02-RBAC典型配置举例
本章节下载: 02-RBAC典型配置举例 (378.94 KB)
Copyright © 2018 新华三技术有限公司 版权所有,保留一切权利。 非经本公司书面许可,任何单位和个人不得擅自摘抄、复制本文档内容的部分或全部, 并不得以任何形式传播。本文档中的信息可能变动,恕不另行通知。 |
目 录
本文介绍了如何通过RBAC(Role Based Access Control,基于角色的访问控制)来对登录用户的权限进行控制的典型配置举例。
本文档不严格与具体软、硬件版本对应,如果使用过程中与产品实际情况有差异,请参考相关产品手册,或以设备实际情况为准。
本文档中的配置均是在实验室环境下进行的配置和验证,配置前设备的所有参数均采用出厂时的缺省配置。如果您已经对设备进行了配置,为了保证配置效果,请确认现有配置和以下举例中的配置不冲突。
本文档假设您已了解RBAC的特性。
如图1所示,Telnet用户主机与设备相连,设备与一台RADIUS服务器相连,需要实现RADIUS服务器对登录设备的Telnet用户进行认证、授权和计费,使得Telnet用户具有如下用户权限:
· 允许用户执行ISP视图下的所有命令;
· 允许用户执行ARP和RADIUS特性中读和写类型的命令;
· 允许用户执行创建VLAN以及进入VLAN视图后的相关命令,并只具有操作VLAN 10~VLAN 20的权限;
· 允许用户执行进入接口视图以及接口视图下的相关命令,并具有操作接口GigabitEthernet1/0/1~GigabitEthernet1/0/3的权限。
图1 Telnet用户RADIUS认证/授权/计费配置组网图
· 为了使Telnet用户可以执行ARP和RADIUS特性的读写类型命令,可创建特性组feature-group1,配置包含ARP和RADIUS特性。
· 为了授权Telnet用户可以执行所要求权限的命令,需要配置对应的用户角色规则和资源控制策略。
· 为了使Telnet用户能够具备以上权限,需要在RADIUS服务器上对Telnet用户授权用户角色role1。
本举例是在S5130EI_E-CMW710-R3106版本上进行配置和验证的。
· 一个ISP域被配置为缺省的ISP域后将不能够被删除,必须首先使用命令undo domain default enable将其修改为非缺省ISP域,然后才可以被删除。
· 由于RADIUS服务器的授权信息是随认证应答报文发给RADIUS客户端的,所以必须保证认证和授权方法相同。
· 一个用户角色中允许创建多条规则,各规则以创建时指定的编号为唯一标识,被授权该角色的用户可以执行的命令为这些规则定义的可执行命令的并集。若这些规则定义的权限内容有冲突,则规则编号大的有效。例如,规则1允许执行命令A,规则2允许执行命令B,规则3禁止执行命令A,则最终规则2和规则3生效,即禁止执行命令A,允许执行命令B。
(1) 创建VLAN 2并将Switch连接Telnet user的端口划分到VLAN 2中。
<Sysname> system-view
[Sysname] vlan 2
[Sysname-vlan2] quit
[Sysname] interface GigabitEthernet1/0/24
[Sysname-GigabitEthernet1/0/24] port access vlan 2
[Sysname-GigabitEthernet1/0/24] quit
(2) 创建VLAN接口2并配置IP地址。
[Sysname] interface Vlan-interface 2
[Sysname-Vlan-interface2] ip add 192.168.1.50 24
(3) 创建VLAN 3并将Switch连接RADIUS server的端口划分到VLAN 3中。
<Sysname> system-view
[Sysname] vlan 3
[Sysname-vlan3] quit
[Sysname] interface GigabitEthernet1/0/23
[Sysname-GigabitEthernet1/0/23] port access vlan 3
[Sysname-GigabitEthernet1/0/23] quit
(4) 创建VLAN接口3并配置IP地址。
[Sysname] interface Vlan-interface 3
[Sysname-Vlan-interface3] ip add 10.1.1.2 24
(5) 配置Telnet用户登录Switch的认证方式
[Sysname] telnet server enable
# 配置Telnet用户登录采用AAA认证方式。
[Sysname] line vty 0 63
[Sysname-line-vty0-63] authentication-mode scheme
[Sysname-line-vty0-63] quit
(6) 配置RADIUS方案和认证服务器
# 创建RADIUS方案rad。
[Sysname] radius scheme rad
# 配置主认证/授权服务器的IP地址为10.1.1.1,主计费服务器的IP地址为10.1.1.1。
[Sysname-radius-rad] primary authentication 10.1.1.1
[Sysname-radius-rad] primary accounting 10.1.1.1
# 配置与认证/授权服务器、主计费服务器交互报文时的共享密钥为明文aabbcc。
[Sysname-radius-rad] key authentication simple aabbcc
[Sysname-radius-rad] key accounting simple aabbcc
[Sysname-radius-rad] quit
(7) 配置ISP域bbb的AAA方法
# 创建ISP域bbb,为login用户配置的AAA认证方法为RADIUS认证、RADIUS授权、RADIUS计费。
[Sysname] domain bbb
[Sysname-isp-bbb] authentication login radius-scheme rad
[Sysname-isp-bbb] authorization login radius-scheme rad
[Sysname-isp-bbb] accounting login radius-scheme rad
[Sysname-isp-bbb] quit
(8) 配置特性组
# 创建特性组fgroup1。
[Sysname] role feature-group name fgroup1
# 配置特性组fgroup1中包含特性ARP和RADIUS。
[Sysname-featuregrp-fgroup1] feature arp
[Sysname-featuregrp-fgroup1] feature radius
[Sysname-featuregrp-fgroup1] quit
(9) 在设备上创建用户角色role1,并配置用户角色规则和资源控制策略
# 创建用户角色role1。
[Sysname] role name role1
