PA小课堂第十七讲|PPPoE拨号环境下，静态IP无法上网?

你也可以很懂Panabit

Panabit小课堂专治“疑难杂症”，解决近期大家棘手的各种问题。每周定期在这里与大家见面，将一周内大家反馈最多的问题拿出来分析&解答。

遇到问题不要怕，Panabit为你来解答。

问题NO.17 如何解决PPPoE环境下,静态IP服务无法上网的故障？

问题现象

某小型运营商采用Panabit做出口网关，用Panabit的BRAS服务接入PPPoE用户，同时也是静态IP服务器的网关。管理员反映升级版本后，LAN接口下的配置静态IP服务无法上网，PPPoE拨号上网用户网络正常。

这个问题在小型运营商中较为常见，在这里将排查与解决方法分享给大家。

排查与解决方法

故障排查过程：

1、检查策略路由：设置正常，而且流控策略和连接数策略等也并未对LAN口下的IP做阻断或是限制，说明问题和策略设置无关。

2、在服务器上ping网关(Panabit的LAN口)能ping通，但是ping外网的IP不通；尝试在同一个接口上再新建一个LAN2,出现相同情况，网关可以ping通，却ping不通外网。

3、为了便于排查问题，将环境做到最简单化。使用一个空闲接口，并在这个接口上新建一个LAN3，把笔记本直接插这个接口上，但结果还是跟之前一样（如下图），只能ping通自己的网关。

4、测试到这里，小区管理员新提供一个信息：将服务器的IP地址改成Panabit管理口的IP就可以正常上网了，在这个案例中10.4.0.4是管理口IP，当将管理口IP更改成另外的IP之后，管理口IP又回到无法上网的状态。

5、从上一步的排查中可以发现，本次故障与管理口有关。这时候首选要检查“Web认证”是否被开启，结果显示确实是启用了"Web认证"，而且免认证IP里的群组设置为空IP群组（即所有IP都需要认证后才能上网）。

6、将“Web认证”关闭，笔记本和服务器等都正常上网，故障完美解决。

结论

本案例中用户所遇到的故障并不是由于升级版本导致的，更不是什么BUG，是由于用户不熟悉PA的策略设置。所以在遇到类似本案例情况的时候，可以首选排查“Web认证”是否被开启。

涨知识：

1、当“Web认证”为开启状态，所有的会话都会被阻断，用户如需浏览网页，必须在通过认证之后才可以正常上网。

2、案例中，管理员将笔记本IP改成管理口IP就能上网，是因为Panabit的Web认证是用管理口来认证的，所以说管理IP本身是不需要认证。

3、通过flow命令可以查看各模块的丢包，来判断问题所在。通过web界面的命令行输入floweye命令。

hooker list 可以看到Panabit每个模块的丢包情况，红色框框就代表的是web认证模块，如果这里的drop一直增长，表示web认证模块正在阻断某些数据包。