第五章 安全配置命令

5.1 AAA和Radius协议配置命令

AAA和Radius协议配置命令包括：

aaa accounting optional

aaa authentication local-first

aaa authentication ppp

aaa enable

ip local pool

peer default ip address

radius-server dead-time

radius-server host

radius-server key

radius-server realtime-acct-timeout

radius-server retransmit

radius-server timeout

show aaa user

5.1.1 aaa accounting optional

打开或关闭AAA记帐选择开关。

[ no ] aaa accounting optional

【缺省情况】

系统缺省为关闭AAA记帐选择开关。

【命令模式】

全局配置模式

【使用指南】

NAS 向记账服务器发记账包后，系统会启动定时器，如果没有收到记账服务器的响应，则由NAS负责重传，当重传次数大于系统配置的最大重传次数后仍未有记账服务器的响应，此时若配置了aaa accounting optional 命令，则用户可以继续使用网络资源。否则用户将被切断。

【举例】

打开AAA记帐选择开关。

Quidway(config)#aaa accounting optional

【相关命令】

aaa enable

5.1.2 aaa authentication local-first

允许或禁止AAA的本地优先验证。

[ no ] aaa authencation local-first

【缺省情况】

AAA缺省不使用本地优先验证。

【命令模式】

全局配置模式

【使用指南】

aaa authentication local-first和aaa authentication ppp既共同起作用，又有不同之处。

从以下两个例子中可以看出二者不同之处。

例1：Quidway(config)#aaa authentication local-first

Quidway(config)#aaa authentication ppp default radius

例2：Quidway(config)#aaa authentication ppp default local radius

在例1中，系统首先进行本地验证，如果验证失败，则继续进行 RADIUS 验证；但在例2中，系统也首先进行本地验证，如果验证失败，则表明为非法访问，不再继续进行 RADIUS 验证。

【相关命令】

aaa authentication ppp

5.1.3 aaa authentication ppp

配置AAA的PPP验证方法表。

aaa authentication ppp { default | list-name } { method1 } [ method2 ... ]

no aaa authencation ppp { default | list-name }

【参数说明】

各参数意义如下：

default 为PPP缺省用的验证方法表名，如果封装PPP的接口上没有定义验证方法，则缺省使用该方法表。

list-name 用户输入的方法表名，使用时需与ppp authentication 命令相配合，使该方法表list-name用于某接口的PPP验证。

method 为验证方法，有以下三种验证方法：

radius —— 用RADIUS服务器进行验证

local —— 在本地进行验证（请参见PPP配置）

none —— 所有用户不需进行验证便可得到访问权

在配置验证方法表时，至少需要指定一种验证方法，如果指定多种验证方法，则在进行PPP验证时，首先采用method1，如果发生验证错误（如无法与RADIUS服务器建立通信连接等错误），再采用method2，依次类推；但如果在采用某种方法验证失败后（即为非法访问），则不再采用其后方法而终止验证。另外 none 方法只有放在最后才有意义。

【缺省情况】

对于PPP用户如果没有指定验证方法，则缺省采用default验证方法表。

【命令模式】

全局配置模式

【使用指南】

PPP的CHAP或PAP验证只是验证过程，通过该验证过程获取到对端用户名和密码等信息，能否通过验证，还需要由AAA确定。

AAA的PPP验证方法表中可以指明三种验证方法：local、radius和none。其中local 为用本地数据库进行验证，radius表示由Radius服务器进行验证，none表示不验证。

