Router(config)#privilege exec level 1 enable
Router(config)#privilege exec level 0 telnet

К данным командам действует некоторое исключение - их действие нельзя отменить при помощи стандартной команды no. Этот вариант здесь не проходит.

Router(config)#no privilege exec level 1 enable
Router(config)#no privilege exec level 0 telnet

Для отмены действия этих команд необходимо ввести следующие команды:

Router(config)#privilege exec reset enable
Router(config)#privilege exec reset telnet

Сейчас после регистрации пользователь cook по команде ? увидит следующее:

Router>?

Exec commands:

<1-99> Session number to resume

disable Turn off privileged commands

exit Exit from the EXEC

help Description of the interactive help system

logout Exit from the EXEC

telnet Open a telnet connection

Router>

Проделав все операции, получили пользователя с заранее заданными возможностями.

Существует такой тип пользователей, для которых необходимо зарегистрироваться на маршрутизаторе и выполнить одну единственную команду (например, show users). Для этого можно завести на маршрутизаторе пользователя с входом без пароля и с выполнением автокоманды.

Router(config)#username dream nopassword autocommand show users

После ввода имени пользователя dream на экран выдается информация о присутствующих в данный момент на маршрутизаторе пользователях.

Парольная защита.

В соответствии с имеющимися пользовательским и привилегированным уровнями доступа существует два вида паролей: username password и enable secret (или enable password). Оба типа этих паролей могут иметь длину до 25 символов, содержать в себе различные знаки препинания и пробелы.

Пароль типа username password устанавливается с соответствующим ему именем пользователя. Задается это в режиме конфигурации следующей командой (пользователь cook с паролем queen):

Router(config)#username cook password queen

При выводе конфигурации (при помощи команды show running-config) на экране мы увидим следующую информацию:

Username cook password 0 queen

Из этой строки видим, что пароль находится в "открытом виде", тип "0" означает "незашифрованный пароль". Если внимательно посмотреть самое начало конфигурации, то можно заметить следующую строку:

No service password-encryption

Это сервис шифрования видимой части пароля. По умолчанию он отключен. Правильным считается (для обеспечения безопасности - от простейшего подглядывания) включать этот сервис.

Router(config)#service password-encryption

Тогда строка конфигурации об имени и пароле пользователя будет иметь несколько другой вид, где мы уже не видим текст пароля в явном виде (тип "7" - зашифрованный пароль):

Username cook password 7 03154E0E0301

Для входа в privileg EXEC level (привилегированный уровень) пользователь должен ввести пароль. При выключенном сервисе шифрования пароля соответствующая строка в конфигурации будет иметь вид:

Enable password queen

При включенном же сервисе шифрования:

Enable password 7 071E34494B07

Следует отметить, что данный метод шифрования пароля достаточно тривиален, существуют скрипты, которые за секунду декодируют его обратно в нормально читаемое состояние. Поэтому одним из важных элементов безопасности является вещь, с одной стороны очень далекая от телекоммуникаций и маршрутизаторов - порядок на собственном рабочем месте. Чтобы не были легко доступными бумажки с записями пароля в открытом виде, а также распечаток конфигураций роутеров, пусть даже пароль и будет зашифрован.

Лучшая возможность имеется для шифрования пароля к привилегированному уровню - использование не enable password, а enable secret, в котором для кодирования пароля применяется алгоритм MD5 (тип "5"):