烽火2640路由器命令列手冊-07-安全配置命令
安全配置命令
目 錄
第1章 AAA配置命令... 1
1.1 認證命令... 1
1.1.1 aaa authentication enable default 1
1.1.2 aaa authentication login. 2
1.1.3 aaa authentication ppp. 3
1.1.4 aaa authentication password-prompt 5
1.1.5 aaa authentication username-prompt 5
1.1.6 aaa authentication banner 6
1.1.7 aaa authentication fail-message. 7
1.1.8 aaa group server 8
1.1.9 server 9
1.1.10 service password-encryption. 9
1.1.11 username. 10
1.1.12 enable password. 12
1.1.13 debug aaa authentication. 13
1.1.14 show aaa users. 14
1.2 授權命令... 14
1.2.1 aaa authorization. 15
1.3 記帳命令... 16
1.3.1 aaa accounting. 16
1.3.2 aaa accounting update. 17
1.3.3 aaa accounting suppress null-username. 18
第2章 RADIUS配置命令... 19
2.1 RADIUS配置命令... 19
2.1.1 debug radius. 19
2.1.2 ip radius source-interface. 20
2.1.3 radius-server attribute. 21
2.1.4 radius-server challenge-noecho. 22
2.1.5 radius-server dead-time. 22
2.1.6 radius-server host 23
2.1.7 radius-server optional-passwords. 24
2.1.8 radius-server key. 25
2.1.9 radius-server retransmit 25
2.1.10 radius-server timeout 26
2.1.11 radius-server vsa send. 27
第3章 TACACS+配置命令... 29
3.1 TACACS+配置命令... 29
3.1.1 debug tacacs. 29
3.1.2 ip tacacs source-interface. 29
3.1.3 tacacs server 30
3.1.4 tacacs key. 31
3.1.5 tacacs timeout 32
第4章 IPSec配置命令... 34
4.1 IPSec配置命令... 34
4.1.1 clear crypto sa. 34
4.1.2 crypto dynamic-map. 35
4.1.3 crypto ipsec secure. 36
4.1.4 crypto ipsec transform-set 36
4.1.5 crypto map (global configuration) 37
4.1.6 crypto map (interface configuration) 40
4.1.7 crypto map local-address. 40
4.1.8 debug crypto packet 41
4.1.9 match address. 42
4.1.10 mode. 43
4.1.11 set peer 45
4.1.12 set pfs. 46
4.1.13 set security-association lifetime. 47
4.1.14 set security-association {inbound|outbound} 49
4.1.15 set transform-set 51
4.1.16 show crypto ipsec sa. 52
4.1.17 show crypto ipsec transform-set 54
4.1.18 show crypto map. 54
4.1.19 transform-type. 55
第5章 Internet金鑰交換安全協議命令... 58
5.1 IKE配置命令... 58
5.1.1 authentication(IKE policy) 58
5.1.2 clear crypto isakmp. 59
5.1.3 crypto isakmp key. 60
5.1.4 crypto isakmp policy. 60
5.1.5 debug crypto isakmp. 62
5.1.6 encryption(IKE policy) 63
5.1.7 group(IKE policy) 64
5.1.8 hash(IKE policy) 65
5.1.9 lifetime(IKE policy) 66
5.1.10 show crypto isakmp policy. 67
5.1.11 show crypto isakmp sa. 68
第6章 Web認證命令... 70
6.1 Web認證命令... 70
6.1.1 web-auth enable. 70
6.1.2 web-auth accounting. 71
6.1.3 web-auth authentication. 72
6.1.4 web-auth keep-alive. 72
6.1.5 web-auth holdtime. 73
6.1.6 web-auth authtime. 74
6.1.7 web-auth portal-server 74
6.1.8 web-auth kick-out 75
6.1.9 show web-auth. 76
6.1.10 show web-auth interface. 76
6.1.11 show web-auth user 77
6.1.12 debug web-auth event 77
6.1.13 debug web-auth error 78
6.1.14 debug web-auth verbose. 78
6.1.15 debug web-auth http event 79
6.1.16 debug web-auth http request 80
6.1.17 debug web-auth http. 80
6.1.18 debug web-auth. 81
第7章 802.1x配置命令... 82
7.1 802.1x配置命令... 82
7.1.1 dot1x enable. 82
7.1.2 dot1x port-control 83
7.1.3 dot1x multiple-hosts. 84
7.1.4 dot1x default 84
7.1.5 dot1x max-req. 85
7.1.6 dot1x reauth-max. 86
7.1.7 dot1x re-authentication. 86
7.1.8 dot1x timeout quiet-period. 87
7.1.9 dot1x timeout re-authperiod. 87
7.1.10 dot1x timeout tx-period. 88
7.1.11 dot1x user-permit 89
7.1.12 dot1x authentication method. 89
7.1.13 dot1x authen-type、dot1x authentication type. 90
7.1.14 aaa authentication dot1x. 91
7.1.15 debug dot1x error 92
7.1.16 debug dot1x state. 92
7.1.17 debug dot1x packet 93
7.1.18 show dot1x. 93
7.1.19 show dot1xmac. 94
第1章 AAA配置命令
1.1 認證命令
本章描述了用來配置AAA認證方法的命令。認證在使用者被允許訪問網路和網路服務之前對他們作出訪問權利的鑑定。
如果想得到關於怎樣用AAA的方法來配置認證的資訊,請查閱“配置認證”。如果想查閱使用本章中命令進行配置的例子,閱讀“配置認證”文件最後的示例部分。
1.1.1 aaa authentication enable default
要開放AAA認證,以確定某個使用者是否可以訪問特權級別的命令,使用本地配置命令aaa authentication enable default。使用該命令的no形式關閉這種認證方法。
aaa authentication enable default method1 [method2...]
