H3C S3600交换机AAA认证配置

Posted 2023-04-06

需求：

我这原本用一台cisco3550接入，现在要换成一台H3C S3600交换机，1.需要使用hwtacacs服务器对telnet和console登录认证，如果hwtacacs服务器超时则用本地用户名密码认证；

2.接入到该交换机的用户使用inote通过radius服务器做准入认证，通过dot1x认证才能上网，不能通过认证的由服务器划分到一个指定的Vlan
求助H3C交换机应该如何配置

可以参考原cisco3550的配置：
enable secret 12345
!
username admin secret 12345
aaa new-model
!
!
aaa authentication login default group tacacs+ local enable
aaa authentication login no-tacacs+ enable
aaa authentication enable default group tacacs+ enable
aaa authentication dot1x default group radius
aaa authorization exec default group tacacs+ local
aaa authorization commands 15 default group tacacs+ local none
aaa authorization network default group radius
aaa accounting dot1x default start-stop group radius
aaa accounting exec default start-stop group tacacs+
aaa accounting commands 3 deflult start-stop group tacacs+
aaa accounting commands 15 default start-stop group tacacs+
!
aaa session-id common
!
dot1x system-auth-control
!
vlan internal allocation policy ascending
!
interface FastEthernet0/1
switchport access vlan 212
switchport mode access
dot1x pae authenticator
dot1x port-control auto
dot1x violation-mode protect
!
tacacs-server host 2.2.2.2 key 678
tacacs-server timeout 30
tacacs-server directed-request
radius-server host 1.1.1.1 auth-port 1812 acct-port 1813 key 789
radius-server host 1.1.1.2 auth-port 1812 acct-port 1813 key 789
!
control-plane
!
!
line con 0
exec-timeout 0 0
logging synchronous
line vty 0 4
exec-timeout 5 0
line vty 5 15
exec-timeout 5 0
请按上面需求给出H3C的配置

1.对于交换机，最好console不要配置认证，万一出现问题（如人为设置错误等），你console无法进去，最好配置个本地用户。
2.配置tacacs就可以了。没必要配置radius(radius还不能对命令进行鉴权)，tacacs，完全可以对用户、等级（exec）、命令（command）进行授权。
给个配置给你参考（华为），我这配置，对于console口是没有去aaa服务器的。

domain mydepart
scheme hwtacacs-scheme mydepart local
vlan-assignment-mode integer
access-limit disable
state active
idle-cut disable
self-service-url disable

hwtacacs scheme mydepart
primary authentication 192.168.1.2
secondary authentication 192.168.1.3
primary authorization 192.168.1.2
secondary authorization 192.168.1.3
primary accounting 192.168.1.2
secondary accounting 192.168.1.3
key authentication mykey
key authorization mykey
key accounting mykey
user-name-format without-domain

local-user myuser

#
super password level 3 cipher sdfsdfgsdfs
#
hwtacacs nas-ip 192.168.1.1

user-interface vty 0 4
acl 2000 inbound
authentication-mode scheme command-authorization
user privilege level 3
idle-timeout 5 0
protocol inbound telnet

user-interface con 0
authentication-mode password
set authentication password cipher sdfsdfsdfwer
idle-timeout 5 0追问

你没理解好我的需求，
1.console要配成优先hwtacacs认证，如果认证服务器超时则使用本地认证；
2.radius是用来认证dot1x的，用来控制接入到交换机的电脑是否能联网的，不需要鉴权
3.我需要同时使用hwtacacs来认证登录，用radius来认证准入。

谢谢，如果你知道怎么配置的话，请帮助我

参考技术A ... 参考技术B no

配置交换机认证模式为AAA后，telnet还是无法使用

配置交换机的认证模式为AAA模式

开启telnet服务

[SW]telnet server enable

查看服务状态，验证是否开启成功

[SW]dis telnet server status
 TELNET IPv4 server                       :Enable
 TELNET IPv6 server                       :Disable
 TELNET server port                       :23
 TELNET server source address             :0.0.0.0
 ACL4 number                              :0
 ACL6 number                              :0

进入VTY配置页面

 [SW]user-interface vty 0 4

启用AAA认证模式（即登录是需要用户和密码）

 [SW-ui-vty0-4]authentication-mode aaa

然后进入aaa配置页面

 [SW-ui-vty0-4]aaa

创建用户和密码

 [SW-aaa]local-user liufeng password cipher admin@123

设置用户级别

 [SW-aaa]local-user liufeng privilege level 15

设置用户的功能，即开启telnet服务

 [SW-aaa]local-user liufeng service-type telnet

正常情况应该是能够使用网关远程访问到交换机的，但是还是无法使用telnet连接上

1、检查是否能够ping通网关
可以ping通
2、检查telnet服务是否开启

开启了
3、在交换机上telnet自身回环地址

无法登录
4、结合上边我们自己配置的内容判定是交换机本身默认不支持telnet协议了。

解决

在vty用户配置下手动允许telnet协议接入

[SW]user-interface vty 0 4
[SW-ui-vty0-4]protocol inbound telnet

感谢：https://blog.csdn.net/qq_29855509/article/details/108507914