計算機(jī)網(wǎng)絡(luò)實驗手冊安全操作

第1第1章網(wǎng)絡(luò)安全配 1VRP提供的網(wǎng)絡(luò)安全特性簡 1命令行分級保 2基于RADIUS的 2包過濾和防火 2防火墻的概 2防火墻的分 31.4.3包過 4交換路由信息時的安全認(rèn) 5....................................................................2-2.1簡 1AAA概 1RADIUS協(xié)議概 2HWTACACS協(xié)議概 6AAA配 8創(chuàng)建ISP域并配置相關(guān)屬 9創(chuàng)建本地用戶并配置相關(guān)屬 RADIUS協(xié)議配 創(chuàng)建RADIUS方 配置RADIUS認(rèn)證/授權(quán)服務(wù) 配置RADIUS計費(fèi)服務(wù)器及相關(guān)屬 設(shè)置RADIUS報文的共享密 設(shè)置RADIUS請求報文的最大傳送次 設(shè)置支持的RADIUS服務(wù)器的類 設(shè)置RADIUS服務(wù)器的狀 設(shè)置發(fā)送給RADIUS服務(wù)器的用戶名格 設(shè)置發(fā)送給RADIUS服務(wù)器的數(shù)據(jù)流的單 配置NAS發(fā)送RADIUS報文使用的源地 配置RADIUS服務(wù)器的定時 HWTACACS協(xié)議配 創(chuàng)建HWTACACS方 配置HWTACACS認(rèn)證服務(wù) 配置HWTACACS授權(quán)服務(wù) 配置TACACS計費(fèi)服務(wù)器及相關(guān)屬 配置NAS發(fā)送HWTACACS報文使用的源地 配置TACACS服務(wù)器的密 i配置TACACS配置TACACS服務(wù)器的用戶名格 配置TACACS服務(wù)器的流量單 配置TACACS服務(wù)器的定時 AAA及RADIUS/HWTACACS協(xié)議的顯示和調(diào) AAA及RADIUS/HWTACACS協(xié)議典型配置舉 Telnet/SSH用戶通過RADIUS服務(wù)器認(rèn)證、計費(fèi)的應(yīng) FTP/Telnet用戶本地認(rèn)證配 PPP用戶通過TACACS服務(wù)器認(rèn)證、授權(quán)、計費(fèi)的應(yīng) Telnet用戶通過TACACS+服務(wù)器認(rèn)證（一次性認(rèn)證）、計費(fèi)的應(yīng) AAA及RADIUS/HWTACACS協(xié)議故障的診斷與排 RADIUS協(xié)議故障診斷與排 HWTACACS協(xié)議故障診斷與排 第3章訪問控制列表配 1訪問控制列表簡 1訪問控制列表概 1訪問控制列表的分 1訪問控制列表的匹配順 1訪問控制列表的創(chuàng) 2基本訪問控制列 3高級訪問控制列 4基于接口的訪問控制列 基于MAC地址的訪問控制列 ACL對分片報文的支 訪問控制列表配 配置基本訪問控制列 配置高級訪問控制列 配置基于接口的訪問控制列 配置基于MAC地址的訪問控制列 刪除訪問控制列 時間段配 創(chuàng)建/刪除一個時間 訪問控制列表的顯示與調(diào) 訪問控制列表典型配置案 第4章防火墻配 1防火墻簡 1ACL/包過濾防火墻簡 1ASPF簡 2包過濾防火墻配 5允許或禁止防火 5設(shè)置防火設(shè)置防火墻缺省過濾方 5設(shè)置包過濾防火墻分片報文檢測開 6配置分片報文檢測的上、下門限 6在接口上應(yīng)用訪問控制列 6包過濾防火墻顯示與調(diào) 7包過濾防火墻典型配置舉 7ASPF配 9允許防火 9配置訪問控制列 9定義ASPF策 9在接口上應(yīng)用ASPF策 端口映射配 ASPF顯示與調(diào) ASPF典型配置案 .................................................................................................................5-IPSec概 1IPSec協(xié)議簡 1IPSec基本概 2加密卡簡 4IPSec在VRP上的實 4IPSec配 6定義訪問控制列 7定義安全提 8創(chuàng)建安全策 配置安全策略模 在接口上應(yīng)用安全策略 配置取消對nextpayload域的檢 加密卡可選配 IPSec顯示與調(diào) VRP主體軟件IPSec的顯示與調(diào) 加密卡IPSec的顯示與調(diào) IPSec典型配置案 采用manual方式建立安全聯(lián)盟的配 采用isakmp方式建立安全聯(lián)盟的配 使用加密卡進(jìn)行加/解密和認(rèn) 1IKE協(xié)議簡 1IKE協(xié)議概 1IKE配置前準(zhǔn)備工 2IKE的配 3配置本端配置本端安全網(wǎng)關(guān)的名 3定義IKE安全提 4配置ike對等 6配置Keepalive定時 9IKE顯示與調(diào) IKE典型配置案 IKE典型配置組網(wǎng)應(yīng) IKE野蠻模式及NAT穿越的組網(wǎng)應(yīng) ADSL與IPSec/IKE相結(jié)合的組網(wǎng)應(yīng) IKE故障診斷與排 1PKI簡 17.1.1概 1相關(guān)術(shù) 2主要應(yīng) 2配置任務(wù)列 3證書申請配 3證書申請概 3進(jìn)入PKI域視 3配置信任的 4配置申請證書的服務(wù) 5配置實體命名空 6創(chuàng)建公、私密鑰 9配置查詢證書申請?zhí)幚頎顟B(tài)的重發(fā)間隔和次 配置證書申請模 手工申請證 手工獲取證 證書驗證配 證書驗證配置任務(wù)列 配置CRL發(fā)布點(diǎn)位 配置CRL更新周 配置是否必須檢查 獲取 7.3.6驗證證 顯示和調(diào) 典型配置舉 使用PKI證書方法進(jìn)行IKE協(xié)商認(rèn) 證書故障診斷與排 故障之一：獲取CA的證書失 故障之二：本地證書申請失 7.6.3故障7.6.3故障之三：CRL獲取失 v1第1提供的網(wǎng)絡(luò)安全特性簡介路由器必須防范來自公網(wǎng)上的惡意攻擊。另外，有時用戶無意識但有破壞性的訪問提供的網(wǎng)絡(luò)安全特性：基于RADIUS（RemoteAuthenticationDial-InUser1第1提供的網(wǎng)絡(luò)安全特性簡介路由器必須防范來自公網(wǎng)上的惡意攻擊。另外，有時用戶無意識但有破壞性的訪問提供的網(wǎng)絡(luò)安全特性：基于RADIUS（RemoteAuthenticationDial-InUserService）（AuthenticationAuthorization,Accounting）RADIUS服務(wù)器配合AAA服務(wù)，可以提供對接入用戶的驗證、授權(quán)和計費(fèi)安全服務(wù)，防止包過濾（PacketFilter）：用訪問控制列表實現(xiàn)，允許指定可以通過（或禁止ASPF（ApplicationSpecificPacketFilter）：據(jù)源驗證，來保證數(shù)據(jù)包在Internet上傳輸時的私有性、完整性和真實性。企業(yè)內(nèi)部設(shè)備的IP地址，阻止來自公共網(wǎng)絡(luò)上的攻擊。本章中將詳細(xì)介紹AAA及RADIUS配置、用戶口令配置、防火墻和包過濾配置等，IPSec配置，IKE配置。PPPPPP配置，日志NAT1-1基于RADIUS1基于RADIUS寫，用來實現(xiàn)訪問用戶管理功能。AAAAAA是基于RADIUS協(xié)議來實現(xiàn)的。PPPPPP定的IP地址。PPP1.4.1WebE-mail1-1圖1-1重要資源（如數(shù)據(jù)）。對受保護(hù)數(shù)據(jù)的訪問都必須經(jīng)過防火墻的過濾，即使該訪問源時，也會經(jīng)過防火墻。這樣，防火墻就起到了一個“警衛(wèi)”的作用，可以將需要一般把防火墻分為兩類：網(wǎng)絡(luò)層防火墻、應(yīng)用層防火墻。網(wǎng)絡(luò)層的防火墻主要獲取的數(shù)據(jù)。如FTP應(yīng)用網(wǎng)關(guān)，對于連接的Client端來說是一個FTPServer，1圖1-1重要資源（如數(shù)據(jù)）。對受保護(hù)數(shù)據(jù)的訪問都必須經(jīng)過防火墻的過濾，即使該訪問源時，也會經(jīng)過防火墻。這樣，防火墻就起到了一個“警衛(wèi)”的作用，可以將需要一般把防火墻分為兩類：網(wǎng)絡(luò)層防火墻、應(yīng)用層防火墻。網(wǎng)絡(luò)層的防火墻主要獲取的數(shù)據(jù)。