如果用户多次输入错误密码,我试图阻止用户配置 Cisco IOS 设备。这是我正在使用的命令:
Router(config)# login block-for 120 attempts 3 within 60
如果在 60 秒内输入了 3 次不正确的密码,它应该阻止登录尝试 120 秒。我已经在 Packet Tracer 中尝试过这个,但它似乎不起作用:如果您尝试访问路由器的用户 EXEC 模式并使用错误的密码,您在 3 次尝试后没有被阻止,唯一发生的事情是它说“错误的密码”,然后您可以继续尝试。此命令应该阻止哪些类型的登录?用户 EXEC、特权 EXEC、控制台端口?
根据您的评论,sl_def_acl无论出于何种原因,默认ACL 都没有加载到您的配置中。该login-block功能的行为是在违反某些参数后使用安静模式。在您的情况下,在 60 秒内尝试 3 次失败后,将应用 120 秒的静默期 ACL。如果您没有明确定义安静模式,它将默认为以下 ACL。
Router#show access-lists sl_def_acl
Extended IP access list sl_def_acl
10 deny tcp any any eq telnet
20 deny tcp any any eq www
30 deny tcp any any eq 22
40 permit ip any any
Cisco IOS 登录增强功能(登录块)的默认sl_def_aclACL 示例。
为这些参数手动定义您自己的 ACL 是理想的。
login quiet-mode access-class {acl-name | acl-number}
如果您想了解有关此功能如何工作的更多信息,请访问涵盖此功能的Cisco 文档以获取更多详细信息。
也许对该功能的工作方式存在误解......这是我的基本配置......基本功能不需要显式ACL即可工作
login block-for功能前的基线配置xconnect01#sh runn | i username|aaa|access-list
username cisco privilege 15 password 7 13061E010803
aaa new-model
aaa authentication login default local-case
aaa authentication enable default enable
aaa session-id common
xconnect01#
xconnect01#sh runn | b line vty
line vty 0 4
password 7 070C285F4D06
!
ntp clock-period 17180450
ntp server vrf mgmtVrf 172.16.1.5
end
xconnect01#
现在我配置基本login block-for功能...
xconnect01#conf t
Enter configuration commands, one per line. End with CNTL/Z.
xconnect01(config)# login block-for 120 attempts 3 within 60
xconnect01(config)#end
xconnect01#quit
Connection closed by foreign host.
[mpenning@tsunami ~]$
输入一些错误的登录名以故意阻止自己。
[mpenning@tsunami ~]$ date; telnet 172.16.1.240
Thu Mar 6 06:05:20 CST 2014
Trying 172.16.1.240...
Connected to 172.16.1.240.
Escape character is '^]'.
User Access Verification
Username: foobarme
Password:
% Authentication failed
Username: foobarme
Password:
% Authentication failed
Username: foobarme
Password:
% Authentication failed
Connection closed by foreign host.
[mpenning@tsunami ~]$
注意在 my 之前的日期命令telnet;这些文件正是我 telnet 到实验室路由器时的文件。
[mpenning@tsunami ~]$ date; telnet 172.16.1.240
Thu Mar 6 06:05:37 CST 2014
Trying 172.16.1.240...
telnet: Unable to connect to remote host: Connection refused
[mpenning@tsunami ~]$
[mpenning@tsunami ~]$ date; telnet 172.16.1.240
Thu Mar 6 06:06:51 CST 2014
Trying 172.16.1.240...
telnet: Unable to connect to remote host: Connection refused
[mpenning@tsunami ~]$
被屏蔽两分钟后,我可以重新登录...
[mpenning@tsunami ~]$ date; telnet 172.16.1.240
Thu Mar 6 06:07:56 CST 2014
Trying 172.16.1.240...
Connected to 172.16.1.240.
Escape character is '^]'.
User Access Verification
Username: cisco
Password:
xconnect01>