H3C AAA认证配置
H3C设备通过Console口登录设备的配置方法介绍
H3C 设备通过Con sole 口登录设备的配置方法介绍H3C 设备通过 Con sole 口登录设备的配置方法介做网络配置交换机时一般都是通过 Con sole 口进行连接配置,但我们可能会如果有人随意修改设备配置是一件很麻烦的事了, 那么我们有些时候需 要在登录Con sole 口时通过一些验证然后才能登录设备进行操作, 那么下面我就 介绍一下这些操作方法。
通过Con sole 口进行本地登录是登录设备的最基本的方式,也是配置通过其 他方式登录设备的基础。
如图所示Hasl通过在Con sole 口用户界面下配置认证方式,制,以提高设备的安全性。
Console 口支持的认证方式有 none 、password 和scheme 三种。
认证方式为none :表示下次使用Con sole 口本地登录设备时,不需要进行用户名和 密码认证、任何人都可以通过 Con sole 口登录到设备上,这种情况可能会带来安全隐患。
认证方式为password :表示下次使用 Con sole 口本地登录设备时,需要进行密码认 证、只有密码认证成功、用户才能登录到设备上Con sole 口登录设备时需要进行用户名和密码认1.配置通过Con sole 口登录设备时无需认证(<H3C> system-view //进入系统视图 [H3C] user-i nteface con sole 0 // 进入 Co nsole 口用户界面视图[H3C-ui-consoleO] authentication-mode none //设置登录用户的认证方式为不认证可以对使用 Console 口登录的用户进行限 认证方式为scheme :表示下次使用证,用户名或密码错误, 均会导致登录失败。
用本地认证,则需要配置本地用户及相应参数;器上配置用户名和密码。
不同的认证方式下,用户认证又分为本地认证和远程认证,如果采 如果采用远程认证,则需要在远程认证服务 Con sole 口登录方式需要进行的配置不同。
H3C命令大全
route-policy 指定一个策略集合
router 进入路由处理模式
rsa 指定RSA模块配置信息
save 将当前配置参数保存至FLASH或NVRAM中
hwping-server 启动hwping的服务器功能
hwtacacs-server 配置hwtacacs-server templat
icmp ICMP 配置命令字串1
idle-timeout 打开EXEC超时退出开关
ifquelen 更改接口队列长度
tty 指定终端接入全局设置
tty-app 指定终端接入应用设置
undo 取消命令操作或恢复为缺省值
update 在线升级接口板驱动程序 字串7
userlog 用户日志
multicast 指定组播配置信息
nat 配置地址转换
ntp-service NTP模块
ospf 开放最短路径优先协议
pad 远程登录功能
pim 协议独立组播
ftp-server FTP 服务器
get 从远端TFTP服务器拷贝config或system文件
hotkey 设置热键信息
hwping 指定hwping的测试属性
hwping-agent 启动hwping的客户端功能
configfile 选择配置文件
controller 设置 E1/T1/E3/T3 入口
copy 将config或system文件拷贝到远端TFTP服务器
debugging 打开系统调试开关
delete 擦除FLASH或NVRAM中的配置文件
acl 指定访问表配置信息
H3C配置AAA、RADIUS和TACACS+
AAA包含三种功能:认证、授权、计费
常用RADIUS协议和TACACS+协议 使用远程服务器,或交换机设备本身作本地认证
服务器
4
AAA支持的服务
AAA通过对服务器的详细配置,对多种 服务提供安全保证
支持FTP、TELNET、PPP、端口接入
验证动作包含核对用户名、密码、证书 授权表现为下发用户权限、访问目录、 用户级别等 计费表现为记录用户上网流量、时长等
22
TACACS+维护命令
操作 查看所有或指定 HWTACACS方案配置信 息或统计信息 显示缓存的没有得到响应 的停止计费请求报文 清除TACACS协议的统计 信息 清除缓存中没有得到响应 的停止计费请求报文 命令 display hwtacacs [ hwtacacsscheme-name [ statistics ] ] display stop-accounting-buffer hwtacacs-scheme hwtacacsscheme-name reset hwtacacs statistics { accounting | all | authentication | authorization } reset stop stop-accounting-buffer accounting buffer hwtacacs-scheme hwtacacsscheme-name
(6)用户访问资源 (7)计费结束请求包 (8)计费结束请求响应包 (9)通知访问结束
10
RADIUS属性
Attribute字段携带认证、授权、计费信 息 采用(Type y ,Length g ,Value)三元组 格式 常用属性
h3c交换机密码设置
立即重新启动S2700 设备
执行命令reboot,立刻重新启动S2700 设备
.
