Cisco IOS 的登錄密碼以及權限分配設置.docx

CiscoIOS的登錄密碼以及權限分配設置關于Cisco IOS 的登錄密碼以及權限分配設置enable password xxxx 初級密碼，用于驗證從用戶模式到特權模式的驗證enable secret xxxxx MD5加密密碼 用法同上enabl password level xx 指定密碼作用于哪個級別enable secret level xx 作用同上R2(config)#enable password ?0 Specifies an UNENCRYPTED password will follow7 Specifies a HIDDEN password will followLINE The UNENCRYPTED (cleartext) enable passwordlevel Set exec level passwordR2(config)#enable secret ?0 Specifies an UNENCRYPTED password will follow5 Specifies an ENCRYPTED secret will followLINE The UNENCRYPTED (cleartext) enable secretlevel Set exec level password注意這里：0 5 7 的 含義不同。0 為不加密，5 為MD5 。7 為Cisco自有加密算法（不牢靠，容易被破解）service password-encryption 是使用7的加密方法加密存儲在本地的所有密碼。Cisco官方不推薦使用這個方法。簡單密碼驗證：console 驗證配置：line console 0password xxxxendVty 驗證：line vty 0 4password xxxxend帶用戶名的密碼驗證：username xxxx secret xxxline console 0login localendline vty 0 4login localend分級的權限驗證：我只想讓Level 7 的用戶在特權模式下：clear counters 和reload配置如下：privilege exec level 7 clear countersprivilege exec level 7 reloadenable secret level 7 xxxx或者privilege exec level 7 clear countersprivilege exec level 7 reloadusername xxx privilege 7 secret xxxx這種模式下：要登錄必須這樣：R1loginusername:xxxpassword:xxx個人比較喜歡的一套分級權限的完整配置：privilege exec level 7 clear countersprivilege exec level 7 reloadusername xxx privilege 7 secret xxxxusername xxx privilege 15 secret xxx (管理員登錄)line console 0login localline vty 0 4login local對于，show run 來說，如果Level 7 的用戶被授權能夠show run但是其他的仍未被授權的話，查看的show run 將是如下樣子：R1#show runCurrent configuration : 53 bytes!boot-start-markerboot-end-marker!end其原因是因為未給Level 7 的用戶授權 Global Configuration 權利現(xiàn)在我授權如下：privilege Configure leve 7 interface然后再Level 7 下，show run 可以看見如下：R1#show runCurrent configuration : 237 bytes!boot-start-markerboot-end-marker!interface Ethernet0/0!interface Ethernet0/1!interface Ethernet0/2!interface Ethernet0/3!interface Serial1/0!interface Serial1/1!end注意這里，這里可以看見接口了。所以說對于show run 來說,必須先授權才能查看相應內容順便解釋下 關于enable secret password的問題：R1(config)#enable secret ?0 Specifies an UNENCRYPTED password will follow5 Specifies an ENCRYPTED secret will followLINE The UNENCRYPTED (cleartext) enable secretlevel Set exec level password這里，很多人都不知道 0 5 的區(qū)別?；蛘哒`認為0 是不加密密碼，5 則是加密密碼。其實對于Secret 選項來說，密碼肯定是會被加密的。假設我要設置的密碼為cisco而這里的0 是指：我現(xiàn)在即將輸入的密碼是原始密碼，是：cisco而如果是5 的話：就是輸入cisco 的MD5值：$1$XNRo$8FSa/XSF9DbmF6VbK6L6K.樓主，你好，我也比較糾結于你說的這個問題，經(jīng)過我的驗證，得出一部分結論如下：enable password這種方式是明文的。enable secret是采用了MD5加密的。service password-encryption這個加密的方式是采用了cisco的私有加密方式來加密的。所以我在設置了vty、console、和AUX口密碼的時候，開啟service password-encryption，然后你在show run一看，這些接口的password后面都跟有一個數(shù)字7，這個數(shù)字7就表示是采用了cisco的私有加密算法，是可以逆轉的，當然，我們在路由器上面再敲入：no service password-encryption這條命令后，是不可能直接解密的，是通過其他辦法解密的。至于你說的enable password 7，你可以在路由器下面輸入這個命令：enable password？后面會出現(xiàn)如下：0 Specifies an UNENCRYPTED password will follow7 Specifies a HIDDEN password will followLINE The UNENCRYPTED (cleartext) enable passwordlevelSet exec level password輸入：enable secret ?,出現(xiàn)：0 Specifies an UNENCRYPTED password will follow5 Specifies an ENCRYPTED secret will followLINE The UNENCRYPTED (cleartext) enable secretlevelSet exec level password這里可以這樣理解：0 、5、7的意思是：0為不加密，5為使用MD5加密，7為使用cisco的私有算法加密。enable password 0 后面可以直接跟加密的內容，這個命令和enable password 一樣。enable password 7后面必須要跟你加密的密碼經(jīng)過思科私有算法出來那個數(shù)值。比如，你想把這個密碼設置成cisco，那么，你得必須先使用思科的私有算法算出cisco是多少,這里cisco使用思科的算法是060506324F41,即：enable password 060506324