AAA 通常采用“客户端—服务器”结构。这种结构既具有良好的可扩展性，又便于集中管理用户信息。认证：
     不认证：对用户非常信任，不对其进行合法检查，一般情况下不采用这种方式。 
     本地认证：将用户信息配置在网络接入服务器上。本地认证的优点是速度快，可以为运营降 低成本，缺点是存储信息量受设备硬件条件限制。 
     远端认证：将用户信息配置在认证服务器上。支持通过 RADIUS（Remote Authentication Dial In User Service）协议或 HWTACACS（HuaWei Terminal Access Controller Access Control System）协议进行远端认证。 
授权：
　 AAA 支持以下授权方式： 
    不授权：不对用户进行授权处理。 
    本地授权：根据网络接入服务器为本地用户账号配置的相关属性进行授权。 
     HWTACACS 授权：由 HWTACACS 服务器对用户进行授权。 
 if-authenticated 授权：如果用户通过了认证，而且使用的认证模式是本地或远端认证，则用户 授权通过。 
     RADIUS 认证成功后授权：RADIUS 协议的认证和授权是绑定在一起的，不能单独使用 RADIUS 进行授权。
计费：
     AAA 支持以下计费方式： 
     不计费：不对用户计费。 
     远端计费：支持通过 RADIUS 服务器或 HWTACACS 服务器进行远端计费。
二、RADIUS协议
远程认证拨号用户服务 RADIUS（Remote Authentication Dial-In User Service）是一种分布式的、客 户端/服务器结构的信息交互协议，能保护网络不受未授权访问的干扰，常应用在既要求较高安全 性、又允许远程用户访问的各种网络环境中。该协议定义了基于 UDP 的 RADIUS 帧格式及其消息 传输机制，并规定 UDP 端口 1812、1813 分别作为认证、计费端口。
RADIUS 最初仅是针对拨号用户的 AAA 协议，后来随着用户接入方式的多样化发展，RADIUS 也 适应多种用户接入方式，如以太网接入、ADSL 接入。它通过认证授权来提供接入服务，通过计费 来收集、记录用户对网络资源的使用。
RADIUS服务器
RA

sysname I_Nan_2_3026
配置主机名称
#
super password level 1 simple huawei
super password level 2 simple huawei
super password level 3 simple huawei
设置超级密码，用户级别1~3
# ------------------一下是华为交换机固有的，用不到的话不用理会
radius scheme system
配置RADIUS方案
server-type huawei
RADIUS服务器类型
primary authentication 127001 1645
配置HWTACACE认证服务器
primary accounting 127001 1646
配置HWTACACS主计费服务器

user-name-format without-domain
给TACACS服务器用户名不带域名
domain system
radius-scheme system
access-limit disable
不限制数量
state active
域用户active状态
vlan-assignment-mode integer
idle-cut disable
self-service-url disable
messenger time disable
domain default enable system
#
local-server nas-ip 127001 key huawei
# 设置接入服务器nas-ip地址 密码huawei
#
temperature-limit 0 42 65
#
am enable
#
vlan 1
# ----------截止到此
vlan 557
#
vlan 558 ----配置vlan和描述信息
description xs-s5-l2-s(3026)
#
vlan 559
#
vlan 1100
#
interface Vlan-interface1 ---vlan1进行配置接口地址
ip address 10611159 2552552550
#
interface Aux0/0
#
interface Ethernet0/24 配置接口类型，和允许的vlan号
port link-type trunk
port trunk permit vlan 1 557 to 558 110
------------valn1是默认的 实际允许通过的是557 558 1100

broadcast-suppression 20 ----广播抑制比为20
#
interface GigabitEthernet2/1
duplex full 全双工
speed 1000 速率1000
port link-type trunk
port trunk permit vlan 1 558 1100
#
interface NULL0
#
ip route-static 0000 0000 10611151 preference 60 静态路由 优先级默默认就是60

#
snmp-agent
snmp-agent local-engineid 800007DB00E0FC6608AA6877
snmp-agent sys-info location BeiJing China 华为默认信息 用于监控的

#
user-interface aux 0
user-interface vty 0 4
set authentication password simple huawei 进入交换机的初级密码 没这个，你是telnet不了交换机 的
#
return

---