10-H3C MSR係列路由器 RBAC典型配置舉例
本章節下載: 10-H3C MSR係列路由器 RBAC典型配置舉例 (633.68 KB)
H3C MSR係列路由器
RBAC配置舉例
Copyright © 2024bobty下载软件 版權所有,保留一切權利。
非經本公司書麵許可,任何單位和個人不得擅自摘抄、複製本文檔內容的部分或全部,並不得以任何形式傳播。
除bobty下载软件 的商標外,本手冊中出現的其它公司的商標、產品標識及商品名稱,由各自權利人擁有。
本文檔中的信息可能變動,恕不另行通知。
目 錄
本文介紹了通過RBAC對登錄設備的用戶權限進行控製的典型配置舉例。
本文檔適用於使用Comware V7軟件版本的MSR係列路由器,如果使用過程中與產品實際情況有差異,請參考相關產品手冊,或以設備實際情況為準。
本文檔中的配置均是在實驗室環境下進行的配置和驗證,配置前設備的所有參數均采用出廠時的缺省配置。如果您已經對設備進行了配置,為了保證配置效果,請確認現有配置和以下舉例中的配置不衝突。
本文檔假設您已了解RBAC的特性。
如圖1所示,為了加強用戶登錄的安全性,采用本地AAA認證對登錄設備的Telnet用戶進行認證。使得Telnet用戶具有如下權限:
· 允許執行特性ospf相關的所有讀寫類型命令。
· 允許執行特性filesystem相關的所有讀寫類型命令。
· 為了使Telnet用戶能夠具備以上權限,需要創建Telnet本地用戶和用戶角色role1,並對Telnet用戶授予用戶角色role1。
· 通過配置用戶角色規則,限定Telnet用戶可以執行特性特性ospf和filesystem相關的讀寫類型命令。
· 為了確保Telnet用戶僅使用授權的用戶角色role1,需要刪除用戶具有的缺省用戶角色。
本配置舉例是在MSR3610-X1路由器Release 6749版本上進行配置和驗證的。
· 一個ISP域被配置為缺省的ISP域後將不能夠被刪除,必須首先使用命令undo domain default enable將其修改為非缺省ISP域,然後才可以被刪除。
· 一個用戶角色中允許創建多條規則,各規則以創建時指定的編號為唯一標識,被授權該角色的用戶可以執行的命令為這些規則定義的可執行命令的並集。若這些規則定義的權限內容有衝突,則規則編號大的有效。例如,規則1允許執行命令A,規則2允許執行命令B,規則3禁止執行命令A,則最終規則2和規則3生效,即禁止執行命令A,允許執行命令B。
(1) 配置接口
# 為接口GigabitEthernet1/0/1配置IP地址。
<Router> system-view
[Router] interface gigabitethernet 1/0/1
[Router-GigabitEthernet1/0/1] ip address 192.168.1.50 24
[Router-GigabitEthernet1/0/1] quit
(2) 配置Telnet用戶登錄設備的認證方式
# 開啟設備的Telnet服務器功能。
[Router] telnet server enable
# 在編號為0~63的VTY用戶線下,配置Telnet用戶登錄采用AAA認證方式。
[Router] line vty 0 63
[Router-line-vty0-63] authentication-mode scheme
[Router-line-vty0-63] quit
(3) 配置ISP域bbb的AAA方法
# 創建ISP域bbb,為login用戶配置的AAA方法為本地認證、本地授權。
[Router] domain bbb
[Router-isp-bbb] authentication login local
[Router-isp-bbb] authorization login local
[Router-isp-bbb] quit
(4) 配置設備管理類本地用戶telnetuser的密碼和服務類型。
# 創建設備管理類本地用戶telnetuser。
[Router] local-user telnetuser class manage
# 配置用戶的密碼是明文的123456TESTplat&!。
[Router-luser-manage-telnetuser] password simple 123456TESTplat&!
# 指定用戶的服務類型是Telnet。
[Router-luser-manage-telnetuser] service-type telnet
[Router-luser-manage-telnetuser] quit
(5) 創建用戶角色role1,並配置用戶角色規則
# 創建用戶角色role1,進入用戶角色視圖。
[Router] role name role1
# 配置用戶角色規則1,允許用戶執行特性ospf中所有讀寫類型的命令。
[Router-role-role1] rule 1 permit read write feature ospf
# 配置用戶角色規則2,允許用戶執行特性filesystem中所有讀寫類型的命令。
[Router-role-role1] rule 2 permit read write feature filesystem
[Router-role-role1] quit
(6) 為本地用戶配置授權用戶角色
# 進入設備管理類本地用戶telnetuser視圖。
[Router] local-user telnetuser class manage
# 指定用戶telnetuser的授權角色為role1。
[Router-luser-manage-telnetuser] authorization-attribute user-role role1
# 為保證用戶僅使用授權的用戶角色role1,刪除用戶telnetuser具有的缺省用戶角色network-operator。
[Router-luser-manage-telnetuser] undo authorization-attribute user-role network-operator
[Router-luser-manage-telnetuser] quit
[Router] quit
(1) 查看用戶角色信息
# 通過display role命令查看顯示用戶角色role1的信息。
<Router> display role name role1
Role: role1
Description:
VLAN policy: permit (default)
Interface policy: permit (default)
VPN instance policy: permit (default)
Security zone policy: permit (default)
-------------------------------------------------------------------
Rule Perm Type Scope Entity
-------------------------------------------------------------------
1 permit RW- feature ospf
2 permit RW- feature filesystem
R:Read W:Write X:Execute
(2) 用戶登錄設備
用戶向設備發起Telnet連接,在Telnet客戶端按照提示輸入用戶名telnetuser@bbb及正確的密碼後,成功登錄設備。
C:\Documents and Settings\user> telnet 192.168.1.50
******************************************************************************
* Copyright (c) 2004-2023 Hangzhou H3C Tech. Co., Ltd. All rights reserved. *
* Without the owner's prior written consent, *
* no decompiling or reverse-engineering shall be allowed. *
******************************************************************************
login: telnetuser@bbb
Password:
<Router>
(3) 驗證用戶權限
Telnet用戶成功登錄設備後,可通過如下步驟驗證用戶的權限:
¡ 可執行特性ospf中所有寫類型的命令。(以配置OSPF為例)
[Router] ospf 1
[Router-ospf-1] area 0
[Router-ospf-1-area-0.0.0.0] network 1.1.1.1 0.0.0.0
[Router-ospf-1-area-0.0.0.0] quit
[Router-ospf-1] quit
¡ 可執行特性ospf相關的讀類型命令。
[Router] show ospf
OSPF Process 1 with Router ID 192.168.1.50
OSPF Protocol Information
RouterID: 192.168.1.50 Router type:
Route tag: 0
Multi-VPN-Instance is not enabled
Ext-community type: Domain ID 0x5, Route Type 0x306, Router ID 0x107
Domain ID: 0.0.0.0
Opaque capable
Isolation: Disabled
ISPF is enabled
SPF-schedule-interval: 5 50 200
LSA generation interval: 5 50 200
LSA arrival interval: 1000
Transmit pacing: Interval: 20 Count: 3
Default ASE parameters: Metric: 1 Tag: 1 Type: 2
Route preference: 10
ASE route preference: 150
SPF calculation count: 0
RFC 1583 compatible
Fast-reroute: Remote-lfa Disabled
Maximum-cost: 4294967295
Node-Protecing Preference: 40
Lowest-cost Preference: 20
Graceful restart interval: 120
SNMP trap rate limit interval: 10 Count: 7
Area count: 1 NSSA area count: 0
ExChange/Loading neighbors: 0
MPLS segment routing: Disabled
Segment routing adjacency : Disabled
Effective SRGB : 16000 24000
Segment routing local block : 15000 15999
Segment routing tunnel count: 0
Area: 0.0.0.0 (MPLS TE not enabled)
Authentication type: None Area flag: Normal
SPF scheduled count: 0
ExChange/Loading neighbors: 0
¡ 可執行特性filesystem相關的所有讀寫類型命令。(以配置設備發送FTP報文的源IP地址為192.168.0.60為例)
[Router] ftp client source ip 192.168.0.60
[Router] quit
¡ 不能執行特性filesystem相關的執行類型命令。(以進入FTP視圖為例)
<Router> ftp
Permission denied.
