通过静态IPv4地址接入互联网

通过静态IPv4地址接入互联网 设备使用静态IPv4地址接入Internet，并为内部网络提供网络访问服务。 组网需求 如图1所示，某企业在网络边界处部署了FW作为安全网关，并从运营商处购买了宽带上网服务，实现内部网络接入Internet的需求。 具体需求如下： 内部网络中的PC使用私网网段10.3.0.0/24实现互通，要求由FW为PC分配私网地址、DNS Server地址等网络参数，减少管理员手工配置的劳动量。 内部网络中的PC可以访问Internet。 图1 以太网链路接入Internet组网图 本举例中假设某企业从运营商获取了如下信息，这些信息仅供举例使用，实际配置时请从当地运营商获取。 项目 数据 说明 地址 1.1.1.1/24 运营商分配给企业的公网地址。 默认网关 1.1.1.254 运营商提供的默认网关。 DNS Server地址 9.9.9.9 运营商提供的DNS Server地址。 配置思路 配置接口的IP地址，并将接口加入相应的安全区域。 配置FW作为DHCP Server，为内部网络中的PC分配IP地址和DNS Server地址。 配置安全策略，允许内部网络中的PC访问Internet。 配置NAT策略，提供源地址转换功能。由于使用运营商分配的固定公网地址作为转换后的地址，故采用Easy-IP方式的NAT策略，简化配置。 在运营商网络的设备上配置回程路由，该配置由运营商完成，本举例中不作介绍。 操作步骤 配置各个接口IP地址并将其加入对应的安全区域。 <FW> system-view [FW] interface GigabitEthernet 1/0/1 [FW-GigabitEthernet1/0/1] ip address 1.1.1.1 255.255.255.0 [FW-GigabitEthernet1/0/1] quit [FW] interface GigabitEthernet 1/0/3 [FW-GigabitEthernet1/0/3] ip address 10.3.0.1 255.255.255.0 [FW-GigabitEthernet1/0/3] quit [FW] firewall zone untrust [FW-zone-untrust] add interface Gigab……

华为交换机802.1X有线配置

华为交换机 华为交换机配置AAA 复制代码 # 创建Radius服务器模板controller。 [SwitchA] radius-server template controller # 配置RADIUS认证密钥、主备用RADIUS服务器和计费服务器的IP地址、端口和主备运算法则。 [SwitchA-radius-controller] radius-server authentication 10.7.66.66 1812 weight 80 [SwitchA-radius-controller] radius-server accounting 10.7.66.66 1813 weight 80 [SwitchA-radius-controller] radius-server authentication 10.7.66.67 1812 weight 40 [SwitchA-radius-controller] radius-server accounting 10.7.66.67 1813 weight 40 [SwitchA-radius-controller] radius-server algorithm master-backup [SwitchA-radius-controller] radius-server shared-key cipher Example@123 # 配置自动探测功能。 [SwitchA-radius-controller] radius-server testuser username test1 password cipher abc@123 # 配置对状态为Down的RADIUS服务器的自动探测周期和探测报文的超时等待时间。（取值为缺省值） [SwitchA-radius-controller] radius-server detect-server interval 60 [SwitchA-radius-controller] radius-server detect-server timeout 3 # 配置RADIUS认证请求报文的重传次数和周期。（取值为缺省值） [SwitchA-radius-controller] radius-server retransmit 3 timeout 5 [SwitchA-radius-controller] quit # 配置将RADIUS服务器标记为Down的条件。（取值为缺省值） [SwitchA] radius-server dead-interval 5 [SwitchA] radius-server dead-count 2 [SwitchA] radius-server detect-cycle 2 [SwitchA] radius-server max-unresponsive-interval 300 # 配置认证方案auth，认证模式为RADIUS认证。 [SwitchA] aaa [SwitchA-aaa] authentication-scheme auth [SwitchA-aaa-……

