02-RBAC命令
本章节下载: 02-RBAC命令 (226.21 KB)
目 录
1.1.4 display role feature-group
1.1.12 role default-role enable
1.1.16 super authentication-mode
1.1.19 security-zone policy deny
1.1.21 vpn-instance policy deny
设备运行于FIPS模式时,本特性部分配置相对于非FIPS模式有所变化,具体差异请见本文相关描述。有关FIPS模式的详细介绍请参见“安全配置指导”中的“FIPS”。
description命令用来配置用户角色描述信息。
undo description用来删除用户角色的描述信息。
text:用户角色描述信息,为1~128个字符的字符串,区分大小写。
# 为用户角色role1配置描述信息为“labVIP”。
[Sysname] role name role1
[Sysname-role-role1] description labVIP
display role命令用来显示用户角色信息。
display role [ name role-name ]
name role-name:用户角色名称,为1~63个字符的字符串,区分大小写。
如果不指定用户角色名称,则表示显示所有用户角色的信息,包括系统缺省存在的用户角色的信息。
# 显示用户角色123的信息。
<Sysname> display role name 123
Role: 123
Description: new role
VLAN policy: deny
Permitted VLANs: 1 to 5, 7 to 8
Interface policy: deny
Permitted interfaces: GigabitEthernet2/0/1 to GigabitEthernet2/0/2, Vlan-interface1 to Vlan-interface20
VPN instance policy: deny
Permitted VPN instances: vpn, vpn1, vpn2
Security zone policy: permit (default)
-------------------------------------------------------------------
Rule Perm Type Scope Entity
-------------------------------------------------------------------
1 permit RWX feature-group abc
2 deny -W- feature ldap
3 permit command system ; radius sc *
4 permit R-- xml-element -
5 permit RW- oid 1.2.1
R:Read W:Write X:Execute
# 显示所有用户角色的信息。
Role: network-admin
Description: Predefined network admin role has access to all commands on the device
VLAN policy: permit (default)
Interface policy: permit (default)
VPN instance policy: permit (default)
Security zone policy: permit (default)
-------------------------------------------------------------------
Rule Perm Type Scope Entity
-------------------------------------------------------------------
sys-1 permit command *
sys-2 permit RWX web-menu -
sys-3 permit RWX xml-element -
sys-4 deny command display security-logfile summary
sys-5 deny command system-view ; info-center securi
ty-logfile directory *
sys-6 deny command security-logfile save
sys-7 permit RW- oid 1
R:Read W:Write X:Execute
Role: network-operator
Description: Predefined network operator role has access to all read commands on the device
VLAN policy: permit (default)
Interface policy: permit (default)
VPN instance policy: permit (default)
Security zone policy: permit (default)
-------------------------------------------------------------------
Rule Perm Type Scope Entity
-------------------------------------------------------------------
sys-1 permit command display *
sys-2 permit command xml
sys-3 deny command display history-command all
sys-4 deny command display exception *
sys-5 deny command display cpu-usage configuration
*
sys-6 deny command display kernel exception *
sys-7 deny command display kernel deadloop *
sys-8 deny command display kernel starvation *
sys-9 deny command display kernel reboot *
sys-10 deny command display memory trace *
sys-11 deny command display kernel memory *
sys-12 permit command system-view ; local-user *
sys-14 permit R-- web-menu -
sys-15 permit R-- xml-element -
sys-16 deny command display security-logfile summary
sys-17 deny command system-view ; info-center securi
ty-logfile directory *
sys-18 deny command security-logfile save
sys-19 permit R-- oid 1
R:Read W:Write X:Execute
Role: level-0
Description: Predefined level-0 role
VLAN policy: permit (default)
Interface policy: permit (default)
VPN instance policy: permit (default)
Security zone policy: permit (default)
-------------------------------------------------------------------
Rule Perm Type Scope Entity
-------------------------------------------------------------------
sys-1 permit command tracert *
sys-2 permit command telnet *
sys-3 permit command ping *
sys-4 permit command ssh2 *
sys-5 permit command super *
R:Read W:Write X:Execute
Role: level-1
Description: Predefined level-1 role
VLAN policy: permit (default)
Interface policy: permit (default)
VPN instance policy: permit (default)
Security zone policy: permit (default)
-------------------------------------------------------------------
Rule Perm Type Scope Entity
-------------------------------------------------------------------
sys-1 permit command tracert *
sys-2 permit command telnet *
sys-3 permit command ping *
sys-4 permit command ssh2 *
sys-5 permit command display *
sys-6 permit command super *
sys-7 deny command display history-command all
R:Read W:Write X:Execute
Role: level-2
Description: Predefined level-2 role
VLAN policy: permit (default)
Interface policy: permit (default)
VPN instance policy: permit (default)
Security zone policy: permit (default)
Role: level-3
Description: Predefined level-3 role
VLAN policy: permit (default)
Interface policy: permit (default)
VPN instance policy: permit (default)
Security zone policy: permit (default)
Role: level-4
Description: Predefined level-4 role
VLAN policy: permit (default)
Interface policy: permit (default)
VPN instance policy: permit (default)
Security zone policy: permit (default)
Role: level-5
Description: Predefined level-5 role
VLAN policy: permit (default)
Interface policy: permit (default)
VPN instance policy: permit (default)
Security zone policy: permit (default)
Role: level-6
Description: Predefined level-6 role
VLAN policy: permit (default)
Interface policy: permit (default)
VPN instance policy: permit (default)
