“一月一事消灭最差”活动汇报.ppt

中国移动江苏公司 网络部2010年12月,江苏公司“一月一事，消灭最差”活动汇报,12月份 WLAN认证成功率提升,目录,WLAN认证成功率提升背景,高校WLAN认证成功率提升,江苏公司WLAN组网情况,骨干网,南京骨干节点,无锡骨干节点,省网出口,省网出口,AC,AP,城域网核心,AC,AP,城域网核心,NAT,NAT,分配私有IP地址,分配公有IP地址,江苏省内WLA用户分配包括公网IP地址和私有IP地址两种方式，其中私有IP地址用户量占比约60%，私有IP地址通过城域网出口NAT防火墙转换后访问互联网业务。江苏省内高校WLAN用户通过省内认证平台认证，随E行WLAN用户通过集团平台认证。,RADIUS/Portal认证平台,集团平台,WLAN认证成功率提升背景,问题：高校WLAN投诉偏高,随着9月份开始高校WLAN用户快速增长，高校WLAN用户投诉量较前期有大幅上升。对9月份WLAN的投诉分析：认证问题占比21%，较前期明显上升。9月份高校WLAN含用户原因认证成功率为64.50%。,目录,WLAN认证成功率提升背景,高校WLAN认证成功率提升,随E行WLAN认证成功率提升,高校WLAN认证成功率专项提升措施,高校WLAN认证成功率提升,研究部署AC与用户间二层网络安全加固措施，提高业务可用性,改进PORTAL与私用IP地址用户交互机制，提高用户接入成功率,细化报错内容提示，引导用户正确使用，改善业务感知,优化PORTAL系统默认参数，提升用户并发接入能力,完善WLAN 认证系统冗灾机制，增强业务稳定性,高校WLAN业务流程分析,高校WLAN认证平台包括RADIUS和PORTAL两部分，经过抓包分析Radius认证质量正常（黄色部分）,影响用户认证质量的部分包括：用户与AC间的交互 用户或AC与Portal系统间的交互过程，尤其分配私有IP地址用户与portal间的交互问题突出。,DHCP地址分配,9月份江苏高校WLAN迁移至省内认证后，晚忙时出现用户无法认证的投诉，分析发现PORTAL系统TCP半连接数量偏高，同时系统负荷偏高。经过统计接入用户数量，发现用户连接请求数量超过操作系统默认设置。分析操作系统默认TCP参数设置，发现总体连接数量参数默认设置不合理，参考话务模型评估系统处理后对相关参数进行调整，PORTAL系统并发能力有效提升。,措施（一）优化PORTAL系统默认参数，提升用户并发接入能力,措施（二）改进PORTAL与私用IP地址用户交互机制，提高接入成功率（1）,统计高校WLAN用户投诉，发现私有地址用户认证成功率远低于公有地址用户，通过分析认证流程，发现AC和PORTAL配合存在隐患：AC机制：当用户正常发起强制推送时，将会为公有IP地址用户插入AC NAME参数；对私有IP地址用户插入userip、AC NAME参数；当用户直接输入认证URL、使用收藏页面时，AC对公有、私有IP地址用户均不插入任何参数，提交portal。省内portal设置了session保持机制，用户点击下线后认证页面刷新至登陆页面，用户无需再次打开新浏览器。,问题一：私有IP地址用户直接输入认证URL，或使用收藏页面，页面打开正常，但认证提示失败分析：私有IP地址用户通过NAT转换访问portal后，portal将直接用NAT后的源公有IP地址反填作为userip，AC将会校验失败。问题二：私有IP地址用户的更换IP地址后（无线信号断连，或重启无线网卡），在同一浏览器下即使强制推送页面，也无法认证通过分析：终端只用同一浏览器与portal交互，portal侧显示为同一session，在保持时间内，将使用原有session中userip地址反填，AC将校验失败。,私有IP地址用户认证隐患,优化措施,增加对AC NAME校验：如果用户交互信息无AC NAME，portal将不再进行后续交互，并提示用户“请不要使用收藏页面、直接输入认证URL”进行认证；去除Session会话保持机制。