[ITNOG] automazione abbattimento/disabilitazione accesso su BRAS

Denis Beltramo dbeltramo@enter.eu
Ven 8 Giu 2018 15:35:47 CEST


Ciao,

snmp è configurato correttamente read/write?


On 08/06/2018 15:30, Sergio Chiesa wrote:
> Ciao a tutti,
>
> volendo evitare l'accesso CLI puoi usare la Cisco-AAA-Session-MIB, 
> scrivendo una particolare variabile si resetta la sessione, 
> ricavandone il session id, ad esempio, dai 32 bit esadecimali 
> dell'Acct-Session-Id radius. Bisogna ricordarsi di abilitarla con "aaa 
> session-mib disconnect".
>
> Ciao,
> Sergioc.
>
>
> On 06/08/2018 11:42 AM, Matteo Sgalaberni wrote:
>> Ciao a tutti,
>>
>> sto cercando un modo "automatico" per potere abbattere degli accessi 
>> PPP connessi su BRAS Cisco 7200 tramite un comando esterno (che 
>> integro in un CRM/orchestratore).
>>
>> Sto cercando un modo in particolare per farlo sull'insieme di accessi 
>> di raccolta "Bitstream GBE"  che mi vengono consegnati su interfacce 
>> Gbe con VLAN single tag.
>>
>> Se fossero doubletag avrei una subinterface da poter abbattere con 
>> uno shutdown che orchestro tramite un trigger SNMP che fa il download 
>> della configurazione tramite TFTP (ciscoConfigCopyMIB).
>>
>> Essendo singletag e non avendo una subinterface da abbattere, devo 
>> trovare un modo per ingaggiare da fuori il drop della connessione e 
>> inibire la risalita dell'interfaccia PPP.
>>
>> Per risolvere questo problema ho pensato di adottare questa soluzione:
>> 1) cambio la password dell'utente sul radius, di fatto "disabilitandolo"
>> 2) invio al BRAS un pacchetto Radius di tipo Packet Of Disconnect di 
>> disconnessione dell'utente. Ho trovato info su questa feature (che 
>> dovrebbe essere comunque supportata anche dal mio IOS/piattaforma)
>> https://www.cisco.com/c/en/us/td/docs/ios-xml/ios/sec_usr_aaa/configuration/xe-16/sec-usr-aaa-xe-16-book/sec-rad-pack-disctnt.html 
>>
>>
>> In quel modo l'utente verrebbe abbattuto e non risale perchè la 
>> password è sbagliata.
>>
>> Il mio problema è che nel mio ambiente di test, quando applico il 
>> comando definito al link (2) cioè "aaa pod server server-key xyz123", 
>> la porta TCP non si apre sul BRAS.
>>
>> Qualcuno di voi ha mai usato il Radius POD su IOS oppure ha 
>> approcciato la tematica di "disabilitazione e abbattimento" di un 
>> utente in maniera automatica con altri meccanismi?
>>
>> magari ci sono altre strade più furbe / semplici...
>>
>> Grazie e chi mi può/vorrà aiutare!
>>
>> Ciao e buon lavoro,
>>
>> Matteo
>>
>

-- 
Denis Beltramo
Network Manager
  
Enter | The open network and cloud provider

Via Privata Stefanardo da Vimercate 28
20128 Milano
www.enter.it
  
Mobile: +39 3496910568



Maggiori informazioni sulla lista itnog