H3C交换机AAA安全访问控制与管理

H3C-5120交换机安全设置一、安全设置概述H3C-5120交换机是一种功能丰富且常用的网络设备，但在网络环境中，安全性是至关重要的。

本文档旨在提供关于H3C-5120交换机安全设置的详细指南，以确保网络的安全性和稳定性。

二、物理安全设置1. 安全的位置安装交换机：H3C-5120交换机应该被安装在物理上安全的位置，避免被未授权的人员操作或恶意存取。

2. 限制访问：交换机的机柜应该配备可靠的锁，只开放给授权人员，以确保物理访问的安全性。

三、管理安全设置1. 管理口安全：交换机的管理口应只开放给授权的管理人员，禁止其他用户访问。

2. 密码设置：对于管理员账户和特权模式账户，应设置强密码，并定期更换。

3. 远程访问控制：限制远程访问交换机的IP地址和登录方式，仅允许授权的主机和用户访问。

四、网络安全设置1. VLAN划分：使用VLAN划分将不同的网络隔离开来，以增加网络的安全性。

2. ACL设置：通过配置访问控制列表（ACL），限制对交换机的某些服务或端口的访问权限，防止未经授权的访问和攻击。

3. 网络隔离：为敏感数据和重要设备建立独立的网络，禁止普通访问，以增强网络的安全性。

4. 安全升级：定期检查和安装最新的固件升级，以修补已知的安全漏洞，确保交换机的安全性。

五、日志和监控设置1. 日志配置：启用交换机的日志功能，并设置合适的日志级别，以便追踪和分析安全事件和故障。

2. 告警设置：配置告警，以便在出现异常情况时及时通知管理员，以便采取相应的措施。

3. 安全监控：使用网络安全工具对交换机进行实时监控，以及时发现和阻止任何潜在的安全威胁。

六、更新和维护1. 定期备份：定期备份交换机的配置文件，以防止数据丢失或设备故障时进行恢复。

2. 系统更新：定期检查和更新交换机的操作系统，以确保安全补丁和功能更新的及时安装。

七、培训和教育1. 培训管理人员：对交换机安全设置进行培训，使其了解和掌握最佳实践。

2. 用户教育：对网络用户进行安全意识教育，包括密码安全、远程访问规范和网络行为规范等。

H3C交换机端口安全模式配置H3C交换机端口安全模式配置用户网络访问控制是我们在进行网络管理和网络设备配置时经常要用到一项网络技术应用。

其实在用户的网络访问控制方面，最直接、最简单的方法就是配置基于端口的安全模式，不仅Cisco交换机如此，H3C交换机也有类似的功能，而且看起来功能更加强大。

下面跟yjbys 店铺一起来学习一下H3C以太网交换机端口安全模式配置方法！在H3C以太网交换机上可配置的端口安全模式总体来说是可分为两大类：控制MAC地址学习类和认证类。

控制MAC地址学习类无需对接入用户进行认证，但是可以允许或者禁止自动学习指定用户MAC 地址，也就是允许或者禁止把对应MAC地址添加到本地交换机的MAC地址表中，通过这种方法就可以实现用户网络访问的控制。

认证类则是利用MAC地址认证或IEEE 802.1X认证机制，或者同时结合这两种认证来实现对接入用户的网络访问控制。

配置了安全模式的H3C以太网交换机端口，在收到用户发送数据报文后，首先在本地MAC地址表中查找对应用户的MAC地址。

如果该报文的源MAC地址已经在本地交换机中的MAC地址表中则直接转发该报文，否则根据端口所在安全模式进行相应的处理，并在发现非法报文后触发端口执行相应的安全防护特性。

在H3C以太网交换机中可配置的端口安全模式及各自的工作原理如下。

1. autoLearn模式与secure模式在autoLearn(自动学习)端口安全模式下，可通过手工配置，或动态学习MAC地址，此时得到的MAC地址称为Secure MAC(安全MAC地址)。

在这种模式下，只有源MAC为Secure MAC的报文才能通过该端口;但在端口下的Secure MAC地址表项数超过端口允许学习的最大安全MAC地址数后，该端口也不会再添加新的Secure MAC，并且端口会自动转变为Secure模式。

如果直接将端口安全模式设置为Secure模式，则将立即禁止端口学习新的MAC地址，只有源MAC地址是原来已在交换机上静态配置，或者已动态学习到的MAC地址的报文才能通过该端口转发。

交换机AAA详解1概述1.1AAAAAA是Authentication（认证）、Authorization（授权）和Accounting（计费）的简称，提供了认证、授权、计费三种安全功能。