本地数据库由 user 和 no user 命令配置。

【举例】

配置PPP的缺省验证方法表，要求先采用Radius服务器验证，如果未得到响应则改用本地验证，若仍未得到响应则不再验证。

Quidway(config)#aaa authentication ppp default radius local none

【相关命令】

aaa authentication local-first，ppp authentication，user，no user

5.1.4 aaa enable

使能或禁止AAA。

[ no ] aaa enable

【缺省情况】

系统缺省未禁止AAA。

【命令模式】

全局配置模式

【使用指南】

只有使能AAA后，才能配置AAA的其它参数。

【举例】

使能AAA。

Quidway(config)#aaa enable

5.1.5 ip local pool

定义或取消为PPP用户分配本地的IP地址池。

ip local pool pool-number low-ip-address [ high-ip-address ]

no ip local pool pool-number

【参数说明】

pool-number为地址池编号，范围0~99，表示系统最多可以定义100个本地IP地址池。

low-ip-address 和 high-ip-address 分别为IP地址池的起始和结束IP地址。

【缺省情况】

系统缺省没有本地IP地址池，如果在定义IP地址池时，没有指定结束IP地址，则该地址池中只有一个IP地址，即起始IP地址。

【命令模式】

全局配置模式

【使用指南】

配置IP地址池，主要用于为PPP用户分配IP地址。

【举例】

配置从129.102.0.1到129.102.0.10的本地IP地址池0。

Quidway(config)#ip local pool 0 129.102.0.1 129.102.0.10

【相关命令】

peer default ip address

5.1.6 peer default ip address

配置或取消为PPP用户分配的IP地址。

peer default ip address { ip-address | pool [ pool-number ] }

no peer default ip address

【参数说明】

ip-address为PPP用户分配的IP地址。

pool-number为PPP用户分配的IP地址池。

【缺省情况】

如果不指定地址池号，则缺省为地址池0。

【命令模式】

接口配置模式

【使用指南】

只有在封装PPP的接口上，才可以配置为对端PPP用户分配的IP地址。

【举例】

在接口Serial0上封装PPP协议，并为对端PPP用户分配IP地址129.102.0.1。

Quidway(config-if-Serial0)#encapsulation ppp

Quidway(config-if-Serial0)#peer default ip address 129.102.0.1

【相关命令】

encapsulation ppp，ip local pool

5.1.7 radius-server dead-time

配置Radius服务器down掉后的恢复时间(dead-time)， no radius-server dead-time 恢复缺省配置。

radius-server dead-time minutes

no radius-server dead-time

【参数说明】

minutes 为Radius 服务器 down 掉后的恢复时间，单位分钟。

【缺省情况】

Radius 服务器 down 掉后的恢复时间缺省为5分钟。

【命令模式】

全局配置模式

【使用指南】

Radius服务器出故障后（如NAS到服务器的线路出现故障或服务器上的 Radius 进程出现故障），系统会将其状态设置成无效状态，经上述配置时间间隔后，系统会将其状态设置成有效状态，如果当前正在使用的服务器又出现故障，系统将自动检测原来的那个服务器是否可以投入使用。

【举例】

配置Radius服务器down掉后恢复时间为10分钟。

Quidway(config)#radius-server dead-time 10

5.1.8 radius-server host

配置或取消Radius服务器的IP地址和监听端口号。

radius-server host { hostname | ip-address } [ auth-port port-number ] [ acct-port port-number ]

no radius-server host { hostname | ip-address }

【参数说明】

hostname为Radius服务器的主机名。

ip-address为Radius服务器的IP地址，点分十进制格式。

auth-port 指定验证监听端口号。

acct-port 指定记帐监听端口号。

port-number 为Radius服务器的监听端口号的值，0表示不作为验证或记帐服务器使用。

【缺省情况】

验证端口号的缺省值为1812，记帐端口号的缺省值为1813。

【命令模式】

全局配置模式

【使用指南】

用户可以多次执行该命令，配置多个Radius服务器，系统将根据配置时间的先后选择Radius服务器，当一个服务器失效后，系统会自动选择下一个服务器，直到最后一个服务器失效为止。

