Сравнение версий

Старая версия 5

changes.mady.by.user Сервисный центр Ethernet

Сохранено

по сравнению с

Новая версия Текущий

changes.mady.by.user Сервисный центр Ethernet

Сохранено

Ключ

  • Эта строка добавлена.
  • Эта строка удалена.
  • Изменено форматирование.

Оглавление
maxLevel4

Настройка ААА

AAA (Authentication, Authorization, Accounting) используется для описания процесса предоставления доступа и контроля над ним.

  • Authentication (аутентификация) сопоставление персоны (запроса) существующей учётной учетной записи в системе безопасности. Осуществляется по логину, паролю.
  • Authorization (авторизация, проверка полномочий, проверка уровня доступа) сопоставление учётной учетной записи в системе и определённых определенных полномочий.
  • Accounting (учётучет) слежение за подключением пользователя или внесенным им изменениям.

...

Шаг

Описание

Команда

Ключи

1

Задать список методов аутентификации по умолчанию (default)/с именем <NAME> и указать local.

esrscs(config)# aaa authentication login { default | <NAME> } <METHOD 1>
 [ <METHOD 2> ] [ <METHOD 3> ] [ <METHOD 4> ]

<NAME> имя списка, задаётся задается строкой до 31 символа.

Способы аутентификации:

  • local аутентификация с помощью локальной базы пользователей;
  • tacacs аутентификация по списку TACACS-серверов;
  • radius аутентификация по списку RADIUS-серверов;ldap – аутентификация по списку LDAP-серверов.

2

Задать список методов аутентификации повышения привилегий пользователей по умолчанию (default)/с именем <NAME> и указать enable.

esrscs(config)# aaa authentication enable <NAME><METHOD 1> [ <METHOD 2> ]
 [ <METHOD 3> ] [ <METHOD 4> ]

<NAME> имя списка, задаётся задается строкой до 31 символа.

Способы аутентификации:

  • local аутентификация с помощью локальной базы пользователей;
  • tacacs аутентификация по списку TACACS-серверов;
  • radius аутентификация по списку RADIUS-серверов;ldap – аутентификация по списку LDAP-серверов.

3

Указать способ перебора методов аутентификации в случае отказа (необязательно).

esrscs(config)# aaa authentication mode <MODE>

<MODE> способы перебора методов:

  • chain если сервер вернул FAIL, перейти к следующему в цепочке методу аутентификации;
  • break если сервер вернул FAIL, прекратить попытки аутентификации. Если сервер недоступен, продолжить попытки аутентификации следующими в цепочке методами.

Значение по умолчанию: chain.

4

Указать количество неудачных попыток аутентификации для блокировки логина пользователя и время блокировки (необязательно).

esrscs(config)# aaa authentication attempts max-fail <COUNT> <TIME>

<COUNT> количество неудачных попыток аутентификации, после которых произойдет блокировка пользователя, принимает значения [1..65535];

<TIME> интервал времени в минутах, на который будет заблокирован пользователь, принимает значения [1..65535].

Значение по умолчанию:
<COUNT> 5; <TIME> 300.

5

Включить запрос на смену пароля по умолчанию для пользователя admin (необязательно).

esrscs(config)# security passwords default-expired


6

Включить режим запрета на использование ранее установленных паролей локальных пользователей (необязательно).

esrscs(config)# security passwords history <COUNT>

<COUNT> количество паролей, сохраняемых в памяти маршрутизаторасервера. Принимает значение в диапазоне [1..15].

Значение по умолчанию: 0.

7

Установить время действия пароля локального пользователя (необязательно).

esrscs(config)# security passwords lifetime <TIME>

<TIME> интервал времени действия пароля в днях. Принимает значение в диапазоне [1..365].

По умолчанию: время действия пароля локального пользователя не ограничено.

8

Установить ограничение на минимальную длину пароля локального пользователя и ENABLE-пароля (необязательно).

esrscs(config)# security passwords min-length <NUM>

<NUM> минимальное количество символов в пароле. Принимает значение в диапазоне [8..128].

Значение по умолчанию: 0.

9

Установить ограничение на максимальную длину пароля локального пользователя и ENABLE-пароля (необязательно).

esrscs(config)# security passwords max-length <NUM>

<NUM> максимальное количество символов в пароле. Принимает значение в диапазоне [8..128].

Значение по умолчанию: не ограничено.

10

Установить минимальное количество типов символов, которые должны присутствовать в пароле локального пользователя и ENABLE-пароле (необязательно).

esrscs(config)# security passwords symbol-types <COUNT>

<COUNT> минимальное количество типов символов в пароле. Принимает значение в диапазоне [1..4].

Значение по умолчанию: 1.

