华为802.1X技术白皮书
华为 802.1X 技术白皮书
华为802.1X技术 白皮书
华为 802.1X 技术白皮书
目录
1 2 概述...........................................................................................................................................1 802.1X 的基本原理..................................................................................................................1 2.1 体系结构...........................................................................................................................1 2.1.1 端口 PAE...................................................................................................................2 2.1.2 受控端口 ...................................................................................................................2 2.1.3 受控方向 ...................................................................................................................2 2.2 工作机制...........................................................................................................................2 2.3 认证流程...........................................................................................................................3 3 华为 802.1X 的特点.................................................................................................................3 3.1 基于 MAC 的用户特征识别............................................................................................3 3.2 用户特征绑定...................................................................................................................4 3.3 认证触发方式...................................................................................................................4 3.3.1 标准 EAP 触发方式 .................................................................................................4 3.3.2 DHCP 触发方式 .......................................................................................................4 3.3.3 华为专有触发方式 ...................................................................................................4 3.4 TRUNK 端口认证 ..............................................................................................................4 3.5 用户业务下发...................................................................................................................5 3.5.1 VLAN 业务 ................................................................................................................5 3.5.2 CAR 业务 ..................................................................................................................5 3.6 PROXY 检测 ......................................................................................................................5 3.6.1 Proxy 典型应用方式 ................................................................................................5 3.6.2 Proxy 检测机制 ........................................................................................................5 3.6.3 Proxy 检测结果处理 ................................................................................................6 3.7 IP 地址管理 ......................................................................................................................6 3.7.1 IP 获取 ......................................................................................................................6 3.7.2 IP 释放 ......................................................................................................................6 3.7.3 IP 上传 ......................................................................................................................7 3.8 基于端口的用户容量限制...............................................................................................7 3.9 支持多种认证方法...........................................................................................................7 3.9.1 PAP 方法 ...................................................................................................................7 3.9.2 CHAP 方法 ...............................................................................................................8 3.9.3 EAP 方法 ..................................................................................................................8 3.10 独特的握手机制...............................................................................................................8 3.11 对认证服务器的兼容.......................................................................................................8 3.11.1 EAP 终结方式 ..........................................................................................................8 3.11.2 EAP 中继方式 ..........................................................................................................9 3.12 内置认证服务器...............................................................................................................9 3.13 基于 802.1X 的受控组播.................................................................................................9 3.14 完善的整体解决方案.....................................................................................................10 4 典型组网.................................................................................................................................10
