Онлайн-демонстрация
Связаться с нами
11.15. Команды AAA
11.15.1. aaa new-model
Назначение
Команда aaa new-model используется для включения модели контроля доступа аутентификации, авторизации и учета (AAA).
Команда no aaa new-model используется для отключения модели AAA.
Требования
Серия |
Версия ОС |
Тип лицензии |
Примечания |
|---|---|---|---|
AQ-N3000 |
7.0 |
Advanced |
- |
AQ-N5000 |
7.0 |
Advanced |
- |
AQ-N6000 |
7.0 |
Professional |
- |
Синтаксис
aaa new-model
no aaa new-model
Режим ввода
Global Config
Состояние по умолчанию
Нет
Применение
Включает модель контроля доступа AAA.
Примеры
Включение модели контроля доступа AAA:
Switch# configure terminal
Switch(config)# aaa new-model
Связанные команды
11.15.2. aaa authentication login
Назначение
Команда aaa authentication login используется для настройки аутентификации при входе администратора в систему.
Команда no aaa authentication login используется для отключения аутентификации при входе.
Требования
Серия |
Версия ОС |
Тип лицензии |
Примечания |
|---|---|---|---|
AQ-N3000 |
7.0 |
Advanced |
- |
AQ-N5000 |
7.0 |
Advanced |
- |
AQ-N6000 |
7.0 |
Professional |
- |
Синтаксис
aaa authentication login (default|LISTNAME) {enable|line|none|radius|local|tacacs-plus}
no aaa authentication login (default|LISTNAME)
Параметр |
Описание параметра |
Значение параметра |
|---|---|---|
|
Список методов по умолчанию |
- |
|
Список аутентификации с этим именем |
Строка до 31 символа |
|
Пароль для входа |
- |
|
Пароль для линии |
- |
|
Без аутентификации |
- |
|
Сервер RADIUS |
- |
|
Локальное имя пользователя |
- |
|
TACACS+ |
- |
Режим ввода
Global Config
Состояние по умолчанию
Нет
Применение
Команда aaa authentication login используется для указания одного или нескольких методов авторизации при входе администратора в систему.
Примеры
Настройка аутентификации при входе:
Switch# configure terminal
Switch(config)# aaa new-model
Switch(config)# aaa authentication login default local radius none
Связанные команды
11.15.5. aaa accounting exec
Назначение
Команда aaa accounting exec используется для настройки учета (AAA) сессий администратора при входе администратора в систему.
Требования
Серия |
Версия ОС |
Тип лицензии |
Примечания |
|---|---|---|---|
AQ-N3000 |
7.0 |
Advanced |
- |
AQ-N5000 |
7.0 |
Advanced |
- |
AQ-N6000 |
7.0 |
Professional |
- |
Синтаксис
aaa accounting exec (default|LISTNAME) (((start-stop|stop-only) {radius|tacacs-plus} (none|))|none)
no aaa accounting exec (default|LISTNAME)
Параметр |
Описание параметра |
Значение параметра |
|---|---|---|
|
Список методов по умолчанию |
- |
|
Список учета с этим именем |
Текст до 31 символа |
|
Отправлять запросы на начало и окончание учета при входе |
- |
|
Отправлять только запрос на окончание учета при выходе |
- |
|
Без учета |
- |
|
Сервер RADIUS |
- |
|
TACACS+ |
- |
Режим ввода
Global Config
Состояние по умолчанию
Нет
Применение
Команда aaa accounting exec задает методы учета сессий администратора в EXEC-режиме. Методы применяются последовательно.
Примеры
Настройка учета:
Switch# configure terminal
Switch(config)# aaa new-model
Switch(config)# aaa accounting exec default start-stop tacacs-plus
Связанные команды
Нет
11.15.6. aaa accounting commands
Назначение
Команда aaa accounting commands используется для настройки учета (AAA) команд, выполненных администратором в процессе работы с системой.
Требования
Серия |
Версия ОС |
Тип лицензии |
Примечания |
|---|---|---|---|
AQ-N3000 |
7.0 |
Advanced |
- |
AQ-N5000 |
7.0 |
Advanced |
- |
AQ-N6000 |
7.0 |
Professional |
- |
Синтаксис
aaa accounting commands (default|LISTNAME) ((tacacs-plus (none|))|none)
no aaa accounting commands (default|LISTNAME)
Параметр |
Описание параметра |
Значение параметра |
|---|---|---|
|
Список методов по умолчанию |
- |
|
Список учета с этим именем |
Текст до 32 символов |
|
Без учета |
- |
|
TACACS+ |
- |
Режим ввода
Global Config
Состояние по умолчанию
Нет
Применение
Команда aaa accounting commands настраивает учет всех команд, введенных администратором в CLI после успешного входа в систему.
