Cisco IOS權限等級，接入管理和密碼設置細節分析

Cisco IOS權限等級，接入管理和密碼設置細節分析

文章結構：

一，Cisco IOS權限等級

1，Level 0

2，Level 1（Level 2~14）

3，Level 15：特權模式（Privilegemode）

4，各權限之間的關係

（1），權限等級跳轉

（2），給Level 2~14下放部分Level 15權限

二，用戶接入管理

1，console接入

2，aux接入

3，vty接入

三，設置密碼

1，四種密碼設置命令

（1），直接enablepassword配置密碼

（2），enablepassword後加關鍵字再配置密碼

（3），直接enablesecret配置密碼

（4），enablesecret後加關鍵字再配置密碼

2，加密show run顯示的密碼配置

一，Cisco IOS權限等級

Cisco IOS提供了16種權限等級，分別是levvel 0到level15，每一個Level都有不同的權限，同時對應着不同權限能使用的命令。對於所有16個Level來說，實際上只有3種Level而已：Level 0，Level 1（Level 2~14），Level 15。下面我們詳細介紹一下。

1，Level 0

Level 0是最低的權限，只能使用極少數的幾個命令：

2，Level 1（Level 2~14）

Level 1是用戶EXEC模式（User mode），通常用來查看路由器的狀態。在此狀態下，無法對路由器進行配置，可以查看的路由器信息也是有限的。

Level 2~14是用來幹什麼的呢？

一些不允許擁有完全權限（Level 15）的用戶或客戶需要連接到路由器時，管理員可以把Level 15中的部分命令的使用權限下放給Level 2~14，然後把這些有權限運行部分命令的Level分發給相應的客戶或用戶。這樣，那些客戶或用戶就能使用這些本來自己沒有權限使用的命令了。Level 2~14的命令權限和Level 1相同，只不過缺省配置下是Level 1 而已。

權限原則：只賦予必需的最少的訪問權限。

如圖，在缺省配置下登錄到Cisco路由器將處於用戶EXEC模式（等級1）下。

Level 1（Level 2~14）能使用的命令較多，36個左右。（下圖不完全）

3，Level 15：特權模式（Privilegemode）

特權模式（Privilege mode）可以更改路由器的配置，當然也可以查看路由器的所有信息，可以對路由器進行全面控制。用戶模式下敲入“enable”命令（同“enable 15”）即進入特權模式。

特權模式（#）與全局配置模式（config）的關係：Cisco IOS的根本權限不是全局配置模式而是的特權模式，全局配置模式只不過是特權模式的一個功能特性模式而已。

如圖，輸入“enable”後進入了特權模式。

Level 15能使用全部命令，命令太多這裏就不截圖了。

4，各權限之間的關係

（1），權限等級跳轉

除了Level1能直跳Level 15外，在沒有設置等級權限密碼的情況下，低等級權限模式下是不能跳轉進入高等權限模式的。

比如我們在Level 1下需要進入權限等級3的話，在Level 1下敲入enable 3會報錯：“% Nopassword set”。正確的方法是：先敲入enable或enable 15（enable命令默認進入等級15），之後敲入enable 3。查看當前權限等級命令是show privilege。）當然，我們給一些權限等級設置密碼後低等級權限模式就能直接跳轉進入高等級權限模式了。

配置如下：

Router(config)#enable password level3 cisco

% Converting to a secret.  Please use "enable secret" in thefuture.

驗證如圖：

（2），給Level 2~14下放部分Level 15權限

下面用一個實例來說明如何給Level 2~14下放Level 15特權模式權限才能使用的命令。

實驗拓撲：

說明：IP地址等基礎配置已完全，R1爲企業，R2爲被下放命令的客戶。

R1(config)#username aaa privilege 3password 0 aaa      //新建用戶aaa密碼aaa權限等級3

R1(config)#privilege exec level 3show running-config    //授予等級3使用命令“show run”

R1(config)#line vty 0 4           //開始對線路0~4進行配置

R1(config-line)#login local              // 登陸驗證調用本地用戶列表

R2（權限受限制的客戶）驗證如圖:

說明：遠程終端輸入用戶名密碼後直接進入特權等級3，無需從等級1 enable 3進入等級3。

二，用戶接入管理

用戶接入：管理設備的用戶接入設備的方式有Console、HTTP、TTY、VTY或其他網管軟件等等。這裏我們主要講3種，console口接入，aux口接入和vty（virtualteletype terminal虛擬終端）。

他們的配置如下：

1，console接入

Router(config)#line console 0      //進入console線路，這裏只能是0，因爲console線只有一條

Router(config-line)#password cisco      //設置密碼，password後可外加0或7來限制密碼字段

Router(config-line)#login       //確認啓用密碼設置，沒用login密碼設置無效）

退出後重新登陸設備將需要輸入剛纔設置的密碼：

配置Console介入時的其他常用的設置：

Router(config-line)#logging synchronous 這個命令可以阻止控制檯信息打斷當前輸入。

Router(config-line)#exec-timeout 0 0 這個命令將永不斷開console的接入。爲了防止在管理員在配置中途離開設備而有其他人操作設備，Cisco IOS默認控制檯10分鐘無操作自動斷開接入。這條命令完全格式是exec-timeoutx x，表示控制檯無操作x分x秒後自動斷開接入。

