【×××系列九】PPTP 拨号用户名引发的路由器权限问题及思考

【×××系列九】PPTP 拨号用户名引发的路由器权限问题及思考

今天做pptp测试，开头比较顺利，之后开始进行最终用户测试，出现故障

看图：

 

 

 

接着就开始找问题，看配置：

server#show run Building configuration...   Current configuration : 1668 bytes ! ! Last configuration change at 17:09:46 UTC Wed May 16 2012 upgrade fpd auto version 15.1 service timestamps debug datetime msec service timestamps log datetime msec no service password-encryption ! hostname server ! boot-start-marker boot-end-marker ! enable secret 5 $1$I9G8$C3lOYoEc6oxVnwzSEu.Iu1 ! aaa new-model ! aaa authentication login login local aaa authentication ppp default local ! aaa session-id common ! ip source-route ip cef ! no ip domain lookup no ipv6 cef ! multilink bundle-name authenticated vpdn enable ! vpdn-group 1  ! Default PPTP VPDN group  accept-dialin   protocol pptp   virtual-template 1  l2tp tunnel timeout no-session 15 ! crypto pki token default removal timeout 0 ! username pptp password 0 123456 ! redundancy ! interface Loopback0  ip address 172.18.100.1 255.255.255.0 ! interface FastEthernet0/0  ip address 172.18.10.1 255.255.255.0  duplex auto  speed auto ! interface FastEthernet0/1  no ip address  shutdown  duplex auto  speed auto ! interface Virtual-Template1  ip unnumbered FastEthernet0/0  peer default ip address pool pptp.pool  ppp authentication chap pap ! ip local pool pptp.pool 172.18.10.100 172.18.10.200 ip forward-protocol nd  ip http server no ip http secure-server ! ip route 0.0.0.0 0.0.0.0 172.18.10.2 ! control-plane ! mgcp profile default ! gatekeeper  shutdown ! line con 0  exec-timeout 0 0  logging synchronous  login authentication login  stopbits 1 line aux 0  login authentication login  stopbits 1 line vty 0 4  login authentication login  transport input all ! end

 

创建新用户与密码，还是不行。时间一分一秒的过去，半小时了，期间又重做了一次配置，问题依旧，google了，发现错误代码691可能是权限不够，而不仅仅是表面上的用户名密码错误，行，那就配个15级用户，试试先。

username sos privilege 15 secret A123SO

接着进行***拨号，激动人心的时刻到来了

看结果：

server#show vpdn

%No active L2TP tunnels

PPTP Tunnel and Session Information Total tunnels 1 sessions 1

LocID Remote Name     State    Remote Address  Port  Sessions VPDN Group
12710                 estabd   172.18.101.3    61202 1        1

LocID RemID TunID Intf    Username      State   Last Chg Uniq ID
56753 2777  12710 Vi2.1   sos         estabd  00:00:26 10

client



 

 

不过麻烦也来了，一个15级的用户能干的事情太多了，几乎是想干啥就能干啥了。可是难道一定得配置15级的吗？当然不是，其实只要配置用户的时候把命令修改为：

username sos privilege 1 password a123ver

也就是加上特权级别关键字就可以了，如果是这样创建的用户：

username sos  password a123ver

那么肯定是要报691错误的。（pptp这个用户名，不管你赋予1级还是15级权限，都会报691错误，所以还是绝对不要用这个名字）

其实思科对于特权的管理划分1——15级，可以使用思科ACS或者IOS中的命令进行管理，比如以下命令：

privilege exec level ping

将ping命令分配给级别5，这样user账号（1级）就不能再使用ping命令了。

这样的话，我们把telnet、ssh等远程访问命令加入级别6，同时创建级别1的pptp拨号账户，那么我们就不用担心创建的pptp拨号账户会恶意登陆路由器。这是一个既简单又有效的方法。

 

转载于:https://blog.51cto.com/ciscoskys/865291