思科路由器命令的功能，帮忙看下下边命令实现的功能

CISCO路由器配置手册任务命令设置用户名和密码username username password password

设置用户的IP地址池ip local pool {default | pool-name low-ip-address [high-ip-address]}

指定地址池的工作方式ip address-pool [dhcp-proxy-client | local]

基本接口设置命令：任务命令设置封装形式为PPPencapsulation ppp

启动异步口的路由功能async default routing

设置异步口的PPP工作方式async mode {dedicated | interactive}

设置用户的IP地址peer default ip address {ip-address | dhcp | pool [pool-name]}

设置IP地址与Ethernet0相同ip unnumbered ethernet0line

拨号线设置：任务命令设置modem的工作方式modem {inout|dialin}

自动配置modem类型modem autoconfig discovery

设置拨号线的通讯速率speed speed

设置通讯线路的流控方式flowcontrol {none | software [lock] [in | out] | hardware [in | out]}连通后自动执行命令autocommand command

访问服务器设置如下：Router:hostname Routerenable secret 5 $1$EFqU$tYLJLrynNUKzE4bx6fmH//!interface Ethernet0ip address 10111420 2552552550!interface Async1ip unnumbered Ethernet0encapsulation pppkeepalive 10async mode interactivepeer default ip address pool Cisco2511-Group-142!ip local pool Cisco2511-Group-142 10111421 10111436!line con 0exec-timeout 0 0password cisco!line 1 16modem InOutmodem autoconfigure discoveryflowcontrol hardware!line aux 0transport input allline vty 0 4password cisco!end  相关调试命令：show interfaceshow line12       Access Server通过Tacacs服务器实现安全认证：使用一台WINDOWS NT服务器作为Tacacs服务器，地址为1011142,运行Cisco2511随机带的Easy ACS 10软件实现用户认证功能相关设置：任务命令激活AAA访问控制aaa new-model用户登录时默认起用Tacacs+做AAA认证aaa authentication login default tacacs+列表名为no_tacacs使用ENABLE口令做认证aaa authentication login no_tacacs enable

Cisco
ACS支持Windows
Active
Directory,
Novell
NDS等目录服务器，下面以Cisco
ACS与Windows
2000
的Active
Directory集成为例，介绍一下配置步骤：

1．
配置Cisco
5350，和其他Router成为
ACS的AAA
Client

Network
Configuration----输入5350
ip
address;
Key:
Cisco;
Authenticate
Using
:
Tacacs+(Cisco
IOS)

2
配置用户名/口令数据库

Exterternal
User
Databases-----〉Unknown
User
Policy--->Check
the
following
external
user
database--->Select
Windows
NT/2000---->Sumit

External
User
Database----〉database
configuration
----->
windows
NT/2000
----->
Dial
permission
,check
grant
dialin
permission--->
sumit

3．配置ACS
group
mapping,
以配置授权

由于使用Windows
Active
directory的用户名作为认证，因此配置此用户的授权由ACS的组完成，然后将此group与Windows
Active
directory的组映射。

External
User
Database----〉database
configuration-----
windows
2000-----〉configure-----〉add
config
domain-list
,local----->sumit

External
User
Database----〉database
group
mapping-----〉windows
nt/2000---domain
,local-

Add
mapping----Windows
users
group,
Cisco
acs
group
group1-----
sumit

4．Cisco
5350和Router的配置

对于Router,配置ACS认证，授权。

配置一个本地的用户名/口令，防止在ACS认证失败后，使用此用户名/口令。
Router#username
localusr
pass
usrpass
Router#config
terminal

配置ACS认证
Router(config)#aaa
new-model
Router(config)#aaa
authentication
login
vty-login
group
tacacs
local

配置ACS授权
Router(config)#aaa
authorization
exec
exec-vty
group
tacacs

指定ACS
Server地址
Router(config)#tacacs
host
acsipaddress
key
Cisco

应用到VTY上
Router(config)#
line
vty
0
4
Router(config-line)#login
authentication
vty-login
Router(config-line)#authorization
exec
exec-vty

对于Cisco
5350
访问服务器，除了上述步骤外，还需增加如下步骤　Router#aaa
authentication
ppp
default
group
tacacs
local

