华为交换机AAA配置与管理

中兴，华为，烽火交换机常用配置命令教程交换机工作于OSI参考模型的第二层，即数据链路层。

交换机内部的CPU会在每个端口成功连接时，通过将MAC地址和端口对应，形成一张MAC表，不同品牌交换机配置可能有所不同，本文将详细介绍中兴，华为，烽火交换机常用配置参数,需要的朋友可以参考下ZXDSL8210常用命令查看板卡类型和软硬件版本号 showcard进入DSL模式 dsl查看端口状态 showinfo查看ADSL速率摸板 showprof更改端口应用的速率摸板 linecfg查看ADSL端口的线路质量 showperf打开ADSL端口 enable关闭ADSL端口 disable重启ADSL端口 resetport进入atm atm在atm下查看PVC showvcx allZXDSL8220常用命令查看板卡类型和软硬件版本号 sh card查看ADSL端口状态 show adsl status查看ADSL速率摸板 show adsl profile查看速率摸板D3M具体信息 show adsl profile d3m更新端口的流量信息 update adsl-perf card_list/port_list关闭ADSL端口 shutdown interface打开ADSL端口 no shutdown interfaceZXDSL9210设备常用命令查看板卡配置和版本号 show card查看设备版本号 show version查看ADSL端口状态 show interface查看一块板卡端口状态 show adsl status slot 1查看ADSL端口线路质量 show adsl physical查看ADSL线路摸板种类 show adsl profile查看D3M摸板的配置 show adsl profile d3m进入ADSL端口 int adsl-mpvc card/port关闭ADSL端口 shutdown打开ADSL端口 no shutdown中兴SU3查看板卡状态 show card all查看端口状态 show port查看速率摸板 show adsl lineprofile all查看线路质量 show adsl port端口号 option physical 开端口 port 端口号 enable关端口 port 端口号 disable华为MA5100&MA5103常用命令保存系统配制数据到FLASH内存 save查看单板状态 show board阻塞端口 block解除阻塞端口 no block激活端口 activate去激活端口 deactivate套片复位 chipset reset 0MA5300常用命令保存系统配置3 write查看单板状态 show board 0查看adsl端口状态 show adsl port state查看vdsl端口状态 show vdsl port state查看告警 show alarm history all查看板卡类型和运行状态 show board查看vlan show vlan all配制摸板 adsl line-profile add 3激活端口 adsl activate adsl 端口 3MA5600常用命令保存系统配制数据到FLASH内存 save查看单板状态 display board 0查看所有配制信息 disp running -config查看ADSL端口状态 display adsl port state查看vdsl端口状态 display vdsl port state查看xdsl 配置摸板 display adsl line-profile all查看vlan display vlan all查看告警 displayalarm history all查看上行板卡端口状态 display port state查看某个vlan所绑定下行端口 display vlan VLAN号查看上行板卡端口所绑定的vlan display port vlan配制摸板 adsl line-profile adddisplay interface adsl 0/1/1中兴交换机配置个人心得：命令的使用要注意各种用户模式。

华为S2300交换机开局配置一、设置用户登录口令，登录方式，设备名称进入配置模式sys设置名称sysname huawei设置Console登录密码user-interface con 0authentication-mode passwordset authentication password cipher huawei配置用于AAA方式登录的用户名和密码aaalocal-user hw password simple hwlocal-user hw privilege level 15配置系统为AAA方式登录user-interface vty 0 4authentication-mode aaa二、设置管理VLAN，设备IP地址，默认网关假设设备管理VLAN为99假设设备管理地址为172.16.0.5，掩码为255.255.255.0假设设备默认网关为172.16.0.1假设设备上行接口为第1个千兆GE光口，如：interface GigabitEthernet0/0/1配置管理VLANvlan batch 99配置管理地址interface Vlanif99ip address 172.16.0.5 255.255.255.0配置默认网关ip route-static 0.0.0.0 0.0.0.0 172.16.0.1配置管理VLAN的上行口interface GigabitEthernet0/0/1port link-type trunkport trunk allow-pass vlan 99三、业务开通，配置业务VLAN的上行接口和下行接口配置业务VLAN，假设分配的业务VLAN为VLAN 2501 to 2524 vlan batch 2501 to 2524配置业务VLAN的上行口interface GigabitEthernet0/0/1port link-type trunkport trunk allow-pass vlan 2501 to 2524配置业务VLAN的下行口，若直接接用户，则为ACCESS模式配置业务VLAN 2501 to 2524到端口1-4interface Ethernet0/0/1port link-type accessport default vlan 2501#interface Ethernet0/0/2port link-type accessport default vlan 2502#interface Ethernet0/0/3port link-type accessport default vlan 2503#interface Ethernet0/0/4port link-type accessport default vlan 2504四、保存配置并验证业务是否正确配置退出配置模式quit保存配置save以下为可选操作：重启设备，可以验证设备断电后是否丢失数据重启之前请确认数据是否已正确配置和保存reboot。

