ESR-series Documentation 1.23
Дерево страниц

Сравнение версий

Старая версия 2

changes.mady.by.user Сервисный центр Ethernet

Сохранено

по сравнению с

Новая версия Текущий

changes.mady.by.user Отдел Документации

Сохранено

Ключ

  • Эта строка добавлена.
  • Эта строка удалена.
  • Изменено форматирование.

...

Необходимый уровень привилегий

15

Командный режим

CONFIG

Пример

...

Блок кода
esr(config)# aaa accounting commands stop-only tacacs

...

Необходимый уровень привилегий

15

Командный режим

CONFIG

Пример

...

Блок кода
esr(config)# aaa accounting login start-stop tacacs

...

Необходимый уровень привилегий

15

Командный режим

CONFIG

Пример

...

Блок кода
esr(config)# aaa authentication attempts max-fail 5 30

...

Данной командой создаются списки способов аутентификации повышения привилегий пользователей. При неудачной попытке аутентификации по одному способу происходит попытка аутентификации по следующему способу в списке.

В конфигурации по умолчанию существует список с именем «default». Список «default» содержит один способ аутентификации – «enable». Чтобы использовать список для аутентификации повышения привилегий пользователей, необходимо выполнить его привязку командой, описанной в разделе enable authentication.

...

Необходимый уровень привилегий

15

Командный режим

CONFIG

Пример

...

Блок кода
esr(config)# aaa authentication enable enable-test tacacs enable

...

Использование отрицательной формы команды (no) удаляет список способов аутентификации.

Синтаксис
 aaa authentication login { default | <NAME> } <METHOD 1> [ <METHOD 2> ] [ <METHOD 3> ] 
[ <METHOD 4> ] 
 no aaa authentication login { default | <NAME> }

...

Необходимый уровень привилегий

15

Командный режим

CONFIG

Пример

...

Блок кода
esr(config)# aaa authentication login login-test tacacs local

...

Необходимый уровень привилегий

15

Командный режим

CONFIG

Пример

...

Блок кода
esr(config)# aaa authentication mode break

...

Данной командой создаются списки способов авторизации команд, вводимых пользователем в систему. При неудачной попытке авторизации по одному способу происходит попытка аутентификации по следующему способу в списке.

В конфигурации по умолчанию существует список с именем «default», данный список содержит один способ авторизации – «local». Чтобы использовать список для авторизации команд вводимых пользователем в систему, необходимо выполнить его активацию командой, описанной в разделе commands authorization.

Использование отрицательной формы команды (no) удаляет список способов авторизации.

Scroll Pagebreak

Синтаксис
 aaa authorization commands { default | <NAME> } <METHOD 1> [ <METHOD 2> ]
 no aaa authorization commands { default | <NAME> }

...

Необходимый уровень привилегий

15

Командный режим

CONFIG

Пример

...

Блок кода
esr(config)# aaa authorization commands

...

Данной командой включается авторизация конрольных контрольных команд (help, logout, end, exit) на TACACS-сервере.
В конфигурации по умолчанию этот функционал отключенэта функция отключена.

Использование отрицательной формы команды (no) возвращает состояние к дефолтному.

Синтаксис
[ no ] aaa authorization control-commands enable
Значение по умолчанию

no aaa authorization control-commands enable

Необходимый уровень привилегий

15

Командный режим

CONFIG

Пример

...

Блок кода
esr(config)# aaa authorization control-commands enable

...

Необходимый уровень привилегий

15

Командный режим

CONFIG

Пример

...

Блок кода
esr(config)# aaa authorization mode break

...

Необходимый уровень привилегий

15

Командный режим

CONFIG

Пример

...

Блок кода
esr(config)# aaa das-profile profile1
esr(config-aaa-das-profile)#

...

Командный режим

CONFIG-LINE-CONSOLE

Пример

...

Блок кода
esr(config-line-console)# aaa disable

...

Необходимый уровень привилегий

15

Командный режим

CONFIG

Пример

...

Блок кода
esr(config)# aaa radius-profile profile1
esr(config-aaa-radius-profile)#

...

Командный режим

CONFIG-RADIUS-SERVER

Пример

...

Блок кода
esr(config-radius-server)# acct-port 4444

...

