История страницы

...

Командный режим

CONFIG

Пример

esrscs(config)# aaa authorization control-commands enable

...

Командный режим

CONFIG

Пример

esrscs(config)# aaa authorization mode break

...

Командный режим

CONFIG

Пример

esrscs(config)# aaa authorization remote user privilege 15

aaa

...

disable

Данной командой отключает доступ на терминальный сервер через консольный интерфейс.

При использовании

Данная команда используется для добавления профиля серверов динамической авторизации (DAS) и перехода в командный режим DAS SERVER PROFILE.

Использование отрицательной формы команды (no) удаляет заданный профиль серверов динамической авторизации (DAS)доступ на маршрутизатор через консольный интерфейс включается.

Синтаксис

[no] aaa das-profile <NAME>disable

Параметры

Команда не содержит параметров.

Значение по умолчанию

Доступ на маршрутизатор через консольный интерфейс включен<NAME> – имя профиля серверов динамической авторизации (DAS), задается строкой до 31 символа.

Необходимый уровень привилегий

1510

Командный режим

CONFIG-LINE-CONSOLE

Пример

esrscs(config-line-console)# aaa das-profile profile1
esr(config-aaa-das-profile)#

aaa disable

Данной командой отключает доступ на маршрутизатор через консольный интерфейс.

disable

acct-port

Данной командой задаётся номер порта для обмена данными c удаленным RADIUS-сервером при выполнении аккаунтинга.

Использование При использовании отрицательной формы команды (no) доступ на маршрутизатор через консольный интерфейс включаетсяустанавливает значение по умолчанию.

Синтаксис

acct-port <PORT>

[no] aaa disable

Параметры

 acct-port

Параметры

<PORT> – номер UDP-порта для обмена данными c удаленным сервером, принимает значения [1..65535]Команда не содержит параметров.

Значение по умолчанию

Доступ на маршрутизатор через консольный интерфейс включен.1813

Необходимый уровень привилегий

1015

Командный режим

CONFIG-LINERADIUS-CONSOLESERVER

Пример

esrscs(config-lineradius-consoleserver)# aaaacct-port disable

aaa radius-profile

4444

admin login enable

Данной командой включается возможность авторизации для предустановленного пользователя "admin"Данная команда используется для добавления профиля RADIUS-серверов и перехода в командный режим RADIUS SERVER PROFILE.

Использование отрицательной формы команды (no) удаляет заданный профиль RADIUS-серверовотключает возможность авторизации пользователя "admin".

Синтаксис

[no] aaaadmin radius-profilelogin <NAME>enable

Параметры

Команда не содержит параметров.

Значение по умолчанию

Команда присутвует в конфигурации по умолчанию, для пользователя "admin" разрешена авторизация<NAME> – имя профиля RADIUS-серверов, задается строкой до 31 символа.

Необходимый уровень привилегий

...

Командный режим

CONFIG

Пример

esrscs(config)# aaa radius-profile profile1
esr(config-aaa-radius-profile)#

...

no admin login enable

auth-port

Данной командой задаётся номер порта для обмена данными c удаленным RADIUS-сервером при выполнении аккаунтингааутентификации и авторизации.

Использование отрицательной формы команды (no) устанавливает значение по умолчанию.

Синтаксис

acctauth-port <PORT>

no acctauth-port

Параметры

<PORT> – номер UDP-порта для обмена данными c удаленным сервером, принимает значения [1..65535].

Значение по умолчанию

18131812

Необходимый уровень привилегий

...

CONFIG-RADIUS-SERVER

Пример

esrscs(config-radius-server)# acctauth-port 4444

...

clear users blocked

Данной командой включается возможность авторизации для предустановленного пользователя "admin".

Использование отрицательной формы команды (no) отключает возможность авторизации пользователя "admin".

Синтаксис

[no] admin login enable

Параметры

Команда не содержит параметров.

Значение по умолчанию

удаляется информация о неправильных попытках аутентификации различных пользователей.

Синтаксис

clear users blocked <NAME> 

Параметры

<NAME> – имя пользователя, для которого необходимо очистить статистику неправильных попытках аутентификации, задаётся строкой до 31 символа.

Без указания имени пользователя очищается вся таблица неправильных попыток аутентификацииКоманда присутвует в конфигурации по умолчанию, для пользователя "admin" разрешена авторизация.

Необходимый уровень привилегий

15

Командный режим

CONFIGROOT

Пример

esr(config)# no admin login enable

auth-port

Данной командой задаётся номер порта для обмена данными c удаленным RADIUS-сервером при выполнении аутентификации и авторизации.

Использование отрицательной формы команды (no) устанавливает значение по умолчанию.

Синтаксис

auth-port <PORT>

no auth-port

Параметры

<PORT> – номер UDP-порта для обмена данными c удаленным сервером, принимает значения [1..65535].

Значение по умолчанию

1812

Необходимый уровень привилегий

15

Командный режим

CONFIG-RADIUS-SERVER

Пример

esr(config-radius-server)# auth-port 4444

clear users blocked

Данной командой удаляется информация о неправильных попытках аутентификации различных пользователей.

Синтаксис

clear users blocked <NAME> 

Параметры

<NAME> – имя пользователя, для которого необходимо очистить статистику неправильных попытках аутентификации, задаётся строкой до 31 символа.

Без указания имени пользователя очищается вся таблица неправильных попыток аутентификации.

Необходимый уровень привилегий

15

Командный режим

ROOT

Пример

esr# clear users blocked

clear user-session

Данной командой закрывается рабочая сессия пользователя CLI.

