Sx700交换机HWTACACS技术白皮书.docx

S系列交换机Hwtacacs技术白皮书文档版本V1.0发布日期2015-08-081技术简介1-11.1 技术简介1-11.1.1 概述1-11.1.2 技术优势1-12原理描述2-42.1 基本概念2-41 .1.1网络组成2-42 .2Hwtacacs报文2-52.2 工作原理2-52.2.1 Hwtacacs工作流程2-52.2.2 Hwtacacs认证2-62.2.3 Hwtacacs授权2-82.2.4 Hwtacacs计费2-o3应用场景2-123.1采用HWTACACS协议进行认证、授权和计费2-123.2命令行授权2-1533Hwtacacs服务器上账户密码修改和老化2-233.4管理用户提升优先级2-284参考标准和协议2-335附录2-34HWTACACS技术白皮书摘要：Hwtacacs是实现aaa功能的一-种安全协议，主要是通过Hwtacacs客户端与Hwtacacs服务器通信来实现多种用户的AAA功能。关键词：Hwtacacs.TACACs、radius、aaa、设备管理、命令行授权缩略语：英文缩写英文全称中文全称HwtacacsHUAWEITerminalAccessControllerAccessControlSystem华为终端访问控制器控制系统TACACSTerminalAccessControllerAccessControlSystem终端访问控制器控制系统TACACS+TerminalAccessControllerAccessControlSystemplusCisco对TACACS的增强协议RADIUSRemoteAuthenticationDial-InUserService远程认证拨号用户服务AAAAuthentication,Authorization,Accounting认证、授权、计费NASNetworkAccessServer网络接入服务器ACSAccessControlServer访问控制服务器BRASBroadbandRemoteAccessServer宽带远程接入服务器EXECExecutable可执行命令的1技术简介1.l技术简介1.1.1 概述AAA是AUthentiCatiOn（认证）、Authorization（授权）和ACCOUnting（计费）的简称,是网络安全的一种管理机制，提供了认证、授权、计费三种功能。HWTACACS是实现AAA功能的一种安全协议，它与RADlUS协议类似，主要是通过HWTACACS客户端与HWTACACS服务器（即客户端/服务器模式）通信来实现多种用户的AAA功能。HWTACACS是在TACACS（RFC1492）基础上进行了功能增强的安全协议，使用公共密钥对传输的用户信息进行加密,具有较好的安全性和灵活性。HWTACACS采用TCP协议承载报文，TCP端口号是49,它相对于RADIUS使用UDP协议，使得传输更加可靠。HWTACACS认证功能，可以对802.IX、PortakPPP等普通接入用户进行认证，也可以对串口、telnetSSH.ftp等管理用户进行认证。同样，HWTACACS授权功能，既可以对普通接入用户进行授权，也可以对登陆设备的管理用户进行授权，还可以对管理用户的每条命令进行授权。HWTACACS计费功能，既可以对普通接入用户上线时间的传统意义的网络计费，还可以记录管理用户登陆到设备停留时间记录，用户执行操作命令进行记录等。Hwtacacs兼容cisco的TACACs+协议，华为交换机作为Hwtacacs客户端可以和TACACs+服务器对接实现AAA功能。1.1.2 技术优势HWTACACS协议与RADlUS协议相比较，具有以下优势。从HWTACACS优势来看，HWTACACS更适合设备控制管理；RADlUS协议更适合接入用户管理，两种协议对比，参见表1所示。 AAA功能灵活部署AAA功能的认证、授权和计费，这三个过程是可以完全分离的，即用户可以只认证不授权，或者只授权不认证，或者单单只计费。 设备管理更安全灵活采用HWTACACS对登陆到设备的管理用户进行命令行授权，用户执行每条命令行时均进行权限控制，只有授权通过后才可以执行该命令，否则不能执行，这样用户可使用的命令行受到命令级别和AAA授权的双重限制，针对不同级别的管理用户进行精细化的命令行操作授权，使得设备管理更加安全和灵活。 网络传输更可靠HFrACACS采用TCP协议承载，TCP协议是面向连接的，而RADnJS协议是采用UDP报文传输的，HWTACACS报文网络传输更加可靠。 传输安全性更高HWTACACS会对除标准的HWTACACS报文头外，对报文主体全部进行加密，使得在报文传输过程中更加安全。表1Hwtacacs协议与radius协议的对比HwtacacsRADIUS通过TCP传输，网络传输更可靠。通过UDP传输，网络传输效率及性能更高。除了标准的Hwtacacs报文头，对报文主体全部进行加密。只是对认证报文中的密码字段进行加密。认证与授权分离，使得认证、授权服务可以在不同的安全服务器上实现。例如，可以用一台Hwtacacs服务器进行认证，另外一台Iiwtacacs服务器进行授权。认证与授权结合，难以分离。对设备上的配置命令进行授权使用。