2659使用手冊(cè)配置手冊(cè)安全

1、第1 章AAA 配AAA 概AAA 安全服使用AAA 的優(yōu)AAA 基本原AAA 方法列第1 章AAA 配AAA 概AAA 安全服使用AAA 的優(yōu)AAA 基本原AAA 方法列AAA 配置過(guò)1.2.1AAA 配置過(guò)程概 AAA 認(rèn)證配置任務(wù)列AAA 認(rèn)證配置任使用AAA配置登錄認(rèn)使用AAA進(jìn)行PPP 認(rèn)1.4.3 為AAA認(rèn)證配置消息標(biāo)1.4.7 建立本地用戶名認(rèn)證數(shù)據(jù)1.4.8 1.5AAA 認(rèn)證配置示配置任1.7.1 AAA 示AAA 記帳配置任務(wù)列AAA 記帳配置任使用AAA配置connection 記使用AAA配置network 記使用AAA配置記帳更1.10.4 抑制無(wú)用戶名的用戶記第2

2、 章RADIUS 配概RADIUS概RADIUS協(xié)議操RADIUS配置步RADIUS配置任務(wù)列RADIUS配置任配置路由器與RADIUS服務(wù)器的通-I的RADIUS屬性配置路由配置RADIUS 認(rèn) 2.5RADIUS 配置示2.5.1的RADIUS屬性配置路由配置RADIUS 認(rèn) 2.5RADIUS 配置示2.5.1RADIUS2.5.2AAA中應(yīng)用RADIUS 示第3 章TACACS+配 示示第4 章IPSec 配IPSec 概4.1.2 術(shù)4.1.3 限IPSec工作過(guò)程概IPSec 嵌IPSec 配置任務(wù)列IPSec 配置任4.3.1 確列表和IPSec相兼4.3.2 開(kāi)啟/創(chuàng)建加在加列

3、表中使用any關(guān)鍵4.3.8 -II4.3.11 IKE4.3.12 將加1 IKE4.3.12 將加4.4IPSec 配置示第5 章配置 ernet 密鑰交換安全協(xié)5.1 概IKE 概5.1.3 術(shù)IKE 配置任務(wù)列IKE 配置任5.3.1 列表與IKE兼創(chuàng)建IKE 策清除IKE連接（可選5.3.5（可選5.4IKE 配置示第6 章Web 認(rèn)證配6.1 概理解Web認(rèn)規(guī)劃web 認(rèn)配置web 認(rèn)使能web 認(rèn)web 認(rèn)web認(rèn)證配置示外置DHCPServerweb 認(rèn)證配內(nèi)置DHCPServerweb 認(rèn)證配-III第1AAAAAA服務(wù)器（NAS）的服務(wù)種類。提供認(rèn)證AAAAAAdefaul

4、t第1AAAAAA服務(wù)器（NAS）的服務(wù)種類。提供認(rèn)證AAAAAAdefaultRADIUS或TACACS+安全服務(wù)器。像RADIUS 和這樣安全服務(wù)器，通過(guò)與用戶相聯(lián)系的屬性值（AV）對(duì)（Attribute-Pairs）AAA AAA進(jìn)行的形式向 TACACS+或量。當(dāng)激活功能時(shí)，網(wǎng)絡(luò)服務(wù)器以AAA-1AAAAAAAAA AAA AAAAAAAAA AAA （defaultAAA AAA 方法的表格。在方法列表中可AAA 服務(wù)，或者所有的方法用完為止。 AAAR1服務(wù)器，T1T2TACACS服務(wù)器。AAAAAA-21-1AAAR1R1 R2，如果 R2T1T1 T2令，創(chuàng)建一張缺省的方法列表

5、：aaaauthenticationpppdefault radius local1-1AAAR1R1 R2，如果 R2T1T1 T2令，創(chuàng)建一張缺省的方法列表：aaaauthenticationpppdefault radius local。本例中，default 是方法列表的名稱，包括在方法列表中的協(xié)議以及他們將被查詢的次序當(dāng)用戶試圖通過(guò)撥號(hào)進(jìn)入網(wǎng)絡(luò)時(shí)，網(wǎng)服務(wù)器首先 FAIL ERROR 應(yīng)答是截然不同的兩個(gè)東西，F(xiàn)AIL 意FAIL 應(yīng)答結(jié)束。 ERRORAAAERROR應(yīng)答時(shí)，aaaauthenticationpppdefaultradiusaaaauthenticationpppas

6、ync0radiustacacs+localnone erface async 0/0pppauthentication在這個(gè)例子中，async0 是方法列表的名稱，包括在這個(gè)方法列表中的認(rèn)證協(xié)議依次列在注意：aaaauthentication 命令中的方法名稱必須與 pppauthentication命令中的方法列表名稱-3AAA。AAA 服AAAaaaauthenticationaaaauthorization配置（可選aaaaccounting配置（可選AAAAAAAAAAAA。AAA 服AAAaaaauthenticationaaaauthorization配置（可選aaaaccoun

