JUNIPER ERX宽带接入服务器日常维护.docx

1、JUNIPER ERX宽带接入服务器日常维护1.概述本文档主要介绍JUNIPER BRAS服务器ERX1400硬件/软件方面的日常维护，描述了BRAS在日常运行中可能出现的故障及解决方法。本文档适合用JUNIPER产品-BAS的网络管理员，网络日常维护人员。2.硬件介绍ERX1440配置的ERX1440机框具有14个槽位，系统路由及交换模块占用中间两个槽位，其余12个槽位可以配置不同类型的接口模块。每一组接口模块有两部分组成:前卡为LINEMODULE线路模块，后卡为I/OMODULE I。前卡负责数据包的查找及转发，后卡负责各种类型的物理端口连接。ERX-1400的系统路由及交换模块 (SR

2、P) 的交换能力为10Gbps全双工。ERX-1400的路由及交换模块 (SRP) 在一台ERX上有两个，它们共享一块SRP的接口板 (SRP后板)。SRP模块主要完成系统的路由学习/系统的数据线速交换/设备状态管理及完成系统软件配置。SRP后板主要由CONSOLE端口及带外网管以太口和系统外部时钟接口等组成。 SRP同时会将一份系统软件及路由表下载到线路模块上。ERX1400的SRP以热备份方式工作即一块SRP工作在PRIMARY状态下，另一块SRP工作在SLAVE状态下，当主用SRP出现故障时，备用SRP自动取得所有的系统控制。ERX-1400的电源采用直流供电，一共有两路-48V输入，每

3、一路要求30A，两路电源按负载均担方式工作。ERX-1400的风扇系统在整个机框的顶部。接口模块的工作状态: 每一组接口模块的前卡有三个指示灯-POWER/LINK/FAIL。正常情况下只有POWER及LINK灯长亮 (绿色)。如果FAIL灯长亮 (红色) ，表明该接口模块的前卡没有正常工作，需要进一步诊断。3.常见故障及排除方法Line card 工作异常现象：FAIL 灯长亮，ONLINE灯不亮解决措施：如果用命令SHOW HARDWARE 确认该模块一直处于“booting”状态，可以用RELOAD SLOT X 将该模块重启。更换不同类型的 Line card如果安装该Line car

4、d的槽位以前安装过不同类型的模块，则新安装的模块不能被系统识别，需要用以下命令进行恢复：SLOT ERASE （注意：该命令同时将相关的软件配置擦除）SLOT ACCEPT用户无法拨号一般在排除接入部分的问题后，在BRAS上可能的原因有：1BRAS地址池耗尽，用命令 SHOW IP LOCAL POOL 确认。2用户账号被锁，用 TEST AAA USERNAME USERPASSWORD确认。3拨号软件工作异常。无法用TELNET 远程登陆BRAS可能的原因有：默认的VTY端口被占满。用CLEAR LINE 使某个连接断开。系统受到TCP SYN 攻击。可以用SHOW IP TRAFFIC

5、确认是否系统受到大量TCP SYN ，如果是可以通过访问列表（ACL）来控制非法的TCP连接。定义ACL:IP Access List admin: permit ip 202.103.219.64 0.0.0.31 any permit ip 202.103.227.192 0.0.0.63 any permit ip host 192.168.0.254 any permit ip host 202.103.224.74 anydeny ip any any应用ACL在vty 上:进入line vty 0 4access-class admin in4. JUNIPER BRAS 常用命令

6、1.SHOW HARDWARE 检查系统硬件的工作状态2.SHOW ENVIRONMENT 检查系统运行环境ERX_zhenhai#sho enPlease wait。 chassis: 14 slot (id 0x3， rev。 0x0) fabric: 10 Gbps (rev。 8) fans: ok nvs: ok (488MB flash disk， 28% full) power: A ok， B ok srp redundancy: switch-on-error enabled， auto-sync enabled， in sync slots: ok online: 1 4

7、6 10 standby: 7 empty: 0 2 3 5 8 9 11 12 13 line redundancy: none temperature: ok timing: primary primary: internal SC oscillator (ok) secondary: internal SC oscillator (ok) tertiary: internal SC oscillator (ok) auto-upgrade enabled system operational: yes3.SHOW SUBSCRIBERS SUMMARY 检查在线的用户4.SHOW SUB

