RTFM && WTFN - backup

User Tools

Site Tools

Trace: Быстрые заметки по Junos
qnote:junos

Differences

This shows you the differences between two versions of the page.

Link to this comparison view

Both sides previous revisionPrevious revision
Next revision		Previous revision
qnote:junos [2017/08/01 22:43] kqnote:junos [2021/08/12 08:35] (current) – external edit 127.0.0.1
Line 2: Line 2:
  
 ==== Анализ проблемы с pppoe ==== ==== Анализ проблемы с pppoe ====
- + 
 +В одном офисе перестал работать pppoe канал в интернет.\\ 
 +Со стороны провайдера было видно srx, но не проходила аутентификация.  
 + 
 +При установлении pppoe соединения маршрутизаторы общаются по протоколу [[https://ru.wikipedia.org/wiki/LCP|LCP]] - Link Control Protocol. \\  
 +Что бы разобраться в проблеме надо посмотреть обмен LCP сообщениями.  
 + 
 +Смотрим трафик на интерфейсе к которому подключен провайдер.\\ 
 +<code> 
 +root@srx> monitor traffic interface pp0.0 extensive count 100 
 +</code> 
 + 
 +Начало новой сессии, srx послылает запрос на согласование (Conf-Request) параметров (опций) подключения.  
 +<code> 
 +18:03:52.248235 Out  
 +        ... 
 +        -----original packet----- 
 +        54:e0:32:00:00:01 > 00:1e:67:00:00:02, ethertype PPPoE S (0x8864), length 36: PPPoE  [ses 37713]LCP (0xc021), length 16: LCP, Conf-Request (0x01), id 70, length 16 
 +        encoded length 14 (=Option(s) length 10) 
 +        0x0000: c021 0146 000e  
 +          MRU Option (0x01), length 4: 1492 
 +            0x0000: 05d4  
 +          Magic-Num Option (0x05), length 6: 0x5665bd0c 
 +            0x0000: 5665 bd0c  
 +</code> 
 + 
 +Провайдер согласился с предложенными значениям параметров (Conf-Ack).  
 +<code> 
 +18:03:52.268010  In  
 +        ... 
 +        -----original packet----- 
 +        00:1e:67:00:00:02 > 54:e0:32:00:00:01, ethertype PPPoE S (0x8864), length 60: PPPoE  [ses 37713]LCP (0xc021), length 16: LCP, Conf-Ack (0x02), id 70, length 16 
 +        encoded length 14 (=Option(s) length 10) 
 +        0x0000: c021 0246 000e  
 +          MRU Option (0x01), length 4: 1492 
 +            0x0000: 05d4  
 +          Magic-Num Option (0x05), length 6: 0x5665bd0c 
 +            0x0000: 5665 bd0c  
 +</code> 
 + 
 +Провайдер предложил следующую пачку опций, в т.ч. и метот аутентификации - PAP (Auth-Prot Option).  
 +<code> 
 +18:03:54.132155  In  
 +        ... 
 +        -----original packet----- 
 +        00:1e:67:00:00:02 > 54:e0:32:00:00:01, ethertype PPPoE S (0x8864), length 60: PPPoE  [ses 37713]LCP (0xc021), length 37: LCP, Conf-Request (0x01), id 2, length 37 
 +        encoded length 35 (=Option(s) length 31) 
 +        0x0000: c021 0102 0023  
 +          PFC Option (0x07), length 2:  
 +          MRU Option (0x01), length 4: 1492 
 +            0x0000: 05d4  
 +          Magic-Num Option (0x05), length 6: 0x2840ee38 
 +            0x0000: 2840 ee38  
 +          Auth-Prot Option (0x03), length 4: PAP 
 +            0x0000: c023  
 +          MRRU Option (0x11), length 4: 2048 
 +            0x0000: 0800  
 +          12-Bit seq # Option (0x12), length 2:  
 +          End-Disc Option (0x13), length 9: MAC 00:1e:67:00:00:03 
 +            0x0000: 0300 1e67 0278 27 
 +</code> 
 + 
 +SRX не согласился (Conf-Reject) с предложенными провайдером значениями папаметров,  и послал список неугодных опций.  
 +<code> 
 +18:03:54.132528 Out  
 +        ... 
 +        -----original packet----- 
 +        54:e0:32:00:00:01 > 00:1e:67:00:00:02, ethertype PPPoE S (0x8864), length 43: PPPoE  [ses 37713]LCP (0xc021), length 23: LCP, Conf-Reject (0x04), id 2, length 23 
 +        encoded length 21 (=Option(s) length 17) 
 +        0x0000: c021 0402 0015  
 +          PFC Option (0x07), length 2:  
 +          MRRU Option (0x11), length 4: 2048 
 +            0x0000: 0800  
 +          12-Bit seq # Option (0x12), length 2:  
 +          End-Disc Option (0x13), length 9: MAC 00:1e:67:00:00:03 
 +            0x0000: 0300 1e67 0278 27 
 +</code> 
 + 
 +Провайдер еще раз предлагает метот аутентификации PAP (Auth-Prot Option) 
 +<code> 
 +18:03:54.134273  In  
 +        ... 
 +        -----original packet----- 
 +        00:1e:67:00:00:02 > 54:e0:32:00:00:01, ethertype PPPoE S (0x8864), length 60: PPPoE  [ses 37713]LCP (0xc021), length 20: LCP, Conf-Request (0x01), id 3, length 20 
 +        encoded length 18 (=Option(s) length 14) 
 +        0x0000: c021 0103 0012  
 +          MRU Option (0x01), length 4: 1492 
 +            0x0000: 05d4  
 +          Magic-Num Option (0x05), length 6: 0x2840ee38 
 +            0x0000: 2840 ee38  
 +          Auth-Prot Option (0x03), length 4: PAP 
 +            0x0000: c023  
 +</code> 
 + 
 +SRX поправляет и предлагает CHAP (Auth-Prot Option).  
 +<code> 
 +18:03:54.134654 Out  
 +        ... 
 +        -----original packet----- 
 +        54:e0:32:00:00:01 > 00:1e:67:00:00:02, ethertype PPPoE S (0x8864), length 31: PPPoE  [ses 37713]LCP (0xc021), length 11: LCP, Conf-Nack (0x03), id 3, length 11 
 +        encoded length 9 (=Option(s) length 5) 
 +        0x0000: c021 0303 0009  
 +          Auth-Prot Option (0x03), length 5: CHAP, MD5 
 +            0x0000: c223 05 
 +</code> 
 + 
 +Последние два сообщения еще раз десять ходят в обе стороны и потом согласование параметров начинается заново. \\  
 +После осозная проблемы связались с провайдером и попросили переделать аутентификацию на CHAP.   
 + 
 +----
  
 ==== TCP-RST в настройках зоны безопасности ==== ==== TCP-RST в настройках зоны безопасности ====
qnote/junos.1501616591.txt.gz · Last modified: (external edit)
Donate Powered by PHP Valid HTML5 Valid CSS Driven by DokuWiki