10-Quidway S8500系列路由交换机 操作手册 第二分册 安全操作
目录
第1章 802.1x配置..................................................................................................................1-1
1.1 80
2.1x简介.........................................................................................................................1-1
1.1.1 80
2.1x标准简介.......................................................................................................1-1
1.1.2 80
2.1x体系结构.......................................................................................................1-1
1.1.3 80
2.1x的认证过程....................................................................................................1-2
1.1.4 80
2.1x在以太网交换机中的实现..............................................................................1-3
1.2 80
2.1x配置.........................................................................................................................1-3
1.2.1 开启/关闭802.1x特性..............................................................................................1-4
1.2.2 配置端口接入控制的模式.........................................................................................1-4
1.2.3 配置端口接入控制方式............................................................................................1-5
1.2.4 检测通过代理登录交换机的用户..............................................................................1-5
1.2.5 配置端口接入用户数量的最大值..............................................................................1-5
1.2.6 配置允许DHCP触发认证.........................................................................................1-6
1.2.7 配置802.1x用户的认证方法....................................................................................1-6
1.2.8 配置Guest VLAN.....................................................................................................1-7
1.2.9 配置认证请求帧的最大可重复发送次数...................................................................1-7
1.2.10 配置802.1X定时器参数.........................................................................................1-8
1.2.11 打开/关闭Quiet-period定时器................................................................................1-9
1.3 80
2.1x的显示和调试..........................................................................................................1-9
1.4 报文防攻击配置................................................................................................................1-10
1.5 80
2.1x典型配置举例........................................................................................................1-10第2章 AAA和RADIUS/HWTACACS协议配置........................................................................2-1
2.1 AAA和RADIUS/HWTACACS协议简介..............................................................................2-1
2.1.1 AAA概述..................................................................................................................2-1
2.1.2 RADIUS协议概述....................................................................................................2-1
2.1.3 HWTACACS协议概述.............................................................................................2-2
2.1.4 AAA/RADIUS在交换机中的实现..............................................................................2-4
2.2 AAA配置.............................................................................................................................2-5
2.2.1 创建/删除ISP域........................................................................................................2-5
2.2.2 配置ISP域的相关属性..............................................................................................2-6
2.2.3 开启/关闭自助服务器定位功能................................................................................2-7
2.2.4 创建本地用户...........................................................................................................2-8
2.2.5 设置本地用户的属性................................................................................................2-8
2.2.6 强制切断用户连接..................................................................................................2-10
2.2.7 配置动态VLAN下发...............................................................................................2-10
2.3 RADIUS协议配置.............................................................................................................2-12
2.3.1 创建/删除RADIUS方案..........................................................................................2-12
2.3.2 设置RADIUS服务器的IP地址和端口号..................................................................2-13
2.3.3 设置RADIUS报文的加密密钥................................................................................2-14
2.3.4 设置RADIUS服务器所属的VPN............................................................................2-15
2.3.5 设置RADIUS请求报文的最大传送次数..................................................................2-15
2.3.6 设置RADIUS服务器应答超时时间.........................................................................2-16
2.3.7 设置RADIUS服务器恢复激活状态的时间..............................................................2-16
