По умолчанию командный интерфейс CISCO имеет два уровня доступа:

1. User EXEC mode – 1-й уровень. Есть доступ к некоторой информации об устройстве, например, можно посмотреть статус сетевых интерфейсов, маршруты в таблице маршрутизации и т.д. Но изменить конфигурацию нельзя.
2. Privileged EXEC mode – 15-й уровень. Самый высокий. Все права.

Можно сконфигурировать права на выполнение определённых команд для каждого уровня от 0-го (самого ограниченного) до 15 (самого высокого). Таким образом, можно предоставить определённому пользователю ограниченные права на изменение конфигурации устройства (например, менять только настройки access-list, или настройки сетевого интерфейса), либо только на просмотр конфигурации и т.д.


Для этого необходимо выполнить следующие шаги:

1. Зайти в режим конфигурирования:

configure terminal

2. Создать пользователя с каким-нибудь уровнем привилегий от 2 до 14:

username userstring privilege level secret [encryption-type] passwordstring

username – команда создания пользователя
userstring – имя пользователя
privilege level – уровень привилегий
secret [encryption-type]:
secret 0 – пароль вводится в открытом виде, хранится в зашифрованном виде
secret 5 – пароль вводится в зашифрованном виде, хранится в зашифрованном виде
secret – пароль вводится и хранится в открытом виде
passwordstring – пароль пользователя

3. Указать какие команды можно выполнять на данном уровне привилегий


privilege
mode [all] level level command

privilege – команда для задания уровня привилегий команд
mode – режим конфигурации (EXEC, interface, line ит.д.)
all – означает возможность выполнения всех команд начинающихся на «command»
level – уровень привилегий
command – выполнение какой команды разрешено на уровне привилегий level

4. Задать пароль для этого уровня привилегий

enable secret level level [encryption-type] passwordstring

Смысл параметров аналогичен параметрам в команде username

5.Сохранить конфигурацию

do copy running-config startup-config

Пример:

Нужно создать пользователя на cisco catalyst, который имел бы право прописывать VLAN на интерфейсе:

Создаём пользователя user1 и присваиваем ему 3-й уровень привилегий:

catalyst1#configure terminal
catalyst1(config)#username user1 privilege 3 secret 0 us1pass

Разрешаем команды в нужных режимах конфигурирования на 3-м уровне:

catalyst1(config)#privilege exec level 3 configure terminal
catalyst1(config)#privilege configure level 3 interface GigabitEthernet1/0/2
catalyst1(config)#privilege interface level 3 switchport access vlan

Задаём пароль для 3-го уровня:

catalyst1(config)#enable secret level 3 0 lv3pass

Проверка:

Заходим в терминале под пользователем user1
Переходим в третий уровень привилегий и вводим пароль, заданный для этого уровня:

catalyst1>enable 3

Смотрим в каком сейчас уровне находимся:

catalyst1#show privilege
 Current privilege level is 3

Переходим в режим конфигурации и проверяем какие команды доступны:

catalyst1#configure terminal
Enter configuration commands, one per line. End with CNTL/Z.
catalyst1(config)#?
  Configure commands:
   call            Configure Call parameters
   default      Set a command to its defaults
   dss           Configure dss parameters
   end           Exit from configure mode
   exit            Exit from configure mode
   help          Description of the interactive help system
   interface  Select an interface to configure
   no             Negate a command or set its defaults

Переходим в режим конфигурирования интерфейса и смотрим доступные команды там:

 

catalyst1(config)#interface GigabitEthernet1/0/2
catalyst1(config-if)#?
  Interface configuration commands:
   default       Set a command to its defaults
   exit              Exit from interface configuration mode
   help            Description of the interactive help system
   no                Negate a command or set its defaults
   switchport  Set switching mode characteristics

catalyst1(config-if)#switchport ?
   access       Set access mode characteristics of the interface

catalyst1(config-if)#switchport access ?
   vlan            Set VLAN when interface is in access mode

P.S.

В качестве AAA использовалась следующая модель:
aaa new-model
aaa authentication login default local

Добавить комментарий

Ваш e-mail не будет опубликован. Обязательные поля помечены *