| 命令 | 作用 |
| description | 配置角色的描述信息 |
| feature | 添加特性组的特性 |
| interface policy deny | 配置禁止角色操作所有接口资源 |
| permit interface | 配置允许角色操作接口资源 |
| permit vlan | 配置允许角色操作VLAN资源 |
| permit vrf | 配置允许角色操作VRF资源 |
| role enable | 开启RBAC功能 |
| role feature-group name | 配置特性组 |
| role name | 配置角色 |
| rule | 配置角色规则权限 |
| show role | 查看指定角色或者所有角色的信息 |
| show role feature | 查看指定的或者所有的特性信息 |
| show role feature-group | 查看指定的或者所有的特性组信息 |
| vlan policy deny | 配置禁止角色操作所有VLAN资源 |
| vrf policy deny | 配置禁止角色操作所有VRF资源 |
1.1 description
【命令功能】
description命令用来配置角色的描述信息。
no description命令用来恢复角色默认的描述信息。
default description命令用来恢复缺省配置。
缺省情况下,系统具有预定义角色的描述信息,自定义角色的描述信息为now role。
【命令格式】
description description
no description
default description
【参数说明】
description:配置角色描述信息,为1~128个字符的字符串,区分大小写。
【命令模式】
角色配置模式
【缺省级别】
15
【使用指导】
执行本命令可以配置角色的描述信息。
【配置举例】
# 配置角色admin-role的描述信息为admin role。
Hostname> enable
Hostname# configure terminal
Hostname(config)# role name admin-role
Hostname(config-role)# description admin role
【提示信息】
无
【常见错误】
无
【平台说明】
无
【相关命令】
1.2 feature
【命令功能】
feature命令用来添加特性组的特性。
no feature命令用来删除特性组的特性。
default feature命令用来恢复缺省配置。
缺省情况下,系统具有预定义特性组的特性信息,自定义特性组没有特性信息。
【命令格式】
feature feature-name
no feature feature-name
default feature feature-name
【参数说明】
feature-name:添加特性组的特性。feature-name表示系统预定义的特性名称,区分大小写。
【命令模式】
特性组配置模式
【缺省级别】
15
【使用指导】
执行本命令可以添加特性组的特性。
【配置举例】
# 添加特性组test-group的特性aaa。
Hostname> enable
Hostname# configure terminal
Hostname(config)# role feature-group name test-group
Hostname(config-role-featuregrp)# feature aaa
【提示信息】
无
【常见错误】
无
【平台说明】
无
【相关命令】
1.3 interface policy deny
【命令功能】
interface policy deny命令用来配置禁止角色操作所有接口资源。
no interface policy deny命令用来配置允许角色操作所有接口资源。
default interface policy deny命令用来恢复缺省配置。
缺省情况下,允许角色操作所有接口资源。
【命令格式】
interface policy deny
no interface policy deny
default interface policy deny
【参数说明】
无
【命令模式】
角色配置模式
【缺省级别】
15
【使用指导】
执行本命令可以禁止角色操作设备所有接口资源。接口资源主要包括接口的创建、删除和应用等操作,不包括接口查看操作。
【配置举例】
# 配置禁止角色admin-role操作设备所有接口资源。
Hostname> enable
Hostname# configure terminal
Hostname(config)# role name admin-role
Hostname(config-role)# interface policy deny
【提示信息】
无
【常见错误】
无
【平台说明】
无
【相关命令】
1.4 permit interface
【命令功能】
permit interface命令用来配置允许角色操作接口资源。
no permit interface命令用来恢复缺省配置。
default permit interface命令用来恢复缺省配置。
缺省情况下,禁止角色操作指定的或者所有的接口资源。
【命令格式】
permit interface interface-type interface-number-list
no permit interface [ interface-type interface-number-list ]