7、ting配置（可選AAAAAAAAAPPPAAAAAAAAAAAAaaaauthentication-4。AAAaaa authenticationAAAaaa authentication login張或是多張認(rèn)證方法的列表，這些列表在登錄時(shí)使用。使用線路配置命令 關(guān)鍵字eethod所采用的實(shí)際方法。僅當(dāng)前面所用的方法返回認(rèn)證錯(cuò)誤時(shí)，才會(huì)使用其他的認(rèn)證方法，如果前面的方法指明認(rèn)證失敗了，則不再使用其他的認(rèn)證方法。如果要指定即使所有的nneaaa。AAAaaa authenticationAAAaaa authentication login張或是多張認(rèn)證方法的列表，這些列表在登錄時(shí)使用。使用

8、線路配置命令 關(guān)鍵字eethod所采用的實(shí)際方法。僅當(dāng)前面所用的方法返回認(rèn)證錯(cuò)誤時(shí)，才會(huì)使用其他的認(rèn)證方法，如果前面的方法指明認(rèn)證失敗了，則不再使用其他的認(rèn)證方法。如果要指定即使所有的nneaaaauthenticationlogindefaulttacacs+ RADIUSaaaauthenticationlogindefaultnone使得登錄的任何用戶都可成功的通過(guò)認(rèn)證，所以應(yīng)當(dāng)將該關(guān)鍵字作為備console口登陸以外，其它-5使用enablegroupgroupRADIUS group使用TACACS+ 使用線進(jìn)行認(rèn)證local-list-namemethod1line aux | c

9、onsole | tty | vty line-loginauthenticationdefault|list-應(yīng)用該認(rèn)證列表于某條或是某幾個(gè)enableaaa authentication login命令中使用enable enable口令作為enableaaaauthenticationlogindefaultaaaauthentication loginline 方法關(guān)鍵字指定線路口令作為登任何其他方法，可以輸入下面 令行：aaaenableaaa authentication login命令中使用enable enable口令作為enableaaaauthenticationlogin

10、defaultaaaauthentication loginline 方法關(guān)鍵字指定線路口令作為登任何其他方法，可以輸入下面 令行：aaaauthenticationlogindefaultaaaauthenticationloginlocal aaaauthenticationlogindefaultRADIUS 進(jìn)行登錄認(rèn)證aaaauthenticationlogin命令時(shí)，用radius RADIUS作為RADIUS aaaauthenticationlogindefaultRADIUSRADIUSRADIUS在使用aaaauthenticationloginTACACS作為認(rèn)證方法。例

11、如，在用戶登錄時(shí)指定 TACACSaaaauthenticationlogindefaultACACS+AAAPPPISDN 網(wǎng)絡(luò)中心服務(wù)器。AAA PPPPPP aaa authentication pppAAA認(rèn)證。配置時(shí)，在全局配置模式下使用下面-6list-namemethod1aaa authentication 命令，可以創(chuàng)建一張或是幾張認(rèn)證方法列表，在用戶開(kāi)始運(yùn)行 aaaauthenticationpppdefault aaaauthenticationpppdefaulttacacs+aaa authentication 命令，可以創(chuàng)建一張或是幾張認(rèn)證方法列表，在用戶開(kāi)始運(yùn)行

12、aaaauthenticationpppdefault aaaauthenticationpppdefaulttacacs+none使得登錄的任何用戶都能成功的被認(rèn)證，所以應(yīng)當(dāng)將該關(guān)鍵字作為備用PPPPPP在aaaauthenticationppp命令中用local關(guān)鍵字指定使用本地用戶名數(shù)據(jù)庫(kù)進(jìn)行認(rèn)證。例如，在運(yùn)行PPP 的aaaauthenticationpppdefaultPPPaaaauthenticationpppRADIUS關(guān)鍵字指定RADIUSRADIUS aaaauthenticationpppdefault-7groupgroup-group使用RADIUS group使用T

13、ACACS+ local-erface-typeppp authentication chap | pap | chap |papchapdefault|list-將認(rèn)證列表應(yīng)用于某條或是某幾條RADIUS 作為RADIUSPPPRADIUSaaa authentication ppp命令中，用TACACS+關(guān)鍵字指定TACACS+作為運(yùn)行 aaaauthenticationpppdefaultACACS+RADIUS 作為RADIUSPPPRADIUSaaa authentication ppp命令中，用TACACS+關(guān)鍵字指定TACACS+作為運(yùn)行 aaaauthenticationppp

14、defaultACACS+aaaauthentication enable default命令創(chuàng)建一個(gè)認(rèn)證方法列表，這些方法決定了某個(gè)用戶是否可以執(zhí)行 級(jí)別的 EXEC 命令。可以至多指定四種認(rèn)證方法。僅當(dāng)前面所method當(dāng)配置了 enable 認(rèn)證方法為遠(yuǎn)端認(rèn)證時(shí)（即配置了 group，group-restrict，radius 或 tacacs+關(guān)鍵字時(shí)RADIUSTACACS+認(rèn)證的用戶名不同，下面RADIUSenable 命令后enable7，如果此時(shí)配置了使用RADIUS RADIUSRadius Server的用戶名為$ENABLE15$ -8使用enablegroupgroup

