02-登录用户权限控制典型配置举例
本章节下载: 02-登录用户权限控制典型配置举例 (603.21 KB)
目 录
1.2.3 配置Telnet用户采用本地AAA认证登录设备举例
1.2.4 配置Telnet用户采用远程AAA认证登录设备举例
1.3.4 配置用户具有特定特性中读写类型命令的执行权限举例
1.3.6 配置用户具有多个特性中所有写类型命令的执行权限举例
1.3.10 配置用户在某些VLAN中具有特定特性组的执行权限举例
1.3.11 配置用户在某些VPN中具有特定特性的执行权限举例
本文介绍了如何通过RBAC(Role Based Access Control,基于角色的访问控制)来对登录用户的权限进行控制。
登录用户权限控制的基本思想是为登录成功的用户赋予指定的用户角色,这些角色中定义了允许用户操作哪些系统功能以及资源对象。
对登录用户的权限控制需要通过两个步骤来实现:
(1) 配置用户角色
(2) 为登录用户授权用户角色
用户角色分为系统预定义用户角色和自定义用户角色两类,其作用和具体权限请参见表1。
用户角色类型 |
作用 |
具体权限 |
系统预定义用户角色 |
系统预定义了不同权限的用户角色,方便管理员来控制用户的权限。 |
|
自定义用户角色 |
当系统预定义的用户角色无法满足权限管理需求,管理员还可以自定义用户角色来对用户权限做进一步控制。 |
系统预定义了名称为network-admin、network-operator、level-n(n为0~15的整数)、security-audit的用户角色。这些用户角色缺省均具有操作所有系统资源的权限,但具有不同的系统功能操作权限。
本文中为用户授权系统预定义用户角色的配置举例,如表2所示。
举例类型 |
举例名称 |
将系统预定义用户角色授权给用户 |
如果系统预定义角色无法满足用户的权限管理需求,可以自定义用户角色来对用户权限做更精细和灵活的控制。
创建用户角色时,可以通过配置用户角色规则和资源控制策略来实现对用户权限的控制。本文中为用户授权自定义用户角色的配置举例,如表3所示。
举例类型 |
举例名称 |
配置基于命令的规则 |
|
配置基于特性的规则 |
|
配置基于特性组的规则 |
|
配置接口控制策略 |
|
配置VLAN控制策略 |
|
配置VPN控制策略 |
|
配置多个用户角色 |
|
配置用户角色切换 |
设备为用户授权角色的方式取决于用户在登录设备时使用的认证方式。目前对登录用户的认证方式有三种,如表4所示。
登录设备认证方式 |
说明 |
none |
用户登录时,不需要进行用户名和密码认证 |
password |
用户登录时,仅需要输入密码 |
scheme |
用户登录时,需要进行用户名和密码认证 |
根据用户登录设备时的认证方式,可以将设备为用户授权用户角色的方式分为以下两种:
· 非AAA方式:用户登录时使用的认证方式为none或password,则用户登录后所拥有的用户角色是用户线下配置的用户角色。
· AAA方式:用户登录时使用的认证方式为scheme,则根据用户名为用户授权用户角色。
¡ 如果用户通过了本地AAA认证,则登录后拥有的用户角色为交换机上配置的本地用户下所授权的角色,该方式称为本地授权。
¡ 如果用户通过了远程AAA认证,则登录后拥有的用户角色为AAA服务器上为该用户授权的用户角色,该方式称为远程授权。
在对用户进行远程AAA认证时,如果用户使用的是SSH的publickey或password-publickey方式登录,则登录后将由交换机为用户授予与SSH用户同名的本地用户视图下配置的授权用户角色,而不是由AAA服务器为用户授权角色。
本文中配置用户登录认证方式的举例,如表5所示。
授权用户角色方式 |
登录认证方式 |
举例名称 |
非AAA方式 |
none |
|
非AAA方式 |
password |
|
AAA方式-本地授权 |
scheme |
|
AAA方式-远程授权 |
本章节以通过Telnet方式登录设备为例,介绍如何配置用户登录设备的认证方式。
表6 配置适用的产品与软件版本关系
产品 |
软件版本 |
S5830V2&S5820V2系列以太网交换机 |
Release 2208P01,Release 2210 |
如图1所示,在安全性较高的网络环境中,允许Telnet用户无需认证就能登录Switch。
图1 Telnet用户无需认证配置组网图
· 缺省情况下,设备的Telnet服务处于关闭状态,在本例中需要开启设备的Telnet服务。
· 缺省情况下,VTY用户界面的认证方式为password,在本例中需要将VTY用户界面的认证方式为none。
(1) 按照图1所示配置Switch的IP地址,并确保Telnet用户与Switch间路由可达
(2) 配置Telnet用户登录Switch的认证方式
# 开启Switch的Telnet服务器功能。
<Switch> system-view
[Switch] telnet server enable
# 在编号为0~15的VTY用户界面下,配置Telnet用户登录采用不认证方式。
[Switch] user-interface vty 0 15
[Switch-ui-vty0-15] authentication-mode none
[Switch-ui-vty0-15] quit
用户向Switch发起Telnet连接,无需认证即可通过Telnet客户端成功登录Switch。
C:\Documents and Settings\user> telnet 192.168.1.50
******************************************************************************
* Copyright (c) 2004-2013 Hangzhou H3C Tech. Co., Ltd. All rights reserved. *
* Without the owner's prior written consent, *
* no decompiling or reverse-engineering shall be allowed. *
******************************************************************************
<Switch>
#
telnet server enable
#
vlan 2
#
interface Vlan-interface2
ip address 192.168.1.50 255.255.255.0
#
interface Ten-GigabitEthernet1/0/2
port access vlan 2
#
user-interface vty 0 15
authentication-mode none
user-role network-operator
#
表7 配置适用的产品与软件版本关系
产品 |
软件版本 |
S5830V2&S5820V2系列以太网交换机 |
Release 2208P01,Release 2210 |
如图2所示,为了加强用户登录的安全性,要求用户在登录Switch时需要输入正确的密码才能登录成功。
图2 Telnet用户密码认证配置组网图
· 缺省情况下,设备的Telnet服务处于关闭状态,在本例中需要开启设备的Telnet服务。
· 缺省情况下,VTY用户界面的认证方式为password,实际应用中可以直接设置用户的登录密码。
(1) 按照图2所示配置Switch的IP地址,并确保Telnet用户与Switch间路由可达
(2) 配置Telnet用户登录Switch的认证方式及登录密码
# 开启Switch的Telnet服务器功能。
<Switch> system-view
[Switch] telnet server enable
# 在编号为0~15的VTY用户界面下,配置Telnet用户登录采用password认证方式(系统缺省值为password)。
[Switch] user-interface vty 0 15
[Switch-ui-vty0-15] authentication-mode password
# 配置Telnet用户的登录密码是明文的123456。
[Switch-ui-vty0-15] set authentication password simple 123456
[Switch-ui-vty0-15] quit
用户向Switch发起Telnet连接,在Telnet客户端按照提示输入正确的密码后,成功登录Switch。
C:\Documents and Settings\user> telnet 192.168.1.50
******************************************************************************
* Copyright (c) 2004-2013 Hangzhou H3C Tech. Co., Ltd. All rights reserved. *
* Without the owner's prior written consent, *
* no decompiling or reverse-engineering shall be allowed. *
******************************************************************************
Password:
<Switch>
#
telnet server enable
#
vlan 2
#
interface Vlan-interface2
ip address 192.168.1.50 255.255.255.0
#
interface Ten-GigabitEthernet1/0/2
port access vlan 2
#
user-interface vty 0 15
user-role network-operator
set authentication password hash $h$6$vaSj2xKc8yFiNdfQ$Jzb3PXo2ltTPcgyTQJZShe4j
kKSZqJUVhjP634Wol/Qx8TLU748IHoeui0w5n/XRzpNqbNnpxikym39gGJCwYw==
#
Telnet用户登录密码的显示方式(明文或密文)与设备的软件版本有关,本例中显示为密文。
表8 配置适用的产品与软件版本关系
产品 |
软件版本 |
S5830V2&S5820V2系列以太网交换机 |
Release 2208P01,Release 2210 |
如图3所示,为了加强用户登录的安全性,采用本地AAA认证对登录Switch的Telnet用户进行认证。具体需求如下:
· 在本例中需要创建名称为bbb的ISP域,并要求Telnet用户通过ISP域bbb接入网络。
· 创建设备管理类本地用户telnetuser,并设置登录密码。Telnet用户登录Switch时,使用本地配置的用户名telnetuser@bbb以及密码进行认证。
图3 Telnet用户无需认证配置组网图
缺省情况下,设备的Telnet服务处于关闭状态,在本例中需要开启设备的Telnet服务。
一个ISP域被配置为缺省的ISP域后将不能够被删除,必须首先使用命令undo domain default enable将其修改为非缺省ISP域,然后才可以被删除。
(1) 按照图3所示配置Switch的IP地址,并确保Telnet用户与Switch间路由可达
(2) 配置Telnet用户登录Switch的认证方式
# 开启Switch的Telnet服务器功能。
[Switch] telnet server enable
# 在编号为0~15的VTY用户界面下,配置Telnet用户登录采用AAA认证方式。
[Switch] user-interface vty 0 15
[Switch-ui-vty0-15] authentication-mode scheme
[Switch-ui-vty0-15] quit
(3) 配置ISP域bbb的AAA方法
# 创建ISP域bbb,为login用户配置的AAA方法为本地认证、本地授权。
[Switch] domain bbb
[Switch-isp-bbb] authentication login local
[Switch-isp-bbb] authorization login local
[Switch-isp-bbb] quit
(4) 配置设备管理类本地用户telnetuser的密码和服务类型。
# 创建设备管理类本地用户telnetuser。
[Switch] local-user telnetuser class manage
# 配置用户的密码是明文的aabbcc。
[Switch-luser-manage-telnetuser] password simple aabbcc
# 指定用户的服务类型是Telnet。
[Switch-luser-manage-telnetuser] service-type telnet
[Switch-luser-manage-telnetuser] quit
用户向Switch发起Telnet连接,在Telnet客户端按照提示输入用户名telnetuser@bbb及正确的密码后,成功登录Switch。
C:\Documents and Settings\user> telnet 192.168.1.50
******************************************************************************
* Copyright (c) 2004-2013 Hangzhou H3C Tech. Co., Ltd. All rights reserved. *
* Without the owner's prior written consent, *
* no decompiling or reverse-engineering shall be allowed. *
******************************************************************************
login: telnetuser@bbb
Password:
<Switch>
#
telnet server enable
#
vlan 2
#
interface Vlan-interface2
ip address 192.168.1.50 255.255.255.0
#
interface Ten-GigabitEthernet1/0/2
port access vlan 2
#
user-interface vty 0 15
authentication-mode scheme
user-role network-operator
#
domain bbb
authentication login local
authorization login local
#
local-user telnetuser class manage
password hash $h$6$VLhDcJkrZfRjyTMa$oURQbSVkWRHt5xzWUXc6BBTNcJupHSysfK8aX8x8Eee
HWU3g1AljSqQxlPmXOYBhpkhD1jCL/0PPRqElCy3rXA==
service-type telnet
authorization-attribute user-role network-operator
#
Telnet用户登录密码的显示方式(明文或密文)与设备的软件版本有关,本例中显示为密文。
表9 配置适用的产品与软件版本关系
产品 |
软件版本 |
S5830V2&S5820V2系列以太网交换机 |
Release 2208P01,Release 2210 |
如图4所示,为了加强用户登录的安全性,采用RADIUS服务器对登录Switch的Telnet用户进行认证、授权。具体需求如下:
· 由一台FreeRadius服务器(IP地址为10.1.1.1/24)担当认证、授权RADIUS服务器的职责。
· 在本例中需要创建名称为bbb的ISP域,并要求Telnet用户通过ISP域bbb接入网络。
· Switch与RADIUS服务器交互报文时使用的共享密钥为aabbcc,向RADIUS服务器发送的用户名带域名。服务器根据用户名携带的域名来区分提供给用户的服务。
· Telnet用户登录Switch时,使用RADIUS服务器上配置的用户名hello@bbb以及密码进行认证。
图4 Telnet用户RADIUS认证\授权配置组网图
缺省情况下,设备的Telnet服务处于关闭状态,在本例中需要开启设备的Telnet服务。
· 一个ISP域被配置为缺省的ISP域后将不能够被删除,必须首先使用命令undo domain default enable将其修改为非缺省ISP域,然后才可以被删除。
· 由于RADIUS服务器的授权信息是随认证应答报文发给RADIUS客户端的,所以必须保证认证和授权方法相同。
(1) 按照图4所示配置Switch的IP地址,并确保Telnet用户与Switch间路由可达
(2) 配置Telnet用户登录Switch的认证方式
# 开启Switch的Telnet服务器功能。
[Switch] telnet server enable
# 在编号为0~15的VTY用户界面下,配置Telnet用户登录采用AAA认证方式。
[Switch] user-interface vty 0 15
[Switch-ui-vty0-15] authentication-mode scheme
[Switch-ui-vty0-15] quit
(3) 配置RADIUS方案和认证服务器
# 创建RADIUS方案rad。
[Switch] radius scheme rad
# 配置主认证/授权服务器的IP地址为10.1.1.1,认证端口号为1812。
[Switch-radius-rad] primary authentication 10.1.1.1 1812
# 配置与认证/授权服务器交互报文时的共享密钥为明文aabbcc。
[Switch-radius-rad] key authentication simple aabbcc
[Switch-radius-rad] quit
(4) 配置ISP域bbb的AAA方法
# 创建ISP域bbb,为login用户配置的AAA认证方法为RADIUS认证、RADIUS授权。
[Switch] domain bbb
[Switch-isp-bbb] authentication login radius-scheme rad
[Switch-isp-bbb] authorization login radius-scheme rad
[Switch-isp-bbb] quit
(5) 配置RADIUS服务器(IP地址为10.1.1.1/24),配置方法请参见具体的配置并授权用户角色举例
用户向Switch发起Telnet连接,在Telnet客户端按照提示输入用户名hello@bbb及正确的密码后,成功登录Switch。
C:\Documents and Settings\user> telnet 192.168.1.70
******************************************************************************
* Copyright (c) 2004-2013 Hangzhou H3C Tech. Co., Ltd. All rights reserved. *
* Without the owner's prior written consent, *
* no decompiling or reverse-engineering shall be allowed. *
******************************************************************************
login: hello@bbb
Password:
<Switch>
#
telnet server enable
#
vlan 2 to 3
#
interface Vlan-interface2
ip address 192.168.1.70 255.255.255.0
#
interface Vlan-interface3
ip address 10.1.1.2 255.255.255.0
#
interface Ten-GigabitEthernet1/0/2
port access vlan 2
#
interface Ten-GigabitEthernet1/0/3
port access vlan 3
#
user-interface vty 0 15
authentication-mode scheme
user-role network-operator
#
radius scheme rad
primary authentication 10.1.1.1
key authentication cipher $c$3$JzDegvL0G5KZIcJhzscTHLA4WasBVh0UOw==
#
domain bbb
authentication login radius-scheme rad
authorization login radius-scheme rad
#
Telnet用户登录密码的显示方式(明文或密文)与设备的软件版本有关,本例中显示为密文。
表10 配置适用的产品与软件版本关系
产品 |
软件版本 |
S5830V2&S5820V2系列以太网交换机 |
Release 2208P01,Release 2210 |
如图5所示,在安全性较高的网络环境中,允许Telnet用户无需认证就能登录Switch,并且为Telnet用户授权用户角色network-admin。
图5 Telnet用户无需认证配置组网图
· 缺省情况下,设备的Telnet服务处于关闭状态,在本例中需要开启设备的Telnet服务。
· 缺省情况下,VTY用户界面的认证方式为password,在本例中需要将VTY用户界面的认证方式为none。