default permit interface [ interface-type interface-number-list ]
【参数说明】
interface-type interface-number-list:配置接口类型和接口编号列表。接口编号列表内可以包含1个或多个接口编号。当配置多个接口编号时使用“,”隔开,当配置连续的接口编号时使用“-”头尾连接。
【命令模式】
角色接口配置模式
【缺省级别】
15
【使用指导】
执行本命令可以允许角色操作设备接口资源。接口资源主要包括接口的创建、删除和应用等操作,不包括接口查看操作。
【配置举例】
# 配置允许角色admin-role操作设备GigabitEthernet 0/1接口资源。
Hostname> enable
Hostname# configure terminal
Hostname(config)# role name admin-role
Hostname(config-role)# interface policy deny
Hostname(config-role-interface)# permit interface gigabitethernet 0/1
# 配置允许角色admin-role操作设备GigabitEthernet 0/2、GigabitEthernet 0/4和GigabitEthernet 0/6接口资源。
Hostname> enable
Hostname# configure terminal
Hostname(config)# role name admin-role
Hostname(config-role)# interface policy deny
Hostname(config-role-interface)# permit interface gigabitethernet 0/2, 0/4, 0/6
【提示信息】
无
【常见错误】
无
【平台说明】
无
【相关命令】
1.5 permit vlan
【命令功能】
permit vlan命令用来配置允许角色操作VLAN资源。
no permit vlan命令用来恢复缺省配置。
default permit vlan命令用来恢复缺省配置。
缺省情况下,禁止角色操作指定的或者所有的VLAN资源。
【命令格式】
permit vlan vlan-list
no permit vlan [ vlan-list ]
default permit vlan [ vlan-list ]
【参数说明】
vlan-list:配置操作的VLAN列表。取值范围为1~4094。列表内可以包含1个或多个VLAN,当配置多个VLAN ID时,VLAN ID间用“,”隔开,连续的VLAN ID使用“-”头尾连接。
【命令模式】
角色VLAN配置模式
【缺省级别】
15
【使用指导】
执行本命令可以允许角色操作设备VLAN资源。VLAN资源主要包括VLAN的创建、删除和应用等操作,不包括VLAN查看操作。
【配置举例】
# 配置允许角色admin-role操作设备VLAN 1资源。
Hostname> enable
Hostname# configure terminal
Hostname(config)# role name admin-role
Hostname(config-role)# vlan policy deny
Hostname(config-role-vlan)# permit vlan 1
# 配置允许角色admin-role操作设备VLAN 1、VLAN 3和VLAN 5资源。
Hostname> enable
Hostname# configure terminal
Hostname(config)# role name admin-role
Hostname(config-role)# vlan policy deny
Hostname(config-role-vlan)# permit vlan 1,3,5
【提示信息】
无
【常见错误】
无
【平台说明】
无
【相关命令】
1.6 permit vrf
【命令功能】
permit vrf命令用来配置允许角色操作VRF资源。
no permit vrf命令用来恢复缺省配置。
default permit vrf命令用来恢复缺省配置。
缺省情况下,禁止角色操作指定的或者所有的VRF资源。
【命令格式】
permit vrf vrf-name
no permit vrf [ vrf-name ]
default permit vrf [ vrf-name ]
【参数说明】
vrf-name:配置关联的VRF名称。
【命令模式】
角色VRF配置模式
【缺省级别】
15
【使用指导】
执行本命令可以允许角色操作设备VRF资源。VRF资源主要包括VRF的创建、删除和应用等操作,不包括VRF查看操作。
【配置举例】
# 配置允许角色admin-role操作设备VRF test资源。
Hostname> enable
Hostname# configure terminal
Hostname(config)# role name admin-role
Hostname(config-role)# vrf policy deny
Hostname(config-role-vrf)# permit vrf test
【提示信息】
无
【常见错误】
无
【平台说明】
无
【相关命令】
1.7 role enable
【命令功能】
role enable命令用来开启RBAC功能。
