CiscoIOS权限级别访问管理和密码设置细节分析
核心提示:文章结构:第一,Cisco IOS权限1级,02级,1级(2级~ 14)3、15级:特权模式(privilegemode)4,之间的所有权利的关系(1),…文章结构:
首先,思科IOS权限级别
1,第0级
2,第1级(第2级至第14级)
3、15级:特权模式(privilegemode)
4,各种权力之间的关系
(1)权限跳转
(2)给予级别2~14的某些级别的15权限
二、用户访问管理
1、控制台访问
2,辅助访问
3、vty访问
三,设置密码
1、四密码设置命令
(1)、直接enablepassword配置密码
(2),后enablepassword,添加到配置密码的关键
(3)、直接enablesecret配置密码
(4),后enablesecret,添加到配置密码的关键
2、加密配置显示运行显示
首先,思科IOS权限级别
Cisco IOS提供了16种权限等级,即0至level15 levvel,每一层都有不同的权限,并对应于不同的权限可以使用的命令。所有16级,实际上只有3种级别:0级,1级(2级,15级~ 14)。让我们详细介绍。
1,第0级
第0级是最低权限,只能使用少量命令:
2,第1级(第2级至第14级)
第1级是用户执行模式(用户模式),它通常用于查看路由器的状态。在这种状态下,路由器没有配置,并且您可以查看的路由器信息是有限的。
2到14的级别是多少
有些是不允许有充分的权限(15级)的用户或客户需要连接到路由器,管理员可以在命令2级14级15 ~放行的权限,然后把这些权限运行相应的命令部分客户或用户的水平。在这这样,客户或用户将能够使用的命令,他们没有权利使用。2级~ 14命令的权限为1级相同,但默认的配置是1级。
权限原则:只提供所需的最小访问权限。
如图所示,默认配置下Cisco路由器的登录将处于用户执行模式(第1级)。
第1级(第2级至第14级)可以使用更多命令,大约36。(以下数字不完整)
3、15级:特权模式(privilegemode)
特权模式(特权模式)可以改变路由器的配置,当然,它也可以看到所有的路由信息,并能综合治理路由器。在用户模式;enable命令(使15)进入特权模式。
特权模式(#)和全局配置模式(config):特权模式基本权限之间的关系不是iOS但思科全局配置模式,全局配置模式是只有一个的特权模式的特点功能。
例如,输入enable落后进入特权模式。
15级可以使用所有命令,这里有太多命令不能被捕获。
4,各种权力之间的关系
(1)权限跳转
除了一级可以直接跳15级,没有级密码设置的情况下,低级别的特权模式不能跳到更高的特权模式。
例如,我们要访问3级1级,1级在使3错误:%;nopassword set。正确的做法是:首先在启用或启用15(默认启用命令到15级),型使3后。查看当前权限级别命令显示特权。)当然,我们可以跳到高级别的权限的方式直接在我们设置多个权限级别为低级别的权限模式。
配置如下:
路由器(config)#启用密码Level3思科
%转化为秘密。请在将来使用启用秘密。
验证图表:
(2)给予级别2~14的某些级别的15权限
下面的示例用于说明如何使用级别15特权模式的特权给级别2~14命令。
实验拓扑:
说明:IP地址等基本配置已完成,R1为企业,R2为委托客户订单。
R1(config)#用户名AAA AAA AAA AAA 0优惠3password / /新用户密码3级
R1(config)#特权EXEC级别3show运行配置 / /授予3级使用命令显示run
R1(config)#线vty 04 / /到0 ~ 4线配置
R1(配置线)#登录本地 / /调用本地用户登录认证名单
R2(受限制的客户端)验证数字:
说明:远程终端在输入用户名和密码后直接进入特权级别3,不需要从级别1启用3进入3级。
二、用户访问管理
用户访问方式的用户接入设备的控制台,HTTP,TTY,VTY或其他网络管理软件等。在这里我们主要谈3种,控制台访问、AUX接入和VTY(virtualteletype终端虚拟终端)。
它们的配置如下:
1、控制台访问
路由器(config)#控制台线路0 /台成线,这里只有0,因为只有一个控制台
路由器(配置线)#思科 / /密码密码可以设置密码,加0或7限制密码
路由器(配置线)#登录 / /确认启用密码设置,没有登录密码无效)
退出后,设备将需要输入您刚刚设置的密码:
配置控制台干预时的其他常见设置:
路由器(配置线)#日志同步命令可以防止控制台信息中断电流输入。
