大概能想到两种方法：

1.配合aaa实现，设置tacacs+，直接设置允许的命令。

2. 搭配privilege exec level x  COMMANDS 设置在级别为x的时候能够敲的命令，然后配置一个local账户设置其privilege level = x,但是有一个问题就是正常情况下>模式的level为1，在 privilege level 1的情况下已经能敲很多的show命令了。x > 1的时候基本上能敲所有小于该级别的所有命令。除非是将所有的不相关的命令全部手动设置到一个比较高的level，这个量可是有点大了，而且不同平台命令还是有一定差异的。

如果真的要严格控制，还是建议配合tacacs

配置示例参考：https://www.cisco.com/c/en/us/support/docs/security/identity-services-engine/200208-Configure-ISE-2-0-IOS-TACACS-Authentic.html