H3C S12500X-AF系列交换机 典型配置举例(R26xx系列)-6W100

目录

02-RBAC典型配置举例

本章节下载 02-RBAC典型配置举例  (515.49 KB)

docurl=/cn/Service/Document_Software/Document_Center/Switches/Catalog/S12500/S12500X-AF/Configure/Typical_Configuration_Example/H3C_S12500X-AF_CE(R26xx)-6W100/201703/976256_30005_0.htm

02-RBAC典型配置举例

H3C S12500X-AF产品RBAC典型配置举例

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

H3C_彩色.emf



1  简介

本文介绍了如何通过RBAC(Role Based Access Control,基于角色的访问控制)来对登录用户的权限进行控制的典型配置举例。

2  配置前提

本文档不严格与具体软、硬件版本对应,如果使用过程中与产品实际情况有差异,请参考相关产品手册,或以设备实际情况为准。

本文档中的配置均是在实验室环境下进行的配置和验证,配置前设备的所有参数均采用出厂时的缺省配置。如果您已经对设备进行了配置,为了保证配置效果,请确认现有配置和以下举例中的配置不冲突。

本文档假设您已了解RBAC的特性。

3  配置用户具有特定特性中读写类型命令的执行权限举例

3.1  组网需求

图1所示,为了加强用户登录的安全性,采用本地AAA认证对登录设备的Telnet用户进行认证。具体需求如下:

·     在本例中需要创建名称为bbb的ISP域,并要求Telnet用户通过ISP域bbb接入网络。

·     创建设备管理类本地用户telnetuser,并设置登录密码。Telnet用户登录设备时,使用本地配置的用户名telnetuser@bbb以及密码进行认证。

Telnet用户telnetuser@bbb具有如下权限:

·     允许执行特性ospf相关的所有读写类型命令。

·     允许执行特性filesystem相关的所有读写类型命令。

图1 特定特性中读写类型命令的执行权限配置组网图

 

3.2  配置思路

·     为了使Telnet用户能够具备以上权限,需要创建Telnet本地用户和用户角色role1,并对Telnet用户授予用户角色role1。

·     通过配置用户角色规则,限定Telnet用户可以执行特性特性ospf和filesystem相关的读写类型命令。

·     为了确保Telnet用户仅使用授权的用户角色role1,需要删除用户具有的缺省用户角色。

3.3  使用版本

本举例是R2609版本上进行配置和验证的。

3.4  配置注意事项

·     一个ISP域被配置为缺省的ISP域后将不能够被删除,必须首先使用命令undo domain default enable将其修改为非缺省ISP域,然后才可以被删除。

·     一个用户角色中允许创建多条规则,各规则以创建时指定的编号为唯一标识,被授权该角色的用户可以执行的命令为这些规则定义的可执行命令的并集。若这些规则定义的权限内容有冲突,则规则编号大的有效。例如,规则1允许执行命令A,规则2允许执行命令B,规则3禁止执行命令A,则最终规则2和规则3生效,即禁止执行命令A,允许执行命令B

3.5  配置步骤

(1)     创建VLAN 2并将Switch连接Telnet user的端口划分到VLAN 2中。

<Sysname> system-view

[Sysname] vlan 2

[Sysname-vlan2] quit

[Sysname] interface HundredGigE 1/0/24

[Sysname-HundredGigE1/0/24] undo shutdown

[Sysname-HundredGigE1/0/24] port access vlan 2

[Sysname-HundredGigE1/0/24] quit

(2)     创建VLAN接口2并配置IP地址。

[Sysname] interface Vlan-interface 2

[Sysname-Vlan-interface2] undo shutdown

[Sysname-Vlan-interface2] ip address 192.168.1.50 24

[Sysname-Vlan-interface2] quit

(3)     配置Telnet用户登录设备的认证方式

# 开启设备的Telnet服务器功能。

[Sysname] telnet server enable

# 在编号为0~63的VTY用户线下,配置Telnet用户登录采用AAA认证方式。

[Sysname] line vty 0 63

[Sysname-line-vty0-63] authentication-mode scheme

[Sysname-line-vty0-63] quit

(4)     配置ISP域bbb的AAA方法

# 创建ISP域bbb,为login用户配置的AAA方法为本地认证、本地授权。

[Sysname] domain bbb

[Sysname-isp-bbb] authentication login local

[Sysname-isp-bbb] authorization login local

[Sysname-isp-bbb] quit

(5)     配置设备管理类本地用户telnetuser的密码和服务类型。

# 创建设备管理类本地用户telnetuser。

[Sysname] local-user telnetuser class manage

# 配置用户的密码是明文的aabbcc。

[Sysname-luser-manage-telnetuser] password simple aabbcc

# 指定用户的服务类型是Telnet。

[Sysname-luser-manage-telnetuser] service-type telnet

[Sysname-luser-manage-telnetuser] quit

(6)     创建用户角色role1,并配置用户角色规则

# 创建用户角色role1,进入用户角色视图。

[Sysname] role name role1

# 配置用户角色规则1,允许用户执行特性ospf中所有写类型的命令。

[Sysname-role-role1] rule 1 permit read write feature ospf

# 配置用户角色规则2,允许用户执行特性filesystem中所有读写类型的命令。

[Sysname-role-role1] rule 2 permit read write feature filesystem

[Sysname-role-role1] quit

(7)     为本地用户配置授权用户角色

# 进入设备管理类本地用户telnetuser视图。

[Sysname] local-user telnetuser class manage

# 指定用户telnetuser的授权角色为role1。

[Sysname-luser-manage-telnetuser] authorization-attribute user-role role1

# 为保证用户仅使用授权的用户角色role1,删除用户telnetuser具有的缺省用户角色network-operator。

[Sysname-luser-manage-telnetuser] undo authorization-attribute user-role network-operator

[Sysname-luser-manage-telnetuser] quit

3.6  验证配置

(1)     查看用户角色信息

通过display role命令查看用户角色role1的信息。

# 显示用户角色role1的信息。

<Sysname> display role name role1

Role: role1

  Description:

  VLAN policy: permit (default)

  Interface policy: permit (default)

  VPN instance policy: permit (default)

  -------------------------------------------------------------------

  Rule    Perm   Type  Scope         Entity

  -------------------------------------------------------------------

  1       permit RW-   feature       ospf

  2       permit RW-   feature       filesystem

  R:Read W:Write X:Execute

(2)     用户登录设备

用户向设备发起Telnet连接,在Telnet客户端按照提示输入用户名telnetuser@bbb及正确的密码后,成功登录设备。

C:\Documents and Settings\user> telnet 192.168.1.50

 

******************************************************************************

* Copyright (c) 2004-2016 Hangzhou H3C Tech. Co., Ltd. All rights reserved.  *

* Without the owner's prior written consent,                                 *

* no decompiling or reverse-engineering shall be allowed.                    *

******************************************************************************

 

login: telnetuser@bbb

Password:

<Sysname>

(3)     验证用户权限

Telnet用户成功登录设备后,可通过如下步骤验证用户的权限:

·     可执行特性ospf中所有写类型的命令。

<Sysname> system-view

[Sysname] ospf 1

[Sysname-ospf-1] area 0

[Sysname-ospf-1-area-0.0.0.0] network 1.1.1.1 0.0.0.0

[Sysname-ospf-1-area-0.0.0.0] quit

[Sysname-ospf-1] quit

·     可执行特性ospf相关的读类型命令。

[Sysname] display ospf

 

          OSPF Process 1 with Router ID 192.168.1.50

                  OSPF Protocol Information

 

 RouterID: 192.168.1.50   Router type:

 Route tag: 0

 Multi-VPN-Instance is not enabled

 Ext-community type: Domain ID 0x5, Route Type 0x306, Router ID 0x107

 Domain ID: 0.0.0.0

 Opaque capable

 ISPF is enabled

 SPF-schedule-interval: 5 50 200

 LSA generation interval: 5 50 200

 LSA arrival interval: 1000

 Transmit pacing: Interval: 20 Count: 3

 Default ASE parameters: Metric: 1 Tag: 1 Type: 2

 Route preference: 10

 ASE route preference: 150

 SPF calculation count: 0

 RFC 1583 compatible

 Graceful restart interval: 120

 SNMP trap rate limit interval: 10  Count: 7

 Area count: 0   NSSA area count: 0

 ExChange/Loading neighbors: 0

·     可执行特性filesystem相关的所有读写类型命令。(以配置设备发送FTP报文的源IP地址为192.168.0.60为例)

[Sysname] ftp client source ip 192.168.0.60

[Sysname] quit

·     不能执行特性filesystem相关的执行类型命令。(以进入FTP视图为例)

<Sysname> ftp

Permission denied.

