神州數(shù)碼

DigitalChina

神州數(shù)碼網(wǎng)絡(luò)有限公司

2008年7月

神州數(shù)碼

DigitalChina

神州數(shù)碼網(wǎng)絡(luò)有限公司

目錄

第1章AAA配置........................................................................1

1.1AAA概述.......................................................................1

1.1.1AAA安全服務(wù).............................................................1

1.1.2使用AAA的優(yōu)點(diǎn)...........................................................2

1.1.3AAA基本原理.............................................................2

1.1.4AAA方法列表.............................................................2

1.2AAA配置過(guò)程...................................................................4

121AAA配置過(guò)程概覽..........................................................4

1.3AAA認(rèn)證配置任務(wù)列表..........................................................4

1.4AAA認(rèn)證配置任務(wù)..............................................................4

1.4.1使用AAA配置登錄認(rèn)證.....................................................5

1.4.2使用AAA進(jìn)行PPP認(rèn)證......................................................6

1.4.3在進(jìn)入特權(quán)級(jí)別時(shí)開(kāi)啟口令保護(hù)............................................8

1.4.4為AAA認(rèn)證配置消息標(biāo)語(yǔ)...................................................9

1.4.5改變提示輸入用戶(hù)名時(shí)的字符串.............................................9

1.4.6改變提示輸入口令時(shí)的字符串..............................................10

1.4.7建立本地用戶(hù)名認(rèn)證數(shù)據(jù)庫(kù)...............................................10

1.4.8建立本地特權(quán)級(jí)別認(rèn)證數(shù)據(jù)庫(kù)..............................................11

1.5AAA認(rèn)證配置示例..............................................................11

1.6AAA授權(quán)配置任務(wù)列表..........................................................12

1.7AAA授權(quán)配置任務(wù)..............................................................12

1.7.1使用AAA配置exec授權(quán).....................................................13

1.8AAA授權(quán)示例..................................................................14

1.9AAA記帳配置任務(wù)列表..........................................................14

1.10AAA記帳配置任務(wù).............................................................14

1.10.1使用AAA配置connection記帳................................................15

1.10.2使用AAA配置network記帳..................................................15

1.10.3使用AAA配置記帳更新....................................................16

1.10.4抑制無(wú)用戶(hù)名的用戶(hù)記帳.................................................16

第2章RADIUS配置.........17

2.1概述..............17

2.1.1RADIUS概述…17

2.1.2RADIUS協(xié)議操作18

2.2RADIUS配置步驟........18

2.3RADIUS配置任務(wù)列表18

2.4RADIUS配置任務(wù)…19

2.4.1配置路由器與RADIUS服務(wù)器的通信19

2.4.2使用廠商專(zhuān)用的RADIUS屬性配置路由器19

-1-

神州數(shù)碼

DigitalChina

神州數(shù)碼網(wǎng)絡(luò)有限公司

2.4.3配置RADIUS認(rèn)證............................................................20

2.4.4配置RADIUS授權(quán)............................................................20

2.4.5配置RADIUS記錄............................................................20

2.5RADIUS配置示例...................................................................20

2.5.1RADIUS認(rèn)證和授權(quán)示例......................................................20

2.5.2AAA中應(yīng)用RADIUS示例.......................................................21

第3章TACACS+配置......................................................................22

3.1TACACS+概述.....................................................................22

3.1.1TACACS+的協(xié)議操作.........................................................22

3.2TACACS+配置流程.................................................................23

3.3TACACS+配置任務(wù)列表.............................................................23

3.4TACACS+配置任務(wù).................................................................24

3.4.1指定TACACS+服務(wù)器.........................................................24

3.4.2設(shè)置TACACS+加密密鑰.......................................................24

3.4.3指定使用TACACS+進(jìn)行認(rèn)證...................................................24

3.4.4指定使用TACACS+進(jìn)行授權(quán)...................................................25

3.4.5指定使用TACACS+進(jìn)行記錄...................................................25

3.5TACACS+配置示例.................................................................25

3.5.1TACACS+認(rèn)證示例...........................................................25

3.5.2TACACS+授權(quán)示例...........................................................26

353TACACS+記錄示例............................................................26

第4章IPSec配置.........................................................................28

4.1IPSec概述........................................................................28

4.1.1支持的標(biāo)準(zhǔn).................................................................28

4.1.2術(shù)語(yǔ)...................................................................29