no aaa authentication enable default
引數
| 引數 |
引數說明 |
| method |
至少為表1中所給出的關鍵字之一 |
預設
如果沒有設定default,除console能登陸成功外,其它皆返回認證失敗結果。
如果設定了default表,如果不存在相應特權級別的enable口令,則進入該特權級別的認證過程的返回結果總是認證失敗。
命令模式
全域性配置態
使用說明
使用aaa authentication enable default命令建立一系列的認證方法,這些方法用來確定某個使用者是否可以使用特權級別的命令。關鍵字method在表1中已經作了說明。只有在前面的認證方法返回錯誤時,才使用其它的認證方法,如果前面的認證方法返回結果通知認證失敗,則不使用其它的認證方法。若希望即使所有的認證方法都返回失敗,認證仍然成功,則可以把none指定為命令列的最後一個認證方法。
另外,如果使用RADIUS或TACACS+方式進行enable認證,使用的使用者名稱不同,使用RADIUS認證時,使用者名稱為$ENABLElevel$,其中level是指使用者要進入的特權級別;使用TACACS+認證時,使用者名稱為該使用者登入路由器時使用的使用者名稱,相關的具體配置請參照“AAA認證配置 ”文件中相關章節。
表1:AAA認證的有效預設方法。
| 關鍵字 |
描述 |
| group WORD |
使用命名的伺服器組進行認證。 |
| group tacacs+ |
使用TACACS+進行認證。 |
| group radius |
使用RADIUS進行認證。 |
| enable |
使用enable口令進行認證。 |
| line |
使用線路口令進行認證。 |
| none |
認證無條件通過。 |
示例
下面的示例建立一張認證列表,該列表首先嚐試與TACACS+伺服器聯絡。如果沒有發現TACACS+伺服器或伺服器返回錯誤,AAA嘗試使用enable口令。如果這種嘗試也返回錯誤(由於伺服器上沒有配置有效的口令),則允許使用者不經認證就可以訪問伺服器。
aaa authentication enable default tacacs+ enable none
相關命令
enable password
1.1.2 aaa authentication login
要設定在登入時進行AAA認證,使用全域性配置命令aaa authentication login。使用本命令的no形式關閉AAA認證。
aaa authentication login {default | list-name} method1[method2...]
no aaa authentication login {default | list-name}
引數
| 引數 |
引數說明 |
| default |
使用跟隨在該引數後面所列的認證方法作為使用者註冊時預設的方法列表。 |
| list-name |
用來命名認證方法列表的字串,使用者登入時將啟用認證方法列表中所列的方法。 |
| method |
至少為表2中描述的關鍵字之一。 |
預設
如果使用者在請求login服務時,搜尋不到指定或者預設的方法列表,則除console以外,一律返回認證失敗結果。
命令模式
全域性配置態
使用說明
使用aaa authentication login命令建立的預設列表或其他命名列表將由命令login authentication作用於某一具體線路。
只有前面的方法返回錯誤時,才使用其它的認證方法,如果前面的認證方法返回失敗,則不使用其它的認證方法。要確保即使所有的方法都返回錯誤仍能認證成功,可將none指定為該命令列的最後方法。
表2:AAA認證的註冊方法
| 關鍵字 |
描述 |
|
| enable |
使用enable口令進行認證。 |
|
| group WORD |
使用命名的伺服器組進行認證。 |
|
| group tacacs+ |
使用TACACS+進行認證。 |
|
| group radius |
使用RADIUS進行認證。 |
|
| line |
使用line密碼進行認證。 |
|
| local |
使用本地使用者名稱資料庫進行認證 。 |
|
| local-case |
使用本地使用者名稱資料庫進行認證(使用者名稱區分大小寫) 。 |
|
| none |
不進行認證 。 |
|
示例
下面的示例建立一張名為“TEST”的AAA認證方法列表。這個認證首先嚐試與TACACS+伺服器聯絡。如果沒有發現伺服器或TACACS+返回錯誤,AAA嘗試使用enable口令。如果這種嘗試也返回錯誤(由於路由器上沒有配置enable口令),則允許該使用者不經認證訪問網路。
aaa authentication login TEST tacacs+ enable none
下面的示例建立同樣的列表,但設定了預設列表,如果沒有指定其它列表,所有登入認證均使用這個列表:
aaa authentication login default tacacs+ enable none
相關命令
username
enable password
1.1.3 aaa authentication ppp
要指定一種或者多種用於執行PPP的序列介面的AAA認證方法,可以使用全域性配置命令aaa authentication ppp。使用該命令的no形式關閉認證。
aaa authentication ppp {default | list-name} method1 [method2...]