【举例】

指定IP地址为 129.102.0.2 的主机只作为验证服务器，验证端口为1000。

Quidway(config)#radius-server host 129.102.0.2 auth-port 1000 acct-port 0

5.1.9 radius-server key

配置或删除Radius服务器的密钥。

[ no ] radius-server key string

【参数说明】

string为Radius服务器的密钥。

【命令模式】

全局配置模式

【使用指南】

密钥用于加密用户口令以及生成回应验证符（Response Authenticator）。

【举例】

配置Radius服务器的密钥为Quidway。

Quidway(config)#radius-server key Quidway

5.1.10 radius-server realtime-acct-timeout

配置Radius 实时记帐包发送间隔时间，no radius-server realtime-acct-timeout 命令恢复缺省配置。

radius-server realtime-acct-timeout minutes

no radius-server realtime-acct-timeout

【参数说明】

minutes为Radius 实时记帐包发送间隔时间，单位分钟。

【缺省情况】

系统缺省的Radius 实时记帐包发送间隔时间为0，即不使用实时记帐。

【命令模式】

全局配置模式

【使用指南】

用户通过验证后，NAS以配置的间隔时间向Radius服务器发送用户的实时记帐信息，如果实时记帐请求失败，将根据accounting optional 命令配置情况对用户进行处理，如果用户配置了accounting optional，NAS将允许用户继续使用网络服务，反之则NAS会将用户挂断。

【举例】

配置Radius实时记帐包发送间隔时间为2分钟。

Quidway(config)#radius-server realtime-acct-timeout 2

5.1.11 radius-server retransmit

配置Radius重传次数，no radius-server retransmit命令恢复缺省配置。

radius-server retransmit retries

no radius-server retransmit

【参数说明】

retries为Radius重传次数。

【缺省情况】

系统缺省的Radius重传次数为3。

【命令模式】

全局配置模式

【使用指南】

当首选服务器不能正常工作时，在候选服务器启动之前，需重传AAA请求 。重传AAA请求计数超出规定最大重传次数后，认为该服务器已不能正常工作。

【举例】

配置Radius服务器重传次数为2。

Quidway(config)#radius-server retransmit 2

radius-server timeout

配置Radius服务器的超时定时器，no radius-server timeout命令恢复缺省配置。

radius-server timeout seconds

5.1.12 radius-server timeout

【参数说明】

seconds 为Radius服务器的超时定时器值，单位为秒。

【缺省情况】

Radius服务器超时定时器缺省为10秒。

【命令模式】

全局配置模式

【使用指南】

对发送出去的包，如果需要对方应答（如验证请求包），则设置一个超时定时器，超时后重发此报文。

【举例】

配置Radius服务器的超时定时器为5秒。

Quidway(config)#radius-server timeout 5

5.1.13 show aaa user

显示拨入用户的情况。

show aaa user

【命令模式】

特权用户模式。

【使用指南】

根据该命令的输出信息，可以监控拨入用户和进行AAA故障诊断等。

【举例】

Quidway#show aaa user

liusongtao 0xca260102 2 00:48:10 active

以上信息显示用户名、用户的 IP 地址、用户呼叫号码、用户拨入号码 和用户的计帐时间等信息。

5.2 终端访问安全配置命令

终端访问安全配置命令包括：

enable password

5.2.1 enable password

配置特权用户口令。

enable password password

【参数说明】

password 为特权用户口令。

【缺省情况】

系统缺省的特权用户口令为空。

【命令模式】

全局配置模式

【使用指南】

配置特权用户口令，可以防止未授权用户的非法侵入，另外在长时间离开终端屏幕时，最好执行exit命令退出命令行接口。

【举例】

配置路由器的特权用户口令为quidway。

Quidway(config)#enable password quidway

【相关命令】

enable，disable

5.3 防火墙配置命令

防火墙配置命令包括：

access-list

clear access-list counters

firewall

firewall default

ip access-group

settr

show access-list

show firewall

show isintr

show timerange

timerange

5.3.1 access-list

用于创建访问规则。

（1）创建标准访问列表

access-list [ normal | special ] listnumber1 { permit | deny } source-addr [ source-mask ]

