BRAS存在未认证用户上线案例

故障现象

接某地客户通报，在AAA侧发现部分宽带用户上送了计费消息，但并未在AAA侧认证，要求排查原因。

故障分析

由于用户上线时未进行AAA 认证，但是上送了计费消息，可推断用户已通过不认证上线，可能有如下原因：

BRAS认证模板配置问题。RADIUS故障导致用户转为none认证。AAA侧的原因。

故障处理

1. 检查BRAS侧认证模板配置，配置显示为radius-none认证。

2. 使用show subscriber user-mac命令查看用户在线信息，发现用户authentication-mode为none，推断此用户为未经过认证上线。

3. 继续查看用户未认证原因。发现用户均是在凌晨时间上线，因此怀疑此时AAA存在割接操作，于是和AAA侧确认，AAA侧反馈在用户上线时间左右，确实存在AAA割接，于是初步判定和AAA割接有关。

4. 由于AAA告知割接影响中断时间不大于1秒，正常情况下不会影响认证，且同网络友商BRAS并未出现此问题，于是继续排查原因。

5. 最终定位原因为：当AAA割接时网络中只要有一个丢包，即可能会导致转为radius-none认证。如图1所示，当第一个认证报文被丢包后，认证模板默认3秒会超时转为none，此时并未来得及重传就已经超时，因此用户会转为none认证上线。

图1 BRAS用户认证工作过程示意图

6. 经确认，需修改认证模板的超时时间，具体如下。

故障总结

宽带用户在认证过程中可能遇到AAA平台割接，需通过修改自身模板的超时时间来规避无法认证的风险。

在用户不认证上线后，属于非法用户，可通过配置绝对超时时间来强制此类用户自动下线。