入用户名“huawei”,密码“huawei”。
登录后,如果用户超过30 分钟未对交换机进行操作,将断开与交换机的连接。
步骤1 交换机上配置VTY0 的优先级为2,验证方式为aaa,断开连接时间为30 分钟。
<Quidway> system-view
[Quidway] user-interface vty0
[Quidway-ui-vty0] user privilege level 2
[Quidway-ui-vty0] authentication-mode aaa
[Quidway-ui-vty0] idle-timeout 30
[Quidway-ui-vty0] quit
步骤2 配置用户名、密码和用户等级。
配置用户通过Password 方式登录交换机示例
组网需求
PC 机的COM 口与交换机的Console 口相连。
配置VTY0 的优先级为2,对从VTY0 登录的用户进行password 验证,用户登录时需要
输入口令“huawei”。
登录后,如果用户超过30 分钟未对交换机进行操作,将断开与交换机的连接。
步骤1 配置VTY0 的优先级为2。
<Quidway> system-view
[Quidway] user-interface vty0
[Quidway-ui-vty0] user privilege level 2
步骤2 配置明文验证和断开连接的时间。
H3C-S3100-AAA认证方式的配置
H3C网络设备AAA授权管理方案
H3C网络设备AAA授权管理方案一、面临挑战禁止对网络设备的非法访问是网络安全的一项必要条件。
传统情况下,设备管理用户在访问网络设备前,需要先登录并在本地配置身份验证信息,只有拥有合法凭证的用户才能得到相应的访问授权,从而保证了网络的安全性。
然而当网络规模成倍扩张的时候,IT基础架构越来越庞大,网络设备的管理与维护也变得复杂化,对多个设备或网络服务进行多次认证与控制,增加了额外的工作成本。
这时就需要一个能够对整体网络做出统一认证与控制的服务平台,有效提高企业IT运维的工作效率及管理操作的安全性。
1、管理挑战:企业庞大的网络架构使得设备管理用户在繁杂的IT运维工作中存在多次重复认证过程,影响管理工作效率。
2、安全挑战:对设备管理用户的弱身份鉴别,以及在控制对其访问权限上的缺失或不力,会带来巨大的安全漏洞。
二、解决方案1. H3C网络设备AAA授权管理方案概述宁盾认证服务平台通过标准RADIUS协议,可实现H3C网络设备管理用户的统一身份认证,对其提出的认证请求、授权请求、审计请求做出响应,提供AAA 服务。
首先对设备管理用户的认证请求做出响应,验证其身份的合法性,并结合宁盾双因素认证,通过动态密码对账号进行双重保护;然后根据用户身份权限进行授权,控制用户的访问及操作行为;宁盾认证服务平台可全程跟踪用户行为动作,并出具详细的登录认证及操作行为日志报表,满足审计合规要求。
兼容的网络设备包括H3C交换机、路由器、防火墙及堡垒机、WAF等。
2. 网络拓扑3. 宁盾动态密码形式短信令牌:基于短信发送动态密码的形式手机令牌:基于时间的动态密码,由手机APP生成硬件令牌:基于时间的动态密码,由硬件生成三、方案价值①AAA授权管理:集成RADIUS协议,实现对H3C网络设备管理员实现统一认证、授权、日志审计,提升日常运维管理工作效率;②支持批量开户:支持对设备管理用户集中开户,可批量设定设备管理用户的登录密码、授权策略、失效时间、在线数量和权限提升密码;③与现有系统无缝集成:支持外部数据源,除AD、LDAP等标准帐号源外,还可以从客户自定义的系统中(OA、ERP、CRM)同步用户数据;④账号双重保护:支持通过短信令牌、硬件令牌、手机令牌等动态密码认证,提升设备运维账号密码强度,保护账号安全,避免定期修改密码;⑤风险账号隔离:通过设定账号认证登录规则,可以将自动猜测密码尝试恶意登陆设备的账号加入黑名单进行隔离;⑥访问授权策略:支持按场景分配授权策略,场景可以是设备位置区域、设备类型和接入时段的组合;支持基于角色的授权策略,包括权限级别、接入ACL、限制时长;⑦实名可审计:记录设备管理员的认证、授权及行为审计信息日志,并支持导出到文本文件中。
H3C交换机AAA配置
H3C交换机AAA配置一、RADIUS相关配置【必要命令】系统视图[H3C] dot1x注:启用dot1x认证[H3C] dot1x authentication-method eap注:设置dot1x认证方式为EAP[H3C] MAC-authentication注:启用MAC认证[H3C] radius scheme skylark注:新建RADIUS方案[H3C-radius-skylark] primary authentication 10.18.10.223 1812注:设置RADIUS认证服务器地址,默认端口1812[H3C-radius-skylark] primary accounting 10.18.10.223 1813 注:设置RADIUS审计服务器地址,默认端口1812[H3C-radius-skylark] key authentication skylark注:设置交换机与RADIUS认证服务器的通信密码[H3C-radius-skylark] key accounting skylark注:设置交换机与RADIUS审计服务器的通信密码[H3C-radius-skylark] user-name-format without-domain注:交换机发送给RADIUS服务器的用户名验证不带ISP域名[H3C-radius-skylark] nas-ip 