谷德威天津思科CCNA培训之用户访问和权限管理
生活随笔
收集整理的這篇文章主要介紹了
谷德威天津思科CCNA培训之用户访问和权限管理
小編覺得挺不錯的,現在分享給大家,幫大家做個參考.
谷德威天津思科CCNA培訓之用戶訪問和權限管理 設置用戶名和密碼
提問:為每個單獨的人員設置不同的用戶名和密碼回答:Router1(config)#username NAME password WORD或Router1(config)#username NAME nopassword //創建username不使用密碼Router1(config)#aaa new-modelRouter1(config)#aaa authentication login local_auth localRouter1(config)#line vty 0 4Router1(config-line)#login authentication local_auth注釋:不推薦使用沒有密碼的username,會產生安全問題
設置單獨的用戶名和密碼在日志中會顯示誰做了修改,比如%SYS-5-RELOAD: Reload requested by kdooley on vty0 (172.25.1.1)
在username這個命令里面還有一個autocommand的選項,實現登錄以后自動執行某個特定的命令的作用,然后自動推出。下面的例子就是一個用戶名為NAME 無密碼,登錄以后顯示完端口狀態就自動退出的例子
Router1(config)#aaa new-model
Router1(config)#aaa authentication login default local
Router1(config)#aaa authorization exec default local
Router1(config)#username NAME nopassword noescape
Router1(config)#username NAME autocommand show ip interface brief
這里的noescape防止用戶使用escape來進入路由器的EXEC模式,強烈推薦使用 2.加密密碼
提問:加密密碼從而在配置文件中不明文顯示回答:Router1(config)#enable password oreillyRouter1(config)#line vty 0 4Router1(config-line)#password cookbookRouter1(config-line)#line con 0Router1(config-line)#password cookbookRouter1(config-line)#line aux 0Router1(config-line)#password cookbookRouter1(config)#service password-encryption注釋:
這種加密方式很弱,很容易被破解
3.一種更好的密碼加密技術
提問:使用強度高的加密方式而不是思科缺省的加密技術回答:Router1(config)#enable secret ORAbooks在IOS 12.2(8)T后也可以對username的密碼做高強度的加密Router1(config)#username ijbrown secret oreilly注釋:
由于這種加密方式使用的是MD5所以破解難度相對增大了
密碼設定正常沒有?,不過可以通過Control v+?的方式來輸入
4. 移去配置文件中的密碼信息
提問:不想在配置文件中顯示密碼回答:使用腳本略去注釋:
簡單的用show tech命令也可以
5.解密思科的弱密碼
提問:破解思科缺省的密碼算法回答:使用腳本略去注釋:
可以使用BOSON網站上的免費工具
6.顯示當前登錄用戶
提問:顯示當前登錄設備的用戶回答:Router1#show users(who)注釋:
Router1#show users all 顯示所有登錄設備的用戶線程
finger @Router1 遠程查看登錄用戶
7.發信息給其它用戶
提問:試圖發送信息給登錄在同一設備的其它用戶回答:Router1#send *Router1#send console 0Router1#send vty 2Router1#send 66
注釋:
很好用的特性,比如當你重啟的時候需要告訴別人,文本信息^+Z結束
8.修改可用VTY數目
提問:增加或者減少可登錄用戶的數目回答:Router1(config)#line vty 0 9
注釋:
缺省可登錄vty數目為5(0-4),不能刪除
對于增加的VTY線程可以使用no line vty x(x>4) 刪除
不能單獨添加vty線程,若line vty 9,則自動創建vty 5-9
同樣不能刪除單獨的vty線程,若no line vty 9,則自動刪除vty 5-9
9.修改VTY的超時時長
提問:修改超時避免用戶登錄超時被系統斷開回答:Router1(config)#line vty 0 4Router1(config-line)#exec-timeout 0 0 (exec-timeout 240 0)
注釋:
缺省情況下用戶10分鐘空閑就會被踢掉系統,0 0可以永不超時,第一個0是分鐘,最長35791分鐘(24天),第二個0是秒
同時為了防止有些用戶掉死但是還占用vty端口的情況,建議使用下面命令來防止:
Router1(config)#service tcp-keepalives-in //保證Tcp建立的入連結是活動的,如果路由器或交換機沒有收到遠程系統的響應,會自動關閉連接
使用show terminal命令查看當前線程的不活動時間
10.限制用戶登錄可以使用的協議
提問:只允許用戶用特定的協議來進行系統登錄回答:Router1(config)#line vty 0 4Router1(config-line)#transport input telnet
