CiscoIOS權(quán)限等級(jí)

1、文章結(jié)構(gòu):一，Cisco IOS權(quán)限等級(jí)1, Level 02, Level 1 (Level 214 )3, Level 15 :特權(quán)模式(Privilegemode )4,各權(quán)限之間的關(guān)系(1),權(quán)限等級(jí)跳轉(zhuǎn)(2),給Level 214下放部分Level 15權(quán)限二，用戶接入管理1, console 接入2, aux接入3, vty接入三，設(shè)置密他1,四種密碼設(shè)置命令(1),直接 enablepassword 配置密碼(2) , enablepassword后加關(guān)鍵字再配置密碼(3),直接enablesecret 配置密碼(4) , enablesecret后加關(guān)鍵字再配置密碼2,加密sh

2、ow run顯示的密碼配置一，Cisco IOS權(quán)限等級(jí)Cisco IOS提供了 16種權(quán)限等級(jí)，分別是levvel 0到level15，每一個(gè)Level都有不同的權(quán)限，同時(shí)對(duì)應(yīng)著不同權(quán)限能使用的命令。對(duì)于所有 16個(gè)Level來(lái) 說(shuō),實(shí)際上只有 3 種 Level 而已：Level 0 , Level 1 (Level 214 ) , Level 15。 下面我們?cè)敿?xì)介紹一下。1, Level 0Level 0是最低的權(quán)限，只能使用極少數(shù)的幾個(gè)命令：Route r0Exec ccnimands:callVoice calldisableTurnoff privileged commandse

3、nableTurnon pxxva.legedexitExit;froni the EXECiielp Description ot rtie ineTactive help syatem logoutExitfrom the EXEC2, Level 1 (Level 214 )Level 1是用戶EXEC模式(User mode ),通常用來(lái)查看路由器的狀態(tài)。 在此狀態(tài)下，無(wú)法對(duì) 路由器進(jìn)行配置，可以查看的路由器信息也是有限的。Level 214是用來(lái)干什么的呢？一些不允許擁有完全權(quán)限(Level 15 )的用戶或客戶需要連接到路由器時(shí)， 管理員可以把Level 15中的部分命令的使用權(quán)限

4、下放給 Level 214 ,然后把這 些有權(quán)限運(yùn)行部分命令的Level分發(fā)給相應(yīng)的客戶或用戶。這樣，那些客戶或用戶就能使用這些本來(lái)自己沒(méi)有權(quán)限使用的命令了。Level 214的命令權(quán)限和Level 1相同，只不過(guò)缺省配置下是 Level 1而已。權(quán)限原則：只賦予必需的最少的訪問(wèn)權(quán)限。如圖，在缺省配置下登錄到 Cisco路由器將處于用戶EXEC模式（等級(jí)1）下。Pre a a FtETUEN 七口 qut smarted-Level 1 （Level 214 ）能使用的命令較多，36個(gè)左右。（下圖不完全）Ron te r1enatole 1R.aur#rs ?Exec coinniaiis:C

5、rebue aesrryilcApply vscr-profile 8 interfacecalkVoice callelearReiet functiansconnectOpen « terFiiinal connectiondisableTufn off priviieged eoimandsdi see meetDuaonneGt annetwork tjoimecricr：snatlelUETX QTi RMLV二工上me Elie £X£ChelpDeacriptxon of t he intexact ie help systemlockLeek th

6、e Pentina 1loginLoq 1A Aa a flirticulftr user1 'F77'-jL"lOGOUtExit fiom the EXEC1"如乃.01£ttrxnfdBequest riti(jhr)a£ And iniomacidna3, Level 15 :特權(quán)模式(Privilegemode )特權(quán)模式（Privilege mode ）可以更改路由器的配置，當(dāng)然也可以查看路 由器的所有信息，可以對(duì)路由器進(jìn)行全面控制。用戶模式下敲入“ enable ”命 令（同"enable 15 "）即進(jìn)

7、入特權(quán)模式。特權(quán)模式（#）與全局配置模式（config ）的關(guān)系：Cisco IOS的根本權(quán)限 不是全局配置模式而是的特權(quán)模式，全局配置模式只不過(guò)是特權(quán)模式的一個(gè)功能 特性模式而已。如圖，輸入“ enable ”后進(jìn)入了特權(quán)模式。Router>show privilege Current privilege level is 1 Router>erableRouuer#shov privilege Current piivllege Level 13 15Level 15能使用全部命令，命令太多這里就不截圖了。4,各權(quán)限之間的關(guān)系（1）,權(quán)限等級(jí)跳轉(zhuǎn)除了 Level1能直跳Leve