1
华为 802.1X 技术白皮书
4.1 4.2 4.3 5
集中认证方案.................................................................................................................10 边缘分布认证方案.........................................................................................................10 内置服务器认证方案.....................................................................................................11
结论与展望............................................................................................................................. 11
2
华为 802.1X 技术白皮书
摘要
802.1X 作为一种基于端口的用户访问控制安全机制,由于其低成本、良好的业务连续 性和扩充性以及较高的安全性和灵活性, 自从 2001 年 6 月正式成为 IEEE 802 系列标准开始, 便迅速受到了包括华为在内的设备制造商、 各大网络运营商和最终用户在内的广泛支持和肯 定。 本文介绍了 802.1X 的基本概念和技术原理, 以及华为公司 802.1X 解决方案的特点和组 网情况。
关键词
802.1X 受控端口 RADIUS 客户端 设备端
缩略语
802.1X RADIUS PAP CHAP EAP MD5 PAE CAR AP 本文指 IEEE 802.1X 标准 远程用户拨入认证服务(Remote Authentication Dial In User Service) 密码验证协议(Password Authentication Protocol) 质询握手验证协议(Challenge Handshake Authentication Protocol) 扩展验证协议(Extensible Authentication Protocol) 消息摘要算法 5 版本(Message-Digest Algorithm 5) 端口认证实体(Port Authentication Entity) 承诺存取速率(Commit Access Rate) 无线接入访问点(Access Point)
3
华为 802.1X 技术白皮书
1
概述
802.1X,全称是 Port-Based Networks Access Control,即基于端口的网络访问控制。 802.1X 作为一种基于端口的用户访问控制机制,由于其低成本、良好的业务连续性和 扩充性以及较高的安全性和灵活性,自从 2001 年 6 月正式成为 IEEE 802 系列标准开始,便 迅速受到了包括华为在内的设备制造商、各大网络运营商和最终用户在内的广泛支持和肯 定。 IEEE 802 协议定义的局域网不提供接入认证,一般来说,只要用户接入局域网就可以 访问网络上的设备或资源。 但是对于如电信接入、 写字楼 局域网以及移动办公等应用场合, 网络管理者希望能对用户设备的接入进行控制和配置, 为此产生了基于端口或用户的网络接 入控制需求。 目前 802.1X 技术在宽带城域网和园区网中获得了大量的应用。在现在竞争激烈的宽带 网络建设中,基本业务类似的情况下,802.1X 及其扩展业务特性往往成为关键点。华为公 司 VRP 平台的 802.1X 业务除兼容标准外,根据需要进行了多项扩充。
2
802.1X 的基本原理
2.1 体系结构
IEEE 802.1X的体系结构如图1 所示。802.1X系统共有三个实体:Supplicant(客户端) , Authenticator System(设备端) ,Authentication Server System(认证服务器) 。
客户端 设备端 设备端提供的服务 受控端口 端口非授权 设备端PAE 非受控端口 认证服务器 认证服务器
客户端PAE
LAN/WLAN
图1 IEEE 802.1X 认证系统体系结构 客户端是位于点对点局域网段一端的一个实体, 由连接到该链接另一端的设备端对其进 行认证。客户端一般为一个用户终端设备,用户通过启动客户端软件发起802.1X认证。客户 端必须支持EAPOL协议。 设备端是位于点对点局域网段一端的一个实体, 便于对连接到该链接另一端的实体进行 认证。设备端通常为支持802.1X协议的网络设备,它为客户端提供接入局域网的端口,该端 口可以是物理端口(如以太网交换机的一个以太网口或者AP的接入信道) ,也可以是逻辑端 口(如用户的MAC地址、VLAN ID等)。 认证服务器是为设备端提供认证服务的实体。 认证服务器用于实现用户的认证、 授权和 计费。本文中,认证服务器均以RADIUS服务器为例。
1
华为 802.1X 技术白皮书
2.1.1
端口 PAE
端口PAE为802.1X系统中,一个给定的设备端口执行算法和协议操作的实体对象。 设备端PAE利用认证服务器对需要接入局域网的客户端执行认证,并根据认证结果相应 地控制受控端口的授权/非授权状态。 客户端PAE负责响应设备端的认证请求, 向设备端提交用户的认证信息。 客户端PAE也可 以主动向设备端发送认证请求和下线请求。 2.1.2 受控端口 设备端为客户端提供接入局域网的端口, 这个端口被划分为两个虚端口: 受控端口和非 受控端口。非受控端口始终处于双向连通状态,用于传递EAP认证报文。受控端口在授权状 态下处于连通状态,用于传递业务报文;受控端口在非授权状态下处于断开状态,禁止传递 任何报文。受控端口和非受控端口是同一端口的两个部分;任何到达该端口的帧,在受控端 口与非受控端口上均可见。如图2所示。
设备端 受控端口 非受控端口
授权/非授权
MAC可操作/ 不可操作 LAN/WLAN
图2
非受控端口和受控端口
2.1.3 受控方向 在非授权状态下,受控端口可以被设置成单向受控和双向受控。实行双向受控时,禁止 帧的发送和接收;实行单向受控时,禁止从客户端接收帧,但允许向客户端发送帧。 默认情况下,受控端口实行双向受控。
2.2 工作机制
IEEE 802.1X认证系统利用EAP协议,作为在客户端和认证服务器之间交换认证信息的手 段。 在客户端PAE与设备端PAE之间,EAP协议报文使用EAPOL封装格式,直接承载于LAN环境 中。 在设备端PAE与RADIUS服务器之间,EAP协议报文可以使用EAPOR封装格式(EAP over RADIUS),承载于RADIUS协议中;也可以由设备端PAE进行终结,而在设备端PAE与RADIUS 服务器之间传送PAP协议报文或CHAP协议报文(参见IETF RFC 1994)。 设备端PAE和认证功能相分离, RADIUS服务器可以使用多种不同的认证机制对客户端PAE 进行认证,包括MD5-challenge、TLS、PAP、智能卡、Kerberos、Public Key Encryption、 One Time Passwords等等。在非共享网段的有线LAN中,一般实现MD5-challenge认证机制; 在共享网段的有线LAN和WLAN中,通常实现双向认证。 设备端PAE根据RADIUS服务器的指示 (Accept或Reject) 决定受控端口的授权/非授权状 态。
2
华为 802.1X 技术白皮书
客户端PAE
EAPOL
设备端PAE
RADIUS协议承载的 EAP/PAP/CHAP交换
认证服务器
图3 IEEE 802.1X 认证系统的工作机制
2.3 认证流程
以设备端PAE对EAP报文进行中继转发为例, IEEE 802.1X认证系统的基本业务流程如图4 所示。
客户端PAE EAPOL EAPOL-Start EAP-Request/Identity EAP-Response/Identity EAP-Request/MD5 Challenge EAP-Response/MD5 Challenge EAP-Success 端口被授权 握手请求报文 [EAP-Request/Identity] 握手应答报文 [EAP-Response/Identity] ...... EAPOL-Logoff 端口非授权 握手定时器超时 RADIUS Access-Request (EAP-Response/Identity) RADIUS Access-Challenge (EAP-Request/MD5 Challenge) RADIUS Access-Request (EAP-Response/MD5 Challenge) RADIUS Access-Accept (EAP-Success) 设备端PAE EAPOR RADIUS服务器
