华为交换机AAA配置管理

合集下载

01-01 AAA及用户管理配置

Quidway NetEngine40E操作手册-安全分册目录目录1 AAA及用户管理配置.................................................................................................................1-11.1 简介..............................................................................................................................................................1-21.1.1 AAA简介............................................................................................................................................1-21.1.2 RADIUS协议简介..............................................................................................................................1-31.1.3 HWTACACS协议简介......................................................................................................................1-51.1.4 基于域的用户管理简介.....................................................................................................................1-51.1.5 本地用户管理简介.............................................................................................................................1-61.2 配置AAA....................................................................................................................................................1-61.2.1 建立配置任务.....................................................................................................................................1-61.2.2 配置认证方案.....................................................................................................................................1-81.2.3 配置授权方案.....................................................................................................................................1-81.2.4 配置计费方案.....................................................................................................................................1-81.2.5 配置记录方案.....................................................................................................................................1-91.2.6 配置为用户分配IP地址...................................................................................................................1-91.2.7 在用户端配置接口IP地址为可协商.............................................................................................1-101.2.8 检查配置结果...................................................................................................................................1-101.3 配置RADIUS服务器...............................................................................................................................1-111.3.1 建立配置任务...................................................................................................................................1-111.3.2 创建RADIUS服务器模板..............................................................................................................1-121.3.3 配置RADIUS认证服务器..............................................................................................................1-121.3.4 配置RADIUS计费服务器..............................................................................................................1-131.3.5 配置RADIUS服务器的协议版本..................................................................................................1-131.3.6 配置RADIUS服务器的密钥..........................................................................................................1-131.3.7 配置RADIUS服务器的用户名格式..............................................................................................1-131.3.8 配置RADIUS服务器的流量单位..................................................................................................1-141.3.9 配置RADIUS服务器的重传参数..................................................................................................1-141.3.10 配置RADIUS服务器的NAS端口..............................................................................................1-141.3.11 检查配置结果.................................................................................................................................1-151.4 配置HWTACACS服务器........................................................................................................................1-151.4.1 建立配置任务...................................................................................................................................1-15目录Quidway NetEngine40E操作手册-安全分册1.4.2 创建HWTACACS服务器模板.......................................................................................................1-16 1.4.3 配置HWTACACS认证服务器.......................................................................................................1-16 1.4.4 配置HWTACACS授权服务器.......................................................................................................1-17 1.4.5 配置HWTACACS计费服务器.......................................................................................................1-17 1.4.6 配置HWTACACS服务器的源IP地址.........................................................................................1-17 1.4.7 配置HWTACACS服务器的密钥...................................................................................................1-18 1.4.8 配置HWTACACS服务器的用户名格式.......................................................................................1-18 1.4.9 配置HWTACACS服务器的流量单位...........................................................................................1-18 1.4.10 配置HWTACACS服务器的定时器.............................................................................................1-18 1.4.11 检查配置结果.................................................................................................................................1-191.5 配置域........................................................................................................................................................1-191.5.1 建立配置任务...................................................................................................................................1-191.5.2 创建域..............................................................................................................................................1-201.5.3 配置域的认证、授权和计费方案...................................................................................................1-201.5.4 配置域的RADIUS服务器模板......................................................................................................1-201.5.5 配置域的HWTACACS服务器模板...............................................................................................1-211.5.6 配置域的地址相关属性...................................................................................................................1-211.5.7 配置域的状态...................................................................................................................................1-211.5.8 配置域允许的最大接入用户数.......................................................................................................1-221.5.9 检查配置结果...................................................................................................................................1-22 1.6 配置单独本地用户管理............................................................................................................................1-221.6.1 建立配置任务...................................................................................................................................1-221.6.2 创建本地用户帐号...........................................................................................................................1-231.6.3 配置本地用户的服务类型...............................................................................................................1-231.6.4 配置本地用户的FTP目录权限......................................................................................................1-241.6.5 配置本地用户的状态.......................................................................................................................1-241.6.6 配置本地用户的优先级...................................................................................................................1-241.6.7 配置本地用户的接入限制...............................................................................................................1-241.6.8 检查配置结果...................................................................................................................................1-25 1.7 维护............................................................................................................................................................1-251.7.1 清除HWTACACS服务器的统计信息...........................................................................................1-251.7.2 调试RADIUS或HWTACACS服务器..........................................................................................1-25 1.8 AAA及用户管理典型配置举例................................................................................................................1-261.8.1 采用RADIUS协议认证和计费......................................................................................................1-261.8.2 对用户采用本地和HWTACACS认证、HWTACACS授权和进行实时计费............................1-291.8.3 采用RADIUS协议对Telnet用户的认证......................................................................................1-33 1.9 AAA及用户管理故障诊断与排除............................................................................................................1-351.9.1 用户本地认证总被拒绝...................................................................................................................1-361.9.2 用户RADIUS认证总被拒绝..........................................................................................................1-36Quidway NetEngine40E操作手册-安全分册目录1.9.3 未配置认证却对用户进行认证.......................................................................................................1-371.9.4 Telnet用户通过RADIUS认证后不能进入系统视图....................................................................1-37插图目录Quidway NetEngine40E 操作手册-安全分册插图目录图1-1 RADIUS客户端与服务器间的消息流程..............................................................................................1-3图1-2 RADIUS消息结构..................................................................................................................................1-4图1-3 AAA示例组网图..................................................................................................................................1-27图1-4 对用户使用本地和HWTACACS认证、HWTACACS授权和进行实时计费................................1-30图1-5 采用Radius协议对telnet用户的认证...............................................................................................1-33操作手册-安全分册表格目录表格目录表1-1 HWTACACS协议与RADIUS协议的比较..........................................................................................1-5操作手册-安全分册 1AAA及用户管理配置1 AAA及用户管理配置关于本章本章描述内容如下表所示。

