用户级别切换认证配置举例

1、用户级别切换认证配置举例用户级别切换认证配置举例：用户级别切换认证，RADIUS，HWTACACS摘 要：本文结合不同的登录认证方式，详细介绍了三种用户级别切换认证的配置思路和配置过程。缩略语：第 1 页，共 29 页杭州华三通信技术缩略语英文全名中文解释AAAAuthentication, Authorization, Accounting认证、计费RADIUSRemote Authentication Dial-In User Service认证拨号用户服务HWTACACSHW Terminal Access Controller Access Control SystemHW终端器系统协

2、议用户级别切换认证配置举例目 录1 特性简介32 应用场合33 本地Super认证配置举例43.1 组网需求43.2 配置思路43.3 配置步骤53.4 验证结果74 RADIUS Super认证配置举例84.1 组网需求84.2 配置思路84.3 配置步骤94.3.1 配置RADIUS server104.3.2 配置Device154.4 验证结果175 （HWTACACS + Local）Super认证配置举例185.1 组网需求185.2 配置思路195.3 配置步骤205.3.1 配置HWTACACS server205.3.2 配置Device255.4 验证结果276 相关资料2

3、8第 2 页，共 29 页杭州华三通信技术用户级别切换认证配置举例1特性简介当前登录、不断开当前连接的前提下，可以通过执行 super 命令暂时将自身的用户用户在不级别从当前的级别切换到指定的级别。级别切换后用户不需要重新登录，可以继续配置设备，只是可以执行令会不一样。且切换后的级别是临时的，只对当前登录生效，用户重新登录后，又会恢复到原有级别。当使用 super 命令从低级别往高级别切换时，相当于用户请求增加权限，因此系统需要对这种级别提升行为进行认证，只有认证通过，才赋予该用户新的提升切换认证为 Super 认证。权限。我们简称这种用户级别2应用场合目前，设备上支持两种 Super 认证方

4、案：本地级别切换认证（本地 Super 认证）和AAA 级别切换认证（Super 认证）。1. 本地Super认证本地 Super 认证是指，使用一个本地配置的对级别切换行为进行认证。对于要切换到某一个。如下所示，任何登录到设备上的用户，要切换到 3 级级别的行为，所有用户均使用同一个别时，只需要正确输入一个该设备上预先设置的本地级别切换就可以。<Device> super 3Password: <此处输入本地级别切换User privilege level is 3, and only those commands can be used whose level is eq

5、ual or less than this.Privilege note: 0-VISIT, 1-MONITOR, 2-SYSTEM, 3-MANAGE本地级别切换认证方式具有配置简单、易用的优点，适合于网络拓扑简单，设备管理员权限统一， 级别切换安全性要求不高的组网环境中。2.Super认证Super 认证是指，使用AAA 服务器对级别切换行为进行认证。如下所示，登录到设备上的某管理员，要切换到 3 级别时，需要正确输入用户名和对应的级别切换<Device> super 3 Username:oliveabc。Password: <此处输入对应的级别切换User privi

6、lege level is 3, and only those commands can be used whose level is equal or less than this.Privilege note: 0-VISIT, 1-MONITOR, 2-SYSTEM, 3-MANAGESuper 认证需要部署相应的 AAA 服务器来配合，用户信息的管理与维护上比本地 Super 认证稍显复杂，但它具有如下优点：·用户进行级别切换操作时使用相应的级别切换用户名和在AAA（ RADIUS 或HWTACACS）服务器上进行认证，不同的用户可拥有不同的级别切换权限。第 3 页，共 29

