陈志勇+高飞

摘要：针对我公司互动电视、集团专线业务发展中，经常出现的用户端设备获取错误IP地址的情况，本文详细介绍了这种故障的现象、产生的原因以及解决这种故障的三个方案。这三个方案层层深入，从快速应对解决问题的方案，到用户业务接入模式向PUPSPV改变实现精细化管理的最终解决方案，都非常贴近我们网络运行、用户接入的实际情况。

关键词：IP地址；PPPOE；DHCP；EPON；OLT；ONU；QINQ

中图分类号：TP393 文献标识码：A 文章编号：1009-3044（2016）15-0028-02

随着公司有线宽带业务、互动电视业务的快速发展，网络中出现的各类故障也随之增多，其中有一类故障就是用户的终端设备无法获取正确的业务IP地址而导致的业务不通故障，本文就对这类故障的故障现象、故障原因、解决方案等几方面进行了着重介绍。

1 业务地址获取错误故障情况分析

我公司运维部门与维护技术人员配合，处理了多次因为IP地址获取错误而导致的故障，根据多次故障排除经验我们发现地址获取错误主要发生在互动业务和集团用户专线中，而一般基于PPPOE拨号或者基于WEB业面认证的业务都没有出现这样的问题，分析原因主要是因为互动业务和集团用户专线这两种业务是通过DHCP 服务器给用户终端分配IP地址的，用户终端没有获取到DHCP服务器分配的正确IP地址。分析该问题产生的原因，首先查看用户获取到的IP地址，通过获取的错误地址进行分析。在实际故障中我们发现获取的错误IP地址是“192.168.1.X”或者是“192.168.0.X”这类地址一般是用户端路由器默认分配的地址段，由于用户端路由器都有DHCP功能，而且一般用户使用路由器时此功能都是默认打开的，因此获取该类地址必定是业务使用的虚拟局域网中有非法的路由器接入，从而导致网络中相当于出现了两个DHCP服务器，用户终端设备无法获取合法的那个DHCP服务器分配的地址，就会导致实际业务连接失败无法上网。

2 故障原理分析

当有非法路由器接入时，为什么用户终端设备会接收错误的IP地址而无法接收到真正DHCP服务器分配的地址呢，接下来我们从DHCP服务器的工作原理继续分析。

如图1所示，我公司用户接入网为EPON网络方案，OLT设备放置在机房，用户端接入设备为ONU，数据信号采用FTTH（光纤入户）方式送达用户家中。

在上图中VLAN90是为用户提供互动电视业务的VLAN，用户端的机顶盒接入VLAN90通过中心机房的合法互动业务DHCP服务器获取业务IP地址。在上图中用户A、B、C都是接入在OLT的同一PON口2/1下的。用户B家中安装了无线路由器，用于宽带信号的无线接入，但是由于线路接错，将ONU上互动业务的输出端口与无线路由器的LAN口相连接。由于无线路由器具有DHCP功能，这样错误连接的结果就相当于在VLAN90中接入了一台DHCP服务器，因此当用户A家中的机顶盒接受了用户B家中无线路由器分配的IP地址就会导致互动业务故障。

用户A的机顶盒是怎样获取B用户无线路由器分配的地址的呢？因为DHCP服务器的IP地址对于用户家的机顶盒来说是未知的，因此当A用户的机顶盒加入网络后，机顶盒会以广播方式DHCP Discover报文（发现信息报文）来寻找DHCP服务器，即向地址255.255.255.255发送特定的广播信息，网络上每一台安装了TCP/IP协议的主机都会接收到这种广播信息，但只有DHCP服务器才会做出响应。

这时网络中的合法DHCP服务器和B用户的无线路由器分别都收到广播，收到广播后它们都向A用户机顶盒发送DHCP offer报文（提供信息），该报文中包含它们从各自的IP地址池中挑出的一个IP地址。机顶盒两个反馈都收到，但是由于用户A与用户B在OLT的同一PON口下，机顶盒会先收到路由器的反馈，它会将路由器分配的IP地址和给它这个IP地址的DHCP设备记录下，然后机顶盒再次广播一个DHCP request报文（请求信息），通知所有的DHCP服务器，它将选择无线路由器所提供的IP地址，无线路由器收到回复后记录分配出去的IP地址已被使用，然后再向A用户机顶盒发送一个包含它提供的IP地址和其他设置的DHCP ACK报文（确认信息），告诉机顶盒可以使用它所提供的IP地址，然后机顶盒便将其TCP/IP协议与网卡绑定。而合法DHCP服务器收到机顶盒回复的DHCP request报文后，知道它所发的IP地址未被使用，重新放回到自己的IP地址池中等待重新分配。至此机顶盒就获取到了错误的IP地址，导致了其通讯故障。