11

Установить минимальное количество строчных букв в пароле локального пользователя и ENABLE-пароле (необязательно).

esrscs(config)# security passwords lower-case <COUNT>

<COUNT> минимальное количество строчных букв в пароле локального пользователя и ENABLE-пароле. Принимает значение в диапазоне [0..128].

Значение по умолчанию: 0.

12

Установить минимальное количество прописных (заглавных) букв в пароле локального пользователя и ENABLE-пароле (необязательно).

esrscs(config)# security passwords upper-case <COUNT>

<COUNT> минимальное количество прописных (заглавных) букв в пароле. Принимает значение в диапазоне [0..128].

Значение по умолчанию: 0.

13

Установить минимальное количество цифр в пароле локального пользователя и ENABLE-пароле (необязательно).

esrscs(config)# security passwords numeric-count <COUNT>

<COUNT> минимальное количество цифр в пароле. Принимает значение в диапазоне [0..128].

Значение по умолчанию: 0.

14

Установить минимальное количество специальных символов в пароле локального пользователя и ENABLE-пароле (необязательно).

esrscs(config)# security passwords special-case <COUNT>

<COUNT> минимальное количество специальных символов в пароле. Принимает значение в диапазоне [0..128].

Значение по умолчанию: 0.

15

Добавить пользователя в локальную базу и перейти в режим настройки параметров пользователя.

esrscs(config)# username <NAME>

<NAME> имя пользователя, задаётся задается строкой до 31 символа.

16

Установить пароль пользователя.

esrscs(config-user)# password { <CLEAR-TEXT> | encrypted <HASH_SHA512> }

<CLEAR-TEXT> пароль, задаётся задается строкой [8 .. 32] символов, принимает значения [0-9a-fA-F];

<HASH_SHA512> хеш пароля по алгоритму sha512, задаётся строкой из 110 символов.

17

Установить уровень привилегий пользователя.

esrscs(config-user)# privilege <PRIV>

<PRIV> необходимый уровень привилегий. Принимает значение [1..15].

18

Установить режим работы учетной записи пользователя (необязательно).

esrscs(config-user)# mode <MODE>

<MODE> режим работы учетной записи пользователя. Может принимать значения:

  • cli режим работы по умолчанию, пользователь получает доступ к интерфейсу командной строки, предназначенному для управления, просмотра состояния и мониторинга устройства;
  • techsupport пользователь получает доступ к командной оболочке, в которой выполняется процедура отладки устройства совместно с специалистами технической поддержки;
  • sftp пользователь используется для организации доступа к встроенному SFTP-серверу, возможность работы в какой-либо командой оболочке при этом у пользователя отсутствует.
19

Указать метод аутентификации SSH-сессий для пользователя (необязательно).

esrscs(config-user)# ssh authentication method <METHOD>

<METHOD> – <METHOD> — метод аутентификации SSH-сессий. Может принимать значения:

  • password аутентификация пользователя при открытии SSH-сессий может быть произведена только по паролю;
  • pubkey аутентификация пользователя при открытии SSH-сессий может быть произведена только по публичному ключу;
  • both аутентификация пользователя при открытии SSH-сессий может быть произведена как по паролю, так и по публичному ключу.
20

Указать имя файла публичного ключа, который будет использован при аутентификации SSH-сессии пользователя (необязательно).

esrscs(config-user)# ssh pubkey <NAME>

<NAME> имя файла публичного ключа, расположенного в разделе crypto:public-key, задаётся строкой до 31 символа.

21

Отключить авторизацию для предустановленного пользователя admin (необязательно).

esrscs(config)# no admin login enable


22

Перейти в режим конфигурирования соответствующего терминала.

esrscs(config)# line <TYPE>

<TYPE> тип консоли:

  • console локальная консоль;
  • telnet удаленная консоль;
  • ssh защищенная удаленная консоль;
  • консольный (последовательный) порт.
23

Активировать список аутентификации входа пользователей в систему.

esrscs(config-line-console)# login authentication <NAME>

<NAME> имя списка, задаётся задается строкой до 31 символа. Создан на шаге 1.

24

Активировать список аутентификации повышения привилегий пользователей.

esrscs(config-line-console)# enable authentication <NAME>

<NAME> имя списка, задаётся задается строкой до 31 символа. Создан на шаге 2.

25

Задать интервал, по истечении которого будет разрываться бездействующая сессия.

esrscs(config-line-console)# exec-timeout <SEC>

<SEC> период времени в минутах, принимает значения [1..65535].

Якорь
Алгоритм настройки AAA по протоколу RADIUS
Алгоритм настройки AAA по протоколу RADIUS

Алгоритм настройки AAA по протоколу RADIUS

Шаг

Описание

Команда

Ключи

1

Задать глобальное значение кода DSCP для использования в IP-заголовках исходящих пакетов RADIUS-сервера (необязательно).

esrscs(config)# radius-server dscp <DSCP>

<DSCP> значение кода DSCP, принимает значения в диапазоне [0..63].