2.3.8 打开RADIUS计费可选开关....................................................................................2-17
2.3.9 设置实时计费间隔..................................................................................................2-17
2.3.10 设置允许实时计费请求无响应的最大次数...........................................................2-18
2.3.11 使能停止计费报文缓存功能.................................................................................2-18
2.3.12 设置停止计费请求报文的最大发送次数...............................................................2-19
2.3.13 设置支持何种类型的RADIUS服务器...................................................................2-19
2.3.14 设置RADIUS服务器的状态..................................................................................2-19
2.3.15 设置发送给RADIUS服务器的用户名格式............................................................2-20
2.3.16 设置发送给RADIUS服务器的数据流的单位........................................................2-21
2.3.17 配置NAS发送RADIUS报文使用的源地址............................................................2-21
2.3.18 配置本地RADIUS认证服务器..............................................................................2-22 2.4 HWTACACS协议配置......................................................................................................2-22
2.4.1 创建HWTACACS方案...........................................................................................2-23
2.4.2 配置TACACS认证服务器......................................................................................2-23
2.4.3 配置TACACS授权服务器......................................................................................2-24
2.4.4 配置TACACS计费服务器及相关属性....................................................................2-24
2.4.5 配置NAS发送HWTACACS报文使用的源地址.......................................................2-25
2.4.6 配置TACACS服务器的密钥...................................................................................2-26
2.4.7 配置TACACS服务器的用户名格式........................................................................2-26
2.4.8 配置TACACS服务器的流量单位............................................................................2-26
2.4.9 配置TACACS服务器的定时器...............................................................................2-27 2.5 AAA和RADIUS/HWTACACS协议的显示和调试..............................................................2-28 2.6 AAA和RADIUS/HWTACACS协议典型配置举例..............................................................2-30
2.6.1 FTP/Telnet用户远端RADIUS服务器认证配置.......................................................2-30
2.6.2 FTP/Telnet用户本地RADIUS认证服务器认证配置................................................2-31
2.6.3 用户通过TACACS服务器认证、授权的应用.........................................................2-32 2.7 AAA和RADIUS/HWTACACS协议故障的诊断与排除.......................................................2-33
第1章 802.1x配置
1.1 80
2.1x简介
1.1.1 80
2.1x标准简介
IEEE 802.1x标准(以下简称802.1x)的主要内容是一种基于端口的网络接入控制
(Port Based Network Access Control)协议,主要是解决无线局域网用户的接入
认证问题。
在符合IEEE 802标准的局域网中,只要与局域网接入控制设备(如LANSwitch)
相接,用户就可以与局域网连接并访问其中的设备和资源。但是对于诸如电信接入、
商务局域网(典型的例子是写字楼中的LAN)以及移动办公等应用场合,局域网服
务的提供者普遍希望能对用户的接入进行控制,为此产生了本章开始就提到的对“基
于端口的网络接入控制”的需求。
顾名思义,“基于端口的网络接入控制”是指在局域网接入控制设备的端口这一级
对所接入的设备进行认证和控制。连接在端口上的用户设备如果能通过认证,就可
以访问局域网中的资源;如果不能通过认证,则无法访问局域网中的资源——相当
于连接被物理断开。
802.1x定义了基于端口的网络接入控制协议,并且仅定义了接入设备与接入端口间
点到点这一种连接方式。其中端口既可以是物理端口,也可以是逻辑端口。典型的
应用环境如:LANSwitch的每个物理端口仅连接一个用户的计算机工作站(基于物
理端口),IEEE 802.11标准定义的无线LAN接入环境(基于逻辑端口)等。
1.1.2 80
2.1x体系结构
使用802.1x的系统为典型的C/S(Client/Server)体系结构,包括三个实体,如下
图所示分别为:Supplicant System(接入系统)、Authenticator System(认证系
统)以及Authentication Server System(认证服务器系统)。
局域网接入控制设备需要提供802.1x的认证系统(Authenticator System)部分;
用户侧的设备如计算机等需要安装802.1x的客户端(Supplicant)软件,如华为公
司提供的802.1x客户端(或如Windows XP自带的802.1x客户端);802.1x的认
证服务器系统(Authentication Server System)则一般驻留在运营商的AAA中心。
Authenticator与Authentication Server间通过EAP(Extensible Authentication
Protocol,可扩展认证协议)帧交换信息,Supplicant与Authenticator间则以IEEE
802.1x所定义的EAPoL(EAP over LANs,局域网上的EAP)帧交换信息,EAP
帧中封装了认证数据,该认证数据将被封装在其它AAA上层协议(如RADIUS)的
报文中以穿越复杂的网络到达Authentication Server,这一过程被称为EAP Relay。
Authenticator的端口又分为两种:非受控端口(Uncontrolled Port)和受控端口
(Controlled Port)。非受控端口始终处于双向连通状态,用户接入设备可以随时通
过这些端口访问网络资源以获得服务;受控端口只有在用户接入设备通过认证后才
处于连通状态,才允许用户通过其进一步访问网络资源。
图1-1802.1x体系结构
1.1.3 80
2.1x的认证过程
802.1x通过EAP帧承载认证信息,标准中共定义了如下几种类型的EAP帧:
z EAP-Packet:认证信息帧,用于承载认证信息。
z EAPoL-Start:认证发起帧,Supplicant主动发起的认证发起帧。
z EAPoL-Logoff:退出请求帧,主动终止已认证状态。
z EAPoL-Key:密钥信息帧,支持对EAP报文的加密。
z EAPoL-Encapsulated-ASF-Alert:用于支持Alert Standard Forum(ASF)的Alerting消息。
其中,EAPoL-Start、EAPoL-Logoff和EAPoL-Key仅在Supplicant和Authenticator
间存在;EAP-Packet信息由Authenticator重新封装后传递到Authentication
Server;EAPoL-Encapsulated-ASF-Alert与网管信息相关,由Authenticator终结。
802.1x提供了一个用户身份认证的实现方案,但是仅仅依靠802.1x是不足以实现该
方案的——接入设备的管理者还要对AAA方法进行配置,选择使用RADIUS或本地
认证方法,以配合802.1x完成用户的身份认证。AAA方法的具体配置细节,请参见
本书的“第2章 AAA和RADIUS/HWTACACS协议配置”章节。
1.1.4 80
2.1x在以太网交换机中的实现
Quidway系列交换机在802.1x的实现中,不仅支持协议所规定的端口接入认证方
式,还对其进行了扩展、优化:
z支持一个物理端口下挂接多个用户的应用场合;
z接入控制方式(即对用户的认证方式)不仅可以基于端口,还可以基于MAC 地址。
这样可极大地提高系统的安全性和可管理性。
1.2 80
2.1x配置
802.1x本身的各项配置任务都可以在以太网交换机的系统视图下完成。当全局
802.1x开启后,可以对端口的802.1x状态进行配置。
说明:
如果端口启动了802.1x,则不能配置该端口的最大MAC地址学习个数(通过命令
