Cisco IOS 中16种不同的权限

　　很多网络管理员可能常年和Cisco IOS 打交道，但是很少关心IOS其中有16种不同的特权等级。挨踢小茶作为其中一员，一直也对这一块研究比较少，直到最近在做Cisco Secure Access Control Sever (ACS) 升级的时候发现，ACS对网络管理员的授权控制做得非常精细化，其中也涉及到了IOS中不同等级权限的问题，因此将这个问题记录下来，供以后方便查看，也供其他有需要的网络工程师做一个参考。

　　在思科IOS操作系统中，不同的特权等级授予了你不同的操作权限，等级越高，你的权限就越大，从而对这个网络设备的操作权也就越高。先介绍一下大家比较熟悉的两个权限，也就是最低的等级1和最高的等级15。

• User Exec Mode - Level 1
• Privileged Exec Mode - Level 15

　　在思科设备的默认的配置下，刚登录进去的时候是User Exec Mode (Level 1)。在这个模式下，你可以有权限获得这个设备的基础信息，例如接口的状态，路由表等。但是你无法在这个模式下获得设备的配置信息。

　　当你敲下"enable"并且输入了可能需要的密码之后，你就进入了Privileged Exec Mode (Level 15)。这个权限相当于是Windows下超级管理员权限，或者linux下的root权限。在这个模式下，你对这个设备将会有所有的操作权限。

　　在一般的企业环境下（中小企业），网络管理员可能每个人都有一个Privileged用户和密码，每个管理员都可以对网络设备进行任何的查看信息，更改配置，甚至重启。但当企业达到了一定的规模，或者在用户访问权限上需要做到更加精细化，那么1～15之间的权限就派上用场了。它能让公司了的某些人只能查看设备基础信息，另一些人只能重置接口，等等。

下面是一些比较基础的命令。

• show privilege: 查看当前你所在的权限等级
  

  router# show privilege
  Current privilege level is 3

• Enable: 一般来说在全局模式下敲打enable命令可以直接进入特权模式(Level 15)，但是你也可以用这个命令进入某个等级的特权模式
  

  router# show privilege 
  Current privilege level is 3
  router# enable 1
  router> show privilege
  Current privilege level is 1

• router(config)# username xiaopeiqing password xiaopeiqing privilege 4
  可以定义当某个用户登录之后默认的权限是多少等级的
• router(config)# enable secret level 5 level5pass
  默认来说enable命令能直接将你带入特权模式(Level 15)，但是你也可以手动指定enable之后进入的特权等级

例子：

router(config)# user support privilege 3 password support
router(config)# privilege exec level 3 show startup-config

需要注意的是，如果按上述配置当用户以support登录之后，不需要enable密码就可以直接进入level 3等级，但是只能执行"show startup-config"命令

更多关于CISCO IOS特权命令的特性，可以参考思科官方网站http://www.cisco.com/c/en/us/td/docs/ios/12_2/security/configuration/guide/fsecur_c/scfpass.html

　　本文介绍的命令基本上是基于思科网络设备本地的数据库的，也就是说所有的用户帐号、密码、权限都是写入本地配置文件。当然所有的这些权限的设置和用户验证都可以转移到ACS上去做，效果是一样的，但是操作起来不同。具体可以去思科官方网站查找相关信息。