ทำความรู้จักกับ Privilege level บน Cisco IOS

 

          ในเวลาที่เพื่อน ๆ ทำการคอนฟิกเราเตอร์ หรือสวิตซ์ ของซิสโก้ ผมเชื่อว่าเพื่อน ๆ คงเคยเห็นคำสั่ง Privilege นี้ผ่านตามาบ้างใช่มั้ยครับ แต่ถ้าถามถึงวิธีการทำงานของมัน คงจะมีคนจำนวนไม่น้อยเลยทีเดียวที่ยังไม่ทราบถึงวิธีการทำงานของมัน ซึ่งถ้าใครอยากรู้หรือกำลังสงสัยอยู่เหมือนกันว่าไอ้ค่า Privilege ที่ว่านี้มันคืออะไร และทำงานยังไง ก็ลองติดตามบทความนี้ดูได้เลยครับ

          คำสั่ง Privilege ก็เป็นระดับที่ใช้สำหรับการกำหนดสิทธิในการเข้าใช้งานของแต่ละผู้ใช้ ว่าผู้ใช้ในแต่ละระดับนั้นสามารถที่จะใช้คำสั่งใดบนอุปกรณ์ได้บ้าง ซึ่งในการใช้งาน Cisco IOS Software โดยปกติจะมีโหมดในการทำงานอยู่สองระดับ คือ User Exec Mode กับ Privileged Exec Mode และสามารถที่จะกำหนดระดับการใช้งานของผู้ใช้ได้ถึง 16 ระดับ ตั้งแต่ระดับ 0 ซึ่งจะจำกัดการใช้งานไว้มากที่สุด จนถึงระดับ 15 ที่สามารถใช้งานได้ทุกอย่าง

โดย Default ระดับ Privilege level บนอุปกรณ์ Cisco IOS จะมีสิทธิการใช้งาน ดังนี้

• Privilege level 0 สามารถใช้คำสั่ง disable, enable, exit, help และ logout ได้ในโหมด User Exec Mode
• Privilege level 1 สามารถใช้งานได้ทุกคำสั่งใน User Exec Mode
• Privilege level 2-14 สามารถใช้งานคำสั่งในโหมด Privileged Exec Mode ได้ตามแต่ละระดับของสิทธิการใช้งาน เช่นระดับ Privilege level 8 ขึ้นไปสามารถที่จะใช้คำสั่ง configure เพื่อเข้าสู่โหมด Configure ได้ ส่วนระดับ Privilege level 2-7 นั้นสามารถใช้ได้เพียงคำสั่งที่ใช้สำหรับดูสถานะในการทำงานของอุปกรณ์ จะไม่สามารถใช้คำสั่ง Configure เพื่อเข้าสู่โหมด Configure ได้ และไม่สามารถใช้คำสั่ง show run เพื่อเรียกดูค่าคอนฟิกในปัจจุบันได้
• Privilege level 15 สามารถใช้งานได้ทุกคำสั่งในโหมด Privileged Exec Mode ได้ และสามารถเข้าสู่โหมด Configure เพื่อทำการคอนฟิกได้

ตัวอย่างคำสั่งใน Privilege level 0
Router>?
Exec commands:
  call     Voice call
  disable  Turn off privileged commands
  enable   Turn on privileged commands
  exit     Exit from the EXEC
  help     Description of the interactive help system
  logout   Exit from the EXEC

ตัวอย่างคำสั่งใน Privilege level 1
Router>?
Exec commands:
  access-enable    Create a temporary Access-List entry
  access-profile   Apply user-profile to interface
  call             Voice call
  clear            Reset functions
  connect          Open a terminal connection
  crypto           Encryption related commands.
  disable          Turn off privileged commands
  disconnect       Disconnect an existing network connection
  enable           Turn on privileged commands
  exit             Exit from the EXEC
  help             Description of the interactive help system
  lat              Open a lat connection
  lock             Lock the terminal
  login            Log in as a particular user
  logout           Exit from the EXEC
  modemui          Start a modem-like user interface
  mrinfo           Request neighbor and version information from a multicast router
  mstat            Show statistics after multiple multicast traceroutes
  mtrace           Trace reverse multicast path from destination to source
  name-connection  Name an existing network connection
--More—

ตัวอย่างคำสั่งใน Privilege level 2-7
Router#?
Exec commands:
  access-enable    Create a temporary Access-List entry
  access-profile   Apply user-profile to interface
  call             Voice call
  clear            Reset functions
  connect          Open a terminal connection
  crypto           Encryption related commands.
  disable          Turn off privileged commands
  disconnect       Disconnect an existing network connection
  enable           Turn on privileged commands
  exit             Exit from the EXEC
  help             Description of the interactive help system
  lat              Open a lat connection
  lock             Lock the terminal
  login            Log in as a particular user
  logout           Exit from the EXEC
  modemui          Start a modem-like user interface
  mrinfo           Request neighbor and version information from a multicast router
  mstat            Show statistics after multiple multicast traceroutes
  mtrace           Trace reverse multicast path from destination to source
  name-connection  Name an existing network connection
--More--

          และในการตั้งค่าการกำหนดระดับสิทธิการใช้งานให้กับแต่ละผู้ใช้สามารถทำได้ โดยการใช้คำสั่ง “username <name> privilege <0-15> password <password>”

ตัวอย่าง
Router(config)#username admin privilege 15 password ****

          แต่ในการใช้งานทั่วไป จะมีการตั้งค่า enable password (หรือ enable secret) เอาไว้ ซึ่งเมื่อผู้ใช้ ไม่ว่าจะมีสิทธิการใช้งานในระดับใด เมื่อทำการใส่ enable password ผ่านแล้ว ก็จะมีระดับ Privilege level เท่ากับ 15 ทันที ซึ่งจะทำให้ไม่สามารถกำหนดสิทธิในการใช้งานให้กับแต่ละผู้ใช้ได้

          ถ้าเพื่อน ๆ ต้องการที่จะกำหนดสิทธิการใช้งานให้กับผู้ใช้ตามแต่ละระดับนั้น ก็จะต้องใช้งาน AAA โมเดล ร่วมด้วย ซึ่งจะกล่าวถึงในบทความ ต่อไปครับ