Guía de configuración de la Seguridad de Cisco IOS: Sujeción del avión de los datos, versión 12.2SR
Configurar la Seguridad Cerrojo y Llave para las listas de acceso dinámicas
6 Agosto 2013 - Traducción Automática | Otras Versiones: PDFpdf 214 KB | Inglés (2 Enero 2008) | Comentarios

Contenidos

Configuración de Seguridad Lock-and-Key (Listas de Acceso Dinámicas)

Contenido

Requisitos previos para configurar Cerrojo y Llave

Información sobre configurar la Seguridad Cerrojo y Llave (listas de acceso dinámicas)

Acerca de Lock-and-Key

Beneficios de Lock-and-Key

Cuándo Usar Lock-and-Key

Cómo Funciona Lock & Key

Compatibilidad con las Versiones Anteriores a Cisco IOS Release 11.1

Riesgo de Simulación con Lock-and-Key

Impactos del Rendimiento del Router con Lock-and-Key

Mantenimiento de Lock-and-Key

Listas de acceso dinámico

Autenticación Lock & Key

Comando autocommand

Cómo configurar la Seguridad Cerrojo y Llave (listas de acceso dinámicas)

Configuración de Lock-and-Key

Verificación de la Configuración Lock & Key

Visualizar las entradas de lista de acceso dinámico

Manualmente borrar las entradas de lista de acceso dinámico

Ejemplos de configuración para Cerrojo y Llave

Ejemplo: Cerrojo y Llave con la autenticación local

Ejemplo: Cerrojo y Llave con autenticación de TACACS+


Configuración de Seguridad Lock-and-Key (Listas de Acceso Dinámicas)


Historial de la característica

Versión
Modificación

IOS de Cisco

Para obtener información sobre el soporte de funciones de Cisco IOS Software, utilice Cisco Feature Navigator.


Este capítulo describe cómo configurar la Seguridad del Cerrojo y llave en su router. El Cerrojo y llave es una función de seguridad del filtrado de tráfico disponible para protocolo IP.

Para una descripción completa de los comandos del Cerrojo y llave, refiera a la referencia de comandos de la Seguridad de Cisco IOS. Para encontrar documentación de otros comandos que aparecen en este capítulo, utilice el índice principal de referencia de comandos, o busque en línea.

Para identificar la información de la plataforma de hardware o de la imagen de software asociada con una función, utilice el Feature Navigator en Cisco.com para buscar información sobre la función o consulte las notas de versión del software para una versión específica.

Contenido

Requisitos previos para configurar Cerrojo y Llave

Requisitos previos para configurar Cerrojo y Llave

Cómo configurar la Seguridad Cerrojo y Llave (listas de acceso dinámicas)

Ejemplos de configuración para Cerrojo y Llave

Requisitos previos para configurar Cerrojo y Llave

El Cerrojo y llave utiliza las listas de acceso ampliadas IP. Usted debe tener los sólidos conocimientos de cómo las Listas de acceso se utilizan al filtrar tráfico, antes de que usted intente configurar el Cerrojo y llave. Las Listas de acceso se describen en listas de control de acceso del capítulo las “: Información General y Pautas".

El Cerrojo y llave emplea la autenticación de usuario y la autorización según lo implementado en el paradigma del Authentication, Authorization, and Accounting (AAA) de Cisco. Usted debe entender cómo configurar la autenticación de usuario y la autorización AAA antes de que usted configure el Cerrojo y llave. La autenticación de usuario y la autorización se explica en la parte del “Authentication, Authorization, and Accounting (AAA)” este documento.

El Cerrojo y llave utiliza autocommand el comando, que usted debe entender. Este comando se describe en la referencia de comandos de los servicios de terminal del Cisco IOS.