如FTP應(yīng)用網(wǎng)關(guān)，對于連接的Client端來說是一個FTPServer，對Server端來說是一個FTPClient。連接中傳輸?shù)乃蠪TP數(shù)據(jù)包都必FTP（Open）一個連接或電路之前，驗證該會話的可靠性。只有在握手被驗證為連接表中的某一條目（Entry）時，才被允許通過。會話結(jié)束時，該會話在表在該連接上可以運(yùn)行任何一個應(yīng)用程序。以FTP1-1FTPTCP包過濾（PacketFilter）：對每個數(shù)據(jù)包按照用戶所定義的項目進(jìn)行過濾，如1FTPTCP包過濾（PacketFilter）：對每個數(shù)據(jù)包按照用戶所定義的項目進(jìn)行過濾，如211024IP地址和端口替換為路由IP地址和端口，即<私有地址+端口>與<公有地址+端口>之間的轉(zhuǎn)換。私有地址是IP地址。因特網(wǎng)地址分配組織規(guī)定將下列的IP地址被保留用作私有地址：也就是說這三個范圍內(nèi)的地址不會在因特網(wǎng)上被分配，可在一個單位或公司內(nèi)部使用。各企業(yè)根據(jù)在預(yù)見未來內(nèi)部主機(jī)和網(wǎng)絡(luò)的數(shù)量后，選擇合適的內(nèi)部網(wǎng)絡(luò)地址，不同企業(yè)的內(nèi)部網(wǎng)絡(luò)地址可以相同。如果一個公司選擇上述三個范圍之外的其它網(wǎng)1.4.31.IP包過濾（IP數(shù)據(jù)包）1-2所示（IP1-1包過圖1-22.據(jù)包不能通過。這些規(guī)則就是通過訪問控制列表（AccessControlList）用戶需要根據(jù)自己的安全策略來確定訪問控制列表，并將其應(yīng)用到整機(jī)或指定接口1包過圖1-22.據(jù)包不能通過。這些規(guī)則就是通過訪問控制列表（AccessControlList）用戶需要根據(jù)自己的安全策略來確定訪問控制列表，并將其應(yīng)用到整機(jī)或指定接口1.2.相互交換路由信息的路由器都共享一個口令字，口令字與路由信息報文一起發(fā)送，認(rèn)證的實現(xiàn)有兩種方式：明文認(rèn)證和MD5認(rèn)證。明文認(rèn)證以明文形式發(fā)送口令字安全性較低。而MD5認(rèn)證是發(fā)送加密后的口令字，MD5認(rèn)證方式安全性較高1-源/目的IP地址源/目的端口號應(yīng)用層數(shù)據(jù)流IP報頭報應(yīng)用層報頭數(shù)據(jù)2.1AAAAAAAuthentication，AuthorizationandAccounting（認(rèn)證、授權(quán)和計費(fèi)）的簡2.1AAAAAAAuthentication，AuthorizationandAccounting（認(rèn)證、授權(quán)和計費(fèi)）的簡針對以上問題，AAA1.RADIUSHWTACACS協(xié)議進(jìn)行遠(yuǎn)端認(rèn)證，由寬帶接入服務(wù)器做為Client端，與RADIUS服務(wù)器或TACACS服務(wù)器通信。對于RADIUS協(xié)議，可以采用標(biāo)準(zhǔn)RADIUS協(xié)議或華為3COM公司的擴(kuò)展RADIUS協(xié)議，與iTELLIN/CAMS等設(shè)備配合完成認(rèn)證。2.2-3.3.用戶信息。因此，AAA框架具有良好的可擴(kuò)展性，并且容易實現(xiàn)用戶信息的集中管理。AAA是一種管理框架，因此，它可以用多種協(xié)議來實現(xiàn)，VRPAAA是基于RADIUS協(xié)議或HWTACACS協(xié)議來實現(xiàn)的。RADIUS協(xié)議概RADIUSRemoteAuthenticationDial-InUserService（遠(yuǎn)程認(rèn)證撥號用戶服務(wù)）戶）。RADIUSNAS（NetworkAccessServer）服務(wù)包括三個組成部分：輸機(jī)制，并定義了1812作為認(rèn)證端口，1813作為計費(fèi)端口。服務(wù)器：RADIUS服務(wù)器運(yùn)行在中心計算機(jī)或工作站上，包含了相關(guān)的用客戶端：位于撥號訪問服務(wù)器NAS（NetworkAccessServer）側(cè)，可以遍RADIUS基于客戶/服務(wù)器模型，NAS（如路由器）作為RADIUS客戶端，負(fù)責(zé)傳輸服務(wù)器通常要維護(hù)三個數(shù)據(jù)庫：第一個數(shù)據(jù)庫“Users”用于存儲用戶信（如用戶名、口令以及使用的協(xié)議、IP地址等配置），第二個數(shù)據(jù)庫“ClientsRADIUS客戶端的信息（如共享密鑰），第三個數(shù)據(jù)庫“Dictionary”存儲的信息用于解釋RADIUS協(xié)議中的屬性和屬性值的含義。如下圖所示：2-圖2-1RADIUSRADIUSPPPPAP、CHAP認(rèn)證、基于UNIXLogin等。2.RADIUS的基本消息交互流程RADIURADIU 服務(wù)器對用戶的認(rèn)證過程通常需要利用客戶端和RADIUS服務(wù)器之間通過共享密鑰認(rèn)證相互間交互的消息，用戶密碼采用密文方式在網(wǎng)絡(luò)上傳輸，增強(qiáng)了安全性。RADIUS協(xié)議合并了認(rèn)證和授權(quán)RADIUSRADIUS用戶輸入圖2-1RADIUSRADIUSPPPPAP、CHAP認(rèn)證、基于UNIXLogin等。2.RADIUS的基本消息交互流程RADIURADIU 服務(wù)器對用戶的認(rèn)證過程通常需要利用客戶端和RADIUS服務(wù)器之間通過共享密鑰認(rèn)證相互間交互的消息，用戶密碼采用密文方式在網(wǎng)絡(luò)上傳輸，增強(qiáng)了安全性。RADIUS協(xié)議合并了認(rèn)證和授權(quán)RADIUSRADIUS用戶輸入用戶名/口令認(rèn)證請求包（Access-Request認(rèn)證接受包Access-計費(fèi)開始請求包Accounting-Request（start計費(fèi)開始請求響應(yīng)包Accounting-Respons計費(fèi)結(jié)束請求包Accounting-Request（stop計費(fèi)結(jié)束請求響應(yīng)包Accounting-Respons圖2-2RADIUSRADIUSRADIUS服務(wù)器發(fā)送認(rèn)證請求2-RADIUS服務(wù)器將該用戶信息與Users數(shù)據(jù)庫信息進(jìn)行對比分析，如果認(rèn)證成功，則將用戶的權(quán)限信息以認(rèn)證響應(yīng)包（Access-Accept）發(fā)送給RADIUS客戶端；如果認(rèn)證失敗，則返回Access-RejectRADIUS服務(wù)器將該用戶信息與Users數(shù)據(jù)庫信息進(jìn)行對比分析，如果認(rèn)證成功，則將用戶的權(quán)限信息以認(rèn)證響應(yīng)包（Access-Accept）發(fā)送給RADIUS客戶端；如果認(rèn)證失敗，則返回Access-Reject響應(yīng)包。RADIUS客戶端根據(jù)接收到的認(rèn)證結(jié)果接入/拒絕用戶。如果可以接入用戶，則RADIUS客戶端向RADIUS服務(wù)器發(fā)送計費(fèi)開始請求包（Accounting-Request），Status-Type 服務(wù)器返回計費(fèi)開始響應(yīng)包（Accounting-Response）；RADIUSRADIUS（Accounting-Request），Status-Type服務(wù)器返回計費(fèi)結(jié)束響應(yīng)包（Accounting-Response）3.RADIUS協(xié)議的報文結(jié)構(gòu)RADIUSUDPRADIUS服務(wù)器和客戶端之間交互消息正確收發(fā)。RADIUS圖2-3RADIUSRequestAuthenticator和ResponseAuthenticatorRequestAuthenticator采用16字節(jié)的隨機(jī)碼。ResponseAuthenticator以對Code、Identifier、RequestAuthenticatorLength、AttributeMD5算法后的結(jié)果。由Code域決定RADIUS報文的類型，主要包括：表2-1Code2-1Access-方向ClientServerClient將用戶信息傳輸?shù)絊erver以判斷是否接入該用戶。該報文中必須包含User-Name屬性NAS-IP-Address、User-Password、NAS-Port等屬性。