Автор: Сергей Верещагин
Сайт: Сетевые решения
Дата публикации: 1.06.2009
Дата обновления: 12.06.2009
Как правило, в любой системе, будь то программный продукт или высокотехнологичное оборудование, предусмотрена защита от неавторизованного доступа. В оборудовании Cisco предусмотрено 15 уровней авторизации пользователя, где по умолчанию уже заданны два из них: уровень 1 и уровень 15.
- Уровень 1 не дает практически никаких прав, кроме простейших команд типа show, ping, traceroute, telnet, ssh и т.д.
- Уровень 15 открывает доступ ко всем командам IOS.
Если вы только приступаете к настройке, тогда в режиме глобальной конфигурации необходимо задать имя пользователя (user) и пароль (secret) с уровнем доступа 15 (privilege 15) — user cisco privilege 15 secret cisco, где cisco – имя пользователя и пароль.
!
Используйте команду secret вместо password, т.к. пароль, заданный с помощью secret, хранится в системе в виде хэша (подробнее о хэш можно прочитать в статье IPSec), взломать который практически невозможно за исключением brute force атак конечно же. Пароль, заданный с помощью команды password, легко можно взломать прямо здесь и сейчас (требуется JavaScript):
После того, как мы создали пользователя с уровнем доступа 15 можно создать пользователя, которому будет дана возможность создавать только VLAN и помещать их на нужные ему интерфейсы.
Для этого командой user cisco5 privilege 5 secret cisco5 создадим запись пользователя и отметим его уровень доступа цифрой 5. С помощью команды privilege exec level 5 configuration terminal разрешим пользователю сразу попасть в привилегированный exec режим и предоставим возможность пользоваться командой configuration terminal для доступа к глобальной конфигурации. Согласно нашему плану, командами privilege configuration level 5 vlan и privilege configuration level 5 interface ограничим его полномочия, откроем доступ только к настройкам vlan и interface. Далле, когда пользователь зайдет в режим конфигурации интерфейса сделаем так, чтобы ему были доступны только команды switchport mode access и switchport access (более подробно о создании VLAN здесь) с помощью команд privilege interface level 5 switchport mode access и privilege interface level 5 switchport access.
Пример:
user cisco privilege 15 secret cisco user cisco5 privilege 5 secret cisco5 privilege exec level 5 configuration terminal privilege configuration level 5 vlan privilege configuration level 5 interface privilege interface level 5 switchport mode access privilege interface level 5 switchport access
Для полной отдачи от данного материала необходимо, как минимум, уметь создавать VLAN, настраивать удаленный доступ на интерфейсе VTY через протоколы Telnet или SSH и настраивать AAA.
Если у вас есть отзыв или замечание по статье, заполните форму, предварительно указав название статьи в заголовке