通过显示信息可以确认配置生效。

3.7  配置文件

#

 telnet server enable

#

vlan 2

#

interface Vlan-interface2

 ip address 192.168.1.50 255.255.255.0

#

interface HundredGigE1/0/24

 port access vlan 2

#

line vty 0 63

 authentication-mode scheme

 user-role network-operator

#

domain bbb

 authentication login local

 authorization login local

#

role name role1

 rule 1 permit read write feature ospf

 rule 2 permit read write feature filesystem

#

local-user telnetuser class manage

 password hash $h$6$3nDcf1enrif2H0W6$QUWsXcld9MjeCMWGlkU6qleuV3WqFFEE8i2TTSoFRL3

ENZ2ExkhXZZrRmOl3pblfbje6fim7vV+u5FbCif+SjA==

 service-type telnet

 authorization-attribute user-role role1

4  Telnet用户的RADIUS用户角色授权计费配置举例

4.1  组网需求

图2所示,Telnet用户主机与设备相连,设备与一台RADIUS服务器相连,需要实现RADIUS服务器对登录设备的Telnet用户进行认证、授权和计费,使得Telnet用户具有如下用户权限:

·     允许用户执行ISP视图下的所有命令;

·     允许用户执行ARP和RADIUS特性中读和写类型的命令;

·     允许用户执行创建VLAN以及进入VLAN视图后的相关命令,并只具有操作VLAN 10~VLAN 20的权限;

·     允许用户执行进入接口视图以及接口视图下的相关命令,并具有操作接口HundredGigE1/0/1~HundredGigE1/0/3的权限。

图2 Telnet用户RADIUS认证/授权/计费配置组网图

4.2  配置思路

·     为了使Telnet用户可以执行ARP和RADIUS特性的读写类型命令,可创建特性组feature-group1,配置包含ARP和RADIUS特性。

·     为了授权Telnet用户可以执行所要求权限的命令,需要配置对应的用户角色规则和资源控制策略。

·     为了使Telnet用户能够具备以上权限,需要在RADIUS服务器上对Telnet用户授权用户角色role1。

4.3  使用版本

本举例是在R2609版本上进行配置和验证的。

4.4  配置注意事项

·     一个ISP域被配置为缺省的ISP域后将不能够被删除,必须首先使用命令undo domain default enable将其修改为非缺省ISP域,然后才可以被删除。

·     由于RADIUS服务器的授权信息是随认证应答报文发给RADIUS客户端的,所以必须保证认证和授权方法相同。

·     一个用户角色中允许创建多条规则,各规则以创建时指定的编号为唯一标识,被授权该角色的用户可以执行的命令为这些规则定义的可执行命令的并集。若这些规则定义的权限内容有冲突,则规则编号大的有效。例如,规则1允许执行命令A,规则2允许执行命令B,规则3禁止执行命令A,则最终规则2和规则3生效,即禁止执行命令A,允许执行命令B

4.5  配置步骤

4.5.1  设备配置

(1)     创建VLAN 2并将Switch连接Telnet user的端口划分到VLAN 2中。

<Sysname> system-view

[Sysname] vlan 2

[Sysname-vlan2] quit

[Sysname] interface HundredGigE 1/0/24

[Sysname-HundredGigE1/0/24] undo shutdown

[Sysname-HundredGigE1/0/24] port access vlan 2

[Sysname-HundredGigE1/0/24] quit

(2)     创建VLAN接口2并配置IP地址。

[Sysname] interface Vlan-interface 2

[Sysname-Vlan-interface2] undo shutdown

[Sysname-Vlan-interface2] ip address 192.168.1.50 24

[Sysname-Vlan-interface2] quit

(3)     创建VLAN 3并将Switch连接RADIUS server的端口划分到VLAN 3中。

[Sysname] vlan 3

[Sysname-vlan3] quit

[Sysname] interface HundredGigE 1/0/23

[Sysname-HundredGigE1/0/23] undo shutdown

[Sysname-HundredGigE1/0/23] port access vlan 3

[Sysname-HundredGigE1/0/23] quit

(4)     创建VLAN接口3并配置IP地址。

[Sysname] interface Vlan-interface 3

[Sysname-Vlan-interface3] undo shutdown

[Sysname-Vlan-interface3] ip address 10.1.1.2 24

[Sysname-Vlan-interface3] quit

(5)     配置Telnet用户登录Switch的认证方式

[Sysname] telnet server enable

# 配置Telnet用户登录采用AAA认证方式。

[Sysname] line vty 0 63

[Sysname-line-vty0-63] authentication-mode scheme

[Sysname-line-vty0-63] quit

(6)     配置RADIUS方案和认证服务器

# 创建RADIUS方案rad。

[Sysname] radius scheme rad

# 配置主认证/授权服务器的IP地址为10.1.1.1,主计费服务器的IP地址为10.1.1.1。

[Sysname-radius-rad] primary authentication 10.1.1.1

[Sysname-radius-rad] primary accounting 10.1.1.1

# 配置与认证/授权服务器、主计费服务器交互报文时的共享密钥为明文aabbcc。

[Sysname-radius-rad] key authentication simple aabbcc

[Sysname-radius-rad] key accounting simple aabbcc

[Sysname-radius-rad] quit

(7)     配置ISP域bbb的AAA方法

# 创建ISP域bbb,为login用户配置的AAA认证方法为RADIUS认证、RADIUS授权、RADIUS计费。

[Sysname] domain bbb

[Sysname-isp-bbb] authentication login radius-scheme rad

[Sysname-isp-bbb] authorization login radius-scheme rad

[Sysname-isp-bbb] accounting login radius-scheme rad

[Sysname-isp-bbb] quit

(8)     配置特性组

# 创建特性组fgroup1。

[Sysname] role feature-group name fgroup1

# 配置特性组fgroup1中包含特性ARP和RADIUS。

[Sysname-featuregrp-fgroup1] feature arp

[Sysname-featuregrp-fgroup1] feature radius

[Sysname-featuregrp-fgroup1] quit

(9)     在设备上创建用户角色role1,并配置用户角色规则和资源控制策略

# 创建用户角色role1。

[Sysname] role name role1

# 配置用户角色规则1,允许用户执行ISP视图下的所有命令。

[Sysname-role-role1] rule 1 permit command system-view ; domain *

# 配置用户角色规则2,允许用户执行特性组fgroup1中所有特性的读和写类型的命令。

[Sysname-role-role1] rule 2 permit read write feature-group fgroup1

# 配置用户角色规则3,允许用户执行创建VLAN的命令。

[Sysname-role-role1] rule 3 permit command system-view ; vlan *

# 配置用户角色规则4,允许用户执行进入接口视图以及接口视图下的相关命令。

[Sysname-role-role1] rule 4 permit command system-view ; interface *

# 进入VLAN策略视图,允许用户具有操作VLAN 10~VLAN 20的权限。

[Sysname-role-role1] vlan policy deny

[Sysname-role-role1-vlanpolicy] permit vlan 10 to 20

[Sysname-role-role1-vlanpolicy] quit

# 进入接口策略视图,允许用户具有操作接口HundredGigE1/0/1~HundredGigE1/0/3的权限。

[Sysname-role-role1] interface policy deny

[Sysname-role-role1-ifpolicy] permit interface HundredGigE1/0/1 to HundredGigE1/0/3

[Sysname-role-role1-ifpolicy] quit

[Sysname-role-role1] quit

4.5.2  RADIUS服务器配置

说明

下面以iMC为例(使用iMC版本为:iMC PLAT 7.0(E0202)、iMC UAM 7.0(E0202)),说明RADIUS服务器的基本配置。

 

# 增加接入设备。

登录进入iMC管理平台,选择“用户”页签,单击导航树中的[接入策略管理/接入设备管理/接入设备配置]菜单项,进入接入设备配置页面,在该页面中单击<增加>按钮,进入增加接入设备页面。

·     设置认证及计费的端口号分别为“1812”和“1813”;

·     设置与AC交互报文时使用的认证、计费共享密钥和确认共享密钥为“aabbcc”;

·     选择业务类型为“设备管理业务”;

·     选择接入设备类型为“H3C”;

·     选择或手工增加接入设备,添加IP地址为10.1.1.2的接入设备;

·     其它参数采用缺省值,并单击<确定>按钮完成操作。

图3 增加接入设备

 

# 增加设备管理用户。

选择“用户”页签,单击导航树中的[接入用户管理/设备管理用户]菜单项,进入设备管理用户列表页面,在该页面中单击<增加>按钮,进入增加设备管理用户页面。

·     创建用户名,这里输入“telnetuser@bbb”,并配置密码和确认密码;

·     选择服务类型为“Telnet”;

·     添加用户角色名“role1”;

·     添加所管理设备的IP地址,IP地址范围为“10.1.1.0~10.1.1.10”;

·     单击<确定>按钮完成操作。

图4 增加设备管理用户

 

 

4.6  验证配置

(1)     查看用户角色和特性组信息

通过display role命令查看用户角色role1的信息。

# 显示用户角色role1的信息。

<Sysname> display role name role1

Role: role1

  Description:

  VLAN policy: deny

  Permitted VLANs: 10 to 20

  Interface policy: deny

  Permitted interfaces: HundredGigE1/0/1 to HundredGigE1/0/3

  VPN instance policy: permit (default)

