合理配置Cisco IOS的十六种权限等级
许多工作在Cisco IOS之上的网络管理员从未费心去考虑过他们正在使用的权限等级或这些等级的意义。然而,Cisco IOS实际上十六种不同的权限等级。David Davis论述了这些不同的等级并且向你介绍在配置这些权限时需要用到的主要命令。
你知道为什么Cisco IOS用不同的命令提供了16种权限等级?许多工作在Cisco IOS环境中的网络管理员从未费心去考虑过他们正在使用权限等级或这些等级的意义。
当在Cisco IOS中进入不同的权限等级时,你的权限等级越高,你在路由器中能进行的操作就越多。但是Cisco路由器的多数用户只熟悉两个权限等级:
用户EXEC模式-权限等级1
特权EXEC模式-权限等级15
当你在缺省配置下登录到Cisco路由器,你是在用户EXEC模式(等级1)下。在这个模式中,你可以查看路由器的某些信息,例如接口状态,而且你可以查看路由表中的路由。然而,你不能做任何修改或查看运行的配置文件。
由于这些限制,Cisco路由器的多数用户马上输入enable以退出用户EXEC 模式。默认情况下,输入enable会进入等级15,也就是特权EXEC模式。在Cisco IOS当中,这个等级相当于在UNIX拥有root权限或者在Windows中拥有管理员权限。换句话说,你可以对路由器进行全面控制。
因为网络只是由少数人维护,他们每个人通常都有进入特权模式的口令。但是在某些情况下,那些小型或中型公司会进一步增长,而权限问题会变得更加复杂。
许多时候,当有一个支持小组或不需要在路由器上进行过多访问的缺乏经验的管理员时问题就出现了。或许他们只是需要连接到路由器以查看运行配置或重新设置接口。
在这种情况下,这些人会需要介于等级1到等级15之间的某个等级进行操作。请记住最小权限原则:只赋予必需的最少的访问权限。
有很多可行的配置IOS用户和权限的方法,我无法在一篇文章中详细描述每一种方法。所以,我们将关注你在配置权限时用到的基本命令。
Show privilege:这个命令显示目前的权限。这里给出一个例子:
router# show privilege
Current privilege level is 3
Enable:管理员通常使用这个命令以进入特权EXEC模式。然而,它也可以带你进入任何特权模式。这里给出一个例子:
router# show privilege
Current privilege level is 3
router# enable 1
router> show privilege
Current privilege level is 1
router>
User:这个命令不仅可以设定用户,它还可以告诉IOS,用户在登录的时候将拥有何种权限等级。这里给出一个例子:
router(config)# username test password test privilege 3
Privilege:这个命令设定某些命令只在某个等级才能用。这里给出一个例子:
router(config)# enable secret level 5 level5pass
Enable secret:默认情况下,这个命令创建一个进入特权模式15的口令。然而,你也可以用它创建进入其他你可以创建的特权模式的口令。
让我们考察一个例子。假设你想创建一个维护用户,他可以登录到路由器并且查看启动信息(以及等级1的其他任何信息)。你将输入的命令可能是:
router(config)# user support privilege 3 password support
router(config)# privilege exec level 3 show startup-config
需要注意的是并不需要enable secret命令,除非你想让以等级1登录进来的用户为了能提升到等级3而使用口令。在我们的例子中,新用户(维护)已经处在等级3而且无需额外的enable secret口令来登录。
除此之外,需要注意的是这个配置假设你已经拥有一个配置好的使用用户名和口令的路由器,该例子还假设你已经为等级15定义了enable secret命令,你有一个拥有等级15的超级用户,而且你已经在超级用户权限下保存了启动配置文件。
其实路由器与交换机等网络设备也是计算机的一种,其也可以分为硬件与软件两部分。普通的PC主机操作系统(如Windows在使用过程中会出现种种问题,路由器或者交换机的操作系统(如Cisco 的IOS也不例外。为此网络管理员还必须掌握排除IOS软件运行故障的方法。在这里笔者就对常见的故障以及解决方法做一些举例,以帮助网络管理员解决网络问题。 一、启动配置文件丢失 Windows操作系统启动的时候会查看主机中的boot.ini文件,以判断启动的顺序。当这个配置文件损坏的时候,操作系统就无法正常启动。需要使用光盘等工具对这个配置文件进行修复。路由器中也有类似的一个配置文件。如在路由器启动的时候,IOS系统会在配置文件中寻找boot system语句。这个语句决定了路由器从哪一个映像中启动IOS软件。有时候这个语句配置错误的话,就会导致路由器启动故障。遇到这个问题后如何解决呢?在谈具体的解决措施之前,笔者有必要先说明一下IOS软件的映像问题。 Cisco IOS软件设备往往有三种不同的运行环境,分别为RomMonitro、Boot Rom和Cisoco IOS。