华为交换机aaa配置命令是什么

华为交换机aaa配置命令是什么华为交换机aaa配置命令是什么交换机具有性能价格比高、高度灵活、相对简单、易于实现等特点。

所以，以太网技术已成为当今最重要的一种局域网组网技术，网络交换机也就成为了最普及的交换机。

下面是店铺给大家整理的一些有关华为交换机aaa配置命令，希望对大家有帮助!华为交换机aaa配置命令[Huawei]aaa[Huawei-aaa]authentication-scheme ren_zheng 配置AAA认证方案名为ren_zheng[Huawei-aaa-authen-aaa]authentication-mode radius local 配置AAA认证模式为先Radius，如无响应则本地认证[Huawei-aaa-authen-aaa]quit[Huawei-aaa]accounting-scheme ji_fei 配置AAA计费方案名为ji_fei[Huawei-aaa-accounting-ji_fei]accounting-mode radius 配置AAA计费模式为Radius服务器计费[Huawei-aaa-accounting-ji_fei]accounting start-fail offline 配置当开始计费失败时，将用户离线[Huawei-aaa-accounting-ji_fei]quit二、配置Radius模板[Huawei]radius-server template huawei_use 配置Raduis模板名为huawei_use[Huawei-radius-huawei_use]radius-server authentication 192.168.1.254 1812 主radius认证服务地址和端口[Huawei-radius-huawei_use]radius-server authentication 192.168.1.253 1812 secondary 备用认证服务器[Huawei-radius-huawei_use]radius-server accounting 192.168.1.253 1812 主radius计费服务地址和端口[Huawei-radius-huawei_use]radius-server accounting 192.168.1.253 1813 secondary 备用计费服务器[Huawei-radius-huawei_use]radius-server shared-key cipher hello 配置设备与Radius通信的共享秘钥为hello[Huawei-radius-huawei_use]radius-server retransmit 2 timeout 5 配置设备向Radius服务器发送请求报文的超时重传次数为2s，间隔为5s[Huawei-radius-huawei_use]quit三、在AAA用户域绑定要使用的AAA认证和Radius模板[Huawei]aaa[Huawei-aaa]domain huawei 配置AAA域，名称huawei[Huawei-aaa-domain-huawei]authentication-schemeren_zheng 在域中绑定AAA认证方案[Huawei-aaa-domain-huawei]accounting-scheme ji_fei 在域中绑定AAA计费方案[Huawei-aaa-domain-huawei]radius-server huawei_use 在域中绑定Radius模板[Huawei-aaa-domain-huawei]quit检查命令：[Huawei]display radius-server configuration template huawei_use------------------------------------------------------------------------------Server-template-name : huawei_useProtocol-version : standardTraffic-unit : BShared-secret-key : aaYOZ$V^P35NZPO3JBXBHA!!Timeout-interval(in second) : 5Primary-authentication-server : 192.168.1.254 :1812 :-LoopBack:NULL Source-IP:0.0.0.0Primary-accounting-server : 192.168.1.254 :1813 :-LoopBack:NULL Source-IP:0.0.0.0Secondary-authentication-server : 192.168.1.253 :1812 :-LoopBack:NULL Source-IP:0.0.0.0Secondary-accounting-server : 192.168.1.253 :1813 :-LoopBack:NULL Source-IP:0.0.0.0Retransmission : 2Domain-included : YESNAS-IP-Address : 0.0.0.0Calling-station-id MAC-format : xxxx-xxxx-xxxx------------------------------------------------------------------------------[Huawei][Huawei]display domain name huaweiDomain-name : huaweiDomain-state : ActiveAuthentication-scheme-name : ren_zhengAccounting-scheme-name : ji_feiAuthorization-scheme-name : -Service-scheme-name : -RADIUS-server-template : huawei_useHWTACACS-server-template : -[Huawei]session 2 AAA+HWTACACS进行认证、授权、计费(默认所有使用TCP端口49)拓扑不变HWTACACS(Huawei Terminal Access Controller Access Control System)协议是华为对TACACS进行了扩展的协议HWTACACS是在TACACS(RFC1492)基础上进行了功能增强的一种安全协议。

AAA配置详细手册

图13radius的基本消息交互流程radiusclientradiusserver1用户输入用户名密码3认证接受拒绝包2认证请求包4计费开始请求包5计费开始请求响应包7计费结束请求包8计费结束请求响应包9通知访问结束host6用户访问资源消息交互流程如下
目录
1 AAA配置 ............................................................................................................................................ 1-1 1.1 AAA简介............................................................................................................................................ 1-1 1.1.1 概述 ........................................................................................................................................ 1-1 1.1.2 RADIUS协议简介.................................................................................................................... 1-2 1.1.3 HWTACACS协议简介 ...........................................................

AAA配置和管理

南京晓庄学院数学与信息技术学院
网络安全实验报告
实验名称：
实验三AAA配置和管理
班级：
实验地点：
日期：
评定等级：
学号：
姓名：
一、实验目的：
1.掌握使用本地数据库进行控制、VTY和AUX线路的登录认证
2.掌握使用AAA进行本地认证
3.掌握使用AAA和RADIUS进行集中认证
二、基本技能实验内容、要求和环境：
Router(config)#line vty 0 4
Router(config-line)#login authentication TELNET_LINESቤተ መጻሕፍቲ ባይዱ
四、实验结果与分析
使用本地数据库进行控制、VTY和AUX线路的登录认证
AAA本地认证
五：思考题：
AAA是指用使用Auth；Authentication（认证）：对用户的身；我们一般使用TACASS+RADIUS协议来做；当用户的身份被认证服务器去人后，用户在能管理交换；在认证的时候。有以下这些方法：1在交换机本地进行用户名和密码的设定，也就是在用户登录交换机的时候，交换机会对比自己的本地数据库，查看要登录的用户所使用的用户名和密码的正确性；2使用一台或多台（组）外部RARIUS服务器认证；3使用一台或多台（组）外部TACASS+服务器认证用一个配置实例，说明交换机上操作。
R2(config-if)#ip address 192.168.2.2 255.255.255.252
R2(config-if)#end
2配置主机
（1）配置使用本地数据库进行控制线路的登录认证
Router(config)#username peter secret cisco

