accounting

aaa

Переход в режим конфигурирования аутентификации, авторизации и учета (AAA)Команда настройки параметров учета (accounting) в рамках протоколов RADIUS и TACACS+.

Синтаксис

[no] accounting <VALUE> [<METHOD>]aaa

Параметры

Протоколы (<VALUE>):

• radius – использование протокола RADIUS для учета.
• tacacs+ – использование протокола TACACS+ для учета.

Методы учета ([<METHOD>]):

...

Команда не содержит параметров.

Группа привилегий

config-general

Командный режим

configure-view

Пример

MA5160(configure)# aaa

enable

Команда активации работы ААА.

Синтаксис

[no] enable

Параметры

[no] – отключает работу AAA

...

.

Значение по умолчанию

no accountingenable

Группа привилегий

config-access

Командный режим

CONFIG

Примеры

1. Настройка учета для RADIUS:

...

...

aaa

...

-view

Пример

MA5160(config)(aaa)# accounting tacacs+ start-stop commandsenable

authentication

Команда настройки параметров аутентификации в рамках протоколов RADIUS и TACACS+.

Синтаксис

[no] authentication <VALUE><PROTOCOL>

Параметры

Протоколы (<VALUE>)<PROTOCOL> – протокол для аутентификации:

• radius – использование протокола RADIUS для аутентификации.
• tacacs+ – использование протокола TACACS+ для аутентификации.

[no] – отключает аутентификацию полностью, без указания протокола.

Значение по умолчанию

no authentication

Группа привилегий

config-access

Командный режим

CONFIGaaa-view

Пример

MA5160(config)(aaa)# authentication tacacs+

authorization

Команда настройки параметров авторизации в рамках протоколов RADIUS и TACACS+.

Синтаксис

[no] authorization <VALUE> [<PARAMETER>]

Параметры

Протоколы (<VALUE>)<VALUE> – протокол для авторизации:

• radius – использование протокола RADIUS для авторизации.
• tacacs+ – использование протокола TACACS+ для авторизации.

...

<PARAMETER> – метод авторизации:

• Для radius:
  • privilege – авторизация по уровню привилегий
  (доступно для обоих протоколов)
  • .
  • nas-identifier <STRING> – авторизация по идентификатору NAS (Network Access Server)
  . Требует указания строки
  • , где <STRING> – строка длиной от 1 до 253 символов
  (доступно только для RADIUS)
  • .
• Для tacacs+:
  • privilege – авторизация по уровню привилегий.
  • commands – авторизация по разрешенным или запрещенным командам
  (доступно только для TACACS+)
  • .

[no] – отключает авторизацию полностью, без указания протокола.

Значение по умолчанию

no authorization

Группа привилегий

config-access

Командный режим

CONFIGaaa-view

Пример

MA5160(config)(aaa)# authorization radius privilege nas-identifier 123

...

accounting

Команда активации работы АААнастройки параметров учета (accounting) в рамках протоколов RADIUS и TACACS+.

Синтаксис

[no] enable

Параметры

accounting <PROTOCOL> <METHOD>

Параметры

<PROTOCOL> – протокол для учета:

• radius – использование протокола RADIUS для учета.
• tacacs+ – использование протокола TACACS+ для учета.

<METHOD> – метод учета:

• Для radius:
  • start-stop – метод учета, при котором отправляются записи о начале и завершении сессии.
• Для tacacs+:
  • start-stop – метод учета, при котором отправляются записи о начале и завершении сессии.
  • commands – метод учета, применяемый к выполнению команд пользователями.

[no] – отключает учет полностью, без указания протокола или методаКоманда не содержит параметров.

Значение по умолчанию

no enableaccounting

Группа привилегий

config-access

Командный режим

CONFIGaaa-view

Пример

MA5160(config)(aaa)# accounting enableradius

...

 start-stop

service name

Команда настройки имени сервиса TACACS+ для авторизации и учетаКоманда настройки параметров RADIUS-сервера. Можно указать до трех серверов.

Синтаксис

[no] radius-serverservice host <IP> [<PARAMETERS>]name <VALUE>

Параметры

Адрес RADIUS-сервера (<IP>):

• AAA.BBB.CCC.DDD – IP-адрес RADIUS-сервера в формате A.B.C.D.