通過顯示信息可以確認配置生效。
#
telnet server enable
#
interface GigabitEthernet1/0/1
ip address 192.168.1.50 24
#
line vty 0 63
authentication-mode scheme
user-role network-operator
#
domain bbb
authentication login local
authorization login local
#
role name role1
rule 1 permit read write feature ospf
rule 2 permit read write feature filesystem
#
local-user telnetuser class manage
password hash $h$6$kZw1rKFsAY4lhgUz$+teVLy8gmKN4Mr00VWgXQTB8ai94gKHlrys5OkytGf4
kT+nz5X1ZGASjc282CYAR6A1upH2jbmRoTcfDzZ9Gmw==
service-type telnet
authorization-attribute user-role role1
#
如圖2所示,Telnet用戶主機與設備相連,設備與一台RADIUS服務器相連,需要實現RADIUS服務器對登錄設備的Telnet用戶進行認證和授權,使得Telnet用戶具有如下用戶權限:
· 允許用戶執行ISP視圖下的所有命令;
· 允許用戶執行ARP和RADIUS特性中讀和寫類型的命令;
· 允許用戶執行創建VLAN以及進入VLAN視圖後的相關命令,並隻具有操作VLAN 10~VLAN 20的權限;
· 允許用戶執行進入接口視圖以及接口視圖下的相關命令,並具有操作接口GigabitEthernet1/0/1~GigabitEthernet1/0/3的權限。
圖2 Telnet用戶RADIUS認證/授權配置組網圖
· 為了使Telnet用戶可以執行ARP和RADIUS特性的讀寫類型命令,可創建特性組feature-group1,配置包含ARP和RADIUS特性。
· 為了授權Telnet用戶可以執行所要求權限的命令,需要配置對應的用戶角色規則和資源控製策略。
· 為了使Telnet用戶能夠具備以上權限,需要在RADIUS服務器上對Telnet用戶授權用戶角色role1。
本配置舉例是在MSR3610-X1路由器Release 6749版本上進行配置和驗證的。
· 一個ISP域被配置為缺省的ISP域後將不能夠被刪除,必須首先使用命令undo domain default enable將其修改為非缺省ISP域,然後才可以被刪除。
· 由於RADIUS服務器的授權信息是隨認證應答報文發給RADIUS客戶端的,所以必須保證認證和授權方法相同。
· 一個用戶角色中允許創建多條規則,各規則以創建時指定的編號為唯一標識,被授權該角色的用戶可以執行的命令為這些規則定義的可執行命令的並集。若這些規則定義的權限內容有衝突,則規則編號大的有效。例如,規則1允許執行命令A,規則2允許執行命令B,規則3禁止執行命令A,則最終規則2和規則3生效,即禁止執行命令A,允許執行命令B。
(1) 配置接口和路由
# 配置接口GigabitEthernet1/0/1的IP地址,Telnet用戶將通過該地址連接設備。
<Router> system-view
[Router] interface gigabitethernet 1/0/1
[Router-GigabitEthernet1/0/1] ip address 192.168.1.50 255.255.255.0
[Router-GigabitEthernet1/0/1] quit
# 配置接口GigabitEthernet1/0/2的IP地址,設備將通過該地址與服務器通信。
[Router] interface gigabitethernet 1/0/2
[Router-GigabitEthernet1/0/2] ip address 10.1.1.2 255.255.255.0
[Router-GigabitEthernet1/0/2] quit
# 配置缺省路由,使得Telnet用戶到RADIUS服務器路由可達。
[Router] ip route-static 0.0.0.0 0.0.0.0 10.1.1.1
(2) 配置Telnet用戶登錄設備的認證方式
# 開啟設備的Telnet服務器功能。
[Router] telnet server enable
# 配置Telnet用戶登錄采用AAA認證方式。
[Router] line vty 0 63
[Router-line-vty0-63] authentication-mode scheme
[Router-line-vty0-63] quit
(3) 配置RADIUS方案和認證服務器
# 創建RADIUS方案rad。
[Router] radius scheme rad
# 配置主認證/授權服務器的IP地址為10.1.1.1,主計費服務器的IP地址為10.1.1.1。
[Router-radius-rad] primary authentication 10.1.1.1
[Router-radius-rad] primary accounting 10.1.1.1
# 配置與認證/授權服務器、主計費服務器交互報文時的共享密鑰為明文aabbcc。
[Router-radius-rad] key authentication simple aabbcc
[Router-radius-rad] key accounting simple aabbcc
[Router-radius-rad] quit
(4) 配置ISP域bbb的AAA方法
# 創建ISP域bbb,為login用戶配置的AAA認證方法為RADIUS認證、RADIUS授權、RADIUS計費。
[Router] domain bbb
[Router-isp-bbb] authentication login radius-scheme rad
[Router-isp-bbb] authorization login radius-scheme rad
[Router-isp-bbb] accounting login radius-scheme rad
[Router-isp-bbb] quit
(5) 配置特性組
# 創建特性組fgroup1。
[Router] role feature-group name fgroup1
# 配置特性組fgroup1中包含特性ARP和RADIUS。
[Router-featuregrp-fgroup1] feature arp
[Router-featuregrp-fgroup1] feature radius
[Router-featuregrp-fgroup1] quit
(6) 在設備上創建用戶角色role1,並配置用戶角色規則和資源控製策略
# 創建用戶角色role1。
[Router] role name role1
# 配置用戶角色規則1,允許用戶執行ISP視圖下的所有命令。
[Router-role-role1] rule 1 permit command system-view ; domain *
# 配置用戶角色規則2,允許用戶執行特性組fgroup1中所有特性的讀和寫類型的命令。
[Router-role-role1] rule 2 permit read write feature-group fgroup1
# 配置用戶角色規則3,允許用戶執行創建VLAN的命令。
[Router-role-role1] rule 3 permit command system-view ; vlan *
# 配置用戶角色規則4,允許用戶執行進入接口視圖以及接口視圖下的相關命令。
[Router-role-role1] rule 4 permit command system-view ; interface *
# 進入VLAN策略視圖,允許用戶具有操作VLAN 10~VLAN 20的權限。
[Router-role-role1] vlan policy deny
[Router-role-role1-vlanpolicy] permit vlan 10 to 20
[Router-role-role1-vlanpolicy] quit
# 進入接口策略視圖,允許用戶具有操作接口GigabitEthernet1/0/1~GigabitEthernet1/0/3的權限。
[Router-role-role1] interface policy deny
[Router-role-role1-ifpolicy] permit interface gigabitethernet 1/0/1 to gigabitethernet 1/0/3
[Router-role-role1-ifpolicy] quit
[Router-role-role1] quit
[Router] quit
下麵以iMC為例(使用iMC版本為:iMC PLAT 7.0(E0202)、iMC UAM 7.0(E0202)),說明RADIUS服務器的基本配置。
# 增加接入設備。
登錄進入iMC管理平台,選擇“用戶”頁簽,單擊導航樹中的[接入策略管理/接入設備管理/接入設備配置]菜單項,進入接入設備配置頁麵,在該頁麵中單擊<增加>按鈕,進入增加接入設備頁麵。
· 設置認證及計費的端口號分別為“1812”和“1813”;
· 設置與AC交互報文時使用的認證、計費共享密鑰和確認共享密鑰為“aabbcc”;
· 選擇業務類型為“設備管理業務”;
· 選擇接入設備類型為“H3C”;
· 選擇或手工增加接入設備,添加IP地址為10.1.1.2的接入設備;
· 其它參數采用缺省值,並單擊<確定>按鈕完成操作。
圖3 增加接入設備
# 增加設備管理用戶。
選擇“用戶”頁簽,單擊導航樹中的[接入用戶管理/設備管理用戶]菜單項,進入設備管理用戶列表頁麵,在該頁麵中單擊<增加>按鈕,進入增加設備管理用戶頁麵。
· 創建用戶名,這裏輸入“telnetuser@bbb”,並配置密碼和確認密碼;
· 選擇服務類型為“Telnet”;
· 添加用戶角色名“role1”;
· 添加所管理設備的IP地址,IP地址範圍為“10.1.1.0~10.1.1.10”;
· 單擊<確定>按鈕完成操作。
圖4 增加設備管理用戶
(1) 查看用戶角色和特性組信息
# 通過display role命令查看用戶角色role1的信息。
<Router> display role name role1
Role: role1
Description:
VLAN policy: deny
Permitted VLANs: 10 to 20
Interface policy: deny
Permitted interfaces: GigabitEthernet1/0/1 to GigabitEthernet1/0/3
VPN instance policy: permit (default)
Security zone policy: permit (default)
-------------------------------------------------------------------
Rule Perm Type Scope Entity
-------------------------------------------------------------------
1 permit command system-view ; domain *
2 permit RW- feature-group fgroup1
3 permit command system-view ; vlan *
4 permit command system-view ; interface *
R:Read W:Write X:Execute
(2) 用戶登錄設備
用戶向設備發起Telnet連接,在Telnet客戶端按照提示輸入用戶名telnetuser@bbb及正確的密碼後,成功登錄設備。
C:\Documents and Settings\user> telnet 192.168.1.50
******************************************************************************
* Copyright (c) 2004-2023 Hangzhou H3C Tech. Co., Ltd. All rights reserved. *
* Without the owner's prior written consent, *
* no decompiling or reverse-engineering shall be allowed. *
******************************************************************************
login: telnetuser@bbb
Password:
<Router>
(3) 驗證用戶權限
Telnet用戶成功登錄設備後,可通過如下步驟驗證用戶的權限:
¡ 可執行ISP視圖下所有的命令。
<Router> system-view
[Router] domain abc
[Router-isp-abc] authentication login radius-scheme abc
[Router-isp-abc] quit
¡ 可執行RADIUS特性中讀和寫類型的命令。(ARP特性同,此處不再舉例)
[Router] radius scheme rad
[Router-radius-rad] primary authentication 2.2.2.2
[Router-radius-rad] display radius scheme rad
¡ 可操作VLAN 10~VLAN 20。(以創建VLAN 10、VLAN 30為例)
[Router] vlan 10
[Router-vlan10] quit
[Router] vlan 30
Permission denied.
