下载

0下载券

加入VIP
  • 专属下载特权
  • 现金文档折扣购买
  • VIP免费专区
  • 千万文档免费下载

上传资料

关闭

关闭

关闭

封号提示

内容

首页 Cisco交换机的权限管理-论文

Cisco交换机的权限管理-论文.doc

Cisco交换机的权限管理-论文

最后的残念爱你
2019-01-17 0人阅读 举报 0 0 0 暂无简介

简介:本文档为《Cisco交换机的权限管理-论文doc》,可适用于IT/计算机领域

Cisco交换机的权限管理摘要:本文以Cisco交换机为例从实际应用出发介绍了对交换机进行用户权限管理的实现方法,同时给出了一个实际配置实例最后简要介绍了用户权限管理的应用案例。关键词:交换机权限管理特权级别多级权限配置用户授权前言对于新交换机或要完全重新设置的交换机一般要进行初始化也称快速配置(ExpressSetup)。初始化时通常配置一些主要参数。如:主机名、交换机密码、IP地址、子网掩码、默认网关、Console登录密码、Telnet登录密码等。出于管理和安全考虑交换机密码是至关重要的以后进行交换机的管理和配置都要依赖此密码应妥善保管。如果泄露交换机密码将带来许多安全隐患:交换机配置可能会被更改甚至交换机密码也会被更改。但是在某些情况下又不得不公开密码。比如:在学校中给学生做交换机配置实验课时。在学校或企业的网络中各部门需求对交换机配置进行调整、更改时。由此而来就提出了这样一个问题:如何进行交换机的权限管理。即在不需要交换机密码的情况下交换机合法用户在他的授权范围内可以对交换机进行管理和配置。基本术语超级用户enable在Cisco交换机中内置了一个超级权限用户enable(简称en),拥有对交换机的完全的访问权限。其特点类似windowsnetware中的administrator用户unixlinux中的root用户,具有管理交换机中的全部权限。对交换机的配置总是从enable开始而以后的交换机管理也要依赖于enable。所以应首先设置好enable安全密码并妥善保管。设置enable密码的方法:(在全局配置模式下)Switch(config)#enablesecret密码 enable的密码就是交换机的密码也是下面要介绍的特权级别的密码。即:enable的密码=交换机的密码=特权级别的密码特权级别(privilegelevel)在Cisco交换机中内建了级特权级别,权限等级的范围是从到每个级别可单独配置其口令级别拥有最高级别的权限提供对交换机完全的访问权限而级别能使用的命令和配置非常有限。在级别中数字越大权限越高权限高的级别继承低权限级别的所有权限。级别级的提示符号为:> 级别的提示符号为:#设置特权级别密码的方法:(在全局配置模式下)Switch(config)#enablesecretlevel特权级别特权级别密码 用户Cisco交换机允许建立本地用户即创建本地用户名和密码。默认情况下交换机内没有本地用户。建立的用户信息可以本地存储在交换机的数据库中也可以远程存储在一个特定的安全服务器上。创建用户名和密码的方法:(在全局设置模式下)Switch(config)#username用户名password用户密码 或Switch(config)#username用户名secret用户密码 权限管理实现方法多级权限配置特权级别级可执行所有命令而缺省情况下级仅能执行一些只读性质的Exec命令并且他们的的权限是一样的而级的权限更小。可以对Cisco交换机的特权级别进行多级权限配置即赋予不同级别以不同的权限和功能使其只允许使用某些给定的命令。通过多级权限配置可以根据管理要求授予相关的人员、相应的工作以相应的权限。配置的方法:(在全局配置模式下)Switch(config)#privilege模式level特权级别命令关键字 举例:Switch(config)#Privilegeconfigurelevelntp配置特权级别允许在在全局配置模式下使用ntp命令。Switch(config)#PrivilegeexeclevelVLANdatabase配置特权级别允许创建新的VLAN命令。Switch(config)#privilegeinterfacelevelswitchportaccessvlan配置特权级别允许使用把某端口划归某VLAN的命令   另外必须注意Cisco交换机规定高级别将继承低级别的所有权限。如果某条命令进行了多次权限配置后一次配置将覆盖前一次的配置结果最终保留的为最后一次的配置情况。如:StepSwitch#PrivilegeexeclevelVLANdatabaseStepSwitch#PrivilegeexeclevelvlandatabaseStepSwitch#Privilegeexeclevelvlandatabase  最终配置结果为级别及其以上级别具有进入VLAN模式的权限用户授权为了使每个用户具有特定的权限必须对用户进行授权。在Cisco交换机授权的方法就是指定用户的特权级别。即设置用户属于某一个特权级别,使其具有相应特权级别的权限。缺省情况下新建用户属于level特权级别。设置用户属于某个特权级别的方法:(在全局配置模式下)Switch(config)#username用户名privilege特权级别 也可在创建用户时一次完成创建和设置的全过程:(在全局配置模式下)Switch(config)#username用户名privilege特权级别password用户密码 另外必须注意:每个用户只能属于某一个特权级别不能同时属于两个或两个以上级别。