  -------------------------------------------------------------------

  Rule    Perm   Type  Scope         Entity

  -------------------------------------------------------------------

  1       permit       command       system-view ; domain *

  2       permit RW-   feature-group fgroup1

  3       permit       command       system-view ; vlan *

  4       permit       command       system-view ; interface *

  R:Read W:Write X:Execute

(2)     用户登录设备

用户向设备发起Telnet连接,在Telnet客户端按照提示输入用户名telnetuser@bbb及正确的密码后,成功登录设备。

C:\Documents and Settings\user> telnet 192.168.1.50

 

******************************************************************************

* Copyright (c) 2004-2016 Hangzhou H3C Tech. Co., Ltd. All rights reserved.  *

* Without the owner's prior written consent,                                 *

* no decompiling or reverse-engineering shall be allowed.                    *

******************************************************************************

 

login: telnetuser@bbb

Password:

<Sysname>

(3)     验证用户权限

Telnet用户成功登录设备后,可通过如下步骤验证用户的权限:

·     可执行ISP视图下所有的命令。

<Sysname> system-view

[Sysname] domain abc

[Sysname-isp-abc] authentication login radius-scheme abc

[Sysname-isp-abc] quit

·     可执行RADIUS特性中读和写类型的命令。(ARP特性同,此处不再举例)

[Sysname] radius scheme rad

[Sysname-radius-rad] primary authentication 2.2.2.2

[Sysname-radius-rad] display radius scheme rad

[Sysname-radius-rad] quit

·     可操作VLAN 10~VLAN 20。(以创建VLAN 10、VLAN 30为例)

[Sysname] vlan 10

[Sysname-vlan10] quit

[Sysname] vlan 30

Permission denied.

·     可操作接口HundredGigE1/0/1~HundredGigE1/0/3。

[Sysname] interface HundredGigE 1/0/1

[Sysname-HundredGigE1/0/1] speed auto

[Sysname-HundredGigE1/0/1] quit

·     不能操作其它接口。(以进入HundredGigE1/0/6接口视图为例)

[Sysname] interface HundredGigE1/0/6

Permission denied.

通过显示信息可以确认配置生效。

4.7  配置文件

#

 telnet server enable

#

vlan 2 to 3

#

interface Vlan-interface2

 ip address 192.168.1.50 255.255.255.0

#

interface Vlan-interface3

 ip address 10.1.1.2 255.255.255.0

#

interface HundredGigE1/0/23

 port access vlan 3

#

interface HundredGigE1/0/24

 port access vlan 2

#

line vty 0 63

 authentication-mode scheme

 user-role network-operator

#

radius scheme rad

 primary authentication 10.1.1.1

 primary accounting 10.1.1.1

 key authentication cipher $c$3$JzDegvL0G5KZIcJhzscTHLA4WasBVh0UOw==

 key accounting cipher $c$3$CdejNYYxvjW0Y+Zydi4rZgBwjYb4h6LKmg==

#

domain bbb

 authentication login radius-scheme rad

 authorization login radius-scheme rad

 accounting login radius-scheme rad

#

role feature-group name fgroup1

 feature arp

 feature radius

#

 role name role1

 rule 1 permit command system-view ; domain *

 rule 2 permit read write feature-group fgroup1

 rule 3 permit command system-view ; vlan *

 rule 4 permit command system-view ; interface *

 vlan policy deny

  permit vlan 10 to 20

 interface policy deny

  permit interface HundredGigE1/0/1 to HundredGigE1/0/3

#

5  配置用户在某些VPN中具有特定特性的执行权限举例

5.1  组网需求

图5所示,为了加强用户登录的安全性,采用RADIUS服务器对登录设备的Telnet用户进行认证、授权和计费,使得Telnet用户有如下权限:

·     允许执行系统预定义特性组L3相关的所有命令。

·     允许执行所有以display开头的命令。

·     只允许对特定VPN实例vpn1、vpn2和vpn3进行操作。

图5 某些VPN中具有特定特性的执行权限配置组网图

 

5.2  配置思路

·     为了授权Telnet用户可以执行所要求权限的命令,需要创建用户角色role1并配置对应的用户角色规则和资源控制策略。

·     为了使Telnet用户能够具备以上权限,需要在RADIUS服务器上配置Telnet用户授权用户角色role1。

5.3  使用版本

本举例是在R2609版本上进行配置和验证的。

5.4  配置注意事项

·     一个ISP域被配置为缺省的ISP域后将不能够被删除,必须首先使用命令undo domain default enable将其修改为非缺省ISP域,然后才可以被删除。

·     由于RADIUS服务器的授权信息是随认证应答报文发给RADIUS客户端的,所以必须保证认证和授权方法相同。

·     一个用户角色中允许创建多条规则,各规则以创建时指定的编号为唯一标识,被授权该角色的用户可以执行的命令为这些规则定义的可执行命令的并集。若这些规则定义的权限内容有冲突,则规则编号大的有效。例如,规则1允许执行命令A,规则2允许执行命令B,规则3禁止执行命令A,则最终规则2和规则3生效,即禁止执行命令A,允许执行命令B

5.5  配置步骤

5.5.1  设备配置

(1)     创建VLAN 2并将Switch连接Telnet user的端口划分到VLAN 2中。

<Sysname> system-view

[Sysname] vlan 2

[Sysname-vlan2] quit

[Sysname] interface HundredGigE 1/0/24

[Sysname-HundredGigE1/0/24] undo shutdown

[Sysname-HundredGigE1/0/24] port access vlan 2

[Sysname-HundredGigE1/0/24] quit

(2)     创建VLAN接口2并配置IP地址。

[Sysname] interface Vlan-interface 2

[Sysname-Vlan-interface2] undo shutdown

[Sysname-Vlan-interface2] ip address 192.168.1.50 24

(3)     创建VLAN 3并将Switch连接RADIUS server的端口划分到VLAN 3中。

<Sysname> system-view

[Sysname] vlan 3

[Sysname-vlan3] quit

[Sysname] interface HundredGigE 1/0/23

[Sysname-HundredGigE1/0/23] undo shutdown

[Sysname-HundredGigE1/0/23] port access vlan 3

[Sysname-HundredGigE1/0/23] quit

(4)     创建VLAN接口3并配置IP地址。

[Sysname] interface Vlan-interface 3

[Sysname-Vlan-interface2] undo shutdown

[Sysname-Vlan-interface2] ip address 10.1.1.2 24

(5)     配置Telnet用户登录设备的认证方式

# 开启设备的Telnet服务器功能。

[Sysname] telnet server enable

# 在编号为0~63的VTY用户线下,配置Telnet用户登录采用AAA认证方式。

[Sysname] line vty 0 63

[Sysname-line-vty0-63] authentication-mode scheme

[Sysname-line-vty0-63] quit

(6)     配置RADIUS方案和认证服务器

# 创建RADIUS方案rad。

[Sysname] radius scheme rad

# 配置主认证/授权服务器的IP地址为10.1.1.1,主计费服务器的IP地址为10.1.1.1。

[Sysname-radius-rad] primary authentication 10.1.1.1

[Sysname-radius-rad] primary accounting 10.1.1.1

# 配置与认证/授权服务器、主计费服务器交互报文时的共享密钥为明文aabbcc。

[Sysname-radius-rad] key authentication simple aabbcc

[Sysname-radius-rad] key accounting simple aabbcc

[Sysname-radius-rad] quit

(7)     配置ISP域bbb的AAA方法

# 创建ISP域bbb,为login用户配置的AAA认证方法为RADIUS认证、RADIUS授权、RADIUS计费。

[Sysname] domain bbb

[Sysname-isp-bbb] authentication login radius-scheme rad

[Sysname-isp-bbb] authorization login radius-scheme rad

[Sysname-isp-bbb] accounting login radius-scheme rad

[Sysname-isp-bbb] quit

(8)     在设备上创建用户角色role1,并配置用户角色规则和资源控制策略

# 创建用户角色role1,进入用户角色视图。

[Sysname] role name role1

# 配置用户角色规则1,允许用户执行预定义特性组L3相关的所有命令。

[Sysname-role-role1] rule 1 permit execute read write feature-group L3

# 配置用户角色规则2,允许用户执行所有以display开头的命令。

[Sysname-role-role1] rule 2 permit command display *

# 进入用户角色VPN策略视图,配置允许用户具有操作VPN实例vpn1、vpn2和vpn3的权限。

[Sysname-role-role1] vpn policy deny

[Sysname-role-role1-vpnpolicy] permit vpn-instance vpn1 vpn2 vpn3

[Sysname-role-role1-vpnpolicy] quit

[Sysname-role-role1] quit

5.5.2  RADIUS服务器配置

说明

下面以iMC为例(使用iMC版本为:iMC PLAT 7.0(E0202)、iMC UAM 7.0(E0202)),说明RADIUS服务器的基本配置。

 

# 增加接入设备。

登录进入iMC管理平台,选择“用户”页签,单击导航树中的[接入策略管理>接入设备管理>接入设备配置]菜单项,进入接入设备配置页面,在该页面中单击<增加>按钮,进入增加接入设备页面。

