Настройка AAA

aaa accounting commands

Данной командой конфигурируется список способов учета команд, введённых в CLI.

Использование отрицательной формы команды (no) устанавливает значение по умолчанию.

Синтаксис

aaa accounting commands stop-only <METHOD>

no aaa accounting commands stop-only

Параметры

<METHOD> – способы учета:

tacacs – учет введенных команд по протоколу TACACS.

Значение по умолчанию

Учёт не ведется.

Необходимый уровень привилегий

15

Командный режим

CONFIG

Пример:

esr(config)# aaa accounting commands stop-only tacacs

CODE

aaa accounting login

Данной командой конфигурируется список способов учета сессий пользователей. Ведение учета активируется и прекращается, когда пользователь входит и отключается от системы, что соответствует значениям «start» и «stop» в сообщениях протоколов RADIUS и TACACS.

Использование отрицательной формы команды (no) устанавливает значение по умолчанию.

Синтаксис

aaa accounting login start-stop <METHOD 1> [ <METHOD 2> ]

no aaa accounting login start-stop

Параметры

<METHOD> – способы учета:

tacacs – учет сессий по протоколу TACACS;
radius – учет сессий по протоколу RADIUS.

Значение по умолчанию

Учет сессий ведется в локальный журнал.

Необходимый уровень привилегий

15

Командный режим

CONFIG

Пример:

esr(config)# aaa accounting login start-stop tacacs

CODE

aaa authentication attempts max-fail

Данной командой устанавливается максимальное количество неудачных попыток аутентификации до блокировки пользователя и время, на которое происходит блокировка.

Использование отрицательной формы команды (no), значения количества попыток и период блокировки устанавливает по умолчанию.

Синтаксис

aaa authentication attempts max-fail <COUNT> <TIME>

no aaa authentication attempts max-fail

Параметры

<COUNT> – количество неудачных попыток аутентификации, после которых произойдет блокировка пользователя, принимает значения [1..65535];

<TIME> – интервал времени в секундах, на который будет заблокирован пользователь, принимает значения [1..65535].

Значение по умолчанию

Количество неудачных попыток – 5

Период блокировки – 300

Необходимый уровень привилегий

15

Командный режим

CONFIG

Пример:

esr(config)# aaa authentication attempts max-fail 5 30

CODE

aaa authentication enable

Данной командой создаются списки способов аутентификации повышения привилегий пользователей. При неудачной попытке аутентификации по одному способу происходит попытка аутентификации по следующему в списке.

В конфигурации по умолчанию существует список с именем «default». Список «default» содержит один способ аутентификации – «enable». Чтобы использовать список для аутентификации повышения привилегий пользователей, необходимо выполнить его привязку командой, описанной в разделе enable authentication.

Использование отрицательной формы команды (no) удаляет список способов аутентификации.

Синтаксис

aaa authentication enable <NAME> <METHOD 1> [ <METHOD 2> ] [ <METHOD 3> ] [ <METHOD 4> ]

no aaa authentication enable <NAME>

Параметры

<NAME> – имя списка: строка до 31 символа;

default – имя списка «default».

<METHOD> – способы аутентификации:

enable – аутентификация с помощью enable-паролей;
tacacs – аутентификация по протоколу TACACS;
radius – аутентификация по протоколу RADIUS;
ldap – аутентификация по протоколу LDAP.

Необходимый уровень привилегий

15

Командный режим

CONFIG

Пример:

esr(config)# aaa authentication enable enable-test tacacs enable

CODE

aaa authentication login

Данной командой создаются списки способов аутентификации входа пользователей в систему. При неудачной попытке аутентификации по одному способу происходит попытка аутентификации по следующему в списке.

В конфигурации по умолчанию существует список с именем «default», данный список содержит один способ аутентификации – «local». Чтобы использовать список для аутентификации входа пользователей, необходимо выполнить его активацию командой, описанной в разделе login authentication.

Использование отрицательной формы команды (no) удаляет список способов аутентификации.

Синтаксис

 aaa authentication login { default | <NAME> } <METHOD 1> [ <METHOD 2> ] [ <METHOD 3> ] 
[ <METHOD 4> ]

 no aaa authentication login { default | <NAME> }

Параметры

<NAME> – имя списка, задаётся строкой до 31 символа;

Способы аутентификации:

local – аутентификация с помощью локальной базы пользователей;
tacacs – аутентификация по списку TACACS-серверов;
radius – аутентификация по списку RADIUS-серверов;
ldap – аутентификация по списку LDAP-серверов.

Необходимый уровень привилегий

15

Командный режим

CONFIG

Пример:

esr(config)# aaa authentication login login-test tacacs local

CODE

aaa authentication mode

Данной командой определяется режим работы со списками методов аутентификации.

Использование отрицательной формы команды (no) удаляет список способов аутентификации.

Синтаксис

[no] aaa authentication mode { break | chain }

Параметры

break – при аутентификации будут использоваться последующие методы в случае недоступности более приоритетного;

chain – при аутентификации будут использоваться последующие методы в случае получения отказа от более приоритетного.

Значение по умолчанию

chain

Необходимый уровень привилегий

15

Командный режим

CONFIG

Пример:

esr(config)# aaa authentication mode break

CODE

aaa das-profile

Данная командаиспользуется для добавления профиля серверов динамической авторизации (DAS) и перехода в командный режим DAS SERVER PROFILE.

Использование отрицательной формы команды (no) удаляет заданный профиль серверов динамической авторизации (DAS).

Синтаксис

[no] aaa das-profile <NAME>

Параметры

<NAME> – имя профиля серверов динамической авторизации (DAS), задается строкой до 31 символа.

Необходимый уровень привилегий

15

Командный режим

CONFIG

Пример:

esr(config)# aaa das-profile profile1
esr(config-aaa-das-profile)#

CODE

aaa disable

Данной командой отключает доступ на маршрутизатор через консольный интерфейс.

При использовании отрицательной формы команды (no) доступ на маршрутизатор через консольный интерфейс включается.

Синтаксис

[no] aaa disable

Параметры

Команда не содержит параметров.

Значение по умолчанию

Доступ на маршрутизатор через консольный интерфейс включен.

Необходимый уровень привилегий

10

Командный режим

CONFIG-LINE-CONSOLE

Пример:

esr(config-line-console)# aaa disable

CODE

aaa radius-profile

Данная команда используется для добавления профиля RADIUS-серверов и перехода в командный режим RADIUS SERVER PROFILE.

Использование отрицательной формы команды (no) удаляет заданный профиль RADIUS-серверов.

Синтаксис

[no] aaa radius-profile <NAME>

Параметры

<NAME> – имя профиля RADIUS-серверов, задается строкой до 31 символа.

Необходимый уровень привилегий

15

Командный режим

CONFIG

Пример:

esr(config)# aaa radius-profile profile1
esr(config-aaa-radius-profile)#

CODE

acct-port

Данной командой задаётся номер порта для обмена данными c удаленным RADIUS-сервером при выполнении аккаунтинга.

