474.目前, 公司有一个网络管理员, 公司网络中的 AR2200 通过 Telnet 直接输入密码后就可 以实现远程管理 。新 来了两个网络管理员后, 公司希望给所有的管理员分配各自的用户名与密码, 以及不同的权限等级 。那么应该如何操作呢?

这道题考查的是华为网络设备中 AAA（Authentication, Authorization, Accounting）认证配置以及用户权限管理的相关知识。 **正确答案：A、B、C** ### 详细解析： 1. **分析需求**： * 现状：AR2200 目前通过 Telnet 直接输入密码（通常指简单的 password 认证模式，所有用户共享一个密码，且权限固定）进行远程管理。 * 目标：新增两名管理员后，需要为**所有三名管理员**分配**各自的用户名与密码**，并且拥有**不同的权限等级**。 2. **选项分析**： * **A. 在配置每个管理员的帐户时, 需要配置不同的权限级别** * **正确**。题目明确要求“不同的权限等级”。在华为设备中，可以在创建本地用户时指定该用户的服务类型和访问级别（privilege level）。例如，可以设置管理员 A 为 level 3（最高权限），管理员 B 为 level 1（参观级）等。这是实现差异化权限管理的必要步骤。 * **B. Telnet 配置的用户认证模式必须选择 AAA 模式** * **正确**。 * 原有的“直接输入密码”通常对应的是 `authentication-mode password` 模式，这种模式下只能配置一个统一的密码，无法区分不同用户。 * 要实现“各自的用户名与密码”，必须启用基于用户的认证。在华为 VRP 系统中，这需要通过 **AAA** 模块来实现。 * 因此，必须在 VTY 用户界面视图下将认证模式修改为 AAA（命令：`authentication-mode aaa`），这样设备才会调用 AAA 配置中的本地用户数据库进行用户名和密码的校验。 * **C. 在 AAA 视图下配置三个用户名和各自对应的密码** * **正确**。既然选择了 AAA 认证模式，就需要在 AAA 视图（`aaa`）下创建具体的本地用户。需要使用 `local-user` 命令分别为三位管理员创建账号，设置各自的密码（`password` 或 `cipher password`），并指定服务类型为 telnet（`service-type telnet`）。这是实现多用户独立认证的核心配置。 * **D. 每个管理员在运行 Telnet 命令时, 使用设备的不同公网 IP 地址** * **错误**。 * Telnet 客户端（管理员的 PC）使用什么源 IP 地址发起连接，与服务器端（AR2200）如何验证用户身份无关。 * AR2200 只需要有一个可达的 IP 地址供管理员连接即可。 * 虽然可以通过 ACL 限制特定源 IP 访问，但这并不是实现“用户名/密码区分”和“权限分级”的必要条件或操作手段。题目关注的是身份认证和授权机制，而非网络层的路由或寻址问题。 ### 总结操作步骤： 为了实现题目要求，网络管理员需要在 AR2200 上执行以下关键配置： 1. **进入 AAA 视图**，创建三个本地用户，分别设置用户名、密码和服务类型（Telnet），并可在此处或后续步骤关联权限级别。 ```bash [AR2200] aaa [AR2200-aaa] local-user admin1 privilege level 3 service-type telnet [AR2200-aaa] local-user admin1 password cipher Huawei@123 [AR2200-aaa] local-user admin2 privilege level 2 service-type telnet [AR2200-aaa] local-user admin2 password cipher Huawei@456 ... ``` 2. **进入 VTY 用户界面视图**，将认证模式改为 AAA。 ```bash [AR2200] user-interface vty 0 4 [AR2200-ui-vty0-4] authentication-mode aaa ``` 因此，选项 **A、B、C** 都是必须的操作或正确的描述。