一種提高WLAN網絡AC認證成功率的方法

鐘雄

摘要：本文介紹一種通過分析接入端、傳輸端和認證服務器網絡異常情況進而提高認證成功率的辦法，其中需要進行大量的抓包分析。

關鍵詞：WLAN；AC；認證成功率1背景

隨著信息技術的飛速發展，人們對網絡通信的需求不斷提高，于是在計算機網絡與無線通信技術相結合的情況下產生了WLAN網絡。通俗地說，WLAN是在不采用傳統纜線的同時提供以太網的功能。目前中國的三大運營商都推出了WLAN網絡。運營商一般使用四種WLAN網絡的認證方式，包括PORTAL認證、MAC綁定認證、EAP-SIM認證和EAP-PEAP認證，而最普遍使用的為PORTAL認證，而目前PORTAl認證的成功率較低，這在一定程度上影響了用戶的體驗效果，造成用戶流失，為此本文提供了一種提高WLAN網絡AC認證成功率的方法

2問題分析

左圖是抽取某運營商2013年的WLAN網絡AC認證成功率的數據，可以看到，在過去幾個月的統計中，AC認證成功率平均達到59%。但59%這個平均值距離用戶能承受的基準值80%較遠，本文研究一種方法以便使AC認證成功率提高到80%以上。

⑴分析思路和方法。為了找出目前存在的問題，首先利用魚骨圖進行分析，找出末端因，如下：

經過逐一確認，確定以下三個因素為主要因素：傳輸問題、惡意認證和熱點干擾問題。

根據上述的主因，采取了下表的分析方法，如下：

⑵改善措施。實施一：查明傳輸問題節點，核查拓撲，對AC與認證服務器之間的設備抓包。

拓撲上有多個節點，先從AC和本地radius入手，兩邊同時抓包并觀察結果：從ac側捉包查看，用戶id為238、242的ac發送給radius的數據包，radius沒有響應，認證不成功。用戶id為222、236、237用戶認證正常。用戶id為247（第一個報文沒有響應，第二個報文有響應）認證成功但認證過程超過30秒

用戶id為222、236、237用戶認證的包，RADIUS服務器收到后，馬上就回復AC，AC也馬上顯示認證成功，但是id為238、242、247的數據(用戶名稱也是 jingxin01）在 radius 上沒有收到任何請求報文，由此證明AC發過來的部分RADIUS認證報文，RADIUS服務器并沒收到，這應該是AC到RADIUS通路之間存在網絡丟包的情況造成的。

跳過AC，直接在思科6509抓包，發現情況和AC的相同。Radius方跳過交換機，直接在防火墻后抓包，發現情況和Radius情況一致。所以，可以斷定，問題節點在于Netscreen防火墻。

實施二：查找異常號碼

⑴對影響較大的AC進行抓包，觀察結果。在AC上行口抓包，連續5天的抓包情況統計，隨機抽取了200條Radius認證拒絕的信令進行分析，分析出Radius返回的錯誤碼如下：

由錯誤碼分析可見，57.5%屬于賬號已在線問題，27%屬于賬號未注冊或密碼錯的問題，其余為賬號狀態非激活。可見，認證失敗的問題大部分為用戶端產生。

⑵收集惡意認證的用戶的位置共性和賬號共性。對海量的認證失敗號碼隨機抽取了100個用戶分析，發現1571182和1571183這兩個號段占了82%以上之多。而且觀察1571182和1571183號段的號碼認證失敗次數均勻分布。

通過互聯網，試圖搜素該號段的特性，發現1571182和1571183號段賬號密碼在百度貼吧（其中包括了電子科大中山學院吧等）上被公開了（密碼全為112233）。查詢發現該號段為測試號碼，賬號密碼外流。用戶通過重復試驗號碼，就導致了大量的“重復登錄”的認證錯誤。

實施三：加強熱點干擾排查，信道功率兩手抓。

抽取一棟宿舍樓做試點。經測本層信道干擾較大，干擾源主要來自三大運營商之間的信道，在學校宿舍里面，AP分布密集且信號容易相互滲透，干擾不可避免，只能夠合理規劃信道，盡量減少干擾。經過調整信道，干擾得到了很大的改善。