no aaa authentication ppp {default | list-name}
引數
| 引數 |
引數說明 |
| default |
將跟隨在該引數後面所列的認證方法作為使用者註冊時使用的預設認證方法; |
| list-name |
用來命名認證方法列表的字串; |
| mehod1 [method2...] |
至少為表3中描述的方法之一。 |
預設
如果使用者在請求login服務時,搜尋不到指定或者預設的方法列表,則一律返回認證失敗結果。
命令模式
全域性配置態
使用說明
使用aaa authentication ppp命令建立的預設列表和命名列表在ppp authentication命令中引用。這些列表至多能夠包含四種認證方法,使用者連線到該序列介面時使用這些認證方法。
通過輸入aaa authentication ppp list-name method命令來建立列表,其中list-name是用來命名該列表的任何字串。引數method指定具體認證方法,認證過程按配置次序使用這些方法。可以至多輸入四種方法。方法關鍵字在表3中描述。
認證失敗,則不再使用其它的認證方法。在命令列中指定none作為最後的方法,則即使所有的方法均返回錯誤,仍能認證成功。
表3:AAA認證的PPP方法 。
| 關鍵字 |
描述 |
| group WORD |
使用命名的伺服器組進行認證。 |
| group tacacs+ |
使用TACACS+進行認證。 |
| group radius |
使用RADIUS進行認證。 |
| local |
使用本地使用者名稱資料庫進行認證。 |
| local-case |
使用本地使用者名稱資料庫進行認證(使用者名稱區分大小寫) 。 |
| none |
不進行認證 。 |
示例
下面的示例為使用PPP的序列線路建立一個名為“TEST”的AAA認證列表。這種認證首次嘗試與TACACS+伺服器聯絡。如果返回錯誤,則允許使用者不經認證訪問網路。
aaa authentication ppp TEST tacacs+ none
相關命令
ppp authentication
1.1.4 aaa authentication password-prompt
要改變向用戶提示輸入口令時的文字顯示,使用全域性配置命令aaa authentication password-prompt。使用該命令的no形式重新使用預設的口令提示文字。
aaa authentication password-prompt text-string
no aaa authentication password-prompt
引數
| 引數 |
引數說明 |
| test-string |
向用戶提示輸入口令時將要顯示的文字。 |
預設
沒有使用者定義的text-string時,口令提示為“Password:”。
命令模式
全域性配置態
使用說明
使用aaa authentication password-prompt命令可改變向用戶提示輸入口令時顯示的預設文字資訊。這條命令不但改變enable口令的口令提示,也改變登入口令的口令提示。該命令的no形式將口令提示改回到預設值:
Password:
aaa authentication password-prompt命令不改變由遠端TACACS+或RADIUS伺服器提供的任何提示資訊。
示例
下面的示例將口令提示修改為“YourPassword:”:
aaa authentication password-prompt YourPassword:
相關命令
aaa authentication username-prompt
1.1.5 aaa authentication username-prompt
要改變向用戶提示輸入使用者名稱時的文字顯示,使用全域性配置命令aaa authentication username-prompt。使用該命令的no形式返回到預設的使用者名稱提示字串。
aaa authentication username-prompt text-string
no aaa authentication username-prompt
引數
| 引數 |
引數說明 |
| text-string |
向用戶提示輸入使用者名稱時將要顯示的文字。 |
預設
沒有使用者定義的text-string時,使用者名稱提示字串為“Username”。
命令模式
全域性配置態
使用說明
使用aaa authentication username-prompt命令改變向用戶提示輸入使用者名稱時顯示的提示字串。該命令的no形式將使用者名稱提示修改為預設值:
Username:
某些協議(如TACACS+)具備覆蓋本地使用者名稱提示資訊的能力。在這種情況下,使用aaa authentication username-prompt命令將不改變使用者名稱提示字串。
注意:
aaa authentication username-prompt命令不改變由遠端TACACS+伺服器提供的任何提示資訊。
示例
下面的示例將使用者名稱提示修改為所示字串:
aaa authentication username-prompt YourUsernam。
相關命令
aaa authentication password-prompt
1.1.6 aaa authentication banner
要配置個性化風格的標語(該標語在使用者登陸時顯示),可以使用全域性配置命令aaa authentication banner。使用該命令的no形式刪除標語。
aaa authentication banner delimiter string delimiter
no aaa authentication banner
引數
| 引數 |
引數說明 |