HC华为 AAA命令详解

01-A A A命令目?录1AAA配置命令1.1AAA配置命令authorizationdefaultauthorizationloginauthorization-attributeauthorization-attributeuser-profilebind-attributecutconnectiondisplayconnectiondisplaydomaindisplaylocal-userdisplayuser-groupdomaindomaindefaultenableexpiration-dategroupidle-cutenablelocal-userlocal-userpassword-display-modenas-idbindvlanpasswordself-service-urlenableservice-typestateuser-group2RADIUS配置命令2.1RADIUS配置命令2.1.4attribute25carnas-ip(RADIUSschemeview)primaryaccounting(RADIUSschemeview)primaryauthentication(RADIUSschemeview)radiusclientradiusnas-ipradiusschemeradiustrapresetradiusstatisticsresetstop-accounting-bufferretryretryrealtime-accountingretrystop-accounting(RADIUSschemeview)secondaryaccounting(RADIUSschemeview)secondaryauthentication(RADIUSschemeview) security-policy-serverserver-typestatestop-accounting-bufferenable(RADIUSschemeview) timerquiet(RADIUSschemeview)timerrealtime-accounting(RADIUSschemeview) timerresponse-timeout(RADIUSschemeview)user-name-format(RADIUSschemeview)1AAA配置命令1.1?AAA配置命令【命令】aaanas-idprofile profile-nameundoaaanas-idprofile profile-name【视图】系统视图【缺省级别】2：系统级【参数】profile-name：保存NAS-ID与VLAN绑定关系的Profile名称，为1～16个字符的字符串，不区分大小写。

华为交换机AAA配置与管理系统

AAA配置与管理一、基础1、AAA是指：authentication（认证）、authorization（授权）、accounting（计费）的简称，是网络安全的一种管理机制；Authentication是本地认证/授权，authorization和accounting是由远处radius（远程拨号认证系统）服务或hwtacacs（华为终端访问控制系统）服务器完成认证/授权；AAA是基于用户进行认证、授权、计费的，而NAC 方案是基于接入设备接口进行认证的。

在实际应用中，可以使用AAA的一种或两种服务。

2、AAA基本架构：C/S结构，AAA客户端（也叫NAS-网络接入服务器）是使能了aaa功能的网络设备（可以是一台或多台、不一定是接入设备）3、AAA基于域的用户管理：通过域来进行AAA用户管理，每个域下可以应用不同的认证、授权、计费以及radius或hwtacacs服务器模板，相当于对用户进行分类管理缺省情况下，设备存在配置名为default（全局缺省普通域）和default_admin（全局缺省管理域），均不能删除，只能修改，都属于本地认证；default为接入用户的缺省域，default_admin为管理员账号域（如http、ssh、telnet、terminal、ftp用户）的缺省域。

用户所属域是由域分隔符后的字符串来决定的，域分隔符可以是@、|、%等符号，如user@就表示属于huawei域，如果用户名不带@，就属于系统缺省default域。

自定义域可以被配置为全局缺省普通域或全局缺省管理域，但域下配置的授权信息较AAA服务器的授权信息优先级低，通常是两者配置的授权信息一致。

4、radius协议Radius通过认证授权来提供接入服务、通过计费来收集、记录用户对网络资源的使用。

定义UDP 1812、1813作为认证（授权）、计费端口Radius服务器维护三个数据库：Users:存储用户信息（用户名、口令、使用的协议、IP地址等）Clients:存储radius客户端信息（接入设备的共享密钥、IP地址）Dictionary：存储radius协议中的属性和属性值含义Radius客户端与radius服务器之间通过共享密钥来对传输数据加密，但共享密钥不通过网络来传输。

华为交换机常用配置

在给整个网络规划的时候，就会给整个网络中的网络设备，例如交换机，路由器，无线设备等，划分一个管理网段。所以新加的这个交换段是10.178.245.0/24,vlan号是1.
所以新交换机也在vlan1上设置一个管理IP：10.178.245.15 24
[Huawei-ui-vty4]authentication-mode password #认证方式为password
[Huawei-ui-vty4]set authentication password cipher admin@123 #设置认证密码
管理口（console）设置
划分VLAN
2、telnet [Huawei]telnet server enable #开启telnet服务功能 [Huawei]user-interface vty 4 #创建一个远程用户 [Huawei-ui-vty4]authentication-mode aaa #认证方式为AAA [Huawei-ui-vty4]protocol inbound telnet #协议为telnet 或者认证方式为password [Huawei]user-interface vty 4 #创建一个远程用户 [Huawei-ui-vty4]authentication-mode password #认证方式为password [Huawei-ui-vty4]set authentication password cipher admin@123 #设置认证密码 [Huawei-ui-vty4]protocol inbound telnet #协议为telnet
配置基于ACL的流分类 [Switch] traffic classifier tc1 //创建流分类 [Switch-classifier-tc1] if-match acl 3001 //将ACL与流分类关联 [Switch-classifier-tc1] quit 配置流行为 [Switch] traffic behavior tb1 //创建流行为 [Switch-behavior-tb1] deny //配置流行为动作为拒绝报文通过 [Switch-behavior-tb1] quit 配置流策略 [Switch] traffic policy tp1 //创建流策略 [Switch-trafficpolicy-tp1] classifier tc1 behavior tb1 //将流分类tc1与流行为tb1关联 [Switch-trafficpolicy-tp1] quit 在接口下应用流策略 [Switch] interface gigabitethernet 0/0/1 [Switch-GigabitEthernet0/0/1] traffic-policy tp1 inbound //流策略应用在接口入方向

华为AAA认证详解及配置

华为AAA认证详解及配置⼀、AAA的基本架构AAA 通常采⽤“客户端—服务器”结构。

这种结构既具有良好的可扩展性，⼜便于集中管理⽤户信息。

如图1所⽰。

图 1 AAA 的基本构架⽰意图认证：不认证：对⽤户⾮常信任，不对其进⾏合法检查，⼀般情况下不采⽤这种⽅式。

本地认证：将⽤户信息配置在⽹络接⼊服务器上。

本地认证的优点是速度快，可以为运营降低成本，缺点是存储信息量受设备硬件条件限制。

远端认证：将⽤户信息配置在认证服务器上。

⽀持通过 RADIUS（Remote Authentication Dial In User Service）协议或HWTACACS（HuaWei Terminal Access Controller Access Control System）协议进⾏远端认证。

