Данной командой конфигурируется список способов учета команд, введённых в CLI.
Использование отрицательной формы команды (no) устанавливает значение по умолчанию.
aaa accounting commands stop-only <METHOD>
no aaa accounting commands stop-only
<METHOD> – способы учета:
Учёт не ведется.
15
CONFIG
esr(config)# aaa accounting commands stop-only tacacs |
Данной командой конфигурируется список способов учета сессий пользователей. Ведение учета активируется и прекращается, когда пользователь входит и отключается от системы, что соответствует значениям «start» и «stop» в сообщениях протоколов RADIUS и TACACS.
Использование отрицательной формы команды (no) устанавливает значение по умолчанию.
aaa accounting login start-stop <METHOD 1> [ <METHOD 2> ]
no aaa accounting login start-stop
<METHOD> – способы учета:
Учет сессий ведется в локальный журнал.
15
CONFIG
esr(config)# aaa accounting login start-stop tacacs |
Данной командой устанавливается максимальное количество неудачных попыток аутентификации до блокировки пользователя и время, на которое происходит блокировка.
Использование отрицательной формы команды (no), значения количества попыток и период блокировки устанавливает по умолчанию.
aaa authentication attempts max-fail <COUNT> <TIME>
no aaa authentication attempts max-fail
<COUNT> – количество неудачных попыток аутентификации, после которых произойдет блокировка пользователя, принимает значения [1..65535];
<TIME> – интервал времени в секундах, на который будет заблокирован пользователь, принимает значения [1..65535].
Количество неудачных попыток – 5
Период блокировки – 300
15
CONFIG
esr(config)# aaa authentication attempts max-fail 5 30 |
Данной командой создаются списки способов аутентификации повышения привилегий пользователей. При неудачной попытке аутентификации по одному способу происходит попытка аутентификации по следующему в списке.
В конфигурации по умолчанию существует список с именем «default». Список «default» содержит один способ аутентификации – «enable». Чтобы использовать список для аутентификации повышения привилегий пользователей, необходимо выполнить его привязку командой, описанной в разделе enable authentication.
Использование отрицательной формы команды (no) удаляет список способов аутентификации.
aaa authentication enable <NAME> <METHOD 1> [ <METHOD 2> ] [ <METHOD 3> ] [ <METHOD 4> ]
no aaa authentication enable <NAME>
<NAME> – имя списка: строка до 31 символа;
<METHOD> – способы аутентификации:
15
CONFIG
esr(config)# aaa authentication enable enable-test tacacs enable |
Данной командой создаются списки способов аутентификации входа пользователей в систему. При неудачной попытке аутентификации по одному способу происходит попытка аутентификации по следующему в списке.
В конфигурации по умолчанию существует список с именем «default», данный список содержит один способ аутентификации – «local». Чтобы использовать список для аутентификации входа пользователей, необходимо выполнить его активацию командой, описанной в разделе login authentication.
Использование отрицательной формы команды (no) удаляет список способов аутентификации.
aaa authentication login { default | <NAME> } <METHOD 1> [ <METHOD 2> ] [ <METHOD 3> ]
[ <METHOD 4> ]
no aaa authentication login { default | <NAME> }
<NAME> – имя списка, задаётся строкой до 31 символа;
15
CONFIG
esr(config)# aaa authentication login login-test tacacs local |
Данной командой определяется режим работы со списками методов аутентификации.
Использование отрицательной формы команды (no) удаляет список способов аутентификации.
[no] aaa authentication mode { break | chain }
break – при аутентификации будут использоваться последующие методы в случае недоступности более приоритетного;
chain – при аутентификации будут использоваться последующие методы в случае получения отказа от более приоритетного.
chain
15
CONFIG
esr(config)# aaa authentication mode break |
Данная команда используется для добавления профиля серверов динамической авторизации (DAS) и перехода в командный режим DAS SERVER PROFILE.
Использование отрицательной формы команды (no) удаляет заданный профиль серверов динамической авторизации (DAS).
[no] aaa das-profile <NAME>
<NAME> – имя профиля серверов динамической авторизации (DAS), задается строкой до 31 символа.
15
CONFIG
esr(config)# aaa das-profile profile1 esr(config-aaa-das-profile)# |
Данной командой отключает доступ на маршрутизатор через консольный интерфейс.
При использовании отрицательной формы команды (no) доступ на маршрутизатор через консольный интерфейс включается.
[no] aaa disable
Команда не содержит параметров.
Доступ на маршрутизатор через консольный интерфейс включен.
10
CONFIG-LINE-CONSOLE
esr(config-line-console)# aaa disable |
Данная команда используется для добавления профиля RADIUS-серверов и перехода в командный режим RADIUS SERVER PROFILE.
Использование отрицательной формы команды (no) удаляет заданный профиль RADIUS-серверов.
[no] aaa radius-profile <NAME>
<NAME> – имя профиля RADIUS-серверов, задается строкой до 31 символа.
15
CONFIG
esr(config)# aaa radius-profile profile1 esr(config-aaa-radius-profile)# |
Данной командой задаётся номер порта для обмена данными c удаленным RADIUS-сервером при выполнении аккаунтинга.
Использование отрицательной формы команды (no) устанавливает значение по умолчанию.
acct-port <PORT>
no acct-port
<PORT> – номер UDP-порта для обмена данными c удаленным сервером, принимает значения [1..65535].
1813
15
CONFIG-RADIUS-SERVER
esr(config-radius-server)# acct-port 4444 |
Данной командой задаётся номер порта для обмена данными c удаленным RADIUS-сервером при выполнении аутентификации и авторизации.
