Дерево страниц
Перейти к концу метаданных
Переход к началу метаданных

aaa accounting commands

Данной командой конфигурируется список способов учета команд, введённых в CLI.

Использование отрицательной формы команды (no) устанавливает значение по умолчанию.

Синтаксис
aaa accounting commands stop-only <METHOD>
no aaa accounting commands stop-only
Параметры

<METHOD> – способы учета:

  • tacacs – учет введенных команд по протоколу TACACS.
Значение по умолчанию

Учёт не ведется.

Необходимый уровень привилегий

15

Командный режим

CONFIG

Пример
esr(config)# aaa accounting commands stop-only tacacs

aaa accounting login

Данной командой конфигурируется список способов учета сессий пользователей. Ведение учета активируется и прекращается, когда пользователь входит и отключается от системы, что соответствует значениям «start» и «stop» в сообщениях протоколов RADIUS и TACACS.

Использование отрицательной формы команды (no) устанавливает значение по умолчанию.

Синтаксис
aaa accounting login start-stop <METHOD 1> [ <METHOD 2> ]
no aaa accounting login start-stop
Параметры

<METHOD> – способы учета:

  • tacacs – учет сессий по протоколу TACACS;
  • radius – учет сессий по протоколу RADIUS.
Значение по умолчанию

Учет сессий ведется в локальный журнал.

Необходимый уровень привилегий

15

Командный режим

CONFIG

Пример
esr(config)# aaa accounting login start-stop tacacs

aaa authentication attempts max-fail

Данной командой устанавливается максимальное количество неудачных попыток аутентификации до блокировки пользователя и время, на которое происходит блокировка.

Использование отрицательной формы команды (no), значения количества попыток и период блокировки устанавливает по умолчанию.

Синтаксис
aaa authentication attempts max-fail <COUNT> <TIME>
no aaa authentication attempts max-fail
Параметры

<COUNT> – количество неудачных попыток аутентификации, после которых произойдет блокировка пользователя, принимает значения [1..65535];

<TIME> – интервал времени в секундах, на который будет заблокирован пользователь, принимает значения [1..65535].

Значение по умолчанию

Количество неудачных попыток – 5.

Период блокировки – 300.

Необходимый уровень привилегий

15

Командный режим

CONFIG

Пример
esr(config)# aaa authentication attempts max-fail 5 30

aaa authentication enable

Данной командой создаются списки способов аутентификации повышения привилегий пользователей. При неудачной попытке аутентификации по одному способу происходит попытка аутентификации по следующему способу в списке.

В конфигурации по умолчанию существует список с именем «default». Список «default» содержит один способ аутентификации – «enable». Чтобы использовать список для аутентификации повышения привилегий пользователей, необходимо выполнить его привязку командой, описанной в разделе enable authentication.

Использование отрицательной формы команды (no) удаляет список способов аутентификации.

Синтаксис
aaa authentication enable <NAME> <METHOD 1> [ <METHOD 2> ] [ <METHOD 3> ] [ <METHOD 4> ]
no aaa authentication enable <NAME>
Параметры

<NAME> – имя списка: строка до 31 символа;

  • default – имя списка «default».

<METHOD> – способы аутентификации:

  • enable – аутентификация с помощью enable-паролей;
  • tacacs – аутентификация по протоколу TACACS;
  • radius – аутентификация по протоколу RADIUS;
  • ldap – аутентификация по протоколу LDAP.
Необходимый уровень привилегий

15

Командный режим

CONFIG

Пример
esr(config)# aaa authentication enable enable-test tacacs enable

aaa authentication login

Данной командой создаются списки способов аутентификации входа пользователей в систему. При неудачной попытке аутентификации по одному способу происходит попытка аутентификации по следующему в списке.

В конфигурации по умолчанию существует список с именем «default», данный список содержит один способ аутентификации – «local». Чтобы использовать список для аутентификации входа пользователей, необходимо выполнить его активацию командой, описанной в разделе login authentication.

Использование отрицательной формы команды (no) удаляет список способов аутентификации.

Синтаксис
aaa authentication login { default | <NAME> } <METHOD 1> [ <METHOD 2> ] [ <METHOD 3> ] 
[ <METHOD 4> ]
no aaa authentication login { default | <NAME> } 
Параметры

<NAME> – имя списка, задаётся строкой до 31 символа.

Способы аутентификации:
  • local – аутентификация с помощью локальной базы пользователей;
  • tacacs – аутентификация по списку TACACS-серверов;
  • radius – аутентификация по списку RADIUS-серверов;
  • ldap – аутентификация по списку LDAP-серверов.
Необходимый уровень привилегий

15

Командный режим

CONFIG

Пример
esr(config)# aaa authentication login login-test tacacs local

aaa authentication mode

Данной командой определяется режим работы со списками методов аутентификации.

Использование отрицательной формы команды (no) удаляет список способов аутентификации.

Синтаксис
[no] aaa authentication mode { break | chain }
Параметры

break – при аутентификации будут использоваться последующие методы в случае недоступности более приоритетного;

chain – при аутентификации будут использоваться последующие методы в случае получения отказа от более приоритетного.

Значение по умолчанию

chain

Необходимый уровень привилегий

15

Командный режим

CONFIG

Пример
esr(config)# aaa authentication mode break

aaa authorization commands

Данной командой создаются списки способов авторизации команд, вводимых пользователем в систему. При неудачной попытке авторизации по одному способу происходит попытка аутентификации по следующему способу в списке.

В конфигурации по умолчанию существует список с именем «default», данный список содержит один способ авторизации – «local». Чтобы использовать список для авторизации команд вводимых пользователем в систему, необходимо выполнить его активацию командой, описанной в разделе commands authorization.

Использование отрицательной формы команды (no) удаляет список способов авторизации.

Синтаксис
aaa authorization commands { default | <NAME> } <METHOD 1> [ <METHOD 2> ]
no aaa authorization commands { default | <NAME> } 
Параметры

<NAME> – имя списка, задаётся строкой до 31 символа.

Способы аутентификации:
  • local – авторизация с помощью локальной базы пользователей;
  • tacacs – авторизация по списку TACACS-серверов;
Необходимый уровень привилегий

15

Командный режим

CONFIG

Пример
esr(config)# aaa authorization commands

aaa authorization control-commands enable

Данной командой включается авторизация контрольных команд (help, logout, end, exit) на TACACS-сервере. В конфигурации по умолчанию эта функция отключена.

Использование отрицательной формы команды (no) возвращает состояние к дефолтному.

Синтаксис
[ no ] aaa authorization control-commands enable
Значение по умолчанию

no aaa authorization control-commands enable

Необходимый уровень привилегий

15

Командный режим

CONFIG

Пример
esr(config)# aaa authorization control-commands enable

aaa authorization mode

Данной командой определяется режим работы со списками методов авторизации.

Использование отрицательной формы команды (no) удаляет список способов авторизации.

Синтаксис
[no] aaa authorization mode { break | chain }
Параметры

break – при аутентификации будут использоваться последующие методы в случае недоступности более приоритетного;

chain – при аутентификации будут использоваться последующие методы в случае получения отказа от более приоритетного.

Значение по умолчанию

chain

Необходимый уровень привилегий

15

Командный режим

CONFIG

Пример
esr(config)# aaa authorization mode break

aaa das-profile

Данная команда используется для добавления профиля серверов динамической авторизации (DAS) и перехода в командный режим DAS SERVER PROFILE.

Использование отрицательной формы команды (no) удаляет заданный профиль серверов динамической авторизации (DAS).

Синтаксис
[no] aaa das-profile <NAME>
Параметры

<NAME> – имя профиля серверов динамической авторизации (DAS), задается строкой до 31 символа.

Необходимый уровень привилегий

15

Командный режим

CONFIG

Пример
esr(config)# aaa das-profile profile1
esr(config-aaa-das-profile)#

aaa disable

Данной командой отключает доступ на маршрутизатор через консольный интерфейс.