Security zone policy: permit (default)
Role: level-7
Description: Predefined level-7 role
VLAN policy: permit (default)
Interface policy: permit (default)
VPN instance policy: permit (default)
Security zone policy: permit (default)
Role: level-8
Description: Predefined level-8 role
VLAN policy: permit (default)
Interface policy: permit (default)
VPN instance policy: permit (default)
Security zone policy: permit (default)
Role: level-9
Description: Predefined leve-9 role
VLAN policy: permit (default)
Interface policy: permit (default)
VPN instance policy: permit (default)
Security zone policy: permit (default)
-------------------------------------------------------------------
Rule Perm Type Scope Entity
-------------------------------------------------------------------
sys-1 permit RWX feature -
sys-2 deny RWX feature device
sys-3 deny RWX feature filesystem
sys-4 permit command display *
sys-5 deny command display history-command all
R:Read W:Write X:Execute
Role: level-10
Description: Predefined level-10 role
VLAN policy: permit (default)
Interface policy: permit (default)
VPN instance policy: permit (default)
Security zone policy: permit (default)
Role: level-11
Description: Predefined level-11 role
VLAN policy: permit (default)
Interface policy: permit (default)
VPN instance policy: permit (default)
Security zone policy: permit (default)
Role: level-12
Description: Predefined level-12 role
VLAN policy: permit (default)
Interface policy: permit (default)
VPN instance policy: permit (default)
Security zone policy: permit (default)
Role: level-13
Description: Predefined level-13 role
VLAN policy: permit (default)
Interface policy: permit (default)
VPN instance policy: permit (default)
Security zone policy: permit (default)
Role: level-14
Description: Predefined level-14 role
VLAN policy: permit (default)
Interface policy: permit (default)
VPN instance policy: permit (default)
Security zone policy: permit (default)
Role: level-15
Description: Predefined level-15 role
VLAN policy: permit (default)
Interface policy: permit (default)
VPN instance policy: permit (default)
Security zone policy: permit (default)
-------------------------------------------------------------------
Rule Perm Type Scope Entity
-------------------------------------------------------------------
sys-1 permit command *
sys-2 permit RWX web-menu -
sys-3 permit RWX xml-element -
sys-4 deny command display security-logfile summary
sys-5 deny command system-view ; info-center securi
ty-logfile directory *
sys-6 deny command security-logfile save
sys-7 permit RW- oid 1
R:Read W:Write X:Execute
Role: 123
Description: new role
VLAN policy: deny
Permitted VLANs: 1 to 5, 7 to 8
Interface policy: deny
Permitted interfaces: GigabitEthernet2/0/1 to GigabitEthernet2/0/2, Vlan-interface1 to Vlan-interface20
VPN instance policy: deny
Permitted VPN instances: vpn, vpn1, vpn2
Security zone policy: permit (default)
-------------------------------------------------------------------
Rule Perm Type Scope Entity
-------------------------------------------------------------------
1 permit RWX feature-group abc
2 deny -W- feature ldap
3 permit command system ; radius sc *
4 permit R-- xml-element -
5 permit RW- oid 1.2.1
R:Read W:Write X:Execute
Role: security-audit
Description: Predefined security audit role only has access to commands for th
e security log administrator
VLAN policy: permit (default)
Interface policy: permit (default)
VPN instance policy: permit (default)
Security zone policy: permit (default)
-------------------------------------------------------------------
Rule Perm Type Scope Entity
-------------------------------------------------------------------
sys-1 deny command *
sys-2 permit command display security-logfile summary
sys-3 permit command system-view ; info-center securi
ty-logfile directory *
sys-4 permit command security-logfile save
sys-5 permit command cd *
sys-6 permit command copy *
sys-7 permit command delete *
sys-8 permit command dir *
sys-9 permit command mkdir *
sys-10 permit command more *
sys-11 permit command move *
sys-12 permit command rmdir *
sys-13 permit command pwd
sys-14 permit command rename *
sys-15 permit command undelete *
sys-16 permit command ftp *
sys-17 permit command sftp *
sys-18 permit command virtual-ftp-append
sys-19 permit command virtual-ftp-ascii
sys-20 permit command virtual-ftp-binary
sys-21 permit command virtual-ftp-bye
sys-22 permit command virtual-ftp-cd
sys-23 permit command virtual-ftp-cdup
sys-24 permit command virtual-ftp-close
sys-25 permit command virtual-ftp-delete
sys-26 permit command virtual-ftp-debug
sys-27 permit command virtual-ftp-dir
sys-28 permit command virtual-ftp-disconnect
sys-29 permit command virtual-ftp-get
sys-30 permit command virtual-ftp-help
sys-31 permit command virtual-ftp-lcd
sys-32 permit command virtual-ftp-ls
sys-33 permit command virtual-ftp-mkdir
sys-34 permit command virtual-ftp-newer
sys-35 permit command virtual-ftp-open
sys-36 permit command virtual-ftp-passive
sys-37 permit command virtual-ftp-put
sys-38 permit command virtual-ftp-pwd
sys-39 permit command virtual-ftp-quit
sys-40 permit command virtual-ftp-reget
sys-41 permit command virtual-ftp-rstatus
sys-42 permit command virtual-ftp-rhelp
sys-43 permit command virtual-ftp-rename
sys-44 permit command virtual-ftp-reset