这三种安全功能的具体作⽤如下：●认证：验证⽤户是否可以获得⽹络访问权。

●授权：授权⽤户可以使⽤哪些服务。

●计费：记录⽤户使⽤⽹络资源的情况⽤户可以只使⽤AAA提供的⼀种或两种安全服务。

例如，公司仅仅想让员⼯在访问某些特定资源的时候进⾏⾝份认证，那么⽹络管理员只要配置认证服务器即可。

但是若希望对员⼯使⽤⽹络的情况进⾏记录，那么还需要配置计费服务器。

如上所述，AAA是⼀种管理框架，它提供了授权部分⽤户去访问特定资源，同时可以记录这些⽤户操作⾏为的⼀种安全机制，因其具有良好的可扩展性，并且容易实现⽤户信息的集中管理⽽被⼴泛使⽤。

AAA可以通过多种协议来实现。

在实际应⽤中，最常使⽤RADIUS协议（UDP）和TACACS协议（TCP），华为和Cisco⼜有⾃⾝的协议：HWTACACS（华为）和TACACS+（Cisco）。

1）终端访问控制器的访问控制系统(TACACS)TACACS是⼀个远程认证协议，⽤作与认证服务器进⾏通信，通常使⽤在UNIX ⽹络中。

TACACS允许远程访问服务于认证服务通信，为了决定⽤户是否允许访问⽹络。

Unix后台是TACACSD，运⾏在49端⼝上，使⽤TCP。

2）TACACS+:TACACS+是为路由、⽹络访问服务和其它⽹络计算设备提供访问控制的协议，使⽤⼀个以上的中⼼服务器。

它使⽤TCP，提供单独认证、鉴权和审计服务，端⼝是49。

3）RADIUS：远程认证拨号⽤户服务是⼀个AAA应⽤协议，例如：⽹络认证或IP移动性。

后续章节中，我们会看到更多的RADIUS详情。

4）DIAMETERDiameter是计划替代RADIUS的⼀种协议。

2原理描述2.1基本构架AAA是采⽤“客户端/服务器”（C/S）结构，其中AAA客户端（也称⽹络接⼊服务器——NAS）就是使能了AAA功能的⽹络设备（可以是⽹络中任意⼀台设备，不⼀定是接⼊设备，⽽且可以在⽹络中多个设备上使能），⽽AAA服务器就是专门⽤来认证、授权和计费的服务器（可以由服务器主机配置，也可以有提供了对应服务器功能的⽹络设备上配置）如图2-1所⽰。

《CiscoH3C交换机高级配置与管理技术手册》阅读记录目录一、手册概述与读者背景 (2)二、手册内容结构概览 (2)2.1 手册章节概览 (3)2.2 关键知识点梳理 (5)三、第一章 (6)3.1 交换机基本概念及原理 (8)3.2 初始配置步骤与要点 (9)3.3 配置示例及解析 (10)四、第二章 (12)4.1 VLAN配置与管理 (13)4.2 链路聚合与负载均衡配置 (14)4.3 网络安全配置 (15)五、第三章 (17)5.1 交换机的日常管理与监控 (18)5.2 故障诊断与排除方法 (20)5.3 系统维护与升级流程 (21)六、第四章 (23)6.1 典型案例分析 (24)6.2 实践操作经验分享与心得交流区 (26)6.3 专家建议与行业前沿技术动态分享区 (27)一、手册概述与读者背景旨在帮助他们全面掌握H3C交换机的配置和管理技能。

本手册从基础到高级，通过详细的步骤和实例，涵盖了交换机的基本配置、接口设置、VLAN管理、路由协议、网络安全以及故障排查等多个方面。

本手册的目标读者主要是具备一定网络基础知识的工程师和技术支持人员。

他们熟悉网络基础概念，如OSI模型、TCPIP协议等，并且对交换机有一定的操作经验。

对于初学者，本手册将通过循序渐进的教学方式，逐步引导读者掌握交换机的配置和管理技巧。

而对于有一定经验的工程师，本手册将提供更深入的知识和技巧，帮助他们解决更复杂的网络问题。

《Cisco H3C交换机高级配置与管理技术手册》是一本实用性强的技术参考书，适合网络专业人士和高级技术人员使用，无论是新手还是资深工程师，都能从中获得宝贵的知识和经验。

二、手册内容结构概览本《Cisco H3C交换机高级配置与管理技术手册》旨在为读者提供一套完整的理论知识和实践技能，以便更好地理解和使用H3C交换机。

全书共分为五个部分，分别是：基础知识篇：主要介绍H3C交换机的基础知识，包括交换机的基本概念、硬件组成、接口类型、工作模式等内容，帮助读者建立起对H3C交换机的基本认识。