| delimiter string delimiter |
向用戶登陸時將要顯示的文字string,delimiter為定界符,定界符采用雙引號 |
預設
沒有使用者定義的登陸標語時,預設標語為:
User Access Verification
命令模式
全域性配置態
使用說明
建立標語時,需要配置一個定界符號,然後再配置文字字串本身,該定界符號的作用是通知系統下面的文字字串將被作為標語顯示。定界字元在文字字串的尾部重複出現,表示標語結束。
示例
下面的示例將登陸時標語提示修改為所示字串:
aaa authentication banner “Welcome to FHN Router”
相關命令
aaa authentication fail-message
1.1.7 aaa authentication fail-message
要配置在使用者登陸失敗時顯示的個性化風格的標語,可以使用全域性配置命令aaa authentication fail-message。使用該命令的no形式刪除登陸失敗標語。
aaa authentication fail-message delimiter string delimiter
no aaa authentication fail-message
引數
| 引數 |
引數說明 |
| delimiter string delimiter |
向用戶登陸失敗時將要顯示的文字string,delimiter為定界符,定界符采用雙引號 |
預設
沒有使用者定義的登陸失敗標語時,預設的標語為:
Authentication failed!
命令模式
全域性配置態
使用說明
建立標語時,需要配置一個定界符號,然後再配置文字字串本身,該定界符號的作用是通知系統下面的文字字串將被作為標語顯示。定界字元在文字字串的尾部重複出現,表示標語結束。
示例
下面的示例將使用者名稱提示修改為所示字串:
aaa authentication fail-message “See you later”
相關命令
aaa authentication banner
1.1.8 aaa group server
我們支援配置AAA伺服器組,使用下面的命令進入伺服器組配置層次。使用此命令的no形式刪除已配置的伺服器組。
aaa group server {radius | tacacs+}group-name
no aaa group server {radius | tacacs+} group-name
引數
| 引數 |
引數說明 |
| group-name |
伺服器組的名稱字串。 |
預設
無伺服器組。
命令模式
全域性配置態
使用說明
使用此命令進入伺服器組的配置層次,然後在其中新增相應的伺服器。
示例
aaa group server radius radius-group
上面的命令將新增一個名字為“radius-group”的radius伺服器組。
相關命令
server
1.1.9 server
使用這條命令在一個AAA伺服器組中新增一個伺服器,使用次命令的no形式刪除一個伺服器。
server A.B.C.D
no server A.B.C.D
引數
| 引數 |
引數說明 |
| A.B.C.D |
伺服器的IP地址。 |
預設
無伺服器
命令模式
伺服器組配置態
使用說明
一個伺服器組中最多新增20個不同的伺服器。
示例
server 12.1.1.1
上面的命令將地址為12.1.1.1的伺服器新增到伺服器組中。
相關命令
aaa group server
1.1.10 service password-encryption
要對系統中相關的密碼進行加密,可使用這條命令,使用該命令的no形式可以取消對新配置密碼的加密。
service password-encryption
no service password-encryption
引數
無
預設
不對系統中相關的密碼進行加密顯示。
命令模式
全域性配置態
使用說明
目前我們路由器系統的實現中,此命令與username password、enable password和password這三條命令相關。如果沒有配置此命令(即預設狀態),且在上述三條命令中採用密碼明文顯示方式,即在show running-config命令中可以顯示出已配置的密碼的明文;而一旦配置了這條命令後,上述三條命令中配置的密碼將被加密,無法在show running-config命令中顯示出已配置的密碼的明文,使用no service password-encryption命令也無法恢復密碼的明文顯示,所以在使用這條命令加密前請確認已經配置的密碼。no service password-encryption命令僅對使用此命令後配置的密碼有效,對使用此命令前配置的已被加密的密碼無效。
示例
router_config#service password-encryption
使用此命令對已經配置的明文密碼進行加密,且對使用此命令後的明文密碼也進行加密。
相關命令
username username password
enable password
password
1.1.11 username
要在本地使用者資料庫中增加使用者,用於本地方式的認證和授權,可使用此條命令。使用該命令的no形式可刪除相應的使用者。
username username [password {password | [encryption-type] encrypted-password }] [user-maxlinks number] [callback-dialstring string] [callback-line line] [callback-rotary rotary] [nocallback-verify] [autocommand command] [nopassword] [nohangup] [noescape] [priviledge level]