即用户可使用的命令行受到命令级别和AAA授权的双重限制，某一级别的用户输入的每一条命令都需要通过HWTCCS服务器授权，如果授权通过，命令才可以被执行。不支持对设备上的配置命令进行授权使用。用户登录设备后可以使用的命令行由用户级别决定，用户只能使用级别等于或低于用户级别的命令行。hwtaccs属于私有协议，兼容tccs+。RADIUS是标准协议，基本所有主流设备厂商都支持，可对接的服务器选择更多；RADluS属性包括标准属性和私有属性，各设备厂商可对私有属性进行灵活扩展，以实现标准RADIUS没有定义的功能。HWTACACS在命令行授权、修改服务器上管理用户密码等设备控制方面具有优势，更适合设备用户管理。RADlUS属性易扩展、网络传输效率及性能优，RADIUS协议各服务器厂商支持最为完善，服务器选择多,在实际网络规划中应用最为广泛。2原理描述2.1 基本概念2.1.1 网络组成HWTACACS协议用于802.lx、PortahPPP等接入用户以及对设备进行操作的TeInet、ssh、FTP等管理用户的认证、授权和计费，如图1所示，主要由用户、Hwtacacsclient、HWTACACSSerVer三部分组成。HwtacacsCIient通常也称为NAS网络接入服务器，Switch可作为NAS对用户访问网络资源进行控制，NAS和HWTACACSSerVer基于HWTACACS协议实现对用户的AAA功能。HWTACACSSCrVer可以部署主备服务器，当主HWTACACSSCrVer服务器故障不能访问，NAS会切换到备HWTACACSSerVer去认证、授权和计费，保证用户业务不中断。(Backup )(Master)图1基Hwtacacs协议的AAA组网2.2Hwtacacs报文 Hwtacacs认证报文包括三种类型：认证开始报文(AUthentiCationStart)：认证开始时，客户端向服务器发送认证开始报文，该报文中包括认证类型，同时可能包括用户名和一些认证数据。认证持续报文(AUthentiCatiOnContinue)：客户端接收到服务器回应的认证回应报文后，如果确认认证过程没有结束，则使用认证持续报文响应。认证回应报文(AUthentiCatiOnReply)：服务器接收到客户端发送的认证开始报文或认证持续报文后，向客户端发送的唯一一种认证报文，用于向客户端反馈当前认证的状态。 Hwtacacs授权报文包括两种类型：授权请求报文(AuthorizationRequest):HWTACACS的认证和授权是分离的，用户可以使用Hwtacacs认证而使用其他协议进行授权。如果需要通过Hwtacacs进行授权，则客户端向服务器发送授权请求报文，该报文中包括了授权所需的一切信息。授权回应报文(AuthorizationResponse)：服务器接收到授权请求报文后，向客户端发送授权回应报文，该报文中包括了授权的结果。 Hwtacacs计费报文包括两种类型：计费请求报文(ACCOUmingReqUest)：该报文中包括了计费所需的信息。计费回应报文(AccountingResponse)：服务器接收并成功记录计费请求报文后，需要回应一个计费响应报文。2.2工作原理2.2.Hwtacacs工作流程下面以Tehlet管理用户为例，说明使用HWTACACS对用户进行认证、授权和计费的过程。基本消息交互流程图如图2所示。UserNASW1ACACSClient)HwiACACSServer少7L用户登陆认证开始报文认证回应报文，请求用户名向用户申请用户名用户输入用户名认证持续报文，向服务器发送用户名认证回应报文，请求密码向用户申请密码用户输入密码认证持续报文，向服务器发送密码认证回应报文，认证通过授权请求报文授权回应报文，授权通过用户登陆成功计费开始报文计费开始报文回应用户退出计费结束报文计费结束报文回应«图2HWTACACS的基本消息交互流程2.2.2 Hwtacacs认证 接入用户和管理用户认证HrrACACS用户认证分不认证、本地认证、远端认证。不认证对用户非常信任，对用户合法性不作检查，一般不建议使用；本地认证是将用户名和密码等信息直接配置在NAS上，不需要额外部署HwTACACS服务器，可以降低投入成本，但由于NAS存储用户信息有限，适合用户数少的场景；远端认证用户名和密码等信息配置在远端的HWTACACS服务器上，对用户信息集中管理，适合用户数较多的场景。Hwtacacs认证方案支持一次认证方法或多次认证方法的组合。网络中可能出现认证服务器本身故障或NAS到认证服务器中间链路故障，用户在认证过程中得不到认证服务器的响应,用户就不能成功认证接入网络，Hwtacacs认证方案的多次认证组合为这种故障提供了旁路机制。多次认证是按照认证方法的配置顺序执行，采用当前认证方法进行认证的时，只有在认证服务器无响应的情况下，才会尝试下一个认证方法。如果当前认证方法已认证失败，则按认证失败处理，不会尝试下一个认证方法。如果选用了多次认证，不认证只能是最后一个认证方法。 管理用户级别提升认证为了限制不同管理用户对设备的访问权限，系统对用户进行了分级管理。用户的级别与命令级别对应，不同级别的用户登录设备后，只能使用等于或低于自己级别的命令。但在有些情况下，用户需要在不退出当前登录或不断开当前连接的前提下，提升自身的用户级别，让自己享有更高的命令操作权限。