BRAS存在未認證用戶上線案例

故障現(xiàn)象

接某地客戶通報，在AAA側(cè)發(fā)現(xiàn)部分寬帶用戶上送了計費消息，但并未在AAA側(cè)認證，要求排查原因。

故障分析

由于用戶上線時未進行AAA 認證，但是上送了計費消息，可推斷用戶已通過不認證上線，可能有如下原因：

BRAS認證模板配置問題。RADIUS故障導致用戶轉(zhuǎn)為none認證。AAA側(cè)的原因。

故障處理

1. 檢查BRAS側(cè)認證模板配置，配置顯示為radius-none認證。

2. 使用show subscriber user-mac命令查看用戶在線信息，發(fā)現(xiàn)用戶authentication-mode為none，推斷此用戶為未經(jīng)過認證上線。

3. 繼續(xù)查看用戶未認證原因。發(fā)現(xiàn)用戶均是在凌晨時間上線，因此懷疑此時AAA存在割接操作，于是和AAA側(cè)確認，AAA側(cè)反饋在用戶上線時間左右，確實存在AAA割接，于是初步判定和AAA割接有關。

4. 由于AAA告知割接影響中斷時間不大于1秒，正常情況下不會影響認證，且同網(wǎng)絡友商BRAS并未出現(xiàn)此問題，于是繼續(xù)排查原因。

5. 最終定位原因為：當AAA割接時網(wǎng)絡中只要有一個丟包，即可能會導致轉(zhuǎn)為radius-none認證。如圖1所示，當?shù)谝粋€認證報文被丟包后，認證模板默認3秒會超時轉(zhuǎn)為none，此時并未來得及重傳就已經(jīng)超時，因此用戶會轉(zhuǎn)為none認證上線。

圖1?BRAS用戶認證工作過程示意圖

6. 經(jīng)確認，需修改認證模板的超時時間，具體如下。

故障總結(jié)

寬帶用戶在認證過程中可能遇到AAA平臺割接，需通過修改自身模板的超時時間來規(guī)避無法認證的風險。

在用戶不認證上線后，屬于非法用戶，可通過配置絕對超時時間來強制此類用戶自動下線。