При использовании отрицательной формы команды (no) доступ на маршрутизатор через консольный интерфейс включается.

Синтаксис
[no] aaa disable
Параметры

Команда не содержит параметров.

Значение по умолчанию

Доступ на маршрутизатор через консольный интерфейс включен.

Необходимый уровень привилегий

10

Командный режим

CONFIG-LINE-CONSOLE

Пример
esr(config-line-console)# aaa disable

aaa radius-profile

Данная команда используется для добавления профиля RADIUS-серверов и перехода в командный режим RADIUS SERVER PROFILE.

Использование отрицательной формы команды (no) удаляет заданный профиль RADIUS-серверов.

Синтаксис
[no] aaa radius-profile <NAME>
Параметры

<NAME> – имя профиля RADIUS-серверов, задается строкой до 31 символа.

Необходимый уровень привилегий

15

Командный режим

CONFIG

Пример
esr(config)# aaa radius-profile profile1
esr(config-aaa-radius-profile)#

acct-port

Данной командой задаётся номер порта для обмена данными c удаленным RADIUS-сервером при выполнении аккаунтинга.

Использование отрицательной формы команды (no) устанавливает значение по умолчанию.

Синтаксис
acct-port <PORT>
no acct-port
Параметры

<PORT> – номер UDP-порта для обмена данными c удаленным сервером, принимает значения [1..65535].

Значение по умолчанию

1813

Необходимый уровень привилегий

15

Командный режим

CONFIG-RADIUS-SERVER

Пример
esr(config-radius-server)# acct-port 4444

auth-port

Данной командой задаётся номер порта для обмена данными c удаленным RADIUS-сервером при выполнении аутентификации и авторизации.

Использование отрицательной формы команды (no) устанавливает значение по умолчанию.

Синтаксис
auth-port <PORT>
no auth-port
Параметры

<PORT> – номер UDP-порта для обмена данными c удаленным сервером, принимает значения [1..65535].

Значение по умолчанию

1812

Необходимый уровень привилегий

15

Командный режим

CONFIG-RADIUS-SERVER

Пример
esr(config-radius-server)# auth-port 4444

clear users blocked

Данной командой удаляется информация о неправильных попытках аутентификации различных пользователей.

Синтаксис
clear users blocked <NAME> 
Параметры

<NAME> – имя пользователя, для которого необходимо очистить статистику неправильных попытках аутентификации, задаётся строкой до 31 символа.

Без указания имени пользователя очищается вся таблица неправильных попыток аутентификации.

Необходимый уровень привилегий

15

Командный режим

ROOT

Пример
esr# clear users blocked

clear user-session

Данной командой закрывается рабочая сессия пользователя CLI.

Синтаксис
clear user-session [ <USERNAME> | <SESSION> ]
Параметры

<NAME> – имя пользователя сессию которого необходимо закрыть, задаётся строкой до 31 символа.

<SESSION> – номер терминальной сессии которую необходимо закрыть, задаётся число в диапазоне [1..10].

Необходимый уровень привилегий

15

Командный режим

ROOT

Пример
esr# clear users-session

clients

Данной командой определяется список клиентов динамической авторизации (DAC), на запросы которых будет отвечать сервер динамической авторизации (DAS).

Использование отрицательной формы команды (no) удаляет список клиентов динамической авторизации (DAC).

Синтаксис
clients object-group <NAME>
no clients
Параметры

<NAME> – имя профиля IP-адресов, содержащий адреса клиентов динамической авторизации, задаётся строкой до 31 символа.

Необходимый уровень привилегий

15

Командный режим

CONFIG-DAS-SERVER

Пример
esr(config-das-server)# clients object-group pcrf

commands authorization

Данной командой осуществляется активация списка авторизации команд вводимых пользователем в систему.

В конфигурации по умолчанию активным является список с именем «default», данный список содержит один способ авторизации – «local».

Использование отрицательной формы команды (no) делает список с именем «default» активным.

Синтаксис
commands authorization <NAME>
no commands authorization
Параметры

<NAME> – имя списка, задаётся строкой до 31 символа.

Значение по умолчанию

default

Необходимый уровень привилегий

15

Командный режим

CONFIG-LINE-CONSOLE

CONFIG-LINE-TELNET

CONFIG-LINE-SSH

Пример
esr(config-line-ssh)# commands authorization authorization-test

das-server 

Данная команда используется для добавления сервера динамической авторизации (DAS) и перехода в командный режим DAS SERVER. Сервера динамической авторизации (DAS) принимают RADIUS CoA запросы от клиентов динамической авторизации (DAC), например, отключение или повторный запрос списка сервисов пользователя.

Использование отрицательной формы команды (no) удаляет заданный сервер динамической авторизации (DAS).

Синтаксис

[no] das-server <NAME>

Параметры

<NAME> – имя сервера динамической авторизации (DAS), задается строкой до 31 символа.

Необходимый уровень привилегий

15

Командный режим

CONFIG

Пример
esr(config)# das-server main
esr(config-das-server)#

das-server

Данная команда используется для добавления сервера динамической авторизации (DAS) в конфигурируемый профиль серверов динамической авторизации.

Использование отрицательной формы команды (no) удаляет заданный сервер динамической авторизации (DAS).

Синтаксис
[no] das-server <NAME>
Параметры

<NAME> – имя сервера динамической авторизации (DAS), задается строкой до 31 символа.

Необходимый уровень привилегий

15

Командный режим

CONFIG-AAA-DAS-PROFILE

Пример
esr(config)# das-server mainesr(config-das-server)#

dead-interval

Данной командой задаётся интервал, в течении которого на RADIUS-сервер не будут отправляться пакеты. В данное состояние RADIUS-сервер переводится по истечении таймаута ожидания ответа на запрос последнего допустимого повтора (см. раздел radius-server retransmit).

Использование отрицательной формы команды (no) устанавливает значение по умолчанию.

Синтаксис
dead-interval <SEC>
no dead-interval
Параметры

<SEC> – период времени в секундах, принимает значения [0..3600].

Значение по умолчанию

120

Необходимый уровень привилегий

10

Командный режим

CONFIG-RADIUS-SERVER

Пример
esr(config-radius-server)# dead-interval 600

description

Команда используется для изменения описания профиля серверов динамической авторизации (DAS) или профиля RADIUS-серверов.

Использование отрицательной формы команды (no) удаляет описание профиля.

Синтаксис
description <DESCRIPTION>
no description
Параметры

<DESCRIPTION> – описание профиля, задаётся строкой до 255 символов.

Необходимый уровень привилегий

10

Командный режим

CONFIG-DAS-SERVER-PROFILE

CONFIG-RADIUS-SERVER-PROFILE

Пример

Установить описание для профиля IP-адресов:

esr(config-aaa-das-profile)# description "Main profile"

disable

Данной командой производится понижение уровня привилегий пользователя до первоначальных.

Синтаксис
disable
Параметры

Команда не содержит параметров.

Необходимый уровень привилегий

2

Командный режим

ROOT

Пример
esr# disable
esr>

enable

Данной командой производится повышение уровня привилегий пользователя. Способы аутентификации повышения привилегий пользователей задаются с помощью команды, описанной в разделе aaa authentication attempts max-fail.

По умолчанию в конфигурации установлен метод аутентификации по паролю «enable». При этом пароли не заданы, то есть любой системный пользователь может получить 15 необходимый уровень привилегий.

Для аутентификации повышения привилегий по протоколам TACACS/RADIUS/LDAP на сервере должны быть созданы пользователи $enab<PRIV>$, где <PRIV> – необходимый уровень привилегий пользователя, который должен быть аутентифицирован.

Синтаксис

enable [ <PRIV> ]

Параметры

<PRIV> – необходимый уровень привилегий, принимает значение [2..15].

