思科设备 访问权限配置

说明

本文档内容是在思科路由器产品上通过使用口令和指定权限级别来提供终端访问控制的一种简单方法。

前言

思科IOS命 令行接口是用来配置、监视及维护思科设备的用户接口。无论是通过控制接口、终端或是远程访问，用户都可以通过此接口输入和执行相应的命令。

思科IOS命 令行接口包括以下三种主要模式：

lUser EXEC

当用户与设备最初会话时的模式。缺省情况下此模式下用户只能作一些简单操作，如：查看系统信息，连接远端设备，改变终端 线路设置等功能。

lPrivileged EXEC

在user EXEC下 通过enable命令进 入此模式。是user EXEC模 式的母集。缺省情况下用户可在此模式下访问global configuration，高级测试命令，查看更多的信息。

lGlobal configuration

在privileged EXEC下通过configure terminal进入此模式。此模式下可以配置设备的全局信息，并可进入其它sub-configuration模式。

lSub-configuration

不同功能或模块的配置模式。如接口模式、路由模式等。在这些模下可能配置相关的功能。

需求

某公司在远端放置一台思科路由器。本公司维护人员时常会通过telnet访问此设备并作相应的配置。设备当地人员因技术水平 原因只作简单的维护工作。

为了网络设备的安全，要求在此设备上配置两个不同的权限账户：一个用于对设备的配置修改；一个用于设备当前状态的查看。 为了方便，要求每个用户只需一次登陆即可得到相应权限。

解决方法

分别建立super（优 先级15）和guest（优先级2）两个账户。Super可以执行所有命令；guest只可以查看配置、线路状态、路由信息等相关内容，而 不能作相应改动。配置如下：

username super privilege 15 password drowssap

！配置超级用户账户

username guest privilege 2 password 12345

！配置访问用户账户

privilege configure all level 2 router

！使访问用户可以看到动态路由配置信息

privilege configure level 2 route-map

！使访问用户可以看到route-map配 置信息

privilege configure all level 2 interface

！使访问用户可以看到接口配置信息

privilege configure all level 2 controller

！使访问用户可以看到controller配 置信息

privilege configure all level 2 ip

！使访问用户可以看到以IP开 头的配置及子信息

privilege exec all level 2 show ip

！使访问用户可以执行以show ip开 头的privileged EXEC命令

privilege exec level 2 show running-config

！使访问用户可以执行show running-config privileged EXEC命令

line con 0

privilege level 15

！配置控制接口缺省权限为15

login local

！使用本地认证方式

line aux 0

privilege level 15

！配置附助控制接口缺省权限为15

login local

line vty 0 4

privilege level 15

！配置终端线路缺省权限为15

login local

验证

通过control接 口、附助接口及远程终端方式连接时：

User Access Verification

Username:

此时输入super及 密码后为：

Router#show privilege

Current privilege level is 15

证明权限正常。

若输入guest及 密码后：

Router#show privilege

Current privilege level is 2

查看配置信息（包括接口及路由配置）：

Router#sh run

Building configuration...

 

Current configuration : 587 bytes

!注：此处无法看到账户配置信息

interface FastEthernet0/0

ip address 1.1.1.1 255.255.255.0

duplex auto

speed auto

!注：接口配置信息已经显示

interface FastEthernet0/1

ip address 2.2.2.2 255.255.255.0

duplex auto

speed auto

!

router ospf 100

network 1.1.1.0 0.0.0.255 area 0

!注：动态路由配置已经显示

ip classless

ip route 0.0.0.0 0.0.0.0 1.1.1.1

!

End

查看路由信息：

Router#sh ip ro

Codes: C - connected, S - static, R - RIP, M - mobile, B - BGP

       D - EIGRP, EX - EIGRP external, O - OSPF, IA - OSPF inter area

       N1 - OSPF NSSA external type 1, N2 - OSPF NSSA external type 2

……

router#sh ip ospf

Routing Process "ospf 100" with ID 211.101.58.97

Supports only single TOS(TOS0) routes

……

试图进入global configuration模式：

Gateway1#conf t

            ^

% Invalid input detected at '^' marker.

试图显示启动配置及其它非权限内操作：

Gateway1#show config

                 ^

% Invalid input detected at '^' marker.

Gateway1#dir bootflash:

           ^

% Invalid input detected at '^' marker.

Gateway1#show bootflash:

           ^

% Invalid input detected at '^' marker.

总结

1、由于某条命令 的执行结果中可能关联高于当前权限的其它命令的显示内容，因为思科设备IOS已经根据不同命令分配了不同的权限；因此，若要得到某命令的完整显示结果，需要配置相关 命令的权限。

例：若只配置下面一条命令：

privilege exec level 2 show running-config

！使访问用户可以执行show running-config privileged EXEC命令

显示的结果将会是如下所示：

Router#sh run 

Building configuration...

Current configuration : 30 bytes

!

!

End

2、可能是IOS软件版本的原因，对于键入的某些privilege exec等命令通过show running-config查看不到的现象，即使 你的权限足够也是如此。