1. 概述:
在中小規(guī)模的網(wǎng)絡(luò)中,網(wǎng)絡(luò)中心的網(wǎng)絡(luò)管理員往往需要對(duì)一個(gè)遠(yuǎn)程站點(diǎn)的管理員進(jìn)行一定程度的授權(quán),而不想讓站點(diǎn)管理員使用所有的路由器特權(quán)口令,本文就以上問(wèn)題做一個(gè)簡(jiǎn)單的分析和討論.   www.net130.com     

2. 路由器本地驗(yàn)證和授權(quán)
cisco路由器支持集中的AAA(驗(yàn)證/授權(quán)/記帳)功能,但是需要部署一臺(tái)cisco ACS(訪問(wèn)控制服務(wù)器),如果網(wǎng)絡(luò)設(shè)備數(shù)量不多,就可以利用cisco路由器的本地驗(yàn)證和授權(quán)的功能來(lái)實(shí)現(xiàn)驗(yàn)證和授權(quán),而且不需要部署cisco ACS.以下是一個(gè)實(shí)現(xiàn)對(duì)路由器r1的telnet訪問(wèn)的本地驗(yàn)證和授權(quán)的例子:

(1)為telnet用戶設(shè)置一個(gè)帳號(hào)和口令(aaa用戶的級(jí)別為1最低級(jí)別):
hostname r1
username aaa password cisco

(2)設(shè)置一個(gè)級(jí)別為2的特權(quán)口令(缺省為15,具有所有權(quán)限)
enable secret level 2 CISCO

(3)為級(jí)別是2的特權(quán)用戶授權(quán)(只允許執(zhí)行router和network命令)
privilege exec level 2 configure terminal
允許執(zhí)行特權(quán)命令config t
privilege configure level 2 router
允許執(zhí)行全局命令: router <protocol>
privilege router level 2 network
允許執(zhí)行路由進(jìn)程命令: network

(4)指定對(duì)路由器r1進(jìn)行telnet訪問(wèn)的驗(yàn)證方法(使用本地用戶數(shù)據(jù)庫(kù)驗(yàn)證)
line vty 0 4
login local

(5)結(jié)果
當(dāng)對(duì)r1進(jìn)行telnet訪問(wèn)時(shí),首先會(huì)提示輸入username和password,這時(shí)用戶aaa是用戶模式(1級(jí)用戶),只能執(zhí)行很少的命令集(用戶模式命令集).
使用enbale 2命令并且輸入正確的口令后,可以有權(quán)限執(zhí)行config t,router和network命令,但是其他命令不能執(zhí)行,本地驗(yàn)證和授權(quán)成功.

文章錄入：csh    責(zé)任編輯：csh 

最新評(píng)論