让我从简短的背景开始，以便更好地理解。

我们在工作中有实验室（主要是 Cisco 设备），我们希望允许其他雇主在家远程连接，在空闲时间建立自己的实验室（类似于物理设备的 CCIE 机架）。出于这个原因，我们将构建“跳转主机”，基本上是用于连接路由器、交换机等的 Linux 服务器。也会有少量脚本用于通过 SNMP 备份配置，连接别名，因此当用户键入 R1 时，它会自动触发 telnet 到 R1。等等。

因此，必须始终为设备配置管理 IP 地址和 SNMP 社区字符串。

第一个问题是。是否可以从 TFTP 服务器加载启动配置并从 NVRAM 覆盖启动配置？

我试过使用：

启动网络 tftp 文件名 xxxx

但老实说它不是很有帮助，因为它不会覆盖存储在 NVRAM 中的配置。

所以我在考虑 EEM 小程序来拒绝用户执行复制运行启动和写入内存。但是，如果用户可以访问配置模式，则可以轻松删除 EEM 小程序，不是吗？:-) 让我提出第二个问题。我可以以某种方式使用特权来拒绝使用少数配置命令吗？但是，如果用户有权访问配置模式，则可能无法做到这一点。

我知道，我的问题一点也不简单。我只是想知道我是否能够确保在重新加载路由器后始终加载启动配置（包括管理 IP 地址和 SNMP 字符串）并覆盖用户创建的配置。

我不能相信用户，并确保他们只会使用 Linux 脚本将他们的配置保存到他们的主文件夹，而不是将 running-config 复制到 startup-config。我需要确保它是万无一失的。

非常感谢您的任何想法，非常感谢。

丹尼尔