網絡環境

用戶的無線、有線，通過接入回傳至BRAS，由BRAS統一認證

認證為 MAC優先+Protal，無線網絡為Open，由BRAS下發地址，並認證

大致網絡結構如下:

兩臺BRAS，主備部署；

與核心互聯為二層用戶接口，同時承載用戶側VRRP；

故障現象

主、備兩臺BRAS，同時承載用戶上行流量（備機約莫一半上行流量）

在核心交換處可以看到BRAS的虛擬網關MAC出現漂移，業務側正常

777482a4b35d4aae1a19363fe50e3991

故障分析

核心為純二層轉發，所以懷疑為備機以虛擬mac，發送瞭相關報文，致使核心從連接備機接口學到該網關虛mac

故而將用戶流量轉發至備機，於是計劃通過抓包分析

第一次抓包

由於核心為100G端口，抓包難度較大，BRAS間橫連為10G，於是將備機連接核心端口通過鏡像方式導至10G端口，通過Linux服務器抓包；

抓到首包為BRAS發送的http(s) 重定向報文；

向前追溯為核心發送UDP單播流至BRAS備機；

HW研發認為BRAS無異常，為J記的核心交換機問題，主動給BRAS備機發送報文，備機正常觸發http重定向

反饋；關閉備機重定向規避；

運維組討論後一直認為，核心交換，正常遵循交換機制轉發，無異常；

應為BRAS某個機制或者BUG導致；

要求HW提供備件，插入核心與BRAS之間，繼續復測（HW研發提出J記設備他們無法協助定位）

二次抓包

等待備件期間，還是懷疑為BRAS問題，應該為BRAS主動發送瞭某個ARP，或者其他的廣播/單播報文，導致核心側學到網關虛mac，故而將用戶流量轉發至備機；

調來一臺40/100G交換機，將核心40/100G端口轉換為10G，從核心處鏡像流量至抓包服務器；

再一次抓包發現，備機向連接核心的用戶側接口，發送DHCP廣播報文

至此確認為BRAS備機主動發送源mac為網關虛mac廣播報文，導致核心從BRAS備機接口學到網關虛mac，從而將用戶流量轉發至備機；

為什麼後續流量一直飆高？

如果僅一個DHCP廣播包，應該一會網關mac會被從主機側學到的mac 刷新掉才是；

回到前面提到的我們的認證方式為Portal，如果由部分用戶沒有認證通過，會由BRAS重定向至Portal頁面進行認證；

此時隻要該服務服務VLAN內有用戶未認證，會在BRAS備機出現http重定向，導致網關虛mac，來回漂移；

開始抓包