H3C S3600交换机AAA认证配置

需求：

我这原本用一台cisco3550接入，现在要换成一台H3C S3600交换机，1.需要使用hwtacacs服务器对telnet和console登录认证，如果hwtacacs服务器超时则用本地用户名密码认证；

2.接入到该交换机的用户使用inote通过radius服务器做准入认证，通过dot1x认证才能上网，不能通过认证的由服务器划分到一个指定的Vlan
求助H3C交换机应该如何配置

可以参考原cisco3550的配置：
enable secret 12345
!
username admin secret 12345
aaa new-model
!
!
aaa authentication login default group tacacs+ local enable
aaa authentication login no-tacacs+ enable
aaa authentication enable default group tacacs+ enable
aaa authentication dot1x default group radius
aaa authorization exec default group tacacs+ local
aaa authorization commands 15 default group tacacs+ local none
aaa authorization network default group radius
aaa accounting dot1x default start-stop group radius
aaa accounting exec default start-stop group tacacs+
aaa accounting commands 3 deflult start-stop group tacacs+
aaa accounting commands 15 default start-stop group tacacs+
!
aaa session-id common
!
dot1x system-auth-control
!
vlan internal allocation policy ascending
!
interface FastEthernet0/1
switchport access vlan 212
switchport mode access
dot1x pae authenticator
dot1x port-control auto
dot1x violation-mode protect
!
tacacs-server host 2.2.2.2 key 678
tacacs-server timeout 30
tacacs-server directed-request
radius-server host 1.1.1.1 auth-port 1812 acct-port 1813 key 789
radius-server host 1.1.1.2 auth-port 1812 acct-port 1813 key 789
!
control-plane
!
!
line con 0
exec-timeout 0 0
logging synchronous
line vty 0 4
exec-timeout 5 0
line vty 5 15
exec-timeout 5 0
请按上面需求给出H3C的配置

1.对于交换机，最好console不要配置认证，万一出现问题（如人为设置错误等），你console无法进去，最好配置个本地用户。
2.配置tacacs就可以了。没必要配置radius(radius还不能对命令进行鉴权)，tacacs，完全可以对用户、等级（exec）、命令（command）进行授权。
给个配置给你参考（华为），我这配置，对于console口是没有去aaa服务器的。

domain mydepart
scheme hwtacacs-scheme mydepart local
vlan-assignment-mode integer
access-limit disable
state active
idle-cut disable
self-service-url disable

hwtacacs scheme mydepart
primary authentication 192.168.1.2
secondary authentication 192.168.1.3
primary authorization 192.168.1.2
secondary authorization 192.168.1.3
primary accounting 192.168.1.2
secondary accounting 192.168.1.3
key authentication mykey
key authorization mykey
key accounting mykey
user-name-format without-domain

local-user myuser

#
super password level 3 cipher sdfsdfgsdfs
#
hwtacacs nas-ip 192.168.1.1

user-interface vty 0 4
acl 2000 inbound
authentication-mode scheme command-authorization
user privilege level 3
idle-timeout 5 0
protocol inbound telnet

user-interface con 0
authentication-mode password
set authentication password cipher sdfsdfsdfwer
idle-timeout 5 0追问

你没理解好我的需求，
1.console要配成优先hwtacacs认证，如果认证服务器超时则使用本地认证；
2.radius是用来认证dot1x的，用来控制接入到交换机的电脑是否能联网的，不需要鉴权
3.我需要同时使用hwtacacs来认证登录，用radius来认证准入。

谢谢，如果你知道怎么配置的话，请帮助我

温馨提示：内容为网友见解，仅供参考

当前网址：https://11.t2y.org/zz/sq4vppvsm.html