3效果

如圖可見，經過我們的努力，在優化后，認證成功率自4月份開始不斷提升，到12月份，AC認證成功率已經到了85%，比我們預期80%的AC認證成功率還要高5%。本方法有效提升了AC認證成功率。

endprint

摘要：本文介紹一種通過分析接入端、傳輸端和認證服務器網絡異常情況進而提高認證成功率的辦法，其中需要進行大量的抓包分析。

關鍵詞：WLAN；AC；認證成功率1背景

隨著信息技術的飛速發展，人們對網絡通信的需求不斷提高，于是在計算機網絡與無線通信技術相結合的情況下產生了WLAN網絡。通俗地說，WLAN是在不采用傳統纜線的同時提供以太網的功能。目前中國的三大運營商都推出了WLAN網絡。運營商一般使用四種WLAN網絡的認證方式，包括PORTAL認證、MAC綁定認證、EAP-SIM認證和EAP-PEAP認證，而最普遍使用的為PORTAL認證，而目前PORTAl認證的成功率較低，這在一定程度上影響了用戶的體驗效果，造成用戶流失，為此本文提供了一種提高WLAN網絡AC認證成功率的方法

2問題分析

左圖是抽取某運營商2013年的WLAN網絡AC認證成功率的數據，可以看到，在過去幾個月的統計中，AC認證成功率平均達到59%。但59%這個平均值距離用戶能承受的基準值80%較遠，本文研究一種方法以便使AC認證成功率提高到80%以上。

⑴分析思路和方法。為了找出目前存在的問題，首先利用魚骨圖進行分析，找出末端因，如下：

經過逐一確認，確定以下三個因素為主要因素：傳輸問題、惡意認證和熱點干擾問題。

根據上述的主因，采取了下表的分析方法，如下：

⑵改善措施。實施一：查明傳輸問題節點，核查拓撲，對AC與認證服務器之間的設備抓包。

拓撲上有多個節點，先從AC和本地radius入手，兩邊同時抓包并觀察結果：從ac側捉包查看，用戶id為238、242的ac發送給radius的數據包，radius沒有響應，認證不成功。用戶id為222、236、237用戶認證正常。用戶id為247（第一個報文沒有響應，第二個報文有響應）認證成功但認證過程超過30秒

用戶id為222、236、237用戶認證的包，RADIUS服務器收到后，馬上就回復AC，AC也馬上顯示認證成功，但是id為238、242、247的數據(用戶名稱也是 jingxin01）在 radius 上沒有收到任何請求報文，由此證明AC發過來的部分RADIUS認證報文，RADIUS服務器并沒收到，這應該是AC到RADIUS通路之間存在網絡丟包的情況造成的。

跳過AC，直接在思科6509抓包，發現情況和AC的相同。Radius方跳過交換機，直接在防火墻后抓包，發現情況和Radius情況一致。所以，可以斷定，問題節點在于Netscreen防火墻。

實施二：查找異常號碼

⑴對影響較大的AC進行抓包，觀察結果。在AC上行口抓包，連續5天的抓包情況統計，隨機抽取了200條Radius認證拒絕的信令進行分析，分析出Radius返回的錯誤碼如下：

由錯誤碼分析可見，57.5%屬于賬號已在線問題，27%屬于賬號未注冊或密碼錯的問題，其余為賬號狀態非激活。可見，認證失敗的問題大部分為用戶端產生。

⑵收集惡意認證的用戶的位置共性和賬號共性。對海量的認證失敗號碼隨機抽取了100個用戶分析，發現1571182和1571183這兩個號段占了82%以上之多。而且觀察1571182和1571183號段的號碼認證失敗次數均勻分布。

通過互聯網，試圖搜素該號段的特性，發現1571182和1571183號段賬號密碼在百度貼吧（其中包括了電子科大中山學院吧等）上被公開了（密碼全為112233）。查詢發現該號段為測試號碼，賬號密碼外流。用戶通過重復試驗號碼，就導致了大量的“重復登錄”的認證錯誤。

實施三：加強熱點干擾排查，信道功率兩手抓。

抽取一棟宿舍樓做試點。經測本層信道干擾較大，干擾源主要來自三大運營商之間的信道，在學校宿舍里面，AP分布密集且信號容易相互滲透，干擾不可避免，只能夠合理規劃信道，盡量減少干擾。經過調整信道，干擾得到了很大的改善。

