华为AAA认证用户的实际权限

  华为网络设备在配置AAA认证时，有2个地方可以配置用户登录到系统后的权限等级：

  1、local-user admin privilege level 15(AAA视图）

  2、user privilege level 15（user-interface视图，如user-interface vty 0 4的vty视图）

  到底最终以那种方式设置的等级为准呢，经过实验，结果如下：

  1、如果其中一种未设置，则以设置的一方为准；

  2、如果两个地方都设置了，则以AAA设置为准；

  3、如果两个地方都未设置，则实际权限是最高15；

  在通过disp user-interface命令查看时，Privi指的是通过user-interface视图设置的权限等级，如vty;ActualPrivi指的是最终的权限等级，这个必须相应的用户通过相应的方式登录到系统后才能反映出来，如通过console口登录到con 0接口。其他没有用户登录的接口则为”-“。

  ☆在配置telnet或ssh远程登录服务时，需要将其中一个vlan配置ip，并通过该ip来作为远程登录的ip地址。为什么要这么做呢，因为交换机作为二层设备，端口和设备都没有自己的ip地址，所以虚拟出一个三层的vlan端口，作为一个三层设备来登录。还有一个问题就是，远程登录是通过其中一个端口进行通信的（这个好像没得说），那么这个通信的端口一定是属于配置ip的vlan，否则，该端口不能跟vlan通信。