H3C路由器V7版本关于认证的一些知识点

1、关于权限等级的分类

我们知道,H3C在V7版本中关于登陆权限分成了15级,与思科更为类似,而不是之前的3级权限。其实在实际应用中,虽然是15级权限,但我们使用的时候最常用的也就3级,分别是level-0、level-1、level-15。这三级对应的命令权限话不多说,直接上图:

上图可以看出,level-0中允许的命令有:tracert、telnet、ping、ssh2、super,拒绝的命令有system-view。下面再来看level-1:

对比可以发现,level-1的命令与level-0的命令基本相同,但level-1比levle-0多了一条,那就是display *。也就是说,level-1具有查看的权限,而level-0不能随便查看,包括dis cur,但level-1是可以查看配置的。Level-0、level-1两个等级共同的特点就是,它们默认都没有配置权限,可以进入system-view视图但无法进行配置,如果需要对路由器配置,那必须先进入super模式,输入正确的密码之后才能配置。

Level-15就不多介绍了,最高等级权限。
H3C路由器默认都会自带两个等级,分别是:network-admin和network-operator,其中network-admin就是level-15,而network-operator跟level-1基本一样,只是多了一个配置local-user的功能。
其他level可以自定义添加支持的命令。

2、设备登陆认证方式

说完权限,再来说说登陆认证方式。下面说的登陆指的是用telnet或ssh登陆。认证方式有3种:none、password、aaa(scheme)。第一种none就不介绍了,从第二种说。Password认证方式也没什么可说的,就是在vty接口下配置一个password,然后设置service type,设置acl,就完成了。直接贴配置模板:

line vty 5 15
authentication-mode password
set authentication password simple wangrx123
user-role level-1
protocol inbound telnet
idle-timeout 5 0

另一种认证方式就是AAA认证,如果没配置radius或hw-tacacs服务器,则使用本地用户名密码认证,本地认证需先在全局配置一个本地用户名密码,然后在vty接口下使用scheme认证模式即可。下面举例是配置三个用户,用户名分别是network、networkview、networkadmin,权限分别是level-0最低权限、level-1查看权限、level-15最高权限。当然前两级权限都可以通过输入super密码来获得最高权限。配置如下:

local-user network class manage
password simple wangrx123
service-type telnet
authorization-attribute user-role level-0
undo authorization-attribute user-role network-operator
local-user networkview class manage
password simple wangrx123
service-type telnet //使用本地用户名密码认证时,service-type务必要配置,否则可能出现认证不通过的情况//
authorization-attribute user-role level-1
undo authorization-attribute user-role network-operator
local-user networkadmin class manage
password simple wangrx123
service-type telnet
authorization-attribute user-role level-15
undo authorization-attribute user-role network-operator
line vty 0 4
authentication-mode scheme

测试:
使用用户名为network权限等级为level-0的用户登陆如下:

使用用户名为networkview权限等级为level-1的用户登陆如下:

3、当vty接口下是如下的情况时

line vty 0 4
authentication-mode scheme
user-role level-0
set authentication password simple wangrx123

此时user-role和password是不生效的,vty登陆的用户名密码及user-role权限都以local-user下的配置为基准。Vty接口下的password和user-role只约束authentication-mode password模式,不能约束scheme模式。

原文地址:https://blog.51cto.com/hatakexiu/2448844

时间: 2024-10-29 15:22:44

H3C路由器V7版本关于认证的一些知识点的相关文章

H3C MSR路由器v7 AAA本地用户权限笔记

在v5的H3C MSR路由器.包括v7的H3C交换机的配置中,AAA本地用户权限都是可以通过authentication-mode level 1/2/3 来修改用户的配置权限,在全新的MSR路由器v7版本中,没有了level选项,只有通过user-role来配置本地用户权限 版本号是v7.1.059 在user-role选项里面可以看到有很多角色可以配置 display查看role用户权限 level-0 level-1 level-2/3/4/5/6/7/8 level-9 level-10