sys-45 permit command virtual-ftp-restart
sys-46 permit command virtual-ftp-rmdir
sys-47 permit command virtual-ftp-status
sys-48 permit command virtual-ftp-system
sys-49 permit command virtual-ftp-user
sys-50 permit command virtual-ftp-verbose
sys-51 permit command virtual-ftp-remove
sys-52 permit command virtual-ftp-exit
R:Read W:Write X:Execute
表1-1 display role命令显示信息描述表
用户角色名称,其中系统预定义的用户角色名称分别为network-admin、network-operator、level-n(n为0~15)、security-audit |
|
配置的VLAN策略: · deny:表示除允许操作指定的VLAN外,其它VLAN均不能被用户操作 · permit (default):表示系统缺省允许用户操作任何VLAN |
|
· deny:表示除允许操作指定的接口外,其它接口均不能被用户操作 · permit (default):表示系统缺省允许用户操作任何接口 |
|
配置的VPN策略: · deny:表示除允许操作指定的VPN实例外,其它VPN实例均不能被用户操作 · permit (default):表示系统缺省允许用户操作任何VPN实例 |
|
· deny:表示除允许操作指定的安全域外,其它安全域均不能被用户操作 · permit (default):表示系统缺省允许用户操作任何安全域 |
|
· permit:允许操作 · deny:禁止操作 |
|
· R:读类型 · W:写类型 · X:执行类型 |
|
· command:基于命令行的规则 · feature:基于特性的规则 · feature-group:基于特性组规则 · web-menu:基于Web菜单的规则 · xml-element:基于XML元素的规则 · oid:基于OID元素的规则 |
|
用户角色规则中定义的具体内容(命令特征字符串、特性名称或者特性组名称) · “-”表示所有特性 · “*”为通配符,表示0个或多个任意字符 |
display role feature命令用来显示特性相关信息。
display role feature [ name feature-name | verbose ]
name feature-name:显示指定特性的详细信息,feature-name表示系统中的特性名称,且所有特性名称中的字母均为小写。
verbose:显示所有特性的详细信息,即显示特性内包含的所有命令行列表。
# 显示系统中所有特性的名称列表。
<Sysname> display role feature
Feature: device (Device configuration related commands)
Feature: interface (Interface related commands)
Feature: syslog (Syslog related commands)
Feature: process (Process related commands)
……(略)
# 显示所有特性的详细信息。
<Sysname> display role feature verbose
Feature: device (Device configuration related commands)
display clock (R)
debugging dev (W)
display debugging dev (R)
display device * (R)
display diagnostic-information (R)
display environment * (R)
display fan * (R)
display power * (R)
display rps * (R)
display current-configuration * (R)
display saved-configuration * (R)
display startup (R)
display this * (R)
display version (R)
clock datetime * (W)
reboot * (W)
save * (W)
startup saved-configuration * (W)
system-view ; temperature-limit * (W)
system-view ; sysname * (W)
system-view ; clock timezone * (W)
system-view ; configuration replace file * (W)
system-view ; user-interface * ; idle-timeout * (W)
Feature: interface (Interface related commands)
reset counters interface * (W)
debugging ifnet * (W)
display port-group manual * (R)
display debugging ifnet (R)
display interface * (R)
……(略)
# 显示特性aaa的详细信息。
<Sysname> display role feature name aaa
Feature: aaa (AAA related commands)
system-view ; domain * (W)
system-view ; header * (W)
system-view ; aaa * (W)
display domain * (R)
system-view ; user-group * (W)
system-view ; local-user * (W)
display local-user * (R)
display user-group * (R)
display debugging local-server (R)
debugging local-server * (W)
super * (X)
display password-control * (R)
reset password-control * (W)
system-view ; password-control * (W)
表1-2 display role feature命令显示信息描述表(以display role feature name aaa的显示字段为例)
系统视图下以domain开头的所有命令,以及ISP域视图下的所有命令 |
|
系统视图下以header开头的所有命令 |
|
系统视图下以aaa开头的所有命令 |
|
用户视图下以display domain开头的所有命令 |
|
系统视图下以user-group开头的所有命令,以及用户组视图下的所有命令 |
|
系统视图下以local-user开头的所有命令,以及本地用户视图下的所有命令 |
|
用户视图下以display user-group开头的所有命令 |
|
用户视图下以debugging local-server开头的所有命令 |
|
用户视图下以super开头的所有命令 |
|
用户视图下以reset password-control开头的所有命令 |
|
系统视图下以password-control开头的所有命令 |
|
display role feature-group命令用来显示特性组信息。
display role feature-group [ name feature-group-name ] [ verbose ]
name feature-group-name:显示指定特性组包含的特性名称列表。feature-group-name表示特性组名称,为1~31个字符的字符串,区分大小写。如果不指定本参数,则表示显示所有特性组的相关信息。
verbose:显示特性组的详细信息,即显示特性组内的特性所包含的命令行列表。如果不指定本参数,则表示显示特性组中的特性名称列表。
# 显示所有特性组内的特性名称列表。
<Sysname> display role feature-group
Feature group: L2
Feature: igmp-snooping (IGMP-Snooping related commands)
Feature: mld-snooping (MLD-Snooping related commands)
Feature: lacp (LACP related commands)
Feature: stp (STP related commands)
Feature: lldp (LLDP related commands)
Feature: dldp (DLDP related commands)
Feature: cfm (CFM related commands)
Feature: eoam (EOAM related commands)
Feature: loopbk-detect (Loopback-detection related commands)
Feature: vlan (Virtual LAN related commands)
Feature: evb (EVB related commands)
Feature group: L3
Feature: route (Route management related commands)
Feature: ospf (Open Shortest Path First protocol related commands)
Feature: rip (Routing Information Protocol related commands)
Feature: isis (ISIS protocol related commands)
Feature: bgp (Border Gateway Protocol related commands)
Feature: l3vpn (Layer 3 Virtual Private Network related commands)
# 显示所有特性组的详细信息。
<Sysname> display role feature-group verbose
Feature group: L2
Feature: igmp-snooping (IGMP-Snooping related commands)
system-view ; igmp-snooping (W)
system-view ; vlan * ; igmp-snooping * (W)
system-view ; interface * ; igmp-snooping * (W)
display igmp-snooping * (R)
reset igmp-snooping * (W)
debugging igmp-snooping * (W)
display debugging igmp-snooping * (R)
Feature: mld-snooping (MLD-Snooping related commands)
system-view ; mld-snooping (W)
system-view ; vlan * ; mld-snooping * (W)
system-view ; interface * ; mld-snooping * (W)
display mld-snooping * (R)
reset mld-snooping * (W)
debugging mld-snooping * (W)
display debugging mld-snooping * (R)
Feature group: L3
Feature: route (Route management related commands)
display ip routing-table * (R)
