Dit document biedt voorbeeldconfiguraties voor het configureren van wachtwoordbeveiliging voor inkomende EXEC verbindingen naar de router.
Om de taken uit te voeren die in dit document worden beschreven, moet u een bevoorrechte EXEC-toegang tot de opdrachtregel van de router (CLI) hebben. Zie De Cisco IOS Opdracht-lijn interface gebruiken voor informatie over het gebruik van de opdrachtregel en het begrijpen van de opdrachtmodi.
Voor instructies om een console aan uw router aan te sluiten, verwijs naar de documentatie die uw router begeleid heeft of naar de online documentatie voor uw apparatuur.
De informatie in dit document is gebaseerd op de volgende software- en hardware-versies:
Cisco 2509 router
Cisco IOS®-softwarerelease 12.2(19)S
De informatie in dit document is gebaseerd op de apparaten in een specifieke laboratoriumomgeving. Alle apparaten die in dit document worden beschreven, hadden een opgeschoonde (standaard)configuratie. Als uw netwerk live is, moet u de potentiële impact van elke opdracht begrijpen.
Raadpleeg Cisco Technical Tips Conventions (Conventies voor technische tips van Cisco) voor meer informatie over documentconventies.
Het gebruik van wachtwoordbeveiliging om de toegang tot de opdrachtregel interface (CLI) van de router te controleren of te beperken is een van de fundamentele elementen van een algemeen beveiligingsplan.
Het beveiligen van de router tegen onbevoegd toegang op afstand, typisch telnet, is de meest algemene veiligheid die het configureren nodig heeft, maar het beschermen van de router tegen onbevoegd lokale toegang kan niet over het hoofd worden gezien.
Opmerking: wachtwoordbeveiliging is slechts een van de vele stappen die u moet uitvoeren in een effectief, diepgaand beveiligingsregime voor het netwerk. Firewalls, toegangslijsten en controle van de fysieke toegang tot het apparaat zijn andere elementen die in overweging moeten worden genomen bij de uitvoering van uw beveiligingsplan.
De lijn van het bevel, of EXEC, de toegang tot een router kan op een aantal manieren worden gemaakt, maar in alle gevallen wordt de inkomende verbinding aan de router gemaakt op een lijn TTY. Er zijn vier hoofdtypes van TTY lijnen, zoals in deze steekproef tonen lijnuitvoer:
2509#show line
Tty Typ Tx/Rx A Modem Roty AccO AccI Uses Noise Overruns Int
* 0 CTY - - - - - 0 0 0/0 -
1 TTY 9600/9600 - - - - - 0 0 0/0 -
2 TTY 9600/9600 - - - - - 0 0 0/0 -
3 TTY 9600/9600 - - - - - 0 0 0/0 -
4 TTY 9600/9600 - - - - - 0 0 0/0 -
5 TTY 9600/9600 - - - - - 0 0 0/0 -
6 TTY 9600/9600 - - - - - 0 0 0/0 -
7 TTY 9600/9600 - - - - - 0 0 0/0 -
8 TTY 9600/9600 - - - - - 0 0 0/0 -
9 AUX 9600/9600 - - - - - 0 0 0/0 -
10 VTY - - - - - 0 0 0/0 -
11 VTY - - - - - 0 0 0/0 -
12 VTY - - - - - 0 0 0/0 -
13 VTY - - - - - 0 0 0/0 -
14 VTY - - - - - 0 0 0/0 -
2509#
Het lijntype CTY is de Console Port. Op om het even welke router, verschijnt het in de routerconfiguratie als lijn con 0 en in de uitvoer van het bevel van de showlijn als stad. De console poort wordt voornamelijk gebruikt voor lokale systeemtoegang met behulp van een console terminal.