华为交换机Console⼝属性配置华为交换机Console⼝属性配置⼀、设置通过账号和密码（AAA验证）登陆Console⼝1. 进⼊ Console ⽤户界⾯视图<Huawei>system-view[Huawei]user-interface console 0[Huawei-ui-console0]2. 在 Console ⽤户界⾯视图下，设置⽤户验证⽅式为 AAA 验证[Huawei-ui-console0]authentication-mode ?aaa AAA authenticationnone Login without checking //⽆需验证直接登陆console⼝password Authentication through the password of a user terminal interface //只通过输⼊密码登陆console⼝[Huawei-ui-console0]authentication-mode aaa3. 进⼊AAA视图，配置登 Console ⼝的账号和密码[Huawei-ui-console0]q[Huawei]aaa[Huawei-aaa]local-user ?STRING<1-64> User name, in form of 'user@domain'. Can use wildcard '*',while displaying and modifying, such as *@isp,user@*,*@*.Cannot include invalid character / \ : * ? " < > | @ '[Huawei-aaa]local-user admin ?access-limit Set access limit of user(s)ftp-directory Set user(s) FTP directory permittedidle-timeout Set the timeout period for terminal user(s)password Set passwordprivilege Set admin user(s) levelservice-type Service types for authorized user(s)state Activate/Block the user(s)[Huawei-aaa]local-user admin password ?cipher User password with cipher text //以密⽂⽅式显⽰⼝令simple User password with plain text //以明⽂⽅式显⽰⼝令[Huawei-aaa]local-user admin password cipher ?STRING<1-16>/<24> The UNENCRYPTED/ENCRYPTED password string[Huawei-aaa]local-user admin password cipher 123456Info: Add a new user.//查看账户信息[Huawei-aaa]display local-user----------------------------------------------------------------------------User-name State AuthMask AdminLevel----------------------------------------------------------------------------admin A A -----------------------------------------------------------------------------Total 1 user(s)4. 设置登陆 Console 的账号和密码的服务类型为 Console（terminal）类型[Huawei-aaa]local-user admin ?access-limit Set access limit of user(s)ftp-directory Set user(s) FTP directory permittedidle-timeout Set the timeout period for terminal user(s)password Set passwordprivilege Set admin user(s) levelservice-type Service types for authorized user(s)state Activate/Block the user(s)[Huawei-aaa]local-user admin service-type ?8021x 802.1x userbind Bind authentication userftp FTP userhttp Http userppp PPP userssh SSH usertelnet Telnet userterminal Terminal userweb Web authentication userx25-pad X25-pad user[Huawei-aaa]local-user admin service-type terminal ?8021x 802.1x userbind Bind authentication userftp FTP userhttp Http userppp PPP userssh SSH usertelnet Telnet userweb Web authentication userx25-pad X25-pad user<cr>[Huawei-aaa]local-user admin service-type terminal//再次查看账户信息[Huawei-aaa]display local-user----------------------------------------------------------------------------User-name State AuthMask AdminLevel----------------------------------------------------------------------------admin A M -----------------------------------------------------------------------------Total 1 user(s)//保存配置<Huawei>saveThe current configuration will be written to the device.Are you sure to continue?[Y/N]y //输⼊y,确认Now saving the current configuration to the slot 0.Apr 6 2021 16:09:10-08:00 Huawei %%01CFM/4/SAVE(l)[55]:The user chose Y when deciding whether to save the configuration to the device.Save the configuration successfully.⼆、设置只通过密码登陆 Console ⼝1. 进⼊ Console ⽤户界⾯视图，设置只通过密码登陆 Console ⼝模式<Huawei>system-view[Huawei]user-interface console 0[Huawei-ui-console0]authentication-mode password2. 设置验证密码，输⼊的密码可以是明⽂或密⽂[Huawei-ui-console0]set authentication ?password Set the password for a user interface[Huawei-ui-console0]set authentication password ?cipher Set the password with cipher text //以密⽂⽅式显⽰⼝令simple Set the password in plain text //以明⽂⽅显⽰⼝令[Huawei-ui-console0]set authentication password cipher ?STRING<1-16>/<24> Plain text/cipher text password[Huawei-ui-console0]set authentication password cipher 123456//查看操作的步骤[Huawei-ui-console0]display this#user-interface con 0authentication-mode passwordset authentication password cipher yLST2)ywQ@:.`&R&e7S(bTi# //密码加密处理了user-interface vty 0 4#return//保存配置<Huawei>saveThe current configuration will be written to the device.Are you sure to continue?[Y/N]y //输⼊y,确认Now saving the current configuration to the slot 0.Apr 6 2021 16:09:10-08:00 Huawei %%01CFM/4/SAVE(l)[55]:The user chose Y when deciding whether to save the configuration to the device.Save the configuration successfully.1. 输⼊的密码可以是明⽂或者密⽂，当不指定cipher password参数时，将采⽤交互⽅式输⼊明⽂密码；2. 当指定cipher password参数时，既可以输⼊明⽂密码也可以输⼊密⽂密码，但都将以密⽂形式保存在配置⽂件中。

