【正文】 way] aaa authenticationscheme login default radius none 配置 RADIUS服務器 IP地址和端口，使用默認端口號。 組網圖同上 配置步驟 啟動 AAA。 [RouterSerial0/0/0] ppp authenticationmode chap scheme default 2．對 FTP用戶采用 RADIUS服務器進行認證 組網需求對 FTP用戶先用 RADIUS服務器進行認證，如果沒有響應，則不認證。 [Quidway] radius server authprimary acctprimary [Quidway] radius server 配置 RADIUS服務器密鑰、重傳次數(shù)、超時定時器時間長度及計費選項。 [Quidway] aaa enable 配置 PPP用戶的缺省認證方案。 顯示在線用戶情況 display aaa user 查看本地用戶數(shù)據(jù)庫 display localuser 打開 AAA事件調試開關 debugging aaa event 關閉 AAA事件調試開關 undo debugging aaa event 打開 AAA原語調試開關 debugging aaa primitive 關閉 AAA原語調試開關 undo debugging aaa primitive 打開 RADIUS報文調試開關 debugging radius packet 關閉 RADIUS報文調試開關 undo debugging radius packet AAA和 RADIUS典型配置舉例 1． .對 PPP用戶采用 RADIUS服務器進行認證、計費 組網需求 RADIUS服務器 ， RADIUS服務器 ，認證端口號默認為 1812，計費端口號默認為 1813。 AAA和 RADIUS顯示與調試 在完成上述配置后，在所有視圖下執(zhí)行 display命令可以顯示配置后 AAA和 RADIUS的運行情況，通過查看顯示信息認證配置的效果。如果配置通過 FTP、 Tel登錄到路由器，以及通過各種終端服務方式（如 Console口、 Aux口等）進入到路由器進行配置的操作的 Login用戶認證方案，在系統(tǒng)視圖下操作命令如下： aaa authenticationscheme login { default | schemename } [ method1 | [ template servertemplatename [ method2 ] ] 刪除 AAA的 Login認證方案或恢復 undo aaa authenticationscheme login {default | schemename } 其中， method1為認證方法，可以有以下 5種情況： none ， local， radius， radius none， radius local。 AAA的配置包含如下幾個主要步驟： 1．首先應該能夠使用 AAA，因為在默認情況下是禁止使用 AAA。 aaa accountingscheme optional的作用是在計費失敗時允許用戶繼續(xù)使用網絡。 因為開始使用的時候啟用 AAA，這時缺省使用本地驗證。這實際上是由于沒有學會靈活使用 aaa accountingscheme optional的原因。 RADIUS協(xié)議合并了認證和授權過程，即響應報文中攜帶了授權信息。 RADIUS是遠程認證撥號用戶服務（ Remote Authentication DialIn User Service）的簡稱，最初由 Livingston Enterprise公司開發(fā)，作為一種分布式的客戶機 /服務器系統(tǒng)，能提供 AAA功能。驗證、授權可以在本地進行，也可以在 RADIUS服務器進行。回呼號碼對 PPP回呼用戶可以設定回呼號碼。 授權 服務類型授權包括一個用戶授權提供的服務。 提供 AAA支持的服務包括： PPP的 PAP和 CHAP（驗證用 )、通過tel登陸到路由器、以及通過各種方式 (如 console口， aux口等 )進入到路由器進行配置的操作和 FTP即通過 ftp登陸到路由器的用戶。對于用戶數(shù)量大的情況，驗證和授權也應該使用 AAA服務器。 實現(xiàn) AAA功能可以在本地進行，也可以由 AAA服務器在遠程進行。 具體如下： AAA一般采用客戶 /服務器結構，客戶端運行于被管理的資源側，服務器上則集中存放用戶信息。 