烽火2640路由器命令行手冊-07-安全配置命令

第1章   AAA配置命令

1.1  認證命令

本章描述了用來配置AAA認證方法的命令。認證在用戶被允許訪問網絡和網絡服務之前對他們作出訪問權利的鑑定。

如果想得到關於怎樣用AAA的方法來配置認證的信息，請查閱“配置認證”。如果想查閱使用本章中命令進行配置的例子，閱讀“配置認證”文檔最後的示例部分。

1.1.1   aaa authentication enable default

要開放AAA認證，以確定某個用戶是否可以訪問特權級別的命令，使用本地配置命令aaa authentication enable default。使用該命令的no形式關閉這種認證方法。

aaa authentication enable default method1 [method2...]

no aaa authentication enable default

參數

參數	參數說明
method	至少爲表1中所給出的關鍵字之一

缺省

如果沒有設置default，除console能登陸成功外，其它皆返回認證失敗結果。

如果設置了default表，如果不存在相應特權級別的enable口令，則進入該特權級別的認證過程的返回結果總是認證失敗。

命令模式

全局配置態

使用說明

使用aaa authentication enable default命令創建一系列的認證方法，這些方法用來確定某個用戶是否可以使用特權級別的命令。關鍵字method在表1中已經作了說明。只有在前面的認證方法返回錯誤時，才使用其它的認證方法，如果前面的認證方法返回結果通知認證失敗，則不使用其它的認證方法。若希望即使所有的認證方法都返回失敗，認證仍然成功，則可以把none指定爲命令行的最後一個認證方法。

另外，如果使用RADIUS或TACACS+方式進行enable認證，使用的用戶名不同，使用RADIUS認證時，用戶名爲$ENABLElevel$，其中level是指用戶要進入的特權級別；使用TACACS+認證時，用戶名爲該用戶登錄路由器時使用的用戶名，相關的具體配置請參照“AAA認證配置 ”文檔中相關章節。

表1：AAA認證的有效缺省方法。

關鍵字	描述
group WORD	使用命名的服務器組進行認證。
group tacacs+	使用TACACS+進行認證。
group radius	使用RADIUS進行認證。
enable	使用enable口令進行認證。
line	使用線路口令進行認證。
none	認證無條件通過。

示例

下面的示例創建一張認證列表，該列表首先嚐試與TACACS+服務器聯繫。如果沒有發現TACACS+服務器或服務器返回錯誤，AAA嘗試使用enable口令。如果這種嘗試也返回錯誤（由於服務器上沒有配置有效的口令），則允許用戶不經認證就可以訪問服務器。

aaa authentication enable default tacacs+ enable none

相關命令

enable password

1.1.2   aaa authentication login

要設置在登錄時進行AAA認證，使用全局配置命令aaa authentication login。使用本命令的no形式關閉AAA認證。

aaa authentication login {default | list-name} method1[method2...]

no aaa authentication login {default | list-name}

參數

參數	參數說明
default	使用跟隨在該參數後面所列的認證方法作爲用戶註冊時缺省的方法列表。
list-name	用來命名認證方法列表的字符串，用戶登錄時將激活認證方法列表中所列的方法。
method	至少爲表2中描述的關鍵字之一。

缺省

如果用戶在請求login服務時，搜索不到指定或者默認的方法列表，則除console以外，一律返回認證失敗結果。

命令模式

全局配置態

使用說明

使用aaa authentication login命令創建的缺省列表或其他命名列表將由命令login authentication作用於某一具體線路。

只有前面的方法返回錯誤時，才使用其它的認證方法，如果前面的認證方法返回失敗，則不使用其它的認證方法。要確保即使所有的方法都返回錯誤仍能認證成功，可將none指定爲該命令行的最後方法。

表2：AAA認證的註冊方法

關鍵字	描述
enable	使用enable口令進行認證。
group WORD		使用命名的服務器組進行認證。
group tacacs+		使用TACACS+進行認證。
group radius		使用RADIUS進行認證。
line	使用line密碼進行認證。
local	使用本地用戶名數據庫進行認證 。
local-case	使用本地用戶名數據庫進行認證(用戶名區分大小寫) 。
none	不進行認證 。

示例

下面的示例創建一張名爲“TEST”的AAA認證方法列表。這個認證首先嚐試與TACACS+服務器聯繫。如果沒有發現服務器或TACACS+返回錯誤，AAA嘗試使用enable口令。如果這種嘗試也返回錯誤（由於路由器上沒有配置enable口令），則允許該用戶不經認證訪問網絡。

aaa authentication login TEST tacacs+ enable none

下面的示例創建同樣的列表，但設置了缺省列表，如果沒有指定其它列表，所有登錄認證均使用這個列表：

aaa authentication login default tacacs+ enable none

相關命令

username

enable password

1.1.3   aaa authentication ppp

要指定一種或者多種用於運行PPP的串行接口的AAA認證方法，可以使用全局配置命令aaa authentication ppp。使用該命令的no形式關閉認證。

aaa authentication ppp {default | list-name} method1 [method2...]

no aaa authentication ppp {default | list-name}

參數

參數	參數說明
default	將跟隨在該參數後面所列的認證方法作爲用戶註冊時使用的缺省認證方法；
list-name	用來命名認證方法列表的字符串；
mehod1 [method2...]	至少爲表3中描述的方法之一。

缺省

如果用戶在請求login服務時，搜索不到指定或者默認的方法列表，則一律返回認證失敗結果。

命令模式

全局配置態

使用說明

使用aaa authentication ppp命令創建的缺省列表和命名列表在ppp authentication命令中引用。這些列表至多能夠包含四種認證方法，用戶連接到該串行接口時使用這些認證方法。

通過輸入aaa authentication ppp list-name method命令來創建列表，其中list-name是用來命名該列表的任何字符串。參數method指定具體認證方法，認證過程按配置次序使用這些方法。可以至多輸入四種方法。方法關鍵字在表3中描述。

認證失敗，則不再使用其它的認證方法。在命令行中指定none作爲最後的方法，則即使所有的方法均返回錯誤，仍能認證成功。

表3：AAA認證的PPP方法 。

關鍵字	描述
group WORD	使用命名的服務器組進行認證。
group tacacs+	使用TACACS+進行認證。
group radius	使用RADIUS進行認證。
local	使用本地用戶名數據庫進行認證。
local-case	使用本地用戶名數據庫進行認證(用戶名區分大小寫) 。
none	不進行認證 。

示例

下面的示例爲使用PPP的串行線路創建一個名爲“TEST”的AAA認證列表。這種認證首次嘗試與TACACS+服務器聯繫。如果返回錯誤，則允許用戶不經認證訪問網絡。

aaa authentication ppp TEST tacacs+ none

相關命令

ppp authentication

1.1.4   aaa authentication password-prompt

要改變向用戶提示輸入口令時的文本顯示，使用全局配置命令aaa authentication password-prompt。使用該命令的no形式重新使用缺省的口令提示文本。

aaa authentication password-prompt text-string

no aaa authentication password-prompt

參數

參數	參數說明
test-string	向用戶提示輸入口令時將要顯示的文本。

缺省

沒有用戶定義的text-string時，口令提示爲“Password：”。

命令模式

全局配置態

使用說明

使用aaa authentication password-prompt命令可改變向用戶提示輸入口令時顯示的缺省文字信息。這條命令不但改變enable口令的口令提示，也改變登錄口令的口令提示。該命令的no形式將口令提示改回到缺省值：

Password:

aaa authentication password-prompt命令不改變由遠程TACACS+或RADIUS服務器提供的任何提示信息。

示例

下面的示例將口令提示修改爲“YourPassword:”：

aaa authentication password-prompt YourPassword:

相關命令

aaa authentication username-prompt

1.1.5   aaa authentication username-prompt

要改變向用戶提示輸入用戶名時的文本顯示，使用全局配置命令aaa authentication username-prompt。使用該命令的no形式返回到缺省的用戶名提示字符串。

aaa authentication username-prompt text-string

no aaa authentication username-prompt

參數

參數	參數說明
text-string	向用戶提示輸入用戶名時將要顯示的文本。

缺省

沒有用戶定義的text-string時，用戶名提示字符串爲“Username”。

命令模式

全局配置態

使用說明

使用aaa authentication username-prompt命令改變向用戶提示輸入用戶名時顯示的提示字符串。該命令的no形式將用戶名提示修改爲缺省值：

Username:

某些協議（如TACACS+）具備覆蓋本地用戶名提示信息的能力。在這種情況下，使用aaa authentication username-prompt命令將不改變用戶名提示字符串。

注意：

aaa authentication username-prompt命令不改變由遠程TACACS+服務器提供的任何提示信息。

示例

下面的示例將用戶名提示修改爲所示字符串：

aaa authentication username-prompt YourUsernam。

相關命令

aaa authentication password-prompt

1.1.6   aaa authentication banner

要配置個性化風格的標語(該標語在用戶登陸時顯示)，可以使用全局配置命令aaa authentication banner。使用該命令的no形式刪除標語。

aaa authentication banner delimiter string delimiter

no aaa authentication banner

參數

參數	參數說明
delimiter string delimiter	向用戶登陸時將要顯示的文本string，delimiter爲定界符，定界符采用雙引號

缺省

沒有用戶定義的登陸標語時，默認標語爲：

User Access Verification

命令模式

全局配置態

使用說明

創建標語時，需要配置一個定界符號，然後再配置文本字符串本身，該定界符號的作用是通知系統下面的文本字符串將被作爲標語顯示。定界字符在文本字符串的尾部重複出現，表示標語結束。

示例

下面的示例將登陸時標語提示修改爲所示字符串：

aaa authentication banner “Welcome to FHN Router”

相關命令

aaa authentication fail-message

1.1.7   aaa authentication fail-message

要配置在用戶登陸失敗時顯示的個性化風格的標語，可以使用全局配置命令aaa authentication fail-message。使用該命令的no形式刪除登陸失敗標語。

aaa authentication fail-message delimiter string delimiter

no aaa authentication fail-message

參數

參數	參數說明
delimiter string delimiter	向用戶登陸失敗時將要顯示的文本string，delimiter爲定界符，定界符采用雙引號

缺省

沒有用戶定義的登陸失敗標語時，默認的標語爲：

Authentication failed!

命令模式

全局配置態

使用說明

創建標語時，需要配置一個定界符號，然後再配置文本字符串本身，該定界符號的作用是通知系統下面的文本字符串將被作爲標語顯示。定界字符在文本字符串的尾部重複出現，表示標語結束。

示例

下面的示例將用戶名提示修改爲所示字符串：

aaa authentication fail-message “See you later”

相關命令

aaa authentication banner

1.1.8   aaa group server

我們支持配置AAA服務器組，使用下面的命令進入服務器組配置層次。使用此命令的no形式刪除已配置的服務器組。

aaa group server {radius | tacacs+}group-name

no aaa group server {radius | tacacs+} group-name

參數

參數	參數說明
group-name	服務器組的名稱字符串。

缺省

無服務器組。

命令模式

全局配置態

使用說明

使用此命令進入服務器組的配置層次，然後在其中添加相應的服務器。

示例

aaa group server radius radius-group

上面的命令將添加一個名字爲“radius-group”的radius服務器組。

相關命令

server

1.1.9   server

使用這條命令在一個AAA服務器組中添加一個服務器，使用次命令的no形式刪除一個服務器。

server A.B.C.D

no server A.B.C.D

參數

參數	參數說明
A.B.C.D	服務器的IP地址。

缺省

無服務器

命令模式

服務器組配置態

使用說明

一個服務器組中最多添加20個不同的服務器。

示例

server 12.1.1.1

上面的命令將地址爲12.1.1.1的服務器添加到服務器組中。

相關命令

aaa group server

1.1.10   service password-encryption

要對系統中相關的密碼進行加密，可使用這條命令，使用該命令的no形式可以取消對新配置密碼的加密。

service password-encryption

no service password-encryption

參數

無

缺省

不對系統中相關的密碼進行加密顯示。

命令模式

全局配置態

使用說明

目前我們路由器系統的實現中，此命令與username password、enable password和password這三條命令相關。如果沒有配置此命令（即缺省狀態），且在上述三條命令中採用密碼明文顯示方式，即在show running-config命令中可以顯示出已配置的密碼的明文；而一旦配置了這條命令後，上述三條命令中配置的密碼將被加密，無法在show running-config命令中顯示出已配置的密碼的明文，使用no service password-encryption命令也無法恢復密碼的明文顯示，所以在使用這條命令加密前請確認已經配置的密碼。no service password-encryption命令僅對使用此命令後配置的密碼有效，對使用此命令前配置的已被加密的密碼無效。

示例

router_config#service password-encryption

使用此命令對已經配置的明文密碼進行加密，且對使用此命令後的明文密碼也進行加密。

相關命令

username username password

enable password

password

1.1.11   username

要在本地用戶數據庫中增加用戶，用於本地方式的認證和授權，可使用此條命令。使用該命令的no形式可刪除相應的用戶。

username username [password {password | [encryption-type] encrypted-password }] [user-maxlinks number] [callback-dialstring string] [callback-line line] [callback-rotary rotary] [nocallback-verify] [autocommand command] [nopassword] [nohangup] [noescape] [priviledge level]

no username username

參數

參數	參數說明
username	用戶名字符串；
password	密碼字符串明文；
encryption-type	密碼加密的類型；
encrypted-password	限定的加密類型相對應的密碼的密文
user-maxlinks	同一用戶可同時與路由器建立的鏈接數（只統計通過本地認證的用戶）。
number	同時建立的鏈接數
callback-dialstring	回撥電話號碼(不支持)；
string	電話號碼字符串；
callback-line	回撥時使用的線路（不支持）；
line	線路號
callback-rotary	回撥rotary配置（不支持）；
rotary	rotary號碼；
nocallback-verify：	回撥不認證（不支持）
autocommand	當用戶登錄路由器後自動執行指定的命令。autocommand 命令必須使用在命令行的最後。
command	自動執行命令字符串。
nopassword	登陸時不需要密碼。
nohangup	阻止用戶登陸並執行自動命令完後斷開連接（不支持）。
noescape	阻止用戶登陸後使用轉義字符（不支持）。
priviledge	設置用戶的特權級別。
level	用來設置用戶特權級別的值，範圍在0~15。

缺省

沒有用戶。

命令模式

全局配置態

使用說明

當沒有password參數時，認爲密碼爲空字符串。

user-maxlinks限制了同一個用戶名同時可以與路由器建立的會話數，但是當此用戶的某個會話不是由本地認證方式（local）認證時將不被計算在內。可通過show aaa users命令查看每個在線用戶是通過了那一種方式的認證。

我們路由器配置的密碼中不能包括空格，即在使用enable password命令時，如果需要直接輸入密碼明文時，不能輸入空格。

目前我們路由器系統中所支持的encryption-type只有兩種，在命令中的參數分別爲0和7，0代表0表示不加密，後面的encrypted-password直接輸入密碼的明文，這種方法和不加encryption-type而直接輸入password參數的方法效果相同；7表示使用一種本公司自定義的算法來進行加密，後面的encrypted-password需要輸入加密後的密碼密文，這個密文可以從其他路由器的配置文件中拷貝出來。

