Cisco IOS權(quán)限等級(jí)，接入管理和密碼設(shè)置細(xì)節(jié)分析

Cisco IOS權(quán)限等級(jí)，接入管理和密碼設(shè)置細(xì)節(jié)分析

文章結(jié)構(gòu)：

一，Cisco IOS權(quán)限等級(jí)

1，Level 0

2，Level 1（Level 2~14）

3，Level 15：特權(quán)模式（Privilegemode）

4，各權(quán)限之間的關(guān)系

（1），權(quán)限等級(jí)跳轉(zhuǎn)

（2），給Level 2~14下放部分Level 15權(quán)限

二，用戶接入管理

1，console接入

2，aux接入

3，vty接入

三，設(shè)置密碼

1，四種密碼設(shè)置命令

（1），直接enablepassword配置密碼

（2），enablepassword后加關(guān)鍵字再配置密碼

（3），直接enablesecret配置密碼

（4），enablesecret后加關(guān)鍵字再配置密碼

2，加密show run顯示的密碼配置

一，Cisco IOS權(quán)限等級(jí)

Cisco IOS提供了16種權(quán)限等級(jí)，分別是levvel 0到level15，每一個(gè)Level都有不同的權(quán)限，同時(shí)對(duì)應(yīng)著不同權(quán)限能使用的命令。對(duì)于所有16個(gè)Level來(lái)說(shuō)，實(shí)際上只有3種Level而已：Level 0，Level 1（Level 2~14），Level 15。下面我們?cè)敿?xì)介紹一下。

1，Level 0

Level 0是最低的權(quán)限，只能使用極少數(shù)的幾個(gè)命令：

2，Level 1（Level 2~14）

Level 1是用戶EXEC模式（User mode），通常用來(lái)查看路由器的狀態(tài)。在此狀態(tài)下，無(wú)法對(duì)路由器進(jìn)行配置，可以查看的路由器信息也是有限的。

Level 2~14是用來(lái)干什么的呢？

一些不允許擁有完全權(quán)限（Level 15）的用戶或客戶需要連接到路由器時(shí)，管理員可以把Level 15中的部分命令的使用權(quán)限下放給Level 2~14，然后把這些有權(quán)限運(yùn)行部分命令的Level分發(fā)給相應(yīng)的客戶或用戶。這樣，那些客戶或用戶就能使用這些本來(lái)自己沒(méi)有權(quán)限使用的命令了。Level 2~14的命令權(quán)限和Level 1相同，只不過(guò)缺省配置下是Level 1 而已。

權(quán)限原則：只賦予必需的最少的訪問(wèn)權(quán)限。

如圖，在缺省配置下登錄到Cisco路由器將處于用戶EXEC模式（等級(jí)1）下。

Level 1（Level 2~14）能使用的命令較多，36個(gè)左右。（下圖不完全）

3，Level 15：特權(quán)模式（Privilegemode）

特權(quán)模式（Privilege mode）可以更改路由器的配置，當(dāng)然也可以查看路由器的所有信息，可以對(duì)路由器進(jìn)行全面控制。用戶模式下敲入“enable”命令（同“enable 15”）即進(jìn)入特權(quán)模式。

特權(quán)模式（#）與全局配置模式（config）的關(guān)系：Cisco IOS的根本權(quán)限不是全局配置模式而是的特權(quán)模式，全局配置模式只不過(guò)是特權(quán)模式的一個(gè)功能特性模式而已。

如圖，輸入“enable”后進(jìn)入了特權(quán)模式。

Level 15能使用全部命令，命令太多這里就不截圖了。

4，各權(quán)限之間的關(guān)系

（1），權(quán)限等級(jí)跳轉(zhuǎn)

除了Level1能直跳Level 15外，在沒(méi)有設(shè)置等級(jí)權(quán)限密碼的情況下，低等級(jí)權(quán)限模式下是不能跳轉(zhuǎn)進(jìn)入高等權(quán)限模式的。

比如我們?cè)?/span>Level 1下需要進(jìn)入權(quán)限等級(jí)3的話，在Level 1下敲入enable 3會(huì)報(bào)錯(cuò)：“% Nopassword set”。正確的方法是：先敲入enable或enable 15（enable命令默認(rèn)進(jìn)入等級(jí)15），之后敲入enable 3。查看當(dāng)前權(quán)限等級(jí)命令是show privilege。）當(dāng)然，我們給一些權(quán)限等級(jí)設(shè)置密碼后低等級(jí)權(quán)限模式就能直接跳轉(zhuǎn)進(jìn)入高等級(jí)權(quán)限模式了。

配置如下：

Router(config)#enable password level3 cisco

% Converting to a secret.  Please use "enable secret" in thefuture.

