华为交换机AAA配置与管理

Quidway NetEngine40E操作手册-安全分册目录目录1 AAA及用户管理配置.................................................................................................................1-11.1 简介..............................................................................................................................................................1-21.1.1 AAA简介............................................................................................................................................1-21.1.2 RADIUS协议简介..............................................................................................................................1-31.1.3 HWTACACS协议简介......................................................................................................................1-51.1.4 基于域的用户管理简介.....................................................................................................................1-51.1.5 本地用户管理简介.............................................................................................................................1-61.2 配置AAA....................................................................................................................................................1-61.2.1 建立配置任务.....................................................................................................................................1-61.2.2 配置认证方案.....................................................................................................................................1-81.2.3 配置授权方案.....................................................................................................................................1-81.2.4 配置计费方案.....................................................................................................................................1-81.2.5 配置记录方案.....................................................................................................................................1-91.2.6 配置为用户分配IP地址...................................................................................................................1-91.2.7 在用户端配置接口IP地址为可协商.............................................................................................1-101.2.8 检查配置结果...................................................................................................................................1-101.3 配置RADIUS服务器...............................................................................................................................1-111.3.1 建立配置任务...................................................................................................................................1-111.3.2 创建RADIUS服务器模板..............................................................................................................1-121.3.3 配置RADIUS认证服务器..............................................................................................................1-121.3.4 配置RADIUS计费服务器..............................................................................................................1-131.3.5 配置RADIUS服务器的协议版本..................................................................................................1-131.3.6 配置RADIUS服务器的密钥..........................................................................................................1-131.3.7 配置RADIUS服务器的用户名格式..............................................................................................1-131.3.8 配置RADIUS服务器的流量单位..................................................................................................1-141.3.9 配置RADIUS服务器的重传参数..................................................................................................1-141.3.10 配置RADIUS服务器的NAS端口..............................................................................................1-141.3.11 检查配置结果.................................................................................................................................1-151.4 配置HWTACACS服务器........................................................................................................................1-151.4.1 建立配置任务...................................................................................................................................1-15目录Quidway NetEngine40E操作手册-安全分册1.4.2 创建HWTACACS服务器模板.......................................................................................................1-16 1.4.3 配置HWTACACS认证服务器.......................................................................................................1-16 1.4.4 配置HWTACACS授权服务器.......................................................................................................1-17 1.4.5 配置HWTACACS计费服务器.......................................................................................................1-17 1.4.6 配置HWTACACS服务器的源IP地址.........................................................................................1-17 1.4.7 配置HWTACACS服务器的密钥...................................................................................................1-18 1.4.8 配置HWTACACS服务器的用户名格式.......................................................................................1-18 1.4.9 配置HWTACACS服务器的流量单位...........................................................................................1-18 1.4.10 配置HWTACACS服务器的定时器.............................................................................................1-18 1.4.11 检查配置结果.................................................................................................................................1-191.5 配置域........................................................................................................................................................1-191.5.1 建立配置任务...................................................................................................................................1-191.5.2 创建域..............................................................................................................................................1-201.5.3 配置域的认证、授权和计费方案...................................................................................................1-201.5.4 配置域的RADIUS服务器模板......................................................................................................1-201.5.5 配置域的HWTACACS服务器模板...............................................................................................1-211.5.6 配置域的地址相关属性...................................................................................................................1-211.5.7 配置域的状态...................................................................................................................................1-211.5.8 配置域允许的最大接入用户数.......................................................................................................1-221.5.9 检查配置结果...................................................................................................................................1-22 1.6 配置单独本地用户管理............................................................................................................................1-221.6.1 建立配置任务...................................................................................................................................1-221.6.2 创建本地用户帐号...........................................................................................................................1-231.6.3 配置本地用户的服务类型...............................................................................................................1-231.6.4 配置本地用户的FTP目录权限......................................................................................................1-241.6.5 配置本地用户的状态.......................................................................................................................1-241.6.6 配置本地用户的优先级...................................................................................................................1-241.6.7 配置本地用户的接入限制...............................................................................................................1-241.6.8 检查配置结果...................................................................................................................................1-25 1.7 维护............................................................................................................................................................1-251.7.1 清除HWTACACS服务器的统计信息...........................................................................................1-251.7.2 调试RADIUS或HWTACACS服务器..........................................................................................1-25 1.8 AAA及用户管理典型配置举例................................................................................................................1-261.8.1 采用RADIUS协议认证和计费......................................................................................................1-261.8.2 对用户采用本地和HWTACACS认证、HWTACACS授权和进行实时计费............................1-291.8.3 采用RADIUS协议对Telnet用户的认证......................................................................................1-33 1.9 AAA及用户管理故障诊断与排除............................................................................................................1-351.9.1 用户本地认证总被拒绝...................................................................................................................1-361.9.2 用户RADIUS认证总被拒绝..........................................................................................................1-36Quidway NetEngine40E操作手册-安全分册目录1.9.3 未配置认证却对用户进行认证.......................................................................................................1-371.9.4 Telnet用户通过RADIUS认证后不能进入系统视图....................................................................1-37插图目录Quidway NetEngine40E 操作手册-安全分册插图目录图1-1 RADIUS客户端与服务器间的消息流程..............................................................................................1-3图1-2 RADIUS消息结构..................................................................................................................................1-4图1-3 AAA示例组网图..................................................................................................................................1-27图1-4 对用户使用本地和HWTACACS认证、HWTACACS授权和进行实时计费................................1-30图1-5 采用Radius协议对telnet用户的认证...............................................................................................1-33操作手册-安全分册表格目录表格目录表1-1 HWTACACS协议与RADIUS协议的比较..........................................................................................1-5操作手册-安全分册 1AAA及用户管理配置1 AAA及用户管理配置关于本章本章描述内容如下表所示。

