SR8800路由器RBAC配置手冊

1、H3C SR8800路由器 RBAC 配置手冊 PAGE * roman ii目 錄 HYPERLINK l _bookmark0 簡介 HYPERLINK l _bookmark1 1 HYPERLINK l _bookmark0 配置前提 HYPERLINK l _bookmark2 1 HYPERLINK l _bookmark0 特定特性中讀寫類型命令的執(zhí)行權(quán)限配置舉例 HYPERLINK l _bookmark3 1 HYPERLINK l _bookmark0 組網(wǎng)需求 HYPERLINK l _bookmark4 1 HYPERLINK l _bookmark0 配置思路 HYP

2、ERLINK l _bookmark6 1 HYPERLINK l _bookmark7 使用版本 HYPERLINK l _bookmark8 2 HYPERLINK l _bookmark7 配置注意事項(xiàng) HYPERLINK l _bookmark9 2 HYPERLINK l _bookmark7 配置步驟 HYPERLINK l _bookmark10 2 HYPERLINK l _bookmark11 驗(yàn)證配置 HYPERLINK l _bookmark12 3 HYPERLINK l _bookmark13 配置文件 HYPERLINK l _bookmark14 5 HYPERL

3、INK l _bookmark13 Telnet用戶RADIUS認(rèn)證/授權(quán)/計(jì)費(fèi)配置舉例 HYPERLINK l _bookmark15 5 HYPERLINK l _bookmark13 組網(wǎng)需求 HYPERLINK l _bookmark16 5 HYPERLINK l _bookmark17 配置思路 HYPERLINK l _bookmark19 6 HYPERLINK l _bookmark17 使用版本 HYPERLINK l _bookmark20 6 HYPERLINK l _bookmark17 配置注意事項(xiàng) HYPERLINK l _bookmark21 6 HYPERLI

4、NK l _bookmark17 配置步驟 HYPERLINK l _bookmark22 6 HYPERLINK l _bookmark17 設(shè)備配置 HYPERLINK l _bookmark23 6 HYPERLINK l _bookmark24 RADIUS服務(wù)器配置 HYPERLINK l _bookmark25 8 HYPERLINK l _bookmark26 驗(yàn)證配置 HYPERLINK l _bookmark27 10 HYPERLINK l _bookmark28 配置文件 HYPERLINK l _bookmark29 12 HYPERLINK l _bookmark28

5、 用戶在某些VPN中具有特定特性的執(zhí)行權(quán)限配置舉例 HYPERLINK l _bookmark30 12 HYPERLINK l _bookmark28 組網(wǎng)需求 HYPERLINK l _bookmark31 12 HYPERLINK l _bookmark32 配置思路 HYPERLINK l _bookmark34 13 HYPERLINK l _bookmark32 使用版本 HYPERLINK l _bookmark35 13 HYPERLINK l _bookmark32 配置注意事項(xiàng) HYPERLINK l _bookmark36 13 HYPERLINK l _bookmark

6、37 配置步驟 HYPERLINK l _bookmark38 14 HYPERLINK l _bookmark37 設(shè)備配置 HYPERLINK l _bookmark39 14 HYPERLINK l _bookmark40 RADIUS服務(wù)器配置 HYPERLINK l _bookmark41 15 HYPERLINK l _bookmark42 驗(yàn)證配置 HYPERLINK l _bookmark43 17 HYPERLINK l _bookmark44 配置文件 HYPERLINK l _bookmark45 18 HYPERLINK l _bookmark46 創(chuàng)建新用戶角色并授權(quán)

7、更改用戶權(quán)限配置舉例 HYPERLINK l _bookmark47 19 HYPERLINK l _bookmark46 組網(wǎng)需求 HYPERLINK l _bookmark48 19 HYPERLINK l _bookmark49 配置思路 HYPERLINK l _bookmark51 20 HYPERLINK l _bookmark49 使用版本 HYPERLINK l _bookmark52 20 HYPERLINK l _bookmark49 配置注意事項(xiàng) HYPERLINK l _bookmark53 20 HYPERLINK l _bookmark49 配置步驟 HYPERLI

8、NK l _bookmark54 20 HYPERLINK l _bookmark55 驗(yàn)證配置 HYPERLINK l _bookmark56 23 HYPERLINK l _bookmark55 配置更改用戶權(quán)限前的驗(yàn)證 HYPERLINK l _bookmark57 23 HYPERLINK l _bookmark58 配置更改用戶權(quán)限后的驗(yàn)證 HYPERLINK l _bookmark59 24 HYPERLINK l _bookmark60 配置文件 HYPERLINK l _bookmark61 25 HYPERLINK l _bookmark62 切換用戶角色權(quán)限配置舉例 HYP

