用户远程连接命令
远程连接命令 时间:2021-04-05 阅读:()
i目录1RBAC1-11.
1RBAC配置命令1-11.
1.
1description1-11.
1.
2displayrole·1-11.
1.
3displayrolefeature·1-81.
1.
4displayrolefeature-group·1-101.
1.
5feature1-121.
1.
6interfacepolicydeny·1-121.
1.
7permitinterface1-131.
1.
8permitvlan1-151.
1.
9role·1-161.
1.
10roledefault-roleenable·1-171.
1.
11rolefeature-group1-181.
1.
12rule1-181.
1.
13super·1-221.
1.
14superauthentication-mode·1-231.
1.
15superdefaultrole1-241.
1.
16superpassword1-251.
1.
17superuse-login-username1-261.
1.
18vlanpolicydeny·1-271-11RBAC1.
1RBAC配置命令1.
1.
1descriptiondescription命令用来配置用户角色的描述信息,用来方便管理员对用户角色进行管理.
undodescription命令用来恢复缺省情况.
【命令】descriptiontextundodescription【缺省情况】未定义用户角色描述信息.
【视图】用户角色视图【缺省用户角色】network-admin【参数】text:用户角色描述信息,为1~128个字符的字符串,区分大小写.
【举例】#为用户角色role1配置描述信息为"labVIP".
system-view[Sysname]rolenamerole1[Sysname-role-role1]descriptionlabVIP【相关命令】displayrolerole1.
1.
2displayroledisplayrole命令用来显示用户角色信息.
【命令】displayrole[namerole-name]【视图】任意视图【缺省用户角色】network-admin1-2netword-operator【参数】namerole-name:用户角色名称,为1~63个字符的字符串,区分大小写.
如果不指定用户角色名称,则表示显示所有用户角色的信息,包括系统缺省存在的用户角色的信息.
【举例】#显示用户角色123的信息.
displayrolename123Role:123Description:newroleVLANpolicy:denyPermittedVLANs:1to5,7to8Interfacepolicy:denyVPNinstancepolicy:permit(default)RulePermTypeScopeEntity1permitRWXfeature-groupabc2deny-W-featureldap3permitcommandsystem;radiussc*4permitR--xml-element-5permitRW-oid1.
2.
1R:ReadW:WriteX:Execute#显示所有用户角色的信息.
displayroleRole:network-adminDescription:PredefinednetworkadminrolehasaccesstoallcommandsonthedeviceVLANpolicy:permit(default)Interfacepolicy:permit(default)VPNinstancepolicy:permit(default)RulePermTypeScopeEntitysys-1permitcommand*sys-2permitRWXweb-menu-sys-3permitRWXxml-element-sys-4denycommanddisplaysecurity-logfilesummarysys-5denycommanddisplaysecurity-logfilebuffersys-6denycommandsystem-view;info-centersecurity-logfiledirectory*sys-7denycommandsecurity-logfilesavesys-8permitRW-oid1R:ReadW:WriteX:ExecuteRole:network-operatorDescription:Predefinednetworkoperatorrolehasaccesstoallreadcommands1-3onthedeviceVLANpolicy:permit(default)Interfacepolicy:permit(default)VPNinstancepolicy:permit(default)RulePermTypeScopeEntitysys-1permitcommanddisplay*sys-2permitcommandxmlsys-3permitcommandsystem-view;probe;display*sys-4denycommanddisplayhistory-commandallsys-5denycommanddisplayexception*sys-6denycommanddisplaycpu-usageconfiguration*sys-7denycommanddisplaykernelexception*sys-8denycommanddisplaykerneldeadloop*sys-9denycommanddisplaykernelstarvation*sys-10denycommanddisplaykernelreboot*sys-11denycommanddisplaymemorytrace*sys-12denycommanddisplaykernelmemory*sys-13permitcommandsystem-view;local-user*sys-16permitR--web-menu-sys-17permitRW-web-menum_device/m_maintenance/m_changepasswordsys-18permitR--xml-element-sys-19denycommanddisplaysecurity-logfilesummarysys-20denycommanddisplaysecurity-logfilebuffersys-21denycommandsystem-view;info-centersecurity-logfiledirectory*sys-22denycommandsecurity-logfilesavesys-23denycommandsystem-view;local-user-import*sys-24denycommandsystem-view;local-user-export*sys-25permitR--oid1R:ReadW:WriteX:ExecuteRole:level-0Description:Predefinedlevel-0roleVLANpolicy:permit(default)Interfacepolicy:permit(default)VPNinstancepolicy:permit(default)RulePermTypeScopeEntitysys-1permitcommandtracert*sys-2permitcommandtelnet*sys-3permitcommandping*1-4sys-4permitcommandssh2*sys-5permitcommandsuper*sys-6permitcommandmtrace*R:ReadW:WriteX:ExecuteRole:level-1Description:Predefinedlevel-1roleVLANpolicy:permit(default)Interfacepolicy:permit(default)VPNinstancepolicy:permit(default)RulePermTypeScopeEntitysys-1permitcommandtracert*sys-2permitcommandtelnet*sys-3permitcommandping*sys-4permitcommandssh2*sys-5permitcommanddisplay*sys-6permitcommandsuper*sys-7denycommanddisplayhistory-commandallsys-8permitcommandmtrace*R:ReadW:WriteX:ExecuteRole:level-2Description:Predefinedlevel-2roleVLANpolicy:permit(default)Interfacepolicy:permit(default)VPNinstancepolicy:permit(default)Role:level-3Description:Predefinedlevel-3roleVLANpolicy:permit(default)Interfacepolicy:permit(default)VPNinstancepolicy:permit(default)Role:level-4Description:Predefinedlevel-4roleVLANpolicy:permit(default)Interfacepolicy:permit(default)VPNinstancepolicy:permit(default)Role:level-5Description:Predefinedlevel-5roleVLANpolicy:permit(default)Interfacepolicy:permit(default)VPNinstancepolicy:permit(default)Role:level-61-5Description:Predefinedlevel-6roleVLANpolicy:permit(default)Interfacepolicy:permit(default)VPNinstancepolicy:permit(default)Role:level-7Description:Predefinedlevel-7roleVLANpolicy:permit(default)Interfacepolicy:permit(default)VPNinstancepolicy:permit(default)Role:level-8Description:Predefinedlevel-8roleVLANpolicy:permit(default)Interfacepolicy:permit(default)VPNinstancepolicy:permit(default)Role:level-9Description:Predefinedlevel-9roleVLANpolicy:permit(default)Interfacepolicy:permit(default)VPNinstancepolicy:permit(default)RulePermTypeScopeEntitysys-1permitRWXfeature-sys-2denyRWXfeaturedevicesys-3denyRWXfeaturefilesystemsys-4permitcommanddisplay*sys-5denycommanddisplayhistory-commandallR:ReadW:WriteX:ExecuteRole:level-10Description:Predefinedlevel-10roleVLANpolicy:permit(default)Interfacepolicy:permit(default)VPNinstancepolicy:permit(default)Role:level-11Description:Predefinedlevel-11roleVLANpolicy:permit(default)Interfacepolicy:permit(default)VPNinstancepolicy:permit(default)Role:level-12Description:Predefinedlevel-12roleVLANpolicy:permit(default)Interfacepolicy:permit(default)1-6VPNinstancepolicy:permit(default)Role:level-13Description:Predefinedlevel-13roleVLANpolicy:permit(default)Interfacepolicy:permit(default)VPNinstancepolicy:permit(default)Role:level-14Description:Predefinedlevel-14roleVLANpolicy:permit(default)Interfacepolicy:permit(default)VPNinstancepolicy:permit(default)Role:level-15Description:Predefinedlevel-15roleVLANpolicy:permit(default)Interfacepolicy:permit(default)VPNinstancepolicy:permit(default)RulePermTypeScopeEntitysys-1permitcommand*sys-2permitRWXweb-menu-sys-3permitRWXxml-element-sys-4denycommanddisplaysecurity-logfilesummarysys-5denycommanddisplaysecurity-logfilebuffersys-6denycommandsystem-view;info-centersecurity-logfiledirectory*sys-7denycommandsecurity-logfilesavesys-8permitRW-oid1R:ReadW:WriteX:ExecuteRole:security-auditDescription:PredefinedsecurityauditroleonlyhasaccesstocommandsforthesecuritylogadministratorVLANpolicy:permit(default)Interfacepolicy:permit(default)VPNinstancepolicy:permit(default)RulePermTypeScopeEntitysys-1denycommand*sys-2permitcommanddisplaysecurity-logfilesummarysys-3permitcommanddisplaysecurity-logfilebuffersys-4permitcommandsystem-view;info-centersecurity-logfiledirectory*sys-5permitcommandsecurity-logfilesave1-7sys-6permitcommandcd*sys-7permitcommandcopy*sys-8permitcommanddelete*sys-9permitcommanddir*sys-10permitcommandmkdir*sys-11permitcommandmore*sys-12permitcommandmove*sys-13permitcommandrmdir*sys-14permitcommandpwdsys-15permitcommandrename*sys-16permitcommandundelete*sys-17permitcommandftp*sys-18permitcommandsftp*R:ReadW:WriteX:Execute表1-1displayrole命令显示信息描述表字段描述Role用户角色名称,其中系统预定义的用户角色名称分别为network-admin、network-operator、level-n(n为0~15)、security-auditDescription用户角色描述信息VLANpolicy配置的VLAN策略:deny:表示除允许操作指定的VLAN外,其它VLAN均不能被用户操作permit(default):表示系统缺省允许用户操作任何VLANPermittedVLANs允许用户操作的VLANInterfacepolicy配置的接口策略:deny:表示除允许操作指定的接口外,其它接口均不能被用户操作permit(default):表示系统缺省允许用户操作任何接口Permittedinterfaces允许用户操作的接口VPN-instancepolicy(暂不支持)配置的VPN策略:deny:表示除允许操作指定的VPN实例外,其它VPN实例均不能被用户操作permit(default):表示系统缺省允许用户操作任何VPN实例PermittedVPNinstances(暂不支持)允许用户操作的VPN实例Rule用户角色规则编号(系统预定义的权限规则通过sys-n标识)Perm对命令行的操作许可:permit:允许操作deny:禁止操作Type命令行类型:R:读类型W:写类型X:执行类型1-8字段描述Scope用户角色规则的类型:command:基于命令行的规则feature:基于特性的规则feature-group:基于特性组规则web-menu:基于Web菜单的规则xml-element:基于XML元素的规则oid:基于OID元素的规则Entity用户角色规则中定义的具体内容(命令特征字符串、特性名称、特性组名称、Web菜单、XML元素或OID)"-"表示所有特性"*"为通配符,表示0个或多个任意字符【相关命令】role1.
1.
3displayrolefeaturedisplayrolefeature命令用来显示特性相关信息.
【命令】displayrolefeature[namefeature-name|verbose]【视图】任意视图【缺省用户角色】network-adminnetword-operator【参数】namefeature-name:显示指定特性的详细信息,feature-name表示系统中的特性名称,且所有特性名称中的字母均为小写.
verbose:显示所有特性的详细信息,即显示特性内包含的所有命令行列表.
【使用指导】如果不指定任何关键字,则显示系统中所有特性的名称列表.
