07-安全配置命令 使用说明 我们路由器配置的密码中不能包括空格,即在使用 enable password命令时,如果需要 直接输入密码明文时,不能输入空格。密码明文的长度不能超过126个字符。 当没有输入 l evel参数时,缺省认为是第15级。特权级别越大拥有的权限越大。若某个 特权级别没有配置密码,则当用户进入此级别时将不进行认证。 目前我们路由器系统中所支持的 encryption-type只有两种,在命令中的参数分别为0和 7,0代表0表示不加密,后面的 encrypted- password直接输入密码的明文,这种方法和 不加 encryption-type而直接输入 password参数的方法效果相同:7表示使用一种本公司 自定义的算法来进行加密,后面的 encrypted- password需要输入加密后的密码密文,这 个密文可以从其他路由器的配置文件中拷贝出来。 示例 下面的示例增加特权级别10的密码为 clever,采用的 encryption-type为0,即密码明文 方式 下面的示例增加了缺省特权级别(15级)的密码为 Oscar,采用的 encryption-type为7, 即加密方法,需要输入密码密文 enable password 7074A05190326 假设 Oscar的密文为074A05190326,该密文的值是从其他路由器上的配置文件中获得 的 相关命令 aaa authentication enable default service password-encryption 1.1.11 ppp authentication 要使用CHAP或PAP(或者同时使用这两种协议),并且指定该接口选择CHAP和PAP 认证的次序,可使用配置命令 ppp authentication。使用该命令的no形式关闭这种认证 ppp authentication Chap I chap pap I pap chap I pap ms-chap [ist-name I default][callin no ppp authentication 参数 参数 参数说明 chap 在串行接口上激活CHAP
07-安全配置命令 使用说明 我们路由器配置的密码中不能包括空格,即在使用 enable password 命令时,如果需要 直接输入密码明文时,不能输入空格。 密码明文的长度不能超过 126 个字符。 当没有输入 level 参数时,缺省认为是第 15 级。特权级别越大拥有的权限越大。若某个 特权级别没有配置密码,则当用户进入此级别时将不进行认证。 目前我们路由器系统中所支持的 encryption-type 只有两种,在命令中的参数分别为 0 和 7,0 代表 0 表示不加密,后面的 encrypted-password 直接输入密码的明文,这种方法和 不加 encryption-type 而直接输入 password 参数的方法效果相同;7 表示使用一种本公司 自定义的算法来进行加密,后面的 encrypted-password 需要输入加密后的密码密文,这 个密文可以从其他路由器的配置文件中拷贝出来。 示例 下面的示例增加特权级别 10 的密码为 clever,采用的 encryption-type 为 0,即密码明文 方式: enable password 0 clever level 10 下面的示例增加了缺省特权级别(15 级)的密码为 Oscar,采用的 encryption-type 为 7, 即加密方法,需要输入密码密文: enable password 7 074A05190326 假设 Oscar 的密文为 074A05190326,该密文的值是从其他路由器上的配置文件中获得 的。 相关命令 aaa authentication enable default service password-encryption 1.1.11 ppp authentication 要使用 CHAP 或 PAP(或者同时使用这两种协议),并且指定该接口选择 CHAP 和 PAP 认证的次序,可使用配置命令 ppp authentication。使用该命令的 no 形式关闭这种认证。 ppp authentication {chap | chap pap | pap chap | pap | ms-chap} [list-name | default] [callin] no ppp authentication 参数 参数 参数说明 chap 在串行接口上激活CHAP。 - 12 -
