一月一事消滅最差活動匯報

江蘇公司W(wǎng)LAN組網(wǎng)情況骨干網(wǎng)南京骨干節(jié)點無錫骨干節(jié)點省網(wǎng)出口省網(wǎng)出口ACAP城域網(wǎng)核心DNS域名解析PORTAL門戶頁面RADIUS認(rèn)證平臺省網(wǎng)平臺ACAP城域網(wǎng)核心NATNAT分配私有IP地址分配公有IP地址

江蘇省內(nèi)WLA用戶分配包括公網(wǎng)IP地址和私有IP地址兩種方式，其中私有IP地址用戶量占比約60%，私有IP地址通過城域網(wǎng)出口NAT防火墻轉(zhuǎn)換后訪問互聯(lián)網(wǎng)業(yè)務(wù)。江蘇省內(nèi)高校WLAN用戶通過省內(nèi)認(rèn)證平臺認(rèn)證，隨E行WLAN用戶通過集團平臺認(rèn)證。RADIUS/Portal認(rèn)證平臺集團平臺第1頁/共16頁第一頁，共17頁。WLAN認(rèn)證成功率提升背景問題：高校WLAN投訴偏高

隨著9月份開始高校WLAN用戶快速增長，高校WLAN用戶投訴量較前期有大幅上升。對9月份WLAN的投訴分析：認(rèn)證問題占比21%，較前期明顯上升。9月份高校WLAN含用戶原因認(rèn)證成功率為64.50%。第2頁/共16頁第二頁，共17頁。目錄WLAN認(rèn)證成功率提升背景