示例

下面的示例增加本地用戶，用戶名爲someone，密碼爲someother：

username someone password someother

下面的示例增加了本地用戶，用戶名爲Oscar，密碼爲Joan，採用的encryption-type爲7，即加密方法，需要輸入密碼密文：

enable password 7 1105718265

假設Joan的密文爲1105718265，該密文的值是從其他路由器上的配置文件中獲得的。

相關命令

aaa authentication login

aaa authentication ppp

1.1.12   enable password

如果希望對進入特權級別的用戶進行認證，可以通過enable password命令配置相應特權級別的認證密碼。使用該命令的no形式取消此密碼。

enable password {password| [encryption-type] encrypted-password} [levelnumber]

no enable password [level number]

參數

參數	參數說明
password	密碼字符串明文；
encryption-type	密碼加密的類型；
encrypted-password和encryption-type	限定的加密類型相對應的密碼的密文；
level	特權級別；
number	特權級別具體取值（1－15）；

缺省

沒有密碼。

命令模式

全局配置態

使用說明

我們路由器配置的密碼中不能包括空格，即在使用enable password命令時，如果需要直接輸入密碼明文時，不能輸入空格。 密碼明文的長度不能超過126個字符。

當沒有輸入level參數時，缺省認爲是第15級。特權級別越大擁有的權限越大。若某個特權級別沒有配置密碼，則當用戶進入此級別時將返回認證失敗。

目前我們路由器系統中所支持的encryption-type只有兩種，在命令中的參數分別爲0和7，0代表0表示不加密，後面的encrypted-password直接輸入密碼的明文，這種方法和不加encryption-type而直接輸入password參數的方法效果相同；7表示使用一種本公司自定義的算法來進行加密，後面的encrypted-password需要輸入加密後的密碼密文，這個密文可以從其他路由器的配置文件中拷貝出來。

示例

下面的示例增加特權級別10的密碼爲clever，採用的encryption-type爲0，即密碼明文方式：

enable password 0 clever level 10

下面的示例增加了缺省特權級別（15級）的密碼爲Oscar，採用的encryption-type爲7，即加密方法，需要輸入密碼密文：

enable password 7 074A05190326

假設Oscar的密文爲074A05190326，該密文的值是從其他路由器上的配置文件中獲得的。

相關命令

aaa authentication enable default

service password-encryption

1.1.13   debug aaa authentication

如果希望對用戶的認證過程進行跟蹤，可使用debug aaa authentication命令。使用此命令的no形式關掉debug信息。

debug aaa authentication

no debug aaa authentication

參數

無

缺省

關閉debug信息。

命令模式

管理態

使用說明

使用此命令可跟蹤每個用戶的認證過程，以發現認證失敗的原因。

相關命令

debug aaa authorization

debug aaa accounting

1.1.14   show aaa users

要顯示所有在線AAA用戶的概要信息，可使用show aaa users命令。

show aaa users

參數

無

缺省

無

命令模式

管理態

使用說明

使用此命令可顯示所以的在線用戶，包括以下信息：接口（port）、用戶名(username)、服務類型(service)、在線持續時間(time)以及IP地址(peer_address)。

示例

#show aaa users

Port               User                            Service             Duration              Peer-address

===============================================================

console 0     zjl                                 exec                   04:14:03             unknown

vty 0               fhn                      exec                   00:12:24              172.16.20.120

serial2/1        admin                         ppp(chap)         01:43:09             192.168.20.87

域	解釋
Port	用戶所處的接口ID或Vty的索引號。
User	用戶名字符串。
Service	用戶請求的服務。
Duration	用戶在線的持續統計時間。
Peer-address	用戶所處的遠端主機IP地址。

相關命令

username

1.2  授權命令

本章描述了用來配置AAA授權方法的命令。AAA授權可以限制對某個用戶的有效服務，當AAA授權有效時，路由器使用從用戶開工文檔（profile）中檢索出的信息配置該用戶的會話，用戶的開工文檔位於本地用戶數據庫或者位於安全服務器上。完成這件工作後，就允許該用戶訪問所要求的服務，只要包含在用戶開工文檔中的信息允許提供這項服務。

如果想得到關於怎樣用AAA的方法來配置授權的信息，請查閱“配置授權”。如果想查閱使用本章中命令進行配置的例子，閱讀“配置授權”文檔最後的示例部分。

1.2.1   aaa authorization

使用全局配置命令aaa authorization設置參數來限制用戶的網絡訪問權限。使用該命令的no形式關閉某個功能的授權。

aaa authorization { network | exec } {default | list-name} [method1 [method2...] ]

no aaa authorization { network | exec } {default | list-name}

參數

參數	參數說明
network	網絡類型服務的授權，如：PPP、SLIP
exec	適用於與用戶EXEC終端對話相關的屬性，決定用戶註冊時是否允許啓動EXEC外殼程序，或者授予用戶進入EXEC shell時的特權級別。
default	缺省授權方法列表。
list-name	用來命名授權方法列表的字符串。
method1 [method2...]	授權方法，參見“授權配置”文檔

缺省

用戶要求進行授權，但沒有在相應的線路或接口上指定要求使用的授權方法列表，則會使用缺省方法列表。如果沒有定義缺省方法列表，則不發生授權行爲。

命令模式

全局配置態

使用說明

使用aaa authorization命令開啓授權，創建授權方法列表，定義在用戶訪問指定功能時可使用的授權方法。授權方法列表定義了授權執行的方式以及執行這些授權方法的次序。方法列表只是一張簡單的命名列表，它描述要順序查詢的授權方法（如RADIUS或TACACS+）。方法列表可以指定一個或多個用來授權的安全協議，因此，它能夠確保萬一前面所列的授權方法失敗後有一個備用的方法。 一般情況下，先使用所列的第一個方法試圖授予用戶訪問指定網絡服務的權限；如果該方法沒有響應，再選擇方法列表中所列的下一個方法。這個過程繼續進行下去，直到使用的某個授權方法成功地返回授權結果，或者用完了所定義的所有方法。

一旦定義了授權方法列表後，在所定義的方法被執行之前，該方法列表必須應用到指定的線路或接口上。作爲授權過程的一部分，授權命令向RADIUS或TACACS＋服務器程序發送包括一系列AV對的請求包。服務器可能執行下述動作之一：

l   完全接受請求。

l   接受請求，並增加屬性限制用戶服務權限。

l   拒絕請求，授權失敗。

示例

下述示例定義名爲have_a_try的網絡授權方法列表，該方法列表指定在使用PPP的串行線路上使用RADIUS授權方法。如果RADIUS服務器沒有響應，則執行本地網絡授權。

aaa authorization network have_a_try radius local

相關命令

aaa authentication

aaa accounting

priviledge

1.3  記帳命令

本章描述了用來配置AAA認證方法的命令。記帳功能可以跟蹤用戶訪問的服務，同時可以跟蹤他們消耗的網絡資源數量。當激活AAA記帳功能時，路由器以記帳記錄的形式向TACACS+或RADIUS安全服務器（依賴於所實現的安全方法）報告用戶的活動。每條記帳記錄包括記帳屬性值（AV）對，並存儲在訪問控制服務器上。然後這些數據可用於網絡管理、客戶帳單和/或審計等分析。

1.3.1   aaa accounting

當使用RADIUS或TACACS+時，基於記帳或安全的目的要對所要求的服務開放AAA記帳，可以使用全局配置命令aaa accounting。使用該命令的no形式關閉記帳：

aaa accounting { network | exec | connection} {default | list-name} {start-stop | stop-only | none} group groupname

no aaa accounting { network | exec | connection} {default | list-name}

參數

參數	參數說明
network	給所有PPP會話提供記帳記錄信息，包括包、字節及時間計數。
exec	提供有關路由器的用戶EXEC終端會話的信息（目前不支持）。
connection	提供有關路由器發出的所有出站連接的信息，目前只支持H323會話信息。
default	缺省記帳方法列表。
list-name	用來命名記帳方法列表的字符串。
method1 [method2...]	記帳方法，參見“記帳配置”文檔

缺省

用戶要求進行記帳，但沒有在相應的線路或接口上指定要求使用的記帳方法列表，則會使用缺省方法列表。如果沒有定義缺省方法列表，則不發生記帳行爲。

命令模式

全局配置態

使用說明

使用aaa accounting命令開啓記帳，創建記帳方法列表，定義在用戶發送記帳記錄時可使用的記帳方法。記帳方法列表定義了記帳執行的方式以及執行這些記帳方法的次序。方法列表只是一張簡單的命名列表，它描述要順序查詢的記帳方法（RADIUS或TACACS+）。方法列表可以指定一個或多個用來記帳的安全協議，因此，它能夠確保萬一前面所列的記帳方法失敗後有一個備用的方法。

相關命令

aaa authentication

aaa accounting

1.3.2   aaa accounting update

如果需要向記帳服務器週期性的發送臨時的記帳記錄，可以使用全局配置命令aaa accounting update。使用該命令的no形式關閉臨時記帳記錄：

aaa accounting update { newinfo | periodic number}

no aaa accounting update { newinfo | periodic}

參數

參數	參數說明
update	激活路由器發送臨時記帳記錄（需要端用戶支持）
newinfo	每當有新的記帳信息要報告時，向記帳服務器發送臨時記帳記錄
periodic	週期性地發送臨時記帳記錄，該週期由數字參數定義
number	發送臨時記帳記錄的週期數字參數

缺省

不發生臨時記帳行爲。

命令模式

全局配置態

使用說明

參見“記帳配置”文檔。

相關命令

aaa accounting

1.3.3   aaa accounting suppress null-username

如果需要阻止爲沒有用戶名的會話產生記帳記錄，可以使用全局配置命令如下。使用該命令的no形式關閉：

aaa accounting suppress null-username

no aaa accounting suppress null-username

參數

無

缺省

不阻止爲沒有用戶名的會話產生記帳記錄。

命令模式

全局配置態

使用說明

參見“記帳配置”文檔。

相關命令

aaa accounting

第2章   RADIUS配置命令

2.1  RADIUS配置命令

本章介紹RADIUS的配置命令。RADIUS是能夠拒絕非授權網絡訪問的分佈式客戶/服務器系統。RADIUS客戶機運行在路由器上，並向包含所有用戶認證和網絡服務訪問信息的中央RADIUS服務器發出認證、授權或記錄請求。

有關如何配置RADIUS的信息及配置示例，請參見“配置RADIUS”。

2.1.1   debug radius

爲了跟蹤RADIUS事件或報文，可執行debug radius命令。使用此命令的no形式關掉debug信息。

debug radius｛event | packet｝

no debug radius｛event | packet｝

參數

參數	參數說明
event	跟蹤RADIUS事件。
packet	跟蹤RADIUS報文。

缺省

無

命令模式

管理態

使用說明

此命令可用於網絡系統調試，查找用戶認證失敗的原因。

Router#debug radius event

RADIUS:return message to aaa, Give me your username

RADIUS:return message to aaa, Give me your password

RADIUS:inital transmit access-request [4] to 192.168.20.126  1812 <length=70>

RADIUS:retransmit access-request [4] to 192.168.20.126 1812 <length=70>

RADIUS:retransmit access-request [4] to 192.168.20.126 1812 <length=70>

RADIUS:192.168.20.126 is dead to response [4]

RADIUS:Have tried all servers，return error to aaa

輸出信息	解釋
return message to aaa, Give me your username	需要得到用戶名。
return message to aaa, Give me your password	需要得到用戶名對應的密碼。
inital transmit access-request [4] to 192.168.20.126  1812 <length=70>	首次向RADIUS服務器發送認證請求，服務器地址爲192.168.20.126，端口號爲1812，報文長度爲70。
retransmit access-request [4] to 192.168.20.126 1812 <length=70>	服務器對請求沒有及時作出反應，重發此認證請求。
192.168.20.126 is dead to response [4]	重發多次後，服務器仍未迴應，將此服務器標誌爲已死亡。
Have tried all servers，return error to aaa	RADIUS無法完成此次認證，返回error。

示例

下列示例打開RADIUS的事件跟蹤：

debug radius event

2.1.2   ip radius source-interface

爲了強制RADIUS對所有發送的RADIUS報文使用指定接口的IP地址，使用ip radius source-interface 全局配置命令。使用該命令的no 形式恢復爲缺省值。

ip radius source-interface interface-name

no ip radius source-interface

參數

參數	參數說明
interface-name	RADIUS對所有發送的RADIUS報文使用該接口的IP地址。

缺省

本命令沒有廠家指定的缺省值，即根據實際情況來決定源發IP地址。

命令模式

全局配置態

使用說明

使用本命令選擇某一個接口的IP地址，作爲所有流出RADIUS包的源地址。只要接口處於up狀態，就一直使用這個地址。這樣，對每個網絡訪問客戶機來說，RADIUS服務器只使用一個IP地址，而不用維護一個IP地址列表。當路由器有許多接口且打算確保來自某個特定路由器的全部RADIUS包具有相同的IP地址時，本命令就特別有用了。

指定的接口必須擁有與之相聯繫的IP地址。如果指定的接口不擁有IP地址，或者處於down狀態，那麼，RADIUS就恢復到缺省值。爲了避免出現這種情況，請向接口添加IP地址並且保證接口處於up狀態。

示例

下列示例讓RADIUS對所有發送的RADIUS包使用接口s1/2的IP地址：

ip radius source-interface s1/2

相關命令

ip tacacs source-interface

2.1.3   radius-server attribute

在radius認證和計費過程中，是否指定傳輸某些屬性使用全局配置命令radius-server attribute。使用本命令的no形式關閉AAA認證。

radius-server attribute {4 | 32}

no radius-server attribute {4 | 32}

參數

參數	參數說明
4	將跟隨在該參數後面的地址作爲屬性4（NAS ip address）的值在radius處理過程中傳輸
32	根據跟隨在該參數後面的指令指定在radius認證或請求中傳輸屬性attribute32（NAS identifier）

缺省

無

命令模式

全局配置態

使用說明

使用radius-server attribute命令配置並指定在radius處理過程中傳輸某種特定的屬性。

radius-server attribute 4配置radius屬性4（NAS 的IP 地址）並指定在RADIUS 報文中傳輸。

radius-server attribute 32指定在RADIUS 認證或計費請求報文中傳輸radius屬性32（NAS 的ID）。

示例

radius-server attribute 4 X.X.X.X 在RADIUS報文中傳輸radius屬性4，並用X.X.X.X作爲屬性值

radius-server attribute 32 in-access-req 在認證請求中傳輸NAS identifier

radius-server attribute 32 in-account-req 在計費請求中傳輸NAS identifier

相關命令

無

2.1.4   radius-server challenge-noecho

爲了使在Access-Challenge方式下用戶數據不顯示，需使用radius challenge-noecho命令。

radius-server challenge-noecho

no radius-server challenge-noecho

參數

無

缺省

在Access-Challenge方式下用戶數據都顯示。

命令模式

全局配置態

使用說明

無

示例

radius-server challenge-noecho

2.1.5   radius-server dead-time

當某些服務器不可用時，爲了改善RADIUS的響應時間，使用radius dead-time全局配置命令，該命令讓系統立即跳過不可用的服務器。使用本命令的no形式將dead-time設置爲0，即認爲所以的服務器一直可用。

radius-server dead-time minutes

no radius-server dead-time

參數

參數	參數說明
minutes	RADIUS服務器被視爲不可用的持續時間長度，最多爲1440分鐘（24小時）。

缺省

不可用時間設置爲0，即始終認爲該服務器可用。

命令模式

全局配置態

使用說明

使用本命令，把那些對認證請求不作出響應的RADIUS 服務器標記爲“死機”，這樣就避免了在使用下一個服務器之前等待迴應的時間過長。標記爲死機的RADIUS服務器，被minutes這段持續時間內的所以請求跳過，除非所以的服務器均被標記爲死機。

