鐘雄

摘要：本文介紹一種通過(guò)分析接入端、傳輸端和認(rèn)證服務(wù)器網(wǎng)絡(luò)異常情況進(jìn)而提高認(rèn)證成功率的辦法，其中需要進(jìn)行大量的抓包分析。

關(guān)鍵詞：WLAN；AC；認(rèn)證成功率1背景

隨著信息技術(shù)的飛速發(fā)展，人們對(duì)網(wǎng)絡(luò)通信的需求不斷提高，于是在計(jì)算機(jī)網(wǎng)絡(luò)與無(wú)線通信技術(shù)相結(jié)合的情況下產(chǎn)生了WLAN網(wǎng)絡(luò)。通俗地說(shuō)，WLAN是在不采用傳統(tǒng)纜線的同時(shí)提供以太網(wǎng)的功能。目前中國(guó)的三大運(yùn)營(yíng)商都推出了WLAN網(wǎng)絡(luò)。運(yùn)營(yíng)商一般使用四種WLAN網(wǎng)絡(luò)的認(rèn)證方式，包括PORTAL認(rèn)證、MAC綁定認(rèn)證、EAP-SIM認(rèn)證和EAP-PEAP認(rèn)證，而最普遍使用的為PORTAL認(rèn)證，而目前PORTAl認(rèn)證的成功率較低，這在一定程度上影響了用戶的體驗(yàn)效果，造成用戶流失，為此本文提供了一種提高WLAN網(wǎng)絡(luò)AC認(rèn)證成功率的方法

2問題分析

左圖是抽取某運(yùn)營(yíng)商2013年的WLAN網(wǎng)絡(luò)AC認(rèn)證成功率的數(shù)據(jù)，可以看到，在過(guò)去幾個(gè)月的統(tǒng)計(jì)中，AC認(rèn)證成功率平均達(dá)到59%。但59%這個(gè)平均值距離用戶能承受的基準(zhǔn)值80%較遠(yuǎn)，本文研究一種方法以便使AC認(rèn)證成功率提高到80%以上。

⑴分析思路和方法。為了找出目前存在的問題，首先利用魚骨圖進(jìn)行分析，找出末端因，如下：

經(jīng)過(guò)逐一確認(rèn)，確定以下三個(gè)因素為主要因素：傳輸問題、惡意認(rèn)證和熱點(diǎn)干擾問題。

根據(jù)上述的主因，采取了下表的分析方法，如下：

⑵改善措施。實(shí)施一：查明傳輸問題節(jié)點(diǎn)，核查拓?fù)洌瑢?duì)AC與認(rèn)證服務(wù)器之間的設(shè)備抓包。

拓?fù)渖嫌卸鄠€(gè)節(jié)點(diǎn)，先從AC和本地radius入手，兩邊同時(shí)抓包并觀察結(jié)果：從ac側(cè)捉包查看，用戶id為238、242的ac發(fā)送給radius的數(shù)據(jù)包，radius沒有響應(yīng)，認(rèn)證不成功。用戶id為222、236、237用戶認(rèn)證正常。用戶id為247（第一個(gè)報(bào)文沒有響應(yīng)，第二個(gè)報(bào)文有響應(yīng)）認(rèn)證成功但認(rèn)證過(guò)程超過(guò)30秒

用戶id為222、236、237用戶認(rèn)證的包，RADIUS服務(wù)器收到后，馬上就回復(fù)AC，AC也馬上顯示認(rèn)證成功，但是id為238、242、247的數(shù)據(jù)(用戶名稱也是 jingxin01）在 radius 上沒有收到任何請(qǐng)求報(bào)文，由此證明AC發(fā)過(guò)來(lái)的部分RADIUS認(rèn)證報(bào)文，RADIUS服務(wù)器并沒收到，這應(yīng)該是AC到RADIUS通路之間存在網(wǎng)絡(luò)丟包的情況造成的。

跳過(guò)AC，直接在思科6509抓包，發(fā)現(xiàn)情況和AC的相同。Radius方跳過(guò)交換機(jī)，直接在防火墻后抓包，發(fā)現(xiàn)情況和Radius情況一致。所以，可以斷定，問題節(jié)點(diǎn)在于Netscreen防火墻。

