La mayoría de ustedes probablemente han encontrado que cuando configuramos diferentes niveles de privilegio para los usuarios en Cisco IOS, el usuario menos privilegiado sólo puede mostrar una versión vacía de la configuración en ejecución.

Bueno de hecho esto es algo que le pasa a muchos administradores de red, teniendo entonces que encontrar una solución alternativa como permitir el comando show startup-config. Este es un comportamiento muy newbie porque el comando startup como todos sabemos, solo muestra la configuración que será cargada en el arranque, y puede ser muy diferente de la que está corriendo. Podemos tener una startup-config base que permita al dispositivo cargar la configuración final desde un servidor central.

De todas formas si quieres hacer las cosas como se deben hacer, aquí tienes la solución a este comportamiento de IOS.

Supongamos que tenemos la siguiente configuración básica de AAA:

aaa new-modelaaa authentication login conauthen localaaa authorization
consoleaaa authorization exec conauthor local

Con las líneas de consola configuradas:

line con 0 authorization exec conauthor login authentication conauthen

Y el siguiente privilegio limitado:

privilege exec level 3 show privilegeprivilege exec level 3 show
interfacesprivilege exec level 3 show

Y un par de usuarios en ese privilegio:

username cisco privilege 15 password 0 ciscousername test privilege 7
password 0 test

Desde aquí, si iniciamos sesión como usuario test, sólo podremos ejecutar los comandos especificados, pero la configuración en ejecución estará vacía:

R2

Si queremos que este usuario limitado pueda leer toda la running-config tenemos que poner las subopciones al mismo nivel con el siguiente comando:

privilege exec all level 3 show running-config

Ahora podemos ver la configuración:

show running-config view full

Resultado:

R2-1

Salud,