9、ERLINK l _bookmark63 26 HYPERLINK l _bookmark62 組網(wǎng)需求 HYPERLINK l _bookmark64 26 HYPERLINK l _bookmark62 配置思路 HYPERLINK l _bookmark66 26 HYPERLINK l _bookmark67 使用版本 HYPERLINK l _bookmark68 27 HYPERLINK l _bookmark67 配置注意事項(xiàng) HYPERLINK l _bookmark69 27 HYPERLINK l _bookmark67 配置步驟 HYPERLINK l _bookmark

10、70 27 HYPERLINK l _bookmark71 驗(yàn)證配置 HYPERLINK l _bookmark72 28 HYPERLINK l _bookmark73 配置文件 HYPERLINK l _bookmark74 31 HYPERLINK l _bookmark75 流量控制執(zhí)行權(quán)限配置舉例 HYPERLINK l _bookmark76 32 HYPERLINK l _bookmark75 組網(wǎng)需求 HYPERLINK l _bookmark77 32 HYPERLINK l _bookmark78 配置思路 HYPERLINK l _bookmark80 33 HYPERL

11、INK l _bookmark78 使用版本 HYPERLINK l _bookmark81 33 HYPERLINK l _bookmark78 配置注意事項(xiàng) HYPERLINK l _bookmark82 33 HYPERLINK l _bookmark78 配置步驟 HYPERLINK l _bookmark83 33 HYPERLINK l _bookmark78 設(shè)備配置 HYPERLINK l _bookmark84 33 HYPERLINK l _bookmark85 RADIUS服務(wù)器配置 HYPERLINK l _bookmark86 35 HYPERLINK l _book

12、mark87 驗(yàn)證配置 HYPERLINK l _bookmark88 38 HYPERLINK l _bookmark89 配置文件 HYPERLINK l _bookmark90 41 HYPERLINK l _bookmark91 相關(guān)資料 HYPERLINK l _bookmark92 42 PAGE 42簡介本文介紹了如何通過 RBAC（Role Based Access Control，基于角色的訪問控制）來對登錄用戶的權(quán)限進(jìn)行控制的典型配置舉例。配置前提本文檔不嚴(yán)格與具體軟、硬件版本對應(yīng)，如果使用過程中與產(chǎn)品實(shí)際情況有差異，請參考相關(guān)產(chǎn)品手冊，或以設(shè)備實(shí)際情況為準(zhǔn)。本文檔中的配置

13、均是在實(shí)驗(yàn)室環(huán)境下進(jìn)行的配置和驗(yàn)證，配置前設(shè)備的所有參數(shù)均采用出廠時(shí)的缺省配置。如果您已經(jīng)對設(shè)備進(jìn)行了配置，為了保證配置效果，請確認(rèn)現(xiàn)有配置和以下舉例中的配置不沖突。本文檔假設(shè)您已了解 RBAC 的特性。特定特性中讀寫類型命令的執(zhí)行權(quán)限配置舉例組網(wǎng)需求如 HYPERLINK l _bookmark5 圖 1 所示，為了加強(qiáng)用戶登錄的安全性，采用本地AAA認(rèn)證對登錄設(shè)備的Telnet用戶進(jìn)行認(rèn)證。使得Telnet用戶具有如下權(quán)限：允許執(zhí)行特性 ospf 相關(guān)的所有讀寫類型命令。允許執(zhí)行特性 filesystem 相關(guān)的所有讀寫類型命令。圖1 特定特性中讀寫類型命令的執(zhí)行權(quán)限配置組網(wǎng)圖配置思路為了

14、使 Telnet 用戶能夠具備以上權(quán)限，需要?jiǎng)?chuàng)建 Telnet 本地用戶和用戶角色 role1，并對 Telnet用戶授予用戶角色 role1。通過配置用戶角色規(guī)則，限定 Telnet 用戶可以執(zhí)行特性特性 ospf 和 filesystem 相關(guān)的讀寫類型命令。為了確保 Telnet 用戶僅使用授權(quán)的用戶角色 role1，需要?jiǎng)h除用戶具有的缺省用戶角色。使用版本本舉例是在 SR8800-CMW710-R7143 版本上進(jìn)行配置和驗(yàn)證的。配置注意事項(xiàng)一個(gè) ISP 域被配置為缺省的 ISP 域后將不能夠被刪除，必須首先使用命令 undo domain default enable 將其修改為非缺