Información sobre configurar la Seguridad Cerrojo y Llave (listas de acceso dinámicas)

Acerca de Lock-and-Key

Beneficios de Lock-and-Key

Cuándo Usar Lock-and-Key

Cómo Funciona Lock & Key

Compatibilidad con las Versiones Anteriores a Cisco IOS Release 11.1

Riesgo de Simulación con Lock-and-Key

Impactos del Rendimiento del Router con Lock-and-Key

Manualmente borrar las entradas de lista de acceso dinámico

Listas de acceso dinámico

Autenticación Lock & Key

Comando autocommand

Acerca de Lock-and-Key

El Cerrojo y llave es una función de seguridad del filtrado de tráfico que filtra dinámicamente protocolo IP el tráfico. El Cerrojo y llave se configura usando las listas de acceso ampliadas dinámicas IP. El Cerrojo y llave se puede utilizar conjuntamente con otras listas de acceso estándar y listas de acceso ampliadas estáticas.

Cuando se configura el Cerrojo y llave, señalado los usuarios cuyo tráfico IP se bloquea normalmente en un router puede tener el Acceso temporario a través del router. Cuando está accionado, el Cerrojo y llave configura de nuevo la lista de IP Access existente de la interfaz para permitir que los usuarios señalados alcancen su host designado. Luego, el Cerrojo y llave configura de nuevo la interfaz de nuevo a su estado original.

Para que un usuario acceda a un host a través de un router con el Cerrojo y llave configurado, el usuario debe primero abrir a una sesión telnet en el router. Cuando un usuario inicia una sesión de Telnet estándar al router, el Cerrojo y llave intenta automáticamente autenticar al usuario. Si autentican al usuario, después tendrán el Acceso temporario a través del router y podrán alcanzar su computadora principal de destino.

Beneficios de Lock-and-Key

El Cerrojo y llave proporciona las mismas ventajas que las listas de acceso ampliadas estándar y estáticas (estas ventajas se discuten en listas de control de acceso del capítulo las “: Descripción y guías de consulta”). Sin embargo, el Cerrojo y llave también tiene las ventajas siguientes de la Seguridad sobre las listas de acceso ampliadas estándar y estáticas:

El Cerrojo y llave utiliza un mecanismo del desafío para autenticar a los usuarios individuales.

El Cerrojo y llave proporciona una Administración más simple en el internetworks grande.

En muchos casos, el Cerrojo y llave reduce a la cantidad de router que procesa requerida para las Listas de acceso.

El Cerrojo y llave reduce la oportunidad para los robos de la red de los hackers de la red.

Con el Cerrojo y llave, usted puede especificar qué usuarios son el acceso permitido al cual fuente y las computadoras principales de destino. Estos usuarios deben pasar un proceso de autenticación de usuario antes de que sean acceso permitido a sus host designados. El Cerrojo y llave crea el acceso del usuario dinámico con un Firewall, sin el compromiso de otras restricciones de seguridad configuradas.

Cuándo Usar Lock-and-Key

Dos ejemplos de cuando usted puede ser que utilice el Cerrojo y llave siguen:

Cuando usted quisiera que un usuario remoto específico (o el grupo de usuarios remotos) pudiera acceder un host dentro de su red, conectando de sus host remotos vía Internet. El Cerrojo y llave autentica al usuario, después permite el acceso limitado a través de su router de escudo de protección para el host o la subred del individuo, por un período de tiempo finito.

Cuando usted quisiera que un subconjunto de hosts en una red local accediera un host en una red remota protegida por un Firewall. Con el Cerrojo y llave, usted puede habilitar el acceso al host remoto solamente para el conjunto deseado de los hosts del usuario local. El Cerrojo y llave requiere los usuarios autenticar a través de un servidor TACACS+, o el otro servidor de seguridad, antes de permitir que sus hosts accedan los host remotos.

Cómo Funciona Lock & Key

El proceso siguiente describe la operación de acceso con cerrojo y llave:

1. Un usuario abre a una sesión telnet en un router de la frontera (Firewall) configurado para el Cerrojo y llave. El usuario conecta vía el puerto de Terminal virtual en el router.

2. El Cisco IOS Software recibe el paquete Telnet, abre a una sesión telnet, indica para una contraseña, y realiza un proceso de autenticación de usuario. El usuario debe pasar la autenticación antes de que el acceso a través del router se permita. El proceso de autenticación se puede hacer por el router o por un servidor central de la seguridad de acceso tal como un TACACS+ o un servidor de RADIUS.

