IOS的权限等级及用户管理

1、本文档结构:level 0权限等级16纽权曬3level 1 (level 2-14)level 15权限等级运用实恻权限等级及用户宦理consoled A用户接入-au)c 接 vty£ J用户管理-enable password enable password ?產碍设曽-enable secretenable secret ?service password-encryption一，Cisco IOS权限等级Cisco IOS提供了 16种权限等级，分别是 levvel 0到Ievel15。我们常见两种基本工作模 式：（1）用户EXEC模式（User mode）: level

2、1,通常用来查看路由器的状态。在此状态下， 无法对路由器进 行配置，可以查看的路由器信息也是有限的。如图，在缺省配置下登录到 Cisco路由器，你是在用户EXEC模式（等级1）下。Pr&53 RETURN 匸口 get stazted.Ecni匸er>3how privilege 匚urrenu privilege level Is 1（2）特权模式（Privilege mode）: Level 15，可以更改路由器的配置，当然也可以查看路 由器的所有信息，可以对路由器进行全面控制。IOS的根本权限其实不是config的配置模式而是#的特权，config的配置模式只不过是#特权模

3、式的一个功能特性模式而已。如图，输入 enable后进入了特权模式。Rauter>3how privilegeCurrant priva-lage Level is 1Rou t：已亡c 曰匕 LeRauterthow privilegeCurrent privilege level 13 15对于所有16个模式来说，实际上只有3种模式而已：Level 0， Level 1， Level 15。其他Level 214的权限其实和 Level 1相同，Level 1特殊在于默认开机是 Level 1而已。Level 0只 能使用极少数的几个命令：Raut.er>&nable

4、0Ex&c coiEzr.anda :callVoice calldisableTurnoff privilegedcommand3enableTurnon privileged eonmandshelpexrrExitfeom rhe EKECRour 皀 je# 亡电 1ftouter>?Exec commands:access-enatileCreate a itemporary Access-List;entryaeceag-proflieApply user-profile to interCacecallVoice callclearReset function?co

5、nnectOpen a terminal cannectiandisableTurn off privileg皀d connnandsdisconnectDisconnect: an exist:mg networkconnectionenableTurn on privileged cDnmiandsexitExrt from th已 EXE亡he lpDe script ion of the interact iirehelp sys匸曰nlockLoclt the termnalloginLo? in as a particular userlogoutExit from the EXE

6、CmrinfoRequest neighbor and version information from a multicastrouterDescripcion of che interactive help systemLogout; ExiL from vhe EKECLevel 1 ( Level 214)能使用的命令较多，36个左右Level 15能使用全部命令，这里就不截图了。(这里说明一下，用户模式下敲入enable默认为enable 15即进入特权模式。除了 Levell能直跳Level 15夕卜，在没有设置等级权限密码的情况下，低等级权限模式下社 No password se

7、t是不能进去高等权限模式的。比如在Level 1下敲入enable 3会报错：这时候应该先敲入 enable或enable 15( enable命令默认进入等级 15),之后敲入enable 3 就行了，查看当前权限等级命令是show privilege。)我们可以给一些权限等级设置密码来达到低等级权限模式进入高等级权限模式的问题：Router(c on fig)#e nable password level 3 cisco% Converting to a secret.Please use "en able secret' 'in the future.验证如图：

8、Router>Rauc&r>3h privilegeCTuirizent- pzzivj_lege Levfil zls 二 |氐口口ter>ena 3PassworcS ；Rouuertshow privilege Current privilege level is 3Level 214是用来干什么的呢？它们是用来被分配的。网络只是由少数人维护，他们每 个人通常都有进入特权模式的口令。但是在某些情况下，一些不允许拥有完全权限(Level15)的用户或客户需要连接到路由器时，管理员可以把Level 15中的一些命令授权给 Level214,然后把这些有权限运行部分命

9、令的Level分发给相应的客户或用户。权限原则：只赋予必需的最少的访问权限。下面用一个实例来说明上述需求的实现。实验拓扑：ip配置这些基础配置不再写出来了 R1 （企业）：（新建用户aaa密码aaa权限等级3）（授予等级3使用命令show run ） （开始对线路04进行配置）R1(c on fig)#user name aaa privilege 3 password 0 aaaR1(con fig)#privilege exec level 3 show runnin g-c onfigR1(config)#line vty 0 4R1（co nfig-li ne）#login local

10、（登陆验证调用本地用户列表）R2 （权限受限制的客户）： 除了基本配置没有其他的，仅有验证如图。1.1.Trying 1.1 _ 1 _ 1 一OpenUstr Aee&as VerificationUsername: aaaPassword: privilegeCiurcen七 privilege level is 3Rl#3how runA% Invalid input detected At *A 1 mar Jcer *Rl#3how runBuilding configuration«.U口rren匸 canfxgura匸丄口n :57 bytesIa»。

