M0000007中低端路由器AAA及Radius配置(中文版V1.1)定稿技巧.doc

验证、授权和记费（AAA） AAA概述 验证(Authentication)：验证用户身份。 授权(Authorization) ：授权用户可以使用哪些服务。 计费(Accounting)：记录用户使用网络资源的情况，对用户进行计费。 实现AAA功能可以在本地进行，也可以由AAA服务器在远程进行。 计费功能由于占用系统资源大通常都使用AAA服务器实现。对于用户数量大的情况，验证和授权也应该使用AAA服务器。 AAA服务器与网络设备的通信有标准的协议，目前比较流行的是RADIUS协议。 提供AAA支持的服务 PPP：PPP的PAP、CHAP验证的用户。 EXEC：指通过telnet登陆到路由器，以及通过各种方式(如console口，aux口等)进入到路由器进行配置的操作。 FTP：通过ftp登陆到路由器的用户。 验证与授权 1、验证 用户名、口令验证：包括PPP的PAP验证、PPP的CHAP验证 、EXEC用户验证、FTP用户验证。 拨号的PPP用户可以进行主叫号码验证。 2、授权 服务类型授权：对一个用户授权提供的服务。可以是PPP、EXEC、FTP中的一种或几种。 回呼号码：对PPP回呼用户可以设定回呼号码。 隧道属性：配置L2TP的隧道属性。 验证、授权可以在本地进行，也可以在RADISU服务器进行。但对一个用户的验证和授权使用相同的方法，即或者验证、授权均在本地进行，或者均使用RADIUS服务器。 计费及AAA使用特别提醒 首次使用AAA，经常发生配置了用户而验证不通过的情况。这实际上是由于没有学会灵活使用aaa accounting-scheme optional的原因。其实这种情况不是验证不通过，而是计费失败，切断了用户。 因为开始使用的时候启用AAA，这时缺省使用本地验证。而本地验证也是需要计费的，由于没有配置RADIUS服务器，造成计费失败，而因为没有配置aaa accounting-scheme optional，在计费失败时的处理就是断开用户，因此用户不能成功上网。 aaa accounting-scheme optional的作用是在计费失败时允许用户继续使用网络。因此在只验证不计费的情况下，一定要注意配置aaa accounting-scheme optional命令。 AAA基本配置命令 aaa-enable：启用AAA。 aaa accounting-scheme optional：计费处理选项。 aaa authentication-scheme login { default | methods-list } { method1 [ method2 ... ] } aaa authentication-scheme ppp { default | methods-list } { method1 } [ method2 ... ] 配置login的验证方法表和ppp的验证方法表，方法表的名字可以是default也可以自己取。缺省方法表的缺省方法为本地验证。验证方法有三种：radius、local、none。配置多种方法时，前面的方法失败则使用后面的方法，这里说的失败不是验证失败，而是验证不能成功进行，比如与RADIUS服务器通信失败，因此只有RADIUS方法才可能有失败的情况。所以只有5种有意义的方法组合： 后面的方法有5种有效组合： radius、local、none、radius local、radius none。 方法表的概念： login只能配置一个方法表，配置了方法表即自动应用到所有需要AAA的FTP用户、EXEC用户。 PPP可以配置多个方法表，特定的接口使用哪个方法表还需要将这个方法表应用到接口上。即在接口上配置ppp authentication-mode { chap | pap } [ callin ] [ scheme { default | name-list } ]，缺省使用default方法表。 本地用户数据库 使用本地验证、授权需要在路由器上维护用户数据库。由于路由器上资源有限，此数据库不宜过大。最多只支持配置50个用户。大量用户应该使用RADIUS服务器。 local-user user [ password { simple | cipher } password ] 配置用户口令 local-user user [ service-type { exec-administrator | exec-guest | exec-operator | ftp | ppp } ... ] 配置授权服务 local-user user [ call-number number ] [ :sub-number ] 配置主叫号码