?? 第五章 安全配置命令.htm
字號:
<!DOCTYPE HTML PUBLIC "-//W3C//DTD HTML 4.0 Transitional//EN">
<!-- saved from url=(0033)http://www.ccilan.com/qdxz094.htm -->
<HTML><HEAD><TITLE>第五章 安全配置命令</TITLE>
<META http-equiv=Content-Type content="text/html; charset=gb2312">
<META content="MSHTML 5.50.4134.100" name=GENERATOR>
<META content=FrontPage.Editor.Document name=ProgId>
<META content=tb name="Microsoft Border"></HEAD>
<BODY><!--msnavigation-->
<TABLE cellSpacing=0 cellPadding=0 width="100%" border=0>
<TBODY>
<TR>
<TD>
<P><IMG height=57 src="第五章 安全配置命令.files/sheng_.jpg" width=284 align=left
border=0><IMG height=60 src="第五章 安全配置命令.files/swm.gif" width=484
align=left border=0>
</P></TD></TR><!--msnavigation--></TBODY></TABLE><!--msnavigation-->
<TABLE cellSpacing=0 cellPadding=0 width="100%" border=0>
<TBODY>
<TR><!--msnavigation-->
<TD vAlign=top>
<H2 align=center>第五章 安全配置命令</H2>
<H3>5.1 AAA和Radius協(xié)議配置命令</H3>
<P>AAA和Radius協(xié)議配置命令包括:
<UL type=disc>
<LI>aaa accounting optional
<LI>aaa authentication local-first
<LI>aaa authentication ppp
<LI>aaa enable
<LI>ip local pool
<LI>peer default ip address
<LI>radius-server dead-time
<LI>radius-server host
<LI>radius-server key
<LI>radius-server realtime-acct-timeout
<LI>radius-server retransmit
<LI>radius-server timeout
<LI>show aaa user </LI></UL>
<H4><A name="5.1.1 aaa accounting optional"><BIG>5.1.1 aaa accounting
optional</BIG></A></H4>
<P>打開或關(guān)閉AAA記帳選擇開關(guān)。</P>
<P>[ <B>no</B> ] <B>aaa accounting optional</B></P>
<P><FONT size=3>【缺省情況】</FONT></P>
<P>系統(tǒng)缺省為關(guān)閉AAA記帳選擇開關(guān)。</P>
<P><FONT size=3>【命令模式】</FONT></P>
<P>全局配置模式</P>
<P><FONT size=3>【使用指南】</FONT></P>
<P>NAS
向記賬服務(wù)器發(fā)記賬包后,系統(tǒng)會啟動定時(shí)器,如果沒有收到記賬服務(wù)器的響應(yīng),則由NAS負(fù)責(zé)重傳,當(dāng)重傳次數(shù)大于系統(tǒng)配置的最大重傳次數(shù)后仍未有記賬服務(wù)器的響應(yīng),此時(shí)若配置了<B>aaa
accounting optional</B> 命令,則用戶可以繼續(xù)使用網(wǎng)絡(luò)資源。否則用戶將被切斷。</P>
<P><FONT size=3>【舉例】</FONT></P>
<P>打開AAA記帳選擇開關(guān)。</P>
<P>Quidway(config)#aaa accounting optional</P>
<P><FONT size=3>【相關(guān)命令】</FONT></P>
<P><B>aaa enable</B></P>
<H4><A name="5.1.2 aaa authentication local-first"><BIG><BIG>5.1.2 aaa
authentication local-first</BIG></BIG></A></H4>
<P>允許或禁止AAA的本地優(yōu)先驗(yàn)證。</P>
<P>[<B> no</B> ] <B>aaa authencation local-first</B></P>