display ipv6 routing-table * (R)
display router id * (R)
reset ip routing-table statistics * (W)
reset ipv6 routing-table statistics * (W)
debugging rm * (W)
system-view ; ip route-static * (W)
system-view ; ipv6 route-static * (W)
system-view ; router id * (W)
system-view ; delete static-routes * (W)
system-view ; delete ipv6 static-routes * (W)
Feature: ospf (Open Shortest Path First protocol related commands)
display ospf * (R)
display ospfv3 * (R)
reset ospf * (W)
debugging ospf * (W)
debugging ospfv3 * (W)
system-view ; ospf * (W)
system-view ; interface * ; ospf * (W)
system-view ; ospfv3 * (W)
system-view ; interface * ; ospfv3 * (W)
Feature: rip (Routing Information Protocol related commands)
display rip * (R)
display ripng * (R)
debugging rip * (W)
debugging ripng * (W)
system-view ; rip * (W)
system-view ; interface * ; rip * (W)
system-view ; ripng * (W)
system-view ; interface * ; ripng * (W)
Feature: isis (ISIS protocol related commands)
display isis * (R)
reset isis * (W)
debugging isis * (W)
display debugging isis * (R)
system-view ; isis * (W)
system-view ; interface * ; isis * (W)
Feature: bgp (Border Gateway Protocol related commands)
display bgp * (R)
reset bgp * (W)
refresh bgp * (W)
debugging bgp * (W)
system-view ; bgp * (W)
Feature: l3vpn (Layer 3 Virtual Private Network related commands)
display ip vpn-instance * (R)
system-view ; ip vpn-instance * (W)
system-view ; interface * ; ip binding vpn-instance * (W)
# 显示特性组L3的特性名称列表。
<Sysname> display role feature-group name L3
Feature group: L3
Feature: route (Route management related commands)
Feature: ospf (Open Shortest Path First protocol related commands)
Feature: rip (Routing Information Protocol related commands)
Feature: isis (ISIS protocol related commands)
Feature: bgp (Border Gateway Protocol related commands)
Feature: l3vpn (Layer 3 Virtual Private Network related commands)
表1-3 display role feature-group命令显示信息描述表
特性组名称,其中L2和L3为系统预定义的两个特性组 |
|
feature命令用来向特性组中添加一个特性。
undo feature命令用来删除特性组中的某个特性。
feature-name:系统支持的特性名称,所有特性名称中的字母均为小写。
# 向特性组security-features中添加特性AAA和ACL。
[Sysname] role feature-group name security-features
[Sysname-featuregrp-security-features] feature aaa
[Sysname-featuregrp-security-features] feature acl
interface policy deny命令用来进入接口策略视图。
undo interface policy deny命令用来恢复缺省情况。
进入接口策略视图后,如果不配置允许操作的接口列表,则用户将没有操作任何接口的权限;如果需要限制或区分用户对接口资源的使用权限,则还应该通过permit interface命令配置允许用户操作的接口列表。若接口策略视图中未配置允许操作的接口列表,则表示不允许用户操作所有的接口。对接口的操作指的是创建接口并进入接口视图、删除和应用接口。其中,创建和删除接口,仅针对逻辑接口。
允许修改用户角色的接口策略,但修改后的策略只在被授权该角色的用户重新登录时才会生效。
# 在用户角色role1中,进入接口策略视图,并禁止角色为role1的用户操作任何接口。
[Sysname] role name role1
[Sysname-role-role1] interface policy deny
[Sysname-role-role1-ifpolicy] quit
# 在用户角色role1中,进入接口策略视图,允许角色为role1的用户操作接口GigabitEthernet2/0/1到 GigabitEthernet2/0/5。
[Sysname] role name role1
[Sysname-role-role1] interface policy deny
[Sysname-role-role1-ifpolicy] permit interface gigabitethernet 2/0/1 to gigabitethernet 2/0/5
permit interface命令用来配置允许用户操作的接口列表。
undo permit interface命令用来禁止用户操作指定的或所有的接口。
permit interface interface-list
undo permit interface [ interface-list ]
接口策略视图下未定义允许操作的接口列表,用户没有操作任何接口的权限。
interface interface-list:允许用户操作的接口列表,表示多个接口,表示方式为interface-list = { interface-type interface-number [ to interface-type interface-number ] }&<1-10>。其中,interface-type为接口类型,interface-number为接口编号。&<1-10>表示前面的参数最多可以输入10次。起始接口类型必须和终止接口类型一致,并且终止接口编号必须大于起始接口编号。如果不指定本参数,则表示指定所有接口。
对接口的操作指的是创建并进入接口视图、删除和应用接口。其中,创建和删除接口,只针对逻辑接口。
# 创建用户角色role1并进入其视图。
[Sysname] role name role1
# 配置用户角色规则1,允许用户执行进入接口视图以及接口视图下的相关命令。
[Sysname-role-role1] rule 1 permit command system-view ; interface *
# 配置用户角色规则2,允许用户执行创建VLAN以及进入VLAN视图后的相关命令。
[Sysname-role-role1] rule 2 permit command system-view ; vlan *
# 配置用户角色role1仅可以对接口GigabitEthernet2/0/1以及 GigabitEthernet2/0/5~ GigabitEthernet2/0/7进行操作。
[Sysname-role-role1] interface policy deny
[Sysname-role-role1-ifpolicy] permit interface gigabitethernet 2/0/1 gigabitethernet 2/0/5 to gigabitethernet 2/0/7
当拥有用户角色role1的用户登录设备后,可以操作接口GigabitEthernet2/0/1以及 GigabitEthernet2/0/5~GigabitEthernet2/0/7,但不能操作其它接口。
[Sysname] interface gigabitethernet 2/0/1
[Sysname-GigabitEthernet2/0/1]
· 将接口GigabitEthernet2/0/5加入到VLAN 10。
[Sysname] vlan 10
[Sysname-vlan10] port gigabitethernet 2/0/5
· 无法进入接口GigabitEthernet2/0/2视图。
[Sysname] interface gigabitethernet 2/0/2
Permission denied.
permit security-zone命令用来配置允许用户操作的安全域列表。
undo permit security-zone命令用来禁止用户操作指定的或所有的安全域实例。
permit security-zone security-zone-name&<1-10>
undo permit security-zone [ security-zone-name&<1-10> ]
安全域策略视图下未定义允许操作的安全域列表,用户没有操作任何安全域的权限。
安全域策略视图
security-zone-name&<1-10>:表示允许用户操作的安全域的名称,为1~31个字符的字符串,区分大小写。&<1-10>表示前面的参数最多可以输入10次。如果不指定本参数,则表示指定所有安全域。
对安全域的“操作”指的是创建安全域并进入其视图、删除和应用安全域。
可通过多次执行此本命令向安全域列表中添加允许用户操作的安全域。
# 创建用户角色role1并进入其视图。
[Sysname] role name role1
# 配置用户角色规则1,允许用户执行系统视图下的所有命令以及所有子视图下的命令。
[Sysname-role-role1] rule 1 permit command system-view ; *
# 配置用户角色role1仅可以对安全域trust和abc进行操作。
[Sysname-role-role1] security-zone policy deny
[Sysname-role-role1-zonepolicy] permit security-zone trust abc
拥有用户角色role1的用户登录设备后,可以操作安全域abc,但不能操作其它安全域。
· 创建并进入名称为abc的安全域视图。
[Sysname] security-zone name abc
[Sysname-security-zone-abc]
· 创建源安全域trust到目的安全域abc的域间实例。
[Sysname] interzone source trust destination abc
[Sysname-interzone-Trust-abc]
· 无法创建名称为local的安全域或进入其视图。
[Sysname] security-zone name local
Permission denied.
