⽹络设备密码、⽤户级别AAA授权的管理
⼀.进⼊ 特权模式 密码过期药品属于什么垃圾分类
设置访问⽹络设备特权模式⼝令
cisco>enable
cisco#config terminal
cisco(config)#enable password 密码
enable password存在的问题是它将⼝令以可阅读⽂本的形式储存在 running-config和startup-config中
特别说明:
Router(config)#enable password ?
7 Specifies a HIDDEN password will follow
LINE The UNENCRYPTED (cleartext) 'enable' password
蒸鸡肉
level Set exec level password
7
是思科⾃有的加密协议type7,⽐较简单,容易破解,这⾥的⽤法是 enable password 7 ……
后⾯是加⼊密⽂才有效。这个密⽂通常要在以前备份的配置⾥拷贝才⾏,⽤于配置恢复时使⽤。
⽐如你设置enable password cisco
然后使⽤rvice password-encryption命令开启加密
在show running-config⾥⾯能够看到enable password 7 104D000A0618
104D000A0618这个值你就可以直接写在enable password 7后⾯,实际就是cisco密⽂加密的结果
LINE
直接输⼊密码,不加密,明⽂显⽰
level (后⾯讲)
北京大学地空学院
设置⽤户级别密码 指定密码作⽤于哪个级别(实际操作中会将密码加密保存)
共15个等级 最低为1 最⾼为15(相当于root权限)
进⼊对应的级别输⼊ 相应的密码
最新情侣网名如:Router>enable 5 (此时应输⼊5级密码)
在⽹络设备中,默认情况下,除了使能加密⼝令外,其它所有⼝令都以明⽂格式储存在startup-config 和 running-config中。使⽤rvice password-encryption 命令后,所有系统⼝令都将以加密形式存储。效益性
加密系统所有⼝令
cisco(config)# rvice password-encryption
加密的⽅式是cisco私有加密⽅式
取消系统⼝令加密
cisco(config)# no rvice password-encryption
取消加密不会将已加密的⼝令恢复为可阅读⽂本,但是新设置的密码将会以明⽂存在
⼆.使能密码
思科引⼊新的⼝令控制特权模式访问,即加密⼝令,使能密码
设置访问⽹络设备特权模式加密⼝令
cisco>enable
cisco#config terminal
cisco(config)#enable cret 密码
采⽤了MD5加密,如果配置了加密⼝令,则不在使⽤未加密⼝令,两种⼝令不能并列使⽤
特别说明:
Router(config)#enable cret ?
0 Specifies an UNENCRYPTED password will follow
5 Specifies an ENCRYPTED cret will follow
LINE The UNENCRYPTED (cleartext) 'enable' cret
level Set exec level password
其实对于Secret 选项来说,密码肯定是会被加密的。
假设我要设置的密码为cisco
0 是指:我现在即将输⼊的密码是原始密码,是:cisco
5 是指:就是输⼊cisco 的MD5值:$1$XNRo$8FSa/XSF9DbmF6VbK6L6K
level : 设置⽤户级别密码 指定密码作⽤于哪个级别
三.控制台登录密码
配置console 访问密码
cisco>enable
cisco# config terminal
cisco(config)# line console 0 切换为控制台0号 线路配置模式
cisco(config)# password 密码 设置密码
cisco(config)# login 将控制台线路设置为登陆需要输⼊⼝令 才能访问(否则即使设置密码也不需要输⼊)四.辅助线路
配置vty访问密码
cisco>enable
cisco#config terminal
cisco(config)#line aux 0 对aux0号 线路进⾏配置
cisco(config)#password 密码 设置密码
cisco(config)#login 将控制台线路设置为登陆需要输⼊⼝令 才能访问(否则即使设置密码也不需要输⼊)五.虚拟终端线路(vty 同步)(tty异步) telnet ssh
配置vty访问密码
cisco>enable
cisco#config terminal
cisco(config)#line vty 0 15 对vty0到15号 线路进⾏配置(最⼤允许16个⼈同时登陆,VTY线路的编号)
cisco(config)#password 密码 设置密码
cisco(config)#login 将控制台线路设置为登陆需要输⼊⼝令 才能访问(否则即使设置密码也不需要输⼊)
特别说明:
Router(config-line)#login ?