no username username
引數
| 引數 |
引數說明 |
| username |
使用者名稱字串; |
| password |
密碼字串明文; |
| encryption-type |
密碼加密的型別; |
| encrypted-password |
限定的加密型別相對應的密碼的密文 |
| user-maxlinks |
同一使用者可同時與路由器建立的連結數(只統計通過本地認證的使用者)。 |
| number |
同時建立的連結數 |
| callback-dialstring |
回撥電話號碼(不支援); |
| string |
電話號碼字串; |
| callback-line |
回撥時使用的線路(不支援); |
| line |
線路號 |
| callback-rotary |
回撥rotary配置(不支援); |
| rotary |
rotary號碼; |
| nocallback-verify: |
回撥不認證(不支援) |
| autocommand |
當用戶登入路由器後自動執行指定的命令。autocommand 命令必須使用在命令列的最後。 |
| command |
自動執行命令字串。 |
| nopassword |
登陸時不需要密碼。 |
| nohangup |
阻止使用者登陸並執行自動命令完後斷開連線(不支援)。 |
| noescape |
阻止使用者登陸後使用轉義字元(不支援)。 |
| priviledge |
設定使用者的特權級別。 |
| level |
用來設定使用者特權級別的值,範圍在0~15。 |
預設
沒有使用者。
命令模式
全域性配置態
使用說明
當沒有password引數時,認為密碼為空字串。
user-maxlinks限制了同一個使用者名稱同時可以與路由器建立的會話數,但是當此使用者的某個會話不是由本地認證方式(local)認證時將不被計算在內。可通過show aaa users命令檢視每個線上使用者是通過了那一種方式的認證。
我們路由器配置的密碼中不能包括空格,即在使用enable password命令時,如果需要直接輸入密碼明文時,不能輸入空格。
目前我們路由器系統中所支援的encryption-type只有兩種,在命令中的引數分別為0和7,0代表0表示不加密,後面的encrypted-password直接輸入密碼的明文,這種方法和不加encryption-type而直接輸入password引數的方法效果相同;7表示使用一種本公司自定義的演算法來進行加密,後面的encrypted-password需要輸入加密後的密碼密文,這個密文可以從其他路由器的配置檔案中拷貝出來。
示例
下面的示例增加本地使用者,使用者名稱為someone,密碼為someother:
username someone password someother
下面的示例增加了本地使用者,使用者名稱為Oscar,密碼為Joan,採用的encryption-type為7,即加密方法,需要輸入密碼密文:
enable password 7 1105718265
假設Joan的密文為1105718265,該密文的值是從其他路由器上的配置檔案中獲得的。
相關命令
aaa authentication login
aaa authentication ppp
1.1.12 enable password
如果希望對進入特權級別的使用者進行認證,可以通過enable password命令配置相應特權級別的認證密碼。使用該命令的no形式取消此密碼。
enable password {password| [encryption-type] encrypted-password} [levelnumber]
no enable password [level number]
引數
| 引數 |
引數說明 |
| password |
密碼字串明文; |
| encryption-type |
密碼加密的型別; |
| encrypted-password和encryption-type |
限定的加密型別相對應的密碼的密文; |
| level |
特權級別; |
| number |
特權級別具體取值(1-15); |
預設
沒有密碼。
命令模式
全域性配置態
使用說明
我們路由器配置的密碼中不能包括空格,即在使用enable password命令時,如果需要直接輸入密碼明文時,不能輸入空格。 密碼明文的長度不能超過126個字元。
當沒有輸入level引數時,預設認為是第15級。特權級別越大擁有的許可權越大。若某個特權級別沒有配置密碼,則當用戶進入此級別時將返回認證失敗。
目前我們路由器系統中所支援的encryption-type只有兩種,在命令中的引數分別為0和7,0代表0表示不加密,後面的encrypted-password直接輸入密碼的明文,這種方法和不加encryption-type而直接輸入password引數的方法效果相同;7表示使用一種本公司自定義的演算法來進行加密,後面的encrypted-password需要輸入加密後的密碼密文,這個密文可以從其他路由器的配置檔案中拷貝出來。
示例
下面的示例增加特權級別10的密碼為clever,採用的encryption-type為0,即密碼明文方式:
enable password 0 clever level 10
下面的示例增加了預設特權級別(15級)的密碼為Oscar,採用的encryption-type為7,即加密方法,需要輸入密碼密文:
enable password 7 074A05190326
假設Oscar的密文為074A05190326,該密文的值是從其他路由器上的配置檔案中獲得的。