华为3700交换机基本配置-没有测试-主要我现在还不明白路由的配置，请老师给指教一下。

启动交换机<Huawei>sys[Huawei]sysname huawei（机器名）#[huawei]aaa（AAA视图）[huawei-aaa]local-user admin password cipher admin（用户名和密码）[huawei-aaa]local-user admin service-type telnet(接入类型）[huawei-aaa]local-user admin privilege level 3（用户级别）[huawei-aaa]user-interface vty 0 4[huawei-ui-vty0-4]authentication-mode aaa#[huawei]vlan batch 10 20 30（批量创建VLAN）[huawei]in vlan 10（VLAN接口）[huawei-Vlanif10]ip address 172.18.136.72 24（VLAN接口地址）[huawei]in vlan 20（VLAN接口）[huawei-Vlanif10]ip address 192.168.1.1 24（VLAN接口地址）[huawei]in vlan 30（VLAN接口）[huawei-Vlanif10]ip address 192.168.2.1 24（VLAN接口地址）#[huawei]interface Ethernet0/0/22[huawei-Ethernet0/0/21]description UPLINK[huawei-Ethernet0/0/22]port link-type trunk（更改接口为trunk与三层交换机通讯）[huawei-Ethernet0/0/22]port trunk allow-pass vlan 10[huawei]interface Ethernet0/0/21[huawei-Ethernet0/0/21]description UPLINK[huawei-Ethernet0/0/21]port link-type trunk（备用接口）[huawei-Ethernet0/0/21]port trunk allow-pass vlan 10#[huawei-Ethernet0/0/1]port link-type access..........（使用文本批量粘贴执行）[huawei-Ethernet0/0/10]port link-type access[huawei-Ethernet0/0/1]port trunk allow-pass vlan 20..........（使用文本批量粘贴执行）[huawei-Ethernet0/0/10]port trunk allow-pass vlan 20#[huawei-Ethernet0/0/11]port link-type access..........（使用文本批量粘贴执行）[huawei-Ethernet0/0/20]port link-type access[huawei-Ethernet0/0/11]port trunk allow-pass vlan 30..........（使用文本批量粘贴执行）[huawei-Ethernet0/0/20]port trunk allow-pass vlan 30#[Huawei]ip route-static 0.0.0.0 0.0.0.0 172.18.136.73（这个地址与VLAN10里的172.18.136.72有什么关联）<Huawei>save是的，VLAN10的路由这样写对不对，好像我没有指定下跳的IP地址，VLAN20 30 的路由怎么写呢？VLAN 20 为管理路由我一般设这样做，3700上联路由器，VLAN10是用来连接路由器的，恩，我就把你的路由器当成三层交换机（上级的交换机）地址段为172.18.136.1 VLAN 10那我的这个3700交换机要想实现与上级路由器通讯上网，我的VLAN 20 30 的路由应该怎么写呢？vlan10只开一个端口，模式为ACCESS，与路由器相连。

华为交换机的三种视图：⽤户视图,系统视图,接⼝视图华为交换机的三种视图: ⽤户视图, 系统视图, 接⼝视图⽤户视图: 刚开始登⼊交换机时的视图,⼀般看到的是尖括号<> .save // 配置完交换机后保存当前配置的命令system-view // 进⼊系统视图的命令clock timezone BJ add|minus 8 // 设置时区clock datetime 16:36:00 2016-07-01 //设置交换机的时间系统视图: 在⽤户视图下输⼊system-view后进⼊系统视图,⼀般为⽅括号[]display current-configuration // 显⽰当前配置user-interface maximum-vty 15 //配置vty最⼤连接数user-interface vty 0 14 //进⼊vty⽤户界⾯视图user privilege level 2 //设置vty登⼊的⽤户等级为2(配置⽤户级别)authentication-mode aaa //设置vty登⼊时的验证模式为⽤户名和密码验证aaa //进⼊AAA视图local-user admin password cipher admin@123 //设置aaa登⼊的⽤户名和密码local-user admin service-type telnet //设置admin⽤户远程登⼊时的协议user-interface console 0 //进⼊第0个console⼝的⽤户界⾯authentication-mode passwd //配置从console⼝登⼊交换机的认证模式为密码认证set authentication password cipher admin@123 //配置从console⼝登⼊交换机的密码vlan 10 //创建⼀个VLANinterface meth 0/0/1 //进⼊交换机的第⼀个管理⽹⼝ip address 192.168.1.110 24 //设置管理⽹⼝的ip地址和⼦⽹掩码interface gigabitethernet 0/0/1 //进⼊第⼀个业务⽹⼝port link-type access //设置第1个⽹⼝位access模式port default vlan 10 //设置此⽹⼝的VLAN号为10interface gigabitethnet 0/0/2 //进⼊第2个业务⽹⼝port link-type trunk //设置第⼆个⽹⼝位trunk模式port trunk allow-pass vlan 10 20 30 //设置此端⼝可以通过的VLAN号// port trunk allow-pass vlan all 表⽰可以通过所有的带VLAN的帧Interface gigabitethnet 0/0/3 //进⼊第3个业务⽹⼝Port link-type hybrid //设置此端⼝为hybrid模式,每个端⼝默认就是hybrid模式Port hybrid pvid vlan 10 //设置pvid为10Port hybrid tagged vlan 20 30 40 //设置tagged列表为20,30,40Port hybrid untagged vlan 50 60 //设置untagged列表为50,60Display port vlan //显⽰当前各端⼝的VLAN情况清除某个端⼝的配置Interface gigabitethernet 0/0/2Clear configuration thisUndo shutdownInterface gigabitethernet 0/0/3Undo port default vlan //access 模式的端⼝Undo port link-typeUndo port hybrid pvid vlan vlanid //hybrid 模式的端⼝Undo port hybrid untagged vlan vlanidUndo port hybrid tagged vlan vlanidUndo port trunk pvid vlan //trunk 模式的端⼝Undo port trunk allow-pass vlan vlanidUndo port link-type恢复出⼚设置s5700SI在⽤户视图下(按Ctrl+z组合键回到⽤户视图)输⼊如下命令操作reset saved-configurationYRebootNY设置交换机的mux-vlan模式假设主VLAN是10,从VLAN中group模式的有VLAN 20, separate模式的有VLAN 30,server连接1号端⼝,PC1和PC2连接2和3号端⼝,PC3和PC4连接4和5号端⼝Vlan batch 10 20 30Vlan 10Mux-vlanSubordinate group 20Subordinate separate 30把各连接的端⼝设为access模式,并且加⼊到各⾃的VLAN中,且同时开启mux-vlan功能,Interface gigabitethernet 0/0/1Port link-type accessPort default vlan 10Port mux-vlan enableInterface gigabitethernet 0/0/2 //3号端⼝设置⽅法类似Port link-type accessPort default vlan 20Port mux-vlan enableInterface gigabitethernet 0/0/4 //5号端⼝设置⽅法类似Port link-type accessPort default vlan 30Port mux-vlan enable三层交换机接路由器LAN⼝Vlan 60 70Interface vlanif 60ip address 192.168.60.1 24interface vlanif 70ip address 192.168.1.238 24interface gigabitethernet 0/0/3port link-type accessport default vlan 60interface gigabitethernet 0/0/4port link-type accessport default vlan 70ip route-static 0.0.0.0 0.0.0.0 192.168.1.1在与交换机相连的路由器上设置⼀条静态ip地址,⽬的地址为交换机相关的各个⽹段地址,⽹关为交换机与路由器相连的vlanif的ip地址批量配置交换机端⼝vlan batch 10 20port-group 1group-member gigabitethernet 0/0/1 to gigabitethernet 0/0/10port link-type accessport default vlan 10。

