AAA和IPsec配置教學課件

神州數(shù)碼

DigitalChina

神州數(shù)碼網(wǎng)絡(luò)有限公司

2008年7月

神州數(shù)碼

DigitalChina

神州數(shù)碼網(wǎng)絡(luò)有限公司

目錄

第1章AAA配置........................................................................1

1.1AAA概述.......................................................................1

1.1.1AAA安全服務(wù).............................................................1

1.1.2使用AAA的優(yōu)點...........................................................2

1.1.3AAA基本原理.............................................................2

1.1.4AAA方法列表.............................................................2

1.2AAA配置過程...................................................................4

121AAA配置過程概覽..........................................................4

1.3AAA認證配置任務(wù)列表..........................................................4

1.4AAA認證配置任務(wù)..............................................................4

1.4.1使用AAA配置登錄認證.....................................................5

1.4.2使用AAA進行PPP認證......................................................6

1.4.3在進入特權(quán)級別時開啟口令保護............................................8

1.4.4為AAA認證配置消息標語...................................................9

1.4.5改變提示輸入用戶名時的字符串.............................................9

1.4.6改變提示輸入口令時的字符串..............................................10

1.4.7建立本地用戶名認證數(shù)據(jù)庫...............................................10

1.4.8建立本地特權(quán)級別認證數(shù)據(jù)庫..............................................11

1.5AAA認證配置示例..............................................................11

1.6AAA授權(quán)配置任務(wù)列表..........................................................12

1.7AAA授權(quán)配置任務(wù)..............................................................12

1.7.1使用AAA配置exec授權(quán).....................................................13

1.8AAA授權(quán)示例..................................................................14

1.9AAA記帳配置任務(wù)列表..........................................................14

1.10AAA記帳配置任務(wù).............................................................14

1.10.1使用AAA配置connection記帳................................................15

1.10.2使用AAA配置network記帳..................................................15

1.10.3使用AAA配置記帳更新....................................................16

1.10.4抑制無用戶名的用戶記帳.................................................16

第2章RADIUS配置.........17

2.1概述..............17

2.1.1RADIUS概述…17

2.1.2RADIUS協(xié)議操作18

2.2RADIUS配置步驟........18

2.3RADIUS配置任務(wù)列表18

2.4RADIUS配置任務(wù)…19

2.4.1配置路由器與RADIUS服務(wù)器的通信19

2.4.2使用廠商專用的RADIUS屬性配置路由器19

-1-

神州數(shù)碼

DigitalChina

神州數(shù)碼網(wǎng)絡(luò)有限公司

2.4.3配置RADIUS認證............................................................20

2.4.4配置RADIUS授權(quán)............................................................20

2.4.5配置RADIUS記錄............................................................20

2.5RADIUS配置示例...................................................................20

2.5.1RADIUS認證和授權(quán)示例......................................................20

2.5.2AAA中應(yīng)用RADIUS示例.......................................................21

第3章TACACS+配置......................................................................22

3.1TACACS+概述.....................................................................22

3.1.1TACACS+的協(xié)議操作.........................................................22

3.2TACACS+配置流程.................................................................23

3.3TACACS+配置任務(wù)列表.............................................................23

3.4TACACS+配置任務(wù).................................................................24

3.4.1指定TACACS+服務(wù)器.........................................................24

3.4.2設(shè)置TACACS+加密密鑰.......................................................24

3.4.3指定使用TACACS+進行認證...................................................24

3.4.4指定使用TACACS+進行授權(quán)...................................................25

3.4.5指定使用TACACS+進行記錄...................................................25

3.5TACACS+配置示例.................................................................25

3.5.1TACACS+認證示例...........................................................25

3.5.2TACACS+授權(quán)示例...........................................................26

353TACACS+記錄示例............................................................26

第4章IPSec配置.........................................................................28

4.1IPSec概述........................................................................28

4.1.1支持的標準.................................................................28

4.1.2術(shù)語...................................................................29

4.1.3限制......................................................................29

4.1.4IPSec工作過程概述.........................................................29

4.1.5IPSec嵌套..................................................................30

4.2IPSec配置任務(wù)列表................................................................31

4.3IPSec配置任務(wù)....................................................................31

4.3.1確保訪問列表和IPSec相兼容..................................................31

4.3.2開啟/關(guān)閉nat穿透協(xié)商功能.....31

4.3.3創(chuàng)建id身份驗證配置..........32

4.3.4創(chuàng)建加密訪問列表............32

4.3.5加密訪問列表技巧............33

4.3.6在加密訪問列表中使用any關(guān)鍵字

4.3.7定義變換集合................

