[ITNOG] automazione abbattimento/disabilitazione accesso su BRAS

Brian Turnbow b.turnbow@twt.it
Ven 8 Giu 2018 14:14:52 CEST


Ciao Matteo,

Noi lo utilizziamo.
Attn che la porta è UDP e non TCP .
Mandiamo con radclient il pachetto di disconnect e funziona traquilamente.

Invece di cambiare il pwd potete anche inserire lo user in un vrf /redirect 
e usare un captive portale
Cosi non tenta di autenticarsi mille volte con il password sbagliato e 
potete anche dare un avviso al utente della motivazione.


Brian



> -----Original Message-----
> From: itnog [mailto:itnog-bounces@lists.itnog.it] On Behalf Of Matteo
> Sgalaberni
> Sent: venerdì 8 giugno 2018 11:43
> To: itnog
> Subject: [ITNOG] automazione abbattimento/disabilitazione accesso su BRAS
>
> Ciao a tutti,
>
> sto cercando un modo "automatico" per potere abbattere degli accessi PPP
> connessi su BRAS Cisco 7200 tramite un comando esterno (che integro in un
> CRM/orchestratore).
>
> Sto cercando un modo in particolare per farlo sull'insieme di accessi di
> raccolta "Bitstream GBE"  che mi vengono consegnati su interfacce Gbe con
> VLAN single tag.
>
> Se fossero doubletag avrei una subinterface da poter abbattere con uno
> shutdown che orchestro tramite un trigger SNMP che fa il download della
> configurazione tramite TFTP (ciscoConfigCopyMIB).
>
> Essendo singletag e non avendo una subinterface da abbattere, devo trovare
> un modo per ingaggiare da fuori il drop della connessione e inibire la 
> risalita
> dell'interfaccia PPP.
>
> Per risolvere questo problema ho pensato di adottare questa soluzione:
> 1) cambio la password dell'utente sul radius, di fatto "disabilitandolo"
> 2) invio al BRAS un pacchetto Radius di tipo Packet Of Disconnect di
> disconnessione dell'utente. Ho trovato info su questa feature (che 
> dovrebbe
> essere comunque supportata anche dal mio IOS/piattaforma)
> https://www.cisco.com/c/en/us/td/docs/ios-
> xml/ios/sec_usr_aaa/configuration/xe-16/sec-usr-aaa-xe-16-book/sec-rad-
> pack-disctnt.html
>
> In quel modo l'utente verrebbe abbattuto e non risale perchè la password è
> sbagliata.
>
> Il mio problema è che nel mio ambiente di test, quando applico il comando
> definito al link (2) cioè "aaa pod server server-key xyz123", la porta TCP 
> non si
> apre sul BRAS.
>
> Qualcuno di voi ha mai usato il Radius POD su IOS oppure ha approcciato la
> tematica di "disabilitazione e abbattimento" di un utente in maniera
> automatica con altri meccanismi?
>
> magari ci sono altre strade più furbe / semplici...
>
> Grazie e chi mi può/vorrà aiutare!
>
> Ciao e buon lavoro,
>
> Matteo
>
> --
> Mailing list info: http://lists.itnog.it/listinfo/itnog


Maggiori informazioni sulla lista itnog