AAA原理与配置概述 AAA是Authentication（认证）、Authorization（授权）和Accounting（计费）的简称，它提供了认证、授权、计费三种安全功能。

AAA可以通过多种协议来实现，⽬前华为设备⽀持基于RADIUS（Remote Authentication Dial-In User Service）协议或HWTACACS（Huawei Terminal Access Controller Access Control System）协议来实现AAA。

应⽤场景例如，企业总部需要对服务器的资源访问进⾏控制，只有通过认证的⽤户才能访问特定的资源，并对⽤户使⽤资源的情况进⾏记录。

NAS为⽹络接⼊服务器，负责集中收集和管理⽤户的访问请求。

AAA服务器表⽰远端的Radius 或 HWTACACS服务器，负责制定认证、授权和计费⽅案。

认证⽅式AAA有三种认证⽅式：不认证：完全信任⽤户，不对⽤户⾝份进⾏合法性检查。

本地认证：将本地⽤户信息（包括⽤户名、密码和各种属性）配置在NAS上。

缺省为本地认证。

远端认证：将⽤户信息（包括⽤户名、密码和各种属性）配置在认证服务器上。

注：如果⼀个认证⽅案采⽤多种认证⽅式，这些认证⽅式按配置顺序⽣效。

授权⽅式AAA⽀持以下三种授权⽅式：不授权：不对⽤户进⾏授权处理。

本地授权：根据NAS上配置的本地⽤户账号的相关属性进⾏授权。

远端授权：　1. HWTACACS授权，使⽤TACACS服务器对⽤户授权。

2. RADIUS授权，对通过RADIUS服务器认证的⽤户授权。

RADIUS协议的认证和授权是绑定在⼀起的，不能单独使⽤RADIUS进⾏授权。

计费⽅式AAA⽀持以下两种计费⽅式：不计费：为⽤户提供免费上⽹服务，不产⽣相关活动⽇志。

远端计费：通过RADIUS服务器或HWTACACS服务器进⾏远端计费。

AAA域 设备基于域来对⽤户进⾏管理，每个域都可以配置不同的认证、授权和计费⽅案，⽤于对该域下的⽤户进⾏认证、授权和计费。

华为交换机安全基线
华为交换机安全基线是指在使用华为交换机时，需要遵循的一套安
全配置准则和最佳实践，以确保交换机的安全性和可靠性。

以下是
一些常见的华为交换机安全基线配置要点：
1. 管理口安全：禁用默认管理口，为管理口设置强密码，并限制访
问管理口的IP地址范围。

2. 字典攻击防护：启用密码强度检查功能，配置登录失败锁定策略，限制登录尝试次数。

3. AAA认证和授权：使用AAA认证机制，确保用户身份验证的安全性。

采用RBAC角色权限控制，为不同的用户分配不同的权限。

4. SSH安全：优先使用SSH协议进行交换机访问和管理，并配置安全性较高的SSH版本和密码加密算法。

5. 网络访问控制：配置ACL访问控制列表，限制允许通过交换机的IP地址、端口、协议和服务。

6. 网络流量监测和报警：启用网络流量监测功能，及时发现异常流
量和攻击行为，并设置报警机制。

7. 系统日志和审计：启用系统日志功能，记录关键操作和事件，以便后期追踪和审计。

8. 端口安全：为交换机端口绑定MAC地址，限制端口下连接设备的数量，防止非法设备接入网络。

9. VLAN隔离：使用VLAN隔离不同的用户和设备，限制内部访问和互相通信。

10. 升级和补丁管理：及时升级交换机固件到最新版本，安装安全漏洞的补丁，以防止已知的攻击和漏洞利用。

以上只是一些常见的华为交换机安全基线配置要点，具体安全配置还需根据实际的网络环境和安全需求来进行定制化配置。

建议在配置安全策略前，参考华为官方文档、安全手册和最佳实践指南，确保正确和合适地配置华为交换机的安全性。

华为交换机配置SSH登陆方法一、配置设备基本信息首先，我们需要对华为交换机进行一些基本的配置，包括设置设备名称、域名和管理口IP地址等信息。

可通过以下命令进行配置：sysname 设备名称domain domain-name 域名interface 接口名称ip address ip-address { mask ， mask-length }其中，设备名称为自定义的名称，域名为网络中的域名，IP地址为管理口的IP地址。

