华为交换机VRP命令级别与用户级别

为了增加设备命令行使用的安全性, 在VRP系统中把所有命令分成了许多个不同的级别, 使具有不同权限的用户可以使用不同级别的命令。 不同级别的用户登录后, 只能使用等于或低于自己级别所能使用的命令。

1.用户级别与命令级别

缺省情况下, VRP系统命令级别按0~3级进行注册, 用户级别按0~15级进行注册,用户级别和命令级别的对应关系见表1。

1 VRP用户级别和命令级别对应关系

2.命令级别修改

如果用户需要实现权限的精细管理, 可以通过以下两种方法提升某些命令的命令级别。 但建议用户不要修改缺省的命令级别, 以免造成命令级别和用户级别对应关系配置的混乱, 给操作和维护上带来诸多不便, 甚至给设备带来安全隐患。
方法一: 使用command-privilege level rearrange命令(需要用户确保自己的级别为15级, 否则无法执行该命令) 将所有缺省注册为2、 3级的命令对应提升到10和15级。原来的0级和1级命令保持级别不变, 2~9级和11~14级这些命令级别中没有命令。 用户可以单独调整需要的命令到这些级别中, 以实现用户权限的精细化管理。
注意
被提升的命令必须是没有被 command-privilege level level view view-name commandkey 命令单独修改过, 否则这些命令将维持原来的级别不变。 可通过 undo commandprivilege level rearrange命令将原来批量提升到10或15级别的命令重新恢复到2或3级。 但要注意, 命令级别恢复的操作对象只能是原来已被command-privilege level rearrange命令批量提升的命令, 被command-privilege level level view view-name command-key命令单独修改过的命令仍维持原来的级别不变。
在执行command-privilege level rearrange命令之后, 原2~9级用户将无法执行默认注册为2级的命令行, 原3~14级用户将无法执行默认注册为3级的命令行, 因为这些命令级别已被提升到了10级和15级。 但执行undo command-privilege level rearrange命令之后,原3~14级用户将可以执行默认注册为3级的命令行, 原2~9级用户将可以执行默认注册为2级的命令行。
命令级别批量提升以后, undo command-privilege level rearrange命令本身的级别被调整到了15级(它原来为3级命令) , 所以应该确保执行此命令的用户级别是15级。 在没
有被恢复之前, 如果用户再次执行command-privilege level rearrange命令进行命令级别批量提升操作, 此操作将会无效, 所有命令的级别都将不会改变。
【示例1】 将所有命令级别批量提升, 即将所有缺省注册为2、 3级的命令, 分别批量提升到10、 15级。

<HUAWEI> system-view
[HUAWEI] command-privilege level rearrange
You have not set the super password corresponding to a Level 15 user.
It is recommended to quit the operation and set the password.
Are you sure to continue ?[ Y / N ] y
Info: The Command levels have been upgraded in batch !

方法二: 使用command-privilege level level view v iew-name command-key命令将指定的命令提升到指定的命令级别。 命令的参数说明如下。
■ level: 指定命令新的命令级别, 取值范围为0~15的整数。
■ view-name: 指定要调整命令级别的命令所对应的命令行视图名称。 shell表示用户视图, system表示系统视图, vlan表示VLAN视图等。
■ command-key: 指定要调整命令级别的具体命令(是可执行的具体命令, 不是带可变值参数的命令) , 如果命令中包含多个关键字或参数, 必须按照关键字或参数的执行顺序依次指定, 否则配置无法生效, 参数值必须在对应参数取值范围内。
缺省情况下, ping、 tracert、 telnet等为访问级(0级) ;display为监控级(1级) ; 大部分的配置命令为配置级(2级) ; 用户密钥设置、 FTP、 XModem、 TFTP以及文件系统操作的命令为管理级(3 级) 。 使用 undo command-privilege [level level] view view-name command-key命令和undo command-privilege view view-name command-key命令都可以取消当前的设置, 建议用户使用 undo command-privilege view view-name command-key命令格式。
注意
使用此命令行设置指定视图内命令级别的规则如下。
■ 对目标命令行进行降级时, 命令行中所有关键字都会降级。
■ 对目标命令行进行升级时, 只有命令行中的最后一个关键字会升级。
■ 对目标命令行设置命令行级别时, 则相同视图下的所有以此目标命令行为首的命令行级别都会被改变。 如改变了系统视图下的ospf命令的级别, 则所有在系统视图下以ospf为首的命令(如ospf cost、 ospf enable、 ospf bfd等 ) 的级别也会随之改变。
■ 对目标命令行设置命令行级别时, 和变更级别的关键字索引相同的其他命令中关键
字级别也会被改变。 如改变interface gigabitethernet 0/0/1命令的级别后, 进入其他接口的interface命令的级别也会随之改变。
■ 此命令有覆盖作用, 索引相同的关键字级别如果被多次修改, 则最后一次修改的级别生效。
【示例2】 将reboot命令的用户访问级别提高到15级。

system-view
[HUAWEI] command-privilege level 15 view shell reboot

【示例3】 取消设置reboot命令的用户访问级别是15级。

system-view
[HUAWEI] undo command-privilege view shell reboot

【示例4】 提升display nqa results命令的级别为3。

system-view
[HUAWEI] command-privilege level 3 view shell display nqa results

【示例5】 降低interface gigabitethernet 0/0/1命令的级别为0。

system-view
[HUAWEI] command-privilege level 0 view system interface gigabitethernet 0/0/1

发表评论