图4 IEEE 802.1X 认证系统的 EAP 方式业务流程
3
华为 802.1X 的特点
华为公司根据国内网络实际运营环境和特点, 在符合标准的基础上, 根据多项发明专利,
有效地扩展了802.1X的业务支持能力和组网能力。
3.1 基于 MAC 的用户特征识别
IEEE 802.1X 的标准是一个基于端口的访问控制协议,其基本要求是对用户接入端口进 行控制。这对无线接入访问点而言是足够的,因为一个用户占用一个信道。但在电信接入和 酒店等环境中,以端口为对象的控制粒度难以满足要求,基于 MAC 地址逻辑端口控制势在 必行。 华为 VRP 平台的 802.1X 特性不仅提供基于端口(Portbased)的用户访问控制,而且提
3
华为 802.1X 技术白皮书
供基于用户 MAC 地址(Macbased)的访问控制。控制粒度为端口,组网非常灵活。 系统缺省为 Macbased 的控制方式。
3.2 用户特征绑定
无论是基于端口认证还是基于用户 MAC 地址的认证,服务器验证的都是用户帐号,即 “用户名+密码” 。一旦帐号泄漏,会给用户带来很大的安全隐患。VRP 平台的 802.1X,可 以与 CAMS(综合接入管理系统)等 RADIUS 服务器或者设备内置认证服务器配合,实现 用户帐号和用户特征的多种绑定,从而增强用户安全性。 绑定方式可以是用户账号与 VLANID/MAC/PORT 的任意组合。例如: 1. 支持“用户账号+VLANID”绑定 2. 支持“用户账号+VLANID+PORT”绑定 3. 支持“用户账号+VLANID+PORT+MAC”绑定 4. 支持“用户账号+VLANID+PORT+MAC+IP”绑定 某些绑定方式,例如“用户账号+IP”,需要华为扩展属性(VSA)支持。
3.3 认证触发方式
认证触发方式指用户通过何种报文来触发设备对用户进行认证。华为 802.1X 系统支持 三种认证触发方式,即可标准 EAP、DHCP 和华为专有方式。 3.3.1 标准 EAP 触发方式 IEEE 802.1X 协议规定,可以通过 EAP-Start 报文触发认证。在以太网中,802.1X 认证 EAP 报文分配地址为“01-80-C2-00-00-03” 。 这里有两种情况, 其一是仅仅第一个 EAP-Start 报文采用这个多播地址, 其他 EAP 报文 采用单播地址。客户端和设备端分别采用对方报文的源地址作为向对方发送报文的目的地 址。其二是整个认证过程报文都采用协议分配多播地址作为目的地址。 在有线 LAN 中一般采用前一种情况以减少广播;在 WLAN 中一般采用后一种方式。 华为客户端支持上述两种方式。 3.3.2 DHCP 触发方式 即采用 DHCP 报文作为触发设备对用户进行认证的条件。 WIN XP 自带客户端即是这种 情况。 3.3.3 华为专有触发方式 标准触发方式如上所述。 但是有些通信设备不能透传上述多播报文, 如果在用户和认证 设备之间存在这类设备,就会阻断用户认证请求。 华为公司通过采用专利技术“广播触发认证方式” ,成功的解决了上述问题,使用户可 以通过这类设备到达认证服务器完成认证。 这样就降低了对终端用户接入设备的要求, 使已 有设备在采用 802.1X 认证的网络中继续使用,给网络运营管理提供方便,从而降低运营商 的总拥有成本。
3.4 Trunk 端口认证
802.1X 标准规定不支持 Trunk 端口认证。其原因是标准规定的认证控制对象是端口, 对这种端口“复用”的情况,只要有一个 VLAN 中的用户认证通过,则复用该端口的其他 所有 VLAN 中的用户也被相应授权,因此不能支持 Trunk 端口认证。 华为公司 802.1X 通过对控制粒度的细分和相关处理,可以支持在 Trunk 端口上进行认 证(Macbased 方式) 。此项功能扩展没有破坏标准的统一性,因为这是基于粒度细分添加的 功能而不是减少了功能。另外,与其他厂商设备的对接也是没有问题的。 这一特性给组网带来三大优点:其一,非常有利于网络 VLAN 资源的规划利用。第二, 有利于认证设备层次的集中。第三,通过“用户账号+VLAN”的绑定提高用户安全性,同
4
华为 802.1X 技术白皮书
时给运营商带来更大的可管理性。例如,对于大中型网络而言,VLAN 资源(最多 4K)是 相对缺乏的,由于 Trunk 端口支持认证,就可以把 VLAN 终结和认证同时在汇聚层(或者 核心层)设备完成。这样,通过给单个(或者少量)用户划分 VLAN 并绑定,对用户来说 可以提高安全性;对运营商来说,可以防止用户在 VLAN 间漫游。
3.5 用户业务下发
目前支持的业务包括 VLAN 业务、CAR 业务和 Priority 业务等。 3.5.1 VLAN 业务 用户认证过程中,通过与 CAMS 等服务器配合,支持给用户重新指定 VLAN 并下发到 设备。 在 LANSwitch 中,VLAN 与路由虚接口有映射关系,因此可以根据这一特性来规划某 类用户的管理策略。 例如, 校园网中, 给学生群体分配 VLAN 10, 教师群体分配 VLAN 20 。 通过分别给 VLAN 10 和 20 虚接口所在路由段指定不同的访问控制策略可增强可管理性。 同 时,由于 VLAN 资源是动态下发的,因此用户可以在园区网中漫游而不影响访问。 3.5.2 CAR 业务 CAR 业务即用户流量控制业务。 目的是根据资费情况动态设定用户的上下行流量参数。 这一业务除了需要 CAMS 等服务器配合外,还需要设备本身支持流量控制功能。用户 优先级 Priority 也是这样。
3.6 Proxy 检测
在宽带园区网环境中,特别是校园网中,用户通过Proxy上网来实现“一个账号多人使 用”的方法较普遍, 引起了运营商的强烈关注。这种通过Proxy来隐藏真实身份的方式使用 网络,会产生两个方面的问题: 一是利用Proxy发表反动言论,二是利用Proxy逃避计费。 3.6.1 Proxy 典型应用方式 Proxy的典型应用方式如图5。 用户可以通过双网卡、 NAT或者 “单/双网卡+代理软件 (如 Wingate)”等方式实现Proxy。
PROXY上网 好省钱!Oh 你要这么干, 不让你上!
HUB
Lanswitch PC 正常的主机上网
图5 通过 Proxy 上网方式 3.6.2 Proxy 检测机制 一般来说,Proxy功能运行在用户设备(如PC)中的软硬件完成。从原理上来说,网络 侧设备可以通过两种方式探测用户是否通过Proxy上网:其一是网络侧设备发送某种探测报 文;其二是通过驻留在用户设备中的软件主动上报。在本文中,采取两者结合的方式。
5
华为 802.1X 技术白皮书
PC
Ext of EAPoL-Request/ID(20) EAPoL-Response/ID用户名( ?=20 )
Lanswitch shakehands
继续握手|下线消息|不应答而超时
Timeout:45s
图6 Proxy 检测机制说明 1, 扩展客户端软件,使客户端软件可以进行Proxy识别; 2, 客户端软件的识别功能处于被动状态,由交换机按端口进行触发,802.1X客户端按 标准流程进行,设备端收到触发报文后执行检测动作,不影响客户端效率; 3, 客户端将检测结果交由交换机或者AP处理; 3.6.3 Proxy 检测结果处理
根据客户端检测的结果,应答的结果有两种:通过Proxy上网或者正常上网。如果检测 结果是正常方式上网,则设备继续与客户端握手;如果结果为Proxy上网,则根据设备端的 配置给网管报送Trap信息或者发送下线消息Logoff把用户踢下线,拒绝用户上网。当然,这 两种方式可以同时使用。 另外, 如果应答报文的返回值是设备期望之外的其他值, 则交换机拒绝接收这样的握手 报文。设备会启动握手定时器(缺省45s)而使用户下线。这样就实现了对客户端Proxy的检 测。 华为客户端与设备一起配合,实现对Proxy的检测,提高了网络的可运营性。
3.7 IP 地址管理
IP网络中,IP地址不仅是用户使用网络的依据,同时也是管理和安全控制的对象。华为 802.1X系统IP地址管理机制包括如下方面,获取、释放和是否作为用户特征上传等。 3.7.1 IP 获取 华为客户端支持在用户认证过程中动态获得IP地址。这一过程可由客户端自动完成,不 需要用户干预。 当然,如果网络采取静态分配IP地址的方式,客户端的相关选项不选中即可。 3.7.2 IP 释放 Microsoft公司的WINDOWS XP操作系统提供实现了基于IEEE 802.1X-2001协议的客户 端软件,用于基于IEEE 802.1X-2001协议的用户接入。该客户端软件可以同时适用于有线和
6
华为 802.1X 技术白皮书
无线(WLAN)领域。但该客户端软件在用户下线时不能提供用户IP地址的自动释放,用户 下线后还一直占用着IP地址,造成了IP地址的浪费。在IP地址日益紧缺的今天,这个问题对 于运营商和用户都是非常不利的。一方面会造成运营商所拥有的IP地址不能得到充分利用, 另一方面也会因为分配不到地址或者地址冲突而使部分用户得不到服务。为解决这个问题。 华为公司在其自主开发的802.1X客户端软件上增加了IP地址释放机制, 用于保证用户下线后 的IP地址得到及时的释放。 在有线宽带网络中节约了IP地址, 解决了IP地址很快耗光的问题, 实现起来简单可靠,效率很高。 3.7.3 IP 上传 IP地址上传,这里指把用户的IP地址传给RADIUS服务器。分静态IP地址上传和动态IP地 址上传两种情况。 对于静态分配IP地址的情况, 可以把IP地址作为用户的一项特征属性与用户帐号一起送 给服务器认证,实现“用户帐号+IP”绑定认证。并在随后的计费(开始、更新和结束)报 文包含该项属性,服务器的日志中记录信息可供管理查找。 对于动态分配IP地址的情况, 则不能与用户帐号一起在认证报文中送给服务器, 也不能 进行“用户帐号+IP”绑定认证。因为802.1X是二层认证协议,在认证通过之前,用户无法 获得有效IP地址。 华为802.1X系统可以在随后的计费更新报文和计费结束报文中把IP地址信 息送给服务器。
3.8 基于端口的用户容量限制
设备根据其在网络中的层次和处理能力,有一个总体上的最大用户容量指标。802.1X 是基于端口的控制协议。 华为802.1X系统细化了控制粒度, 可以设置指定端口的用户接入数, 从而更好地进行管理控制。
3.9 支持多种认证方法
华为802.1X系统支持PAP、CHAP和EAP-MD5等多种认证方法。缺省设置是CHAP。 特点是客户端自动与设备自动适配,对终端用户透明。不需要用户设置,界面友好,使 用简单方便。 3.9.1 PAP 方法
