?? 第五章 安全配置命令.htm
字號:
<!DOCTYPE HTML PUBLIC "-//W3C//DTD HTML 4.0 Transitional//EN">
<!-- saved from url=(0033)http://www.ccilan.com/qdxz094.htm -->
<HTML><HEAD><TITLE>第五章 安全配置命令</TITLE>
<META http-equiv=Content-Type content="text/html; charset=gb2312">
<META content="MSHTML 5.50.4134.100" name=GENERATOR>
<META content=FrontPage.Editor.Document name=ProgId>
<META content=tb name="Microsoft Border"></HEAD>
<BODY><!--msnavigation-->
<TABLE cellSpacing=0 cellPadding=0 width="100%" border=0>
<TBODY>
<TR>
<TD>
<P><IMG height=57 src="第五章 安全配置命令.files/sheng_.jpg" width=284 align=left
border=0><IMG height=60 src="第五章 安全配置命令.files/swm.gif" width=484
align=left border=0>
</P></TD></TR><!--msnavigation--></TBODY></TABLE><!--msnavigation-->
<TABLE cellSpacing=0 cellPadding=0 width="100%" border=0>
<TBODY>
<TR><!--msnavigation-->
<TD vAlign=top>
<H2 align=center>第五章 安全配置命令</H2>
<H3>5.1 AAA和Radius協議配置命令</H3>
<P>AAA和Radius協議配置命令包括:
<UL type=disc>
<LI>aaa accounting optional
<LI>aaa authentication local-first
<LI>aaa authentication ppp
<LI>aaa enable
<LI>ip local pool
<LI>peer default ip address
<LI>radius-server dead-time
<LI>radius-server host
<LI>radius-server key
<LI>radius-server realtime-acct-timeout
<LI>radius-server retransmit
<LI>radius-server timeout
<LI>show aaa user </LI></UL>
<H4><A name="5.1.1 aaa accounting optional"><BIG>5.1.1 aaa accounting
optional</BIG></A></H4>
<P>打開或關閉AAA記帳選擇開關。</P>
<P>[ <B>no</B> ] <B>aaa accounting optional</B></P>
<P><FONT size=3>【缺省情況】</FONT></P>
<P>系統缺省為關閉AAA記帳選擇開關。</P>
<P><FONT size=3>【命令模式】</FONT></P>
<P>全局配置模式</P>
<P><FONT size=3>【使用指南】</FONT></P>
<P>NAS
向記賬服務器發記賬包后,系統會啟動定時器,如果沒有收到記賬服務器的響應,則由NAS負責重傳,當重傳次數大于系統配置的最大重傳次數后仍未有記賬服務器的響應,此時若配置了<B>aaa
accounting optional</B> 命令,則用戶可以繼續使用網絡資源。否則用戶將被切斷。</P>
<P><FONT size=3>【舉例】</FONT></P>
<P>打開AAA記帳選擇開關。</P>
<P>Quidway(config)#aaa accounting optional</P>
<P><FONT size=3>【相關命令】</FONT></P>
<P><B>aaa enable</B></P>
<H4><A name="5.1.2 aaa authentication local-first"><BIG><BIG>5.1.2 aaa
authentication local-first</BIG></BIG></A></H4>
<P>允許或禁止AAA的本地優先驗證。</P>
<P>[<B> no</B> ] <B>aaa authencation local-first</B></P>
<P><FONT size=3>【缺省情況】</FONT></P>
<P>AAA缺省不使用本地優先驗證。</P>
<P><FONT size=3>【命令模式】</FONT></P>
<P>全局配置模式</P>
<P><FONT size=3>【使用指南】</FONT></P>
<P><B>aaa authentication local-first</B>和<B>aaa authentication
ppp</B>既共同起作用,又有不同之處。</P>
<P>從以下兩個例子中可以看出二者不同之處。</P>
<P>例1:Quidway(config)#aaa authentication local-first</P>
<P>Quidway(config)#aaa authentication ppp default radius</P>
<P>例2:Quidway(config)#aaa authentication ppp default local radius</P>
<P>在例1中,系統首先進行本地驗證,如果驗證失敗,則繼續進行 RADIUS
驗證;但在例2中,系統也首先進行本地驗證,如果驗證失敗,則表明為非法訪問,不再繼續進行 RADIUS 驗證。</P>
<P><FONT size=3>【相關命令】</FONT></P>
<P><B>aaa authentication ppp</B></P>
<H4><A name="5.1.3 aaa authentication ppp"><BIG><BIG>5.1.3 aaa
authentication ppp</BIG></BIG></A></H4>
<P>配置AAA的PPP驗證方法表。</P>
<P><B>aaa authentication ppp</B> { <B>default</B> | <I>list-name</I> } {
<I>method1</I> } [ <I>method2 ...</I> ]</P>
<P><B>no aaa authencation ppp</B> { <B>default</B> | <I>list-name</I>
}</P>
<P><FONT size=3>【參數說明】</FONT></P>
<P>各參數意義如下:
<UL type=disc>