15、省 ISP 域，然后才可以被刪除。一個(gè)用戶角色中允許創(chuàng)建多條規(guī)則，各規(guī)則以創(chuàng)建時(shí)指定的編號(hào)為唯一標(biāo)識(shí)，被授權(quán)該角色的用戶可以執(zhí)行的命令為這些規(guī)則定義的可執(zhí)行命令的并集。若這些規(guī)則定義的權(quán)限內(nèi)容有沖突，則規(guī)則編號(hào)大的有效。例如，規(guī)則 1 允許執(zhí)行命令 A，規(guī)則 2 允許執(zhí)行命令 B，規(guī)則 3 禁止執(zhí)行命令 A，則最終規(guī)則 2 和規(guī)則 3 生效，即禁止執(zhí)行命令 A，允許執(zhí)行命令 B。配置步驟配置接口# 為接口 GigabitEthernet3/0/1 配置 IP 地址。 system-viewSysname interface GigabitEthernet 3/0/1Sysname-Gigabi

16、tEthernet3/0/1 ip address 0 24 Sysname-GigabitEthernet3/0/1 quit配置 Telnet 用戶登錄設(shè)備的認(rèn)證方式# 開啟設(shè)備的 Telnet 服務(wù)器功能。Sysname telnet server enable# 在編號(hào)為 063 的 VTY 用戶線下，配置 Telnet 用戶登錄采用 AAA 認(rèn)證方式。Sysname line vty 0 63Sysname-line-vty0-63 authentication-mode scheme Sysname-line-vty0-63 quit配置 ISP 域 bbb 的 AAA 方法# 創(chuàng)

17、建 ISP 域 bbb，為 login 用戶配置的 AAA 方法為本地認(rèn)證、本地授權(quán)。Sysname domain bbbSysname-isp-bbb authentication login local Sysname-isp-bbb authorization login local Sysname-isp-bbb quit配置設(shè)備管理類本地用戶 telnetuser 的密碼和服務(wù)類型。# 創(chuàng)建設(shè)備管理類本地用戶 telnetuser。Sysname local-user telnetuser class manage# 配置用戶的密碼是明文的 aabbcc。Sysname-luser-

18、manage-telnetuser password simple aabbcc# 指定用戶的服務(wù)類型是 Telnet。Sysname-luser-manage-telnetuser service-type telnet Sysname-luser-manage-telnetuser quit創(chuàng)建用戶角色 role1，并配置用戶角色規(guī)則# 創(chuàng)建用戶角色 role1，進(jìn)入用戶角色視圖。Sysname role name role1# 配置用戶角色規(guī)則 1，允許用戶執(zhí)行特性 ospf 中所有讀寫類型的命令。Sysname-role-role1 rule 1 permit read write f

19、eature ospf# 配置用戶角色規(guī)則 2，允許用戶執(zhí)行特性 filesystem 中所有讀寫類型的命令。Sysname-role-role1 rule 2 permit read write feature filesystem Sysname-role-role1 quit為本地用戶配置授權(quán)用戶角色# 進(jìn)入設(shè)備管理類本地用戶 telnetuser 視圖。Sysname local-user telnetuser class manage# 指定用戶 telnetuser 的授權(quán)角色為 role1。Sysname-luser-manage-telnetuser authorization

20、-attribute user-role role1# 為保證用戶僅使用授權(quán)的用戶角色 role1 ， 刪除用戶 telnetuser 具有的缺省用戶角色network-operator。Sysname-luser-manage-telnetuser undo authorization-attribute user-role network-operator Sysname-luser-manage-telnetuser quit驗(yàn)證配置查看用戶角色信息# 通過 display role 命令查看顯示用戶角色 role1 的信息。 display role name role1 Role:

21、role1Description:VLAN policy: permit (default) Interface policy: permit (default) VPN instance policy: permit (default)RulePermTypeScopeEntitypermit RW-featureospfpermit RW-featurefilesystem R:Read W:Write X:Execute用戶登錄設(shè)備用戶向設(shè)備發(fā)起 Telnet 連接，在 Telnet 客戶端按照提示輸入用戶名 telnetuserbbb 及正確的密碼后，成功登錄設(shè)備。C:Document

22、s and Settingsuser telnet 0*Copyright (c) 2004-2014 Hangzhou H3C Tech. Co., Ltd. All rights reserved.*Without the owners prior written consent,*no decompiling or reverse-engineering shall be allowed.*login: telnetuserbbb Password:驗(yàn)證用戶權(quán)限Telnet 用戶成功登錄設(shè)備后，可通過如下步驟驗(yàn)證用戶的權(quán)限：可執(zhí)行特性 ospf 中所有寫類型的命令。（以配置 OSPF 為

23、例）Sysname ospf 1Sysname-ospf-1 area 0Sysname-ospf-1-area- network 可執(zhí)行特性 ospf 相關(guān)的讀類型命令。Sysname display ospfOSPF Process 1 with Router ID 0 OSPF Protocol InformationRouterID: 0Router type: Route tag: 0Multi-VPN-Instance is not enabledExt-community type: Domain ID 0 x5, Route Type 0 x306, Router ID 0 x