Значение по умолчанию

15

Необходимый уровень привилегий

1

Командный режим

ROOT

Пример
esr> enable 10
esr#

enable authentication

Данной командой осуществляется активация списка аутентификации повышения привилегий пользователей, который будет использоваться в конфигурируемом терминале.

В конфигурации по умолчанию активным является список с именем «default», данный список содержит один способ аутентификации – «enable».

Использование отрицательной формы команды (no) делает список с именем «default» активным.

Синтаксис
enable authentication <NAME>
no enable authentication
Параметры

<NAME> – имя списка, задаётся строкой до 31 символа.

Значение по умолчанию

default

Необходимый уровень привилегий

15

Командный режим

CONFIG-LINE-CONSOLE

CONFIG-LINE-TELNET

CONFIG-LINE-SSH

Пример
esr(config-line-console)# enable authentication enable-test

enable password

Данной командой устанавливается пароль, который будет запрашиваться при повышении уровня привилегий пользователя.

По умолчанию в конфигурации пароли не заданы, то есть любой системный пользователь может получить 15 необходимый уровень привилегий.

Использование отрицательной формы команды (no) удаляет пароль из системы.

Синтаксис
enable password { <CLEAR-TEXT> | encrypted <HASH_SHA512> } [ privilege <PRIV> ]
no enable password [ privilege <PRIV> ]
Параметры

<CLEAR-TEXT> – пароль, задаётся строкой [1 .. 32] символов, принимает значения [0-9a-fA-F];

<HASH_SHA512> – хеш пароля по алгоритму sha512, задаётся строкой из 110 символов;

<PRIV> – необходимый уровень привилегий, принимает значение [2..15], значение по умолчанию 15.

Необходимый уровень привилегий

15

Командный режим

CONFIG

Пример
esr(config)# enable password 12345678 privilege 10

exec-timeout

Данной командой задаётся интервал, по истечении которого будет разрываться бездействующая сессия.

Использование отрицательной формы команды (no) устанавливает значение по умолчанию.

Синтаксис
exec-timeout <SEC>
no exec-timeout
Параметры

<SEC> – период времени в минутах, принимает значения [1..65535].

Значение по умолчанию

30 минут

Необходимый уровень привилегий

15

Командный режим

CONFIG-LINE-CONSOLE

CONFIG-LINE-SSH

CONFIG-LINE-TELNET

CONFIG-LINE-AUX 1

Пример
esr(config-line-ssh)# exec-timeout 600

1 Только для ESR-21.

ip sftp enable

Данной командой на маршрутизаторе включается доступ по sftp для конфигурируемого пользователя.

При использовании отрицательной формы команды (no) отключает доступ по sftp для конфигурируемого пользователя.

При активации данной команды у пользователя пропадает доступ к CLI устройства.
Синтаксис
[no] ip sftp enable
Параметры

Отсутствуют

Значение по умолчанию

Выключено

Необходимый уровень привилегий

10

Командный режим

CONFIG-USER

Пример
esr(config-user)# ip sftp enable

key

Данной командой задаётся пароль для аутентификации на удаленном сервере.

Использование отрицательной формы команды (no) удаляет заданный пароль для аутентификации на удаленном сервере.

Синтаксис
key ascii-text { <TEXT> | encrypted <ENCRYPTED-TEXT> }
no key
Параметры

<TEXT> – строка [8..16] ASCII-символов (для TACACS-сервера – [1..16] ASCII-символов);

<ENCRYPTED-TEXT> – зашифрованный пароль, размером [8..16] байт, задаётся строкой [16..32] символов (для TACACS-сервера – до 120 символов).

Необходимый уровень привилегий

15

Командный режим

CONFIG-TACACS-SERVER

CONFIG-RADIUS-SERVER

CONFIG-DAS-SERVER

Пример
esr(config-tacacs-server)# key ascii-text 12345678

ldap-server base-dn

Данной командой задаётся базовый DN (Distinguished name), который будет использоваться при поиске пользователей.

Использование отрицательной формы команды (no) удаляет заданный базовый DN.

Синтаксис
ldap-server base-dn <NAME>
no ldap-server base-dn
Параметры

<NAME> – базовый DN, задается строкой до 255 символов.

Необходимый уровень привилегий

15

Командный режим

CONFIG

Пример
esr(config)# ldap-server base-dn “dc=example,dc=com”

ldap-server bind authenticate root-dn

Данной командой задаётся DN (Distinguished name) пользователя с правами администратора, под которым будет происходить авторизация на LDAP-сервере при поиске пользователей.

Использование отрицательной формы команды (no) удаляет заданный DN пользователя.

Синтаксис
ldap-server bind authenticate root-dn <NAME>
no bind authenticate root-dn
Параметры

<NAME> – DN пользователя с правами администратора, задается строкой до 255 символов.

Необходимый уровень привилегий

15

Командный режим

CONFIG

Пример
esr(config)# ldap-server bind authenticate root-dn “cn=admin,dc=example,dc=com”

ldap-server bind authenticate root-password

Данной командой задаётся пароль пользователя с правами администратора, под которым будет происходить авторизация на LDAP-сервере при поиске пользователей.

Использование отрицательной формы команды (no) удаляет заданный пароль пользователя.

Синтаксис
ldap-server bind authenticate root-password ascii-text { <TEXT> | encrypted <ENCRYPTED-TEXT> }
no bind authenticate root-password
Параметры

<TEXT> – строка [8..16] ASCII-символов;

<ENCRYPTED-TEXT> – зашифрованный пароль, размером [8..16] байт, задаётся строкой [16..32] символов.

Необходимый уровень привилегий

15

Командный режим

CONFIG

Пример
esr(config)# ldap-server bind authenticate root-password ascii-text 12345678

ldap-server bind timeout

Данной командой задаётся интервал, по истечении которого устройство считает, что LDAP-сервер недоступен.

Использование отрицательной формы команды (no) устанавливает значение по умолчанию.

Синтаксис
ldap-server bind timeout <SEC>
no ldap-server bind timeout
Параметры

<SEC> – период времени в секундах, принимает значения [1..30].

Значение по умолчанию

3 секунды

Необходимый уровень привилегий

15

Командный режим

CONFIG

Пример
esr(config)# ldap-server bind timeout 5

ldap-server dscp

Команда задаёт значение кода DSCP для использования в IP-заголовке исходящих пакетов LDAP-сервера.

Использование отрицательной формы команды (no) устанавливает значение DSCP по умолчанию.

Синтаксис
ldap-server dscp <DSCP>
no ldap-server dscp
Параметры

<DSCP> – значение кода DSCP, принимает значения в диапазоне [0..63].

Значение по умолчанию

63

Необходимый уровень привилегий

10

Командный режим

CONFIG

Пример
esr(config)# ldap-server dscp 40

ldap-server host

Данная команда используется для добавления LDAP-сервера в список используемых серверов и перехода в командный режим LDAP SERVER.

Использование отрицательной формы команды (no) удаляет заданный LDAP-сервер.

Синтаксис
 [no] ldap-server host { <ADDR> | <IPV6-ADDR> | <LDAP-HOST-NAME> } [ vrf <VRF> ] 
Параметры

<VRF> – имя экземпляра VRF, задается строкой до 31 символа.

<ADDR> – IP-адрес LDAP-сервера, задаётся в виде AAA.BBB.CCC.DDD, где каждая часть принимает значения [0..255];

<IPV6-ADDR> – IPv6-адрес LDAP-сервера, задаётся в виде X:X:X:X::X, где каждая часть принимает значения в шестнадцатеричном формате [0..FFFF].

<LDAP-HOST-NAME> – DNS-имя LDAP-сервера, задаётся строкой до 31 символа. Для корректного сопоставления DNS-имени хоста с IP-адресом на маршрутизаторе должна быть запущена и настроена функция domain lookup enable.

