次に、ユーザ ロールを設定する例を示します。
role name User-role-A
rule 3 permit read-write feature l2nac
rule 2 permit read-write feature dot1x
rule 1 deny command clear *
次に、ホットスタンバイ ルータ プロトコル(HSRP)をイネーブルにして表示し、ゲートウェイ ロード バランシング プロトコル(GLBP)を表示するようにインターフェイスを設定できるユーザ ロールを作成する例を示します。
role name iftest
rule 1 permit command config t; interface *; hsrp *
rule 2 permit read-write feature hsrp
rule 3 permit read feature glbp
上の例では、ルール 1 はインターフェイス上の HSRP の設定を許可し、ルール 2 は config hsrp コマンドの設定と HSRP に対する EXEC レベルの show および debug コマンドのイネーブル化を許可し、さらにルール 3 は EXEC レベルの show および debug glbp コマンドのイネーブル化を許可します。
次に、特定のインターフェイスだけを設定できるユーザ ロールを設定する例を示します。
role name Int_Eth2-3_only
rule 1 permit command configure terminal; interface *
interface policy deny
permit interface Ethernet2/3
次に、ユーザ ロール機能グループを設定する例を示します。
role feature-group name Security-features
feature radius
feature tacacs
feature dot1x
feature aaa
feature l2nac
feature acl
feature access-list
次に、ユーザ アカウントを設定する例を示します。
username user1 password A1s2D4f5 role User-role-A
次に、アクセスを OID サブツリーの一部に制限するための OID ルールを追加する例を示します。
role name User1
rule 1 permit read feature snmp
rule 2 deny read oid 1.3.6.1.2.1.1.9
show role name User1
Role: User1
Description: new role
Vlan policy: permit (default)
Interface policy: permit (default)
Vrf policy: permit (default)
-------------------------------------------------------------------
Rule Perm Type Scope Entity
-------------------------------------------------------------------
2 deny read oid 1.3.6.1.2.1.1.9
1 permit read feature snmp
次に、指定された OID サブツリーへの書き込み権限を許可する例を示します。
role name User1
rule 3 permit read-write oid 1.3.6.1.2.1.1.5
show role name User1
Role: User1
Description: new role
Vlan policy: permit (default)
Interface policy: permit (default)
Vrf policy: permit (default)
-------------------------------------------------------------------
Rule Perm Type Scope Entity
-------------------------------------------------------------------
3 permit read-write oid 1.3.6.1.2.1.1.5
2 deny read oid 1.3.6.1.2.1.1.9
1 permit read feature snmp