《“一月一事消灭最差”活动汇报.ppt》由会员分享,可在线阅读,更多相关《“一月一事消灭最差”活动汇报.ppt(17页珍藏版)》请在三一办公上搜索。
1、中国移动江苏公司 网络部2010年12月,江苏公司“一月一事,消灭最差”活动汇报,12月份 WLAN认证成功率提升,目录,WLAN认证成功率提升背景,高校WLAN认证成功率提升,江苏公司WLAN组网情况,骨干网,南京骨干节点,无锡骨干节点,省网出口,省网出口,AC,AP,城域网核心,AC,AP,城域网核心,NAT,NAT,分配私有IP地址,分配公有IP地址,江苏省内WLA用户分配包括公网IP地址和私有IP地址两种方式,其中私有IP地址用户量占比约60%,私有IP地址通过城域网出口NAT防火墙转换后访问互联网业务。江苏省内高校WLAN用户通过省内认证平台认证,随E行WLAN用户通过集团平台认证。
2、,RADIUS/Portal认证平台,集团平台,WLAN认证成功率提升背景,问题:高校WLAN投诉偏高,随着9月份开始高校WLAN用户快速增长,高校WLAN用户投诉量较前期有大幅上升。对9月份WLAN的投诉分析:认证问题占比21%,较前期明显上升。9月份高校WLAN含用户原因认证成功率为64.50%。,目录,WLAN认证成功率提升背景,高校WLAN认证成功率提升,随E行WLAN认证成功率提升,高校WLAN认证成功率专项提升措施,高校WLAN认证成功率提升,研究部署AC与用户间二层网络安全加固措施,提高业务可用性,改进PORTAL与私用IP地址用户交互机制,提高用户接入成功率,细化报错内容提示,
3、引导用户正确使用,改善业务感知,优化PORTAL系统默认参数,提升用户并发接入能力,完善WLAN 认证系统冗灾机制,增强业务稳定性,高校WLAN业务流程分析,高校WLAN认证平台包括RADIUS和PORTAL两部分,经过抓包分析Radius认证质量正常(黄色部分),影响用户认证质量的部分包括:用户与AC间的交互 用户或AC与Portal系统间的交互过程,尤其分配私有IP地址用户与portal间的交互问题突出。,DHCP地址分配,9月份江苏高校WLAN迁移至省内认证后,晚忙时出现用户无法认证的投诉,分析发现PORTAL系统TCP半连接数量偏高,同时系统负荷偏高。经过统计接入用户数量,发现用户连接
4、请求数量超过操作系统默认设置。分析操作系统默认TCP参数设置,发现总体连接数量参数默认设置不合理,参考话务模型评估系统处理后对相关参数进行调整,PORTAL系统并发能力有效提升。,措施(一)优化PORTAL系统默认参数,提升用户并发接入能力,措施(二)改进PORTAL与私用IP地址用户交互机制,提高接入成功率(1),统计高校WLAN用户投诉,发现私有地址用户认证成功率远低于公有地址用户,通过分析认证流程,发现AC和PORTAL配合存在隐患:AC机制:当用户正常发起强制推送时,将会为公有IP地址用户插入AC NAME参数;对私有IP地址用户插入userip、AC NAME参数;当用户直接输入认证
5、URL、使用收藏页面时,AC对公有、私有IP地址用户均不插入任何参数,提交portal。省内portal设置了session保持机制,用户点击下线后认证页面刷新至登陆页面,用户无需再次打开新浏览器。,问题一:私有IP地址用户直接输入认证URL,或使用收藏页面,页面打开正常,但认证提示失败分析:私有IP地址用户通过NAT转换访问portal后,portal将直接用NAT后的源公有IP地址反填作为userip,AC将会校验失败。问题二:私有IP地址用户的更换IP地址后(无线信号断连,或重启无线网卡),在同一浏览器下即使强制推送页面,也无法认证通过分析:终端只用同一浏览器与portal交互,port
