Онлайн-демонстрация
Связаться с нами
11.17. Команды AAA
11.17.1. aaa new-model
Назначение
Команда aaa new-model используется для включения модели контроля доступа аутентификации, авторизации и учёта (AAA).
Команда no aaa new-model используется для отключения модели AAA.
Требования
Серия |
Версия ОС |
Тип лицензии |
Примечания |
|---|---|---|---|
AQ-N3000 |
7.0 |
Base |
|
AQ-N5000 |
7.0 |
Base |
|
AQ-N6000 |
7.0 |
Base |
Синтаксис
aaa new-model
no aaa new-model
Режим ввода
Global Config
Состояние по умолчанию
Нет
Применение
Включает модель контроля доступа AAA.
Примеры
Включение модели контроля доступа AAA:
Switch# configure terminal
Switch(config)# aaa new-model
Связанные команды
show aaa status
11.17.2. aaa authentication login
Назначение
Команда aaa authentication login используется для настройки аутентификации, авторизации и учёта (AAA) при входе в систему.
Команда no aaa authentication login используется для отключения аутентификации при входе.
Требования
Серия |
Версия ОС |
Тип лицензии |
Примечания |
|---|---|---|---|
AQ-N3000 |
7.0 |
Base |
|
AQ-N5000 |
7.0 |
Base |
|
AQ-N6000 |
7.0 |
Base |
Синтаксис
aaa authentication login ( default | LISTNAME ) { enable | line | none | radius | local | tacacs-plus }
no aaa authentication login ( default | LISTNAME )
Параметр |
Описание параметра |
Значение параметра |
|---|---|---|
default |
Список методов по умолчанию |
- |
LISTNAME |
Список аутентификации с этим именем |
Строка до 31 символа |
enable |
Пароль для входа |
- |
line |
Пароль для линии |
- |
none |
Без аутентификации |
- |
radius |
Сервер RADIUS |
- |
local |
Локальное имя пользователя |
- |
tacacs-plus |
TACACS+ |
- |
Режим ввода
Global Config
Состояние по умолчанию
Нет
Применение
Команда aaa authentication login используется для указания одного или нескольких методов AAA для использования на портах, работающих по стандарту IEEE 802.1x.
Примеры
Настройка аутентификации при входе:
Switch# configure terminal
Switch(config)# aaa new-model
Switch(config)# aaa authentication login default local radius none
Связанные команды
show aaa method-lists authentication
11.17.4. aaa accounting exec
Назначение
Команда aaa accounting exec используется для настройки учета (AAA) при входе в систему.
Требования
Серия |
Версия ОС |
Тип лицензии |
Примечания |
|---|---|---|---|
AQ-N3000 |
7.0 |
Base |
|
AQ-N5000 |
7.0 |
Base |
|
AQ-N6000 |
7.0 |
Base |
Синтаксис
aaa accounting exec ( default | LISTNAME ) ( ( ( start-stop | stop-only ) { radius | tacacs-plus } ( none | ) ) | none )
no aaa accounting exec ( default | LISTNAME )
Параметр |
Описание параметра |
Значение параметра |
|---|---|---|
default |
Список методов по умолчанию |
- |
LISTNAME |
Список учета с этим именем |
Текст до 31 символа |
start-stop |
Отправлять запросы на начало и окончание учета при входе |
- |
stop-only |
Отправлять только запрос на окончание учета при выходе |
- |
none |
Без учета |
- |
radius |
Сервер RADIUS |
- |
tacacs-plus |
TACACS+ |
- |
Режим ввода
Global Config
Состояние по умолчанию
Нет
Применение
Команда aaa accounting exec используется для указания одного или нескольких методов учета AAA для использования на портах, работающих по стандарту IEEE 802.1x.
Примеры
Настройка учета:
Switch# configure terminal
Switch(config)# aaa new-model
Switch(config)# aaa accounting exec default start-stop tacacs-plus
Связанные команды
Нет
11.17.5. aaa accounting commands
Назначение
Команда aaa accounting commands используется для настройки учета команд (AAA) при входе в систему.
