privilege權限級別的命令介紹及實例分析

本篇的內容很早就想講的，一方面是我覺得這個分析的有點細節了，另一方面是我有點忙，一直拖著拖著就留到今天了，借這個博客，給自己一個警告：當天事當天畢，負重前行的永遠不止你一個。
本篇講解一下有關privilege的命令介紹，以及各種級別的功能，方便我們以后對不同的用戶賦予不同的權限。即保證對數據的安全性，也能保證操作的方便和合理性。

不同級別的命令

R1#enable 0 //進入0級別，僅有五條命令

R1#enable 1 //進入1級別，有40多條命令

R1#enable 2 //進入2級別，有40多條命令，但是和1級別的命令一致，也就是說2級別本身是沒有命令的，但是高級別擁有低級別的全部命令，所以2-14這級別都有其1級別的命令。

privilege的調度

privilege的命令可以把某個級別的命令扣出來，放到對應的級別里面去，比如說2級別的命令沒有configure terminal,可以將15級別的扣出來給2級別，下面看一下實例。

2級別沒有configure terminal 命令，通過配置privilege。
R1>enable 15 //回到15級別
R1#configure terminal //進入特權模式
R1(config)#privilege exec //exec表示在什么位置所使用的命令exec就是代表#或者>。
R1(config)#privilege exec level 2 conf t//把conf t這條命令放到level 2
R1#enable 2 //進入級別2

此時就有conf t 命令了。

又比如我將level 15的ping命令調度給level 2，那么level1就不能夠ping了，盡管他本來就有ping的。而級別大于2的依舊能夠有ping命令。
實驗：
R1#enable 1

R1(config)#privilege exec level 2 ping //把ping這條命令放到level 2。
R1#enable 1

privilege的等級切換

在沒有enable 密碼的情況下，默認高級別切換到低級別是無需密碼的，而低級別切換到高級別就需要密碼，若無密碼則無法切換，提示報錯。

假設2級別的想切換到3級別的，則需回到15級別為3級別配置一個密碼。
R1(config)#enable secret level 3 csdn //為級別3設置enable密碼為csdn

配置完成，來查看一下級別2切換到級別3。

成功切換。

Role-Base CLI View 介紹

view 相當于一個容器。把一些命令放到這個容器里面去。再把這個view關聯到一個用戶上面去。那么這個用
戶就只能夠使用這個view里面的命令。配置前，注意先開啟AAA服務，不然會報錯。
R1(config)#aaa new-model //開啟AAA，如果不開啟會報錯
我們先進入view來查看其級別。進入enable view 之前主要需設置enable密碼，不然認證會錯誤。
R1(config)#enable password cisco //設置enable密碼

可以發現，這個級別是root級別，理論上是比15級別的權限還要高一些，而多出來的功能就是創建和管理view。
接著，我們來創建一個view，并且為其設置密碼，授權命令。
R1#enable view
(輸入密碼)
R1#conf t
R1(config)#parser view csdn //建立一個名字為csdn的view
R1(config-view)#secret csdn//定義這個view的密碼為csdn
R1(config-view)#commands exec include ping //授權ping的基本命令
R1(config-view)#commands exec include all ping //授權ping的所有命令
配置完成，來查看效果。

可以看到，上面我們為其授權的是ping的全部命令，所以這里所有ping的命令都可以配置，若是單單只授予ping的基本命令，則如下圖所示

關聯到本地用戶登錄

配置對應的權限，那么我們就需要相對于的用戶密碼來關聯，使得對不同的用戶授予不同的權限配置，下面我們就講如何將兩者關聯。關聯需將AAA關閉，不然無法關聯到本地的用戶即密碼，詳情可以參考本博主的AAA線下保護篇。
AAA線下保護
R1(config)#no aaa new-model //關閉aaa.
R1(config)#username cisco password cisco //創建設置用戶名和密碼。
R1(config)#username cisco view csdn //把View 的名字為csdn的view關聯到用戶cisco上
R1(config)#line console 0 //進入console口
R1(config-line)#login local //使用本地用戶名和密碼認證
配置完成，查看其效果。
退出特權模式再登入


可以看到，再次進入特權模式，我們就需要用戶和密碼，如上述命令所配置的用戶和密碼，輸入完成，直接進入了view這個容器下的特權模式，查看其面命令效果，會發現如我們之前配置的csdn這個view所配置的權限一致。
注意：當我們在配置的時候直接輸入下面這條命令，而沒有去創建對應的用戶和密碼的時候，此時的密碼為空：
R1(config)#username cisco view csdn

實例配置

配置IP地址
需求：需要給ccie用戶一個六級的密碼cisco，賦予其configure termina命令，除了本身命令，其它命令不執行。
配置命令：
username ccie privilege 6 password cisco
line vty 0 4
login local
enable secret level 6 cisco
privilege exec level 6 configure termina

配置完成，讓R2telnetR1



本來級別6的是不具備conf t 命令的，通過配置賦予其權限。

需求2：
創建特權視圖A，允許在EXEC模式下執行configure terminal ，在接口模式下只能配置fa0/1。其它配置一律否定
配置命令：
aaa new-model //開啟aaa服務
enable password cisco //設置15級別的特權模式登錄密碼
enable view //進入view
conf t // 進入特權模式
parser view A //建立一個名字為A的view
secret A //設置密碼為A
commands interface include shutdown
commands interface include ip address
commands interface include ip
commands interface include no shutdown
commands interface include no ip address
commands interface include no ip
commands interface include no
commands configure include interface
commands exec include configure terminal
commands exec include configure
commands exec include show
commands configure include interface FastEthernet0/1

把view關聯到本地用戶上。
no aaa new-model //關閉aaa.
username cjc password cjc //創建設置用戶名和密碼。
username cisco view A/把View 的名字為yehangyu的view關聯到用戶cisco上
line vty 0 4 //進入遠程連接口
login local //使用本地用戶名和密碼認證

配置完成，查看，如需求，只能夠int 接口。

最后

今天講的內容有點雞肋，感覺用處不大，作為一個知識的積累吧，感興趣的同學可以嘗試配置一下，說不定會有所收獲

總結

以上是生活随笔為你收集整理的privilege权限级别的命令介绍及实例分析的全部內容，希望文章能夠幫你解決所遇到的問題。

如果覺得生活随笔網站內容還不錯，歡迎將生活随笔推薦給好友。