Настройте на консольном порте и линиях vty подключение с использованием средств аутентификации с параметрами:
имя admintest, пароль adminpass.
Включите ограничение неудачных попыток аутентификации: если в течении 120 сек. будет 10 неудачных попыток доступа, то подключение заблокируется на 10 мин. Установите время между попытками аутентификации 10 сек.
| Симуляция
Router(config)#username admintest secret adminpass
Router(config)#login block-for 600 attempts 10 within 120
Router(config)#login delay 10
Router(config)#line con 0
Router(config-line)#login local
Router(config-line)#exit
Router(config)#line vty 0 4
Router(config-line)#login local
Router(config-line)#^Z
|
3-1-11 Многоуровневая система привилегий доступа. Пароли
Установка пароля на доступ в привилегированный режим выполняется с помощью команды enable secret.
Полный синтаксис этой команды выглядит следующим образом:
Router(config)# enable secret [level level] password
Опциональный параметр level указывает на уровень привилегий доступа по данному паролю. Можно назначить до 16 уровней привилегий и разделить административные полномочия.
Для аутентификации, дополнительно, вводится команда глобального режима конфигурации
Router(config)# username name privilege level secret password.
По умолчанию устанавливается уровень 15 (максимальный). Пользовательский режим соответствует уровню 1.
| (на рис исправить «администратор сети уровень 3 show, debug, ping»)
Привилегии
Рис 3-1-11.
|
3-1-12 Многоуровневая система привилегий доступа. Команды
Любую команду можно связать с любым уровнем привилегий и одна команда может входить в разные уровни.
Команды, необходимые для настраиваемого уровня привилегий, определяются в режиме глобальной конфигурации с помощью команды privilege level.
Router(config)# privilege mode { level level command | reset command}
При указании команды может быть подключена вся подгруппа. Например, если указать show version, то будет подключена только эта команда, а если указать только show, то будут подключены все команды этой подгруппы.
При входе в привилегированный режим необходимо указать уровень привилегий.
Router#enable level
Если уровень не указывать, то по умолчанию принимается – 15, и, будет запрашиваться пароль этого уровня.
| Картинка из 3-1-11.
privilege mode { level level command | reset command}
Рис 3-1-12.
|
3-1-13 Демонстрационный пример настройки уровня привилегий
Администратору сети необходимо разрешить использовать команды ping, show ip route и debug для обеспечения мониторинга и тестирования сети.
Пароль администратора – netadmin 5, имя – admin 1.
Системный инженер должен использовать все команды.
Пароль системного инженера – system 1, имя – engsys 1.
| Картинка из 3-1-11.
Настройка (поочереди)
R1(config)#privilege exec level 3 show ip route
R1(config)#privilege exec level 3 debug ip
R1(config)#privilege exec level 3 ping
R1(config)#enable secret level 3 netadmin5
R1(config)#username admin1 privilege 3 secret netadmin5
R1(config)#enable secret level 15 system1
R1(config)#username engsys1 privilege 15 secret system1
Результат конфигурации (поочереди)
R 1# show run
Building configuration...
Current configuration: 1454 bytes
version 12.4
...
hostname R1
...
enable secret level 3 5 $1$WmBs$YbyBqNDvI6QBNw1MumtV60
enable secret 5 $1$qGlp$a1ExrPyx4DTRTKoqTBMpD/
...
username admin1 privilege 3 secret 5 $1$1UCv$qabxcgY69WMt4Tk93.X/m.
username engsys1 privilege 15 secret 5 $1$UGbz$jF2di3ZMQ1OTlzB/PuPz40
...
privilege exec level 3 ping
privilege exec level 3 show ip route
privilege exec level 3 show ip
privilege exec level 3 show
privilege exec level 3 debug ip
privilege exec level 3 debug
...
end
Вход по привилегиям (поочереди)
R1>enable 3
Password:< netadmin5>
R1#sh run
^
% Invalid input detected at '^' marker.
R1#sh ip route
Codes: C - connected, S - static, R - RIP, M - mobile, B - BGP
D - EIGRP, EX - EIGRP external, O - OSPF, IA - OSPF inter area
N1 - OSPF NSSA external type 1, N2 - OSPF NSSA external type 2
E1 - OSPF external type 1, E2 - OSPF external type 2
i - IS-IS, su - IS-IS summary, L1 - IS-IS level-1, L2 - IS-IS level-2
ia - IS-IS inter area, * - candidate default, U - per-user static route
o - ODR, P - periodic downloaded static route
Gateway of last resort is not set
10.0.0.0/24 is subnetted, 1 subnets
C 10.1.1.0 is directly connected, GigabitEthernet0/0
R1#
рис 3-1-13.
|