3效果

如圖可見，經過我們的努力，在優化后，認證成功率自4月份開始不斷提升，到12月份，AC認證成功率已經到了85%，比我們預期80%的AC認證成功率還要高5%。本方法有效提升了AC認證成功率。

endprint

摘要：本文介紹一種通過分析接入端、傳輸端和認證服務器網絡異常情況進而提高認證成功率的辦法，其中需要進行大量的抓包分析。

關鍵詞：WLAN；AC；認證成功率1背景

隨著信息技術的飛速發展，人們對網絡通信的需求不斷提高，于是在計算機網絡與無線通信技術相結合的情況下產生了WLAN網絡。通俗地說，WLAN是在不采用傳統纜線的同時提供以太網的功能。目前中國的三大運營商都推出了WLAN網絡。運營商一般使用四種WLAN網絡的認證方式，包括PORTAL認證、MAC綁定認證、EAP-SIM認證和EAP-PEAP認證，而最普遍使用的為PORTAL認證，而目前PORTAl認證的成功率較低，這在一定程度上影響了用戶的體驗效果，造成用戶流失，為此本文提供了一種提高WLAN網絡AC認證成功率的方法

2問題分析

左圖是抽取某運營商2013年的WLAN網絡AC認證成功率的數據，可以看到，在過去幾個月的統計中，AC認證成功率平均達到59%。但59%這個平均值距離用戶能承受的基準值80%較遠，本文研究一種方法以便使AC認證成功率提高到80%以上。

⑴分析思路和方法。為了找出目前存在的問題，首先利用魚骨圖進行分析，找出末端因，如下：

經過逐一確認，確定以下三個因素為主要因素：傳輸問題、惡意認證和熱點干擾問題。

根據上述的主因，采取了下表的分析方法，如下：

⑵改善措施。實施一：查明傳輸問題節點，核查拓撲，對AC與認證服務器之間的設備抓包。

拓撲上有多個節點，先從AC和本地radius入手，兩邊同時抓包并觀察結果：從ac側捉包查看，用戶id為238、242的ac發送給radius的數據包，radius沒有響應，認證不成功。用戶id為222、236、237用戶認證正常。用戶id為247（第一個報文沒有響應，第二個報文有響應）認證成功但認證過程超過30秒

用戶id為222、236、237用戶認證的包，RADIUS服務器收到后，馬上就回復AC，AC也馬上顯示認證成功，但是id為238、242、247的數據(用戶名稱也是 jingxin01）在 radius 上沒有收到任何請求報文，由此證明AC發過來的部分RADIUS認證報文，RADIUS服務器并沒收到，這應該是AC到RADIUS通路之間存在網絡丟包的情況造成的。

跳過AC，直接在思科6509抓包，發現情況和AC的相同。Radius方跳過交換機，直接在防火墻后抓包，發現情況和Radius情況一致。所以，可以斷定，問題節點在于Netscreen防火墻。

實施二：查找異常號碼

⑴對影響較大的AC進行抓包，觀察結果。在AC上行口抓包，連續5天的抓包情況統計，隨機抽取了200條Radius認證拒絕的信令進行分析，分析出Radius返回的錯誤碼如下：

由錯誤碼分析可見，57.5%屬于賬號已在線問題，27%屬于賬號未注冊或密碼錯的問題，其余為賬號狀態非激活。可見，認證失敗的問題大部分為用戶端產生。

⑵收集惡意認證的用戶的位置共性和賬號共性。對海量的認證失敗號碼隨機抽取了100個用戶分析，發現1571182和1571183這兩個號段占了82%以上之多。而且觀察1571182和1571183號段的號碼認證失敗次數均勻分布。

通過互聯網，試圖搜素該號段的特性，發現1571182和1571183號段賬號密碼在百度貼吧（其中包括了電子科大中山學院吧等）上被公開了（密碼全為112233）。查詢發現該號段為測試號碼，賬號密碼外流。用戶通過重復試驗號碼，就導致了大量的“重復登錄”的認證錯誤。

實施三：加強熱點干擾排查，信道功率兩手抓。

抽取一棟宿舍樓做試點。經測本層信道干擾較大，干擾源主要來自三大運營商之間的信道，在學校宿舍里面，AP分布密集且信號容易相互滲透，干擾不可避免，只能夠合理規劃信道，盡量減少干擾。經過調整信道，干擾得到了很大的改善。

3效果

如圖可見，經過我們的努力，在優化后，認證成功率自4月份開始不斷提升，到12月份，AC認證成功率已經到了85%，比我們預期80%的AC認證成功率還要高5%。本方法有效提升了AC認證成功率。

endprint