計算機網(wǎng)絡實驗手冊安全操作

第1第1章網(wǎng)絡安全配 1VRP提供的網(wǎng)絡安全特性簡 1命令行分級保 2基于RADIUS的 2包過濾和防火 2防火墻的概 2防火墻的分 31.4.3包過 4交換路由信息時的安全認 5....................................................................2-2.1簡 1AAA概 1RADIUS協(xié)議概 2HWTACACS協(xié)議概 6AAA配 8創(chuàng)建ISP域并配置相關屬 9創(chuàng)建本地用戶并配置相關屬 RADIUS協(xié)議配 創(chuàng)建RADIUS方 配置RADIUS認證/授權服務 配置RADIUS計費服務器及相關屬 設置RADIUS報文的共享密 設置RADIUS請求報文的最大傳送次 設置支持的RADIUS服務器的類 設置RADIUS服務器的狀 設置發(fā)送給RADIUS服務器的用戶名格 設置發(fā)送給RADIUS服務器的數(shù)據(jù)流的單 配置NAS發(fā)送RADIUS報文使用的源地 配置RADIUS服務器的定時 HWTACACS協(xié)議配 創(chuàng)建HWTACACS方 配置HWTACACS認證服務 配置HWTACACS授權服務 配置TACACS計費服務器及相關屬 配置NAS發(fā)送HWTACACS報文使用的源地 配置TACACS服務器的密 i配置TACACS配置TACACS服務器的用戶名格 配置TACACS服務器的流量單 配置TACACS服務器的定時 AAA及RADIUS/HWTACACS協(xié)議的顯示和調 AAA及RADIUS/HWTACACS協(xié)議典型配置舉 Telnet/SSH用戶通過RADIUS服務器認證、計費的應 FTP/Telnet用戶本地認證配 PPP用戶通過TACACS服務器認證、授權、計費的應 Telnet用戶通過TACACS+服務器認證（一次性認證）、計費的應 AAA及RADIUS/HWTACACS協(xié)議故障的診斷與排 RADIUS協(xié)議故障診斷與排 HWTACACS協(xié)議故障診斷與排 第3章訪問控制列表配 1訪問控制列表簡 1訪問控制列表概 1訪問控制列表的分 1訪問控制列表的匹配順 1訪問控制列表的創(chuàng) 2基本訪問控制列 3高級訪問控制列 4基于接口的訪問控制列 基于MAC地址的訪問控制列 ACL對分片報文的支 訪問控制列表配 配置基本訪問控制列 配置高級訪問控制列 配置基于接口的訪問控制列 配置基于MAC地址的訪問控制列 刪除訪問控制列 時間段配 創(chuàng)建/刪除一個時間 訪問控制列表的顯示與調 訪問控制列表典型配置案 第4章防火墻配 1防火墻簡 1ACL/包過濾防火墻簡 1ASPF簡 2包過濾防火墻配 5允許或禁止防火 5設置防火設置防火墻缺省過濾方 5設置包過濾防火墻分片報文檢測開 6配置分片報文檢測的上、下門限 6在接口上應用訪問控制列 6包過濾防火墻顯示與調 7包過濾防火墻典型配置舉 7ASPF配 9允許防火 9配置訪問控制列 9定義ASPF策 9在接口上應用ASPF策 端口映射配 ASPF顯示與調 ASPF典型配置案 .................................................................................................................5-IPSec概 1IPSec協(xié)議簡 1IPSec基本概 2加密卡簡 4IPSec在VRP上的實 4IPSec配 6定義訪問控制列 7定義安全提 8創(chuàng)建安全策 配置安全策略模 在接口上應用安全策略 配置取消對nextpayload域的檢 加密卡可選配 IPSec顯示與調 VRP主體軟件IPSec的顯示與調 加密卡IPSec的顯示與調 IPSec典型配置案 采用manual方式建立安全聯(lián)盟的配 采用isakmp方式建立安全聯(lián)盟的配 使用加密卡進行加/解密和認 1IKE協(xié)議簡 1IKE協(xié)議概 1IKE配置前準備工 2IKE的配 3配置本端配置本端安全網(wǎng)關的名 3定義IKE安全提 4配置ike對等 6配置Keepalive定時 9IKE顯示與調 IKE典型配置案 IKE典型配置組網(wǎng)應 IKE野蠻模式及NAT穿越的組網(wǎng)應 ADSL與IPSec/IKE相結合的組網(wǎng)應 IKE故障診斷與排 1PKI簡 17.1.1概 1相關術 2主要應 2配置任務列 3證書申請配 3證書申請概 3進入PKI域視 3配置信任的 4配置申請證書的服務 5配置實體命名空 6創(chuàng)建公、私密鑰 9配置查詢證書申請?zhí)幚頎顟B(tài)的重發(fā)間隔和次 配置證書申請模 手工申請證 手工獲取證 證書驗證配 證書驗證配置任務列 配置CRL發(fā)布點位 配置CRL更新周 配置是否必須檢查 獲取 7.3.6驗證證 顯示和調 典型配置舉 使用PKI證書方法進行IKE協(xié)商認 證書故障診斷與排 故障之一：獲取CA的證書失 故障之二：本地證書申請失 7.6.3故障7.6.3故障之三：CRL獲取失 v1第1提供的網(wǎng)絡安全特性簡介路由器必須防范來自公網(wǎng)上的惡意攻擊。另外，有時用戶無意識但有破壞性的訪問提供的網(wǎng)絡安全特性：基于RADIUS（RemoteAuthenticationDial-InUser1第1提供的網(wǎng)絡安全特性簡介路由器必須防范來自公網(wǎng)上的惡意攻擊。另外，有時用戶無意識但有破壞性的訪問提供的網(wǎng)絡安全特性：基于RADIUS（RemoteAuthenticationDial-InUserService）（AuthenticationAuthorization,Accounting）RADIUS服務器配合AAA服務，可以提供對接入用戶的驗證、授權和計費安全服務，防止包過濾（PacketFilter）：用訪問控制列表實現(xiàn)，允許指定可以通過（或禁止ASPF（ApplicationSpecificPacketFilter）：據(jù)源驗證，來保證數(shù)據(jù)包在Internet上傳輸時的私有性、完整性和真實性。企業(yè)內部設備的IP地址，阻止來自公共網(wǎng)絡上的攻擊。本章中將詳細介紹AAA及RADIUS配置、用戶口令配置、防火墻和包過濾配置等，IPSec配置，IKE配置。PPPPPP配置，日志NAT1-1基于RADIUS1基于RADIUS寫，用來實現(xiàn)訪問用戶管理功能。AAAAAA是基于RADIUS協(xié)議來實現(xiàn)的。PPPPPP定的IP地址。PPP1.4.1WebE-mail1-1圖1-1重要資源（如數(shù)據(jù)）。對受保護數(shù)據(jù)的訪問都必須經(jīng)過防火墻的過濾，即使該訪問源時，也會經(jīng)過防火墻。這樣，防火墻就起到了一個“警衛(wèi)”的作用，可以將需要一般把防火墻分為兩類：網(wǎng)絡層防火墻、應用層防火墻。網(wǎng)絡層的防火墻主要獲取的數(shù)據(jù)。如FTP應用網(wǎng)關，對于連接的Client端來說是一個FTPServer，1圖1-1重要資源（如數(shù)據(jù)）。對受保護數(shù)據(jù)的訪問都必須經(jīng)過防火墻的過濾，即使該訪問源時，也會經(jīng)過防火墻。這樣，防火墻就起到了一個“警衛(wèi)”的作用，可以將需要一般把防火墻分為兩類：網(wǎng)絡層防火墻、應用層防火墻。網(wǎng)絡層的防火墻主要獲取的數(shù)據(jù)。如FTP應用網(wǎng)關，對于連接的Client端來說是一個FTPServer，對Server端來說是一個FTPClient。