h3c aaa认证配置

1.接口设置 分别在三个路由器的WAN接口、LAN接口上设置好IP地址、子网掩码及网关，可不启用DHCP，相互之间能ping通，可以先在三路由器上启用Nat地 址转换，为了方便测试，可以先把路由器上的防火墙关闭，特别是当几个点之间距离比较远，可以在路由器上启用远 1.接口设置

分别在三个路由器的WAN接口、LAN接口上设置好IP地址、子网掩码及网关，可不启用DHCP，相互之间能ping通，可以先在三路由器上启用Nat地 址转换，为了方便测试，可以先把路由器上的防火墙关闭，特别是当几个点之间距离比较远，可以在路由器上启用远程web管理，方便控制配置。 2.VPN VPN设置

<1>虚接口(即子接口)，绑定接口，一条虚拟链路设置一个虚接口，最多可设置10个虚接口(ipsec0-ipsec9)，可以任意选择，每个路由器上可以选择不同编号虚接口

<2>IKE安全提议(Internet Key Exchange，Internet密钥交换)，注意对等体路由器之间的IKE验证算法、IKE加密算法、IKE DH组要相同，为了简单快捷使用默认参数即可 <3>IKE对等体，此处的参数比较多，对等体名称(可以任意设置，但要容易看得明白)、虚接口(选择你已设置好的虚接口的

1.接口设置 分别在三个路由器的WAN接口、LAN接口上设置好IP地址、子网掩码及网关，可不启用DHCP，相互之间能ping通，可以先在三路由器上启用Nat地 址转换，为了方便测试，可以先把路由器上的防火墙关闭，特别是当几个点之间距离比较远，可以在路由器上启用远 1.接口设置

分别在三个路由器的WAN接口、LAN接口上设置好IP地址、子网掩码及网关，可不启用DHCP，相互之间能ping通，可以先在三路由器上启用Nat地 址转换，为了方便测试，可以先把路由器上的防火墙关闭，特别是当几个点之间距离比较远，可以在路由器上启用远程web管理，方便控制配置。 2.VPN VPN设置

<1>虚接口(即子接口)，绑定接口，一条虚拟链路设置一个虚接口，最多可设置10个虚接口(ipsec0-ipsec9)，可以任意选择，每个路由器上可以选择不同编号虚接口

<2>IKE安全提议(Internet Key Exchange，Internet密钥交换)，注意对等体路由器之间的IKE验证算法、IKE加密算法、IKE DH组要相同，为了简单快捷使用默认参数即可 <3>IKE对等体，此处的参数比较多，对等体名称(可以任意设置，但要容易看得明白)、虚接口(选择你已设置好的虚接口的

一.用户配置:

system-view

[H3C]super password H3C 设置用户分级密码 [H3C]undo super password 删除用户分级密码 [H3C]localuserbigheap 123456 1 Web网管用户设置,1admin,admin

[H3C]undo localuserbigheap 删除Web网管用户 [H3C]user-interface aux 0 只支持0

[H3C-Aux]idle-timeout 2 50 设置超时为2分50秒,若为0则表示不超时,默认为5分钟 [H3C-Aux]undo idle-timeout 恢复默认值 [H3C]user-interface vty 0 只支持0和1

[H3C-vty]idle-timeout 2 50 设置超时为2分50秒,若为0则表示不超时,默认为5分钟 [H3C-vty]undo idle-timeout 恢复默认值

[H3C-vty]set authentication password 123456 设置telnet密码,必须设

H3C 2210配置手册

一、修改电脑IP地址，如下：点确定。

二、在浏览器上输入192.168.0.50（AP默认IP地址），用户名为：admin、密码为：h3capadmin

点登陆进入设备。

点“无线服务”-接入服务，可以到看到默认SSID号。

取消默认SSID配置。点H3C旁边的“绑定”进入如下图。点中1---点“取消绑定”。

关闭H3C服务。选中H3C---点“关闭”。

选中H3C---点”删除”

三、创建我们自己的SSID和加密方式。

WEP加密方式创建（无线服务—接入服务---新建）

输入无线服务名称（如：WEP），无线服务类型选择“crypto”，点确定。

选中WEP加密，可选择密钥类型和密钥长度。如下图。

输入密码。如下图。

点确定

点WEP旁边的“绑定”

选中“1”点“绑定”

选中“WEP”点“开启”

到此WEP加密配置已经完成。

测试。

WPA加密配置（无线服务---接入服务---新建）

输入无线服务名称（WPA），无线服务类型（crypto）

选中加密类型（TKIP），安全IE（WPA、WPA2或者WPA and WPA2）,选中端口设置—端口模式（PSK），预共享密钥（pass-phrase）输入密码。