用户级别的提升需要认证，只有认证通过，才赋予该管理用户新的访问权限，但用户从当前高级别权限向低级别切换时，无需认证。如维护人员以较低级别的用户身份登录设备，查看设备运行状态，当需要进行配置、维护类操作时，就希望临时切换到较高的级别，这种切换后的级别是临时的，只对当前登录生效，用户重新登录后,又会恢复到原有级别。管理用户级别提升认证同样支持不认证、本地认证、远端认证三种认证方法，也支持多次认证方法的组合，原理同上面用户认证过程实现类似。如下所示，某个网络管理部门的所有维护人员均使用HWTACACS认证登陆设备，且登陆设备的用户级别设置为O级（即VISrr级别），维护人员只具有一些基本的网络诊断操作命令执行权限，如Ping、tracert功能等。维护人员可以通过SUPer命令提升自己的级别，该部门的核心维护人员具有设备操作的最高权限，在输入正确的密码认证通过之后，将自己级别提升到3级（即MANAGE级），这样该维护人员对设备具有所有命令行的操作权限。<IIUAWEI>super3Password:<此处输入级别切换密码Nowuserprivilegeis3level,andonlythosecommandswhoselevelisequaltoorlessthanthislevelcanbeused.Privilegenote:O-VISIT,!-MONITOR,2-SYSTEM,3-MANGE 管理用户HWTACACS服务器上账户密码修改为了提升设备管理的安全性，在HWTACACS服务器上设置允许修改管理用户密码功能,同时需要设定密码有效期限和密码老化告警期，只有在用户名和密码没有过期的情况下，才允许用户主动修改密码；对于密码已经过期的用户，登录设备时，HWTACACS服务器将返回认证不成功，不能成功登陆设备，当然就不允许用户主动更改密码。当用户密码在有效期内并且进入最后的密码老化告警期后，在管理用户每次登陆设备时，都会提醒用户密码将要终止和让其及时修改密码。在HWTACACS服务器上设置管理用户密码修改功能之后，Telnet或SSH登陆的管理员可以直接在设备上修改密码，而不需要登陆到HWTACACS服务器上去修改，这样就不要所有的设备管理员拥有HWTACACS服务器登陆权限。如下所示，经过HWTACACS认证的用户主动修改用户密码。<HUAWEI>hwtacacs-userchange-passwordhwtacacs-serverhuaweiInfo:EXECisinaninteractiveprocess,pleasewait.Username:testhuaweiOldPassword:<此处输入当前密码NewPassword:<此处输入需要修改的新密码Re-enterNewpassword:<此处再次确认新输入的密码Info:Thepasswordhasbeenchangedsuccessfully.2.2.3 Hwtacacs授权接入用户和管理用户EXEC授权接入用户授权是指通过HWTACACS服务器对802.1X、POrtaI等接入用户进行权限控制；管理用户EXEC授权是指通过HWTACACS服务器对telnet、SSH和FTP登录的管理用户进行权限控制。用户授权是通过NAS和HWTACACS服务器交互授权报文中携带的HWTACACS属性来完成信息传递的，HWTACACS属性详情可参考附录。接入用户授权可以给用户下发上行/下行的CIR、上行/下行的PIR、IP地址、DNS地址等。管理用户EXEC授权可以给管理用户下发idle-time、privilege-level>ftp-directoryauto-cmd等属性。idle-time属性用于当管理用户登陆到设备后，在多长时间段没有操作就将用户连接切断。PriVilege-IeVel属性是授权管理用户的登陆级别。ftp-directory属性是授权FTP用户的本地目录。auto-cmd属性是授权管理用户登陆设备后，自动执行下发的指定命令行。HWTACACS支持不授权、本地授权及远端授权的组合授权，HWTACACS组合授权原理和HWTACACS组合认证原理类似，如HWTACACS远端授权由于没有响应远端授权失败后，可以跳转到本地授权。管理用户命令行授权HWTACACS可以对管理用户进行用户级别授权和用户命令行授权。telnet>SSH、FTP等管理用户的级别权限分为O-访问级，1-监控级，2-系统级，3-管理级四个级别。管理级的权限最高，可以使用所有的命令；其他的级别越低，可以进入的视图及使用的命令行就越少;高级别拥有低级别的命令行操作权限。访问级只具有如ping、tracert网络诊断和telnet、SSH访问外部设备的权限；监控级具有系统维护权限，如CIiSPlay等显示查询命令；系统级用户具有业务配置命令权限；管理级具有最高权限，除了业务配置命令权限外，还拥有系统管理权限（如文件系统、FTP、TFTP下载）、用户管理命令、命令级别设置命令、业务故障诊断的debugging命令等。虽然管理用户可分为四个级别命令权限，每个级别的不同管理用户都具有相同的命令操作权限，这样应用还不够灵活，如果要想相同级别的管理用户，也具有不同的命令行操作权限，可以通过命令行授权来实现。