示例

下列示例對那些不對請求作出響應的RADIUS服務器指定了5 分鐘的“死機”時間：

radius-server dead-time 5

相關命令

host

radius-server retransmit

radius-server timeout

2.1.6   radius-server host

要指定RADIUS 服務器的IP地址，使用host全局配置命令。使用本命令的no形式則刪除指定的RADIUS主機。

radius-server host ip-address [auth-port port-number1] [acct-port port-number2]

radius-server host ip-address

參數

參數	參數說明
ip-address	RADIUS服務器主機的IP地址。
auth-port	(可選項)爲認證請求指定UDP目的端口。
port-number1	(可選項)認證請求的端口編號；若設置爲0，則主機不用於認證。
acct-port	(可選項)爲記錄請求指定UDP目的端口。
port-number2	(可選項)記錄請求的端口編號；若設置爲0，則主機不用於記錄。

缺省

未指定任何RADIUS主機。

命令模式

全局配置態

使用說明

可以多次使用radius-server host命令以指定多個服務器，必要時會按照配置順序進行輪詢。

示例

下述示例指定IP地址爲1.1.1.1的RADIUS主機，記錄和認證都使用缺省端口：

radius-server host 1.1.1.1

下述示例在IP地址爲1.2.1.2的RADIUS主機上，指定端口12作爲認證請求的目的端口，端口16作爲記錄請求的目的端口：

radius-server host 1.2.1.2 auth-port 12 acct-port 16

相關命令

aaa authentication

radius-server key

username

2.1.7   radius-server optional-passwords

爲了指定向RADIUS服務器第一次發送RADIUS認證申請時只對用戶名進行驗證而不檢查密碼，使用radius-server optional-passwords 全局配置命令。使用本命令的no形式則恢復缺省值。

radius-server optional-passwords

no radius-server optional-passwords

參數

本命令沒有參數或關鍵字。

缺省

不使用optional-password方式。

命令模式

全局配置態

使用說明

當用戶輸入登錄名時，認證請求將包括用戶名和零長度的密碼。如果被接受，那麼登錄認證過程完成。如果RADIUS服務器拒絕這一請求，那麼服務器就提示輸入口令，當用戶提供了口令後，將再次嘗試進行驗證。RADIUS服務器必須支持對無口令的用戶進行認證，以利用這一特色。

示例

下述示例配置發送第一個認證請求時不包括用戶密碼：

radius-server optional-passwords

相關命令

host

2.1.8   radius-server key

爲了對路由器和RADIUS服務器之間的所有RADIUS通信設置加密密鑰，請使用radius-server key全局配置命令。使用本命令的no 形式則使密鑰失效。

radius-server keystring

no radius-server key

參數

參數	參數說明
string	用於加密的密鑰，本密鑰必須與RADIUS服務器使用的密鑰相匹配。

缺省

密鑰爲空字符串。

命令模式

全局配置態

使用說明

輸入的密鑰必須與RADIUS服務器使用的密鑰相匹配。所有的起始空格字符被忽略，密鑰中不能包含空格字符。

示例

下述示例將加密密鑰設置爲“firstime”：

radius-server key firstime

相關命令

host

username

2.1.9   radius-server retransmit

要指定在放棄使用某一臺服務器之前應進行嘗試的次數，使用radius-server retransmit全局配置命令。使用本命令的no形式恢復缺省值。

radius-server retransmit retries

no radius-server retransmit

參數

參數	參數說明
retries	重複嘗試的最大次數，缺省值是嘗試3次。

缺省

嘗試3次。

命令模式

全局配置態

使用說明

此命令一般與radius-server timeout命令配合使用，指明等待多長時間後認爲服務器迴應超時及超時後重試的次數。

示例

下述示例指定重試記數器的值爲5次：

radius-server retransmit 5

相關命令

radius-server timeout

2.1.10   radius-server timeout

要對路由器等待服務器應答的時間上限進行設置，請使用radius timeout全局配置命令。使用本命令的no形式則恢復缺省值。

radius-server timeout seconds

no radius-server timeout

參數

參數	參數說明
seconds	指定超時時間（以秒爲單位），缺省值是5秒。

缺省

5秒

命令模式

全局配置態

使用說明

本命令常與radius-server retransmit配合使用。

示例

下述示例把超時定時器設置爲10秒：

radius-server timeout 10

相關命令

無

2.1.11   radius-server vsa send

要把路由器配置爲可識別和使用廠商專用屬性（VSA），使用radius vsa send全局配置命令。使用本命令的no 形式恢復缺省值。

radius-server vsa send [accounting | authentication]

no radius-server vsa send [accounting | authentication]

參數

參數	參數說明
accounting	(可選項)識別的廠商專用屬性集只限於記錄屬性。
authentication	(可選項)識別的廠商專用屬性集只限於認證屬性。

缺省

不使用vsa 。

命令模式

全局配置態

使用說明

IETF使用廠商專用屬性（屬性26），爲在路由器和RADIUS服務器之間交換廠商專用信息指定了方法。VSA允許廠商支持它們自己的不適合於普遍用途的擴展屬性。radius-server vsa send命令使路由器能夠識別和使用認證或記錄的廠商專用屬性。在radius-server vsa send 命令中使用accounting關鍵字，把識別的廠商專用屬性集僅限於記錄屬性。在radius-server vsa send 命令中使用authentication關鍵字，把識別的廠商專用屬性集僅限於認證屬性。

示例

下述示例對路由器進行配置，使之識別和使用廠商專用記錄屬性：

radius-server vsa send accounting

相關命令

host

第3章   TACACS+配置命令

3.1  TACACS+配置命令

這裏我們將介紹TACACS+安全協議的配置命令。TACACS+可以完成對用戶身份的認證；對用戶服務權限的授權以及對用戶服務執行過程的記錄。

3.1.1   debug tacacs

當希望跟蹤TACACS+協議事件或查看收發的報文時，可使用debug tacacs命令。使用此命令的no形式取消跟蹤。

debug tacacs {event | packet}

no debug tacacs {event | packet} 

參數

參數	參數說明
event	跟蹤TACACS+事件。
packet	跟蹤TACACS+報文。

缺省

關閉debug信息。

命令模式

管理態 

使用說明

此命令一般只在網絡調試時使用，用於查找用戶AAA服務失敗的原因。

示例

下述示例將打開TACACS+的事件跟蹤：

debug tacacs event 

相關命令

無

3.1.2   ip tacacs source-interface

要對所有TACACS＋報文使用指定接口的IP地址，使用全局配置命令ip tacacs source-interface。使用本命令的no 形式取消對此源IP地址的使用。

ip tacacs source-interface subinterface-name

no ip tacacs source-interface

參數

參數	參數說明
subinterface-name	所有TACACS＋報文的源IP地址對應的接口名稱。

缺省

本命令沒有指定的缺省值。 

命令模式

全局配置態

使用說明

使用本命令可以通過指定源接口來爲所有的TACACS＋報文設置源IP地址，只要該接口處於up狀態，所有的TACACS+報文將使用這個接口的IP地址作爲源發地址。這樣，將保證每一臺路由器的TACACS+報文具有相同的源發IP地址，TACACS＋服務器就不再需要維護包含所有IP地址的地址列表。也就是說，當路由器有許多接口，但爲了確保來自於特定路由器的所有TACACS＋報文具有相同的源IP地址時，本命令將發揮作用。。

指定的接口必須有與之相聯繫的IP地址。如果指定的接口沒有IP地址或處於down狀態，就會回到缺省值，也就是根據實際情況來確定源IP地址。爲了避免發生這樣的情況，一定要爲該接口添加IP地址並保證該接口處於up狀態。 

示例

下述示例將使用接口s1/0的IP地址作爲所有TACACS+報文的源發IP地址：

ip tacacs source-interface s1/0 

相關命令

ip radius source-interface

3.1.3   tacacs server

爲了指定TACACS＋服務器，使用全局配置命令tacacs server。使用本命令的no 形式則刪除指定的服務器。

tacacs server ip-address  [single-connection|multi-connection] [port integer1] [timeout integer2] [key string]

no tacacs serve ip-address

參數

參數	參數說明
ip-address	服務器的IP地址。
single-connection	（可選）指定路由器爲來自AAA/TACACS+服務器的確認維持着單一開放的TCP連接。
multi-connection	（可選）指定路由器爲來自AAA/TACACS+服務器的不同確認維持不同的TCP連接。
port	（可選）指定服務器端口號。本選項覆蓋缺省的端口號49。
integer1	（可選）服務器的端口號，有效端口號的範圍是1至65536。
timeout	（可選）指定等待服務器迴應超時值。它將覆蓋使用tacacs timeout命令爲本服務器設置的全局超時值。
integer2	（可選）設定超時記時器值，按秒計算。
key	（可選）指定認證和加密密鑰。這個密鑰必須與TACACS+服務器程序使用的密鑰相匹配。指定這個。密鑰將覆蓋使用全局命令tacacs key爲本服務器設置的密鑰。
string	（可選）指定加密密鑰字符串。

缺省

沒有TACACS＋服務器被指定。

命令模式

全局配置態

使用說明

可以使用多個tacacs server命令以指定多個主機，並按照指定的順序搜索主機。由於tacacs server命令的一些參數將覆蓋由tacacs timeout和tacacs key命令所作的全局設置，所以利用本命令，可唯一地配置每臺TACACS+服務器的通信屬性，以增強網絡的安全性。

示例

下述示例指定路由器與IP地址爲1.1.1.1的TACACS+服務器進行協商，以進行AAA認證。並指定服務器的TCP服務端口號爲51，設定超時值是三秒，加密密鑰爲a_secret。

tacacs server 1.1.1.1 single-connection port 51 timeout 3 key a_secret

相關命令

tacacs key

tacacs timeout

3.1.4   tacacs key

爲了設置路由器與TACACS+服務器之間所有通信過程使用的加密密鑰，請使用tacacs key全局配置命令。使用本命令的no 形式則關閉該密鑰。

tacacs key key

no tacacs key

參數

參數	參數說明
key	用於設置加密密鑰。這一密鑰必須與TACACS+服務器程序使用的密鑰相匹配。

命令模式

全局配置態

使用說明

在開始運行TACACS+協議之前必須使用tacacs key命令設置加密密鑰。輸入的密鑰必須與TACACS+服務程序使用的密鑰相匹配。所有的打頭空格都被忽略，密鑰中間不能有空格。

示例

下述示例設置加密密鑰爲testkey:

tacacs key testkey 

相關命令

tacacs server

3.1.5   tacacs timeout

要設置TACACS+等待某服務器作出應答的超時時間長度，請使用 tacacs timeout全局配置命令。使用本命令的no形式則恢復缺省值。

tacacs timeout seconds

no tacacs timeout

參數

參數	參數說明
seconds	以秒計算的超時值（在1和600之間）。缺省爲5秒。

缺省

5秒

命令模式

全局配置態 

使用說明

若針對某臺服務器通過tacacs server命令中的timeout參數設置了自己的等待超時值，將覆蓋此命令設置的全局超時值。 

示例

下述示例將超時定時器的值修改爲10秒：

tacacs timeout 10

相關命令

tacacs server

第4章   IPSec配置命令

4.1  IPSec配置命令

本章描述了IPSec配置命令。IPSec提供了在公共網絡上——如Internet——上傳輸敏感信息的安全性。IPSec提供的安全性解決方案非常健壯，並且是基於標準的。作爲對數據機密性的補充，IPSec還提供了數據驗證和抗重播服務。

要了解配置信息，可以參閱“配置IPSec”。

4.1.1   clear crypto sa

要刪除相關的IPSec安全聯盟數據庫，使用clear crypto sa命令。

clear crypto sa

clear crypto sa peer ip-address

clear crypto sa map map-name

參數

參數	參數說明
ip-address	指定對端的IP地址。
map-name	指定加密映射表集合的名字。

缺省

如果未使用peer、map等關鍵字，所有的IPSec安全聯盟都將被刪除。

命令模式

管理態

使用說明

這條命令用於清除（刪除）IPSec安全聯盟。如果安全聯盟是通過IKE建立的，那麼它們將被刪除，以後的IPSec通信需要重新協商新的安全聯盟（使用IKE時，IPSec安全聯盟只有在需要的時候才被建立）。

如果安全聯盟是通過手工建立的，那麼安全聯盟將被刪除並且被重新建立。

如果沒有使用peer、map等關鍵字，所有的IPSec安全聯盟都將被刪除。使用peer關鍵字將刪除指定對端地址的全部IPSec安全聯盟。使用map關鍵字將刪除由加密映射表集合所創建的全部IPSec安全聯盟。通過使用clear crypto sa命令可以重新建立所有的安全聯盟，這樣這些聯盟就可以使用最新的配置設置了。在手工建立安全聯盟的情況下，如果修改其用到變換集合，在生效之前必須使用clear crypto sa命令。

如果路由器正在處理IPSec通信，那麼最好只清除安全聯盟數據庫中會被影響到的那部分內容。這樣可以避免當前正在進行的IPSec通信突然中斷。注意這條命令只清除IPSec安全聯盟；要清除IKE狀態，請使用clear crypto isakmp命令。

示例

下面的示例清除路由器上所有的IPsec安全聯盟：

clear crypto sa

相關命令

clear crypto isakmp

4.1.2   crypto dynamic-map

要創建或修改一個動態加密映射表，進入動態加密映射表表配置態，可以使用crypto dynamic-map全局配置命令。使用此命令的no格式來刪除一個動態加密映射表表或集合。

crypto dynamic-map map-name

no crypto dynamic-map map-name

參數

參數	參數說明
map-name	動態加密映射表集合的名字。

缺省

不存在動態加密映射表。

命令模式

全局配置態。使用此命令將進入動態加密映射表配置態。

使用說明

使用此命令可以創建一個新的動態加密映射表，或修改一個現存的動態加密映射表。

動態加密映射表的功能和普通的加密映射表(crypto map)是類似的。主要區別在於：

動態加密映射表中可以不用設置對端的IP地址(set peer)，允許任何地址的IPSec設備來協商，這一功能可以用來支持和移動用戶的連接。而普通的加密映射表則必須指定對端的IP地址，且只允許該地址的IPSec設備來協商。當然動態加密映射表中也可以設置IP地址，這種情況下，基本等同於普通的加密映射表。

