Role-Based CLI Access
Role-Based CLI Access нь
сүлжээний админ нь view-ийг тодорхойлно, view нь Cisco IOS-ийн EXEC-д хандах,
тохиргооны командуудыг тохируулах гэх мэт зүйлсийг тусгаж өгсөн байна. View нь хэрэглэгчийг
Cisco IOS-ийн интерфейсийн командын мөрөнд хандах болон мэдээлийг тохируулах
эрхийг хязгаарлаж өгнө, өөрөөр хэлбэл view нь ямар командуудыг зөвшөөрсөн
байна, ямар мэдээллүүдийг харж болохоор байна гэдэгийг зааж байна. Ингэснээр
сүлжээний админууд Cisco сүлжээний төхөөрөмжинд хандах хандалтан дээр хяналт илүү сайн хяналт тавьж болно.
Role-Based CLI-д
хандахын тулд CLI view-үүдийг дэмждэг байх зайлшгүй шаардлагатай.
Role-Based CLI-д
хязгаарлах
CLI view нь Cisco
IOS-ийн хэсэг бөгөөд Cisco IOSтэй бүх платформ дээр ажиллана.
Зөвшөөрсөн View-үүдийн
дээд хязгаар
CLI view болон
superview-үүд дээд тоо нь нийлээд 15 байна.
CLI view ашиглахын давуу
тал
View нь Access
Control-ийн илүү дэлгэрэнгүй хувилбар нь
Хэрэглэгчид нь привилеж
горимд нууц үгээ хийж нэвтэрснээр CLI-д хандах боломжтой, эдгээр функцууд нь
сүлжээний админуудад хангалтгүй ба Cisco IOS рүүтерүүд болон свичүүдэд дээр
ажиллахад илүү дэлгэрэнгү нарийн маш чухал түвшний функцууд хэрэг болсон. CLI
view-үүд сүлжээний админуудад хандах боломжийг нь олон талтай болгож, Cisco
IOS-н програм хангамж болон хариуцлагыг сайжруулсан. Cisco IOS 12.3(11)T
хувилбар нь тусгай болгосон интерфейсүүдэд суурилсан хандалт хийж мөн
интерфейсүүдийг бүлэг болгож тусгай интерфейсүүдэд хандах боломжийг олгосон.
Root view
Систем "root" view болсон үед 15-р
түвшний привилеж хүртэлх бүх привилеж горимуудад хандаж болно. Хэрвээ админи нв
систем ямар нэгэн view тохиргоо хийхийг хүсвэл систем заавал root view байх
ёстой. 15-р түвшний привилеж хэрэглэгч болон root view горимтой хэрэглэгч
хоорондоо өөр өөр байна, root view хэрэглэгч нь шинээр root view эрхтэй
хэрэглэгчийг тохируулж үүсгэж, нэмж болно. Мөн CLI view байх үед чи зөвхөн root
view хэрэглэгчээр нэмсэн командуудад хандаж болно.
View Authentication via New AAA Attribute
View authentication нь гаднаас AAA буюу
authentication, authorization, accounting-р гүйцэтгэнэ. Зөвхөн нэг view нэр
тусгай ганц хэрэглэгчтэй хамтран ажиллана, өөрөөр хэлбэл ганцхан хэрэглэгч л
тохируулах боломжтой authentication серверт.
CLI view-ийг тохируулах
СLI view үүсгэж, командуудыг нэмж,
интерфейсүүдийг зөвшөөрснөөр ашиглаж болно.
Тохируулга хийхээсээ өмнө AAA-г идэвхжүүлэх
хэрэгтэй AAA-г aaa new-model гэсэн командаад идэвхжүүлнэ.
Чиний систем root view эрхтэй байна, привилеж
15-р түвшин биш.
Алдааг засах звлөмжүүд
View амжилттай үүсгэж дуусгахад дараах мессеж
дэлгэцэнд гарна.
%PARSER-6-VIEW_CREATED: view `first'
successfully created.
View амжилттай устаж дуусахад дараах мессеж
дэлгэцэнд гарна.
%PARSER-6-VIEW_DELETED:
view `first' successfully deleted.
View-тэй нууц үг хамтарч
ажиллах ёстой. Хэрвээ нууц үг тохируулаагүй бол дараах мессеж дэлгэцэнд гарна.
