一、用户级别
命令级别是设备系统命令采用的分级保护方式,从低到高分为16个级别。用户可以通过命令级别,对设备实现权限的精细管理。
缺省情况下,命令按如下0~3级进行注册。一般情况下,管理员级别为3级。
0级,访问级:网络诊断工具命令(ping、tracert)、从本设备出发访问外部设备的命令(包括:Telnet客户端、SSH)等。
1级,监控级:用于系统维护,包括display等命令。
2级,配置级:业务配置命令,包括路由、各个网络层次的命令,向用户提供直接网络服务。
3级,管理级:用于系统基本运行的命令,对业务提供支撑作用,包括文件系统、FTP、TFTP下载、配置文件切换命令、用户管理命令、命令级别设置命令、系统参数设置命令;用于业务故障诊断的debugging命令等。
如果用户需要实现权限的精细管理,可以将命令级别提升到0~15级。管理员只能执行命令级别小于等于管理员级别的命令。例如缺省情况下,2级管理员只能执行0~2级的命令,3~15级的管理员可以执行所有命令。
二、用户页面
这里要介绍两种用户页面,分别是Console用户界面和虚拟类型终端VTY用户界面,Console用户界面用来管理和监控通过Console口登录的用户;而VTY用户界面用来管理和监控通过Telnet或STelnet方式登录的用户,即当用户通过终端与设备建立连接后,建立了一条VTY通道(每台设备最多支持15个VTY用户同时访问)。这里所说的用户页面,是当用户访问时形成的一种页面,在这个页面里受其约束,而同一用户登录的方式不同,分配的用户界面不同,即与用户级别有关。
三、用户页面的命令
用户页面的配置命令如下:
1、Console用户界面
在进入系统视图后,输入命令user-interface console 0,进入Console用户界面视图,这里对配置与数据传输、界面显示相关的属性省略,因为我们用默认值就行了。
[Huawei]user-interface console 0
在PC机的串口命令行中配置:
2、虚拟类型终端VTY用户界面(远程登陆)
在进入下图视图后,输入命令user-interface vty 0 4,进入虚拟类型终端VTY用户界面。这将在下一章讲述。
[Huawei]user-interface vty 0 4
四、用户界面的用户认证
在进入用户页面后,要对用户进行认证,以下由两种方式对设备进行配置,分别是password模式和AAA模式。
以下两种模式都是在PC2的串口里进行操作的,打开PC机后点击连接。
1、password模式
(1)进入Console用户界面
在系统视图下,进入Console用户界面,输入命令user-interface console 0。
[Huawei]user-interface console 0
(2)设置模式
password模式即为密码认证,在进入接口视图后,输入命令authentication-mode password。
[Huawei-ui-console0]authentication-mode password
(3)配置密码
输入命令set authentication password cipher 密码,配置的是密文密码;输入命令set authentication password simple 密码,配置的是明文密码。然后在登录时需要用户输入与设备配置正确的密码认证才能通过。(这里的密文密码是通过技术加密处理过的字符串,采用的密文密码技术,展示给用户的都是*,而明文密码是可直接给用户看到的。)
[Huawei-ui-console0]set authentication password cipher huawei //配置密文密码为huawei
在PC机的串口命令行中配置:
(4)配置用户级别
输入命令user privilege level 级别,配置用户级别。缺省情况下,Console口用户界面的用户级别为15。根据上面所介绍的用户级别,例配置级别为3:
[Huawei-ui-console0]user privilege level 3
配置用户级别:
2、AAA模式
AAA是认证(Authentication)、授权(Authorization)和计费(Accounting)的简称,是网络安全中进行访问控制的一种安全管理机制,提供认证、授权和计费三种安全服务。
AAA模式登录时需输入用户名和密码,当用户输入信息与设备所配置的用户名和密码正确时才能通过。如果对用户采用AAA认证,登录到设备的用户所能访问的命令级别由AAA配置信息中本地用户的级别决定。缺省情况下,AAA本地用户的级别为0。
(1)进入Console用户界面
在系统视图下,进入Console用户界面,输入命令user-interface console 0。
[Huawei]user-interface console 0
(2)设置模式
这里与密码认证有些不一样,在进入接口视图后,输入命令authentication-mode aaa,即将password替换为aaa。
[Huawei-ui-console0]authentication-mode aaa
(3)进入AAA视图
此时,退回系统视图,输入命令aaa,进入AAA视图。
[Huawei]aaa
(4)配置用户名和密码
在AAA视图下,输入命令local-user 用户名 password cipher/simple 密码,配置密文或者明文密码。在登录时需要用户输入与设备配置正确的用户名和密码认证才能通过。例配置用户名为HUAWEI,密文密码为123456,如下图:
[Huawei-aaa]local-user HUAWEI password cipher 123456 //配置用户名为HUAWEI,密码为123456
下面提示“Info:Add a new user”,则表示添加新用户成功。
(5)配置用户级别
输入命令local-user 用户名 privilege level 级别,配置用户级别。例下图配置级别为3:
[Huawei-aaa]local-user HUAWEI privilege level 3
然后我们返回测试下所配置的情况,以下是aaa模式配置的全部命令:
我们退出,测试一下,此时弹出Username,即输入用户名,之后输入密码(用户名为HUAWEI,密码为123456):
输入正确,此时进入到了用户视图,如果用户名或者密码输入错误,会有以下显示,提示拒接接入:
六、查看信息
可以通过输入命令dis cu,即 display current-configuration 来查看交换机当前的全局配置信息。
七、配置用户级别(分割线,7-30更新)
这里再详细说一下用户级别,即设置不同的用户级别,其有不同的权限进行访问。
| 用户级别 | 名称 | 是否能进入系统视图 | 保存配置文件 |
| 0 | 参观级 | × | × |
| 1 | 监控级 | ✔ | × |
| 2 | 配置级 | ✔ | ✔ |
| 3~15 | 管理级 | ✔ | ✔ |