¡ 可操作接口GigabitEthernet1/0/1~GigabitEthernet1/0/3。(以接口GigabitEthernet1/0/1為例)
[Router] interface gigabitethernet 1/0/1
[Router-GigabitEthernet1/0/1] ip address 1.1.1.1 24
[Router-GigabitEthernet1/0/1] quit
¡ 不能操作其它接口。(以進入GigabitEthernet1/0/4接口視圖為例)
[Router] interface gigabitethernet 1/0/4
Permission denied.
通過顯示信息可以確認配置生效。
#
telnet server enable
#
interface GigabitEthernet1/0/1
ip address 192.168.1.50 24
#
interface GigabitEthernet1/0/2
ip address 10.1.1.2 24
#
line vty 0 63
authentication-mode scheme
user-role network-operator
#
ip route-static 0.0.0.0 0 10.1.1.1
#
radius scheme rad
primary authentication 10.1.1.1
primary accounting 10.1.1.1
key authentication cipher $c$3$JzDegvL0G5KZIcJhzscTHLA4WasBVh0UOw==
key accounting cipher $c$3$CdejNYYxvjW0Y+Zydi4rZgBwjYb4h6LKmg==
#
domain bbb
authentication login radius-scheme rad
authorization login radius-scheme rad
accounting login radius-scheme rad
#
role feature-group name fgroup1
feature arp
feature radius
#
role name role1
rule 1 permit command system-view ; domain *
rule 2 permit read write feature-group fgroup1
rule 3 permit command system-view ; vlan *
rule 4 permit command system-view ; interface *
vlan policy deny
permit vlan 10 to 20
interface policy deny
permit interface GigabitEthernet1/0/1 to GigabitEthernet1/0/3
#
如圖5所示,為了加強用戶登錄的安全性,采用RADIUS服務器對登錄設備的Telnet用戶進行認證、授權,使得Telnet用戶有如下權限:
· 允許執行係統預定義特性組L3相關的所有命令。
· 允許執行所有以display開頭的命令。
· 隻允許對特定VPN實例vpn1、vpn2和vpn3進行操作。
圖5 某些VPN中具有特定特性的執行權限配置組網圖
· 為了授權Telnet用戶可以執行所要求權限的命令,需要創建用戶角色role1並配置對應的用戶角色規則和資源控製策略。
· 為了使Telnet用戶能夠具備以上權限,需要在RADIUS服務器上配置Telnet用戶授權用戶角色role1。
本配置舉例是在MSR3610-X1路由器Release 6749版本上進行配置和驗證的。
· 一個ISP域被配置為缺省的ISP域後將不能夠被刪除,必須首先使用命令undo domain default enable將其修改為非缺省ISP域,然後才可以被刪除。
· 由於RADIUS服務器的授權信息是隨認證應答報文發給RADIUS客戶端的,所以必須保證認證和授權方法相同。
· 一個用戶角色中允許創建多條規則,各規則以創建時指定的編號為唯一標識,被授權該角色的用戶可以執行的命令為這些規則定義的可執行命令的並集。若這些規則定義的權限內容有衝突,則規則編號大的有效。例如,規則1允許執行命令A,規則2允許執行命令B,規則3禁止執行命令A,則最終規則2和規則3生效,即禁止執行命令A,允許執行命令B。
(1) 配置接口和路由
# 為接口GigabitEthernet1/0/1配置IP地址。
<Router> system-view
[Router] interface gigabitethernet 1/0/1
[Router-GigabitEthernet1/0/1] ip address 192.168.1.50 24
[Router-GigabitEthernet1/0/1] quit
# 為接口GigabitEthernet1/0/2置IP地址。
[Router] interface gigabitethernet 1/0/2
[Router-GigabitEthernet1/0/2] ip address 10.1.1.2 24
[Router-GigabitEthernet1/0/2] quit
# 配置缺省路由,使得Telnet用戶到RADIUS服務器路由可達。
[Router] ip route-static 0.0.0.0 0.0.0.0 10.1.1.1
(2) 配置Telnet用戶登錄設備的認證方式
# 開啟設備的Telnet服務器功能。
[Router] telnet server enable
# 在編號為0~63的VTY用戶線下,配置Telnet用戶登錄采用AAA認證方式。
[Router] line vty 0 63
[Router-line-vty0-63] authentication-mode scheme
[Router-line-vty0-63] quit
(3) 配置RADIUS方案和認證服務器
# 創建RADIUS方案rad。
[Router] radius scheme rad
# 配置主認證/授權服務器的IP地址為10.1.1.1,主計費服務器的IP地址為10.1.1.1。
[Router-radius-rad] primary authentication 10.1.1.1
[Router-radius-rad] primary accounting 10.1.1.1
# 配置與認證/授權服務器、主計費服務器交互報文時的共享密鑰為明文aabbcc。
[Router-radius-rad] key authentication simple aabbcc
[Router-radius-rad] key accounting simple aabbcc
[Router-radius-rad] quit
(4) 配置ISP域bbb的AAA方法
# 創建ISP域bbb,為login用戶配置的AAA認證方法為RADIUS認證、RADIUS授權、RADIUS計費。
[Router] domain bbb
[Router-isp-bbb] authentication login radius-scheme rad
[Router-isp-bbb] authorization login radius-scheme rad
[Router-isp-bbb] accounting login radius-scheme rad
[Router-isp-bbb] quit
(5) 在設備上創建用戶角色role1,並配置用戶角色規則和資源控製策略
# 創建用戶角色role1,進入用戶角色視圖。
[Router] role name role1
# 配置用戶角色規則1,允許用戶執行預定義特性組L3相關的所有命令。
[Router-role-role1] rule 1 permit execute read write feature-group L3
# 配置用戶角色規則2,允許用戶執行所有以display開頭的命令。
[Router-role-role1] rule 2 permit command display *
# 進入用戶角色VPN策略視圖,配置允許用戶具有操作VPN實例vpn1、vpn2和vpn3的權限。
[Router-role-role1] vpn-instance policy deny
[Router-role-role1-vpnpolicy] permit vpn-instance vpn1 vpn2 vpn3
[Router-role-role1-vpnpolicy] quit
[Router-role-role1] quit
[Router] quit
下麵以iMC為例(使用iMC版本為:iMC PLAT 7.0(E0202)、iMC UAM 7.0(E0202)),說明RADIUS服務器的基本配置。
# 增加接入設備。
登錄進入iMC管理平台,選擇“用戶”頁簽,單擊導航樹中的[接入策略管理>接入設備管理>接入設備配置]菜單項,進入接入設備配置頁麵,在該頁麵中單擊<增加>按鈕,進入增加接入設備頁麵。
· 設置認證及計費的端口號分別為“1812”和“1813”;
· 設置與AC交互報文時使用的認證、計費共享密鑰和確認共享密鑰為“aabbcc”;
· 選擇業務類型為“設備管理業務”;
· 選擇接入設備類型為“H3C”;
· 選擇或手工增加接入設備,添加IP地址為10.1.1.2的接入設備;
· 其它參數采用缺省值,並單擊<確定>按鈕完成操作。
圖6 增加接入設備
# 增加設備管理用戶。
選擇“用戶”頁簽,單擊導航樹中的[接入用戶管理/設備管理用戶]菜單項,進入設備管理用戶列表頁麵,在該頁麵中單擊<增加>按鈕,進入增加設備管理用戶頁麵。
· 創建用戶名,這裏輸入“telnetuser@bbb”,並配置密碼和確認密碼;
· 選擇服務類型為“Telnet”;