4.3.8創(chuàng)建加密映射表..............

4.3.9應(yīng)該建立多少個加密映射表...

4.3.10創(chuàng)建手工方式的加密映射表........

4.3.11創(chuàng)建使用IKE的加密映射表....

神州數(shù)碼

DigitalChina

神州數(shù)碼網(wǎng)絡(luò)有限公司

4.3.12將加密映射表集合應(yīng)用于接口.............................................38

4.4IPSec配置示例.................................................................38

第5章配置Internet密鑰交換安全協(xié)議....................................................40

5.1概述.........................................................................40

5.1.1IKE概要................................................................40

5.1.2支持的標準............................................................40

5.1.3術(shù)語...................................................................41

5.2IKE配置任務(wù)列表..............................................................41

5.3IKE配置任務(wù)..................................................................41

5.3.1確保訪問列表與IKE兼容...................................................41

5.3.2倉“建IKE策略.............................................................41

5.3.3配置預(yù)共享密鑰.........................................................44

5.3.4配置DPD（deadpeerdetection^可選）...........................................44

5.3.5清除IKE連接（可選）.....................................................45

5.3.6IKE診斷（可選）.........................................................45

5.4IKE酉已置示例..................................................................45

第6章Web認證配置...................................................................47

6.1概述.........................................................................47

6.1.1理解Web認證............................................................47

6.1.2規(guī)劃web認證............................................................49

6.2配置web認證..................................................................50

6.2.1全局配置................................................................50

6.2.2接口配置................................................................51

6.2.3使能web認證............................................................51

6.3監(jiān)控和維護web認證............................................................52

6.3.1查看全局配置............................................................52

6.3.2查看接口配置............................................................52

6.3.3查看用戶狀態(tài)............................................................52

6.3.4強行踢出用戶............................................................52

6.4web認證配置示例..............................................................53

6.4.1外置DHCPServerweb認證配置..............................................53

6.4.2內(nèi)置DHCPServerweb認證配置..............................................54

第7章配置802.1x...................56

7.1酉己置802.1X任務(wù)歹U表56

7.2配置802.1X任務(wù)_56

7.2.1配置端口的802.1x認證...........56

7.2.2配置802.1x多主機端口認證.......57

7.2.3配置802.1X身份認證請求的最大次數(shù)57

7.2.4配置802.1x的重認證58

7.2.5控制802.1x發(fā)送頻率58

神州數(shù)碼

DigitalChina

神州數(shù)碼網(wǎng)絡(luò)有限公司

7.2.6配置802.1X用戶綁定.......................................................58

7.2.7配置802.1X端口的認證方法.................................................58

7.2.8選擇802.1x端口的認證類型.................................................59

7.2.9802.1x恢復(fù)默認配置.......................................................59

7.2.10監(jiān)控802.1X認證配置和狀態(tài)................................................59

7.3配置802.1X示例................................................................59

神州數(shù)碼

DigitalChina

神州數(shù)碼網(wǎng)絡(luò)有限公司

第1章AAA配置

1.1AAA概述

訪問控制是用來控制接入路由器或網(wǎng)絡(luò)訪問服務(wù)器(NAS)的用戶，并限制他們可使用

的服務(wù)種類。提供認證、授權(quán)和記錄(Authentication,Authorization,Accounting)功

能，以提高網(wǎng)絡(luò)安全性能。

1.1.1AAA安全服務(wù)

