355 配置多个特权级别

3.5.5配置多个特权级别（1）默认情况下，CiscoIOS系统有两个密码安全模式：UserEXEC（用户执行）模式和PrivilegedEXEC（特权执行）模式。可以为每个模式配置16个（0〜15）层次的命令级别。数字越大，安全级别越高。通过配置多个密码，可以允许不同的用户访问指定的命令。IOS系统默认只有两个级别，即级别1为用户模式（UserEXECMode），级别15为特权模式（PrivilegedEXECMode）。不同级别所能使用的命令可以自己定义。例如，如果想要许多用户具有访问clearline命令，可以分配它为level2安全级别，并向许多用户发布这个级别的密码；而如果想限制访问configure命令，可以为它分配更高的安全级别，并向少数用户发布这个级别的密码。本节包括的内容如下：为一个命令设置特权级别。为线路改变默认特权级别。进入特权级别。配置新的特权级别。显示密码、访问级别和特权级别配置。为一个命令设置特权级别为一个命令设置特权级别的步骤如表3-13所示。表3-13为一个命令设置特权级别的步骤骤步AA命令用途说明1 Switch(config)#privilegemodelevellevelcommand设置密码所处的特权级别Switch(config)#enable2passwordlevellevel[encryption-type]password指定访问相应特权级别的密码为线路改变默认特权级别

为给定的一条线路或者一组线路改变默认特权级别的命令为Switch(config-line)#privilegelevellevel，例如:Switch(config-line)#privilegelevel2!--当前线路指定使用2级特权级别进入特权级别要进入特定的特权级别，可以使用Switch#enablelevel命令，如：Switch#enable10 !--进入自定义的第10级特权级别4.退出特权级别要退出当前所处的特定特权级别，可以使用Switch#disablelevel命令，例如：1.Switch#disable10 !--退出当前所处的第10级特权级别配置新的特权级别在CiscoIOS12.0(22)Sand12.2(13)T版本以前，在特权级别中的每个命令必须分别用一个privilege命令来指定；而在CiscoIOS12.0(22)Sand12.2(13)T及以后版本中，可以使用all这个掩码(wildcard)选项，以允许以一个privilege命令来配置访问多个命令。通过使用这个新的all关键字，可以为一个特权级别指定以相同字符开始的多个命令，关键字允许访问所有以指定命令字符开始的所有命令和子命令。例如，如果要创建一个特权级别允许用户访问所有以service-modulet1开始的命令(如service-modulet1linecode或者service-modulet1clocksource)，则可以使用privilegeinterfacealllevel2service-modulet1命令来定性指定，而不用对其所包括的两个命令分别指定。使用以下基本步骤可以创建新的CLI特权级别，并且指定在该级别下可以使用的相应命令。Switch>enablepasswordSwitch#configureterminalSwitch(config)#enablesecretlevellevelpassword

Switch(config)#privilegeexeclevellevelcommandSwitch(config)#privilegeexecalllevellevelcommand-stringSwitch(config)#end3.5.5配置多个特权级别(2)下面是详细的配置步骤和示例。Switch>enablepassword:进入特权模式，在提示时输入特权使能密码。例如：1.Switch〉enableSwitch#configureterminal:进入全局配置模式。例如：1.Switch#configureterminalSwitch(config)#enablesecretlevellevelpassword:为新的特权级别配置新的使能加密密码。例如：1.Switch(config)#enablesecretlevel7Zy72sKj !--为特权级别7配置加密密码为Zy72sKjSwitch(config)#privilegeexeclevellevelcommand-string:改变指定命令的特权级别。例如：1.ter(config)#privilegeexeclevel7clearcounters!--把clearcounters命令的特权级别从15改为7Switch(config)#privilegeexecalllevellevelcommand-string：改变一组以指定字符开头的命令的特权级别。例如：1.Switch(config)#privilegeexecalllevel7reload !--把所有reload命令的特权级别从15改为7Switch(config)#end:退出全局配置模式。例如：1.Switch(config)#end显示密码、访问级别和特权级别配置

要显示详细的密码信息，则可按表3-14所示的步骤进行。表3-14显示详细密码信息的步骤骤步AA命令用途说明1 Switch#showrunning-config显示密码和访问级别配置2Switch#showprivilege显示特权级别配置下面是一个显示如何查看密码属性配置的示例。Switch#showrunning-configBuildingconfiguration...3.Currentconfiguration:!version12.0servicetimestampsdebugdatetimelocaltimeservicetimestampslogdatetimelocaltimenoservicepassword-encryptionTOC\o"1-5"\h\z!hostnameSwitch!bootsyst