一．准备网口转串口线（母头），串口（公头）转USB线，光转电模块，PC机，IPOP软件IPO 4.1.EXE二．连接将交换机consle口与电脑连接好之后，打开IPOP软件后，点击终端工具使用COM口进行连接操作，在管理里查看COM端口，三．配置1.配置交换机Telne验证方式为AAA认证<s5700>sys[s5700] user-interface vty 0 4[s5700-ui-vty0-4] authentication-mode aaa[s5700-ui-vty0-4] quit2.配置Telnet登录用户参数，用户名、密码、用户级别。

配置用户名为admin，密码也为xinwei@123，用户级别为15级（最高级别）[s5700] aaa[s5700-aaa] local-user admin password cipher xinwei@123[s5700-aaa] local-user admin privilege level 15[s5700-aaa] local-user admin service-type telnet[s5700-aaa]q<s3700>save3．添加VLAN[s5700] vlan 2[s5700-vlan2] quit4.设定端口模式并将端口与vlan做映射[s5700]interface Ethernet0/0/1Access模式[s5700- GigabitEthernet0/0/1 ]port link-type access[s5700- GigabitEthernet0/0/1] port default vlan 2[s5700- GigabitEthernet0/0/1] description To_xiuyingTrunk模式[s5700- GigabitEthernet0/0/1] port link-type trunk[s5700- GigabitEthernet0/0/1] port trunk allow-pass vlan 2[s5700- GigabitEthernet0/0/1] description To_xiuying[s5700-GigabitEthernet0/0/1]quit5．给VLAN添加IP[s5700]interface vlanif 2[s5700-Vlanif2]ip address 192.168.0.253[s5700-Vlanif2] description To_xiuying 可根据具体情况进行说明6．查看交换机配置[s5700]dis cu7．Telnet连接通过光转电模块用网线将PC与配置好的VLAN端口连接，电脑IP配成与VLAN网关同网段下。

AAA原理与配置概述 AAA是Authentication（认证）、Authorization（授权）和Accounting（计费）的简称，它提供了认证、授权、计费三种安全功能。

AAA可以通过多种协议来实现，⽬前华为设备⽀持基于RADIUS（Remote Authentication Dial-In User Service）协议或HWTACACS（Huawei Terminal Access Controller Access Control System）协议来实现AAA。