点确定。

H3C VRRP配置案例

3.4.1 VRRP单备份组举例

1. 组网需求

主机A把路由器A和路由器B组成的VRRP备份组作为自己的缺省网关，访问Internet上的主机B。

VRRP备份组构成：备份组号为1，虚拟IP地址为202.38.160.111，路由器A做Master，路由器B做备份路由器，允许抢占。 2. 组网图

图3-3 VRRP单备份组配置组网图

3. 配置步骤

配置路由器A：

[H3C-Ethernet1/0/0] vrrp vrid 1 virtual-ip 202.38.160.111 [H3C-Ethernet1/0/0] vrrp vrid 1 priority 120

[H3C-Ethernet1/0/0] vrrp vrid 1 preempt-mode timer delay 5

配置路由器B：

[H3C-Ethernet1/0/0] vrrp vrid 1 virtual-ip 202.38.160.111

备份组配置后不久就可以使用。主机A可将缺省网关设为202.38.160.111。 正常情况下，路由器A执行网关工作，当路由器A关机或出现故障，路由器B将接替执行网关工作。

设置抢占方式，目的是

H3C 双互联网接入负载分担及备份【解决方案及配置实例】

#

version 5.20, Alpha 1011 #

sysname H3C #

bfd echo-source-ip 1.1.1.1 # acl number 3000

rule 0 permit ip source 192.168.1.0 0.0.0.255 acl number 3001

rule 0 permit ip source 192.168.2.0 0.0.0.255 #

interface Ethernet0/1/0 port link-mode route

ip address 192.168.100.254 255.255.255.0 ip policy-based-route internet #

interface Ethernet0/1/1 port link-mode route

ip address 10.10.10.1 255.255.255.0 #

interface Ethernet0/1/2 port link-mode route

ip address 10.10.20.1 255.25

H3C SSH配置示例

配置Router作为SSH服务器 1] 生成RSA及DSA密钥对，并启动SSH服务器。 system-view

[Router] public-key local create rsa [Router] public-key local create dsa [Router] ssh server enable

2] 配置接口Ethernet1/1的IP地址，客户端将通过该地址连接SSH服务器。 [Router] interface GigabitEthernet0/3

[Router-GigabitEthernet0/3] ip address 172.21.33.253 255.255.255.128 [Router-GigabitEthernet0/3] quit

3] 设置SSH客户端登录用户界面的认证方式为AAA认证。 [Router] user-interface vty 0 4

[Router-ui-vty0-4] authentication-mode scheme [Router-ui-vty0-4] protocol inbound ssh [Router-

01-AAA命令

目 录

1 AAA配置命令

1.1 AAA配置命令

1.1.1 aaa nas-id profile 1.1.2 access-limit

1.1.3 access-limit enable 1.1.4 accounting default 1.1.5 accounting login 1.1.6 accounting optional 1.1.7 authentication default 1.1.8 authentication login 1.1.9 authorization command 1.1.10 authorization default 1.1.11 authorization login 1.1.12 authorization-attribute

1.1.13 authorization-attribute user-profile 1.1.14 bind-attribute 1.1.15 cut connection 1.1.16 display connection 1.1.17 display domain 1.1.18 display local-user 1.1.19 display u

01-AAA命令

目 录

1 AAA配置命令

1.1 AAA配置命令

1.1.1 aaa nas-id profile 1.1.2 access-limit

1.1.3 access-limit enable 1.1.4 accounting default 1.1.5 accounting login 1.1.6 accounting optional 1.1.7 authentication default 1.1.8 authentication login 1.1.9 authorization command 1.1.10 authorization default 1.1.11 authorization login 1.1.12 authorization-attribute

1.1.13 authorization-attribute user-profile 1.1.14 bind-attribute 1.1.15 cut connection 1.1.16 display connection 1.1.17 display domain 1.1.18 display local-user 1.1.19 display u

一、 组网需求：

在BYOD组网方案下，我们主要通过iNode客户端、HTTP网页、终端Mac地址以及DHCP的Option属性这四种方式获取终端的操作系统和厂商信息，实现终端识别以便完成相应的权限策略控制。其中DHCP的Option属性方式可普遍用户各种场景。由于部署DHCP服务器并安装Agent插件的方式比较繁琐，这里我们以普通Portal认证为例介绍一种通过无线控制器的DHCP-snooping功能获取记录终端的option 55（终端操作系统）和option 60（终端厂商）信息并通过Radius属性上报给iMC服务器的典型配置。

WX系列AC、Fit AP、交换机、便携机（安装有无线网卡）、iMC服务器及其他智能终端。 二、 组网图：

三、 配置步骤： 1、 AC版本要求

WX系列AC从B109D012合入该特性，因此只有这个版本号及其以后的版本支持DHCP-snooping功能获取记录终端的option 55（终端操作系统）和option 60（终端厂商）信息并通过Radius属性上报给iMC服务器。WX系列AC可通过下面的命令查看内部版本号：

_display version

H3C Comware Platform Softw