华为交换机802.1x认证

1、802.1X，端口认证，dot1x，也称为IBNS(注：IBNS包括

port-security)：基于身份的网络安全；当流量来到某个端口，需要和ACS交互，认证之后得到授权，才可以访问网络，前提是CLIENT必须支持802.1X方式，如安装某个软件 Extensible Authentication Protocol Over Lan(EAPOL) 使用这个协议来传递认证授权信息

示例配置：

Router#configure terminal

Router(config)#aaa new-model

Router(config)#aaa authentication dot1x default group radius

Switch(config)#radius-server host 10.200.200.1 auth-port 1633 key radkey

Router(config)#dot1x system-auth-control 起用DOT1X功能 Router(config)#interface fa0/0

Router(config-if)#dot1x port-control auto

AUTO是常用的方

1、802.1X，端口认证，dot1x，也称为IBNS(注：IBNS包括

port-security)：基于身份的网络安全；当流量来到某个端口，需要和ACS交互，认证之后得到授权，才可以访问网络，前提是CLIENT必须支持802.1X方式，如安装某个软件 Extensible Authentication Protocol Over Lan(EAPOL) 使用这个协议来传递认证授权信息

示例配置：

Router#configure terminal

Router(config)#aaa new-model

Router(config)#aaa authentication dot1x default group radius

Switch(config)#radius-server host 10.200.200.1 auth-port 1633 key radkey

Router(config)#dot1x system-auth-control 起用DOT1X功能 Router(config)#interface fa0/0

Router(config-if)#dot1x port-control auto

AUTO是常用的方

升级步骤：

1、 停用需要安装新版本的上的交换机的802.1X认证协议，进入到交换机全局配置模式下，undo dot1x即可。 全局配置模式下： undo dot1x

2、 交换机上的802.1X认证停用后就可以安装新的代理程序（安装时自动卸载6.2的客户端）。

3、 删除交换机上老的认证IP地址，添加新的认证IP地址。命令如下： 全局模式下：

radius scheme system

undo primary authentication undo primary accounting

primary authentication 172.16.10.5 1812 primary accounting 172.16.10.5 1813

4、 开启策略的802.1X认证（已开启）。

5、 开启交换机上的802.1X认证，命令如下： 全局配置模式下：

domain default enable system dot1x

dot1x authentication-method eap 6、 代理自动认证，上网成功；

配置详细命令如下：

H3C交换机进行相关配置，常用的命令如下： //设置交换机ip system-view

interfac

客户端主动向设备端发送EAPOL-Start报文来触发认证，该报文目的地址为IEEE 802.1x协议分配的一个组播MAC地址：01-80-C2-00-00-03。

设备端收到请求认证的数据帧后，将发出一个请求帧（EAP-Request/Identity报文）要求

用户的客户端程序发送输入的用户名.设备端用的源地址是参与生成树的那个MAC地址，

客户端程序响应设备端发出的请求，将用户名信息通过数据帧（EAP-Response/Identity

报文）发送给设备端

设备端将客户端发送的数据帧经过封包处理后（RADIUS Access-Request报文）送给认证

服务器进行处理。

（4）RADIUS服务器收到设备端转发的用户名信息后，将该信息与数据库中的用户名表对

比，找到该用户名对应的密码信息，用随机生成的一个加密字对它进行加密处理，同时也将此加密字通过RADIUS Access-Challenge报文发送给设备端，由设备端转发给客户端程序。

(5) 客户端程序收到由设备端传来的加密字（EAP-Request/MD5 Challenge报文）后，用该加密字对密码部分进行加密处理（此种加密算法通常是不可逆的，生成EAP-Response

runk端口收报文：

收到一个报文,判断是否有VLAN信息：如果有,判断该trunk端口是否允许该 VLAN的数据进入：如果可以则转发,否则丢弃;如果没有VLAN信息则打上端口的PVID,并进行交换转发。

trunk端口发报文：

比较将要发送报文的VLAN信息和端口的PVID,如果不相等则直接发送。如果两者相等则剥离VLAN信息,再发送。

（所以,将交换机级连口统统设置为Trunk并允许所有VLAN通过后,VLAN2－VLAN4000直接透传,而VLAN1则因为和Trunk缺省PVID相同,需要通过剥离VLAN信息又添加VLAN信息实现了透传。而如果更改Trunk的缺省PVID,则可以实现某一交换机下的VLAN-X和另一交换机下的VLAN-Y通信。） hybrid端口收报文：

收到一个报文,判断是否有VLAN信息：如果有,则判断该hybrid端口是否允许该VLAN的数据进入：如果可以则转发,否则丢弃(此时端口上的untag配置是不用考虑的,untag配置只对发送报文时起作用); 如果没有则打上端口的PVID,并进行交换转发。 hybrid端口发报文：

