Role Based CLI

Role-Based CLI Access

Role-Based CLI Access нь сүлжээний админ нь view-ийг тодорхойлно, view нь Cisco IOS-ийн EXEC-д хандах, тохиргооны командуудыг тохируулах гэх мэт зүйлсийг  тусгаж өгсөн байна. View нь хэрэглэгчийг Cisco IOS-ийн интерфейсийн командын мөрөнд хандах болон мэдээлийг тохируулах эрхийг хязгаарлаж өгнө, өөрөөр хэлбэл view нь ямар командуудыг зөвшөөрсөн байна, ямар мэдээллүүдийг харж болохоор байна гэдэгийг зааж байна. Ингэснээр сүлжээний админууд Cisco сүлжээний төхөөрөмжинд хандах хандалтан дээр хяналт  илүү сайн хяналт тавьж болно.

Role-Based CLI-д хандахын тулд CLI view-үүдийг дэмждэг байх зайлшгүй шаардлагатай.

Role-Based CLI-д хязгаарлах

CLI view нь Cisco IOS-ийн хэсэг бөгөөд Cisco IOSтэй бүх платформ дээр ажиллана.

Зөвшөөрсөн View-үүдийн дээд хязгаар

CLI view болон superview-үүд дээд тоо нь нийлээд 15 байна.

CLI view ашиглахын давуу тал

View нь Access Control-ийн илүү дэлгэрэнгүй хувилбар нь

Хэрэглэгчид нь привилеж горимд нууц үгээ хийж нэвтэрснээр CLI-д хандах боломжтой, эдгээр функцууд нь сүлжээний админуудад хангалтгүй ба Cisco IOS рүүтерүүд болон свичүүдэд дээр ажиллахад илүү дэлгэрэнгү нарийн маш чухал түвшний функцууд хэрэг болсон. CLI view-үүд сүлжээний админуудад хандах боломжийг нь олон талтай болгож, Cisco IOS-н програм хангамж болон хариуцлагыг сайжруулсан. Cisco IOS 12.3(11)T хувилбар нь тусгай болгосон интерфейсүүдэд суурилсан хандалт хийж мөн интерфейсүүдийг бүлэг болгож тусгай интерфейсүүдэд хандах боломжийг олгосон.

 Root view

 Систем "root" view болсон үед 15-р түвшний привилеж хүртэлх бүх привилеж горимуудад хандаж болно. Хэрвээ админи нв систем ямар нэгэн view тохиргоо хийхийг хүсвэл систем заавал root view байх ёстой. 15-р түвшний привилеж хэрэглэгч болон root view горимтой хэрэглэгч хоорондоо өөр өөр байна, root view хэрэглэгч нь шинээр root view эрхтэй хэрэглэгчийг тохируулж үүсгэж, нэмж болно. Мөн CLI view байх үед чи зөвхөн root view хэрэглэгчээр нэмсэн командуудад хандаж болно.

 View Authentication via New AAA Attribute

 View authentication нь гаднаас AAA буюу authentication, authorization, accounting-р гүйцэтгэнэ. Зөвхөн нэг view нэр тусгай ганц хэрэглэгчтэй хамтран ажиллана, өөрөөр хэлбэл ганцхан хэрэглэгч л тохируулах боломжтой authentication серверт.

 CLI view-ийг тохируулах

 СLI view үүсгэж, командуудыг нэмж, интерфейсүүдийг зөвшөөрснөөр ашиглаж болно.

 Тохируулга хийхээсээ өмнө AAA-г идэвхжүүлэх хэрэгтэй AAA-г aaa new-model гэсэн командаад идэвхжүүлнэ.

 Чиний систем root view эрхтэй байна, привилеж 15-р түвшин биш.

 Алдааг засах звлөмжүүд

 View амжилттай үүсгэж дуусгахад дараах мессеж дэлгэцэнд гарна.

 %PARSER-6-VIEW_CREATED: view `first' successfully created.

 View амжилттай устаж дуусахад дараах мессеж дэлгэцэнд гарна.

%PARSER-6-VIEW_DELETED: view `first' successfully deleted.

View-тэй нууц үг хамтарч ажиллах ёстой. Хэрвээ нууц үг тохируулаагүй бол дараах мессеж дэлгэцэнд гарна.

