accounting

Команда настройки параметров учета (accounting) в рамках протоколов RADIUS и TACACS+.

Синтаксис

[no] accounting <VALUE> [<METHOD>]

Параметры

Протоколы (<VALUE>):

• radius – использование протокола RADIUS для учета.
• tacacs+ – использование протокола TACACS+ для учета.

Методы учета ([<METHOD>]):

• start-stop – метод учета, при котором отправляются записи о начале и завершении сессии.
• commands – метод учета, применяемый к выполнению команд пользователями (доступен только для TACACS+).

Значение по умолчанию

no accounting

Группа привилегий

config-access

Командный режим

CONFIG

Примеры

1. Настройка учета для RADIUS:

MA5160(config)(aaa)# accounting radius start-stop

2. Настройка учета для TACACS+ с учетом команд:

MA5160(config)(aaa)# accounting tacacs+ start-stop commands

authentication

Команда настройки параметров аутентификации в рамках протоколов RADIUS и TACACS+.

Синтаксис

[no] authentication <VALUE>

Параметры

Протоколы (<VALUE>):

• radius – использование протокола RADIUS для аутентификации.
• tacacs+ – использование протокола TACACS+ для аутентификации.

Значение по умолчанию

no authentication

Группа привилегий

config-access

Командный режим

CONFIG

Пример

MA5160(config)(aaa)# authentication tacacs+

authorization

Команда настройки параметров авторизации в рамках протоколов RADIUS и TACACS+.

Синтаксис

[no] authorization <VALUE> [<PARAMETER>]

Параметры

Протоколы (<VALUE>):

• radius – использование протокола RADIUS для авторизации.
• tacacs+ – использование протокола TACACS+ для авторизации.

Параметры авторизации ([<PARAMETER>]):

• privilege – авторизация по уровню привилегий (доступно для обоих протоколов).
• nas-identifier – авторизация по идентификатору NAS (Network Access Server). Требует указания строки длиной от 1 до 253 символов (доступно только для RADIUS).
• commands – авторизация по разрешенным или запрещенным командам (доступно только для TACACS+).

Значение по умолчанию

no authorization

Группа привилегий

config-access

Командный режим

CONFIG

Пример

MA5160(config)(aaa)# authorization radius privilege nas-identifier 123

enable

Команда активации работы ААА.

Синтаксис

[no] enable

Параметры

Команда не содержит параметров.

Значение по умолчанию

no enable

Группа привилегий

config-access

Командный режим

CONFIG

Пример

MA5160(config)(aaa)# enable

radius-server

Команда настройки параметров RADIUS-сервера. Можно указать до трех серверов.

Синтаксис

[no] radius-server host <IP> [<PARAMETERS>]

Параметры

Адрес RADIUS-сервера (<IP>):

• AAA.BBB.CCC.DDD – IP-адрес RADIUS-сервера в формате A.B.C.D.

Дополнительные параметры ([<PARAMETERS>]):

• priority – приоритет RADIUS-сервера.
  
  • Значение: <1-3> (чем меньше значение, тем выше приоритет).
  • По умолчанию: 1.
• key – секретный ключ (shared secret), используемый для шифрования всех коммуникаций между устройством и RADIUS-сервером.
  
  • Значение: строка длиной от 1 до 63 символов.
  • По умолчанию: secret.
• port – порт RADIUS-сервера.
  
  • Значение: <1-65535>.
  • По умолчанию:
    
    • Порт 1812 для аутентификации и авторизации.
    • Порт 1813 для учета (автоматически назначается как 1812 + 1).
• timeout – время ожидания ответа от RADIUS-сервера в секундах.
  
  • Значение: <1-30>.
  • По умолчанию: 3.

Значение по умолчанию

radius-server host 0.0.0.0 priority 1 port 1812 encrypted-key INeLg+u/04f timeout 3

Группа привилегий

config-access

Командный режим

CONFIG

Пример

MA5160(config)(aaa)# radius-server host 1.1.1.1 priority 1 key mysecretkey port 545 timeout 10

service

Команда настройки параметров сервиса TACACS+ для авторизации и учета.

