安全与VPN-用户级别切换认证配置举例-D

1、，安全与VPN-用户级别切换认证配置举例用户级别切换认证配置举例杭州华三通信技术有限公司第 PAGE 26页，共26页 HYPERLINK / 用户级别切换认证配置举例关键词：用户级别切换认证，RADIUS，HWTACACS缩略语英文全名中文解释AAAAuthentication, Authorization, Accounting认证、授权、计费RADIUSRemote Authentication Dial-In User Service远程认证拨号用户服务HWTACACSHW Terminal Access Controller Access Control SystemHW 终端访问控

2、制器控制系统协议摘 要：本文结合不同的登录认证方式，详细介绍了三种用户级别切换认证的配置思路和配置过程。缩略语：目 录 HYPERLINK l _bookmark0 特性简介 HYPERLINK l _bookmark0 3 HYPERLINK l _bookmark0 应用场合 HYPERLINK l _bookmark0 3 HYPERLINK l _bookmark1 本地Super认证配置举例 HYPERLINK l _bookmark1 4 HYPERLINK l _bookmark1 组网需求 HYPERLINK l _bookmark1 4 HYPERLINK l _bookma

3、rk1 配置思路 HYPERLINK l _bookmark1 4 HYPERLINK l _bookmark2 配置步骤 HYPERLINK l _bookmark2 5 HYPERLINK l _bookmark3 验证结果 HYPERLINK l _bookmark3 7 HYPERLINK l _bookmark4 RADIUS Super认证配置举例 HYPERLINK l _bookmark4 8 HYPERLINK l _bookmark4 组网需求 HYPERLINK l _bookmark4 8 HYPERLINK l _bookmark5 配置思路 HYPERLINK l

4、_bookmark5 9 HYPERLINK l _bookmark6 配置步骤 HYPERLINK l _bookmark6 10 HYPERLINK l _bookmark6 配置RADIUS server HYPERLINK l _bookmark6 10 HYPERLINK l _bookmark7 配置Device HYPERLINK l _bookmark7 14 HYPERLINK l _bookmark8 验证结果 HYPERLINK l _bookmark8 16 HYPERLINK l _bookmark9 （HWTACACS + Local）Super认证配置举例 HYP

5、ERLINK l _bookmark9 17 HYPERLINK l _bookmark9 组网需求 HYPERLINK l _bookmark9 17 HYPERLINK l _bookmark9 配置思路 HYPERLINK l _bookmark9 17 HYPERLINK l _bookmark10 配置步骤 HYPERLINK l _bookmark10 18 HYPERLINK l _bookmark10 配置HWTACACS server HYPERLINK l _bookmark10 18 HYPERLINK l _bookmark12 配置Device HYPERLINK l

6、 _bookmark12 23 HYPERLINK l _bookmark13 验证结果 HYPERLINK l _bookmark13 25 HYPERLINK l _bookmark14 相关资料 HYPERLINK l _bookmark14 26特性简介用户在不退出当前登录、不断开当前连接的前提下，可以通过执行 super 命令暂时将自身的用户级别从当前的级别切换到指定的级别。级别切换后用户不需要重新登录，可以继续配置设备，只是可以执行的命令会不一样。且切换后的级别是临时的，只对当前登录生效，用户重新登录后， 又会恢复到原有级别。当使用 super 命令从低级别往高级别切换时，相当于用

7、户请求增加访问权限，因此系统需要对这种级别提升行为进行认证，只有认证通过，才赋予该用户新的访问权限。我们简称这种用户级别提升切换认证为 Super 认证。应用场合目前，设备上支持两种 Super 认证方案：本地级别切换认证（本地 Super 认证）和远程 AAA 级别切换认证（远程 Super 认证）。本地 Super 认证本地 Super 认证是指，使用一个本地配置的密码对级别切换行为进行认证。对于要切换到某一个级别的行为，所有用户均使用同一个密码。如下所示，任何登录到设备上的用户，要切换到 3 级别时，只需要正确输入一个该设备上预先设置的本地级别切换密码就可以。 super 3Passwo

8、rd: 此处输入本地级别切换密码User privilege level is 3, and only those commands can be used whose level is equal or less than this.Privilege note: 0-VISIT, 1-MONITOR, 2-SYSTEM, 3-MANAGE本地级别切换认证方式具有配置简单、易用的优点，适合于网络拓扑简单，设备管理员权限统一，级别切换安全性要求不高的组网环境中。远程 Super 认证远程 Super 认证是指，使用远程 AAA 服务器对级别切换行为进行认证。如下所示，登录到设备上的某管理员，要

