華為交換機(jī)新編配置與管理

1、華為交換機(jī)新編配置與管理YUKI was compiled on the morning of December 16, 2020，s*H理1、AAA 是指：authentication （認(rèn)證）、authorization （授權(quán)）、 accounting （計(jì)費(fèi)）的簡(jiǎn)稱，是網(wǎng)絡(luò)安全的一種管理機(jī)制；Authentication是本 地認(rèn)證/授權(quán)，authorization和accounting是由遠(yuǎn)處radius （遠(yuǎn)程撥號(hào)認(rèn)證系 統(tǒng)）服務(wù)或hwtacacs （華為終端訪問(wèn)控制系統(tǒng)）服務(wù)器完成認(rèn)證/授權(quán)；AAA是基 于用戶進(jìn)行認(rèn)證、授權(quán)、計(jì)費(fèi)的，而NAC方案是基于接入設(shè)備接口進(jìn)行認(rèn)證的。在實(shí)

2、際應(yīng)用中，可以使用AAA的一種或兩種服務(wù)。2、AAA基本架構(gòu)：C/S結(jié)構(gòu)，AAA 客戶端（也叫NAS-網(wǎng)絡(luò)接入服務(wù)器）是使能7aaa功能的網(wǎng)絡(luò) 設(shè)備（可以是一臺(tái)或多臺(tái)、不一定是接入設(shè)備）3、AAA基于域的用戶管理：通過(guò)域來(lái)進(jìn)行AAA用戶管理，每個(gè)域下可以應(yīng)用不同的認(rèn)證、授權(quán)、計(jì)費(fèi)以及 radius或hwtacacs服務(wù)器模板，相當(dāng)于對(duì)用戶進(jìn)行分類管理缺省情況下，設(shè)備存在配置名為default （全局缺省普通域）和 default_admin （全局缺省管理域），均不能刪除，只能修改，都屬于本地認(rèn)證； default為接入用戶的缺省域，default_admin為管理員賬號(hào)域（如http、ssh

3、、telnet、terminal ftp 用戶）的缺省域。用戶所屬域是由域分隔符后的字符串來(lái)決定的，域分隔符可以是、|、等符 號(hào)，域，如果用戶名不帶，就屬于系統(tǒng)缺省default域。自定義域可以被配置為全局缺省普通域或全局缺省管理域，但域下配置的授權(quán) 信息較AAA服務(wù)器的授權(quán)信息優(yōu)先級(jí)低，通常是兩者配置的授權(quán)信息一致。4、radius 協(xié)議Radius通過(guò)認(rèn)證授權(quán)來(lái)提供接入服務(wù)、通過(guò)計(jì)費(fèi)來(lái)收集、記錄用戶對(duì)網(wǎng)絡(luò)資 源的使用。定義UDP 1812、1813作為認(rèn)證（授權(quán)）、計(jì)費(fèi)端口Radius服務(wù)器維護(hù)三個(gè)數(shù)據(jù)庫(kù)：Users:存儲(chǔ)用戶信息（用戶名、口令、使用的協(xié)議、IP地址等）Clients:存儲(chǔ)

4、radius客戶端信息（接入設(shè)備的共享密鑰、IP地址）Dictionary:存儲(chǔ)radius協(xié)議中的屬性和屬性值含義Radius客戶端與radius服務(wù)器之間通過(guò)共享密鑰來(lái)對(duì)傳輸數(shù)據(jù)加密，但共享 密鑰不通過(guò)網(wǎng)絡(luò)來(lái)傳輸。5、hwtacacs 協(xié)議Hwtacacs是在tacacs（rfc1492）基礎(chǔ)上進(jìn)行了功能增強(qiáng)的安全協(xié)議，與radius協(xié)議類似，主要用于點(diǎn)對(duì)點(diǎn)PPP和VPDN （virtual private dial-upnetwork，虛擬私有撥號(hào)網(wǎng)絡(luò)）接入用戶及終端用戶的認(rèn)證、授權(quán)、計(jì)費(fèi)。與 radius相比，具有更加可靠的傳輸和加密特性，更加適合于安全控制。Hwtacacs協(xié)議與其他

