В этом мега-свиче, если какойто добрый человек попробует зайти по ssh с неправильным паролем несколько раз подряд, то мега-прошивка этого мега-свича заблокирует пользователя, и теперь на этот свич хрен зайдешь даже по консоли. Ну просто анекдот лол

Ув "специалисты", подскажите пожалуйста, как эту "полезную" фичу отключить? И вообще, вот как мне теперь зайти на свич? Подсказки вроде "нада было покупать cisco" не катят, сам знаю.

На оборудовании 3610 есть возможность заводить более 1 пользователя.
Т.е. если 1 пользователь заблокирован можно зайти под другим
пользователем.

У нашего оборудования есть документация по настройке, которая доступна
на нашем сайте для скачивания, с ней можно ознакомиться перед настройкой
какой-либо функции.

Есть команда которой можно настроить количество попыток
DGS-3610(config)#aaa local authentication attempts ?
<1-2147483647> Max attempts for local authen user

Блокировка пользователя - это принятая норма защиты по умолчанию, на нашем оборудовании, оборудовании Cisco и оборудовании других ведущих вендоров данный функционал реализован абсолютно также.

В вашем случае, если заведен только 1 пользователь есть 2 варианта:
1) ждать 15 часов до разблокировки
2) перезагрузка по питанию

Если бы было больше 1 пользователя, то возможно зайти на vty или
консоль, проверить кто заблокирован:

DGS-3610#show aaa lockout

Lock tries: 3
Lock timeout: 15 hours
DGS-3610#

И разблокировать:


DGS-3610#clear aaa local user lockout ?
all All user
user-name User name

но есть ли необходимость?



Эта функция включена по умолчанию. В других устройствах (даже того самого длинка) такого бреда по дефолту нету.


Кроме того момента что по умолчанию оно включено только в 3610



Очень ценная информация, спасибо.

ксати, это даже не умолчания, в конфиге этой строчки даже нету, и логично предположить что эта функция вообще отключена. но нет

У каждого клиента есть право на его собственное мнение, и мы не пытаемся его оспаривать.

В данном конкретном случае есть следующие факты:

1) оборудование 3610 и 7200 является старшей серией коммутаторов и у него есть свои особенности настройки отраженные в документации.

2) на наших коммутаторах L3 (и не только на наших) нет по умолчаюнию команды ip routing (в том числе в кофигурации) логично предположить, что можно посмотреть документацию, чтобы понять включена данная функция или нет.

Помоему аффтар немного не прав. Нужно просто оторвать руки сотруднику, который постоянно вводит неправильный пароль.

Мне кажется тема исчерпана.