【举例】#显示系统中所有特性的名称列表.
displayrolefeatureFeature:device(Deviceconfigurationrelatedcommands)Feature:interface(Interfacerelatedcommands)Feature:syslog(Syslogrelatedcommands)……(略)1-9#显示所有特性的详细信息.
displayrolefeatureverboseFeature:device(Deviceconfigurationrelatedcommands)displayclock(R)debuggingdev(W)displaydebuggingdev(R)displaydevice*(R)displaydiagnostic-information*(R)displayenvironment*(R)displayalarm*(R)displaysystem-working-mode(R)displaycurrent-configuration*(R)displaysaved-configuration*(R)displaydefault-configuration*(R)displaystartup(R)displaythis*(R)……(略)#显示特性aaa的详细信息.
displayrolefeaturenameaaaFeature:aaa(AAArelatedcommands)system-view;domain*(W)system-view;header*(W)system-view;aaa*(W)system-view;probe;displaysysteminternalaaa*(R)displaydomain*(R)displayaaa*(R)system-view;user-group*(W)system-view;local-user*(W)displaylocal-user*(R)displayuser-group*(R)displaydebugginglocal-server(R)debugginglocal-server*(W)super*(X)……(略)表1-2displayrolefeature命令显示信息描述表(以displayrolefeaturenameaaa的显示字段为例)字段描述Feature特性名称以及功能简介system-view;domain*系统视图下以domain开头的所有命令,以及ISP域视图下的所有命令system-view;header*系统视图下以header开头的所有命令system-view;aaa*系统视图下以aaa开头的所有命令displaydomain*用户视图下以displaydomain开头的所有命令displayaaa*用户视图下以displayaaa开头的所有命令system-view;user-group*系统视图下以user-group开头的所有命令,以及用户组视图下的所有命令1-10字段描述system-view;local-user*系统视图下以local-user开头的所有命令,以及本地用户视图下的所有命令displaylocal-user*用户视图下以displaylocal-user开头的所有命令displayuser-group*用户视图下以displayuser-group开头的所有命令displaydebugginglocal-server用户视图下以命令displaydebugginglocal-server开头的所有命令debugginglocal-server*用户视图下以debugginglocal-server开头的所有命令super*用户视图下以super开头的所有命令(W)命令行的类型为写命令,本类型的命令用于对系统进行配置(R)命令行的类型为读命令,本类型的命令仅能显示系统配置信息和维护信息(X)命令行的类型为执行命令,本类型的命令用于执行特定的功能【相关命令】feature1.
1.
4displayrolefeature-groupdisplayrolefeature-group命令用来显示特性组信息.
【命令】displayrolefeature-group[namefeature-group-name][verbose]【视图】任意视图【缺省用户角色】network-adminnetword-operator【参数】namefeature-group-name:显示指定特性组包含的特性名称列表.
feature-group-name表示特性组名称,为1~31个字符的字符串,区分大小写.
如果不指定本参数,则表示显示所有特性组的相关信息.
verbose:显示特性组的详细信息,即显示特性组内的特性所包含的命令行列表.
如果不指定本参数,则表示显示特性组中的特性名称列表.
【使用指导】特性组L2和L3为系统预定义的两个特性组.
【举例】#显示所有特性组内的特性名称列表.
displayrolefeature-groupFeaturegroup:L21-11Feature:lacp(LACPrelatedcommands)Feature:cfm(CFMrelatedcommands)Feature:eoam(EOAMrelatedcommands)Feature:smart-link(Smart-linkrelatedcommands)Feature:monitor-link(Monitor-linkrelatedcommands)Feature:loopbk-detect(Loopback-detectionrelatedcommands)Feature:vlan(VirtualLANrelatedcommands)Feature:ofp(OFPrelatedcommands)Feature:drni(DRNIrelatedcommands)Featuregroup:L3Feature:route(Routemanagementrelatedcommands)Feature:staticrt(Unicaststaticrouterelatedcommands)Feature:lisp(LISPprotocolrelatedcommands)#显示所有特性组的详细信息.
displayrolefeature-groupverboseFeaturegroup:L2Feature:lacp(LACPrelatedcommands)displaylink-aggregation*(R)displaylacp*(R)system-view;link-aggregation*(W)system-view;lacp*(W)system-view;interface*;link-aggregation*(W)system-view;interface*;portlink-aggregation*(W)system-view;interface*;lacp*(W)system-view;probe;displaysysteminternallink-aggregation*(R)system-view;probe;debuggingsysteminternallink-aggregation*(W)resetlacp*(W)debugginglink-aggregation*(W)displaydebugginglink-aggregation*(R)……(略)#显示特性组L3的特性名称列表.
displayrolefeature-groupnameL3Featuregroup:L3Feature:route(Routemanagementrelatedcommands)Feature:staticrt(Unicaststaticrouterelatedcommands)Feature:lisp(LISPprotocolrelatedcommands)表1-3displayrolefeature-group命令显示信息描述表字段描述Featuregroup特性组名称,其中L2和L3为系统预定义的两个特性组Feature特性名称以及功能简介关于特性内具体命令的详细介绍请参考表1-2【相关命令】feature1-12rolefeature-group1.
1.
5featurefeature命令用来向特性组中添加一个特性.
undofeature命令用来删除特性组中的指定特性.
【命令】featurefeature-nameundofeaturefeature-name【缺省情况】自定义特性组中不包括任何特性.
【视图】特性组视图【缺省用户角色】network-admin【参数】feature-name:系统支持的特性名称,所有特性名称中的字母均为小写.
【使用指导】可通过多次执行本命令,向特性组中添加多个特性.
【举例】#向特性组security-features中添加特性AAA.
system-view[Sysname]rolefeature-groupnamesecurity-features[Sysname-featuregrp-security-features]featureaaa【相关命令】displayrolefeaturedisplayrolefeature-grouprolefeature-group1.
1.
6interfacepolicydenyinterfacepolicydeny命令用来进入接口策略视图.
undointerfacepolicydeny命令用来恢复缺省情况.
【命令】interfacepolicydenyundointerfacepolicydeny【缺省情况】用户具有操作任何接口的权限.
1-13【视图】用户角色视图【缺省用户角色】network-admin【使用指导】进入接口策略视图后,如果不配置允许操作的接口列表,则用户将没有操作任何接口的权限;如果需要限制或区分用户对接口资源的使用权限,则还应该通过permitinterface命令配置允许用户操作的接口列表.
若接口策略视图中未配置允许操作的接口列表,则表示不允许用户操作所有的接口.
对接口的操作指的是创建接口并进入接口视图、删除和应用接口.
其中,创建和删除接口,仅针对逻辑接口.
允许修改用户角色的接口策略,但修改后的策略只在被授权该角色的用户重新登录时才会生效.
【举例】#在用户角色role1中,进入接口策略视图,并禁止角色为role1的用户操作任何接口.
system-view[Sysname]rolenamerole1[Sysname-role-role1]interfacepolicydeny[Sysname-role-role1-ifpolicy]quit#在用户角色role1中,进入接口策略视图,允许角色为role1的用户操作接口FC1/1/1到FC1/1/3.
system-view[Sysname]rolenamerole1[Sysname-role-role1]interfacepolicydeny[Sysname-role-role1-ifpolicy]permitinterfacefc1/1/1tofc1/1/3【相关命令】displayrolepermitinterfacerole1.
1.
7permitinterfacepermitinterface命令用来配置允许用户操作的接口列表.
undopermitinterface命令用来禁止用户操作指定的或所有的接口.
【命令】permitinterfaceinterface-listundopermitinterface[interface-list]【缺省情况】接口策略视图下未定义允许操作的接口列表,用户没有操作任何接口的权限.
【视图】接口策略视图【缺省用户角色】network-admin1-14【参数】interfaceinterface-list:允许用户操作的接口列表,表示多个接口,表示方式为interface-list={interface-typeinterface-number[tointerface-typeinterface-number]}&.
其中,interface-type为接口类型,interface-number为接口编号.
&表示前面的参数最多可以输入10次.
起始接口类型必须和终止接口类型一致,并且终止接口编号必须大于起始接口编号.
【使用指导】通过interfacepolicydeny命令进入接口策略视图后,必须要通过本命令配置允许操作的接口列表,用户才能具有操作相应接口的权限.
对接口的操作指的是创建并进入接口视图、删除和应用接口.
其中,创建和删除接口,只针对逻辑接口.
可通过多次执行此命令向接口列表中添加允许用户操作的接口.
undopermitinterface命令如果不指定interface-list参数,则表示禁止用户操作所有接口.
修改后的接口资源控制策略对于当前已经在线的用户不生效,对于之后使用该角色登录设备的用户生效.
【举例】#创建用户角色role1并进入其视图.
system-view[Sysname]rolenamerole1#配置用户角色规则1,允许用户执行进入接口视图以及接口视图下的相关命令.
[Sysname-role-role1]rule1permitcommandsystem-view;interface*#配置用户角色规则2,允许用户执行创建VLAN以及进入VLAN视图后的相关命令.
[Sysname-role-role1]rule2permitcommandsystem-view;vlan*#配置用户角色role1仅可以对接口FC1/1/1以及FC1/1/3~FC1/1/5进行操作.
[Sysname-role-role1]interfacepolicydeny[Sysname-role-role1-ifpolicy]permitinterfacefc1/1/1fc1/1/3tofc1/1/5当拥有用户角色role1的用户登录设备后,可以操作接口FC1/1/1以及FC1/1/3~FC1/1/5,但不能操作其它接口.
配置结果验证如下:进入接口FC1/1/1视图.
system-view[Sysname]interfacefc1/1/1[Sysname-Fc1/1/1]无法进入接口FC1/1/2视图.
system-view[Sysname]interfacefc1/1/2Permissiondenied.
【相关命令】displayroleinterfacepolicydeny1-15role1.
1.
8permitvlanpermitvlan命令用来配置允许用户操作的VLAN列表.
undopermitvlan命令用来禁止用户操作指定的或所有的VLAN.
【命令】permitvlanvlan-id-listundopermitvlan[vlan-id-list]【缺省情况】未定义允许操作的VLAN列表,用户没有操作任何VLAN的权限.
【视图】VLAN策略视图【缺省用户角色】network-admin【参数】vlan-id-list:允许用户操作的VLAN列表,表示方式为vlan-id-list={vlan-id1[tovlan-id2]}&,vlan-id取值范围为1~4094,&表示前面的参数最多可以重复输入10次.
终止VLAN编号必须大于起始VLAN编号.
【使用指导】通过vlanpolicydeny命令进入VLAN策略视图后,必须要通过本命令配置允许操作的VLAN列表,用户才能具有操作相应VLAN的权限.
对VLAN的操作指的是创建VLAN并进入VLAN视图、删除和应用VLAN.
可通过多次执行此命令向VLAN列表中添加多个允许用户操作的VLAN.
undopermitvlan命令如果不指定vlan-id-list参数,则表示禁止用户操作所有VLAN.
修改后的VLAN资源控制策略对于当前已经在线的用户不生效,对于之后使用该角色登录设备的用户生效.
【举例】#创建用户角色role1并进入其视图.
system-view[Sysname]rolenamerole1#配置用户角色规则1,允许用户执行进入接口视图以及接口视图下的相关命令.
[Sysname-role-role1]rule1permitcommandsystem-view;interface*#配置用户角色规则2,允许用户执行创建VLAN以及进入VLAN视图后的相关命令.
[Sysname-role-role1]rule2permitcommandsystem-view;vlan*#配置用户角色role1仅可以操作VLAN1、VLAN2、VLAN4、VLAN50~VLAN100.
[Sysname-role-role1]vlanpolicydeny[Sysname-role-role1-vlanpolicy]permitvlan12450to100当拥有用户角色role1的用户登录设备后,可以操作VLAN1、VLAN2、VLAN4、VLAN50~VLAN100,但不能操作其它VLAN.
1-16配置结果验证如下:创建并进入VLAN100视图.
system-view[Sysname]vlan100[Sysname-vlan100]无法创建VLAN101或进入其视图.
system-view[Sysname]vlan101Permissiondenied.
【相关命令】displayrolerolevlanpolicydeny1.
1.
9rolerole命令用来创建用户角色,并进入用户角色视图.
如果指定的用户角色已经存在,则直接进入用户角色视图.
undorole命令用来删除指定的用户角色.