# 配置用户角色规则1,允许用户执行ISP视图下的所有命令。
[Sysname-role-role1] rule 1 permit command system-view ; domain *
# 配置用户角色规则2,允许用户执行特性组fgroup1中所有特性的读和写类型的命令。
[Sysname-role-role1] rule 2 permit read write feature-group fgroup1
# 配置用户角色规则3,允许用户执行创建VLAN的命令。
[Sysname-role-role1] rule 3 permit command system-view ; vlan *
# 配置用户角色规则4,允许用户执行进入接口视图以及接口视图下的相关命令。
[Sysname-role-role1] rule 4 permit command system-view ; interface *
# 进入VLAN策略视图,允许用户具有操作VLAN 10~VLAN 20的权限。
[Sysname-role-role1] vlan policy deny
[Sysname-role-role1-vlanpolicy] permit vlan 10 to 20
[Sysname-role-role1-vlanpolicy] quit
# 进入接口策略视图,允许用户具有操作接口GigabitEthernet1/0/1~GigabitEthernet1/0/3的权限。
[Sysname-role-role1] interface policy deny
[Sysname-role-role1-ifpolicy] permit interface GigabitEthernet 1/0/1 to GigabitEthernet 1/0/3
[Sysname-role-role1-ifpolicy] quit
[Sysname-role-role1] quit
下面以iMC为例(使用iMC版本为:iMC PLAT 7.0(E0202)、iMC UAM 7.0(E0202)),说明RADIUS服务器的基本配置。
# 增加接入设备。
登录进入iMC管理平台,选择“用户”页签,单击导航树中的[接入策略管理/接入设备管理/接入设备配置]菜单项,进入接入设备配置页面,在该页面中单击<增加>按钮,进入增加接入设备页面。
· 设置认证及计费的端口号分别为“1812”和“1813”;
· 设置与AC交互报文时使用的认证、计费共享密钥和确认共享密钥为“aabbcc”;
· 选择业务类型为“设备管理业务”;
· 选择接入设备类型为“H3C”;
· 选择或手工增加接入设备,添加IP地址为10.1.1.2的接入设备;
· 其它参数采用缺省值,并单击<确定>按钮完成操作。
图2 增加接入设备
# 增加设备管理用户。
选择“用户”页签,单击导航树中的[接入用户管理/设备管理用户]菜单项,进入设备管理用户列表页面,在该页面中单击<增加>按钮,进入增加设备管理用户页面。
· 创建用户名,这里输入“telnetuser@bbb”,并配置密码和确认密码;
· 选择服务类型为“Telnet”;
· 添加用户角色名“role1”;
· 添加所管理设备的IP地址,IP地址范围为“10.1.1.0~10.1.1.10”;
· 单击<确定>按钮完成操作。
图3 增加设备管理用户
(1) 查看用户角色和特性组信息
通过display role命令查看用户角色role1的信息。
# 显示用户角色role1的信息。
<Sysname> display role name role1
Role: role1
Description:
VLAN policy: deny
Permitted VLANs: 10 to 20
Interface policy: deny
Permitted interfaces: GigabitEthernet1/0/1 to GigabitEthernet1/0/3
VPN instance policy: permit (default)
-------------------------------------------------------------------
Rule Perm Type Scope Entity
-------------------------------------------------------------------
1 permit command system-view ; domain *
2 permit RW- feature-group fgroup1
3 permit command system-view ; vlan *
4 permit command system-view ; interface *
R:Read W:Write X:Execute
(2) 用户登录设备
用户向设备发起Telnet连接,在Telnet客户端按照提示输入用户名telnetuser@bbb及正确的密码后,成功登录设备。
C:\Documents and Settings\user> telnet 192.168.1.50
******************************************************************************
* Copyright (c) 2004-2017 New H3C Technologies Co., Ltd. All rights reserved. *
* Without the owner's prior written consent, *
* no decompiling or reverse-engineering shall be allowed. *
******************************************************************************
login: telnetuser@bbb
Password:
<Sysname>
(3) 验证用户权限
Telnet用户成功登录设备后,可通过如下步骤验证用户的权限:
· 可执行ISP视图下所有的命令。
<Sysname> system-view
[Sysname] domain abc
[Sysname-isp-abc] authentication login radius-scheme abc
[Sysname-isp-abc] quit
· 可执行RADIUS特性中读和写类型的命令。(ARP特性同,此处不再举例)
[Sysname] radius scheme rad
[Sysname-radius-rad] primary authentication 2.2.2.2
[Sysname-radius-rad] display radius scheme rad
· 可操作VLAN 10~VLAN 20。(以创建VLAN 10、VLAN 30为例)
[Sysname] vlan 10
[Sysname-vlan10] quit
[Sysname] vlan 30
Permission denied.
