التحكم في الوصول المستند إلى دور Cisco IOS مع SDM: فصل إذن التكوين بين مجموعات التشغيل
المحتويات
المقدمة
يتم دعم وظائف التوجيه والأمان بشكل تقليدي في أجهزة منفصلة، مما يوفر تقسيم واضح لمسؤولية الإدارة بين البنية الأساسية للشبكة وخدمات الأمان. لا يوفر تقارب وظائف الأمان والتوجيه في موجهات الخدمات المدمجة من Cisco هذا الفصل الواضح متعدد الأجهزة. تحتاج بعض المؤسسات إلى فصل قدرة التكوين لتقييد العملاء أو مجموعات إدارة الخدمات على طول الحدود الوظيفية. طرق عرض واجهة سطر الأوامر (CLI)، وهي ميزة برنامج Cisco IOS®، تسعى إلى معالجة هذه الحاجة باستخدام الوصول إلى واجهة سطر الأوامر (CLI) المستندة إلى الدور. يصف هذا المستند التكوين الذي تم تعريفه بواسطة دعم SDM الخاص بالتحكم في الوصول المستند إلى دور Cisco IOS، ويقدم خلفية في إمكانات طرق عرض CLI من واجهة سطر الأوامر Cisco IOS.
المتطلبات الأساسية
المتطلبات
لا توجد متطلبات خاصة لهذا المستند.
المكونات المستخدمة
لا يقتصر هذا المستند على إصدارات برامج ومكونات مادية معينة.
تم إنشاء المعلومات الواردة في هذا المستند من الأجهزة الموجودة في بيئة معملية خاصة. بدأت جميع الأجهزة المُستخدمة في هذا المستند بتكوين ممسوح (افتراضي). إذا كانت شبكتك مباشرة، فتأكد من فهمك للتأثير المحتمل لأي أمر.
الاصطلاحات
راجع اصطلاحات تلميحات Cisco التقنية للحصول على مزيد من المعلومات حول اصطلاحات المستندات.
معلومات أساسية
تفوض العديد من المؤسسات المسؤولية عن صيانة اتصال التوجيه والبنية الأساسية إلى مجموعة عمليات الشبكة، والمسؤولية عن صيانة جدار الحماية والشبكة الخاصة الظاهرية ووظيفة منع التسلل إلى مجموعة عمليات أمنية. يمكن أن تقيد طرق عرض واجهة سطر الأوامر (CLI) تكوين وظائف الأمان وإمكانية المراقبة لمجموعة SECOPS، وتقيد اتصال الشبكة والتوجيه والمهام الأخرى للبنية الأساسية في مجموعة عمليات الشبكة.
يريد بعض موفري الخدمة توفير قدرة تهيئة أو مراقبة محدودة للعملاء، ولكن لا يسمحون للعملاء بتكوين إعدادات جهاز أخرى أو عرضها. مرة أخرى، توفر طرق عرض واجهة سطر الأوامر (CLI) التحكم المتكبر في إمكانية واجهة سطر الأوامر (CLI) لتقييد المستخدمين أو مجموعات المستخدمين لتنفيذ الأوامر المصرح بها فقط.
قام برنامج Cisco IOS software بتوفير إمكانية تقييد أوامر CLI باستخدام خادم TACACS+ للتخويل للسماح أو الرفض من إمكانية تنفيذ أوامر CLI استنادا إلى اسم المستخدم أو عضوية مجموعة المستخدم. توفر طرق عرض واجهة سطر الأوامر (CLI) إمكانية مماثلة، ولكن يتم تطبيق التحكم في السياسة بواسطة الجهاز المحلي بعد تلقي طريقة العرض المحددة للمستخدم من خادم AAA. عند إستخدام تفويض أوامر AAA، يجب أن يتم تخويل كل أمر بشكل فردي بواسطة خادم AAA، وهو ما يتسبب في حدوث حوار متكرر بين الجهاز وخادم AAA. تسمح طرق عرض واجهة سطر الأوامر (CLI) لكل جهاز بالتحكم في سياسة واجهة سطر الأوامر (CLI)، في حين يطبق تفويض أوامر AAA نفس سياسة تفويض الأوامر على جميع الأجهزة التي يصل إليها المستخدم.
التكوين
في هذا القسم، تُقدّم لك معلومات تكوين الميزات الموضحة في هذا المستند.
ملاحظة: أستخدم أداة بحث الأوامر (للعملاء المسجلين فقط) للحصول على مزيد من المعلومات حول الأوامر المستخدمة في هذا القسم.
