo access-block

9.2.14 Add nat user data fail(IP Alloc Fail)

1. 提示信息

Add nat user data fail(IP Alloc Fail)

2. 常见原因

用户流量匹配到的NAT配置中，NAT地址组的公网地址资源不足。

3. 处理方法

NAT地址组中的公网地址资源获取方式有两种：

· 通过在NAT地址组视图下使用address命令添加地址资源。当地址资源不足时，请通过address命令增加地址资源。例如：

<Sysname> system-view

[Sysname] nat address-group 1

[Sysname-address-group-1] address 202.1.1.1 202.1.1.2

· NAT地址组与全局NAT地址池绑定，NAT地址组从全局NAT地址池中获取地址资源。

¡ 对于静态全局NAT地址池，当地址资源不足时，请增加全局NAT地址池中的地址资源。例如：

<Sysname> system-view

[Sysname] nat ip-pool pool1

[Sysname-nat-ip-pool-pool1] section 0 200.1.1.1 mask 24

¡ 对于动态全局NAT地址池，当NAT地址组的地址资源不足时，UP上的动态全局NAT地址池向CP上NAT-CENTRAL类型的IP地址池申请地址。如果CP无可用地址分配给UP，则会导致NAT地址组无可用地址进行分配。对于这种情况，请增加CP上NAT-CENTRAL类型的IP地址池的公网地址资源，例如：

<Sysname> system-view

[Sysname] ip pool 1 nat-central

[Sysname-ip-pool-1] network range 202.1.1.1 202.1.1.2

9.2.15 Add no backlist no Sub IfMaster

1. 提示信息

Add no backlist no Sub IfMaster

2. 常见原因

在UP备份组网中，发生了主备切换，当前配置备接口为实际运行主接口；配置主接口实际为运行备接口。这种情况下，用户通过配置备接口（运行主接口）的子接口接入，但是设备查找不到对应配置主接口（运行备接口）的子接口，导致用户无法上线。

3. 处理方法

检查配置主接口的子接口能否终结用户携带的VLAN Tag，例如配置主接口的子接口上只配置了支持终结携带VLAN 3 Tag的报文，未配置支持终结携带VLAN 2 Tag报文，但是用户携带的VLAN Tag是2，此时可以在配置主的子接口上增加如下支持终结携带VLAN 2 Tag报文的配置后再次尝试上线：

ODAP类型的IP地址池组中无空闲子网段可分配。

3. 处理方法

· 在IP地址池组中的地址池下通过network secondary命令创建新的从网段，利用新从网段分配空闲子网段。

· 创建新的ODAP类型的IP地址池，配置可分配地址网段，将地址池通过pool命令添加到IP地址池组中。

9.2.19 All subnets in the DHCP address pool have been allocated

1. 提示信息

All subnets in the DHCP address pool have been allocated

2. 常见原因

ODAP类型的IP地址池中无空闲子网段可分配。

3. 处理方法

· 链路故障。

· 探测报文被设备丢弃。

· 设备因接入方式、接口状态、用户信息等不正确导致丢弃报文。

3. 处理方法

查看用户上线和下线时间差，查看探测配置，执行命令trace access-user命令打开业务跟踪对象，查看报文收发情况，排查报文在哪个阶段被丢弃，并进行相应的故障处理。

9.2.23 Authenticate fail

1. 提示信息

Authenticate fail

2. 常见原因

本地管理类用户上线认证失败。

3. 处理方法

· 检查用户名和密码是否正确。

· 检查认证域下的认证配置，确保认证方案配置正确。

9.2.24 Authentication method error

1. 提示信息

Authentication method error

2. 常见原因

· 配置的认证方法错误，比如上线静态专线但是配置的认证类型为web。

· LDAP仅支持PAP认证模式，客户端使用了非PAP认证模式。

3. 处理方法

修改配置重新触发上线。

9.2.25 Authorize fail

1. 提示信息

Authorize fail

1. 提示信息

CU Smoothing

2. 常见原因

2. 常见原因

通过reset dhcp server ip-in-use/reset ipv6 dhcp server ip-in-use/reset ipv6 dhcp server pd-in-use命令删除用户租约信息。

3. 处理方法

3. 处理方法

执行命令debugging dhcp server/debugging dhcp relay/debugging dhcp-access packet命令打开服务器、中继或DHCP接入模块报文调试开关，查看用户续约报文交互流程。

· 若用户未主动续约，则属于正常下线。

· 若用户申请了续约，则需要通过以上Debug调试信息定位问题并进行故障修复。仍无法自行解决问题时，请联系技术支持工程师。

9.2.44 DHCP memory error

1. 提示信息

DHCP memory error

2. 常见原因

申请内存失败。

3. 处理方法

执行命令display memory查看设备内存情况，若达到内存使用上限，则待退出内存门限后重新上线；若内存未达到使用上限，则联系技术支持工程师。

9.2.45 DHCP packet info did not match

1. 提示信息

DHCP packet info did not match

2. 常见原因

· DHCP中继收到DHCP服务器的应答报文后，检测到与记录的用户地址表项冲突，丢弃该应答报文，用户上线失败。

· ND RS接入用户上线，设备检查ND RS用户携带的客户端信息与授权信息不通过，用户上线失败。

3. 处理方法

联系技术支持工程师。

9.2.46 dhcp release

1. 提示信息

DHCP release

2. 常见原因

DHCP用户主动发送RELEASE报文请求下线。

3. 处理方法

属于正常情况，无需处理。

9.2.47 DHCP retrieved unexpected IP address

1. 提示信息

DHCP retrieved unexpected IP address

1. 提示信息

Domain denied

2. 常见原因

用户上线的接口上禁止该认证域的用户上线。

3. 处理方法

检查接口上是否配置了禁止用户上线的ISP域，命令形式为aaa deny-domain isp-name。如下例所示，接口上存在禁止用户接入ISP域test的配置。

<Sysname> system-view

[Sysname] interface ten-gigabitethernet 3/1/1

[Sysname-Ten-GigabitEthernet3/1/1] display this

interface Ten-GigabitEthernet3/1/1

port link-mode route

aaa deny-domain test

如果需要取消此限制，请在接口上执行undo aaa deny-domain isp-name命令。

9.2.59 domain is block

1. 提示信息

domain is block

2. 常见原因

用户的认证域处于阻塞状态，不允许该域下的用户请求网络服务。

3. 处理方法

检查用户的认证域下是否配置了state block offline命令，使得该域进阻塞状态后，强制用户下线。

<Sysname> system-view

[Sysname] domain name test

[Sysname-isp-test] display this

用户的私网地址无效。

3. 处理方法

(1) 删掉ISP域下NAT与BRAS联动的配置。例如：

<Sysname> system-view

[Sysname] domain name cgn

[Sysname-isp-cgn] undo user-address-type private-ipv4

支持BRAS联动功能的用户地址类型包括私网IP地址（private-ipv4）、私网双栈地址（private-ds）和轻量级双栈地址（ds-lite）。如果存在相关配置，请在ISP域下删除该配置。

(2) 取消负载分担用户组和NAT实例的绑定关系。例如：

<Sysname> system-view

用户进行LDAP认证时，设备无法发送查询用户DN的绑定请求。

3. 处理方法

进入对应的LDAP服务器视图，执行search-base-dn命令配置用户查询的起始DN。下例中设置的用户DN仅为示例。

<Sysname> system-view

[Sysname] ldap server ldap1

[Sysname-ldap-server-ldap1] search-base-dn dc=ldap,dc=com

9.2.68 Failed to come online by using CGN because service-instance-group is invalid

1. 提示信息

Failed to come online by using CGN because service-instance-group is invalid

2. 常见原因

· NAT实例绑定的业务实例组不存在。

· NAT实例绑定的业务实例组没有关联生效的备份组。

3. 处理方法

· 如果NAT实例绑定的业务实例组不存在，请使用service-instance-group命令创建业务实例组，并通过failover-group命令将业务实例组和备份组关联。例如：

<Sysname> system-view

[Sysname] service-instance-group sgrp

[Sysname-service-instance-group-sgrp] failover-group failgrp

· 使用display failover命令查看备份组的信息，如果“Active Status”字段显示为“Initial”，说明该备份组中没有可以处理业务的节点；如果“Active Status”字段显示为“Primary”或“Secondary”，说明备份组可以正常处理业务。请将业务实例组与能够正常处理业务的备份组关联。

9.2.69 Failed to compose tacacs request packet

1. 提示信息

Failed to compose tacacs request packet

[Sysname-isp-test] authentication ppp radius-scheme rd1

[Sysname-isp-test] authorization ppp radius-scheme rd1

[Sysname-isp-test] accounting ppp radius-scheme rd1

9.2.75 Failed to get NAT instance

1. 提示信息

Failed to get NAT instance

2. 常见原因

用户上线授权的NAT实例不存在。

3. 处理方法

· 通过user-group bind nat-instance命令修改ISP域下负载分担用户组绑定的NAT实例，保证负载分担用户组绑定的NAT实例和设备上实际生效的NAT实例一致。例如：

<Sysname> system-view

[Sysname] domain name cgn

[Sysname-isp-cgn] user-group name ugrp bind nat-instance inst

· 转发与控制分离组网下，CP和UP上需要配置相同的NAT实例。例如：

CP执行如下配置后，UP需要执行相同的配置。

<Sysname> system-view

[Sysname] nat instance cgn1 id 1

9.2.76 Failed to get user’s DN from the ldap search result

1. 提示信息

Failed to get user’s DN from the ldap search result

2. 常见原因

设备未从LDAP服务器上获取到用户DN。

3. 处理方法

(1) 检查设备上对应的LDAP服务器视图下的search-base-dn配置是否准确。

(2) 联系LDAP服务器管理员，检查LDAP服务器上的用户DN设置是否正确，确保服务器上存在该用户的DN信息。

9.2.77 Failed to obtain the secret

1. 提示信息

Failed to obtain the secret

2. 常见原因

用户进行LDAP认证时，未提供必须的用户密码。

3. 处理方法

请用户修改上线使用的密码后，重新尝试上线。

9.2.78 Failed to obtain user group information

1. 提示信息

Failed to obtain user group information

2. 常见原因

转发与控制分离的NAT与BRAS联动场景中，ISP域视图下配置了负载分担用户组和NAT实例的绑定关系后，该域下的用户组负载分担功能会同时开启。接入用户认证上线之后，接入设备将依据以下原则将其加入一个负载分担用户组，并为其分配一个NAT实例进行NAT处理：

· 如果AAA服务器为接入用户授权了用户组，则该用户组就是用户的负载分担用户组，接入设备会根据认证域中配置的负载分担用户组与NAT实例的绑定关系为其分配一个NAT实例。如果认证域下未查询到与AAA服务器授权的用户组所绑定的NAT实例，则无NAT实例分配给该用户，用户将会下线。

· 如果AAA服务器没有给接入用户授权用户组，则接入设备将从认证域中指定的负载分担用户组中为其选择一个用户组，并将与其绑定的NAT实例分配给该用户。选择负载分担用户组的机制为：首先选择认证域中在线用户数最少的负载分担用户组，其次选择最后配置的用户负载分担组。

· 如果AAA服务器没有给接入用户授权用户组，且认证域下也没有指定负载分担用户组，则无NAT实例分配给该用户，用户将会下线。

如果联动用户所属的用户组不存在，则会输出“Failed to obtain user group information”。

3. 处理方法

转发与控制分离组网下，CP和UP上需要配置相同的用户组。例如：

<Sysname> system-view

[Sysname] user-group user

9.2.79 Failed to parse AAA request message

1. 提示信息

Failed to parse AAA request message

1. 提示信息

Flow-triggered port block assignment does not support CGN

2. 常见原因

NAT与BRAS联动的场景中，用户上线成功后，NAT为该用户分配公网地址以及端口块。此种端口块分配方式与通过nat port-block flow-trigger enable命令开启的流量触发分配端口块方式冲突。

3. 处理方法

检查系统视图和NAT实例下是否配置了nat port-block flow-trigger enable命令。如果配置了nat port-block flow-trigger enable命令，请在存在该配置的视图下使用undo nat port-block flow-trigger enable命令关闭流量触发分配端口块功能。例如：

<Sysname> system-view

[Sysname] nat instance cgn1 id 1

[Sysname-nat-instance-cgn1] undo nat port-block flow-trigger enable

9.2.83 Going online failed because matching CGN doesn't support port block

1. 提示信息

Going online failed because matching CGN doesn't support port block

2. 常见原因

NAT与BRAS联动的场景中，联动上线用户匹配上的NAT配置中缺少端口块参数的配置，导致该NAT配置无法为用户分配端口块。

3. 处理方法

在用户匹配的NAT配置所引用的地址组视图下，使用port-block命令配置端口块大小参数。例如：

<Sysname> system-view

[Sysname] nat address-group 1

[Sysname-address-group-1] port-block block-size 256 extended-block-number 1

9.2.84 Hardware not support IPV6 PD prefix with mask longer than 120

1. 提示信息

Hardware not support IPV6 PD prefix with mask longer than 120

2. 常见原因

驱动不支持PD前缀长度大于120的用户。

3. 处理方法

检查PD前缀池相关配置，确保PD前缀长度不大于120。

9.2.85 ICMP with detect fail

1. 提示信息

ICMP with detect fail

2. 常见原因

· 客户端配置了防火墙后不对ICMP探测报文进行回应。

· 中间传输设备丢弃或者修改探测报文。

· 链路故障。

· 探测报文被设备丢弃。

· 设备因接入方式、接口状态、用户信息等不正确导致丢弃报文。

3. 处理方法

先关闭客户端防火墙（例如：Windows防火墙），如果问题仍未解决，则查看用户上线和下线时间差，查看探测配置，执行命令trace access-user打开业务跟踪对象，查看报文收发情况，排查报文在哪个阶段被丢弃，并进行相应的故障处理。

9.2.86 ICMPv6 with detect fail

1. 提示信息

ICMPv6 with detect fail

2. 常见原因

· 客户端配置了防火墙后不对ICMPv6探测报文进行回应。

· 中间传输设备丢弃或者修改探测报文。

· 链路故障。

· 探测报文被设备丢弃。

· 设备因接入方式、接口状态、用户信息等不正确导致丢弃报文。

上线接口的MAC地址变化，触发将记录到接口老MAC地址上的用户踢下线。

3. 处理方法

通过下列方法检查是否有在接口上执行mac-address命令更改了接口MAC地址，若有则属于正常现象，无需处理，否则请联系技术支持人员。

· display history-command all命令用来显示所有登录用户历史命令缓冲区中的命令。

· display logbuffer命令用来显示日志缓冲区的状态和日志缓冲区记录的日志信息。

· 查看logfile，可先执行display logfile summary命令查看logfile的存储位置，然后直接在设备执行more命令再查看文件内容或将logfile文件导出到本地电脑上查看。

9.2.93 Interface shutdown

1. 提示信息

Interface shutdown

2. 常见原因

接口被shutdown导致用户下线或者上线失败。

3. 处理方法

通过下列方法检查是否操作过接口shutdown，若有操作过，则属于正常现象，无需处理，否则请联系技术支持人员。

· SCCRP报文携带了无效的隧道ID。

· CHANLLENGE无效等原因导致AVP属性解析错误。

3. 处理方法

检查对端设备的L2TP配置，若配置正确但仍无法协商成功，请联系技术支持人员。

9.2.111 L2TP inner error

1. 提示信息

L2TP inner error

2. 常见原因

内部错误。

3. 处理方法

检查对端设备的L2TP配置，若配置正确但仍无法协商成功，请联系技术支持人员。

9.2.112 L2TP instance cfg change

1. 提示信息

L2TP instance cfg change

2. 常见原因

2. 常见原因

· 解析SCCN报文出错。

· 本地无法识SCCN报文携带的AVP属性导致本端协商失败。

3. 处理方法

检查对端设备配置，联系技术支持人员。

9.2.116 L2TP SCCRQ check fail

1. 提示信息

L2TP SCCRQ check fail

1. 提示信息

Ldap admin-binding operation failed

2. 常见原因

设备上配置的管理员权限的用户DN和LDAP服务器上管理员的DN不一致。

3. 处理方法

进入对应的LDAP服务器视图，执行login-dn命令修改管理员用户DN，使之与LDAP服务器上的管理员DN保持一致。下例中设置的用户DN仅为示例。

用户采用本地认证上线，但设备上不存在对应的本地用户。

3. 处理方法

请执行display domain命令查看用户上线的认证域中是否设置了本地认证方案。缺省情况下，认证域会采用本地认证方案。如果用户的认证方案为本地认证，请执行display local-user命令查看是否存在对应的本地用户配置。如果本地用户不存在，则执行local-user命令创建本地用户，并按需配置密码和服务类型。

如下例所示，创建设备管理类本地用户test，配置密码为123456TESTplat&!，服务类型为SSH。

<Sysname> system-view

[Sysname] local-user test class manage

[Sysname-luser-manage-test] password simple 123456TESTplat&!

[Sysname-luser-manage-test] service-type ssh

9.2.141 Local-user access-limit

1. 提示信息

Local-user access-limit

2. 常见原因

使用同一用户名接入设备的本地认证用户达到最大值。

3. 处理方法

根据需要在该用户的本地用户视图下取消或者改变使用当前本地用户名接入设备的最大用户数。

· 执行undo access-limit命令取消使用当前本地用户名接入的用户数限制。

<Sysname> system-view

[Sysname] local-user test class manage

[Sysname-luser-manage-test] undo access-limit

· 执行access-limit max-user-number命令增加最大用户数（下例中为10）。

转发与控制分离的N:1温备场景下，CP上没有配置对应的CGN温备组。

3. 处理方法

创建CGN-UP备份策略模板，并与实际处理地址转换业务的NAT实例绑定。然后，配置备用UP和主用UP。例如：

<Sysname> system-view

[Sysname] cgn-backup-profile 1 warm-standby nat-instance cgn-a

[Sysname-cgn-backup-profile-1] backup up-id 1026

[Sysname-cgn-backup-profile-1] master up-id 1024

[Sysname-cgn-backup-profile-1] master up-id 1025

9.2.147 nat online failed because of match config failed

1. 提示信息

nat online failed because of match config failed

2. 常见原因

NAT与BRAS联动的场景中，联动用户无法匹配到nat outbound配置。

3. 处理方法

使用display nat outbound命令检查期望用户流量匹配的nat outbound配置，确保nat outbound配置引用的ACL规则能够匹配上用户流量。例如：

(1) 使用display nat outbound命令检查期望用户流量匹配的nat outbound配置，查看nat outbound配置中引用的ACL规则为ACL 2036。

<Sysname> display nat outbound

NAT outbound information:

Totally 1 NAT outbound rules.

Interface: Ten-GigabitEthernet3/1/1

ACL: 2036 Address group: 1 Port-preserved: Y

NO-PAT: N Reversible: N

Config status: Active

(2) 使用display acl命令检查ACL 2036的配置和运行情况。如果显示信息中未出现“xx times matched”，则说明该规则未匹配到流量，请修改ACL配置。

<Sysname> display acl 2036

Basic IPv4 ACL 2036, 1 rule,

ACL's step is 5

rule 0 permit source 10.210.0.0 0.0.0.255

9.2.148 nat online failed because of match session-service-location failed

1. 提示信息

nat online failed because of match session-service-location failed

2. 常见原因

接口NAT未配置基于会话业务的备份组，或者基于会话业务的备份组未能匹配用户流量。

3. 处理方法

使用display current-configuration | include session命令，检查是否存在session service-location acl的配置。例如：

<Sysname> display current-configuration | include session

session service-location acl 2000 failover-group aa

(1) 如果存在session service-location acl的配置，请使用display acl命令检查ACL的配置和运行情况。如果显示信息中未出现“xx times matched”，则说明该规则未匹配到流量，请修改ACL配置。例如：

<Sysname> display acl 2000

设备没有收到计费服务器的实时计费报文响应报文。

3. 处理方法

· 收到未知报文。

· BRAS设备发送configure request等待用户返回configure ack超时。

3. 处理方法

检查设备的配置，收集交互的PPP协议报文信息，联系技术支持人员。

9.2.165 PPP IPCP terminate

1. 提示信息

PPP IPCP terminate

2. 常见原因

收到客户端发的ipcp terminal request，强制用户下线。

3. 处理方法

属于正常现象，无需处理。

9.2.166 PPP IPv6CP negotiate fail

1. 提示信息

PPP IPv6CP negotiate fail

2. 常见原因

2. 常见原因

· IPv6CP处于open状态后，收到重复的IPv6CP协商报文，可能是客户端断开重新发起连接导致。

· IPv6CP协商报文重传或者报文有丢失。

3. 处理方法

执行display system internal ucm statistics packets命令排查设备是否有丢包计数，抓包分析，排查链路故障，若无法解决请联系技术支持人员。

9.2.175 PPP up recv ipcp again

1. 提示信息

PPP up recv ipcp again

2. 常见原因

2. 常见原因

· 设备等待PAP验证请求超时，可能是客户端断开连接导致。

· 链路故障导致设备无法收到认证报文。

3. 处理方法

排查是否是客户端主动断开连接，若不是，则排查链路故障，若无法解决请联系技术支持人员。

9.2.180 PPP wait pap response time out

1. 提示信息

PPP wait pap response time out

2. 常见原因

· 设备等待PAP验证结果超时，并且重传验证请求超过最大次数，可能是客户端断开连接导致。

· 链路故障导致设备无法收到认证报文。

3. 处理方法

排查是否是客户端主动断开连接，若不是，则排查链路故障，若无法解决请联系技术支持人员。

9.2.181 PPP with echo fail

1. 提示信息

PPP with echo fail

1. 提示信息

Radius authentication and authorization do not same

2. 常见原因

用户进行RADIUS认证时，使用的RADIUS认证服务器和RADIUS授权服务器不同。

3. 处理方法

检查用户认证域下配置的RADIUS授权方法和RADIUS认证方法是否引用了不同的RADIUS方案。如果不同，请在该域下为用户配置相同的认证和授权方案。

<Sysname> system-view

用户会话超时，被强制下线。

3. 处理方法

打开RADIUS报文调试信息开关，查看服务器回应的计费更新报文中是否携带Session-Timeout属性，或者携带的Session-Timeout属性取值为0。