Значение по умолчанию: 63.

2

Задать глобальное значение количества перезапросов к последнему активному RADIUS-серверу (необязательно).

esrscs(config)# radius-server retransmit <COUNT>

<COUNT> количество перезапросов к RADIUS-серверу, принимает значения [1..10].

Значение по умолчанию: 1.

3

Задать глобальное значение интервала, по истечении которого маршрутизатор считаетконсольный сервер считает, что RADIUS-сервер недоступен (необязательно).

esrscs(config)# radius-server timeout <SEC>

<SEC> период времени в секундах, принимает значения [1..30].

Значение по умолчанию: 3 секунды.

4

Добавить RADIUS-сервер в список используемых серверов и перейти в режим его конфигурирования.

esrscs(config)# radius-server host
 { <IP-ADDR> | <IPV6-ADDR> } [ vrf <VRF> ]

<IP-ADDR> IP-адрес RADIUS-сервера, задаётся задается в виде AAA.BBB.CCC.DDD, где каждая часть принимает значения [0..255];

<IPV6-ADDR> IPv6-адрес RADIUS-сервера, задаётся задается в виде X:X:X:X::X, где каждая часть принимает значения в шестнадцатеричном формате [0..FFFF]

<VRF> – имя экземпляра VRF, задается строкой до 31 символа.

5Задать описание конфигурируемого RADIUS-сервера (необязательно).esrscs(config-radius-server)# description <description><description> описание RADIUS-сервера, задается строкой до 255 символов.

6

Указать количество неудачных попыток аутентификации для блокировки логина пользователя и времени блокировки (необязательно).

esrscs(config-radius-server)# aaa authentication attempts max-fail <COUNT> <TIME>

<COUNT> количество неудачных попыток аутентификации, после которых произойдет блокировка пользователя, принимает значения [1..65535];

<TIME> интервал времени в секундах, на который будет заблокирован пользователь, принимает значения [1..65535].

Значение по умолчанию:

<COUNT> 5; <TIME> 300.

7

Задать пароль для аутентификации на удаленном RADIUS-сервере.

esrscs(config-radius-server)# key ascii-text
{ <TEXT> | encrypted <ENCRYPTED-TEXT> }

<TEXT> строка [8..16] ASCII-символов;

<ENCRYPTED-TEXT> зашифрованный пароль, размером [8..16] байт, задаётся задается строкой [16..32] символов.

8

Задать приоритет использования удаленного RADIUS-сервера (необязательно).

esrscs(config-radius-server)# priority <PRIORITY>

<PRIORITY> приоритет использования удаленного сервера, принимает значения [1..65535].

Чем ниже значение, тем приоритетнее сервер.

Значение по умолчанию: 1.

9

Задать интервал, по истечении которого маршрутизатор считаетконсольный сервер считает, что данный RADIUS-сервер недоступен (необязательно).

esrscs(config-radius-server)# timeout <SEC>

<SEC> период времени в секундах, принимает значения [1..30].

Значение по умолчанию: используется значение глобального таймера.

10

Задать IPv4/IPv6-адрес, который будет использоваться в качестве IPv4/IPv6-адреса источника в отправляемых RADIUS-пакетах.

esrscs(config-radius-server)# source-address { <ADDR>  | object-group <NETWORK_OBJ_GROUP_NAME> }

<ADDR> IP-адрес источника, задается в виде AAA.BBB.CCC.DDD, где каждая часть принимает значения [0..255];

<NETWORK_OBJ_GROUP_NAME> список адресов, которые будут использоваться в качестве source address.

11Задать интерфейс или туннель маршрутизатораЗадать интерфейс консольного сервера, IPv4/IPv6-адрес которого будет использоваться в качестве IPv4/IPv6-адреса источника в отправляемых в отправляемых RADIUS-пакетах.esrscs(config-radius-server)# source-interface { <IF> | <TUN> }<IF> 

<IF> — <IF> – имя интерфейса устройства, задаётся задается в виде, описанном в разделе разделе Типы и порядок именования интерфейсов маршрутизатора

<TUN> – имя туннеля устройства, задаётся в виде, описанном в разделе Типы и порядок именования туннелей маршрутизатора.

консольного сервера.

12

Задать список методов аутентификации

12

Задать список методов аутентификации по умолчанию (default)/с именем <NAME> и указать radius.

esrscs(config)# aaa authentication login { default | <NAME> } <METHOD 1>
 [ <METHOD 2> ] [ <METHOD 3> ] [ <METHOD 4> ]

<NAME> имя списка, задаётся задается строкой до 31 символа.