1、判断该VLAN在本端口的属性（disp interface 即可

华为交换机配置实例

TELNET远程管理交换机配置

一 组网需求：

1．PC通过telnet登陆交换机并对其进行管理；

2．分别应用帐号+密码方式、仅密码方式以及radius认证方式； 3．只允许192.1.1.0/24网段的地址的PC TELNET访问。 二 组网图：

作为telnet登陆主机的PC与Switch A之间通过局域网互连（也可以直连），PC可以ping通Switch A。 三 配置步骤： 1

H3C S3100-SI S5100系列交换机TELNET配置流程

账号+密码方式登陆

1．配置TELNET登陆的ip地址

system-view [SwitchA]vlan 2 [SwitchA-vlan2]port Ethernet 1/0/1 [SwitchA-vlan2]quit

华为交换机配置命令大全

1.1 产品简介

随着Internet（因特网）的高速发展，人们对通信的需求已逐渐从传统的电话、传真、电报等低速业务向高速的Internet接入、可视电话、视频点播等宽带业务领域延伸，用户对上网速率的需求也越来越高。在这种需求条件下，以太网接入因其成本低、速度高、使用简单而倍受市场的关注。面对宽带网络建设的迅猛发展，华为公司根据不同的客户类型需求，推出了Quidway系列以太网交换机。

Quidway S2008B/Quidway S2016B/Quidway S2026B以太网交换机是华为公司自主开发的三款二层线速以太网交换产品，它除了能提供传统以太网的功能外，还针对楼道级交换机的特点，从软件、硬件及结构造型等方面进行了优化设计，因而特别适合于以太网宽带接入的要求。

Quidway S2008B/Quidway S2016B以太网交换机均为44mm高的盒式设备，可以壁挂安装。S2008B以太网交换机提供8个固定的10/100Base-TX自适应端口，S2016B以太网交换机提供16个固定的10/100Base-TX自适应端口，此外两者都提供1个10/100Base-TX自适应上行端口及1个用于配置的Console口。另外S2

一、首先将电脑连接交换机C ONSOLE口，这里介绍终端仿真程序secureCRT使用方法

1、 电脑安装secureCRT(或是使用电脑自带的超级终端)，在secureCRT建一个新的连接（文

件——快速连接），详细配置如下图：

协议选择Serial

端口COM，需要与电脑配置同一个COM口 波特率：9600，其他参数默认

2、 配置电脑的COM1。我的电脑——属性——设备管理器——端口——端口属性（务必将

电脑的端口与secureCRT配置的端口保持一致，否则无法连接） 3、

如果左上角变绿，说明连接成功。

4、华为交换机指令： dis cu 查看全局配置 sys 进入配置模式

int GigabitEthernet1/0/4 进入交换机端口1/0/4 dis th 查看端口的配置 shutdown 闭掉该端口 undo shutdown 解闭端口 如下：

[SDZOZ-MC-CMNET-SW10-S9312-ZXL2]int gi 1/0/4 [SDZOZ-MC-CMNET-SW10-S9312-ZXL2-GigabitEthernet1/0/4]dis th

#

interface GigabitEthern

华为端局告警处理手册

目 录

1. MSC SERVER处理分册 ............................................................. 3 1.1 告警箱处于离线状态 ............................................................. 3 1.2、FE端口故障 .................................................................... 3 1.3、WCKI时钟参考源丢失 ............................................................ 4 1.4、控制框与业务框通信失败 ........................................................ 5 1.5、BAM到主机通讯失败 ............................................................. 7 1.6、BAM到主机连接中断

一、首先将电脑连接交换机C ONSOLE口，这里介绍终端仿真程序secureCRT使用方法

1、 电脑安装secureCRT(或是使用电脑自带的超级终端)，在secureCRT建一个新的连接（文

件——快速连接），详细配置如下图：

协议选择Serial

端口COM，需要与电脑配置同一个COM口 波特率：9600，其他参数默认

2、 配置电脑的COM1。我的电脑——属性——设备管理器——端口——端口属性（务必将

电脑的端口与secureCRT配置的端口保持一致，否则无法连接） 3、

如果左上角变绿，说明连接成功。

4、华为交换机指令： dis cu 查看全局配置 sys 进入配置模式

int GigabitEthernet1/0/4 进入交换机端口1/0/4 dis th 查看端口的配置 shutdown 闭掉该端口 undo shutdown 解闭端口 如下：

[SDZOZ-MC-CMNET-SW10-S9312-ZXL2]int gi 1/0/4 [SDZOZ-MC-CMNET-SW10-S9312-ZXL2-GigabitEthernet1/0/4]dis th

#

interface GigabitEthern