De lijnen TTY zijn asynchrone lijnen die voor inkomende of uitgaande modem en eindverbindingen worden gebruikt en kunnen in een router of de configuratie van de toegangsserver als lijn x worden gezien. De specifieke lijnnummers zijn een functie van de hardware die in de router of toegangsserver is ingebouwd of geïnstalleerd.
De AUX-lijn is de hulphaven, in de configuratie gezien als lijn aux 0.
De VTY-lijnen zijn de Virtual Terminal-lijnen van de router, die alleen worden gebruikt om inkomende telnet-verbindingen te controleren. Ze zijn virtueel, in de zin dat ze een functie van software zijn - er is geen hardware mee verbonden. Ze verschijnen in de configuratie als lijn Vty 0 4.
Elk van deze lijnen kan worden geconfigureerd met wachtwoordbeveiliging. Lijnen kunnen worden ingesteld om één wachtwoord te gebruiken voor alle gebruikers, of voor gebruikersspecifieke wachtwoorden. Gebruiker-specifieke wachtwoorden kunnen lokaal op de router worden geconfigureerd, of u kunt een authenticatieserver gebruiken om verificatie te leveren.
Het is niet verboden om verschillende lijnen met verschillende typen wachtwoordbeveiliging te configureren. Het is in feite gebruikelijk om routers met één wachtwoord voor de console en gebruikersspecifieke wachtwoorden te zien voor andere inkomende verbindingen.
Hieronder is een voorbeeld van routeruitvoer van het tonen in werking stellen-beslist bevel:
2509#show running-config Building configuration... Current configuration : 655 bytes ! version 12.2 . . . !--- Configuration edited for brevity line con 0 line 1 8 line aux 0 line vty 0 4 ! end
Om een wachtwoord op een lijn te specificeren, gebruikt u de opdracht wachtwoord in de lijnconfiguratiemodus. Gebruik de opdracht in de configuratie van de lijn om wachtwoordcontrole bij de inlognaam mogelijk te maken.
In dit voorbeeld wordt een wachtwoord ingesteld voor alle gebruikers die de console willen gebruiken.
Van de bevoorrechte EXEC (of "laat") vraag in, stel de configuratiewijze in en switch dan in aan de lijnconfiguratie modus met de volgende opdrachten. Merk op dat de melding verandert in de weergave van de huidige modus.
router#configure terminal Enter configuration commands, one per line. End with CNTL/Z. router(config)#line con 0 router(config-line)#
Configureer het wachtwoord en schakelt u de wachtwoorden in.
router(config-line)#password letmein router(config-line)#login
Configuratie modus afsluiten.
router(config-line)#end router# %SYS-5-CONFIG_I: Configured from console by console
Opmerking: Sla de configuratiewijzigingen in regel con 0 niet op totdat uw inlogmogelijkheid is geverifieerd.
N.B.: Onder de configuratie van de lijnconsole, is inloggen een vereiste configuratie opdracht om wachtwoordcontrole bij inloggen mogelijk te maken. Voor console-verificatie moeten zowel het wachtwoord als de inlogopdrachten werken.
Bekijk de configuratie van de router om te controleren of de opdrachten correct zijn ingevoerd:
toon in werking stellen- - toont de huidige configuratie van de router.
router#show running-config Building configuration... ... !--- Lines omitted for brevity ! line con 0 password letmein login line 1 8 line aux 0 line vty 0 4 ! end
Om de configuratie te testen, sluit u de console en logt u opnieuw in, met behulp van het geconfigureerde wachtwoord voor toegang tot de router:
router#exit router con0 is now available Press RETURN to get started. User Access Verification Password: !--- Password entered here is not displayed by the router router>
Opmerking: Zorg er voor dat u, voordat u deze test uitvoert, een alternatieve verbinding hebt met de router, zoals telnet of inbelverbinding, voor het geval er een probleem is met de vastlegging in de router.
Als u niet terug in de router kunt loggen en u niet de configuratie hebt opgeslagen, zal het opnieuw laden van de router elke configuratie verandering elimineren die u hebt aangebracht.