Использование отрицательной формы команды (no) устанавливает значение по умолчанию.
auth-port <PORT>
no auth-port
<PORT> – номер UDP-порта для обмена данными c удаленным сервером, принимает значения [1..65535].
1812
15
CONFIG-RADIUS-SERVER
esr(config-radius-server)# auth-port 4444 |
Данной командой удаляется информация о неправильных попытках аутентификации различных пользователей.
clear users blocked <NAME>
<NAME> – имя пользователя, для которого необходимо очистить статистику неправильных попытках аутентификации, задаётся строкой до 31 символа.
Без указания имени пользователя очищается вся таблица неправильных попыток аутентификации.
15
ROOT
esr# clear users blocked |
Данной командой закрывается рабочая сессия пользователя CLI.
clear user-session [ <USERNAME> | <SESSION> ]
<NAME> – имя пользователя сессию которого необходимо закрыть, задаётся строкой до 31 символа.
<SESSION> – номер терминальной сессии которую необходимо закрыть, задаётся число в диапазоне [1..10].
15
ROOT
esr# clear users-session |
Данной командой определяется список клиентов динамической авторизации (DAC), на запросы которых будет отвечать сервер динамической авторизации (DAS).
Использование отрицательной формы команды (no) удаляет список клиентов динамической авторизации (DAC).
clients object-group <NAME>
no clients
<NAME> – имя профиля IP-адресов, содержащий адреса клиентов динамической авторизации, задаётся строкой до 31 символа.
15
CONFIG-DAS-SERVER
esr(config-das-server)# clients object-group pcrf |
Данная команда используется для добавления сервера динамической авторизации (DAS) и перехода в командный режим DAS SERVER. Сервера динамической авторизации (DAS) принимают RADIUS CoA запросы от клиентов динамической авторизации (DAC), например отключение или повторный запрос списка сервисов пользователя.
Использование отрицательной формы команды (no) удаляет заданный сервер динамической авторизации (DAS).
[no] das-server <NAME>
<NAME> – имя сервера динамической авторизации (DAS), задается строкой до 31 символа.
15
CONFIG
esr(config)# das-server main esr(config-das-server)# |
Данная команда используется для добавления сервера динамической авторизации (DAS) в конфигурируемый профиль серверов динамической авторизации.
Использование отрицательной формы команды (no) удаляет заданный сервер динамической авторизации (DAS).
[no] das-server <NAME>
<NAME> – имя сервера динамической авторизации (DAS), задается строкой до 31 символа.
15
CONFIG-AAA-DAS-PROFILE
esr(config)# das-server mainesr(config-das-server)# |
Данной командой задаётся интервал, в течении которого на RADIUS-сервер не будут отправляться пакеты. В данное состояние RADIUS-сервер переводится по истечении таймаута ожидания ответа на запрос последнего допустимого повтора (см. раздел radius-server retransmit).
Использование отрицательной формы команды (no) устанавливает значение по умолчанию.
dead-interval <SEC>
no dead-interval
<SEC> – период времени в секундах, принимает значения [0..3600].
120
10
CONFIG-RADIUS-SERVER
esr(config-radius-server)# dead-interval 600 |
Команда используется для изменения описания профиля серверов динамической авторизации (DAS) или профиля RADIUS-серверов.
Использование отрицательной формы команды (no) удаляет описание профиля.
description <DESCRIPTION>
no description
<DESCRIPTION> – описание профиля, задаётся строкой до 255 символов.
10
CONFIG-DAS-SERVER-PROFILE
CONFIG-RADIUS-SERVER-PROFILE
Установить описание для профиля IP-адресов:
esr(config-aaa-das-profile)# description "Main profile" |
Данной командой производится понижение уровня привилегий пользователя до первоначальных.
disable
Команда не содержит параметров.
2
ROOT
esr# disable esr> |
Данной командой производится повышение уровня привилегий пользователя. Способы аутентификации повышения привилегий пользователей задаются с помощью команды, описанной в разделе aaa authentication attempts max-fail.
По умолчанию в конфигурации установлен метод аутентификации по паролю «enable». При этом пароли не заданы, то есть любой системный пользователь может получить 15 необходимый уровень привилегий. |
Для аутентификации повышения привилегий по протоколам TACACS/RADIUS/LDAP на сервере должны быть созданы пользователи $enab<PRIV>$, где <PRIV> – необходимый уровень привилегий пользователя, который должен быть аутентифицирован. |
enable [ <PRIV> ]
<PRIV> – необходимый уровень привилегий, принимает значение [2..15].
15
1
ROOT
esr> enable 10 esr# |
Данной командой осуществляется активация списка аутентификации повышения привилегий пользователей, который будет использоваться в конфигурируемом терминале.
В конфигурации по умолчанию активным является список с именем «default», данный список содержит один способ аутентификации – «enable».
Использование отрицательной формы команды (no) делает список с именем «default» активным.
enable authentication <NAME>
no enable authentication
<NAME> – имя списка, задаётся строкой до 31 символа.
default
15
CONFIG-LINE-CONSOLE
CONFIG-LINE-TELNET
CONFIG-LINE-SSH
esr(config-line-console)# enable authentication enable-test |
Данной командой устанавливается пароль, который будет запрашиваться при повышении уровня привилегий пользователя.