3. Cuando el usuario pasa la autenticación, son sesión telnet registrada de los, y el software crea una entrada temporaria en la lista de acceso dinámica. (Por su configuración, esta entrada temporaria puede limitar el rango de las redes a las cuales dan el usuario el Acceso temporario.)

4. Los datos de intercambios del usuario con el Firewall.

5. El software borra la entrada temporaria de la lista de acceso cuando se alcanza un descanso configurado, o cuando el administrador de sistema lo borra manualmente. El descanso configurado puede ser un tiempo de inactividad o un tiempo de espera absoluto.


Observela entrada temporaria de la lista de acceso no se borra automáticamente cuando el usuario termina una sesión. Sigue habiendo la entrada temporaria de la lista de acceso hasta que se alcance un descanso configurado o hasta que es borrado por el administrador de sistema.


Compatibilidad con las Versiones Anteriores a Cisco IOS Release 11.1

Las mejoras access-list al comando se utilizan para el Cerrojo y llave. Estas mejoras son compatibles con versiones anteriores — si usted emigra de una versión antes de que el Cisco IOS Release 11.1 a una más nueva versión, sus Listas de acceso sea convertido automáticamente para reflejar las mejoras. Sin embargo, si usted intenta utilizar el Cerrojo y llave con una versión antes del Cisco IOS Release 11.1, usted puede ser que encuentre los problemas según lo descrito en el párrafo siguiente de la precaución:


Las versionesdel Cisco IOS de la precaución antes de la versión 11,1 no son ascendente compatibles con las mejoras de la lista de acceso lock-and-key. Por lo tanto, si usted salva una lista de acceso con el software más viejo que la versión 11,1, y entonces utilice este software, la lista de acceso resultante no será interpretado correctamente. Esto podía causarle los problemas de seguridad severos. Usted debe salvar sus archivos de antigua configuración con el software del Cisco IOS Release 11.1 o Posterior antes de iniciar una imagen con estos archivos.

Riesgo de Simulación con Lock-and-Key


El acceso lock-and-keyde la precaución permite que un evento externo (sesión telnet) ponga una apertura en el Firewall. Mientras que existe esta apertura, el router es susceptible a la simulación de la dirección de origen.

Cuando se acciona el Cerrojo y llave, crea una apertura dinámica en el Firewall temporalmente configurando de nuevo una interfaz para permitir el acceso del usuario. Mientras que existe esta apertura, otro host pudo spoof el direccionamiento del usuario autenticado acceder detrás del Firewall. El Cerrojo y llave no causa el problema de la simulación de dirección; el problema se identifica solamente aquí como preocupación al usuario. El spoofing es un problema inherente a todas las Listas de acceso, y el Cerrojo y llave no aborda específicamente este problema.

Para prevenir el spoofing, cifrado de la configuración para cifrar el tráfico del host remoto en un router remoto asegurado, y desencriptado localmente en la interfaz del router que proporciona al Cerrojo y llave. Usted quiere asegurarse de que todo el tráfico usando el Cerrojo y llave será cifrado al ingresar al router; esta manera ningunos hackers puede el spoof la dirección de origen, porque no podrán duplicar el cifrado o ser autenticado al igual que una parte de requerida el proceso de configuración del cifrado.

Impactos del Rendimiento del Router con Lock-and-Key

Cuando se configura el Cerrojo y llave, el rendimiento del router se puede afectar de las siguientes maneras:

Cuando se acciona el Cerrojo y llave, la lista de acceso dinámica fuerza una reconstrucción de la lista de acceso en el Silicon Switching Engine (SSE). Esto hace que el trayecto de conmutación SSE funcione más lento momentáneamente.

Las listas de acceso dinámicas requieren el recurso del tiempo de inactividad (incluso si el descanso se deja para omitir) y por lo tanto no pueden ser SSE conmutaron. Estas entradas se deben manejar en el trayecto de Switching rápido del protocolo.

