H3C AAA认证配置

H3C 设备通过Con sole 口登录设备的配置方法介绍H3C 设备通过 Con sole 口登录设备的配置方法介做网络配置交换机时一般都是通过 Con sole 口进行连接配置，但我们可能会如果有人随意修改设备配置是一件很麻烦的事了， 那么我们有些时候需 要在登录Con sole 口时通过一些验证然后才能登录设备进行操作， 那么下面我就 介绍一下这些操作方法。

通过Con sole 口进行本地登录是登录设备的最基本的方式，也是配置通过其 他方式登录设备的基础。

如图所示Hasl通过在Con sole 口用户界面下配置认证方式，制，以提高设备的安全性。

Console 口支持的认证方式有 none 、password 和scheme 三种。

认证方式为none :表示下次使用Con sole 口本地登录设备时，不需要进行用户名和 密码认证、任何人都可以通过 Con sole 口登录到设备上，这种情况可能会带来安全隐患。

认证方式为password :表示下次使用 Con sole 口本地登录设备时，需要进行密码认 证、只有密码认证成功、用户才能登录到设备上Con sole 口登录设备时需要进行用户名和密码认1.配置通过Con sole 口登录设备时无需认证（<H3C> system-view //进入系统视图 [H3C] user-i nteface con sole 0 // 进入 Co nsole 口用户界面视图[H3C-ui-consoleO] authentication-mode none //设置登录用户的认证方式为不认证可以对使用 Console 口登录的用户进行限 认证方式为scheme ：表示下次使用证，用户名或密码错误， 均会导致登录失败。

用本地认证，则需要配置本地用户及相应参数;器上配置用户名和密码。

不同的认证方式下，用户认证又分为本地认证和远程认证，如果采 如果采用远程认证，则需要在远程认证服务 Con sole 口登录方式需要进行的配置不同。

H3C网络设备AAA授权管理方案一、面临挑战禁止对网络设备的非法访问是网络安全的一项必要条件。

传统情况下，设备管理用户在访问网络设备前，需要先登录并在本地配置身份验证信息，只有拥有合法凭证的用户才能得到相应的访问授权，从而保证了网络的安全性。

然而当网络规模成倍扩张的时候，IT基础架构越来越庞大，网络设备的管理与维护也变得复杂化，对多个设备或网络服务进行多次认证与控制，增加了额外的工作成本。

这时就需要一个能够对整体网络做出统一认证与控制的服务平台，有效提高企业IT运维的工作效率及管理操作的安全性。

1、管理挑战：企业庞大的网络架构使得设备管理用户在繁杂的IT运维工作中存在多次重复认证过程，影响管理工作效率。

2、安全挑战：对设备管理用户的弱身份鉴别，以及在控制对其访问权限上的缺失或不力，会带来巨大的安全漏洞。

二、解决方案1. H3C网络设备AAA授权管理方案概述宁盾认证服务平台通过标准RADIUS协议，可实现H3C网络设备管理用户的统一身份认证，对其提出的认证请求、授权请求、审计请求做出响应，提供AAA 服务。

首先对设备管理用户的认证请求做出响应，验证其身份的合法性，并结合宁盾双因素认证，通过动态密码对账号进行双重保护；然后根据用户身份权限进行授权，控制用户的访问及操作行为；宁盾认证服务平台可全程跟踪用户行为动作，并出具详细的登录认证及操作行为日志报表，满足审计合规要求。

兼容的网络设备包括H3C交换机、路由器、防火墙及堡垒机、WAF等。

2. 网络拓扑3. 宁盾动态密码形式短信令牌：基于短信发送动态密码的形式手机令牌：基于时间的动态密码，由手机APP生成硬件令牌：基于时间的动态密码，由硬件生成三、方案价值①AAA授权管理：集成RADIUS协议，实现对H3C网络设备管理员实现统一认证、授权、日志审计，提升日常运维管理工作效率；②支持批量开户：支持对设备管理用户集中开户，可批量设定设备管理用户的登录密码、授权策略、失效时间、在线数量和权限提升密码；③与现有系统无缝集成：支持外部数据源，除AD、LDAP等标准帐号源外，还可以从客户自定义的系统中（OA、ERP、CRM）同步用户数据；④账号双重保护：支持通过短信令牌、硬件令牌、手机令牌等动态密码认证，提升设备运维账号密码强度，保护账号安全，避免定期修改密码；⑤风险账号隔离：通过设定账号认证登录规则，可以将自动猜测密码尝试恶意登陆设备的账号加入黑名单进行隔离；⑥访问授权策略：支持按场景分配授权策略，场景可以是设备位置区域、设备类型和接入时段的组合；支持基于角色的授权策略，包括权限级别、接入ACL、限制时长；⑦实名可审计：记录设备管理员的认证、授权及行为审计信息日志，并支持导出到文本文件中。

