Онлайн-демонстрация
Связаться с нами
11.15. Команды AAA
11.15.1. aaa new-model
Назначение
Команда aaa new-model используется для включения модели контроля доступа аутентификации, авторизации и учёта (AAA).
Команда no aaa new-model используется для отключения модели AAA.
Требования
Серия |
Версия ОС |
Тип лицензии |
Примечания |
|---|---|---|---|
AQ-N3000 |
7.0 |
Advanced |
- |
AQ-N5000 |
7.0 |
Advanced |
- |
AQ-N6000 |
7.0 |
Professional |
- |
Синтаксис
aaa new-model
no aaa new-model
Режим ввода
Global Config
Состояние по умолчанию
Нет
Применение
Включает модель контроля доступа AAA.
Примеры
Включение модели контроля доступа AAA:
Switch# configure terminal
Switch(config)# aaa new-model
Связанные команды
show aaa status
11.15.2. aaa authentication login
Назначение
Команда aaa authentication login используется для настройки аутентификации при входе администратора в систему.
Команда no aaa authentication login используется для отключения аутентификации при входе.
Требования
Серия |
Версия ОС |
Тип лицензии |
Примечания |
|---|---|---|---|
AQ-N3000 |
7.0 |
Advanced |
- |
AQ-N5000 |
7.0 |
Advanced |
- |
AQ-N6000 |
7.0 |
Professional |
- |
Синтаксис
aaa authentication login (default|LISTNAME) {enable|line|none|radius|local|tacacs-plus}
no aaa authentication login (default|LISTNAME)
Параметр |
Описание параметра |
Значение параметра |
|---|---|---|
default |
Список методов по умолчанию |
- |
LISTNAME |
Список аутентификации с этим именем |
Строка до 31 символа |
enable |
Пароль для входа |
- |
line |
Пароль для линии |
- |
none |
Без аутентификации |
- |
radius |
Сервер RADIUS |
- |
local |
Локальное имя пользователя |
- |
tacacs-plus |
TACACS+ |
- |
Режим ввода
Global Config
Состояние по умолчанию
Нет
Применение
Команда aaa authentication login используется для указания одного или нескольких методов авторизации при входе администратора в систему.
Примеры
Настройка аутентификации при входе:
Switch# configure terminal
Switch(config)# aaa new-model
Switch(config)# aaa authentication login default local radius none
Связанные команды
show aaa method-lists authentication
11.15.4. aaa accounting exec
Назначение
Команда aaa accounting exec используется для настройки учета (AAA) сессий администратора при входе администратора в систему.
Требования
Серия |
Версия ОС |
Тип лицензии |
Примечания |
|---|---|---|---|
AQ-N3000 |
7.0 |
Advanced |
- |
AQ-N5000 |
7.0 |
Advanced |
- |
AQ-N6000 |
7.0 |
Professional |
- |
Синтаксис
aaa accounting exec (default|LISTNAME) (((start-stop|stop-only) {radius|tacacs-plus} (none|))|none)
no aaa accounting exec (default|LISTNAME)
Параметр |
Описание параметра |
Значение параметра |
|---|---|---|
default |
Список методов по умолчанию |
- |
LISTNAME |
Список учета с этим именем |
Текст до 31 символа |
start-stop |
Отправлять запросы на начало и окончание учета при входе |
- |
stop-only |
Отправлять только запрос на окончание учета при выходе |
- |
none |
Без учета |
- |
radius |
Сервер RADIUS |
- |
tacacs-plus |
TACACS+ |
- |
Режим ввода
Global Config
Состояние по умолчанию
Нет
Применение
Команда aaa accounting exec задает методы учета сессий администратора в EXEC-режиме. Методы применяются последовательно.
Примеры
Настройка учета:
Switch# configure terminal
Switch(config)# aaa new-model
Switch(config)# aaa accounting exec default start-stop tacacs-plus
Связанные команды
Нет
11.15.5. aaa accounting commands
Назначение
Команда aaa accounting commands используется для настройки учета (AAA) команд, выполненных администратором в процессе работы с системой.
Требования
Серия |
Версия ОС |
Тип лицензии |
Примечания |
|---|---|---|---|
AQ-N3000 |
7.0 |
Advanced |
- |
AQ-N5000 |
7.0 |
Advanced |
- |
AQ-N6000 |
7.0 |
Professional |
- |
Синтаксис
aaa accounting commands (default|LISTNAME) ((tacacs-plus (none|))|none)
no aaa accounting commands (default|LISTNAME)
Параметр |
Описание параметра |
Значение параметра |
|---|---|---|
default |
Список методов по умолчанию |
- |
LISTNAME |
Список учета с этим именем |
Текст до 32 символов |
none |
Без учета |
- |
tacacs-plus |
TACACS+ |
- |
Режим ввода
Global Config
Состояние по умолчанию
Нет
Применение
Команда aaa accounting commands настраивает учет всех команд, введенных администратором в CLI после успешного входа в систему.