2，aux接入

aux接入與console接入完全相同。

Router(config)#line aux 0 （一臺設備也只有一個aux口不是？）

Router(config-line)#password cisco

Router(config-line)#login

Router(config-line)#loggingsynchronous

Router(config-line)#exec-timeout 0 0

3，vty接入

vty接入除了進入線路的line命令特別以外，也同console接入和aux接入。

Router(config)#line vty 0 4 （開啓5條vty線路0~4）

Router(config-line)#password cisco

Router(config-line)#login

Router(config-line)#loggingsynchronous

Router(config-line)#exec-timeout 0 0

說明：使用show run可以看到IOS的默認設置裏console線路0，aux線路0和vty線路0~4都是默認開啓的。vty的0~4號線路開啓表示設備可以同時允許5個虛擬終端同時接入設備，且按虛擬終端接入時間順序依次使用線路0~4。禁用vty的方式就是在所有line 中去掉密碼，在沒有設置vty密碼的情況下，vty是不能被使用的。

禁用vty配置：

Router(config)#line vty 0 4

Router(config-line)#no password。

三，設置密碼

在成功登錄Cisco ISO後我們應該考慮一下設備配置的安全問題。爲了增強安全性，防止不應該的用戶登錄路由器串改重要配置，我們可以設置一些密碼。

注意，Cisco IOS的密碼都是大小寫敏感的，並且支持空格作爲密碼字段，很多人在敲完命令後習慣性的會按一下空格鍵，對於其他命令這當然無關緊要。但是對於密碼設置來說IOS會把最後那個空格算入密碼字段中，密碼將成爲“XXX空格”。但是如果空格出現在密碼字段的前面則不會影響密碼字段，Cisco CLI默認合併命令詞組前的多個空格爲一個空格，密碼前的空格會被合併入密碼字段前面的命令正常空格。

Cisco IOS的enable密碼默認爲空，所以對設備進行初始設置時必須設定enable密碼。

1，四種密碼設置命令

（1），直接enable password配置密碼

這種方式是明文的，即show run能看到明文密碼。

（2），enable password後加關鍵字再配置密碼

輸入命令“enable password  ？”後面會出現如下圖：

enable password 0 後面可以直接跟加密的內容（UNENCRYPTED），這個命令和enablepassword 一樣。

enable password 7後面必須要跟你加密的密碼經過思科私有算法出來那個數值（HIDDEN）。

比如“enable password 7 060506324F41 “cisco”經思科私有算法處理後的結果爲060506324F41。我們在在登陸設備後要求輸入enable密碼時，我們要輸入“cisco”而不是“060506324F41”

（3），直接enable secret配置密碼

這種方式是採用MD5算法加密密碼，enablesecret命令設置的密碼將會覆蓋enable password命令設置的密碼。

（4），enable secret後加關鍵字再配置密碼

輸入命令“enable secret ?”,出現下圖：

enable secret 0後直接接密碼字段（UNENCRYPTED），將使用MD5加密而不是明文，相當於enablesecret後直接接密碼字段。

enable secret 5後面必須要跟你加密的密碼經過MD5算法出來那個數值（ENCRYPTED）。

比如“enable secret 5 $1$IACW$LEPKyEV6Ak/0Tnkvk8BNA “cisco”經MD5算法處理後的結果爲$1$IACW$LEPKyEV6Ak/0Tnkvk8BNA。我們在登陸設備後要求輸入enable密碼時，我們仍然要輸入“cisco”而不是“$1$IACW$LEPKyEV6Ak/0Tnkvk8BNA.”

2，加密show run顯示的密碼配置

在使用show run查看設備配置命令時，如果配置的密碼被明文顯示在設備輸出（終端的窗口界面）中，依然會有泄密的風險。爲此我們可以使用“servicepassword-encryption”命令來使設備終端顯示的密碼爲密文而不是明文。

service password-encryption這個加密的方式是採用了cisco的私有加密方式來加密的。（設置console密碼後，開啓service password-encryption。我們show run會發現密碼配置命令爲“password 70071A150754”數字7就表示採用了cisco的私有加密算法。）

如果我們在路由器上面再敲入：no service password-encryption這條命令後，是不可能直接解密密文的，必須通過其他辦法解密。常常使用cisco私有算法密碼逆算軟件來通過密文逆算出真正的密碼。

另外比較重要的一點就是，service password-encryption這條命令必須在設置密碼後再配置，先配置servicepassword-encryption再設置密碼的話，該密碼將不會被加密。

service password-encryption是對配置中的所有密碼加密，不單單是enable密碼，如果enable是明文的將會被重新加密，如果enable密碼已經被MD5（enablesecret 命令）或被Cisco私有算法（enablepassword 7命令）加密後，service password-encryption將不作額外處理。

文章出處：http://dsf19910721.blog.51cto.com/2988167/1201409