9、切换到 3 级别时，需要正确输入用户名和对应的级别切换密码。 super 3 Username:oliveabcPassword: 此处输入对应的级别切换密码User privilege level is 3, and only those commands can be used whose level is equal or less than this.Privilege note: 0-VISIT, 1-MONITOR, 2-SYSTEM, 3-MANAGE远程 Super 认证需要部署相应的 AAA 服务器来配合，用户信息的管理与维护上比本地 Super 认证稍显复杂，但它具有如下优

10、点：用户进行级别切换操作时使用相应的级别切换用户名和密码在远程 AAA（ RADIUS 或HWTACACS）服务器上进行身份认证，不同的用户可拥有不同的级别切换权限。通过与本地级别切换认证组合使用，可支持两种认证切换方案（远程 Super 认证无响应的情况下转本地 Super 认证、本地级别切换密码没有设置时转远程 Super 认证），增强了认证的可靠性，提高了设备管理的灵活性。因此，远程 Super 认证适合于，网络环境较为复杂，设备管理员权限需区分，级别切换安全性要求较高的组网环境中。本地 Super 认证配置举例组网需求某部门的所有人员均能以 Telnet 方式登录网关设备，登录该设备时

11、需要输入用户名和密码， 身份认证通过后所能访问的命令级别为 1 级（监控级），可执行简单的系统维护与业务故障诊断功能（例如 debugging）。其中，用户名为携带域名的 testbbb，密码为 123456。所有用户切换自身用户级别到更高的级别（本例中为 3）时，只需要输入级别切换密码，密码正确就能成功切换到高级别。其中，级别切换密码为 localpass。图1 本地 Super 认证典型组网图配置思路配置登录认证用户登录时要求提供用户名和密码，因此用户登录采用 AAA 认证方式。配置登录用户界面的认证方式为 scheme。由于该组网环境中未部署远程 AAA 服务器，所以登录认证采用本地认证

12、方案，使用设备上配置的本地用户信息（local-user）来验证用户身份。用户登录后的用户级别由本地用户的授权属性决定。创建用户的认证域 bbb，配置 Login 用户的认证方案为 local；创建本地用户，配置用户登录密码和登录后的用户级别。配置 Super 认证所有用户切换级别使用相同的切换密码，不需要输入用户名，因此级别切换认证采用本地 Super认证，使用设备上配置的本地级别切换密码来认证切换行为。配置 Super 认证方式为 local；配置本地级别切换密码。表1 配置要素列表登录认证方式登录认证方案Super 认证方式登录用户名和密码Super 认证密码schemelocalloc

13、al用户名：testbbb密码：123456localpass配置步骤以下配置均是在实验室环境下进行的配置和验证，配置前设备的所有参数均采用出厂时的缺省配置。如果您已经对设备进行了配置，为了保证配置效果，请确认现有配置和以下配置不冲突。本文档不严格与具体软、硬件版本对应。配置步骤# 配置接口 Ethernet1/1 的 IP 地址，Telnet 用户将通过该地址连接 Device。 system-viewDevice interface ethernet 1/1Device-Ethernet1/1 ip address Device-Ethernet1/1 quit# 开启 Telnet 服务

14、器功能。Device telnet server enable# 配置 Telnet 用户登录采用 AAA 认证方式。Device user-interface vty 0 4Device-ui-vty0-4 authentication-mode scheme Device-ui-vty0-4 quit# 创建 ISP 域 bbb。Device domain bbb# 配置 Login 用户的认证/授权方案为 local。（可选，ISP 域的缺省认证/授权方案为 local）Device-isp-bbb authentication login local Device-isp-bbb au

15、thorization login local Device-isp-bbb quit# 创建本地用户 test，服务器类型为 Telnet，密码为 123456。Device local-user testDevice-luser-test service-type telnet Device-luser-test password simple 123456# 指定 Telnet 用户登录系统后所能访问的命令级别为 1 级。Device-luser-test authorization-attribute level 1 Device-luser-test quit# 配置 Super 认

16、证方式为 local。Device super authentication-mode local# 配置可切换到级别 3 的本地级别切换密码为 localpass。（level 参数可选，缺省为 3）Device super password level 3 simple localpass配置文件Device display current-configuration #version 5.20, ESS 1907L03 #sysname Device #super password level 3 simple localpass #domain default enable syste