2Access-Accept認(rèn)方向Server->Client，如果Access-Request準(zhǔn)Attribute域大致包括：表2-2Attribute2-1User-Framed-IPX-2User-3CHAP-4NAS-IP-Vendor-5NAS-Session-6Service-Idle-7Framed-Termination-8Framed-IP-Called-Station-9Framed-IP-Calling-Station-Framed-NAS-Filter-Proxy-Framed-準(zhǔn)Attribute域大致包括：表2-2Attribute2-1User-Framed-IPX-2User-3CHAP-4NAS-IP-Vendor-5NAS-Session-6Service-Idle-7Framed-Termination-8Framed-IP-Called-Station-9Framed-IP-Calling-Station-Framed-NAS-Filter-Proxy-Framed-Login-LAT-ServFramed-Login-LAT-NodLogin-IP-HosLogin-LAT-GLogin-Framed-AppleTalk-Login-TCP-Framed-AppleTalk-NetwoFramed-AppleTalk-40-(reservedforCallback-NumbCHAP-Callback-NAS-Port-3Access-Reject認(rèn)Server->Client，如果Access-Request4st計費(fèi)請求包Client->Server，Client將用戶信息傳輸?shù)絊erver，請求Server開始計費(fèi)，由該報文中的Acct-Status-Type屬性區(qū)分計AccessRequest報文大致相同。5nse認(rèn)證響應(yīng)包方向Server->Client，Server通知Client側(cè)已經(jīng)收到Accounting-Request報文并且已經(jīng)正確記錄計費(fèi)信息。該報文RADIUS協(xié)議具有良好的可擴(kuò)展性，協(xié)議中定義的26號屬性（Vender-Specific）圖2-4RADIUS 協(xié)議概1HWTACACSHWTACACS安全協(xié)議是在TACACS（RFRADIUS協(xié)議具有良好的可擴(kuò)展性，協(xié)議中定義的26號屬性（Vender-Specific）圖2-4RADIUS 協(xié)議概1HWTACACSHWTACACS安全協(xié)議是在TACACS（RFC1492）基礎(chǔ)上進(jìn)行了功能增強(qiáng)的一種安全RADIUSServer-ClientTACACS服AAAPPPVPDNlogin與RADIUS相比，HWTACACS具有更加可靠的傳輸和加密特性，更加適合于安HWTACACSHWTACACSTACACS服務(wù)器進(jìn)行驗證，2-HWTACACS協(xié)RADIUS協(xié)使用TCP，網(wǎng)絡(luò)傳輸更可靠使用UDP除了標(biāo)準(zhǔn)的HWTACACS報文頭，對報文主體全部進(jìn)進(jìn)行認(rèn)證，另外一個TACACS服務(wù)器進(jìn)行授權(quán)。Vendor-Vendor-specifiedattributeFramed-Login-LAT-HWTACACS圖2-5HWTACACS2HWTACACSTACACSTACACS客戶端收到回應(yīng)TACACSTACACS客戶端收到回HWTACACS圖2-5HWTACACS2HWTACACSTACACSTACACS客戶端收到回應(yīng)TACACSTACACS客戶端收到回TACACSTACACS客戶端收到授權(quán)回應(yīng)成功報文，向用戶輸出路由器的配置界面；TACACSTACACSTACACS 發(fā)送計費(fèi)結(jié)束報文，指示計費(fèi)結(jié)束報文已經(jīng)收到。2-2及RADIUS/HWTACACS協(xié)議配圖2-6Telnet在配置路由器的過程中，用戶可能會發(fā)現(xiàn)超級終端上看到的個別命令及參數(shù)在本手2.2AAA創(chuàng)建ISP域2及RADIUS/HWTACACS協(xié)議配圖2-6Telnet在配置路由器的過程中，用戶可能會發(fā)現(xiàn)超級終端上看到的個別命令及參數(shù)在本手2.2AAA創(chuàng)建ISP域2-認(rèn)證開始報認(rèn)證回應(yīng)報文，請求用戶認(rèn)證持續(xù)報文，向服務(wù)器端發(fā)用戶認(rèn)證回應(yīng)報文，請求密認(rèn)證持續(xù)報文，向服務(wù)器端發(fā)密認(rèn)證回應(yīng)報文，認(rèn)證通授權(quán)請求報授權(quán)回應(yīng)報文，授權(quán)通計費(fèi)開始報計費(fèi)開始報文回計費(fèi)結(jié)束報計費(fèi)結(jié)束報文回用戶登用戶登錄成用戶退1ISP1ISPISP（InternetServiceProvider）域？簡單點(diǎn)說，ISPISP用戶群，一個ISP域即是由同屬于一個ISP的用戶構(gòu)成的用戶群。一般說來，在后的“isp-name”（如例中的“”）即為ISP域的域名。在路由器對用戶進(jìn)行接入控制時，對于用戶名為“userid@isp-name”形式的ISP用戶，系接入的有可能是不同ISP的用戶。由于各ISP用戶的用戶屬性（例如用戶名及密碼整套單獨(dú)的ISP域?qū)傩?。Quidway系列路由器來說，每個接入用戶都屬于一個ISP域。系統(tǒng)中最多可以配16ISPISP域名，則系統(tǒng)將把它歸于缺省的ISP域。表2-4創(chuàng)建/刪除ISP2AAAradius-scheme-name如果配置了radius-schemeradius-scheme-namelocal或hwtacacs-hwtacacs-scheme-namelocallocalradiusservertacacsserver2-創(chuàng)建ISP域或進(jìn)入指定ISPdomain[isp-name|default{disableenableisp-name刪除指定的ISPundodomainisp-正常響應(yīng)后的備選認(rèn)證方案。即當(dāng)radiusservertacacsserver有效時不使地認(rèn)證；當(dāng)正常響應(yīng)后的備選認(rèn)證方案。即當(dāng)radiusservertacacsserver有效時不使地認(rèn)證；當(dāng)radiusservertacacsserver無效時，使用本地認(rèn)證。如果local作為第一方案，那么只能采用本地認(rèn)證，不能再同時采用RADIUS或HWTACACS方案。如果none作為第一方案，那么不能同時采用RADIUS或HWTACACS方案。表2-5配置ISP3ISP每個ISP域有兩種狀態(tài)：activeblock。當(dāng)指示某個ISP域處于active狀態(tài)時ISPblock狀態(tài)時，不允許該域ISP域在剛被創(chuàng)建時是處于active狀態(tài)的，即在這個時候，允許任何屬于該域的用戶請求網(wǎng)絡(luò)服務(wù)。表2-6配置ISPISPactive4.ISP表2-72-access-limit{disable|enablemax-user-numberundoaccess-設(shè)置ISPstate{active|blockscheme{radius-schemeradius-scheme-name[local]hwtacacs-schemehwtacacs-scheme-name[local]|local|noneAAAundoscheme｛radius-scheme|hwtacacs-scheme|noneISP5.在對用戶實施計費(fèi)時，當(dāng)發(fā)現(xiàn)沒有可用的計費(fèi)服務(wù)器或與計費(fèi)服務(wù)器通信失敗時，只要用戶配置了accountingoptional，即使無法實施計費(fèi)，也不會掛斷用戶。accountingoptionalscheme命令中的noneISP5.在對用戶實施計費(fèi)時，當(dāng)發(fā)現(xiàn)沒有可用的計費(fèi)服務(wù)器或與計費(fèi)服務(wù)器通信失敗時，只要用戶配置了accountingoptional，即使無法實施計費(fèi)，也不會掛斷用戶。