...
| Блок кода |
|---|
scs(config-tacacs-server)# key ascii-text 12345678 |
...
line
Данной командой задаётся базовый DN (Distinguished name), который будет использоваться при поиске пользователейосуществляется переход в режим конфигурирования соответствующего терминала: локальная консоль, удаленная консоль (Telnet), удаленная защищенная консоль (SSH), последовательный порт(AUX).
Использование отрицательной формы команды (no) удаляет заданный базовый DNустанавливает параметры терминала по умолчанию. Параметры по умолчанию описаны в разделах login authentication и enable authentication.
Синтаксис
ldap-server base-dn <NAME>no ldap-server base-dn[no] line <TYPE>
Параметры
<NAME> – базовый DN, задается строкой до 255 символов.
Необходимый уровень привилегий
15
<TYPE> – тип консоли:
- console – локальная консоль;
- telnet – удаленная консоль;
- ssh – защищенная удаленная консоль;
- aux - последовательный порт.
Необходимый уровень привилегий
15
Командный Командный режим
CONFIG
Пример
| Блок кода |
|---|
esrscs(config)# ldap-server base-dn “dc=example,dc=com” |
ldap-server bind authenticate root-dn
Данной командой задаётся DN (Distinguished name) пользователя с правами администратора, под которым будет происходить авторизация на LDAP-сервере при поиске пользователей.
Использование отрицательной формы команды (no) удаляет заданный DN пользователя.
Синтаксис
ldap-server bind authenticate root-dn <NAME> line console
scs(config-line-console)# |
| Якорь | ||||
|---|---|---|---|---|
|
login authentication
Данной командой осуществляется активация списка аутентификации входа пользователей в систему, который будет использоваться в конфигурируемом терминале.
В конфигурации по умолчанию активным является список с именем «default», данный список содержит один способ аутентификации – «local».
Использование отрицательной формы команды (no) делает список с именем «default» активным.
Синтаксис
login authentication <NAME>no login authenticationno bind authenticate root-dn
Параметры
<NAME> – DN пользователя с правами администратора, задается строкой до 255 символов.имя списка, задаётся строкой до 31 символа.
Значение по умолчанию
default
Необходимый уровень привилегий
15
Командный режим
CONFIG-LINE-CONSOLE
CONFIG-LINE-TELNET
CONFIG-LINE-SSH
CONFIG-LINE-AUX
Пример
| Блок кода |
|---|
esrscs(config-line-console)# ldap-serverlogin bindauthentication authenticate root-dn “cn=admin,dc=example,dc=com” |
ldap-server bind authenticate root-password
login-test |
mode
Данной командой задаётся режим работы локальной учетной записиДанной командой задаётся пароль пользователя с правами администратора, под которым будет происходить авторизация на LDAP-сервере при поиске пользователей.
Использование отрицательной формы команды (no) удаляет заданный пароль пользователяустанавливает значение по умолчанию.
Синтаксис
ldap-server bind authenticate root-password ascii-text { <TEXT> | encrypted <ENCRYPTED-TEXT> }mode <MODE>no modeno bind authenticate root-password
Параметры
<MODE> – режим работы локальной учетной записи, принимает следующие значения:
- cli – режим работы по умолчанию, пользователь получает доступ к интерфейсу командной строки, предназначенному для управления, просмотра состояния и мониторинга устройства;
- techsupport – пользователь получает доступ к командной оболочке, в которой выполняется процедура отладки устройства совместно с специалистами технической поддержки;
- sftp – пользователь используется для организации доступа к встроенному SFTP-серверу, возможность работы в какой-либо командой оболочке при этом у пользователя отсутствует.
Значение по умолчанию
cliTEXT> – строка [8..16] ASCII-символов;<ENCRYPTED-TEXT> – зашифрованный пароль, размером [8..16] байт, задаётся строкой [16..32] символов.
Необходимый уровень привилегий
15
Командный режим
CONFIG-USER
Пример
| Блок кода |
|---|
esrscs(config-user)# ldap-server bind authenticate root-password ascii-text 12345678 |
ldap-server bind timeout
mode cli |
password
Команда для установки пароля определенному пользователю для входа в систему. Пароль может быть задан как в открытом виде, так и в виде хеш sha512Данной командой задаётся интервал, по истечении которого устройство считает, что LDAP-сервер недоступен.
Использование отрицательной формы команды (no) устанавливает значение по умолчаниюудаляет пароль пользователя из системы.
Синтаксис
ldap-server bind timeout <SEC>no ldap-server bind timeoutПараметры
<SEC> – период времени в секундах, принимает значения [1..30].
Значение по умолчанию
3 секунды
password { <CLEAR-TEXT> | encrypted <HASH_SHA512> }no passwordПараметры
<CLEAR-TEXT> – пароль, задаётся строкой [1 .. 32] символов, принимает значения [0-9a-fA-F];
<HASH_SHA512> – хеш пароля по алгоритму sha512, задаётся строкой из 110 символов.
Необходимый уровень привилегий
15
Командный режим
CONFIG-USER
CHANGE-EXPIRED-PASSWORD
Пример
| Блок кода |
|---|
esrscs(config-user)# ldap-server bind timeout 5 |
ldap-server dscp
password test |
port
Данной командой задаётся номер порта для обмена данными c удаленным серверомКоманда задаёт значение кода DSCP для использования в IP-заголовке исходящих пакетов LDAP-сервера.
Использование отрицательной формы команды (no) устанавливает значение DSCP по умолчанию.
Синтаксис
ldap-server dscp <DSCP>port <PORT>
no ldap-server dscpport
Параметры
<DSCPPORT> – значение кода DSCPномер TCP/UDP-порта для обмена данными c удаленным сервером, принимает значения в диапазоне [01..6365535].