8、l 15外，在沒(méi)有設(shè)置等級(jí)權(quán)限密碼的情況下，低等級(jí)權(quán)限模式下是不能跳轉(zhuǎn)進(jìn)入高等權(quán)限模式的。比如我們?cè)贚evel 1下需要進(jìn)入權(quán)限等級(jí)3的話，在Level 1下敲入enable3會(huì)報(bào)錯(cuò)：" Nopass word set”。正確的方法是：先敲入enable 或enable 15 （enable命令默認(rèn)進(jìn)入等級(jí)15）,之后敲入enable 3 。查看當(dāng)前權(quán)限等級(jí) 命令是show privilege 。）當(dāng)然,我們給一些權(quán)限等級(jí)設(shè)置密碼后低等級(jí)權(quán)限模 式就能直接跳轉(zhuǎn)進(jìn)入高等級(jí)權(quán)限模式了。配置如下：Router(config)#enable pass word level3 cisco% C

9、onverting to a secret. Please use "enable secret" in thefuture.驗(yàn)證如圖：ELouter>Elauter>sii privilegeCurEenT privilege Level is 1Rauter>ena 3Passvoxd:Rcutei4how privilegeCurrent privilege： Level is 3(2),給Level 214下放部分Level 15權(quán)限下面用一個(gè)實(shí)例來(lái)說(shuō)明如何給 Level 214下放Level 15特權(quán)模式權(quán)限才能 使用的命令。實(shí)驗(yàn)拓?fù)洌赫f(shuō)明：IP

10、地址等基礎(chǔ)配置已完全，R1為企業(yè)，R2為被下放命令的客戶。R1 L l. L I 1. L L2 1tmR1(config)#username aaa privilege 3password 0 aaa/新建用戶aaa密碼aaa權(quán)限等級(jí)3R1(config)#privilege exec level 3show running-config/授予等級(jí)3使用命令"show run ”R1(config)#line vty 0 4/開(kāi)始對(duì)線路04進(jìn)行配置R1(config-line)#login local/登陸驗(yàn)證調(diào)用本地用戶列表R2 （權(quán)限受限制的客戶）驗(yàn)證如圖說(shuō)明：遠(yuǎn)程終端輸入用戶

11、名密碼后直接進(jìn)入特權(quán)等級(jí)3,無(wú)需從等級(jí)1enable 3進(jìn)入等級(jí)3。二，用戶接入管理用戶接入：管理設(shè)備的用戶接入設(shè)備的方式有Console、HTTR TTY VTY或其他網(wǎng)管軟件等等。這里我們主要講 3種，console 口接入，aux 口接入和 vty （virtualteletype terminal虛擬終端）。他們的配置如下：1, console 接入Router(con巾g)#line console 0/ 進(jìn)入 console 線路，這里只能是 0,因?yàn)閏onsole線只有一條Router(config-line)#password cisco/設(shè)置密碼，password后可外加0或

12、7來(lái)限制密碼字段Router(config-line)#login/確認(rèn)啟用密碼設(shè)置，沒(méi)用login密碼設(shè)置無(wú)效)退出后重新登陸設(shè)備將需要輸入剛才設(shè)置的密碼：Presj RETURN ro ger smarted.Uaez Access Verification.Pa sjvsrd:配置Console介入時(shí)的其他常用的設(shè)置：Router(config-line)#logging synchronous這個(gè)命令可以阻止控制臺(tái)信息打斷當(dāng)前輸入。Router(config-line)#exec-timeout 0 0這個(gè)命令將永不斷開(kāi) console 的接入。為了防止在管理員在配置中途離開(kāi)設(shè)備而有其

13、他人操作設(shè)備，Cisco IOS默認(rèn)控制臺(tái)10分鐘無(wú)操作自動(dòng)斷開(kāi)接入。這條命令完全格式是exec-timeoutx x,表示控制臺(tái)無(wú)操作x分x秒后自動(dòng)斷開(kāi)接入。2, aux接入aux 接入與console 接入完全相同。Router(con巾g)#line aux 0(一臺(tái)設(shè)備也只有一個(gè) aux 口不是？)Router(config-line)#password ciscoRouter(config-line)#loginRouter(config-line)#loggingsynchronousRouter(config-line)#exec-timeout 0 03, vty接入vty接入