Дополнительные параметры ([<PARAMETERS>]):

...

• Значение: <1-3> (чем меньше значение, тем выше приоритет).
• По умолчанию: 1.

...

<VALUE> – имя сервиса TACACS+, строка длиной от 1 до

...

32 символов.

...

• Значение: <1-65535>.
• По умолчанию:
  
  • Порт 1812 для аутентификации и авторизации.
  • Порт 1813 для учета (автоматически назначается как 1812 + 1).

...

• Значение: <1-30>.
• По умолчанию: 3.

[no] – сбрасывает имя сервиса к значению по умолчанию.

Значение по умолчанию

service name "shell"

Значение по умолчанию

radius-server host 0.0.0.0 priority 1 port 1812 encrypted-key INeLg+u/04f timeout 3

Группа привилегий

config-access

Командный режим

CONFIGaaa-view

Пример

MA5160(config)(aaa)# radius-serverservice host 1.1.1.1 priority 1 key mysecretkey port 545 timeout 10

...

name my_tacacs_service

service protocol

Команда настройки параметров протокола сервиса TACACS+ для авторизации и учета.

Синтаксис

[no] service <PARAMETER>protocol <VALUE>

Параметры

Параметры сервиса (<PARAMETER>):

...

<VALUE> – протокол сервиса TACACS+,

...

строка длиной от 1 до 32 символов.

...

[no] – сбрасывает протокол сервиса к значению по умолчанию.

Значение по умолчанию

no serviceservice protocol ""

Группа привилегий

config-access

Командный режим

CONFIGaaa-view

Пример

MA5160(config)(aaa)# service nameprotocol my_tacacs_serviceprotocol

tacacs-server timeout

Команда настройки параметров времени ожидания ответа от TACACS+-сервера. Можно указать до трех серверовПо истечении времени ожидания запрос будет отправлен на следующий сервер по приоритету.

Синтаксис

[no] tacacs-server <PARAMETER>timeout [<VALUE>]<TIMEOUT>

Параметры

Таймаут ответа сервера (timeout):

...

<TIMEOUT> – устанавливает время ожидания ответа от TACACS+-сервера в секундах.

...

[1-30].

[no] – сбрасывает время ожидания для серверов TACACS+ к значению по умолчанию.

Значение по умолчанию

no servicetacacs-server timeout 3

Группа привилегий

config-access

Командный режим

CONFIGaaa-view

Пример

MA5160(config)(aaa)# servicetacacs-server nametimeout my_tacacs_service

eeeeeeeeeeeeeeeeeeeeeeeeeeeeeee

10

tacacs

...

-server host

...

Команда для задания адреса RADIUS-сервера, который будет использоваться для AAA. Можно указать до трех серверов. настройки IP-адреса TACACS+-сервера.

Синтаксис

[no] radiustacacs-server host <IP> 

Параметры

<IP> – IP-адрес TACACS+-сервера в формате AAA.BBB.CCC.DDD:

• Можно настроить до трёх TACACS+-серверов.
• Каждый сервер должен иметь уникальный IP-адрес.

[no] – удаляет настройку IP-адреса TACACS+-сервера.

Значение по умолчанию

radiustacacs-server host 0.0.0.0

Группа привилегий

config-access

Командный режим

...

aaa-view

Пример

LTP-16N(configureMA5160(config)(aaa)# radiustacacs-server host 192.168.1.12

...

tacacs-server host

...

<IP> priority

Команда для задания настройки приоритета RADIUSTACACS+-сервера от 1 до 3, где 1 – самый высокий.

Синтаксис

[no] radiustacacs-server host <IP> priority <VALUE><PRIORITY>

Параметры

<IP> – IP-адрес TACACS+-сервера в формате AAA.BBB.CCC.DDD;.

<VALUE> <PRIORITY> – устанавливает приоритет для сервера, значение от 1 до 3.TACACS+-сервера [1-3]. Чем меньше значение, тем выше приоритет.

[no] – удаляет настройку IP-адреса и приоритета для TACACS+-сервера.

