- 產品與解決方案
- 行業解決方案
- 服務
- 支持
- 合作夥伴
- 關於我們
25-Triple認證配置
本章節下載: 25-Triple認證配置 (345.16 KB)
在終端形式多樣的網絡環境中,不同終端支持的接入認證方式有所不同。如圖1-1所示,有的終端隻能進行MAC地址認證(比如打印機終端);有的終端安裝了802.1X客戶端軟件,可以進行802.1X認證;有的終端隻希望通過Web訪問進行認證。為了靈活地適應這種網絡環境中的多種認證需求,需要在接入用戶的端口上對三種認證方式進行統一部署,使得用戶可以選擇任何一種適合的認證機製來進行認證,且隻需要成功通過一種方式的認證即可實現接入,無需通過多種認證。
圖1-1 Triple認證典型應用組網圖
Triple認證方案可滿足以上需求,允許在設備的二層端口上同時開啟Web認證、MAC地址認證和802.1X認證功能,使得選用其中任意一種方式進行認證的終端均可通過該端口接入網絡。
· 802.1X認證必須配置為基於MAC的接入控製方式(macbased)。
· 關於802.1X、MAC地址認證、Web認證的詳細介紹請分別參見“安全配置指導”中的“802.1X”、“MAC地址認證”和“Web認證”。
當端口上同時開啟了802.1X認證、MAC地址認證和Web認證功能後,不同類型的終端報文可觸發不同的認證過程:
· 終端網卡接入網絡時,如果發送ARP報文或者DHCP報文(廣播報文),則首先觸發MAC地址認證。若MAC地址認證成功,則不需要再進行其它認證;若MAC地址認證失敗,則允許觸發802.1X或者Web認證。
· 如果終端使用係統自帶的802.1X客戶端或者第三方客戶端軟件發送EAP報文,或者在設備開啟單播觸發功能的情況下終端發送任意報文,則觸發802.1X認證。
· 如果終端發送HTTP報文,則觸發Web認證。
端口允許多種認證過程同時進行,且某一種認證失敗不會影響同時進行的其它認證過程。一旦終端通過某一種認證,其它認證過程的進行情況有所不同:
· 如果終端首先通過MAC地址認證, Web認證會立即終止,但802.1X認證仍會繼續進行。如果802.1X認證成功,則端口上生成的802.1X認證用戶信息會覆蓋已存在的MAC地址認證用戶信息。否則,用戶依然保持MAC地址認證在線,且允許再次觸發802.1X認證,但不能再次觸發Web認證。
· 如果終端首先通過802.1X認證或者Web認證,則端口上其他認證會立即終止,且不能被再次觸發。
服務器向通過認證的用戶所在的端口下發授權VLAN,端口將用戶加入對應的授權VLAN中。
用戶認證失敗後,端口將認證失敗的用戶加入已配置的認證失敗的VLAN中。
· 對於802.1X認證用戶,認證失敗的VLAN為端口上配置的802.1X Auth-Fail VLAN。
· 對於Web認證用戶,認證失敗的VLAN為端口上配置的Web Auth-Fail VLAN。
· 對於MAC地址認證用戶,認證失敗的VLAN為端口上配置的Guest VLAN。
· 如果MAC地址認證失敗的用戶再進行802.1X認證且認證失敗,用戶會立刻離開已加入的MAC地址認證的Guest VLAN,而加入端口上配置的802.1X Auth-Fail VLAN。
用戶在認證過程中若因服務器不可達導致認證失敗,則端口將用戶加入已配置的服務器不可達VLAN中。
· 對於802.1X認證用戶,服務器不可達VLAN為端口上配置的802.1X Critical VLAN。
· 對於Web認證用戶,服務器不可達VLAN為端口上配置的Web Auth-Fail VLAN。
· 對於MAC地址認證用戶,服務器不可達VLAN為端口上配置的Critical VLAN。
端口支持同時配置多種服務器不可達VLAN,用戶因服務器不可達導致認證失敗後加入各VLAN的情況如下:
· 若用戶沒有進行802.1X認證,則用戶加入最後一次認證失敗的服務器不可達VLAN。
· 如果Web認證或MAC地址認證失敗的用戶再進行802.1X認證且認證失敗,用戶會立刻離開已加入的Web Auth-Fail VLAN或MAC地址認證的Critical VLAN而加入端口上配置的802.1X Critical VLAN。
設備能夠根據服務器下發的授權ACL對通過認證的用戶所在端口的數據流進行控製;在服務器上配置授權ACL之前,需要在設備上配置相應的規則。管理員可以通過改變服務器的授權ACL設置或設備上對應的ACL規則來改變用戶的訪問權限。
· 對於Web認證用戶,通過開啟用戶在線檢測定時器來探測用戶是否在線。
· 對於802.1X認證用戶,通過開啟端口上的在線用戶握手功能或者重認證功能來探測用戶是否在線。
· 對於MAC地址認證用戶,通過開啟下線檢測定時器,來探測用戶是否在線。
關於各擴展功能的詳細介紹請分別參見“安全配置指導”中的“802.1X”、“MAC地址認證”、“Web認證”。
· 如果端口最終加入到802.1X或MAC地址認證服務器不可達VLAN中,且設備上開啟了Web認證,則需要將802.1X或MAC地址認證服務器不可達VLAN所在的網段設為Web認證的免認證IP。否則,用戶將無法訪問服務器不可達VLAN中的資源。
· 不要同時配置Web認證的免認證IP和802.1X的Free IP,否則會使免認證IP不可用。
· 802.1X認證的Guest VLAN、Auth-Fail VLAN、Critical VLAN以及MAC地址認證的Guest VLAN、Critical VLAN功能不建議與Web認證同時配置。
表1-1 Triple認證配置任務簡介
|
配置任務 |
說明 |
詳細配置 |
|
配置802.1X認證 |
