09-操作手册-安全.pdf-道客多多

资源描述

1、VRP 操作手册第二分册（安全）目录i 目录第1章网络安全配置1-1 1.1 VRP 提供的网络安全特性简介 . 1-1 1.2 命令行分级保护 1-2 1.3 基于 RADIUS 的 AAA. 1-2 1.4 包过滤和防火墙 1-2 1.4.1 防火墙的概念 . 1-2 1.4.2 防火墙的分类 . 1-3 1.4.3 包过滤 1-4 1.5 交换路由信息时的安全认证 1-5 第2章 AAA及RADIUS协议配置.2-1 2.1 AAA 及 RADIUS 协议简介 2-1 2.1.1 AAA 的功能 2-1 2.1.2 RADIUS 协议 . 2-1 2.2 AAA 和 RADI

2、US 配置 . 2-3 2.2.1 使能 AAA . 2-3 2.2.2 配置 AAA 的 Login 验证方案 2-4 2.2.3 配置 AAA 的 PPP 验证方案 . 2-5 2.2.4 配置 AAA 的本地优先验证 . 2-6 2.2.5 配置 AAA 的计费可选 2-6 2.2.6 配置 AAA 的 PPP 计费方案 . 2-7 2.2.7 配置 PPP 用户的 IP 地址 . 2-7 2.2.8 设置用户属性 . 2-8 2.2.9 配置使能按 DNIS 号使用 AAA 服务器 . 2-11 2.2.10 配置 DNIS 号与 AAA 计费服务器的对应关系 2-11 2.2.11

3、配置 DNIS 号与 AAA 验证服务器的对应关系 2-12 2.2.12 配置 RADIUS 服务器 . 2-12 2.2.13 进入 ISP 域视图 . 2-16 2.2.14 配置 ISP 的计费方案 2-17 2.2.15 配置 ISP 的验证方案 2-17 2.2.16 指定 ISP 的 IP 地址 2-17 2.2.17 为 ISP 的 PPP 用户配置 IP 地址池 2-18 2.2.18 指定 ISP 的主 DNS 服务器的 IP 地址 2-18 2.2.19 指定 ISP 的辅 DNS 服务器的 IP 地址 2-19 2.3 AAA 和 RADIUS 显示与调试 2-19 2

4、.4 AAA 和 RADIUS 典型配置举例 2-20 VRP 操作手册第二分册（安全）目录ii 2.4.1 对接入用户的验证案例之一 . 2-20 2.4.2 对接入用户的验证案例之二 . 2-21 2.4.3 配置多个 RADIUS 服务器模板 2-22 2.4.4 多 ISP 支持 2-22 2.5 AAA 及 RADIUS 故障诊断与排除 . 2-23 第3章访问控制列表配置.3-1 3.1 访问控制列表简介 3-1 3.1.1 访问控制列表概述 3-1 3.1.2 访问控制列表的分类 3-1 3.1.3 访问控制列表的匹配顺序 . 3-1 3.1.4 访问控制列表的创建 3-

5、2 3.1.5 基本访问控制列表 3-3 3.1.6 高级访问控制列表 3-5 3.1.7 基于接口的访问控制列表 . 3-11 3.1.8 ACL 对分片报文的支持 3-12 3.2 访问控制列表配置 3-13 3.2.1 配置基本访问控制列表 3-13 3.2.2 配置高级访问控制列表 3-14 3.2.3 配置基于接口的访问控制列表 . 3-14 3.2.4 删除访问控制列表 3-16 3.3 时间段配置 . 3-17 3.3.1 创建一个时间段 . 3-17 3.4 访问控制列表的显示与调试 3-17 3.5 访问控制列表典型配置案例 3-17 第4章防火墙配置4-1 4.1 防火墙