連接中傳輸?shù)乃蠪TP數(shù)據(jù)包都必FTP（Open）一個連接或電路之前，驗證該會話的可靠性。只有在握手被驗證為連接表中的某一條目（Entry）時，才被允許通過。會話結束時，該會話在表在該連接上可以運行任何一個應用程序。以FTP1-1FTPTCP包過濾（PacketFilter）：對每個數(shù)據(jù)包按照用戶所定義的項目進行過濾，如1FTPTCP包過濾（PacketFilter）：對每個數(shù)據(jù)包按照用戶所定義的項目進行過濾，如211024IP地址和端口替換為路由IP地址和端口，即<私有地址+端口>與<公有地址+端口>之間的轉換。私有地址是IP地址。因特網(wǎng)地址分配組織規(guī)定將下列的IP地址被保留用作私有地址：也就是說這三個范圍內的地址不會在因特網(wǎng)上被分配，可在一個單位或公司內部使用。各企業(yè)根據(jù)在預見未來內部主機和網(wǎng)絡的數(shù)量后，選擇合適的內部網(wǎng)絡地址，不同企業(yè)的內部網(wǎng)絡地址可以相同。如果一個公司選擇上述三個范圍之外的其它網(wǎng)1.4.31.IP包過濾（IP數(shù)據(jù)包）1-2所示（IP1-1包過圖1-22.據(jù)包不能通過。這些規(guī)則就是通過訪問控制列表（AccessControlList）用戶需要根據(jù)自己的安全策略來確定訪問控制列表，并將其應用到整機或指定接口1包過圖1-22.據(jù)包不能通過。這些規(guī)則就是通過訪問控制列表（AccessControlList）用戶需要根據(jù)自己的安全策略來確定訪問控制列表，并將其應用到整機或指定接口1.2.相互交換路由信息的路由器都共享一個口令字，口令字與路由信息報文一起發(fā)送，認證的實現(xiàn)有兩種方式：明文認證和MD5認證。明文認證以明文形式發(fā)送口令字安全性較低。而MD5認證是發(fā)送加密后的口令字，MD5認證方式安全性較高1-源/目的IP地址源/目的端口號應用層數(shù)據(jù)流IP報頭報應用層報頭數(shù)據(jù)2.1AAAAAAAuthentication，AuthorizationandAccounting（認證、授權和計費）的簡2.1AAAAAAAuthentication，AuthorizationandAccounting（認證、授權和計費）的簡針對以上問題，AAA1.RADIUSHWTACACS協(xié)議進行遠端認證，由寬帶接入服務器做為Client端，與RADIUS服務器或TACACS服務器通信。對于RADIUS協(xié)議，可以采用標準RADIUS協(xié)議或華為3COM公司的擴展RADIUS協(xié)議，與iTELLIN/CAMS等設備配合完成認證。2.2-3.3.用戶信息。因此，AAA框架具有良好的可擴展性，并且容易實現(xiàn)用戶信息的集中管理。AAA是一種管理框架，因此，它可以用多種協(xié)議來實現(xiàn)，VRPAAA是基于RADIUS協(xié)議或HWTACACS協(xié)議來實現(xiàn)的。RADIUS協(xié)議概RADIUSRemoteAuthenticationDial-InUserService（遠程認證撥號用戶服務）戶）。RADIUSNAS（NetworkAccessServer）服務包括三個組成部分：輸機制，并定義了1812作為認證端口，1813作為計費端口。服務器：RADIUS服務器運行在中心計算機或工作站上，包含了相關的用客戶端：位于撥號訪問服務器NAS（NetworkAccessServer）側，可以遍RADIUS基于客戶/服務器模型，NAS（如路由器）作為RADIUS客戶端，負責傳輸服務器通常要維護三個數(shù)據(jù)庫：第一個數(shù)據(jù)庫“Users”用于存儲用戶信（如用戶名、口令以及使用的協(xié)議、IP地址等配置），第二個數(shù)據(jù)庫“ClientsRADIUS客戶端的信息（如共享密鑰），第三個數(shù)據(jù)庫“Dictionary”存儲的信息用于解釋RADIUS協(xié)議中的屬性和屬性值的含義。如下圖所示：2-圖2-1RADIUSRADIUSPPPPAP、CHAP認證、基于UNIXLogin等。2.RADIUS的基本消息交互流程RADIURADIU 服務器對用戶的認證過程通常需要利用客戶端和RADIUS服務器之間通過共享密鑰認證相互間交互的消息，用戶密碼采用密文方式在網(wǎng)絡上傳輸，增強了安全性。RADIUS協(xié)議合并了認證和授權RADIUSRADIUS用戶輸入圖2-1RADIUSRADIUSPPPPAP、CHAP認證、基于UNIXLogin等。2.RADIUS的基本消息交互流程RADIURADIU 服務器對用戶的認證過程通常需要利用客戶端和RADIUS服務器之間通過共享密鑰認證相互間交互的消息，用戶密碼采用密文方式在網(wǎng)絡上傳輸，增強了安全性。RADIUS協(xié)議合并了認證和授權RADIUSRADIUS用戶輸入用戶名/口令認證請求包（Access-Request認證接受包Access-計費開始請求包Accounting-Request（start計費開始請求響應包Accounting-Respons計費結束請求包Accounting-Request（stop計費結束請求響應包Accounting-Respons圖2-2RADIUSRADIUSRADIUS服務器發(fā)送認證請求2-RADIUS服務器將該用戶信息與Users數(shù)據(jù)庫信息進行對比分析，如果認證成功，則將用戶的權限信息以認證響應包（Access-Accept）發(fā)送給RADIUS客戶端；如果認證失敗，則返回Access-RejectRADIUS服務器將該用戶信息與Users數(shù)據(jù)庫信息進行對比分析，如果認證成功，則將用戶的權限信息以認證響應包（Access-Accept）發(fā)送給RADIUS客戶端；如果認證失敗，則返回Access-Reject響應包。RADIUS客戶端根據(jù)接收到的認證結果接入/拒絕用戶。如果可以接入用戶，則RADIUS客戶端向RADIUS服務器發(fā)送計費開始請求包（Accounting-Request），Status-Type 服務器返回計費開始響應包（Accounting-Response）；RADIUSRADIUS（Accounting-Request），Status-Type服務器返回計費結束響應包（Accounting-Response）3.RADIUS協(xié)議的報文結構RADIUSUDPRADIUS服務器和客戶端之間交互消息正確收發(fā)。RADIUS圖2-3RADIUSRequestAuthenticator和ResponseAuthenticatorRequestAuthenticator采用16字節(jié)的隨機碼。ResponseAuthenticator以對Code、Identifier、RequestAuthenticatorLength、AttributeMD5算法后的結果。由Code域決定RADIUS報文的類型，主要包括：表2-1Code2-1Access-方向ClientServerClient將用戶信息傳輸?shù)絊erver以判斷是否接入該用戶。該報文中必須包含User-Name屬性NAS-IP-Address、User-Password、NAS-Port等屬性。