Cisco路由器接口安全及用户权限等级
Cisco路由器的多数用户只熟悉两个权限等级:
用户EXEC模式-权限等级1
特权EXEC模式-权限等级15
Show privilege
enable 1
username test password test privilege 3
router(config)# username test password test privilege 3
Privilege:这个命令设定某些命令只在某个等级才能用。这里给出一个例子:
router(config)# enable secret level 5 level5pass
Enable secret:默认情况下,这个命令创建一个进入特权模式15的口令。然而,你也可以用它创建
进入其他(比如5)你可以创建的特权模式的口令。
让我们考察一个例子。假设你想创建一个维护用户,他可以登录到路由器并且查看启动信息(以及等
级1的其他任何信息)。你将输入的命令可能是:
router(config)# user support privilege 3 password support
router(config)# privilege exec level 3 show startup-config
需要注意的是并不需要enable secret命令,除非你想让以等级1登录进来的用户为了能提升到等级3而使用口令。在我们的例子中,新用户(维护)已经处在等级3而且无需额外的enable secret口令来登录。除此之外,需要注意的是这个配置假设你已经拥有一个配置好的使用用户名和口令的路由器,该例子还假设你已经为等级15定义了enable secret命令,你有一个拥有等级15的超级用户,而且你已经在超级用户权限下保存了启动配置文件
line con 0下的login只验证后面的密码,如果login local则需要验证用户名和密码,但用户名和密码必须先用username建好,并可以指定好权限级别
7为加密等级,一共有15个加密等级;但果使用password 7 后面是加入密文才有效,这个密文通常要在以前备份的配置里拷贝才行,用于配置恢复时使用。比如你设置enable password cisco,然后使用service password-encryption命令开启加密,在sh run里面能够看到enable password 7 104D000A0618,
104D000A0618这个值你就可以直接写在enable password 7后面,实际就是cisco密文加密的结
C2600T1(config)#enable secret ?
0      Specifies an UNENCRYPTED password will follow
5      Specifies an ENCRYPTED secret will follow
LINE  The UNENCRYPTED (cleartext) 'enable' secret
level  Set exec level password
C2600(config-line)#password ?
0    Specifies an UNENCRYPTED password will follow
7    Specifies a HIDDEN password will follow
LINE  The UNENCRYPTED (cleartext) line password
同时有enable的加密和明码密码,以加密密码生效
line 是进入行模式的命令,Console、AUX、VTY、TTY……都是行模式的接口,需要用line配置,可以用show line查看可用接口情况。
VTY是虚拟终端口,使用 Telnet时进入的就是对方的VTY口。
路由器上一般有5个VTY口或者更多,看型号而定,分别0、1、2、3、4,如果想同时配置这5口,就lin
e  vty  0  4
通过console端口,AUX端口,或Telnet进入路由器时,通常遇到两个口令
  1.进入路由器的口令
  2.从一般用户模式进入超级权限模式的口令
  进入路由器的口令设置步骤:在console,AUX,vty端口设置
  login password 字符串
关闭AUX 0及VTY0到4配置
Router1#configure terminal
Enter configuration commands, one per line. End with CNTL/Z.
Router1(config)#line aux 0
Router1(config-line)#transport input none
Router1(config-line)#no exec
Router1(config-line)#exec-timeout 0 1
Router1(config-line)#no password
Router1(config-line)#exit
Router1(config)#end
Router1#
Router1#configure terminal
Enter configuration commands, one per line. End with CNTL/Z.
Router1(config)#access-list 98 deny any log
Router1(config)#line vty 0 4
Router1(config-line)#transport input none
Router1(config-line)#exec-timeout 0 1
Router1(config-line)#no exec
Router1(config-line)#access-class 98 in
Router1(config-line)#exit
Router1(config)#end
Router1#
  多级权限配置
  缺省条件下,Cisco IOS只有一个超级权限的口令,可以配置Cisco IOS有多达16个级别的权限及其口令。可以设置通过某个级别的口令登录的用户只允许使用某些命令。
  设置步骤:
  1.设置某条命令属于某个级别,在全局设置模式下
  privilege 模式 level级别 命令关键字
  注意:Cisco IOS 可以定制0-15个级别权限。0-15级别中,数字越大,权限越高,权限高的级别继承低权 限的所有命令。
  2.设置某个级别的口令
  enable secret level 级别 口令
  通过多级权限,可以根据管理要求,授予相应的工作以相应的权限。
实例:
  Current configuration:
  !
  version 11.2
  service password-encryption
  no service udp-small-servers
  no service tcp-small-servers
  !
  hostname kim
  !
  enable secret level 1 5 $1$i263$yOdAuqsvie8CyULIgGeRM/
  enable secret level 2 5 $1$XvWZ$1rd0j5SjVd3172mBzd16e1
  enable secret 5 $1$m3hv$ahrsOKrkeAXElm.yapgcA/
  !
  interface Ethernet0
  no ip address
  shutdown
    !
    interface Serial0
    no ip address
    shutdown
    !
    interface Serial1
    no ip address
    shutdown
    !
    interface Async1
    no ip address
    !
  no ip classless
  privilege configure level 2 line
  privilege configure level 2 ip route
  privilege configure level 2 interface
  privilege configure level 2 ip routing
  privilege configure level 15 ip
  privilege exec level 2 start-chat
  privilege exec level 2 copy running-config startup-config
  privilege exec level 2 copy running-config
  privilege exec level 2 copy
  privilege exec level 2 config
ure terminal
  privilege exec level 2 configure
  privilege exec level 1 show ip route
  privilege exec level 1 show ip protocols
  privilege exec level 1 show ip
  privilege exec level 1 show startup-config
  privilege exec level 1 show running-config
  privilege exec level 1 show
  privilege exec level 1 debug dialer
  privilege exec level 1 debug ppp authentication
  privilege exec level 1 debug ppp error
  privilege exec level 1 debug ppp negotiation
  privilege exec level 1 debug ppp packet
  privilege exec level 1 debug ppp
  privilege exec level 1 debug ip routing
  privilege exec level 1 debug ip
  privilege exec level 1 debug modem
  privilege exec level 1 debug
    !
