刷机前请仔细阅读
---------------------------------------------------------------------------------------------------------------------------------
什么是设备三权账号?
答:三权账号分别是管理账号、审计账号、安全管理账号
---------------------------------------------------------------------------------------------------------------------------------
权限说明
- security-audit 安全日志管理员(系统中的最后一个安全日志管理员角色的本地用户不可被删除,重新创建一个登陆账号解决问题;
- network-admin 具有最高权限,可操作系统所有功能和资源(除安全日志文件管理相关命令外);
- network-operator 可执行系统所有功能和资源的相关display命令 (除安全日志等查看命令外);
- level-0 可执行命令ping、tracert、ssh2、telnet和super,且管理员可以为其配置权限;
- level-1 具有leve-0用户角色的权限,并且可执行系统所有功能和资源的相关display命令(除display history-command all之外),以及管理员可以为其配置权限;
- level-2~8 无缺省权限,需要管理员为其配置权限;
- level-10~14 无缺省权限,需要管理员为其配置权限;
- level-9 可操作系统中绝大多数的功能和所有的资源,且管理员可以为其配置权限,但不能操display history-command all命令、RBAC的命令(Debug命今除外)、文件管理以及本地用户特性。对于本地用户,若用户登录系统并被授予该角色,可以修改自己的密码;
- level-15 具有与network-admin角色相同的权限。
---------------------------------------------------------------------------------------------------------------------------------
#1、配置ACL规则,后续在ssh调用,只允许管理网段IP远程登录设备(修改只允许的IP和反掩码)
#备注:基本acl编号为2000--2999,规则以5为步长,如果编号和在用的重复请更改。
acl number 2000
rule 0 permit source 192.168.10.0 0.0.0.255
rule 5 permit source 192.168.20.0 0.0.0.255
rule 10 permit source 192.168.30.0 0.0.0.255
rule 999 deny
quit
#2、配置VTY用户线同时在线5个,认证方式为scheme(AAA模式),空闲超时5分钟退出(不用修改)
line vty 0 4
authentication-mode scheme
idle-timeout 5 0
quit
#3、开启SSH服务(不用修改)
ssh server enable
#4、配置ssh服务调用acl 2000,调用以后,只有ACL规则中允许的IP可以远程ssh登录 (修改ACL编号和上面#1的一样)
ssh server acl 2000
#5、创建本地用户管理账号client001(可修改),并设置用户密码为Huasan@123...(可修改)、服务类型为SSH、terminal(console),
#5、用户角色为默认network-operator,,用户角色级别为level-1
#5、可执行命令ping、tracert、ssh2、telnet和super
#5、并且可执行系统所有功能和资源的相关display命令(除display history-command all之外)
local-user client001 class manage
password simple Huasan@123...
service-type ssh terminal
authorization-attribute user-role level-1
authorization-attribute user-role network-operator
#6、创建本地用户审计账号client002(可修改),并设置用户密码为Huasan@456...(可修改)、服务类型为SSH、terminal(console),
#6、用户角色为默认network-operator,,用户角色级别为level-9
#6、可操作系统中绝大多数的功能和所有的资源,且管理员可以为其配置权限,
#6、但不能操display history-command all命令、RBAC的命令(Debug命今除外)、文件管理以及本地用户特性。
#6、对于本地用户,若用户登录系统并被授予该角色,可以修改自己的密码
local-user client002 class manage
password simple Huasan@456...
service-type ssh terminal
authorization-attribute user-role level-9
authorization-attribute user-role network-operator
#7、创建本地用户安全管理账号client003(可修改),并设置用户密码为Huasan@678...(可修改),服务类型为SSH、terminal(console),
#7、用户角色为network-admin,拥有最该级别权限
local-user client003 class manage
password simple Huasan@789...
service-type ssh terminal
authorization-attribute user-role network-admin
---------------------------------------------------------------------------------------------------------------------------------
看完觉得不错点赞关注加收藏呗!谢谢