· 添加用戶角色名“role1”;
· 添加所管理設備的IP地址,IP地址範圍為“10.1.1.0~10.1.1.10”;
· 單擊<確定>按鈕完成操作。
圖7 增加設備管理用戶
(1) 查看用戶角色和特性組信息
# 通過display role命令查看用戶角色role1的信息。
<Router> display role name role1
Role: role1
Description:
VLAN policy: permit (default)
Interface policy: permit (default)
VPN instance policy: deny
Permitted VPN instances: vpn1, vpn2, vpn3
Security zone policy: permit (default)
-------------------------------------------------------------------
Rule Perm Type Scope Entity
-------------------------------------------------------------------
1 permit RWX feature-group L3
2 permit command display *
R:Read W:Write X:Execute
通過display role feature-group命令查看特性組L3中包括的特性信息,此處不詳細介紹。
(2) 用戶登錄設備
用戶向設備發起Telnet連接,在Telnet客戶端按照提示輸入用戶名telnetuser@bbb及正確的密碼後,成功登錄設備。
C:\Documents and Settings\user> telnet 192.168.1.50
******************************************************************************
* Copyright (c) 2004-2023 Hangzhou H3C Tech. Co., Ltd. All rights reserved. *
* Without the owner's prior written consent, *
* no decompiling or reverse-engineering shall be allowed. *
******************************************************************************
login: telnetuser@bbb
Password:
<Router>
(3) 驗證用戶權限
Telnet用戶成功登錄設備後,可通過如下步驟驗證用戶的權限:
¡ 可執行係統預定義特性組L3中的所有命令。(以創建VPN實例vpn1並配置其RD為22:1為例)
<Router> system-view
[Router] ip vpn-instance vpn1
[Router-vpn-instance-vpn1] route-distinguisher 22:1
[Router-vpn-instance-vpn1] display this
#
ip vpn-instance vpn1
route-distinguisher 22:1
#
return
[Router-vpn-instance-vpn1] quit
¡ 不能操作其它VPN實例。(以VPN實例vpn5為例)
[Router] ip vpn-instance vpn5
Permission denied.
通過顯示信息可以確認配置生效。
#
telnet server enable
#
interface GigabitEthernet1/0/1
ip address 192.168.1.50 24
#
interface GigabitEthernet1/0/2
ip address 10.1.1.2 24
#
line vty 0 63
authentication-mode scheme
user-role network-operator
#
ip route-static 0.0.0.0 0 10.1.1.1
#
radius scheme rad
primary authentication 10.1.1.1
primary accounting 10.1.1.1
key authentication cipher $c$3$JzDegvL0G5KZIcJhzscTHLA4WasBVh0UOw==
key accounting cipher $c$3$CdejNYYxvjW0Y+Zydi4rZgBwjYb4h6LKmg==
#
domain bbb
authentication login radius-scheme rad
authorization login radius-scheme rad
accounting login radius-scheme rad
#
role name role1
rule 1 permit read write execute feature-group L3
rule 2 permit command display *
vpn-instance policy deny
permit vpn-instance vpn1
permit vpn-instance vpn2
permit vpn-instance vpn3
#
如圖8所示,為了加強用戶登錄的安全性,采用本地AAA認證對登錄設備的Telnet用戶進行認證。Telnet用戶telnetuser1和telnetuser2通過ISP域bbb接入網絡,成功登錄設備後,均被賦予用戶角色role1,具有如下權限:
· 允許執行所有以display開頭的命令。
· 允許執行創建VLAN的命令。
· 隻允許對VLAN 10~VLAN 15進行操作。
· 隻允許對特定接口GigabitEthernet1/0/1進行操作。
現要求為Telnet用戶telnetuser1增加對設備的操作權限,具體需求如下:
· 允許對VLAN 16~VLAN 20進行操作。
· 允許對特定接口GigabitEthernet1/0/2~GigabitEthernet1/0/3進行操作。
· 為了使Telnet用戶telnetuser1增加上述權限,並且不改變Telnet用戶telnetuser2的權限,可以通過創建用戶角色role2,並對Telnet用戶telnetuser1授予用戶角色role2。
· 為了增加Telnet用戶telnetuser1可執行所要求權限的命令,需要配置用戶角色規則和資源控製策略。
本配置舉例是在MSR3610-X1路由器Release 6749版本上進行配置和驗證的。
· 一個用戶角色中允許創建多條規則,各規則以創建時指定的編號為唯一標識,被授權該角色的用戶可以執行的命令為這些規則定義的可執行命令的並集。若這些規則定義的權限內容有衝突,則規則編號大的有效。例如,規則1允許執行命令A,規則2允許執行命令B,規則3禁止執行命令A,則最終規則2和規則3生效,即禁止執行命令A,允許執行命令B。
· 用戶可以同時被授權多個用戶角色。擁有多個用戶角色的用戶可獲得這些角色中被允許執行的功能以及被允許操作的資源的集合。
· 對當前在線用戶授權新的用戶角色,待該用戶重新上線後才能生效。
(1) 配置接口
# 為接口GigabitEthernet1/0/1配置IP地址。
<Router> system-view
[Router] interface gigabitethernet 1/0/1
[Router-GigabitEthernet1/0/1] ip address 192.168.1.50 24
[Router-GigabitEthernet1/0/1] quit
(2) 配置Telnet用戶登錄設備的認證方式
# 開啟設備的Telnet服務器功能。
[Router] telnet server enable
# 在編號為0~63的VTY用戶線下,配置Telnet用戶登錄采用AAA認證方式。
[Router] line vty 0 63
[Router-line-vty0-63] authentication-mode scheme
[Router-line-vty0-63] quit
(3) 配置ISP域bbb的AAA方法
# 創建ISP域bbb,為login用戶配置的AAA方法為本地認證、本地授權。
[Router] domain bbb
[Router-isp-bbb] authentication login local
[Router-isp-bbb] authorization login local
[Router-isp-bbb] quit
(4) 配置設備管理類本地用戶telnetuser1和telnetuser2的密碼和服務類型
# 創建設備管理類本地用戶telnetuser1。
[Router] local-user telnetuser1 class manage
# 配置用戶的密碼是明文的123456TESTplat&!。
[Router-luser-manage-telnetuser1] password simple 123456TESTplat&!
# 指定用戶的服務類型是Telnet。
[Router-luser-manage-telnetuser1] service-type telnet
[Router-luser-manage-telnetuser1] quit
# 創建設備管理類本地用戶telnetuser2。
[Router] local-user telnetuser2 class manage
# 配置用戶的密碼是明文的123456TESTplat&!。
[Router-luser-manage-telnetuser2] password simple 123456TESTplat&!