H3C网络设备AAA授权管理方案一、面临挑战禁止对网络设备的非法访问是网络安全的一项必要条件。

传统情况下，设备管理用户在访问网络设备前，需要先登录并在本地配置身份验证信息，只有拥有合法凭证的用户才能得到相应的访问授权，从而保证了网络的安全性。

然而当网络规模成倍扩张的时候，IT基础架构越来越庞大，网络设备的管理与维护也变得复杂化，对多个设备或网络服务进行多次认证与控制，增加了额外的工作成本。

这时就需要一个能够对整体网络做出统一认证与控制的服务平台，有效提高企业IT运维的工作效率及管理操作的安全性。

1、管理挑战：企业庞大的网络架构使得设备管理用户在繁杂的IT运维工作中存在多次重复认证过程，影响管理工作效率。

2、安全挑战：对设备管理用户的弱身份鉴别，以及在控制对其访问权限上的缺失或不力，会带来巨大的安全漏洞。

二、解决方案1. H3C网络设备AAA授权管理方案概述宁盾认证服务平台通过标准RADIUS协议，可实现H3C网络设备管理用户的统一身份认证，对其提出的认证请求、授权请求、审计请求做出响应，提供AAA 服务。

首先对设备管理用户的认证请求做出响应，验证其身份的合法性，并结合宁盾双因素认证，通过动态密码对账号进行双重保护；然后根据用户身份权限进行授权，控制用户的访问及操作行为；宁盾认证服务平台可全程跟踪用户行为动作，并出具详细的登录认证及操作行为日志报表，满足审计合规要求。

兼容的网络设备包括H3C交换机、路由器、防火墙及堡垒机、WAF等。

2. 网络拓扑3. 宁盾动态密码形式短信令牌：基于短信发送动态密码的形式手机令牌：基于时间的动态密码，由手机APP生成硬件令牌：基于时间的动态密码，由硬件生成三、方案价值①AAA授权管理：集成RADIUS协议，实现对H3C网络设备管理员实现统一认证、授权、日志审计，提升日常运维管理工作效率；②支持批量开户：支持对设备管理用户集中开户，可批量设定设备管理用户的登录密码、授权策略、失效时间、在线数量和权限提升密码；③与现有系统无缝集成：支持外部数据源，除AD、LDAP等标准帐号源外，还可以从客户自定义的系统中（OA、ERP、CRM）同步用户数据；④账号双重保护：支持通过短信令牌、硬件令牌、手机令牌等动态密码认证，提升设备运维账号密码强度，保护账号安全，避免定期修改密码；⑤风险账号隔离：通过设定账号认证登录规则，可以将自动猜测密码尝试恶意登陆设备的账号加入黑名单进行隔离；⑥访问授权策略：支持按场景分配授权策略，场景可以是设备位置区域、设备类型和接入时段的组合；支持基于角色的授权策略，包括权限级别、接入ACL、限制时长；⑦实名可审计：记录设备管理员的认证、授权及行为审计信息日志，并支持导出到文本文件中。