6、al侧显示为同一session,在保持时间内,将使用原有session中userip地址反填,AC将校验失败。,私有IP地址用户认证隐患,优化措施,增加对AC NAME校验:如果用户交互信息无AC NAME,portal将不再进行后续交互,并提示用户“请不要使用收藏页面、直接输入认证URL”进行认证;去除Session会话保持机制。同时下线自动关闭认证窗口,用户必须重开窗口认证。,措施(二)改进PORTAL与私用IP地址用户交互机制,提高接入成功率(2),在现有流程下,用户认证失败情况下Portal只能简单提示用户“认证被拒绝”,用户无法区分具体原因,造成投诉数量较大。用户认证出错,通常由如下
7、原因产生静态、动态密码错(输入错误、密码遗忘、动态密码超过15分钟有效期)用户名错(输入错误或未开通WLAN业务)状态错(欠费停机、BOSS与Radius不同步等)唯一性错(账号同享使用等)其他类型Radius系统中均有用户产生报错的详细原因;,现状,思考,?,为什么认证被拒绝,如何优化现有流程,增加Radius与Portal的交互将Radius中详细报错提示用户,引导用户正确使用。提升用户感知,并降低WLAN认证投诉。,措施(三)细化报错内容提示,引导用户正确使用,改善业务感知(1),原有流程中增加Portal反查Radius的流程,优化原有流程,增加Portal反查Radius的流程与客服
8、部门讨论口径,实现将Radius中详细报错内容提示给用户引导用户正确使用,提升用户感知;降低由于用户原因引起的WLAN认证投诉。,措施(三)细化报错内容提示,引导用户正确使用,改善业务感知(2),措施(四)完善WLAN 认证系统冗灾机制,增强业务稳定性,Radius、portal认证系统作为WLAN业务重要节点,可靠性要求极高充分考虑异地主、备中心的冗灾部署充分考虑系统故障下的自动切换,或快速切换异地主、备认证中心容灾部署已立项建设,预期明年1月底前上线Radius系统故障应急实现AC自动切换(已部署)Radius为UDP报文,通过AC自动探测机制,实现分层次自动切换:主用Radius备用Ra
9、dius自动本地AC免认证自动恢复认证Portal系统故障应急网管开发,实现“免认证一键快速切换”(已部署),措施(五)研究部署AC与用户间二层网络安全加固措施,提高业务可用性,优化措施:用户二层网络隔离部署;二层交换机中,开启DHCP SNOOPING功能;部分AC开启禁止用户手工配置IP地址的功能,网络攻击者,问题:高校用户私设DHCP服务器现象比较普遍,WLAN网络中一个用户私设DHCP服务会导致其他用户获取了非法IP地址,造成用户无法认证上网。,DHCP SNOOPING,用户二层隔离,禁止用户手工配置IP地址,禁止用户手工配置IP地址,高校WLAN认证质量提升效果,在高校WLAN用户
10、量不断增长的情况下,投诉总量呈大幅下降趋势。12月份高校WLAN含用户原因认证成功率为85.30%,较9月份提升20.8%。,我省高校WLAN认证成功率提升工作效果明显:,12月我省在集团WLAN认证成功率(含用户原因)为80.28%,集团平均认证成功率(含用户原因)为74%,我省高校WLAN认证成功率(含用户原因)为85.30%。,12月我省在集团WLAN认证失败原因主要为与OBS的用户认证失败和请求CHALLENGE或用户认证被拒绝,占比接近80%,主要与用户行为有关:用户输入用户名不存在、用户密码输入错误和唯一性报错。12月我省在高校WLAN认证失败原因主要为 1、与OBS的用户认证失败和请求CHALLENGE、用户认证被拒绝,占比接近50%2、上线BAS错误,占比37%,主要与AC设备有关,从错误原因来看,集团认证失败原因主要与用户行为有关,建议集团定期统计下发失败次数较多账号列表,各省可以通过客服回访等方式提醒用户正确使用,如:保存用户名密码、采用cookie等方式,减少用户侧原因引起的认证失败问题、省内WLAN认证失败原因除用户原因外,有37左右的失败原因与AC设备和Portal系统配合有关,计划后期联合相关厂家和分公司开展设备和组网层面专项优化。,高校WLAN认证质量提升后续计划,后续提升计划:,17,感谢聆听!,网络质量是通信企业生命线,