·     设置认证及计费的端口号分别为“1812”和“1813”;

·     设置与AC交互报文时使用的认证、计费共享密钥和确认共享密钥为“aabbcc”;

·     选择业务类型为“设备管理业务”;

·     选择接入设备类型为“H3C”;

·     选择或手工增加接入设备,添加IP地址为10.1.1.2的接入设备;

·     其它参数采用缺省值,并单击<确定>按钮完成操作。

图6 增加接入设备

 

# 增加设备管理用户。

选择“用户”页签,单击导航树中的[接入用户管理/设备管理用户]菜单项,进入设备管理用户列表页面,在该页面中单击<增加>按钮,进入增加设备管理用户页面。

·     创建用户名,这里输入“telnetuser@bbb”,并配置密码和确认密码;

·     选择服务类型为“Telnet”;

·     添加用户角色名“role1”;

·     添加所管理设备的IP地址,IP地址范围为“10.1.1.0~10.1.1.10”;

·     单击<确定>按钮完成操作。

图7 增加设备管理用户

 

5.6  验证配置

(1)     查看用户角色和特性组信息

通过display role命令查看用户角色role1的信息。

# 显示用户角色role1的信息。

<Sysname> display role name role1

Role: role1

  Description:

  VLAN policy: permit (default)

  Interface policy: permit (default)

  VPN instance policy: deny

  Permitted VPN instances: vpn1, vpn2, vpn3

  -------------------------------------------------------------------

  Rule    Perm   Type  Scope         Entity

  -------------------------------------------------------------------

  1       permit RWX   feature-group L3

  2       permit       command       display *

  R:Read W:Write X:Execute

通过display role feature-group命令查看特性组L3中包括的特性信息,此处不详细介绍。

(2)     用户登录设备

用户向设备发起Telnet连接,在Telnet客户端按照提示输入用户名telnetuser@bbb及正确的密码后,成功登录设备。

C:\Documents and Settings\user> telnet 192.168.1.50

 

******************************************************************************

* Copyright (c) 2004-2016 Hangzhou H3C Tech. Co., Ltd. All rights reserved.  *

* Without the owner's prior written consent,                                 *

* no decompiling or reverse-engineering shall be allowed.                    *

******************************************************************************

 

login: telnetuser@bbb

Password:

<Sysname>

(3)     验证用户权限

Telnet用户成功登录设备后,可通过如下步骤验证用户的权限:

·     可执行系统预定义特性组L3中的所有命令。(以创建VPN实例vpn1并配置其RD为22:1为例)

<Sysname> system-view

[Sysname] ip vpn-instance vpn1

[Sysname-vpn-instance-vpn1] route-distinguisher 22:1

[Sysname-vpn-instance-vpn1] display this

#

ip vpn-instance vpn1

 route-distinguisher 22:1

#

return

[Sysname-vpn-instance-vpn1] quit

·     不能操作其它VPN实例。(以VPN实例vpn5为例)

[Sysname] ip vpn-instance vpn5

Permission denied.

通过显示信息可以确认配置生效。

5.7  配置文件

#

 telnet server enable

#

vlan 2 to 3

#

interface Vlan-interface2

 ip address 192.168.1.50 255.255.255.0

#

interface Vlan-interface3

 ip address 10.1.1.2 255.255.255.0

#

interface HundredGigE1/0/23

port access vlan 3

#

interface HundredGigE1/0/24

port access vlan 2

#

line vty 0 63

 authentication-mode scheme

 user-role network-operator

#

radius scheme rad

 primary authentication 10.1.1.1

 primary accounting 10.1.1.1

 key authentication cipher $c$3$JzDegvL0G5KZIcJhzscTHLA4WasBVh0UOw==

 key accounting cipher $c$3$CdejNYYxvjW0Y+Zydi4rZgBwjYb4h6LKmg==

#

domain bbb

 authentication login radius-scheme rad

 authorization login radius-scheme rad

 accounting login radius-scheme rad

#

role name role1

 rule 1 permit read write execute feature-group L3

 rule 2 permit command display *

 vpn-instance policy deny

  permit vpn-instance vpn1

  permit vpn-instance vpn2

  permit vpn-instance vpn3

#

6  创建新用户角色并授权更改用户权限举例

6.1  组网需求

图8所示,为了加强用户登录的安全性,采用本地AAA认证对登录设备的Telnet用户进行认证。Telnet用户telnetuser1和telnetuser2通过ISP域bbb接入网络,成功登录设备后,均被赋予用户角色role1,具有如下权限:

·     允许执行所有以display开头的命令。

·     允许执行创建VLAN的命令。

·     只允许对VLAN 10~VLAN 15进行操作。

·     只允许对特定接口HundredGigE1/0/1进行操作。

现要求为Telnet用户telnetuser1增加对设备的操作权限,具体需求如下:

·     允许对VLAN 16~VLAN 20进行操作。

·     允许对特定接口HundredGigE1/0/2~HundredGigE1/0/3进行操作。

图8 更改用户权限配置组网图

6.2  配置思路

·     为了使Telnet用户telnetuser1增加上述权限,并且不改变Telnet用户telnetuser2的权限,可以通过创建用户角色role2,并对Telnet用户telnetuser1授予用户角色role2。

·     为了增加Telnet用户telnetuser1可执行所要求权限的命令,需要配置用户角色规则和资源控制策略。

6.3  使用版本

本举例是在R2609版本上进行配置和验证的。

6.4  配置注意事项

·     一个用户角色中允许创建多条规则,各规则以创建时指定的编号为唯一标识,被授权该角色的用户可以执行的命令为这些规则定义的可执行命令的并集。若这些规则定义的权限内容有冲突,则规则编号大的有效。例如,规则1允许执行命令A,规则2允许执行命令B,规则3禁止执行命令A,则最终规则2和规则3生效,即禁止执行命令A,允许执行命令B

·     用户可以同时被授权多个用户角色。拥有多个用户角色的用户可获得这些角色中被允许执行的功能以及被允许操作的资源的集合。

·     对当前在线用户授权新的用户角色,待该用户重新上线后才能生效。

6.5  配置步骤

(1)     创建VLAN 2并将Switch连接Telnet user的端口划分到VLAN 2中。

<Sysname> system-view

[Sysname] vlan 2

[Sysname-vlan2] quit

[Sysname] interface HundredGigE 1/0/23

[Sysname-HundredGigE1/0/23] undo shutdown

[Sysname-HundredGigE1/0/23] port access vlan 2

[Sysname-HundredGigE1/0/23] quit

[Sysname] interface HundredGigE 1/0/24

[Sysname-HundredGigE1/0/24] undo shutdown

[Sysname-HundredGigE1/0/24] port access vlan 2

[Sysname-HundredGigE1/0/24] quit

(2)     创建VLAN接口2并配置IP地址。

[Sysname] interface Vlan-interface 2

[Sysname-Vlan-interface2] undo shutdown

[Sysname-Vlan-interface2] ip address 192.168.1.50 24

(3)     配置Telnet用户登录设备的认证方式

# 开启设备的Telnet服务器功能。

[Sysname] telnet server enable

# 在编号为0~63的VTY用户线下,配置Telnet用户登录采用AAA认证方式。

[Sysname] line vty 0 63

[Sysname-line-vty0-63] authentication-mode scheme

[Sysname-line-vty0-63] quit

(4)     配置ISP域bbb的AAA方法

# 创建ISP域bbb,为login用户配置的AAA方法为本地认证、本地授权。

[Sysname] domain bbb

[Sysname-isp-bbb] authentication login local

[Sysname-isp-bbb] authorization login local

[Sysname-isp-bbb] quit

(5)     配置设备管理类本地用户telnetuser1和telnetuser2的密码和服务类型

# 创建设备管理类本地用户telnetuser1。

[Sysname] local-user telnetuser1 class manage

# 配置用户的密码是明文的aabbcc。

[Sysname-luser-manage-telnetuser1] password simple aabbcc

# 指定用户的服务类型是Telnet。

[Sysname-luser-manage-telnetuser1] service-type telnet

[Sysname-luser-manage-telnetuser1] quit

# 创建设备管理类本地用户telnetuser2。

[Sysname] local-user telnetuser2 class manage

# 配置用户的密码是明文的aabbcc。

[Sysname-luser-manage-telnetuser2] password simple aabbcc

# 指定用户的服务类型是Telnet。

[Sysname-luser-manage-telnetuser2] service-type telnet

[Sysname-luser-manage-telnetuser2] quit

(6)     创建用户角色role1,并配置用户角色规则

# 创建用户角色role1,进入用户角色视图。

[Sysname] role name role1

# 配置用户角色规则1,允许用户执行所有以display开头的命令。

[Sysname-role-role1] rule 1 permit command display *

# 配置用户角色规则2,允许执行进入VLAN视图命令。

[Sysname-role-role1] rule 2 permit command system-view ; vlan *

# 配置用户角色规则3,允许执行进入接口视图命令以及进入接口视图后的相关命令。

[Sysname-role-role1] rule 3 permit command system-view ; interface *

# 进入用户角色VLAN策略视图,配置允许用户具有操作VLAN 10~VLAN 15的权限。

[Sysname-role-role1] vlan policy deny

[Sysname-role-role1-vlanpolicy] permit vlan 10 to 15

[Sysname-role-role1-vlanpolicy] quit

# 进入用户角色接口策略视图,配置允许用户具有操作接口HundredGigE1/0/1的权限。

[Sysname-role-role1] interface policy deny

[Sysname-role-role1-ifpolicy] permit interface HundredGigE 1/0/1

[Sysname-role-role1-ifpolicy] quit

[Sysname-role-role1] quit

(7)     为本地用户telnetuser1和telnetuser2配置授权用户角色

# 进入设备管理类本地用户telnetuser1视图。

[Sysname] local-user telnetuser1 class manage

# 指定用户telnetuser1的授权角色role1。

[Sysname-luser-manage-telnetuser1] authorization-attribute user-role role1

# 为保证用户仅使用授权的用户角色role1,删除用户telnetuser1具有的缺省用户角色network-operator。

[Sysname-luser-manage-telnetuser1] undo authorization-attribute user-role network-operator