正常现象，无需处理。

9.2.196 Static user not config

1. 提示信息

Static user not config

2. 常见原因

触发上线的用户信息与配置的IPoE静态用户信息不匹配，需要检查配置。

3. 处理方法

检查IPoE静态用户的配置。

9.2.197 Status Error

3. 处理方法

若不是接入配置去使能导致用户下线，则请联系技术支持人员。

9.2.226 VSRP status change

1. 提示信息

VSRP status change

2. 常见原因

字段	描述
Discard: User access type is invalid	因用户接入类型无效导致报文被丢弃
Discard: UCM entry is null	因内核中UCM表项为空导致报文被丢弃
Discard: Failed to find an UCM entry	因在内核中查找UCM表项失败导致报文被丢弃
Failed to create static PDd node, startip = ipv4address, endip = ipv4address, startipv6 = ipv6address, endipv6 = ipv6address, startpd = pdaddress, endpd = pdaddress, PdLen = pdlength.	因申请PD节点内存失败导致添加PD链表失败，其中： · startip：表示全局静态会话配置中指定的起始IPv4起始地址(（配置单栈时不显示）) · endip：表示全局静态会话配置中指定的结束IPv4结束地址（(配置单栈时不显示）) · startipv6：表示全局静态会话配置中指定的起始IPv6起始地址 · endipv6：表示全局静态会话配置中指定的结束IPv6结束地址 · startpd：表示全局静态会话配置中指定的Pd起始PD前缀地址 · endpd：全局静态会话配置中指定的Pd结束PD地址前缀 · PdLen：表示Pd地址PD前缀长度

表5 debugging ucm forward event命令输出信息描述表

字段	描述
Enable HTTP redirect packet to CPU.	在内核中使能HTTP重定向报文上送CPU
Disable HTTP redirect packet to CPU.	在内核中去使能HTTP重定向报文上送CPU
HTTP Redirect DRV: Unnecessary to delete user userid redirect rule because Context is invalid.	HTTP重定向报文下发驱动：Context无效，不需要删除用户重定向规则
HTTP Redirect DRV: add user userid redirect to CPU rule, redirect url is url.	HTTP重定向报文下驱动信息：为User ID为userid的用户添加重定向到CPU的规则，重定向网址是url
HTTP Redirect DRV: Failed to add user userid redirect to CPU rule.	HTTP重定向报文下驱动信息：为User ID为userid的用户添加重定向到CPU的规则失败
HTTP Redirect DRV: Successfully deleted user userid redirect to CPU rule.	HTTP重定向报文下驱动信息：成功删除User ID为userid的用户重定向到CPU的规则。
HTTP Redirect Info: UserID=userid.	HTTP重定向信息，其中UserID表示用户ID
HTTP Redirect Info: Phase=phase, RedirectUrl=RedirectUrl.	HTTP重定向信息，其中： · Phase：表示进行重定向时，用户会话所处的认证阶段，取值包括： ¡ Bind：表示绑定认证阶段 ¡ Web：表示Web认证阶段 ¡ N/A：表示无效状态 · RedirectUrl：表示Web访问请求被重定向后的URL地址
Allowed the packet to pass through because it was the packet accessing web server.	访问Web server的报文，直接放行
HTTP redirect: User userid has been redirected.	HTTP重定向信息：User ID为userid的用户Web请求已经被重定向
HTTP redirect msg Failed because UCM entry is null.	因为用户表项不存在，处理HTTP重定向的消息失败
HTTP redirect msg Failed because the uiAuthMethod of UCM entry is webpreauth.	因为用户是前域用户，处理HTTP重定向的消息失败
UCM WEB Session UserID is userId.	当前UCM Web会话的User ID是userid
UCM web session Phase phase, RedirTimes times, OriginalUrl: OriginalUrl, Auth RedirectUrl: RedirectUrl.	Web认证信息，其中： · Phase：表示当前会话阶段，取值包括： ¡ Bind：表示绑定认证阶段 ¡ Web：表示Web认证阶段 · RedirTimes：HTTP重定向次数 · OriginalUrl：用户Web访问请求的URL地址 · RedirectUrl：Web访问请求被重定向后的URL地址
UCM web session UserID userid, RedirectUrl RedirectUrl.	UCM Web会话信息，其中： · UserID：用户ID · RedirectedUrl：Web访问请求被重定向后的URL地址
UCM web session Phase phase, ReplaceUrl ReplaceUrl.	UCM Web会话信息，其中： · Phase：表示当前会话阶段，取值包括： ¡ Bind：表示绑定认证阶段 ¡ Web：表示Web认证阶段 · ReplaceUrl：替换后的URL
It’s iOS client’s first connection and needs redirect.	IOS用户第一次连接，设备会主动向用户终端推送Web认证页面
It’s not iOS client’s first connection and it needs redirected silent.	IOS用户不是第一次连接，仅在用户使用浏览器访问Internet时，设备才会为其推送Web认证页面
The user IP is ip, user-agent is agent, captive type is captivetype.	用户的Web重定向URL和被动认证信息，其中： · user IP：表示用户IP地址 · user-agent：表示用户代理信息 · captive type：表示被动Web认证用户类型，其中： ¡ Default：表示IOS和Android系统用户 ¡ IOS：表示IOS系统用户 ¡ Android：表示Android系统用户
The packet matched the redirect URL: the original url is url, user-agent is agent, redirect url is url.	报文匹配了重定向，其中： · original url：表示用户Web访问请求的URL地址 · user-agent：表示用户代理信息 · redirect url：表示Web访问请求被重定向后的URL地址
Destroyed MBuf because the user group is invalid.	因为User Group无效，报文被丢弃
Send HTTP User Agent to user-mode: the user ID is id, the user-agent is agent.	HTTP报文触发IPoE Web认证，上送user-agent到用户态，其中： · user ID：表示用户ID · user-agent：表示HTTP user-agent信息
Successfully deletedSucc del static PDd node, startip = ipv4address, endip = ipv4address, startipv6 = ipv6address, endipv6 = ipv6address, startpd = pdaddress, endpd = pdaddress, PdLen = pdlength.startip = %s, endip = %s, startipv6 = %s, endipv6 = %s, startpd = %s, endpd = %s, PdLen = %d.	删除全局静态会话配置时从链表上摘除PD前缀d节点，其中： · startip：表示全局静态会话配置中指定的起始IPv4地址（配置单栈时不显示） · endip：表示全局静态会话配置中指定的结束IPv4地址（配置单栈时不显示） · startipv6：表示全局静态会话配置中指定的起始IPv6地址 · endipv6：表示全局静态会话配置中指定的结束IPv6地址 · startpd：表示全局静态会话配置中指定的起始PD前缀 · endpd：全局静态会话配置中指定的结束PD前缀 · PdLen：表示PD前缀长度startip：表示全局静态配置IPv4起始地址(配置单栈时不显示) · endip：表示全局静态配置IPv4结束地址(配置单栈时不显示) · startipv6：表示全局静态配置IPv6起始地址 · endipv6：表示全局静态配置IPv6结束地址 · startpd：表示全局静态配置Pd起始地址 · endpd：全局静态配置Pd结束地址 · PdLen：表示Pd地址长度

表6 debugging ucm forward packet命令输出信息描述表

字段	描述
Send a packet: UserID: userid, Total Length: length, SrcIP: srcip, DstIP: dstip.	发送一个UCM转发报文，其中： · UserID：用户ID · Total Length：报文总长度 · SrcIP：源IP · DstIP：目的IP
Received a packet: UserID: userId, Total Length: length, SrcIP: srcip, DstIP: dstip.	接收一个UCM转发报文，其中： · UserID：用户ID · Total Length：报文总长度 · SrcIP：源IP · DstIP：目的IP

字段

描述

Send a packet: UserID: userid, Total Length: length, SrcIP: srcip, DstIP: dstip.

发送一个UCM转发报文，其中：

· UserID：用户ID

· Total Length：报文总长度

· SrcIP：源IP

· DstIP：目的IP

Received a packet: UserID: userId, Total Length: length, SrcIP: srcip, DstIP: dstip.

接收一个UCM转发报文，其中：

· UserID：用户ID

· Total Length：报文总长度

· SrcIP：源IP

· DstIP：目的IP

10.2 PPPoE模块调试信息注解

表7 debugging ppp protocol-type error命令输出信息描述表

字段	描述
PPP Error	PPP错误信息
interface-name	接口名称
protocol-type	协议类型，取值为：LCP、IPCP、OSICP、IPv6CP、MP
error-string	错误信息内容，取值及含义： · FSM Illegal Event：状态机非法事件 · Received bad Confack Packet：接收错误的配置确认报文 · Packet Id Error：报文ID错误 · Failed to send packet：发送报文失败 · Received illegal event：接收错误的事件 · Serial line is looped back：链路回环 · Received wrong IPCP ACK：接收错误的IPCP配置确认报文 · Receive AAA reject message, authentication failed：认证失败

表8 debugging ppp protocol-type event命令输出信息描述表

字段	描述
PPP Event	PPP事件
interface-name	接口名称
protocol-type	协议类型，取值为：LCP、IPCP、MPLSCP、OSICP、IPv6CP、MP
event	状态机事件event的取值及含义： · Lower Up：底层up事件 · Lower Down：底层down事件 · Open：链路可供使用 · Close：链路不提供使用 · TO+(Timeout with counter > 0)：超时重发事件（重传计数器大于0重发报文） · TO-(Timeout with counter expired)：超时重发事件（重传计数器不大于0，不重发报文） · RCR+(Receive Good Configure Request)：从对端收到Configure-Request报文时，触发此事件（RCR+事件指对端的配置请求可以接受，该事件发生时，发送Configure-Ack报文作为响应） · RCR-(Receive Bad Configure Request)：从对端收到Configure-Request报文时，触发此事件（RCR-事件指不接受对端的配置请求，该事件发生时，根据情况发送Configure-Nak或Configure-Rej报文作为响应） · RCA(Receive Configure Ack)：收到对端对本端请求选项认可的Configure-Ack报文时事件发生 · RCN(Receive Configure Nak/Reject)：收到对端拒绝本端某些或全部请求选项的Configure-Nak/Rej报文时事件发生 · RTR(Receive Terminate Request)：收到对端Terminate-Request报文，表明对端想关闭连接 · RTA(Receive Terminate Ack)：接收到对端Terminate-Ack报文 · RUC(Receive Unknown Code)：收到对端发送过来的本端无法解释的报文时触发此事件 · RXJ+(Receive permitted Code/Protocol Reject )：收到对端发送过来的Code-Reject或Protocol-Reject时此事件发生。RXJ+：表明被拒绝的选项可接受，即在正常范围内 · RXJ- (Receive catastrophic Code/Protocol Reject )：收到对端发送过来的Code-Reject或Protocol-Reject时此事件发生。RXJ-：表明被拒绝的选项对端不可接受，这将导致链接终止 · RXR(Receive EchoRequest/EchoReply/DiscardRequest)：当从对端接收到Echo-Request、Echo-Reply、Discard-Request报文时，事件发生。对Echo-Request报文回应Echo-Reply报文
state	PPP状态机状态，state取值见表8

表9 debugging ppp external event命令输出信息描述表

字段	描述
PPP External Event	PPP外部事件
interface-name	接口名称
event	外部事件event的取值及含义举例： · PPP negotiate down, start Reset-Timer：PPP协商失败，启动Reset定时器 · Reset-Timer Expired, IPCP negotiate again：Reset定时器超时，IPCP重协商 · PPP create rundb error：PPP创建运行DBM错误 · PPP update rundb error：更新运行DBM错误 · Reset-Timer Expired, reset LCP and negotiate again：Reset定时器超时，重启协商 · Successfully notified IPv6 multicast of authorization change.：通知IPv6组播用户授权变更成功 · Failed to smooth IPv4 multicast data.：平滑IPv4组播数据失败 · Failed to smooth IPv6 multicast data.：平滑IPv6组播数据失败 · The user NAT seq is not equal to the local seq.：用户的NAT序号与本地的序号不一致

表10 debugging ppp protocol-type state命令输出信息描述表

字段	描述
PPP State Change	链路层协议状态变化
interface-name	接口名称
protocol-type	协议类型，取值为：LCP、IPCP、MPLSCP、OSICP、IPv6CP、MP
state --> state	state取值及含义： · initial：初始状态 · starting：启动状态 · closed：关闭状态 · stopped：停止状态 · closing：正在关闭状态 · stopping：正在停止状态 · reqsent：配置请求发送状态 · ackrcvd：收到对端确认状态 · acksent：对对端的确认报文已发送状态 · opened：链路开启状态

表11 debugging ppp protocol-type packet命令输出信息描述表

字段	描述
PPP Packet	链路层协议
interface-name	接口名称
Output/Input	发送/接收报文
protocol-type Packet	协议类型，取值为：LCP、IPCP、MPLSCP、OSICP、IPv6CP、MP、LQM
PktLen number	报文长度
Current State state	PPP状态机当前状态，state取值见表8
Code packet-type	报文类型，packet-type取值及含义： · ConfReq：配置请求 · ConfAck：配置确认 · ConfNak：配置否认 · ConfRej：配置拒绝 · TermReq：终止请求 · TermAck：终止确认 · CodeRej：代码拒绝 · ProtoRej：协议拒绝 · EchoRequest：回音请求 · EchoReply：回音应答
id number	报文ID
len number	排除PPP报文头后报文长度
MagicNumber magic-number	魔术字
LastOutLQRs lqr-numer	本端已发送的LQR报文总数
LastOutPackets packets-number	本端已发送的报文总数
LastOutOctets octets-number	本端已发送的字节总数
PeerInLQRs lqr-number	对端已收到的LQR报文总数
PeerInPackets packet-number	对端已收到的报文总数
PeerInDiscards discard-number	对端已丢弃的报文总数
PeerInErrors error-number	对端已收到的错误报文总数
PeerInOctets octets-number	对端已收到的字节总数
PeerOutLQRs lqr-number	对端已发送的LQR报文总数
PeerOutPackets packets-number	对端已发送的报文总数
PeerOutOctets octets-number	对端已发送的字节总数
Negotiation type	LCP协商选项见表10，IPCP协商选项见表11

表12 debugging ppp lcp packet常用协商type值信息描述表

字段值	描述（英文）	描述（中文）
1	Maximum-Receive-Unit	最大接收单元
2	Async-Control-Character-Map	异步控制字符映射
3	Authentication-Protocol	验证协议
4	Quality-Protocol	质量协议
5	Magic-Number	魔术字
7	Protocol-Field-Compression	协议域压缩
8	Address-and-Control-Field-Compression	地址控制域压缩
13	Callback	PPP回呼
17	Multilink Maximum Received Reconstructed Unit	MP最大接收重组单元
18	Short Sequence Number Header Format	MP报文协商序号长度
19	Endpoint Discriminator	终端描述符

表13 debugging ppp ipcp packet常用协商type值信息描述表

字段值	描述（英文）	描述（中文）
2	IP CompressProt	PPP压缩类型及压缩参数协商
3	IP Address	IP地址协商
129	Primary DNS Server Address	PPP一端向另一端请求Primary DNS server地址或向另一端分配Primary DNS server地址
131	Secondary DNS Server Address	PPP一端向另一端请求Secondary DNS server地址或向另一端分配Secondary DNS server地址

表14 debugging pppoe-server error命令输出信息描述表

字段	描述
Failed to start the PPPoE server process on slot slotnum.	启动单板slotnum上的PPPoE server进程失败
Received a packet with an invalid-length PPP-Max-Payload tag (len=length).	收到的报文的PPP-Max-Payload Tag长度错误
Wrong PPP-Max-Payload tag value (value=value).	PPP-Max-Payload Tag的值错误
Failed to assign a session ID.	分配会话ID失败
Failed to enable VLAN broadcast on VLAN interface interface-name.	VLAN接口interface-name使能接收广播报文失败
Interface interface-name received a packet with an invalid-length circuit-id tag (len=length).	接口interface-name收到报文中circuit-id的数据长度错误，数据长度为length
Interface interface-name failed to parse the Enterprise Code in the circuit ID by using TR101.	接口interface-name解析TR-101格式的circuit-id的企业码错误
Interface interface-name failed to parse port type in the circuit ID by using TR101.	接口interface-name解析TR-101格式的circuit-id的接口类型失败
Interface interface-name failed to parse the frame number in the circuit ID by using TR101.	接口interface-name解析TR-101格式的circuit-id的框号失败
Interface interface-name failed to parse the slot number in the circuit ID by using TR101.	接口interface-name解析TR-101格式的circuit-id的板号失败
Interface interface-name failed to parse the subslot number in the circuit ID by using TR101.	接口interface-name解析TR-101格式的circuit-id的子卡号失败
Interface interface-name failed to parse the ATM port in the circuit ID by using TR101.	接口interface-name解析TR-101格式的circuit-id的ATM接口号失败
Interface interface-name failed to parse the ATM VPI in the circuit ID by using TR101.	接口interface-name解析TR-101格式的circuit-id的ATM VPI失败
Interface interface-name failed to parse the ATM VCI in the circuit ID by using TR101.	接口interface-name解析TR-101格式的circuit-id的ATM VCI失败
Interface interface-name failed to parse port in the circuit ID by using TR101.	接口interface-name解析TR-101格式的circuit-id的端口号失败
Interface interface-name failed to parse the VLAN ID in the circuit ID by using TR101.	接口interface-name解析TR-101格式的circuit-id的VLAN号失败
Interface interface-name received a packet with a zero-length remote-id tag.	接口interface-name接收的报文remote-id的长度为0
Interface interface-name failed to parse the remote ID by using format format.	接口interface-name以format格式解析remote-id失败。format为解析格式类型：1表示hex类型，2表示ascii类型
Interface interface-name failed to parse the Vendor-Specific tag.	接口interface-name解析TAG Vendor Specify失败
Interface interface-name failed to send a PADS packet (sid=sessionid).	接口interface-name发送PADS报文失败（会话ID为sessionid）
Interface interface-name received a PADR packet with an illegal-length Vendor-Specific tag (len=length).	接口interface-name收到的PADR报文中TAG Vendor-specify的长度非法（Tag的长度为length）
Interface interface-name received a PADR packet with a wrong Enterprise Code in the Vendor-Specific tag.	接口interface-name收到的PADR报文中TAG Vendor-specify的企业码错误
Interface interface-name received a PADR packet with a format error for the Vendor-Specific tag.	接口interface-name收到的PADR报文中TAG Vendor-specify的格式错误
Interface interface-name received a packet with illegal tag length.	接口interface-name收到报文中TAG的长度非法
Interface interface-name received a packet with a nonzero- length End-Of-List tag.	接口interface-name收到报文中end-of-list tag长度不为0
Interface interface-name received a packet containing an ERROR tag (type = type).	接口interface-name收到报文中包含类型为type的错误tag
Interface interface-name received a packet with zero or more than one Service-Name tag.	接口interface-name收到报文中包含的service-name tag的个数不为1
Interface interface-name received a PADI packet with wrong dest-MAC.	接口interface-name收到的PADI报文的目的MAC地址错误
Interface interface-name received a PADI packet with wrong session-id sessionid.	接口interface-name收到的PADI报文的会话ID错误
Interface interface-name throttled the client MAC address.	接口interface-name扼制了对端MAC地址
Interface interface-name failed to add the AC-Name tag.	接口interface-name向报文中添加ac-name tag失败
Interface interface-name failed to send a PADO packet.	接口interface-name发送PADO报文失败
Interface interface-name received a PADR packet with wrong dest-MAC.	接口interface-name收到的PADR报文的目的MAC地址错误
Interface interface-name received a PADR packet with non-zero session-id sessionid.	接口interface-name收到的PADR报文的会话ID不为0，为sessionid
Interface interface-name failed to add a session.	接口interface-name添加会话失败
Interface interface-name failed to send a PADS packet (sid=sessionid).	接口interface-name发送PADS报文失败（会话ID为sessionid）
Interface interface-name received a PADT packet with illegal session-id sessionid.	接口interface-name收到的PADT报文的会话ID非法，会话ID为sessionid
Interface interface-name received too small a packet of length length.	接口interface-name收到的报文总长度过短，报文总长度为length
Interface interface-name received a packet with too large a payload of length length.	接口interface-name收到的报文负载长度过长，负载长度为length
Interface interface-name received a packet with wrong length length.	接口interface-name收到的报文总长度错误，报文总长度为length
Interface interface-name received packet with wrong ETHER_TYPE ether_type.	接口interface-name收到的报文ETHER_TYPE字段错误，ETHER_TYPE字段的值为ether_type
Interface interface-name received a packet with wrong source MAC address.	接口interface-name收到的报文的源MAC地址错误
Interface interface-name received a packet with wrong version or type.	接口interface-name收到的报文的VERSION字段或者TYPE字段错误
Interface interface-name failed to get the local MAC address.	接口interface-name获取本地MAC地址失败
The kernel of interface interface-name failed to get the local MAC address.	接口interface-name的内核获取本地MAC地址失败
Interface interface-name received a packet with a source MAC address mismatched with the peer MAC address stored in the local session.	接口interface-name收到的报文包含的对端MAC地址与本地会话中保存的对端MAC地址不匹配
Interface interface-name received an invalid Ethernet packet with session id sessionid.	接口interface-name收到了非法以太网报文，会话ID为sessionid
Interface interface-name failed to add the PPPoE header.	接口interface-name为PPP报文添加PPPoE报文头失败