6、简介 . 4-1 4.1.1 什么是防火墙 . 4-1 4.1.2 ACL/包过滤防火墙简介 . 4-1 4.1.3 ASPF 简介 . 4-2 4.1.4 端口映射简介 . 4-3 4.2 包过滤防火墙配置 4-3 4.2.1 允许或禁止防火墙 4-3 4.2.2 设置防火墙缺省过滤方式 . 4-4 4.2.3 设置包过滤防火墙分片报文检测开关 . 4-4 4.2.4 配置分片报文检测的上、下门限值 4-4 4.2.5 在接口上应用访问控制列表 . 4-5 4.2.6 包过滤防火墙显示与调试 . 4-5 4.2.7 包过滤防火墙典型配置举例 . 4-6 4.3 ASPF 配置 4-7 4.3

7、.1 允许防火墙 4-7 VRP 操作手册第二分册（安全）目录iii 4.3.2 配置访问控制列表 4-8 4.3.3 定义 ASPF 策略 . 4-8 4.3.4 在接口上应用 ASPF 策略 4-9 4.3.5 ASPF 显示与调试 4-10 4.3.6 ASPF 典型配置案例 4-10 4.4 端口映射配置 . 4-11 4.4.1 配置端口映射项 . 4-12 4.4.2 端口映射显示 . 4-12 第5章 IPSec配置5-1 5.1 IPSec 协议简介 5-1 5.1.1 IPSec 概述 . 5-1 5.1.2 IPSec 提供的安全服务 . 5-1 5.1.3 与 IP

8、Sec 实现相关的几个概念 . 5-2 5.1.4 配置 IPSec 的准备工作 5-3 5.2 IPSec 配置 . 5-4 5.2.1 配置访问控制列表 5-5 5.2.2 创建安全提议 . 5-6 5.2.3 选择安全协议 . 5-6 5.2.4 选择安全算法 . 5-7 5.2.5 选择报文封装形式 5-7 5.2.6 创建安全策略 . 5-8 5.2.7 在安全策略中引用安全提议 . 5-9 5.2.8 配置隧道的起点与终点 5-10 5.2.9 设置安全策略引用的访问控制列表 5-10 5.2.10 配置全局的安全联盟生存周期 . 5-11 5.2.11 配置安全联盟的生存周期 .

9、 5-11 5.2.12 配置安全联盟的 SPI 5-12 5.2.13 配置安全联盟使用的密钥 . 5-12 5.2.14 配置安全策略模板 . 5-13 5.2.15 在接口上应用安全策略组 . 5-14 5.2.16 设置协商时使用的 PFS 特性 . 5-15 5.2.17 清除 IPSec 的报文统计信息 5-15 5.2.18 删除安全联盟 . 5-16 5.3 IPSec 显示与调试 . 5-16 5.4 IPSec 典型配置案例 . 5-17 5.4.1 采用 manual 方式建立安全联盟的配置 5-17 5.4.2 采用 isakmp 方式建立安全联盟的配置 5-20 第6

10、章 IKE配置6-1 6.1 IKE 协议简介 6-1 6.1.1 IKE 协议概述 . 6-1 VRP 操作手册第二分册（安全）目录iv 6.1.2 IKE 配置前准备工作 6-2 6.2 IKE 的配置 6-2 6.2.1 创建 IKE 安全提议 . 6-3 6.2.2 选择加密算法 . 6-3 6.2.3 选择验证方法 . 6-4 6.2.4 选择验证算法 . 6-4 6.2.5 选择 Diffie-Hellman 组标识 6-4 6.2.6 设置 ISAKMP SA 生存周期 6-5 6.2.7 配置身份验证字（ pre-shared key） 6-5 6.2.8 配置发送 Ke

11、epalive 报文的时间间隔 . 6-6 6.2.9 配置等待 Keepalive 报文的超时时间 . 6-6 6.3 IKE 显示与调试 6-7 6.4 IKE 典型配置案例 . 6-8 6.5 IKE 故障诊断与排错 . 6-11 VRP 操作手册第二分册（安全）第 1 章网络安全配置1-1 第 1章网络安全配置 1.1 VRP提供的网络安全特性简介路由器必须防范来自公网上的恶意攻击。另外，有时用户无意识但有破坏性的访问也会导致设备的性能下降，甚至无法正常工作。因此，其安全特性有特别重要的地位。 VRP 提供的网络安全特性： z 基于 RADIUS（ Remote Authen