7、 页杭州华三通信技术用户级别切换认证配置举例·通过与本地级别切换认证组合使用，可支持两种认证切换方案（Super 认证无响应的情转本地 Super 认证、本地级别切换可靠性，提高了设备管理的灵活性。没有设置Super 认证），增强了认证的Super 认证适合于，网络环境较为复杂，设备管理员权限需区分，级别切换安全性要因此，求较高的组网环境中。33.1本地Super认证配置举例组网需求(1)均能以 Telnet 方式登录网关设备，登录该设备时需要输入用户名和某部门的所有，认证通过后所能令级别为 1 级（级），可执行简单的系统维护与业务故障诊断功能（例如 debugging）。其中，用户

8、名为携带的 testbbb，为 123456。(1)所有用户切换自身用户级别到更高的级别（本例中为 3）时，只需要输入级别切换，密切换到高级别。其中，级别切换为 localpass。码正确就能图3-1 本地 Super 认证典型组网图3.2配置思路1. 配置登录认证(1)·(2)，因此用户登录采用 AAA 认证方式。用户登录时要求提供用户名和配置登录用户界面的认证方式为 scheme。由于该组网环境中未部署AAA 服务器，所以登录认证采用本地认证方案，使用设备上配置的本地用户信息（local-user）来验证用户属性决定。用户登录后的用户级别由本地用户的··创建用

9、户的认证域 bbb，配置 Login 用户的认证方案为 local；创建本地用户，配置用户登录和登录后的用户级别。2. 配置Super认证所有用户切换级别使用相同的切换认证，使用设备上配置的本地级别切换，不需要输入用户名，因此级别切换认证采用本地 Super来认证切换行为。·配置 Super 认证方式为 local；第 4 页，共 29 页杭州华三通信技术用户级别切换认证配置举例·配置本地级别切换。表3-1 配置要素列表3.3配置步骤以下配置均是在环境下进行的配置和验证，配置前设备的所有参数均采用出厂时的缺省配置。如果您已经对设备进行了配置，为了保证配置效果，请确认现有配置

10、和以下配置不文档不严格与具体软、硬件版本对应。本1. 配置步骤# 配置接口 Ethernet1/1 的 IP 地址，Telnet 用户将通过该地址连接 Device。<Device> system-viewDevice interface ethernet 1/1Device-Ethernet1/1 ip address 192.168.1.1 255.255.255.0 Device-Ethernet1/1 quit# 开启 Telnet 服务器功能。Device telnet server enable# 配置 Telnet 用户登录采用 AAA 认证方式。Device use

11、r-interface vty 0 4Device-ui-vty0-4 authentication-mode scheme Device-ui-vty0-4 quit# 创建 ISP 域 bbb。Device domain bbb# 配置 Login 用户的认证/方案为 local。（可选，ISP 域的缺省认证/方案为 local）Device-isp-bbb Device-isp-bbbDevice-isp-bbbauthentication login local authorization login localquit# 创建本地用户 test，服务器类型为 Telnet，为 123

12、456。Device local-user Device-luser-testDevice-luser-testtestservice-type telnet password simple 123456# 指定 Telnet 用户登录系统后所能令级别为 1 级。Device-luser-test authorization-attribute level 1Device-luser-test quit第 5 页，共 29 页杭州华三通信技术登录认证方式登录认证方案Super 认证方式登录用户名和Super 认证schemelocallocal用户名：testbbb：123456localpa

13、ss用户级别切换认证配置举例# 配置 Super 认证方式为 local。Device super authentication-m# 配置可切换到级别 3 的本地级别切换ocal为 localpass。（level 参数可选，缺省为 3）Device super password level 3 simple localpass2. 配置文件Device #version #sysname#display current-configuration5.20, Release 10601Devicesuper password level 3 cipher $c$3$Zpr1U6u8+yBRZ

14、E4Pt8uTBI/VOboEnf2gsvEULg=super authentication-m#ocaldomain default enable system #telnet server enable #domain bbbauthentication login local authorization login local access-limit disablestate active idle-cut disableself-service-url disable domain systemaccess-limit disable state activeidle-cut dis