<P><FONT size=3>【缺省情況】</FONT></P>
<P>AAA缺省不使用本地優(yōu)先驗(yàn)證。</P>
<P><FONT size=3>【命令模式】</FONT></P>
<P>全局配置模式</P>
<P><FONT size=3>【使用指南】</FONT></P>
<P><B>aaa authentication local-first</B>和<B>aaa authentication
ppp</B>既共同起作用,又有不同之處。</P>
<P>從以下兩個(gè)例子中可以看出二者不同之處。</P>
<P>例1:Quidway(config)#aaa authentication local-first</P>
<P>Quidway(config)#aaa authentication ppp default radius</P>
<P>例2:Quidway(config)#aaa authentication ppp default local radius</P>
<P>在例1中,系統(tǒng)首先進(jìn)行本地驗(yàn)證,如果驗(yàn)證失敗,則繼續(xù)進(jìn)行 RADIUS
驗(yàn)證;但在例2中,系統(tǒng)也首先進(jìn)行本地驗(yàn)證,如果驗(yàn)證失敗,則表明為非法訪問,不再繼續(xù)進(jìn)行 RADIUS 驗(yàn)證。</P>
<P><FONT size=3>【相關(guān)命令】</FONT></P>
<P><B>aaa authentication ppp</B></P>
<H4><A name="5.1.3 aaa authentication ppp"><BIG><BIG>5.1.3 aaa
authentication ppp</BIG></BIG></A></H4>
<P>配置AAA的PPP驗(yàn)證方法表。</P>
<P><B>aaa authentication ppp</B> { <B>default</B> | <I>list-name</I> } {
<I>method1</I> } [ <I>method2 ...</I> ]</P>
<P><B>no aaa authencation ppp</B> { <B>default</B> | <I>list-name</I>
}</P>
<P><FONT size=3>【參數(shù)說明】</FONT></P>
<P>各參數(shù)意義如下:
<UL type=disc>
<LI><B>default </B>為PPP缺省用的驗(yàn)證方法表名,如果封裝PPP的接口上沒有定義驗(yàn)證方法,則缺省使用該方法表。
<LI><I>list-name</I> 用戶輸入的方法表名,使用時(shí)需與<B>ppp authentication</B>
命令相配合,使該方法表<I>list-name</I>用于某接口的PPP驗(yàn)證。
<LI><I>method </I>為驗(yàn)證方法,有以下三種驗(yàn)證方法:
<LI><B>radius</B> —— 用RADIUS服務(wù)器進(jìn)行驗(yàn)證
<LI type=disc><B>local </B>—— 在本地進(jìn)行驗(yàn)證(請參見PPP配置)
<LI type=disc><B>none </B>—— 所有用戶不需進(jìn)行驗(yàn)證便可得到訪問權(quán) </LI></UL>
<P>在配置驗(yàn)證方法表時(shí),至少需要指定一種驗(yàn)證方法,如果指定多種驗(yàn)證方法,則在進(jìn)行PPP驗(yàn)證時(shí),首先采用<I>method1</I>,如果發(fā)生驗(yàn)證錯(cuò)誤(如無法與RADIUS服務(wù)器建立通信連接等錯(cuò)誤),再采用<I>method2</I>,依次類推;但如果在采用某種方法驗(yàn)證失敗后(即為非法訪問),則不再采用其后方法而終止驗(yàn)證。另外
none<B> </B>方法只有放在最后才有意義。</P>
<P><FONT size=3>【缺省情況】</FONT></P>
<P>對于PPP用戶如果沒有指定驗(yàn)證方法,則缺省采用<B>default</B>驗(yàn)證方法表。</P>
<P><FONT size=3>【命令模式】</FONT></P>
<P>全局配置模式</P>
<P><FONT size=3>【使用指南】</FONT></P>
<P>PPP的CHAP或PAP驗(yàn)證只是驗(yàn)證過程,通過該驗(yàn)證過程獲取到對端用戶名和密碼等信息,能否通過驗(yàn)證,還需要由AAA確定。</P>
<P>AAA的PPP驗(yàn)證方法表中可以指明三種驗(yàn)證方法:<B>local</B>、<B>radius</B>和<B>none</B>。其中<B>local</B>
為用本地?cái)?shù)據(jù)庫進(jìn)行驗(yàn)證,<B>radius</B>表示由Radius服務(wù)器進(jìn)行驗(yàn)證,<B>none</B>表示不驗(yàn)證。</P>
<P>本地?cái)?shù)據(jù)庫由 <B>user </B>和 <B>no user </B>命令配置。</P>