H3C交换机AAA配置一、RADIUS相关配置【必要命令】系统视图[H3C] dot1x注：启用dot1x认证[H3C] dot1x authentication-method eap注：设置dot1x认证方式为EAP[H3C] MAC-authentication注：启用MAC认证[H3C] radius scheme skylark注：新建RADIUS方案[H3C-radius-skylark] primary authentication 10.18.10.223 1812注：设置RADIUS认证服务器地址，默认端口1812[H3C-radius-skylark] primary accounting 10.18.10.223 1813 注：设置RADIUS审计服务器地址，默认端口1812[H3C-radius-skylark] key authentication skylark注：设置交换机与RADIUS认证服务器的通信密码[H3C-radius-skylark] key accounting skylark注：设置交换机与RADIUS审计服务器的通信密码[H3C-radius-skylark] user-name-format without-domain注：交换机发送给RADIUS服务器的用户名验证不带ISP域名[H3C-radius-skylark] nas-ip 10.18.10.254注：当交换机有多个IP时，指定与RADIUS服务器通讯所使用的IP地址[H3C] domain /doc/b65985264.html, 注：在交换机新建ISP域[/doc/b65985264.html,] scheme radius-scheme skylark local注：给ISP域指定验证的RADIUS方案[/doc/b65985264.html,] vlan-assignment-mode string注：设置RADIUS服务器发送的vlan数为字符串型[H3C] domain default enable /doc/b65985264.html,注：设置新建的ISP域为默认域，默认接入终端都通过RADIUS 服务器进行认证[H3C] MAC-authentication domain /doc/b65985264.html,注：指定MAC地址认证的ISP域[H3C] undo dot1x handshake enable注：关闭dot1x的认证握手，防止已认证端口失败端口视图-dot1x认证[H3C] interface Ethernet1/0/10注：进入端口视图（配置所有接入端口）[H3C-Ethernet1/0/10] port link-type access注：设置端口模式为access[H3C-Ethernet1/0/10] dot1x注：在端口上启用dot1x认证[H3C-Ethernet1/0/10] dot1x port-control auto注：自动识别端口的授权情况[H3C-Ethernet1/0/10] dot1x port-method portbased注：设置端口基于端口认证，当第一个用户认证成功后，其他用户无须认证；若该用户下线后，其他用户也会被拒绝访问[H3C-Ethernet1/0/10] dot1x guest-vlan 3注：设置guestvlan，只有该端口为基于端口认证时支持，基于端口认证时不支持端口视图-MAC认证[H3C] interface Ethernet1/0/11注：进入端口视图（配置所有接入端口）[H3C-Ethernet1/0/11] port link-type access注：设置端口模式为access[H3C-Ethernet1/0/11] MAC-authentication注：在端口上启用MAC认证[H3C-Ethernet1/0/11] MAC-authentication guest-vlan 3注：设置guestvlan，guestvlan只支持一个MAC认证用户接入【可选命令】dot1x认证[H3C] dot1x retry 2注：交换机向RADIUS服务器发送报文的重传次数[H3C] dot1x timer tx-period 2注：交换机向dot1x端口定期多长时间重发报文[H3C] dot1x timer supp-timeout 10注：交换机向客户端发送报文，客户端未回应，多长时间后重发[H3C] dot1x timer server-timeout 100注：交换机向RADIUS服务器发送报文，服务器未回应，多长时间后重发[H3C] dot1x timer reauth-period 7200注：设置重认证间隔检测时间[H3C-Ethernet1/0/10] dot1x re-authenticate注：开启端口重认证功能MAC认证[H3C] mac-authentication timer server-timeout 100注：设置MAC认证交换机等待RADIUS服务器的超时时间二、其他配置【必要命令】SNMP设置作用：收集交换机信息，进行交换机管理[H3C] snmp-agent community write skylark注：设置community密码，用于管理交换机，接收交换机相关信息[H3C] snmp-agent sys-info version all注：设置SNMP支持版本DHCP中继代理（在网关交换机上配置）作用：根据指定IP查找DHCP服务器位置（方法一）[H3C] dhcp-server 0 ip 10.18.10.223注：新建DHCP组，设置DHCP服务器地址[H3C] interface vlan 2注：进入vlan接口[H3C-interface-vlan2] dhcp-server 0注：配置DHCP中继代理，指向DHCP组（方法二）[H3C] dhcp enable注：开启DHCP功能[H3C] dhcp relay server-group 0 ip 10.18.10.223注：新建DHCP组，设置DHCP服务器地址[H3C] interface vlan 2注：进入vlan接口[H3C-interface-vlan2] dhcp select relay注：设置接口为中继模式[H3C-interface-vlan2] dhcp relay server-select 0注：配置DHCP中继代理，指向DHCP组【可选命令】DHCP SNOOPING作用：保证DHCP服务器合法性，并记录客户端IP和MAC对应关系[H3C] dhcp-snooping注：开启DHCP-SNOOPING安全特性[H3C] interface G1/0/1（某些支持vlan接口）注：进入端口模式（配置级联端口和连接DHCP服务器的端口为信任端口）[H3C-interface-GigabyteEthernet1/0/1] dhcp-snooping trust 注：设置该端口为信任端口，默认其它未设置端口则为不信任端口，丢弃不信任的DHCP报文IP SOURCE GUARD（配合DHCP-SNOOPING使用）作用：在接口上绑定DHCP-SNOOPING表项IP及MAC信息[H3C] interface E1/0/10（某些支持vlan接口）注：进入接口[H3C-interface-Ethernet1/0/10] ip check source ip-address mac-address注：动态绑定DHCP-SNOOPING表项，过滤掉其它非DHCP分配的终端数据相关命令display dhcp-snoopingdisplay ip check source注意：S3100SI不支持IP SOURCE GUARD绑定。