应⽤场景例如，企业总部需要对服务器的资源访问进⾏控制，只有通过认证的⽤户才能访问特定的资源，并对⽤户使⽤资源的情况进⾏记录。

NAS为⽹络接⼊服务器，负责集中收集和管理⽤户的访问请求。

AAA服务器表⽰远端的Radius 或 HWTACACS服务器，负责制定认证、授权和计费⽅案。

认证⽅式AAA有三种认证⽅式：不认证：完全信任⽤户，不对⽤户⾝份进⾏合法性检查。

本地认证：将本地⽤户信息（包括⽤户名、密码和各种属性）配置在NAS上。

缺省为本地认证。

远端认证：将⽤户信息（包括⽤户名、密码和各种属性）配置在认证服务器上。

注：如果⼀个认证⽅案采⽤多种认证⽅式，这些认证⽅式按配置顺序⽣效。

授权⽅式AAA⽀持以下三种授权⽅式：不授权：不对⽤户进⾏授权处理。

本地授权：根据NAS上配置的本地⽤户账号的相关属性进⾏授权。

远端授权：　1. HWTACACS授权，使⽤TACACS服务器对⽤户授权。

2. RADIUS授权，对通过RADIUS服务器认证的⽤户授权。

RADIUS协议的认证和授权是绑定在⼀起的，不能单独使⽤RADIUS进⾏授权。

计费⽅式AAA⽀持以下两种计费⽅式：不计费：为⽤户提供免费上⽹服务，不产⽣相关活动⽇志。

远端计费：通过RADIUS服务器或HWTACACS服务器进⾏远端计费。

AAA域 设备基于域来对⽤户进⾏管理，每个域都可以配置不同的认证、授权和计费⽅案，⽤于对该域下的⽤户进⾏认证、授权和计费。

01-A A A命令目?录1AAA配置命令1.1AAA配置命令authorizationdefaultauthorizationloginauthorization-attributeauthorization-attributeuser-profilebind-attributecutconnectiondisplayconnectiondisplaydomaindisplaylocal-userdisplayuser-groupdomaindomaindefaultenableexpiration-dategroupidle-cutenablelocal-userlocal-userpassword-display-modenas-idbindvlanpasswordself-service-urlenableservice-typestateuser-group2RADIUS配置命令2.1RADIUS配置命令2.1.4attribute25carnas-ip(RADIUSschemeview)primaryaccounting(RADIUSschemeview)primaryauthentication(RADIUSschemeview)radiusclientradiusnas-ipradiusschemeradiustrapresetradiusstatisticsresetstop-accounting-bufferretryretryrealtime-accountingretrystop-accounting(RADIUSschemeview)secondaryaccounting(RADIUSschemeview)secondaryauthentication(RADIUSschemeview) security-policy-serverserver-typestatestop-accounting-bufferenable(RADIUSschemeview) timerquiet(RADIUSschemeview)timerrealtime-accounting(RADIUSschemeview) timerresponse-timeout(RADIUSschemeview)user-name-format(RADIUSschemeview)1AAA配置命令1.1?AAA配置命令【命令】aaanas-idprofile profile-nameundoaaanas-idprofile profile-name【视图】系统视图【缺省级别】2：系统级【参数】profile-name：保存NAS-ID与VLAN绑定关系的Profile名称，为1～16个字符的字符串，不区分大小写。

AAA配置与管理一、基础1、AAA是指：authentication（认证）、authorization（授权）、accounting（计费）的简称，是网络安全的一种管理机制；Authentication是本地认证/授权，authorization和accounting是由远处radius（远程拨号认证系统）服务或hwtacacs（华为终端访问控制系统）服务器完成认证/授权；AAA是基于用户进行认证、授权、计费的，而NAC 方案是基于接入设备接口进行认证的。

在实际应用中，可以使用AAA的一种或两种服务。

2、AAA基本架构：C/S结构，AAA客户端（也叫NAS-网络接入服务器）是使能了aaa功能的网络设备（可以是一台或多台、不一定是接入设备）3、AAA基于域的用户管理：通过域来进行AAA用户管理，每个域下可以应用不同的认证、授权、计费以及radius或hwtacacs服务器模板，相当于对用户进行分类管理缺省情况下，设备存在配置名为default（全局缺省普通域）和default_admin（全局缺省管理域），均不能删除，只能修改，都属于本地认证；default为接入用户的缺省域，default_admin为管理员账号域（如http、ssh、telnet、terminal、ftp用户）的缺省域。

用户所属域是由域分隔符后的字符串来决定的，域分隔符可以是@、|、%等符号，如user@就表示属于huawei域，如果用户名不带@，就属于系统缺省default域。

自定义域可以被配置为全局缺省普通域或全局缺省管理域，但域下配置的授权信息较AAA服务器的授权信息优先级低，通常是两者配置的授权信息一致。

4、radius协议Radius通过认证授权来提供接入服务、通过计费来收集、记录用户对网络资源的使用。

定义UDP 1812、1813作为认证（授权）、计费端口Radius服务器维护三个数据库：Users:存储用户信息（用户名、口令、使用的协议、IP地址等）Clients:存储radius客户端信息（接入设备的共享密钥、IP地址）Dictionary：存储radius协议中的属性和属性值含义Radius客户端与radius服务器之间通过共享密钥来对传输数据加密，但共享密钥不通过网络来传输。

1概述1.1AAAAAA是Authentication（认证）、Authorization（授权）和Accounting（计费）的简称，提供了认证、授权、计费三种安全功能。

这三种安全功能的具体作用如下：●认证：验证用户是否可以获得网络访问权。

●授权：授权用户可以使用哪些服务。

●计费：记录用户使用网络资源的情况用户可以只使用AAA提供的一种或两种安全服务。

例如，公司仅仅想让员工在访问某些特定资源的时候进行身份认证，那么网络管理员只要配置认证服务器即可。

但是若希望对员工使用网络的情况进行记录，那么还需要配置计费服务器。

如上所述，AAA是一种管理框架，它提供了授权部分用户去访问特定资源，同时可以记录这些用户操作行为的一种安全机制，因其具有良好的可扩展性，并且容易实现用户信息的集中管理而被广泛使用。

AAA可以通过多种协议来实现。

在实际应用中，最常使用RADIUS协议（UDP）和TACACS协议（TCP），华为和Cisco又有自身的协议：HWTACACS（华为）和TACACS+（Cisco）。

1）终端访问控制器的访问控制系统(TACACS)TACACS是一个远程认证协议，用作与认证服务器进行通信，通常使用在UNIX 网络中。

TACACS允许远程访问服务于认证服务通信，为了决定用户是否允许访问网络。

Unix后台是TACACSD，运行在49端口上，使用TCP。

2）TACACS+:TACACS+是为路由、网络访问服务和其它网络计算设备提供访问控制的协议，使用一个以上的中心服务器。

它使用TCP，提供单独认证、鉴权和审计服务，端口是49。

3）RADIUS：远程认证拨号用户服务是一个AAA应用协议，例如：网络认证或IP移动性。

后续章节中，我们会看到更多的RADIUS详情。

4）DIAMETERDiameter是计划替代RADIUS的一种协议。

2原理描述2.1基本构架AAA是采用“客户端/服务器”（C/S）结构，其中AAA客户端（也称网络接入服务器——NAS）就是使能了AAA功能的网络设备（可以是网络中任意一台设备，不一定是接入设备，而且可以在网络中多个设备上使能），而AAA服务器就是专门用来认证、授权和计费的服务器（可以由服务器主机配置，也可以有提供了对应服务器功能的网络设备上配置）如图2-1所示。