17、m #telnet server enable #domain bbbauthentication login local authorization login local access-limit disablestate active idle-cut disableself-service-url disable domain systemaccess-limit disable state activeidle-cut disableself-service-url disable #user-group system #local-user test password simple

18、 123456authorization-attribute level 1 service-type telnet#interface Ethernet1/1 port link-mode routeip address #interface Ethernet1/2 port link-mode route#user-interfacecon0user-interfacetty13user-interfaceauxuser-interfacevty0 4authentication-mode scheme #return验证结果可通过以下步骤验证上述配置。Telnet 用户建立与 Devic

19、e 的连接在 Telnet 客户端上按照提示输入用户名 testbbb 及密码 123456，即可进入 Device 的用户界面，且只能访问级别为 1 的命令。C:telnet *Copyright (c) 1998-2009 Huawei Tech. Co., Ltd. All rights reserved.*Without the owners prior written consent,*no decompiling or reverse-engineering shall be allowed.*Login authenticationUsername:testbbbPassword

20、: 此处输入登录密码：123456?User view commands:clusterRun cluster commanddebuggingEnable system debugging functions dialerDialer disconnectdisplayDisplay current system information pingPing functionquitExit from current command viewrefreshDo soft resetresetReset operationrshEstablish one RSH connectionscreen-

21、lengthSpecify the lines displayed on one screensendSend information to other user terminal interface ssh2Establish a secure shell client connectionsuperSet the current user priority level telnetEstablish one TELNET connection terminalSet the terminal line characteristics tracertTrace route functionu

22、ndoCancel current setting切换用户级别# 在当前的用户界面下执行切换用户级别到 3 级的命令，按照提示输入本地级别切换密码localpass，即可将当前 Telnet 用户的级别切换到 3 级。 super 3Password: 此处输入本地级别切换密码：localpassUser privilege level is 3, and only those commands can be used whose level is equal or less than this.Privilege note: 0-VISIT, 1-MONITOR, 2-SYSTEM, 3-M

23、ANAGERADIUS Super 认证配置举例组网需求某部门的所有人员均能以 Telnet 方式登录网关设备，登录该设备时需要输入用户名和密码， 并使用 RADIUS 服务器进行认证，身份认证通过后所能访问的命令级别为 0 级（访问级）， 可执行网络诊断等功能的命令（例如 ping）。其中，用户名为携带域名的 adminbbb，密码为 123456。允许管理员将自身级别切换到更高的级别（本例中为 3），且切换时需要使用 RADIUS 服务器进行认证。其中，级别切换密码为 pass3。图2 RADIUS Super 认证典型组网图配置思路配置登录认证用户登录时要求提供用户名和密码，因此用户登录

24、采用 AAA 认证方式。配置登录用户界面的认证方式为 scheme。使用 RADIUS 服务器进行登录认证。创建 RADIUS 方案，指定 RADIUS 服务器 IP 地址及与其进行交互的相关参数；创建用户的认证域 bbb，配置 Login 用户的认证方案为 RADIUS 方案。由于无授权需求，配置该域的 Login 用户的授权方案为 none。配置 Super 认证管理员使用 RADIUS 服务器进行 Super 认证。配置用户认证域的 Super 认证方案为 RADIUS 方案；配置 Super 认证方式为 scheme。配置服务器RADIUS 服务器上需要配置相应的认证信息和用户信息。添

25、加管理员的登录用户名和登录密码；添加 RADIUS 级别切换用户名和级别切换密码。表2 配置要素列表登录认证方式/登录认证方案Super 认证方式/Super 认证方案登录用户名和密码Super 认证用户名和密码scheme/ radius-schemescheme/ radius-scheme用户名：adminbbb 密码：123456用户名：$enab3 密码：pass3由于 RADIUS 协议无法区分用户所申请的权限级别，所以使用 RADIUS 进行 Super 认证时无论用户输入的用户名（或用户登录名）是什么，设备都会根据用户申请的权限级别使用固定用户名“$enab+level”构造认

