交换机的权限管理

《交换机的权限管理》由会员分享，可在线阅读，更多相关《交换机的权限管理（7页珍藏版）》请在装配图网上搜索。

1、交换机的权限管理摘要：本文以Cisco2950交换机为例，从实际应用出发，介绍了对交换机进行用户权限管理的实现方法，同时给出了一个实际配置实例，最后简要介绍了用户权限管理的应用案例。关键词：交换机，权限管理，特权级别，多级权限配置，用户授权0.前言对于新交换机或要完全重新设置的交换机，一般要进行初始化，也称快速配置(ExpressSetup)。初始化时，通常配置一些主要参数。如：主机名、交换机密码、IP地址、子网掩码、默认网关、Console登录密码、Telnet登录密码等。出于管理和安全考虑，交换机密码是至关重要的，以后进行交换机的管理和配置都要依赖此密码，应妥善保管。如果泄露交换机密码，将

2、带来许多安全隐患：交换机配置可能会被更改，甚至交换机密码也会被更改。但是在某些情况下，又不得不公开密码。比如：在学校中，给学生做交换机配置实验课时。在学校或企业的网络中，各部门需求对交换机配置进行调整、更改时。由此而来就提出了这样一个问题：如何进行交换机的权限管理。即在不需要交换机密码的情况下，交换机合法用户在他的授权范围内可以对交换机进行管理和配置。1.基本术语1.1超级用户enable在Cisco交换机中，内置了一个超级权限用户一enable(简称en),拥有对交换机的完全的访问权限。其特点类似windows/netware中的administrator用户，unix/linux中的roo

3、t用户，具有管理交换机中的全部权限。对交换机的配置总是从enable开始，而以后的交换机管理也要依赖于enable。所以应首先设置好enable安全密码，并妥善保管。设置enable密码的方法：(在全局配置模式下)Switch(config)#enablesecret密码enable的密码就是交换机的密码，也是下面要介绍的特权级别15的密码。即：enable的密码=交换机的密码=特权级别15的密码1.2特权级别(privilegelevel)在Cisco交换机中内建了16级特权级别，权限等级的范围是从0到15，每个级别可单独配置其口令；级别15拥有最高级别的权限，提供对交换机完全的访问权限；而

4、级别0能使用的命令和配置非常有限。在0-15级别中，数字越大，权限越高，权限高的级别继承低权限级别的所有权限。级别0-1级的提示符号为：级别2-15的提示符号为：#设置特权级别密码的方法：（在全局配置模式下）Switch（config）#enablesecretlevel特权级别特权级别密码1.3用户Cisco交换机允许建立本地用户，即创建本地用户名和密码。默认情况下，交换机内没有本地用户。建立的用户信息可以本地存储在交换机的数据库中，也可以远程存储在一个特定的安全服务器上。创建用户名和密码的方法：（在全局设置模式下）Switch(config)#username用户名password用户密码

5、或Switch(config)#username用户名secret用户密码2.权限管理实现方法2.1多级权限配置特权级别15级可执行所有命令，而缺省情况下114级仅能执行一些只读性质的Exec命令，并且他们的的权限是一样的，而0级的权限更小。可以对Cisco交换机的014特权级别进行多级权限配置，即赋予不同级别以不同的权限和功能，使其只允许使用某些给定的命令。通过多级权限配置，可以根据管理要求，授予相关的人员、相应的工作以相应的权限。配置的方法：（在全局配置模式下）Switch(config)#privilege模式level特权级别命令关键字举例:1Switch(config)#Privil

6、egeconfigurelevel5ntp配置特权级别5允许在在全局配置模式下使用ntp命令。2Switch(config)#Privilegeexeclevel2vlandatabase配置特权级别2允许创建新的VLAN命令。3Switch(config)#privilegeinterfacelevel2switchportaccessvlan配置特权级别2允许使用把某端口划归某VLAN的命令另外必须注意，Cisco交换机规定，高级别将继承低级别的所有权限。如果某条命令进行了多次权限配置，后一次配置将覆盖前一次的配置结果，最终保留的为最后一次的配置情况。如：Step1Switch#Privi

7、legeexeclevel2vlandatabaseStep2Switch#Privilegeexeclevel5vlandatabaseStep3Switch#Privilegeexeclevel3vlandatabase最终配置结果为级别3及其以上级别具有进入VLAN模式的权限2.2用户授权为了使每个用户具有特定的权限，必须对用户进行授权。在Cisco交换机，授权的方法就是指定用户的特权级别。即设置用户属于某一个特权级别，使其具有相应特权级别的权限。缺省情况下，新建用户属于level1特权级别。设置用户属于某个特权级别的方法：（在全局配置模式下）Switch（config）#usernam