示例

下面的例子顯示了使用IKE來建立安全聯盟時，所需的最小加密映射表配置：

crypto dynamic-map aaa

match address aaa

set transform-set one

相關命令

crypto map (global configuration)

match address

set peer

set pfs

set security-association lifetime

set transform-set

show crypto map

4.1.3   crypto ipsec secure

指定本地路由器是否接收非IPSec報文或不正確的IPSec報文。

crypto ipsec secure

no crypto ipsec secure

參數

無

缺省

允許通過非IPSec報文或不正確的IPSec報文。

命令模式

全局配置態。

使用說明

當有報文通過路由器且匹配了用戶所設定的規則時，若該報文不是IPSec報文或者是不正確的IPSec報文，如果此時未設置該選項，那麼路由器仍會照常處理該報文，如果此時設置了該選項，那麼路由器就會丟棄該報文。

示例

以下例子設置了路由器的該選項。

crypto ipsec secure

相關命令

crypto map

4.1.4   crypto ipsec transform-set

要定義一個ipsec變換集合——安全協議和算法的一個可行組合，使用crypto ipsec transform-set全局配置命令。要刪除一個變換集合，可以使用這條命令的no格式。

crypto ipsec transform-set transform-set-name

no crypto ipsec transform-set transform-set-name

參數

參數	參數說明
transform-set-name	指定要創建（或修改）的變換集合的名稱。

缺省

無

命令模式

全局配置態。執行此命令將進入加密變換配置態。

使用說明

變換集合是安全協議、算法以及將用於受IPSec保護的通信的其它設置的組合。

可以配置多個變換集合，然後在加密映射表中指定這些變換集合中的一個或多個。在加密映射表中定義的變換集合用於協商IPSec安全聯盟，以保護匹配加密映射表設定的訪問列表的那些報文。在協商過程中，雙方尋找一個在雙方都有的相同變換集合。當找到了一個這樣的變換集合時，此集合將被選中，並作爲雙方IPSec安全聯盟的一部分被運用到受保護的通信上。

如果不是使用IKE來建立安全聯盟，那麼必須指定唯一一個變換集合。此集合無須進行協商。

只有使用此命令對變換集合進行了定義後，此變換集合才能被設置在加密映射表中。

可使用transform-type命令來具體配置變換類型。

示例

以下例子定義了一個變換集合。

crypto ipsec transform-set one

transform-type esp-des esp-sha-hmac

相關命令

mode

transform-type

set transform-set

show crypto ipsec transform-set

4.1.5   crypto map (global configuration)

要創建或修改一個加密映射表，進入加密映射表表配置態，可以使用crypto map全局配置命令。使用此命令的no格式來刪除一個加密映射表表或集合。

crypto map map-name seq-num [ipsec-manual| ipsec-isakmp [dynamic dynamic-map-name]]

no crypto map map-name seq-num

參數

參數	參數說明
map-name	加密映射表集合的名字。
seq-num	加密映射表的序號。參看“使用說明”一節中對於使用此參數的詳細解釋。
ipsec-manual	表示對於此加密映射表所指定的通信，將採用手工方式來建立IPSec安全聯盟對其進行保護。
ipsec-isakmp	表示對於此加密映射表所指定的通信，將使用IKE來建立IPSec安全聯盟對其進行保護。
dynamic-map-name	該加密映射表用來作模板的動態加密映射表名字。

缺省

不存在加密映射表。

命令模式

全局配置態。當無dynamic及其參數時，使用此命令將進入加密映射表配置態。

使用說明

使用此命令可以創建一個新的加密映射表，或修改一個現存的加密映射表。

在創建了一個加密映射表以後，不能對全局配置態下指定的參數進行改變，因爲這些參數決定了在加密映射表配置態中可以使用哪些配置命令。例如，一個映射表一旦作爲ipsec-isakmp創建，就不能將它改變成ipsec-manual；必須將它刪除並重新進入加密映射表配置態才能這樣做。在定義了加密映射表以後，可以使用crypto map（interface configuration）命令將此加密映射表集合運用到接口上。

l   加密映射表的功能

加密映射表提供了兩個功能：對要保護的通信進行過濾和分類，以及定義通信的策略。IPSec加密映射表將下面這些定義聯繫在一起：

l   哪些通信應該受到保護

受保護數據可以到達哪個IPSec對端——這個對端能夠和本地路由器建立起一個安全聯盟。

對於受保護通信，可用的變換集合是哪些。

如何對密鑰和安全聯盟進行管理和使用（或者在不使用IKE時，密鑰是什麼）。具有相同map-name（加密映射表名稱）的多個加密映射表組成了一個加密映射表集合。

加密映射表集合是由加密映射表組成的集合，其中每條都有不同的seq-num和相同的map-name。因此，對於給定接口，你可以對發往一個IPSe對端通信採取某種安全策略，而對於發往同一或不同IPSec對端的其它通信採用不同的安全策略。要達到這一目的，你應該創建兩個加密映射表，每個都有相同的map-name，但有不同的seq-num。

l   seq-num參數

seq-num參數的數值不能隨便定。此數字是用來對一個加密映射表集合中的多個加密映射表進行排序的。在一個加密映射表集合中，seq-num參數小的加密映射表在seq-num參數大的加密映射表之前進行判斷；也就是說，序號越小的映射優先級越高。

例如，假設加密映射表集合包含了三個加密映射表：aaa 10，aaa 20以及aaa 30。名爲aaa的加密映射表集合被運用在接口Serial 0上。當通信通過接口Serial 0時，首先用aaa 10對它進行判斷。如果通信匹配aaa 10指定的擴展訪問列表中的一條permit，那麼將使用aaa 10中定義的策略對通信進行處理（包括必要的時候建立IPSec安全聯盟）。如果通信不匹配aaa 10訪問列表，將用aaa 20，然後是aaa 30對通信進行判斷，直到通信匹配一個映射中的permit語句（如果不匹配任何加密映射表中的permit語句，那麼此通信將不受任何IPSec的保護直接發送）。

示例

下面的例子顯示了使用IKE來建立安全聯盟時，所需的最小加密映射表配置：

crypto map aaa 10 ipsec-isakmp

match address aaa

set transform-set one

set peer 192.2.2.1

下面的例子顯示了使用動態加密映射表來建立安全聯盟時，所需的最小加密映射表配置：

crypto dynamic-map aaa

match address aaa

set transform-set one

crypto map bbb 10 ipsec-isakmp dynamic-map aaa

下面的例子顯示了手工建立安全聯盟時，所需的最小加密映射表配置：

crypto transform-set one

 transform-type ah-md5-hmac esp-des

crypto map aaa 10 ipsec-manual

match address aaa

set transform-set one

set peer 192.2.2.1

set security-association inbound ah 300 98765432109876543210987654

set security-association outbound ah 300 fedcbafedcbafedcfedcbafedcbafedc

set security-association inbound esp 300 cipher 0123456789012345

set security-association outbound esp 300 cipher abcedfabcdefabcd

相關命令

crypto map (interface  configuration)

crypto map local-address

match address

set peer

set pfs

set security-association lifetime

set transform-set

show crypto map

4.1.6   crypto map (interface configuration)

要將預先定義好的加密映射表集合運用到接口上，可以使用crypto map接口配置命令。                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                              

使用此命令的no格式可以從一個接口上移除加密映射表集合。

crypto map map-name

no crypto map

參數

參數	參數說明
map-name	加密映射表集合的名稱。

缺省

接口上沒有設置加密映射表。

命令模式

接口配置態

使用說明

使用此命令可以將加密映射表集合運用到接口。在接口可以提供IPSec服務之前，必須在接口上配置一個加密映射表集合。對於一個接口，只能設置一個加密映射表集合。如果多個加密映射表具有相同的map-name和不同的seq-num，那麼它們位於同一集合，並被運用到同一接口上。Seq-num越小的加密映射表具有越高的優先級，並且先進行判斷。一個加密映射表集合中可能包含ipsec-isakmp、ipsec-manual加密映射表的組合。

示例

下面的例子將加密映射表集合aaa賦給接口S0。當報文經過接口S0時，將使用mymap集合中的所有加密映射表對它進行判斷。當出站報文匹配mymap加密映射表中某一條所對應的訪問列表時，一條基於加密映射表配置的安全聯盟（若是IPSec）連接將被建立（如果沒有現存的安全聯盟的話）。

interface s0

crypto map aaa

相關命令

crypto map (global configuration）

crypto map local-address

show crypto map

4.1.7   crypto map local-address

指定一個接口標識，並在加密映射表中指定它用於IPSec通信，可以使用crypto map local-address全局配置命令。使用此命令的no格式可以從配置中刪除這條命令。

crypto map map-name local-address interface-id

no crypto map map-name local-address

參數

參數	參數說明
map-name	加密映射表集合的名稱。
interface-id	指定加密映射表集合使用的接口標識。

缺省

無

命令模式

全局配置態

使用說明

如果設置了此命令，加密映射表集合中的加密映射表的IPSec本端地址使用指定接口的IP地址。

示例

無

相關命令

crypto map (interface configuration)

4.1.8   debug crypto packet

在IPSec的處理過程中，查看IPSec對於上層數據處理的出錯信息。

參數

無

缺省

缺省情況下不顯示相關信息。

命令模式

管理態

使用說明

顯示和IPSec處理相關的一些重要錯誤信息，下表列舉了幾種常見的出錯信息。

顯示信息	信息含義
rec'd IPSEC packet from IPADDR has invalid spi.	對端的outbound的spi值與本端的inbound不同或配置的配置策略不同（esp、ah）。
packet missing policy.	對端的outbound的配置策略和本地不同（esp、ah）。
rec'd IPSEC packet from IPADDR has bad pading.	對端的outbound的加密密鑰與本端的inbound的不同。
rec'd IPSEC packet mac verify failed.	對端的outbound的ESP或AH驗證密鑰與本端的inbound的不同。
rec'd IPSEC packet from IPADDR to IPADDR does not agree with policy.	IPSEC處理完成的包與相應的access-list不同，子MAP的訪問列表配置有問題。

相關命令

show crypto ipsec sa

debug crypto isakmp

4.1.9   match address

要爲一個加密映射表指定一個擴展訪問列表，可以使用match address加密映射表配置命令。使用此命令的no格式可以從一條加密映射表中取消設置的擴展訪問列表。

match address access-list-name

no match address access-list-name

參數

參數	參數說明
access-list-name	加密訪問列表。此名字必須和配置的訪問列表的name相匹配。

缺省

加密映射表不配置任何訪問列表。

命令模式

加密映射表配置態

使用說明

此命令對於所有加密映射表來說都是必須的。

使用此命令將擴展訪問列表賦給一條加密映射表。需要使用ip access-list extended命令來定義此訪問列表。

用此命令指定的擴展訪問列表將被IPSec用於判斷哪些通信應被加密保護，而哪些通信不被加密保護（此訪問列表所允許的通信都將受到保護。被此訪問列表拒絕的通信在相應加密映射表中將不受保護）。

注意加密訪問列表不是用來決定是否允許通信通過某個接口，這項工作由直接作用於接口上的訪問列表來完成。

此命令指定的加密訪問列表既用於判斷入通信，也用於判斷出通信。接口加密映射表所對應的加密訪問列表將對出通信進行判斷，決定它是否應該受到加密保護，並且如果是（通信匹配一條permit），那麼應該應用什麼加密策略。在通過了接口上普通訪問列表的檢查以後，入通信將被接口的加密映射表集合所指定的加密訪問列表進行判斷，判定它是否應該受到加密保護，如果是，應該受到哪種加密策略的保護（在使用IPSec的情況下，未受保護的通信將被丟棄，因爲它本應受到IPSec的保護）。

示例

下面的例子是使用IKE來建立安全聯盟時所需的最小加密映射表配置。

crypto map aaa 100 ipsec-isakmp

match address aaa

set transform-set one

set peer 192.2.2.1

相關命令

crypto map(global configuration)

crypto map(interface configuration)

crypto map local-address

ip access-list extended

set peer

set pfs

set security-association lifetime

set transform-set

show crypto map

4.1.10   mode

要改變一個變換集合的模式，可以使用mode加密變換配置命令。要將模式恢復成缺省值隧道模式，可以使用這條命令的no格式。

mode {tunnel | transport}

no mode

參數

參數	參數說明
tunnel| transport	指定一個變換集合的模式：隧道模式或傳輸模式。如果既沒有指定tunnel，也沒有指定transport，那麼將使用缺省值（隧道模式）。

缺省

隧道模式

命令模式

加密變換配置態

使用說明

使用此命令來改變變換的模式。只有當要被保護的報文和IPSec兩端有相同的IP地址值時（這樣的通信既可在隧道模式下又可在傳輸模式下進行封裝），此設置纔有效。對於所有其它通信（所有其它的通信都在隧道模式下進行封裝），此設置都無效。

如果要被保護的通信具有和IPSec兩端有相同的IP地址，並且指定了傳輸模式，那麼在協商期間，路由器將申請傳輸模式，但既可接受傳輸模式又可接受隧道模式。如果指定了隧道模式，那麼路由器將申請隧道模式，並且只接受隧道模式。

在定義了變換集合以後，將進入加密變換配置態。在此配置狀態下，可以將模式改變爲隧道方式或傳輸方式。

如果開始在定義變換集合的時候沒有設置模式，以後想要改變此變換集合的模式，那麼必須重新進入此變換集合（指定變換的名字），並且改變它的模式。

如果使用此命令來改變模式，那麼改變將隻影響那些指定了此變換集合的加密映射表的後續IPSec安全聯盟的生成。如果想盡快使變換集合的配置生效，那麼可以清除安全聯盟數據庫的部分或全部。可以參看clear crypto sa命令來獲得更多的細節。

l   隧道模式

在隧道模式下，整個原始的IP報文都受到保護（加密、驗證或兩者都有），並且由IPSec進行封裝（ESP、AH或兩者都有）。然後，新的IP頭被在增加到報文中，此IP頭指定了IPSec源和目的地址。

任何IP通信都可使用隧道模式進行傳送。如果IPSec是對接在IPSec兩端後面的主機的通信進行保護，那麼必須使用隧道模式。

l   傳輸模式

在傳輸模式下，只有IP分組的有效負載（數據）才受到保護（加密、驗證或兩者都有）。並且由IPSec封裝（ESP、AH或兩者都有）。原始的IP報頭保持原樣，不受IPSec的保護。

只有當要保護的IP分組的源和目的地址都是IPSec兩端時，才能使用傳輸模式。例如，可以使用傳輸模式來保護路由器管理通信。在申請中指定傳輸模式，可以使得路由器能夠和遠端協商決定是使用傳輸模式還是隧道模式。

示例

下面的例子定義了一個變換集合，並將模式改變爲傳輸模式。

router_config# crypto ipsec transform-set one

router_config_crypto_trans#transform-type esp-des esp-sha-hmac

router_config_crypto_trans # mode transport

router_config_crypto_trans # exit

router_config#

相關命令

crypto ipsec transform-set

4.1.11   set peer

要在加密映射表中指定IPSec對端，可以使用set peer加密映射表配置命令。使用此命令的no格式，可以從加密映射表中刪除IPSec對端。

set peer ip-address

no set peer ip-address

參數

參數	參數說明
ip-address	用IP地址指定的IPSec對端。

缺省

缺省情況下不指定IPSec對端。

命令模式

加密映射表配置態

使用說明

使用此命令可爲加密映射表指定一個IPSec對端。對於所有加密映射表，這條命令都是必須的。一個加密映射表只能指定一個IPSec對端。如果想要改變對端，指定新的對端即可，會覆蓋原先設置。