三者至少選其一 對於802.1X認證,必須為基於MAC的接入控製方式(macbased) |
具體配置請參見“安全配置指導”的“802.1X” |
|
配置MAC地址認證 |
具體配置請參見“安全配置指導”的“MAC地址認證” |
|
|
配置Web認證 |
具體配置請參見“安全配置指導”的“Web認證” |
如果配置了以上三種認證方式,可通過port-security triple-auth-order mac-dot1x-web命令配置認證用戶觸發的認證順序為MAC地址認證、802.1X認證和Web認證,有關port-security triple-auth-order mac-dot1x-web命令的詳細介紹,請參見“安全命令參考”的“端口安全”。
如圖1-2所示,用戶通過接入設備Device接入網絡,要求在Device的二層端口上對所有用戶進行統一認證,且隻要用戶通過802.1X認證、Web認證、MAC地址認證中的任何一種認證,即可接入網絡。具體需求如下:
· 終端上靜態配置屬於192.168.1.0/24網段的IP地址;
· 使用遠程RADIUS服務器進行認證、授權和計費,且發送給RADIUS服務器的用戶名不攜帶ISP域名;
· 本地Web認證服務器的監聽IP地址為4.4.4.4,設備向Web認證用戶推出係統默認的認證頁麵,並使用HTTP傳輸認證數據。
圖1-2 Triple認證基本功能配置組網圖
· 啟動Web認證之前,確保各主機、服務器和設備之間路由可達。
· 確保Web認證用戶的主機與本地Web認證服務器監聽IP地址之間路由可達。
· 完成RADIUS服務器的配置,保證用戶的認證/授權/計費功能正常運行。本例中,RADIUS服務器上配置一個802.1X用戶(賬戶名為userdot),一個Web認證用戶(賬戶名為userpt),以及一個MAC地址認證用戶(賬戶名、密碼均為Printer的MAC地址f07d6870725f)。
(1) 配置Web認證
# 配置端口屬於VLAN及對應VLAN接口的IP地址(略)。
# 配置本地Portal Web服務使用HTTP協議,且使用Portal Web服務器提供的缺省認證頁麵文件defaultfile.zip(設備的存儲介質的根目錄下必須已存在該認證頁麵文件,否則功能不生效)。
<Device> system-view
[Device] portal local-web-server http
[Device-portal-local-websvr-http] default-logon-page defaultfile.zip
[Device-portal-local-websvr-http] quit
# 配置LoopBack接口0的IP地址為4.4.4.4。
[Device] interface loopback 0
[Device-LoopBack0] ip address 4.4.4.4 32
[Device-LoopBack0] quit
# 創建名稱為webserver的Web認證服務器,並進入其視圖。
[Device] web-auth server webserver
# 配置Web認證服務器的重定向URL為http://4.4.4.4/portal/。
[Device-web-auth-server-webserver] url http://4.4.4.4/portal/
# 配置Web認證服務器的IP地址為4.4.4.4,端口號為80。
[Device-web-auth-server-webserver] ip 4.4.4.4 port 80
[Device-web-auth-server-webserver] quit
# 開啟端口GigabitEthernet1/0/1上的Web認證,並指定引用的Web認證服務器為webserver。
[Device] interface gigabitethernet 1/0/1
[Device–GigabitEthernet1/0/1] web-auth enable apply server webserver
[Device–GigabitEthernet1/0/1] quit
(2) 配置802.1X認證
# 開啟全局802.1X認證。
[Device] dot1x
# 開啟端口GigabitEthernet1/0/1上的802.1X認證(必須為基於MAC的接入控製方式)。
[Device] interface gigabitethernet 1/0/1
[Device–GigabitEthernet1/0/1] dot1x port-method macbased
[Device–GigabitEthernet1/0/1] dot1x
[Device–GigabitEthernet1/0/1] quit
(3) 配置MAC地址認證
# 開啟全局MAC地址認證。
[Device] mac-authentication
# 開啟端口GigabitEthernet1/0/1上的MAC地址認證。
[Device] interface gigabitethernet 1/0/1
[Device–GigabitEthernet1/0/1] mac-authentication
[Device–GigabitEthernet1/0/1] quit
(4) 配置RADIUS方案
# 創建並進入名字為rs1的RADIUS方案視圖。
[Device] radius scheme rs1
# 配置RADIUS方案的主認證和主計費服務器及其通信密鑰。
[Device-radius-rs1] primary authentication 1.1.1.2