PAP即密码验证(Password Authentication Protocol)协议。其特点是密码通过明文的方 式传输。 802.1X认证系统没有定义PAP认证方式,华为公司对此进行了扩展(提交国家标准)。 通过扩展RFC 2284中的一种Type(等于0x07表示PAP)来提供PAP认证。 由于密码是通过明文的方式传输,相对来说,安全性不是很高。但是可以兼容某些传统
7
华为 802.1X 技术白皮书
RADIUS服务器。 3.9.2 CHAP 方法
CHAP即质询握手验证 (Challenge Handshake Authentication Protocol) 协议。 与PAP不同, 其密码是通过密文方式传输。 华为802.1X系统CHAP认证遵循RFC1994。 3.9.3 EAP 方法 Authentication Protocol) 协议, 见RFC2284。 即所谓的EAP
EAP即扩展验证 (Extensible
中继认证方式。 这种认证方法的好处是质询和计算过程交由服务器完成, 从一定程度上减轻 了设备的负担。 EAP认证可以由多种安全控制方法,例如MD5散列,TLS等。华为802.1X系统支持EAP MD5方式。
3.10 独特的握手机制
为了定期监测用户的在线情况,华为 802.1X 系统扩展并支持设备与客户之间的握手机 制。 这一办法有效地解决了有线网应用中的仿冒和时长计费准确性问题 (其他厂商产品多数 无法支持定期监测和基于时长计费) 。 推荐的系统参数为:握手间隔(Interval)15 秒,握手次数(N)为 3 次。如果系统连 续 N 次没有收到客户端的应答报文,则认为用户已经离线。 这一功能需要设备端和客户端共同支持。
3.11 对认证服务器的兼容
华为 802.1X 系统支持 EAP 终结方式和 EAP 中继方式。 3.11.1 EAP 终结方式 由华为 VRP 平台 802.1X 子系统扩展而成, EAP 在 LANSWITCH 设备终结并映射到 RADIUS 将 报文,利用标准 Radius 协议完成认证和计费。其运行过程如图 7。
8
华为 802.1X 技术白皮书
客户端PAE
EAPOL EAPOL-Start EAP-Request/Identity
设备端PAE
RADIUS
RADIUS服务器
EAP-Response/Identity EAP-Request/MD5 Challenge EAP-Response/MD5 Challenge RADIUS Access-Request (CHAP-Response/MD5 Challenge) RADIUS Access-Accept (CHAP-Success) 端口被授权 握手请求报文 [EAP-Request/Identity] 握手应答报文 [EAP-Response/Identity] ...... EAPOL-Logoff 端口非授权 握手定时器超时
EAP-Success
图7 802.1X EAP 终结认证流程图 这种方式的好处是可以采用标准的 RADIUS 服务器,可以保护用户的已有投资。PAP 和 CHAP 方法都是通过这种方式与服务器通信的。 3.11.2 EAP 中继方式 这种方式是 IEEE 802.1X 标准规定的,将扩展认证协议(EAP)承载在其他高层协议中, 如 EAP over Radius,以便扩展认证协议报文穿越复杂的网络到达认证服务器 。处理流程 如图 4。 一般来说,EAP 中继方式需要 RADIUS 服务器支持 EAP 属性:EAP_Message(79)和 Message_Authenticator(80) 。如华为公司的 CAMS 或者 FreeRADIUS 组织的自由软件等。
3.12 内置认证服务器
可以在设备设置用户的账号与密码,对用户的认证直接响应,不需要 CAMS 或 RADIUS 的配合。交换机支持内置认证服务器, 降低了小型网络的建设成本和管理成本。 为了降低设备的负载,内置服务器只支持认证功能,不支持计费功能。各个产品系列的 用户容量指标请参考对应产品的规格说明书。
3.13 基于 802.1X 的受控组播
IP 组播技术实现了 IP 网络中点到多点的高效数据传送。 由于能够有效地节约网络带宽、 降低网络负载,IP 组播技术在实时数据传送、多媒体会议、数据拷贝、游戏和仿真等诸多 方面都有广泛的应用。 但是,目前组播业务在运营方面还存在用户管理、业务管理和计费等多方面的问题。 华为公司基于组播可运营、可管理的理念,结合 802.1X 技术推出受控组播解决方案,
9
华为 802.1X 技术白皮书
可以较好地解决用户管理和计费地问题。
3.14 完善的整体解决方案
华为公司具有完整的 802.1X 认证宽带网络解决方案,产品涵盖客户端、认证设备和认 证服务器等完整系列。 客户端可是选择华为公司 802.1X 客户端产品,也可以是 XP 自带,或者其他第三方标 准客户端。 认证设备包括Quidway S高中低系列和MA5200/5300等产品, 服务器包括iTellin和CAMS 等。根据组网需要和服务器是否支持EAP,可以选择在Quidway S系列设备上终结EAP或者 透传。
4
典型组网
根据网络规模的大小以及认证记费和管理方面的要求,有三种典型的802.1X组网方式,
即:集中认证、边缘分布认证和设备内置服务器认证。
4.1 集中认证方案
一般来说,集中认证适合于大中型网络,由于网络设备众多,集中认证有利于管理和集 中控制;但是认证设备的负荷较重。如图 8 所示。
802.1X认证服务器 AAA
DNS
QuidwayS8512/S8016
IP
QuidwayS6506/6503 /S5516 802.1X认证设备
DHCP MA5300/5306 802.1X 设备端 QuidwayS3526/S3526E/FM/FS 802.1X 设备端
QuidwayS2008B/S2016B HUB 802.1X客户端 802.1X客户端 HUB
图8 802.1X 集中认证组网方案 如果使用 Trunk 端口认证功能, 在认证设备上终结用户 VLAN, 则可在单个认证设备上 使用 4K VLAN 资源,从而大大提高 VLAN 资源的利用率,增强用户安全性。
4.2 边缘分布认证方案
对于结构复杂的网络, 可以把认证操作边缘化, 这样可以使得认证负荷在多个设备上均 匀分担。当然,分布式认证会导致分布式网络管理。如图 9 所示。
10
华为 802.1X 技术白皮书
802.1X认证服务器 (如CAMS) Quidway S6506/S8016
AAA
QuidwayS5516
DNS
DHCP
QuidwayS3526/S3526E/FM/FS
QuidwayS3026/S3026E/FM/FS 802.1X 设备端 QuidwayS3026/S3026E/FM/FS 802.1X 设备端 802.1X客户端 802.1X客户端
图9
802.1X 分布认证组网方案
对于接入和汇聚在物理为止相距很远的网络环境, 边缘分布认证可以减少认证控制流占 用传输带宽。
4.3 内置服务器认证方案
对于一些小型网络,从成本的角度考虑,外购专门认证服务器会显著增加网络成本。通 过采用设备内置服务器认证可以较好地解决这个问题。 当然, 根据具体情况, 在同一网络中的不同层次和局点, 这些方式可以集成使用。 另外, 设备在图中的层次也会根据网络规模变化,例如大型网络,S6000 系列可能处于汇聚层;在 中小型网络,S6000 可能处于核心层,由 S3500 系列承担汇聚层的角色。
5
结论与展望
通过上述实例和分析可以看出,华为公司的 802.1X 解决方案具有完整的产品系列、出 色的业务支持能力以及灵活的组网方案。 802.1X 由于其部署的经济性以及较低的设备开销,随着城域网、园区网的快速发展, 以及 WLAN 的快速普及将越来越多地为人们的工作生活服务。
11
华为常用实验手册
华为常用实验手册 Document number:NOCG-YUNOO-BUYTT-UU986-1986UT
目录5 88 95 101
实验一以太网交换机基本配置 【实验目的】 掌握以太网交换机基本配置 【实验学时】 建议2学时 【实验原理】 一、交换机常用命令配置模式 1 业务描述 (1)Quidway系列产品的系统命令采用分级保护方式,命令被划分为参观级、监控级、配置级、管理级4个级别,简介如下: ?参观级:网络诊断工具命令(ping、tracert)、从本设备出发访问外部设备的命 令(包括:Telnet客户端、RLogin)等,该级别命令不允许进行配置文件保存的 操作。 ?监控级:用于系统维护、业务故障诊断等,包括display、debugging命令,该 级别命令不允许进行配置文件保存的操作。 ?配置级:业务配置命令,包括路由、各个网络层次的命令,这些用于向用户提供 直接网络服务。 ?管理级:关系到系统基本运行,系统支撑模块的命令,这些命令对业务提供支撑 作用,包括文件系统、FTP、TFTP、XModem下载、配置文件切换命令、电源 控制命令、备板控制命令、用户管理命令、命令级别设置命令、系统内部参数设 置命令等。 (2)命令视图: 系统将命令行接口划分为若干个命令视图,系统的所有命令都注册在某个(或某些)命令视图下,只有在相应的视图下才能执行该视图下的命令: 各命令视图的功能特性、进入各视图的命令等的细则: ◆命令视图功能特性列表
2 配置参考 (1)命令行在线帮助 在任一命令视图下,键入“”获取该命令视图下所有的命令及其简单描述。
(完整版)华为交换机常用命令大全
华为交换机常用配置大全 2010-02-27
目录 一、基础配置举例 (3) 1.1配置文件处理 (3) 1.2配置交换机远程管理 (3) 二、以太网配置举例 (5) 2.1配置端口属性 (5) 2.2配置链路聚合 (7) 2.3配置VLAN (8) 9.配置MSTP (15) 三、可靠性 (22) 3.1配置基于主备份VRRP (22) 3.2配置基于负载分担VRRP (23) 四、IP路由 (25) 4.1配置静态路由 (25) 4.2配置动态路由 (26) 五、IP业务 (28) 5.1配置虚接口IP地址 (28) 5.2DHCP设置 (29) 5.3 ACL 举例 (32) 六、IGMP (33)