相關命令
aaa authentication enable default
service password-encryption
1.1.13 debug aaa authentication
如果希望對使用者的認證過程進行跟蹤,可使用debug aaa authentication命令。使用此命令的no形式關掉debug資訊。
debug aaa authentication
no debug aaa authentication
引數
無
預設
關閉debug資訊。
命令模式
管理態
使用說明
使用此命令可跟蹤每個使用者的認證過程,以發現認證失敗的原因。
相關命令
debug aaa authorization
debug aaa accounting
1.1.14 show aaa users
要顯示所有線上AAA使用者的概要資訊,可使用show aaa users命令。
show aaa users
引數
無
預設
無
命令模式
管理態
使用說明
使用此命令可顯示所以的線上使用者,包括以下資訊:介面(port)、使用者名稱(username)、服務型別(service)、線上持續時間(time)以及IP地址(peer_address)。
示例
#show aaa users
Port User Service Duration Peer-address
===============================================================
console 0 zjl exec 04:14:03 unknown
vty 0 fhn exec 00:12:24 172.16.20.120
serial2/1 admin ppp(chap) 01:43:09 192.168.20.87
| 域 |
解釋 |
| Port |
使用者所處的介面ID或Vty的索引號。 |
| User |
使用者名稱字串。 |
| Service |
使用者請求的服務。 |
| Duration |
使用者線上的持續統計時間。 |
| Peer-address |
使用者所處的遠端主機IP地址。 |
相關命令
username
1.2 授權命令
本章描述了用來配置AAA授權方法的命令。AAA授權可以限制對某個使用者的有效服務,當AAA授權有效時,路由器使用從使用者開工文件(profile)中檢索出的資訊配置該使用者的會話,使用者的開工文件位於本地使用者資料庫或者位於安全伺服器上。完成這件工作後,就允許該使用者訪問所要求的服務,只要包含在使用者開工文件中的資訊允許提供這項服務。
如果想得到關於怎樣用AAA的方法來配置授權的資訊,請查閱“配置授權”。如果想查閱使用本章中命令進行配置的例子,閱讀“配置授權”文件最後的示例部分。
1.2.1 aaa authorization
使用全域性配置命令aaa authorization設定引數來限制使用者的網路訪問許可權。使用該命令的no形式關閉某個功能的授權。
aaa authorization { network | exec } {default | list-name} [method1 [method2...] ]
no aaa authorization { network | exec } {default | list-name}
引數
| 引數 |
引數說明 |
| network |
網路型別服務的授權,如:PPP、SLIP |
| exec |
適用於與使用者EXEC終端對話相關的屬性,決定使用者註冊時是否允許啟動EXEC外殼程式,或者授予使用者進入EXEC shell時的特權級別。 |
| default |
預設授權方法列表。 |
| list-name |
用來命名授權方法列表的字串。 |
| method1 [method2...] |
授權方法,參見“授權配置”文件 |
預設
使用者要求進行授權,但沒有在相應的線路或介面上指定要求使用的授權方法列表,則會使用預設方法列表。如果沒有定義預設方法列表,則不發生授權行為。
命令模式
全域性配置態
使用說明
使用aaa authorization命令開啟授權,建立授權方法列表,定義在使用者訪問指定功能時可使用的授權方法。授權方法列表定義了授權執行的方式以及執行這些授權方法的次序。方法列表只是一張簡單的命名列表,它描述要順序查詢的授權方法(如RADIUS或TACACS+)。方法列表可以指定一個或多個用來授權的安全協議,因此,它能夠確保萬一前面所列的授權方法失敗後有一個備用的方法。 一般情況下,先使用所列的第一個方法試圖授予使用者訪問指定網路服務的許可權;如果該方法沒有響應,再選擇方法列表中所列的下一個方法。這個過程繼續進行下去,直到使用的某個授權方法成功地返回授權結果,或者用完了所定義的所有方法。
一旦定義了授權方法列表後,在所定義的方法被執行之前,該方法列表必須應用到指定的線路或介面上。作為授權過程的一部分,授權命令向RADIUS或TACACS+伺服器程式傳送包括一系列AV對的請求包。伺服器可能執行下述動作之一:
l 完全接受請求。
l 接受請求,並增加屬性限制使用者服務許可權。
l 拒絕請求,授權失敗。
示例
下述示例定義名為have_a_try的網路授權方法列表,該方法列表指定在使用PPP的序列線路上使用RADIUS授權方法。如果RADIUS伺服器沒有響應,則執行本地網路授權。
aaa authorization network have_a_try radius local
相關命令
aaa authentication
aaa accounting
priviledge
1.3 記帳命令