15、-groupgroup使用TACACS+ method1在用戶進(jìn)級(jí)別時(shí)開(kāi)啟口令認(rèn)證Radius Server 的用戶數(shù)據(jù)庫(kù)中，要指明用于TACACS+enable 認(rèn)證：enablechenenable 認(rèn)證時(shí)使用的用戶名也是 chen，如果用戶登錄路由器時(shí)沒(méi)有被要求認(rèn)證或者認(rèn)證時(shí)沒(méi)有被要求輸DEFAULT，需要在TACACS+ Server認(rèn)證的用戶的服務(wù)類型AAARadius Server 的用戶數(shù)據(jù)庫(kù)中，要指明用于TACACS+enable 認(rèn)證：enablechenenable 認(rèn)證時(shí)使用的用戶名也是 chen，如果用戶登錄路由器時(shí)沒(méi)有被要求認(rèn)證或者認(rèn)證時(shí)沒(méi)有被要求輸DEFAULT，需

16、要在TACACS+ Server認(rèn)證的用戶的服務(wù)類型AAA配標(biāo)配置登陸失敗標(biāo)使用說(shuō) noaaaauthentication username-promptTACACS或是RADIUS-9aaa authentication fail-message delimiter text-string delimitertext-string delimiter配置一個(gè)個(gè)性化的登標(biāo)使用aaaauthenticationpassword-prompt noaaa authentication password-promptTACACS或是RADIUS 使用aaaauthenticationpassword

17、-prompt noaaa authentication password-promptTACACS或是RADIUS no 形式：username name nopassword | password password | password encryption-encrypted-usernamenameusernamenamecallback-ephone-usernamenamecallback-rotaryrotary-group-usernamenamecallback-linetty|auxline-numberending-line-usernamenameusernamenam

18、eprivilegeusernamenameuser-maxlinksnousername-10在提示用戶輸入用戶名時(shí)改變?nèi)笔〉娘@示文本。建立本enable級(jí)noenablepasswordencryption-typeencrypted-passwordlevelnoenablepasswordlevelAAARADIUS 建立本enable級(jí)noenablepasswordencryption-typeencrypted-passwordlevelnoenablepasswordlevelAAARADIUS 認(rèn)證示RADIUSRADIUSaaaauthenticationloginradi

19、us-loginradiuslocal aaa authentication ppp radius-ppp radiusaaaauthorizationnetworkradius-networkradius line tty/vtyloginauthenticationradius-erial命令aaaauthenticationloginradius-loginradiuslocal配置路由器在認(rèn)證登錄用戶 aaaauthenticationpppradius-pppradius將路由器配置為：在用戶尚未登錄chappappppEXEC已經(jīng)對(duì)用戶進(jìn)行了認(rèn)證，aaa authorization

20、 network radius-network radiusradius服務(wù)，如：地址分配以及其控制項(xiàng)目inauthenticationradius-3radius-loginTACACS認(rèn)證示 aaaauthenticationppptesttacacs+pppauthenticationchappaptest tacacs server tacacskey-11aaaauthentication ppp test tacacs+ localtest，該方法列表用 在認(rèn)證期間，TACACSlocal指示使用網(wǎng)絡(luò)服erface選擇端口pppauthenticationtacacsserverT

21、ACACSIPaaaauthentication ppp test tacacs+ localtest，該方法列表用 在認(rèn)證期間，TACACSlocal指示使用網(wǎng)絡(luò)服erface選擇端口pppauthenticationtacacsserverTACACSIPtacacskeyPPPAAAaaaauthenticationpppdefaultif-neededtacacs+default ppp if-needed 的意義tacacsTACACSTACACS在認(rèn)證期local 指示使用路由器上的本地?cái)?shù)據(jù)庫(kù)進(jìn)行認(rèn)證。下面的示例為 PAP aaaauthenticationpaptest-list

22、if-neededtacacs+pppauthenticationpaptest-在本例中，由于方法列表未應(yīng)用于任何端口，管理員必須使用 erface 命令選擇端口，AAAaaaauthorization。-12注意：目前僅僅支持 。AAA使用aaa authorization 命令開(kāi)啟AAA。在aaaauthorization exec命令中，創(chuàng)建一 序，或者授于用戶在進(jìn)入外殼程序時(shí)的級(jí)別。使用線路配置命令authorization 注意：目前僅僅支持 。AAA使用aaa authorization 命令開(kāi)啟AAA。在aaaauthorization exec命令中，創(chuàng)建一 序，或者授于用戶

23、在進(jìn)入外殼程序時(shí)的級(jí)別。使用線路配置命令authorization snoneaaaauthorizationexecdefaulttacacs+ RADIUSexecaaaauthorizationexecdefault-13group使用命名的服務(wù)器組進(jìn)group使用group使用使用本地?cái)?shù)據(jù)庫(kù)進(jìn)list-namemethod1創(chuàng)建全列表line aux | console | tty | vty line-loginauthorizationdefault|list-應(yīng)用示的配置示例展示了如何配置路由器以便使用aaaauthenticationlogindefaultlocal aaa

24、authorization exec default local!usernameexec1password0dcrpriviledge15 usernameexec2password0dcrpriviledge10 username exec3 nopasswordusernameexec4password0dcruser-maxlinksusernameexec5password示的配置示例展示了如何配置路由器以便使用aaaauthenticationlogindefaultlocal aaa authorization exec default local!usernameexec1pa

