合理配置Cisco IOS的十六种权限等级

许多工作在Cisco IOS之上的
网络管理员从未费心去考虑过他们正在使用的权限等级或这些等级的意义。然而，Cisco IOS实际上十六种不同的权限等级。David Davis论述了这些不同的等级并且向你介绍在配置这些权限时需要用到的主要命令。 你知道为什么Cisco IOS用不同的命令提供了16种权限等级？许多工作在Cisco IOS环境中的网络管理员从未费心去考虑过他们正在使用权限等级或这些等级的意义。当在Cisco IOS中进入不同的权限等级时，你的权限等级越高，你在路由器中能进行的操作就越多。
但是Cisco路由器的多数用户只熟悉两个权限等级：用户EXEC模式-权限等级1特权EXEC模式-权限等级15当你在缺省配置下登录到Cisco路由器，你是在用户EXEC模式（等级1）下。在这个模式中，你可以查看路由器的某些信息，
例如接口状态，而且你可以查看路由表中的路由。然而，你不能做任何修改或查看运行的配置文件。由于这些限制，Cisco路由器的多数用户马上输入enable以退出用户EXEC模式。默认情况下，输入enable会进入等级15，也就是特权 EXEC模式。在Cisco IOS当中，这个等级相当于在UNIX拥有root权限或者在Windows中拥有管理员权限。换句话说，你可以对路由器进行全面控制。因为网络只是由少
数人维护，他们每个人通常
都有进入特权模式的口令。但是在某些情况下，那些小型或中型公司会进一步增长，而权限问题会变得更加
复杂。许
多时候，当有一个支持小组或不需要在路由器上进行过多访问的缺乏经验的管理员时问题就出现了。或许他们只是需要连接到路由器以查看运行配置或重新设置接口。在这种情况下，这些人会需要介于等级1到等级15之间的某个等级进行操作。请记住最小权限原则：只赋予必需的最少的访问权限。有很多可行的配置IOS用户和权限的方法，我无法在一篇文章中详细描述每一种方法。
所以，我们将关注你在配置权限时用到的基本命令。Show privilege：这个命令显示目前的权限。这里给出一个例子：router# show privilegeCurrent privilege level is 3Enable：管理员通常使用这个命令以进入特权EXEC模式。然而，它也可以带你进入任何特权模式。这里给出一个例子：router# show privilege Current privilege level is 3 router# enable 1 router> show privilege Current privilege level is 1 router>User：这个命令不仅可以设定用户，它还可以告诉IOS，用户在登录的时候将拥有何种权限等级。这里给出一个例子：router（config）#
username test password test privilege 3Privilege：这个命令设定某些命令只在某个等级才能用。这里给出一个例子：router（config）# enable secret level 5 level5passEnable secret：默认情况下，这个命令创建一个进入特权模式15的口令。然而，你也可以用它创建进入其他你可以创建的特权模式的口令。让我们考察一个例子。假设你想创建一个维护用户，他可以登录到路由器并且查看启动信息（以及等级1的其他任何信息）。你将输入的命令可能是：router（config）# user support privilege 3 password supportrouter（config）# privilege exec level 3 show startup-config需要注意的是并不需要enable secret命令，除非你想让以等级1登录进来的用户为了能提升到等级3而使用口令。在我们的例子中，新用户（维护）已经处在等级3而且无需额外的enable secret口令来登录。除此之外，需要注意的是这个配置假设你已经拥有一个配置好的使用用户名和口令的路由器，该例子还假设你已经为等级15定义了enable secret命令，你有一个拥有等级15的超级用户，而且你已经在超级用户权限下保存了启动配置文件。