（2）创建扩展访问列表

access-list [ normal | special ] listnumber2 { permit | deny } protocol source-addr source-mask [ operator port1 [ port2 ] ] dest-addr dest-mask [ operator port1 [ port2 ] | icmp-type [ icmp-code ] ] [ log ]

（3）删除访问列表

no access-list { normal | special } { all | listnumber [ subitem ] }

【参数说明】

normal 指定规则加入普通时间段。

special 指定规则加入特殊时间段。

listnumber1 是1到99之间的一个数值，表示规则是标准访问列表规则。

listnumber2 是100到199之间的一个数值，表示规则是扩展访问列表规则。

permit 表明允许满足条件的报文通过。

deny 表明禁止满足条件的报文通过。

protocol 为协议类型，支持ICMP、TCP、UDP等，其它的协议也支持，此时没有端口比较的概念；为IP时有特殊含义，代表所有的IP协议。

source-addr 为源地址。

source-mask 为源地址通配位，在标准访问列表中是可选项，不输入则代表通配位为0.0.0.0。

dest-addr 为目的地址。

dest-mask 为目的地址通配位。

operator[可选] 端口操作符，在协议类型为TCP或UDP时支持端口比较，支持的比较操作有：等于（eq）、大于（gt）、小于（lt）、不等于（neq）或介于（range）；如果操作符为range，则后面需要跟两个端口。

port1 在协议类型为TCP或UDP时出现，可以为关键字所设定的预设值（如telnet）或0~65535之间的一个数值。

port2 在协议类型为TCP或UDP且操作类型为range时出现；可以为关键字所设定的预设值（如telnet）或0~65535之间的一个数值。

icmp-type[可选] 在协议为ICMP时出现，代表ICMP报文类型；可以是关键字所设定的预设值（如echo-reply）或者是0~255之间的一个数值。

icmp-code在协议为ICMP且没有选择所设定的预设值时出现；代表ICMP码，是0~255之间的一个数值。

log [可选] 表示如果报文符合条件，需要做日志。

listnumber 为删除的规则序号，是1~199之间的一个数值。

subitem[可选] 指定删除序号为listnumber的访问列表中规则的序号。

【缺省情况】

系统缺省不配置任何访问规则。

【命令模式】

全局配置模式

【使用指南】

同一个序号的规则可以看作一类规则；所定义的规则不仅可以用来在接口上过滤报文，也可以被如DDR等用来判断一个报文是否是感兴趣的报文，此时，permit与deny表示是感兴趣的还是不感兴趣的。

使用协议域为IP的扩展访问列表来表示所有的IP协议。

同一个序号之间的规则按照一定的原则进行排列和选择，这个顺序可以通过 show access-list 命令看到。

【举例】

允许源地址为10.1.1.0 网络、目的地址为10.1.2.0网络的WWW访问，但不允许使用FTP。

Quidway(config)#access-list 100 permit tcp 10.1.1.0 0.0.0.255 10.1.2.0 0.0.0.255 eq www

Quidway(config)#access-list 100 deny tcp 10.1.1.0 0.0.0.255 10.1.2.0 0.0.0.255 eq ftp

【相关命令】

ip access-group

5.3.2 clear access-list counters

清除访问列表规则的统计信息。

clear access-list counters [ listnumber ]

【参数说明】

listnumber [可选] 要清除统计信息的规则的序号，如不指定，则清除所有的规则的统计信息。

【缺省情况】

任何时候都不清除统计信息。

【命令模式】

特权用户模式

【使用指南】

使用此命令来清除当前所用规则的统计信息，不指定规则编号则清除所有规则的统计信息。

【举例】

例1：清除当前所使用的序号为100的规则的统计信息。

Quidway#clear access-list counters 100

例2：清除当前所使用的所有规则的统计信息。

Quidway#clear access-list counters

【相关命令】

access-list

5.3.3 firewall

启用或禁止防火墙。

firewall { enable | disable }

【参数说明】

enable 表示启用防火墙。

disable 表示禁止防火墙。

【缺省情况】

系统缺省为禁止防火墙。

【命令模式】

全局配置模式

【使用指南】

使用此命令来启用或禁止防火墙，可以通过show firewall命令看到相应结果。如果采用了时间段包过滤，则在防火墙被关闭时也将被关闭；该命令控制防火墙的总开关。在使用 firewall disable 命令关闭防火墙时，防火墙本身的统计信息也将被清除。

