理解Privilege級別的含義
默認情況下Cisco IOS命令行模式下支持兩種級別的接入命令user EXEC(級別1)模式和privileged EXEC(級別15)
在這0到15這16個級別中,每個級別下所能操作的命令是不一樣的,數字約高,級別越高,所能操作的命令也越多
可以自己定義級別,及這些級別下所能操作的命令
Privilege命令的操作
配置步驟
1. configure terminal
在全局配置模式下配置,默認情況是privileged 15
2. privilege mode [all] {level level | reset } command-string
Mode定義在此級別下允許操作的模式 (要授權的命令所屬的CLI命令模式)
Level表示當前所要定義的級別 (指定命令或子命令的運行權限級別,級別的範圍0-15)
[all]代表command-string命令下的子命令都可以使用,而不用一個一個指定 (將指定命令的所有子命令的權限,變爲相同的權限級別
Command-string表示你在所定義模式下允許操作的命令 (要授權的命令字符串)
3. enable password level level [encryption-type] password-string
配置密碼的時候應用此級別,代表使用此密碼登陸自動進入所設定的級別中
4. do copy running-config startup-config
將配置保存
5. 測試命令
Disable 6
表示將當前高級別(默認爲15)降低到級別6,用於測試命令是否生效
Enable 15
表示將當前低級別6恢復到高級別15
show privilege
察看當前的privilege級別
Router(config)# privilege exec level 6 configure terminal
定義級別6能夠在exec模式下使用命令configure terminal
Router(config)# privilege configure all level 6 rtr
定義級別6能夠在configure模式下使用命令rtr命令以及rtr下的所有子命令
路由器本地驗證數據庫結合privilege創建
username cisco privilege 5 password cisco
表示用戶名爲cisco的用戶使用password cisco登陸後,操作級別被限定在5
線路模式下的設置
Line vty 0 4
Password cisco 設置線路密碼,所有人用此密碼登陸
Privilege level 14 所有用此密碼登陸的用戶的級別被限定在14,注意當在使用login local時不會進入級別14.即當使用login local時,他是根據路由器本地驗證數據庫中的用戶級別來登錄的.
Login
Line vty 0 4
No login 登陸時不需要密碼驗證,直接登陸
Line vty 0 4
Login local 使用路由器本地驗證數據庫驗證用戶
有位網絡管理人員希望用戶以
用戶名爲 enhan
密碼爲 enhan
通過telnet的方式遠程登陸到本地路由器,但是隻賦予他某些特殊權限,如可以配置一些路由協議,但是不能進入到接口等其他模式
配置如下:
username enhan privilege 3 password 0 enhan
privilege configure all level 3 router
privilege exec level 3 configure terminal
line vty 0
password cisco
login local
在思科路由器中定義用戶權限級別有兩種方式:
第一種是直接定義不同級別的enable密碼,用戶都用默認的級別level 1,然後用戶在登陸時用相應級別的enable密碼即可進入相應的特權級;enable命令
第二種是在定義用戶時直接設定此用戶的特權級,此時用這組用戶名和密碼登陸即可直接進入到此級別下。username命令
要用哪種方式,就得根據具體的應用需求和使用環境來定,也可以一起使用。
級別1和15不用定義,這是系統默認就有的。
配置如下:
//爲了方便理解和記憶,我定義了相同的用戶名和密碼,實際使用時要設置不同的密碼!
//定義不同特權級別的密碼
enable secret level 5 lv5(密碼)
enable secret level 7 lv7
enable secret level 10 lv10
enable secret cisco //缺省是15級,沒有限制。
//爲不同用戶定義不同的特權級和登陸密碼
username test password test //一般用戶缺省爲level 1.
username ccna privilege 5 password ccna
username ccnp privilege 7 password ccnp
username ccie privilege 10 password ccie
username admin privilege 15 password admin
//爲不同特權級分配不同的命令,開始先不配以下命令。
privilege exec level 5 configure
privilege configure level 7 interface
privilege interface level 10 ip address
//使用本地用戶登陸
line vty 0 4
login local
測試時打開兩個telnet進程,一個進入特權15級用於修改配置,另一個以不同的用戶身份進入,測試並驗證修改結果。
首先打開第一個telnet進程:
當以用戶test身份登陸路由器時,缺省進入級別1,提示符爲">",然後用不同級別的enable密碼即可進入相應的級別,命令爲:enable level比如想進入級別10,就用enable 10,我們以特權15級進入(enable 15);
再打開第二個telnet進程:
當以用戶ccna身份登陸路由器時,直接就進入了級別5,提示符爲"#",輸入"?",列出了缺省級別5下能使用的命令,我們會發現沒有"configure"命令,不能進入配置模式,接着在第一個telnet進程裏配上"privilege exec level 5 configure",重新以ccna登陸,發現此時可以用"configure"命令進入配置模式了;
當以用戶ccnp身份登陸路由器時,直接就進入了級別7,提示符爲"#",輸入"?",列出了缺省級別7下能使用的命令,可以看到有"configure"命令,因爲上面爲級別5定義過了,而級別7比5高,所以也可以用,我們進入配置
模式,再輸入"?",可以看到配置模式下能用的命令,沒有"interface"命令,再在第一個telnet進程裏配上"privilege configure level 7 interface",此時可以進入接口配置了,但不能用ip address命令;
同樣在第一個telnet進程裏配上"privilege interface level 10 ip address",以用戶ccie身份登陸路由器時,直接就進入了級別10,提示符爲"#",進入配置模式,接着進入某個接口下,此時能用ip address命令爲接口配IP地址了;
當以用戶admin身份登陸路由器時,直接就進入了級別15,提示符爲"#",此爲最高特權級沒有限制。