Методы применяются последовательно.
Примеры
Настройка учета команд администратора через TACACS+:
Switch# configure terminal
Switch(config)# aaa new-model
Switch(config)# aaa accounting commands default tacacs-plus none
Связанные команды
Нет
11.15.6. aaa privilege mapping
Назначение
Команда aaa privilege mapping используется для настройки диапазона отображения привилегий на сервере AAA и коммутаторе.
Требования
Серия |
Версия ОС |
Тип лицензии |
Примечания |
|---|---|---|---|
AQ-N3000 |
7.0 |
Advanced |
- |
AQ-N5000 |
7.0 |
Advanced |
- |
AQ-N6000 |
7.0 |
Professional |
- |
Синтаксис
aaa privilege mapping (LEVEL1|LEVEL2|LEVEL3
no aaa privilege mapping
Параметр |
Описание параметра |
Значение параметра |
|---|---|---|
LEVEL1 |
Максимальная привилегия сервера для отображения уровня 1 на коммутаторе, по умолчанию 0 |
0-12 |
LEVEL2 |
Максимальная привилегия сервера для отображения уровня 2 на коммутаторе, по умолчанию 1 |
1-13 |
LEVEL3 |
Максимальная привилегия сервера для отображения уровня 3 на коммутаторе, по умолчанию 10 |
2-15 |
Режим ввода
Global Config
Состояние по умолчанию
Привилегия сервера |
Уровень на коммутаторе |
|---|---|
0 |
1 |
1 |
2 |
2 - 10 |
3 |
11 - 15 |
4 |
Применение
Команда aaa privilege mapping используется для настройки диапазона отображения привилегий между сервером AAA и коммутатором.
Примеры
Настройка отображения привилегий:
Switch# configure terminal
Switch(config)# aaa new-model
Switch(config)# aaa privilege mapping 0 1 14
Связанные команды
Нет
11.15.7. login authentication
Назначение
Команда login authentication используется для включения аутентификации (AAA) для входа в систему.
Требования
Серия |
Версия ОС |
Тип лицензии |
Примечания |
|---|---|---|---|
AQ-N3000 |
7.0 |
Advanced |
- |
AQ-N5000 |
7.0 |
Advanced |
- |
AQ-N6000 |
7.0 |
Professional |
- |
Синтаксис
login authentication (default|LISTNAME)
no login authentication
Параметр |
Описание параметра |
Значение параметра |
|---|---|---|
default |
Список методов по умолчанию |
- |
LISTNAME |
Список аутентификации с этим именем |
Текст до 31 символа |
Режим ввода
Line Configuration
Состояние по умолчанию
Нет
Применение
Нет
Примеры
Настройка аутентификации для входа в систему:
Switch# configure terminal
Switch(config)# line vty 0 7
Switch(config-line)# login authentication default
Связанные команды
show aaa method-lists authentication
11.15.9. accounting exec
Назначение
Команда accounting exec используется для включения учета (AAA) для входа в систему.
Требования
Серия |
Версия ОС |
Тип лицензии |
Примечания |
|---|---|---|---|
AQ-N3000 |
7.0 |
Advanced |
- |
AQ-N5000 |
7.0 |
Advanced |
- |
AQ-N6000 |
7.0 |
Professional |
- |
Синтаксис
accounting exec (default|LISTNAME)
no accounting exec
Параметр |
Описание параметра |
Значение параметра |
|---|---|---|
default |
Список методов по умолчанию |
- |
LISTNAME |
Список учета с этим именем |
Текст до 31 символа |
Режим ввода
Line Configuration
Состояние по умолчанию
Нет
Применение
Нет
Примеры
Настройка учета для входа в систему:
Switch# configure terminal
Switch(config)# line vty 0 7
Switch(config-line)# accounting exec default
Связанные команды
Нет
11.15.10. accounting commands
Назначение
Команда accounting commands используется для включения учета (AAA) команд для входа в систему.