· 可操作接口GigabitEthernet1/0/1~GigabitEthernet1/0/3。
[Sysname] interface GigabitEthernet 1/0/1
[Sysname-GigabitEthernet1/0/1] speed auto
[Sysname-GigabitEthernet1/0/1] quit
· 不能操作其它接口。(以进入GigabitEthernet1/0/6接口视图为例)
[Sysname] interface GigabitEthernet 1/0/6
Permission denied.
通过显示信息可以确认配置生效。
#
telnet server enable
#
vlan 2 to 3
#
interface Vlan-interface2
ip address 192.168.1.50 255.255.255.0
#
interface Vlan-interface3
ip address 10.1.1.2 255.255.255.0
#
interface GigabitEthernet1/0/23
port access vlan 3
#
interface GigabitEthernet1/0/24
port access vlan 2
#
line vty 0 63
authentication-mode scheme
user-role network-operator
#
radius scheme rad
primary authentication 10.1.1.1
primary accounting 10.1.1.1
key authentication cipher $c$3$JzDegvL0G5KZIcJhzscTHLA4WasBVh0UOw==
key accounting cipher $c$3$CdejNYYxvjW0Y+Zydi4rZgBwjYb4h6LKmg==
#
domain bbb
authentication login radius-scheme rad
authorization login radius-scheme rad
accounting login radius-scheme rad
#
role feature-group name fgroup1
feature arp
feature radius
#
role name role1
rule 1 permit command system-view ; domain *
rule 2 permit read write feature-group fgroup1
rule 3 permit command system-view ; vlan *
rule 4 permit command system-view ; interface *
vlan policy deny
permit vlan 10 to 20
interface policy deny
permit interface GigabitEthernet1/0/1 to GigabitEthernet1/0/3
#
如图4所示,为了加强用户登录的安全性,采用本地AAA认证对登录设备的Telnet用户进行认证。Telnet用户telnetuser1和telnetuser2通过ISP域bbb接入网络,成功登录设备后,均被赋予用户角色role1,具有如下权限:
· 允许执行所有以display开头的命令。
· 允许执行创建VLAN的命令。
· 只允许对VLAN 10~VLAN 15进行操作。
· 只允许对特定接口GigabitEthernet1/0/1进行操作。
现要求为Telnet用户telnetuser1增加对设备的操作权限,具体需求如下:
· 允许对VLAN 16~VLAN 20进行操作。
· 允许对特定接口GigabitEthernet1/0/2~GigabitEthernet1/0/3进行操作。
· 为了使Telnet用户telnetuser1增加上述权限,并且不改变Telnet用户telnetuser2的权限,可以通过创建用户角色role2,并对Telnet用户telnetuser1授予用户角色role2。
· 为了增加Telnet用户telnetuser1可执行所要求权限的命令,需要配置用户角色规则和资源控制策略。
本举例是在S5130EI_E-CMW710-R3106版本上进行配置和验证的。
· 一个用户角色中允许创建多条规则,各规则以创建时指定的编号为唯一标识,被授权该角色的用户可以执行的命令为这些规则定义的可执行命令的并集。若这些规则定义的权限内容有冲突,则规则编号大的有效。例如,规则1允许执行命令A,规则2允许执行命令B,规则3禁止执行命令A,则最终规则2和规则3生效,即禁止执行命令A,允许执行命令B。
· 用户可以同时被授权多个用户角色。拥有多个用户角色的用户可获得这些角色中被允许执行的功能以及被允许操作的资源的集合。
· 对当前在线用户授权新的用户角色,待该用户重新上线后才能生效。
(1) 创建VLAN 2并将Switch连接Telnet user的端口划分到VLAN 2中。
<Sysname> system-view
[Sysname] vlan 2
[Sysname-vlan2] quit
[Sysname] interface GigabitEthernet1/0/23
[Sysname-GigabitEthernet1/0/23] port access vlan 2
[Sysname-GigabitEthernet1/0/23] quit
[Sysname] interface GigabitEthernet1/0/24
[Sysname-GigabitEthernet1/0/24] port access vlan 2
[Sysname-GigabitEthernet1/0/24] quit
(2) 创建VLAN接口2并配置IP地址。
[Sysname] interface Vlan-interface 2
[Sysname-Vlan-interface2] ip address 192.168.1.50 24
(3) 配置Telnet用户登录设备的认证方式
# 开启设备的Telnet服务器功能。
[Sysname] telnet server enable
# 在编号为0~63的VTY用户线下,配置Telnet用户登录采用AAA认证方式。
[Sysname] line vty 0 63
[Sysname-line-vty0-63] authentication-mode scheme
[Sysname-line-vty0-63] quit
(4) 配置ISP域bbb的AAA方法
# 创建ISP域bbb,为login用户配置的AAA方法为本地认证、本地授权。
[Sysname] domain bbb