8、SCRIBERS USERNAME zh86294722 检查特定用户(用户名/IP ADDRESS/ATM PVC 等。5.SHOW UTILIZATION（SHOW PROCESS）观察系统资源利用情况6.SHOW ATM VC ATM 10/0 151022 检查某个特定的PVC 工作状态7.SHOW ATM VC 检查所有PVC 工作状态8.SHOW IP ROUTE | INCLUDE ATM10/0 检查从端口ATM10/0拨号上来的上的IP 路由(可以统计该端口的在线用户)9.SHOW PPP INTERFACE 检查PPP端口的工作状态: DOWN表示该端口上目前无拨号用户，U

9、P为该端口上有一个拨号用户10.sh pppoe int atm 10/2。1830 观察PPPOE的会话过程中的数据包统计11.Show ip local pool 12.COPY RUNNING-CONFIG ZHENHAI。CNF 将运行配置拷贝道FLASH上名为ZHENHAI。CNF的文件 (注意: *。 CNF为二进制文件) COPY RUNNING-CONFIG TEST:/BACKUP。CNF 将运行配置COPY到主机名为TEST的FTP服务器上，文件名为BACKUP。CNF13.在BRAS上建立主机TEST(需进入CONFIG模式): host TEST 1。1。1。1 ftp

10、 anonymous 163 1。1。1。1 为远端FTP SERVER 地址。14.RELOAD 系统重起。15.LOGOUT SUBSCRIBER ALL USER 将所有部分拨号用户强行断开连接16.在BRAS上增加ADSL 用户端口(PPPOE拨号):1.进入配置模式 CONFIG T2.创建ATM子接口 INTERFACE ATM 10/0。1520003.建立PVC ATM PVC 152000 15 2000 AAL5SNAP4.将ATM子接口的封装设为PPPOE ENCAP PPPOE5.创建ATM子接口的子接口 INTERFACE ATM10。0。152000。16.将该子接

11、口的封装设为PPP ENCAP PPP7.启动PPP的PAP认证 ppp authentication pap8.配置该子接口默认属性 profile any zhenhaiERX700/ERX1400配置及故障诊断(1)本文主要分为三部分：系统部分描述的是软件升级以及硬件诊断及故障处理、配置部分总结了常用的ERX上不同业务的相关配置，同时对可能出现的配置故障行了分析，提供了相关的解决方法、安全部分是有关ERX安全防范配置。所有描述的配置内容来源于ERX配置手册，如果有不一致的地方以ERX配置手册为准。1 系统部分1.1 ERX模块工作状态描述ERX的模块主要有SRP和line module及

12、i/o module组成，工作状态描述的是SRP和line module的运行情况。正常情况下除了备用的SRP状态是standby以外，所有模块的工作状态应为online。通过show version 可以得到各个模块的工作状态：ERX-1400-CN#show versionJuniper Edge Routing Switch ERX-1400Copyright (c) 1999-2003 Juniper Networks, Inc. All rights reserved.System Release: erx_5-0-3.rel Version: 5.0.3 release-0.0 B

13、uildId 1625 (December 30, 2003 17:41)System running for: 6 days, 16 hours, 16 minutes, 18 seconds (since WED JUL 07 2004 18:40:26 UTC) running slot state type admin spare release slot uptime- - - - - - -0 - - - - - - 1 inactive GE enabled - erx_5-0-3.rel 6d16h:11m:16s2 - - - - - - 3 online FE-8 enab

14、led - erx_5-0-3.rel 6d16h:11m:17s4 hardware error OC3/OC12/DS3-ATM enabled - erx_5-0-3.rel - 5 - - - - - - 6 online SRP-10Ge enabled - erx_5-0-3.rel 6d16h:14m:48s7 standby SRP-10Ge enabled - erx_5-0-3.rel - 8 not present OC3-4A enabled - erx_5-0-3.rel - 9 - - - - - - 10 - - - - - - 11 not responding

15、 OC3/OC12/DS3-ATM enabled - erx_5-0-3.rel - 12 - - - - - - 13 online GE enabled - erx_5-0-3.rel 6d16h:11m:17s以下是对各个工作状态的描述： Inactive，通常是由于该槽位的i/o module 未连接引起的。 Hardware error ，这表明该line module 没有通过上电自检，一般是该模块有硬件问题，通过硬件诊断可以得到log申请case（步骤见下节）。 Not present ，如果原先正常工作的line module 被拔离该槽位会出现该状态。通过配置模式下的slo