2Access-Accept認方向Server->Client，如果Access-Request準Attribute域大致包括：表2-2Attribute2-1User-Framed-IPX-2User-3CHAP-4NAS-IP-Vendor-5NAS-Session-6Service-Idle-7Framed-Termination-8Framed-IP-Called-Station-9Framed-IP-Calling-Station-Framed-NAS-Filter-Proxy-Framed-準Attribute域大致包括：表2-2Attribute2-1User-Framed-IPX-2User-3CHAP-4NAS-IP-Vendor-5NAS-Session-6Service-Idle-7Framed-Termination-8Framed-IP-Called-Station-9Framed-IP-Calling-Station-Framed-NAS-Filter-Proxy-Framed-Login-LAT-ServFramed-Login-LAT-NodLogin-IP-HosLogin-LAT-GLogin-Framed-AppleTalk-Login-TCP-Framed-AppleTalk-NetwoFramed-AppleTalk-40-(reservedforCallback-NumbCHAP-Callback-NAS-Port-3Access-Reject認Server->Client，如果Access-Request4st計費請求包Client->Server，Client將用戶信息傳輸?shù)絊erver，請求Server開始計費，由該報文中的Acct-Status-Type屬性區(qū)分計AccessRequest報文大致相同。5nse認證響應包方向Server->Client，Server通知Client側已經(jīng)收到Accounting-Request報文并且已經(jīng)正確記錄計費信息。該報文RADIUS協(xié)議具有良好的可擴展性，協(xié)議中定義的26號屬性（Vender-Specific）圖2-4RADIUS 協(xié)議概1HWTACACSHWTACACS安全協(xié)議是在TACACS（RFRADIUS協(xié)議具有良好的可擴展性，協(xié)議中定義的26號屬性（Vender-Specific）圖2-4RADIUS 協(xié)議概1HWTACACSHWTACACS安全協(xié)議是在TACACS（RFC1492）基礎上進行了功能增強的一種安全RADIUSServer-ClientTACACS服AAAPPPVPDNlogin與RADIUS相比，HWTACACS具有更加可靠的傳輸和加密特性，更加適合于安HWTACACSHWTACACSTACACS服務器進行驗證，2-HWTACACS協(xié)RADIUS協(xié)使用TCP，網(wǎng)絡傳輸更可靠使用UDP除了標準的HWTACACS報文頭，對報文主體全部進進行認證，另外一個TACACS服務器進行授權。Vendor-Vendor-specifiedattributeFramed-Login-LAT-HWTACACS圖2-5HWTACACS2HWTACACSTACACSTACACS客戶端收到回應TACACSTACACS客戶端收到回HWTACACS圖2-5HWTACACS2HWTACACSTACACSTACACS客戶端收到回應TACACSTACACS客戶端收到回TACACSTACACS客戶端收到授權回應成功報文，向用戶輸出路由器的配置界面；TACACSTACACSTACACS 發(fā)送計費結束報文，指示計費結束報文已經(jīng)收到。2-2及RADIUS/HWTACACS協(xié)議配圖2-6Telnet在配置路由器的過程中，用戶可能會發(fā)現(xiàn)超級終端上看到的個別命令及參數(shù)在本手2.2AAA創(chuàng)建ISP域2及RADIUS/HWTACACS協(xié)議配圖2-6Telnet在配置路由器的過程中，用戶可能會發(fā)現(xiàn)超級終端上看到的個別命令及參數(shù)在本手2.2AAA創(chuàng)建ISP域2-認證開始報認證回應報文，請求用戶認證持續(xù)報文，向服務器端發(fā)用戶認證回應報文，請求密認證持續(xù)報文，向服務器端發(fā)密認證回應報文，認證通授權請求報授權回應報文，授權通計費開始報計費開始報文回計費結束報計費結束報文回用戶登用戶登錄成用戶退1ISP1ISPISP（InternetServiceProvider）域？簡單點說，ISPISP用戶群，一個ISP域即是由同屬于一個ISP的用戶構成的用戶群。一般說來，在后的“isp-name”（如例中的“”）即為ISP域的域名。在路由器對用戶進行接入控制時，對于用戶名為“userid@isp-name”形式的ISP用戶，系接入的有可能是不同ISP的用戶。由于各ISP用戶的用戶屬性（例如用戶名及密碼整套單獨的ISP域屬性。Quidway系列路由器來說，每個接入用戶都屬于一個ISP域。系統(tǒng)中最多可以配16ISPISP域名，則系統(tǒng)將把它歸于缺省的ISP域。表2-4創(chuàng)建/刪除ISP2AAAradius-scheme-name如果配置了radius-schemeradius-scheme-namelocal或hwtacacs-hwtacacs-scheme-namelocallocalradiusservertacacsserver2-創(chuàng)建ISP域或進入指定ISPdomain[isp-name|default{disableenableisp-name刪除指定的ISPundodomainisp-正常響應后的備選認證方案。即當radiusservertacacsserver有效時不使地認證；當正常響應后的備選認證方案。即當radiusservertacacsserver有效時不使地認證；當radiusservertacacsserver無效時，使用本地認證。如果local作為第一方案，那么只能采用本地認證，不能再同時采用RADIUS或HWTACACS方案。如果none作為第一方案，那么不能同時采用RADIUS或HWTACACS方案。表2-5配置ISP3ISP每個ISP域有兩種狀態(tài)：activeblock。當指示某個ISP域處于active狀態(tài)時ISPblock狀態(tài)時，不允許該域ISP域在剛被創(chuàng)建時是處于active狀態(tài)的，即在這個時候，允許任何屬于該域的用戶請求網(wǎng)絡服務。表2-6配置ISPISPactive4.ISP表2-72-access-limit{disable|enablemax-user-numberundoaccess-設置ISPstate{active|blockscheme{radius-schemeradius-scheme-name[local]hwtacacs-schemehwtacacs-scheme-name[local]|local|noneAAAundoscheme｛radius-scheme|hwtacacs-scheme|noneISP5.在對用戶實施計費時，當發(fā)現(xiàn)沒有可用的計費服務器或與計費服務器通信失敗時，只要用戶配置了accountingoptional，即使無法實施計費，也不會掛斷用戶。accountingoptionalscheme命令中的noneISP5.在對用戶實施計費時，當發(fā)現(xiàn)沒有可用的計費服務器或與計費服務器通信失敗時，只要用戶配置了accountingoptional，即使無法實施計費，也不會掛斷用戶。accountingoptionalscheme命令中的none方案的區(qū)別在于，使用此命令時，系統(tǒng)仍然向計費服務器發(fā)送計費信息，但不管計費服務器是否響應，能否實none方案時，系統(tǒng)就不會向計費服務器發(fā)送計費信息當然，也不會掛斷用戶。如果scheme命令中指定了采用RADIUS或HWTACACS表2-8ISPPPPIPIPIP地址池，然后在接口視圖下指定該接口給對端分配地址時使用的IP地址池（只能指定一個）。