· 缺省情况下,通过VTY用户界面登录设备的用户会被授权用户角色network-operator,在本例中需要为其授权用户角色network-admin。
(1) 按照图5所示配置Switch的IP地址,并确保Telnet用户与Switch间路由可达
(2) 配置Telnet用户登录Switch的认证方式,详情请参见1.2.1 配置Telnet用户无需认证登录设备举例
(3) 为Telnet用户配置授权的用户角色
# 为从VTY用户界面登录设备的用户配置用户角色network-admin。
<Switch> system-view
[Switch] user-interface vty 0 15
[Switch-ui-vty0-15] user-role network-admin
[Switch-ui-vty0-15] quit
(1) 用户登录设备
用户向Switch发起Telnet连接,无需认证即可通过Telnet客户端成功登录Switch。
C:\Documents and Settings\user> telnet 192.168.1.50
******************************************************************************
* Copyright (c) 2004-2013 Hangzhou H3C Tech. Co., Ltd. All rights reserved. *
* Without the owner's prior written consent, *
* no decompiling or reverse-engineering shall be allowed. *
******************************************************************************
<Switch>
(2) 验证用户权限
Telnet用户成功登录Switch后,可通过验证用户是否能够执行RBAC特性相关的命令来确认用户的权限(network-amdin用户角色具有执行RBAC特性相关命令的权限)。
# 创建用户角色role1并为其配置用户角色规则。
<Switch> system-view
[Switch] role name role1
[Switch-role-role1] rule 1 deny write feature vlan
[Switch-role-role1] quit
通过显示信息可以确认配置生效。
#
telnet server enable
#
vlan 2
#
interface Vlan-interface2
ip address 192.168.1.50 255.255.255.0
#
interface Ten-GigabitEthernet1/0/2
port access vlan 2
#
user-interface vty 0 15
authentication-mode none
user-role network-admin
user-role network-operator
#
表11 配置适用的产品与软件版本关系
产品 |
软件版本 |
S5830V2&S5820V2系列以太网交换机 |
Release 2208P01,Release 2210 |
如图6所示,为了加强用户登录的安全性,要求用户在登录Switch时需要输入正确的密码才能登录成功。Telnet用户具有如下权限需求如下:
· 允许执行所有以display开头的命令。
· 允许执行创建VLAN以及进入VLAN视图后的相关命令,并只具有操作VLAN 10~VLAN 20的权限。
· 允许执行进入接口视图后的相关命令,并只具有操作接口Ten-GigabitEthernet1/0/10~Ten-GigabitEthernet1/0/20、Vlan-Interface10~Vlan-Interface16的权限。
图6 Telnet用户本地认证/授权配置组网图
· 缺省情况下,设备的Telnet服务处于关闭状态,在本例中需要开启设备的Telnet服务。
· 缺省情况下,VTY用户界面的认证方式为password,实际应用中可以直接设置用户的登录密码。
· 创建用户角色role1,并对Telnet用户授予该用户角色。
· 通过配置用户角色规则,限定Telnet用户可以执行的命令。
· 通过配置VLAN资源控制策略,限定Telnet用户可以操作的VLAN。
· 通过配置接口资源控制策略,限定Telnet用户可以操作的接口。
· 通过删除用户具有的缺省用户角色,确保Telnet用户仅使用授权的用户角色role1。
· 创建用户角色规则时,如果指定的规则编号不存在,则表示创建一条新的规则;如果指定编号的规则已存在,则表示对已有的规则进行修改。修改后的规则对于当前已经在线的用户不生效,对于之后使用该角色登录设备的用户生效。
· 一个用户角色中允许创建多条规则,各规则以创建时指定的编号为唯一标识,被授权该角色的用户可以执行的命令为这些规则定义的可执行命令的并集。若这些规则定义的权限内容有冲突,则规则编号大的有效。例如,规则1允许执行命令A,规则2允许执行命令B,规则3禁止执行命令A,则最终规则2和规则3生效,即禁止执行命令A,允许执行命令B。
(1) 按照图6所示配置Switch的IP地址,并确保Telnet用户与Switch间路由可达
(2) 配置Telnet用户登录Switch的认证方式,详情请参见1.2.2 配置Telnet用户采用密码认证登录设备举例
(3) 创建用户角色role1,并配置用户角色规则
# 创建用户角色role1,进入用户角色视图。
<Switch> system-view
[Switch] role name role1
# 配置用户角色规则1,允许用户执行所有以display开头的命令。
[Switch-role-role1] rule 1 permit command display *
# 配置用户角色规则2,允许用户执行创建VLAN以及进入VLAN视图后的相关命令。
[Switch-role-role1] rule 2 permit command system-view ; vlan *
# 配置用户角色规则3,允许用户执行进入接口视图后的相关命令。
[Switch-role-role1] rule 3 permit command system-view ; interface *
(4) 为用户角色role1配置VLAN资源控制策略
# 进入用户角色VLAN策略视图,配置允许用户具有操作VLAN 10~VLAN 20的权限。
[Switch-role-role1] vlan policy deny
[Switch-role-role1-vlanpolicy] permit vlan 10 to 20
[Switch-role-role1-vlanpolicy] quit
(5) 为用户角色role1配置接口资源控制策略
# 进入用户角色接口策略视图,配置允许用户具有操作接口Ten-GigabitEthernet1/0/10~Ten-GigabitEthernet1/0/20、Vlan-Interface10~Vlan-Interface16的权限。
[Switch-role-role1] interface policy deny
[Switch-role-role1-ifpolicy] permit interface ten-gigabitethernet 1/0/10 to ten-gigabitethernet 1/0/20
[Switch-role-role1-ifpolicy] permit interface vlan-interface 10 to vlan-interface 16
[Switch-role-role1-ifpolicy] quit
[Switch-role-role1] quit
(6) 为Telnet用户配置授权的用户角色
# 为从VTY用户界面登录设备的用户配置授权的用户角色role1。
[Switch] user-interface vty 0 15
[Switch-ui-vty0-15] user-role role1
# 为保证Telnet用户仅使用授权的用户角色role1,删除VTY用户界面的缺省用户角色network-operator。
[Switch-ui-vty0-15] undo user-role network-operator
[Switch-ui-vty0-15] quit
(1) 查看用户角色信息
通过display role命令查看用户角色role1的信息。
# 显示用户角色role1的信息。
<Switch> display role name role1
Role: role1
Description:
VLAN policy: deny
Permitted VLANs: 10 to 20
Interface policy: deny
Permitted interfaces: Ten-GigabitEthernet1/0/10 to Ten-GigabitEthernet1/0/20,
Vlan-interface10 to Vlan-interface16
VPN instance policy: permit (default)
-------------------------------------------------------------------
Rule Perm Type Scope Entity
-------------------------------------------------------------------
1 permit command display *
2 permit command system-view ; vlan *
3 permit command system-view ; interface *
R:Read W:Write X:Execute
(2) 用户登录设备
用户向Switch发起Telnet连接,在Telnet客户端按照提示输入正确的密码后,成功登录Switch。
C:\Documents and Settings\user> telnet 192.168.1.50
******************************************************************************
* Copyright (c) 2004-2013 Hangzhou H3C Tech. Co., Ltd. All rights reserved. *
* Without the owner's prior written consent, *
* no decompiling or reverse-engineering shall be allowed. *
******************************************************************************
Password:
<Switch>
(3) 验证用户权限
Telnet用户成功登录Switch后,可通过如下步骤验证用户的权限:
· 可执行所有特性中的读类型命令。(以显示系统当前日期和时间为例)
<Switch> display clock
09:31:56 UTC Tues 01/01/2013
<Switch>
· 可操作VLAN 10~VLAN 20。(以创建VLAN 20为例)
<Switch> system-view
[Switch] vlan 20
[Switch-vlan20]
· 不能操作其它VLAN。(以创建VLAN 30为例)
[Switch] vlan 30
Permission denied.
· 可查看全部VLAN的信息。(以查看VLAN 10~VLAN 24的信息为例)
[Switch] display vlan 10 to 24
VLAN ID: 10
VLAN type: Static
Route interface: Not configured
Description: VLAN 0010
Name: VLAN 0010
Tagged ports: None
Untagged ports:
Ten-GigabitEthernet1/0/10
VLAN ID: 20
VLAN type: Static
Route interface: Not configured
Description: VLAN 0020
Name: VLAN 0020
Tagged ports: None
Untagged ports: None
VLAN ID: 24
VLAN type: Static
Route interface: Not configured
Description: VLAN 0024
Name: VLAN 0024
Tagged ports: None
Untagged ports:
Ten-GigabitEthernet1/0/20
· 可将属于VLAN 10的接口Ten-GigabitEthernet1/0/10加入到VLAN 20中。
[Switch] vlan 20
[Switch-vlan20] port ten-gigabitethernet 1/0/10
[Switch-vlan20] quit
· 不能将属于VLAN 24的接口Ten-GigabitEthernet1/0/20加入到VLAN 20中。
[Switch] vlan 20
[Switch-vlan20] port ten-gigabitethernet 1/0/20
Permission denied.
[Switch-vlan20] quit
· 可操作接口Vlan-Interface10~Vlan-Interface16。(以进入Vlan-Interface10接口视图为例)
[Switch] interface vlan-interface 10
[Switch-Vlan-interface10] quit
· 不能操作其它接口。(以进入Vlan-Interface20接口视图为例)
[Switch] interface vlan-interface 20
Permission denied.
通过显示信息可以确认配置生效。
#
telnet server enable
#
vlan 2
#
interface Vlan-interface2
ip address 192.168.1.50 255.255.255.0
#
interface Ten-GigabitEthernet1/0/2
port access vlan 2
#
user-interface vty 0 15
user-role role1
set authentication password hash $h$6$vaSj2xKc8yFiNdfQ$Jzb3PXo2ltTPcgyTQJZShe4j
kKSZqJUVhjP634Wol/Qx8TLU748IHoeui0w5n/XRzpNqbNnpxikym39gGJCwYw==
#
role name role1
rule 1 permit command display *
rule 2 permit command system-view ; vlan *
rule 3 permit command system-view ; interface *
vlan policy deny
permit vlan 10 to 20
interface policy deny
permit interface Ten-GigabitEthernet1/0/10 to Ten-GigabitEthernet1/0/20
permit interface Vlan-interface10 to Vlan-interface16
#
Telnet用户登录密码的显示方式(明文或密文)与设备的软件版本有关,本例中显示为密文。
表12 配置适用的产品与软件版本关系
产品 |
软件版本 |
S5830V2&S5820V2系列以太网交换机 |
Release 2208P01,Release 2210 |
如图7所示,为了加强用户登录的安全性,要求用户在登录Switch时需要输入正确的密码才能登录成功。Telnet用户具有如下权限:
· 允许执行特性aaa、device相关的所有命令。
· 具有操作所有接口、VLAN和VPN实例资源的权限。
图7 Telnet用户本地认证/授权配置组网图
· 缺省情况下,设备的Telnet服务处于关闭状态,在本例中需要开启设备的Telnet服务。
· 缺省情况下,VTY用户界面的认证方式为password,实际应用中可以直接设置用户的登录密码。
· 创建用户角色role1,并对Telnet用户授予该用户角色。
· 通过配置用户角色规则,限定Telnet用户可以执行某些特性相关的所有命令。
· 缺省情况下,用户具有操作所有接口、VLAN和VPN实例资源的权限,因此在本例中无需配置资源控制策略。
· 通过删除用户具有的缺省用户角色,确保Telnet用户仅使用授权的用户角色role1。
· 创建用户角色规则时,如果指定的规则编号不存在,则表示创建一条新的规则;如果指定编号的规则已存在,则表示对已有的规则进行修改。修改后的规则对于当前已经在线的用户不生效,对于之后使用该角色登录设备的用户生效。
· 一个用户角色中允许创建多条规则,各规则以创建时指定的编号为唯一标识,被授权该角色的用户可以执行的命令为这些规则定义的可执行命令的并集。若这些规则定义的权限内容有冲突,则规则编号大的有效。例如,规则1允许执行命令A,规则2允许执行命令B,规则3禁止执行命令A,则最终规则2和规则3生效,即禁止执行命令A,允许执行命令B。
(1) 按照图7所示配置Switch的IP地址,并确保Telnet用户与Switch间路由可达
(2) 配置Telnet用户登录Switch的认证方式,详情请参见1.2.2 配置Telnet用户采用密码认证登录设备举例
(3) 创建用户角色role1,并配置用户角色规则
# 创建用户角色role1,进入用户角色视图。
<Switch> system-view
[Switch] role name role1
# 配置用户角色规则1,允许用户执行特性aaa中所有的命令。
[Switch-role-role1] rule 1 permit execute read write feature aaa
# 配置用户角色规则2,允许用户执行特性device中所有的命令。
[Switch-role-role1] rule 2 permit execute read write feature device
[Switch-role-role1] quit
(4) 为Telnet用户配置授权的用户角色
# 为从VTY用户界面登录设备的用户配置授权的用户角色role1。
[Switch] user-interface vty 0 15
[Switch-ui-vty0-15] user-role role1
# 为保证Telnet用户仅使用授权的用户角色role1,删除VTY用户界面的缺省用户角色network-operator。
[Switch-ui-vty0-15] undo user-role network-operator
[Switch-ui-vty0-15] quit
(1) 查看用户角色信息
通过display role命令查看用户角色role1的信息。
# 显示用户角色role1的信息。
<Switch> display role name role1
Role: role1
Description:
VLAN policy: permit (default)
Interface policy: permit (default)
VPN instance policy: permit (default)
-------------------------------------------------------------------
Rule Perm Type Scope Entity
-------------------------------------------------------------------
1 permit RWX feature aaa
2 permit RWX feature device
R:Read W:Write X:Execute
(2) 用户登录设备
用户向Switch发起Telnet连接,在Telnet客户端按照提示输入正确的密码后,成功登录Switch。
C:\Documents and Settings\user> telnet 192.168.1.50
******************************************************************************
* Copyright (c) 2004-2013 Hangzhou H3C Tech. Co., Ltd. All rights reserved. *
* Without the owner's prior written consent, *
* no decompiling or reverse-engineering shall be allowed. *
******************************************************************************
Password:
<Switch>
(3) 验证用户权限
Telnet用户成功登录Switch后,可通过如下步骤验证用户的权限:
· 可执行特性aaa中的所有命令。(以创建一个ISP域bbb并进入其视图为例)
<Switch> system-view
[Switch] domain bbb
[Switch-isp-bbb]
· 可执行特性device中的所有命令。(以设置设备名称为Switch-a为例)
<Switch> system-view
[Switch] sysname Switch-a
[Switch-a]
· 不能执行其它特性中的命令。(以创建VLAN 30为例)
[Switch] vlan 30
Permission denied.
