Hohe CPU-Last bei Verwendung von Captive Portal

[ThomasE]

Hallo,

derzeit betreiben wir an reichlich 50 Standorten offene WLANs in jeweils separaten VLANs mit einem zentralen Captive Portal, was eine Authentifizierung gegen einen LDAP-Server durchführt. Die Anzahl der gleichzeitigen CP-Sessions bewegt sich im unteren dreistelligen Bereich, und die Gesamtbandbreite wird bereits vor der OPNsense am Switch auf 50MBit/s für alle CPs zusammen begrenzt. (Das ist sehr wenig, aber durchaus beabsichtigt.)

Trotz großzügig dimensionierter Hardware - Intel(R) Xeon(R) E-2378 CPU @ 2.60GHz (8 cores, 16 threads), 64GB RAM - erleben wir hier eine sehr hohe CPU-Auslastung (Load Average >20) verursacht durch lighttpd, die zu spürbaren Performanceeinbußen führt. Das System schafft ansonsten ziemlich entspannt einen Datendurchsatz von mehreren GBit/s verteilt auf knapp 500 Netze.

Was genau passiert hier also, warum passiert es und wie könnten wir Abhilfe schaffen?

Unsere gegenwärtigen Vermutungen gehen in die Richtung, dass viele Smartphones, die zufällig einem unserer offenen WLANs begegnen, vom Nutzer unbemerkt und ungewollt bereits mit dem Captive Portal interagieren und zwar ohne, dass es hier eine erfolgreiche Anmeldung oder auch nur einen Anmeldeversuch gibt. (Die meisten Smartphones erkennen ja inzwischen von sich aus, dass es ein offenes WLAN mit Captive Portal gibt.) Ist dieses "Rauschen" möglicherweise schon genug, um das System signifikant auszulasten?

Eine weitere Eigenheit in unserer Konfiguration ist, dass wir genau ein Captive Portal für 50 verschiedene Schnittstellen/Standorte haben. Wäre hier möglicherweise eine Entlastung zu erwarten, wenn wir für jeden Standort ein eigenes Captive Portal machen würden?

Als letzten Ausweg hätten wir noch die Option, die WLANs selbst mit einem (vergleichsweise einfachen) Passwort zu schützen, was zumindest die ungewollten "Kontakte" von vorn herein vermeiden würde...

VLG
Thomas