accountingoptionalscheme命令中的none方案的區(qū)別在于，使用此命令時，系統(tǒng)仍然向計費(fèi)服務(wù)器發(fā)送計費(fèi)信息，但不管計費(fèi)服務(wù)器是否響應(yīng)，能否實none方案時，系統(tǒng)就不會向計費(fèi)服務(wù)器發(fā)送計費(fèi)信息當(dāng)然，也不會掛斷用戶。如果scheme命令中指定了采用RADIUS或HWTACACS表2-8ISPPPPIPIPIP地址池，然后在接口視圖下指定該接口給對端分配地址時使用的IP地址池（只能指定一個）。IP前兩種地址分配方式適用于不對PPP用戶進(jìn)行認(rèn)證的情況，配置方法請參見《VRP3.4PPPPPP用2-accountingundoaccounting表2-9PPP域用戶的IPIP對于域的用戶（useriduserid＠isp-name兩種用戶）分配地址的優(yōu)先表2-9PPP域用戶的IPIP對于域的用戶（useriduserid＠isp-name兩種用戶）分配地址的優(yōu)先RadiusTacacsAAA方案選擇了本地認(rèn)證方案（local）當(dāng)用戶配置了radius-schemehwtacacs-schemeradius或tacacs服務(wù)器端進(jìn)行類似的配置（是否能配置及如何配置取決于采用服務(wù)器），此1.2-PPP用戶分配IPippoolpool-numberlow-ip-[high-ip-addressundoippoolpool-表2-10創(chuàng)建/2.表2-11其中，auto表示按照用戶配置的密碼顯示方式（password命令）顯示，cipher-force表示所有接入用戶的密碼顯示必須采用密文方式。表2-12設(shè)置/2-password{simple|cipher}表2-10創(chuàng)建/2.表2-11其中，auto表示按照用戶配置的密碼顯示方式（password命令）顯示，cipher-force表示所有接入用戶的密碼顯示必須采用密文方式。表2-12設(shè)置/2-password{simple|cipher}undostate{active|blockundostate{active|blockservice-type{telnet|ssh|terminal|padundoservice-type{telnet|ssh|terminal|padlevelundo授權(quán)FTPservice-typeftp[ftp-directory恢復(fù)對FTPundoservice-typeftp[ftp-directorylocal-userpassword-display-mode{cipher-force|autolocal-useruser-undolocal-user{user-name|all系統(tǒng)缺省不對用戶授權(quán)任何服務(wù)。用戶缺省優(yōu)先級 0如果配置的認(rèn)證方式需要用戶名和口令（包括本地認(rèn)證、radius認(rèn)證及hwtacacs認(rèn)證），則用戶登錄系統(tǒng)后所能訪問的命令級別由用戶的優(yōu)先級確定。如果配置的認(rèn)證方式為不認(rèn)證或采用password認(rèn)證，則用戶登錄到系統(tǒng)后所能訪問的命令級系統(tǒng)缺省不對用戶授權(quán)任何服務(wù)。用戶缺省優(yōu)先級 0如果配置的認(rèn)證方式需要用戶名和口令（包括本地認(rèn)證、radius認(rèn)證及hwtacacs認(rèn)證），則用戶登錄系統(tǒng)后所能訪問的命令級別由用戶的優(yōu)先級確定。如果配置的認(rèn)證方式為不認(rèn)證或采用password認(rèn)證，則用戶登錄到系統(tǒng)后所能訪問的命令級 RADIUS協(xié)議配置是以RADIUS方案為單位進(jìn)行的，一個RADIUS方案在實際組網(wǎng)環(huán)境中既可以是一臺獨(dú)立的服務(wù)器，也可以是兩臺配置相同、但I(xiàn)P地址不同的主、從RADIUS 服務(wù)器。由于存在上述情況，因此每個RADIUS 方案的屬性包括：主服務(wù)器的IP地址、從服務(wù)器的IP地址、共享密鑰以及RADIUS服務(wù)器類型等。實際上，RADIUSNASRADIUSServer之間進(jìn)行信息交互ISP域視圖下指定該 協(xié)議的配置包括：2-service-typeppp[callback-nocheckcallback-numbercallback-number|call-call-number[:subcall-number]undoservice-typeppp[callback-nocheckcallback-number|call-numberRADIUSRADIUS認(rèn)證/授權(quán)服務(wù)器是必需創(chuàng)RADIUS方RADIUSRADIUS認(rèn)證/授權(quán)服務(wù)器是必需創(chuàng)RADIUS方它RADIUS協(xié)議配置之前，必須先創(chuàng)建RADIUS方案并進(jìn)入其視圖。RADIUSISP器的屬性，在屬性login-service（標(biāo)準(zhǔn)屬性15）中增加兩個取值的定義：login-service(50)=SSHlogin-service(52)=TerminalRADIUS配RADIUS認(rèn)證/授權(quán)服務(wù)器表2-14RADIUS認(rèn)證/授權(quán)服務(wù)器的IP2-primaryauthenticaitonip-[port-numberradiusschemeradius-scheme-undoradiusschemeradius-scheme-配 計費(fèi)服務(wù)器及相關(guān)屬性配 計費(fèi)服務(wù)器及相關(guān)屬性.RADIUS表2-15RADIUS計費(fèi)服務(wù)器的IP在實際組網(wǎng)環(huán)境中，可以指定2臺RADIUS服務(wù)器分別作為主、備計費(fèi)服務(wù)器；也可為了保證NASRADIUS服務(wù)器能夠正常交互，在設(shè)置RADIUS服務(wù)器的IP地址UDP端口之前，必須確保RADIUS服務(wù)器與NAS的路由連接正常。此外，由于RADIUSUDP端口來收發(fā)認(rèn)證/授權(quán)和計費(fèi)報文，因此必須將認(rèn)證/授權(quán)端口號和計費(fèi)端口號設(shè)置得不同。RFC2138/2139中建議的認(rèn)證/授權(quán)端口號為1812、計費(fèi)端口號為1813，但是也可以不選用RFC建議值（尤其是比較早期的RADIUSServer1645作為認(rèn)證/授權(quán)端口號、1646作為計費(fèi)端口號）。QuidwayRADIUSRADIUS缺省情況下，、備計費(fèi)服務(wù)器的 地址為計費(fèi)服務(wù)的UD 端口號為18132-設(shè)置主RADIUS計費(fèi)服務(wù)器的IP地址和端口號primaryaccountigip-[port-numberRADIUS計費(fèi)服務(wù)器的IPundoprimary設(shè)置從RADIUS計費(fèi)服務(wù)器的IP地址和端口號secondaryip-address[port-numberRADIUS計費(fèi)服務(wù)器的IPundosecondaryundoprimarysecondaryauthenticationip-[port-numberundosecondary2.ISP都有NASRADIUS計費(fèi)服務(wù)器。所表2-162.ISP都有NASRADIUS計費(fèi)服務(wù)器。所表2-16發(fā)5003.RADIUS服務(wù)器通常通過連接超時定時器來判斷用戶是否在線。如果RADIUS服務(wù)器長時間收不到費(fèi)。為了配合NAS端盡量與NAS傳來的實時計費(fèi)報文，它會認(rèn)為線路或設(shè)備故障并停止對用戶計RADIU RADIUS服務(wù)器同步切斷用戶連接。Quidway系列路由器提供對續(xù)實時計費(fèi)請求無響應(yīng)次數(shù)限制的設(shè)NAS向RADIUS服務(wù)時計費(fèi)請求沒有得到響應(yīng)的次數(shù)超過所設(shè)定的限度時，NAS將切斷用戶連接。表2-172-retryrealtime-accountingretry-undoretryrealtime-retrystop-accountingretry-undoretrystop-RADIUST，NAS的實時計費(fèi)間隔為tNAScount應(yīng)取為T除以t后取整的數(shù)值RADIUST，NAS的實時計費(fèi)間隔為tNAScount應(yīng)取為T除以t后取整的數(shù)值。