通过显示信息可以确认配置生效。
#
telnet server enable
#
vlan 2
#
interface Vlan-interface2
ip address 192.168.1.50 255.255.255.0
#
interface Ten-GigabitEthernet1/0/2
port access vlan 2
#
user-interface vty 0 15
user-role role1
set authentication password hash $h$6$vaSj2xKc8yFiNdfQ$Jzb3PXo2ltTPcgyTQJZShe4j
kKSZqJUVhjP634Wol/Qx8TLU748IHoeui0w5n/XRzpNqbNnpxikym39gGJCwYw==
#
role name role1
rule 1 permit read write execute feature aaa
rule 2 permit read write execute feature device
#
Telnet用户登录密码的显示方式(明文或密文)与设备的软件版本有关,本例中显示为密文。
表13 配置适用的产品与软件版本关系
产品 |
软件版本 |
S5830V2&S5820V2系列以太网交换机 |
Release 2208P01,Release 2210 |
如图11所示,为了加强用户登录的安全性,采用本地AAA认证对登录Switch的Telnet用户进行认证。具体需求如下:
· 在本例中需要创建名称为bbb的ISP域,并要求Telnet用户通过ISP域bbb接入网络。
· 创建设备管理类本地用户telnetuser,并设置登录密码。Telnet用户登录Switch时,使用本地配置的用户名telnetuser@bbb以及密码进行认证。
Telnet用户telnetuser@bbb具有如下权限:
· 允许执行特性device相关的所有写类型命令。
· 允许执行特性filesystem相关的所有读写类型命令。
图8 Telnet用户本地认证/授权配置组网图
· 缺省情况下,设备的Telnet服务处于关闭状态,在本例中需要开启设备的Telnet服务。
· 创建用户角色role1,并对Telnet用户授予该用户角色。
· 通过配置用户角色规则,限定Telnet用户可以执行某些特性相关的读写类型命令。
· 缺省情况下,用户具有操作所有接口、VLAN和VPN实例资源的权限,因此在本例中无需配置资源控制策略。
· 通过删除用户具有的缺省用户角色,确保Telnet用户仅使用授权的用户角色role1。
· 一个ISP域被配置为缺省的ISP域后将不能够被删除,必须首先使用命令undo domain default enable将其修改为非缺省ISP域,然后才可以被删除。
· 创建用户角色规则时,如果指定的规则编号不存在,则表示创建一条新的规则;如果指定编号的规则已存在,则表示对已有的规则进行修改。修改后的规则对于当前已经在线的用户不生效,对于之后使用该角色登录设备的用户生效。
· 一个用户角色中允许创建多条规则,各规则以创建时指定的编号为唯一标识,被授权该角色的用户可以执行的命令为这些规则定义的可执行命令的并集。若这些规则定义的权限内容有冲突,则规则编号大的有效。例如,规则1允许执行命令A,规则2允许执行命令B,规则3禁止执行命令A,则最终规则2和规则3生效,即禁止执行命令A,允许执行命令B。
(1) 按照图11所示配置Switch的IP地址,并确保Telnet用户与Switch间路由可达
(2) 配置Telnet用户登录Switch的认证方式,详情请参见1.2.3 配置Telnet用户采用本地AAA认证登录设备举例
(3) 创建用户角色role1,并配置用户角色规则
# 创建用户角色role1,进入用户角色视图。
<Switch> system-view
[Switch] role name role1
# 配置用户角色规则1,允许用户执行特性device中所有写类型的命令。
[Switch-role-role1] rule 1 permit write feature device
# 配置用户角色规则2,允许用户执行特性filesystem中所有读写类型的命令。
[Switch-role-role1] rule 2 permit read write feature filesystem
[Switch-role-role1] quit
(4) 为本地用户配置授权用户角色
# 进入设备管理类本地用户telnetuser视图。
[Switch] local-user telnetuser class manage
# 指定用户telnetuser的授权角色为role1。
[Switch-luser-manage-telnetuser] authorization-attribute user-role role1
# 为保证用户仅使用授权的用户角色role1,删除用户telnetuser具有的缺省用户角色network-operator。
[Switch-luser-manage-telnetuser] undo authorization-attribute user-role network-operator
[Switch-luser-manage-telnetuser] quit
(1) 查看用户角色信息
通过display role命令查看用户角色role1的信息。
# 显示用户角色role1的信息。
<Switch> display role name role1
Role: role1
Description:
VLAN policy: permit (default)
Interface policy: permit (default)
VPN instance policy: permit (default)
-------------------------------------------------------------------
Rule Perm Type Scope Entity
-------------------------------------------------------------------
1 permit -W- feature device
2 permit RW- feature filesystem
R:Read W:Write X:Execute
(2) 用户登录设备
用户向Switch发起Telnet连接,在Telnet客户端按照提示输入用户名telnetuser@bbb及正确的密码后,成功登录Switch。
C:\Documents and Settings\user> telnet 192.168.1.50
******************************************************************************
* Copyright (c) 2004-2013 Hangzhou H3C Tech. Co., Ltd. All rights reserved. *
* Without the owner's prior written consent, *
* no decompiling or reverse-engineering shall be allowed. *
******************************************************************************
login: telnetuser@bbb
Password:
<Switch>
(3) 验证用户权限
Telnet用户成功登录Switch后,可通过如下步骤验证用户的权限:
· 可执行特性device中所有写类型的命令。(以设置设备名称为Switch-a为例)
<Switch> system-view
[Switch] sysname Switch-a
[Switch-a]
· 不能执行特性device相关的读类型命令。(以显示系统当前日期和时间为例)
[Switch-a] display clock
Permission denied.
· 可执行特性filesystem相关的所有读写类型命令。(以配置设备发送FTP报文的源IP地址为192.168.0.60为例)
[Switch-a] ftp client source ip 192.168.0.60
[Switch-a] quit
· 不能执行特性filesystem相关的执行类型命令。(以进入FTP视图为例)
<Switch-a> ftp
Permission denied.
通过显示信息可以确认配置生效。
#
telnet server enable
#
vlan 2
#
interface Vlan-interface2
ip address 192.168.1.50 255.255.255.0
#
interface Ten-GigabitEthernet1/0/2
port access vlan 2
#
user-interface vty 0 15
authentication-mode scheme
user-role network-operator
#
domain bbb
authentication login local
authorization login local
#
role name role1
rule 1 permit write feature device
rule 2 permit read write feature filesystem
#
local-user telnetuser class manage
password hash $h$6$kZw1rKFsAY4lhgUz$+teVLy8gmKN4Mr00VWgXQTB8ai94gKHlrys5OkytGf4
kT+nz5X1ZGASjc282CYAR6A1upH2jbmRoTcfDzZ9Gmw==
service-type telnet
authorization-attribute user-role role1
#
Telnet用户登录密码的显示方式(明文或密文)与设备的软件版本有关,本例中显示为密文。
表14 配置适用的产品与软件版本关系
产品 |
软件版本 |
S5830V2&S5820V2系列以太网交换机 |
Release 2208P01,Release 2210 |
如图12所示,为了加强用户登录的安全性,采用本地AAA认证对登录Switch的Telnet用户进行认证。具体需求如下:
· 在本例中需要创建名称为bbb的ISP域,并要求Telnet用户通过ISP域bbb接入网络。
· 创建设备管理类本地用户telnetuser,并设置登录密码。Telnet用户登录Switch时,使用本地配置的用户名telnetuser@bbb以及密码进行认证。
Telnet用户telnetuser@bbb具有如下权限:
· 允许执行特性device相关的所有读写类型命令。
· 禁止执行所有以reboot开头的命令。
图9 Telnet用户本地认证/授权配置组网图
· 缺省情况下,设备的Telnet服务处于关闭状态,在本例中需要开启设备的Telnet服务。
· 创建用户角色role1,并对Telnet用户授予该用户角色。
· 通过配置用户角色规则,限定Telnet用户可以执行某些特性中的部分命令。
· 缺省情况下,用户具有操作所有接口、VLAN和VPN实例资源的权限,因此在本例中无需配置资源控制策略。
· 通过删除用户具有的缺省用户角色,确保Telnet用户仅使用授权的用户角色role1。
· 一个ISP域被配置为缺省的ISP域后将不能够被删除,必须首先使用命令undo domain default enable将其修改为非缺省ISP域,然后才可以被删除。
· 创建用户角色规则时,如果指定的规则编号不存在,则表示创建一条新的规则;如果指定编号的规则已存在,则表示对已有的规则进行修改。修改后的规则对于当前已经在线的用户不生效,对于之后使用该角色登录设备的用户生效。
· 一个用户角色中允许创建多条规则,各规则以创建时指定的编号为唯一标识,被授权该角色的用户可以执行的命令为这些规则定义的可执行命令的并集。若这些规则定义的权限内容有冲突,则规则编号大的有效。例如,规则1允许执行命令A,规则2允许执行命令B,规则3禁止执行命令A,则最终规则2和规则3生效,即禁止执行命令A,允许执行命令B。
(1) 按照图12所示配置Switch的IP地址,并确保Telnet用户与Switch间路由可达
(2) 配置Telnet用户登录Switch的认证方式,详情请参见1.2.3 配置Telnet用户采用本地AAA认证登录设备举例
(3) 创建用户角色role1,并配置用户角色规则
# 创建用户角色role1,进入用户角色视图。
<Switch> system-view
[Switch] role name role1
# 配置用户角色规则1,允许用户执行特性device中所有读写类型的命令。
[Switch-role-role1] rule 1 permit read write feature device
# 配置用户角色规则2,禁止用户执行所有以reboot开头的命令。
[Switch-role-role1] rule 2 deny command reboot *
[Switch-role-role1] quit
(4) 为本地用户配置授权用户角色
# 进入设备管理类本地用户telnetuser视图。
[Switch] local-user telnetuser class manage
# 指定用户telnetuser的授权角色为role1。
[Switch-luser-manage-telnetuser] authorization-attribute user-role role1
# 为保证用户仅使用授权的用户角色role1,删除用户telnetuser具有的缺省用户角色network-operator。
[Switch-luser-manage-telnetuser] undo authorization-attribute user-role network-operator
[Switch-luser-manage-telnetuser] quit
(1) 查看用户角色信息
通过display role命令查看用户角色role1的信息。
# 显示用户角色role1的信息。
<Switch> display role name role1
Role: role1
Description:
VLAN policy: permit (default)
Interface policy: permit (default)
VPN instance policy: permit (default)
-------------------------------------------------------------------
Rule Perm Type Scope Entity
-------------------------------------------------------------------
1 permit RW- feature device
2 deny command reboot *
R:Read W:Write X:Execute
(2) 用户登录设备
用户向Switch发起Telnet连接,在Telnet客户端按照提示输入用户名telnetuser@bbb及正确的密码后,成功登录Switch。
C:\Documents and Settings\user> telnet 192.168.1.50
******************************************************************************
* Copyright (c) 2004-2013 Hangzhou H3C Tech. Co., Ltd. All rights reserved. *
* Without the owner's prior written consent, *
* no decompiling or reverse-engineering shall be allowed. *
******************************************************************************
login: telnetuser@bbb
Password:
<Switch>
(3) 验证用户权限
Telnet用户成功登录Switch后,可通过如下步骤验证用户的权限:
· 可执行特性device中部分写类型的命令。(以显示系统当前日期和时间为例)
<Switch> display clock
09:31:56 UTC Tues 01/01/2013
<Switch>
· 可执行特性device中部分读类型的命令。(以设置设备名称为Switch-a为例)
<Switch> system-view
[Switch] sysname Switch-a
[Switch-a] quit
· 不能执行特性device中的reboot命令。
<Switch-a> reboot
Permission denied.
