一、Wireshark顯示過濾器和QinQ二層隧道簡(jiǎn)述

1．本段主要簡(jiǎn)述什么是Wireshark顯示過濾器。顯示過濾器是在現(xiàn)有的數(shù)據(jù)包中通過過濾條件，篩選想要查看的對(duì)象，不會(huì)丟失數(shù)據(jù)包，只是為了增強(qiáng)用戶閱讀而將一部分?jǐn)?shù)據(jù)包隱藏起來。在“應(yīng)用顯示過濾器”輸入框，你可以輸入顯示過濾條件，或者通過下拉顯示近期使用的過濾條件記錄，來選擇“應(yīng)用顯示過濾器”。

? ? ? ?用戶配置了顯示過濾條件之后，只有那些滿足過濾條件的數(shù)據(jù)包才會(huì)被顯示出來。使用“應(yīng)用顯示過濾器”之后，就會(huì)在Wireshark狀態(tài)欄的第二列看到使用顯示過濾器后的相關(guān)信息。

? ? ? ?如何快速創(chuàng)建顯示過濾器，在Packet List(數(shù)據(jù)包列表面板)上面右鍵，從作為過濾器、準(zhǔn)備過濾器和對(duì)話過濾器中快速生成，如下圖所示。顯示過濾器可以用很多不同的參數(shù)作為匹配標(biāo)準(zhǔn)，比如IP地址協(xié)議、端口號(hào)、某些協(xié)議頭部的參數(shù)。此外也用一些條件工具和組合運(yùn)算符創(chuàng)建出更加復(fù)雜的表達(dá)式。將不同的表達(dá)式組合起來，讓軟件顯示的數(shù)據(jù)包范圍更加精確。在數(shù)據(jù)包列表面板中顯示的所有數(shù)據(jù)包都可以用數(shù)據(jù)包中包含的字段進(jìn)行過濾顯示。

以下是常見顯示過濾器，供參考。

2．QinQ技術(shù)又稱為QinQ二層隧道(也稱Stacked VLAN 或Double VLAN)。由IEEE 802.1ad標(biāo)準(zhǔn)定義。實(shí)現(xiàn)將用戶私網(wǎng)VLAN Tag(C-VLAN)封裝在公網(wǎng)VLAN Tag(S-VLAN)中，使報(bào)文帶著兩層VLAN Tag穿越運(yùn)營(yíng)商的骨干網(wǎng)絡(luò)(公網(wǎng))。為用戶提供了一種比較簡(jiǎn)單的二層VPN隧道技術(shù)。

二、故障現(xiàn)象

? ? ? ?用戶報(bào)修4K機(jī)頂盒互動(dòng)頁(yè)面無法顯示，獲取不到互動(dòng)信令I(lǐng)P地址。排障過程抓包點(diǎn)A、B、C如下圖所示：

圖一：故障圖

三、排障過程：

1．由于OLT-2(中興C320)同一PON口下多臺(tái)HGU(默認(rèn)互動(dòng)C-VLAN是3902)下掛4K機(jī)頂盒存在類似故障，現(xiàn)場(chǎng)HUG修改互動(dòng)C-VLAN或者更換為ONU故障恢復(fù)，同時(shí)市級(jí)機(jī)房核心交換機(jī)A、B抓包點(diǎn)抓取DHCP報(bào)文分析，DHCP DISCOVER、DHCP OFFER、DHCP REQUEST、DHCP ACK報(bào)文交互過程均正常，如下圖所示：

圖一：正常DHCP交互過程

圖二：抓包點(diǎn)B抓取的報(bào)文

顯示過濾條件為：eth.addr == 70:85:40:fe:47:10

圖三：抓包點(diǎn)A抓取的報(bào)文

顯示過濾條件為：dhcp.hw.mac_addr == 70:85:40:fe:47:10

2．同時(shí)抓取A、B、C三點(diǎn)對(duì)4K機(jī)頂盒(70:85:40:fe:47:10)交互數(shù)據(jù)報(bào)文，對(duì)C點(diǎn)報(bào)文進(jìn)行分析發(fā)現(xiàn)故障圖所示橙色區(qū)域形成QinQ二層隧道，闖入MAC地址為50:bd:5f:4f:1f:04的用戶路由器DHCP服務(wù)對(duì)4K機(jī)頂盒DHCP交互報(bào)文優(yōu)先響應(yīng)，導(dǎo)致4K機(jī)頂盒與互動(dòng)信令DHCP服務(wù)器交互報(bào)文被丟棄，又因4K機(jī)頂盒DHCP交互報(bào)文攜帶option60字段，即無法獲取互動(dòng)信令I(lǐng)P地址，也無法獲取其它IP地址。

圖四：抓包點(diǎn)C抓取的報(bào)文

顯示過濾條件為：dhcp

3．依據(jù)找到的用戶路由器MAC地址順藤摸瓜，最終找到故障引發(fā)點(diǎn)，如下圖所示：HGU 4口連接用戶路由器LAN口后，引入第二個(gè)DHCP服務(wù)在QinQ二層隧道廣播，排除后4K機(jī)頂盒快速拿到互動(dòng)信令I(lǐng)P地址，恢復(fù)正常。

四、總結(jié)

? ? ? ?此次故障是由于HGU半自動(dòng)下發(fā)后內(nèi)層VLAN大量保持默認(rèn)，形成的QinQ隧道內(nèi)終端設(shè)備數(shù)量較大，有任何一個(gè)點(diǎn)上用戶錯(cuò)接，闖入DHCP等廣播報(bào)文均會(huì)引起廣播域內(nèi)寬帶、互動(dòng)故障，且故障現(xiàn)象多樣，排查難度也較大。在日常配置數(shù)通設(shè)備和維護(hù)排查過程中應(yīng)特別注意VLAN資源的平均分布，減小廣播域范圍。多學(xué)習(xí)多使用Wireshark、科來等抓包工具對(duì)一些二層環(huán)路，QinQ隧道異常報(bào)文引發(fā)的故障排查有事半功倍的作用。

本文編輯：漳州分公司

本文摘自：三明分公司

總結(jié)

以上是生活随笔為你收集整理的dhcp工具_网络分析之DHCP服务闯入QinQ二层隧道引发故障的全部?jī)?nèi)容，希望文章能夠幫你解決所遇到的問題。

如果覺得生活随笔網(wǎng)站內(nèi)容還不錯(cuò)，歡迎將生活随笔推薦給好友。