很多网络管理员可能常年和Cisco IOS 打交道,但是很少关心IOS其中有16种不同的特权等级。挨踢小茶作为其中一员,一直也对这一块研究比较少,直到最近在做Cisco Secure Access Control Sever (ACS) 升级的时候发现,ACS对网络管理员的授权控制做得非常精细化,其中也涉及到了IOS中不同等级权限的问题,因此将这个问题记录下来,供以后方便查看,也供其他有需要的网络工程师做一个参考。
在思科IOS操作系统中,不同的特权等级授予了你不同的操作权限,等级越高,你的权限就越大,从而对这个网络设备的操作权也就越高。先介绍一下大家比较熟悉的两个权限,也就是最低的等级1和最高的等级15。
- User Exec Mode - Level 1
- Privileged Exec Mode - Level 15
在思科设备的默认的配置下,刚登录进去的时候是User Exec Mode (Level 1)。在这个模式下,你可以有权限获得这个设备的基础信息,例如接口的状态,路由表等。但是你无法在这个模式下获得设备的配置信息。
当你敲下"enable"并且输入了可能需要的密码之后,你就进入了Privileged Exec Mode (Level 15)。这个权限相当于是Windows下超级管理员权限,或者linux下的root权限。在这个模式下,你对这个设备将会有所有的操作权限。
在一般的企业环境下(中小企业),网络管理员可能每个人都有一个Privileged用户和密码,每个管理员都可以对网络设备进行任何的查看信息,更改配置,甚至重启。但当企业达到了一定的规模,或者在用户访问权限上需要做到更加精细化,那么1~15之间的权限就派上用场了。它能让公司了的某些人只能查看设备基础信息,另一些人只能重置接口,等等。
下面是一些比较基础的命令。
- show privilege: 查看当前你所在的权限等级
router# show privilege
Current privilege level is 3 - Enable: 一般来说在全局模式下敲打enable命令可以直接进入特权模式(Level 15),但是你也可以用这个命令进入某个等级的特权模式
router# show privilege
Current privilege level is 3
router# enable 1
router> show privilege
Current privilege level is 1 - router(config)# username xiaopeiqing password xiaopeiqing privilege 4
可以定义当某个用户登录之后默认的权限是多少等级的 - router(config)# enable secret level 5 level5pass
默认来说enable命令能直接将你带入特权模式(Level 15),但是你也可以手动指定enable之后进入的特权等级
例子:
router(config)# user support privilege 3 password support
router(config)# privilege exec level 3 show startup-config需要注意的是,如果按上述配置当用户以support登录之后,不需要enable密码就可以直接进入level 3等级,但是只能执行"show startup-config"命令
更多关于CISCO IOS特权命令的特性,可以参考思科官方网站http://www.cisco.com/c/en/us/td/docs/ios/12_2/security/configuration/guide/fsecur_c/scfpass.html
本文介绍的命令基本上是基于思科网络设备本地的数据库的,也就是说所有的用户帐号、密码、权限都是写入本地配置文件。当然所有的这些权限的设置和用户验证都可以转移到ACS上去做,效果是一样的,但是操作起来不同。具体可以去思科官方网站查找相关信息。
文章评论
我可有很认真的回帖哦,支持下!
分析得很到位,不错的文章!!
所餐类病马,动影似移岳。
好复杂额,不太明白。