七、QOS (34) 八、安全性 (35) 8.1接口安全 (35) 九、网络管理 (36) 9.1简单网络管理协议配置 (36) 十、设备管理 (38) 10.1测试命令 (38) 一、基础配置举例 1.1配置文件处理 导入配置文件 tftp x.x.x.x get vrpcfg.zip vrpcfg.zip 导出配置文件 tftp x.x.x.x put vrpcfg.zip vrpcfg.zip 1.2配置交换机远程管理 aaa 方式 system-view aaa local-user huawei password simple huawei local-user huawei service-type telnet
local-user huawei priority level 3 quit user-interface vty 0 4 authentication-mode aaa quit 没有密码和使用密码认证同上
华为数通—OSPF实验指导书
一、OSPF上机-1 试验环境组网拓扑: 互联地址规划: 组网互联要求-1: 1、组网和区域划分如上图所示。 2、在S3526-1、AR28-1、AR28-2、S3526-2的互联接口上启用ospf路由协议;并且在每台 三层设备上引入直联路由,直联路由引入按照默认的type 2类型,并且引入时的cost选择100。 试验要求: 1、pc1和pc2都能ping通此网络上的所有ip地址。 2、查看所有三层设备上的路由表,注意路由花费的递增情况并分析规律。 3、查看所有三层设备上的路由表,注意所学到ospf内部路由和引入的外部路由的情况。 4、打开其中一台设备的debug ospf packet信息,让后让这台设备和其它设备重新建立ospf 邻居,采集debug 信息,并分析其debug信息。
组网互联要求-2: 1、在上面组网的基础上,在每台三层设备上引入直联路由,直联路由引入成type 1类型, 并且引入时的cost选择100。 2、 试验要求: 1、和实验1中的外部路由相比较,注意type 1和type 2类型外部路由的cost值的变化。 组网互联要求-3: 1、在上面组网的基础上,在S3526-1和S3526-2上都建立loopbak2接口,并且设置相同的ip地址10.0.0.1/24;在S3526-1上引入直联路由为type 1类型切cost设置为100;在S3526-2上引入直联路由为type 2类型,cost设置为10。 试验要求: 1、在ar28-1和ar28-2上分别观察10.0.0.0/24的路由优选情况。 组网互联要求-4: 1、在组网要求-1的基础上,在S3526-1上建立三个loopback接口loopback10、loopback11、 loopback12,分别配置ip地址为10.0.0.1/24、10.0.1.1/24、10.0.2.1/24,并且通过引入方式注入到ospf中。 试验要求: 1、要求在asbr上聚合10.0.0.0/16网段的路由,并且在其它路由器上观察路由聚合情况。 组网互联要求-5: 1、在组网要求-4的基础上,在S3526-2上建立三个loopback接口loopback10、loopback11、 loopback12,分别配置ip地址为20.0.0.1/24、20.0.1.1/24、20.0.2.1/24,并且通过network 方式发布该网段。 试验要求: 1、要求在abr上聚合20.0.0.0/16网段的路由,并且在其它路由器上观察路由聚合情况。 组网互联要求-6: 1、在上面组网的基础上,将AREA 1改为nssa区域;降AREA 2改为stub区域。 试验要求: 1、在两个区域的三层设备上查看相关路由和lsa,分析stub区域和nssa区域的区别。
最新华为数通操作手册 vrp全系列 vrp故障处理手册 路由器 任务包2.3eigrp的ipdefault network资料
Ip-default network 实验目的:验证ip-default network 的工作原理及实验过程 实验拓扑: 实验过程: R1 R2 R3 Lo:2.2.2.2/24 S2/0 S1/0 S2/0 S1/0 网络边界 Lo:1.1.1.1/24 12.1.1.0/24 23.1.1.0/24 Lo:3.3.3.3/24
实验结论: 1.实验详细说明: 此实验是用R1模拟内网,R2和R3模拟网络边界,把R1和R2运行在EIGRP 100内,R2和R3之间的通信是通过设置静态默认路由实现,R1与外网通信是通过R2通告的EIGRP 默认路由完成的,R1与所有未知目的网段的通信都会通过R2实现,即R1要实现与外界的通信,若路由表中没有目的网段的路由,则会把包掷给R2。 2.以上实验配置得出的实验信息: R1#sh ip route Gateway of last resort is 12.1.1.2 to network 23.0.0.0 1.0.0.0/8 is variably subnetted, 2 subnets, 2 masks C 1.1.1.0/24 is directly connected, Loopback0 D 1.0.0.0/8 is a summary, 00:07:54, Null0 D* 23.0.0.0/8 [90/2681856] via 12.1.1.2, 00:06:48, Serial1/0 12.0.0.0/8 is variably subnetted, 2 subnets, 2 masks C 12.1.1.0/24 is directly connected, Serial1/0 D 12.0.0.0/8 is a summary, 00:07:54, Null0 R2#sh ip route Gateway of last resort is 23.1.1.3 to network 0.0.0.0 D 1.0.0.0/8 [90/2297856] via 12.1.1.1, 00:09:12, Serial2/0 2.0.0.0/24 is subnetted, 1 subnets C 2.2.2.0 is directly connected, Loopback0 * 23.0.0.0/8 is variably subnetted, 2 subnets, 2 masks C 23.1.1.0/24 is directly connected, Serial1/0 D* 23.0.0.0/8 is a summary, 00:09:01, Null0 12.0.0.0/8 is variably subnetted, 2 subnets, 2 masks C 12.1.1.0/24 is directly connected, Serial2/0 D 12.0.0.0/8 is a summary, 00:09:01, Null0 S* 0.0.0.0/0 [1/0] via 23.1.1.3 R3#sh ip route Gateway of last resort is 23.1.1.2 to network 0.0.0.0 3.0.0.0/24 is subnetted, 1 subnets C 3.3.3.0 is directly connected, Loopback0 23.0.0.0/24 is subnetted, 1 subnets C 23.1.1.0 is directly connected, Serial2/0 S* 0.0.0.0/0 [1/0] via 23.1.1.2 R1#ping 3.3.3.3 sou 1.1.1.1
华为数通操作手册 VRP全系列 VRP故障处理手册 路由器 06-第6章 策略路由故障处理
TCP/IP篇目录 目录 第6章策略路由故障处理......................................................................................................... 6-1 6.1 策略路由简介 ..................................................................................................................... 6-1 6.2 策略路由到出接口故障处理................................................................................................ 6-2 6.2.1 典型组网环境........................................................................................................... 6-2 6.2.2 配置注意事项........................................................................................................... 6-2 6.2.3 故障诊断流程........................................................................................................... 6-3 6.2.4 故障处理步骤........................................................................................................... 6-4 6.3 策略路由到下一跳故障处理................................................................................................ 6-6 6.3.1 典型组网环境........................................................................................................... 6-6 6.3.2 配置注意事项........................................................................................................... 