24、107 Domain ID: Opaque capable ISPF is enabledSPF-schedule-interval: 5 50 200LSA generation interval: 5 50 200 LSA arrival interval: 1000Transmit pacing: Interval: 20 Count: 3Default ASE parameters: Metric: 1 Tag: 1 Type: 2Route preference: 10ASE route preference: 150 SPF calculation count: 0 RFC 158

25、3 compatibleGraceful restart interval: 120SNMP trap rate limit interval: 10Count: 7 Area count: 0NSSA area count: 0 ExChange/Loading neighbors: 0可執(zhí)行特性 filesystem 相關(guān)的所有讀寫類型命令。（以配置設(shè)備發(fā)送 FTP 報(bào)文的源 IP 地址為0 為例）Sysname-a ftp client source ip 0 Sysname-a quit不能執(zhí)行特性 filesystem 相關(guān)的執(zhí)行類型命令。（以進(jìn)入 FTP 視圖為例） ftp Per

26、mission denied.通過顯示信息可以確認(rèn)配置生效。配置文件#telnet server enable#interface GigabitEthernet3/0/1 ip address 0 24#line vty 0 63 authentication-mode scheme user-role network-operator#domain bbbauthentication login local authorization login local#role name role1rule 1 permit read write feature ospfrule 2 permit

27、read write feature filesystem#local-user telnetuser class managepassword hash $h$6$kZw1rKFsAY4lhgUz$+teVLy8gmKN4Mr00VWgXQTB8ai94gKHlrys5OkytGf4 kT+nz5X1ZGASjc282CYAR6A1upH2jbmRoTcfDzZ9Gmw=service-type telnetauthorization-attribute user-role role1#Telnet用戶RADIUS認(rèn)證/授權(quán)/計(jì)費(fèi)配置舉例組網(wǎng)需求如 HYPERLINK l _bookmark

28、18 圖 2 所示，Telnet用戶主機(jī)與設(shè)備相連，設(shè)備與一臺(tái)RADIUS服務(wù)器相連，需要實(shí)現(xiàn)RADIUS服務(wù)器對登錄設(shè)備的Telnet用戶進(jìn)行認(rèn)證、授權(quán)和計(jì)費(fèi)，使得Telnet用戶具有如下用戶權(quán)限：允許用戶執(zhí)行 ISP 視圖下的所有命令；允許用戶執(zhí)行 ARP 和 RADIUS 特性中讀和寫類型的命令；允許用戶執(zhí)行創(chuàng)建 VLAN 以及進(jìn)入 VLAN 視圖后的相關(guān)命令，并只具有操作 VLAN 10VLAN20 的權(quán)限；允許用戶執(zhí)行進(jìn)入接口視圖以及接口視圖下的相關(guān)命令，并具有操作接口GigabitEthernet6/0/1GigabitEthernet6/0/3 的權(quán)限。圖2 Telnet 用戶

29、RADIUS 認(rèn)證/授權(quán)/計(jì)費(fèi)配置組網(wǎng)圖配置思路為了使 Telnet 用戶可以執(zhí)行 ARP 和 RADIUS 特性的讀寫類型命令，可創(chuàng)建特性組feature-group1，配置包含 ARP 和 RADIUS 特性。為了授權(quán) Telnet 用戶可以執(zhí)行所要求權(quán)限的命令，需要配置對應(yīng)的用戶角色規(guī)則和資源控制策略。為了使 Telnet 用戶能夠具備以上權(quán)限，需要在 RADIUS 服務(wù)器上對 Telnet 用戶授權(quán)用戶角色role1。使用版本本舉例是在 SR8800-CMW710-R7143 版本上進(jìn)行配置和驗(yàn)證的。配置注意事項(xiàng)一個(gè) ISP 域被配置為缺省的 ISP 域后將不能夠被刪除，必須首先使用命

30、令 undo domain default enable 將其修改為非缺省 ISP 域，然后才可以被刪除。由于 RADIUS 服務(wù)器的授權(quán)信息是隨認(rèn)證應(yīng)答報(bào)文發(fā)給 RADIUS 客戶端的，所以必須保證認(rèn)證和授權(quán)方法相同。一個(gè)用戶角色中允許創(chuàng)建多條規(guī)則，各規(guī)則以創(chuàng)建時(shí)指定的編號(hào)為唯一標(biāo)識(shí)，被授權(quán)該角色的用戶可以執(zhí)行的命令為這些規(guī)則定義的可執(zhí)行命令的并集。若這些規(guī)則定義的權(quán)限內(nèi)容有沖突，則規(guī)則編號(hào)大的有效。例如，規(guī)則 1 允許執(zhí)行命令 A，規(guī)則 2 允許執(zhí)行命令 B，規(guī)則 3 禁止執(zhí)行命令 A，則最終規(guī)則 2 和規(guī)則 3 生效，即禁止執(zhí)行命令 A，允許執(zhí)行命令 B。配置步驟設(shè)備配置配置接口和路由#