AAA是使用相同方式配置三種獨立的安全功能的一種體系結(jié)構(gòu)。它提供了完成下列服務(wù)

的模塊化方法：

?認證(Authentication)-----提供一種識別用戶的方法，包括用戶名和口令的詢問，

以及根據(jù)所選擇的安全協(xié)議進行加密。

認證是接受用戶訪問請求和提供網(wǎng)絡(luò)服務(wù)之前識別他們身份的方法。通過定義一張

命名的認證方法列表來對AAA認證進行配置，然后應(yīng)用該列表于各種接口。方法

列表定義了所執(zhí)行的認證的類型和它們執(zhí)行的次序；任何定義的認證方法執(zhí)行之前

都必須應(yīng)用在具體的接口上。唯一的例外是缺省方法列表(其名稱為default)。如

果沒有定義其它方法列表，缺省方法列表自動應(yīng)用于所有接口。定義任何方法列表

將覆蓋缺省方法列表。有關(guān)所有認證的配置方法的詳細資料，請參見“認證配置”。

?授權(quán)(Authorization)——提供一種遠程訪問控制的方法，用于限制用戶的服務(wù)權(quán)

限。

AAA授權(quán)通過相對于該用戶的一組屬性來發(fā)揮作用，這些屬性描述了用戶被授予

哪些權(quán)限。將這些屬性與包括在數(shù)據(jù)庫中某個特定用戶的信息相比較，結(jié)果返回給

AAA,以確定該用戶的實際權(quán)限。這個數(shù)據(jù)庫可以位于所訪問的本地服務(wù)器或路由

器，或者位于遠程RADIUS或TACACS+安全服務(wù)器。像RADIUS和TACACS+

這樣的遠程安全服務(wù)器，通過與用戶相聯(lián)系的屬性值(AV)對(Attribute-Value

Pairs)來完成對用戶的授權(quán)，屬性值(AV)對定義了允許授予的權(quán)限。所有的授

權(quán)方法必須通過AAA定義。與認證一樣，首先要定義一個授權(quán)方法列表，然后在

各種接口中應(yīng)用該列表。有關(guān)使用AAA進行授權(quán)配置的詳細情況，請參見“授權(quán)

配置”。

?記帳(Accounting)一提供一種收集用戶服務(wù)信息，并發(fā)送給安全服務(wù)器的方法，

這些信息可用于開列帳單、審計和形成報表，如用戶標識、開始時間和停止時間、

執(zhí)行的命令、數(shù)據(jù)包的數(shù)量以及字節(jié)數(shù)。

記帳功能不僅可以跟蹤用戶訪問的服務(wù)，同時還可以跟蹤他們消耗的網(wǎng)絡(luò)資源數(shù)

量。當激活A(yù)AA記錄功能時，網(wǎng)絡(luò)訪問服務(wù)器以記錄的形式向TACACS+或

RADIUS安全服務(wù)器報告用戶的活動。每條記錄包括記錄屬性值(AV)對，存儲

在安全服務(wù)器上。這些數(shù)據(jù)可用于網(wǎng)絡(luò)管理、客戶帳單或?qū)徲嫹治觥Ｅc認證和授權(quán)

一樣，要先定義一個記錄方法列表，然后在不同的接口中便用這張表。看關(guān)使用

AAA進行記帳配置的詳細材料，請參見“記帳配置”。

-1-

神州數(shù)碼

DigitalChina

神州數(shù)碼網(wǎng)絡(luò)有限公司

1.1.2使用AAA的優(yōu)點

AAA提供了如下優(yōu)點：

?靈活性和易于控制

?方便升級

?標準化的認證方法，如RADIUS,TACACS+

?多重備用系統(tǒng)

1.1.3AAA基本原理

AAA用來動態(tài)配置基于每條線路（每個用戶）或者每項服務(wù)（例如，IP、IPX或VPDN）

的認證、授權(quán)及記帳類型。通過創(chuàng)建方法列表定義認證和授權(quán)的類型，然后把這些方法

列表應(yīng)用到具體服務(wù)或接口上。

1.1.4AAA方法列表

要對AAA進行配置，首先定義一個命名的方法列表，然后將這張列表應(yīng)用到具體的服務(wù)

