一、Wireshark顯示過濾器和QinQ二層隧道簡述

1．本段主要簡述什么是Wireshark顯示過濾器。顯示過濾器是在現有的數據包中通過過濾條件，篩選想要查看的對象，不會丟失數據包，只是為了增強用戶閱讀而將一部分數據包隱藏起來。在“應用顯示過濾器”輸入框，你可以輸入顯示過濾條件，或者通過下拉顯示近期使用的過濾條件記錄，來選擇“應用顯示過濾器”。

? ? ? ?用戶配置了顯示過濾條件之后，只有那些滿足過濾條件的數據包才會被顯示出來。使用“應用顯示過濾器”之后，就會在Wireshark狀態欄的第二列看到使用顯示過濾器后的相關信息。

? ? ? ?如何快速創建顯示過濾器，在Packet List(數據包列表面板)上面右鍵，從作為過濾器、準備過濾器和對話過濾器中快速生成，如下圖所示。顯示過濾器可以用很多不同的參數作為匹配標準，比如IP地址協議、端口號、某些協議頭部的參數。此外也用一些條件工具和組合運算符創建出更加復雜的表達式。將不同的表達式組合起來，讓軟件顯示的數據包范圍更加精確。在數據包列表面板中顯示的所有數據包都可以用數據包中包含的字段進行過濾顯示。

以下是常見顯示過濾器，供參考。

2．QinQ技術又稱為QinQ二層隧道(也稱Stacked VLAN 或Double VLAN)。由IEEE 802.1ad標準定義。實現將用戶私網VLAN Tag(C-VLAN)封裝在公網VLAN Tag(S-VLAN)中，使報文帶著兩層VLAN Tag穿越運營商的骨干網絡(公網)。為用戶提供了一種比較簡單的二層VPN隧道技術。

二、故障現象

? ? ? ?用戶報修4K機頂盒互動頁面無法顯示，獲取不到互動信令IP地址。排障過程抓包點A、B、C如下圖所示：

圖一：故障圖

三、排障過程：

1．由于OLT-2(中興C320)同一PON口下多臺HGU(默認互動C-VLAN是3902)下掛4K機頂盒存在類似故障，現場HUG修改互動C-VLAN或者更換為ONU故障恢復，同時市級機房核心交換機A、B抓包點抓取DHCP報文分析，DHCP DISCOVER、DHCP OFFER、DHCP REQUEST、DHCP ACK報文交互過程均正常，如下圖所示：

圖一：正常DHCP交互過程

圖二：抓包點B抓取的報文

顯示過濾條件為：eth.addr == 70:85:40:fe:47:10

圖三：抓包點A抓取的報文

顯示過濾條件為：dhcp.hw.mac_addr == 70:85:40:fe:47:10

2．同時抓取A、B、C三點對4K機頂盒(70:85:40:fe:47:10)交互數據報文，對C點報文進行分析發現故障圖所示橙色區域形成QinQ二層隧道，闖入MAC地址為50:bd:5f:4f:1f:04的用戶路由器DHCP服務對4K機頂盒DHCP交互報文優先響應，導致4K機頂盒與互動信令DHCP服務器交互報文被丟棄，又因4K機頂盒DHCP交互報文攜帶option60字段，即無法獲取互動信令IP地址，也無法獲取其它IP地址。

圖四：抓包點C抓取的報文

顯示過濾條件為：dhcp

3．依據找到的用戶路由器MAC地址順藤摸瓜，最終找到故障引發點，如下圖所示：HGU 4口連接用戶路由器LAN口后，引入第二個DHCP服務在QinQ二層隧道廣播，排除后4K機頂盒快速拿到互動信令IP地址，恢復正常。

四、總結

? ? ? ?此次故障是由于HGU半自動下發后內層VLAN大量保持默認，形成的QinQ隧道內終端設備數量較大，有任何一個點上用戶錯接，闖入DHCP等廣播報文均會引起廣播域內寬帶、互動故障，且故障現象多樣，排查難度也較大。在日常配置數通設備和維護排查過程中應特別注意VLAN資源的平均分布，減小廣播域范圍。多學習多使用Wireshark、科來等抓包工具對一些二層環路，QinQ隧道異常報文引發的故障排查有事半功倍的作用。

本文編輯：漳州分公司

本文摘自：三明分公司

總結

以上是生活随笔為你收集整理的dhcp工具_网络分析之DHCP服务闯入QinQ二层隧道引发故障的全部內容，希望文章能夠幫你解決所遇到的問題。

如果覺得生活随笔網站內容還不錯，歡迎將生活随笔推薦給好友。