Estou tentando impedir que os usuários configurem um dispositivo Cisco IOS se eles tiverem digitado senhas incorretas várias vezes. Este é o comando que estou usando:
Router(config)# login block-for 120 attempts 3 within 60
O que deve bloquear as tentativas de login por 120 segundos, caso as senhas incorretas tenham sido inseridas três vezes em 60 segundos. Eu tentei isso no Packet Tracer e parece que não funciona: se você tentar obter acesso ao modo EXEC do usuário do roteador e usar senhas incorretas, não será bloqueado após três tentativas, a única coisa que acontece é que diz " senhas ruins "e você pode continuar tentando. Quais tipos de logon esse comando deve bloquear? usuário EXEC, EXEC privilegiado, porta do console?
show access-list sl_def_acl
? Se uma ACL de modo silencioso não tiver sido desenvolvida, ela usará asl_def_acl
ACL padrão que não aparece na execução da configuração.do show access-list sl_def_acl
Router#show access-list sl_def_acl
.Respostas:
Com base nos seus comentários, a
sl_def_acl
ACL padrão não foi carregada na sua configuração, por qualquer motivo. O comportamento dologin-block
recurso é usar um modo silencioso após a violação de determinados parâmetros. No seu caso, após três tentativas falhas em 60 segundos, a ACL será aplicada por um período silencioso por 120 segundos. Se você não definiu explicitamente um modo silencioso, o padrão será a ACL abaixo.sl_def_acl
Amostra padrão da ACL cortesia dos aprimoramentos de logon do Cisco IOS (bloco de logon) .Definir manualmente sua própria ACL para esses parâmetros é ideal.
Se você quiser obter informações adicionais sobre como essa função funciona, acesse a Documentação da Cisco que cobre isso para obter mais detalhes.
fonte
Talvez haja um mal-entendido de como o recurso funciona ... essa é minha configuração básica ... nenhuma ACL explícita é necessária para que a funcionalidade básica funcione
Configuração da linha de base antes de configurar o
login block-for
recursoConfigurando o Recurso
Agora eu configuro o
login block-for
recurso básico ...Demonstrando falhas
Inserir alguns logins errados para me bloquear intencionalmente.
Demonstrando os blocos por 120 segundos
Observe os comandos date imediatamente antes do meu
telnet
; estes documentos exatamente quando eu telnet para o roteador de laboratório.Demonstrando um login bem-sucedido após o período silencioso de 120 segundos
Dois minutos depois de ser bloqueado, posso entrar novamente ...
fonte