Синтаксис

clear user-session [ <USERNAME> | <SESSION> ]

Параметры

<NAME> – имя пользователя сессию которого необходимо закрыть, задаётся строкой до 31 символа;

<SESSION> – номер терминальной сессии которую необходимо закрыть, задаётся число в диапазоне [1..10];

Без указания параметров – будут закрыты все активные сессии.

Необходимый уровень привилегий

15

Командный режим

ROOT

Пример

esr# clear users-session

clients

Данной командой определяется список клиентов динамической авторизации (DAC), на запросы которых будет отвечать сервер динамической авторизации (DAS).

Использование отрицательной формы команды (no) удаляет список клиентов динамической авторизации (DAC).

Синтаксис

clients object-group <NAME>

no clients

Параметры

<NAME> – имя профиля IP-адресов, содержащий адреса клиентов динамической авторизации, задаётся строкой до 31 символа.

Необходимый уровень привилегий

15

Командный режим

CONFIG-DAS-SERVER

Пример

esr(config-das-server)# clients object-group pcrf

commands authorization

Данной командой осуществляется активация списка авторизации команд вводимых пользователем в систему.

В конфигурации по умолчанию активным является список с именем «default», данный список содержит один способ авторизации – «local».

Использование отрицательной формы команды (no) делает список с именем «default» активным.

Синтаксис

commands authorization <NAME>

no commands authorization

Параметры

<NAME> – имя списка, задаётся строкой до 31 символа.

Значение по умолчанию

default

Необходимый уровень привилегий

15

Командный режим

CONFIG-LINE-CONSOLE

CONFIG-LINE-TELNET

CONFIG-LINE-SSH

Пример

esr(config-line-ssh)# commands authorization authorization-test

das-server 

Данная команда используется для добавления сервера динамической авторизации (DAS) и перехода в командный режим DAS SERVER. Сервера динамической авторизации (DAS) принимают RADIUS CoA запросы от клиентов динамической авторизации (DAC), например, отключение или повторный запрос списка сервисов пользователя.

Использование отрицательной формы команды (no) удаляет заданный сервер динамической авторизации (DAS).

Синтаксис

[no] das-server <NAME>

Параметры

scs# clear users blocked

clear user-session

Данной командой закрывается рабочая сессия пользователя CLI.

Синтаксис

clear user-session [ <USERNAME> | <SESSION> ]

Параметры

<NAME> – имя пользователя сессию которого необходимо закрыть, задаётся строкой до 31 символа;

<SESSION> – номер терминальной сессии которую необходимо закрыть, задаётся число в диапазоне [1..10];

Без указания параметров – будут закрыты все активные сессии<NAME> – имя сервера динамической авторизации (DAS), задается строкой до 31 символа.

Необходимый уровень привилегий

15

Командный режим

CONFIGROOT

Пример

esr(config)# das-server main
esr(config-das-server)#

das-server

scs# clear users-session

commands authorization

Данной командой осуществляется активация списка авторизации команд вводимых пользователем в систему.

В конфигурации по умолчанию активным является список с именем «default», данный список содержит один способ авторизации – «local»Данная команда используется для добавления сервера динамической авторизации (DAS) в конфигурируемый профиль серверов динамической авторизации.

Использование отрицательной формы команды (no) удаляет заданный сервер динамической авторизации (DAS)делает список с именем «default» активным.

Синтаксис

commands authorization <NAME>

no commands authorization[no] das-server <NAME>

Параметры

<NAME> <NAME> – имя сервера динамической авторизации (DAS), задается списка, задаётся строкой до 31 символа.

Значение по умолчанию

default

Необходимый уровень привилегий

15

Командный режим

CONFIG-LINE-CONSOLE

CONFIG-LINE-TELNET

CONFIGAAA-DASLINE-PROFILESSH

Пример

esrscs(config-line-ssh)# commands das-server mainesr(config-das-server)#authorization authorization-test

dead-interval

Данной командой задаётся интервал, в течение которого на RADIUS-сервер не будут отправляться пакеты. В данное состояние RADIUS-сервер переводится по истечении таймаута ожидания ответа на запрос последнего допустимого повтора (см. раздел radius-server retransmit).

Использование отрицательной формы команды (no) устанавливает значение по умолчанию.

Синтаксис

dead-interval <SEC>

no dead-interval

Параметры

<SEC> – период времени в секундах, принимает значения [0..3600].

Значение по умолчанию

120

Необходимый уровень привилегий

10

Командный режим

CONFIG-RADIUS-SERVER

Пример

esrscs(config-radius-server)# dead-interval 600

...

Использование отрицательной формы команды (no) удаляет описание профиля.

Синтаксис

description <DESCRIPTION>

no description

Параметры

<DESCRIPTION> – описание профиля, задаётся строкой до 255 символов.

Необходимый уровень привилегий

10

Командный режим

CONFIG-DAS-SERVER-PROFILECONFIG-RADIUS-SERVER-PROFILE

Пример

Установить описание для профиля IP-адресов:

esrscs(config-aaa-das-profile)# description "Main profile"

...

Команда используется для изменения описания конфигурируемого AAA-сервера (RADIUS, TACACS, LDAP).

Использование отрицательной формы команды (no) удаляет описание AAA-сервера.

Синтаксис

description <DESCRIPTION>

no description

Параметры

<DESCRIPTION> – описание AAA-сервера, задаётся строкой до 255 символов.

Необходимый уровень привилегий

10

Командный режим

CONFIG-RADIUS-SERVER

CONFIG-TACACS-SERVERCONFIG-LDAP-SERVER

Пример

Установить описание для AAA-сервера:

esrscs(config-radius-server)# description "Main server"

...