[Sysname-luser-manage-telnetuser1] quit

# 进入设备管理类本地用户telnetuser2视图。

[Sysname] local-user telnetuser2 class manage

# 指定用户telnetuser2的授权角色role1。

[Sysname-luser-manage-telnetuser2] authorization-attribute user-role role1

# 为保证用户仅使用授权的用户角色role1,删除用户telnetuser2具有的缺省用户角色network-operator。

[Sysname-luser-manage-telnetuser2] undo authorization-attribute user-role network-operator

[Sysname-luser-manage-telnetuser2] quit

(8)     创建用户角色role2,并配置用户角色规则

# 创建用户角色role2,进入用户角色视图。

[Sysname] role name role2

# 配置用户角色规则1,允许执行进入接口视图命令以及进入接口视图后的相关命令。

[Sysname-role-role2] rule 1 permit command system-view ; interface *

(9)     为用户角色role2配置VLAN资源控制策略

# 进入用户角色VLAN策略视图,配置允许用户具有操作VLAN 16~VLAN 20的权限。

[Sysname-role-role2] vlan policy deny

[Sysname-role-role2-vlanpolicy] permit vlan 16 to 20

[Sysname-role-role2-vlanpolicy] quit

# 进入用户角色接口策略视图,配置允许用户具有操作接口HundredGigE1/0/2~HundredGigE1/0/3的权限。

[Sysname-role-role2] interface policy deny

[Sysname-role-role2-ifpolicy] permit interface HundredGigE 1/0/2 to HundredGigE 1/0/3

[Sysname-role-role2-ifpolicy] quit

[Sysname-role-role2] quit

(10)     为本地用户telnetuser1配置授权用户角色

# 进入设备管理类本地用户telnetuser1视图。

[Sysname] local-user telnetuser1 class manage

# 指定用户telnetuser1的授权角色role2。

[Sysname-luser-manage-telnetuser1] authorization-attribute user-role role2

[Sysname-luser-manage-telnetuser1] quit

6.6  验证配置

6.6.1  配置更改用户权限前的验证

(1)     查看用户角色和特性组信息

通过display role命令查看用户角色role1的信息。

# 显示用户角色role1的信息。

<Sysname> display role name role1

Role: role1

  Description:

  VLAN policy: deny

  Permitted VLANs: 10 to 15

  Interface policy: deny

  Permitted interfaces: HundredGigE1/0/1

  VPN instance policy: permit (default)

  -------------------------------------------------------------------

  Rule    Perm   Type  Scope         Entity

  -------------------------------------------------------------------

  1       permit       command       display *

  2       permit       command       system-view ; vlan *

  3       permit       command       system-view ; interface *

  R:Read W:Write X:Execute

(2)     用户登录设备

用户向设备发起Telnet连接,在Telnet客户端按照提示输入用户名telnetuser1@bbb及正确的密码后,成功登录设备。

C:\Documents and Settings\user> telnet 192.168.1.50

 

******************************************************************************

* Copyright (c) 2004-2016 Hangzhou H3C Tech. Co., Ltd. All rights reserved.  *

* Without the owner's prior written consent,                                 *

* no decompiling or reverse-engineering shall be allowed.                    *

******************************************************************************

 

login: telnetuser1@bbb

Password:

<Sysname>

(3)     验证用户权限

Telnet用户成功登录设备后,可通过如下步骤验证用户的权限:

·     能够创建VLAN 15。

[Sysname] vlan 15

[Sysname-vlan15] quit

·     不能创建VLAN 20。

[Sysname] vlan 20

Permission denied.

·     能够操作HundredGigE1/0/1接口。

[Sysname] interface HundredGigE 1/0/1

[Sysname-HundredGigE1/0/1] speed auto

[Sysname-HundredGigE1/0/1] quit

通过显示信息可以确认配置生效。

6.6.2  配置更改用户权限后的验证

(1)     查看用户角色和特性组信息

通过display role命令查看用户角色role2的信息。

# 显示用户角色role2的信息。

<Sysname> display role name role2

Role: role2

  Description:

  VLAN policy: deny

  Permitted VLANs: 16 to 20

  Interface policy: deny

  Permitted interfaces: HundredGigE1/0/2HundredGigE1/0/3

  VPN instance policy: permit (default)

  -------------------------------------------------------------------

  Rule    Perm   Type  Scope         Entity

  -------------------------------------------------------------------

  1       permit       command       system-view ; interface*

  R:Read W:Write X:Execute

(2)     用户登录设备

用户向设备发起Telnet连接,在Telnet客户端按照提示输入用户名telnetuser1@bbb及正确的密码后,成功登录设备。

C:\Documents and Settings\user> telnet 192.168.1.50

 

******************************************************************************

* Copyright (c) 2004-2016 Hangzhou H3C Tech. Co., Ltd. All rights reserved.  *

* Without the owner's prior written consent,                                 *

* no decompiling or reverse-engineering shall be allowed.                    *

******************************************************************************

 

login: telnetuser1@bbb

Password:

<Sysname>

(3)     验证用户权限

Telnet用户成功登录设备后,可通过如下步骤验证用户的权限:

·     可创建VLAN 16。

[Sysname] vlan 16

[Sysname-vlan16] quit

·     能够操作HundredGigE1/0/2接口。

[Sysname] interface HundredGigE 1/0/2

[Sysname-HundredGigE1/0/2] speed auto

[Sysname-HundredGigE1/0/2] quit

·     不能操作其它接口。(以进入HundredGigE1/0/5接口视图为例)

[Sysname] interface HundredGigE 1/0/5

Permission denied.

通过显示信息可以确认配置生效。

6.7  配置文件

#

 telnet server enable

#

vlan 2

#

interface Vlan-interface2

 ip address 192.168.1.50 255.255.255.0

#

interface HundredGigE1/0/23

port access vlan 2

#

interface HundredGigE1/0/24

port access vlan 2

#

line vty 0 63

 authentication-mode scheme

 user-role network-operator

#

domain bbb

 authentication login local

 authorization login local

#

role name role1

 rule 1 permit command display *

 rule 2 permit command system-view ; vlan *

 rule 3 permit command system-view ; interface *

 vlan policy deny

  permit vlan 10 to 15

 interface policy deny

  permit interface HundredGigE1/0/1

#

role name role2

 rule 1 permit command system-view ; interface *

 vlan policy deny

  permit vlan 16 to 20

 interface policy deny

  permit interface HundredGigE1/0/2 to HundredGigE1/0/3

#

 local-user telnetuser1 class manage

 password hash $h$6$kZw1rKFsAY4lhgUz$+teVLy8gmKN4Mr00VWgXQTB8ai94gKHlrys5OkytGf4

kT+nz5X1ZGASjc282CYAR6A1upH2jbmRoTcfDzZ9Gmw==

 service-type telnet

 authorization-attribute user-role role1

 authorization-attribute user-role role2

#

 local-user telnetuser2 class manage

 password hash TPcgyTQJZShe$h$6$vaSj2xKc8yFiNdfQ$Jzb3PXo2lt4jk KSZqJUVhjP634Wol/

Qx8TLU748IHoeui0w5n/XRzpNqbNnpxikym39gGJCwYw==

 service-type telnet

 authorization-attribute user-role role1

#

7  配置用户具有切换用户角色权限举例

7.1  组网需求

图9所示,为了加强用户登录的安全性,采用本地AAA认证对登录设备的Telnet用户进行认证。登录设备的Telnet用户能够进行用户角色的切换,即在不下线的情况下,临时改变自身对系统的操作权限。当前Telnet用户被授权为用户角色role1,用户角色role1具有如下权限:

·     允许执行系统预定义特性组L3相关的所有命令。

·     允许执行所有以display开头的命令。

·     允许执行所有以super开头的命令。

·     具有所有接口、VLAN和VPN实例资源的操作权限。

现要求,Telnet用户能够被切换到用户角色role2和network-operator,其中用户角色role2具有如下权限:

·     允许执行系统预定义特性组L2相关的所有命令。

·     具有所有接口、VLAN和VPN实例资源的操作权限。

图9 切换用户角色权限配置组网图

 

7.2  配置思路

·     缺省情况下,用户角色切换的认证方式为local。在本例中Telnet用户登录设备的认证方式为本地AAA认证,因此,配置用户角色切换时的认证方式为local。

·     为了使Telnet用户telnetuser能够进行切换用户角色,需要创建本地用户角色role1和role2,并配置相应的配置用户角色规则和资源控制策略。

·     为了保证操作的安全性,Telnet用户将用户角色切换到不同的用户角色时,需要配置相应切换密码。

7.3  使用版本

本举例是R2609版本上进行配置和验证的。

7.4  配置注意事项

·     一个ISP域被配置为缺省的ISP域后将不能够被删除,必须首先使用命令undo domain default enable将其修改为非缺省ISP域,然后才可以被删除。

·     一个用户角色中允许创建多条规则,各规则以创建时指定的编号为唯一标识,被授权该角色的用户可以执行的命令为这些规则定义的可执行命令的并集。若这些规则定义的权限内容有冲突,则规则编号大的有效。例如,规则1允许执行命令A,规则2允许执行命令B,规则3禁止执行命令A,则最终规则2和规则3生效,即禁止执行命令A,允许执行命令B。

·     切换后的用户角色只对当前登录生效,用户重新登录后,又会恢复到原有用户角色。

7.5  配置步骤

(1)     创建VLAN 2并将Switch连接Telnet user的端口划分到VLAN 2中。

<Sysname> system-view

[Sysname] vlan 2

[Sysname-vlan2] quit

[Sysname] interface HundredGigE 1/0/24

[Sysname-HundredGigE1/0/24] undo shutdown

[Sysname-HundredGigE1/0/24] port access vlan 2

[Sysname-HundredGigE1/0/24] quit

(2)     创建VLAN接口2并配置IP地址。

[Sysname] interface Vlan-interface 2

[Sysname-Vlan-interface2] undo shutdown

[Sysname-Vlan-interface2] ip address 192.168.1.50 24

(3)     配置Telnet用户登录设备的认证方式

# 开启设备的Telnet服务器功能。

[Sysname] telnet server enable

# 在编号为0~63的VTY用户线下,配置Telnet用户登录采用AAA认证方式。

[Sysname] line vty 0 63

[Sysname-line-vty0-63] authentication-mode scheme

[Sysname-line-vty0-63] quit

(4)     配置ISP域bbb的AAA方法

# 创建ISP域bbb,为login用户配置的AAA方法为本地认证、本地授权。

[Sysname] domain bbb

[Sysname-isp-bbb] authentication login local

[Sysname-isp-bbb] authorization login local

[Sysname-isp-bbb] quit

(5)     配置设备管理类本地用户telnetuser的密码和服务类型

# 创建设备管理类本地用户telnetuser。

[Sysname] local-user telnetuser class manage

# 配置用户的密码是明文的aabbcc。

[Sysname-luser-manage-telnetuser] password simple aabbcc

# 指定用户的服务类型是Telnet。

[Sysname-luser-manage-telnetuser] service-type telnet

[Sysname-luser-manage-telnetuser] quit

(6)     创建用户角色role1,并配置用户角色规则

# 创建用户角色role1,进入用户角色视图。

[Sysname] role name role1

# 配置用户角色规则1,允许用户执行预定义特性组L3相关的所有命令。

[Sysname-role-role1] rule 1 permit execute read write feature-group L3

# 配置用户角色规则2,允许用户执行所有以display开头的命令。

[Sysname-role-role1] rule 2 permit command display *

# 配置用户角色规则3,允许用户执行所有以super开头的命令。

[Sysname-role-role1] rule 3 permit command super *

[Sysname-role-role1] quit

(7)     创建用户角色role2,并配置用户角色规则

# 创建用户角色role2,进入用户角色视图。

[Sysname] role name role2

# 配置用户角色规则1,允许用户执行预定义特性组L2相关的所有命令。

[Sysname-role-role2] rule 1 permit execute read write feature-group L2

[Sysname-role-role2] quit

(8)     为本地用户配置授权用户角色

# 进入设备管理类本地用户telnetuser视图。

[Sysname] local-user telnetuser class manage

# 指定用户telnetuser的授权角色为role1。

[Sysname-luser-manage-telnetuser] authorization-attribute user-role role1

# 为保证用户仅使用授权的用户角色role1,删除用户telnetuser具有的缺省用户角色network-operator。

[Sysname-luser-manage-telnetuser] undo authorization-attribute user-role network-operator

[Sysname-luser-manage-telnetuser] quit

(9)     配置用户角色切换的方式及切换密码

# 配置Telnet用户切换用户角色时采用local认证方式(系统缺省值为local)。

[Sysname] super authentication-mode local

# 配置Telnet用户将用户角色切换到role2时使用的密码为明文密码123456TESTplat&!。

[Sysname] super password role role2 simple 123456TESTplat&!

#配置Telnet用户将用户角色切换到network-operator时使用的密码为明文密码987654TESTplat&!。

[Sysname] super password role network-operator simple 987654TESTplat&!

7.6  验证配置

(1)     查看用户角色和特性组信息

通过display role命令查看用户角色role1、role2和network-operator的信息。

# 显示用户角色role1的信息。

<Sysname> display role name role1

Role: role1

  Description:

  VLAN policy: permit (default)

  Interface policy: permit (default)

  VPN instance policy: permit (default)

  -------------------------------------------------------------------

  Rule    Perm   Type  Scope         Entity

  -------------------------------------------------------------------

  1       permit RWX   feature-group L3

  2       permit       command       display *

  3       permit       command       super *

  R:Read W:Write X:Execute

# 显示用户角色role2的信息。

<Sysname> display role name role2

Role: role2

  Description:

  VLAN policy: permit (default)

  Interface policy: permit (default)

  VPN instance policy: permit (default)

  -------------------------------------------------------------------

  Rule    Perm   Type  Scope         Entity

  -------------------------------------------------------------------

  1       permit RWX   feature-group L2

  R:Read W:Write X:Execute

# 显示用户角色network-operator的信息。

[Sysname] display role name network-operator

Role: network-operator

  Description: Predefined network operator role has access to all read commands

on the Sysname

  VLAN policy: permit (default)

  Interface policy: permit (default)

  VPN instance policy: permit (default)

  -------------------------------------------------------------------

  Rule    Perm   Type  Scope         Entity

  -------------------------------------------------------------------

  sys-1   permit       command       display *

  sys-2   permit       command       xml

  sys-3   deny         command       display history-command all

  sys-4   deny         command       display exception *

  sys-5   deny         command       display cpu-usage configuration

                                     *

  sys-6   deny         command       display kernel exception *

  sys-7   deny         command       display kernel deadloop *

  sys-8   deny         command       display kernel starvation *

  sys-9   deny         command       display kernel reboot *

  sys-12  permit       command       system-view ; local-user *

  sys-14  permit R--   xml-element   -

  sys-15  deny         command       display security-logfile summary

  sys-16  deny         command       system-view ; info-center securi

                                     ty-logfile directory *

  sys-17  deny         command       security-logfile save

  sys-18  deny         command       security-logfile save                     

  sys-19  permit R--   oid           1     

R:Read W:Write X:Execute

通过display role feature-group命令查看特性组L2和L3中包括的特性信息,此处不详细介绍。

(2)     用户登录设备

用户向设备发起Telnet连接,在Telnet客户端按照提示输入用户名telnetuser@bbb及正确的密码后,成功登录设备。

C:\Documents and Settings\user> telnet 192.168.1.50

 

******************************************************************************

* Copyright (c) 2004-2016 Hangzhou H3C Tech. Co., Ltd. All rights reserved.  *

* Without the owner's prior written consent,                                 *

* no decompiling or reverse-engineering shall be allowed.                    *

******************************************************************************

 

login: telnetuser@bbb

Password:

<Sysname>

(3)     验证切换用户角色前的用户权限

Telnet用户成功登录设备后,可通过如下步骤验证用户的权限:

·     可执行特性组L3中特性相关的所有命令。(以创建VPN实例vpn1为例)

<Sysname> system-view

[Sysname] ip vpn-instance vpn1

·     可执行所有以display开头的命令。(以显示系统当前日期和时间为例)

<Sysname> display clock

09:31:56 UTC Wed 01/01/2014

<Sysname>

(4)     验证切换用户角色

Telnet用户成功登录设备后,可通过如下步骤验证用户的权限:

a.     在用户视图下使用super开头的命令。(以切换到用户角色role2并输入相应的切换密码为例)

<Sysname> super role2

Password:

User privilege role is role2, and only those commands that authorized to the role can be used.