07-安全配置命令 在串行接口上激活PAP chap pap 同时激活CHAP和PAP,在执行PAP认证之前,先执行CHAP认证。 pap chap 同时激活CHAP和PAP,在执行CHAP认证之前,先执行PAP认证 在串行接口上激活CHAP的微软版本( MS-CHAP)。 ist-name 与AAA一起使用。指定要使用的认证方法列表的名称。如果没有指定列表名 称,则系统使用缺省列表。该列表是由 aaaa uthentication ppp命令创建的。 (可选) default 由 aaa authentication pppi命令创建的方法列表的名称。(可选) allin 指定只对拨入呼叫进行认证。(可选) 警告: 如果使用了未经 aaa authentication ppp命令配置的方法列表,在该接口上将无法运行PPP。 缺省 不激活PPP认证 命令模式 接口配置态 使用说明 在激活CHAP或PAP认证(或同时激活这两种认证)时,本地路由器要求远程设备在允 许数据传输之前证明其身份。PAP认证要求远程设备发送名称和口令,将名称和口令与 本地用户名称数据库或远程安全服务器数据库中匹配的项进行对照。CHAP认证向远程 设备发送一条询问信息。该远程设备对询问信息使用共享密钥加密,在应答消息中返回 加密后的值和其名称给本地路由器。本地路由器使用存储在本地用户名数据库或远程安 全服务器数据库中与远程设备的名称相关的秘密信息进行匹配:它使用存储的密钥加密 原始的询问信息,验证加密的值是否匹配。 可以任意次序激活PAP或CHAP(或二者)。如果同时激活了这两种方法,则在链接会话 期间要求的是所指定的第一种方法。如果终端建议使用第二种方法,或者拒绝了第一种 方法,则尝试使用第二种方法。有些远程设备只支持CHAP,而另一些远程设备只支持 PAP。基于远程设备与合适的方法之间正确地会话的能力和所要求的数据线路安全级别来 指定所用方法的次序。PAP的用户名称和口令是作为明文字符串发送的,这样可能被中 途截获并重新使用。CHAP消灭了大部分已知的安全漏洞。 激活或关闭PPP认证不影响本地路由器向远程设备认证自身的能力。 如果在TTY线路上使用自动选择,可以使用 ppp authentication命令为对应的接口打开 PPP认证
07-安全配置命令 pap 在串行接口上激活PAP。 chap pap 同时激活CHAP和PAP,在执行PAP认证之前,先执行CHAP认证。 pap chap 同时激活CHAP和PAP,在执行CHAP认证之前,先执行PAP认证。 ms-chap 在串行接口上激活CHAP的微软版本(MS-CHAP)。 list-name 与AAA一起使用。指定要使用的认证方法列表的名称。如果没有指定列表名 称,则系统使用缺省列表。该列表是由aaaa uthentication ppp命令创建的。 (可选) default 由aaa authentication ppp命令创建的方法列表的名称。(可选) callin 指定只对拨入呼叫进行认证。(可选) 警告: 如果使用了未经 aaa authentication ppp 命令配置的方法列表,在该接口上将无法运行 PPP。 缺省 不激活 PPP 认证 命令模式 接口配置态 使用说明 在激活 CHAP 或 PAP 认证(或同时激活这两种认证)时,本地路由器要求远程设备在允 许数据传输之前证明其身份。PAP 认证要求远程设备发送名称和口令,将名称和口令与 本地用户名称数据库或远程安全服务器数据库中匹配的项进行对照。CHAP 认证向远程 设备发送一条询问信息。该远程设备对询问信息使用共享密钥加密,在应答消息中返回 加密后的值和其名称给本地路由器。本地路由器使用存储在本地用户名数据库或远程安 全服务器数据库中与远程设备的名称相关的秘密信息进行匹配;它使用存储的密钥加密 原始的询问信息,验证加密的值是否匹配。 可以任意次序激活 PAP 或 CHAP(或二者)。如果同时激活了这两种方法,则在链接会话 期间要求的是所指定的第一种方法。如果终端建议使用第二种方法,或者拒绝了第一种 方法,则尝试使用第二种方法。有些远程设备只支持 CHAP,而另一些远程设备只支持 PAP。基于远程设备与合适的方法之间正确地会话的能力和所要求的数据线路安全级别来 指定所用方法的次序。PAP 的用户名称和口令是作为明文字符串发送的,这样可能被中 途截获并重新使用。CHAP 消灭了大部分已知的安全漏洞。 激活或关闭 PPP 认证不影响本地路由器向远程设备认证自身的能力。 如果在 TTY 线路上使用自动选择,可以使用 ppp authentication 命令为对应的接口打开 PPP 认证。 - 13 -