3 避免分配到错误IP地址的解决方案

3.1为终端设备填写固定IP地址+屏蔽非法路由器MAC地址。

由于安装维护人员上门维修需要为用户快速解决故障，因此如果维护人员上门维修时发现机顶盒获取的地址为非法错误IP地址时，可以将机顶盒网卡的IP地址设置方式修改为填写固定IP地址方式，然后填写上合法DHCP分配的IP地址，这样可以快速的解决故障。当然对于错误连接方式接入业务VLAN的非法无线路由器，我们需要查出它的MAC地址对其进行屏蔽。

在网络中DHCP服务器也充当着网关的作用，如果获得了非法网关地址，也就是知道了非法无线路由器的IP地址，将笔记本电脑接入网络获取错误的IP地址，如下图运行命令行程序cmd.exe，通过arp –a命令可以查出非法路由器的MAC地址。

在图2中分配IP地址的路由器IP地址为：192.168.11.1，它的MAC地址为：54：36：9b：05：c8：eb，接下来在接入设备OLT上我们配置命令：mac-address-table blackhole 54：36：9b：05：c8：eb vlan 90，将非法路由器的MAC地址加入MAC地址黑洞，OLT对源地址为该MAC地址的报文做丢弃处理，用户终端将不会再收到这台非法路由器的DHCP offer报文，这样非法接入的无线路由器就不会对其他用户端设备造成影响了。

3.2 OLT或交换机做DHCP SNOOPING配置

DHCP Snooping是一种使用在交换机等设备上的技术，它具有DHCP安全特性，通过建立和维护DHCP Snooping绑定表过滤不可信任的DHCP信息，这些信息是指来自不信任区域的DHCP信息。通过DHCP Snooping命令的配置，网络中可以有效过滤掉非法路由器的相关DHCP报文，从而确保客户端设备与真正DHCP服务器之间的通讯。

如图3，在我们的网络环境中，当OLT开启了 DHCP-Snooping功能后，它会对DHCP报文进行侦听，并可以从接收到的DHCP Request或DHCP Ack报文中提取并记录IP地址和MAC地址信息。另外，通过DHCP-Snooping功能可以将某个物理端口设置为信任端口或不信任端口，信任端口可以正常接收并转发DHCP Offer报文，而不信任端口会将接收到的DHCP Offer报文丢弃。

如图3，在OLT上开启DHCP-Snooping功能后，所有端口默认为非信任端口，合法的DHCP 服务器必须连接在信任端口中。因此我们将OLT的上行端口G2/1配置为信任端口，这样接入在PON口下的用户端设备只能与上行端口接入的DHCP服务器进行通讯，从而确保了用户端获取的IP地址是正确的。

3.3 采用QINQ技术

QINQ技术通过在以太帧中堆叠两个802.1Q报头，这样报文就具有了两层VLAN标签，有效地扩展了VLAN数目。VLAN增加后完全可以做到一用户一业务一VLAN，即实现PUPSPV（精确标识）。这样每个用户的每一业务都是唯一的一个VLAN，同一业务中的不同用户划分到了它们各自的广播域中，广播域中就用户自己，自然就不会发生DHCP报文交叉传播的问题了，用户端获取错误IP地址的问题也相应解决。

具体运用QINQ技术实现PUPSPV的话，我们可以使用内层VLAN标记小区内用户和业务类型，外层VLAN标记小区位置。内层VLAN标记由EOC终端进行标记，外层标签由分节点的汇聚交换机或OLT设备进行标记。最后进入业务接入交换机后由上层的交换机解掉外层VLAN标签，实现正常业务通讯。由于交换机、OLT的厂商不同，相应的配置方式和命令也有所差异，这里就不再具体介绍设备配置。

以上介绍了业务开展中最常见的IP地址获取错误的故障，其实地址获取错误往往就是因为网络的广播域太大，不能很好地将用户隔离所造成的，这种广播域太大的网络往往也是造成广播风暴、报文攻击、ARP攻击大范围发生的原因。因此将我们的网络改造成PUPSPV用户接入模式将有利于实现精细化管理与高效率运营的要求。

参考文献：

[1] 杨尚森.网络管理与维护技术[M].电子工业出版社，2004.

[2] 王群.计算机网络技术[M].清华大学出版社，2012.

[3] 阮晓龙，许成刚.网络构建与运维管理[M].中国水利水电出版社，2012.

[4] 雷震甲.网络工程师教程[M].3版. 清华大学出版社，2009.

[5] [美]思科公司著.思科网络技术学院教程[M].人民邮电出版社，2002.