實(shí)施二：查找異常號(hào)碼

⑴對(duì)影響較大的AC進(jìn)行抓包，觀察結(jié)果。在AC上行口抓包，連續(xù)5天的抓包情況統(tǒng)計(jì)，隨機(jī)抽取了200條Radius認(rèn)證拒絕的信令進(jìn)行分析，分析出Radius返回的錯(cuò)誤碼如下：

由錯(cuò)誤碼分析可見，57.5%屬于賬號(hào)已在線問題，27%屬于賬號(hào)未注冊(cè)或密碼錯(cuò)的問題，其余為賬號(hào)狀態(tài)非激活?？梢姡J(rèn)證失敗的問題大部分為用戶端產(chǎn)生。

⑵收集惡意認(rèn)證的用戶的位置共性和賬號(hào)共性。對(duì)海量的認(rèn)證失敗號(hào)碼隨機(jī)抽取了100個(gè)用戶分析，發(fā)現(xiàn)1571182和1571183這兩個(gè)號(hào)段占了82%以上之多。而且觀察1571182和1571183號(hào)段的號(hào)碼認(rèn)證失敗次數(shù)均勻分布。

通過(guò)互聯(lián)網(wǎng)，試圖搜素該號(hào)段的特性，發(fā)現(xiàn)1571182和1571183號(hào)段賬號(hào)密碼在百度貼吧（其中包括了電子科大中山學(xué)院吧等）上被公開了（密碼全為112233）。查詢發(fā)現(xiàn)該號(hào)段為測(cè)試號(hào)碼，賬號(hào)密碼外流。用戶通過(guò)重復(fù)試驗(yàn)號(hào)碼，就導(dǎo)致了大量的“重復(fù)登錄”的認(rèn)證錯(cuò)誤。

實(shí)施三：加強(qiáng)熱點(diǎn)干擾排查，信道功率兩手抓。

抽取一棟宿舍樓做試點(diǎn)。經(jīng)測(cè)本層信道干擾較大，干擾源主要來(lái)自三大運(yùn)營(yíng)商之間的信道，在學(xué)校宿舍里面，AP分布密集且信號(hào)容易相互滲透，干擾不可避免，只能夠合理規(guī)劃信道，盡量減少干擾。經(jīng)過(guò)調(diào)整信道，干擾得到了很大的改善。

3效果

如圖可見，經(jīng)過(guò)我們的努力，在優(yōu)化后，認(rèn)證成功率自4月份開始不斷提升，到12月份，AC認(rèn)證成功率已經(jīng)到了85%，比我們預(yù)期80%的AC認(rèn)證成功率還要高5%。本方法有效提升了AC認(rèn)證成功率。

endprint

摘要：本文介紹一種通過(guò)分析接入端、傳輸端和認(rèn)證服務(wù)器網(wǎng)絡(luò)異常情況進(jìn)而提高認(rèn)證成功率的辦法，其中需要進(jìn)行大量的抓包分析。

關(guān)鍵詞：WLAN；AC；認(rèn)證成功率1背景

隨著信息技術(shù)的飛速發(fā)展，人們對(duì)網(wǎng)絡(luò)通信的需求不斷提高，于是在計(jì)算機(jī)網(wǎng)絡(luò)與無(wú)線通信技術(shù)相結(jié)合的情況下產(chǎn)生了WLAN網(wǎng)絡(luò)。通俗地說(shuō)，WLAN是在不采用傳統(tǒng)纜線的同時(shí)提供以太網(wǎng)的功能。目前中國(guó)的三大運(yùn)營(yíng)商都推出了WLAN網(wǎng)絡(luò)。運(yùn)營(yíng)商一般使用四種WLAN網(wǎng)絡(luò)的認(rèn)證方式，包括PORTAL認(rèn)證、MAC綁定認(rèn)證、EAP-SIM認(rèn)證和EAP-PEAP認(rèn)證，而最普遍使用的為PORTAL認(rèn)證，而目前PORTAl認(rèn)證的成功率較低，這在一定程度上影響了用戶的體驗(yàn)效果，造成用戶流失，為此本文提供了一種提高WLAN網(wǎng)絡(luò)AC認(rèn)證成功率的方法