配置完成后，可以通过display current-configuration命令来查看当前的配置信息。

二、生成SSH密钥对生成SSH密钥对是配置SSH登录的重要步骤。

华为交换机支持RSA、DSA和ECDSA等多种加密算法。

以下是生成RSA密钥对的命令示例：sysname 设备名称user-interface vty 0 4ssh authentication-type rsa生成密钥对的具体步骤如下：1.创建RSA密钥对：rsa local-key-pair create创建密钥对时，系统会要求设置密钥长度，可以根据实际需求选择合适的长度。

2.显示密钥对信息：display rsa local-key-pair该命令可以查看当前设备的RSA密钥对信息。

3.导出密钥对到文件：rsa export local-key-pair file file-name通过该命令可以将生成的密钥对保存到文件中，方便备份和导入到其他设备中。

三、配置SSH登录在华为交换机上配置SSH登录，需要设置SSH服务参数、用户权限和登录方式等。

以下是配置SSH登录的命令示例：sysname 设备名称ssh server enablessh authentication-type default allssh user 用户名 authentication-type aaassh user 用户名 service-type stelnet其中，第一条命令用于启用SSH服务，第二条命令设置默认认证方式为全部认证（包括密码和密钥认证），第三条命令设置用户的认证方式为AAA认证，第四条命令设置用户的服务类型为STelnet。

H3C交换机AAA配置一、RADIUS相关配置【必要命令】系统视图[H3C] dot1x注：启用dot1x认证[H3C] dot1x authentication-method eap注：设置dot1x认证方式为EAP[H3C] MAC-authentication注：启用MAC认证[H3C] radius scheme skylark注：新建RADIUS方案[H3C-radius-skylark] primary authentication 10.18.10.223 1812注：设置RADIUS认证服务器地址，默认端口1812[H3C-radius-skylark] primary accounting 10.18.10.223 1813 注：设置RADIUS审计服务器地址，默认端口1812[H3C-radius-skylark] key authentication skylark注：设置交换机与RADIUS认证服务器的通信密码[H3C-radius-skylark] key accounting skylark注：设置交换机与RADIUS审计服务器的通信密码[H3C-radius-skylark] user-name-format without-domain注：交换机发送给RADIUS服务器的用户名验证不带ISP域名[H3C-radius-skylark] nas-ip 10.18.10.254注：当交换机有多个IP时，指定与RADIUS服务器通讯所使用的IP地址[H3C] domain /doc/b65985264.html, 注：在交换机新建ISP域[/doc/b65985264.html,] scheme radius-scheme skylark local注：给ISP域指定验证的RADIUS方案[/doc/b65985264.html,] vlan-assignment-mode string注：设置RADIUS服务器发送的vlan数为字符串型[H3C] domain default enable /doc/b65985264.html,注：设置新建的ISP域为默认域，默认接入终端都通过RADIUS 服务器进行认证[H3C] MAC-authentication domain /doc/b65985264.html,注：指定MAC地址认证的ISP域[H3C] undo dot1x handshake enable注：关闭dot1x的认证握手，防止已认证端口失败端口视图-dot1x认证[H3C] interface Ethernet1/0/10注：进入端口视图（配置所有接入端口）[H3C-Ethernet1/0/10] port link-type access注：设置端口模式为access[H3C-Ethernet1/0/10] dot1x注：在端口上启用dot1x认证[H3C-Ethernet1/0/10] dot1x port-control auto注：自动识别端口的授权情况[H3C-Ethernet1/0/10] dot1x port-method portbased注：设置端口基于端口认证，当第一个用户认证成功后，其他用户无须认证；若该用户下线后，其他用户也会被拒绝访问[H3C-Ethernet1/0/10] dot1x guest-vlan 3注：设置guestvlan，只有该端口为基于端口认证时支持，基于端口认证时不支持端口视图-MAC认证[H3C] interface Ethernet1/0/11注：进入端口视图（配置所有接入端口）[H3C-Ethernet1/0/11] port link-type access注：设置端口模式为access[H3C-Ethernet1/0/11] MAC-authentication注：在端口上启用MAC认证[H3C-Ethernet1/0/11] MAC-authentication guest-vlan 3注：设置guestvlan，guestvlan只支持一个MAC认证用户接入【可选命令】dot1x认证[H3C] dot1x retry 2注：交换机向RADIUS服务器发送报文的重传次数[H3C] dot1x timer tx-period 2注：交换机向dot1x端口定期多长时间重发报文[H3C] dot1x timer supp-timeout 10注：交换机向客户端发送报文，客户端未回应，多长时间后重发[H3C] dot1x timer server-timeout 100注：交换机向RADIUS服务器发送报文，服务器未回应，多长时间后重发[H3C] dot1x timer reauth-period 7200注：设置重认证间隔检测时间[H3C-Ethernet1/0/10] dot1x re-authenticate注：开启端口重认证功能MAC认证[H3C] mac-authentication timer server-timeout 100注：设置MAC认证交换机等待RADIUS服务器的超时时间二、其他配置【必要命令】SNMP设置作用：收集交换机信息，进行交换机管理[H3C] snmp-agent community write skylark注：设置community密码，用于管理交换机，接收交换机相关信息[H3C] snmp-agent sys-info version all注：设置SNMP支持版本DHCP中继代理（在网关交换机上配置）作用：根据指定IP查找DHCP服务器位置（方法一）[H3C] dhcp-server 0 ip 10.18.10.223注：新建DHCP组，设置DHCP服务器地址[H3C] interface vlan 2注：进入vlan接口[H3C-interface-vlan2] dhcp-server 0注：配置DHCP中继代理，指向DHCP组（方法二）[H3C] dhcp enable注：开启DHCP功能[H3C] dhcp relay server-group 0 ip 10.18.10.223注：新建DHCP组，设置DHCP服务器地址[H3C] interface vlan 2注：进入vlan接口[H3C-interface-vlan2] dhcp select relay注：设置接口为中继模式[H3C-interface-vlan2] dhcp relay server-select 0注：配置DHCP中继代理，指向DHCP组【可选命令】DHCP SNOOPING作用：保证DHCP服务器合法性，并记录客户端IP和MAC对应关系[H3C] dhcp-snooping注：开启DHCP-SNOOPING安全特性[H3C] interface G1/0/1（某些支持vlan接口）注：进入端口模式（配置级联端口和连接DHCP服务器的端口为信任端口）[H3C-interface-GigabyteEthernet1/0/1] dhcp-snooping trust 注：设置该端口为信任端口，默认其它未设置端口则为不信任端口，丢弃不信任的DHCP报文IP SOURCE GUARD（配合DHCP-SNOOPING使用）作用：在接口上绑定DHCP-SNOOPING表项IP及MAC信息[H3C] interface E1/0/10（某些支持vlan接口）注：进入接口[H3C-interface-Ethernet1/0/10] ip check source ip-address mac-address注：动态绑定DHCP-SNOOPING表项，过滤掉其它非DHCP分配的终端数据相关命令display dhcp-snoopingdisplay ip check source注意：S3100SI不支持IP SOURCE GUARD绑定。

