h3caaa认证配置,h3c初级认证

h3c s5024pv2-ei交换机怎么样去配置

1、首先打开xshell工具，通过serial协议进行登录。

2、进行初始化配置，创建vlan4001，该vlan用于和其他交换机进行互联，也可以用于交换机管理。

3、生成RSA及DSA密钥对，并启动SSH服务器。

4、设置SSH客户端登录用户界面的认证方式为AAA认证。

5、创建本地用户client001，并设置用户访问的命令级别为3。

6、最后配置SSH用户client001的服务类型为Stelnet，认证方式为password认证，就可以了。

H3C S3600交换机AAA认证配置

1.对于交换机，最好console不要配置认证，万一出现问题（如人为设置错误等），你console无法进去，最好配置个本地用户。

2.配置tacacs就可以了。没必要配置radius(radius还不能对命令进行鉴权)，tacacs，完全可以对用户、等级（exec）、命令（command）进行授权。

给个配置给你参考（华为），我这配置，对于console口是没有去aaa服务器的。

domain mydepart

scheme hwtacacs-scheme mydepart local

vlan-assignment-mode integer

access-limit disable

state active

idle-cut disable

self-service-url disable

hwtacacs scheme mydepart

primary authentication 192.168.1.2

secondary authentication 192.168.1.3

primary authorization 192.168.1.2

secondary authorization 192.168.1.3

primary accounting 192.168.1.2

secondary accounting 192.168.1.3

key authentication mykey

key authorization mykey

key accounting mykey

user-name-format without-domain

local-user myuser

#

super password level 3 cipher sdfsdfgsdfs

#

hwtacacs nas-ip 192.168.1.1

user-interface vty 0 4

acl 2000 inbound

authentication-mode scheme command-authorization

user privilege level 3

idle-timeout 5 0

protocol inbound telnet

user-interface con 0

authentication-mode password

set authentication password cipher sdfsdfsdfwer

idle-timeout 5 0

H3C5800交换机基础配置

参考官方文档

本人按照公司的需求，要求有两层密码登录进去可以获得root权限。

telnet用户登录时进行本地认证，登录后被授予用户角色level-0，当切换到用户角色network-admin时，使用local认证,AAA配置。

配置思路如下：

(1) 配置Telnet用户登录采用AAA认证方式（ scheme ），并且使用AAA中的本地认证。

· 创建ISP域bbb，配置Telnet用户登录时采用的 login 认证和授权方法为 local 。

· 创建本地用户，配置Telnet用户登录密码及登录后的用户角色。

(2) Telnet用户进行用户角色切换时，首先使用RADIUS认证，本地认证。

· 配置用户角色切换认证方式为 scheme local 。

· 配置采用本地认证方式时的用户角色切换密码。

(1) 配置H3C

配置接口GigabitEthernet2/0/1的IP地址，Telnet客户端将通过该地址连接H3C。

H3C system-view

[H3C] interface Vlan-interface 1

[[H3C-Vlan-interface1]] ip address 192.168.1.70 255.255.255.0

[[H3C-Vlan-interface1]] quit

开启Telnet服务器功能。

[H3C] telnet server enable

进入VTY0-4用户界面视图 配置Telnet用户登录采用AAA认证方式。

[H3C] user-interface vty 0 4

[H3C-line-vty0-4] authentication-mode scheme

设置VTY0-4用户界面支持Telnet协议。

[H3C-line-vty0-4]protocol inbound telnet

[H3C-line-vty0-4] quit

配置进行用户角色切换时的认证方式为 scheme local 。

[H3C] super authentication-mode scheme local

创建ISP域bbb。

[H3C] domain bbb

配置Telnet用户登录认证方法为本地认证。

[H3C-isp-bbb] authentication login local

配置Telnet用户登录授权方法为本地授权。

[H3C-isp-bbb] authorization login local

[H3C-isp-bbb] quit

创建并配置设备管理类本地Telnet用户test。

[H3C] local-user test class manage

[H3C-luser-manage-test] service-type telnet

[H3C-luser-manage-test] password simple aabbcc

指定Telnet用户登录系统后被授予的用户角色为level-0。

[H3C-luser-manage-test] authorization-attribute user-role level-0

为保证Telnet用户仅使用授权的用户角色level-0，删除用户test具有的缺省用户角色network-operator。

[H3C-luser-manage-test] undo authorization-attribute user-role network-operator

[H3C-luser-manage-test] quit

配置用户角色切换认证方式为本地认证时，切换到用户角色network-admin时使用的密码为abcdef654321。

[H3C] super password role network-admin simple abcdef654321

[H3C] quit

验证配置

(1) Telnet用户建立与交换机的连接

在Telnet客户端按照提示输入用户名test@bbb及密码aabbcc，即可成功登，且只能访问指定权限的命令。

(2) 切换用户角色

在当前的用户线下执行切换到用户角色network-admin的命令，按照提示输入RADIUS用户角色切换认证密码123456，若认证成功即可将当前Telnet用户的角色切换到network-admin。

Router super network-admin

Change authentication mode to local.

