WLAN用户无法WEB认证和浏览网页问题的分析

WLAN用户无法WEB认证和浏览网页问题的分析--济南分公司公共设备维护中心，陈凯在精品数据工程济南本地WALN二期的业务测试中，我们发现出现了WLAN用户终端无法正常通过WEB认证正常浏览网页的问题，这类问题在通常是在我们进行一至两个热点测试后出现，我们在远程和现场的工程师一起对该问题进行了分析和处理。根据现场工程师的描述，客户端可以收到较好的无线信号，可以获得正确的地址，但是在PORTAL服务器的认证页面上无法实现正确认证。根据以上的现象，我们对此问题进行了初步的分析。根据WLAN业务网络结构，主要由位于热点地区的WLAN覆盖，全国集中Portal服务器，CMNET，全国RADIUS认证中心，全国SIM认证中心，中国移动各省和全国BOSS系统，各省短消息网关和短消息服务中心等部分组成。系统示意图如下：WLAN用户终端中国移动中央RADIUS认证服务器Portal服务器WLANSIM认证服务器（AS）HLR/AuC中国移动BOSS系统CMNETWLAN接入系统WLAN接入点（AP）WLAN接入认证点（Authenticator）WLAN业务控制点(SC)由于我们是通过短信申请开通业务，WEB认证方式进行WLAN访问的，根据WEB认证的流程，我们是经过了AP，AC，PORTAL服务器和RADIUS用户认证服务器完成对客户的认证和鉴权，我们问题应该存在于这部分设备之中或者是其间的联系上，于是我们便对这些设备进行了排查。WEB认证的流程如下：8.REQ_AUTH11.ACK_AUTH12.HTTPResponseportal-url[认证结果，门户页面]13.AFF_ACK_AUTH2.HTTPRequestuser-url6.REQ_CHALLENGE7.ACK_CHALLENGE9.Access-Request[username,pwd,challenge,chaID]10.Access-Accept/Access-Reject[interim-update]3.HTTPRequestportal-url4.HTTPResponseportal-url5.HTTPsPOSTportal-url[username,pwd]14.Accounting-Request/Start15.Accounting-Response/Start强制Portal流程认证流程计费开始如果成功，计费；如果失败，流程结束DHCP地址分配流程ProbeRequestProbeResponseAuthenticationRequestAuthenticationResponseAssociationRequestAssociationResponse连接建立WLAN用户终端ACRADIUS用户认证服务器APPORTAL1.DHCP地址分配[username]我们首先核查了本地的设备的相关进程的状态，其中AP和AC的状态均正常，其中我们特别观察了（1）AP的WEPKey是否为CMCC说明AP相关设置正确（2）AC的DHCP的进程状态shvrdhcp-----------------DHCPSetting---------------------------NetaddrVpnGroupprioritykeeptimerstatuscclass10.0.0.20006011-32说明DHCP的状态是正常的。我们又进一步联系集团公司，询问相关的PORTAL服务器和RADIUS用户认证服务器的状态，集团公司称这部分设备正常，但是可以抓取报文进行验证是否配合出现问题。从设备状态来看，各设备状态均正常，通过对问题的进一步分析，由于在部分热点可以通过验证，我们认为AC和验证设备的配合是正常的，于是采取了一个简便的测试手段，直接通过互联网访问PORTAL服务器，虽然由于IP地址受到限制我们无法通过验证，但是我们可以成功的访问PORTAL服务器说明如果AC正常实现强制PORTAL的功能我们应该能够正常的访问其WEB页面。于是问题集中到AC上，我们对其进行了模拟测试，通过在机房模拟某热点用户上网的过程，我们进行了抓报验证，在强制PORTAL之前的部分可以顺利通过，而进行认证的部分进行了安全加密，我们无法进行正确的解码，认证流程的过程无法确认是否正常。于是我们对其他的热点进行了同样的测试，发现我们客户终端在部分热点可以发现DHCP服务器的地址，但发送Dhcprequest报文时DHCP服务器没有回应，这时客户端连正确的IP地址都无法获得，这样我们就基本确定了是AC不稳定造成了用户终端使用的不正常。经过分析我们认为AC作为WLAN用户接入的控制点，和后台的认证服务器（RADIUS用户认证服务器或者SIM卡认证服务器）相连，完成对WLAN用户的认证，同时集成了计费信息采集、Portal功能、DHCP功能、网管功能、NAT/PAT等功能；此次问题是由于AC本身软件的不稳而造成了Portal功能、DHCP功能的不正常。我们进一步对AC进行了技术分析，由于在WLAN的建设采取了集中设置AC的原则，所以当AC出现问题时，将会引起全体客户无法正常使用该业务，AC的状态不稳定将会影响以下功能（1）用户通过DHCP获得IP地址（2）用户获得强制推出的PORTAL页面（3）用户通过验证（4）用户的计费采集随后，我们及时对AC进行了相应的处理，并在爱立信公司的协助下对AC的软件进行了升级测试，基本解决了在本次测试中发现的相关问题，确保了精品数据工程中WLAN部分的顺利进行。