<P><FONT size=3>【舉例】</FONT></P>
<P>配置PPP的缺省驗(yàn)證方法表,要求先采用Radius服務(wù)器驗(yàn)證,如果未得到響應(yīng)則改用本地驗(yàn)證,若仍未得到響應(yīng)則不再驗(yàn)證。</P>
<P>Quidway(config)#aaa authentication ppp default radius local none</P>
<P><FONT size=3>【相關(guān)命令】</FONT></P>
<P><B>aaa authentication local-first</B>,<B>ppp
authentication</B>,<B>user</B>,<B>no user</B></P>
<H4><A name="5.1.4 aaa enable"><BIG><BIG>5.1.4 aaa
enable</BIG></BIG></A></H4>
<P>使能或禁止AAA。</P>
<P>[ <B>no</B> ] <B>aaa enable</B></P>
<P><FONT size=3>【缺省情況】</FONT></P>
<P>系統(tǒng)缺省未禁止AAA。</P>
<P><FONT size=3>【命令模式】</FONT></P>
<P>全局配置模式</P>
<P><FONT size=3>【使用指南】</FONT></P>
<P>只有使能AAA后,才能配置AAA的其它參數(shù)。</P>
<P><FONT size=3>【舉例】</FONT></P>
<P>使能AAA。</P>
<P>Quidway(config)#aaa enable</P>
<H4><A name="5.1.5 ip local pool"><BIG><BIG>5.1.5 ip local
pool</BIG></BIG></A></H4>
<P>定義或取消為PPP用戶分配本地的IP地址池。</P>
<P><B>ip local pool</B><I> pool-number low-ip-address </I>[<I>
high-ip-address </I>]</P>
<P><B>no ip local pool</B> <I>pool-number</I></P>
<P><FONT size=3>【參數(shù)說明】</FONT></P>
<P><I>pool-number</I>為地址池編號,范圍0~99,表示系統(tǒng)最多可以定義100個(gè)本地IP地址池。</P>
<P><I>low-ip-address</I> 和<I> high-ip-address</I> 分別為IP地址池的起始和結(jié)束IP地址。</P>
<P><FONT size=3>【缺省情況】</FONT></P>
<P>系統(tǒng)缺省沒有本地IP地址池,如果在定義IP地址池時(shí),沒有指定結(jié)束IP地址,則該地址池中只有一個(gè)IP地址,即起始IP地址。</P>
<P><FONT size=3>【命令模式】</FONT></P>
<P>全局配置模式</P>
<P><FONT size=3>【使用指南】</FONT></P>
<P>配置IP地址池,主要用于為PPP用戶分配IP地址。</P>
<P><FONT size=3>【舉例】</FONT></P>
<P>配置從129.102.0.1到129.102.0.10的本地IP地址池0。</P>
<P>Quidway(config)#ip local pool 0 129.102.0.1 129.102.0.10</P>
<P><FONT size=3>【相關(guān)命令】</FONT></P>
<P><B>peer default ip address</B></P>
<H4><A name="5.1.6 peer default ip address"><BIG><BIG>5.1.6 peer default
ip address</BIG></BIG></A></H4>
<P>配置或取消為PPP用戶分配的IP地址。</P>
<P><B>peer default ip address </B>{<I> ip-address | </I><B>pool</B><I>
</I>[<I> pool-number </I>] }</P>
<P><B>no peer default ip address</B></P>
<P><FONT size=3>【參數(shù)說明】</FONT></P>
<P><I>ip-address</I>為PPP用戶分配的IP地址。</P>
<P><I>pool-number</I>為PPP用戶分配的IP地址池。</P>
<P><FONT size=3>【缺省情況】</FONT></P>
<P>如果不指定地址池號,則缺省為地址池0。</P>
<P><FONT size=3>【命令模式】</FONT></P>
<P>接口配置模式</P>
<P><FONT size=3>【使用指南】</FONT></P>
?? 快捷鍵說明
復(fù)制代碼
Ctrl + C
搜索代碼
Ctrl + F
全屏模式
F11
切換主題
Ctrl + Shift + D
顯示快捷鍵
?
增大字號
Ctrl + =
減小字號
Ctrl + -