5.1 AAAMILY: 宋体">和Radius协议配置命令
AAA和Radius协议配置命令包括:
aaa aclearcase/" target="_blank" >ccounting optional
aaa authentication local-first
aaa authentication ppp
aaa enable
ip local pool
peer default ip address
radius-server dead-time
radius-server host
radius-server key
radius-server realtime-acct-timeout
radius-server retransmit
radius-server timeout
show aaa user
5.1.1 aaa accounting optional
打开或关闭AAA记帐选择开关。
[ no ] aaa accounting optional
【缺省情况】
系统缺省为关闭AAA记帐选择开关。
【命令模式】
全局配置模式
【使用指南】
NAS 向记账服务器发记账包后,系统会启动定时器,如果没有收到记账服务器的响应,则由NAS负责重传,当重传次数大于系统配置的最大重传次数后仍未有记账服务器的响应,此时若配置了aaa accounting optional 命令,则用户可以继续使用网络资源。否则用户将被切断。
【举例】
打开AAA记帐选择开关。
Quidway(config)#aaa accounting optional
【相关命令】
aaa enable
5.1.2 aaa authentication local-first
允许或禁止AAA的本地优先验证。
[ no ] aaa authencation local-first
【缺省情况】
AAA缺省不使用本地优先验证。
【命令模式】
全局配置模式
【使用指南】
aaa authentication local-first和aaa authentication ppp既共同起作用,又有不同之处。
从以下两个例子中可以看出二者不同之处。
例1:Quidway(config)#aaa authentication local-first
Quidway(config)#aaa authentication ppp default radius
例2:Quidway(config)#aaa authentication ppp default local radius
在例1中,系统首先进行本地验证,如果验证失败,则继续进行 RADIUS 验证;但在例2中,系统也首先进行本地验证,如果验证失败,则表明为非法访问,不再继续进行 RADIUS 验证。
【相关命令】
aaa authentication ppp
5.1.3 aaa authentication ppp
配置AAA的PPP验证方法表。
aaa authentication ppp { default | list-name } { method1 } [ method2 ... ]
authencation ppp { default | list-name }
【参数说明】
各参数意义如下:
default 为PPP缺省用的验证方法表名,如果封装PPP的接口上没有定义验证方法,则缺省使用该方法表。
list-name 用户输入的方法表名,使用时需与ppp authentication 命令相配合,使该方法表list-name用于某接口的PPP验证。
method 为验证方法,有以下三种验证方法:
radius —— 用RADIUS服务器进行验证
local —— 在本地进行验证(请参见PPP配置)
none —— 所有用户不需进行验证便可得到访问权
在配置验证方法表时,至少需要指定一种验证方法,如果指定多种验证方法,则在进行PPP验证时,首先采用method1,如果发生验证错误(如无法与RADIUS服务器建立通信连接等错误),再采用method2,依次类推;但如果在采用某种方法验证失败后(即为非法访问),则不再采用其后方法而终止验证。另外 none 方法只有放在最后才有意义。
【缺省情况】
对于PPP用户如果没有指定验证方法,则缺省采用default验证方法表。
【命令模式】
全局配置模式
【使用指南】
PPP的CHAP或PAP验证只是验证过程,通过该验证过程获取到对端用户名和密码等信息,能否通过验证,还需要由AAA确定。
AAA的PPP验证方法表中可以指明三种验证方法:local、radius和none。其中local 为用本地数据库进行验证,radius表示由Radius服务器进行验证,none表示不验证。
本地数据库由 user 和 no user 命令配置。
【举例】
配置PPP的缺省验证方法表,要求先采用Radius服务器验证,如果未得到响应则改用本地验证,若仍未得到响应则不再验证。
Quidway(config)#aaa authentication ppp default radius local none
【相关命令】
aaa authentication local-first,ppp authentication,user,no user
5.1.4 aaa enable
使能或禁止AAA。
[ no ] aaa enable
【缺省情况】
系统缺省未禁止AAA。
【命令模式】
全局配置模式
【使用指南】
只有使能AAA后,才能配置AAA的其它参数。
【举例】
使能AAA。
Quidway(config)#aaa enable
5.1.5 ip local pool
定义或取消为PPP用户分配本地的IP地址池。
ip local pool pool-number low-ip-address [ high-ip-address ]
no ip local pool pool-number
【参数说明】
pool-number为地址池编号,范围0~99,表示系统最多可以定义100个本地IP地址池。
low-ip-address 和 high-ip-address 分别为IP地址池的起始和结束IP地址。
【缺省情况】
系统缺省没有本地IP地址池,如果在定义IP地址池时,没有指定结束IP地址,则该地址池中只有一个IP地址,即起始IP地址。
【命令模式】
全局配置模式
【使用指南】
配置IP地址池,主要用于为PPP用户分配IP地址。
【举例】
配置从129.102.0.1到129.102.0.10的本地IP地址池0。
Quidway(config)#ip local pool 0 129.102.0.1 129.102.0.10
【相关命令】
peer default ip address
5.1.6 peer default ip address
配置或取消为PPP用户分配的IP地址。
peer default ip address { ip-address | pool [ pool-number ] }