路由器的命令(配置线)#执行超时00不会打破控制台访问。为了防止管理员离开设备的配置和操作设备的其他人,Cisco IOS默认控制台自动断开10分钟。该命令的完整格式是执行timeoutx x,指示这台自动断开后××秒无操作。
2,辅助访问
辅助访问与控制台访问完全相同。
路由器(config)#线辅助0(一个装置只有一个AUX口,不是吗)
路由器(配置线)#密码思科
路由器(配置线)#登录
路由器(配置线)# loggingsynchronous
路由器(配置线)#执行超时00
3、vty访问
vty访问也是访问控制台和AUX接入相关,除了线命令,输入线。
路由器(config)#线vty 04(开放5个VTY线路0 ~ 4)
路由器(配置线)#密码思科
路由器(配置线)#登录
路由器(配置线)# loggingsynchronous
路由器(配置线)#执行超时00
描述:使用显示运行,你可以看到设置iOS默认的控制台0线和辅助线0和线0 ~ VTY 4都是默认打开的,4线0 ~ VTY开幕表示设备可以同时允许5个虚拟终端同时接入设备,和0号线~ 4将根据虚拟终端访问的时间顺序使用。禁用VTY方式是去除所有的线和VTY密码,不能使用没有VTY密码。
禁用VTY配置:
路由器(config)# VTY 04线
路由器(配置线)#没有密码。
三,设置密码
在成功登录到Cisco ISO之后,我们应该考虑设备配置的安全性,为了提高安全性,防止不必要的用户登录路由器更改重要配置,我们可以设置一些密码。
请注意,Cisco IOS的密码都是区分大小写的,支持空格作为密码字段。很多人点击命令后会点击空格键,这对其他命令并不重要,但是对于密码,IOS将占据密码字段的最后一个空格,密码将为XXX空格,但是如果空格出现在密码字段的前面,它不会影响密码字段。默认情况下,Cisco命令行在合并命令短语之前有多个空格。密码之前的空格将合并到密码字段前的正常空格中。
Cisco IOS的启用密码是空的,因此在设置设备的设备时必须设置启用密码。
1、四密码设置命令
(1)直接启用密码配置密码
这种方式是明文,也就是说,运行可以看到明文的密码。
(2)启用密码后,添加一个密钥来重新配置密码。
输入命令;启用密码下面将显示如下内容:
启用密码0可以通过加密的内容直接(未加密),这是enablepassword相同。
启用密码7必须遵循您的加密密码通过Cisco私有算法(隐藏)。
例如,启用密码7 060506324f41 ciscoCisco私有算法后,结果是060506324f41。当我们需要输入使设备密码登陆后,我们想进入cisco不是060506324f41
(3)直接启用秘密配置密码
这是MD5算法用于加密密码的方式,并由enablesecret命令设置的密码将覆盖enable password命令密码。
(4)启用秘密后,添加一个密钥来重新配置密码。
输入命令启用秘密出现在下面:
后使秘密0直接连接密码(加密),它将使用MD5不加密的明文密码字段后,相当于enablesecret。
启用秘密5必须遵循你的加密密码通过MD5算法(加密)。
例如,使秘密5美元1美元美元/ 0tnkvk8bna泛美妇女委员会lepkyev6ak cisco通过MD5算法处理的结果是1美元美元/ 0tnkvk8bna.when泛美妇女委员会lepkyev6ak我们需要输入使设备密码登陆后,我们还是要进入cisco不是美元1美元美元/ 0tnkvk8bna. lepkyev6ak泛美妇女委员会;
2、加密配置显示运行显示
当使用显示运行查看设备的配置命令,如果配置的密码是在设备输出显示(终端窗口界面),仍然会有泄漏的风险。为此,我们可以使用servicepassword encryption使密码设备的终端显示为没有明文的命令。
服务密码加密的加密方式是Cisco私有加密加密。(在设置控制台密码,打开服务password-encryption.we显示运行会发现密码配置命令是密码70071a150754数字7意味着使用。思科私有加密算法)
如果我们在路由器中:没有服务密码加密和以上的顺序,就不可能直接解密密文,必须通过其他的解密手段。
另外重要的一点是,服务密码加密命令必须配置后的密码设置,首先配置servicepassword加密然后设置密码,这将不会被加密。
服务密码加密是在配置所有的密码加密,不仅是使密码,如果启用明文将重新加密,如果启用密码是MD5(enablesecret命令)或思科(私人算法enablepassword 7命令)加密,使用密码加密不会被用来作为额外的处理。