Командный режим

CONFIG-RADIUS-SERVER

Пример

...

Блок кода
esr(config-radius-server)# auth-port 4444

...

Необходимый уровень привилегий

15

Командный режим

ROOT

Пример

...

Блок кода
esr# clear users blocked

...

Необходимый уровень привилегий

15

Командный режим

ROOT

Пример

...

Блок кода
esr# clear users-session

...

Командный режим

CONFIG-DAS-SERVER

Пример

...

Блок кода
esr(config-das-server)# clients object-group pcrf

...

CONFIG-LINE-TELNET

CONFIG-LINE-SSH

Пример

...

Блок кода
esr(config-line-ssh)# commands authorization authorization-test

...

Данная команда используется для добавления сервера динамической авторизации (DAS) и перехода в командный режим DAS SERVER. Сервера динамической авторизации (DAS) принимают RADIUS CoA запросы от клиентов динамической авторизации (DAC), например, отключение или повторный запрос списка сервисов пользователя.

...

Необходимый уровень привилегий

15

Командный режим

CONFIG

Пример
Блок кода
esr(config)# das-server main
esr(config-das-server)#

...

Командный режим

CONFIG-AAA-DAS-PROFILE

Пример
Блок кода
esr(config)# das-server mainesr(config-das-server)#

...

Командный режим

CONFIG-RADIUS-SERVER

Пример

...

Блок кода
esr(config-radius-server)# dead-interval 600

...

CONFIG-RADIUS-SERVER-PROFILE

Пример

...

Установить описание для профиля IP-адресов:

...

Необходимый уровень привилегий

2

Командный режим

ROOT

Пример

...

Блок кода
esr# disable
esr>

...

Необходимый уровень привилегий

1

Командный режим

ROOT

Пример

...

Блок кода
esr> enable 10
esr#

Scroll Pagebreak
Якорь
enable authentication
enable authentication

...

CONFIG-LINE-TELNET

CONFIG-LINE-SSH

Пример

...

Блок кода
esr(config-line-console)# enable authentication enable-test

...

Необходимый уровень привилегий

15

Командный режим

CONFIG

Пример

...

Блок кода
esr(config)# enable password 12345678 privilege 10

...

CONFIG-LINE-TELNET

CONFIG-LINE-AUX 1

Пример

...

Блок кода
esr(config-line-ssh)# exec-timeout 600

...

Командный режим

CONFIG-USER

Пример

...

Блок кода
esr(config-user)# ip sftp enable

...

CONFIG-RADIUS-SERVER

CONFIG-DAS-SERVER

Пример

...

Блок кода
esr(config-tacacs-server)# key ascii-text 12345678

...

Необходимый уровень привилегий

15

Командный режим

CONFIG

Пример

...

Блок кода
esr(config)# ldap-server base-dn “dc=example,dc=com”

...

Необходимый уровень привилегий

15

Командный режим

CONFIG

Пример

...

Блок кода
esr(config)# ldap-server bind authenticate root-dn “cn=admin,dc=example,dc=com”

...

Необходимый уровень привилегий

15

Командный режим

CONFIG

Пример

...

Блок кода
esr(config)# ldap-server bind authenticate root-password ascii-text 12345678

...

Необходимый уровень привилегий

15

Командный режим

CONFIG

Пример

...

Блок кода
esr(config)# ldap-server bind timeout 5

...

Необходимый уровень привилегий

10

Командный режим

CONFIG

Пример

...

Блок кода
esr(config)# ldap-server dscp 40

...

<LDAP-HOST-NAME> – DNS-имя LDAP-сервера, задаётся строкой до 31 символа. Для корректного сопоставления DNS-имени хоста с IP-адресом на маршрутизаторе должен должна быть запущен запущена и настроен функционал настроена функция domain lookup enable.

Необходимый уровень привилегий

15

Командный режим

CONFIG

Пример

...

Блок кода
esr(config)# ldap-server host 10.100.100.1
esr(config-ldap-server)#

...

Необходимый уровень привилегий

15

Командный режим

CONFIG

Пример

...

Блок кода
esr(config)# ldap-server naming-attribute displayName

...

Необходимый уровень привилегий

15

Командный режим

CONFIG

Пример

...