По умолчанию в конфигурации пароли не заданы, то есть любой системный пользователь может получить 15 необходимый уровень привилегий. |
Использование отрицательной формы команды (no) удаляет пароль из системы.
enable password { <CLEAR-TEXT> | encrypted <HASH_SHA512> } [ privilege <PRIV> ]
no enable password [ privilege <PRIV> ]
<CLEAR-TEXT> – пароль, задаётся строкой [1 .. 32] символов, принимает значения [0-9a-fA-F];
<HASH_SHA512> – хеш пароля по алгоритму sha512, задаётся строкой из 110 символов;
<PRIV> – необходимый уровень привилегий, принимает значение [2..15], значение по умолчанию 15.
15
CONFIG
esr(config)# enable password 12345678 privilege 10 |
Данной командой задаётся интервал, по истечении которого будет разрываться бездействующая сессия.
Использование отрицательной формы команды (no) устанавливает значение по умолчанию.
exec-timeout <SEC>
no exec-timeout
<SEC> – период времени в минутах, принимает значения [1..65535].
30 минут
15
CONFIG-LINE-CONSOLE
CONFIG-LINE-SSH
CONFIG-LINE-TELNET
CONFIG-LINE-AUX 1
esr(config-line-ssh)# exec-timeout 600 |
1 Только для ESR-21. |
Данной командой на маршрутизаторе включается доступ по sftp для конфигурируемого пользователя.
При использовании отрицательной формы команды (no) отключает доступ по sftp для конфигурируемого пользователя.
[no] ip sftp enable
Отсутствуют
Выключено
10
CONFIG-USER
esr(config-user)# ip sftp enable |
Данной командой задаётся пароль для аутентификации на удаленном сервере.
Использование отрицательной формы команды (no) удаляет заданный пароль для аутентификации на удаленном сервере.
key ascii-text { <TEXT> | encrypted <ENCRYPTED-TEXT> }
no key
<TEXT> – строка [8..16] ASCII-символов (для TACACS-сервера – до 60 символов);
<ENCRYPTED-TEXT> – зашифрованный пароль, размером [8..16] байт, задаётся строкой [16..32] символов (для TACACS-сервера – до 120 символов).
15
CONFIG-TACACS-SERVER
CONFIG-RADIUS-SERVER
CONFIG-DAS-SERVER
esr(config-tacacs-server)# key ascii-text 12345678 |
Данной командой задаётся базовый DN (Distinguished name), который будет использоваться при поиске пользователей.
Использование отрицательной формы команды (no) удаляет заданный базовый DN.
ldap-server base-dn <NAME>
no ldap-server base-dn
<NAME> – базовый DN, задается строкой до 255 символов.
15
CONFIG
esr(config)# ldap-server base-dn “dc=example,dc=com” |
Данной командой задаётся DN (Distinguished name) пользователя с правами администратора, под которым будет происходить авторизация на LDAP-сервере при поиске пользователей.
Использование отрицательной формы команды (no) удаляет заданный DN пользователя.
ldap-server bind authenticate root-dn <NAME>
no bind authenticate root-dn
<NAME> – DN пользователя с правами администратора, задается строкой до 255 символов.
15
CONFIG
esr(config)# ldap-server bind authenticate root-dn “cn=admin,dc=example,dc=com” |
Данной командой задаётся пароль пользователя с правами администратора, под которым будет происходить авторизация на LDAP-сервере при поиске пользователей.
Использование отрицательной формы команды (no) удаляет заданный пароль пользователя.
ldap-server bind authenticate root-password ascii-text { <TEXT> | encrypted <ENCRYPTED-TEXT> }
no bind authenticate root-password
<TEXT> – строка [8..16] ASCII-символов;
<ENCRYPTED-TEXT> – зашифрованный пароль, размером [8..16] байт, задаётся строкой [16..32] символов.
15
CONFIG
esr(config)# ldap-server bind authenticate root-password ascii-text 12345678 |
Данной командой задаётся интервал, по истечении которого устройство считает, что LDAP-сервер недоступен.
Использование отрицательной формы команды (no) устанавливает значение по умолчанию.
ldap-server bind timeout <SEC>
no ldap-server bind timeout
<SEC> – период времени в секундах, принимает значения [1..30].
3 секунды
15
CONFIG
esr(config)# ldap-server bind timeout 5 |
Команда задаёт значение кода DSCP для использования в IP-заголовке исходящих пакетов LDAP-сервера.
Использование отрицательной формы команды (no) устанавливает значение DSCP по умолчанию.
ldap-server dscp <DSCP>
no ldap-server dscp
<DSCP> – значение кода DSCP, принимает значения в диапазоне [0..63].
63
10
CONFIG
esr(config)# ldap-server dscp 40 |
Данная команда используется для добавления LDAP-сервера в список используемых серверов и перехода в командный режим LDAP SERVER.
Использование отрицательной формы команды (no) удаляет заданный LDAP-сервер.
[no] ldap-server host { <ADDR> | <IPV6-ADDR> | <LDAP-HOST-NAME> } [ vrf <VRF> ]
<VRF> – имя экземпляра VRF, задается строкой до 31 символа.
<ADDR> – IP-адрес LDAP-сервера, задаётся в виде AAA.BBB.CCC.DDD, где каждая часть принимает значения [0..255];
<IPV6-ADDR> – IPv6-адрес LDAP-сервера, задаётся в виде X:X:X:X::X, где каждая часть принимает значения в шестнадцатеричном формате [0..FFFF].
<LDAP-HOST-NAME> – DNS-имя LDAP-сервера, задаётся строкой до 31 символа. Для корректного сопоставления DNS-имени хоста с ip-адресом на маршрутизаторе должен быть запущен и настроен функционал domain lookup enable.
15
CONFIG
esr(config)# ldap-server host 10.100.100.1 esr(config-ldap-server)# |
Данной командой задаётся имя атрибута объекта, со значением которого идет сравнение имени искомого пользователя на LDAP-сервере.
