应用环境
缺省情况下,任何人都可以通过Console口对路由器进行配置。然而实际应用中,我们并不希望任何人都有权限修改路由器的配置。我们希望把权限做如下分配:
参观级,只能使用网络诊断命令(tracert和ping)和终端服务命令(telnet和SSH)。
监控级,在参观级的基础上增加系统维护命令(display)和故障诊断命令(debugging)。
配置级,在监控级的基础上增加业务配置命令。
管理级,在配置级的基础上增加系统管理命令和文件管理命令。
为了能够把权限做上述分配,需要为每个级别创建一个或多个用户。用户有4个级别,分别对应上述的四个级别,0级用户对应参观级,1级用户对应监控级,2级用户对应配置级,3级用户对应管理级。
当需要对路由器进行配置时,只有使用具有相应级别的用户登录,才能进行相应配置。例如:要对路由器配置VPN业务,就需要使用不低于2级的用户登录。
配置思路
在使用本地用户认证进行Console登录时,采用如下的配置思路:
1. 在Console用户接口下使能AAA验证。
2. 配置4个本地用户,用户级别分别为0~3。
3. 保存配置。
配置注意事项
在Console用户接口下使能AAA验证后,一定要配置本地用户。
配置实例
组网需求
使用配置电缆连接路由器的Console口和PC的COM口,要求下次使用Console口登录时,进行本地用户验证。
适用产品和版本
采用NE40E/80E/5000E路由器,版本为(VRP5.10)及后续版本
配置步骤
步骤 1 在Console用户接口下使能AAA验证。
<Quidway> system-view
[Quidway] user-interface console 0
[Quidway-ui-console0] authentication-mode aaa
[Quidway-ui-console0] quit
步骤 2 创建四个本地用户,用户级别分别为0~3。
# 创建本地用户user1,密码为user1,密码为密文方式,用户级别为0。
[Quidway] aaa
[Quidway-aaa] local-user user1 password cipher user1
[Quidway-aaa] local-user user1 level 0
# 创建本地用户user2,密码为user2,密码为密文方式,用户级别为1。
[Quidway-aaa] local-user user2 password cipher user2
[Quidway-aaa] local-user user2 level 1
# 创建本地用户user3,密码为user3,密码为密文方式,用户级别为2。
[Quidway-aaa] local-user user3 password cipher user3
[Quidway-aaa] local-user user3 level 2
# 创建本地用户user4,密码为user4,密码为密文方式,用户级别为3。
[Quidway-aaa] local-user user4 password cipher user4
[Quidway-aaa] local-user user4 level 3
[Quidway-aaa] quit
[Quidway] quit
步骤 3 保存配置结果
<Quidway> save
验证结果
如果配置成功,则:
# 再次使用Console口登录时显示如下信息。
***********************************************************
* All rights reserved (2000-2005) *
* Without the owner’s prior written consent, *
* no decompiling or reverse-engineering shall be allowed. *
* Notice: *
* This is a private communication system. *
* Unauthorized access or use may lead to prosecution. *
***********************************************************
User interface con0 is available
Please Press ENTER.
输入回车后,提示输入用户名。
Login authentication
Username:
# 使用本地用户user1登录后,执行system-view命令,显示信息如下:
<Quidway> system-view
^
Error:Unrecognized command found at ’^’ position.
没有权限使用system-view命令。
# 输入tracert命令后加“?”显示信息如下:
<Quidway> tracert ?
-a Select source ip address
-f First time to live
-m Maximum time to live
-p UDP port number
-q Number of probe packet
-vpn-instance Specify VPN-Instance of MPLS VPN
-w Timeout in milliseconds to wait for each reply
STRING<1-20> IP address or hostname of a remote system
lsp LSP traceroute
说明可以执行tracert命令。
# 使用其它本地用户登录后,都没有权限使用高于该用户权限的命令。
配置文件
#
sysname Quidway
#
aaa
local-user user1 password cipher 0`FUW8DO]`3Q=^Q`MAF4<1!!
Local-user user1 level 0
local-user user2 password cipher YP0"La;S8%#Q=^Q`MAF4<1!!
Local-user user2 level 1
local-user user3 password cipher ;]Z’[C6U$^KQ=^Q`MAF4<1!!
Local-user user3 level 2
local-user user4 password cipher $C2!2FM&Z!+Q=^Q`MAF4<1!!
Local-user user4 level 3
#
user-interface con 0
authentication-mode aaa
idle-timeout 30 0
user-interface aux 0
user-interface vty 0 14
#
return
--------------------------------------------------------------------------------