IP前兩種地址分配方式適用于不對PPP用戶進行認證的情況，配置方法請參見《VRP3.4PPPPPP用2-accountingundoaccounting表2-9PPP域用戶的IPIP對于域的用戶（useriduserid＠isp-name兩種用戶）分配地址的優(yōu)先表2-9PPP域用戶的IPIP對于域的用戶（useriduserid＠isp-name兩種用戶）分配地址的優(yōu)先RadiusTacacsAAA方案選擇了本地認證方案（local）當用戶配置了radius-schemehwtacacs-schemeradius或tacacs服務器端進行類似的配置（是否能配置及如何配置取決于采用服務器），此1.2-PPP用戶分配IPippoolpool-numberlow-ip-[high-ip-addressundoippoolpool-表2-10創(chuàng)建/2.表2-11其中，auto表示按照用戶配置的密碼顯示方式（password命令）顯示，cipher-force表示所有接入用戶的密碼顯示必須采用密文方式。表2-12設置/2-password{simple|cipher}表2-10創(chuàng)建/2.表2-11其中，auto表示按照用戶配置的密碼顯示方式（password命令）顯示，cipher-force表示所有接入用戶的密碼顯示必須采用密文方式。表2-12設置/2-password{simple|cipher}undostate{active|blockundostate{active|blockservice-type{telnet|ssh|terminal|padundoservice-type{telnet|ssh|terminal|padlevelundo授權FTPservice-typeftp[ftp-directory恢復對FTPundoservice-typeftp[ftp-directorylocal-userpassword-display-mode{cipher-force|autolocal-useruser-undolocal-user{user-name|all系統(tǒng)缺省不對用戶授權任何服務。用戶缺省優(yōu)先級 0如果配置的認證方式需要用戶名和口令（包括本地認證、radius認證及hwtacacs認證），則用戶登錄系統(tǒng)后所能訪問的命令級別由用戶的優(yōu)先級確定。如果配置的認證方式為不認證或采用password認證，則用戶登錄到系統(tǒng)后所能訪問的命令級系統(tǒng)缺省不對用戶授權任何服務。用戶缺省優(yōu)先級 0如果配置的認證方式需要用戶名和口令（包括本地認證、radius認證及hwtacacs認證），則用戶登錄系統(tǒng)后所能訪問的命令級別由用戶的優(yōu)先級確定。如果配置的認證方式為不認證或采用password認證，則用戶登錄到系統(tǒng)后所能訪問的命令級 RADIUS協(xié)議配置是以RADIUS方案為單位進行的，一個RADIUS方案在實際組網(wǎng)環(huán)境中既可以是一臺獨立的服務器，也可以是兩臺配置相同、但IP地址不同的主、從RADIUS 服務器。由于存在上述情況，因此每個RADIUS 方案的屬性包括：主服務器的IP地址、從服務器的IP地址、共享密鑰以及RADIUS服務器類型等。實際上，RADIUSNASRADIUSServer之間進行信息交互ISP域視圖下指定該 協(xié)議的配置包括：2-service-typeppp[callback-nocheckcallback-numbercallback-number|call-call-number[:subcall-number]undoservice-typeppp[callback-nocheckcallback-number|call-numberRADIUSRADIUS認證/授權服務器是必需創(chuàng)RADIUS方RADIUSRADIUS認證/授權服務器是必需創(chuàng)RADIUS方它RADIUS協(xié)議配置之前，必須先創(chuàng)建RADIUS方案并進入其視圖。RADIUSISP器的屬性，在屬性login-service（標準屬性15）中增加兩個取值的定義：login-service(50)=SSHlogin-service(52)=TerminalRADIUS配RADIUS認證/授權服務器表2-14RADIUS認證/授權服務器的IP2-primaryauthenticaitonip-[port-numberradiusschemeradius-scheme-undoradiusschemeradius-scheme-配 計費服務器及相關屬性配 計費服務器及相關屬性.RADIUS表2-15RADIUS計費服務器的IP在實際組網(wǎng)環(huán)境中，可以指定2臺RADIUS服務器分別作為主、備計費服務器；也可為了保證NASRADIUS服務器能夠正常交互，在設置RADIUS服務器的IP地址UDP端口之前，必須確保RADIUS服務器與NAS的路由連接正常。此外，由于RADIUSUDP端口來收發(fā)認證/授權和計費報文，因此必須將認證/授權端口號和計費端口號設置得不同。RFC2138/2139中建議的認證/授權端口號為1812、計費端口號為1813，但是也可以不選用RFC建議值（尤其是比較早期的RADIUSServer1645作為認證/授權端口號、1646作為計費端口號）。QuidwayRADIUSRADIUS缺省情況下，、備計費服務器的 地址為計費服務的UD 端口號為18132-設置主RADIUS計費服務器的IP地址和端口號primaryaccountigip-[port-numberRADIUS計費服務器的IPundoprimary設置從RADIUS計費服務器的IP地址和端口號secondaryip-address[port-numberRADIUS計費服務器的IPundosecondaryundoprimarysecondaryauthenticationip-[port-numberundosecondary2.ISP都有NASRADIUS計費服務器。所表2-162.ISP都有NASRADIUS計費服務器。所表2-16發(fā)5003.RADIUS服務器通常通過連接超時定時器來判斷用戶是否在線。如果RADIUS服務器長時間收不到費。為了配合NAS端盡量與NAS傳來的實時計費報文，它會認為線路或設備故障并停止對用戶計RADIU RADIUS服務器同步切斷用戶連接。Quidway系列路由器提供對續(xù)實時計費請求無響應次數(shù)限制的設NAS向RADIUS服務時計費請求沒有得到響應的次數(shù)超過所設定的限度時，NAS將切斷用戶連接。表2-172-retryrealtime-accountingretry-undoretryrealtime-retrystop-accountingretry-undoretrystop-RADIUST，NAS的實時計費間隔為tNAScount應取為T除以t后取整的數(shù)值RADIUST，NAS的實時計費間隔為tNAScount應取為T除以t后取整的數(shù)值。因此，在實際應用中，應盡量將T設置為一個能被t整除的數(shù)。5RADIUS報文的共享密設RADIUS客戶端（即路由器）與RADIUS服務器使用MD5算法來加密RADIUS文，雙方通過設置共享密鑰來驗證報文的合法性。只有在密鑰一致的情況下，雙方RADIUS表2-18RADIUS缺省情況下，RADIUS認證授權報文和RADIUS計費報文的共享密鑰均為 請求報文的最大傳送次數(shù)設RADIUSUDP報文來承載數(shù)據(jù)，因此其通信過程是不可靠的。如果RADIUSNASNAS有必要向RADIUS服務器重傳RADIUS請求報文。如果累計的傳送次數(shù)超過最大傳送次數(shù)而RADIUSNASRADIUS服務器的通信已經(jīng)中斷，并將轉而向其它的RADIUS服務器發(fā)送請求報文。