h3c的cams操作手册1.doc

H3C三层交换机安全配置规范4.1管理平面安全配置4.1.1管理口防护4.1.1.1关闭未使用的管理口项目编号NOMD-2013-SC-H3C(L3SW)-01-01-01-v1配置说明设备应关闭未使用的管理口（AUX、或者没开启业务的端口）。

重要等级高配置指南1、参考配置操作#interface Ten-GigabitEthernet0/1 //进入端口视图shutdown //执行shutdown命令，关闭端口#检测方法及判定依据1、符合性判定依据端口关闭，不能使用。

2、参考检测方法通过网线或光纤（视具体接口不同），将此端口与PC或其他设备未关闭的端口互连，该端口指示灯灭，且PC或其他设备没有网卡UP的提示信息。

备注4.1.1.2配置console口密码保护项目编号NOMD-2013-SC-H3C(L3SW)-01-01-02-v1配置说明设备应配置console口密码保护重要等级高配置指南1、参考配置操作[H3C]user-interface console 0[ H3C-ui-console0] authentication-mode password[ H3C-ui-console0] set authentication password cipher xxxxxxxx检测方法及判定依据1、符合性判定依据通过console口，只有输入正确密码才能进入配置试图2、参考检测方法PC用Console线连接设备Console口，通过超级终端等配置软件，在进入设备配置视图时，提示要求输入密码。

备注4.1.2账号与口令4.1.2.1避免共享账号项目编号NOMD-2013-SC-H3C(L3SW)-01-02-01-v1配置说明应对不同的用户分配不同的账号，避免不同用户间账号共享。

重要等级中配置指南1、参考配置操作local-user user1service-type telnetuser privilede level 2#local-user user2service-type ftpuser privilede level 3#2、补充操作说明1、user1和user2是两个不同的账号名称，可根据不同用户，取不同的名称，建议使用：姓名的简写＋手机号码；2、避免使用h3c、admin等简单易猜的账号名称；检测方法及判定依据1、符合性判定依据各账号都可以正常使用，不同用户有不同的账号。

目录H3C以太网交换机的基本操作 (2)1.1 知识准备 (3)1.2 操作目的 (3)1.3 网络拓扑 (3)1.4 配置步骤 (3)1.4.1 串口操作配置 (3)1.4.2 查看配置及日志操作 (6)1.4.3 设置密码操作 (6)1.5 验证方法 (7)H3C以太网交换机VLAN配置 (7)1.6 知识准备 (7)1.7 操作目的 (7)1.8 操作内容 (7)1.9 设备准备 (7)1.10 拓扑 (7)1.11 配置步骤 (8)1.12 验证方法 (8)H3C以太网交换机链路聚合配置 (8)1.13 知识准备 (8)1.14 操作目的 (8)1.15 操作内容 (8)1.16 设备准备 (8)1.17 网络拓扑 (8)1.18 配置步骤 (9)1.19 验证方法 (10)H3C以太网交换机STP配置 (10)1.20 知识准备 (10)1.21 操作目的 (10)1.22 操作内容 (10)1.23 设备准备 (10)1.24 网络拓扑 (11)1.25 配置步骤 (11)1.26 验证方法 (12)H3C以太网交换机VRRP配置 (12)1.27 知识准备 (12)1.28 操作目的 (12)1.29 操作内容 (12)1.30 设备准备 (12)1.31 网络拓扑 (13)1.32 配置步骤 (13)1.33 验证方法 (15)H3C以太网交换机镜像配置 (15)1.34 知识准备 (15)1.35 操作目的 (15)1.36 操作内容 (15)1.37 设备准备 (15)1.38 网络拓扑 (15)1.39 配置步骤 (16)1.40 验证方法 (16)H3C以太网交换机路由配置 (17)1.41 知识准备 (17)1.42 操作目的 (17)1.43 操作内容 (17)1.44 设备准备 (17)1.45 网络拓扑 (17)1.46 配置步骤 (17)1.47 验证方法 (18)H3C以太网交换机ACL配置 (18)1.48 知识准备 (18)1.49 操作目的 (19)1.50 操作内容 (19)1.51 网路拓扑 (19)1.52 配置步骤 (19)1.53 验证方法 (19)实验一H3C以太网交换机的基本操作备注：H3C以太网交换机采用统一软件平台VRP，交换机命令完全相同。

h3c cas操作手册（原创实用版）目录1.H3C CAS 简介2.H3C CAS 的功能3.H3C CAS 的操作方法4.H3C CAS 的注意事项正文一、H3C CAS 简介H3C CAS（Customer Access System）是华为公司推出的一款用户访问系统，主要用于企业和运营商等场景的用户认证、授权和计费管理。