【举例】

启用防火墙。

Quidway(config)#firewall enable

【相关命令】

access-list，ip access-group

5.3.4 firewall default

配置防火墙在没有相应的访问规则匹配时，缺省的过滤方式。

firewall default { permit | deny }

【参数说明】

permit 表示缺省过滤属性设置为“允许”。

deny 表示缺省过滤属性设置为“禁止”。

【缺省情况】

在防火墙开启的情况下，报文被缺省允许通过。

【命令模式】

全局配置模式

【使用指南】

当在接口应用的规则没有一个能够判断一个报文是否应该被允许还是禁止时，缺省的过滤属性将起作用；如果缺省过滤属性是“允许”，则报文可以通过，否则报文被丢弃。

【举例】

设置缺省过滤属性为“允许”。

Quidway(config)#firewall default permit

5.3.5 ip access-group

使用此命令将规则应用到接口上。使用此命令的no形式来删除相应的设置。

ip access-group listnumber { in | out }

[ no ] ip access-group listnumber { in | out }

【参数说明】

listnumber 为规则序号，是1~199之间的一个数值。

in 表示规则用于过滤从接口收上来的报文。

out 表示规则用于过滤从接口转发的报文。

【缺省情况】

没有规则应用于接口。

【命令模式】

接口配置模式。

【使用指南】

使用此命令来将规则应用到接口上；如果要过滤从接口收上来的报文，则使用 in 关键字；如果要过滤从接口转发的报文，使用out 关键字。一个接口的一个方向上最多可以应用20类不同的规则；这些规则之间按照规则序号的大小进行排列，序号大的排在前面，也就是优先级高。对报文进行过滤时，将采用发现符合的规则即得出过滤结果的方法来加快过滤速度。所以，建议在配置规则时，尽量将对同一个网络配置的规则放在同一个序号的访问列表中；在同一个序号的访问列表中，规则之间的排列和选择顺序可以用show access-list命令来查看。

【举例】

将规则101应用于过滤从以太网口收上来的报文。

Quidway(config-if-Ethernet0)#ip access-group 101 in

【相关命令】

access-list

5.3.6 settr

设定或取消特殊时间段。

settr begin-time end-time

no settr

【参数说明】

begin-time 为一个时间段的开始时间。

end-time 为一个时间段的结束时间，应该大于开始时间。

【缺省情况】

系统缺省没有设置时间段，即认为全部为普通时间段。

【命令模式】

全局配置模式

【使用指南】

使用此命令来设置时间段；可以最多同时设置6个时间段，通过show timerange 命令可以看到所设置的时间。如果在已经使用了一个时间段的情况下改变时间段，则此修改将在一分钟左右生效（系统查询时间段的时间间隔）。设置的时间应该是24小时制。如果要设置类似晚上9点到早上8点的时间段，可以设置成“settr 21:00 23:59 0:00 8:00”，因为所设置的时间段的两个端点属于时间段之内，故不会产生时间段内外的切换。另外这个设置也经过了2000问题的测试。

【举例】

例1：设置时间段为8:30 ~ 12:00，14:00 ~ 17:00。

Quidway(config)#settr 8:30 12:00 14:00 17:00

例2： 设置时间段为晚上9点到早上8点。

Quidway(config)#settr 21:00 23:59 0:00 8:0

【相关命令】

timerange，show timerange

5.3.7 show access-list

显示包过滤规则及在接口上的应用。

show access-list [ all | listnumber | interface interface-name ]