%Password not set for view <viewname>.

Комманд:

1.enable view

Router> enable view

Privilege level 15(root ) password оруулах(enable password тохируулах шаардлагатай)

2.         configure terminal

Router#configure terminal

Global configuration горимд нэвтрэх

3.         parser view view-name

Example:

Router(config)# parser view first

View үүсгээд тухайн үүсгэсэн view д тохиргоо хийх горим

4.         secret 5 encrypted-password

Example:

Router(config-view)# secret 5 secret

Холбогдсон cli view эсвэл superview д нууц үг өгөх хэрэгтэй.

Үүнийг тохируулсны дараа та үүсгэсэн view  дээ нэмэлт тохиргоонуудыг хийх ёстой.

5.

commands parser-mode{include | include-exclusive | exclude} [all] [interfaceinterface-name |command]

Example:

Router(config-view)# commands exec include show version

Комманд юмуу интерфеисыг view-д нэмэхэд:

parser-mode : горимд тодорхой заагдсан нэмэлт комманд байна.

Include : комманд юмуу интерфеисд ямар коммандыг тухайн view-д нэмж зөвшөөрөхийг зааж өгдөг.

Include-exclusive : ямар коммандыг include хийсэн коммандаас хасахыг тухайн view-д зааж өгдөг.

Exclude- тухайн view-н хэрэглэгчид уг коммандыг ашиглаж чадахгүй

All :Комманд бүрт ижилхэн түлхүүр үгээр хандаж болно.

interface interface-name— тухайн интерфеисийг view нэмж өгнө.

6.exit

Example:

Router(config-view)# exit

Тухайн тохиргооны горимоос гарна.

7.

exit

Example:

Router(config)# exit

Global configuration mode -оос гарна.

8.

enable [privilege-level] [view view-name]

Example:

Router# enable view first

Хэрэглэгчид тохируулсан view-д нэвтрэх нууц үг нэрийг оруулснаар нэг view-ээс нөгөөд шилжиж болдог.

9. show parser view [all]

Example:

Router# show parser view

     Хэрэглэгчийн одоо байгаа view-н мэдээллийг харуулна.

All: router  дээр үүсгэгдсэн view -үүдийн мэдээллийг харуулна.

Энэ эрх нь хууль ёсны хэрэглэгч болон рүүт хэрэглэгчид байдаг хэдий ч,бүх эрх зөвхөн рүүт хэрэглэгчид байдаг. Гэсэн хэдий ч бүх түлхүүр үгийг ашиглаж чадах  view , хэрэглэгч   үүсгэж болно.

Хууль ёсны Intercept view тохируулах

Тохиргооны мэдээлэл болон хууль ёсны intercept тусгай командуудад view тохируулж ашиглана. Энийг зөвхөн админ эсвэл 15-р түвшний хэрэглэгч үүсгэх боломжтой.

хууль ёсны Intercept-н талаар

CLI view шиг тусгай командуудад хандах болон тохиргооны мэдээлэл-д хандахыг хязгаарлана. Ялангуяа хууль ёсны intercept view нь хэрэглэгчийн хууль ёсны intercept командуудад хандах аюулгүй байдалыг хангана энэ нь TAP-MIB-тэй  байна. Энэ нь SNMP протокол ашиглана.

Дараах төрлүүдийн нэгийг агуулна:

            хууль ёсны intercept view командууд привилеж түвшин эсвэл бусад view-үүдэд идэвхжихгүй.

            CLI view-үүд хууль ёсны intercept хэрэглэгчээр ажиллана гэхдээ привилеж түвшинүүд болон бусад view-үүдээс уншихгүй.

шаардлага

 Intercept view үүсгэхээс өмнө привилеж 15р түвшинд байна.

 Алдааг засах зөвлөмжүүд

 Дараах командаар хууль ёсны intercept хэрэглэгчдийг харж болно.

 show users lawful-intercept

 Комманд

1.enable view

Router> enable view

Privilege level 15(root ) password оруулах(enable password тохируулах шаардлагатай)

2.         configure terminal

Router#configure terminal

Global configuration горимд нэвтрэх

3.   li-view li-password user username password password

Example:

Router(config)# li-view lipass user li_admin password li_adminpass

Хууль ёсны intercept view үүсгэх

Li view үүссний дараа username password коммандаар хамгийн багадаа нэг хэрэглэгч үүсгэх хэрэгтэй.  