Данной командой производится понижение уровня привилегий пользователя до первоначальных.

Синтаксис

disable

Параметры

Команда не содержит параметров.

Необходимый уровень привилегий

2

Командный режим

ROOT

Пример

esr#scs# disable
esr>scs>

enable

Данной командой производится повышение уровня привилегий пользователя. Способы аутентификации повышения привилегий пользователей задаются с помощью команды, описанной в разделе aaa authentication attempts max-fail.

...

Синтаксис

enable [ <PRIV> ]

Параметры

<PRIV> – необходимый уровень привилегий, принимает значение [2..15].

Значение по умолчанию

15

Необходимый уровень привилегий

1

Командный режим

ROOT

Пример

esr>scs> enable 10
esr#scs#

...

Использование отрицательной формы команды (no) делает список с именем «default» активным.

Синтаксис

enable authentication <NAME>

no enable authentication

Параметры

<NAME> – имя списка, задаётся строкой до 31 символа.

Значение по умолчанию

default

Необходимый уровень привилегий

15

Командный режим

CONFIG-LINE-CONSOLE

CONFIG-LINE-TELNET

CONFIG-LINE-SSH

Пример

esr(config-line-console)# enable authentication enable-test

...

Использование отрицательной формы команды (no) удаляет пароль из системы.

Синтаксис

enable password { <CLEAR-TEXT> | encrypted <HASH_SHA512> } [ privilege <PRIV> ]

no enable password [ privilege <PRIV> ]

Параметры

<CLEAR-TEXT> – пароль, задаётся строкой [1 .. 32] символов, принимает значения [0-9a-fA-F];

...

<PRIV> – необходимый уровень привилегий, принимает значение [2..15], значение по умолчанию 15.

Необходимый уровень привилегий

15

Командный режим

CONFIG

Пример

esrscs(config)# enable password 12345678 privilege 10

...

Использование отрицательной формы команды (no) устанавливает значение по умолчанию.

Синтаксис

exec-timeout <SEC>

no exec-timeout

Параметры

<SEC> – период времени в минутах, принимает значения [1..65535].

Значение по умолчанию

30 минут

Необходимый уровень привилегий

15

Командный режим

CONFIG-LINE-CONSOLE

CONFIG-LINE-SSH

CONFIG-LINE-TELNET

CONFIG-LINE-AUX ¹  

Пример

 1 Только для ESR-21.

esrscs(config-line-ssh)# exec-timeout 600

key

Данной командой задаётся пароль для аутентификации на удаленном сервере.

Использование отрицательной формы команды (no) удаляет заданный пароль для аутентификации на удаленном сервере.

Синтаксис

key ascii-text { <TEXT> | encrypted <ENCRYPTED-TEXT> }

no key

Параметры

<TEXT> – строка [8..16] ASCII-символов (для TACACS-сервера – [1..16] ASCII-символов);

<ENCRYPTED-TEXT> – зашифрованный пароль, размером [8..16] байт, задаётся строкой [16..32] символов (для TACACS-сервера – до 120 символов).

Необходимый уровень привилегий

15

Командный режим

CONFIG-TACACS-SERVER

CONFIG-RADIUS-SERVER

CONFIG-DAS-SERVER

Пример

esrscs(config-tacacs-server)# key ascii-text 12345678

...

Использование отрицательной формы команды (no) удаляет заданный базовый DN.

Синтаксис

ldap-server base-dn <NAME>

no ldap-server base-dn

Параметры

<NAME> – базовый DN, задается строкой до 255 символов.

Необходимый уровень привилегий

15

Командный режим

CONFIG

Пример

esr(config)# ldap-server base-dn “dc=example,dc=com”

...

Использование отрицательной формы команды (no) удаляет заданный DN пользователя.

Синтаксис

ldap-server bind authenticate root-dn <NAME>

no bind authenticate root-dn

Параметры

<NAME> – DN пользователя с правами администратора, задается строкой до 255 символов.

Необходимый уровень привилегий

15

Командный режим

CONFIG

Пример

esr(config)# ldap-server bind authenticate root-dn “cn=admin,dc=example,dc=com”

...

Использование отрицательной формы команды (no) удаляет заданный пароль пользователя.

Синтаксис

ldap-server bind authenticate root-password ascii-text { <TEXT> | encrypted <ENCRYPTED-TEXT> }

no bind authenticate root-password

Параметры

<TEXT> – строка [8..16] ASCII-символов;

<ENCRYPTED-TEXT> – зашифрованный пароль, размером [8..16] байт, задаётся строкой [16..32] символов.

Необходимый уровень привилегий

15

Командный режим

CONFIG

Пример

esr(config)# ldap-server bind authenticate root-password ascii-text 12345678

...

Использование отрицательной формы команды (no) устанавливает значение по умолчанию.

Синтаксис

ldap-server bind timeout <SEC>

no ldap-server bind timeout

Параметры

<SEC> – период времени в секундах, принимает значения [1..30].

Значение по умолчанию

3 секунды

Необходимый уровень привилегий

15

Командный режим

CONFIG

Пример

esr(config)# ldap-server bind timeout 5

...

Использование отрицательной формы команды (no) устанавливает значение DSCP по умолчанию.

Синтаксис

ldap-server dscp <DSCP>

no ldap-server dscp

Параметры

<DSCP> – значение кода DSCP, принимает значения в диапазоне [0..63].

Значение по умолчанию

63

Необходимый уровень привилегий

10

Командный режим

CONFIG

Пример

esr(config)# ldap-server dscp 40

...

