本示例为(V7版本)
什么是设备三权账号?
答:三权账号分别是管理账号、审计账号、安全管理账号
权限说明
security-audit 安全日志管理员(系统中的最后一个安全日志管理员角色的本地用户不可被删除,重新创建一个登陆账号解决问题;network-admin 具有最高权限,可操作系统所有功能和资源(除安全日志文件管理相关命令外);network-operator 可执行系统所有功能和资源的相关display命令 (除安全日志等查看命令外);level-0 可执行命令ping、tracert、ssh2、telnet和super,且管理员可以为其配置权限;level-1 具有leve-0用户角色的权限,并且可执行系统所有功能和资源的相关display命令(除display history-command all之外),以及管理员可以为其配置权限;level-2~8 无缺省权限,需要管理员为其配置权限;level-10~14 无缺省权限,需要管理员为其配置权限;level-9 可操作系统中绝大多数的功能和所有的资源,且管理员可以为其配置权限,但不能用display history-command all命令、RBAC的命令(Debug命今除外)、文件管理以及本地用户特性。对于本地用户,若用户登录系统并被授予该角色,可以修改自己的密码;level-15 具有与network-admin角色相同的权限。
常用配置
#1、配置ACL规则,后续在ssh调用,只允许管理网段IP远程登录设备(修改只允许的IP和反掩码)#备注:基本acl编号为2000--2999,规则以5为步长,如果编号和在用的重复请更改。acl number 2000rule 0 permit source 192.168.10.0 0.0.0.255rule 5 permit source 192.168.20.0 0.0.0.255rule 10 permit source 192.168.30.0 0.0.0.255rule 999 denyquit#2、配置VTY用户线同时在线5个,认证方式为scheme(AAA模式),空闲超时5分钟退出(不用修改)line vty 0 4authentication-mode schemeidle-timeout 5 0quit#3、开启SSH服务(不用修改)ssh server enable#4、配置ssh服务调用acl 2000,调用以后,只有ACL规则中允许的IP可以远程ssh登录 (修改ACL编号和上面#1的一样)ssh server acl 2000#5、创建本地用户管理账号client001(可修改),并设置用户密码为Huasan@123...(可修改)、服务类型为SSH、terminal(console),#5、用户角色为默认network-operator,,用户角色级别为level-1#5、可执行命令ping、tracert、ssh2、telnet和super#5、并且可执行系统所有功能和资源的相关display命令(除display history-command all之外)local-user client001 class managepassword simple Huasan@123...service-type ssh terminalauthorization-attribute user-role level-1authorization-attribute user-role network-operator#6、创建本地用户审计账号client002(可修改),并设置用户密码为Huasan@456...(可修改)、服务类型为SSH、terminal(console),#6、用户角色为默认network-operator,,用户角色级别为level-9#6、可操作系统中绝大多数的功能和所有的资源,且管理员可以为其配置权限,#6、但不能操display history-command all命令、RBAC的命令(Debug命今除外)、文件管理以及本地用户特性。#6、对于本地用户,若用户登录系统并被授予该角色,可以修改自己的密码local-user client002 class managepassword simple Huasan@456...service-type ssh terminalauthorization-attribute user-role level-9authorization-attribute user-role network-operator#7、创建本地用户安全管理账号client003(可修改),并设置用户密码为Huasan@678...(可修改),服务类型为SSH、terminal(console),#7、用户角色为network-admin,拥有最该级别权限local-user client003 class managepassword simple Huasan@789...service-type ssh terminalauthorization-attribute user-role network-admin
实例
新增只读账号abc
[H3C]local-user abc class manageNew local user added.[H3C-luser-manage-getinfo] password simple localnetwork.cn[H3C-luser-manage-getinfo] service-type ssh terminal[H3C-luser-manage-getinfo] authorization-attribute user-role level-1[H3C-luser-manage-getinfo] authorization-attribute user-role network-operator[H3C-luser-manage-getinfo]exit[H3C]exit<H3C>
为level-1配置可以执行的命令
//配置角色 level-1 可以使用以下备份命令// backup stratup-config to <dest-ip> [new-filename.cfg]// tftp <dest-ip> put startup.cfg [new-filename.cfg][SW]role name level-1[SW-role-level-1]rule 10 permit command backup *[SW-role-level-1]rule 11 permit command tftp *
参考:
https://blog.csdn.net/wenhe0119/article/details/128322483