Блок кода
esr(config)# ldap-server privilege-level-attribute title

...

Необходимый уровень привилегий

15

Командный режим

CONFIG

Пример

...

Блок кода
esr(config)# ldap-server search filter user-object-class shadowAccount

...

Необходимый уровень привилегий

15

Командный режим

CONFIG

Пример

...

Блок кода
esr(config)# ldap-server search scope onelevel

...

Необходимый уровень привилегий

15

Командный режим

CONFIG

Пример

...

Блок кода
esr(config)# ldap-server search timeout 10

ldap-server ssl

...

crypto 

Данной командой указывается сертификат, который будет использоваться для установления SSL-соединения с LDAP-сервером.

Использование отрицательной формы команды (no) удаляет из конфигурации сертификат для установления SSL-соединения с LDAP-сервером.

Синтаксис
ldap-server ssl certificatecrypto <FILE-NAME> 
no ldap-server ssl certificate crypto
Параметры

Отсутствуют.

Значение по умолчанию

...

Необходимый уровень привилегий

15

Командный режим

CONFIG

Пример

...

Блок кода
esr(config)# ldap-server ssl certificatecrypto ldap-ssl.crt

ldap-server ssl check-peer disable

...

Необходимый уровень привилегий

15

Командный режим

CONFIG

Пример

...

Блок кода
esr(config)# ldap-server ssl check-peer disable

...

Необходимый уровень привилегий

15

Командный режим

CONFIG

Пример

...

Блок кода
esr(config)# ldap-server ssl enable

...

Синтаксис
[no] line <TYPE>

Scroll Pagebreak

Параметры

<TYPE> – тип консоли:

...

Необходимый уровень привилегий

15

Командный режим

CONFIG

Пример

...

Блок кода
esr(config)# line console
esr(config-line-console)#

...

CONFIG-LINE-TELNET

CONFIG-LINE-SSH

Пример

...

Блок кода
esr(config-line-console)# login authentication login-test

...

CONFIG-USER

CHANGE-EXPIRED-PASSWORD

Пример

...

Блок кода
esr(config-user) password test

...

CONFIG-LDAP-SERVER

CONFIG-DAS-SERVER

Пример

...

Блок кода
esr(config-tacacs-server)# port 4444

...

Использование отрицательной формы команды (no) устанавливает значение по умолчанию.

Scroll Pagebreak
Синтаксис
priority <PRIORITY>

...

CONFIG-RADIUS-SERVER

CONFIG-LDAP-SERVER

Пример

...

Блок кода
esr(config-tacacs-server)# priority 5

...

  • необходимый уровень привилегий пользователям из локальной базы назначается указанной командой;
  • необходимый уровень привилегий для пользователей, авторизовавшихся по протоколу RADIUS, берется извлекается из атрибута cisco-avpair = "shell:priv-lvl=<PRIV>";
  • необходимый уровень привилегий для пользователей, авторизовавшихся по протоколу TACACS, берется извлекается из атрибута priv-lvl=<PRIV>;
  • уровень привилегий для пользователей, авторизовавшихся по протоколу LDAP, берется извлекается из атрибута, заданного командой privilege-level-attribute, описанной в разделе line, по умолчанию priv-lvl=<PRIV>.

...

Командный режим

CONFIG-USER

Пример

...

Блок кода
esr(config-user)# privilege 15

...

Необходимый уровень привилегий

15

Командный режим

CONFIG

Пример

...

Установить для поддерева команд «show» корневого командного режима необходимый уровень привилегий 2. Команды поддерева «show interfaces» оставить с уровнем привилегий 1.

...

Необходимый уровень привилегий

10

Командный режим

CONFIG

Пример

...

Блок кода
esr(config)# radius-server dscp 40

...

Необходимый уровень привилегий

15

Командный режим

CONFIG

Пример

...

Блок кода
esr(config)# radius-server host 10.100.100.1
esr(config-radius-server)#

...

CONFIG-RADIUS-SERVER-PROFILE

Пример

...

Блок кода
esr(config-aaa-radius-profile)# radius-server host 10.100.100.1

...

Необходимый уровень привилегий

15

Командный режим

CONFIG

Пример

...

Блок кода
esr(config)# radius-server retransmit 5

...