Использование отрицательной формы команды (no) удаляет заданный LDAP-сервер.

Синтаксис

[no] ldap-server host { <ADDR> | <IPV6-ADDR> | <LDAP-HOST-NAME> } [ vrf <VRF> ] 

Параметры

<VRF> – имя экземпляра VRF, задается строкой до 31 символа.

...

<LDAP-HOST-NAME> – DNS-имя LDAP-сервера, задаётся строкой до 31 символа. Для корректного сопоставления DNS-имени хоста с IP-адресом на маршрутизаторе должна быть запущена и настроена функция domain lookup enable.

Необходимый уровень привилегий

15

Командный режим

CONFIG

Пример

esr(config)# ldap-server host 10.100.100.1
esr(config-ldap-server)#

...

Использование отрицательной формы команды (no) устанавливает значение по умолчанию.

Синтаксис

ldap-server naming-attribute <NAME>

no ldap-server naming-attribute

Параметры

<NAME> – имя атрибута объекта, задаётся строкой до 127 символов.

Значение по умолчанию

uid

Необходимый уровень привилегий

15

Командный режим

CONFIG

Пример

esr(config)# ldap-server naming-attribute displayName

...

Использование отрицательной формы команды (no) устанавливает значение по умолчанию.

Синтаксис

ldap-server privilege-level-attribute <NAME>

no ldap-server privilege-level-attribute

Параметры

<NAME> – имя атрибута объекта, задаётся строкой до 127 символов.

Значение по умолчанию

priv-lvl

Необходимый уровень привилегий

15

Командный режим

CONFIG

Пример

esr(config)# ldap-server privilege-level-attribute title

...

Использование отрицательной формы команды (no) устанавливает значение по умолчанию.

Синтаксис

ldap-server search filter user-object-class <NAME>

no ldap-server search filter user-object-class

Параметры

<NAME> – имя класса объектов, задаётся строкой до 127 символов.

Значение по умолчанию

posixAccount

Необходимый уровень привилегий

15

Командный режим

CONFIG

Пример

esr(config)# ldap-server search filter user-object-class shadowAccount

...

Использование отрицательной формы команды (no) устанавливает значение по умолчанию.

Синтаксис

ldap-server search scope <SCOPE>

no ldap-server search scope

Параметры

<SCOPE> – область поиска пользователей на LDAP-сервере, принимает следующие значения:

...

Значение по умолчанию

subtree

Необходимый уровень привилегий

15

Командный режим

CONFIG

Пример

esr(config)# ldap-server search scope onelevel

...

Использование отрицательной формы команды (no) устанавливает значение по умолчанию.

Синтаксис

ldap-server search timeout <SEC>

no ldap-server search timeout

Параметры

<SEC> – период времени в секундах, принимает значения [0..30].

...

0 – устройство ожидает завершения поиска и получения ответа от LDAP-сервера.

Необходимый уровень привилегий

15

Командный режим

CONFIG

Пример

esr(config)# ldap-server search timeout 10

...

Использование отрицательной формы команды (no) удаляет из конфигурации сертификат для установления SSL-соединения с LDAP-сервером.

Синтаксис

ldap-server ssl crypto <FILE-NAME> 

no ldap-server ssl crypto

Параметры

Отсутствуют.

Значение по умолчанию

Сертификат не указан.

Необходимый уровень привилегий

15

Командный режим

CONFIG

Пример

esr(config)# ldap-server ssl crypto ldap-ssl.crt

...

Использование отрицательной формы команды (no) включает верификацию LDAP-сервера по сертификату.

Синтаксис

[no] ldap-server ssl check-peer disable

Параметры

Отсутствуют.

Значение по умолчанию

Отключено.

Необходимый уровень привилегий

15

Командный режим

CONFIG

Пример

esr(config)# ldap-server ssl check-peer disable

...

Использование отрицательной формы команды (no) отключается использование SSL-соединения для LDAP-подключения (LDAP over SSL).

Синтаксис

[no] ldap-server ssl enable 

Параметры

Отсутствуют.

Значение по умолчанию

Отключено.

Необходимый уровень привилегий

15

Командный режим

CONFIG

Пример

esr(config)# ldap-server ssl enable  

...

Использование отрицательной формы команды (no) устанавливает параметры терминала по умолчанию. Параметры по умолчанию описаны в разделах login authentication и enable authentication.

Синтаксис

[no] line <TYPE>

Параметры

<TYPE> – тип консоли:

• console – локальная консоль;
• telnet – удаленная консоль;
• ssh – защищенная удаленная консоль.

Необходимый уровень привилегий

15

Командный режим

CONFIG

Пример

esr(config)# line console
esr(config-line-console)#

...

Использование отрицательной формы команды (no) делает список с именем «default» активным.

Синтаксис

login authentication <NAME>

no login authentication

Параметры

<NAME> – имя списка, задаётся строкой до 31 символа.

Значение по умолчанию

default

Необходимый уровень привилегий

15

Командный режим

CONFIG-LINE-CONSOLE

CONFIG-LINE-TELNET

CONFIG-LINE-SSH

Пример

esr(config-line-console)# login authentication login-test

...

Использование отрицательной формы команды (no) устанавливает значение по умолчанию.