Использование отрицательной формы команды (no) устанавливает значение по умолчанию.

Синтаксис

acct-port <PORT>

no acct-port

Параметры

<PORT> – номер UDP-порта для обмена данными c удаленным сервером, принимает значения [1..65535].

Значение по умолчанию

1813

Необходимый уровень привилегий

15

Командный режим

CONFIG-RADIUS-SERVER

Пример:

esr(config-radius-server)# acct-port 4444

CODE

auth-port

Данной командой задаётся номер порта для обмена данными c удаленным RADIUS-сервером при выполнении аутентификации и авторизации.

Использование отрицательной формы команды (no) устанавливает значение по умолчанию.

Синтаксис

auth-port <PORT>

no auth-port

Параметры

<PORT> – номер UDP-порта для обмена данными c удаленным сервером, принимает значения [1..65535].

Значение по умолчанию

1812

Необходимый уровень привилегий

15

Командный режим

CONFIG-RADIUS-SERVER

Пример:

esr(config-radius-server)# auth-port 4444

CODE

clear users blocked

Данной командой удаляется информация о неправильных попытках аутентификации различных пользователей.

Синтаксис

 clear users blocked <NAME>

Параметры

<NAME> – имя пользователя, для которого необходимо очистить статистику неправильных попытках аутентификации, задаётся строкой до 31 символа.

Без указания имени пользователя очищается вся таблица неправильных попыток аутентификации.

Необходимый уровень привилегий

15

Командный режим

ROOT

Пример:

esr# clear users blocked

CODE

clear user-session

Данной командой закрывается рабочая сессия пользователя CLI.

Синтаксис

 clear user-session [ <USERNAME> | <SESSION> ]

Параметры

<NAME> – имя пользователя сессию которого необходимо закрыть, задаётся строкой до 31 символа.

<SESSION> – номер терминальной сессии которую необходимо закрыть, задаётся числов в диапазоне [1..10].

Необходимый уровень привилегий

15

Командный режим

ROOT

Пример:

esr# clear users-session

CODE

clients

Данной командой определяется список клиентов динамической авторизации (DAC), на запросы которых будет отвечать сервер динамической авторизации (DAS).

Использование отрицательной формы команды (no) удаляет список клиентов динамической авторизации (DAC).

Синтаксис

clients object-group <NAME>

no clients

Параметры

<NAME> – имя профиля IP-адресов, содержащий адреса клиентов динамической авторизации, задаётся строкой до 31 символа.

Необходимый уровень привилегий

15

Командный режим

CONFIG-DAS-SERVER

Пример:

esr(config-das-server)# clients object-group pcrf

CODE

das-server

Данная команда используется для добавления сервера динамической авторизации (DAS) и перехода в командный режим DAS SERVER. Сервера динамической авторизации (DAS) принимают RADIUS CoA запросы от клиентов динамической авторизации (DAC), например отключение или повторный запрос списка сервисов пользователя.

Использование отрицательной формы команды (no) удаляет заданный сервер динамической авторизации (DAS).

Синтаксис

[no] das-server <NAME>

Параметры

<NAME> – имя сервера динамической авторизации (DAS), задается строкой до 31 символа.

Необходимый уровень привилегий

15

Командный режим

CONFIG

Пример

esr(config)# das-server main
esr(config-das-server)#

CODE

das-server

Данная команда используется для добавления сервера динамической авторизации (DAS) в конфигурируемый профиль серверов динамической авторизации.

Использование отрицательной формы команды (no) удаляет заданный сервер динамической авторизации (DAS).

Синтаксис

[no] das-server <NAME>

Параметры

<NAME> –имя сервера динамической авторизации (DAS), задается строкой до 31 символа.

Необходимый уровень привилегий

15

Командный режим

CONFIG-AAA-DAS-PROFILE

Пример

esr(config)# das-server mainesr(config-das-server)#

CODE

dead-interval

Данной командой задаётся интервал, в течении которого на RADIUS сервер не будут отправляться пакеты. В данное состояние RADIUS сервер переводится по истечении таймаута ожидания ответа на запрос последнего допустимого повтора (см. раздел radius-server retransmit).

Использование отрицательной формы команды (no) устанавливает значение по умолчанию.

Синтаксис

dead-interval <SEC>

no dead-interval

Параметры

<SEC> – период времени в секундах, принимает значения [0..3600].

Значение по умолчанию

120

Необходимый уровень привилегий

10

Командный режим

CONFIG-RADIUS-SERVER

Пример:

esr(config-radius-server)# dead-interval 600

CODE

description

Команда используется для изменения описания профиля серверов динамической авторизации (DAS) или профиля RADIUS-серверов.

Использование отрицательной формы команды (no) удаляет описание профиля.

Синтаксис

description <DESCRIPTION>

no description

Параметры

<DESCRIPTION> – описание профиля, задаётся строкой до 255 символов.

Необходимый уровень привилегий

10

Командный режим

CONFIG-DAS-SERVER-PROFILE

CONFIG-RADIUS-SERVER-PROFILE

Пример:

Установить описание для профиля IP-адресов:

esr(config-aaa-das-profile)# description "Main profile"

CODE

disable

Данной командой производится понижение уровня привилегий пользователя до первоначальных.

Синтаксис

disable

Параметры

Команда не содержит параметров.

Необходимый уровень привилегий

2

Командный режим

ROOT

Пример:

esr# disable
esr>

CODE

enable

Данной командой производится повышение уровня привилегий пользователя. Способы аутентификации повышения привилегий пользователей задаются с помощью команды, описанной в разделе aaa authentication attempts max-fail.

По умолчанию в конфигурации установлен метод аутентификации по паролю «enable». При этом пароли не заданы, то есть любой системный пользователь может получить 15 необходимый уровень привилегий.

Для аутентификации повышения привилегий по протоколам TACACS/RADIUS/LDAP на сервере должны быть созданы пользователи $enab<PRIV>$, где <PRIV> – необходимый уровень привилегий пользователя, который должен быть аутентифицирован.

Синтаксис

enable [ <PRIV> ]

Параметры

<PRIV> – необходимый уровень привилегий, принимает значение [2..15].

Значение по умолчанию

15

Необходимый уровень привилегий

1

Командный режим

ROOT

Пример:

esr> enable 10
esr#

CODE

enable authentication

Данной командой осуществляется активация списка аутентификации повышения привилегий пользователей, который будет использоваться в конфигурируемом терминале.

В конфигурации по умолчанию активным является список с именем «default», данный список содержит один способ аутентификации – «enable».

Использование отрицательной формы команды (no) делает список с именем «default» активным.

Синтаксис

enable authentication <NAME>

no enable authentication

Параметры

<NAME> – имя списка, задаётся строкой до 31 символа.

