Matteo Sgalaberni
2018-06-08 09:42:49 UTC
Ciao a tutti,
sto cercando un modo "automatico" per potere abbattere degli accessi PPP connessi su BRAS Cisco 7200 tramite un comando esterno (che integro in un CRM/orchestratore).
Sto cercando un modo in particolare per farlo sull'insieme di accessi di raccolta "Bitstream GBE" che mi vengono consegnati su interfacce Gbe con VLAN single tag.
Se fossero doubletag avrei una subinterface da poter abbattere con uno shutdown che orchestro tramite un trigger SNMP che fa il download della configurazione tramite TFTP (ciscoConfigCopyMIB).
Essendo singletag e non avendo una subinterface da abbattere, devo trovare un modo per ingaggiare da fuori il drop della connessione e inibire la risalita dell'interfaccia PPP.
Per risolvere questo problema ho pensato di adottare questa soluzione:
1) cambio la password dell'utente sul radius, di fatto "disabilitandolo"
2) invio al BRAS un pacchetto Radius di tipo Packet Of Disconnect di disconnessione dell'utente. Ho trovato info su questa feature (che dovrebbe essere comunque supportata anche dal mio IOS/piattaforma)
https://www.cisco.com/c/en/us/td/docs/ios-xml/ios/sec_usr_aaa/configuration/xe-16/sec-usr-aaa-xe-16-book/sec-rad-pack-disctnt.html
In quel modo l'utente verrebbe abbattuto e non risale perchè la password è sbagliata.
Il mio problema è che nel mio ambiente di test, quando applico il comando definito al link (2) cioè "aaa pod server server-key xyz123", la porta TCP non si apre sul BRAS.
Qualcuno di voi ha mai usato il Radius POD su IOS oppure ha approcciato la tematica di "disabilitazione e abbattimento" di un utente in maniera automatica con altri meccanismi?
magari ci sono altre strade più furbe / semplici...
Grazie e chi mi può/vorrà aiutare!
Ciao e buon lavoro,
Matteo
sto cercando un modo "automatico" per potere abbattere degli accessi PPP connessi su BRAS Cisco 7200 tramite un comando esterno (che integro in un CRM/orchestratore).
Sto cercando un modo in particolare per farlo sull'insieme di accessi di raccolta "Bitstream GBE" che mi vengono consegnati su interfacce Gbe con VLAN single tag.
Se fossero doubletag avrei una subinterface da poter abbattere con uno shutdown che orchestro tramite un trigger SNMP che fa il download della configurazione tramite TFTP (ciscoConfigCopyMIB).
Essendo singletag e non avendo una subinterface da abbattere, devo trovare un modo per ingaggiare da fuori il drop della connessione e inibire la risalita dell'interfaccia PPP.
Per risolvere questo problema ho pensato di adottare questa soluzione:
1) cambio la password dell'utente sul radius, di fatto "disabilitandolo"
2) invio al BRAS un pacchetto Radius di tipo Packet Of Disconnect di disconnessione dell'utente. Ho trovato info su questa feature (che dovrebbe essere comunque supportata anche dal mio IOS/piattaforma)
https://www.cisco.com/c/en/us/td/docs/ios-xml/ios/sec_usr_aaa/configuration/xe-16/sec-usr-aaa-xe-16-book/sec-rad-pack-disctnt.html
In quel modo l'utente verrebbe abbattuto e non risale perchè la password è sbagliata.
Il mio problema è che nel mio ambiente di test, quando applico il comando definito al link (2) cioè "aaa pod server server-key xyz123", la porta TCP non si apre sul BRAS.
Qualcuno di voi ha mai usato il Radius POD su IOS oppure ha approcciato la tematica di "disabilitazione e abbattimento" di un utente in maniera automatica con altri meccanismi?
magari ci sono altre strade più furbe / semplici...
Grazie e chi mi può/vorrà aiutare!
Ciao e buon lavoro,
Matteo
--
Ma
Ma