Использование отрицательной формы команды (no) устанавливает значение по умолчанию.
ldap-server naming-attribute <NAME>
no ldap-server naming-attribute
<NAME> – имя атрибута объекта, задаётся строкой до 127 символов.
uid
15
CONFIG
esr(config)# ldap-server naming-attribute displayName |
Данной командой задаётся имя атрибута объекта, значение которого будет определять начальные привилегии пользователя на устройстве. Атрибут должен принимать значения [1..15]. Если указанный атрибут отсутствует или содержит недопустимое значение, то начальные привилегии пользователя будут соответствовать привилегиям пользователя «remote».
Использование отрицательной формы команды (no) устанавливает значение по умолчанию.
ldap-server privilege-level-attribute <NAME>
no ldap-server privilege-level-attribute
<NAME> – имя атрибута объекта, задаётся строкой до 127 символов.
priv-lvl
15
CONFIG
esr(config)# ldap-server privilege-level-attribute title |
Данной командой задаётся имя класса объектов, среди которых необходимо выполнять поиск пользователей на LDAP-сервере.
Использование отрицательной формы команды (no) устанавливает значение по умолчанию.
ldap-server search filter user-object-class <NAME>
no ldap-server search filter user-object-class
<NAME> – имя класса объектов, задаётся строкой до 127 символов.
posixAccount
15
CONFIG
esr(config)# ldap-server search filter user-object-class shadowAccount |
Данной командой задаётся область поиска пользователей в дереве LDAP-сервера.
Использование отрицательной формы команды (no) устанавливает значение по умолчанию.
ldap-server search scope <SCOPE>
no ldap-server search scope
<SCOPE> – область поиска пользователей на LDAP-сервере, принимает следующие значения:
subtree
15
CONFIG
esr(config)# ldap-server search scope onelevel |
Данной командой задаётся интервал, по истечении которого устройство считает, что LDAP-сервер не нашел записей пользователей, подходящих под условие поиска.
Использование отрицательной формы команды (no) устанавливает значение по умолчанию.
ldap-server search timeout <SEC>
no ldap-server search timeout
<SEC> – период времени в секундах, принимает значения [0..30].
0 – устройство ожидает завершения поиска и получения ответа от LDAP-сервера.
15
CONFIG
esr(config)# ldap-server search timeout 10 |
Данной командой указывается сертификат, который будет использоваться для установления SSL-соединения с LDAP сервером.
Использование отрицательной формы команды (no) удаляет из конфигурации сертификат для установления SSL-соединения с LDAP сервером.
ldap-server ssl certificate <FILE-NAME>
no ldap-server ssl certificate
Отсутствуют.
Сертификат не указан.
15
CONFIG
esr(config)# ldap-server ssl certificate ldap-ssl.crt |
Данной командой отключается верификация LDAP сервера по сертификату.
Использование отрицательной формы команды (no) включает верификацию LDAP сервера по сертификату.
[no] ldap-server ssl check-peer disable
Отсутствуют.
Отключено.
15
CONFIG
esr(config)# ldap-server ssl check-peer disable |
Данной командой включается использование SSL-соединения для LDAP подключения (LDAP over SSL)
Использование отрицательной формы команды (no) отключается использование SSL-соединения для LDAP подключения (LDAP over SSL)
[no] ldap-server ssl enable
Отсутствуют.
Отключено.
15
CONFIG
esr(config)# ldap-server ssl enable |
Данной командой осуществляется переход в режим конфигурирования соответствующего терминала: локальная консоль, удаленная консоль (Telnet), удаленная защищенная консоль (SSH).
Использование отрицательной формы команды (no) устанавливает параметры терминала по умолчанию. Параметры по умолчанию описаны в разделах login authentication и enable authentication.
[no] line <TYPE>
<TYPE> – тип консоли:
15
CONFIG
esr(config)# line console esr(config-line-console)# |
Данной командой осуществляется активация списка аутентификации входа пользователей в систему, который будет использоваться в конфигурируемом терминале.
В конфигурации по умолчанию активным является список с именем «default», данный список содержит один способ аутентификации – «local».
Использование отрицательной формы команды (no) делает список с именем «default» активным.
login authentication <NAME>
no login authentication
<NAME> – имя списка, задаётся строкой до 31 символа.
default
15
CONFIG-LINE-CONSOLE
CONFIG-LINE-TELNET
CONFIG-LINE-SSH
esr(config-line-console)# login authentication login-test |
Команда для установки пароля определенному пользователю для входа в систему. Пароль может быть задан как в открытом виде, так и в виде хеш sha512.
Использование отрицательной формы команды (no) удаляет пароль пользователя из системы.
password { <CLEAR-TEXT> | encrypted <HASH_SHA512> }
no password
<CLEAR-TEXT> – пароль, задаётся строкой [1 .. 32] символов, принимает значения [0-9a-fA-F];
<HASH_SHA512> – хеш пароля по алгоритму sha512, задаётся строкой из 110 символов.
15
CONFIG-USER
CHANGE-EXPIRED-PASSWORD
esr(config-user) password test |
Данной командой задаётся номер порта для обмена данными c удаленным сервером.
Использование отрицательной формы команды (no) устанавливает значение по умолчанию.
port <PORT>
no port
<PORT> – номер TCP/UDP-порта для обмена данными c удаленным сервером, принимает значения [1..65535].