或者接口上。該方法列表定義了所要執(zhí)行的AAA類型，以及他們將被執(zhí)行的次序；所定

義的任何方法列表在被執(zhí)行之前，必須應(yīng)用于某一個具體的接口或者服務(wù)。唯一例外的

是缺省方法列表（default）?缺省方法列表自動的應(yīng)用于所有的接口或者服務(wù)。除非該接

口明確引用了其他方法列表，這時此方法列表將替代缺省方法列表。

方法列表是用戶在請求AAA服務(wù)時需要順序查詢的AAA方法的表格。在方法列表中可

以指派?個或多個安全協(xié)議。因此確保了萬一最初的方法失敗后有個備用的認證系統(tǒng)。

本公司路由器軟件使用方法列表中的第一個方法鑒別用戶；如果該方法沒有反應(yīng)，則會

選擇方法列表中的下一個方法。這一個過程一直進行下去，直至所列的某個方法成功的

進行AAA服務(wù)，或者所有的方法用完為止。

注意到這一點是很重要的，即本公司路由器軟件僅僅在前面的方法沒有反應(yīng)時，才嘗試

使用列在后面的AAA方法進行AAA服務(wù)。如果AAA服務(wù)在這個過程中的任何一點上失

敗了，即安全服務(wù)器或是本地用戶數(shù)據(jù)庫的反應(yīng)是拒絕用戶訪問，則AAA服務(wù)過程停止,

并且不再嘗試其他的認證方法。

下圖顯示了一個很有代表性的AAA網(wǎng)絡(luò)配置，包含四個安全服務(wù)器,R1和R2是RADIUS

服務(wù)器，T1和T2是TACACS+服務(wù)器。我們以認證為例來講述AAA服務(wù)與AAA方法

列表的關(guān)系。

神州數(shù)碼

DigitalChina

神州數(shù)碼網(wǎng)絡(luò)有限公司

圖1-1AAA網(wǎng)絡(luò)配置示意圖

假設(shè)系統(tǒng)管理員決定，在其安全方案中所有的接口使用同樣的認證方法來認證基于PPP

協(xié)議的連接：首先接通了R1來了解有關(guān)認證信息，如果用沒有反應(yīng)，接通R2,如果

R2仍沒有反應(yīng)，接通T1,如果T1也沒有反應(yīng)，接通T2,如果所有指派的服務(wù)器都沒

有反應(yīng)，認證工作就落在訪問服務(wù)器本身的本地用戶名數(shù)據(jù)庫上。要實現(xiàn)這一點，系統(tǒng)

管理員應(yīng)該輸入下面的命令，創(chuàng)建一張缺省的方法列表：aaaauthenticationpppdefault

radiuslocal.

本例中，default是方法列表的名稱，包括在方法列表中的協(xié)議以及他們將被查詢的次序

列在方法列表名稱后面。缺省列表自動的應(yīng)用于所有的接口。

當遠程用戶試圖通過撥號進入網(wǎng)絡(luò)時，網(wǎng)絡(luò)訪問服務(wù)器首先在R1上查詢有關(guān)的認證信

息，如果鑒別該用戶合法，他就發(fā)一條PASS應(yīng)答給網(wǎng)絡(luò)訪問服務(wù)器，從而允許用戶訪

問服務(wù)器。如果R1返回一條FAIL應(yīng)答，則該用戶被拒絕訪問，本次對話結(jié)束。如果R1

沒有反應(yīng)，網(wǎng)絡(luò)訪問服務(wù)器將其當成一次錯誤，并且在R2上查閱有關(guān)的認證信息。這種

模式在剩下的方法中一直進行下去，直到該用戶被接受或者被拒絕、或者木次對話結(jié)束

為止。

記住這一條是很重要的，即FAIL應(yīng)答與ERROR應(yīng)答是截然不同的兩個東西，F(xiàn)AIL意、

味著用戶沒有滿足包含在認證數(shù)據(jù)庫中要認證成功所需的標準。認證以FAIL應(yīng)答結(jié)束。

ERROR意味著該安全服務(wù)器對認證查詢沒有應(yīng)答。僅僅當AAA檢測到ERROR應(yīng)答時,

他才選擇定義在認證方法鏈表中的下一個認證方法。

假設(shè)系統(tǒng)管理員想將方法列表僅僅應(yīng)用于某個或某種特定的端口。在這種情況下，系統(tǒng)