Значение по умолчанию
6349 – для TACACS-сервера;
Необходимый уровень привилегий
1015
Командный режим
CONFIG-TACACS-SERVER
Пример
| Блок кода |
|---|
esrscs(config-tacacs-server)# ldap-server dscp 40 |
ldap-server host
port 4444 |
priority
Данной командой задаётся приоритет использования удаленного сервера. Чем ниже значение, тем приоритетнее серверДанная команда используется для добавления LDAP-сервера в список используемых серверов и перехода в командный режим LDAP SERVER.
Использование отрицательной формы команды (no) удаляет заданный LDAP-серверустанавливает значение по умолчанию.
Синтаксис
[no] ldap-server host { <ADDR> | <IPV6-ADDR> | <LDAP-HOST-NAME> } [ vrf <VRF> ] Параметры
<VRF> – имя экземпляра VRF, задается строкой до 31 символа.
<ADDR> – IP-адрес LDAP-сервера, задаётся в виде AAA.BBB.CCC.DDD, где каждая часть принимает значения [0..255];
<IPV6-ADDR> – IPv6-адрес LDAP-сервера, задаётся в виде X:X:X:X::X, где каждая часть принимает значения в шестнадцатеричном формате [0..FFFF].
<LDAP-HOST-NAME> – DNS-имя LDAP-сервера, задаётся строкой до 31 символа. Для корректного сопоставления DNS-имени хоста с IP-адресом на маршрутизаторе должна быть запущена и настроена функция domain lookup enable.
Необходимый уровень привилегий
15
Командный режим
CONFIG
Пример
| Блок кода |
|---|
esr(config)# ldap-server host 10.100.100.1
esr(config-ldap-server)# |
ldap-server naming-attribute
Данной командой задаётся имя атрибута объекта, со значением которого идет сравнение имени искомого пользователя на LDAP-сервере.
Использование отрицательной формы команды (no) устанавливает значение по умолчанию.
Синтаксис
ldap-server naming-attribute <NAME>no ldap-server naming-attributeПараметры
<NAME> – имя атрибута объекта, задаётся строкой до 127 символов.
Значение по умолчанию
uid
Необходимый уровень привилегий
15
Командный режим
CONFIG
Пример
| Блок кода |
|---|
esr(config)# ldap-server naming-attribute displayName |
ldap-server privilege-level-attribute
Данной командой задаётся имя атрибута объекта, значение которого будет определять начальные привилегии пользователя на устройстве. Атрибут должен принимать значения [1..15]. Если указанный атрибут отсутствует или содержит недопустимое значение, то начальные привилегии пользователя будут соответствовать привилегиям пользователя «remote».
Использование отрицательной формы команды (no) устанавливает значение по умолчанию.
Синтаксис
ldap-server privilege-level-attribute <NAME>no ldap-server privilege-level-attributeПараметры
<NAME> – имя атрибута объекта, задаётся строкой до 127 символов.
Значение по умолчанию
priv-lvl
Необходимый уровень привилегий
15
Командный режим
CONFIG
Пример
| Блок кода |
|---|
esr(config)# ldap-server privilege-level-attribute title |
ldap-server search filter user-object-class
Данной командой задаётся имя класса объектов, среди которых необходимо выполнять поиск пользователей на LDAP-сервере.
Использование отрицательной формы команды (no) устанавливает значение по умолчанию.
Синтаксис
ldap-server search filter user-object-class <NAME>no ldap-server search filter user-object-classПараметры
<NAME> – имя класса объектов, задаётся строкой до 127 символов.
Значение по умолчанию
posixAccount
Необходимый уровень привилегий
15
Командный режим
CONFIG
Пример
| Блок кода |
|---|
esr(config)# ldap-server search filter user-object-class shadowAccount |
ldap-server search scope
Данной командой задаётся область поиска пользователей в дереве LDAP-сервера.
Использование отрицательной формы команды (no) устанавливает значение по умолчанию.
Синтаксис
ldap-server search scope <SCOPE>no ldap-server search scopeПараметры
<SCOPE> – область поиска пользователей на LDAP-сервере, принимает следующие значения:
- onelevel – выполнять поиск в объектах на следующем уровне после базового DN в дереве LDAP-сервера;
- subtree – выполнять поиск во всех объектах поддерева базового DN в дереве LDAP-сервера.
Значение по умолчанию
subtree
Необходимый уровень привилегий
15
Командный режим
CONFIG
Пример
| Блок кода |
|---|
esr(config)# ldap-server search scope onelevel |
ldap-server search timeout
Данной командой задаётся интервал, по истечении которого устройство считает, что LDAP-сервер не нашел записей пользователей, подходящих под условие поиска.
Использование отрицательной формы команды (no) устанавливает значение по умолчанию.
Синтаксис
ldap-server search timeout <SEC>no ldap-server search timeoutПараметры
<SEC> – период времени в секундах, принимает значения [0..30].
Значение по умолчанию
0 – устройство ожидает завершения поиска и получения ответа от LDAP-сервера.
Необходимый уровень привилегий
15
Командный режим
CONFIG
Пример
| Блок кода |
|---|
esr(config)# ldap-server search timeout 10 |
ldap-server ssl crypto
Данной командой указывается сертификат, который будет использоваться для установления SSL-соединения с LDAP-сервером.
Использование отрицательной формы команды (no) удаляет из конфигурации сертификат для установления SSL-соединения с LDAP-сервером.
Синтаксис
ldap-server ssl crypto <FILE-NAME> no ldap-server ssl cryptoПараметры
Отсутствуют.
Значение по умолчанию
Сертификат не указан.
Необходимый уровень привилегий
15
Командный режим
CONFIG
Пример
| Блок кода |
|---|
esr(config)# ldap-server ssl crypto ldap-ssl.crt |
ldap-server ssl check-peer disable
Данной командой отключается верификация LDAP-сервера по сертификату.
Использование отрицательной формы команды (no) включает верификацию LDAP-сервера по сертификату.
Синтаксис
[no] ldap-server ssl check-peer disableПараметры
Отсутствуют.
Значение по умолчанию
Отключено.