12、tication Dial-In User Service）的 AAA（ Authentication, Authorization, Accounting）服务：与 RADIUS 服务器配合实施的 AAA 服务，可以提供对接入用户的验证、授权和计费安全服务，防止非法访问。 z 验证协议：在 PPP 线路上支持 CHAP 和 PAP 验证。 z 包过滤（ Packet Filter）：用访问控制列表实现，允许指定可以通过（或禁止通过）路由器的报文类型。 z 应用层报文过滤 ASPF（ Application Specific Packet Filter）：也称为状态防火墙，是一种高级通信过滤，

13、它检查应用层协议信息并且监控基于连接的应用层协议状态，维护每一个连接的状态信息，并动态地决定数据包是否被允许通过防火墙或者被丢弃。 z 网络层安全（ IP Security， IPSec）：特定的通信方之间在 IP 层通过加密与数据源验证，来保证数据包在 Internet 上传输时的私有性、完整性和真实性。 z 事件日志：记录系统安全方面事件，实时跟踪非法侵入。 z 地址转换： NAT 网关将公共网络和企业内部网分隔离开来，在公共网络中隐藏企业内部设备的 IP 地址，阻止来自公共网络上的攻击。 z 相邻路由器验证：确保所交换路由信息的可靠性。 z 视图分级保护：将用户分成 4 级，每级用户赋予

14、不同的配置权限，级别低的用户不能进入更高级的视图。本章中将详细介绍 AAA 及 RADIUS 配置、用户口令配置、防火墙和包过滤配置等， IPSec 配置， IKE 配置。 PPP 验证协议配置请参见链路层协议中的 PPP配置，日志的配置请参见系统管理中日志配置，地址转换请参见网络协议中的 NAT 配置部分内容，相邻路由器验证请参见路由协议中各路由协议的配置。 VRP 操作手册第二分册（安全）第 1 章网络安全配置1-2 1.2 命令行分级保护系统命令行采用分级保护方式，命令行划分为参观级、监控级、配置级、管理级 4 个级别，只有提供了正确的登录口令，才能使用相应的命令。 1.3

15、基于RADIUS的AAA AAA 是验证（ Authentication）、授权（ Authorization）、计费（ Accounting）的缩写，用来实现访问用户管理功能。 AAA 可以用多种协议来实现，这里 AAA是基于 RADIUS 协议来实现的。 AAA 提供如下功能： z 用户的分级管理：用户可以对系统的配置数据进行管理维护，对设备进行监控和维护等操作，而这些操作对系统的正常运行至关重要。因此要对用户进行严格分级管理，不同级别的用户有不同的权限；低级别的用户只能进行一些查看操作，只有高级用户才能进行一些如修改数据、维护设备，以及其它比较敏感的操作。所有用户都必须进行口令验证，

16、否则无法进入系统。 z PPP 用户的验证：建立 PPP 连接时，对用户名进行验证。 z PPP 用户的地址管理和分配：建立 PPP 连接时，可以为 PPP 用户分配事先指定的 IP 地址。第二章将详细介绍 RADIUS 协议及其配置、用户口令配置、 PPP 用户地址配置。 PPP 验证协议请参见链路层协议配置模块中的 PPP 配置。 1.4 包过滤和防火墙 1.4.1 防火墙的概念防火墙一方面阻止来自因特网的对受保护网络的未授权或未验证的访问，另一方面允许内部网络的用户对因特网进行 Web 访问或收发 E-mail 等。防火墙也可以作为一个访问因特网的权限控制关口，如允许组织内的特定的

17、人可以访问因特网。 VRP 操作手册第二分册（安全）第 1 章网络安全配置1-3 EthernetInternetPC ServerFirewallPC PC图1-1 防火墙使内部网络和因特网隔离防火墙不单应用于和外部因特网的连接，也可以用于保护组织内部网络的大型机和重要资源（如数据）。对受保护数据的访问都必须经过防火墙的过滤，即使该访问是来自组织内部。当外部网络的用户访问网内资源时，要经过防火墙；而内部网络的用户访问网外资源时，也会经过防火墙。这样，防火墙就起到了一个“警卫”的作用，可以将需要禁止的数据包在这里给丢掉。 1.4.2 防火墙的分类一般把防火墙分为两类：网络层防火墙、

18、应用层防火墙。网络层的防火墙主要获取数据包的包头信息，如协议号、源地址、目的地址和目的端口等，或者直接获取包头的一段数据；而应用层的防火墙则对整个信息流进行分析。常见的防火墙有以下几种： z 应用网关（ Application Gateway）：检验通过此网关的所有数据包中的应用层的数据。如 FTP 应用网关，对于连接的 Client 端来说是一个 FTP Server，对于 Server 端来说是一个 FTP Client。连接中传输的所有 FTP数据包都必须经过此 FTP 应用网关。 z 电路级网关（ Circuit-Level Gateway）：此电路指虚电路。在 TCP 或

19、UDP发起（ Open）一个连接或电路之前，验证该会话的可靠性。只有在握手被验证为合法且握手完成之后，才允许数据包的传输。一个会话建立后，此会话的信息被写入防火墙维护的有效连接表中。数据包只有在它所含的会话信息符合该有效连接表中的某一条目（ Entry）时，才被允许通过。会话结束时，该会话在表中的条目被删掉。电路级网关只对连接在会话层进行验证。一旦验证通过，在该连接上可以运行任何一个应用程序。VRP 操作手册第二分册（安全）第 1 章网络安全配置1-4 以 FTP 为例，电路层网关只在一个 FTP 会话开始时，在 TCP 层对此会话进行验证。如果验证通过，则所有的数据都可以通过此连接进行

20、传输，直至会话结束。 z 包过滤（ Packet Filter）：对每个数据包按照用户所定义的项目进行过滤，如比较数据包的源地址、目的地址等是否符合规则。包过滤不管会话的状态，也不分析数据。如用户规定允许端口是 21 或者大于等于 1024 的数据包通过，则只要端口符合该条件，数据包便可以通过此防火墙。如果配置的规则比较符合实际应用的话，在这一层能够过滤掉很多有安全隐患的数据包。 z 地址转换（ NAT）：地址转换又称地址代理，它实现了私有网络访问外部网络的功能。地址转换的机制就是将私有网络内主机的 IP 地址和端口替换为路由器的外部网络地址和端口，以及从路由器的端口转换为私有网络主机的 IP

21、地址和端口，即与之间的转换。私有地址是指内部网络或主机地址，公有地址是指在因特网上全球唯一的 IP 地址。因特网地址分配组织规定将下列的 IP 地址被保留用作私有地址： 10.0.0.0 10.255.255.255 172.16.0.0 172.31.255.255 192.168.0.0 192.168.255.255 也就是说这三个范围内的地址不会在因特网上被分配，可在一个单位或公司内部使用。各企业根据在预见未来内部主机和网络的数量后，选择合适的内部网络地址，不同企业的内部网络地址可以相同。如果一个公司选择上述三个范围之外的其它网段作为内部网络地址，则有可能会引起造成混乱。

22、地址转换在允许内部网络的主机访问网外资源的同时，为内部主机提供“隐私”（ Privacy）保护。 1.4.3 包过滤 1. 包过滤的功能包过滤一般是指对 IP 数据包的过滤。对路由器需要转发的数据包，先获取包头信息，包括 IP 层所承载的上层协议的协议号、数据包的源地址、目的地址、源端口和目的端口等，然后和设定的规则进行比较，根据比较的结果对数据包进行转发或者丢弃。 VRP 操作手册第二分册（安全）第 1 章网络安全配置1-5 包过滤（对 IP 数据包）所选取用来判断的元素如图 1-2 所示（图中 IP 所承载的上层协议为 TCP/UDP）。 IP报报TCP/UDP报报应应应报报数数/