RADIUS表2-19RADIUS2-retryretry-RADIUSundokeyauthenticationundokeykeyaccountingundokey表2-20RADIUS缺省情況下，RADIUSstandardRADIUS服務表2-20RADIUS缺省情況下，RADIUSstandardRADIUS服務器的狀態(tài)設對于某個RADIUS方案中的主、備服務器（無論是認證/授權服務器還是計費服務器），當主服務器因故障與NAS的通信中斷時，NAS會主動地轉而與從服務器交互報文。當主服務器恢復正常后，NAS卻不會立即恢復與其通信，而是繼續(xù)與從服NAS在主服務器故障排除后迅速恢復與其通信，需要通過下面的命令手工將主服務器的狀態(tài)設為active。activeblock時，NAS將只把報文發(fā)送表2-21RADIUS如前所述，接入用戶通常以“userid@isp-name”的格式命名，“@”后面的部為ISP域名，Quidway系列路由器就是通過該域名來決定將用戶歸于哪個ISP2-設置主RADIUS認證/授權服務器的狀態(tài)stateprimaryauthentication{block|active設置主RADIUS計費服務器的stateprimaryaccounting{block|active設置從RADIUS認證/授權服務器的狀態(tài)statesecondaryauthentication{blockactive設置從RADIUS計費服務器的statesecondaryaccounting{block|active設置支持何種類型的RADIUS服務server-type{huawei|standardundoserver-但是，有些較早期的RADIUS服務器不能接受攜帶有ISP域名的用戶名，在這下，有必要將用戶名中攜帶的域名去除后再傳送給但是，有些較早期的RADIUS服務器不能接受攜帶有ISP域名的用戶名，在這下，有必要將用戶名中攜帶的域名去除后再傳送給RADIUS服務器。因此，Quidway系列路由器提供下面的命令以指定發(fā)送給RADIUS服務器的用戶名是否攜RADIUSISP域名，那么請不要在兩個乃ISPRADIUS方案，否則，會出現(xiàn)雖然實際用戶不同（ISP域中）RADIUS服務器認為用戶相同（因為傳送到它的用設置發(fā)送給RADIUS服務器的數(shù)據(jù)流的單位QuidwayRADIUS缺省情況下，RADIUS方案默認的發(fā)送數(shù)據(jù)單位為byte2.3.10NASRADIUS2-data-flow-formatdata{byte|giga-byte|kilo-byte|mega-byte}packet{giga-packet|kilo-packet|mega-packet|one-packet}undodata-flow-設置發(fā)送給RADIUS服務器的用user-name-format{with-domain配置RADIUS服務器的定時器1.設置RADIUS服務器應答超時定時器如果在RADIUS請求報文（認證/授權請求或計費請求）傳送出去一段時間后，配置RADIUS服務器的定時器1.設置RADIUS服務器應答超時定時器如果在RADIUS請求報文（認證/授權請求或計費請求）傳送出去一段時間后，NAS還沒有得到RADIUS服務器的響應，則有必要重傳RADIUS請求報文，以保證用戶確實能夠得到RADIUS服務。RADIUS表2-25RADIUS2.配置RADIUS服務器的主服務器恢復激活狀態(tài)時間表2-26RADIUS2-timerquietundotimertimerresponse-timeoutRADIUSundotimerresponse-nas-ipip-undonas-radiusnas-ipip-undoradiusnas-3.每隔設定的時間，NAS會向RADIUS服務器發(fā)送一次在線用戶的計費信息。表2-27其中，minutes3NASRADIUS3.每隔設定的時間，NAS會向RADIUS服務器發(fā)送一次在線用戶的計費信息。表2-27其中，minutes3NASRADIUS服務器的性能有一定的相關性要求——取表2-28缺省情況下，實時計費間隔為122.4HWTACACS 的配置包括：2-實時計費間隔（分鐘36timerrealtime-accountingundotimerrealtime-HWTACASHWTACACSHWTACASHWTACACSTACACS認證/創(chuàng)HWTACACS方在進行其它HWTACACS 協(xié)議配置之前，必須先創(chuàng)建HWTACACS 方案并進入其視表2-29HWTACACSHWTACACSHWTACACSHWTACACShwtacacs配HWTACACS認證服務器2-創(chuàng)建HWTACACS方案，并進HWTACACS視hwtacacsschemehwtacacs-scheme-刪除HWTACACSundohwtacacsschemehwtacacs-scheme-表2-30配置TACACS號缺省使用49。配HWTACACS授權服務器表2-31配置TACACS表2-30配置TACACS號缺省使用49。配HWTACACS授權服務器表2-31配置TACACSTACACSTACACS授權服務2-配置TACA 主授權服務primaryauthorizationip-address[port刪除TACA 主授權服務undoprimary配置TACA 從授權服務secondaryauthorizationip-address[port刪除TACA 從授權服務undosecondary配置TACA 主認證服務primaryauthenticationip-address[port刪除TACA 主認證服務undoprimary配置TACA 從認證服務secondaryauthenticationip-address[port刪除TACA 從認證服務undosecondary配置 計費服務器及相關屬.表2-32HWTACACS配置 計費服務器及相關屬.表2-32HWTACACS只有當沒有活躍、用于發(fā)送計費報文的TCP連接使用該計費服務器時，才允許刪2.表2-33缺省情況下，使能停止計費報文重傳功能，且允許停止計費報文傳送 次配置NAS發(fā)送HWTACACS報文使用的源地2-配置NAS發(fā)送HWTACACS報文使用的源地(HWTACACS視圖nas-ipip-取消NAS發(fā)送HWTACACS報文使用的源地HWTACACS視圖undonas-retrystop-accountingretry-undoretrystop-配置TACA 主計費服務primaryaccountingip-address[port刪除配置的TACA 主計費服務undoprimary配置TACA 從計費服務secondaryaccountingip-address[port刪除配置的TACA 從計費服務undosecondary配TACACS服務器的密鑰表2-35配置TACACS配 服務器的配TACACS服務器的密鑰表2-35配置TACACS配 服務器的用戶名格式用戶名通常采用“userid@isp-name格式@”后面的部分為域名傳送給TACACS服務器。表2-36配置TACACSTACACS配TACACS服務器的流量單位2-user-name-formatwith-user-name-formatwithout-配置TACACS計費、授權key{accounting|authorization|authentication}undokey{accounting|authorization|authentication配置NAS發(fā)送HWTACACS報文使用的源地址(系統(tǒng)視圖hwtacacsnas-ipip-取消NAS發(fā)送HWTACACS報文使用的源地址(系統(tǒng)視圖undohwtacacsnas-表2-37配置TACACSTACACS服務器的定時器配.TACACS表2-37配置TACACSTACACS服務器的定時器配.TACACS表2-38配置TACACS5.