Назначение определенного уровня привелегий для конкретного пользователя позволяет гибко настроить уровни доступа эксплуатации коммутатора для персонала с разным уровнем специализации, начиная от одной разрешенной команды для просмотра, например, состояния портов, до полного управления.
В коммутаторах SNR есть 3 глобальных режима управления:
- exec mode - по умолчанию соответствует уровням 1-14 и может быть гибко настроен в правах.
- enable mode - соответствует уровню 15 и является привилегированным режимом.
- config mode - режим конфигурирования, по умолчанию недоступен для уровней ниже 15-ого. В свою очередь config mode содержит в себе подрежимы, которые также можно настроить.
Уровень привилегий локальному пользователю назначается в конфигурации коммутатора командой "username <username> privilege <X>".
Всего можно настроить 15 уровней privilege. Каждый вышестоящий уровень наследует права предыдущего, что упрощает настройку и уменьшает количество команд, необходимых для конфигурирования уровней. Представить это можно при помощи диаграммы ниже:
Здесь сконфигурированы privilege level 2,6,10.
- Уровень 1 не имеет прав.
- Уровни 3-5 унаследуют все права, сконфигурированные для уровня 2.
- Уровни 7-9 унаследуют права, сконфигурированные для уровня 2 и 6.
- Уровни 11-14 унаследуют права, сконфигурированные для уровня 2,6 и 10.
Сменить уровень привилегий можно командой "enable <X>" где X - интересующий уровень. Вернуться в привилегированный режим позволяет команда "enable".
Перед настройкой уровней привилегий сначала нужно ограничть права для всех уровней, кроме привилегированного.
(config)#privilege exec level 15 all (config)#privilege config level 15 all
После ввода данных команд в режимах exec и config останутся доступны только глобальные команды "enable, exit, end, help". Поскольку переход в привилегированный режим доступен всегда, следует установить на него пароль.
(config)#enable password level 15 <0,7> <password>
Далее нужно ввести команды, разрешающие использовать определенные команды в режимах exec или config. Так как оператор "no" недоступен глобально, то следует каждую разрешенную команду, которую можно отменить, продублировать с оператором "no" (если это необходимо).
В режиме глобальной конфигурации:
(config)#privilege <mode> level <X> <command> (config)#privilege <mode> level <X> no <command>
Для команд, использующих параметр, нужно использовать оператор, указывающий на этот параметр - IFNAME, LINE. Если в команде присутствует числовое значение, то необходимо указать любое, в доступных пределах этой команды, и тогда будут доступны все значения для ввода.
По умолчанию для каждого подрежима доступны все команды и, если есть необходимость, их можно также ограничить:
privilege <sub-mode> level 15 all privilege <sub-mode> level <X> <command>
Для примера настроим 2 уровня привилегий, соответствующих оператору технической поддержки (oper) и инженеру технической поддержки (supp). Подразумевается, что для более квалифицированного персонала не потребуется ограничение в правах.
Оператору для диагностики будет разрешенно смотреть uptime, конигурацию интерфейсов, некоторые таблицы и статусы интерфейсов, делать кабельную диагностику. В режиме конфигурирования только отключать/включать порт.
Инженеру дополнительно будет разрешено просматривать конфигурацию коммутатора, настраивать скорость портов и давать описание интерфейсам, конфигурировать vlan и перезагружать коммутатор.
config username oper privilege 5 password 0 operator username supp privilege 9 password 0 engineer enable password level 15 0 secret privilege exec level 15 all privilege config level 15 all privilege vlan level 15 all privilege interface-ether level 15 all privilege exec level 5 configure privilege config level 5 interface ethernet IFNAME privilege interface-ether level 5 shutdown privilege interface-ether level 5 no shutdown privilege exec level 5 show version privilege exec level 5 show running-config interface ethernet IFNAME privilege exec level 5 show ip dhcp snooping binding all privilege exec level 5 show mac-address-table interface ethernet IFNAME privilege exec level 5 show mac-address-table vlan 1 privilege exec level 5 show interface ethernet IFNAME privilege exec level 5 show interface ethernet status privilege exec level 5 show interface ethernet counter rate privilege exec level 5 show interface ethernet counter packet privilege exec level 5 virtual-cable-test interface ethernet IFNAME privilege exec level 9 reload privilege config level 9 vlan 1 privilege interface-ether level 9 switchport mode access privilege interface-ether level 9 switchport access vlan 1 privilege interface-ether level 9 switchport mode trunk privilege interface-ether level 9 switchport trunk allowed vlan add 1 privilege interface-ether level 9 switchport trunk allowed vlan remove 1 privilege interface-ether level 9 switchport trunk native vlan 1 privilege interface-ether level 9 speed-duplex force10-full privilege interface-ether level 9 speed-duplex force10-half privilege interface-ether level 9 speed-duplex force100-full privilege interface-ether level 9 speed-duplex force100-fx privilege interface-ether level 9 speed-duplex force100-half privilege interface-ether level 9 speed-duplex force1g-full privilege interface-ether level 9 speed-duplex force1g-half privilege interface-ether level 9 description LINE privilege interface-ether level 9 no description