Необходимый уровень привилегий

10

Командный режим

CONFIG

Пример

...

Блок кода
esr(config)# radius-server timeout 5

...

Командный режим

CONFIG-RADIUS-SERVER

Пример

...

Блок кода
esr(config)# retransmit 5

Scroll Pagebreak

security passwords default-expired

...

Необходимый уровень привилегий

15

Командный режим

CONFIG

Пример

...

Блок кода
esr(config)# security passwords default-expired

...

Необходимый уровень привилегий

15

Командный режим

CONFIG

Пример

...

Блок кода
esr(config)# security passwords history 5

...

Данной командой устанавливается время действия пароля локального пользователя. При попытке подключения пользователя с истекшим паролем , пользователь будет направлен в режим принудительной смены пароля.

...

Необходимый уровень привилегий

15

Командный режим

CONFIG

Пример

...

Блок кода
esr(config)# security passwords lifetime 30

...

Необходимый уровень привилегий

15

Командный режим

CONFIG

Пример

...

Блок кода
esr(config)# security passwords lower-case 2

...

Необходимый уровень привилегий

15

Командный режим

CONFIG

Пример

...

Блок кода
esr(config)# security passwords max-length 30

...

Необходимый уровень привилегий

15

Командный режим

CONFIG

Пример

...

Блок кода
esr(config)# security passwords min-length 10

...

Необходимый уровень привилегий

15

Командный режим

CONFIG

Пример

...

Блок кода
esr(config)# security passwords numeric-count 2

...

Необходимый уровень привилегий

15

Командный режим

CONFIG

Пример

...

Блок кода
esr(config)# security passwords special-case 2

...

Необходимый уровень привилегий

15

Командный режим

CONFIG

Пример

...

Блок кода
esr(config)# security passwords symbol-types 2

...

Данной командой устанавливается минимальное количество прописных (заглавных) букв в пароле локального пользователя, ENABLE-пароле, имени SMNPv3-пользователя и SMNPv1/SMNPv2c SMNPv2 c комьюнити.

Использование отрицательной формы команды (no) устанавливает значение по умолчанию.

...

Необходимый уровень привилегий

15

Командный режим

CONFIG

Пример

...

Блок кода
esr(config)# security passwords upper-case 2

...

Необходимый уровень привилегий

15

Командный режим

CONFIG

Пример

...

Блок кода
esr(config)# security snmp-community max-length 30

...

Необходимый уровень привилегий

15

Командный режим

CONFIG

Пример

...

Блок кода
esr(config)# security snmp-community min-length 10

...

Необходимый уровень привилегий

10

Командный режим

ROOT

Пример

...

Блок кода
esr# show aaa accounting
Login :          radius
Commands :       tacacs

...

Необходимый уровень привилегий

10

Командный режим

ROOT

Пример

...