路由器在启动的时候,会根据用户的指令选择一种环境进行运行。具体运行的环境,就是在配置文件中的Boot System语句中指定。这里需要注意的是,这三种运行环境并不代表不同的操作系统。如以微软操作系统为例,这里将的运行环境并不是像其XP、2003等等代表不同的操作系统。而更像是在启动的时候,按F8键进入到启动模式的选择界面。系统管理员员再遇到系统故障时,往往会按 F8键选择具体的启动模式来解决故障。如在遇到分辨率出现问题的时候,就会采用VGA模式启动来排除故障。其实IOS的这三种工作环境跟这个操作系统的启动模式类似。 如ROM Monitor工作环境,主要提供低级别的功能和诊断。如在这种工作环境下,可以用来修复系统故障或者口令恢复等方面的工作。而在BootRom模式下,只能够使用IOS软件功能的一个有限子集。这两种工作环境跟微软操作系统中的安全
cisco交换机基本配置 1.Cisco IOS简介 Cisco Catalyst系列交换机所使用的操作系统是IOS(Internetwork Operating System,互联网际操作系统)或COS(Catalyst Operating System),其中以IOS使用最为广泛,该操作系统和路由器所使用的操作系统都基于相同的内核和shell。 IOS的优点在于命令体系比较易用。利用操作系统所提供的命令,可实现对交换机的配置和管理。Cisco IOS操作系统具有以下特点: (1)支持通过命令行(Command-Line Interface,简称CLI)或Web界面,来对交换机进行配置和管理。 (2)支持通过交换机的控制端口(Console)或Telnet会话来登录连接访问交换机。 (3)提供有用户模式(user level)和特权模式(privileged level)两种命令执行级别,并提供有全局配置、接口配置、子接口配置和vlan数据库配置等多种级别的配置模式,以允许用户对交换机的资源进行配置。 (4)在用户模式,仅能运行少数的命令,允许查看当前配置信息,但不能对交换机进行配置。特权模式允许运行提供的所有命令。 (5)IOS命令不区分大小写。 (6)在不引起混淆的情况下,支持命令简写。比如enable通常可简约表达为en。 (7)可随时使用?来获得命令行帮助,支持命令行编辑功能,并可将执行过的命令保存下来,供进行历史命令查询。 1.搭建交换机配置环境 在对交换机进行配置之前,首先应登录连接到交换机,这可通过交换机的控制端口(Console)连接或通过Telnet登录来实现。 (1)通过Console口连接交换机 对于首次配置交换机,必须采用该方式。对交换机设置管理IP地址后,就可采用Telnet登录方式来配置交换机。 对于可管理的交换机一般都提供有一个名为Console的控制台端口(或称配置口),该端口采用RJ-45接口,是一个符合EIA/TIA-232异步串行规范的配置口,通过该控制端口,可实现对交换机的本地配置。 交换机一般都随机配送了一根控制线,它的一端是RJ-45水晶头,用于连接交换机的控制台端口,另一端提供了DB-9(针)和DB-25(针)串行接口插头,用于连接PC机的COM1或COM2串行接口。Cisco的控制线两端均是RJ-45水晶头接口,但配送有RJ-45到DB-9和RJ-45到DB-25的转接头。 通过该控制线将交换机与PC机相连,并在PC上运行超级终端仿真程序,即可实现将PC机仿真成交换机的一个终端,从而实现对交换机的访问和配置。 Windows系统一般都默认安装了超级终端程序,对于Windows 2000 Server系统,该程序位于【开始】菜单下【程序】中【附件】的【通讯】群组下面,若没有,可利用控制面板中的【添加/删除程序】来安装。单击【通讯】群组下面的【超级终端】,即可启动超级终端。 首次启动超级终端时,会要求输入所在地区的电话区号,输入后将显示下图所示的连接创建对话框,在【名称】输入框中输入该连接的名称,并选择所使用的示意图标,然后单击确定按钮。 图9-2 超级终端连接创建对话框
系统安全服务解决方案2.0版Cisco IOS交换机 安装配置指导书 华为技术 华为技术有限公司 综合业务服务产品部 二〇一三年四月
修订记录
目录 1CISCO IOS交换机简介 (4) 1.1C ISCO 2950系列交换机 (4) 1.2C ISCO 3550系列交换机 (5) 1.3C ISCO 4000系列交换机 (7) 2CISCO IOS的交换机的配置 (8) 2.1访问交换机 (8) 2.1.1通过console访问交换机 (8) 2.1.2通过Telnet访问交换机 (10) 2.2基本管理配置 (12) 2.2.1设置交换机名字 (12) 2.2.2设置交换机管理IP地址 (12) 2.2.3设置交换机时间信息 (12) 2.2.4设置交换机的密码 (12) 2.2.5设置交换机的日志信息 (13) 2.3以太网端口的配置 (14) 2.3.1打开/关闭以太网端口 (14) 2.3.2以太网端口的描述 (14) 2.3.3设置以太网端口的双工状态 (15) 2.3.4设置以太网端口的速率 (15) 2.3.5设置以太网端口的工作模式 (15) 2.4链路聚合(E THER C HANNEL) (15) 2.5VLA N配置 (16) 2.6T RUNK配置 (17) 2.7VTP配置 (19) 2.8STP协议 (20) 3配置实例 (22) 3.1C ATALYST 2924XL配置实例 (22) 3.2C ATALYST 4006配置实例 (25)