H3C交换机AAA配置一、RADIUS相关配置【必要命令】系统视图[H3C] dot1x注：启用dot1x认证[H3C] dot1x authentication-method eap注：设置dot1x认证方式为EAP[H3C] MAC-authentication注：启用MAC认证[H3C] radius scheme skylark注：新建RADIUS方案[H3C-radius-skylark] primary authentication 10.18.10.223 1812注：设置RADIUS认证服务器地址，默认端口1812[H3C-radius-skylark] primary accounting 10.18.10.223 1813 注：设置RADIUS审计服务器地址，默认端口1812[H3C-radius-skylark] key authentication skylark注：设置交换机与RADIUS认证服务器的通信密码[H3C-radius-skylark] key accounting skylark注：设置交换机与RADIUS审计服务器的通信密码[H3C-radius-skylark] user-name-format without-domain注：交换机发送给RADIUS服务器的用户名验证不带ISP域名[H3C-radius-skylark] nas-ip 10.18.10.254注：当交换机有多个IP时，指定与RADIUS服务器通讯所使用的IP地址[H3C] domain /doc/b65985264.html, 注：在交换机新建ISP域[/doc/b65985264.html,] scheme radius-scheme skylark local注：给ISP域指定验证的RADIUS方案[/doc/b65985264.html,] vlan-assignment-mode string注：设置RADIUS服务器发送的vlan数为字符串型[H3C] domain default enable /doc/b65985264.html,注：设置新建的ISP域为默认域，默认接入终端都通过RADIUS 服务器进行认证[H3C] MAC-authentication domain /doc/b65985264.html,注：指定MAC地址认证的ISP域[H3C] undo dot1x handshake enable注：关闭dot1x的认证握手，防止已认证端口失败端口视图-dot1x认证[H3C] interface Ethernet1/0/10注：进入端口视图（配置所有接入端口）[H3C-Ethernet1/0/10] port link-type access注：设置端口模式为access[H3C-Ethernet1/0/10] dot1x注：在端口上启用dot1x认证[H3C-Ethernet1/0/10] dot1x port-control auto注：自动识别端口的授权情况[H3C-Ethernet1/0/10] dot1x port-method portbased注：设置端口基于端口认证，当第一个用户认证成功后，其他用户无须认证；若该用户下线后，其他用户也会被拒绝访问[H3C-Ethernet1/0/10] dot1x guest-vlan 3注：设置guestvlan，只有该端口为基于端口认证时支持，基于端口认证时不支持端口视图-MAC认证[H3C] interface Ethernet1/0/11注：进入端口视图（配置所有接入端口）[H3C-Ethernet1/0/11] port link-type access注：设置端口模式为access[H3C-Ethernet1/0/11] MAC-authentication注：在端口上启用MAC认证[H3C-Ethernet1/0/11] MAC-authentication guest-vlan 3注：设置guestvlan，guestvlan只支持一个MAC认证用户接入【可选命令】dot1x认证[H3C] dot1x retry 2注：交换机向RADIUS服务器发送报文的重传次数[H3C] dot1x timer tx-period 2注：交换机向dot1x端口定期多长时间重发报文[H3C] dot1x timer supp-timeout 10注：交换机向客户端发送报文，客户端未回应，多长时间后重发[H3C] dot1x timer server-timeout 100注：交换机向RADIUS服务器发送报文，服务器未回应，多长时间后重发[H3C] dot1x timer reauth-period 7200注：设置重认证间隔检测时间[H3C-Ethernet1/0/10] dot1x re-authenticate注：开启端口重认证功能MAC认证[H3C] mac-authentication timer server-timeout 100注：设置MAC认证交换机等待RADIUS服务器的超时时间二、其他配置【必要命令】SNMP设置作用：收集交换机信息，进行交换机管理[H3C] snmp-agent community write skylark注：设置community密码，用于管理交换机，接收交换机相关信息[H3C] snmp-agent sys-info version all注：设置SNMP支持版本DHCP中继代理（在网关交换机上配置）作用：根据指定IP查找DHCP服务器位置（方法一）[H3C] dhcp-server 0 ip 10.18.10.223注：新建DHCP组，设置DHCP服务器地址[H3C] interface vlan 2注：进入vlan接口[H3C-interface-vlan2] dhcp-server 0注：配置DHCP中继代理，指向DHCP组（方法二）[H3C] dhcp enable注：开启DHCP功能[H3C] dhcp relay server-group 0 ip 10.18.10.223注：新建DHCP组，设置DHCP服务器地址[H3C] interface vlan 2注：进入vlan接口[H3C-interface-vlan2] dhcp select relay注：设置接口为中继模式[H3C-interface-vlan2] dhcp relay server-select 0注：配置DHCP中继代理，指向DHCP组【可选命令】DHCP SNOOPING作用：保证DHCP服务器合法性，并记录客户端IP和MAC对应关系[H3C] dhcp-snooping注：开启DHCP-SNOOPING安全特性[H3C] interface G1/0/1（某些支持vlan接口）注：进入端口模式（配置级联端口和连接DHCP服务器的端口为信任端口）[H3C-interface-GigabyteEthernet1/0/1] dhcp-snooping trust 注：设置该端口为信任端口，默认其它未设置端口则为不信任端口，丢弃不信任的DHCP报文IP SOURCE GUARD（配合DHCP-SNOOPING使用）作用：在接口上绑定DHCP-SNOOPING表项IP及MAC信息[H3C] interface E1/0/10（某些支持vlan接口）注：进入接口[H3C-interface-Ethernet1/0/10] ip check source ip-address mac-address注：动态绑定DHCP-SNOOPING表项，过滤掉其它非DHCP分配的终端数据相关命令display dhcp-snoopingdisplay ip check source注意：S3100SI不支持IP SOURCE GUARD绑定。

AAA配置与管理一、基础1、AAA是指：authentication（认证）、authorization（授权）、accounting（计费）的简称，是网络安全的一种管理机制；Authentication是本地认证/授权，authorization和accounting是由远处radius（远程拨号认证系统）服务或hwtacacs （华为终端访问控制系统）服务器完成认证/授权；AAA是基于用户进行认证、授权、计费的，而NAC方案是基于接入设备接口进行认证的。

在实际应用中，可以使用AAA的一种或两种服务。

2、AAA基本架构：C/S结构，AAA客户端（也叫NAS-网络接入服务器）是使能了aaa功能的网络设备（可以是一台或多台、不一定是接入设备）3、AAA基于域的用户管理：通过域来进行AAA用户管理，每个域下可以应用不同的认证、授权、计费以及radius或hwtacacs服务器模板，相当于对用户进行分类管理缺省情况下，设备存在配置名为default（全局缺省普通域）和default_admin（全局缺省管理域），均不能删除，只能修改，都属于本地认证；default为接入用户的缺省域，default_admin为管理员账号域（如http、ssh、telnet、terminal、ftp用户）的缺省域。