<Sysname>

b.     切换到用户角色role2后,可执行特性组L2中特性相关的所有命令。(以创建VLAN 10为例)

<Sysname> system-view

[Sysname] vlan 10

[Sysname-vlan10] quit

[Sysname] quit

c.     切换到用户角色role2后,不能执行非特性组L2中特性相关的命令。(以切换到用户角色network-operator为例)

<Sysname> super network-operator

Permission denied.

d.     切换到用户角色role2后,不能执行以display开头的命令。(以显示系统当前日期和时间为例)

<Sysname> display clock

Permission denied.

e.     Telnet用户重新登录设备后,才能执行所有以super开头的命令。(以切换到用户角色network-operator并输入相应的切换密码为例)

C:\Documents and Settings\user> telnet 192.168.1.50

 

******************************************************************************

* Copyright (c) 2004-2016 Hangzhou H3C Tech. Co., Ltd. All rights reserved.  *

* Without the owner's prior written consent,                                 *

* no decompiling or reverse-engineering shall be allowed.                    *

******************************************************************************

 

login: telnetuser@bbb

Password:

<Sysname>

<Sysname> super network-operator

Password:

User privilege role is network-operator, and only those commands that authorized

 to the role can be used.

<Sysname>

通过显示信息可以确认配置生效。

7.7  配置文件

#

 telnet server enable

#

vlan 2

#

interface Vlan-interface2

 ip address 192.168.1.50 255.255.255.0

#

interface HundredGigE1/0/24

port access vlan 2

#

line vty 0 63

 authentication-mode scheme

 user-role network-operator

#

 super password role role2 hash $h$6$D0kjHFktkktzgR5g$e673xFnIcKytCj6EDAw+pvwgh3

/ung3WNWHnrUTnXT862B+s7PaLfKTdil8ef71RBOvuJvPAZHjiLjrMPyWHQw==

 super password role network-operator hash $h$6$3s5KMmscn9hJ6gPx$IcxbNjUc8u4yxwR

m87b/Jki8BoPAxw/s5bEcPQjQj/cbbXwTVcnQGL91WOd7ssO2rX/wKzfyzAO5VhBTn9Q4zQ==

#

domain bbb

 authentication login local

 authorization login local

#

role name role1

 rule 1 permit read write execute feature-group L3

 rule 2 permit command display *

 rule 3 permit command super *

#

role name role2

 rule 1 permit read write execute feature-group L2

#

 local-user telnetuser class manage

 password hash $h$6$kZw1rKFsAY4lhgUz$+teVLy8gmKN4Mr00VWgXQTB8ai94gKHlrys5OkytGf4

kT+nz5X1ZGASjc282CYAR6A1upH2jbmRoTcfDzZ9Gmw==

 service-type telnet

 authorization-attribute user-role role1

#

8  配置具有流量控制的执行权限举例

8.1  组网需求

图10所示,某企业内部为隔离部门A和部门B之间流量,将不同VLAN划分给各部门使用。为了加强各部门网络管理员登录的安全性,采用RADIUS服务器对登录设备的Telnet用户进行认证、授权和计费。部门A和部门B的网络管理员通过Telnet登录设备时,分别使用RADIUS服务器上配置的用户名admin-departA和admin-departB以及对应的密码进行认证。

部门A网络管理员admin-departA有如下权限:

·     具有流量控制策略相关功能的配置权限。

·     禁止操作所有的接口和VPN资源。

·     只允许操作VLAN 100~VLAN 199。

部门B网络管理员admin-departB有如下权限:

·     具有流量控制策略相关功能的配置权限。

·     禁止操作所有的接口和VPN资源。

·     只允许操作VLAN 200~VLAN 299。

图10 具有部署流量控制策略的执行权限配置组网图

 

8.2  配置思路

·     创建用户角色departA-resource,通过配置用户角色规则,使其具有QoS和ACL特性中所有命令的配置权限;通过配置资源控制策略,使其只具有VLAN 100~VLAN 199的操作权限,无法操作所有的接口和VPN资源。

·     创建用户角色departB-resource,通过配置用户角色规则,使其具有QoS和ACL特性中所有命令的配置权限;通过配置资源控制策略,使其只具有VLAN 200~VLAN 299的操作权限,无法操作所有的接口和VPN资源。

·     在RADIUS服务器上配置对部门A网络管理员授权用户角色departA-resource;对部门B网络管理员授权用户角色departB-resouce。

8.3  使用版本

本举例是在R2609版本上进行配置和验证的。

8.4  配置注意事项

由于RADIUS服务器的授权信息是随认证应答报文发给RADIUS客户端的,所以必须保证认证和授权方法相同。

8.5  配置步骤

8.5.1  设备配置

(1)     创建VLAN 2并将Core Switch连接Telnet user的端口划分到VLAN 2中。

<Sysname> system-view

[Sysname] vlan 2

[Sysname-vlan2] quit

[Sysname] interface HundredGigE1/0/24

[Sysname-HundredGigE1/0/24] undo shutdown

[Sysname-HundredGigE1/0/24] port access vlan 2

[Sysname-HundredGigE1/0/24] quit

(2)     创建VLAN接口2并配置IP地址。

[Sysname] interface Vlan-interface 2

[Sysname-Vlan-interface2] undo shutdown

[Sysname-Vlan-interface2] ip address 192.168.1.50 24

(3)     创建VLAN 3并将Core Switch连接AAA server的端口划分到VLAN 3中。

<Sysname> system-view

[Sysname] vlan 3

[Sysname-vlan3] quit

[Sysname] interface HundredGigE1/0/23

[Sysname-HundredGigE1/0/23] undo shutdown

[Sysname-HundredGigE1/0/23] port access vlan 3

[Sysname-HundredGigE1/0/23] quit

(4)     创建VLAN接口3并配置IP地址。

[Sysname] interface Vlan-interface 3

[Sysname-Vlan-interface3] undo shutdown

[Sysname-Vlan-interface3] ip address 20.1.1.2 24

(5)     在设备上开启Telnet服务器功能,并配置RADIUS方案和ISP域

# 开启设备的Telnet服务器功能。

[Sysname] telnet server enable

# 在编号为0~63的VTY用户线下,配置Telnet用户登录采用AAA认证方式。

[Sysname] line vty 0 63

[Sysname-line-vty0-63] authentication-mode scheme

[Sysname-line-vty0-63] quit

# 创建RADIUS方案rad。

[Sysname] radius scheme rad

# 配置主认证/授权服务器的IP地址为10.1.1.1,主计费服务器的IP地址为10.1.1.1。

[Sysname-radius-rad] primary authentication 10.1.1.1

[Sysname-radius-rad] primary accounting 10.1.1.1

# 配置与认证/授权服务器、主计费服务器交互报文时的共享密钥为明文aabbcc。

[Sysname-radius-rad] key authentication simple aabbcc

[Sysname-radius-rad] key accounting simple aabbcc

[Sysname-radius-rad] quit

# 创建ISP域bbb,为login用户配置的AAA认证方法为RADIUS认证、RADIUS授权、RADIUS计费。

[Sysname] domain bbb

[Sysname-isp-bbb] authentication login radius-scheme rad

[Sysname-isp-bbb] authorization login radius-scheme rad

[Sysname-isp-bbb] accounting login radius-scheme rad

[Sysname-isp-bbb] quit

(6)     在设备上配置用户角色departA-resource

# 创建用户角色departA-resource,配置用户角色规则,允许用户执行特性QoS和ACL中的所有命令。

[Sysname] role name departA-resource

[Sysname-role-departA-resource] rule 1 permit read write execute feature qos

[Sysname-role-departA-resource] rule 2 permit read write execute feature acl

# 配置VLAN资源控制策略,只具有VLAN 100~VLAN 199的操作权限。

[Sysname-role-departA-resource] vlan policy deny

[Sysname-role-departA-resource-vlanpolicy] permit vlan 100 to 199

[Sysname-role-departA-resource-vlanpolicy] quit

# 配置接口和VPN资源访问策略,禁止访问所有接口和VPN资源。

[Sysname-role-departA-resource] interface policy deny

[Sysname-role-departA-resource-ifpolicy] quit

[Sysname-role-departA-resource] vpn policy deny

[Sysname-role-departA-resource-vpnpolicy] quit

[Sysname-role-departA-resource] quit

(7)     在设备上配置用户角色departB-resource

# 创建用户角色departB-resource,配置用户角色规则,允许用户执行特性QoS和ACL中的所有命令。

[Sysname] role name departB-resource

[Sysname-role-departB-resource] rule 1 permit read write execute feature qos

[Sysname-role-departB-resource] rule 2 permit read write execute feature acl

# 配置VLAN资源控制策略,只具有VLAN 200~VLAN 299的操作权限。

[Sysname-role-departB-resource] vlan policy deny

[Sysname-role-departB-resource-vlanpolicy] permit vlan 200 to 299

[Sysname-role-departB-resource-vlanpolicy] quit

# 配置接口和VPN资源访问策略,禁止访问所有接口和VPN资源。

[Sysname-role-departB-resource] interface policy deny

[Sysname-role-departB-resource-ifpolicy] quit

[Sysname-role-departB-resource] vpn policy deny

[Sysname-role-departB-resource-vpnpolicy] quit

[Sysname-role-departB-resource] quit

8.5.2  RADIUS服务器配置

说明

下面以iMC为例(使用iMC版本为:iMC PLAT 7.0(E0202)、iMC UAM 7.0(E0202)),说明RADIUS服务器的基本配置。

 

