当前位置：和泉文库 > 计算机 > 《DLink认证参考资料》第八讲安全配置

《DLink认证参考资料》第八讲安全配置

访问控制是用来控制接入路由器或网络访问服务器(NAS)的用户,并限制他们可使用的服务种类。提供认证、授权和记录( Authentication, Authorization, Accounting)功能,以提高网络安全性能。

文件格式：PDF，文件大小：675.4KB，售价：14.25元

文档详细内容（约51页）

08-安全配置 142使用AAA进行PPP认证许多用户通过异步或是SDN拨号访问网络中心服务器。AAA安全服务使得在串口上大量运行PPP时的认证方法变得容易了。不管决定使用所支持的何种PPP认证方法,均可以使用 aaa authentication ppp开启AAA认证。配置时,在全局配置模式下使用下面的命令: 命令目的 aaa authentication ppp default list-name) method1 [ method2. 创建本地认证列表 interface interface-type number 进入端口配置模式,认证列表将应用于该端口上。 ppp authentication(chap|pap| chap pap将认证列表应用于某条或是某几条线路上 I pap chap)default list-name 使用 aaa authentication命令,可以创建一张或是几张认证方法列表,在用户开始运行 PPP时使用这些列表。使用 ppp authentication配置命令来应用这些列表。要创建一张缺省列表,使用 defalut参数,在其后紧跟缺省情况下想要使用的方法。例如,指定本地用户名数据库作为认证的缺省方法,输入下面的命令行 aa authentication ppp default local 关键字lst-name是用来命名所建立的列表的任何字符串。关键字 method指定认证过程所采用的实际方法。仅当前面的方法返回认证错误时,才会使用其他的认证方法。如果前面使用的方法返回认证失败,则不再使用其他的认证方法。如果指定即使所有的方法都返回错误仍能成功认证,只需在命令行中指定none作为最后一个认证方法。例如,下面例子中即使 TACACS+服务器返回错误,仍要保证认证成功,可以输入下面的命令行: aaa authentication ppp default tacacs+ none 注意: 由于关键宇none使得登录的任何用户都能成功的被认证,所以应当将该关键字作为备用的认证方法。下表列出了PPP可使用的认证方式关键字说明使用服务器组进行认证 group-restrict 使用服务器组进行认证,但当用户指定使用某台服务器后,此服务器组失效 ocal 使用本地用户名数据库认证使用本地用户名数据库进行认证(用户名区分大小写)。 none 认证无条件通过使用 RADIUS认证使用 TACACS+认证 (1)使用本地口令进行PPP认证在 aaa authentication ppp命令中,用 local关键字指定使用本地用户名数据库进行认证。例如,在运行PPP的线路上要指定本地用户名数据库为认证方法,并且不需要其他任何方法,可以输入下面的命令行:

08-安全配置 1.4.2 使用 AAA 进行 PPP 认证许多用户通过异步或是 ISDN 拨号访问网络中心服务器。AAA 安全服务使得在串口上大量运行 PPP 时的认证方法变得容易了。不管决定使用所支持的何种 PPP 认证方法，均可以使用 aaa authentication ppp 开启 AAA 认证。配置时，在全局配置模式下使用下面的命令：命令目的 aaa authentication ppp {default | list-name} method1 [method2...] 创建本地认证列表。 interface interface-type number 进入端口配置模式，认证列表将应用于该端口上。 ppp authentication {chap | pap | chap pap | pap chap} {default | list-name} 将认证列表应用于某条或是某几条线路上。使用 aaa authentication 命令，可以创建一张或是几张认证方法列表，在用户开始运行 PPP 时使用这些列表。使用 ppp authentication 配置命令来应用这些列表。要创建一张缺省列表，使用 defalut 参数，在其后紧跟缺省情况下想要使用的方法。例如，指定本地用户名数据库作为认证的缺省方法，输入下面的命令行： aaa authentication ppp default local 关键字 list-name 是用来命名所建立的列表的任何字符串。关键字 method 指定认证过程所采用的实际方法。仅当前面的方法返回认证错误时，才会使用其他的认证方法。如果前面使用的方法返回认证失败，则不再使用其他的认证方法。如果指定即使所有的方法都返回错误仍能成功认证，只需在命令行中指定 none 作为最后一个认证方法。例如，下面例子中即使 TACACS＋服务器返回错误，仍要保证认证成功，可以输入下面的命令行： aaa authentication ppp default tacacs+ none 注意：由于关键字 none 使得登录的任何用户都能成功的被认证，所以应当将该关键字作为备用的认证方法。下表列出了 PPP 可使用的认证方式：关键字说明 group 使用服务器组进行认证。 group-restrict 使用服务器组进行认证，但当用户指定使用某台服务器后，此服务器组失效。 local 使用本地用户名数据库认证。 local-case 使用本地用户名数据库进行认证(用户名区分大小写)。 none 认证无条件通过。 radius 使用RADIUS 认证。 tacacs+ 使用TACACS+ 认证。 (1) 使用本地口令进行 PPP 认证在 aaa authentication ppp 命令中，用 local 关键字指定使用本地用户名数据库进行认证。例如，在运行 PPP 的线路上要指定本地用户名数据库为认证方法，并且不需要其他任何方法，可以输入下面的命令行： - 7 -