mac-address max-mac-count配置),反之,如果端口配置了最大MAC地址学
习个数,则禁止在该端口上启动802.1x。
802.1x的配置包括:
z开启/关闭802.1x特性
z配置接入端口的控制模式
z配置端口接入控制方式
z检测通过代理登录交换机的用户
z配置端口接入用户数量的最大值
z配置允许DHCP触发认证
z配置802.1x用户的认证方法
z配置Guest Vlan
z配置认证请求帧的可重复发送次数
z配置802.1x定时器参数
z打开/关闭Quiet Period定时器
在以上的配置任务中,第一项任务是必配的,否则802.1x无法发挥作用;其余任务
则是可选的,用户可以根据各自的具体需求决定是否进行这些配置。
1.2.1 开启/关闭802.1x特性
可以通过下面的命令开启/关闭指定端口或全局的802.1x特性,在系统视图下,不
指定任何端口时,开启/关闭全局的802.1x特性,指定端口时,开启/关闭指定端口
的802.1x特性。在以太网端口视图下,不能指定端口,开启/关闭本端口的802.1x
特性。
请在系统视图或以太网端口视图下进行下列配置。
表1-1开启/关闭802.1x特性
操作命令
开启802.1x特性dot1x [ interface interface-list ]
关闭802.1x特性undo dot1x [ interface interface-list ]
缺省情况下,全局及端口的802.1x特性均为关闭状态。
需要注意的是:各端口的802.1x状态在全局802.1x没有开启之前不可以配置;在
关闭全局802.1x特性之前需要先关闭每个端口的802.1x特性。
1.2.2 配置端口接入控制的模式
可以通过下面的命令来设置802.1x在指定端口上进行接入控制的模式。当没有指定
任何确定的端口时,设置的是所有端口接入控制的模式。
请在系统或以太网端口视图下进行下列配置。
表1-2配置端口接入控制的模式
操作命令
设置端口接入控制的模式dot1x port-control {authorized-force | unauthorized-force | auto } [ interface interface-list ]
将端口接入控制的模式恢复为缺省值undo dot1x port-control [ interface interface-list ]
auto自动识别模式,又称为协议控制模式,表示端口初始状态为非授权状态,仅允许EAPoL报文收发,不允许用户访问网络资源;如果认证流程通过,则端口切换到授权状态,允许用户访问网络资源。
authorized-force为强制授权模式,表示端口始终处于授权状态,允许用户不经认证授权即可访问网络资源。
unauthorized-force为强制非授权模式,表示端口始终处于非授权状态,不响应用户的认证请求,不允许用户访问网络资源。
缺省情况下,802.1x在端口上进行接入控制的模式为auto。
1.2.3 配置端口接入控制方式
可以通过下面的命令来设置802.1x在指定端口上进行接入控制方式。当没有指定任
何确定的端口时,设置的是所有端口进行接入控制的方式。
请在系统或以太网端口视图下进行下列配置。
表1-3配置端口接入控制方式
操作命令
设置端口接入控制方式dot1x port-method { macbased | portbased } [ interface interface-list ]
将端口接入控制方式恢复为缺省值undo dot1x port-method [ interface interface-list ]
当采用macbased方式时,该端口下的所有接入用户均需要单独认证,当某个用户
下线时,也只有该用户无法使用网络;当采用portbased方式时,只要该端口下的
第一个用户认证成功后,其他接入用户无须认证就可使用网络资源,但是当第一个
用户下线后,其他用户也会被拒绝使用网络。
缺省情况下,802.1x在端口上进行接入控制方式为macbased,即基于MAC地址
进行认证。
1.2.4 检测通过代理登录交换机的用户
可以通过下面的命令实现交换机对通过代理登录的用户的检测及相关控制。
请在系统或以太网端口视图下进行下列配置。
表1-4检测通过代理登录交换机的用户
操作命令
使能对通过代理登录交换机的用户的检测及控制dot1x supp-proxy-check { logoff | trap } [ interface interface-list ]
取消对通过代理登录交换机的用户的检测及控制undo dot1x supp-proxy-check { logoff | trap } [ interface interface-list]
此命令如果在系统视图下执行,可以作用于interface-list参数所指定的某个端口;
如果在以太网端口视图下执行,不能输入interface-list参数,只能作用于当前端口。
在系统视图下开启全局的代理用户检测与控制后,必须再开启指定端口的代理用户
检测与控制特性,此特性的配置才能在该端口上生效。
1.2.5 配置端口接入用户数量的最大值
可以通过下面的命令来设置802.1x在指定端口上可容纳接入用户数量的最大值。当
没有指定任何确定的端口时,指示所有端口都可容纳相同数量的接入用户。
请在系统或以太网端口视图下进行下列配置。
表1-5配置端口接入用户数量的最大值
操作命令
设置端口接入用户数量的最大值dot1x max-user user-number [ interface interface-list ]
将端口接入用户数量的最大值恢
复为缺省值
undo dot1x max-user [ interface interface-list ]
缺省情况下,802.1x在S8500系列路由交换机单个的端口上允许最多有1024个接
入用户,整机上允许最多有2048个接入用户。
1.2.6 配置允许DHCP触发认证
在DHCP环境中,如果用户私自配置静态IP,可以通过下面的命令来设置802.1x
是否允许以太网交换机触发对该用户的身份认证。
请在系统视图下进行下列配置。
表1-6配置允许DHCP触发认证
操作命令
用户私自配置静态IP,不触发对其认证dot1x dhcp-launch
用户私自配置静态IP,可以触发对其认证undo dot1x dhcp-launch
缺省情况下,用户自己配置静态IP,交换机可以触发对其的身份认证。
1.2.7 配置802.1x用户的认证方法
可以通过下面的命令来设置802.1x用户的认证方法。目前提供3种认证方法:PAP
认证(该功能的实现,需要RADIUS服务器支持PAP认证)、CHAP认证(该功
能的实现,需要RADIUS服务器支持CHAP认证)、EAP中继认证(直接把认证
信息以EAP报文的形式发送给RADIUS服务器,该功能的实现,需要RADIUS服
务器支持EAP认证)。
请在系统视图下进行下列配置。
表1-7配置802.1x用户认证方法
操作命令
设置802.1x用户的认证方法 dot1x authentication-method { chap | pap | eap md5-challenge }
恢复缺省802.1x用户认证方法 undo dot1x authentication-method
缺省情况下,交换机802.1x用户认证方法为CHAP认证。
1.2.8 配置Guest VLAN
当Guest VLAN功能开启后,交换机向所有开启802.1x功能的端口广播主动认证报
文,如果达到最大重认证次数后,仍有端口上未返回响应报文,则交换机将该端口
加入到Guest VLAN中。之后属于该Guest VLAN中的用户访问该Guest VLAN中
的资源时,不需要进行802.1x认证,但访问外部的资源时仍需要进行认证。从而满
足了允许未认证用户访问某些资源的需求:如用户没有安装802.1x客户端的情况下
访问某些资源;在用户未认证的情况下升级802.1x客户端等。
请在系统视图或以太网端口视图下进行下列配置。
表1-8配置Guest VLAN
操作命令
开启Guest VLAN功能dot1x guest-vlan vlan-id [ interface interface-list ]
关闭Guest VLAN功能undo dot1x guest-vlan vlan-id [ interface interface-list ]
需要注意的是:
z Guest VLAN仅在基于端口认证方式下可以支持;
z一台交换机只能配置一个Guest VLAN;
z用户没有认证、认证失败,或者下线后都属于Guest VLAN;
z只能在Access端口配置Guest VLAN;
z配置的Vlan-id必须已存在,并且不能为Super VLAN;
z Guest VLAN和其他VLAN接口间不互通由系统手工配置保证。
1.2.9 配置认证请求帧的最大可重复发送次数
可以通过下面的命令来设置以太网交换机可重复向接入用户发送认证请求帧的最大
次数。
请在系统视图下进行下列配置。
表1-9配置认证请求帧的最大可重复发送次数
操作命令
设置认证请求帧的最大可重复发送次数dot1x retry max-retry-value
将认证请求帧的最大可重复发送次数恢复为缺省值undo dot1x retry
缺省情况下,max-retry-value为2,即交换机最多可重复向接入用户发送2次认证
请求帧。
1.2.10 配置802.1X定时器参数
可以通过下面的命令来配置802.1x的各项定时器参数。
请在系统视图下进行下列配置。
表1-10配置定时器参数
操作命令
配置定时器参数dot1x timer { handshake-period handshake-period-value | quiet-period quiet-period-value| tx-period tx-period-value | supp-timeout supp-timeout-value | server-timeout
server-timeout-value }
将定时器参数恢复为缺省值undo dot1x timer { handshake-period | quiet-period | tx-period| supp-timeout | server-timeout }
其中:
tx-period:传送超时定时器。当Authenticator设备向Supplicant设备发送了Request/Identity请求报文(该报文用于请求用户的用户名,或者用户名和密码)后,Authenticator设备启动定时器tx-period,若在该定时器设置的时长内,Supplicant 设备未成功发送认证应答报文,则Authenticator设备将重发认证请求报文。
tx-period-value:传送超时定时器设置的时长,取值范围为10~120,单位为秒。缺省情况下,tx-period-value为30秒。
supp-timeout:Supplicant认证超时定时器。当Authenticator设备向Supplicant 设备发送了Request/Challenge请求报文(该报文用于请求Supplicant设备的MD5加密密文)后,Authenticator设备启动supp-timeout定时器,若在该定时器设置的时长内,Supplicant设备未成功响应,Authenticator设备将重发该报文。
supp-timeout-value:Supplicant认证超时定时器设置的时长,取值范围为10~120,单位为秒。缺省情况下,supp-timeout-value为30秒。