通过 H3C CAS，管理员可以实现对用户的统一管理，降低运维成本，提高网络安全性和用户体验。

二、H3C CAS 的功能1.用户认证：H3C CAS 支持多种认证方式，如本地认证、LDAP 认证、RADIUS 认证等，确保用户安全可靠地访问网络资源。

2.用户授权：根据用户的角色、权限等信息，控制用户对特定网络资源的访问权限。

3.用户计费：实时收集用户的访问记录，为运营商和企业提供详细的计费信息，便于制定合理的收费策略。

4.报表统计：提供丰富的报表统计功能，方便管理员了解用户访问情况、网络资源使用状况等。

三、H3C CAS 的操作方法1.安装与配置：根据实际环境，安装 H3C CAS 软件，并进行相关配置，如认证方式、用户信息等。

2.用户管理：创建、修改、删除用户，分配相应的角色和权限。

3.资源管理：配置网络资源，设置访问控制策略。

4.报表查询：查询用户访问记录、计费信息等，生成报表。

四、H3C CAS 的注意事项1.在使用 H3C CAS 时，应确保系统安全，防止未授权访问和攻击。

2.定期备份系统数据，防止数据丢失。

3.根据实际需求，合理配置认证方式、权限等，避免过度限制或不足的安全措施。

4.及时更新系统版本，修复可能存在的漏洞，提升系统稳定性和安全性。

总之，H3C CAS 作为一款功能强大、易于操作的用户访问系统，能够为企业和运营商提供安全、可靠的用户管理解决方案。

实验1 网络设备基本操作实验任务一：通过Console登录本实验的主要任务是练习通过Console电缆连接进行设备配置的方法。

试验前请保证路由器（交换机）的所有配置已经清空。

步骤一：连接配置电缆步骤二：启动PC，运行超级终端在PC桌面上运行【开始】->【程序】->【附件】->【通信】->【超级终端】。

填入一个任意名称，点击【确定】。

每秒位数为9600bps、8位数据位、1位停止位、无奇偶校验和无流量控制步骤三：进入Console配置界面用户视图的提示符为<系统名>实验任务二：使用系统操作及文件操作的基本命令步骤一：进入系统视图执行system-view命令进入系统视图。

系统视图的提示符为[系统名]。

执行quit命令可以从系统视图切换到用户视图。

步骤二：练习使用帮助特性和补全键s? sysname ? <Tab> <Tab>步骤三：更改系统名称[H3C]sysname YourName[YourName]步骤四：更改系统时间[YourName]display clock17:28:07 UTC Mon 09/08/2008[YourName]quit<YourName>clock datetime 10:20:30 10/01/2008<YourName>display clock10:20:32 UTC Wed 10/01/2008步骤五：显示系统运行配置<YourName>display current-configuration <Space> <Enter> <Ctrl+C>步骤六：显示保存的配置<YourName>display saved-configuration 此时尚未保存配置，因此不存在saved-configuration步骤七：保存配置默认配置文件名通常为startup.cfg，某些版本为config.cfg。

CAMS和H3C交换机进行802.1X EAD认证的典型配置以下配置均需要以系统管理员admin的权限登录CAMS配置台(%CAMSIP%/cams，如http://192.168.4.26/cams/ )，缺省密码为Admin。

1.安全级别：在安全管理—安全级别可以进行定义，针对每种不同的安全情况，系统都有四种对应的动作（下线，隔离，提醒，监控）来对应，此处可以根据客户的需求来定义各种安全级别。

2.设置防病毒软件管理此处可以设置防病毒软件的病毒库，杀毒引擎版本。

可根据实际要求设置3.软件补丁管理：EAD补丁检测有两种方式：WSUS自动监测和手工检测。

此处以手工检测为例。

此处可以定义EAD解决方案检测的补丁内容。

可根据事实际情况进行定制。

Windows系统软件补丁名称的定义方法：KB+补丁数字版本号，如：KB896422 （即取补丁文件名“Windows2000-KB896422-x86-CHS.EXE”中间的版本信息）。