4.1.3限制......................................................................29

4.1.4IPSec工作過(guò)程概述.........................................................29

4.1.5IPSec嵌套..................................................................30

4.2IPSec配置任務(wù)列表................................................................31

4.3IPSec配置任務(wù)....................................................................31

4.3.1確保訪問(wèn)列表和IPSec相兼容..................................................31

4.3.2開(kāi)啟/關(guān)閉nat穿透協(xié)商功能.....31

4.3.3創(chuàng)建id身份驗(yàn)證配置..........32

4.3.4創(chuàng)建加密訪問(wèn)列表............32

4.3.5加密訪問(wèn)列表技巧............33

4.3.6在加密訪問(wèn)列表中使用any關(guān)鍵字

4.3.7定義變換集合................

4.3.8創(chuàng)建加密映射表..............

4.3.9應(yīng)該建立多少個(gè)加密映射表...

4.3.10創(chuàng)建手工方式的加密映射表........

4.3.11創(chuàng)建使用IKE的加密映射表....

神州數(shù)碼

DigitalChina

神州數(shù)碼網(wǎng)絡(luò)有限公司

4.3.12將加密映射表集合應(yīng)用于接口.............................................38

4.4IPSec配置示例.................................................................38

第5章配置Internet密鑰交換安全協(xié)議....................................................40

5.1概述.........................................................................40

5.1.1IKE概要................................................................40

5.1.2支持的標(biāo)準(zhǔn)............................................................40

5.1.3術(shù)語(yǔ)...................................................................41

5.2IKE配置任務(wù)列表..............................................................41

5.3IKE配置任務(wù)..................................................................41

5.3.1確保訪問(wèn)列表與IKE兼容...................................................41

5.3.2倉(cāng)“建IKE策略.............................................................41

5.3.3配置預(yù)共享密鑰.........................................................44

5.3.4配置DPD（deadpeerdetection^可選）...........................................44

5.3.5清除IKE連接（可選）.....................................................45

5.3.6IKE診斷（可選）.........................................................45

5.4IKE酉已置示例..................................................................45

第6章Web認(rèn)證配置...................................................................47

6.1概述.........................................................................47

6.1.1理解Web認(rèn)證............................................................47

6.1.2規(guī)劃web認(rèn)證............................................................49

6.2配置web認(rèn)證..................................................................50

6.2.1全局配置................................................................50

6.2.2接口配置................................................................51

6.2.3使能web認(rèn)證............................................................51

6.3監(jiān)控和維護(hù)web認(rèn)證............................................................52

6.3.1查看全局配置............................................................52

6.3.2查看接口配置............................................................52

6.3.3查看用戶(hù)狀態(tài)............................................................52

6.3.4強(qiáng)行踢出用戶(hù)............................................................52

6.4web認(rèn)證配置示例..............................................................53

6.4.1外置DHCPServerweb認(rèn)證配置..............................................53

6.4.2內(nèi)置DHCPServerweb認(rèn)證配置..............................................54

第7章配置802.1x...................56

7.1酉己置802.1X任務(wù)歹U表56

7.2配置802.1X任務(wù)_56

7.2.1配置端口的802.1x認(rèn)證...........56

7.2.2配置802.1x多主機(jī)端口認(rèn)證.......57

7.2.3配置802.1X身份認(rèn)證請(qǐng)求的最大次數(shù)57

7.2.4配置802.1x的重認(rèn)證58

7.2.5控制802.1x發(fā)送頻率58

神州數(shù)碼

DigitalChina

神州數(shù)碼網(wǎng)絡(luò)有限公司

7.2.6配置802.1X用戶(hù)綁定.......................................................58

7.2.7配置802.1X端口的認(rèn)證方法.................................................58

7.2.8選擇802.1x端口的認(rèn)證類(lèi)型.................................................59

7.2.9802.1x恢復(fù)默認(rèn)配置.......................................................59

7.2.10監(jiān)控802.1X認(rèn)證配置和狀態(tài)................................................59

7.3配置802.1X示例................................................................59

神州數(shù)碼

DigitalChina

神州數(shù)碼網(wǎng)絡(luò)有限公司

第1章AAA配置

1.1AAA概述

訪問(wèn)控制是用來(lái)控制接入路由器或網(wǎng)絡(luò)訪問(wèn)服務(wù)器(NAS)的用戶(hù)，并限制他們可使用

的服務(wù)種類(lèi)。提供認(rèn)證、授權(quán)和記錄(Authentication,Authorization,Accounting)功

能，以提高網(wǎng)絡(luò)安全性能。

1.1.1AAA安全服務(wù)