no role enable命令用来关闭RBAC功能。
default role enable命令用来恢复缺省配置。
缺省情况下,RBAC功能处于关闭状态。
【命令格式】
role enable
no role enable
default role enable
【参数说明】
无
【命令模式】
全局配置模式
【缺省级别】
15
【使用指导】
执行本命令可以开启或关闭RBAC功能。必须先开启RBAC功能,才能配置RBAC的其他命令。
【配置举例】
# 配置开启RBAC功能。
Hostname> enable
Hostname# configure terminal
Hostname(config)# role enable
【提示信息】
无
【常见错误】
无
【平台说明】
无
【相关命令】
无
1.8 role feature-group name
【命令功能】
role feature-group name命令用来配置特性组。
no role feature-group name命令用来删除特性组。
default role feature-group name命令用来恢复缺省配置。
缺省情况下,系统预定义二层(L2)和三层(L3)特性组,并具有相应的特性。
【命令格式】
role feature-group name group-name
no role feature-group name group-name
default role feature-group name group-name
【参数说明】
group-name:配置特性组名称,为1~32个字符的字符串,区分大小写。
【命令模式】
全局配置模式
【缺省级别】
15
【使用指导】
执行本命令可以创建特性组并进入特性组配置模式。
系统预定义二层(L2)和三层(L3)两个特性组。L2中包含了所有的二层协议相关功能的命令,L3中包含了所有三层协议相关功能的命令。系统预定义特性组不能删除和修改。支持用户自定义特性组,并对该特性组配置相应的特性,自定义特性组最多只能创建64个。
【配置举例】
# 配置角色名为test-group的特性组,并进入特性组配置模式。
Hostname> enable
Hostname# configure terminal
Hostname(config)# role feature-group name test-group
Hostname(config-role-featuregrp)#
【提示信息】
无
【常见错误】
无
【平台说明】
无
【相关命令】
1.9 role name
【命令功能】
role name命令用来配置角色。
no role name命令用来删除角色。
default role name命令用来恢复缺省配置。
缺省情况下,系统预定义network-admin、network-operator、priv-n(n = 0~15)共18种角色,并具有相应的操作权限。
【命令格式】
role name role-name
no role name role-name
default role name role-name
【参数说明】
role-name:配置角色名称,为1~64个字符的字符串,区分大小写。
【命令模式】
全局配置模式
【缺省级别】
15
【使用指导】
执行本命令可以创建角色以及进入角色配置模式。
系统预定义network-admin、network-operator、priv-n(n=0~15)共18种角色。
系统预定义角色无法通过no命令删除。系统预定义角色只有priv-n(n=0~13)角色可以通过default命令恢复默认权限,其他系统预定义角色无法通过default命令恢复默认权限。
系统预定义角色中只有priv-n(n=0~13)角色可以增加权限,系统预定义权限无法删除,其他角色无法修改。
支持用户自定义角色,并对该角色配置相应的权限,自定义角色最多只能创建64个。
【配置举例】
# 配置名称为admin-role的角色,并进入角色配置模式。
Hostname> enable
Hostname# configure terminal
Hostname(config)# role name admin-role
Hostname(config-role)#
【提示信息】
无
【常见错误】
无
【平台说明】
无
【相关命令】
1.10 rule
【命令功能】
rule命令用来配置角色规则权限。
no rule命令用来删除角色指定的或者所有的规则权限。
default rule命令用来恢复缺省配置。
缺省情况下,系统预定义角色具有预定义规则权限,用户自定义角色没有任何规则权限。
【命令格式】
rule rule-number { deny | permit } { command command-string | { execute | read | write }* { feature [ feature-name ] | feature-group feature-group-name } }
no rule { rule-number | all }
default rule { rule-number | all }
【参数说明】
rule rule-number:配置规则ID号。取值范围为1~256。
deny:配置禁止执行的命令。
permit:配置允许执行的命令。
command command-string:配置基于命令的规则。command-string表示命令特征字符串,为1~128个字符的字符串,区分大小写。可以是特定的一条命令行或者多条命令,多条命令用分号(;)分隔,也可以是用星号(*)通配符表示的一类命令,可包含空格和所有可打印字符。