Значение по умолчанию

default

Необходимый уровень привилегий

15

Командный режим

CONFIG-LINE-CONSOLE

CONFIG-LINE-TELNET

CONFIG-LINE-SSH

Пример:

esr(config-line-console)# enable authentication enable-test

CODE

enable password

Данной командой устанавливается пароль, который будет запрашиваться при повышении уровня привилегий пользователя.

По умолчанию в конфигурации пароли не заданы, то есть любой системный пользователь может получить 15 необходимый уровень привилегий.

Использование отрицательной формы команды (no) удаляет пароль из системы.

Синтаксис

enable password { <CLEAR-TEXT> | encrypted <HASH_SHA512> } [ privilege <PRIV> ]

no enable password [ privilege <PRIV> ]

Параметры

<CLEAR-TEXT> – пароль, задаётся строкой [8 .. 32] символов, принимает значения [0-9a-fA-F];

<HASH_SHA512> – хеш пароля по алгоритму sha512, задаётся строкой из 110 символов;

<PRIV> – необходимый уровень привилегий, принимает значение [2..15], значение по умолчанию 15.

Необходимый уровень привилегий

15

Командный режим

CONFIG

Пример:

esr(config)# enable password 12345678 privilege 10

CODE

exec-timeout

Данной командой задаётся интервал, по истечении которого будет разрываться бездействующая сессия.

Использование отрицательной формы команды (no) устанавливает значение по умолчанию.

Синтаксис

exec-timeout <SEC>

no exec-timeout

Параметры

<SEC> – период времени в минутах, принимает значения [1..65535].

Значение по умолчанию

30 минут

Необходимый уровень привилегий

15

Командный режим

CONFIG-LINE-CONSOLE

CONFIG-LINE-SSH

CONFIG-LINE-TELNET

CONFIG-LINE-AUX¹

Пример:

esr(config-line-ssh)# exec-timeout 600

CODE

¹ Только для ESR-21

ip sftp enable

Данной командой на маршрутизаторе включается доступ по sftp для конфигурируемого пользователя.

При использовании отрицательной формы команды (no) отключает доступ по sftp для конфигурируемого пользователя.

Синтаксис

[no] ip sftp enable

Параметры

Отсутствуют

Значение по умолчанию

Выключено

Необходимый уровень привилегий

10

Командный режим

CONFIG-USER

Пример:

esr(config-user)# ip sftp enable

CODE

key

Данной командой задаётся пароль для аутентификации на удаленном сервере.

Использование отрицательной формы команды (no) удаляет заданный пароль для аутентификации на удаленном сервере.

Синтаксис

key ascii-text { <TEXT> | encrypted <ENCRYPTED-TEXT> }

no key

Параметры

<TEXT> – строка [8..16] ASCII-символов (для TACACS-сервера – до 60 символов);

<ENCRYPTED-TEXT> – зашифрованный пароль, размером [8..16] байт, задаётся строкой [16..32] символов (для TACACS-сервера – до 120 символов).

Необходимый уровень привилегий

15

Командный режим

CONFIG-TACACS-SERVER

CONFIG-RADIUS-SERVER

CONFIG-DAS-SERVER

Пример:

esr(config-tacacs-server)# key ascii-text 12345678

CODE

ldap-server base-dn

Данной командой задаётся базовый DN (Distinguished name), который будет использоваться при поиске пользователей.

Использование отрицательной формы команды (no) удаляет заданный базовый DN.

Синтаксис

ldap-server base-dn <NAME>

no ldap-server base-dn

Параметры

<NAME> – базовый DN, задается строкой до 255 символов.

Необходимый уровень привилегий

15

Командный режим

CONFIG

Пример:

esr(config)# ldap-server base-dn “dc=example,dc=com”

CODE

ldap-server bind authenticate root-dn

Данной командой задаётся DN (Distinguished name) пользователя с правами администратора, под которым будет происходить авторизация на LDAP-сервере при поиске пользователей.

Использование отрицательной формы команды (no) удаляет заданный DN пользователя.

Синтаксис

ldap-server bind authenticate root-dn <NAME>

no bind authenticate root-dn

Параметры

<NAME> – DN пользователя с правами администратора, задается строкой до 255 символов.

Необходимый уровень привилегий

15

Командный режим

CONFIG

Пример:

esr(config)# ldap-server bind authenticate root-dn “cn=admin,dc=example,dc=com”

CODE

ldap-server bind authenticate root-password

Данной командой задаётся пароль пользователя с правами администратора, под которым будет происходить авторизация на LDAP-сервере при поиске пользователей.

Использование отрицательной формы команды (no) удаляет заданный пароль пользователя.

Синтаксис

ldap-server bind authenticate root-password ascii-text { <TEXT> | encrypted <ENCRYPTED-TEXT> }

no bind authenticate root-password

Параметры

<TEXT> – строка [8..16] ASCII-символов;

<ENCRYPTED-TEXT> – зашифрованный пароль, размером [8..16] байт, задаётся строкой [16..32] символов.

Необходимый уровень привилегий

15

Командный режим

CONFIG

Пример:

esr(config)# ldap-server bind authenticate root-password ascii-text 12345678

CODE

ldap-server bind timeout

Данной командой задаётся интервал, по истечении которого устройство считает, что LDAP-сервер недоступен.

Использование отрицательной формы команды (no) устанавливает значение по умолчанию.

Синтаксис

ldap-server bind timeout <SEC>

no ldap-server bind timeout

Параметры

<SEC> – период времени в секундах, принимает значения [1..30].

Значение по умолчанию

3 секунды

Необходимый уровень привилегий

15

Командный режим

CONFIG

Пример:

esr(config)# ldap-server bind timeout 5

CODE

ldap-server dscp

Команда задаёт значение кода DSCP для использования в IP-заголовке исходящих пакетов LDAP-сервера.

Использование отрицательной формы команды (no) устанавливает значение DSCP по умолчанию.

Синтаксис

ldap-server dscp <DSCP>

no ldap-server dscp

Параметры

<DSCP> – значение кода DSCP, принимает значения в диапазоне [0..63].

Значение по умолчанию

63

Необходимый уровень привилегий

10

Командный режим

CONFIG

Пример:

esr(config)# ldap-server dscp 40

CODE

ldap-server host

Данная команда используется для добавления LDAP-сервера в список используемых серверов и перехода в командный режим LDAP SERVER.

Использование отрицательной формы команды (no) удаляет заданный LDAP-сервер.

Синтаксис

 [no] ldap-server host { <ADDR> | <IPV6-ADDR> } [ vrf <VRF> ]

Параметры

<VRF> – имя экземпляра VRF, задается строкой до 31 символа.

<ADDR> – IP-адрес LDAP-сервера, задаётся в виде AAA.BBB.CCC.DDD, где каждая часть принимает значения [0..255];

<IPV6-ADDR> – IPv6-адрес LDAP-сервера, задаётся в виде X:X:X:X::X, где каждая часть принимает значения в шестнадцатеричном формате [0..FFFF].

