Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
 

登录类概述

Junos OS Evolved 登录类定义了为该类分配的用户的访问权限、使用 CLI 命令和语句的权限,以及会话空闲时间。您(系统管理员)可以将登录类应用于单个用户帐户,从而向用户分配某些权限和权限。

登录类概述

所有可登录运行 Junos OS Evolved 的设备的用户都必须参加登录课程。每个登录类定义以下内容:

  • 用户登录网络设备时享有的访问权限

  • 用户可以也无法执行的命令

  • 用户可以且无法查看或修改的配置语句

  • 在系统断开用户连接之前,登录会话可以空闲的时间量

您可以定义任意数量的登录类。但是,您仅将一个登录类分配给单个用户帐户。

Junos OS Evolved 包括预定义的登录类,列在 表 1 中。您不能修改预定义的登录类。

表 1:预定义系统登录类

登录类

权限标志集

operator

清除、网络、重置、跟踪和视图

read-only

视图

superusersuper-user

所有

unauthorized

没有

注意:
  • 您不能修改预定义的登录类名称。如果在预定义的 set 类名称上发出 命令,则设备会附加 -local 登录类名称并发出以下警告:

  • 您不能在预定义的登录类上发出 renamecopy 命令。这样做会导致以下错误消息:

权限位

每个顶级 CLI 命令和每个 配置语句 都有与之关联的访问权限级别。用户只能执行这些命令,并配置和查看具有访问权限的语句。每个登录类定义一个或多个权限位,用于确定访问权限。

权限的两个表单用于控制用户是否可以查看或修改配置的各个部分:

  • “纯”表单 — 为该权限类型提供只读功能。举个例子是 interface.

  • -control 表单 — 为该权限类型提供读写功能。举个例子是 interface-control.

表 2 概述了权限标志和相关访问权限。

表 2:登录类许可标志

权限标志

描述

access

可在操作模式或配置模式下查看访问配置。

access-control

可在 [edit access] 层次结构级别查看和配置访问信息。

admin

可在操作模式或配置模式下查看用户帐户信息。

admin-control

可以在层次结构级别查看用户帐户信息并进行配置 [edit system]

all

可以访问所有操作模式命令和配置模式命令。可以修改所有配置层次结构级别中的配置。

clear

可以清除(删除)设备从网络中学习的信息,并存储在各种网络数据库中(使用 clear 命令)。

configure

可以进入配置模式(使用 configure 命令)和提交配置(使用 commit 命令)。

control

可以执行所有控制级别操作 — 所有操作均使用 -control 权限标记配置。

field

可查看字段调试命令。保留用于调试支持。

firewall

可在操作模式或配置模式下查看 防火墙过滤器 配置。

firewall-control

可以在层次结构级别查看和配置防火墙过滤器信息 [edit firewall]

floppy

可以从中读取并写入可移动介质。

flow-tap

可在操作模式或配置模式下查看流监测配置。

flow-tap-control

可以在层次结构级别查看和配置流监测信息 [edit services flow-tap]

flow-tap-operation

可以向路由器或交换机提出流监测请求。例如,动态任务控制协议 (DTCP) 客户端必须有权 flow-tap-operation 以管理用户的身份对 Junos OS Evolved 进行身份验证。

注意:

flow-tap-operation 限标志中 all-control 不包含该选项。

idp-profiler-operation

可查看分析器数据。

interface

可在操作模式和配置模式下查看接口配置。

interface-control

可查看机箱、 服务等级 (CoS)、组、转发选项和接口配置信息。可在以下层次结构级别上修改配置:

  • [edit chassis]

  • [edit class-of-service]

  • [edit groups]

  • [edit forwarding-options]

  • [edit interfaces]

maintenance

可以执行系统维护,包括在设备上启动本地外壳和成为外壳中的超级用户(使用 su root 命令)以及停止和重新启动设备(使用 request system 命令)。

network

可使用 pingsshtelnettraceroute 命令访问网络。

pgcp-session-mirroring

可查看 pgcp 会话镜像配置。

pgcp-session-mirroring-control

可以修改 pgcp 会话镜像配置。

reset

可使用 restart 命令重新启动软件进程。

rollback

可使用 命令 rollback 返回到先前提交的配置。

routing

可在配置模式和操作模式下查看常规路由、路由协议和路由策略配置信息。

routing-control

可在 [edit routing-options] 层级查看和配置一般路由、层次结构级别的 [edit protocols] 路由协议以及层次结构级别的 [edit policy-options] 路由策略信息。

secret

可在配置中查看密码和其他认证密钥。

secret-control

可在配置中查看和修改密码和其他认证密钥。

security

可在操作模式和配置模式下查看安全配置信息。

security-control

可以在层次结构级别查看和配置安全信息 [edit security]

shell

可使用 start shell 命令在路由器或交换机上启动本地外壳。

snmp

可在操作模式或配置模式下查看简单网络管理协议 (SNMP) 配置信息。

snmp-control

可在 [edit snmp] 层次结构级别查看和修改 SNMP 配置信息。

system

可在操作模式或配置模式下查看系统级别信息。

system-control

可在 [edit system] 层次结构级别查看和修改系统级配置信息。

trace

可以查看追踪文件设置并配置追踪文件属性。

trace-control

可以修改追踪文件设置并配置追踪文件属性。

view

可以使用各种命令显示当前系统范围、路由表以及协议特定值和统计信息。无法查看密钥配置。

view-configuration

可以查看除密钥、系统脚本和事件选项在内的所有配置。

注意:

只有获得许可的 maintenance 用户才能查看提交脚本、操作脚本或事件脚本配置。

拒绝或允许个别命令和语句层次结构

默认情况下,所有顶级 CLI 命令和语句都具有关联访问权限级别。用户只能执行这些命令,只能查看和配置具有访问权限的语句。对于每个登录类,您可以明确拒绝或允许用户使用操作模式命令、配置模式命令和配置语句层次结构,这些命令会被许可位以其他方式允许或拒绝。

示例:创建具有特定权限的登录类

您可定义登录类,以便为用户组分配某些权限或限制,确保只有相应用户才能访问敏感命令。默认情况下,瞻博网络设备具有四种具有预设权限的登录类:运营商、只读、超级用户或超级用户以及未经授权的。

您可以创建自定义登录类来定义默认登录类中未找到的权限的不同组合。以下示例显示三个自定义登录类,每个类具有特定权限和不活动定时器。如果用户处于非活动状态的时间过长,无效计时器可从网络中断开用户的连接,从而帮助保护网络安全。断开用户连接可防止在用户将无人看管的帐户登录到交换机或路由器时产生的潜在安全风险。此处显示的权限和不活动时间器仅举例示例:您应该为您的组织定制这些价值观。

三个登录类及其权限如下。所有三个登录类均使用 5 分钟的相同不活动计时器。

  • observation—只能查看统计数据和配置
  • operation—可查看和修改配置
  • engineering— 无限制访问和控制