По умолчанию командный интерфейс CISCO имеет два уровня доступа:
1. User EXEC mode – 1-й уровень. Есть доступ к некоторой информации об устройстве, например, можно посмотреть статус сетевых интерфейсов, маршруты в таблице маршрутизации и т.д. Но изменить конфигурацию нельзя.
2. Privileged EXEC mode – 15-й уровень. Самый высокий. Все права.
Можно сконфигурировать права на выполнение определённых команд для каждого уровня от 0-го (самого ограниченного) до 15 (самого высокого). Таким образом, можно предоставить определённому пользователю ограниченные права на изменение конфигурации устройства (например, менять только настройки access-list, или настройки сетевого интерфейса), либо только на просмотр конфигурации и т.д.
Для этого необходимо выполнить следующие шаги:
1. Зайти в режим конфигурирования:
configure terminal
2. Создать пользователя с каким-нибудь уровнем привилегий от 2 до 14:
username userstring privilege level secret [encryption-type] passwordstring
username – команда создания пользователя
userstring – имя пользователя
privilege level – уровень привилегий
secret [encryption-type]:
secret 0 – пароль вводится в открытом виде, хранится в зашифрованном виде
secret 5 – пароль вводится в зашифрованном виде, хранится в зашифрованном виде
secret – пароль вводится и хранится в открытом виде
passwordstring – пароль пользователя
3. Указать какие команды можно выполнять на данном уровне привилегий
privilege mode [all] level level command
privilege – команда для задания уровня привилегий команд
mode – режим конфигурации (EXEC, interface, line ит.д.)
all – означает возможность выполнения всех команд начинающихся на «command»
level – уровень привилегий
command – выполнение какой команды разрешено на уровне привилегий level
4. Задать пароль для этого уровня привилегий
enable secret level level [encryption-type] passwordstring
Смысл параметров аналогичен параметрам в команде username
5.Сохранить конфигурацию
do copy running-config startup-config
Пример:
Нужно создать пользователя на cisco catalyst, который имел бы право прописывать VLAN на интерфейсе:
Создаём пользователя user1 и присваиваем ему 3-й уровень привилегий:
catalyst1#configure terminal
catalyst1(config)#username user1 privilege 3 secret 0 us1pass
Разрешаем команды в нужных режимах конфигурирования на 3-м уровне:
catalyst1(config)#privilege exec level 3 configure terminal
catalyst1(config)#privilege configure level 3 interface GigabitEthernet1/0/2
catalyst1(config)#privilege interface level 3 switchport access vlan
Задаём пароль для 3-го уровня:
catalyst1(config)#enable secret level 3 0 lv3pass
Проверка:
Заходим в терминале под пользователем user1
Переходим в третий уровень привилегий и вводим пароль, заданный для этого уровня:
catalyst1>enable 3
Смотрим в каком сейчас уровне находимся:
catalyst1#show privilege
Current privilege level is 3
Переходим в режим конфигурации и проверяем какие команды доступны:
catalyst1#configure terminal
Enter configuration commands, one per line. End with CNTL/Z.
catalyst1(config)#?
Configure commands:
call Configure Call parameters
default Set a command to its defaults
dss Configure dss parameters
end Exit from configure mode
exit Exit from configure mode
help Description of the interactive help system
interface Select an interface to configure
no Negate a command or set its defaults
Переходим в режим конфигурирования интерфейса и смотрим доступные команды там:
catalyst1(config)#interface GigabitEthernet1/0/2
catalyst1(config-if)#?
Interface configuration commands:
default Set a command to its defaults
exit Exit from interface configuration mode
help Description of the interactive help system
no Negate a command or set its defaults
switchport Set switching mode characteristics
catalyst1(config-if)#switchport ?
access Set access mode characteristics of the interface
catalyst1(config-if)#switchport access ?
vlan Set VLAN when interface is in access mode
P.S.
В качестве AAA использовалась следующая модель:
aaa new-model
aaa authentication login default local
Помогите пожалуйста, при смене пароля на голосовом шлюзе я не указала привилегию, удалив при этом пароль и юсернейм на 15
теперь заходя через telnet, я оказываюсь на самом нижнем уровне 1
как можно теперь зайти в режим сонфиг если при вводе комманды enable запрашивает пароль какой то
Галина, возможно придётся сбрасывать пароль, но для этого необходимо подключение к оборудованию через консоль. Попробуйте искать «Password Recovery Procedure for the Cisco [модель устройства]»
Ок создали пользователя. А как зайти по telnet через него?
По этой теме информации море в сети!
line vty 0 4
logging synchronous
login local
transport input telnet