华为交换机的基本操作命令设置日期和时间——时间对于交换机来说非常重要，时间不对很多功能无法实现<Huawei>clock timezone BJ add 08:00:00 ——在用户视图下输入此命令<Huawei>clock datetime 13:45:30 2017-09-20 ----设置当前时间和日期，24小时制<Huawei>system-view------进入系统视图[Huawei] -----------进入系统视图后<>变成了[ ]创建Vlan并把端口加入VLAN[ Huawei]vlan 2 ------------在系统视图下操作，创建Vlan 2[Huawei-vlan2] ? ? ? ? ? ? ? ? ? #--创建了vlan2并进入vlan2[Huawei-vlan2]quit ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? #--退出vlan2[Huawei]vlan batch 3 to 20 ? ? ?? ? ? ? #--批量创建vlan ?3到30Info: This operation may take a few seconds. Please wait for a moment...done. [Huawei]vlan batch 21 22 25 ? ? ? #--批量创建vlan，创建了21，22，25三个vlanInfo: This operation may take a few seconds. Please wait for a moment...done. [Huawei]undo vlan 21 ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ?#--删除vlan ?21 [Huawei]undo vlan batch 22 25 ? ? ? ?? ? ? ? ?#--批量删除vlan，删除22 和25 ? Warning: The configurations of the VLAN will be deleted. Continue?[Y/N]:y ? ? ? ? ? #--询问是否真的删除Info: This operation may take a few seconds. Please wait for a moment...done. [Huawei]interface GigabitEthernet 0/0/2 ? ? ? ? ? ? ? ? ? ?#--进入G0/0/2端口[Huawei-GigabitEthernet0/0/2]port link-type access ? ?#--更改端口的连接类型为access [Huawei-GigabitEthernet0/0/2]port default vlan 2 ? ? ? ?#--更改端口的默认vlan为vlan 2 [Huawei]port-group 3-10 ? ? ? ? ? ? #--创建了一个名为3-10的端口组,并进入这个组[Huawei-port-group-3-10]group-member GigabitEthernet 0/0/3 to GigabitEthernet0/0/10 ? ? ? ? ?#-- 在组内,将G0/0/3 到G0/0/10端口抓进来[Huawei-port-group-3-10]port link-type access ? ? ? ? ? ? ? ? ? ? ? ? #--一条命令可以修改端口组内所有端口的属性[Huawei-GigabitEthernet0/0/3]port link-type access?[Huawei-GigabitEthernet0/0/4]port link-type access?[Huawei-GigabitEthernet0/0/5]port link-type access?[Huawei-GigabitEthernet0/0/6]port link-type access?[Huawei-GigabitEthernet0/0/7]port link-type access?[Huawei-GigabitEthernet0/0/8]port link-type access?[Huawei-GigabitEthernet0/0/9]port link-type access?[Huawei-GigabitEthernet0/0/10]port link-type access?[Huawei-port-group-3-10][Huawei-port-group-3-10]port default vlan 3[Huawei-GigabitEthernet0/0/3]port default vlan 3[Huawei-GigabitEthernet0/0/4]port default vlan 3[Huawei-GigabitEthernet0/0/5]port default vlan 3[Huawei-GigabitEthernet0/0/6]port default vlan 3[Huawei-GigabitEthernet0/0/7]port default vlan 3[Huawei-GigabitEthernet0/0/8]port default vlan 3[Huawei-GigabitEthernet0/0/9]port default vlan 3[Huawei-GigabitEthernet0/0/10]port default vlan 3[Huawei-port-group-3-10][Huawei]undo port-group 3-10 ? ? ? ? ? ? ? ? ?#--如不再需要这个端口组,可以解散?[Huawei]display port vlan ? ? ? ? ? ? ? ? ? ? ? ? ? #--显示端口和Vlan的关系Port ? ? ? ? ? ? ? ? ? ?Link Type ? ?PVID ?Trunk VLAN List-------------------------------------------------------------------------------GigabitEthernet0/0/1 ? ?hybrid ? ? ? 1 ? ? - ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ??GigabitEthernet0/0/2 ? ?access ? ? ? 2 ? ? - ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ??GigabitEthernet0/0/3 ? ?access ? ? ? 3 ? ? - ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ??GigabitEthernet0/0/4 ? ?access ? ? ? 3 ? ? - ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ??GigabitEthernet0/0/5 ? ?access ? ? ? 3 ? ? - ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ??GigabitEthernet0/0/6 ? ?access ? ? ? 3 ? ? - ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ??GigabitEthernet0/0/7 ? ?access ? ? ? 3 ? ? - ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ??GigabitEthernet0/0/8 ? ?access ? ? ? 3 ? ? - ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ??GigabitEthernet0/0/9 ? ?access ? ? ? 3 ? ? - ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ??GigabitEthernet0/0/10 ? access ? ? ? 3 ? ? - ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ??GigabitEthernet0/0/11 ? hybrid ? ? ? 1 ? ? - ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ??GigabitEthernet0/0/12 ? hybrid ? ? ? 1 ? ? - ? ? ? ? ?###################################################################### ####设置Vlanif的IP地址交换机是二层设备,不能直接给某个端口指定IP地址,但可以给Vlan interface这个虚拟的接口设置IP 地址[Huawei]interface vlanif 1 ? ? ? ? #--进入vlanif 1[Huawei-Vlanif1]###################################################################### ####?保存交换机的设置?<Huawei>save ? ? ? ? ? ? ? ?#--在用户视图下,输入saveThe current configuration will be written to the device.Are you sure to continue?[Y/N]y ? ? #--这里提示是否继续保存配置Info: Please input the file name ( *.cfg, *.zip ) [vrpcfg.zip]:Apr 23 2017 15:21:07-08:00 Huawei %%01CFM/4/SAVE(l)[0]:The user chose Y when deciding whether to save the configuration to the device. ? ? ? ? ?#--首次保存时,会在此处暂停,等待输入文件名.如不输入,直接回车,则配置信息会默认保存成vrpcfg.zip,并设置为下一次启动时使用的文件.如果输入了自定义的文件名,则这个文件被设置成下次启动时使用的文件.Now saving the current configuration to the slot 0.Save the configuration successfully.<Huawei>?##################################################################### #####两台交换机互连，所使用的端口类型，设置为trunk（也可设置成hybrid。

