交换机权限管理.docx

交换机的权限管理摘要: 本文以Cisco2950交换机为例，从实际应用出发，介绍了对交换机进行用户权限管理的实现方法,同时给出了一个实际配置实例，最后简要介绍了用户权限管理的应用案例。关键词：交换机，权限管理，特权级别，多级权限配置，用户授权0. 前言对于新交换机或要完全重新设置的交换机，一般要进行初始化，也称快速配置(Express Setup)。初始化时，通常配置一些主要参数。如：主机名、交换机密码、IP地址、子网掩码、默认网关、Console登录密码、Telnet登录密码等。出于管理和安全考虑，交换机密码是至关重要的，以后进行交换机的管理和配置都要依赖此密码，应妥善保管。如果泄露交换机密码，将带来许多安全隐患：交换机配置可能会被更改，甚至交换机密码也会被更改。但是在某些情况下，又不得不公开密码。比如：在学校中，给学生做交换机配置实验课时。在学校或企业的网络中，各部门需求对交换机配置进行调整、更改时。 由此而来就提出了这样一个问题：如何进行交换机的权限管理。即在不需要交换机密码的情况下，交换机合法用户在他的授权范围内可以对交换机进行管理和配置。1. 基本术语1.1超级用户enable在Cisco交换机中，内置了一个超级权限用户enable (简称en),拥有对交换机的完全的访问权限。其特点类似windows/netware中的administrator用户，unix/linux中的root用户,具有管理交换机中的全部权限。对交换机的配置总是从enable开始，而以后的交换机管理也要依赖于enable。所以应首先设置好enable安全密码，并妥善保管。设置enable密码的方法：(在全局配置模式下)Switch(config)#enable secret密码enable的密码就是交换机的密码，也是下面要介绍的特权级别15的密码。即：enable的密码=交换机的密码=特权级别15的密码1.2特权级别(privilege level)在Cisco交换机中内建了16级特权级别, 权限等级的范围是从0到15，每个级别可单独配置其口令；级别15拥有最高级别的权限，提供对交换机完全的访问权限；而级别0能使用的命令和配置非常有限。在0-15级别中，数字越大，权限越高，权限高的级别继承低权限级别的所有权限。级别0-1级的提示符号为： 级别2-15的提示符号为：#设置特权级别密码的方法：(在全局配置模式下)Switch(config)#enable secret level特权级别特权级别密码1.3用户Cisco交换机允许建立本地用户，即创建本地用户名和密码。默认情况下，交换机内没有本地用户。建立的用户信息可以本地存储在交换机的数据库中，也可以远程存储在一个特定的安全服务器上。创建用户名和密码的方法：(在全局设置模式下)Switch(config)#username 用户名password 用户密码或Switch(config)#username 用户名secret 用户密码2. 权限管理实现方法2.1多级权限配置特权级别15级可执行所有命令，而缺省情况下114级仅能执行一些只读性质的Exec命令，并且他们的的权限是一样的，而0级的权限更小。可以对Cisco交换机的014特权级别进行多级权限配置，即赋予不同级别以不同的权限和功能，使其只允许使用某些给定的命令。通过多级权限配置，可以根据管理要求，授予相关的人员、相应的工作以相应的权限。配置的方法：(在全局配置模式下)Switch(config)#privilege模式level特权级别命令关键字举例：1Switch(config)# Privilege configure level 5 ntp配置特权级别5允许在在全局配置模式下使用ntp命令。2Switch(config)# Privilege exec level 2 vlan database配置特权级别2允许创建新的VLAN命令。3Switch(config)# privilege interface level 2 switchport access vlan配置特权级别2允许使用把某端口划归某VLAN的命令另外必须注意，Cisco交换机规定，高级别将继承低级别的所有权限。如果某条命令进行了多次权限配置，后一次配置将覆盖前一次的配置结果，最终保留的为最后一次的配置情况。如：Step1Switch# Privilege exec level 2 vlan databaseStep2Switch# Privilege exec level 5 vlan databaseStep3Switch# Privilege exec level 3 vlan database最终配置结果为级别3及其以上级别具有进入VLAN模式的权限2.2用户授权为了使每个用户具有特定的权限，必须对用户进行授权。在Cisco交换机，授权的方法就是指定用户的特权级别。即设置用户属于某一个特权级别,使其具有相应特权级别的权限。缺省情况下，新建用户属于level 1特权级别。