Методы применяются последовательно.
Примеры
Настройка учета команд администратора через TACACS+:
Switch# configure terminal
Switch(config)# aaa new-model
Switch(config)# aaa accounting commands default tacacs-plus none
Связанные команды
Нет
11.15.7. aaa privilege mapping
Назначение
Команда aaa privilege mapping используется для настройки диапазона отображения привилегий на сервере AAA и коммутаторе.
Требования
Серия |
Версия ОС |
Тип лицензии |
Примечания |
|---|---|---|---|
AQ-N3000 |
7.0 |
Advanced |
- |
AQ-N5000 |
7.0 |
Advanced |
- |
AQ-N6000 |
7.0 |
Professional |
- |
Синтаксис
aaa privilege mapping (LEVEL1|LEVEL2|LEVEL3
no aaa privilege mapping
Параметр |
Описание параметра |
Значение параметра |
|---|---|---|
|
Максимальная привилегия сервера для отображения уровня 1 на коммутаторе, по умолчанию 0 |
0-12 |
|
Максимальная привилегия сервера для отображения уровня 2 на коммутаторе, по умолчанию 1 |
1-13 |
|
Максимальная привилегия сервера для отображения уровня 3 на коммутаторе, по умолчанию 10 |
2-15 |
Режим ввода
Global Config
Состояние по умолчанию
Привилегия сервера |
Уровень на коммутаторе |
|---|---|
0 |
1 |
1 |
2 |
2 - 10 |
3 |
11 - 15 |
4 |
Применение
Команда aaa privilege mapping используется для настройки диапазона отображения привилегий между сервером AAA и коммутатором.
Примеры
Настройка отображения привилегий:
Switch# configure terminal
Switch(config)# aaa new-model
Switch(config)# aaa privilege mapping 0 1 14
Связанные команды
Нет
11.15.8. login authentication
Назначение
Команда login authentication используется для включения аутентификации (AAA) для входа в систему.
Требования
Серия |
Версия ОС |
Тип лицензии |
Примечания |
|---|---|---|---|
AQ-N3000 |
7.0 |
Advanced |
- |
AQ-N5000 |
7.0 |
Advanced |
- |
AQ-N6000 |
7.0 |
Professional |
- |
Синтаксис
login authentication (default|LISTNAME)
no login authentication
Параметр |
Описание параметра |
Значение параметра |
|---|---|---|
|
Список методов по умолчанию |
- |
|
Список аутентификации с этим именем |
Текст до 31 символа |
Режим ввода
Line Configuration
Состояние по умолчанию
Нет
Применение
Нет
Примеры
Настройка аутентификации для входа в систему:
Switch# configure terminal
Switch(config)# line vty 0 7
Switch(config-line)# login authentication default
Связанные команды
11.15.11. accounting exec
Назначение
Команда accounting exec используется для включения учета (AAA) для входа в систему.
Требования
Серия |
Версия ОС |
Тип лицензии |
Примечания |
|---|---|---|---|
AQ-N3000 |
7.0 |
Advanced |
- |
AQ-N5000 |
7.0 |
Advanced |
- |
AQ-N6000 |
7.0 |
Professional |
- |
Синтаксис
accounting exec (default|LISTNAME)
no accounting exec
Параметр |
Описание параметра |
Значение параметра |
|---|---|---|
|
Список методов по умолчанию |
- |
|
Список учета с этим именем |
Текст до 31 символа |
Режим ввода
Line Configuration
Состояние по умолчанию
Нет
Применение
Нет
Примеры
Настройка учета для входа в систему:
Switch# configure terminal
Switch(config)# line vty 0 7
Switch(config-line)# accounting exec default
Связанные команды
Нет
11.15.12. accounting commands
Назначение
Команда accounting commands используется для включения учета (AAA) команд для входа в систему.
Требования
Серия |
Версия ОС |
Тип лицензии |
Примечания |
|---|---|---|---|
AQ-N3000 |
7.0 |
Advanced |
- |
AQ-N5000 |
7.0 |
Advanced |
- |
AQ-N6000 |
7.0 |
Professional |
- |
Синтаксис
accounting commands (default|LISTNAME)
no accounting commands
Параметр |
Описание параметра |
Значение параметра |
|---|---|---|
|
Список методов по умолчанию |
- |
|
Список учета с этим именем |
Текст до 31 символа |
Режим ввода
Line Configuration
Состояние по умолчанию
Нет
Применение
Нет
Примеры
Включение учета команд для входа в систему:
Switch# configure terminal
Switch(config)# line vty 0 7
Switch(config-line)# accounting commands default
Связанные команды
Нет
11.15.13. debug aaa
Назначение
Команда debug aaa используется для включения отладки AAA (Authentication, Authorization, Accounting).
