? ? ? ?Cisco網絡設備對于訪問用戶的不同，可以像windows系統里的賬戶設置一樣，為了系統或設備的安全區別創建用戶。通過權限的分配以實施安全的設備管理，怎樣在Cisco路由設備里面控制相應用戶的訪問？那么我們就需要知道privilege&privilege view 如何配置了。

???????????? privilege這東西很簡單也很好玩的，接下來就來做個小實驗吧。

?

??????????????r1與r2之間網段設置為192.168.1.0/24，左邊為：192。168。1。1 ，右邊為192。168。1。2。

????????????? 咱先看下privilege的配置吧，需求：需要給chengxi用戶一個四級的密碼ccnp，只能使用configure terminal 其它命令不執行。

???????????? 命令：

???????????????????????username? chengxi privilege 4 password ccnp

??????????????????????? line vty 0 4

??????????????????????? login local???

?????????????????????????exit

???????????????????????? enable secret?level 4??ccnp

???????????????????????? privilege? exec level 4 configure terminal

測試（r2------>r1)：

?

??只能進入全局模式但不能執行任何動作：

?

那么privilege? 的測試成功了，屬于level 4的用戶只能使用configure terminal命令。

如果我們在本地轉換用戶級別的話如：enable password level 4 ccie

?

那就登錄進去就要先需要輸入使能密碼了，上面開始進入level 4的用戶直接enable 4 回車就進入特權模式了，因為他是從r2 telnet r1的，直接認證進入特權模式了。

如果我們要對用戶行為定位更精確的話，可以使用privilege view 來進行角色創建，多個privilege view 可以形成一個superview。。

??????????下面我們就來創建一個privilege view 為A ，用戶名與密碼依舊是chengxi與ccnp。vty 認證也一樣是本地數據庫認證。但是我們要創建privilege view A就先要開啟aaa new-model ，然后再回到EXEC模式下輸入:enable view

提示password: xxxx，輸入level 15級的密碼即可。

如：

?再進入全局模式里輸入parser view A.就進入了parser view A配置了，你可以設置登錄密碼，允許使用的命令或執行的動作。

??????? 那么我們現在要創建特權視圖A，允許在EXEC模式下執行configure terminal ，在接口模式下只能配置fa0/1。其它配置一律否定。

parser view A
?secret? rhce

commands interface include shutdown
?commands interface include ip address
?commands interface include ip
?commands interface include no shutdown
?commands interface include no ip address
?commands interface include no ip
?commands interface include no
?commands configure include interface
?commands exec include configure terminal
?commands exec include configure
?commands exec include show
?commands configure include interface FastEthernet0/1

配置好后我們現在就可以去測試了。

r2---->r1:

?

現在我們已經進入了view A里面了，密碼可不是level 15的密碼了啊，是view A里定義的那個rhce啊。進去了之后哦，

?

看到了吧，其它命令都不可檢測。呵呵。這就是我們“受制于人”的效果啊。另外我還在上一張圖里面給大家展示了一個小 case。就是alias別名的作用。看到了吧。我把telnet 192.168.1.1也就是r2 telnet r1的命令用一個r2tor1來代替了。。所以在exec里面只要輸入r2tor1就可以telnet上r1了。呵呵。這個好玩吧。

?

本文轉自 Bruce_F5 51CTO博客，原文鏈接:http://blog.51cto.com/zenfei/417274

總結

以上是生活随笔為你收集整理的cisco privilege权限的全部內容，希望文章能夠幫你解決所遇到的問題。

如果覺得生活随笔網站內容還不錯，歡迎將生活随笔推薦給好友。