[Sysname-isp-bbb] authentication login local
[Sysname-isp-bbb] authorization login local
[Sysname-isp-bbb] quit
(5) 配置设备管理类本地用户telnetuser1和telnetuser2的密码和服务类型
# 创建设备管理类本地用户telnetuser1。
[Sysname] local-user telnetuser1 class manage
# 配置用户的密码是明文的aabbcc。
[Sysname-luser-manage-telnetuser1] password simple aabbcc
# 指定用户的服务类型是Telnet。
[Sysname-luser-manage-telnetuser1] service-type telnet
[Sysname-luser-manage-telnetuser1] quit
# 创建设备管理类本地用户telnetuser2。
[Sysname] local-user telnetuser2 class manage
# 配置用户的密码是明文的aabbcc。
[Sysname-luser-manage-telnetuser2] password simple aabbcc
# 指定用户的服务类型是Telnet。
[Sysname-luser-manage-telnetuser2] service-type telnet
[Sysname-luser-manage-telnetuser2] quit
(6) 创建用户角色role1,并配置用户角色规则
# 创建用户角色role1,进入用户角色视图。
[Sysname] role name role1
# 配置用户角色规则1,允许用户执行所有以display开头的命令。
[Sysname-role-role1] rule 1 permit command display *
# 配置用户角色规则2,允许执行进入VLAN视图命令。
[Sysname-role-role1] rule 2 permit command system-view ; vlan *
# 配置用户角色规则3,允许执行进入接口视图命令以及进入接口视图后的相关命令。
[Sysname-role-role1] rule 3 permit command system-view ; interface *
# 进入用户角色VLAN策略视图,配置允许用户具有操作VLAN 10~VLAN 15的权限。
[Sysname-role-role1] vlan policy deny
[Sysname-role-role1-vlanpolicy] permit vlan 10 to 15
[Sysname-role-role1-vlanpolicy] quit
# 进入用户角色接口策略视图,配置允许用户具有操作接口GigabitEthernet1/0/1的权限。
[Sysname-role-role1] interface policy deny
[Sysname-role-role1-ifpolicy] permit interface GigabitEthernet 1/0/1
[Sysname-role-role1-ifpolicy] quit
[Sysname-role-role1] quit
(7) 为本地用户telnetuser1和telnetuser2配置授权用户角色
# 进入设备管理类本地用户telnetuser1视图。
[Sysname] local-user telnetuser1 class manage
# 指定用户telnetuser1的授权角色role1。
[Sysname-luser-manage-telnetuser1] authorization-attribute user-role role1
# 为保证用户仅使用授权的用户角色role1,删除用户telnetuser1具有的缺省用户角色network-operator。
[Sysname-luser-manage-telnetuser1] undo authorization-attribute user-role network-operator
[Sysname-luser-manage-telnetuser1] quit
# 进入设备管理类本地用户telnetuser2视图。
[Sysname] local-user telnetuser2 class manage
# 指定用户telnetuser2的授权角色role1。
[Sysname-luser-manage-telnetuser2] authorization-attribute user-role role1
# 为保证用户仅使用授权的用户角色role1,删除用户telnetuser2具有的缺省用户角色network-operator。
[Sysname-luser-manage-telnetuser2] undo authorization-attribute user-role network-operator
[Sysname-luser-manage-telnetuser2] quit
(8) 创建用户角色role2,并配置用户角色规则
# 创建用户角色role2,进入用户角色视图。
[Sysname] role name role2
# 配置用户角色规则1,允许执行进入接口视图命令以及进入接口视图后的相关命令。
[Sysname-role-role2] rule 1 permit command system-view ; interface *
(9) 为用户角色role2配置VLAN资源控制策略
# 进入用户角色VLAN策略视图,配置允许用户具有操作VLAN 16~VLAN 20的权限。
[Sysname-role-role2] vlan policy deny
[Sysname-role-role2-vlanpolicy] permit vlan 16 to 20
[Sysname-role-role2-vlanpolicy] quit
# 进入用户角色接口策略视图,配置允许用户具有操作接口GigabitEthernet1/0/2~GigabitEthernet1/0/3的权限。
[Sysname-role-role2] interface policy deny
[Sysname-role-role2-ifpolicy] permit interface GigabitEthernet 1/0/2 to GigabitEthernet 1/0/3
[Sysname-role-role2-ifpolicy] quit
[Sysname-role-role2] quit
(10) 为本地用户telnetuser1配置授权用户角色
# 进入设备管理类本地用户telnetuser1视图。
[Sysname] local-user telnetuser1 class manage