华为AAA认证详解及配置⼀、AAA的基本架构AAA 通常采⽤“客户端—服务器”结构。

这种结构既具有良好的可扩展性，⼜便于集中管理⽤户信息。

如图1所⽰。

图 1 AAA 的基本构架⽰意图认证：不认证：对⽤户⾮常信任，不对其进⾏合法检查，⼀般情况下不采⽤这种⽅式。

本地认证：将⽤户信息配置在⽹络接⼊服务器上。

本地认证的优点是速度快，可以为运营降低成本，缺点是存储信息量受设备硬件条件限制。

远端认证：将⽤户信息配置在认证服务器上。

⽀持通过 RADIUS（Remote Authentication Dial In User Service）协议或HWTACACS（HuaWei Terminal Access Controller Access Control System）协议进⾏远端认证。

授权： AAA ⽀持以下授权⽅式：不授权：不对⽤户进⾏授权处理。

本地授权：根据⽹络接⼊服务器为本地⽤户账号配置的相关属性进⾏授权。

HWTACACS 授权：由 HWTACACS 服务器对⽤户进⾏授权。

if-authenticated 授权：如果⽤户通过了认证，⽽且使⽤的认证模式是本地或远端认证，则⽤户授权通过。

RADIUS 认证成功后授权：RADIUS 协议的认证和授权是绑定在⼀起的，不能单独使⽤ RADIUS 进⾏授权。

计费：AAA ⽀持以下计费⽅式：不计费：不对⽤户计费。

远端计费：⽀持通过 RADIUS 服务器或 HWTACACS 服务器进⾏远端计费。

⼆、RADIUS协议远程认证拨号⽤户服务 RADIUS（Remote Authentication Dial-In User Service）是⼀种分布式的、客户端/服务器结构的信息交互协议，能保护⽹络不受未授权访问的⼲扰，常应⽤在既要求较⾼安全性、⼜允许远程⽤户访问的各种⽹络环境中。

该协议定义了基于UDP 的 RADIUS 帧格式及其消息传输机制，并规定 UDP 端⼝ 1812、1813 分别作为认证、计费端⼝。

华为交换机AAA配置与管理AAA配置与管理一、基础1、AAA是指：authentication（认证）、authorization（授权）、accounting（计费）的简称，是网络安全的一种管理机制；Authentication是本地认证/授权，authorization和accounting是由远处radius（远程拨号认证系统）服务或hwtacacs （华为终端访问控制系统）服务器完成认证/授权；AAA是基于用户进行认证、授权、计费的，而NAC方案是基于接入设备接口进行认证的。

在实际应用中，可以使用AAA的一种或两种服务。

2、AAA基本架构：C/S结构，AAA客户端（也叫NAS-网络接入服务器）是使能了aaa功能的网络设备（可以是一台或多台、不一定是接入设备）3、AAA基于域的用户管理：通过域来进行AAA用户管理，每个域下可以应用不同的认证、授权、计费以及radius或hwtacacs服务器模板，相当于对用户进行分类管理缺省情况下，设备存在配置名为default（全局缺省普通域）和default_admin（全局缺省管理域），均不能删除，只能修改，都属于本地认证；default为接入用户的缺省域，default_admin为管理员账号域（如http、ssh、telnet、terminal、ftp用户）的缺省域。

用户所属域是由域分隔符后的字符串来决定的，域分隔符可以是@、|、%等符号，如user@/doc/565019850.html,就表示属于huawei域，如果用户名不带@，就属于系统缺省default域。

自定义域可以被配置为全局缺省普通域或全局缺省管理域，但域下配置的授权信息较AAA服务器的授权信息优先级低，通常是两者配置的授权信息一致。

4、radius协议Radius通过认证授权来提供接入服务、通过计费来收集、记录用户对网络资源的使用。

定义UDP 1812、1813作为认证（授权）、计费端口Radius服务器维护三个数据库：Users:存储用户信息（用户名、口令、使用的协议、IP地址等）Clients:存储radius客户端信息（接入设备的共享密钥、IP地址）Dictionary：存储radius协议中的属性和属性值含义Radius客户端与radius服务器之间通过共享密钥来对传输数据加密，但共享密钥不通过网络来传输。

