AAA协议配置手册.doc

版权所有2011，迈普通信技术股份有限公司，保留所有权利 aaa 协议配置手册协议配置手册 版权所有2011，迈普通信技术股份有限公司，保留所有权利 目录目录 第第 1 章章aaa 配置简介配置简介 1 第第 2 章章aaa 基本配置命令基本配置命令 2 第第 3 章章aaa 相关命令描述相关命令描述 4 第第 4 章章aaa 配置示例配置示例 18 第第 5 章章aaa 的检测与调试的检测与调试 20 版权所有2011，迈普通信技术股份有限公司，保留所有权利 第第 1 章章aaa 配置配置简介简介 本章主要描述如何在路由器上进行 aaa 的配置。aaa 是认证、授权和统计（authentication, authorization and accounting）的简称。它是运行于网络访问服务器（nas）上的客户端程序。它提供了一个用来对认 证、授权和统计这三种安全功能进行配置的一致性框架。 本章主要内容： 配置 aaa 相关命令描述 aaa 配置示例 aaa 调试 版权所有2011，迈普通信技术股份有限公司，保留所有权利 第第 2 章章aaa 基本配置命令基本配置命令 命令命令描述描述配置模式配置模式 aaa new-model*启动 aaaconfig aaa authentication banner*配置 aaa 认证时显示的标题config aaa authentication fail-message*配置 aaa 认证失败时打印的信息config aaa authentication username-prompt配置 aaa 认证时用户名提示符config aaa authentication password-prompt配置 aaa 认证时密码提示符config aaa authentication login*配置 aaa 登陆认证config aaa authentication enable*配置进入特权模式认证config aaa authentication ppp*配置 ppp 协商认证config aaa authentication xauth配置 xauth 协商认证config aaa authorization*配置 aaa 授权config aaa authorization config-commands配置启用 aaa 命令授权config aaa authorization commands配置 aaa 命令授权config aaa authorization console配置 aaa console 口授权config aaa accounting*配置 aaa 计费（统计）config aaa accounting commands配置 aaa 命令统计config aaa accounting suppress null- username 配置 aaa 是否统计用户名为空的用户config aaa accounting update配置 aaa 计费是否发送临时更新报文config tacacs-server host*配置 tacacs 服务器地址config tacacs-server key配置 tacacs 服务的密钥config tacacs-server timeout配置 tacacs 通信时的超时时间config aaa group server 配置服务器组config server配置服务器组成员config-sg-tacacs config-sg-radius server-private配置服务器组私有成员config-sg-tacacs config-sg-radius ip vrf forwarding配置服务器组 vrf 属性config-sg-tacacs 版权所有2011，迈普通信技术股份有限公司，保留所有权利 config-sg-radius radius-server host*配置 radius 服务器地址config radius-server dead-time配置 radius 服务器在操作失败之后 的沉默时间 config radius-server key*配置 radius 服务密钥config radius-server timeout配置 radius 服务器超时时间config radius-server retransmit配置 radius 服务器重传次数config ip tacacs|radius source-interface配置 tacacs 和 radius 的 nas 服 务器使用的源地址 config 注：注： 1.命令描述前带“*”符号的表示该命令有配置实例详细说明。 2.配置模式指可以执行该配置命令的模式，如：config、config-if-（接口名）、config-（协议名 称）等。 版权所有2011，迈普通信技术股份有限公司，保留所有权利 第第 3 章章aaa 相关命令描述相关命令描述 aaa new-model 在路由器上启动 aaa 功能。本命令的 no 形式用来关闭 aaa。 aaa new-model no aaa new-model 【缺省情况缺省情况】不启动 aaa。 【命令模式命令模式】全局配置模式。 注：注： 执行了此命令后 aaa 的其他配置命令才可见。 aaa authentication banner 修改当用户登录到路由器上时显示的欢迎信息。本命令的 no 形式恢复缺省欢迎信息。 aaa authentication banner banner no aaa authentication banner 语法语法描述描述 banner登录到路由器上时显示的欢迎信息。欢迎信息头尾用相 同的字符作为头尾表示符。如：希望输出的欢迎信息显 示为“welcome”，则输入的banner为“welcome”。“” 即是首尾标示符。 【缺省情况缺省情况】缺省欢迎信息为“user access verification”。 【命令模式命令模式】全局配置模式。 aaa authentication fail-message 修改当用户登录失败时的提示信息。本命令的 no 形式恢复缺省提示信息。 aaa authentication fail-message fail-message no aaa authentication fail-message 语法语法描述描述 fail-message用户登录失败时的提示信息。提示信息头尾用相同的字 符作为头尾表示符。如：希望输出的失败信息显示为 “fail”，则输入的banner为“fail”。“”即是首尾 版权所有2011，迈普通信技术股份有限公司，保留所有权利 标示符。 【缺省情况缺省情况】缺省提示信息为“access denied!”。 【命令模式命令模式】全局配置模式。 aaa authentication username-prompt 修改提示用户输入用户名时显示的文本。本命令的 no 形式恢复缺省显示文本。 aaa authentication username-prompt username-prompt no aaa authentication username-prompt 语法语法描述描述 username-prompt提示用户输入用户名时显示的文本。 【缺省情况缺省情况】缺省显示文本为“login:”。 【命令模式命令模式】全局配置模式。 aaa authentication password-prompt 修改提示用户输入口令时显示的文本。本命令的 no 形式恢复缺省显示文本。 aaa authentication password-prompt password-prompt no aaa authentication password-prompt 语法语法描述描述 password-prompt提示用户输入口令时显示的文本。 【缺省情况缺省情况】缺省显示文本为“password:”。 【命令模式命令模式】全局配置模式。 aaa authentication login 配置登录身份认证方法列表。本命令的 no 形式删除方法列表。 aaa authentication login default | list-name method1method2 no aaa authentication login default | list-name 语法语法描述描述 default定义缺省方法列表 list-name方法列表名 method认证方法 none：不进行身份认证，直接通过 enable：使用有效口令进行身份认证(全局enable口令) 版权所有2011，迈普通信技术股份有限公司，保留所有权利 local：使用本地用户数据库进行身份认证 line：使用线路口令进行身份认证 radius：使用radius进行身份认证 tacacs：使用tacacs进行身份认证 word：使用tacacs或radius服务器组进行认证，word为 服务器组名称 最多可以配置4种方法 【缺省情况缺省情况】缺省没有定义认证方法列表。 【命令模式命令模式】全局配置模式。 注：注： 使用时可与 login authentication 命令相配合，使方法列表用于某线路的登录+身份认证。 缺省方法列表自动应用于所有接口及线路（明确定义了所要引用的方法列表的接口或线路除外）。 aaa authentication enable 配置进入特权模式身份认证方法列表。本命令的 no 形式删除方法列表。 aaa authentication enable default method1method2 no aaa authentication enable default 语法语法描述描述 default定义缺省方法列表 method认证方法 none：不进行身份认证，直接通过 enable：使用有效口令进行身份认证(用户enable口令或全局enable口令) line：使用线路口令进行身份认证 radius：使用radius进行身份认证 tacacs：使用tacacs进行身份认证 word：使用tacacs或radius服务器组进行认证，word为服务器组名称 【缺省情况缺省情况】缺省没有定义认证方法列表。 【命令模式命令模式】全局配置模式。 注：注： 使用 radius 认证方法时以“$enab15$”用户(需要在 radius 服务器上设置用户名$enab15$)的密码作为验 证密码。 aaa authentication ppp 版权所有2011，迈普通信技术股份有限公司，保留所有权利 配置 ppp 身份认证方法列表。本命令的 no 形式删除方法列表。 aaa authentication ppp list-name method1method2 no aaa authentication ppp list-name 语法语法描述描述 list-name方法列表名 method认证方法 none：不进行身份认证，直接通过 local：使用本地用户数据库进行身份认证 radius：使用radius进行身份认证 tacacs：使用tacacs进行身份认证 word：使用tacacs或radius服务器组进行认证，word为服务器组名称 【缺省情况缺省情况】缺省没有定义认证方法列表。 【命令模式命令模式】全局配置模式。 使用时需与 ppp authentication 命令相配合，使方法列表用于某接口的 ppp 验证。 aaa authentication xauth 配置扩展认证（xauth）认证方法列表。本命令的 no 形式删除方法列表。 aaa authentication xauth default | list-name method1method2 no aaa authentication xauth default | list-name 语法语法描述描述 list-name方法列表名 default定义缺省方法列表 method认证方法 none：不进行身份认证，直接通过 local：使用本地用户数据库进行身份认证 radius：使用radius进行身份认证 tacacs：使用tacacs进行身份认证 word：使用tacacs或radius服务器组进行认证，word为服务器组名称 【缺省情况缺省情况】缺省没有定义认证方法列表。 【命令模式命令模式】全局配置模式。 使用时需与 ike id 别名配置命令相配合，详细信息请参考 ipsec vpn 配置章节。 aaa authorization 限制用户的访问权限。本命令的 no 形式不限制访问权限。 版权所有2011，迈普通信技术股份有限公司，保留所有权利 aaa authorization exec | network default | list-name method1method2 no aaa authorization exec | network default | list-name 语法语法描述描述 exec配置exec授权命令方法列表 network配置关于网络服务的授权方法列表 default定义缺省方法列表 list-name方法列表名 method授权方法 if-authenticated ：如果通过身份认证，则允许用户访问请求的功能 local ： 使用本地数据库进行授权 none ：不执行授权操作，直接授予相应权限 radius ：向radius服务器请求授权信息 tacacs ： 向tacacs服务器请求授权信息 word：使用tacacs或radius服务器组进行认证，word为服务器组名称 【缺省情况缺省情况】缺省不限制访问权限（等价于关键字 none） 。 【命令模式命令模式】全局配置模式。 注：注： 当配置了 exec 授权命令方法列表，用户运行 exec 时，nas 会进行授权以决定用户是否有权执行 exec 外壳程序；若授权失败，则用户不能执行 exec。 aaa authorization config-commands 限制用户操作 shell 命令的权限。本命令的 no 形式不限制访问权限。 aaa authorization config-commands no aaa authorization config-commands aaa authorization console 限制用户从 console 口进入系统的权限。本命令的 no 形式不限制 console 口。 aaa authorization console no aaa authorization console aaa authorization commands cmd-lvl default | list-name method1method2 no aaa authorization commands cmd-lvl default | list-name 版权所有2011，迈普通信技术股份有限公司，保留所有权利 语法语法描述描述 config-commands配置aaa允许命令授权 cmd-lvl需要授权的命令等级，范围 default定义缺省方法列表 list-name方法列表名 method授权方法 if-authenticated ：如果通过身份认证，则允许用户访问请求的功能 local ： 使用本地数据库进行授权 none ： 不执行授权操作，直接授予相应权限 radius ：向radius服务器请求授权信息 tacacs ： 向tacacs服务器请求授权信息 word：使用tacacs或radius服务器组进行认证，word为服务器组名称 【缺省情况缺省情况】缺省不限制访问权限（等价于关键字 none） 。 【命令模式命令模式】全局配置模式。 aaa accounting 配置 aaa 统计方法列表。本命令的 no 形式取消统计方法列表。 aaa accounting connection | exec | network | system default | list-name none | start-stop | stop-only | wait-start broadcast method1method2 no aaa accounting connection | exec | network default | list-name 语法语法描述描述 connection配置当用户通过telnet或rlogin登录到别的路由器上时的统计命令。 exec配置启动exec会话时的统计命令。 network配置所有与网络相关的服务请求的统计命令。 system系统事件统计，比如在系统启动或者重启时将统计发送给服务器 default定义缺省方法列表。 list-name方法列表名。 none不进行统计。 start-stop在进程开始时发出开始统计通知，在进程结束时发出结束统计通知。开始统计记录 在后台发送。不论服务器是否收到开始统计通知，所有请求的用户进程都将开始执行。 stop-only仅仅在请求的用户进程结束时发送结束统计通知。 wait-start向统计服务器发送开始统计通知和结束统计通知。但直到开始统计通知得到确认时 才启动请求的用户服务。 broadcast当存在多个tacacs或者radius服务器的时候，将统计信息发送给每个服务器 method统计方法。 radius: 向radius服务器发出统计信息 tacacs: 向tacacs服务器发出统计信息 版权所有2011，迈普通信技术股份有限公司，保留所有权利 word：使用tacacs或radius服务器组进行认证，word为服务器组名称 【缺省情况缺省情况】缺省没有定义统计方法列表。 【命令模式命令模式】全局配置模式。 注：注： 为尽可能少地执行统计工作，可以使用关键字 stop-only,仅仅在请求的用户进程结束时发送一条停止 记录统计通知。 要了解更详细的统计信息，可以使用关键字 start-stop，这样 nas 使用 radius 或 tacacs 在请求的 进程开始时发出统计通知，在结束时发出终止通知。 要对统计获得更大的控制权，可以使用 wait-start，它确保只有 radius 或 tacacs 服务器收到开始 通知后，用户的进程请求才会获得批准。 system 统计仅支持 tacacs 服务器，radius 服务器不支持。 aaa accounting commands 配置 aaa 统计方法列表。本命令的 no 形式取消统计方法列表。 aaa accounting commands cmd-lvl default | list-name none | start-stop broadcast method1method2 no aaa accounting commands cmd-lvl default | list-name 语法语法描述描述 commands当用户执行命令时，对执行的命令进行统计 cmd-lvl需要统计的命令等级，范围 broadcast当存在多个tacacs或者radius服务器的时候，将统计信息发送给每个服务器 default定义缺省方法列表。 list-name方法列表名。 none不进行统计。 start-stop在进程开始时发出开始统计通知，在进程结束时发出结束统计通知。开始统计记录 在后台发送。不论服务器是否收到开始统计通知，所有请求的用户进程都将开始执行。 method统计方法。 tacacs: 向tacacs服务器发出统计信息 word：使用tacacs或radius服务器组进行认证，word为服务器组名称 【缺省情况缺省情况】缺省没有定义统计方法列表。 【命令模式命令模式】全局配置模式。 版权所有2011，迈普通信技术股份有限公司，保留所有权利 aaa accounting suppress null-username 禁止为用户名为空的用户生成统计记录。本命令的 no 形式允许为用户名为空的用户生成统计记录。 aaa accounting suppress null-username no aaa accounting suppress null-username 【缺省情况缺省情况】缺省允许为用户名为空的用户生成统计记录。 【命令模式命令模式】全局配置模式。 aaa accounting update 向服务器发送临时统计记录。本命令的 no 形式取消发送临时统计记录。 aaa accounting update newinfo | periodic number no aaa accounting update 语法语法描述描述 newinfo每当有新的统计信息时向服务器发送临时统计记录。 periodic周期性的发出临时统计记录。 number间隔周期。 【缺省情况缺省情况】缺省不发送临时统计记录。 【命令模式命令模式】全局配置模式。 tacacs-server host 配置 tacacs 服务器。本命令的 no 形式删除 tacacs 服务器。 tacacs-server host address port port timeout timeout priority priority key key no tacacs-server host address 语法语法描述描述 addresstacacs服务器的地址。 key路由器和tacacs服务器通信所使用的密钥。 port对tacacs后台程序进行连接时使用的tcp端口号。 timeout设置等待tacacs服务器应答的时间间隔定时器。 priority配置的tacacs服务器的优先级 【缺省情况缺省情况】默认情况下端口号为 49，超时为 5 秒，优先级数字越小表示优先级越高。 【命令模式命令模式】全局配置模式。 注：注： 版权所有2011，迈普通信技术股份有限公司，保留所有权利 在路由器和 tacacs 服务器上配置的密钥必须一致，空格也计算在密钥中。 可以配置多个 tacacs 服务器，系统将根据配置的先后顺序选择服务器进行认证，当一个服务器失效后， 系统会自动选择下一个服务器，直到最后一个服务器为止。 tacacs-server key 配置 tacacs 加密密钥。本命令的 no 形式删除 tacacs 加密密钥。 tacacs-server key key no tacacs-server key 语法语法描述描述 key路由器和tacacs服务器通信所使用的密钥。 【缺省情况缺省情况】无加密密钥。 【命令模式命令模式】全局配置模式。 tacacs-server timeout 配置等待 tacacs 服务器应答的时间间隔定时器。本命令的 no 形式恢复缺省值。 tacacs-server timeout timeout no tacacs-server timeout 语法语法描述描述 timeout设置等待tacacs服务器应答的时间间隔定时器。 【缺省情况缺省情况】5 秒。 【命令模式命令模式】全局配置模式。 aaa group server 配置服务器组。no 命令删除服务器组。 aaa group server tacacs | radius grp-name no aaa group server tacacs | radius grp-name 语法语法描述描述 grp-name服务器组名称 【缺省情况缺省情况】无。 【命令模式命令模式】全局配置模式。 当前可配置 tacacs 和 radius 两种服务器组。 版权所有2011，迈普通信技术股份有限公司，保留所有权利 注：注： 在配置服务器组名的时候，组名应尽可能有明确的含义，并且应该避免使用可能造成混淆的关键字。 比如：tac、rad、loc 等，它们在配置方法列表时可能和 tacacs、radius、local 这些固有关键字引起混淆。 server（tacacs） 配置 tacacs 服务器组成员，no 命令删除。 server ip-address no server ip-address 语法语法描述描述 ip-addresstacacs服务器地址。该地址必须是已经通过tacacs-server配置了的 地址，否则不能生效。 【缺省情况缺省情况】无。 【命令模式命令模式】服务器组配置模式。 server（radius） 配置 radius 服务器组成员，no 命令删除。 server ip-address auth-port port acct-port port no server ip-address auth-port port acct-port port 语法语法描述描述 ip-addressradius服务器地址。该地址必须是已经通过radius-server配置了的 地址，否则不能生效。 auth-portradius服务器的认证端口 acct-portradius服务器的计费端口 【缺省情况缺省情况】无。 【命令模式命令模式】服务器组配置模式。 server-private（tacacs） 配置 tacacs 服务器组私有成员，no 命令删除。 server-private ip-address key key port port timeout timeout no server-private ip-address 语法语法描述描述 ip-addresstacacs服务器地址。该地址不必是tacacs-server配置了的地址。可 版权所有2011，迈普通信技术股份有限公司，保留所有权利 以单独配置，与tacacs-server无关。 key路由器和tacacs服务器通信所使用的密钥。 port对tacacs后台程序进行连接时使用的tcp端口号。 timeout设置等待tacacs服务器应答的时间间隔定时器。 【缺省情况缺省情况】无。 【命令模式命令模式】服务器组配置模式。 注：注： 私有服务器完全独立于全局配置的服务器，所以可以和全局配置的服务器重叠。 server-private（radius） 配置 radius 服务器组成员，no 命令删除。 server-private ip-address acc-port acc-port auth-port auth-port priority priority key key no server-private ip-address auth-port port acct-port port 语法语法描述描述 ip-addressradius服务器地址。该地址不必是radius-server配置了的地址。可 以单独配置，与radius-server无关。 auth-portradius服务器的认证端口 acct-portradius服务器的计费端口 priority配置的radius服务器优先级 keyradius服务器密钥 【缺省情况缺省情况】无。 【命令模式命令模式】服务器组配置模式。 注：注： 私有服务器完全独立于全局配置的服务器，所以可以和全局配置的服务器重叠。 ip vrf forwarding 配置服务器组的 vrf 属性 ip vrf forwarding vrf-name no ip vrf forwarding 语法语法描述描述 vrf-name配置的vrf名称 【缺省情况缺省情况】服务器组默认属于全局 vrf。 版权所有2011，迈普通信技术股份有限公司，保留所有权利 【命令模式命令模式】服务器组配置模式。 radius-server host 配置 radius 服务器。本命令的 no 形式删除 radius 服务器。 radius-server host address acc-port acc-port auth-port auth-port priority priority key key no radius-server host address 语法语法描述描述 addressradius服务器的地址。 acc-port为认证请求指定udp的目的端口。 auth-port为统计请求指定udp的目的端口。 priority配置的radius服务器优先级 keyradius服务器密钥 【缺省情况缺省情况】acc-port 为 1645，auth-port 为 1646，priority 默认为 0。 【命令模式命令模式】全局配置模式。 注：注： 在路由器和 radius 服务器上配置的密钥必须一致，空格也计算在密钥中。 可以配置多个 radius 服务器，系统将根据配置的先后顺序选择服务器进行认证，当一个服务器失效 后，系统会自动选择下一个服务器，直到最后一个服务器为止。 radius-server dead-time 配置 dead-time。本命令的 no 形式将 dead-time 设置为 0。 radius-server dead-time dead-time no radius-server dead-time 语法语法描述描述 dead-timeradius服务器被事务请求跳过的时间长度。 【缺省情况缺省情况】默认设置为 0。 【命令模式命令模式】全局配置模式。 使用本命令，系统把那些对认证请求不作出响应的 radius 服务器标记为不可用，在 dead-time 这段时间 内不再向这些服务器发送请求。 radius-server key 版权所有2011，迈普通信技术股份有限公司，保留所有权利 配置 radius 加密密钥。本命令的 no 形式删除 radius 加密密钥。 radius-server key key no radius-server key 语法语法描述描述 keyradius服务器密钥 【缺省情况缺省情况】无加密密钥。 【命令模式命令模式】全局配置模式。 radius-server timeout 配置等待 radius 服务器应答的时间间隔定时器。本命令的 no 形式恢复缺省值。 