思科网络的分配管理角色（下）

　　在上一次的教程，我们讲述了，为什么如果不能访问show与howψ命令,将无法执行showiproute命令。那么现在我们根据这个线索进行展开吧。

　　与此同时，howipriute的子命令也分配给了相同的级别。分配使用showiproute命令的权限的用户可以使用所有show命令,showverson密码特权级别也应配置验证证。有两种方法为不同级别配置于特权级别使用全局配置命令enablesecretI例如对于某一个级别的用户,使用全局配置命令level//veprivilege/eve/secret业内部可管理员在企业USER账号(第一级别,不包括ping)用户级对设备的访问分为4RT(包括第一级别支持SUPBjr-ad,外加ping)5级命令,外加reload命令IN(需要所有间)MN账号(需要完全访别要依于企业的结构设定特不同工作所要访问的设备在USER中,只需罗默认的1级(Router>)访问,不需定制特权级。这是因为默认的用户模式级相当SUPPORT账号可以分配更高的访问回权限,如5级。5级自动包含从1级到4级的命令及新分配的命令。

　　请记住,当命令分配给某一特定级别后,比此命令低的级别将不能使用此命令。如,将pin命令使用如下命令分配给级别5后privilegeexeclevel5pingUSER账号(1级)不再能使用ping命令,只要5级或更高级级别才能执行ping命令。使用如下命令为5级设置密码enablesecretlevel5 Cisco 要访问5级必须使用CISCO5密码。输入如下命令将一特定用户名分配给级别5:usernamesupportprivilege5secretcisco用此用户名登录的用户仅能访问特权级别5,当然也包括级别1JR-ADMIN账号能够使用所有1~5级别的命令及reload命令。该账号应该被赋子一个更高的级别,如10级。10级自动集成低级别的所有命今。使用下面的命令为10级分配reload命令:privilegeexeclevel10reloadusernamejr-adminprivilege10secretcisco10enablesecretlevel10cisco1@通过执行这些命令,10级及更高的用户可以使用reload命令。

　　然而，用户名为r-admin的用户被赋10级及相关命令,包括所有更低级别的命令。要进入10级模式,需要输入密码cisco0。ADMIN账号默认为15级,可用访问特权执行模式。此例中,不需要定义自定义的命令。用户密码可用enablesecretlevel15cico123命令设置。然而,它不会覆盖enablesecret密码,后者用于访问15级。用usernameadminprivilege15secretcisco15命令为15级设定密码为dico15的ADMN用户。

　　请注意,在将用户名分配给特权级别时,privilege和crt关键字不能互换。如usernameUSERseciscoprivilege1命令不是将USER账号分配给级别1,而是建立了一个密码为“ciscoprivilegeI”的账要进入已建立的特权级别,需要从用户模式输入enable/eve命令并输入相应级别的密码。使用样的命令可以从较低级别转换到较高级别。从级别1到级别5,在执行提示符下输入enable5要转换到级别10,使用enable10及正确的密码从级别10到15,使用enable命令,如果命令后不跟级别,默认为15。

　　用户有时很容易忘记现在所处的级别,可以使用howprivilege命令显示和确定当前的级别。请住,高级别自动包含所有低级别的命令。虽然分配特权级别可以提供灵活性,但基于下述限制,有些企业认为它不适用。不能控制对路由器上接口、端口、逻辑接口和插槽的访问。低级另别的命令总能在高级别执行行。高级别的命令不能提供给低级别的用户。

　　小编结语：在将具有多个关键字的命令分配给特定级别时,所有以第一个关键词相关的命令都分配相同的级别。如showiproute命令。然而最大的限制是如果系统管理员需要建立一个几乎可以访问所有命令的用户账号,那么必须为个可以在15级以下用的命令配置一条privilegeexec语句。这是一个很烦琐的工作。那么如何突破特权级别的限制呢?