驗(yàn)證如圖：

（2），給Level 2~14下放部分Level 15權(quán)限

下面用一個(gè)實(shí)例來(lái)說(shuō)明如何給Level 2~14下放Level 15特權(quán)模式權(quán)限才能使用的命令。

實(shí)驗(yàn)拓?fù)洌?/span>

說(shuō)明：IP地址等基礎(chǔ)配置已完全，R1為企業(yè)，R2為被下放命令的客戶。

R1(config)#username aaa privilege 3password 0 aaa      //新建用戶aaa密碼aaa權(quán)限等級(jí)3

R1(config)#privilege exec level 3show running-config    //授予等級(jí)3使用命令“show run”

R1(config)#line vty 0 4           //開始對(duì)線路0~4進(jìn)行配置

R1(config-line)#login local              // 登陸驗(yàn)證調(diào)用本地用戶列表

R2（權(quán)限受限制的客戶）驗(yàn)證如圖:

說(shuō)明：遠(yuǎn)程終端輸入用戶名密碼后直接進(jìn)入特權(quán)等級(jí)3，無(wú)需從等級(jí)1 enable 3進(jìn)入等級(jí)3。

二，用戶接入管理

用戶接入：管理設(shè)備的用戶接入設(shè)備的方式有Console、HTTP、TTY、VTY或其他網(wǎng)管軟件等等。這里我們主要講3種，console口接入，aux口接入和vty（virtualteletype terminal虛擬終端）。

他們的配置如下：

1，console接入

Router(config)#line console 0      //進(jìn)入console線路，這里只能是0，因?yàn)?/span>console線只有一條

Router(config-line)#password cisco      //設(shè)置密碼，password后可外加0或7來(lái)限制密碼字段

Router(config-line)#login       //確認(rèn)啟用密碼設(shè)置，沒(méi)用login密碼設(shè)置無(wú)效）

退出后重新登陸設(shè)備將需要輸入剛才設(shè)置的密碼：

配置Console介入時(shí)的其他常用的設(shè)置：

Router(config-line)#logging synchronous 這個(gè)命令可以阻止控制臺(tái)信息打斷當(dāng)前輸入。

Router(config-line)#exec-timeout 0 0 這個(gè)命令將永不斷開console的接入。為了防止在管理員在配置中途離開設(shè)備而有其他人操作設(shè)備，Cisco IOS默認(rèn)控制臺(tái)10分鐘無(wú)操作自動(dòng)斷開接入。這條命令完全格式是exec-timeoutx x，表示控制臺(tái)無(wú)操作x分x秒后自動(dòng)斷開接入。

2，aux接入

aux接入與console接入完全相同。

Router(config)#line aux 0 （一臺(tái)設(shè)備也只有一個(gè)aux口不是？）

Router(config-line)#password cisco

Router(config-line)#login

Router(config-line)#loggingsynchronous

Router(config-line)#exec-timeout 0 0

3，vty接入

vty接入除了進(jìn)入線路的line命令特別以外，也同console接入和aux接入。

Router(config)#line vty 0 4 （開啟5條vty線路0~4）

Router(config-line)#password cisco

Router(config-line)#login

Router(config-line)#loggingsynchronous

Router(config-line)#exec-timeout 0 0

說(shuō)明：使用show run可以看到IOS的默認(rèn)設(shè)置里console線路0，aux線路0和vty線路0~4都是默認(rèn)開啟的。vty的0~4號(hào)線路開啟表示設(shè)備可以同時(shí)允許5個(gè)虛擬終端同時(shí)接入設(shè)備，且按虛擬終端接入時(shí)間順序依次使用線路0~4。禁用vty的方式就是在所有line 中去掉密碼，在沒(méi)有設(shè)置vty密碼的情況下，vty是不能被使用的。

禁用vty配置：

Router(config)#line vty 0 4

Router(config-line)#no password。

三，設(shè)置密碼

在成功登錄Cisco ISO后我們應(yīng)該考慮一下設(shè)備配置的安全問(wèn)題。為了增強(qiáng)安全性，防止不應(yīng)該的用戶登錄路由器串改重要配置，我們可以設(shè)置一些密碼。

