华为交换机aaa配置命令是什么

交换机具有性能价格比高、高度灵活、相对简单、易于实现等特点。所以，以太网技术已成为当今最重要的一种局域网组网技术，网络交换机也就成为了最普及的交换机。下面是我给大家整理的一些有关华为交换机aaa配置命令，希望对大家有帮助!

华为交换机aaa配置命令

[Huawei]aaa

[Huawei-aaa]authentication-scheme ren_zheng 配置AAA认证方案名为ren_zheng

[Huawei-aaa-authen-aaa]authentication-mode radius local 配置AAA认证模式为先Radius，如无响应则本地认证

[Huawei-aaa-authen-aaa]quit

[Huawei-aaa]accounting-scheme ji_fei 配置AAA计费方案名为ji_fei

[Huawei-aaa-accounting-ji_fei]accounting-mode radius 配置AAA计费模式为Radius服务器计费

[Huawei-aaa-accounting-ji_fei]accounting start-fail offline 配置当开始计费失败时，将用户离线

[Huawei-aaa-accounting-ji_fei]quit

二、配置Radius模板

[Huawei]radius-server template huawei_use 配置Raduis模板名为huawei_use

[Huawei-radius-huawei_use]radius-server authentication 192.168.1.254 1812 主radius认证服务地址和端口

[Huawei-radius-huawei_use]radius-server authentication 192.168.1.253 1812 secondary 备用认证服务器

[Huawei-radius-huawei_use]radius-server accounting 192.168.1.253 1812 主radius计费服务地址和端口

[Huawei-radius-huawei_use]radius-server accounting 192.168.1.253 1813 secondary 备用计费服务器

[Huawei-radius-huawei_use]radius-server shared-key cipher hello 配置设备与Radius通信的共享秘钥为hello

[Huawei-radius-huawei_use]radius-server retransmit 2 timeout 5 配置设备向Radius服务器发送请求报文的超时重传次数为2s，间隔为5s

[Huawei-radius-huawei_use]quit

三、在AAA用户域绑定要使用的AAA认证和Radius模板

[Huawei]aaa

[Huawei-aaa]domain huawei 配置AAA域，名称huawei

[Huawei-aaa-domain-huawei]authentication-scheme ren_zheng 在域中绑定AAA认证方案

[Huawei-aaa-domain-huawei]accounting-scheme ji_fei 在域中绑定AAA计费方案

[Huawei-aaa-domain-huawei]radius-server huawei_use 在域中绑定Radius模板

[Huawei-aaa-domain-huawei]quit

检查命令：

[Huawei]display radius-server configuration template huawei_use

------------------------------------------------------------------------------

Server-template-name : huawei_use

Protocol-version : standard

Traffic-unit : B

Shared-secret-key : aaYOZ$V^P35NZPO3JBXBHA!!

Timeout-interval(in second) : 5

Primary-authentication-server : 192.168.1.254 :1812 :-LoopBack:NULL Source-IP:0.0.0.0

Primary-accounting-server : 192.168.1.254 :1813 :-LoopBack:NULL Source-IP:0.0.0.0

Secondary-authentication-server : 192.168.1.253 :1812 :-LoopBack:NULL Source-IP:0.0.0.0

Secondary-accounting-server : 192.168.1.253 :1813 :-LoopBack:NULL Source-IP:0.0.0.0

Retransmission : 2

Domain-included : YES

NAS-IP-Address : 0.0.0.0

Calling-station-id MAC-format : xxxx-xxxx-xxxx

------------------------------------------------------------------------------

[Huawei]

[Huawei]display domain name huawei

Domain-name : huawei

Domain-state : Active

Authentication-scheme-name : ren_zheng

Accounting-scheme-name : ji_fei

Authorization-scheme-name : -

Service-scheme-name : -

RADIUS-server-template : huawei_use

HWTACACS-server-template : -

[Huawei]

session 2 AAA+HWTACACS进行认证、授权、计费(默认所有使用TCP端口49)

拓扑不变

HWTACACS(Huawei Terminal Access Controller Access Control System)协议是华为对TACACS进行了扩展的协议

HWTACACS是在TACACS(RFC1492)基础上进行了功能增强的一种安全协议。该协议与RADIUS协议类似，主要是通过“客户端—服务器”模式与HWTACACS服务器通信来实现多种用户的AAA功能。