07-安全配置命令 S-CHAP是CHAP的微软版本。与CHAP的标准版一样, MS-CHAP用于PPP认证 在这种情况下,在一台使用 Microsoft windows nt或 Microsoftwindows95的PC机与 本公司路由器或用作网络访问服务器的访问服务器之间进行认证 激活或关闭PPP认证不影响本地路由器是否自动向远程设备认证自身 如果在TTY线路上使用自动选择,则可能会希望使用 ppp authentication命令为对应的 接口激活PPP认证。 示例 下面的示例在异步接口4上激活CHAP,使用认证列表M| S-access nterface async 4 encapsulation ppp ppp authentication chap MIS-access 相关命令 aaa authentication ppp username 1.1.12 ppp chap hostname 要创建一个在CHAP认证时以同一主机形式出现的拨号路由器组,使用接口配置命令ppp chap hostname。要关闭这个功能,使用该命令的no形式。 ppp chap hostname hostname no ppp chap hostname hostname 参数 参数 参数说明 hostname 在CHAP询问中发送的名字 缺省 无效。路由器的名字在任何CHAP询问中发送 命令模式 接口配置态
07-安全配置命令 MS-CHAP 是 CHAP 的微软版本。与 CHAP 的标准版一样,MS-CHAP 用于 PPP 认证; 在这种情况下,在一台使用 Microsoft Windows NT 或 MicrosoftWindows 95 的 PC 机与 本公司路由器或用作网络访问服务器的访问服务器之间进行认证。 激活或关闭 PPP 认证不影响本地路由器是否自动向远程设备认证自身。 如果在 TTY 线路上使用自动选择,则可能会希望使用 ppp authentication 命令为对应的 接口激活 PPP 认证。 示例 下面的示例在异步接口 4 上激活 CHAP,使用认证列表 MIS-access: interface async 4 encapsulation ppp ppp authentication chap MIS-access 相关命令 aaa authentication ppp username 1.1.12 ppp chap hostname 要创建一个在 CHAP认证时以同一主机形式出现的拨号路由器组,使用接口配置命令 ppp chap hostname。要关闭这个功能,使用该命令的 no 形式。 ppp chap hostname hostname no ppp chap hostname hostname 参数 参数 参数说明 hostname 在CHAP询问中发送的名字。 缺省 无效。路由器的名字在任何 CHAP 询问中发送。 命令模式 接口配置态 - 14 -
07-安全配置命令 使用说明 当前,拨号到一组访问路由器的路由器要求这组路由器中每个可能的路由器都有一个用 户名项, 在于每个路由器都使用其用户名进行询问。如果在一组拨号路由器中增加 台路由器,则所有连接的路由器都必须进行更新。命令 ppp chap hostname允许给路 由器组中所有路由器指定一个公共的别名,这样在拨号路由器中只须配置一个用户名也 就可以了。该命令通常与本地CHAP认证一起使用(这时路由器对终端进行认证),然而 该命令也可以用于远程CHAP认证中 示例 下面示例中的命令把拨号接口0指定为拨号路由器组的首项,并且指定ppp为由所有成 员接口使用的封装方法。该示例演示了在接收呼叫中使用CHAP认证的方法,而用户名 ISPCorp将在所有CHAP询问和回应中发送 nterface dialer 0/0 encapsulation ppp ppp a ppp chap hostname ISPCorp 相关命令 aaa authentication ppp ppp authentication ppp chap password ppp chap refuse 1.1.13 ppp chap password 要在呼叫不支持该命令的路由器组的路由器上激活配置公共的CHAP秘密口令,并在响 应未知终端的询问时使用该口令,使用接口配置命令 ppp chap password。使用该命令的 no形式关闭 PPP CHAP口令。 ppp chap password secret no ppp chap password secret 参数 参数 用来计算未知终端发出的CHAP询问的回应值的秘密口令 缺省 无效
