5G通信网络优化最佳实践之5G CPE附着成功后无法访问公网网页问题分析报
告
目 录
一、 二、 三、 四、
问题描述 ........................................................................................................................... 2 分析过程 ........................................................................................................................... 2 解决措施 ........................................................................................................................... 5 经验总结 ........................................................................................................................... 6
第1页, 共6页
【摘要】深圳电信在使用CPE进行业务演示调试时发现,5G CPE可以入网,但却不能打开公网,通过对CPE进行用户跟踪、核心网侧抓包跟踪、DNS服务器侧进行分析,发现CPE从基站到核心网侧都接入正常,最终是由于数通未配通到DNS服务器的53端口,而53端口正是DNS接收和解析报文的关键端口,再数通侧将53端口的链路配通后,问题得以解决。
【关键字】5G_NR、CPE、公网业务、53端口、
一、 问题描述
在深圳电信5G NSA实验局中,CPE成功获取到核心网分配的入网IP,核心网侧UNC(DSP MMCTX、DSP SMCTX)、CGW(DSP CPPDPCTXT)、DGW(DSP UPPDPCTXT)以及用户跟踪也均显示CPE终端成功附着。但是CPE终端无法打开百度等网页,业务不能正常进行。
二、 分析过程
首先在核心网侧、终端侧ping 114.114.114.114等公网地址测试,可以ping通,根据平常入场经验可认定核心网已经完成了路由任务,不应该有问题。然后则分析DNS解析,检查CGW上DNS配置(SET APNDNS)是否正确,未解决则进入下一步。
在DGW上做用户跟踪,使用Wireshark打开pcap格式报文进行分析,看到DNS没有
回复报文,DNS解析确实有异常。
图1 DGW上用户跟踪报文
DNS服务器解析异常问题可以分别从一下几方面问题入手:
(1)DNS服务器是否故障。这里我们使用的是现网的DNS服务器,现网业务正常,排除这个可能性。
第2页, 共6页
(2)终端发的DNS包格式是否异常。CPE侧抓包,重点分析DNS报文(在Wireshark上过滤,Filter一栏中输入ip.addr == x.x.x.x[DNS服务器地址]),结论是终端侧发出的报文没有问题。
图2 CPE终端消息抓包正常
(3)有无来自基站的影响?由于终端发出的报文未发现端倪,希望进一步确定数据在到达核心网前是否就有异常,在基站与核心网对接的交换机上做端口镜像抓包。结果依然一切正常。
第3页, 共6页
图3 交换机配置端口镜像
(4)由于多个节点中的网元都未发现问题,我们重新从核心网侧分析。在DGW配置测试loopback,地址为终端地址池中的一个,去Ping DNS服务器地址,能通。
图4 DGW的loopback可ping通DNS服务器
DNS路由链路正常,但就是未解析、回复报文。由于现网DNS服务器不好抓包,再次打开DGW的用户跟踪结果发现,多条“Malformed Packet”的报文有一个共同点:都是目标端口为53的DNS解析报文。而DNS服务器正是依赖53端口来做解析的。
第4页, 共6页
图5 目标端口为53的报文显示异常
(5)梳理以上信息后,初步确认问题与核心网无关,而是在出口防火墙上出现了问题。我们决定跳过核心网,将PC直连到与FW对接的核心网EOR交换机,在交换机里同一个VRF_Internet下起一个测试Vlanif网关,网关地址和PC地址都与终端地址池同一网段,这时在PC上Ping DNS服务器地址、测试公网地址仍然能通。但在PC打开网页时,失败,故障点得到确认。
图6 测试PC直接Ping DNS服务器
三、 解决措施
实验局中核心网分配给终端的地址采用了新的地址池,数通的防火墙在做新地址网段的发布时,端口策略不正确,53端口没有配通导致DNS解析无法正常进行。在修改策略之后问题得到解决。
第5页, 共6页
5G通信网络优化最佳实践之5G CPE附着成功后无法访问公网网页问题分析报告
