湖南：4G SIRI故障案例分析.doc

4G SIRI故障案例分析 故障现象 苹果MINI或者IPHONE 5通过LTE接入后，无法使用SIRI业务，与SIRI对话后长时间没有响应，最后提示出错。 问题分析 湖南电信LTE网络已经启用了私网地址复用，苹果终端上网首先获得PGW分配的PI3私网地址，然后通过4G 的NAT防火墙（华三M9000）转换为公网地址后，访问苹果的SIRI服务器。通过多次测试，并结合防火墙和EMS的抓包，基本上掌握了SIRI业务流程特点以及出现这个问题的原因，测试结果如下所示： 测试终端类型 附着的PGW 终端分配地址 映射公网地址端口 测试方法 测试结果 IPHONE5 荷花园PGW 53 8:25275-25524 HTC通过LTE上网,并提供热点给苹果5终端使用 第一次测试正常,将苹果5终端不使用进入锁屏后,再试第一次失败,第二次正常, IPHONE5 东塘PGW 29 5:21025-21274 HTC通过LTE上网,并提供热点给苹果5终端使用 第一次测试正常,将苹果5终端不使用进入锁屏后,再试仍然正常,多次反复测试均正常 MINI 东塘PGW 5 4:13025-13274 直接LTE上网 第一次测试正常,将MINI不使用进入锁屏后,测试仍正常,多次反复测试均正常 IPHONE5 东塘PGW 21 2:20525-20774 HTC通过LTE上网,并提供热点给苹果5终端使用 第一次测试失败,第二次测试失败,锁屏后再试还是失败,在重试了多次后,突然又好了, （1）苹果SIRI业务流程：首先终端会向SIRI服务器发送TCP 端口443连接请求，建立一个HTTPS的连接；如果服务器没有响应，终端会持续重发，当重发次数累计到一定次数时，终端会选择另外一个SIRI服务器发送建立连接的请求；在这个过程中，用户感知会出现SIRI提示无法使用。苹果的SIRI服务器地址很多，在抓包中发现有，5, 13等等 (2) 通过抓包发现终端访问这个服务器地址，会出现没有回应的情况，如下所示： 首先我们想到了是否是路由问题，为此我们测试了通过PGW直接分配公网地址给终端，测试SIRI没有问题，另外，我们比较了3G的NAT防火墙（华三9506）上的连接情况,如下所示,有很多TCP连接建立的会话，这是因为3G下挂的苹果终端并没有SIRI故障的问题。 根据以上的判断可以确定苹果服务器和我们LTE使用的公网地址都是没有问题。 （3）我们比较了3G防火墙和4G防火墙的配置差异。3G防火墙做的动态地址复用，一个公网地址端口与私网地址的对应关系是无序的，而4G防火墙做的静态NAT444，即一个私网地址固定对应一个公网地址的250个端口，例如/15对应/23 ；/15对应/23。 （4）同时我们比较了PGW和PDSN的地址分配机制，PDSN为CISCO ASR5000，其分配地址是随机的，即PDSN上为PI3规划了/13和/13两段地址池，用户分配的地址是随机从这个大段中取的，当然这也和用户数量大有关系；而PGW为中兴，配置了/13和/13这两段地址，其分配地址是按序的，同时由于用户数少，其分配给用户的地址始终在/16和/16这两个B内，这就决定了终端通过防火墙映射出去的地址始终会落在一个23位掩码的段内，极有可能出现多个苹果终端映射到同一个公网地址的不同端口访问SIRI服务器，是否是这个原因导致业务不可用呢？ （5）为了证明判断的是否准确，将防火墙上/15对应/23的静态NAT444改成了动态方式，同时在防火墙上设置流量统计，观察是否有从到防火墙内部的流量，防火墙配置调整后测试发现业务正常，同时可以在防火墙上看到有从到内部的流量： 防火墙上统计到从到内部建立的TCP连接： （6）现在基本可以确定苹果的SIRI服务器对于来自同一个IP地址的多个SIRI服务请求会导致部分请求被拒绝响应。为验证这一判断，又进行了一个测试，用HTC终端LTE上网，并充当WIFI热点，同时使用苹果MINI和IPHONE5连接这个热点，同时使用SIRI业务，发现只有一台可用，另一台不可用。 (7)补充测试,在3G网络情况下,有一台IPHONE5上网,并开启WIFI热点,另一个IPHONE5 通过这个热点上网,两台终端同时访问SIRI业务,两台终端都能正常使用业务,即3G防火墙的动态方式是针对同一个私网地址的不同SESSION会随机映射成不同公网地址。 解决方法 解决这个的方法就是避免不同的苹果终端通过防火墙映射到同样的公网地址，目前的解决方法是将防火墙上静态NAT444改成动态方式，但是这样对溯源比较麻烦，下一步的调整方案可以从以下几个方面入手，其一，调整PGW地址池分配方式，让地址分配得更随机些，这样映射出去的地址段更大，冲突几率更小；其二，优化防火墙的NAT444策略，比如启用动态NAT444；其三，