注釋:
缺省情況下除了可以telnet登錄,還支持以下協議登錄lat,pad,v120,lapb-ta,rlogin,ssh
11.配置用戶登錄可用總時長
提問:對用戶登錄總時長進行限制,不論是否在空閑還是活動回答:Router1(config)#line vty 0 4Router1(config-line)#absolute-timeout 5Router1(config-line)#logout-warning 30
注釋:
建議登出警告不小于10分鐘
12.部署警示性信息
提問:設置登錄時顯示的警示性信息回答:Router1(config)#banner exec # This is an exec banner #Router1(config)#banner login # This is a login banner #Router1(config)#banner motd $ This is a motd banner $
注釋:
Motd為Message of the Day,每天的信息,很少使用
Login banners主要用來顯示一個安全警告
一個好的登錄警告應該包括下面幾點:
1.告訴企圖登錄的人,沒有經過授權使用本路由器是不允許的
2.告訴企圖登錄的人,所有的操作都是被監控的
3.告訴企圖登錄的人,沒進過授權的操作是不合法的,這些記錄將會被用來進行法律行動
4.最重要的是,登錄警告中,不能透露有關路由器的敏感的信息為***提供方便
下面是一個FBI的路由器登錄banner做參考:Router1(config)#banner login #Enter TEXT message. End with the character '#'.+--------------------------------------------------------------------+| WARNING || ------- || This system is solely for the use of authorized users for official || purposes. You have no expectation of privacy in its use and to || ensure that the system is functioning properly, individuals using || this computer system are subject to having all of their activities || monitored and recorded by system personnel. Use of this system || evidences an express consent to such monitoring and agreement that || if such monitoring reveals evidence of possible abuse or criminal || activity, system personnel may provide the results of such || monitoring to appropriate officials. |+--------------------------------------------------------------------+#Router1(config)#end
13.在特定端口禁用Banners顯示
提問:aux口用于modem連接,為了避免出現問題希望關閉banner顯示回答Router1(config)#line aux 0 Router1(config-line)#no motd-bannerRouter1(config-line)#no exec-banner
注釋:
不能在線程上關閉login banner,所以如果你要達到這個目的,你可以使用motd banner代替login banner
14.禁用Line登錄
提問:禁止在AUX或者Line端口進行設備登錄回答:禁止在AUX進行設備登錄Router1(config)#line aux 0Router1(config-line)#transport input noneRouter1(config-line)#no execRouter1(config-line)#exec-timeout 0 1Router1(config-line)#no passwordRouter1(config-line)#exit禁止在Line端口進行設備登錄Router1(config)#access-list 98 deny any logRouter1(config)#line vty 0 4Router1(config-line)#transport input noneRouter1(config-line)#exec-timeout 0 1Router1(config-line)#no execRouter1(config-line)#exit
注釋:
transport input none 命令阻止反向TELNET到這個網絡
no exec 命令阻止端口運行EXEC模式會話
no password 強制路由器清除線程上的密碼,用戶即使連接了也不能進行認證
從console口來恢復密碼很容易,所以推薦將路由器放在安全的地方,物理安全很重要
你可以使用本地認證(local authentication)或AAA來代替直接在線程下配置密碼
15.為管理員保留特定的登錄端口