23、源源源IP地地/源源源端端端应应应数数应包包包包包图1-2 包过滤元素示意图大多数包过滤系统在数据本身上不做任何事，不做基于内容的筛选。 2. 访问控制列表为了过滤数据包，需要配置一些规则，规定什么样的数据包可以通过，什么样的数据包不能通过。这些规则就是通过访问控制列表（ Access Control List）体现的。用户需要根据自己的安全策略来确定访问控制列表，并将其应用到整机或指定接口上，路由器就会根据访问控制列表来检查所有接口或指定接口上的所有数据包，对于符合规则的报文作正常转发或丢弃处理，从而起到防火墙的作用。作为包过滤的访问控制列表和用于 QoS 的复杂流分类规则一同处理，

24、二者在原理和操作上几乎相同，只是匹配后的动作有区别。 1.5 交换路由信息时的安全认证对于骨干路由器而言，维护正确的路由转发表是路由器正常工作的基础，而路由转发表的维护是通过相邻路由器动态交换路由信息来实现的。 1. 交换路由信息时进行安全认证的必要性在网络上，相邻的路由器需要交换大量的路由信息，不可靠的路由器可能会发送攻击网络设备的信息。如果具有路由信息认证的功能，路由器会对收到的相邻路由器的交换路由更新报文进行认证处理，从而保证路由器只接收可靠的路由信息。 VRP 操作手册第二分册（安全）第 1 章网络安全配置1-6 2. 认证的实现相互交换路由信息的路由器都共享一个口令字，口

25、令字与路由信息报文一起发送，收到路由信息的路由器对报文进行认证，检查报文中的口令字，如果与共享口令字相同，则接受报文，否则丢弃。认证的实现有两种方式：明文认证和 MD5 认证。明文认证以明文形式发送口令字，安全性较低。而 MD5 认证是发送加密后的口令字， MD5 认证方式安全性较高。 VRP 操作手册第二分册（安全）第 2 章 AAA 及 RADIUS 协议配置2-1 第 2章 AAA 及 RADIUS 协议配置 2.1 AAA及RADIUS协议简介 2.1.1 AAA的功能 AAA 是 Authentication（验证）、 Authorization（授权）和 Accounting

26、（计费）的简称。它提供对用户进行验证、授权和计费三种安全功能。具体如下： z 验证（ Authentication）：验证用户是否可以获得访问权，确定哪些用户可以访问网络。 z 授权（ Authorization）：授权用户可以使用哪些服务。 z 计费（ Accounting）：记录用户使用网络资源的情况。 AAA 一般采用客户 /服务器结构，客户端运行于被管理的资源侧，服务器上则集中存放用户信息。这种结构既具有良好的可扩展性，又便于用户信息的集中管理。 2.1.2 RADIUS协议 AAA 可以用多种协议来实现，但最常用的是 RADIUS 协议。 RADIUS 是Remote Authent

27、ication Dial In User Service 的简称，最初用来管理使用串口和调制解调器的大量分散用户，后来广泛应用于网络接入服务器 NAS（ Network Access Server）系统。当用户想要通过某个网络（如电话网）与 NAS 建立连接从而获得访问其他网络的权利（或取得使用某些网络资源的权利）时， NAS 起到了验证用户（或对应连接）的作用。 NAS 负责把用户的验证、授权和计费信息传递给 RADIUS服务器。 RADIUS 协议规定了 NAS 与 RADIUS 服务器之间如何传递用户信息和计费信息。 RADIUS 服务器负责接收用户的连接请求，完成验证，并把用户所

28、需的配置信息返回给 NAS。 NAS 和 RADIUS 之间的验证信息的传递是通过密钥的参与来完成的，以避免用户的密码在不安全的网络上被窃取。 VRP 操作手册第二分册（安全）第 2 章 AAA 及 RADIUS 协议配置2-2 1. RADIUS的消息流程 RADIUS 协议规定了客户 /服务器间消息交互的消息流程和消息结构，采用RADIUS 协议时服务器就叫 RADIUS 服务器。 RADIUS 协议规定的简单消息流程如图 2-1 所示。用户Router/Access ServerRADIUS 服务器用户名、口令RequestResponse图2-1 RADIUS客户/服务器间消息流