10.18.10.254注:当交换机有多个IP时,指定与RADIUS服务器通讯所使用的IP地址[H3C] domain /doc/b65985264.html, 注:在交换机新建ISP域[/doc/b65985264.html,] scheme radius-scheme skylark local注:给ISP域指定验证的RADIUS方案[/doc/b65985264.html,] vlan-assignment-mode string注:设置RADIUS服务器发送的vlan数为字符串型[H3C] domain default enable /doc/b65985264.html,注:设置新建的ISP域为默认域,默认接入终端都通过RADIUS 服务器进行认证[H3C] MAC-authentication domain /doc/b65985264.html,注:指定MAC地址认证的ISP域[H3C] undo dot1x handshake enable注:关闭dot1x的认证握手,防止已认证端口失败端口视图-dot1x认证[H3C] interface Ethernet1/0/10注:进入端口视图(配置所有接入端口)[H3C-Ethernet1/0/10] port link-type access注:设置端口模式为access[H3C-Ethernet1/0/10] dot1x注:在端口上启用dot1x认证[H3C-Ethernet1/0/10] dot1x port-control auto注:自动识别端口的授权情况[H3C-Ethernet1/0/10] dot1x port-method portbased注:设置端口基于端口认证,当第一个用户认证成功后,其他用户无须认证;若该用户下线后,其他用户也会被拒绝访问[H3C-Ethernet1/0/10] dot1x guest-vlan 3注:设置guestvlan,只有该端口为基于端口认证时支持,基于端口认证时不支持端口视图-MAC认证[H3C] interface Ethernet1/0/11注:进入端口视图(配置所有接入端口)[H3C-Ethernet1/0/11] port link-type access注:设置端口模式为access[H3C-Ethernet1/0/11] MAC-authentication注:在端口上启用MAC认证[H3C-Ethernet1/0/11] MAC-authentication guest-vlan 3注:设置guestvlan,guestvlan只支持一个MAC认证用户接入【可选命令】dot1x认证[H3C] dot1x retry 2注:交换机向RADIUS服务器发送报文的重传次数[H3C] dot1x timer tx-period 2注:交换机向dot1x端口定期多长时间重发报文[H3C] dot1x timer supp-timeout 10注:交换机向客户端发送报文,客户端未回应,多长时间后重发[H3C] dot1x timer server-timeout 100注:交换机向RADIUS服务器发送报文,服务器未回应,多长时间后重发[H3C] dot1x timer reauth-period 7200注:设置重认证间隔检测时间[H3C-Ethernet1/0/10] dot1x re-authenticate注:开启端口重认证功能MAC认证[H3C] mac-authentication timer server-timeout 100注:设置MAC认证交换机等待RADIUS服务器的超时时间二、其他配置【必要命令】SNMP设置作用:收集交换机信息,进行交换机管理[H3C] snmp-agent community write skylark注:设置community密码,用于管理交换机,接收交换机相关信息[H3C] snmp-agent sys-info version all注:设置SNMP支持版本DHCP中继代理(在网关交换机上配置)作用:根据指定IP查找DHCP服务器位置(方法一)[H3C] dhcp-server 0 ip 10.18.10.223注:新建DHCP组,设置DHCP服务器地址[H3C] interface vlan 2注:进入vlan接口[H3C-interface-vlan2] dhcp-server 0注:配置DHCP中继代理,指向DHCP组(方法二)[H3C] dhcp enable注:开启DHCP功能[H3C] dhcp relay server-group 0 ip 10.18.10.223注:新建DHCP组,设置DHCP服务器地址[H3C] interface vlan 2注:进入vlan接口[H3C-interface-vlan2] dhcp select relay注:设置接口为中继模式[H3C-interface-vlan2] dhcp relay server-select 0注:配置DHCP中继代理,指向DHCP组【可选命令】DHCP SNOOPING作用:保证DHCP服务器合法性,并记录客户端IP和MAC对应关系[H3C] dhcp-snooping注:开启DHCP-SNOOPING安全特性[H3C] interface G1/0/1(某些支持vlan接口)注:进入端口模式(配置级联端口和连接DHCP服务器的端口为信任端口)[H3C-interface-GigabyteEthernet1/0/1] dhcp-snooping trust 注:设置该端口为信任端口,默认其它未设置端口则为不信任端口,丢弃不信任的DHCP报文IP SOURCE GUARD(配合DHCP-SNOOPING使用)作用:在接口上绑定DHCP-SNOOPING表项IP及MAC信息[H3C] interface E1/0/10(某些支持vlan接口)注:进入接口[H3C-interface-Ethernet1/0/10] ip check source ip-address mac-address注:动态绑定DHCP-SNOOPING表项,过滤掉其它非DHCP分配的终端数据相关命令display dhcp-snoopingdisplay ip check source注意:S3100SI不支持IP SOURCE GUARD绑定。