15、ableself-service-url disable #user-group systemgroup-attribute allow-guest #local-user testpassword cipher $c$3$UFdz+Q4t+duZFUhihLGBrmY1+RDjasu4Kg= authorization-attribute level 1service-type telnet #interface Ethernet1/1 port link-mode routeip address 192.168.1.1 255.255.255.0 #interface Ethernet1/

16、2port link-mode route第 6 页，共 29 页杭州华三通信技术用户级别切换认证配置举例#user-interface user-interface user-interfaceuser-interfacecon tty auxvty0130 4authentication-mode scheme #return3.4验证结果可通过以下步骤验证上述配置。(1)Telnet 用户建立与 Device 的连接在 Telnet 客户端上按照提示输入用户名 testbbb 及123456，Device 的用户界面，且只能级别为 1令。C:>telnet 192.168.1.1*

17、Copyright (c) 1998-2009Tech. Co.,.s.*Without the owner's prior written consent,no decompiling or reverse-engineering shallbeallowed.*Login authenticationUsername:testbbbPassword:<Device>? User viewcluster<此处输入登录：123456commands:Run cluster commanddebugging dialer display pingquit refresh

18、 reset rshscreen-length sendssh2 super telnet terminaltracertEnable system debugging functions Dialer disconnectDisplay current system informationPing functionExit from current Do soft reset Reset operation Establish one RSHSpecify the linescommand viewconnectiondisplayed on one screenSend informati

19、on to other user terminal interface Establish a secure shell client connectionSet the current user priority level Establish one TELNET connectionSet the terminal line characteristicsTrace route function第 7 页，共 29 页杭州华三通信技术用户级别切换认证配置举例undoCancel current setting(2)切换用户级别# 在当前的用户界面下执行切换用户级别到 3 级localpa

20、ss，即可将当前 Telnet 用户的级别切换到 3 级。令，按照提示输入本地级别切换<Device> super3Password:User privilegewhose level islevel is 3, and only those commands can be usedequal or less than this.Privilege note: 0-VISIT, 1-MONITOR, 2-SYSTEM, 3-MANAGE44.1RADIUS Super认证配置举例组网需求(1)均能以 Telnet 方式登录网关设备，登录该设备时需要输入用户名和某部门的所有，并使用

21、RADIUS 服务器进行认证，令级别为 0 级（认证通过后所能级），可执行网络诊断等功能令（例如 ping）。其中，用户名为携带码为 123456。的 adminbbb，密(2)管理员将自身级别切换到更高的级别（本例中为 3），且切换时需要使用 RADIUS 服务器进行认证。其中，级别切换图4-1 RADIUS Super 认证典型组网图为 pass3。4.2配置思路1. 配置登录认证(1)·(2)·，因此用户登录采用 AAA 认证方式。用户登录时要求提供用户名和配置登录用户界面的认证方式为 scheme。使用 RADIUS 服务器进行登录认证。创建 RADIUS 方案，指

22、定 RADIUS 服务器 IP 地址及与其进行交互的相关参数；第 8 页，共 29 页杭州华三通信技术<此处输入本地级别切换：localpass用户级别切换认证配置举例·创建用户的认证域 bbb，配置 Login 用户的认证方案为 RADIUS 方案。由于无需求，配置该域的 Login 用户的2. 配置Super认证方案为 none。管理员使用 RADIUS 服务器进行 Super 认证。··配置用户认证域的 Super 认证方案为 RADIUS 方案；配置 Super 认证方式为 scheme。3. 配置服务器RADIUS 服务器上需要配置相应的认证信息和

23、用户信息。··添加管理员的登录用户名和登录；添加 RADIUS 级别切换用户名和级别切换。表4-1 配置要素列表由于 RADIUS 协议无法区分用户所申请的权限级别，所以使用 RADIUS 进行 Super 认证时无论用户输入的用户名（或用户登录名）是什么，设备都会根据用户申请的权限级别使用固定用户名“$enab+level$”构造认证请求报文进行认证，其中 level 为用户申请的权限级别（03）。本例中，管理员要申请切换到级别 3，则设备将使用“$enab3$”作为用户名向 RADIUS 服务器发起认证。（若配置要求用户名中携带，则为$enab3domain$，doma

