一种提高WLAN网络AC认证成功率的方法

钟雄

摘要：本文介绍一种通过分析接入端、传输端和认证服务器网络异常情况进而提高认证成功率的办法，其中需要进行大量的抓包分析。

关键词：WLAN；AC；认证成功率1背景

随着信息技术的飞速发展，人们对网络通信的需求不断提高，于是在计算机网络与无线通信技术相结合的情况下产生了WLAN网络。通俗地说，WLAN是在不采用传统缆线的同时提供以太网的功能。目前中国的三大运营商都推出了WLAN网络。运营商一般使用四种WLAN网络的认证方式，包括PORTAL认证、MAC绑定认证、EAP-SIM认证和EAP-PEAP认证，而最普遍使用的为PORTAL认证，而目前PORTAl认证的成功率较低，这在一定程度上影响了用户的体验效果，造成用户流失，为此本文提供了一种提高WLAN网络AC认证成功率的方法

2问题分析

左图是抽取某运营商2013年的WLAN网络AC认证成功率的数据，可以看到，在过去几个月的统计中，AC认证成功率平均达到59%。但59%这个平均值距离用户能承受的基准值80%较远，本文研究一种方法以便使AC认证成功率提高到80%以上。

⑴分析思路和方法。为了找出目前存在的问题，首先利用鱼骨图进行分析，找出末端因，如下：

经过逐一确认，确定以下三个因素为主要因素：传输问题、恶意认证和热点干扰问题。

根据上述的主因，采取了下表的分析方法，如下：

⑵改善措施。实施一：查明传输问题节点，核查拓扑，对AC与认证服务器之间的设备抓包。

拓扑上有多个节点，先从AC和本地radius入手，两边同时抓包并观察结果：从ac侧捉包查看，用户id为238、242的ac发送给radius的数据包，radius没有响应，认证不成功。用户id为222、236、237用户认证正常。用户id为247（第一个报文没有响应，第二个报文有响应）认证成功但认证过程超过30秒

用户id为222、236、237用户认证的包，RADIUS服务器收到后，马上就回复AC，AC也马上显示认证成功，但是id为238、242、247的数据(用户名称也是 jingxin01）在 radius 上没有收到任何请求报文，由此证明AC发过来的部分RADIUS认证报文，RADIUS服务器并没收到，这应该是AC到RADIUS通路之间存在网络丢包的情况造成的。

跳过AC，直接在思科6509抓包，发现情况和AC的相同。Radius方跳过交换机，直接在防火墙后抓包，发现情况和Radius情况一致。所以，可以断定，问题节点在于Netscreen防火墙。

实施二：查找异常号码

⑴对影响较大的AC进行抓包，观察结果。在AC上行口抓包，连续5天的抓包情况统计，随机抽取了200条Radius认证拒绝的信令进行分析，分析出Radius返回的错误码如下：

由错误码分析可见，57.5%属于账号已在线问题，27%属于账号未注册或密码错的问题，其余为账号状态非激活。可见，认证失败的问题大部分为用户端产生。

⑵收集恶意认证的用户的位置共性和账号共性。对海量的认证失败号码随机抽取了100个用户分析，发现1571182和1571183这两个号段占了82%以上之多。而且观察1571182和1571183号段的号码认证失败次数均匀分布。

通过互联网，试图搜素该号段的特性，发现1571182和1571183号段账号密码在百度贴吧（其中包括了电子科大中山学院吧等）上被公开了（密码全为112233）。查询发现该号段为测试号码，账号密码外流。用户通过重复试验号码，就导致了大量的“重复登录”的认证错误。

实施三：加强热点干扰排查，信道功率两手抓。

抽取一栋宿舍楼做试点。经测本层信道干扰较大，干扰源主要来自三大运营商之间的信道，在学校宿舍里面，AP分布密集且信号容易相互渗透，干扰不可避免，只能够合理规划信道，尽量减少干扰。经过调整信道，干扰得到了很大的改善。