server-timeout:Authentication Server超时定时器。若在该定时器设置的时长内,Authentication Server未成功响应,Authenticator设备将重发认证请求报文。server-timeout-value:RADIUS服务器超时定时器设置的时长,取值范围为100~300,单位为秒。缺省情况下,server-timeout-value为100秒。
handshake-period:此定时器是在用户认证成功后启动的,系统以此间隔为周期发送握手请求报文。如果dot1x retry命令配置重试次数为N,则系统连续N次没有收到客户端的响应报文,就认为用户已经下线,将用户置为下线状态。handshake-period-value:握手时间间隔,取值范围为1~1024,单位为秒。缺省情况下,握手报文的发送时间间隔为30秒。
quiet-period:静默定时器。对用户认证失败以后,Authenticator设备需要静默一
段时间(该时间由静默定时器设置)后再重新发起认证,在静默期间,Authenticator
设备不处理认证功能。
quiet-period-value:静默定时器设置的静默时长,取值范围10~120,单位为秒。
缺省情况下,quiet-period-value为60秒。
说明:
根据用户数的不同,建议用户配置不同的握手时间间隔值和握手超时次数:
z用户数为2048时,握手间隔大于等于2分钟,握手超时次数大于等于3次;
z用户数为1024时,握手间隔大于等于1分钟,握手超时次数大于等于3次;
z用户数为512时,握手间隔大于等于30秒,握手超时次数大于等于2次。
1.2.11 打开/关闭Quiet-period定时器
可以通过下面的命令来打开/关闭Authenticator设备(如Quidway系列交换机)的
Quiet-period定时器。当802.1x用户认证失败以后,Authenticator设备需要静默一
段时间(该时间由静默定时器设置)后再重新发起认证,在静默期间,Authenticator
设备不进行802.1x认证的相关处理。
请在系统视图下进行下列配置。
表1-11打开/关闭Quiet-period定时器
操作命令
打开Quiet-period定时器dot1x quiet-period
关闭Quiet-period定时器undo dot1x quiet-period
缺省情况下,关闭Quiet-period定时器功能。
1.3 80
2.1x的显示和调试
在完成上述配置后,在任意视图下执行display dot1x命令可以显示配置后802.1x
的运行情况,通过查看显示信息验证配置的效果。在用户视图下,执行reset dot1x
statistics命令可清除802.1x的统计信息;执行debugging命令可对802.1x进行
调试。
表1-12802.1x的显示和调试
操作命令
清除802.1x的统计信息reset dot1x statistics [ interface interface-list ]
显示802.1x的配置、运行情况和统计信息display dot1x [ enabled-interface | guest vlan | interface interface-list | sessions | statistics ]
打开802.1x的错误/事件/报文/全
部调试开关
debugging dot1x { error | event | packet | all }
关闭802.1x的错误/事件/报文/全
部调试开关
undo debugging dot1x { error | event | packet | all } 1.4 报文防攻击配置
随着互联网规模的扩大和互联网用户的增加,网络设备在运行中会受到攻击的可能
性也在增大。S8500交换机针对一些典型的攻击方式,专门设计了一套防报文攻击
的方案,可以防止IP、ARP、802.1x、未知组播等报文的攻击。
z IP报文攻击,是指S8500接收到过多的目的地址和VLAN接口地址在同一网段,且在交换机上没有相应的转发表项的IP报文,该类报文会上送CPU进行
处理,占用大量CPU资源,严重时会影响正常数据业务的转发。
z ARP报文攻击,是指S8500收到大量的源MAC地址相同或者相近的arp请求报文,影响正常的ARP学习。
z802.1x报文攻击,是指S8500收到大量的源MAC地址相同或者相近的802.1x 认证报文,占用CPU资源。
请在系统视图下进行下列配置。
表1-13启动/关闭报文防攻击功能
操作命令
启动/关闭报文防攻击功能anti-attack { arp | dot1x | ip } { disable | enable }
缺省情况下,启动IP报文防攻击功能,关闭ARP报文以及dot1x报文的防攻击功
能。
1.5 80
2.1x典型配置举例
1. 组网需求
如下图所示,某用户的工作站与以太网交换机的端口Ethernet 2/1/1相连接。
交换机的管理者希望在各端口上对接入用户进行认证,以控制其访问Internet;接入控制模式要求是基于用户MAC地址的接入控制。
所有AAA接入用户都属于一个缺省的域:https://www.wendangku.net/doc/ba11633258.html,,该域最多可容纳30个用户;认证时,先进行RADIUS认证,如果RADIUS服务器没有响应再转而进行本地认证;计费时,如果RADIUS计费失败则切断用户连接使其下线;此外,接入时在用户名后不添加域名,正常连接时如果用户有超过20分钟流量持续小于2000Byte/s 的情况则切断其连接。
由两台RADIUS服务器组成的服务器组与交换机相连,其IP地址分别为10.11.1.1和10.11.1.2,要求使用前者作为主认证/从计费服务器,使用后者作为从认证/主计费服务器;设置系统与认证RADIUS服务器交互报文时的加密密码为“name”、与计费RADIUS服务器交互报文时的加密密码“money”,设置系统在向RADIUS 服务器发送报文后5秒种内如果没有得到响应就向其重新发送报文,重复发送报文的次数总共为5次,设置系统每15分钟就向RADIUS服务器发送一次实时计费报文,指示系统从用户名中去除用户域名后再将之传给RADIUS服务器。
本地802.1x接入用户的用户名为localuser,密码为localpass,使用明文输入,闲置切断功能处于打开状态。
2. 组网图
图1-2启动802.1x和RADIUS对接入用户进行AAA操作
3. 配置步骤
说明:
下述各配置步骤包含了大部分AAA/RADIUS/HWTACACS协议配置命令,对这些命令的介绍,请参见“第2章 AAA和RADIUS/HWTACACS协议配置”相关章节。此外,接入用户工作站略。
RADIUS服务器上的配置,是以RADIUS方案为单位进行的。一个RADIUS方案在实际组网环境中既可以是一台独立的RADIUS服务器,也可以是两台配置相同、但IP地址不同的主、备RADIUS服务器。由于存在上述情况,因此每个RADIUS方案的配置包括:设置主服务器的IP地址、备份服务器的IP地址、共享密钥等。
# 开启全局802.1x特性。
[Quidway] dot1x
# 开启指定端口Ethernet 2/1/1的802.1x特性。
[Quidway] dot1x interface Ethernet 2/1/1
# 设置接入控制方式(该命令可以不配置,因为端口的接入控制在缺省情况下就是基于MAC地址的)。
[Quidway] dot1x port-method macbased interface Ethernet 2/1/1
# 创建RADIUS方案radius1并进入其视图。
[Quidway] radius scheme radius1
# 设置主认证/计费RADIUS服务器的IP地址。
[Quidway-radius-radius1] primary authentication 10.11.1.1
[Quidway-radius-radius1] primary accounting 10.11.1.2
# 设置从认证/计费RADIUS服务器的IP地址。
[Quidway-radius-radius1] secondary authentication 10.11.1.2
[Quidway-radius-radius1] secondary accounting 10.11.1.1
# 设置系统与认证RADIUS服务器交互报文时的加密密码。
[Quidway-radius-radius1] key authentication name
# 设置系统与计费RADIUS服务器交互报文时的加密密码。
[Quidway-radius-radius1] key accounting money
# 设置系统向RADIUS服务器重发报文的时间间隔与次数。
[Quidway-radius-radius1] timer 5
[Quidway-radius-radius1] retry 5
# 设置系统向RADIUS服务器发送实时计费报文的时间间隔。
[Quidway-radius-radius1] timer realtime-accounting 15
# 指示系统从用户名中去除用户域名后再将之传给RADIUS服务器。
[Quidway-radius-radius1] user-name-format without-domain
[Quidway-radius-radius1] quit
# 创建用户域https://www.wendangku.net/doc/ba11633258.html,并进入其视图。
[Quidway] domain https://www.wendangku.net/doc/ba11633258.html,
# 指定radius1为该域用户的RADIUS方案。
[https://www.wendangku.net/doc/ba11633258.html,] radius-scheme radius1 # 设置该域最多可容纳30个用户。
[https://www.wendangku.net/doc/ba11633258.html,] access-limit enable 30 # 启动闲置切断功能并设置相关参数。
[https://www.wendangku.net/doc/ba11633258.html,] idle-cut enable 20 2000 # 添加本地接入用户。
[Quidway] local-user localuser
[Quidway-luser-localuser] service-type lan-access [Quidway-luser-localuser] password simple localpass
第2章 AAA和RADIUS/HWTACACS协议配置
2.1 AAA和RADIUS/HWTACACS协议简介
2.1.1 AAA概述
AAA是Authentication,Authorization and Accounting(认证、授权和计费)的简
称,它提供了一个用来对认证、授权和计费这三种安全功能进行配置的一致性框架,
实际上是对网络安全的一种管理。
这里的网络安全主要是指访问控制,包括:
z哪些用户可以访问网络服务器?
z具有访问权的用户可以得到哪些服务?
z如何对正在使用网络资源的用户进行计费?
针对以上问题,AAA必须提供下列服务:
z认证:验证用户是否可获得访问权。
z授权:授权用户可使用哪些服务。
z计费:记录用户使用网络资源的情况。
AAA一般采用客户/服务器结构:客户端运行于被管理的资源侧,服务器上集中存放
用户信息。因此,AAA框架具有良好的可扩展性,并且容易实现用户信息的集中管
理。