25、ssword0dcrpriviledge15 usernameexec2password0dcrpriviledge10 username exec3 nopasswordusernameexec4password0dcruser-maxlinksusernameexec5password0!netaaa authentication login default locallogin認(rèn)證的默認(rèn)方法列表，該方aaaauthorizationexecdefaultlocalEXECEXEC15s10exec3。exec4dcr10exec5dcr AAAAAAconnectionAAAnetwor

26、kAAAAAA-14AAAaaaaccounting。AAAconnectionaaaaccountingAAAaaaaccountingconnection命令中，創(chuàng)建connectionAAAaaaaccounting。AAAconnectionaaaaccountingAAAaaaaccountingconnection命令中，創(chuàng)建connection記帳，以提供所有從路由器產(chǎn)生的出站連接的信息，這些出站連接包括 net、包重裝/拆分（PAD、H323rlogin等，暫時(shí)H323。配置時(shí)，從全局配置模式開(kāi)始，使用如下命令：list-namemethod指定記帳過(guò)程connectionAA

27、Anetwork networkPPPSLIP會(huì)話提供信息，-15aaa accounting network start-stop | stop-only | none default | list-name group groupnamegroupgroupRADIUS group使用TACACS+ 該關(guān)鍵字指示所指定的方法只在所請(qǐng)求的用戶過(guò)程結(jié)束時(shí)發(fā)送一條停止記帳通知。aaa accounting connection start-stop | stop-only | none default | list-name group groupnamelist-namemethod指定記帳過(guò)

28、程networkAAAaaa accountingAAAAAAIPCPIP將包終端使用的協(xié)商IP地址periodic aaa accounting update periodiclist-namemethod指定記帳過(guò)程networkAAAaaa accountingAAAAAAIPCPIP將包終端使用的協(xié)商IP地址periodic aaa accounting update periodicaaaaccounting newinfonewinfo。AAA系統(tǒng)給用戶名字符串為空的用戶發(fā)送記帳aaaaccountingull-16periodic number激活A(yù)AAgroupgroupRAD

29、IUS group使用TACACS+ 第2RADIUSRADIUS（RemoteAuthenticationDial-InUser Service）安全系統(tǒng)。定義其操RADIUSRADIUS RADIUS （AAA）命令集配置 RADIUS。本章最一節(jié)“RADIUSRADIUS 概 RADIUS ，RADIUS 第2RADIUSRADIUS（RemoteAuthenticationDial-InUser Service）安全系統(tǒng)。定義其操RADIUSRADIUS RADIUS （AAA）命令集配置 RADIUS。本章最一節(jié)“RADIUSRADIUS 概 RADIUS ，RADIUS 服務(wù)器的基

30、于IP的網(wǎng)絡(luò)中，撥號(hào)用戶通過(guò)RADIUS服務(wù)器進(jìn) 的。（如時(shí)間、字節(jié)等等RADIUSRADIUS s）NetBIOS幀控制協(xié)議（NBFCP，NetBIOSFrameControlNetWare異步服務(wù)接口（NASI，NetWareAsynchronousX.25PAD-17 使用多種服務(wù)的網(wǎng)絡(luò)。RADIUSRADIUS 協(xié)議操RADIUSRADIUSRADIUSACCEPT被。CHALLENGEChallengeACCEPT REJECT EXEC 。在使用 之前，必須首先完成 RADIUS 認(rèn)證。ACCEPT REJECT的服務(wù)，包net、rlogin、PPP、 使用多種服務(wù)的網(wǎng)絡(luò)。RADI

31、USRADIUS 協(xié)議操RADIUSRADIUSRADIUSACCEPT被。CHALLENGEChallengeACCEPT REJECT EXEC 。在使用 之前，必須首先完成 RADIUS 認(rèn)證。ACCEPT REJECT的服務(wù)，包net、rlogin、PPP、SLIP或EXEC服務(wù)IPRADIUS配置步為了在路由器服務(wù)器上配置RADIUS ，必須執(zhí)行下述任務(wù)aaaauthentication全局配置命令定義使用RADIUSaaaauthenticationaaaauthorizationaaa accounting aaaaccountingRADIUS配置任務(wù)列RADIUS-18RAD

32、IUSRADIUSRADIUS配置任RADIUSRADIUS Livingston、MeritRADIUS 口令并交換響應(yīng)。使用 radius-server host 命令來(lái)指定 RADIUS 服務(wù)器，使用radius-serverkeyRADIUSernet 工程任務(wù)組（RADIUSRADIUSRADIUS配置任RADIUSRADIUS Livingston、MeritRADIUS 口令并交換響應(yīng)。使用 radius-server host 命令來(lái)指定 RADIUS 服務(wù)器，使用radius-serverkeyRADIUSernet 工程任務(wù)組（IETF）草案標(biāo)準(zhǔn)通過(guò)使用廠商服務(wù)器和 RAD