通过显示信息可以确认配置生效。
#
telnet server enable
#
vlan 2
#
interface Vlan-interface2
ip address 192.168.1.50 255.255.255.0
#
interface Ten-GigabitEthernet1/0/2
port access vlan 2
#
user-interface vty 0 15
authentication-mode scheme
user-role network-operator
#
domain bbb
authentication login local
authorization login local
#
role name role1
rule 1 permit read write feature device
rule 2 deny command reboot *
#
local-user telnetuser class manage
password hash $h$6$kZw1rKFsAY4lhgUz$+teVLy8gmKN4Mr00VWgXQTB8ai94gKHlrys5OkytGf4
kT+nz5X1ZGASjc282CYAR6A1upH2jbmRoTcfDzZ9Gmw==
service-type telnet
authorization-attribute user-role role1
#
Telnet用户登录密码的显示方式(明文或密文)与设备的软件版本有关,本例中显示为密文。
表15 配置适用的产品与软件版本关系
产品 |
软件版本 |
S5830V2&S5820V2系列以太网交换机 |
Release 2208P01,Release 2210 |
如图13所示,为了加强用户登录的安全性,采用本地AAA认证对登录Switch的Telnet用户进行认证。具体需求如下:
· 在本例中需要创建名称为bbb的ISP域,并要求Telnet用户通过ISP域bbb接入网络。
· 创建设备管理类本地用户telnetuser,并设置登录密码。Telnet用户登录Switch时,使用本地配置的用户名telnetuser@bbb以及密码进行认证。
Telnet用户telnetuser@bbb具有如下权限:
· 允许执行特性aaa、device、interface、snmp、telnet、vlan相关的所有写类型命令。
· 允许执行所有以display开头的命令。
· 只允许对VLAN 10~VLAN 20进行操作。
· 只允许对特定接口Ten-GigabitEthernet1/0/10~Ten-GigabitEthernet1/0/20、Vlan-Interface10~Vlan-Interface16进行操作。
图10 Telnet用户本地认证/授权配置组网图
· 缺省情况下,设备的Telnet服务处于关闭状态,在本例中需要开启设备的Telnet服务。
· 创建用户角色role1,并对Telnet用户授予该用户角色。
· 创建特性组feature-group1,限定Telnet用户可以执行多个特性中所有同一类型的命令。
· 通过配置用户角色规则,限定Telnet用户可以执行的命令。
· 通过配置VLAN资源控制策略,限定Telnet用户可以操作的VLAN。
· 通过配置接口资源控制策略,限定Telnet用户可以操作的接口。
· 通过删除用户具有的缺省用户角色,确保Telnet用户仅使用授权的用户角色role1。
· 一个ISP域被配置为缺省的ISP域后将不能够被删除,必须首先使用命令undo domain default enable将其修改为非缺省ISP域,然后才可以被删除。
· 创建用户角色规则时,如果指定的规则编号不存在,则表示创建一条新的规则;如果指定编号的规则已存在,则表示对已有的规则进行修改。修改后的规则对于当前已经在线的用户不生效,对于之后使用该角色登录设备的用户生效。
· 一个用户角色中允许创建多条规则,各规则以创建时指定的编号为唯一标识,被授权该角色的用户可以执行的命令为这些规则定义的可执行命令的并集。若这些规则定义的权限内容有冲突,则规则编号大的有效。例如,规则1允许执行命令A,规则2允许执行命令B,规则3禁止执行命令A,则最终规则2和规则3生效,即禁止执行命令A,允许执行命令B。
(1) 按照图13所示配置Switch的IP地址,并确保Telnet用户与Switch间路由可达
(2) 配置Telnet用户登录Switch的认证方式,详情请参见1.2.3 配置Telnet用户采用本地AAA认证登录设备举例
(3) 创建特性组device-features,并添加特性
# 创建特性组device-features。
<Switch> system-view
[Switch] role feature-group name device-features
# 向特性组device-features中添加特性aaa、device、interface、snmp、telnet、vlan。
[Switch-featuregrp-device-features] feature aaa
[Switch-featuregrp-device-features] feature device
[Switch-featuregrp-device-features] feature interface
[Switch-featuregrp-device-features] feature snmp
[Switch-featuregrp-device-features] feature telnet
[Switch-featuregrp-device-features] feature vlan
[Switch-featuregrp-device-features] quit
(4) 创建用户角色role1,并配置用户角色规则
# 创建用户角色role1,进入用户角色视图。
[Switch] role name role1
# 配置用户角色规则1,允许用户执行特性device中所有读写类型的命令。
[Switch-role-role1] rule 1 permit write feature-group device-features
# 配置用户角色规则2,允许用户执行所有以display开头的命令。
[Switch-role-role1] rule 2 permit command display *
(5) 为用户角色role1配置VLAN资源控制策略
# 进入用户角色VLAN策略视图,配置允许用户具有操作VLAN 10~VLAN 20的权限。
[Switch-role-role1] vlan policy deny
[Switch-role-role1-vlanpolicy] permit vlan 10 to 20
[Switch-role-role1-vlanpolicy] quit
(6) 为用户角色role1配置接口资源控制策略
# 进入用户角色接口策略视图,配置允许用户具有操作接口Ten-GigabitEthernet1/0/10~Ten-GigabitEthernet1/0/20、Vlan-Interface10~Vlan-Interface16的权限。
[Switch-role-role1] interface policy deny
[Switch-role-role1-ifpolicy] permit interface ten-gigabitethernet 1/0/10 to ten-gigabitethernet 1/0/20
[Switch-role-role1-ifpolicy] permit interface vlan-interface 10 to vlan-interface 16
[Switch-role-role1-ifpolicy] quit
[Switch-role-role1] quit
(7) 为本地用户配置授权用户角色
# 进入设备管理类本地用户telnetuser视图。
[Switch] local-user telnetuser class manage
# 指定用户telnetuser的授权角色为role1。
[Switch-luser-manage-telnetuser] authorization-attribute user-role role1
# 为保证用户仅使用授权的用户角色role1,删除用户telnetuser具有的缺省用户角色network-operator。
[Switch-luser-manage-telnetuser] undo authorization-attribute user-role network-operator
[Switch-luser-manage-telnetuser] quit
(1) 查看用户角色和特性组信息
通过display role命令查看用户角色role1的信息。
# 显示用户角色role1的信息。
<Switch> display role name role1
Role: role1
Description:
VLAN policy: deny
Permitted VLANs: 10 to 20
Interface policy: deny
Permitted interfaces: Ten-GigabitEthernet1/0/10 to Ten-GigabitEthernet1/0/20,
Vlan-interface10 to Vlan-interface16
VPN instance policy: permit (default)
-------------------------------------------------------------------
Rule Perm Type Scope Entity
-------------------------------------------------------------------
1 permit -W- feature-group device-features
2 permit command display *
R:Read W:Write X:Execute
通过display role feature-group命令查看特性组device-features中包括的特性信息。
# 显示特性组device-features的信息
<Switch> display role feature-group name device-features
Feature group: device-features
Feature: aaa (AAA related commands)
Feature: device (Device configuration related commands)
Feature: interface (Interface related commands)
Feature: snmp (SNMP related commands)
Feature: telnet (Telnet related commands)
Feature: vlan (Virtual LAN related commands)
(2) 用户登录设备
用户向Switch发起Telnet连接,在Telnet客户端按照提示输入用户名telnetuser@bbb及正确的密码后,成功登录Switch。
C:\Documents and Settings\user> telnet 192.168.1.50
******************************************************************************
* Copyright (c) 2004-2013 Hangzhou H3C Tech. Co., Ltd. All rights reserved. *
* Without the owner's prior written consent, *
* no decompiling or reverse-engineering shall be allowed. *
******************************************************************************
login: telnetuser@bbb
Password:
<Switch>
(3) 验证用户权限
Telnet用户成功登录Switch后,可通过如下步骤验证用户的权限:
· 可执行特性vlan中写类型的命令,可操作VLAN 10~VLAN 20。(以创建VLAN 20为例)
<Switch> system-view
[Switch] vlan 10
[Switch-vlan10] quit
· 不能操作其它VLAN。(以创建VLAN 30为例)
[Switch] vlan 30
Permission denied.
· 可查看全部VLAN的信息。(以查看VLAN 10~VLAN 24的信息为例)
[Switch] display vlan 10 to 24
VLAN ID: 10
VLAN type: Static
Route interface: Not configured
Description: VLAN 0010
Name: VLAN 0010
Tagged ports: None
Untagged ports:
Ten-GigabitEthernet1/0/10
VLAN ID: 20
VLAN type: Static
Route interface: Not configured
Description: VLAN 0020
Name: VLAN 0020
Tagged ports: None
Untagged ports: None
VLAN ID: 24
VLAN type: Static
Route interface: Not configured
Description: VLAN 0024
Name: VLAN 0024
Tagged ports: None
Untagged ports:
Ten-GigabitEthernet1/0/20
· 可将属于VLAN 10的接口Ten-GigabitEthernet1/0/10加入到VLAN 20中。
[Switch] vlan 20
[Switch-vlan20] port ten-gigabitethernet 1/0/10
· 不能将属于VLAN 24的接口Ten-GigabitEthernet1/0/20加入到VLAN 20中。
[Switch-vlan20] port ten-gigabitethernet 1/0/20
Permission denied.
[Switch-vlan20] quit
· 可执行特性interface中写类型的命令,可操作接口Vlan-Interface10~Vlan-Interface16。(以Vlan-Interface10接口为例)
[Switch] interface vlan-interface 10
[Switch-Vlan-interface10] quit
[Switch] quit
· 不能执行特性telnet中执行类型的命令。(以Telnet登录到IP地址为192.168.1.30的远程主机为例)
<Switch> telnet 192.168.1.30
Permission denied.
· 不能执行特性aaa中执行类型的命令。(以切换到用户角色role2为例)
<Switch> super role2
Permission denied.
通过显示信息可以确认配置生效。
#
telnet server enable
#
vlan 2
#
interface Vlan-interface2
ip address 192.168.1.50 255.255.255.0
#
interface Ten-GigabitEthernet1/0/2
port access vlan 2
#
user-interface vty 0 15
authentication-mode scheme
user-role network-operator
#
domain bbb
authentication login local
authorization login local
#
role feature-group name device-features
feature aaa
feature device
feature interface
feature snmp
feature telnet
feature vlan
#
role name role1
rule 1 permit write feature-group device-features
rule 2 permit command display *
vlan policy deny
permit vlan 10 to 20
interface policy deny
permit interface Ten-GigabitEthernet1/0/10 to Ten-GigabitEthernet1/0/20
permit interface Vlan-interface10 to Vlan-interface16
#
local-user telnetuser class manage
password hash $h$6$kZw1rKFsAY4lhgUz$+teVLy8gmKN4Mr00VWgXQTB8ai94gKHlrys5OkytGf4
kT+nz5X1ZGASjc282CYAR6A1upH2jbmRoTcfDzZ9Gmw==
service-type telnet
authorization-attribute user-role role1
#
Telnet用户登录密码的显示方式(明文或密文)与设备的软件版本有关,本例中显示为密文。
表16 配置适用的产品与软件版本关系
产品 |
软件版本 |
S5830V2&S5820V2系列以太网交换机 |
Release 2208P01,Release 2210 |
如图14所示,为了加强用户登录的安全性,采用本地AAA认证对登录Switch的Telnet用户进行认证。具体需求如下:
· 在本例中需要创建名称为bbb的ISP域,并要求Telnet用户通过ISP域bbb接入网络。
· 创建设备管理类本地用户telnetuser,并设置登录密码。Telnet用户登录Switch时,使用本地配置的用户名telnetuser@bbb以及密码进行认证。
Telnet用户telnetuser@bbb具有如下权限:
· 允许执行系统预定义特性组L2相关的所有命令。
· 允许执行所有以display开头的命令。
· 具有所有接口、VLAN和VPN实例资源的操作权限。
图11 Telnet用户本地认证/授权配置组网图
· 缺省情况下,设备的Telnet服务处于关闭状态,在本例中需要开启设备的Telnet服务。
· 创建用户角色role1,并对Telnet用户授予该用户角色。
· 通过配置用户角色规则,限定Telnet用户可以执行的命令。
· 缺省情况下,用户具有操作所有接口、VLAN和VPN实例资源的权限,因此在本例中无需配置资源控制策略。
· 通过删除用户具有的缺省用户角色,确保Telnet用户仅使用授权的用户角色role1。
· 一个ISP域被配置为缺省的ISP域后将不能够被删除,必须首先使用命令undo domain default enable将其修改为非缺省ISP域,然后才可以被删除。
· 创建用户角色规则时,如果指定的规则编号不存在,则表示创建一条新的规则;如果指定编号的规则已存在,则表示对已有的规则进行修改。修改后的规则对于当前已经在线的用户不生效,对于之后使用该角色登录设备的用户生效。
· 一个用户角色中允许创建多条规则,各规则以创建时指定的编号为唯一标识,被授权该角色的用户可以执行的命令为这些规则定义的可执行命令的并集。若这些规则定义的权限内容有冲突,则规则编号大的有效。例如,规则1允许执行命令A,规则2允许执行命令B,规则3禁止执行命令A,则最终规则2和规则3生效,即禁止执行命令A,允许执行命令B。
(1) 按照图14所示配置Switch的IP地址,并确保Telnet用户与Switch间路由可达
(2) 配置Telnet用户登录Switch的认证方式,详情请参见1.2.3 配置Telnet用户采用本地AAA认证登录设备举例
(3) 创建用户角色role1,并配置用户角色规则
# 创建用户角色role1,进入用户角色视图。
<Switch> system-view
[Switch] role name role1
# 配置用户角色规则1,允许用户执行预定义特性组L2相关的所有命令。
[Switch-role-role1] rule 1 permit execute read write feature-group L2
# 配置用户角色规则2,允许用户执行所有以display开头的命令。
[Switch-role-role1] rule 2 permit command display *
[Switch-role-role1] quit
(4) 为本地用户配置授权用户角色
# 进入设备管理类本地用户telnetuser视图。
[Switch] local-user telnetuser class manage
# 指定用户telnetuser的授权角色为role1。
[Switch-luser-manage-telnetuser] authorization-attribute user-role role1
# 为保证用户仅使用授权的用户角色role1,删除用户telnetuser具有的缺省用户角色network-operator。
[Switch-luser-manage-telnetuser] undo authorization-attribute user-role network-operator
[Switch-luser-manage-telnetuser] quit
(1) 查看用户角色和特性组信息
通过display role命令查看用户角色role1的信息。
# 显示用户角色role1的信息。
<Switch> display role name role1
Role: role1
Description:
VLAN policy: permit (default)
Interface policy: permit (default)
VPN instance policy: permit (default)
-------------------------------------------------------------------
Rule Perm Type Scope Entity
-------------------------------------------------------------------
1 permit RWX feature-group L2
2 permit command display *
R:Read W:Write X:Execute
通过display role feature-group命令查看特性组L2中包括的特性信息,此处不详细介绍。
(2) 用户登录设备
用户向Switch发起Telnet连接,在Telnet客户端按照提示输入用户名telnetuser@bbb及正确的密码后,成功登录Switch。
C:\Documents and Settings\user> telnet 192.168.1.50
******************************************************************************
* Copyright (c) 2004-2013 Hangzhou H3C Tech. Co., Ltd. All rights reserved. *
* Without the owner's prior written consent, *
* no decompiling or reverse-engineering shall be allowed. *
******************************************************************************
login: telnetuser@bbb
Password:
<Switch>
(3) 验证用户权限
Telnet用户成功登录Switch后,可通过如下步骤验证用户的权限:
· 可执行特性vlan的相关命令。(以将接口Ten-GigabitEthernet1/0/8加入到VLAN 10为例)
<Switch> system-view
[Switch] vlan 10
[Switch-vlan10] port ten-gigabitethernet 1/0/8
[Switch-vlan10] quit
· 可执行所有以display开头的命令。(以显示系统当前日期和时间为例)
[Switch] display clock
09:31:56 UTC Tues 01/01/2013
[Switch] quit
· 不能执行特性filesystem中执行类型的命令。(以进入FTP视图为例)
<Switch> ftp
Permission denied.
