8.10 Настройки управления доступом

access management

Синтаксис команды

access management
no access management

Описание синтаксиса

Команда не имеет аргументов.

Режим команды: Режим глобальной настройки.
Уровень доступа: 15

Указания по применению

Используйте команду «access management» для включения функции управления доступом. Используйте команду «no access management» для отключения функции управления доступом. По умолчанию функция управления доступом отключена.

Примеры

Пример показывает, как включить функцию управления доступом:

# configure terminal
(config)# access management
(config)#

access management (настройка IPv4)

Синтаксис команды

access management access_id access_vid start_addr [ to end_addr ] { [ web ] [ snmp] [ telnet ] [ ssh ] | all }
no access management access_id_list

Описание синтаксиса

Параметр	Описание
access_id	идентификатор записи управления доступом в диапазоне от 1 до 16.
access_vid	идентификатор VLAN в диапазоне от 1 до 4095.
start_addr	начальный IPv4-адрес в диапазоне адресов.
to	(oпционально) указание диапазона адресов.
end_addr	(oпционально) последний IPv4-адрес в диапазоне адресов. web —- (oпционально) ограничение доступа к управлению через web-сервис.
snmp	(oпционально) ограничение доступа к управлению через SNMP-сервис.
telnet	(oпционально) ограничение доступа к управлению через TELNET.
ssh	(oпционально) ограничение доступа к управлению через SSH-сервис.
all	(oпционально) ограничение доступа к управлению через все сервисы.
access_id_list	(oпционально) список идентификаторов записи управления доступом в диапазоне от 1 до 16

Режим команды: Режим глобальной настройки.
Уровень доступа: 15

Указания по применению

Используйте команду «access management» для добавления диапазона адресов IPv4, с которых разрешен доступ по управлению устройством. Используйте команду «no access management» для удаления диапазона адресов IPv4. По умолчанию диапазоны адресов не заданы.

Примеры

Пример показывает, как добавить диапазон адресов IPv4, с которых разрешен доступ по управлению устройством:

# configure terminal
(config)# access management 1 5 192.168.0.1 to 192.168.0.100 all
(config)#

access management (настройка IPv6)

Синтаксис команды

access management access_id access_vid start_addr [ to end_addr ] { [ web ] [ snmp] [ telnet ] [ ssh ] | all }
no access management access_id_list

Описание синтаксиса

access_id —идентификатор записи управления доступом в диапазоне от 1 до 16.

Параметр	Описание
access_vid	идентификатор VLAN в диапазоне от 1 до 4095.
start_addr	начальный IPv6-адрес в диапазоне адресов. to —- (oпционально) указание диапазона адресов.
end_addr	(oпционально) последний IPv6-адрес в диапазоне адресов. web —- (oпционально) ограничение доступа к управлению через web-сервис.
snmp	(oпционально) ограничение доступа к управлению через SNMP-сервис.
telnet	(oпционально) ограничение доступа к управлению через TELNET.
ssh	(oпционально) ограничение доступа к управлению через SSH-сервис.
all	(oпционально) ограничение доступа к управлению через все сервисы.
access_id_list	(oпционально) список идентификаторов записи управления доступом в диапазоне от 1 до 16.

Режим команды: Режим глобальной настройки.
Уровень доступа: 15

Указания по применению

Используйте команду «access management» для добавления диапазона адресов IPv6, с которых разрешен доступ по управлению устройством. Используйте команду «no access management» для удаления диапазона адресов IPv6. По умолчанию диапазоны адресов не заданы.

Примеры

Пример показывает, как добавить диапазон адресов IPv6, с которых разрешен доступ по управлению устройством:

# configure terminal
(config)# access management 1 5 2001:5c0:1400:a::68d:1 to 2001:5c0:1400:a::68d:ffff all
(config)#

clear access management statistics

Синтаксис команды

clear access management statistics

Описание синтаксиса

Команда не имеет аргументов.

Режим команды: Фундаментальный режим.
Уровень доступа: 15

Указания по применению

Используйте команду «clear access management statistics» для очистки счетчиков статистики функции управления доступом.

Примеры

Пример показывает, как очистить счетчики статистики функции управления доступом:

# clear access management statistics
#

login block-for

Синтаксис команды

login block-for block_time attempts attempts within within
no login block-for

Описание синтаксиса

Параметр	Описание
block_time	время блокировки до последующей возможности входа в диапазоне от 1 до 65535 секунд.
attempts	количество попыток для входа, до срабатывания блокировки в диапазоне от 1 до 65535.
within	время, за которое будут учитываться попытки входа в диапазоне от 1 до 65535 секунд.