华为交换机aaa配置命令是什么交换机具有性能价格比高、高度灵活、相对简单、易于实现等特点。

所以，以太网技术已成为当今最重要的一种局域网组网技术，网络交换机也就成为了最普及的交换机。

下面是店铺给大家整理的一些有关华为交换机aaa配置命令，希望对大家有帮助!华为交换机aaa配置命令[Huawei]aaa[Huawei-aaa]authentication-scheme ren_zheng 配置AAA认证方案名为ren_zheng[Huawei-aaa-authen-aaa]authentication-mode radius local 配置AAA认证模式为先Radius，如无响应则本地认证[Huawei-aaa-authen-aaa]quit[Huawei-aaa]accounting-scheme ji_fei 配置AAA计费方案名为ji_fei[Huawei-aaa-accounting-ji_fei]accounting-mode radius 配置AAA计费模式为Radius服务器计费[Huawei-aaa-accounting-ji_fei]accounting start-fail offline 配置当开始计费失败时，将用户离线[Huawei-aaa-accounting-ji_fei]quit二、配置Radius模板[Huawei]radius-server template huawei_use 配置Raduis模板名为huawei_use[Huawei-radius-huawei_use]radius-server authentication 192.168.1.254 1812 主radius认证服务地址和端口[Huawei-radius-huawei_use]radius-server authentication 192.168.1.253 1812 secondary 备用认证服务器[Huawei-radius-huawei_use]radius-server accounting 192.168.1.253 1812 主radius计费服务地址和端口[Huawei-radius-huawei_use]radius-server accounting192.168.1.253 1813 secondary 备用计费服务器[Huawei-radius-huawei_use]radius-server shared-key cipher hello 配置设备与Radius通信的共享秘钥为hello[Huawei-radius-huawei_use]radius-server retransmit 2 timeout 5 配置设备向Radius服务器发送请求报文的超时重传次数为2s，间隔为5s[Huawei-radius-huawei_use]quit三、在AAA用户域绑定要使用的AAA认证和Radius模板[Huawei]aaa[Huawei-aaa]domain huawei 配置AAA域，名称huawei[Huawei-aaa-domain-huawei]authentication-schemeren_zheng 在域中绑定AAA认证方案[Huawei-aaa-domain-huawei]accounting-scheme ji_fei 在域中绑定AAA计费方案[Huawei-aaa-domain-huawei]radius-server huawei_use 在域中绑定Radius模板[Huawei-aaa-domain-huawei]quit检查命令：[Huawei]display radius-server configuration template huawei_use------------------------------------------------------------------------------Server-template-name : huawei_useProtocol-version : standardTraffic-unit : BShared-secret-key : aaYOZ$V^P35NZPO3JBXBHA!!Timeout-interval(in second) : 5Primary-authentication-server : 192.168.1.254 :1812 :-LoopBack:NULL Source-IP:0.0.0.0Primary-accounting-server : 192.168.1.254 :1813 :-LoopBack:NULL Source-IP:0.0.0.0Secondary-authentication-server : 192.168.1.253 :1812 :-LoopBack:NULL Source-IP:0.0.0.0Secondary-accounting-server : 192.168.1.253 :1813 :-LoopBack:NULL Source-IP:0.0.0.0Retransmission : 2Domain-included : YESNAS-IP-Address : 0.0.0.0Calling-station-id MAC-format : xxxx-xxxx-xxxx------------------------------------------------------------------------------[Huawei][Huawei]display domain name huaweiDomain-name : huaweiDomain-state : ActiveAuthentication-scheme-name : ren_zhengAccounting-scheme-name : ji_feiAuthorization-scheme-name : -Service-scheme-name : -RADIUS-server-template : huawei_useHWTACACS-server-template : -[Huawei]session 2 AAA+HWTACACS进行认证、授权、计费(默认所有使用TCP端口49)拓扑不变HWTACACS(Huawei Terminal Access Controller Access Control System)协议是华为对TACACS进行了扩展的协议HWTACACS是在TACACS(RFC1492)基础上进行了功能增强的一种安全协议。

AAA配置与管理一、基础1、AAA是指：authentication（认证）、authorization（授权）、accounting（计费）的简称，是网络安全的一种管理机制；Authentication是本地认证/授权，authorization和accounting是由远处radius（远程拨号认证系统）服务或hwtacacs （华为终端访问控制系统）服务器完成认证/授权；AAA是基于用户进行认证、授权、计费的，而NAC方案是基于接入设备接口进行认证的。

在实际应用中，可以使用AAA的一种或两种服务。

2、AAA基本架构：C/S结构，AAA客户端（也叫NAS-网络接入服务器）是使能了aaa功能的网络设备（可以是一台或多台、不一定是接入设备）3、AAA基于域的用户管理：通过域来进行AAA用户管理，每个域下可以应用不同的认证、授权、计费以及radius或hwtacacs服务器模板，相当于对用户进行分类管理缺省情况下，设备存在配置名为default（全局缺省普通域）和default_admin（全局缺省管理域），均不能删除，只能修改，都属于本地认证；default为接入用户的缺省域，default_admin为管理员账号域（如http、ssh、telnet、terminal、ftp用户）的缺省域。

用户所属域是由域分隔符后的字符串来决定的，域分隔符可以是@、|、%等符号，如***************就表示属于huawei域，如果用户名不带@，就属于系统缺省default域。

自定义域可以被配置为全局缺省普通域或全局缺省管理域，但域下配置的授权信息较AAA服务器的授权信息优先级低，通常是两者配置的授权信息一致。

4、radius协议Radius通过认证授权来提供接入服务、通过计费来收集、记录用户对网络资源的使用。

定义UDP 1812、1813作为认证（授权）、计费端口Radius服务器维护三个数据库：Users:存储用户信息（用户名、口令、使用的协议、IP地址等）Clients:存储radius客户端信息（接入设备的共享密钥、IP地址）Dictionary：存储radius协议中的属性和属性值含义Radius客户端与radius服务器之间通过共享密钥来对传输数据加密，但共享密钥不通过网络来传输。