2問題分析

左圖是抽取某運(yùn)營(yíng)商2013年的WLAN網(wǎng)絡(luò)AC認(rèn)證成功率的數(shù)據(jù)，可以看到，在過(guò)去幾個(gè)月的統(tǒng)計(jì)中，AC認(rèn)證成功率平均達(dá)到59%。但59%這個(gè)平均值距離用戶能承受的基準(zhǔn)值80%較遠(yuǎn)，本文研究一種方法以便使AC認(rèn)證成功率提高到80%以上。

⑴分析思路和方法。為了找出目前存在的問題，首先利用魚骨圖進(jìn)行分析，找出末端因，如下：

經(jīng)過(guò)逐一確認(rèn)，確定以下三個(gè)因素為主要因素：傳輸問題、惡意認(rèn)證和熱點(diǎn)干擾問題。

根據(jù)上述的主因，采取了下表的分析方法，如下：

⑵改善措施。實(shí)施一：查明傳輸問題節(jié)點(diǎn)，核查拓?fù)?，?duì)AC與認(rèn)證服務(wù)器之間的設(shè)備抓包。

拓?fù)渖嫌卸鄠€(gè)節(jié)點(diǎn)，先從AC和本地radius入手，兩邊同時(shí)抓包并觀察結(jié)果：從ac側(cè)捉包查看，用戶id為238、242的ac發(fā)送給radius的數(shù)據(jù)包，radius沒有響應(yīng)，認(rèn)證不成功。用戶id為222、236、237用戶認(rèn)證正常。用戶id為247（第一個(gè)報(bào)文沒有響應(yīng)，第二個(gè)報(bào)文有響應(yīng)）認(rèn)證成功但認(rèn)證過(guò)程超過(guò)30秒

用戶id為222、236、237用戶認(rèn)證的包，RADIUS服務(wù)器收到后，馬上就回復(fù)AC，AC也馬上顯示認(rèn)證成功，但是id為238、242、247的數(shù)據(jù)(用戶名稱也是 jingxin01）在 radius 上沒有收到任何請(qǐng)求報(bào)文，由此證明AC發(fā)過(guò)來(lái)的部分RADIUS認(rèn)證報(bào)文，RADIUS服務(wù)器并沒收到，這應(yīng)該是AC到RADIUS通路之間存在網(wǎng)絡(luò)丟包的情況造成的。

跳過(guò)AC，直接在思科6509抓包，發(fā)現(xiàn)情況和AC的相同。Radius方跳過(guò)交換機(jī)，直接在防火墻后抓包，發(fā)現(xiàn)情況和Radius情況一致。所以，可以斷定，問題節(jié)點(diǎn)在于Netscreen防火墻。

實(shí)施二：查找異常號(hào)碼

⑴對(duì)影響較大的AC進(jìn)行抓包，觀察結(jié)果。在AC上行口抓包，連續(xù)5天的抓包情況統(tǒng)計(jì)，隨機(jī)抽取了200條Radius認(rèn)證拒絕的信令進(jìn)行分析，分析出Radius返回的錯(cuò)誤碼如下：

由錯(cuò)誤碼分析可見，57.5%屬于賬號(hào)已在線問題，27%屬于賬號(hào)未注冊(cè)或密碼錯(cuò)的問題，其余為賬號(hào)狀態(tài)非激活?？梢?，認(rèn)證失敗的問題大部分為用戶端產(chǎn)生。

⑵收集惡意認(rèn)證的用戶的位置共性和賬號(hào)共性。對(duì)海量的認(rèn)證失敗號(hào)碼隨機(jī)抽取了100個(gè)用戶分析，發(fā)現(xiàn)1571182和1571183這兩個(gè)號(hào)段占了82%以上之多。而且觀察1571182和1571183號(hào)段的號(hào)碼認(rèn)證失敗次數(shù)均勻分布。