8、e用户名privilege特权级另廿也可在创建用户时一次完成创建和设置的全过程：（在全局配置模式下）Switch（config）#username用户名privilege特权级另Spassword用户密码另外必须注意：每个用户只能属于某一个特权级别，不能同时属于两个或两个以上级别。3. 结论在完成了交换机特权级别的多级权限配置、建立交换机的本地用户、对用户进行授权等工作后，每个用户就具有了使用、配置交换机的相应权限。特权级别本地用户相应用户权限用户授权多级权限配置4. 配置实例下面是一个配置脚本实例。（执行脚本前，应清空running-config）配置用户user属于11级特权级别，具有进行

9、VLAN配置的权限。交换机密码：jeming.交换机主机名：Switch.交换机Telnet登录密码：12345.交换机IP:10.10.10.1SubnetMask:255.255.255.0!filename:SampleforVLAN.txt!请首先进入交换机en特权模式,然后执行本配置脚本!注意：请根据实际情况修改文中黑体带下划线的部分!进入配置模式configureterminal!设置交换机enable密码enablesecretjeming!设置交换机主机名hostnameSwitch!设置交换机IP地址interfacevlan1ipaddress10.10.10.1255.2

10、55.255.0noshutdownexit!设置Telnet登录密码linevty015password12345loginexit!新建用户user,无密码，赋予levelll特权级usernameuserprivilege11nopass!配置权限（可建立VLAN可进行基于端口的VLAN划分）privilegeEXEClevel11vlandatabaseprivilegeEXEClevel11configureterminalprivilegeconfigurelevel11interfaceprivilegeinterfacelevel11switchportmodeaccesspr

11、ivilegeinterfacelevel11switchportaccessvlanprivilegeinterfacelevel11noshutdown!退出配置模式exit!保存配置信息write!重启动交换机reload!结束!5. 应用案例5.1网络实验室常州信息职业技术学院计算机系网络实验室，共有学生实验用计算机84台，分成14组，每组6台，各配备Cisco2950交换机一台。组与组之间通过机房的主交换机连接，并可连接到校园网。每组构成独立的交换式以太网段，可供学生配置交换机和划分VLAN等实验。对划分VLAN实验，可以使用上例中的配置脚本(SampleforVLAN.txt),使

12、学生(用户userll)既有配置VLAN的权限，又不会更改交换机的其他配置。实验室管理员只要保管好交换机密码，就能保证交换机的安全使用。如要进行其他实验，只要编写一个相应的授权脚本，重新刷新一下交换机的配置，就能方便的实现。该方法在教学实践中起到了很好的效果！5.2企业网某企业网中使用了各层次的交换机，网络中心使用1台核心交换机，各楼宇使用了多台汇聚层交换机。这些主要交换机的管理和配置工作归属网络中心的网络管理员，任何的修改都需要网络中心处理。该企业的技术中心处在一幢大楼内，内部计算机较多，部门的计算机应用类型有一定的独立性。部门交换机的配置以往都依赖网络中心的网络管理员，这样就势必带来以下问

13、题：一是网络中心的负担过重，二是无法保证及时响应。目前按上述方法，给技术中心授予一定的权限，在授权范围内，技术中心可自己进行相关的配置。6. 结束语6.1在windows/unix/linux/netware等操作系统中，存在一个对象用户组，对其都可以实施组策略，或者说对用户组赋予不同的权限，如目录访问权限、配置管理权限、运行程序权限等。隶属于某个组的用户就拥有该组的权限。在Cisco交换机中，特权级别可类似看作是上述的用户组，也能分别赋予不同的权限。通过下表的对比，可帮助我们更好地理解Cisco交换用户权限管理，但要注意他们的不同点。CiscoIOSWindows备注1enableadmin

14、istrato管理员2特权级别本地组3多级权限配置本地组策略不同点：CiscoIOS的特权级别是高级别继承低级别的权限。每个用户只能属于某一个特权级别。Windows的组策略中权限是独立存在的。用户可隶属于不同的组。4本地用户本地用户有用户名和密码5对用户授权用户隶属于本地组6.2如果不采用建立本地用户的方法来进行权限管理，也可采用指定行(line)登录的特权级别来限定对交换机的操作。方法是：在对特权级别进行了多级权限配置后，直接配置行登录的特权级别。1Switch(config)#linevty04指定vty2Switch(config)#loginPassword验证密码，即连接conso

15、le或vty的密码3Switch(config)#privilegeevel11设置进入的特权级别为7。在上表中，配置了使用5个终端访问行(0至4)登录的特权级别为11级。从而限定了使用telnet进入的用户都为11级。当然，待进入后，还可以转换为其他级别。如果不做上述配置，而是在交换机的缺省状态下，则不论从控制台(CON)，还是从终端行(VTY)登录，登录级别都为1级。6.3此种用户权限管理方法在Cisco2950交换机上验证通过。其实对于其他型号的Cisco交换机也可采用这一方法。6.4Cisco路由器也能采用类似的方法进行管理。6.5每个特权级别都可设置密码，但此密码有何作用？尚不清楚!