Программное обеспечение Cisco IOS и NX-OS : Программное обеспечение Cisco IOS версии 11.0

Пароли портов Telnet, портов консоли и вспомогательных портов на примере конфигурации маршрутизаторов Cisco

21 мая 2008 - Перевод, выполненный профессиональным переводчиком
Другие версии: PDF-версия:pdf | Машинный перевод (28 июля 2013) | Английский (13 июля 2012) | Отзыв

Содержание

Введение
Предварительные условия
      Требования
      Используемые компоненты
      Условные обозначения
Общие сведения
Настройка паролей на линии связи
      Процедура настройки
      Проверка конфигурации
      Поиск и устранение неисправностей при сбоях входа в систему
Настройка локальных паролей для отдельных пользователей
      Процедура настройки
      Проверка конфигурации
      Поиск и устранение неисправностей, связанных с паролем пользователя
Настройка AAA аутентификации для входа в систему
      Процедура настройки
      Проверка конфигурации
      Поиск и устранение неисправностей при сбое AAA
Связанные обсуждения сообщества поддержки Cisco
Дополнительные сведения

Введение

В этом документе приведены примеры конфигураций для настройки защиты паролем при входящих соединениях EXEC с маршрутизатором.

Предварительные условия

Требования

Чтобы выполнить задачи, описанные в данном документе, необходимо иметь привилегированный доступ EXEC к интерфейсу командной строки маршрутизатора (CLI). Для получения информации об использовании командной строки и общих сведений о командных режимах см. документ Использование программного обеспечения Cisco IOS.

Инструкции по подключению консоли к маршрутизатору можно найти в документации, поставляемой с маршрутизатором, или обратиться к интерактивной документации для нужного оборудования.

Используемые компоненты

Сведения, содержащиеся в данном документе, касаются следующего программного и аппаратного обеспечения:

  • Маршрутизатор Cisco 2509

  • Программное обеспечение Cisco IOS® версии 12.2(19)

Сведения, представленные в данном документе, были получены на тестовом оборудовании в специально созданных лабораторных условиях. При написании данного документа использовались только данные, полученные от устройств с конфигурацией по умолчанию. В рабочей сети необходимо понимать последствия выполнения всех команд.

Условные обозначения

Для получения дополнительной информации об условных обозначениях в документе обратитесь к статье Условные обозначения технических терминов Cisco.

Общие сведения

Использование защиты паролем для контроля и предупреждения доступа к интерфейсу командной строки (CLI) маршрутизатора является одним из фундаментальных элементов общей системы безопасности.

Защита маршрутизатора от неавторизованного удалённого доступа, обычно Telnet, является самым распространенным средством защиты, нуждающимся в настройке, однако, нельзя упускать из виду также защиту маршрутизатора от неавторизованного локального доступа.

Примечание: Защита паролем – это всего лишь одна из многих мер, которые необходимо предпринять для эффективной работы системы безопасности сети. Другими элементами, которые следует также учитывать при построении системы безопасности, являются брандмауэры, списки доступа и контроль физического доступа к оборудованию.

Доступ к командной строке или EXEC доступ к маршрутизатору может осуществляться разными способами, но во всех случаях входящее соединение с маршрутизатором осуществляется по каналу TTY. Как видно их следующего примера выходных данных команды show line, существует четыре основных типа каналов TTY:

2509#show line
   Tty Typ     Tx/Rx    A Modem  Roty AccO AccI   Uses   Noise  Overruns   Int
*    0 CTY              -    -      -    -    -      0       0     0/0       -
     1 TTY   9600/9600  -    -      -    -    -      0       0     0/0       -
     2 TTY   9600/9600  -    -      -    -    -      0       0     0/0       -
     3 TTY   9600/9600  -    -      -    -    -      0       0     0/0       -
     4 TTY   9600/9600  -    -      -    -    -      0       0     0/0       -
     5 TTY   9600/9600  -    -      -    -    -      0       0     0/0       -
     6 TTY   9600/9600  -    -      -    -    -      0       0     0/0       -
     7 TTY   9600/9600  -    -      -    -    -      0       0     0/0       -
     8 TTY   9600/9600  -    -      -    -    -      0       0     0/0       -
     9 AUX   9600/9600  -    -      -    -    -      0       0     0/0       -
    10 VTY              -    -      -    -    -      0       0     0/0       -
    11 VTY              -    -      -    -    -      0       0     0/0       -
    12 VTY              -    -      -    -    -      0       0     0/0       -
    13 VTY              -    -      -    -    -      0       0     0/0       -
    14 VTY              -    -      -    -    -      0       0     0/0       -

2509#

Тип канала CTY – это порт консоли. В конфигурации любого маршрутизатора он виден, как line con 0, а в выходных данных команды show line, как cty. Порт консоли в основном используется для доступа к локальным системам при помощи консольного терминала.

TTY линии – это асинхронные линии связи, используемые для входящих и исходящих модемных и оконечных соединений, отображающиеся в конфигурации маршрутизатора или сервера доступа как line x. Определенные количества линий – это функция оборудования, встроенная или программно установленная на маршрутизаторах или серверах доступа.

Линия AUX – это вспомогательный порт, отображаемый в конфигурации как line aux 0.

Линии VTY – это линии связи виртуального терминала маршрутизатора, используемые исключительно для управления входящими соединениями Telnet. Они виртуальны в том смысле, что являются функцией программного обеспечения – с ними не связано никакое оборудование. Такие линии отображаются в настройке как line vty 0 4.

Для каждого из этих типов линий связи может быть настроена защита паролем. Линии могут быть настроены на использование одинакового пароля для всех пользователей или отдельного пароля для каждого пользователя. Пароли пользователей могут быть настроены локально на маршрутизаторе, либо проверяться при аутентификации на сервере аутентификации.

Никаких запретов на установление разных типов защиты паролем на разных линиях не существует. Хотя широко распространена практика применения на маршрутизаторе одного пароля для консоли и отдельных для каждого пользователя паролей для других входящих соединений.

Ниже приведен пример выходных данных команды show running-config, выполненной на маршрутизаторе:

2509#show running-config
Building configuration...

Current configuration : 655 bytes
!
version 12.2
.
. 
. 

!--- Конфигурация изменена для краткости


line con 0
line 1 8
line aux 0
line vty 0 4
!
end

Настройка паролей на линии связи

Для того, чтобы задать пароль для линии, необходимо использовать в режиме настройки линии команду password. Чтобы включить проверку пароля при входе в систему, необходимо воспользоваться командой login в режиме настройки линии.

Примечание: Для поиска дополнительной информации о командах, использующихся в данном разделе используйте Command Lookup Tool (только для зарегистрированных пользователей).

Процедура настройки

В следующем примере пароль настроен для всех пользователей, пытающихся воспользоваться консолью.

  1. Из привилегированного приглашения EXEC (или "enable") необходимо войти в режим настройки, а затем переключиться на режим настройки линии при помощи следующих команд. Обратите внимание, что приглашение изменяется в зависимости от текущего режима.

    router#configure terminal
    Enter configuration commands, one per line.  End with CNTL/Z.
    router(config)#line con 0
    router(config-line)#
  2. Затем необходимо настроить пароль и включить проверку пароля при входе в систему.

    router(config-line)#password letmein
    router(config-line)#login
    
  3. Далее необходимо выйти из режима настройки.

    router(config-line)#end
    router#
    %SYS-5-CONFIG_I: Configured from console by console

    Примечание: Не следует сохранять изменения настроек в line con 0 до тех пор, пока не будет уверенности в том, что вход в систему успешно осуществляется.

Проверка конфигурации

Необходимо проверить настройки маршрутизатора, чтобы убедиться в том, что команды были введены правильно:

Некоторые команды show поддерживаются средством Output Interpreter Tool (только для зарегистрированных пользователей), что позволяет выполнять анализ выходных данных команды show.