26、证请求报文进行认证，其中 level 为用户申请的权限级别（03）。本例中，管理员要申请切换到级别 3，则设备将使用“$enab3”作为用户名向 RADIUS 服务器发起认证。（若配置要求用户名中携带域名，则为$enab3domain，domain 为用户的认证域）。因此，相应的 RADIUS 服务器上就需要添加用户名为“$enab3”的用户。配置步骤以下配置均是在实验室环境下进行的配置和验证，配置前设备的所有参数均采用出厂时的缺省配置。如果您已经对设备进行了配置，为了保证配置效果，请确认现有配置和以下配置不冲突。本文档不严格与具体软、硬件版本对应。配置 RADIUS server本文以 AC

27、Sv4.0 为例，说明 RADIUS server 的基本配置。在进行下面的配置之前，请保证设备管理员 Admin 与 ACS 服务器之间路由可达。登录 ACS 服务器# 如 HYPERLINK l _bookmark6 图 3所示的Web登录页面中，输入Web登录用户名和密码，单击“Login”按钮，即可登录ACS服务器。图3 登录 ACS 服务器添加接入设备# 在左侧导航栏中选择Network Configuration，打开网络配置界面，单击，进入AAA Client 的编辑页面。图4 添加接入设备# 在 AAA Client 的编辑页面中进行如下配置：输入接入设备名称，接入设备 IP

28、地址和交互 RADIUS 报文的共享密钥；选择认证协议类型为“RADIUS+ (IETF)”；单击“Submit + Apply”按钮完成操作。图5 配置接入设备添加登录用户# 在左侧导航栏中选择User Setup，打开用户配置界面，在文本框中输入用户名“admin”，单击“Add/Edit”后，进入该用户的编辑页面。图6 添加登录用户# 填写用户的相关辅助信息，配置用户登录密码为“123456”。图7 配置登录用户信息添加级别切换用户# 在左侧导航栏中选择User Setup，打开用户配置界面，在文本框中输入用户名“$enab3”，单击“Add/Edit”后，进入该用户的编辑页面。图8 添

29、加级别切换用户# 输入用户的相关辅助信息，配置用户登录密码为“pass3”。图9 配置级别切换用户信息配置 Device配置步骤# 配置接口 Ethernet1/1 的 IP 地址，Telnet 用户将通过该地址连接 Device。 system-viewDevice interface ethernet 1/1Device-Ethernet1/1 ip address Device-Ethernet1/1 quit# 配置接口 Ethernet1/2 的 IP 地址，Device 将通过该地址与服务器通信。Device interface ethernet 1/2Device-Etherne

30、t1/2 ip address Device-Ethernet1/2 quit# 开启 Device 的 Telnet 服务器功能。Device telnet server enable# 配置 Telnet 用户登录采用 AAA 认证方式。Device user-interface vty 0 4Device-ui-vty0-4 authentication-mode scheme Device-ui-vty0-4 quit# 创建 RADIUS 方案 rad。Device radius scheme rad# 配置主认证服务器的 IP 地址为 ，认证端口号为 1812（可选，缺省为 181

31、2）。Device-radius-rad primary authentication 1812 # 配置与认证服务器交互报文时的共享密钥为 expert。Device-radius-rad key authentication expert# 配置 RADIUS 服务器的服务类型为 standard。（可选，缺省为 standard）Device-radius-rad server-type standard# 配置向 RADIUS 服务器发送的用户名不携带域名。Device-radius-rad user-name-format without-domain Device-radius-r

32、ad quit# 创建 ISP 域 bbb。Device domain bbb# 配置 Login 用户的 RADIUS 认证方案为 rad。Device-isp-bbb authentication login radius-scheme rad# 配置 Login 用户的授权方案为 none。Device-isp-bbb authorization login none # 配置 Super 认证的 RADIUS 认证方案为 rad。Device-isp-bbb authentication super radius-scheme rad Device-isp-bbb quit# 配置 S

33、uper 认证方式为 scheme。Device super authentication-mode scheme scheme配置文件Device display current-configuration #version 5.20, ESS 1907L03 #sysname Device #super authentication-mode scheme #telnet server enable #radius scheme radprimary authentication 5 key authentication expertuser-name-format without-dom

34、ain #domain bbbauthentication login radius-scheme rad authorization login none authentication super radius-scheme rad access-limit disablestate active idle-cut disableself-service-url disable domain systemaccess-limit disable state activeidle-cut disableself-service-url disable #user-group system #i