提問:防止所有的登錄端口都被占用,為管理員留一個后門回答你可以為你自己保留一個VTY端口來登錄路由器Router1(config)#access-list 9 permit 172.25.1.1Router1(config)#line vty 4Router1(config-line)#access-class 9 in或者使用rotary命令更改telnet登錄的端口,來增加安全性Router1(config)#access-list 9 permit 172.25.1.1Router1(config)#line vty 5 7Router1(config-line)#rotary 25Router1(config-line)#access-class 9 in注釋:
在使用第二種rotary命令時就相應的改變登錄時的端口號碼,不是缺省的23,而是3000+rotary的號碼25=3025
可以使用show line vty 來查看rotary和access-class相關信息
16.限制特定地址的Telnet登錄
提問:只允許特定的機器進行Telnet登錄回答:Router1(config)#access-list 99 permit 172.25.1.0 0.0.0.255Router1(config)#access-list 99 deny any log Router1(config)#line vty 0 4Router1(config-line)#access-class 99 in注釋:
推薦使用access-class來保證只有授權用戶才能通過VTY來訪問路由器
17.對Telnet訪問進行日志記錄
提問:記錄每次telnet的日志回答:Router1(config)#access-list 90 permit any logRouter1(config)#line vty 0 4Router1(config-line)#access-class 90 in注釋:
需要注意的是不管登錄成功還是失敗,在日志中都是顯示的permitted
%SEC-6-IPACCESSLOGS: list 90 permitted 172.25.1.1 1 packet
18.設置發起Telnet的源地址
提問:有時對端設備有安全設置只允許特定的地址對外發起telnet請求回答:設置為對外發起的TELNET設置一個統一的IP源地址Router1(config)#ip telnet source-interface loopback0或者為某一個特定的telnet目的設置IP源地址Router1#telnet 172.25.1.5 /source-interface loopback0注釋:
缺省情況路由器會使用到目的地的端口來做Telnet的源地址
19.自動登錄
注釋:
使用腳本略去,其實用SecueCRT很容易設定
20.使用SSH登錄
提問:啟用SSH這種加密的登錄方式回答:Router1(config)#hostname Router1Router1(config)#ip domain-name neoshi.netRouter1(config)#crypto key generate rsaThe name for the keys will be: Router1.oreilly.comChoose the size of the key modulus in the range of 360 to 2048 for yourGeneral Purpose Keys. Choosing a key modulus greater than 512 may takea few minutes.
How many bits in the modulus [512]: 1024Generating RSA keys ...[OK]
Router1(config)#Jun 27 15:04:15: %SSH-5-ENABLED: SSH 1.5 has been enabledRouter1(config)#ip ssh time-out 120Router1(config)#ip ssh authentication-retries 4注釋:
配置步驟:
1.確認你運行的IOS版本大于12.1(1)T
2.確認你運行的IOS版本包含IPSec特性(DES或3DES,最好3DES)
3.配置本地認證(local authentication)或AAA,SSH不支持默認VTY密碼加密
4.配置路由器名,不能為Router
5.用ip domain-name NAME命令在路由器上配置域名
6.用crypto key negerate rsa命令產生一個SSH主機密鑰,密鑰長度從360 bits到2048 bits,密鑰越長越安全,但影響路由器性能,不推薦使用短于1024 bits的密碼。
可以使用crypto key zeroize rsa命令刪除密鑰
創建一個密鑰會自動啟用SSH協議,當你第一次登錄啟用SSH的路由器,SSH客戶端會要求保存用戶的密鑰
從IOS 12.3(4)T開始支持SSH v2(ip ssh version 2),之前只支持v1
從IOS 12.1(3)T開始Cisco路由器支持SSH客戶端命令,可以用來登錄其他SSH服務器
可以使用show ip ssh命令查看SSH服務器相關信息
21.改變IOS命令的特權等級
提問:修改特定IOS命令的特權等級回答:Router1(config)#privilege exec level 1 show startup-config注釋:
缺省情況路由器支持16種特權等級,命令一般歸屬于0,1和15三種特權等級
在特權等級0下面只支持disable, enable, exit, help, 和logout命令
在特權等級1下面不能對配置進行修改
進入特權等級15:enable,進入特權等級1:disable
enable(0-15)進入比當前高的特權等級