execute:配置执行类型的命令,即用于执行特定的程序或功能的一类命令,如ping命令。
read:配置读类型的命令,即显示系统配置和维护信息的一类命令,如show、dir和more等命令。
write:配置写类型的命令,即用于对系统进行配置的一类命令,如logging on配置命令。
feature feature-name:配置基于特性的规则。feature-name表示系统预定义的特性名称,区分大小写。若不指定特性名称,则表示所有特性。
feature-group feature-group-name:配置基于特性组的规则。feature-group-name表示特性组名称,为1~32个字符的字符串,区分大小写。
all:配置所有权限规则。
【命令模式】
角色配置模式
【缺省级别】
15
【使用指导】
执行本命令可以设置角色的规则权限。需要注意:
l 配置规则时,指定的编号不存在,则创建规则,否则更改规则。修改后的规则只针对新认证的用户生效,已在线的用户不生效。
l 一个用户角色允许创建多条规则,每个角色能够执行的权限是这些规则的并集。若这些规则定义的权限内容有冲突,则规则编号大的有效。例如,规则1禁止执行A命令,规则2禁止执行B命令,规则3允许执行A命令,则最终规则2和规则3生效,即允许执行A命令,禁止执行B命令。
l 系统预定义角色预定义规则是无法删除和修改。若系统预定义规则与用户自定义规则存在冲突,则以用户自定义规则为准。
l 每个角色可以配置最多256个规则。设备所有角色最多只能配置1024个规则。
对于配置基于命令的规则。需要遵循如下规则:
l 段的划分
○ 若需要描述多级模式命令,则需要使用分号(;)将命令特征字符串分成多个段,每一个段代表一个或一系列命令,后一个段中的命令是执行前一个段中命令所进入模式的命令。
○ 一个段中必须至少出现一个可打印字符。
l 分号的使用
○ 若需要描述多级模式命令,则需要使用分号进行分隔命令段。比如对配置模式下logging on命令进行授权,特征字符串为:config ; logging on。
○ 最后一个命令段存在分号,则说明对当前模式命令进行授权。比如只对进入接口模式命令进行授权,特征字符串为:config ; interface * ;
○ 最后一个命令段不存在分号,则说明对当前命令模式以及模式下的所有命令进行授权。比如对接口模式下的所有命令进行授权,特征字符串为:config ; interface *。
l 星号的使用
○ 每个命令行可以包含至少一个星号,星号可以在命令段的中间,也可以是两边,每个星号都是对命令进行模糊匹配。比如对配置下的所有命令进行授权,特征字符串为:config ; * 。对配置模式下命令开头是logging,命令结尾是flush的命令进行授权,特征字符串为:config ; logging * flush。对配置模式下,logging开头的所有命令进行授权,特征字符串为:config ; logging * 。
○ 命令段中间包含星号时,如果是帮助命令匹配,则只需要匹配到中间第一个星号为止匹配,则后续都认为匹配。如果是执行命令匹配,则需要对整个命令进行匹配。
l 关键字前缀匹配
○ 命令关键字与命令特征字符串采用前缀匹配算法进行匹配,即只要命令行中关键字的首部多个连续字符或全部字符与规则中定义的关键字相匹配,则本命令行与此规则匹配成功。因此,命令特征字符串中可以包括完整的或部分的命令关键字。例如,若规则“rule 1 deny command show ssh”生效,show ssh命令和show ssh-session命令都会被禁止执行。
【配置举例】
# 配置角色admin-role,且具有执行所有配置模式命令的规则权限。
Hostname> enable
Hostname# configure terminal
Hostname(config)# role name admin-role
Hostname(config-role)# rule 1 permit command config ; *
# 配置角色admin-role,且具有特性aaa的读权限。
Hostname> enable
Hostname# configure terminal
Hostname(config)# role name admin-role
Hostname(config-role)# rule 2 permit read feature aaa
【提示信息】
无
【常见错误】
无
【平台说明】
无
【相关命令】
1.11 show role
【命令功能】
show role命令用来查看指定角色或者所有角色的信息。
【命令格式】
show role [ name role-name ]
【参数说明】
name role-name:查看指定角色的信息。
【命令模式】
除用户模式以外的所有模式
【缺省级别】
14
【使用指导】
当未配置name参数时,表示查看所有角色的信息。
【配置举例】
# 查看角色network-admin的信息。
Hostname> enable
Hostname# show role name network-admin
Role: network-admin
Description: Predefined network admin role has access to all commands
Interface policy: permit (default)