35、nterface Ethernet1/1 port link-mode routeip address #interface Ethernet1/2 port link-mode routeip address #user-interface con 0user-interface tty 13user-interface aux 0user-interface vty 0 4 authentication-mode scheme#return验证结果可通过以下步骤验证上述配置。Telnet 用户建立与 Device 的连接在 Telnet 客户端上按照提示输入用户名 adminbbb 及密码

36、 123456，即可进入 Device 的用户界面，且只能访问级别为 0 的命令。C:telnet *Copyright (c) 1998-2009 Huawei Tech. Co., Ltd. All rights reserved.*Without the owners prior written consent,*no decompiling or reverse-engineering shall be allowed.*Login authenticationUsername:adminbbbPassword: 此处输入登录密码：123456?User view commands:c

37、lusterRun cluster commanddisplayDisplay current system information pingPing functionquitExit from current command view rshEstablish one RSH connectionssh2Establish a secure shell client connection superSet the current user priority leveltelnetEstablish one TELNET connection tracertTrace route functi

38、on切换用户级别# 在当前的用户界面下执行切换用户级别到 3 级的命令，按照提示输入 RADIUS 级别切换密码pass3，即可将当前 Telnet 用户的级别切换到 3 级。 super 3Password: 此处输入RADIUS 级别切换密码：pass3User privilege level is 3, and only those commands can be used whose level is equal or less than this.Privilege note: 0-VISIT, 1-MONITOR, 2-SYSTEM, 3-MANAGE（HWTACACS + Loc

39、al）Super 认证配置举例组网需求某部门的所有人员均能以 Telnet 方式登录网关设备，登录该设备时需要输入用户名和密码， 并使用 HWTACACS 服务器进行认证，认证通过后所能访问的命令级别为 0 级（访问级）， 可执行网络诊断等功能的命令（例如 ping）。其中，用户名为携带域名的 adminbbb，密码为 123456。允许管理员将自身级别切换到更高的级别（本例中为 3），且切换时需要使用 HWTACACS 服务器进行认证。当远程 Super 认证无效时（例如服务器无响应或 AAA 配置无效），需要本地 Super 认证做备份方案来保证切换操作可完成。其中，远程 Super 认证

40、的级别切换密码为 pass3，本地 Super 认证的级别切换密码为 localpass。图10 （HWTACACS + Local）Super 认证典型组网图配置思路配置登录认证用户登录时要求提供用户名和密码，因此用户登录采用 AAA 认证方式。配置登录用户界面的认证方式为 scheme。配置 Super 认证使用 HWTACACS 服务器进行登录认证。创建 HWTACACS 方案，配置 HWTACACS 服务器 IP 地址及与其进行交互的相关参数。创建用户的认证域 bbb，配置 Login 用户的认证方案为 HWTACACS 方案；由于无授权需求，配置该域的 Login 用户的授权方案为

41、none。管理员首先使用 HWTACACS 服务器进行 Super 认证，远程 Super 认证无效时，转为本地Super 认证。配置用户认证域的 Super 认证方案为 HWTACACS 方案；配置 Super 认证方式为 scheme local；配置本地级别切换密码。配置服务器HWTACACS 服务器上需要配置相应的认证信息和用户信息。添加管理员的登录用户名和登录密码；配置登录用户的 HWTACACS 级别切换密码。表3 配置要素列表登录认证方式/登录认证方案Super 认证方式/Super 认证方案登录用户名和密码Super 认证密码scheme/ hwtacacs-schemesch

42、eme local/ hwtacacs-scheme用户名：adminbbb密码：123456Super 认证方式切换前：pass3Super 认证方式切换后：localpass与 RADIUS 协议不同的是，HWTACACS 协议支持用户申请权限级别，因此使用 HWTACACS 服务器进行 Super 认证时，若用户登录时输入了用户名，则设备使用用户登录名作为用户名向HWTACACS 服务器发起认证，否则使用用户输入的级别切换用户名。本例中的管理员进行级别切换操作时，由于设备使用登录名进行 Super 认证，因此仅被提示输入级别切换密码，相应的 HWTACACS 服务器上就需要配置该登录用户

43、名对应的级别切换密码。配置步骤以下配置均是在实验室环境下进行的配置和验证，配置前设备的所有参数均采用出厂时的缺省配置。如果您已经对设备进行了配置，为了保证配置效果，请确认现有配置和以下配置不冲突。本文档不严格与具体软、硬件版本对应。配置 HWTACACS server本文以 ACSv4.0 为例，说明 HWTACACS server 的基本配置。在进行下面的配置之前，请保证设备管理员 Admin 与 ACS 服务器之间路由可达。登录 ACS 服务器# 如 HYPERLINK l _bookmark11 图 11所示的Web登录页面中，输入Web登录用户名和密码，单击“Login”按钮，即可登录