Значение по умолчанию

radiustacacs-server host 0.0.0.0 priority 1

Группа привилегий

config-access

Командный режим

...

aaa-view

Пример

LTP-16N(configure)# radiusMA5160(config)(aaa)# tacacs-server host 1921.1681.1.1 priority 2

...

tacacs-server host

...

<IP> key

Команда для задания ключа шифрования запросов к RADIUS-серверунастройки секретного ключа (shared secret) для TACACS+-сервера.

Синтаксис

[no] radiustacacs-server host <IP> key <VALUE><KEY>

Параметры

<IP> – IP-адрес TACACS+-сервера в формате AAA.BBB.CCC.DDD;.<VALUE>

<KEY> – ключ для сервера устанавливает секретный ключ (shared secret) длиной от 1 до 64 символов63 символов, используемый для шифрования всех коммуникаций между устройством и TACACS+-сервером.

[no] – удаляет настройку IP-адреса и секретный ключ для TACACS+-сервера.

Значение по умолчанию

radiustacacs-server host 0.0.0.0 key secret

Группа привилегий

config-access

Командный режим

...

aaa-view

Пример

LTP-16N(configure)# radiusMA5160(config)(aaa)# tacacs-server host 1921.1681.1.1 key secret12345newkey123

...

tacacs-server host

...

<IP> port

Команда для задания порта, который будет использоваться для RADIUSнастройки порта TACACS+-сервера.

Синтаксис

[no] radiustacacs-server host <IP> port <VALUE><PORT>

Параметры

<IP> – IP-адрес TACACS+-сервера в формате AAA.BBB.CCC.DDD;.

<VALUE> <PORT> – устанавливает порт, который будет использоваться для обмена связи с сервером, значение от 1 до 65535.TACACS+-сервером [1-65535].

[no] – удаляет настройку IP-адреса и порта для TACACS+-сервера.

Значение по умолчанию

radiustacacs-server host 0.0.0.0 port 181249

Группа привилегий

config-access

Командный режим

...

aaa-view

Пример

LTP-16N(configure)# radiusMA5160(config)(aaa)# tacacs-server host 1921.1681.1.1 port 3456000

radius-server host

...

Команда для задания timeout ответа от сервера. По истечению времени ожидания запрос будет отправлен на следующий сервер согласно приоритетунастройки IP-адреса RADIUS-сервера.

Синтаксис

[no] radius-server host <IP> timeout <VALUE>

Параметры

<IP> – IP-адрес RADIUS-сервера в формате AAA.BBB.CCC.DDD;

<VALUE> – время ожидания ответа от сервера, от 1 до 30 секунд.

Значение по умолчанию

radius-server host 0.0.0.0 timeout 3

Группа привилегий

config-access

Командный режим

CONFIG

Пример

LTP-16N(configure)# radius-server host 192.168.1.1 timeout 20

tacacs-server host IP

Команда для задания адреса сервера TACACS+, который будет использоваться для AAA. Можно указать до трех серверов. 

Синтаксис

[no] tacacs-server host <IP> 

Параметры

.

• Можно настроить до трёх RADIUS-серверов.
• Каждый сервер должен иметь уникальный IP-адрес.

[no] – удаляет настройку IP-адреса RADIUS-сервера<IP> – IP-адрес сервера в формате AAA.BBB.CCC.DDD.

Значение по умолчанию

tacacsradius-server host 0.0.0.0 

Группа привилегий

config-access

Командный режим

...

aaa-view

Пример

LTP-16N(configure)# tacacsMA5160(config)(aaa)# radius-server host 192.168.1.1

...

radius-server host

...

<IP> priority

Команда для задания настройки приоритета для TACACS-сервера от 1 до 3, где 1 – самый высокийRADIUS-сервера.

Синтаксис

[no] tacacsradius-server host <IP> priority <VALUE><PRIORITY>

Параметры

<IP> – IP-адрес RADIUS-сервера в формате AAA.BBB.CCC.DDD;.

<VALUE> <PRIORITY> – устанавливает приоритет для сервера, значение от 1 до 3RADIUS-сервера [1-3]. Чем меньше значение, тем выше приоритет.

[no] – удаляет настройку IP-адреса и приоритета для RADIUS-сервера.