因此，在實際應(yīng)用中，應(yīng)盡量將T設(shè)置為一個能被t整除的數(shù)。5RADIUS報文的共享密設(shè)RADIUS客戶端（即路由器）與RADIUS服務(wù)器使用MD5算法來加密RADIUS文，雙方通過設(shè)置共享密鑰來驗證報文的合法性。只有在密鑰一致的情況下，雙方RADIUS表2-18RADIUS缺省情況下，RADIUS認(rèn)證授權(quán)報文和RADIUS計費(fèi)報文的共享密鑰均為 請求報文的最大傳送次數(shù)設(shè)RADIUSUDP報文來承載數(shù)據(jù)，因此其通信過程是不可靠的。如果RADIUSNASNAS有必要向RADIUS服務(wù)器重傳RADIUS請求報文。如果累計的傳送次數(shù)超過最大傳送次數(shù)而RADIUSNASRADIUS服務(wù)器的通信已經(jīng)中斷，并將轉(zhuǎn)而向其它的RADIUS服務(wù)器發(fā)送請求報文。RADIUS表2-19RADIUS2-retryretry-RADIUSundokeyauthenticationundokeykeyaccountingundokey表2-20RADIUS缺省情況下，RADIUSstandardRADIUS服務(wù)表2-20RADIUS缺省情況下，RADIUSstandardRADIUS服務(wù)器的狀態(tài)設(shè)對于某個RADIUS方案中的主、備服務(wù)器（無論是認(rèn)證/授權(quán)服務(wù)器還是計費(fèi)服務(wù)器），當(dāng)主服務(wù)器因故障與NAS的通信中斷時，NAS會主動地轉(zhuǎn)而與從服務(wù)器交互報文。當(dāng)主服務(wù)器恢復(fù)正常后，NAS卻不會立即恢復(fù)與其通信，而是繼續(xù)與從服NAS在主服務(wù)器故障排除后迅速恢復(fù)與其通信，需要通過下面的命令手工將主服務(wù)器的狀態(tài)設(shè)為active。activeblock時，NAS將只把報文發(fā)送表2-21RADIUS如前所述，接入用戶通常以“userid@isp-name”的格式命名，“@”后面的部為ISP域名，Quidway系列路由器就是通過該域名來決定將用戶歸于哪個ISP2-設(shè)置主RADIUS認(rèn)證/授權(quán)服務(wù)器的狀態(tài)stateprimaryauthentication{block|active設(shè)置主RADIUS計費(fèi)服務(wù)器的stateprimaryaccounting{block|active設(shè)置從RADIUS認(rèn)證/授權(quán)服務(wù)器的狀態(tài)statesecondaryauthentication{blockactive設(shè)置從RADIUS計費(fèi)服務(wù)器的statesecondaryaccounting{block|active設(shè)置支持何種類型的RADIUS服務(wù)server-type{huawei|standardundoserver-但是，有些較早期的RADIUS服務(wù)器不能接受攜帶有ISP域名的用戶名，在這下，有必要將用戶名中攜帶的域名去除后再傳送給但是，有些較早期的RADIUS服務(wù)器不能接受攜帶有ISP域名的用戶名，在這下，有必要將用戶名中攜帶的域名去除后再傳送給RADIUS服務(wù)器。因此，Quidway系列路由器提供下面的命令以指定發(fā)送給RADIUS服務(wù)器的用戶名是否攜RADIUSISP域名，那么請不要在兩個乃ISPRADIUS方案，否則，會出現(xiàn)雖然實際用戶不同（ISP域中）RADIUS服務(wù)器認(rèn)為用戶相同（因為傳送到它的用設(shè)置發(fā)送給RADIUS服務(wù)器的數(shù)據(jù)流的單位QuidwayRADIUS缺省情況下，RADIUS方案默認(rèn)的發(fā)送數(shù)據(jù)單位為byte2.3.10NASRADIUS2-data-flow-formatdata{byte|giga-byte|kilo-byte|mega-byte}packet{giga-packet|kilo-packet|mega-packet|one-packet}undodata-flow-設(shè)置發(fā)送給RADIUS服務(wù)器的用user-name-format{with-domain配置RADIUS服務(wù)器的定時器1.設(shè)置RADIUS服務(wù)器應(yīng)答超時定時器如果在RADIUS請求報文（認(rèn)證/授權(quán)請求或計費(fèi)請求）傳送出去一段時間后，配置RADIUS服務(wù)器的定時器1.設(shè)置RADIUS服務(wù)器應(yīng)答超時定時器如果在RADIUS請求報文（認(rèn)證/授權(quán)請求或計費(fèi)請求）傳送出去一段時間后，NAS還沒有得到RADIUS服務(wù)器的響應(yīng)，則有必要重傳RADIUS請求報文，以保證用戶確實能夠得到RADIUS服務(wù)。RADIUS表2-25RADIUS2.配置RADIUS服務(wù)器的主服務(wù)器恢復(fù)激活狀態(tài)時間表2-26RADIUS2-timerquietundotimertimerresponse-timeoutRADIUSundotimerresponse-nas-ipip-undonas-radiusnas-ipip-undoradiusnas-3.每隔設(shè)定的時間，NAS會向RADIUS服務(wù)器發(fā)送一次在線用戶的計費(fèi)信息。表2-27其中，minutes3NASRADIUS3.每隔設(shè)定的時間，NAS會向RADIUS服務(wù)器發(fā)送一次在線用戶的計費(fèi)信息。表2-27其中，minutes3NASRADIUS服務(wù)器的性能有一定的相關(guān)性要求——取表2-28缺省情況下，實時計費(fèi)間隔為122.4HWTACACS 的配置包括：2-實時計費(fèi)間隔（分鐘36timerrealtime-accountingundotimerrealtime-HWTACASHWTACACSHWTACASHWTACACSTACACS認(rèn)證/創(chuàng)HWTACACS方在進(jìn)行其它HWTACACS 協(xié)議配置之前，必須先創(chuàng)建HWTACACS 方案并進(jìn)入其視表2-29HWTACACSHWTACACSHWTACACSHWTACACShwtacacs配HWTACACS認(rèn)證服務(wù)器2-創(chuàng)建HWTACACS方案，并進(jìn)HWTACACS視hwtacacsschemehwtacacs-scheme-刪除HWTACACSundohwtacacsschemehwtacacs-scheme-表2-30配置TACACS號缺省使用49。配HWTACACS授權(quán)服務(wù)器表2-31配置TACACS表2-30配置TACACS號缺省使用49。配HWTACACS授權(quán)服務(wù)器表2-31配置TACACSTACACSTACACS授權(quán)服務(wù)2-配置TACA 主授權(quán)服務(wù)primaryauthorizationip-address[port刪除TACA 主授權(quán)服務(wù)undoprimary配置TACA 從授權(quán)服務(wù)secondaryauthorizationip-address[port刪除TACA 從授權(quán)服務(wù)undosecondary配置TACA 主認(rèn)證服務(wù)primaryauthenticationip-address[port刪除TACA 主認(rèn)證服務(wù)undoprimary配置TACA 從認(rèn)證服務(wù)secondaryauthenticationip-address[port刪除TACA 從認(rèn)證服務(wù)undosecondary配置 計費(fèi)服務(wù)器及相關(guān)屬.表2-32HWTACACS配置 計費(fèi)服務(wù)器及相關(guān)屬.表2-32HWTACACS只有當(dāng)沒有活躍、用于發(fā)送計費(fèi)報文的TCP連接使用該計費(fèi)服務(wù)器時，才允許刪2.