[ITNOG] automazione abbattimento/disabilitazione accesso su BRAS

Sergio Chiesa schiesa@clouditalia.com
Ven 8 Giu 2018 15:30:01 CEST


Ciao a tutti,

volendo evitare l'accesso CLI puoi usare la Cisco-AAA-Session-MIB, 
scrivendo una particolare variabile si resetta la sessione, ricavandone 
il session id, ad esempio, dai 32 bit esadecimali dell'Acct-Session-Id 
radius. Bisogna ricordarsi di abilitarla con "aaa session-mib disconnect".

Ciao,
Sergioc.


On 06/08/2018 11:42 AM, Matteo Sgalaberni wrote:
> Ciao a tutti,
>
> sto cercando un modo "automatico" per potere abbattere degli accessi PPP connessi su BRAS Cisco 7200 tramite un comando esterno (che integro in un CRM/orchestratore).
>
> Sto cercando un modo in particolare per farlo sull'insieme di accessi di raccolta "Bitstream GBE"  che mi vengono consegnati su interfacce Gbe con VLAN single tag.
>
> Se fossero doubletag avrei una subinterface da poter abbattere con uno shutdown che orchestro tramite un trigger SNMP che fa il download della configurazione tramite TFTP (ciscoConfigCopyMIB).
>
> Essendo singletag e non avendo una subinterface da abbattere, devo trovare un modo per ingaggiare da fuori il drop della connessione e inibire la risalita dell'interfaccia PPP.
>
> Per risolvere questo problema ho pensato di adottare questa soluzione:
> 1) cambio la password dell'utente sul radius, di fatto "disabilitandolo"
> 2) invio al BRAS un pacchetto Radius di tipo Packet Of Disconnect di disconnessione dell'utente. Ho trovato info su questa feature (che dovrebbe essere comunque supportata anche dal mio IOS/piattaforma)
> https://www.cisco.com/c/en/us/td/docs/ios-xml/ios/sec_usr_aaa/configuration/xe-16/sec-usr-aaa-xe-16-book/sec-rad-pack-disctnt.html
>
> In quel modo l'utente verrebbe abbattuto e non risale perchè la password è sbagliata.
>
> Il mio problema è che nel mio ambiente di test, quando applico il comando definito al link (2) cioè "aaa pod server server-key xyz123", la porta TCP non si apre sul BRAS.
>
> Qualcuno di voi ha mai usato il Radius POD su IOS oppure ha approcciato la tematica di "disabilitazione e abbattimento" di un utente in maniera automatica con altri meccanismi?
>
> magari ci sono altre strade più furbe / semplici...
>
> Grazie e chi mi può/vorrà aiutare!
>
> Ciao e buon lavoro,
>
> Matteo
>

-- 
Sergio Chiesa
DataNetwork Engineering
Clouditalia Telecomunicazioni S.p.A.

"Quando sento la parola QoS metto mano alla pistola" (Antonio Baldassarra)
http://wiki.news.nic.it/QuotarBene



Maggiori informazioni sulla lista itnog