6-6 6.3.3 故障诊断流程........................................................................................................... 6-7 6.3.4 故障处理步骤........................................................................................................... 6-7 6.4 策略路由到LSP故障处理.................................................................................................. 6-8 6.4.1 典型组网环境........................................................................................................... 6-8 6.4.2 配置注意事项........................................................................................................... 6-8 6.4.3 故障诊断流程........................................................................................................... 6-9 6.4.4 故障处理步骤......................................................................................................... 6-10 6.5 故障处理案例 ................................................................................................................... 6-15 6.5.1 当出接口为以太类型时转发不通............................................................................ 6-15 6.5.2 策略路由到LSP时转发不通.................................................................................. 6-16 6.6 FAQ .................................................................................................................................. 6-17 6.7 故障诊断工具 ................................................................................................................... 6-17 6.7.1 display命令 ........................................................................................................... 6-17 6.7.2 debugging命令 ..................................................................................................... 6-18 6.7.3 告警 ....................................................................................................................... 6-19
华为产品速查手册 版
华为公司数通 全系列产品速查手册 华为技术有限公司 行业数通产品部 2011年6月
目录 1NE路由器系列产品 .................................................................................................... 1-1 1.1NE 5000E集群路由器.................................................. 1-1 1.1.1NE 5000E集群路由器.................................................. 1-1 1.1.2简介 ................................................................ 1-1 1.1.3外观 ................................................................ 1-1 1.1.4关键特性............................................................. 1-2 1.1.5产品规格............................................................. 1-3 1.1.6定购信息............................................................. 1-4 1.2NE 5000E-X16 集群路由器.............................................. 1-7 1.2.1简介 ................................................................ 1-7 1.2.2外观 ................................................................ 1-7 1.2.3关键特性............................................................. 1-8 1.2.4产品规格............................................................. 1-9 1.2.5定购信息............................................................ 1-10 1.3NE40E 全业务路由器.................................................. 1-13 1.3.1简介 ............................................................... 1-13 1.3.2外观 ............................................................... 1-13 1.3.3关键特性............................................................ 1-13 1.3.4产品规格............................................................ 1-14 1.3.5定购信息............................................................ 1-16 1.4NE20E-X6 高智能业务路由器........................................... 1-19 1.4.1产品概述............................................................ 1-19 1.4.2外观 ............................................................... 1-19 1.4.3产品特点............................................................ 1-19 1.4.4产品规格............................................................ 1-21 1.4.5定购信息............................................................ 1-23 1.5NE20E/20系列多业务路由器........................................... 1-25 1.5.1产品特点............................................................ 1-25 1.5.2产品规格............................................................ 1-26 1.5.3定购信息............................................................ 1-27 2S系列交换机产品........................................................................................................ 2-1
华为交换机命令1