radius-server timeout timeout no radius-server timeout 语法语法描述描述 timeout设置等待radius服务器应答的时间间隔定时器。 【缺省情况缺省情况】5 秒。 【命令模式命令模式】全局配置模式。 radius-server retransmit 配置向 radius 服务器重新传输的最大次数。本命令的 no 形式恢复缺省值。 radius-server retransmit retries no radius-server timeout 语法语法描述描述 retries重新传输的最大次数。 【缺省情况缺省情况】3 次。 【命令模式命令模式】全局配置模式。 ip tacacs|radius source-interface 配置路由器和 tacacs 或 radius 服务器进行报文交互的时候使用指定的接口地址做为自己的源地址。 本命令的 no 形式恢复缺省值。 ip tacacs | radius source-interface interface-name vrf vrf-name no ip tacacs | radius source-interface vrf 版权所有2011，迈普通信技术股份有限公司，保留所有权利 语法语法描述描述 interface-name接口名 vrf为特定vrf配置指定源接口（配合服务器组使用） 【缺省情况缺省情况】没有源接口，自动选择源地址。 【命令模式命令模式】全局配置模式。 版权所有2011，迈普通信技术股份有限公司，保留所有权利 第第 4 章章aaa 配置示例配置示例 图解：图解： 在如上的环境中，用户设备和网络访问服务器(nas)间封装 ppp 协议，login authentication 使用缺省方法 列表。 nas 的相关配置如下: 命令命令描述描述 nas#configure terminal进入配置模式 nas (config)# aaa new-model启动aaa认证 nas (config)# aaa authentication banner welcome 配置用户登录时的欢迎词 nas (config)# aaa authentication fail- message sorry, dont come in 配置用户登录失败时的提示信息 nas (config)# aaa authentication login default radius tacacs none 通过aaa认证对console，telnet或rlogin用户进行身份认证， 采用的认证方法依次为radius tacacs none.（可选择一个或一个以上 的认证方法） nas (config)# aaa authentication enable default radius enable 通过aaa认证对console，telnet或rlogin用户进入特权模式的 认证方法依次为radius enable。 nas (config)# aaa authentication ppp list radius tacacs local 配置ppp认证，与接口s1/0 上的ppp authentication 命令相配 合使用，list为认证方法列表名称。认证方法依次为 radius tacacs local。 nas (config)# aaa authorization exec default radius 配置exec授权，只有radius服务器上已经存在的用户才有权 执行exec外壳程序；若授权失败，则用户不能执行exec。 版权所有2011，迈普通信技术股份有限公司，保留所有权利 nas (config)# aaa accounting exec default stop-only radius 启动exec会话的统计命令，在请求的用户进程结束时发送一 条停止记录统计通知给radius服务器。 nas (config)# aaa accounting connection default stop-only radius 启动connection统计命令，当nas通过telnet或rlogin登录到 别的路由器上时进行统计。 nas (config)# aaa accounting network list stop-only radius 启动ppp服务请求的统计命令，名称为list。(因为用户设备 与nas间封装的是ppp协议) nas (config)# radius-server host 192.168.0.1 配置radius服务器的地址 nas (config)# radius-server key maipu配置radius服务器的密码，此密码需与radius服务器上的密 码配置相同。 nas (config)# tacacs-server host 192.168.0.2 key mp 配置tacacs服务器的地址和密码，此密码需与tacacs服务器 上的密码配置相同。 nas (config)#interface s1/0进入接口模式 nas(config-if-serial1/0)#ppp accounting list在接口上启动ppp认证统计。名称为list，与aaa accounting network其后的名称相同。 nas(config-if-serial1/0)#ppp authentication list 在接口上启动ppp认证。名称为list，与aaa authentication ppp其后的名称相同。 图解：图解： 在如上的配置中，用户设备和网络访问服务器(nas)间封装 ppp 协议，login authentication 使用自命名的 方法列表，且将此方法列表用在线路(line)上。nas 的配置及其他相关配置如下: 命令命令描述描述 nas#conifgure terminal进入配置模式 nas (