Чтобы вернуть настройки по умолчанию, используйте команду no debug aaa.
Требования
Серия |
Версия ОС |
Тип лицензии |
Примечания |
|---|---|---|---|
AQ-N3000 |
7.6.0 |
Advanced |
- |
AQ-N5000 |
7.6.0 |
Advanced |
- |
AQ-N6000 |
7.6.0 |
Advanced |
- |
Синтаксис
debug aaa (event|timer|packet|all)
no debug aaa (event|timer|packet|all)
Параметр |
Описание параметра |
Значение параметра |
|---|---|---|
|
вывод отладочных сообщений о событиях AAA |
- |
|
вывод отладочных сообщений о таймерах AAA |
- |
|
вывод отладочных сообщений о пакетах AAA, включая отправленные и полученные |
- |
|
вывод всех отладочных сообщений, указанных выше |
- |
Режим ввода
Privileged EXEC
Состояние по умолчанию
Нет
Применение
Команда terminal monitor используется для отображения отладочных сообщений непосредственно в виртуальном терминале (VTY).
Команда show logging buffer используется для проверки отладочных сообщений в буфере журналов.
Важно!
Для обеспечения обратной совместимости начиная с версии AqNOS 7.6.0 команда debug dot1x является алиасом (синонимом) команды debug aaa.
Примеры
Включение полной отладки AAA:
Switch# debug aaa all
Связанные команды
11.15.14. show aaa method-lists authentication
Назначение
Команда show aaa method-lists authentication используется для отображения списков методов аутентификации AAA.
Требования
Серия |
Версия ОС |
Тип лицензии |
Примечания |
|---|---|---|---|
AQ-N3000 |
7.0 |
Advanced |
- |
AQ-N5000 |
7.0 |
Advanced |
- |
AQ-N6000 |
7.0 |
Professional |
- |
Синтаксис
show aaa method-lists authentication
Режим ввода
Privileged EXEC
Состояние по умолчанию
Нет
Применение
Эта команда используется для отображения списков методов аутентификации AAA.
Примеры
Switch# show aaa method-lists authentication
authen queue = AAA_ML_AUTHEN_LOGIN
name = default state = ALIVE : radius
authen queue = AAA_ML_AUTHEN_LOGIN
name = group_a state = ALIVE : radius local line enable none
authen queue=AAA_ML_AUTHEN_LOGIN
name = group_b state = ALIVE : local line none
Связанные команды
11.15.15. radius-server algorithm
Назначение
Команда radius-server algorithm используется для выбора метода распределения запросов между серверами RADIUS. В режиме load-balancing запросы к RADIUS-серверам равномерно распределяются по принципу балансировки нагрузки.
Команда no radius-server algorithm отменяет выбранный алгоритм и возвращает поведение по умолчанию.
Требования
Серия |
Версия ОС |
Тип лицензии |
Примечания |
|---|---|---|---|
AQ-N3000 |
7.5.0 |
Advanced |
- |
AQ-N5000 |
7.5.0 |
Advanced |
- |
AQ-N6000 |
7.5.0 |
Professional |
- |
Синтаксис
radius-server algorithm load-balancing
no radius-server algorithm
Параметр |
Описание параметра |
Значение параметра |
|---|---|---|
|
Равномерное распределение запросов по серверам |
Поочередное переключение |
Режим ввода
Global Config
Состояние по умолчанию
Режим primary server - backup servers (основного и резервных): все запросы идут только на основной сервер, резервные используются при сбое основного.
Применение
Команда задает алгоритм балансировки между несколькими RADIUS-серверами:
load-balancing — равномерное распределение запросов по серверам.
Удаление настройки командой no radius-server algorithm возвращает поведение по умолчанию: используется только основной сервер, остальные активируются как резервные при его отказе (primary/backup режим).
Примеры
Включить распределение по балансировке:
Switch# configure terminal
Switch(config)# radius-server algorithm load-balancing
Связанные команды
Нет
11.15.16. show aaa status
Назначение
Команда show aaa status используется для отображения статуса аутентификации, авторизации и учета (AAA).