Необходимый уровень привилегий

15

Командный режим

CONFIG

Пример
esr(config)# ldap-server host 10.100.100.1
esr(config-ldap-server)#

ldap-server naming-attribute

Данной командой задаётся имя атрибута объекта, со значением которого идет сравнение имени искомого пользователя на LDAP-сервере.

Использование отрицательной формы команды (no) устанавливает значение по умолчанию.

Синтаксис
ldap-server naming-attribute <NAME>
no ldap-server naming-attribute
Параметры

<NAME> – имя атрибута объекта, задаётся строкой до 127 символов.

Значение по умолчанию

uid

Необходимый уровень привилегий

15

Командный режим

CONFIG

Пример
esr(config)# ldap-server naming-attribute displayName

ldap-server privilege-level-attribute

Данной командой задаётся имя атрибута объекта, значение которого будет определять начальные привилегии пользователя на устройстве. Атрибут должен принимать значения [1..15]. Если указанный атрибут отсутствует или содержит недопустимое значение, то начальные привилегии пользователя будут соответствовать привилегиям пользователя «remote».

Использование отрицательной формы команды (no) устанавливает значение по умолчанию.

Синтаксис
ldap-server privilege-level-attribute <NAME>
no ldap-server privilege-level-attribute
Параметры

<NAME> – имя атрибута объекта, задаётся строкой до 127 символов.

Значение по умолчанию

priv-lvl

Необходимый уровень привилегий

15

Командный режим

CONFIG

Пример
esr(config)# ldap-server privilege-level-attribute title

ldap-server search filter user-object-class

Данной командой задаётся имя класса объектов, среди которых необходимо выполнять поиск пользователей на LDAP-сервере.

Использование отрицательной формы команды (no) устанавливает значение по умолчанию.

Синтаксис
ldap-server search filter user-object-class <NAME>
no ldap-server search filter user-object-class
Параметры

<NAME> – имя класса объектов, задаётся строкой до 127 символов.

Значение по умолчанию

posixAccount

Необходимый уровень привилегий

15

Командный режим

CONFIG

Пример
esr(config)# ldap-server search filter user-object-class shadowAccount

ldap-server search scope

Данной командой задаётся область поиска пользователей в дереве LDAP-сервера.

Использование отрицательной формы команды (no) устанавливает значение по умолчанию.

Синтаксис
ldap-server search scope <SCOPE>
no ldap-server search scope
Параметры

<SCOPE> – область поиска пользователей на LDAP-сервере, принимает следующие значения:

  • onelevel – выполнять поиск в объектах на следующем уровне после базового DN в дереве LDAP-сервера;
  • subtree – выполнять поиск во всех объектах поддерева базового DN в дереве LDAP-сервера.
Значение по умолчанию

subtree

Необходимый уровень привилегий

15

Командный режим

CONFIG

Пример
esr(config)# ldap-server search scope onelevel

ldap-server search timeout

Данной командой задаётся интервал, по истечении которого устройство считает, что LDAP-сервер не нашел записей пользователей, подходящих под условие поиска.

Использование отрицательной формы команды (no) устанавливает значение по умолчанию.

Синтаксис
ldap-server search timeout <SEC>
no ldap-server search timeout
Параметры

<SEC> – период времени в секундах, принимает значения [0..30].

Значение по умолчанию

0 – устройство ожидает завершения поиска и получения ответа от LDAP-сервера.

Необходимый уровень привилегий

15

Командный режим

CONFIG

Пример
esr(config)# ldap-server search timeout 10

ldap-server ssl crypto 

Данной командой указывается сертификат, который будет использоваться для установления SSL-соединения с LDAP-сервером.

Использование отрицательной формы команды (no) удаляет из конфигурации сертификат для установления SSL-соединения с LDAP-сервером.

Синтаксис
ldap-server ssl crypto <FILE-NAME> 
no ldap-server ssl crypto
Параметры

Отсутствуют.

Значение по умолчанию

Сертификат не указан.

Необходимый уровень привилегий

15

Командный режим

CONFIG

Пример
esr(config)# ldap-server ssl crypto ldap-ssl.crt

ldap-server ssl check-peer disable

Данной командой отключается верификация LDAP-сервера по сертификату.

Использование отрицательной формы команды (no) включает верификацию LDAP-сервера по сертификату.

Синтаксис
[no] ldap-server ssl check-peer disable
Параметры

Отсутствуют.

Значение по умолчанию

Отключено.

Необходимый уровень привилегий

15

Командный режим

CONFIG

Пример
esr(config)# ldap-server ssl check-peer disable

ldap-server ssl enable

Данной командой включается использование SSL-соединения для LDAP-подключения (LDAP over SSL).

Использование отрицательной формы команды (no) отключается использование SSL-соединения для LDAP-подключения (LDAP over SSL).

Синтаксис
[no] ldap-server ssl enable 
Параметры

Отсутствуют.

Значение по умолчанию

Отключено.

Необходимый уровень привилегий

15

Командный режим

CONFIG

Пример
esr(config)# ldap-server ssl enable  

line

Данной командой осуществляется переход в режим конфигурирования соответствующего терминала: локальная консоль, удаленная консоль (Telnet), удаленная защищенная консоль (SSH).

Использование отрицательной формы команды (no) устанавливает параметры терминала по умолчанию. Параметры по умолчанию описаны в разделах login authentication и enable authentication.

Синтаксис
[no] line <TYPE>

Параметры

<TYPE> – тип консоли:

  • console – локальная консоль;
  • telnet – удаленная консоль;
  • ssh – защищенная удаленная консоль.
Необходимый уровень привилегий

15

Командный режим

CONFIG

Пример
esr(config)# line console
esr(config-line-console)#

login authentication

Данной командой осуществляется активация списка аутентификации входа пользователей в систему, который будет использоваться в конфигурируемом терминале.

В конфигурации по умолчанию активным является список с именем «default», данный список содержит один способ аутентификации – «local».

Использование отрицательной формы команды (no) делает список с именем «default» активным.

Синтаксис
login authentication <NAME>
no login authentication
Параметры

<NAME> – имя списка, задаётся строкой до 31 символа.

Значение по умолчанию

default

Необходимый уровень привилегий

15

Командный режим

CONFIG-LINE-CONSOLE

CONFIG-LINE-TELNET

CONFIG-LINE-SSH

Пример
esr(config-line-console)# login authentication login-test

password

Команда для установки пароля определенному пользователю для входа в систему. Пароль может быть задан как в открытом виде, так и в виде хеш sha512.

Использование отрицательной формы команды (no) удаляет пароль пользователя из системы.

Синтаксис
password { <CLEAR-TEXT> | encrypted <HASH_SHA512> }
no password
Параметры

<CLEAR-TEXT> – пароль, задаётся строкой [1 .. 32] символов, принимает значения [0-9a-fA-F];

<HASH_SHA512> – хеш пароля по алгоритму sha512, задаётся строкой из 110 символов.

Необходимый уровень привилегий

15

Командный режим

CONFIG-USER

CHANGE-EXPIRED-PASSWORD

Пример
esr(config-user) password test

port

Данной командой задаётся номер порта для обмена данными c удаленным сервером.

Использование отрицательной формы команды (no) устанавливает значение по умолчанию.

Синтаксис
port <PORT>
no port
Параметры

<PORT> – номер TCP/UDP-порта для обмена данными c удаленным сервером, принимает значения [1..65535].

Значение по умолчанию

49 – для TACACS-сервера;

389 – для LDAP-сервера;

Не установлено – для DAS-сервера.

Необходимый уровень привилегий

15

Командный режим

CONFIG-TACACS-SERVER

CONFIG-LDAP-SERVER

CONFIG-DAS-SERVER

Пример
esr(config-tacacs-server)# port 4444

priority

Данной командой задаётся приоритет использования удаленного сервера. Чем ниже значение, тем приоритетнее сервер.

