BRAS存在未認(rèn)證用戶上線案例

故障現(xiàn)象

接某地客戶通報，在AAA側(cè)發(fā)現(xiàn)部分寬帶用戶上送了計費消息，但并未在AAA側(cè)認(rèn)證，要求排查原因。

故障分析

由于用戶上線時未進(jìn)行AAA 認(rèn)證，但是上送了計費消息，可推斷用戶已通過不認(rèn)證上線，可能有如下原因：

BRAS認(rèn)證模板配置問題。RADIUS故障導(dǎo)致用戶轉(zhuǎn)為none認(rèn)證。AAA側(cè)的原因。

故障處理

1. 檢查BRAS側(cè)認(rèn)證模板配置，配置顯示為radius-none認(rèn)證。

2. 使用show subscriber user-mac命令查看用戶在線信息，發(fā)現(xiàn)用戶authentication-mode為none，推斷此用戶為未經(jīng)過認(rèn)證上線。

3. 繼續(xù)查看用戶未認(rèn)證原因。發(fā)現(xiàn)用戶均是在凌晨時間上線，因此懷疑此時AAA存在割接操作，于是和AAA側(cè)確認(rèn)，AAA側(cè)反饋在用戶上線時間左右，確實存在AAA割接，于是初步判定和AAA割接有關(guān)。

4. 由于AAA告知割接影響中斷時間不大于1秒，正常情況下不會影響認(rèn)證，且同網(wǎng)絡(luò)友商BRAS并未出現(xiàn)此問題，于是繼續(xù)排查原因。

5. 最終定位原因為：當(dāng)AAA割接時網(wǎng)絡(luò)中只要有一個丟包，即可能會導(dǎo)致轉(zhuǎn)為radius-none認(rèn)證。如圖1所示，當(dāng)?shù)谝粋€認(rèn)證報文被丟包后，認(rèn)證模板默認(rèn)3秒會超時轉(zhuǎn)為none，此時并未來得及重傳就已經(jīng)超時，因此用戶會轉(zhuǎn)為none認(rèn)證上線。

圖1?BRAS用戶認(rèn)證工作過程示意圖

6. 經(jīng)確認(rèn)，需修改認(rèn)證模板的超時時間，具體如下。

故障總結(jié)

寬帶用戶在認(rèn)證過程中可能遇到AAA平臺割接，需通過修改自身模板的超時時間來規(guī)避無法認(rèn)證的風(fēng)險。

在用戶不認(rèn)證上線后，屬于非法用戶，可通過配置絕對超時時間來強(qiáng)制此類用戶自動下線。