H3C华为01-AAA命令详解01-AAA命令⽬录1 AAA配置命令1.1 AAA配置命令1.1.1 aaa nas-id profile1.1.2 access-limit1.1.3 access-limit enable1.1.4 accounting default1.1.5 accounting login1.1.6 accounting optional1.1.7 authentication default1.1.8 authentication login1.1.9 authorization command1.1.10 authorization default1.1.11 authorization login1.1.12 authorization-attribute1.1.13 authorization-attribute user-profile1.1.14 bind-attribute1.1.15 cut connection1.1.16 display connection1.1.17 display domain1.1.18 display local-user1.1.19 display user-group1.1.20 domain1.1.21 domain default enable1.1.22 expiration-date1.1.23 group1.1.24 idle-cut enable1.1.25 local-user1.1.26 local-user password-display-mode1.1.27 nas-id bind vlan1.1.28 password1.1.29 self-service-url enable1.1.30 service-type1.1.31 state1.1.32 user-group2 RADIUS配置命令2.1 RADIUS配置命令2.1.1 accounting-on enable2.1.2 accounting-on enable interval2.1.3 accounting-on enable send2.1.4 attribute 25 car2.1.5 data-flow-format (RADIUS scheme view)2.1.6 display radius scheme2.1.7 display radius statistics2.1.8 display stop-accounting-buffer2.1.9 key (RADIUS scheme view)2.1.10 nas-ip (RADIUS scheme view)2.1.11 primary accounting (RADIUS scheme view)2.1.12 primary authentication (RADIUS scheme view)2.1.13 radius client2.1.14 radius nas-ip2.1.15 radius scheme2.1.16 radius trap2.1.17 reset radius statistics2.1.18 reset stop-accounting-buffer2.1.19 retry2.1.20 retry realtime-accounting2.1.21 retry stop-accounting (RADIUS scheme view)2.1.22 secondary accounting (RADIUS scheme view)2.1.23 secondary authentication (RADIUS scheme view)2.1.24 security-policy-server2.1.25 server-type2.1.26 state2.1.27 stop-accounting-buffer enable (RADIUS scheme view) 2.1.28 timer quiet (RADIUS scheme view) 2.1.29 timer realtime-accounting (RADIUS scheme view)2.1.30 timer response-timeout (RADIUS scheme view)2.1.31 user-name-format (RADIUS scheme view)1 AAA配置命令1.1 AAA配置命令1.1.1 aaa nas-id profile【命令】aaa nas-id profile profile-nameundo aaa nas-id profile profile-name【视图】系统视图【缺省级别】2：系统级【参数】profile-name：保存NAS-ID与VLAN绑定关系的Profile名称，为1～16个字符的字符串，不区分⼤⼩写。

