配置管理员使用Local方式认证并授权用户级别示例

组网需求

如图1所示，企业希望管理员能简单方便并且安全地远程管理设备，可以配置通过Telnet登录设备时使用AAA本地认证：

1. 管理员输入正确的用户名和密码才能通过Telnet登录设备。
2. 管理员通过Telnet登录设备后，可以执行命令级别为0～15的所有命令行。

配置思路

采用如下思路配置用户通过Telnet登录设备的身份认证：

1. 配置Switch的接口IP地址。
2. 使能Telnet服务器功能。
3. 配置VTY用户界面的验证方式为aaa。
4. 配置AAA本地认证：创建用户名和密码、配置用户的接入类型、配置用户级别。

操作步骤

1. 配置Switch的接口IP地址

<HUAWEI> system-view
[HUAWEI] sysname S1
[S1] vlan batch 100
[S1] interface vlanif 100
[S1-Vlanif100] ip address 10.1.2.10 24
[S1-Vlanif100] quit
[S1] interface gigabitethernet 0/0/1
[S1-GigabitEthernet0/0/1] port link-type hybrid
[S1-GigabitEthernet0/0/1] port hybrid pvid vlan 100
[S1-GigabitEthernet0/0/1] port hybrid untagged vlan 100
[S1-GigabitEthernet0/0/1] quit

?使能Telnet服务器功能

[S1] telnet server enable

配置VTY用户界面的验证方式为aaa

[S1] user-interface maximum-vty 15
[S1] user-interface vty 0 14
[S1-ui-vty0-14] authentication-mode aaa  
[S1-ui-vty0-14] protocol inbound telnet 
[S1-ui-vty0-14] quit

配置AAA本地认证

[S1h] aaa
[S1-aaa] local-user user1 password irreversible-cipher Huawei@123
[S1-aaa] local-user user1 service-type telnet
[S1-aaa] local-user user1 privilege level 15
[S1-aaa] quit

路由器配置

[Huawei]interface GigabitEthernet 0/0/0
[Huawei-GigabitEthernet0/0/0]ip address 10.1.2.1 24

?

?验证配置结果

管理员在PC上单击“运行”->输入“cmd”，进入Windows的命令行提示符界面，执行telnet命令，并输入用户名user1和密码Huawei@123，通过Telnet方式登录设备。

teinet 成功