29、程当用户登录路由器或接入服务器等网络设备时，首先会将用户名和口令发送给网络设备；网络设备中的 RADIUS 客户端接收用户名和口令，并向 RADIUS服务器发送认证请求； RADIUS 服务器接收到合法的请求后，完成验证，并把所需的用户配置信息返回给客户端。客户端和 RADIUS 服务器之间验证信息的传递通过密钥的参与来完成，即加密以后才在网络上传递，以避免用户信息在不安全的网络上被窃取。计费的过程和认证类似。登录的用户可以是使用网络资源的 PPP 用户，也可以是对网络设备进行配置、维护的管理用户。用户的用户名、口令等信息也可以存放在网络设备上，此时的认证叫本地认证。 2. RADI

30、US的消息结构 RADIUS 的消息结构如图所示：图2-2 RADIUS消息结构 Code：指示消息类型，如接入请求、接入允许、计费请求等。 Identifier：一般是顺序递增的数字，用于匹配请求包和回应包。 Length：所有域的总长度。 VRP 操作手册第二分册（安全）第 2 章 AAA 及 RADIUS 协议配置2-3 Authenticator：验证字，用于验证 RADIUS 的合法性。 Attributes：消息的内容主体，主要是用户相关的各种属性。 3. RADIUS的特点 RADIUS 使用 UDP 作为传输协议，具有良好的实时性；同时也支持重传机制和备用服务器机制，从而

31、有较好的可靠性。 RADIUS 的实现比较简单，适用于大用户量时服务器端的多线程结构。正因为如此， RADIUS 协议得到了广泛的应用。 2.2 AAA和RADIUS配置 AAA 和 RADIUS 的配置包括： z 使能 AAA z 配置 AAA 的 Login 验证方案 z 配置 AAA 的 PPP 验证方案 z 配置 AAA 的本地优先验证 z 配置 AAA 的计费可选 z 配置 AAA 的计费方案 z 配置 PPP 用户的 IP 地址 z 设置用户属性 z 配置使能按 DNIS 号使用 AAA 服务器 z 配置 DNIS 号与 AAA 计费服务器的对应关系 z 配置 DNIS 号与 AA

32、A 验证服务器的对应关系 z 配置 RADIUS 服务器 z 进入 ISP 域视图 z 配置 ISP 的计费方法 z 配置 ISP 的验证方法 z 指定 ISP 的 IP 地址 z 为 ISP 的 PPP 用户配置 IP 地址池 z 指定 ISP 的主 DNS 服务器的 IP 地址 z 指定 ISP 的辅 DNS 服务器的 IP 地址 2.2.1 使能AAA 只有使用了使能 AAA 后，才能用 AAA 所提供的各种命令来对其进行配置。 VRP 操作手册第二分册（安全）第 2 章 AAA 及 RADIUS 协议配置2-4 请在系统视图下进行下列配置。表2-1 使能或禁止AAA 操作命令

33、使能 AAA aaa enable 禁止 AAA undo aaa enable 缺省为禁止 AAA。 2.2.2 配置AAA的Login验证方案这里的 Login 服务是指通过 FTP 登录到路由器，以及通过各种终端服务方式（如 Console 口、 Aux 口等）进入到路由器进行配置的操作。请在系统视图下进行下列配置。表2-2 AAA的Login验证方案配置操作命令配置 AAA 的 Login 验证方案 aaa authentication-scheme login default | scheme-name method1 | template server-template

34、-name method2 删除 AAA的 Login验证方案或恢复缺省 Login 验证方案的缺省验证 undo aaa authentication-scheme login default | scheme-name 其中， method1 为验证方法，可以有以下 5 种情况： z none z local z radius z radius none z radius local method2 只能为 local 或 none。 Login 用户又分为 FTP 用户、 Terminal 用户和 Telnet 用户，其中 Terminal用户指通过 Console 口， Aux 口登录

