配置AAA尝试次数和锁定时间、登陆超时

一、组网需求

配置telnet和SSH尝试次数和锁定时间、登陆超时。

二、组网拓扑

三、配置要点

1、该配置是在已经可以正常telnet、SSH到交换机的前提下配置的；

2、配置AAA，限定登陆失败次数；

3、line下配置超时时间；

四、配置步骤

Ruijie>enable

Ruijie#config terminal

Ruijie(config)#username admin1 password admin1 ----->配置账号和密码

Ruijie(config)#username admin2 password admin2

Ruijie(config)#aaa new-model ------>开启AAA功能

Ruijie(config)#aaa authentication login default local group radius ------>先调用本地交换机配置的用户名密码，如果有radius服务器，可以配置调用radius服务的账号密码

Ruijie(config)#aaa local authentication attempts 3 ------>配置限制用户尝试次数为3次，如果3次输入对了用户名单是输错了密码，将会无法登入交换机

Ruijie(config)#aaa local authentication lockout-time 1 ------>如果无法登入后，需要等待1分钟才能再次尝试登入系统，不同交换机的时间单位可能不同，请根据交换命令后面的时间单位来配置，可以通过lockout-time后面敲?来查看时间单位

Ruijie(config)#line vty 0 4

Ruijie(config-line)#login authentication default ------>vty模式下应用login认证

Ruijie(config-line)#exec-timeout 20 -------->20分钟不操作交换机，命令行将超时，自动退出，

Ruijie(config-line)#exit

Ruijie(config)#line console 0 ------>该方法对使用console口登录的用户也同样生效

Ruijie(config-line)#login authentication default ------>vty模式下应用login认证

Ruijie(config-line)#exec-timeout 20 -------->20分钟不操作交换机，命令行将超时，自动退出，交换机默认是10分钟自动退出，这里如果写0，就代表永不超时。

Ruijie(config-line)#exit

Ruijie(config)#exit

Ruijie#write

注：登陆失败锁定，只会锁定某一个账号，不会完全锁定交换机，也就是说，如果交换机有多个账号（admin1、admin2），如果账号admin1登陆失败锁定了，那么admin2还是可以正常登陆的。

五、功能验证

1、我们用console口验证，以上配置完成后，手动退出交换机到如下模式：

2、我们尝试用admin1去登陆，故意输入错误的密码：

3、这时候我们用其他账号去登陆，可以登陆成功

4、登陆成功之后我们等待1分钟（测试时配置的1分钟），等命令行超时自动退出，这时候又要输入账号密码去登陆

5、再使用admin1去登陆交换机，可以登陆成功