Синтаксис

mode <MODE>

no mode

Параметры

<MODE> – режим работы локальной учетной записи, принимает следующие значения:

• cli – режим работы по умолчанию, пользователь получает доступ к интерфейсу командной строки, предназначенному для управления, просмотра состояния и мониторинга устройства;
• techsupport – пользователь получает доступ к командной оболочке, в которой выполняется процедура отладки устройства совместно с специалистами технической поддержки;
• sftp – пользователь используется для организации доступа к встроенному SFTP-серверу, возможность работы в какой-либо командой оболочке при этом у пользователя отсутствует.

Значение по умолчанию

cli

Необходимый уровень привилегий

15

Командный режим

CONFIG-USER

Пример

esr(config-user)# mode cli

...

Использование отрицательной формы команды (no) удаляет пароль пользователя из системы.

Синтаксис

password { <CLEAR-TEXT> | encrypted <HASH_SHA512> }

no password

Параметры

<CLEAR-TEXT> – пароль, задаётся строкой [1 .. 32] символов, принимает значения [0-9a-fA-F];

<HASH_SHA512> – хеш пароля по алгоритму sha512, задаётся строкой из 110 символов.

Необходимый уровень привилегий

15

Командный режим

CONFIG-USER

CHANGE-EXPIRED-PASSWORD

Пример

esr(config-user) password test

...

Использование отрицательной формы команды (no) устанавливает значение по умолчанию.

Синтаксис

port <PORT>

no port

Параметры

<PORT> – номер TCP/UDP-порта для обмена данными c удаленным сервером, принимает значения [1..65535].

...

Не установлено – для DAS-сервера.

Необходимый уровень привилегий

15

Командный режим

CONFIG-TACACS-SERVER

CONFIG-LDAP-SERVER

CONFIG-DAS-SERVER

Пример

esr(config-tacacs-server)# port 4444

...

Использование отрицательной формы команды (no) устанавливает значение по умолчанию.

Синтаксис

priority <PRIORITY> 

no priority 

Параметры

<PRIORITY> – приоритет использования удаленного сервера, принимает значения [1..65535].

Значение по умолчанию

1

Необходимый уровень привилегий

15

Командный режим

CONFIG-TACACS-SERVER

CONFIG-RADIUS-SERVER

CONFIG-LDAP-SERVER

Пример

esr(config-tacacs-server)# priority 5

...

Если при аутентификации пользователя через протоколы TACACS/RADIUS/LDAP не была получена вышеуказанная опция или была получена опция с некорректным значением, то пользователю будут назначены привилегии пользователя «remote», по умолчанию 1. Необходимый уровень привилегий пользователя «remote» можно изменить аналогично любому другому пользователю из локальной базы с помощью указанной команды.

Синтаксис

privilege <PRIV>

no privilege

Параметры

<PRIV> – необходимый уровень привилегий, принимает значение [1..15].

Значение по умолчанию

1

Необходимый уровень привилегий

15

Командный режим

CONFIG-USER

Пример

esr(config-user)# privilege 15

...

Использование отрицательной формы команды (no) устанавливает необходимый уровень привилегий по умолчанию.

Синтаксис

privilege <COMMAND-MODE> level <PRIV> <COMMAND>

no privilege <COMMAND-MODE> <COMMAND>

Параметры

<COMMAND-MODE> – командный режим, может принимать значения:

...

<COMMAND> – поддерево команд, задается строкой до 255 символов.

Необходимый уровень привилегий

15

Командный режим

CONFIG

Пример

Установить для поддерева команд «show» корневого командного режима необходимый уровень привилегий 2. Команды поддерева «show interfaces» оставить с уровнем привилегий 1.

...

Использование отрицательной формы команды (no) устанавливает значение DSCP по умолчанию.

Синтаксис

radius-server dscp <DSCP>

no radius-server dscp

Параметры

<DSCP> – значение кода DSCP, принимает значения в диапазоне [0..63].

Значение по умолчанию

63

Необходимый уровень привилегий

10

Командный режим

CONFIG

Пример

esr(config)# radius-server dscp 40

...

Использование отрицательной формы команды (no) удаляет заданный RADIUS-сервер.

Синтаксис

[no] radius-server host { <ADDR> | <IPV6-ADDR> } [ vrf <VRF> ]

Параметры

<VRF> – имя экземпляра VRF, задается строкой до 31 символа.

...

<IPV6-ADDR> – IPv6-адрес RADIUS-сервера, задаётся в виде X:X:X:X::X, где каждая часть принимает значения в шестнадцатеричном формате [0..FFFF].

Необходимый уровень привилегий

15

Командный режим

CONFIG

Пример

esr(config)# radius-server host 10.100.100.1
esr(config-radius-server)#

...

Использование отрицательной формы команды (no) удаляет заданный RADIUS-сервер из профиля.

Синтаксис

[no] radius-server host { <ADDR> | <IPV6-ADDR> } [ vrf <VRF> ]

Параметры

<VRF> – имя экземпляра VRF, задается строкой до 31 символа.

...

<IPV6-ADDR> – IPv6-адрес RADIUS-сервера, задаётся в виде X:X:X:X::X, где каждая часть принимает значения в шестнадцатеричном формате [0..FFFF].

Необходимый уровень привилегий

15

Командный режим

CONFIG-RADIUS-SERVER-PROFILE

Пример

esr(config-aaa-radius-profile)# radius-server host 10.100.100.1

...

Использование отрицательной формы команды (no) устанавливает значение по умолчанию.

Синтаксис

radius-server retransmit <COUNT>

no radius-server retransmit

Параметры

<COUNT> – количество перезапросов к RADIUS-серверу, принимает значения [1..10].

Значение по умолчанию

1

Необходимый уровень привилегий

15

Командный режим

CONFIG

Пример

esr(config)# radius-server retransmit 5

...

