Сравнение версий

Старая версия 14

changes.mady.by.user Филатов Илья Олегович

Сохранено

по сравнению с

Новая версия Текущий

changes.mady.by.user Сервисный центр Ethernet

Сохранено

Ключ

  • Эта строка добавлена.
  • Эта строка удалена.
  • Изменено форматирование.

...

Шаг

Описание

Команда

Ключи

1

Задать глобальное значение кода DSCP для использования в IP-заголовках исходящих пакетов RADIUS-сервера (необязательно).

scs(config)# radius-server dscp <DSCP>

<DSCP> — значение кода DSCP, принимает значения в диапазоне [0..63].

Значение по умолчанию: 63.

2

Задать глобальное значение количества перезапросов к последнему активному RADIUS-серверу (необязательно).

scs(config)# radius-server retransmit <COUNT>

<COUNT> — количество перезапросов к RADIUS-серверу, принимает значения [1..10].

Значение по умолчанию: 1.

3

Задать глобальное значение интервала, по истечении которого консольный сервер считает, что RADIUS-сервер недоступен (необязательно).

scs(config)# radius-server timeout <SEC>

<SEC> — период времени в секундах, принимает значения [1..30].

Значение по умолчанию: 3 секунды.

4

Добавить RADIUS-сервер в список используемых серверов и перейти в режим его конфигурирования.

scs(config)# radius-server host
 { <IP-ADDR> | <IPV6-ADDR> }

<IP-ADDR> — IP-адрес RADIUS-сервера, задается в виде AAA.BBB.CCC.DDD, где каждая часть принимает значения [0..255];

<IPV6-ADDR> — IPv6-адрес RADIUS-сервера, задается в виде X:X:X:X::X, где каждая часть принимает значения в шестнадцатеричном формате [0..FFFF]

5Задать описание конфигурируемого RADIUS-сервера (необязательно).scs(config-radius-server)# description <description><description> — описание RADIUS-сервера, задается строкой до 255 символов.

6

Указать количество неудачных попыток аутентификации для блокировки логина пользователя и времени блокировки (необязательно).

scs(config-radius-server)# aaa authentication attempts max-fail <COUNT> <TIME>

<COUNT> — количество неудачных попыток аутентификации, после которых произойдет блокировка пользователя, принимает значения [1..65535];

<TIME> — интервал времени в секундах, на который будет заблокирован пользователь, принимает значения [1..65535].

Значение по умолчанию:

<COUNT> — 5; <TIME> — 300.

7

Задать пароль для аутентификации на удаленном RADIUS-сервере.

scs(config-radius-server)# key ascii-text
{ <TEXT> | encrypted <ENCRYPTED-TEXT> }

<TEXT> — строка [8..16] ASCII-символов;

<ENCRYPTED-TEXT> — зашифрованный пароль, размером [8..16] байт, задается строкой [16..32] символов.

8

Задать приоритет использования удаленного RADIUS-сервера (необязательно).

scs(config-radius-server)# priority <PRIORITY>

<PRIORITY> — приоритет использования удаленного сервера, принимает значения [1..65535].

Чем ниже значение, тем приоритетнее сервер.

Значение по умолчанию: 1.

9

Задать интервал, по истечении которого консольный сервер считает, что данный RADIUS-сервер недоступен (необязательно).

scs(config-radius-server)# timeout <SEC>

<SEC> — период времени в секундах, принимает значения [1..30].

Значение по умолчанию: используется значение глобального таймера.

10

Задать IPv4/IPv6-адрес, который будет использоваться в качестве IPv4/IPv6-адреса источника в отправляемых RADIUS-пакетах.

scs(config-radius-server)# source-address { <ADDR>  | object-group <NETWORK_OBJ_GROUP_NAME> }

<ADDR> — IP-адрес источника, задается в виде AAA.BBB.CCC.DDD, где каждая часть принимает значения [0..255];

<NETWORK_OBJ_GROUP_NAME> — список адресов, которые будут использоваться в качестве source address.

11Задать интерфейс консольного сервера, IPv4/IPv6-адрес которого будет использоваться в качестве IPv4/IPv6-адреса источника в отправляемых RADIUS-пакетах.scs(config-radius-server)# source-interface <IF> 

<IF> — имя интерфейса устройства, задается в виде, описанном в разделе Типы и порядок именования интерфейсов консольного сервера.

12

Задать список методов аутентификации по умолчанию (default)/с именем <NAME> и указать radius.

scs(config)# aaa authentication login { default | <NAME> } <METHOD 1>
 [ <METHOD 2> ] [ <METHOD 3> ]

<NAME> — имя списка, задается строкой до 31 символа.

Способы аутентификации:

  • local — аутентификация с помощью локальной базы пользователей;
  • tacacs — аутентификация по списку TACACS-серверов;
  • radius — аутентификация по списку RADIUS-серверов.

13

Задать список методов аутентификации повышения привилегий пользователей по умолчанию (default)/с именем <NAME> и указать radius.


scs(config)# aaa authentication enable <NAME><METHOD 1>
 [ <METHOD 2> ] [ <METHOD 3> ] 

<NAME> — имя списка строка до 31 символа;

  • default — имя списка по умолчанию.