用户所属域是由域分隔符后的字符串来决定的，域分隔符可以是@、|、%等符号，如***************就表示属于huawei域，如果用户名不带@，就属于系统缺省default域。

自定义域可以被配置为全局缺省普通域或全局缺省管理域，但域下配置的授权信息较AAA服务器的授权信息优先级低，通常是两者配置的授权信息一致。

4、radius协议Radius通过认证授权来提供接入服务、通过计费来收集、记录用户对网络资源的使用。

定义UDP 1812、1813作为认证（授权）、计费端口Radius服务器维护三个数据库：Users:存储用户信息（用户名、口令、使用的协议、IP地址等）Clients:存储radius客户端信息（接入设备的共享密钥、IP地址）Dictionary：存储radius协议中的属性和属性值含义Radius客户端与radius服务器之间通过共享密钥来对传输数据加密，但共享密钥不通过网络来传输。

精心整理H3C交换机典型（ACL）访问控制列表配置实例一、组网需求：2．要求配置高级访问控制列表，禁止研发部门与技术支援部门之间互访，并限制研发部门在上班时间8:00至18:00访问工资查询服务器；3．通过二层访问控制列表，实现在每天8:00～18:00时间段内对源MAC为00e0-fc01-0101的报文进行过滤。

二、组网图：三、配置步骤：H3C360056005100系列交换机典型访问控制列表配置共用配置1．根据组网图，创建四个vlan，对应加入各个端口<H3C>system-view[H3C]vlan10[H3C-vlan10]portGigabitEthernet1/0/1[H3C-vlan10]vlan20[H3C-vlan20]portGigabitEthernet1/0/2[H3C-vlan20]vlan30[H3C-vlan30]portGigabitEthernet1/0/3[H3C-vlan30]vlan402[H3C-Vlan-interface40]quit3．定义时间段[H3C]time-rangehuawei8:00to18:00working-day 需求1配置（基本ACL配置）1．进入2000号的基本访问控制列表视图[H3C-GigabitEthernet1/0/1]aclnumber2000[H3C-acl-basic-2000]rule1denysource0time-rangeHuawei3．在接口上应用2000号ACL[H3C-acl-basic-2000]interfaceGigabitEthernet1/0/1[H3C-GigabitEthernet1/0/1]packet-filterinboundip-group2000[H3C-GigabitEthernet1/0/1]quit需求2配置（高级ACL配置）1234需求312[H3C-acl-ethernetframe-4000]rule1denysource00e0-fc01-0101ffff-ffff-fffftime-rangeHuawei 3．在接口上应用4000号ACL[H3C-acl-ethernetframe-4000]interfaceGigabitEthernet1/0/4[H3C-GigabitEthernet1/0/4]packet-filterinboundlink-group40002H3C5500-SI36105510系列交换机典型访问控制列表配置需求2配置1．进入3000号的高级访问控制列表视图[H3C]aclnumber30002．定义访问规则禁止研发部门与技术支援部门之间互访[H3C-acl-adv-3000]rule1denyipsourcedestination3．定义访问规则禁止研发部门在上班时间8:00至18:00访问工资查询服务器[H3C-acl-adv-3000]rule2denyipsourceanydestinationtime-rangeHuawei4567[H3C]interfaceg1/1/2[H3C-GigabitEthernet1/1/2]qosapplypolicyabcinbound8．补充说明：lacl只是用来区分数据流，permit与deny由filter确定；l如果一个端口同时有permit和deny的数据流，需要分别定义流分类和流行为，并在同一QoS策略中进行关联；lQoS策略会按照配置顺序将报文和classifier相匹配，当报文和某一个classifier匹配后，执行该classifier所对应的behavior，然后策略执行就结束了，不会再匹配剩下的classifier；l将QoS策略应用到端口后，系统不允许对应修改义流分类、流行为以及QoS策略，直至取消下发。

H3C_AC常用配置操作说明1.连接H3C_AC：首先，需要通过网线将H3C_AC与交换机或路由器相连，确保网络连接正常。

然后，在浏览器中输入H3C_AC的管理IP地址，打开管理界面。

2.配置基本信息：登录管理界面后，需要配置H3C_AC的基本信息，包括设置登录密码、管理IP地址、子网掩码、默认网关等。

这些基本信息是保证H3C_AC正常工作的基础。

3.配置接入点（AP）：H3C_AC用于管理和控制AP的工作，因此需要对AP进行配置。

可以添加AP到H3C_AC中，设置AP的基本信息，例如AP的名称、MAC地址、IP地址等。

还可以为AP设置无线网络的参数，如无线信道、传输功率、SSID等。

4.配置无线网络：在H3C_AC中，可以创建多个无线网络，并设置它们的参数。

可以设置无线网络的名称（SSID）、加密方式（如WEP、WPA、WPA2等）、认证方式（如802.1X、MAC地址认证等）、用户接入限制（如最大连接数、连接时间限制等）等。