H3C华为01-AAA命令详解
H3C华为01-AAA命令详解01-AAA命令⽬录1 AAA配置命令1.1 AAA配置命令1.1.1 aaa nas-id profile1.1.2 access-limit1.1.3 access-limit enable1.1.4 accounting default1.1.5 accounting login1.1.6 accounting optional1.1.7 authentication default1.1.8 authentication login1.1.9 authorization command1.1.10 authorization default1.1.11 authorization login1.1.12 authorization-attribute1.1.13 authorization-attribute user-profile1.1.14 bind-attribute1.1.15 cut connection1.1.16 display connection1.1.17 display domain1.1.18 display local-user1.1.19 display user-group1.1.20 domain1.1.21 domain default enable1.1.22 expiration-date1.1.23 group1.1.24 idle-cut enable1.1.25 local-user1.1.26 local-user password-display-mode1.1.27 nas-id bind vlan1.1.28 password1.1.29 self-service-url enable1.1.30 service-type1.1.31 state1.1.32 user-group2 RADIUS配置命令2.1 RADIUS配置命令2.1.1 accounting-on enable2.1.2 accounting-on enable interval2.1.3 accounting-on enable send2.1.4 attribute 25 car2.1.5 data-flow-format (RADIUS scheme view)2.1.6 display radius scheme2.1.7 display radius statistics2.1.8 display stop-accounting-buffer2.1.9 key (RADIUS scheme view)2.1.10 nas-ip (RADIUS scheme view)2.1.11 primary accounting (RADIUS scheme view)2.1.12 primary authentication (RADIUS scheme view)2.1.13 radius client2.1.14 radius nas-ip2.1.15 radius scheme2.1.16 radius trap2.1.17 reset radius statistics2.1.18 reset stop-accounting-buffer2.1.19 retry2.1.20 retry realtime-accounting2.1.21 retry stop-accounting (RADIUS scheme view)2.1.22 secondary accounting (RADIUS scheme view)2.1.23 secondary authentication (RADIUS scheme view)2.1.24 security-policy-server2.1.25 server-type2.1.26 state2.1.27 stop-accounting-buffer enable (RADIUS scheme view) 2.1.28 timer quiet (RADIUS scheme view) 2.1.29 timer realtime-accounting (RADIUS scheme view)2.1.30 timer response-timeout (RADIUS scheme view)2.1.31 user-name-format (RADIUS scheme view)1 AAA配置命令1.1 AAA配置命令1.1.1 aaa nas-id profile【命令】aaa nas-id profile profile-nameundo aaa nas-id profile profile-name【视图】系统视图【缺省级别】2:系统级【参数】profile-name:保存NAS-ID与VLAN绑定关系的Profile名称,为1~16个字符的字符串,不区分⼤⼩写。