4.配置“可控制软件管理”此处可定义EAD对客户端软件使用情况的检查。

5.配置安全策略安全级别，防病毒软件管理，软件补丁管理，可控软件管理都定义好后，将这些配置引入安全策略中，形成一个安全策略，以后可以被认证用户所申请。

同时在安全策略中也可进行其它功能项的设置。

6.配置“服务”配置服务，将事前定义好的安全策略引入7.账号开户，申请定义好的服务基本配置至此完毕，可以用eadtest的用户在客户端进行EAD测试了。

交换机配置此处只是以V3平台H3C交换机S3600-EI作为NAS接入设备做EAD特性相关配置介绍。

配置IP地址及路由IP、掩码、路由等需要根据实际情况修改配置，达到接入设备与CAMS、自助及管理代理服务器三层可达（即可以ping通）的目的。

配置Radius认证策略及域配置Radius认证策略：[H3C]radius scheme cams[H3C-radius-cams]server-type extended --认证协议（扩展）[H3C-radius-cams]primary authentication 192.168.4.26 1812 --CAMS认证IP、端口[H3C-radius-cams]primary accounting 192.168.4.26 1813 --CAMS计费IP、端口[H3C-radius-cams]key authentication expert --认证密钥[H3C-radius-cams]key accounting expert --计费密钥(必须与认证密钥相同)[H3C-radius-cams]user-name-format with-domain –用户名格式（有域名）配置认证域：[H3C]domain cams[H3C-isp-cams] radius-scheme cams --应用上面配置的Radius认证策略配置缺省域生效：[H3C]domain default enable cams --配置cams域为缺省认证域认证和计费密钥、端口如果需要修改，则两个密钥必须相同且与CAMS配置同步（注意：如果需要给用户申请使用具有不同后缀的多个服务，则需要在我司交换机上配置不同的域，如下：[H3C]domain huawei-3com[H3C-isp-huawei-3com] radius-scheme cams --应用Radius认证策略用户申请了带后缀的服务后，在客户端用该服务认证时必须输入格式如下：用户名@域名，如camsservice@huawei-3com）配置802.1x认证[H3C]dot1x --全局启动802.1x认证[H3C]dot1x port-method macbased --配置基于MAC的认证方式(缺省)[H3C]dot1x interface Ethernet 0/1 to Ethernet 0/10 --在端口0/1～0/10启动802.1x认证如果需要可以配置802.1x认证的认证方式，如与LDAP配合需要chap认证方式；而如果需要启用设备无关特性，需要配置为eap透传方式，如下：[H3C]dot1x authentication-method eap --配置EAP透传模式的认证方式如果需要限制客户端版本信息，可以使能802.1x认证的版本检测，如下：[H3C]dot1x --使能802.1x的版本检测功能如果需要使能客户端防代理功能，需要使能802.1x认证的防代理设置，如下：[H3C]dot1x supp-proxy-check logoff --使能全局下的防代理功能[H3C]dot1x supp-proxy-check logoff interface Ethernet 0/1 to Ethernet 0/10--使能每个端口的防代理功能配置ACLEAD方案对认证客户端的安全状态进行检测，然后根据实际认证上网用户PC的状态对其进行访问控制，则需要在设备上配置对应的隔离ACL（对应―隔离区‖）和安全上网ACL（对应―Internet‖安全区），即安全认证不通过的用户只能被限制在―隔离区‖访问，而只有安全认证通过的用户才能正常在安全区进行访问。