【参数说明】

all 表示所有的规则，包括普通时间段内及特殊时间段内的规则。

listnumber 为显示当前所使用的规则中序号为listnumber的规则。

interface 表示要显示在指定接口上应用的规则序号。

interface-name 为接口的名称。

【命令模式】

特权用户模式

【使用指南】

使用此命令来显示所指定的规则，同时查看规则过滤报文的情况。每个规则都有一个相应的计数器，如果用此规则过滤了一个报文，则计数器加1；通过对计数器的观察可以看出所配置的规则中，哪些规则是比较有效，而哪些基本无效。可以通过带interface关键字的show access-list命令来查看某个接口应用规则的情况。

【举例】

例1：显示当前所使用的序号为100的规则。

Quidway#show access-list 100

Using normal packet-filtering access rules now.

100 deny icmp 10.1.0.0 0.0.255.255 any host-redirect (3 matches,252 bytes -- rule 1)

100 permit icmp 10.1.0.0 0.0.255.255 any echo (no matches -- rule 2)

100 deny udp any any eq rip (no matches -- rule 3)

例2： 显示接口Serial0上应用规则的情况。

Quidway#show access-list interface serial 0

Serial0:

access-list filtering In-bound packets : 120

access-list filtering Out-bound packets: None

【相关命令】

access-list

5.3.8 show firewall

显示防火墙状态。

show firewall

【命令模式】

特权用户模式

【使用指南】

使用此命令来显示防火墙的状态，包括防火墙是否被启用，启用防火墙时是否采用了时间段包过滤及防火墙的一些统计信息。

【举例】

显示防火墙状态。

Quidway#show firewall

Firewall is enable, default filtering method is 'permit'.

TimeRange packet-filtering enable.

InBound packets: None;

OutBound packets: 0 packets, 0 bytes, 0% permitted,

0 packets, 0 bytes, 0% denied,

2 packets, 104 bytes, 100% permitted defaultly,

0 packets, 0 bytes, 100% denied defaultly.

From 00:13:02 to 06:13:21: 0 packets, 0 bytes, permitted.

【相关命令】

firewall

5.3.9 show isintr

显示当前时间是否在时间段之内。

show isintr

【命令模式】

特权用户模式

【使用指南】

使用此命令来显示当前时间是否在时间段之内。

【举例】

显示当前时间是否在时间段之内。

Quidway#show isintr

It is NOT in time ranges now.

【相关命令】

timerange，settr

5.3.10 show timerange

显示时间段包过滤的信息。

show timerange

【命令模式】

特权用户模式

【使用指南】

使用此命令来显示当前是否允许时间段包过滤及所设置的时间段。

【举例】

显示时间段包过滤的信息。

Quidway#show timerange

TimeRange packet-filtering enable.

beginning of time range:

01:00 - 02:00

03:00 - 04:00

end of time range.

【相关命令】

timerange，settr

5.3.11 timerange

启用或禁止时间段包过滤功能。

timerange { enable | disable }

【参数说明】

enable 表示启用时间段包过滤。

disable 表示禁止采用时间段包过滤。

【缺省情况】

系统缺省为禁止时间段包过滤功能。

【命令模式】

全局配置模式

【使用指南】

使用此命令来启用或禁止时间段包过滤功能，可以通过show firewall命令看到，也可以通过show timerange命令看到配置结果。在时间段包过滤功能被启用后，系统将根据当前的时间和设置的时间段来确定使用时间段内（特殊）的规则还是时间段外（普通）的规则。系统查询时间段的精确度为1分钟。所设置的时间段的两个端点属于时间段之内。

【举例】

启用时间段包过滤功能。

Quidway(config)#timerange enable

【相关命令】

settr，show timerange

• 上一篇: 蓝盟IT外包，元宇宙：四梁八柱是什么
  下一篇: 第四章  网络协议配置命令

• 分享到：