Требования
Серия |
Версия ОС |
Тип лицензии |
Примечания |
|---|---|---|---|
AQ-N3000 |
7.0 |
Base |
|
AQ-N5000 |
7.0 |
Base |
|
AQ-N6000 |
7.0 |
Base |
Синтаксис
aaa accounting commands ( default | LISTNAME ) ( ( tacacs-plus ( none | ) ) | none )
no aaa accounting commands ( default | LISTNAME )
Параметр |
Описание параметра |
Значение параметра |
|---|---|---|
default |
Список методов по умолчанию |
- |
LISTNAME |
Список учета с этим именем |
Текст до 32 символов |
none |
Без учета |
- |
tacacs-plus |
TACACS+ |
- |
Режим ввода
Global Config
Состояние по умолчанию
Нет
Применение
Команда aaa accounting commands используется для указания одного или нескольких методов учета AAA для команд, используемых на портах, работающих по стандарту IEEE 802.1x.
Примеры
Настройка учета команд:
Switch# configure terminal
Switch(config)# aaa new-model
Switch(config)# aaa accounting commands default tacacs-plus none
Связанные команды
Нет
11.17.6. aaa privilege mapping
Назначение
Команда aaa privilege mapping используется для настройки диапазона отображения привилегий на сервере AAA и коммутаторе.
Требования
Серия |
Версия ОС |
Тип лицензии |
Примечания |
|---|---|---|---|
AQ-N3000 |
7.0 |
Base |
|
AQ-N5000 |
7.0 |
Base |
|
AQ-N6000 |
7.0 |
Base |
Синтаксис
aaa privilege mapping LEVEL1 LEVEL2 LEVEL3
no aaa privilege mapping
Параметр |
Описание параметра |
Значение параметра |
|---|---|---|
LEVEL1 |
Максимальная привилегия сервера для отображения уровня 1 на коммутаторе, по умолчанию 0 |
0-12 |
LEVEL2 |
Максимальная привилегия сервера для отображения уровня 2 на коммутаторе, по умолчанию 1 |
1-13 |
LEVEL3 |
Максимальная привилегия сервера для отображения уровня 3 на коммутаторе, по умолчанию 10 |
2-14 |
Режим ввода
Global Config
Состояние по умолчанию
0: Привилегия сервера 0 отображается как уровень 1 на коммутаторе
1: Привилегия сервера 1 отображается как уровень 2 на коммутаторе
9: Привилегии сервера 2-9 отображаются как уровень 3 на коммутаторе
Другие: Привилегии сервера 10-15 отображаются как уровень 4 на коммутаторе
Применение
Команда aaa privilege mapping используется для настройки диапазона отображения привилегий между сервером AAA и коммутатором.
Примеры
Настройка отображения привилегий:
Switch# configure terminal
Switch(config)# aaa new-model
Switch(config)# aaa privilege mapping 0 1 14
Связанные команды
Нет
11.17.7. login authentication
Назначение
Команда login authentication используется для включения аутентификации (AAA) для входа в систему.
Требования
Серия |
Версия ОС |
Тип лицензии |
Примечания |
|---|---|---|---|
AQ-N3000 |
7.0 |
Base |
|
AQ-N5000 |
7.0 |
Base |
|
AQ-N6000 |
7.0 |
Base |
Синтаксис
login authentication ( default | LISTNAME )
no login authentication
Параметр |
Описание параметра |
Значение параметра |
|---|---|---|
default |
Список методов по умолчанию |
- |
LISTNAME |
Список аутентификации с этим именем |
Текст до 31 символа |
Режим ввода
Line Configuration
Состояние по умолчанию
Нет
Применение
Нет
Примеры
Настройка аутентификации для входа в систему:
Switch# configure terminal
Switch(config)# line vty 0 7
Switch(config-line)# login authentication default
Связанные команды
show aaa method-lists authentication
11.17.9. accounting exec
Назначение
Команда accounting exec используется для включения учета (AAA) для входа в систему.
Требования
Серия |
Версия ОС |
Тип лицензии |
Примечания |
|---|---|---|---|
AQ-N3000 |
7.0 |
Base |
|
AQ-N5000 |
7.0 |
Base |
|
AQ-N6000 |
7.0 |
Base |
Синтаксис
accounting exec ( default | LISTNAME )
no accounting exec
Параметр |
Описание параметра |
Значение параметра |
|---|---|---|
default |
Список методов по умолчанию |
- |
LISTNAME |
Список учета с этим именем |
Текст до 31 символа |
Режим ввода
Line Configuration
Состояние по умолчанию
Нет
Применение
Нет
Примеры
Настройка учета для входа в систему:
Switch# configure terminal
Switch(config)# line vty 0 7
Switch(config-line)# accounting exec default
Связанные команды
Нет
11.17.10. accounting commands
Назначение
Команда accounting commands используется для включения учета (AAA) команд для входа в систему.