3效果

如图可见，经过我们的努力，在优化后，认证成功率自4月份开始不断提升，到12月份，AC认证成功率已经到了85%，比我们预期80%的AC认证成功率还要高5%。本方法有效提升了AC认证成功率。

endprint

摘要：本文介绍一种通过分析接入端、传输端和认证服务器网络异常情况进而提高认证成功率的办法，其中需要进行大量的抓包分析。

关键词：WLAN；AC；认证成功率1背景

随着信息技术的飞速发展，人们对网络通信的需求不断提高，于是在计算机网络与无线通信技术相结合的情况下产生了WLAN网络。通俗地说，WLAN是在不采用传统缆线的同时提供以太网的功能。目前中国的三大运营商都推出了WLAN网络。运营商一般使用四种WLAN网络的认证方式，包括PORTAL认证、MAC绑定认证、EAP-SIM认证和EAP-PEAP认证，而最普遍使用的为PORTAL认证，而目前PORTAl认证的成功率较低，这在一定程度上影响了用户的体验效果，造成用户流失，为此本文提供了一种提高WLAN网络AC认证成功率的方法

2问题分析

左图是抽取某运营商2013年的WLAN网络AC认证成功率的数据，可以看到，在过去几个月的统计中，AC认证成功率平均达到59%。但59%这个平均值距离用户能承受的基准值80%较远，本文研究一种方法以便使AC认证成功率提高到80%以上。

⑴分析思路和方法。为了找出目前存在的问题，首先利用鱼骨图进行分析，找出末端因，如下：

经过逐一确认，确定以下三个因素为主要因素：传输问题、恶意认证和热点干扰问题。

根据上述的主因，采取了下表的分析方法，如下：

⑵改善措施。实施一：查明传输问题节点，核查拓扑，对AC与认证服务器之间的设备抓包。

拓扑上有多个节点，先从AC和本地radius入手，两边同时抓包并观察结果：从ac侧捉包查看，用户id为238、242的ac发送给radius的数据包，radius没有响应，认证不成功。用户id为222、236、237用户认证正常。用户id为247（第一个报文没有响应，第二个报文有响应）认证成功但认证过程超过30秒

用户id为222、236、237用户认证的包，RADIUS服务器收到后，马上就回复AC，AC也马上显示认证成功，但是id为238、242、247的数据(用户名称也是 jingxin01）在 radius 上没有收到任何请求报文，由此证明AC发过来的部分RADIUS认证报文，RADIUS服务器并没收到，这应该是AC到RADIUS通路之间存在网络丢包的情况造成的。

跳过AC，直接在思科6509抓包，发现情况和AC的相同。Radius方跳过交换机，直接在防火墙后抓包，发现情况和Radius情况一致。所以，可以断定，问题节点在于Netscreen防火墙。

实施二：查找异常号码

⑴对影响较大的AC进行抓包，观察结果。在AC上行口抓包，连续5天的抓包情况统计，随机抽取了200条Radius认证拒绝的信令进行分析，分析出Radius返回的错误码如下：

由错误码分析可见，57.5%属于账号已在线问题，27%属于账号未注册或密码错的问题，其余为账号状态非激活。可见，认证失败的问题大部分为用户端产生。

⑵收集恶意认证的用户的位置共性和账号共性。对海量的认证失败号码随机抽取了100个用户分析，发现1571182和1571183这两个号段占了82%以上之多。而且观察1571182和1571183号段的号码认证失败次数均匀分布。

通过互联网，试图搜素该号段的特性，发现1571182和1571183号段账号密码在百度贴吧（其中包括了电子科大中山学院吧等）上被公开了（密码全为112233）。查询发现该号段为测试号码，账号密码外流。用户通过重复试验号码，就导致了大量的“重复登录”的认证错误。

实施三：加强热点干扰排查，信道功率两手抓。

抽取一栋宿舍楼做试点。经测本层信道干扰较大，干扰源主要来自三大运营商之间的信道，在学校宿舍里面，AP分布密集且信号容易相互渗透，干扰不可避免，只能够合理规划信道，尽量减少干扰。经过调整信道，干扰得到了很大的改善。