1Cisco IOS交换机简介 在Cisco交换机簇中,有以下交换机的配置命令是采用IOS命令行进行配置的:Catalyst 2924、 Catalyst 2950、Catalyst 3500、Catalyst 3550、Catalyst 2948G-L3、采用新交换引擎的4000系列交换机、以及采用IOS软件的Catalyst 6000系列的交换机。其中Catalyst 2950是Catalyst 2924的替代品,Catalyst 3550是Catalyst 3500的替代品。 1.1 Cisco 2950系列交换机 Cisco Catalyst 2950系列交换机是固定安装的线速快速以太网桌面交换机,可为中等规模的公司和企业分支机构办公室提供理想的接入解决方案。Cisco Catalyst 2950系列交换机有以下几个特点来提高网络性能、可管理性和安全性。 ?网络管理员可以为每个交换机配置最多64个虚拟LAN(VLAN)来获得更高水平的 数据安全性和增强的LAN性能。这就保证了数据包只传送到特定VLAN内的工作 站,这样相当于在网络上的各组端口之间建立了一个虚拟防火墙,从而减少了广 播传输。 ?VLAN主干可以利用标准的802.1Q VLAN主干结构从任何端口创建。每个VLAN生成 树(PVST+)允许用户建立冗余的上行链路,通过多重链路分配流量负载。而这些 都是通过标准的生成树协议(STP)无法实现的。 ?另外,Cisco的 Uplink Fast(快速上行链路)技术也保证了可以立即传输到辅助 上行链路,远优于传统的30到60秒汇集时间。这也是对STP的另一项增强功 能。Catalyst 2950系列包括Catalyst 2950T-24、2950-24、2950-12和2950C- 24交换机。Catalyst 2950-24交换机有24个10/100端口;2950-12有12个 10/100端口;2950T-24有24个10/100端口和2个固定10/100/1000 BaseT上行 链路端口; 2950C-24有24个10/100端口和2个固定100 BaseFX上行链路端 口。每个交换机占用一个机柜单元(RU),这样它们方便地配置到桌面和安装在 配线间内。 由于Catalyst 2950具备8.8Gbps的交换背板和最大4.4 Gbps的数据吞吐率,所以在它把终端工作站和用户连接到公司的LAN上时可以在各个端口提供线速连接性能。 Catalyst 2950交换机支持性能增强特性,如Fast EtherChannel(快速以太通道)和GigabitEtherChannel(千兆位以太通道)技术,可在Catalyst 2950交换机、路由器和服务器之间提供最大4 Gbps的高性能带宽。 Catalyst 2950系列交换机 性能
CISCO 部分有用命令 2009年06月05日 12:46 标签:命令, config, 配置, router, cisco 配置路由器特定时间重启 提问需要路由器在特定时间自动重启 回答 Router1#reload in 20 Reload scheduled for 11:33:53 EST Sat Feb 1 2003 (in 20 minutes) Proceed with reload? [confirm] Router1# Router1#reload at 14:00 Feb 2 Reload scheduled for 14:00:00 EST Sun Feb 2 2003 (in 26 hours and 44 minutes) Proceed with reload? [confirm] Router1# 注释很有用的命令,当你在对路由器配置进行修改前可以先行输入此命令,然后进行修改但是不保存配置,这样可以防止把自己锁在路由器之外。可以使用reload cancel命令来取消定时重启 定时执行配置命令 提问周期性的定时执行某个命令 回答 Router#configure terminal
Enter configuration commands, one per line. End with CNTL/Z. Router(config)#kron policy-list NEOSHI Router(config-kron-policy)#cli write memory Router(config-kron-policy)#exit Router(config)#kron occurrence DAILYat5 at 17:00 recurring Router(config-kron-occurrence)#policy-list NEOSHI Router(config-kron-occurrence)#end Router# 注释从IOS12.3(1)开始引入了这个类似Unix Cron的特性,不过也有一些缺点,只能运行EXEC模式下的命令,不能运行配置模式下的命令,同时输入的命令不能是交互性的,比如不能输入copy running-config startup-config来保存配置,因为是需要确认的,必须使用write memory来代替