Необходимый уровень привилегий
15
Командный режим
CONFIG
Пример
| Блок кода |
|---|
esr(config)# ldap-server ssl check-peer disable |
ldap-server ssl enable
Данной командой включается использование SSL-соединения для LDAP-подключения (LDAP over SSL).
Использование отрицательной формы команды (no) отключается использование SSL-соединения для LDAP-подключения (LDAP over SSL).
Синтаксис
[no] ldap-server ssl enable Параметры
Отсутствуют.
Значение по умолчанию
Отключено.
Необходимый уровень привилегий
15
Командный режим
CONFIG
Пример
| Блок кода |
|---|
esr(config)# ldap-server ssl enable |
...
line
Данной командой осуществляется переход в режим конфигурирования соответствующего терминала: локальная консоль, удаленная консоль (Telnet), удаленная защищенная консоль (SSH).
Использование отрицательной формы команды (no) устанавливает параметры терминала по умолчанию. Параметры по умолчанию описаны в разделах login authentication и enable authentication.
Синтаксис
[no] line <TYPE>Параметры
<TYPE> – тип консоли:
- console – локальная консоль;
- telnet – удаленная консоль;
- ssh – защищенная удаленная консоль.
Необходимый уровень привилегий
15
Командный режим
CONFIG
Пример
| Блок кода |
|---|
esr(config)# line console
esr(config-line-console)# |
...
priority <PRIORITY> no priority Параметры
<PRIORITY> – приоритет использования удаленного сервера, принимает значения [1..65535].
Значение по умолчанию
1
Необходимый уровень привилегий
15
Командный режим
CONFIG-TACACS-SERVER
CONFIG-RADIUS-SERVER
Пример
| Блок кода |
|---|
scs(config-tacacs-server)# priority 5 |
privilege
Данной командой производится установка уровня привилегий пользователя. Набор команд, который доступен пользователю, зависит от уровня привилегий. Пользователям с уровнями привилегий от 1 до 9 доступен только просмотр информации. Пользователям с уровнем привилегий от 10 до 15 доступна большая часть команд конфигурирования. Пользователям с уровнем привилегий 15 доступен полный набор команд. Требуемый необходимый уровень привилегий команд может быть изменен, описание в разделе description.
Использование отрицательной формы команды (no) устанавливает необходимый уровень привилегий по умолчанию.
Назначение начального уровня привилегий пользователям происходит следующим образом:
- необходимый уровень привилегий пользователям из локальной базы назначается указанной командой;
- необходимый уровень привилегий для пользователей, авторизовавшихся по протоколу RADIUS, извлекается из атрибута cisco-avpair = "shell:priv-lvl=<PRIV>";
- необходимый уровень привилегий для пользователей, авторизовавшихся по протоколу TACACS, извлекается из атрибута priv-lvl=<PRIV>;
Если при аутентификации пользователя через протоколы TACACS/RADIUS не была получена вышеуказанная опция или была получена опция с некорректным значением, то пользователю будут назначены привилегии пользователя «remote», по умолчанию 1. Необходимый уровень привилегий пользователя «remote» можно изменить аналогично любому другому пользователю из локальной базы с помощью указанной команды.
Синтаксис
privilege <PRIV>no privilegeПараметры
<PRIV> – необходимый уровень привилегий, принимает значение [1..15].
Значение по умолчанию
1
Необходимый уровень привилегий
15
Командный режим
CONFIG-USER
Пример
| Блок кода |
|---|
scs(config-user)# privilege 15 |
privilege
Данной командой производится установка минимального уровня привилегий пользователя, необходимого для выполнения команды из указанного поддерева команд.
Использование отрицательной формы команды (no) устанавливает необходимый уровень привилегий по умолчанию.
Синтаксис
privilege <COMMAND-MODE> level <PRIV> <COMMAND>no privilege <COMMAND-MODE> <COMMAND>Параметры
<COMMAND-MODE> – командный режим, может принимать значения:
- config
- config-access-profile
- config-access-profile-user
- config-acl-ip
- config-acl-ip-rule
- config-acl-mac
- config-acl-mac-rule
- config-archive
- config-cellular-modem
- config-cellular-profile
- config-if-gi
- config-if-loopback
- config-if-port-channel
- config-if-qinq
- config-if-serial
- config-if-sub
- config-if-te
- config-key-chain
- config-key-chain-key
- config-line-aux
- config-line-console
- config-line-ssh
- config-line-telnet
- config-ntp
- config-object-group-mac
- config-object-group-network
- config-ppp-user
- config-radius-server
- config-snmp
- config-snmp-host
- config-snmp-user
- config-syslog-destination
- config-syslog-file
- config-syslog-host
- config-tacacs-server
- config-user
- config-vlan
- debug
- root
- root-change-expired-password
...
login authentication
Данной командой осуществляется активация списка аутентификации входа пользователей в систему, который будет использоваться в конфигурируемом терминале.
В конфигурации по умолчанию активным является список с именем «default», данный список содержит один способ аутентификации – «local».
Использование отрицательной формы команды (no) делает список с именем «default» активным.
Синтаксис
login authentication <NAME>no login authenticationПараметры
<NAME> – имя списка, задаётся строкой до 31 символа.
Значение по умолчанию
default
Необходимый уровень привилегий
15
Командный режим
CONFIG-LINE-CONSOLE
CONFIG-LINE-TELNET
CONFIG-LINE-SSH
Пример
| Блок кода |
|---|
esr(config-line-console)# login authentication login-test |
mode
Данной командой задаётся режим работы локальной учетной записи.
Использование отрицательной формы команды (no) устанавливает значение по умолчанию.
Синтаксис
mode <MODE>no modeПараметры
<MODE> – режим работы локальной учетной записи, принимает следующие значения:
- cli – режим работы по умолчанию, пользователь получает доступ к интерфейсу командной строки, предназначенному для управления, просмотра состояния и мониторинга устройства;
- techsupport – пользователь получает доступ к командной оболочке, в которой выполняется процедура отладки устройства совместно с специалистами технической поддержки;
- sftp – пользователь используется для организации доступа к встроенному SFTP-серверу, возможность работы в какой-либо командой оболочке при этом у пользователя отсутствует.