AAA认证、portal认证、802.1X

AAA认证 AAA认证是一种网络访问控制框架，包括了身份验证、授权和会计三个主要功能。 身份验证: 在AAA认证中，身份验证用于确认用户的身份。它确保用户是其所声称的那个人。常见的身份验证方式包括用户名/密码、数字证书、双因素认证等。认证过程通过验证服务器（如RADIUS、TACACS+等）来进行，验证服务器与用户进行身份验证交互，并确定用户的身份是否有效。 授权: 一旦用户的身份验证成功，接下来是授权阶段。授权决定了用户可以访问的资源或服务范围。在AAA认证中，授权服务器根据预设策略和权限规则，对用户进行授权，给予合适的访问权限。授权可以限制用户的访问时间、访问内容以及访问级别等。 会计: 会计是AAA认证中的记录和审计功能。它用于跟踪和记录用户的访问活动，包括登录时间、使用的资源和服务、数据传输量等信息。会计记录不仅有助于监测网络使用情况和行为审计，也可以用于计费、报告和安全分析等目的。 AAA认证框架提供了一套综合的网络访问控制机制，确保只有经过身份验证、具有合适权限的用户才能访问网络资源。它有助于提高网络安全性、管理和监控用户活动，并为网络管理员提供更有效的控制手段。 portal认证 Portal认证是指通过门户网站进行身份验证和授权的过程。门户网站通常提供了一个统一的入口，用户可以使用自己的凭据（如用户名和密码）登录到门户系统，并根据其身份和权限获取相应的访问权限和服务。 在Portal认证中，我把它分为以下五个步骤： 用户使用接入设备（如计算机、手机等）通过网络访问门户网站。 用户在门户网站上输入自己的凭据（如用户名和密码）等身份验证信息。 门户服务器接收到用户提供的身份验证信息后，将与认证服务器进行通信，验证用户的身份是否有效。这可能涉及检查用户名和密码的正确性、使用双因素认证方式（如短信验证码、指纹识别等）等。 一旦用……

什么是802.1X？

802.1X协议的背景 早期的IEEE 802 LAN协议中，只要用户可以接入局域网的控制设备（例如接入交换机），就可以访问局域网中的设备或资源，这无疑是存在安全隐患的。为解决无线局域网的安全问题，IEEE 802委员会提出了802.1X协议。802.1X协议可以控制用户的网络访问权限，防止身份不明或未经授权的用户传输和接收数据。由于802.1X协议的普适性，因此后来也广泛应用于有线局域网。 与其他接入控制机制不同，802.1X协议是通过控制接入端口，实现用户级的接入控制。在802.1X协议中，物理接入端口被划分为“受控端口”和“非受控端口”这两个逻辑端口，用于实现业务与认证的分离。非受控端口主要用于传递EAPOL协议帧，始终处于双向连通状态，保证客户端始终能够发出或接收认证报文；而受控端口用于传递业务报文，因此在授权状态下处于双向连通状态，在非授权状态下不从客户端接收任何报文。 换言之，基于802.1X协议的认证，其最终目的就是确定用户的接入端口是否可用。如果认证成功，那么就打开端口，允许客户端的所有报文通过；如果认证不成功，就保持端口的关闭状态，只允许EAPOL协议帧通过。 什么时候需要使用802.1X？ 通常在新建网络、用户集中或者信息安全要求严格的场景中使用802.1X认证。802.1X认证具有以下优点： 对接入设备的性能要求不高。802.1X协议为二层协议，不需要到达三层，可以有效降低建网成本。 在未授权状态下，不允许与客户端交互业务报文，因此保证了业务安全。 以企业网络为例。员工终端一般需要接入办公网络，安全要求较高，此时推荐使用802.1X认证。 但802.1X认证要求客户端必须安装802.1X客户端软件。在机场、商业中心等公共场所，用户流动性大，终端类型复杂，且安全要求不高，可以使用Portal认证。对于打印机、传真机等哑终端，可以使用MAC认证，以应对哑终端不支持安装802.1X客户端软件，……

华为CloudEngine 16800数据中心交换机

dot1x

前言： 802.1X认证是网络接入控制方案（NAC）中的一种，是一种基于端口的网络接入控制协议，通过它能够实现保护企业内网的安全性的目的。 802.1X认证安全性较高，但是却需要客户终端安装802.1X客户端，网络部署不灵活。相较而言，NAC中的MAC认证方式不需要安装客户端，但是需要在认证服务器上登记MAC地址，管理复杂；而Portal认证方式同样不需要客户端并且部署灵活，但是安全性不高。 所以，802.1X认证一般适用于新建网络、用户集中并且信息安全要求严格的场景。 场景： 华为Agile Controller-Campus对接入用户进行802.1X认证（认证点部署在接入交换机） HUAWEI/H3C设备——对接HUAWEI AG（RADIUS服务器） NAC为统一模式，可基于VPN实例 终端用户（支持802.1x认证）采用802.1x认证方式接入的组网环境 一、华为设备： 1、配置RADIUS服务器，添加用户账户，保证用户的认证/授权/计费功能正常运行（略） #配置过程中有两个个共享密钥（RADIUS认证和计费密钥）交换机侧与服务器侧必须要配置一致 2、配置全网路由可达 3、（可选）配置二层交换机透传802.1x认证报文 l2protocol-tunnel user-defined-protocol 802.1X protocol-mac 0180-c200-0003 group-mac 0100-0000-0002 interface Ethernet接口/GE接口/Eth-Trunk接口 l2protocol-tunnel user-defined-protocol 802.1X enable bpdu enable 4、创建RADIUS服务器模板（指定RADIUS服务器IP地址及共享密钥） radius-server template radius_temp #创建radius server模板 radius-server shared-key cipher Radius@Auth #定义共享秘钥 radius-server authentication X.X.X.X 1812 vpn-instance Video source ip-address X.X.X.X weight 100 #ip-address为需要修改的地址，每个局点不同 radius-server acco……