命令行授权是基于用户级别对每一条命令行逐条授权，即某一级别的用户可以看到该级别的所有命令行，但只有授权通过后才可以执行该命令，否则命令会执行失败。如图3所示，首先在NAS设备上使能命令行授权功能，在HWTACACS服务器上创建授权命令行集，对需要授权的用户绑定命令行授权集。管理用户登陆到NAS设备上，如果该管理员对应的用户级别没有设置命令行授权功能，按照正常处理，命令行立即执行成功；如果已经配置了命令行授权功能，它每配置一条命令都需要NAS向HWTACACS服务器发送命令行授权请求报文，HWTACACS服务器会查询该管理用户是否对此命令行已经授权，若己经授权则回应授权成功，此命令在NAS上执行成功；若没有授权此命令则回应授权失败，在NAS上执行失败。2.2.4 Hwtacacs计费接入用户计费接入用户计费是指对802.1X、PortakPPP等普通用户接入网络的传统意义的计费。在用户初始接入时发送开始计费报文，用户在线过程中定时发送实时计费报文，用户下线时发送结束计费报文。HWTACACS协议计费包括按时长计费和按流量计费两种模式。按时长计费是按照用户在线的时间长短来计费；按流量计费是按照用户上线使用的流量大小来计费。管理用户记录审计如图4所示，管理用户跟普通接入用户一样，在用户登陆设备开始可以发送计费开始报文，退出登陆设备时发送计费结束报文，在HWTACACS服务器上记录登陆开始时间和结束时间，即在HWTACACS服务器上记录用户登陆信息，但管理用户通常不需要计费，一般用于管理用户登陆信息的记录和审查。HWTACACS计费报文可以在HWTACACS服务器上记录两种类型的管理用户登陆信息，第一种是用户通过TeInet或者FTP等方式登录到NAS设备的场景；第二种是用户将NAS设备作为Telnet或者FTP的客户端登录到远程服务器端的场景,用户登陆NAS设备后，再输入命令与远程服务器的建立连接并访问远程主机上的文件。这两种信息的登陆记录通常称为ConneCtion信息记录。如图5所示，HWTACACS计费报文还可以发送管理员在设备上配置的任何命令行，在HWTACACS服务器上记录配置的命令行，此信息记录通常称为COmmand记录，可以为错误配置导致业务受损提供历史命令配置轨迹查询；设备还支持通过发送HWTACACS计费报文,在服务器上记录系统级事件（如单板复位等），此信息记录通常称为SyStem信息记录，可以帮助管理员用户根据服务器上的记录信息进行故障定位。3应用场景3.1 采用HWTACACS协议进行认证、授权和计费组网需求如图6所示，SWitCh对接入用户先用HWTACACS服务器进行认证，如果认证没有响应，再使用本地认证；SWitCh对接入用户先用HWTACACS服务器进行授权，如果授权没有响应,再使用本地授权；SWitCh对接入用户采用HWTACACS计费，对用户进行实时计费，计费间DestinationNetwork隔为3分钟。HWTACACS主用服务器为10.7.66.66/24,备用服务器为10.7.66.67/24,服务器的认证、授权和计费端口号均为49。mainHuaw<HWTACACSServer(Master)10.7.66.66/24SwitchNetworkHWTACACSServer(Backup)k10.7.66.67/24图6接入用户HWTACACS认证、授权和计费的组网操作步骤1、使能HWTACACS功能Switchhwtacacsenable2、配置HWTACACS服务器模板ht,HWTACACS主/备用认证、授权、计费服务器的IP地址和端口Switchhwtacacs-servertemplatehtSwitch-hwtacacs-hthwtacacs-SerVerauthentication10.7.66.6649Switch-hwtacacs-hthwtacacs-serverauthorization10.7.66.6649Switch-hwtacacs-hthwtacacs-serveraccounting10.7.66.6649Switch-hwtacacs-hthwtacacs-serverauthentication10.7.66.6749secondarySwitch-hwtacacs-hthwtacacs-serverauthorization10.7.66.6749secondarySwitch-hwtacacs-hthwtacacs-serveraccounting10.7.66.6749secondary3、配置HWTACACS服务器密钥Switch-hwtacacs-hthwtacacs-servershared-keycipherIIuawei2012Switch-hwtacacs-htquit4、配置认证方案l-h,认证模式为先进行HWTACACS认证，后进行本地认证SwitchaaaSwitch-aaaauthentication-schemelhSwitch-aaa-authen-1-hauthentication-modehwtacacslocalSwitch-aaa-authen-l-hquit5、配置授权方案hwtacacs,授权模式为先进行HWTACACS授权，后进行本地授权Switch-aaaauthorization-schemehwtacacsSwitch-aaa-author-hwtacacsauthorization-modehwtacacslocalSwitch-aaa-author-hwtacacsquit6、配置计费方案hwtacacs,计费模式为HWTACACS,并配置当开始计费失败时，允许用户上线Switch-aaaaccounting-schemehwtacacsSwitch-aaa-accounting-hwtacacsaccounting-modehwtacacsSwitch-aaa-accounting-hwtacacsaccountingstart-failonline7、配置实时计费间隔为3分钟Switch-aaa-accounting-hwtacacsaccountingrealtime3Switch-aaa-accounting-hwtacacsquit8、配置huawei域，在域下采用Lh认证方案、HWTACACS授权方案、HWTACACS计费方案、ht的HWTACACS模板Switch-aaadomainhuaweiSwitch-aaa-domain-huaweiauthentication-scheme1-hSwitch-aaa-domain-huaweiauthorization-schemehwtacacsSwitch-aaa-domain-huawciaccounting-schemehwtacacsSwitch-aaa-domain-huaweihwtacacs-serverhtSwitch-aaa-domain-huaweiquitSwitch-aaaquitSwitchquit3.2 命令行授权组网需求如图7所示，CiSCOSeCUreACSSerVer采用TACACS+协议，华为交换机作为NAS和TACACS+服务器对接，采用ACSSerVer对命令行进行授权。这边使用系统视图命令和OSPF命令举例，已经授权的命令行可执行成功。当管理员执行没有授权的命令行时，命令行是可见的，但不能执行成功。Switch图7 HWTACACS远端服务器授权的组网Telnet/SSH 等 管理用户Cisco Secure ACS Server ( TACACS+ )操作步骤1、服务器端配置1）通过ACS服务器的USerSeuIP添加用户名和密码，如图8所示。ClCTI11iSUserSetupEdftp=lIMrfc*IAlCnfi9urtt0nUser：testhuaweiAccountDisabledJPoxturtl2SVhdtiohIBNMrkA«”后*IReportsdIASWityUserSetupIPasswordAuthentication:IACSInternalDatabase3CiscoSecurePAP(AlsousedforCHAP/MS-CHAP/ARAP,iftheSeparatefieldisnotchecked.)PasswordConfirmPassword*"添加密码Separate(CHAP/MS-CHAP/ARAP)PasswordConHrm777Da。VUCrH图8HWTACACS服务器添加用户名2）配置服务器对管理用户进行用户级别授权，如图9所示。CuceSystemsISharedProfileIComponents55NetworkCOnff9urr"oo艺坛I的StemC防fGaHgF=-IInterf8IwaConfiguration木、IExternalUser爽JIDatabaSglP5ture0而叫VaiidatiOn2NetworkAcce5：Profiles×IReportsandIAOtMtybIOnlineJRIDoounwntAtionUserSetupIRShell(exec)AccesscontrollistAutocommandCallbacklineCallbackrotaryIdletimeNocallbackverifyNoescapeNohangup厂EnabledEnabledEnabled“Privilegelevel2戮用户授权级别1匠TimeoutCustomattributes10二图9HWTACACS服务器用户级别授权3）配置NAS设备IP地址和采用TACACS+认证，如图10所示。ClSCoSmlUNetworkConfigurationEdit3xAAAClientSetupFor1179771回唧ISMredProfileICOcnPORmtSyNetworkCgfigUratig-iSystem制高1ConfigurationAAAClient10.137.222.123f=-Ilntrfc<Iw三ConfigurationIPAddressKeyc%JAdministrationeZIControl-GIE×ter1Us4rSHJIDmNetworkDevice(NotAssianed)POStUre叵泡IValidationGroup¾fNevorkAccejj<Profil;AuUieiiLiccfLe77'cj.,ccfTCg=tacacs认UEIIiairIrIIReportsaMIActivityrSingleConnectTACACS+AAAClient(R三cordstopinr¾MIDocumentationaccountingonfailur).LogUpdate/WatchdogPacketsfromthisAAAClientLogRADIUSTunnelingPacketsfromthisAAAClientrReplaceRADIUSPortinfowithUsernamefromthisAAAClientSubmitISubmit+ApplyDelete图10服务器上配置NAS地址和认证方式4）编辑授权的命令行集合，只对SyStem-VieW和OSPF命令授权，如图11所示。