Способы аутентификации:

  • local аутентификация с помощью локальной базы пользователей;
  • tacacs аутентификация по списку TACACS-серверов;
  • radius аутентификация по списку RADIUS-серверов;ldap – аутентификация по списку LDAP-серверов.

13

Задать список методов аутентификации повышения привилегий пользователей по умолчанию (default)/с именем <NAME> и указать radius.


esrscs(config)# aaa authentication enable <NAME><METHOD 1>
 [ <METHOD 2> ] [ <METHOD 3> ] [ <METHOD 4> ] 

<NAME> имя списка строка до 31 символа;

  • default имя списка по умолчанию.

<METHOD> способы аутентификации:

  • enable аутентификация с помощью enable-паролей;
  • tacacs аутентификация по протоколу TACACS;
  • radius аутентификация по протоколу RADIUS;ldap – аутентификация по протоколу LDAP.

14

Указать способ перебора методов аутентификации в случае отказа (необязательно).

esrscs(config)# aaa authentication mode <MODE>

<MODE> способы перебора методов:

  • chain если сервер вернул FAIL, переход к следующему в цепочке методу аутентификации;
  • break если сервер вернул FAIL, прекратить попытки аутентификации. Если сервер недоступен, продолжить попытки аутентификации следующими в цепочке методами.

Значение по умолчанию: chain.

15

Сконфигурировать RADIUS в списке способов учета сессий пользователей (необязательно).

esrscs(config)# aaa accounting login start-stop <METHOD 1>
[ <METHOD 2> ]

<METHOD> способы учета:

  • tacacs учет сессий по протоколу TACACS;
  • radius учет сессий по протоколу RADIUS.

16

Перейти в режим конфигурирования соответствующего терминала.

esrscs(config)# line <TYPE>

<TYPE> тип консоли:

  • console локальная консоль;
  • telnet удаленная консоль;
  • ssh защищенная удаленная консоль.;
  • aux — консольный (последовательный) порт.



<NAME> — имя списка, задается

17

Активировать список аутентификации входа пользователей в систему.

esr(config-line-console)# login authentication <NAME>

<NAME> – имя списка, задаётся строкой до 31 символа. Создан на шаге 12.

18

Активировать список аутентификации повышения привилегий пользователей.

esrscs(config-line-console)# enable authentication <NAME>

<NAME> имя списка, задаётся задается строкой до 31 символа. Создан на шаге 13.

...

ШагОписаниеКомандаКлючи
1Задать глобальное значение кода DSCP для использования в IP-заголовках исходящих пакетов TACACS-сервера (необязательно).

esrscs(config)# tacacs-server dscp <DSCP>

<DSCP> значение кода DSCP, принимает значения в диапазоне [0..63].

Значение по умолчанию: 63.

2Задать глобальное значение интервала, по истечении которого маршрутизатор считаетконсольный сервер считает, что TACACS-сервер недоступен (необязательно).

esrscs(config)# tacacs-server timeout <SEC>

<SEC> период времени в секундах, принимает значения [1..30].

Значение по умолчанию: 3 секунды.

3Добавить TACACS-сервер в список используемых серверов и перейти в режим его конфигурирования.

esrscs(config)# tacacs -server host
{ <IP-ADDR> | <IPV6-ADDR> } [ vrf <VRF> ] 

 

<IP-ADDR> IP-адрес TACACS-сервера, задаётся задается в виде AAA.BBB.CCC.DDD, где каждая часть принимает значения [0..255]

<IPV6-ADDR> IPv6-адрес TACACS-сервера, задаётся задается в виде X:X:X:X::X, где каждая часть принимает значения в шестнадцатеричном формате [0..FFFF]<VRF> – имя экземпляра VRF, задается строкой до 31 символа.

4Задать описание конфигурируемого TACACS-сервера (необязательно).esrscs(config-tacacs-server)# description <description><description> описание TACACS-сервера, задается строкой до 255 символов.
5Указать количество неудачных попыток аутентификации для блокировки логина пользователя и время блокировки (необязательно)

esrscs(config-tacacs-server)# aaa authentication attempts max-fail <COUNT> <TIME>

<COUNT> количество неудачных попыток аутентификации, после которых произойдет блокировка пользователя, принимает значения [1..65535];

<TIME> интервал времени в минутах, на который будет заблокирован пользователь, принимает значения [1..65535].

Значение по умолчанию:

<COUNT> 5; <TIME> 300.

6Задать пароль для аутентификации на удаленном TACACS-сервере

esrscs(config-tacacs-server)# key ascii-text  { <TEXT> | encrypted <ENCRYPTED-TEXT> }

<TEXT> строка [8..16] ASCII-символов;

<ENCRYPTED-TEXT> зашифрованный пароль, размером [8..16] байт, задаётся строкой [16..32] символов.