disable(0-15)進入比當前低的特權等級
telnet的默認等級是特權等級1
用高特權等級設定的命令,在低特權等級下便不能使用,如:
privilege exec level 15 show ip route,則在特權0下連show命令也不能使用,除非輸入:
privilege exec level 1 show (ip)
Router1(config)#privilege exec reset show startup-config將命令重置到默認設置 22.基于用戶的特權等級Defining Per User Privileges
提問:給不同的用戶賦予不同的特權等級回答:Router1(config)#aaa new-modelRouter1(config)#aaa authentication login default localRouter1(config)#aaa authorization exec default localRouter1(config)#username NAME privilege 10 password passwordRouter1(config)#privilege exec level 10 show ip routeRouter1(config)#privilege exec level 1 show ip Router1(config)#privilege exec level 1 show 注釋:
若給帳戶指定特權等級,則當用戶登錄后,直接進入該特權等級,而不用輸入enable
通常的0,1和15三種等級彈性不足,可以定義更多的等級給不同的用戶
23. 基于端口的特權等級
提問:根據登錄的不同端口自動賦予特定的特權等級回答:Router1(config)#line aux 0Router1(config-line)#privilege level 5Router1(config-line)#exitRouter1(config)#privilege exec level 5 show ip routeRouter1(config)#privilege exec level 1 show ip Router1(config)#privilege exec level 1 show 注釋:
默認情況下,從端口登錄,特權等級都是1
當該端口指定特權等級后,從該端口登錄,則直接進入該特權等級
更多技術資料訪問 谷德威(天津)www.gdinformation.com? www.ciscotj.com
?
提問:為每個單獨的人員設置不同的用戶名和密碼回答:Router1(config)#username NAME password WORD或Router1(config)#username NAME nopassword //創建username不使用密碼Router1(config)#aaa new-modelRouter1(config)#aaa authentication login local_auth localRouter1(config)#line vty 0 4Router1(config-line)#login authentication local_auth注釋:不推薦使用沒有密碼的username,會產生安全問題
設置單獨的用戶名和密碼在日志中會顯示誰做了修改,比如%SYS-5-RELOAD: Reload requested by kdooley on vty0 (172.25.1.1)
在username這個命令里面還有一個autocommand的選項,實現登錄以后自動執行某個特定的命令的作用,然后自動推出。下面的例子就是一個用戶名為NAME 無密碼,登錄以后顯示完端口狀態就自動退出的例子
Router1(config)#aaa new-model
Router1(config)#aaa authentication login default local
Router1(config)#aaa authorization exec default local
Router1(config)#username NAME nopassword noescape
Router1(config)#username NAME autocommand show ip interface brief
這里的noescape防止用戶使用escape來進入路由器的EXEC模式,強烈推薦使用 2.加密密碼
提問:加密密碼從而在配置文件中不明文顯示回答:Router1(config)#enable password oreillyRouter1(config)#line vty 0 4Router1(config-line)#password cookbookRouter1(config-line)#line con 0Router1(config-line)#password cookbookRouter1(config-line)#line aux 0Router1(config-line)#password cookbookRouter1(config)#service password-encryption注釋:
這種加密方式很弱,很容易被破解
3.一種更好的密碼加密技術
提問:使用強度高的加密方式而不是思科缺省的加密技術回答:Router1(config)#enable secret ORAbooks在IOS 12.2(8)T后也可以對username的密碼做高強度的加密Router1(config)#username ijbrown secret oreilly注釋:
由于這種加密方式使用的是MD5所以破解難度相對增大了
密碼設定正常沒有?,不過可以通過Control v+?的方式來輸入
4. 移去配置文件中的密碼信息
