CiscoIOS權(quán)限等級_第1頁
CiscoIOS權(quán)限等級_第2頁
CiscoIOS權(quán)限等級_第3頁
CiscoIOS權(quán)限等級_第4頁
CiscoIOS權(quán)限等級_第5頁
免費(fèi)預(yù)覽已結(jié)束,剩余6頁可下載查看

下載本文檔

版權(quán)說明:本文檔由用戶提供并上傳,收益歸屬內(nèi)容提供方,若內(nèi)容存在侵權(quán),請進(jìn)行舉報或認(rèn)領(lǐng)

文檔簡介

1、文章結(jié)構(gòu):一,Cisco IOS權(quán)限等級1, Level 02, Level 1 (Level 214 )3, Level 15 :特權(quán)模式(Privilegemode )4,各權(quán)限之間的關(guān)系(1),權(quán)限等級跳轉(zhuǎn)(2),給Level 214下放部分Level 15權(quán)限二,用戶接入管理1, console 接入2, aux接入3, vty接入三,設(shè)置密他1,四種密碼設(shè)置命令(1),直接 enablepassword 配置密碼(2) , enablepassword后加關(guān)鍵字再配置密碼(3),直接enablesecret 配置密碼(4) , enablesecret后加關(guān)鍵字再配置密碼2,加密sh

2、ow run顯示的密碼配置一,Cisco IOS權(quán)限等級Cisco IOS提供了 16種權(quán)限等級,分別是levvel 0到level15,每一個Level都有不同的權(quán)限,同時對應(yīng)著不同權(quán)限能使用的命令。對于所有 16個Level來 說,實(shí)際上只有 3 種 Level 而已:Level 0 , Level 1 (Level 214 ) , Level 15。 下面我們詳細(xì)介紹一下。1, Level 0Level 0是最低的權(quán)限,只能使用極少數(shù)的幾個命令:Route r0Exec ccnimands:callVoice calldisableTurnoff privileged commandse

3、nableTurnon pxxva.legedexitExit;froni the EXECiielp Description ot rtie ineTactive help syatem logoutExitfrom the EXEC2, Level 1 (Level 214 )Level 1是用戶EXEC模式(User mode ),通常用來查看路由器的狀態(tài)。 在此狀態(tài)下,無法對 路由器進(jìn)行配置,可以查看的路由器信息也是有限的。Level 214是用來干什么的呢?一些不允許擁有完全權(quán)限(Level 15 )的用戶或客戶需要連接到路由器時, 管理員可以把Level 15中的部分命令的使用權(quán)限

4、下放給 Level 214 ,然后把這 些有權(quán)限運(yùn)行部分命令的Level分發(fā)給相應(yīng)的客戶或用戶。這樣,那些客戶或用戶就能使用這些本來自己沒有權(quán)限使用的命令了。Level 214的命令權(quán)限和Level 1相同,只不過缺省配置下是 Level 1而已。權(quán)限原則:只賦予必需的最少的訪問權(quán)限。如圖,在缺省配置下登錄到 Cisco路由器將處于用戶EXEC模式(等級1)下。Pre a a FtETUEN 七口 qut smarted-Level 1 (Level 214 )能使用的命令較多,36個左右。(下圖不完全)Ron te r1enatole 1R.aur#rs ?Exec coinniaiis:C

5、rebue aesrryilcApply vscr-profile 8 interfacecalkVoice callelearReiet functiansconnectOpen « terFiiinal connectiondisableTufn off priviieged eoimandsdi see meetDuaonneGt annetwork tjoimecricr:snatlelUETX QTi RMLV二工上me Elie £X£ChelpDeacriptxon of t he intexact ie help systemlockLeek th

6、e Pentina 1loginLoq 1A Aa a flirticulftr user1 'F77'-jL"lOGOUtExit fiom the EXEC1"如乃.01£ttrxnfdBequest riti(jhr)a£ And iniomacidna3, Level 15 :特權(quán)模式(Privilegemode )特權(quán)模式(Privilege mode )可以更改路由器的配置,當(dāng)然也可以查看路 由器的所有信息,可以對路由器進(jìn)行全面控制。用戶模式下敲入“ enable ”命 令(同"enable 15 ")即進(jìn)

7、入特權(quán)模式。特權(quán)模式(#)與全局配置模式(config )的關(guān)系:Cisco IOS的根本權(quán)限 不是全局配置模式而是的特權(quán)模式,全局配置模式只不過是特權(quán)模式的一個功能 特性模式而已。如圖,輸入“ enable ”后進(jìn)入了特權(quán)模式。Router>show privilege Current privilege level is 1 Router>erableRouuer#shov privilege Current piivllege Level 13 15Level 15能使用全部命令,命令太多這里就不截圖了。4,各權(quán)限之間的關(guān)系(1),權(quán)限等級跳轉(zhuǎn)除了 Level1能直跳Leve