通过显示信息可以确认配置生效。
#
telnet server enable
#
vlan 2
#
interface Vlan-interface2
ip address 192.168.1.50 255.255.255.0
#
interface Ten-GigabitEthernet1/0/2
port access vlan 2
#
user-interface vty 0 15
authentication-mode scheme
user-role network-operator
#
domain bbb
authentication login local
authorization login local
#
role name role1
rule 1 permit read write execute feature-group L2
rule 2 permit command display *
#
local-user telnetuser class manage
password hash $h$6$kZw1rKFsAY4lhgUz$+teVLy8gmKN4Mr00VWgXQTB8ai94gKHlrys5OkytGf4
kT+nz5X1ZGASjc282CYAR6A1upH2jbmRoTcfDzZ9Gmw==
service-type telnet
authorization-attribute user-role role1
#
Telnet用户登录密码的显示方式(明文或密文)与设备的软件版本有关,本例中显示为密文。
表17 配置适用的产品与软件版本关系
产品 |
软件版本 |
S5830V2&S5820V2系列以太网交换机 |
Release 2208P01,Release 2210 |
如图15所示,为了加强用户登录的安全性,采用本地AAA认证对登录Switch的Telnet用户进行认证。具体需求如下:
· 在本例中需要创建名称为bbb的ISP域,并要求Telnet用户通过ISP域bbb接入网络。
· 创建设备管理类本地用户telnetuser,并设置登录密码。Telnet用户登录Switch时,使用本地配置的用户名telnetuser@bbb以及密码进行认证。
Telnet用户telnetuser@bbb具有如下权限:
· 允许执行系统预定义特性组L3相关的所有命令。
· 允许执行所有以display开头的命令。
· 禁止执行特性VLAN相关的读类型命令。
· 具有所有接口、VLAN和VPN实例资源的操作权限。
图12 Telnet用户本地认证/授权配置组网图
· 缺省情况下,设备的Telnet服务处于关闭状态,在本例中需要开启设备的Telnet服务。
· 创建用户角色role1,并对Telnet用户授予该用户角色。
· 通过配置用户角色规则,限定Telnet用户可以执行的命令。
· 缺省情况下,用户具有操作所有接口、VLAN和VPN实例资源的权限,因此在本例中无需配置资源控制策略。
· 通过删除用户具有的缺省用户角色,确保Telnet用户仅使用授权的用户角色role1。
· 一个ISP域被配置为缺省的ISP域后将不能够被删除,必须首先使用命令undo domain default enable将其修改为非缺省ISP域,然后才可以被删除。
· 创建用户角色规则时,如果指定的规则编号不存在,则表示创建一条新的规则;如果指定编号的规则已存在,则表示对已有的规则进行修改。修改后的规则对于当前已经在线的用户不生效,对于之后使用该角色登录设备的用户生效。
· 一个用户角色中允许创建多条规则,各规则以创建时指定的编号为唯一标识,被授权该角色的用户可以执行的命令为这些规则定义的可执行命令的并集。若这些规则定义的权限内容有冲突,则规则编号大的有效。例如,规则1允许执行命令A,规则2允许执行命令B,规则3禁止执行命令A,则最终规则2和规则3生效,即禁止执行命令A,允许执行命令B。
(1) 按照图15所示配置Switch的IP地址,并确保Telnet用户与Switch间路由可达
(2) 配置Telnet用户登录Switch的认证方式,详情请参见1.2.3 配置Telnet用户采用本地AAA认证登录设备举例
(3) 创建用户角色role1,并配置用户角色规则
# 创建用户角色role1,进入用户角色视图。
<Switch> system-view
[Switch] role name role1
# 配置用户角色规则1,允许用户执行预定义特性组L3相关的所有命令。
[Switch-role-role1] rule 1 permit execute read write feature-group L3
# 配置用户角色规则2,允许用户执行所有以display开头的命令。
[Switch-role-role1] rule 2 permit command display *
# 配置用户角色规则3,禁止用户执行特性vlan相关的读类型命令。
[Switch-role-role1] rule 3 deny read feature vlan
[Switch-role-role1] quit
(4) 为本地用户配置授权用户角色
# 进入设备管理类本地用户telnetuser视图。
[Switch] local-user telnetuser class manage
# 指定用户telnetuser的授权角色为role1。
[Switch-luser-manage-telnetuser] authorization-attribute user-role role1
# 为保证用户仅使用授权的用户角色role1,删除用户telnetuser具有的缺省用户角色network-operator。
[Switch-luser-manage-telnetuser] undo authorization-attribute user-role network-operator
[Switch-luser-manage-telnetuser] quit
(1) 查看用户角色和特性组信息
通过display role命令查看用户角色role1的信息。
# 显示用户角色role1的信息。
<Switch> display role name role1
Role: role1
Description:
VLAN policy: permit (default)
Interface policy: permit (default)
VPN instance policy: permit (default)
-------------------------------------------------------------------
Rule Perm Type Scope Entity
-------------------------------------------------------------------
1 permit RWX feature-group L3
2 permit command display *
3 deny R-- feature vlan
R:Read W:Write X:Execute
通过display role feature-group命令查看特性组L3中包括的特性信息,此处不详细介绍。
(2) 用户登录设备
用户向Switch发起Telnet连接,在Telnet客户端按照提示输入用户名telnetuser@bbb及正确的密码后,成功登录Switch。
C:\Documents and Settings\user> telnet 192.168.1.50
******************************************************************************
* Copyright (c) 2004-2013 Hangzhou H3C Tech. Co., Ltd. All rights reserved. *
* Without the owner's prior written consent, *
* no decompiling or reverse-engineering shall be allowed. *
******************************************************************************
login: telnetuser@bbb
Password:
<Switch>
(3) 验证用户权限
Telnet用户成功登录Switch后,可通过如下步骤验证用户的权限:
· 可执行特性vlan相关的写类型和执行类型命令。(以将接口Ten-GigabitEthernet1/0/8加入到VLAN 10为例)
<Switch> system-view
[Switch] vlan 10
[Switch-vlan10] port ten-gigabitethernet 1/0/8
[Switch-vlan10] quit
· 可执行除了与特性vlan相关的所有以display开头的命令。(以显示系统当前日期和时间为例)
[Switch] display clock
09:31:56 UTC Tues 01/01/2013
[Switch]
· 不能执行特性vlan中执行类型的命令。(以显示全部VLAN的信息为例)
[Switch] display vlan
Permission denied.
通过显示信息可以确认配置生效。
#
telnet server enable
#
vlan 2
#
interface Vlan-interface2
ip address 192.168.1.50 255.255.255.0
#
interface Ten-GigabitEthernet1/0/2
port access vlan 2
#
user-interface vty 0 15
authentication-mode scheme
user-role network-operator
#
domain bbb
authentication login local
authorization login local
#
role name role1
rule 1 permit read write execute feature-group L3
rule 2 permit command display *
rule 3 deny read feature vlan
#
local-user telnetuser class manage
password hash $h$6$kZw1rKFsAY4lhgUz$+teVLy8gmKN4Mr00VWgXQTB8ai94gKHlrys5OkytGf4
kT+nz5X1ZGASjc282CYAR6A1upH2jbmRoTcfDzZ9Gmw==
service-type telnet
authorization-attribute user-role role1
#
Telnet用户登录密码的显示方式(明文或密文)与设备的软件版本有关,本例中显示为密文。
表18 配置适用的产品与软件版本关系
产品 |
软件版本 |
S5830V2&S5820V2系列以太网交换机 |
Release 2208P01,Release 2210 |
如图16所示,为了加强用户登录的安全性,采用本地AAA认证对登录Switch的Telnet用户进行认证。具体需求如下:
· 在本例中需要创建名称为bbb的ISP域,并要求Telnet用户通过ISP域bbb接入网络。
· 创建设备管理类本地用户telnetuser,并设置登录密码。Telnet用户登录Switch时,使用本地配置的用户名telnetuser@bbb以及密码进行认证。
Telnet用户telnetuser@bbb具有如下权限:
· 允许执行所有以display开头的命令。
· 允许执行创建VLAN及将接口加入到VLAN的命令。
· 允许执行进入接口视图的命令。
· 允许执行VLAN接口视图的所有命令。
· 只允许对特定接口Ten-GigabitEthernet1/0/1~Ten-GigabitEthernet1/0/24、Vlan-interface20进行操作。
图13 Telnet用户本地认证/授权配置组网图
· 缺省情况下,设备的Telnet服务处于关闭状态,在本例中需要开启设备的Telnet服务。
· 创建用户角色role1,并对Telnet用户授予该用户角色。
· 通过配置用户角色规则,限定Telnet用户可以执行的命令。
· 通过配置接口资源控制策略,限定Telnet用户可以操作的接口。
· 通过删除用户具有的缺省用户角色,确保Telnet用户仅使用授权的用户角色role1。
· 一个ISP域被配置为缺省的ISP域后将不能够被删除,必须首先使用命令undo domain default enable将其修改为非缺省ISP域,然后才可以被删除。
· 创建用户角色规则时,如果指定的规则编号不存在,则表示创建一条新的规则;如果指定编号的规则已存在,则表示对已有的规则进行修改。修改后的规则对于当前已经在线的用户不生效,对于之后使用该角色登录设备的用户生效。
· 一个用户角色中允许创建多条规则,各规则以创建时指定的编号为唯一标识,被授权该角色的用户可以执行的命令为这些规则定义的可执行命令的并集。若这些规则定义的权限内容有冲突,则规则编号大的有效。例如,规则1允许执行命令A,规则2允许执行命令B,规则3禁止执行命令A,则最终规则2和规则3生效,即禁止执行命令A,允许执行命令B。
(1) 按照图16所示配置Switch的IP地址,并确保Telnet用户与Switch间路由可达
(2) 配置Telnet用户登录Switch的认证方式,详情请参见1.2.3 配置Telnet用户采用本地AAA认证登录设备举例
(3) 创建用户角色role1,并配置用户角色规则
# 创建用户角色role1,进入用户角色视图。
<Switch> system-view
[Switch] role name role1
# 配置用户角色规则1,允许用户执行所有以display开头的命令。
[Switch-role-role1] rule 1 permit command display *
# 配置用户角色规则2,允许执行创建VLAN及将接口加入到VLAN的命令。
[Switch-role-role1] rule 2 permit command system; vlan *; port *
# 配置用户角色规则3,允许执行进入接口视图的命令。
[Switch-role-role1] rule 3 permit command system; interface Ten-GigabitEthernet *;
# 配置用户角色规则4,允许执行VLAN接口视图的所有命令。
[Switch-role-role1] rule 4 permit command system; interface Vlan-interface *
(4) 用户角色role1配置资源控制策略
# 进入用户角色接口策略视图,配置允许用户具有操作接口Ten-GigabitEthernet1/0/1~Ten-GigabitEthernet1/0/24、Vlan-interface20的权限。
[Switch-role-role1] interface policy deny
[Switch-role-role1-ifpolicy] permit interface ten-gigabitethernet 1/0/1 to ten-gigabitethernet 1/0/24
[Switch-role-role1-ifpolicy] permit interface vlan-interface 20
[Switch-role-role1-ifpolicy] quit
[Switch-role-role1] quit
(5) 为本地用户配置授权用户角色
# 进入设备管理类本地用户telnetuser视图。
[Switch] local-user telnetuser class manage
# 指定用户telnetuser的授权角色为role1。
[Switch-luser-manage-telnetuser] authorization-attribute user-role role1
# 为保证用户仅使用授权的用户角色role1,删除用户telnetuser具有的缺省用户角色network-operator。
[Switch-luser-manage-telnetuser] undo authorization-attribute user-role network-operator
[Switch-luser-manage-telnetuser] quit
(1) 查看用户角色和特性组信息
通过display role命令查看用户角色role1的信息。
# 显示用户角色role1的信息。
<Switch> display role name role1
Role: role1
Description:
VLAN policy: permit (default)
Interface policy: deny
Permitted interfaces: Ten-GigabitEthernet1/0/1 to Ten-GigabitEthernet1/0/24, V
lan-interface20
VPN instance policy: permit (default)
-------------------------------------------------------------------
Rule Perm Type Scope Entity
-------------------------------------------------------------------
1 permit command system; vlan *; port *
2 permit command display *
3 permit command system; interface Ten-GigabitEth
ernet *;
4 permit command system; interface Vlan-interface
*
R:Read W:Write X:Execute
通过display role feature-group命令查看特性组L3中包括的特性信息,此处不详细介绍。
(2) 用户登录设备
用户向Switch发起Telnet连接,在Telnet客户端按照提示输入用户名telnetuser@bbb及正确的密码后,成功登录Switch。
C:\Documents and Settings\user> telnet 192.168.1.50
******************************************************************************
* Copyright (c) 2004-2013 Hangzhou H3C Tech. Co., Ltd. All rights reserved. *
* Without the owner's prior written consent, *
* no decompiling or reverse-engineering shall be allowed. *
******************************************************************************
login: telnetuser@bbb
Password:
<Switch>
(3) 验证用户权限
Telnet用户成功登录Switch后,可通过如下步骤验证用户的权限:
· 可执行创建VLAN及将接口加入到VLAN的命令。(以创建VLAN 20并将接口Ten-GigabitEthernet1/0/8加入到VLAN 20为例)
<Switch> system-view
[Switch] vlan 20
[Switch-vlan20] port ten-gigabitethernet 1/0/8
· 不能将除Ten-GigabitEthernet1/0/1 Ten-GigabitEthernet1/0/24以外的其它接口加入到VLAN。(以将接口Ten-GigabitEthernet1/0/25加入到VLAN 20为例)
[Switch-vlan20] port ten-gigabitethernet 1/0/25
Permission denied.
[Switch-vlan20] quit
· 可在接口视图下执行以display开头的命令。(以查看Ten-GigabitEthernet1/0/8接口视图下生效的配置为例)
[Switch]interface ten-gigabitethernet 1/0/8
[Switch-Ten-GigabitEthernet1/0/8] display this
#
interface Ten-GigabitEthernet1/0/8
port access vlan 20
#
return
[Switch-Ten-GigabitEthernet1/0/8]
· 不能执行接口视图下除display、quit、return之外的所有命令。(以关闭当前接口为例)
[Switch-Ten-GigabitEthernet1/0/8] shutdown
Permission denied.