Требования
Серия |
Версия ОС |
Тип лицензии |
Примечания |
|---|---|---|---|
AQ-N3000 |
7.0 |
Advanced |
- |
AQ-N5000 |
7.0 |
Advanced |
- |
AQ-N6000 |
7.0 |
Professional |
- |
Синтаксис
show aaa status
Режим ввода
Privileged EXEC
Состояние по умолчанию
Нет
Применение
Эта команда используется для отображения статуса аутентификации, авторизации и учета (AAA).
Примеры
Вывод команды show aaa status:
Switch# show aaa status
aaa stats:
Authentication enable
Связанные команды
11.15.17. show aaa privilege mapping
Назначение
Команда show aaa privilege mapping используется для отображения соответствия привилегий между сервером и коммутатором.
Требования
Серия |
Версия ОС |
Тип лицензии |
Примечания |
|---|---|---|---|
AQ-N3000 |
7.0 |
Advanced |
- |
AQ-N5000 |
7.0 |
Advanced |
- |
AQ-N6000 |
7.0 |
Professional |
- |
Синтаксис
show aaa privilege mapping
Режим ввода
Privileged EXEC
Состояние по умолчанию
Нет
Применение
Эта команда используется для отображения соответствия привилегий между сервером и коммутатором.
Примеры
Вывод команды show aaa privilege mapping:
Switch# show aaa privilege mapping
Server Switch Server
=====================================
0 1 0
1 2 1
2~10 3 10
11~15 4 15
Связанные команды
11.15.18. login-security enable
Назначение
Команда login-security enable используется для включения или отключения функции безопасности входа. Используйте команду no login-security enable для отключения функции безопасности входа и восстановления значения по умолчанию.
Требования
Серия |
Версия ОС |
Тип лицензии |
Примечания |
|---|---|---|---|
AQ-N3000 |
7.0 |
Advanced |
- |
AQ-N5000 |
7.0 |
Advanced |
- |
AQ-N6000 |
7.0 |
Professional |
- |
Синтаксис
login-security enable
no login-security enable
Режим ввода
Global Config
Состояние по умолчанию
Давать возможность
Применение
При отключении функции безопасности входа все записи пользователей будут сброшены, то есть будут очищены счетчики ошибок пользователей в разблокированном состоянии и разблокированы пользователи в заблокированном состоянии.
Примеры
Включение функции безопасности входа:
Switch# configure terminal
Switch(config)# login-security enable
Отключение функции безопасности входа:
Switch# configure terminal
Switch(config)# no login-security enable
Связанные команды
Нет
11.15.19. login-security max-fail-num
Назначение
Команда login-security max-fail-num используется для настройки параметров безопасности входа, таких как максимальное количество неудачных попыток входа и время ведения статистики блокировок. Команда no login-security max-fail-num используется для восстановления значений по умолчанию.
Требования
Серия |
Версия ОС |
Тип лицензии |
Примечания |
|---|---|---|---|
AQ-N3000 |
7.0 |
Advanced |
- |
AQ-N5000 |
7.0 |
Advanced |
- |
AQ-N6000 |
7.0 |
Professional |
- |
Синтаксис
login-security max-fail-num MAX_FAIL_NUM PERIOD
no login-security max-fail-num
Параметр |
Описание параметра |
Значение параметра |
|---|---|---|
|
Максимальное количество неудачных попыток входа |
1 - 10 |
|
Период учета неудачных попыток входа |
1 - 120 минут |
Режим ввода
Global Config
Состояние по умолчанию
5
Применение
Нет
Примеры
Настройка максимального количества неудачных попыток входа и периода учета неудачных попыток:
Switch# configure terminal
Switch(config)# login-security max-fail-num 7 9
Восстановления максимального количества неудачных попыток входа и периода учета неудачных попыток до значения по умолчанию:
Switch# configure terminal
Switch(config)# no login-security max-fail-num
Связанные команды
Нет
11.15.20. login-security lock-duration
Назначение
Команда login-security lock-duration используется для настройки времени блокировки в системе безопасности входа.
Команда no login-security lock-duration используется для восстановления значения по умолчанию.
Требования
Серия |
Версия ОС |
Тип лицензии |
Примечания |
|---|---|---|---|
AQ-N3000 |
7.0 |
Advanced |
- |
AQ-N5000 |
7.0 |
Advanced |
- |
AQ-N6000 |
7.0 |
Professional |
- |
Синтаксис
login-security lock-duration LOCK_PEROID
no login-security lock-duration
Параметр |
Описание параметра |
Значение параметра |
|---|---|---|
|
Время блокировки |
0 - 1000 минут |
Режим ввода
Global Config
Состояние по умолчанию
5
Применение
Определяет продолжительность блокировки пользователя; значение 0 означает блокировку навсегда.
