交换机权限管理.docxVIP

交换机的权限管理摘要: 本文以Cisco2950交换机为例，从实际应用出发，介绍了对交换机进行用户权限管理的实现方法,同时给出了一个实际配置实例，最后简要介绍了用户权限管理的应用案例。关键词：交换机，权限管理，特权级别，多级权限配置，用户授权0. 前言对于新交换机或要完全重新设置的交换机，一般要进行初始化，也称快速配置(Express Setup)。初始化时，通常配置一些主要参数。如：主机名、交换机密码、IP地址、子网掩码、默认网关、Console登录密码、Telnet登录密码等。出于管理和安全考虑，交换机密码是至关重要的，以后进行交换机的管理和配置都要依赖此密码，应妥善保管。如果泄露交换机密码，将带来许多安全隐患：交换机配置可能会被更改，甚至交换机密码也会被更改。但是在某些情况下，又不得不公开密码。比如：在学校中，给学生做交换机配置实验课时。在学校或企业的网络中，各部门需求对交换机配置进行调整、更改时。??? 由此而来就提出了这样一个问题：如何进行交换机的权限管理。即在不需要交换机密码的情况下，交换机合法用户在他的授权范围内可以对交换机进行管理和配置。1. 基本术语1.1超级用户—enable在Cisco交换机中，内置了一个超级权限用户—enable (简称en),拥有对交换机的完全的访问权限。其特点类似windows/netware中的administrator用户，unix/linux中的root用户,具有管理交换机中的全部权限。对交换机的配置总是从enable开始，而以后的交换机管理也要依赖于enable。所以应首先设置好enable安全密码，并妥善保管。设置enable密码的方法：(在全局配置模式下)Switch(config)#?enable secret?密码enable的密码就是交换机的密码，也是下面要介绍的特权级别15的密码。即：enable的密码=交换机的密码=特权级别15的密码1.2特权级别(privilege level)在Cisco交换机中内建了16级特权级别, 权限等级的范围是从0到15，每个级别可单独配置其口令；级别15拥有最高级别的权限，提供对交换机完全的访问权限；而级别0能使用的命令和配置非常有限。在0-15级别中，数字越大，权限越高，权限高的级别继承低权限级别的所有权限。级别0-1级的提示符号为： ??级别2-15的提示符号为：#设置特权级别密码的方法：(在全局配置模式下)Switch(config)#enable? secret? level??特权级别???特权级别密码1.3用户Cisco交换机允许建立本地用户，即创建本地用户名和密码。默认情况下，交换机内没有本地用户。建立的用户信息可以本地存储在交换机的数据库中，也可以远程存储在一个特定的安全服务器上。创建用户名和密码的方法：(在全局设置模式下)Switch(config)#username ?用户名??password ?用户密码或Switch(config)#username ?用户名??secret? ??用户密码2. 权限管理实现方法2.1多级权限配置特权级别15级可执行所有命令，而缺省情况下1—14级仅能执行一些只读性质的Exec命令，并且他们的的权限是一样的，而0级的权限更小。可以对Cisco交换机的0—14特权级别进行多级权限配置，即赋予不同级别以不同的权限和功能，使其只允许使用某些给定的命令。通过多级权限配置，可以根据管理要求，授予相关的人员、相应的工作以相应的权限。配置的方法：(在全局配置模式下)Switch(config)#?privilege?模式?level??特权级别??命令关键字举例：1Switch(config)# Privilege configure level 5 ntp配置特权级别5允许在在全局配置模式下使用ntp命令。2Switch(config)# Privilege exec level 2 vlan database配置特权级别2允许创建新的VLAN命令。3Switch(config)# privilege interface level 2 switchport access vlan配置特权级别2允许使用把某端口划归某VLAN的命令另外必须注意，Cisco交换机规定，高级别将继承低级别的所有权限。如果某条命令进行了多次权限配置，后一次配置将覆盖前一次的配置结果，最终保留的为最后一次的配置情况。如：Step1Switch# Privilege exec level 2 vlan databaseStep2Switch# Privilege exec level 5 vlan databaseStep3Switch# Privilege exec level 3 vlan database最