49 для TACACS-сервера
389 для LDAP-сервера
Не установлено для DAS-сервера
15
CONFIG-TACACS-SERVER
CONFIG-LDAP-SERVER
CONFIG-DAS-SERVER
esr(config-tacacs-server)# port 4444 |
Данной командой задаётся приоритет использования удаленного сервера. Чем ниже значение, тем приоритетнее сервер.
Использование отрицательной формы команды (no) устанавливает значение по умолчанию.
priority <PRIORITY>
no priority
<PRIORITY> – приоритет использования удаленного сервера, принимает значения [1..65535].
1
15
CONFIG-TACACS-SERVER
CONFIG-RADIUS-SERVER
CONFIG-LDAP-SERVER
esr(config-tacacs-server)# priority 5 |
Данной командой производится установка уровня привилегий пользователя. Набор команд, который доступен пользователю, зависит от уровня привилегий. Пользователям с уровнями привилегий от 1 до 9 доступен только просмотр информации. Пользователям с уровнем привилегий от 10 до 15 доступна большая часть команд конфигурирования. Пользователям с уровнем привилегий 15 доступен полный набор команд. Требуемый необходимый уровень привилегий команд может быть изменен, описание в разделе description.
Использование отрицательной формы команды (no) устанавливает необходимый уровень привилегий по умолчанию.
Назначение начального уровня привилегий пользователям происходит следующим образом:
privilege-level-attribute, описанной в разделе line, по умолчанию priv-lvl=<PRIV>;
Если при аутентификации пользователя через протоколы TACACS/RADIUS/LDAP не была получена вышеуказанная опция или была получена опция с некорректным значением, то пользователю будут назначены привилегии пользователя «remote», по умолчанию 1. Необходимый уровень привилегий пользователя «remote» можно изменить аналогично любому другому пользователю из локальной базы с помощью указанной команды.
privilege <PRIV>
no privilege
<PRIV> – необходимый уровень привилегий, принимает значение [1..15].
1
15
CONFIG-USER
esr(config-user)# privilege 15 |
Данной командой производится установка минимального уровня привилегий пользователя, необходимого для выполнения команды из указанного поддерева команд.
Использование отрицательной формы команды (no) устанавливает необходимый уровень привилегий по умолчанию.
privilege <COMMAND-MODE> level <PRIV> <COMMAND>
no privilege <COMMAND-MODE> <COMMAND>
<COMMAND-MODE> – командный режим, может принимать значения:
<PRIV> – необходимый уровень привилегий, принимает значение [1..15];
<COMMAND> – поддерево команд, задается строкой до 255 символов.
15
CONFIG
Установить для поддерева команд «show» корневого командного режима необходимый уровень привилегий 2. Команды поддерева «show interfaces» оставить с уровнем привилегий 1.
esr(config)# privilege root level 2 "show" esr(config)# privilege root level 1 "show interfaces" |
Команда задаёт значение кода DSCP для использования в IP-заголовке исходящих пакетов RADIUS-сервера.
Использование отрицательной формы команды (no) устанавливает значение DSCP по умолчанию.
radius-server dscp <DSCP>
no radius-server dscp
<DSCP> – значение кода DSCP, принимает значения в диапазоне [0..63].
63
10
CONFIG
esr(config)# radius-server dscp 40 |
Данная команда используется для добавления RADIUS-сервера в список используемых серверов и перехода в командный режим RADIUS SERVER.
Использование отрицательной формы команды (no) удаляет заданный RADIUS-сервер.
[no] radius-server host { <ADDR> | <IPV6-ADDR> } [ vrf <VRF> ]
<VRF> – имя экземпляра VRF, задается строкой до 31 символа.
<ADDR> – IP-адрес RADIUS-сервера, задаётся в виде AAA.BBB.CCC.DDD, где каждая часть принимает значения [0..255];
<IPV6-ADDR> – IPv6-адрес RADIUS-сервера, задаётся в виде X:X:X:X::X, где каждая часть принимает значения в шестнадцатеричном формате [0..FFFF].
15
CONFIG
esr(config)# radius-server host 10.100.100.1 esr(config-radius-server)# |
Данная команда используется для добавления RADIUS-сервера в профиль RADIUS-серверов.
Использование отрицательной формы команды (no) удаляет заданный RADIUS-сервер из профиля.
[no] radius-server host { <ADDR> | <IPV6-ADDR> } [ vrf <VRF> ]
<VRF> – имя экземпляра VRF, задается строкой до 31 символа.
<ADDR> – IP-адрес RADIUS-сервера, задаётся в виде AAA.BBB.CCC.DDD, где каждая часть принимает значения [0..255];
<IPV6-ADDR> – IPv6-адрес RADIUS-сервера, задаётся в виде X:X:X:X::X, где каждая часть принимает значения в шестнадцатеричном формате [0..FFFF].
15
CONFIG-RADIUS-SERVER-PROFILE
esr(config-aaa-radius-profile)# radius-server host 10.100.100.1 |
Данной командой задаётся количество перезапросов к последнему активному RADIUS-серверу, которое будет выполнено перед выполнением запросов к следующим RADIUS-серверам в списке.
Использование отрицательной формы команды (no) устанавливает значение по умолчанию.
radius-server retransmit <COUNT>
no radius-server retransmit
<COUNT> – количество перезапросов к RADIUS-серверу, принимает значения [1..10].
1
15
CONFIG
esr(config)# radius-server retransmit 5 |
Данной командой задаётся интервал, по истечении которого устройство считает, что RADIUS-сервер недоступен.
Использование отрицательной формы команды (no) устанавливает значение по умолчанию.
radius-server timeout <SEC>
no radius-server timeout
<SEC> – период времени в секундах, принимает значения [1..30].