AAA是使用相同方式配置三種獨(dú)立的安全功能的一種體系結(jié)構(gòu)。它提供了完成下列服務(wù)

的模塊化方法：

?認(rèn)證(Authentication)-----提供一種識(shí)別用戶(hù)的方法，包括用戶(hù)名和口令的詢(xún)問(wèn)，

以及根據(jù)所選擇的安全協(xié)議進(jìn)行加密。

認(rèn)證是接受用戶(hù)訪問(wèn)請(qǐng)求和提供網(wǎng)絡(luò)服務(wù)之前識(shí)別他們身份的方法。通過(guò)定義一張

命名的認(rèn)證方法列表來(lái)對(duì)AAA認(rèn)證進(jìn)行配置，然后應(yīng)用該列表于各種接口。方法

列表定義了所執(zhí)行的認(rèn)證的類(lèi)型和它們執(zhí)行的次序；任何定義的認(rèn)證方法執(zhí)行之前

都必須應(yīng)用在具體的接口上。唯一的例外是缺省方法列表(其名稱(chēng)為default)。如

果沒(méi)有定義其它方法列表，缺省方法列表自動(dòng)應(yīng)用于所有接口。定義任何方法列表

將覆蓋缺省方法列表。有關(guān)所有認(rèn)證的配置方法的詳細(xì)資料，請(qǐng)參見(jiàn)“認(rèn)證配置”。

?授權(quán)(Authorization)——提供一種遠(yuǎn)程訪問(wèn)控制的方法，用于限制用戶(hù)的服務(wù)權(quán)

限。

AAA授權(quán)通過(guò)相對(duì)于該用戶(hù)的一組屬性來(lái)發(fā)揮作用，這些屬性描述了用戶(hù)被授予

哪些權(quán)限。將這些屬性與包括在數(shù)據(jù)庫(kù)中某個(gè)特定用戶(hù)的信息相比較，結(jié)果返回給

AAA,以確定該用戶(hù)的實(shí)際權(quán)限。這個(gè)數(shù)據(jù)庫(kù)可以位于所訪問(wèn)的本地服務(wù)器或路由

器，或者位于遠(yuǎn)程RADIUS或TACACS+安全服務(wù)器。像RADIUS和TACACS+

這樣的遠(yuǎn)程安全服務(wù)器，通過(guò)與用戶(hù)相聯(lián)系的屬性值(AV)對(duì)(Attribute-Value

Pairs)來(lái)完成對(duì)用戶(hù)的授權(quán)，屬性值(AV)對(duì)定義了允許授予的權(quán)限。所有的授

權(quán)方法必須通過(guò)AAA定義。與認(rèn)證一樣，首先要定義一個(gè)授權(quán)方法列表，然后在

各種接口中應(yīng)用該列表。有關(guān)使用AAA進(jìn)行授權(quán)配置的詳細(xì)情況，請(qǐng)參見(jiàn)“授權(quán)

配置”。

?記帳(Accounting)一提供一種收集用戶(hù)服務(wù)信息，并發(fā)送給安全服務(wù)器的方法，

這些信息可用于開(kāi)列帳單、審計(jì)和形成報(bào)表，如用戶(hù)標(biāo)識(shí)、開(kāi)始時(shí)間和停止時(shí)間、

執(zhí)行的命令、數(shù)據(jù)包的數(shù)量以及字節(jié)數(shù)。

記帳功能不僅可以跟蹤用戶(hù)訪問(wèn)的服務(wù)，同時(shí)還可以跟蹤他們消耗的網(wǎng)絡(luò)資源數(shù)

量。當(dāng)激活A(yù)AA記錄功能時(shí)，網(wǎng)絡(luò)訪問(wèn)服務(wù)器以記錄的形式向TACACS+或

RADIUS安全服務(wù)器報(bào)告用戶(hù)的活動(dòng)。每條記錄包括記錄屬性值(AV)對(duì)，存儲(chǔ)

在安全服務(wù)器上。這些數(shù)據(jù)可用于網(wǎng)絡(luò)管理、客戶(hù)帳單或?qū)徲?jì)分析。與認(rèn)證和授權(quán)