表15 debugging pppoe-server event命令输出信息描述表

字段	描述
The standby MPU received an upgrade-to-active event.	备用主控板收到升级为主用主控板事件
Slot number inserted.	插入单板number
Slot number removed.	拔出单板number
An interface activation event occurred on interface interface-name.	接口interface-name发生接口激活事件
An interface deactivation event occurred on interface interface-name.	接口interface-name发生接口去激活事件
An interface deletion event occurred on interface interface-name.	接口interface-name发生接口删除事件
An interface down event occurred on interface interface-name.	接口interface-name发生接口down事件
An interface shutdown event occurred on interface interface-name.	接口interface-name发生接口shutdown事件
A MAC address change event occurred on interface interface-name.	接口interface-name发生接口MAC地址变化事件
Interface interface-name received a PVC down event (VEMap=number).	接口interface-name接收到PVC down事件（VE接口映射为number）
Interface interface-name received a PPP down event (sid=sessionid).	接口interface-name接收到PPP down事件（会话ID为sessionid）
Interface interface-name was configured not to trust the access line ID.	接口interface-name配置不信任接入线路ID，忽略circuit-id
Interface interface-name parsed the content of the access line ID as content.	接口interface-name解析出的接入线路ID内容为content
Interface interface-name ignored data of an known type in the Vendor-Specific tag (type=type).	接口interface-name忽略未知类型为type的Vendor Specify数据
Interface interface-name ignored a tag (type=type).	接口interface-name忽略类型为type的tag
The session number reached per-card limit.	单板建立会话数达到上限
The session number for VLAN number on the peer reached per-VLAN limit on interface interface-name.	接口interface-name下对端VLAN number建立的会话数达到上限
The session number reached the interface limit on interface interface-name.	接口interface-name下建立的会话数达到上限
The session number for a client MAC reached per-MAC limit on interface interface-name.	接口interface-name下对端Client MAC建立的会话数达到上限
PPPoE server was enabled on interface interface-name.	接口interface-name使能PPPoE Server成功
PPPoE server was disabled on interface interface-name.	接口interface-name去使能PPPoE Server成功
Interface interface-name got session information successfully.	接口interface-name获取会话信息成功
Interface interface-name deleted all sessions successfully.	接口interface-name删除会话信息成功
The kernel of interface interface-name received an interface deletion event.	接口interface-name的内核接收到接口删除事件
The kernel of interface interface-name received an interface deactivation event.	接口interface-name的内核接收到接口去激活事件
The kernel of interface interface-name received an interface down event.	接口interface-name的内核接收到接口down事件
The kernel of interface interface-name received a MAC address change event.	接口interface-name的内核接收到MAC地址变化事件
Connected to LICENSE module.	PPPoES模块与LICENSE模块的连接建立成功
Failed to connect to LICENSE module.	PPPoES模块与LICENSE模块的连接建立失败
Disconnected from LICENSE module.	PPPoES模块与LICENSE模块的连接断开成功
Received LICENSE event: EventType=event-type.	PPPoES收到LICENSE的EventType事件 EventType类型如下： · Installed：安装 · Uninstalled：卸载 · Expired：过期
Changed the session limit from old-value to new-value per card.	更新LICENSE定制的PPPoES单板会话限制数 · old-value：旧的PPPoES单板会话限制数 · new-value：新的PPPoES单本会话限制数
Kept users online though an interface down event occurred on interface interface-name.	当接口interface-name发生down事件时，仍然保持用户在线

表16 debugging pppoe-server packet send命令输出信息描述表

字段	描述
Interface interface-name sent a PADT packet (sid=sessionid, err=errcode).	接口interface-name发送PADT报文（会话ID为sessionid，错误码为er-code）
Interface interface-name sent a PADS packet (sid=sessionid).	接口interface-name发送PADS报文（会话ID为sessionid）
Interface interface-name sent a PADO packet.	接口interface-name发送PADO报文

表17 debugging pppoe-server packet receive命令输出信息描述表

字段	描述
Interface interface-name received a PADI packet.	接口interface-name接收到PADI报文
Interface interface-name received a PADR packet.	接口interface-name接收到PADR报文
Interface interface-name received a PADT packet (sid =sessionid).	接口interface-name接收到PADT报文，会话ID为sessionid
Interface interface-name received an unknown packet (code=code).	接口interface-name接收到未知报文，报文类型为code
Interface interface-name dropped a multicast or broadcast PPPoE packet.	接口interface-name丢弃目的地址不为单播的PPPoE报文
Interface interface-name dropped a PPPoE packet of incorrect length.	接口interface-name丢弃长度错误的PPPoE报文
Interface interface-name dropped an invalid PPPoE packet.	接口interface-name丢弃非法PPPoE报文
Interface interface-name received an error packet.	接口interface-name接收到错误的报文

表18 debugging pppoe-server timer命令输出信息描述表

字段	描述
Interface interface-name created aging timer for throttled MAC entries.	接口interface-name创建MAC扼制老化定时器
Interface interface-name started aging throttled MAC entries.	接口interface-name开始进行MAC遏制表项老化

10.3 L2TP模块调试信息注解

表19 debugging l2tp avp-hidden命令输出信息描述表

字段	描述
AVP-type AVP was hidden.	隐藏了类型为AVP-type的AVP

表20 debugging l2tp control-packet命令输出信息描述表

字段	描述
Received message-type packet from port 1701 (TunnelID=tunnel-id, length=length, Ns=ns, Nr=nr). Packet content: content	从端口1701接收到message-type类型的报文，报文所属隧道的Tunnel ID为tunnel-id，报文长度为length，Ns为ns，Nr为nr，报文内容为content 其中，message-type取值包括ZLB-ACK、UNKNOWN、Reserved、SCCRP、SCCCN、StopCCN、Hello、ICRQ、ICRP、ICCN、CDN、WEN和SLI
Received message-type packet from port 1701 (length=length, Ns=ns, Nr=nr). Packet content: content	从端口1701接收到message-type类型的报文，报文长度为length，Ns为ns，Nr为nr，报文内容为content 其中，message-type取值包括SCCRQ、UNKNOWN和Reserved
Encapsulated AVP-type AVP: encapsulated-avp	封装类型为AVP-type的AVP。封装后AVP的内容为encapsulated-avp

表21 debugging l2tp data-packet命令输出信息描述表

字段	描述
Encapsulated an L2TP data packet on interface interface-name (length=length): Source IP: source-ip Destination IP: destination-ip Source port: source-port Destination port: destination-port Tunnel ID: tunnel-id Session ID: session-id	在接口interface-name上封装一个L2TP数据报文 · 报文长度为length · 源IP地址为source-ip · 目的IP地址为destination-ip · 源端口号为source-port · 目的端口号为destination-port · 隧道ID为tunnel-id · 会话ID为session-id
Received an L2TP data packet: Source IP: source-ip Destination IP: destination-ip Source port: source-port Destination port: destination-port	接收到一个L2TP数据报文 · 源IP地址为source-ip · 目的IP地址为destination-ip · 源端口号为source-port · 目的端口号为destination-port
Successfully parsed the L2TP header (L2TP header length=length): Tunnel ID: tunnel-id Session ID: session-id Ns: ns Type: type Length: length Sequence: sequence Offset: offset Priority: priority	成功解析L2TP数据报文头，报文头长度为length，报文头的内容为： · 隧道ID为tunnel-id · 会话ID为session-id · Ns为ns · 报文类型值为type · 报文长度为length · 报文的序列号为sequence · 报文的偏移量为offset · 报文的优先级为priority
FlowCtrl: Received an L2TP data packet. TunnelID=tunnel-id, SessionID=session-id, Ns=Ns, ENs=ENs1. After receiving the packet, ENs changed to ENs2.	流控：收到了隧道ID为tunnel-id、会话ID为session-id的L2TP数据报文。报文的Ns为Ns，期望的报文序列号为ENs1。接收到该L2TP报文后，期望的报文序列号变成ENs2
No FlowCtrl: Received an L2TP data packet. TunnelID=tunnel-id, SessionID=session-id.	非流控：收到了隧道ID为tunnel-id、会话ID为session-id的L2TP数据报文
Invalid FlowCtrl: Dropped an L2TP data packet. TunnelID=tunnel-id, SessionID=session-id.	异常的流控：丢弃隧道ID为tunnel-id、会话ID为session-id的L2TP数据报文
Transparently transmitted an L2TP data packet to slot slot-value. TunnelID=tunnel-id, SessionID=session-id.	把隧道ID为tunnel-id、会话ID为session-id的数据报文透传到目的板slot-value
Processed an L2TP data packet. TunnelID=tunnel-id, SessionID=session-id.	处理隧道ID为tunnel-id、会话ID为session-id的L2TP数据报文
Dropped an L2TP data packet.	丢弃一个L2TP数据报文

表22 debugging l2tp dump命令输出信息描述表

字段	描述
Received a packet from PPP on interface interface-name (length=length): packet-content	在接口interface-name上从PPP收到一个数据报文，报文长度为length，报文内容为packet-content
Sent a packet to PPP on interface interface-name (length=length): packet-content	在接口interface-name上向PPP发送一个数据报文，报文长度为length，报文内容为packet-content

表23 debugging l2tp error命令输出信息描述表

字段	描述
Failed to reclaim tunnel ID tunnel-id.	回收值为tunnel-id的隧道ID失败
Failed to delete interface interface-name.	删除名为interface-name的接口失败
TunnelID=tunnel-id: Failed to save tunnel information to database.	将隧道ID为tunnel-id的隧道信息保存到数据库失败
TunnelID=tunnel-id, SessionID=session-id: Failed to save session information to database.	将隧道ID为tunnel-id、会话ID为session-id的会话信息保存到数据库失败
TunnelID=tunnel-id: Failed to update Ns and Nr information to database.	在隧道tunnel-id中，更新隧道的Ns和Nr信息到数据库失败
TunnelID=tunnel-id: Failed to resend packet, Ns=ns, Nr=nr.	在隧道tunnel-id中，重发Ns为ns、Nr为nr的报文失败
TunnelID=tunnel-id: Failed to send packet.	在隧道tunnel-id中，发送报文失败
Received StopCCN packet. Due to the invalid tunnel ID, processed the packet without using the state machine.	收到StopCCN报文，但报文头中的隧道ID为无效值，所以不利用状态机处理此报文
TunnelId=tunnel-id: Failed to reset ACK timer when acknowledging transmit window.	在隧道tunnel-id中，确认发送窗口时刷新ACK定时器失败
TunnelID= tunnel-id: Failed to reset Hello timer.	在隧道tunnel-id中，重置Hello定时器失败
TunnelID=tunnel-id: Failed to reset ACK timer.	在隧道tunnel-id中，重置ACK定时器失败
TunnelID= tunnel-id: Failed to reset Hello timer by command.	在隧道tunnel-id中，命令触发的Hello定时器刷新失败
TunnelID=tunnel-id: Failed to send ZLB-ACK packet, Ns=ns, Nr=nr.	在隧道tunnel-id中，发送ZLB-ACK报文失败，报文的Ns为ns、Nr为nr
Failed to send packet.	发送报文失败
TunnelID=tunnel-id: Failed to create timer-type timer.	在隧道tunnel-id中，创建类型为timer-type的定时器失败其中，timer-type取值包括ACK、Delay-Cleanup、Hello和Delay-ACK
Failed to send packet, because the transmit window was full.	发送报文失败，因为发送窗口已满
Processed SCCRQ packet, but failed to allocate resource for a new tunnel on the server.	处理SCCRQ报文时，在LNS上为新隧道分配资源失败
The packet is invalid, because it is not a ICRQ or CDN packet but the session ID in the packet header is invalid.	此报文非法，因为收到的报文不是ICRQ、CDN报文，但是该报文头中的会话ID是无效值
The packet is invalid, because it is not a SCCRQ or StopCCN packet but the tunnel ID in the packet header is invalid.	此报文非法，因为收到的报文不是SCCRQ、StopCCN，但是报文头中的隧道ID是无效值
ICRQ packet is invalid, because the session ID in the packet header is valid.	ICRQ报文非法，因为报文头中的会话ID是有效值
SCCRQ packet is invalid, because the tunnel ID in the packet header is valid.	SCCRQ报文非法，因为报文头中的隧道ID是有效值
Invalid packet header.	报文头非法
Invalid packet length.	报文长度异常
Unknown packet type.	报文类型无法识别
The tunnel with the TunnelID tunnel-id in the packet header doesn't exist.	报文头中tunnel-id指定的隧道不存在
The session with the SessionID session-id in the packet header doesn’t exist.	报文头中session-id指定的会话不存在
The number of necessary AVPs is wrong in message-type packet.	在类型为message-type的报文中必备AVP个数错误其中，message-type取值包括SCCRQ、SCCRP、SCCCN、StopCCN、ICRQ、ICRP、ICCN、CDN、SLI
TunnelID=tunnel-id, SessionID=session-id: Failed to process packet-type packet in session-state state, so deleted the local session.	在隧道ID为tunnel-id、会话ID为session-id的会话中，在状态session-state下处理类型为packet-type的报文失败，删除本地会话 · 当session-state为Wait-Reply时，packet-type为ICRP · 当session-state为Idle时，packet-type为ICRQ · 当session-state为Wait-Connect时，packet-type为ICCN
TunnelID=tunnel-id, SessionID=session-id: When processing packet-type packet in session-state state, failed to allocate resource, so sent CDN packet to the peer and deleted the local session.	在隧道ID为tunnel-id、会话ID为session-id的会话中，在状态session-state下处理类型为packet-type的报文时申请资源失败，发送CDN报文给对端，并删除本地会话 · 当session-state为Wait-Reply时，packet-type为ICRP · 当session-state为Idle时，packet-type为ICRQ · 当session-state为Wait-Connect时，packet-type为ICCN
TunnelID=tunnel-id: Failed to start the session negotiation, so sent StopCCN packet to the peer and deleted the local tunnel.	在隧道tunnel-id中，发起会话协商失败，发送StopCCN给对端，并删除本地隧道
TunnelID=tunnel-id: Failed to process packet-type packet in tunnel-state state, so deleted the local tunnel.	在隧道tunnel-id中，在状态tunnel-state下处理类型为packet-type的报文失败，删除本地隧道 · 当tunnel-state为Idle时，packet-type为SCCRQ · 当tunnel-state为Wait-Connect时，packet-type为SCCCN · 当tunnel-state为Wait-Reply时，packet-type为SCCRP
TunnelID=tunnel-id: When processing packet-type packet in tunnel-state state, failed to allocate resource, so sent StopCCN packet to the peer and deleted the local tunnel.	在隧道tunnel-id中，在状态tunnel-state下处理类型为packet-type的报文时申请资源失败，发送StopCCN报文给对端，并删除本地隧道 · 当tunnel-state为Wait-Connect时，packet-type为SCCCN · 当tunnel-state为Wait-Reply时，packet-type为SCCRP
Failed to report PPP-UP event on interface interface-name.	上报接口interface-name上的PPP-UP事件失败
Failed to report PPP-DOWN event on interface interface-name.	上报接口interface-name上的PPP-DOWN事件失败
Failed to create a session for LAC. TunnelID=tunnel-id, SessionID=session-id.	为LAC创建会话失败，隧道ID为tunnel-id，会话ID为session-id
Failed to create a session for LNS. TunnelID=tunnel-id , SessionID=session-id .	为LNS创建会话失败，隧道ID为tunnel-id，会话ID为session-id
Failed to process the IF-CREATE event for interface interface-name.	接口interface-name的创建事件处理失败
Failed to send the packet to PPP on interface interface-name.	在接口interface-name上发送报文到PPP失败
Failed to encapsulate the PPP packet on interface interface-name.	在接口interface-name上封装PPP报文失败

表24 debugging l2tp event命令输出信息描述表

字段	描述
TunnelID=tunnel-id, SessionID=session-id: Processed packet-type packet in session-state state, sent CDN packet to the peer and deleted the local session.	在隧道ID为tunnel-id、会话ID为session-id的会话中，在状态session-state下处理类型为packet-type的报文，给对端发送CDN报文，并删除本地会话 · 当session-state为Wait-Reply时，packet-type为ICRQ · 当session-state为Idle时，packet-type为invalid ICRQ、ICRP · 当session-state为Wait-Connect时，packet-type为invalid ICCN、ICRQ、ICRP · 当session-state为Established时，packet-type为ICRQ、ICRP、ICCN
TunnelID=tunnel-id, SessionID=session-id: Proccessed invalid packet-type packet in session-state state, sent CDN packet to the peer and deleted the local session.	在隧道ID为tunnel-id、会话ID为session-id的会话中，在状态session-state下处理类型为packet-type的非法报文，给对端发送CDN报文，并删除本地会话 · 当session-state为Wait-Reply时，packet-type为ICRP · 当session-state为Idle时，packet-type为ICRQ · 当session-state为Wait-Connect时，packet-type为ICCN
TunnelID=tunnel-id, SessionID=session-id: Processed packet-type packet in session-state1 state, and changed the session state to session-state2.	在隧道ID为tunnel-id、会话ID为session-id的会话中，在状态session-state1下处理类型为packet-type的报文，会话状态变为session-state2 · 当session-state1为Wait-Reply，session-state2为Established时，packet-type为ICRP · 当session-state1为Idle，session-state2为Wait-Connect时，packet-type为ICRQ · 当session-state1为Wait-Connect，session-state2为Established时，packet-type为ICCN
TunnelID=tunnel-id, SessionID=session-id: Processed packet-type packet in session-state state, and deleted the local session.	在隧道ID为tunnel-id、会话ID为session-id的会话中，在状态session-state下处理类型为packet-type的报文，删除本地会话其中，session-state的取值包括Wait-Reply、Idle和Wait-Connect；packet-type取值为ICCN
TunnelID=tunnel-id: Processed StopCCN packet in Stopping state, and sent ZLB-ACK packet to the peer. Ns=ns, Nr=nr.	在隧道tunnel-id中，在Stopping状态下处理StopCCN报文，发送ZLB-ACK报文给对端，报文中Ns为ns、Nr为nr
TunnelID=tunnel-id: Processed packet-type packet in tunnel-state1 state, and changed the tunnel state to tunnel-state2.	在隧道tunnel-id中，在状态tunnel-state1下处理类型为packet-type的报文，隧道状态变为tunnel-state2 · 当tunnel-state1为Wait-Reply，tunnel-state2为Established时，packet-type为SCCRP · 当tunnel-state1为Idle，tunnel-state2为Wait-Connect时，packet-type为SCCRQ · 当tunnel-state1为Wait-Connect，tunnel-state2为Established时，packet-type为SCCCN · 当tunnel-state1为Established、Wait-Connect或Wait-Reply，tunnel-state2为Stopping时，packet-type为StopCCN
TunnelID=tunnel-id: Processed packet-type packet in tunnel-state state, sent StopCCN packet to the peer and deleted the local tunnel.	在隧道tunnel-id中，在状态tunnel-state下处理类型为packet-type的报文，给对端发送StopCCN报文，并删除本地隧道 · 当tunnel-state为Wait-Connect时，packet-type为SCCRQ、SCCRP · 当tunnel-state为Wait-Reply时，packet-type为invalid SCCRP、SCCCN · 当tunnel-state为Established时，packet-type为SCCRQ、SCCRP、SCCCN · 当tunnel-state为Idle时，packet-type为invalid SCCRQ、SCCRP
TunnelID=tunnel-id: Processed packet-type packet in tunnel-state state, and deleted the local tunnel.	在隧道tunnel-id中，在状态tunnel-state下处理类型为packet-type的报文，删除本地隧道 · 当tunnel-state为Wait-Connect时，packet-type为SCCCN · 当tunnel-state为Idle时，packet-type为SCCCN、StopCCN · 当tunnel-state为Stopping时，packet-type为ZLB-ACK
TunnelID=tunnel-id: Processed invalid packet-type packet in tunnel-state state, sent StopCCN packet to the peer and deleted the local tunnel.	在隧道tunnel-id中，在状态tunnel-state下处理类型为packet-type的非法报文，给对端发送StopCCN报文，并删除本地隧道 · 当tunnel-state为Wait-Reply时，packet-type为SCCRP · 当tunnel-state为Idle时，packet-type为SCCRQ · 当tunnel-state为Wait-Connect时，packet-type为SCCCN
L2TP service was not enabled, so L2TP packet packet-type can’t be parsed.	L2TP服务未使能，无法解析L2TP控制报文其中，packet-type取值包括ICRQ、SCCRQ、StoppCCN
TunnelID=tunnel-id: Adjusting the sequence number of control packets dynamically.	隧道tunnel-id正在动态调整控制报文的序列号
TunnelID=tunnel-id: Received duplicate Hello packet for times times.	隧道tunnel-id收到重复的Hello报文times次
TunnelID=tunnel-id: Received a duplicate packet, so sent ZLB-ACK packet to notify the peer to adjust transmit window. Ns=ns, Nr=nr.	隧道tunnel-id收到重复的报文，发送ZLB ACK报文通知对端调整发送窗口，报文中的Ns为ns、Nr为nr
Parsed AVP-type AVP: avp-value.	解析类型为AVP-type的AVP，AVP值为avp-value
Parsed Protocol-Version AVP. Version=version, Revision=revision.	解析Protocol-Version AVP，版本号为version，Revision为revision
Parsed Sequencing-Required AVP.	解析Sequencing-Required AVP
Parsed Q.931-Cause-Code AVP. Cause-code=cause-code, Cause-Message=cause-message, Advisory-Message=advisory-message.	解析Q.931-Cause-Code AVP · 原因码为cause-code · 原因信息为cause-message · 警告信息为advisory-message
Parsed ACCM AVP. Send-ACCM=Send-ACCM, Receive-ACCM=recv-ACCM.	解析ACCM AVP。发送ACCM为send-ACCM，接收ACCM为recv-ACCM
Parsed Result-Code AVP. Result-Code=recode-code, Error-Code=error-code, Error-Message=error-message.	解析Result code AVP · 结果码为result-code · 错误码为error-code · 错误信息为error-message
Parsed unknown mandatory AVP in message-type packet.	在message-type报文中解析到不可识别的强制AVP 其中，message-type取值包括SCCRQ、SCCRP、SCCCN、StopCCN、ICRQ、ICRP、ICCN、CDN、SLI
TunnelID=tunnel-id: Delay-ACK timer expired, received duplicate Hello packet for times times and sent ZLB-ACK packet for times times. Ns=ns, Nr=nr.	隧道tunnel-id的Delay-ACK定时器超时，已经收到重复的Hello报文times次，发送ZLB-ACK报文times次。报文中的Ns为ns、Nr为nr
TunnelID=tunnel-id: Resent the packet for times times.	隧道tunnel-id已经重发报文times次
TunnelID=tunnel-id: Delay-Cleanup timer expired and deleted the local tunnel.	隧道tunnel-id的Delay-Cleanup定时器超时，删除本地隧道
Received invalid packet from port 1701, and dropped it.	从1701端口收到不合法的报文，丢弃该报文
Created a new session during batch synchronization. TunnelID=tunnel-id, SessionID=session-id.	批量平滑过程中创建一个新的会话，会话所属的隧道ID为tunnel-id，会话ID为session-id
An old session found during batch synchronization. TunnelID=tunnel-id, SessionID=session-id.	批量平滑过程中发现一个旧的会话，会话所属的隧道ID为tunnel-id，会话ID为session-id
Interface interface-name deleted.	删除接口interface-name
Interface interface-name created.	创建接口interface-name
TunnelID=tunnel-id: Sent a Hello packet. Ns=ns, Nr=nr.	隧道tunnel-id成功发送Hello报文，报文中的Ns为ns、Nr为nr