Использование отрицательной формы команды (no) устанавливает значение по умолчанию.

Синтаксис
priority <PRIORITY> 
no priority 
Параметры

<PRIORITY> – приоритет использования удаленного сервера, принимает значения [1..65535].

Значение по умолчанию

1

Необходимый уровень привилегий

15

Командный режим

CONFIG-TACACS-SERVER

CONFIG-RADIUS-SERVER

CONFIG-LDAP-SERVER

Пример
esr(config-tacacs-server)# priority 5

privilege

Данной командой производится установка уровня привилегий пользователя. Набор команд, который доступен пользователю, зависит от уровня привилегий. Пользователям с уровнями привилегий от 1 до 9 доступен только просмотр информации. Пользователям с уровнем привилегий от 10 до 15 доступна большая часть команд конфигурирования. Пользователям с уровнем привилегий 15 доступен полный набор команд. Требуемый необходимый уровень привилегий команд может быть изменен, описание в разделе description.

Использование отрицательной формы команды (no) устанавливает необходимый уровень привилегий по умолчанию.

Назначение начального уровня привилегий пользователям происходит следующим образом:

  • необходимый уровень привилегий пользователям из локальной базы назначается указанной командой;
  • необходимый уровень привилегий для пользователей, авторизовавшихся по протоколу RADIUS, извлекается из атрибута cisco-avpair = "shell:priv-lvl=<PRIV>";
  • необходимый уровень привилегий для пользователей, авторизовавшихся по протоколу TACACS, извлекается из атрибута priv-lvl=<PRIV>;
  • уровень привилегий для пользователей, авторизовавшихся по протоколу LDAP, извлекается из атрибута, заданного командой privilege-level-attribute, описанной в разделе line, по умолчанию priv-lvl=<PRIV>.

Если при аутентификации пользователя через протоколы TACACS/RADIUS/LDAP не была получена вышеуказанная опция или была получена опция с некорректным значением, то пользователю будут назначены привилегии пользователя «remote», по умолчанию 1. Необходимый уровень привилегий пользователя «remote» можно изменить аналогично любому другому пользователю из локальной базы с помощью указанной команды.

Синтаксис
privilege <PRIV>
no privilege
Параметры

<PRIV> – необходимый уровень привилегий, принимает значение [1..15].

Значение по умолчанию

1

Необходимый уровень привилегий

15

Командный режим

CONFIG-USER

Пример
esr(config-user)# privilege 15

privilege

Данной командой производится установка минимального уровня привилегий пользователя, необходимого для выполнения команды из указанного поддерева команд.

Использование отрицательной формы команды (no) устанавливает необходимый уровень привилегий по умолчанию.

Синтаксис
privilege <COMMAND-MODE> level <PRIV> <COMMAND>
no privilege <COMMAND-MODE> <COMMAND>
Параметры

<COMMAND-MODE> – командный режим, может принимать значения:

  • change-expired-password;
  • config;
  • config-aaa-das-profile;
  • config-aaa-radius-profile;
  • config-accsess-profile;
  • config-acl;
  • config-acl-rule;
  • config-archive;
  • config-bgp;
  • config-bgp-af;
  • config-bgp-group;
  • config-bgp-neighbor;
  • config-bridge;
  • config-cellular-modem;
  • config-cellular-profile;
  • config-class-map;
  • config-class-policy-map;
  • config-das-server;
  • config-dhcp-server;
  • config-dhcp-vendor-id;
  • config-dnat;
  • config-dnat-pool;
  • config-dnat-rule;
  • config-dnat-ruleset;
  • config-if-e1;
  • config-gre;
  • config-if-gi;
  • config-if-te;
  • config-if-twe;
  • config-if-fo;
  • config-if-hu;
  • config-ike-gw;
  • config-ike-policy;
  • config-ike-proposal;
  • config-ip4ip4;
  • config-ipsec-policy;
  • config-ipsec-proposal;
  • config-ipsec-vpn;
  • config-ipv6-bgp-af;
  • config-ipv6-bgp-group;
  • config-ipv6-bgp-neighbor;
  • config-ipv6-dhcp-server;
  • config-ipv6-ospf;
  • config-ipv6-ospf-area;
  • config-ipv6-ospf-vlink;
  • config-ipv6-pl;
  • config-ipv6-wan-rule;
  • config-ipv6-wan-target;
  • config-ipv6-wan-target-list;
  • config-keychain;
  • config-keychain-key;
  • config-l2tp-server;
  • config-l2tpv3;
  • config-ldap-server;
  • config-line-console;
  • config-line-ssh;
  • config-line-telnet;
  • config-loopback;
  • config-lt;
  • config-mst;
  • config-multilink;
  • config-netflow-host;
  • config-network-policy;
  • config-ntp;
  • config-object-group-application;
  • config-object-group-mac;
  • config-object-group-network;
  • config-object-group-service;
  • config-object-group-url;
  • config-openvpn;
  • config-openvpn-server;
  • config-ospf;
  • config-ospf-area;
  • config-ospf-vlink;
  • config-pl;
  • config-policy-map;
  • config-pool;
  • config-port-channel;
  • config-ppp-user;
  • config-pppoe;
  • config-pptp;
  • config-pptp-server;
  • config-profile;
  • config-qinq-if;
  • config-radius-server;
  • config-rip;
  • config-route-map;
  • config-route-map-rule;
  • config-service-port;
  • config-sflow-host;
  • config-snat;
  • config-snat-pool;
  • config-snat-rule;
  • config-snat-ruleset;
  • config-snmp-host;
  • config-snmp-user;
  • config-softgre;
  • config-subif;
  • config-subscriber-control;
  • config-subscriber-default-service;
  • config-subtunnel;
  • config-tacacs-server;
  • config-tracking;
  • config-user;
  • config-vlan;
  • config-vrf;
  • config-vti;
  • config-wan-rule;
  • config-wan-target;
  • config-wan-target-list;
  • config-wireless;
  • config-zone;
  • config-zone-pair;
  • config-zone-pair-rule;
  • debug;
  • root.

<PRIV> – необходимый уровень привилегий, принимает значение [1..15];

<COMMAND> – поддерево команд, задается строкой до 255 символов.

Необходимый уровень привилегий

15

Командный режим

CONFIG

Пример

Установить для поддерева команд «show» корневого командного режима необходимый уровень привилегий 2. Команды поддерева «show interfaces» оставить с уровнем привилегий 1.

esr(config)# privilege root level 2 "show"
esr(config)# privilege root level 1 "show interfaces"

radius-server dscp

Команда задаёт значение кода DSCP для использования в IP-заголовке исходящих пакетов RADIUS-сервера.

Использование отрицательной формы команды (no) устанавливает значение DSCP по умолчанию.

Синтаксис
radius-server dscp <DSCP>
no radius-server dscp
Параметры

<DSCP> – значение кода DSCP, принимает значения в диапазоне [0..63].

Значение по умолчанию

63

Необходимый уровень привилегий

10

Командный режим

CONFIG

Пример
esr(config)# radius-server dscp 40

radius-server host

Данная команда используется для добавления RADIUS-сервера в список используемых серверов и перехода в командный режим RADIUS SERVER.

Использование отрицательной формы команды (no) удаляет заданный RADIUS-сервер.

Синтаксис
[no] radius-server host { <ADDR> | <IPV6-ADDR> } [ vrf <VRF> ]
Параметры

<VRF> – имя экземпляра VRF, задается строкой до 31 символа.

<ADDR> – IP-адрес RADIUS-сервера, задаётся в виде AAA.BBB.CCC.DDD, где каждая часть принимает значения [0..255];

<IPV6-ADDR> – IPv6-адрес RADIUS-сервера, задаётся в виде X:X:X:X::X, где каждая часть принимает значения в шестнадцатеричном формате [0..FFFF].