【命令】rolenamerole-nameundorolenamerole-name【缺省情况】存在系统预定义的用户角色:network-admin、network-operator、level-n(n为0~15的整数)、security-audit.
【视图】系统视图【缺省用户角色】network-admin【参数】namerole-name:用户角色名称,role-name为1~63个字符的字符串,区分大小写.
【使用指导】除系统预定义的缺省用户角色之外,系统中最多允许创建64个用户角色.
缺省的用户角色不能被删除,而且其中的network-admin、network-operator、level-15、security-audit这些用户角色内定义的所有权限均不能被修改;用户角色level-0~level-14可以通过自定义规则和资源控制策略调整自身的权限,但这种修改对于displayhistory-commandall命令不生效,即不能通过添加对应的规则来更改它的缺省执行权限.
非AAA认证用户不能被授予安全日志管理员角色.
1-17【举例】#创建用户角色role1,并进入用户角色视图.
system-view[Sysname]rolenamerole1[Sysname-role-role1]【相关命令】displayroleinterfacepolicydenyrulevlanpolicydeny1.
1.
10roledefault-roleenableroledefault-roleenable命令用来使能缺省用户角色授权功能.
undoroledefault-roleenable命令用来恢复缺省情况.
【命令】roledefault-roleenable[role-name]undoroledefault-roleenable【缺省情况】缺省用户角色授权功能处于关闭状态,没有被AAA授权用户角色的用户不能登录设备.
【视图】系统视图【缺省用户角色】network-admin【参数】role-name:缺省用户角色名称,为1~63个字符的字符串,区分大小写,可以是系统中已存在的任意用户角色.
【使用指导】对于通过AAA认证登录设备的用户,由服务器(远程认证服务器或本地认证服务器)为其授权对应的用户角色.
如果用户没有被授权任何用户角色,将无法成功登录设备.
若未通过authorization-attribute命令配置本地用户或用户组的授权属性,则必须使能缺省用户角色授权功能.
使能该功能后,用户将在没有被服务器授权任何用户角色的情况下,具有一个缺省的用户角色.
若用户通过AAA认证且被授予了具体的用户角色,则用户不具有缺省的用户角色.
若不指定role-name参数,用户登录设备,缺省用户角色为network-operator.
【举例】#使能缺省用户角色授权功能.
system-view[Sysname]roledefault-roleenable1-18【相关命令】role1.
1.
11rolefeature-grouprolefeature-group命令用来创建特性组,并进入特性组视图.
如果指定的特性组已经存在,则直接进入特性组视图.
undorolefeature-group命令用来删除指定的特性组.
【命令】rolefeature-groupnamefeature-group-nameundorolefeature-groupnamefeature-group-name【缺省情况】存在两个特性组,名称分别为L2和L3.
【视图】系统视图【缺省用户角色】network-admin【参数】namefeature-group-name:特性组名称,feature-group-name为1~31个字符的字符串,区分大小写.
【使用指导】除系统预定义的特性组L2和L3之外,系统中最多允许创建64个特性组.
不能修改和删除系统预定义的特性组L2和L3.
L2中包含了所有的二层协议相关功能的命令,L3中包含了所有三层协议相关功能的命令.
【举例】#创建特性组security-features,并进入特性组视图.
system-view[Sysname]rolefeature-groupnamesecurity-features[Sysname-featuregrp-security-features]【相关命令】displayrolefeaturedisplayrolefeature-groupfeature1.
1.
12rulerule命令用来为用户角色创建一条规则.
undorule命令用来为用户角色删除规则.
1-19【命令】rulenumber{deny|permit}{commandcommand-string|{execute|read|write}*{feature[feature-name]|feature-groupfeature-group-name|oidoid-string|web-menu[web-string]|xml-element[xml-string]}}undorule{number|all}【缺省情况】新创建的用户角色中未定义规则,即当前用户角色无任何权限.
【视图】用户角色视图【缺省用户角色】network-admin【参数】number:权限规则编号,取值范围为1~256.
deny:禁止执行指定的命令、Web菜单、XML元素或MIB节点OID.
permit:允许执行指定的命令、Web菜单、XML元素或MIB节点OID.
commandcommand-string:配置基于命令的规则.
command-string表示命令特征字符串,为1~128个字符的字符串,区分大小写,可以是特定的一条命令行,也可以是用星号(*)通配符表示的一批命令,可包含空格、Tab(它们用于分隔关键字、参数以及输入的字符),以及所有可打印字符.
execute:表示执行类型的命令、Web菜单、XML元素或MIB节点OID.
用于执行特定的程序或功能,执行类型的命令如ping命令.
read:表示读类型的命令、Web菜单、XML元素或MIB节点OID,用于显示系统配置和维护信息.
读类型的命如display、dir、more和pwd命令.
write:表示写类型的命令、Web菜单、XML元素或MIB节点OID,用于对系统进行配置.
写类型的命如sshserverenable命令.
feature[feature-name]:配置基于特性的规则.
feature-name表示系统预定义的特性名称,区分大小写.
若不指定特性名称,则表示所有特性.
feature-groupfeature-group-name:配置基于特性组的规则.
feature-group-name表示特性组名称,为1~31个字符的字符串,区分大小写.
只有特性组创建后,基于特性组的规则才能生效.
使用displayrolefeature-group命令可以查看已创建的特性组信息.
oidoid-string:配置基于MIB节点OID(ObjectIdentifier,对象标识符)的规则.
oid-string表示允许操作的OID,为1~255个字符的字符串,不区分大小写.
OID是由一系列的整数组成,标明节点在MIB树中的位置,它能唯一地标识一个MIB库中的对象.
例如:1.
3.
6.
1.
4.
1.
25506.
8.
35.
14.
19.
1.
1.
web-menu[web-string]:配置基于Web菜单的规则.
web-string表示允许操作的Web菜单选项的ID路径,为1~255个字符的字符串,不区分大小写,以"/"为分隔符来分隔不同级别的菜单.
合法的web-string为通过displaywebmenu命令显示的ID路径,例如:M_DEVICE/I_BASIC_INFO/I_reboot;若不指定web-string参数,则表示对所有菜单选项生效.
1-20xml-element[xml-string]:配置基于XML元素的规则.
xml-string表示允许操作的XML元素的XPath,为1~255个字符的字符串,不区分大小写,以"/"为分隔符来分隔不同级别的菜单,例如:Interfaces/Index/Name;若不指定xml-string参数,则表示对所有XML元素生效.
all:指定所有权限规则.
【使用指导】可为一个用户角色定义以下几种类型的规则:禁止或允许执行特定的命令行.
禁止或允许执行指定或所有特性的某一类或某几类命令.
禁止或允许执行某个特性组中所有特性的某一类或某几类命令.
禁止或允许执行指定所有或指定的MIB节点OID.
禁止或允许执行Web页面中所有菜单选项或某几类菜单选项.
禁止或允许执行所有XML元素或某几类XML元素.
每个用户角色中最多可以配置256条规则,系统中可以配置的用户角色规则总数不能超过1024.
访问文件系统的命令,受基于文件系统特性规则以及具体命令规则的双重控制.
对于需要将输出信息重定向到文件中保存的命令,只有在用户角色被授权了文件系统写权限后才允许执行.
为用户角色定义规则时,需要注意的是:如果指定编号的规则不存在,则表示创建一条新的规则;如果指定编号的规则已存在,则表示对已有的规则进行修改.
修改后的规则对于当前已经在线的用户不生效,对于之后使用该角色登录设备的用户生效.
一个用户角色中允许创建多条规则,各规则以创建时指定的编号为唯一标识,被授权该角色的用户可以执行的命令为这些规则定义的可执行命令的并集.
若这些规则定义的权限内容有冲突,则规则编号大的有效.
例如,规则1允许执行命令A,规则2允许执行命令B,规则3禁止执行命令A,则最终规则2和规则3生效,即禁止执行命令A,允许执行命令B.
在同时存在系统预定义规则(以sys-x为权限规则编号,x为整数值)和自定义规则的用户角色中,若预定义规则定义的权限内容与自定义规则定义的权限内容有冲突,则以自定义规则为准.
输入命令特征字符串时,需要遵循以下规则:(1)段(segment)的划分若要描述多级视图下的命令,则需要使用分号(;)将命令特征字符串分成多个段,每一个段代表一个或一系列命令,后一个段中的命令是执行前一个段中命令所进入视图下的命令.
一个段中可以包含多个星号(*),每个星号(*)代表了0个或多个任意字符.
例如:命令特征字符串"system;interface*;ip*;"代表从系统视图进入到任意接口视图后,以ip开头的所有命令.
除最后一个段外,其余段中的命令应为描述如何进入子视图的命令特征字符串.
一个段中必须至少出现一个可打印字符,不能全部为空格或Tab.
(2)分号的使用在输入命令特征字符串时必须指定该命令所在的视图,进入各视图的命令特征字符串由分号分隔.
但是,对于能在任意视图下执行的命令(例如display命令)以及用户视图下的命令(例1-21如dir命令),在配置包含此类命令的规则时,不需要在规则的命令匹配字符串中指定其所在的视图.
当最后一个段中的最后一个可见字符为分号时,表示所指的命令范围不再扩展,否则将向子视图中的命令扩展.
例如:命令特征字符串"system;radiusscheme*;"代表系统视图下以radiusscheme开头的所有命令;命令特征字符串"system;radiusscheme*"代表系统视图下以radiusscheme开头的所有命令,以及进入子视图(RADIUS方案视图)下的所有命令.
(3)星号的使用当星号(*)出现在一个段的首部时,其后面不能再出现其它可打印字符,且该段必须是命令特征字符串的最后一个段.
例如:命令特征字符串"system;*"就代表了系统视图下的所有命令,以及所有子视图下的命令.
当星号(*)出现在一个段的中间时,该段必须是命令特征字符串的最后一个段.
例如:命令特征字符串"debugging*event"就代表了用户视图下所有模块的事件调试信息开关命令.
(4)前缀匹配命令关键字与命令特征字符串是采用前缀匹配算法进行匹配的,即只要命令行中关键字的首部若干连续字符或全部字符与规则中定义的关键字相匹配,就认为该命令行与此规则匹配.
因此,命令特征字符串中可以包括完整的或部分的命令关键字.
例如,若规则"rule1denycommanddisplayarpsource"生效,则命令displayarpsource-macinterface和命令displayarpsource-suppression都会被禁止执行.
对于基于命令的规则,有以下使用注意事项:基于命令的规则只对指定视图下的命令生效.
若用户输入的命令在当前视图下不存在而在其父视图下被查找到时,用于控制当前视图下的命令的规则不会对其父视图下的命令执行权限进行控制.
display命令中的重定向符("|"、">"、">>")及其后面的关键字不被作为命令行关键字参与规则的匹配.
例如,若规则"rule1permitcommanddisplaydebugging"生效,则命令displaydebugging>log是被允许执行的,其中的关键字>log将被忽略,RBAC只对重定向符前面的命令行displaydebugging进行匹配.
但是,如果在规则中配置了重定向符,则RBAC会将其作为普通字符处理.
例如,若规则"rule1permitcommanddisplaydebugging>log"生效,则命令displaydebugging>log将会匹配失败,因为其中的关键字>log被RBAC忽略了,最终是命令displaydebugging与规则进行匹配.
因此,配置规则时不要使用重定向符.
进行基于OID的规则的匹配时,遵循以下规则:与用户访问的OID形成最长匹配的规则生效.
例如用户访问的OID为1.
3.
6.
1.
4.
1.
25506.
141.
3.
0.
1,角色中存在"rule1permitreadwriteoid1.
3.
6","rule2denyreadwriteoid1.
3.
6.
1.
4.
1"和"rule3permitreadwriteoid1.
3.
6.
1.