VLAN policy: permit (default)
Vrf policy: permit (default)
-------------------------------------------------------------------
Rule Perm Type Scope Entity
-------------------------------------------------------------------
sys-1 permit command *
R:Read W:Write X:Execute
表1-1 show role name命令输出信息描述表
| 字段 | 描述 |
| Role | 角色的名称 |
| Description | 角色的描述信息 |
| Interface policy | 角色操作设备所有接口资源 |
| VLAN policy | 角色操作设备所有VLAN资源 |
| Vrf policy | 角色操作设备所有VRF资源 |
| Rule | 规则ID号 |
| Perm | 允许或禁止 |
| Type | 命令类型,如配置读/写/执行,则显示为RWX |
| Scope | 配置基于命令的规则(command)或者配置基于特性的规则(feature)或者配置基于特性组的规则(feature-group) |
| Entity | 规则实体 |
| R:Read W:Write X:Execute | 命令类型说明,字段含义为:
● R:读类型的命令 ● W:写类型的命令 ● X:执行类型的命令 |
【提示信息】
无
【平台说明】
无
【相关命令】
无
1.12 show role feature
【命令功能】
show role feature命令用来查看指定的或者所有的特性信息。
【命令格式】
show role feature [ detail | name feature-name ]
【参数说明】
detail:查看所有特性的详细信息。
name feature-name:查看指定特性的基本信息。
【命令模式】
除用户模式以外的所有模式
【缺省级别】
14
【使用指导】
当未配置name参数时,表示查看所有的特性信息。
【配置举例】
# 查看所有特性的基本信息。
Hostname> enable
Hostname# show role feature
Feature: aaa (Aaa related commands)
Feature: bfd (Bfd related commands)
Feature: bgp (Bgp related commands)
Feature: bridge (Bridge related commands)
Feature: ce-mgmt (Ce mgmt related commands)
# 查看所有特性的详细信息。
Hostname> enable
Hostname# show role feature detail
Feature: aaa (Aaa related commands)
undebug username (W)
undebug aaa * (W)
debug username (W)
debug aaa * (W)
clear aaa * (W)
username * (W)
show aaa * (R)
configure ; username * (W)
configure ; aaa * (W)
configure ; aaa domain * ; authentication * (W)
configure ; aaa domain * ; accounting * (W)
configure ; aaa domain * ; authorization * (W)
configure ; aaa domain * ; state * (W)
configure ; aaa domain * ; username-format * (W)
configure ; aaa domain * ; access-limit * (W)
Feature: bfd (Bfd related commands)
undebug bfd * (W)
debug bfd * (W)
show sbfd * (R)
show bfd * (R)
configure ; sbfd * (W)
configure ; bfd * (W)
configure ; interface * ; bfd * (W)
表1-2 show role feature命令输出信息描述表
| 字段 | 描述 |
| Feature | 特性的名称 |
| feature-name related commands | 特性关联命令 |
| commands (type) | 特性关联命令
● commands表示按照执行顺序列出特性关联命令的集合。其中的*表示相关参数,标点“;”用来区分不同的命令 ● type表示命令的类型,该字段取值为: ○ W:写类型的命令 ○ R:读类型的命令 ○ X:执行类型的命令 |
【提示信息】
无
【平台说明】
无
【相关命令】
无
1.13 show role feature-group
【命令功能】
show role feature-group命令用来查看指定的或者所有的特性组信息。
【命令格式】
show role feature-group [ name group-name ] [ detail ]
【参数说明】