提問:不想在配置文件中顯示密碼回答:使用腳本略去注釋:
簡單的用show tech命令也可以
5.解密思科的弱密碼
提問:破解思科缺省的密碼算法回答:使用腳本略去注釋:
可以使用BOSON網站上的免費工具
6.顯示當前登錄用戶
提問:顯示當前登錄設備的用戶回答:Router1#show users(who)注釋:
Router1#show users all 顯示所有登錄設備的用戶線程
finger @Router1 遠程查看登錄用戶
7.發信息給其它用戶
提問:試圖發送信息給登錄在同一設備的其它用戶回答:Router1#send *Router1#send console 0Router1#send vty 2Router1#send 66
注釋:
很好用的特性,比如當你重啟的時候需要告訴別人,文本信息^+Z結束
8.修改可用VTY數目
提問:增加或者減少可登錄用戶的數目回答:Router1(config)#line vty 0 9
注釋:
缺省可登錄vty數目為5(0-4),不能刪除
對于增加的VTY線程可以使用no line vty x(x>4) 刪除
不能單獨添加vty線程,若line vty 9,則自動創建vty 5-9
同樣不能刪除單獨的vty線程,若no line vty 9,則自動刪除vty 5-9
9.修改VTY的超時時長
提問:修改超時避免用戶登錄超時被系統斷開回答:Router1(config)#line vty 0 4Router1(config-line)#exec-timeout 0 0 (exec-timeout 240 0)
注釋:
缺省情況下用戶10分鐘空閑就會被踢掉系統,0 0可以永不超時,第一個0是分鐘,最長35791分鐘(24天),第二個0是秒
同時為了防止有些用戶掉死但是還占用vty端口的情況,建議使用下面命令來防止:
Router1(config)#service tcp-keepalives-in //保證Tcp建立的入連結是活動的,如果路由器或交換機沒有收到遠程系統的響應,會自動關閉連接
使用show terminal命令查看當前線程的不活動時間
10.限制用戶登錄可以使用的協議
提問:只允許用戶用特定的協議來進行系統登錄回答:Router1(config)#line vty 0 4Router1(config-line)#transport input telnet
注釋:
缺省情況下除了可以telnet登錄,還支持以下協議登錄lat,pad,v120,lapb-ta,rlogin,ssh
11.配置用戶登錄可用總時長
提問:對用戶登錄總時長進行限制,不論是否在空閑還是活動回答:Router1(config)#line vty 0 4Router1(config-line)#absolute-timeout 5Router1(config-line)#logout-warning 30
注釋:
建議登出警告不小于10分鐘
12.部署警示性信息
提問:設置登錄時顯示的警示性信息回答:Router1(config)#banner exec # This is an exec banner #Router1(config)#banner login # This is a login banner #Router1(config)#banner motd $ This is a motd banner $
注釋:
Motd為Message of the Day,每天的信息,很少使用
Login banners主要用來顯示一個安全警告
一個好的登錄警告應該包括下面幾點:
1.告訴企圖登錄的人,沒有經過授權使用本路由器是不允許的
2.告訴企圖登錄的人,所有的操作都是被監控的
3.告訴企圖登錄的人,沒進過授權的操作是不合法的,這些記錄將會被用來進行法律行動
4.最重要的是,登錄警告中,不能透露有關路由器的敏感的信息為***提供方便
下面是一個FBI的路由器登錄banner做參考:Router1(config)#banner login #Enter TEXT message. End with the character '#'.+--------------------------------------------------------------------+| WARNING || ------- || This system is solely for the use of authorized users for official || purposes. You have no expectation of privacy in its use and to || ensure that the system is functioning properly, individuals using || this computer system are subject to having all of their activities || monitored and recorded by system personnel. Use of this system || evidences an express consent to such monitoring and agreement that || if such monitoring reveals evidence of possible abuse or criminal || activity, system personnel may provide the results of such || monitoring to appropriate officials. |+--------------------------------------------------------------------+#Router1(config)#end