TACACS+ 使用TCP端口49，包括三种独立的协议，如果需要，能够在独立的服务器上实现。
TACACS+提供了多协议支持，如IP和AppleTalk一般 *** 作都对数据包进行全部加密，以提供更安全的通信，这是一个Cisco对最初的TACACS协议提供的专有的改进。
TACACS+ *** 作中使用使用APPLETALK和 NETBIOS

按照端口号的大小分类，可分为如下几类 ：

（1）公认端口（WellKnownPorts）：从0到1023，它们紧密绑定（binding）于一些服务。通常这些端口的通讯明确表明了某种服务的协议。例如：80端口实际上总是>

（2）注册端口（RegisteredPorts）：从1024到49151。它们松散地绑定于一些服务。也就是说有许多服务绑定于这些端口，这些端口同样用于许多其它目的。例如：许多系统处理动态端口从1024左右开始。

（3）动态和/或私有端口（Dynamicand/orPrivatePorts）：从49152到65535。理论上，不应为服务分配这些端口。实际上，机器通常从1024起分配动态端口。但也有例外：SUN的RPC端口从32768开始。

扩展资料

各种服务常用端口号：

1，>

2，SOCKS代理协议服务器常用端口号：1080

3，FTP（文件传输）协议代理服务器常用端口号：21

4，Telnet（远程登录）协议代理服务器常用端口号：23

5，>

6，>

7，Telnet（不安全的文本传送），默认端口号为23/tcp（木马Tiny Telnet Server所开放的端口）

8，FTP，默认的端口号为21/tcp（木马Doly Trojan、Fore、Invisible FTP、WebEx、WinCrash和Blade Runner所开放的端口）

9，TFTP（Trivial File Transfer Protocol），默认端口号为69/udp

10，SSH（安全登录）、SCP（文件传输）、端口号重定向，默认的端口号为22/tcp

11，SMTP Simple Mail Transfer Protocol（E-mail），默认端口号为25/tcp（木马Antigen、Email Password Sender、Haebu Coceda、Shtrilitz Stealth、WinPC、WinSpy都开放这个端口）

12，POP3 Post Office Protocol（E-mail），默认端口号为110/tcp

13，Webshpere应用程序，默认端口号为9080

14，webshpere管理工具，默认端口号9090

15，JBOSS，默认端口号为8080

16，TOMCAT，默认端口号为8080

17，WIN2003远程登录，默认端口号为3389

18，Symantec AV/Filter for MSE,默认端口号为 8081

19，Oracle 数据库，默认的端口号为1521

20，ORACLE EMCTL，默认的端口号为1158

21，Oracle XDB（XML 数据库），默认的端口号为8080

22，Oracle XDB FTP服务，默认的端口号为2100

23，MS SQLSERVER数据库server，默认的端口号为1433/tcp 1433/udp

24，MS SQLSERVER数据库monitor，默认的端口号为1434/tcp 1434/udp

aaa authentication login test tacacs+ 启用AAA登陆认证，test为列表名，TACACS+为认证方法aaa authentication login default group tacacs+ 配置默认的登陆访问。aaa authentication login 配置一个或多个认证方法列表。group tacacs+ 的作用是指示交换机使用一个全部为TACACS+服务器的列表来执行认证。AAA支持5种授权方法：1、TACACS+ 服务器/客户端模式的方法2、RADIUS 服务器/客户端模式的方法3、If-authenticated 成功为该用户授权4、None 为相应接口禁用授权功能5、Local 用户名和密码的本地数据库

CISCOPIX防火墙基础
六、提供用户鉴别
用户的鉴别和授权用到内部网络中的RADIUS或TACACS+服务器以符合相应的安全策略
用户的鉴别（AUTHENCATION）是鉴别访问用户的身份，而授权（AUTHORIZATION）则是决定用户能够使用主机的哪些服务。
对于服务器上的配置，你必须指明哪些用户能够访问你的网络，可以使用哪些服务，可以服务哪些主机系统等，一旦有了这些信息后，你就可以在PIX防火墙上打开或关闭相应的用户鉴别和授权。
此外，你可以配置防火墙去允许用户访问到特定的主机或服务。如果在防火墙上配置了这些，就有可能导致防火墙与验证服务器之间数据信息的不一致。如果你使用了用户鉴别和授权功能，防火墙就会为使用FTP、TELNET、>