高校WLAN認(rèn)證成功率提升

隨E行WLAN認(rèn)證成功率提升第3頁/共16頁第三頁，共17頁。高校WLAN認(rèn)證成功率專項提升措施高校WLAN認(rèn)證成功率提升二五三四一研究部署AC與用戶間二層網(wǎng)絡(luò)安全加固措施，提高業(yè)務(wù)可用性改進PORTAL與私用IP地址用戶交互機制，提高用戶接入成功率細(xì)化報錯內(nèi)容提示，引導(dǎo)用戶正確使用，改善業(yè)務(wù)感知優(yōu)化PORTAL系統(tǒng)默認(rèn)參數(shù)，提升用戶并發(fā)接入能力完善WLAN認(rèn)證系統(tǒng)冗災(zāi)機制，增強業(yè)務(wù)穩(wěn)定性第4頁/共16頁第四頁，共17頁。高校WLAN業(yè)務(wù)流程分析高校WLAN認(rèn)證平臺包括RADIUS和PORTAL兩部分，經(jīng)過抓包分析Radius認(rèn)證質(zhì)量正常（黃色部分）,影響用戶認(rèn)證質(zhì)量的部分包括：用戶與AC間的交互用戶或AC與Portal系統(tǒng)間的交互過程，尤其分配私有IP地址用戶與portal間的交互問題突出。DHCP地址分配第5頁/共16頁第五頁，共17頁。9月份江蘇高校WLAN遷移至省內(nèi)認(rèn)證后，晚忙時出現(xiàn)用戶無法認(rèn)證的投訴，分析發(fā)現(xiàn)PORTAL系統(tǒng)TCP半連接數(shù)量偏高，同時系統(tǒng)負(fù)荷偏高。經(jīng)過統(tǒng)計接入用戶數(shù)量，發(fā)現(xiàn)用戶連接請求數(shù)量超過操作系統(tǒng)默認(rèn)設(shè)置。分析操作系統(tǒng)默認(rèn)TCP參數(shù)設(shè)置，發(fā)現(xiàn)總體連接數(shù)量參數(shù)默認(rèn)設(shè)置不合理，參考話務(wù)模型評估系統(tǒng)處理后對相關(guān)參數(shù)進行調(diào)整，PORTAL系統(tǒng)并發(fā)能力有效提升。措施（一）—優(yōu)化PORTAL系統(tǒng)默認(rèn)參數(shù)，提升用戶并發(fā)接入能力參數(shù)名稱系統(tǒng)默認(rèn)值優(yōu)化后參數(shù)值tcp_conn_req_max_q1284096tcp_conn_req_max_q040968192tcp_time_wait_interval24000030000tcp_fin_wait_2_flush_interval67500067500PORTAL系統(tǒng)TCP連接數(shù)為系統(tǒng)關(guān)鍵參數(shù)，決定了系統(tǒng)實際處理能力，通過優(yōu)化系統(tǒng)默認(rèn)參數(shù)，有效提升了系統(tǒng)并發(fā)處理能力第6頁/共16頁第六頁，共17頁。措施（二）—改進PORTAL與私用IP地址用戶交互機制，提高接入成功率（1）統(tǒng)計高校WLAN用戶投訴，發(fā)現(xiàn)私有地址用戶認(rèn)證成功率遠(yuǎn)低于公有地址用戶，通過分析認(rèn)證流程，發(fā)現(xiàn)AC和PORTAL配合存在隱患：AC機制：當(dāng)用戶正常發(fā)起強制推送時，將會為公有IP地址用戶插入ACNAME參數(shù)；對私有IP地址用戶插入userip、ACNAME參數(shù)；當(dāng)用戶直接輸入認(rèn)證URL、使用收藏頁面時，AC對公有、私有IP地址用戶均不插入任何參數(shù)，提交portal。省內(nèi)portal設(shè)置了session保持機制，用戶點擊下線后認(rèn)證頁面刷新至登陸頁面，用戶無需再次打開新瀏覽器。第7頁/共16頁第七頁，共17頁。問題一：私有IP地址用戶直接輸入認(rèn)證URL，或使用收藏頁面，頁面打開正常，但認(rèn)證提示失敗分析：私有IP地址用戶通過NAT轉(zhuǎn)換訪問portal后，portal將直接用NAT后的源公有IP地址反填作為userip，AC將會校驗失敗。問題二：私有IP地址用戶的更換IP地址后（無線信號斷連，或重啟無線網(wǎng)卡），在同一瀏覽器下即使強制推送頁面，也無法認(rèn)證通過分析：終端只用同一瀏覽器與portal交互，portal側(cè)顯示為同一session，在保持時間內(nèi)，將使用原有session中userip地址反填，AC將校驗失敗。私有IP地址用戶認(rèn)證隱患優(yōu)化措施增加對ACNAME校驗：如果用戶交互信息無ACNAME，portal將不再進行后續(xù)交互，并提示用戶“請不要使用收藏頁面、直接輸入認(rèn)證URL”進行認(rèn)證；去除Session會話保持機制。同時下線自動關(guān)閉認(rèn)證窗口，用戶必須重開窗口認(rèn)證。措施（二）——改進PORTAL與私用IP地址用戶交互機制，提高接入成功率（2）PORTAL系統(tǒng)與私有IP地址交互機制存在缺陷導(dǎo)致采用私有IP地址的高校WLAN用戶成功率明顯偏低，通過優(yōu)化相關(guān)流程，大幅提升了私有IP地址用戶認(rèn)證成功率。第8頁/共16頁第八頁，共17頁。在現(xiàn)有流程下，用戶認(rèn)證失敗情況下Portal只能簡單提示用戶“認(rèn)證被拒絕”，用戶無法區(qū)分具體原因，造成投訴數(shù)量較大。用戶認(rèn)證出錯，通常由如下原因產(chǎn)生靜態(tài)、動態(tài)密碼錯（輸入錯誤、密碼遺忘、動態(tài)密碼超過15分鐘有效期）用戶名錯（輸入錯誤或未開通WLAN業(yè)務(wù)）狀態(tài)錯（欠費停機、BOSS與Radius不同步等）唯一性錯（賬號同享使用等）其他類型Radius系統(tǒng)中均有用戶產(chǎn)生報錯的詳細(xì)原因；現(xiàn)狀思考？為什么認(rèn)證被拒絕如何優(yōu)化現(xiàn)有流程，增加Radius與Portal的交互將Radius中詳細(xì)報錯提示用戶，引導(dǎo)用戶正確使用。提升用戶感知，并降低WLAN認(rèn)證投訴。措施（三）—細(xì)化報錯內(nèi)容提示，引導(dǎo)用戶正確使用，改善業(yè)務(wù)感知（1)第9頁/共16頁第九頁，共17頁。原有流程中增加Portal反查Radius的流程優(yōu)化原有流程，增加Portal反查Radius的流程與客服部門討論口徑，實現(xiàn)將Radius中詳細(xì)報錯內(nèi)容提示給用戶引導(dǎo)用戶正確使用，提升用戶感知；降低由于用戶原因引起的WLAN認(rèn)證投訴。措施（三）—細(xì)化報錯內(nèi)容提示，引導(dǎo)用戶正確使用，改善業(yè)務(wù)感知（2)PORTAL系統(tǒng)錯誤提示信息是否準(zhǔn)確詳細(xì)直接影響用戶上網(wǎng)行為，通過細(xì)化PORTAL側(cè)報錯內(nèi)容提示信息，引導(dǎo)用戶正確使用WLAN業(yè)務(wù)，降低用戶原因引起的無法認(rèn)證等問題，有效改善了業(yè)務(wù)感知。第10頁/共16頁第十頁，共17頁。措施（四）—完善WLAN認(rèn)證系統(tǒng)冗災(zāi)機制，增強業(yè)務(wù)穩(wěn)定性