  • show running-config – отображает текущую конфигурацию маршрутизатора.

    router#show running-config
    Building configuration...
    ...
    
    !--- Строки опущены для краткости
    
    
    !
    line con 0
    password letmein
    login
    line 1 8
    line aux 0
    line vty 0 4
    !
    end

    Для тестирования конфигурации необходимо выйти из системы консоли, а затем снова войти в нее, используя для доступа к маршрутизатору настроенный пароль:

    router#exit
    
    router con0 is now available
    
    Press RETURN to get started.
    
    User Access Verification
    Password: 
    
    !--- Пароль, введенный в этом месте, не будет отображаться маршрутизатором
    
    
    router>

    Примечание: Перед выполнением этого теста убедитесь, что существует альтернативное подключение к маршрутизатору, такое как Telnet или удаленное, на случай возникновения проблемы повторного входа на маршрутизатор.

Поиск и устранение неисправностей, связанных с паролем пользователя

Если не удается выполнить повторный вход в маршрутизатор, а конфигурация не была сохранена, то перезагрузка маршрутизатора приведет к отмене всех внесенных изменений.

Если же изменения в конфигурации были сохранены, а повторный вход на маршрутизатор выполнить не удается, пароль придется восстанавливать. Инструкции для некоторых определенных платформ можно найти в документе Процедуры восстановления пароля.

Настройка локальных паролей для отдельных пользователей

Для того чтобы установить систему аутентификации на основе имени пользователя, необходимо использовать команду username в режиме глобальной настройки. Чтобы включить проверку пароля при входе в систему, необходимо использовать команду login local в режиме настройки линии.

Процедура настройки

В данном примере пароли настроены для пользователей, которые осуществляют попытки подключиться к маршрутизатору по линиям VTY при помощи протокола Telnet.

  1. Из привилегированного приглашения EXEC (или "enable") необходимо войти в режим настройки и ввести комбинации имен пользователей и паролей по одной для каждого пользователя, которому планируется разрешить доступ к маршрутизатору.

    router#configure terminal
    	Enter configuration commands, one per line.  End with CNTL/Z.
    	router(config)#username russ password montecito
    	router(config)#username cindy password belgium
    	router(config)#username mike password rottweiler
    
  2. Далее необходимо переключиться в режим настройки при помощи следующих команд. Обратите внимание, что приглашение изменяется в зависимости от текущего режима.

    router(config)#line vty 0 4
    router(config-line)#
  3. Затем необходимо настроить проверку пароля при входе в систему.

    router(config-line)#login local
    
  4. Далее необходимо выйти из режима настройки.

    router(config-line)#end
    router#
    %SYS-5-CONFIG_I: Configured from console by console

Проверка конфигурации

Необходимо проверить настройки маршрутизатора, чтобы убедиться в том, что команды были введены правильно:

  • show running-config – отображает текущую конфигурацию маршрутизатора.

    router#show running-config
    Building configuration...
    !
    
    !--- Строки опущены для краткости
    
    
    
    !
    username russ password 0 montecito
    username cindy password 0 belgium
    username mike password 0 rottweiler
    !
    
    !--- Строки опущены для краткости
    
    
    
    !
    line con 0
    line 1 8
    line aux 0
    line vty 0 4
     login local
    !
    end
    

    Для того чтобы протестировать эту конфигурацию, к маршрутизатору должны быть выполнено подключения Telnet. Это можно сделать либо путем подключения от другого узла сети, либо выполнив проверку с самого маршрутизатора, организовав доступ по протоколу Telnet к IP-адресу любого интерфейса на маршрутизаторе в состоянии up/up, как показывают выходные данные команды show interfaces.

