為什麼我在登錄 Cisco ASA 5510 時從權限級別 1 開始？

我創建了一個在配置中設置為權限 15的****測試使用者：

username test password **************** encrypted privilege 15

當我登錄 ASA 5510 時，根據sh curpriv我處於特權 1中：

login as: test
test@192.168.1.253's password:
Type help or '?' for a list of available commands.
asa> sh curpriv
Username : test
Current privilege level : 1
Current Mode/s : P_UNPR

即使我知道我有正確的啟用密碼，嘗試啟用也會失敗：

asa> en
Password: *************************
Password: *************************
Password: *************************
Access denied.

從非特權登錄使我獲得特權 15，我可以隨意執行以下操作：

asa> login
Username : test
Pasword: *************************
asa> sh curpriv
Current privilege level : 15
Current Mode/s : P_PRIV
asa> 

我唯一能追踪到的就是我所做的配置更改，我刪除了一個我們不再需要的 VPN 使用者。

為什麼我在登錄 Cisco ASA 5510 時從權限級別 1 開始？

截至 2011 年 11 月 28 日，接受的答案雖然在某些情況下是正確的，但在其他情況下並不准確。

ASA 使用與傳統 IOS 路由器略有不同的模型，這也是一些混亂所在。第二個是是否aaa authentication enable console LOCAL配置。

場景 1 - 未配置啟用身份驗證

相關 ASA 配置

enable password enablepass1
aaa authentication ssh console LOCAL
username user1 password pass1 privilege 15

結果

login as: user1
user1@ASA's password: pass1
ASA> enable
Password: enablepass1
ASA#

如果未配置啟用身份驗證，則具有權限 15 的使用者在通過 進入特權執行模式時仍必須使用啟用密碼才能進入特權執行模式enable。

場景 2 - 啟用身份驗證未配置但使用 login

相關 ASA 配置

enable password enablepass1
aaa authentication ssh console LOCAL
username user1 password pass1 privilege 15

結果

login as: user1
user1@ASA's password: pass1
ASA> login
Username: user1
Password: pass1
ASA#

如果未配置啟用身份驗證，則具有權限 15 的使用者可以使用該login命令進入特權執行模式，而無需知道或使用啟用密碼。

場景 3 - 啟用已配置的身份驗證

相關 ASA 配置

enable password enablepass1
aaa authentication ssh console LOCAL
aaa authentication enable console LOCAL
username user1 password pass1 privilege 15

結果

login as: user1
user1@ASA's password: pass1
ASA> enable
Password: enablepass1
Password: pass1
ASA#

如果配置了啟用身份驗證，則具有特權 15 的使用者可以使用login或enable訪問特權 exec 模式。如果使用enable，所需的密碼將是使用者密碼，而不是啟用密碼。

引用自：https://serverfault.com/questions/330758