7Задать номер порта для обмена данными c удаленным TACACS-сервером (необязательно).

esrscs(config-tacacs-server)# port <PORT>

<PORT> номер TCP-порта для обмена данными c удаленным сервером, принимает значения [1..65535].

Значение по умолчанию: 49 для TACACS-сервера.

8

Задать приоритет использования удаленного TACACS сервера (необязательно).

esrscs(config-tacacs-server)# priority <PRIORITY>

<PRIORITY> приоритет использования удаленного сервера, принимает значения [1..65535].

Чем ниже значение, тем приоритетнее сервер.

Значение по умолчанию: 1.

9

Задать IPv4/IPv6-адрес, который будет использоваться в качестве IP/IPv6-адреса источника в отправляемых TACACS-пакетах.

esrscs(config-tacacs-server)# source-address { <ADDR>  | object-group <NETWORK_OBJ_GROUP_NAME> }

<ADDR> IP-адрес источника, задается в виде AAA.BBB.CCC.DDD, где каждая часть принимает значения [0..255];

<NETWORK_OBJ_GROUP_NAME> список адресов, которые будут использоваться в качестве source address.

10Задать  интерфейс или туннель маршрутизатораконсольного сервера,  IPv4/IPv6-адрес которого будет использоваться в качестве IPv4/IPv6-адреса источника в отправляемых в отправляемых TACACS-пакетах.esrscs(config-tacacs-server)# source-interface  { <IF> | <TUN> }<IF> 

<IF> — <IF> – имя интерфейса устройства, задаётся в виде, описанном в разделе разделе Типы и порядок именования интерфейсов маршрутизатора

<TUN> – имя туннеля устройства, задаётся в виде, описанном в разделе Типы и порядок именования туннелей маршрутизатора.

консольного сервера.

1111Задать список методов аутентификации по умолчанию (default)/с именем <NAME> и указать tacacs.esrscs(config)# aaa authentication login { default | <NAME> } <METHOD 1>
 [ <METHOD 2> ] [ <METHOD 3> ] [ <METHOD 4> ]

<NAME> имя списка, задаётся задается строкой до 31 символа.

Способы аутентификации:

  • local аутентификация с помощью локальной базы пользователей;
  • tacacs аутентификация по списку TACACS-серверов;
  • radius аутентификация по списку RADIUS-серверов;ldap – аутентификация по списку LDAP-серверов.

12

Задать список методов аутентификации повышения привилегий пользователей по умолчанию (default)/с именем <NAME> и указать tacacs.


esrscs(config)# aaa authentication enable <NAME><METHOD 1>
[ <METHOD 2> ] [ <METHOD 3> ] [ <METHOD 4> ] 

<NAME> имя списка строка до 31 символа;

  • default имя списка по умолчанию.

<METHOD> способы аутентификации:

  • enable аутентификация с помощью enable-паролей;
  • tacacs аутентификация по протоколу TACACS;
  • radius аутентификация по протоколу RADIUS;ldap – аутентификация по протоколу LDAP.

13

Задать список методов авторизации команд, вводимых пользователем в систему по умолчанию (default)/с именем <NAME> и указать tacacs.


esrscs(config)# aaa authorization commands { default | <NAME> } <METHOD 1>[ <METHOD 2> ]

<NAME> имя списка, задаётся задается строкой до 31 символа.

Способы аутентификации:
local авторизация с помощью локальной базы пользователей;
tacacs авторизация по списку TACACS-серверов;.

14

Указать способ перебора методов аутентификации в случае отказа (необязательно).

esrscs(config)# aaa authentication mode <MODE>

<MODE> способы перебора методов:

  • chain если сервер вернул FAIL, переход к следующему в цепочке методу аутентификации;
  • break если сервер вернул FAIL, прекратить попытки аутентификации. Если сервер недоступен, продолжить попытки аутентификации следующими в цепочке методами.

Значение по умолчанию: chain.

15

Сконфигурировать список способов учета команд, введённых введенных в CLI (необязательно).

esrscs(config)# aaa accounting commands stop-only <METHOD>

<METHOD> способы учета:

    tacacs –  tacacs — учет введенных команд по протоколу TACACS.

16

Сконфигурировать tacacs в списке способов учета сессий пользователей (необязательно).

esrscs(config)# aaa accounting login start-stop <METHOD 1>
[ <METHOD 2> ]

<METHOD> способы учета:

  • tacacs учет сессий по протоколу TACACS;
  • radius учет сессий по протоколу RADIUS.
17

Перейти в режим конфигурирования соответствующего терминала.

esrscs(config)# line <TYPE>

<TYPE> тип консоли:

  • console локальная консоль;
  • telnet удаленная консоль;
  • ssh защищенная удаленная консоль;
  • aux — консольный (последовательный) порт.
18

Активировать список аутентификации входа пользователей в систему.

esrscs(config-line-console)# login authentication <NAME>

<NAME> имя списка, задаётся задается строкой до 31 символа. Создан на шаге 11.