# 指定用戶的服務類型是Telnet。
[Router-luser-manage-telnetuser2] service-type telnet
[Router-luser-manage-telnetuser2] quit
(5) 創建用戶角色role1,並配置用戶角色規則
# 創建用戶角色role1,進入用戶角色視圖。
[Router] role name role1
# 配置用戶角色規則1,允許用戶執行所有以display開頭的命令。
[Router-role-role1] rule 1 permit command display *
# 配置用戶角色規則2,允許執行進入VLAN視圖命令。
[Router-role-role1] rule 2 permit command system-view ; vlan *
# 配置用戶角色規則3,允許執行進入接口視圖命令以及進入接口視圖後的相關命令。
[Router-role-role1] rule 3 permit command system-view ; interface *
# 進入用戶角色VLAN策略視圖,配置允許用戶具有操作VLAN 10~VLAN 15的權限。
[Router-role-role1] vlan policy deny
[Router-role-role1-vlanpolicy] permit vlan 10 to 15
[Router-role-role1-vlanpolicy] quit
# 進入用戶角色接口策略視圖,配置允許用戶具有操作接口GigabitEthernet1/0/1的權限。
[Router-role-role1] interface policy deny
[Router-role-role1-ifpolicy] permit interface gigabitethernet 1/0/1
[Router-role-role1-ifpolicy] quit
[Router-role-role1] quit
(6) 為本地用戶telnetuser1和telnetuser2配置授權用戶角色
# 進入設備管理類本地用戶telnetuser1視圖。
[Router] local-user telnetuser1 class manage
# 指定用戶telnetuser1的授權角色role1。
[Router-luser-manage-telnetuser1] authorization-attribute user-role role1
# 為保證用戶僅使用授權的用戶角色role1,刪除用戶telnetuser1具有的缺省用戶角色network-operator。
[Router-luser-manage-telnetuser1] undo authorization-attribute user-role network-operator
[Router-luser-manage-telnetuser1] quit
# 進入設備管理類本地用戶telnetuser2視圖。
[Router] local-user telnetuser2 class manage
# 指定用戶telnetuser2的授權角色role1。
[Router-luser-manage-telnetuser2] authorization-attribute user-role role1
# 為保證用戶僅使用授權的用戶角色role1,刪除用戶telnetuser2具有的缺省用戶角色network-operator。
[Router-luser-manage-telnetuser2] undo authorization-attribute user-role network-operator
[Router-luser-manage-telnetuser2] quit
(7) 創建用戶角色role2,並配置用戶角色規則
# 創建用戶角色role2,進入用戶角色視圖。
[Router] role name role2
# 配置用戶角色規則1,允許執行進入接口視圖命令以及進入接口視圖後的相關命令。
[Router-role-role2] rule 1 permit command system-view ; interface *
(8) 為用戶角色role2配置VLAN資源控製策略
# 進入用戶角色VLAN策略視圖,配置允許用戶具有操作VLAN 16~VLAN 20的權限。
[Router-role-role2] vlan policy deny
[Router-role-role2-vlanpolicy] permit vlan 16 to 20
[Router-role-role2-vlanpolicy] quit
# 進入用戶角色接口策略視圖,配置允許用戶具有操作接口GigabitEthernet1/0/2~GigabitEthernet1/0/3的權限。
[Router-role-role2] interface policy deny
[Router-role-role2-ifpolicy] permit interface gigabitethernet 1/0/2 to gigabitethernet 1/0/3
[Router-role-role2-ifpolicy] quit
[Router-role-role2] quit
(9) 為本地用戶telnetuser1配置授權用戶角色
# 進入設備管理類本地用戶telnetuser1視圖。
[Router] local-user telnetuser1 class manage
# 指定用戶telnetuser1的授權角色role2。
[Router-luser-manage-telnetuser1] authorization-attribute user-role role2
[Router-luser-manage-telnetuser1] quit
[Router] quit
(1) 查看用戶角色和特性組信息
# 通過display role命令查看用戶角色role1的信息。
<Router> display role name role1
Role: role1
Description:
VLAN policy: deny
Permitted VLANs: 10 to 15
Interface policy: deny
Permitted interfaces: GigabitEthernet1/0/1
VPN instance policy: permit (default)
Security zone policy: permit (default)
-------------------------------------------------------------------
Rule Perm Type Scope Entity
-------------------------------------------------------------------
1 permit command display *
2 permit command system-view ; vlan *
3 permit command system-view ; interface *
R:Read W:Write X:Execute
(2) 用戶登錄設備
用戶向設備發起Telnet連接,在Telnet客戶端按照提示輸入用戶名telnetuser1@bbb及正確的密碼後,成功登錄設備。
C:\Documents and Settings\user> telnet 192.168.1.50
******************************************************************************
* Copyright (c) 2004-2023 Hangzhou H3C Tech. Co., Ltd. All rights reserved. *
* Without the owner's prior written consent, *
* no decompiling or reverse-engineering shall be allowed. *
******************************************************************************
login: telnetuser1@bbb
Password:
<Router>
(3) 驗證用戶權限
Telnet用戶成功登錄設備後,可通過如下步驟驗證用戶的權限:
¡ 能夠創建VLAN 15。
<Router> system-view
[Router] vlan 15
[Router-vlan15] quit
¡ 不能創建VLAN 20。
[Router] vlan 20
Permission denied.
¡ 能夠操作GigabitEthernet1/0/1接口。
[Router] interface gigabitethernet 1/0/1
[Router-GigabitEthernet1/0/1] ip address 1.1.1.1 24
[Router-GigabitEthernet1/0/1] quit
[Router] quit
通過顯示信息可以確認配置生效。
(1) 查看用戶角色和特性組信息
通過display role命令查看用戶角色role2的信息。
# 顯示用戶角色role2的信息。
<Router> display role name role2
Role: role2
Description:
VLAN policy: deny
Permitted VLANs: 16 to 20
Interface policy: deny
Permitted interfaces: GigabitEthernet1/0/2~GigabitEthernet1/0/3
VPN instance policy: permit (default)
Security zone policy: permit (default)
-------------------------------------------------------------------
Rule Perm Type Scope Entity
-------------------------------------------------------------------
1 permit command system-view ; interface *
R:Read W:Write X:Execute
(2) 用戶登錄設備
用戶向設備發起Telnet連接,在Telnet客戶端按照提示輸入用戶名telnetuser1@bbb及正確的密碼後,成功登錄設備。
C:\Documents and Settings\user> telnet 192.168.1.50
******************************************************************************
* Copyright (c) 2004-2023 Hangzhou H3C Tech. Co., Ltd. All rights reserved. *
* Without the owner's prior written consent, *
* no decompiling or reverse-engineering shall be allowed. *
******************************************************************************
login: telnetuser1@bbb
Password:
<Router>
(3) 驗證用戶權限
Telnet用戶成功登錄設備後,可通過如下步驟驗證用戶的權限:
¡ 可創建VLAN 16。
<Router> system-view
[Router] vlan 16
[Router-vlan16] quit
¡ 能夠操作GigabitEthernet1/0/2接口。
[Router] interface gigabitethernet 1/0/2
[Router-GigabitEthernet1/0/2] ip address 2.2.2.2 24
[Router-GigabitEthernet1/0/2] quit
¡ 不能操作其它接口。(以進入GigabitEthernet1/0/5接口視圖為例)
[Router] interface gigabitethernet 1/0/5
Permission denied.