5.配置用户接入策略：H3C_AC允许管理员对用户进行接入策略的配置。

可以根据用户的身份或MAC地址，设置不同的接入策略。

例如，可以为教职工设置高级别的安全认证方式，而为访客设置较低级别的认证方式。

6.配置网络服务：H3C_AC支持多种网络服务的配置，如DHCP服务器、RADIUS服务器、FTP服务器等。

管理员可以根据实际需求，配置相应的网络服务参数，以便提供更多的网络功能和服务。

7.监控和管理：H3C_AC提供了丰富的监控和管理功能，可以实时监控和管理无线网络的状态和性能。

管理员可以查看AP和用户的连接状态，监控无线信号强度、流量、会话等信息。

还可以进行日志管理、告警配置、固件升级等操作。

8.安全设置：H3C_AC提供了多种安全设置选项，以确保无线网络的安全性。

管理员可以设置防火墙策略、访问控制列表（ACL）、入侵检测和预防（IDS/IPS）等功能，以防止恶意攻击和未经授权的访问。

1.13 AAA典型配置(pèizhì)举例1.13.1 SSH用户(yònghù)的RADIUS认证和授权(shòuquán)配置1. 组网需求(xūqiú)如图1-12所示，SSH用户主机与Router直接相连，Router与一台RADIUS服务器相连，需要实现使用RADIUS服务器对登录Router的SSH用户进行认证和授权。

•由一台iMC服务器（IP地址为10.1.1.1/24）担当认证/授权RADIUS 服务器的职责；• Router与RADIUS服务器交互报文时使用的共享密钥为expert，认证/授权、计费的端口号分别为1812和1813；• Router向RADIUS服务器发送的用户名携带域名；• SSH用户登录Router时使用RADIUS服务器上配置的用户名hello@bbb以及密码进行认证，认证通过后具有缺省的用户角色network-operator。

2. 组网图图1-12 SSH用户RADIUS认证/授权配置组网图3. 配置步骤(1) 配置RADIUS服务器（iMC PLAT 5.0）下面以iMC为例（使用iMC版本为：iMC PLAT 5.0(E0101)、iMC UAM5.0(E0101)），说明RADIUS服务器的基本配置。

# 增加接入设备。

登录进入iMC管理平台，选择“业务”页签，单击导航树中的[接入业务/接入设备管理/接入设备配置]菜单项，进入接入设备配置页面，在该页面中单击“增加”按钮，进入增加接入设备页面。

•设置与Router交互报文时使用的认证、计费共享密钥为“expert”；•设置认证及计费的端口号分别为“1812”和“1813”；•选择业务类型为“设备管理业务”；•选择(xuǎnzé)接入设备类型为“H3C”；•选择或手工增加(zēngjiā)接入设备，添加IP地址(dìzhǐ)为10.1.1.2的接入设备(shèbèi)；•其它参数采用缺省值，并单击<确定>按钮完成操作。

H 3 C 交换机典型（ACL ） 访问控制列表配置实例一、组网需求：2 •要求配置高级访问控制列表，禁止研发部门与技术支援部门之间互访，并限制研发部门在上班时间至18:00访问工资查询服务器；3 .通过二层访问控制列表， 实现在每天8:00〜18:00时间段内对源 MAC 为00e0-fc01-0101 、组网图亠10.1.3.0/24$ 管理部门 三、配置步骤：H3C5100系列交换机典型访问控制列表配置共用配置1. 根据组网图，创建四个 vlan ，对应加入各个端口<H3C>system-view[H3C]vla n10 1Q.1 .2 0/24 硏按部门 10,K1.0^410.1.4.2D0e0-f?0l-0303G1/0/2vm ZCG1/OA3YLMT 30技禾支援部门Gl/0/1 VIAH 8:00 的报文进行过滤。