通過(guò)互聯(lián)網(wǎng)，試圖搜素該號(hào)段的特性，發(fā)現(xiàn)1571182和1571183號(hào)段賬號(hào)密碼在百度貼吧（其中包括了電子科大中山學(xué)院吧等）上被公開了（密碼全為112233）。查詢發(fā)現(xiàn)該號(hào)段為測(cè)試號(hào)碼，賬號(hào)密碼外流。用戶通過(guò)重復(fù)試驗(yàn)號(hào)碼，就導(dǎo)致了大量的“重復(fù)登錄”的認(rèn)證錯(cuò)誤。

實(shí)施三：加強(qiáng)熱點(diǎn)干擾排查，信道功率兩手抓。

抽取一棟宿舍樓做試點(diǎn)。經(jīng)測(cè)本層信道干擾較大，干擾源主要來(lái)自三大運(yùn)營(yíng)商之間的信道，在學(xué)校宿舍里面，AP分布密集且信號(hào)容易相互滲透，干擾不可避免，只能夠合理規(guī)劃信道，盡量減少干擾。經(jīng)過(guò)調(diào)整信道，干擾得到了很大的改善。

3效果

如圖可見，經(jīng)過(guò)我們的努力，在優(yōu)化后，認(rèn)證成功率自4月份開始不斷提升，到12月份，AC認(rèn)證成功率已經(jīng)到了85%，比我們預(yù)期80%的AC認(rèn)證成功率還要高5%。本方法有效提升了AC認(rèn)證成功率。

endprint

摘要：本文介紹一種通過(guò)分析接入端、傳輸端和認(rèn)證服務(wù)器網(wǎng)絡(luò)異常情況進(jìn)而提高認(rèn)證成功率的辦法，其中需要進(jìn)行大量的抓包分析。

關(guān)鍵詞：WLAN；AC；認(rèn)證成功率1背景

隨著信息技術(shù)的飛速發(fā)展，人們對(duì)網(wǎng)絡(luò)通信的需求不斷提高，于是在計(jì)算機(jī)網(wǎng)絡(luò)與無(wú)線通信技術(shù)相結(jié)合的情況下產(chǎn)生了WLAN網(wǎng)絡(luò)。通俗地說(shuō)，WLAN是在不采用傳統(tǒng)纜線的同時(shí)提供以太網(wǎng)的功能。目前中國(guó)的三大運(yùn)營(yíng)商都推出了WLAN網(wǎng)絡(luò)。運(yùn)營(yíng)商一般使用四種WLAN網(wǎng)絡(luò)的認(rèn)證方式，包括PORTAL認(rèn)證、MAC綁定認(rèn)證、EAP-SIM認(rèn)證和EAP-PEAP認(rèn)證，而最普遍使用的為PORTAL認(rèn)證，而目前PORTAl認(rèn)證的成功率較低，這在一定程度上影響了用戶的體驗(yàn)效果，造成用戶流失，為此本文提供了一種提高WLAN網(wǎng)絡(luò)AC認(rèn)證成功率的方法

2問題分析

左圖是抽取某運(yùn)營(yíng)商2013年的WLAN網(wǎng)絡(luò)AC認(rèn)證成功率的數(shù)據(jù)，可以看到，在過(guò)去幾個(gè)月的統(tǒng)計(jì)中，AC認(rèn)證成功率平均達(dá)到59%。但59%這個(gè)平均值距離用戶能承受的基準(zhǔn)值80%較遠(yuǎn)，本文研究一種方法以便使AC認(rèn)證成功率提高到80%以上。

⑴分析思路和方法。為了找出目前存在的問題，首先利用魚骨圖進(jìn)行分析，找出末端因，如下：

經(jīng)過(guò)逐一確認(rèn)，確定以下三個(gè)因素為主要因素：傳輸問題、惡意認(rèn)證和熱點(diǎn)干擾問題。

根據(jù)上述的主因，采取了下表的分析方法，如下：

⑵改善措施。實(shí)施一：查明傳輸問題節(jié)點(diǎn)，核查拓?fù)?，?duì)AC與認(rèn)證服務(wù)器之間的設(shè)備抓包。

拓?fù)渖嫌卸鄠€(gè)節(jié)點(diǎn)，先從AC和本地radius入手，兩邊同時(shí)抓包并觀察結(jié)果：從ac側(cè)捉包查看，用戶id為238、242的ac發(fā)送給radius的數(shù)據(jù)包，radius沒有響應(yīng)，認(rèn)證不成功。用戶id為222、236、237用戶認(rèn)證正常。用戶id為247（第一個(gè)報(bào)文沒有響應(yīng)，第二個(gè)報(bào)文有響應(yīng)）認(rèn)證成功但認(rèn)證過(guò)程超過(guò)30秒