4",其中rule2与用户访问的OID形成最长匹配,则认为rule2与OID匹配,匹配的结果为用户的此访问请求被拒绝.
对于定义的OID长度相同的规则,规则编号大的生效.
例如用户访问的OID为1.
3.
6.
1.
4.
1.
25506.
141.
3.
0.
1,角色中存在"rule1permitreadwriteoid1.
3.
6","rule2denyreadwriteoid1.
3.
6.
1.
4.
1"和"rule3permitreadwriteoid1.
3.
6.
1.
4.
1",其中rule2和rule3与访问的OID形成最长匹配,则rule3生效,匹配的结果为用户的访问请求被允许.
1-22【举例】#为用户角色role1创建一条规则,允许用户执行命令displayarp.
system-view[Sysname]rolenamerole1[Sysname-role-role1]rule1permitcommanddisplayarp#为用户角色role1添加一条权限规则,允许用户执行所有以display开头的命令.
[Sysname-role-role1]rule2permitcommanddisplay*#为用户角色role1添加一条权限规则,允许用户执行系统视图下的radiusschemeaaa命令,以及使用该命令进入子视图后的所有命令.
[Sysname-role-role1]rule3permitcommandsystem;radiusschemeaaa#为用户角色role1添加一条权限规则,禁止用户执行所有特性中读类型和写类型的命令.
[Sysname-role-role1]rule4denyreadwritefeature#为用户角色role1添加一条权限规则,禁止用户执行特性aaa中所有读类型的命令.
[Sysname-role-role1]rule5denyreadfeatureaaa#为用户角色role1添加一条权限规则,允许执行特性组security-features中所有特性的读类型、写类型以及执行类型的命令.
[Sysname-role-role1]rule6permitreadwriteexecutefeature-groupsecurity-features#为用户角色role1添加一条基于OID的规则,允许对OID为1.
1.
2的MIB节点进行读、写操作.
[Sysname-role-role1]rule7permitreadwriteoid1.
1.
2【相关命令】displayroledisplayrolefeaturedisplayrolefeature-groupdisplaywebmenu(基础配置命令参考/登录设备)role1.
1.
13supersuper命令用来使用户从当前角色切换到指定的用户角色.
【命令】super[role-name]【视图】用户视图【缺省用户角色】network-admin【参数】role-name:待切换的用户角色名称,为1~63个字符的字符串,区分大小写,可以是系统中已存在的除security-audit之外的任意用户角色.
若不指定本参数,则切换到当前缺省的目的用户角色.
缺省的目的用户角色由superdefaultrole命令指定.
1-23【使用指导】切换后的用户角色只对当前登录生效,用户重新登录后,又会恢复到原有角色.
为了保证操作的安全性,通常用户进行用户角色切换时,均需要输入用户角色切换密码.
切换到不同的用户角色时,需要输入相应切换密码.
如果服务器没有响应或者没有配置用户角色切换密码,则切换操作失败,若还有备份认证方案,则转而进行备份认证.
因此,在进行切换操作前,请先保证配置了正确的用户角色切换密码.
在切换用户角色时,需要注意的是:若级别切换认证方式为local,在设备上未配置切换密码的情况下,对于AUX用户,设备不关心用户是否输入切换密码以及输入切换密码的内容,可允许用户成功切换用户角色.
若级别切换认证方式为localscheme,在设备上未配置切换密码的情况下,对于VTY用户,则转为远程AAA认证;对于AUX用户,设备不关心用户是否输入切换密码以及输入切换密码的内容,可允许用户成功切换用户角色.
【举例】#将用户角色切换到network-operator.
(假设用户当前的角色为network-admin,切换认证方式为local,切换密码已经设置)supernetwork-operatorPassword:Userprivilegeroleisnetwork-operator,andonlythosecommandsthatauthorizedtotherolecanbeused.
【相关命令】authenticationsuper(安全命令参考/AAA)superauthentication-modesuperpassword1.
1.
14superauthentication-modesuperauthentication-mode命令用来设置切换用户角色时使用的认证方式.
undosuperauthentication-mode命令用来恢复缺省情况.
【命令】superauthentication-mode{local|scheme}*undosuperauthentication-mode【缺省情况】采用local认证方式.
【视图】系统视图【缺省用户角色】network-admin【参数】local:使用本地配置的用户角色切换密码进行认证.
1-24scheme:使用AAA配置进行认证.
【使用指导】使用本地密码认证时,需要通过superpassword命令在设备上配置用户角色切换的密码.
使用远程AAA认证时,需要在RADIUS或HWTACACS服务器上配置用户名和用户角色切换密码.
用户可以选择使用local或者scheme方式认证,也可以同时选择local和scheme方式,多选时根据配置顺序依次认证.
localscheme方式:先进行本地密码认证,若设备上未设置本地用户角色切换密码,使用VTY用户线登录的用户则转为远程AAA认证,使用AUX用户线登录的用户则可以成功切换用户角色.
schemelocal方式:先进行远程AAA认证,远程HWTACACS/RADIUS服务器无响应或设备上的AAA远程认证配置无效时,转为本地密码认证.
scheme认证方式需要与AAA的认证方案相配合,具体请参考"安全配置指导"中的"AAA".
【举例】#配置切换用户角色时采用local认证方式.
system-view[Sysname]superauthentication-modelocal#配置切换用户角色时采用先scheme后local的认证方式.
system-view[Sysname]superauthentication-modeschemelocal【相关命令】authenticationsuper(安全命令参考/AAA)superpassword1.
1.
15superdefaultrolesuperdefaultrole命令用来配置用户角色切换的缺省目的角色.
undosuperdefaultrole命令用来恢复缺省情况.
【命令】superdefaultrolerole-nameundosuperdefaultrole【缺省情况】用户角色切换的缺省目的角色为network-admin.
【视图】系统视图【缺省用户角色】network-admin【参数】role-name:待切换的用户角色名称,为1~63个字符的字符串,区分大小写,可以是系统中已存在的除security-audit之外的任意用户角色.
1-25【使用指导】当执行super命令切换用户角色时,或配置用户角色切换的密码时,如不指定目的切换的角色名称,则表示使用superdefaultrole命令配置的缺省用户角色.
【举例】#配置用户切换角色的缺省目的角色为network-operator.
system-view[Sysname]superdefaultrolenetwork-operator【相关命令】supersuperpassword1.
1.
16superpasswordsuperpassword命令用来设置用户角色切换的密码.
undosuperpassword命令用来删除用户角色切换密码.
【命令】superpassword[rolerole-name][{hash|simple}string]undosuperpassword[rolerole-name]【缺省情况】未设置用户角色切换密码.
【视图】系统视图【缺省用户角色】network-admin【参数】rolerole-name:待切换的用户角色的名称,为1~63个字符的字符串,区分大小写,可以为系统中已存在的除security-audit之外的任意用户角色.
如果不指定角色名称,则表示设置的是切换到当前缺省目的用户角色的密码.
缺省的目的用户角色由superdefaultrole命令指定.
hash:以哈希方式设置密码.
simple:以明文方式设置密码,该密码将以哈希计算后的密文形式存储.
string:密码字符串,区分大小写.
明文密码为1~63个字符的字符串;哈希密码为1~110个字符的字符串.
【使用指导】如果不指定hash或simple参数,superpassword[rolerole-name]命令将以交互式方式设置本地用户密码,涵义与指定simple关键字相同.
当用户切换认证方式为local或包含local(localscheme、schemelocal)时,才需要本命令指定的用户角色切换密码.
为保证权限控制更加安全,推荐给不同的用户角色指定不同的切换密码.
1-26【举例】#配置将用户角色切换到network-operator时使用的密码为明文密码123456TESTplat&!
.
system-view[Sysname]superpasswordrolenetwork-operatorsimple123456TESTplat&!
#以交互式方式设置将用户角色切换到network-operator时使用的密码为明文密码123456TESTplat&!
.
system-view[Sysname]superpasswordrolenetwork-operatorPassword:Confirm:Updatinguserinformation.
Pleasewait.
.
.
.
.
.
【相关命令】superauthentication-modesuperdefaultrole1.
1.
17superuse-login-usernamesuperuse-login-username命令用来配置用户角色切换认证时使用用户登录的用户名进行认证.
undosuperuse-login-username命令用来恢复缺省情况.
【命令】superuse-login-usernameundosuperuse-login-username【缺省情况】用户角色切换认证时系统提示用户输入用户名进行认证.
【视图】系统视图【缺省用户角色】network-admin【使用指导】通过开启本功能,在设备采用远程AAA认证方案进行用户角色切换认证,且用户采用用户名和密码方式登录设备的情况下,用户切换用户角色时,设备会自动获取用户登录使用的用户名作为角色切换认证的用户名,不再提示用户输入用户名.
开启本功能后,若设备采用远程AAA认证方案进行用户角色切换认证,但用户未采用用户名和密码方式登录设备,则用户角色切换失败.
若设备未采用远程AAA认证方案进行用户角色切换认证,则本功能配置无效.
【举例】#配置用户角色切换认证时使用用户登录的用户名进行认证.
system-view[Sysname]superuse-login-username1-27【相关命令】authenticationsuper(安全命令参考/AAA)superauthentication-modesuperpassword1.
1.
18vlanpolicydenyvlanpolicydeny命令用来进入VLAN策略视图.
undovlanpolicydeny命令用来恢复缺省情况.
【命令】vlanpolicydenyundovlanpolicydeny【缺省情况】用户具有操作任何VLAN的权限.
【视图】用户角色视图【缺省用户角色】network-admin【使用指导】进入VLAN策略视图后,如果不配置允许操作的VLAN列表,则用户将没有操作任何VLAN的权限;如果需要限制或区分用户对VLAN资源的使用权限,则还应该通过permitvlan命令配置允许用户操作的VLAN列表.
若VLAN策略视图中未配置允许操作的VLAN列表,则表示不允许用户操作所有的VLAN.
对VLAN的"操作"指的是创建并进入VLAN视图、删除和应用VLAN.
允许修改用户角色的VLAN策略,但修改后的策略只对被授权该角色的用户重新登录时才会生效.
【举例】#在用户角色role1中,进入VLAN策略视图,禁止角色为role1的用户操作任意VLAN.
system-view[Sysname]rolenamerole1[Sysname-role-role1]vlanpolicydeny[Sysname-role-role1-vlanpolicy]quit#在用户角色role1中,进入VLAN策略视图,允许角色为role1的用户操作VLAN50~VLAN100.
system-view[Sysname]rolenamerole1[Sysname-role-role1]vlanpolicydeny[Sysname-role-role1-vlanpolicy]permitvlan50to100【相关命令】displayrolepermitvlanrole
1RBAC配置命令1-11.
1.
1description1-11.
1.
2displayrole·1-11.
1.
3displayrolefeature·1-81.
1.
4displayrolefeature-group·1-101.
1.
5feature1-121.
1.
6interfacepolicydeny·1-121.
1.
7permitinterface1-131.
1.
8permitvlan1-151.
1.
9role·1-161.
1.
10roledefault-roleenable·1-171.
1.
11rolefeature-group1-181.
1.
12rule1-181.
1.
13super·1-221.
1.
14superauthentication-mode·1-231.
1.
15superdefaultrole1-241.
1.
16superpassword1-251.
1.
17superuse-login-username1-261.
1.
18vlanpolicydeny·1-271-11RBAC1.
1RBAC配置命令1.
1.
1descriptiondescription命令用来配置用户角色的描述信息,用来方便管理员对用户角色进行管理.
undodescription命令用来恢复缺省情况.
【命令】descriptiontextundodescription【缺省情况】未定义用户角色描述信息.
【视图】用户角色视图【缺省用户角色】network-admin【参数】text:用户角色描述信息,为1~128个字符的字符串,区分大小写.
