1.1 適用產品係列

本案例適用於如S5500V2-34S-EI、S5500V2-28F-SI、S5530F-EI-D、S5560-54C-EI、S5560X-54C-PWR-EI、S5820V2-52Q、S5820V2-52QF-H3等S5500V2、S55X0、S58X0V2係列的交換機。   

1.2 配置需求

Switch管理VLAN是VLAN2，開啟了Telnet功能。Telnet用戶主機與Switch相連，需要實現Switch對不同的Telnet用戶進行分權管理。其中，admin用戶擁有最高管理權限，user1用戶隻有ping、tracert和display interface 查看接口信息權限。

2 組網圖

3.1 Switch配置

# 創建管理VLAN。

<H3C> system-view

#設置交換機係統名稱為Switch

[H3C]sysname Switch

[Switch] vlan 2

[Switch-vlan2]quit

# 設置交換機管理地址。

[Switch]interface Vlan-interface 2

[Switch-Vlan-interface2]ip address 1.1.1.1 255.255.255.0

[Switch-Vlan-interface2]quit

# 設置交換機連接Router的接口加入VLAN2。

[H3C]interface g1/0/1

[H3C-GigabitEthernet1/0/1]port link-type access

[H3C-GigabitEthernet1/0/1]port access vlan 2

[H3C-GigabitEthernet1/0/1]quit

# 開啟telnet功能。

[Switch]telnet server enable

# 配置使用帳號+密碼方式進行telnet認證。

[Switch]line vty 0 4

[Switch-line-vty0-4]authentication-mode scheme

[Switch-line-vty0-4]quit

# 創建admin帳號。

[Switch]local-user admin

# 配置帳號的服務類型為telnet。

[Switch-luser-manage-admin]service-type telnet

# 配置帳號的密碼為admin。

[Switch-luser-manage-admin]password simple admin

#賦予帳號最高權限。

[Switch-luser-manage-admin]authorization-attribute user-role level-15

[Switch-luser-manage-admin]quit

# 配置user1角色，定義隻能使用ping、tracert和display interface相關命令

[Switch]role name user1

[Switch-role-user1]rule 1 permit command ping *

[Switch-role-user1]rule 2 permit command tracert *

[Switch-role-user1]rule 3 permit command display interface *

[Switch-role-user1]quit

# 創建賬號user1。

[Switch]local-user user1

# 配置帳號的服務類型為telnet。                                        

[Switch-luser-manage-user1]service-type telnet

# 配置帳號的密碼為user1。

[Switch-luser-manage-user1]password simple user1

#賦予帳號擁有user1角色的權限。

[Switch-luser-manage-user1]authorization-attribute user-role user1

# 為保證用戶僅使用授權的用戶角色role1，刪除用戶user1具有的缺省用戶角色network-operator。

[Switch-luser-manage-user1]undo authorization-attribute user-role network-operator

[Switch-luser-manage-user1]quit

#保存配置

[Switch]save force

3.5 Router配置

#設置交換機係統名稱為Router

[H3C]sysname Router

#Router配置接口地址，保證能和Switch互通

[Router]interface GigabitEthernet 0/0

[Router-GigabitEthernet0/0]ip address 1.1.1.2 255.255.255.0

[Router-GigabitEthernet0/0]quit

#保存配置

[Router]save force

3.2 驗證配置

1）Router使用user1帳號 telnet登錄Switch測試，display 隻能查看接口的信息：

2）Router使用admin帳號 telnet登錄Switch測試，可以查看所有信息：