本章描述了用來配置AAA認證方法的命令。記帳功能可以跟蹤使用者訪問的服務,同時可以跟蹤他們消耗的網路資源數量。當啟用AAA記帳功能時,路由器以記帳記錄的形式向TACACS+或RADIUS安全伺服器(依賴於所實現的安全方法)報告使用者的活動。每條記帳記錄包括記帳屬性值(AV)對,並存儲在訪問控制伺服器上。然後這些資料可用於網路管理、客戶帳單和/或審計等分析。
1.3.1 aaa accounting
當使用RADIUS或TACACS+時,基於記帳或安全的目的要對所要求的服務開放AAA記帳,可以使用全域性配置命令aaa accounting。使用該命令的no形式關閉記帳:
aaa accounting { network | exec | connection} {default | list-name} {start-stop | stop-only | none} group groupname
no aaa accounting { network | exec | connection} {default | list-name}
引數
| 引數 |
引數說明 |
| network |
給所有PPP會話提供記帳記錄資訊,包括包、位元組及時間計數。 |
| exec |
提供有關路由器的使用者EXEC終端會話的資訊(目前不支援)。 |
| connection |
提供有關路由器發出的所有出站連線的資訊,目前只支援H323會話資訊。 |
| default |
預設記帳方法列表。 |
| list-name |
用來命名記帳方法列表的字串。 |
| method1 [method2...] |
記帳方法,參見“記帳配置”文件 |
預設
使用者要求進行記帳,但沒有在相應的線路或介面上指定要求使用的記帳方法列表,則會使用預設方法列表。如果沒有定義預設方法列表,則不發生記帳行為。
命令模式
全域性配置態
使用說明
使用aaa accounting命令開啟記帳,建立記帳方法列表,定義在使用者傳送記帳記錄時可使用的記帳方法。記帳方法列表定義了記帳執行的方式以及執行這些記帳方法的次序。方法列表只是一張簡單的命名列表,它描述要順序查詢的記帳方法(RADIUS或TACACS+)。方法列表可以指定一個或多個用來記帳的安全協議,因此,它能夠確保萬一前面所列的記帳方法失敗後有一個備用的方法。
相關命令
aaa authentication
aaa accounting
1.3.2 aaa accounting update
如果需要向記帳伺服器週期性的傳送臨時的記帳記錄,可以使用全域性配置命令aaa accounting update。使用該命令的no形式關閉臨時記帳記錄:
aaa accounting update { newinfo | periodic number}
no aaa accounting update { newinfo | periodic}
引數
| 引數 |
引數說明 |
| update |
啟用路由器傳送臨時記帳記錄(需要端使用者支援) |
| newinfo |
每當有新的記帳資訊要報告時,向記帳伺服器傳送臨時記帳記錄 |
| periodic |
週期性地傳送臨時記帳記錄,該週期由數字引數定義 |
| number |
傳送臨時記帳記錄的週期數字引數 |
預設
不發生臨時記帳行為。
命令模式
全域性配置態
使用說明
參見“記帳配置”文件。
相關命令
aaa accounting
1.3.3 aaa accounting suppress null-username
如果需要阻止為沒有使用者名稱的會話產生記帳記錄,可以使用全域性配置命令如下。使用該命令的no形式關閉:
aaa accounting suppress null-username
no aaa accounting suppress null-username
引數
無
預設
不阻止為沒有使用者名稱的會話產生記帳記錄。
命令模式
全域性配置態
使用說明
參見“記帳配置”文件。
相關命令
aaa accounting
第2章 RADIUS配置命令
2.1 RADIUS配置命令
本章介紹RADIUS的配置命令。RADIUS是能夠拒絕非授權網路訪問的分散式客戶/伺服器系統。RADIUS客戶機執行在路由器上,並向包含所有使用者認證和網路服務訪問資訊的中央RADIUS伺服器發出認證、授權或記錄請求。
有關如何配置RADIUS的資訊及配置示例,請參見“配置RADIUS”。
2.1.1 debug radius
為了跟蹤RADIUS事件或報文,可執行debug radius命令。使用此命令的no形式關掉debug資訊。
debug radius{event | packet}
no debug radius{event | packet}
引數
| 引數 |
引數說明 |
| event |
跟蹤RADIUS事件。 |
| packet |
跟蹤RADIUS報文。 |
預設
無
命令模式
管理態
使用說明
此命令可用於網路系統除錯,查詢使用者認證失敗的原因。
Router#debug radius event
RADIUS:return message to aaa, Give me your username
RADIUS:return message to aaa, Give me your password
RADIUS:inital transmit access-request [4] to 192.168.20.126 1812 <length=70>
RADIUS:retransmit access-request [4] to 192.168.20.126 1812 <length=70>
RADIUS:retransmit access-request [4] to 192.168.20.126 1812 <length=70>
RADIUS:192.168.20.126 is dead to response [4]