Примеры
Настройка времени блокировки:
Switch# configure terminal
Switch(config)# login-security lock-duration
Восстановление времени блокировки до значения по умолчанию:
Switch# configure terminal
Switch(config)# no login-security lock-duration
Связанные команды
Нет
11.15.21. show login-security
Назначение
Команда show login-security используется для отображения записей пользователей, которые ранее не смогли войти в систему.
Требования
Серия |
Версия ОС |
Тип лицензии |
Примечания |
|---|---|---|---|
AQ-N3000 |
7.0 |
Advanced |
- |
AQ-N5000 |
7.0 |
Advanced |
- |
AQ-N6000 |
7.0 |
Professional |
- |
Синтаксис
show login-security
Режим ввода
Privileged EXEC
Состояние по умолчанию
Нет
Применение
Нет
Примеры
Вывод информации о безопасности входа и записях о неудачных попытках:
Switch# show login-security
Switch# show login-security
Login Security: Enable
Max Fail Number: 5
Fail Period: 5 min
Lock Duration: 5 min
Login Security Records:
User name Local Locked Resume Time(s) Fail Count
======================================================================
admin 1 0 0 1
abcdefg 0 1 295 0
Связанные команды
Нет
11.15.22. clear login-security record
Назначение
Команда clear login-security record используется для удаления записей о неудачных попытках входа пользователей или для разблокировки пользователей, находящихся в заблокированном состоянии.
Требования
Серия |
Версия ОС |
Тип лицензии |
Примечания |
|---|---|---|---|
AQ-N3000 |
7.0 |
Advanced |
- |
AQ-N5000 |
7.0 |
Advanced |
- |
AQ-N6000 |
7.0 |
Professional |
- |
Синтаксис
clear login-security record (USERNAME| )
Параметр |
Описание параметра |
Значение параметра |
|---|---|---|
|
Имя пользователя |
Первый символ должен быть a-z или A-Z; разрешены только символы 0-9, A-Za-z, .-_ и максимальная длина — 31 символ |
Режим ввода
Privileged EXEC
Состояние по умолчанию
Нет
Применение
Если не указано имя пользователя, удаляются все записи. Если указано имя пользователя, удаляется запись для данного имени пользователя.
Примеры
Удаление записей о неудачных попытках входа для пользователя admin1:
Switch# clear login-security record admin1
Связанные команды
Нет
11.15.23. show test-access radius-server
Назначение
Команда show test-access radius-server предназначена для тестирования взаимодействия с сервером RADIUS. Позволяет проверить доступность и работоспособность указанного сервера RADIUS, а также корректность аутентификации с заданными учётными данными и портами.
Требования
Серия |
Версия ОС |
Тип лицензии |
Примечания |
|---|---|---|---|
AQ-N3000 |
7.5.0 |
Advanced |
- |
AQ-N5000 |
7.5.0 |
Advanced |
- |
AQ-N6000 |
7.5.0 |
Professional |
- |
Синтаксис
show test-access radius-server (mgmt-if| ) A.B.C.D user WORD password WORD {auth-port <1-65535>|acct-port <1-65535>}
Параметр |
Описание параметра |
Значение параметра |
|---|---|---|
|
Режим балансировки нагрузки (per-packet) |
Автоматическое распределение запросов |
|
Имя пользователя для аутентификации |
- |
|
Пароль пользователя для аутентификации |
- |
|
Порт аутентификации RADIUS (UDP) |
Целое число от 1 до 65535 |
|
Порт учёта RADIUS (UDP) |
Целое число от 1 до 65535 |
Режим ввода
Privileged EXEC
Состояние по умолчанию
Нет
Применение
Команда позволяет протестировать связь и функцию аутентификации с сервером RADIUS, отправляя запросы с указанным именем пользователя и паролем. Можно указать применение management интерфейса и выбрать порт для аутентификации (auth-port) или учёта (acct-port). Помогает диагностировать проблемы аутентификации и доступности RADIUS-сервера без необходимости использования внешних утилит.
Примеры
Тест аутентификации на RADIUS сервер с IP 192.0.2.10 с использованием интерфейса управления и порта аутентификации по умолчанию:
Switch# show test-access radius-server mgmt-if 192.0.2.10 user testuser password testpass auth-port 1812
Тест на RADIUS сервер без использования management interface по порту учета:
Switch# show test-access radius-server 192.0.2.10 user testuser password testpass acct-port 1813
Связанные команды
Нет