8、l 15外,在沒有設(shè)置等級權(quán)限密碼的情況下,低等級權(quán)限模式下是不能跳轉(zhuǎn)進(jìn)入高等權(quán)限模式的。比如我們在Level 1下需要進(jìn)入權(quán)限等級3的話,在Level 1下敲入enable3會報錯:" Nopass word set”。正確的方法是:先敲入enable 或enable 15 (enable命令默認(rèn)進(jìn)入等級15),之后敲入enable 3 。查看當(dāng)前權(quán)限等級 命令是show privilege 。)當(dāng)然,我們給一些權(quán)限等級設(shè)置密碼后低等級權(quán)限模 式就能直接跳轉(zhuǎn)進(jìn)入高等級權(quán)限模式了。配置如下:Router(config)#enable pass word level3 cisco% C

9、onverting to a secret. Please use "enable secret" in thefuture.驗(yàn)證如圖:ELouter>Elauter>sii privilegeCurEenT privilege Level is 1Rauter>ena 3Passvoxd:Rcutei4how privilegeCurrent privilege: Level is 3(2),給Level 214下放部分Level 15權(quán)限下面用一個實(shí)例來說明如何給 Level 214下放Level 15特權(quán)模式權(quán)限才能 使用的命令。實(shí)驗(yàn)拓?fù)洌赫f明:IP

10、地址等基礎(chǔ)配置已完全,R1為企業(yè),R2為被下放命令的客戶。R1 L l. L I 1. L L2 1tmR1(config)#username aaa privilege 3password 0 aaa/新建用戶aaa密碼aaa權(quán)限等級3R1(config)#privilege exec level 3show running-config/授予等級3使用命令"show run ”R1(config)#line vty 0 4/開始對線路04進(jìn)行配置R1(config-line)#login local/登陸驗(yàn)證調(diào)用本地用戶列表R2 (權(quán)限受限制的客戶)驗(yàn)證如圖說明:遠(yuǎn)程終端輸入用戶

11、名密碼后直接進(jìn)入特權(quán)等級3,無需從等級1enable 3進(jìn)入等級3。二,用戶接入管理用戶接入:管理設(shè)備的用戶接入設(shè)備的方式有Console、HTTR TTY VTY或其他網(wǎng)管軟件等等。這里我們主要講 3種,console 口接入,aux 口接入和 vty (virtualteletype terminal虛擬終端)。他們的配置如下:1, console 接入Router(con巾g)#line console 0/ 進(jìn)入 console 線路,這里只能是 0,因?yàn)閏onsole線只有一條Router(config-line)#password cisco/設(shè)置密碼,password后可外加0或

12、7來限制密碼字段Router(config-line)#login/確認(rèn)啟用密碼設(shè)置,沒用login密碼設(shè)置無效)退出后重新登陸設(shè)備將需要輸入剛才設(shè)置的密碼:Presj RETURN ro ger smarted.Uaez Access Verification.Pa sjvsrd:配置Console介入時的其他常用的設(shè)置:Router(config-line)#logging synchronous這個命令可以阻止控制臺信息打斷當(dāng)前輸入。Router(config-line)#exec-timeout 0 0這個命令將永不斷開 console 的接入。為了防止在管理員在配置中途離開設(shè)備而有其

13、他人操作設(shè)備,Cisco IOS默認(rèn)控制臺10分鐘無操作自動斷開接入。這條命令完全格式是exec-timeoutx x,表示控制臺無操作x分x秒后自動斷開接入。2, aux接入aux 接入與console 接入完全相同。Router(con巾g)#line aux 0(一臺設(shè)備也只有一個 aux 口不是?)Router(config-line)#password ciscoRouter(config-line)#loginRouter(config-line)#loggingsynchronousRouter(config-line)#exec-timeout 0 03, vty接入vty接入

14、除了進(jìn)入線路的line命令特別以外,也同console接入和aux接 入。Router(config)#line vty 0 4 (開啟 5 條 vty 線路 04)Router(config-line)#password ciscoRouter(config-line)#loginRouter(config-line)#loggingsynchronousRouter(config-line)#exec-timeout 0 0說明:使用show run可以看到IOS的默認(rèn)設(shè)置里console線路0, aux線 路0和vty線路04都是默認(rèn)開啟的。vty的04號線路開啟表示設(shè)備可以同時 允許5

15、個虛擬終端同時接入設(shè)備,且按虛擬終端接入時間順序依次使用線路 04。禁用vty的方式就是在所有l(wèi)ine中去掉密碼,在沒有設(shè)置vty密碼的情況 下,vty是不能被使用的。禁用vty配置:Router(con巾g)#line vty 0 4Router(config-line)#no password 。三,設(shè)置密他在成功登錄Cisco ISO后我們應(yīng)該考慮一下設(shè)備配置的安全問題。為了增強(qiáng) 安全性,防止不應(yīng)該的用戶登錄路由器用改重要配置,我們可以設(shè)置一些密碼。注意,Cisco IOS的密碼都是大小寫敏感的,并且支持空格作為密碼字段, 很多人在敲完命令后習(xí)慣性的會按一下空格鍵,對于其他命令這當(dāng)然無關(guān)