name group-name:查看指定特性组的基本信息。
detail:查看指定特性组的详细信息。
【命令模式】
除用户模式以外的所有模式
【缺省级别】
14
【使用指导】
当未配置name参数时,表示查看所有的特性组信息。
【配置举例】
# 查看特性组test的基本信息。
Hostname> enable
Hostname# show role feature-group name test
Feature group: test
Feature: aaa (Aaa related commands)
Feature: snmpd (Snmpd related commands)
Feature: syslogd (Syslogd related commands)
# 查看特性组test的详细信息。
Hostname> enable
Hostname# show role feature-group name test detial
Feature group: test
Feature: aaa (Aaa related commands)
undebug username (W)
undebug aaa * (W)
debug username (W)
debug aaa * (W)
clear aaa * (W)
username * (W)
show aaa * (R)
configure ; username * (W)
configure ; aaa * (W)
configure ; aaa domain * ; authentication * (W)
configure ; aaa domain * ; accounting * (W)
configure ; aaa domain * ; authorization * (W)
configure ; aaa domain * ; state * (W)
configure ; aaa domain * ; username-format * (W)
configure ; aaa domain * ; access-limit * (W)
Feature: snmpd (Snmpd related commands)
undebug snmp * (W)
debug snmp * (W)
clear snmp * (W)
……
表1-3 show role feature-group name命令输出信息描述表
| 字段 | 描述 |
| Feature group | 特性组的名称 |
| Feature | 特性的名称 |
| feature-name related commands | 特性关联命令 |
| commands (type) | 特性关联命令
● commands表示按照执行顺序列出特性关联命令的集合。其中的*表示相关参数,标点“;”用来区分不同的命令 ● type表示命令的类型,该字段取值为: ○ W:写类型的命令 ○ R:读类型的命令 ○ X:执行类型的命令 |
【提示信息】
无
【平台说明】
无
【相关命令】
无
1.14 vlan policy deny
【命令功能】
vlan policy deny命令用来配置禁止角色操作所有VLAN资源。
no vlan policy deny命令用来配置允许角色操作所有VLAN资源。
default vlan policy deny命令用来恢复缺省配置。
缺省情况下,允许角色操作所有VLAN资源。
【命令格式】
vlan policy deny
no vlan policy deny
default vlan policy deny
【参数说明】
无
【命令模式】
除用户模式以外的所有模式
【缺省级别】
15
【使用指导】
执行本命令可以禁止角色操作设备所有VLAN资源。VLAN资源主要包括VLAN的创建、删除和应用等操作,不包括VLAN查看操作。
【配置举例】
# 配置禁止角色admin-role操作设备所有VLAN资源。
Hostname> enable
Hostname# configure terminal
Hostname(config)# role name admin-role
Hostname(config-role)# vlan policy deny
【提示信息】
无
【常见错误】
无
【平台说明】
无
【相关命令】
1.15 vrf policy deny
【命令功能】
vrf policy deny命令用来配置禁止角色操作所有VRF资源。
no vrf policy deny命令用来配置允许角色操作所有VRF资源。
default vrf policy deny命令用来恢复缺省配置。
缺省情况下,允许角色操作所有VRF资源。
【命令格式】
vrf policy deny
no vrf policy deny
default vrf policy deny
【参数说明】
无
【命令模式】
除用户模式以外的所有模式
【缺省级别】
15
【使用指导】
执行本命令可以禁止角色操作设备所有VRF资源。VRF资源主要包括VRF的创建、删除和应用等操作,不包括VRF查看操作。
【配置举例】
# 配置禁止角色admin-role操作设备所有VRF资源。
Hostname> enable
Hostname# configure terminal
Hostname(config)# role name admin-role
Hostname(config-role)# vrf policy deny
【提示信息】
无
【常见错误】
无
【平台说明】
无
【相关命令】