Необходимый уровень привилегий

15

Командный режим

CONFIG

Пример:

esr(config)# ldap-server host 10.100.100.1
esr(config-ldap-server)#

CODE

ldap-server naming-attribute

Данной командой задаётся имя атрибута объекта, со значением которого идет сравнение имени искомого пользователя на LDAP-сервере.

Использование отрицательной формы команды (no) устанавливает значение по умолчанию.

Синтаксис

ldap-server naming-attribute <NAME>

no ldap-server naming-attribute

Параметры

<NAME> – имя атрибута объекта, задаётся строкой до 127 символов.

Значение по умолчанию

uid

Необходимый уровень привилегий

15

Командный режим

CONFIG

Пример:

esr(config)# ldap-server naming-attribute displayName

CODE

ldap-server privilege-level-attribute

Данной командой задаётся имя атрибута объекта, значение которого будет определять начальные привилегии пользователя на устройстве. Атрибут должен принимать значения [1..15]. Если указанный атрибут отсутствует или содержит недопустимое значение, то начальные привилегии пользователя будут соответствовать привилегиям пользователя «remote».

Использование отрицательной формы команды (no) устанавливает значение по умолчанию.

Синтаксис

ldap-server privilege-level-attribute <NAME>

no ldap-server privilege-level-attribute

Параметры

<NAME> – имя атрибута объекта, задаётся строкой до 127 символов.

Значение по умолчанию

priv-lvl

Необходимый уровень привилегий

15

Командный режим

CONFIG

Пример:

esr(config)# ldap-server privilege-level-attribute title

CODE

ldap-server search filter user-object-class

Данной командой задаётся имя класса объектов, среди которых необходимо выполнять поиск пользователей на LDAP-сервере.

Использование отрицательной формы команды (no) устанавливает значение по умолчанию.

Синтаксис

ldap-server search filter user-object-class <NAME>

no ldap-server search filter user-object-class

Параметры

<NAME> – имя класса объектов, задаётся строкой до 127 символов.

Значение по умолчанию

posixAccount

Необходимый уровень привилегий

15

Командный режим

CONFIG

Пример:

esr(config)# ldap-server search filter user-object-class shadowAccount

CODE

ldap-server search scope

Данной командой задаётся область поиска пользователей в дереве LDAP-сервера.

Использование отрицательной формы команды (no) устанавливает значение по умолчанию.

Синтаксис

ldap-server search scope <SCOPE>

no ldap-server search scope

Параметры

<SCOPE> – область поиска пользователей на LDAP-сервере, принимает следующие значения:

onelevel – выполнять поиск в объектах на следующем уровне после базового DN в дереве LDAP-сервера;
subtree – выполнять поиск во всех объектах поддерева базового DN в дереве LDAP сервера.

Значение по умолчанию

subtree

Необходимый уровень привилегий

15

Командный режим

CONFIG

Пример:

esr(config)# ldap-server search scope onelevel

CODE

ldap-server search timeout

Данной командой задаётся интервал, по истечении которого устройство считает, что LDAP-сервер не нашел записей пользователей, подходящих под условие поиска.

Использование отрицательной формы команды (no) устанавливает значение по умолчанию.

Синтаксис

ldap-server search timeout <SEC>

no ldap-server search timeout

Параметры

<SEC> – период времени в секундах, принимает значения [0..30].

Значение по умолчанию

0 – устройство ожидает завершения поиска и получения ответа от LDAP-сервера.

Необходимый уровень привилегий

15

Командный режим

CONFIG

Пример:

esr(config)# ldap-server search timeout 10

CODE

line

Данной командой осуществляется переход в режим конфигурирования соответствующего терминала: локальная консоль, удаленная консоль (Telnet), удаленная защищенная консоль (SSH).

Использование отрицательной формы команды (no) устанавливает параметры терминала по умолчанию. Параметры по умолчанию описаны в разделах login authentication и enable authentication.

Синтаксис

[no] line <TYPE>

Параметры

<TYPE> – тип консоли:

console – локальная консоль;
telnet – удаленная консоль;
ssh – защищенная удаленная консоль;

Необходимый уровень привилегий

15

Командный режим

CONFIG

Пример:

esr(config)# line console
esr(config-line-console)#

CODE

login authentication

Данной командой осуществляется активация списка аутентификации входа пользователей в систему, который будет использоваться в конфигурируемом терминале.

В конфигурации по умолчанию активным является список с именем «default», данный список содержит один способ аутентификации – «local».

Использование отрицательной формы команды (no) делает список с именем «default» активным.

Синтаксис

login authentication <NAME>

no login authentication

Параметры

<NAME> – имя списка, задаётся строкой до 31 символа.

Значение по умолчанию

default

Необходимый уровень привилегий

15

Командный режим

CONFIG-LINE-CONSOLE

CONFIG-LINE-TELNET

CONFIG-LINE-SSH

Пример:

esr(config-line-console)# login authentication login-test

CODE

password

Команда для установки пароля определенному пользователю для входа в систему. Пароль может быть задан как в открытом виде, так и в виде хеш sha512.

Использование отрицательной формы команды (no) удаляет пароль пользователя из системы.

Синтаксис

password { <CLEAR-TEXT> | encrypted <HASH_SHA512> }

no password

Параметры

<CLEAR-TEXT> – пароль, задаётся строкой [8 .. 32] символов, принимает значения [0-9a-fA-F];

<HASH_SHA512> – хеш пароля по алгоритму sha512, задаётся строкой из 110 символов.

Необходимый уровень привилегий

15

Командный режим

CONFIG-USER

CHANGE-EXPIRED-PASSWORD

Пример:

esr(config-user) password test

CODE

port

Данной командой задаётся номер порта для обмена данными c удаленным сервером.

Использование отрицательной формы команды (no) устанавливает значение по умолчанию.

Синтаксис

port <PORT>

no port

Параметры

<PORT> – номер TCP/UDP-порта для обмена данными c удаленным сервером, принимает значения [1..65535].

Значение по умолчанию

49 для TACACS-сервера

389 для LDAP-сервера

Не установлено для DAS-сервера

Необходимый уровень привилегий

15

Командный режим

CONFIG-TACACS-SERVER

CONFIG-LDAP-SERVER

CONFIG-DAS-SERVER

Пример:

esr(config-tacacs-server)# port 4444

CODE

priority

Данной командой задаётся приоритет использования удаленного сервера. Чем ниже значение, тем приоритетнее сервер.

Использование отрицательной формы команды (no) устанавливает значение по умолчанию.

Синтаксис

 priority <PRIORITY>

 no priority

Параметры

<PRIORITY> – приоритет использования удаленного сервера, принимает значения [1..65535].