目录1 维护入门......................................................................................................................... 1-11.1 iMC PLAT(平台)基础知识 ............................................................................................ 1-11.1.1 系统角色和操作员分组........................................................................................ 1-11.1.2 iMC PLAT目录结构............................................................................................ 1-21.1.3 iMC PLAT常用文件说明 ..................................................................................... 1-21.1.4 iMC PLAT后台程序日志文件说明 ........................................................................ 1-31.1.5 iMC PLAT 相关数据库说明 ................................................................................. 1-51.1.6 iMC PLAT相关进程说明 .................................................................................... 1-61.2 iMC UAM/EAD/CAMS组件基础知识 ............................................................................. 1-71.2.1 iMC UAM/EAD/CAMS系统角色分类.................................................................... 1-71.2.2 iMC UAM/EAD/CAMS组件目录结构.................................................................... 1-71.2.3 iMC UAM/EAD/CAMS常用文件说明.................................................................... 1-81.2.4 iMC UAM/EAD/CAMS常用日志文件说明 ............................................................. 1-91.2.5 iMC UAM/EAD/CAMS相关数据库说明................................................................ 1-141.2.6 iMC UAM/EAD/CAMS相关进程说明.................................................................. 1-141.3 iNode基础知识........................................................................................................... 1-151.3.1 iNode目录结构 ................................................................................................. 1-151.3.2 iNode常用文件说明........................................................................................... 1-161.3.3 iNode常用日志文件说明 .................................................................................... 1-161.3.4 iNode相关进程说明........................................................................................... 1-181.4 iMC WSM(无线业务管理)组件基础知识 ........................................................................ 1-191.4.1 常用文件说明.................................................................................................... 1-191.4.2 日志文件说明.................................................................................................... 1-191.4.3 数据库说明 ....................................................................................................... 1-211.4.4 iMC WSM进程说明 ........................................................................................... 1-211.5 iMC BIMS（分支网点智能管理系统）基础知识 ............................................................. 1-211.5.1 系统角色和操作员分组....................................................................................... 1-211.5.2 iMC BIMS目录结构........................................................................................... 1-221.5.3 iMC BIMS常用文件说明 .................................................................................... 1-221.5.4 iMC BIMS后台程序日志文件说明 ....................................................................... 1-231.5.5 iMC BIMS 相关数据库说明 ................................................................................ 1-251.5.6 iMC BIMS相关进程说明 .................................................................................... 1-251.6 iMC MVM(MPLS VPN业务管理)组件基础知识.............................................................. 1-261.6.1 常用文件说明.................................................................................................... 1-261.6.2 日志文件说明.................................................................................................... 1-261.6.3 数据库说明 ....................................................................................................... 1-281.6.4 iMC MVM进程说明............................................................................................ 1-281.7 iMC IVM(IPsec VPN业务管理)组件基础知识 ................................................................ 1-291.7.1 常用文件说明.................................................................................................... 1-291.7.2 日志文件说明.................................................................................................... 1-291.7.3 数据库说明 ....................................................................................................... 1-301.7.4 iMC IVM进程说明 ............................................................................................. 1-311.8 iMC NTA/UBA基础知识 .............................................................................................. 1-311.8.1 iMC NTA/UBA目录结构..................................................................................... 1-311.8.2 iMC NTA/UBA常用文件说明 .............................................................................. 1-321.8.3 iMC NTA/UBA后台程序日志文件说明 ................................................................. 1-321.8.4 iMC NTA/UBA 相关数据库说明.......................................................................... 1-331.8.5 iMC NTA/UBA相关进程说明 ............................................................................. 1-331.9 iMC SOM（服务运维管理）基础知识 ........................................................................... 1-341.9.1 iMC SOM组件说明............................................................................................ 1-341.9.2 iMC SOM目录结构............................................................................................ 1-341.9.3 iMC SOM常用文件说明 ..................................................................................... 1-341.9.4 iMC SOM相关数据库说明.................................................................................. 1-341.9.5 iMC SOM相关进程说明 .................................................................................... 1-351.10 iMC QoSM基础知识 ................................................................................................. 1-351.10.1 系统角色和操作员分组..................................................................................... 1-351.10.2 iMC QoSM 目录结构....................................................................................... 1-351.10.3 iMC QoSM 相关数据库说明 ............................................................................. 1-352 iNode ............................................................................................................................. 2-12.1 基本功能..................................................................................................................... 2-12.1.1 防内网外连 ........................................................................................................ 2-13 iMC 服务器例行维护........................................................................................................ 3-13.1 操作系统维护：........................................................................................................... 3-13.1.1 Windows操作系统： .......................................................................................... 3-13.2 数据库维护 ................................................................................................................. 3-33.2.1 安全注意事项：.................................................................................................. 3-33.3 iMC 监控管理代理 ....................................................................................................... 3-34 iMC各组件常用维护方法 .................................................................................................. 4-14.1 iMC PLAT(平台)维护................................................................................................... 4-14.1.1 在新装Windows操作系统中通过IE浏览器无法登录iMC系统，如何解决? ................. 4-14.1.2 平台字符串查询的匹配规则。