31、 配置接口 GigabitEthernet3/0/1 的 IP 地址，Telnet 用戶將通過該地址連接設(shè)備。 system-viewSysname interface GigabitEthernet 3/0/1Sysname-GigabitEthernet3/0/1 ip address 0 Sysname-GigabitEthernet3/0/1 quit# 配置接口 GigabitEthernet3/0/2 的 IP 地址，設(shè)備將通過該地址與服務(wù)器通信。Sysname interface gigabitethernet 3/0/2Sysname-GigabitEthernet3/0/2

32、ip address Sysname-GigabitEthernet3/0/2 quit配置 Telnet 用戶登錄設(shè)備的認(rèn)證方式# 開啟設(shè)備的 Telnet 服務(wù)器功能。Sysname telnet server enable# 配置 Telnet 用戶登錄采用 AAA 認(rèn)證方式。Sysname line vty 0 63Sysname-line-vty0-63 authentication-mode scheme Sysname-line-vty0-63 quit配置 RADIUS 方案和認(rèn)證服務(wù)器# 創(chuàng)建 RADIUS 方案 rad。Sysname radius scheme rad#

33、配置主認(rèn)證/授權(quán)服務(wù)器的 IP 地址為 ，主計(jì)費(fèi)服務(wù)器的 IP 地址為 。Sysname-radius-rad primary authentication Sysname-radius-rad primary accounting # 配置與認(rèn)證/授權(quán)服務(wù)器、主計(jì)費(fèi)服務(wù)器交互報(bào)文時(shí)的共享密鑰為明文 aabbcc。Sysname-radius-rad key authentication simple aabbcc Sysname-radius-rad key accounting simple aabbcc Sysname-radius-rad quit配置 ISP 域 bbb 的 AAA

34、方法# 創(chuàng)建 ISP 域 bbb，為 login 用戶配置的 AAA 認(rèn)證方法為 RADIUS 認(rèn)證、RADIUS 授權(quán)、RADIUS 計(jì)費(fèi)。Sysname domain bbbSysname-isp-bbb authentication login radius-scheme rad Sysname-isp-bbb authorization login radius-scheme rad Sysname-isp-bbb accounting login radius-scheme rad Sysname-isp-bbb quit配置特性組# 創(chuàng)建特性組 fgroup1。Sysname ro

35、le feature-group name fgroup1# 配置特性組 fgroup1 中包含特性 ARP 和 RADIUS。Sysname-featuregrp-fgroup1 feature arp Sysname-featuregrp-fgroup1 feature radius Sysname-featuregrp-fgroup1 quit在設(shè)備上創(chuàng)建用戶角色 role1，并配置用戶角色規(guī)則和資源控制策略# 創(chuàng)建用戶角色 role1。Sysname role name role1# 配置用戶角色規(guī)則 1，允許用戶執(zhí)行 ISP 視圖下的所有命令。Sysname-role-role1 r

36、ule 1 permit command system-view ; domain *# 配置用戶角色規(guī)則 2，允許用戶執(zhí)行特性組 fgroup1 中所有特性的讀和寫類型的命令。Sysname-role-role1 rule 2 permit read write feature-group fgroup1# 配置用戶角色規(guī)則 3，允許用戶執(zhí)行創(chuàng)建 VLAN 的命令。Sysname-role-role1 rule 3 permit command system-view ; vlan *# 配置用戶角色規(guī)則 4，允許用戶執(zhí)行進(jìn)入接口視圖以及接口視圖下的相關(guān)命令。Sysname-role-rol

37、e1 rule 4 permit command system-view ; interface *# 進(jìn)入 VLAN 策略視圖，允許用戶具有操作 VLAN 10VLAN 20 的權(quán)限。Sysname-role-role1 vlan policy denySysname-role-role1-vlanpolicy permit vlan 10 to 20 Sysname-role-role1-vlanpolicy quit# 進(jìn)入接口策略視圖，允許用戶具有操作接口GigabitEthernet6/0/1GigabitEthernet6/0/3 的權(quán)限。Sysname-role-role1 in

38、terface policy denySysname-role-role1-ifpolicy permit interface gigabitethernet 6/0/1 to gigabitethernet 6/0/3Sysname-role-role1-ifpolicy quit Sysname-role-role1 quitRADIUS服務(wù)器配置下面以 iMC 為例（使用 iMC 版本為：iMC PLAT 7.0(E0202)、iMC UAM 7.0(E0202)），說明RADIUS 服務(wù)器的基本配置。# 增加接入設(shè)備。登錄進(jìn)入 iMC 管理平臺(tái)，選擇“用戶”頁簽，單擊導(dǎo)航樹中的接入策略