<LI><B>default </B>為PPP缺省用的驗證方法表名,如果封裝PPP的接口上沒有定義驗證方法,則缺省使用該方法表。
<LI><I>list-name</I> 用戶輸入的方法表名,使用時需與<B>ppp authentication</B>
命令相配合,使該方法表<I>list-name</I>用于某接口的PPP驗證。
<LI><I>method </I>為驗證方法,有以下三種驗證方法:
<LI><B>radius</B> —— 用RADIUS服務器進行驗證
<LI type=disc><B>local </B>—— 在本地進行驗證(請參見PPP配置)
<LI type=disc><B>none </B>—— 所有用戶不需進行驗證便可得到訪問權 </LI></UL>
<P>在配置驗證方法表時,至少需要指定一種驗證方法,如果指定多種驗證方法,則在進行PPP驗證時,首先采用<I>method1</I>,如果發生驗證錯誤(如無法與RADIUS服務器建立通信連接等錯誤),再采用<I>method2</I>,依次類推;但如果在采用某種方法驗證失敗后(即為非法訪問),則不再采用其后方法而終止驗證。另外
none<B> </B>方法只有放在最后才有意義。</P>
<P><FONT size=3>【缺省情況】</FONT></P>
<P>對于PPP用戶如果沒有指定驗證方法,則缺省采用<B>default</B>驗證方法表。</P>
<P><FONT size=3>【命令模式】</FONT></P>
<P>全局配置模式</P>
<P><FONT size=3>【使用指南】</FONT></P>
<P>PPP的CHAP或PAP驗證只是驗證過程,通過該驗證過程獲取到對端用戶名和密碼等信息,能否通過驗證,還需要由AAA確定。</P>
<P>AAA的PPP驗證方法表中可以指明三種驗證方法:<B>local</B>、<B>radius</B>和<B>none</B>。其中<B>local</B>
為用本地數據庫進行驗證,<B>radius</B>表示由Radius服務器進行驗證,<B>none</B>表示不驗證。</P>
<P>本地數據庫由 <B>user </B>和 <B>no user </B>命令配置。</P>
<P><FONT size=3>【舉例】</FONT></P>
<P>配置PPP的缺省驗證方法表,要求先采用Radius服務器驗證,如果未得到響應則改用本地驗證,若仍未得到響應則不再驗證。</P>
<P>Quidway(config)#aaa authentication ppp default radius local none</P>
<P><FONT size=3>【相關命令】</FONT></P>
<P><B>aaa authentication local-first</B>,<B>ppp
authentication</B>,<B>user</B>,<B>no user</B></P>
<H4><A name="5.1.4 aaa enable"><BIG><BIG>5.1.4 aaa
enable</BIG></BIG></A></H4>
<P>使能或禁止AAA。</P>
<P>[ <B>no</B> ] <B>aaa enable</B></P>
<P><FONT size=3>【缺省情況】</FONT></P>
<P>系統缺省未禁止AAA。</P>
<P><FONT size=3>【命令模式】</FONT></P>
<P>全局配置模式</P>
<P><FONT size=3>【使用指南】</FONT></P>
<P>只有使能AAA后,才能配置AAA的其它參數。</P>
<P><FONT size=3>【舉例】</FONT></P>
<P>使能AAA。</P>
<P>Quidway(config)#aaa enable</P>
<H4><A name="5.1.5 ip local pool"><BIG><BIG>5.1.5 ip local
pool</BIG></BIG></A></H4>
<P>定義或取消為PPP用戶分配本地的IP地址池。</P>
<P><B>ip local pool</B><I> pool-number low-ip-address </I>[<I>
high-ip-address </I>]</P>
<P><B>no ip local pool</B> <I>pool-number</I></P>
<P><FONT size=3>【參數說明】</FONT></P>
<P><I>pool-number</I>為地址池編號,范圍0~99,表示系統最多可以定義100個本地IP地址池。</P>
<P><I>low-ip-address</I> 和<I> high-ip-address</I> 分別為IP地址池的起始和結束IP地址。</P>
<P><FONT size=3>【缺省情況】</FONT></P>
<P>系統缺省沒有本地IP地址池,如果在定義IP地址池時,沒有指定結束IP地址,則該地址池中只有一個IP地址,即起始IP地址。</P>
<P><FONT size=3>【命令模式】</FONT></P>
<P>全局配置模式</P>
<P><FONT size=3>【使用指南】</FONT></P>
<P>配置IP地址池,主要用于為PPP用戶分配IP地址。</P>
<P><FONT size=3>【舉例】</FONT></P>
<P>配置從129.102.0.1到129.102.0.10的本地IP地址池0。</P>
<P>Quidway(config)#ip local pool 0 129.102.0.1 129.102.0.10</P>
<P><FONT size=3>【相關命令】</FONT></P>
<P><B>peer default ip address</B></P>
<H4><A name="5.1.6 peer default ip address"><BIG><BIG>5.1.6 peer default
ip address</BIG></BIG></A></H4>
<P>配置或取消為PPP用戶分配的IP地址。</P>
<P><B>peer default ip address </B>{<I> ip-address | </I><B>pool</B><I>
</I>[<I> pool-number </I>] }</P>
<P><B>no peer default ip address</B></P>
<P><FONT size=3>【參數說明】</FONT></P>
<P><I>ip-address</I>為PPP用戶分配的IP地址。</P>
<P><I>pool-number</I>為PPP用戶分配的IP地址池。</P>
<P><FONT size=3>【缺省情況】</FONT></P>
<P>如果不指定地址池號,則缺省為地址池0。</P>
<P><FONT size=3>【命令模式】</FONT></P>
<P>接口配置模式</P>
<P><FONT size=3>【使用指南】</FONT></P>
?? 快捷鍵說明
復制代碼
Ctrl + C
搜索代碼
Ctrl + F
全屏模式
F11
切換主題
Ctrl + Shift + D
顯示快捷鍵
?
增大字號
Ctrl + =
減小字號
Ctrl + -