交换机的权限管理
交换机的权限管理
摘要: 本文以Cisco2950交换机为例,从实际应用出发,介绍了对交换机进行用户权限管理的实现方法,同时给出了一个实际配置实例,最后简要介绍了用户权限管理的应用案例。
关键词:交换机,权限管理,特权级别,多级权限配置,用户授权
0. 前言
对于新交换机或要完全重新设置的交换机,一般要进行初始化,也称快速配置(Express Setup)。初始化时,通常配置一些主要参数。如:主机名、交换机密码、IP地址、子网掩码、默认网关、Console登录密码、Telnet登录密码等。
出于管理和安全考虑,交换机密码是至关重要的,以后进行交换机的管理和配置都要依赖此密码,应妥善保管。如果泄露交换机密码,将带来许多安全隐患:交换机配置可能会被更改,甚至交换机密码也会被更改。
但是在某些情况下,又不得不公开密码。比如:在学校中,给学生做交换机配置实验课时。在学校或企业的网络中,各部门需求对交换机配置进行调整、更改时。
    由此而来就提出了这样一个问题:如何进行交换机的权限管理。即在不需要交换机密码的情况下,交换机合法用户在他的授权范围内可以对交换机进行管理和配置。
1. 基本术语
1.1超级用户—enable
在Cisco交换机中,内置了一个超级权限用户—enable (简称en),拥有对交换机的完全的访问权限。其特点类似windows/netware中的administrator用户,unix/linux中的root用户,具有管理交换机中的全部权限。
英特尔未来教育作业对交换机的配置总是从enable开始,而以后的交换机管理也要依赖于enable。所以应首先设置好enable安全密码,并妥善保管。
设置enable密码的方法:(在全局配置模式下)
Switch(config)# enable secret 密码
enable的密码就是交换机的密码,也是下面要介绍的特权级别15的密码。即:
enable的密码=交换机的密码=特权级别15的密码
1.2特权级别(privilege level)
在Cisco交换机中内建了16级特权级别, 权限等级的范围是从0到15,每个级别可单独配置其口令;级别15拥有最高级别的权限,提供对交换机完全的访问权限;而级别0能使用的命令和配置非常有限。
在0-15级别中,数字越大,权限越高,权限高的级别继承低权限级别的所有权限。
级别0-1级的提示符号为:>   级别2-15的提示符号为:#
设置特权级别密码的方法:(在全局配置模式下)
Switch(config)#enable  secret  level  特权级别   特权级别密码
1.3用户
Cisco交换机允许建立本地用户,即创建本地用户名和密码。默认情况下,交换机内没有本
地用户。建立的用户信息可以本地存储在交换机的数据库中,也可以远程存储在一个特定的安全服务器上。
创建用户名和密码的方法:(在全局设置模式下)
如何更改开机密码
Switch(config)#username  用户名  password  用户密码
Switch(config)#username  用户名  secret    用户密码
2. 权限管理实现方法
2.1多级权限配置
特权级别15级可执行所有命令,而缺省情况下1—14级仅能执行一些只读性质的Exec命令,并且他们的的权限是一样的,而0级的权限更小。
可以对Cisco交换机的0—14特权级别进行多级权限配置,即赋予不同级别以不同的权限和
功能,使其只允许使用某些给定的命令。通过多级权限配置,可以根据管理要求,授予相关的人员、相应的工作以相应的权限。
配置的方法:(在全局配置模式下)
Switch(config)# privilege 模式 level  特权级别  命令关键字
举例:
1
Switch(config)# Privilege configure level 5 ntp
配置特权级别5允许在在全局配置模式下使用ntp命令。
2
Switch(config)# Privilege exec level 2 vlan database
配置特权级别2允许创建新的VLAN命令。
3
Switch(config)# privilege interface level 2 switchport access vlan
配置特权级别2允许使用把某端口划归某VLAN的命令
清平乐李玮另外必须注意,Cisco交换机规定,高级别将继承低级别的所有权限。
如果某条命令进行了多次权限配置,后一次配置将覆盖前一次的配置结果,最终保留的为最后一次的配置情况。如:
Step1
Switch# Privilege exec level 2 vlan database
Step2
Switch# Privilege exec level 5 vlan database
Step3
Switch# Privilege exec level 3 vlan database
最终配置结果为级别3及其以上级别具有进入VLAN模式的权限
2.2用户授权
为了使每个用户具有特定的权限,必须对用户进行授权。在Cisco交换机,授权的方法就是指定用户的特权级别。即设置用户属于某一个特权级别,使其具有相应特权级别的权限。
缺省情况下,新建用户属于level 1特权级别。
设置用户属于某个特权级别的方法:(在全局配置模式下)
Switch(config)#username 用户名 privilege 特权级别
也可在创建用户时一次完成创建和设置的全过程:(在全局配置模式下)
Switch(config)#username 用户名 privilege 特权级别  password 爱我的话要回答我的爱丫爱丫没时差用户密码
另外必须注意:每个用户只能属于某一个特权级别,不能同时属于两个或两个以上级别。
3. 结论
在完成了交换机特权级别的多级权限配置、建立交换机的本地用户、对用户进行授权等工作后,每个用户就具有了使用、配置交换机的相应权限。
特权级别
揍你
本地用户
相应用户权限
用户授权
多级权限配置
  4. 配置实例
下面是一个配置脚本实例。(执行脚本前,应清空running-config)
配置用户user属于11级特权级别,具有进行VLAN配置的权限。
交换机密码:jeming. 交换机主机名:Switch. 交换机Telnet登录密码:12345.
交换机IP:10.10.10.1    Subnet Mask: 255.255.255.0
!!!filename:  Sample
!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!
!!!请首先进入交换机en特权模式,然后执行本配置脚本!!!
!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!
 
!!!注意: 请根据实际情况修改文中黑体带下划线的部分!!!
 
!进入配置模式
configure terminal
 
!设置交换机enable密码
enable secret jeming
 
!设置交换机主机名
hostname Switch
 
!设置交换机IP地址
interface vlan 1
ip address 10.10.10.1  255.255.255.0
no shutdown
exit
我的华为app打不开 
!设置Telnet登录密码
line vty 0 15
password 12345
login
exit
 
!新建用户user,无密码,赋予level11特权级
username user  privilege 11 nopass
 
!配置权限(可建立VLAN,可进行基于端口的VLAN划分)
privilege EXEC level 11 vlan database
privilege EXEC level 11 configure terminal
privilege configure level 11 interface
privilege interface level 11 switchport mode access
privilege interface level 11 switchport access vlan
privilege interface level 11 no shutdown
 
!退出配置模式
exit
 
!保存配置信息
write
 
!重启动交换机
reload
 
!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!
!!!          结束          !!!
!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!
5. 应用案例

版权声明:本站内容均来自互联网,仅供演示用,请勿用于商业和其他非法用途。如果侵犯了您的权益请与我们联系QQ:729038198,我们将在24小时内删除。