39、管理/接入設(shè)備管理/接入設(shè)備配置菜單項(xiàng)，進(jìn)入接入設(shè)備配置頁面，在該頁面中單擊按鈕，進(jìn)入增加接入設(shè)備頁面。設(shè)置認(rèn)證及計(jì)費(fèi)的端口號(hào)分別為“1812”和“1813”；設(shè)置與 AC 交互報(bào)文時(shí)使用的認(rèn)證、計(jì)費(fèi)共享密鑰和確認(rèn)共享密鑰為“aabbcc”；選擇業(yè)務(wù)類型為“設(shè)備管理業(yè)務(wù)”；選擇接入設(shè)備類型為“H3C”；選擇或手工增加接入設(shè)備，添加 IP 地址為 的接入設(shè)備；其它參數(shù)采用缺省值，并單擊按鈕完成操作。圖3 增加接入設(shè)備# 增加設(shè)備管理用戶。選擇“用戶”頁簽，單擊導(dǎo)航樹中的接入用戶管理/設(shè)備管理用戶菜單項(xiàng)，進(jìn)入設(shè)備管理用戶列表頁面，在該頁面中單擊按鈕，進(jìn)入增加設(shè)備管理用戶頁面。創(chuàng)建用戶名，這里輸入“

40、telnetuserbbb”，并配置密碼和確認(rèn)密碼；選擇服務(wù)類型為“Telnet”；添加用戶角色名“role1”；添加所管理設(shè)備的 IP 地址，IP 地址范圍為“0”；單擊按鈕完成操作。圖4 增加設(shè)備管理用戶驗(yàn)證配置查看用戶角色和特性組信息# 通過 display role 命令查看用戶角色 role1 的信息。 display role name role1 Role: role1Description:VLAN policy: deny Permitted VLANs: 10 to 20 Interface policy: denyPermitted interfaces: Gigabit

41、Ethernet6/0/1 to GigabitEthernet6/0/3 VPN instance policy: permit (default)Security zone policy: permit (default)RulePermTypeScopeEntitypermitcommandsystem-view ; domain *permit RW-feature-group fgroup1permitcommandsystem-view ; vlan *permitcommandsystem-view ; interface * R:Read W:Write X:Execute用戶

42、登錄設(shè)備用戶向設(shè)備發(fā)起 Telnet 連接，在 Telnet 客戶端按照提示輸入用戶名 telnetuserbbb 及正確的密碼后，成功登錄設(shè)備。C:Documents and Settingsuser telnet 0*Copyright (c) 2004-2014 Hangzhou H3C Tech. Co., Ltd. All rights reserved.*Without the owners prior written consent,*no decompiling or reverse-engineering shall be allowed.*login: telnetuser

43、bbb Password:驗(yàn)證用戶權(quán)限Telnet 用戶成功登錄設(shè)備后，可通過如下步驟驗(yàn)證用戶的權(quán)限：可執(zhí)行 ISP 視圖下所有的命令。 system-view Sysname domain abcSysname-isp-abc authentication login radius-scheme abc Sysname-isp-abc quit可執(zhí)行 RADIUS 特性中讀和寫類型的命令。（ARP 特性同，此處不再舉例）Sysname radius scheme radSysname-radius-rad primary authentication Sysname-radius-rad d

44、isplay radius scheme rad可操作 VLAN 10VLAN 20。（以創(chuàng)建 VLAN 10、VLAN 30 為例）Sysname vlan 10 Sysname-vlan10 quit Sysname vlan 30 Permission denied.可操作接口 GigabitEthernet6/0/1GigabitEthernet6/0/3。（以接口 GigabitEthernet6/0/1 為例）Sysname interface gigabitethernet 6/0/1Sysname-GigabitEthernet6/0/1 ip address 24 Sysna

45、me-GigabitEthernet6/0/1 quit不能操作其它接口。（以進(jìn)入 GigabitEthernet6/0/6 接口視圖為例）Sysname interface gigabitethernet 6/0/6 Permission denied.通過顯示信息可以確認(rèn)配置生效。配置文件#telnet server enable#interface GigabitEthernet3/0/1 ip address 0 24#interface GigabitEthernet3/0/2 ip address 24#line vty 0 63 authentication-mode schem

46、e user-role network-operator#radius scheme radprimary authentication primary accounting key authentication cipher $c$3$JzDegvL0G5KZIcJhzscTHLA4WasBVh0UOw= key accounting cipher $c$3$CdejNYYxvjW0Y+Zydi4rZgBwjYb4h6LKmg=#domain bbbauthentication login radius-scheme rad authorization login radius-scheme

47、 rad accounting login radius-scheme rad#role feature-group name fgroup1 feature arpfeature radius#role name role1rule 1 permit command system-view ; domain * rule 2 permit read write feature-group fgroup1 rule 3 permit command system-view ; vlan * rule 4 permit command system-view ; interface * vlan