3 секунды
10
CONFIG
esr(config)# radius-server timeout 5 |
Данной командой задаётся количество перезапросов к RADIUS-серверу, которое будет выполнено перед выполнением запросов к следующим RADIUS-серверам в списке.
Использование отрицательной формы команды (no) устанавливает значение по умолчанию.
retransmit <COUNT>
no retransmit
<COUNT> – количество перезапросов к RADIUS-серверу, принимает значения [1..10].
Не задан, используется значение глобального параметра, описанного в разделе radius-server retransmit.
15
CONFIG-RADIUS-SERVER
esr(config)# retransmit 5 |
Данной командой включается запрос на смену пароля по умолчанию для пользователя admin.
Использование отрицательной формы команды (no) отключает запрос на смену пароля по умолчанию.
[no] security passwords default-expired
Команда не содержит параметров
Запрос на смену пароля по умолчанию отключен.
15
CONFIG
esr(config)# security passwords default-expired |
Данной командой включается режим запрета на использование ранее установленных паролей локальных пользователей. В качестве параметра указывается количество паролей сохраняемых в памяти маршрутизатора.
Использование отрицательной формы команды (no) устанавливает значение по умолчанию.
security passwords history <COUNT>
no security passwords history
<COUNT> – количество паролей, сохраняемых в памяти маршрутизатора [0..15]. При уменьшении данного значения, лишние более старые пароли удаляются.
1
15
CONFIG
esr(config)# security passwords history 5 |
Данной командой устанавливается время действия пароля локального пользователя. При попытке подключения пользователя с истекшим паролем, пользователь будет направлен в режим принудительной смены пароля.
Использование отрицательной формы команды (no) устанавливает значение по умолчанию.
security passwords lifetime <TIME>
no security passwords lifetime
<TIME> – интервал времени действия пароля в днях, принимает значения [1..365].
Время действия пароля локального пользователя не ограничено.
15
CONFIG
esr(config)# security passwords lifetime 30 |
Данной командой устанавливается минимальное количество строчных букв в пароле локального пользователя, ENABLE-пароле, имени SMNPv3-пользователя и SMNPv1/SMNPv2 c комьюнити.
Использование отрицательной формы команды (no) устанавливает значение по умолчанию.
security passwords lower-case <COUNT>
no security passwords lower-case
<COUNT> – минимальное количество строчных букв в пароле локального пользователя, ENABLE-пароле, имени SMNPv3-пользователя и SMNPv1/SMNPv2 c комьюнити [0..32].
0
15
CONFIG
esr(config)# security passwords lower-case 2 |
Данной командой устанавливается ограничение на максимальную длину пароля локального пользователя и ENABLE-пароля.
Использование отрицательной формы команды (no) устанавливает значение по умолчанию.
security passwords max-length <NUM>
no security passwords max-length
<NUM> – максимальное количество символов в пароле, задается в диапазоне [1..32].
32
15
CONFIG
esr(config)# security passwords max-length 30 |
Данной командой устанавливается ограничение на минимальную длину пароля локального пользователя и ENABLE-пароля.
Использование отрицательной формы команды (no) устанавливает значение по умолчанию.
security passwords min-length <NUM>
no security passwords min-length
<NUM> – минимальное количество символов в пароле, задается в диапазоне [1..32].
1
15
CONFIG
esr(config)# security passwords min-length 10 |
Данной командой устанавливается минимальное количество цифр в пароле локального пользователя, ENABLE-пароле, имени SMNPv3-пользователя и SMNPv1/SMNPv2 c комьюнити.
Использование отрицательной формы команды (no) устанавливает значение по умолчанию.
security passwords numeric-count <COUNT>
no security passwords numeric-count
<COUNT> – минимальное количество цифр в пароле локального пользователя, ENABLE-пароле, имени SMNPv3-пользователя и SMNPv1/SMNPv2 c комьюнити [0..32].
0
15
CONFIG
esr(config)# security passwords numeric-count 2 |
Данной командой устанавливается минимальное количество специальных символов в пароле локального пользователя, ENABLE-пароле, имени SMNPv3-пользователя и SMNPv1/SMNPv2 c комьюнити.
Использование отрицательной формы команды (no) устанавливает значение по умолчанию.
security passwords special-case <COUNT>
no security passwords special-case
<COUNT> – минимальное количество специальных символов в пароле локального пользователя, ENABLE-пароле, имени SMNPv3-пользователя и SMNPv1/SMNPv2 c комьюнити [0..32].
0
15
CONFIG
esr(config)# security passwords special-case 2 |
Данной командой устанавливается минимальное количество типов символов, которые должны присутствовать в пароле локального пользователя, ENABLE-пароле, имени SMNPv3-пользователя и SMNPv1/SMNPv2 c комьюнити.
Использование отрицательной формы команды (no) устанавливает значение по умолчанию.
security passwords symbol-types <COUNT>
no security passwords symbol-types
<COUNT> – минимальное количество типов символов в пароле локального пользователя, ENABLE-пароле, имени SMNPv3-пользователя и SMNPv1/SMNPv2 c комьюнити [1..4].
1
15
CONFIG
esr(config)# security passwords symbol-types 2 |
Данной командой устанавливается минимальное количество прописных (заглавных) букв в пароле локального пользователя, ENABLE-пароле, имени SMNPv3-пользователя и SMNPv1/SMNPv2c комьюнити.
Использование отрицательной формы команды (no) устанавливает значение по умолчанию.
security passwords upper-case <COUNT>
no security passwords upper-case
<COUNT> – минимальное количество прописных (заглавных) букв в пароле локального пользователя, ENABLE-пароле, имени SMNPv3-пользователя и SMNPv1/SMNPv2 c комьюнити [0..32].