H3C路由器配置命令表H3C路由器配置命令表1·路由器基本配置命令1·1 接口配置命令●interface <interface_name>: 进入接口配置模式●ip address <ip_address> <subnet_mask>: 设置接口IP地质和子网掩码●description <description>: 给接口添加描述信息1·2 路由配置命令●ip route <destination_network> <subnet_mask> <next_hop>: 配置路由●ip default-gateway <default-gateway_address>: 配置默认网关●ip routing: 开启路由功能1·3 主机名与域名配置命令●hostname <hostname>: 设置路由器主机名●domn-name <domn_name>: 设置路由器域名●enable password <password>: 设置访问特权模式的密码●line vty 0 4、进入VTY线路配置模式●login: 启用登录验证●password <password>: 设置VTP登录密码●exit: 退出线路配置模式2·协议配置命令2·1 静态路由配置命令●ip route-static <destination_network><subnet_mask> <next_hop>: 配置静态路由2·2 动态路由配置命令●router rip: 进入RIP路由配置模式●network <network_address>: 配置本地网络●router ospf <process_id>: 进入OSPF路由配置模式●network <network_address> <subnet_mask> area <area_id>: 配置本地网络●router bgp <AS_number>: 进入BGP路由配置模式●network <network_address> mask<subnet_mask>: 配置本地网络●neighbor <neighbor_address> remote-as<AS_number>: 配置BGP邻居3·安全配置命令3·1 访问控制列表（ACL）配置命令●access-list <acl_number> {permit ---●deny} <protocol> <source_ip> <destination_ip>: 配置ACL规则●interface <interface_name>●inbound----outbound ip access-group<acl_number>: 将ACL应用于接口的进或出方向3·2 密码和认证配置命令●enable secret <password>: 设置特权模式密码●username <username> password <password>: 创建本地用户名和密码4·网络地质转换（NAT）配置命令4·1 静态NAT配置命令●interface <inside_interface>●nat static <inside_local_ip><outside_global_ip>4·2 动态NAT配置命令●interface <inside_interface>●nat dynamic <outside_interface>5·本地管理配置命令5·1 SSH配置命令●rsa local-key-pr create: RSA密钥对●ssh server enable: 启用SSH服务器●ssh user <username> authentication-type password: 设置SSH用户身份验证方式为密码●user-interface vty 0 4、进入VTY用户界面配置模式●authentication-mode aaa: 设置认证模式为AAA●protocol inbound ssh: 允许SSH访问5·2 SNMP配置命令●snmp-agent sys-info version <version>: 设置SNMP版本●snmp-agent community read <community_name>: 配置SNMP读社区字符串附件：本文档不涉及附件。

H3C交换机基本配置命令大全介绍交换机工作于OSI参考模型的第二层，即数据链路层。

交换机内部的CPU会在每个端口成功连接时，通过将MAC地址和端口对应，形成一张MAC表，其中H3C交换机是比较常用的一种，那么有哪些配置命令呢?这篇文章主要介绍了H3C交换机基本配置命令明细一览,需要的朋友可以参考下1：配置登录用户，口令等//用户直行模式提示符,用户视图system-view //进入配置视图[H3C] //配置视图(配置密码后必须输入密码才可进入配置视图)[H3C] sysname xxx //设置主机名成为xxx这里使用修改特权用户密码system-view[H3C]super password level 3 cipher/simple xxxxx //设置本地登录交换机命令[H3C] aaa //进入aaa认证模式定义用户账户[H3C-aaa] local-user duowan password cipher duowan[H3C-aaa] local-user duowan level 15[H3C-aaa] local-user duowan service-type telnet terminal ssh //有时候这个命令是最先可以运 //行的，上边两个命令像password，level都是定义完vty 的 // authentication-mode aaa后才出现[H3C-aaa] quit[H3C] user-interface vty 0 4 //当时很奇怪这个命令就是找不到，最后尝试了几次才能运行[H3C-ui-vty0-4] authentication-mode aaa[H3C-ui-vty0-4] quit单独设置远程登录账户：system-view[H3C]user-interface vty 0 4[H3C-ui-vty0-4]authentication-mode password //设置登录模式[H3C-ui-vty0-4]user privilege level 3 //管理权限配置，3为管理级权限[H3C-ui-vty0-4]set authentication password cipher 123456 //设置登录密码以密文方式登录[H3C-ui-vty0-4]quit[H3C]2：H3C VLan设置创建vlan：//用户直行模式提示符,用户视图system-view //进入配置视图[H3C] vlan 10 //创建vlan 10，并进入vlan10配置视图，如果vlan10存在就直接进入vlan10配置视图[H3C-vlan10] quit //回到配置视图[H3C] vlan 100 //创建vlan 100，并进入vlan100配置视图，如果vlan10存在就直接进入vlan100配置视图[H3C-vlan100] quit //回到配置视图将端口加入到vlan中：[H3C] interface GigabitEthernet2/0/1 (10G光口)[H3C- GigabitEthernet2/0/1] port link-type access //定义端口传输模式[H3C- GigabitEthernet2/0/1] port default vlan 100 //将端口加入vlan100[H3C- GigabitEthernet2/0/1] quit[H3C] interface GigabitEthernet1/0/0 //进入1号插槽上的第一个千兆网口配置视图中。