表2-33缺省情況下，使能停止計費(fèi)報文重傳功能，且允許停止計費(fèi)報文傳送 次配置NAS發(fā)送HWTACACS報文使用的源地2-配置NAS發(fā)送HWTACACS報文使用的源地(HWTACACS視圖nas-ipip-取消NAS發(fā)送HWTACACS報文使用的源地HWTACACS視圖undonas-retrystop-accountingretry-undoretrystop-配置TACA 主計費(fèi)服務(wù)primaryaccountingip-address[port刪除配置的TACA 主計費(fèi)服務(wù)undoprimary配置TACA 從計費(fèi)服務(wù)secondaryaccountingip-address[port刪除配置的TACA 從計費(fèi)服務(wù)undosecondary配TACACS服務(wù)器的密鑰表2-35配置TACACS配 服務(wù)器的配TACACS服務(wù)器的密鑰表2-35配置TACACS配 服務(wù)器的用戶名格式用戶名通常采用“userid@isp-name格式@”后面的部分為域名傳送給TACACS服務(wù)器。表2-36配置TACACSTACACS配TACACS服務(wù)器的流量單位2-user-name-formatwith-user-name-formatwithout-配置TACACS計費(fèi)、授權(quán)key{accounting|authorization|authentication}undokey{accounting|authorization|authentication配置NAS發(fā)送HWTACACS報文使用的源地址(系統(tǒng)視圖hwtacacsnas-ipip-取消NAS發(fā)送HWTACACS報文使用的源地址(系統(tǒng)視圖undohwtacacsnas-表2-37配置TACACSTACACS服務(wù)器的定時器配.TACACS表2-37配置TACACSTACACS服務(wù)器的定時器配.TACACS表2-38配置TACACS5.表2-39配置TACACS3.每隔設(shè)定的時間，NASTACACS2-timerquietundotimertimerresponse-timeoutundotimerresponse-配置TACACS服務(wù)器的流量data-flow-formatdata[byte|giga-byte|kilo-bytemega-bytedata-flow-formatpacket[giga-packet|kilo-packetmega-packet|one-packet恢復(fù)發(fā)送到TACACS服務(wù)器undodata-flow-format[data|packet表2-40其中，minutes3NASTACACS服務(wù)器的性能有一定的相關(guān)性要求——取表2-41缺省情況下，實時計費(fèi)間隔為12表2-40其中，minutes3NASTACACS服務(wù)器的性能有一定的相關(guān)性要求——取表2-41缺省情況下，實時計費(fèi)間隔為12完成上述配置后，在所有視圖下執(zhí)行display命令可以顯示配置后RADIUS/HWTACACS的運(yùn)行情況，通過查看顯示信息驗證配置的效果reset在用戶視圖下，執(zhí)行debugging表2-42AAA2-顯示所有或指定ISP域的displaydomain[isp-namedisplayconnection[domainisp-name|ipip-address|macmac-address|radius-schemeradius-scheme-name|ucibindexucib-index|user-nameuser-name]displaylocal-user[domainisp-name|service-type{pad|telnet|ssh|terminal|ftp|ppp}|state{active|block}|user-nameuser-name]實時計費(fèi)間隔（分鐘36timerrealtime-accountingundotimerrealtime-表2-43RADIUS表2-44HWTACACS2-顯示所有或指定HWTACACS方案的配displayhwtacacs[hwtacacs-server-[statistics]表2-43RADIUS表2-44HWTACACS2-顯示所有或指定HWTACACS方案的配displayhwtacacs[hwtacacs-server-[statistics]hwtacacs-schemehwtacacs-scheme-打開HWTACACS協(xié)議調(diào)試開關(guān)debugginghwtacacs{all|error|eventmessage|receive-packet|send-packet關(guān)閉HWTACACS協(xié)議調(diào)試開關(guān)undodebugginghwtacacs{all|error|eventmessage|receive-packet|send-packet{hwtacacs-schemehwtacacs-scheme-name清除TACA 服務(wù)器的統(tǒng)計信resethwtacacsstatistics｛accountingauthentication|authorization|alldisplayradius[radius-server-name|statisticsdisplayradiusradius-server-name|session-idsession-id|time-rangestart-timestop-time|user-nameuser-name}debuggingradiusundodebuggingradiusresetstop-accounting-buffer{radius-schemeradius-server-name|session-idsession-id|time-rangestart-timestop-time|user-nameuser-name}resetradius2.6AAARADIUS/HWTACACSTelnet/SSH用戶通過RADIUS服務(wù)器認(rèn)證、計費(fèi)的應(yīng)用SSH/Telnet用戶通過RADIUSTelnetRADIUSTACACS+FTP12.6AAARADIUS/HWTACACSTelnet/SSH用戶通過RADIUS服務(wù)器認(rèn)證、計費(fèi)的應(yīng)用SSH/Telnet用戶通過RADIUSTelnetRADIUSTACACS+FTP1.如下圖所示的環(huán)境中，現(xiàn)需要通過配置路由器實現(xiàn)RADIUSTelnetIP46RADIUS服務(wù)器交互報文時的共享密鑰為“expert”、與計費(fèi)RADIUS服務(wù)器交互報文時的共享RADIUS3COMCAMSRADIUS服務(wù)器為3COMCAMS服務(wù)器時，RADIUS方案中的server-type應(yīng)選擇huawei類型。在RADIUS服務(wù)器上設(shè)置與路由器交互報文時的共享密鑰為“expert”；設(shè)置驗證TelnetRADIUS方案中設(shè)置路由器RADIUS服務(wù)器，RADIUS服務(wù)器上添加Telnet用戶名應(yīng)為“userid@isp-name2.Authentication/AccountingServers(IPaddress:46)telnet圖2-7配置TelnetRADIUS2-3.#[Quidway-ui-vty0-4]authentication-mode[Quidway]domain3.#[Quidway-ui-vty0-4]authentication-mode[Quidway]domain[Quidway-isp-[Quidway-isp-access-limitenable10accountingoptional[Quidway]radiusscheme[Quidway-radius-[Quidway-radius-primaryauthentication46primaryaccounting461813keyauthenticationexpertkeyaccountingexpertserver-typeHuaweiuser-name-formatwith-[Quidway]domain[Quidway-isp-cams]schemeradius-schemeTelnet用戶登錄時輸入用戶名userid@cams，以使用cams域進(jìn)行認(rèn)證。FTP/Telnet1.如下圖所示的環(huán)境中，現(xiàn)需要通過配置路由器實現(xiàn)對登錄路由器的Telnet2-2.telnet圖2-8配置Telnet3.#2.telnet圖2-8配置Telnet3.#[Quidway-ui-vty0-4]authentication-mode[Quidway]local-user[Quidway-luser-telnet]service-typetelnet[Quidway-luser-telnet]passwordsimplehuawei[Quidway]domainsystem[Quidway-isp-system]scheme用戶通過 服務(wù)器認(rèn)證、授權(quán)、計費(fèi)的應(yīng)1.