路由器基本知识及应用实例(DOC格式)-第17部分

快捷操作: 按键盘上方向键 ← 或 → 可快速上下翻页 按键盘上的 Enter 键可回到本书目录页 按键盘上方向键 ↑ 可回到本页顶部! 如果本书没有阅读完，想下次继续接着阅读，可使用上方 "收藏到我的浏览器" 功能 和 "加入书签" 功能！


4。2。3。6　　切换用户级别
要从较低级别用户切换到较高级别的用户，需要输入正确的口令。
请在用户视图下进行如下操作。
切换用户级别
操作
命令
切换用户级别
super　＇　level　＇

4。2。3。7　　锁定用户界面
在用户需要暂时离开操作终端时，为防止未授权的用户操作该终端界面，可以锁定用户界面，锁定用户界面时，需要输入口令并确认口令。在解除锁定时，只有输入正确的口令才能操作用户界面。
请在用户视图下进行下列操作。
锁定用户界面
操作
命令
锁定用户界面
lock

4。2。3。8　　设置命令级别
所有命令分为参观、监控、配置、管理4个级别，标识为0～3。系统管理员可以根据需要指定命令的级别及其所在视图。
请在系统视图下进行下列配置。
命令优先级的设置
操作
命令
设置视图中命令的优先级
mand…privilege　level　level　view　view　mand…key
恢复命令的缺省优先级
undo　mand…privilege　view　view　mand…key

4。2。3。9　　显示系统状态信息
利用display命令可以收集系统状态信息，根据功能可以划分为以下几类：
*　显示系统配置信息的命令
*　显示系统运行状态的命令
*　显示系统统计信息的命令
有关各协议和各种接口的display命令请参见相关章节。下面只介绍一些有关系统的display命令。
请在所有视图下进行下列操作。
显示系统状态信息
操作
命令
显示系统版本
display　version　＇　slot…id　＇
显示系统时钟
display　clock
显示终端用户
display　users　＇　all　＇
显示起始配置信息
display　saved…configuration
显示当前配置信息
display　current…configuration
显示调试开关状态
display　debugging　＇　interface　｛　interface…type　interface…number　｜　interface…name　｝　＇　＇　module…name　＇
显示技术支持信息
display　diagnostic…information
显示设备基本信息
display　device　＇　pic…status　｜　slot…id　＇
显示设备的自检信息
display　selftest　＇　slot…id　＇
显示设备的环境信息
display　environment

在系统出现故障或日常维护时，为了便于问题定位，需要收集很多的信息，但相应的display命令很多，很难一次把信息收集全，这时可以使用display　diagnostic…information命令进行系统当前各个模块的运行信息收集。
display　diagnostic…information命令一次性收集了配置如下命令后终端显示的信息，包括：display　clock、display　version、display　cpu、display　interface、display　current…configuration、display　saved…configuration、display　history…mand等等。
4。3　　系统配置
4。3。1　　安全配置
4。3。1。1　　AAA及RADIUS协议介绍
4。3。1。1。1　　AAA的功能
AAA是Authentication（验证）、Authorization（授权）和Accounting（计费）的简称。它提供对用户进行验证、授权和计费三种安全功能。具体如下：
*　验证（Authentication）：验证用户是否可以获得访问权，确定哪些用户可以访问网络。
*　授权（Authorization）：授权用户可以使用哪些服务。
*　计费（Accounting）：记录用户使用网络资源的情况。
AAA一般采用客户/服务器结构，客户端运行于被管理的资源侧，服务器上则集中存放用户信息。这种结构既具有良好的可扩展性，又便于用户信息的集中管理。
4。3。1。1。2　　RADIUS协议
AAA可以用多种协议来实现，但最常用的是RADIUS协议。RADIUS是Remote　Authentication　Dial　In　User　Service的简称，最初用来管理使用串口和调制解调器的大量分散用户，后来广泛应用于网络接入服务器NAS（Network　Access　Server）系统。RADIUS协议规定了NAS与RADIUS服务器之间如何传递用户信息和计费信息。
RADIUS使用UDP作为传输协议，具有良好的实时性；同时也支持重传机制和多服务器机制，从而有较好的可靠性。
4。3。1。2　　NE80路由器的AAA特性
在NE80路由器中，主要应用AAA来实现对本地用户和PPP用户的管理。同时，PPP协议仅限于POS等高速接口，PPP用户数据较少，因此一般不用RADIUS服务器，而只采用本地认证。
4。3。1。3　　AAA及RADIUS配置
AAA和RADIUS的一般配置过程如下：首先使能AAA功能，并配置Login/PPP用户的验证方案，以确定用户的验证顺序；然后配置RADIUS服务器的参数和用户属性。具体配置包括：
*　使能AAA
*　配置AAA的Login验证方案
*　配置AAA的PPP验证方案
*　配置AAA的本地优先验证
*　配置PPP用户的IP地址
*　配置RADIUS　Server
*　配置用户属性
使能AAA
只有使用了使能AAA后，才能用AAA所提供的各种命令来对其进行配置。
请在系统视图下进行下列配置。
使能或禁止AAA
操作
命令
使能AAA
aaa　enable
禁止AAA
undo　aaa　enable