一樣，要先定義一個(gè)記錄方法列表，然后在不同的接口中便用這張表?？搓P(guān)使用

AAA進(jìn)行記帳配置的詳細(xì)材料，請(qǐng)參見(jiàn)“記帳配置”。

-1-

神州數(shù)碼

DigitalChina

神州數(shù)碼網(wǎng)絡(luò)有限公司

1.1.2使用AAA的優(yōu)點(diǎn)

AAA提供了如下優(yōu)點(diǎn)：

?靈活性和易于控制

?方便升級(jí)

?標(biāo)準(zhǔn)化的認(rèn)證方法，如RADIUS,TACACS+

?多重備用系統(tǒng)

1.1.3AAA基本原理

AAA用來(lái)動(dòng)態(tài)配置基于每條線路（每個(gè)用戶(hù)）或者每項(xiàng)服務(wù)（例如，IP、IPX或VPDN）

的認(rèn)證、授權(quán)及記帳類(lèi)型。通過(guò)創(chuàng)建方法列表定義認(rèn)證和授權(quán)的類(lèi)型，然后把這些方法

列表應(yīng)用到具體服務(wù)或接口上。

1.1.4AAA方法列表

要對(duì)AAA進(jìn)行配置，首先定義一個(gè)命名的方法列表，然后將這張列表應(yīng)用到具體的服務(wù)

或者接口上。該方法列表定義了所要執(zhí)行的AAA類(lèi)型，以及他們將被執(zhí)行的次序；所定

義的任何方法列表在被執(zhí)行之前，必須應(yīng)用于某一個(gè)具體的接口或者服務(wù)。唯一例外的

是缺省方法列表（default）?缺省方法列表自動(dòng)的應(yīng)用于所有的接口或者服務(wù)。除非該接

口明確引用了其他方法列表，這時(shí)此方法列表將替代缺省方法列表。

方法列表是用戶(hù)在請(qǐng)求AAA服務(wù)時(shí)需要順序查詢(xún)的AAA方法的表格。在方法列表中可

以指派?個(gè)或多個(gè)安全協(xié)議。因此確保了萬(wàn)一最初的方法失敗后有個(gè)備用的認(rèn)證系統(tǒng)。

本公司路由器軟件使用方法列表中的第一個(gè)方法鑒別用戶(hù)；如果該方法沒(méi)有反應(yīng)，則會(huì)

選擇方法列表中的下一個(gè)方法。這一個(gè)過(guò)程一直進(jìn)行下去，直至所列的某個(gè)方法成功的

進(jìn)行AAA服務(wù)，或者所有的方法用完為止。

注意到這一點(diǎn)是很重要的，即本公司路由器軟件僅僅在前面的方法沒(méi)有反應(yīng)時(shí)，才嘗試

使用列在后面的AAA方法進(jìn)行AAA服務(wù)。如果AAA服務(wù)在這個(gè)過(guò)程中的任何一點(diǎn)上失

敗了，即安全服務(wù)器或是本地用戶(hù)數(shù)據(jù)庫(kù)的反應(yīng)是拒絕用戶(hù)訪問(wèn)，則AAA服務(wù)過(guò)程停止,

并且不再?lài)L試其他的認(rèn)證方法。

下圖顯示了一個(gè)很有代表性的AAA網(wǎng)絡(luò)配置，包含四個(gè)安全服務(wù)器,R1和R2是RADIUS

服務(wù)器，T1和T2是TACACS+服務(wù)器。我們以認(rèn)證為例來(lái)講述AAA服務(wù)與AAA方法

列表的關(guān)系。

神州數(shù)碼

DigitalChina

神州數(shù)碼網(wǎng)絡(luò)有限公司

圖1-1AAA網(wǎng)絡(luò)配置示意圖

假設(shè)系統(tǒng)管理員決定，在其安全方案中所有的接口使用同樣的認(rèn)證方法來(lái)認(rèn)證基于PPP

協(xié)議的連接：首先接通了R1來(lái)了解有關(guān)認(rèn)證信息，如果用沒(méi)有反應(yīng)，接通R2,如果

R2仍沒(méi)有反應(yīng)，接通T1,如果T1也沒(méi)有反應(yīng)，接通T2,如果所有指派的服務(wù)器都沒(méi)

有反應(yīng)，認(rèn)證工作就落在訪問(wèn)服務(wù)器本身的本地用戶(hù)名數(shù)據(jù)庫(kù)上。要實(shí)現(xiàn)這一點(diǎn)，系統(tǒng)

管理員應(yīng)該輸入下面的命令，創(chuàng)建一張缺省的方法列表：aaaauthenticationpppdefault

radiuslocal.