Блок кода
esr# show aaa authentication
   Login Authentication Method Lists
   ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
List               Methods
----------------   --------------------------------
default            local
   Enable Authentication Method Lists
   ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
List               Methods
----------------   --------------------------------
default            enable
   Lines configuration
   ~~~~~~~~~~~~~~~~~~~
Line        Login method list                  Enable method list
---------   --------------------------------   --------------------------------
console     default                            default
telnet      default                            default
ssh         default                            default

...

Необходимый уровень привилегий

15

Командный режим

ROOT

Пример

...

Блок кода
esr# show aaa ldap-servers
Base DN:                      dc=example,dc=com
Root DN:                      cn=admin,dc=example,dc=com
Root password:                CDE65039E5591FA3
Naming attribute:             uid
Privilege level attribute:    priv-lvl
User object class:            posixAccount
DSCP:                         63
Bind timeout:                 3
Search timeout:               0
Search scope:                 subtree
IP Address                         Port           Priority
--------------------------------   ------------   ------------
10.100.100.1                       389            1

...

Необходимый уровень привилегий

15

Командный режим

ROOT

Пример

...

Блок кода
esr# show aaa radius-servers
Timeout:     3
Retransmit:  1
DSCP:        63
IP Addres        Timeout      Priority     Usage        Key
------------    ----------   ----------   ----------   ---------------------------
2.2.2.2             --           1            all          9DA7076CA30B5FFE0DC9C4
2.4.4.4             --           1            all          9DA7076BA30B4EFCE5

...

Необходимый уровень привилегий

15

Командный режим

ROOT

Пример

...

Блок кода
esr# show aaa tacacs-servers
Timeout :       3
DSCP:          63
IP Address               Port           Priority       Key
----------------------   ------------   ------------   --------------------------------
10.100.100.1             49             1              CDE65039E5591FA3
10.100.100.5             49             10             CDE65039E5591FA3

...

Необходимый уровень привилегий

1

Командный режим

ROOT

Пример

...

Блок кода
esr# show users 
SID    User name              Logged in at        Protocol            Host                   Timers Login/Priv   Level   
----   --------------------   -----------------   -----------------   --------------------   -----------------   -----   
0 *    admin                  26/06/23 15:47:38   SSH                 192.168.1.44           00:29:59/00:00:00   15      
1      admin                  26/06/23 15:48:08   Telnet              192.168.1.44           00:25:08/00:00:00   15      
2      admin                  26/06/23 15:52:47   Console             Console                00:29:56/00:00:00   15

...

Необходимый уровень привилегий

10

Командный режим

ROOT

Пример

...

Блок кода
esr# show user accounts
Name                               Password                           Privilege
--------------------------------   --------------------------------   ---------
admin                              $6$1sxrvGaV8Za8oX/K$YNel5xYPZ4cj   15
                                   bemYWYNpQBQKDxWE9v0aoKgQ
                                   kRCEb0EMNuusO9Kmg7UBs7nA3buEM87e
                                   Eu.rA6tZq0
techsupport                        $6$YfwntIwU$ah7UxPZTemKhjpSWvVsV   15
                                   9jHcp. 9lweQaSldw7ZtUr
                                   uH66uZx9.EBASff//hUj8ObUaC484TNR
                                   x.
remote                             $6$YfwntIwU$ah7UxPZTemKhjpSWvVsV   1
                                   9jHcp.kqFAK.vmvyY9lweQaSldw7ZtUr
                                   uH66uZx9.EBASff//hUj8ObUaC484TNR
                                   x.
operator                           $6$eILpbbyRxedCzvVD$4RHP08mjXvNf   1
                                   urX7V/ULCZ1oHIWMwE6h5f
                                   zgwZQUZcPoZCEyaqQQqCicRMRuPwhxrQ
                                   bvGChWreW1

...

Необходимый уровень привилегий

1

Командный режим

ROOT

Пример

...

Блок кода
esr# show users blocked
User name              Failures   Latest failure      From
--------------------   --------   -----------------   ----------------
tester                 4          10/09/17 08:29:42   0.0.0.0

...

CONFIG-TACACS-SERVER

CONFIG-LDAP-SERVER

Пример

...

Блок кода
esr(config-radius-server)# source-address 220::71

...

CONFIG-TACACS-SERVER

CONFIG-LDAP-SERVER

Пример

...

Блок кода
esr(config-radius-server)# source-interface gigabitethernet 1/0/1

...

Необходимый уровень привилегий

15

Командный режим

CONFIG

Пример

...

Блок кода
esr(config)# system configuration-exclusively

...

Необходимый уровень привилегий

10

Командный режим

CONFIG

Пример

...

Блок кода
esr(config)# tacacs-server dscp 40

...

Необходимый уровень привилегий

15

Командный режим

CONFIG

Пример

...

Блок кода
esr(config)# tacacs-server host 10.100.100.1
esr(config-tacacs-server)#

...

Необходимый уровень привилегий

10

Командный режим

CONFIG

Пример

...

Блок кода
esr(config)# tacacs-server timeout 5

...

Необходимый уровень привилегий

15

Командный режим

CONFIG

Пример

...

Блок кода
esr(config)# tech-support login enable

...

Командный режим

CONFIG-RADIUS-SERVER

Пример

...

Блок кода
esr(config-radius-server)# timeout 7

...

Командный режим

CONFIG-RADIUS-SERVER

Пример

...

Блок кода
esr(config-radius-server)# usage pptp

...

Необходимый уровень привилегий

15

Командный режим

CONFIG

Пример

...

Блок кода
esr(config)# username test
esr(config-user)#

...