授权： AAA ⽀持以下授权⽅式：不授权：不对⽤户进⾏授权处理。

本地授权：根据⽹络接⼊服务器为本地⽤户账号配置的相关属性进⾏授权。

HWTACACS 授权：由 HWTACACS 服务器对⽤户进⾏授权。

if-authenticated 授权：如果⽤户通过了认证，⽽且使⽤的认证模式是本地或远端认证，则⽤户授权通过。

RADIUS 认证成功后授权：RADIUS 协议的认证和授权是绑定在⼀起的，不能单独使⽤ RADIUS 进⾏授权。

计费：AAA ⽀持以下计费⽅式：不计费：不对⽤户计费。

远端计费：⽀持通过 RADIUS 服务器或 HWTACACS 服务器进⾏远端计费。

⼆、RADIUS协议远程认证拨号⽤户服务 RADIUS（Remote Authentication Dial-In User Service）是⼀种分布式的、客户端/服务器结构的信息交互协议，能保护⽹络不受未授权访问的⼲扰，常应⽤在既要求较⾼安全性、⼜允许远程⽤户访问的各种⽹络环境中。

该协议定义了基于UDP 的 RADIUS 帧格式及其消息传输机制，并规定 UDP 端⼝ 1812、1813 分别作为认证、计费端⼝。

华为交换机配置

小伙伴们通过Console口登录后还希望远程登录和管理交换机，就可以在交换机上配置Telnet服务功能并使用AAA验证方式登录。

步骤1：从PC1通过交换机Console口登录交换机。

步骤2：配置交换机名称和管理IP地址。

<Quidway>system-view[Quidway] sysname Server[Server] interface ethernet 0/0/0 //框式和盒式的管理口是不一样的哦，框式和盒式的分别是: Ethernet 0/0/0、MEth 0/0/1。

有些盒式设备没有管理口，可使用VLANIF接口配置管理IP地址。

[Server-Ethernet0/0/0] ip address 10.10.10.10 24[Server-Ethernet0/0/0] quit步骤3：配置路由协议，保证PC2和交换机之间路由可达。

步骤4：配置Telnet用户的级别和认证方式。

[Server] telnet server enable[Server] user-interface vty 0 4[Server-ui-vty0-4] user privilege level 15[Server-ui-vty0-4] authentication-mode aaa[Server-ui-vty0-4] quit[Server] aaa[Server-aaa] local-user admin1234 password irreversible-cipher Helloworld@6789[Server-aaa] local-user admin1234 privilege level 15[Server-aaa] local-user admin1234 service-type telnet[Server-aaa] quit步骤5：从PC2以Telnet方式登录交换机。

以进入Windows运行窗口，并执行相关命令，通过Telnet方式登录交换机为例：单击“确定”后，在登录窗口输入用户名和密码，验证通过后，出现用户视图的命令行提示符。

华为交换机AAA配置与管理

AAA配置与管理一、基础1、AAA是指：authentication（认证）、authorization（授权）、accounting（计费）的简称，是网络安全的一种管理机制；Authentication是本地认证/授权，authorization和accounting是由远处radius（远程拨号认证系统）服务或hwtacacs （华为终端访问控制系统）服务器完成认证/授权；AAA是基于用户进行认证、授权、计费的，而NAC方案是基于接入设备接口进行认证的。

在实际应用中，可以使用AAA的一种或两种服务。

用户所属域是由域分隔符后的字符串来决定的，域分隔符可以是@、|、%等符号，如***************就表示属于huawei域，如果用户名不带@，就属于系统缺省default域。

自定义域可以被配置为全局缺省普通域或全局缺省管理域，但域下配置的授权信息较AAA服务器的授权信息优先级低，通常是两者配置的授权信息一致。

4、radius协议Radius通过认证授权来提供接入服务、通过计费来收集、记录用户对网络资源的使用。

华为交换机 A配置与管理

A A A配置与管理一、基础1、AAA是指：authentication（认证）、authorization（授权）、accounting（计费）的简称，是网络安全的一种管理机制；Authentication 是本地认证/授权，authorization和accounting是由远处radius（远程拨号认证系统）服务或hwtacacs（华为终端访问控制系统）服务器完成认证/授权；AAA是基于用户进行认证、授权、计费的，而NAC方案是基于接入设备接口进行认证的。

在实际应用中，可以使用AAA的一种或两种服务。

用户所属域是由域分隔符后的字符串来决定的，域分隔符可以是@、|、%等符号，域，如果用户名不带@，就属于系统缺省default域。

自定义域可以被配置为全局缺省普通域或全局缺省管理域，但域下配置的授权信息较AAA服务器的授权信息优先级低，通常是两者配置的授权信息一致。

4、radius协议Radius通过认证授权来提供接入服务、通过计费来收集、记录用户对网络资源的使用。

华为交换配置

配置文档一、配置交换机名称<S2352>system-view 进入系统视图[S2352]sysname name 交换机名称二、配置交换机密码1．使用用户名+登陆密码认证[S2352]aaa （AAA认证方式）[S2352-aaa]local-user name（登陆名）password cipher/simple password(密码) [S2352-aaa]local-user name service-type telnet terminal[S2352-aaa]local-user name level 15[S2352-aaa]authentication-scheme name[S2352-aaa-authen-name]authentication-mode local使用QUIT命令回到[S2352][S2352]user-interface vty 0 4[S2352-ui-vty0-4]authentication-mode aaa[S2352]user-interface console 0[S2352-ui-console0] authentication-mode aaa2．不使用用户名验证，只需要验证密码的登陆方式Telnet 密码验证[S2352]user-interface vty 0 4[S2352-ui-vty0-4]authentication-mode password[S2352-ui-vty0-4] set authentication password cipher/simple password[S2352-ui-vty0-4] user privilege level 15Console 密码验证[S2352]user-interface console 0[S2352-ui-console0]authentication-mode password[S2352-ui- console0] set authentication password cipher/simple password[S2352-ui- console0] user privilege level 15三、配置管理IP[S2352]vlan 255[S2352] interface vlan 255[S2352-Vlanif255] ip address 192.168.255.10 255.255.255.0四、配置默认路由[S2352]ip route-static 0.0.0.0 0.0.0.0 192.168.255.1五、VLAN 的划分和端口加加入VLAN比如把第二端口加入到VLAN 8中[S2352]vlan 8[S2352-vlan8] port Ethernet0/0/2[S2352-vlan8]quit如果是连续的多个端口要加入某一个VLAN ，比如2 到10 端口都加入VLAN 8[S2352]vlan 8[S2352-vlan8]port Ethernet 0/0/2 to 0/0/10[S2352-vlan8]quit六、配置交换机的上行口[S2352]interface GigabitEthernet 0/0/1[S2352-GigabitEthernet0/0/1]port link-type trunk[S2352-GigabitEthernet0/0/1]port trunk allow-pass vlan all同时在Cisco4503的千兆口上设置端口不自动协商，变成强制，比如Cisco4503 第20口4503<config> int g 1/204503<config-if>speed nonegotiate七、安全。

