按键盘上方向键 ← 或 → 可快速上下翻页,按键盘上的 Enter 键可回到本书目录页,按键盘上方向键 ↑ 可回到本页顶部!
————未阅读完?加入书签已便下次继续阅读!
4。2。3。6 切换用户级别
要从较低级别用户切换到较高级别的用户,需要输入正确的口令。
请在用户视图下进行如下操作。
切换用户级别
操作
命令
切换用户级别
super ' level '
4。2。3。7 锁定用户界面
在用户需要暂时离开操作终端时,为防止未授权的用户操作该终端界面,可以锁定用户界面,锁定用户界面时,需要输入口令并确认口令。在解除锁定时,只有输入正确的口令才能操作用户界面。
请在用户视图下进行下列操作。
锁定用户界面
操作
命令
锁定用户界面
lock
4。2。3。8 设置命令级别
所有命令分为参观、监控、配置、管理4个级别,标识为0~3。系统管理员可以根据需要指定命令的级别及其所在视图。
请在系统视图下进行下列配置。
命令优先级的设置
操作
命令
设置视图中命令的优先级
mand…privilege level level view view mand…key
恢复命令的缺省优先级
undo mand…privilege view view mand…key
4。2。3。9 显示系统状态信息
利用display命令可以收集系统状态信息,根据功能可以划分为以下几类:
* 显示系统配置信息的命令
* 显示系统运行状态的命令
* 显示系统统计信息的命令
有关各协议和各种接口的display命令请参见相关章节。下面只介绍一些有关系统的display命令。
请在所有视图下进行下列操作。
显示系统状态信息
操作
命令
显示系统版本
display version ' slot…id '
显示系统时钟
display clock
显示终端用户
display users ' all '
显示起始配置信息
display saved…configuration
显示当前配置信息
display current…configuration
显示调试开关状态
display debugging ' interface { interface…type interface…number | interface…name } ' ' module…name '
显示技术支持信息
display diagnostic…information
显示设备基本信息
display device ' pic…status | slot…id '
显示设备的自检信息
display selftest ' slot…id '
显示设备的环境信息
display environment
在系统出现故障或日常维护时,为了便于问题定位,需要收集很多的信息,但相应的display命令很多,很难一次把信息收集全,这时可以使用display diagnostic…information命令进行系统当前各个模块的运行信息收集。
display diagnostic…information命令一次性收集了配置如下命令后终端显示的信息,包括:display clock、display version、display cpu、display interface、display current…configuration、display saved…configuration、display history…mand等等。
4。3 系统配置
4。3。1 安全配置
4。3。1。1 AAA及RADIUS协议介绍
4。3。1。1。1 AAA的功能
AAA是Authentication(验证)、Authorization(授权)和Accounting(计费)的简称。它提供对用户进行验证、授权和计费三种安全功能。具体如下:
* 验证(Authentication):验证用户是否可以获得访问权,确定哪些用户可以访问网络。
* 授权(Authorization):授权用户可以使用哪些服务。
* 计费(Accounting):记录用户使用网络资源的情况。
AAA一般采用客户/服务器结构,客户端运行于被管理的资源侧,服务器上则集中存放用户信息。这种结构既具有良好的可扩展性,又便于用户信息的集中管理。
4。3。1。1。2 RADIUS协议
AAA可以用多种协议来实现,但最常用的是RADIUS协议。RADIUS是Remote Authentication Dial In User Service的简称,最初用来管理使用串口和调制解调器的大量分散用户,后来广泛应用于网络接入服务器NAS(Network Access Server)系统。RADIUS协议规定了NAS与RADIUS服务器之间如何传递用户信息和计费信息。
RADIUS使用UDP作为传输协议,具有良好的实时性;同时也支持重传机制和多服务器机制,从而有较好的可靠性。
4。3。1。2 NE80路由器的AAA特性
在NE80路由器中,主要应用AAA来实现对本地用户和PPP用户的管理。同时,PPP协议仅限于POS等高速接口,PPP用户数据较少,因此一般不用RADIUS服务器,而只采用本地认证。
4。3。1。3 AAA及RADIUS配置
AAA和RADIUS的一般配置过程如下:首先使能AAA功能,并配置Login/PPP用户的验证方案,以确定用户的验证顺序;然后配置RADIUS服务器的参数和用户属性。具体配置包括:
* 使能AAA
* 配置AAA的Login验证方案
* 配置AAA的PPP验证方案
* 配置AAA的本地优先验证
* 配置PPP用户的IP地址
* 配置RADIUS Server
* 配置用户属性
使能AAA
只有使用了使能AAA后,才能用AAA所提供的各种命令来对其进行配置。
请在系统视图下进行下列配置。
使能或禁止AAA
操作
命令
使能AAA
aaa enable
禁止AAA
undo aaa enable
缺省为禁止AAA。
配置AAA的Login验证方案
这里的Login服务是指通过各种终端服务方式(如Console口、Aux口等)进入到路由器对路由器进行配置的操作。
请在系统视图下进行下列配置。
AAA的Login验证方案配置
操作
命令
配置AAA的Login验证方案
aaa authentication…scheme login { default | scheme…name } ' method1 ' ' method2 '
取消AAA的Login验证方案或恢复缺省方案的缺省方法