[Device-radius-rs1] primary accounting 1.1.1.2
[Device-radius-rs1] key authentication simple radius
[Device-radius-rs1] key accounting simple radius
# 配置發送給RADIUS服務器的用戶名不攜帶ISP域名。
[Device-radius-rs1] user-name-format without-domain
[Device-radius-rs1] quit
(5) 配置認證域
# 創建並進入名字為triple的ISP域。
[Device] domain triple
# 配置lan-access用戶使用RADIUS方案rs1進行認證、授權、計費。
[Device-isp-triple] authentication lan-access radius-scheme rs1
[Device-isp-triple] authorization lan-access radius-scheme rs1
[Device-isp-triple] accounting lan-access radius-scheme rs1
[Device-isp-triple] quit
# 配置係統缺省的ISP域為triple。若用戶登錄時輸入的用戶名未攜帶ISP域名,則使用缺省域下的認證方案。
[Device] domain default enable triple
# Web用戶userpt通過Web瀏覽器訪問外部網絡,其Web請求均被重定向到認證頁麵http://4.4.4.4/portal/logon.html。用戶根據網頁提示輸入正確的用戶名和密碼後,能夠成功通過Web認證。通過display web-auth user命令查看已在線用戶的信息。
[Device] display web-auth user
Total online web-auth users: 1
User Name: localuser
MAC address: acf1-df6c-f9ad
Access interface: GigabitEthernet1/0/1
Initial VLAN: 8
Authorization VLAN: N/A
Authorization ACL ID: N/A
Authorization user profile: N/A
# 打印機接入網絡後,可成功通過MAC地址認證。通過display mac-authentication connection命令查看已在線用戶的信息。
[Device] display mac-authentication connection
Total connections: 1
Slot ID: 1
User MAC address: f07d-6870-725f
Access interface: GigabitEthernet1/0/1
Username: f07d6870725f
User access state: Successful
Authentication domain: triple
Initial VLAN: 8
Authorization untagged VLAN: 14
Authorization tagged VLAN: N/A
Authorization VSI: N/A
Authorization ACL ID: N/A
Authorization user profile: N/A
Authorization URL: N/A
Termination action: Default
Session timeout period: N/A
Online from: 2015/01/04 18:01:43
Online duration: 0h 0m 2s
# 用戶userdot通過802.1X客戶端發起認證,輸入正確的用戶名和密碼後,可成功通過802.1X認證。通過display dot1x connection命令查看已在線用戶的信息。
[Device] display dot1x connection
Total connections: 1
Slot ID: 1
User MAC address: 7446-a091-84fe
Access interface: GigabitEthernet1/0/1
Username: userdot
User access state: Successful
Authentication domain: triple
IPv4 address: 192.168.1.2
Authentication method: CHAP
Initial VLAN: 8
Authorization untagged VLAN: N/A
Authorization tagged VLAN list: N/A
Authorization VSI: N/A
Authorization ACL ID: N/A
Authorization user profile: N/A
Authorization URL: N/A
Termination action: Default
Session timeout period: N/A
Online from: 2015/01/04 18:13:01
Online duration: 0h 0m 14s
如圖1-3所示,用戶通過接入設備Device接入網絡,要求在Device的二層端口上對所有用戶進行統一認證,且隻要用戶通過802.1X認證、Web認證、MAC地址認證中的任何一種認證,即可接入網絡。具體需求如下:
· Web認證用戶通過DHCP動態獲取IP地址,認證前使用192.168.1.0/24網段的IP地址,認證成功後使用3.3.3.0/24網段的IP地址,認證失敗後使用2.2.2.0/24網段的IP地址。 DHCP服務器可由接入設備充當也可外置,本例中由接入設備提供DHCP服務。
· 802.1X用戶在認證前通過DHCP動態獲取192.168.1.0/24網段的IP地址,認證成功後通過DHCP動態獲取3.3.3.0/24網段的IP地址,認證失敗後通過DHCP動態獲取2.2.2.0/24網段的IP地址。
· 打印機成功接入網絡後通過DHCP獲取一個與它的MAC地址靜態綁定的IP地址3.3.3.111/24。
· 使用遠程RADIUS服務器進行認證、授權和計費,且發送給RADIUS服務器的用戶名不攜帶ISP域名。
· Web認證服務器的監聽IP地址為4.4.4.4,設備使用HTTP協議傳輸認證數據。
· 認證成功的用戶可被授權加入VLAN 3。
· 認證失敗的用戶將被加入VLAN 2,允許訪問其中的Update服務器資源。
圖1-3 Triple認證配合VLAN下發及Auth-Fail VLAN功能配置組網圖
· 確保啟動Web認證之前各主機、服務器和設備之間路由可達。
· 完成RADIUS服務器的配置,保證用戶的認證/授權/計費功能正常運行。本例中,RADIUS服務器上配置一個802.1X用戶(賬戶名為userdot),一個Web認證用戶(賬戶名為userpt),以及一個MAC地址認證用戶(賬戶名、密碼均為Printer的MAC地址f07d6870725f),並配置授權VLAN(VLAN 3)。
· 將Update服務器所在IP地址設為免認證IP。
(1) 配置DHCP服務
# 配置端口屬於VLAN及對應VLAN接口的IP地址(略)。
# 開啟DHCP服務。
<Device> system-view
[Device] dhcp enable
# 配置Update server的IP地址不參與自動分配。
[Device] dhcp server forbidden-ip 2.2.2.2
# 配置DHCP地址池1(動態分配的網段、地址租用期限、網關地址)。建議配置較小的地址租用期限,以縮短終端認證成功或失敗後重新獲取IP地址的時間。
[Device] dhcp server ip-pool 1
[Device-dhcp-pool-1] network 192.168.1.0 mask 255.255.255.0
[Device-dhcp-pool-1] expired day 0 hour 0 minute 1
[Device-dhcp-pool-1] gateway-list 192.168.1.1
[Device-dhcp-pool-1] quit
# 配置DHCP地址池2(動態分配的網段、地址租用期限、網關地址)。建議配置較小的地址租用期限,以縮短終端認證成功後重新獲取IP地址的時間。
[Device] dhcp server ip-pool 2
[Device-dhcp-pool-2] network 2.2.2.0 mask 255.255.255.0
[Device-dhcp-pool-2] expired day 0 hour 0 minute 1
[Device-dhcp-pool-2] gateway-list 2.2.2.1
[Device-dhcp-pool-2] quit
# 配置DHCP地址池3(動態分配的網段、地址租用期限、網關地址)。建議配置較小的地址租用期限,以縮短終端下線後重新獲取IP地址的時間。
[Device] dhcp server ip-pool 3
[Device-dhcp-pool-3] network 3.3.3.0 mask 255.255.255.0
[Device-dhcp-pool-3] expired day 0 hour 0 minute 1
[Device-dhcp-pool-3] gateway-list 3.3.3.1
[Device-dhcp-pool-3] quit
一般情況下,為縮小終端認證狀態改變之後更新IP地址的時間,建議配置較小的地址租約期限,使得前一個狀態的IP地址租約盡快過期,以觸發新的IP地址申請。但是,地址租用期限的配置還要考慮終端的實現,例如iNode的802.1X客戶端就可以選擇在斷開連接之後自動更新終端IP地址,而不必等待租約過期來重獲IP地址,因此實際應用中需要根據當前組網環境合理調整取值。此處建議取值為60s。
# 配置DHCP地址池4,將MAC地址為f07d-6870-725f的打印機與IP地址3.3.3.111/24綁定。
[Device] dhcp server ip-pool 4
[Device-dhcp-pool-4] static-bind ip-address 3.3.3.111 mask 255.255.255.0 client-identifier f07d-6870-725f
[Device-dhcp-pool-4] quit
(2) 配置Web認證
# 配置本地Portal Web服務使用HTTP協議,且使用Portal Web服務器提供的缺省認證頁麵文件defaultfile.zip(設備的存儲介質的根目錄下必須已存在該認證頁麵文件,否則功能不生效)。
[Device] portal local-web-server http
[Device-portal-local-websvr-http] default-logon-page defaultfile.zip
[Device-portal-local-websvr-http] quit