Cuando los usuarios remotos accionan el Cerrojo y llave en un Router del borde, las entradas de lista de acceso adicionales se crean en la interfaz del Router del borde. La lista de acceso de la interfaz crecerá y se encogerá dinámicamente. Las entradas se eliminan dinámicamente de la lista luego de que caducan los períodos idle-timeout o max-timeout. Las Listas de acceso grandes pueden degradar el rendimiento de Packet-Switching, así que si usted nota los problemas de rendimiento, usted debe mirar la configuración del Router del borde para ver si usted quita las entradas temporarias de la lista de acceso generadas por el Cerrojo y llave.

Mantenimiento de Lock-and-Key

Cuando el Cerrojo y llave es funcionando, las listas de acceso dinámicas crecerán y se encogerán dinámicamente como se agregan y se borran las entradas. Usted necesita aseegurarse que las entradas se estén borrando de una manera oportuna, porque mientras que existen las entradas, el riesgo de un ataque de simulación está presente. También, cuanto más entradas hay, más grande el impacto del rendimiento del router será.

Si usted no hace una marcha lenta o un tiempo de espera absoluto configurar, seguirá habiendo las entradas en la lista de acceso dinámica hasta que usted los quite manualmente. Si éste es el caso, aseegurese que usted es extremadamente vigilante sobre la eliminación de las entradas.

Listas de acceso dinámico

Utilice las guías de consulta siguientes para configurar las listas de acceso dinámicas:

No cree más de una lista de acceso dinámica para ninguna una lista de acceso. El software refiere solamente a la primera lista de acceso dinámica definida.

No asigne el mismo nombre dinámico a otra lista de acceso. El hacer da instrucciones tan el software para reutilizar la lista existente. Todas las entradas Nombradas deben ser global - únicas dentro de la configuración.

Asigne los atributos a la lista de acceso dinámica que usted asigna de la misma manera los atributos para una lista de accesos estáticos. Las entradas temporarias de la lista de acceso heredan los atributos asignados a esta lista.

Configure Telnet como el protocolo de modo que los usuarios deban abrir a una sesión telnet en el router que se autenticará antes de que puedan acceder a través del router.

Ahora defina un tiempo de inactividad con timeout la palabra clave en access-enable el comando en autocommand el comando, o defina un valor del tiempo de espera absoluto más adelante con access-list el comando. Usted debe definir un tiempo de inactividad o un tiempo de espera absoluto — si no, la entrada temporaria de la lista de acceso seguirá configurada indefinidamente en la interfaz (incluso después el usuario ha terminado su sesión) hasta que la entrada sea quitada manualmente por un administrador. (Podría configurar y el tiempo de espera inactivo y el absoluto si lo desea).

Si usted configura un tiempo de inactividad, el valor de agotamiento del tiempo inactivo debe ser igual al valor de agotamiento del tiempo inactivo PÁLIDO.

Si usted configura la marcha lenta y el tiempo de espera absoluto, el valor de agotamiento del tiempo inactivo debe ser menos que el valor del tiempo de espera absoluto.

Si usted realiza que un trabajo se ejecutará más allá del temporizador absoluto ACL, utilice access-list dynamic-extend el comando de extender el temporizador absoluto del ACL dinámico por seis minutos. Este comando permite que usted abra a una nueva sesión telnet en el router en la reautentificación usted mismo usando el Cerrojo y llave.

Los únicos valores substituidos en la entrada temporaria son la dirección de origen o de destino, dependiendo si la lista de acceso estaba en la lista de acceso de entrada o la lista de accesos de salida. El resto de los atributos, tales como puerto, se heredan de la lista de acceso dinámica principal.

Cada adición a la lista dinámica se pone siempre al principio de la lista dinámica. Usted no puede especificar la pedido de las entradas temporarias de la lista de acceso.

Las entradas temporarias de la lista de acceso nunca se escriben al NVRAM.

Para manualmente claro o visualizar las listas de acceso dinámicas, refiera a la sección el “mantener Cerrojo y Llave” más adelante en este capítulo.