设置用户属于某个特权级别的方法：(在全局配置模式下)Switch(config)#username用户名privilege特权级别也可在创建用户时一次完成创建和设置的全过程：(在全局配置模式下)Switch(config)#username用户名privilege特权级别password用户密码另外必须注意：每个用户只能属于某一个特权级别，不能同时属于两个或两个以上级别。3. 结论在完成了交换机特权级别的多级权限配置、建立交换机的本地用户、对用户进行授权等工作后，每个用户就具有了使用、配置交换机的相应权限。特权级别本地用户相应用户权限用户授权多级权限配置4. 配置实例下面是一个配置脚本实例。(执行脚本前，应清空running-config)配置用户user属于11级特权级别，具有进行VLAN配置的权限。交换机密码：jeming. 交换机主机名：Switch. 交换机Telnet登录密码:12345.交换机IP:10.10.10.1 Subnet Mask: 255.255.255.0!！filename: Sample for VLAN.txt!请首先进入交换机en特权模式,然后执行本配置脚本!注意: 请根据实际情况修改文中黑体带下划线的部分!进入配置模式configure terminal!设置交换机enable密码enable secretjeming!设置交换机主机名hostnameSwitch!设置交换机IP地址interface vlan 1ip address10.10.10.1 255.255.255.0no shutdownexit!设置Telnet登录密码line vty 0 15password12345loginexit!新建用户user,无密码,赋予level11特权级usernameuserprivilege 11 nopass!配置权限（可建立VLAN，可进行基于端口的VLAN划分）privilege EXEC level 11 vlan databaseprivilege EXEC level 11 configure terminalprivilege configure level 11 interfaceprivilege interface level 11 switchport mode accessprivilege interface level 11 switchport access vlanprivilege interface level 11 no shutdown!退出配置模式exit!保存配置信息write!重启动交换机reload! 结束 !5. 应用案例5.1 网络实验室常州信息职业技术学院计算机系网络实验室，共有学生实验用计算机84台，分成14组，每组6台，各配备Cisco 2950交换机一台。组与组之间通过机房的主交换机连接，并可连接到校园网。每组构成独立的交换式以太网段，可供学生配置交换机和划分VLAN等实验。对划分VLAN实验，可以使用上例中的配置脚本(Sample for VLAN.txt),使学生(用户user11)既有配置VLAN的权限，又不会更改交换机的其他配置。实验室管理员只要保管好交换机密码，就能保证交换机的安全使用。如要进行其他实验，只要编写一个相应的授权脚本，重新刷新一下交换机的配置，就能方便的实现。 该方法在教学实践中起到了很好的效果！5.2企业网某企业网中使用了各层次的交换机，网络中心使用1台核心交换机，各楼宇使用了多台汇聚层交换机。这些主要交换机的管理和配置工作归属网络中心的网络管理员，任何的修改都需要网络中心处理。该企业的技术中心处在一幢大楼内，内部计算机较多，部门的计算机应用类型有一定的独立性。部门交换机的配置以往都依赖网络中心的网络管理员，这样就势必带来以下问题：一是网络中心的负担过重，二是无法保证及时响应。目前按上述方法，给技术中心授予一定的权限，在授权范围内，技术中心可自己进行相关的配置。6. 结束语6.1 在windows/unix/linux/netware等操作系统中，存在一个对象用户组，对其都可以实施组策略，或者说对用户组赋予不同的权限，如目录访问权限、配置管理权限、运行程序权限等。隶属于某个组的用户就拥有该组的权限。在Cisco交换机中，特权级别可类似看作是上述的用户组，也能分别赋予不同的权限。通过下表的对比，可帮助我们更好地理解Cisco交换用户权限管理，但要注意他们的不同点。Cisco IOSWindows备注1enableadministrator管理员2特权级别本地组3多级权限配置本地组策略不同点：Cisco IOS的特权级别是高级别继承低级别的权限。每个用户只能属于某一个特权级别。Windows的组策略中权限是独立存在的。用户可隶属于不同的组。4本地用户本地用户有用户名和密码5对用户授权用户隶属于本地组6.2 如果不采用建立本地用户的方法来进行权限管理，也可采用指定行（line）登录的特权级别来限定对交换机的操作。方法是：在对特权级别进行了多级权限配置后，直接配置行登录的特权级别。1Switch(config)#linevty 0 4指定vty2Switch(config)#loginPassword 验证密码,即连接console或vty的密码3Switch(config)#privilege level 11设置进入的特权级别为7。在上表中，配置了使用5个终端访问行（0至4