Назначение определенного уровня привелегий для конкретного пользователя позволяет гибко настроить уровни доступа эксплуатации коммутатора для персонала с разным уровнем специализации, начиная от одной разрешенной команды для просмотра, например, состояния портов, до полного управления. В коммутаторах SNR есть 3 глобальных режима управления: - exec mode - по умолчанию соответствует уровням 1-14 и может быть гибко настроен в правах.
- enable mode - соответствует уровню 15 и является привилегированным режимом.
- config mode - режим конфигурирования, по умолчанию недоступен для уровней ниже 15-ого. В свою очередь config mode содержит в себе подрежимы, которые также можно настроить.
Уровень привилегий локальному пользователю назначается в конфигурации коммутатора командой "username <username> privilege <X>". Всего можно настроить 15 уровней privilege. Каждый вышестоящий уровень наследует права предыдущего, что упрощает настройку и уменьшает количество команд, необходимых для конфигурирования уровней. Представить это можно при помощи диаграммы ниже:
Info |
---|
Здесь сконфигурированы privilege level 2,6,10. - Уровень 1 не имеет прав.
- Уровни 3-5 унаследуют все права, сконфигурированные для уровня 2.
- Уровни 7-9 унаследуют права, сконфигурированные для уровня 2 и 6.
- Уровни 11-14 унаследуют права, сконфигурированные для уровня 2,6 и 10.
|
Сменить уровень привилегий можно командой "enable <X>" где X - интересующий уровень. Вернуться в привилегированный режим позволяет команда "enable".
Перед настройкой уровней привилегий сначала нужно ограничть права для всех уровней, кроме привилегированного.
Code Block |
---|
title | В режиме глобальной конфигурации: |
---|
| (config)#privilege exec level 15 all
(config)#privilege config level 15 all |
Tip |
---|
После ввода данных команд в режимах exec и config останутся доступны только глобальные команды "enable, exit, end, help". Поскольку переход в привилегированный режим доступен всегда, следует установить на него пароль. Code Block |
---|
(config)#enable password level 15 <0,7> <password> |
|
Далее нужно ввести команды, разрешающие использовать определенные команды в режимах exec или config. Так как оператор "no" недоступен глобально, то следует каждую разрешенную команду, которую можно отменить, продублировать с оператором "no" (если это необходимо). В режиме глобальной конфигурации: Code Block |
---|
(config)#privilege <mode> level <X> <command>
(config)#privilege <mode> level <X> no <command> |
Note |
---|
Для команд, использующих параметр, нужно использовать оператор, указывающий на этот параметр - IFNAME, LINE. Если в команде присутствует числовое значение, то необходимо указать любое, в доступных пределах этой команды, и тогда будут доступны все значения для ввода. |
По умолчанию для каждого подрежима доступны все команды и, если есть необходимость, их можно также ограничить: Code Block |
---|
privilege <sub-mode> level 15 all
privilege <sub-mode> level <X> <command> |
Для примера настроим 2 уровня привилегий, соответствующих оператору технической поддержки (oper) и инженеру технической поддержки (supp). Подразумевается, что для более квалифицированного персонала не потребуется ограничение в правах. Оператору для диагностики будет разрешенно смотреть uptime, конигурацию интерфейсов, некоторые таблицы и статусы интерфейсов, делать кабельную диагностику. В режиме конфигурирования только отключать/включать порт. Инженеру дополнительно будет разрешено просматривать конфигурацию коммутатора, настраивать скорость портов и давать описание интерфейсам, конфигурировать vlan и перезагружать коммутатор.
Code Block |
---|
config
username oper privilege 5 password 0 operator
username supp privilege 9 password 0 engineer
enable password level 15 0 secret
privilege exec level 15 all
privilege config level 15 all
privilege vlan level 15 all
privilege interface-ether level 15 all
privilege exec level 5 configure
privilege config level 5 interface ethernet IFNAME
privilege interface-ether level 5 shutdown
privilege interface-ether level 5 no shutdown
privilege exec level 5 show version
privilege exec level 5 show running-config interface ethernet IFNAME
privilege exec level 5 show ip dhcp snooping binding all
privilege exec level 5 show mac-address-table interface ethernet IFNAME
privilege exec level 5 show mac-address-table vlan 1
privilege exec level 5 show interface ethernet IFNAME
privilege exec level 5 show interface ethernet status
privilege exec level 5 show interface ethernet counter rate
privilege exec level 5 show interface ethernet counter packet
privilege exec level 5 virtual-cable-test interface ethernet IFNAME
privilege exec level 9 reload
privilege config level 9 vlan 1
privilege interface-ether level 9 switchport mode access
privilege interface-ether level 9 switchport access vlan 1
privilege interface-ether level 9 switchport mode trunk
privilege interface-ether level 9 switchport trunk allowed vlan add 1
privilege interface-ether level 9 switchport trunk allowed vlan remove 1
privilege interface-ether level 9 switchport trunk native vlan 1
privilege interface-ether level 9 speed-duplex force10-full
privilege interface-ether level 9 speed-duplex force10-half
privilege interface-ether level 9 speed-duplex force100-full
privilege interface-ether level 9 speed-duplex force100-fx
privilege interface-ether level 9 speed-duplex force100-half
privilege interface-ether level 9 speed-duplex force1g-full
privilege interface-ether level 9 speed-duplex force1g-half
privilege interface-ether level 9 description LINE
privilege interface-ether level 9 no description |
Info |
---|
| Приятной особеностью особенностью настройки прав является то, что невозможно будет использовать команду "switchport trunk allowed vlan" без оператора add, что не позволит допустить одну из самых распространённых ошибок, из-за которой можно потерять управление коммутатором. |
|