交换机指定权限

可参考如下配置举例：

2. 组网需求

如图6所示，为了加强用户登录的安全性，要求用户在登录Switch时需要输入正确的密码才能登录成功。Telnet用户具有如下权限需求如下：

·     允许执行所有以display开头的命令。

·     允许执行创建VLAN以及进入VLAN视图后的相关命令，并只具有操作VLAN 10～VLAN 20的权限。

·     允许执行进入接口视图后的相关命令，并只具有操作接口Ten-GigabitEthernet1/0/10～Ten-GigabitEthernet1/0/20、Vlan-Interface10～Vlan-Interface16的权限。

图6 Telnet用户本地认证/授权配置组网图

3. 配置思路

·     缺省情况下，设备的Telnet服务处于关闭状态，在本例中需要开启设备的Telnet服务。

·     缺省情况下，VTY用户界面的认证方式为password，实际应用中可以直接设置用户的登录密码。

·     创建用户角色role1，并对Telnet用户授予该用户角色。

·     通过配置用户角色规则，限定Telnet用户可以执行的命令。

·     通过配置VLAN资源控制策略，限定Telnet用户可以操作的VLAN。

·     通过配置接口资源控制策略，限定Telnet用户可以操作的接口。

·     通过删除用户具有的缺省用户角色，确保Telnet用户仅使用授权的用户角色role1。

4. 配置注意事项

·     创建用户角色规则时，如果指定的规则编号不存在，则表示创建一条新的规则；如果指定编号的规则已存在，则表示对已有的规则进行修改。修改后的规则对于当前已经在线的用户不生效，对于之后使用该角色登录设备的用户生效。

·     一个用户角色中允许创建多条规则，各规则以创建时指定的编号为唯一标识，被授权该角色的用户可以执行的命令为这些规则定义的可执行命令的并集。若这些规则定义的权限内容有冲突，则规则编号大的有效。例如，规则1允许执行命令A，规则2允许执行命令B，规则3禁止执行命令A，则最终规则2和规则3生效，即禁止执行命令A，允许执行命令B。

5. 配置步骤

(1)     按照图6所示配置Switch的IP地址，并确保Telnet用户与Switch间路由可达

(2)     配置Telnet用户登录Switch的认证方式，详情请参见1.2.2  配置Telnet用户采用密码认证登录设备举例

(3)     创建用户角色role1，并配置用户角色规则

# 创建用户角色role1，进入用户角色视图。

<Switch> system-view

[Switch] role name role1

# 配置用户角色规则1，允许用户执行所有以display开头的命令。

[Switch-role-role1] rule 1 permit command display *

# 配置用户角色规则2，允许用户执行创建VLAN以及进入VLAN视图后的相关命令。

[Switch-role-role1] rule 2 permit command system-view ; vlan *

# 配置用户角色规则3，允许用户执行进入接口视图后的相关命令。

[Switch-role-role1] rule 3 permit command system-view ; interface *

(4)     为用户角色role1配置VLAN资源控制策略

# 进入用户角色VLAN策略视图，配置允许用户具有操作VLAN 10～VLAN 20的权限。

[Switch-role-role1] vlan policy deny

[Switch-role-role1-vlanpolicy] permit vlan 10 to 20

[Switch-role-role1-vlanpolicy] quit

(5)     为用户角色role1配置接口资源控制策略

# 进入用户角色接口策略视图，配置允许用户具有操作接口Ten-GigabitEthernet1/0/10～Ten-GigabitEthernet1/0/20、Vlan-Interface10～Vlan-Interface16的权限。

[Switch-role-role1] interface policy deny

[Switch-role-role1-ifpolicy] permit interface ten-gigabitethernet 1/0/10 to ten-gigabitethernet 1/0/20

[Switch-role-role1-ifpolicy] permit interface vlan-interface 10 to vlan-interface 16

[Switch-role-role1-ifpolicy] quit

[Switch-role-role1] quit

(6)     为Telnet用户配置授权的用户角色

# 为从VTY用户界面登录设备的用户配置授权的用户角色role1。

[Switch] user-interface vty 0 15

[Switch-ui-vty0-15] user-role role1

# 为保证Telnet用户仅使用授权的用户角色role1，删除VTY用户界面的缺省用户角色network-operator。

[Switch-ui-vty0-15] undo user-role network-operator

[Switch-ui-vty0-15] quit

可以参考这个https://zhiliao.h3c.com/Theme/details/139146