permit vlan命令用来配置允许用户操作的VLAN列表。
undo permit vlan命令用来禁止用户操作指定的或所有的VLAN。
undo permit vlan [ vlan-id-list ]
VLAN接口视图下未定义允许操作的VLAN列表,用户没有操作任何VLAN的权限。
VLAN策略视图
vlan-id-list:允许用户操作的VLAN列表,表示方式为vlan-id-list = { vlan-id1 [ to vlan-id2 ] }&<1-10>,vlan-id取值范围为1~4094,&<1-10>表示前面的参数最多可以重复输入10次。终止VLAN编号必须大于起始VLAN编号。如果不指定本参数,则表示指定所有VLAN。
对VLAN的操作指的是创建VLAN并进入VLAN视图、删除和应用VLAN。
可通过多次执行此命令向VLAN列表中添加允许用户操作的VLAN。
# 创建用户角色role1并进入其视图。
[Sysname] role name role1
# 配置用户角色规则1,允许用户执行进入接口视图以及接口视图下的相关命令。
[Sysname-role-role1] rule 1 permit command system-view ; interface *
# 配置用户角色规则2,允许用户执行创建VLAN以及进入VLAN视图后的相关命令。
[Sysname-role-role1] rule 2 permit command system-view ; vlan *
# 配置用户角色role1仅可以操作VLAN 2、VLAN 4、VLAN 50~VLAN 100。
[Sysname-role-role1] vlan policy deny
[Sysname-role-role1-vlanpolicy] permit vlan 2 4 50 to 100
当拥有用户角色role1的用户登录设备后,可以操作VLAN 2、VLAN 4、VLAN 50~VLAN 100,但不能操作其它VLAN。
· 创建并进入VLAN 100视图。
[Sysname] vlan 100
[Sysname-vlan100]
· 向VLAN 100中添加Access类型的端口GigabitEthernet2/0/1。
[Sysname] interface gigabitethernet 2/0/1
[Sysname-GigabitEthernet2/0/1] port access vlan 100
· 无法创建VLAN 101或进入其视图。
[Sysname] vlan 101
Permission denied.
permit vpn-instance命令用来配置允许用户操作的VPN列表。
undo permit vpn-instance命令用来禁止用户操作指定的或所有的VPN实例。
permit vpn-instance vpn-instance-name&<1-10>
undo permit vpn-instance [ vpn-instance-name&<1-10> ]
VPN策略视图下未定义允许操作的VPN列表,用户没有操作任何VPN的权限。
VPN策略视图
vpn-instance-name&<1-10>:表示允许用户操作的MPLS L3VPN实例的名称,为1~31个字符的字符串,区分大小写。&<1-10>表示前面的参数最多可以输入10次。如果不指定本参数,则表示指定所有MPLS L3VPN实例。
对VPN实例的“操作”指的是创建MPLS L3VPN实例并进入其视图、删除和应用VPN实例。
可通过多次执行此命令向接口列表中添加允许用户操作的VPN实例。
# 创建用户角色role1并进入其视图。
[Sysname] role name role1
# 配置用户角色规则1,允许用户执行系统视图下的所有命令以及所有子视图下的命令。
[Sysname-role-role1] rule 1 permit command system-view ; *
# 配置用户角色role1仅可以对VPN实例vpn1进行操作。
[Sysname-role-role1] vpn policy deny
[Sysname-role-role1-vpnpolicy] permit vpn-instance vpn1
拥有用户角色role1的用户登录设备后,可以操作VPN实例vpn1,但不能操作其它VPN实例。
· 进入名称为vpn1的VPN实例视图。
[Sysname] ip vpn-instance vpn1
[Sysname-vpn-instance-vpn1]
· 设置RADIUS方案radius1的主计费服务器的IP地址为10.110.1.2,且属于VPN实例vpn1。
[Sysname] radius scheme radius1
[Sysname-radius-radius1] primary accounting 10.110.1.2 vpn-instance vpn1
· 无法创建名称为vpn2的VPN实例或进入其视图。
[Sysname] ip vpn-instance vpn2
Permission denied.
