📄 第五章 安全配置命令.htm
字号:
<!DOCTYPE HTML PUBLIC "-//W3C//DTD HTML 4.0 Transitional//EN">
<!-- saved from url=(0033)http://www.ccilan.com/qdxz094.htm -->
<HTML><HEAD><TITLE>第五章 安全配置命令</TITLE>
<META http-equiv=Content-Type content="text/html; charset=gb2312">
<META content="MSHTML 5.50.4134.100" name=GENERATOR>
<META content=FrontPage.Editor.Document name=ProgId>
<META content=tb name="Microsoft Border"></HEAD>
<BODY><!--msnavigation-->
<TABLE cellSpacing=0 cellPadding=0 width="100%" border=0>
<TBODY>
<TR>
<TD>
<P><IMG height=57 src="第五章 安全配置命令.files/sheng_.jpg" width=284 align=left
border=0><IMG height=60 src="第五章 安全配置命令.files/swm.gif" width=484
align=left border=0>
</P></TD></TR><!--msnavigation--></TBODY></TABLE><!--msnavigation-->
<TABLE cellSpacing=0 cellPadding=0 width="100%" border=0>
<TBODY>
<TR><!--msnavigation-->
<TD vAlign=top>
<H2 align=center>第五章 安全配置命令</H2>
<H3>5.1 AAA和Radius协议配置命令</H3>
<P>AAA和Radius协议配置命令包括:
<UL type=disc>
<LI>aaa accounting optional
<LI>aaa authentication local-first
<LI>aaa authentication ppp
<LI>aaa enable
<LI>ip local pool
<LI>peer default ip address
<LI>radius-server dead-time
<LI>radius-server host
<LI>radius-server key
<LI>radius-server realtime-acct-timeout
<LI>radius-server retransmit
<LI>radius-server timeout
<LI>show aaa user </LI></UL>
<H4><A name="5.1.1 aaa accounting optional"><BIG>5.1.1 aaa accounting
optional</BIG></A></H4>
<P>打开或关闭AAA记帐选择开关。</P>
<P>[ <B>no</B> ] <B>aaa accounting optional</B></P>
<P><FONT size=3>【缺省情况】</FONT></P>
<P>系统缺省为关闭AAA记帐选择开关。</P>
<P><FONT size=3>【命令模式】</FONT></P>
<P>全局配置模式</P>
<P><FONT size=3>【使用指南】</FONT></P>
<P>NAS
向记账服务器发记账包后,系统会启动定时器,如果没有收到记账服务器的响应,则由NAS负责重传,当重传次数大于系统配置的最大重传次数后仍未有记账服务器的响应,此时若配置了<B>aaa
accounting optional</B> 命令,则用户可以继续使用网络资源。否则用户将被切断。</P>
<P><FONT size=3>【举例】</FONT></P>
<P>打开AAA记帐选择开关。</P>
<P>Quidway(config)#aaa accounting optional</P>
<P><FONT size=3>【相关命令】</FONT></P>
<P><B>aaa enable</B></P>
<H4><A name="5.1.2 aaa authentication local-first"><BIG><BIG>5.1.2 aaa
authentication local-first</BIG></BIG></A></H4>
<P>允许或禁止AAA的本地优先验证。</P>
<P>[<B> no</B> ] <B>aaa authencation local-first</B></P>
<P><FONT size=3>【缺省情况】</FONT></P>
<P>AAA缺省不使用本地优先验证。</P>
<P><FONT size=3>【命令模式】</FONT></P>
<P>全局配置模式</P>
<P><FONT size=3>【使用指南】</FONT></P>
<P><B>aaa authentication local-first</B>和<B>aaa authentication
ppp</B>既共同起作用,又有不同之处。</P>
<P>从以下两个例子中可以看出二者不同之处。</P>
<P>例1:Quidway(config)#aaa authentication local-first</P>
<P>Quidway(config)#aaa authentication ppp default radius</P>
<P>例2:Quidway(config)#aaa authentication ppp default local radius</P>
<P>在例1中,系统首先进行本地验证,如果验证失败,则继续进行 RADIUS
验证;但在例2中,系统也首先进行本地验证,如果验证失败,则表明为非法访问,不再继续进行 RADIUS 验证。</P>
<P><FONT size=3>【相关命令】</FONT></P>
<P><B>aaa authentication ppp</B></P>
<H4><A name="5.1.3 aaa authentication ppp"><BIG><BIG>5.1.3 aaa
authentication ppp</BIG></BIG></A></H4>
<P>配置AAA的PPP验证方法表。</P>
<P><B>aaa authentication ppp</B> { <B>default</B> | <I>list-name</I> } {
<I>method1</I> } [ <I>method2 ...</I> ]</P>
<P><B>no aaa authencation ppp</B> { <B>default</B> | <I>list-name</I>
}</P>
<P><FONT size=3>【参数说明】</FONT></P>
<P>各参数意义如下:
<UL type=disc>