结论在完成了交换机特权级别的多级权限配置、建立交换机的本地用户、对用户进行授权等工作后每个用户就具有了使用、配置交换机的相应权限。配置实例下面是一个配置脚本实例。(执行脚本前应清空runningconfig)配置用户user属于级特权级别具有进行VLAN配置的权限。交换机密码:jeming交换机主机名:Switch交换机Telnet登录密码:交换机IP:  SubnetMask:!!!filename:SampleforVLANtxt!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!请首先进入交换机en特权模式,然后执行本配置脚本!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!注意:请根据实际情况修改文中黑体带下划线的部分!!!!进入配置模式configureterminal!设置交换机enable密码enablesecretjeming!设置交换机主机名hostnameSwitch!设置交换机IP地址interfacevlanipaddressnoshutdownexit!设置Telnet登录密码linevtypasswordloginexit!新建用户user,无密码,赋予level特权级usernameuserprivilegenopass!配置权限(可建立VLAN可进行基于端口的VLAN划分)privilegeEXEClevelvlandatabaseprivilegeEXEClevelconfigureterminalprivilegeconfigurelevelinterfaceprivilegeinterfacelevelswitchportmodeaccessprivilegeinterfacelevelswitchportaccessvlanprivilegeinterfacelevelnoshutdown!退出配置模式exit!保存配置信息write!重启动交换机reload!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!结束!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!! 应用案例网络实验室常州信息职业技术学院计算机系网络实验室共有学生实验用计算机台分成组每组台各配备Cisco交换机一台。组与组之间通过机房的主交换机连接并可连接到校园网。每组构成独立的交换式以太网段可供学生配置交换机和划分VLAN等实验。对划分VLAN实验可以使用上例中的配置脚本(SampleforVLANtxt),使学生(用户user)既有配置VLAN的权限又不会更改交换机的其他配置。实验室管理员只要保管好交换机密码就能保证交换机的安全使用。如要进行其他实验只要编写一个相应的授权脚本重新刷新一下交换机的配置就能方便的实现。该方法在教学实践中起到了很好的效果!企业网某企业网中使用了各层次的交换机网络中心使用台核心交换机各楼宇使用了多台汇聚层交换机。这些主要交换机的管理和配置工作归属网络中心的网络管理员任何的修改都需要网络中心处理。该企业的技术中心处在一幢大楼内内部计算机较多部门的计算机应用类型有一定的独立性。部门交换机的配置以往都依赖网络中心的网络管理员这样就势必带来以下问题:一是网络中心的负担过重二是无法保证及时响应。目前按上述方法给技术中心授予一定的权限在授权范围内技术中心可自己进行相关的配置。结束语在windowsunixlinuxnetware等操作系统中存在一个对象用户组对其都可以实施组策略或者说对用户组赋予不同的权限如目录访问权限、配置管理权限、运行程序权限等。隶属于某个组的用户就拥有该组的权限。在Cisco交换机中特权级别可类似看作是上述的用户组也能分别赋予不同的权限。通过下表的对比可帮助我们更好地理解Cisco交换用户权限管理但要注意他们的不同点。 CiscoIOSWindows备注enableadministrator管理员特权级别本地组 多级权限配置本地组策略不同点:CiscoIOS的特权级别是高级别继承低级别的权限。每个用户只能属于某一个特权级别。Windows的组策略中权限是独立存在的。用户可隶属于不同的组。本地用户本地用户有用户名和密码对用户授权用户隶属于本地组     如果不采用建立本地用户的方法来进行权限管理也可采用指定行(line)登录的特权级别来限定对交换机的操作。方法是:在对特权级别进行了多级权限配置后直接配置行登录的特权级别。Switch(config)#linevty指定vtySwitch(config)#loginPassword验证密码,即连接console或vty的密码Switch(config)#privilegelevel设置进入的特权级别为。   在上表中配置了使用个终端访问行(至)登录的特权级别为级。从而限定了使用telnet进入的用户都为级。当然待进入后还可以转换为其他级别。如果不做上述配置而是在交换机的缺省状态下则不论从控制台(CON)还是从终端行(VTY)登录登录级别都为级。此种用户权限管理方法在Cisco交换机上验证通过。其实对于其他型号的Cisco交换机也可采用这一方法。Cisco路由器也能采用类似的方法进行管理。每个特权级别都可设置密码但此密码有何作用?尚不清楚!参考文献

用户评价(0)

关闭

新课改视野下建构高中语文教学实验成果报告(32KB)

抱歉,积分不足下载失败,请稍后再试!

提示

试读已结束,如需要继续阅读或者下载,敬请购买!

评分:

/10

VIP

在线
客服

免费
邮箱

爱问共享资料服务号

扫描关注领取更多福利