В некоторых случаях появляется необходимость завести пользователя с уровнем привилегий, позволяющем выполнять основные команды show, но при этом имел возможность изменять ip-адреса интерфейсов.
На маршрутизаторах ESR предусмотрен механизм позволяющий повышать либо понижать уровень привилегий для команд.
Например нам нужен пользователь с уровнем привилегий 9. Создадим его:
esr-1000# esr-1000# configure esr-1000(config)# username test esr-1000(config-user)# password password esr-1000(config-user)# privilege 9 esr-1000(config-user)# exit esr-1000(config)#
При этом нам необходимо, что бы этот пользователь мог просматривать полностью конфигурацию устройства, а также менять ip-адреса интерфейсов.
Понизим привилегии для команды show running-config:
esr-1000(config)# privilege root level 9 "show running-config" esr-1000(config)#
Теперь понизим привилегии для команды configure:
esr-1000(config)# privilege root level 9 "configure" esr-1000(config)#
Далее необходимо понизить приоритет для команды interface:
esr-1000(config)# privilege config level 9 "interface" esr-1000(config)#
Что бы понизить приоритет команды interface используется раздел config. Все эти разделы можно посмотреть с помощью символа "?":
esr-1000(config)# privilege ? COMMAND MODE Select command mode: change-expired-password config config-aaa-das-profile config-aaa-radius-profile config-accsess-profile config-acl config-acl-rule config-archive config-bgp config-bgp-af config-bgp-group config-bgp-neighbor config-bridge config-cellular-modem config-cellular-profile config-class-map config-class-policy-map config-das-server config-dhcp-server config-dhcp-vendor-id config-dnat config-dnat-pool config-dnat-rule config-dnat-ruleset config-e1 config-gre config-if-gi config-if-te config-ike-gw config-ike-policy config-ike-proposal config-ip4ip4 config-ipsec-policy config-ipsec-proposal config-ipsec-vpn config-ipv6-bgp-af config-ipv6-bgp-group config-ipv6-bgp-neighbor config-ipv6-dhcp-server config-ipv6-ospf config-ipv6-ospf-area config-ipv6-ospf-vlink config-ipv6-pl config-ipv6-wan-rule config-ipv6-wan-target config-ipv6-wan-target-list config-keychain config-keychain-key config-l2tp-server config-l2tpv3 config-ldap-server config-line-console config-line-ssh config-line-telnet config-loopback config-lt config-mst config-multilink config-netflow-host config-network-policy config-ntp config-object-group-application config-object-group-mac config-object-group-network config-object-group-service config-object-group-url config-openvpn config-openvpn-server config-ospf config-ospf-area config-ospf-vlink config-pl config-policy-map config-pool config-port-channel config-ppp-user config-pppoe config-pptp config-pptp-server config-profile config-qinq-if config-radius-server config-rip config-route-map config-route-map-rule config-service-port config-sflow-host config-snat config-snat-pool config-snat-rule config-snat-ruleset config-snmp-host config-snmp-user config-softgre config-subif config-subscriber-control config-subscriber-default-service config-subtunnel config-tacacs-server config-tracking config-user config-vlan config-vrf config-vti config-wan-rule config-wan-target config-wan-target-list config-wireless config-zone config-zone-pair config-zone-pair-rule debug root
Теперь разрешим выполнение команды ip address и no ip address:
esr-1000(config)# privilege config-if-gi level 9 "ip address" esr-1000(config)# privilege config-if-gi level 9 "no ip address" esr-1000(config)#
Ну и конечно же не забываем понизить уровень для команд commit и confirm. Также как команды show и config данные команды находятся в разделе root.
esr-1000(config)# privilege root level 9 "commit" esr-1000(config)# privilege root level 9 "confirm"
После применения конфигурации пользователь test помимо своего обычного набора команд сможет выполнять команды show run, а также изменять ip-адреса на физических интерфейсах.