[Switch-Ten-GigabitEthernet1/0/8] quit
· 可执行VLAN接口视图下的所有命令。(以在Vlan-interface20接口视图下创建虚拟IP地址为10.2.2.2的IPv4 VRRP备份组1为例)
[Switch]interface Vlan-interface 20
[Switch-Vlan-interface20]vrrp vrid 1 virtual-ip 10.2.2.2
通过显示信息可以确认配置生效。
#
telnet server enable
#
vlan 2
#
interface Vlan-interface2
ip address 192.168.1.50 255.255.255.0
#
interface Ten-GigabitEthernet1/0/2
port access vlan 2
#
user-interface vty 0 15
authentication-mode scheme
user-role network-operator
#
domain bbb
authentication login local
authorization login local
#
role name role1
rule 1 permit command system; vlan *; port *
rule 2 permit command display *
rule 3 permit command system; interface Ten-GigabitEthernet *;
rule 4 permit command system; interface Vlan-interface *
interface policy deny
permit interface Ten-GigabitEthernet1/0/1 to Ten-GigabitEthernet1/0/24
permit interface Vlan-interface20
#
local-user telnetuser class manage
password hash $h$6$kZw1rKFsAY4lhgUz$+teVLy8gmKN4Mr00VWgXQTB8ai94gKHlrys5OkytGf4
kT+nz5X1ZGASjc282CYAR6A1upH2jbmRoTcfDzZ9Gmw==
service-type telnet
authorization-attribute user-role role1
#
Telnet用户登录密码的显示方式(明文或密文)与设备的软件版本有关,本例中显示为密文。
表19 配置适用的产品与软件版本关系
产品 |
软件版本 |
S5830V2&S5820V2系列以太网交换机 |
Release 2208P01,Release 2210 |
如图17所示,为了加强用户登录的安全性,采用本地AAA认证对登录Switch的Telnet用户进行认证。具体需求如下:
· 在本例中需要创建名称为bbb的ISP域,并要求Telnet用户通过ISP域bbb接入网络。
· 创建设备管理类本地用户telnetuser,并设置登录密码。Telnet用户登录Switch时,使用本地配置的用户名telnetuser@bbb以及密码进行认证。
Telnet用户telnetuser@bbb具有如下权限:
· 允许执行系统预定义特性组L2相关的所有命令。
· 允许执行所有以display开头的命令。
· 只允许对VLAN 10~VLAN 20进行操作。
· 只允许对特定接口Ten-GigabitEthernet1/0/10~Ten-GigabitEthernet1/0/20进行操作。
图14 Telnet用户本地认证/授权配置组网图
· 缺省情况下,设备的Telnet服务处于关闭状态,在本例中需要开启设备的Telnet服务。
· 创建用户角色role1,并对Telnet用户授予该用户角色。
· 通过配置用户角色规则,限定Telnet用户可以执行的命令。
· 通过配置VLAN资源控制策略,限定Telnet用户可以操作的VLAN。
· 通过配置接口资源控制策略,限定Telnet用户可以操作的接口。
· 通过删除用户具有的缺省用户角色,确保Telnet用户仅使用授权的用户角色role1。
· 一个ISP域被配置为缺省的ISP域后将不能够被删除,必须首先使用命令undo domain default enable将其修改为非缺省ISP域,然后才可以被删除。
· 创建用户角色规则时,如果指定的规则编号不存在,则表示创建一条新的规则;如果指定编号的规则已存在,则表示对已有的规则进行修改。修改后的规则对于当前已经在线的用户不生效,对于之后使用该角色登录设备的用户生效。
· 一个用户角色中允许创建多条规则,各规则以创建时指定的编号为唯一标识,被授权该角色的用户可以执行的命令为这些规则定义的可执行命令的并集。若这些规则定义的权限内容有冲突,则规则编号大的有效。例如,规则1允许执行命令A,规则2允许执行命令B,规则3禁止执行命令A,则最终规则2和规则3生效,即禁止执行命令A,允许执行命令B。
(1) 按照图17所示配置Switch的IP地址,并确保Telnet用户与Switch间路由可达
(2) 配置Telnet用户登录Switch的认证方式,详情请参见1.2.3 配置Telnet用户采用本地AAA认证登录设备举例
(3) 创建用户角色role1,并配置用户角色规则
# 创建用户角色role1,进入用户角色视图。
<Switch> system-view
[Switch] role name role1
# 配置用户角色规则1,允许用户执行预定义特性组L2相关的所有命令。
[Switch-role-role1] rule 1 permit execute read write feature-group L2
# 配置用户角色规则2,允许用户执行所有以display开头的命令。
[Switch-role-role1] rule 2 permit command display *
(4) 用户角色role1配置资源控制策略
# 进入用户角色VLAN策略视图,配置允许用户具有操作VLAN 10~VLAN 20的权限。
[Switch-role-role1] vlan policy deny
[Switch-role-role1-vlanpolicy] permit vlan 10 to 20
[Switch-role-role1-vlanpolicy] quit
# 进入用户角色接口策略视图,配置允许用户具有操作接口Ten-GigabitEthernet1/0/10~Ten-GigabitEthernet1/0/24的权限。
[Switch-role-role1] interface policy deny
[Switch-role-role1-ifpolicy] permit interface ten-gigabitethernet 1/0/1 to ten-gigabitethernet 1/0/24
[Switch-role-role1-ifpolicy] quit
[Switch-role-role1] quit
(5) 为本地用户配置授权用户角色
# 进入设备管理类本地用户telnetuser视图。
[Switch] local-user telnetuser class manage
# 指定用户telnetuser的授权角色为role1。
[Switch-luser-manage-telnetuser] authorization-attribute user-role role1
# 为保证用户仅使用授权的用户角色role1,删除用户telnetuser具有的缺省用户角色network-operator。
[Switch-luser-manage-telnetuser] undo authorization-attribute user-role network-operator
[Switch-luser-manage-telnetuser] quit
(1) 查看用户角色和特性组信息
通过display role命令查看用户角色role1的信息。
# 显示用户角色role1的信息。
<Switch> display role name role1
Role: role1
Description:
VLAN policy: deny
Permitted VLANs: 10 to 20
Interface policy: deny
Permitted interfaces: Ten-GigabitEthernet1/0/1 to Ten-GigabitEthernet1/0/24
VPN instance policy: permit (default)
-------------------------------------------------------------------
Rule Perm Type Scope Entity
-------------------------------------------------------------------
1 permit RWX feature-group L2
2 permit command display *
R:Read W:Write X:Execute
通过display role feature-group命令查看特性组L2中包括的特性信息,此处不详细介绍。
(2) 用户登录设备
用户向Switch发起Telnet连接,在Telnet客户端按照提示输入用户名telnetuser@bbb及正确的密码后,成功登录Switch。
C:\Documents and Settings\user> telnet 192.168.1.50
******************************************************************************
* Copyright (c) 2004-2013 Hangzhou H3C Tech. Co., Ltd. All rights reserved. *
* Without the owner's prior written consent, *
* no decompiling or reverse-engineering shall be allowed. *
******************************************************************************
login: telnetuser@bbb
Password:
<Switch>
(3) 验证用户权限
Telnet用户成功登录Switch后,可通过如下步骤验证用户的权限:
· 可执行系统预定义特性组L2中的所有命令。(以创建VLAN 20并配置VLAN名称为例)
<Switch> system-view
[Switch] vlan 20
[Switch-vlan20]name test
[Switch-vlan20]display this
#
vlan 20
name test
#
return
[Switch-vlan20] quit
· 可执行进入接口视图命令。(以进入Ten-GigabitEthernet1/0/8接口视图为例)
[Switch]interface ten-gigabitethernet 1/0/8
[Switch-Ten-GigabitEthernet1/0/8] quit
· 不能执行进入Vlan-interface接口视图命令。(以进入Vlan-interface20接口视图为例)
[Switch] interface vlan-interface 20
Permission denied.
通过显示信息可以确认配置生效。
#
telnet server enable
#
vlan 2
#
interface Vlan-interface2
ip address 192.168.1.50 255.255.255.0
#
interface Ten-GigabitEthernet1/0/2
port access vlan 2
#
user-interface vty 0 15
authentication-mode scheme
user-role network-operator
#
domain bbb
authentication login local
authorization login local
#
role name role1
rule 1 permit read write execute feature-group L2
rule 2 permit command display *
vlan policy deny
permit vlan 10 to 20
interface policy deny
permit interface Ten-GigabitEthernet1/0/1 to Ten-GigabitEthernet1/0/24
#
local-user telnetuser class manage
password hash $h$6$kZw1rKFsAY4lhgUz$+teVLy8gmKN4Mr00VWgXQTB8ai94gKHlrys5OkytGf4
kT+nz5X1ZGASjc282CYAR6A1upH2jbmRoTcfDzZ9Gmw==
service-type telnet
authorization-attribute user-role role1
#
Telnet用户登录密码的显示方式(明文或密文)与设备的软件版本有关,本例中显示为密文。
表20 配置适用的产品与软件版本关系
产品 |
软件版本 |
S5830V2&S5820V2系列以太网交换机 |
Release 2208P01,Release 2210 |
如图18所示,为了加强用户登录的安全性,采用RADIUS服务器对登录Switch的Telnet用户进行认证、授权。具体需求如下:
· 由一台FreeRadius服务器(IP地址为10.1.1.1/24)担当认证、授权RADIUS服务器的职责。
· 在本例中需要创建名称为bbb的ISP域,并要求Telnet用户通过ISP域bbb接入网络。
· Switch与RADIUS服务器交互报文时使用的共享密钥为aabbcc,向RADIUS服务器发送的用户名带域名。服务器根据用户名携带的域名来区分提供给用户的服务。
· Telnet用户登录Switch时,使用RADIUS服务器上配置的用户名hello@bbb以及密码进行认证。
Telnet用户hello@bbb有如下权限:
· 允许执行系统预定义特性组L3相关的所有命令。
· 允许执行所有以display开头的命令。
· 只允许对特定VPN实例vpn1、vpn2和vpn3进行操作。
图15 Telnet用户RADIUS认证\授权配置组网图
· 缺省情况下,设备的Telnet服务处于关闭状态,在本例中需要开启设备的Telnet服务。
· 创建用户角色role1,并对Telnet用户授予该用户角色。
· 通过配置用户角色规则,限定Telnet用户可以执行的命令。
· 通过配置VPN资源控制策略,限定Telnet用户可以操作的VPN实例。
· 通过删除用户具有的缺省用户角色,确保Telnet用户仅使用授权的用户角色role1。
· 一个ISP域被配置为缺省的ISP域后将不能够被删除,必须首先使用命令undo domain default enable将其修改为非缺省ISP域,然后才可以被删除。
· 由于RADIUS服务器的授权信息是随认证应答报文发给RADIUS客户端的,所以必须保证认证和授权方法相同。
· 创建用户角色规则时,如果指定的规则编号不存在,则表示创建一条新的规则;如果指定编号的规则已存在,则表示对已有的规则进行修改。修改后的规则对于当前已经在线的用户不生效,对于之后使用该角色登录设备的用户生效。
· 一个用户角色中允许创建多条规则,各规则以创建时指定的编号为唯一标识,被授权该角色的用户可以执行的命令为这些规则定义的可执行命令的并集。若这些规则定义的权限内容有冲突,则规则编号大的有效。例如,规则1允许执行命令A,规则2允许执行命令B,规则3禁止执行命令A,则最终规则2和规则3生效,即禁止执行命令A,允许执行命令B。
(1) 按照图18所示配置Switch的IP地址,并确保Telnet用户与Switch间路由可达
(2) 在Switch上配置Telnet用户登录Switch的认证方式,详情请参见1.2.4 配置Telnet用户采用远程AAA认证登录设备举例
(3) 在Switch上创建用户角色role1,并配置用户角色规则和资源控制策略
# 创建用户角色role1,进入用户角色视图。
<Switch> system-view
[Switch] role name role1
# 配置用户角色规则1,允许用户执行预定义特性组L3相关的所有命令。
[Switch-role-role1] rule 1 permit execute read write feature-group L3
# 配置用户角色规则2,允许用户执行所有以display开头的命令。
[Switch-role-role1] rule 2 permit command display *
# 进入用户角色VPN策略视图,配置允许用户具有操作VPN实例vpn1、vpn2和vpn3的权限。
[Switch-role-role1] vpn policy deny
[Switch-role-role1-vpnpolicy] permit vpn-instance vpn1 vpn2 vpn3
[Switch-role-role1-vpnpolicy] quit
[Switch-role-role1] quit
(4) 在RADIUS服务器(IP地址为10.1.1.1/24)上配置NAS设备、共享密钥和各部门网络管理员的账户
# 在clients.conf文件中,增加NAS设备(即Switch)IP地址和共享密钥的配置。
client 10.1.1.2/24 {
secret = aabbcc
# 在users文件中,增加Telnet用户的账户配置。
hello@bbb
Cleartext-Password := "hello"
Service-Type = Login-User,
Login-Service = Telnet,
Cisco-AVPair = "shell:roles=\"role1\""
关于FreeRadius服务器的其它配置请参见服务器的相关手册,本文不进行详细介绍。
(1) 查看用户角色和特性组信息
通过display role命令查看用户角色role1的信息。
# 显示用户角色role1的信息。
<Switch> display role name role1
Role: role1
Description:
VLAN policy: permit (default)
Interface policy: permit (default)
VPN instance policy: deny
Permitted VPN instances: vpn1, vpn2, vpn3
-------------------------------------------------------------------
Rule Perm Type Scope Entity
-------------------------------------------------------------------
1 permit RWX feature-group L3
2 permit command display *
R:Read W:Write X:Execute
通过display role feature-group命令查看特性组L3中包括的特性信息,此处不详细介绍。
(2) 用户登录设备
用户向Switch发起Telnet连接,在Telnet客户端按照提示输入用户名hello@bbb及正确的密码后,成功登录Switch。
C:\Documents and Settings\user> telnet 192.168.1.70
******************************************************************************
* Copyright (c) 2004-2013 Hangzhou H3C Tech. Co., Ltd. All rights reserved. *
* Without the owner's prior written consent, *
* no decompiling or reverse-engineering shall be allowed. *
******************************************************************************
login: hello@bbb
Password:
<Switch>
(3) 验证用户权限
Telnet用户成功登录Switch后,可通过如下步骤验证用户的权限:
· 可执行系统预定义特性组L3中的所有命令。(以创建VPN实例vpn1并配置其RD为22:1为例)
<Switch> system-view
[Switch] ip vpn-instance vpn1
[Switch-vpn-instance-vpn1] route-distinguisher 22:1
[Switch-vpn-instance-vpn1]display this
#
ip vpn-instance vpn1
route-distinguisher 22:1
#
return
[Switch-vpn-instance-vpn1] quit
· 不能操作其它VPN实例。(以VPN实例vpn5为例)
[Switch] ip vpn-instance vpn5
Permission denied.