Необходимый уровень привилегий

15

Командный режим

CONFIG

Пример
esr(config)# radius-server host 10.100.100.1
esr(config-radius-server)#

radius-server host

Данная команда используется для добавления RADIUS-сервера в профиль RADIUS-серверов.

Использование отрицательной формы команды (no) удаляет заданный RADIUS-сервер из профиля.

Синтаксис
[no] radius-server host { <ADDR> | <IPV6-ADDR> } [ vrf <VRF> ]
Параметры

<VRF> – имя экземпляра VRF, задается строкой до 31 символа.

<ADDR> – IP-адрес RADIUS-сервера, задаётся в виде AAA.BBB.CCC.DDD, где каждая часть принимает значения [0..255];

<IPV6-ADDR> – IPv6-адрес RADIUS-сервера, задаётся в виде X:X:X:X::X, где каждая часть принимает значения в шестнадцатеричном формате [0..FFFF].

Необходимый уровень привилегий

15

Командный режим

CONFIG-RADIUS-SERVER-PROFILE

Пример
esr(config-aaa-radius-profile)# radius-server host 10.100.100.1

radius-server retransmit

Данной командой задаётся количество перезапросов к последнему активному RADIUS-серверу, которое будет выполнено перед выполнением запросов к следующим RADIUS-серверам в списке.

Использование отрицательной формы команды (no) устанавливает значение по умолчанию.

Синтаксис
radius-server retransmit <COUNT>
no radius-server retransmit
Параметры

<COUNT> – количество перезапросов к RADIUS-серверу, принимает значения [1..10].

Значение по умолчанию

1

Необходимый уровень привилегий

15

Командный режим

CONFIG

Пример
esr(config)# radius-server retransmit 5

radius-server timeout

Данной командой задаётся интервал, по истечении которого устройство считает, что RADIUS-сервер недоступен.

Использование отрицательной формы команды (no) устанавливает значение по умолчанию.

Синтаксис
radius-server timeout <SEC>
no radius-server timeout
Параметры

<SEC> – период времени в секундах, принимает значения [1..30].

Значение по умолчанию

3 секунды

Необходимый уровень привилегий

10

Командный режим

CONFIG

Пример
esr(config)# radius-server timeout 5

retransmit

Данной командой задаётся количество перезапросов к RADIUS-серверу, которое будет выполнено перед выполнением запросов к следующим RADIUS-серверам в списке.

Использование отрицательной формы команды (no) устанавливает значение по умолчанию.

Синтаксис
retransmit <COUNT>
no retransmit
Параметры

<COUNT> – количество перезапросов к RADIUS-серверу, принимает значения [1..10].

Значение по умолчанию

Не задан, используется значение глобального параметра, описанного в разделе radius-server retransmit.

Необходимый уровень привилегий

15

Командный режим

CONFIG-RADIUS-SERVER

Пример
esr(config)# retransmit 5

security passwords default-expired

Данной командой включается запрос на смену пароля по умолчанию для пользователя admin.

Использование отрицательной формы команды (no) отключает запрос на смену пароля по умолчанию.

Синтаксис
[no] security passwords default-expired
Параметры

Команда не содержит параметров.

Значение по умолчанию

Запрос на смену пароля по умолчанию отключен.

Необходимый уровень привилегий

15

Командный режим

CONFIG

Пример
esr(config)# security passwords default-expired

security passwords history

Данной командой включается режим запрета на использование ранее установленных паролей локальных пользователей. В качестве параметра указывается количество паролей, сохраняемых в памяти маршрутизатора.

Использование отрицательной формы команды (no) устанавливает значение по умолчанию.

Синтаксис
security passwords history <COUNT>
no security passwords history
Параметры

<COUNT> – количество паролей, сохраняемых в памяти маршрутизатора [0..15]. При уменьшении данного значения лишние, более старые пароли удаляются.

Значение по умолчанию

1

Необходимый уровень привилегий

15

Командный режим

CONFIG

Пример
esr(config)# security passwords history 5

security passwords lifetime

Данной командой устанавливается время действия пароля локального пользователя. При попытке подключения пользователя с истекшим паролем пользователь будет направлен в режим принудительной смены пароля.

Использование отрицательной формы команды (no) устанавливает значение по умолчанию.

Синтаксис
security passwords lifetime <TIME>
no security passwords lifetime
Параметры

<TIME> – интервал времени действия пароля в днях, принимает значения [1..365].

Значение по умолчанию

Время действия пароля локального пользователя не ограничено.

Необходимый уровень привилегий

15

Командный режим

CONFIG

Пример
esr(config)# security passwords lifetime 30

security passwords lower-case

Данной командой устанавливается минимальное количество строчных букв в пароле локального пользователя, ENABLE-пароле, имени SMNPv3-пользователя и SMNPv1/SMNPv2 c комьюнити.

Использование отрицательной формы команды (no) устанавливает значение по умолчанию.

Синтаксис
security passwords lower-case <COUNT>
no security passwords lower-case
Параметры

<COUNT> – минимальное количество строчных букв в пароле локального пользователя, ENABLE-пароле, имени SMNPv3-пользователя и SMNPv1/SMNPv2 c комьюнити [0..32].

Значение по умолчанию

0

Необходимый уровень привилегий

15

Командный режим

CONFIG

Пример
esr(config)# security passwords lower-case 2

security passwords max-length

Данной командой устанавливается ограничение на максимальную длину пароля локального пользователя и ENABLE-пароля.

Использование отрицательной формы команды (no) устанавливает значение по умолчанию.

Синтаксис
security passwords max-length <NUM>
no security passwords max-length
Параметры

<NUM> – максимальное количество символов в пароле, задается в диапазоне [1..32].

Значение по умолчанию

32

Необходимый уровень привилегий

15

Командный режим

CONFIG

Пример
esr(config)# security passwords max-length 30

security passwords min-length

Данной командой устанавливается ограничение на минимальную длину пароля локального пользователя и ENABLE-пароля.

Использование отрицательной формы команды (no) устанавливает значение по умолчанию.

Синтаксис
security passwords min-length <NUM>
no security passwords min-length
Параметры

<NUM> – минимальное количество символов в пароле, задается в диапазоне [1..32].

Значение по умолчанию

1

Необходимый уровень привилегий

15

Командный режим

CONFIG

Пример
esr(config)# security passwords min-length 10

security passwords numeric-count

Данной командой устанавливается минимальное количество цифр в пароле локального пользователя, ENABLE-пароле, имени SMNPv3-пользователя и SMNPv1/SMNPv2 c комьюнити.

Использование отрицательной формы команды (no) устанавливает значение по умолчанию.

Синтаксис
security passwords numeric-count <COUNT>
no security passwords numeric-count
Параметры

<COUNT> – минимальное количество цифр в пароле локального пользователя, ENABLE-пароле, имени SMNPv3-пользователя и SMNPv1/SMNPv2 c комьюнити [0..32].

Значение по умолчанию

0

Необходимый уровень привилегий

15

Командный режим

CONFIG

Пример
esr(config)# security passwords numeric-count 2

security passwords special-case

Данной командой устанавливается минимальное количество специальных символов в пароле локального пользователя, ENABLE-пароле, имени SMNPv3-пользователя и SMNPv1/SMNPv2 c комьюнити.

Использование отрицательной формы команды (no) устанавливает значение по умолчанию.

Синтаксис
security passwords special-case <COUNT>
no security passwords special-case
Параметры

<COUNT> – минимальное количество специальных символов в пароле локального пользователя, ENABLE-пароле, имени SMNPv3-пользователя и SMNPv1/SMNPv2 c комьюнити [0..32].

