- 积分
- 58
- 鸿鹄币
- 个
- 好评度
- 点
- 精华
- 最后登录
- 1970-1-1
- 阅读权限
- 20
- 听众
- 收听
助理工程师
|
8 W4 D# S$ z# H: }3 \
+ S Y. {/ V1 `' h1. 概述:7 T9 `* r9 @3 R; r, o7 O' N: q
在中小规模的网络中,网络中心的网络管理员往往需要对一个远程站点的管理员进行一定程度的授权,而不想让站点管理员使用所有的路由器特权口令,本文就以上问题做一个简单的分析和讨论.9 i' R$ F' K9 o# W6 q
2. 路由器本地验证和授权+ l* h( U' @1 ?- \* Y- u6 r% {
cisco路由器支持集中的AAA(验证/授权/记帐)功能,但是需要部署一台cisco ACS(访问控制服务器),如果网络设备数量不多,就可以利用cisco路由器的本地验证和授权的功能来实现验证和授权,而且不需要部署cisco ACS.以下是一个实现对路由器r1的telnet访问的本地验证和授权的例子:7 c9 T1 u2 ?. w9 \. s% x E
! T3 Y& r3 @6 w& s# Z
(1)为telnet用户设置一个帐号和口令(aaa用户的级别为1最低级别):
8 Q. _ d& T" Vhostname r1/ B9 Y8 }& Q" F" G
username aaa password cisco. ?4 X" O6 O( k" c% [
8 l8 ?/ M3 y( `' X+ e(2)设置一个级别为2的特权口令(缺省为15,具有所有权限)
7 `; f. f7 L0 f- xenable secret level 2 CISCO: o8 T1 T7 y* P
! _1 r6 s, p; t(3)为级别是2的特权用户授权(只允许执行router和network命令)
5 j9 ?$ [: {$ ]5 y% A7 n$ Nprivilege exec level 2 configure terminal
/ e8 N+ L6 {; e% q3 C允许执行特权命令config t
) g) c+ V/ t0 v$ l ]* cprivilege configure level 2 router, c- h0 `) ?# q: f/ @
允许执行全局命令: router <protocol>
4 s0 `, m) L2 E* tprivilege router level 2 network
; u1 ^5 [# Y6 ~) q允许执行路由进程命令: network
8 ]6 R% Z# v! V5 R9 Y# f. m8 A q! n. s& S. T
(4)指定对路由器r1进行telnet访问的验证方法(使用本地用户数据库验证)4 Q; h5 U/ G( V) _
line vty 0 4' v: H% b( y$ }! L* j
login local
+ ]4 j! q$ w- F7 R# ?. ?& f. s
6 R+ ~5 ~( V2 X7 a(5)结果: c9 A% z8 J w: A3 D$ W; D! {
当对r1进行telnet访问时,首先会提示输入username和password,这时用户aaa是用户模式(1级用户),只能执行很少的命令集(用户模式命令集).1 v& _2 Y+ K- S- ^4 X
使用enbale 2命令并且输入正确的口令后,可以有权限执行config t,router和network命令,但是其他命令不能执行,本地验证和授权成功.$ a: Z- D, Z% y6 ]2 k
' \3 ?2 z3 D8 K! Z& A% S" H
" c" M$ ?. P2 x1 V5 d (亚威科技 转载请注明出处) - M7 n( d, F# W) B
|
|
|
简体中文
英语
日语
韩语
法语
西班牙语
越南语
泰语
阿拉伯语
俄语
葡萄牙语
德语
意大利语
希腊语
荷兰语
波兰语
保加利亚语
爱沙尼亚语
丹麦语
芬兰语
捷克语
罗马尼亚语
斯洛文尼亚语
瑞典语
匈牙利语
繁体中文
文言文
发表于 2010-7-1 17:56:19
置顶卡
喧嚣卡
变色卡
千斤顶