管理員應(yīng)當創(chuàng)建一個非缺省的方法列表，然后把這個命名的列表應(yīng)用到適當?shù)亩丝谏稀?/p>

下面的實例演示了系統(tǒng)管理員如何實現(xiàn)某個認證方法只應(yīng)用異步端口的過程：

aaaauthenticationpppdefaultradiuslocal

aaaauthenticationpppasyncOradiustacacs+localnone

interfaceasync0/0

pppauthenticationchapasyncO

在這個例上中，asyncO是方法列表的名稱，包括在這個方法列表中的認證協(xié)議依次列在

他的后面，他們將有可能被依次使用。創(chuàng)建好方法列表后，將列表應(yīng)用到合適的端ILL。

注意：aaaauthentication命令中的方法名稱必須與pppauthentication命令中的方法列表名稱

相匹配。

神州數(shù)碼

DigitalChina

神州數(shù)碼網(wǎng)絡(luò)有限公司

1.2AAA配置過程

首先，必須決定想要實現(xiàn)何種類型的安全方案。用戶需要評估自己網(wǎng)絡(luò)中的安全風險,

并且確定合適的方法來阻止未經(jīng)授權(quán)的登錄和攻擊。

1.2.1AAA配置過程概覽

在明白了配置所涉及的基本過程后，配置AAA就相對簡單了。在本公司路由器或訪問服

務(wù)器上使用AAA進行安全配置，遵循如卜步驟：

?如果決定使用安全服務(wù)器，則先配置安全協(xié)議參數(shù)，如RADIUS,TACACS+。

?使用命令aaaauthentication定義用于認證的方法列表。

?如果需要的話，把該方法列表應(yīng)用到某個具體的接口或線路上

?使用命令aaaauthorization進行授權(quán)配置(可選)。

?使用命令aaaaccounting進行記錄配置(可選)。

1.3AAA認證配置任務(wù)列表

?使用AAA配置登錄認證

?使用AAA進行PPP認證

?在進入特權(quán)級別時開啟口令保護

?為AAA認證配置消息標語

?改變提示輸入用戶名時的字符串

?改變提示輸入口令時的字符串

?建立本地用戶名認證數(shù)據(jù)庫

?建立本地特權(quán)級別認證數(shù)據(jù)庫

1.4AAA認證配置任務(wù)

AAA認證的一般配置過程:

要配置AAA認證，需要完成下列配置過程：

(1)如果使用的是安全服務(wù)器，配置安全協(xié)議參數(shù)，如RADIUS

置方法參見相應(yīng)章節(jié)。

(2)使用aaaauthentication命令定義認證方法列表。

神州數(shù)碼

DigitalChina

神州數(shù)碼網(wǎng)絡(luò)有限公司

(3)如果需要的話，把方法列表應(yīng)用到特定的端口或是線路上。

1.4.1使用AAA配置登錄認證

AAA安全服務(wù)使得使用各種認證方法變得更容易了，不論決定使用哪種登錄方法，都使

用aaaauthentication命令開啟AAA認證。在aaaauthenticationlogin命令中，創(chuàng)建一

張或是多張認證方法的列表，這些列表在登錄時使用。使用線路配置命令login

authentication來應(yīng)用這些列表。配置時，從全局配置模式開始，使用如下命令：

命令目的

aaaauthenticationlogin{default|

創(chuàng)建全局認證列表。

list-name}methodi[method2...]