HWTACACS与RADIUS的不同在于：

l RADIUS基于UDP协议，而HWTACACS基于TCP协议。

l RADIUS的认证和授权绑定在一起，而HWTACACS的认证和授权是独立的。

l RADIUS只对用户的密码进行加密，HWTACACS可以对整个报文进行加密。

[Huawei]aaa

[Huawei-aaa]authentication-scheme ren_zheng 配置AAA认证方案名为ren_zheng

[Huawei-aaa-authen-aaa]authentication-mode hwtacacs local 配置AAA认证模式为先hwtacacs，如无响应则本地认证

[Huawei-aaa-authen-aaa]authentication-super hwtacacs super 接入用户进行提权时，先进行hwtacacs认证，如无响应再本地认证

[Huawei-aaa-authen-aaa]quit

[Huawei]aaa

[Huawei-aaa]authorization-scheme shou_quan 配置AAA授权方案名为ren_zheng

[Huawei-aaa-author-aaa]authorization-mode hwtacacs local 配置AAA授权模式为先hwtacacs，如无响应则本地授权

[Huawei-aaa-author-aaa]quit

[Huawei-aaa]accounting-scheme ji_fei 配置AAA计费方案名为ji_fei

[Huawei-aaa-accounting-ji_fei]accounting-mode hwtacacs 配置AAA计费模式为hwtacacs服务器计费

[Huawei-aaa-accounting-ji_fei]accounting start-fail offline 配置当开始计费失败时，将用户离线

[Huawei-aaa-accounting-ji_fei]accounting relaltime 3 配置对用户进行实时计费，计费间隔为3min

[Huawei-aaa-accounting-ji_fei]quit

二、配置hwtacacs模板

[Huawei]hwtacacs-server template huawei_use 配置hwtacacs模板名为huawei_use

[Huawei-hwtacacs-huawei_use]hwtacacs-server authentication 192.168.1.254 49 主hwtacacs认证服务地址和端口

[Huawei-hwtacacs-huawei_use]hwtacacs-server authentication 192.168.1.253 49 secondary 备用认证服务器

[Huawei-hwtacacs-huawei_use]hwtacacs-server authorization 192.168.1.253 49 主hwtacacs授权服务地址和端口

[Huawei-hwtacacs-huawei_use]hwtacacs-server authorization 192.168.1.253 49 secondary 备用授权服务器

[Huawei-hwtacacs-huawei_use]hwtacacs-server accounting 192.168.1.253 49 主hwtacacs计费服务地址和端口

[Huawei-hwtacacs-huawei_use]hwtacacs-server accounting 192.168.1.253 49 secondary 备用计费服务器

[Huawei-hwtacacs-huawei_use]hwtacacs-server shared-key cipher hello 配置设备与hwtacacs通信的共享秘钥为hello

[Huawei-hwtacacs-huawei_use]quit

三、在AAA用户域绑定要使用的AAA认证和hwtacacs模板

[Huawei]aaa

[Huawei-aaa]domain huawei 配置AAA域，名称huawei

[Huawei-aaa-domain-huawei]authentication-scheme ren_zheng 在域中绑定AAA认证方案

[Huawei-aaa-domain-huawei]authorization-scheme shou_quan 在域中绑定AAA认证方案

[Huawei-aaa-domain-huawei]accounting-scheme ji_fei 在域中绑定AAA计费方案

[Huawei-aaa-domain-huawei]hwtacacs-server huawei_use 在域中绑定hwtacacs模板

[Huawei-aaa-domain-huawei]quit

检查命令：

[Huawei]display hwtacacs-server template huawei_use

---------------------------------------------------------------------------

HWTACACS-server template name : huawei_use

Primary-authentication-server : 192.168.1.254:49:-

Primary-authorization-server : 192.168.1.254:49-

Primary-accounting-server : 192.168.1.254:49:-

Secondary-authentication-server : 192.168.1.253:49:-

Secondary-authorization-server : 192.168.1.253:49:-

Secondary-accounting-server : 192.168.1.253:49:-

Current-authentication-server : 192.168.1.254:49:-

Current-authorization-server : 192.168.1.254:49:-

Current-accounting-server : 192.168.1.254:49:-

Source-IP-address : 0.0.0.0

Shared-key : hello

Quiet-interval(min) : 5

Response-timeout-Interval(sec) : 5

Domain-included : Yes

Traffic-unit : B

---------------------------------------------------------------------------

Total 1,1 printed

[Huawei]