华为设备AAA和RADIUS协议配置

华为设备AAA和RADIUS协议配置一、AAA概述AAA是Authentication，Authorization and Accounting（认证、授权和计费）的简称，它提供了一个用来对认证、授权和计费这三种安全功能进行配置的一致性框架，实际上是对网络安全的一种管理。

这里的网络安全主要是指访问控制，包括：l 哪些用户可以访问网络服务器；l 具有访问权的用户可以得到哪些服务；l 如何对正在使用网络资源的用户进行计费；针对以上问题，AAA必须提供下列服务：l 认证：验证用户是否可获得访问权。

l 授权：授权用户可使用哪些服务。

l 计费：记录用户使用网络资源的情况。

AAA一般采用客户/服务器结构：客户端运行于被管理的资源侧，服务器上集中存放用户信息。

因此，AAA框架具有良好的可扩展性，并且容易实现用户信息的集中管理。

RADIUS协议概述如前所述，AAA是一种管理框架，因此，它可以用多种协议来实现。

在实践中，人们最常使用RADIUS协议来实现AAA。

1. 什么是RADIUSRADIUS是Remote Authentication Dial-In User Service（远程认证拨号用户服务）的简称，它是一种分布式的、客户机/服务器结构的信息交互协议，能保护网络不受未授权访问的干扰，常被应用在既要求较高安全性、又要求维持远程用户访问的各种网络环境中（例如，它常被应用来管理使用串口和调制解调器的大量分散拨号用户）。

RADIUS系统是 NAS（Network Access Server）系统的重要辅助部分。

当RADIUS系统启动后，如果用户想要通过与NAS（PSTN环境下的拨号接入服务器或以太网环境下带接入功能的以太网交换机）建立连接从而获得访问其它网络的权利或取得使用某些网络资源的权利时，NAS，也就是RADIUS客户端将把用户的认证、授权和计费请求传递给RADIUS服务器。

RADIUS 服务器上有一个用户数据库，其中包含了所有的用户认证和网络服务访问信息。

交换机AAA详解

1概述1.1AAAAAA是Authentication（认证）、Authorization（授权）和Accounting（计费）的简称，提供了认证、授权、计费三种安全功能。

这三种安全功能的具体作用如下：●认证：验证用户是否可以获得网络访问权。

●授权：授权用户可以使用哪些服务。

●计费：记录用户使用网络资源的情况用户可以只使用AAA提供的一种或两种安全服务。

例如，公司仅仅想让员工在访问某些特定资源的时候进行身份认证，那么网络管理员只要配置认证服务器即可。

但是若希望对员工使用网络的情况进行记录，那么还需要配置计费服务器。

如上所述，AAA是一种管理框架，它提供了授权部分用户去访问特定资源，同时可以记录这些用户操作行为的一种安全机制，因其具有良好的可扩展性，并且容易实现用户信息的集中管理而被广泛使用。

AAA可以通过多种协议来实现。

在实际应用中，最常使用RADIUS协议（UDP）和TACACS协议（TCP），华为和Cisco又有自身的协议：HWTACACS（华为）和TACACS+（Cisco）。

1）终端访问控制器的访问控制系统(TACACS)TACACS是一个远程认证协议，用作与认证服务器进行通信，通常使用在UNIX 网络中。

TACACS允许远程访问服务于认证服务通信，为了决定用户是否允许访问网络。

Unix后台是TACACSD，运行在49端口上，使用TCP。

2）TACACS+:TACACS+是为路由、网络访问服务和其它网络计算设备提供访问控制的协议，使用一个以上的中心服务器。

它使用TCP，提供单独认证、鉴权和审计服务，端口是49。

3）RADIUS：远程认证拨号用户服务是一个AAA应用协议，例如：网络认证或IP移动性。

后续章节中，我们会看到更多的RADIUS详情。

4）DIAMETERDiameter是计划替代RADIUS的一种协议。

2原理描述2.1基本构架AAA是采用“客户端/服务器”（C/S）结构，其中AAA客户端（也称网络接入服务器——NAS）就是使能了AAA功能的网络设备（可以是网络中任意一台设备，不一定是接入设备，而且可以在网络中多个设备上使能），而AAA服务器就是专门用来认证、授权和计费的服务器（可以由服务器主机配置，也可以有提供了对应服务器功能的网络设备上配置）如图2-1所示。