13.在特定端口禁用Banners顯示
提問:aux口用于modem連接,為了避免出現問題希望關閉banner顯示回答Router1(config)#line aux 0 Router1(config-line)#no motd-bannerRouter1(config-line)#no exec-banner
注釋:
不能在線程上關閉login banner,所以如果你要達到這個目的,你可以使用motd banner代替login banner
14.禁用Line登錄
提問:禁止在AUX或者Line端口進行設備登錄回答:禁止在AUX進行設備登錄Router1(config)#line aux 0Router1(config-line)#transport input noneRouter1(config-line)#no execRouter1(config-line)#exec-timeout 0 1Router1(config-line)#no passwordRouter1(config-line)#exit禁止在Line端口進行設備登錄Router1(config)#access-list 98 deny any logRouter1(config)#line vty 0 4Router1(config-line)#transport input noneRouter1(config-line)#exec-timeout 0 1Router1(config-line)#no execRouter1(config-line)#exit
注釋:
transport input none 命令阻止反向TELNET到這個網絡
no exec 命令阻止端口運行EXEC模式會話
no password 強制路由器清除線程上的密碼,用戶即使連接了也不能進行認證
從console口來恢復密碼很容易,所以推薦將路由器放在安全的地方,物理安全很重要
你可以使用本地認證(local authentication)或AAA來代替直接在線程下配置密碼
15.為管理員保留特定的登錄端口
提問:防止所有的登錄端口都被占用,為管理員留一個后門回答你可以為你自己保留一個VTY端口來登錄路由器Router1(config)#access-list 9 permit 172.25.1.1Router1(config)#line vty 4Router1(config-line)#access-class 9 in或者使用rotary命令更改telnet登錄的端口,來增加安全性Router1(config)#access-list 9 permit 172.25.1.1Router1(config)#line vty 5 7Router1(config-line)#rotary 25Router1(config-line)#access-class 9 in注釋:
在使用第二種rotary命令時就相應的改變登錄時的端口號碼,不是缺省的23,而是3000+rotary的號碼25=3025
可以使用show line vty 來查看rotary和access-class相關信息
16.限制特定地址的Telnet登錄
提問:只允許特定的機器進行Telnet登錄回答:Router1(config)#access-list 99 permit 172.25.1.0 0.0.0.255Router1(config)#access-list 99 deny any log Router1(config)#line vty 0 4Router1(config-line)#access-class 99 in注釋:
推薦使用access-class來保證只有授權用戶才能通過VTY來訪問路由器
17.對Telnet訪問進行日志記錄
提問:記錄每次telnet的日志回答:Router1(config)#access-list 90 permit any logRouter1(config)#line vty 0 4Router1(config-line)#access-class 90 in注釋:
需要注意的是不管登錄成功還是失敗,在日志中都是顯示的permitted
%SEC-6-IPACCESSLOGS: list 90 permitted 172.25.1.1 1 packet
18.設置發起Telnet的源地址
提問:有時對端設備有安全設置只允許特定的地址對外發起telnet請求回答:設置為對外發起的TELNET設置一個統一的IP源地址Router1(config)#ip telnet source-interface loopback0或者為某一個特定的telnet目的設置IP源地址Router1#telnet 172.25.1.5 /source-interface loopback0注釋:
缺省情況路由器會使用到目的地的端口來做Telnet的源地址
19.自動登錄
注釋:
使用腳本略去,其實用SecueCRT很容易設定
20.使用SSH登錄
提問:啟用SSH這種加密的登錄方式回答:Router1(config)#hostname Router1Router1(config)#ip domain-name neoshi.netRouter1(config)#crypto key generate rsaThe name for the keys will be: Router1.oreilly.comChoose the size of the key modulus in the range of 360 to 2048 for yourGeneral Purpose Keys. Choosing a key modulus greater than 512 may takea few minutes.