    Ниже приведен образец выходных данных при значении адреса interface ethernet 0 10.1.1.1:

    router#telnet 10.1.1.1
    Trying 10.1.1.1 ... Open
    
    
    User Access Verification
    
    
    Username: mike
    Password:
    
    !--- Пароль, введенный в этом месте, не будет отображаться маршрутизатором
    
    
    
    router

Поиск и устранение неисправностей, связанных с паролем пользователя

Имена пользователей и пароли интерпретируются с учетом регистра символов. Вход в систему пользователям, использующим неверные имя пользователя или пароль, будет запрещен.

Если пользователи не могут войти в систему маршрутизатора со своими паролями, необходимо изменить имена пользователей и пароли на маршрутизаторе.

Настройка аутентификации AAA для входа в систему

Для того, чтобы активировать для входа в систему аутентификацию, авторизацию и учет (ААА), необходимо использовать команду login authentication в режиме настройки линии. Службы ААА также должны быть настроены.

Процедура настройки

В следующем примере маршрутизатор настроен на получение паролей пользователей от сервера TACACS+ при попытке пользователя подключиться к маршрутизатору.

Примечание: Настройка маршрутизатора для использования серверов AAA других типов (например, RADIUS) проводится аналогично. Для получения дополнительной информации см. документ Настройка аутентификации.

Примечание: Данный документ не содержит сведений о настройке ААА сервера. О том, как можно настроить ААА сервер, можно прочитать в документе Протоколы сервера безопасности.

  1. Из привилегированного приглашения EXEC (или "enable") необходимо войти в режим настройки и ввести команды для настройки маршрутизатора таким образом, чтобы он мог использовать службы AAA для аутентификации:

    	router#configure terminal
    Enter configuration commands, one per line.  End with CNTL/Z.
    router(config)#aaa new-model
    router(config)#aaa authentication login my-auth-list tacacs+
    router(config)#tacacs-server host 192.168.1.101
    router(config)#tacacs-server key letmein
    
  2. Затем необходимо переключиться в режим настройки с помощью следующих команд. Обратите внимание, что приглашение изменяется в зависимости от текущего режима.

    router(config)#line 1 8
    router(config-line)#
  3. Настройка проверки пароля при входе в систему.

    router(config-line)#login authentication my-auth-list
    
  4. Далее необходимо выйти из режима настройки.

    router(config-line)#end
    router#
    %SYS-5-CONFIG_I: Configured from console by console

Проверка конфигурации

Необходимо проверить настройки маршрутизатора, чтобы убедиться в том, что команды были введены правильно:

  • show running-config – отображает текущую конфигурацию маршрутизатора.

    router#write terminal
    Building configuration...
    
    Current configuration:
    !
    version 12.0
    service timestamps debug uptime
    service timestamps log uptime
    no service password-encryption
    !
    hostname router
    !
    aaa new-model
    aaa authentication login my-auth-list tacacs+
    !
    
    !--- Строки опущены для краткости
    
    
    
    ...
    !
    tacacs-server host 192.168.1.101
    tacacs-server key letmein
    !
    line con 0
    line 1 8
     login authentication my-auth-list
    line aux 0
    line vty 0 4
    !
    end

Для того, чтобы протестировать данную конфигурацию, для линии должны быть настроены входящее и исходящее подключения. Конкретные сведения по настройке асинхронных линий для модемных подключений см. в Руководстве по подключению модем-маршрутизатор.

В качестве альтернативного решения можно настроить одну или более VTY линий для осуществления ААА аутентификации и на ее основе – тестирования.

Поиск и устранение неисправностей при сбое AAA

Прежде чем применять команды отладки, необходимо ознакомиться с разделом Важные сведения о командах отладки.

Для осуществления поиска и устранения неисправностей, связанных с неудачными попытками входа в систему, можно использовать команду debug, соответствующую используемой конфигурации:


Связанные обсуждения сообщества поддержки Cisco

В рамках сообщества поддержки Cisco можно задавать и отвечать на вопросы, обмениваться рекомендациями и совместно работать со своими коллегами.


Дополнительные сведения


Document ID: 45843