Cisco IOS 的登錄密碼以及權(quán)限分配設(shè)置.docx

CiscoIOS的登錄密碼以及權(quán)限分配設(shè)置關(guān)于Cisco IOS 的登錄密碼以及權(quán)限分配設(shè)置enable password xxxx 初級(jí)密碼，用于驗(yàn)證從用戶(hù)模式到特權(quán)模式的驗(yàn)證enable secret xxxxx MD5加密密碼 用法同上enabl password level xx 指定密碼作用于哪個(gè)級(jí)別enable secret level xx 作用同上R2(config)#enable password ?0 Specifies an UNENCRYPTED password will follow7 Specifies a HIDDEN password will followLINE The UNENCRYPTED (cleartext) enable passwordlevel Set exec level passwordR2(config)#enable secret ?0 Specifies an UNENCRYPTED password will follow5 Specifies an ENCRYPTED secret will followLINE The UNENCRYPTED (cleartext) enable secretlevel Set exec level password注意這里：0 5 7 的 含義不同。0 為不加密，5 為MD5 。7 為Cisco自有加密算法（不牢靠，容易被破解）service password-encryption 是使用7的加密方法加密存儲(chǔ)在本地的所有密碼。Cisco官方不推薦使用這個(gè)方法。簡(jiǎn)單密碼驗(yàn)證：console 驗(yàn)證配置：line console 0password xxxxendVty 驗(yàn)證：line vty 0 4password xxxxend帶用戶(hù)名的密碼驗(yàn)證：username xxxx secret xxxline console 0login localendline vty 0 4login localend分級(jí)的權(quán)限驗(yàn)證：我只想讓Level 7 的用戶(hù)在特權(quán)模式下：clear counters 和reload配置如下：privilege exec level 7 clear countersprivilege exec level 7 reloadenable secret level 7 xxxx或者privilege exec level 7 clear countersprivilege exec level 7 reloadusername xxx privilege 7 secret xxxx這種模式下：要登錄必須這樣：R1loginusername:xxxpassword:xxx個(gè)人比較喜歡的一套分級(jí)權(quán)限的完整配置：privilege exec level 7 clear countersprivilege exec level 7 reloadusername xxx privilege 7 secret xxxxusername xxx privilege 15 secret xxx (管理員登錄)line console 0login localline vty 0 4login local對(duì)于，show run 來(lái)說(shuō)，如果Level 7 的用戶(hù)被授權(quán)能夠show run但是其他的仍未被授權(quán)的話(huà)，查看的show run 將是如下樣子：R1#show runCurrent configuration : 53 bytes!boot-start-markerboot-end-marker!end其原因是因?yàn)槲唇oLevel 7 的用戶(hù)授權(quán) Global Configuration 權(quán)利現(xiàn)在我授權(quán)如下：privilege Configure leve 7 interface然后再Level 7 下，show run 可以看見(jiàn)如下：R1#show runCurrent configuration : 237 bytes!boot-start-markerboot-end-marker!interface Ethernet0/0!interface Ethernet0/1!interface Ethernet0/2!interface Ethernet0/3!interface Serial1/0!interface Serial1/1!end注意這里，這里可以看見(jiàn)接口了。所以說(shuō)對(duì)于show run 來(lái)說(shuō),必須先授權(quán)才能查看相應(yīng)內(nèi)容順便解釋下 關(guān)于enable secret password的問(wèn)題：R1(config)#enable secret ?0 Specifies an UNENCRYPTED password will follow5 Specifies an ENCRYPTED secret will followLINE The UNENCRYPTED (cleartext) enable secretlevel Set exec level password這里，很多人都不知道 0 5 的區(qū)別?；蛘哒`認(rèn)為0 是不加密密碼，5 則是加密密碼。其實(shí)對(duì)于Secret 選項(xiàng)來(lái)說(shuō)，密碼肯定是會(huì)被加密的。假設(shè)我要設(shè)置的密碼為cisco而這里的0 是指：我現(xiàn)在即將輸入的密碼是原始密碼，是：cisco而如果是5 的話(huà)：就是輸入cisco 的MD5值：$1$XNRo$8FSa/XSF9DbmF6VbK6L6K.樓主，你好，我也比較糾結(jié)于你說(shuō)的這個(gè)問(wèn)題，經(jīng)過(guò)我的驗(yàn)證，得出一部分結(jié)論如下：enable password這種方式是明文的。enable secret是采用了MD5加密的。service password-encryption這個(gè)加密的方式是采用了cisco的私有加密方式來(lái)加密的。所以我在設(shè)置了vty、console、和AUX口密碼的時(shí)候，開(kāi)啟service password-encryption，然后你在show run一看，這些接口的password后面都跟有一個(gè)數(shù)字7，這個(gè)數(shù)字7就表示是采用了cisco的私有加密算法，是可以逆轉(zhuǎn)的，當(dāng)然，我們?cè)诼酚善魃厦嬖偾萌耄簄o service password-encryption這條命令后，是不可能直接解密的，是通過(guò)其他辦法解密的。至于你說(shuō)的enable password 7，你可以在路由器下面輸入這個(gè)命令：enable password？后面會(huì)出現(xiàn)如下：0 Specifies an UNENCRYPTED password will follow7 Specifies a HIDDEN password will followLINE The UNENCRYPTED (cleartext) enable passwordlevelSet exec level password輸入：enable secret ?,出現(xiàn)：0 Specifies an UNENCRYPTED password will follow5 Specifies an ENCRYPTED secret will followLINE The UNENCRYPTED (cleartext) enable secretlevelSet exec level password這里可以這樣理解：0 、5、7的意思是：0為不加密，5為使用MD5加密，7為使用cisco的私有算法加密。enable password 0 后面可以直接跟加密的內(nèi)容，這個(gè)命令和enable password 一樣。enable password 7后面必須要跟你加密的密碼經(jīng)過(guò)思科私有算法出來(lái)那個(gè)數(shù)值。比如，你想把這個(gè)密碼設(shè)置成cisco，那么，你得必須先使用思科的私有算法算出cisco是多少,這里cisco使用思科的算法是060506324F41,即：enable password 060506324