إقران المستخدمين بطريقة عرض
يمكن إقران المستخدمين بعرض واجهة سطر أوامر (CLI) محلي بسمة إرجاع من المصادقة والتفويض والمحاسبة (AAA) أو في تكوين المصادقة المحلية. بالنسبة للتكوين المحلي، يتم تكوين اسم المستخدم باستخدام خيار عرض إضافي، ويطابق اسم عرض المحلل الذي تم تكوينه. يتم تكوين هؤلاء المستخدمين على سبيل المثال لطرق عرض إدارة قاعدة بيانات المحول (SDM) الافتراضية:
username fw-user privilege [privilege-level] view SDM_Firewall username monitor-user privilege [privilege-level] view SDM_Monitor username vpn-user privilege [privilege-level] view SDM_EasyVPN_Remote username sdm-root privilege [privilege-level] view root
يمكن للمستخدمين الذين تم تعيينهم لطريقة عرض معينة التبديل مؤقتا إلى طريقة عرض أخرى إذا كانت لديهم كلمة المرور لطريقة العرض التي يرغبون في إدخالها. قم بإصدار أمر EXEC هذا لتغيير طرق العرض:
enable view view-name
تكوين طريقة عرض المحلل
يمكن تكوين طرق عرض واجهة سطر الأوامر (CLI) للموجه من واجهة سطر الأوامر، أو من خلال إدارة قاعدة بيانات المحول (SDM). توفر إدارة قاعدة بيانات المحول (SDM) دعما ثابتا لأربع طرق عرض، كما هو موضح في قسم دعم طرق عرض واجهة سطر الأوامر (CLI) لإدارة قاعدة بيانات المحول (SDM). لتكوين طريقة عرض واجهة سطر الأوامر (CLI) من واجهة سطر الأوامر، يجب تعريف المستخدم كمستخدم طريقة عرض جذر، أو يجب أن ينتمي إلى طريقة العرض مع الوصول إلى تكوين طريقة عرض المحلل. يتلقى المستخدمون غير المقترنين بطريقة عرض والذين يحاولون تكوين طرق العرض هذه الرسالة:
router(config#parser view test-view No view Active! Switch to View Context
تتيح طرق عرض واجهة سطر الأوامر (CLI) إمكانية تضمين أو إستبعاد التدرجات الهرمية الكاملة للأوامر لكل من أوضاع المسؤولين التنفيذيين وأوضاع التكوين، أو أجزاء منها فقط. تتوفر ثلاثة خيارات للسماح بتدرج أوامر أو أوامر أو عدم السماح به في طريقة عرض معينة:
router(config-view)#commands configure ? exclude Exclude the command from the view include Add command to the view include-exclusive Include in this view but exclude from others
تقوم طرق عرض واجهة سطر الأوامر (CLI) باقتطاع running-config حتى لا يتم عرض تكوين طريقة عرض المحلل. ومع ذلك، يكون تكوين "طريقة عرض المحلل" مرئيا في startup-config.
ارجع إلى وصول CLI المستند إلى الدور للحصول على مزيد من المعلومات حول تعريف طريقة العرض.
التحقق من اقتران طريقة عرض المحلل
يمكن للمستخدمين الذين تم تعيينهم لطريقة عرض المحلل تحديد طريقة العرض التي تم تعيينها لهم عند تسجيل دخولهم إلى الموجه. إذا كان أمر عرض المحلل مسموح به لطرق عرض المستخدمين، يمكنهم إصدار الأمر show parser view لتحديد طريقة العرض الخاصة بهم:
router#sh parser view Current view is 'SDM_Firewall'
دعم طرق عرض واجهة سطر الأوامر (CLI) ل SDM
توفر إدارة قاعدة بيانات المحول (SDM) ثلاثة طرق عرض افتراضية، وعرضا لتكوين مكونات جدار الحماية والشبكة الخاصة الظاهرية (VPN) ومراقبتها، وعرضا مقيدا واحدا للمراقبة فقط. كما تتوفر طريقة عرض جذر افتراضية إضافية في إدارة قاعدة بيانات المحول (SDM) أيضا.
لا توفر إدارة قاعدة بيانات المحول (SDM) إمكانية تعديل الأوامر المضمنة في كل طريقة عرض افتراضية أو المستبعدة منها، ولا توفر أية إمكانية لتحديد طرق عرض إضافية. إذا تم تحديد طرق عرض إضافية من واجهة سطر الأوامر (CLI)، فإن إدارة قاعدة بيانات المحول (SDM) لا توفر طرق العرض الإضافية في لوحة تكوين حسابات/طرق عرض المستخدم الخاصة بها.