<METHOD> — способы аутентификации:

  • enable — аутентификация с помощью enable-паролей;
  • tacacs — аутентификация по протоколу TACACS;
  • radius — аутентификация по протоколу RADIUS.

14

Указать способ перебора методов аутентификации в случае отказа (необязательно).

scs(config)# aaa authentication mode <MODE>

<MODE> — способы перебора методов:

  • chain — если сервер вернул FAIL, переход к следующему в цепочке методу аутентификации;
  • break — если сервер вернул FAIL, прекратить попытки аутентификации. Если сервер недоступен, продолжить попытки аутентификации следующими в цепочке методами.

Значение по умолчанию: chain.

15

Сконфигурировать RADIUS в списке способов учета сессий пользователей (необязательно).

scs(config)# aaa accounting login start-stop <METHOD 1>
[ <METHOD 2> ]

<METHOD> — способы учета:

  • tacacs — учет сессий по протоколу TACACS;
  • radius — учет сессий по протоколу RADIUS.

16

Перейти в режим конфигурирования соответствующего терминала.

scs(config)# line <TYPE>

<TYPE> — тип консоли:

  • console — локальная консоль;
  • telnet — удаленная консоль;
  • ssh — защищенная удаленная консоль;
  • aux консольный (последовательный) порт.



<NAME> — имя списка, задается строкой до 31 символа. Создан на шаге 12.

18

Активировать список аутентификации повышения привилегий пользователей.

scs(config-line-console)# enable authentication <NAME>

<NAME> — имя списка, задается строкой до 31 символа. Создан на шаге 13.

...

ШагОписаниеКомандаКлючи
1Задать глобальное значение кода DSCP для использования в IP-заголовках исходящих пакетов TACACS-сервера (необязательно).

scs(config)# tacacs-server dscp <DSCP>

<DSCP> — значение кода DSCP, принимает значения в диапазоне [0..63].

Значение по умолчанию: 63.

2Задать глобальное значение интервала, по истечении которого консольный сервер считает, что TACACS-сервер недоступен (необязательно).

scs(config)# tacacs-server timeout <SEC>

<SEC> — период времени в секундах, принимает значения [1..30].

Значение по умолчанию: 3 секунды.

3Добавить TACACS-сервер в список используемых серверов и перейти в режим его конфигурирования.

scs(config)# tacacs -server host
{ <IP-ADDR> | <IPV6-ADDR> } 

 

<IP-ADDR> — IP-адрес TACACS-сервера, задается в виде AAA.BBB.CCC.DDD, где каждая часть принимает значения [0..255]

<IPV6-ADDR> — IPv6-адрес TACACS-сервера, задается в виде X:X:X:X::X, где каждая часть принимает значения в шестнадцатеричном формате [0..FFFF]

4Задать описание конфигурируемого TACACS-сервера (необязательно).scs(config-tacacs-server)# description <description><description> — описание TACACS-сервера, задается строкой до 255 символов.
5Указать количество неудачных попыток аутентификации для блокировки логина пользователя и время блокировки (необязательно)

scs(config-tacacs-server)# aaa authentication attempts max-fail <COUNT> <TIME>

<COUNT> — количество неудачных попыток аутентификации, после которых произойдет блокировка пользователя, принимает значения [1..65535];

<TIME> — интервал времени в минутах, на который будет заблокирован пользователь, принимает значения [1..65535].

Значение по умолчанию:

<COUNT> — 5; <TIME> — 300.

6Задать пароль для аутентификации на удаленном TACACS-сервере

scs(config-tacacs-server)# key ascii-text  { <TEXT> | encrypted <ENCRYPTED-TEXT> }

<TEXT> — строка [8..16] ASCII-символов;

<ENCRYPTED-TEXT> — зашифрованный пароль, размером [8..16] байт, задаётся строкой [16..32] символов.

7Задать номер порта для обмена данными c удаленным TACACS-сервером (необязательно).

scs(config-tacacs-server)# port <PORT>

<PORT> — номер TCP-порта для обмена данными c удаленным сервером, принимает значения [1..65535].

Значение по умолчанию: 49 для TACACS-сервера.

8

Задать приоритет использования удаленного TACACS сервера (необязательно).

scs(config-tacacs-server)# priority <PRIORITY>

<PRIORITY> — приоритет использования удаленного сервера, принимает значения [1..65535].

Чем ниже значение, тем приоритетнее сервер.

Значение по умолчанию: 1.

9

Задать IPv4/IPv6-адрес, который будет использоваться в качестве IP/IPv6-адреса источника в отправляемых TACACS-пакетах.

scs(config-tacacs-server)# source-address { <ADDR>  | object-group <NETWORK_OBJ_GROUP_NAME> }

<ADDR> — IP-адрес источника, задается в виде AAA.BBB.CCC.DDD, где каждая часть принимает значения [0..255];

<NETWORK_OBJ_GROUP_NAME> — список адресов, которые будут использоваться в качестве source address.

