正常情况下,设置一个其他等级的账户,需要为对应的等级设置相应允许的命令:
1>先创建3个用户
SW1#sh run | in username username admin password 0 admin username ilay privilege 15 password 0 ilay username ilay2 privilege 13 password 0 ilay
2> 如果想要privilege 13的账户能正常使用的话,需要为对应的等级配置相应的命令:
SW1# show run | in privi
privilege interface level 13 spanning-tree privilege interface level 13 shutdown privilege interface level 13 switchport mode privilege interface level 13 switchport access vlan privilege interface level 13 switchport access privilege interface level 13 switchport host privilege interface level 13 switchport privilege configure level 13 interface privilege exec level 13 copy running-config startup-config privilege exec level 13 copy running-config privilege exec level 13 copy privilege exec level 13 write memory privilege exec level 13 write privilege exec level 13 configure terminal privilege exec level 13 configure privilege exec level 13 show running-config privilege exec level 13 show SW1#
需要注意的一点是:如果设置了多个level,高级别的会自然的拥有低级别命令的权限,例如我又创建了一个名为ilay3的14级账户,允许设置配置路由协议的命令,如果ilay3登录之后也会自然的能够执行privilege13的命令。
说一下登录进去前导符的问题,有的是>有的是#这个可能和IOS版本有关系,我用15.x的做测试,登录之后直接就是#,可以考虑升级玩玩。不升级也有一个办法,默认情况下vty限制的等级是1,如果你想登录进去就是#可以直接在vty下将默认的privilege设置到另一个级别即可,这样登录进去之后默认就是level10 (以我的配置举例)
sw1# sh run all | s line line vty 0 4 privilege level 1 login local !//删掉了部分输出,老版本的设备应该不支持show run all,这里仅仅是看下默认配置中的privilege level 1 SW1(config)#line vty 0 4 SW1(config-line)#privilege l SW1(config-line)#privilege level ? <0-15> Default privilege level for line SW1(config-line)#privilege level 10
最后补充一点:
不同level之间是可以切换的,比如从level10升级及到level 13,需要输入enable 13即可,输入enable不加level的话吗默认是进入15级。此外,如果需要实现不通等级的切换,需要为相应的level设置一个enable密码(见下面配置)
sw1(config)#enable password level 13 ilay13 % Converting to a secret. Please use "enable secret" in the future. sw1(config)#do sh run | in enable enable secret level 13 5 $1$oJBk$pZ6Drz0yIckU6LjN5HZNR0 //自动转换成了enable secret的形式 enable password ilay sw1(config)#
=== 二次补充 ===
要是感觉没有说明白的也可以参考一下https://www.cisco.com/c/en/us/td/docs/switches/lan/catalyst2960/software/release/15-0_2_se/configuration/guide/scg2960/swauthen.html?bookSearch=true#60096 "Configuring Multiple Privilege Levels"部分,看完之后找个机器测试一下,问题基本能搞定
能否禁用或者改名???
姑且按照这个先回答一下吧,
思科的交换机支持配置多种多样的登陆方式,使用radius/tacacs+,line password , local user 等等
你所说的默认admin,大概率是local user的这种形式,这种的可以直接在CLI中创建新的账户之后,通过 no username admin删掉原来的admin账户
例如:
先创建一个新的用户账户 "username ilay sec xxxx"(创建15级权限的使用 username ilay priv 15 sec xxxx"),然后确认新的用户能够登陆系统之后,再通过 "no username admin"删除旧的账户,改名的话也是类似创建新的再删除旧账户的动作。。
sw(config)#do sh run | in username username admin secret 5 $1$zGBP$YwtodnP/5/iv/2uVGSInJ1 //-- 创建新的账户ilay 和ilay2 sw(config)#username ilay sec ilay sw(config)#username ilay2 privi 15 sec ilay2 //创建15级的账号 sw(config)#do sh run | in user //检查用户创建情况,并通过其他的设备telnet/ssh登陆设备进行登陆测试 username admin secret 5 $1$zGBP$YwtodnP/5/iv/2uVGSInJ1 username ilay secret 5 $1$B8D2$oBZ0lBkzS7vVotgsyTpuW1 username ilay2 privilege 15 secret 5 $1$f4EF$lzNh2WYDyQNrAzSiCsqyG/ sw(config)# sw(config)#do sh users // show users 查看ilay账户已经可以通过vty登陆到系统了(创建账户之后一定要先验证能登陆系统之后再删除旧的账号) Line User Host(s) Idle Location * 0 con 0 idle 00:00:00 2 vty 0 ilay idle 00:00:10 10.1.1.2 Interface User Mode Idle Peer Address sw(config)#no username admin // 删除admin用户 sw(config)#do sh run | in username //删除之后admin账户已经不存在了 username ilay secret 5 $1$B8D2$oBZ0lBkzS7vVotgsyTpuW1 username ilay2 privilege 15 secret 5 $1$f4EF$lzNh2WYDyQNrAzSiCsqyG/ sw# copy running-config startup-config !