How many bits in the modulus [512]: 1024Generating RSA keys ...[OK]
Router1(config)#Jun 27 15:04:15: %SSH-5-ENABLED: SSH 1.5 has been enabledRouter1(config)#ip ssh time-out 120Router1(config)#ip ssh authentication-retries 4注釋:
配置步驟:
1.確認你運行的IOS版本大于12.1(1)T
2.確認你運行的IOS版本包含IPSec特性(DES或3DES,最好3DES)
3.配置本地認證(local authentication)或AAA,SSH不支持默認VTY密碼加密
4.配置路由器名,不能為Router
5.用ip domain-name NAME命令在路由器上配置域名
6.用crypto key negerate rsa命令產生一個SSH主機密鑰,密鑰長度從360 bits到2048 bits,密鑰越長越安全,但影響路由器性能,不推薦使用短于1024 bits的密碼。
可以使用crypto key zeroize rsa命令刪除密鑰
創建一個密鑰會自動啟用SSH協議,當你第一次登錄啟用SSH的路由器,SSH客戶端會要求保存用戶的密鑰
從IOS 12.3(4)T開始支持SSH v2(ip ssh version 2),之前只支持v1
從IOS 12.1(3)T開始Cisco路由器支持SSH客戶端命令,可以用來登錄其他SSH服務器
可以使用show ip ssh命令查看SSH服務器相關信息
21.改變IOS命令的特權等級
提問:修改特定IOS命令的特權等級回答:Router1(config)#privilege exec level 1 show startup-config注釋:
缺省情況路由器支持16種特權等級,命令一般歸屬于0,1和15三種特權等級
在特權等級0下面只支持disable, enable, exit, help, 和logout命令
在特權等級1下面不能對配置進行修改
進入特權等級15:enable,進入特權等級1:disable
enable(0-15)進入比當前高的特權等級
disable(0-15)進入比當前低的特權等級
telnet的默認等級是特權等級1
用高特權等級設定的命令,在低特權等級下便不能使用,如:
privilege exec level 15 show ip route,則在特權0下連show命令也不能使用,除非輸入:
privilege exec level 1 show (ip)
Router1(config)#privilege exec reset show startup-config將命令重置到默認設置 22.基于用戶的特權等級Defining Per User Privileges
提問:給不同的用戶賦予不同的特權等級回答:Router1(config)#aaa new-modelRouter1(config)#aaa authentication login default localRouter1(config)#aaa authorization exec default localRouter1(config)#username NAME privilege 10 password passwordRouter1(config)#privilege exec level 10 show ip routeRouter1(config)#privilege exec level 1 show ip Router1(config)#privilege exec level 1 show 注釋:
若給帳戶指定特權等級,則當用戶登錄后,直接進入該特權等級,而不用輸入enable
通常的0,1和15三種等級彈性不足,可以定義更多的等級給不同的用戶
23. 基于端口的特權等級
提問:根據登錄的不同端口自動賦予特定的特權等級回答:Router1(config)#line aux 0Router1(config-line)#privilege level 5Router1(config-line)#exitRouter1(config)#privilege exec level 5 show ip routeRouter1(config)#privilege exec level 1 show ip Router1(config)#privilege exec level 1 show 注釋:
默認情況下,從端口登錄,特權等級都是1
當該端口指定特權等級后,從該端口登錄,則直接進入該特權等級
更多技術資料訪問 谷德威(天津)www.gdinformation.com? www.ciscotj.com
?
轉載于:https://blog.51cto.com/alismen/396914
總結
以上是生活随笔為你收集整理的谷德威天津思科CCNA培训之用户访问和权限管理的全部內容,希望文章能夠幫你解決所遇到的問題。
- 上一篇: 凯屋qq速记员 下载
- 下一篇: 什么是专色印刷