role命令用来创建用户角色,并进入用户角色视图。
undo role命令用来删除指定的用户角色。
系统预定义的用户角色为network-admin、network-operator、level-n(n为0~15的整数)、security-audit。
name role-name:用户角色名称,role-name为1~63个字符的字符串,区分大小写。
除系统预定义的缺省用户角色之外,系统中最多允许创建64个用户角色。
缺省的用户角色不能被删除,而且其中的network-admin、network-operator、level-15、security-audit这些用户角色内定义的所有权限均不能被修改;用户角色level-0~level-14可以通过自定义规则和资源控制策略调整自身的权限,但这种修改对于display history-command all命令不生效,即不能通过添加对应的规则来更改它的缺省执行权限。
# 创建用户角色role1,并进入用户角色视图。
[Sysname] role name role1
[Sysname-role-role1]
role default-role enable命令用来使能缺省用户角色授权功能。
undo role default-role enable命令用来恢复缺省情况。
role default-role enable [ role-name ]
缺省用户角色授权功能处于关闭状态,没有被AAA授权用户角色的用户不能登录设备。
【参数】
role-name:缺省用户角色名称,为1~63个字符的字符串,区分大小写,可以是系统中已存在的任意用户角色。
对于通过AAA认证登录设备的用户,由AAA服务器(远程认证)或设备(本地认证)为其授权对应的用户角色。如果用户没有被授权任何用户角色,将无法成功登录设备。使能该功能后,用户将在没有被授权任何用户角色的情况下,具有一个缺省的用户角色。如果不指定role-name参数,当用户登录设备,缺省用户角色为network-operator。
若用户通过AAA认证且被授予了具体的用户角色,则用户不具有以上缺省的用户角色。
# 使能缺省用户角色授权功能。
[Sysname] role default-role enable
role feature-group命令用来创建特性组并进入特性组视图。
undo role feature-group命令用来删除指定的特性组。
role feature-group name feature-group-name
undo role feature-group name feature-group-name
存在两个特性组,名称分别为L2和L3。
name feature-group-name:特性组名称,feature-group-name为1~31个字符的字符串,区分大小写。
除系统预定义的特性组L2和L3之外,系统中最多允许创建64个特性组。
不能修改和删除系统预定义的特性组L2和L3。L2中包含了所有的二层协议相关功能的命令,L3中包含了所有三层协议相关功能的命令。
# 创建特性组security-features。
[Sysname] role feature-group name security-features
[Sysname-featuregrp-security-features]
rule命令用来为用户角色创建一条规则。
undo rule命令用来为用户角色删除一条规则。
rule number { deny | permit } { command command-string | { execute | read | write } * { feature [ feature-name ] | feature-group feature-group-name | oid [ oid-string ] | web-menu [ web-string ] | xml-element [ xml-string ] } }
number:权限规则编号,取值范围为1~256。
deny:禁止执行指定的命令。
permit:允许执行指定的命令。
command command-string:配置基于命令的规则。command-string表示命令特征字符串,为1~128个字符的字符串,区分大小写,可以是特定的一条命令行,也可以是用星号(*)通配符表示的一批命令,可包含空格、Tab(它们用于分隔关键字、参数以及输入的字符),以及所有可打印字符。
execute:表示执行类型的命令,即用于执行特定的程序或功能的一类命令,如ping命令。
read:表示读类型的命令,即显示系统配置和维护信息的一类命令,如display、dir、more和pwd命令。
write:表示写类型的命令,即用于对系统进行配置的一类命令,如ssh server enable命令。
feature [ feature-name ]:配置基于特性的规则。feature-name表示系统预定义的特性名称,区分大小写。若不指定特性名称,则表示所有特性。
feature-group feature-group-name:配置基于特性组的规则。feature-group-name表示特性组名称,为1~31个字符的字符串,区分大小写。
oid [oid-string ]:配置基于MIB节点OID(Object Identifier,对象标识符)的规则。oid-string表示允许操作的OID,为1~255个字符的字符串,不区分大小写。例如:1.3.6.1.4.1.25506.8.35.14.19.1.1。
web-menu [ web-string ]:配置基于Web菜单的规则。web-string表示允许操作的Web菜单选项的ID路径,为1~255个字符的字符串,不区分大小写,以“/”为分隔符来分隔不同级别的菜单;若不指定web-string参数,则表示对所有菜单选项生效。
xml-element [ xml-string ]:配置基于XML元素的规则。xml-string表示允许操作的XML元素的XPath,为1~255个字符的字符串,不区分大小写,以“/”为分隔符来分隔不同级别的菜单,例如:Interfaces/Index/Name;若不指定xml-string参数,则表示对所有XML元素生效。
all:指定所有权限规则。
· 禁止或允许执行某个特性组中所有特性的某一类或某几类命令。
· 禁止或允许执行指定所有或指定的MIB节点OID。
· 禁止或允许执行Web页面中所有菜单选项或某几类菜单选项。
· 禁止或允许执行所有XML元素或某几类XML元素。
· 执行本命令时,如果指定编号的规则不存在,则表示创建一条新的规则;如果指定编号的规则已存在,则表示对已有的规则进行修改。修改后的规则对于当前已经在线的用户不生效,对于之后使用该角色登录设备的用户生效。
· 一个用户角色中允许创建多条规则,各规则以创建时指定的编号为唯一标识,被授权该角色的用户可以执行的命令为这些规则定义的可执行命令的并集。若这些规则定义的权限内容有冲突,则规则编号大的有效。例如,规则1允许执行命令A,规则2允许执行命令B,规则3禁止执行命令A,则最终规则2和规则3生效,即禁止执行命令A,允许执行命令B。
· 在同时存在系统预定义规则(以sys-x为权限规则编号,x为整数值)和自定义规则的用户角色中,若预定义规则定义的权限内容与自定义规则定义的权限内容有冲突,则以自定义规则为准。
· 每个用户角色中最多可以配置256条规则,系统中可以配置的用户角色规则总数不能超过1024。
· 访问文件系统的命令,受基于文件系统特性规则以及具体命令规则的双重控制。
· 对于需要将输出信息重定向到文件中保存的命令,只有在用户角色被授权了文件系统写权限后才允许执行。
(1) 段(segment)的划分
· 若要描述多级视图下的命令,则需要使用分号(;)将命令特征字符串分成多个段,每一个段代表一个或一系列命令,后一个段中的命令是执行前一个段中命令所进入视图下的命令。一个段中可以包含多个星号(*),每个星号(*)代表了0个或多个任意字符。例如:命令特征字符串“system ; interface * ; ip * ;” 代表从系统视图进入到任意接口视图后,以ip开头的所有命令。