48、 policy denypermit vlan 10 to 20 interface policy denypermit interface GigabitEthernet6/0/1 to GigabitEthernet6/0/3#用戶在某些VPN中具有特定特性的執(zhí)行權(quán)限配置舉例組網(wǎng)需求如 HYPERLINK l _bookmark33 圖 5 所示，為了加強(qiáng)用戶登錄的安全性，采用RADIUS服務(wù)器對登錄設(shè)備的Telnet用戶進(jìn)行認(rèn)證、授權(quán)和計(jì)費(fèi)，使得Telnet用戶有如下權(quán)限：允許執(zhí)行系統(tǒng)預(yù)定義特性組 L3 相關(guān)的所有命令。允許執(zhí)行所有以 display 開頭的命令。只允許對特定 VPN 實(shí)

49、例 vpn1、vpn2 和 vpn3 進(jìn)行操作。圖5 某些 VPN 中具有特定特性的執(zhí)行權(quán)限配置組網(wǎng)圖配置思路為了授權(quán) Telnet 用戶可以執(zhí)行所要求權(quán)限的命令，需要?jiǎng)?chuàng)建用戶角色 role1 并配置對應(yīng)的用戶角色規(guī)則和資源控制策略。為了使 Telnet 用戶能夠具備以上權(quán)限，需要在 RADIUS 服務(wù)器上配置 Telnet 用戶授權(quán)用戶角色 role1。使用版本本舉例是在 SR8800-CMW710-R7143 版本上進(jìn)行配置和驗(yàn)證的。配置注意事項(xiàng)一個(gè) ISP 域被配置為缺省的 ISP 域后將不能夠被刪除，必須首先使用命令 undo domain default enable 將其修改為非缺

50、省 ISP 域，然后才可以被刪除。由于 RADIUS 服務(wù)器的授權(quán)信息是隨認(rèn)證應(yīng)答報(bào)文發(fā)給 RADIUS 客戶端的，所以必須保證認(rèn)證和授權(quán)方法相同。一個(gè)用戶角色中允許創(chuàng)建多條規(guī)則，各規(guī)則以創(chuàng)建時(shí)指定的編號(hào)為唯一標(biāo)識(shí)，被授權(quán)該角色的用戶可以執(zhí)行的命令為這些規(guī)則定義的可執(zhí)行命令的并集。若這些規(guī)則定義的權(quán)限內(nèi)容有沖突，則規(guī)則編號(hào)大的有效。例如，規(guī)則 1 允許執(zhí)行命令 A，規(guī)則 2 允許執(zhí)行命令 B，規(guī)則 3 禁止執(zhí)行命令 A，則最終規(guī)則 2 和規(guī)則 3 生效，即禁止執(zhí)行命令 A，允許執(zhí)行命令 B。配置步驟設(shè)備配置(1)配置接口和路由# 為接口 GigabitEthernet3/0/1 配置 IP 地

51、址。 system-viewSysname interface GigabitEthernet 3/0/1Sysname-GigabitEthernet3/0/1 ip address0 24Sysname-GigabitEthernet3/0/1 quit# 為接口 GigabitEthernet3/0/2 置 IP 地址。Sysname interface gigabitethernet 3/0/2Sysname-GigabitEthernet3/0/2 ip address 24Sysname-GigabitEthernet3/0/2 quit(2)配置 Telnet 用戶登錄設(shè)備的認(rèn)證

52、方式# 開啟設(shè)備的 Telnet 服務(wù)器功能。Sysname telnet server enable# 在編號(hào)為 063 的 VTY 用戶線下，配置 Telnet 用戶登錄采用 AAA 認(rèn)證方式。Sysname line vty 0 63Sysname-line-vty0-63 authentication-mode scheme Sysname-line-vty0-63 quit配置 RADIUS 方案和認(rèn)證服務(wù)器# 創(chuàng)建 RADIUS 方案 rad。Sysname radius scheme rad# 配置主認(rèn)證/授權(quán)服務(wù)器的 IP 地址為 ，主計(jì)費(fèi)服務(wù)器的 IP 地址為 。Sysnam

53、e-radius-rad primary authentication Sysname-radius-rad primary accounting # 配置與認(rèn)證/授權(quán)服務(wù)器、主計(jì)費(fèi)服務(wù)器交互報(bào)文時(shí)的共享密鑰為明文 aabbcc。Sysname-radius-rad key authentication simple aabbcc Sysname-radius-rad key accounting simple aabbcc Sysname-radius-rad quit配置 ISP 域 bbb 的 AAA 方法# 創(chuàng)建 ISP 域 bbb，為 login 用戶配置的 AAA 認(rèn)證方法為 RA