1：配置登录用户，口令等<Quidway> //用户直行模式提示符,用户视图<Quidway>system-view //进入配置视图[Quidway] //配置视图（配置密码后必须输入密码才可进入配置视图）[Quidway] sysname xxx //设置主机名成为xxx这里使用[Quidway] aaa //进入aaa认证模式定义用户账户[Quidway-aaa] local-user wds password cipher wds[Quidway-aaa] local-user wds level 15[Quidway-aaa] local-user wds service-type telnet terminal ssh //有时候这个命令是最先可以运//行的，上边两个命令像password，level都是定义完vty 的// authentication-mode aaa后才出现[Quidway-aaa] quit[Quidway] user-interface vty 0 4 //当时很奇怪这个命令就是找不到，最后尝试了几次才能运行[Quidway-ui-vty0-4] authentication-mode aaa[Quidway-ui-vty0-4] quit2：华为S9303 VLan设置创建vlan：<Quidway> //用户直行模式提示符,用户视图<Quidway>system-view //进入配置视图[Quidway] vlan 10 //创建vlan 10，并进入vlan10配置视图，如果vlan10存在就直接进入vlan10配置视图[Quidway-vlan10] quit //回到配置视图[Quidway] vlan 100 //创建vlan 100，并进入vlan100配置视图，如果vlan10存在就直接进入vlan100配置视图[Quidway-vlan100] quit //回到配置视图将端口加入到vlan中：[Quidway] interface GigabitEthernet2/0/1 (10G光口)[Quidway- GigabitEthernet2/0/1] port link-type access //定义端口传输模式[Quidway- GigabitEthernet2/0/1] port default vlan 100 //将端口加入vlan100 [Quidway- GigabitEthernet2/0/1] quit[Quidway] interface GigabitEthernet1/0/0 //进入1号插槽上的第一个千兆网口配置视图中。

华为设备AAA和RADIUS协议配置一、AAA概述AAA是Authentication，Authorization and Accounting（认证、授权和计费）的简称，它提供了一个用来对认证、授权和计费这三种安全功能进行配置的一致性框架，实际上是对网络安全的一种管理。

这里的网络安全主要是指访问控制，包括：l 哪些用户可以访问网络服务器；l 具有访问权的用户可以得到哪些服务；l 如何对正在使用网络资源的用户进行计费；针对以上问题，AAA必须提供下列服务：l 认证：验证用户是否可获得访问权。

l 授权：授权用户可使用哪些服务。

l 计费：记录用户使用网络资源的情况。

AAA一般采用客户/服务器结构：客户端运行于被管理的资源侧，服务器上集中存放用户信息。

因此，AAA框架具有良好的可扩展性，并且容易实现用户信息的集中管理。

RADIUS协议概述如前所述，AAA是一种管理框架，因此，它可以用多种协议来实现。

在实践中，人们最常使用RADIUS协议来实现AAA。

1. 什么是RADIUSRADIUS是Remote Authentication Dial-In User Service（远程认证拨号用户服务）的简称，它是一种分布式的、客户机/服务器结构的信息交互协议，能保护网络不受未授权访问的干扰，常被应用在既要求较高安全性、又要求维持远程用户访问的各种网络环境中（例如，它常被应用来管理使用串口和调制解调器的大量分散拨号用户）。

RADIUS系统是 NAS（Network Access Server）系统的重要辅助部分。

当RADIUS系统启动后，如果用户想要通过与NAS（PSTN环境下的拨号接入服务器或以太网环境下带接入功能的以太网交换机）建立连接从而获得访问其它网络的权利或取得使用某些网络资源的权利时，NAS，也就是RADIUS客户端将把用户的认证、授权和计费请求传递给RADIUS服务器。

RADIUS 服务器上有一个用户数据库，其中包含了所有的用户认证和网络服务访问信息。

1、进入系统配置页面<Huawei>system-view #进入配置页面2、华为交换机清空所有配置<Huawei>reset saved-configuration #重置保存的配置The configuration will be erased to reconfigure. Continue? [Y/N]:Y #配置将被擦除以重新配置。