33、IUS 服務(wù)器之間交互基于廠商的（Attribute26屬性（VSA）RFC（RADIUS-19radius-servervsasend服務(wù)器能夠如同RADIUS IETF屬性26所定義的那樣去識(shí)別和使用廠 指定路由器在放棄重試之前向服務(wù)器傳輸每個(gè)RADUS請(qǐng)求的次數(shù)（缺省值為2。radius-servertimeout radius-server host ip-address auth- radius-serverkeyRADIUSRADIUSRADIUSRADIUS認(rèn)證定義RADIUSAAAaaa 命令，指定RADIUS程aaaauthorization命令，指定RADIUSRADIUS

34、RADIUSRADIUSRADIUS認(rèn)證定義RADIUSAAAaaa 命令，指定RADIUS程aaaauthorization命令，指定RADIUS RADIUS配置示RADIUS 認(rèn)證RADIUSaaa authentication login use-radius radius local aaaauthenticationpppuse-radiusif-neededradius aaa authorization exec radiusaaaauthorizationnetwork：aaa authentication login use-radius radius local命令配置路

35、由器在登錄過(guò)程中使用 RADIUS 進(jìn)行認(rèn)證。如果 RADIUS 服務(wù)器返回認(rèn)證錯(cuò)誤（ERROR，再使用本RADIUS 認(rèn)證，然后再進(jìn)行本地認(rèn)證。aaa authentication ppp use -radius if-needed radius命令使得當(dāng)用戶還沒(méi)有被認(rèn)證時(shí)PPP 的CHAP 或PAP 認(rèn)證過(guò)程通過(guò)RADIUS 服務(wù)器若在提供EXEC服務(wù)時(shí)已對(duì)用戶進(jìn)行了認(rèn)證，則此處不再進(jìn)行RADIUS認(rèn)證。本例中，use-radius是方法列表名，它定義了一個(gè) 必要才進(jìn)行的（if-needed）認(rèn)證方法。aaaauthorizationexecradiusEXEC。-20aaa author

36、ization network radiusNETWORK（PPP、SLIP）。AAARADIUSAAAaaa authorization network radiusNETWORK（PPP、SLIP）。AAARADIUSAAAradius-serverhostradius-server key myRaDiUSpassWoRd username root passwordAlongPassword aaaauthenticationpppdialinsradiuslocal aaa authentication login admins localline1loginauthenticati

37、onerface async0/encappppauthenticationpapradius-serverhostRADIUSIPradius-server aaa authentication ppp dialins radius localdialins，它指pppauthenticationpapdialinsdialinsaaa authentication login admins local loginauthenticationadminsadmins-21第3TACACS+配TACACS+概權(quán)和 的能力（控TACACS+的協(xié)議操1ASCII 形第3TACACS+配TACACS

38、+概權(quán)和 的能力（控TACACS+的協(xié)議操1ASCII 形式的認(rèn)ASCII 項(xiàng)目，諸如證件號(hào)碼等，一切都是在 TACACS+服務(wù)器程序的控制之下進(jìn)行的。-222. PAPCHAP形式的認(rèn) 文中，而不是由用戶輸入，所以不用提示用戶輸入相關(guān)信息。CHAP 階段，但在處理TACACS+2. PAPCHAP形式的認(rèn) 文中，而不是由用戶輸入，所以不用提示用戶輸入相關(guān)信息。CHAP 階段，但在處理TACACS+ EXECNETWORKTACACS+配置流 令，為網(wǎng)絡(luò) 服務(wù)器和TACACS+服務(wù)器之間的所有信息交換指定加密密鑰。同一密鑰TACACS+服務(wù)器程序中進(jìn)行配置。 aaaauthentication

39、使用line 和erface命令對(duì)端口或線路運(yùn)用所定義的方法列表與此相關(guān)的TACACS+配置任務(wù)列-23服務(wù)器之間的網(wǎng)絡(luò)連接中。如果收到ERROR回應(yīng)，一般情況下，網(wǎng)服務(wù)器會(huì)試著使用法對(duì)用戶進(jìn)行認(rèn)證TACACS+配置任指定 TACACS+服務(wù)tacacs server命令使你能夠指定TACACS+IP配置的順序搜索主機(jī)，這一特色對(duì)于設(shè)置不同的服務(wù)器優(yōu)先級(jí)是有用的。為了指定tacacsserver 的 TACACS操作，可能更有效。TACACS+配置任指定 TACACS+服務(wù)tacacs server命令使你能夠指定TACACS+IP配置的順序搜索主機(jī)，這一特色對(duì)于設(shè)置不同的服務(wù)器優(yōu)先級(jí)是有用的

40、。為了指定tacacsserver 的 TACACS操作，可能更有效。multi-connection 則是指示采用多條 TCP portTACACS+TCP49是timeout參數(shù)，指定路由器等待服務(wù)器回應(yīng)的時(shí)間上限（keytacacs server tacacs timeout 命令設(shè)置的全局超時(shí)值； 使用 tacacs servertacacskey本命令配置唯一的 TACACS+連接來(lái)加強(qiáng)網(wǎng)絡(luò)的安全性。設(shè)置 TACACS+加密密為了成功地進(jìn)行加密，必須對(duì) TACACS+指定使用 TACACS+進(jìn)行認(rèn)TACACS+AAAaaa信息，請(qǐng)參見(jiàn)“認(rèn)證配置”-24tacacskeytacacss