通过显示信息可以确认配置生效。
#
telnet server enable
#
vlan 2 to 3
#
interface Vlan-interface2
ip address 192.168.1.70 255.255.255.0
#
interface Vlan-interface3
ip address 10.1.1.2 255.255.255.0
#
interface Ten-GigabitEthernet1/0/2
port access vlan 2
#
interface Ten-GigabitEthernet1/0/3
port access vlan 3
#
user-interface vty 0 15
authentication-mode scheme
user-role network-operator
#
radius scheme rad
primary authentication 10.1.1.1
key authentication cipher $c$3$JzDegvL0G5KZIcJhzscTHLA4WasBVh0UOw==
#
domain bbb
authentication login radius-scheme rad
authorization login radius-scheme rad
#
role name role1
rule 1 permit read write execute feature-group L3
rule 2 permit command display *
vpn-instance policy deny
permit vpn-instance vpn1
permit vpn-instance vpn2
permit vpn-instance vpn3
#
表21 配置适用的产品与软件版本关系
产品 |
软件版本 |
S5830V2&S5820V2系列以太网交换机 |
Release 2208P01,Release 2210 |
如图19所示,为了加强用户登录的安全性,采用本地AAA认证对登录Switch的Telnet用户进行认证。Telnet用户telnetuser1和telnetuser2通过ISP域bbb接入网络,成功登录Switch后,均被赋予用户角色role1,具有如下权限:
· 允许执行所有以display开头的命令。
· 允许执行创建VLAN以及进入VLAN视图后的相关命令。
· 只允许对VLAN 10~VLAN 15进行操作。
· 只允许对特定接口Ten-GigabitEthernet1/0/10~Ten-GigabitEthernet1/0/15进行操作。
在本例中,管理员需要为Telnet用户telnetuser1增加对Switch的操作权限,具体需求如下:
· 允许执行进入VLAN接口视图命令以及进入VLAN接口视图后的相关命令。
· 允许对VLAN 16~VLAN 20进行操作。
· 允许对特定接口Ten-GigabitEthernet1/0/16~Ten-GigabitEthernet1/0/20、Vlan-Interface16~Vlan-Interface20进行操作。
图16 多个Telnet用户本地认证/授权配置组网图
· 本例以不改变Telnet用户telnetuser2权限为前提,管理员可以通过创建用户角色role2,并将其授权给用户的方法来实现对Telnet用户telnetuser1权限的增加。
· 通过设备管理类本地用户视图,为Telnet用户telnetuser1授权用户角色role2。
· 创建用户角色规则时,如果指定的规则编号不存在,则表示创建一条新的规则;如果指定编号的规则已存在,则表示对已有的规则进行修改。修改后的规则对于当前已经在线的用户不生效,对于之后使用该角色登录设备的用户生效。
· 一个用户角色中允许创建多条规则,各规则以创建时指定的编号为唯一标识,被授权该角色的用户可以执行的命令为这些规则定义的可执行命令的并集。若这些规则定义的权限内容有冲突,则规则编号大的有效。例如,规则1允许执行命令A,规则2允许执行命令B,规则3禁止执行命令A,则最终规则2和规则3生效,即禁止执行命令A,允许执行命令B。
· 用户可以同时被授权多个用户角色。拥有多个用户角色的用户可获得这些角色中被允许执行的功能以及被允许操作的资源的集合。
· 对当前在线用户授权新的用户角色,待该用户重新上线后才能生效。
(1) 创建用户角色role2,并配置用户角色规则
# 创建用户角色role2,进入用户角色视图。
<Switch> system-view
[Switch] role name role2
# 配置用户角色规则1,允许执行进入VLAN接口视图命令以及进入VLAN接口视图后的相关命令。
[Switch-role-role2] rule 1 permit command system-view ; interface vlan-interface *
(2) 为用户角色role2配置VLAN资源控制策略
# 进入用户角色VLAN策略视图,配置允许用户具有操作VLAN 16~VLAN 20的权限。
[Switch-role-role2] vlan policy deny
[Switch-role-role2-vlanpolicy] permit vlan 16 to 20
[Switch-role-role2-vlanpolicy] quit
(3) 为用户角色role2配置接口资源控制策略
# 进入用户角色接口策略视图,配置允许用户具有操作接口Ten-GigabitEthernet1/0/16~Ten-GigabitEthernet1/0/20、Vlan-Interface16~Vlan-Interface20的权限。
[Switch-role-role2] interface policy deny
[Switch-role-role2-ifpolicy] permit interface ten-gigabitethernet 1/0/16 to ten-gigabitethernet 1/0/20
[Switch-role-role2-ifpolicy] permit interface vlan-interface 16 to vlan-interface 20
[Switch-role-role2-ifpolicy] quit
[Switch-role-role2] quit
(4) 为本地用户telnetuser1配置授权用户角
# 进入设备管理类本地用户telnetuser1视图。
[Switch] local-user telnetuser1 class manage
# 指定用户telnetuser1的授权角色role2。
[Switch-luser-manage-telnetuser1] authorization-attribute user-role role2
[Switch-luser-manage-telnetuser1] quit
(1) 查看用户角色和特性组信息
通过display role命令查看用户角色role2的信息。
# 显示用户角色role2的信息。
<Switch> display role name role2
Role: role2
Description:
VLAN policy: deny
Permitted VLANs: 16 to 20
Interface policy: deny
Permitted interfaces: Ten-GigabitEthernet1/0/16 to Ten-GigabitEthernet1/0/20,
Vlan-interface16 to Vlan-interface20
VPN instance policy: permit (default)
-------------------------------------------------------------------
Rule Perm Type Scope Entity
-------------------------------------------------------------------
1 permit command system-view ; interface vlan-int
erface *
R:Read W:Write X:Execute
(2) 用户登录设备
用户向Switch发起Telnet连接,在Telnet客户端按照提示输入用户名telnetuser1@bbb及正确的密码后,成功登录Switch。
C:\Documents and Settings\user> telnet 192.168.1.50
******************************************************************************
* Copyright (c) 2004-2013 Hangzhou H3C Tech. Co., Ltd. All rights reserved. *
* Without the owner's prior written consent, *
* no decompiling or reverse-engineering shall be allowed. *
******************************************************************************
login: telnetuser1@bbb
Password:
<Switch>
(3) 验证用户权限
Telnet用户成功登录Switch后,可通过如下步骤验证用户的权限:
· 可查看全部VLAN的信息。(以查看VLAN 10~VLAN 20的信息为例)
<Switch> display vlan 10 to 24
VLAN ID: 10
VLAN type: Static
Route interface: Not configured
Description: VLAN 0010
Name: VLAN 0010
Tagged ports: None
Untagged ports:
Ten-GigabitEthernet1/0/10
VLAN ID: 20
VLAN type: Static
Route interface: Not configured
Description: VLAN 0020
Name: VLAN 0020
Tagged ports: None
Untagged ports: None
VLAN ID: 24
VLAN type: Static
Route interface: Not configured
Description: VLAN 0024
Name: VLAN 0024
Tagged ports: None
Untagged ports:
Ten-GigabitEthernet1/0/20
· 可将属于VLAN 10的接口Ten-GigabitEthernet1/0/10加入到VLAN 20中。
[Switch] vlan 20
[Switch-vlan20] port ten-gigabitethernet 1/0/10
· 不能将属于VLAN 24的接口Ten-GigabitEthernet1/0/20加入到VLAN 20中。
[Switch] vlan 20
[Switch-vlan20] port ten-gigabitethernet 1/0/20
Permission denied.
[Switch-vlan20] quit
· 可执行进入VLAN接口视图以及进入VLAN接口视图后的相关命令。(以进入Vlan-interface20接口视图并配置IP地址为例)
[Switch] interface vlan-interface 20
[Switch-Vlan-interface20] ip address 192.168.0.80 255.255.255.0
[Switch-Vlan-interface20] quit
· 不能执行其它命令。(以进入Ten-GigabitEthernet1/0/20接口视图为例)
[Switch] interface ten-gigabitethernet 1/0/20
Permission denied.
· 不能操作其它VLAN接口。(以进入Vlan-interface15接口视图为例)
[Switch] interface vlan-interface 15
Permission denied.
通过显示信息可以确认配置生效。
#
telnet server enable
#
vlan 2
#
interface Vlan-interface2
ip address 192.168.1.50 255.255.255.0
#
interface Ten-GigabitEthernet1/0/2
port access vlan 2
#
user-interface vty 0 15
authentication-mode scheme
user-role network-operator
#
domain bbb
authentication login local
authorization login local
#
role name role1
rule 1 permit command display *
rule 2 permit command system-view ; vlan *
vlan policy deny
permit vlan 10 to 15
interface policy deny
permit interface Ten-GigabitEthernet1/0/10 to Ten-GigabitEthernet1/0/15
#
role name role2
rule 1 permit command system-view ; interface vlan-interface *
vlan policy deny
permit vlan 16 to 20
interface policy deny
permit interface Ten-GigabitEthernet1/0/16 to Ten-GigabitEthernet1/0/20
permit interface Vlan-interface16 to Vlan-interface20
#
local-user telnetuser1 class manage
password hash $h$6$kZw1rKFsAY4lhgUz$+teVLy8gmKN4Mr00VWgXQTB8ai94gKHlrys5OkytGf4
kT+nz5X1ZGASjc282CYAR6A1upH2jbmRoTcfDzZ9Gmw==
service-type telnet
authorization-attribute user-role role1
authorization-attribute user-role role2
#
local-user telnetuser2 class manage
password hash TPcgyTQJZShe$h$6$vaSj2xKc8yFiNdfQ$Jzb3PXo2lt4jk KSZqJUVhjP634Wol/
Qx8TLU748IHoeui0w5n/XRzpNqbNnpxikym39gGJCwYw==
service-type telnet
authorization-attribute user-role role1
#
Telnet用户登录密码的显示方式(明文或密文)与设备的软件版本有关,本例中显示为密文。
表22 配置适用的产品与软件版本关系
产品 |
软件版本 |
S5830V2&S5820V2系列以太网交换机 |
Release 2208P01,Release 2210 |
如图20所示,为了加强用户登录的安全性,采用本地AAA认证对登录Switch的Telnet用户进行认证。登录Switch的Telnet用户能够进行用户角色的切换,即在不下线的情况下,零时改变自身对系统的操作权限。具体需求如下:
· 在本例中需要创建名称为bbb的ISP域,并要求Telnet用户通过ISP域bbb接入网络。
· 创建设备管理类本地用户telnetuser,并设置登录密码。Telnet用户登录Switch时,使用本地配置的用户名telnetuser@bbb以及密码进行认证。
· Telnet用户telnetuser@bbb的授权用户角色为role1。
· Telnet用户telnetuser@bbb可以分别将用户角色切换到role2和network-operator。
用户角色role1具有如下权限:
· 允许执行系统预定义特性组L3相关的所有命令。
· 允许执行所有以display开头的命令。
· 允许执行所有以super开头的命令。
· 具有所有接口、VLAN和VPN实例资源的操作权限。
用户角色role2具有如下权限:
· 允许执行系统预定义特性组L2相关的所有命令。
· 具有所有接口、VLAN和VPN实例资源的操作权限。
图17 Telnet用户本地认证/授权配置组网图
· 缺省情况下,设备的Telnet服务处于关闭状态,在本例中需要开启设备的Telnet服务。
· 缺省情况下,用户角色切换的认证方式为local。在本例中Telnet用户登录Switch的认证方式为本地AAA认证,因此,配置用户角色切换时的认证方式为local。
· 为了保证操作的安全性,在本例中Telnet用户将用户角色切换到不同的用户角色时,需要输入相应切换密码。
· 创建用户角色role1和role2,并配置用户角色规则。
· 缺省情况下,用户具有操作所有接口、VLAN和VPN实例资源的权限,因此在本例中无需配置资源控制策略。
· 通过删除用户具有的缺省用户角色,确保Telnet用户仅使用授权的用户角色role1。
· 一个ISP域被配置为缺省的ISP域后将不能够被删除,必须首先使用命令undo domain default enable将其修改为非缺省ISP域,然后才可以被删除。
· 创建用户角色规则时,如果指定的规则编号不存在,则表示创建一条新的规则;如果指定编号的规则已存在,则表示对已有的规则进行修改。修改后的规则对于当前已经在线的用户不生效,对于之后使用该角色登录设备的用户生效。
· 一个用户角色中允许创建多条规则,各规则以创建时指定的编号为唯一标识,被授权该角色的用户可以执行的命令为这些规则定义的可执行命令的并集。若这些规则定义的权限内容有冲突,则规则编号大的有效。例如,规则1允许执行命令A,规则2允许执行命令B,规则3禁止执行命令A,则最终规则2和规则3生效,即禁止执行命令A,允许执行命令B。
· 切换后的用户角色只对当前登录生效,用户重新登录后,又会恢复到原有用户角色。
(1) 按照图20所示配置Switch的IP地址,并确保Telnet用户与Switch间路由可达
(2) 配置Telnet用户登录Switch的认证方式,详情请参见1.2.3 配置Telnet用户采用本地AAA认证登录设备举例
(3) 创建用户角色role1,并配置用户角色规则
# 创建用户角色role1,进入用户角色视图。
<Switch> system-view
[Switch] role name role1
# 配置用户角色规则1,允许用户执行预定义特性组L3相关的所有命令。
[Switch-role-role1] rule 1 permit execute read write feature-group L3
# 配置用户角色规则2,允许用户执行所有以display开头的命令。
[Switch-role-role1] rule 2 permit command display *
# 配置用户角色规则3,允许用户执行所有以super开头的命令。
[Switch-role-role1] rule 3 permit command super *
[Switch-role-role1] quit
(4) 创建用户角色role2,并配置用户角色规则
# 创建用户角色role2,进入用户角色视图。
[Switch] role name role2
# 配置用户角色规则1,允许用户执行预定义特性组L2相关的所有命令。
[Switch-role-role2] rule 1 permit execute read write feature-group L2
[Switch-role-role2] quit
(5) 为本地用户配置授权用户角色
# 进入设备管理类本地用户telnetuser视图。
[Switch] local-user telnetuser class manage
# 指定用户telnetuser的授权角色为role1。
[Switch-luser-manage-telnetuser] authorization-attribute user-role role1
# 为保证用户仅使用授权的用户角色role1,删除用户telnetuser具有的缺省用户角色network-operator。
[Switch-luser-manage-telnetuser] undo authorization-attribute user-role network-operator
[Switch-luser-manage-telnetuser] quit
(6) 配置用户角色切换的方式及切换密码
# 配置Telnet用户切换用户角色时采用local认证方式(系统缺省值为local)。
[Switch] super authentication-mode local
# 配置Telnet用户将用户角色切换到role2时使用的密码为明文密码123456TESTplat&!。
[Switch] super password role role2 simple 123456TESTplat&!
# 以交互式方式配置Telnet用户将用户角色切换到network-operator时使用的密码为明文密码987654TESTplat&!。
[Switch] super password role network-operator
Password:
Confirm :
(1) 查看用户角色和特性组信息
通过display role命令查看用户角色role1、role2和network-operator的信息。
# 显示用户角色role1的信息。
<Switch> display role name role1
Role: role1
Description:
VLAN policy: permit (default)
Interface policy: permit (default)
VPN instance policy: permit (default)
-------------------------------------------------------------------
Rule Perm Type Scope Entity
-------------------------------------------------------------------
1 permit RWX feature-group L3
2 permit command display *
3 permit command super *
R:Read W:Write X:Execute
# 显示用户角色role2的信息。
<Switch> display role name role2
Role: role2
Description:
VLAN policy: permit (default)
Interface policy: permit (default)
VPN instance policy: permit (default)
-------------------------------------------------------------------
Rule Perm Type Scope Entity
-------------------------------------------------------------------
1 permit RWX feature-group L2
R:Read W:Write X:Execute
# 显示用户角色network-operator的信息。
<Switch> display role name network-operator
Role: network-operator
Description: Predefined network operator role has access to all read commands
on the device
VLAN policy: permit (default)
Interface policy: permit (default)
VPN instance policy: permit (default)
-------------------------------------------------------------------
Rule Perm Type Scope Entity
-------------------------------------------------------------------
sys-1 permit command display *
sys-2 deny command display history-command all
sys-3 deny command display security-logfile summary
sys-4 deny command system-view ; info-center securi
ty-logfile switch-directory *
sys-5 deny command security-logfile save
R:Read W:Write X:Execute
通过display role feature-group命令查看特性组L2和L3中包括的特性信息,此处不详细介绍。
(2) 用户登录设备
用户向Switch发起Telnet连接,在Telnet客户端按照提示输入用户名telnetuser@bbb及正确的密码后,成功登录Switch。
C:\Documents and Settings\user> telnet 192.168.1.50
******************************************************************************
* Copyright (c) 2004-2013 Hangzhou H3C Tech. Co., Ltd. All rights reserved. *
* Without the owner's prior written consent, *
* no decompiling or reverse-engineering shall be allowed. *
******************************************************************************
login: telnetuser@bbb
Password:
<Switch>
(3) 验证切换用户角色前的用户权限
Telnet用户成功登录Switch后,可通过如下步骤验证用户的权限:
· 可执行特性组L3中特性相关的所有命令。(以创建VPN实例vpn1为例)
<Switch> system-view
[Switch] ip vpn-instance vpn1
· 可执行所有以display开头的命令。(以显示系统当前日期和时间为例)
<Switch> display clock
09:31:56 UTC Tues 01/01/2013
<Switch>
(4) 验证切换用户角色
Telnet用户成功登录Switch后,可通过如下步骤验证用户的权限:
· 可执行所有以super开头的命令。(以切换到用户角色role2并输入相应的切换密码为例)
<Switch> super role2
Password:
User privilege role is role2, and only those commands that authorized to the rol
e can be used.
<Switch>
· 切换到用户角色role2后,可执行特性组L2中特性相关的所有命令。(以创建VLAN 10并将接口Ten-GigabitEthernet1/0/8加入到VLAN 10为例)
<Switch> system-view
[Switch] vlan 10
[Switch-vlan10] port ten-gigabitethernet 1/0/8
· 切换到用户角色role2后,不能执行非特性组L2中特性相关的命令。(以切换到用户角色network-operator为例)
<Switch> super network-operator
Permission denied.
· Telnet用户重新登录Switch后,才能执行所有以super开头的命令。(以切换到用户角色network-operator并输入相应的切换密码为例)
C:\Documents and Settings\user> telnet 192.168.1.50
******************************************************************************
* Copyright (c) 2004-2013 Hangzhou H3C Tech. Co., Ltd. All rights reserved. *
* Without the owner's prior written consent, *
* no decompiling or reverse-engineering shall be allowed. *
******************************************************************************
login: telnetuser@bbb
Password:
<Switch>
<Switch> super network-operator
Password:
User privilege role is network-operator, and only those commands that authorized
to the role can be used.