持续[是/否]：是<Huawei>reboot #重启Info: The system is now comparing the configuration, please wait.Warning: All the configuration will be saved to the configuration file for the next startup:, Continue?[Y/N]:n #警告：所有配置都将保存到配置文件中，以便下次启动：，是否继续？[是/否]：N#询问是否Info: If want to reboot with saving diagnostic information, input 'N' and then execute 'reboot save diagnostic-information'.System will reboot! Continue?[Y/N]:y #警告：所有配置都将保存到配置文件中，以便下次启动：，是否继续？[是/否]：Y#询问是否注意：重启需要先选择N再选择Y3、更改交换机名字[Huawei]sysname R1 #R1就是系统名称[Huawei]save #保存配置4、设置交换机consle登录密码[Huawei]user-interface console 0 #设置华为console 0口的登录密码[Huawei-ui-console0]authentication-mode password #设置consle认证方式为密码认证[Huawei-ui-console0]set authentication password simple huawei1#设置登录密码为明文登录密码，后面huawei1为密码，用dis au查看配置的时候可以看到具体的密码[Huawei-ui-console0]set authentication password cipher huawei1#设置登录密码为密文登录密码，后面huawei1为密码，用dis au查看配置的时候看不到密码配置，显示为加密5、设置交换机telnet远程登录账号和密码<Huawei>system-view #进入系统[Huawei]telnet server enable #打开telnet服务[Huawei]user-interface vty 0 4 #进入vty 0 4 虚拟接口，因为telnet登陆无物理接口[Huawei-ui-vty0-4]authentication-mode aaa #设置虚接口即telnet认证模式为aaa [Huawei-aaa]quit #返回上一级菜单[Huawei]aaa #telnet 远程登陆设置一般通过aaa认证，首先我们进入aaa认证[Huawei-aaa]local-user admin password cipher huawei1#新增用户账号为admin，密码为华为1 [Huawei-aaa]local-user admin service-type telnet #设置admin为telnet登陆用户[Huawei-aaa]local-user admin privilege level 3 #设置admin的账号权限等级，0为最低级（访问级），只能ping等等，1为监控级，可以查看dis，2为系统级，可以进行配置，3为管理级，可以下载配置等等<Huawei>dis local-user #查看用户有哪些6、设置接口IP地址（需要确定是否是三层交换还是二层交换，需要做对应转换，进入接口查看，如果有port switch则是二层，如果是Route Port则是三层，三层可以配置IP地址，二层不能）[Huawei]interface e0/0/0 #进入接口[Huawei-Ethernet0/0/0]portswitch #三层接口转二层接口[Huawei-Ethernet0/0/0]undo portswitch #二层转三层接口7、设置VLAN和VLAN IP地址，配置好了IP地址之后可以把电脑接到这个接口，配置新IP看能否ping 通，如果中间有两台交换机，需要配置trunk，并且允许对应vlan通过[Huawei]vlan 100 #创建vlan 100[Huawei-vlan100]port Ethernet 0/0/0 #把E0/0/0口加入到vlan 100里面[Huawei-vlan100]port Ethernet 0/0/0 to e0/0/13 #把E0/0/0到13号口加入到vlan 100里面，如果出现报错Error: Trunk or Hybrid port(s) can not be added or deleted in this man，需要把端口转换成access模式，命令如下：[Huawei]interface e0/0/0[Huawei-Ethernet0/0/0]port link-type access #端口转为ACCESS模式[Huawei-vlan100]quit #退出[Huawei]interface Vlanif 100 #进入vlanif100[Huawei-Vlanif100]ip address 192.168.2.1 255.255.255.0 #配置vlanif 100的IP地址[Huawei]interface g0/0/0 #进入两台交换机的连接口，配置trunk [Huawei-Ethernet0/0/0]port link-type trunk #配置trunk，两边接口都需要配置[Huawei-Ethernet0/0/0port trunk allow-pass vlan 100 200#vlan100和vlan200是需要通过的vlan。

华为路由器、交换机配置命令大全华为路由器配置命令大全：一、登录华为路由器控制台1：使用PuTTY或其他SSH客户端登录到华为路由器：```ssh admin<路由器IP地址>```2：输入登录密码进行验证。

二、基本配置命令1：设置主机名：```sysname <主机名>```2：配置管理接口：```interface GigabitEthernet0/0/0ip address <IP地址> <子网掩码>```3：配置VLAN接口：```interface Vlanif <VLAN ID>ip address <IP地址> <子网掩码>```三、路由相关配置命令1：静态路由配置：```ip route-static <目标网络> <子网掩码> <下一跳地址> ```2：动态路由配置：```router ospf <进程ID>router-id <路由器ID>network <网络地址> <子网掩码> area <区域ID>3： BGP路由配置：```bgp <AS号码>router-id <路由器ID>peer <对端IP地址> as-number <对端AS号码>```四、安全配置命令1：配置防火墙规则：```acl number <ACL编号>rule <规则序号> permit source <源地址> destination <目的地址>rule <规则序号> deny source <源地址> destination <目的地址>```2：开启SSH服务：ssh server enable```3：配置AAA认证：```aaalocal-user <用户名> password irreversible-cipher <加密密码>authorization-attribute user-role network-admin```五、NAT配置命令1：配置静态NAT：```interface GigabitEthernet0/0/0nat outbound <内部接口> <外部接口>```2：配置动态NAT：nat address-group <地址组名>address <内部地址> <外部地址>```3：配置PAT：```interface GigabitEthernet0/0/0nat address-group <地址组名>```附件：1：示例配置文件（附件1）2：路由器接口图（附件2）法律名词及注释：1：主机名：路由器的标识名称。