10.4 IPoE模块调试信息注解

表25 debugging ip subscriber error命令输出信息描述表

字段	描述
Failed to send MAC trigger config to the kernel.	MAC Trigger配置下发内核失败
Failed to send MAC trigger message.	MAC Trigger配置同步到其他板失败
Failed to process the IP packet.	IPoE内核线程处理IP报文失败

表26 debugging ip subscriber event命令输出信息描述表

字段	描述
Send redirect request to UCM: IfIndex=ifIndex, MAC=mac, IP=ipaddress.	向UCM发送重定向请求，其中： · IfIndex：表示接口索引 · MAC：表示用户MAC地址 · IP：表示用户IP地址
Sent a MAC query message to portal: MAC=mac, ulRet=ret.	向Portal发送MAC地址绑定查询消息，其中： · MAC：表示用户MAC地址 · ulRet：表示发送结果，包括以下取值： ¡ 0：表示发送成功 ¡ 非0：表示发送失败
Received a portal MAC trigger binding status: IfIndex=ifIndex, State=state, MAC=mac, IP=ipaddress.	收到Portal返回的MAC地址绑定查询结果，其中： · IfIndex：表示接口索引 · State：表示MAC Trigger表项状态，包括以下取值： ¡ 1：MAC绑定查询等待状态 ¡ 2：MAC查询未绑定状态 ¡ 3：MAC查询已绑定状态 ¡ 4：MAC无效状态 · MAC：表示用户MAC地址 · IP：表示用户IP地址
IPoE tracefilter ObjectID=objectid, IfIndex=ifIndex, VLAN=vlan, CVLAN=cvlan, IP=ipaddress, MAC=mac, Username=username.	打开IPoE trace开关，其中： · ObjectID：业务跟踪对象的编号 · IfIndex：表示接口索引 · VLAN：表示外层VLAN ID · CVALN：表示内层VLAN ID · IP：表示接入用户IP地址 · MAC：表示用户MAC地址 · Username：用户名
UCM rejected user login: IfIndex=ifIndex, IP=ipaddress, VLAN=vlan, CVLAN=cvlan, VRF=vrfindex.	UCM返回用户登录失败，其中： · IfIndex：表示接口索引 · IP：表示接入用户IP地址 · VLAN：表示外层VLAN ID · CVLAN：表示内层VLAN ID · VRF：表示VPN索引
IPoE forwarded Pkt: IfIndex=ifIndex, IP=ipaddress, MAC=mac, UserID=userid, IsFastPkt=isfast.	IPoE对报文进行转发处理，其中： · IfIndex：表示接口索引 · IP：表示用户IP地址 · MAC：表示用户MAC地址 · UserID：表示用户对应的User ID · IsFastPkt：表示报文是否走快转流程，包括以下取值： ¡ True：是 ¡ False：否
Dropped the IP packet because of invalid state in Unknown IP.	用户当前处于认证过程中，非认证报文作为未知报文被丢弃
Dropped the IP packet because of IfCfg error.	因配置错误导致报文被丢弃
Dropped the IP packet because synchronization was not finished.	因配置平滑尚未结束导致报文被丢弃
Dropped the IP packet because of invalid state in MAC trigger.	因MAC Trigger认证中当前不是前域online状态导致报文被丢掉
Dropped the IP packet because of configuration mismatch.	因为配置不匹配（接口上未开启未知源触发生成IPoE会话的功能，并且接口下也没有配置对应的专线用户）导致报文被丢弃
Dropped the IP packet because of invalid MAC address.	因为MAC地址非法导致报文被丢弃
Did nothing for this packet because it was not an IP packet.	当前报文不是IP报文，不对其任何处理，直接丢弃
Dropped the IP packet because of invalid state in AUTH.	因当前用户正处于认证过程中导致报文被丢弃
Started to trigger session from IP=ipaddress.	报文从转发线程成功发送到IPoE内核线程，其中IP表示用户IP地址
HTTP redirect: uiQosAction=action, bIsMACTrigger=ismactrigger.	HTTP重定向结果查询，其中： · uiQosAction：表示报文处理策略，包括以下取值： ¡ 1：转发 ¡ 2：丢弃 ¡ 4：所有报文均上送CPU ¡ 8：HTTP报文上送CPU ¡ 16：HTTPS报文上送CPU · bIsMACTrigger：表示是否开启了MAC trigger功能，包括以下取值： ¡ Enabled：开启 ¡ Disabled：关闭
PreAuthRedirect: ulRet=ret, ucPktType=pkttype.	前域重定向处理结果，其中： · ulRet：表示报文处理策略，包括以下取值： ¡ 0：不对报文进行任何处理 ¡ 1：报文已经被丢弃 ¡ 2：报文已经被消费处理 ¡ 3：报文已经被放入队列 ¡ 4：报文要求进行透传 · ucPktType：表示报文类型，包括以下取值： ¡ 1：进行未知源IP报文触发上线 ¡ 1：进行MAC Trigger无感知上线 ¡ 2：进行MAC无感知上线 ¡ 3：非上述三种情况
IPoE received Pkt: IfIndex=ifindex, IP=ipaddress, MAC=mac, VLAN= vlan, CVLAN= cvlan, VPN=vrfIndex.	IPoE收到由转发上送的报文，其中： · IfIndex：表示接口索引 · IP：表示接入用户IP地址 · VLAN：表示外层VLAN ID · CVLAN：表示内层VLAN ID · VPN：表示VPN索引
LinkLocal found UserID=userid, state=state.	报文源IPv6地址是LinkLocal地址，根据MAC地址查询用户信息，其中： · UserID：表示用户User ID · state：表示用户当前的状态，包括以下取值： ¡ 0：用户初始状态 ¡ 1：用户处于认证中状态 ¡ 2：用户处于前域上线状态 ¡ 3：用户处于上线状态 ¡ 4：非法值
IPoE received Pkt: IfIndex=ifindex, IP=ipaddress, MAC=mac, VLAN= vlan, CVLAN= cvlan, VPN=vrfIndex, SessionState=state, TransparentAuth=TransparentAuth.	IPoE收到由转发上送的报文，其中： · IfIndex：表示接口索引 · IP：表示接入用户IP地址 · VLAN：表示外层VLAN ID · CVLAN：表示内层VLAN ID · VPN：表示VPN索引 · SessionState：表示用户当前的状态，包括以下取值： ¡ 0：用户初始状态 ¡ 1：用户处于认证中状态 ¡ 2：用户处于前域上线状态 ¡ 3：用户处于上线状态 · TransparentAuth：表示当前是否处于无感知认证过程中，包括以下取值： ¡ Yes：是 ¡ No：否
SetMTState: enMtState=enMtState, TransparentAuth=isTransparentAuth, SessionState=sessionstate.	设置MAC Trigger状态，其中： · enMtState：表示MAC Trigger的状态，包括以下取值： ¡ 0：MAC绑定初始状态 ¡ 1：MAC绑定查询中 ¡ 2：MAC绑定查成功 ¡ 3：MAC绑定查询失败 ¡ 4：Web认证失败不做MAC Trigger无感知 · TransparentAuth：表示当前是否处于无感知认证过程中，包括以下取值： ¡ Yes：是 ¡ No：否 · SessionState：表示用户当前的状态，包括以下取值： ¡ 0：用户初始状态 ¡ 1：用户处于认证中状态 ¡ 2：用户处于前域上线状态 ¡ 3：用户处于上线状态
Modsession set TransparentAuth to false.	MAC Trigger上线成功，设置内核当前MAC认证为False
UCM notified entry: Event=event, IfIndex =ifIndex, IP =ipv4address, Mask =mask, IPv6 =ipv6address, IPv6 Mask =ipv6masklen, MAC =mac, Stack =stack, UserID=userid.	收到UCM下发的用户处理事件，其中： · Event：表示UCM内核表项处理事件，包括以下取值： ¡ 0：用户添加事件 ¡ 1：用户修改事件 ¡ 2：用户删除事件 ¡ 3：用户停止无感知认证事件 · IfIndex：表示接口索引 · IP：表示接入用户IPv4地址 · Mask：表示IPv4子网掩码长度 · IPv6：表示接入用户IPv6地址 · IPv6 Mask：表示IPv6子网掩码长度 · MAC：表示用户MAC地址 · Stack：表示用户网络协议栈类型，包括以下取值： ¡ IPv4：IPv4栈类型 ¡ IPv6：IPv6栈类型 ¡ Dual-stack：双栈类型 · UserID：表示用户User ID

10.5 Portal（IPoE Web）模块调试信息注解

表27 debugging portal error命令输出信息描述表

字段	描述
Failed to create the detection timer for portal server server-name.	创建Portal认证服务器探测定时器失败，Portal认证服务器名称为server-name
User (IP:user-ip) will log off because of no IP address assigned by the DHCP server.	由于未能成功被DHCP服务器分配IP地址，用户将被强制下线，用户IP地址为user-ip
Portal server didn't confirm the new IP. User will logoff.	Portal认证服务器没有确认更新的用户IP地址，该用户将被强制下线
Failed to start the timer for waiting for a new IP.	开启等待更新IP地址定时器失败
Failed to open the timer for confirming new IP.	开启确认新IP地址定时器失败
Failed to open the timer for waiting for ACK_NTF_LOGOUT.	开启等待ACK_NTF_LOGOUT报文定时器失败
Failed to send user-rule result.	向主控板发送添加用户规则的结果失败
Failed to send user traffic info.	向主控板发送用户流量信息失败
Failed to send mesh messages to all cards.	向所有板发送Mesh消息失败
Failed to send mesh messages to LPU.	向接口板发送Mesh消息失败
Failed to send mesh messages to MPU.	向主用主控板发送Mesh消息失败
Failed to look up FIB info.	查找路由表失败
Packet validity check failed because packet length and version did not match.	报文长度和版本均不匹配，报文合法性检查失败
Packet validity check failed due to invalid authenticator.	authenticator字段非法，报文合法性检查失败
Packet validity check failed due to failure of getting user access interface by user IP.	无法通过用户IP地址找到用户接入的接口，报文合法性检查失败
Unknown source of packet.	报文源未知
Failed to receive ICMP packet.	无法收到ICMP报文
Failed to open ICMP socket.	无法打开ICMP的套接字
Failed to send ICMP6 packet.	发送ICMPv6的报文失败
Failed to get ARP refresh time.	获取ARP更新时间失败
Failed to send ARP request.	发送ARP请求失败
Failed to get ND refresh time.	获取ND更新时间失败
Failed to find user while receiving accounting-update response.	收到计费更新回应时查找用户信息失败
Failed to create user because the user count reached the upper limit.	用户数量达到最大值，创建用户失败
Failed to create user for failing to get the physical info.	获取用户物理信息失败，创建用户失败
Failed to create user due to memory application failure.	申请用户资源失败，导致创建用户失败
Failed to find user for ACK_NTF_LOGOUT.	找不到用户信息来发送ACK_NTF_LOGOUT报文
Failed to find user for AFF_NTF_USERIPCHAN.	找不到用户信息来发送AFF_NTF_USERIPCHAN报文
ACL acl-number doesn't exist or ACL type is not supported.	ACL acl-number不存在，或ACL的类型不支持
Failed to set pam items for authentication.	设置用于认证的pam items失败
Failed to find user by MAC (mac-addr).	根据MAC地址mac-addr没有找到用户
Failed to create PAM handle.	创建PAM handle失败
Failed to create DHCP client: Not enough memory.	内存不足导致创建DHCP租约表项失败
Failed to create DHCP client.	创建DHCP租约表项失败
Failed to create DHCPv6 client: Not enough memory.	因为内存不足，创建DHCPv6表项失败
Failed to create DHCPv6 client.	创建DHCPv6表项失败
Failed to create the pre-auth user: Not enough memory.	内存不足，创建认证前用户失败
Failed to create the pre-auth user: The user already existed.	用户已存在，创建认证前用户失败
Failed to create the pre-auth user: All-zero MAC address.	用户MAC地址为全0，创建认证前用户失败
Failed to get author info for pre-auth user.	无法获取认证前域中的授权信息，创建认证前用户失败
Closed local portal Web service.	关闭本地Portal web服务
Can't find connection for response.	未发现响应连接
Can't locate requested URL.	找不到请求的URL
Can't parse HTTP method.	无法解析HTTP的方法
Can't obtain user IP and VRF.	无法获取用户IP和VRF
Can't obtain matching page file.	无法获取匹配页面文件
Failed to create file. File skipped.	创建文件失败，跳过该文件
Failed to extract file. File skipped.	解压文件失败，跳过该文件
Failed to open ZIP file .	打开zip文件包失败
Failed to extract ZIP file.	解压zip文件包失败
Invalid button mode.	无效的按钮模式
Invalid user IP.	无效的用户IP地址
Invalid port ID.	无效的端口ID
Can't find MAC address.	找不到MAC地址
Can't find matching page file.	找不到匹配的页面
Failed to create Socket.	创建Socket失败
Socket error.	Socket错误
Failed to open listening port.	打开监听端口失败
Failed to open HTTP service.	打开HTTP服务失败
Failed to close HTTP service.	关闭HTTP服务失败
Failed to send a message to IPoE and cached the message.	向IPoE进程发送消息失败，并缓存该消息
Ifindex in packet is different from the ifindex in user information.	报文中用户接入的接口索引和用户信息中的接口索引不一致
Failed to send DHCP client smooth request.	发送DHCP客户端信息平滑请求失败
Failed to send user smooth request.	发送用户信息平滑请求失败
Failed to send user rule smooth request.	发送用户规则平滑请求失败
Not enough resources to create user entry.	内存不足，创建用户信息表项失败
Failed to find the portal authentication server for user (IP:user-ip).	查找Portal认证服务器失败，用户IP地址为user-ip
Failed to send a message to service module (stLIP lip-num).	向安全产品的业务板发送消息失败，业务板节点编号为lip-num
Failed to send a message to interface card (stLIP lip-num).	向接口板发送信息失败，接口板节点编号为lip-num
Portal received the userqos event that inbound user profile deployment failed on LIP (lip-num)..	QoS用户已上线后，QoS模块通知入方向User Profile处理失败事件：接口板节点编号为lip-num
Portal received the userqos event that outbound user profile deployment failed on LIP (lip-num).	QoS用户已上线后，QoS模块通知出方向User Profile处理失败事件：接口板节点编号为lip-num
Notified QoS of user online but failed to set inbound user profile profile-name.	通知QoS用户上线，同时入方向User Profile设置失败，User Profile为profile-name
Notified QoS of user online but failed to set outbound user profile profile-name.	通知QoS用户上线，同时出方向User Profile设置失败，User Profile为profile-name