0
15
CONFIG
esr(config)# security passwords upper-case 2 |
Данной командой устанавливается ограничение на максимальную длину SMNPv1/SMNPv2 c комьюнити.
Использование отрицательной формы команды (no) устанавливает значение по умолчанию.
security snmp-community max-length <NUM>
no security snmp-community max-length
<NUM> – максимальное количество символов в комьюнити, задается в диапазоне [1..128].
128
15
CONFIG
esr(config)# security snmp-community max-length 30 |
Данной командой устанавливается ограничение на минимальную длину SMNPv1/SMNPv2 c комьюнити.
Использование отрицательной формы команды (no) устанавливает значение по умолчанию.
security passwords min-length <NUM>
no security passwords min-length
<NUM> – минимальное количество символов в комьюнити, задается в диапазоне [1..128].
1
15
CONFIG
esr(config)# security snmp-community min-length 10 |
Данная команда позволяет просмотреть настроенные параметры учета.
show aaa accounting
Команда не содержит параметров.
10
ROOT
esr# show aaa accounting Login : radius Commands : tacacs |
Данная команда позволяет просмотреть списки способов аутентификации пользователей, а также активные списки каждого типа терминалов.
show aaa authentication
Команда не содержит параметров.
10
ROOT
esr# show aaa authentication Login Authentication Method Lists ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ List Methods ---------------- -------------------------------- default local Enable Authentication Method Lists ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ List Methods ---------------- -------------------------------- default enable Lines configuration ~~~~~~~~~~~~~~~~~~~ Line Login method list Enable method list --------- -------------------------------- -------------------------------- console default default telnet default default ssh default default |
Данная команда позволяет просмотреть параметры LDAP-серверов.
show aaa ldap-servers
Команда не содержит параметров.
15
ROOT
esr# show aaa ldap-servers Base DN: dc=example,dc=com Root DN: cn=admin,dc=example,dc=com Root password: CDE65039E5591FA3 Naming attribute: uid Privilege level attribute: priv-lvl User object class: posixAccount DSCP: 63 Bind timeout: 3 Search timeout: 0 Search scope: subtree IP Address Port Priority -------------------------------- ------------ ------------ 10.100.100.1 389 1 |
Данная команда позволяет просмотреть параметры RADIUS-серверов.
show aaa radius-servers
Команда не содержит параметров.
15
ROOT
esr# show aaa radius-servers Timeout: 3 Retransmit: 1 DSCP: 63 IP Addres Timeout Priority Usage Key ------------ ---------- ---------- ---------- --------------------------- 2.2.2.2 -- 1 all 9DA7076CA30B5FFE0DC9C4 2.4.4.4 -- 1 all 9DA7076BA30B4EFCE5 |
Данная команда позволяет просмотреть параметры TACACS-серверов.
show aaa tacacs-servers
Команда не содержит параметров.
15
ROOT
esr# show aaa tacacs-servers Timeout : 3 DSCP: 63 IP Address Port Priority Key ---------------------- ------------ ------------ -------------------------------- 10.100.100.1 49 1 CDE65039E5591FA3 10.100.100.5 49 10 CDE65039E5591FA3 |
Данная команда позволяет просмотреть активные сессии пользователей системы.
show users
Команда не содержит параметров.
1
ROOT
esr# show users User name Logged in at Host Timers Login/Priv level -------------- ----------------- -------------- ----------------- ----- admin 13/02/15 01:14:25 Console 00:29:57/00:00:00 15 1 user sessions. |
Данная команда позволяет просмотреть конфигурацию пользователей системы.
show users accounts
Команда не содержит параметров.
10
ROOT
esr# show user accounts Name Password Privilege -------------------------------- -------------------------------- --------- admin $6$1sxrvGaV8Za8oX/K$YNel5xYPZ4cj 15 bemYWYNpQBQKDxWE9v0aoKgQ kRCEb0EMNuusO9Kmg7UBs7nA3buEM87e Eu.rA6tZq0 techsupport $6$YfwntIwU$ah7UxPZTemKhjpSWvVsV 15 9jHcp. 9lweQaSldw7ZtUr uH66uZx9.EBASff//hUj8ObUaC484TNR x. remote $6$YfwntIwU$ah7UxPZTemKhjpSWvVsV 1 9jHcp.kqFAK.vmvyY9lweQaSldw7ZtUr uH66uZx9.EBASff//hUj8ObUaC484TNR x. operator $6$eILpbbyRxedCzvVD$4RHP08mjXvNf 1 urX7V/ULCZ1oHIWMwE6h5f zgwZQUZcPoZCEyaqQQqCicRMRuPwhxrQ bvGChWreW1 |
Данная команда позволяет просматривать список пользователей, для которых был введен неправильный пароль. Пользователь удаляется из списка после ввода правильного пароля при аутентификации.
show users blocked [ <NAME> ]
<NAME> – имя пользователя, для которого необходимо отобразить статистику неправильных попыток аутентификации, задаётся строкой до 31 символа.
Без указания имени пользователя, отображается вся таблица неправильных попыток аутентификации.
1
ROOT
esr# show users blocked User name Failures Latest failure From -------------------- -------- ----------------- ---------------- tester 4 10/09/17 08:29:42 0.0.0.0 |
Данной командой определяется IPv4/IPv6-адрес маршрутизатора, который будет использоваться в качестве IPv4/IPv6-адреса источника в отправляемых пакетах на конфигурируемый AAA-сервер.