14、除了進(jìn)入線路的line命令特別以外，也同console接入和aux接 入。Router(config)#line vty 0 4 (開(kāi)啟 5 條 vty 線路 04)Router(config-line)#password ciscoRouter(config-line)#loginRouter(config-line)#loggingsynchronousRouter(config-line)#exec-timeout 0 0說(shuō)明：使用show run可以看到IOS的默認(rèn)設(shè)置里console線路0, aux線 路0和vty線路04都是默認(rèn)開(kāi)啟的。vty的04號(hào)線路開(kāi)啟表示設(shè)備可以同時(shí) 允許5

15、個(gè)虛擬終端同時(shí)接入設(shè)備，且按虛擬終端接入時(shí)間順序依次使用線路 04。禁用vty的方式就是在所有l(wèi)ine中去掉密碼，在沒(méi)有設(shè)置vty密碼的情況 下，vty是不能被使用的。禁用vty配置：Router(con巾g)#line vty 0 4Router(config-line)#no password 。三，設(shè)置密他在成功登錄Cisco ISO后我們應(yīng)該考慮一下設(shè)備配置的安全問(wèn)題。為了增強(qiáng) 安全性，防止不應(yīng)該的用戶登錄路由器用改重要配置，我們可以設(shè)置一些密碼。注意，Cisco IOS的密碼都是大小寫敏感的，并且支持空格作為密碼字段， 很多人在敲完命令后習(xí)慣性的會(huì)按一下空格鍵，對(duì)于其他命令這當(dāng)然無(wú)關(guān)

16、緊要。 但是對(duì)于密碼設(shè)置來(lái)說(shuō)IOS會(huì)把最后那個(gè)空格算入密碼字段中，密碼將成為“XXX空格”。但是如果空格出現(xiàn)在密碼字段的前面則不會(huì)影響密碼字段， Cisco CLI默認(rèn)合并命令詞組前的多個(gè)空格為一個(gè)空格，密碼前的空格會(huì)被合并入密碼 字段前面的命令正?？崭?。Cisco IOS的enable密碼默認(rèn)為空，所以對(duì)設(shè)備進(jìn)行初始設(shè)置時(shí)必須設(shè)定 enable 密碼。1,四種密碼設(shè)置命令(1),直接enable password配置密碼這種方式是明文的，即show run能看到明文密碼。(2) , enable password后加關(guān)鍵字再配置密碼輸入命令"enable password ? ”后

17、面會(huì)出現(xiàn)如下圖:Router (config)passwtirci ?0 Specifies an UNENCRYPTED pasSTdord will fellow7Specifies a RIDDEN password will followLINE Die UNENCRYPTED (clearcexc) 'enable' password level 3金匚 exec level pass可口rdenable password 0后面可以直接跟加密的內(nèi)容(UNENCRYPTED),這個(gè)命令和enablepassword 樣。enable password 7后面必須要跟你

18、加密的密碼經(jīng)過(guò) 思科私有算法出來(lái)那個(gè)數(shù)值(HIDDEN)。比如 “ enable password 7 060506324F41"cisco ” 經(jīng)思科私有算法處理后的結(jié)果為060506324F41。我們?cè)谠诘顷懺O(shè)備后要求輸入 enable密碼時(shí)，我 們要輸入“cisco ”而不是“ 060506324F41 ”(3),直接enable secret配置密碼這種方式是采用MD5算法加密密碼，enablesecret 命令設(shè)置的密碼將會(huì) 覆蓋enable password命令設(shè)置的密碼。(4) , enable secret后加關(guān)鍵字再配置密碼輸入命令"enable secr

19、et ? ”，出現(xiàn)下圖：Ranter tconf #enatiLe secret ?0 Specifies an UNENCRYPTED password vill fallow 5Specifies an ENCHYPTED secret will followLIKE The UNtitJCRYPTET) (cleamext 1 enable 1 aecre t level 3T匚 匚 level gnwnw口工Genable secret 0 后直接接密碼字段(UNENCRYPTED),將使用 MD5力口密而不是明文，相當(dāng)于enablesecret 后直接接密碼字段。enable secret 5后面必須要跟你加密的密碼經(jīng)過(guò) MD5算法出來(lái)那個(gè)數(shù)值（ENCRYPTED）。比如 “enable secret 5 $1$IACW$LEPKyEV6Ak/0Tnkvk8BNA “cisco ” 經(jīng)MD5算法處理后的結(jié)果為$1$IACW$LEPKyEV6Ak/0Tnkvk8BNA 。我們?cè)诘?陸設(shè)備后要求輸入enable密碼時(shí)，我們?nèi)匀灰斎搿?cisco ”而不是” $1$IACW$LEPKyEV6Ak/0Tnkvk8BNA. ”2,加密show run顯示的密碼配置在使用show run查看設(shè)備配置命令時(shí)，如果配置的密碼被明文顯示在設(shè)備 輸