华为设备系统命令采用分级保护方式，命令从低到高划分为16个级别。

缺省情况下，命令按如下0～3级进行注册：

0级，参观级：网络诊断工具命令（ping、tracert）、从本设备出发访问外部设备的命令（Telnet客户端）等。

1级，监控级：用于系统维护，包括display等命令。

2级，配置级：业务配置命令，包括路由、各个网络层次的命令，向用户提供直接网络服务。

3级，管理级：用于系统基本运行的命令，对业务提供支撑作用，包括文件系统、FTP、TFTP、Xmodem下载、配置文件切换命令、备板控制命令、用户管理命令、命令级别设置命令、系统内部参数设置命令；用于业务故障诊断的debugging命令等。

从如下可以得出，基本0~3级，这4个级别的权限，在实际使用中完全够用了，然后在实际使用中还是会有各种需求的，比如：

①多个人使用同一台设备，权限可能导致的一些问题；

②能否让每个人所对应的权限，而有所不同，但是也拥有操作大部分命令的权限呢？

这个时候，如果用户需要实现权限的精细管理，可以将命令级别提升到0～15级。

1.添加用户fishyoung1和fishyoung2，命令级别分别为3和15。[hide]

<Router>sys
[Router]aaa
[Router-aaa]local-user fishyoung1 password cipher Admin@huawei
[Router-aaa]local-user fishyoung1 privilege level 3
[Router-aaa]local-user fishyoung1 service-type telnet terminal
[Router-aaa]local-user fishyoung2 password cipher Admin@huawei
[Router-aaa]local-user fishyoung2 privilege level 15
[Router-aaa]local-user fishyoung2 service-type telnet terminal
[Router-aaa]

2.用fishyoung1和fishyoung2登陆设备，发现大部分的操作是一样的。

[Router-aaa]user-interface con 0
[Router-ui-console0]authentication-mode aaa
[Router-ui-console0]quit
[Router]quit
<Router>quit

从上图可以发现，两个账号都可以进行save命令的操作，但是我现在就想实现fishyoung1账户不能save保存，fishyoung2账户可以save保存，此时就要实现权限的精细管理。

3.关键代码部分

<Router>sys
[Router]command-privilege level 15 view user save
[Router]quit
<Router>save
  The current configuration will be written to the device. 
  Are you sure to continue? (y/n)[n]:n
<Router>quit

上面的代码，让15级别的用户提权拥有save的命令，而其他级别的账户将不拥有save命令的权限。如图所示

[/hide]

总结：抛砖引玉的就举例这一个命令区别，其中可以自己根据实际应用场景，设置多个不同权限需求的账号，达到想要的效果，这次所讲的是华为路由器，对于华为AC设备是一样的设置，而防火墙与交换机有一点点的不同，后续文字将继续推出。