CISCO CLI Erişim Yetkisi
Büyük şirketlerde IT departmanı içerisinde birden fazla bölüm bulunmaktadır. Bütün bölümlerde çalışanların ağ cihazlarına aynı seviyede erişim yetkisine sahip olması gerekmemektedir. Cisco IOS yazılımında 2 farklı method ile erişim kısıtlaması yapılmaktadır. (Privilege Level ve Role-Based CLI)
Cisco IOS’e sahip cihazda iki farklı erişim kontrol seviyesi vardır;
- User EXEC Mode (Privilege Level 1) : En düşük erişim yetkisine sahip seviyedir. Kullanıcı sadece user level komutları çalıştırabilir enable mode’a geçemez. (Router>prompt)
- Privileged EXEC Mode (Privilege Level 15) : Cihazda full erişim yetkisine sahiptir enable-level komutları çalıştırabilir.
Toplamda 16 farklı erişim seviyesi vardır. En yüksek erişim seviyesi 15’dir. Düşük erişim seviyelerinde kullanıcıların çalıştırabildiği bütün komutlar üst seviyelerde de çalışmaktadır. Global configuration mode’da (config)# kullanıcılar için erişim seviyesi tanımı yapılabilmektedir.
Level 0 : Önceden tanımlanmış user-level erişim seviyesidir. Nadiren kullanılır. Beş komut çalıştırmaktadır bunlar; disable, enable, exit, help ve logout.
Level 1 : Kullanıcı herhangi bir degişiklik yapamaz veya running-config’e erişemez sadece prompt açabilir. (Router>)
Level 2-14 : Erişim izinleri kullanılabilen komutlar özel olarak ayarlanıp ilgili seviyeye atanabilir.
Level 15 : Kullanıcı full erişim yetkisine sahiptir enable moda geçebilir, konfigürasyonda degişiklik yapabilir, running-config’i görebilir vb.
Level 2 ile Level 14 arası özel olarak ayarlanabilmektedir örnek olarak yeni bir erişim seviyesi oluşturalım.
SSH bağlantısı için kullanıcımızı oluşturup şifre atıyoruz ardından level 3 olarak bir yetki seviyesi oluşturup telnet ve ping erişimi veriyoruz bu erişim yetkisine sahip kullanıcı telnet ping atabilecektir fakat config moda erişemeyecektir. Aşağıdaki ekran alıntısında gördüğünüz gibi sistem conf t komutunu invalid input olarak görmektedir