Использование отрицательной формы команды (no) устанавливает значение по умолчанию.

Синтаксис

radius-server timeout <SEC>

no radius-server timeout

Параметры

<SEC> – период времени в секундах, принимает значения [1..30].

Значение по умолчанию

3 секунды

Необходимый уровень привилегий

10

Командный режим

CONFIG

Пример

esr(config)# radius-server timeout 5

...

Использование отрицательной формы команды (no) устанавливает значение по умолчанию.

Синтаксис

retransmit <COUNT>

no retransmit

Параметры

<COUNT> – количество перезапросов к RADIUS-серверу, принимает значения [1..10].

...

Не задан, используется значение глобального параметра, описанного в разделе radius-server retransmit.

Необходимый уровень привилегий

15

Командный режим

CONFIG-RADIUS-SERVER

Пример

esr(config)# retransmit 5

...

Использование отрицательной формы команды (no) отключает запрос на смену пароля по умолчанию.

Синтаксис

[no] security passwords default-expired

Параметры

Команда не содержит параметров.

...

Запрос на смену пароля по умолчанию отключен.

Необходимый уровень привилегий

15

Командный режим

CONFIG

Пример

esr(config)# security passwords default-expired

...

Использование отрицательной формы команды (no) устанавливает значение по умолчанию.

Синтаксис

security passwords history <COUNT>

no security passwords history

Параметры

<COUNT> – количество паролей, сохраняемых в памяти маршрутизатора [0..15]. При уменьшении данного значения лишние, более старые пароли удаляются.

Значение по умолчанию

1

Необходимый уровень привилегий

15

Командный режим

CONFIG

Пример

esr(config)# security passwords history 5

...

Использование отрицательной формы команды (no) устанавливает значение по умолчанию.

Синтаксис

security passwords lifetime <TIME>

no security passwords lifetime

Параметры

<TIME> – интервал времени действия пароля в днях, принимает значения [1..365].

...

Время действия пароля локального пользователя не ограничено.

Необходимый уровень привилегий

15

Командный режим

CONFIG

Пример

esr(config)# security passwords lifetime 30

...

Использование отрицательной формы команды (no) устанавливает значение по умолчанию.

Синтаксис

security passwords lower-case <COUNT>

no security passwords lower-case

Параметры

<COUNT> – минимальное количество строчных букв в пароле локального пользователя, ENABLE-пароле, имени SMNPv3-пользователя и SMNPv1/SMNPv2 c комьюнити [0..32].

Значение по умолчанию

0

Необходимый уровень привилегий

15

Командный режим

CONFIG

Пример

esr(config)# security passwords lower-case 2

...

Использование отрицательной формы команды (no) устанавливает значение по умолчанию.

Синтаксис

security passwords max-length <NUM>

no security passwords max-length

Параметры

<NUM> – максимальное количество символов в пароле, задается в диапазоне [1..32].

Значение по умолчанию

32

Необходимый уровень привилегий

15

Командный режим

CONFIG

Пример

esr(config)# security passwords max-length 30

...

Использование отрицательной формы команды (no) устанавливает значение по умолчанию.

Синтаксис

security passwords min-length <NUM>

no security passwords min-length

Параметры

<NUM> – минимальное количество символов в пароле, задается в диапазоне [1..32].

Значение по умолчанию

1

Необходимый уровень привилегий

15

Командный режим

CONFIG

Пример

esr(config)# security passwords min-length 10

...

Использование отрицательной формы команды (no) устанавливает значение по умолчанию.

Синтаксис

security passwords numeric-count <COUNT>

no security passwords numeric-count

Параметры

<COUNT> – минимальное количество цифр в пароле локального пользователя, ENABLE-пароле, имени SMNPv3-пользователя и SMNPv1/SMNPv2 c комьюнити [0..32].

Значение по умолчанию

0

Необходимый уровень привилегий

15

Командный режим

CONFIG

Пример

esr(config)# security passwords numeric-count 2

...

Использование отрицательной формы команды (no) устанавливает значение по умолчанию.

Синтаксис

security passwords special-case <COUNT>

no security passwords special-case

Параметры

<COUNT> – минимальное количество специальных символов в пароле локального пользователя, ENABLE-пароле, имени SMNPv3-пользователя и SMNPv1/SMNPv2 c комьюнити [0..32].

Значение по умолчанию

0

Необходимый уровень привилегий

15

Командный режим

CONFIG

Пример

esr(config)# security passwords special-case 2

...

Использование отрицательной формы команды (no) устанавливает значение по умолчанию.

Синтаксис

security passwords symbol-types <COUNT>

no security passwords symbol-types

Параметры

<COUNT> – минимальное количество типов символов в пароле локального пользователя, ENABLE-пароле, имени SMNPv3-пользователя и SMNPv1/SMNPv2 c комьюнити [1..4].

Значение по умолчанию

1

Необходимый уровень привилегий

15

Командный режим

CONFIG

Пример

esr(config)# security passwords symbol-types 2

...

Использование отрицательной формы команды (no) устанавливает значение по умолчанию.

Синтаксис

security passwords upper-case <COUNT>

no security passwords upper-case

Параметры

<COUNT> – минимальное количество прописных (заглавных) букв в пароле локального пользователя, ENABLE-пароле, имени SMNPv3-пользователя и SMNPv1/SMNPv2 c комьюнити [0..32].

Значение по умолчанию

0

Необходимый уровень привилегий

15

Командный режим

CONFIG

Пример

esr(config)# security passwords upper-case 2

...

Использование отрицательной формы команды (no) устанавливает значение по умолчанию.