RADIUS:Have tried all servers,return error to aaa
| 輸出資訊 |
解釋 |
| return message to aaa, Give me your username |
需要得到使用者名稱。 |
| return message to aaa, Give me your password |
需要得到使用者名稱對應的密碼。 |
| inital transmit access-request [4] to 192.168.20.126 1812 <length=70> |
首次向RADIUS伺服器傳送認證請求,伺服器地址為192.168.20.126,埠號為1812,報文長度為70。 |
| retransmit access-request [4] to 192.168.20.126 1812 <length=70> |
伺服器對請求沒有及時作出反應,重發此認證請求。 |
| 192.168.20.126 is dead to response [4] |
重發多次後,伺服器仍未迴應,將此伺服器標誌為已死亡。 |
| Have tried all servers,return error to aaa |
RADIUS無法完成此次認證,返回error。 |
示例
下列示例開啟RADIUS的事件跟蹤:
debug radius event
2.1.2 ip radius source-interface
為了強制RADIUS對所有傳送的RADIUS報文使用指定介面的IP地址,使用ip radius source-interface 全域性配置命令。使用該命令的no 形式恢復為預設值。
ip radius source-interface interface-name
no ip radius source-interface
引數
| 引數 |
引數說明 |
| interface-name |
RADIUS對所有傳送的RADIUS報文使用該介面的IP地址。 |
預設
本命令沒有廠家指定的預設值,即根據實際情況來決定源發IP地址。
命令模式
全域性配置態
使用說明
使用本命令選擇某一個介面的IP地址,作為所有流出RADIUS包的源地址。只要介面處於up狀態,就一直使用這個地址。這樣,對每個網路訪問客戶機來說,RADIUS伺服器只使用一個IP地址,而不用維護一個IP地址列表。當路由器有許多介面且打算確保來自某個特定路由器的全部RADIUS包具有相同的IP地址時,本命令就特別有用了。
指定的介面必須擁有與之相聯絡的IP地址。如果指定的介面不擁有IP地址,或者處於down狀態,那麼,RADIUS就恢復到預設值。為了避免出現這種情況,請向介面新增IP地址並且保證介面處於up狀態。
示例
下列示例讓RADIUS對所有傳送的RADIUS包使用介面s1/2的IP地址:
ip radius source-interface s1/2
相關命令
ip tacacs source-interface
2.1.3 radius-server attribute
在radius認證和計費過程中,是否指定傳輸某些屬性使用全域性配置命令radius-server attribute。使用本命令的no形式關閉AAA認證。
radius-server attribute {4 | 32}
no radius-server attribute {4 | 32}
引數
| 引數 |
引數說明 |
| 4 |
將跟隨在該引數後面的地址作為屬性4(NAS ip address)的值在radius處理過程中傳輸 |
| 32 |
根據跟隨在該引數後面的指令指定在radius認證或請求中傳輸屬性attribute32(NAS identifier) |
預設
無
命令模式
全域性配置態
使用說明
使用radius-server attribute命令配置並指定在radius處理過程中傳輸某種特定的屬性。
radius-server attribute 4配置radius屬性4(NAS 的IP 地址)並指定在RADIUS 報文中傳輸。
radius-server attribute 32指定在RADIUS 認證或計費請求報文中傳輸radius屬性32(NAS 的ID)。
示例
radius-server attribute 4 X.X.X.X 在RADIUS報文中傳輸radius屬性4,並用X.X.X.X作為屬性值
radius-server attribute 32 in-access-req 在認證請求中傳輸NAS identifier
radius-server attribute 32 in-account-req 在計費請求中傳輸NAS identifier
相關命令
無
2.1.4 radius-server challenge-noecho
為了使在Access-Challenge方式下使用者資料不顯示,需使用radius challenge-noecho命令。
radius-server challenge-noecho
no radius-server challenge-noecho
引數
無
預設
在Access-Challenge方式下使用者資料都顯示。
命令模式
全域性配置態
使用說明
無
示例
radius-server challenge-noecho
2.1.5 radius-server dead-time
當某些伺服器不可用時,為了改善RADIUS的響應時間,使用radius dead-time全域性配置命令,該命令讓系統立即跳過不可用的伺服器。使用本命令的no形式將dead-time設定為0,即認為所以的伺服器一直可用。
radius-server dead-time minutes
no radius-server dead-time
引數
| 引數 |