《路由器基本知识及应用实例(DOC格式)》第31章

Login用户包括使用Telnet和超级终端登录到路由器进行配置操作的用户。对这两种用户在本地用户列表中需要用local…user　service…type命令进行授权，如果使用RADIUS服务器进行验证，需要在RADIUS服务器上设置相应用户的授权。
配置AAA的PPP验证方案
对通过与路由器或接入服务器建立PPP连接（例如拨号、PPPoE，PPPoA等），从而访问网络的用户，进行验证时使用PPP验证方案。
请在系统视图下进行下列配置。
AAA的PPP验证方案配置
操作
命令
对使用PPP服务的用户按指定方案进行验证
aaa　authentication…scheme　ppp　｛　default　｜　scheme…name　｝　＇　method1　＇　＇　method2　＇
取消PPP验证方案或恢复缺省方案为缺省验证方法
undo　aaa　authentication…scheme　ppp　｛　default　｜　scheme…name　｝
配置AAA的本地优先验证
本地优先验证配置是可选的，在未配置本地优先验证时，使用配置的验证方法表对用户进行验证。
请在系统视图下进行下列配置。
AAA的本地优先验证配置
操作
命令
本地优先验证
aaa　authentication…scheme　local…first
不使用本地优先验证
undo　aaa　authentication…scheme　local…first
缺省为不使用本地优先验证。
使用本地优先验证时，对用户首先进行本地验证，如果验证失败，再使用所配置的验证方案中的方法进行验证。
配置了本地优先验证，对所有使用了AAA的应用均起作用，包括PPP和Login均将采用本地优先验证。
配置PPP用户的IP地址
可以为PPP用户分配IP地址，首先在系统视图下配置本地IP地址池，指明地址池的地址范围；然后在接口视图下指定该接口使用的地址池。
配置本地IP地址池
配置IP地址池，主要用于为PPP用户分配IP地址。系统缺省没有本地IP地址池，如果在定义IP地址池时，没有指定结束IP地址，则该地址池中只有一个IP地址，即起始IP地址。
请在系统视图进行下列配置。
操作
命令
配置本地IP地址池
ip　pool　pool…number　first…address　＇　last…address　＇
取消本地IP地址池
undo　ip　pool　pool…number
pool…number是地址池的编号，取值范围0～99。first…address是地址池的起始IP地址，last…address是地址池的结束IP地址。
为PPP用户分配IP地址
在封装PPP的接口上，可以给对端的PPP用户分配IP地址。
请在接口视图下进行下列配置。
为PPP用户分配IP地址
操作
命令
为PPP用户分配IP地址
remote　address　｛　ip…address　｜　pool　＇　pool…number　＇　｝
取消为PPP用户分配IP地址
undo　remote　address
未指明IP地址池编号时，其缺省值为0，即remote　address　pool等同于remote　address　pool　0。在系统视图下，可使用ip　pool命令配置地址池。
配置RADIUS服务器
在系统视图下，可以配置RADIUS服务器。
RADIUS服务器配置包括配置服务器地址和监听端口，以及RADIUS协议相关的其它属性，包括共享密匙、重传次数、超时重传的时间间隔、为PPP用户指定验证服务器、服务器down机后的恢复时间等等。
配置RADIUS服务器
进行如下操作可指定RADIUS服务器的地址和监听端口号。用户可以配置多个RADIUS服务器。系统视图下最多可以配置15个RADIUS服务器。
可以配置一个主RADIUS验证服务器。配置RADIUS主服务器时，如果已经有主RADIUS服务器，则将用新配置的RADIUS服务器作为主服务器，原主服务器不再作为主服务器。
在没有指定主RADIUS服务器时，系统将根据配置时间的先后选择使用的RADIUS服务器，当一个服务器失效后，系统会自动选择下一个服务器。
在配置了主RADIUS服务器后，将首选主RADIUS服务器实现AAA。当主RADIUS服务器不能正常工作后，使用其他RADIUS服务器工作，每隔一定时间，再尝试主RADIUS服务器是否可以正常工作，如果发现其可以正常工作则马上恢复使用主RADIUS服务器。
请在系统视图下进行下列配置。
配置RADIUS　Server
操作
命令
配置RADIUS服务器IP地址（或主机名）、验证端口号
radius　server　｛　server…name　｜　server…address　｝　＇　auth…primary　＇　authentication…port　port…number　＇　＇　＇　source　interfacename　＇