Синтаксис

security snmp-community max-length <NUM>

no security snmp-community max-length

Параметры

<NUM> – максимальное количество символов в комьюнити, задается в диапазоне [1..128].

Значение по умолчанию

128

Необходимый уровень привилегий

15

Командный режим

CONFIG

Пример

esr(config)# security snmp-community max-length 30

...

Использование отрицательной формы команды (no) устанавливает значение по умолчанию.

Синтаксис

security passwords min-length <NUM>

no security passwords min-length

Параметры

<NUM> – минимальное количество символов в комьюнити, задается в диапазоне [1..128].

Значение по умолчанию

1

Необходимый уровень привилегий

15

Командный режим

CONFIG

Пример

esr(config)# security snmp-community min-length 10

...

Данная команда позволяет просмотреть настроенные параметры учета.

Синтаксис

show aaa accounting

Параметры

Команда не содержит параметров.

Необходимый уровень привилегий

10

Командный режим

ROOT

Пример

esr# show aaa accounting
Login :          radius
Commands :       tacacs

...

Данная команда позволяет просмотреть списки способов аутентификации пользователей, а также активные списки каждого типа терминалов.

Синтаксис

show aaa authentication

Параметры

Команда не содержит параметров.

Необходимый уровень привилегий

10

Командный режим

ROOT

Пример

esr# show aaa authentication
   Login Authentication Method Lists
   ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
List               Methods
----------------   --------------------------------
default            local
   Enable Authentication Method Lists
   ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
List               Methods
----------------   --------------------------------
default            enable
   Lines configuration
   ~~~~~~~~~~~~~~~~~~~
Line        Login method list                  Enable method list
---------   --------------------------------   --------------------------------
console     default                            default
telnet      default                            default
ssh         default                            default

...

Данная команда позволяет просмотреть параметры LDAP-серверов.

Синтаксис

show aaa ldap-servers

Параметры

Команда не содержит параметров.

Необходимый уровень привилегий

15

Командный режим

ROOT

Пример

esr# show aaa ldap-servers
Base DN:                      dc=example,dc=com
Root DN:                      cn=admin,dc=example,dc=com
Root password:                CDE65039E5591FA3
Naming attribute:             uid
Privilege level attribute:    priv-lvl
User object class:            posixAccount
DSCP:                         63
Bind timeout:                 3
Search timeout:               0
Search scope:                 subtree
IP Address                         Port           Priority
--------------------------------   ------------   ------------
10.100.100.1                       389            1

...

Данная команда позволяет просмотреть параметры RADIUS-серверов.

Синтаксис

show aaa radius-servers

Параметры

Команда не содержит параметров.

Необходимый уровень привилегий

15

Командный режим

ROOT

Пример

esr# show aaa radius-servers
Timeout:     3
Retransmit:  1
DSCP:        63
IP Addres        Timeout      Priority     Usage        Key
------------    ----------   ----------   ----------   ---------------------------
2.2.2.2             --           1            all          9DA7076CA30B5FFE0DC9C4
2.4.4.4             --           1            all          9DA7076BA30B4EFCE5

...

Данная команда позволяет просмотреть параметры TACACS-серверов.

Синтаксис

show aaa tacacs-servers

Параметры

Команда не содержит параметров.

Необходимый уровень привилегий

15

Командный режим

ROOT

Пример

esr# show aaa tacacs-servers
Timeout :       3
DSCP:          63
IP Address               Port           Priority       Key
----------------------   ------------   ------------   --------------------------------
10.100.100.1             49             1              CDE65039E5591FA3
10.100.100.5             49             10             CDE65039E5591FA3

...

Данная команда позволяет просмотреть активные сессии пользователей системы.

Синтаксис

show users

Параметры

Команда не содержит параметров.

Необходимый уровень привилегий

1

Командный режим

ROOT

Пример

esr# show users 
SID    User name              Logged in at          Protocol            Host                   Timers Login/Priv   Level   
----   --------------------   -----------------     -----------------   --------------------   -----------------   -----   
0 *    admin                  2023-06-26 15:47:38   SSH                 192.168.1.44           00:29:59/00:00:00   15      
1      admin                  2023-06-26 15:47:38   Telnet              192.168.1.44           00:25:08/00:00:00   15      
2      admin                  2023-06-26 15:47:38   Console             Console                00:29:56/00:00:00   15 

...

Данная команда позволяет просмотреть конфигурацию пользователей системы.

Синтаксис

show users accounts

Параметры

Команда не содержит параметров.

Необходимый уровень привилегий

10

Командный режим

ROOT

Пример

esr# show user accounts
Name                               Password                           Privilege
--------------------------------   --------------------------------   ---------
admin                              $6$1sxrvGaV8Za8oX/K$YNel5xYPZ4cj   15
                                   bemYWYNpQBQKDxWE9v0aoKgQ
                                   kRCEb0EMNuusO9Kmg7UBs7nA3buEM87e
                                   Eu.rA6tZq0
