华三V7交换机用户及角色赋予配置方法（命令行版)

1 配置需求或说明

1.1适用产品系列

本案例适用于如S5500V2-EI等的V7交换机，V5、V7交换机具体分类及型号可以参考“1.1 Comvare V5、V7平台交换机分类说明”。

1.2配置需求

Switch管理VLAN是VLAN2，开启了Telnet功能。Telnet用户主机与Switch相连，需要实现Switch对不同的Telnet用户进行分权管理。其中，admin用户拥有最高管理权限，user1用户只有ping、tracert和display interface 查看接口信息权限。

2 组网图

3  配置步骤

3.1 Swithc配置

#  创建管理VLAN。
<H3C> system-view
#设置交换机系统名称为Switch
[H3C]sysname Switch
[Switch] vlan 2
[Switch-vlan2]quit
#  设置交换机管理地址。
[Switch]interface Vlan-interface 2
[Switch-Vlan-interface2]ip address 1.1.1.1  255.255.255.0
[Switch-Vlan-interface2]quit
#  设置交换机连接Router的接口加入VLAN2。
[H3C]interface g1/0/1
[H3C-GigabitEthernet1/0/1]port link-type  access
[H3C-GigabitEthernet1/0/1]port access vlan  2
[H3C-GigabitEthernet1/0/1]quit
#  开启telnet功能。
[Switch]telnet server enable
#  配置使用帐号+密码方式进行telnet认证。
[Switch]line vty 0 4
[Switch-line-vty0-4]authentication-mode  scheme
[Switch-line-vty0-4]quit
#  创建admin帐号。
[Switch]local-user admin
#  配置帐号的服务类型为telnet。
[Switch-luser-manage-admin]service-type  telnet
#  配置帐号的密码为admin。
[Switch-luser-manage-admin]password simple  admin
#赋予帐号最高权限。
[Switch-luser-manage-admin]authorization-attribute user-role  level-15
[Switch-luser-manage-admin]quit
#  配置user1角色，定义只能使用ping、tracert和display interface相关命令
[Switch]role name user1
[Switch-role-user1]rule 1 permit command ping  *
[Switch-role-user1]rule 2 permit command tracert  *
[Switch-role-user1]rule 3 permit command display interface  *
[Switch-role-user1]quit
#  创建账号user1。
[Switch]local-user user1
#  配置帐号的服务类型为telnet。                                        
[Switch-luser-manage-user1]service-type  telnet
#  配置帐号的密码为user1。
[Switch-luser-manage-user1]password simple  user1
#赋予帐号拥有user1角色的权限。
[Switch-luser-manage-user1]authorization-attribute user-role  user1
#  为保证用户仅使用授权的用户角色role1，删除用户user1具有的缺省用户角色network-operator。
[Switch-luser-manage-user1]undo authorization-attribute  user-role network-operator
[Switch-luser-manage-user1]quit
#保存配置
[Switch]save force

3.5  Router配置

#设置交换机系统名称为Router
[H3C]sysname Router
#Router配置接口地址，保证能和Switch互通
[Router]interface GigabitEthernet 0/0
[Router-GigabitEthernet0/0]ip address 1.1.1.2  255.255.255.0
[Router-GigabitEthernet0/0]quit
#保存配置
[Router]save force

3.2 验证配置

1）Router使用user1帐号 telnet登录Switch测试，display  只能查看接口的信息：

2）Router使用admin帐号 telnet登录Switch测试，可以查看所有信息：