Значение по умолчанию
cli
Необходимый уровень привилегий
15
Командный режим
CONFIG-USER
Пример
| Блок кода |
|---|
esr(config-user)# mode cli |
password
Команда для установки пароля определенному пользователю для входа в систему. Пароль может быть задан как в открытом виде, так и в виде хеш sha512.
Использование отрицательной формы команды (no) удаляет пароль пользователя из системы.
Синтаксис
password { <CLEAR-TEXT> | encrypted <HASH_SHA512> }no passwordПараметры
<CLEAR-TEXT> – пароль, задаётся строкой [1 .. 32] символов, принимает значения [0-9a-fA-F];
<HASH_SHA512> – хеш пароля по алгоритму sha512, задаётся строкой из 110 символов.
Необходимый уровень привилегий
15
Командный режим
CONFIG-USER
CHANGE-EXPIRED-PASSWORD
Пример
| Блок кода |
|---|
esr(config-user) password test |
port
Данной командой задаётся номер порта для обмена данными c удаленным сервером.
Использование отрицательной формы команды (no) устанавливает значение по умолчанию.
Синтаксис
port <PORT>no portПараметры
<PORT> – номер TCP/UDP-порта для обмена данными c удаленным сервером, принимает значения [1..65535].
Значение по умолчанию
49 – для TACACS-сервера;
389 – для LDAP-сервера;
Не установлено – для DAS-сервера.
Необходимый уровень привилегий
15
Командный режим
CONFIG-TACACS-SERVER
CONFIG-LDAP-SERVER
CONFIG-DAS-SERVER
Пример
| Блок кода |
|---|
esr(config-tacacs-server)# port 4444 |
priority
Данной командой задаётся приоритет использования удаленного сервера. Чем ниже значение, тем приоритетнее сервер.
Использование отрицательной формы команды (no) устанавливает значение по умолчанию.
Синтаксис
priority <PRIORITY> no priority Параметры
<PRIORITY> – приоритет использования удаленного сервера, принимает значения [1..65535].
Значение по умолчанию
1
Необходимый уровень привилегий
15
Командный режим
CONFIG-TACACS-SERVER
CONFIG-RADIUS-SERVER
CONFIG-LDAP-SERVER
Пример
| Блок кода |
|---|
esr(config-tacacs-server)# priority 5 |
privilege
Данной командой производится установка уровня привилегий пользователя. Набор команд, который доступен пользователю, зависит от уровня привилегий. Пользователям с уровнями привилегий от 1 до 9 доступен только просмотр информации. Пользователям с уровнем привилегий от 10 до 15 доступна большая часть команд конфигурирования. Пользователям с уровнем привилегий 15 доступен полный набор команд. Требуемый необходимый уровень привилегий команд может быть изменен, описание в разделе description.
Использование отрицательной формы команды (no) устанавливает необходимый уровень привилегий по умолчанию.
Назначение начального уровня привилегий пользователям происходит следующим образом:
- необходимый уровень привилегий пользователям из локальной базы назначается указанной командой;
- необходимый уровень привилегий для пользователей, авторизовавшихся по протоколу RADIUS, извлекается из атрибута cisco-avpair = "shell:priv-lvl=<PRIV>";
- необходимый уровень привилегий для пользователей, авторизовавшихся по протоколу TACACS, извлекается из атрибута priv-lvl=<PRIV>;
- уровень привилегий для пользователей, авторизовавшихся по протоколу LDAP, извлекается из атрибута, заданного командой privilege-level-attribute, описанной в разделе line, по умолчанию priv-lvl=<PRIV>.
Если при аутентификации пользователя через протоколы TACACS/RADIUS/LDAP не была получена вышеуказанная опция или была получена опция с некорректным значением, то пользователю будут назначены привилегии пользователя «remote», по умолчанию 1. Необходимый уровень привилегий пользователя «remote» можно изменить аналогично любому другому пользователю из локальной базы с помощью указанной команды.
Синтаксис
privilege <PRIV>no privilegeПараметры
<PRIV> – необходимый уровень привилегий, принимает значение [1..15].
Значение по умолчанию
1
Необходимый уровень привилегий
15
Командный режим
CONFIG-USER
Пример
| Блок кода |
|---|
esr(config-user)# privilege 15 |
privilege
Данной командой производится установка минимального уровня привилегий пользователя, необходимого для выполнения команды из указанного поддерева команд.
Использование отрицательной формы команды (no) устанавливает необходимый уровень привилегий по умолчанию.