5、廠商支持的tacacs+協(xié)議的認(rèn)證流程和實(shí)現(xiàn)方式是一致 的，能夠完全兼容tacacs+協(xié)議6、華為設(shè)備對(duì)AAA特性的支持支持本地、radius、hwtacacs三種任意組合本地認(rèn)證授權(quán)：優(yōu)點(diǎn)是速度快，可降低運(yùn)營(yíng)成本；缺點(diǎn)是存儲(chǔ)信息量受設(shè)備硬件條件限制RADIUS認(rèn)證、計(jì)費(fèi)：優(yōu)點(diǎn)防止非法用戶對(duì)網(wǎng)絡(luò)的攻擊相對(duì)較高；缺點(diǎn)是不支持單獨(dú)授權(quán)功能，必須 與認(rèn)證功能一起，使用了認(rèn)證功能就使用了授權(quán)功能Hwtacacs認(rèn)證、授權(quán)、計(jì)費(fèi)：認(rèn)證、授權(quán)、計(jì)費(fèi)室單獨(dú)進(jìn)行的，可以單獨(dú)配置使用，在大型網(wǎng)絡(luò)中可以部署 多臺(tái)hwtacacs服務(wù)器；還支持在一個(gè)方案中使用多協(xié)議模式，如本地認(rèn)證常用于 radius認(rèn)證和hwta

6、cacs認(rèn)證的備用認(rèn)證方案，本地授權(quán)作為hwtacacs授權(quán)的備 用授權(quán)方案等二、本地方式認(rèn)證和授權(quán)配置配置流程為：配置AAA方案配置本地用戶配置業(yè)務(wù)方案配置域的AAA方案一、配置AAA方案配置AAA方案就是配置AAA中的認(rèn)證、授權(quán)、計(jì)費(fèi)，用于“域的aaa方案”中綁定這些方案使用（所配置的各種方案只有在域中綁定后才能得到應(yīng)用）認(rèn)證方案：1、進(jìn)入AAA視圖Huaweiaaa2、設(shè)置一個(gè)AAA認(rèn)證方案名Huawei-aaaauthentication-scheme test13、設(shè)置認(rèn)證模式為本地認(rèn)證（缺省為本地認(rèn)證）Huawei-aaa-authen-test1authentication-mo

7、dehwtacacsHWTACACSlocalLocalnoneNoneradius RADIUS4、配置當(dāng)前認(rèn)證模板對(duì)用戶提升級(jí)別進(jìn)行認(rèn)證時(shí)采用的認(rèn)證模式（可選，默認(rèn) 為本地認(rèn)證）Huawei-aaa-authen-test1authentication-superhwtacacs HWTACACSnone Noneradius RADIUSsuperSuper （本地認(rèn)證模式）5、配置用戶名和域名解析的方向（可選，缺省從左向右）Huawei-aaadomainname-parse-directionleft-to-right Configure the left to right dire

8、ction of domainname parsingright-to-left Configure the right to left direction of domainname parsing授權(quán)方案：Huawei-aaaauthorization-scheme tetsl2、配置本地授權(quán)模式Huawei-aaa-author-tets1authorization-modehwtacacsUse HWTACACS authorizationmethod if-authenticated Use authorization method which lets user(s) author

9、ized ifuser(s) not authenticated by none authentication methodlocalUse local authorizationmethodnoneUse none authorizationmethod3、設(shè)置授權(quán)服務(wù)器下發(fā)的用戶授權(quán)信息的生效模式(可選，缺省為overlay模 式）Huawei-aaaauthorization-modifyModify修改模式，新下發(fā)的授權(quán)信息覆蓋上一次下發(fā)的所有屬性類別的授權(quán)信息Overlay覆蓋模式，新下發(fā)的授權(quán)信息覆蓋前次下 發(fā)的所有用戶授權(quán)信息#模擬器未能模擬二、配置本地用戶采用本地方式進(jìn)行認(rèn)證授

10、權(quán)時(shí)，需要在本地設(shè)備配置用戶的認(rèn)證和授權(quán)信息， 如用于認(rèn)證的用戶名、密碼、用于授權(quán)的優(yōu)先級(jí)、用戶組、允許接入的服務(wù)器類 型、可建立連接數(shù)、訪問(wèn)目錄等1、設(shè)置本地用戶名和密碼Huawei-aaalocal-user test password simple 1472582、設(shè)置本地用戶的級(jí)別Huawei-aaalocal-user test privilege level 153、設(shè)備本地用戶加入用戶組（可選，先配置好用戶組Huawei-aaalocal-user test user-group teset #模擬器無(wú)法模擬4、設(shè)置本地用戶斷開(kāi)超時(shí)時(shí)間Huawei-aaalocal-user t

11、est idle-timeout 6005、設(shè)備本地用戶用于何種類型的服務(wù)Huawei-aaalocal-user test service-type8021x userbind Bind authentication userftpFTPuserhttpHttp userpppPPPusersshSSHusertelnetTelnet userterminal Terminal userwebWeb authentication userx25-pad X25-pad user6、本地用戶作為FTP使用時(shí)設(shè)置訪問(wèn)目錄Huawei-aaalocal-user test ftp-director