24、in 为用户的认证域）。因此，相应的 RADIUS 服务器上就需要添加用户名为“$enab3$”的用户。4.3配置步骤以下配置均是在环境下进行的配置和验证，配置前设备的所有参数均采用出厂时的缺省配置。如果您已经对设备进行了配置，为了保证配置效果，请确认现有配置和以下配置不文档不严格与具体软、硬件版本对应。本第 9 页，共 29 页杭州华三通信技术登录认证方式/登录认证方案Super 认证方式/Super 认证方案登录用户名和Super 认证用户名和scheme/ radius-schemescheme/ radius-scheme用户名：adminbbb：123456用户名：$enab3$：p

25、ass3用户级别切换认证配置举例4.3.1 配置RADIUS server本文以 ACSv4.0 为例，说明 RADIUS server 的基本配置。在进行下面的配置之前，请保证设备管理员 Admin 与 ACS 服务器之间路由可达。(1)登录 ACS 服务器# 如 图 4 所示的Web登录页面中，输入Web登录用户名和ACS服务器。图4-2 登录 ACS 服务器，单击“Login”按钮，即可登录(2)添加接入设备# 在左侧导航栏中选择NetworkAAA Client 的编辑页面。Configuration，打开网络配置界面，单击<Add Entry>，进入第 10 页，共 29

26、 页杭州华三通信技术用户级别切换认证配置举例图4-3 添加接入设备# 在 AAA Client 的编辑页面中进行如下配置：···输入接入设备名称，接入设备 IP 地址和交互 RADIUS 报文的共享密钥； 选择认证协议类型为“RADIUS+ (IETF)”；单击“Submit + Apply”按钮完成操作。图4-4配置接入设备第 11 页，共 29 页杭州华三通信技术用户级别切换认证配置举例(3)添加登录用户# 在左侧导航栏中选择User Setup，打开用户配置界面，在文本框中输入用户名“admin”，单击 “Add/Edit”后，进入该用户的编辑页面。图4-5

27、 添加登录用户# 填写用户的相关辅助信息，配置用户登录为“123456”。第 12 页，共 29 页杭州华三通信技术用户级别切换认证配置举例图4-6配置登录用户信息(4)添加级别切换用户# 在左侧导航栏中选择User Setup，打开用户配置界面，在文本框中输入用户名“$enab3$”，单击“Add/Edit”后，进入该用户的编辑页面。第 13 页，共 29 页杭州华三通信技术用户级别切换认证配置举例图4-7添加级别切换用户# 输入用户的相关辅助信息，配置用户登录为“pass3”。第 14 页，共 29 页杭州华三通信技术用户级别切换认证配置举例图4-8配置级别切换用户信息4.3.2配置Dev

28、ice1. 配置步骤# 配置接口 Ethernet1/1 的 IP 地址，Telnet 用户将通过该地址连接 Device。<Device> system-viewDevice interface ethernet 1/1Device-Ethernet1/1 ip address 192.168.1.1 255.255.255.0 Device-Ethernet1/1 quit# 配置接口 Ethernet1/2 的 IP 地址，Device 将通过该地址与服务器通信。Device interface ethernet 1/2Device-Ethernet1/2 ip addres

29、s 10.1.1.1 255.255.255.0 Device-Ethernet1/2 quit# 开启 Device 的 Telnet 服务器功能。Device telnet server enable# 配置 Telnet 用户登录采用 AAA 认证方式。Device user-interface vty 0 4Device-ui-vty0-4 authentication-mode scheme第 15 页，共 29 页杭州华三通信技术用户级别切换认证配置举例Device-ui-vty0-4 quit# 创建 RADIUS 方案 rad。Device radius scheme rad#