16、緊要。 但是對于密碼設(shè)置來說IOS會把最后那個空格算入密碼字段中,密碼將成為“XXX空格”。但是如果空格出現(xiàn)在密碼字段的前面則不會影響密碼字段, Cisco CLI默認(rèn)合并命令詞組前的多個空格為一個空格,密碼前的空格會被合并入密碼 字段前面的命令正??崭瘛isco IOS的enable密碼默認(rèn)為空,所以對設(shè)備進(jìn)行初始設(shè)置時必須設(shè)定 enable 密碼。1,四種密碼設(shè)置命令(1),直接enable password配置密碼這種方式是明文的,即show run能看到明文密碼。(2) , enable password后加關(guān)鍵字再配置密碼輸入命令"enable password ? ”后

17、面會出現(xiàn)如下圖:Router (config)passwtirci ?0 Specifies an UNENCRYPTED pasSTdord will fellow7Specifies a RIDDEN password will followLINE Die UNENCRYPTED (clearcexc) 'enable' password level 3金匚 exec level pass可口rdenable password 0后面可以直接跟加密的內(nèi)容(UNENCRYPTED),這個命令和enablepassword 樣。enable password 7后面必須要跟你

18、加密的密碼經(jīng)過 思科私有算法出來那個數(shù)值(HIDDEN)。比如 “ enable password 7 060506324F41"cisco ” 經(jīng)思科私有算法處理后的結(jié)果為060506324F41。我們在在登陸設(shè)備后要求輸入 enable密碼時,我 們要輸入“cisco ”而不是“ 060506324F41 ”(3),直接enable secret配置密碼這種方式是采用MD5算法加密密碼,enablesecret 命令設(shè)置的密碼將會 覆蓋enable password命令設(shè)置的密碼。(4) , enable secret后加關(guān)鍵字再配置密碼輸入命令"enable secr

19、et ? ”,出現(xiàn)下圖:Ranter tconf #enatiLe secret ?0 Specifies an UNENCRYPTED password vill fallow 5Specifies an ENCHYPTED secret will followLIKE The UNtitJCRYPTET) (cleamext 1 enable 1 aecre t level 3T匚 匚 level gnwnw口工Genable secret 0 后直接接密碼字段(UNENCRYPTED),將使用 MD5力口密而不是明文,相當(dāng)于enablesecret 后直接接密碼字段。enable secret 5后面必須要跟你加密的密碼經(jīng)過 MD5算法出來那個數(shù)值(ENCRYPTED)。比如 “enable secret 5 $1$IACW$LEPKyEV6Ak/0Tnkvk8BNA “cisco ” 經(jīng)MD5算法處理后的結(jié)果為$1$IACW$LEPKyEV6Ak/0Tnkvk8BNA 。我們在登 陸設(shè)備后要求輸入enable密碼時,我們?nèi)匀灰斎搿?cisco ”而不是” $1$IACW$LEPKyEV6Ak/0Tnkvk8BNA. ”2,加密show run顯示的密碼配置在使用show run查看設(shè)備配置命令時,如果配置的密碼被明文顯示在設(shè)備 輸

溫馨提示

  • 1. 本站所有資源如無特殊說明,都需要本地電腦安裝OFFICE2007和PDF閱讀器。圖紙軟件為CAD,CAXA,PROE,UG,SolidWorks等.壓縮文件請下載最新的WinRAR軟件解壓。
  • 2. 本站的文檔不包含任何第三方提供的附件圖紙等,如果需要附件,請聯(lián)系上傳者。文件的所有權(quán)益歸上傳用戶所有。
  • 3. 本站RAR壓縮包中若帶圖紙,網(wǎng)頁內(nèi)容里面會有圖紙預(yù)覽,若沒有圖紙預(yù)覽就沒有圖紙。
  • 4. 未經(jīng)權(quán)益所有人同意不得將文件中的內(nèi)容挪作商業(yè)或盈利用途。
  • 5. 人人文庫網(wǎng)僅提供信息存儲空間,僅對用戶上傳內(nèi)容的表現(xiàn)方式做保護(hù)處理,對用戶上傳分享的文檔內(nèi)容本身不做任何修改或編輯,并不能對任何下載內(nèi)容負(fù)責(zé)。
  • 6. 下載文件中如有侵權(quán)或不適當(dāng)內(nèi)容,請與我們聯(lián)系,我們立即糾正。
  • 7. 本站不保證下載資源的準(zhǔn)確性、安全性和完整性, 同時也不承擔(dān)用戶因使用這些下載資源對自己和他人造成任何形式的傷害或損失。

評論

0/150

提交評論