تم تحديد طرق العرض هذه وأذونات الأمر المقابلة مسبقا لإدارة قاعدة بيانات المحول (SDM):
طريقة عرض SDM_Firewall
parser view SDM_Firewall secret 5 $1$w/cD$T1ryjKM8aGCnIaKSm.Cx9/ commands interface include all ip inspect commands interface include all ip verify commands interface include all ip access-group commands interface include ip commands interface include description commands interface include all no ip inspect commands interface include all no ip verify commands interface include all no ip access-group commands interface include no ip commands interface include no description commands interface include no commands configure include end commands configure include all access-list commands configure include all ip access-list commands configure include all interface commands configure include all zone-pair commands configure include all zone commands configure include all policy-map commands configure include all class-map commands configure include all parameter-map commands configure include all appfw commands configure include all ip urlfilter commands configure include all ip inspect commands configure include all ip port-map commands configure include ip cef commands configure include ip commands configure include all crypto commands configure include no end commands configure include all no access-list commands configure include all no ip access-list commands configure include all no interface commands configure include all no zone-pair commands configure include all no zone commands configure include all no policy-map commands configure include all no class-map commands configure include all no parameter-map commands configure include all no appfw commands configure include all no ip urlfilter commands configure include all no ip inspect commands configure include all no ip port-map commands configure include no ip cef commands configure include no ip commands configure include all no crypto commands configure include no commands exec include all vlan commands exec include dir all-filesystems commands exec include dir commands exec include crypto ipsec client ezvpn connect commands exec include crypto ipsec client ezvpn xauth commands exec include crypto ipsec client ezvpn commands exec include crypto ipsec client commands exec include crypto ipsec commands exec include crypto commands exec include write memory commands exec include write commands exec include all ping ip commands exec include ping commands exec include configure terminal commands exec include configure commands exec include all show commands exec include all debug appfw commands exec include all debug ip inspect commands exec include debug ip commands exec include debug commands exec include all clear
SDM_EasyVPN_Remote View
parser view SDM_EasyVPN_Remote secret 5 $1$UnC3$ienYd0L7Q/9xfCNkBQ4Uu. commands interface include all crypto commands interface include all no crypto commands interface include no commands configure include end commands configure include all access-list commands configure include ip radius source-interface commands configure include ip radius commands configure include all ip nat commands configure include ip dns server commands configure include ip dns commands configure include all interface commands configure include all dot1x commands configure include all identity policy commands configure include identity profile commands configure include identity commands configure include all ip domain lookup commands configure include ip domain commands configure include ip commands configure include all crypto commands configure include all aaa commands configure include default end commands configure include all default access-list commands configure include default ip radius source-interface commands configure include default ip radius commands configure include all default ip nat commands configure include default ip dns server commands configure include default ip dns commands configure include all default interface commands configure include all default dot1x commands configure include all default identity policy commands configure include default identity profile commands configure include default identity commands configure include all default ip domain lookup commands configure include default ip domain commands configure include default ip commands configure include all default crypto commands configure include all default aaa commands configure include default commands configure include no end commands configure include all no access-list commands configure include no ip radius source-interface commands configure include no ip radius commands configure include all no ip nat commands configure include no ip dns server commands configure include no ip dns commands configure include all no interface commands configure include all no dot1x commands configure include all no identity policy commands configure include no identity profile commands configure include no identity commands configure include all no ip domain lookup commands configure include no ip domain commands configure include no ip commands configure include all no crypto commands configure include all no aaa commands configure include no commands exec include dir all-filesystems commands exec include dir commands exec include crypto ipsec client ezvpn connect commands exec include crypto ipsec client ezvpn xauth commands exec include crypto ipsec client ezvpn commands exec include crypto ipsec client commands exec include crypto ipsec commands exec include crypto commands exec include write memory commands exec include write commands exec include all ping ip commands exec include ping commands exec include configure terminal commands exec include configure commands exec include all show commands exec include no commands exec include all debug appfw commands exec include all debug ip inspect commands exec include debug ip commands exec include debug commands exec include all clear
طريقة عرض SDM_Monitor
parser view SDM_Monitor secret 5 $1$RDYW$OABbxSgtx1kOozLlkBeJ9/ commands configure include end commands configure include all interface commands configure include no end commands configure include all no interface commands exec include dir all-filesystems commands exec include dir commands exec include all crypto ipsec client ezvpn commands exec include crypto ipsec client commands exec include crypto ipsec commands exec include crypto commands exec include all ping ip commands exec include ping commands exec include configure terminal commands exec include configure commands exec include all show commands exec include all debug appfw commands exec include all debug ip inspect commands exec include debug ip commands exec include debug commands exec include all clear
التحقق من الصحة
لا يوجد حاليًا إجراء للتحقق من صحة هذا التكوين.
استكشاف الأخطاء وإصلاحها
لا تتوفر حاليًا معلومات محددة لاستكشاف الأخطاء وإصلاحها لهذا التكوين.
معلومات ذات صلة
محفوظات المراجعة
| المراجعة | تاريخ النشر | التعليقات |
|---|---|---|
1.0 |
12-May-2008 |
الإصدار الأولي |
التعليقات