一、Wireshark显示过滤器和QinQ二层隧道简述

1．本段主要简述什么是Wireshark显示过滤器。显示过滤器是在现有的数据包中通过过滤条件，筛选想要查看的对象，不会丢失数据包，只是为了增强用户阅读而将一部分数据包隐藏起来。在“应用显示过滤器”输入框，你可以输入显示过滤条件，或者通过下拉显示近期使用的过滤条件记录，来选择“应用显示过滤器”。

       用户配置了显示过滤条件之后，只有那些满足过滤条件的数据包才会被显示出来。使用“应用显示过滤器”之后，就会在Wireshark状态栏的第二列看到使用显示过滤器后的相关信息。

       如何快速创建显示过滤器，在Packet List(数据包列表面板)上面右键，从作为过滤器、准备过滤器和对话过滤器中快速生成，如下图所示。显示过滤器可以用很多不同的参数作为匹配标准，比如IP地址协议、端口号、某些协议头部的参数。此外也用一些条件工具和组合运算符创建出更加复杂的表达式。将不同的表达式组合起来，让软件显示的数据包范围更加精确。在数据包列表面板中显示的所有数据包都可以用数据包中包含的字段进行过滤显示。

以下是常见显示过滤器，供参考。

2．QinQ技术又称为QinQ二层隧道(也称Stacked VLAN 或Double VLAN)。由IEEE 802.1ad标准定义。实现将用户私网VLAN Tag(C-VLAN)封装在公网VLAN Tag(S-VLAN)中，使报文带着两层VLAN Tag穿越运营商的骨干网络(公网)。为用户提供了一种比较简单的二层VPN隧道技术。

二、故障现象

       用户报修4K机顶盒互动页面无法显示，获取不到互动信令IP地址。排障过程抓包点A、B、C如下图所示：

图一：故障图

三、排障过程：

1．由于OLT-2(中兴C320)同一PON口下多台HGU(默认互动C-VLAN是3902)下挂4K机顶盒存在类似故障，现场HUG修改互动C-VLAN或者更换为ONU故障恢复，同时市级机房核心交换机A、B抓包点抓取DHCP报文分析，DHCP DISCOVER、DHCP OFFER、DHCP REQUEST、DHCP ACK报文交互过程均正常，如下图所示：

图一：正常DHCP交互过程

图二：抓包点B抓取的报文

显示过滤条件为：eth.addr == 70:85:40:fe:47:10

图三：抓包点A抓取的报文

显示过滤条件为：dhcp.hw.mac_addr == 70:85:40:fe:47:10

2．同时抓取A、B、C三点对4K机顶盒(70:85:40:fe:47:10)交互数据报文，对C点报文进行分析发现故障图所示橙色区域形成QinQ二层隧道，闯入MAC地址为50:bd:5f:4f:1f:04的用户路由器DHCP服务对4K机顶盒DHCP交互报文优先响应，导致4K机顶盒与互动信令DHCP服务器交互报文被丢弃，又因4K机顶盒DHCP交互报文携带option60字段，即无法获取互动信令IP地址，也无法获取其它IP地址。

图四：抓包点C抓取的报文

显示过滤条件为：dhcp

3．依据找到的用户路由器MAC地址顺藤摸瓜，最终找到故障引发点，如下图所示：HGU 4口连接用户路由器LAN口后，引入第二个DHCP服务在QinQ二层隧道广播，排除后4K机顶盒快速拿到互动信令IP地址，恢复正常。

四、总结

       此次故障是由于HGU半自动下发后内层VLAN大量保持默认，形成的QinQ隧道内终端设备数量较大，有任何一个点上用户错接，闯入DHCP等广播报文均会引起广播域内宽带、互动故障，且故障现象多样，排查难度也较大。在日常配置数通设备和维护排查过程中应特别注意VLAN资源的平均分布，减小广播域范围。多学习多使用Wireshark、科来等抓包工具对一些二层环路，QinQ隧道异常报文引发的故障排查有事半功倍的作用。

本文编辑：漳州分公司

本文摘自：三明分公司