示例

下面的例子展示了當使用IKE來建立安全聯盟時的一個加密映射表配置。

crypto map aaa 100 ipsec-isakmp

match address aaa

set transform-set one

set peer 192.2.2.1

相關命令

crypto map(global configuration)

crypto map(interface configuration)

crypto map local-address

match address

set pfs

set security-association lifetime

set transform-set

show crypto map

4.1.12   set pfs

當爲加密映射表申請新的安全聯盟時，要指定IPSec將同時申請理想轉發安全機制（PFS），或當收到建立新安全聯盟的申請時，IPSec將要求PFS，可以使用set pfs加密映射表配置命令。要確定IPSec不會進行PFS申請，可以使用這條命令的no格式。

set pfs [group1|group2]

no set pfs

參數

參數	參數說明
group1	當組織新的Diffle-Hellman交換時，指定IPSec將使用768位的Diffle-Hellman組。
group2	當組織新的Diffle-Hellman交換時，指定IPSec將使用1024位的Diffle-Hellman組。

缺省

在缺省情況下，不要求PFS。

命令模式

加密映射表配置態

使用說明

此命令只對ipsec-isakmp加密映射表可用。

在協商期間，此命令將使得IPSec在爲這條加密映射表申請新安全聯盟時，同時也申請PFS。如果本端發起協商，且本地配置指定了使用PFS，對端必須組織PFS交換，否則協商將失敗。如果本地配置沒有指定組，那麼本地路由器將提議使用缺省值group1，而對方無論提供group1或group2都會被接受。如果本地配置指定了group2，那麼對端必須提供此組，否則協商將會失敗。如果本地配置沒有指定PFS，那麼本地路由器也會接受對端所提供的PFS。

PFS增加了另一種級別的安全性，因爲如果一個密鑰曾被攻擊者解開過，那麼只有那些用此密鑰進行傳送的數據受到威脅。如果沒有PFS，用其它密鑰傳送的數據也可能受到威脅。

在使用PFS的情況下，每次協商新安全聯盟的時候都會引發一次新Diffle-Helman交換（這種交換需要額外的處理時間）。

1024比特的Diffle-Hellman組，即group2，比group1提供了更多的安全性，但比group1需要更多的處理時間。

示例

下面的例子指定了無論什麼時候加密映射表aaa 100協商新安全聯盟時都要使用PFS：

crypto map aaa 100 ipsec-isakmp

set pfs group2

相關命令

crypto map (global configuration)

crypto map (interface configuration)

crypto map local-address

match address

set peer

set security-association lifetime

set transform-set

show crypto map

4.1.13   set security-association lifetime

要爲某個加密映射表設置生命週期值（此值用於IPSec安全聯盟的協商），可以使用Set security-association lifetime加密映射表配置命令。要將一個加密映射表的生命週期值恢復成缺省值，可以使用此命令的no格式。

set security-association lifetime [seconds seconds | kilobytes kilobytes]

no set security-association lifetime [seconds | kilobytes]

參數

參數	參數說明
seconds seconds	指定一個安全聯盟在超時終止前所能存活的秒數。
kilobytes kilobytes	在一個安全聯盟超時以前，使用此安全聯盟所能傳輸的通信量（以千字節計）。

缺省

加密映射表的安全聯盟根據缺省生命週期值進行協商。

缺省超時秒數爲3600秒 (1小時) ，缺省超時通信量爲 4,608,000 千字節。

命令模式

加密映射表配置態

使用說明

此命令只對ipsec-isakmp加密映射表可用。

IPSec安全聯盟使用共享密鑰。這些密鑰和它們對應的安全聯盟同時超時。假設在安全聯盟協商過程中，路由器申請新的安全聯盟時，給定的加密映射表已經配置了新生命週期值，那麼它將在向對端發起的申請中使用自己的加密映射表生命週期值；它將使用此值作爲新的安全聯盟的生命週期值。當路由器收到從對端發來的協商申請時，它將取對端提議的和本地路由器配置的生命週期值中較小者作爲新安全聯盟的生命週期。

生命週期有兩種：一個時間生命週期、一個通信量生命週期。這兩個生命週期中無論哪個先到期，安全聯盟都將超時。

要改變時間生命週期，可以使用命令的set security-association lifetime seconds格式。時間生命週期指定了安全聯盟和密鑰在經過了一定的秒數後超時。

要改變通信量生命週期，可以使用命令的set security-association lifetimekilobytes格式。通信量生命週期指定了安全聯盟和密鑰在使用安全聯盟密鑰進行加密的通信量（以KB計）達到了一定數量以後超時。

生命週期值越短，密鑰破解攻擊越難成功，因爲攻擊者用於分析的用同一密鑰加密的數據越少。但是，生命週期越短，用於建立新安全聯盟的CPU處理時間就越多。

在手工方式建立安全聯盟時，生命週期值將被忽略（使用ipsec-manual加密映射表來建立安全聯盟）。

生命週期是如何工作的：

假設給定的加密映射表沒有配置新的生命週期值，那麼當路由器申請新的安全聯盟時，它在向對端發起的申請中使用缺省生命週期值；它將使用此值作爲新安全聯盟的生命週期。當路由器收到從對端發來的協商申請時，它使用對端提議的和本地配置的生命週期值中較小者作爲新安全聯盟的生命週期值。

經過了一定的時間（由seconds關鍵字指定）後，已傳遞了一定字節的通信量（由kilobytes關鍵字指定），這兩件事情無論哪件先發生，安全聯盟（以及相應的密鑰）都將超時。

新的SA在原有安全聯盟的生命週期極限值到達以前就開始進行協商，以確保當原有安全聯盟超時的時候，已經有一個新的安全聯盟備用了。新安全聯盟在seconds生命週期超時前30秒，或經由這條隧道的通信量距kilobytes生命週期還有256KB時開始進行協商（根據哪個先發生）。

如果在一個安全聯盟的整個生命週期中都沒有通信經過這條隧道，那麼當此安全聯盟超時的時候不會進行新安全聯盟的協商。相應地，新的安全聯盟只有當IPSec得到應該受到保護的一個分組時纔開始進行協商。

示例

此例子加密映射表設置較短的生命週期值，因爲屬於此加密映射表的安全聯盟的密鑰可能被竊取。通信量生命週期值未被改變，因爲分享這些安全聯盟的通信量不是很大。時間生命週期值縮短到1800秒（30分鐘）。

crypto map aaa 100 ipsec-isakmp

set security-association lifetime seconds 1800

相關命令

crypto map (global configuration)

crypto map (interface configuration)

crypto map local-address

match address

set peer

set pfs

set transform-set

show crypto map

4.1.14   set security-association {inbound|outbound}

要在加密映射表中手工指定IPSec密鑰，可以使用set 加密映射表配置命令。要從加密映射表中刪除IPSec密鑰，可以使用此命令的no格式。此命令只對ipsec-manual加密映射表可用。

set security-association {inbound|outbound} ah spi hex-key-string

set security-association {inbound|outbound} esp spi [cipher hex-key-string] [authenticator hex-key-string]

set security-association {inbound|outbound} ah

set security-association {inbound|outbound} esp

參數

參數	參數說明
inbound	設置入報文IPSec密鑰（必須對入報文和出報文密鑰都進行設置）。
outbound	設置出報文IPSec密鑰（必須對入報文和出報文密鑰都進行設置）。
ah	爲AH協議設置IPSec密鑰。只有當此加密映射表的變換集合包括AH變換時才起作用。
esp	爲ESP協議設置IPSec密鑰。只有當此加密映射表的變換集合包括ESP變換時才起作用。
spi	安全參數索引值（SPI），此索引用來唯一標識一個安全聯盟。SPI是在256到4,294,967,295（FFFFFFFF）之間任意給定的一個數字。對於兩種方向（出、入）和兩種協議（AH、ESP）的安全聯盟，可以賦給同一SPI。對於一個給定目的地址/協議的組合，必須使用唯一的SPI值。如果是入站的情況，那麼目的地址就是本路由器地址。如果是出站，那麼目的地址就是對端的地址。
hex-key-string	密鑰；按十六進制的格式輸入。這是一個長度爲8、16、20或24字節的任意十六進制字符串。如果加密映射表的變換集合包括了DES算法，那麼每個密鑰至少需要8字節。如果加密映射表的變換集合包括了3DES算法，那麼每個密鑰至少需要24字節。如果加密映射表的變換集合包括了MD5算法，那麼每個密鑰至少需要16字節。如果加密映射表的變換集合包括了SHA算法，那麼每個密鑰至少需要20字節。超過上述長度的密鑰將簡單地被截斷。
cipher	指示此密鑰字符串是ESP加密變換的密鑰。
authenticator	（可選）指示此密鑰字符串是ESP驗證變換的密鑰。此參數僅當這個加密映射表的變換集合包括了ESP驗證算法時才需要。

缺省

缺省情況下不定義任何IPSec密鑰。

命令模式

加密映射表配置態

使用說明

使用此命令可以爲那些經過ipsec-manual加密映射表建立起來的安全聯盟指定IPSec密鑰（對於ipsec-isakmp加密映射表，安全聯盟以及相應密鑰是通過IKE協商自動建立的）。

如果加密映射表的變換集合包括了AH協議，那麼必須爲AH的出和入通信都定義IPSec密鑰。如果加密映射表的變換集合包括了ESP加密協議，那麼必須爲ESP加密的出和入通信都定義IPSec密鑰。如果加密映射表的變換集合包括了ESP驗證協議，那麼必須爲ESP驗證的出和入通信都定義IPSec密鑰。

在爲一個加密映射表定義多個IPSec密鑰的時候，可以將相同的SPI數字賦給所有的密鑰。SPI用於標識此加密映射表所對應的安全聯盟。但是，不是所有的SPI賦值上都有相同的隨意性，應確保對於相同的目的地址/協議的組合，相同的SPI賦值不超過一次。

通過這條命令建立起來的安全聯盟不會超時（不同於通過IKE建立起來的安全聯盟）。

本端的密鑰必須和對端密鑰相匹配。如果改變一個密鑰，那麼使用此密鑰的安全聯盟將被刪除和重新增加。

示例

下面的例子經過手工建立安全聯盟的加密映射表。變換集合one只包含了一個AH協議。

crypto ipsec transform-set one

transform-set ah-md5-hmac

crypto map aaa 100 ipsec-manual

match address aaa

set transform-set one

set peer 192.2.2.1

set security-association inbound ah 300 11111111111111111111111111111111

set security-association outbound ah 300 22222222222222222222222222222222

下面的例子是一個手工建立安全聯盟的加密映射表。變換集合one包含了一個AH協議和一個ESP協議。這樣，對AH和ESP的出和入通信都要配置密鑰。此變換集合包括了ESP的加密和驗證變換，所以需要使用cipher和authenticator關鍵字對兩種變換都創建密鑰。

crypto ipsec transform-set one

transform-type ah-sha-hmac esp-des esp-sha-hmac

crypto map aaa 100 ipsec-manual

match address aaa

set transform-set one

set peer 192.2.2.1

set association inbound ah 300 9876543210987654321098765432109876543210

set security-association outbound ah 300 fedcbafedcbafedcbafedcbafedcbafedcbafedcba

fedc

set security-association inbound esp 300 cipher 0123456789012345

authenticator 0000111122223333444455556666777788889999

set security-association outbound esp 300 cipher abcdefabcdefabcd

authenticator 9999888877776666555544443333222211110000

相關命令

crypto map(global configuration)

crypto map(interface configuration)

crypto map local-address

match address

set peer

set transform-set

show crypto map

4.1.15   set transform-set

要指定加密映射表將使用哪些變換集合，可以使用set transform-set加密映射表配置命令。要從一個加密映射表中移除所有變換集合，可以使用此命令的no格式。

set transform-set transform-set-name1 [transform-set-name2...transform-set-name6]

no set transform-set

參數

參數	參數說明
transform-set-name	變換集合的名字。對於ipsec-manual加密映射表，只能指定一個變換集合。對於ipsec-isakmp，可以指定不多於六個加密映射表集合。

缺省

缺省情況下不包括任何變換集合。

命令模式

加密映射表配置態

使用說明

此命令對於所有的加密映射表都是必須的。

使用此命令可以指定一條加密映射表中將包含哪些變換集合。

對於ipsec-isakmp加密映射表，可以使用此命令列出多個變換集合。首先列出的是最高優先級的變換集合。

如果是本地路由器發起協商，那麼將按照在加密映射表中指定的順序將變換集合提供給對端。如果是對端發起協商，那麼本地路由器接受第一個相匹配的變換集合。

在兩端找到的第一個相匹配的變換集合將用於建立安全聯盟。如果沒有找到匹配項，那麼IPSec不會建立安全聯盟。報文將被丟棄，因爲沒有安全聯盟保護這些通信。

對於ipsec-manual加密映射表，只能指定唯一的變換集合。如果此變換集合不能匹配對端的加密映射表的變換集合，則IPSec兩端不能正常通信，因爲它們使用不同的規則來保護通信。

如果想要改變變換集合的內容，重新設置變換集合的內容來覆蓋舊的內容。此改變不會影響現存的安全聯盟，但將用於建立新的安全聯盟。如果想讓改變儘快生效，可以使用clear crypto sa命令來清除全部或部分安全聯盟數據庫的內容。

包含在一個加密映射表中的任何變換集合都必須事先用crypto ipsec transform-set命令進行定義。

示例

下面的例子定義了兩個變換集合，並且指定它們可用於同一個加密映射表（只有當使用IKE來建立安全聯盟時，此例子才能使用。對於手工建立的安全聯盟所使用的加密映射表，給定的一條加密映射表中只能包含一個變換集合）。

crypto ipsec transform-set one

transform-type esp-des esp-sha-hmac

crypto ipsec transform-set two

transform-type ah-sha-hmac esp-des esp-sha-hmac

crypto map aaa 100 ipsec-isakmp

match address aaa

set transform-set one two

set peer 192..2.2.1

在此例中，當通信匹配了訪問列表aaa時，安全聯盟既可以使用變換集合one（第一優先級），也可以使用two（第二優先級），這取決於哪個變換集合和對端上的變換集合相匹配。

相關命令

crypto map (global configuration)

crypto map (interface configuration)

crypto map local-address

match address

set peer

set pfs

set security-association lifetime

set security-association inbound

set security-association outbound

show crypto map

4.1.16   show crypto ipsec sa

要查看當前安全聯盟所使用的設置，可以使用show crypto ipsec sa命令。

show crypto ipsec sa [map map-name |interface interface-id ] [detail]

參數

參數	參數說明
map map-name	（可選）顯示名爲map-name的加密映射表所創建的現存的安全聯盟。
interface interface-id	（可選）顯示標識接口上加密映射表所創建的現存的安全聯盟。
detail	（可選）同時顯示安全聯盟的統計信息。