表2-39配置TACACS3.每隔設定的時間，NASTACACS2-timerquietundotimertimerresponse-timeoutundotimerresponse-配置TACACS服務器的流量data-flow-formatdata[byte|giga-byte|kilo-bytemega-bytedata-flow-formatpacket[giga-packet|kilo-packetmega-packet|one-packet恢復發(fā)送到TACACS服務器undodata-flow-format[data|packet表2-40其中，minutes3NASTACACS服務器的性能有一定的相關性要求——取表2-41缺省情況下，實時計費間隔為12表2-40其中，minutes3NASTACACS服務器的性能有一定的相關性要求——取表2-41缺省情況下，實時計費間隔為12完成上述配置后，在所有視圖下執(zhí)行display命令可以顯示配置后RADIUS/HWTACACS的運行情況，通過查看顯示信息驗證配置的效果reset在用戶視圖下，執(zhí)行debugging表2-42AAA2-顯示所有或指定ISP域的displaydomain[isp-namedisplayconnection[domainisp-name|ipip-address|macmac-address|radius-schemeradius-scheme-name|ucibindexucib-index|user-nameuser-name]displaylocal-user[domainisp-name|service-type{pad|telnet|ssh|terminal|ftp|ppp}|state{active|block}|user-nameuser-name]實時計費間隔（分鐘36timerrealtime-accountingundotimerrealtime-表2-43RADIUS表2-44HWTACACS2-顯示所有或指定HWTACACS方案的配displayhwtacacs[hwtacacs-server-[statistics]表2-43RADIUS表2-44HWTACACS2-顯示所有或指定HWTACACS方案的配displayhwtacacs[hwtacacs-server-[statistics]hwtacacs-schemehwtacacs-scheme-打開HWTACACS協(xié)議調試開關debugginghwtacacs{all|error|eventmessage|receive-packet|send-packet關閉HWTACACS協(xié)議調試開關undodebugginghwtacacs{all|error|eventmessage|receive-packet|send-packet{hwtacacs-schemehwtacacs-scheme-name清除TACA 服務器的統(tǒng)計信resethwtacacsstatistics｛accountingauthentication|authorization|alldisplayradius[radius-server-name|statisticsdisplayradiusradius-server-name|session-idsession-id|time-rangestart-timestop-time|user-nameuser-name}debuggingradiusundodebuggingradiusresetstop-accounting-buffer{radius-schemeradius-server-name|session-idsession-id|time-rangestart-timestop-time|user-nameuser-name}resetradius2.6AAARADIUS/HWTACACSTelnet/SSH用戶通過RADIUS服務器認證、計費的應用SSH/Telnet用戶通過RADIUSTelnetRADIUSTACACS+FTP12.6AAARADIUS/HWTACACSTelnet/SSH用戶通過RADIUS服務器認證、計費的應用SSH/Telnet用戶通過RADIUSTelnetRADIUSTACACS+FTP1.如下圖所示的環(huán)境中，現(xiàn)需要通過配置路由器實現(xiàn)RADIUSTelnetIP46RADIUS服務器交互報文時的共享密鑰為“expert”、與計費RADIUS服務器交互報文時的共享RADIUS3COMCAMSRADIUS服務器為3COMCAMS服務器時，RADIUS方案中的server-type應選擇huawei類型。在RADIUS服務器上設置與路由器交互報文時的共享密鑰為“expert”；設置驗證TelnetRADIUS方案中設置路由器RADIUS服務器，RADIUS服務器上添加Telnet用戶名應為“userid@isp-name2.Authentication/AccountingServers(IPaddress:46)telnet圖2-7配置TelnetRADIUS2-3.#[Quidway-ui-vty0-4]authentication-mode[Quidway]domain3.#[Quidway-ui-vty0-4]authentication-mode[Quidway]domain[Quidway-isp-[Quidway-isp-access-limitenable10accountingoptional[Quidway]radiusscheme[Quidway-radius-[Quidway-radius-primaryauthentication46primaryaccounting461813keyauthenticationexpertkeyaccountingexpertserver-typeHuaweiuser-name-formatwith-[Quidway]domain[Quidway-isp-cams]schemeradius-schemeTelnet用戶登錄時輸入用戶名userid@cams，以使用cams域進行認證。FTP/Telnet1.如下圖所示的環(huán)境中，現(xiàn)需要通過配置路由器實現(xiàn)對登錄路由器的Telnet2-2.telnet圖2-8配置Telnet3.#2.telnet圖2-8配置Telnet3.#[Quidway-ui-vty0-4]authentication-mode[Quidway]local-user[Quidway-luser-telnet]service-typetelnet[Quidway-luser-telnet]passwordsimplehuawei[Quidway]domainsystem[Quidway-isp-system]scheme用戶通過 服務器認證、授權、計費的應1.如下圖所示的環(huán)境中，現(xiàn)需要通過配置路由器實現(xiàn)TACACSPPPIP一臺TACACS服務器（其擔當認證、授權、計費服務器的職責）與路由器相連，服務器IP地址為46，設置路由器與認證、授權、計費TACACS服務器交互報文時的共享密鑰均為“expert”，設置路由器除去用戶名中的域名后再將之傳給TACACS服務器。2-2.AccountingServers(IPPPP3.