ShellCommandAuthorizationSetName:Ryssys/ospfDescription:UnmatchedCommands:permit1<crAddCommandPermit3DenyPermitUnmatchedArgsRemoveCommandSubmitIDeleteICancelI图11HWTACACS服务器上编辑授权命令集合5)GrOUPSetUP中找到先前设置的命令行集合并绑定，提交和重启服务，此时所有服务器上的设置就成功了，如图12所示。ShellCommandAuthorizationSetCNoneGAssignaShellCommandAuthorizationSetforanynetworkdeviceISyS-CPerGroupCommandAuthorizationUnmatchedCiscoIOScommandsPermitSDeny厂Command:IArguments:I3-dUnlistedargumentsPermitSubmitISubmit+RestartCancel图12HWTACACS服务器GroUP中绑定授权命令行集合2、设备端配置1)配置认证和授权服务器，并对用户权限级别2的用户进行命令行授权。hwtacacs-servertemplateacshwtacacs-serverauthentication10.137.222.179hwtacacs-serverauthorization10.137.222.179hwtacacs-servershared-keyHuaweinaaaauthentication-schemehuaweiauthentication-modehwtacacs#authorization-schemehuaweiauthorization-cmd2hwtacacs<对用户优先级为2的用户进行命令行授权authorization-modehwtacacsdomainhuawciauthentication-schemehuaweiauthorization-schemehuaweihwtacacs-serveracs#user-interfacevty04authentication-modeaaauserprivilegelevel15<-不授权的时候，管理用户登录享有15级权限idle-timeout00#HUAWEIdisauthorization-schemehuaweiAuthorization-scheme-name:huaweiAuthorization-method：IiwtacacsAuthorization-method:LocalAuthorization-cmdlevelO:DisabledAuthorization-cmdlevel1:DisabledAuthorization-cmdlevel2:Enabled(HWTCCS)<对2级用户HWTACACS命令行授权Authorization-cmdlevel3:DisabledAuthorization-cmdlevel4:DisabledAuthorization-cmdlevel5:DisabledAuthorization-cmdlevel6:DisabledAuthorization-cmdlevel7:DisabledAuthorization-cmdlevel8:DisabledAuthorization-cmdlevel9:DisabledAuthorization-cmdlevel10:DisabledAuthorization-cmdlevel11:DisabledAuthorization-cmdlevel12:DisabledAuthorization-cmdlevel13:DisabledAuthorization-cmdlevel14:DisabledAuthorization-cmdlevel15:DisabledAuthorization-cmdno-response-policy:Online2）对已授权的命令执行成功，未授权的命令执行失败。文档版本V1.0华为专有和保密信息2-21版权所有©华为技术有限公司LoginauthenticationUsernameitestQhuaweiPassword:Note:ThemaxnumberofVTYusersis5,andthecurrentnumberofVTYusersonlineis4.<S5328-123>displayuser-interfacevty3Idx