H3C总代理商,华为代理商欢迎您!
官方微信 设为首页 联系方式

全国咨询服务电话

15378180513 

企业新闻

联系我们

客户至上

成都达锐斯科技有限公司
地址:成都市武候区人民南路4段53号嘉云台丙栋7楼

电话:15378180513

联系人:

邮箱:3511891@qq.com

官网:http://cdh3c.com

企业新闻

当前位置: 首页>>企业新闻

华为S5000交换机命令等级修改

       命令级别与用户级别相对对应,用户只可以执行等级等于或低于自己等级的命令。华为设备默认命令级别为0~3级,用户级别为0~15级,3~15级用户为管理员级别,用户执行命令情况如下:

  0级用户只可以执行0级(参观级)命令;

  1级用户可以执行1级(监控级)命令和0级命令;

  2级用户可以执行2级(配置级)命令及2级以下命令;

  3~15级用户可以执行3级(管理级)及3级以下命令,在不改变命令级别的情况下,可以理解为3~15级用户权限相同。

  为实现用户精细化管理,可以使用命令command-privilege level rearrange批量提升命令级别,再单独调整需要控制的命令。

  全局下使用命令command-privilege level rearrange批量提升命令级别,对于没有单独调整过级别的命令,批量提升命令级别后,按以下原则自动调整:

  ①0级和1级命令保持不变;

  ②2级命令提升到10级,3级命令提升到15级;

  ③2~9级和11~14级这些命令级别中没有命令行。用户可以单独调整需要的命令行到这些级别中,以实现用户权限的精细化管理。

  客户要求交换机操作用户可以精细化管理,仅能操作相关命令,例如客户要求等级为2的用户只能操作物理接口下简单配置命令,如关闭开启端口和修改端口类型等,可以执行如下操作:

  1. aaa视图下创建level 2的用户:

  local-user test1 privilege level 2

  2. 批量提升命令级别:

  全局下使用命令command-privilege level rearrange

  3. 修改相关命令级别:

  command-privilege level 2 view shell system-view //用户视图模式下可进入系统模式

  command-privilege level 2 view system interface GigabitEthernet 0/0/1 //系统模式下可以进入相关接口,逻辑口和物理口是同一个参数,命令行粒度细化不到具体的接口,此处GigabitEthernet 0/0/1只是一个参数。该命令后的接口随便配置为本设备的任何一个物理接口或者eth-trunk接口或者vlanif接口之后,其他的任何接口(物理接口、逻辑接口)都可以进入,比如配置 GigabitEthernet 0/0/1 口,其他的物理接口、eth-trunk接口、vlanif接口、loopback接口等都可以进入;或者比如配置vlanif 1,其他的物理接口、eth-trunk接口、loopback接口等都可以进入;

  command-privilege level 2 view gigabitethernet-l2 shutdown //此处注意是gigabitethernet-l2,不是gigabitethernet

  command-privilege level 2 view gigabitethernet-l2 undo shutdown //华为设备默认没有undo动作,需手动添加,其他命令都需如此

  command-privilege level 2 view gigabitethernet-l2 port link-type trunk

  command-privilege level 2 view gigabitethernet-l2 port trunk allow-pass vlan 1 to 1 // 此处的1只是个参数,配置后其他vlan都可以放行,参数改为其他vlan也可以。

  command-privilege level 2 view gigabitethernet-l2 port link-type access

  command-privilege level 2 view gigabitethernet-l2 port default vlan 1 //此处的1只是个参数,配置后其他vlan都可以放行;

  特别注意对于参数一样的命令有覆盖效果,但配置命令都会显示,如:

  command-privilege level 1 view gigabitethernet-l2 port default vlan 1

  command-privilege level 1 view gigabitethernet-l2 port default vlan 2

  以上两条命令都可以执行且都显示,但作用是一样的,如果此时再执行:

  undo command-privilege level 1 view gigabitethernet-l2port default vlan 2

  设备较后显示的结果是

  command-privilege level 1 view gigabitethernet-l2 port default vlan 1

  之前执行的第二条命令已删除,表面上看是正常的,但此时该命令其实已失效,因为上一条undo命令已经恢复了port default vlan的命令级别,如果想保持修改该命令级别,需再执行一次command-privilege level 1 view gigabitethernet-l2 port default vlan 1。

友情链接

新华三集团 思科

公司地址

ADDRESS

成都市武候区人民南路4段53号嘉云台丙栋7楼

服务电话

HOTTELEPHONE
  • 15378180513
公司简介
产品展示
H3C交换机
H3C路由器
思科交换机
思科路由器
华为交换机
企业新闻
技术文档
  • 扫一扫,加微信

Copyright © 2023 达锐斯科技 川公网安备 51010802000119号 XML地图

蜀ICP备2020034250号-1 技术支持: 网站模板