通过虚拟系统隔离企业部门（三层接入，虚拟系统共用根系统公网接口）

企业内划分为多个部门，各部门间职能和权责划分明确，需要制定不同的网络管理策略，导致配置复杂。FW作为企业网络的出口网关，通过虚拟系统功能实现对不同部门网络的区分管理，降低配置难度。 组网需求 如图1所示，某中型企业A购买一台防火墙作为网关。由于其内网员工众多，根据权限不同划分为研发部门、财经部门、行政部门三大网络。需要分别配置不同的安全策略。具体要求如下： 由于只有一个公网IP和公网接口，公司内网所有部门都需要借用同一个接口访问Internet。 财经部门禁止访问Internet，研发部门只有部分员工可以访问Internet，行政部门则全部可以访问Internet。 三个部门的业务量差不多，所以为它们分配相同的虚拟系统资源。 通过虚拟系统实现上述需求。 图1 网络隔离组网图（三层接入，虚拟系统共用根系统公网接口） 数据规划 项目 数据 说明 public 公网接口：GE1/0/1 公网接口所属安全区域：Untrust 公网接口IP地址：1.1.1.1/24 私网接口：public的虚拟接口Virtual-if0 私网接口所属安全区域：Trust 运营商接入网关IP地址：1.1.1.254/24 在本例中，所有部门都要通过根系统才可访问Internet，而且各个部门的私网地址是统一规划的，没有重叠的情况。所以在根系统中统一配置NAT策略。 vsysa 虚拟系统名：vsysa 公网接口：vsysa的虚拟接口 公网接口所属安全区域：Untrust 私网接口：GE1/0/3 私网接口IP地址：10.3.0.1/24 私网地址范围：10.3.0.0/24 私网接口所属安全区域：Trust 管理员：admin@@vsysa 允许访问Internet的地址范围：10.3.0.2～10.3.0.10 - vsysb 虚拟系统名：vsysb 公网接口：vsysb的虚拟接口 公网接口所属安全区域：Untrust 私网接口：GE1/0/4 私网接口IP地址：10.3.1.1/24 私网地址范围：10.3.1.0/24 私网接口所属安全区域：Trust 管……

通过虚拟系统隔离企业部门（三层接入，虚拟系统有独立公网接口）

FW作为大型企业园区办公区域的接入网关，对区域内网络提供安全防护。区域内存在多个业务部门，管理员为不同的部门分配不同的虚拟系统，以实现对不同部门网络的区分管理。 组网需求 如图1所示，某大型企业园区的区域A中，部署了一台FW作为网关。根据权限不同，区域A内网络划分为研发部门和非研发部门，且这两个部门的网络访问权限不同，具体需求如下： 研发部门只有部分员工可以访问Internet，非研发部门的全部员工都可以访问Internet。 研发部门和非研发部门之间相互隔离，不能互访。 研发部门和非研发部门的业务量差不多，所以为它们分配相同的虚拟系统资源。 图1 网络隔离组网图（三层接入，虚拟系统有独立公网接口） 数据规划 项目 数据 说明 vsysa 虚拟系统名：vsysa 公网接口：GE1/0/1 公网接口IP地址：10.1.1.8/24 公网接口所属安全区域：Untrust 私网接口：GE1/0/3 私网接口IP地址：10.3.0.1/24 私网地址范围：10.3.0.0/24 私网接口所属安全区域：Trust 允许访问Internet的地址范围：10.3.0.2～10.3.0.10 - vsysb 虚拟系统名：vsysb 公网接口：GE1/0/2 公网接口IP地址：10.1.1.9/24 公网接口所属安全区域：Untrust 私网接口：GE1/0/4 私网接口IP地址：10.3.1.1/24 私网地址范围：10.3.1.0/24 私网接口所属安全区域：Trust - 资源类 名称：r1 会话保证值：10000 会话最大值：50000 用户数：300 用户组：10 策略数：300 出方向保证带宽：20M - 配置思路 根系统管理员分别创建虚拟系统vsysa、vsysb并为每个虚拟系统分配资源。 根系统管理员为虚拟系统vsysa配置IP地址、路由和安全策略和NAT策略。 根系统管理员为虚拟系统vsysb配置IP地址、路由和安全策略和NAT策略。 操作步骤 根系统管理员分别创建虚拟系统vsysa和vsysb，并为其分……