07-安全配置命令 使用说明 当前,拨号到一组访问路由器的路由器要求这组路由器中每个可能的路由器都有一个用 户名项,原因在于每个路由器都使用其用户名进行询问。如果在一组拨号路由器中增加 一台路由器,则所有连接的路由器都必须进行更新。命令 ppp chap hostname 允许给路 由器组中所有路由器指定一个公共的别名,这样在拨号路由器中只须配置一个用户名也 就可以了。该命令通常与本地 CHAP 认证一起使用(这时路由器对终端进行认证),然而 该命令也可以用于远程 CHAP 认证中。 示例 下面示例中的命令把拨号接口 0 指定为拨号路由器组的首项,并且指定 ppp 为由所有成 员接口使用的封装方法。该示例演示了在接收呼叫中使用 CHAP 认证的方法,而用户名 ISPCorp 将在所有 CHAP 询问和回应中发送: interface dialer 0/0 encapsulation ppp ppp authentication chap callin ppp chap hostname ISPCorp 相关命令 aaa authentication ppp ppp authentication ppp chap password ppp chap refuse 1.1.13 ppp chap password 要在呼叫不支持该命令的路由器组的路由器上激活配置公共的 CHAP 秘密口令,并在响 应未知终端的询问时使用该口令,使用接口配置命令 ppp chap password。使用该命令的 no 形式关闭 PPP CHAP 口令。 ppp chap password secret no ppp chap password secret 参数 参数 参数说明 secret 用来计算未知终端发出的CHAP询问的回应值的秘密口令。 缺省 无效 - 15 -
07-安全配置命令 命令模式 接口配置态 使用说明 盒在任何数导接口成步接口上使用该命的单一几来静代几个用户名和 该命令只在远程CHAP认证中使用(这时路由器对终端认证),并且不影响本地CHAP 认证。 示例 下面示例中的命令指定 ISDN BR编号为0。该接口上封装的方法为PPP。如果从终端上 接收到CHAP询问,该终端的名称没有在全局用户名列表中找到,则加密的密钥 1234567891被解密,并用来创建一个CHAP回应值。 encapsulation ppp ppp chap password 1234567891 相关命令 aaa authentication ppp ppp authentication ppp chap hostname ppp chap refuse 1.1.14 ppp chap refuse 要拒绝要求CHAP认证的终端的请求,使用接口配置命令 ppp chap refuse。使用该命令 的no形式允许CHAP认证。 ppp chap refuse[callin no ppp chap refuse [callin 参数 参数 参数说明 callin (可选)这个关键字指示路由器拒绝回答来自终端的CHAP认证询问,但仍 要求终端回答路由器发出的任何CHAP询问
07-安全配置命令 命令模式 接口配置态 使用说明 该命令允许在任何拨号接口或异步组接口上使用该命令的单一拷贝来替代几个用户名和 口令配置。 该命令只在远程 CHAP 认证中使用(这时路由器对终端认证),并且不影响本地 CHAP 认证。 示例 下面示例中的命令指定 ISDN BRI 编号为 0。该接口上封装的方法为 PPP。如果从终端上 接收到 CHAP 询问,该终端的名称没有在全局用户名列表中找到,则加密的密钥 7 1234567891 被解密,并用来创建一个 CHAP 回应值。 interface bri 0/0 encapsulation ppp ppp chap password 1234567891 相关命令 aaa authentication ppp ppp authentication ppp chap hostname ppp chap refuse 1.1.14 ppp chap refuse 要拒绝要求 CHAP 认证的终端的请求,使用接口配置命令 ppp chap refuse。使用该命令 的 no 形式允许 CHAP 认证。 ppp chap refuse [callin] no ppp chap refuse [callin] 参数 参数 参数说明 callin (可选)这个关键字指示路由器拒绝回答来自终端的CHAP认证询问,但仍 要求终端回答路由器发出的任何CHAP询问。 - 16 -