用戶id為222、236、237用戶認(rèn)證的包，RADIUS服務(wù)器收到后，馬上就回復(fù)AC，AC也馬上顯示認(rèn)證成功，但是id為238、242、247的數(shù)據(jù)(用戶名稱也是 jingxin01）在 radius 上沒有收到任何請(qǐng)求報(bào)文，由此證明AC發(fā)過(guò)來(lái)的部分RADIUS認(rèn)證報(bào)文，RADIUS服務(wù)器并沒收到，這應(yīng)該是AC到RADIUS通路之間存在網(wǎng)絡(luò)丟包的情況造成的。

跳過(guò)AC，直接在思科6509抓包，發(fā)現(xiàn)情況和AC的相同。Radius方跳過(guò)交換機(jī)，直接在防火墻后抓包，發(fā)現(xiàn)情況和Radius情況一致。所以，可以斷定，問題節(jié)點(diǎn)在于Netscreen防火墻。

實(shí)施二：查找異常號(hào)碼

⑴對(duì)影響較大的AC進(jìn)行抓包，觀察結(jié)果。在AC上行口抓包，連續(xù)5天的抓包情況統(tǒng)計(jì)，隨機(jī)抽取了200條Radius認(rèn)證拒絕的信令進(jìn)行分析，分析出Radius返回的錯(cuò)誤碼如下：

由錯(cuò)誤碼分析可見，57.5%屬于賬號(hào)已在線問題，27%屬于賬號(hào)未注冊(cè)或密碼錯(cuò)的問題，其余為賬號(hào)狀態(tài)非激活?？梢?，認(rèn)證失敗的問題大部分為用戶端產(chǎn)生。

⑵收集惡意認(rèn)證的用戶的位置共性和賬號(hào)共性。對(duì)海量的認(rèn)證失敗號(hào)碼隨機(jī)抽取了100個(gè)用戶分析，發(fā)現(xiàn)1571182和1571183這兩個(gè)號(hào)段占了82%以上之多。而且觀察1571182和1571183號(hào)段的號(hào)碼認(rèn)證失敗次數(shù)均勻分布。

通過(guò)互聯(lián)網(wǎng)，試圖搜素該號(hào)段的特性，發(fā)現(xiàn)1571182和1571183號(hào)段賬號(hào)密碼在百度貼吧（其中包括了電子科大中山學(xué)院吧等）上被公開了（密碼全為112233）。查詢發(fā)現(xiàn)該號(hào)段為測(cè)試號(hào)碼，賬號(hào)密碼外流。用戶通過(guò)重復(fù)試驗(yàn)號(hào)碼，就導(dǎo)致了大量的“重復(fù)登錄”的認(rèn)證錯(cuò)誤。

實(shí)施三：加強(qiáng)熱點(diǎn)干擾排查，信道功率兩手抓。

抽取一棟宿舍樓做試點(diǎn)。經(jīng)測(cè)本層信道干擾較大，干擾源主要來(lái)自三大運(yùn)營(yíng)商之間的信道，在學(xué)校宿舍里面，AP分布密集且信號(hào)容易相互滲透，干擾不可避免，只能夠合理規(guī)劃信道，盡量減少干擾。經(jīng)過(guò)調(diào)整信道，干擾得到了很大的改善。

3效果

如圖可見，經(jīng)過(guò)我們的努力，在優(yōu)化后，認(rèn)證成功率自4月份開始不斷提升，到12月份，AC認(rèn)證成功率已經(jīng)到了85%，比我們預(yù)期80%的AC認(rèn)證成功率還要高5%。本方法有效提升了AC認(rèn)證成功率。

endprint