[Huawei]display domain name huawei

Domain-name : huawei

Domain-state : Active

Authentication-scheme-name : ren_zheng

Accounting-scheme-name : ji_fei

Authorization-scheme-name : shou_quan

Service-scheme-name : -

RADIUS-server-template : -

HWTACACS-server-template : huawei_use

[Huawei]

AAA是Authentication（验证）、Authorization（授权）和Accounting（审计）的简称。

AAA是一种提供验证、授权和审计的安全技术。该技术可以用于验证用户是否合法，授权用户可以访问哪些服务，并记录用户使用网络资源的情况。

例如，企业总部需要对服务器的资源访问进行控制，只有通过验证的用户才能访问特定的资源，并对用户使用资源的情况进行记录。在这种场景下，可以按照如图1-1所示的方案进行AAA部署。NAS为网络接入服务器，也称为AAA的客户端，负责集中收集和管理用户的访问请求。AAA服务器可以一台专属的硬件设备，也可以是以软件的形式安装在服务器操作系统上（本文将使用思科的ACS软件来实现AAA服务器），用户的验证、授权和审计服务均由AAA服务器来完成。

【图1-1】

如图1-1所示，当分支站点的用户需要访问总部的服务器资源时，NAS设备会对用户的访问进行控制，用户向NAS设备提交账户信息（用户名和密码）后，NAS设备会将用户信息发送给AAA服务器，由AAA服务器进行账户信息的验证，并对用户进行授权。如果用户验证通过，则分支站点的用户可以访问到特性的服务器资源（可以访问哪些服务器，由授权来决定），同时AAA服务器也会对用户的访问行为进行审计。

RADIUS（Remote Authentication Dial-In User Service，远程认证拨号用户服务）由IETF定义的一种公有协议，是AAA客户端和AAA服务器之间通讯的一种协议。除了RADIUS协议外，不同的网络设备厂商也提出了各自的私有协议，例如，思科公司提出的TACACS+协议，华为提出的HWTACACS，也可以使用在AAA客户端和AAA服务器之间。（本文将使用RADIUS协议作为AAA的通讯协议）

【图2-1】

Step 1 - 基础IP配置（略）

Step 2 - 配置AAA服务器

在页面的左下角点击Create

配置AAA客户端

Step 3 - 配置AAA客户端

ARG3系列路由设备支持两种缺省域：

进入default-admin域绑定认证模板和radius-server模板（这个default-admin域是专门用来管理用的，所以telnet，ssh等登陆设备时必须使用这个默认的域，自己定义的不行）

Step 4 - 在PC机上进行测试

1.对于交换机，最好console不要配置认证，万一出现问题（如人为设置错误等），你console无法进去，最好配置个本地用户。

2.配置tacacs就可以了。没必要配置radius(radius还不能对命令进行鉴权)，tacacs，完全可以对用户、等级（exec）、命令（command）进行授权。

给个配置给你参考（华为），我这配置，对于console口是没有去aaa服务器的。

domain mydepart

scheme hwtacacs-scheme mydepart local

vlan-assignment-mode integer

access-limit disable

state active

idle-cut disable

self-service-url disable

hwtacacs scheme mydepart

primary authentication 192.168.1.2

secondary authentication 192.168.1.3

primary authorization 192.168.1.2

secondary authorization 192.168.1.3

primary accounting 192.168.1.2

secondary accounting 192.168.1.3

key authentication mykey

key authorization mykey

key accounting mykey

user-name-format without-domain

local-user myuser

#

super password level 3 cipher sdfsdfgsdfs

#

hwtacacs nas-ip 192.168.1.1

user-interface vty 0 4

acl 2000 inbound

authentication-mode scheme command-authorization

user privilege level 3

idle-timeout 5 0

protocol inbound telnet

user-interface con 0

authentication-mode password

set authentication password cipher sdfsdfsdfwer

idle-timeout 5 0

---