您好,
如果您的账户权限是level1的话,登陆到设备,需要输入enable。才能进入特权模式。
如果账户的等级是您配置的level13的话,登陆设备直接就进入了特权模式,无需输入enable(但是命令还是有限制,例如show run)。
默认情况下,Cisco 路由器具有三个级别的权限——零、用户和特权。
-零级访问只允许五个命令——logout, enable, disable, help, and exit.
-用户级别(级别 1)提供对路由器的非常有限的只读访问权限。
-特权级别(级别 15)提供对路由器的完全控制。
“level 15 is the level of access permitted by the enable password” ——所以,是的,默认输入enable将进入最高权限。
但是用level13的的账户,登陆设备后是一个>,无法进入conf
OA-2960>conf
Translating "conf"...domain server (255.255.255.255)
% Unknown command or computer name, or unable to find computer address
OA-2960>
OA-2960>
通常来说:> 应该是“用户执行模式”才对,该模式下无法conf,您可以show privilege看看目前的privilege是什么呢?方便的话,可以把配置提供一下,看是否存在配置的原因。
Router> | - User EXEC mode |
Router# | - Privileged EXEC mode |
Router(config)# | - Configuration mode (notice the # sign indicates this is accessible only at privileged EXEC mode) |
Router(config-if)# | - Interface level within configuration mode |
Router(config-router)# | - Routing engine level within configuration mode |
Router(config-line)# | - Line level (vty, tty, async) within configuration mode |
或者,如ilay说的,有的设备进入的是“>”模式,我遇到的设备,除了privilege level为1之外,登陆的也都是“#”模式。
另外,如果某些命令在对应模式下无法使用,可能是由于该命令被授予了更高的级别,例如:
privilege exec level 15 configure
这样表示enable给了15级的用户,那么在低于15级的用户登录后,都无法使用configure命令。
SW#conf t
^
% Invalid input detected at '^' marker.
正常情况下,设置一个其他等级的账户,需要为对应的等级设置相应允许的命令:
1>先创建3个用户
SW1#sh run | in username username admin password 0 admin username ilay privilege 15 password 0 ilay username ilay2 privilege 13 password 0 ilay
2> 如果想要privilege 13的账户能正常使用的话,需要为对应的等级配置相应的命令:
SW1# show run | in privi
privilege interface level 13 spanning-tree privilege interface level 13 shutdown privilege interface level 13 switchport mode privilege interface level 13 switchport access vlan privilege interface level 13 switchport access privilege interface level 13 switchport host privilege interface level 13 switchport privilege configure level 13 interface privilege exec level 13 copy running-config startup-config privilege exec level 13 copy running-config privilege exec level 13 copy privilege exec level 13 write memory privilege exec level 13 write privilege exec level 13 configure terminal privilege exec level 13 configure privilege exec level 13 show running-config privilege exec level 13 show SW1#
需要注意的一点是:如果设置了多个level,高级别的会自然的拥有低级别命令的权限,例如我又创建了一个名为ilay3的14级账户,允许设置配置路由协议的命令,如果ilay3登录之后也会自然的能够执行privilege13的命令。
说一下登录进去前导符的问题,有的是>有的是#这个可能和IOS版本有关系,我用15.x的做测试,登录之后直接就是#,可以考虑升级玩玩。不升级也有一个办法,默认情况下vty限制的等级是1,如果你想登录进去就是#可以直接在vty下将默认的privilege设置到另一个级别即可,这样登录进去之后默认就是level10 (以我的配置举例)
sw1# sh run all | s line line vty 0 4 privilege level 1 login local !//删掉了部分输出,老版本的设备应该不支持show run all,这里仅仅是看下默认配置中的privilege level 1 SW1(config)#line vty 0 4 SW1(config-line)#privilege l SW1(config-line)#privilege level ? <0-15> Default privilege level for line SW1(config-line)#privilege level 10
最后补充一点:
不同level之间是可以切换的,比如从level10升级及到level 13,需要输入enable 13即可,输入enable不加level的话吗默认是进入15级。此外,如果需要实现不通等级的切换,需要为相应的level设置一个enable密码(见下面配置)
sw1(config)#enable password level 13 ilay13 % Converting to a secret. Please use "enable secret" in the future. sw1(config)#do sh run | in enable enable secret level 13 5 $1$oJBk$pZ6Drz0yIckU6LjN5HZNR0 //自动转换成了enable secret的形式 enable password ilay sw1(config)#
=== 二次补充 ===
要是感觉没有说明白的也可以参考一下https://www.cisco.com/c/en/us/td/docs/switches/lan/catalyst2960/software/release/15-0_2_se/configuration/guide/scg2960/swauthen.html?bookSearch=true#60096 "Configuring Multiple Privilege Levels"部分,看完之后找个机器测试一下,问题基本能搞定