小伙伴们通过Console口登录后还希望远程登录和管理交换机，就可以在交换机上配置Telnet服务功能并使用AAA验证方式登录。

步骤1：从PC1通过交换机Console口登录交换机。

步骤2：配置交换机名称和管理IP地址。

<Quidway>system-view[Quidway] sysname Server[Server] interface ethernet 0/0/0 //框式和盒式的管理口是不一样的哦，框式和盒式的分别是: Ethernet 0/0/0、MEth 0/0/1。

有些盒式设备没有管理口，可使用VLANIF接口配置管理IP地址。

[Server-Ethernet0/0/0] ip address 10.10.10.10 24[Server-Ethernet0/0/0] quit步骤3：配置路由协议，保证PC2和交换机之间路由可达。

步骤4：配置Telnet用户的级别和认证方式。

[Server] telnet server enable[Server] user-interface vty 0 4[Server-ui-vty0-4] user privilege level 15[Server-ui-vty0-4] authentication-mode aaa[Server-ui-vty0-4] quit[Server] aaa[Server-aaa] local-user admin1234 password irreversible-cipher Helloworld@6789[Server-aaa] local-user admin1234 privilege level 15[Server-aaa] local-user admin1234 service-type telnet[Server-aaa] quit步骤5：从PC2以Telnet方式登录交换机。

以进入Windows运行窗口，并执行相关命令，通过Telnet方式登录交换机为例：单击“确定”后，在登录窗口输入用户名和密码，验证通过后，出现用户视图的命令行提示符。

一、拿到一台新的华为设备，我们首先要进行本地配置，比如配置密码，开启远程控制，配置用户设置权限等。

系统默认是没有开启telnet远程的，很多配置是需要我们在本地配置中开启的。

下面我们讲解华为设备的安全登录设置。

注：我们使用的是华为ensp模拟器进行讲解。

1.1、不同网络设备的需求和工作模式互不相同，其具体配置方法也会有较大的不同。

但所有的交换机/路由器都有一些共同的部分，可以把这些部分作为基本的模板用于最初的配置。

配置图如下：1、在路由器AR1设置本地登录用户视图(console端口)登录密码<Huawei>system-view //进入系统视图[Huawei]user-interface console 0//进入用户视图[Huawei-ui-console0]authentication-mode password //配置用户视图密码，最长16位Please configure the login password (maximum length 16):wltx //输入密码wltx[Huawei-ui-console0]set authentication password cipher 123 //修改用户视图验证密码，可跟56位密文[Huawei-ui-console0]return //回到用户视图，如前面的是<Huawei>，说明回到了用户视图。