Значение по умолчанию

0

Необходимый уровень привилегий

15

Командный режим

CONFIG

Пример
esr(config)# security passwords special-case 2

security passwords symbol-types

Данной командой устанавливается минимальное количество типов символов, которые должны присутствовать в пароле локального пользователя, ENABLE-пароле, имени SMNPv3-пользователя и SMNPv1/SMNPv2 c комьюнити.

Использование отрицательной формы команды (no) устанавливает значение по умолчанию.

Синтаксис
security passwords symbol-types <COUNT>
no security passwords symbol-types
Параметры

<COUNT> – минимальное количество типов символов в пароле локального пользователя, ENABLE-пароле, имени SMNPv3-пользователя и SMNPv1/SMNPv2 c комьюнити [1..4].

Значение по умолчанию

1

Необходимый уровень привилегий

15

Командный режим

CONFIG

Пример
esr(config)# security passwords symbol-types 2

security passwords upper-case

Данной командой устанавливается минимальное количество прописных (заглавных) букв в пароле локального пользователя, ENABLE-пароле, имени SMNPv3-пользователя и SMNPv1/SMNPv2 c комьюнити.

Использование отрицательной формы команды (no) устанавливает значение по умолчанию.

Синтаксис
security passwords upper-case <COUNT>
no security passwords upper-case
Параметры

<COUNT> – минимальное количество прописных (заглавных) букв в пароле локального пользователя, ENABLE-пароле, имени SMNPv3-пользователя и SMNPv1/SMNPv2 c комьюнити [0..32].

Значение по умолчанию

0

Необходимый уровень привилегий

15

Командный режим

CONFIG

Пример
esr(config)# security passwords upper-case 2

security snmp-community max-length

Данной командой устанавливается ограничение на максимальную длину SMNPv1/SMNPv2 c комьюнити.

Использование отрицательной формы команды (no) устанавливает значение по умолчанию.

Синтаксис
security snmp-community max-length <NUM>
no security snmp-community max-length
Параметры

<NUM> – максимальное количество символов в комьюнити, задается в диапазоне [1..128].

Значение по умолчанию

128

Необходимый уровень привилегий

15

Командный режим

CONFIG

Пример
esr(config)# security snmp-community max-length 30

security snmp-community min-length

Данной командой устанавливается ограничение на минимальную длину SMNPv1/SMNPv2 c комьюнити.

Использование отрицательной формы команды (no) устанавливает значение по умолчанию.

Синтаксис
security passwords min-length <NUM>
no security passwords min-length
Параметры

<NUM> – минимальное количество символов в комьюнити, задается в диапазоне [1..128].

Значение по умолчанию

1

Необходимый уровень привилегий

15

Командный режим

CONFIG

Пример
esr(config)# security snmp-community min-length 10

show aaa accounting

Данная команда позволяет просмотреть настроенные параметры учета.

Синтаксис
show aaa accounting
Параметры

Команда не содержит параметров.

Необходимый уровень привилегий

10

Командный режим

ROOT

Пример
esr# show aaa accounting
Login :          radius
Commands :       tacacs

show aaa authentication

Данная команда позволяет просмотреть списки способов аутентификации пользователей, а также активные списки каждого типа терминалов.

Синтаксис
show aaa authentication
Параметры

Команда не содержит параметров.