4.

username [lawful-intercept[name] [privilege privilege-level | view view-name]password password

Example:

Router(config)# username lawful-intercept li-user1 password li-user1pass

Cisco төхөөрөмжинд хуулт ёсны intercept хэрэглэгч тохируулна.

5.

parser view view-name

Example:

Router(config)# parser view li view name

View-н тохиргооны горимд нэвтрээд хууль ёсны intercept view- нэр нууц үгийг өөрчлөх боломжтой

6.

secret 5 encrypted-password

Example:

Router(config-view)# secret 5 secret

Хууль ёсны intercept view-н хэрэглэгдэж байгаа нууц үгийг өөрчлөх(encrypt)

7.name new-name

Example:

Router(config-view)# name second

Хууль ёсны intercept view-н нэрийг өөрчлөх.( Хууль ёсны intercept view-н default нэр нь li-view байдаг)

Superview тохируулах

 Superview-н талаар

 Superview нь нэг эсвэл олон CLI view-үүдийг агуулсан байна, энэ эрхтэй хэрэглэгчидийн бүх командыг зөвшөөрөх мөн тохиргооны мэдээллийг харж болно. Superview-үүд сүлжээний админ зөвшөөрвөл хэрэглэгчдийн группруу олон CLI view-үүд олгохын оронд тохируулсан CLI view-үүдийг superview-үүд болгож болно.

superview-үүд дараах шинж тэмдэгүүдтэй:

     CLI View нь олон superview-үүдийг хуваалцах боломжтой

     Командууд superview-үүдэд тохируулсан байж болохгүй, энэ нь чи      CLI view нэмж CLI view-үүдийг superview-д нэмэх ёстой.

     Хэрэглэгчид superview-д нэвтэрснээр superview-үүдийн хэсэг          болох зөвшөөрсөн CLI view-үүдийнн бүх командуудад хандаж болно.

     CLI view-ээс superview-рүү эсвэл superview-үүд хооронд солиход      Superview бүр нууц үгтэй байна.

     Хэрвээ superview устсан бол бүх superview-тэй холбоотой бүх CLI-ууд устгах болно.

    

Superview-рүү CLI view нэмэх

Зөвхөн superview-д нууц үг тохируулсаны дараа view-үүд нэмж болно. Тэгээд дараа view командуудтай холбоотой командуудаар нэг нэгээр нь нэмж болно.

                  

Комманд

1.enable view

Router> enable view

Privilege level 15(root ) password оруулах(enable password тохируулах шаардлагатай)

2.         configure terminal

Router#configure terminal

Global configuration горимд нэвтрэх

3.parser view superview-name superview

Example:

Router(config)# parser view su_view1 superview

Superview  үүсгээд тохиргооны горимд орох

4. secret 5 encrypted-password

Example:

Router(config-view)# secret 5 secret

Холбогдсон cli view эсвэл superview д нууц үг өгөх хэрэгтэй.

Үүнийг тохируулсны дараа та үүсгэсэн view  дээ нэмэлт тохиргоонуудыг хийх ёстой.

5. view view-name

Example:

Router(config-view)# view view_three

Superview-д  normal view-г нэмж өгөх. Тухайн normalview д заагдсан коммандыг superview ашиглах боломжтой.

6.exit

Example:

Router(config-view)# exit

Тухайн тохиргооны горимоос гарна.

7.

exit

Example:

Router(config)# exit

Global configuration mode -оос гарна.

8.show parser view [all]

Example:

Router# show parser view

     Хэрэглэгчийн одоо байгаа view-н мэдээллийг харуулна.

All: router  дээр үүсгэгдсэн view -үүдийн мэдээллийг харуулна.

Энэ эрх нь хууль ёсны хэрэглэгч болон рүүт хэрэглэгчид байдаг хэдий ч,бүх эрх зөвхөн рүүт хэрэглэгчид байдаг. Гэсэн хэдий ч бүх түлхүүр үгийг ашиглаж чадах  view , хэрэглэгч   үүсгэж болно.

Багийн нэр: K12

Багийн гишүүд:  Б.Цолмонтамир Б.Цэвэл Г.Энхтуяа