1.1产品简介 随着Internet(因特网)的高速发展,人们对通信的需求已逐渐从传统的电话、传真、电报等低速业务向高速的Internet接入、可视电话、视频点播等宽带业务领域延伸,用户对上网速率的需求也越来越高。在这种需求条件下,以太网接入因其成本低、速度高、使用简单而倍受市场的关注。面对宽带网络建设的迅猛发展,华为公司根据不同的客户类型需求,推出了Quidway系列以太网交换机。 Quidway S2008B/Quidway S2016B/Quidway S2026B以太网交换机是华为公司自主开发的三款二层线速以太网交换产品,它除了能提供传统以太网的功能外,还针对楼道级交换机的特点,从软件、硬件及结构造型等方面进行了优化设计,因而特别适合于以太网宽带接入的要求。 Quidway S2008B/Quidway S2016B以太网交换机均为44mm高的盒式设备,可以壁挂安装。S2008B以太网交换机提供8个固定的10/100Base-TX自适应端口,S2016B以太网交换机提供16个固定的10/100Base-TX自适应端口,此外两者都提供1个10/100Base-TX 自适应上行端口及1个用于配置的Console口。另外S2016B以太网交换机还提供1个扩展模块插槽,可选插100Base-FX多模光纤接口模块或100Base-FX单模光纤接口模块。 Quidway S2026B以太网交换机为42mm高的盒式设备,可以壁挂安装,也可以通过19英寸机架安装。Quidway S2026B以太网交换机提供24个固定的10/100Base-TX自适应端口、1个100Base-TX上行端口(实际为1个100Base-TX上行端口复用为1个MDIX 端口和1个MDI端口,同时只能有1个端口工作)、1个用于配置的Console口和1个扩展模块插槽,可选插100Base-FX多模光纤接口模块或100Base-FX单模光纤接口模块。 Quidway S2008B/Quidway S2016B/Quidway S2026B以太网交换机支持: l 宽带小区以太网接入 l 企业网和园区网组网 l 组播服务,支持组播音频/视频服务 在本手册中,Quidway S2008B/Quidway S2016B/Quidway S2026B以太网交换机简称为S2000B系列以太网交换机。 1.2 功能特性列表 表1-1 功能特性列表 业务 实现 线速二层交换 所有端口支持线速转发 交换容量:1.8Gbps/3.6Gbps/5.2Gbps(S2008B/S2016B/S2026B) 包转发率:1.3Mpps/2.6Mpps/3.9Mpps(S2008B/S2016B/S2026B) 交换模式 存储转发模式(Store and Forward) VLAN(Virtual Local Area Network) 最多支持32个基于端口的VLAN QoS(Quality of Service) 按端口设置转发优先级,支持2个优先级设置 端口汇聚 S2016B支持Ethernet0/15和Ethernet0/16两个端口的汇聚
华为数通网上试题库完整
二:判断(10分) 1、RIP协议使用UDP端口521。(×) 2、如果忘记配置OSPF的router id,则设备缺省下的router id为Loopback最大的地址;如 果没有配置Loopback地址,则router id为数值最小的物理接口地址。(×) 3、RIP版本1是一种有类路由选择协议。(√) 4、在OSPF中,以太接口的网络类型只能为broadcast ( × ) 5、ISIS协议中,如果有优先级更高的路由器出现,DIS会重新选举 ( √ ) 6、如果互联的两个接口的MTU值不一样,则OSPF邻居一定不能建立 ( × ) 7、OSPF发布缺省路由时本地路由表必须先存在缺省路由 (× ) 8、路由聚合可以减轻路由震荡给网络带来的影响 ( √ ) 9、IBGP和EBGP是两种不同的路由协议。(×) 802.1Q以太网帧要比普通的以太网帧多4个字节。(√) 华为数通网上题库 一:交换机 一、填空题: 1、S9300系列交换机具体包括 S9303 、 S9306 、 S9312 三种型号。 2、S9300交换机支持ERSPAN,即可以在镜像报文上添加GRE封装头,路由转发到远端设备。 3、S9300支持增强的VRRP技术,可以提高VRRP的倒换时间达到 50 ms。 4、S8500交换机普通业务板分为B、C、D三类,它们对ACL的支持情况是B类单板不支持全局下发ACL,C类和D类单板才支持全局下发ACL 5、S8500系列交换机支持的最大带宽接口为 10 GE。 6、S8505的槽位数一共有 7 个,主控板可插在__0_槽或__1__槽 7、S8512支持___14__个槽位,其中6、7槽位为主控板槽位,其余均为业务槽位。 8、S6500产品硬件部分主要包括__机箱_或风扇__、___电源__、____背板_、__单板___四部分。 9、S6506交换机共有__7___个槽位,其中主控板在___0___槽位。 10、S6506整机最大功耗为___550____W。 11、S7800系列交换机共有S7802、S7803、S7806、S7806-V、S7810五种型号。 12、S7803共有__5__个槽位,其中主控板有__2__个槽位。 13、S7803交换容量为____480G,S7806交换容量为____768 G。 14、S7806最大包转发能力为488M pps,S7810最大可达773M pps。 15、S7810整机最大支持的GE端口为480个,最大10G端口数量为___24____个。 16、S7800交换机的二层特性对MAC地址最大支持___128___K。 17、S3526交换机同时最大支持____16____条路由。 二、判断题: 1、在S8505上实现MPLS L3VPN混插业务时,做基于IP过滤的重定向配置,重定向的目的端口必须是mx类型端口。(√)
华为实验手册
华为计算机网络培训 实验指导手册 2010年8月 实验一远程管理网络设备(telnet).............................................................................................. 实验二以太网端口汇聚................................................................................................................ 实验三STP的基本配置 ............................................................................................................... 实验四Trunk的基本配置............................................................................................................. 实验五VLAN间的三层通信......................................................................................................... 实验六DHCP配置实验 .................................................................................................................. 实验七文件传输协议配置(FTP)................................................................................................ 实验八PPP、FR配置实验............................................................................................................ 实验九RIP协议配置...................................................................................................................... 实验十OSPF协议配置.................................................................................................................. 实验十一防火墙和地址转换实验................................................................................................... 实验十二路由引入综合实验 .......................................................................................................... 实验十三L2TP(PPPOE拨入)配置实验..................................................................................... 实验十四虚拟路由冗余协议(VRRP)实验.................................................................................. 案例一动态路由协议深入分析....................................................................................................... 案例二企业网综合案例分析 .......................................................................................................... 案例三校园网案例分析................................................................................................................