缺省

如果沒有指定任何關鍵字，那麼所有的安全聯盟都將被顯示出來。

命令模式

管理態

使用說明

無

示例

下面是show crypto ipsec sa命令的一個輸出示例。

router#show crypto ipsec sa detail

Interface: Ethernet0/0

Crypto map name:aaa

local  ident (addr/mask/prot/port): (191.1.1.0/255.255.255.0/0/0)

 remote ident (addr/mask/prot/port): (197.7.7.0/255.255.255.0/0/0)

 local crypto endpt.: 192.2.2.87,  remote crypto endpt.: 192.2.2.86

inbound esp sas:

   spi:0x190(400)

     transform:  esp-des  esp-sha-hmac

     in use settings ={ Tunnel }

     no sa timing

     #pkts decaps: 0, #pkts decrypt: 0, #pkts auth: 0

     #pkts decaps err: 0, #pkts decrypt err: 0, #pkts auth err: 0

     #pkts replay failed: 0

 inbound ah sas:

   spi:0x12c(300)

     transform:  ah-md5-hmac

     in use settings ={ Tunnel }

     no sa timing

     #pkts decaps: 0, #pkts decrypt: 0, #pkts auth: 0

     #pkts decaps err: 0, #pkts decrypt err: 0, #pkts auth err: 0

     #pkts replay failed: 0

 outbound esp sas:

   spi:0x191(401)

transform:  esp-des  esp-sha-hmac

  in use settings ={ Tunnel }

     no sa timing

     #pkts encaps: 0, #pkts encrypt: 0, #pkts auth: 0

     #pkts encaps err: 0, #pkts encrypt err: 0, #pkts auth err: 0

     #pkts replay failed: 0

 outbound ah sas:

   spi:0x12d(301)

     transform:  ah-md5-hmac

     in use settings ={ Tunnel }

     no sa timing

     #pkts encaps: 0, #pkts encrypt: 0, #pkts auth: 0

     #pkts encaps err: 0, #pkts encrypt err: 0, #pkts auth err: 0

     #pkts replay failed: 0

相關命令

無

4.1.17   show crypto ipsec transform-set

要查看所配置的變換集合，可以使用show crypto ipsec transform-set 命令。

show crypto ipsec transform-set [transform-set-name]

參數

參數	參數說明
transform-set-name	(可選)只顯示具有所指定的transform-set-name的變換集合。

缺省

如果不使用關鍵字，那麼將顯示路由器上所有的變換集合。

命令模式

管理態

使用說明

無

示例

下面是show crypto ipsec transform-set命令的一個輸出示例。

router# show crypto ipsec transform-set

Transform set aaa: { esp-des }

     will negotiate ={ Tunnel }

Transform set bbb: { ah-md5-hmac esp-3des }

     will negotiate ={ Tunnel }

相關命令

無

4.1.18   show crypto map

要查看加密映射表配置，可以使用show crypto map命令。

show crypto map [map-name]

參數

參數	參數說明
map-name	（可選）只顯示用map-name指定的加密映射表。

缺省

如果沒有指定關鍵字，則顯示路由器上所有的加密映射表配置。

命令模式

管理態

使用說明

無

示例

下面是show crypto map命令的一個輸出示例。

router_config#show crypto map

Crypto Map aaa 100 ipsec-manual

     Extended IP access list aaa

 permit ip 192.2.2.0 255.255.255.0 193.3.3.0 255.255.255.0

     peer = 192.2.2.1

     Inbound esp spi: 300 ,

      cipher key: 1234567812345678 ,

      auth key  ,

     Inbound ah spi: 301 ,

      key: 000102030405060708090a0b0c0d0e0f ,

     Outbound esp spi: 300 ,

cipher key: 1234567812345678 ,

      auth key  ,

     Outbound ah spi: 301 ,

      key: 000102030405060708090a0b0c0d0e0f

     Transform sets={ 1}

Crypto Map aaa 101 ipsec-isakmp

     Extended IP access list bbb

         permit ip 191.1.1.0 255.255.255.0 197.7.7.0 255.255.255.0

     peer = 192.2.2.19

     PFS (Y/N): N

     Security association lifetime: 2560 kilobytes/3600 seconds

     Transform sets={ 1, 2,}

相關命令

無

4.1.19   transform-type

加密變換配置態下，要設置變換類型，使用transform-type命令。

transform-type  transform1 [transform2[transform3]]

參數

參數	參數說明
transform1]/ transform2/ transform3	可以指定3個以下的變換。這些變換定義了IPSec安全協議和算法。可接受的變換值在“使用說明”中詳細闡述。

缺省

缺省的變換類型爲ESP-DES（ESP採用DES加密算法）。

命令模式

加密變換配置態

使用說明

變換集合可以指定一個或兩個IPSec安全協議（或ESP，或AH，或兩者都有），並且指定和選定的安全協議一起使用哪種算法。ESP和AH IPSec安全協議在“IPSec協議：封裝安全協議和校驗頭”一節中做了詳細闡述。

變換集合的定義可以指定一到三個變換——每個變換代表一個IPSec安全協議（ESP或AH）和想要使用的算法的組合。當IPSec安全聯盟協商時使用了某一變換集合，整個變換集合（協議、算法和其它設置的組合）必須和對端的一個變換集合相匹配。

在一個變換集合中，可以指定AH協議、ESP或兩者都指定。如果在變換集合中指定了一個ESP，那麼可以只定義ESP加密變換，也可以ESP加密變換和ESP驗證變換兩者都定義。

下表中顯示了可行的變換組合。

爲變換集合選擇變換：可行的變換組合
AH 變換中選擇一種		ESP加密變換中選擇一種		ESP驗證變換中選擇一種，
變換	描述	變換	描述	變換	描述
ah-md5-hmac	帶MD5（HMAC變量）的AH驗證算法	esp-des	採用DES的ESP加密算法	esp-md5-hmac	帶MD5（HMAC變量）的ESP驗證算法
ah-sha-hmac	帶SHA（HMAC變量）的AH驗證算法	esp-3des	採用3DES的ESP加密算法	esp-sha-hmac	帶SHA（HMAC變量）的ESP驗證算法

IPSec協議：ESP和AH

ESP和AH協議都爲IPSec提供了安全服務。

ESP提供了分組加密，以及可選的數據驗證和抗重播服務。

AH提供了數據驗證和抗重播服務。

ESP使用一個ESP頭和一個ESP尾對受保護數據——或是一個完整的IP自尋址數據包（或僅是有效負載）——進行封裝。AH是嵌入在受保護數據中的；它將一個AH頭直接插入在外部IP頭後、內部IP數據包或有效負載前。隧道模式中要對整個IP數據報文進行封裝和保護，而傳送模式中只對IP數據報文中的有效負載進行封裝/保護。要進一步瞭解這兩種模式，請參閱mode命令的描述。

選擇適當的變換

IPSec變換比較複雜。下面的提示能夠幫助你選擇適合自己情況的變換：

l   如果想要提供數據機密性，那麼可以使用ESP加密變換。

l   如果想要提供對外部IP報頭以及數據的數據驗證，那麼可以使用AH變換。

l   如果使用一個ESP加密變換，那麼可以考慮使用ESP驗證變換或AH變換來提供變換集合的驗證服務。

l   如果想要數據驗證功能（或使用ESP或使用AH），可以選擇MD5或SHA驗證算法。SHA算法比MD5要健壯，但速度更慢。

加密變換配置態

在執行了crypto ipsec transform-set命令以後，就將進入加密變換配置態。在這種狀態下，可以將模式改變到隧道模式或傳輸模式（這是可選的改變）。在做完這些改變以後，鍵入exit來返回到全局配置態下。要深入瞭解這些可選改變的信息，請參看mode命令的詳細闡述。

改變現存的變換

如果在transform-type命令中爲一個變換集合指定一個或多個變換，那麼指定的這些變換將會替換掉變換集合中現存的變換。如果改變了transform-type，改變將只被運用到引用了此變換集合的加密映射表上。但改變將不會被運用到現存的安全聯盟上，會被用於新建立的安全聯盟。如果想讓新的設置立即生效，可以使用clear crypto sa命令來清除安全聯盟數據庫的部分或全部。

示例

以下例子定義了一個變換集合。

crypto ipsec transform-set one

transform-type esp-des esp-sha-hmac

相關命令

crypto ipsec transform-set

mode

set transform-set

show crypto ipsec transform-set

第5章   Internet密鑰交換安全協議命令

5.1  IKE配置命令

本章討論Internet密鑰交換安全協議（IKE）的命令。

IKE是一種密鑰管理協議標準，與IPSec 協議結合使用。

IPSec 可以不使用用IKE，但是IKE通過提供額外的功能、靈活性以及對IPSec 標準配置的簡化，增強了IPSec 的功能。

IKE是一種混合協議，在因特網安全協會及密鑰管理協議（ISAKMP）框架內實現了Oakley密鑰交換和Skeme密鑰交換（ISAKMP，Oakley和Skeme是由IKE實現的安全協議）。

5.1.1   authentication(IKE policy)

要在IKE策略中指定認證方法，使用ISAKMP策略配置命令authentication(IKE policy)。IKE策略定義一組在IKE協商期間使用的參數。使用該命令的no形式來恢復認證方法的缺省值。

authentication { pre-share|rsa-sig|rsa-encr}

no authentication { pre-share|rsa-sig|rsa-encr}

參數

參數	參數說明
pre-share	指定預共享密鑰作爲認證方法。
rsa-sig	指定RSA簽名作爲認證方法。
rsa-encr	指定RSA實時加密作爲認證方法。

缺省

預共享密鑰認證方法

命令模式

ISAKMP策略配置態

使用說明

使用該命令指定用在IKE策略中的認證方法。

指定預共享密鑰，則必須同時分別配置這些預共享密鑰（crypto isakmp key命令）。

示例

本例配置IKE策略，使用預共享密鑰作爲其認證方法（所有其它參數爲缺省值）：

router_config#crypto isakmp policy 10

router_config_isakmp# authentication pre-share

router_config_isakmp# exit

router_config #

相關命令

crypto isakmp key

crypto isakmp policy

encryption(IKE policy)

group(IKE policy)

hash(IKE policy)

lifetime(IKE policy)

show crypto isakmp policy

5.1.2   clear crypto isakmp

要清除正在運行的IKE連接，使用全局配置命令clear crypto isakmp。

clear crypto isakmp [map map-name | peer ip-address]

參數

參數	參數說明
map map-name	（可選）清除名爲map-name的加密映射表的IKE連接。
peer ip-address	（可選）清除對端地址爲ip-addressIKE連接。

缺省

如果沒有使用map，peer參數，則在發出該命令時清除所有存在的IKE連接。

命令模式

管理態

使用說明

使用該命令清除活動的IKE連接。

示例

本例清除isakmp連接。

Router# show crypto isakmp sa

    dst            src           state               state-id       conn

192.2.2.19     192.2.2.199    <I>M_SA_SETUP        1           aaa 100

Route# clear crypto isakmp

Router# exit

Router#show crypto isakmp sa

Router#

相關命令

show crypto isakmp sa

5.1.3   crypto isakmp key

要配置預共享認證密鑰，使用全局配置命令crypto isakmp key。無論何時在IKE策略中指定預共享密鑰，都必須配置該密鑰。使用該命令的no形式刪除預共享認證密鑰。

crypto isakmp key keystring peer-address

no crypto isakmp key keystring peer-address

參數

參數	參數說明
keystring	指定預共享密鑰。使用最多128字節的字母數字字符的任意組合。該預共享密鑰必須在兩端上完全一樣。
peer-address	指定遠端的IP地址。

缺省

沒有缺省的預共享認證密鑰。

命令模式

全局配置態

使用說明

如果IKE策略中包括預共享密鑰作爲認證方法，這些預共享密鑰必須在兩端上配置；否則，該策略不能使用（IKE過程將不會提交該策略用於匹配）。

示例

指定預共享密鑰，並用IP地址指定遠程終端：

crypto isakmp key abcdefghijkl 192.2.2.1

相關命令

authentication (IKE policy)

5.1.4   crypto isakmp policy

要定義IKE策略，使用全局配置命令crypto isakmp policy。IKE策略定義一套參數在IKE協商期間使用。使用該命令的no形式來刪除IKE策略。

crypto isakmp policy priority

no crypto isakmp policypriority

參數

參數	參數說明
priority	標識IKE策略的優先級。使用1到10000的整數，1是最高優先級而10000是最低優先級。

缺省

存在一條缺省的策略，該策略總是最低優先級。這條缺省的策略中加密、哈希、認證，Diffie-Hellman組和生命期參數均爲缺省值。

在創建一條IKE策略時，如果不給特定參數指定值，則該參數使用缺省值。

命令模式

全局配置態

使用說明

使用該命令指定在IKE協商期間要使用的參數（這些參數用來創建IKE SA）。

使用此命令進入ISAKMP策略配置態，在ISAKMP策略配置態中，下面的命令在指定策略中的參數值是有效的：

encryption(IKE policy);缺省值=56比特DES-CBC

hash(IKE policy); 缺省值=SHA-1

authentication(IKE policy); 缺省值=Pre-Shared Key

group(IKE policy); 缺省值=768比特Diffie-Hellman

lifetime(IKE policy); 缺省值=86400秒

如果不給策略指定這些命令中的某一個，則將使用該參數的缺省值。

可以給參與IPSec 的兩端配置多個IKE策略。在IKE協商開始時，將試圖找到在兩端配置的公共策略，從對端上所指定的最高優先級的策略開始。

示例

下面的示例配置兩條ISAKMP策略：

crypto isakmp policy 10

hash md5

authentication pre-share

group 2

lifetime 5000

crypto isakmp policy 20

authentication pre-share

lifetime 10000

上面的配置結果爲下面的策略：

Router# show crypto isakmp policy

Protection suite of priority 10

     encryption algorithm:    DES  - Data Encryption Standard (56 bit keys).

     hash algorithm:          Message Digest 5

     authentication method:   Pre-Shared Key

Diffie-Hellman group:    #1 (768 bit)

  lifetime:                5000 seconds

Protection suite of priority 20

     encryption algorithm:    DES  - Data Encryption Standard (56 bit keys).

     hash algorithm:          Secure Hash Standard

     authentication method:   Pre-Shared Key

     Diffie-Hellman group:    #1 (768 bit)

     lifetime:                10000 seconds

Default protection suite

     encryption algorithm:    DES  - Data Encryption Standard (56 bit keys).

