172.16.10
참고 : 2023.04.21 - [네트워크 수업] - Privilege Level.pdf 23.04.21
ASW1]
confi ter
line c 0
no privilege level 15
exit
enable secret ccna123
enable secret level 2 ccna2
enable secret level 3 ccna3
ASW1(config)#privilege exec level 2 show run
ASW1(config)#privilege exec level 3 confi ter
디스커터블이라고 어떤 명령어를 듣게 할거다라고 지정해주는것. 가령 level 2 (level2 에서 show run할수 있고 level3에서 config ter를 할수있다. 이런 명령어를 할 수 있다.)
숫자가 높을수록 권한이 쎄다.
> 는 1
결론 : 명령을 레벨별로 지정할 수 있다.
권한주기
(권한은 누구는 confi 만 가능하게하고 누구는 show run만 가능하게 하는것. )
ASW1(config)#privilege configure level 3 inter
ASW1(config)#privilege interface level 3 ip add
ASW1(config)#exit
ASW1#exit
ASW1>ena
Password: ccna123
ASW1>en 3
Password: ccna3
ena
ccan123
conf ter
username admin2 privilege 2 password ccna123 //이렇게하면 유저모드를 안거치고 privilege mode로 들어간다.
exit
exit
ena
ccna123
conf ter
line c 0
login local
exit
int vlan 10
ip add 192.168.10.11 255.255.255.0
//ASW1은 L2여서 접근할수 없다.
//그래서 SVI(vlan)을 만들어야만 telnet으로 접근할 수 있다.
confi ter
line vty 0 4
login local
[DSW1]
int f0/0
shut
no shut
Win7
secure srt - telnet - 192.268.10.11 - connect
하면 username과 password 가 나오는데
admin2 / ccna123 하면 유저모드(#)안거치고 바로 관리자모드(>)(privilege mode)로 가는것을 알수 있다.
DSW1]
confi ter
line vty 0 3
login local
exit
username admin5 privilege 5 password ccna123
ip domain-name kedu.edu
crypto key generate rsa //ssh설정해주는것
768
ip ssh version 2
line vty 0 4
transport input ssh
login local
exit
line consol 0
login local
exit
username admin password cisco
이제 타파스 설정을 할것임
Win2003
cmd - ping 192.168.50.100 가상게이트웨이에 핑 날려본다.
바탕화면에 ACS Admin열기
TACACS+ 는 인증을 해주는 서버이다.
현업에서 이걸 또 써먹진 않지만 인증서버 GUI가 이렇게 생겼다 라는것만 알기
Administration Control 탭에 들어가서 - admin(선생님이 미 만든계정)
비번 1111 - 최고관리자이기때문에 Grant All ( 모든권한 다주기) - submit
Network Configuration 탭에 들어가서
DSW1]
ping 192.168.50.103 ==>통신되는지 확인
DSW1(config)#aaa new-model
DSW1(config)#tacacs-server host 192.168.50.103 single-connection key 1111
DSW1(config)#aaa authentication login default group tacacs+ local //telnet, console 둘 다 접속할때 인증받는다.(사실 이렇게 하면안되고 밑에처럼 이름 지정해주고 해야한다.)
DSW1#test aaa group tacacs+ admin100 1111 legacy
권한(authorization)은 누구는 confi 만 가능하게하고 누구는 show run만 가능하게 하는것.
인증(authentication)은 아이디, 패스워드가 되어야하는것
DSW1(config)#no aaa authentication login default group tacacs+ local //이름 다시 지정해주고 하려고 지워주기
DSW1(config)#aaa authentication login VTY_ACC group tacacs+ local
DSW1(config)#line vty 0 4
DSW1(config-line)#login authentication VTY_ACC
DSW1(config-line)#username admin15 privilege 15 password cisco123
DSW1#confi ter
DSW1(config)#no aaa authentication login default group tacacs+ local
DSW1(config)#aaa authentication login VTY_ACC group tacacs+ local
DSW1(config)#line vty 0 4
DSW1(config-line)#login authentication VTY_ACC
DSW1(config-line)#username admin15 privilege 15 password cisco123
DSW1(config)#aaa authorization exec VTY_PRI group tacacs+ local
DSW1(config)#aaa authorization command 15 VTY_PRI group tacacs+ local
authentication은 인증. 암호대야해(인증)
authorization은 너가 쓸 명령어는 이거밖에 없어(권한)
DSW1(config)#line vty 0 4
DSW1(config-line)#authorization exec VTY_PRI
DSW1(config-line)#authorization commands 15 VTY_PRI // command를 받아와라.
저게 authorization (권한을줄거다)라는 뜻.
저 Command에 입력된거 제외하고 모든게 다 된다.
configure 명령어 빼고 다 동작한다.
tacacs+여서 ssh로 들어갈수있다. 아까 DSW1에서 명령어 crypto key generate rsa 가 ssh로 들어가게 설정해준것
monitor 1111
하고 conf t해보면 안되는거 알 수 있다.
감사 : log기록 보기 => account
DSW1]
DSW1(config-line)#aaa accounting exec ACC start-stop group tacacs+
DSW1(config)#aaa accounting commands 15 ACC start-stop group tacacs+
DSW1(config)#line vty 0 4
DSW1(config-line)#accounting exec ACC
DSW1(config-line)#accounting commands 15 ACC
'네트워크 수업' 카테고리의 다른 글
| 실제 장비랑 연결해보기 23.05.30 (0) | 2023.05.30 |
|---|---|
| 23.04.20 NFS (0) | 2023.04.20 |
| 메일서버 23.04.18 (0) | 2023.04.18 |
| 23.04.17 (0) | 2023.04.17 |
| 23.04.14 OSPF CCIE 코드 정리 (0) | 2023.04.14 |
댓글