【举例】#为用户角色role1配置描述信息为"labVIP".
system-view[Sysname]rolenamerole1[Sysname-role-role1]descriptionlabVIP【相关命令】displayrolerole1.
1.
2displayroledisplayrole命令用来显示用户角色信息.
【命令】displayrole[namerole-name]【视图】任意视图【缺省用户角色】network-admin1-2netword-operator【参数】namerole-name:用户角色名称,为1~63个字符的字符串,区分大小写.
如果不指定用户角色名称,则表示显示所有用户角色的信息,包括系统缺省存在的用户角色的信息.
【举例】#显示用户角色123的信息.
displayrolename123Role:123Description:newroleVLANpolicy:denyPermittedVLANs:1to5,7to8Interfacepolicy:denyVPNinstancepolicy:permit(default)RulePermTypeScopeEntity1permitRWXfeature-groupabc2deny-W-featureldap3permitcommandsystem;radiussc*4permitR--xml-element-5permitRW-oid1.
2.
1R:ReadW:WriteX:Execute#显示所有用户角色的信息.
displayroleRole:network-adminDescription:PredefinednetworkadminrolehasaccesstoallcommandsonthedeviceVLANpolicy:permit(default)Interfacepolicy:permit(default)VPNinstancepolicy:permit(default)RulePermTypeScopeEntitysys-1permitcommand*sys-2permitRWXweb-menu-sys-3permitRWXxml-element-sys-4denycommanddisplaysecurity-logfilesummarysys-5denycommanddisplaysecurity-logfilebuffersys-6denycommandsystem-view;info-centersecurity-logfiledirectory*sys-7denycommandsecurity-logfilesavesys-8permitRW-oid1R:ReadW:WriteX:ExecuteRole:network-operatorDescription:Predefinednetworkoperatorrolehasaccesstoallreadcommands1-3onthedeviceVLANpolicy:permit(default)Interfacepolicy:permit(default)VPNinstancepolicy:permit(default)RulePermTypeScopeEntitysys-1permitcommanddisplay*sys-2permitcommandxmlsys-3permitcommandsystem-view;probe;display*sys-4denycommanddisplayhistory-commandallsys-5denycommanddisplayexception*sys-6denycommanddisplaycpu-usageconfiguration*sys-7denycommanddisplaykernelexception*sys-8denycommanddisplaykerneldeadloop*sys-9denycommanddisplaykernelstarvation*sys-10denycommanddisplaykernelreboot*sys-11denycommanddisplaymemorytrace*sys-12denycommanddisplaykernelmemory*sys-13permitcommandsystem-view;local-user*sys-16permitR--web-menu-sys-17permitRW-web-menum_device/m_maintenance/m_changepasswordsys-18permitR--xml-element-sys-19denycommanddisplaysecurity-logfilesummarysys-20denycommanddisplaysecurity-logfilebuffersys-21denycommandsystem-view;info-centersecurity-logfiledirectory*sys-22denycommandsecurity-logfilesavesys-23denycommandsystem-view;local-user-import*sys-24denycommandsystem-view;local-user-export*sys-25permitR--oid1R:ReadW:WriteX:ExecuteRole:level-0Description:Predefinedlevel-0roleVLANpolicy:permit(default)Interfacepolicy:permit(default)VPNinstancepolicy:permit(default)RulePermTypeScopeEntitysys-1permitcommandtracert*sys-2permitcommandtelnet*sys-3permitcommandping*1-4sys-4permitcommandssh2*sys-5permitcommandsuper*sys-6permitcommandmtrace*R:ReadW:WriteX:ExecuteRole:level-1Description:Predefinedlevel-1roleVLANpolicy:permit(default)Interfacepolicy:permit(default)VPNinstancepolicy:permit(default)RulePermTypeScopeEntitysys-1permitcommandtracert*sys-2permitcommandtelnet*sys-3permitcommandping*sys-4permitcommandssh2*sys-5permitcommanddisplay*sys-6permitcommandsuper*sys-7denycommanddisplayhistory-commandallsys-8permitcommandmtrace*R:ReadW:WriteX:ExecuteRole:level-2Description:Predefinedlevel-2roleVLANpolicy:permit(default)Interfacepolicy:permit(default)VPNinstancepolicy:permit(default)Role:level-3Description:Predefinedlevel-3roleVLANpolicy:permit(default)Interfacepolicy:permit(default)VPNinstancepolicy:permit(default)Role:level-4Description:Predefinedlevel-4roleVLANpolicy:permit(default)Interfacepolicy:permit(default)VPNinstancepolicy:permit(default)Role:level-5Description:Predefinedlevel-5roleVLANpolicy:permit(default)Interfacepolicy:permit(default)VPNinstancepolicy:permit(default)Role:level-61-5Description:Predefinedlevel-6roleVLANpolicy:permit(default)Interfacepolicy:permit(default)VPNinstancepolicy:permit(default)Role:level-7Description:Predefinedlevel-7roleVLANpolicy:permit(default)Interfacepolicy:permit(default)VPNinstancepolicy:permit(default)Role:level-8Description:Predefinedlevel-8roleVLANpolicy:permit(default)Interfacepolicy:permit(default)VPNinstancepolicy:permit(default)Role:level-9Description:Predefinedlevel-9roleVLANpolicy:permit(default)Interfacepolicy:permit(default)VPNinstancepolicy:permit(default)RulePermTypeScopeEntitysys-1permitRWXfeature-sys-2denyRWXfeaturedevicesys-3denyRWXfeaturefilesystemsys-4permitcommanddisplay*sys-5denycommanddisplayhistory-commandallR:ReadW:WriteX:ExecuteRole:level-10Description:Predefinedlevel-10roleVLANpolicy:permit(default)Interfacepolicy:permit(default)VPNinstancepolicy:permit(default)Role:level-11Description:Predefinedlevel-11roleVLANpolicy:permit(default)Interfacepolicy:permit(default)VPNinstancepolicy:permit(default)Role:level-12Description:Predefinedlevel-12roleVLANpolicy:permit(default)Interfacepolicy:permit(default)1-6VPNinstancepolicy:permit(default)Role:level-13Description:Predefinedlevel-13roleVLANpolicy:permit(default)Interfacepolicy:permit(default)VPNinstancepolicy:permit(default)Role:level-14Description:Predefinedlevel-14roleVLANpolicy:permit(default)Interfacepolicy:permit(default)VPNinstancepolicy:permit(default)Role:level-15Description:Predefinedlevel-15roleVLANpolicy:permit(default)Interfacepolicy:permit(default)VPNinstancepolicy:permit(default)RulePermTypeScopeEntitysys-1permitcommand*sys-2permitRWXweb-menu-sys-3permitRWXxml-element-sys-4denycommanddisplaysecurity-logfilesummarysys-5denycommanddisplaysecurity-logfilebuffersys-6denycommandsystem-view;info-centersecurity-logfiledirectory*sys-7denycommandsecurity-logfilesavesys-8permitRW-oid1R:ReadW:WriteX:ExecuteRole:security-auditDescription:PredefinedsecurityauditroleonlyhasaccesstocommandsforthesecuritylogadministratorVLANpolicy:permit(default)Interfacepolicy:permit(default)VPNinstancepolicy:permit(default)RulePermTypeScopeEntitysys-1denycommand*sys-2permitcommanddisplaysecurity-logfilesummarysys-3permitcommanddisplaysecurity-logfilebuffersys-4permitcommandsystem-view;info-centersecurity-logfiledirectory*sys-5permitcommandsecurity-logfilesave1-7sys-6permitcommandcd*sys-7permitcommandcopy*sys-8permitcommanddelete*sys-9permitcommanddir*sys-10permitcommandmkdir*sys-11permitcommandmore*sys-12permitcommandmove*sys-13permitcommandrmdir*sys-14permitcommandpwdsys-15permitcommandrename*sys-16permitcommandundelete*sys-17permitcommandftp*sys-18permitcommandsftp*R:ReadW:WriteX:Execute表1-1displayrole命令显示信息描述表字段描述Role用户角色名称,其中系统预定义的用户角色名称分别为network-admin、network-operator、level-n(n为0~15)、security-auditDescription用户角色描述信息VLANpolicy配置的VLAN策略:deny:表示除允许操作指定的VLAN外,其它VLAN均不能被用户操作permit(default):表示系统缺省允许用户操作任何VLANPermittedVLANs允许用户操作的VLANInterfacepolicy配置的接口策略:deny:表示除允许操作指定的接口外,其它接口均不能被用户操作permit(default):表示系统缺省允许用户操作任何接口Permittedinterfaces允许用户操作的接口VPN-instancepolicy(暂不支持)配置的VPN策略:deny:表示除允许操作指定的VPN实例外,其它VPN实例均不能被用户操作permit(default):表示系统缺省允许用户操作任何VPN实例PermittedVPNinstances(暂不支持)允许用户操作的VPN实例Rule用户角色规则编号(系统预定义的权限规则通过sys-n标识)Perm对命令行的操作许可:permit:允许操作deny:禁止操作Type命令行类型:R:读类型W:写类型X:执行类型1-8字段描述Scope用户角色规则的类型:command:基于命令行的规则feature:基于特性的规则feature-group:基于特性组规则web-menu:基于Web菜单的规则xml-element:基于XML元素的规则oid:基于OID元素的规则Entity用户角色规则中定义的具体内容(命令特征字符串、特性名称、特性组名称、Web菜单、XML元素或OID)"-"表示所有特性"*"为通配符,表示0个或多个任意字符【相关命令】role1.
1.
3displayrolefeaturedisplayrolefeature命令用来显示特性相关信息.
【命令】displayrolefeature[namefeature-name|verbose]【视图】任意视图【缺省用户角色】network-adminnetword-operator【参数】namefeature-name:显示指定特性的详细信息,feature-name表示系统中的特性名称,且所有特性名称中的字母均为小写.
verbose:显示所有特性的详细信息,即显示特性内包含的所有命令行列表.
【使用指导】如果不指定任何关键字,则显示系统中所有特性的名称列表.
【举例】#显示系统中所有特性的名称列表.
displayrolefeatureFeature:device(Deviceconfigurationrelatedcommands)Feature:interface(Interfacerelatedcommands)Feature:syslog(Syslogrelatedcommands)……(略)1-9#显示所有特性的详细信息.
displayrolefeatureverboseFeature:device(Deviceconfigurationrelatedcommands)displayclock(R)debuggingdev(W)displaydebuggingdev(R)displaydevice*(R)displaydiagnostic-information*(R)displayenvironment*(R)displayalarm*(R)displaysystem-working-mode(R)displaycurrent-configuration*(R)displaysaved-configuration*(R)displaydefault-configuration*(R)displaystartup(R)displaythis*(R)……(略)#显示特性aaa的详细信息.
displayrolefeaturenameaaaFeature:aaa(AAArelatedcommands)system-view;domain*(W)system-view;header*(W)system-view;aaa*(W)system-view;probe;displaysysteminternalaaa*(R)displaydomain*(R)displayaaa*(R)system-view;user-group*(W)system-view;local-user*(W)displaylocal-user*(R)displayuser-group*(R)displaydebugginglocal-server(R)debugginglocal-server*(W)super*(X)……(略)表1-2displayrolefeature命令显示信息描述表(以displayrolefeaturenameaaa的显示字段为例)字段描述Feature特性名称以及功能简介system-view;domain*系统视图下以domain开头的所有命令,以及ISP域视图下的所有命令system-view;header*系统视图下以header开头的所有命令system-view;aaa*系统视图下以aaa开头的所有命令displaydomain*用户视图下以displaydomain开头的所有命令displayaaa*用户视图下以displayaaa开头的所有命令system-view;user-group*系统视图下以user-group开头的所有命令,以及用户组视图下的所有命令1-10字段描述system-view;local-user*系统视图下以local-user开头的所有命令,以及本地用户视图下的所有命令displaylocal-user*用户视图下以displaylocal-user开头的所有命令displayuser-group*用户视图下以displayuser-group开头的所有命令displaydebugginglocal-server用户视图下以命令displaydebugginglocal-server开头的所有命令debugginglocal-server*用户视图下以debugginglocal-server开头的所有命令super*用户视图下以super开头的所有命令(W)命令行的类型为写命令,本类型的命令用于对系统进行配置(R)命令行的类型为读命令,本类型的命令仅能显示系统配置信息和维护信息(X)命令行的类型为执行命令,本类型的命令用于执行特定的功能【相关命令】feature1.