19

Активировать список аутентификации повышения привилегий пользователей.

esrscs(config-line-console)# enable authentication <NAME>

<NAME> имя списка, задаётся задается строкой до 31 символа. Создан на шаге 12.

20

Активировать список авторизации команд вводимых пользователем в систему.

esrscs(config-line-console)# commands authorization <NAME>

<NAME> имя списка, задаётся задается строкой до 31 символа. Создан на шаге 13.

Пример настройки аутентификации по Telnet через RADIUS-сервер

Задача:

Настроить аутентификацию пользователей, подключающихся по Telnet, через RADIUS (192.1680.162.112/24).

Решение:

Настроим подключение к RADIUS-серверу и укажем ключ (password):

Блок кода
esr#scs# configure
esrscs(config)# radius-server host 192.1680.162.112
esrscs(config-radius-server)# key ascii-text encrypted 8CB5107EA7005AFF
esrscs(config-radius-server)# exit

Scroll Pagebreak

Создадим профиль аутентификации:

Блок кода
esrscs(config)# aaa authentication login log radius

Укажем режим аутентификации, используемый при подключении по Telnet-протоколу:

Блок кода
esrscs(config)# line telnet
esrscs(config-line-telnet)# login authentication log
esrscs(config-line-telnet)# exit
esrscs(config)# exit

Просмотреть информацию по настройкам подключения к RADIUS-серверу можно командой:

Блок кода
esr#scs# show aaa radius-servers

Посмотреть профили аутентификации можно командой:

Блок кода
esr#scs# show aaa authentication

Настройка привилегий команд

Настройка привилегий команд является гибким инструментом, который позволяет назначить набору команд минимально необходимый уровень пользовательских уровень пользовательских привилегий (1-15). В дальнейшем при создании пользователя можно задать уровень привилегий, определяя доступный ему доступный набор команд.

  • 1-9 уровни позволяют использовать все команды мониторинга (show …);
  • 10-14 уровни позволяют использовать все команды кроме команд перезагрузки устройства, управления пользователями и ряда других;
  • 15 уровень позволяет использовать все команды.

Scroll Pagebreak

Алгоритм настройки

Для изменения минимального уровня привилегий необходимого для выполнения команды CLI используется команда:

Блок кода
esrscs(config)# privilege <COMMAND-MODE> level <PRIV><COMMAND>

<COMMAND-MODE> командный режим;

<PRIV> необходимый уровень привилегий поддерева команд, принимает значение [1..15];

<COMMAND> поддерево команд, задается строкой до 255 символов.scroll-pagebreak

Пример настройки привилегий команд

...

Перевести все команды просмотра информации об интерфейсах на уровень привилегий 10, кроме команды «show interfaces bridges»port-channel». Команду «show interfaces bridges» перевести на уровень привилегий 3.

...

В режиме конфигурирования определим команды, разрешенные на использование с уровнем привилегий 10 и уровнем привилегий 3:

Блок кода
esrscs(config)# privilege root level 3 "show interfaces bridgeport-channel"
esrscs(config)# privilege root level 10 "show interfaces"

Настройка списков доступа (IP ACL)
Якорь
Настройка IP ACL
Настройка IP ACL

...

ШагОписаниеКомандаКлючи
1Создать список контроля доступа и перейти в режим его конфигурирования.

esrscs(config)# ip access-list extended <NAME>

<NAME> имя создаваемого списка контроля доступа, задаётся задается строкой до 31 символа.
2Указать описание конфигурируемого списка контроля доступа (необязательно).

esrscs(config-acl-ip)# description <DESCRIPTION>

<DESCRIPTION> описание списка контроля доступа, задаётся строкой до 255 символов.
3

Создать правило и перейти в режим его конфигурирования.

Правила обрабатываются маршрутизатором в сервером в порядке возрастания их номеров.

esrscs(config-acl-ip)# rule <ORDER>

<ORDER> номер правила, принимает значения [1...4094].
4Указать действие, которое должно быть применено для трафика, удовлетворяющего заданным критериям.

esrscs(config-acl-ip-rule)# action <ACT>

<ACT> назначаемое действие:

  • permit прохождение трафика разрешается;
  • deny прохождение трафика запрещается.
5Установить имя/номер протокола, для которого должно срабатывать правило (необязательно).

esrscs(config-acl-ip-rule)# match protocol <TYPE>

<TYPE> тип протокола, принимает значения: esp, icmp, icmp6, ah, eigrp, ospf, igmp, ipip, tcp, pim, udp, vrrp, rsvp, l2tp, gre. При указании значения «any» правило будет срабатывать для любых протоколов.

esrscs(config-acl-ip-rule)# match protocol-id <ID>

<ID> идентификационный номер IP-протокола, принимает значения [0x00-0xFF].