authentication authenticate using aaa method list
local Local password checking
authentication 配置Telnet⼝登录进⾏AAA认证(后⾯讲)
local 如果设置 local 则指明使⽤本地数据库进⾏⾝份验证,将要输⼊ ⽤户名 和 密码
⾸先必须要⽤urname xxx password xxx命令
来创建你的⽤户并且给你的⽤户设置密码
特别说明,在默认情况下,除了password cret外,所有cisco密码都以明⽂形式,存贮在路由器的配置,这些密码通过 show running-config命令来查看。这是⾮常不安全的⾏为。
为提⾼密码安全性,可进⾏如下配置。
1.设置最短密码长度
cisco IOS 12.3 以后的版本,可以利⽤命令
curity passwords min-length 长度
设置0~16位的最短字符长度,启⽤后,ur passwords、enable cret、line passwords、都会遵循此设置
2.禁⽤⽆⽤连接
在线路配置模式下,使⽤
Router(config-line)#exec-timeout 时间
该命令来控制管理接⼝连接时间,
3.加密配置⽂件中的所有密码
加密系统所有⼝令
cisco(config)# rvice password-encryption
加密的⽅式是cisco私有加密⽅式,是⼀种可逆的加密,建议使⽤与enable 不同的密码
取消系统⼝令加密
cisco(config)# no rvice password-encryption
取消加密不会将已加密的⼝令恢复为可阅读⽂本,但是新设置的密码将会以明⽂存在
4.使⽤本地数据库中的⽤户和密码执⾏登陆验证,有两种配置⽅式
Router(config)# urname ⽤户名 passwords 密码
Router(config)# urname ⽤户名 cret 密码 (⽤md5加密,安全性更⾼)
然后在线路配置中,启⽤本地登陆验证
Router(config-line)#login local
5.其它的登陆安全措施
R1(config)#login block-for 60 attempts 3 within 30
惩罚者2战争特区//30s内连续登录失败3次后,等待60s(进⼊安静期)后才能再次登录
R1(config)#login quiet-mode access-class 10
//安静期内ACL10指定的计算机仍可以远程访问本路由器
R1(config)#login delay 2 //登录成功后有2s延迟,即2s后才能再次登录
R1(config)#login on-failure log //登录失败会在⽇志中记录
R1(config)#login on-success log //登录成功会在⽇志中记录
R1(config)#curity authentication failure rate 5 log
//连续登录失败5次后,默认等待15s后才能再次登录,并会产⽣⽇志,IOS12.3(1)
验证配置可以使⽤ show login
6.设置标语
配置旗标消息:
R1(config)#banner motd @ @ //每⽇报告旗标(MOTD Message-of-the-day banner) 连接时
R1(config)#banner login@ @ //登录旗标 登录前
R1(config)#banner exec @ @ //EXEC旗标 登陆后
R1(config)#banner incoming@ @ //传⼊旗标
在与反向Telnet线路连接的终端上显⽰,该旗标有助于向⽤户提供指令;
R1(config)#banner slip-ppp@ @ //SLIP-PPP旗标
常⽤于兼容⾮Cisco系列线路Internet协议(如:SLIP和PPP拨号软件连接中),如果使⽤默
认旗标,会导致连接问题。
⽤户级别控制:
Cisco IOS提供从0到15的16个优先权等级:
①默认情况下IOS有3个预定义的⽤户等级,分别为:
优先权等级0:包括disable、enable、exit、help和logout命令;
优先权等级1:Ur EXEC mode,即⽤户模式(R1>)的所有⽤户级命令;
优先权等级15:Privileged EXEC mode(启⽤模式),包括R1#提⽰的所有启动级命令。
②2⾄14等级⽤于⽤户⾃定义的模式;
cisco(config)# enable cret level 级别 密码
设置从⽤户模式进⼊各级别 特权模式的密码
R1(config)# urname ur3 privilege 5 cret 密码
创建优先权等级5的ur3⽤户
③ R1(config)# privilege mode level 级别 命令
命令可以更改、移动或设置上述任⼀级别的命令优先权,
mode:是指路由器上的不同模式
cisco(config)#privilege ?