表28 debugging portal event 命令输出信息描述表

字段	描述
Portal server server-name turned to newstate state.	Portal认证服务器server-name状态变化为newstate，newstate包括以下取值： · UP：服务器可达 · DOWN：服务器不可达
Portal server server-name started detection.	Portal认证服务器server-name开启可达性探测功能
Portal server server-name refreshed detection timer.	Portal认证服务器server-name刷新探测定时器
Portal server server-name refreshed detection action because status is down when configuration was changed.	修改配置时，因为服务器server-name状态为down，所以服务器刷新了探测动作
Portal server server-name stopped detection.	Portal认证服务器server-name停止探测
Portal web-server server-name turned to newstate state.	Portal Web服务器server-name状态变化为newstate，newstate包括以下取值： · UP：服务器可达 · DOWN：服务器不可达
Portal web-server server-name started detection.	Portal Web服务器server-name开启可达性探测功能
Portal web-server server-name refreshed detection timer.	Portal Web服务器server-name刷新探测定时器
Portal web-server server-name refreshed detection action for status is down when changing configuration.	修改配置时，因为重定向服务器server-name状态为down，所以服务器刷新了探测动作
Portal web-server server-name detecting stopped.	Portal Web服务器server-name停止探测
Stopped the auth_sm timer.	关闭认证状态机定时器
The number of failures of receiving ACK_NTF_LOGOUT packet reached the upper limit.	等待ACK_NTF_LOGOUT报文的次数达到最大值
Started the auth_sm timer, timeout=time sec.	打开认证状态机的定时器，定时器的值为time秒
User(IP:user-ip) was not online when DHCP relay client information is deleted.	当DHCP relay用户表项被删除时，对应的用户不在线，用户IP地址为user-ip
Received an event event-id from VLAN vlan-id on interface interface-type interface-num.	接收到VLAN事件，事件ID为event-id，VLAN ID为vlan-id，,接口索引为ifindex
Portal Web server host name host-name, port port-num.	根据URL地址获取到Portal Web server的主机名为 host-name,、端口号为port-num
User-SM [user-ip]: Received ICMP response successfully.	用户状态机接收ICMP回应报文成功，用户IP地址为user-ip
User-SM [user-ip]: Sent ICMP request successfully.	用户状态机发送ICMP请求报文成功，用户IP地址为user-ip
User-SM [user-ip]: Received ICMPv6 response successfully.	用户状态机接收ICMPv6回应报文成功，用户IP地址为user-ip
User-SM [user-ip]: Sent ICMPv6 request successfully.	用户状态机发送ICMPv6请求报文成功，用户IP地址为user-ip
User-SM [user-ip]: Sent ARP request successfully.	用户状态机发送ARP请求报文成功，用户IP地址为user-ip
User-SM [user-ip]: Sent ND request successfully.	用户状态机发送ND请求报文成功，用户IP地址为user-ip
User-SM [user-ip]: ARP entry refreshed.	用户状态机已刷新ARP表项，用户IP地址为user-ip
User-SM [user-ip]: ND entry refreshed.	用户状态机已刷新ND表项，用户IP地址为user-ip
User-SM [user-ip]: Number of detection attempts reached the upper limit.	用户状态机探测次数到达最大值，用户IP地址为user-ip
User-SM [user-ip]: Detection timer timed out and sent packet again.	用户状态机探测定时器超时，重发探测报文，用户IP地址为user-ip
User-SM [user-ip]: Started detect idle timer, timeout=time sec.	用户状态机开启闲置探测定时器，用户IP地址为user-ip
User-SM [user-ip]: Started detect waiting-response timer, timeout=time sec.	用户状态机开启等待探测回应定时器，用户IP地址为user-ip
User-SM [user-ip]: Stopped detect timer.	用户状态机关闭探测定时器，用户IP地址为user-ip
User-SM [user-ip]: Started detect function.	用户状态机开启探测功能，用户IP地址为user-ip
User-SM [user-ip]: Started idle-cut timer, timeout=time sec.	用户状态机开启闲置切断定时器，用户IP地址为user-ip，定时器超时时长为time秒
User-SM [user-ip]: Stopped idle-cut timer.	用户状态机关闭闲置切断定时器，用户IP地址为user-ip
User-SM [user-ip]: Idle-cut timer timed out and user will logoff.	用户状态机闲置切断定时器超时，用户被强制下线，用户IP地址为user-ip
User-SM [user-ip]: Started session-timeout timer, timeout= time sec(s).	用户状态机打开会话超时定时器，用户IP地址为user-ip，定时器超时时长为time秒
User-SM [user-ip]: Stopped session-timeout timer.	用户状态机关闭会话超时定时器，用户IP地址为user-ip
User-SM [user-ip]: Session timer timeout and user will logoff.	用户状态机会话定时器超时，用户将被强制下线，用户IP地址为user-ip
User-SM [user-ip]: Started user-sync timer, timeout=time sec.	用户状态机开启用户同步定时器，用户IP地址为user-ip，定时器超时时长为time秒
User-SM [user-ip]: Stopped user-sync timer.	用户状态机关闭用户同步定时器，用户IP地址为user-ip
User-SM [user-ip]: User-sync timer time out and user will logoff.	用户状态机用户同步定时器超时，用户将被强制下线，用户IP地址为user-ip
User-SM [user-ip]: Number of accounting-update attempts reached the upper limit.	用户状态机请求计费更新的失败次数达到最大值，用户IP地址为user-ip
User-SM [user-ip]: open accounting-update timer, timeout=time sec(s)	用户状态机开启实时计费定时器，用户IP地址为user-ip，定时器超时时长为time秒
User-SM [user-ip]: Close accounting-update timer.	用户状态机关闭实时计费定时器，用户IP地址为user-ip
User-SM [user-ip]: Number of accounting-update attempts without responses reached the upper limit.	用户状态机请求实时计费更新报文无响应次数达到最大值，用户IP地址为user-ip
User-SM [user-ip]: Notified User-Detect-SM to start detection.	用户状态机通知detect-sm模块开启探测，用户IP地址为user-ip
User-SM [user-ip]: Notify User-Detect-SM to stop detection.	用户状态机通知detect-sm模块停止探测，用户IP地址为user-ip
User-SM [user-ip]: Failed to find physical info for ack_info.	用户状态机封装ACK_INFO报文时查找用户物理信息，用户IP地址为user-ip
User-SM [user-ip]: Notified auth-sm to process the REQ_CHALLENGE packet.	用户状态机通知认证状态机模块处理REQ_CHALLENGE报文，用户IP地址为user-ip
User-SM [user-ip]: Notified auth-sm to process the REQ_AUTH packet.	用户状态机通知认证状态机模块处理REQ_AUTH报文，用户IP地址为user-ip
User-SM [user-ip]: Notified auth-sm to process the REQ_LOGOUT packet.	用户状态机通知认证状态机模块处理REQ_LOGOUT报文，用户IP地址为user-ip
User-SM [user-ip]: Notified auth-sm to process the ACK_NTF_LOGOUT packet.	用户状态机通知认证状态机模块处理ACK_NTF_LOGOUT报文，用户IP地址为user-ip
User-SM [user-ip]: Notified auth-sm to process the AFF_NTF_USERIPCHAN packet.	用户状态机通知认证状态机模块处理AFF_NTF_USERIPCHAN报文，用户IP地址为user-ip
User-SM [user-ip]: The new ACL acl-number authorized by policy server is the same as the old one.	策略服务器授权给用户的ACL号和之前授权过的相同，用户IP地址为user-ip
User-SM [user-ip]: AAA processed authentication request and returned result-string.	AAA处理了认证请求并返回认证结果result-string给用户状态机（用户IP地址为user-ip），result-string包括以下取值： · success：成功 · processing：处理中 · continue：继续 · failed：失败 · error：错误
User-SM [user-ip]: AAA processed authorization request and returned result-string.	AAA处理了授权请求并返回授权结果result-string给用户状态机（用户IP地址为user-ip），result-string包括以下取值： · success：成功 · processing：处理中 · failed：失败 · error：错误
User-SM [user-ip]: AAA processed accounting-start request and returned result-string.	AAA处理了开始计费请求并返回计费结果result-string给用户状态机（用户IP地址为user-ip），result-string包括以下取值： · processing：处理中 · 非processing：成功
User-SM [user-ip]: AAA processed accounting-update request and returned result-string.	AAA处理了实时计费请求并返回计费结果result-string给用户状态机（用户IP地址为user-ip），result-string包括以下取值： · success：成功 · processing：处理中 · failed：失败
User-SM [user-ip]: AAA processed accounting-stop request and returned result-string.	AAA处理了停止计费请求并返回计费结果result-string给用户状态机（用户IP地址为user-ip），result-string包括以下取值： · processing：处理中 · 非processing：成功
User-SM [user-ip]: AUTH-SM logged out the user and notified USER-SM to do.]	认证状态机完成了用户下线处理，通知用户状态机继续处理，用户IP地址为user-ip
User-SM [user-ip]: Auth-SM notified User-SM that user-ip updated.	认证状态机通知用户状态机，用户IP已更新，用户IP地址为user-ip
User-SM [user-ip]: Received authentication response, RespCode=resp-code.	用户状态机（用户IP地址为user-ip）收到认证回应报文，回应代码为resp-code，resp-code包括以下取值： · 0：表示成功 · 26：表示失败
User-SM [user-ip]: Received authorization response, RespCode=resp-code.	用户状态机（用户IP地址为user-ip）收到授权回应报文回应代码为resp-code，resp-code包括以下取值： · 0：表示成功 · 26：表示失败
User-SM [user-ip]: Received accounting-start response.	用户状态机收到开始计费回应报文，用户IP地址为user-ip
User-SM [user-ip]: Received accounting-update response.	用户状态机收到更新计费回应报文，用户IP地址为user-ip
User-SM [user-ip]: Received accounting-stop response.	用户状态机收到停止计费回应报文，用户IP地址为user-ip
User-SM [user-ip]: Detection failed and user logged off.	用户探测失败，用户被强制下线，用户IP地址为user-ip
User-SM [user-ip]: Received rule result result-string.	用户状态机（用户IP地址为user-ip）接收到用户规则下发结果为result-string，result-string包括以下取值： · success：成功 · fail：失败
User-SM [user-ip]: User is logging off now.	用户正在下线过程中，用户IP地址为user-ip
User-SM [user-ip]: Notified Auth-SM to log user out.	用户状态机通知认证状态机强制用户下线，用户IP地址为user-ip
User-SM [user-ip]: Received set-policy COA/POD notification.	用户状态机接收到COA/POD通知，其中，COA用于授权变更，POD用于强制用户下线，用户IP地址为user-ip
User-SM [user-ip]: Recover failed and user logged off.	获取用于恢复用户信息的数据失败，用户被强制下线，用户IP地址为user-ip
User-SM [user-ip]: Receiving last traffic when user is logging off..	用户下线时，最后一次接收到流量更新消息，用户IP地址为user-ip
User-SM [user-ip]: User IP changed.	用户IP变更，用户IP地址为user-ip
Received DHCP event: operation=event, IP=ip-addr, MAC=mac-addr, interface=ifname.	收到DHCP事件event（MAC地址为mac-addr，IP地址为ip-addr，接入接口为ifname），event包括以下取值： · Add：DHCP租约添加事件 · Del：DHCP租约删除事件 · Get：DHCP租约获取事件 · BUTT：DHCP租约平滑结束事件
USER: Received a message for adding DHCP client (MAC=mac-addr, IP=ip-addr, Interface=ifname, VPN instance=vpn-instance).	收到DHCP租约创建消息（MAC地址为mac-addr，IP地址为ip-addr，接入接口为ifname，所属VPN实例为vpn-instance）
User-SM[user-ip]: Added ARP rule.	用户状态机为用户添加对应的ARP规则，用户IP地址为user-ip
User-SM[user-ip]: Started User-SM timer (interval sec).	用户状态机开启用户状态机定时器，超时时间为interval秒，用户IP地址为user-ip
User-SM[user-ip]: Received deployment results of all rules.	用户状态机收到所有用户规则下发的结果，用户IP地址为user-ip
User-SM[user-ip]: Stopped User-SM timer.	用户状态机关闭用户状态机定时器，用户IP地址为user-ip
User-SM[user-ip]: Entered state: vsrp-state.	用户状态机（IP地址为user-ip）进入VSRP状态vsrp-state，vsrp-state状态取值如下： · vsrp_master：开始为VSRP双机主用户授权 · vsrp_master_ok：VSRP主用户授权完成 · vsrp_backup：开始为VSRP备用户授权 vsrp_backup_ok：VSRP备用户授权完成
Created pre-auth user for VSRP backup.	在VSRP备份设备上创建认证前用户
Can't create pre-auth user: Portal was disabled.	Portal未使能，不创建认证前用户
Can't create pre-auth user: No pre-auth domain configured.	接口未配置认证前域，不创建认证前用户
Inappropriate state. Dropped batch-user-backup message.	本机未处于VSRP双机稳态，丢弃批量备份用户数据的消息
Port and user not in the same VLAN.	接口所在VLAN与用户所属VLAN不一致
User-SM [user-ip]: Deauthorized pre-auth user: User coming online.	用户认证上线，用户状态机取消认证前域下发的授权，用户IP地址为user-ip
Can't create pre-auth user when user was offline because of unavailable port.	端口不可用，强制用户下线，且不创建认证前用户
Can't create pre-auth user: Unsupported portal-auth type.	Layer3方式的Portal认证不支持认证前域，不创建认证前用户
Can't create pre-auth user: Interface was not operating correctly.	接口工作状态不正常，不创建认证前用户
Can't create pre-auth user: VSRP was down on the interface.	VSRP状态为down，不创建认证前用户
Requested URL.	请求URL
Finished reading user request data.	用户请求读取完毕
Received HTTP method packet.	接收HTTP报文包
Local portal Web server connection timed out.	本地Portal Web server服务器连接超时
Page file didn't exist. Re-extracted ZIP file.	页面文件不存在，重新解压zip包
Received new user request for connection.	接收一个新的用户请求连接
Created Socket successfully.	创建Socket成功
Closed HTTP service.	关闭HTTP服务
Closed HTTPS service.	关闭HTTPS服务
HTTP defense successfully instructed kernel to block an IP address.	Portal模块成功通知内核阻塞被攻击的目的IP
HTTP defense successfully instructed kernel to unblock an IP address.	Portal模块成功通知内核解除对被攻击的目的IP的阻塞
HTTP defense: Kernel successfully instructed driver to unblock IP address ip-addr.	内核模块成功通知驱动解除对被攻击的目的IP的阻塞。参数ip-addr为目的IP地址，包括IPv4和IPv6类型
HTTP defense: Kernel failed to instruct driver to unblock IP address ip-addr.	内核模块通知驱动解除对被攻击的目的IP的阻塞失败。参数ip-addr为目的IP地址，包括IPv4和IPv6类型
HTTP defense: Kernel successfully instructed driver to block IP address ip-addr.	内核模块成功通知驱动阻塞被攻击的目的IP。参数ip-addr为目的IP地址，包括IPv4和IPv6类型
HTTP defense: Kernel failed to instruct driver to block IP address ip-addr.	内核模块通知驱动阻塞被攻击的目的IP失败。参数ip-addr为目的IP地址，包括IPv4和IPv6类型
HTTP defense is enabled.	开启Portal HTTP防攻击功能
HTTP defense is disabled.	关闭Portal HTTP防攻击功能
HTTP defense: Cleared statistics for IP address ip-addr.	内核模块定时清除老化目的IP的统计信息。参数ip-addr为目的IP地址，包括IPv4和IPv6类型。
HTTP defense: Started the statistics aging timer, timeout=timeout-interval sec.	Portal模块打开目的IP统计信息老化定时器。参数timeout-interval为老化时间间隔，单位为秒
Successfully recovered authentication entry for IPoE Web user.	成功恢复IPoE Web用户的认证表项
Successfully recovered authentication entry for IPoE Web user.	成功恢复IPoE Web用户的认证表项
Started user smooth.	用户信息平滑开始
Finished user smooth.	用户信息平滑结束
Restarted user smooth.	用户信息重新开始平滑
The timer expired and started to smooth all user rules.	定时器超时，开始平滑所有用户规则

表29 debugging portal fsm 命令输出信息描述表

字段	描述
AUTH_SM [user-ip]: Entered state state.	认证状态机（用户IP地址为user-ip）进入状态state，state包括以下取值： · Authenticating：正在认证 · Authenticated：认证成功 · Continue：认证持续 · AssigningNewIP：等待分配IP地址 · AssignedNewIP：分配到IP地址 · Online：在线 · Waiting：强制下线状态，等待NTF_LOGOUT响应 · Offline：下线处理状态
Auth-SM: Started to run.	认证状态机开始运转
User_Detect_SM [user-ip]: Entered state state.	用户探测状态机（用户IP地址为user-ip）进入状态state，state包括以下取值： · Detected：已探测状态 · Wait_Detect：等待探测状态 · Detecting：正在探测状态 · DetectFail：探测失败状态
User-SM [user-ip]: State changed from old-state to new-state.	用户状态机（用户IP地址为user-ip）状态发生变化（旧状态old-state -> 新状态new-state），状态包括以下取值： · Authenticating：正在认证 · Waiting_Author：等待授权结果 · Waiting_Rule_OK：等待规则下发结果 · Online：在线 · Offline_Waiting_Traffic：下线等待各板流量 · Offline_Waiting_Acctoff：等待停止计费回应 · Done：用户下线完成
User-SM [user-ip]: Begin to run.	用户状态机开始运转，用户IP地址为user-ip
User-SM [user-ip]: User deleted	用户被删除，用户IP地址为user-ip

10.6 DHCP模块调试信息注解

1. DHCP relay

表30 debugging dhcp relay packet调试信息描述表

字段	描述
From ip-address	接收报文
To ip-address	发送报文
interface interface-name	接收或发送报文的接口
Message type: message-type	DHCP报文的操作类型，有两种：DHCP-REQUEST和DHCP-REPLY
Hardware type: hardware-type	DHCP客户端的硬件类型
Hardware address length: length	DHCP客户端的硬件地址长度
Hops: hops	DHCP报文经过DHCP中继转发的跳数
Transaction ID: transaction-ID	DHCP客户端发起申请时生成的一个随机数，用来唯一标识一次申请过程
Seconds: seconds	DHCP客户端从开始申请到当前经过的时间，目前没有使用，固定为0
Broadcast flag: flag	DHCP广播标记：1为广播，0为单播
Client IP address: client-ip	DHCP客户端IP地址
Your IP address: your-ip	DHCP服务器分配给客户端的IP地址
Server IP address: server-ip	DHCP服务器的IP地址
Relay agent IP address: gateway-ip	DHCP中继的IP地址
Client hardware address: client-hardware-address	DHCP客户端的硬件地址
Server host name: host-name	DHCP服务器的主机名
Boot file name: file-name	启动文件名及路径
DHCP message type: type	DHCP报文的类型，有8种类型： · BOOTP · DHCPDISCOVER · DHCPOFFER · DHCPREQUEST · DHCPDECLINE · DHCPACK · DHCPNAK · DHCPRELEASE · DHCPINFORM
Option code	DHCP报文选项数值
Length	对应的选项长度，单位为字节
Option name	选项名称
Information	选项内容

表31 debugging dhcp relay event调试信息描述表

字段	描述
Add relay agent option (byte-count bytes) to the packet.	向报文中添加了byte-count个字节的relay agent option选项
Can’t find an interface to process the packet.	找不到处理报文的接口，一般原因为对应的接口没有开启DHCP功能
Discard packet with invalid hlen.	丢弃hlen域不正确的报文
Discard packet with invalid options.	丢弃选项内容不正确的报文
Interface interface-name is activated.	接口interface-name被激活
Add an IP address ip-address to the interface interface-name.	接口interface-name添加IP地址ip-address
Interface interface-name is deactivated.	接口interface-name被去激活
Delete an IP address ip-address from the interface interface-name.	接口interface-name删除IP地址ip-address
Interface interface-name is deleted.	接口interface-name被删除
The MAC address of interface interface-name is changed..	接口interface-name 的MAC地址改变
The packet is a response for refreshing client information.	收到的报文是用户地址表项刷新应答报文
The packet is neither BOOTPREPLY nor BOOTPREQUEST.	收到的报文即不是请求报文也不是应答报文
The received DHCP packet was dropped because it was sent by the receiving relay agent.	DHCP中继收到自己发送的报文后，丢弃该报文
Discard the packet containing option 82 according to the relay information strategy.	由于携带中继信息选项，根据DHCP中继信息处理策略，丢弃该报文
Source MAC check failed.	源MAC地址检测失败
Detect unknown interface event event on interface interface-name.	接口interface-name检测到不支持的接口事件event
Detect unknown IP address event event on interface interface-name.	接口interface-name检测到不支持的IP地址事件event
The received DHCP packet was dropped because it has traversed a maximum of 16 relay agents	DHCP中继收到的DHCP报文达到最大跳数16，丢弃该报文

表32 debugging dhcp relay error调试信息描述表

字段	描述
DHCP is not enabled.	DHCP功能未使能
Error occurs when calculation the value of option option-code.	计算选项编号为option-code的选项值出错
Failed to get IP address of interface interface-name.	获取接口interface-name的IP地址失败
Failed to process relay agent option.	处理选项relay agent option失败
Failed to send packet.	报文发送失败
Relay agent option (option-length bytes) wasn’t added to the packet, because there’s no enough space in the packet	报文没有足够的空间存储长度为option-length字节的relay agent option选项。忽略relay agent option选项，不将其添加到报文中
Malformed packet dhcp: option length does not equal its option buffer length.	非法的DHCP报文：服务器选项的实际长度和选项中“L”字段标识的长度不相等
The number of dynamic client entries has reached the maximum.	动态用户地址表项达到最大值
The number of temporary client entries has reached the maximum.	临时用户地址表项达到最大值

2. DHCP server

表33 debugging dhcp server packet命令输出信息描述表

字段	描述
From ip-address:port	接收报文的源地址和端口号
To ip-address:port	发送报文的目的地址和端口号
interface interface-name	接收或发送报文的接口
Message type: message-type	DHCP报文的操作类型，有两种：DHCP-REQUEST和DHCP-REPLY
Hardware type: hardware-type	DHCP客户端的硬件类型
Hardware address length: length	DHCP客户端的硬件地址长度
Hops: hops	DHCP报文经过DHCP中继到服务器的跳数
Transaction ID: transaction-ID	DHCP客户端发起申请时生成的一个随机数，用来唯一标识一次申请过程
Seconds: seconds	DHCP客户端从开始申请到当前经过的时间，目前没有使用，固定为0
Broadcast flag: flag	DHCP广播标记：1为广播，0为单播
Client IP address: client-ip	DHCP客户端IP地址
Your IP address: your-ip	DHCP服务器分配给客户端的IP地址
Server IP address: server-ip	DHCP服务器的IP地址
Relay agent IP address: gateway-ip	DHCP中继的IP地址
Client hardware address: client-hardware-address	DHCP客户端的硬件地址
Server host name: host-name	DHCP服务器的主机名
Boot file name: file-name	启动文件名及路径
DHCP message type: type	DHCP报文的类型，有8种类型： · BOOTP · DHCPDISCOVER · DHCPOFFER · DHCPREQUEST · DHCPDECLINE · DHCPACK · DHCPNAK · DHCPRELEASE · DHCPINFORM
Option code	DHCP报文选项数值
Length	对应的选项长度，单位为字节
Option name	选项名称
Information	选项内容

表34 debugging dhcp server event命令输出信息描述表

字段	描述
Add a conflict IP ip-address.	添加冲突地址ip-address
Can’t find an interface to process the packet.	找不到处理报文的接口，一般原因为对应的接口没有开启DHCP功能
Client was rebooted.	客户端重启。收到客户端DISCOVER报文时，如果已经给该客户端分配过租约，且该租约有效，则判断为该客户端重启
Client is rebinding its lease.	客户端续约
Client is renewing its lease.	客户端续约
The client selected another server.	客户端选用了其他DHCP服务器分配的地址
The client selected the local server.	客户端选用了本服务器分配的地址
Sent DHCPACK to ip-address.	向地址ip-address回复DHCPACK应答
No requested address specified in the DHCPDECLINE.	DHCP-DECLINE报文中没有指定请求的地址
The server identifier in the DHCPDECLINE is different from that of the local server.	DHCP-DECLINE报文中的server identifier与本地服务器的server identifier不同
Add conflict IP ip-address failed, because the number of conflict IP addresses has reached the maximum.	添加冲突地址ip-address失败。原因为冲突地址数量达到系统上限
Add conflict IP ip-address failed, because there is no matching lease.	添加冲突地址ip-address失败。原因为没有找到对应的租约
Adding conflict IP ip-address is ignored, because the declined IP address is static.	添加冲突地址ip-address被忽略。原因为请求的地址为静态绑定的地址
Added conflict IP ip-address successfully.	添加的冲突地址ip-address成功
Ignored the DHCPINFORM, because the source address of the DHCPINFORM is invalid.	DHCP-INFORM被忽略。原因是报文的源地址无效
The DHCPRELEASE specified requested address option.	DHCP-RELEASE报文中携带了请求地址选项。（报文中不应该携带此选项）
The server identifier in the DHCPRELEASE is different from that of the local server.	DHCP-RELEASE报文中的server identifier与本地服务器的server identifier不同
Release IP ip-address failed, because the lease is not found.	释放地址ip-address失败。原因是没有找到对应的租约
Released IP ip-address successfully.	成功释放地址ip-address
Receive a DHCPREQUEST message for request-ip-address from dst-ip-address/interface-name; server identifier is server-identifier.	从地址dst-ip-address、接口interface-name收到请求地址request-ip-address的DHCP-REQUEST报文，报文中的server identifier选项为server-identifier
Discard packet with invalid hlen.	丢弃hlen字段取值不正确的报文
Discard packet with invalid options.	丢弃选项内容不正确的报文
Discard the message-type packet: Invalid chaddr.	丢弃类型为message-type的报文。原因是报文chaddr域无效
Discard the message-type packet: Ignore BOOTP request.	丢弃类型为message-type的报文。原因是不处理BOOTP报文
Discard the message-type packet: Invalid op field.	丢弃类型为message-type的报文。原因是报文op域无效
Discard the message-type packet: Invalid packet.	丢弃类型为message-type的报文。原因是报文无效
Failed to allocate a lease to client.	分配租约失败
Failed to find lease ip-address.	找不到为地址ip-address分配的租约
Interface interface-name is activated.	接口interface-name被激活
Add an IP address ip-address to the interface interface-name.	接口interface-name添加IP地址ip-address
Interface interface-name is deactivated.	接口interface-name被去激活
Delete an IP address ip-address from the interface interface-name.	接口interface-name删除IP地址ip-address
Interface interface-name is deleted.	接口interface-name被删除
The MAC address of interface interface-name is changed.	接口interface-name 的MAC地址改变
The client identifier of the lease for ip-address does not match that in the packet.	地址ip-address对应的租约中记录的客户端ID为client-identifier，和报文中的不匹配
No matching network for the client.	没有找到匹配的网段
Received an ICMP echo reply from ip-address.	收到地址ip-address的ICMP应答
Received a DHCP packet without options.	收到一个没有选项的DHCP报文
Requested IP ip-address is unavailable; Reallocate another IP.	报文中请求的地址ip-address不能分配，尝试分配其他的地址
Send an ICMP echo request to ip-address.	向地址ip-address发送ICMP echo request请求
Discarded the DHCP packet because the op field did not match the DHCP message type option.	由于DHCP报文中的操作类型字段和DHCP报文类型选项不匹配，丢弃该DHCP报文
The packet message-type from ip-address is too short.	来自地址ip-address的消息类型为message-type报文，报文长度过短
Detect unknown interface event event on interface interface-name.	接口interface-name检测到不支持的接口事件event
Detect unknown IP address event event on interface interface-name.	接口interface-name检测到不支持的IP地址事件event
Receive a message-type message from dst-ip-address/interface-name.	从地址dst-ip-address、接口interface-name收到类型为message-type的报文
Send a message-type message on dst-ip-address/interface-name.	通过地址dst-ip-address、接口interface-name发送类型为message-type的报文
Receive an unknown message (type message-type) from dst-ip-address/interface-name; Discarded the message.	从地址dst-ip-address、接口interface-name收到未知类型的报文，类型为message-type 。丢弃此报文
Discarded the received DHCP packet because no gateway is configured	由于未配置网关，丢弃收到的DHCP报文
Pool pool-name selected from pool group pool-group-name based on a full match of DP info.	地址池组pool-group-name按百分百匹配DP信息选择地址池pool-name。DP信息中包含了UP用户上线接口和UPID等信息
Pool pool-name selected from pool group pool-group-name based on an unmatching of DP info.	地址池组pool-group-name按不匹配DP信息选择地址池pool-name。DP信息中包含了UP用户上线接口和UPID等信息