# 配置LoopBack接口0的IP地址為4.4.4.4。
[Device] interface loopback 0
[Device-LoopBack0] ip address 4.4.4.4 32
[Device-LoopBack0] quit
# 創建名稱為webserver的Web認證服務器,並進入其視圖。
[Device] web-auth server webserver
# 配置Web認證服務器的重定向URL為http://4.4.4.4/portal/。
[Device-web-auth-server-webserver] url http://4.4.4.4/portal/
# 配置Web認證服務器的IP地址為4.4.4.4,端口號為80。
[Device-web-auth-server-webserver] ip 4.4.4.4 port 80
[Device-web-auth-server-webserver] quit
# 配置Update服務器的IP地址為免認證IP。
[Device] web-auth free-ip 2.2.2.2 24
# 在端口GigabitEthernet1/0/1上開啟Web認證,並配置認證失敗的VLAN為 VLAN 2。
[Device] interface gigabitethernet 1/0/1
[Device–GigabitEthernet1/0/1] port link-type hybrid
[Device–GigabitEthernet1/0/1] mac-vlan enable
[Device–GigabitEthernet1/0/1] web-auth enable apply server webserver
[Device–GigabitEthernet1/0/1] web-auth auth-fail vlan 2
[Device–GigabitEthernet1/0/1] quit
(3) 配置802.1X認證
# 開啟全局802.1X認證。
[Device] dot1x
# 開啟端口GigabitEthernet1/0/1上802.1X認證(必須為基於MAC的接入控製方式),並配置認證失敗的VLAN為 VLAN 2。
[Device] interface gigabitethernet 1/0/1
[Device–GigabitEthernet1/0/1] dot1x port-method macbased
[Device–GigabitEthernet1/0/1] dot1x
[Device–GigabitEthernet1/0/1] dot1x auth-fail vlan 2
[Device–GigabitEthernet1/0/1] quit
(4) 配置MAC地址認證
# 開啟全局MAC地址認證。
[Device] mac-authentication
# 開啟端口GigabitEthernet1/0/1上MAC地址認證,並配置認證失敗的VLAN為VLAN 2。
[Device] interface gigabitethernet 1/0/1
[Device–GigabitEthernet1/0/1] mac-authentication
[Device–GigabitEthernet1/0/1] mac-authentication guest-vlan 2
[Device–GigabitEthernet1/0/1] quit
(5) 配置RADIUS方案
# 創建並進入名字為rs1的RADIUS方案視圖。
[Device] radius scheme rs1
# 配置RADIUS方案的主認證和主計費服務器及其通信密鑰。
[Device-radius-rs1] primary authentication 1.1.1.2
[Device-radius-rs1] primary accounting 1.1.1.2
[Device-radius-rs1] key authentication simple radius
[Device-radius-rs1] key accounting simple radius
# 配置發送給RADIUS服務器的用戶名不攜帶ISP域名。
[Device-radius-rs1] user-name-format without-domain
[Device-radius-rs1] quit
(6) 配置認證域
# 創建並進入名字為triple的ISP域。
[Device] domain triple
# 配置lan-access用戶使用RADIUS方案rs1進行認證、授權、計費。
[Device-isp-triple] authentication lan-access radius-scheme rs1
[Device-isp-triple] authorization lan-access radius-scheme rs1
[Device-isp-triple] accounting lan-access radius-scheme rs1
[Device-isp-triple] quit
# 配置係統缺省的ISP域為triple。若用戶登錄時輸入的用戶名未攜帶ISP域名,則使用缺省域下的認證方案。
[Device] domain default enable triple
# Web用戶userpt通過Web瀏覽器訪問外部網絡,其Web請求均被重定向到認證頁麵http://4.4.4.4/portal/logon.html。用戶根據網頁提示輸入正確的用戶名和密碼後,能夠成功通過Web認證。通過display web-auth user命令查看已在線用戶的信息。
[Device] display web-auth user