# 指定用户telnetuser1的授权角色role2。
[Sysname-luser-manage-telnetuser1] authorization-attribute user-role role2
[Sysname-luser-manage-telnetuser1] quit
(1) 查看用户角色和特性组信息
通过display role命令查看用户角色role1的信息。
# 显示用户角色role1的信息。
<Sysname> display role name role1
Role: role1
Description:
VLAN policy: deny
Permitted VLANs: 10 to 15
Interface policy: deny
Permitted interfaces: GigabitEthernet1/0/1
VPN instance policy: permit (default)
-------------------------------------------------------------------
Rule Perm Type Scope Entity
-------------------------------------------------------------------
1 permit command display *
2 permit command system-view ; vlan *
3 permit command system-view ; interface *
R:Read W:Write X:Execute
(2) 用户登录设备
用户向设备发起Telnet连接,在Telnet客户端按照提示输入用户名telnetuser1@bbb及正确的密码后,成功登录设备。
C:\Documents and Settings\user> telnet 192.168.1.50
******************************************************************************
* Copyright (c) 2004-2017 New H3C Technologies Co., Ltd. All rights reserved. *
* Without the owner's prior written consent, *
* no decompiling or reverse-engineering shall be allowed. *
******************************************************************************
login: telnetuser1@bbb
Password:
<Sysname>
(3) 验证用户权限
Telnet用户成功登录设备后,可通过如下步骤验证用户的权限:
· 能够创建VLAN 15。
[Sysname] vlan 15
[Sysname-vlan15] quit
· 不能创建VLAN 20。
[Sysname] vlan 20
Permission denied.
· 能够操作GigabitEthernet1/0/1接口。
[Sysname] interface GigabitEthernet 1/0/1
[Sysname-GigabitEthernet1/0/1] speed auto
[Sysname-GigabitEthernet1/0/1] quit
通过显示信息可以确认配置生效。
(1) 查看用户角色和特性组信息
通过display role命令查看用户角色role2的信息。
# 显示用户角色role2的信息。
<Sysname> display role name role2
Role: role2
Description:
VLAN policy: deny
Permitted VLANs: 16 to 20
Interface policy: deny
Permitted interfaces: GigabitEthernet1/0/2~GigabitEthernet1/0/3
VPN instance policy: permit (default)
-------------------------------------------------------------------
Rule Perm Type Scope Entity
-------------------------------------------------------------------
1 permit command system-view ; interface*
R:Read W:Write X:Execute
(2) 用户登录设备
用户向设备发起Telnet连接,在Telnet客户端按照提示输入用户名telnetuser1@bbb及正确的密码后,成功登录设备。
C:\Documents and Settings\user> telnet 192.168.1.50
******************************************************************************
* Copyright (c) 2004-2017 New H3C Technologies Co., Ltd. All rights reserved. *
* Without the owner's prior written consent, *
* no decompiling or reverse-engineering shall be allowed. *
******************************************************************************
login: telnetuser1@bbb
Password:
<Sysname>
(3) 验证用户权限
Telnet用户成功登录设备后,可通过如下步骤验证用户的权限:
· 可创建VLAN 16。
[Sysname] vlan 16
[Sysname-vlan16] quit
· 能够操作GigabitEthernet1/0/2接口。
[Sysname] interface GigabitEthernet 1/0/2
[Sysname-GigabitEthernet1/0/2] speed auto
[Sysname-GigabitEthernet1/0/2] quit
· 不能操作其它接口。(以进入GigabitEthernet1/0/5接口视图为例)
[Sysname] interface GigabitEthernet 1/0/5
Permission denied.