本例中，default是方法列表的名稱(chēng)，包括在方法列表中的協(xié)議以及他們將被查詢(xún)的次序

列在方法列表名稱(chēng)后面。缺省列表自動(dòng)的應(yīng)用于所有的接口。

當(dāng)遠(yuǎn)程用戶(hù)試圖通過(guò)撥號(hào)進(jìn)入網(wǎng)絡(luò)時(shí)，網(wǎng)絡(luò)訪問(wèn)服務(wù)器首先在R1上查詢(xún)有關(guān)的認(rèn)證信

息，如果鑒別該用戶(hù)合法，他就發(fā)一條PASS應(yīng)答給網(wǎng)絡(luò)訪問(wèn)服務(wù)器，從而允許用戶(hù)訪

問(wèn)服務(wù)器。如果R1返回一條FAIL應(yīng)答，則該用戶(hù)被拒絕訪問(wèn)，本次對(duì)話結(jié)束。如果R1

沒(méi)有反應(yīng)，網(wǎng)絡(luò)訪問(wèn)服務(wù)器將其當(dāng)成一次錯(cuò)誤，并且在R2上查閱有關(guān)的認(rèn)證信息。這種

模式在剩下的方法中一直進(jìn)行下去，直到該用戶(hù)被接受或者被拒絕、或者木次對(duì)話結(jié)束

為止。

記住這一條是很重要的，即FAIL應(yīng)答與ERROR應(yīng)答是截然不同的兩個(gè)東西，F(xiàn)AIL意、

味著用戶(hù)沒(méi)有滿足包含在認(rèn)證數(shù)據(jù)庫(kù)中要認(rèn)證成功所需的標(biāo)準(zhǔn)。認(rèn)證以FAIL應(yīng)答結(jié)束。

ERROR意味著該安全服務(wù)器對(duì)認(rèn)證查詢(xún)沒(méi)有應(yīng)答。僅僅當(dāng)AAA檢測(cè)到ERROR應(yīng)答時(shí),

他才選擇定義在認(rèn)證方法鏈表中的下一個(gè)認(rèn)證方法。

假設(shè)系統(tǒng)管理員想將方法列表僅僅應(yīng)用于某個(gè)或某種特定的端口。在這種情況下，系統(tǒng)

管理員應(yīng)當(dāng)創(chuàng)建一個(gè)非缺省的方法列表，然后把這個(gè)命名的列表應(yīng)用到適當(dāng)?shù)亩丝谏稀?/p>

下面的實(shí)例演示了系統(tǒng)管理員如何實(shí)現(xiàn)某個(gè)認(rèn)證方法只應(yīng)用異步端口的過(guò)程：

aaaauthenticationpppdefaultradiuslocal

aaaauthenticationpppasyncOradiustacacs+localnone

interfaceasync0/0

pppauthenticationchapasyncO

在這個(gè)例上中，asyncO是方法列表的名稱(chēng)，包括在這個(gè)方法列表中的認(rèn)證協(xié)議依次列在

他的后面，他們將有可能被依次使用。創(chuàng)建好方法列表后，將列表應(yīng)用到合適的端ILL。

注意：aaaauthentication命令中的方法名稱(chēng)必須與pppauthentication命令中的方法列表名稱(chēng)

相匹配。

神州數(shù)碼

DigitalChina

神州數(shù)碼網(wǎng)絡(luò)有限公司

1.2AAA配置過(guò)程

首先，必須決定想要實(shí)現(xiàn)何種類(lèi)型的安全方案。用戶(hù)需要評(píng)估自己網(wǎng)絡(luò)中的安全風(fēng)險(xiǎn),