- 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
- 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
- 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。
A A A典型配置举例用户的RADIUS认证和授权配置1.组网需求如所示,SSH用户主机与Router直接相连,Router与一台RADIUS服务器相连,需要实现使用RADIUS服务器对登录Router的SSH用户进行认证和授权。
由一台iMC服务器(IP地址为)担当认证/授权RADIUS服务器的职责;Router与RADIUS服务器交互报文时使用的共享密钥为expert,认证/授权、计费的端口号分别为1812和1813;Router向RADIUS服务器发送的用户名携带域名;SSH用户登录Router时使用RADIUS服务器上配置的用户名hello@bbb以及密码进行认证,认证通过后具有缺省的用户角色network-operator。
2.组网图图1-12SSH用户RADIUS认证/授权配置组网图3.配置步骤(1)配置RADIUS服务器(iMC PLAT )下面以iMC为例(使用iMC版本为:iMC PLAT (E0101)、iMC UAM (E0101)),说明RADIUS 服务器的基本配置。
#增加接入设备。
登录进入iMC管理平台,选择“业务”页签,单击导航树中的[接入业务/接入设备管理/接入设备配置]菜单项,进入接入设备配置页面,在该页面中单击“增加”按钮,进入增加接入设备页面。
设置与Router交互报文时使用的认证、计费共享密钥为“expert”;设置认证及计费的端口号分别为“1812”和“1813”;选择业务类型为“设备管理业务”;选择接入设备类型为“H3C”;选择或手工增加接入设备,添加IP地址为的接入设备;其它参数采用缺省值,并单击<确定>按钮完成操作。
添加的接入设备IP地址要与Router发送RADIUS报文的源地址保持一致。
缺省情况下,设备发送RADIUS报文的源地址是发送RADIUS报文的接口IP地址。
若设备上通过命令nas-ip或者radius nas-ip指定了发送RADIUS报文的源地址,则此处的接入设备IP地址就需要修改并与指定源地址保持一致。
若设备使用缺省的发送RADIUS报文的源地址,例如,本例中为接口GigabitEthernet1/0/2的IP地址,则此处接入设备IP地址就选择。
图1-13增加接入设备#增加设备管理用户。
选择“用户”页签,单击导航树中的[接入用户视图/设备管理用户]菜单项,进入设备管理用户列表页面,在该页面中单击<增加>按钮,进入增加设备管理用户页面。
输入用户名“hello@bbb”和密码;选择服务类型为“SSH”;添加所管理设备的IP地址,IP地址范围为“~”;单击<确定>按钮完成操作。
添加的所管理设备的IP地址范围要包含添加的接入设备的IP地址。
图1-14增加设备管理用户(2)配置Router#配置接口GigabitEthernet2/0/1的IP地址,SSH用户将通过该地址连接Router。
<Router> system-view[Router] interface gigabitethernet 2/0/1[Router-GigabitEthernet2/0/1] quit#配置接口GigabitEthernet2/0/2的IP地址,Router将通过该地址与服务器通信。
[Router] interface gigabitethernet 2/0/2[Router-GigabitEthernet2/0/2] quit#创建本地RSA及DSA密钥对。
[Router] public-key local create rsa[Router] public-key local create dsa#使能SSH服务器功能。
[Router] ssh server enable#设置SSH用户登录用户线的认证方式为AAA认证。
[Router] line vty 0 63[Router-line-vty0-63] authentication-mode scheme[Router-line-vty0-63] quit#使能缺省用户角色授权功能,使得认证通过后的SSH用户具有缺省的用户角色network-operator。
[Router] role default-role enable#创建RADIUS方案rad。
[Router] radius scheme rad#配置主认证服务器的IP地址为,认证端口号为1812。
#配置与认证服务器交互报文时的共享密钥为明文expert。
[Router-radius-rad] key authentication simple expert#配置向RADIUS服务器发送的用户名要携带域名。
[Router-radius-rad] user-name-format with-domain[Router-radius-rad] quit#创建ISP域bbb,为login用户配置AAA认证方法为RADIUS认证/授权、不计费。
由于RADIUS服务器的授权信息是随认证应答报文发给RADIUS客户端的,所以必须保证认证和授权方案相同。