Синтаксис
privilege <COMMAND-MODE> level <PRIV> <COMMAND>no privilege <COMMAND-MODE> <COMMAND>Параметры
<COMMAND-MODE> – командный режим, может принимать значения:
- aaa-ldap-profile-configure;
- config;
- config-aaa-das-profile;
- config-aaa-radius-profile;
- config-access-profile;
- config-access-profile-user;
- config-acl-ip;
- config-acl-mac;
- config-acl-ip-rule;
- config-acl-mac-rule;
- config-address-assignment-pool;
- config-archive;
- config-bgp;
- config-bgp-af;
- config-bgp-aggregate;
- config-bgp-group;
- config-bgp-group-af;
- config-bgp-group-af-vrf;
- config-bgp-listen;
- config-bgp-local-as;
- config-bgp-neighbor;
config-bgp-neighbor-af;
config-bgp-neighbor-af-vrf;
config-bgp-vrf;
config-bgp-vrf-af;
config-bgp-vrf-aggregate;
config-bgp-vrf-group;
config-bgp-vrf-listen;
config-bgp-vrf-local-as;
config-bgp-vrf-neighbor;
config-bridge;
config-cellular-modem;
config-cellular-profile;
config-class-map;
config-class-policy-map;
config-cluster;
config-cluster-unit;
config-content-provider;
config-crypto-sync;
config-das-server;
config-dhcp-server;
config-dhcp-server-failover;
config-dhcp-server-vendor-specific;
config-dhcp-vendor-id;
config-dn;
config-dnat;
config-dnat-pool;
config-dnat-rule;
config-dnat-ruleset;
config-failover;
config-firewall-failover;
config-gre;
config-http-profile;
config-if-e1;
config-if-gi;
config-if-loopback;
config-if-multilink;
config-if-port-channel;
config-if-qinq;
config-if-sub;
config-ike-gw;
config-ike-keyring;
config-ike-policy;
config-ike-proposal;
config-ip4ip4;
config-ips;
config-ips-auto-upgrade;
config-ips-category;
config-ips-category-rule;
config-ips-category-rule-advanced;
config-ips-content-filter;
config-ips-policy;
config-ips-policy-vendor;
config-ips-policy-vendor-category;
config-ips-upgrade-user-server;
config-ipsec-policy;
config-ipsec-proposal;
config-ipsec-vpn;
config-ipv6-dhcp-server;
config-ipv6-ospf;
config-ipv6-ospf-area;
config-ipv6-ospf-vlink;
config-ipv6-pl;
config-ipv6-vrrp;
config-ipv6-wan-rule;
config-ipv6-wan-target;
config-ipv6-wan-target-list;
config-isis;
config-key-chain;
config-key-chain-key;
config-l2tp;
config-l2tp-server;
config-l2tpv3;
config-l2vpn;
config-l2vpn-autodiscovery-bgp;
config-l2vpn-eompls;
config-l2vpn-pw;
config-l2vpn-pw-class;
config-ldap-server;
config-ldp;
config-ldp-af;
config-ldp-af-if;
config-ldp-neighbor;
config-licence-manager;
config-line-console;
config-line-ssh;
config-line-telnet;
config-lt;
config-mailserver;
config-mailserver-domain;
config-mpls;
config-multipath-ipv6-route;
config-multipath-route;
config-net-policy;
config-netflow-host;
config-ntp;
config-object-group-address-port;
config-object-group-application;
config-object-group-cf-kaspersky;
config-object-group-content-filter;
config-object-group-domain-name;
config-object-group-email;
config-object-group-mac;
config-object-group-network;
config-object-group-service;
config-object-group-url;
config-openvpn;
config-openvpn-server;
config-openvpn-server-user;
config-ospf;
config-ospf-area;
config-ospf-vlink;
config-pki-server;
config-pl;
config-policy-map;
config-ppp-user;
config-pppoe;
config-pptp;
config-pptp-server;
config-radius-server;
config-rip;
config-ripng;
config-route-map;
config-route-map-rule;
config-san; - config-scheduler;
- config-scheduler-day;
- config-security-zone;
config-security-zone-pair;
config-security-zone-pair-rule;
config-sflow-host;
config-sla-responder;
config-sla-test;
config-snat;
config-snat-pool;
config-snat-rule;
config-snat-ruleset;
config-snmp;
config-snmp-host;
config-snmp-user;
config-softgre;
config-softgre-controller;
config-subscriber-control;
config-subscriber-default-service;
config-subtunnel;
config-syslog-destination;
config-syslog-file;
config-syslog-host;
config-tacacs-server;
config-tftp-server;
config-track;
config-trustpoint; - config-trustpoint-selfsigned;
- config-trustpoint-scep;
config-user;
config-vlan;
config-vrf;
config-vrrp;
config-vti;
config-wan-rule;
config-wan-target;
config-wan-target-list;
config-wireguard;
config-wireguard-peer;
config-wireguard-server;
config-wireguard-server-peer;
config-zabbix-agent;
config-zabbix-proxy;
debug;
root;
root-change-expired-password;
<PRIV> – необходимый уровень привилегий, принимает значение [1..15];
<COMMAND> – поддерево команд, задается строкой до 255 символов.
Необходимый уровень привилегий
15
Командный режим
CONFIG
Пример
Установить для поддерева команд «show» корневого командного режима необходимый уровень привилегий 2. Команды поддерева «show interfaces» оставить с уровнем привилегий 1.
| Блок кода |
|---|
esrscs(config)# privilege root level 2 "show" esrsc(config)# privilege root level 1 "show interfaces" |
...
Использование отрицательной формы команды (no) устанавливает значение DSCP по умолчанию.
Синтаксис
radius-server dscp <DSCP>
no radius-server dscp
Параметры
<DSCP> – значение кода DSCP, принимает значения в диапазоне [0..63].
Значение по умолчанию
63
Необходимый уровень привилегий
10
Командный режим
CONFIG
Пример
| Блок кода |
|---|
esr(config)# radius-server dscp 40 |
...
Использование отрицательной формы команды (no) удаляет заданный RADIUS-сервер.
Синтаксис
[no] radius-server host { <ADDR> | <IPV6-ADDR> } [ vrf <VRF> ]Параметры
<VRF> – имя экземпляра VRF, задается строкой до 31 символа.
...
<IPV6-ADDR> – IPv6-адрес RADIUS-сервера, задаётся в виде X:X:X:X::X, где каждая часть принимает значения в шестнадцатеричном формате [0..FFFF].
Необходимый уровень привилегий
15
Командный режим
CONFIG
Пример
| Блок кода |
|---|
esr(config)# radius-server host 10.100.100.1 esr(config-radius-server)# |
...
Использование отрицательной формы команды (no) удаляет заданный RADIUS-сервер из профиля.
Синтаксис
[no] radius-server host { <ADDR> | <IPV6-ADDR> } [ vrf <VRF> ]Параметры
<VRF> – имя экземпляра VRF, задается строкой до 31 символа.
...
<IPV6-ADDR> – IPv6-адрес RADIUS-сервера, задаётся в виде X:X:X:X::X, где каждая часть принимает значения в шестнадцатеричном формате [0..FFFF].
Необходимый уровень привилегий
15
Командный режим
CONFIG-RADIUS-SERVER-PROFILE
Пример
| Блок кода |
|---|
esr(config-aaa-radius-profile)# radius-server host 10.100.100.1 |
...
