[ITNOG] automazione abbattimento/disabilitazione accesso su BRAS

Octavio Melendres o.melendres@fastnet.it
Ven 8 Giu 2018 13:12:01 CEST


Solitamente ce una interfaccia Virtual-Access associata ad ogni 
connessione PPP.

Con "show users" puoi identificarle per puoi abbatterla con "clear 
interface Virtual-Access xxx"

-- 
Octavio

Il 08/06/2018 11:42, Matteo Sgalaberni ha scritto:
> Ciao a tutti,
>
> sto cercando un modo "automatico" per potere abbattere degli accessi PPP connessi su BRAS Cisco 7200 tramite un comando esterno (che integro in un CRM/orchestratore).
>
> Sto cercando un modo in particolare per farlo sull'insieme di accessi di raccolta "Bitstream GBE"  che mi vengono consegnati su interfacce Gbe con VLAN single tag.
>
> Se fossero doubletag avrei una subinterface da poter abbattere con uno shutdown che orchestro tramite un trigger SNMP che fa il download della configurazione tramite TFTP (ciscoConfigCopyMIB).
>
> Essendo singletag e non avendo una subinterface da abbattere, devo trovare un modo per ingaggiare da fuori il drop della connessione e inibire la risalita dell'interfaccia PPP.
>
> Per risolvere questo problema ho pensato di adottare questa soluzione:
> 1) cambio la password dell'utente sul radius, di fatto "disabilitandolo"
> 2) invio al BRAS un pacchetto Radius di tipo Packet Of Disconnect di disconnessione dell'utente. Ho trovato info su questa feature (che dovrebbe essere comunque supportata anche dal mio IOS/piattaforma)
> https://www.cisco.com/c/en/us/td/docs/ios-xml/ios/sec_usr_aaa/configuration/xe-16/sec-usr-aaa-xe-16-book/sec-rad-pack-disctnt.html
>
> In quel modo l'utente verrebbe abbattuto e non risale perchè la password è sbagliata.
>
> Il mio problema è che nel mio ambiente di test, quando applico il comando definito al link (2) cioè "aaa pod server server-key xyz123", la porta TCP non si apre sul BRAS.
>
> Qualcuno di voi ha mai usato il Radius POD su IOS oppure ha approcciato la tematica di "disabilitazione e abbattimento" di un utente in maniera automatica con altri meccanismi?
>
> magari ci sono altre strade più furbe / semplici...
>
> Grazie e chi mi può/vorrà aiutare!
>
> Ciao e buon lavoro,
>
> Matteo
>



Maggiori informazioni sulla lista itnog