2.1.2 RADIUS协议概述
如前所述,AAA是一种管理框架,因此,它可以用多种协议来实现。在实践中,人
们最常使用RADIUS协议来实现AAA。
1. 什么是RADIUS
RADIUS是Remote Authentication Dial-In User Service(远程认证拨号用户服务)
的简称,它是一种分布式的、客户机/服务器结构的信息交互协议,能保护网络不受
未授权访问的干扰,常被应用在既要求较高安全性、又要求维持远程用户访问的各
种网络环境中(例如,它常被应用在管理使用串口和调制解调器的大量分散拨号用
户)。RADIUS系统是NAS(Network Access Server)系统的重要辅助部分。
当RADIUS系统启动后,如果用户想要通过与NAS(PSTN环境下的拨号接入服务
器或以太网环境下带接入功能的以太网交换机)建立连接从而获得访问其它网络的
权利或取得使用某些网络资源的权利时,NAS,也就是RADIUS客户端将把用户的
认证、授权和计费请求传递给RADIUS服务器。RADIUS服务器上有一个用户数据
库,其中包含了所有的用户认证和网络服务访问信息。RADIUS服务器将在接收到
NAS传来的用户请求后,通过对用户数据库的查找、更新,完成相应的认证、授权
和计费工作,并把用户所需的配置信息和计费统计数据返回给NAS——在这里,
NAS起到了控制接入用户及对应连接的作用,而RADIUS协议则规定了NAS与
RADIUS服务器之间如何传递用户配置信息和计费信息。
NAS和RADIUS之间信息的交互是通过将信息承载在UDP报文中来完成的。在这
个过程中,交互双方将使用密钥对报文进行加密,以保证用户的配置信息(如密码)
被加密后才在网络上传递,从而避免它们被侦听、窃取。
说明:
Radius方案的认证和授权不能分离。
2. RADIUS操作
RADIUS服务器对用户的认证过程通常需要利用接入服务器等设备的代理认证功
能,通常整个操作步骤如下:首先,客户端向RADIUS服务器发送请求报文(该报
文中包含用户名和加密口令);然后,客户端会收到RADIUS服务器的响应报文,
如ACCEPT报文、REJECT报文等(其中,ACCEPT报文表明用户通过认证;
REJECT报文表明用户没有通过认证,需要用户重新输入用户名和口令,否则访问
被拒绝)。
2.1.3 HWTACACS协议概述
1. HWTACACS特性
HWTACACS安全协议是在TACACS(RFC1492)基础上进行了功能增强的一种安
全协议。该协议与RADIUS协议类似,主要是通过Server-Client模式实现多种用户
的AAA功能,可用于PPP和VPDN接入用户及Login用户的认证、授权和计费。
与RADIUS相比,HWTACACS具有更加可靠的传输和加密特性,更加适合于安全
控制。HWTACACS协议与RADIUS协议的主要区别如下表:
表2-1HWTACACS协议和RADIUS协议区别
HWTACACS协议RADIUS协议
使用TCP,网络传输更可靠使用UDP
除了标准的HWTACACS报文头,对报文主体全
只是对验证报文中的密码字段进行加密部进行加密
认证和授权分离,例如,可以使用RADIUS进行
认证和授权一起处理
认证,而使用HWTACACS进行授权
适于进行安全控制适于进行计费
HWTACACS协议RADIUS协议
交换机路由模块上的配置命令对不同用户进行授
不支持
权使用
交换机作为HWTACACS的客户端,将接入用户的用户名和密码发给TACACS服务器进行验证和授权。如下图所示:
图2-1HWTACACS的典型应用组网图
2. HWTACACS的基本消息交互流程
以Telnet为例,说明HWTACACS对用户进行认证、授权和计费的过程。在整个过程中的基本消息交互过程如下:
z用户请求登录交换机,TACACS客户端收到请求之后,向TACACS服务器发送请求认证报文;
z TACACS服务器发送认证回应报文,请求用户名;TACACS客户端收到回应报文后,向用户请求用户名;
z用户反馈用户名,TACACS客户端收到后,向TACACS服务器发送认证持续报文,其中包括了用户名;
z TACACS服务器发送认证回应报文,请求登录密码;TACACS客户端收到回应报文,向用户请求登录密码;
z用户输入登录密码,TACACS客户端收到后,向TACACS服务器发送认证持续报文,其中包括了登录密码;
z TACACS服务器发送认证回应报文,表示用户通过认证;
z TACACS客户端向TACACS服务器发送用户授权请求报文;
z TACACS服务器发送授权回应报文,表示用户授权通过;
z TACACS客户端收到授权回应成功报文,向用户输出交换机的配置界面,用户登陆成功;
z TACACS客户端向TACACS服务器发送计费开始报文;
z TACACS服务器发送计费回应报文,表示计费开始报文已经收到;
z用户退出,TACACS客户端向TACACS服务器发送计费结束报文;
z TACACS服务器发送计费结束报文,表示计费结束报文已经收到。
基本消息交互流程图如下:
TACACS TACACS
User
Client Server
图2-2基本消息交互流程图
2.1.4 AAA/RADIUS在交换机中的实现
由前面的概述,我们可以明白,在这样一个AAA/RADIUS框架中,Quidway系列交
换机是作为用户接入设备即NAS,相对于RADIUS服务器来说,Quidway系列交换
机是RADIUS系统的客户端;换句话说,AAA/RADIUS在Quidway系列交换机中
实现的是其客户端部分。Quidway系列交换机参与的、使用RADIUS认证的组网示
意图如下所示。
图2-3S8500使用RADIUS认证的典型组网图
2.2 AAA配置
AAA的配置包括:
z创建/删除ISP域
z配置ISP域的相关属性
z开启/关闭自助服务器定位功能
z创建本地用户
z设置本地用户的属性
z强制切断用户连接
在以上的配置任务中,创建ISP域是必需的,否则无法区分接入用户的属性;其余
任务则是可选的,用户可以根据各自的具体需求决定是否进行这些配置。
2.2.1 创建/删除ISP域
ISP(Internet Service Provider)域即ISP用户群,一个ISP域是由同属于一个ISP
的用户构成的用户群。一般说来,在“userid@isp-name”形式(例如
gw20010608@https://www.wendangku.net/doc/ba11633258.html,)的用户名中,“@”后的“isp-name”(如例中的
“https://www.wendangku.net/doc/ba11633258.html,”)即为ISP域的域名。在Quidway系列交换机对用户进行接入
控制时,对于用户名为“userid@isp-name”形式的ISP用户,系统就将把“userid”
作为用于身份认证的用户名,把“isp-name”作为域名。
引入ISP域的设置是为了支持多ISP的应用环境:在这种环境中,同一个接入设备
接入的有可能是不同ISP的用户。由于各ISP用户的用户属性(例如用户名及密码
构成、服务类型/权限等)有可能各不相同,因此有必要通过设置ISP域的方法把它
MOXA交换机使用说明
MOXA交换机使用说明 1、IP地址的设置 通过IE工具来Ping 交换机默认的IP(出厂默认)地址,进入交换机配置界面后,直接点击确认后,进入交换机设置界面对话框,IP地址设置请选择\Main Meun\Basic Settings\Network,出现下列对话框 在此对话框下,设置人员在Switch IP Address 和 Switch Subnet Mask 旁的空白处填写预定的IP地址(如:),以及相应的子网掩码地址(如:);其他的如Auto IP Configuration 设置为Disable方式,不要选择HDCP方式。 2、主站(Master)设置 完成了IP方式的设置后,就需要对交换的通讯协议和交换机进行相应的设置,选择\Main Menu\Communication Redundancy(通讯冗余设置),进入对话框: 在此对话框内,我们需要注意的是Settings标记下方的设置参量,而Current Status 为相应的设置参量后交换机系统检测后的状态指示。
Redundancy Protocol (通讯协议设置):设置选择为Turbo Ring ,而非是IEEE802协议(快速生成树)方式; 采用Turbo Ring方式的情况下,需要在网络交换机组中设置一个Master(主站),选择主站的方式是将Set as Master前的小方框内给予选中, 只需要选择确定后,点击Activate按钮即可生效。(注意:在多个交换机组成网中只能有1个设置为Master,不可以多选;同时如果不对交换机进行Master设置,系统会自动设置交换机组中的1台为Master)。 Enable Ring Coupling (环间耦合端口定义)在实际的项目运用中不常运用到,在此不给予更多的描述。需要提醒的是工程人员在设置过程中不要将Enable Ring Coupling 前的小方格选中,同时要注意的是对应的Coupling Port和 Coupling Control Port后的端口与前面的Redundant Ports 1st Port和 2nd Port(冗余连接端口定义)设置的端口重复。 3、网络设置参数验证 完成网络参数设置后,对应的Communication Redundancy对话框内都通过Current Status状态给予体现了,包括了网络协议状态、主(Master)/从(Slave)方式;冗余端口的数据监测状态以及环间耦合状态信息。 在多台交换机组环的情况下,工程人员要注意Redundant Ports 1st Port和 2nd Port (冗余端口状态监测状态)的信息: (1)、Forwarding:(推进状态)
博科光纤交换机基本配置
博科 300光交换配置手册 1.设备示意图 2.配置准备 Brocade交换机采用B/S架构,远程客户端通过交换机以太网管理端口实现对交换机的监控及配置。在配置之前首先要在客户端安装JAVA运行环境JRE。 3.设备配置 修改客户端IP地址与交换机为同一子网10.77.77.100; 打开浏览器输入http://10.77.77.77按下回车后会弹出登陆对话框;户名:admin 密码:password 备注:admin: 可以执行所有的命令并查看交换机状态和修改交换机的配置 user: 执行Show命令来查看交换机的状态?改变密码 以admin身份执行passwd命令 会显示每个用户,可以依次修改他们的密码 4.常用配置命令 1)Tip: 可使用下面的命令来检查Fabric OS的版本 sw:admin> version Kernel: 5.3.1 Fabric OS: v3.0.2c Made on: Thu Apr 19 12:02:15 PDT 2002 Flash: Thu Apr 19 12:04:03 PDT 2002 BootProm: T ue Apr 26 18:33:23 PST 2002 2)ipAddrShow –显示交换机的IP设置 sw:admin> ipAddrShow Ethernet IP Address: 10.77.77.77 Ethernet Subnetmask: 255.255.255.0 Fibre Channel I P Address: none Fibre Channel Subnetmask: none Gateway Address: 0.0.0.0 ? ipAddrSe t 3)为交换机设置IP地址 sw:admin> ipAddrSet Ethernet IP Address [10.77.77.77]: 192.168.66.107 Ethernet Subnetmask [0.0.0.0]: 255 .255.255.0 Fibre Channel IP Address [none]: Fibre Channel Subnetmask [none]: Gatew ay Address [172.17.1.1]: Set IP address now? [y = set now, n = next reboot]: y ? sw2: 4)显示交换机配置 admin> switchShow