08-安全配置 a authentication ppp default local 有关更多的增加用户到本地用户名数据库的更多信息,参见“建立本地认证数据 (2)使用RAD|US进行PPP认证在 aaa authentication ppp命令中,用 RADIUS关键字指定 RADIUS作为运行PPP 时的认证方法。例如,要指定 RADIUS为用户认证的方法,并且不需要定义其他方法,可以输入下面的命令行: aaa authentication ppp default radius 在使用RAD|Us作为注册认证方法时,需要配置 RADIUS服务,有关详细信息参见“配置 RADIUS (3)使用 TACACS+进行PPP认证在 aaa authentication ppp命令中,用 TACACS+关键字指定 TACACS+作为运行 PPP的端口的认证方法。例如,要指定 TACACS+为用户认证的方法,并且不需要定义其他方法,可以输入下面的命令行: aaa authentication ppp default tacacs+ 在能够使用 TACACS+作为PPP认证方法之前,需要首先配置 TACACS+服务,有关详细信息参见“配置 TACACS+”。 143在进入特权级别时开启口令保护使用 aaa authentication enable default命令创建一个认证方法列表,这些方法决定了某个用户是否可以执行特权级别的EXEC命令。可以至多指定四种认证方法。仅当前面所用的方法返回认证错误时,才会使用其他的认证方法。如果前面使用的方法返回认证失败,则不再使用其他的认证方法,如果指定即使所有的方法都返回错误仍能成功认证只需在命令中指定none作为最后一个认证方法。配置时,在全局配置模式下使用下面的命令: 命令目的 aaa authentication enable default method1 [method2. 在用户进入特权级别时开启口令认证。关键字 method指定认证过程使用的实际方法,在认证时依输入的次序使用。下表列出了所支持的口令保护认证方法: 关键字说明 enable 使用 enable口令认证使用服务器组进行认证使用服务器组进行认证,但当用户指定使用某台服务器后,此服务器组失效 line 使用线路口令认证 none 认证无条件通过。 radius 使用 RADIUS进行认证 acas+ 使用 TACACS+认证

08-安全配置 aaa authentication ppp default local 有关更多的增加用户到本地用户名数据库的更多信息，参见“建立本地认证数据库”。 (2) 使用 RADIUS 进行 PPP 认证在 aaa authentication ppp 命令中，用 RADIUS 关键字指定 RADIUS 作为运行 PPP 时的认证方法。例如，要指定 RADIUS 为用户认证的方法，并且不需要定义其他方法，可以输入下面的命令行： aaa authentication ppp default radius 在使用 RADIUS 作为注册认证方法时，需要配置 RADIUS 服务，有关详细信息参见“配置 RADIUS”。 (3) 使用 TACACS+进行 PPP 认证在 aaa authentication ppp 命令中，用 TACACS+关键字指定 TACACS+作为运行 PPP 的端口的认证方法。例如，要指定 TACACS+为用户认证的方法，并且不需要定义其他方法，可以输入下面的命令行： aaa authentication ppp default tacacs+ 在能够使用 TACACS+作为 PPP 认证方法之前，需要首先配置 TACACS+服务，有关详细信息参见“配置 TACACS+”。 1.4.3 在进入特权级别时开启口令保护使用 aaa authentication enable default 命令创建一个认证方法列表，这些方法决定了某个用户是否可以执行特权级别的 EXEC 命令。可以至多指定四种认证方法。仅当前面所用的方法返回认证错误时，才会使用其他的认证方法。如果前面使用的方法返回认证失败，则不再使用其他的认证方法，如果指定即使所有的方法都返回错误仍能成功认证，只需在命令中指定 none 作为最后一个认证方法。配置时，在全局配置模式下使用下面的命令：命令目的 aaa authentication enable default method1 [method2...] 在用户进入特权级别时开启口令认证。关键字 method 指定认证过程使用的实际方法，在认证时依输入的次序使用。下表列出了所支持的口令保护认证方法：关键字说明 enable 使用enable口令认证。 group 使用服务器组进行认证。 group-restrict 使用服务器组进行认证，但当用户指定使用某台服务器后，此服务器组失效。 line 使用线路口令认证。 none 认证无条件通过。 radius 使用RADIUS进行认证。 tacacs+ 使用TACACS+ 认证。 - 8 -

