简介
本文描述关于怎样的配置步骤显示用户的全双工运行的配置登陆对有低权限级别的路由器。要了解下面的问题和应急方案了解权限级别是必要的。 可用的权限级别范围自0到15,并且允许管理员定制什么命令是可用的在什么权限级别。默认情况下,在路由器的三个权限级别是:
- 级别0 –仅Includes基本命令(禁用、enable (event)、退出、帮助和注销)
- 1级–包括所有可以使用的命令在用户exec命令模式
- 级别15 –包括所有可以使用的命令在privileged exec命令模式
在这些最低之间的剩余级别和最高标准取消定义,直到管理员分配命令和用户到他们。所以,管理员能指定用户在这些最低和最高权限级别之间的不同的权限级别分离什么不同的用户也是访问。管理员能然后分配单个命令(和各种各样的选项)到一个单个权限级别在这个阶层做所有用户的此联机。例如:
Router(config)-用户名user1权限7密码P@ssw0rD1
Router(config)-权限exec级别7 show access-lists
当此配置,当“user1’连接对路由器他们能运行“show access-lists’命令,并且/或者别的启用在该权限级别。然而同样不可能说为启用“show running-config’命令,和与我们的问题陈述如下讨论。
cisco权限级别基本的了解要求了解本文,上述介绍应该足够了解释要求对权限级别的了解。
使用的组件
用于在本文内的配置示例的组件是ASR1006。
配置问题
当配置不同的访问级别对不同的用户的时路由器,它是网络管理员的一常见应用能尝试分配某些用户只访问“显示’命令,并且不提供存取对于所有“配置’发出命令。这是多数的一项简单任务显示命令,您能通过简单配置准许访问根据如下:
Router(config)-用户名test_user权限10密码testP@ssw0rD
Router(config)-权限exec级别10显示
Router(config)-权限exec级别10 show running-config
使用此配置示例,第二行将允许“test_user’访问过多显示相关命令,通常不是可用的在此权限级别。然而, show running-config命令不同地对待最显示命令。与示例代码第三行,只省略的/缩写的“show running-config’为尽管指定在正确权限级别的命令的用户将显示。
用户访问验证
用户名:test_user
密码:
Router-
Router#show权限
当前权限级别是10
Router-
Router#show running-config
正在构建配置…
当前配置121个字节
!
!在21:10:08 UTC星期一八月的最后配置更改28 2017
!
boot-start-marker
boot-end-marker
!
!
!
末端
Router-
您能看到此输出不显示任何配置和对尝试的用户不会是有帮助收集关于路由器的配置的信息。这是因为show running-config命令只将显示所有命令用户能修改在他们的当前权限级别。这设计作为安全配置防止用户访问配置从他们的当前权限级别上的命令。这是问题,当尝试创建有访问的一个用户显示命令,作为“show running-config’时是工程师的一个标准命令能最初收集,当排除故障时。
配置解决方案和验证
作为对此难题的一解决方案,有将绕过命令的此限制的另一个版本传统show run命令。
Router(config)-全双工show running-config的视图
Router(config)-权限exec级别10全双工show running-config的视图
“视图的新增内容全双工’对命令, (和反过来命令的权限级别允许对命令的用户访问),当前允许用户查看全双工show running-config,不用任何省略的命令。
用户名:test_user
密码:
Router-
Router#show权限
当前权限级别是10
Router-
Router#show全双工running-config的视图
正在构建配置…
当前配置2664个字节
!
!在21:25:45 UTC星期一八月的最后配置更改28 2017
!
版本15.4
service timestamps debug datetime msec
service timestamps log datetime msec
没有平台PUNT Keepalive禁用内核核心
!
hostname Router
!
boot-start-marker
boot system flash bootflash:packages.conf
boot system flash bootflash:asr1000rp1-adventerprisek9.03.13.06a.S.154-3.S6a-ext.bin
boot-end-marker
!
vrf definition Mgmt intf
!
address-family ipv4
exit-address-family
!
address-family IPv6
exit-address-family
!
特权密码<omitted>
!
no aaa new-model
!
no ip domain lookup
!
templating的用户
!
验证的multilink bundle-name
!
spanning-tree extend system-id
!
用户名test_user权限10密码0 testP@ssw0rD
!
冗余
模式sso
!
cdp run
!
接口GigabitEthernet0/2/0
没有IP地址
shutdown
协商自动
!
接口GigabitEthernet0/2/1
没有IP地址
shutdown
协商自动
!
接口GigabitEthernet0
VRF转发Mgmt intf
IP地址<omitted>
协商自动
cdp enable (event)
!
ip forward-protocol nd
!
控制面板
!
!
权限exec级别10全双工show running-config的视图
别名exec show running-config全双工show running-config的视图
!
line con 0
stopbits 1
line aux 0
允许定时断开Telnet连接0 1
no exec
transport output无
stopbits 1
line vty 0 4
login local
!
末端
Router-
然而这然后提出问题,通过提供对命令的此版本的用户访问,这是否不提高尝试通过设计一个省略的版本解决的最初的安全风险?
作为对解决方案的一应急方案和保证在一个安全网络设计的一致性,我们能创建将运行全双工版本show running-config命令,无需提供访问/知识对用户的用户的一别名,如下所示:
Router(config)-别名exec show running-config全双工show running-config的视图
在本例中“show running-config’是别名,并且,当用户登录路由器时,他们能然后输入此别名而不是命令和收到预期的输出,不用运行实际命令的知识。
总而言之,这是一示例如何有更多控制,当管理性创建的用户权限访问在不同的级别。有对不同的命令的过多选项创建多种权限级别和访问,并且这是示例如何保证“SHOW’用户仍然访问全双工running-config,当他们不得以进入对任何配置命令时的。
反馈