11、0匸-品匸已工匸一砂工忆后工 boot-end-markerendRL*|注意：远程终端输入用户名密码后直接进入特权等级3，无需从等级1 enable 3进入等级3。二，用户管理用户接入：管理设备的用户接入设备的方式有Con sole、HTTP、TTY VTY或其他网管软件等等。这里我们主要讲 3种，con sole 口接入，aux 口接入和 vty （virtual teletype term inal 虚拟终端）。他们的配置如下：1， con sole 接入Router(co nfig)#li ne con sole 0(进入 con sole 线路，这里只能是 0，因为 con sole

12、 线只有一条)Router(config-line)#password cisco(设置密码，password后可外加 0或7来限制密码字段)Enable password checking，没用loginRouter(co nfig-li ne)#login(确认启用密码设置密码设置无效)退出后登陆设备出现：Press RETURN to get started.User Access VerlfxcacionPassword:其他常用的设置：Router(co nfig-li ne)#loggi ng synchron ous 这个命令可以阻止控制台信息打断当前输入。Router(co n

13、fig-li ne)#exec-timeout 0 0 这个命令将永不断开 con sole的接入。为了防止在管理员 在配置中途离开设备而有其他人操作设备，Cisco IOS默认控制台10分钟无操作自动断开接入。这条命令完全格式是 exec-timeout x x，表示控制台无操作 x分x秒后自动断开接入。2，aux接入aux接入与con sole接入完全相同。Router(config)#line aux 0(一台设备也只有一个aux 口不是？)Router(c on fig-li ne)#password ciscoRouter(c on fig-li ne)#logi nRouter(c

14、 on fig-li ne)#loggi ng synchronousRouter(config-line)#exec-timeout 0 03，vty接入vty接入除了进入线路的line命令特别以外，也同con sole接入和aux接入。Router(config)#line vty 0 4(开启 5 条 vty 线路 04)Router(c on fig-li ne)#password ciscoRouter(c on fig-li ne)#logi nRouter(c on fig-li ne)#loggi ng synchronousRouter(config-line)#exec-t

15、imeout 0 0使用show run可以看到IOS的默认设置里 con sole线路0, aux线路0和vty线路04都是默 认开启的。vty的04号线路开启表示设备可以同时允许5个虚拟终端同时接入设备，且按虚拟终端接入时间顺序依次使用线路04。禁用vty的方式就是在所有line中去掉密码：Router(config-line)#Ino password 。line vty 这个命令极其复杂， 文档line vty X X命令的分析 将详细分析。密码设置：为了增强安全性，防止不应该的用户登录路由器串改重要配置，我们可以设置一些密码。注意，Cisco IOS的密码都是大小写敏感的，并且支持空

16、格作为密码字段(CCIELab史上最臭名昭著的恶毒t“ cisco空格”)，很多人在敲完命令后习惯性的会按一下空格键，对于其他命令这当然无关紧要，但是对于密码设置来说IOS会把最后那个空格算入密码字段中，密码将成为“XXX空格”但是如果空格出现在密码字段的前面则不会影响密码字段(CiscoCLI默认合并命令词组前的多个空格为一个空格)。Cisco的enable密码默认为空，所以对设备进行初始设置时必须设定enable密码。根据实验验证，这里针对enable密码设置这一块的关于 password， secret， service password-encryption 进行总结说明。1， ena

17、ble password :这种方式是明文的，即show run能看到明文密码。enable password ?:输入这个命令" enable password ?” 后面会出现如下图:Router(config)tenable pa33word ?0£p&ci_f an UNENCRYPTED passwatd will fallowSpec3_£j_es a HIDDEN passwoird will faJLXawLIHE Thu 7NEWCRYFTED1 enable *Level 3亡匸 exec Level passwordenable pa

18、ssword 0后面可以直接跟加密的内容(UNENCRYPTED,这个命令和 enablepassword 一样。enable password 7后面必须要跟你加密的密码经过思科私有算法出 来那个数值(HIDDEN)。比如“ enable password 7 060506324F41 (“ cisco”经思科私有算法处理后的结果）”。重点是在登陆设备后要求输入enable密码时，我们仍然要输入“ cisco”而不是“ 060506324F41 ”3， enable secret :是采用了 MD5 加密的。4， enable secret ?：输入：enable secret ?,出现下图

19、:Rout&r(eanfig)tenable seerec ?0specifanpasward will foliar5Specxfxes an EHCRYPTED Secie匸 will followLINE The UNENCRYPTED (clearteRt) *enable' secret level七 exec Lsvel passwordenable secret 0后直接接密码字段（UNENCRYPTED,将使用 MD5加密而不是明文， 相当于enable secret后直接接密码字段。enable secret 5后面必须要跟你加密的密码 经过 MD5 算法出来那个数值 （ENCRYPTED。比女口 “ en able secret 5 $1$IACW$LEPKyEV6Ak/0Tnkvk8BNA.（“cisco”经 MD5 算法处理后的结果）”。重点是在 登陆设备后要求输入enable密码时，我们仍然要输入“ cisco”而不是 “ $1$IACW$LEPKyEV6A