通过显示信息可以确认配置生效。
#
telnet server enable
#
vlan 2
#
interface Vlan-interface2
ip address 192.168.1.50 255.255.255.0
#
interface GigabitEthernet1/0/23
port access vlan 2
#
interface GigabitEthernet1/0/24
port access vlan 2
#
line vty 0 63
authentication-mode scheme
user-role network-operator
#
domain bbb
authentication login local
authorization login local
#
role name role1
rule 1 permit command display *
rule 2 permit command system-view ; vlan *
rule 3 permit command system-view ; interface *
vlan policy deny
permit vlan 10 to 15
interface policy deny
permit interface GigabitEthernet1/0/1
#
role name role2
rule 1 permit command system-view ; interface *
vlan policy deny
permit vlan 16 to 20
interface policy deny
permit interface GigabitEthernet1/0/2 to GigabitEthernet1/0/3
#
local-user telnetuser1 class manage
password hash $h$6$kZw1rKFsAY4lhgUz$+teVLy8gmKN4Mr00VWgXQTB8ai94gKHlrys5OkytGf4
kT+nz5X1ZGASjc282CYAR6A1upH2jbmRoTcfDzZ9Gmw==
service-type telnet
authorization-attribute user-role role1
authorization-attribute user-role role2
#
local-user telnetuser2 class manage
password hash TPcgyTQJZShe$h$6$vaSj2xKc8yFiNdfQ$Jzb3PXo2lt4jk KSZqJUVhjP634Wol/
Qx8TLU748IHoeui0w5n/XRzpNqbNnpxikym39gGJCwYw==
service-type telnet
authorization-attribute user-role role1
#
如图5所示,某企业内部为隔离部门A和部门B之间流量,将不同VLAN划分给各部门使用。为了加强各部门网络管理员登录的安全性,采用RADIUS服务器对登录设备的Telnet用户进行认证、授权和计费。部门A和部门B的网络管理员通过Telnet登录设备时,分别使用RADIUS服务器上配置的用户名admin-departA和admin-departB以及对应的密码进行认证。
部门A网络管理员admin-departA有如下权限:
· 具有流量控制策略相关功能的配置权限。
· 禁止操作所有的接口资源。
· 只允许操作VLAN 100~VLAN 199。
部门B网络管理员admin-departB有如下权限:
· 具有流量控制策略相关功能的配置权限。
· 禁止操作所有的接口资源。
· 只允许操作VLAN 200~VLAN 299。
· 创建用户角色departA-resource,通过配置用户角色规则,使其具有QoS和ACL特性中所有命令的配置权限;通过配置资源控制策略,使其只具有VLAN 100~VLAN 199的操作权限,无法操作所有的接口资源。
· 创建用户角色departB-resource,通过配置用户角色规则,使其具有QoS和ACL特性中所有命令的配置权限;通过配置资源控制策略,使其只具有VLAN 200~VLAN 299的操作权限,无法操作所有的接口资源。
· 在RADIUS服务器上配置对部门A网络管理员授权用户角色departA-resource;对部门B网络管理员授权用户角色departB-resouce。
本举例是在S5130EI_E-CMW710-R3106版本上进行配置和验证的。
由于RADIUS服务器的授权信息是随认证应答报文发给RADIUS客户端的,所以必须保证认证和授权方法相同。
(1) 创建VLAN 2并将Core Switch连接Telnet user的端口划分到VLAN 2中。
<Sysname> system-view
[Sysname] vlan 2
[Sysname-vlan2] quit
[Sysname] interface GigabitEthernet1/0/24
[Sysname-GigabitEthernet1/0/24] port access vlan 2
[Sysname-GigabitEthernet1/0/24] quit
(2) 创建VLAN接口2并配置IP地址。
[Sysname] interface Vlan-interface 2
[Sysname-Vlan-interface2] ip address 192.168.1.50 24
(3) 创建VLAN 3并将Core Switch连接AAA server的端口划分到VLAN 3中。
<Sysname> system-view
[Sysname] vlan 3
[Sysname-vlan3] quit
[Sysname] interface GigabitEthernet1/0/23
[Sysname-GigabitEthernet1/0/23] port access vlan 3
[Sysname-GigabitEthernet1/0/23] quit
(4) 创建VLAN接口3并配置IP地址。
[Sysname] interface Vlan-interface 3
[Sysname-Vlan-interface3] ip address 20.1.1.2 24
(5) 在设备上开启Telnet服务器功能,并配置RADIUS方案和ISP域
# 开启设备的Telnet服务器功能。
[Sysname] telnet server enable
# 在编号为0~63的VTY用户线下,配置Telnet用户登录采用AAA认证方式。
[Sysname] line vty 0 63
[Sysname-line-vty0-63] authentication-mode scheme
[Sysname-line-vty0-63] quit
# 创建RADIUS方案rad。
[Sysname] radius scheme rad
# 配置主认证/授权服务器的IP地址为10.1.1.1,主计费服务器的IP地址为10.1.1.1。
[Sysname-radius-rad] primary authentication 10.1.1.1
[Sysname-radius-rad] primary accounting 10.1.1.1
# 配置与认证/授权服务器、主计费服务器交互报文时的共享密钥为明文aabbcc。
[Sysname-radius-rad] key authentication simple aabbcc
[Sysname-radius-rad] key accounting simple aabbcc
[Sysname-radius-rad] quit
# 创建ISP域bbb,为login用户配置的AAA认证方法为RADIUS认证、RADIUS授权、RADIUS计费。
[Sysname] domain bbb
[Sysname-isp-bbb] authentication login radius-scheme rad