表35 debugging dhcp server error命令输出信息描述表

字段	描述
No lease contains the source address ip-address of the ICMP echo reply.	收到的ICMP应答地址ip-address没有绑定任何租约
DHCP is not enabled.	DHCP功能未使能
Error occurs when calculation the value of option option-code.	计算选项编号为option-code的选项值出错
Failed to receive ICMP echo reply.	接收ICMP应答报文失败
Failed to allocate a lease: Because the number of leases has reached the maximum.	分配租约失败，数量达到上限
Failed to create timer for ICMP echo request.	创建ICMP请求应答超时定时器失败
Failed to get IP address of interface interface-name.	获取接口interface-name的IP地址失败
Failed to send ICMP echo request to ip-address.	向地址ip-address发送ICMP echo请求失败
Failed to send packet.	报文发送失败
Malformed packet dhcp: option length does not equal its option buffer length.	非法的DHCP报文：服务器选项的实际长度和选项中“L”字段标识的长度不相等
No free IP in the address range of the pool or the class.	address range、class range中没有可分配的IP地址
No free IP in the network network-address.	网段network-address中没有可分配的IP地址
No enough space for option option-code.	报文中没有空间存储选项编号为option-code的选项内容
No enough space for more options.	报文中没有空间存储过多的选项
The pool pool-name for NAT does not exist, or the pool pool-name is not for NAT use.	NAT模块通过ip-pool命令指定的IP地址池不存在，或者不是NAT类型的IP地址池
The VPN (vrf-index) of the address pool for NAT does not match the VPN index (0: public network) requested by NAT.	NAT操作请求的VPN信息为0（表示公网），NAT类型的地址池所属VPN为vrf-index，两者不一致

3. DHCPv6 relay

表36 debugging ipv6 dhcp relay packet命令输出信息描述表

字段	描述
From ipv6-address port port	接收报文时表示报文的源地址和端口号
To ipv6-address port port	发送报文时表示报文的目的地址和端口号
interface interface-name	接收或发送报文的接口名称
Message type: message-type	DHCPv6消息类型，包括： · Solicit · Advertise · Request · Confirm · Renew · Rebind · Reply · Release · Decline · Reconfigure · Information-Request · Relay-Forward · Relay-Reply
Transaction ID: transaction-id	DHCPv6客户端发起申请时生成的一个随机数，用来唯一标示一次申请过程
Hop count: hops	DHCPv6报文经过的DHCPv6中继的数目，如果是Relay-Forward或者是Relay-Reply报文时输出
Link address: ipv6-address	链路地址，如果DHCPv6报文为Relay-Forward或Relay-Reply报文，则打印该字段
Peer address: ipv6-address	对端地址，如果DHCPv6报文为Relay-Forward或Relay-Reply报文，则打印该字段
Options: option option-name option-code option-value	报文选项，显示详细报文信息时输出，option-name为报文选项对应的名字，option-code为报文选项的数值，option-value为报文选项的内容

表37 debugging ipv6 dhcp relay event命令输出信息描述表

字段	描述
Received a short packet from ipv6-address port port-number, length length bytes.	收到一个来自地址为ipv6-address端口号为port-number长度为length的短包
Can not find an interface to process the packet.	找不到处理报文的接口，一般为对应的接口没有启用DHCPv6功能
Discard the message-type message from ipv6-address port port-number.	丢弃从地址ipv6-address端口号port-number收到的类型为message-type的报文
Discard the message-type message to ipv6-address port port-number.	丢弃发送到地址ipv6-address端口号port-number的类型为message-type的报文
Interface interface-name is activated.	接口interface-name被激活
Add an IPv6 address ipv6-address to the interface interface-name.	接口interface-name添加IPv6地址ipv6-address
Interface interface-name is deactivated.	接口interface-name被去激活
Delete an IPv6 address ipv6-address from the interface interface-name.	接口interface-name删除IP地址ipv6-address
Interface interface-name is deleted.	接口interface-name被删除
The MAC address of interface interface-name is changed..	接口interface-name 的MAC地址改变
Invalid packet length.	报文长度无效
Invalid relay message option.	报文中的relay message option选项无效
The length of relay-forward or relay-reply packet is invalid.	Relay-forward或Relay-reply报文长度无效
No relay message option.	报文中缺少relay message option选项
Relay the message-type message from ipv6-address port port-number to a DHCPv6 server.	将从地址ipv6-address端口号port-number收到的类型为message-type的上行报文转发给DHCPv6服务器
Relay the message-type message from ipv6-address port port-number to a DHCPv6 client.	将从地址ipv6-address端口号port-number收到的类型为message-type的上行报文转发给DHCPv6客户端
The hop count exceeds the limit.	报文中记录的跳数超过最大值
The relay-reply packet is a multicast packet.	收到的relay-reply报文是组播报文
Relay a message with unknown type message-type-id to ipv6-address port port-number.	转发报文类型为message-type-id的未知类型的下行报文到地址ipv6-address端口号port-number
Relay a message with unknown type message-type-id from ipv6-address port port-number.	转发从地址ipv6-address端口号port-number收到的类型ID为message-type-id的未知类型的上行报文
Unknown interface event event is detected on interface interface-name.	接口interface-name检测到不支持的接口事件event
Unknown IP address event event is detected on interface interface-name.	接口interface-name检测到不支持的IP地址事件event
Set DHCPv6 relay IPv6 pool pool-name down because no response was received.	由于中继地址池未回应，则认为其不可用
Set all DHCPv6 relay IPv6 pools up.	将所有中继地址池的状态设置可用
Set DHCPv6 relay IPv6 pool pool-name down because the status in the Advertise message was not success.	由于回应的Advertise报文中状态字段不是success，则认为该中继地址池不可用

表38 debugging ipv6 dhcp relay error命令输出信息描述表

字段	描述
Error occurs when calculation the value of option option-code.	计算选项编号为option-code的选项的值出错
Failed to get IPv6 address of interface interface-name.	获取接口interface-name的IPv6地址失败
Failed to send packet.	发送报文失败
Malformed packet dhcp6: option length does not equal its option buffer length.	非法的DHCP报文：服务器选项的实际长度和选项中“L”字段标识的长度不相等
Not enough space for option option-code.	报文中没有空间存储选项编号为option-code的选项内容
Not enough space for more options.	报文中没有空间存储过多的选项

4. DHCPv6 server

表39 debugging ipv6 dhcp server packet命令输出信息描述表

字段	描述
From ipv6-address port port	接收报文时表示报文的源地址和端口号
To ipv6-address port port	发送报文时表示报文的目的地址和端口号
interface interface-name	接收或发送报文的接口名称
Message type: message-type	DHCPv6消息类型，包括： · Solicit · Advertise · Request · Confirm · Renew · Rebind · Reply · Release · Decline · Reconfigure · Information-Request · Relay-Forward · Relay-Reply
Transaction ID: transaction-id	DHCPv6客户端发起申请时生成的一个随机数，用来唯一标示一次申请过程
Link address: ipv6-address	链路地址，如果DHCPv6报文为Relay-Forward或Relay-Reply报文，则打印该字段
Peer address: ipv6-address	对端地址，如果DHCPv6报文为Relay-Forward或Relay-Reply报文，则打印该字段
Options: option option-name option-code option-value	报文选项，显示详细报文信息时输出，option-name为报文选项对应的名字，option-code为选项的数值，option-value为报文选项的内容

表40 debugging ipv6 dhcp server event命令输出信息描述表

字段	描述
Received a short packet from ipv6-address port port-number, length length bytes.	收到一个来自地址为ipv6-address端口号为port-number长度为length的短包
Add a conflict IP ipv6-address.	添加冲突地址ip-address
Address ipv6-address is not bound to client.	地址ipv6-address没有和客户端绑定
Can not find an interface to process the packet.	找不到处理报文的接口，一般为对应的接口没有启用DHCPv6功能
Released prefix ipv6-prefix is not bound to the client.	客户端请求释放的前缀ipv6-prefix没有和客户端绑定
Client declines address ipv6-address.	客户端通过Decline报文报告地址ipv6-address冲突
Discard message-type from ipv6-address: Client identifier inexistent.	丢弃来自地址ipv6-address的消息类型为message-type的报文。原因是报文中没有client identifier
Discard message-type from ipv6-address: Server identifier exists.	丢弃来自地址ipv6-address的消息类型为message-type的报文。原因是报文中包含server identifier
Discard message-type from ipv6-address: Server identifier inexistent.	丢弃来自地址ipv6-address的消息类型为message-type的报文。原因是报文中没有server identifier
Discard message-type from ipv6-address: Server identifier mismatched.	丢弃来自地址ipv6-address的消息类型为message-type的报文。原因是报文中的server identifier不匹配
Discard message-type from ipv6-address: IA_NA option exists.	丢弃来自地址ipv6-address的消息类型为message-type的报文。原因是报文中包含IA_NA选项
Discard message-type from ipv6-address: IA_TA option exists..	丢弃来自地址ipv6-address的消息类型为message-type的报文。原因是报文中包含IA_TA选项
Discard message-type from ipv6-address: IA_PD option exists.	丢弃来自地址ipv6-address的消息类型为message-type的报文。原因是报文中包含IA_PD选项
Discard message-type from ipv6-address: unicast packet.	丢弃来自地址ipv6-address的消息类型为message-type的报文。原因是报文是单播报文
Discard message-type from ipv6-address: Unsupported message type.	丢弃来自地址ipv6-address的消息类型为message-type的报文。原因是不支持的消息类型
Discard message-type from ipv6-address: Unsupported message type for the stateless server.	丢弃来自地址ipv6-address的消息类型为message-type的报文。原因是无状态配置服务器不支持的消息类型
Discard message-type from ipv6-address: Failed to find pool.	丢弃来自地址ipv6-address的消息类型为message-type的报文。原因是找不到地址池。
Discard message-type from ipv6-address: can't find the pool.	丢弃来自地址ipv6-address的消息类型为message-type的报文。原因是找不到地址池。
Discard message-type from ipv6-address: can't find the prefix pool.	丢弃来自地址ipv6-address的消息类型为message-type的报文。原因是找不到前缀地址池。
Discard message-type from ipv6-address: can’t find the network.	丢弃来自地址ipv6-address的消息类型为message-type的报文。原因是找不到network。
Discard unknown packet received from ipv6-address.	丢弃来自地址ipv6-address的未知报文
Interface interface-name is activated.	接口interface-name被激活
Add an IPv6 address ipv6-address to the interface interface-name.	接口interface-name添加IP地址ipv6-address
Interface interface-name is deactivated.	接口interface-name被去激活
Delete an IPv6 address ipv6-address from the interface interface-name.	接口interface-name删除IPv6地址ipv6-address
Interface interface-name is deleted.	接口interface-name被删除
The MAC address of interface interface-name is changed.	接口interface-name 的MAC地址改变
No IA_NA or IA_TA option needs to be confirmed.	报文中没有需要确认的IA_NA或IA_TA选项
Relay-forward from ipv6-address with link address link-address and peer address peer-address misses the relay message option.	从地址ipv6-address收到的Relay-forward报文中没有relay message option选项，该报文中的link address字段为link-address和peer address字段为peer-address
Released address ipv6-address.	释放地址ipv6-address
Releases prefix ipv6-prefix.	释放地址前缀ipv6-prefix
Send send-bytes of total-bytes bytes.	发送了total-bytes字节报文中的send-byte字节数据
Send message-type to ipv6-address.	向地址ipv6-address发送消息类型为message-type的报文
Received message-type from ipv6-address	从地址ipv6-address接收到消息类型为message-type的报文
Unknown interface event event is detected on interface interface-name.	接口interface-name检测到不支持的接口事件event
Detect unknown IP address event event on interface interface-name.	接口interface-name检测到不支持的IP地址事件event
Pool pool-name selected from pool group pool-group-name based on a full match of DP info.	地址池组pool-group-name按百分百匹配DPinfo选择地址池pool-name。DP信息中包含了UP用户上线接口和UPID等信息
Pool pool-name selected from pool group pool-group-name based on an unmatching of DP info.	地址池组pool-group-name按不匹配DPinfo选择地址池pool-name。DP信息中包含了UP用户上线接口和UPID等信息

表41 debugging ipv6 dhcp server error命令输出信息描述表

字段	描述
Error occurs when calculation the value of option option-code.	计算选项编号为option-code的选项的值出错
Error occurs when parsing option-type option.	解析类型为option-type的选项失败
Error occurs when calculation the value of option-type option.	计算选项类型为option-type选项的值出错
Malformed packet dhcp6: option length does not equal its option buffer length.	非法的DHCP报文：服务器选项的实际长度和选项中“L”字段标识的长度不相等
Failed to allocate a NA lease: Because the number of leases has reached the maximum.	分配NA租约失败，数量达到上限
Failed to allocate a prefix lease: Because the number of leases has reached the maximum.	分配前缀租约失败，数量达到上限
Failed to get interface address or link address.	获取接口地址或者报文链路地址失败
Failed to add option-type option to the packet.	向报文中保存option-type选项失败
Failed to send packet.	发送报文失败
Failed to set status-code status code in the reply packet.	在Reply报文中设置状态码status-code失败
No free IP in the address range of the pool..	address range中没有可分配的IP地址
No free IP in the network network-address.	网段network-address中没有可分配的IP地址
No free prefix in prefix pool prefix-pool-index.	前缀地址池prefix-pool-index中没有可分配的前缀
No enough space for option option-code.	报文中没有空间存储选项编号为option-code的选项内容
No enough space for more options.	报文中没有空间存储过多的选项

10.7 AAA业务调试信息注解

表42 debugging aaa error命令输出信息描述表

字段	描述
Failed to start PAM: Initialization error.	启动PAM失败，原因是初始化发生错误
Failed to start PAM authorization: error flags=flag.	启动PAM授权失败，错误码序列为十六进制数flag
Failed to start PAM accounting: error flags=flag.	启动PAM计费开始失败，错误码序列为十六进制数flag
Failed to start PAM accounting: Failed to set the session start time.	启动PAM计费开始失败，原因是设置会话开始时间失败
Failed to stop PAM accounting: error flags=flag.	启动PAM计费停止失败，错误码序列为十六进制数flag
Failed to stop PAM accounting: Failed to set the session end time.	启动PAM计费停止失败，原因是设置会话结束时间失败
Failed to start PAM accounting update: error flags=flag.	启动PAM计费同步失败，错误码序列为十六进制数flag
Failed to start PAM accounting update: Failed to set the session end time.	启动PAM计费同步失败，原因是设置会话结束时间失败
Failed to start PAM authentication: error flags=flag	启动PAM认证失败，错误码序列为十六进制数flag
Failed to dispatch a PAM message: Invalid handle.	调度PAM消息失败，原因是句柄无效
Failed to dispatch a PAM message: Operation type error (error code=primitive).	调度PAM消息失败，原因是操作类型错误，错误码为primitive
Failed to dispatch a PAM message: Session ID error (session ID=session-id).	调度PAM消息失败，原因是会话ID错误，会话ID为session-id
Failed to dispatch a PAM message: Failed to initialize configuration.	调度PAM消息失败，原因是配置初始化失败
Failed to dispatch a PAM message: Failed to load a chain.	调度PAM消息失败，原因是加载链表失败
Failed to send a batch configuration request message.	发送用于获取批量配置的请求消息失败
Received an invalid HA message.	收到无效HA消息
Failed to create an HA handle.	创建HA句柄失败
Failed to initialize an AAA timer handle.	AAA定时器句柄初始化失败
Failed to initialize an AAA timer.	AAA定时器初始化失败
Failed to initialize an AAA MemAlert event.	AAA内存门限事件初始化失败
Failed to initialize an AAA service.	AAA服务初始化失败
Failed to initialize HA.	HA初始化失败
Failed to initialize TrapEnable.	告警功能使能初始化失败
Failed to initialize RunDBM.	运行DBM初始化失败
Failed to initialize an interface event.	接口事件初始化失败
Failed to initialize an aaad event.	AAA主线程事件初始化失败
Failed to open an AAA configuration socket: protocol type=type.	打开AAA协议配置socket失败，协议类型为type，取值包括： · 1：TACACS · 2：RADIUS · 3：LDAP · 4：DOMAIN · 5：DAEMON · 6：LOCALBILL
Failed to initialize a RADIUS client mutex.	RADIUS客户端互斥锁初始化失败
Failed to initialize RADIUS configuration.	RADIUS配置初始化失败
Failed to initialize domain configuration.	DOMAIN配置初始化失败
Failed to initialize TACACS configuration.	TACACS配置初始化失败
Failed to initialize LDAP configuration.	LDAP配置初始化失败
Failed to initialize LBILL configuration.	LBILL配置初始化失败
Failed to initialize the AAA configuration server.	AAA配置服务器初始化失败
Failed to initialize an AAA server.	AAA服务器初始化失败
Failed to initialize the RADIUS extended function thread.	RADIUS扩展功能线程初始化失败
Failed to initialize the RADIUS retransmission thread.	RADIUS重传线程初始化失败
Failed to initialize the TACACS retransmission thread.	TACACS重传线程初始化失败
Failed to stop an AAA configuration service.	结束AAA配置服务失败
Failed to create an AAA service socket.	创建AAA服务socket失败
Failed to start an AAA service: error code=result-code.	启动AAA服务失败，返回的错误码为result-code
Failed to destroy a client mutex.	销毁客户端互斥锁失败
Failed to lock a client mutex.	配置客户端互斥锁上锁失败
Failed to unlock a client mutex.	配置客户端互斥锁解锁失败
Failed to get a RADIUS scheme from PAM.	从PAM条目中获取RADIUS方案失败
Failed to create a RADIUS data request message.	创建用于获取RADIUS数据的请求消息失败
Failed to write a RADIUS pipe.	写入RADIUS管道失败
Failed to lock session-control client list.	Session control客户端信息表项加锁失败
Failed to unlock session-control client list.	Session control客户端信息表项解锁失败
Failed to lock user extended registration list.	用户扩展注册信息表项加锁失败
Failed to unlock user extended registration list.	用户扩展注册信息表项解锁失败
There is no session key in the DAE loose check mode, reply NAK to client.	在DAE宽松检查模式下，未获取到用户会话key，向客户端回复NAK报文
Failed to compare the assist session key after acct-session-id.	通过Acct-Session-Id属性key查找到用户后，比较辅助会话key失败（辅助会话key包括userip，username，ita level）
Failed to compare the assist session key after non-acct-session-id.	通过非Acct-Session-Id的其它属性key（userip，multi-session-id）查找到用户后，比较辅助会话key失败（userip的辅助会话key为username和ita level，multi-session-id的辅助会话key为ita level）
Failed to connect to server (server-ip).	向服务器发送下线请求时，与服务器连接失败，服务器IP地址为server-ip
Failed to send offline request message to server (server-ip).	向服务器发送下线请求消息失败，服务器IP地址为server-ip
Failed to get user service type from PAM.	从PAM条目中获取用户服务类型属性失败
Acctproxy failed to register slot event with the interface management module.	Acctproxy进程向接口管理模块注册板插入/板拔出事件失败
Failed to start the acctproxy service.	Acctproxy服务启动失败
Invalid unicfg message type: type ID=type-id.	无效的统一配置消息类型（类型编号type-id）
Transaction count for real-time configuration is incorrect.	实时配置的事务计数有误
Failed to send action message to BRAS-VM.	CTRL-VM向BRAS-VM发送Action操作消息失败
The NAT instance obtained by UP backup profile is invalid: NAT instance name=nat-instance-name.	通过UP备份策略模板获取的NAT实例nat-instance-name是无效的
Failed to get user group by NAT instance nat-instance-name.	通过NAT实例nat-instance-name获取用户组失败

表43 debugging aaa event命令输出信息描述表

字段	描述
AAA failed: AAA type=type, AAA domain=domain-name, service=service-name, username=username. log information=logInfo. 建议： AAA failed: Failure reason (AAA type=type, AAA domain=domain-name, service=service-name, username=username).	· AAA过程失败时，输出以下信息： · AAA type：AAA类型 ¡ authentication：认证 ¡ authorization：授权 ¡ accounting：计费 · AAA domain：用户所在ISP域 · service：服务类型 · username：用户名 · Failure reason：失败原因描述 ¡ Failed to load chain：加载链表失败 ¡ Failed to obtain user service：获取用户服务失败 ¡ Failed to select user domain：选择用户域失败
Started an AAA service successfully.	AAA服务启动成功
Stopped an AAA service successfully.	AAA服务停止成功
Find user by the non-acct-session-id key while receiving the DAE message.	收到DAE消息后，根据非Acct-Session-Id属性key查找到用户
Comparing the assist session key successfully after non-acct-session-id	通过非Acct-Session-Id属性key（userip，multi-session-id）查找到用户后，比较辅助会话key成功（userip的辅助会话key为username和ita level，multi-session-id的辅助会话key为ita level）
Find user by acct-session-id while receiving the DAE message.	收到DAE消息后，根据Acct-Session-Id属性key获取到用户.
Comparing the assist session key successfully after acct-session-id	通过Acct-Session-Id属性key查找到用户后，比较辅助会话key失败（辅助会话key包括userip，username，ita level）
Acctproxy sent stop-accounting packet for a user on a slot: User session ID=session-id, user slot=slot-num.	接口板拔出时，主控板代替接口板发送计费停止报文（用户的Acct-Session-Id为session-id，用户所在接口板的槽位号为slot-num）
Has cleared user information synchronized from slots after acctproxy was disabled.	关闭计费停止报文代发功能后，删除主控板上已经存储的接口板的用户信息
Acctproxy deleted a user: User session ID=session-id, current user count=count.	主控板上的Acctproxy进程删除一个用户（用户的Acct-Session-Id为session-id，当前的用户总数量为count）
Acctproxy added a user: User session ID=session-id, current user count=count.	主控板上的Acctproxy进程添加一个用户（用户的Acct-Session-Id为session-id），当前的用户总数量为count
Acctproxy finished synchronizing user information of an access module and the socket FD for the synchronization is client-Fd.	主控板上的Acctproxy进程已完成对某接入模块的用户信息同步，Acctproxy进程与接入模块通信的SocketFd为client-Fd
Failed to start real-time configuration transaction: ErrorCode=ErrorCode.	启动实时配置事务失败，错误码为ErrorCode
Sent XML message to BRAS-VM: result=result, message=xmlcontent.	CTRL-VM发送XML消息到BRAS-VM的结果为result
Sent comsh message to BRAS-VM: result=result, message=comshcontent.	CTRL-VM发送命令行消息BRAS-VM的结果为result
TargetList malloc failed.	TargetList申请内存空间失败
Received comsh processing response message from BRAS-VM: message=message.	收到BRAS-VM命令行处理的回应信息（message）
Extracted processing result from the response message: result=result.	CTRL-VM从回应信息里提取处理结果（result）
BRAS-VM reply information: ErrCode=ErrCode, Result=result, TargetID=TargetID, RpcType=enRpc.	BRAS-VM回复消息，错误码为ErrCode，是否成功为SuccessTag，目标ID为TargetID，RPC类型为enRpc
BRAS-VM XML reply error information: type=ErrType, path=path, message=message.	BRAS-VM通过XML回复的错误消息类型为ErrType，路径为path，消息内容为message
Notified xmlcfgd that the number of generated bills has reached or exceeded the threshold: result=result.	生成的话单数量达到或超过阈值，发送通知到xmlcfgd，结果为result