1.
4displayrolefeature-groupdisplayrolefeature-group命令用来显示特性组信息.
【命令】displayrolefeature-group[namefeature-group-name][verbose]【视图】任意视图【缺省用户角色】network-adminnetword-operator【参数】namefeature-group-name:显示指定特性组包含的特性名称列表.
feature-group-name表示特性组名称,为1~31个字符的字符串,区分大小写.
如果不指定本参数,则表示显示所有特性组的相关信息.
verbose:显示特性组的详细信息,即显示特性组内的特性所包含的命令行列表.
如果不指定本参数,则表示显示特性组中的特性名称列表.
【使用指导】特性组L2和L3为系统预定义的两个特性组.
【举例】#显示所有特性组内的特性名称列表.
displayrolefeature-groupFeaturegroup:L21-11Feature:lacp(LACPrelatedcommands)Feature:cfm(CFMrelatedcommands)Feature:eoam(EOAMrelatedcommands)Feature:smart-link(Smart-linkrelatedcommands)Feature:monitor-link(Monitor-linkrelatedcommands)Feature:loopbk-detect(Loopback-detectionrelatedcommands)Feature:vlan(VirtualLANrelatedcommands)Feature:ofp(OFPrelatedcommands)Feature:drni(DRNIrelatedcommands)Featuregroup:L3Feature:route(Routemanagementrelatedcommands)Feature:staticrt(Unicaststaticrouterelatedcommands)Feature:lisp(LISPprotocolrelatedcommands)#显示所有特性组的详细信息.
displayrolefeature-groupverboseFeaturegroup:L2Feature:lacp(LACPrelatedcommands)displaylink-aggregation*(R)displaylacp*(R)system-view;link-aggregation*(W)system-view;lacp*(W)system-view;interface*;link-aggregation*(W)system-view;interface*;portlink-aggregation*(W)system-view;interface*;lacp*(W)system-view;probe;displaysysteminternallink-aggregation*(R)system-view;probe;debuggingsysteminternallink-aggregation*(W)resetlacp*(W)debugginglink-aggregation*(W)displaydebugginglink-aggregation*(R)……(略)#显示特性组L3的特性名称列表.
displayrolefeature-groupnameL3Featuregroup:L3Feature:route(Routemanagementrelatedcommands)Feature:staticrt(Unicaststaticrouterelatedcommands)Feature:lisp(LISPprotocolrelatedcommands)表1-3displayrolefeature-group命令显示信息描述表字段描述Featuregroup特性组名称,其中L2和L3为系统预定义的两个特性组Feature特性名称以及功能简介关于特性内具体命令的详细介绍请参考表1-2【相关命令】feature1-12rolefeature-group1.
1.
5featurefeature命令用来向特性组中添加一个特性.
undofeature命令用来删除特性组中的指定特性.
【命令】featurefeature-nameundofeaturefeature-name【缺省情况】自定义特性组中不包括任何特性.
【视图】特性组视图【缺省用户角色】network-admin【参数】feature-name:系统支持的特性名称,所有特性名称中的字母均为小写.
【使用指导】可通过多次执行本命令,向特性组中添加多个特性.
【举例】#向特性组security-features中添加特性AAA.
system-view[Sysname]rolefeature-groupnamesecurity-features[Sysname-featuregrp-security-features]featureaaa【相关命令】displayrolefeaturedisplayrolefeature-grouprolefeature-group1.
1.
6interfacepolicydenyinterfacepolicydeny命令用来进入接口策略视图.
undointerfacepolicydeny命令用来恢复缺省情况.
【命令】interfacepolicydenyundointerfacepolicydeny【缺省情况】用户具有操作任何接口的权限.
1-13【视图】用户角色视图【缺省用户角色】network-admin【使用指导】进入接口策略视图后,如果不配置允许操作的接口列表,则用户将没有操作任何接口的权限;如果需要限制或区分用户对接口资源的使用权限,则还应该通过permitinterface命令配置允许用户操作的接口列表.
若接口策略视图中未配置允许操作的接口列表,则表示不允许用户操作所有的接口.
对接口的操作指的是创建接口并进入接口视图、删除和应用接口.
其中,创建和删除接口,仅针对逻辑接口.
允许修改用户角色的接口策略,但修改后的策略只在被授权该角色的用户重新登录时才会生效.
【举例】#在用户角色role1中,进入接口策略视图,并禁止角色为role1的用户操作任何接口.
system-view[Sysname]rolenamerole1[Sysname-role-role1]interfacepolicydeny[Sysname-role-role1-ifpolicy]quit#在用户角色role1中,进入接口策略视图,允许角色为role1的用户操作接口FC1/1/1到FC1/1/3.
system-view[Sysname]rolenamerole1[Sysname-role-role1]interfacepolicydeny[Sysname-role-role1-ifpolicy]permitinterfacefc1/1/1tofc1/1/3【相关命令】displayrolepermitinterfacerole1.
1.
7permitinterfacepermitinterface命令用来配置允许用户操作的接口列表.
undopermitinterface命令用来禁止用户操作指定的或所有的接口.
【命令】permitinterfaceinterface-listundopermitinterface[interface-list]【缺省情况】接口策略视图下未定义允许操作的接口列表,用户没有操作任何接口的权限.
【视图】接口策略视图【缺省用户角色】network-admin1-14【参数】interfaceinterface-list:允许用户操作的接口列表,表示多个接口,表示方式为interface-list={interface-typeinterface-number[tointerface-typeinterface-number]}&.
其中,interface-type为接口类型,interface-number为接口编号.
&表示前面的参数最多可以输入10次.
起始接口类型必须和终止接口类型一致,并且终止接口编号必须大于起始接口编号.
【使用指导】通过interfacepolicydeny命令进入接口策略视图后,必须要通过本命令配置允许操作的接口列表,用户才能具有操作相应接口的权限.
对接口的操作指的是创建并进入接口视图、删除和应用接口.
其中,创建和删除接口,只针对逻辑接口.
可通过多次执行此命令向接口列表中添加允许用户操作的接口.
undopermitinterface命令如果不指定interface-list参数,则表示禁止用户操作所有接口.
修改后的接口资源控制策略对于当前已经在线的用户不生效,对于之后使用该角色登录设备的用户生效.
【举例】#创建用户角色role1并进入其视图.
system-view[Sysname]rolenamerole1#配置用户角色规则1,允许用户执行进入接口视图以及接口视图下的相关命令.
[Sysname-role-role1]rule1permitcommandsystem-view;interface*#配置用户角色规则2,允许用户执行创建VLAN以及进入VLAN视图后的相关命令.
[Sysname-role-role1]rule2permitcommandsystem-view;vlan*#配置用户角色role1仅可以对接口FC1/1/1以及FC1/1/3~FC1/1/5进行操作.
[Sysname-role-role1]interfacepolicydeny[Sysname-role-role1-ifpolicy]permitinterfacefc1/1/1fc1/1/3tofc1/1/5当拥有用户角色role1的用户登录设备后,可以操作接口FC1/1/1以及FC1/1/3~FC1/1/5,但不能操作其它接口.
配置结果验证如下:进入接口FC1/1/1视图.
system-view[Sysname]interfacefc1/1/1[Sysname-Fc1/1/1]无法进入接口FC1/1/2视图.
system-view[Sysname]interfacefc1/1/2Permissiondenied.
【相关命令】displayroleinterfacepolicydeny1-15role1.
1.
8permitvlanpermitvlan命令用来配置允许用户操作的VLAN列表.
undopermitvlan命令用来禁止用户操作指定的或所有的VLAN.
【命令】permitvlanvlan-id-listundopermitvlan[vlan-id-list]【缺省情况】未定义允许操作的VLAN列表,用户没有操作任何VLAN的权限.
【视图】VLAN策略视图【缺省用户角色】network-admin【参数】vlan-id-list:允许用户操作的VLAN列表,表示方式为vlan-id-list={vlan-id1[tovlan-id2]}&,vlan-id取值范围为1~4094,&表示前面的参数最多可以重复输入10次.
终止VLAN编号必须大于起始VLAN编号.
【使用指导】通过vlanpolicydeny命令进入VLAN策略视图后,必须要通过本命令配置允许操作的VLAN列表,用户才能具有操作相应VLAN的权限.
对VLAN的操作指的是创建VLAN并进入VLAN视图、删除和应用VLAN.
可通过多次执行此命令向VLAN列表中添加多个允许用户操作的VLAN.
undopermitvlan命令如果不指定vlan-id-list参数,则表示禁止用户操作所有VLAN.
修改后的VLAN资源控制策略对于当前已经在线的用户不生效,对于之后使用该角色登录设备的用户生效.
【举例】#创建用户角色role1并进入其视图.
system-view[Sysname]rolenamerole1#配置用户角色规则1,允许用户执行进入接口视图以及接口视图下的相关命令.
[Sysname-role-role1]rule1permitcommandsystem-view;interface*#配置用户角色规则2,允许用户执行创建VLAN以及进入VLAN视图后的相关命令.
[Sysname-role-role1]rule2permitcommandsystem-view;vlan*#配置用户角色role1仅可以操作VLAN1、VLAN2、VLAN4、VLAN50~VLAN100.
[Sysname-role-role1]vlanpolicydeny[Sysname-role-role1-vlanpolicy]permitvlan12450to100当拥有用户角色role1的用户登录设备后,可以操作VLAN1、VLAN2、VLAN4、VLAN50~VLAN100,但不能操作其它VLAN.
1-16配置结果验证如下:创建并进入VLAN100视图.
system-view[Sysname]vlan100[Sysname-vlan100]无法创建VLAN101或进入其视图.
system-view[Sysname]vlan101Permissiondenied.
【相关命令】displayrolerolevlanpolicydeny1.
1.
9rolerole命令用来创建用户角色,并进入用户角色视图.
如果指定的用户角色已经存在,则直接进入用户角色视图.
undorole命令用来删除指定的用户角色.
【命令】rolenamerole-nameundorolenamerole-name【缺省情况】存在系统预定义的用户角色:network-admin、network-operator、level-n(n为0~15的整数)、security-audit.
【视图】系统视图【缺省用户角色】network-admin【参数】namerole-name:用户角色名称,role-name为1~63个字符的字符串,区分大小写.
【使用指导】除系统预定义的缺省用户角色之外,系统中最多允许创建64个用户角色.
缺省的用户角色不能被删除,而且其中的network-admin、network-operator、level-15、security-audit这些用户角色内定义的所有权限均不能被修改;用户角色level-0~level-14可以通过自定义规则和资源控制策略调整自身的权限,但这种修改对于displayhistory-commandall命令不生效,即不能通过添加对应的规则来更改它的缺省执行权限.
非AAA认证用户不能被授予安全日志管理员角色.
1-17【举例】#创建用户角色role1,并进入用户角色视图.
system-view[Sysname]rolenamerole1[Sysname-role-role1]【相关命令】displayroleinterfacepolicydenyrulevlanpolicydeny1.
1.
10roledefault-roleenableroledefault-roleenable命令用来使能缺省用户角色授权功能.
undoroledefault-roleenable命令用来恢复缺省情况.
【命令】roledefault-roleenable[role-name]undoroledefault-roleenable【缺省情况】缺省用户角色授权功能处于关闭状态,没有被AAA授权用户角色的用户不能登录设备.