同时下线自动关闭认证窗口，用户必须重开窗口认证。,措施（二）改进PORTAL与私用IP地址用户交互机制，提高接入成功率（2）,在现有流程下，用户认证失败情况下Portal只能简单提示用户“认证被拒绝”，用户无法区分具体原因，造成投诉数量较大。用户认证出错，通常由如下原因产生静态、动态密码错（输入错误、密码遗忘、动态密码超过15分钟有效期）用户名错（输入错误或未开通WLAN业务）状态错（欠费停机、BOSS与Radius不同步等）唯一性错（账号同享使用等）其他类型Radius系统中均有用户产生报错的详细原因；,现状,思考,？,为什么认证被拒绝,如何优化现有流程，增加Radius与Portal的交互将Radius中详细报错提示用户，引导用户正确使用。提升用户感知，并降低WLAN认证投诉。,措施（三）细化报错内容提示，引导用户正确使用，改善业务感知（1),原有流程中增加Portal反查Radius的流程,优化原有流程，增加Portal反查Radius的流程与客服部门讨论口径，实现将Radius中详细报错内容提示给用户引导用户正确使用，提升用户感知；降低由于用户原因引起的WLAN认证投诉。,措施（三）细化报错内容提示，引导用户正确使用，改善业务感知（2),措施（四）完善WLAN 认证系统冗灾机制，增强业务稳定性,Radius、portal认证系统作为WLAN业务重要节点，可靠性要求极高充分考虑异地主、备中心的冗灾部署充分考虑系统故障下的自动切换，或快速切换异地主、备认证中心容灾部署已立项建设，预期明年1月底前上线Radius系统故障应急实现AC自动切换（已部署）Radius为UDP报文，通过AC自动探测机制，实现分层次自动切换：主用Radius备用Radius自动本地AC免认证自动恢复认证Portal系统故障应急网管开发，实现“免认证一键快速切换”（已部署）,措施（五）研究部署AC与用户间二层网络安全加固措施，提高业务可用性,优化措施：用户二层网络隔离部署；二层交换机中，开启DHCP SNOOPING功能；部分AC开启禁止用户手工配置IP地址的功能,网络攻击者,问题：高校用户私设DHCP服务器现象比较普遍，WLAN网络中一个用户私设DHCP服务会导致其他用户获取了非法IP地址，造成用户无法认证上网。,DHCP SNOOPING,用户二层隔离,禁止用户手工配置IP地址,禁止用户手工配置IP地址,高校WLAN认证质量提升效果,在高校WLAN用户量不断增长的情况下，投诉总量呈大幅下降趋势。12月份高校WLAN含用户原因认证成功率为85.30%，较9月份提升20.8%。,我省高校WLAN认证成功率提升工作效果明显：,12月我省在集团WLAN认证成功率（含用户原因）为80.28%，集团平均认证成功率（含用户原因）为74%，我省高校WLAN认证成功率（含用户原因）为85.30%。,12月我省在集团WLAN认证失败原因主要为与OBS的用户认证失败和请求CHALLENGE或用户认证被拒绝，占比接近80%，主要与用户行为有关：用户输入用户名不存在、用户密码输入错误和唯一性报错。12月我省在高校WLAN认证失败原因主要为 1、与OBS的用户认证失败和请求CHALLENGE、用户认证被拒绝，占比接近50%2、上线BAS错误，占比37%，主要与AC设备有关,从错误原因来看，集团认证失败原因主要与用户行为有关，建议集团定期统计下发失败次数较多账号列表，各省可以通过客服回访等方式提醒用户正确使用，如：保存用户名密码、采用cookie等方式，减少用户侧原因引起的认证失败问题、省内WLAN认证失败原因除用户原因外，有37左右的失败原因与AC设备和Portal系统配合有关，计划后期联合相关厂家和分公司开展设备和组网层面专项优化。,高校WLAN认证质量提升后续计划,后续提升计划：,17,感谢聆听！,网络质量是通信企业生命线,