wx5560H

自定義權限，參考

如圖1-1所示，Telnet用戶主機與AC相連，需要實現AC對Telnet用戶進行本地認證並授權用戶角色。Telnet用戶的登錄用戶名為user1@bbb，認證通過後被授權的用戶角色為role1。

role1具有如下用戶權限：

·     允許用戶執行所有特性中讀類型的命令；

·     允許用戶執行創建VLAN以及進入VLAN視圖後的相關命令，並隻具有操作VLAN 10～VLAN 20的權限。

2. 組網圖

圖1-1 Telnet用戶本地認證/授權配置組網圖

‌

3. 配置步驟

# 配置VLAN接口2的IP地址，Telnet用戶將通過該地址連接AC。

<AC> system-view

[AC] interface vlan-interface 2

[AC-Vlan-interface2] ip address 192.168.1.70 255.255.255.0

[AC-Vlan-interface2] quit

# 開啟AC的Telnet服務器功能。

[AC] telnet server enable

# 配置Telnet用戶登錄采用AAA認證方式。

[AC] line vty 0 31

[AC-line-vty0-31] authentication-mode scheme

[AC-line-vty0-31] quit

# 配置ISP域bbb的AAA方法為本地認證和本地授權。

[AC] domain bbb

[AC-isp-bbb] authentication login local

[AC-isp-bbb] authorization login local

[AC-isp-bbb] quit

# 創建用戶角色role1。

[AC] role name role1

# 配置用戶角色規則1，允許用戶執行所有特性中讀類型的命令。

[AC-role-role1] rule 1 permit read feature

# 配置用戶角色規則2，允許用戶執行創建VLAN以及進入VLAN視圖後的相關命令。

[AC-role-role1] rule 2 permit command system-view ; vlan *

# 進入VLAN策略視圖，允許用戶具有操作VLAN 10～VLAN 20的權限。

[AC-role-role1] vlan policy deny

[AC-role-role1-vlanpolicy] permit vlan 10 to 20

[AC-role-role1-vlanpolicy] quit

[AC-role-role1] quit

# 創建設備管理類本地用戶user1。

[AC] local-user user1 class manage

# 配置用戶的密碼是明文的aabbcc。

[AC-luser-manage-user1] password simple aabbcc

# 指定用戶的服務類型是Telnet。

[AC-luser-manage-user1] service-type telnet

# 指定用戶user1的授權角色為role1。

[AC-luser-manage-user1] authorization-attribute user-role role1

# 為保證用戶僅使用授權的用戶角色role1，刪除用戶user1具有的缺省用戶角色network-operator。

[AC-luser-manage-user1] undo authorization-attribute user-role network-operator

[AC-luser-manage-user1] quit