Использование отрицательной формы команды (no) устанавливает значение по умолчанию.
Синтаксис
radius-server retransmit <COUNT>
no radius-server retransmit
Параметры
<COUNT> – количество перезапросов к RADIUS-серверу, принимает значения [1..10].
Значение по умолчанию
1
Необходимый уровень привилегий
15
Командный режим
CONFIG
Пример
| Блок кода |
|---|
esr(config)# radius-server retransmit 5 |
...
Использование отрицательной формы команды (no) устанавливает значение по умолчанию.
Синтаксис
radius-server timeout <SEC>
no radius-server timeout
Параметры
<SEC> – период времени в секундах, принимает значения [1..30].
Значение по умолчанию
3 секунды
Необходимый уровень привилегий
10
Командный режим
CONFIG
Пример
| Блок кода |
|---|
esr(config)# radius-server timeout 5 |
...
Использование отрицательной формы команды (no) устанавливает значение по умолчанию.
Синтаксис
retransmit <COUNT>
no retransmit
Параметры
<COUNT> – количество перезапросов к RADIUS-серверу, принимает значения [1..10].
Значение по умолчанию
Не задан, используется значение глобального параметра, описанного в разделе radius-server retransmit.
Необходимый уровень привилегий
15
Командный режим
CONFIG-RADIUS-SERVER
Пример
| Блок кода |
|---|
esr(config)# retransmit 5 |
...
Использование отрицательной формы команды (no) отключает запрос на смену пароля по умолчанию.
Синтаксис
[no] security passwords default-expired
Параметры
Команда не содержит параметров.
Значение по умолчанию
Запрос на смену пароля по умолчанию отключен.
Необходимый уровень привилегий
15
Командный режим
CONFIG
Пример
| Блок кода |
|---|
esr(config)# security passwords default-expired |
...
Использование отрицательной формы команды (no) устанавливает значение по умолчанию.
Синтаксис
security passwords history <COUNT>
no security passwords history
Параметры
<COUNT> – количество паролей, сохраняемых в памяти маршрутизатора [0..15]. При уменьшении данного значения лишние, более старые пароли удаляются.
Значение по умолчанию
1
Необходимый уровень привилегий
15
Командный режим
CONFIG
Пример
| Блок кода |
|---|
esr(config)# security passwords history 5 |
...
Использование отрицательной формы команды (no) устанавливает значение по умолчанию.
Синтаксис
security passwords lifetime <TIME>
no security passwords lifetime
Параметры
<TIME> – интервал времени действия пароля в днях, принимает значения [1..365].
Значение по умолчанию
Время действия пароля локального пользователя не ограничено.
Необходимый уровень привилегий
15
Командный режим
CONFIG
Пример
| Блок кода |
|---|
esr(config)# security passwords lifetime 30 |
...
Использование отрицательной формы команды (no) устанавливает значение по умолчанию.
Синтаксис
security passwords lower-case <COUNT>
no security passwords lower-case
Параметры
<COUNT> – минимальное количество строчных букв в пароле локального пользователя, ENABLE-пароле, имени SMNPv3-пользователя и SMNPv1/SMNPv2 c комьюнити [0..32].
Значение по умолчанию
0
Необходимый уровень привилегий
15
Командный режим
CONFIG
Пример
| Блок кода |
|---|
esr(config)# security passwords lower-case 2 |
...
Использование отрицательной формы команды (no) устанавливает значение по умолчанию.
Синтаксис
security passwords max-length <NUM>
no security passwords max-length
Параметры
<NUM> – максимальное количество символов в пароле, задается в диапазоне [1..32].
Значение по умолчанию
32
Необходимый уровень привилегий
15
Командный режим
CONFIG
Пример
| Блок кода |
|---|
esr(config)# security passwords max-length 30 |
...
Использование отрицательной формы команды (no) устанавливает значение по умолчанию.
Синтаксис
security passwords min-length <NUM>
no security passwords min-length
Параметры
<NUM> – минимальное количество символов в пароле, задается в диапазоне [1..32].
Значение по умолчанию
1
Необходимый уровень привилегий
15
Командный режим
CONFIG
Пример
| Блок кода |
|---|
esr(config)# security passwords min-length 10 |
...
Использование отрицательной формы команды (no) устанавливает значение по умолчанию.
Синтаксис
security passwords numeric-count <COUNT>
no security passwords numeric-count
Параметры
<COUNT> – минимальное количество цифр в пароле локального пользователя, ENABLE-пароле, имени SMNPv3-пользователя и SMNPv1/SMNPv2 c комьюнити [0..32].
Значение по умолчанию
0
Необходимый уровень привилегий
15
Командный режим
CONFIG
Пример
| Блок кода |
|---|
esr(config)# security passwords numeric-count 2 |
...
Использование отрицательной формы команды (no) устанавливает значение по умолчанию.
Синтаксис
security passwords special-case <COUNT>
no security passwords special-case
Параметры
<COUNT> – минимальное количество специальных символов в пароле локального пользователя, ENABLE-пароле, имени SMNPv3-пользователя и SMNPv1/SMNPv2 c комьюнити [0..32].
Значение по умолчанию
0
Необходимый уровень привилегий
15
Командный режим
CONFIG
Пример
| Блок кода |
|---|
esr(config)# security passwords special-case 2 |
...
Использование отрицательной формы команды (no) устанавливает значение по умолчанию.
Синтаксис
security passwords symbol-types <COUNT>
no security passwords symbol-types
Параметры
<COUNT> – минимальное количество типов символов в пароле локального пользователя, ENABLE-пароле, имени SMNPv3-пользователя и SMNPv1/SMNPv2 c комьюнити [1..4].
Значение по умолчанию
1
Необходимый уровень привилегий
15
Командный режим
CONFIG
Пример
| Блок кода |
|---|
esr(config)# security passwords symbol-types 2 |
...
Использование отрицательной формы команды (no) устанавливает значение по умолчанию.