<Switch>
通过显示信息可以确认配置生效。
#
telnet server enable
#
vlan 2
#
interface Vlan-interface2
ip address 192.168.1.50 255.255.255.0
#
interface Ten-GigabitEthernet1/0/2
port access vlan 2
#
user-interface vty 0 15
authentication-mode scheme
user-role network-operator
#
super password role role2 hash $h$6$D0kjHFktkktzgR5g$e673xFnIcKytCj6EDAw+pvwgh3
/ung3WNWHnrUTnXT862B+s7PaLfKTdil8ef71RBOvuJvPAZHjiLjrMPyWHQw==
super password role network-operator hash $h$6$3s5KMmscn9hJ6gPx$IcxbNjUc8u4yxwR
m87b/Jki8BoPAxw/s5bEcPQjQj/cbbXwTVcnQGL91WOd7ssO2rX/wKzfyzAO5VhBTn9Q4zQ==
#
domain bbb
authentication login local
authorization login local
#
role name role1
rule 1 permit read write execute feature-group L3
rule 2 permit command display *
rule 3 permit command super *
#
role name role2
rule 1 permit read write execute feature-group L2
#
local-user telnetuser class manage
password hash $h$6$kZw1rKFsAY4lhgUz$+teVLy8gmKN4Mr00VWgXQTB8ai94gKHlrys5OkytGf4
kT+nz5X1ZGASjc282CYAR6A1upH2jbmRoTcfDzZ9Gmw==
service-type telnet
authorization-attribute user-role role1
#
Telnet用户登录密码的显示方式(明文或密文)与设备的软件版本有关,本例中显示为密文。
表23 配置适用的产品与软件版本关系
产品 |
软件版本 |
S5830V2&S5820V2系列以太网交换机 |
Release 2208P01,Release 2210 |
如图18所示,某企业内部为隔离部门A和部门B之间流量,将不同VLAN划分给各部门使用。为了加强各部门网络管理员登录的安全性,采用RADIUS服务器对登录Switch的Telnet用户进行认证、授权。具体需求如下:
· 由一台FreeRadius服务器(IP地址为10.1.1.1/24)担当认证、授权RADIUS服务器的职责。
· 在本例中需要创建名称为bbb的ISP域,并要求Telnet用户通过ISP域bbb接入网络。
· 核心交换机与RADIUS服务器交互报文时使用的共享密钥为aabbcc,向RADIUS服务器发送的用户名带域名。服务器根据用户名携带的域名来区分提供给用户的服务。
· 部门A和部门B的网络管理员通过Telnet登录核心交换机时,使用RADIUS服务器上配置的用户名admin-departA@bbb和admin-departB@bbb以及对应的密码进行认证。
部门A网络管理员admin-departA@bbb有如下权限:
· 具有流量控制策略相关功能的配置权限。
· 禁止操作所有的接口和VPN资源。
· 只允许操作VLAN 100~VLAN 199以及相应的VLAN接口资源。
部门B网络管理员admin-departB@bbb有如下权限:
· 具有流量控制策略相关功能的配置权限。
· 禁止操作所有的接口和VPN资源。
· 只允许操作VLAN 200~VLAN 299以及相应的VLAN接口资源。
· 缺省情况下,设备的Telnet服务处于关闭状态,在本例中需要开启设备的Telnet服务。
· 创建用户角色depart-admin,通过配置用户角色规则,使其具有特性QoS和ACL中所有命令的配置权限;通过配置资源控制策略,使其无法操作所有的接口、VLAN和VPN资源。
· 创建用户角色departA-resource,通过配置VLAN资源控制策略,使其只具有VLAN100~VLAN199以及相应的VLAN接口资源的操作权限。
· 创建用户角色departB-resource,通过配置VLAN资源控制策略,使其只具有VLAN200~VLAN299以及相应的VLAN接口资源的操作权限。
· 在AAA服务器上配置对部门A网络管理员授权用户角色depart-admin和departA-resource;对部门B网络管理员授权用户角色depart-admin和departB-resouce。
· 通过删除用户具有的缺省用户角色,确保各部门网络管理员仅使用授权的用户角色。
· 一个ISP域被配置为缺省的ISP域后将不能够被删除,必须首先使用命令undo domain default enable将其修改为非缺省ISP域,然后才可以被删除。
· 由于RADIUS服务器的授权信息是随认证应答报文发给RADIUS客户端的,所以必须保证认证和授权方法相同。
(1) 如2. 图18所示配置核心交换机上各接口的IP地址,并确保各部门管理员与核心交换机间路由可达
(2) 在核心交换机上开启Telnet服务器功能,并配置RADIUS方案和ISP域
# 开启Switch的Telnet服务器功能。
<Switch> system-view
[Switch] telnet server enable
# 在编号为0~15的VTY用户界面下,配置Telnet用户登录采用AAA认证方式。
[Switch] user-interface vty 0 15
[Switch-ui-vty0-15] authentication-mode scheme
[Switch-ui-vty0-15] quit
# 创建RADIUS方案rad。
[Switch] radius scheme rad
# 配置主认证/授权服务器的IP地址为10.1.1.1,认证端口号为1812。
[Switch-radius-rad] primary authentication 10.1.1.1 1812
# 配置与认证/授权服务器交互报文时的共享密钥为明文aabbcc。
[Switch-radius-rad] key authentication simple aabbcc
[Switch-radius-rad] quit
# 创建ISP域bbb,为login用户配置的AAA认证方法为RADIUS认证、RADIUS授权。
[Switch] domain bbb
[Switch-isp-bbb] authentication login radius-scheme rad
[Switch-isp-bbb] authorization login radius-scheme rad
[Switch-isp-bbb] quit
(3) 在核心交换机上配置用户角色depart-admin、departA-resource和departB-resource
# 创建用户角色depart-admin,配置用户角色规则,允许用户执行特性QoS和ACL中的所有命令。
<Switch> system-view
[Switch] role name depart-admin
[Switch-role-depart-admin] rule 1 permit read write execute feature qos
[Switch-role-depart-admin] rule 2 permit read write execute feature acl
# 配置用户角色depart-admin的资源访问策略,禁止访问所有VLAN,VPN和接口资源。
[Switch-role-depart-admin] vlan policy deny
[Switch-role-departA-resource-vlan-policy] quit
[Switch-role-depart-admin] interface policy deny
[Switch-role-departA-resource-interface-policy] quit
[Switch-role-depart-admin] vpn policy deny
[Switch-role-departA-resource-vpn-policy] quit
[Switch-role-depart-admin] quit
# 创建用户角色departA-resource,并配置资源控制策略,只具有VLAN100~VLAN199以及相应的VLAN接口资源的操作权限。
[Switch] role name departA-resource
[Switch-role-departA-resource] vlan policy deny
[Switch-role-departA-resource-vlan-policy] permit vlan 100 to 199
[Switch-role-departA-resource-vlan-policy] quit
[Switch-role-departA-resource] interface policy deny
[Switch-role-departA-resource-interface-policy] permit interface Vlan-interface 100 to Vlan-interface 199
[Switch-role-departA-resource-interface-policy] quit
[Switch-role-departA-resource] quit
# 创建用户角色departB-resource,并配置资源控制策略,只具有VLAN200~VLAN299以及相应的VLAN接口资源的操作权限。
[Switch] role name departB-resource
[Switch-role-departB-resource] vlan policy deny
[Switch-role-departB-resource-vlan-policy] permit vlan 200 to 299
[Switch-role-departB-resource-vlan-policy] quit
[Switch-role-departB-resource] interface policy deny
[Switch-role-departB-resource-interface-policy] permit interface Vlan-interface 200 to Vlan-interface 299
[Switch-role-departB-resource-interface-policy] quit
[Switch-role-departB-resource] quit
(4) 在RADIUS服务器(IP地址为10.1.1.1/24)上配置NAS设备、共享密钥和各部门网络管理员的账户
# 在clients.conf文件中,增加NAS设备(即核心交换机)IP地址和共享密钥的配置。
client 20.1.1.2/24 {
secret = aabbcc
# 在users文件中,增加部门A和部门B网络管理员的账户配置。
admin-departA
Cleartext-Password := "admin-departA"
Service-Type = Login-User,
Login-Service = Telnet,
Cisco-AVPair = "shell:roles=\"depart-admin\" \"departA-resource\""
admin-departB
Cleartext-Password := "admin-departB"
Service-Type = Login-User,
Login-Service = Telnet,
Cisco-AVPair = "shell:roles=\"depart-admin\" \"departB-resource\""
关于FreeRadius服务器的其它配置请参见服务器的相关手册,本文不进行详细介绍。
(1) 查看用户角色信息
通过display role命令查看用户角色depart-admin、departA-resource和departB-resource的信息。
# 显示用户角色depart-admin的信息。
<Switch> display role name depart-admin
Role: depart-admin
Description:
VLAN policy: deny
Interface policy: deny
VPN instance policy: deny
-------------------------------------------------------------------
Rule Perm Type Scope Entity
-------------------------------------------------------------------
1 permit RWX feature qos
2 permit RWX feature acl
R:Read W:Write X:Execute
# 显示用户角色departA-resource的信息。
<Switch> display role name departA-resource
Role: departA-resource
Description:
VLAN policy: deny
Permitted VLANs: 100 to 199
Interface policy: deny
Permitted interfaces: Vlan-interface100 to Vlan-interface199
VPN instance policy: permit (default)
# 显示用户角色departB-resource的信息。
<Switch> display role name departB-resource
Role: departB-resource
Description:
VLAN policy: deny
Permitted VLANs: 200 to 299
Interface policy: deny
Permitted interfaces: Vlan-interface200 to Vlan-interface299
VPN instance policy: permit (default)
(2) 用户登录设备
以部门A网络管理员登录核心交换机为例进行验证。
# 部门A网络管理员向核心交换机发起Telnet连接,在Telnet客户端按照提示输入用户名admin-departA@bbb及正确的密码后,成功登录核心交换机。
C:\Documents and Settings\user> telnet 192.168.1.50
******************************************************************************
* Copyright (c) 2004-2013 Hangzhou H3C Tech. Co., Ltd. All rights reserved. *
* Without the owner's prior written consent, *
* no decompiling or reverse-engineering shall be allowed. *
******************************************************************************
login: admin-departA@bbb
Password:
<Switch>
(3) 验证用户权限
部门A网络管理员admin-departA@bbb成功登录核心交换机后,可通过如下步骤验证用户的权限:
· 可执行特性QoS和ACL中所有的命令。(以创建高级ACL、流分类、流行为和QoS策略,并关联流分类和流行为为例)
# 创建高级ACL,编号为3000。
<Switch> system-view
[Switch]acl number 3000
# 配置ACL的匹配规则为匹配所有FTP数据流量。
[Switch-acl-adv-3000]rule permit tcp destination-port eq ftp-data
[Switch-acl-adv-3000]quit
#创建流分类1,匹配规则为匹配ACL3000。
[Switch]traffic classifier 1
[Switch-classifier-1]if-match acl 3000
[Switch-classifier-1]quit
#创建流分类1,流行为为流量监管,限速值为2000kbps。
[Switch]traffic behavior 1
[Switch-behavior-1]car cir 2000
[Switch-behavior-1]quit
#创建QoS策略1,将流分类1和流行为1进行关联。
[Switch]qos policy 1
[Switch-qospolicy-1]classifier 1 behavior 1
[Switch-qospolicy-1]quit
· 可操作VLAN 100~VLAN 199。(以将QoS策略1应用到VLAN100~VLAN107的入方向为例)
# 将QoS策略1应用到VLAN100~VLAN107的入方向,即对所有主机的上行流量进行限速。
[Switch]qos vlan-policy 1 vlan 100 to 107 inbound
· 不能操作其它VLAN。(以将QoS策略1应用到VLAN200~VLAN207的入方向为例)
# 将QoS策略1应用到VLAN200~VLAN207的入方向,即对所有主机的上行流量进行限速。
[Switch]qos vlan-policy 1 vlan 200 to 207 inbound
Permission denied.
通过显示信息可以确认配置生效。
部门B网络管理员admin-departB@bbb成功登录核心交换机后,可通过如下步骤验证用户的权限:
· 可执行特性QoS和ACL中所有的命令。(以创建高级ACL、流分类、流行为和QoS策略,并关联流分类和流行为为例)
# 创建高级ACL,编号为3001。
<Switch> system-view
[Switch]acl number 3001
# 配置ACL的匹配规则为匹配所有FTP数据流量。
[Switch-acl-adv-3001]rule permit tcp destination-port eq ftp-data
[Switch-acl-adv-3001]quit
# 创建流分类2,匹配规则为匹配ACL3001。
[Switch]traffic classifier 2
[Switch-classifier-2]if-match acl 3001
[Switch-classifier-2]quit
# 创建流分类2,流行为为流量监管,限速值为2000kbps。
[Switch]traffic behavior 2
[Switch-behavior-2]car cir 2000
[Switch-behavior-2]quit
# 创建QoS策略2,将流分类2和流行为2进行关联。
[Switch]qos policy 2
[Switch-qospolicy-2]classifier 1 behavior 2
[Switch-qospolicy-2]quit
· 可操作VLAN 100~VLAN 199。(以将QoS策略2应用到VLAN200~VLAN207的入方向为例)
[Switch]qos vlan-policy 2 vlan 200 to 207 inbound
· 不能操作其它VLAN。(以将QoS策略2应用到VLAN100~VLAN107的入方向为例)
[Switch]qos vlan-policy 2 vlan 100 to 107 inbound
Permission denied.
通过显示信息可以确认配置生效。
核心交换机上的配置
#
telnet server enable
#
vlan 2 to 3
#
interface Vlan-interface2
ip address 192.168.1.50 255.255.255.0
#
interface Vlan-interface3
ip address 20.1.1.2 255.255.255.0
#
interface Ten-GigabitEthernet1/0/2
port access vlan 2
#
interface Ten-GigabitEthernet1/0/3
port access vlan 3
#
user-interface vty 0 15
authentication-mode scheme
user-role network-operator
#
radius scheme rad
primary authentication 10.1.1.1
key authentication cipher $c$3$JzDegvL0G5KZIcJhzscTHLA4WasBVh0UOw==
#
domain bbb
authentication login radius-scheme rad
authorization login radius-scheme rad
#
role name depart-admin
rule 1 permit read write execute feature qos
rule 2 permit read write execute feature acl
vlan policy deny
interface policy deny
vpn-instance policy deny
#
role name departA-resource
vlan policy deny
permit vlan 100 to 199
interface policy deny
permit interface Vlan-interface100 to Vlan-interface199
#
role name departB-resource
vlan policy deny
permit vlan 200 to 299
interface policy deny
permit interface Vlan-interface200 to Vlan-interface299
#
Telnet用户登录密码的显示方式(明文或密文)与设备的软件版本有关,本例中显示为密文。
不同款型规格的资料略有差异, 详细信息请向具体销售和400咨询。H3C保留在没有任何通知或提示的情况下对资料内容进行修改的权利!