Необходимый уровень привилегий

10

Командный режим

ROOT

Пример
esr# show aaa authentication
   Login Authentication Method Lists
   ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
List               Methods
----------------   --------------------------------
default            local
   Enable Authentication Method Lists
   ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
List               Methods
----------------   --------------------------------
default            enable
   Lines configuration
   ~~~~~~~~~~~~~~~~~~~
Line        Login method list                  Enable method list
---------   --------------------------------   --------------------------------
console     default                            default
telnet      default                            default
ssh         default                            default

show aaa ldap-servers

Данная команда позволяет просмотреть параметры LDAP-серверов.

Синтаксис
show aaa ldap-servers
Параметры

Команда не содержит параметров.

Необходимый уровень привилегий

15

Командный режим

ROOT

Пример
esr# show aaa ldap-servers
Base DN:                      dc=example,dc=com
Root DN:                      cn=admin,dc=example,dc=com
Root password:                CDE65039E5591FA3
Naming attribute:             uid
Privilege level attribute:    priv-lvl
User object class:            posixAccount
DSCP:                         63
Bind timeout:                 3
Search timeout:               0
Search scope:                 subtree
IP Address                         Port           Priority
--------------------------------   ------------   ------------
10.100.100.1                       389            1

show aaa radius-servers

Данная команда позволяет просмотреть параметры RADIUS-серверов.

Синтаксис
show aaa radius-servers
Параметры

Команда не содержит параметров.

Необходимый уровень привилегий

15

Командный режим

ROOT

Пример
esr# show aaa radius-servers
Timeout:     3
Retransmit:  1
DSCP:        63
IP Addres        Timeout      Priority     Usage        Key
------------    ----------   ----------   ----------   ---------------------------
2.2.2.2             --           1            all          9DA7076CA30B5FFE0DC9C4
2.4.4.4             --           1            all          9DA7076BA30B4EFCE5

show aaa tacacs-servers

Данная команда позволяет просмотреть параметры TACACS-серверов.

Синтаксис
show aaa tacacs-servers
Параметры

Команда не содержит параметров.

Необходимый уровень привилегий

15

Командный режим

ROOT

Пример
esr# show aaa tacacs-servers
Timeout :       3
DSCP:          63
IP Address               Port           Priority       Key
----------------------   ------------   ------------   --------------------------------
10.100.100.1             49             1              CDE65039E5591FA3
10.100.100.5             49             10             CDE65039E5591FA3

show users

Данная команда позволяет просмотреть активные сессии пользователей системы.

Синтаксис
show users
Параметры

Команда не содержит параметров.

Необходимый уровень привилегий

1

Командный режим

ROOT

Пример
esr# show users 
SID    User name              Logged in at          Protocol            Host                   Timers Login/Priv   Level   
----   --------------------   -----------------     -----------------   --------------------   -----------------   -----   
0 *    admin                  2023-06-26 15:47:38   SSH                 192.168.1.44           00:29:59/00:00:00   15      
1      admin                  2023-06-26 15:47:38   Telnet              192.168.1.44           00:25:08/00:00:00   15      
2      admin                  2023-06-26 15:47:38   Console             Console                00:29:56/00:00:00   15 

show users accounts

Данная команда позволяет просмотреть конфигурацию пользователей системы.

Синтаксис
show users accounts
Параметры

Команда не содержит параметров.

Необходимый уровень привилегий

10

Командный режим

ROOT

Пример
esr# show user accounts
Name                               Password                           Privilege
--------------------------------   --------------------------------   ---------
admin                              $6$1sxrvGaV8Za8oX/K$YNel5xYPZ4cj   15
                                   bemYWYNpQBQKDxWE9v0aoKgQ
                                   kRCEb0EMNuusO9Kmg7UBs7nA3buEM87e
                                   Eu.rA6tZq0
techsupport                        $6$YfwntIwU$ah7UxPZTemKhjpSWvVsV   15
                                   9jHcp. 9lweQaSldw7ZtUr
                                   uH66uZx9.EBASff//hUj8ObUaC484TNR
                                   x.
remote                             $6$YfwntIwU$ah7UxPZTemKhjpSWvVsV   1
                                   9jHcp.kqFAK.vmvyY9lweQaSldw7ZtUr
                                   uH66uZx9.EBASff//hUj8ObUaC484TNR
                                   x.
operator                           $6$eILpbbyRxedCzvVD$4RHP08mjXvNf   1
                                   urX7V/ULCZ1oHIWMwE6h5f
                                   zgwZQUZcPoZCEyaqQQqCicRMRuPwhxrQ
                                   bvGChWreW1

show users blocked

Данная команда позволяет просматривать список пользователей, для которых был введен неправильный пароль. Пользователь удаляется из списка после ввода правильного пароля при аутентификации.

Синтаксис
show users blocked [ <NAME> ]
Параметры

<NAME> – имя пользователя, для которого необходимо отобразить статистику неправильных попыток аутентификации, задаётся строкой до 31 символа.

Без указания имени пользователя отображается вся таблица неправильных попыток аутентификации.

Необходимый уровень привилегий

1

Командный режим

ROOT

Пример
esr# show users blocked
User name              Failures   Latest failure        From
--------------------   --------   -------------------   ----------------
tester                 4          2017-09-10 08:29:42   0.0.0.0

source-address

Данной командой определяется IPv4/IPv6-адрес маршрутизатора, который будет использоваться в качестве IPv4/IPv6-адреса источника в отправляемых пакетах на конфигурируемый AAA-сервер.

Использование отрицательной формы команды (no) удаляет указанный IPv4/IPv6-адрес источника.

Синтаксис
source-address { <ADDR> | <IPV6-ADDR> | object-group <NETWORK_OBJ_GROUP_NAME> }
no source-address
Параметры

<ADDR> – IP-адрес источника, задаётся в виде AAA.BBB.CCC.DDD, где каждая часть принимает значения [0..255];

<IPV6-ADDR> – IPv6-адрес источника, задаётся в виде X:X:X:X::X, где каждая часть принимает значения в шестнадцатеричном формате [0..FFFF].

<NETWORK_OBJ_GROUP_NAME> – список адресов, которые будут использоваться в качестве source address.

Необходимый уровень привилегий

15

Командный режим

CONFIG-RADIUS-SERVER

CONFIG-TACACS-SERVER

CONFIG-LDAP-SERVER

Пример
esr(config-radius-server)# source-address 220::71

source-interface

Данной командой определяется интерфейс или туннель маршрутизатора, IPv4/IPv6-адрес которого будет использоваться в качестве IPv4/IPv6-адреса источника в отправляемых пакетах на конфигурируемый AAA-сервер.

Использование отрицательной формы команды (no) удаляет указанный интерфейс или туннель.

Синтаксис
source-interface { <IF> | <TUN> }
no source-interface
Параметры

<IF> – имя интерфейса устройства, задаётся в виде, описанном в разделе Типы и порядок именования интерфейсов маршрутизатора

<TUN> – имя туннеля устройства, задаётся в виде, описанном в разделе Типы и порядок именования туннелей маршрутизатора.

Необходимый уровень привилегий

15

Командный режим

CONFIG-RADIUS-SERVER

CONFIG-TACACS-SERVER

CONFIG-LDAP-SERVER

Пример
esr(config-radius-server)# source-interface gigabitethernet 1/0/1

system configuration-exclusively

Данной командой включается ограничение количества сессий CLI до одной.

Использование отрицательной формы команды (no) устанавливается значение по умолчанию.

Синтаксис
[no] system configuration-exclusively
Параметры

Команда не содержит параметров.

Значение по умолчанию

Отключено.

Необходимый уровень привилегий

15

Командный режим

CONFIG

Пример
esr(config)# system configuration-exclusively

tacacs-server dscp

Команда задаёт значение кода DSCP для использования в IP-заголовке исходящих пакетов TACACS-сервера.

Использование отрицательной формы команды (no) устанавливает значение DSCP по умолчанию.

Синтаксис
tacacs-server dscp <DSCP>
no tacacs-server dscp
Параметры

<DSCP> – значение кода DSCP, принимает значения в диапазоне [0..63].

Значение по умолчанию

63

Необходимый уровень привилегий

10

Командный режим

CONFIG

Пример
esr(config)# tacacs-server dscp 40

tacacs-server host

Данная команда используется для добавления TACACS-сервера в список используемых серверов и перехода в командный режим TACACS SERVER.

Использование отрицательной формы команды (no) удаляет заданный TACACS-сервер.

Синтаксис
[no] tacacs-server host { <ADDR> | <IPV6-ADDR> } [ vrf <VRF> ]
Параметры

<VRF> – имя экземпляра VRF, задается строкой до 31 символа.

<ADDR> – IP-адрес TACACS-сервера, задаётся в виде AAA.BBB.CCC.DDD, где каждая часть принимает значения [0..255].

<IPV6-ADDR> – IPv6-адрес TACACS-сервера, задаётся в виде X:X:X:X::X, где каждая часть принимает значения в шестнадцатеричном формате [0..FFFF].

Необходимый уровень привилегий

15

Командный режим

CONFIG

Пример
esr(config)# tacacs-server host 10.100.100.1
esr(config-tacacs-server)#

tacacs-server timeout

Данной командой задаётся интервал, по истечении которого устройство считает, что TACACS-сервер недоступен.

Использование отрицательной формы команды (no) устанавливает значение по умолчанию.

Синтаксис
tacacs-server timeout <SEC>
no tacacs-server timeout
Параметры

<SEC> – период времени в секундах, принимает значения [1..30].

Значение по умолчанию

3 секунды.

Необходимый уровень привилегий

10

Командный режим

CONFIG

Пример
esr(config)# tacacs-server timeout 5

tech-support login enable

Данной командой включается низкоуровневый удаленный доступ к системе с помощью пользователя «techsupport». Низкоуровневый доступ к системе позволит получить технической поддержке всю необходимую информацию, когда это необходимо.

Использование отрицательной формы команды (no) выключает низкоуровневый удаленный доступ к системе с помощью пользователя «techsupport».

Синтаксис
[no] tech-support login enable
Параметры

Команда не содержит параметров.

Необходимый уровень привилегий

15

Командный режим

CONFIG

Пример
esr(config)# tech-support login enable

timeout

Данной командой задаётся интервал, по истечении которого устройство считает, что RADIUS-сервер недоступен.

Использование отрицательной формы команды (no) устанавливает значение по умолчанию.

Синтаксис
timeout <SEC>
no timeout
Параметры

<SEC> – период времени в секундах, принимает значения [1..30].

Значение по умолчанию

Не задан, используется значение глобального таймера, описанного в разделе radius-server timeout.

Необходимый уровень привилегий

10

Командный режим

CONFIG-RADIUS-SERVER

Пример
esr(config-radius-server)# timeout 7

usage

Данная команда определяет тип соединений для аутентификации которых будет использоваться RADIUS-сервера.

Использование отрицательной формы команды (no) устанавливает значение по умолчанию.

Синтаксис
usage { all | aaa | auth | acct | pptp | l2tp }
no usage
Параметры

all – все типы соединений;

aaaRADIUS-сервер будет использоваться для аутентификации, авторизации и учета telnet-, ssh-, console-сессий;

authRADIUS-сервер будет использоваться для аутентификации и авторизации telnet-, ssh-, console-сессий;

acctRADIUS-сервер будет использоваться для учета telnet-, ssh-, console-сессий;

pptpRADIUS-сервер будет использоваться для аутентификации, авторизации и учета удаленных пользователей, подключающихся по протоколу PPTP;

l2tpRADIUS-сервер будет использоваться для аутентификации, авторизации и учета удаленных пользователей, подключающихся по протоколу L2TP over IPsec.

Значение по умолчанию

all

Необходимый уровень привилегий

15

Командный режим

CONFIG-RADIUS-SERVER

Пример
esr(config-radius-server)# usage pptp

username

Данной командой выполняется добавление пользователя в локальную базу пользователей и осуществляется переход в режим настройки параметров пользователя.

Использование отрицательной формы команды (no) удаляет пользователя из системы.

Синтаксис
[no] username <NAME>
Параметры

<NAME> – имя пользователя, задаётся строкой до 31 символа. Если использовать команду для удаления, то при указании значения «all» будут удалены все пользователи.

Необходимый уровень привилегий

15

Командный режим

CONFIG

Пример
esr(config)# username test
esr(config-user)#
  • Нет меток