30、 配置主认证服务器的 IP 地址为 10.1.1.2，认证端为 1812（可选，缺省为 1812）。Device-radius-rad primary authentication 10.1.1.2 1812 # 配置与认证服务器交互报文时的共享密钥为 expert。Device-radius-rad key authentication expert# 配置 RADIUS 服务器的服务类型为 standard。（可选，缺省为 standard）Device-radius-rad server-type standard# 配置向 RADIUS 服务器的用户名不携带。Device-radius

31、-rad user-name-format without-domain Device-radius-rad quit# 创建 ISP 域 bbb。Device domain bbb# 配置 Login 用户的 RADIUS 认证方案为 rad。Device-isp-bbb authentication login radius-schemerad# 配置 Login 用户的方案为 none。Device-isp-bbb authorization login none# 配置 Super 认证的 RADIUS 认证方案为 rad。Device-isp-bbb authentication s

32、uper radius-scheme Device-isp-bbb quit# 配置 Super 认证方式为 scheme。Device super authentication-mode scheme2. 配置文件radDevice #version #sysname#display current-configuration5.20, Release 10601Devicesuper #telnet #radiusauthentication-mode schemeserver enablescheme radprimary authentication 10.1.1.2key authe

33、ntication cipher $c$3$tE9TAUYN8Z6P9Es user-name-format without-domain#domain bbbauthentication login radius-scheme radauthorization login none authentication super radius-scheme radAdI5/6PeVIdfLzyA=第 16 页，共 29 页杭州华三通信技术用户级别切换认证配置举例access-limit disable state activeidle-cut disableself-service-url dis

34、able domain systemaccess-limit disable state activeidle-cut disableself-service-url disable #user-group systemgroup-attribute allow-guest #interface Ethernet1/1 port link-mode routeip address 192.168.1.1 255.255.255.0 #interface Ethernet1/2 port link-mode routeip address 10.1.1.1 255.255.255.0#user-

35、interface user-interface user-interfaceuser-interfacecon tty auxvty01300 4authentication-mode scheme #return4.4 验证结果可通过以下步骤验证上述配置。(1)Telnet 用户建立与 Device 的连接在 Telnet 客户端上按照提示输入用户名 adminbbb 及123456，Device 的用户界面，且只能级别为 0令。C:>telnet 192.168.1.1*Copyright (c) 1998-2009Tech. Co.,.s.*Without the owner&#

36、39;s prior written consent,no decompiling or reverse-engineering shallbeallowed.*Login authentication第 17 页，共 29 页杭州华三通信技术用户级别切换认证配置举例Username:adminbbbPassword:<Device>? User view cluster displayping quit rsh ssh2 super telnettracert<此处输入登录：123456commands:Run cluster commandDisplay current

37、system information Ping functionExit from EstablishEstablishcurrent command view one RSH connectiona secure shell client connectionSet the current user priority level Establish one TELNET connectionTrace route function(2)切换用户级别# 在当前的用户界面下执行切换用户级别到 3 级令，按照提示输入pass3，即可将当前 Telnet 用户的级别切换到 3 级。<Devic

38、e> super 3RADIUS 级别切换Password: <此处输入RADIUS 级别切换：pass3User privilege level is 3, and only those commands can be used whose level is equal or less than this.Privilege note: 0-VISIT, 1-MONITOR, 2-SYSTEM, 3-MANAGE55.1（HWTACACS + Local）Super认证配置举例组网需求(1)均能以 Telnet 方式登录网关设备，登录该设备时需要输入用户名和某部门的所有，并使用