[Quidway]hwtacacsscheme[Quidway-hwtacacs-[Quidway-hwtacacs-primaryauthentication46primaryauthorization46accounting2.AccountingServers(IPPPP3.[Quidway]hwtacacsscheme[Quidway-hwtacacs-[Quidway-hwtacacs-primaryauthentication46primaryauthorization46accounting46keyauthenticationexpertkeyauthorizationexpertkeyaccountingexpertuser-name-formatwith-[Quidway-hwtacacs-hwtac][Quidway]domain[Quidway-isp-[Quidway-isp-schemehwtacacs-schemehwtacippool19#[Quidway]interfaceserial[Quidway-Serial0/0/0]link-protocol[Quidway-Serial0/0/0]pppauthentication-modepapdomainipaddressremoteaddresspool[Quidway-#interfaceethernet[Quidway-[Quidway-ethernet1/0/0]ipaddress602- 用戶通過TACACS+服務器認證（一次性認證）、計費的應用1.TACACS+服務器對登錄路由器的Telnet用戶進行一次性認證、計費。責與路由器相連 用戶通過TACACS+服務器認證（一次性認證）、計費的應用1.TACACS+服務器對登錄路由器的Telnet用戶進行一次性認證、計費。責與路由器相連，服務器IP地址10.110.91146，設置路由器與認證TACACS+共享密鑰“expert”。TACACS服務器提供一次性口令認證功能，路由器不從用戶名中去除用戶域名而是一起傳給TACACS服務器，故TACACS服務器上添加的2.Authentication/AccountingServers(IPaddress:46)telnet圖2-10配置Telnet用戶的遠端TACACS+3.#[Quidway]user-interfacevty0[Quidway-ui-vty0-4]authentication-mode[Quidway]domain[Quidway-isp-[Quidway-isp-access-limitenableaccountingoptional[Quidway]hwtacacsscheme[Quidway-hwtacacs-system]primaryauthentication2-[Quidway-hwtacacs-[Quidway-hwtacacs-primaryaccounting46keyauthenticationexpertkeyaccountinguser-name-formatwith-domain[Quidway]domain[Quidway-hwtacacs-[Quidway-hwtacacs-primaryaccounting46keyauthenticationexpertkeyaccountinguser-name-formatwith-domain[Quidway]domain[Quidway-isp-tacacs]schemehwtacacs-配置IP地址Telnet圖2-11Telnettest@第二步：根據(jù)登錄界面上的提示信息“s/key89gf55236winkey.exe圖2-122-Challenge：框輸入服務器返回的提示信息“89gf55236”；Response：輸出的計算結果，也Challenge：框輸入服務器返回的提示信息“89gf55236”；Response：輸出的計算結果，也就是要在登錄界面上輸入的密碼。2.7AAARADIUS/HWTACACS 協(xié)議故障診斷與排除RADIUS協(xié)議在TCP/IP協(xié)議族中處于應用層，它主要規(guī)定NAS與ISP的用戶名不是“userid@isp-nameNASISPRADIUSRADIUS服務器的數(shù)據(jù)RADIUS服務器和NAS的報文共享密鑰不同——請仔細比較兩端的共享密鑰，NAS與RADIUS服務器之間存在通信故障（可以通過在NAS上ping故障之二：RADIUS報文無法傳送到RADIUS服務器NAS上沒有設置相應的RADIUSIP地址——請保證正確設置認證/授權和計費服務的UDP端口設置得不正確——請保證與RADIUS服務器RADIUS2-RADIUS計費服務器和認證/授權服務器不是同一臺機器，NASRADIUS計費服務器和認證/授權服務器不是同一臺機器，NAS卻要求認證/授權和計費在同一個服務器（IP地址相同）——請保證NAS的認證/授權和計費服務器的設協(xié)議故障診斷與排的故障現(xiàn)象與RADIUS基本相似，可以參考上面內容。2-3第33.1這些規(guī)則就是通過訪問控制列表ACL（AccessControlList）定義的。訪問控制列表是由permit3第33.1這些規(guī)則就是通過訪問控制列表ACL（AccessControlList）定義的。訪問控制列表是由permit|deny語句組成的一系列有順序的規(guī)則，這些規(guī)則根據(jù)數(shù)據(jù)包的源地址、目的地址、端口號等來描述。ACL通過這些規(guī)則對數(shù)據(jù)包進行分類，這些規(guī)基本的訪問控制列表（basic高級的訪問控制列表（advanced基于接口的訪問控制列表（interface-based訪問控制列表的使用用途是依靠數(shù)字的范圍來指定的，1000～1999是基于接口的訪問控制列表，2000～2999范圍的數(shù)字型訪問控制列表是基本的訪問控制列表，范圍的數(shù)字型訪問控制列表是高級的訪問控制列表，4000～499范MAC一個訪問控制列表可以由多條“permit|deny是不相同，這些規(guī)則可能存在重復或矛盾的地方，在將一個數(shù)據(jù)包和訪問控制列表3-指定了一臺主機：129102.1指定了一臺主機：129102.11，而 則指定了一個網(wǎng)段：～55，顯然前者在訪問控制規(guī)則中排在前面。具體標準為：對于基本訪問控制規(guī)則的語句，直接比較源地址通配符，通配符相同的則按配置順序；對于基于接口的訪問控制規(guī)則，配置了“any”的規(guī)則排在后面，其它按配置順序；對于高級訪問控制規(guī)則，首先比較源地址通配符，相同的再比較permit|deny語句組成的一系列的規(guī)則列表，若干個規(guī)則aclnumberacl-number[match-order{config|auto}undoacl{numberacl-number|allnumberacl-number：定義一個數(shù)字型的ACLacl-number：訪問控制規(guī)則序號。1000～1999是基于接口的訪問控制列表，范圍的數(shù)字型訪問控制列表是高級的訪問控制列表，4000～4999是基于MAC地match-orderconfigall：刪除所有配置的ACL問控制列表的匹配順序，就不能再更改該順序，除非把該ACL的內容全部刪除創(chuàng)建了一個訪問控制列表之后，將進入ACL視圖，ACL視圖是按照訪問控制列表的用途來分類的，例如創(chuàng)建了一個數(shù)字編號為3000的數(shù)字型ACL，將進入高級ACL3-3[Quidway-acl-adv-一樣的，具體的各種ACL的規(guī)則的配置方法將在后面小節(jié)分別介紹?；驹L問控制列表只能使用源地址信息，做為定義訪問控制列表的規(guī)則的元素。通過上面小節(jié)介紹的acl3[Quidway-acl-adv-一樣的，具體的各種ACL的規(guī)則的配置方法將在后面小節(jié)分別介紹。