H3C _AC常用配置操作指令说明常用命令:一、dis wlan ap all (查看所有AP 的状态)如图：二、dis wlan ap all add (查看所有AP 的名称与其对应的mac-add)页脚内容1如图：三、dis wlan client (查看总接入用户数以及所接入的业务vlan)如图：页脚内容2Ip地址显示4个0时表示该用户正在获取或因客户端操作不当无法获取到IP四、dis wlan client ap ap_name（查看某具体AP 的接入用户数）EX:dis wlan client ap ydmzl_02_01 （查看AP 为ydmzl_02_01 的接入用户数）如图：页脚内容3五、dis dhcp server ip-in-use all (查看所有AP 的ip 分配情况)说明:命令输入后第四列为TYPE 此有2 种类型（COMMITTED 和OFFERED ）其中COMMITTED 为dhcp 已顺利分配给AP ip、OFFERED 为dhcp 没有顺利分配给AP ip（该状态AP无法上线）如图:六、dis dhcp server ip-in-use pool pool_name (查看某个具体地址池的ip 分配情况)EX:dis dhcp ser ip-in-use pool vlan502---查看vlan502 这个地址池的ip 分配情况页脚内容4如图：七、地址池命名规则:热点所在的vlan 多少就命名为vlan_vlan_NO.(地址池之间没有如何分隔号) EX:vlan 110 地址池就为vlan110vlan 112 地址池就为vlan112注：以上命名方式是为以后排障方便,地址池名称没有特定的命名方式八、dis vlan：查看已作分配的vlan九、页脚内容5AP配置：AP配置方式>>>Wlan ap ap_name model xxxxxx （ap_name为给某AP自行命名,AP型号需根据现场安装AP来定）serial-id xxxxxxxxxxxxx （AP的序列号,在AP面板上可找到）radio 1（射频>>>射频个数视AP型号而定）service-template 1 vlan xxx （服务模板1,后接服务模板1的业务vlan）service-template 2 nas-id xxxxxxxx （服务模板2,后接服务模板2的热点nas-id）（服务模板添加个数视情况而定,可1个可多个,该服务模板目前医大未使用,可不配置）radio enable（射频开启）医大附一服务模板1及所绑定的接口wlan-ess0配置的配置：页脚内容6医大附一服务模板2及所绑定的接口wlan-ess0配置的配置：补充（排障）：页脚内容7若AP掉线,①查看该AP的mac是否可以在AC上学到,dis mac-add x.x.x.x,若可学到,则找出其获取的IP地址disarp,然后长ping 该IP地址ping –c 100 x.x.x.x（ping100个包）若出现掉包情况,则可判断网线水晶头出现故障,需重新整改水晶头②若在AC上无法查到某掉线AP的mac,则可判断,该AP连接交换机的网线端出现松动,重新插好后一般便可正常上线,若无法上线,循环①点进行排查③若以上2点都无法解决问题,最直接排除方法,把该故障AP直接用可用网线插在交换机上排查AP是否出现问题,若有则更换AP,若没有则可判断连接该AP的网线存在问题页脚内容8。

华三交换机登陆管理：通过Console口进行本地登录通过Web网管登录管理地址：192.168.20.24Vlan 10 192.168.20.0 网关192.168.20.24Vlan 20 192.168.10.0 网关192.168.10.254Vlan 30 192.168.30.0 网关192.168.30.254通过Console口登录交换机第一步：如图2-1所示，建立本地配置环境，只需将PC机（或终端）的串口通过配置电缆与以太网交换机的Console口连接。

图1-1通过Console口搭建本地配置环境PC第二步：在PC机上运行终端仿真程序（如Windows 3.X的Terminal或Windows 9X/Windows 2000/Windows XP的超级终端等，以下配置以Windows XP为例），选择与交换机相连的串口，设置终端通信参数：传输速率为9600bit/s、8位数据位、1位停止位、无校验和无流控，如图2-2至图2-4所示。

图1-2新建连接图1-3连接端口设置图1-4端口通信参数设置第三步：以太网交换机上电，终端上显示设备自检信息，自检结束后提示用户键入回车，之后将出现命令行提示符（如<H3C>），如图2-5所示。

图1-5以太网交换机配置界面通过Web网管登录1.2 通过Web网管登录简介S5500-EI系列以太网交换机提供一个内置的Web服务器，用户可以通过Web网管终端（PC）登录到交换机上，利用内置的Web服务器以Web方式直观地管理和维护以太网交换机。

交换机和Web网管终端（PC）都要进行相应的配置，才能保证通过Web网管正常登录交换机。

表1-1通过Web网管登录交换机需要具备的条件1.3 通过Web网管登录配置表1-2通过Web网管登录配置需要注意的是，用户采用Scheme认证方式登录以太网交换机时，其所能访问的命令级别取决于AAA方案中定义的用户级别。