华为交换机基本配置命令详解

华为交换机基本配置命令详解1：配置登录⽤户，⼝令等<Quidway> //⽤户直⾏模式提⽰符,⽤户视图<Quidway>system-view //进⼊配置视图[Quidway] //配置视图（配置密码后必须输⼊密码才可进⼊配置视图）[Quidway] sysname xxx //设置主机名成为xxx这⾥使⽤[Quidway] aaa //进⼊aaa认证模式定义⽤户账户[Quidway-aaa] local-user wds password cipher wds[Quidway-aaa] local-user wds level 15[Quidway-aaa] local-user wds service-type telnet terminal ssh //有时候这个命令是最先可以运//⾏的，上边两个命令像password，level都是定义完vty 的// authentication-mode aaa后才出现[Quidway-aaa] quit[Quidway] user-interface vty 0 4 //当时很奇怪这个命令就是找不到，最后尝试了⼏次才能运⾏[Quidway-ui-vty0-4] authentication-mode aaa[Quidway-ui-vty0-4] quit2：华为S9303 VLan设置创建vlan：<Quidway> //⽤户直⾏模式提⽰符,⽤户视图<Quidway>system-view //进⼊配置视图[Quidway] vlan 10 //创建vlan 10，并进⼊vlan10配置视图，如果vlan10存在就直接进⼊vlan10配置视图[Quidway-vlan10] quit //回到配置视图[Quidway] vlan 100 //创建vlan 100，并进⼊vlan100配置视图，如果vlan10存在就直接进⼊vlan100配置视图[Quidway-vlan100] quit //回到配置视图将端⼝加⼊到vlan中：[Quidway] interface GigabitEthernet2/0/1 (10G光⼝)[Quidway- GigabitEthernet2/0/1] port link-type access //定义端⼝传输模式[Quidway- GigabitEthernet2/0/1] port default vlan 100 //将端⼝加⼊vlan100[Quidway- GigabitEthernet2/0/1] quit[Quidway] interface GigabitEthernet1/0/0 //进⼊1号插槽上的第⼀个千兆⽹⼝配置视图中。

华为交换机常用命令配置介绍

华为交换机常用命令配置介绍华为交换机是一种常见的网络设备，用于构建大型网络。

配置华为交换机需要使用一些常用的命令，通过这些命令可以设置交换机的各种功能和参数。

本文将介绍一些常用的华为交换机配置命令，包括基本配置、端口配置和VLAN配置等。

一、基本配置命令：1.设置设备主机名：[HUAWEI] sysname Switch //将设备主机名设置为Switch2.配置管理口：[Switch] interface gigabitethernet 0/0/1 //进入GigabitEthernet 0/0/1接口[Switch-GigabitEthernet0/0/1] port link-type access //设置接口类型为access[Switch-GigabitEthernet0/0/1] port default vlan 10 //设置默认VLAN为103.配置IP地址：[Switch-GigabitEthernet0/0/1] ip address 192.168.1.1255.255.255.0 //配置接口IP地址为192.168.1.1，子网掩码为255.255.255.04.设置设备登录认证：[Switch] aaa //进入AAA视图[Switch-aaa] local-user admin //创建本地用户admin[Switch-aaa] password simple admin123 //设置密码为admin1235.开启SSH远程登录：[Switch] ssh server enable //开启SSH服务[Switch] ssh user admin //创建SSH用户admin[Switch-ssh-user-admin] authentication-type password //设置认证方式为密码[Switch-ssh-user-admin] service-type stelnet //设置服务类型为SSH二、端口配置命令：1.查看端口状态：[Switch] display interface gigabitethernet 0/0/1 //查看GigabitEthernet 0/0/1接口的状态信息2.端口速率设置：[Switch] interface gigabitethernet 0/0/1 //进入GigabitEthernet 0/0/1接口[Switch-GigabitEthernet0/0/1] speed 100 //设置速率为100Mbps 3.端口流量控制：[Switch] interface gigabitethernet 0/0/1 //进入GigabitEthernet 0/0/1接口[Switch-GigabitEthernet0/0/1] flow-control //开启流量控制4.端口VLAN成员关系设置：[Switch] interface gigabitethernet 0/0/1 //进入GigabitEthernet 0/0/1接口[Switch-GigabitEthernet0/0/1] port link-type trunk //设置接口类型为trunk[Switch-GigabitEthernet0/0/1] port trunk allow-pass vlan 1020 //设置允许通过的VLAN为10和20三、VLAN配置命令：1.创建VLAN：[Switch] vlan 10 //创建VLAN 10[Switch-vlan10] quit //退出VLAN 10视图2.VLAN接口配置：[Switch] interface vlanif 10 //进入VLAN 10接口[Switch-Vlan-interface10] ip address 192.168.10.1255.255.255.0 //配置接口IP地址为192.168.10.1，子网掩码为255.255.255.03.VLAN端口关联：[Switch] interface gigabitethernet 0/0/1 //进入GigabitEthernet 0/0/1接口[Switch-GigabitEthernet0/0/1] port link-type hybrid //设置接口类型为hybrid（混合）[Switch-GigabitEthernet0/0/1] port hybrid vlan 10 untagged //设置接口为VLAN 10的未标记端口四、其他常用命令：1.查看设备信息：[Switch] display version //查看设备版本信息[Switch] display interface brief //查看所有接口的基本信息2.保存配置：[Switch] save //保存当前配置3.重启设备：[Switch] reboot //重启设备以上是一些常用的华为交换机配置命令。