41、erverip-single-connection| multi-connection eger timeoutegerkeystring指定使用 TACACS+進(jìn) 權(quán)配置”指指定使用 TACACS+進(jìn) 權(quán)配置”指定使用 TACACS+進(jìn)使得能夠用戶正在使用的服務(wù)以及他們消耗的網(wǎng)絡(luò)資源的數(shù)量。由于AAAaaa accountingTACACS+配置示TACACS+認(rèn)證示 aaaauthenticationppptesttacacs+local tacacs server tacacskeyerialpppauthenticationchappapaaa authentication 命令定義了

42、運(yùn)行 PPP 的串口上使用的認(rèn)證方法列表 test。關(guān)鍵字 tacacs+意味著認(rèn)證通過(guò) TACACS+進(jìn)行，如果 TACACS+ERRORlocaltacacsserverTACACS+IPtacacskey命令定義共享testkey。erface命令選擇端口，pppauthecticationtest而default：aaaauthenticationpppdefaultif-neededtacacs+local tacacs-server host tacacs-serverkeyerialpppauthentication-25aaa authentication 命令定義運(yùn)行 PPP

43、 的串口上使用認(rèn)證方法列表 default。關(guān)鍵字 if-neededPPP認(rèn)證就不再必要；tacacs+TACACS+TACACS+在ERRORlocal指示使用網(wǎng)絡(luò)tacacsserverTACACS+IPtacacskey命令定義aaa authentication 命令定義運(yùn)行 PPP 的串口上使用認(rèn)證方法列表 default。關(guān)鍵字 if-neededPPP認(rèn)證就不再必要；tacacs+TACACS+TACACS+在ERRORlocal指示使用網(wǎng)絡(luò)tacacsserverTACACS+IPtacacskey命令定義goaway。ppp aaaauthenticationpppdefa

44、ultif-neededtacacs+local aaa authorization network default tacacs+tacacsservertacacskeyerialpppauthenticationpppauthorizationaaa authentication PPP default。關(guān)鍵字 ERRORlocal指示使用網(wǎng)絡(luò)aaaauthorizationTACACS+。tacacsserverTACACS+IP。tacacs key命令定義共享的加密密鑰為 goaway。 PPP認(rèn)證的方法列表使用TACACS+：aaaauthenticationpppdefault

45、if-neededtacacs+local aaa accounting network default stop-only tacacs+ tacacs server tacacskeyerialpppauthenticationpppaccounting-26aaa authentication PPP 協(xié)議使用的認(rèn)證方法列表defaultif-needed 意PPPtacacs+TACACS+TACACS+在認(rèn)證期間返回某aaa authentication PPP 協(xié)議使用的認(rèn)證方法列表defaultif-needed 意PPPtacacs+TACACS+TACACS+在認(rèn)證期間返回某

46、ERRORlocal 服tacacsserverTACACS+IP。tacacs key命令定義共享的加密密鑰為 goaway。erface ppp authectication pppaccounting-27第4IPSec （例如 ernet）IPSecIPSec的設(shè)備（例如本公司路由器）IP 包進(jìn)行保護(hù)和驗(yàn)證。IPSec數(shù)性IPSec發(fā)送方在通過(guò)網(wǎng)絡(luò)傳輸報(bào)文前對(duì)報(bào)文進(jìn)行加密第4IPSec （例如 ernet）IPSecIPSec的設(shè)備（例如本公司路由器）IP 包進(jìn)行保護(hù)和驗(yàn)證。IPSec數(shù)性IPSec發(fā)送方在通過(guò)網(wǎng)絡(luò)傳輸報(bào)文前對(duì)報(bào)文進(jìn)行加密數(shù)據(jù)來(lái)源驗(yàn)證IPSecIPSec抗重播IPSec

47、有了 。IPSec命令的完整闡述，請(qǐng)參閱“IPSec IPSecIPSec 完整性、數(shù)據(jù)驗(yàn)證的一種開(kāi)放標(biāo)準(zhǔn)框架。IPSec IP IKEIPSec 使IKEIPSec 起使用的。IKEIPSec IPSec IPSec ernet-284.1.3DES3DES IV168DES-CBC。3DESDES （AES4.1.3DES3DES IV168DES-CBC。3DESDES （AESNIST標(biāo)準(zhǔn)。AES 意在執(zhí)行一種未分類的、公開(kāi)于眾的對(duì)稱加密算法。AES DES更加安全。AES256 位。 SHA（HMAC變量）SHA是一種散列算法。HMAC是一個(gè)用于對(duì)數(shù)據(jù)進(jìn)行驗(yàn)本公司路由的IPSec還支

48、持下列這些標(biāo)準(zhǔn) 包（隧道模式。AHESPRFC2402ESPIP 完整性等安全服務(wù)。ESP可用來(lái)保護(hù)一個(gè)上層協(xié)議（傳輸模式）數(shù)據(jù)包（隧道模式RFC2406現(xiàn)階段，IPSec IP IPSec 工作組還沒(méi)有從事組密鑰分布IPSec（NT，那么應(yīng)該配置靜態(tài)NATIPSec正常工作。總而言之，NAT翻譯必須在路由器進(jìn)IPSec 封裝之前進(jìn)行；換句話說(shuō)，IPSec 應(yīng)該使用全局地址。IPSecIPSec得IPSec 和算法將被應(yīng)用于敏感報(bào)文，同時(shí)指定了 IPSec 兩端將使用到的密鑰。安全的，每個(gè)安全性協(xié)議（AH 或ESP）都分別建立。IPSec -29列表中的第一條permit規(guī)則時(shí)，并且相應(yīng)的加。

