月度归档： 2018 年 3 月

针对设备根据情况把各个功能进行分割。

一、接口和路由相关的三层特性的配置写在一个配置文件中；如静态路由、动态路由。

二、二层相关的配置写在一个文件中；如vlan、trunk、生成树。

三、常规的通用服务在一个配置文件中；如snmp、ssh、telnet 等。

四、与路由过滤、路由选路、路由汇总相关的在一个配置文件中；

五、与安全相关的认证、策略、绑定写在一个配置文件中；

先保证路由畅通，再添加安全相关的配置。

https://support.huawei.com/enterprise/zh/doc/EDOC1100086563/6a5cea22

AAA概念

AAA认证有两个基本的协议：
TACACS：全称终端访问控制器访问控制系统（Terminal Access Controller Access-Control System），一般用于控制网络设备（交换机，路由器，防火墙等）的SSH或Telnet的控制协议。Cisco设备使用TACACS+，华为系列的设备使用HWTACACS。端口号：TCP 49。

RADIUS：Remote Authentication Dial In User Service，远程用户拨号认证系统由RFC2865，RFC2866定义，是目前应用最广泛的AAA协议。RADIUS的认证端口是UDP 1812，记账端口是UDP 1813。RADIUS一般用于用户接入网络，或者远程访问V(P)N的用户身份验证。

简单总结一下：TACACS用于设备网管，RADIUS用于用户接入。

一般来说，一台AAA服务器可以同时实现TACACS和RADIUS这两种协议的功能。常见的AAA服务器有Cisco ISE、Cisco ACS、华为Esight、H3C IMC，还有微软的Active Diretory活动目录域功能也可以实现；但不管是哪一种服务器，都需要服务器和被管设备在网络上可以通信。

华为设备配置TACACS 和RADIUS 与AAA联动，让SSH 与Telnet的用户名与密码由AAA集中管理。

配置命令

• authentication-profile name default_authen_profile
• authentication-profile name dotlx_authen_profile
• authentication-profile name mac_authen_profile
• authentication-profile name portal authen profile
• authentication-profile name dotlxmac authen_profile
• authentication-profile name multi authen_profile
  radius-server template default
• #radius模板，使用默认值即可
  hwtacacs-server template Template01
• #这里的)为模板名称Template01，待会要调用
  hwtacacs-server authentication <AAA服务器IP>
• hwtacacs-server authorization <AAA服务器IP>
• hwtacacs-serveraccounting <AAA服务器IP>
• #如果只有一个AAA服务器，则这三个地址是相同的
  hwtacacs-server source-ip<与AAA联动的本地地址>
• #与AAA联动的本地地址，一般是Loopback地址
  hwtacacs-server shared-key cipher<共享密钥，宇符串>undo hwtacacs-server user-name domain-included

注意：一般采用 tacacs+local 登录方式。同时保留本地登录方式，如果本地设备与AAA断开，则交给本地Local认证处理。

AAA配置 – S2720, S5700, S6700 V200R019C10 配置指南-用户接入与认证 – 华为 (huawei.com)

802.1X 认证

802.1x提供基于二层的访问控制方法，同时提供了集中管理的功能。
在交换机的端口上开启802.1x功能，则计算机上需要安装相应的iNode软件，使用RADIUS服务器上的用户名和密码登录，才能接入到网络中。

华为交换机启用802.1x

interface g1/0/1

port link-type access

dot1x

NAC（Network Admission Control）称为网络接入控制，是一种“端到端”的安全结构，包括802.1X认证、MAC认证与Portal认证。

IP-LINK 与DHCP 联动

BFD

双机热备状态 – HUAWEI USG6000E, USG6000, USG9500, NGFW Module V500, V600 维护宝典 – 华为

查看hrp 状态

dis hrp state