Режим команды: Режим глобальной настройки.
Уровень доступа: 15

Указания по применению

Используйте команду «login block-for» для включения ограничения количества попыток входа по протоколам telnet, ssh и http/https, с последующей блокировкой возможности входа на изделие. Используйте команду «no login block-for» для отключения ограничения количества попыток входа и блокировки возможности входа на изделие. По умолчанию ограничения отключены.

Примеры

Пример показывает, как создать ограничение для входа длительностью 2 минуты, срабатывающее после 5 неудачных попыток авторизации в течении 1 минуты:

# configure terminal
(config)# login block-for 120 attempts 5 within 60
(config)#

login block-for reset

Синтаксис команды

login block-for reset

Описание синтаксиса

Команда не имеет аргументов.

Режим команды: Режим глобальной настройки.
Уровень доступа: 15

Указания по применению

Используйте команду «login block-for reset» при исчерпании лимита удачных попыток авторизации по протоколам telnet, ssh и http/https и переходе изделия в заблокированный для авторизации режим, для сброса текущих активных ограничений.

Примеры

Пример показывает, как установить время задержки до появления следующего окна приглашения для входа, после неудачной попытки авторизации на устройстве, равное 5 секундам:

# configure terminal
(config)# login block-for reset
(config)#

login delay

Синтаксис команды

login delay delay

Описание синтаксиса

Параметр	Описание
delay	время до появления приглашения для входа в рамках одной сессии, при неудачной попытке входа в диапазоне от 1 до 10 секунд.

Режим команды: Режим глобальной настройки.
Уровень доступа: 15

Указания по применению

Используйте команду «login delay» для установки промежутка времени, после которого появится следующее приглашение для входа, после неудачной попытки авторизации на устройстве по протоколам telnet, ssh, http/https. По умолчанию значение равно 3 секундам.

Примеры

Пример показывает, как установить время задержки до появления следующего окна приглашения для входа, после неудачной попытки авторизации на устройстве, равное 5 секундам:

# configure terminal
(config)# login delay 5
(config)#

login on-failure log

Синтаксис команды

login on-failure log
no login on-failure log

Описание синтаксиса

Команда не имеет аргументов.

Режим команды: Режим глобальной настройки.
Уровень доступа: 15

Указания по применению

Используйте команду «login on-failure log» для включения режима логирования неудачных попыток авторизации на устройстве по протоколам ssh, telnet, http/https. Используйте команду «no login on-failure log» для отключения режима логирования неудачных попыток авторизации на устройстве. По умолчанию логирование неудачных попыток авторизации на устройстве отключено.

Примеры

Пример показывает, как включить режим логирования неудачных попыток авторизации на устройстве:

# configure terminal
(config)# login on-failure log
(config)#

show access management

Синтаксис команды

show access management [ statistics | access_id_list ]

Описание синтаксиса

Параметр	Описание
statistics	(oпционально) вывод счетчиков статистики функции управления доступом.
access_id_list	(oпционально) идентификатор записи управления доступом.

Режим команды: Фундаментальный режим.
Уровень доступа: 15

Указания по применению

Используйте команду «show access management» для вывода информации о функции управления доступом. Если команда введена без аргументов, то происходит вывод настроек функции управления доступом.

Примеры

Пример показывает, как вывести информацию о функции управления доступом:

# show access management
Switch access management mode is enabled
W: WEB/HTTPS
S: SNMP
T: TELNET
H: SSH
Idx VID  Start IP Address  End IP Address  W S T H
--- ---  ----------------  --------------  - - - -
1   5    192.168.0.1       192.168.0.100   Y Y Y Y
#

show login

Синтаксис команды

show login

Описание синтаксиса

Команда не имеет аргументов.

Режим команды: Фундаментальный режим.
Уровень доступа: 15

Указания по применению

Используйте команду «show login» для вывода информации о настройках и текущем статусе ограничений на количество попыток входа на изделие и логирования неудачных попыток авторизации по протоколам ssh, telnet, http/https.

Примеры

Пример показывает, как вывести информацию о настройках и текущем статусе ограничений на количество попыток входа на изделие и логирования неудачных попыток авторизации по протоколам ssh, telnet, http/https:

# show login
Login delay of 5 is applied.
Router enabled to watch for login attacks.
If more than 5 login failures occur in 60 seconds or less, logins will be disabled for 120 seconds.
All failed login is logged
Router presently in normal-mode.
Current Watch Window remaining time 21 seconds.
login failure count 0.
#