Autenticación Lock & Key

Hay tres métodos posibles para configurar un proceso de la interrogación de la autenticación. Estos tres métodos se describen en esta sección.


La notaCisco recomienda que usted utiliza el servidor TACACS+ para su proceso de la interrogación de la autenticación. TACACS+ proporciona servicios de autenticación, autorización y contabilidad. También proporciona el soporte a protocolo, la especificación del protocolo, y las bases de datos de seguridad centralizadas. Usando un servidor TACACS+ se describe en la siguiente sección, el “método 1 — configurar un servidor de seguridad.”


Utilice un servidor de seguridad del acceso a la red tal como servidor TACACS+. Este método requiere los pasos para la configuración adicionales en el servidor TACACS+ pero permite interrogaciones más estrictas de la autenticación y sofisticado siguiendo las capacidades.

Router(config-line)# login tacacs

Utilice username el comando. Este método es más eficaz porque la autenticación se determina sobre una base del usuario.

Router(config)# username name {nopassword | password {mutual-password | encryption-type 
encryption-password}}

Utilice password y login los comandos. Este método es menos eficaz porque la contraseña se configura para el puerto, no para el usuario. Por lo tanto, cualquier usuario que conozca la contraseña puede autenticar con éxito.

Router(config-line)# password password 
Router(config-line)# login local

Comando autocommand

autocommand El comando configura el sistema para ejecutar automáticamente un comando privileged exec especificado cuando un usuario conecta con una línea determinada. Utilice las guías de consulta siguientes para configurar autocommand el comando:

Si usted utiliza un servidor TACACS+ para autenticar al usuario, usted debe configurar autocommand el comando en el servidor TACACS+ como por usuario autocommand. Si usted utiliza la autenticación local, utilice autocommand el comando en la línea.

Configure todos los puertos del Terminal virtual (VTY) con el mismo autocommand comando. La omisión autocommand de un comando en un puerto VTY permite que un host al azar tenga el acceso del modo EXEC privilegiado al router y no crea una entrada temporaria de la lista de acceso en la lista de acceso dinámica.

Si usted no define un tiempo de inactividad con autocommand access-enable el comando, usted debe definir un tiempo de espera absoluto con access-list el comando. Usted debe definir un tiempo de inactividad o un tiempo de espera absoluto — si no, la entrada temporaria de la lista de acceso seguirá configurada indefinidamente en la interfaz (incluso después el usuario ha terminado la sesión) hasta que la entrada sea quitada manualmente por un administrador. (Podría configurar y el tiempo de espera inactivo y el absoluto si lo desea).

Si usted configura la marcha lenta y el tiempo de espera absoluto, el valor del tiempo de espera absoluto debe ser mayor que el valor de agotamiento del tiempo inactivo.

Cómo configurar la Seguridad Cerrojo y Llave (listas de acceso dinámicas)

Configuración de Lock-and-Key

Verificación de la Configuración Lock & Key

Visualizar las entradas de lista de acceso dinámico

Manualmente borrar las entradas de lista de acceso dinámico

Configuración de Lock-and-Key

Para configurar el Cerrojo y llave, utilice los siguientes comandos que comienzan en el modo de configuración global. Mientras que completa estos pasos, esté seguro de seguir las guías de consulta enumeradas en la sección de las “pautas de configuración Cerrojo y Llaves” de este capítulo.

 
Comando
Propósito

Paso 1 

Router(config)# access-list access-list-number [dynamic dynamic-name [timeout minutes]] {deny | permit} telnet source source-wildcard destination destination-wildcard [precedence precedence] [tos tos] [established] [log]

Configura una lista de acceso dinámica, que sirve como una plantilla y placeholder para las entradas temporarias de la lista de acceso.

Paso 2 

Router(config)# access-list dynamic-extend

(Opcional) extiende el temporizador absoluto del ACL dinámico por seis minutos en que usted abre a otra sesión telnet en el router para reautentificarse usando el Cerrojo y llave. Utilice este comando si su trabajo se ejecuta más allá del temporizador absoluto ACL.

Paso 3 

Router(config)# interface type number

Configura una interfaz y entra en el modo de configuración de interfaz.

