- 1、本文档共18页,可阅读全部内容。
- 2、原创力文档(book118)网站文档一经付费(服务费),不意味着购买了该文档的版权,仅供个人/单位学习、研究之用,不得用于商业用途,未经授权,严禁复制、发行、汇编、翻译或者网络传播等,侵权必究。
- 3、本站所有内容均由合作方或网友上传,本站不对文档的完整性、权威性及其观点立场正确性做任何保证或承诺!文档内容仅供研究参考,付费前请自行鉴别。如您付费,意味着您自己接受本站规则且自行承担风险,本站不退款、不进行额外附加服务;查看《如何避免下载的几个坑》。如果您已付费下载过本站文档,您可以点击 这里二次下载。
- 4、如文档侵犯商业秘密、侵犯著作权、侵犯人身权等,请点击“版权申诉”(推荐),也可以打举报电话:400-050-0827(电话支持时间:9:00-18:30)。
查看更多
M0000007中低端路由器AAA及Radius配置(中文版V1.1)定稿剖析
验证、授权和记费(AAA)
AAA概述
验证(Authentication):验证用户身份。
授权(Authorization) :授权用户可以使用哪些服务。
计费(Accounting):记录用户使用网络资源的情况,对用户进行计费。
实现AAA功能可以在本地进行,也可以由AAA服务器在远程进行。
计费功能由于占用系统资源大通常都使用AAA服务器实现。对于用户数量大的情况,验证和授权也应该使用AAA服务器。
AAA服务器与网络设备的通信有标准的协议,目前比较流行的是RADIUS协议。
提供AAA支持的服务
PPP:PPP的PAP、CHAP验证的用户。
EXEC:指通过telnet登陆到路由器,以及通过各种方式(如console口,aux口等)进入到路由器进行配置的操作。
FTP:通过ftp登陆到路由器的用户。
验证与授权
1、验证
用户名、口令验证:包括PPP的PAP验证、PPP的CHAP验证 、EXEC用户验证、FTP用户验证。
拨号的PPP用户可以进行主叫号码验证。
2、授权
服务类型授权:对一个用户授权提供的服务。可以是PPP、EXEC、FTP中的一种或几种。
回呼号码:对PPP回呼用户可以设定回呼号码。
隧道属性:配置L2TP的隧道属性。
验证、授权可以在本地进行,也可以在RADISU服务器进行。但对一个用户的验证和授权使用相同的方法,即或者验证、授权均在本地进行,或者均使用RADIUS服务器。
计费及AAA使用特别提醒
首次使用AAA,经常发生配置了用户而验证不通过的情况。这实际上是由于没有学会灵活使用aaa accounting-scheme optional的原因。其实这种情况不是验证不通过,而是计费失败,切断了用户。
因为开始使用的时候启用AAA,这时缺省使用本地验证。而本地验证也是需要计费的,由于没有配置RADIUS服务器,造成计费失败,而因为没有配置aaa accounting-scheme optional,在计费失败时的处理就是断开用户,因此用户不能成功上网。
aaa accounting-scheme optional的作用是在计费失败时允许用户继续使用网络。因此在只验证不计费的情况下,一定要注意配置aaa accounting-scheme optional命令。
AAA基本配置命令
aaa-enable:启用AAA。
aaa accounting-scheme optional:计费处理选项。
aaa authentication-scheme login { default | methods-list } { method1 [ method2 ... ] }
aaa authentication-scheme ppp { default | methods-list } { method1 } [ method2 ... ]
配置login的验证方法表和ppp的验证方法表,方法表的名字可以是default也可以自己取。缺省方法表的缺省方法为本地验证。验证方法有三种:radius、local、none。配置多种方法时,前面的方法失败则使用后面的方法,这里说的失败不是验证失败,而是验证不能成功进行,比如与RADIUS服务器通信失败,因此只有RADIUS方法才可能有失败的情况。所以只有5种有意义的方法组合:
后面的方法有5种有效组合: radius、local、none、radius local、radius none。
方法表的概念:
login只能配置一个方法表,配置了方法表即自动应用到所有需要AAA的FTP用户、EXEC用户。
PPP可以配置多个方法表,特定的接口使用哪个方法表还需要将这个方法表应用到接口上。即在接口上配置ppp authentication-mode { chap | pap } [ callin ] [ scheme { default | name-list } ],缺省使用default方法表。
本地用户数据库
使用本地验证、授权需要在路由器上维护用户数据库。由于路由器上资源有限,此数据库不宜过大。最多只支持配置50个用户。大量用户应该使用RADIUS服务器。
local-user user [ password { simple | cipher } password ] 配置用户口令
local-user user [ service-type { exec-administrator | exec-guest | exec-operator | ftp | ppp } ... ] 配置授权服务
local-user user [ call-number number ] [ :sub-number ] 配置主叫号码
文档评论(0)