     hash algorithm:          Secure Hash Standard

     authentication method:   Pre-Shared Key

     Diffie-Hellman group:    #1 (768 bit)

     lifetime:                86400 seconds

相關命令

authentication(IKE policy)

encryption(IKE policy)

group(IKE policy)

hash(IKE policy)

lifetime(IKE policy)

show crypto isakmp policy

5.1.5   debug crypto isakmp

在IKE的協商過程中，查看相關的報文交互處理信息。

參數

無

缺省

缺省情況下不顯示相關信息。

命令模式

管理態

使用說明

顯示和IKE協商相關的一些重要信息，下表列舉了幾種常見的信息。

顯示信息	信息含義
ISAKMP(xxx): no acceptable Oakley Transform ISAKMP(xxx)：negotiate error NO_PROPOSAL_CHOSEN	雙方配置的ISAKMP策略不匹配。（對端發起協商）
ISAKMP(xxx): no acceptable Proposal in IPsec SA ISAKMP(xxx)：negotiate error NO_PROPOSAL_CHOSEN	雙方配置的IPSec策略不匹配。（對端發起協商）
ISAKMP(xxx): ISAKMP: not found matchable policy	雙方配置的IPSec規則不匹配。
ISAKMP(xxx): dealing with Notify Payload ISAKMP:     Notify-Message: NO_PROPOSAL_CHOSEN	雙方配置的ISAKMP策略不匹配。（本端發起協商，第一階段中）
ISAKMP(xxx): dealing with Notify Payload ISAKMP:     Notify-Message: NO_PROPOSAL_CHOSEN	雙方配置的IPSec策略不匹配，或配置的規則（access-list）不匹配。（本端發起協商，第二階段中）
ISAKMP(xxx): negotiate error ATTRIBUTES-NOT-SUPPORTED	本端不支持對端建議的屬性。（對端發起協商）
ISAKMP(xxx): dealing with Notify Payload ISAKMP:Notify-Message: ATTRIBUTES-NOT-SUPPORTED	對端不支持本端建議的屬性。（本端發起協商）

相關命令

show crypto ipsec sa

show crypto isakmp sa

debug crypto packet

5.1.6   encryption(IKE policy)

要在IKE策略內指定加密算法，使用ISAKMP策略配置命令encryption(IKE policy)。IKE策略定義一套參數，在IKE協商期間使用這些參數。使用該命令的no形式恢復加密算法爲缺省值。

encryption {des|3des}

no encryption {des|3des}

參數

參數	參數說明
des	指定DES作爲加密算法。
3des	指定3DES作爲加密算法。

缺省

DES加密算法。

命令模式

ISAKMP策略配置態

使用說明

使用該命令指定在IKE策略中使用的加密算法。

示例

本示例配置IKE策略中加密算法爲DES加密算法（所有其它參數設置爲缺省值）：

router_config# crypto isakmp policy 10

router_config_isakmp# encryption des

router_config_isakmp# exit

router_config#

相關命令

authentication(IKE policy)

crypto isakmp policy

group(IKE policy)

hash(IKE policy)

lifetime(IKE policy)

show crypto isakmp policy

5.1.7   group(IKE policy)

要在IKE策略內指定Diffie-Hellman組，使用ISAKMP策略配置命令group(IKE policy)。IKE策略定義一套參數，在IKE協商期間使用這些參數。使用該命令的no形式恢復Diffie-Hellman組爲缺省值。

group {1|2}

no group {1|2}

參數

參數	參數說明
1	指定768比特Diffie-Hellman組。
2	指定1024比特Diffie-Hellman組。

缺省

768比特Diffie-Hellman組（group 1）。

命令模式

ISAKMP策略配置態

使用說明

使用該命令指定IKE策略中使用的Diffie-Hellman組。

示例

本示例配置IKE策略爲1024比特Diffie-Hellman組（所有其它參數設置爲缺省值）：

router_config# crypto isakmp policy 10

router_config _isakmp# group 2

router_config _isakmp# exit

router_config#

相關命令

authentication(IKE policy)

crypto isakmp policyen

cryption(IKE policy)

hash(IKE policy)

lifetime(IKE policy)

show crypto isakmp policy

5.1.8   hash(IKE policy)

要在IKE策略內指定哈氏算法，使用ISAKMP策略配置命令hash(IKEpolicy)。IKE策略定義一套參數，在IKE協商期間使用這些參數。使用該命令的no形式恢復哈希算法爲缺省的SHA-1哈希算法。

hash {sha|md5}

no hash {sha|md5}

參數

參數	參數說明
sha	指定SHA-1(HMAC變體)作爲哈希算法。
md5	指定MD5(HMAC變體)作爲哈希算法。

缺省

SHA-1哈希算法

命令模式

ISAKMP策略配置態

使用說明

使用該命令指定IKE策略中使用的哈希算法。

示例

本示例配置IKE策略爲使用MD5哈希算法（所有其它參數設置爲缺省值）：

router_config # crypto isakmp policy 10

router_config _isakmp# hash md5

router_config _isakmp# exit

router_config#

相關命令

authentication(IKE policy)

crypto isakmp policy encryption(IKE policy)

group(IKE policy)

lifetime(IKE policy)

show crypto isakmp policy

5.1.9   lifetime(IKE policy)

要描述IKE SA的生命期，使用ISAKMP策略配置命令lifetime(IKE policy)。使用該命令的no形式恢復SA生命期爲缺省值。

lifetime seconds

no lifetime seconds

參數

參數	參數說明
seconds	指定每個IKE SA在失效之前存在的秒數。使用60到86400秒之間的整數。

缺省

86400秒

命令模式

ISAKMP策略配置態

使用說明

使用該命令指定IKE SA在失效之前存在多長時間。

當IKE開始協商時，首先爲其對話在安全參數上達成一致。這些一致的參數由SA引用。IKE SA一直保留，直到其生命期失效。在IKE SA失效之前，它可以被後續的IKE協商重新使用，這在設置新的IPSec SA時可以節省時間。新的IKE SA在當前IKE SA失效之前協商。

因此，要節省設置IPSec 的時間，應配置較長的IKE SA生命期。配置的生命期越短，IKE協商可能會越安全。

注意:

當本端發起與對端之間的IKE協商時，只有對端策略的生命期比本端的策略的生命期短或者相等，纔可以選擇該策略。

如果生命期不相等，選擇較短的生命期。

示例

本示例配置IKE策略的安全協會生命期爲600秒（所有其它參數設置爲缺省值）：

router_config# crypto isakmp policy 10

router_config_isakmp# lifetime 600

router_config_isakmp# exit

router_config#

相關命令

authentication(IKE policy)

crypto isakmp policy

encryption(IKE policy)

group(IKE policy)

hash(IKE policy)

show crypto isakmp policy

5.1.10   show crypto isakmp policy

要瀏覽每個IKE策略的參數，使用show crypto isakmp policy。

show crypto isakmp policy

參數

該命令沒有參數。

命令模式

管理態

示例

下面是配置了兩個IKE策略（分別爲優先級10和20）後show crypto isakmp policy命令的輸出：

router# show crypto isakmp policy

Protection suite of priority 10

     encryption algorithm:    DES  - Data Encryption Standard (56 bit keys).

     hash algorithm:          Message Digest 5

     authentication method:   Pre-Shared Key

     Diffie-Hellman group:    #1 (768 bit)

     lifetime:                5000 seconds

Protection suite of priority 20

     encryption algorithm:    3DES - Triple Data Encryption Standard.

     hash algorithm:          Secure Hash Standard

     authentication method:   Pre-Shared Key

     Diffie-Hellman group:    #2 (1024 bit)

     lifetime:                10000 seconds

Default protection suite

  encryption algorithm:    DES  - Data Encryption Standard (56 bit keys).

     hash algorithm:          Secure Hash Standard

     authentication method:   Pre-Shared Key

     Diffie-Hellman group:    #1 (768 bit)

     lifetime:                86400 seconds

相關命令

authentication(IKE policy)

crypto isakmp policy

encryption(IKE policy)

group(IKE policy)

hash(IKE policy)

lifetime(IKE policy)

5.1.11   show crypto isakmp sa

要顯示所有當前IKE SA，使用show crypto isakmp sa。

show crypto isakmp sa

參數

該命令沒有參數。

命令模式

管理態

使用說明

示例下面是在兩臺終端之間成功地完成IKE協商之後，show crypto isakmp sa命令的輸出範例：

MyPeerRouter# show crypto isakmp sa

    dst            src           state               state-id       conn

192.2.2.19     192.2.2.199    <I>Q_SA_SETUP        2           aaa 100

192.2.2.19     192.2.2.199    <I>M_SA_SETUP        1           aaa 100

下面表格顯示在show crypto isakmp sa命令的輸出中可能顯示的各種不同的狀態。當存在ISAKMP SA時，則它大多數時候爲靜止狀態（Q_SA_SETUP）。

主模式交換中的狀態：

狀態	解釋
M_NO_STATE	該階段爲“初期”階段，沒有狀態。
M_SA_EXCH	終端已經形成ISAKMP SA的參數。
M_KEY_EXCH	終端已經交換Diffie-Hellman公共密鑰，並且產生了共享的祕密。ISAKMP SA還未認證。
M_SA_SETUP	ISAKMP SA已經認證。開始快速模式交換。

快速模式交換中的狀態：

狀態	解釋
Q_IDLE_1	快速模式狀態1。
Q_IDLE_2	快速模式狀態2。
Q_SA_SETUP	IPSec SA協商成功。

相關命令

crypto isakmp policy

lifetime(IKE policy) 

第6章   Web認證命令

6.1  Web認證命令

Web認證命令包括：

l   web-auth enable

l   web-auth accounting

l   web-auth authentication

l   web-auth keep-alive

l   web-auth holdtime

l   web-auth authtime

l   web-auth portal-server

l   web-auth kick-out

l   show web-auth

l   show web-auth interface

l   show web-auth user

l   debug web-auth event

l   debug web-auth error

l   debug web-auth verbose

l   debug web-auth http event

l   debug web-auth http request

l   debug web-auth http

l   debug web-auth

6.1.1   web-auth enable

命令描述

web-auth enable

no web-auth enable

參數

無

缺省

未開啓web認證

說明

在路由接口（以太網類型）上開啓web認證功能，如果不開啓web認證功能，通過該路由接口的報文不受web認證的控制。

命令模式

接口配置模式

示例

下面的命令在 interface FastEthernet0/0上開啓web認證：

Router_config_f0/0#web-auth enable

6.1.2   web-auth accounting

命令描述 

web-auth accounting method-name

no web-auth accounting

參數

參數	參數說明
Method- name	在aaa中配置的認證方法列表。取之範圍：N/A。

缺省

無認證方法

說明

系統在用戶登錄後後將使用配置的計費方法進計費，如果計費操作不成功，則通知用戶認證失敗。如果未配置計費方法，則按“default”方法處理。

命令模式

接口配置模式

示例

下面的命令先配置一個名爲weba-acct的計費方法列表，然後在 interface FastEthernet0/0上使用該方法：

Router_config# aaa accounting network weba-acct start-stop radius

Router_config_f0/0# web-auth account weba-acct

6.1.3   web-auth authentication

命令描述

web-auth authentication method-name

no web-auth authentication

參數

參數	參數說明
Method- name	在aaa中配置的計費方法列表。取值範圍：N/A。

缺省

無認證方法

說明

系統在用戶登錄後後將使用配置的認證方法進認證，如果認證操作不成功，則通知用戶認證失敗。如果未配置認證方法，則按“default”方法處理。

命令模式

接口配置模式

示例

下面的命令先配置一個名爲weba-auth的認證方法列表，然後在 FastEthernet0/0上使用該方法：

Router_config# aaa authentication login weba local

Router_config_f0/0# web-auth authentication weba 

6.1.4   web-auth keep-alive

命令描述

web-auth keep-alive keep-alive-time

noweb-auth keep-alive

參數

參數	參數說明
keep-alive-time	用戶瀏覽器向路由器發送在線通知的週期，以秒爲單位。取值範圍：60-65535。

缺省

60秒

說明

在重新配置keep alive之後，已經通過認證的用戶的瀏覽器將在按原來的的週期發送一次在線通知報文後啓用新的發送週期；在配置keep alive之後才通過認證的用戶的瀏覽器將立即以配置後的週期發送在線通知報文。

命令模式 

管理配置模式

示例

下面的命令將用戶瀏覽器向路由器發送在線通知的週期設爲180秒：

Router_config#web-auth keep-alive 180

6.1.5   web-auth holdtime

命令描述

web-auth holdtime holdtime

no web-auth holdtime

參數

參數	參數說明
holdtime	路由器檢測用戶是否在線的定時器時長。取值範圍：60-65535。

缺省

180秒

說明

路由器通過用戶瀏覽器發送的在線通知報文來檢測用戶是否在線，如果超過holdtime的時長沒有收到在線通知報文，路由器將認爲該用戶非正常下線，強制該用戶登出，並停止對該用戶的計費。

命令模式

管理配置模式

示例

下面的命令將holdtime設置爲600秒。

Router_config#web-auth holdtime 600

6.1.6   web-auth authtime

命令描述

web-auth authtimeauthtime

no web-authtime

參數

參數	參數說明
authtime	從用戶分配到dhcp地址開始到通過認證（包括計費）的最長時間。取值範圍：60-65535。

缺省

180秒

說明

在用戶使用dhcp協議後路由器將爲期分配一定的資源以便於認證，如果用戶在authtime之內沒有通過認證，路由器將釋放爲其分配的資源。如果用戶需要再次發起認證，則需要重新利用dhcp觸發路由器爲其分配認證資源。

命令模式

管理配置模式

示例

下面的命令將authtime設置爲360秒：

Router_config#web-auth authtime 360

6.1.7   web-auth portal-server

命令描述

web-auth portal-server A.B.C.D

no web-auth portal-server

參數

參數	參數說明
A.B.C.D	用戶在通過認證前，使用域名進行web訪問時，實際訪問到的目的地址。取值範圍：路由器上可訪問的接口的IP地址。

缺省

無

說明

用戶在通過認證前，進行DNS解析時，其DNS應答報文中的answer段的IP地址被修改爲portal server的地址，這樣用戶的http請求就被重定向到portal server，路由器內置的portal server根據當前的配置給用戶返回相應的web頁面。

命令模式

管理配置模式

示例

下面的命令將portal server的地址設置爲192.168.20.41。

Router_config#web-auth portal-server 192.168.20.41

6.1.8   web-auth kick-out

命令描述

web-auth kick-out A.B.C.D

參數

參數	參數說明
A.B.C.D	用戶的IP地址。取值範圍：N/A。

缺省

無

說明

此命令將給定IP的用戶從路由器刪除，如果刪除之前已經開始對用戶計費，刪除時路由器會停止對該用戶的計費。刪除後用戶如果要再次通過認證，需要使用dhcp分配地址來重新觸發認證過程。

命令模式

管理配置模式

示例

下面的命令刪除IP地址爲192.168.20.43的用戶：

Router_config#web-auth kick-out 192.168.20.43

6.1.9   show web-auth

命令描述

show web-auth

參數

無

缺省

無

說明

該命令用來顯示路由器中當前的web認證配置。

命令模式

特權模式

示例

下面的命令顯示路由器中當前的web認證配置：

Router_config#show web-auth

web authentication parameters

holdtime        3600

authtime        600

keep-alive      60

portal-server   192.168.20.41

6.1.10   show web-auth interface

命令描述

show web-auth interface[Ethernet|FastEthernet] interface number

參數

參數	參數說明
interface number	路由接口編號。取值範圍：N/A。

缺省

無

說明

該命令用來顯示路由器中指定接口的web認證配置。

命令模式

特權模式

示例

下面的命令顯示 interface FastEthernet0/0下面的web認證配置：

Router_config#show web-auth interface FastEthernet0/0

web authentication parameters

web-auth           enable

account-method     weba-acct

authen-method      weba

mode               user

6.1.11   show web-auth user

命令描述

show web-auth user

參數

無

缺省

無

說明

該命令用來顯示路由器中當前的所有用戶，包括已經通過認證的用戶和尚未完成認證的用戶。

命令模式

特權模式

示例

下面的命令顯示當前的用戶：

Router#show web-auth user

IP              MAC-ADDR        state                   remain-time(seconds)