注意，Cisco IOS的密碼都是大小寫敏感的，并且支持空格作為密碼字段，很多人在敲完命令后習(xí)慣性的會(huì)按一下空格鍵，對(duì)于其他命令這當(dāng)然無(wú)關(guān)緊要。但是對(duì)于密碼設(shè)置來(lái)說(shuō)IOS會(huì)把最后那個(gè)空格算入密碼字段中，密碼將成為“XXX空格”。但是如果空格出現(xiàn)在密碼字段的前面則不會(huì)影響密碼字段，Cisco CLI默認(rèn)合并命令詞組前的多個(gè)空格為一個(gè)空格，密碼前的空格會(huì)被合并入密碼字段前面的命令正?？崭?。

Cisco IOS的enable密碼默認(rèn)為空，所以對(duì)設(shè)備進(jìn)行初始設(shè)置時(shí)必須設(shè)定enable密碼。

1，四種密碼設(shè)置命令

（1），直接enable password配置密碼

這種方式是明文的，即show run能看到明文密碼。

（2），enable password后加關(guān)鍵字再配置密碼

輸入命令“enable password  ？”后面會(huì)出現(xiàn)如下圖：

enable password 0 后面可以直接跟加密的內(nèi)容（UNENCRYPTED），這個(gè)命令和enablepassword 一樣。

enable password 7后面必須要跟你加密的密碼經(jīng)過(guò)思科私有算法出來(lái)那個(gè)數(shù)值（HIDDEN）。

比如“enable password 7 060506324F41 “cisco”經(jīng)思科私有算法處理后的結(jié)果為060506324F41。我們?cè)谠诘顷懺O(shè)備后要求輸入enable密碼時(shí)，我們要輸入“cisco”而不是“060506324F41”

（3），直接enable secret配置密碼

這種方式是采用MD5算法加密密碼，enablesecret命令設(shè)置的密碼將會(huì)覆蓋enable password命令設(shè)置的密碼。

（4），enable secret后加關(guān)鍵字再配置密碼

輸入命令“enable secret ?”,出現(xiàn)下圖：

enable secret 0后直接接密碼字段（UNENCRYPTED），將使用MD5加密而不是明文，相當(dāng)于enablesecret后直接接密碼字段。

enable secret 5后面必須要跟你加密的密碼經(jīng)過(guò)MD5算法出來(lái)那個(gè)數(shù)值（ENCRYPTED）。

比如“enable secret 5 $1$IACW$LEPKyEV6Ak/0Tnkvk8BNA “cisco”經(jīng)MD5算法處理后的結(jié)果為$1$IACW$LEPKyEV6Ak/0Tnkvk8BNA。我們?cè)诘顷懺O(shè)備后要求輸入enable密碼時(shí)，我們?nèi)匀灰斎搿?/span>cisco”而不是“$1$IACW$LEPKyEV6Ak/0Tnkvk8BNA.”

2，加密show run顯示的密碼配置

在使用show run查看設(shè)備配置命令時(shí)，如果配置的密碼被明文顯示在設(shè)備輸出（終端的窗口界面）中，依然會(huì)有泄密的風(fēng)險(xiǎn)。為此我們可以使用“servicepassword-encryption”命令來(lái)使設(shè)備終端顯示的密碼為密文而不是明文。

service password-encryption這個(gè)加密的方式是采用了cisco的私有加密方式來(lái)加密的。（設(shè)置console密碼后，開啟service password-encryption。我們show run會(huì)發(fā)現(xiàn)密碼配置命令為“password 70071A150754”數(shù)字7就表示采用了cisco的私有加密算法。）

如果我們?cè)诼酚善魃厦嬖偾萌耄?/span>no service password-encryption這條命令后，是不可能直接解密密文的，必須通過(guò)其他辦法解密。常常使用cisco私有算法密碼逆算軟件來(lái)通過(guò)密文逆算出真正的密碼。

另外比較重要的一點(diǎn)就是，service password-encryption這條命令必須在設(shè)置密碼后再配置，先配置servicepassword-encryption再設(shè)置密碼的話，該密碼將不會(huì)被加密。

service password-encryption是對(duì)配置中的所有密碼加密，不單單是enable密碼，如果enable是明文的將會(huì)被重新加密，如果enable密碼已經(jīng)被MD5（enablesecret 命令）或被Cisco私有算法（enablepassword 7命令）加密后，service password-encryption將不作額外處理。