privilege

3.5.5配置多个特权级别（1）

默认情况下，CiscoIOS系统有两个密码安全模式：UrEXEC（用户执行）模

式和PrivilegedEXEC（特权执行）模式。可以为每个模式配置16个（0～15）层次

的命令级别。数字越大，安全级别越高。通过配置多个密码，可以允许不同的用户

访问指定的命令。IOS系统默认只有两个级别，即级别1为用户模式（UrEXEC

Mode），级别15为特权模式（PrivilegedEXECMode）。不同级别所能使用的命令

可以自己定义。

例如，如果想要许多用户具有访问clearline命令，可以分配它为level2安全级

别，并向许多用户发布这个级别的密码；而如果想限制访问configure命令，可以为

它分配更高的安全级别，并向少数用户发布这个级别的密码。

本节包括的内容如下：

为一个命令设置特权级别。

为线路改变默认特权级别。

进入特权级别。

配置新的特权级别。

显示密码、访问级别和特权级别配置。

1．为一个命令设置特权级别

为一个命令设置特权级别的步骤如表3-13所示。

表3-13为一个命令设置特权级别的步骤

步

骤

命令用途说明

1

Switch(config)#privilegemode

levellevelcommand

设置密码所处的特权级

别

2

Switch(config)#enable

password

levellevel[encryption-type]

password

指定访问相应特权级别

的密码

2．为线路改变默认特权级别

为给定的一条线路或者一组线路改变默认特权级别的命令为

Switch(config-line)#privilegelevellevel，例如：

(config-line)#privilegelevel2

!--当前线路指定使用2级特权级别

3．进入特权级别

要进入特定的特权级别，可以使用Switch#enablelevel命令，如：

#enable10!--进入自定义的第10级特权级别

4．退出特权级别

要退出当前所处的特定特权级别，可以使用Switch#disablelevel命令，

例如：

#disable10!--退出当前所处的第10级特权级别

5．配置新的特权级别

在CiscoIOS12.0(22)Sand12.2(13)T版本以前，在特权级别中的每个命令必须

分别用一个privilege命令来指定；而在CiscoIOS12.0(22)Sand12.2(13)T及以后版

本中，可以使用all这个掩码（wildcard）选项，以允许以一个privilege命令来配置

访问多个命令。通过使用这个新的all关键字，可以为一个特权级别指定以相同字符

开始的多个命令，关键字允许访问所有以指定命令字符开始的所有命令和子命令。

例如，如果要创建一个特权级别允许用户访问所有以rvice-modulet1开始的

命令（如rvice-modulet1linecode或者rvice-modulet1clocksource），则可以使

用privilegeinterfacealllevel2rvice-modulet1命令来定性指定，而不用对其所包括

的两个命令分别指定。

使用以下基本步骤可以创建新的CLI特权级别，并且指定在该级别下可以使用

的相应命令。

（1）Switch>enablepassword

（2）Switch#configureterminal

（3）Switch（config）#enablecretlevellevelpassword

（4）Switch（config）#privilegeexeclevellevelcommand

（5）Switch（config）#privilegeexecalllevellevelcommand-string

（6）Switch（config）#end

3.5.5配置多个特权级别（2）

下面是详细的配置步骤和示例。

（1）Switch>enablepassword：进入特权模式，在提示时输入特权使能密码。

例如：

>enable

（2）Switch#configureterminal：进入全局配置模式。例如：

#configureterminal

（3）Switch(config）#enablecretlevellevelpassword：为新的特权级别配置新

的使能加密密码。例如：

(config)#enablecretlevel

7Zy72sKj!--为特权级别7配置加密密码为Zy72sKj

（4）Switch(config)#privilegeexeclevellevelcommand-string：改变指定命令的

特权级别。例如：

(config)#privilegeexeclevel7clear

counters!--把clearcounters命令的特权级别从15改为7

（5）Switch(config)#privilegeexecalllevellevelcommand-string：改变一组以指

定字符开头的命令的特权级别。例如：

(config)#privilegeexecalllevel

7reload!--把所有reload命令的特权级别从15改为7

（6）Switch(config)#end：退出全局配置模式。例如：

(config)#end

6．显示密码、访问级别和特权级别配置

要显示详细的密码信息，则可按表3-14所示的步骤进行。

表3-14显示详细密码信息的步骤

步

骤

命令用途说明

1

Switch#show

running-config

显示密码和访问级

别配置

2

Switch#showprivilege

显示特权级别配置

下面是一个显示如何查看密码属性配置的示例。

#showrunning-config

ngconfiguration...

3.

tconfiguration:

5.!

n12.0

etimestampsdebugdatetimelocaltime

etimestampslogdatetimelocaltime

icepassword-encryption

10.!

meSwitch

12.!

stemflashsup-bootflash

passwordlab

15.!

16.<...outputtruncated...>

下面是一个显示如何显示特权级别配置的示例。

#showprivilege

tprivilegelevelis15

#