54、DIUS 認(rèn)證、RADIUS 授權(quán)、RADIUS 計(jì)費(fèi)。Sysname domain bbbSysname-isp-bbb authentication login radius-scheme rad Sysname-isp-bbb authorization login radius-scheme rad Sysname-isp-bbb accounting login radius-scheme rad Sysname-isp-bbb quit在設(shè)備上創(chuàng)建用戶角色 role1，并配置用戶角色規(guī)則和資源控制策略# 創(chuàng)建用戶角色 role1，進(jìn)入用戶角色視圖。Sysname role name

55、 role1# 配置用戶角色規(guī)則 1，允許用戶執(zhí)行預(yù)定義特性組 L3 相關(guān)的所有命令。Sysname-role-role1 rule 1 permit execute read write feature-group L3# 配置用戶角色規(guī)則 2，允許用戶執(zhí)行所有以 display 開頭的命令。Sysname-role-role1 rule 2 permit command display *# 進(jìn)入用戶角色 VPN 策略視圖，配置允許用戶具有操作 VPN 實(shí)例 vpn1、vpn2 和 vpn3 的權(quán)限。Sysname-role-role1 vpn policy denySysname-rol

56、e-role1-vpnpolicy permit vpn-instance vpn1 vpn2 vpn3 Sysname-role-role1-vpnpolicy quitSysname-role-role1 quitRADIUS服務(wù)器配置下面以 iMC 為例（使用 iMC 版本為：iMC PLAT 7.0(E0202)、iMC UAM 7.0(E0202)），說明RADIUS 服務(wù)器的基本配置。# 增加接入設(shè)備。登錄進(jìn)入 iMC 管理平臺(tái)，選擇“用戶”頁簽，單擊導(dǎo)航樹中的接入策略管理接入設(shè)備管理接入設(shè)備配置菜單項(xiàng)，進(jìn)入接入設(shè)備配置頁面，在該頁面中單擊按鈕，進(jìn)入增加接入設(shè)備頁面。設(shè)置認(rèn)證及計(jì)費(fèi)

57、的端口號(hào)分別為“1812”和“1813”；設(shè)置與 AC 交互報(bào)文時(shí)使用的認(rèn)證、計(jì)費(fèi)共享密鑰和確認(rèn)共享密鑰為“aabbcc”；選擇業(yè)務(wù)類型為“設(shè)備管理業(yè)務(wù)”；選擇接入設(shè)備類型為“H3C”；選擇或手工增加接入設(shè)備，添加 IP 地址為 的接入設(shè)備；其它參數(shù)采用缺省值，并單擊按鈕完成操作。圖6 增加接入設(shè)備# 增加設(shè)備管理用戶。選擇“用戶”頁簽，單擊導(dǎo)航樹中的接入用戶管理/設(shè)備管理用戶菜單項(xiàng)，進(jìn)入設(shè)備管理用戶列表頁面，在該頁面中單擊按鈕，進(jìn)入增加設(shè)備管理用戶頁面。創(chuàng)建用戶名，這里輸入“telnetuserbbb”，并配置密碼和確認(rèn)密碼；選擇服務(wù)類型為“Telnet”；添加用戶角色名“role1”；添加

58、所管理設(shè)備的 IP 地址，IP 地址范圍為“0”；單擊按鈕完成操作。圖7 增加設(shè)備管理用戶驗(yàn)證配置查看用戶角色和特性組信息# 通過 display role 命令查看用戶角色 role1 的信息。 display role name role1 Role: role1Description:VLAN policy: permit (default) Interface policy: permit (default) VPN instance policy: denyPermitted VPN instances: vpn1, vpn2, vpn3 Security zone policy:

59、permit (default)RulePermTypeScopeEntitypermit RWXfeature-group L3permitcommanddisplay * R:Read W:Write X:Execute通過 display role feature-group 命令查看特性組 L3 中包括的特性信息，此處不詳細(xì)介紹。用戶登錄設(shè)備用戶向設(shè)備發(fā)起 Telnet 連接，在 Telnet 客戶端按照提示輸入用戶名 telnetuserbbb 及正確的密碼后，成功登錄設(shè)備。C:Documents and Settingsuser telnet 0*Copyright (c) 200

60、4-2014 Hangzhou H3C Tech. Co., Ltd. All rights reserved.*Without the owners prior written consent,*no decompiling or reverse-engineering shall be allowed.*login: telnetuserbbb Password:驗(yàn)證用戶權(quán)限Telnet 用戶成功登錄設(shè)備后，可通過如下步驟驗(yàn)證用戶的權(quán)限：可執(zhí)行系統(tǒng)預(yù)定義特性組 L3 中的所有命令。（以創(chuàng)建 VPN 實(shí)例 vpn1 并配置其 RD 為 22:1 為例） system-view Sysname