华为路由器交换机配置命令、管理、Layer2、Layer3、IGP

基础/管理配置：system-viewquitreturnundodisplay current-configurationdisplay thisdisplay this include-defaultsave//用户视图下rebootheader login information "Hello,Welcome to Huawei!" display hotkeylanguage-mode { chinese | english }history-command max-size VALUEdisplay history-command [ all-users ]clock datetime HH:MM:SS YYYY-MM-DDclock timezone time-zone-name { add | minus } offset配置Console:使用AAA验证：user-interface console 0authentication-mode aaaquitaaalocal-user ADMIN123 password irreversible-cipher ADMIN123 local-user ADMIN123 service-type terminalquit使用密码验证：user-interface console 0authentication-mode passwordset authentication password cipher ADMIN123配置VTY(Telent):telnet server enableaaalocal-user ADMIN123 password irreversible-cipher ADMIN123 local-user ADMIN123 privilege level 15local-user ADMIN123 service-type telnetquituser-interface maximum-vty 15user-interface vty 0 4user privilege level 15authentication-mode aaaidle-timeout 10 0quit验证命令：display usersdisplay user-interface maximum-vtydisplay user-interface vty summarydisplay local-userdisplay vty mode配置SSH:使用本地用户密码方式（可使用rsa密钥方式）system-viewrsa local-key-pair create//或dsa local-key-pair create//display rsa local-key-pair public//display dsa local-key-pair publicstelnet server enablessh server timeout 60user-interface vty 0 4authentication-mode aaaprotocol inbound {all | ssh}//默认为telnet方式aaalocal-user CLIENT001 password irreversible-cipher CLIENT001local-user CLIENT001 privilege level 3local-user CLIENT001 service-type sshquitssh user CLIENT001 authentication-type passwordssh user CLIENT001 service-type stelnetdisplay ssh user-informationdisplay ssh server statusdisplay ssh server sessionssh client first-time enableWeb网管（https）:system-viewhttp server load defaulthttp secure-server enablehttp timeout xxxaaalocal-user NAME password irreversible-cipher PASSWORD local-user NAME privilege level LEVEL//级别在3级以上具有管理权限local-user NAME service-type httpdisplay http userdisplay http server配置管理VLAN(L2 Switch):vlan 4000name MGMTmanagement-vlan//Vlan1不能配置为管理VLANquitundo interface vlanif1//只支持1个VLANIF接口，所以需要删除vlanif1interface vlanif 4000ip address x.x.x.x y.y.y.ydisplay vlan//带有*的VLAN为管理VLANDisplay查看设备状态：display devicedisplay esndisplay versiondisplay powerdisplay power systemdisplay voltage {all | slot SLOT-ID}display temperature {all | slot SLOT-ID}display fandisplay fan-para {all | slot SLOT-ID}display cpu-usage [slave | slot SLOT-ID]display cpu-usage configuratoin [slave | slot SLOT-ID]display memory-usage [slave | slot SLOT-ID]display memory-usage threshold [slot SLOT-ID]display environment versiondisplay thisdisplay this interfacedisplay system-macdisplay elabel [ chassis-id[/slot-id][/subcard-id ] ] [ brief ]display elabel backplane chassis chassis-iddisplay diagnostic-informationdisplay healthdisplay transceiver [ interface interface-type interface-number | slot slot-id ] [ verbose ] display spu-information硬件管理：reset slot slot-id [ all | master ]//复位单板slave restart//复位备用主控板display switchover stateslave switchover enable//使能主备倒换功能slave switchoverdisplay osp statusstartup osp SLOT-IDshutdown osp SLOT-ID [ force ]reset osp SLOT-IDpower on slot SLOT-IDpower off slot SLOT-IDtransceiver phony-alarm-disable//关闭非华为定制光模块的告警功能display fabric-mode configuration//查看设备线速模式的配置set fabric-mode turbo [ all | chassis CHASSIS-ID ]//配置设备的线速模式为扩展模式,默认线速模式为普通模式信息中心(LOG):info-center enable//使能信息中心功能info-center timestamp log { { date | format-date | short-date } [ precision-time { second | tenth-second | millisecond } ] | boot | none }//配置Log信息的时间戳info-center logbufferinfo-center logbuffer size LOGBUFFER-SIZEterminal logginginfo-center timestamp debugging { { date | format-date | short-date } [ precision-time { second | tenth-second | millisecond } ] | boot | none }//配置Debug信息的时间戳reset info-center statisticsreset logbufferdisplay info-center [ statistics ]display logbuffer配置NTP:clock datetime HH:MM:SS YYYY-MM-DDntp-service refclock-master [ IP-ADDRESS ] [ STRATUM ]//配置本地时钟作为NTP主时钟undo ntp-service [ ipv6 ] server disable//使能设备作为NTP服务器的功能。

1、下载文档前请自行甄别文档内容的完整性，平台不提供额外的编辑、内容补充、找答案等附加服务。
2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
3、如文档侵犯您的权益，请联系客服反馈,我们会尽快为您处理(人工客服工作时间：9:00-18:30)。

AAA配置与管理一、根底1、AAA是指：authentication〔认证〕、authorization〔授权〕、accounting〔计费〕的简称，是网络平安的一种管理机制；Authentication是本地认证/授权，authorization和accounting是由远处radius〔远程拨号认证系统〕效劳或hwtacacs〔华为终端访问控制系统〕效劳器完成认证/授权；AAA是基于用户进展认证、授权、计费的，而NAC案是基于接入设备接口进展认证的。

在实际应用中，可以使用AAA的一种或两种效劳。

2、AAA根本架构：C/S构造，AAA客户端〔也叫NAS-网络接入效劳器〕是使能了aaa功能的网络设备〔可以是一台或多台、不一定是接入设备〕3、AAA基于域的用户管理：通过域来进展AAA用户管理，每个域下可以应用不同的认证、授权、计费以及radius或hwtacacs效劳器模板，相当于对用户进展分类管理缺省情况下，设备存在配置名为default〔全局缺省普通域〕和default_admin〔全局缺省管理域〕，均不能删除，只能修改，都属于本地认证；default为接入用户的缺省域，default_admin为管理员账号域〔如、ssh、telnet、terminal、ftp用户〕的缺省域。

用户所属域是由域分隔符后的字符串来决定的，域分隔符可以是、|、%等符号，如userhuawei.就表示属于huawei 域，如果用户名不带，就属于系统缺省default域。

自定义域可以被配置为全局缺省普通域或全局缺省管理域，但域下配置的授权信息较AAA效劳器的授权信息优先级低，通常是两者配置的授权信息一致。

4、radius协议Radius通过认证授权来提供接入效劳、通过计费来收集、记录用户对网络资源的使用。

定义UDP 1812、1813作为认证〔授权〕、计费端口Radius效劳器维护三个数据库：Users:存储用户信息〔用户名、口令、使用的协议、IP地址等〕Clients:存储radius客户端信息〔接入设备的共享密钥、IP地址〕Dictionary：存储radius协议中的属性和属性值含义Radius客户端与radius效劳器之间通过共享密钥来对传输数据加密，但共享密钥不通过网络来传输。

5、hwtacacs协议Hwtacacs是在tacacs〔rfc1492〕根底上进展了功能增强的平安协议，与radius协议类似，主要用于点对点PPP和VPDN〔virtual private dial-up network，虚拟私有拨号网络〕接入用户及终端用户的认证、授权、计费。