techsupport                        $6$YfwntIwU$ah7UxPZTemKhjpSWvVsV   15
                                   9jHcp. 9lweQaSldw7ZtUr
                                   uH66uZx9.EBASff//hUj8ObUaC484TNR
                                   x.
remote                             $6$YfwntIwU$ah7UxPZTemKhjpSWvVsV   1
                                   9jHcp.kqFAK.vmvyY9lweQaSldw7ZtUr
                                   uH66uZx9.EBASff//hUj8ObUaC484TNR
                                   x.
operator                           $6$eILpbbyRxedCzvVD$4RHP08mjXvNf   1
                                   urX7V/ULCZ1oHIWMwE6h5f
                                   zgwZQUZcPoZCEyaqQQqCicRMRuPwhxrQ
                                   bvGChWreW1

...

Данная команда позволяет просматривать список пользователей, для которых был введен неправильный пароль. Пользователь удаляется из списка после ввода правильного пароля при аутентификации.

Синтаксис

show users blocked [ <NAME> ]

Параметры

<NAME> – имя пользователя, для которого необходимо отобразить статистику неправильных попыток аутентификации, задаётся строкой до 31 символа.

Без указания имени пользователя отображается вся таблица неправильных попыток аутентификации.

Необходимый уровень привилегий

1

Командный режим

ROOT

Пример

esr# show users blocked
User name              Failures   Latest failure        From
--------------------   --------   -------------------   ----------------
tester                 4          2017-09-10 08:29:42   0.0.0.0

...

Использование отрицательной формы команды (no) удаляет указанный IPv4/IPv6-адрес источника.

Синтаксис

source-address { <ADDR> | <IPV6-ADDR> | object-group <NETWORK_OBJ_GROUP_NAME> }

no source-address

Параметры

<ADDR> – IP-адрес источника, задаётся в виде AAA.BBB.CCC.DDD, где каждая часть принимает значения [0..255];

...

<NETWORK_OBJ_GROUP_NAME> – список адресов, которые будут использоваться в качестве source address.

Необходимый уровень привилегий

15

Командный режим

CONFIG-RADIUS-SERVER

CONFIG-TACACS-SERVER

CONFIG-LDAP-SERVER

Пример

esr(config-radius-server)# source-address 220::71

...

Использование отрицательной формы команды (no) удаляет указанный интерфейс или туннель.

Синтаксис

source-interface { <IF> | <TUN> }

no source-interface

Параметры

<IF> – имя интерфейса устройства, задаётся в виде, описанном в разделе Типы и порядок именования интерфейсов маршрутизатора; 

<TUN> – имя туннеля устройства, задаётся в виде, описанном в разделе Типы и порядок именования туннелей маршрутизатора.

Необходимый уровень привилегий

15

Командный режим

CONFIG-RADIUS-SERVER

CONFIG-TACACS-SERVER

CONFIG-LDAP-SERVER

Пример

esr(config-radius-server)# source-interface gigabitethernet 1/0/1

...

Использование отрицательной формы команды (no) устанавливается значение по умолчанию.

Синтаксис

[no] system configuration-exclusively

Параметры

Команда не содержит параметров.

Значение по умолчанию

Отключено.

Необходимый уровень привилегий

15

Командный режим

CONFIG

Пример

esr(config)# system configuration-exclusively

...

Использование отрицательной формы команды (no) устанавливает значение DSCP по умолчанию.

Синтаксис

tacacs-server dscp <DSCP>

no tacacs-server dscp

Параметры

<DSCP> – значение кода DSCP, принимает значения в диапазоне [0..63].

Значение по умолчанию

63

Необходимый уровень привилегий

10

Командный режим

CONFIG

Пример

esr(config)# tacacs-server dscp 40

...

Использование отрицательной формы команды (no) удаляет заданный TACACS-сервер.

Синтаксис

[no] tacacs-server host { <ADDR> | <IPV6-ADDR> } [ vrf <VRF> ]

Параметры

<VRF> – имя экземпляра VRF, задается строкой до 31 символа.

...

<IPV6-ADDR> – IPv6-адрес TACACS-сервера, задаётся в виде X:X:X:X::X, где каждая часть принимает значения в шестнадцатеричном формате [0..FFFF].

Необходимый уровень привилегий

15

Командный режим

CONFIG

Пример

esr(config)# tacacs-server host 10.100.100.1
esr(config-tacacs-server)#

...

Использование отрицательной формы команды (no) устанавливает значение по умолчанию.

Синтаксис

tacacs-server timeout <SEC>

no tacacs-server timeout

Параметры

<SEC> – период времени в секундах, принимает значения [1..30].

Значение по умолчанию

3 секунды.

Необходимый уровень привилегий

10

Командный режим

CONFIG

Пример

esr(config)# tacacs-server timeout 5

...

Использование отрицательной формы команды (no) устанавливает значение по умолчанию.

Синтаксис

timeout <SEC>

no timeout

Параметры

<SEC> – период времени в секундах, принимает значения [1..30].

...

Не задан, используется значение глобального таймера, описанного в разделе radius-server timeout.

Необходимый уровень привилегий

10

Командный режим

CONFIG-RADIUS-SERVER

Пример

esr(config-radius-server)# timeout 7

...

Использование отрицательной формы команды (no) устанавливает значение по умолчанию.

Синтаксис

usage { all | aaa | auth | acct | pptp | l2tp }

no usage

Параметры

all – все типы соединений;

...

l2tp – RADIUS-сервер будет использоваться для аутентификации, авторизации и учета удаленных пользователей, подключающихся по протоколу L2TP over IPsec.

Значение по умолчанию

all

Необходимый уровень привилегий

15

Командный режим

CONFIG-RADIUS-SERVER

Пример

esr(config-radius-server)# usage pptp

...

Использование отрицательной формы команды (no) удаляет пользователя из системы.

Синтаксис

[no] username <NAME>

Параметры

<NAME> – имя пользователя, задаётся строкой до 31 символа. Если использовать команду для удаления, то при указании значения «all» будут удалены все пользователи.

Необходимый уровень привилегий

15

Командный режим

CONFIG

Пример

esr(config)# username test
esr(config-user)#

...