[Sysname-isp-bbb] authorization login radius-scheme rad
[Sysname-isp-bbb] accounting login radius-scheme rad
[Sysname-isp-bbb] quit
(6) 在设备上配置用户角色departA-resource
# 创建用户角色departA-resource,配置用户角色规则,允许用户执行特性QoS和ACL中的所有命令。
[Sysname] role name departA-resource
[Sysname-role-departA-resource] rule 1 permit read write execute feature qos
[Sysname-role-departA-resource] rule 2 permit read write execute feature acl
# 配置VLAN资源控制策略,只具有VLAN 100~VLAN 199的操作权限。
[Sysname-role-departA-resource] vlan policy deny
[Sysname-role-departA-resource-vlanpolicy] permit vlan 100 to 199
[Sysname-role-departA-resource-vlanpolicy] quit
# 配置接口资源访问策略,禁止访问所有接口资源。
[Sysname-role-departA-resource] interface policy deny
[Sysname-role-departA-resource-ifpolicy] quit
[Sysname-role-departA-resource] quit
(7) 在设备上配置用户角色departB-resource
# 创建用户角色departB-resource,配置用户角色规则,允许用户执行特性QoS和ACL中的所有命令。
[Sysname] role name departB-resource
[Sysname-role-departB-resource] rule 1 permit read write execute feature qos
[Sysname-role-departB-resource] rule 2 permit read write execute feature acl
# 配置VLAN资源控制策略,只具有VLAN 200~VLAN 299的操作权限。
[Sysname-role-departB-resource] vlan policy deny
[Sysname-role-departB-resource-vlanpolicy] permit vlan 200 to 299
[Sysname-role-departB-resource-vlanpolicy] quit
# 配置接口资源访问策略,禁止访问所有接口资源。
[Sysname-role-departB-resource] interface policy deny
[Sysname-role-departB-resource-ifpolicy] quit
[Sysname-role-departB-resource] quit
下面以iMC为例(使用iMC版本为:iMC PLAT 7.0(E0202)、iMC UAM 7.0(E0202)),说明RADIUS服务器的基本配置。
# 增加接入设备。
登录进入iMC管理平台,选择“用户”页签,单击导航树中的[接入策略管理/接入设备管理/接入设备配置]菜单项,进入接入设备配置页面,在该页面中单击<增加>按钮,进入增加接入设备页面。
· 设置认证及计费的端口号分别为“1812”和“1813”;
· 设置与AC交互报文时使用的认证、计费共享密钥和确认共享密钥为“aabbcc”;
· 选择业务类型为“设备管理业务”;
· 选择接入设备类型为“H3C”;
· 选择或手工增加接入设备,添加IP地址为20.1.1.2的接入设备;
· 其它参数采用缺省值,并单击<确定>按钮完成操作。
图6 增加接入设备
# 增加设备管理用户。
选择“用户”页签,单击导航树中的[接入用户管理/设备管理用户]菜单项,进入设备管理用户列表页面,在该页面中单击<增加>按钮,进入增加设备管理用户页面。
· 创建用户名,这里输入“admin-departA@bbb”,并配置密码和确认密码;
· 选择服务类型为“Telnet”;
· 添加用户角色名“departA-resource”;
· 添加所管理设备的IP地址,IP地址范围为“20.1.1.0~20.1.1.10”;
· 单击<确定>按钮完成操作。
图7 增加设备管理用户
# 继续在该页面中单击<增加>按钮,进入增加设备管理用户页面。
· 创建用户名,这里输入“admin-departB@bbb”,并配置密码和确认密码;
· 选择服务类型为“Telnet”;
· 添加用户角色名“departB-resource”;
· 添加所管理设备的IP地址,IP地址范围为“20.1.1.0~20.1.1.10”;
· 单击<确定>按钮完成操作。
图8 增加设备管理用户
(1) 查看用户角色信息
通过display role命令查看用户角色departA-resource和departB-resource的信息。
# 显示用户角色departA-resource的信息。
<Sysname> display role name departA-resource
Role: departA-resource
Description:
VLAN policy: deny
Permitted VLANs: 100 to 199
Interface policy: deny
VPN instance policy: permit (default)
-------------------------------------------------------------------
Rule Perm Type Scope Entity
-------------------------------------------------------------------
1 permit RWX feature qos
2 permit RWX feature acl
R:Read W:Write X:Execute
# 显示用户角色departB-resource的信息。
<Sysname> display role name departB-resource
Role: departB-resource
Description:
VLAN policy: deny
Permitted VLANs: 200 to 299
Interface policy: deny
VPN instance policy: permit (default)
-------------------------------------------------------------------
Rule Perm Type Scope Entity
-------------------------------------------------------------------
1 permit RWX feature qos
2 permit RWX feature acl
R:Read W:Write X:Execute
(2) 用户登录设备
以部门A网络管理员登录设备为例进行验证。
# 部门A网络管理员向设备发起Telnet连接,在Telnet客户端按照提示输入用户名admin-departA@bbb及正确的密码后,成功登录设备。
C:\Documents and Settings\user> telnet 192.168.1.50
