Есть где-то материал, где доступно разъяснен принцип ограничения доступа?
Документация.
Если набор пользователей с разным уровнем привилегий еще подходит под классическую ролевую систему, то отдельные пароли для telnet, ssh и консоли меня путают.
Если набор пользователей с разным уровнем привелегий понятен вам, то используйте его. Зачем тогда настраивать отдельные пароли для телнет/ssh? Эти отдельные пароли не лучше и не хуже стандартной система авторизации. Они просто другие.
aaa authentication enable default line - позволяет пройти авторизацию enable под паролем line
aaa authentication enable default local - позволяет пройти авторизацию enabe под локальным паролем
aaa authentication enable default local line - позволяет пройти авторизацию enabe под локальным паролем или под line паролем
Все это описано в документации.
И также совершенно не понял этой ситуации с "aaa authentication enable default line", ну должен использоваться для попадания в exec пароль line, а не enable - пускай. Почему в консоли я получал "authentication failed" даже без запроса пароля пока не удалил эту строку.
Судя по конфиге, которую вы приводили выше ссылкой, был прописана авторизация enable через line. А line пароль для enable был задан только для телнет и ssh. А для консоли он не был задан. Соответственно если подключаться через консоль, то enable авторизацию не пройти.