Синтаксис

[no] service <PARAMETER> <VALUE>

Параметры

Параметры сервиса (<PARAMETER>):

• name – имя сервиса TACACS+, используемое для авторизации и учета.
  
  • Значение: строка длиной от 1 до 32 символов.
  • По умолчанию: "shell".
• protocol – протокол сервиса TACACS+, используемый для авторизации и учета.
  
  • Значение: строка длиной от 1 до 32 символов.
  • По умолчанию: "".

Значение по умолчанию

no service

Группа привилегий

config-access

Командный режим

CONFIG

Пример

MA5160(config)(aaa)# service name my_tacacs_service

tacacs-server

Команда настройки параметров TACACS+-сервера. Можно указать до трех серверов.

Синтаксис

[no] tacacs-server <PARAMETER> [<VALUE>]

Параметры

Таймаут ответа сервера (timeout):

• Значение: <1-30> – время ожидания ответа от TACACS+-сервера в секундах.
  По умолчанию: 5.
  Адрес TACACS+-сервера (host):
  Значение: AAA.BBB.CCC.DDD – IP-адрес TACACS+-сервера в формате A.B.C.D.
  Приоритет сервера (priority):
  Значение: <1-3> – приоритет TACACS+-сервера. Чем меньше значение, тем выше приоритет.
  Секретный ключ (key):
  Значение: строка длиной от 1 до 63 символов.
  Описание: секретный ключ (shared secret), используемый для шифрования всех коммуникаций между устройством и TACACS+-сервером.
  Порт сервера (port):
  Значение: <1-65535> – порт TACACS+-сервера.
  По умолчанию: 49.

Значение по умолчанию

no service

Группа привилегий

config-access

Командный режим

CONFIG

Пример

MA5160(config)(aaa)# service name my_tacacs_service

eeeeeeeeeeeeeeeeeeeeeeeeeeeeeee

radius-server host IP

Команда для задания адреса RADIUS-сервера, который будет использоваться для AAA. Можно указать до трех серверов. 

Синтаксис

[no] radius-server host <IP> 

Параметры

<IP> – IP-адрес сервера в формате AAA.BBB.CCC.DDD.

Значение по умолчанию

radius-server host 0.0.0.0

Группа привилегий

config-access

Командный режим

CONFIG

Пример

LTP-16N(configure)# radius-server host 192.168.1.1

radius-server host IP priority

Команда для задания приоритета RADIUS-сервера от 1 до 3, где 1 – самый высокий.

Синтаксис

[no] radius-server host <IP> priority <VALUE>

Параметры

<IP> – IP-адрес сервера в формате AAA.BBB.CCC.DDD;

<VALUE> – приоритет для сервера, значение от 1 до 3.

Значение по умолчанию

radius-server host 0.0.0.0 priority 1

Группа привилегий

config-access

Командный режим

CONFIG

Пример

LTP-16N(configure)# radius-server host 192.168.1.1 priority 2

radius-server host IP key

Команда для задания ключа шифрования запросов к RADIUS-серверу.

Синтаксис

[no] radius-server host <IP> key <VALUE>

Параметры

<IP> – IP-адрес сервера в формате AAA.BBB.CCC.DDD;
<VALUE> – ключ для сервера длиной от 1 до 64 символов.

Значение по умолчанию

radius-server host 0.0.0.0 key secret

Группа привилегий

config-access

Командный режим

CONFIG

Пример

LTP-16N(configure)# radius-server host 192.168.1.1 key secret12345

radius-server host IP port

Команда для задания порта, который будет использоваться для RADIUS-сервера.

Синтаксис

[no] radius-server host <IP> port <VALUE>

Параметры

<IP> – IP-адрес сервера в формате AAA.BBB.CCC.DDD;

<VALUE> – порт, который будет использоваться для обмена с сервером, значение от 1 до 65535.

Значение по умолчанию

radius-server host 0.0.0.0 port 1812

Группа привилегий

config-access

Командный режим

CONFIG

Пример

LTP-16N(configure)# radius-server host 192.168.1.1 port 345

radius-server host IP timeout

Команда для задания timeout ответа от сервера. По истечению времени ожидания запрос будет отправлен на следующий сервер согласно приоритету.