Paso 4 

Router(config-if)# ip access-group access-list-number

Aplica la lista de acceso a la interfaz.

Paso 5 

Router(config-if)# exit

Sale del modo de configuración de la interfaz e ingresa en el modo de configuración global.

Paso 6 

Router(config)# line vty line-number [ending-line-number]

Define uno o más puertos del Terminal virtual (VTY) y ingresa al modo de configuración de línea. Si usted especifica los puertos VTY múltiples, deben todos ser configurados idénticamente porque el software caza para los puertos VTY disponibles en una modalidad de ordenamiento cíclico. Si usted no quiere configurar todos sus puertos VTY para el acceso lock-and-key, usted puede especificar un grupo de puertos VTY para el soporte del Cerrojo y llave solamente.

Paso 7 

Router(config-line)# login tacacs

o

Router(config-line)# password password

o

Router(config-line)# login local

o

Router(config-line)# exit

luego

Router(config)# username name password secret

Autenticación de usuario de las configuraciones en la línea o el modo de configuración global.

Paso 8 

Router(config-line)# autocommand access-enable [host] [timeout minutes]

o

Router# access-enable [host] [timeout minutes]

Habilita la creación de las entradas temporarias de la lista de acceso en el modo EXEC de la configuración de línea o del privilegio.

Usando autocommand con access-enable el comando en el modo de configuración de línea configura el sistema para crear automáticamente una entrada temporaria de la lista de acceso en la lista de acceso dinámica cuando el host conecta con la línea (o las líneas).

Si la palabra clave optativa host no se especifica, todos los hosts en toda la red se permiten configurar una entrada temporaria de la lista de acceso. La lista de acceso dinámica contiene la máscara de la red para habilitar la nueva conexión de red.

Si se especifica timeout la palabra clave optativa, define el tiempo de inactividad para la lista de Acceso temporario.

Los valores válidos, en los minutos, se extienden a partir de la 1 a 9999.

Verificación de la Configuración Lock & Key

Usted puede verificar que el Cerrojo y llave sea configurado con éxito en el router pidiendo que un usuario pruebe la conexión. El usuario debe estar en un host que se permita en la lista de acceso dinámica, y el usuario debe hacer la autenticación AAA y la autorización configurar.

Para probar la conexión, al usuario Telnet al router, permitir que la sesión telnet se cierre, y después intentar acceder un host en el otro lado del router. Este host debe ser uno que es permitido por la lista de acceso dinámica. El usuario debe acceder el host con una aplicación que utilice protocolo IP.

La presentación de ejemplo siguiente ilustra qué usuarios finales pudieron ver si los autentican con éxito. Note que la conexión Telnet es cerrada inmediatamente después que se ingresa y se autentica la contraseña. La entrada temporaria de la lista de acceso entonces se crea, y el host que ahora inició a la sesión telnet tiene acceso dentro del Firewall.

Router% telnet corporate
Trying 172.21.52.1 ...
Connected to corporate.example.com.
Escape character is `^]'.
User Access Verification
Password:Connection closed by foreign host.

Usted puede entonces utilizar show access-lists el comando en el router de ver las listas de acceso dinámicas, que deben incluir una entrada adicional permitiendo el acceso del usuario con el router.s

Visualizar las entradas de lista de acceso dinámico

Usted puede visualizar las entradas temporarias de la lista de acceso cuando son funcionando. Después de que una entrada temporaria de la lista de acceso sea borrada por usted o por el parámetro del absoluto o de tiempo de inactividad, puede ser visualizada no más. El número de coincidencias mostradas indica el número de veces que se consultó la entrada de la lista de acceso.

Para ver las listas de acceso dinámicas y cualquier entrada temporaria de la lista de acceso que se establezcan actualmente, utilice el siguiente comando en el modo EXEC privilegiado:

Comando
Propósito

Router# show access-lists [access-list-number]

Listas de acceso dinámicas y entradas temporarias de la lista de acceso de las visualizaciones.