与radius相比，具有更加可靠的传输和加密特性，更加适合于平安控制。

Hwtacacs协议与其他厂商支持的tacacs+协议的认证流程和实现式是一致的，能够完全兼容tacacs+协议6、华为设备对AAA特性的支持支持本地、radius、hwtacacs三种任意组合本地认证授权：优点是速度快，可降低运营本钱；缺点是存储信息量受设备硬件条件限制RADIUS认证、计费：优点防止非法用户对网络的攻击相对较高；缺点是不支持单独授权功能，必须与认证功能一起，使用了认证功能就使用了授权功能Hwtacacs认证、授权、计费：认证、授权、计费室单独进展的，可以单独配置使用，在大型网络中可以部署多台hwtacacs效劳器；还支持在一个案中使用多协议模式，如本地认证常用于radius认证和hwtacacs认证的备用认证案，本地授权作为hwtacacs授权的备用授权案等二、本地式认证和授权配置配置流程为：配置AAA案——配置本地用户——配置业务案——配置域的AAA案一、配置AAA案配置AAA案就是配置AAA中的认证、授权、计费，用于“域的aaa案〞中绑定这些案使用〔所配置的各种案只有在域中绑定后才能得到应用〕认证案：1、进入AAA视图[Huawei]aaa2、设置一个AAA认证案名[Huawei-aaa]authentication-scheme test13、设置认证模式为本地认证〔缺省为本地认证〕[Huawei-aaa-authen-test1]authentication-mode ?hwtacacs HWTACACSlocal Localnone Noneradius RADIUS4、配置当前认证模板对用户提升级别进展认证时采用的认证模式〔可选，默认为本地认证〕[Huawei-aaa-authen-test1]authentication-super ?hwtacacs HWTACACSnone Noneradius RADIUSsuper Super〔本地认证模式〕5、配置用户名和域名解析的向〔可选，缺省从左向右〕[Huawei-aaa]domainname-parse-direction ?left-to-right Configure the left to right direction of domainname parsingright-to-left Configure the right to left direction of domainname parsing授权案：1、创立一个授权案[Huawei-aaa]authorization-scheme tets12、配置本地授权模式[Huawei-aaa-author-tets1]authorization-mode ?hwtacacs Use HWTACACS authorization methodif-authenticated Use authorization method which lets user(s) authorized ifuser(s) not authenticated by none authentication methodlocal Use local authorization methodnone Use none authorization method3、设置授权效劳器下发的用户授权信息的生效模式〔可选，缺省为overlay模式〕[Huawei-aaa]authorization-modify ？Modify 修改模式，新下发的授权信息覆盖上一次下发的所有属性类别的授权信息Overlay 覆盖模式，新下发的授权信息覆盖前次下发的所有用户授权信息# 模拟器未能模拟二、配置本地用户采用本地式进展认证授权时，需要在本地设备配置用户的认证和授权信息，如用于认证的用户名、密码、用于授权的优先级、用户组、允接入的效劳器类型、可建立连接数、访问目录等1、设置本地用户名和密码[Huawei-aaa]local-user test password simple 1472582、设置本地用户的级别[Huawei-aaa]local-user test privilege level 153、设备本地用户参加用户组〔可选，先配置好用户组[Huawei-aaa]local-user test user-group teset #模拟器无法模拟4、设置本地用户断开超时时间[Huawei-aaa]local-user test idle-timeout 6005、设备本地用户用于种类型的效劳[Huawei-aaa]local-user test service-type ?8021x 802.1x userbind Bind authentication userftp FTP useruserppp PPP userssh SSH usertelnet Telnet userterminal Terminal userweb Web authentication userx25-pad X25-pad user6、本地用户作为FTP使用时设置访问目录[Huawei-aaa]local-user test ftp-directory ？STRING<1-58>flash:flash:/7、设置本地用户状态[Huawei-aaa]local-user test state ?active Permit the user(s) to deal with the authen requestblock Forbid the user(s) to deal with the authen request 〔拒绝该用户认证请求〕8、设备本地用户访问时最接数〔缺省不限制〕[Huawei-aaa]local-user test access-limit 109、设置本地账号锁定功能〔连续登陆失败到达次数后锁定和解锁、重试等参数〕[Huawei-aaa]local-aaa-user wrong-password retry-interval 5〔重试时间间隔〕retry-time 3 〔连续认证失败的最大次数block-time 10〔账号被锁定时间〕10、修改账号密码<Huawei>local-user change-password三、配置业务案〔可选〕“业务案〞也是一种授权案，它是专门针对一些IP业务〔如管理员权限、DHCP效劳、DNS效劳、策略路由〕所进展的授权，也称为“业务授权案〞。

通常只需要使用admin-user privilege level 命令配置管理员用户的用户级别，其它命令只有在业务案被其他特性〔如IPSEC〕调用时才需要配置。

具体配置：1、创立一个业务案[Huawei-aaa]service-scheme test2、配置本地用户可作为管理员登陆设备并设置级别[Huawei-aaa-service-test]admin-user privilege level 153、设置业务案下使用的DHCP效劳器组〔仅7700及以上支持〕[Huawei-aaa-service-test]dhcp-server grpup test4、设置可用的DHCP IP地址池或移动已配置的地址的位置〔仅7700及以上支持〕[Huawei-aaa-service-test]ip-pool testpool move-to testpool25、设置业务案下的主用或备用DNS效劳器地址Huawei-aaa-service-test]dns 10.1.1.1 ?secondary Set secondary DNS server's IP address<cr>6、设置业务案下用户的策略路由功能〔仅7700及以上支持〕[Huawei]policy route 20.1.1.1〔下一跳IP地址〕5〔源路由vlan ID〕四、配置域的AAA案认证、授权案、业务案只有绑定域的AAA案中才能得到应用1、设置一个域的AAA案名〔缺省存在default和default_admin两个域〕[Huawei-aaa]domain testdomain2、绑定认证案[Huawei-aaa-domain-testdomain]authentication-scheme test3、绑定授权案[Huawei-aaa-domain-testdomain]authorization-scheme test4、绑定业务案[Huawei-aaa-domain-testdomain]service-scheme tese5、设置域的AAA案状态[Huawei-aaa-domain-testdomain]state ?active Activeblock Block6、设置域名分隔符〔缺省为〕[Huawei-aaa]domain-name-delimiter三、RADIUS式认证、授权、计费配置配置流程为：配置AAA案——配置radius效劳器模板——配置业务案——配置域的AAA案一、认证授权配置Radius中的认证和授权时同步进展的，只要是能其认证功能，也就是能了授权功能。