6

Установить IP-адреса отправителя, для которых должно срабатывать правило (необязательно).

esrscs(config-acl-ip-rule)# match source-address { <ADDR> <MASK> | any }

<ADDR> IP-адрес отправителя, задаётся задается в виде AAA.BBB.CCC.DDD, где каждая часть принимает значения [0..255];

<MASK> маска IP-адреса, задаётся задается в виде AAA.BBB.CCC.DDD, где каждая часть принимает значения [0..255]. Биты маски, установленные в 0, задают биты IP-адреса, исключаемые из сравнения при поиске.

При указании значения «any» правило будет срабатывать для любого IP-адреса отправителя/получателя.

7

Установить IP-адреса получателя, для которых должно срабатывать правило (необязательно).

esrscs(config-acl-ip-rule)# match destination-address { <ADDR> <MASK> | any }

8

Установить MAC-адреса отправителя, для которых должно срабатывать правило (необязательно).

esrscs(config-acl-ip-rule)# match source-mac <ADDR><WILDCARD>

<ADDR> МАС-адрес отправителя, задаётся задается в виде XX:XX:XX:XX:XX:XX, где каждая часть принимает значения [00..FF];

<WILDCARD> маска МАС-адреса, задаётся задается в виде XX:XX:XX:XX:XX:XX, где каждая часть принимает значения [00..FF]. Биты маски, установленные в 0, задают биты MAC-адреса, исключаемые из сравнения при поиске.

9

Установить MAC-адреса получателя, для которых должно срабатывать правило (необязательно).

esrscs(config-acl-ip-rule)# match destination-mac <ADDR><WILDCARD>

10

Установить номер TCP/UDP-порта отправителя, для которого должно срабатывать правило (если указан протокол).

esrscs(config-acl-ip-rule)# match source-port <TYPE> {<FROM-PORT> - <TO-PORT> | <PORT>}

<TYPE> – <TYPE> — тип аргумента, устанавливаемый в качестве порта:

  • port-range range — указать диапазон портов;
  • any установить в качестве порта любой порт.

<FROM-PORT> – PORT> — начальный порт диапазона;

<TO-PORT> – PORT> — конечный порт диапазона;

<PORT> указание единичного порта.

11

Установить номер TCP/UDP-порта получателя, для которого должно срабатывать правило (если указан протокол).

esrscs(config-acl-ip-rule)# match destination-port <TYPE> {<FROM-PORT> - <TO-PORT> | <PORT>}

12

Установить значение 802.1p приоритета, для которого должно срабатывать правило (необязательно).

esrscs(config-acl-ip-rule)# match сos <COS>

<COS> значение 802.1p приоритета, принимает значения [0..7].

13

Установить значение кода DSCP, для которого должно срабатывать правило (необязательно). Невозможно использовать совместно с IP Precedence.

esrscs(config-acl-ip-rule)# match dscp <DSCP>

<DSCP> значение кода DSCP, принимает значения [0..63].

14

Установить значение кода IP Precedence, для которого должно срабатывать правило (необязательно). Невозможно использовать совместно с DSCP.

esrscs(config-acl-ip-rule)# match ip-precedence <IPP>

<IPP> значение кода IP Precedence, принимает значения [0..7].

15

Установить значение идентификационного номера VLAN, для которого должно срабатывать правило (необязательно).

esrscs(config-acl-ip-rule)# match vlan <VID>

<VID> идентификационный номер VLAN, принимает значения [1..4094].

16

Активировать правило.

esrscs(config-acl-ip-rule)# enable


17

Указать список контроля доступа к конфигурируемому интерфейсу для фильтрации входящего трафика.

esrscs(config-if-gi)# service-acl ip input <NAME>

<NAME> имя списка контроля доступа, задаётся задается строкой до 31 символа.

18Указать список контроля доступа к конфигурируемому интерфейсу для фильтрации исходящего трафика.esrscs(config-if-gi)# service-acl ip output <NAME><NAME> имя списка контроля доступа, задаётся задается строкой до 31 символа.

Также списки доступа могут использоваться для организации политик QoS.

Пример настройки списка доступа

...

Разрешить прохождения трафика только из подсети 192.168.20.0/24.scroll-pagebreak

Решение:

Настроим список доступа для фильтрации по подсетям:

Блок кода
esr#scs# configure
esrscs(config)# ip access-list extended white
esrscs(config-acl-ip)# rule 1
esrscs(config-acl-ip-rule)# action permit permit 
esrscs(config-acl-ip-rule)# match source-address 192.168.20.0 255.255.255.0
esrscs(config-acl-ip-rule)# enable enable 
esrscs(config-acl-ip-rule)# exit
esrscs(config-acl-ip)# exit

Применим список доступа на интерфейс Gi1/0/19 1 для входящего трафика:

Блок кода
esrscs(config)# interface gigabitethernet 1/0/191
esrscs(config-if-gi)# service-acl ip input white

Просмотреть детальную информацию о списке доступа возможно через команду:

Блок кода
esr#scs# show ip access-list white

...

