【VPN系列九】PPTP 用户拨号引发的路由器权限问题及处理方法

创建新用户与密码，还是不行。时间一分一秒的过去，半小时了，期间又重做了一次配置，问题依旧，google了，发现错误代码691可能是权限不够，而不仅仅是表面上的用户名密码错误，行，那就配个15级用户，试试先。
username sos privilege 15 secret A123SO
接着进行vpn拨号，激动人心的时刻到来了
看结果：
server#show vpdn
%No active L2TP tunnels
PPTP Tunnel and Session Information Total tunnels 1 sessions 1
LocID Remote Name State Remote Address Port Sessions VPDN Group
12710 estabd 172.18.101.3 61202 1 1
LocID RemID TunID Intf Username State Last Chg Uniq ID
56753 2777 12710 Vi2.1 sos estabd 00:00:26 10
client

不过麻烦也来了，一个15级的用户能干的事情太多了，几乎是想干啥就能干啥了。可是难道一定得配置15级的吗？当然不是，其实只要配置用户的时候把命令修改为：username sos privilege 1 password a123ver
也就是加上特权级别关键字就可以了，如果是这样创建的用户：
username sos password a123ver
那么肯定是要报691错误的。
其实思科对于特权的管理划分1——15级，可以使用思科ACS或者IOS中的命令进行管理，比如以下命令：
privilege exec level ping
将ping命令分配给级别5，这样user账号（1级）就不能再使用ping命令了。
这样的话，我们把telnet、ssh等远程访问命令加入级别6，同时创建级别1的pptp拨号账户，那么我们就不用担心创建的pptp拨号账户会恶意登陆路由器。这是一个既简单又有效的方法。