华为交换机基本配置命令详解1：配置登录⽤户，⼝令等<Quidway> //⽤户直⾏模式提⽰符,⽤户视图<Quidway>system-view //进⼊配置视图[Quidway] //配置视图（配置密码后必须输⼊密码才可进⼊配置视图）[Quidway] sysname xxx //设置主机名成为xxx这⾥使⽤[Quidway] aaa //进⼊aaa认证模式定义⽤户账户[Quidway-aaa] local-user wds password cipher wds[Quidway-aaa] local-user wds level 15[Quidway-aaa] local-user wds service-type telnet terminal ssh //有时候这个命令是最先可以运//⾏的，上边两个命令像password，level都是定义完vty 的// authentication-mode aaa后才出现[Quidway-aaa] quit[Quidway] user-interface vty 0 4 //当时很奇怪这个命令就是找不到，最后尝试了⼏次才能运⾏[Quidway-ui-vty0-4] authentication-mode aaa[Quidway-ui-vty0-4] quit2：华为S9303 VLan设置创建vlan：<Quidway> //⽤户直⾏模式提⽰符,⽤户视图<Quidway>system-view //进⼊配置视图[Quidway] vlan 10 //创建vlan 10，并进⼊vlan10配置视图，如果vlan10存在就直接进⼊vlan10配置视图[Quidway-vlan10] quit //回到配置视图[Quidway] vlan 100 //创建vlan 100，并进⼊vlan100配置视图，如果vlan10存在就直接进⼊vlan100配置视图[Quidway-vlan100] quit //回到配置视图将端⼝加⼊到vlan中：[Quidway] interface GigabitEthernet2/0/1 (10G光⼝)[Quidway- GigabitEthernet2/0/1] port link-type access //定义端⼝传输模式[Quidway- GigabitEthernet2/0/1] port default vlan 100 //将端⼝加⼊vlan100[Quidway- GigabitEthernet2/0/1] quit[Quidway] interface GigabitEthernet1/0/0 //进⼊1号插槽上的第⼀个千兆⽹⼝配置视图中。

华为交换机常用命令配置介绍华为交换机是一种常见的网络设备，用于构建大型网络。

配置华为交换机需要使用一些常用的命令，通过这些命令可以设置交换机的各种功能和参数。

本文将介绍一些常用的华为交换机配置命令，包括基本配置、端口配置和VLAN配置等。

一、基本配置命令：1.设置设备主机名：[HUAWEI] sysname Switch //将设备主机名设置为Switch2.配置管理口：[Switch] interface gigabitethernet 0/0/1 //进入GigabitEthernet 0/0/1接口[Switch-GigabitEthernet0/0/1] port link-type access //设置接口类型为access[Switch-GigabitEthernet0/0/1] port default vlan 10 //设置默认VLAN为103.配置IP地址：[Switch-GigabitEthernet0/0/1] ip address 192.168.1.1255.255.255.0 //配置接口IP地址为192.168.1.1，子网掩码为255.255.255.04.设置设备登录认证：[Switch] aaa //进入AAA视图[Switch-aaa] local-user admin //创建本地用户admin[Switch-aaa] password simple admin123 //设置密码为admin1235.开启SSH远程登录：[Switch] ssh server enable //开启SSH服务[Switch] ssh user admin //创建SSH用户admin[Switch-ssh-user-admin] authentication-type password //设置认证方式为密码[Switch-ssh-user-admin] service-type stelnet //设置服务类型为SSH二、端口配置命令：1.查看端口状态：[Switch] display interface gigabitethernet 0/0/1 //查看GigabitEthernet 0/0/1接口的状态信息2.端口速率设置：[Switch] interface gigabitethernet 0/0/1 //进入GigabitEthernet 0/0/1接口[Switch-GigabitEthernet0/0/1] speed 100 //设置速率为100Mbps 3.端口流量控制：[Switch] interface gigabitethernet 0/0/1 //进入GigabitEthernet 0/0/1接口[Switch-GigabitEthernet0/0/1] flow-control //开启流量控制4.端口VLAN成员关系设置：[Switch] interface gigabitethernet 0/0/1 //进入GigabitEthernet 0/0/1接口[Switch-GigabitEthernet0/0/1] port link-type trunk //设置接口类型为trunk[Switch-GigabitEthernet0/0/1] port trunk allow-pass vlan 1020 //设置允许通过的VLAN为10和20三、VLAN配置命令：1.创建VLAN：[Switch] vlan 10 //创建VLAN 10[Switch-vlan10] quit //退出VLAN 10视图2.VLAN接口配置：[Switch] interface vlanif 10 //进入VLAN 10接口[Switch-Vlan-interface10] ip address 192.168.10.1255.255.255.0 //配置接口IP地址为192.168.10.1，子网掩码为255.255.255.03.VLAN端口关联：[Switch] interface gigabitethernet 0/0/1 //进入GigabitEthernet 0/0/1接口[Switch-GigabitEthernet0/0/1] port link-type hybrid //设置接口类型为hybrid（混合）[Switch-GigabitEthernet0/0/1] port hybrid vlan 10 untagged //设置接口为VLAN 10的未标记端口四、其他常用命令：1.查看设备信息：[Switch] display version //查看设备版本信息[Switch] display interface brief //查看所有接口的基本信息2.保存配置：[Switch] save //保存当前配置3.重启设备：[Switch] reboot //重启设备以上是一些常用的华为交换机配置命令。