Требования
Серия |
Версия ОС |
Тип лицензии |
Примечания |
|---|---|---|---|
AQ-N3000 |
7.0 |
Advanced |
- |
AQ-N5000 |
7.0 |
Advanced |
- |
AQ-N6000 |
7.0 |
Professional |
- |
Синтаксис
accounting commands (default|LISTNAME)
no accounting commands
Параметр |
Описание параметра |
Значение параметра |
|---|---|---|
default |
Список методов по умолчанию |
- |
LISTNAME |
Список учета с этим именем |
Текст до 31 символа |
Режим ввода
Line Configuration
Состояние по умолчанию
Нет
Применение
Нет
Примеры
Включение учета команд для входа в систему:
Switch# configure terminal
Switch(config)# line vty 0 7
Switch(config-line)# accounting commands default
Связанные команды
Нет
11.15.11. show aaa method-lists authentication
Назначение
Команда show aaa method-lists authentication используется для отображения списков методов аутентификации AAA.
Требования
Серия |
Версия ОС |
Тип лицензии |
Примечания |
|---|---|---|---|
AQ-N3000 |
7.0 |
Advanced |
- |
AQ-N5000 |
7.0 |
Advanced |
- |
AQ-N6000 |
7.0 |
Professional |
- |
Синтаксис
show aaa method-lists authentication
Режим ввода
Privileged EXEC
Состояние по умолчанию
Нет
Применение
Эта команда используется для отображения списков методов аутентификации AAA.
Примеры
Switch# show aaa method-lists authentication
authen queue = AAA_ML_AUTHEN_LOGIN
name = default state = ALIVE : radius
authen queue = AAA_ML_AUTHEN_LOGIN
name = group_a state = ALIVE : radius local line enable none
authen queue=AAA_ML_AUTHEN_LOGIN
name = group_b state = ALIVE : local line none
Связанные команды
aaa authentication login
11.15.12. show aaa status
Назначение
Команда show aaa status используется для отображения статуса аутентификации, авторизации и учета (AAA).
Требования
Серия |
Версия ОС |
Тип лицензии |
Примечания |
|---|---|---|---|
AQ-N3000 |
7.0 |
Advanced |
- |
AQ-N5000 |
7.0 |
Advanced |
- |
AQ-N6000 |
7.0 |
Professional |
- |
Синтаксис
show aaa status
Режим ввода
Privileged EXEC
Состояние по умолчанию
Нет
Применение
Эта команда используется для отображения статуса аутентификации, авторизации и учета (AAA).
Примеры
Вывод команды show aaa status:
Switch# show aaa status
aaa stats:
Authentication enable
Связанные команды
aaa new-model
11.15.13. show aaa privilege mapping
Назначение
Команда show aaa privilege mapping используется для отображения соответствия привилегий между сервером и коммутатором.
Требования
Серия |
Версия ОС |
Тип лицензии |
Примечания |
|---|---|---|---|
AQ-N3000 |
7.0 |
Advanced |
- |
AQ-N5000 |
7.0 |
Advanced |
- |
AQ-N6000 |
7.0 |
Professional |
- |
Синтаксис
show aaa privilege mapping
Режим ввода
Privileged EXEC
Состояние по умолчанию
Нет
Применение
Эта команда используется для отображения соответствия привилегий между сервером и коммутатором.
Примеры
Вывод команды show aaa privilege mapping:
Switch# show aaa privilege mapping
Server Switch Server
=====================================
0 1 0
1 2 1
2~10 3 10
11~15 4 15
Связанные команды
aaa privilege mapping
11.15.14. login-security enable
Назначение
Команда login-security enable используется для включения или отключения функции безопасности входа. Используйте команду no login-security enable для отключения функции безопасности входа и восстановления значения по умолчанию.
Требования
Серия |
Версия ОС |
Тип лицензии |
Примечания |
|---|---|---|---|
AQ-N3000 |
7.0 |
Advanced |
- |
AQ-N5000 |
7.0 |
Advanced |
- |
AQ-N6000 |
7.0 |
Professional |
- |
Синтаксис
login-security enable
no login-security enable
Режим ввода
Global Config
Состояние по умолчанию
Давать возможность
Применение
При отключении функции безопасности входа все записи пользователей будут сброшены, то есть будут очищены счетчики ошибок пользователей в разблокированном состоянии и разблокированы пользователи в заблокированном состоянии.
Примеры
Включение функции безопасности входа:
Switch# configure terminal
Switch(config)# login-security enable
Отключение функции безопасности входа:
Switch# configure terminal
Switch(config)# no login-security enable
Связанные команды
Нет
11.15.15. login-security max-fail-num
Назначение
Команда login-security max-fail-num используется для настройки параметров безопасности входа, таких как максимальное количество неудачных попыток входа и время ведения статистики блокировок. Команда no login-security max-fail-num используется для восстановления значений по умолчанию.