# 增加接入设备。

登录进入iMC管理平台,选择“用户”页签,单击导航树中的[接入策略管理/接入设备管理/接入设备配置]菜单项,进入接入设备配置页面,在该页面中单击<增加>按钮,进入增加接入设备页面。

·     设置认证及计费的端口号分别为“1812”和“1813”;

·     设置与AC交互报文时使用的认证、计费共享密钥和确认共享密钥为“aabbcc”;

·     选择业务类型为“设备管理业务”;

·     选择接入设备类型为“H3C”;

·     选择或手工增加接入设备,添加IP地址为20.1.1.2的接入设备;

·     其它参数采用缺省值,并单击<确定>按钮完成操作。

图11 增加接入设备

 

# 增加设备管理用户。

选择“用户”页签,单击导航树中的[接入用户管理/设备管理用户]菜单项,进入设备管理用户列表页面,在该页面中单击<增加>按钮,进入增加设备管理用户页面。

·     创建用户名,这里输入“admin-departA@bbb”,并配置密码和确认密码;

·     选择服务类型为“Telnet”;

·     添加用户角色名“departA-resource”;

·     添加所管理设备的IP地址,IP地址范围为“20.1.1.0~20.1.1.10”;

·     单击<确定>按钮完成操作。

图12 增加设备管理用户

 

# 继续在该页面中单击<增加>按钮,进入增加设备管理用户页面。

·     创建用户名,这里输入“admin-departB@bbb”,并配置密码和确认密码;

·     选择服务类型为“Telnet”;

·     添加用户角色名“departB-resource”;

·     添加所管理设备的IP地址,IP地址范围为“20.1.1.0~20.1.1.10”;

·     单击<确定>按钮完成操作。

图13 增加设备管理用户

 

8.6  验证配置

(1)     查看用户角色信息

通过display role命令查看用户角色departA-resource和departB-resource的信息。

# 显示用户角色departA-resource的信息。

<Sysname> display role name departA-resource

Role: departA-resource

  Description:

  VLAN policy: deny

  Permitted VLANs: 100 to 199

  Interface policy: deny

  VPN instance policy: deny

  -------------------------------------------------------------------

  Rule    Perm   Type  Scope         Entity

  -------------------------------------------------------------------

  1       permit RWX   feature       qos

  2       permit RWX   feature       acl

  R:Read W:Write X:Execute

# 显示用户角色departB-resource的信息。

<Sysname> display role name departB-resource

Role: departB-resource

  Description:

  VLAN policy: deny

  Permitted VLANs: 200 to 299

  Interface policy: deny

  VPN instance policy: deny

  -------------------------------------------------------------------

  Rule    Perm   Type  Scope         Entity

  -------------------------------------------------------------------

  1       permit RWX   feature       qos

  2       permit RWX   feature       acl

  R:Read W:Write X:Execute

(2)     用户登录设备

以部门A网络管理员登录设备为例进行验证。

# 部门A网络管理员向设备发起Telnet连接,在Telnet客户端按照提示输入用户名admin-departA@bbb及正确的密码后,成功登录设备。

C:\Documents and Settings\user> telnet 192.168.1.50

 

******************************************************************************

* Copyright (c) 2004-2016 Hangzhou H3C Tech. Co., Ltd. All rights reserved.  *

* Without the owner's prior written consent,                                 *

* no decompiling or reverse-engineering shall be allowed.                    *

******************************************************************************

 

login: admin-departA@bbb

Password:

<Sysname>

(3)     验证用户权限

部门A网络管理员admin-departA@bbb成功登录设备后,可通过如下步骤验证用户的权限:

·     可执行特性QoS和ACL中所有的命令。(以创建高级ACL、流分类、流行为和QoS策略,并关联流分类和流行为为例)

# 创建高级ACL,编号为3000。

<Sysname> system-view

[Sysname] acl number 3000

# 配置ACL的匹配规则为匹配所有FTP数据流量。

[Sysname-acl-adv-3000] rule permit tcp destination-port eq ftp-data

[Sysname-acl-adv-3000] quit

#创建流分类1,匹配规则为匹配ACL 3000。

[Sysname] traffic classifier 1

[Sysname-classifier-1] if-match acl 3000

[Sysname-classifier-1] quit

#创建流分类1,流行为为流量监管,限速值为2000kbps。

[Sysname] traffic behavior 1

[Sysname-behavior-1] car cir 2000

[Sysname-behavior-1] quit

#创建QoS策略1,将流分类1和流行为1进行关联。

[Sysname] qos policy 1

[Sysname-qospolicy-1] classifier 1 behavior 1

[Sysname-qospolicy-1] quit

·     可操作VLAN 100~VLAN 199。(以将QoS策略1应用到VLAN 100~VLAN 107的入方向为例)

# 将QoS策略1应用到VLAN 100~VLAN 107的入方向,即对所有主机的上行流量进行限速。

[Sysname] qos vlan-policy 1 vlan 100 to 107 inbound

·     不能操作其它VLAN。(以将QoS策略1应用到VLAN 200~VLAN 207的入方向为例)

# 将QoS策略1应用到VLAN 200~VLAN 207的入方向,即对所有主机的上行流量进行限速。

[Sysname] qos vlan-policy 1 vlan 200 to 207 inbound

Permission denied.

通过显示信息可以确认配置生效。

部门B网络管理员admin-departB@bbb成功登录设备后,可通过如下步骤验证用户的权限:

·     可执行特性QoS和ACL中所有的命令。(以创建高级ACL、流分类、流行为和QoS策略,并关联流分类和流行为为例)

# 创建高级ACL,编号为3001。

[Sysname] acl number 3001

# 配置ACL的匹配规则为匹配所有FTP数据流量。

[Sysname-acl-adv-3001] rule permit tcp destination-port eq ftp-data

[Sysname-acl-adv-3001] quit

# 创建流分类2,匹配规则为匹配ACL 3001。

[Sysname] traffic classifier 2

[Sysname-classifier-2] if-match acl 3001

[Sysname-classifier-2] quit

# 创建流分类2,流行为为流量监管,限速值为2000kbps。

[Sysname] traffic behavior 2

[Sysname-behavior-2] car cir 2000

[Sysname-behavior-2] quit

# 创建QoS策略2,将流分类2和流行为2进行关联。

[Sysname] qos policy 2

[Sysname-qospolicy-2] classifier 1 behavior 2

[Sysname-qospolicy-2] quit

·     可操作VLAN 200~VLAN 299。(以将QoS策略2应用到VLAN 200~VLAN 207的入方向为例)

[Sysname] qos vlan-policy 2 vlan 200 to 207 inbound

·     不能操作其它VLAN。(以将QoS策略2应用到VLAN 100~VLAN 107的入方向为例)

[Sysname] qos vlan-policy 2 vlan 100 to 107 inbound

Permission denied.

通过显示信息可以确认配置生效。

8.7  配置文件

#

 telnet server enable

#

vlan 2 to 3

#

interface Vlan-interface2

 ip address 192.168.1.50 255.255.255.0

#

interface Vlan-interface3

 ip address 20.1.1.2 255.255.255.0

#

interface HundredGigE1/0/23

port access vlan 3

#

interface HundredGigE1/0/24

port access vlan 2

#

line vty 0 63

 authentication-mode scheme

 user-role network-operator

#

radius scheme rad

 primary authentication 10.1.1.1

 primary accounting 10.1.1.1

 key authentication cipher $c$3$JzDegvL0G5KZIcJhzscTHLA4WasBVh0UOw==

 key accounting cipher $c$3$CdejNYYxvjW0Y+Zydi4rZgBwjYb4h6LKmg==

#

domain bbb

 authentication login radius-scheme rad

 authorization login radius-scheme rad

 accounting login radius-scheme rad

#

role name departA-resource

rule 1 permit read write execute feature qos

 rule 2 permit read write execute feature acl

 vlan policy deny

  permit vlan 100 to 199

 interface policy deny

 vpn-instance policy deny

#

role name departB-resource

rule 1 permit read write execute feature qos

 rule 2 permit read write execute feature acl

 vlan policy deny

  permit vlan 200 to 299

 interface policy deny

 vpn-instance policy deny

#

9  相关资料

·     H3C S12500X-AF系列交换机 基础配置指导-R26xx

·     H3C S12500X-AF系列交换机 基础配置命令参考-R26xx

 

不同款型规格的资料略有差异, 详细信息请向具体销售和400咨询。H3C保留在没有任何通知或提示的情况下对资料内容进行修改的权利!

联系我们