华为命令解释大全
路由器命令 ~~~~~~~~~~ [Quidway]display version ;显示版本信息 [Quidway]display current-configuration ;显示当前配置[Quidway]display interfaces ;显示接口信息 [Quidway]display ip route ;显示路由信息 [Quidway]sysname aabbcc ;更改主机名 [Quidway]super passwrod 123456 ;设置口令 [Quidway]interface serial0 ;进入接口 [Quidway-serial0]ip address ;配置端口IP地址 [Quidway-serial0]undo shutdown ;激活端口 [Quidway]link-protocol hdlc ;绑定hdlc协议 [Quidway]user-interface vty 0 4 [Quidway-ui-vty0-4]authentication-mode password [Quidway-ui-vty0-4]set authentication-mode password simple 222 [Quidway-ui-vty0-4]user privilege level 3 [Quidway-ui-vty0-4]quit [Quidway]debugging hdlc all serial0 ;显示所有信息 [Quidway]debugging hdlc event serial0 ;调试事件信息 [Quidway]debugging hdlc packet serial0 ;显示包的信息 静态路由: [Quidway]ip route-static {interface number|nexthop}[value][reject|blackhole] 例如: [Quidway]ip route-static 129.1.0.0 16 10.0.0.2 [Quidway]ip route-static 129.1.0.0 255.255.0.0 10.0.0.2 [Quidway]ip route-static 129.1.0.0 16 Serial 2 [Quidway]ip route-static 0.0.0.0 0.0.0.0 10.0.0.2 动态路由: [Quidway]rip ;设置动态路由 [Quidway]rip work ;设置工作允许 [Quidway]rip input ;设置入口允许 [Quidway]rip output ;设置出口允许 [Quidway-rip]network 1.0.0.0 ;设置交换路由网络 [Quidway-rip]network all ;设置与所有网络交换 [Quidway-rip]peer ip-address ; [Quidway-rip]summary ;路由聚合 [Quidway]rip version 1 ;设置工作在版本1 [Quidway]rip version 2 multicast ;设版本2,多播方式 [Quidway-Ethernet0]rip split-horizon ;水平分隔 [Quidway]router id A.B.C.D ;配置路由器的ID [Quidway]ospf enable ;启动OSPF协议 [Quidway-ospf]import-route direct ;引入直联路由 [Quidway-Serial0]ospf enable area ;配置OSPF区域 标准访问列表命令格式如下:
华为实验手册
华为计算机网络培训实验指导手册 2010年8月
实验一远程管理网络设备(telnet) (3) 实验二以太网端口汇聚 (3) 实验三STP的基本配置 (6) 实验四Trunk的基本配置 (9) 实验五VLAN间的三层通信 (11) 实验六DHCP配置实验 (15) 实验七文件传输协议配置(FTP) (16) 实验八PPP、FR配置实验 (17) 实验九RIP协议配置 (21) 实验十OSPF协议配置 (23) 实验十一防火墙与地址转换实验 (25) 实验十二路由引入综合实验 (28) 实验十三L2TP(PPPOE拨入)配置实验 (30) 实验十四虚拟路由冗余协议(VRRP)实验 (33) 案例一动态路由协议深入分析 (37) 案例二企业网综合案例分析 (41) 案例三校园网案例分析 (45)
实验一远程管理网络设备(telnet) 1.1 组网及业务描述 1.2 配置参考 1. 配置路由器的ip地址与PC的ip地址 [Quidway]interface Ethernet 0/0 [Quidway-Ethernet0/0]ip address 1、1、1、1 255、0、0、0 配置完路由器的ip地址,您还需要配置PC的ip地址(比如1、1、1、2 255、0、0、0) 2. 配置路由器Telnet登陆方式 a、none方式: [Quidway] User-interface vty 0 4 配置用户 [Quidway-ui-vty0] authentication-mode none 选择认证方式 [Quidway-ui-vty0] user privilege level 3配置登陆用户级别 b、password方式: [Quidway] User-interface vty 0 4 [Quidway-ui-vty0] authentication-mode password [Quidway-ui-vty0] set authentication password simple 123 设置登陆密码 [Quidway-ui-vty0] user privilege level 3 C、scheme方式: [Quidway] User-interface vty 0 4 [Quidway-ui-vty0] authentication-mode scheme [Quidway-ui-vty0] user privilege level 3 [Quidway] local-user huawei 添加管理用户 [Quidway-luser-huawei] password simple 123456 设置用户密码 [Quidway-luser-huawei] service-type telnet level 3 设置服务类型及优先级 3. 检测PC与路由器的连通性 使用ping命令检测,能否ping通路由器;并在PC上运行telnet应用程序登录路由 器。 实验二以太网端口汇聚 1.1 上机目标: 完成本课程的上机试验后,您应该能够:
新版华为配置命令
S3026交换机 [Quidway]super password (修改特权用户密码) [Quidway]sysname xxx (交换机命名) [Quidway]interface ethernet0/1 (进入接口视图) [Quidway]Quit (退出系统视图) [Quidway]info-center console channel console(信息输出设置) [Quidway]monitor-port ethernet0/1(配置流量镜像) [Quidway-Ethernet0/1]duplex {half\full\auto} (配置端口双工工作状态) [Quidway-Ethernet0/1]speed {10\100\auto}(配置端口工作速率) [Quidway-Ethernet0/1]flow-control {disable\enable}(配置端口流控) [Quidway-Ethernet0/1]shutdown\undo shutdown(关闭\重起端口) [Quidway-Ethernet0/1]mdi {across\auto\normal} (配置端口MDI\MDIX状态) [Quidway]vlan3 \undo vlan3 (创建\删除一个VLAN\进入VLAN配置模式) [Quidway-VLAN3]port ethernet0/1 to ethernet0/4 (给VLAN增加\删除以太网接口) [Quidway-Ethernet0/1]port access vlan3 (将接口加入到指定VLAN) [Quidway-Ethernet0/1]port link-type {trunk\access\hybrid} (设置接口工作模式) hybrid模式的端口可以属于多个VLAN,可以接收和发送多个VLAN的报文,可以用于交换机之间连接,也可以 用于连接用户的计算机,hybrid与trunk的不同之处在于hybrid可以允许多个VLAN的报文发送时不打标签, 而trunk只允许缺省VLAN的报文发送时不打标签。 [Quidway-Ethernet0/1]port trunk permit vlan {id\all}(设置允许trunk端口通过指定VLAN的数据桢) [Quidway-Ethernet0/1]port trunk pvid vlan3 (设置trunk端口的PVID) [Quidway]link-aggregation ethernet0/1 to ethernet0/3 {ingress\both} (配置端口汇聚)
- 华为数通设备命令全集
- 软考网络工程师-华为命令实验手册
- 华为交换机日常维护手册
- 华为数通—OSPF实验指导书
- 华为数通产品介绍
- 华为数通产品
- 华为数通操作手册VRP全系列VRP故障处理手册路由器
- 华为数通(交换、路由、无线等)
- 华为数通操作手册 VRP全系列 VRP故障处理手册 路由器 02-第2章 GRE协议故障处理
- 华为数通网上试题库完整
- 华为数通--生成树协议实验
- 华为数通设备新旧命令
- 0 华为数通产品体系介绍
- 华为常用实验手册
- 华为认证 数通
- 华为数通产品培训资料整理
- 华为数通培训总结
- 华为数通(中级)课程安排表
- 华为数通基础16-PIM
- 华为数通操作手册 VRP全系列 VRP故障处理手册 路由器 06-第6章 策略路由故障处理