16、t erase x 可以将该信息清除。（操作前需确认板卡是否在槽位上） Not responding，通常是SRP无法与该line card 建立控制连接通道，可能是line card 有故障，可以通过操作模式下的reload slot x 对该模块重启，如果故障依旧，需要通过硬件诊断确认。需要注意的是slot erase x 会同时清空相关槽位的所有配置，应用之前需要确认。而reload slot x 只是将某个line card 进行重启操作，不会影响配置文件。1.2 如何对LINE MODULE 实施硬件诊断板卡在工作时出现异常，如果无法通过重启/更换槽位等方法恢复工作时，只有通过更换新

17、的模块。通过硬件诊断可以得到模块的故障信息。在所有line card和SRP上都有一个RJ45的接口，诊断时需要将console线连接到该接口上。ERX 的console线由一根直通网线（蓝色）以及两个DB-9 到RJ45的转换接头（cross over和strait through 各一个）组成。进行硬件诊断用的console线需要一根直通网线及一个crossover 的DB-9 到RJ45的转换接头。首先将terminal调整到19.2kbps，打开termial的日志功能，将需要诊断的模块重机框中拔出，连接console线后将模块插回机框。此时该linecard 进行上电自检，当出现倒计

18、数时键入空格键，terminal会提示：2/1/0? 选择0，该line card 将刷新板卡上的flash（内含系统软件）。正常情况下，linecard 会启动到 boot#提示，同时linecard上的online等点亮，表明该linecard通过诊断已经恢复工作。该过程需要耗时3分钟左右。如果linecard通过上述诊断最终出现fail灯常亮，表明该模块有硬件故障，取得日志文件后申请返修。除了对板卡进行硬件诊断外，我们还可以通过show reboot-history可以迅速了解模块故障或重启的原因：ERX-1400-CN#sh reboot* Entry 1 *time of reset

19、: THU JUL 08 2004 16:47:18 UTCrun state: unknownimage type: bootlocation: slot (4)build date: 0x3ff1aed1 TUE DEC 30 2003 16:58:57 UTCreset type: user reboot, task scheduler, reason not specified* Entry 2 *time of reset: THU JUL 08 2004 16:45:36 UTCrun state: unknownimage type: bootlocation: slot (4)

20、build date: 0x3ff1aed1 TUE DEC 30 2003 16:58:57 UTCreset type: power cycle观察某个linemodule 的reset type，如果出现反复重启并且是“power cyclye”那么可能是该linecard 与机框接触不良，或者是由于该linecard上的DC-DC模块出现故障。前者可以通过更换槽位，如果更换之后同样出现类似的log表明该模块的电源模块有问题，直接提起返修即可。1.3 软件升级问题及系统配置的恢复ERX的系统软件是存放在内部flash上的一个单一的.rel文件。该文件通过ftp方式从ftp server上

21、拷贝后生成。在ftp server上的升级文件由一个xxx.rel文件（例如erx-5-0-3.rel）和多个.exe文件组成，该.rel文件是一个索引文件，内部描述了所有模块软件（subsystem）的名称和大小，通常情况下我们不能对该文件修改。默认情况下我们得到的升级文件包含支持各个类型linecard的模块文件,同时在ftp 拷贝生成ERX flash上的.rel系统软件也包含了所有subsystem，该.rel就是一个full 版本的系统软件。Full 版本占用的flash 空间较大，系统启动加载需要的时间也较长。我们可以通过生成partial 版本的.rel系统文件来减少启动时间。目

22、前在ERX上使用较多的linecard有：oc3/oc12-atm、ge/fe它们分别支持4端口oc-3-atm/1端口oc-12-atm 和1端口ge/8端口fe i/o module 。所以在拷贝时我们可以不需要加载oc3、coc12、dpfe等subsystem模块软件。在配置模式下配置exclude-subsystem可以实现：exclude-subsystem ct3exclude-subsystem ut3aexclude-subsystem ut3fexclude-subsystem ct1exclude-subsystem oc3exclude-subsystem dpfeex

23、clude-subsystem oc12pexclude-subsystem oc3-4pexclude-subsystem oc3-4aexclude-subsystem coc12exclude-subsystem ct3-12exclude-subsystem oc12s通常在进行ftp拷贝时会得到如下提示：“copy source not valid”，一种可能是由于ftp server 的帐号设置和erx上的host 配置不匹配引起的，另外如果需要拷贝的subsystem文件在ftp server上不存在也可能引起该现象。如果ERX上有两个SRP，在reload 之前必须进行同步操作