12、ySTRINGflash: flash:/7、設(shè)置本地用戶狀態(tài)Huawei-aaalocal-user test stateactive Permit the user（s） to deal with the authen requestblock Forbid the user（s） to deal with the authen request （拒絕該用戶認(rèn)證請(qǐng)求）8、設(shè)備本地用戶訪問(wèn)時(shí)最大連接數(shù)（缺省不限制）Huawei-aaalocal-user test access-limit 109、設(shè)置本地賬號(hào)鎖定功能（連續(xù)登陸失敗達(dá)到次數(shù)后鎖定和解鎖、重試等參 數(shù)）Huawei-aaalo

13、cal-aaa-user wrong-password retry-interval 5 （重試時(shí)間間隔）retry-time 3 （連續(xù)認(rèn)證失敗的最大次數(shù)block-time 10（賬號(hào)被鎖定時(shí)間）10、修改賬號(hào)密碼local-user change-password三、配置業(yè)務(wù)方案（可選）“業(yè)務(wù)方案”也是一種授權(quán)方案，它是專門針對(duì)一些IP業(yè)務(wù)（如管理員權(quán)限、 DHCP服務(wù)、DNS服務(wù)、策略路由）所進(jìn)行的授權(quán)，也稱為“業(yè)務(wù)授權(quán)方案”。通常只需要使用admin-user privilege level命令配置管理員用戶的用戶級(jí) 別，其它命令只有在業(yè)務(wù)方案被其他特性（如IPSEC）調(diào)用時(shí)才需要配

14、置。具體配置：1、創(chuàng)建一個(gè)業(yè)務(wù)方案Huawei-aaaservice-scheme test2、配置本地用戶可作為管理員登陸設(shè)備并設(shè)置級(jí)別Huawei-aaa-service-testadmin-user privilege level 153、設(shè)置業(yè)務(wù)方案下使用的DHCP服務(wù)器組（僅7700及以上支持）Huawei-aaa-service-testdhcp-server grpup test4、設(shè)置可用的DHCP IP地址池或移動(dòng)已配置的地址的位置（僅7700及以上支 持）Huawei-aaa-service-testip-pool testpool move-to testpool25、設(shè)

15、置業(yè)務(wù)方案下的主用或備用DNS服務(wù)器地址secondary Set secondary DNS server s IPaddress6、設(shè)置業(yè)務(wù)方案下用戶的策略路由功能（僅7700及以上支持）（下一跳IP地址）5 （源路由vlan ID）四、配置域的AAA方案認(rèn)證、授權(quán)方案、業(yè)務(wù)方案只有綁定域的AAA方案中才能得到應(yīng)用1、設(shè)置一個(gè)域的AAA方案名（缺省存在default和default_admin兩個(gè)域）Huawei-aaadomain testdomain2、綁定認(rèn)證方案Huawei-aaa-domain-testdomainauthentication-scheme test3、綁定授權(quán)方

16、案Huawei-aaa-domain-testdomainauthorization-scheme test4、綁定業(yè)務(wù)方案Huawei-aaa-domain-testdomainservice-scheme tese5、設(shè)置域的AAA方案狀態(tài)Huawei-aaa-domain-testdomainstateactive Activeblock Block6、設(shè)置域名分隔符（缺省為）Huawei-aaadomain-name-delimiter 三、RADIUS方式認(rèn)證、授權(quán)、計(jì)費(fèi)配置配置流程為：配置AAA方案一一配置radius服務(wù)器模板一一配置業(yè)務(wù)方案一一 配置域的AAA方案一、認(rèn)證授權(quán)配

17、置Radius中的認(rèn)證和授權(quán)時(shí)同步進(jìn)行的，只要是能其認(rèn)證功能，也就是能了授權(quán) 功能。配置方法同本地認(rèn)證配置二、計(jì)費(fèi)方案配置1、設(shè)置計(jì)費(fèi)方案名Huawei-aaaaccounting-scheme testaccounting2、設(shè)置計(jì)費(fèi)模式 Huawei-aaa-accounting-testaccountingaccounting-mode （默認(rèn)為 none）hwtacacs HWTACACSnoneNoneradiusRADIUS3、設(shè)置開(kāi)始計(jì)費(fèi)失敗策略（默認(rèn)online）Huawei-aaa-accounting-testaccountingaccounting start-failo

18、ffline Offline#如果開(kāi)始計(jì)費(fèi)失敗， 允許用戶上線onlineOnline#如果開(kāi)始計(jì)費(fèi)失敗，拒絕用戶上線4、設(shè)置實(shí)時(shí)計(jì)費(fèi)功能和時(shí)間間隔（缺省未使能）Huawei-aaa-accounting-realtimeaccounting realtime 605、設(shè)置實(shí)時(shí)計(jì)費(fèi)允許設(shè)備發(fā)送實(shí)時(shí)計(jì)費(fèi)請(qǐng)求的最大次數(shù)（默認(rèn)為3）或、和失敗 后采取的動(dòng)作Huawei-aaa-accounting-realtimeaccounting interim-fail max-times 10offline Offlineonline Online三、radius服務(wù)器模板配置Radius服務(wù)器模板用來(lái)配置