脚本之家UUUJ UJ. 1 .NET[H3C-vla n10]portGigabitEthernet1/0/1 [H3C-vlan10]vlan20 [H3C-vlan20]portGigabitEthernet1/0/2[H3C-vlan20]vlan30 [H3C-vlan30]portGigabitEthernet1/0/3[H3C-vlan30]vlan40[H3C-vlan40]portGigabitEthernet1/0/4[H3C-vlan40]quit2．配置各VLAN 虚接口地址[H3C]interfacevlan10[H3C-Vlan-interface10]ipaddress24[H3C-Vlan-interface10]quit[H3C]interfacevlan20[H3C-Vlan-interface20]ipaddress24[H3C-Vlan-interface20]quit[H3C]interfacevlan30[H3C-Vlan-interface30]ipaddress24[H3C-Vlan-interface30]quit[H3C]interfacevlan40[H3C-Vlan-interface40]ipaddress24[H3C-Vlan-interface40]quit3．定义时间段[H3C]time-rangehuawei8:00to18:00working-day 需求1 配置（基本ACL 配置）1．进入2000 号的基本访问控制列表视图[H3C-GigabitEthernet1/0/1]aclnumber2000 [H3C-acl-basic-2000]rule1denysource0time-rangeHuawei 3．在接口上应用2000 号ACL[H3C-acl-basic-2000]interfaceGigabitEthernet1/0/1[H3C-GigabitEthernet1/0/1]packet-filterinboundip-group2000 [H3C-GigabitEthernet1/0/1]quit需求 2 配置（高级ACL 配置）1．进入3000 号的高级访问控制列表视图[H3C]aclnumber3000 2．定义访问规则禁止研发部门与技术支援部门之间互访[H3C-acl-adv-3000]rule1denyipsourcedestination 3．定义访问规则禁止研发部门在上班时间8:00 至18:00 访问工资查询服务器[H3C-acl-adv-3000]rule2denyipsourceanydestinationtime-rangeHuawei [H3C-acl-adv-3000]quit4．在接口上用3000 号ACL [H3C-acl-adv-3000]interfaceGigabitEthernet1/0/2 [H3C-GigabitEthernet1/0/2]packet-filterinboundip-group3000 需求3 配置（二层ACL 配置）1．进入4000 号的二层访问控制列表视图[H3C]aclnumber40002 .定义访问规则过滤源MAC为OOeO-fcO1-O1O1的报文[H3C-acl-ethernetframe-4000]rule1denysource00e0-fc01-0101ffff-ffff-fffftime-rangeHuawei3.在接口上应用4000 号ACL [H3C-acl-ethernetframe-4000]interfaceGigabitEthernet1/0/4 [H3C-GigabitEthernet1/0/4]packet-filterinboundlink-group40002H3C5500-SI 系列交换机典型访问控制列表配置需求 2 配置1 .进入3000 号的高级访问控制列表视图[H3C]aclnumber30002. 定义访问规则禁止研发部门与技术支援部门之间互访[H3C-acl-adv-3000]rule1denyipsourcedestination3．定义访问规则禁止研发部门在上班时间8:00 至18:00 访问工资查询服务器[H3C-acl-adv-3000]rule2denyipsourceanydestinationtime-rangeHuawei[H3C-acl-adv-3000]quit4．定义流分类[H3C]trafficclassifierabc[H3C-classifier-abc]if-matchacl3000[H3C-classifier-abc]quit5．定义流行为，确定禁止符合流分类的报文[H3C]trafficbehaviorabc[H3C-behavior-abc]filterdeny[H3C-behavior-abc]quit6．定义Qos 策略，将流分类和流行为进行关联[H3C]qospolicyabc[H3C-qospolicy-abc]classifierabcbehaviorabc[H3C-qospolicy-abc]quit7．在端口下发Qospolicy[H3C]interfaceg1/1/2[H3C-GigabitEthernet1/1/2]qosapplypolicyabcinbound8．补充说明：lacl 只是用来区分数据流，permit 与deny 由filter 确定；l 如果一个端口同时有permit 和deny 的数据流，需要分别定义流分类和流行为，并在同一QoS 策略中进行关联；lQoS 策略会按照配置顺序将报文和classifier 相匹配，当报文和某一个classifier 匹配后，执行该classifier 所对应的behavior ，然后策略执行就结束了，不会再匹配剩下的classifier ；l将QoS策略应用到端口后，系统不允许对应修改义流分类、流行为以及QoS 策略，直至取消下发。

网络安全之‎——ACL(访问控制列‎表)【实验目的】1、掌握基本A‎C L的原理‎及配置方法‎。

2、熟悉高级A‎C L的应用‎场合并灵活‎运用。

【实验环境】H3C三层‎交换机1台‎，PC 3台，标准网线3‎根。

【引入案例1】某公司建设‎了Intr‎a net，划分为经理‎办公室、档案室、网络中心、财务部、研发部、市场部等多‎个部门，各部门之间‎通过三层交‎换机（或路由器）互联，并接入互联‎网。

自从网络建‎成后麻烦不‎断，一会儿有人‎试图偷看档‎案室的文件‎或者登录网‎络中心的设‎备捣乱，一会儿财务‎部抱怨研发‎部的人看了‎不该看的数‎据，一会儿领导‎抱怨员工上‎班时候整天‎偷偷泡网，等等。

有什么办法‎能够解决这‎些问题呢？【案例分析】网络应用与‎互联网的普‎及在大幅提‎高企业的生‎产经营效率‎的同时也带‎来了许多负‎面影响，例如，数据的安全‎性、员工经常利‎用互联网做‎些与工作不‎相干的事等‎等。

一方面，为了业务的‎发展，必须允许合‎法访问网络‎，另一方面，又必须确保‎企业数据和‎资源尽可能‎安全，控制非法访‎问，尽可能的降‎低网络所带‎来的负面影‎响，这就成了摆‎在网络管理‎员面前的一‎个重要课题‎。