Значение по умолчанию

1

Необходимый уровень привилегий

15

Командный режим

CONFIG-TACACS-SERVER

CONFIG-RADIUS-SERVER

CONFIG-LDAP-SERVER

Пример:

esr(config-tacacs-server)# priority 5

CODE

privilege

Данной командой производится установка уровня привилегий пользователя. Набор команд, который доступен пользователю, зависит от уровня привилегий. Пользователям с уровнями привилегий от 1 до 9 доступен только просмотр информации. Пользователям с уровнем привилегий от 10 до 15 доступна большая часть команд конфигурирования. Пользователям с уровнем привилегий 15 доступен полный набор команд. Требуемый необходимый уровень привилегий команд может быть изменен, описание в разделе description.

Использование отрицательной формы команды (no) устанавливает необходимый уровень привилегий по умолчанию.

Назначение начального уровня привилегий пользователям происходит следующим образом:

необходимый уровень привилегий пользователям из локальной базы назначается указанной командой;
необходимый уровень привилегий для пользователей, авторизовавшихся по протоколу RADIUS, берется из атрибута cisco-avpair = "shell:priv-lvl=<PRIV>";
необходимый уровень привилегий для пользователей, авторизовавшихся по протоколу TACACS, берется из атрибута priv-lvl=<PRIV>;
уровень привилегии для пользователей авторизовавшихся по протоколу LDAP берется из атрибута заданного командой
privilege-level-attribute, описанной в разделе line, по умолчанию priv-lvl=<PRIV>;

Если при аутентификации пользователя через протоколы TACACS/RADIUS/LDAP не была получена вышеуказанная опция или была получена опция с некорректным значением, то пользователю будут назначены привилегии пользователя «remote», по умолчанию 1. Необходимый уровень привилегий пользователя «remote» можно изменить аналогично любому другому пользователю из локальной базы с помощью указанной команды.

Синтаксис

privilege <PRIV>

no privilege

Параметры

<PRIV> – необходимый уровень привилегий, принимает значение [1..15].

Значение по умолчанию

1

Необходимый уровень привилегий

15

Командный режим

CONFIG-USER

Пример:

esr(config-user)# privilege 15

CODE

privilege

Данной командой производится установка минимального уровня привилегий пользователя, необходимого для выполнения команды из указанного поддерева команд.

Использование отрицательной формы команды (no) устанавливает необходимый уровень привилегий по умолчанию.

Синтаксис

privilege <COMMAND-MODE> level <PRIV> <COMMAND>

no privilege <COMMAND-MODE> <COMMAND>

Параметры

<COMMAND-MODE> – командный режим, описание режимов приведено в таблице 3;

<PRIV> – необходимый уровень привилегий, принимает значение [1..15];

<COMMAND> – поддерево команд, задается строкой до 255 символов.

Необходимый уровень привилегий

15

Командный режим

CONFIG

Пример:

Установить для поддерева команд «show» корневого командного режима необходимый уровень привилегий 2. Команды поддерева «show interfaces» оставить с уровнем привилегий 1.

esr(config)# privilege root level 2 "show"
esr(config)# privilege root level 1 "show interfaces"

CODE

radius-server dscp

Команда задаёт значение кода DSCP для использования в IP-заголовке исходящих пакетов RADIUS-сервера.

Использование отрицательной формы команды (no) устанавливает значение DSCP по умолчанию.

Синтаксис

radius-server dscp <DSCP>

no radius-server dscp

Параметры

<DSCP> – значение кода DSCP, принимает значения в диапазоне [0..63].

Значение по умолчанию

63

Необходимый уровень привилегий

10

Командный режим

CONFIG

Пример:

esr(config)# radius-server dscp 40

CODE

radius-server host

Данная команда используется для добавления RADIUS-сервера в список используемых серверов и перехода в командный режим RADIUS SERVER.

Использование отрицательной формы команды (no) удаляет заданный RADIUS-сервер.

Синтаксис

[no] radius-server host { <ADDR> | <IPV6-ADDR> } [ vrf <VRF> ]

Параметры

<VRF> – имя экземпляра VRF, задается строкой до 31 символа.

<ADDR> – IP-адрес RADIUS-сервера, задаётся в виде AAA.BBB.CCC.DDD, где каждая часть принимает значения [0..255];

<IPV6-ADDR> – IPv6-адрес RADIUS-сервера, задаётся в виде X:X:X:X::X, где каждая часть принимает значения в шестнадцатеричном формате [0..FFFF].

Необходимый уровень привилегий

15

Командный режим

CONFIG

Пример:

esr(config)# radius-server host 10.100.100.1
esr(config-radius-server)#

CODE

radius-server host

Данная команда используется для добавления RADIUS-сервера в профиль RADIUS-серверов.

Использование отрицательной формы команды (no) удаляет заданный RADIUS-сервер из профиля.

Синтаксис

[no] radius-server host { <ADDR> | <IPV6-ADDR> } [ vrf <VRF> ]

Параметры

<VRF> – имя экземпляра VRF, задается строкой до 31 символа.

<ADDR> – IP-адрес RADIUS-сервера, задаётся в виде AAA.BBB.CCC.DDD, где каждая часть принимает значения [0..255];

<IPV6-ADDR> – IPv6-адрес RADIUS-сервера, задаётся в виде X:X:X:X::X, где каждая часть принимает значения в шестнадцатеричном формате [0..FFFF].

Необходимый уровень привилегий

15

Командный режим

CONFIG-RADIUS-SERVER-PROFILE

Пример:

esr(config-aaa-radius-profile)# radius-server host 10.100.100.1

CODE

radius-server retransmit

Данной командой задаётся количество перезапросов к последнему активному RADIUS-серверу, которое будет выполнено перед выполнением запросов к следующим RADIUS-серверам в списке.

Использование отрицательной формы команды (no) устанавливает значение по умолчанию.

Синтаксис

radius-server retransmit <COUNT>

no radius-server retransmit

Параметры

<COUNT> – количество перезапросов к RADIUS-серверу, принимает значения [1..10].

Значение по умолчанию

1

Необходимый уровень привилегий

15

Командный режим

CONFIG

Пример:

esr(config)# radius-server retransmit 5

CODE

radius-server timeout

Данной командой задаётся интервал, по истечении которого устройство считает, что RADIUS-сервер недоступен.

Использование отрицательной формы команды (no) устанавливает значение по умолчанию.

Синтаксис

radius-server timeout <SEC>

no radius-server timeout

Параметры

<SEC> – период времени в секундах, принимает значения [1..30].

Значение по умолчанию

3 секунды

Необходимый уровень привилегий

10

Командный режим

CONFIG

Пример:

esr(config)# radius-server timeout 5

CODE

retransmit

Данной командой задаётся количество перезапросов к RADIUS-серверу, которое будет выполнено перед выполнением запросов к следующим RADIUS-серверам в списке.

Использование отрицательной формы команды (no) устанавливает значение по умолчанию.

Синтаксис

retransmit <COUNT>

no retransmit

Параметры

<COUNT> – количество перезапросов к RADIUS-серверу, принимает значения [1..10].

