Сетевые решения — User - TelecomBook

Сетевые решения — User

Как правило, в любой системе, будь то программный продукт или высокотехнологичное оборудование, предусмотрена защита от неавторизованного доступа. В оборудовании Cisco предусмотрено 15 уровней авторизации пользователя, где по умолчанию уже заданны два из них: уровень 1 и уровень 15.

  • Уровень 1 не дает практически никаких прав, кроме простейших команд типа show, ping, traceroute, telnet, ssh и т.д.
  • Уровень 15 открывает доступ ко всем командам IOS.

Если вы только приступаете к настройке, тогда в режиме глобальной конфигурации необходимо задать имя пользователя (user) и пароль (secret) с уровнем доступа 15 (privilege 15) — user cisco privilege 15 secret cisco, где cisco – имя пользователя и пароль.

Используйте команду secret вместо password, т.к. пароль, заданный с помощью secret, хранится в системе в виде хэша (подробнее о хэш можно прочитать в статье IPSec), взломать который практически невозможно за исключением brute force атак конечно же. Пароль, заданный с помощью команды password, легко можно взломать прямо здесь и сейчас (требуется JavaScript):

После того, как мы создали пользователя с уровнем доступа 15 можно создать пользователя, которому будет дана возможность создавать только VLAN и помещать их на нужные ему интерфейсы.

Для этого командой user cisco5 privilege 5 secret cisco5 создадим запись пользователя и отметим его уровень доступа цифрой 5. С помощью команды privilege exec level 5 configuration terminal разрешим пользователю сразу попасть в привилегированный exec режим и предоставим возможность пользоваться командой configuration terminal для доступа к глобальной конфигурации. Согласно нашему плану, командами privilege configuration level 5 vlan и privilege configuration level 5 interface ограничим его полномочия, откроем доступ только к настройкам vlan и interface. Далле, когда пользователь зайдет в режим конфигурации интерфейса сделаем так, чтобы ему были доступны только команды switchport mode access и switchport access (более подробно о создании VLAN здесь) с помощью команд privilege interface level 5 switchport mode access и privilege interface level 5 switchport access.

Пример:

user cisco privilege 15 secret cisco 
user cisco5 privilege 5 secret cisco5 
privilege exec level 5 configuration terminal 
privilege configuration level 5 vlan 
privilege configuration level 5 interface 
privilege interface level 5 switchport mode access 
privilege interface level 5 switchport access 

Для полной отдачи от данного материала необходимо, как минимум, уметь создавать VLAN, настраивать удаленный доступ на интерфейсе VTY через протоколы Telnet или SSH и настраивать AAA.

Понравилась статья? Поделиться с друзьями:
TelecomBook
Яндекс.Метрика