S12700敏捷无线网络APP推送问题

发布时间:  2016-09-26 浏览次数:  162 下载次数:  0
问题描述

该问题为空口和出口相关问题,组网包含多家友商设备,故不作组网分析。

一、客户问题反馈

1APP STORE无法打开

2、网页打开慢,网络卡顿

3、企业APP推送下载慢或无法下载

二、现场问题确认

均已确认问题复现,存在问题,严重影响用户上网体验和承载的办公业务

三、现网情况

1AP5030上行S5700S12700随板AC(隧道转发)到USG6650出口;

2S12700旁挂深信服上网行为控制设备,所有流量通过深信服设备再到USG;

3、三运营商出口针对不同VLAN进行划分,VLAN针对弱电井进行,各楼层各区域出口不同。





处理过程

问题1:APP STORE无法打开

问题排查

1)AP改为直接转发,使用苹果终端关联AP,将该AP上行口流量镜像到桌面网口,在AP上行口抓包分析,抓包结果如下图1:




1 抓包结果

2)初步定位服务器方没有收到大包数据,登陆USG防火墙,不带源地址PING苹果服务器,发现大包数据能PING通,说明三个出口至少有一个是能通的。

3)分运营商带源PING服务器,结果如下图234:



2电信出口PING
APPSTORE
服务器(大包/小包)、PING 114服务器


3移动出口PING
APPSTORE
服务器(大包/小包)、PING 114服务器


4联通出口PING APPSTORE服务器(大包/小包)、PING 114服务器

上图可以看出:

电信出口出去之后某台运营商设备可能有大包限制,导致无论是PING或者终端数据请求都无法通过;

移动出口出去之后无法PINGAPP STORE的服务器,无论大包小包都无法通过,其他服务器可能部分可以通过;

联通出口目前没有任何问题。


问题2:网页打开慢,网络卡顿
问题排查

终端关联SSID
staff
,出口为电信,网速测试在4Mbps左右,实际controller侧并未针对SSID或者用户做限速,网页打开速度慢并且网页显示不完整。
问题结论

网页数据请求多为大包数据报文,更换运营商出口可以解决上网体验不好的问题。
结论验证

通问题一一起更换出口联通以后,网页测试速度明显快于电信出口,且网页显示正常,这和电信出口对大包数据报文的未知策略有关系,已经知晓给客户。

问题3:企业APP推送下载慢或无法下载

此问题通过抓包分析并与京东方IT同事确认,该问题需要web页面开发进一步解决,并非华为无线设备的问题,已经知晓客户

问题根因为:

1)  苹果终端通过连接wifi打开内网APP安装链接网页,并点击“iphone直接安装”;

2) 
终端向APP应用服务器106.39.10.42(服务器公网IP)发起tcp建链请求;

3) 
服务器通过内网IP(10.1.2.66)回应此TCP建链请求;

4)  终端TCP建链失败,导致后续数据传输动作无法完成;


6 抓包截图











根因

问题结论

我方设备从出口侧向外发送大包数据报文无法到达对端服务器,和运营商设备的配置有关系,不同运营商配置情况不同,建议使用联通作为出口测试结论。








解决方案

结论验证

经过客户同意,在防火墙上做策略,将该区域的SSIDguestVLAN出口指定到联通出口,配置如下图5:



5 防火墙策略

该策略生效以后,通过同一台苹果终端关联SSIDguest的热点,经过portal认证以后可以正常使用APP STORE的服务,确认是运营商出口侧问题,和我方无线数通设备无关。(问题验证以后,已经通知东方森泰工程师将该临时策略删除)








建议与总结

在问题排查中,现网版本较老,为保障客户现网稳定,建议对核心设备进行升级操作,待IT同事确认升级时间,将S127AP升级至最新版本(S12700:V200R007C00SPC500+SPH005; AP5030DN:V200R005C10SPCa00)后观察网络情况。




END