· 除最后一个段外,其余段中的命令应为描述如何进入子视图的命令特征字符串。
· 一个段中必须至少出现一个可打印字符,不能全部为空格或Tab。
· 在输入命令特征字符串时必须指定该命令所在的视图,进入各视图的命令特征字符串由分号分隔。但是,对于能在任意视图下执行的命令(例如display命令)以及用户视图下的命令(例如dir命令),在配置包含此类命令的规则时,不需要在规则的命令匹配字符串中指定其所在的视图。
· 当最后一个段中的最后一个可见字符为分号时,表示所指的命令范围不再扩展,否则将向子视图中的命令扩展。例如:命令特征字符串“system ; radius scheme * ;”代表系统视图下以radius scheme开头的所有命令;命令特征字符串“system ; radius scheme * ”代表系统视图下以radius scheme开头的所有命令,以及进入子视图(RADIUS方案视图)下的所有命令。
· 当星号(*)出现在一个段的首部时,其后面不能再出现其它可打印字符,且该段必须是命令特征字符串的最后一个段。例如:命令特征字符串“system ; *”就代表了系统视图下的所有命令,以及所有子视图下的命令。
· 当星号(*)出现在一个段的中间时,该段必须是命令特征字符串的最后一个段。例如:命令特征字符串“debugging * event”就代表了用户视图下所有模块的事件调试信息开关命令。
· 命令关键字与命令特征字符串是采用前缀匹配算法进行匹配的,即只要命令行中关键字的首部若干连续字符或全部字符与规则中定义的关键字相匹配,就认为该命令行与此规则匹配。因此,命令特征字符串中可以包括完整的或部分的命令关键字。例如,若规则“rule 1 deny command dis mpls lsp protocol static asbr”生效,则命令display mpls lsp protocol static asbr和命令display mpls lsp protocol static-cr asbr都会被禁止执行。
· 基于命令的规则只对指定视图下的命令生效。若用户输入的命令在当前视图下不存在而在其父视图下被查找到时,用于控制当前视图下的命令的规则不会对其父视图下的命令执行权限进行控制。例如,定义一条规则“rule 1 deny command system ; interface * ; *”禁止用户执行接口视图下的任何命令。当用户在接口视图下输入命令acl number 3000时,该命令仍然可以成功执行,因为系统在接口视图下搜索不到指定的acl命令时,会回溯到系统视图(父视图)下执行,此时该规则对此命令不生效。
· display命令中的重定向符(“|”、“>”、“>>”)及其后面的关键字不被作为命令行关键字参与规则的匹配。例如,若规则“rule 1 permit command display debugging”生效,则命令display debugging > log是被允许执行的,其中的关键字> log将被忽略,RBAC只对重定向符前面的命令行display debugging进行匹配。但是,如果在规则中配置了重定向符,则RBAC会将其作为普通字符处理。例如,若规则“rule 1 permit command display debugging > log”生效,则命令display debugging > log将会匹配失败,因为其中的关键字> log被RBAC忽略了,最终是命令display debugging与规则进行匹配。因此,配置规则时不要使用重定向符。
进行基于OID的规则的匹配时,遵循以下规则:
· 与用户访问的OID形成最长匹配的规则生效。例如用户访问的OID为1.3.6.1.4.1.25506.141.3.0.1,角色中存在“rule 1 permit read write oid 1.3.6”,“rule 2 deny read write oid 1.3.6.1.4.1”和“rule 3 permit read write oid 1.3.6.1.4”,其中rule 2与用户访问的OID形成最长匹配,则认为rule 2与OID匹配,匹配的结果为用户的此访问请求被拒绝。
· 对于定义的OID长度相同的规则,规则编号大的生效。例如用户访问的OID为1.3.6.1.4.1.25506.141.3.0.1,角色中存在“rule 1 permit read write oid 1.3.6”,“rule 2 deny read write oid 1.3.6.1.4.1”和“rule 3 permit read write oid 1.3.6.1.4.1”,其中rule 2和rule 3与访问的OID形成最长匹配,则rule 3生效,匹配的结果为用户的访问请求被允许。
# 为用户角色role1创建一条规则,允许用户执行命令display acl。
[Sysname] role name role1
[Sysname-role-role1] rule 1 permit command display acl
# 为用户角色role1添加一条权限规则,允许用户执行所有以display开头的命令。
[Sysname-role-role1] rule 2 permit command display *
# 为用户角色role1添加一条权限规则,允许用户执行系统视图下的radius scheme aaa命令,以及使用该命令进入子视图后的所有命令。
[Sysname-role-role1] rule 3 permit command system ; radius scheme aaa
# 为用户角色role1添加一条权限规则,禁止用户执行所有特性中读类型和写类型的命令。
[Sysname-role-role1] rule 4 deny read write feature
# 为用户角色role1添加一条权限规则,禁止用户执行特性aaa中所有读类型的命令。
[Sysname-role-role1] rule 5 deny read feature aaa
# 为用户角色role1添加一条权限规则,允许执行特性组security-features中所有特性的读类型、写类型以及执行类型的命令。
[Sysname-role-role1] rule 6 permit read write execute feature-group security-features
# 为用户角色role1添加一条基于OID的规则,允许对OID为1.1.2的MIB节点进行读、写操作。
[Sysname-role-role1] rule 7 permit read write oid 1.1.2
super命令用来使用户从当前角色切换到指定的用户角色。
rolename:待切换的用户角色名称,为1~63个字符的字符串,区分大小写,可以是系统中已存在的任意用户角色。若不指定本参数,则表示要从当前用户角色切换到用户角色network-admin。若不指定本参数,则切换到当前缺省的目的用户角色。缺省的目的用户角色由super default role命令指定。
· 若级别切换认证方式为local,在设备上未配置切换密码的情况下,对于Console/AUX用户,设备不关心用户是否输入切换密码以及输入切换密码的内容,可允许用户成功切换用户角色。
· 若级别切换认证方式为local scheme,在设备上未配置切换密码的情况下,对于Console、TTY或VTY用户,则转为远程AAA认证;对于AUX用户,设备不关心用户是否输入切换密码以及输入切换密码的内容,可允许用户成功切换用户角色。
# 将用户角色切换到network-operator。(假设用户当前的角色为network-admin,切换认证方式为local,切换密码已经设置)
<Sysname> super network-operator
Password:
User privilege role is network-operator, and only those commands can be used that authorized to the role.