Manualmente borrar las entradas de lista de acceso dinámico

Para borrar manualmente una entrada temporaria de la lista de acceso, utilice el siguiente comando en el modo EXEC privilegiado:

Comando
Propósito

Router# clear access-template [access-list-number | name] [dynamic-name] [source] [destination]

Borra una lista de acceso dinámica.


Ejemplos de configuración para Cerrojo y Llave

Ejemplo: Cerrojo y Llave con la autenticación local

Ejemplo: Cerrojo y Llave con autenticación de TACACS+

Ejemplo: Cerrojo y Llave con la autenticación local

Este ejemplo muestra cómo configurar el acceso lock-and-key, con la autenticación ocurriendo localmente en el router. El Cerrojo y llave se configura en la interfaz del ethernet0.

interface ethernet0
 ip address 172.18.23.9 255.255.255.0
 ip access-group 101 in

access-list 101 permit tcp any host 172.18.21.2 eq telnet
access-list 101 dynamic mytestlist timeout 120 permit ip any any

line vty 0
login local
autocommand access-enable timeout 5

La primera entrada de lista de acceso permite solamente Telnet en el router. La segunda entrada de lista de acceso se ignora siempre hasta que se accione el Cerrojo y llave.

En access-list el comando, el descanso es el tiempo de espera absoluto. En este ejemplo, el curso de la vida del mytestlist ACL es 120 minutos; es decir, cuando un usuario abre una sesión y habilita el comando access-enable, un ACL dinámico se crea por 120 minutos (el tiempo absoluto máximo). La sesión es cerrada después de 120 minutos, independientemente de si cualquier persona la está utilizando.

En el comando access-enable, el descanso es el tiempo de inactividad. En este ejemplo, cada vez que el usuario abre una sesión o autentica hay cinco minutos una sesión. Si no hay actividad, la sesión se cierra en 5 minutos y el usuario tiene que reauthenticate. Si el usuario utiliza la conexión, el tiempo absoluto toma la influencia y la sesión se cierra en 120 minutos.

Después de que un usuario abra a una sesión telnet en el router, el router intentará autenticar al usuario. Si la autenticación es acertada, autocommand ejecuta y la sesión telnet termina. autocommand Crea una entrada de lista de acceso de entrada temporal en la interfaz del ethernet0, sobre la base de la segunda entrada de lista de acceso (mytestlist). Si no hay actividad, esta entrada temporaria expirará después de 5 minutos, según lo especificado por el descanso.

Ejemplo: Cerrojo y Llave con autenticación de TACACS+

Cisco recomienda que usted utiliza un servidor para autentificación TACACS+, tal y como se muestra en del ejemplo.

El siguiente ejemplo muestra cómo configurar el acceso lock-and-key, con la autenticación en un servidor TACACS+. El acceso lock-and-key se configura en la interfaz BRI0. Cuatro puertos VTY se definen con la contraseña el "password1".

aaa authentication login default group tacacs+ enable
aaa accounting exec stop-only group tacacs+
aaa accounting network stop-only group tacacs+
enable password ciscotac
!
isdn switch-type basic-dms100
!
interface ethernet0
ip address 172.18.23.9 255.255.255.0
!
interface BRI0
 ip address 172.18.21.1 255.255.255.0
 encapsulation ppp
 dialer idle-timeout 3600
 dialer wait-for-carrier-time 100
 dialer map ip 172.18.21.2 name dialermapname
 dialer-group 1
 isdn spid1 2036333715291
 isdn spid2 2036339371566
 ppp authentication chap
 ip access-group 102 in
!
access-list 102 permit tcp any host 172.18.21.2 eq telnet
access-list 102 dynamic testlist timeout 5 permit ip any any
!
!
ip route 172.18.250.0 255.255.255.0 172.18.21.2
priority-list 1 interface BRI0 high
tacacs-server host 172.18.23.21
tacacs-server host 172.18.23.14
tacacs-server key test1
tftp-server rom alias all
!
dialer-list 1 protocol ip permit
!
line con 0
 password password1
line aux 0
 line VTY 0 4
 autocommand access-enable timeout 5
 password password1
!