通過顯示信息可以確認配置生效。
#
telnet server enable
#
interface GigabitEthernet1/0/1
ip address 192.168.1.50 24
#
line vty 0 63
authentication-mode scheme
user-role network-operator
#
domain bbb
authentication login local
authorization login local
#
role name role1
rule 1 permit command display *
rule 2 permit command system-view ; vlan *
rule 3 permit command system-view ; interface *
vlan policy deny
permit vlan 10 to 15
interface policy deny
permit interface GigabitEthernet1/0/1
#
role name role2
rule 1 permit command system-view ; interface *
vlan policy deny
permit vlan 16 to 20
interface policy deny
permit interface GigabitEthernet1/0/2 to GigabitEthernet1/0/3
#
local-user telnetuser1 class manage
password hash $h$6$kZw1rKFsAY4lhgUz$+teVLy8gmKN4Mr00VWgXQTB8ai94gKHlrys5OkytGf4
kT+nz5X1ZGASjc282CYAR6A1upH2jbmRoTcfDzZ9Gmw==
service-type telnet
authorization-attribute user-role role1
authorization-attribute user-role role2
#
local-user telnetuser2 class manage
password hash TPcgyTQJZShe$h$6$vaSj2xKc8yFiNdfQ$Jzb3PXo2lt4jk KSZqJUVhjP634Wol/
Qx8TLU748IHoeui0w5n/XRzpNqbNnpxikym39gGJCwYw==
service-type telnet
authorization-attribute user-role role1
#
如圖9所示,為了加強用戶登錄的安全性,采用本地AAA認證對登錄設備的Telnet用戶進行認證。登錄設備的Telnet用戶能夠進行用戶角色的切換,即在不下線的情況下,臨時改變自身對係統的操作權限。當前Telnet用戶被授權為用戶角色role1,用戶角色role1具有如下權限:
· 允許執行係統預定義特性組L3相關的所有命令。
· 允許執行所有以display開頭的命令。
· 允許執行所有以super開頭的命令。
· 具有所有接口、VLAN和VPN實例資源的操作權限。
現要求,Telnet用戶能夠被切換到用戶角色role2和network-operator,其中用戶角色role2具有如下權限:
· 允許執行係統預定義特性組L2相關的所有命令。
· 具有所有接口、VLAN和VPN實例資源的操作權限。
· 缺省情況下,用戶角色切換的認證方式為local。在本例中Telnet用戶登錄設備的認證方式為本地AAA認證,因此,配置用戶角色切換時的認證方式為local。
· 為了使Telnet用戶telnetuser能夠進行切換用戶角色,需要創建本地用戶角色role1和role2,並配置相應的配置用戶角色規則和資源控製策略。
· 為了保證操作的安全性,Telnet用戶將用戶角色切換到不同的用戶角色時,需要配置相應切換密碼。
本配置舉例是在MSR3610-X1路由器Release 6749版本上進行配置和驗證的。
· 一個ISP域被配置為缺省的ISP域後將不能夠被刪除,必須首先使用命令undo domain default enable將其修改為非缺省ISP域,然後才可以被刪除。
· 一個用戶角色中允許創建多條規則,各規則以創建時指定的編號為唯一標識,被授權該角色的用戶可以執行的命令為這些規則定義的可執行命令的並集。若這些規則定義的權限內容有衝突,則規則編號大的有效。例如,規則1允許執行命令A,規則2允許執行命令B,規則3禁止執行命令A,則最終規則2和規則3生效,即禁止執行命令A,允許執行命令B。
· 切換後的用戶角色隻對當前登錄生效,用戶重新登錄後,又會恢複到原有用戶角色。
(1) 配置接口
# 為接口GigabitEthernet1/0/1配置IP地址。
<Router> system-view
[Router] interface gigabitethernet 1/0/1
[Router-GigabitEthernet1/0/1] ip address 192.168.1.50 24
[Router-GigabitEthernet1/0/1] quit
(2) 配置Telnet用戶登錄設備的認證方式
# 開啟設備的Telnet服務器功能。
[Router] telnet server enable
# 在編號為0~63的VTY用戶線下,配置Telnet用戶登錄采用AAA認證方式。
[Router] line vty 0 63
[Router-line-vty0-63] authentication-mode scheme
[Router-line-vty0-63] quit
(3) 配置ISP域bbb的AAA方法
# 創建ISP域bbb,為login用戶配置的AAA方法為本地認證、本地授權。
[Router] domain bbb
[Router-isp-bbb] authentication login local
[Router-isp-bbb] authorization login local
[Router-isp-bbb] quit
(4) 配置設備管理類本地用戶telnetuser的密碼和服務類型
# 創建設備管理類本地用戶telnetuser。
[Router] local-user telnetuser class manage
# 配置用戶的密碼是明文的123456TESTplat&!。
[Router-luser-manage-telnetuser] password simple 123456TESTplat&!
# 指定用戶的服務類型是Telnet。
[Router-luser-manage-telnetuser] service-type telnet
[Router-luser-manage-telnetuser] quit
(5) 創建用戶角色role1,並配置用戶角色規則
# 創建用戶角色role1,進入用戶角色視圖。
[Router] role name role1
# 配置用戶角色規則1,允許用戶執行預定義特性組L3相關的所有命令。
[Router-role-role1] rule 1 permit execute read write feature-group L3
# 配置用戶角色規則2,允許用戶執行所有以display開頭的命令。
[Router-role-role1] rule 2 permit command display *
# 配置用戶角色規則3,允許用戶執行所有以super開頭的命令。
[Router-role-role1] rule 3 permit command super *
[Router-role-role1] quit
(6) 創建用戶角色role2,並配置用戶角色規則
# 創建用戶角色role2,進入用戶角色視圖。
[Router] role name role2
# 配置用戶角色規則1,允許用戶執行預定義特性組L2相關的所有命令。
[Router-role-role2] rule 1 permit execute read write feature-group L2
[Router-role-role2] quit
(7) 為本地用戶配置授權用戶角色
# 進入設備管理類本地用戶telnetuser視圖。
[Router] local-user telnetuser class manage
# 指定用戶telnetuser的授權角色為role1。
[Router-luser-manage-telnetuser] authorization-attribute user-role role1
# 為保證用戶僅使用授權的用戶角色role1,刪除用戶telnetuser具有的缺省用戶角色network-operator。
[Router-luser-manage-telnetuser] undo authorization-attribute user-role network-operator
[Router-luser-manage-telnetuser] quit
(8) 配置用戶角色切換的方式及切換密碼
# 配置Telnet用戶切換用戶角色時采用local認證方式(係統缺省值為local)。
[Router] super authentication-mode local
# 配置Telnet用戶將用戶角色切換到role2時使用的密碼為明文密碼123456TESTplat&!。
[Router] super password role role2 simple 123456TESTplat&!
# 配置Telnet用戶將用戶角色切換到network-operator時使用的密碼為明文密碼987654TESTplat&!。
[Router] super password role network-operator simple 987654TESTplat&!
[Router] quit
(1) 查看用戶角色和特性組信息
通過display role命令查看用戶角色role1、role2和network-operator的信息。
# 顯示用戶角色role1的信息。
<Router> display role name role1
Role: role1
Description:
VLAN policy: permit (default)
Interface policy: permit (default)
VPN instance policy: permit (default)
Security zone policy: permit (default)
-------------------------------------------------------------------
Rule Perm Type Scope Entity
-------------------------------------------------------------------
1 permit RWX feature-group L3
2 permit command display *
3 permit command super *
R:Read W:Write X:Execute
# 顯示用戶角色role2的信息。
<Router> display role name role2
Role: role2
Description:
VLAN policy: permit (default)
Interface policy: permit (default)
VPN instance policy: permit (default)
Security zone policy: permit (default)
-------------------------------------------------------------------
Rule Perm Type Scope Entity
-------------------------------------------------------------------
1 permit RWX feature-group L2
R:Read W:Write X:Execute
# 顯示用戶角色network-operator的信息。
<Router> display role name network-operator
Role: network-operator
Description: Predefined network operator role has access to all read commands
on the Router
VLAN policy: permit (default)
Interface policy: permit (default)
VPN instance policy: permit (default)
Security zone policy: permit (default)
-------------------------------------------------------------------
Rule Perm Type Scope Entity
-------------------------------------------------------------------
sys-1 permit command display *
sys-2 permit command xml
sys-3 deny command display history-command all
sys-4 deny command display exception *
sys-5 deny command display cpu-usage configuration
*
sys-6 deny command display kernel exception *
sys-7 deny command display kernel deadloop *
sys-8 deny command display kernel starvation *
sys-9 deny command display kernel reboot *
sys-10 deny command display memory trace *
sys-11 deny command display kernel memory *
sys-12 permit command system-view ; local-user *
sys-13 permit command system-view ; switchto mdc *
sys-14 permit R-- xml-element -
sys-15 deny command display security-logfile summary
sys-16 deny command system-view ; info-center securi
ty-logfile directory *
sys-17 deny command security-logfile save
R:Read W:Write X:Execute
通過display role feature-group命令查看特性組L2和L3中包括的特性信息,此處不詳細介紹。
(2) 用戶登錄設備
用戶向設備發起Telnet連接,在Telnet客戶端按照提示輸入用戶名telnetuser@bbb及正確的密碼後,成功登錄設備。
C:\Documents and Settings\user> telnet 192.168.1.50
******************************************************************************
* Copyright (c) 2004-2023 Hangzhou H3C Tech. Co., Ltd. All rights reserved. *
* Without the owner's prior written consent, *
* no decompiling or reverse-engineering shall be allowed. *
******************************************************************************
login: telnetuser@bbb
Password:
<Router>
(3) 驗證切換用戶角色前的用戶權限
Telnet用戶成功登錄設備後,可通過如下步驟驗證用戶的權限:
¡ 可執行特性組L3中特性相關的所有命令。(以創建VPN實例vpn1為例)
<Router> system-view
[Router] ip vpn-instance vpn1
[Router] quit
¡ 可執行所有以display開頭的命令。(以顯示係統當前日期和時間為例)
<Router> display clock
09:31:56 UTC Wed 01/01/2014
(4) 驗證切換用戶角色
Telnet用戶成功登錄設備後,可通過如下步驟驗證用戶的權限:
a. 在用戶視圖下使用super命令切換到用戶角色role2。
<Router> super role2
Password:
User privilege role is role2, and only those commands that authorized to the rol
e can be used.
b. 切換到用戶角色role2後,可執行特性組L2中特性相關的所有命令。(以創建VLAN 10為例)
<Router> system-view
[Router] vlan 10
[Router-vlan10] quit
[Router] quit
c. 切換到用戶角色role2後,不能執行非特性組L2中特性相關的命令。(以切換到用戶角色network-operator為例)
<Router> super network-operator
Permission denied.
d. 切換到用戶角色role2後,不能執行以display開頭的命令。(以顯示係統當前日期和時間為例)
<Router> display clock
Permission denied.
e. Telnet用戶重新登錄設備後,才能執行所有以super開頭的命令。(以切換到用戶角色network-operator並輸入相應的切換密碼為例)
C:\Documents and Settings\user> telnet 192.168.1.50
******************************************************************************
* Copyright (c) 2004-2023 Hangzhou H3C Tech. Co., Ltd. All rights reserved. *
* Without the owner's prior written consent, *
* no decompiling or reverse-engineering shall be allowed. *
******************************************************************************
login: telnetuser@bbb
Password:
<Router> super network-operator
Password:
User privilege role is network-operator, and only those commands that authorized
to the role can be used.