Als de configuratiewijzigingen zijn opgeslagen en u niet in de router kunt inloggen, moet u een wachtwoord herstellen. Zie Wachtwoordherstelprocedures voor informatie over uw specifieke platform.
Om een op gebruikersnaam gebaseerd authentificatiesysteem in te stellen, gebruik de gebruikersnaam opdracht in mondiale configuratiemodus. Om het controleren van het wachtwoord bij inloggen mogelijk te maken, gebruikt u de lokale opdracht in de lijnconfiguratie.
In dit voorbeeld worden de wachtwoorden ingesteld voor gebruikers die proberen een verbinding te maken met de router op de VTY-lijnen met telnet.
Van de bevoorrechte EXEC (of "laat") prompt, voer de configuratiemodus in en voer een gebruikersnaam/wachtwoord combinaties in voor elke gebruiker voor wie u toegang tot de router wilt verlenen:
router#configure terminal Enter configuration commands, one per line. End with CNTL/Z. router(config)#username russ password montecito router(config)#username cindy password belgium router(config)#username mike password rottweiler
Switch aan lijn configuratie modus, met de volgende opdrachten. Merk op dat de melding verandert in de weergave van de huidige modus.
router(config)#line vty 0 4 router(config-line)#
Wachtwoord instellen bij inloggen.
router(config-line)#login local
Configuratie modus afsluiten.
router(config-line)#end router# %SYS-5-CONFIG_I: Configured from console by console
Opmerking: Om auto telnet uit te schakelen wanneer u een naam op de CLI typt, moet u geen loggen instellen op de lijn die wordt gebruikt. Terwijl transport liever geen de zelfde output heeft verstrekt, schakelt het auto telnet ook voor de gedefinieerde host uit die met de ip host opdracht wordt geconfigureerd. Dit is anders dan de opdracht waarbij geen houtkap de voorkeur heeft, die het ophoudt voor ongedefinieerde hosts en het laat werken voor de gedefinieerde.
Bekijk de configuratie van de router om te controleren of de opdrachten correct zijn ingevoerd:
toon in werking stellen- - toont de huidige configuratie van de router.
router#show running-config Building configuration... ! !--- Lines omitted for brevity ! username russ password 0 montecito username cindy password 0 belgium username mike password 0 rottweiler ! !--- Lines omitted for brevity ! line con 0 line 1 8 line aux 0 line vty 0 4 login local ! end
Om deze configuratie te testen, moet een Telnet-verbinding aan de router worden gemaakt. Dit kan worden gedaan door van een verschillende gastheer op het netwerk te verbinden, maar u kunt ook van de router zelf testen door op het IP adres van om het even welke interface op de router te tellen die in een omhoog/op staat zoals gezien in de uitvoer van de show interfaces opdracht is.
Hier is een steekproefuitvoer als het adres van interface Ethernet 0 10.1.1.1 was:
router#telnet 10.1.1.1 Trying 10.1.1.1 ... Open User Access Verification Username: mike Password: !--- Password entered here is not displayed by the router router
De namen en wachtwoorden van de gebruikers zijn hoofdlettergevoelig. Gebruikers die proberen in te loggen met een niet correct opgegeven gebruikersnaam of wachtwoord worden afgewezen.
Als de gebruikers niet in de router met hun specifieke wachtwoorden kunnen inloggen, stel dan de gebruikersnaam en het wachtwoord op de router opnieuw in.
Om een wachtwoord op de AUX-lijn te specificeren, geeft u de opdracht Wachtwoord in de lijnconfiguratie uit. Geef de opdracht in de configuratie van de lijn op om het wachtwoord bij inloggen te controleren.
In dit voorbeeld wordt een wachtwoord ingesteld voor alle gebruikers die de AUX poort willen gebruiken.
Geef de opdracht Show line uit om de lijn die door de AUX poort wordt gebruikt te controleren.