    line con 0
    line 1 8
    line aux 0
    line vty 0 4
    login
    !
    end
路由器安全设置详解
hostname Perimeter-Router                                ! 路由器名称
enable secret ena-secret                                  ! 特权访问口令为 ena-secret
interface serial 0                                        ! 定义接口
description To Internet                                  ! 目的描述
ip address 161.71.73.33 255.255.255.248                  ! 设置IP地址
ip access-list 101 in                                    ! 定义入站过滤器
ip access-list 102 out                                    ! 定义出站过滤器
access-list 101 permit tcp any any established Note 1    ! 允许所有tcp业务流入,会话始于园区网内
access-list 101 permit tcp any host 144.254.1.3 eq ftp    ! 允许 ftp 到不洁网
access-lsit 101 permit tcp any host 144.254.1.3 eq        ! 允许 ftp 数据到不洁网中的ftp服务器
access-list 101 deny ip 127.0.0.0 0.255.255.255 any      ! 阻止来自Internet并以RFC
access-list 101 deny ip 10.0.0.0 0.255.255.255 any        !保留地址为源的数据包入站
access-list 101 deny ip 172.16.0.0 0.240.255.255 any
access-list 101 deny ip 192.168.0.0 0.0.255.255 any
access-list 101 deny icmp any any echo-reply              ! 拒绝任何应答
access-list 101 deny icmp any any host-unreachable        ! 拒绝任何无法接通的主机
access-list 101 deny udp any any eq snmp                  ! 拒绝引入的SNMP
access-list 101 deny udp any eq 2000                      ! 拒绝引入的openwindows
access-list 101 deny udp any any gt 6000                  ! 拒绝引入的X-windows
access-list 101 deny tcp any any eq 2000                  ! 拒绝引入的openwindows路由器的用户名和密码
access-list 101 deny tcp any any gt 6000                  ! 拒绝引入的X-windows
access-list 101 deny udp any any eq 69                    ! 拒绝引入的tftpd
access-list 101 deny udp any any eq 111                  ! 拒绝引入的SunRPC
access-list 101 deny udp any any eq 2049                  ! 拒绝引入的NFS
access-list 101 den
y tcp any any eq 111                  ! 拒绝引入的SunRPC
access-list 101 deny tcp any any eq 2049                  ! 拒绝引入的 NFS
access-list 101 deny tcp any any eq 87                    ! 拒绝引入的连接
access-list 101 deny tcp any any eq 512                  ! 拒绝引入的 BSD UNIX “r”指令
access-list 101 deny tcp any any eq 513                  ! 拒绝引入的 BSD UNIX “r”指令
access-list 101 deny tcp any any eq 514                  ! 拒绝引入的 BSD UNIX “r”指令
access-list 101 deny tcp any any eq 515                  ! 拒绝引入的 lpd
access-list 101 deny tcp any any eq 540                  ! 拒绝引入的 uucpd
access-list 101 permit ip any any                        ! 其它均允许
access-list 102 permit ip 144.254.0.0 0.0.255.255 any    ! 只允许有源的包
access-list 102 deny ip any any                          ! 园区网到Internet的地址
aaa new-model                                            ! 在全范围实现AAA
aaa authentication login default tacacs+                  !默认登录方法经由 tacacs+
aaa authentication login staff tacacs+ local              !通过tacacs+鉴别工作人员用户名... 如果无法连接服务器,退而求其次的方法是本地鉴别
aaa authorization exec tacacs+ local                      ! 鉴别通过后,授权运行 exec shell
aaa authorization commands 0 tacacs+ none                ! 鉴别与指定特权等级相关的运行模式指令
aaa authorization commands 1 tacacs+ none                ! 如果无可用的tacacs+ 服务器,
aaa authorization commands 15 tacacs+ local              ! 15级权限指令就需要本地鉴别,其它不需要任何鉴别
aaa accounting update newinfo                            ! 每当有新的记帐信息需要报告时,中间记帐记录将被送到服务器
aaa accounting exec start-stop tacacs+                    ! 对终端会话进行记帐
aaa accounting network start-stop tacacs+                ! 对所有 PPP, SLIP和ARAP连接记帐
username staff password 7 staffpassword                  ! 创建本地口令并以加密格式存储
tacacs-server host 144.254.5.9                            ! 定义tacacs+ 服务器地址
tacacs-server key thisisasecret                          ! 定义共享的 tacacs+ 密码
line con 0
exec-timeout 5 30                                        ! 确认控制台会话结束时间
login authentication staff                                ! 只有用户名工作人员可接入控制台
line aux 0
transport input none                                      ! 没有telnet进入
no exec                                                  !该端口没有得到运行提示
line vty 0 3
exec-timeout 5 30                                        ! 确认 telnet 会话结束时间
login authentication default                              ! 通过 tacacs+ 登录鉴别
privilege level 15           
! 获得15级权限
line vty 4
exec-timeout 5 30                                        ! 确认 telnet 会话结束时间
login authentication staff                                ! 鉴别为工作人员
rotary 1
privilege level 1
logging on                                                ! 开启syslog
logging 144.254.5.5                                      ! 定义syslog服务器地址
logging console information                              ! 定义登录的信息

版权声明:本站内容均来自互联网,仅供演示用,请勿用于商业和其他非法用途。如果侵犯了您的权益请与我们联系QQ:729038198,我们将在24小时内删除。