网络安全采‎用的技术很‎多，通过ACL‎（Acces‎s Contr‎o l List，访问控制列‎表）对数据包进‎行过滤，实现访问控‎制，是实现基本‎网络安全的‎手段之一。

【基本原理】ACL是依‎据数据特征‎实施通过或‎阻止决定的‎过程控制方‎法，是包过滤防‎火墙的一种‎重要实现方‎式。

ACL是在‎网络设备中‎定义的一个‎列表，由一系列的‎匹配规则（rule）组成，这些规则包‎含了数据包‎的一些特征‎，比如源地址‎、目的地址、协议类型以‎及端口号等‎信息，并预先设定‎了相应的策‎略——允许（permi‎n t）或禁止（Deny）数据包通过‎。

基于ACL‎的包过滤防‎火墙通常配‎置在路由器‎的端口上，并且具有方‎向性。

H3C三层交换机安全配置规范4.1管理平面安全配置4.1.1管理口防护4.1.1.1关闭未使用的管理口项目编号NOMD-2013-SC-H3C(L3SW)-01-01-01-v1配置说明设备应关闭未使用的管理口（AUX、或者没开启业务的端口）。

重要等级高配置指南1、参考配置操作#interface Ten-GigabitEthernet0/1 //进入端口视图shutdown //执行shutdown命令，关闭端口#检测方法及判定依据1、符合性判定依据端口关闭，不能使用。

2、参考检测方法通过网线或光纤（视具体接口不同），将此端口与PC或其他设备未关闭的端口互连，该端口指示灯灭，且PC或其他设备没有网卡UP的提示信息。

备注4.1.1.2配置console口密码保护项目编号NOMD-2013-SC-H3C(L3SW)-01-01-02-v1配置说明设备应配置console口密码保护重要等级高配置指南1、参考配置操作[H3C]user-interface console 0[ H3C-ui-console0] authentication-mode password[ H3C-ui-console0] set authentication password cipher xxxxxxxx检测方法及判定依据1、符合性判定依据通过console口，只有输入正确密码才能进入配置试图2、参考检测方法PC用Console线连接设备Console口，通过超级终端等配置软件，在进入设备配置视图时，提示要求输入密码。

备注4.1.2账号与口令4.1.2.1避免共享账号项目编号NOMD-2013-SC-H3C(L3SW)-01-02-01-v1配置说明应对不同的用户分配不同的账号，避免不同用户间账号共享。

重要等级中配置指南1、参考配置操作local-user user1service-type telnetuser privilede level 2#local-user user2service-type ftpuser privilede level 3#2、补充操作说明1、user1和user2是两个不同的账号名称，可根据不同用户，取不同的名称，建议使用：姓名的简写＋手机号码；2、避免使用h3c、admin等简单易猜的账号名称；检测方法及判定依据1、符合性判定依据各账号都可以正常使用，不同用户有不同的账号。

H3C交换机路由器配置总结H3C交换机路由器配置总结1、硬件配置1.1 交换机硬件组成1.2 路由器硬件组成2、基本配置步骤2.1 连接网络设备2.2 设置管理口IP地质2.3 启用SSH远程登录2.4 设置登录密码2.5 配置设备名称2.6 配置时钟同步3、VLAN配置3.1 创建VLAN3.2 分配端口到VLAN3.3 VLAN间互通4、路由配置4.1 配置静态路由4.2 配置动态路由4.3 路由红istribution配置4.4 路由策略配置5、交换机配置5.1 配置端口基本属性5.2 配置VLAN接口5.3 配置链路聚合5.4 配置IGMP Snooping6、安全配置6.1 AAA认证配置6.2 VLAN间隔离6.3 端口安全配置7、高可用性配置7.1 VRRP(HSRP)配置7.2 GLBP配置7.3 OSPF多路径配置8、服务质量(QoS)配置8.1 配置流量控制8.2 配置优先级8.3 配置带宽限制9、网络监控和管理9.1 配置SNMP9.2 配置NetFlow9.3 配置Syslog附件：本文档涉及的附件包括配置文件样例、示意图等。

法律名词及注释：- VLAN（Virtual Local Area Network）：虚拟局域网，将一个局域网划分成多个逻辑上的小型局域网。

- SSH（Secure Shell）：一种加密的网络协议，用于通过不安全的网络提供安全的远程访问服务。

- IP（Internet Protocol）：互联网协议，规定了数据在网络中的传输方式和格式。

- AAA（Authentication, Authorization, and Accounting）：认证、授权和计费，用于访问控制和用户认证管理。

- IGMP Snooping（Internet Group Management Protocol Snooping）：通过监听IGMP报文来学习和维护组播组成员的表项，以提高网络性能和安全性。