В некоторых случаях появляется необходимость завести пользователя с уровнем привилегий, позволяющем выполнять основные команды show, но при этом имел возможность изменять ip-адреса интерфейсов.
На маршрутизаторах ESR предусмотрен механизм позволяющий повышать либо понижать уровень привилегий для команд.
Например нам нужен пользователь с уровнем привилегий 9. Создадим его:
esr-1000#
esr-1000# configure
esr-1000(config)# username test
esr-1000(config-user)# password password
esr-1000(config-user)# privilege 9
esr-1000(config-user)# exit
esr-1000(config)#
При этом нам необходимо, что бы этот пользователь мог просматривать полностью конфигурацию устройства, а также менять ip-адреса интерфейсов.
Понизим привилегии для команды show running-config:
esr-1000(config)# privilege root level 9 "show running-config"
esr-1000(config)#
Теперь понизим привилегии для команды configure:
esr-1000(config)# privilege root level 9 "configure"
esr-1000(config)#
Далее необходимо понизить приоритет для команды interface:
esr-1000(config)# privilege config level 9 "interface"
esr-1000(config)#
Что бы понизить приоритет команды interface используется раздел config. Все эти разделы можно посмотреть с помощью символа "?":
esr-1000(config)# privilege ?
COMMAND MODE Select command mode:
change-expired-password config
config-aaa-das-profile config-aaa-radius-profile
config-accsess-profile config-acl
config-acl-rule config-archive
config-bgp config-bgp-af
config-bgp-group config-bgp-neighbor
config-bridge config-cellular-modem
config-cellular-profile config-class-map
config-class-policy-map config-das-server
config-dhcp-server config-dhcp-vendor-id
config-dnat config-dnat-pool
config-dnat-rule config-dnat-ruleset
config-e1 config-gre
config-if-gi config-if-te
config-ike-gw config-ike-policy
config-ike-proposal config-ip4ip4
config-ipsec-policy config-ipsec-proposal
config-ipsec-vpn config-ipv6-bgp-af
config-ipv6-bgp-group config-ipv6-bgp-neighbor
config-ipv6-dhcp-server config-ipv6-ospf
config-ipv6-ospf-area config-ipv6-ospf-vlink
config-ipv6-pl config-ipv6-wan-rule
config-ipv6-wan-target config-ipv6-wan-target-list
config-keychain config-keychain-key
config-l2tp-server config-l2tpv3
config-ldap-server config-line-console
config-line-ssh config-line-telnet
config-loopback config-lt
config-mst config-multilink
config-netflow-host config-network-policy
config-ntp config-object-group-application
config-object-group-mac config-object-group-network
config-object-group-service config-object-group-url
config-openvpn config-openvpn-server
config-ospf config-ospf-area
config-ospf-vlink config-pl
config-policy-map config-pool
config-port-channel config-ppp-user
config-pppoe config-pptp
config-pptp-server config-profile
config-qinq-if config-radius-server
config-rip config-route-map
config-route-map-rule config-service-port
config-sflow-host config-snat
config-snat-pool config-snat-rule
config-snat-ruleset config-snmp-host
config-snmp-user config-softgre
config-subif config-subscriber-control
config-subscriber-default-service config-subtunnel
config-tacacs-server config-tracking
config-user config-vlan
config-vrf config-vti
config-wan-rule config-wan-target
config-wan-target-list config-wireless
config-zone config-zone-pair
config-zone-pair-rule debug
root
Теперь разрешим выполнение команды ip address и no ip address:
esr-1000(config)# privilege config-if-gi level 9 "ip address"
esr-1000(config)# privilege config-if-gi level 9 "no ip address"
esr-1000(config)#
Ну и конечно же не забываем понизить уровень для команд commit и confirm. Также как команды show и config данные команды находятся в разделе root.
esr-1000(config)# privilege root level 9 "commit"
esr-1000(config)# privilege root level 9 "confirm"
После применения конфигурации пользователь test помимо своего обычного набора команд сможет выполнять команды show run, а также изменять ip-адреса на физических интерфейсах.