44、ACS服务器。图11 登录 ACS 服务器添加接入设备# 在左侧导航栏中选择Network Configuration，打开网络配置界面，单击，进入AAA Client 的编辑页面。图12 添加接入设备# 在 AAA Client 的编辑页面中进行如下配置：输入接入设备名称，接入设备 IP 地址和交互 HWTACACS 报文的共享密钥；选择认证协议类型为“TACACS+ (Cisco IOS)”；单击“Submit + Apply”按钮完成操作。图13 配置接入设备添加高级选项# 在左侧导航栏中选择Interface Configuration，打开接口配置界面，单击“TACACS+(Cisc

45、o IOS)”链接，进入 TACACS+的高级属性页面。图14 配置用户接口# 选中高级配置选项中的“Advanced TACACS+ Features”项，让用户配置界面中隐藏的高级选项显示出来，该高级选项中包含了 Enable 密码的相关配置。图15 添加高级选项添加登录用户# 在左侧导航栏中选择User Setup，打开用户配置界面，在文本框中输入用户名“admin”，单击“Add/Edit”后，进入该用户的编辑页面。图16 添加登录用户# 输入用户的相关辅助信息，配置用户登录密码为“123456”。图17 配置登录用户信息配置级别切换密码# 继续在用户 admin 的编辑页面中进行下面

46、的高级 TACACS+设置。选中“Max Privilege for any AAA Client”，在下拉框中选择“Level 3”。该配置表示级别切换后，用户可执行的命令的最高级别为 3。选择“Use separate password”，输入级别切换密码“pass3”。单击“Submit”按钮完成操作。图18 添加级别切换用户配置 Device配置步骤# 配置接口 Ethernet1/1 的 IP 地址，Telnet 用户将通过该地址连接 Device。 system-viewDevice interface ethernet 1/1Device-Ethernet1/1 ip addre

47、ss Device-Ethernet1/1 quit# 配置接口 Ethernet1/2 的 IP 地址，Device 将通过该地址与服务器通信。Device interface ethernet 1/2Device-Ethernet1/2 ip address Device-Ethernet1/2 quit# 开启 Device 的 Telnet 服务器功能。Device telnet server enable# 配置 Telnet 用户登录采用 AAA 认证方式。Device user-interface vty 0 4Device-ui-vty0-4 authentication-mo

48、de scheme Device-ui-vty0-4 quit# 创建 HWTACACS 方案 hwtac。Device hwtacacs scheme hwtac# 配置主认证服务器的 IP 地址为 ，认证端口号为 49（可选，缺省为 49）。Device-hwtacacs-hwtac primary authentication 49# 配置与认证服务器交互报文时的共享密钥为 expert。Device-hwtacacs-hwtac key authentication expert# 配置向 HWTACACS 服务器发送的用户名不携带域名。Device-hwtacacs-hwtac us

49、er-name-format without-domain Device-hwtacacs-hwtac quit# 创建 ISP 域 bbb。Device domain bbb# 配置 Login 用户的 HWTACACS 认证方案为 hwtac。Device-isp-bbb authentication login hwtacacs-scheme hwtac# 配置 Login 用户的授权方案为 none。Device-isp-bbb authorization login none# 配置 Super 认证的 HWTACACS 认证方案为 rad。Device-isp-bbb authen

50、tication super hwtacacs-scheme hwtac Device-isp-bbb quit# 配置 Super 认证方式为 scheme local。Device super authentication-mode scheme scheme local# 配置可切换到级别 3 的本地级别切换密码为 localpass。（level 参数可选，缺省为 3）Device super password level 3 simple localpass配置文件Device display current-configuration #version 5.20, ESS 1907

51、L03 #sysname Device #super authentication-mode scheme #telnet server enable #hwtacacs scheme hwtacprimary authentication 5 key authentication expertuser-name-format without-domain#domain bbbauthentication login hwtacacs-scheme hwtac authorization login noneauthentication super hwtacacs-scheme hwtac access-limit disablestate active idle-cut disableself-service-url disable domain systemaccess-limit disable state activeidle-cut disableself-service-url disable #user-group system #interface Ethernet1/1 port link-mod