Total online web-auth users: 1
User Name: userpt
MAC address: 6805-ca17-4a0b
Access interface: GigabitEthernet1/0/1
Initial VLAN: 8
Authorization VLAN: 3
Authorization ACL ID: N/A
Authorization user profile: N/A
# 打印機接入網絡後,可成功通過MAC地址認證。通過display mac-authentication connection命令查看已在線用戶的信息。
[Device] display mac-authentication connection
Total connections: 1
Slot ID: 1
User MAC address: f07d-6870-725f
Access interface: GigabitEthernet1/0/1
Username: f07d6870725f
User access state: Successful
Authentication domain: triple
Initial VLAN: 8
Authorization untagged VLAN: N/A
Authorization tagged VLAN: N/A
Authorization VSI: N/A
Authorization ACL ID: N/A
Authorization user profile: N/A
Authorization URL: N/A
Termination action: Default
Session timeout period: N/A
Online from: 2015/01/04 18:01:43
Online duration: 0h 0m 2s
# 用戶userdot通過802.1X客戶端發起認證,輸入正確的用戶名和密碼後,可成功通過802.1X認證。通過display dot1x connection命令查看已在線用戶的信息。
[Device] display dot1x connection
Total connections: 1
Slot ID: 1
User MAC address: 7446-a091-84fe
Access interface: GigabitEthernet1/0/1
Username: userdot
User access state: Successful
Authentication domain: triple
IPv4 address: 3.3.3.2
Authentication method: CHAP
Initial VLAN: 8
Authorization untagged VLAN: N/A
Authorization tagged VLAN list: N/A
Authorization VSI: N/A
Authorization ACL ID: N/A
Authorization user profile: N/A
Authorization URL: N/A
Termination action: Default
Session timeout period: N/A
Online from: 2015/01/04 18:13:01
Online duration: 0h 0m 14s
# 通過display mac-vlan all命令查看到認證成功用戶的MAC VLAN表項,該表項中記錄了加入授權VLAN的MAC地址與端口上生成的基於MAC的VLAN之間的對應關係。
[Device] display mac-vlan all
The following MAC VLAN addresses exist:
S:Static D:Dynamic
MAC ADDR MASK VLAN ID PRIO STATE
--------------------------------------------------------
6805-ca17-4a0b ffff-ffff-ffff 3 0 D
f07d-6870-725f ffff-ffff-ffff 3 0 D
7446-a091-84fe ffff-ffff-ffff 3 0 D
Total MAC VLAN address count:3
# 通過display dhcp server ip-in-use命令查看設備為在線用戶分配的IP地址信息。
[Device] display dhcp server ip-in-use
IP address Client-identifier/ Lease expiration Type
Hardware address
3.3.3.111 01f0-7d68-7072-5f Jan 4 18:14:17 2015 Auto:(C)
3.3.3.2 0168-05ca-174a-0b Jan 4 18:15:01 2015 Auto:(C)
3.3.3.3 0174-46a0-9184-fe Jan 4 18:15:03 2015 Auto:(C)
若用戶認證失敗,將被加入VLAN 2中,端口上生成的MAC VLAN表項及IP地址分配情況的查看方式同上,此處略。
不同款型規格的資料略有差異, 詳細信息請向具體銷售和400谘詢。H3C保留在沒有任何通知或提示的情況下對資料內容進行修改的權利!
支持