35、到路由器进行配置的操作。对这些用户在本地用户数据库中需要用 local-user service-type 命令进行授权，如果使用 RADIUS 服务器进行验证，需要在 RADIUS 服务器上设置相应用户的授权。 FTP、 Terminal 不是 RADIUS 协议的标准属性取值，需要修改 RADIUS 服务器的属性，在属性 login-service（标准属性 15）中增加两个取值的定义： VRP 操作手册第二分册（安全）第 2 章 AAA 及 RADIUS 协议配置2-5 50 FTP 51 Terminal 修改后再启动 RADIUS 服务器方可。 2.2.3 配置AAA的PPP验

36、证方案对通过与路由器或接入服务器建立 PPP 连接（例如拨号、 PPPoE， PPPoA等），从而访问网络的用户，进行验证时使用 PPP 验证方案。请在系统视图下进行下列配置。表2-3 AAA的PPP验证方案配置操作命令对使用 PPP 服务的用户按指定方案进行验证 aaa authentication-scheme ppp default | scheme-name method1 | template server-template-name method2 禁止用指定方案对使用PPP 服务的用户进行验证undo aaa authentication-scheme ppp def

37、ault | scheme-name 其中， method1 为验证方法，可以有以下 5 种情况： z none z local z radius z radius none z radius local method2 只能为 local 或 none。可以配置多个 PPP 的验证方案，用于不同端口。 RADIUS 验证过程示例：用户 lst 要求得到某些服务（如 PPP、 Telnet 和 FTP 等），对用户 lst 进行RADIUS 验证过程如下： (1) lst 通过拨号进入 NAS。 (2) NAS 按配置好的验证方式（如 PPP 的 PAP 或 CHAP 等）要求 lst 输

38、入用户名、密码等信息。 (3) lst 端出现输入提示，用户按提示输入用户名和密码。 (4) NAS 得到这些信息后，将其传给相应验证或计费的服务器。 (5) NAS 根据服务器的响应来决定用户是否可以获得他所要求的服务。 VRP 操作手册第二分册（安全）第 2 章 AAA 及 RADIUS 协议配置2-6 2.2.4 配置AAA的本地优先验证本地优先验证配置是可选的，在未配置本地优先验证时，先对用户进行RADIUS 验证。请在系统视图、 radius template 配置视图下进行下列配置。表2-4 AAA的本地优先验证配置操作命令本地优先验证 aaa authentica

39、tion-scheme local-first 不使用本地优先验证 undo aaa authentication-scheme local-first 缺省为不使用本地优先验证。使用本地优先验证时，对用户首先进行本地验证，如果验证失败，再使用所配置的验证方案中的方法进行验证。配置了本地优先验证，对所有使用了 AAA 的应用均起作用，包括 PPP 和 Login均将采用本地优先验证。 2.2.5 配置AAA的计费可选打开或关闭 AAA 计费可选开关。在对用户计费时如果发现没有可用的RADIUS 计费服务器或与 RADIUS 计费服务器通信失败时，若配置了 aaa accounting

40、-scheme optional 命令，则用户可以继续使用网络资源。否则用户的连接将被切断。请在系统视图下、 radius template 视图进行下列配置。表2-5 AAA计费可选配置操作命令打开计费可选开关 aaa accounting-scheme optional 关闭计费可选开关 undo aaa accounting-scheme optional 计费可选开关配置对所有非指定 RADIUS 服务器或服务器模板的计费均起作用。 VRP 操作手册第二分册（安全）第 2 章 AAA 及 RADIUS 协议配置2-7 2.2.6 配置AAA的PPP计费方案对通过与路由器

42、cheme-name 2.2.7 配置PPP用户的IP地址可以为 PPP 用户分配 IP 地址，首先在系统视图下配置本地 IP 地址池，指明地址池的地址范围；然后在接口视图下指定该接口使用的地址池。 1. 配置本地IP地址池配置 IP 地址池，主要用于为 PPP 用户分配 IP 地址。系统缺省没有本地 IP 地址池。请在系统视图下进行下列配置。表2-7 配置本地IP地址池操作命令配置本地 IP 地址池 ip pool pool-number low-ip-address high-ip-address 取消本地 IP 地址池 undo ip pool pool-number 如果