19、與radius服務(wù)器進(jìn)行通信的相同參數(shù)（如radius服 務(wù)器IP地址、端口號(hào)、共享密鑰等）Radius服務(wù)器模板下的用戶名格式。共享密鑰等要與radius服務(wù)器上配置對(duì)應(yīng)一 致1、設(shè)置radius授權(quán)服務(wù)器IP地址、授權(quán)服務(wù)器模板名稱、通信密鑰server-group Configure RADIUS-client correspondingserver-groupshared-key Configure server shared-keyvpn-instance VPN instance2、配置radius服務(wù)器模板名Huaweiradius-server template test3、設(shè)

20、置模板下radius主用認(rèn)證服務(wù)器地址、端口號(hào) 源接口 loopback編號(hào)或、及 IP地址ip-address IP addressloopback LoopBack interface4、設(shè)置模板下radius備用認(rèn)證服務(wù)器地址、端口號(hào) 源接口 loopback編號(hào)或、及IP地址5、設(shè)置模板下主用計(jì)費(fèi)服務(wù)器地址、端號(hào)源接口 loopback編號(hào)或、及IP地址secondarySecondary serversourceSource LoopBackinterfacevpn-instance VPN instance6、設(shè)置模板下備用計(jì)費(fèi)服務(wù)器地址、端號(hào) 源接口 loopback編號(hào)或、及I

21、P地址 （參考上面配置）7、設(shè)置域radius服務(wù)器通信的共享密鑰（MD5加密，缺省密碼為huawei）Huawei-radius-testradius-server shared-key cipher huawei 18、設(shè)置設(shè)備向radius服務(wù)器發(fā)送的報(bào)文中的用戶名包含域名（可選，缺省包含）Huawei-radius-testradius-server user-name domain-included9、設(shè)置radius計(jì)費(fèi)服務(wù)器計(jì)費(fèi)時(shí)采用的流量統(tǒng)計(jì)單位（可選，缺省為byte）Huawei-radius-testradius-server traffic-unitbyte Bytegb

22、yte Gbytekbyte Kbyte mbyte Mbyte10、設(shè)置radius請(qǐng)求報(bào)文允許的超時(shí)重傳次數(shù)和超時(shí)時(shí)間（可選，缺省5 3） Huawei-radius-testradius-server retransmit 3 timeout 311、設(shè)置NAS（AAA客戶端）端口形式（可選，缺省為新）Huawei-radius-testradius-server nas-port-formatnew New NAS-Port format （新的）old Old NAS-Port format （舊的）12、設(shè)置NAS端口 ID形式（可選867頁(yè)）Huawei-radius-testr

23、adius-server nas-port-id-formatnew New NAS-PortTd formatold Old NAS-Port-Id format13、設(shè)置NAS發(fā)送radius報(bào)文使用的NASTP-address屬性（可選。默認(rèn)使用指定 的loopback接的IP地址）14、設(shè)置計(jì)費(fèi)結(jié)束報(bào)文的重傳功能和可重發(fā)的計(jì)費(fèi)停止報(bào)文個(gè)數(shù)（可選。默認(rèn)都為 0）Huawei-radius-templateradius-server accounting-stop-packet resend 3 #無(wú)法模擬15、設(shè)置與radius主用服務(wù)器恢復(fù)重新連接時(shí)間間隔（可選，默認(rèn)為5分鐘）Huaw

24、ei-radius-templateradius-server detect-server interval 1016、測(cè)試用戶能否通過(guò)radius認(rèn)證Huawei-radius-templatetest-aaa test1 123456 radius-template test1chap CHAP method #采用CHAP認(rèn)證pap PAP method #采用PAP認(rèn)證四、業(yè)務(wù)方式配置和域的aaa方案配置同上四、HWTACACS方式認(rèn)證、授權(quán)、計(jì)費(fèi)配置與radius相比，具有更加可靠的傳輸和加密特性，更加適合于安全控制，可以 防止非法用戶對(duì)網(wǎng)絡(luò)攻擊，還支持對(duì)命令行授權(quán)等配置流程：AAA方案hwtacacs服務(wù)器模板業(yè)務(wù)方案域的AAA方案一、設(shè)置AAA認(rèn)證方案同上可以增加的地方1、設(shè)置認(rèn)證旁路時(shí)間（默認(rèn)未使能，單位分鐘）Huaweiaaa-authen-bypass enable time 2#未能模擬二、設(shè)置AAA授權(quán)方案同上可以增加的地方1、為指定級(jí)別的用戶設(shè)置為按命令行授權(quán)（可選，默認(rèn)都沒(méi)設(shè)置）Hu