公文交换平台
公文交换平台 电子公文交换平台是一个跨地区、跨单位、跨部门交换型的公文应用平台,支持安全可靠的政府型、集团型电子公文信息交换,可有效提高政府及集团办公效率,推进政务信息化建设。作为长江数据电子政务解决方案的核心应用平台,电子公文交换平台具有良好的系统兼容性和伸缩性,可灵活挂接其它办公自动化系统及相关业务系统,是一个实用、安全、高效的政务应用平台。 产品功能 电子公文交换平台主要由发文管理、收文管理、文种与红头制作、电子印章管理、收发文监控、收文提醒、检索与统计、系统日志、组织机构管理、公文模板库、权限管理等功能模块组成。 发文管理 将已制作好的公文草稿以附件方式导入到电子公文交换平台,或通过公文编辑工具在线套用公文模板来制作公文草稿,经过套印红头、电子签名后,将公文草稿转成真正的“电子公文”文件。 公文盖章 对导入公文交换平台的电子公文,进行电子印章的加盖。加盖电子印章的文件,其公章和公文内容均不能再进行任何修改。
公文分发 选择收文单位,设置公文原件打印份数,再将公文分发给各收文单位。 公文签收 新收到的电子公文在首次打开阅读时,系统会自动发送签收回执。,对文件接收情况进行跟踪,记录公文签收人、签收时间、签收状态等信息。 收文提醒 系统拥有收文提醒功能,可自动提示用户查看最新收到的电子公文。 公文打印 发文部门及单位可以设定待发文件的打印次数,系统可以自动记录文件接收部门及单位的打印次数,并通知发文单位;当文件超过限定的打印次数时,系统会自动发出警告和提示。 公文归档 用户可在“公文归档”窗口中选择对应的信息进行归类,实现公文归档。产品架构
产品特点 可伸缩性强,适用任何规模 平台适用于各种级别的政府机关或大型集团,充分考虑纵向网、横向网及混合网络模式下的文流转特性,为政府和集团单位构筑不同应用规模的安全、高效、实用的电子公文交换平台,实现跨不同网络、不同网段下的公文交换。 无缝整合,支持异构系统 用户不仅可以直接使用平台进行公文报送、接收,也可以将长江数据电子公文交换平台https://www.wendangku.net/doc/ba11633258.html,/qqqun/1w60w381w0w0wwid.html与 现有的、分散的多个办公自动化应用系统紧密集成,实现异构系统收发文交换管理。 实时集中管理模式 平台采用先进的实时集中管理模式,各级单位的公文文件、政务信息都可以在此平台中进行科学、规范管理和有序地进行交换。 可扩展、可集成 平台采用开放式体系结构,各个模块独立实现,并具有标准接口,可在现有平台基础上进行二次开发,同时还可以与第三方应用程序、各类 WEB 应用集成,使信息交换更加快捷、方便。 印章锁定 平台上加盖电子印章的文件将被锁定,不能随意复制、修改、移动,防止文件盗用滥用。 报表统计 平台可以对各级单位、部门的公文交换情况进行统计查询,如年度公文汇总、公文上报统计、公文收发统计等,为高层管理者提供决策依据。 客户价值 资源有效利用和整合
H核心交换机E网络维护手册
网络设备维护手册 第一章交换机操作手册 此部分档使用本项目交换机型号如下:S7506E/S5120/S5130/WX3024E 设备登陆 Console登陆 1、通过交换机Console 口进行本地登录是登录交换机的最基本的方式,也是配置通过 其他方式登录交换机的基础。连接示意图如下: 2、把电脑和交换机连接好后,交换机上电开机,然后在电脑上进行如下操作,首先点击开始->程序->附件->通讯->超级终端 打开后出现下面图示,输入名称,可以任意输入。 输入完成点击确定,出现下面界面,连接时使用选择COM口,一般台式机为COM1或COM2,而笔记本经过转接,可能会产生COM3或COM4,也有可能是其他的,你可以在下面的选择项里看到,选择完成后点击确定。 通过上面的选择,现在到了对端口属性进行设置,一般情况下没有进行过修改,默认只要点击还原为默认值就可以了,然后再单击确定。之后敲回车即可,会出现H3C>提示符,说明已经与交换机连接,可以进行配置了,如果没有可以重启交换机或检查连接是否正确。 telnet登陆 1、新建用户名密码 local-user admin /admin为用户名 password cipher h3c@123 /h3c@123为密码 authorization-attribute level 3 /授权admin用户的等级为3,3为最高级 service-type telnet /授权admin用户的登陆方式,可以为ftp、telnet等 # telnet server enable /开启telnet服务 使用电脑连接至交换机: 交换机加电开机显示 sarting...... ************************************************************* * * * H3C S5510-24P BOOTROM, Version 142 *
H3C交换机操作手册
目录 H3C以太网交换机的基本操作........................................... 错误!未定义书签。 知识准备........................................................ 错误!未定义书签。 操作目的........................................................ 错误!未定义书签。 网络拓扑........................................................ 错误!未定义书签。 配置步骤........................................................ 错误!未定义书签。 串口操作配置................................................. 错误!未定义书签。 查看配置及日志操作........................................... 错误!未定义书签。 设置密码操作................................................. 错误!未定义书签。 验证方法........................................................ 错误!未定义书签。H3C以太网交换机VLAN配置............................................. 错误!未定义书签。 知识准备........................................................ 错误!未定义书签。 操作目的........................................................ 错误!未定义书签。 操作内容........................................................ 错误!未定义书签。 设备准备........................................................ 错误!未定义书签。 拓扑............................................................ 错误!未定义书签。 配置步骤........................................................ 错误!未定义书签。 验证方法........................................................ 错误!未定义书签。H3C以太网交换机链路聚合配置......................................... 错误!未定义书签。 知识准备........................................................ 错误!未定义书签。 操作目的........................................................ 错误!未定义书签。 操作内容........................................................ 错误!未定义书签。 设备准备........................................................ 错误!未定义书签。 网络拓扑........................................................ 错误!未定义书签。 配置步骤........................................................ 错误!未定义书签。 验证方法........................................................ 错误!未定义书签。H3C以太网交换机STP配置.............................................. 错误!未定义书签。 知识准备........................................................ 错误!未定义书签。 操作目的........................................................ 错误!未定义书签。 操作内容........................................................ 错误!未定义书签。 设备准备........................................................ 错误!未定义书签。 网络拓扑........................................................ 错误!未定义书签。
博科光纤交换机操作手册
与交换机交互,可以使用三种方式: 串口 以太网口 光纤口 缺省的串口参数是:9600,N,8,1 缺省IP访问方式是: IP地址: 10.77.77.77 用户名: admin 密码:password 时区: Pacific time 交换机名称:switch 可使用ipAddrSet命令来重新设置交换机的IP地址。 在2000和3000系列交换机之中,只能同时支持一个Telnet进程。 Brocade的交换机可以使用命令行和图形界面方式进行管理。 代表性的CLI方法代表性的如:Telnet,HyperTerm和tip。对于Fabric OS v4.1,SSH v2可以被使用。 如果Brocade Secure Fabric OS被设置有效,CLI 接口必须是Brocade Secure Telnet. Brocade API v2.1提供给用户扩展访问到交换机的方法;可以轻松的整合Brocade SAN Fabric的智能到已经存在的管理应用中,或者快速的开发用户SAN 的特殊功能。该工具包可以通过Brocade Connect 站点获得。 Brocade Fabric Manager v4.0 是一个实时管理多台Brocade 光纤交换机的很好的一个工具,它提供了有效的配置、监控、动态资源分配管理。 Brocade Web Tool是一个直观简单的管理小型SAN网络的管理工具。运行支持JRE的Web Browser上。 Brocade 提供基于SNMP的MIBs用来在交换机上读和配置公共设置。