39、HWTACACS 服务器进行认证，认证通过后所能令级别为 0 级（级），可执行网络诊断等功能令（例如 ping）。其中，用户名为携带码为 123456。的 adminbbb，密(2)管理员将自身级别切换到更高的级别（本例中为 3），且切换时需要使用 HWTACACS服务器进行认证。当Super 认证无效时（例如服务器无响应或 AAA 配置无效），需要本地 Super 认证做备份方案来保证切换操作可完成。其中，Super 认证的级别切换为 pass3，本地 Super 认证的级别切换为 localpass。第 18 页，共 29 页杭州华三通信技术用户级别切换认证配置举例图5-1 （HWTACA

40、CS + Local）Super 认证典型组网图5.2配置思路1. 配置登录认证用户登录时要求提供用户名和，因此用户登录采用 AAA 认证方式。·配置登录用户界面的认证方式为 scheme。2. 配置Super认证(1)··使用 HWTACACS 服务器进行登录认证。创建 HWTACACS 方案，配置 HWTACACS 服务器 IP 地址及与其进行交互的相关参数。创建用户的认证域 bbb，配置 Login 用户的认证方案为 HWTACACS 方案；由于无需求，配置该域的 Login 用户的方案为 none。(2)管理员首先使用 HWTACACS 服务器进行 Sup

41、er 认证，Super 认证。配置用户认证域的 Super 认证方案为 HWTACACS 方案； 配置 Super 认证方式为 scheme local；Super 认证无效地···配置本地级别切换。3. 配置服务器HWTACACS 服务器上需要配置相应的认证信息和用户信息。··添加管理员的登录用户名和登录；配置登录用户的 HWTACACS 级别切换。表5-1 配置要素列表第 19 页，共 29 页杭州华三通信技术登录认证方式/登录认证方案Super 认证方式/Super 认证方案登录用户名和Super 认证scheme/ hwtacacs-s

42、chemescheme local/ hwtacacs-scheme用户名：adminbbb：123456Super认证方式切换前：pass3 Super认证方式切换后：localpass用户级别切换认证配置举例与 RADIUS 协议不同的是，HWTACACS 协议支持用户申请权限级别，因此使用 HWTACACS 服务器进行 Super 认证时，若用户登录时输入了用户名，则设备使用用户登录名作为用户名向HWTACACS 服务器发起认证，否则使用用户输入的级别切换用户名。本例中的管理员进行级别切换操作时，由于设备使用登录名进行 Super 认证，因此仅被提示输入级别切换，相应的 HWTACACS

43、 服务器上就需要配置该登录用户名对应的级别切换。5.3 配置步骤以下配置均是在环境下进行的配置和验证，配置前设备的所有参数均采用出厂时的缺省配置。如果您已经对设备进行了配置，为了保证配置效果，请确认现有配置和以下配置不文档不严格与具体软、硬件版本对应。本5.3.1 配置HWTACACS server本文以 ACSv4.0 为例，说明 HWTACACS server 的基本配置。在进行下面的配置之前，请保证设备管理员 Admin 与 ACS 服务器之间路由可达。(1)登录 ACS 服务器# 如 图 12 所示的Web登录页面中，输入Web登录用户名和ACS服务器。，单击“Login”按钮，即可登

44、录第 20 页，共 29 页杭州华三通信技术用户级别切换认证配置举例图5-2 登录 ACS 服务器(2)添加接入设备# 在左侧导航栏中选择Network AAA Client 的编辑页面。图5-3 添加接入设备Configuration，打开网络配置界面，单击<AddEntry>，进入# 在 AAA Client 的编辑页面中进行如下配置：···输入接入设备名称，接入设备 IP 地址和交互 HWTACACS 报文的共享密钥； 选择认证协议类型为“TACACS+ (Cisco IOS)”；单击“Submit + Apply”按钮完成操作。第 21 页，共

