? ? ? ?Cisco網(wǎng)絡(luò)設(shè)備對(duì)于訪(fǎng)問(wèn)用戶(hù)的不同，可以像windows系統(tǒng)里的賬戶(hù)設(shè)置一樣，為了系統(tǒng)或設(shè)備的安全區(qū)別創(chuàng)建用戶(hù)。通過(guò)權(quán)限的分配以實(shí)施安全的設(shè)備管理，怎樣在Cisco路由設(shè)備里面控制相應(yīng)用戶(hù)的訪(fǎng)問(wèn)？那么我們就需要知道privilege&privilege view 如何配置了。

???????????? privilege這東西很簡(jiǎn)單也很好玩的，接下來(lái)就來(lái)做個(gè)小實(shí)驗(yàn)吧。

?

??????????????r1與r2之間網(wǎng)段設(shè)置為192.168.1.0/24，左邊為：192。168。1。1 ，右邊為192。168。1。2。

????????????? 咱先看下privilege的配置吧，需求：需要給chengxi用戶(hù)一個(gè)四級(jí)的密碼ccnp，只能使用configure terminal 其它命令不執(zhí)行。

???????????? 命令：

???????????????????????username? chengxi privilege 4 password ccnp

??????????????????????? line vty 0 4

??????????????????????? login local???

?????????????????????????exit

???????????????????????? enable secret?level 4??ccnp

???????????????????????? privilege? exec level 4 configure terminal

測(cè)試（r2------>r1)：

?

??只能進(jìn)入全局模式但不能執(zhí)行任何動(dòng)作：

?

那么privilege? 的測(cè)試成功了，屬于level 4的用戶(hù)只能使用configure terminal命令。

如果我們?cè)诒镜剞D(zhuǎn)換用戶(hù)級(jí)別的話(huà)如：enable password level 4 ccie

?

那就登錄進(jìn)去就要先需要輸入使能密碼了，上面開(kāi)始進(jìn)入level 4的用戶(hù)直接enable 4 回車(chē)就進(jìn)入特權(quán)模式了，因?yàn)樗菑膔2 telnet r1的，直接認(rèn)證進(jìn)入特權(quán)模式了。

如果我們要對(duì)用戶(hù)行為定位更精確的話(huà)，可以使用privilege view 來(lái)進(jìn)行角色創(chuàng)建，多個(gè)privilege view 可以形成一個(gè)superview。。

??????????下面我們就來(lái)創(chuàng)建一個(gè)privilege view 為A ，用戶(hù)名與密碼依舊是chengxi與ccnp。vty 認(rèn)證也一樣是本地?cái)?shù)據(jù)庫(kù)認(rèn)證。但是我們要?jiǎng)?chuàng)建privilege view A就先要開(kāi)啟aaa new-model ，然后再回到EXEC模式下輸入:enable view

提示password: xxxx，輸入level 15級(jí)的密碼即可。

如：

?再進(jìn)入全局模式里輸入parser view A.就進(jìn)入了parser view A配置了，你可以設(shè)置登錄密碼，允許使用的命令或執(zhí)行的動(dòng)作。

??????? 那么我們現(xiàn)在要?jiǎng)?chuàng)建特權(quán)視圖A，允許在EXEC模式下執(zhí)行configure terminal ，在接口模式下只能配置fa0/1。其它配置一律否定。

parser view A
?secret? rhce

commands interface include shutdown
?commands interface include ip address
?commands interface include ip
?commands interface include no shutdown
?commands interface include no ip address
?commands interface include no ip
?commands interface include no
?commands configure include interface
?commands exec include configure terminal
?commands exec include configure
?commands exec include show
?commands configure include interface FastEthernet0/1

配置好后我們現(xiàn)在就可以去測(cè)試了。

r2---->r1:

?

現(xiàn)在我們已經(jīng)進(jìn)入了view A里面了，密碼可不是level 15的密碼了啊，是view A里定義的那個(gè)rhce啊。進(jìn)去了之后哦，

?

看到了吧，其它命令都不可檢測(cè)。呵呵。這就是我們“受制于人”的效果啊。另外我還在上一張圖里面給大家展示了一個(gè)小 case。就是alias別名的作用。看到了吧。我把telnet 192.168.1.1也就是r2 telnet r1的命令用一個(gè)r2tor1來(lái)代替了。。所以在exec里面只要輸入r2tor1就可以telnet上r1了。呵呵。這個(gè)好玩吧。

?

本文轉(zhuǎn)自 Bruce_F5 51CTO博客，原文鏈接:http://blog.51cto.com/zenfei/417274

總結(jié)

以上是生活随笔為你收集整理的cisco privilege权限的全部?jī)?nèi)容，希望文章能夠幫你解決所遇到的問(wèn)題。

如果覺(jué)得生活随笔網(wǎng)站內(nèi)容還不錯(cuò)，歡迎將生活随笔推薦給好友。