华为AAA认证用户的实际权限
华为网络设备在配置AAA认证时,有2个地方可以配置用户登录到系统后的权限等级:
1、local-user admin privilege level 15(AAA视图)
2、user privilege level 15(user-interface视图,如user-interface vty 0 4的vty视图)
到底最终以那种方式设置的等级为准呢,经过实验,结果如下:
1、如果其中一种未设置,则以设置的一方为准;
2、如果两个地方都设置了,则以AAA设置为准;
3、如果两个地方都未设置,则实际权限是最高15;
在通过disp user-interface命令查看时,Privi指的是通过user-interface视图设置的权限等级,如vty;ActualPrivi指的是最终的权限等级,这个必须相应的用户通过相应的方式登录到系统后才能反映出来,如通过console口登录到con 0接口。其他没有用户登录的接口则为”-“。
☆在配置telnet或ssh远程登录服务时,需要将其中一个vlan配置ip,并通过该ip来作为远程登录的ip地址。为什么要这么做呢,因为交换机作为二层设备,端口和设备都没有自己的ip地址,所以虚拟出一个三层的vlan端口,作为一个三层设备来登录。还有一个问题就是,远程登录是通过其中一个端口进行通信的(这个好像没得说),那么这个通信的端口一定是属于配置ip的vlan,否则,该端口不能跟vlan通信。