10Задать  интерфейс консольного сервера,  IPv4/IPv6-адрес которого будет использоваться в качестве IPv4/IPv6-адреса источника в отправляемых TACACS-пакетах.scs(config-tacacs-server)# source-interface  <IF> 

<IF> — имя интерфейса устройства, задаётся в виде, описанном в разделе Типы и порядок именования интерфейсов консольного сервера.

11Задать список методов аутентификации по умолчанию (default)/с именем <NAME> и указать tacacs.scs(config)# aaa authentication login { default | <NAME> } <METHOD 1>
 [ <METHOD 2> ] [ <METHOD 3> ]

<NAME> — имя списка, задается строкой до 31 символа.

Способы аутентификации:

  • local — аутентификация с помощью локальной базы пользователей;
  • tacacs — аутентификация по списку TACACS-серверов;
  • radius — аутентификация по списку RADIUS-серверов.

12

Задать список методов аутентификации повышения привилегий пользователей по умолчанию (default)/с именем <NAME> и указать tacacs.


scs(config)# aaa authentication enable <NAME><METHOD 1>
[ <METHOD 2> ] [ <METHOD 3> ] 

<NAME> — имя списка строка до 31 символа;

  • default — имя списка по умолчанию.

<METHOD> — способы аутентификации:

  • enable — аутентификация с помощью enable-паролей;
  • tacacs — аутентификация по протоколу TACACS;
  • radius — аутентификация по протоколу RADIUS.

13

Задать список методов авторизации команд, вводимых пользователем в систему по умолчанию (default)/с именем <NAME> и указать tacacs.


scs(config)# aaa authorization commands { default | <NAME> } <METHOD 1>[ <METHOD 2> ]

<NAME> — имя списка, задается строкой до 31 символа.

Способы аутентификации:
local — авторизация с помощью локальной базы пользователей;
tacacs — авторизация по списку TACACS-серверов.

14

Указать способ перебора методов аутентификации в случае отказа (необязательно).

scs(config)# aaa authentication mode <MODE>

<MODE> — способы перебора методов:

  • chain — если сервер вернул FAIL, переход к следующему в цепочке методу аутентификации;
  • break — если сервер вернул FAIL, прекратить попытки аутентификации. Если сервер недоступен, продолжить попытки аутентификации следующими в цепочке методами.

Значение по умолчанию: chain.

15

Сконфигурировать список способов учета команд, введенных в CLI (необязательно).

scs(config)# aaa accounting commands stop-only <METHOD>

<METHOD> — способы учета:

 tacacs — учет введенных команд по протоколу TACACS.

16

Сконфигурировать tacacs в списке способов учета сессий пользователей (необязательно).

scs(config)# aaa accounting login start-stop <METHOD 1>
[ <METHOD 2> ]

<METHOD> — способы учета:

  • tacacs — учет сессий по протоколу TACACS;
  • radius — учет сессий по протоколу RADIUS.
17

Перейти в режим конфигурирования соответствующего терминала.

scs(config)# line <TYPE>

<TYPE> — тип консоли:

  • console — локальная консоль;
  • telnet — удаленная консоль;
  • ssh — защищенная удаленная консоль;
  • aux консольный (последовательный) порт.
18

Активировать список аутентификации входа пользователей в систему.

scs(config-line-console)# login authentication <NAME>

<NAME> — имя списка, задается строкой до 31 символа. Создан на шаге 11.

19

Активировать список аутентификации повышения привилегий пользователей.

scs(config-line-console)# enable authentication <NAME>

<NAME> — имя списка, задается строкой до 31 символа. Создан на шаге 12.

20

Активировать список авторизации команд вводимых пользователем в систему.

scs(config-line-console)# commands authorization <NAME>

<NAME> — имя списка, задается строкой до 31 символа. Создан на шаге 13.

...

Применим список доступа на интерфейс Gi1/0/19 1 для входящего трафика:

Блок кода
scs(config)# interface gigabitethernet 1/0/1
scs(config-if-gi)# service-acl ip input white

...

Пример настройки списка доступа

Задача:

Разрешить прохождение ARP запросов только c VLAN 343Запретить сетевую активность с клиентом, имеющим mac-address  18:d6:c7:01:31:4d.

Решение:

Настроим список доступа для фильтрации по протоколу и vlanзаданному критерию:

Блок кода
scs# configure
scs(config)# mac access-list extended white
scs(config-acl-mac)# rule 1
scs(config-acl-mac-rule)# action permit deny 
scs(config-acl-mac-rule)# match protocol arp
scs(config-acl-mac-rule)# match vlan 343source-mac 18:d6:c7:01:31:4d
scs(config-acl-mac-rule)# enable  
scs(config-acl-mac-rule)# exit
scs(config-acl)# exit

Применим список доступа на интерфейс Gi1/0/19 1 для входящего трафика:

Блок кода
scs(config)# interface gigabitethernet 1/0/191
scs(config-if-gi)# service-acl mac input white

...