<Router>
通過顯示信息可以確認配置生效。
#
telnet server enable
#
interface GigabitEthernet1/0/1
ip address 192.168.1.50 24
#
line vty 0 63
authentication-mode scheme
user-role network-operator
#
super password role role2 hash $h$6$D0kjHFktkktzgR5g$e673xFnIcKytCj6EDAw+pvwgh3
/ung3WNWHnrUTnXT862B+s7PaLfKTdil8ef71RBOvuJvPAZHjiLjrMPyWHQw==
super password role network-operator hash $h$6$3s5KMmscn9hJ6gPx$IcxbNjUc8u4yxwR
m87b/Jki8BoPAxw/s5bEcPQjQj/cbbXwTVcnQGL91WOd7ssO2rX/wKzfyzAO5VhBTn9Q4zQ==
#
domain bbb
authentication login local
authorization login local
#
role name role1
rule 1 permit read write execute feature-group L3
rule 2 permit command display *
rule 3 permit command super *
#
role name role2
rule 1 permit read write execute feature-group L2
#
local-user telnetuser class manage
password hash $h$6$kZw1rKFsAY4lhgUz$+teVLy8gmKN4Mr00VWgXQTB8ai94gKHlrys5OkytGf4
kT+nz5X1ZGASjc282CYAR6A1upH2jbmRoTcfDzZ9Gmw==
service-type telnet
authorization-attribute user-role role1
#
如圖10所示,某企業內部為隔離部門A和部門B之間流量,將不同VLAN劃分給各部門使用。為了加強各部門網絡管理員登錄的安全性,采用RADIUS服務器對登錄設備的Telnet用戶進行認證、授權。具體需求如下:部門A和部門B的網絡管理員通過Telnet登錄設備時,分別使用RADIUS服務器上配置的用戶名admin-departA和admin-departB以及對應的密碼進行認證。
部門A網絡管理員admin-departA有如下權限:
· 具有流量控製策略相關功能的配置權限。
· 禁止操作所有的接口和VPN資源。
· 隻允許操作VLAN 100~VLAN 199。
部門B網絡管理員admin-departB有如下權限:
· 具有流量控製策略相關功能的配置權限。
· 禁止操作所有的接口和VPN資源。
· 隻允許操作VLAN 200~VLAN 299。
· 創建用戶角色departA-resource,通過配置用戶角色規則,使其具有QoS和ACL特性中所有命令的配置權限;通過配置資源控製策略,使其隻具有VLAN 100~VLAN 199的操作權限,無法操作所有的接口和VPN資源。
· 創建用戶角色departB-resource,通過配置用戶角色規則,使其具有QoS和ACL特性中所有命令的配置權限;通過配置資源控製策略,使其隻具有VLAN 200~VLAN 299的操作權限,無法操作所有的接口和VPN資源。
· 在RADIUS服務器上配置對部門A網絡管理員授權用戶角色departA-resource;對部門B網絡管理員授權用戶角色departB-resouce。
本配置舉例是在MSR3610-X1路由器Release 6749版本上進行配置和驗證的。
由於RADIUS服務器的授權信息是隨認證應答報文發給RADIUS客戶端的,所以必須保證認證和授權方法相同。
(1) 配置接口地址和路由協議
# 為接口GigabitEthernet1/0/1配置IP地址。
<Router> system-view
[Router] interface gigabitethernet 1/0/1
[Router-GigabitEthernet1/0/1] ip address 192.168.1.50 24
[Router-GigabitEthernet1/0/1] quit
# 為接口GigabitEthernet1/0/2配置IP地址。
[Router] interface gigabitethernet 1/0/2
[Router-GigabitEthernet1/0/2] ip address 20.1.1.2 24
[Router-GigabitEthernet1/0/2] quit
# 配置OSPF協議使網絡互通。
[Router] ospf 1
[Router-ospf-1] area 0.0.0.0
[Router-ospf-1-area-0.0.0.0] network 192.168.1.0 0.0.0.255
[Router-ospf-1-area-0.0.0.0] network 20.1.1.0 0.0.0.255
[Router-ospf-1-area-0.0.0.0] quit
[Router-ospf-1] quit
(2) 在設備上開啟Telnet服務器功能,並配置RADIUS方案和ISP域
# 開啟設備的Telnet服務器功能。
[Router] telnet server enable
# 在編號為0~63的VTY用戶線下,配置Telnet用戶登錄采用AAA認證方式。
[Router] line vty 0 63
[Router-line-vty0-63] authentication-mode scheme
[Router-line-vty0-63] quit
# 創建RADIUS方案rad。
[Router] radius scheme rad
# 配置主認證/授權服務器的IP地址為10.1.1.1,主計費服務器的IP地址為10.1.1.1。
[Router-radius-rad] primary authentication 10.1.1.1
[Router-radius-rad] primary accounting 10.1.1.1
# 配置與認證/授權服務器、主計費服務器交互報文時的共享密鑰為明文aabbcc。
[Router-radius-rad] key authentication simple aabbcc
[Router-radius-rad] key accounting simple aabbcc
[Router-radius-rad] quit
# 創建ISP域bbb,為login用戶配置的AAA認證方法為RADIUS認證、RADIUS授權、RADIUS計費。
[Router] domain bbb
[Router-isp-bbb] authentication login radius-scheme rad
[Router-isp-bbb] authorization login radius-scheme rad
[Router-isp-bbb] accounting login radius-scheme rad
[Router-isp-bbb] quit
(3) 在設備上配置用戶角色departA-resource
# 創建用戶角色departA-resource,配置用戶角色規則,允許用戶執行特性QoS和ACL中的所有命令。
[Router] role name departA-resource
[Router-role-departA-resource] rule 1 permit read write execute feature qos
[Router-role-departA-resource] rule 2 permit read write execute feature acl
# 配置VLAN資源控製策略,隻具有VLAN 100~VLAN 199的操作權限。
[Router-role-departA-resource] vlan policy deny
[Router-role-departA-resource-vlanpolicy] permit vlan 100 to 199
[Router-role-departA-resource-vlanpolicy] quit
# 配置接口和VPN資源訪問策略,禁止訪問所有接口和VPN資源。
[Router-role-departA-resource] interface policy deny
[Router-role-departA-resource-ifpolicy] quit
[Router-role-departA-resource] vpn-instance policy deny
[Router-role-departA-resource-vpnpolicy] quit
[Router-role-departA-resource] quit
(4) 在設備上配置用戶角色departB-resource
# 創建用戶角色departB-resource,配置用戶角色規則,允許用戶執行特性QoS和ACL中的所有命令。
[Router] role name departB-resource
[Router-role-departB-resource] rule 1 permit read write execute feature qos
[Router-role-departB-resource] rule 2 permit read write execute feature acl
# 配置VLAN資源控製策略,隻具有VLAN 200~VLAN 299的操作權限。
[Router-role-departB-resource] vlan policy deny
[Router-role-departB-resource-vlanpolicy] permit vlan 200 to 299
[Router-role-departB-resource-vlanpolicy] quit
# 配置接口和VPN資源訪問策略,禁止訪問所有接口和VPN資源。
[Router-role-departB-resource] interface policy deny
[Router-role-departB-resource-ifpolicy] quit
[Router-role-departB-resource] vpn-instance policy deny
[Router-role-departB-resource-vpnpolicy] quit
[Router-role-departB-resource] quit
[Router] quit
下麵以iMC為例(使用iMC版本為:iMC PLAT 7.0(E0202)、iMC UAM 7.0(E0202)),說明RADIUS服務器的基本配置。
# 增加接入設備。
登錄進入iMC管理平台,選擇“用戶”頁簽,單擊導航樹中的[接入策略管理/接入設備管理/接入設備配置]菜單項,進入接入設備配置頁麵,在該頁麵中單擊<增加>按鈕,進入增加接入設備頁麵。
· 設置認證及計費的端口號分別為“1812”和“1813”;
· 設置與AC交互報文時使用的認證、計費共享密鑰和確認共享密鑰為“aabbcc”;
· 選擇業務類型為“設備管理業務”;
· 選擇接入設備類型為“H3C”;
· 選擇或手工增加接入設備,添加IP地址為20.1.1.2的接入設備;
· 其它參數采用缺省值,並單擊<確定>按鈕完成操作。
圖11 增加接入設備
# 增加設備管理用戶。
選擇“用戶”頁簽,單擊導航樹中的[接入用戶管理/設備管理用戶]菜單項,進入設備管理用戶列表頁麵,在該頁麵中單擊<增加>按鈕,進入增加設備管理用戶頁麵。