Использование отрицательной формы команды (no) удаляет указанный IPv4/IPv6-адрес источника.
source-address { <ADDR> | <IPV6-ADDR> }
no source-address
<ADDR> – IP-адрес источника, задаётся в виде AAA.BBB.CCC.DDD, где каждая часть принимает значения [0..255];
<IPV6-ADDR> – IPv6-адрес источника, задаётся в виде X:X:X:X::X, где каждая часть принимает значения в шестнадцатеричном формате [0..FFFF].
15
CONFIG-RADIUS-SERVER
CONFIG-TACACS-SERVER
CONFIG-LDAP-SERVER
esr(config-radius-server)# source-address 220::71 |
Данной командой определяется интерфейс или туннель маршрутизатора, IPv4/IPv6-адрес которого будет использоваться в качестве IPv4/IPv6-адреса источника в отправляемых пакетах на конфигурируемый AAA-сервер.
Использование отрицательной формы команды (no) удаляет указанный интерфейс или туннель.
source-interface { <IF> | <TUN> }
no source-interface
<IF> – имя интерфейса устройства, задаётся в виде, описанном в разделе Типы и порядок именования интерфейсов маршрутизатора;
<TUN> – имя туннеля устройства, задаётся в виде, описанном в разделе Типы и порядок именования туннелей маршрутизатора.
15
CONFIG-RADIUS-SERVER
esr(config-radius-server)# source-interface gigabitethernet 1/0/1 |
Данной командой включается ограничение количества сессий CLI до одной.
Использование отрицательной формы команды (no) устанавливается значение по умолчанию.
[no] system configuration-exclusively
Команда не содержит параметров.
Отключено.
15
CONFIG
esr(config)# system configuration-exclusively |
Команда задаёт значение кода DSCP для использования в IP-заголовке исходящих пакетов TACACS-сервера.
Использование отрицательной формы команды (no) устанавливает значение DSCP по умолчанию.
tacacs-server dscp <DSCP>
no tacacs-server dscp
<DSCP> – значение кода DSCP, принимает значения в диапазоне [0..63].
63
10
CONFIG
esr(config)# tacacs-server dscp 40 |
Данная команда используется для добавления TACACS-сервера в список используемых серверов и перехода в командный режим TACACS SERVER.
Использование отрицательной формы команды (no) удаляет заданный TACACS-сервер.
[no] tacacs-server host { <ADDR> | <IPV6-ADDR> } [ vrf <VRF> ]
<VRF> – имя экземпляра VRF, задается строкой до 31 символа.
<ADDR> – IP-адрес TACACS-сервера, задаётся в виде AAA.BBB.CCC.DDD, где каждая часть принимает значения [0..255].
<IPV6-ADDR> – IPv6-адрес TACACS-сервера, задаётся в виде X:X:X:X::X, где каждая часть принимает значения в шестнадцатеричном формате [0..FFFF].
15
CONFIG
esr(config)# tacacs-server host 10.100.100.1 esr(config-tacacs-server)# |
Данной командой задаётся интервал, по истечении которого устройство считает, что TACACS-сервер недоступен.
Использование отрицательной формы команды (no) устанавливает значение по умолчанию.
tacacs-server timeout <SEC>
no tacacs-server timeout
<SEC> – период времени в секундах, принимает значения [1..30].
3 секунды.
10
CONFIG
esr(config)# tacacs-server timeout 5 |
Данной командой включается низкоуровневый удаленный доступ к системе с помощью пользователя «techsupport». Низкоуровневый доступ к системе позволит получить технической поддержке всю необходимую информацию, когда это необходимо.
Использование отрицательной формы команды (no) выключает низкоуровневый удаленный доступ к системе с помощью пользователя «techsupport».
[no] tech-support login enable
Команда не содержит параметров.
15
CONFIG
esr(config)# tech-support login enable |
Данной командой задаётся интервал, по истечении которого устройство считает, что RADIUS-сервер недоступен.
Использование отрицательной формы команды (no) устанавливает значение по умолчанию.
timeout <SEC>
no timeout
<SEC> – период времени в секундах, принимает значения [1..30].
Не задан, используется значение глобального таймера, описанного в разделе radius-server timeout.
10
CONFIG-RADIUS-SERVER
esr(config-radius-server)# timeout 7 |
Данная команда определяет тип соединений для аутентификации которых будет использоваться RADIUS-сервера.
Использование отрицательной формы команды (no) устанавливает значение по умолчанию.
usage { all | aaa | auth | acct | pptp | l2tp }
no usage
all – все типы соединений;
aaa – RADIUS-сервер будет использоваться для аутентификации, авторизации и учета telnet, ssh console сессий;
auth – RADIUS-сервер будет использоваться для аутентификации и авторизации telnet, ssh console сессий;
acct – RADIUS-сервер будет использоваться для учета telnet, ssh console сессий;
pptp – RADIUS-сервер будет использоваться для аутентификации, авторизации и учета удаленных пользователей, подключающихся по протоколу PPTP;
l2tp – RADIUS-сервер будет использоваться для аутентификации, авторизации и учета удаленных пользователей, подключающихся по протоколу L2TP over IPsec.
all
15
CONFIG-RADIUS-SERVER
esr(config-radius-server)# usage pptp |
Данной командой выполняется добавление пользователя в локальную базу пользователей и осуществляется переход в режим настройки параметров пользователя.
Использование отрицательной формы команды (no) удаляет пользователя из системы.
[no] username <NAME>
<NAME> – имя пользователя, задаётся строкой до 31 символа. Если использовать команду для удаления, то при указании значения «all» будут удалены все пользователи.
15
CONFIG
esr(config)# username test esr(config-user)# |