Radius、portal認(rèn)證系統(tǒng)作為WLAN業(yè)務(wù)重要節(jié)點，可靠性要求極高充分考慮異地主、備中心的冗災(zāi)部署充分考慮系統(tǒng)故障下的自動切換，或快速切換異地主、備認(rèn)證中心容災(zāi)部署——已立項建設(shè)，預(yù)期明年1月底前上線Radius系統(tǒng)故障應(yīng)急——實現(xiàn)AC自動切換（已部署）Radius為UDP報文，通過AC自動探測機制，實現(xiàn)分層次自動切換：主用Radius——備用Radius——自動本地AC免認(rèn)證——自動恢復(fù)認(rèn)證Portal系統(tǒng)故障應(yīng)急——網(wǎng)管開發(fā)，實現(xiàn)“免認(rèn)證一鍵快速切換”（已部署）第11頁/共16頁第十一頁，共17頁。措施（五）——研究部署AC與用戶間二層網(wǎng)絡(luò)安全加固措施，提高業(yè)務(wù)可用性

優(yōu)化措施：用戶二層網(wǎng)絡(luò)隔離部署；二層交換機中，開啟DHCPSNOOPING功能；部分AC開啟禁止用戶手工配置IP地址的功能網(wǎng)絡(luò)攻擊者問題：高校用戶私設(shè)DHCP服務(wù)器現(xiàn)象比較普遍，WLAN網(wǎng)絡(luò)中一個用戶私設(shè)DHCP服務(wù)會導(dǎo)致其他用戶獲取了非法IP地址，造成用戶無法認(rèn)證上網(wǎng)。DHCPSNOOPING用戶二層隔離禁止用戶手工配置IP地址禁止用戶手工配置IP地址高校WLAN環(huán)境中用戶私設(shè)DHCP服務(wù)器以及網(wǎng)絡(luò)攻擊較多的現(xiàn)象相對普遍，通過對AC以下二層網(wǎng)絡(luò)的安全加固，增強WLAN二層網(wǎng)絡(luò)安全防護水平，有效提高了WLAN業(yè)務(wù)可用性第12頁/共16頁第十二頁，共17頁。高校WLAN認(rèn)證質(zhì)量提升效果在高校WLAN用戶量不斷增長的情況下，投訴總量呈大幅下降趨勢。12月份高校WLAN含用戶原因認(rèn)證成功率為85.30%，較9月份提升20.8%。我省高校WLAN認(rèn)證成功率提升工作效果明顯：12月我省在集團WLAN認(rèn)證成功率（含用戶原因）為80.28%，集團平均認(rèn)證成功率（含用戶原因）為74%，我省高校WLAN認(rèn)證成功率（含用戶原因）為85.30%。第13頁/共16頁第十三頁，共17頁。12月我省在集團WLAN認(rèn)證失敗原因主要為與OBS的用戶認(rèn)證失敗和請求CHALLENGE或用戶認(rèn)證被拒絕，占比接近80%，主要與用戶行為有關(guān)：用戶輸入用戶名不存在、用戶密碼輸入錯誤和唯一性報錯。12月我省在高校WLAN認(rèn)證失敗原因主要為

1、與OBS的用戶認(rèn)證失敗和請求CHALLENGE、用戶認(rèn)證被拒絕，占比接近50%

2、上線BAS錯誤，占比37%，主要與AC設(shè)備有關(guān)從錯誤原因來看，集團認(rèn)證失敗原因主要與用戶行為有關(guān)，建議集團定期統(tǒng)計下發(fā)失敗次數(shù)較多賬號列表，各省可以通過客服回訪等方式提醒用戶正確使用，如：保存用戶名密碼、采用cookie等方式，減少用戶側(cè)原因引起的認(rèn)證失敗問題、省內(nèi)WLAN認(rèn)證失敗原因除用戶原因外，有37％左右的失敗原因與AC設(shè)備和Portal系統(tǒng)配合有關(guān)，計劃后期聯(lián)合相關(guān)廠家和分公司開展設(shè)備和組網(wǎng)層面專項優(yōu)化。高校WLAN認(rèn)證質(zhì)量提升后續(xù)計劃后續(xù)提升計劃：第14頁/共16頁第十四頁，共17頁?！?5—感謝聆聽！網(wǎng)絡(luò)質(zhì)量是通信企業(yè)生命線第15頁/共16頁第十五頁，共17