Требования
Серия |
Версия ОС |
Тип лицензии |
Примечания |
|---|---|---|---|
AQ-N3000 |
7.0 |
Base |
|
AQ-N5000 |
7.0 |
Base |
|
AQ-N6000 |
7.0 |
Base |
Синтаксис
accounting commands ( default | LISTNAME )
no accounting commands
Параметр |
Описание параметра |
Значение параметра |
|---|---|---|
default |
Список методов по умолчанию |
- |
LISTNAME |
Список учета с этим именем |
Текст до 31 символа |
Режим ввода
Line Configuration
Состояние по умолчанию
Нет
Применение
Нет
Примеры
Включение учета команд для входа в систему:
Switch# configure terminal
Switch(config)# line vty 0 7
Switch(config-line)# accounting commands default
Связанные команды
Нет
11.17.11. show aaa method-lists authentication
Назначение
Команда show aaa method-lists authentication используется для отображения списков методов аутентификации AAA.
Требования
Серия |
Версия ОС |
Тип лицензии |
Примечания |
|---|---|---|---|
AQ-N3000 |
7.0 |
Base |
|
AQ-N5000 |
7.0 |
Base |
|
AQ-N6000 |
7.0 |
Base |
Синтаксис
show aaa method-lists authentication
Режим ввода
Privileged EXEC
Состояние по умолчанию
Нет
Применение
Эта команда используется для отображения списков методов аутентификации AAA.
Примеры
Вывод команды show aaa method-lists authentication:
Switch# show aaa method-lists authentication
authen queue = AAA_ML_AUTHEN_LOGIN
name = default state = ALIVE : radius
authen queue = AAA_ML_AUTHEN_LOGIN
name = group_a state = ALIVE : radius local line enable none
authen queue=AAA_ML_AUTHEN_LOGIN
name = group_b state = ALIVE : local line none
Связанные команды
aaa authentication login
11.17.12. show aaa status
Назначение
Команда show aaa status используется для отображения статуса аутентификации, авторизации и учета (AAA).
Требования
Серия |
Версия ОС |
Тип лицензии |
Примечания |
|---|---|---|---|
AQ-N3000 |
7.0 |
Base |
|
AQ-N5000 |
7.0 |
Base |
|
AQ-N6000 |
7.0 |
Base |
Синтаксис
show aaa status
Режим ввода
Privileged EXEC
Состояние по умолчанию
Нет
Применение
Эта команда используется для отображения статуса аутентификации, авторизации и учета (AAA).
Примеры
Вывод команды show aaa status:
Switch# show aaa status
aaa stats:
Authentication enable
Связанные команды
aaa new-model
11.17.13. show aaa privilege mapping
Назначение
Команда show aaa privilege mapping используется для отображения соответствия привилегий между сервером и коммутатором.
Требования
Серия |
Версия ОС |
Тип лицензии |
Примечания |
|---|---|---|---|
AQ-N3000 |
7.0 |
Base |
|
AQ-N5000 |
7.0 |
Base |
|
AQ-N6000 |
7.0 |
Base |
Синтаксис
show aaa privilege mapping
Режим ввода
Privileged EXEC
Состояние по умолчанию
Нет
Применение
Эта команда используется для отображения соответствия привилегий между сервером и коммутатором.
Примеры
Вывод команды show aaa privilege mapping:
Switch# show aaa privilege mapping
Server Switch Server
=====================================
0 1 0
1 2 1
2~10 3 10
11~15 4 15
Связанные команды
aaa privilege mapping
11.17.14. login-security enable
Назначение
Команда login-security enable используется для включения или отключения функции безопасности входа. Используйте команду no login-security enable для отключения функции безопасности входа и восстановления значения по умолчанию.
Требования
Серия |
Версия ОС |
Тип лицензии |
Примечания |
|---|---|---|---|
AQ-N3000 |
7.0 |
Base |
|
AQ-N5000 |
7.0 |
Base |
|
AQ-N6000 |
7.0 |
Base |
Синтаксис
login-security enable
no login-security enable
Режим ввода
Global Config
Состояние по умолчанию
Давать возможность
Применение
При отключении функции безопасности входа все записи пользователей будут сброшены, то есть будут очищены счетчики ошибок пользователей в разблокированном состоянии и разблокированы пользователи в заблокированном состоянии.
Примеры
Включение функции безопасности входа:
Switch# configure terminal
Switch(config)# login-security enable
Отключение функции безопасности входа:
Switch# configure terminal
Switch(config)# no login-security enable
Связанные команды
Нет
11.17.15. login-security max-fail-num
Назначение
Команда login-security max-fail-num используется для настройки параметров безопасности входа, таких как максимальное количество неудачных попыток входа и время ведения статистики блокировок. Команда no login-security max-fail-num используется для восстановления значений по умолчанию.