3效果

如图可见，经过我们的努力，在优化后，认证成功率自4月份开始不断提升，到12月份，AC认证成功率已经到了85%，比我们预期80%的AC认证成功率还要高5%。本方法有效提升了AC认证成功率。

endprint

摘要：本文介绍一种通过分析接入端、传输端和认证服务器网络异常情况进而提高认证成功率的办法，其中需要进行大量的抓包分析。

关键词：WLAN；AC；认证成功率1背景

随着信息技术的飞速发展，人们对网络通信的需求不断提高，于是在计算机网络与无线通信技术相结合的情况下产生了WLAN网络。通俗地说，WLAN是在不采用传统缆线的同时提供以太网的功能。目前中国的三大运营商都推出了WLAN网络。运营商一般使用四种WLAN网络的认证方式，包括PORTAL认证、MAC绑定认证、EAP-SIM认证和EAP-PEAP认证，而最普遍使用的为PORTAL认证，而目前PORTAl认证的成功率较低，这在一定程度上影响了用户的体验效果，造成用户流失，为此本文提供了一种提高WLAN网络AC认证成功率的方法

2问题分析

左图是抽取某运营商2013年的WLAN网络AC认证成功率的数据，可以看到，在过去几个月的统计中，AC认证成功率平均达到59%。但59%这个平均值距离用户能承受的基准值80%较远，本文研究一种方法以便使AC认证成功率提高到80%以上。

⑴分析思路和方法。为了找出目前存在的问题，首先利用鱼骨图进行分析，找出末端因，如下：

经过逐一确认，确定以下三个因素为主要因素：传输问题、恶意认证和热点干扰问题。

根据上述的主因，采取了下表的分析方法，如下：

⑵改善措施。实施一：查明传输问题节点，核查拓扑，对AC与认证服务器之间的设备抓包。

拓扑上有多个节点，先从AC和本地radius入手，两边同时抓包并观察结果：从ac侧捉包查看，用户id为238、242的ac发送给radius的数据包，radius没有响应，认证不成功。用户id为222、236、237用户认证正常。用户id为247（第一个报文没有响应，第二个报文有响应）认证成功但认证过程超过30秒

用户id为222、236、237用户认证的包，RADIUS服务器收到后，马上就回复AC，AC也马上显示认证成功，但是id为238、242、247的数据(用户名称也是 jingxin01）在 radius 上没有收到任何请求报文，由此证明AC发过来的部分RADIUS认证报文，RADIUS服务器并没收到，这应该是AC到RADIUS通路之间存在网络丢包的情况造成的。

跳过AC，直接在思科6509抓包，发现情况和AC的相同。Radius方跳过交换机，直接在防火墙后抓包，发现情况和Radius情况一致。所以，可以断定，问题节点在于Netscreen防火墙。

实施二：查找异常号码

⑴对影响较大的AC进行抓包，观察结果。在AC上行口抓包，连续5天的抓包情况统计，随机抽取了200条Radius认证拒绝的信令进行分析，分析出Radius返回的错误码如下：

由错误码分析可见，57.5%属于账号已在线问题，27%属于账号未注册或密码错的问题，其余为账号状态非激活。可见，认证失败的问题大部分为用户端产生。

⑵收集恶意认证的用户的位置共性和账号共性。对海量的认证失败号码随机抽取了100个用户分析，发现1571182和1571183这两个号段占了82%以上之多。而且观察1571182和1571183号段的号码认证失败次数均匀分布。

通过互联网，试图搜素该号段的特性，发现1571182和1571183号段账号密码在百度贴吧（其中包括了电子科大中山学院吧等）上被公开了（密码全为112233）。查询发现该号段为测试号码，账号密码外流。用户通过重复试验号码，就导致了大量的“重复登录”的认证错误。

实施三：加强热点干扰排查，信道功率两手抓。

抽取一栋宿舍楼做试点。经测本层信道干扰较大，干扰源主要来自三大运营商之间的信道，在学校宿舍里面，AP分布密集且信号容易相互渗透，干扰不可避免，只能够合理规划信道，尽量减少干扰。经过调整信道，干扰得到了很大的改善。

3效果

如图可见，经过我们的努力，在优化后，认证成功率自4月份开始不断提升，到12月份，AC认证成功率已经到了85%，比我们预期80%的AC认证成功率还要高5%。本方法有效提升了AC认证成功率。

endprint