Синтаксис

[no] radius-server host <IP> timeout <VALUE>

Параметры

<IP> – IP-адрес сервера в формате AAA.BBB.CCC.DDD;

<VALUE> – время ожидания ответа от сервера, от 1 до 30 секунд.

Значение по умолчанию

radius-server host 0.0.0.0 timeout 3

Группа привилегий

config-access

Командный режим

CONFIG

Пример

LTP-16N(configure)# radius-server host 192.168.1.1 timeout 20

tacacs-server host IP

Команда для задания адреса сервера TACACS+, который будет использоваться для AAA. Можно указать до трех серверов. 

Синтаксис

[no] tacacs-server host <IP> 

Параметры

<IP> – IP-адрес сервера в формате AAA.BBB.CCC.DDD.

Значение по умолчанию

tacacs-server host 0.0.0.0 

Группа привилегий

config-access

Командный режим

CONFIG

Пример

LTP-16N(configure)# tacacs-server host 192.168.1.1

tacacs-server host IP priority

Команда для задания приоритета для TACACS-сервера от 1 до 3, где 1 – самый высокий.

Синтаксис

[no] tacacs-server host <IP> priority <VALUE>

Параметры

<IP> – IP-адрес сервера в формате AAA.BBB.CCC.DDD;

<VALUE> – приоритет для сервера, значение от 1 до 3.

Значение по умолчанию

tacacs-server host 0.0.0.0 priority 1

Группа привилегий

config-access

Командный режим

CONFIG

Пример

LTP-16N(configure)# tacacs-server host 192.168.1.1 priority 2

tacacs-server host IP key

Команда для задания ключа шифрования запросов к TACACS-серверу.

Синтаксис

[no] tacacs-server host <IP> key <VALUE>

Параметры

<IP> – IP-адрес сервера в формате AAA.BBB.CCC.DDD;

<VALUE> – ключ для сервера длиной от 1 до 64 символов.

Значение по умолчанию

tacacs-server host 0.0.0.0 key secret

Группа привилегий

config-access

Командный режим

CONFIG

Пример

LTP-16N(configure)# tacacs-server host 192.168.1.1 key secret12345

tacacs-server host IP port

Команда для задания порта, который будет использоваться для TACACS-сервера.

Синтаксис

[no] tacacs-server host <IP> port <VALUE>

Параметры

<IP> – IP-адрес сервера в формате AAA.BBB.CCC.DDD;

<VALUE> – порт, который будет использоваться для обмена с сервером, от 1 до 65535.

Значение по умолчанию

tacacs-server host 0.0.0.0 port 49

Группа привилегий

config-access

Командный режим

CONFIG

Пример

LTP-16N(configure)# tacacs-server host 192.168.1.1 port 345

tacacs-server timeout

Команда для задания timeout ответа от TACACS-сервера. По истечении времени ожидания запрос будет отправлен на следующий сервер по приоритету.

Синтаксис

[no] tacacs-server timeout <VALUE>

Параметры

<VALUE> – время ожидания ответа от сервера, от 1 до 30 секунд.

Значение по умолчанию

tacacs-server timeout 3

Группа привилегий

config-access

Командный режим

CONFIG

Пример

LTP-16N(configure)# tacacs-server timeout 20

service name

Команда для задания имени сервиса, которое будет подставляться в запросы к TACACS-серверу. Для некоторых серверов требуется отличный от стандартного формат.

Синтаксис

service name <VALUE>
no service name

Параметры

<VALUE> – значение имени, которое будет подставляться в запросы на сервер, длиной от 1 до 32 символов.

Значение по умолчанию

service name "shell"

Группа привилегий

config-access

Командный режим

CONFIG

Пример

LTP-16N(configure)# service name "test"

service protocol

Команда для задания протокола, который будет подставляться в запросы к TACACS-серверу. Для некоторых серверов требуется отличный от стандартного формат.

Синтаксис

service protocol <VALUE>
no service protocol

Параметры

<VALUE> – значение протокола, которое будет подставляться в запросы на сервер, длиной от 1 до 32 символов.

Значение по умолчанию

service protocol ""

Группа привилегий

config-access

Командный режим

CONFIG

Пример

LTP-16N(configure)# service protocol "test"