BRAS存在未認證用戶上線案例

故障現象

接某地客戶通報，在AAA側發(fā)現部分寬帶用戶上送了計費消息，但并未在AAA側認證，要求排查原因。

故障分析

由于用戶上線時未進行AAA 認證，但是上送了計費消息，可推斷用戶已通過不認證上線，可能有如下原因：

BRAS認證模板配置問題。RADIUS故障導致用戶轉為none認證。AAA側的原因。

故障處理

1. 檢查BRAS側認證模板配置，配置顯示為radius-none認證。

2. 使用show subscriber user-mac命令查看用戶在線信息，發(fā)現用戶authentication-mode為none，推斷此用戶為未經過認證上線。

3. 繼續(xù)查看用戶未認證原因。發(fā)現用戶均是在凌晨時間上線，因此懷疑此時AAA存在割接操作，于是和AAA側確認，AAA側反饋在用戶上線時間左右，確實存在AAA割接，于是初步判定和AAA割接有關。

4. 由于AAA告知割接影響中斷時間不大于1秒，正常情況下不會影響認證，且同網絡友商BRAS并未出現此問題，于是繼續(xù)排查原因。

5. 最終定位原因為：當AAA割接時網絡中只要有一個丟包，即可能會導致轉為radius-none認證。如圖1所示，當第一個認證報文被丟包后，認證模板默認3秒會超時轉為none，此時并未來得及重傳就已經超時，因此用戶會轉為none認證上線。

圖1?BRAS用戶認證工作過程示意圖

6. 經確認，需修改認證模板的超時時間，具體如下。

故障總結

寬帶用戶在認證過程中可能遇到AAA平臺割接，需通過修改自身模板的超時時間來規(guī)避無法認證的風險。

在用戶不認證上線后，屬于非法用戶，可通過配置絕對超時時間來強制此類用戶自動下線。