如下圖所示的環(huán)境中，現(xiàn)需要通過配置路由器實現(xiàn)TACACSPPPIP一臺TACACS服務(wù)器（其擔(dān)當(dāng)認(rèn)證、授權(quán)、計費(fèi)服務(wù)器的職責(zé)）與路由器相連，服務(wù)器IP地址為46，設(shè)置路由器與認(rèn)證、授權(quán)、計費(fèi)TACACS服務(wù)器交互報文時的共享密鑰均為“expert”，設(shè)置路由器除去用戶名中的域名后再將之傳給TACACS服務(wù)器。2-2.AccountingServers(IPPPP3.[Quidway]hwtacacsscheme[Quidway-hwtacacs-[Quidway-hwtacacs-primaryauthentication46primaryauthorization46accounting2.AccountingServers(IPPPP3.[Quidway]hwtacacsscheme[Quidway-hwtacacs-[Quidway-hwtacacs-primaryauthentication46primaryauthorization46accounting46keyauthenticationexpertkeyauthorizationexpertkeyaccountingexpertuser-name-formatwith-[Quidway-hwtacacs-hwtac][Quidway]domain[Quidway-isp-[Quidway-isp-schemehwtacacs-schemehwtacippool19#[Quidway]interfaceserial[Quidway-Serial0/0/0]link-protocol[Quidway-Serial0/0/0]pppauthentication-modepapdomainipaddressremoteaddresspool[Quidway-#interfaceethernet[Quidway-[Quidway-ethernet1/0/0]ipaddress602- 用戶通過TACACS+服務(wù)器認(rèn)證（一次性認(rèn)證）、計費(fèi)的應(yīng)用1.TACACS+服務(wù)器對登錄路由器的Telnet用戶進(jìn)行一次性認(rèn)證、計費(fèi)。責(zé)與路由器相連 用戶通過TACACS+服務(wù)器認(rèn)證（一次性認(rèn)證）、計費(fèi)的應(yīng)用1.TACACS+服務(wù)器對登錄路由器的Telnet用戶進(jìn)行一次性認(rèn)證、計費(fèi)。責(zé)與路由器相連，服務(wù)器IP地址10.110.91146，設(shè)置路由器與認(rèn)證TACACS+共享密鑰“expert”。TACACS服務(wù)器提供一次性口令認(rèn)證功能，路由器不從用戶名中去除用戶域名而是一起傳給TACACS服務(wù)器，故TACACS服務(wù)器上添加的2.Authentication/AccountingServers(IPaddress:46)telnet圖2-10配置Telnet用戶的遠(yuǎn)端TACACS+3.#[Quidway]user-interfacevty0[Quidway-ui-vty0-4]authentication-mode[Quidway]domain[Quidway-isp-[Quidway-isp-access-limitenableaccountingoptional[Quidway]hwtacacsscheme[Quidway-hwtacacs-system]primaryauthentication2-[Quidway-hwtacacs-[Quidway-hwtacacs-primaryaccounting46keyauthenticationexpertkeyaccountinguser-name-formatwith-domain[Quidway]domain[Quidway-hwtacacs-[Quidway-hwtacacs-primaryaccounting46keyauthenticationexpertkeyaccountinguser-name-formatwith-domain[Quidway]domain[Quidway-isp-tacacs]schemehwtacacs-配置IP地址Telnet圖2-11Telnettest@第二步：根據(jù)登錄界面上的提示信息“s/key89gf55236winkey.exe圖2-122-Challenge：框輸入服務(wù)器返回的提示信息“89gf55236”；Response：輸出的計算結(jié)果，也Challenge：框輸入服務(wù)器返回的提示信息“89gf55236”；Response：輸出的計算結(jié)果，也就是要在登錄界面上輸入的密碼。2.7AAARADIUS/HWTACACS 協(xié)議故障診斷與排除RADIUS協(xié)議在TCP/IP協(xié)議族中處于應(yīng)用層，它主要規(guī)定NAS與ISP的用戶名不是“userid@isp-nameNASISPRADIUSRADIUS服務(wù)器的數(shù)據(jù)RADIUS服務(wù)器和NAS的報文共享密鑰不同——請仔細(xì)比較兩端的共享密鑰，NAS與RADIUS服務(wù)器之間存在通信故障（可以通過在NAS上ping故障之二：RADIUS報文無法傳送到RADIUS服務(wù)器NAS上沒有設(shè)置相應(yīng)的RADIUSIP地址——請保證正確設(shè)置認(rèn)證/授權(quán)和計費(fèi)服務(wù)的UDP端口設(shè)置得不正確——請保證與RADIUS服務(wù)器RADIUS2-RADIUS計費(fèi)服務(wù)器和認(rèn)證/授權(quán)服務(wù)器不是同一臺機(jī)器，NASRADIUS計費(fèi)服務(wù)器和認(rèn)證/授權(quán)服務(wù)器不是同一臺機(jī)器，NAS卻要求認(rèn)證/授權(quán)和計費(fèi)在同一個服務(wù)器（IP地址相同）——請保證NAS的認(rèn)證/授權(quán)和計費(fèi)服務(wù)器的設(shè)協(xié)議故障診斷與排的故障現(xiàn)象與RADIUS基本相似，可以參考上面內(nèi)容。2-3第33.1這些規(guī)則就是通過訪問控制列表ACL（AccessControlList）定義的。訪問控制列表是由permit3第33.1這些規(guī)則就是通過訪問控制列表ACL（AccessControlList）定義的。訪問控制列表是由permit|deny語句組成的一系列有順序的規(guī)則，這些規(guī)則根據(jù)數(shù)據(jù)包的源地址、目的地址、端口號等來描述。ACL通過這些規(guī)則對數(shù)據(jù)包進(jìn)行分類，這些規(guī)基本的訪問控制列表（basic高級的訪問控制列表（advanced基于接口的訪問控制列表（interface-based訪問控制列表的使用用途是依靠數(shù)字的范圍來指定的，1000～1999是基于接口的訪問控制列表，2000～2999范圍的數(shù)字型訪問控制列表是基本的訪問控制列表，范圍的數(shù)字型訪問控制列表是高級的訪問控制列表，4000～499范MAC一個訪問控制列表可以由多條“permit|deny是不相同，這些規(guī)則可能存在重復(fù)或矛盾的地方，在將一個數(shù)據(jù)包和訪問控制列表3-指定了一臺主機(jī)：129102.1指定了一臺主機(jī)：129102.11，而 則指定了一個網(wǎng)段：～55，顯然前者在訪問控制規(guī)則中排在前面。具體標(biāo)準(zhǔn)為：對于基本訪問控制規(guī)則的語句，直接比較源地址通配符，通配符相同的則按配置順序；對于基于接口的訪問控制規(guī)則，配置了“any”的規(guī)則排在后面，其它按配置順序；對于高級訪問控制規(guī)則，首先比較源地址通配符，相同的再比較permit|deny語句組成的一系列的規(guī)則列表，若干個規(guī)則aclnumberacl-number[match-order{config|auto}undoacl{numberacl-number|allnumberacl-number：定義一個數(shù)字型的ACLacl-number：訪問控制規(guī)則序號。