Синтаксис
security passwords upper-case <COUNT>
no security passwords upper-case
Параметры
<COUNT> – минимальное количество прописных (заглавных) букв в пароле локального пользователя, ENABLE-пароле, имени SMNPv3-пользователя и SMNPv1/SMNPv2 c комьюнити [0..32].
Значение по умолчанию
0
Необходимый уровень привилегий
15
Командный режим
CONFIG
Пример
| Блок кода |
|---|
esr(config)# security passwords upper-case 2 |
...
Использование отрицательной формы команды (no) устанавливает значение по умолчанию.
Синтаксис
security snmp-community max-length <NUM>
no security snmp-community max-length
Параметры
<NUM> – максимальное количество символов в комьюнити, задается в диапазоне [1..128].
Значение по умолчанию
128
Необходимый уровень привилегий
15
Командный режим
CONFIG
Пример
| Блок кода |
|---|
esr(config)# security snmp-community max-length 30 |
...
Использование отрицательной формы команды (no) устанавливает значение по умолчанию.
Синтаксис
security passwords min-length <NUM>
no security passwords min-length
Параметры
<NUM> – минимальное количество символов в комьюнити, задается в диапазоне [1..128].
Значение по умолчанию
1
Необходимый уровень привилегий
15
Командный режим
CONFIG
Пример
| Блок кода |
|---|
esr(config)# security snmp-community min-length 10 |
...
Данная команда позволяет просмотреть настроенные параметры учета.
Синтаксис
show aaa accounting
Параметры
Команда не содержит параметров.
Необходимый уровень привилегий
10
Командный режим
ROOT
Пример
| Блок кода |
|---|
esr# show aaa accounting Login : radius Commands : tacacs |
...
Данная команда позволяет просмотреть списки способов аутентификации пользователей, а также активные списки каждого типа терминалов.
Синтаксис
show aaa authentication
Параметры
Команда не содержит параметров.
Необходимый уровень привилегий
10
Командный режим
ROOT
Пример
| Блок кода |
|---|
esr# show aaa authentication Login Authentication Method Lists ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ List Methods ---------------- -------------------------------- default local Enable Authentication Method Lists ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ List Methods ---------------- -------------------------------- default enable Lines configuration ~~~~~~~~~~~~~~~~~~~ Line Login method list Enable method list --------- -------------------------------- -------------------------------- console default default telnet default default ssh default default |
...
Данная команда позволяет просмотреть параметры LDAP-серверов.
Синтаксис
show aaa ldap-servers
Параметры
Команда не содержит параметров.
Необходимый уровень привилегий
15
Командный режим
ROOT
Пример
| Блок кода |
|---|
esr# show aaa ldap-servers Base DN: dc=example,dc=com Root DN: cn=admin,dc=example,dc=com Root password: CDE65039E5591FA3 Naming attribute: uid Privilege level attribute: priv-lvl User object class: posixAccount DSCP: 63 Bind timeout: 3 Search timeout: 0 Search scope: subtree IP Address Port Priority -------------------------------- ------------ ------------ 10.100.100.1 389 1 |
...
Данная команда позволяет просмотреть параметры RADIUS-серверов.
Синтаксис
show aaa radius-servers
Параметры
Команда не содержит параметров.
Необходимый уровень привилегий
15
Командный режим
ROOT
Пример
| Блок кода |
|---|
esr# show aaa radius-servers Timeout: 3 Retransmit: 1 DSCP: 63 IP Addres Timeout Priority Usage Key ------------ ---------- ---------- ---------- --------------------------- 2.2.2.2 -- 1 all 9DA7076CA30B5FFE0DC9C4 2.4.4.4 -- 1 all 9DA7076BA30B4EFCE5 |
...
Данная команда позволяет просмотреть параметры TACACS-серверов.
Синтаксис
show aaa tacacs-servers
Параметры
Команда не содержит параметров.
Необходимый уровень привилегий
15
Командный режим
ROOT
Пример
| Блок кода |
|---|
esr# show aaa tacacs-servers Timeout : 3 DSCP: 63 IP Address Port Priority Key ---------------------- ------------ ------------ -------------------------------- 10.100.100.1 49 1 CDE65039E5591FA3 10.100.100.5 49 10 CDE65039E5591FA3 |
...
Данная команда позволяет просмотреть активные сессии пользователей системы.
Синтаксис
show users
Параметры
Команда не содержит параметров.
Необходимый уровень привилегий
1
Командный режим
ROOT
Пример
| Блок кода |
|---|
esr# show users SID User name Logged in at Protocol Host Timers Login/Priv Level ---- -------------------- ----------------- ----------------- -------------------- ----------------- ----- 0 * admin 2023-06-26 15:47:38 SSH 192.168.1.44 00:29:59/00:00:00 15 1 admin 2023-06-26 15:47:38 Telnet 192.168.1.44 00:25:08/00:00:00 15 2 admin 2023-06-26 15:47:38 Console Console 00:29:56/00:00:00 15 |
...
Данная команда позволяет просмотреть конфигурацию пользователей системы.
Синтаксис
show users accounts
Параметры
Команда не содержит параметров.
Необходимый уровень привилегий
10
Командный режим
ROOT
Пример
| Блок кода |
|---|
esr# show user accounts
Name Password Privilege
-------------------------------- -------------------------------- ---------
admin $6$1sxrvGaV8Za8oX/K$YNel5xYPZ4cj 15
bemYWYNpQBQKDxWE9v0aoKgQ
kRCEb0EMNuusO9Kmg7UBs7nA3buEM87e
Eu.rA6tZq0
techsupport $6$YfwntIwU$ah7UxPZTemKhjpSWvVsV 15
9jHcp. 9lweQaSldw7ZtUr
uH66uZx9.EBASff//hUj8ObUaC484TNR
x.
remote $6$YfwntIwU$ah7UxPZTemKhjpSWvVsV 1
9jHcp.kqFAK.vmvyY9lweQaSldw7ZtUr
uH66uZx9.EBASff//hUj8ObUaC484TNR
x.
operator $6$eILpbbyRxedCzvVD$4RHP08mjXvNf 1
urX7V/ULCZ1oHIWMwE6h5f
zgwZQUZcPoZCEyaqQQqCicRMRuPwhxrQ
bvGChWreW1 |
...