R1#show line
Tty Typ Tx/Rx A Modem Roty AccO AccI Uses Noise Overruns Int
* 0 CTY - - - - - 0 0 0/0 -
65 AUX 9600/9600 - - - - - 0 1 0/0 -
66 VTY - - - - - 0 0 0/0 -
67 VTY - - - - - 0 0 0/0 -
In dit voorbeeld is de AUX poort op lijn 65. Geef deze opdrachten uit om de router AUX-lijn te configureren:
R1# conf t R1(config)# line 65 R1(config-line)#modem inout R1(config-line)#speed 115200 R1(config-line)#transport input all R1(config-line)#flowcontrol hardware R1(config-line)#login R1(config-line)#password cisco R1(config-line)#end R1#
Bekijk de configuratie van de router om te controleren of de opdrachten correct zijn ingevoerd:
Het bevel van show in werking stellen-in werking stellen -vormt de huidige configuratie van de router:
R1#show running-config Building configuration... ! !--- Lines omitted for brevity. line aux 0 password cisco login modem InOut transport input all speed 115200 flowcontrol hardware !--- Lines omitted for brevity. ! end
Om authenticatie, autorisatie en accounting (AAA) authenticatie voor logins mogelijk te maken, gebruik de inlogauthenticatie opdracht in lijnconfiguratie modus. Ook AAA-services moeten worden geconfigureerd.
In dit voorbeeld, wordt de router gevormd om wachtwoorden van gebruikers van een TACACS+ server terug te krijgen wanneer de gebruikers proberen te verbinden met de router.
Opmerking: Het configureren van de router om andere typen AAA-servers te gebruiken (RADIUS bijvoorbeeld) is vergelijkbaar. Zie Verificatie configureren voor meer informatie.
N.B.: Dit document heeft geen betrekking op de configuratie van de AAA-server zelf.
Van de bevoorrechte EXEC (of "laat") vraag in, stel configuratiewijze in en voer de opdrachten in om de router te configureren om AAA diensten te gebruiken voor authenticatie:
router#configure terminal Enter configuration commands, one per line. End with CNTL/Z. router(config)#aaa new-model router(config)#aaa authentication login my-auth-list tacacs+ router(config)#tacacs-server host 192.168.1.101 router(config)#tacacs-server key letmein
Switch aan lijn configuratie modus met de volgende opdrachten. Merk op dat de melding verandert in de weergave van de huidige modus.
router(config)#line 1 8 router(config-line)#
Wachtwoord instellen bij inloggen.
router(config-line)#login authentication my-auth-list
Configuratie modus afsluiten.
router(config-line)#end router# %SYS-5-CONFIG_I: Configured from console by console
Bekijk de configuratie van de router om te controleren of de opdrachten correct zijn ingevoerd:
toon in werking stellen- - toont de huidige configuratie van de router.
router#write terminal Building configuration... Current configuration: ! version 12.0 service timestamps debug uptime service timestamps log uptime no service password-encryption ! hostname router ! aaa new-model aaa authentication login my-auth-list tacacs+ ! !--- Lines omitted for brevity ... ! tacacs-server host 192.168.1.101 tacacs-server key letmein ! line con 0 line 1 8 login authentication my-auth-list line aux 0 line vty 0 4 ! end
Om deze specifieke configuratie te testen, moet een inkomende of uitgaande verbinding aan de lijn gemaakt worden. Zie de Modem - Router Connection Guide voor specifieke informatie over het configureren van asynchrone lijnen voor modemverbindingen.
In plaats hiervan kunt u één of meer VTY-lijnen configureren om AAA-verificatie uit te voeren en de testoplossing uit te voeren.
Voordat u debug-opdrachten afgeeft, zie Belangrijke informatie over debug Commands.
Als u een mislukte inlogpoging wilt oplossen, gebruikt u de opdracht debug geschikt voor uw configuratie: