第五章 安全配置命令

第第页第五章安全配置命令aaaaclearcase/"target="_blank">ccountingoptional

aaaauthenticationlocal-first

aaaauthenticationppp

aaaenable

iplocalpool

peerdefaultipaddress

radius-serverdead-time

radius-serverhost

radius-serverkey

radius-serverrealtime-acct-timeout

radius-serverretransmit

radius-servertimeout

showaaauser

5.1.1aaaaccountingoptional

打开或关闭AAA记帐选择开关。

[no]aaaaccountingoptional

【缺省情况】

系统缺省为关闭AAA记帐选择开关。

【命令模式】

全局配置模式

【使用指南】

NAS向记账服务器发记账包后，系统会启动定时器，如果没有收到记账服务器的响应，则由NAS负责重传，当重传次数大于系统配置的最大重传次数后仍未有记账服务器的响应，此时若配置了aaaaccountingoptional命令，则用户可以继续使用网络资源。否则用户将被切断。

【举例】

打开AAA记帐选择开关。

Quidway(config)#aaaaccountingoptional

【相关命令】

aaaenable

5.1.2aaaauthenticationlocal-first

允许或禁止AAA的本地优先验证。

[no]aaaauthencationlocal-first

【缺省情况】

AAA缺省不使用本地优先验证。

【命令模式】

全局配置模式

【使用指南】

aaaauthenticationlocal-first和aaaauthenticationppp既共同起作用，又有不同之处。

从以下两个例子中可以看出二者不同之处。

例1：Quidway(config)#aaaauthenticationlocal-first

Quidway(config)#aaaauthenticationpppdefaultradius

例2：Quidway(config)#aaaauthenticationpppdefaultlocalradius

在例1中，系统首先进行本地验证，如果验证失败，则继续进行RADIUS验证；但在例2中，系统也首先进行本地验证，如果验证失败，则表明为非法访问，不再继续进行RADIUS验证。

【相关命令】

aaaauthenticationppp

5.1.3aaaauthenticationppp

配置AAA的PPP验证方法表。

aaaauthenticationppp{default|list-name}{method1}[method2...]

authencationppp{default|list-name}

【参数说明】

各参数意义如下：

default为PPP缺省用的验证方法表名，如果封装PPP的接口上没有定义验证方法，则缺省使用该方法表。

list-name用户输入的方法表名，使用时需与pppauthentication命令相配合，使该方法表list-name用于某接口的PPP验证。

method为验证方法，有以下三种验证方法：

radius——用RADIUS服务器进行验证

【缺省情况】

对于PPP用户如果没有指定验证方法，则缺省采用default验证方法表。

【命令模式】

全局配置模式

【使用指南】

PPP的CHAP或PAP验证只是验证过程，通过该验证过程获取到对端用户名和密码等信息，能否通过验证，还需要由AAA确定。

AAA的PPP验证方法表中可以指明三种验证方法：local、radius和none。其中local为用本地数据库进行验证，radius表示由Radius服务器进行验证，none表示不验证。

本地数据库由user和nouser命令配置。

【举例】

配置PPP的缺省验证方法表，要求先采用Radius服务器验证，如果未得到响应则改用本地验证，若仍未得到响应则不再验证。

Quidway(config)#aaaauthenticationpppdefaultradiuslocalnone

【相关命令】

aaaauthenticationlocal-first，pppauthentication，user，nouser

5.1.4aaaenable

使能或禁止AAA。[no]aaaenable

【缺省情况】

系统缺省未禁止AAA。

【命令模式】

全局配置模式

【使用指南】

只有使能AAA后，才能配置AAA的其它参数。

【举例】

使能AAA。

Quidway(config)#aaaenable

5.1.5iplocalpool

定义或取消为PPP用户分配本地的IP地址池。

iplocalpoolpool-numberlow-ip-address[high-ip-address]