configure Global configuration mode
exec Exec mode
interface Interface configuration mode
line Line configuration mode
关雎的意思
router Router configuration mode战略人力资源管理
⽰例: R1(config)#privilege configure level 5 interface
//移动等级15的“interface”命令到等级5
R1(config)#privilege configure level 5 ping
//等级5及以上才可以使⽤ ping 命令
④“R1(config-line)#privilege level level 命令可以修改给定线路的优先权等级。
⽰例:R1(config)#line vty 3 4
R1(config-line)#privilege level 1 //修改VTY线路3-4的默认优先权等级为1
使⽤ show privilege 命令显⽰当前级别
AAA认证:
⼀、简介
AAA是Authentication(认证)Authorization授权 Account记帐的简称;
它们不是必须的也不是要同时⼀起使⽤的;
他们可以使⽤路由器设备本地数据库,也可以使⽤外部数据库(ACS);
⾸先我们要认证,即通过密码验证;我们就算没有设置其实也⽤到了认证,就是登陆路由器要输⼊的密码,
这个叫enable,
我们在配置了,urname abc password aaa
urname abc cret password
使⽤这个帐号的话,叫local;
这⼆种是本地的数据库。
如果要⽤到认证服务器,如 tacacs+ radius 就属于group 服务器组⽅式了,这时你必须要在tacacs+ radius中选⼀个,同时还最多可选三个其它的认证⽅式;当然如果你对你的服务器和⽹络环境有信⼼的话可以不选。
⼆、配置教程
1、使⽤它们都是三个步骤
1、建⽴帐户数据库(本地或认证服务器);
2、定义列表;
3、应⽤到接⼝和链路;
2、⾸先我们要启⽤AAA功能
Router(config)# aaa new-model
3、⼀般来说第⼆步定义⼀个本地数据库防⽌配置失误造成⽆法登陆
Router(config)# Urname abc password aaa
4、定义认证配置
认证相当于在问你是谁,你要回答我是哪个;但不可能不停的在问就算不烦嗓⼦也疼啊,只有在进门时我会问下你是谁,开保险柜时我在问下你是谁,或者是检查指纹测试瞳孔什么的等等;所以我们要对动作进⾏认证定义。
Router(config)#aaa authentication ⾏为 列表名 认证⽅法
⾏为主要有以下三种:
aaa authentication login ――――――当有⼀个登陆⾏为时进⾏认证;
aaa authentication ppp ――――――对基于PPP协议的⼀些⽹络应⽤进⾏认证;
aaa authentication enable ――――――对使⽤enable命令进⼊特权模式时进⾏认证;
列表名是⾃⼰定义的,这样我们可以把各种认证⽅式互相组合保存成⼀个个列表,⽤的时候⽅便,修改起来也⽅便,我改了⼀个列表⾥的认证⽅式那么所有使⽤这个列表的地⽅都改了,不需要去⼀个个地⽅去改了。
Dedautl列表是⼀个系统⾃⼰建⽴的列表名作为缺省列表。它与我们⾃⼰建的列表没有任何区别,只不过他是系统建的⽽已。
3、认证⽅法,就是指我们是查⼝令呢还是看指纹还是其它等等,也就是把我们的回答和谁进⾏分析⽐较。主要有以
下⼏种:
关键字描述
enable使⽤enabel⼝令认证;
krb5使⽤Kerberos5来认证;
line使⽤线路⼝令来认证;
local使⽤本地⽤户数据库来认证;
none不认证;
group radius使⽤radius服务器来认证;
group tacacs+使⽤tacacs+服务器来认证;
local-ca 使⽤本地验证(对⼤⼩写敏感)