49、如果加列表中的第一條permit規(guī)則時(shí)，并且相應(yīng)的加。如果加 IKE 時(shí)，需要重新協(xié)商（這提供了一層附加的安全性IPSec IPSec IPSec加密表進(jìn)行處理如果一個(gè)未加密報(bào)文匹配了和一個(gè) 列表中的 permitIPSec IPSecIPSec安全協(xié)IPSecIPSecIPSecIPSec 隧道。在下圖所示的例子中，路由器 A 使用 IPSec 對(duì)去往路由器 C 的通信進(jìn)行封裝（路由器CIPSec對(duì)端AIPSec對(duì)這個(gè)通信B。4-1IPSec， -30IKEIPSec IPSec確列表和IPSec相兼加列表技在加列表中使用any關(guān)鍵表表表IKE表確列表和IPSec相兼IKEIKEIPSec

50、IPSec確列表和IPSec相兼加列表技在加列表中使用any關(guān)鍵表表表IKE表確列表和IPSec相兼IKEUDP500。PAHIP50、51問(wèn)列表時(shí)，IPSec50、51UDP500開(kāi)啟/id，idip地址作為驗(yàn)ip fqdn,dn 等。-31cypto打開(kāi)協(xié)商功ididididid 和一般列表不同，一般列表用于決定一個(gè)接口上的哪些通信可以通過(guò)，IPSecIPSec進(jìn)行保護(hù)的出報(bào)文（permit 為保護(hù) ididididid 和一般列表不同，一般列表用于決定一個(gè)接口上的哪些通信可以通過(guò)，IPSecIPSec進(jìn)行保護(hù)的出報(bào)文（permit 為保護(hù) IPSec 保護(hù)而沒(méi)有受到保護(hù)的通IPSecIK

51、EIPSec，另一種報(bào)文使 表中，這些加表設(shè)定了不同的IPSec策略 -32ips-listextended進(jìn)入的擴(kuò)展列表配置模式允許命令設(shè)規(guī)則deny命令設(shè)規(guī)則protocol ource-mask cryptoidentification進(jìn)入的idfqdndn配置一個(gè)dn類型的表一條規(guī)則，IPSec在加列表中使用any關(guān)鍵列表的時(shí)候，使用any關(guān)鍵字可能會(huì)帶來(lái)問(wèn)題。所以不提倡用any關(guān)鍵IPSecpermitany關(guān)鍵字； any表一條規(guī)則，IPSec在加列表中使用any關(guān)鍵列表的時(shí)候，使用any關(guān)鍵字可能會(huì)帶來(lái)問(wèn)題。所以不提倡用any關(guān)鍵IPSecpermitany關(guān)鍵字； any關(guān)鍵字

52、將導(dǎo)致多點(diǎn)傳送失敗。permit any any語(yǔ)句尤其不宜使用，因?yàn)檫@將導(dǎo)致所有IPSec安全I(xiàn)KE clear crypto sa命令將安全-33 定義一個(gè)變換集合執(zhí)行此命令將進(jìn)入加密變換配置態(tài)。transform-typetransform1 modetunnel|表表IPSecIPSec保護(hù)（列表IPSecIPSecIPSec安全策略（從一個(gè)或多個(gè)變換集合中選擇是手工建立還是通過(guò) IKE 建其他可能用于定義 IPSec 安-34AH ESP表表IPSecIPSec保護(hù)（列表IPSecIPSecIPSec安全策略（從一個(gè)或多個(gè)變換集合中選擇是手工建立還是通過(guò) IKE 建其他可能用于定義

53、IPSec 安-34AH ESPESP采用DES的 ESP加密算帶 ESP 采用 3DES的ESP加密帶 ESP 采用AES的 ESP加密算采用AES的 ESP加密算采用AES的 ESP加密算具有相同加表名（序列號(hào)不同） 表指定了使用IKE，將根據(jù)該加密IPSecIPSecIPSecIPSec通信能夠順利進(jìn)行，兩端的加密時(shí)，雙方都必須至少有一條加密具有相同加表名（序列號(hào)不同） 表指定了使用IKE，將根據(jù)該加密IPSecIPSecIPSecIPSec通信能夠順利進(jìn)行，兩端的加密時(shí)，雙方都必須至少有一條加密表對(duì)于單個(gè)接口可以只應(yīng)用一個(gè)加密表集合。 加密表集合中包含了的 seq-num 參數(shù)將這些