43、在配置地址池时，只给定起始 IP 地址，则该地址池中只有一个 IP 地址。 2. 为PPP用户分配IP地址在封装 PPP 的接口上，可以为接入用户分配 IP 地址。请在接口视图下进行下列配置。 VRP 操作手册第二分册（安全）第 2 章 AAA 及 RADIUS 协议配置2-8 表2-8 为PPP用户分配IP地址操作命令为 PPP 用户分配 IP 地址 remote address ip-address | pool pool-number 取消为 PPP 用户分配 IP 地址 undo remote address 未指明 IP 地址池编号时，其缺省值为 0，即 remote

44、address pool 等同于remote address pool 0。在系统视图下，可使用 ip pool 命令配置地址池。 2.2.8 设置用户属性 1. 配置用户及口令可以用此命令建立用户数据库，配置用户及口令。请在系统视图下进行下列配置。表2-9 用户及口令配置操作命令配置用户及口令 local-user local-user password simple | cipher password 取消用户 undo local-user local-user simple 代表明文，当使用 display 命令显示用户信息时，该口令以明文显示。 cipher 代表密文，当

45、使用 display 命令显示用户信息时，该口令以密文显示。说明：如果仅输入local-user local-user命令后即回车，系统不会做任何反应，即不会生成用户名为local-user的新用户，对原有用户名为local-user用户也不会有任何影响。 2. 设置用户的优先级系统提供对命令的分级管理，即对所有命令设定一定的操作级别，只有用户的优先级等于或高于命令的级别，用户才有使用该命令的权限。请在系统视图下进行下列配置。 VRP 操作手册第二分册（安全）第 2 章 AAA 及 RADIUS 协议配置2-9 表2-10 用户优先级配置操作命令配置用户的优先级 local-

46、user local-user level level 设置用户的优先级为默认值 undo local-user local-user level level 代表用户的优先级，其范围是 0 3。 3. 配置用户的回呼（Callback）属性可以用以下命令配置用户回呼号码。请在系统视图下进行下列配置。表2-11 配置用户回呼属性操作命令配置用户回呼属性 local-user local-user callback-number callback-number 取消用户回呼属性 undo local-user local-user callback-number RADIUS 服务器

47、端也可以配置 callback-number ，相当于此处的callback-number。如果配置了 aaa authentication-scheme ppp default radius，这时候本地配置（ local-user callback-number 命令）不起作用，传给 PPP 的 callback-number 由 RADIUS 服务器配置的 callback-number 决定；如果配置了 aaa authentication-scheme ppp default radius local，这时候假如 RADIUS 服务器没有响应，则启用 local 验证，本地配置（

48、 local-user callback-number 命令）将起作用；如果配置了 aaa authentication-scheme ppp default none，本地配置（ local-user callback-number 命令）将不起作用。如果 PPP 没有告知 AAA 此用户是回呼用户， AAA 根据此用户是否配置了callback-number 来决定。如果配置了 callback-number， AAA 告知 PPP 此用户是回呼用户。反之，不是回呼用户。如果 PPP 告知 AAA 此用户是回呼用户，而且此用户配置了 callback-number， AAA 把

49、该值传给 PPP。 4. 配置用户的回呼验证属性可以用以下命令配置用户回呼验证属性。请在系统视图下进行下列配置。 VRP 操作手册第二分册（安全）第 2 章 AAA 及 RADIUS 协议配置2-10 表2-12 配置用户回呼验证属性操作命令配置用户回呼验证 local-user local-user callback-nocheck 取消用户回呼验证 undo local-user local-user callback-nocheck 5. 配置用户的主叫号码配置了用户的 call-number 就表明要对此用户进行主叫号码的验证。目前仅限于 ISDN 用户。请在系统视图下进行下列配置。表2-13 配置用户主叫号码操作命令配置用户主叫号码 local-user local-user call-number call-number : subcall-number 取消用户主叫号码 undo local

展开阅读全文