串口管理: n 一条串口连接电缆 DB9 (female-to-female) n 使用超级终端或UNIX终端 n Windows: Hyper Terminal n UNIX: tip u Microsoft Windows? 环境之中 –传输速率: 9600bit/sec –数据位: 8 –校验位: None –停止位: 1 –流控制: None u UNIX? 环境下, 输入以下命令 # tip /dev/ttyb –9600 u 安装步骤 1. 通过串口线将两者进行连接 2. 确保交换机已经加电 3. 通过ipAddrSet命令设置IP地址 (注意: 命令是大小写敏感,但是全大写或全小写也可。) 登录方式: ?用户 ?admin: 可以执行所有的命令并查看交换机状态和修改交换机的配置 ?user: 执行Show命令来查看交换机的状态 ?改变密码
Hp交换机操作手册中文版
第一章交换机的初始配置 1.1使用CONSOLE口进行交换机的配置 1〃超级终端配置如下: 开始-附件-通讯-超级终端,在COM口属性的窗口中选择还原默认值。 每秒位数(B):9600 数据位(D):8 奇偶校验(P):无 停止位(S):1 数据流控制(F):无 2〃配置好超级终端后,回车登陆。H P系列产品默认需要认证,才能进行管理配置,默认的 用户名为空,口令为空。 图: 此时将进入登陆模式,登陆模式的符号是一个大于号“>”,在此模式下可以实现基本的状态查看功能,通过问号“?”可以查看此状态下所有可操作的命令. HP系列产品所有模式下(登陆模式,管理模式和配置模式)均有这种帮助功能,同时 在输入命令时,可以通过
配置模式:以“(con fig)”开头,能够对设备进行配置和管理,同一时刻仅仅允许一个管理人员处在配置模式下。此模式下可以同时具有管理模式和登陆模式的功 能。 从管理模式进入配置模式的命令为:conf igur e,即可进入配置模式。从高级模式退出到低级模式的命令为exi t或disa b le。 3〃基本命令 1、查看操作系统版本及硬件信息 命令:s h o w v er sion 作用:查看当前系统版本和状态信息 ?系统当前版本: test_5304x l#s h o w v ers i on Im age sta mp:/s w/c ode/buil d/al pm o(m35) A ug2200511:27:11 E.10.04 4015 B oot Im age:Pr i m ar y ?系统主机名: ?系统C P U类型: ?系统内存容量: ?系统启动时间: ?系统当前时间: ?系统端口类型: ?系统序列号: ?系统当前能实现的功能: 2.配置主机名: 命令:hostname
光纤交换机配置手册
FC交换机配置手册 交换机登陆 登陆方式:WEB登陆,如下图: Web初始地址:10.77.77.77,这是博科交换机的默认登陆地址。目前地址:交换机1:172.27.153.11 交换机2:172.27.153.12 交换机3:172.27.153.13 用户名:admin 密码:password,登陆对话框如下图: 点击OK按钮后,登陆到交换机后,显示如下页面:
在下面这个图中, 在下面这个图中, 显示交换机硬件等的状态。例如图中中上半部分表示交换机的端口,绿色表示已经端口正常,并已经与客户端建立通信。 表示交换机电源状态,绿色指示灯表示电源正常。 下面这个图,
这个图中的按钮,均为交换机的一些功能键,可查看交换机状态,以及进行交换机功能设置等。 交换机zoing划分方法 点击左下角进入zoing划分页面: Zoing划分主要可按照两种方式进行: 1.按照端口划分:即把同一个链路上的设备在光纤交换机上的端口划分为一个Zoing。这 种划分方式更换交换机端口后,Zoing会改变,需要重新划分。 2.按照WWn划分,即把同一个链路上的设备的WWN号(每一个光纤卡对应唯一一个 WWN号)划分为一个Zoing,这种划分方式更换客户端的光纤卡后,Zoing会改变,需要重新划分。 我们采用的为第二种方式,即按照WWN划分。 点击红框中的按键”zone”:,即可进行zoing的划分。
上图为zoing的一些功能按键,其中: New Zong :建立新的zoing Delete :删除一个已经建立的zoing Rename :重命名一个Zoing。 Copy :拷贝一个zoing。 点击New Zoing ,即可创建一个zoing。点击后出现如下页面: ,输入Zoing名称后,将WWN号添加到右侧空白处:
方正电子公文交换系统解决方案
公文传输一直是保证政务正常运转,信息互传的法定方式。传统的公文传输,以纸质文件的邮递来实现,传统的纸质文件传输时间长、成本高。随着信息化建设的不断完善,“电子公文传输”以其传输速度快、易于存档、方便交流等技术特点成为当前电子政务建设的必然要求。 方正电子公文传输系统,用于 远程电子公文传输。整个系统采用B/S架构,支持灵活的"集中-分布式"配置模式。采用国家相关资质单位的加密设备,文档经过加密后交换,可与办公自动化(OA)系统、其他交换平台无缝连接,使数据流安全畅通。兼容多种公文格式,保证电子与纸质公文的一致性,打印份数可控。采用安全的电子公章管理技术,与传统公章使用流程保持一致。采用可视化盖章流程控制,达到"所见即所得"的效果。 系统主要功能图 本系统实现远程的公文传输,主要功能包括: 发文管理 是指发文单位将一份要发给其他单位的电子公文,进行签发、盖章等操作,最后将CEB公文发送出去。具体是: 1、登记公文:将OA系统审批通过的公文转换为CEB格式并上载到系统中。
2、公文盖章/协办盖章:通过公章服务器,对公文加盖电子公章;多个部门联合发文时,系统提供协办盖章功能。 收文管理 是指接收到此公文的单位,对收文进行处理。具体包括: 1、来文提醒:当有未签收公文时,系统提供手机短信提醒功能。 2、公文打印:控制该单位是否有打印权限,并且只能按发文单位设定的打印份数打印公文。 系统管理 是指系统级的一系列管理功能,包括用户管理、打印机管理、日志管理、公文统计、用章监控等。 1、打印机管理:系统可与指定打印机绑定,做到精细打印控制,实现对打印机的开、关、缺纸、缺墨、卡纸等状况的判断识别,有效避免在空白纸上打出红章。 2、日志管理:详细的操作日志,记录公文、公章的操作使用情况,为系统的管理工作带来了极大的便利性,任何时候都可以对系统中发生的操纵进行回溯。 系统特点 1、基于CEB版式文件 公文信息的不可篡改性是许多安全措施的基本保证。方正CEB版式文件能有效防止黑客、内部人员对电子公文伪造、篡改、抵赖等问题,远程传输电子公文的传输前后不改变版式结构,有效地保障电子公文的权威性、严肃性、安全性。 2、系统架构可扩展 方正电子公文系统具备良好扩展性,能够与外部系统进行集成,满足客户对电子公文的不同应用要求。与电子公文系统进行集成的外部系统,主要包括: 1) OA系统:实现应用整合。 2) 加密卡:提供高级别安全保障。 3) CA系统:提供高级别安全保障。
SAN交换机维护操作手册
SAN 交换机健康检查操作手册
2
SAN 交换机健康检查操作手册
CONTENTS
目录
第一章 SAN 交换机健康检查操作手册
1
1.1 1.2 1.3 1.4 1.5 1.6 1.7 1.8 1.9 1.10 1.11 1.12 1.13
目的................................................................... 1 适用范围 ............................................................... 1 交换机工作环境温度检查 ................................................. 1 SAN 交换机状态查询 ..................................................... 1 SAN 交换机的登录 ....................................................... 3 交换机 Firmware 版本检查 ................................................ 3 Zoning 检查 ............................................................ 4 SAN 交换机日志信息收集 ................................................. 4 SAN 交换机配置文件备份 ................................................ 12 常用操作系统 HBA 卡 WWN 号查看方法 ...................................... 12 常用存储 HBA 卡 WWN 号查看方法 .......................................... 16 微码升级 .............................................................. 18 健康检查记录 .......................................................... 19
华为交换机配置手册
华为交换机配置手册集团标准化小组:[VVOPPT-JOPP28-JPPTL98-LOPPNN]
华为交换机配置手册 华为交换机配置手册 实验一使用华为Quidway系列交换机简单组网1.1实验目的 1.掌握华为Quidway系列交换机上的基本配置命令; 2.掌握VLAN的原理和配置; 3.掌握端口聚合(LinkAggregation)的原理和配置; 4.掌握生成树协议(STP)的原理和配置; 5.掌握GVRP协议的原理和配置; 6.掌握三层交换机和访问控制列表(ACL)的原理和配置; 7.掌握如何从PC机或其他交换机远程配置某交换机。 1.2实验环境 QuidwayS3026以太网交换机2台,QuidwayS3526以太网交换机1台, PC机4台,标准网线6根 QuidwayS3026软件版本:V100R002B01D011;Bootrom版本:V1.1 QuidwayS3526软件版本:V100R001B02D006;Bootrom版本:V3.0 1.3实验组网图 在下面的每个练习中给出。 1.4实验步骤 1.4.1VLAN配置 首先依照下面的组网图将各实验设备相连,然后正确的配置各设备的IP地址。有两台QuidwayS3026交换机和四台PC机。每台PC机的IP地址指定如下: 请完成以下步骤: 1、如上图所示,配置四台PC机属于各自的VLAN。 2、将某些端口配置成trunk端口,并允许前面配置的所有VLAN通过。 3、测试同一VLAN中的PC机能否相互Ping通。 配置如下: SwitchA: SwitchA(config)#vlan2//创建VLAN2 SwitchA(config-vlan2)#switchportethernet0/9//将以太口9划入VLAN2 SwitchA(config-vlan2)#vlan3//创建VLAN3 SwitchA(config-vlan3)#switchportethernet0/10//将以太口10划入VLAN3 SwitchA(config-vlan3)#interfaceethernet0/1//进入以太口1的接口配置模式SwitchA(config-if-Ethernet0/1)#switchmodetrunk//将e0/1接口设置为trunk模式SwitchA(config-if-Ethernet0/1)#switchtrunkallowvlanall//配置允许所有的VLAN通过 SwitchB: SwitchB(config)#vlan2 SwitchB(config-vlan2)#switchportethernet0/9 SwitchB(config-vlan2)#vlan3 SwitchB(config-vlan3)#switchportethernet0/10 SwitchB(config-vlan3)#interfaceethernet0/1 SwitchB(config-if-Ethernet0/1)#switchmodetrunk
