华为交换机1～15权限划分对应哪些命令？

华为交换机的1～15权限等级并非一一对应独立命令集，而是通过命令级别（command privilege level）与用户权限等级（user privilege level）双向映射实现分级管控。在默认模式下，系统仅启用0～3级权限体系，其中0级限于基础网络诊断类命令（如ping、tracert及部分display），1级扩展至系统状态类display命令，2级开放业务配置能力（如interface、vlan、ospf等核心配置命令），3级则涵盖文件管理、调试命令等高危操作；启用command-privilege level rearrange后，系统将原2级命令统一映射至10级、原3级命令映射至15级，中间4～9级、11～14级为预留扩展空间，支持企业按安全策略自定义授权粒度——这一设计既延续了VRP系统长期稳定的权限逻辑，也满足金融、电力等场景对最小权限原则的精细化落地需求。

一、默认模式与扩展模式的切换操作流程

要启用1～15级完整权限体系，必须在系统视图下执行命令“command-privilege level rearrange”，该命令不可逆，执行后需重启设备或使用“save”保存配置并手动应用新映射关系。切换完成后，原2级配置类命令（如system-view、interface GigabitEthernet0/0/1、vlan 10）自动归属至10级权限；原3级高危命令（如ftp、tftp、debugging、reboot、startup saved-configuration）则全部归入15级。此时，用户权限等级若设为10，即可执行全部业务配置类操作，但无法调用调试或设备重启指令，实现配置权与管理权的物理隔离。

二、中间权限等级（4～9级、11～14级）的实际配置方法

这些等级本身不预置默认命令绑定，需管理员主动通过“command-privilege level [level] view [view-name] command [command-string]”逐条授权。例如，为财务部门运维账号分配仅查看VLAN与端口统计信息的权限，可创建6级用户并绑定“display vlan”“display interface brief”两条命令；为网络监控岗设置8级权限，可叠加“display cpu-usage”“display memory-usage”及“display transceiver diagnosis-information”等状态类命令，同时排除所有带“config”“undo”字样的可写操作。每条授权命令需单独确认生效，且优先级高于全局视图继承规则。

三、权限等级落地的关键验证步骤

完成配置后，须通过三步验证：第一，在AAA本地认证中创建测试用户并指定privilege level X；第二，以该用户通过Console或SSH登录，执行“display user-interface”确认当前权限等级显示准确；第三，尝试执行目标命令集并记录响应——成功返回结果即表示授权有效，若提示“Error: The command is not allowed for the current user privilege level”，说明映射未生效或命令拼写存在细微偏差（如“dis ip int bri”不等于“display ip interface brief”）。

综上，华为交换机的1～15级权限本质是策略驱动型能力切片工具，其价值不在数字本身，而在于企业可根据组织架构与安全审计要求，将命令粒度精确锚定至具体岗位职责。