【视图】系统视图【缺省用户角色】network-admin【参数】role-name:缺省用户角色名称,为1~63个字符的字符串,区分大小写,可以是系统中已存在的任意用户角色.
【使用指导】对于通过AAA认证登录设备的用户,由服务器(远程认证服务器或本地认证服务器)为其授权对应的用户角色.
如果用户没有被授权任何用户角色,将无法成功登录设备.
若未通过authorization-attribute命令配置本地用户或用户组的授权属性,则必须使能缺省用户角色授权功能.
使能该功能后,用户将在没有被服务器授权任何用户角色的情况下,具有一个缺省的用户角色.
若用户通过AAA认证且被授予了具体的用户角色,则用户不具有缺省的用户角色.
若不指定role-name参数,用户登录设备,缺省用户角色为network-operator.
【举例】#使能缺省用户角色授权功能.
system-view[Sysname]roledefault-roleenable1-18【相关命令】role1.
1.
11rolefeature-grouprolefeature-group命令用来创建特性组,并进入特性组视图.
如果指定的特性组已经存在,则直接进入特性组视图.
undorolefeature-group命令用来删除指定的特性组.
【命令】rolefeature-groupnamefeature-group-nameundorolefeature-groupnamefeature-group-name【缺省情况】存在两个特性组,名称分别为L2和L3.
【视图】系统视图【缺省用户角色】network-admin【参数】namefeature-group-name:特性组名称,feature-group-name为1~31个字符的字符串,区分大小写.
【使用指导】除系统预定义的特性组L2和L3之外,系统中最多允许创建64个特性组.
不能修改和删除系统预定义的特性组L2和L3.
L2中包含了所有的二层协议相关功能的命令,L3中包含了所有三层协议相关功能的命令.
【举例】#创建特性组security-features,并进入特性组视图.
system-view[Sysname]rolefeature-groupnamesecurity-features[Sysname-featuregrp-security-features]【相关命令】displayrolefeaturedisplayrolefeature-groupfeature1.
1.
12rulerule命令用来为用户角色创建一条规则.
undorule命令用来为用户角色删除规则.
1-19【命令】rulenumber{deny|permit}{commandcommand-string|{execute|read|write}*{feature[feature-name]|feature-groupfeature-group-name|oidoid-string|web-menu[web-string]|xml-element[xml-string]}}undorule{number|all}【缺省情况】新创建的用户角色中未定义规则,即当前用户角色无任何权限.
【视图】用户角色视图【缺省用户角色】network-admin【参数】number:权限规则编号,取值范围为1~256.
deny:禁止执行指定的命令、Web菜单、XML元素或MIB节点OID.
permit:允许执行指定的命令、Web菜单、XML元素或MIB节点OID.
commandcommand-string:配置基于命令的规则.
command-string表示命令特征字符串,为1~128个字符的字符串,区分大小写,可以是特定的一条命令行,也可以是用星号(*)通配符表示的一批命令,可包含空格、Tab(它们用于分隔关键字、参数以及输入的字符),以及所有可打印字符.
execute:表示执行类型的命令、Web菜单、XML元素或MIB节点OID.
用于执行特定的程序或功能,执行类型的命令如ping命令.
read:表示读类型的命令、Web菜单、XML元素或MIB节点OID,用于显示系统配置和维护信息.
读类型的命如display、dir、more和pwd命令.
write:表示写类型的命令、Web菜单、XML元素或MIB节点OID,用于对系统进行配置.
写类型的命如sshserverenable命令.
feature[feature-name]:配置基于特性的规则.
feature-name表示系统预定义的特性名称,区分大小写.
若不指定特性名称,则表示所有特性.
feature-groupfeature-group-name:配置基于特性组的规则.
feature-group-name表示特性组名称,为1~31个字符的字符串,区分大小写.
只有特性组创建后,基于特性组的规则才能生效.
使用displayrolefeature-group命令可以查看已创建的特性组信息.
oidoid-string:配置基于MIB节点OID(ObjectIdentifier,对象标识符)的规则.
oid-string表示允许操作的OID,为1~255个字符的字符串,不区分大小写.
OID是由一系列的整数组成,标明节点在MIB树中的位置,它能唯一地标识一个MIB库中的对象.
例如:1.
3.
6.
1.
4.
1.
25506.
8.
35.
14.
19.
1.
1.
web-menu[web-string]:配置基于Web菜单的规则.
web-string表示允许操作的Web菜单选项的ID路径,为1~255个字符的字符串,不区分大小写,以"/"为分隔符来分隔不同级别的菜单.
合法的web-string为通过displaywebmenu命令显示的ID路径,例如:M_DEVICE/I_BASIC_INFO/I_reboot;若不指定web-string参数,则表示对所有菜单选项生效.
1-20xml-element[xml-string]:配置基于XML元素的规则.
xml-string表示允许操作的XML元素的XPath,为1~255个字符的字符串,不区分大小写,以"/"为分隔符来分隔不同级别的菜单,例如:Interfaces/Index/Name;若不指定xml-string参数,则表示对所有XML元素生效.
all:指定所有权限规则.
【使用指导】可为一个用户角色定义以下几种类型的规则:禁止或允许执行特定的命令行.
禁止或允许执行指定或所有特性的某一类或某几类命令.
禁止或允许执行某个特性组中所有特性的某一类或某几类命令.
禁止或允许执行指定所有或指定的MIB节点OID.
禁止或允许执行Web页面中所有菜单选项或某几类菜单选项.
禁止或允许执行所有XML元素或某几类XML元素.
每个用户角色中最多可以配置256条规则,系统中可以配置的用户角色规则总数不能超过1024.
访问文件系统的命令,受基于文件系统特性规则以及具体命令规则的双重控制.
对于需要将输出信息重定向到文件中保存的命令,只有在用户角色被授权了文件系统写权限后才允许执行.
为用户角色定义规则时,需要注意的是:如果指定编号的规则不存在,则表示创建一条新的规则;如果指定编号的规则已存在,则表示对已有的规则进行修改.
修改后的规则对于当前已经在线的用户不生效,对于之后使用该角色登录设备的用户生效.
一个用户角色中允许创建多条规则,各规则以创建时指定的编号为唯一标识,被授权该角色的用户可以执行的命令为这些规则定义的可执行命令的并集.
若这些规则定义的权限内容有冲突,则规则编号大的有效.
例如,规则1允许执行命令A,规则2允许执行命令B,规则3禁止执行命令A,则最终规则2和规则3生效,即禁止执行命令A,允许执行命令B.
在同时存在系统预定义规则(以sys-x为权限规则编号,x为整数值)和自定义规则的用户角色中,若预定义规则定义的权限内容与自定义规则定义的权限内容有冲突,则以自定义规则为准.
输入命令特征字符串时,需要遵循以下规则:(1)段(segment)的划分若要描述多级视图下的命令,则需要使用分号(;)将命令特征字符串分成多个段,每一个段代表一个或一系列命令,后一个段中的命令是执行前一个段中命令所进入视图下的命令.
一个段中可以包含多个星号(*),每个星号(*)代表了0个或多个任意字符.
例如:命令特征字符串"system;interface*;ip*;"代表从系统视图进入到任意接口视图后,以ip开头的所有命令.
除最后一个段外,其余段中的命令应为描述如何进入子视图的命令特征字符串.
一个段中必须至少出现一个可打印字符,不能全部为空格或Tab.
(2)分号的使用在输入命令特征字符串时必须指定该命令所在的视图,进入各视图的命令特征字符串由分号分隔.
但是,对于能在任意视图下执行的命令(例如display命令)以及用户视图下的命令(例1-21如dir命令),在配置包含此类命令的规则时,不需要在规则的命令匹配字符串中指定其所在的视图.
当最后一个段中的最后一个可见字符为分号时,表示所指的命令范围不再扩展,否则将向子视图中的命令扩展.
例如:命令特征字符串"system;radiusscheme*;"代表系统视图下以radiusscheme开头的所有命令;命令特征字符串"system;radiusscheme*"代表系统视图下以radiusscheme开头的所有命令,以及进入子视图(RADIUS方案视图)下的所有命令.
(3)星号的使用当星号(*)出现在一个段的首部时,其后面不能再出现其它可打印字符,且该段必须是命令特征字符串的最后一个段.
例如:命令特征字符串"system;*"就代表了系统视图下的所有命令,以及所有子视图下的命令.
当星号(*)出现在一个段的中间时,该段必须是命令特征字符串的最后一个段.
例如:命令特征字符串"debugging*event"就代表了用户视图下所有模块的事件调试信息开关命令.
(4)前缀匹配命令关键字与命令特征字符串是采用前缀匹配算法进行匹配的,即只要命令行中关键字的首部若干连续字符或全部字符与规则中定义的关键字相匹配,就认为该命令行与此规则匹配.
因此,命令特征字符串中可以包括完整的或部分的命令关键字.
例如,若规则"rule1denycommanddisplayarpsource"生效,则命令displayarpsource-macinterface和命令displayarpsource-suppression都会被禁止执行.
对于基于命令的规则,有以下使用注意事项:基于命令的规则只对指定视图下的命令生效.
若用户输入的命令在当前视图下不存在而在其父视图下被查找到时,用于控制当前视图下的命令的规则不会对其父视图下的命令执行权限进行控制.
display命令中的重定向符("|"、">"、">>")及其后面的关键字不被作为命令行关键字参与规则的匹配.
例如,若规则"rule1permitcommanddisplaydebugging"生效,则命令displaydebugging>log是被允许执行的,其中的关键字>log将被忽略,RBAC只对重定向符前面的命令行displaydebugging进行匹配.
但是,如果在规则中配置了重定向符,则RBAC会将其作为普通字符处理.
例如,若规则"rule1permitcommanddisplaydebugging>log"生效,则命令displaydebugging>log将会匹配失败,因为其中的关键字>log被RBAC忽略了,最终是命令displaydebugging与规则进行匹配.
因此,配置规则时不要使用重定向符.
进行基于OID的规则的匹配时,遵循以下规则:与用户访问的OID形成最长匹配的规则生效.
例如用户访问的OID为1.
3.
6.
1.
4.
1.
25506.
141.
3.
0.
1,角色中存在"rule1permitreadwriteoid1.
3.
6","rule2denyreadwriteoid1.
3.
6.
1.
4.
1"和"rule3permitreadwriteoid1.
3.
6.
1.
4",其中rule2与用户访问的OID形成最长匹配,则认为rule2与OID匹配,匹配的结果为用户的此访问请求被拒绝.
对于定义的OID长度相同的规则,规则编号大的生效.
例如用户访问的OID为1.
3.
6.
1.
4.
1.
25506.
141.
3.
0.
1,角色中存在"rule1permitreadwriteoid1.
3.
6","rule2denyreadwriteoid1.
3.
6.
1.
4.
1"和"rule3permitreadwriteoid1.
3.
6.
1.
4.
1",其中rule2和rule3与访问的OID形成最长匹配,则rule3生效,匹配的结果为用户的访问请求被允许.
1-22【举例】#为用户角色role1创建一条规则,允许用户执行命令displayarp.
system-view[Sysname]rolenamerole1[Sysname-role-role1]rule1permitcommanddisplayarp#为用户角色role1添加一条权限规则,允许用户执行所有以display开头的命令.
[Sysname-role-role1]rule2permitcommanddisplay*#为用户角色role1添加一条权限规则,允许用户执行系统视图下的radiusschemeaaa命令,以及使用该命令进入子视图后的所有命令.
[Sysname-role-role1]rule3permitcommandsystem;radiusschemeaaa#为用户角色role1添加一条权限规则,禁止用户执行所有特性中读类型和写类型的命令.