缺省为禁止AAA。
配置AAA的Login验证方案
这里的Login服务是指通过各种终端服务方式（如Console口、Aux口等）进入到路由器对路由器进行配置的操作。
请在系统视图下进行下列配置。
AAA的Login验证方案配置
操作
命令
配置AAA的Login验证方案
aaa　authentication…scheme　login　｛　default　｜　scheme…name　｝　＇　method1　＇　＇　method2　＇
取消AAA的Login验证方案或恢复缺省方案的缺省方法
undo　aaa　authentication…scheme　login　｛　default　｜　scheme…name　｝
Login用户包括使用Telnet和超级终端登录到路由器进行配置操作的用户。对这两种用户在本地用户列表中需要用local…user　service…type命令进行授权，如果使用RADIUS服务器进行验证，需要在RADIUS服务器上设置相应用户的授权。
配置AAA的PPP验证方案
对通过与路由器或接入服务器建立PPP连接（例如拨号、PPPoE，PPPoA等），从而访问网络的用户，进行验证时使用PPP验证方案。
请在系统视图下进行下列配置。
AAA的PPP验证方案配置
操作
命令
对使用PPP服务的用户按指定方案进行验证
aaa　authentication…scheme　ppp　｛　default　｜　scheme…name　｝　＇　method1　＇　＇　method2　＇
取消PPP验证方案或恢复缺省方案为缺省验证方法
undo　aaa　authentication…scheme　ppp　｛　default　｜　scheme…name　｝

配置AAA的本地优先验证
本地优先验证配置是可选的，在未配置本地优先验证时，使用配置的验证方法表对用户进行验证。
请在系统视图下进行下列配置。
AAA的本地优先验证配置
操作
命令
本地优先验证
aaa　authentication…scheme　local…first
不使用本地优先验证
undo　aaa　authentication…scheme　local…first

缺省为不使用本地优先验证。
使用本地优先验证时，对用户首先进行本地验证，如果验证失败，再使用所配置的验证方案中的方法进行验证。
配置了本地优先验证，对所有使用了AAA的应用均起作用，包括PPP和Login均将采用本地优先验证。
配置PPP用户的IP地址
可以为PPP用户分配IP地址，首先在系统视图下配置本地IP地址池，指明地址池的地址范围；然后在接口视图下指定该接口使用的地址池。
配置本地IP地址池
配置IP地址池，主要用于为PPP用户分配IP地址。系统缺省没有本地IP地址池，如果在定义IP地址池时，没有指定结束IP地址，则该地址池中只有一个IP地址，即起始IP地址。
请在系统视图进行下列配置。
操作
命令
配置本地IP地址池
ip　pool　pool…number　first…address　＇　last…address　＇
取消本地IP地址池
undo　ip　pool　pool…number

pool…number是地址池的编号，取值范围0～99。first…address是地址池的起始IP地址，last…address是地址池的结束IP地址。
为PPP用户分配IP地址
在封装PPP的接口上，可以给对端的PPP用户分配IP地址。
请在接口视图下进行下列配置。
为PPP用户分配IP地址
操作
命令
为PPP用户分配IP地址
remote　address　｛　ip…address　｜　pool　＇　pool…number　＇　｝
取消为PPP用户分配IP地址
undo　remote　address

未指明IP地址池编号时，其缺省值为0，即remote　address　pool等同于remote　address　pool　0。在系统视图下，可使用ip　pool命令配置地址池。
配置RADIUS服务器
在系统视图下，可以配置RADIUS服务器。
RADIUS服务器配置包括配置服务器地址和监听端口，以及RADIUS协议相关的其它属性，包括共享密匙、重传次数、超时重传的时间间隔、为PPP用户指定验证服务器、服务器down机后的恢复时间等等。
配置RADIUS服务器
进行如下操作可指定RADIUS服务器的地址和监听端口号。用户可以配置多个RADIUS服务器。系统视图下最多可以配置15个RADIUS服务器。
可以配置一个主RADIUS验证服务器。配置RADIUS主服务器时，如果已经有主RADIUS服务器，则将用新配置的RADIUS服务器作为主服务器，原主服务器不再作为主服务器。
在没有指定主RADIUS服务器时，系统将根据配置时间的先后选择使用的RADIUS服务器，当一个服务器失效后，系统会自动选择下一个服务器。
在配置了主RADIUS服务器后，将首选主RADIUS服务器实现AAA。当主RADIUS服务器不能正常工作后，使用其他RADIUS服务器工作，每隔一定时间，再尝试主RADIUS服务器是否可以正常工作，如果发现其可以正常工作则马上恢复使用主RADIUS服务器。
请在系统视图下进行下列配置。
配置RADIUS　Server
操作
命令
配置RADIUS服务器IP地址（或主机名）、验证端口号
radius　server　｛　server…name　｜　server…address　｝　＇　auth…primary　＇　authentication…port　port…number　＇　＇　＇　source　interfacename　＇
取消指定的RADIUS服务器
undo　radius　server　｛　server…name　｜　server…address　｝