1000～1999是基于接口的訪問控制列表，范圍的數(shù)字型訪問控制列表是高級的訪問控制列表，4000～4999是基于MAC地match-orderconfigall：刪除所有配置的ACL問控制列表的匹配順序，就不能再更改該順序，除非把該ACL的內(nèi)容全部刪除創(chuàng)建了一個訪問控制列表之后，將進(jìn)入ACL視圖，ACL視圖是按照訪問控制列表的用途來分類的，例如創(chuàng)建了一個數(shù)字編號為3000的數(shù)字型ACL，將進(jìn)入高級ACL3-3[Quidway-acl-adv-一樣的，具體的各種ACL的規(guī)則的配置方法將在后面小節(jié)分別介紹?；驹L問控制列表只能使用源地址信息，做為定義訪問控制列表的規(guī)則的元素。通過上面小節(jié)介紹的acl3[Quidway-acl-adv-一樣的，具體的各種ACL的規(guī)則的配置方法將在后面小節(jié)分別介紹?；驹L問控制列表只能使用源地址信息，做為定義訪問控制列表的規(guī)則的元素。通過上面小節(jié)介紹的aclrule[rule-id]{permit|deny}[sourcesour-addrsour-wildcard|any][time-rangetime-name][logging][fragment][vpn-instancevpn-instance-name]rule-id：可選參數(shù)，ACL規(guī)則編號，范圍為0～65534。當(dāng)指定了編號，如果與編號對應(yīng)的ACL規(guī)則已經(jīng)存在，則會使用新定義的規(guī)則覆蓋舊的定義，相ACLACL系統(tǒng)自動會為這 sourceACL配符55。sour-wildcardtime-rangetime-name：訪問控制列表生效的時間段名字。VPN實例中的報文都有效；如果指定了，則表示該規(guī)則僅僅對指定的VPN實例中的報文有效。3-3ACLACL先配置了一個rule1sourceACL規(guī)則進(jìn)行編輯：3ACLACL先配置了一個rule1sourceACL規(guī)則進(jìn)行編輯：然后再對這個rule1這個時候，ACL的規(guī)則則變成：rule1denysource0undorulerule-id[source][time-range][logging][fragment][vpn-vpn-instance-namerule-id：ACLACL指定參數(shù)，則將這個ACL規(guī)則完全刪除。否則只是刪除對應(yīng)ACL規(guī)則的部分time-rangeACL規(guī)則在規(guī)定時間生效的設(shè)logging：可選參數(shù)，僅僅刪除編號對應(yīng)的ACL規(guī)則對符合條件的數(shù)據(jù)包做3.1.6高級訪問控制列表可以使用數(shù)據(jù)包的源地址信息、目的地址信息、IP承載的協(xié)議類TCP的源端口、目的端口，ICMP協(xié)議的類型、代碼等內(nèi)容定義規(guī)則?？梢岳酶呒壴L問控制列表定義比基本訪問控制列表更準(zhǔn)確、更豐acl命令，可以創(chuàng)建一個高級的訪問控制列表，同時進(jìn)入高級3-3rule[rule-id]{permit|deny}3rule[rule-id]{permit|deny}protocol[sourcesour-addrsour-wildcard|any][destinationdest-addrdest-mask|any][soucre-portoperatorport1[port2]][destination-portoperatorport1[port2]][icmp-type{icmp-message|icmp-typeicmp-code}][dscpdscp][precedenceprecedence][tostos][time-rangetime-name][logging][fragment][vpn-instance]rule-id：可選參數(shù)，ACL規(guī)則編號，范圍為0～65534。當(dāng)指定了編號，如果與編號對應(yīng)的ACL規(guī)則已經(jīng)存在，則會使用新定義的規(guī)則覆蓋舊的定義，相ACLACL系統(tǒng)自動會為這個ACL規(guī)則分配一個編號。protocolIP1～255；名sourceACL規(guī)則的源地址信息。如果不配置，表示報文的配符55。sour-wildcarddest-addr：數(shù)據(jù)包的目的地址，點(diǎn)分十進(jìn)制表示；或用“any，通配符55址，通配符55。icmp-typeICMP報文的類型和消息碼信息，僅僅在報文協(xié)議是ICMP的情況下有效。如果不配置，表示任何ICMP類型的報文都匹配。icmp-type：ICMP包可以ICMP的消息類型進(jìn)行過濾。取0～255的icmp-codeICMP的消息類型進(jìn)行過濾的ICMP包也可以依據(jù)消息碼進(jìn)行過濾。取值為0～255的數(shù)字。icmp-message：ICMP包可以依據(jù)ICMP消息類型名字或ICMP消息類型和3-3source-portUDPTCP報文的源端口信息，僅僅在規(guī)3source-portUDPTCP報文的源端口信息，僅僅在規(guī)僅在規(guī)則指定的協(xié)議號是TCP或者UDP有效。如果不指定TCP/UDPport1，port2：可選參數(shù)。TCPUDP的取值范圍為0～65535dscpdscp：指定DSCP字段（IP報文中的DS字節(jié)）。precedence：可選參數(shù)，數(shù)據(jù)包可以依據(jù)優(yōu)先級字段進(jìn)行過濾。取值為0～7tostos：可選參數(shù)，數(shù)據(jù)包可以依據(jù)服務(wù)類型字段進(jìn)行過濾。取值為0～15制列表規(guī)則的序號，數(shù)據(jù)包通過或被丟棄，IP承載的上層協(xié)議類型，源/目的time-rangetime-name：配置這條訪問控制規(guī)則生效的時間段。VPN實例中的報文都有效；如果指定了，則表示該規(guī)則僅僅對指定的VPN實例中的報文有效。ACLACL先配置了一個ACL規(guī)則rule1denyipsourceACLrule1denyipdestination這個時候，ACLrule1denyipsource0destination3-3undorulerule-id[source][destination][source-port][destination-port3undorulerule-id[source][destination][source-port][destination-port][icmp-type][dscp][precedence][tos][time-range][logging][fragment][vpn-instancevpn-instance-name]rule-id：ACLACL指定參數(shù)，則將這個ACL規(guī)則完全刪除。否則只是刪除對應(yīng)ACL規(guī)則的部分destination：可選參數(shù)，僅僅刪除編號對應(yīng)的ACL規(guī)則的目的地址部分的信設(shè)置，僅僅在規(guī)則的協(xié)議號是TCP或者UDP的情況下有效。destination-port：可選參數(shù)，僅僅刪除編號對應(yīng)的ACL規(guī)則的目的端口部TCPUDP分的信息設(shè)置，僅僅在規(guī)則的協(xié)議號是ICMP的情況下有效。precedence：可選參數(shù)，僅僅刪除編號對應(yīng)的ACLprecedence的相tosACLtostime-rangeACL規(guī)則在規(guī)定時間生效的設(shè)只有TCP和UDP協(xié)議需要指定端口范圍。支持的操作符及其語法如下表。表3-13-eqgtlt3在指定表3-23-3在指定表3-23-BorderGatewayProtocol(179)Charactergenerator(19)Remotecommands(rcmd,514)Daytime(13)DiscardDomainNameService(53)Echo(7)Exec(rsh,FingerFileTransferProtocol(21)FTPdataconnections(20)Gopher(70)NIChostnameserver(101)InternetRelayChat(194)Kerberoslogin(543)KerberosshellLogin(rlogin,PrinterserviceNetworkNewsTransportProtocol(119)PostOfficeProtocolv2(109)PostOfficeProtocolv3SimpleMailTransportProtocol(25)SunRemoteProcedu