6.5.3　User上下文访问管理

云服务提供商需要在Admin上下文对以下功能（参见6.5.5节）进行管理：

·VLAN管理

·接入管理

·User上下文访问VLAN

·User上下文资源配置

另外，云服务供应商必须在将拦截和重定向配置移交给租户前，在Admin上下文中为指定租户管理User上下文。

为了说明该问题，在ACESM-123的Admin上下文中为租户G创建了User上下文，如代码清单6.36所示租户G的User上下文配置内容，调用“context＜context_name＞”命令创建一个命名的User上下文，本处为“租户G”。

调用“allocate-interface vlan”命令将VLAN7、VLAN19和VLAN30（参见代码清单6.33）部署在租户G上，调用“member＜resource_class_name＞”命令将“Tenant-G-RA”资源类别（参见代码清单6.34）添加到“租户G”的上下文。

代码清单6.36　User上下文配置

说明：User上下文命名对大小写敏感。

代码清单6.37展现了如何调用“show context＜context_name＞”命令在ACESM-123的Admin上下文中验证User上下文信息。

代码清单6.37　User上下文验证

当定义好User上下文后，云服务供应商下一步就该配置User上下文的接入管理了。

User上下文接入管理

在代码清单6.36中已经创建了租户G的Uer上下文，不过为了方便终端用户（租户）登录，云服务供应商需要配置管理IP，最初可以在Admin上下文使用“changeto＜context_name＞”命令来访问Use上下文。

由于User上下文没有默认用户，因此获得对租户G上下文访问后，必须为该上下文创建一个管理用户，必须如代码清单6.38中所示一样，显式创建一个这样的用户，用户口令长度要求至少8个字母（最多不超过24个字母），对应“Admin”角色。

代码清单6.38　在租户G上下文中创建管理用户

代码清单6.39　配置租户G访问控制

和Admin上下文类似，所有指向租户G上下文的管理网络流量必须要在相应管理协议映射中显式许可，代码清单6.30和6.31分别定义了租户G上下文的类映射和协议映射，这一过程的说明参见代码清单6.39。在下一节即将介绍的桥接模式中（详细说明请参见6.7节），BVI（桥接组虚拟接口）可以当做管理接口，但协议映射不能直接像在代码清单6.39中描述的那样，直接应用到BVI上，因为代码清单6.39中的协议图是全局适用。

说明：在User上下文对另一个VLAN实行界外管理比利用现有界内VLAN更容易，因此，对云服务供应商将任务移交给终端用户的做法非常容易理解，但是为了方便，我们不会在ACESM配置样例中讨论这一点。