AAA與 RADIUS協(xié)議原理及配置 AAA是 Authentication（認證）、 Authorization（授權）和 Accounting（計費）的簡稱。負載分擔主要指網絡流量增大時，備份鏈路承擔部分主用鏈路的工作，線路安全指的是線路本身的安全性，用于防止非法用戶利用線路進行訪問。 針對網絡存在的各種安全隱患，路由器必須具有的安全特性包括：身份認證、訪問控制、信息隱藏、數(shù)據(jù)加密和防偽、安全管理、可靠性和線路安全。目前的路由器種類繁多，優(yōu)質的路由器都有自己豐富的安全機制，一般都內置了入侵檢測系統(tǒng)，但還進一步需要網絡管理員配置相應的安全策略及進行相應的管理。計算機網絡安全管理 葛秀慧等 編著 高等學校計算機科學與技術教材 總目錄 第 1章 網絡安全管理基礎 第 2章 加密技術 第 3章 Windows NT網絡操作系統(tǒng)的安全管理 第 4章 Windows 操作系統(tǒng)的安全管理 第 5章 Linux網絡操作系統(tǒng)的安全管理 第 6章 電子郵件的安全管理 第 7章 計算機病毒 第 8章 防火墻安全管理 第 9章 電子商務網站的安全 第 6章 路由器安全管理 路由器安全概述 AAA與 RADIUS協(xié)議原理及配置 訪問控制列表配置 IPSec與 IKE技術與配置 在目前的網絡體系中，路由器是多種網絡互聯(lián)的重要設備，因為路由器一般位于防火墻之外，是邊界網絡的前沿，所以路由器的安全管理成為了第一道防線。在默認情況下，路由器訪問密碼存儲在固定位置，用第一章講到的 sniffer嗅探器很容易獲得登錄名和密碼，從而使路由器完全受到攻擊者控制，從而入侵整個路由器管理的網絡。在這一章中，針對路由器使用最多的 AAA（驗證、授權和審計）、訪問控制技術和數(shù)據(jù)加密和防偽和數(shù)據(jù)加密技術（ VPN技術）進行系統(tǒng)介紹，使管理員有章可循，路由器平臺很多，國內應用最多的主要有思科公司的 IOS平臺和華為公司的 VRP平臺兩大陣營，本章以華為的 VRP的安全配置命令為例進行介紹?？煽啃砸笾饕槍收匣謴?、負載能力和主設備運行故障時，備份自動接替工作。網絡安全身份認證包括：訪問路由器時的身份認證、Console登陸配置、 Tel登陸配置 、 SNMP登陸配置、 Modem遠程配置、對其它路由的身份認證、直接相連的鄰居路由器配置、邏輯連接的對等體配置、路由信息的身份認證、防偽造路由信息的侵入安全特性。它提供對用戶進行認證、授權和計費三種安全功能。這種結構既具有良好的可擴展性，又便于用戶信息的集中管理。 認證（ Authentication）：認證用戶是否可以獲得訪問權，確定哪些用戶可以訪問網絡。 授權（ Authorization）：授權用戶可以使用哪些服務。 計費（ Accounting）：記錄用戶使用網絡資源的情況。記費功能由于占用系統(tǒng)資源大通常都使用 AAA服務器實現(xiàn)。 AAA服務器與網絡設備的通信有標準的協(xié)議，日前比較流行的是 RADIUS協(xié)議。 驗證 用戶名、口令驗證：包括 PPP的 PAP驗證、用戶的 CHAP驗證、 EXEC用戶驗證、 FTP擁護驗證和撥號的 PPP用戶可以進行號碼驗證。可以是 PPP、 EXEC、 FTP中的一種或幾種。隧道屬性配置 L2TP的隧道屬性。但對一個應用服務的驗證和授權應使用相同的方法，可以使驗證、授權均在本地進行，也可以使用 RADIUS服務器。 RADIUS技術可以保護網絡不受未授權訪問的干擾，常被用在既要求較高安全性、又要求維持遠程用戶訪問的各種網絡環(huán)境中（如用來管理使用串口和調制解調器的大量分散撥號用戶） RADIUS服務器對用戶的認證過程通常需要利用 NAS等設備的代理認證功能， RADIUS客戶端和 RADIUS服務器之間通過共享密鑰認證相互間交互的消息，用戶密碼采用密文方式在網絡上傳輸，增強了安全性。 RADIUS的基本消息交互流程如下： RADIUS實現(xiàn) AAA的流程如下 ： AAA與 RADIUS協(xié)議配置方法 首次使用 AAA，經常發(fā)生配置了用戶而驗證不通過的情況。這種情況不是驗證不通過，而是計費失敗，切斷了用戶。而本地驗證也是需要計費的，由于沒有配置 RADIUS服務器，造成計費失敗，而因為沒有配置 aaaaccountingscheme optional，在計費失敗時就斷開用戶，因此用戶不能成功上網。