交换机地权限管理系统.doc

实用标准文案 精彩文档 交换机的权限管理 摘要: 本文以Cisco2950交换机为例，从实际应用出发，介绍了对交换机进行用户权限管理的实现方法,同时给出了一个实际配置实例，最后简要介绍了用户权限管理的应用案例。 关键词：交换机，权限管理，特权级别，多级权限配置，用户授权 0. 前言 对于新交换机或要完全重新设置的交换机，一般要进行初始化，也称快速配置(Express Setup)。初始化时，通常配置一些主要参数。如：主机名、交换机密码、IP地址、子网掩码、默认网关、Console登录密码、Telnet登录密码等。 出于管理和安全考虑，交换机密码是至关重要的，以后进行交换机的管理和配置都要依赖此密码，应妥善保管。如果泄露交换机密码，将带来许多安全隐患：交换机配置可能会被更改，甚至交换机密码也会被更改。 但是在某些情况下，又不得不公开密码。比如：在学校中，给学生做交换机配置实验课时。在学校或企业的网络中，各部门需求对交换机配置进行调整、更改时。 ??? 由此而来就提出了这样一个问题：如何进行交换机的权限管理。即在不需要交换机密码的情况下，交换机合法用户在他的授权范围内可以对交换机进行管理和配置。 1. 基本术语 1.1超级用户—enable 在Cisco交换机中，内置了一个超级权限用户—enable (简称en),拥有对交换机的完全的访问权限。其特点类似windows/netware中的administrator用户，unix/linux中的root用户,具有管理交换机中的全部权限。 对交换机的配置总是从enable开始，而以后的交换机管理也要依赖于enable。所以应首先设置好enable安全密码，并妥善保管。 设置enable密码的方法：(在全局配置模式下) Switch(config)#?enable secret?密码 enable的密码就是交换机的密码，也是下面要介绍的特权级别15的密码。即： enable的密码=交换机的密码=特权级别15的密码 1.2特权级别(privilege level) 在Cisco交换机中内建了16级特权级别, 权限等级的范围是从0到15，每个级别可单独配置其口令；级别15拥有最高级别的权限，提供对交换机完全的访问权限；而级别0能使用的命令和配置非常有限。 在0-15级别中，数字越大，权限越高，权限高的级别继承低权限级别的所有权限。 级别0-1级的提示符号为： ??级别2-15的提示符号为：# 设置特权级别密码的方法：(在全局配置模式下) Switch(config)#enable? secret? level??特权级别???特权级别密码 1.3用户 Cisco交换机允许建立本地用户，即创建本地用户名和密码。默认情况下，交换机内没有本地用户。建立的用户信息可以本地存储在交换机的数据库中，也可以远程存储在一个特定的安全服务器上。 创建用户名和密码的方法：(在全局设置模式下) Switch(config)#username ?用户名??password ?用户密码 或 Switch(config)#username ?用户名??secret? ??用户密码 2. 权限管理实现方法 2.1多级权限配置 特权级别15级可执行所有命令，而缺省情况下1—14级仅能执行一些只读性质的Exec命令，并且他们的的权限是一样的，而0级的权限更小。 可以对Cisco交换机的0—14特权级别进行多级权限配置，即赋予不同级别以不同的权限和功能，使其只允许使用某些给定的命令。通过多级权限配置，可以根据管理要求，授予相关的人员、相应的工作以相应的权限。 配置的方法：(在全局配置模式下) Switch(config)#?privilege?模式?level??特权级别??命令关键字 举例： 1 Switch(config)# Privilege configure level 5 ntp 配置特权级别5允许在在全局配置模式下使用ntp命令。 2 Switch(config)# Privilege exec level 2 vlan database 配置特权级别2允许创建新的VLAN命令。 3 Switch(config)# privilege interface level 2 switchport access vlan 配置特权级别2允许使用把某端口划归某VLAN的命令 另外必须注意，Cisco交换机规定，高级别将继承低级别的所有权限。 如果某条命令进行了多次权限配置，后一次配置将覆盖前一次的配置结果，最终保留的为最后一次的配置情况。如： Step1 Switch# Privilege exec level 2 vlan database Step2 Switch# Privilege exec level 5 v