192.168.20.42   0008.74b7.3de1  WEBA_USER_AUTHENTICATED 3572

-------------------------------------

authenticated users: 1, authenticating users: 0

6.1.12   debug web-auth event

命令描述

debug web-auth event

參數

無

缺省

無

說明

該命令用來輸出web認證過程中的事件信息，比如收到認證請求、認證失敗、通過認證、用戶登出等事件。

命令模式

特權模式

示例

Router#debug web-auth event

6.1.13   debug web-auth error

命令描述

debug web-auth error

參數

無

缺省

無

說明

該命令用來輸出一切錯誤信息，用於錯誤的定位。

命令模式

特權模式

示例

Router#debug web-auth error

6.1.14   debug web-auth verbose

命令描述

debug web-auth verbose

參數

無

缺省

無

說明

該命令使 debug web-auth event命令輸出的信息更加詳細，使其在可能的情況下輸出和事件相關的用戶的mac地址。

命令模式

特權模式

示例

Router#debug web-auth verbose

6.1.15   debug web-auth http event

命令描述

debug web-auth http event

參數

無

缺省

無

說明

該命令用來輸出web認證中和http相關的事件信息，比如收到socket連接請求，socket斷開等。

命令模式

特權模式

示例

Router#debug web-auth http event

6.1.16   debug web-auth http request

命令描述

debug web-auth request

參數

無

缺省

無

說明

該命令用來輸出http請求的內容。

命令模式

特權模式

示例

Router#debug web-auth http request

6.1.17   debug web-auth http

命令描述

debug web-auth http

參數

無

缺省

無

說明

該命令相當於同時執行了debug web-auth http event和debug web-auth request

命令模式

特權模式

示例

Router#debug web-auth http

6.1.18   debug web-auth

命令描述

debug web-auth

參數

無

缺省

無

說明

該命令相當於同時打開web認證的所有調試開關。

命令模式

特權模式

示例

Router#debug web-auth

第7章   802.1x配置命令

7.1  802.1x配置命令

802.1x的配置命令有：

l   dot1x enable

l   dot1x port-control

l   dot1x multiple-hosts

l   dot1x default

l   dot1x max-req

l   dot1x reauth-max

l   dot1x re-authentication

l   dot1x timeout quiet-period

l   dot1x timeout re-authperiod

l   dot1x timeout tx-period

l   dot1x user-permit

l   dot1x authentication method

l   dot1x authen-type、dot1x authentication type

l   aaa authentication dot1x

l   debug dot1x error

l   debug dot1x state

l   debug dot1x packet

l   show dot1x

l   show dot1xmac

7.1.1   dot1x enable

命令描述

dot1x enable

no dot1x enable

參數

無

缺省

無

使用說明

使能802.1x功能，如果沒有使能802.1x功能，則在端口下是不能啓動802.1x功能的，如果禁止802.1x功能則，所有802.1x功能的端口將取消掉802.1x功能，同時，所有的802.1x報文將不會被CPU接收，而會象一般的組播報文一樣在vlan內轉發。

命令模式

全局配置模式

示例

下面的命令將啓動dot1x。

Switch(config)#dot1x enable

Switch(config)#　

7.1.2   dot1x port-control

命令描述

dot1x port-control {auto|force-authorized|force-unauthorized}

no dot1x port-control

參數

參數	參數說明
auto	啓用802.1x協議認證方式。
force-authorized	取消802.1x協議認證。
force-unauthorized	強制設置該端口爲不可存取。

缺省

force-authorized

使用說明

802.1x協議是一種兩層的基於端口的認證方式，使用auto命令可以啓動該認證方式，該認證方式只能配置於物理端口，且該端口屬性不能是vlan主幹、動態存取、安全端口、監控端口。

命令模式

接口配置模式

示例

下面的命令將在f0/24上啓動802.1x。

Switch(config_f0/24)# dot1x port-control auto

Switch(config_f0/24)# 

下面的命令先將f0/23配置爲vlan主幹，然後啓動802.1x。

Switch(config_f0/23)#switchport mode trunk

Switch(config_f0/23)#dot1x port-control auto

802.1x Control Failed, 802.1x cannot cmd on vlanTrunk port(f0/23)

Switch(config_f0/23)# 

7.1.3   dot1x multiple-hosts

命令描述

dot1x multiple-hosts

no dot1x multiple-hosts

參數

無

缺省

禁止801.1x的多客戶端認證。

使用說明

802.1x的認證主要對單個主機用戶進行認證，這時，交換機只允許一個用戶進行認證、訪問控制，其他用戶是不能進行認證和訪問的，除非前一個用戶退出認證、訪問過程；然而有時端口可能通過不支持802.1x的交換設備（例如1108交換機）與多個主機相連接，爲了使這些主機用戶都能訪問，可以啓動多主機端口訪問功能。

將一個端口配置爲802.1x的多主機認證後，交換機將對不同的臺主機用戶進行認證，當認證通過後，交換機將允許該主機通過交換機進行訪問（使用主機的MAC進行控制）。　

命令模式

接口配置模式

示例

下面的命令將在f0/24上啓動多主機端口認證。

Switch(config_f0/24)# dot1x multiple-hosts

Switch(config_f0/24)# 

7.1.4   dot1x default

命令描述

dot1x default

參數

無

缺省

無

使用說明

將所有的全局配置恢復到默認配置。

命令模式

全局配置模式

示例

下面的命令將dot1x所有的配置參數恢復到默認值。

Switch(config)#dot1x default

Switch(config)# 

7.1.5   dot1x max-req

命令描述

dot1x max-req count

no dot1x max-req

參數

參數	參數說明
count	身份認證請求的最大次數，範圍1-10。

缺省

2

使用說明

根據不同的網絡環境，更改身份認證請求的最大次數設置，以保證客戶端與認證服務器間的認證通過。

命令模式

全局配置模式

示例

下面的命令將配置dot1x身份認證請求的最大次數爲4。

Switch(config)#dot1x max-req 4

Switch(config)#  

7.1.6   dot1x reauth-max

命令描述

dot1x reauth-max count

no dot1x reauth-max

參數

參數	參數說明
count	認證重試的最大次數，範圍1-10。

缺省

4

使用說明

設置重複認證的次數，超過該次數的認證，客戶機沒有響應，認證將會被掛起。

命令模式

全局配置模式

示例

下面的命令將配置dot1x身份認證請求的最大次數爲5。

Switch(config)#dot1x reauth-max 5

Switch(config)#  

7.1.7   dot1x re-authentication

命令描述

dot1x re-authentication

no dot1x re-authentication

參數

無

缺省

無

使用說明

啓動重認證功能，當端口認證通過以後，還會週期性的向主機進行認證，該週期可以通過命令dot1x timeout re-autjperiod，進行配置。

命令模式

全局配置模式

示例

下面的命令將啓動重認證功能。

Switch(config)#dot1x re-authentication

Switch(config)#  

7.1.8   dot1x timeout quiet-period

命令描述

dot1x timeout quiet-period time

no dot1x timeout quiet-period

參數

參數	參數說明
time	dot1x重啓動認證的週期，範圍0-65535s。

缺省

60s

使用說明

在認證失敗後有一段安靜時間，在該時間內，交換機將不會接受或啓動任何認證。

命令模式

全局配置模式

示例

下面的命令將配置quiet-period的值爲40。

Switch(config)#dot1x timeout quiet-period 40

Switch(config)#  

7.1.9   dot1x timeout re-authperiod

命令描述

dot1x timeout re-authperiod time

no dot1x timeout re-authperiod

參數

參數	參數說明
time	dot1x重認證的週期值，1-4294967295s。

缺省

3600s

使用說明

該命令只有在啓動重認證後纔會產生作用。

命令模式

全局配置模式

示例

下面的命令將配置dot1x重認證的週期爲7200s。

Switch(config)# dot1x timeout re-authperiod 7200

Switch(config)#  

7.1.10   dot1x timeout tx-period

命令描述

dot1x timeout tx-period time

no dot1x timeout tx-period

參數

參數	參數說明
time	時間，1- 65535s。

缺省

30s

使用說明

該命令可以等待主機客戶端響應認證請求的時間間隔，超過該時間交換機將重發認證請求。

命令模式

全局配置模式

示例

下面的命令將配置發送頻率爲24。

Switch(config_f0/0)# dot1x timeout tx-period 24

Switch(config_f0/0)# 

7.1.11   dot1x user-permit

命令描述

dot1x user-permit xxx yyy zzz

no dot1x user-permit

參數

參數	參數說明
xxx	用戶名。
yyy	用戶名。
zzz	用戶名。

缺省

沒有用戶綁定，所有用戶都通過。

使用說明

該命令配置端口下綁定的用戶，每一個端口下可以綁定8個用戶；當啓動802.1x認證時，只會對綁定的用戶名執行認證，其他用戶不執行認證，肯定認證失敗。

命令模式

端口配置模式

示例

下面的命令將f0/1配置綁定用戶爲a、b、c、d。

Switch(config_f0/1)# dot1x user-permit a b c d

Switch(config_f0/1)# 

7.1.12   dot1x authentication method

命令描述

dot1x authentication method xxx

no dot1x authentication method

參數

參數	參數說明
xxx	方法名。

缺省

“default”方法。

使用說明

該命令配置端口下的認證方法，該方法應是AAA中提供的認證方法之一，每一個端口只使用一種方法；當AAA對802.1x的用戶進行認證時，AAA將會選擇配置的認證方法執行認證。

命令模式

端口配置模式

示例

下面的命令將在端口f0/1配置認證方法爲abcd，該方法使用本地用戶名認證；在端口f0/2配置認證方法爲efgh，該方法使用radius遠程認證。

Switch(config) #aaa authentication dot1x abcd local

Switch(config) #aaa authentication dot1x efgh radius

Switch(config) #int f0/1

Switch(config_f0/1)# dot1x authentication method abcd

Switch(config_f0/1)# int f0/2

Switch(config_f0/2)# dot1x authentication method efgh  

7.1.13   dot1x authen-type、dot1x authentication type

命令描述

dot1x authen-type {chap|eap}

no dot1x authen-type

配置全局下dot1x的認證類型，no命令恢復爲默認值。

dot1x authentication type {chap|eap}

no dot1x authentication type

配置端口下dot1x的認證類型，no命令恢復爲默認值。

參數

None

缺省

全局下默認爲chap

端口下默認爲全局下的配置類型。

使用說明

該命令配置認證類型，該類型將決定AAA使用Chap或Eap認證；使用Chap時MD5所需的challenge將在本地產生，而使用Eap時challenge將認證服務器上產生；每一個端口只使用一種認證類型，默認情況下該類型使用全局配置的認證類型，當端口配置了認證類型時就一直使用該認證類型，除非使用No命令恢復到默認值。

命令模式

端口和全局配置模式

示例

下面的命令將在端口f0/1配置認證類型爲Chap，全局認證類型爲Eap。

Switch(config) #dot1x authen-type eap

Switch(config) #int f0/1

Switch(config_f0/1)# dot1x authentication type chap  

7.1.14   aaa authentication dot1x

命令描述

aaa authentication dot1x {default} method1 [method2...]

no aaa authentication dot1x {default} method1 [method2...]

參數

參數	參數說明
Default	當用戶認證時使用以下的方法。
method1 [method2...]	enable 、group radius、line、local、local-case、none

缺省

沒有認證

使用說明

method參數提供一系列的方法對客戶主機提供的密碼進行認證，對802.1x的aaa認證方式最好採用radius認證，也可以使用本地配置數據進行認證，如本地保存於配置中的用戶密碼、使用enable和line的密碼等等。

命令模式

全局配置模式

示例

下面的命令將配置dot1x認證方式爲radius。

Switch(config)#aaa authentication dot1x default radius

Switch(config)#  

7.1.15   debug dot1x error

命令描述

debug dot1x error

參數

無

缺省

無

使用說明

用來輸出在dot1x運行中出現的一切錯誤信息，用於錯誤的定位。 

7.1.16   debug dot1x state

命令描述

debug dot1x state

參數

無

缺省

無

使用說明

輸出格式如下：

2003-3-18 17:40:09 802.1x:AuthSM(F0/10) state Connecting-> Authenticating, event rxRespId

2003-3-18 17:40:09 802.1x:F0/10 Create user for Enter authentication

2003-3-18 17:40:09 802.1x:BauthSM(F0/10) state Idle-> Response, event authStart

2003-3-18 17:40:09 802.1x:F0/10 user "myname" denied, Authentication Force Failed

2003-3-18 17:40:09 802.1x:F0/10 Authentication Fail

2003-3-18 17:40:09 802.1x:BauthSM(F0/10) state Response-> Fail, event aFail　

7.1.17   debug dot1x packet

命令描述

debug dot1x packet

參數

None

缺省

無

使用說明

2003-3-18 17:40:09 802.1x:F0/10 Tx --> Supplicant(0008.74bb.d21f)

EAPOL  ver:01, type:00, len:5

EAP    code:01, id:03, type:01, len:5

00

2003-3-18 17:40:09 802.1x:F0/10 Rx <-- Supplicant(0008.74bb.d21f)

EAPOL  ver:01, type:00, len:10

EAP    code:02, id:03, type:01, len:10

62 64 63 6f 6d a5　

7.1.18   show dot1x

命令描述

show dot1x [interface intf-id]

這條命令用來顯示802.1x配置信息。

參數

參數	參數說明
intf-id	具體的物理端口。

缺省

無

使用說明

顯示802.1x配置信息。

命令模式

管理配置模式

示例

下面的命令將在端口F0/10配置dot1x port-control auto。

Switch_config#sho dot1x

802.1X Parameters

reAuthen         No

reAuth-Period    3

quiet-Period     10

Tx-Period        30

Supp-timeout     30

Server-timeout   30

reAuth-max       4

max-request      2

authen-type      Eap

IEEE 802.1x on port F0/10 enabled

Authorized                      Yes

Authen Type                    Eap

Authen Method                default

Permit Users                    All Users

Multiple Hosts                  Disallowed

Supplicant                      aaa(0008.74bb.d21f)

Current Identifier              21

Authenticator State Machine

State                           Authenticated

Reauth Count                    0

Backend State Machine

State                           Idle

Request Count                   0

Identifier (Server)             20

Port Timer Machine

Auth Tx While Time              16

Backend While Time              16

reAuth Wait Time                3

Hold Wait Time                  0

7.1.19   show dot1xmac

命令描述

show dot1xmac

這條命令用來顯示802.1x認證mac地址列表信息。

參數

無

缺省

無

使用說明

顯示802.1x認證mac地址列表信息。

命令模式

管理配置模式

示例

Switch_config#sho dot1xmac

%DOT1X AUTHORIZED MAC Information:

FastEthernet0/0 2 entries

MacAddr        Vlan   Type

00:e0:0f:0c:05:30  3     Static

08:00:3e:ff:77:e0  2     Dynamic