因此在只驗證不了計費的情況下，一定要注意配置 aaa accountingscheme optional命令。在系統(tǒng)視圖下進行下列配置，操作命令為： AAA aaa enable 禁止 AAA undo aaa enable 2. 配置認證方案 method2只能為 local或 none。執(zhí)行 debugging命令可對 AAA和 RADIUS進行調試。 組網圖 配置步驟 配置 RouterA 啟動 AAA。 [Quidway] aaa authenticationscheme ppp default radius 配置 RADIUS服務器 IP地址和端口。 [Quidway] radius sharedkey thisismysecret [Quidway] radius retry 2 [Quidway] aaa accountingscheme ppp default radius [Quidway] radius timer responsetimeout 5 配置 Serial0/0/0口應用認證方案。認證服務器使用 ，無備用服務器，端口號為默認值 1812。 [Quidway] aaa enable 配置 Login用戶的缺省認證方案。 [Quidway] radius server 配置 RADIUS服務器密鑰、重傳次數(shù)、超時定時器時間長度及 RADIUS服務器 down掉后的恢復時間。 [Quidway] ftpserver enable 訪問控制列表 (Access Control List， ACL)為網絡設備提供基本的服務安全性。如果有必要，又有哪些用戶能夠享用該服務。因為運行這個不必要的服務，不僅會浪費網絡等資源，而且會給當前的網絡環(huán)境帶來安全隱患。如果某類服務僅僅在網絡內部需要，則還需盡力避免該服務被網絡外部訪問。對于某些服務來說，即使用戶能使用該服務，安全管理員也應該能監(jiān)管該服務的使用情況，比如控制某服務只能在某段時間內使用，對該服務的使用量進行統(tǒng)計等等。例如在企業(yè)網內部，管理員必須清楚部門 A、部門 B能夠訪問的服務器內容，部門 A和部門 B相互之間能夠互通的服務，各部門能夠訪問的企業(yè)網絡外部服務，能被企業(yè)網絡外部訪問的服務，以及服務器的訪問權限等等。 當訪問控制列表被創(chuàng)建后 ， 既可以以用于拒絕某些數(shù)據(jù)包經過某個路由器接口 ， 也可用于拒絕某些數(shù)據(jù)包經過路由器的所有接口 。 默認情況下 ， 路由器將允許所有的數(shù)據(jù)包經過所有接口 ， 即不做任何轉發(fā)限制 。 最初 ， 訪問控制列表的作用僅限于決定是否轉發(fā)數(shù)據(jù)包 (如轉發(fā)或去棄 )。 路由器提供給管理員更豐富的功能， 如利用訪問控制列表進行數(shù)據(jù)包分析 、 流量限制和流量統(tǒng)計 。包過濾不涉及會話的狀態(tài)，也不分析數(shù)據(jù)，只分析數(shù)據(jù)包的包頭信息。 報文監(jiān)控 (Packet Monitoring)技術：一般 1臺設備需要個監(jiān)控端口就可以監(jiān)控設備的所有端口。管理員事先確定要監(jiān)控的報文類型，如 ICMP報文。 流量限制 (CAR)技術：管理員可以限制某一源與目的對之間的平均報文流量。流量限制將在兩個方向上同時進行。這里的地址既可以是 MAC地址，也可以是 IP地址。 訪問控制列表的創(chuàng)建 一個訪問控制列表是由 permit | deny語句組成的一系列的規(guī)則列表，若干個規(guī)則列表構成一個訪問控制列表。 創(chuàng)建一個訪問控制列表，先確定 ACL是數(shù)字型的還是名字型的，需要指定如下參數(shù)： ACL如果是名字型的， ACL還需要指定 ACL的用途類型，指定該訪問控制列表的匹配順序，可以使用如下命令創(chuàng)建一個訪問控制列表： acl { number aclnumber | name aclname [ basic | advanced | interface ] } [ matchorder { config | auto } ] 使用如下的命令刪除一個或所有的訪問控制列表： undo acl { number aclnumber | name aclname |