<Huawei>save//保存配置The current configuration will be written to the device.Are you sure to continue? (y/n)[n]:y //按y确认保存<Huawei>quit //退出Configuration console exit please press any key to log onLogin authenticationPassword: //再次登录用户视图需要输入密码此时登录则需要输入密码才能进入用户视图，如果要取消安全认证，则执行以下命令。

1.13 AAA典型配置(pèizhì)举例1.13.1 SSH用户(yònghù)的RADIUS认证和授权(shòuquán)配置1. 组网需求(xūqiú)如图1-12所示，SSH用户主机与Router直接相连，Router与一台RADIUS服务器相连，需要实现使用RADIUS服务器对登录Router的SSH用户进行认证和授权。

•由一台iMC服务器（IP地址为10.1.1.1/24）担当认证/授权RADIUS 服务器的职责；• Router与RADIUS服务器交互报文时使用的共享密钥为expert，认证/授权、计费的端口号分别为1812和1813；• Router向RADIUS服务器发送的用户名携带域名；• SSH用户登录Router时使用RADIUS服务器上配置的用户名hello@bbb以及密码进行认证，认证通过后具有缺省的用户角色network-operator。

2. 组网图图1-12 SSH用户RADIUS认证/授权配置组网图3. 配置步骤(1) 配置RADIUS服务器（iMC PLAT 5.0）下面以iMC为例（使用iMC版本为：iMC PLAT 5.0(E0101)、iMC UAM5.0(E0101)），说明RADIUS服务器的基本配置。

# 增加接入设备。

登录进入iMC管理平台，选择“业务”页签，单击导航树中的[接入业务/接入设备管理/接入设备配置]菜单项，进入接入设备配置页面，在该页面中单击“增加”按钮，进入增加接入设备页面。

•设置与Router交互报文时使用的认证、计费共享密钥为“expert”；•设置认证及计费的端口号分别为“1812”和“1813”；•选择业务类型为“设备管理业务”；•选择(xuǎnzé)接入设备类型为“H3C”；•选择或手工增加(zēngjiā)接入设备，添加IP地址(dìzhǐ)为10.1.1.2的接入设备(shèbèi)；•其它参数采用缺省值，并单击<确定>按钮完成操作。

华为交换机配置步骤与命令注释华为交换机配置步骤与命令注释1.sys 进入配置模式2.sysname NAME 为交换机配置一个物理场所名字3.Vlan ID 配置一个Vlan4.q 退出当前配置5.【NAME】Interface Ethernet 0/0/1 进入需要配置端口（这条语句是用来为某一个端口绑定ip用的user-bind static ip-address 10.10.31.1 interface Ethernet0/0/1 ）6.【NAME-Ethernet 0/0/1】Port link-type access 设置端口链接类型为access型（还有trunk 型）7.【NAME-Ethernet 0/0/1】port default vlan ID 将端口放入所增加的Vlan8.【NAME-Ethernet 0/0/1】q 退出当前配置界面返回前一层9.【NAME】interface vlanif 1 将所配置交换机放入vlanif1 这个是用来进行远程控制的，vlanif1是在核心配置的10.【NAME-vlanif】IP address 10.10.1.34 255.255.255.0 设置一个可以远程登录的IP地址11.【NAME-vlanif】q 退出当前配置界面12.【NAME】IP route-static 0.0.0.0.0.0.0.0 10.10.1.25413.【NAME】aaa14.【NAME】local-user admin service-typ telnet 本地拨号方式15.【NAME-aaa】local-user admin privilege level 15 本地用户分配级别16.【NAME-aaa】q 退出当前状态17.【NAME】user-interface vty 0 418.【NAME-ui-vty0-4】authentication-mode aaa19.【NAME-ui-vty0-4】q 退出当前模式20.【NAME】interface GigabitEthenet 0/0/1 进入G比特网络端口21.【NAME-GigabitEthenet 0/0/1】port link-type trunk22.【NAME-GigabitEthenet 0/0/1】port trunk allow-pass vlan all （或者2to4999）让你想让通过的vlan通过23.save 保存所做的设置24. q 退出界面。

小伙伴们通过Console口登录后还希望远程登录和管理交换机，就可以在交换机上配置Telnet 办事功能并使用AAA验证方法登录。

令狐采学步调1：从PC1通过交换机Console口登录交换机。

步调2：配置交换机名称和管理IP地址。

<Quidway>systemview[Quidway] sysname Server[Server] interface ethernet 0/0/0 //框式和盒式的管理口是不一样的哦，框式和盒式的辨别是: Ethernet 0/0/0、MEth 0/0/1。

有些盒式设备没有管理口，可使用VLANIF接口配置管理IP地址。

[ServerEthernet0/0/0] ip address 10.10.10.10 24[ServerEthernet0/0/0] quit步调3：配置路由协议，包管PC2和交换机之间路由可达。

步调4：配置Telnet用户的级别和认证方法。

[Server] telnet server enable[Server] userinterface vty 0 4[Serveruivty04] user privilege level 15[Serveruivty04] authenticationmode aaa[Serveruivty04] quit[Server] aaa[Serveraaa] localuser admin1234 password irreversiblecipher Helloworld@6789[Serveraaa] localuser admin1234 privilege level 15[Serveraaa] localuser admin1234 servicetype telnet[Serveraaa] quit令狐采学创作步调5：从PC2以Telnet方法登录交换机。

以进入Windows运行窗口，并执行相关命令，通过Telnet方法登录交换机为例：单击“确定”后，在登录窗口输入用户名和密码，验证通过后，呈现用户视图的命令行提示符。