NetWork – 第 26 页 – 运维日常

Network NAC的2个基本协议

Table of Contents

https://support.huawei.com/enterprise/zh/doc/EDOC1100086563/6a5cea22

AAA概念

AAA认证有两个基本的协议：
TACACS：全称终端访问控制器访问控制系统（Terminal Access Controller Access-Control System），一般用于控制网络设备（交换机，路由器，防火墙等）的SSH或Telnet的控制协议。Cisco设备使用TACACS+，华为系列的设备使用HWTACACS。端口号：TCP 49。

RADIUS：Remote Authentication Dial In User Service，远程用户拨号认证系统由RFC2865，RFC2866定义，是目前应用最广泛的AAA协议。RADIUS的认证端口是UDP 1812，记账端口是UDP 1813。RADIUS一般用于用户接入网络，或者远程访问V(P)N的用户身份验证。

简单总结一下：TACACS用于设备网管，RADIUS用于用户接入。

一般来说，一台AAA服务器可以同时实现TACACS和RADIUS这两种协议的功能。常见的AAA服务器有Cisco ISE、Cisco ACS、华为Esight、H3C IMC，还有微软的Active Diretory活动目录域功能也可以实现；但不管是哪一种服务器，都需要服务器和被管设备在网络上可以通信。

华为设备配置TACACS 和RADIUS 与AAA联动，让SSH 与Telnet的用户名与密码由AAA集中管理。

配置命令

authentication-profile name default_authen_profile
authentication-profile name dotlx_authen_profile
authentication-profile name mac_authen_profile
authentication-profile name portal authen profile
authentication-profile name dotlxmac authen_profile
authentication-profile name multi authen_profile
radius-server template default
#radius模板，使用默认值即可
hwtacacs-server template Template01
#这里的)为模板名称Template01，待会要调用
hwtacacs-server authentication <AAA服务器IP>
hwtacacs-server authorization <AAA服务器IP>
hwtacacs-serveraccounting <AAA服务器IP>
#如果只有一个AAA服务器，则这三个地址是相同的
hwtacacs-server source-ip<与AAA联动的本地地址>
#与AAA联动的本地地址，一般是Loopback地址
hwtacacs-server shared-key cipher<共享密钥，宇符串>undo hwtacacs-server user-name domain-included

注意：一般采用 tacacs+local 登录方式。同时保留本地登录方式，如果本地设备与AAA断开，则交给本地Local认证处理。

AAA配置 – S2720, S5700, S6700 V200R019C10 配置指南-用户接入与认证 – 华为 (huawei.com)

802.1X 认证

802.1x提供基于二层的访问控制方法，同时提供了集中管理的功能。
在交换机的端口上开启802.1x功能，则计算机上需要安装相应的iNode软件，使用RADIUS服务器上的用户名和密码登录，才能接入到网络中。

华为交换机启用802.1x

interface g1/0/1

port link-type access

dot1x

NAC（Network Admission Control）称为网络接入控制，是一种“端到端”的安全结构，包括802.1X认证、MAC认证与Portal认证。

Network 网络设备可靠性技术

IP-LINK 与DHCP 联动

BFD

Network 防火墙双机热备配置

Network 华为双机热备维护

双机热备状态 – HUAWEI USG6000E, USG6000, USG9500, NGFW Module V500, V600 维护宝典 – 华为

查看hrp 状态

dis hrp state

Network STP生成树

Table of Contents

在没有堆叠的情况下，每个接入层交换机，都和汇聚层交换机构成一个三角形的结构 。因为STP 选举规则中只要与根桥直连的链路不会被阻塞，非根桥之间的互联链路不管是哪个端口阻塞，链路都会阻塞。

接入层交换机上，每一个Access链路都开启生成树的边缘端口，也就是stp edge-port。防止办公电脑的开机、关机操作导致交换机接口UP/DOWN，从而发送TCN-BPDU报文让全网生成树重新计算而导致的网络闪断，震荡等不正常现象的发生。

所有Trunk接口上均启用端口广播抑制，一旦发现广播报文超过80%，就立刻关闭这个端口，破除环路，防止广播风暴。

生成树的计算方法

1、选择根桥

生产环境中最好手动设置优先级 0 、4096、步数递增，在三角形的网络环境中，与根桥直连的链路不会被阻塞。

2、选择根端口

根端口只会分配在非根桥上这一点容易让人误解，

3、选择指定端口

根桥上倒是指定端口，非根桥上也只有一个指定端口。

生成树与vlan

在实际生产环境中生成树和vlan 对应，所以生成树的类型也一般是MSTP ，也就是每一个vlan一个生成树；针对不同的vlan设置不同的根桥，把流量引入不同的汇聚交换机，从而达到一个流量负载分担的效果。

MSTP

这种类型的生成数类型是把多个vlan放在一个实例中，再针对实例来设置优先级。

华为生成树MSTP 命令配置如下：

1、创建mstp 与vlan 的映射

stp mode mstp

stp region-configuration

region-name RG1

instance 1 vlan 11 13

instance 2 vlan 12 14

active region-configuration

2、调整实例的优先级(值越小优先级越高）

在交换机1上将实例的优先级调整到最小值 0，将实例2的优先级第二优先级4096 ，将交换机2实例1优先级调整至0 、将实例1 优先级调整至4096 。建议使用绝对值0、4096 不要使用相对的primary 、secondary 。

sw1:

stp instance 1 priority 0

stp instance 2 priority 4096

stp enable

sw2:

stp instalnce 1 priority 4096

stp instance 2 priority 0

stp enable

active region-configuration

生成树和VRRP

生成树一般和VRRP 结合使用

将生成树的根桥和VRRP的Master配置在同一台设备.

具体配置参考如下链接

MSTP基本概念 – S300, S500, S2700, S5700, S6700 V200R022C00 配置指南-以太网交换 – 华为 (huawei.com)