45、 29 页杭州华三通信技术用户级别切换认证配置举例图5-4配置接入设备(3)添加高级选项# 在左侧导航栏中选择InterfaceConfiguration，打开接口配置界面，单击“TACACS+(CiscoIOS)”，进入 TACACS+的高级属性页面。图5-5 配置用户接口# 选中高级配置选项中的“Advanced TACACS+ Features”项，让用户配置界面中隐藏的高级选项，该高级选项中包含了 Enable的相关配置。第 22 页，共 29 页杭州华三通信技术用户级别切换认证配置举例图5-6添加高级选项(4)添加登录用户# 在左侧导航栏中选择User Setup，打开用户配置界面，

46、在文本框中输入用户名“admin”，单击“Add/Edit”后，进入该用户的编辑页面。第 23 页，共 29 页杭州华三通信技术用户级别切换认证配置举例图5-7 添加登录用户# 输入用户的相关辅助信息，配置用户登录为“123456”。图5-8配置登录用户信息(5)配置级别切换第 24 页，共 29 页杭州华三通信技术用户级别切换认证配置举例# 继续在用户 admin 的编辑页面中进行下面的高级 TACACS+设置。·选中“Max Privilege for any AAA Client”，在下拉框中选择“Level 3”。该配置表示级别别为 3。切换后，用户可执行令的·&#

47、183;选择“Use separate password”，输入级别切换单击“Submit”按钮完成操作。“pass3”。图5-9添加级别切换用户5.3.2配置Device1. 配置步骤# 配置接口 Ethernet1/1 的 IP 地址，Telnet 用户将通过该地址连接 Device。<Device> system-viewDevice interface ethernet 1/1Device-Ethernet1/1 ip address 192.168.1.1 255.255.255.0 Device-Ethernet1/1 quit# 配置接口 Ethernet1/2 的

48、IP 地址，Device 将通过该地址与服务器通信。Device interface ethernet 1/2第 25 页，共 29 页杭州华三通信技术用户级别切换认证配置举例Device-Ethernet1/2 ip address 10.1.1.1 255.255.255.0 Device-Ethernet1/2 quit# 开启 Device 的 Telnet 服务器功能。Device telnet server enable# 配置 Telnet 用户登录采用 AAA 认证方式。Device user-interface vty 0 4Device-ui-vty0-4 authenti

49、cation-mode scheme Device-ui-vty0-4 quit# 创建 HWTACACS 方案 hwtac。Device hwtacacs scheme hwtac# 配置主认证服务器的 IP 地址为 10.1.1.2，认证端为 49（可选，缺省为 49）。Device-hwtacacs-hwtac primary authentication 10.1.1.2 49# 配置与认证服务器交互报文时的共享密钥为 expert。Device-hwtacacs-hwtac key authentication expert# 配置向 HWTACACS 服务器的用户名不携带。Devi

50、ce-hwtacacs-hwtac user-name-format without-domain Device-hwtacacs-hwtac quit# 创建 ISP 域 bbb。Device domain bbb# 配置 Login 用户的 HWTACACS 认证方案为 hwtac。Device-isp-bbb authentication login hwtacacs-scheme hwtac# 配置 Login 用户的方案为 none。Device-isp-bbb authorization login none# 配置 Super 认证的 HWTACACS 认证方案为 rad。Dev

51、ice-isp-bbb authentication super hwtacacs-scheme hwtac Device-isp-bbb quit# 配置 Super 认证方式为 scheme local。Device super authentication-mode scheme local# 配置可切换到级别 3 的本地级别切换为 localpass。（level 参数可选，缺省为 3）Device super password level 3 simple localpass2. 配置文件Device #version #sysname#display current-configu

52、ration5.20, Release 10601Devicesuper super#telnet #password level 3 cipher $c$3$Q+PilXDdUD/j2rRBANnbYr5ZBcGOXoLQDyxd8g=authentication-mode scheme localserver enable第 26 页，共 29 页杭州华三通信技术用户级别切换认证配置举例hwtacacs scheme hwtacprimary authentication 192.168.1.15key authentication cipher $c$3$rPzPN0MlHR7EExRhS5QxKYDmfpCGNdnqkg= user-