[Router] domain bbb[Router-isp-bbb] authentication login radius-scheme rad[Router-isp-bbb] authorization login radius-scheme rad[Router-isp-bbb] accounting login none[Router-isp-bbb] quit4.验证配置用户向Router发起SSH连接,按照提示输入用户名hello@bbb及正确的密码后,可成功登录Router,并具有用户角色network-operator所拥有的命令行执行权限。
用户的本地认证和授权配置1.组网需求如所示,配置Router实现对登录Router的SSH用户进行本地认证和授权,并授权该用户具有用户角色network-admin。
2.组网图图1-15SSH用户本地认证/授权配置组网图3.配置步骤#配置接口GigabitEthernet2/0/1的IP地址,SSH用户将通过该地址连接Router。
<Router> system-view[Router] interface gigabitethernet 2/0/1[Router-GigabitEthernet2/0/1] quit#创建本地RSA及DSA密钥对。
[Router] public-key local create rsa[Router] public-key local create dsa#使能SSH服务器功能。
[Router] ssh server enable#设置SSH用户登录用户线的认证方式为AAA认证。
[Router] line vty 0 63[Router-line-vty0-63] authentication-mode scheme[Router-line-vty0-63] quit#创建设备管理类本地用户ssh。
[Router] local-user ssh class manage#配置该本地用户的服务类型为SSH。
[Router-luser-manage-ssh] service-type ssh#配置该本地用户密码为明文123456TESTplat&!。
(若是FIPS模式下,只能使用交互式方式设置)[Router-luser-manage-ssh] password simple 123456TESTplat&!#配置该本地用户的授权用户角色为network-admin[Router-luser-manage-ssh] authorization-attribute user-role network-admin [Router-luser-manage-ssh] quit#创建ISP域bbb,为login用户配置AAA认证方法为本地认证和本地授权。
[Router] domain bbb[Router-isp-bbb] authentication login local[Router-isp-bbb] authorization login local[Router-isp-bbb] quit4.验证配置用户向Router发起SSH连接,按照提示输入用户名ssh@bbb及正确的密码后,可成功登录Router,并具有用户角色network-admin所拥有的命令行执行权限。
用户的HWTACACS认证、授权、计费配置1.组网需求如所示,配置Router实现使用HWTACACS服务器对登录Router的SSH用户进行认证、授权、计费。
由一台HWTACACS服务器担当认证、授权、计费服务器的职责,服务器IP地址为。
Router与认证、授权、计费HWTACACS服务器交互报文时的共享密钥均为expert,向HWTACACS服务器发送的用户名不带域名。
认证通过后的SSH用户具有缺省的用户角色network-operator。
2.组网图图1-16SSH用户HWTACACS认证、授权和计费配置组网图3.配置步骤(1)配置HWTACACS服务器#在HWTACACS服务器上设置与Router交互报文时的共享密钥为expert;添加SSH 用户名及密码。
(略)(2)配置Router#创建HWTACACS方案hwtac。
<Router> system-view[Router] hwtacacs scheme hwtac#配置主认证服务器的IP地址为,认证端口号为49。
#配置主授权服务器的IP地址为,授权端口号为49。
#配置主计费服务器的IP地址为,计费端口号为49。
#配置与认证、授权、计费服务器交互报文时的共享密钥均为明文expert。
[Router-hwtacacs-hwtac] key authentication simple expert[Router-hwtacacs-hwtac] key authorization simple expert[Router-hwtacacs-hwtac] key accounting simple expert#配置向HWTACACS服务器发送的用户名不携带域名。
[Router-hwtacacs-hwtac] user-name-format without-domain[Router-hwtacacs-hwtac] quit#创建ISP域bbb,为login用户配置AAA认证方法为HWTACACS认证/授权/计费。
[Router] domain bbb[Router-isp-bbb] authentication login hwtacacs-scheme hwtac[Router-isp-bbb] authorization login hwtacacs-scheme hwtac[Router-isp-bbb] accounting login hwtacacs-scheme hwtac[Router-isp-bbb] quit#创建本地RSA及DSA密钥对。