使用本地用户认证进行Console登录

应用环境 
缺省情况下，任何人都可以通过Console口对路由器进行配置。然而实际应用中，我们并不希望任何人都有权限修改路由器的配置。我们希望把权限做如下分配： 

参观级，只能使用网络诊断命令（tracert和ping）和终端服务命令(telnet和SSH)。 
监控级，在参观级的基础上增加系统维护命令（display）和故障诊断命令(debugging)。 
配置级，在监控级的基础上增加业务配置命令。 
管理级，在配置级的基础上增加系统管理命令和文件管理命令。 
为了能够把权限做上述分配，需要为每个级别创建一个或多个用户。用户有4个级别，分别对应上述的四个级别，0级用户对应参观级，1级用户对应监控级，2级用户对应配置级，3级用户对应管理级。 

当需要对路由器进行配置时，只有使用具有相应级别的用户登录，才能进行相应配置。例如：要对路由器配置VPN业务，就需要使用不低于2级的用户登录。 

配置思路 
在使用本地用户认证进行Console登录时，采用如下的配置思路： 

1.         在Console用户接口下使能AAA验证。 

2.         配置4个本地用户，用户级别分别为0～3。 

3.         保存配置。 

配置注意事项 
在Console用户接口下使能AAA验证后，一定要配置本地用户。 

配置实例 
组网需求 
使用配置电缆连接路由器的Console口和PC的COM口，要求下次使用Console口登录时，进行本地用户验证。 

适用产品和版本 
采用NE40E/80E/5000E路由器，版本为(VRP5.10)及后续版本 

配置步骤 
步骤 1     在Console用户接口下使能AAA验证。 

<Quidway> system-view 

[Quidway] user-interface console 0 

[Quidway-ui-console0] authentication-mode aaa 

[Quidway-ui-console0] quit 

步骤 2     创建四个本地用户，用户级别分别为0～3。 

# 创建本地用户user1，密码为user1，密码为密文方式，用户级别为0。 

[Quidway] aaa 

[Quidway-aaa] local-user user1 password cipher user1 

[Quidway-aaa] local-user user1 level 0 

# 创建本地用户user2，密码为user2，密码为密文方式，用户级别为1。 

[Quidway-aaa] local-user user2 password cipher user2 

[Quidway-aaa] local-user user2 level 1 

# 创建本地用户user3，密码为user3，密码为密文方式，用户级别为2。 

[Quidway-aaa] local-user user3 password cipher user3 

[Quidway-aaa] local-user user3 level 2 

# 创建本地用户user4，密码为user4，密码为密文方式，用户级别为3。 

[Quidway-aaa] local-user user4 password cipher user4 

[Quidway-aaa] local-user user4 level 3 

[Quidway-aaa] quit 

[Quidway] quit 

步骤 3     保存配置结果 

<Quidway> save 

验证结果 
如果配置成功，则： 

# 再次使用Console口登录时显示如下信息。 

*********************************************************** 

*           All rights reserved (2000-2005)                     * 

*       Without the owner’s prior written consent,            * 

* no decompiling or reverse-engineering shall be allowed.  * 

* Notice:                                                            * 

*      This is a private communication system.                 * 

*   Unauthorized access or use may lead to prosecution.     * 

*********************************************************** 

  

User interface con0 is available 

  

  

  

Please Press ENTER.   

输入回车后，提示输入用户名。 

Login authentication 

  

  

Username: 

# 使用本地用户user1登录后，执行system-view命令，显示信息如下： 

<Quidway> system-view 

         ^ 

Error:Unrecognized command found at ’^’ position. 

没有权限使用system-view命令。 

# 输入tracert命令后加“？”显示信息如下： 

<Quidway> tracert ? 

  -a             Select source ip address 

  -f             First time to live 

  -m             Maximum time to live 

  -p             UDP port number 

  -q             Number of probe packet 

  -vpn-instance  Specify VPN-Instance of MPLS VPN 

  -w             Timeout in milliseconds to wait for each reply 

  STRING<1-20>   IP address or hostname of a remote system 

  lsp            LSP traceroute 

说明可以执行tracert命令。 

# 使用其它本地用户登录后，都没有权限使用高于该用户权限的命令。 

配置文件 
# 

 sysname Quidway 

# 

aaa 

 local-user user1 password cipher 0`FUW8DO]`3Q=^Q`MAF4<1!! 

 Local-user user1 level 0 

 local-user user2 password cipher YP0"La;S8%#Q=^Q`MAF4<1!! 

 Local-user user2 level 1 

 local-user user3 password cipher ;]Z’[C6U$^KQ=^Q`MAF4<1!! 

 Local-user user3 level 2 

 local-user user4 password cipher $C2!2FM&Z!+Q=^Q`MAF4<1!! 

 Local-user user4 level 3 

# 

 user-interface con 0 

 authentication-mode aaa 

 idle-timeout 30 0 

 user-interface aux 0 

 user-interface vty 0 14 

# 

return 


--------------------------------------------------------------------------------