|
◆ Cisco IOS - 特権レベル
Cisco IOSではデフォルトで次の3つの特権レベルが存在します。なお、本ページで解説する設定は一般的に
企業ネットワークに適用するコンフィグ設定ではありません。特権レベルの制御はAAAサーバ側で実装させ
ローカルユーザとして username 〜 privilege 15 secret 〜 だけを保持させておくという形が一般的です。
| 特権レベル |
説明 |
| privilege level 0 |
disable、enable、exit、help、logout などの基本コマンドが含まれた特権レベル
|
| privilege level 1 |
ユーザモードのデフォルトレベル。ユーザEXEC。プロンプトは「 router> 」
|
| privilege level 15 |
イネーブルモードの特権レベル。イネーブルEXEC。プロンプトは「 router# 」
|
コンソールやVTY(telnet/SSH)接続したログインユーザは、デフォルトで特権レベル 0 と 1 に属します。
そして、enableパスワード or enable secretパスワードを使用して認証を受けたユーザには特権レベル 15 が
付与されます。デフォルトでは特権レベル 2 〜 14 は使用されませんが、例えばpriviledgeレベル 15に属する
コマンドの特権レベルを引下げたり、privilegeレベル1に属するコマンドの特権レベルを引上げることも可能。
特権レベルが引上げられたり、引き下げられたりしたコマンドは以前の特権レベルでは発行できなくなります。
特権レベルの確認は show privilege で分かります。これらの特権設定はAAAサーバ(TACACS+/RADIUS)や
Ciscoルータのローカルで行えます。Ciscoルータでローカルユーザに特権レベルを割り当てる設定は以下です。
◆ ローカルのログインユーザの特権設定
(config)# username name [ privilege level ] secret password
◆ ユーザ(test01)には特権レベル10を付与して、ユーザ(test02)には特権レベル15を付与する設定
Cisco(config) # username test01 privilege 10 secret test01
Cisco(config) # username test02 privilege 15 secret test02
|
◆ ログイン時にローカルユーザ/ローカルパスワードを使用するための設定( line vtyやlocal console 0にlocal loginが必要
)
Cisco(config) # line vty 0 15
Cisco(config-line) # local login
|
◆ 特権レベルの設定変更
ネットワーク管理者は、どの特権レベルにどのコマンドが属させるのかを厳密に定義することができます。
◆ 特権レベルの設定変更
(config)# privilege mode level level command
| 特権レベル |
説明 |
| mode |
modeには、グローバルコンフィグモードの場合は configure、EXECモードの場合は exec、
インターフェースコンフィグモードの場合は interface、ラインコンフィグモードの場合は line
をそれぞれ入力する。
|
| level |
0 〜 15の範囲で特権レベルを指定。
|
| command |
アクセス制限をしたいコマンドを指定。
|
◆ 権限レベルをイネーブルにするためのパスワードを指定
(config)# enable password level level password
コマンドをある特権レベルに設定すると、そのコマンドのサブセットであるコマンドは全てそのレベルに設定
されます。 例えば show ip traffic コマンドをレベル15に設定すると、showコマンドとshow ipコマンドは、
それぞれを個別に別のレベルに設定しないかぎり、show ip traffiicの指定によりこれらを含めて全て自動的に
レベル 15 に設定されます。つまり、特権レベル1〜14のユーザは show ip traffic だけでなく show コマンド
の全てが入力できないようになります。
◆ configure コマンドを権限レベル10にし、レベル10のコマンドを使用する場合にユーザが入力するパスワードはCisco55と設定
Cisco(config) # privilege exec level 10 configure
Cisco(config) # enable password level 10 Cisco55
|
指定した権限レベルでパスワードを入力したい場合は、enableコマンドの後に特権レベルを指定します。
◆ Line ログイン時のデフォルトの権限レベルの変更
仮想端末回線(Line)にログインすると、デフォルトでは、特権レベル1のユーザEXECモードに移行しますが
このデフォルト値(特権レベル 1)は変更することができます。設定例では、line vty 0 15 にログインする
全てのユーザが、ログイン後デフォルトでイネーブルEXECモード(特権レベル15)のステータスとなります。
つまり、ログイン後 enable と入力しなくても特権モードであるので、検証環境では重宝する設定と言えます。
Cisco(config) # line vty 0 15
Cisco(config-line) # privilege level 15
|
|