· 創建用戶名,這裏輸入“admin-departA@bbb”,並配置密碼和確認密碼;
· 選擇服務類型為“Telnet”;
· 添加用戶角色名“departA-resource”;
· 添加所管理設備的IP地址,IP地址範圍為“20.1.1.0~20.1.1.10”;
· 單擊<確定>按鈕完成操作。
圖12 增加設備管理用戶
# 繼續在該頁麵中單擊<增加>按鈕,進入增加設備管理用戶頁麵。
· 創建用戶名,這裏輸入“admin-departB@bbb”,並配置密碼和確認密碼;
· 選擇服務類型為“Telnet”;
· 添加用戶角色名“departB-resource”;
· 添加所管理設備的IP地址,IP地址範圍為“20.1.1.0~20.1.1.10”;
· 單擊<確定>按鈕完成操作。
圖13 增加設備管理用戶
(1) 查看用戶角色信息
通過display role命令查看用戶角色departA-resource和departB-resource的信息。
# 顯示用戶角色departA-resource的信息。
<Router> display role name departA-resource
Role: departA-resource
Description:
VLAN policy: deny
Permitted VLANs: 100 to 199
Interface policy: deny
VPN instance policy: deny
Security zone policy: permit (default)
-------------------------------------------------------------------
Rule Perm Type Scope Entity
-------------------------------------------------------------------
1 permit RWX feature qos
2 permit RWX feature acl
R:Read W:Write X:Execute
# 顯示用戶角色departB-resource的信息。
<Router> display role name departB-resource
Role: departB-resource
Description:
VLAN policy: deny
Permitted VLANs: 200 to 299
Interface policy: deny
VPN instance policy: deny
Security zone policy: permit (default)
-------------------------------------------------------------------
Rule Perm Type Scope Entity
-------------------------------------------------------------------
1 permit RWX feature qos
2 permit RWX feature acl
R:Read W:Write X:Execute
(2) 用戶登錄設備
以部門A網絡管理員登錄設備為例進行驗證。
# 部門A網絡管理員向設備發起Telnet連接,在Telnet客戶端按照提示輸入用戶名admin-departA@bbb及正確的密碼後,成功登錄設備。
C:\Documents and Settings\user> telnet 192.168.1.50
******************************************************************************
* Copyright (c) 2004-2023 Hangzhou H3C Tech. Co., Ltd. All rights reserved. *
* Without the owner's prior written consent, *
* no decompiling or reverse-engineering shall be allowed. *
******************************************************************************
login: admin-departA@bbb
Password:
<Router>
(3) 驗證用戶權限
部門A網絡管理員admin-departA@bbb成功登錄設備後,可通過如下步驟驗證用戶的權限:
¡ 可執行特性QoS和ACL中所有的命令。(以創建高級ACL、流分類、流行為和QoS策略,並關聯流分類和流行為為例)
# 創建高級ACL,編號為3000。
<Router> system-view
[Router] acl number 3000
# 配置ACL的匹配規則為匹配所有FTP數據流量。
[Router-acl-ipv4-adv-3000] rule permit tcp destination-port eq ftp-data
[Router-acl-ipv4-adv-3000] quit
#創建流分類1,匹配規則為匹配ACL 3000。
[Router] traffic classifier 1
[Router-classifier-1] if-match acl 3000
[Router-classifier-1] quit
#創建流分類1,流行為為流量監管,限速值為2000kbps。
[Router] traffic behavior 1
[Router-behavior-1] car cir 2000
[Router-behavior-1] quit
#創建QoS策略1,將流分類1和流行為1進行關聯。
[Router] qos policy 1
[Router-qospolicy-1] classifier 1 behavior 1
[Router-qospolicy-1] quit
¡ 可操作VLAN 100~VLAN 199。(以將QoS策略1應用到VLAN 100~VLAN 107的入方向為例)
# 將QoS策略1應用到VLAN 100~VLAN 107的入方向,即對所有主機的上行流量進行限速。
[Router] qos vlan-policy 1 vlan 100 to 107 inbound
¡ 不能操作其它VLAN。(以將QoS策略1應用到VLAN 200~VLAN 207的入方向為例)
# 將QoS策略1應用到VLAN 200~VLAN 207的入方向,即對所有主機的上行流量進行限速。
[Router] qos vlan-policy 1 vlan 200 to 207 inbound
Permission denied.
通過顯示信息可以確認配置生效。
部門B網絡管理員admin-departB@bbb成功登錄設備後,可通過如下步驟驗證用戶的權限:
¡ 可執行特性QoS和ACL中所有的命令。(以創建高級ACL、流分類、流行為和QoS策略,並關聯流分類和流行為為例)
# 創建高級ACL,編號為3001。
[Router] acl number 3001
# 配置ACL的匹配規則為匹配所有FTP數據流量。
[Router-acl-ipv4-adv-3001] rule permit tcp destination-port eq ftp-data
[Router-acl-ipv4-adv-3001] quit
# 創建流分類2,匹配規則為匹配ACL 3001。
[Router] traffic classifier 2
[Router-classifier-2] if-match acl 3001
[Router-classifier-2] quit
# 創建流分類2,流行為為流量監管,限速值為2000kbps。
[Router] traffic behavior 2
[Router-behavior-2] car cir 2000
[Router-behavior-2] quit
# 創建QoS策略2,將流分類2和流行為2進行關聯。
[Router] qos policy 2
[Router-qospolicy-2] classifier 1 behavior 2
[Router-qospolicy-2] quit
¡ 可操作VLAN 200~VLAN 299。(以將QoS策略2應用到VLAN 200~VLAN 207的入方向為例)
[Router] qos vlan-policy 2 vlan 200 to 207 inbound
¡ 不能操作其它VLAN。(以將QoS策略2應用到VLAN 100~VLAN 107的入方向為例)
[Router] qos vlan-policy 2 vlan 100 to 107 inbound
Permission denied.
通過顯示信息可以確認配置生效。
#
telnet server enable
#
interface GigabitEthernet1/0/1
ip address 192.168.1.50 24
#
interface GigabitEthernet1/0/2
ip address 20.1.1.2 24
#
ospf 1
area 0.0.0.0
network 192.168.1.0 0.0.0.255
network 20.1.1.0 0.0.0.255
#
line vty 0 63
authentication-mode scheme
user-role network-operator
#
radius scheme rad
primary authentication 10.1.1.1
primary accounting 10.1.1.1
key authentication cipher $c$3$JzDegvL0G5KZIcJhzscTHLA4WasBVh0UOw==
key accounting cipher $c$3$CdejNYYxvjW0Y+Zydi4rZgBwjYb4h6LKmg==
#
domain bbb
authentication login radius-scheme rad
authorization login radius-scheme rad
accounting login radius-scheme rad
#
role name departA-resource
rule 1 permit read write execute feature qos
rule 2 permit read write execute feature acl
vlan policy deny
permit vlan 100 to 199
interface policy deny
vpn-instance policy deny
#
role name departB-resource
rule 1 permit read write execute feature qos
rule 2 permit read write execute feature acl
vlan policy deny
permit vlan 200 to 299
interface policy deny
vpn-instance policy deny
#
· 《H3C MSR 係列路由器 配置指導(V7)》中的“基礎配置指導”
· 《H3C MSR 係列路由器 命令參考(V7)》中的“基礎配置命令參考”
· 《H3C MSR 係列路由器 配置指導(V7)》中的“三層技術-路由配置指導”
· 《H3C MSR 係列路由器 命令參考(V7)》中的“三層技術-路由命令參考”
不同款型規格的資料略有差異, 詳細信息請向具體銷售和400谘詢。H3C保留在沒有任何通知或提示的情況下對資料內容進行修改的權利!