noiplocalpoolpool-number

【参数说明】

pool-number为地址池编号，范围0~99，表示系统最多可以定义100个本地IP地址池。

【缺省情况】

系统缺省没有本地IP地址池，如果在定义IP地址池时，没有指定结束IP地址，则该地址池中只有一个IP地址，即起始IP地址。

【命令模式】

全局配置模式

【使用指南】

配置IP地址池，主要用于为PPP用户分配IP地址。

【举例】

配置从129.102.0.1到129.102.0.10的本地IP地址池0。

Quidway(config)#iplocalpool0129.102.0.1129.102.0.10

【相关命令】

peerdefaultipaddress

5.1.6peerdefaultipaddress

配置或取消为PPP用户分配的IP地址。

peerdefaultipaddress{ip-address|pool[pool-number]}

nopeerdefaultipaddress

【参数说明】

ip-address为PPP用户分配的IP地址。

pool-number为PPP用户分配的IP地址池。

【缺省情况】

如果不指定地址池号，则缺省为地址池0。

【命令模式】

接口配置模式

【使用指南】

只有在封装PPP的接口上，才可以配置为对端PPP用户分配的IP地址。

【举例】

在接口Serial0上封装PPP协议，并为对端PPP用户分配IP地址129.102.0.1。

Quidway(config-if-Serial0)#encapsulationppp

Quidway(config-if-Serial0)#peerdefaultipaddress129.102.0.1

【相关命令】

encapsulationppp，iplocalpool

5.1.7radius-serverdead-time

配置Radius服务器down掉后的恢复时间(dead-time)，noradius-serverdead-time恢复缺省配置。

radius-serverdead-timeminutes

noradius-serverdead-time

【参数说明】

minutes为Radius服务器down掉后的恢复时间，单位分钟。

【缺省情况】

Radius服务器down掉后的恢复时间缺省为5分钟。

【命令模式】

全局配置模式

【使用指南】

Radius服务器出故障后（如NAS到服务器的线路出现故障或服务器上的Radius进程出现故障），系统会将其状态设置成无效状态，经上述配置时间间隔后，系统会将其状态设置成有效状态，如果当前正在使用的服务器又出现故障，系统将自动检测原来的那个服务器是否可以投入使用。

【举例】

配置Radius服务器down掉后恢复时间为10分钟。

Quidway(config)#radius-serverdead-time10

5.1.8radius-serverhost

配置或取消Radius服务器的IP地址和监听端口号。

noradius-serverhost{hostname|ip-address}

【参数说明】

hostname为Radius服务器的主机名。

ip-address为Radius服务器的IP地址，点分十进制格式。

auth-port指定验证监听端口号。

acct-port指定记帐监听端口号。

port-number为Radius服务器的监听端口号的值，0表示不作为验证或记帐服务器使用。

【缺省情况】

验证端口号的缺省值为1812，记帐端口号的缺省值为1813。

【命令模式】

全局配置模式

【使用指南】

用户可以多次执行该命令，配置多个Radius服务器，系统将根据配置时间的先后选择Radius服务器，当一个服务器失效后，系统会自动选择下一个服务器，直到最后一个服务器失效为止。

【举例】

指定IP地址为129.102.0.2的主机只作为验证服务器，验证端口为1000。

Quidway(config)#radius-serverhost129.102.0.2auth-port1000acct-port0

5.1.9radius-serverkey

配置或删除Radius服务器的密钥。

[no]radius-serverkeystring

【参数说明】

string为Radius服务器的密钥。

【命令模式】

全局配置模式

【使用指南】

密钥用于加密用户口令以及生成回应验证符（ResponseAuthenticator）。

【举例】

配置Radius服务器的密钥为Quidway。

Quidway(config)#radius-serverkeyQuidway

5.1.10radius-serverrealtime-acct-timeout

配置Radius实时记帐包发送间隔时间，noradius-serverrealtime-acct-timeout命令恢复缺省配置。

radius-serverrealtime-acct-timeoutminutes

noradius-serverrealtime-acct-timeout

【参数说明】

minutes为Radius实时记帐包发送间隔时间，单位分钟。

【缺省情况】

系统缺省的Radius实时记帐包发送间隔时间为0，即不使用实时记帐。

【命令模式】

全局配置模式

【使用指南】

用户通过验证后，NAS以配置的间隔时间向Radius服务器发送用户的实时记帐信息，如果实时记帐请求失败，将根据accountingoptional命令配置情况对用户进行处理，如果用户配置了accountingoptional，NAS将允许用户继续使用网络服务，反之则NAS会将用户挂断。

【举例】

配置Radius实时记帐包发送间隔时间为2分钟。

Quidway(config)#radius-serverrealtime-acct-timeout2

5.1.11radius-serverretransmit

配置Radius重传次数，noradius-serverretransmit命令恢复缺省配置。

radius-serverretransmitretries

noradius-serverretransmit

【参数说明】

retries为Radius重传次数。

【缺省情况】

系统缺省的Radius重传次数为3。

【命令模式