[Sysname-role-role1]rule4denyreadwritefeature#为用户角色role1添加一条权限规则,禁止用户执行特性aaa中所有读类型的命令.
[Sysname-role-role1]rule5denyreadfeatureaaa#为用户角色role1添加一条权限规则,允许执行特性组security-features中所有特性的读类型、写类型以及执行类型的命令.
[Sysname-role-role1]rule6permitreadwriteexecutefeature-groupsecurity-features#为用户角色role1添加一条基于OID的规则,允许对OID为1.
1.
2的MIB节点进行读、写操作.
[Sysname-role-role1]rule7permitreadwriteoid1.
1.
2【相关命令】displayroledisplayrolefeaturedisplayrolefeature-groupdisplaywebmenu(基础配置命令参考/登录设备)role1.
1.
13supersuper命令用来使用户从当前角色切换到指定的用户角色.
【命令】super[role-name]【视图】用户视图【缺省用户角色】network-admin【参数】role-name:待切换的用户角色名称,为1~63个字符的字符串,区分大小写,可以是系统中已存在的除security-audit之外的任意用户角色.
若不指定本参数,则切换到当前缺省的目的用户角色.
缺省的目的用户角色由superdefaultrole命令指定.
1-23【使用指导】切换后的用户角色只对当前登录生效,用户重新登录后,又会恢复到原有角色.
为了保证操作的安全性,通常用户进行用户角色切换时,均需要输入用户角色切换密码.
切换到不同的用户角色时,需要输入相应切换密码.
如果服务器没有响应或者没有配置用户角色切换密码,则切换操作失败,若还有备份认证方案,则转而进行备份认证.
因此,在进行切换操作前,请先保证配置了正确的用户角色切换密码.
在切换用户角色时,需要注意的是:若级别切换认证方式为local,在设备上未配置切换密码的情况下,对于AUX用户,设备不关心用户是否输入切换密码以及输入切换密码的内容,可允许用户成功切换用户角色.
若级别切换认证方式为localscheme,在设备上未配置切换密码的情况下,对于VTY用户,则转为远程AAA认证;对于AUX用户,设备不关心用户是否输入切换密码以及输入切换密码的内容,可允许用户成功切换用户角色.
【举例】#将用户角色切换到network-operator.
(假设用户当前的角色为network-admin,切换认证方式为local,切换密码已经设置)supernetwork-operatorPassword:Userprivilegeroleisnetwork-operator,andonlythosecommandsthatauthorizedtotherolecanbeused.
【相关命令】authenticationsuper(安全命令参考/AAA)superauthentication-modesuperpassword1.
1.
14superauthentication-modesuperauthentication-mode命令用来设置切换用户角色时使用的认证方式.
undosuperauthentication-mode命令用来恢复缺省情况.
【命令】superauthentication-mode{local|scheme}*undosuperauthentication-mode【缺省情况】采用local认证方式.
【视图】系统视图【缺省用户角色】network-admin【参数】local:使用本地配置的用户角色切换密码进行认证.
1-24scheme:使用AAA配置进行认证.
【使用指导】使用本地密码认证时,需要通过superpassword命令在设备上配置用户角色切换的密码.
使用远程AAA认证时,需要在RADIUS或HWTACACS服务器上配置用户名和用户角色切换密码.
用户可以选择使用local或者scheme方式认证,也可以同时选择local和scheme方式,多选时根据配置顺序依次认证.
localscheme方式:先进行本地密码认证,若设备上未设置本地用户角色切换密码,使用VTY用户线登录的用户则转为远程AAA认证,使用AUX用户线登录的用户则可以成功切换用户角色.
schemelocal方式:先进行远程AAA认证,远程HWTACACS/RADIUS服务器无响应或设备上的AAA远程认证配置无效时,转为本地密码认证.
scheme认证方式需要与AAA的认证方案相配合,具体请参考"安全配置指导"中的"AAA".
【举例】#配置切换用户角色时采用local认证方式.
system-view[Sysname]superauthentication-modelocal#配置切换用户角色时采用先scheme后local的认证方式.
system-view[Sysname]superauthentication-modeschemelocal【相关命令】authenticationsuper(安全命令参考/AAA)superpassword1.
1.
15superdefaultrolesuperdefaultrole命令用来配置用户角色切换的缺省目的角色.
undosuperdefaultrole命令用来恢复缺省情况.
【命令】superdefaultrolerole-nameundosuperdefaultrole【缺省情况】用户角色切换的缺省目的角色为network-admin.
【视图】系统视图【缺省用户角色】network-admin【参数】role-name:待切换的用户角色名称,为1~63个字符的字符串,区分大小写,可以是系统中已存在的除security-audit之外的任意用户角色.
1-25【使用指导】当执行super命令切换用户角色时,或配置用户角色切换的密码时,如不指定目的切换的角色名称,则表示使用superdefaultrole命令配置的缺省用户角色.
【举例】#配置用户切换角色的缺省目的角色为network-operator.
system-view[Sysname]superdefaultrolenetwork-operator【相关命令】supersuperpassword1.
1.
16superpasswordsuperpassword命令用来设置用户角色切换的密码.
undosuperpassword命令用来删除用户角色切换密码.
【命令】superpassword[rolerole-name][{hash|simple}string]undosuperpassword[rolerole-name]【缺省情况】未设置用户角色切换密码.
【视图】系统视图【缺省用户角色】network-admin【参数】rolerole-name:待切换的用户角色的名称,为1~63个字符的字符串,区分大小写,可以为系统中已存在的除security-audit之外的任意用户角色.
如果不指定角色名称,则表示设置的是切换到当前缺省目的用户角色的密码.
缺省的目的用户角色由superdefaultrole命令指定.
hash:以哈希方式设置密码.
simple:以明文方式设置密码,该密码将以哈希计算后的密文形式存储.
string:密码字符串,区分大小写.
明文密码为1~63个字符的字符串;哈希密码为1~110个字符的字符串.
【使用指导】如果不指定hash或simple参数,superpassword[rolerole-name]命令将以交互式方式设置本地用户密码,涵义与指定simple关键字相同.
当用户切换认证方式为local或包含local(localscheme、schemelocal)时,才需要本命令指定的用户角色切换密码.
为保证权限控制更加安全,推荐给不同的用户角色指定不同的切换密码.
1-26【举例】#配置将用户角色切换到network-operator时使用的密码为明文密码123456TESTplat&!
.
system-view[Sysname]superpasswordrolenetwork-operatorsimple123456TESTplat&!
#以交互式方式设置将用户角色切换到network-operator时使用的密码为明文密码123456TESTplat&!
.
system-view[Sysname]superpasswordrolenetwork-operatorPassword:Confirm:Updatinguserinformation.
Pleasewait.
.
.
.
.
.
【相关命令】superauthentication-modesuperdefaultrole1.
1.
17superuse-login-usernamesuperuse-login-username命令用来配置用户角色切换认证时使用用户登录的用户名进行认证.
undosuperuse-login-username命令用来恢复缺省情况.
【命令】superuse-login-usernameundosuperuse-login-username【缺省情况】用户角色切换认证时系统提示用户输入用户名进行认证.
【视图】系统视图【缺省用户角色】network-admin【使用指导】通过开启本功能,在设备采用远程AAA认证方案进行用户角色切换认证,且用户采用用户名和密码方式登录设备的情况下,用户切换用户角色时,设备会自动获取用户登录使用的用户名作为角色切换认证的用户名,不再提示用户输入用户名.
开启本功能后,若设备采用远程AAA认证方案进行用户角色切换认证,但用户未采用用户名和密码方式登录设备,则用户角色切换失败.
若设备未采用远程AAA认证方案进行用户角色切换认证,则本功能配置无效.
【举例】#配置用户角色切换认证时使用用户登录的用户名进行认证.
system-view[Sysname]superuse-login-username1-27【相关命令】authenticationsuper(安全命令参考/AAA)superauthentication-modesuperpassword1.
1.
18vlanpolicydenyvlanpolicydeny命令用来进入VLAN策略视图.
undovlanpolicydeny命令用来恢复缺省情况.
【命令】vlanpolicydenyundovlanpolicydeny【缺省情况】用户具有操作任何VLAN的权限.
【视图】用户角色视图【缺省用户角色】network-admin【使用指导】进入VLAN策略视图后,如果不配置允许操作的VLAN列表,则用户将没有操作任何VLAN的权限;如果需要限制或区分用户对VLAN资源的使用权限,则还应该通过permitvlan命令配置允许用户操作的VLAN列表.
若VLAN策略视图中未配置允许操作的VLAN列表,则表示不允许用户操作所有的VLAN.
对VLAN的"操作"指的是创建并进入VLAN视图、删除和应用VLAN.
允许修改用户角色的VLAN策略,但修改后的策略只对被授权该角色的用户重新登录时才会生效.
【举例】#在用户角色role1中,进入VLAN策略视图,禁止角色为role1的用户操作任意VLAN.
system-view[Sysname]rolenamerole1[Sysname-role-role1]vlanpolicydeny[Sysname-role-role1-vlanpolicy]quit#在用户角色role1中,进入VLAN策略视图,允许角色为role1的用户操作VLAN50~VLAN100.
system-view[Sysname]rolenamerole1[Sysname-role-role1]vlanpolicydeny[Sysname-role-role1-vlanpolicy]permitvlan50to100【相关命令】displayrolepermitvlanrole
RackNerd新上圣何塞、芝加哥、达拉斯、亚特兰大INTEL系列,$9.49/年
racknerd怎么样?racknerd商家最近促销三款美国便宜vps,最低只需要9.49美元,可以选择美国圣何塞、西雅图、纽约和芝加哥机房。RackNerd是一家成立于2019年的美国高性价比服务器商家,主要从事美国和荷兰数据中心的便宜vps、独立服务器销售!支持中文工单、支持支付宝和微信以及PayPal付款购买!点击直达:racknerd官方网站INTEL系列可选机房:加利福尼亚州圣何塞、芝加...
腾讯云2核4GB内存8M带宽 年74元
一般大厂都是通过首年才有可以享受爆款活动,然后吸引我们注册他们商家达到持续续费和购买的目的。一般只有大厂才能有这样的魄力和能力首年亏本,但是对于一般的公司和个人厂家确实难过,这几年确实看到不少的同类商家难以生存。这里我们可以看到有对应的套餐方案。不过这两个套餐都是100%CPU独享的,不是有某云商家限制CPU的。但是轻量服务器有个不好的就是带宽是较大且流量是限制的额,分别是1GB和1.2TB月流量...
cyun29元/月,香港CN2 GIA云服务器低至起;香港多ip站群云服务器4核4G
cyun怎么样?cyun蓝米数据是一家(香港)藍米數據有限公司旗下品牌,蓝米云、蓝米主机等同属于该公司品牌。CYUN全系列云产品采用KVM架构,SSD磁盘阵列,优化线路,低延迟,高稳定。目前,cyun推出的香港云服务器性价比超高,香港cn2 gia云服务器,1核1G1M/系统盘+20G数据盘,低至29元/月起;香港多ip站群云服务器,16个ip/4核4G仅220元/月起,希望买香港站群服务器的站长...
远程连接命令为你推荐
-
留学生认证留学生前阶段双认证认证什么内容?xyq.163.cbg.com梦幻CBG的网站是什么。seo优化工具SEO优化神器有什么比较好的?haole018.comhttp://www.haoledy.com/view/32092.html 轩辕剑天之痕11、12集在线观看www.33xj.compro/engineer 在哪里下载,为什么找不到下载网站?4400av.com在www.dadady.com 达达电影看片子很快的啊m88.comm88.com现在的官方网址是哪个啊 ?m88.com分析软件?广告法中国的广告法有哪些。机器蜘蛛《不思议迷宫》四个机器蜘蛛怎么得 获得攻略方法介绍www.147qqqcom求女人能满足我的…