并且確定合適的方法來(lái)阻止未經(jīng)授權(quán)的登錄和攻擊。

1.2.1AAA配置過(guò)程概覽

在明白了配置所涉及的基本過(guò)程后，配置AAA就相對(duì)簡(jiǎn)單了。在本公司路由器或訪問(wèn)服

務(wù)器上使用AAA進(jìn)行安全配置，遵循如卜步驟：

?如果決定使用安全服務(wù)器，則先配置安全協(xié)議參數(shù)，如RADIUS,TACACS+。

?使用命令aaaauthentication定義用于認(rèn)證的方法列表。

?如果需要的話，把該方法列表應(yīng)用到某個(gè)具體的接口或線路上

?使用命令aaaauthorization進(jìn)行授權(quán)配置(可選)。

?使用命令aaaaccounting進(jìn)行記錄配置(可選)。

1.3AAA認(rèn)證配置任務(wù)列表

?使用AAA配置登錄認(rèn)證

?使用AAA進(jìn)行PPP認(rèn)證

?在進(jìn)入特權(quán)級(jí)別時(shí)開(kāi)啟口令保護(hù)

?為AAA認(rèn)證配置消息標(biāo)語(yǔ)

?改變提示輸入用戶(hù)名時(shí)的字符串

?改變提示輸入口令時(shí)的字符串

?建立本地用戶(hù)名認(rèn)證數(shù)據(jù)庫(kù)

?建立本地特權(quán)級(jí)別認(rèn)證數(shù)據(jù)庫(kù)

1.4AAA認(rèn)證配置任務(wù)

AAA認(rèn)證的一般配置過(guò)程:

要配置AAA認(rèn)證，需要完成下列配置過(guò)程：

(1)如果使用的是安全服務(wù)器，配置安全協(xié)議參數(shù)，如RADIUS

置方法參見(jiàn)相應(yīng)章節(jié)。

(2)使用aaaauthentication命令定義認(rèn)證方法列表。

神州數(shù)碼

DigitalChina

神州數(shù)碼網(wǎng)絡(luò)有限公司

(3)如果需要的話，把方法列表應(yīng)用到特定的端口或是線路上。

1.4.1使用AAA配置登錄認(rèn)證

AAA安全服務(wù)使得使用各種認(rèn)證方法變得更容易了，不論決定使用哪種登錄方法，都使

用aaaauthentication命令開(kāi)啟AAA認(rèn)證。在aaaauthenticationlogin命令中，創(chuàng)建一

張或是多張認(rèn)證方法的列表，這些列表在登錄時(shí)使用。使用線路配置命令login

authentication來(lái)應(yīng)用這些列表。配置時(shí)，從全局配置模式開(kāi)始，使用如下命令：

命令目的

aaaauthenticationlogin{default|

創(chuàng)建全局認(rèn)證列表。

list-name}methodi[method2...]

line[aux|console|tty|vty]line-number

進(jìn)入某個(gè)線路的配置狀態(tài)。

[ending-line-numbei]

loginauthentication{default|list-name}應(yīng)用該認(rèn)證列表于某條或是某幾個(gè)線路上。

關(guān)鍵字list-name是用來(lái)命名所創(chuàng)建的列表的任何字符串。關(guān)鍵字method指定認(rèn)證過(guò)程

所采用的實(shí)際方法。僅當(dāng)前面所用的方法返回認(rèn)證錯(cuò)誤時(shí)，才會(huì)使用其他的認(rèn)證方法，

如果前面的方法指明認(rèn)證失敗了，則不再使用其他的認(rèn)證方法。如果要指定即使所有的

方法都返回認(rèn)證錯(cuò)誤仍能成功登錄，只要在命令行中指定none作為最后一個(gè)認(rèn)證方法。

例如：即使TACACS+服務(wù)返回錯(cuò)誤仍能認(rèn)證成功，可用下面的命令行：

aaaauthenticationlogindefaulttacacs+none

使用default參數(shù)可建立一個(gè)缺省的列表，缺省列表自動(dòng)的應(yīng)用于所有的接口。例如：指

定RADIUS作為用戶(hù)登錄時(shí)的缺省認(rèn)證方式，使用下面的命令：

aaaauthenticationlogindefaultradius

注意：

由于關(guān)鍵字none使得登錄的任何用戶(hù)都可成功的通過(guò)認(rèn)證，所以應(yīng)當(dāng)將該關(guān)鍵字作為備

用的認(rèn)證方法。

登陸時(shí)，如果找不到認(rèn)證方法列表的話，除console口登陸以外，其它任何形式的登陸將

以認(rèn)證失敗結(jié)束。

下表列出了目前支持的登錄認(rèn)證方式:

關(guān)鍵字說(shuō)明

enable使用enable口令進(jìn)行認(rèn)證。

groupname使用命名的服務(wù)器組進(jìn)行認(rèn)證。

groupradius使用RADIUS認(rèn)證。

grouptacacs+使用TACACS+認(rèn)證。

line使用線路密碼進(jìn)行認(rèn)證。

local使用本地?cái)?shù)據(jù)庫(kù)進(jìn)行認(rèn)證。

使用本地用戶(hù)名數(shù)據(jù)庫(kù)進(jìn)行認(rèn)證(用戶(hù)名區(qū)分大小寫(xiě))。力

local-case

神州數(shù)碼

DigitalChina

神州數(shù)碼網(wǎng)絡(luò)有限公司

none認(rèn)證無(wú)條件通過(guò)。

(1)使用enable口令進(jìn)行登錄認(rèn)證

在aaaauthenticationlogin命令中使用enable方法關(guān)鍵字指定enable口令作為

登錄認(rèn)證方法，例如：在沒(méi)有定義其他方法時(shí)，指定enable口令作為登錄時(shí)用戶(hù)

認(rèn)證的方法，使用下面的命令：

aaaauthenticationlogindefaultenable

(2)使用線路口令進(jìn)行登錄認(rèn)證

在使用aaaauthenticationlogin命令時(shí)，用line方法關(guān)鍵字指定線路口令作為登

錄時(shí)的認(rèn)證方法。例如，在用戶(hù)登錄時(shí)指定線路口令為用戶(hù)認(rèn)證方法，并且不定義

任何其他方法，可以輸入下面的命令行：

aaaauthenticationlogindefaultline

在能夠使用線路口令進(jìn)行注冊(cè)認(rèn)證之前，需要定義一條線路口令。

(3)使用本地口令進(jìn)行登錄認(rèn)證

在使用aaaauthenticationlogin命令時(shí)，用local方法關(guān)鍵字指定使用本地用戶(hù)名

數(shù)據(jù)庫(kù)作為登錄認(rèn)證方法。例如，在用戶(hù)注冊(cè)時(shí)指定本地用戶(hù)名數(shù)據(jù)庫(kù)作為用戶(hù)認(rèn)

證方法，并且不定義任何其他方法，可以輸入下面的命令行：

aaaauthenticationlogindefaultlocal

有關(guān)增加用戶(hù)到本地用戶(hù)名數(shù)據(jù)庫(kù)中的詳細(xì)資料?，參見(jiàn)“建立本地認(rèn)證數(shù)據(jù)庫(kù)

(4)使用RADIUS進(jìn)行登錄認(rèn)證

在使用aaaauthenticationlogin命令時(shí)用radius方法關(guān)鍵字指定RADIUS作為

登錄認(rèn)證方法。例如在用戶(hù)登錄時(shí)指定RADIUS為用戶(hù)認(rèn)證方法，并且不定義任

何其他方法，可以輸入下面的命令：

aaaauthenticationlogindefaultradius

在能使用RADIUS作為注冊(cè)認(rèn)證方法之前，需要首先配置RADIUS服務(wù)，有關(guān)的

更多信息參見(jiàn)“配置RADIUS”。

(5)使用TACACS+進(jìn)行登錄認(rèn)證

在使用aaaauthenticationlogin命令時(shí)，使用TACACS+方法關(guān)鍵字指定TACACS

+作為認(rèn)證方法。例如，在用戶(hù)登錄時(shí)指定TACACS+認(rèn)證方法，并且不定義任

何其他方法，可以輸入下面的命令：

aaaauthenticationlogindefaulttacacs+

在能夠使用TACACS+進(jìn)行認(rèn)證方法之前，需要首先配置TACACS+服務(wù)，有關(guān)詳

細(xì)信息，參見(jiàn)“配置TACACS+”。

1.4.2使用AAA進(jìn)行PPP認(rèn)證

許多用戶(hù)通過(guò)異步或是ISDN撥號(hào)訪問(wèn)網(wǎng)絡(luò)中心服務(wù)器。AAA安全服務(wù)使得在串口匕大

量運(yùn)行PPP時(shí)的認(rèn)證方法變得容易了。不管決定使用所支持的何種PPP認(rèn)證方法，均

可以使用aaaauthenticationppp開(kāi)啟AAA認(rèn)證。配置時(shí)，在全局配置模式下使用下面

的命令：

命令目的

神州數(shù)碼

DigitalChina

神州數(shù)碼網(wǎng)絡(luò)有限公司

aaaauthenticationppp{default|

創(chuàng)建本地認(rèn)證列表。

list-name}methodi[method2...]