undo aaa authentication…scheme login { default | scheme…name }
Login用户包括使用Telnet和超级终端登录到路由器进行配置操作的用户。对这两种用户在本地用户列表中需要用local…user service…type命令进行授权,如果使用RADIUS服务器进行验证,需要在RADIUS服务器上设置相应用户的授权。
配置AAA的PPP验证方案
对通过与路由器或接入服务器建立PPP连接(例如拨号、PPPoE,PPPoA等),从而访问网络的用户,进行验证时使用PPP验证方案。
请在系统视图下进行下列配置。
AAA的PPP验证方案配置
操作
命令
对使用PPP服务的用户按指定方案进行验证
aaa authentication…scheme ppp { default | scheme…name } ' method1 ' ' method2 '
取消PPP验证方案或恢复缺省方案为缺省验证方法
undo aaa authentication…scheme ppp { default | scheme…name }
配置AAA的本地优先验证
本地优先验证配置是可选的,在未配置本地优先验证时,使用配置的验证方法表对用户进行验证。
请在系统视图下进行下列配置。
AAA的本地优先验证配置
操作
命令
本地优先验证
aaa authentication…scheme local…first
不使用本地优先验证
undo aaa authentication…scheme local…first
缺省为不使用本地优先验证。
使用本地优先验证时,对用户首先进行本地验证,如果验证失败,再使用所配置的验证方案中的方法进行验证。
配置了本地优先验证,对所有使用了AAA的应用均起作用,包括PPP和Login均将采用本地优先验证。
配置PPP用户的IP地址
可以为PPP用户分配IP地址,首先在系统视图下配置本地IP地址池,指明地址池的地址范围;然后在接口视图下指定该接口使用的地址池。
配置本地IP地址池
配置IP地址池,主要用于为PPP用户分配IP地址。系统缺省没有本地IP地址池,如果在定义IP地址池时,没有指定结束IP地址,则该地址池中只有一个IP地址,即起始IP地址。
请在系统视图进行下列配置。
操作
命令
配置本地IP地址池
ip pool pool…number first…address ' last…address '
取消本地IP地址池
undo ip pool pool…number
pool…number是地址池的编号,取值范围0~99。first…address是地址池的起始IP地址,last…address是地址池的结束IP地址。
为PPP用户分配IP地址
在封装PPP的接口上,可以给对端的PPP用户分配IP地址。
请在接口视图下进行下列配置。
为PPP用户分配IP地址
操作
命令
为PPP用户分配IP地址
remote address { ip…address | pool ' pool…number ' }
取消为PPP用户分配IP地址
undo remote address
未指明IP地址池编号时,其缺省值为0,即remote address pool等同于remote address pool 0。在系统视图下,可使用ip pool命令配置地址池。
配置RADIUS服务器
在系统视图下,可以配置RADIUS服务器。
RADIUS服务器配置包括配置服务器地址和监听端口,以及RADIUS协议相关的其它属性,包括共享密匙、重传次数、超时重传的时间间隔、为PPP用户指定验证服务器、服务器down机后的恢复时间等等。
配置RADIUS服务器
进行如下操作可指定RADIUS服务器的地址和监听端口号。用户可以配置多个RADIUS服务器。系统视图下最多可以配置15个RADIUS服务器。
可以配置一个主RADIUS验证服务器。配置RADIUS主服务器时,如果已经有主RADIUS服务器,则将用新配置的RADIUS服务器作为主服务器,原主服务器不再作为主服务器。
在没有指定主RADIUS服务器时,系统将根据配置时间的先后选择使用的RADIUS服务器,当一个服务器失效后,系统会自动选择下一个服务器。
在配置了主RADIUS服务器后,将首选主RADIUS服务器实现AAA。当主RADIUS服务器不能正常工作后,使用其他RADIUS服务器工作,每隔一定时间,再尝试主RADIUS服务器是否可以正常工作,如果发现其可以正常工作则马上恢复使用主RADIUS服务器。
请在系统视图下进行下列配置。
配置RADIUS Server
操作
命令
配置RADIUS服务器IP地址(或主机名)、验证端口号
radius server { server…name | server…address } ' auth…primary ' authentication…port port…number ' ' ' source interfacename '
取消指定的RADIUS服务器
undo radius server { server…name | server…address }
验证端口号的缺省值为1812,使用auth…primary可配置RADIUS服务器为主验证服务器。
在配置RADIUS服务器时可以指定向RADIUS服务器发送RADIUS报文的源地址。原地址用接口表示,一般使用Loopback接口。
4。3。1。4 配置由用户指定RADIUS服务器
可以由用户指定RADIUS服务器来对用户进行验证。这时用户名应为“userid@server”的形式,其中userid为用户名,server为使用的RADIUS服务器。
该功能要与接口上的验证方案配合使用,只有在接口上配置的验证方案的第一种方法为radius方法时,此配置才起作用。对用户进行验证时将试图使用由用户指定的RADIUS服务器,当此RADIUS服务器不能正常工作时再使用其他RADIUS服务器进行验证。
请在系统视图下进行下列配置。
配置由用户指定RADIUS服务器
操作
命令
配置由用户指定RADIUS服务器
radius appoint…authentication ' restricted '
禁止由用户指定RADIUS服务器
undo radius appoint…authentication ' restricted '
restricted表示仅限使用指定的RADIUS服务器对用户进行验