%Password not set for
view <viewname>.
Комманд:
Privilege level 15(root
) password оруулах(enable password тохируулах шаардлагатай)
2. configure terminal
Router#configure
terminal
Global configuration горимд нэвтрэх
3. parser view view-name
Router(config)# parser
view first
View үүсгээд тухайн үүсгэсэн view д тохиргоо хийх горим
4. secret 5 encrypted-password
Router(config-view)# secret
5 secret
Холбогдсон
cli view эсвэл superview д нууц үг өгөх хэрэгтэй.
Үүнийг
тохируулсны дараа та үүсгэсэн view
дээ нэмэлт тохиргоонуудыг хийх ёстой.
5.
commands parser-mode{include | include-exclusive | exclude}
[all] [interfaceinterface-name |command]
Router(config-view)# commands
exec include show version
Комманд
юмуу интерфеисыг view-д нэмэхэд:
parser-mode : горимд
тодорхой заагдсан нэмэлт комманд байна.
Include : комманд
юмуу интерфеисд ямар коммандыг тухайн view-д нэмж зөвшөөрөхийг зааж өгдөг.
Include-exclusive : ямар коммандыг include хийсэн коммандаас хасахыг тухайн view-д зааж өгдөг.
Exclude- тухайн view-н хэрэглэгчид уг коммандыг ашиглаж чадахгүй
All :Комманд бүрт ижилхэн
түлхүүр үгээр хандаж болно.
interface interface-name— тухайн интерфеисийг view нэмж өгнө.
6.exit
Router(config-view)# exit
Тухайн
тохиргооны горимоос гарна.
7.
exit
Global configuration
mode -оос
гарна.
8.
enable [privilege-level]
[view view-name]
Router# enable view
first
Хэрэглэгчид
тохируулсан view-д нэвтрэх нууц үг нэрийг
оруулснаар нэг view-ээс нөгөөд шилжиж болдог.
9. show parser view [all]
Хэрэглэгчийн одоо байгаа view-н мэдээллийг харуулна.
All: router дээр
үүсгэгдсэн view -үүдийн мэдээллийг харуулна.
Энэ
эрх нь хууль ёсны хэрэглэгч болон рүүт хэрэглэгчид байдаг хэдий ч,бүх эрх
зөвхөн рүүт хэрэглэгчид байдаг. Гэсэн хэдий ч бүх түлхүүр үгийг ашиглаж
чадах view ,
хэрэглэгч үүсгэж болно.
Хууль ёсны Intercept
view тохируулах
Тохиргооны мэдээлэл
болон хууль ёсны intercept тусгай командуудад view тохируулж ашиглана. Энийг
зөвхөн админ эсвэл 15-р түвшний хэрэглэгч үүсгэх боломжтой.
хууль ёсны Intercept-н
талаар
CLI view шиг тусгай
командуудад хандах болон тохиргооны мэдээлэл-д хандахыг хязгаарлана. Ялангуяа
хууль ёсны intercept view нь хэрэглэгчийн хууль ёсны intercept командуудад
хандах аюулгүй байдалыг хангана энэ нь TAP-MIB-тэй байна. Энэ нь SNMP протокол ашиглана.
Дараах төрлүүдийн нэгийг
агуулна:
хууль ёсны intercept view командууд привилеж түвшин эсвэл
бусад view-үүдэд идэвхжихгүй.
CLI view-үүд хууль ёсны intercept хэрэглэгчээр ажиллана
гэхдээ привилеж түвшинүүд болон бусад view-үүдээс уншихгүй.
шаардлага
Intercept view үүсгэхээс өмнө привилеж 15р
түвшинд байна.
Алдааг засах зөвлөмжүүд
Дараах командаар хууль ёсны intercept
хэрэглэгчдийг харж болно.
show users lawful-intercept
Комманд
1.enable view
Router> enable view
Privilege level 15(root
) password оруулах(enable password тохируулах шаардлагатай)
2. configure terminal
Router#configure
terminal
Global configuration горимд нэвтрэх
3. li-view li-password user username password password
Router(config)# li-view
lipass user li_admin password li_adminpass
Хууль
ёсны intercept view үүсгэх
Li view үүссний дараа username password коммандаар хамгийн багадаа нэг хэрэглэгч үүсгэх хэрэгтэй.