ШагОписаниеКомандаКлючи
1Создать список контроля доступа и перейти в режим его конфигурирования.

esrscs(config)# mac access-list extended <NAME>

<NAME> имя создаваемого списка контроля доступа, задаётся строкой до 31 символа.
2Указать описание конфигурируемого списка контроля доступа (необязательно).

esrscs(config-acl-mac)# description <DESCRIPTION>

<DESCRIPTION> описание списка контроля доступа, задаётся строкой до 255 символов.
3

Создать правило и перейти в режим его конфигурирования.

Правила обрабатываются маршрутизатором в сервером в порядке возрастания их номеров.

esrscs(config-acl-mac)# rule <ORDER>

<ORDER> номер правила, принимает значения [1...4094].
4Указать действие, которое должно быть применено для трафика, удовлетворяющего заданным критериям.

esrscs(config-acl-mac-rule)# action <ACT>

<ACT> назначаемое действие:

  • permit прохождение трафика разрешается;
  • deny прохождение трафика запрещается.
5Установить имя/номер протокола, для которого должно срабатывать правило (необязательно).

esrscs(config-acl-mac-rule)# match protocol <TYPE>

<TYPE> тип протокола, принимает значения: arp, ip, ipv6, lacp, lldp, cdp, stp, vtp. При указании значения «any» правило будет срабатывать для любых протоколов.

esrscs(config-acl-mac-rule)# match ethertype <ID>

<ID> идентификационный номер инкапсулированного протокола, принимает значения [0x0600-0xFFFF].

8

Установить MAC-адреса отправителя, для которых должно срабатывать правило (необязательно).

esrscs(config-acl-mac-rule)# match source-mac <ADDR><WILDCARD>

<ADDR> МАС-адрес отправителя, задаётся задается в виде XX:XX:XX:XX:XX:XX, где каждая часть принимает значения [00..FF];

<WILDCARD> маска МАС-адреса, задаётся задается в виде XX:XX:XX:XX:XX:XX, где каждая часть принимает значения [00..FF]. Биты маски, установленные в 0, задают биты MAC-адреса, исключаемые из сравнения при поиске.

9

Установить MAC-адреса получателя, для которых должно срабатывать правило (необязательно).

esrscs(config-acl-mac-rule)# match destination-mac <ADDR><WILDCARD>

12

Установить значение 802.1p приоритета, для которого должно срабатывать правило (необязательно).

esrscs(config-acl-mac-rule)# match сos <COS>

<COS> значение 802.1p приоритета, принимает значения [0..7].

15

Установить значение идентификационного номера VLAN, для которого должно срабатывать правило (необязательно).

esrscs(config-acl-mac-rule)# match vlan <VID>

<VID> идентификационный номер VLAN, принимает значения [1..4094].

16

Активировать правило.

esrscs(config-acl-mac-rule)# enable


17

Указать список контроля доступа к конфигурируемому интерфейсу для фильтрации входящего трафика.

esrscs(config-if-gi)# service-acl mac input <NAME>

<NAME> имя списка контроля доступа, задаётся задается строкой до 31 символа.

18Указать список контроля доступа к конфигурируемому интерфейсу для фильтрации исходящего трафика.esrscs(config-if-gi)# service-acl mac output <NAME><NAME> имя списка контроля доступа, задаётся задается строкой до 31 символа.

Scroll Pagebreak

Пример настройки списка доступа

Задача:

Разрешить прохождение ARP запросов  только c VLAN 343.scroll-pagebreakЗапретить сетевую активность с клиентом, имеющим mac-address  18:d6:c7:01:31:4d.

Решение:

Настроим список доступа для фильтрации по протоколу и vlanзаданному критерию:

Блок кода
esr#scs# configure
esrscs(config)# mac access-list extended white
esrscs(config-acl-mac)# rule 1
esrscs(config-acl-mac-rule)# action permit deny 
esrscs(config-acl-mac-rule)# match protocol arp
esr(config-aclsource-mac-rule)# match vlan 343
esr 18:d6:c7:01:31:4d
scs(config-acl-mac-rule)# enable   
esrscs(config-acl-mac-rule)# exit
esrscs(config-acl)# exit

Применим список доступа на интерфейс Gi1/0/19 1 для входящего трафика:

Блок кода
esrscs(config)# interface gigabitethernet 1/0/191
esrscs(config-if-gi)# service-acl mac input white

Просмотреть детальную информацию о списке доступа возможно через команду:

Блок кода
esr#scs# show mac access-list white