line[aux|console|tty|vty]line-number

進入某個線路的配置狀態(tài)。

[ending-line-numbei]

loginauthentication{default|list-name}應(yīng)用該認證列表于某條或是某幾個線路上。

關(guān)鍵字list-name是用來命名所創(chuàng)建的列表的任何字符串。關(guān)鍵字method指定認證過程

所采用的實際方法。僅當前面所用的方法返回認證錯誤時，才會使用其他的認證方法，

如果前面的方法指明認證失敗了，則不再使用其他的認證方法。如果要指定即使所有的

方法都返回認證錯誤仍能成功登錄，只要在命令行中指定none作為最后一個認證方法。

例如：即使TACACS+服務(wù)返回錯誤仍能認證成功，可用下面的命令行：

aaaauthenticationlogindefaulttacacs+none

使用default參數(shù)可建立一個缺省的列表，缺省列表自動的應(yīng)用于所有的接口。例如：指

定RADIUS作為用戶登錄時的缺省認證方式，使用下面的命令：

aaaauthenticationlogindefaultradius

注意：

由于關(guān)鍵字none使得登錄的任何用戶都可成功的通過認證，所以應(yīng)當將該關(guān)鍵字作為備

用的認證方法。

登陸時，如果找不到認證方法列表的話，除console口登陸以外，其它任何形式的登陸將

以認證失敗結(jié)束。

下表列出了目前支持的登錄認證方式:

關(guān)鍵字說明

enable使用enable口令進行認證。

groupname使用命名的服務(wù)器組進行認證。

groupradius使用RADIUS認證。

grouptacacs+使用TACACS+認證。

line使用線路密碼進行認證。

local使用本地數(shù)據(jù)庫進行認證。

使用本地用戶名數(shù)據(jù)庫進行認證(用戶名區(qū)分大小寫)。力

local-case

神州數(shù)碼

DigitalChina

神州數(shù)碼網(wǎng)絡(luò)有限公司

none認證無條件通過。

(1)使用enable口令進行登錄認證

在aaaauthenticationlogin命令中使用enable方法關(guān)鍵字指定enable口令作為

登錄認證方法，例如：在沒有定義其他方法時，指定enable口令作為登錄時用戶

認證的方法，使用下面的命令：

aaaauthenticationlogindefaultenable

(2)使用線路口令進行登錄認證

在使用aaaauthenticationlogin命令時，用line方法關(guān)鍵字指定線路口令作為登

錄時的認證方法。例如，在用戶登錄時指定線路口令為用戶認證方法，并且不定義

任何其他方法，可以輸入下面的命令行：

aaaauthenticationlogindefaultline

在能夠使用線路口令進行注冊認證之前，需要定義一條線路口令。

(3)使用本地口令進行登錄認證

在使用aaaauthenticationlogin命令時，用local方法關(guān)鍵字指定使用本地用戶名

數(shù)據(jù)庫作為登錄認證方法。例如，在用戶注冊時指定本地用戶名數(shù)據(jù)庫作為用戶認

證方法，并且不定義任何其他方法，可以輸入下面的命令行：

aaaauthenticationlogindefaultlocal

有關(guān)增加用戶到本地用戶名數(shù)據(jù)庫中的詳細資料?，參見“建立本地認證數(shù)據(jù)庫

(4)使用RADIUS進行登錄認證

在使用aaaauthenticationlogin命令時用radius方法關(guān)鍵字指定RADIUS作為

登錄認證方法。例如在用戶登錄時指定RADIUS為用戶認證方法，并且不定義任

何其他方法，可以輸入下面的命令：

aaaauthenticationlogindefaultradius

在能使用RADIUS作為注冊認證方法之前，需要首先配置RADIUS服務(wù)，有關(guān)的

更多信息參見“配置RADIUS”。

(5)使用TACACS+進行登錄認證

在使用aaaauthenticationlogin命令時，使用TACACS+方法關(guān)鍵字指定TACACS

+作為認證方法。例如，在用戶登錄時指定TACACS+認證方法，并且不定義任

何其他方法，可以輸入下面的命令：

aaaauthenticationlogindefaulttacacs+

在能夠使用TACACS+進行認證方法之前，需要首先配置TACACS+服務(wù)，有關(guān)詳

細信息，參見“配置TACACS+”。

1.4.2使用AAA進行PPP認證

許多用戶通過異步或是ISDN撥號訪問網(wǎng)絡(luò)中心服務(wù)器。AAA安全服務(wù)使得在串口匕大

量運行PPP時的認證方法變得容易了。不管決定使用所支持的何種PPP認證方法，均

可以使用aaaauthenticationppp開啟AAA認證。配置時，在全局配置模式下使用下面

的命令：

命令目的

神州數(shù)碼

DigitalChina

神州數(shù)碼網(wǎng)絡(luò)有限公司

aaaauthenticationppp{default|

創(chuàng)建本地認證列表。

list-name}methodi[method2...]

interfaceinterface-typenumber進入端口配置模式，認證列表將應(yīng)用于該端口上。

pppauthentication{chap|pap|chappap

將認證列表應(yīng)用于某條或是某幾條線路上。

|papchap}{default|list-name}

使用aaaauthentication命令，可以創(chuàng)建一張或是幾張認證方法列表，在用戶開始運行

PPP時使用這些列表。使用pppauthentication配置命令來應(yīng)用這些列表。要創(chuàng)建--張缺

省列表，使用defalut參數(shù)，在其后緊跟缺省情況下想要使用的方法。例如，指定本地用

戶名數(shù)據(jù)庫作為認證的缺省方法，輸入下面的命令行：

aaaauthenticationpppdefaultlocal

關(guān)鍵字list-name是用來命名所建立的列表的任何字符串。關(guān)鍵字method指定認證過程

所采用的實際方法。僅當前面的方法返回認證錯誤時，才會使用其他的認證方法。如果

前面使用的方法返回認證失敗，則不再使用其他的認證方法。如果指定即使所有的方法

都返回錯誤仍能成功認證，只需在命令行中指定none作為最后一個認證方法。例如，下

面例子中即使TACACS+服務(wù)器返回錯誤，仍要保證認證成功，可以輸入下面的命令行：

aaaauthenticationpppdefaulttacacs+none

注意：

由于關(guān)鍵字none使得登錄的任何用戶都能成功的被認證，所以應(yīng)當將該關(guān)鍵字作為備用

的認證方法。

認證時，如果找不到方法列表，將以認證失敗而結(jié)束。

卜表列出了PPP可使用的認證方式:

關(guān)鍵字說明

groupgroup-name使用命名的服務(wù)器組進行認證。

groupradius使用RADIUS認證?

grouptacacs+使用TACACS+認證。

local使用本地用戶名數(shù)據(jù)庫認證。

local-case使用本地用戶名數(shù)據(jù)庫進行認證(用戶名區(qū)分大小寫)。

none認證無條件通過。

(6)PPP認證使用本地口令

在aaaauthenticationppp命令中，用local關(guān)鍵字指定使用本地用戶名數(shù)據(jù)庫進行

認證。例如，在運行PPP的線路I二要指定本地用戶名數(shù)據(jù)庫為認證方法，并且不

需要其他任何方法，可以輸入下面的命令行：

aaaauthenticationpppdefaultlocal

有關(guān)更多的增加用戶到本地用戶名數(shù)據(jù)庫的更多信息，參見“建立本地認證數(shù)據(jù)

庫

(7)PPP認證使用RADIUS

-7-

神州數(shù)碼

DigitalChina

神州數(shù)碼網(wǎng)絡(luò)有限公司

在aaaauthenticationppp命令中，用RADIUS關(guān)鍵字指定RADIUS作為運行PPP

時的認證方法。例如，要指定RADIUS為用戶認證的方法，并且不需要定義其他

方法，可以輸入下面的命令行：

aaaauthenticationpppdefaultradius

在使用RADIUS作為注冊認證方法時，需要配置RADIUS服務(wù)，有關(guān)詳細信息參

見”配置RADIUS”。

(8)PPP認證使用TACACS+

在aaaauthenticati