Значение по умолчанию

Не задан, используется значение глобального параметра, описанного в разделе radius-server retransmit.

Необходимый уровень привилегий

15

Командный режим

CONFIG-RADIUS-SERVER

Пример:

esr(config)# retransmit 5

CODE

security passwords default-expired

Данной командой включается запрос на смену пароля по умолчанию для пользователя admin.

Использование отрицательной формы команды (no) отключает запрос на смену пароля по умолчанию.

Синтаксис

[no] security passwords default-expired

Параметры

Команда не содержит параметров

Значение по умолчанию

Запрос на смену пароля по умолчанию отключен.

Необходимый уровень привилегий

15

Командный режим

CONFIG

Пример:

esr(config)# security passwords default-expired

CODE

security passwords history

Данной командой включается режим запрета на использование ранее установленных паролей локальных пользователей. В качестве параметра указывается количество паролей сохраняемых в памяти маршрутизатора.

Использование отрицательной формы команды (no) устанавливает значение по умолчанию.

Синтаксис

security passwords history <COUNT>

no security passwords history

Параметры

<COUNT> – количество паролей, сохраняемых в памяти маршрутизатора [0..15]. При уменьшении данного значения, лишние более старые пароли удаляются.

Значение по умолчанию

1

Необходимый уровень привилегий

15

Командный режим

CONFIG

Пример:

esr(config)# security passwords history 5

CODE

security passwords lifetime

Данной командой устанавливается время действия пароля локального пользователя. При попытке подключения пользователя с истекшим паролем, пользователь будет направлен в режим принудительной смены пароля.

Использование отрицательной формы команды (no) устанавливает значение по умолчанию.

Синтаксис

security passwords lifetime <TIME>

no security passwords lifetime

Параметры

<TIME> – интервал времени действия пароля в днях, принимает значения [1..365].

Значение по умолчанию

Время действия пароля локального пользователя не ограничено.

Необходимый уровень привилегий

15

Командный режим

CONFIG

Пример:

esr(config)# security passwords lifetime 30

CODE

security passwords lower-case

Данной командой устанавливается минимальное количество строчных букв в пароле локального пользователя, ENABLE-пароле, имени SMNPv3-пользователя и SMNPv1/SMNPv2 c комьюнити.

Использование отрицательной формы команды (no) устанавливает значение по умолчанию.

Синтаксис

security passwords lower-case <COUNT>

no security passwords lower-case

Параметры

<COUNT> – минимальное количество строчных букв в пароле локального пользователя, ENABLE-пароле, имени SMNPv3-пользователя и SMNPv1/SMNPv2 c комьюнити [0..32].

Значение по умолчанию

0

Необходимый уровень привилегий

15

Командный режим

CONFIG

Пример:

esr(config)# security passwords lower-case 2

CODE

security passwords max-length

Данной командой устанавливается ограничение на максимальную длину пароля локального пользователя и ENABLE-пароля.

Использование отрицательной формы команды (no) устанавливает значение по умолчанию.

Синтаксис

security passwords max-length <NUM>

no security passwords max-length

Параметры

<NUM> – максимальное количество символов в пароле, задается в диапазоне [8..32].

Значение по умолчанию

128

Необходимый уровень привилегий

15

Командный режим

CONFIG

Пример:

esr(config)# security passwords max-length 30

CODE

security passwords min-length

Данной командой устанавливается ограничение на минимальную длину пароля локального пользователя и ENABLE-пароля.

Использование отрицательной формы команды (no) устанавливает значение по умолчанию.

Синтаксис

security passwords min-length <NUM>

no security passwords min-length

Параметры

<NUM> – минимальное количество символов в пароле, задается в диапазоне [8..32].

Значение по умолчанию

8

Необходимый уровень привилегий

15

Командный режим

CONFIG

Пример:

esr(config)# security passwords min-length 10

CODE

security passwords numeric-count

Данной командой устанавливается минимальное количество цифр в пароле локального пользователя, ENABLE-пароле, имени SMNPv3-пользователя и SMNPv1/SMNPv2 c комьюнити.

Использование отрицательной формы команды (no) устанавливает значение по умолчанию.

Синтаксис

security passwords numeric-count <COUNT>

no security passwords numeric-count

Параметры

<COUNT> – минимальное количество цифр в пароле локального пользователя, ENABLE-пароле, имени SMNPv3-пользователя и SMNPv1/SMNPv2 c комьюнити [0..32].

Значение по умолчанию

0

Необходимый уровень привилегий

15

Командный режим

CONFIG

Пример:

esr(config)# security passwords numeric-count 2

CODE

security passwords special-case

Данной командой устанавливается минимальное количество специальных символов в пароле локального пользователя, ENABLE-пароле, имени SMNPv3-пользователя и SMNPv1/SMNPv2 c комьюнити.

Использование отрицательной формы команды (no) устанавливает значение по умолчанию.

Синтаксис

security passwords special-case <COUNT>

no security passwords special-case

Параметры

<COUNT> – минимальное количество специальных символов в пароле локального пользователя, ENABLE-пароле, имени SMNPv3-пользователя и SMNPv1/SMNPv2 c комьюнити [0..32].

Значение по умолчанию

0

Необходимый уровень привилегий

15

Командный режим

CONFIG

Пример:

esr(config)# security passwords special-case 2

CODE

security passwords symbol-types

Данной командой устанавливается минимальное количество типов символов, которые должны присутствовать в пароле локального пользователя, ENABLE-пароле, имени SMNPv3-пользователя и SMNPv1/SMNPv2 c комьюнити.

Использование отрицательной формы команды (no) устанавливает значение по умолчанию.

Синтаксис

security passwords symbol-types <COUNT>

no security passwords symbol-types

Параметры

<COUNT> – минимальное количество типов символов в пароле локального пользователя, ENABLE-пароле, имени SMNPv3-пользователя и SMNPv1/SMNPv2 c комьюнити [1..4].

Значение по умолчанию

1

Необходимый уровень привилегий

15

Командный режим

CONFIG

Пример:

esr(config)# security passwords symbol-types 2

CODE

security passwords upper-case

Данной командой устанавливается минимальное количество прописных (заглавных) букв в пароле локального пользователя, ENABLE-пароле, имени SMNPv3-пользователя и SMNPv1/SMNPv2c комьюнити.

Использование отрицательной формы команды (no) устанавливает значение по умолчанию.

Синтаксис

security passwords upper-case <COUNT>

no security passwords upper-case

Параметры

<COUNT> – минимальное количество прописных (заглавных) букв в пароле локального пользователя, ENABLE-пароле, имени SMNPv3-пользователя и SMNPv1/SMNPv2 c комьюнити [0..32].

Значение по умолчанию

0

Необходимый уровень привилегий

15

Командный режим

CONFIG

Пример:

esr(config)# security passwords upper-case 2

CODE

security snmp-community max-length

Данной командой устанавливается ограничение на максимальную длину SMNPv1/SMNPv2 c комьюнити.