H3C交换机操作手册(20200419203755)
目录 H3C以太网交换机的基本操作 (2) 1.1 知识准备 (2) 1.2 操作目的 (2) 1.3 网络拓扑 (2) 1.4 配置步骤 (2) 1.4.1 串口操作配置 (2) 1.4.2 查看配置及日志操作 (5) 1.4.3 设置密码操作 (5) 1.5 验证方法 (6) H3C以太网交换机VLAN配置 (6) 1.6 知识准备 (6) 1.7 操作目的 (6) 1.8 操作内容 (6) 1.9 设备准备 (6) 1.10 拓扑 (6) 1.11 配置步骤 (7) 1.12 验证方法 (7) H3C以太网交换机链路聚合配置 (7) 1.13 知识准备 (7) 1.14 操作目的 (7) 1.15 操作内容 (7) 1.16 设备准备 (7) 1.17 网络拓扑 (7) 1.18 配置步骤 (8) 1.19 验证方法 (9) H3C以太网交换机STP配置 (9) 1.20 知识准备 (9) 1.21 操作目的 (9) 1.22 操作内容 (9) 1.23 设备准备 (9) 1.24 网络拓扑 (10) 1.25 配置步骤 (10) 1.26 验证方法 (11)
H3C以太网交换机VRRP配置 (11) 1.27 知识准备 (11) 1.28 操作目的 (11) 1.29 操作内容 (11) 1.30 设备准备 (11) 1.31 网络拓扑 (12) 1.32 配置步骤 (12) 1.33 验证方法 (14) H3C以太网交换机镜像配置 (14) 1.34 知识准备 (14) 1.35 操作目的 (14) 1.36 操作内容 (14) 1.37 设备准备 (14) 1.38 网络拓扑 (14) 1.39 配置步骤 (15) 1.40 验证方法 (15) H3C以太网交换机路由配置 (16) 1.41 知识准备 (16) 1.42 操作目的 (16) 1.43 操作内容 (16) 1.44 设备准备 (16) 1.45 网络拓扑 (16) 1.46 配置步骤 (16) 1.47 验证方法 (17) H3C以太网交换机ACL配置 (17) 1.48 知识准备 (17) 1.49 操作目的 (18) 1.50 操作内容 (18) 1.51 网路拓扑 (18) 1.52 配置步骤 (18) 1.53 验证方法 (18) 实验一H3C以太网交换机的基本操作 备注:H3C以太网交换机采用统一软件平台VRP,交换机命令完全相同。
H3C交换机维护文档
H3C交换机日常维护操作方法 日常维护中所有的操作都要在[ ]提示符下操作才有效。 一、创建vlan 在提示符〔〕模式下,输入vlan 2,就立即创建了vlan2,而且立即生效。 二、删除vlan 在刚才执行的vlan 2前,添加undo,即undo vlan 2然后会车,就把刚才创建的vlan 2删除了。 三、添加端口 创建完了vlan,就可以把端口添加到相应的vlan里,方法是: 先进入vlan,比如vlan 2,就可以看到提示符变成了vlan2提示符了,然后再输入 Port interface g1/0/1 to g1/0/2,这样就把1口和2口都添加到vlan 2里了。 如果1口已经在vlan 2里,现在想调整,将1口变成vlan3里的端口我们可以输入:Vlan 3,提示符变成vlan 3了,然后再输入port interface g1/0/1就可以了。 四、添加静态路由 如果内网增加了vlan,而且这个段里的机器也要访问外网,需要在交换机里执行: Ip route 0.0.0.0 0.0.0.0 192.168.100.2 (0.0.0.0 0.0.0.0 代表任意ip,192.168.100.2是下一跳的ip,即防火墙的内口ip),同样需要在防火墙上向内网做一条反向的静态路由。 五、给vlan增加网关 Interface vlan 2 //选择vlan2 Ip address 192.168.2.1 255.255.255.0 //给vlan2添加IP 做完了网关,这样vlan里的所有用户只要将网关改成这些对应vlan地址就可以自动路由六、传送单播包 缺省在交换机里划分了vlan,交换机就自动的隔离了广播,这样的话,不同vlan里的机器就不能通过访问机器名的方式去访问别的机器,如果还想使用基于机器名的方式访问,需要在交换机下做允许广播包通过的命令。 Interface vlan 3 \\进入到要转发广播包的vlan里
华为S交换机操作手册
MEth 0/0/1 属于管理口
XX公文智能交换管理系统
XX公文智能交换管理系统 一、建设背景 当前,在国家信息化体系建设中,政府信息化已成为整个信息化建设中的关键。推动电子政务的发展,是一种世界性潮流,也是电子信息技术应用到政府管理的必然趋势。 随着计算机和网络技术在政府办公中的广泛应用,很多信息可通过电子信息通道传递。但对于大量存在的机要文件和物件,由于其机要保密和凭证特性等要求,有很多无法通过网络直接传输,而必须以实物的方式进行传递、处理和保存。长期以来,各级党、政、军、企事业单位的纸质文件收发、流转工作主要是靠手工签收、手工登记(录入)完成的。手工管理方式受人为因素影响大,效率低,容易出错,不易分清责任,对不可避免的错误或者漏洞难以追踪和纠正,甚至还会出现失泄密等重大事故。且由于文件的收发流转信息一般在登记本上,查询统计很不方便,信息资源难以共享,无法适应由于信息量的快速膨胀,管理部门对大量信息处理提出的快速、准确的要求。 另一方面,在传统的办公自动化系统中,需要分发交换的文件和文件相对应的电子信息是脱节的,经常出现文件的电子信息已经发到领导的电脑上而纸质文件还没有到达,或者领导已经在纸质文件上进行了批阅,秘书还要重新录入电子信息的情况,使纸质公文与电子公
文形成“两层皮”现象。因此,实现以数字化技术为基础的政府机关机要文件流转作业的全面信息化管理已成为政府机关政务信息化建设工作的一个重要领域。XX软件电子政务事业部公文智能交换管理系统即是针对上述问题提供的完整解决方案。 二、系统描述 公文智能交换管理系统将条码自动识别技术引入到公文流转过 程中,将公文、信件的基本信息生成条码,通过带有条码识读装置的专用设备“智能交换箱”来记录文件的全部流转信息,从而实现了传统办公自动化系统无法做到的纸质文件数据的自动载入。 “智能交换箱”投件口带有条码扫描装置,可高速准确地识读各类条码标签,动态显示箱内投件存量、各户发件量、误操作、运行状态等信息。交换箱箱体可根据用户要求改型设计。在系统中,参与交换流转的各个单位(部门)都设有“智能交换箱”,发件、取件均通过交换箱进行。系统会准确自动地记录文件交接细节,包括文件号、执行人、时间、收发件单位、密级、紧急程度等信息,自动打印交接清单,不必进行人工面对面的手工登记签收。 利用条码自动识别技术,系统将纸质文件和电子文件建立起对应关系,解决了信息流与物流的信息连接,从而实现了对纸质文件和电子文件的一体化管理。这一系统的建立,解决了以往公文流转过程中手工登记签收责任不清、劳动强度大、数据不准确、查询统计难等历史难题。系统能够生成含有文件信息的条码,把条码贴附在文件上,在文件的流转过程中通过“智能交换箱”自动采集条码上的信息,
H3C交换机操作手册
目录 H3C以太网交换机的基本操作 (1) 1.1 知识准备 (1) 1.2 操作目的 (1) 1.3 网络拓扑 (1) 1.4 配置步骤 (2) 1.4.1 串口操作配置 (2) 1.4.2 查看配置及日志操作 (4) 1.4.3 设置密码操作 (5) 1.5 验证方法 (6) H3C以太网交换机VLAN配置 (7) 1.6 知识准备 (7) 1.7 操作目的 (7) 1.8 操作内容 (7) 1.9 设备准备 (7) 1.10 拓扑 (7) 1.11 配置步骤 (8) 1.12 验证方法 (8) H3C以太网交换机链路聚合配置 (9) 1.13 知识准备 (9) 1.14 操作目的 (9) 1.15 操作内容 (9) 1.16 设备准备 (9) 1.17 网络拓扑 (9) 1.18 配置步骤 (10) 1.19 验证方法 (11) H3C以太网交换机STP配置 (12) 1.20 知识准备 (12) 1.21 操作目的 (12) 1.22 操作内容 (12) 1.23 设备准备 (12) 1.24 网络拓扑 (12) 1.25 配置步骤 (13)
1.26 验证方法 (14) H3C以太网交换机VRRP配置 (15) 1.27 知识准备 (15) 1.28 操作目的 (15) 1.29 操作内容 (15) 1.30 设备准备 (15) 1.31 网络拓扑 (16) 1.32 配置步骤 (16) 1.33 验证方法 (18) H3C以太网交换机镜像配置 (19) 1.34 知识准备 (19) 1.35 操作目的 (19) 1.36 操作内容 (19) 1.37 设备准备 (19) 1.38 网络拓扑 (20) 1.39 配置步骤 (20) 1.40 验证方法 (21) H3C以太网交换机路由配置 (22) 1.41 知识准备 (22) 1.42 操作目的 (22) 1.43 操作内容 (22) 1.44 设备准备 (22) 1.45 网络拓扑 (23) 1.46 配置步骤 (23) 1.47 验证方法 (24) H3C以太网交换机ACL配置 (25) 1.48 知识准备 (25) 1.49 操作目的 (25) 1.50 操作内容 (25) 1.51 网路拓扑 (25) 1.52 配置步骤 (25) 1.53 验证方法 (26) 实验一 H3C以太网交换机的基本操作
- 博科光纤交换机基本配置
- Cisco_MDS_9124光纤交换机安装配置手册
- Brocade交换机的使用—导出光纤交换机配置信息到本地的 操作说明
- 博科光纤交换机操作手册
- emcds-300b光纤交换机配置文档
- B16交换机操作手册
- (完整版)光纤交换机配置手册
- MDS_9124光纤交换机配置手册
- Cisco_MDS_9124光纤交换机安装配置手册
- 9124思科光纤交换机配置管理使用手册
- SAN光纤交换机基础配置文档
- Cisco思科光纤交换机配置说明
- CISCO光纤交换机操作指南
- 思科光纤交换机配置管理使用手册
- 博科光纤交换机基本配置
- 博科光纤交换机常用操作命令
- BROCADE博科光纤交换机的配置手册(精编文档).doc
- BROCADE博科光纤交换机配置文档
- IBM B24光纤交换机配置手册
- Cisco_MDS_9124光纤交换机安装配置手册