逆天的H3C Comware V7 RBAC

学过H3C设备的朋友都知道,在Comware V5及以前版本中,用户权限是由"命令级别"和"用户级别"结合来配置的, 而在最新的Comware V7版本中,却为此引入了一些全新的概念--用户角色.用户线.资源策略等,对以前版本的配置方法进行了彻底颠覆. 其中"用户角色"其实与操作系统中的用户组类似.我们知道,在Windows或Linux操作系统中,不同的用户组可以赋予不同的权限(相当于具有不同角色),只要把用户加入到对应的用户组中,就自动继承所加

H3C 交换机设置本地用户和telnet远程登录配置 v7 版本

H3C 交换机设置本地用户和telnet远程登录配置   v7版本 一.配置远程用户密码与本地用户一致 [H3C]telnet server en //开启Telnet 服务[H3C]local-user admin //添加本地用户New local user added.[H3C-luser-manage-admin]password simple ljp123 设置明文密码[H3C-luser-manage-admin]service-type telnet 设置服务类型为telnet[H

华三设备v7版本安装

一.下载H3C Coud Lab V2.1.1软件安装包.以及下载Oracle VM VirtualBox5.2.8软件安装包(允许H3C路由器交换的PC).注:都可在官网下载最新可在window安装的版本.二.先安装VirtualBox的安装包.注:当你安装VirtualBox版本过低后导致不能继续安装H3C软件,并且在卸载VirtualBox软件你需要通过系统恢复该软件的安装包,如果恢复无效的话就须恢复系统了,本人亲测.三.安装VirtualBox软件过后就可安装H3C Coud Lab软件

H3C TE老版本OSPF正确配置

R1配置: ---------------------------------------------------- # sysname RT1# super password level 3 cipher H`'>T.,>([email protected]!X<]K3BK;Q!!# ike local-name zb# domain default enable system# telnet server enable# dar p2p signature-file flash:/p

DRF的版本、认证、权限

DRF的版本 版本控制是做什么用的, 我们为什么要用 首先我们要知道我们的版本是干嘛用的呢~~大家都知道我们开发项目是有多个版本的~~ 当我们项目越来越更新~版本就越来越多~~我们不可能新的版本出了~以前旧的版本就不进行维护了~~~ 那我们就需要对版本进行控制~~这个DRF也给我们提供了一些封装好的版本控制方法~~ 版本控制怎么用 之前我们学视图的时候知道APIView,也知道APIView返回View中的view函数,然后调用的dispatch方法~ 执行self.initial方法之前是各种

DRF 版本、认证、权限、限制、解析器和渲染器

目录 一.DRF之版本控制 为什么要有版本控制? DRF提供的版本控制方案 版本的使用 全局配置 局部配置(使用较少) 二.DRF之认证 内置的认证 步骤 三.DRF之权限 1.自定义一个权限类 2.权限 局部配置 3.权限 全局配置 四.DRF之限制 1.使用自定义限制类 1.1自定义一个限制类 1.2限制 局部配置 1.3限制 全局配置 2.使用内置限制类 2.1定义内置限制类 2.2全局配置 五.DRF之分页 1.为什么要使用分页 2.DRF使用分页器 2.1分页模式 2.2全局配置 2.

H3C路由器配置示列一

说明: 如上图所示,192.168.0.0网段是总公司的网络,192.168.3.0和192.168.4.0网段是当前自己分公司的网络,且192.168.3.0是内网不能访问互联网,192.168.4.0网段是可以访问互联网的 要求: 目前需要192.168.3.0网段可以访问互联网,应该怎么做菜可以使得192.168.3.0网段可以访问互联网?[路由器R3是H3C路由器] 解决方法如下: 在两个交换机之间搭建一根网线,使得连成局域网(但是这局域网有两个网段),如果想192.168.3.0网段可

Drf03 / drf版本、认证、权限

目录 Drf03 / drf版本.认证.权限 回顾和补充 今日概要 今日详细 1.请求的封装 2.版本 3.认证(面试) 作业:将认证的功能添加到呼啦圈中. Drf03 / drf版本.认证.权限 回顾和补充 restful规范 1. 建议用https代替http 2. 在URL中体现api,添加api标识 https://www.cnblogs.com/xwgblog/p/11812244.html # 错误 https://www.cnblogs.com/api/xwgblog/p/1181