no peer default ip address
【参数说明】
ip-address为PPP用户分配的IP地址。
pool-number为PPP用户分配的IP地址池。
【缺省情况】
如果不指定地址池号,则缺省为地址池0。
【命令模式】
接口配置模式
【使用指南】
只有在封装PPP的接口上,才可以配置为对端PPP用户分配的IP地址。
【举例】
在接口Serial0上封装PPP协议,并为对端PPP用户分配IP地址129.102.0.1。
Quidway(config-if-Serial0)#encapsulation ppp
Quidway(config-if-Serial0)#peer default ip address 129.102.0.1
【相关命令】
encapsulation ppp,ip local pool
5.1.7 radius-server dead-time
配置Radius服务器down掉后的恢复时间(dead-time), no radius-server dead-time 恢复缺省配置。
radius-server dead-time minutes
no radius-server dead-time
【参数说明】
minutes 为Radius 服务器 down 掉后的恢复时间,单位分钟。
【缺省情况】
Radius 服务器 down 掉后的恢复时间缺省为5分钟。
【命令模式】
全局配置模式
【使用指南】
Radius服务器出故障后(如NAS到服务器的线路出现故障或服务器上的 Radius 进程出现故障),系统会将其状态设置成无效状态,经上述配置时间间隔后,系统会将其状态设置成有效状态,如果当前正在使用的服务器又出现故障,系统将自动检测原来的那个服务器是否可以投入使用。
【举例】
配置Radius服务器down掉后恢复时间为10分钟。
Quidway(config)#radius-server dead-time 10
5.1.8 radius-server host
配置或取消Radius服务器的IP地址和监听端口号。
radius-server host { hostname | ip-address } [ auth-port port-number ] [ acct-port port-number ]
no radius-server host { hostname | ip-address }
【参数说明】
hostname为Radius服务器的主机名。
ip-address为Radius服务器的IP地址,点分十进制格式。
auth-port 指定验证监听端口号。
acct-port 指定记帐监听端口号。
port-number 为Radius服务器的监听端口号的值,0表示不作为验证或记帐服务器使用。
【缺省情况】
验证端口号的缺省值为1812,记帐端口号的缺省值为1813。
【命令模式】
全局配置模式
【使用指南】
用户可以多次执行该命令,配置多个Radius服务器,系统将根据配置时间的先后选择Radius服务器,当一个服务器失效后,系统会自动选择下一个服务器,直到最后一个服务器失效为止。
【举例】
指定IP地址为 129.102.0.2 的主机只作为验证服务器,验证端口为1000。
Quidway(config)#radius-server host 129.102.0.2 auth-port 1000 acct-port 0
5.1.9 radius-server key
配置或删除Radius服务器的密钥。
[ no ] radius-server key string
【参数说明】
string为Radius服务器的密钥。
【命令模式】
全局配置模式
【使用指南】
密钥用于加密用户口令以及生成回应验证符(Response Authenticator)。
【举例】
配置Radius服务器的密钥为Quidway。
Quidway(config)#radius-server key Quidway
5.1.10 radius-server realtime-acct-timeout
配置Radius 实时记帐包发送间隔时间,no radius-server realtime-acct-timeout 命令恢复缺省配置。
radius-server realtime-acct-timeout minutes
no radius-server realtime-acct-timeout
【参数说明】
minutes为Radius 实时记帐包发送间隔时间,单位分钟。
【缺省情况】
系统缺省的Radius 实时记帐包发送间隔时间为0,即不使用实时记帐。
【命令模式】
全局配置模式
【使用指南】
用户通过验证后,NAS以配置的间隔时间向Radius服务器发送用户的实时记帐信息,如果实时记帐请求失败,将根据accounting optional 命令配置情况对用户进行处理,如果用户配置了accounting optional,NAS将允许用户继续使用网络服务,反之则NAS会将用户挂断。
【举例】
配置Radius实时记帐包发送间隔时间为2分钟。
Quidway(config)#radius-server realtime-acct-timeout 2
5.1.11 radius-server retransmit
配置Radius重传次数,no radius-server retransmit命令恢复缺省配置。
radius-server retransmit retries
no radius-server retransmit
【参数说明】
retries为Radius重传次数。
【缺省情况】
系统缺省的Radius重传次数为3。
【命令模式】
全局配置模式
【使用指南】
当首选服务器不能正常工作时,在候选服务器启动之前,需重传AAA请求 。重传AAA请求计数超出规定最大重传次数后,认为该服务器已不能正常工作。
【举例】
配置Radius服务器重传次数为2。
Quidway(config)#radius-server retransmit 2
radius-server timeout
配置Radius服务器的超时定时器,no radius-server timeout命令恢复缺省配置。
radius-server timeout seconds
5.1.12 radius-server timeout
【参数说明】
seconds 为Radius服务器的超时定时器值,单位为秒。
【缺省情况】
Radius服务器超时定时器缺省为10秒。
【命令模式】
全局配置模式
【使用指南】
对发送出去的包,如果需要对方应答(如验证请求包),则设置一个超时定时器,超时后重发此报文。
【举例】
配置Radius服务器的超时定时器为5秒。
Quidway(config)#radius-server timeout 5
模板
教程
环境
性能
功能
管理