24、：ERX-1400-CN#synchronizePlease wait.ERX-1400-CN#虽然此时ERX提示同步完成，我们必须通过show utilization进行确认。当standby的SRP的利用率为0时才表明同步操作真正完成，可以进行重启了为了确保新软件的正常运行，一般建议通过reload slot x 将standby的SRP先进行重启（不影响业务，耗时3分钟左右），此后如果show version 显示新的软件已经被备用SRP运行，说明软机没有问题，此时可以重启主用的SRP。升级失败的对策：主要现象是SRP一直在启动状态，且业务中断。如果有两块SRP可以尝试将有问题的SRP拔

25、出机框,即强行切换到备用SRP的方式进行恢复。如果只有一块SRP那么只能通过如下方式和顺序进行恢复： 重启SRP（关电/插拔均可） console出现倒计数时键入mb，强行进入boot 模式 用出厂配置尝试重启：boot#boot configure factory-defaults 然后boot#reload。 如果系统启动成功并且是新的软件版本说明配置文件有问题，此时可以通过配置恢复方式（见以下相关配置）进行配置恢复。 如果出厂配置时系统仍启动失败表明新的系统软件有问题或者flash有故障。 尝试恢复到以前的软件版本：boot# boot system old.rel 然后重启。 如果启动

26、失败则我们不得不需要对flash进行初始化操作：boot#flash-disk initilize 格式化flashboot#ip address x.x.x.x x.x.x.x 配置以太口(SRP I/O 上)ipboot#host test x.x.x.x ftp 配置hostboot#copy test:/erx-x.rel erx-x.rel 重传系统软件 然后重启后恢复配置。系统配置的恢复：方法一、将f拷贝到flash上，在配置模式下boot configure f once 然后重启。方法二、将backup.scr拷贝到flash上，在操作模式下，通过 configure file

27、 backup.scr恢复系统配置。方法一速度较快但需要重启系统，方法二不需重启系统但是需要确保所有模块已经处于online状态才可以进行恢复。软件升级的步骤： 备份配置：host ftpserver x.x.x.x ftp xxx xxx 配置 hostcopy running-configure fshow config backup.scrcopy f ftpserver:/fcopy backup.scr ftpserver:/backup.scr 从ftp server拷贝系统软件到erx的flash上copy ftpserver:/erx-5-0-3.rel erx-5-0-3.r

28、el 在配置模式下指定新软件boot system erx-5-0-3.rel 在操作模式下进行配置同步synchronize 重启备用SRPreload slot x x 是备用SRP的所在的槽位 重启主用SRP（此时业务中断，时间在515分钟）reload slot x x是主用SRP的所在的槽位设备升级正常但是拨号业务无法恢复：现象是大部分拨号用户无法进行拨号连接（提示用户名口令错），这可能是由于在重启erx时大量的拨号用户在线但是erx没有及时发出拆线记录（例如突然断电重启erx）,这样在radius上这些用户都还处于连接状态，同时radius对用户帐号进行了限制，同一帐号只允许一个s

29、ession。用以下命令可以观察到radius server拒绝了大部分用户的连接请求：base radiusshow radius statistics deltaSZ_ERX1400_LQF#show radius statistics delta RADIUS Authentication Statistics - Statistic 202.102.13.66- -UDP Port 1812 Round Trip Time 1 Access Requests 15200Rollover Requests 0 Retransmissions 0 Access Accepts 0 Acce

30、ss Rejects 15200Access Challenges 0 Malformed Responses 0 Bad Authenticators 0 Requests Pending 0 Request Timeouts 0 Unknown Responses 0 Packets Dropped 0 解决的方法是通知radius管理员清除这些用户的拨号记录(可以按照radius client 的地址进行清除)。ERX700/ERX1400配置及故障诊断(2)2 配置部分2.1 拨号配置（出现NO SERVICE时的处理）atm 拨号端口典型配置：interface atm 12/0atm clock internal chassisatm vc-per-vp 4096atm oam flush!interface atm 12/0.332 point-to-pointatm pvc 332 3 32 aal5snap 0 0 0encapsulation pppoepppoe acName