验证端口号的缺省值为1812，使用auth…primary可配置RADIUS服务器为主验证服务器。
在配置RADIUS服务器时可以指定向RADIUS服务器发送RADIUS报文的源地址。原地址用接口表示，一般使用Loopback接口。
4。3。1。4　　配置由用户指定RADIUS服务器
可以由用户指定RADIUS服务器来对用户进行验证。这时用户名应为“userid@server”的形式，其中userid为用户名，server为使用的RADIUS服务器。
该功能要与接口上的验证方案配合使用，只有在接口上配置的验证方案的第一种方法为radius方法时，此配置才起作用。对用户进行验证时将试图使用由用户指定的RADIUS服务器，当此RADIUS服务器不能正常工作时再使用其他RADIUS服务器进行验证。
请在系统视图下进行下列配置。
配置由用户指定RADIUS服务器
操作
命令
配置由用户指定RADIUS服务器
radius　appoint…authentication　＇　restricted　＇
禁止由用户指定RADIUS服务器
undo　radius　appoint…authentication　＇　restricted　＇

restricted表示仅限使用指定的RADIUS服务器对用户进行验证。配置此选项后，当用户指定的RADIUS服务器不存在或不能工作时直接拒绝用户请求。
4。3。1。5　　配置RADIUS密钥
密钥用于加密用户口令。
请在系统视图下进行下列配置。
配置RADIUS密钥
操作
命令
配置RADIUS密钥
radius　shared…key　key…string
删除RADIUS密钥
undo　radius　shared…key

所配密钥要与RADIUS服务器中设定的密钥相同。
4。3。1。6　　配置RADIUS回应超时时间
对于Radius　client（如路由器）发送出去的包，如果需要Radius　server应答，则需要设置一个超时定时器，在这个设定的时间内如果没有收到Radius　server的应答，则Radius　client重发此报文。
请在系统视图下进行下列配置。
配置RADIUS回应超时时间
操作
命令
配置RADIUS回应超时时间
radius　timer　response…timeout　seconds
恢复缺省的RADIUS回应超时时间
undo　radius　timer　response…timeout

缺省RADIUS回应超时时间为5秒。
4。3。1。7　　配置RADIUS重传次数
当Radius　client（如路由器）向RADIUS服务器发出AAA请求后，在规定的超时时限内未得到RADIUS服务器发回的应答时，客户端会重传AAA请求。重传AAA请求计数超出规定最大重传次数后，认为该服务器已不能正常工作。
请在系统视图下进行下列配置。
配置RADIUS重传次数
操作
命令
配置RADIUS重传次数
radius　retry　retry…times
恢复RADIUS缺省重传次数
undo　radius　retry

缺省重传次数为3。
4。3。1。8　　配置RADIUS服务器宕掉后检测恢复时间间隔
在RADIUS服务器失效后，Radius　client（如路由器）过一定的时间就要检测RADIUS服务器是否回复，缺省检测周期为5分钟。
请在系统视图下进行下列配置。
配置RADIUS服务器down掉后检测恢复时间
操作
命令
配置RADIUS服务器down掉后检测恢复时间
radius　timer　quiet　minutes
恢复RADIUS服务器缺省的检测恢复时间
undo　radius　timer　quiet

设置用户属性
配置普通用户及口令
可以建立用户列表，配置用户及口令。
请在系统视图下进行下列配置。
普通用户及口令配置
操作
命令
配置用户及口令
local…user　local…user　password　｛　simple　｜　cipher　｝　password
取消用户
undo　local…user　local…user

simple代表明文，在用display　current…configuration命令显示用户信息时会显示用户明文口令；cipher代表密文，在用display　current…configuration命令显示用户信息时会显示密文。
设置用户的优先级
系统提供对命令的分级管理，即对所有命令设定一定的操作级别，只有用户的优先级等于或高于命令的级别，用户才有使用该命令的权限。
请在系统视图下进行下列配置。
用户优先级配置
操作
命令
配置用户的优先级
local…user　local…user　level　level
设置用户的优先级为默认值（3）
undo　local…user　local…user　level

level代表用户的优先级，其范围是0～3。0级别最低，3级别最高。
配置FTP用户的目录权限
配置FTP用户可以使用的FTP目录。
请在系统视图下进行下列配置。
FTP用户目录权限配置　
操作
命令
配置FTP用户的目录权限
local…user　local…user　ftp…directory　directory
取消FTP用户的目录权限
undo　local…user　local…user　ftp…directory

RADIUS服务器端也可以配置ftp…directory，可以在RADIUS服务器端的属性字典中加入Ftp…Directory（106）属性，类型为字符串。此属性为华为定义的属性，使用标准属性Vendor…Specific，华为公司的Vendor…Id为2011，Ftp…Directory的属性类型（Vendor　type）为4。
授权用户可以使用的服务
对用户可以使用的服务进行授权。缺省为授权所有服务。
请在系统视图下进行下列配置。
用户授权配置
操作
命令
配置用户授权
local…user　local…user　service…type　｛　＇　ftp　＇　｜　＇　ppp　＇　｜　＇　terminal　＇　｜　＇　telnet　＇　｝
恢复用户缺省授权
undo