[ITNOG] automazione abbattimento/disabilitazione accesso su BRAS

Matteo Sgalaberni sgala@sgala.com
Mar 12 Giu 2018 15:08:21 CEST


----- On Jun 8, 2018, at 2:14 PM, Brian Turnbow b.turnbow@twt.it wrote:

> Ciao Matteo,
> 
> Noi lo utilizziamo.
> Attn che la porta è UDP e non TCP .
> Mandiamo con radclient il pachetto di disconnect e funziona traquilamente.
> 

Grazie Brian per avermi dato speranza!;)

Ho poi trovato da questo link spunti più azzeccati al mio IOS:
https://www.cisco.com/c/en/us/td/docs/ios-xml/ios/sec_usr_aaa/configuration/15-sy/sec-usr-aaa-15-sy-book/sec-rad-coa.html

Ho così scoperto che la funzione (Packet of Disconnect) POD è implementata all'interno della funzione che si chiama Change of Authorization (COA) e va autorizzato il radius client 
che eseguirà la richiesta.

Configurato quindi sul bras:

aaa server radius dynamic-author
  client IPDELCLIENT server-key CHIAVE
  auth-type any

come POC ho eseguito dal server con IPDELCLIENT:
> echo "User-Name = 75771" | radclient -x XX:1700 disconnect CHIAVE
Sending Disconnect-Request of id 37 to XX port 1700
 User-Name = "757771"
rad_recv: Disconnect-ACK packet from host XX port 1700, id=37, length=20

e l'accesso con username 757771 è stato abbattuto.

Missione compiuta!

Un grazie anche a Sergio Chiesa per l'hint sulla MIB SNMP con cui si potrebbe implementare equivalentemente questa funzionalità!

Tutto è bene quel che finisce bene!

Ciao a tutti e grazie,

Matteo Sgalaberni


Maggiori informazioni sulla lista itnog