Требования
Серия |
Версия ОС |
Тип лицензии |
Примечания |
|---|---|---|---|
AQ-N3000 |
7.0 |
Base |
|
AQ-N5000 |
7.0 |
Base |
|
AQ-N6000 |
7.0 |
Base |
Синтаксис
login-security max-fail-num MAX_FAIL_NUM PERIOD
no login-security max-fail-num
Параметр |
Описание параметра |
Значение параметра |
|---|---|---|
MAX_FAIL_NUM |
Максимальное количество неудачных попыток входа |
1-10 |
PERIOD |
Период учета неудачных попыток входа |
1-120 минут |
Режим ввода
Global Config
Состояние по умолчанию
5
Применение
Нет
Примеры
Настройка максимального количества неудачных попыток входа и периода учета неудачных попыток:
Switch# configure terminal
Switch(config)# login-security max-fail-num 7 9
Восстановления максимального количества неудачных попыток входа и периода учета неудачных попыток до значения по умолчанию:
Switch# configure terminal
Switch(config)# no login-security max-fail-num
Связанные команды
Нет
11.17.16. login-security lock-duration
Назначение
Команда login-security lock-duration используется для настройки времени блокировки в системе безопасности входа. Команда no login-security lock-duration используется для восстановления значения по умолчанию.
Требования
Серия |
Версия ОС |
Тип лицензии |
Примечания |
|---|---|---|---|
AQ-N3000 |
7.0 |
Base |
|
AQ-N5000 |
7.0 |
Base |
|
AQ-N6000 |
7.0 |
Base |
Синтаксис
login-security lock-duration LOCK_PEROID
no login-security lock-duration
Параметр |
Описание параметра |
Значение параметра |
|---|---|---|
LOCK_PEROID |
Время блокировки |
0-1000 минут |
Режим ввода
Global Config
Состояние по умолчанию
5
Применение
Определяет продолжительность блокировки пользователя; значение 0 означает блокировку навсегда.
Примеры
Настройка времени блокировки:
Switch# configure terminal
Switch(config)# login-security lock-duration
Восстановление времени блокировки до значения по умолчанию:
Switch# configure terminal
Switch(config)# no login-security lock-duration
Связанные команды
Нет
11.17.17. show login-security
Назначение
Команда show login-security используется для отображения записей пользователей, которые ранее не смогли войти в систему.
Требования
Серия |
Версия ОС |
Тип лицензии |
Примечания |
|---|---|---|---|
AQ-N3000 |
7.0 |
Base |
|
AQ-N5000 |
7.0 |
Base |
|
AQ-N6000 |
7.0 |
Base |
Синтаксис
show login-security
Режим ввода
Privileged EXEC
Состояние по умолчанию
Нет
Применение
Нет
Примеры
Вывод информации о безопасности входа и записях о неудачных попытках:
Switch# show login-security
Switch# show login-security
Login Security: Enable
Max Fail Number: 5
Fail Period: 5 min
Lock Duration: 5 min
Login Security Records:
User name Local Locked Resume Time(s) Fail Count
======================================================================
admin 1 0 0 1
abcdefg 0 1 295 0
Связанные команды
Нет
11.17.18. clear login-security record
Назначение
Команда clear login-security record используется для удаления записей о неудачных попытках входа пользователей или для разблокировки пользователей, находящихся в заблокированном состоянии.
Требования
Серия |
Версия ОС |
Тип лицензии |
Примечания |
|---|---|---|---|
AQ-N3000 |
7.0 |
Base |
|
AQ-N5000 |
7.0 |
Base |
|
AQ-N6000 |
7.0 |
Base |
Синтаксис
clear login-security record ( USERNAME | )
Параметр |
Описание параметра |
Значение параметра |
|---|---|---|
USERNAME |
Имя пользователя |
Первый символ должен быть a-z или A-Z; разрешены только символы 0-9, A-Za-z, .-_ и максимальная длина — 31 символ |
Режим ввода
Privileged EXEC
Состояние по умолчанию
Нет
Применение
Если не указано имя пользователя, удаляются все записи. Если указано имя пользователя, удаляется запись для данного имени пользователя.
Примеры
Удаление записей о неудачных попытках входа для пользователя admin1:
Switch# clear login-security record admin1
Связанные команды
Нет