Значение по умолчанию

tacacsradius-server host 0.0.0.0 priority 1

Группа привилегий

config-access

Командный режим

...

aaa-view

Пример

LTP-16N(configure)# tacacsMA5160(config)(aaa)# radius-server host 1921.1681.1.1 priority 21

...

radius-server host

...

<IP> key

Команда для задания ключа шифрования запросов к TACACS-серверунастройки секретного ключа (shared secret) для RADIUS-сервера.

Синтаксис

[no] tacacsradius-server host <IP> key <VALUE><KEY>

Параметры

<IP> – IP-адрес RADIUS-сервера в формате AAA.BBB.CCC.DDD;.

<VALUE> <KEY> – ключ для сервера устанавливает секретный ключ (shared secret) длиной от 1 до 64 символов.63 символов, используемый для шифрования всех коммуникаций между устройством и RADIUS-сервером.

[no] – удаляет настройку IP-адреса и секретного ключа для RADIUS-сервера.

Значение по умолчанию

tacacsradius-server host 0.0.0.0 key secret

Группа привилегий

config-access

Командный режим

...

aaa-view

Пример

LTP-16N(configure)# tacacsMA5160(config)(aaa)# radius-server host 1921.1681.1.1 key secret1234512345678

...

radius-server host

...

<IP> port

Команда для задания порта, который будет использоваться для TACACSнастройки порта RADIUS-сервера.

Синтаксис

[no] tacacsradius-server host <IP> port <VALUE><PORT>

Параметры

<IP> – IP-адрес RADIUS-сервера в формате AAA.BBB.CCC.DDD;.

<VALUE> <PORT> – устанавливает порт, который будет использоваться для обмена связи с RADIUS-сервером, от . [1 до -65535].

[no] – удаляет настройку IP-адреса и порта для RADIUS-сервера.

Значение по умолчанию

tacacsradius-server host 0.0.0.0 port 491812

Группа привилегий

config-access

Командный режим

...

aaa-view

Пример

LTP-16N(configure)# tacacsMA5160(config)(aaa)# radius-server host 1921.1681.1.1 port 345

tacacs-server timeout

 5000

Если изменяется порт 1812, порт для учета также смещается на +1 (например, если указать порт 5000, то порт для учета станет 5001).

radius-server host <IP> timeout

Команда настройки времени ожидания ответа от RADIUS-сервера.Команда для задания timeout ответа от TACACS-сервера. По истечении времени ожидания запрос будет отправлен на следующий сервер по приоритету.

Синтаксис

[no] tacacsradius-server host <IP> timeout <VALUE><TIMEOUT>

Параметры

<IP> – IP-адрес RADIUS-сервера в формате A.B.C.D. Пример: 192.168.1.1.

<TIMEOUT> – устанавливает <VALUE> – время ожидания ответа от сервера, от 1 до 30 секундRADIUS-сервера в секундах [1-30].

[no] – удаляет настройку IP-адреса и времени ожидания для RADIUS-сервера.

Значение по умолчанию

tacacsradius-server host 0.0.0.0 timeout 3

Группа привилегий

config-access

Командный режим

...

aaa-view

Пример

LTP-16N(configure)# tacacsMA5160(config)(aaa)# radius-server timeout 20

service name

Команда для задания имени сервиса, которое будет подставляться в запросы к TACACS-серверу. Для некоторых серверов требуется отличный от стандартного формат.

Синтаксис

service name <VALUE>
no service name

Параметры

<VALUE> – значение имени, которое будет подставляться в запросы на сервер, длиной от 1 до 32 символов.

Значение по умолчанию

service name "shell"

Группа привилегий

config-access

Командный режим

CONFIG

Пример

LTP-16N(configure)# service name "test"

service protocol

Команда для задания протокола, который будет подставляться в запросы к TACACS-серверу. Для некоторых серверов требуется отличный от стандартного формат.

Синтаксис

service protocol <VALUE>
no service protocol

Параметры

<VALUE> – значение протокола, которое будет подставляться в запросы на сервер, длиной от 1 до 32 символов.

Значение по умолчанию

service protocol ""

Группа привилегий

config-access

Командный режим

CONFIG

Пример

LTP-16N(configure)# service protocol "test"host 1.1.1.1 timeout 10