Данная команда позволяет просматривать список пользователей, для которых был введен неправильный пароль. Пользователь удаляется из списка после ввода правильного пароля при аутентификации.
Синтаксис
show users blocked [ <NAME> ]
Параметры
<NAME> – имя пользователя, для которого необходимо отобразить статистику неправильных попыток аутентификации, задаётся строкой до 31 символа.
Без указания имени пользователя отображается вся таблица неправильных попыток аутентификации.
Необходимый уровень привилегий
1
Командный режим
ROOT
Пример
| Блок кода |
|---|
esr# show users blocked User name Failures Latest failure From -------------------- -------- ------------------- ---------------- tester 4 2017-09-10 08:29:42 0.0.0.0 |
...
Использование отрицательной формы команды (no) удаляет указанный IPv4/IPv6-адрес источника.
Синтаксис
source-address { <ADDR> | <IPV6-ADDR> | object-group <NETWORK_OBJ_GROUP_NAME> }no source-address
Параметры
<ADDR> – IP-адрес источника, задаётся в виде AAA.BBB.CCC.DDD, где каждая часть принимает значения [0..255];
...
<NETWORK_OBJ_GROUP_NAME> – список адресов, которые будут использоваться в качестве source address.
Необходимый уровень привилегий
15
Командный режим
CONFIG-RADIUS-SERVER
CONFIG-TACACS-SERVER
CONFIG-LDAP-SERVER
Пример
| Блок кода |
|---|
esr(config-radius-server)# source-address 220::71 |
...
Использование отрицательной формы команды (no) удаляет указанный интерфейс или туннель.
Синтаксис
source-interface { <IF> | <TUN> }no source-interface
Параметры
<IF> – имя интерфейса устройства, задаётся в виде, описанном в разделе Типы и порядок именования интерфейсов маршрутизатора;
<TUN> – имя туннеля устройства, задаётся в виде, описанном в разделе Типы и порядок именования туннелей маршрутизатора.
Необходимый уровень привилегий
15
Командный режим
CONFIG-RADIUS-SERVER
CONFIG-TACACS-SERVER
CONFIG-LDAP-SERVER
Пример
| Блок кода |
|---|
esr(config-radius-server)# source-interface gigabitethernet 1/0/1 |
...
Использование отрицательной формы команды (no) устанавливается значение по умолчанию.
Синтаксис
[no] system configuration-exclusively
Параметры
Команда не содержит параметров.
Значение по умолчанию
Отключено.
Необходимый уровень привилегий
15
Командный режим
CONFIG
Пример
| Блок кода |
|---|
esr(config)# system configuration-exclusively |
...
Использование отрицательной формы команды (no) устанавливает значение DSCP по умолчанию.
Синтаксис
tacacs-server dscp <DSCP>
no tacacs-server dscp
Параметры
<DSCP> – значение кода DSCP, принимает значения в диапазоне [0..63].
Значение по умолчанию
63
Необходимый уровень привилегий
10
Командный режим
CONFIG
Пример
| Блок кода |
|---|
esr(config)# tacacs-server dscp 40 |
...
Использование отрицательной формы команды (no) удаляет заданный TACACS-сервер.
Синтаксис
[no] tacacs-server host { <ADDR> | <IPV6-ADDR> } [ vrf <VRF> ]Параметры
<VRF> – имя экземпляра VRF, задается строкой до 31 символа.
...
<IPV6-ADDR> – IPv6-адрес TACACS-сервера, задаётся в виде X:X:X:X::X, где каждая часть принимает значения в шестнадцатеричном формате [0..FFFF].
Необходимый уровень привилегий
15
Командный режим
CONFIG
Пример
| Блок кода |
|---|
esr(config)# tacacs-server host 10.100.100.1 esr(config-tacacs-server)# |
...
Использование отрицательной формы команды (no) устанавливает значение по умолчанию.
Синтаксис
tacacs-server timeout <SEC>
no tacacs-server timeout
Параметры
<SEC> – период времени в секундах, принимает значения [1..30].
Значение по умолчанию
3 секунды.
Необходимый уровень привилегий
10
Командный режим
CONFIG
Пример
| Блок кода |
|---|
esr(config)# tacacs-server timeout 5 |
...
Использование отрицательной формы команды (no) устанавливает значение по умолчанию.
Синтаксис
timeout <SEC>
no timeout
Параметры
<SEC> – период времени в секундах, принимает значения [1..30].
Значение по умолчанию
Не задан, используется значение глобального таймера, описанного в разделе radius-server timeout.
Необходимый уровень привилегий
10
Командный режим
CONFIG-RADIUS-SERVER
Пример
| Блок кода |
|---|
esr(config-radius-server)# timeout 7 |
...
Использование отрицательной формы команды (no) устанавливает значение по умолчанию.
Синтаксис
usage { all | aaa | auth | acct | pptp | l2tp }no usage
Параметры
all – все типы соединений;
...
l2tp – RADIUS-сервер будет использоваться для аутентификации, авторизации и учета удаленных пользователей, подключающихся по протоколу L2TP over IPsec.
Значение по умолчанию
all
Необходимый уровень привилегий
15
Командный режим
CONFIG-RADIUS-SERVER
Пример
| Блок кода |
|---|
esr(config-radius-server)# usage pptp |
...
Использование отрицательной формы команды (no) удаляет пользователя из системы.
Синтаксис
[no] username <NAME>
Параметры
<NAME> – имя пользователя, задаётся строкой до 31 символа. Если использовать команду для удаления, то при указании значения «all» будут удалены все пользователи.
Необходимый уровень привилегий
15
Командный режим
CONFIG
Пример
| Блок кода |
|---|
esr(config)# username test esr(config-user)# |
...