interfaceinterface-typenumber進(jìn)入端口配置模式，認(rèn)證列表將應(yīng)用于該端口上。

pppauthentication{chap|pap|chappap

將認(rèn)證列表應(yīng)用于某條或是某幾條線路上。

|papchap}{default|list-name}

使用aaaauthentication命令，可以創(chuàng)建一張或是幾張認(rèn)證方法列表，在用戶(hù)開(kāi)始運(yùn)行

PPP時(shí)使用這些列表。使用pppauthentication配置命令來(lái)應(yīng)用這些列表。要?jiǎng)?chuàng)建--張缺

省列表，使用defalut參數(shù)，在其后緊跟缺省情況下想要使用的方法。例如，指定本地用

戶(hù)名數(shù)據(jù)庫(kù)作為認(rèn)證的缺省方法，輸入下面的命令行：

aaaauthenticationpppdefaultlocal

關(guān)鍵字list-name是用來(lái)命名所建立的列表的任何字符串。關(guān)鍵字method指定認(rèn)證過(guò)程

所采用的實(shí)際方法。僅當(dāng)前面的方法返回認(rèn)證錯(cuò)誤時(shí)，才會(huì)使用其他的認(rèn)證方法。如果

前面使用的方法返回認(rèn)證失敗，則不再使用其他的認(rèn)證方法。如果指定即使所有的方法

都返回錯(cuò)誤仍能成功認(rèn)證，只需在命令行中指定none作為最后一個(gè)認(rèn)證方法。例如，下

面例子中即使TACACS+服務(wù)器返回錯(cuò)誤，仍要保證認(rèn)證成功，可以輸入下面的命令行：

aaaauthenticationpppdefaulttacacs+none

注意：

由于關(guān)鍵字none使得登錄的任何用戶(hù)都能成功的被認(rèn)證，所以應(yīng)當(dāng)將該關(guān)鍵字作為備用

的認(rèn)證方法。

認(rèn)證時(shí)，如果找不到方法列表，將以認(rèn)證失敗而結(jié)束。

卜表列出了PPP可使用的認(rèn)證方式:

關(guān)鍵字說(shuō)明

groupgroup-name使用命名的服務(wù)器組進(jìn)行認(rèn)證。

groupradius使用RADIUS認(rèn)證?

grouptacacs+使用TACACS+認(rèn)證。

local使用本地用戶(hù)名數(shù)據(jù)庫(kù)認(rèn)證。

local-case使用本地用戶(hù)名數(shù)據(jù)庫(kù)進(jìn)行認(rèn)證(用戶(hù)名區(qū)分大小寫(xiě))。

none認(rèn)證無(wú)條件通過(guò)。

(6)PPP認(rèn)證使用本地口令

在aaaauthenticationppp命令中，用local關(guān)鍵字指定使用本地用戶(hù)名數(shù)據(jù)庫(kù)進(jìn)行

認(rèn)證。例如，在運(yùn)行PPP的線路I二要指定本地用戶(hù)名數(shù)據(jù)庫(kù)為認(rèn)證方法，并且不

需要其他任何方法，可以輸入下面的命令行：

aaaauthenticationpppdefaultlocal

有關(guān)更多的增加用戶(hù)到本地用戶(hù)名數(shù)據(jù)庫(kù)的更多信息，參見(jiàn)“建立本地認(rèn)證數(shù)據(jù)

庫(kù)

(7)PPP認(rèn)證使用RADIUS

-7-

神州數(shù)碼

DigitalChina

神州數(shù)碼網(wǎng)絡(luò)有限公司

在aaaauthenticationppp命令中，用RADIUS關(guān)鍵字指定RADIUS作為運(yùn)行PPP

時(shí)的認(rèn)證方法。例如，要指定RADIUS為用戶(hù)認(rèn)證的方法，并且不需要定義其他

方法，可以輸入下面的命令行：

aaaauthenticationpppdefaultradius

在使用RADIUS作為注冊(cè)認(rèn)證方法時(shí)，需要配置RADIUS服務(wù)，有關(guān)詳細(xì)信息參

見(jiàn)”配置RADIUS”。

(8)PPP認(rèn)證使用TACACS+

在aaaauthenticati