******************************************************************************
* Copyright (c) 2004-2017 New H3C Technologies Co., Ltd. All rights reserved. *
* Without the owner's prior written consent, *
* no decompiling or reverse-engineering shall be allowed. *
******************************************************************************
login: admin-departA@bbb
Password:
<Sysname>
(3) 验证用户权限
部门A网络管理员admin-departA@bbb成功登录设备后,可通过如下步骤验证用户的权限:
· 可执行特性QoS和ACL中所有的命令。(以创建高级ACL、流分类、流行为和QoS策略,并关联流分类和流行为为例)
# 创建高级ACL,编号为3000。
<Sysname> system-view
[Sysname] acl number 3000
# 配置ACL的匹配规则为匹配所有FTP数据流量。
[Sysname-acl-adv-3000] rule permit tcp destination-port eq ftp-data
[Sysname-acl-adv-3000] quit
#创建流分类1,匹配规则为匹配ACL 3000。
[Sysname] traffic classifier 1
[Sysname-classifier-1] if-match acl 3000
[Sysname-classifier-1] quit
#创建流分类1,流行为为流量监管,限速值为2000kbps。
[Sysname] traffic behavior 1
[Sysname-behavior-1] car cir 2000
[Sysname-behavior-1] quit
#创建QoS策略1,将流分类1和流行为1进行关联。
[Sysname] qos policy 1
[Sysname-qospolicy-1] classifier 1 behavior 1
[Sysname-qospolicy-1] quit
· 可操作VLAN 100~VLAN 199。(以将QoS策略1应用到VLAN 100~VLAN 107的入方向为例)
# 将QoS策略1应用到VLAN 100~VLAN 107的入方向,即对所有主机的上行流量进行限速。
[Sysname] qos vlan-policy 1 vlan 100 to 107 inbound
· 不能操作其它VLAN。(以将QoS策略1应用到VLAN 200~VLAN 207的入方向为例)
# 将QoS策略1应用到VLAN 200~VLAN 207的入方向,即对所有主机的上行流量进行限速。
[Sysname] qos vlan-policy 1 vlan 200 to 207 inbound
Permission denied.
通过显示信息可以确认配置生效。
部门B网络管理员admin-departB@bbb成功登录设备后,可通过如下步骤验证用户的权限:
· 可执行特性QoS和ACL中所有的命令。(以创建高级ACL、流分类、流行为和QoS策略,并关联流分类和流行为为例)
# 创建高级ACL,编号为3001。
[Sysname] acl number 3001
# 配置ACL的匹配规则为匹配所有FTP数据流量。
[Sysname-acl-adv-3001] rule permit tcp destination-port eq ftp-data
[Sysname-acl-adv-3001] quit
# 创建流分类2,匹配规则为匹配ACL 3001。
[Sysname] traffic classifier 2
[Sysname-classifier-2] if-match acl 3001
[Sysname-classifier-2] quit
# 创建流分类2,流行为为流量监管,限速值为2000kbps。
[Sysname] traffic behavior 2
[Sysname-behavior-2] car cir 2000
[Sysname-behavior-2] quit
# 创建QoS策略2,将流分类2和流行为2进行关联。
[Sysname] qos policy 2
[Sysname-qospolicy-2] classifier 1 behavior 2
[Sysname-qospolicy-2] quit
· 可操作VLAN 200~VLAN 299。(以将QoS策略2应用到VLAN 200~VLAN 207的入方向为例)
[Sysname] qos vlan-policy 2 vlan 200 to 207 inbound
· 不能操作其它VLAN。(以将QoS策略2应用到VLAN 100~VLAN 107的入方向为例)
[Sysname] qos vlan-policy 2 vlan 100 to 107 inbound
Permission denied.
通过显示信息可以确认配置生效。
#
telnet server enable
#
vlan 2 to 3
#
interface Vlan-interface2
ip address 192.168.1.50 255.255.255.0
#
interface Vlan-interface3
ip address 20.1.1.2 255.255.255.0
#
interface GigabitEthernet1/0/23
port access vlan 3
#
interface GigabitEthernet1/0/24
port access vlan 2
#
line vty 0 63
authentication-mode scheme
user-role network-operator
#
radius scheme rad
primary authentication 10.1.1.1
primary accounting 10.1.1.1
key authentication cipher $c$3$JzDegvL0G5KZIcJhzscTHLA4WasBVh0UOw==
key accounting cipher $c$3$CdejNYYxvjW0Y+Zydi4rZgBwjYb4h6LKmg==
#
domain bbb
authentication login radius-scheme rad
authorization login radius-scheme rad
accounting login radius-scheme rad
#
role name departA-resource
rule 1 permit read write execute feature qos
rule 2 permit read write execute feature acl
vlan policy deny
permit vlan 100 to 199
interface policy deny
#
role name departB-resource
rule 1 permit read write execute feature qos
rule 2 permit read write execute feature acl
vlan policy deny
permit vlan 200 to 299
interface policy deny
#
· H3C S5130-EI系列以太网交换机 基础配置指导-Release 3106
· H3C S5130-EI系列以太网交换机 基础配置命令参考-Release 3106
不同款型规格的资料略有差异, 详细信息请向具体销售和400咨询。H3C保留在没有任何通知或提示的情况下对资料内容进行修改的权利!