基本訪問控制列表只能使用源地址信息，做為定義訪問控制列表的規(guī)則的元素。通過上面小節(jié)介紹的aclrule[rule-id]{permit|deny}[sourcesour-addrsour-wildcard|any][time-rangetime-name][logging][fragment][vpn-instancevpn-instance-name]rule-id：可選參數(shù)，ACL規(guī)則編號，范圍為0～65534。當指定了編號，如果與編號對應的ACL規(guī)則已經(jīng)存在，則會使用新定義的規(guī)則覆蓋舊的定義，相ACLACL系統(tǒng)自動會為這 sourceACL配符55。sour-wildcardtime-rangetime-name：訪問控制列表生效的時間段名字。VPN實例中的報文都有效；如果指定了，則表示該規(guī)則僅僅對指定的VPN實例中的報文有效。3-3ACLACL先配置了一個rule1sourceACL規(guī)則進行編輯：3ACLACL先配置了一個rule1sourceACL規(guī)則進行編輯：然后再對這個rule1這個時候，ACL的規(guī)則則變成：rule1denysource0undorulerule-id[source][time-range][logging][fragment][vpn-vpn-instance-namerule-id：ACLACL指定參數(shù)，則將這個ACL規(guī)則完全刪除。否則只是刪除對應ACL規(guī)則的部分time-rangeACL規(guī)則在規(guī)定時間生效的設logging：可選參數(shù)，僅僅刪除編號對應的ACL規(guī)則對符合條件的數(shù)據(jù)包做3.1.6高級訪問控制列表可以使用數(shù)據(jù)包的源地址信息、目的地址信息、IP承載的協(xié)議類TCP的源端口、目的端口，ICMP協(xié)議的類型、代碼等內容定義規(guī)則。可以利用高級訪問控制列表定義比基本訪問控制列表更準確、更豐acl命令，可以創(chuàng)建一個高級的訪問控制列表，同時進入高級3-3rule[rule-id]{permit|deny}3rule[rule-id]{permit|deny}protocol[sourcesour-addrsour-wildcard|any][destinationdest-addrdest-mask|any][soucre-portoperatorport1[port2]][destination-portoperatorport1[port2]][icmp-type{icmp-message|icmp-typeicmp-code}][dscpdscp][precedenceprecedence][tostos][time-rangetime-name][logging][fragment][vpn-instance]rule-id：可選參數(shù)，ACL規(guī)則編號，范圍為0～65534。當指定了編號，如果與編號對應的ACL規(guī)則已經(jīng)存在，則會使用新定義的規(guī)則覆蓋舊的定義，相ACLACL系統(tǒng)自動會為這個ACL規(guī)則分配一個編號。protocolIP1～255；名sourceACL規(guī)則的源地址信息。如果不配置，表示報文的配符55。sour-wildcarddest-addr：數(shù)據(jù)包的目的地址，點分十進制表示；或用“any，通配符55址，通配符55。icmp-typeICMP報文的類型和消息碼信息，僅僅在報文協(xié)議是ICMP的情況下有效。如果不配置，表示任何ICMP類型的報文都匹配。icmp-type：ICMP包可以ICMP的消息類型進行過濾。取0～255的icmp-codeICMP的消息類型進行過濾的ICMP包也可以依據(jù)消息碼進行過濾。取值為0～255的數(shù)字。icmp-message：ICMP包可以依據(jù)ICMP消息類型名字或ICMP消息類型和3-3source-portUDPTCP報文的源端口信息，僅僅在規(guī)3source-portUDPTCP報文的源端口信息，僅僅在規(guī)僅在規(guī)則指定的協(xié)議號是TCP或者UDP有效。如果不指定TCP/UDPport1，port2：可選參數(shù)。TCPUDP的取值范圍為0～65535dscpdscp：指定DSCP字段（IP報文中的DS字節(jié)）。precedence：可選參數(shù)，數(shù)據(jù)包可以依據(jù)優(yōu)先級字段進行過濾。取值為0～7tostos：可選參數(shù)，數(shù)據(jù)包可以依據(jù)服務類型字段進行過濾。取值為0～15制列表規(guī)則的序號，數(shù)據(jù)包通過或被丟棄，IP承載的上層協(xié)議類型，源/目的time-rangetime-name：配置這條訪問控制規(guī)則生效的時間段。VPN實例中的報文都有效；如果指定了，則表示該規(guī)則僅僅對指定的VPN實例中的報文有效。ACLACL先配置了一個ACL規(guī)則rule1denyipsourceACLrule1denyipdestination這個時候，ACLrule1denyipsource0destination3-3undorulerule-id[source][destination][source-port][destination-port3undorulerule-id[source][destination][source-port][destination-port][icmp-type][dscp][precedence][tos][time-range][logging][fragment][vpn-instancevpn-instance-name]rule-id：ACLACL指定參數(shù)，則將這個ACL規(guī)則完全刪除。否則只是刪除對應ACL規(guī)則的部分destination：可選參數(shù)，僅僅刪除編號對應的ACL規(guī)則的目的地址部分的信設置，僅僅在規(guī)則的協(xié)議號是TCP或者UDP的情況下有效。destination-port：可選參數(shù)，僅僅刪除編號對應的ACL規(guī)則的目的端口部TCPUDP分的信息設置，僅僅在規(guī)則的協(xié)議號是ICMP的情況下有效。precedence：可選參數(shù)，僅僅刪除編號對應的ACLprecedence的相tosACLtostime-rangeACL規(guī)則在規(guī)定時間生效的設只有TCP和UDP協(xié)議需要指定端口范圍。支持的操作符及其語法如下表。表3-13-eqgtlt3在指定表3-23-3在指定表3-23-BorderGatewayProtocol(179)Charactergenerator(19)Remotecommands(rcmd,514)Daytime(13)DiscardDomainNameService(53)Echo(7)Exec(rsh,FingerFileTransferProtocol(21)FTPdataconnections(20)Gopher(70)NIChostnameserver(101)InternetRelayChat(194)Kerberoslogin(543)KerberosshellLogin(rlogin,PrinterserviceNetworkNewsTransportProtocol(119)PostOfficeProtocolv2(109)PostOfficeProtocolv3SimpleMailTransportProtocol(25)SunRemoteProcedu