08-安全配置当配置了 enable认证方法为远端认证时(即配置了 group, group-restrict, radius或 tacacs+关键字时),使用 RADIUS进行认证和使用 TACACS+认证的用户名不同,下面分别介绍 (1)使用 RADIUS进行 enable认证认证的用户名为 SENABLElevelS,其中leve是指用户要进入的特权级别,即 enable 命令后的特权级别的数字,举例来说,如果某用户要进入级别为7的特权级别,需要输入命令 enable7,如果此时配置了使用RAD|Us进行认证,则提交给 Radius Server的用户名为 SENABLE7$,缺省条件下 enable进入的特权级别均为15,即在使用 RADIUS进行认证时,提交给 Radius server的用户名为 SENABLE15s。这就需要预先在 Radius Server上配置相应的用户名和密码,特别要指出的是:在 Radius Server的用户数据库中,要指明用于特权认证的用户的服务类型 ( Service-Type)为6,即 Admin-User (2)使用 TACACS+进行 enable认证: 进行 enable认证时使用的用户名为该用户登录路由器时使用的用户名,举例来说, 如果某用户登录进路由器时输入的用户名为chen,则进行 enable认证时使用的用户名也是chen,如果用户登录路由器时没有被要求认证或者认证时没有被要求输入用户名,则登录成功后该用户的用户名为 DEFAULT,需要在 TACACS+ Server 的用户数据库中进行相应设置 144改变提示输入口令时的字符串使用 aaa authentication password- prompt命令可以改变提示用户输入口令时所显示的缺省文本。这条命令不仅改变 enable口令的口令提示,也同时改变远端登录时的口令提示。该命令的no形式恢复口令提示为如下形式的缺省值: Password 命令 aaa authentication password- prompt不改变远程 TACACS+或是 RADIUS服务器所提供的任何提示信息。配置时,在全局模式下使用下面的命令命令目的 aaa authentication password- prompt 在提示用户输入口令时改变缺省的显示文本 14.5建立本地认证数据库可以创建基于用户名的本地认证系统,用于下列情况为不支持 TACACS+的网络提供像 TACACS+一样的用户名或是加密的口令认证系统提供灵活的登录环境:例如,访问列表验证、登录时自动执行( autocommand) 等情况。要建立本地用户名认证,可以在全局配置模式下,使用下面命令进行配置: 目的

08-安全配置当配置了 enable 认证方法为远端认证时（即配置了 group，group-restrict，radius 或 tacacs+关键字时），使用 RADIUS 进行认证和使用 TACACS+认证的用户名不同，下面分别介绍： (1) 使用 RADIUS 进行 enable 认证：认证的用户名为$ENABLElevel$，其中 level 是指用户要进入的特权级别，即 enable 命令后的特权级别的数字，举例来说，如果某用户要进入级别为 7 的特权级别，需要输入命令 enable 7，如果此时配置了使用 RADIUS 进行认证，则提交给 Radius Server 的用户名为$ENABLE7$，缺省条件下 enable 进入的特权级别均为 15，即在使用 RADIUS 进行认证时，提交给 Radius Server 的用户名为$ENABLE15$。这就需要预先在 Radius Server 上配置相应的用户名和密码，特别要指出的是：在 Radius Server 的用户数据库中，要指明用于特权认证的用户的服务类型（Service-Type）为 6，即 Admin-User。 (2) 使用 TACACS+进行 enable 认证：进行 enable 认证时使用的用户名为该用户登录路由器时使用的用户名，举例来说，如果某用户登录进路由器时输入的用户名为 chen，则进行 enable 认证时使用的用户名也是 chen，如果用户登录路由器时没有被要求认证或者认证时没有被要求输入用户名，则登录成功后该用户的用户名为 DEFAULT，需要在 TACACS+ Server 的用户数据库中进行相应设置。 1.4.4 改变提示输入口令时的字符串使用aaa authentication password-prompt命令可以改变提示用户输入口令时所显示的缺省文本。这条命令不仅改变 enable 口令的口令提示，也同时改变远端登录时的口令提示。该命令的 no 形式恢复口令提示为如下形式的缺省值： Password：命令 aaa authentication password-prompt 不改变远程 TACACS＋或是 RADIUS 服务器所提供的任何提示信息。配置时，在全局模式下使用下面的命令：命令目的 aaa authentication password-prompt text-string 在提示用户输入口令时改变缺省的显示文本。 1.4.5 建立本地认证数据库可以创建基于用户名的本地认证系统，用于下列情况： z 为不支持 TACACS＋的网络提供像 TACACS＋一样的用户名或是加密的口令认证系统 z 提供灵活的登录环境；例如，访问列表验证、登录时自动执行（autocommand）等情况。要建立本地用户名认证，可以在全局配置模式下，使用下面命令进行配置：命令目的 - 9 -

点击进入文档下载页（PDF格式）

共51页，可试读17页，点击继续阅读 ↓↓

您可能感兴趣的文档

点击购买下载（PDF）

下载及服务说明

购买前请先查看本文档预览页，确认内容后再进行支付；
如遇文件无法下载、无法访问或其它任何问题，可发送电子邮件反馈，核实后将进行文件补发或退款等其它相关操作；
邮箱：

文档浏览记录