Использование отрицательной формы команды (no) устанавливает значение по умолчанию.

Синтаксис

security snmp-community max-length <NUM>

no security snmp-community max-length

Параметры

<NUM> – максимальное количество символов в комьюнити, задается в диапазоне [1..128].

Значение по умолчанию

128

Необходимый уровень привилегий

15

Командный режим

CONFIG

Пример:

esr(config)# security snmp-community max-length 30

CODE

security snmp-community min-length

Данной командой устанавливается ограничение на минимальную длину SMNPv1/SMNPv2 c комьюнити.

Использование отрицательной формы команды (no) устанавливает значение по умолчанию.

Синтаксис

security passwords min-length <NUM>

no security passwords min-length

Параметры

<NUM> – минимальное количество символов в комьюнити, задается в диапазоне [1..128].

Значение по умолчанию

1

Необходимый уровень привилегий

15

Командный режим

CONFIG

Пример:

esr(config)# security snmp-community min-length 10

CODE

show aaa accounting

Данная команда позволяет просмотреть настроенные параметры учета.

Синтаксис

show aaa accounting

Параметры

Команда не содержит параметров.

Необходимый уровень привилегий

10

Командный режим

ROOT

Пример:

esr# show aaa accounting
Login :          radius
Commands :       tacacs

CODE

show aaa authentication

Данная команда позволяет просмотреть списки способов аутентификации пользователей, а также активные списки каждого типа терминалов.

Синтаксис

show aaa authentication

Параметры

Команда не содержит параметров.

Необходимый уровень привилегий

10

Командный режим

ROOT

Пример:

esr# show aaa authentication
   Login Authentication Method Lists
   ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
List               Methods
----------------   --------------------------------
default            local
   Enable Authentication Method Lists
   ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
List               Methods
----------------   --------------------------------
default            enable
   Lines configuration
   ~~~~~~~~~~~~~~~~~~~
Line        Login method list                  Enable method list
---------   --------------------------------   --------------------------------
console     default                            default
telnet      default                            default
ssh         default                            default

CODE

show aaa ldap-servers

Данная команда позволяет просмотреть параметры LDAP-серверов.

Синтаксис

show aaa ldap-servers

Параметры

Команда не содержит параметров.

Необходимый уровень привилегий

15

Командный режим

ROOT

Пример:

esr# show aaa ldap-servers
Base DN:                      dc=example,dc=com
Root DN:                      cn=admin,dc=example,dc=com
Root password:                CDE65039E5591FA3
Naming attribute:             uid
Privilege level attribute:    priv-lvl
User object class:            posixAccount
DSCP:                         63
Bind timeout:                 3
Search timeout:               0
Search scope:                 subtree
IP Address                         Port           Priority
--------------------------------   ------------   ------------
10.100.100.1                       389            1

CODE

show aaa radius-servers

Данная команда позволяет просмотреть параметры RADIUS-серверов.

Синтаксис

show aaa radius-servers

Параметры

Команда не содержит параметров.

Необходимый уровень привилегий

15

Командный режим

ROOT

Пример:

esr# show aaa radius-servers
Timeout:     3
Retransmit:  1
DSCP:        63
IP Addres        Timeout      Priority     Usage        Key
------------    ----------   ----------   ----------   ---------------------------
2.2.2.2             --           1            all          9DA7076CA30B5FFE0DC9C4
2.4.4.4             --           1            all          9DA7076BA30B4EFCE5

CODE

show aaa tacacs-servers

Данная команда позволяет просмотреть параметры TACACS-серверов.

Синтаксис

show aaa tacacs-servers

Параметры

Команда не содержит параметров.

Необходимый уровень привилегий

15

Командный режим

ROOT

Пример:

esr# show aaa tacacs-servers
Timeout :       3
DSCP:          63
IP Address               Port           Priority       Key
----------------------   ------------   ------------   --------------------------------
10.100.100.1             49             1              CDE65039E5591FA3
10.100.100.5             49             10             CDE65039E5591FA3

CODE

show users

Данная команда позволяет просмотреть активные сессии пользователей системы.

Синтаксис

show users

Параметры

Команда не содержит параметров.

Необходимый уровень привилегий

1

Командный режим

ROOT

Пример:

esr# show users
User name         Logged in at        Host             Timers Login/Priv   level
--------------    -----------------   --------------   -----------------   -----
admin             13/02/15 01:14:25   Console          00:29:57/00:00:00   15
1 user sessions.

CODE

show users accounts

Данная команда позволяет просмотреть конфигурацию пользователей системы.

Синтаксис

show users accounts

Параметры

Команда не содержит параметров.

Необходимый уровень привилегий

10

Командный режим

ROOT

Пример:

esr# show user accounts
Name                               Password                           Privilege
--------------------------------   --------------------------------   ---------
admin                              $6$1sxrvGaV8Za8oX/K$YNel5xYPZ4cj   15
                                   bemYWYNpQBQKDxWE9v0aoKgQ
                                   kRCEb0EMNuusO9Kmg7UBs7nA3buEM87e
                                   Eu.rA6tZq0
techsupport                        $6$YfwntIwU$ah7UxPZTemKhjpSWvVsV   15
                                   9jHcp. 9lweQaSldw7ZtUr
                                   uH66uZx9.EBASff//hUj8ObUaC484TNR
                                   x.
remote                             $6$YfwntIwU$ah7UxPZTemKhjpSWvVsV   1
                                   9jHcp.kqFAK.vmvyY9lweQaSldw7ZtUr
                                   uH66uZx9.EBASff//hUj8ObUaC484TNR
                                   x.
operator                           $6$eILpbbyRxedCzvVD$4RHP08mjXvNf   1
                                   urX7V/ULCZ1oHIWMwE6h5f
                                   zgwZQUZcPoZCEyaqQQqCicRMRuPwhxrQ
                                   bvGChWreW1

CODE

show users blocked

Данная команда позволяет просматривать список пользователей, для которых был введен неправильный пароль. Пользователь удаляется из списка после ввода правильного пароля при аутентификации.

Синтаксис

show users blocked [ <NAME> ]

Параметры

<NAME> – имя пользователя, для которого необходимо отобразить статистику неправильных попыток аутентификации, задаётся строкой до 31 символа.

Без указания имени пользователя, отображается вся таблица неправильных попыток аутентификации.

Необходимый уровень привилегий

1

Командный режим

ROOT

Пример:

esr# show users blocked
User name              Failures   Latest failure      From
--------------------   --------   -----------------   ----------------
tester                 4          10/09/17 08:29:42   0.0.0.0

CODE

source-address

Данной командой определяется IPv4/IPv6-адрес маршрутизатора, который будет использоваться в качестве IPv4/IPv6-адреса источника в отправляемых пакетах на конфигурируемый AAA-сервер.

Использование отрицательной формы команды (no) удаляет указанный IPv4/IPv6-адрес источника.

Синтаксис

source-address { <ADDR> | <IPV6-ADDR> }

no source-address

Параметры

<ADDR> – IP-адрес источника, задаётся в виде AAA.BBB.CCC.DDD, где каждая часть принимает значения [0..255];

<IPV6-ADDR> – IPv6-адрес источника, задаётся в виде X:X:X:X::X, где каждая часть принимает значения в шестнадцатеричном формате [0..FFFF].

Необходимый уровень привилегий

15

Командный режим

CONFIG-RADIUS-SERVER

CONFIG-TACACS-SERVER

CONFIG-LDAP-SERVER

Пример:

esr(config-radius-server)# source-address 220::71

CODE

source-interface

Данной командой определяется интерфейс или туннель маршрутизатора, IPv4/IPv6-адрес которого будет использоваться в качестве IPv4/IPv6-адреса источника в отправляемых пакетах на конфигурируемый AAA-сервер.

Использование отрицательной формы команды (no) удаляет указанный интерфейс или туннель.

Синтаксис

source-interface { <IF> | <TUN> }

no source-interface

Параметры

<IF> – имя интерфейса устройства, задаётся в виде, описанном в разделе Типы и порядок именования интерфейсов маршрутизатора;

<TUN> – имя туннеля устройства, задаётся в виде, описанном в разделе Типы и порядок именования туннелей маршрутизатора.

Необходимый уровень привилегий

15

Командный режим

CONFIG-RADIUS-SERVER

Пример:

esr(config-radius-server)# source-interface gigabitethernet 1/0/1

CODE

system configuration-exclusively

Данной командой включается ограничение количества сессий CLI до одной.

Использование отрицательной формы команды (no) устанавливается значение по умолчанию.

Синтаксис

[no] system configuration-exclusively

Параметры

Команда не содержит параметров.

Значение по умолчанию

Отключено.

Необходимый уровень привилегий

15

Командный режим

CONFIG

Пример:

esr(config)# system configuration-exclusively

CODE

tacacs-server dscp

Команда задаёт значение кода DSCP для использования в IP-заголовке исходящих пакетов TACACS-сервера.

Использование отрицательной формы команды (no) устанавливает значение DSCP по умолчанию.

Синтаксис

tacacs-server dscp <DSCP>

no tacacs-server dscp

Параметры

<DSCP> – значение кода DSCP, принимает значения в диапазоне [0..63].

Значение по умолчанию

63

Необходимый уровень привилегий

10

Командный режим

CONFIG

Пример:

esr(config)# tacacs-server dscp 40

CODE

tacacs-server host

Данная команда используется для добавления TACACS-сервера в список используемых серверов и перехода в командный режим TACACS SERVER.

Использование отрицательной формы команды (no) удаляет заданный TACACS-сервер.

Синтаксис

[no] tacacs-server host { <ADDR> | <IPV6-ADDR> } [ vrf <VRF> ]

Параметры

<VRF> – имя экземпляра VRF, задается строкой до 31 символа.

<ADDR> – IP-адрес TACACS-сервера, задаётся в виде AAA.BBB.CCC.DDD, где каждая часть принимает значения [0..255].

<IPV6-ADDR> – IPv6-адрес TACACS-сервера, задаётся в виде X:X:X:X::X, где каждая часть принимает значения в шестнадцатеричном формате [0..FFFF].

Необходимый уровень привилегий

15

Командный режим

CONFIG

Пример:

esr(config)# tacacs-server host 10.100.100.1
esr(config-tacacs-server)#

CODE

tacacs-server timeout

Данной командой задаётся интервал, по истечении которого устройство считает, что TACACS-сервер недоступен.

Использование отрицательной формы команды (no) устанавливает значение по умолчанию.

Синтаксис

tacacs-server timeout <SEC>

no tacacs-server timeout

Параметры

<SEC> – период времени в секундах, принимает значения [1..30].

Значение по умолчанию

3 секунды.

Необходимый уровень привилегий

10

Командный режим

CONFIG

Пример:

esr(config)# tacacs-server timeout 5

CODE

tech-support login enable

Данной командой включается низкоуровневый удаленный доступ к системе с помощью пользователя «techsupport». Низкоуровневый доступ к системе позволит получить технической поддержке всю необходимую информацию, когда это необходимо.

Использование отрицательной формы команды (no) выключает низкоуровневый удаленный доступ к системе с помощью пользователя «techsupport».

Синтаксис

[no] tech-support login enable

Параметры

Команда не содержит параметров.

Необходимый уровень привилегий

15

Командный режим

CONFIG

Пример:

esr(config)# tech-support login enable

CODE

timeout

Данной командой задаётся интервал, по истечении которого устройство считает, что RADIUS-сервер недоступен.

Использование отрицательной формы команды (no) устанавливает значение по умолчанию.

Синтаксис

timeout <SEC>

no timeout

Параметры

<SEC> – период времени в секундах, принимает значения [1..30].

Значение по умолчанию

Не задан, используется значение глобального таймера, описанного в разделе radius-server timeout.

Необходимый уровень привилегий

10

Командный режим

CONFIG-RADIUS-SERVER

Пример:

esr(config-radius-server)# timeout 7

CODE

usage

Данная команда определяет тип соединений для аутентификации которых будет использоваться RADIUS-сервера.

Использование отрицательной формы команды (no) устанавливает значение по умолчанию.

Синтаксис

usage { all | aaa | auth | acct | pptp | l2tp }

no usage

Параметры

all – все типы соединений;

aaa – RADIUS-сервер будет использоваться для аутентификации, авторизации и учета telnet, ssh console сессий;

auth – RADIUS-сервер будет использоваться для аутентификации и авторизации telnet, ssh console сессий;

acct – RADIUS-сервер будет использоваться для учета telnet, ssh console сессий;

pptp – RADIUS-сервер будет использоваться для аутентификации, авторизации и учета удаленных пользователей, подключающихся по протоколу PPTP;

l2tp – RADIUS-сервер будет использоваться для аутентификации, авторизации и учета удаленных пользователей, подключающихся по протоколу L2TP over IPsec.

Значение по умолчанию

all

Необходимый уровень привилегий

15

Командный режим

CONFIG-RADIUS-SERVER

Пример:

esr(config-radius-server)# usage pptp

CODE

username

Данной командой выполняется добавление пользователя в локальную базу пользователей и осуществляется переход в режим настройки параметров пользователя.

Использование отрицательной формы команды (no) удаляет пользователя из системы.

Синтаксис

[no] username <NAME>

Параметры

<NAME> – имя пользователя, задаётся строкой до 31 символа. Если использовать команду для удаления, то при указании значения «all» будут удалены все пользователи.

Необходимый уровень привилегий

15

Командный режим

CONFIG

Пример:

esr(config)# username test
esr(config-user)#

CODE