54、排序；seq-num 優(yōu)先級(jí)對(duì)通信進(jìn)行判斷。如果存在下面幾種情況中的一種，就必須為一個(gè)接口如果不同的數(shù)據(jù)報(bào)文將由不同的 IPSec 對(duì)端進(jìn)行處理列permit表手工安的使用是本地路由器和IPSec 對(duì)端管理員之間預(yù)先安排的結(jié)果。雙方可IKE IPSec-35路由器可以同時(shí)支持手工建立安，又支持IKE建立安。創(chuàng)建使用IKE的加IKE-36路由器可以同時(shí)支持手工建立安，又支持IKE建立安。創(chuàng)建使用IKE的加IKE-36matchaddress設(shè)置IPSec 列表。這個(gè) 列表決定哪些密 表中定義的IPSec安全性的保護(hù)。idid-setpeer ip-設(shè)置變換集合, 可以指定不多于六個(gè)加密match

55、address設(shè)置IPSec 列表。這個(gè) 列表決定哪些密 表中定義的IPSec安全性的保護(hù)。setpeerip- 設(shè)置變換集合（對(duì)于ipsec-manual加密表，只能指定一個(gè)變換集合。對(duì)于set security-asso tion inbound ah spi hex-key-data set security-asso tion outbound ah spi hex-key-dataAH安全 將用于保護(hù)報(bào)文。 tioninboundespcipherhex-key-datahex-key-data和set security-assooutbound esp spi cipher hex

56、-key-data authenticator hex-key-dataS要使用這條命令來(lái)為出和入報(bào)文設(shè)置EP安EP條命令手工指定了ESP安全 將用于保護(hù)通信。退出加可以將同一加表集合應(yīng)用于多個(gè)接口IKEIPSec定義加列ips-listextended 可以將同一加表集合應(yīng)用于多個(gè)接口IKEIPSec定義加列ips-listextended 開(kāi)啟協(xié)商功crypto定義id配cryptoidentificationfqdn定義變換集cryptoipsectransform-set-37cryptomapmap-將加表集合應(yīng)用于接口set security-asso tion lifetime

57、seconds seconds或setsecurity-asso tionlifetime kilobytes kilobytessetpfsgroup1|（可選）指定IPSec使用此加密 表申請(qǐng)新安全 時(shí)，同時(shí)申請(qǐng)理想轉(zhuǎn)發(fā)安全機(jī)制，還 加表設(shè)置列表和變換集合 加表設(shè)置列表和變換集合，并指定加密報(bào)文發(fā)往何處（IPSec 對(duì)端cryptomaptoShanghai100ipsec-isakmp match address aaasettransform-setone set peer id將加表作用于接ipaddresscryptomap-38第5ernet標(biāo)準(zhǔn)一起使用。IPSecIKEIKE

58、IPSec 的功能。IKE 及第5ernet標(biāo)準(zhǔn)一起使用。IPSecIKEIKE IPSec 的功能。IKE 及OakleySkemeIKE實(shí)現(xiàn)的安全協(xié)議IKEIKEIPSec安全（SA IKEIPSecIKEIPSecIKEIPSecIKEIPSecIKE據(jù)驗(yàn)證IPSec 在 IP 層提供這些安全服務(wù)使用 IKE 來(lái)協(xié)商協(xié)議及算IPSecIKEISAKMPOakleySkeme密鑰交換協(xié)議，可以與IPSec 協(xié)議一起使用。IKE IPSecIPSec。Oakley-39（DES man密。與一起使用建立會(huì)話密鑰。支持比特和比特man（DES man密。與一起使用建立會(huì)話密鑰。支持比特和比特m

59、an確列表與IKE兼IKEIKE連接（可選（可選IKEIKE 協(xié)商使用端口500 的UDP。確保UDP 500 的通IKE IPSec 使用的接口上不被 。在有些情況下需要在 列表中增加一條規(guī)則來(lái)明確地允許UDP500IKEIPSecIKEIKEIKEIKE-40IKEIKE創(chuàng)建策略的原IKEIKE IKE 策略開(kāi)始。這個(gè)策略描IKE 協(xié)商。在兩端達(dá)成公共的一個(gè)IKE策略后，該策略的安全參數(shù)由每端建立的ISAKMP安全I(xiàn)KEIKE創(chuàng)建策略的原IKEIKE IKE 策略開(kāi)始。這個(gè)策略描IKE 協(xié)商。在兩端達(dá)成公共的一個(gè)IKE策略后，該策略的安全參數(shù)由每端建立的ISAKMP安全將應(yīng)用于所有的后續(xù)I

60、KE 通信。策略中定義的參IKE-4156DES-56DES-128位AES-192位AES-256位AES-SHA-SHA- RSA 實(shí)時(shí)加密768比特1024比特12768比特可以指定60到86400秒之間任-86400 (一天IKE 如何達(dá)成匹配的策IKE協(xié)商開(kāi)始時(shí)，IKEIKE 策略。發(fā)起協(xié)商端將其所有的策略如果找到一種匹配的策略，IKEIPSec。確定策略參數(shù)加密算法有兩個(gè)選擇：56DES-CBC1683DES-CBC。3DES-CBC哈希算法有兩個(gè)選項(xiàng)：SHA-1IKE 如何達(dá)成匹配的策IKE協(xié)商開(kāi)始時(shí)，IKEIKE 策略。發(fā)起協(xié)商端將其所有的策略如果找到一種匹配的策略，IKEIP