取消指定的RADIUS服务器
undo　radius　server　｛　server…name　｜　server…address　｝
验证端口号的缺省值为1812，使用auth…primary可配置RADIUS服务器为主验证服务器。
在配置RADIUS服务器时可以指定向RADIUS服务器发送RADIUS报文的源地址。原地址用接口表示，一般使用Loopback接口。
4。3。1。4 配置由用户指定RADIUS服务器
可以由用户指定RADIUS服务器来对用户进行验证。这时用户名应为“userid@server”的形式，其中userid为用户名，server为使用的RADIUS服务器。
该功能要与接口上的验证方案配合使用，只有在接口上配置的验证方案的第一种方法为radius方法时，此配置才起作用。对用户进行验证时将试图使用由用户指定的RADIUS服务器，当此RADIUS服务器不能正常工作时再使用其他RADIUS服务器进行验证。
请在系统视图下进行下列配置。
配置由用户指定RADIUS服务器
操作
命令
配置由用户指定RADIUS服务器
radius　appoint…authentication　＇　restricted　＇
禁止由用户指定RADIUS服务器
undo　radius　appoint…authentication　＇　restricted　＇
restricted表示仅限使用指定的RADIUS服务器对用户进行验证。配置此选项后，当用户指定的RADIUS服务器不存在或不能工作时直接拒绝用户请求。
4。3。1。5 配置RADIUS密钥
密钥用于加密用户口令。
请在系统视图下进行下列配置。
配置RADIUS密钥
操作
命令
配置RADIUS密钥
radius　shared…key　key…string
删除RADIUS密钥
undo　radius　shared…key
所配密钥要与RADIUS服务器中设定的密钥相同。
4。3。1。6 配置RADIUS回应超时时间
对于Radius　client（如路由器）发送出去的包，如果需要Radius　server应答，则需要设置一个超时定时器，在这个设定的时间内如果没有收到Radius　server的应答，则Radius　client重发此报文。
请在系统视图下进行下列配置。
配置RADIUS回应超时时间
操作
命令
配置RADIUS回应超时时间
radius　timer　response…timeout　seconds
恢复缺省的RADIUS回应超时时间
undo　radius　timer　response…timeout
缺省RADIUS回应超时时间为5秒。
4。3。1。7 配置RADIUS重传次数
当Radius　client（如路由器）向RADIUS服务器发出AAA请求后，在规定的超时时限内未得到RADIUS服务器发回的应答时，客户端会重传AAA请求。重传AAA请求计数超出规定最大重传次数后，认为该服务器已不能正常工作。
请在系统视图下进行下列配置。
配置RADIUS重传次数
操作
命令
配置RADIUS重传次数
radius　retry　retry…times
恢复RADIUS缺省重传次数
undo　radius　retry
缺省重传次数为3。
4。3。1。8 配置RADIUS服务器宕掉后检测恢复时间间隔
在RADIUS服务器失效后，Radius　client（如路由器）过一定的时间就要检测RADIUS服务器是否回复，缺省检测周期为5分钟。
请在系统视图下进行下列配置。
配置RADIUS服务器down掉后检测恢复时间
操作
命令
配置RADIUS服务器down掉后检测恢复时间
radius　timer　quiet　minutes
恢复RADIUS服务器缺省的检测恢复时间
undo　radius　timer　quiet
设置用户属性
配置普通用户及口令
可以建立用户列表，配置用户及口令。
请在系统视图下进行下列配置。
普通用户及口令配置
操作
命令
配置用户及口令
local…user　local…user　password　｛　simple　｜　cipher　｝　password
取消用户
undo　local…user　local…user
simple代表明文，在用display　current…configuration命令显示用户信息时会显示用户明文口令；cipher代表密文，在用display　current…configuration命令显示用户信息时会显示密文。
设置用户的优先级
系统提供对命令的分级管理，即对所有命令设定一定的操作级别，只有用户的优先级等于或高于命令的级别，用户才有使用该命令的权限。