表44 debugging radius event命令输出信息描述表

字段	描述
Processing AAA request data.	处理AAA请求数据
Got request data successfully, primitive: primitive_name.	成功获取请求数据，原语是primitive_name
Getting local server info.	获取本地服务器信息
Getting RADIUS server info.	获取远端RADIUS服务器信息
Got RADIUS server info successfully.	成功获取服务器信息
Sent request packet and create request context successfully.	成功发送请求报文并创建请求上下文
Added request context to global table successfully.	成功将请求上下文加入全局上下文信息表
Created request context successfully.	成功创建请求上下文
Composed request packet successfully.	成功构建请求报文
Created response timeout timer successfully.	成功创建应答超时定时器
Sent request packet successfully.	成功发送请求报文
Created request packet successfully, dstIP: dst-ip, dstPort: dst-port, socketFd: fd, pktID: id.	成功创建请求报文，目的IP地址是dst-ip，目的端口是dst-port，套接字是fd，报文ID是id
Added packet socketfd to epoll successfully, socketFd: fd.	成功添加报文套接字到epoll控制变量中，套接字是fd
Mapped PAM item to RADIUS attribute successfully.	成功将PAM数据项映射为RADIUS属性
Filled RADIUS attributes in packet successfully.	成功填充RADIUS报文属性
Got RADIUS username format successfully.	成功获取RADIUS用户名格式
Added attribute user-name successfully, user-name: name.	成功添加用户名属性，属性值是name
Response timed out.	应答超时
Found request context, dstIP: dst-ip, dstPort: dst-port, socketFd: fd, pktID: id.	成功查找到请求上下文，目的IP地址是dst-ip，目的端口是dst-port，套接字是fd，报文ID是id
Retransmitting request packet, currentTries: n, maxTries: max.	重传请求报文，当前是第n次重传，最大重传次数是max
Sent reply error message to PAM.	发送应答错误消息给PAM
Reached the maximum retries.	达到最大重传次数
Sent packet to next server successfully.	成功发送报文到下一个服务器
Failed to get next server.	获取下一个服务器失败
Got next server successfully, serverIP: svr-ip, serverPort: svr-port.	成功获取下一个服务器，服务器IP地址为svr-ip，服务器端口为svr-port
Set status of server to block successfully.	成功将服务器状态设置为阻塞
Set status of server to active successfully.	成功将服务器状态设置为激活
Reply SocketFd recieved EPOLLIN event.	应答报文套接字接收到EPOLLIN事件
Reply SocketFd recieved EPOLLERR/EPOLLHUP event.	应答报文套接字接收到EPOLLERR/EPOLLHUP事件
Sent reply message successfully.	成功发送应答消息
Received reply packet successfully.	成功接收应答报文
Found request context, dstIP: dst-ip, dstPort: dst-port, socketFd: fd, pktID: id.	成功查找到请求上下文，目的IP地址是dst-ip，目的端口是dst-port，套接字是fd，报文ID是id
The reply packet is valid.	应答报文有效
Decoded reply packet successfully.	应答报文解码成功
PAM_RADIUS: Processing RADIUS authentication.	进行RADIUS认证
PAM_RADIUS: Processing RADIUS authorization.	进行RADIUS授权
PAM_RADIUS: RADIUS authorization successful.	RADIUS授权成功
PAM_RADIUS: RADIUS accounting started.	RADIUS计费开始
PAM_RADIUS: RADIUS accounting stopped.	RADIUS计费结束
PAM_RADIUS: RADIUS accounting updated.	RADIUS计费更新
PAM_RADIUS: Sent type request successfully.	成功发送认证/授权/计费请求
PAM_RADIUS: Received authentication reply message, resultCode: code.	接收到认证应答消息，结果码为code
PAM_RADIUS: Received authorization reply message, resultCode: code.	接收到授权应答消息，结果码为code
PAM_RADIUS: Received accounting-start reply message, resultCode: code.	接收到计费开始应答消息，结果码为code
PAM_RADIUS: Received accounting-stop reply message, resultCode: code.	接收到计费停止应答消息，结果码为code
PAM_RADIUS: Received accounting-update reply message, resultCode: code.	接收到计费更新应答消息，结果码为code
Processed session-control packet successfully.	处理session-control报文成功
Processed session-control message successfully.	处理session-control消息成功
Sent session-control reply packet successfully.	成功发送session-control应答报文
Sent DAE reply packet successfully.	成功发送DAE 应答报文
Received DAE request packet successfully.	成功接收DAE请求报文
Failed to distinguish DAE request packet.	识别DAE请求报文失败
The length of DAE request packet is invalid.	DAE请求报文长度无效
The type of DAE request packet is unknown.	DAE请求报文类型未知
The authenticator of DAE request packet is invalid.	DAE请求报文校验字无效
Created detection request packet successfully, dstIP: dst-ip, dstPort: dst-port, VPN instance: vpn-instance, socketFd: fd, pktID: id.	成功创建探测请求报文，目的IP地址是dst-ip，目的端口是dst-port，所属的MPLS L3VPN实例是vpn-instance，套接字是fd，报文ID是id
Found detection request context, dstIP: dst-ip, dstPort: dst-port, pktID: id.	成功查找到探测请求上下文，目的IP地址是dst-ip，目的端口是dst-port，报文ID是id
Opened RADIUS server detection successfully, RADIUS scheme name:scheme-name, server IP:server-ip, server port:server-port, VPN instance: vpn-instance.	成功开启RADIUS服务器探测，RADIUS方案名是scheme-name，服务器IP地址是server-ip，服务器端口号是server-port，服务器所属的MPLS L3VPN实例是vpn-instance
Failed to open RADIUS server detection, RADIUS scheme name:scheme-name, server IP:server-ip, server port:server-port, VPN instance: vpn-instance.	开启RADIUS服务器探测失败，RADIUS方案名是scheme-name，服务器IP地址是server-ip，服务器端口号是server-port，服务器所属的MPLS L3VPN实例是vpn-instance
Created detection request context successfully, RADIUS scheme name:scheme-name, server IP:server-ip, server port:server-port, VPN instance: vpn-instance.	成功创建探测请求上下文，RADIUS方案名是scheme-name，服务器IP地址是server-ip，服务器端口号是server-port，服务器所属的MPLS L3VPN实例是vpn-instance
Failed to create detection request context, RADIUS scheme name:scheme-name, server IP:server-ip, server port:server-port, VPN instance: vpn-instance.	创建探测请求上下文失败，RADIUS方案名是scheme-name，服务器IP地址是server-ip，服务器端口号是server-port，服务器所属的MPLS L3VPN实例是vpn-instance
Composed detection request packet successfully, RADIUS scheme name:scheme-name, server IP:server-ip, server port:server-port, VPN instance: vpn-instance.	成功构建探测请求报文，RADIUS方案名是scheme-name，服务器IP地址是server-ip，服务器端口号是server-port，服务器所属的MPLS L3VPN实例是vpn-instance
Sent detection request packet successfully, RADIUS scheme name:scheme-name, server IP:server-ip, server port:server-port, VPN instance: vpn-instance.	成功发送探测请求报文，RADIUS方案名是scheme-name，服务器IP地址是server-ip，服务器端口号是server-port，服务器所属的MPLS L3VPN实例是vpn-instance
Failed to send detection request packet, RADIUS scheme name:scheme-name, server IP:server-ip, server port:server-port, VPN instance: vpn-instance.	发送探测请求报文失败，RADIUS方案名是scheme-name，服务器IP地址是server-ip，服务器端口号是server-port，服务器所属的MPLS L3VPN实例是vpn-instance
Failed to save packet ID of detection request, RADIUS scheme name:scheme-name, server IP:server-ip, server port:server-port, VPN instance: vpn-instance.	保存探测请求报文ID失败，RADIUS方案名是scheme-name，服务器IP地址是server-ip，服务器端口号是server-port，服务器所属的MPLS L3VPN实例是vpn-instance
Random timer of server detection timed out, RADIUS scheme name:scheme-name, server IP:server-ip, server port:server-port, VPN instance: vpn-instance.	服务器探测的随机定时器超时，RADIUS方案名是scheme-name，服务器IP地址是server-ip，服务器端口号是server-port，服务器所属的MPLS L3VPN实例是vpn-instance
Failed to clear flag of sending trap, RADIUS scheme name:scheme-name, server IP:server-ip, server port:server-port, VPN instance: vpn-instance.	清除发送trap标记失败，RADIUS方案名是scheme-name，服务器IP地址是server-ip，服务器端口号是server-port，服务器所属的MPLS L3VPN实例是vpn-instance
Failed to clear count of block state, RADIUS scheme name:scheme-name, server IP:server-ip, server port:server-port, VPN instance: vpn-instance.	清除block状态计数失败， RADIUS方案名是scheme-name，服务器IP地址是scheme-name，服务器IP地址是server-ip，服务器端口号是server-port，服务器所属的MPLS L3VPN实例是vpn-instance
Failed to update count of block state, RADIUS scheme name:scheme-name, server IP:server-ip, server port:server-port, VPN instance: vpn-instance.	更新block状态计数失败，RADIUS方案名是scheme-name，服务器IP地址是server-ip，服务器端口号是server-port，服务器所属的MPLS L3VPN实例是vpn-instance
No detection reply packet received, RADIUS scheme name:scheme-name, server IP:server-ip, server port:server-port, VPN instance: vpn-instance.	没有接收到探测应答报文，RADIUS方案名是scheme-name，服务器IP地址是server-ip，服务器端口号是server-port，服务器所属的MPLS L3VPN实例是vpn-instance
Server detection timer timed out, RADIUS scheme name:scheme-name, server IP:server-ip, server port:server-port, VPN instance: vpn-instance.	服务器探测定时器超时，RADIUS方案名是scheme-name，服务器IP地址是server-ip，服务器端口号是server-port，服务器所属的MPLS L3VPN实例是vpn-instance
Sent trap successfully, RADIUS scheme name:scheme-name, server IP:server-ip, server port:server-port, VPN instance: vpn-instance.	发送trap成功，RADIUS方案名是scheme-name，服务器IP地址是server-ip，服务器端口号是server-port，服务器所属的MPLS L3VPN实例是vpn-instance
Failed to set flag of sending trap, RADIUS scheme name:scheme-name, server IP:server-ip, server port:server-port, VPN instance: vpn-instance.	设置发送trap标记失败，RADIUS方案名是scheme-name，服务器IP地址是server-ip，服务器端口号是server-port，服务器所属的MPLS L3VPN实例是vpn-instance
Closed RADIUS server detection successfully, RADIUS scheme name:scheme-name, server IP:server-ip, server port:server-port, VPN instance: vpn-instance.	成功关闭RADIUS服务器探测，RADIUS方案名是scheme-name，服务器IP地址是server-ip，服务器端口号是server-port，服务器所属的MPLS L3VPN实例是vpn-instance
Failed to close RADIUS server detection, RADIUS scheme name:scheme-name, server IP:server-ip, server port:server-port, VPN instance: vpn-instance.	关闭RADIUS服务器探测失败，RADIUS方案名是scheme-name，服务器IP地址是server-ip，服务器端口号是server-port，服务器所属的MPLS L3VPN实例是vpn-instance
Can’t open RADIUS server detection because the specified test profile doesn't exist, RADIUS scheme name:scheme-name, server IP:server-ip, server port:server-port, VPN instance: vpn-instance.	不能开启RADIUS服务器探测，指定的探测模版不存在，RADIUS方案名是scheme-name，服务器IP地址是server-ip，服务器端口号是server-port，服务器所属的MPLS L3VPN实例是vpn-instance
Opened RADIUS server quiet function successfully, RADIUS scheme name:scheme-name, server IP:server-ip, server port:server-port, VPN instance: vpn-instance.	成功开启RADIUS服务器静默，RADIUS方案名是scheme-name，服务器IP地址是server-ip，服务器端口号是server-port，服务器所属的MPLS L3VPN实例是vpn-instance
Failed to open RADIUS server quiet function, RADIUS scheme name:scheme-name, server IP:server-ip, server port:server-port, VPN instance: vpn-instance.	开启RADIUS服务器静默失败，RADIUS方案名是scheme-name，服务器IP地址是server-ip，服务器端口号是server-port，服务器所属的MPLS L3VPN实例是vpn-instance
Closed RADIUS server quiet function successfully, RADIUS scheme name:scheme-name, server IP:server-ip, server port:server-port, VPN instance: vpn-instance.	成功关闭RADIUS服务器静默，RADIUS方案名是scheme-name，服务器IP地址是server-ip，服务器端口号是server-port，服务器所属的MPLS L3VPN实例是vpn-instance
Failed to close RADIUS server quiet function, RADIUS scheme name:scheme-name, server IP:server-ip, server port:server-port, VPN instance: vpn-instance.	关闭RADIUS服务器静默失败，RADIUS方案名是scheme-name，服务器IP地址是server-ip，服务器端口号是server-port，服务器所属的MPLS L3VPN实例是vpn-instance
Aaad Sent the notification about the change of server status to application process successfully, server state:server-state.	Aaad发送了服务器状态转换的通知给应用进程，服务器状态是server-state
Application process received the notification about the change of server status from aaad process, server state:server-state.	应用进程接收了来自aaad进程的服务器状态转换的通知，服务器状态是server-state
Maximum number of pending RADIUS requests already reached for a RADIUS server.	设备发送给RADIUS服务器且未收到响应的请求报文数达到最大值
Can’t set the server to the blocked state: The server response timeout timer has not expired.	服务器不能被置为阻塞状态，服务器响应超时时间未达到
The RADIUS server assigned the Port-Limit attribute with a value larger than 512. The effective value for this attribute will be 512.	RADIUS服务器下发的最大用户数大于512，则实际生效值为512
Receiving the dae result, but the context is not found.	收到DAE请求消息的处理结果，但已经查找不到该请求消息的上下文

表45 debugging radius error命令输出信息描述表

字段	描述
Failed to get request data.	获取请求数据失败
Failed to get server info.	获取服务器信息失败
Failed to send request packet and create request context.	发送请求报文和创建请求上下文失败
Failed to create request context.	创建请求上下文失败
Failed to compose request packet.	组装请求报文失败
Failed to create response timeout timer.	创建应答超时定时器失败
Failed to send request packet, dstIP: dst-ip, dstPort: dst-port, socketFd: fd, pktID: id.	发送请求报文失败，目的IP地址是dst-ip，目的端口是dst-port，套接字是fd，报文ID是id
Failed to create request packet.	创建请求报文失败
Failed to add packet socketfd to epoll, socketFd: fd.	将报文套接字加入epoll控制变量失败，套接字是fd
Failed to map PAM item to attribute.	将PAM数据项映射到RADIUS属性失败
Failed to fill attribute in packet.	填充报文属性失败
Failed to get RADIUS username format.	获取RADIUS用户名格式失败
Failed to get domain item.	获取ISP域数据项失败
The username length exceeded the upper limit.	用户名长度超过最大值
Failed to retransmit request packet n times.	第n次重发请求报文失败
Failed to set the status of server to active.	设置服务器到激活状态失败
Failed to fill reply data.	填充应答数据失败
Failed to send reply message.	发送应答消息失败
Failed to receive reply packet.	发送应答报文失败
Failed to find request context, dstIP: dst-ip, dstPort: dst-port, socketFd: fd, pktID: id.	查找请求上下文失败，目的IP地址是dst-ip，目的端口是dst-port，套接字是fd，报文ID是id
The reply packet is invalid.	应答报文无效
Failed to decode reply packet.	解码应答报文失败
Reply packet: Unknown type.	应答报文：未知类型
Reply packet: Invalid packet length.	应答报文：无效的报文长度
Reply packet: Invalid packet authenticator.	应答报文：无效的报文验证字
Failed to map attribute to PAM item.	将RADIUS属性映射成PAM数据项失败
PAM_RADIUS: Failed to set scheme name to pam-module-data.	PAM_RADIUS：设置方案名称到PAM数据失败
PAM_RADIUS: Local authorization failed.	PAM_RADIUS：本地授权失败
PAM_RADIUS: Failed to get reply data from pam-module-data.	PAM_RADIUS：从PAM数据获取应答数据失败
PAM_RADIUS: Authorization scheme is RADIUS, but authentication is local.	PAM_RADIUS：授权方案是RADIUS，但认证方案是local
PAM_RADIUS: Authorization scheme is different from authentication scheme.	PAM_RADIUS：授权方案与认证方案不同
PAM_RADIUS: Authorization failed for setting PAM item.	PAM_RADIUS：设置PAM数据项失败导致授权失败
PAM_RADIUS: Failed to find sequence.	PAM_RADIUS：查找序列失败
PAM_RADIUS: Failed to find reply data.	PAM_RADIUS：查找应答数据失败
PAM_RADIUS: Failed to send type request.	PAM_RADIUS：发送认证/授权/计费请求失败
PAM_RADIUS: Failed to set port item.	PAM_RADIUS：设置端口数据项失败
PAM_RADIUS: Failed to accept connection for receiving type reply data.	PAM_RADIUS：接收认证/授权/计费应答数据的连接失败
PAM_RADIUS: Failed to select available socket for receiving type reply data.	PAM_RADIUS：选择可用的套接字失败
PAM_RADIUS: Failed to receive type reply data.	PAM_RADIUS：接收认证/授权/计费应答数据失败
PAM_RADIUS: Failed to process reply data.	PAM_RADIUS：处理应答数据失败
PAM_RADIUS: Failed to open socket when processing type request.	处理认证/授权/计费请求时，打开套接字失败
PAM_RADIUS: Failed to send type request.	发送认证/授权/计费请求失败
Failed to process session-control packet.	处理session-control报文失败
Failed to process session-control message.	处理session-control消息失败
Failed to receive session-control packet.	接收session-control报文失败
Session-control packet is invalid.	session-control报文无效
Checking session-control packet failed.	检查session-control报文失败
Failed to decode session-control packet.	解码session-control报文失败
Failed to find attribute hw-command.	查找hw-command属性失败
Failed to send session-control message to aaad.	向aaad发送session-control消息失败
Failed to decode session-control reply message.	解码session-control应答消息失败
Failed to send session-control reply packet.	发送session-control应答报文失败
Failed to send DAE reply packet.	发送DAE应答报文失败
Failed to decode DAE reply message.	解码DAE应答报文失败
Failed to receive DAE request packet.	接收DAE请求报文失败
Failed to decode DAE request packet.	解码DAE请求报文失败
Failed to send server state notify message for multi RADIUS scheme name.	发送多个RADIUS方案名称的server state通知消息失败
Failed to send server state notify message for single RADIUS scheme name, RADIUS scheme name: scheme-name.	发送单个RADIUS方案名称的server state通知消息失败，RADIUS方案名称为scheme-name
Failed to create detection request packet, RADIUS scheme name:scheme-name, server IP:server-ip, server port:server-port, VPN instance: vpn-instance.	创建探测请求报文失败，RADIUS方案名是scheme-name，服务器IP地址是server-ip，服务器端口号是server-port，服务器所属的MPLS L3VPN实例是vpn-instance
Failed to fill RADIUS attributes in detection request packet, RADIUS scheme name:scheme-name, server IP:server-ip, server port:server-port, VPN instance: vpn-instance.	向探测请求报文中填充RADIUS报文属性失败，RADIUS方案名是scheme-name，服务器IP地址是server-ip，服务器端口号是server-port，服务器所属的MPLS L3VPN实例是vpn-instance
Failed to get NAS-IP, RADIUS scheme name:scheme-name, server IP:server-ip, server port:server-port, VPN instance: vpn-instance.	获取NAS-IP失败，RADIUS方案名是scheme-name，服务器IP地址是server-ip，服务器端口号是server-port，服务器所属的MPLS L3VPN实例是vpn-instance

表46 debugging radius packet命令输出信息描述表

字段	描述
Sent a RADIUS packet.	发送了一个RADIUS报文
Received a RADIUS packet.	收到了一个RADIUS报文
Server IP	RADIUS服务器的IP地址
NAS-IP	NAS-IP地址
VPN instance	RADIUS服务器所属的MPLS L3VPN实例名称
Server port	RADIUS服务器使用的认证/计费端口号
Type	报文类型，取值为： · Authentication request · Authentication accept · Authentication reject · Accounting request · Accounting response · Accounting status：客户端的计费状态 · Password request：修改密码请求 · Password ACK：允许修改密码 · Password reject：拒绝修改密码 · Accounting message · Access challenge · Status server：服务器状态 · Status client：客户端状态 · Session control · Disconnect request · Disconnect ACK · Disconnect NAK · COA request · COA ACK · COA NAK
Length	报文长度，单位为字节
Packet ID	报文ID
RADIUS attribute name = attribute value	报文中包含的RADIUS属性及其取值其中，标准RADIUS属性的描述遵从RFC2865/2866/2869/3580，此处不再赘述；常见的厂商（Vendor-ID=25506）定制属性请查看AAA配置指导