· authentication super(安全命令参考/AAA)
super authentication-mode命令用来设置切换用户角色时使用的认证方式。
undo super authentication-mode命令用来恢复缺省情况。
super authentication-mode { local | scheme } *
undo super authentication-mode
采用local认证方式。
local:使用本地配置的用户角色切换密码进行认证。
scheme:使用AAA配置进行认证。该方式下,设备将用户角色切换时使用的用户名和密码发送给HWTACACS/RADIUS服务器进行远程验证。
用户可以选择使用local或者scheme方式认证,也可以同时选择local和scheme方式,多选时根据配置顺序依次认证,例如scheme local方式,会先进行scheme方式认证,如果认证服务器没有响应,则转为采用local方式认证。scheme认证方式需要与AAA 的认证方案相配合,具体请参考“安全配置指导”中的“AAA”。
# 配置切换用户角色时采用local认证方式。
[Sysname] super authentication-mode local
# 配置切换用户角色时采用先scheme后local的认证方式。
[Sysname] super authentication-mode scheme local
· authentication super(安全命令参考/AAA)
super default role命令用来配置用户角色切换的缺省目的角色。
undo super default role命令用来恢复缺省情况。
rolename:待切换的用户角色名称,为1~63个字符的字符串,区分大小写,可以是系统中已存在的任意用户角色。
当执行super命令切换用户角色时,或配置用户角色切换的密码时,如不指定目的切换的角色名称,则表示使用super default role命令配置的缺省用户角色。
# 配置用户切换角色的缺省目的角色为network-operator。
[Sysname] super default role network-operator
super password命令用来设置用户角色切换的密码。
undo super password命令用来恢复缺省情况。
非FIPS模式下:
super password [ role rolename ] [ { hash | simple } password ]
undo super password [ role rolename ]
FIPS模式下:
super password [ role rolename ]
undo super password [ role rolename ]
role rolename:待切换的用户角色的名称,为1~63个字符的字符串,区分大小写,可以为系统预定义或用户自定义的用户角色。如果不指定角色名称,则表示设置的是切换到用户角色network-admin的密码。如果不指定角色名称,则表示设置的是切换到当前缺省目的用户角色的密码。缺省的目的用户角色由super default role命令指定。
hash:表示以哈希方式设置用户密码。
simple:表示以明文方式设置用户密码。
password:设置的明文密码或哈希密码,区分大小写。非FIPS模式下,明文密码为1~63个字符的字符串;哈希密码为1~110个字符的字符串;FIPS模式下,密码为15~63个字符的字符串,密码元素的最少组合类型为4(必须包括数字、大写字母、小写字母以及特殊字符)。
如果不指定任何参数,则表示以交互式方式设置本地用户密码,涵义与指定simple关键字相同。FIPS模式下,只支持交互式方式设置用户角色切换密码。
以明文方式设置的密码,以哈希计算后的密文形式保存在配置文件中,以哈希方式设置的密码将以设置的原始形式保存在配置文件中。
当用户切换认证方式为local或包含local(local scheme、scheme local)时,才需要本命令指定的用户角色切换密码。
为保证权限控制更加安全,推荐给不同的用户角色指定不同的切换密码。
# 配置将用户角色切换到network-operator时使用的密码为明文密码123456TESTplat&!。
[Sysname] super password role network-operator simple 123456TESTplat&!
# 以交互式方式设置将用户角色切换到network-operator时使用的密码为明文密码123456TESTplat&!。
[Sysname] super password role network-operator
Password:
Confirm :
Updating user information. Please wait... ...
security-zone policy deny命令用来进入安全域策略视图。
undo security-zone policy deny命令用来恢复缺省情况。
undo security-zone policy deny
进入安全域策略视图后,如果不配置允许操作的安全域列表,则用户将没有操作任何安全域的权限;如果需要限制或区分用户对安全域资源的使用权限,则还应该通过permit security-zone命令配置允许用户操作的安全域列表。若安全域策略视图中未配置允许操作的安全域列表,则表示不允许用户操作所有的安全域。对安全域的“操作”指的是创建并进入安全域视图、删除和应用安全域。
允许修改用户角色的安全域策略,但修改后的策略只对被授权该角色的用户重新登录时才会生效。
# 在用户角色role1中,进入安全域策略视图,禁止角色为role1的用户操作任意安全域。
[Sysname] role name role1
[Sysname-role-role1] security-zone policy deny
[Sysname-role-role1-zonepolicy] quit
# 在用户角色role1中,进入安全域策略视图,允许角色为role1的用户操作安全域trust和abc。
[Sysname] role name role1
[Sysname-role-role1] security-zone policy deny
[Sysname-role-role1-zonepolicy] permit security-zone trust abc
vlan policy deny命令用来进入VLAN策略视图。
undo vlan policy deny命令用来恢复缺省情况。
用户具有操作任何VLAN的权限。
进入VLAN策略视图后,如果不配置允许操作的VLAN列表,则用户将没有操作任何VLAN的权限;如果需要限制或区分用户对VLAN资源的使用权限,则还应该通过permit vlan命令配置允许用户操作的VLAN列表。若VLAN策略视图中未配置允许操作的VLAN列表,则表示不允许用户操作所有的VLAN。对VLAN的“操作”指的是创建并进入VLAN视图、删除和应用VLAN。
允许修改用户角色的VLAN策略,但修改后的策略只对被授权该角色的用户重新登录时才会生效。
# 在用户角色role1中,进入VLAN策略视图,禁止角色为role1的用户操作任意VLAN。
[Sysname] role name role1
[Sysname-role-role1] vlan policy deny
[Sysname-role-role1-vlanpolicy] quit
# 在用户角色role1中,进入VLAN策略视图,允许角色为role1的用户操作VLAN 50~VLAN 100。
[Sysname] role name role1
[Sysname-role-role1] vlan policy deny
[Sysname-role-role1-vlanpolicy] permit vlan 50 to 100
vpn-instance policy deny命令用来进入VPN策略视图。
undo vpn-instance policy deny命令用来恢复缺省情况。
用户具有操作任何VPN实例的权限。
进入VPN策略视图后,如果不配置允许操作的VPN列表,则用户将没有操作任何VPN实例的权限;如果需要限制或区分用户对VPN资源的使用权限,则还应该通过permit vpn-instance命令配置允许用户操作的VPN列表。若VPN策略视图中未配置允许操作的VPN列表,则表示不允许用户操作所有的VPN实例。对VPN实例的“操作”指的是创建并进入MPLS L3VPN视图、删除和应用VPN实例。
允许修改用户角色的VPN策略,但修改后的策略只对被授权该角色的用户重新登录时才会生效。
# 在用户角色role1中,创建并进入一个VPN策略视图,并禁止角色为role1的用户操作任意VPN实例。
[Sysname] role name role1
[Sysname-role-role1] vpn-instance policy deny
[Sysname-role-role1-vpnpolicy] quit
# 在用户角色role1中,创建并进入一个VPN策略视图,允许角色为role1的用户操作VPN实例vpn2。
[Sysname] role name role1
[Sysname-role-role1] vpn-instance policy deny
[Sysname-role-role1-vpnpolicy] permit vpn-instance vpn2
不同款型规格的资料略有差异, 详细信息请向具体销售和400咨询。H3C保留在没有任何通知或提示的情况下对资料内容进行修改的权利!