交换机和路由器的区别？

大多数人家都在使用无线路由器，但聊起路由器的话，我们也需要给大家科普科普他的它的同袍兄弟--交换机，大家想必对这两个的了解不是很深，所以很容易出现尴尬的事，在购买的时候容易将交换机当成路由器买回家，但是最后根本无法连接上网络，接下来为大家分享交换机和路由器的不同点。 现在网上也有很多文章分享了路由器和交换机区别，但是一点也不通俗易懂，所以我们往下看就对了。 交换机和路由器的区别一、 由于路由器和交换机的外观长得一样一样的，但他们有个超级明显的区别：交换机的各个接口上标注的序列数字是有规律的，接口颜色也是一致的。 在路由器的接口上我们可以看到标注的数字是有规律的，标注为wan或者internet的接口，这些接口颜色也不一样。如图： 交换机和路由器的区别二、 其实，早之前来说，交换机就是交换机，路由器就是单纯的路由器，他们没有什么交涉，交换机是用来连接局域网的，也就是只能将一个办公室或者一栋大楼的电脑连接成一个网络，但是这样的网络是没办法访问英特网的，要是想要访问的话就需要在交换机上面在接上一台路由器，但是现在的家用路由器里边基本都集成了交换机的功能了，所以大家不必要购买两个产品了。 交换机和路由器的区别三、 路由器会在局域网自动分配IP，实现虚拟拨号，就像有人带着你走就是，不用自己操心怎么走。而交换机只是用来分配网络数据的。 交换机和路由器区别四、 路由器在网络层，路由器根据IP地址寻址，路由器可以处理TCP/IP协议，交换机不可以。交换机在中继层，交换机根据MAC地址寻址。 交换机和路由器区别五、 路由器能将一个IP分配给超多个主机使用，主机对外ip也是同一个。而交换机是可以将不同的主机连接起来，对外表现的IP也可各有不同。 交换机和路由器的区别六、 路由器提供防火墙的服务，交换机不能提供该功能。集线……

华为s系列交换机ssh登录

问题描述 1：问题描述，通过在华为X7系列企业交换机上配置通过stelnet登录设备，完成配置后终端采用Secure CRT软件ssh2 登录设备报错； 原配置如下： dsa local-key-pair create stelnet server enable ssh user huawei ssh user huawei authentication-type password ssh user huawei server-type stelnet ssh server cipher aes256_ctr aes128_ctr ssh server hmac sha2_256 ssh client cipher aes256_ctr aes128_ctr ssh client hmac sha2_256 ssh server dh-exchange min-len 2048 aaa local-user huawei password ci xxxx local-user huawei server-type telnet ssh local-user huawei pri le 15 2:设备型号：S5730-44C-HI; 版本v200r019c00spc500 告警信息 1:异常现象如下： 在终端CRT软件使用ssh2登录设备进出现如下告警信息： key exchange failed.no compatible mac.the server supports these macs:hmac-sha2-256 处理过程 1:处理过程； 根据在交换机上检查配置关于有hmacr关键字，发现有如下配置信息： 通过在全局模式下执行dis th 发现 ssh client hmac sha2_256 ssh  server hmac sha2_256 2：处理办法： 在全局视图下执行 undo ssh client hmac 最后在用户视图执行保存，测试通过ssh2 登录正常 解决方案 解决方案：通过在全局模式下执行：undi ssh server hmac sha2_256  即可完成处理 建议与总结 建议：如果有碰到这种调试问题的，可以采用这种方式解决，且sx7系列交换机都可通过这种 方式处理； 总结：就是碰到这种配置问题需要多检查，多尝试，才能多排除问题；