https://www.v2ex.com/t/958813

我就知道你没有做 ntp 时间校准

技术方案：
1.简单一点：深信服上网行为管理之类的带上网行为管理的
2.你探索一下在网关实现 泛域名屏蔽，需要把
• *.bilibili 二级域名
• cdn 的二级域名（可能是带省份的 cdn.bj 之类的）你抓一下
• 可能用于 p2p 打洞的 bilibili 二级域名
• webrtc 二级以下域名
基本就没问题了
建议一劳永逸，迟早得换高级网关。

我现在非常赞成你 op 的想法，一打开看见什么小 lin 说，她可是什么都不敢说啊！还有都是蹭爱国饭的，误国哉。
vlog 之类的还凑合，比如什么维修撕、城阳电工。
资本操作着价值观，矫揉造作纸醉金迷，05 后还没受社会毒打，吃着家长饭，接受着资本/民粹主义的价值观，真是痛心痛心！

搞个大新闻！第一次听说上外边导致限速！
要不你再问问你的装维师傅？
这么判断上的外网？
协议判断运营商能做得到倒是，大不了改改协议。
只不过没想到运营商给用户做起了安防，混淆手段如今用在了这里。
如果运营商直接看外联 IP 怎么着也绕不过去。

@Oa #20
哦！以前确实行... 我这边联通以前这么干过。
现在... 运营商检测 pcdn 都能上 greatwall 技术，时代在进步（笑）

@Kimble #19
我看了眼我们单位交换机的配置手册，确实没有用过这种技术，不过我还是蛮喜欢看交换机文档的，有现成的拓扑事例。
qinq 两层 tag ，外层 tag 我看了拓扑，作用大约同楼上专家仁兄说的差不多，就是一种传输选路功能。
我不太关心运营商各大交换机各机房如何选路之类的话题（内部传输细节），到达 bars 之前的选路，qinq 的外层 tag 总会被剥去，最终还是和用户侧一样的 tag （当然可能还会有 vlan-mapping 之类，可能数字不一样而已）。
我比较关心的话题还是... 这个光猫的 sn 绑定，是如何带着 sn 上传到 bars 认证服务器的，这个滴。

@nkloveni #16
棒，第一次了解到 pppoe+这个概念，材料甚少。
我认为 olt 插入 sn 编码的信息，就是最现实，最可行，最低成本的方案。
qinq 本身只是一种以太网 vpn 技术，说白了就是二层选路。就像负载均衡一样。
我不认为运营商会通过 qinq 技术调度到 bars 认证服务器，外层 tag 不太可能与光猫 sn---宽带账号绑定做关联。
qinq 技术本身只有两层 tag ，每过交换设备，根据业务选路逻辑外层 tag 可能在选路过程中变化。

@nkloveni 我先阅读，先谢为敬。

@Tianao 再请教大哥
我不知道我理解是否准确，onu 和 olt 通信是自有协议，到 olt 到交换机一侧总要剥离出以太网（二层）帧，然后可能有复杂的双层 tag qinq 类似的 vpn 技术包裹二层帧，暂时假设为 ppp 拨号帧，这个外层帧 tag 代表特定光猫？特定哪一户？然后下一步一直到 bras 认证服务器，到了这里似乎已经全部剥掉 tag 了？恕我糊涂，目前还是不知道怎么把光猫的 sn ？或者等价于 sn 的（光猫） qinq 的外层 tag ？传播到 bras 的

您指的是 qinq 的外层 tag 每个用户都不一样，这个 tag 和光猫是 1 对 1 的关系吗？（用于后续认证做用户判断）

@lcy630409
仁兄 你指的是两条宽带 vlan 在用户侧（光猫）不一样？
透传 用的是 ikuai ？ 不同的 vlan id ？
我感觉如果是这样，可能两条宽带业务不一样，也许你的宽带一条专线一条家宽，所以 vlan 不一样。

@lcy630409 是的 一个 pon 口下的分光器分出来的，毕竟就是一个楼道

@Tianao
@Kimble
#2 #6
感谢回复！复杂，我好好学习一下。

@Kimble emm... 我感觉 olt 测配的不管是双层 vlan 做数据隔离，上行最终目的地的 vlan 应该是一样的吧？难道一组（几十个）用户一个 pppoe 服务器所在的 vlan ？多个 pppoe 服务器？不同服务器数据库只保存了这部分用户的认证信息？

@Kimble 你指的是双层 vlan ，qing ？
这个协议也算通用协议了，一般交换机其他场景也用。
olt vlan 怎么传似乎是黑盒，但用户侧 vlan 都是一样的。
我确定 vlan 是通的，至少 iptv vlan 下上行 igmp 能在单独的下行组播 vlan 上接到数据。69 管理 vlan 是同一个 vlan 。

@Tianao 感谢回复，先致谢为敬！
话说 OMCI 真的能识别解析 ppp 数据包？
粗略 Google 了一下，我感觉这个协议是基础协议，用来实现各光猫分时上行 下行广播的基础保障协议？
贴一个比较通俗的文档： https://wiki.mbalib.com/wiki/OMCI

闷声发大财！你这么一说...不就...

@onion83 #12 哈哈哈！感谢回复！您是有专家见解的普通用户。
利用 icmp 出网我得好好查一下！ https://www.freebuf.com/articles/web/385138.html
哈哈哈！直接到 freebuf 了
目前我这边华北地区移动，PING 也不行了，哎！划分的网段掩码是/16 大网，arp 表看不见不互通！向上可以通。
在配置光猫的 NTP 时间服务器时候发现的，毕竟掐了 tr069 网管，时间就同步不了了，我一直 pon 镜像等不到 ntp 数据包。。。
等的受不了了去探测网段去了！在 ITMS 的同网段发现了 ntp 时间服务器。
同网段有一点菊花厂交换机、VMware 虚拟化的一些服务器、ITMS 、NTP 。
因为都是非加证书的口子，忌惮流量探针。什么也没干。

@limerence1212
补充 还是上一个 v2 贴
#26 看了下老家的线路，前一条命令只输出一个 success!
后一条命令输出 5 条都是四十多的 vlan 记录， 记得只有 41 或 46 是上网的 vlan ， 不知道其它几个是什么。
光猫是很老的单网口千兆光猫。

我觉得需要注意下猫，猫是定制产品，也许有的数据类型不透传。也有可能有的 vlanid 数据不透传。

比如我这边组播 vlan ，不透传，只有指定到组播 vlan 里才会透传。事实上组播 vlan 也是个普通 vlan ，和 IPTV 业务 vlan 宽带 vlan 一样都是独立 vlan ，他不传就是光猫里写死的逻辑。
在实际运用中，如果使用猫棒会把组播 vlan ，在 trunk 口进行 vlanmapping 映射，到 IPTV vlan ，因为组播是个单向 vlan 。

总之，光猫确实会有自己的逻辑，不主动透传所有数据包。

@limerence1212 https://v2ex.com/t/974758
的贴子
#18 菊厂的猫，只要 loid 对了，去 telnet 里敲个命令就能把局端下发数据流的 vlanid 都拉出来。
#21 get poncnt upgemport
display flow id all
根据这两条命令似乎有如下帖子
https://www.cnblogs.com/geyee/p/15929913.html

https://www.zhangtaidong.cn/archives/17/
您可以搜索以继续尝试。

我可能关注点和您不太一样，我关注一些特殊业务 VLAN ，比如企业宽带之类的不太可能单独拉线，可能就是另一个 vlan id 就实现了接入。