4.
username [lawful-intercept[name] [privilege privilege-level | view view-name]password password
Router(config)# username
lawful-intercept li-user1 password li-user1pass
Cisco төхөөрөмжинд хуулт ёсны intercept хэрэглэгч тохируулна.
5.
parser view view-name
Router(config)# parser
view li view name
View-н тохиргооны горимд нэвтрээд хууль ёсны intercept view- нэр нууц үгийг өөрчлөх боломжтой
6.
secret 5 encrypted-password
Router(config-view)# secret
5 secret
Хууль
ёсны intercept view-н хэрэглэгдэж байгаа нууц үгийг өөрчлөх(encrypt)
7.name new-name
Router(config-view)# name
second
Хууль
ёсны intercept view-н нэрийг өөрчлөх.(
Хууль ёсны intercept view-н default нэр нь li-view байдаг)
Superview
тохируулах
Superview-н талаар
Superview нь нэг эсвэл олон CLI view-үүдийг
агуулсан байна, энэ эрхтэй хэрэглэгчидийн бүх командыг зөвшөөрөх мөн тохиргооны
мэдээллийг харж болно. Superview-үүд сүлжээний админ зөвшөөрвөл хэрэглэгчдийн
группруу олон CLI view-үүд олгохын оронд тохируулсан CLI view-үүдийг
superview-үүд болгож болно.
superview-үүд дараах шинж тэмдэгүүдтэй:
CLI View нь олон superview-үүдийг хуваалцах
боломжтой
Командууд superview-үүдэд тохируулсан байж
болохгүй, энэ нь чи CLI view нэмж CLI view-үүдийг superview-д нэмэх ёстой.
Хэрэглэгчид superview-д нэвтэрснээр
superview-үүдийн хэсэг болох зөвшөөрсөн CLI view-үүдийнн бүх командуудад хандаж
болно.
CLI view-ээс superview-рүү эсвэл
superview-үүд хооронд солиход Superview бүр нууц үгтэй байна.
Хэрвээ superview устсан бол бүх
superview-тэй холбоотой бүх CLI-ууд устгах болно.
Superview-рүү
CLI view нэмэх
Зөвхөн
superview-д нууц үг тохируулсаны дараа view-үүд нэмж болно. Тэгээд дараа view
командуудтай холбоотой командуудаар нэг нэгээр нь нэмж болно.
Комманд
1.enable view
Router> enable view
Privilege level 15(root
) password оруулах(enable password тохируулах шаардлагатай)
2. configure terminal
Router#configure
terminal
Global configuration горимд нэвтрэх
3.parser view superview-name superview
Router(config)# parser
view su_view1 superview
Superview үүсгээд тохиргооны горимд орох
4. secret 5 encrypted-password
Router(config-view)# secret
5 secret
Холбогдсон
cli view эсвэл superview д нууц үг өгөх хэрэгтэй.
Үүнийг
тохируулсны дараа та үүсгэсэн view
дээ нэмэлт тохиргоонуудыг хийх ёстой.
5. view view-name
Router(config-view)# view
view_three
Superview-д
normal view-г нэмж өгөх. Тухайн normalview д заагдсан коммандыг superview ашиглах боломжтой.
6.exit
Example:
Router(config-view)# exit
Тухайн
тохиргооны горимоос гарна.
7.
exit
Example:
Router(config)# exit
Global configuration mode -оос гарна.
8.show parser view [all]
Example:
Router# show parser view
Хэрэглэгчийн одоо байгаа view-н мэдээллийг харуулна.
All: router дээр
үүсгэгдсэн view -үүдийн мэдээллийг харуулна.
Энэ
эрх нь хууль ёсны хэрэглэгч болон рүүт хэрэглэгчид байдаг хэдий ч,бүх эрх
зөвхөн рүүт хэрэглэгчид байдаг. Гэсэн хэдий ч бүх түлхүүр үгийг ашиглаж
чадах view ,
хэрэглэгч үүсгэж болно.
Багийн нэр: K12
Багийн гишүүд: Б.Цолмонтамир Б.Цэвэл Г.Энхтуяа