Password: ——此处需输入本地用户角色切换认证密码

User privilege role is network-admin, and only those commands that authorized to the role can be used.

如果不切换到network-amin

H3C交换机SSH配置方法

H3C交换机SSH配置方法

SSH为建立在应用层和传输层基础上的安全协议。那么用h3c交换机怎么配置ssh呢?下面为大家介绍最简单的配置方法，欢迎阅读!

使用SSH+密码认证(基本SSH配置方法)

注：在用户使用SSH登录交换机时，交换机对所要登录的用户使用密码对其进行身份验证

生成RSA和DSA密钥对

[H3C]public-key local create rsa

[H3C]public-key local create dsa

设置用户接口上的认证模式为AAA，并让用户接口支持SSH协议

[H3C]user-interface vty 0 4

[H3C-ui-vty0-4]authentication-mode scheme

[H3C-ui-vty0-4]protocol inbound ssh

创建用户luwenju-juzi，设置认证密码为luwenju-!@# 登录协议为SSH，能访问的命令级别为3

[H3C]local-user luwenju-juzi

[H3C-luser-luwenju-juzi]password cipher luwenju-!@#

[H3C-luser-luwenju-juzi]service-type ssh level 3

指定用户luwenju-juzi的'认证方式为password

[H3C]ssh user luwenju-juzi authentication-type password

一个基本的SSH配置就结束了，配置完成后即可使用SSH登录工具进行连接交换机

使用SSH+密钥、密码认证(高级SSH配置方法)

注：客户端在使用SSH工具登录交换机时，交换机同时使用密钥和密码对所要登录的用户实行身份验证

生成RSA和DSA密钥对

[H3C]public-key local create rsa

[H3C]public-key local create dsa

设置用户接口上的认证模式为AAA认证，并在接口上开启SSH协议，并设置用户能访问的命令级别为3

[H3C]user-interface vty 0 4

[H3C-ui-vty0-4]authentication-mode scheme

[H3C-ui-vty0-4]protocol inbound ssh

[H3C-ui-vty0-4]user privilege level 3

创建用户，并指定认证方式为公钥认证，用户名为luwenju-juzi，密码为luwenju-!@#

[H3C]local-user luwenju-juzi

[H3C-luser-luwenju-juzi]password cipher luwenju-!@#

[H3C-luser-luwenju-juzi]service-type ssh level 3

[H3C]ssh user luwenju-juzi authentication-type password-publickey

客户端生成公钥和私钥

用puttygen.exe生成公私钥对，然后放到某个文件夹下，在此，我们生成的公钥叫luwenjukey私钥为luwenju.ppk,然后我们把公钥文件luwenjukey上传到FTP服务器,然后登录交换机，将luwenjukey下载到交换机

ftp 202.106.0.20

[ftp]get luwenjukey

为用户生成公钥，在交换机上把文件luwenjukey中导入客户端的公钥，公钥名为luwenju-juzikey 注：luwenju-juzikey是为用户生成的公钥

[H3C]public-key peer luwenju-juzikey import sshkey luwenjukey

为用户luwenju-juzi指定公钥luwenju-juzikey

[H3C]ssh user luwenju-juzi assign publickey luwenju-juzikey

然后打开SSH登录工具，导入私钥luwenju.ppk，然后输入交换机的IP地址登录即可

;

H3C交换机新建一个用户，并配置系统最高权限（超级管理员）

1、配置Switch的VLAN接口1的IP地址为192.168.0.1，FTP用户将通过该地址连接交换机。

2、开启设备的FTP服务器功能。

3、创建本地用户。

4、配置ISP域内login用户的AAA方案为本地认证、授权。

5、完成上述配置后，在host以FTP方式登录FTP服务器，输入正确的用户名和密码，可以建立FTP连接。