<LI><B>default </B>为PPP缺省用的验证方法表名,如果封装PPP的接口上没有定义验证方法,则缺省使用该方法表。
<LI><I>list-name</I> 用户输入的方法表名,使用时需与<B>ppp authentication</B>
命令相配合,使该方法表<I>list-name</I>用于某接口的PPP验证。
<LI><I>method </I>为验证方法,有以下三种验证方法:
<LI><B>radius</B> —— 用RADIUS服务器进行验证
<LI type=disc><B>local </B>—— 在本地进行验证(请参见PPP配置)
<LI type=disc><B>none </B>—— 所有用户不需进行验证便可得到访问权 </LI></UL>
<P>在配置验证方法表时,至少需要指定一种验证方法,如果指定多种验证方法,则在进行PPP验证时,首先采用<I>method1</I>,如果发生验证错误(如无法与RADIUS服务器建立通信连接等错误),再采用<I>method2</I>,依次类推;但如果在采用某种方法验证失败后(即为非法访问),则不再采用其后方法而终止验证。另外
none<B> </B>方法只有放在最后才有意义。</P>
<P><FONT size=3>【缺省情况】</FONT></P>
<P>对于PPP用户如果没有指定验证方法,则缺省采用<B>default</B>验证方法表。</P>
<P><FONT size=3>【命令模式】</FONT></P>
<P>全局配置模式</P>
<P><FONT size=3>【使用指南】</FONT></P>
<P>PPP的CHAP或PAP验证只是验证过程,通过该验证过程获取到对端用户名和密码等信息,能否通过验证,还需要由AAA确定。</P>
<P>AAA的PPP验证方法表中可以指明三种验证方法:<B>local</B>、<B>radius</B>和<B>none</B>。其中<B>local</B>
为用本地数据库进行验证,<B>radius</B>表示由Radius服务器进行验证,<B>none</B>表示不验证。</P>
<P>本地数据库由 <B>user </B>和 <B>no user </B>命令配置。</P>
<P><FONT size=3>【举例】</FONT></P>
<P>配置PPP的缺省验证方法表,要求先采用Radius服务器验证,如果未得到响应则改用本地验证,若仍未得到响应则不再验证。</P>
<P>Quidway(config)#aaa authentication ppp default radius local none</P>
<P><FONT size=3>【相关命令】</FONT></P>
<P><B>aaa authentication local-first</B>,<B>ppp
authentication</B>,<B>user</B>,<B>no user</B></P>
<H4><A name="5.1.4 aaa enable"><BIG><BIG>5.1.4 aaa
enable</BIG></BIG></A></H4>
<P>使能或禁止AAA。</P>
<P>[ <B>no</B> ] <B>aaa enable</B></P>
<P><FONT size=3>【缺省情况】</FONT></P>
<P>系统缺省未禁止AAA。</P>
<P><FONT size=3>【命令模式】</FONT></P>
<P>全局配置模式</P>
<P><FONT size=3>【使用指南】</FONT></P>
<P>只有使能AAA后,才能配置AAA的其它参数。</P>
<P><FONT size=3>【举例】</FONT></P>
<P>使能AAA。</P>
<P>Quidway(config)#aaa enable</P>
<H4><A name="5.1.5 ip local pool"><BIG><BIG>5.1.5 ip local
pool</BIG></BIG></A></H4>
<P>定义或取消为PPP用户分配本地的IP地址池。</P>
<P><B>ip local pool</B><I> pool-number low-ip-address </I>[<I>
high-ip-address </I>]</P>
<P><B>no ip local pool</B> <I>pool-number</I></P>
<P><FONT size=3>【参数说明】</FONT></P>
<P><I>pool-number</I>为地址池编号,范围0~99,表示系统最多可以定义100个本地IP地址池。</P>
<P><I>low-ip-address</I> 和<I> high-ip-address</I> 分别为IP地址池的起始和结束IP地址。</P>
<P><FONT size=3>【缺省情况】</FONT></P>
<P>系统缺省没有本地IP地址池,如果在定义IP地址池时,没有指定结束IP地址,则该地址池中只有一个IP地址,即起始IP地址。</P>
<P><FONT size=3>【命令模式】</FONT></P>
<P>全局配置模式</P>
<P><FONT size=3>【使用指南】</FONT></P>
<P>配置IP地址池,主要用于为PPP用户分配IP地址。</P>
<P><FONT size=3>【举例】</FONT></P>
<P>配置从129.102.0.1到129.102.0.10的本地IP地址池0。</P>
<P>Quidway(config)#ip local pool 0 129.102.0.1 129.102.0.10</P>
<P><FONT size=3>【相关命令】</FONT></P>
<P><B>peer default ip address</B></P>
<H4><A name="5.1.6 peer default ip address"><BIG><BIG>5.1.6 peer default
ip address</BIG></BIG></A></H4>
<P>配置或取消为PPP用户分配的IP地址。</P>
<P><B>peer default ip address </B>{<I> ip-address | </I><B>pool</B><I>
</I>[<I> pool-number </I>] }</P>
<P><B>no peer default ip address</B></P>
<P><FONT size=3>【参数说明】</FONT></P>
<P><I>ip-address</I>为PPP用户分配的IP地址。</P>
<P><I>pool-number</I>为PPP用户分配的IP地址池。</P>
<P><FONT size=3>【缺省情况】</FONT></P>
<P>如果不指定地址池号,则缺省为地址池0。</P>
<P><FONT size=3>【命令模式】</FONT></P>
<P>接口配置模式</P>
<P><FONT size=3>【使用指南】</FONT></P>
⌨️ 快捷键说明
复制代码
Ctrl + C
搜索代码
Ctrl + F
全屏模式
F11
切换主题
Ctrl + Shift + D
显示快捷键
?
增大字号
Ctrl + =
减小字号
Ctrl + -