Требования
Серия |
Версия ОС |
Тип лицензии |
Примечания |
|---|---|---|---|
AQ-N3000 |
7.0 |
Advanced |
- |
AQ-N5000 |
7.0 |
Advanced |
- |
AQ-N6000 |
7.0 |
Professional |
- |
Синтаксис
login-security max-fail-num MAX_FAIL_NUM PERIOD
no login-security max-fail-num
Параметр |
Описание параметра |
Значение параметра |
|---|---|---|
MAX_FAIL_NUM |
Максимальное количество неудачных попыток входа |
1 - 10 |
PERIOD |
Период учета неудачных попыток входа |
1 - 120 минут |
Режим ввода
Global Config
Состояние по умолчанию
5
Применение
Нет
Примеры
Настройка максимального количества неудачных попыток входа и периода учета неудачных попыток:
Switch# configure terminal
Switch(config)# login-security max-fail-num 7 9
Восстановления максимального количества неудачных попыток входа и периода учета неудачных попыток до значения по умолчанию:
Switch# configure terminal
Switch(config)# no login-security max-fail-num
Связанные команды
Нет
11.15.16. login-security lock-duration
Назначение
Команда login-security lock-duration используется для настройки времени блокировки в системе безопасности входа.
Команда no login-security lock-duration используется для восстановления значения по умолчанию.
Требования
Серия |
Версия ОС |
Тип лицензии |
Примечания |
|---|---|---|---|
AQ-N3000 |
7.0 |
Advanced |
- |
AQ-N5000 |
7.0 |
Advanced |
- |
AQ-N6000 |
7.0 |
Professional |
- |
Синтаксис
login-security lock-duration LOCK_PEROID
no login-security lock-duration
Параметр |
Описание параметра |
Значение параметра |
|---|---|---|
LOCK_PEROID |
Время блокировки |
0 - 1000 минут |
Режим ввода
Global Config
Состояние по умолчанию
5
Применение
Определяет продолжительность блокировки пользователя; значение 0 означает блокировку навсегда.
Примеры
Настройка времени блокировки:
Switch# configure terminal
Switch(config)# login-security lock-duration
Восстановление времени блокировки до значения по умолчанию:
Switch# configure terminal
Switch(config)# no login-security lock-duration
Связанные команды
Нет
11.15.17. show login-security
Назначение
Команда show login-security используется для отображения записей пользователей, которые ранее не смогли войти в систему.
Требования
Серия |
Версия ОС |
Тип лицензии |
Примечания |
|---|---|---|---|
AQ-N3000 |
7.0 |
Advanced |
- |
AQ-N5000 |
7.0 |
Advanced |
- |
AQ-N6000 |
7.0 |
Professional |
- |
Синтаксис
show login-security
Режим ввода
Privileged EXEC
Состояние по умолчанию
Нет
Применение
Нет
Примеры
Вывод информации о безопасности входа и записях о неудачных попытках:
Switch# show login-security
Switch# show login-security
Login Security: Enable
Max Fail Number: 5
Fail Period: 5 min
Lock Duration: 5 min
Login Security Records:
User name Local Locked Resume Time(s) Fail Count
======================================================================
admin 1 0 0 1
abcdefg 0 1 295 0
Связанные команды
Нет
11.15.18. clear login-security record
Назначение
Команда clear login-security record используется для удаления записей о неудачных попытках входа пользователей или для разблокировки пользователей, находящихся в заблокированном состоянии.
Требования
Серия |
Версия ОС |
Тип лицензии |
Примечания |
|---|---|---|---|
AQ-N3000 |
7.0 |
Advanced |
- |
AQ-N5000 |
7.0 |
Advanced |
- |
AQ-N6000 |
7.0 |
Professional |
- |
Синтаксис
clear login-security record (USERNAME| )
Параметр |
Описание параметра |
Значение параметра |
|---|---|---|
USERNAME |
Имя пользователя |
Первый символ должен быть a-z или A-Z; разрешены только символы 0-9, A-Za-z, .-_ и максимальная длина — 31 символ |
Режим ввода
Privileged EXEC
Состояние по умолчанию
Нет
Применение
Если не указано имя пользователя, удаляются все записи. Если указано имя пользователя, удаляется запись для данного имени пользователя.
Примеры
Удаление записей о неудачных попытках входа для пользователя admin1:
Switch# clear login-security record admin1
Связанные команды
Нет