10.8 IPv6基础模块调试信息注解

表47 debugging ipv6 nd packet命令输出信息描述表

字段	描述
Sent packet-type packet: Interface: interface-type interface-number First VLAN ID: first-vlan Second VLAN ID: second-vlan SrcEthMAC: src-mac-address SrcIP: src-ip-address DstEthMAC: dst-mac-address DstIP: dst-ip-address LinkId: linkid VsiIndex: vsiindex	从接口interface-type interface-number发送的packet-type的报文。外层VLAN ID为first-vlan，内层VLAN ID为second-vlan，源MAC地址为src-mac-address，目的MAC地址为dst-mac-address，源IPv6地址为src-ip-address，目的IPv6地址为dst-ip-address，隧道在VSI内的链路标识符为linkid，VSI索引为vsiindex
Received packet-type packet: Interface: interface-type interface-number First VLAN ID: first-vlan Second VLAN ID: second-vlan SrcEthMAC: src-mac-address SrcIP: src-ip-address DstEthMAC: dst-mac-address DstIP: dst-ip-address LinkId: linkid VsiIndex: vsiindex	从接口interface-type interface-number接收到的packet-type 的消息。外层VLAN ID为first-vlan，内层VLAN ID为second-vlan，源MAC地址为src-mac-address，目的MAC地址为dst-mac-address，源IPv6地址为src-ip-address，目的IPv6地址为dst-ip-address，隧道在VSI内的链路标识符为linkid，VSI索引为vsiindex

字段

描述

Sent packet-type packet:

Interface: interface-type interface-number First VLAN ID: first-vlan Second VLAN ID: second-vlan

SrcEthMAC: src-mac-address SrcIP: src-ip-address

DstEthMAC: dst-mac-address DstIP: dst-ip-address

LinkId: linkid VsiIndex: vsiindex

从接口interface-type interface-number发送的packet-type的报文。外层VLAN ID为first-vlan，内层VLAN ID为second-vlan，源MAC地址为src-mac-address，目的MAC地址为dst-mac-address，源IPv6地址为src-ip-address，目的IPv6地址为dst-ip-address，隧道在VSI内的链路标识符为linkid，VSI索引为vsiindex

Received packet-type packet:

Interface: interface-type interface-number First VLAN ID: first-vlan Second VLAN ID: second-vlan

SrcEthMAC: src-mac-address SrcIP: src-ip-address

DstEthMAC: dst-mac-address DstIP: dst-ip-address

LinkId: linkid VsiIndex: vsiindex

从接口interface-type interface-number接收到的packet-type 的消息。外层VLAN ID为first-vlan，内层VLAN ID为second-vlan，源MAC地址为src-mac-address，目的MAC地址为dst-mac-address，源IPv6地址为src-ip-address，目的IPv6地址为dst-ip-address，隧道在VSI内的链路标识符为linkid，VSI索引为vsiindex

表48 debugging ipv6 nd entry命令显示信息描述表

字段	描述
Added neighbor-state NB entry: ipv6-address on interface-type interface-number	· 添加邻居地址为ipv6-address的邻居表项，邻居状态为neighbor-state，与该邻居相邻的接口为interface-type interface-number 邻居状态： · INCMP：正在解析地址，邻居的链路层地址尚未确定； · STALE：未确定邻居是否可达，设备不会再验证邻居的可达性，除非有数据发送给该邻居； · DELAY：未确定邻居是否可达，延迟一段时间发送邻居请求报文； · PROBE：未确定邻居是否可达，发送邻居请求报文来验证邻居的可达性；
neighbor-state1->neighbor-state2: ipv6-address on interface-type interface-number	邻居表项的状态从neighbor-state1转换为neighbor-state2
Deleted neighbor-state NB entry: ipv6-address on interface-type interface-number	· 删除邻居地址为ipv6-address的邻居表项，邻居状态为neighbor-state，与该邻居相邻的接口为interface-type interface-number 邻居状态： · INCMP：正在解析地址，邻居的链路层地址尚未确定； · STALE：未确定邻居是否可达，设备不会再验证邻居的可达性，除非有数据发送给该邻居； · DELAY：未确定邻居是否可达，延迟一段时间发送邻居请求报文； · PROBE：未确定邻居是否可达，发送邻居请求报文来验证邻居的可达性；

表49 debugging ipv6 nd error命令显示信息描述表

字段	描述
Packet discarded for hop limit is invalid: packet-type on ipv6-address	· 报文类型为packet-type，源地址为ipv6-address的报文被丢弃，因为报文的跳段数限制不合法报文类型： · RS：路由器请求消息报文 · RA：路由器宣告消息报文 · FINAL RA：路由器宣告消息的最终报文 · NS：邻居请求消息报文 · NA：邻居宣告消息报文
Packet discarded for source address is unspecified and destination address is not solicited multicast: packet-type on ipv6-address	报文类型为packet-type,源地址为ipv6-address的报文被丢弃，因为报文的源地址不合法，目的地址非组播地址
Packet discarded for source address is unspecified and SLLA is included: packet-type on ipv6-address	报文类型为packet-type,源地址为ipv6-address的报文被丢弃，因为报文未指定源地址而且报文包含了SLLA
Packet discarded for target address is tentative: packet-type on ipv6-address	报文类型为packet-type,目标地址为ipv6-address的报文被丢弃，因为目标地址未生效
Packet discarded for source addres is error: packet-type on ipv6-address	报文类型为packet-type,源地址为ipv6-address的报文被丢弃，因为源地址错误
Packet discarded for source addres is error: packet-type on ipv6-address	报文类型为packet-type,目的地址为ipv6-address的报文被丢弃，因为目的地址错误
Packet discarded for option is error: packet-type on ipv6-address	报文类型为packet-type,源地址为ipv6-address的报文被丢弃，因为报文中携带的选项错误
Packet discarded for target address is a multicast address: packet-type on ipv6-address	报文类型为packet-type,目标地址为ipv6-address的报文被丢弃，因为目标地址是组播
Packet discarded for destination address is a multicast address but S flag is set: packet-type on ipv6-address	报文类型为packet-type,目的地址为ipv6-address的报文被丢弃，因为目的地址是组播但是S标记设置为1
Packet discarded for target address is error: packet-type on ipv6-address	报文类型为packet-type,目标地址为ipv6-address的报文被丢弃，因为目标地址错误
Packet discarded for no TLLA is included: packet-type on ipv6-address	报文类型为packet-type,目标地址为ipv6-address的报文被丢弃，因为目标中没有携带TLLA选项
Packet discarded for including invalid TLLA:packet-type on ipv6-address	报文类型为packet-type,目标地址为ipv6-address的报文被丢弃，因为携带无效的TLLA选项
Packet discarded for including invalid SLLA: packet-type on ipv6-address	报文类型为packet-type,源地址为ipv6-address的报文被丢弃，因为报文内的SLLA不合法
Packet discarded for getting extend header failed: packet-type on ipv6-address	报文类型为packet-type,源地址为ipv6-address的报文被丢弃，因为获取报文的扩展头失败
Packet discarded for target address is not this router: packet-type on ipv6-address	报文类型为packet-type,目标地址为ipv6-address的报文被丢弃，因为目标地址不是本路由器的
Packet could not send for target address is error: packet-type on ipv6-address	报文类型为packet-type,目标地址为ipv6-address的报文无法发送，因为目标地址错误
Packet discarded for interface index is invalid	报文丢弃：接口索引无效
Packet discarded for VLAN ID is invalid	报文丢弃：VLAN ID无效
Packet discarded for VLAN is not allowed on the port	报文丢弃：VLAN不允许通过
Packet discarded for port is down	报文丢弃：端口down
Packet discarded for STP state of the port is not forwarding	报文丢弃：端口STP状态不是forwarding
Packet discarded for port is a link aggregation member	报文丢弃：端口是聚合成员口
Packet discarded for interface is a link aggregation member	报文丢弃：接口是聚合成员口
Updating entry failed for port is not a local interface	报文丢弃：非本板接口
Updating entry failed for conflicting with static configuration	与静态配置冲突，更新表项失败
Sending syn message failed	发送同步消息失败
Syn entry failed for interface is down	同步表项失败：接口down
Syn entry failed for port is down	同步表项失败：端口down
Syn entry failed for VLAN is not allowed on the port	同步表项失败：VLAN不允许通过
Syn entry failed for maximum number of entries is reached.	同步表项失败：表项个数达到上限
Syn entry failed for interface is a link aggregation member	同步表项失败：接口是聚合成员口
Syn entry failed for port is a link aggregation member	同步表项失败：端口是聚合成员口
Syn entry failed for conflicting with static configuration	同步表项失败：与静态配置冲突

10.9 ARP模块调试信息注解

表50 debugging arp packet命令输出信息描述表

字段	描述
ARP_SEND: Send an ARP packet	发送ARP报文
ARP_RCV: Receive an ARP packet	收到ARP报文
operation	报文类型（1：Request报文；2：Reply报文）
Sender MAC	源MAC地址
Sender IP	源IP地址
Target MAC	目标MAC地址
Target IP	目标IP地址
Interface	三层接口名称
Port	二层端口名称，不存在是显示“--”
SVLAN ID	公网VLAN编号
CVLAN ID	私网VLAN编号
VSI index	VSI索引
Link ID	以太网服务实例对应AC在VSI内的链路标识符

10.10 IP性能优化模块调试信息注解

表51 debugging ip packet命令输出信息描述表

字段	描述
Sending	发送报文的操作
Receiving	接收报文的操作
Delivering	IP层将报文送到上层
interface	接收/发送报文的接口
version	IP协议版本号
headlen	报文首部长度
tos	服务类型
pktlen	报文总长度
pktid	标识
offset	片偏移
ttl	生存时间
protocol	协议域
checksum	首部校验和
s	报文源地址
d	报文目的地址
Sending the packet from local at interface-type interface-number	从本地接口发送报文
Receiving IP packet from interface-type interface-number	从接口接收到报文
IP packet is delivering up!	将接收的报文送到上层处理

10.11 NAT模块调试信息注解

表52 debugging nat event命令输出信息描述表

字段	描述
Deleted NAT session entry for configuration sequence changed!	NAT配置序号变化，删除NAT会话表项
Deleted NAT session entry for out interface changed!	会话接口检查发现出接口变化，删除NAT会话表项

表53 debugging nat packet命令输出信息描述表

字段	描述
PACKET: (interface-type interface-number-direction)	报文信息：（接口名-报文方向）
Protocol: protocol	报文的协议类型
OrgSrcIP: OrgSrcPort - OrgDstIP: OrgDstPort (VPN: OrgVpnIndex) ------> NewSrcIP: NewSrcPort - NewDstIP: NewDstPort (VPN: NewVpnIndex)	NAT转换前的报文原始五元组： · OrgSrcIP：原始源IP地址 · OrgSrcPort：原始源端口号 · OrgDstIP：原始目的IP地址 · OrgDstPort：原始目的端口号 · OrgVpnIndex：原始报文所属的MPLS L3VPN索引 NAT转换后的报文新五元组： · NewSrcIP：新源IP地址 · NewSrcPort：新源端口号 · NewDstIP：新目的IP地址 · NewDstPort：新目的端口号 · NewVpnIndex：转换后报文所属的MPLS L3VPN索引

表54 debugging nat alg event命令输出信息描述表

字段	描述
EVENT: (interface-type interface-num) The payload of DNS packet with domain domain-name will be translated.	接口interface-type interface-num收到DNS报文，NAT要处理的DNS报文的域名为domain-name

表55 debugging nat alg packet命令输出信息描述表

字段

描述

PACKET: (interface-type interface-num) ALG payload was translated according to trans-type:

OrgIP/OrgPort(VPN: OrgVpnIndex)---> NewIP/NewPort(VPN: NewVpnIndex)

在接口interface-type interface-num上对报文载荷中的地址进行了NAT转换，转换类型为trans-type，包括以下取值：

· session table：根据会话表转换

· relation table(Local)：根据local类型的关联表的转换

· relation table(Global)：根据global类型的关联表的转换

· configuration：根据配置信息转换

NAT转换前的报文载荷信息：

· OrgIP：原始IP地址

· OrgPort：原始端口号

· OrgVpnIndex：原始报文所属的MPLS L3VPN索引

NAT转换后的报文载荷信息：

· NewIP：新IP地址

· NewPort：新端口号

· NewVpnIndex：转换后报文所属的MPLS L3VPN索引

PACKET: (interface-type interface-num-direction) DNS packet-type packet was translated:

OrgIP---> NewIP

在接口interface-type interface-num的direction方向上对DNS报文进行了NAT转换，DNS报文类型为packet-type，包括以下取值：

· DNS Query

· DNS RRs

NAT转换前的报文载荷信息：

· OrgIP：原始IP地址

NAT转换后的报文载荷信息：

· NewIP：新IP地址

PACKET: (interface-type interface-num-direction) ICMP error payload was translated:

Pro: protocol OrgIP/OrgPort---> NewIP/NewPort

在接口interface-type interface-num的direction方向上对ICMP差错控制报文中的载荷进行了NAT转换

引发该ICMP报文的报文的协议类型：protocol

NAT转换前的报文载荷信息：

· OrgIP：原始IP地址

· OrgPort：原始端口号

NAT转换后的报文载荷信息：

· NewIP：新IP地址

· NewPort：新端口号

表56 debugging nat config命令输出信息描述表

字段	描述
EVENT: Received lipc message, message type: type.	收到lipc消息，消息类型为type
EVENT: Received ioctl message, message type: type.	收到ioctl消息，消息类型为type，包括以下取值： · log enable：使能日志开关 · log disable：关闭日志开关 · log flow active：使能活跃流日志 · log flow deactive：关闭活跃流日志 · log flow begin：使能流创建日志 · log flow begin disable：关闭流创建日志 · log flow end：使能流结束日志 · log flow end disable：关闭流结束日志 · set all log configration：使能所有日志功能 · set alg：使能ALG · set all alg configration：使能所有ALG · set eim：使能EIM · add dns-map：添加DNS mapping配置 · delete dns-map：删除DNS mapping配置 · add static inbound：添加入方向静态地址转换配置 · delete static inbound：删除入方向静态地址转换配置 · add static outbound：添加出方向静态地址转换配置 · delete static outbound：删除出方向静态地址转换配置 · add address group：添加地址组 · delete address group：删除地址组 · add address group member：添加地址组成员 · delete address group member：删除地址组成员 · add server group：添加服务器组 · delete server group：删除服务器组 · add server group member：添加服务器组成员 · delete server group member：删除服务器组成员 · set interface static：设置接口下的静态使能开关 · set interface hairpin：设置接口下的hairpin使能开关 · add dynamic：添加动态转换配置 · delete dynamic：删除动态转换配置 · add server：添加内部服务器 · delete server：删除内部服务器 · acl rule change：ACL规则变化 · get statistics：获取统计信息 · smoothing begin：平滑开始 · smoothing end：平滑结束 · get server group statistics：获取服务器组统计信息 · add port block group：添加端口块组 · delete port block group：删除端口块组 · add port block group member：添加端口块组的地址成员 · delete port block group member：删除端口块组的地址成员 · set port block group parameters：设置端口块组的参数
EVENT: Received ioctl message, message type: type	· add outbound port block group：添加NAT444端口块静态映射配置 · delete outbound port block group：删除NAT444端口块静态映射配置 · log NAT444 enable：使能NAT444用户日志或告警信息日志 · log NAT444 disable：关闭NAT444用户日志或告警信息日志 · set service slot：设置接口与业务板号绑定关系 · add NAT address：添加NAT地址 · delete NAT address：删除NAT地址 · delete all NAT configurations on interface：删除接口上的所有NAT配置
EVENT: Received ACL event message, ACL number: number.	收到ACL事件消息，ACL编号为number
EVENT: Received L3VPN message, event: event.	收到L3VPN事件消息，事件类型为event，包括以下取值： · Create：VPN创建 · Delete：VPN删除
EVENT: Received interface event message, interface: interface-type interface-num, event: event.	收到接口事件消息，接口名为interface-type interface-num，事件类型为event，event包括以下取值： · Active：接口激活 · Deactive：去激活接口 · Delete：删除接口 · Push finish：事件补报结束
EVENT: Received slot event message, slot number: slot-num, event: event.	收到接口板事件消息，接口板所在槽位号为slot-num，事件类型为event，event包括以下取值： · Inserted：板插入 · Remove：板拔出
EVENT: Received link event message, interface: interface, event: event..	收到接口链路事件消息，接口名为interface-type interface-num，事件类型为event，包括以下取值： · Link up：链路up · Push finish：补充报告事件结束
EVENT: Received IPADDR event message, interface: interface, event: event.	收到地址事件消息，接口名为interface-type interface-num，事件类型为event，包括以下取值： · Add：地址添加 · Delete：地址删除
EVENT: Added configuration in kernel: configuration-type.	内核新增一条配置，配置类型为configuration-type，包括以下取值： · dns-map：dns-map配置 · static inbound：static inbound配置 · static outbound：static outbound配置 · address group：地址组 · address group member：地址组成员 · server group：内部服务器组 · server group member：内部服务器组成员 · dynamic：动态地址转换配置 · server：内部服务器配置 · port block group：端口块组配置 · port block group member：端口块组的地址成员配置 · NAT address：NAT地址 · NAT TCP attack defense：NAT攻击防范配置，限制TCP报文（TCP SYN报文除外）上送CPU的速率 · NAT ALG attack defense：NAT攻击防范配置，限制ALG解析和处理后的报文上送CPU的速率 · NAT other attack defense：NAT攻击防范配置，限制TCP、UDP、ALG、TCP SYN外其他协议报文上送CPU的速率 · NAT TCP-SYN attack defense：NAT攻击防范配置，限制TCP SYN报文上送CPU的速率 · NAT UDP forward attack defense：NAT攻击防范配置，限制正向UDP报文上送CPU的速率 · NAT UDP reverse attack defense: NAT攻击防范配置，限制反向UDP报文上送CPU的速率
EVENT: Deleted configuration in kernel: configuration-type.	内核删除一条配置，配置类型为configuration-type，包括以下取值： · dns-map：dns-map配置 · static inbound：static inbound配置 · static outbound：static outbound配置 · address group：地址组 · address group member：地址组成员 · server group：内部服务器组 · server group member：内部服务器组成员 · dynamic：动态地址转换配置 · server：内部服务器配置 · port block group：端口块组配置 · port block group member：端口块组的地址成员配置 · NAT address：NAT地址 · all NAT configurations on interface：接口上的所有NAT配置
EVENT: Set configuration in kernel: configuration-type.	内核中的NAT配置被修改，配置类型为configuration-type，包括以下取值： · log enable：日志开关 · log flow active：活跃流日志开关 · log flow begin：流创建日志开关 · log flow end：流删除日志开关 · all log configration：所有日志配置 · alg：ALG开关 · all alg configration：所有ALG配置 · eim：EIM开关 · interface static：接口下静态使能开关 · interface hairpin：接口下hairpin使能开关 · acl rule change：ACL变化 · smooth begin：平滑开始 · smooth end：平滑结束 · port block group parameters：端口块组参数 · service slot：业务板号
FLOWMGR flowmgr-event, Dest: dest, Priority: priority, MatchWildCard: wildcard, SrcKey: sip, DstKey: dip, protocol, VPN: vpn.	收到引流信息，事件类型为flowmgr-event，包括以下取值： · ADD：删除引流 · DEL：增加引流目的引擎为dest 优先级为priority，包括以下取值： · NAT_FLOW_ADDRGRP_ADDR · NAT_FLOW_ADDRGRP_PORT · NAT_FLOW_PORTBLOCK_LOCAL · NAT_FLOW_PORTBLOCK_GLOBAL · NAT_FLOW_SRVGRP · NAT_FLOW_SERVER_LOCAL · NAT_FLOW_SERVER_GLOBAL · NAT_FLOW_STATIC_INBOUND_ORIGINAL · NAT_FLOW_STATIC_INBOUND_NAT · NAT_FLOW_STATIC_OUTBOUND_ORIGINAL · NAT_FLOW_STATIC_OUTBOUND_NAT 源地址信息为sip，表示源IP地址范围目的地址信息为dip, protocol，protocol表示协议号，dip表示目的IP地址范围所属VPN名称为vpn

不同款型规格的资料略有差异, 详细信息请向具体销售和400咨询。H3C保留在没有任何通知或提示的情况下对资料内容进行修改的权利!

热门推荐

热门推荐

H3C服务器

HPE服务器

热门推荐

H3C存储

HPE存储

热门推荐

商用台式机

商用笔记本

商用显示器

配件

热门推荐

热门推荐

智能终端

技术解决方案

行业解决方案

热门推荐

热门推荐

热门推荐

热门推荐

热门推荐

热门推荐

热门推荐

专业安全服务

安全运营服务

热门推荐

热门推荐

热门推荐

热门推荐

热门推荐

热门推荐

热门推荐

热门推荐

热门推荐

热门推荐

热门推荐

热门推荐

热门推荐

热门推荐

热门推荐

热门推荐

热门推荐

热门推荐

公司刊物

加入我们

国家/地区

01-产品故障处理

目录

02-BRAS业务类故障处理手册

1 简介

2 BRAS业务故障排查思路及信息收集

2.1 总体故障排查思路

2.2 BRAS设备故障排查思路

2.3 用户信息收集

1. 收集PPPoE模块信息

2. 收集IPoE模块信息

3. 收集Portal模块信息

4. 收集L2TP模块信息

5. 收集DHCP模块信息

6. 收集AAA模块信息

1. 收集PPPoE模块信息

2. 收集IPoE模块信息

3. 收集L2TP模块信息

4. 收集DHCP模块信息

5. 收集AAA模块信息

3 BRAS业务故障处理导航

4.1 PPPoE用户上线失败和异常下线故障处理

1. 故障描述

2. 常见原因

3. 故障分析

4.2 L2TP用户上线失败和异常下线故障处理

2. 常见原因

4.3 IPoE用户上线失败和异常下线故障

1. 故障描述

2. 常见原因

3. 故障分析

4. 处理步骤

4.4 IPoE DHCP用户上线失败和异常下线故障处理

2. 常见原因