Telnet, console en AUX poortwachtwoorden op routers configureren

Downloadopties

  • PDF     (215.6 KB)
    Met Adobe Reader op diverse apparaten bekijken
  • ePub     (87.4 KB)
    Bekijken in diverse apps op iPhone, iPad, Android, Sony Reader of Windows Phone
  • Mobi (Kindle)     (81.0 KB)
    Op Kindle-apparaat of via Kindle-app op meerdere apparaten bekijken
Bijgewerkt:17 december 2019
Document-id:45843

Inclusief taalgebruik

De documentatie van dit product is waar mogelijk geschreven met inclusief taalgebruik. Inclusief taalgebruik wordt in deze documentatie gedefinieerd als taal die geen discriminatie op basis van leeftijd, handicap, gender, etniciteit, seksuele oriëntatie, sociaaleconomische status of combinaties hiervan weerspiegelt. In deze documentatie kunnen uitzonderingen voorkomen vanwege bewoordingen die in de gebruikersinterfaces van de productsoftware zijn gecodeerd, die op het taalgebruik in de RFP-documentatie zijn gebaseerd of die worden gebruikt in een product van een externe partij waarnaar wordt verwezen. Lees meer over hoe Cisco gebruikmaakt van inclusief taalgebruik.

Over deze vertaling

Cisco heeft dit document vertaald via een combinatie van machine- en menselijke technologie om onze gebruikers wereldwijd ondersteuningscontent te bieden in hun eigen taal. Houd er rekening mee dat zelfs de beste machinevertaling niet net zo nauwkeurig is als die van een professionele vertaler. Cisco Systems, Inc. is niet aansprakelijk voor de nauwkeurigheid van deze vertalingen en raadt aan altijd het oorspronkelijke Engelstalige document (link) te raadplegen.

    Inleiding

    Dit document biedt voorbeeldconfiguraties voor het configureren van wachtwoordbeveiliging voor inkomende EXEC verbindingen naar de router.

    Voorwaarden

    Vereisten

    Om de taken uit te voeren die in dit document worden beschreven, moet u een bevoorrechte EXEC-toegang tot de opdrachtregel van de router (CLI) hebben. Zie De Cisco IOS Opdracht-lijn interface gebruiken voor informatie over het gebruik van de opdrachtregel en het begrijpen van de opdrachtmodi.

    Voor instructies om een console aan uw router aan te sluiten, verwijs naar de documentatie die uw router begeleid heeft of naar de online documentatie voor uw apparatuur.

    Gebruikte componenten

    De informatie in dit document is gebaseerd op de volgende software- en hardware-versies:

    • Cisco 2509 router

    • Cisco IOS®-softwarerelease 12.2(19)S

    De informatie in dit document is gebaseerd op de apparaten in een specifieke laboratoriumomgeving. Alle apparaten die in dit document worden beschreven, hadden een opgeschoonde (standaard)configuratie. Als uw netwerk live is, moet u de potentiële impact van elke opdracht begrijpen.

    Conventies

    Raadpleeg Cisco Technical Tips Conventions (Conventies voor technische tips van Cisco) voor meer informatie over documentconventies.

    Achtergrondinformatie

    Het gebruik van wachtwoordbeveiliging om de toegang tot de opdrachtregel interface (CLI) van de router te controleren of te beperken is een van de fundamentele elementen van een algemeen beveiligingsplan.

    Het beveiligen van de router tegen onbevoegd toegang op afstand, typisch telnet, is de meest algemene veiligheid die het configureren nodig heeft, maar het beschermen van de router tegen onbevoegd lokale toegang kan niet over het hoofd worden gezien.

    Opmerking: wachtwoordbeveiliging is slechts een van de vele stappen die u moet uitvoeren in een effectief, diepgaand beveiligingsregime voor het netwerk. Firewalls, toegangslijsten en controle van de fysieke toegang tot het apparaat zijn andere elementen die in overweging moeten worden genomen bij de uitvoering van uw beveiligingsplan.

    De lijn van het bevel, of EXEC, de toegang tot een router kan op een aantal manieren worden gemaakt, maar in alle gevallen wordt de inkomende verbinding aan de router gemaakt op een lijn TTY. Er zijn vier hoofdtypes van TTY lijnen, zoals in deze steekproef tonen lijnuitvoer:

    2509#show line
   Tty Typ     Tx/Rx    A Modem  Roty AccO AccI   Uses   Noise  Overruns   Int
*    0 CTY              -    -      -    -    -      0       0     0/0       -
     1 TTY   9600/9600  -    -      -    -    -      0       0     0/0       -
     2 TTY   9600/9600  -    -      -    -    -      0       0     0/0       -
     3 TTY   9600/9600  -    -      -    -    -      0       0     0/0       -
     4 TTY   9600/9600  -    -      -    -    -      0       0     0/0       -
     5 TTY   9600/9600  -    -      -    -    -      0       0     0/0       -
     6 TTY   9600/9600  -    -      -    -    -      0       0     0/0       -
     7 TTY   9600/9600  -    -      -    -    -      0       0     0/0       -
     8 TTY   9600/9600  -    -      -    -    -      0       0     0/0       -
     9 AUX   9600/9600  -    -      -    -    -      0       0     0/0       -
    10 VTY              -    -      -    -    -      0       0     0/0       -
    11 VTY              -    -      -    -    -      0       0     0/0       -
    12 VTY              -    -      -    -    -      0       0     0/0       -
    13 VTY              -    -      -    -    -      0       0     0/0       -
    14 VTY              -    -      -    -    -      0       0     0/0       -

2509#

    Het lijntype CTY is de Console Port. Op om het even welke router, verschijnt het in de routerconfiguratie als lijn con 0 en in de uitvoer van het bevel van de showlijn als stad. De console poort wordt voornamelijk gebruikt voor lokale systeemtoegang met behulp van een console terminal.

    De lijnen TTY zijn asynchrone lijnen die voor inkomende of uitgaande modem en eindverbindingen worden gebruikt en kunnen in een router of de configuratie van de toegangsserver als lijn x worden gezien. De specifieke lijnnummers zijn een functie van de hardware die in de router of toegangsserver is ingebouwd of geïnstalleerd.

    De AUX-lijn is de hulphaven, in de configuratie gezien als lijn aux 0.

    De VTY-lijnen zijn de Virtual Terminal-lijnen van de router, die alleen worden gebruikt om inkomende telnet-verbindingen te controleren. Ze zijn virtueel, in de zin dat ze een functie van software zijn - er is geen hardware mee verbonden. Ze verschijnen in de configuratie als lijn Vty 0 4.

    Elk van deze lijnen kan worden geconfigureerd met wachtwoordbeveiliging. Lijnen kunnen worden ingesteld om één wachtwoord te gebruiken voor alle gebruikers, of voor gebruikersspecifieke wachtwoorden. Gebruiker-specifieke wachtwoorden kunnen lokaal op de router worden geconfigureerd, of u kunt een authenticatieserver gebruiken om verificatie te leveren.

    Het is niet verboden om verschillende lijnen met verschillende typen wachtwoordbeveiliging te configureren. Het is in feite gebruikelijk om routers met één wachtwoord voor de console en gebruikersspecifieke wachtwoorden te zien voor andere inkomende verbindingen.

    Hieronder is een voorbeeld van routeruitvoer van het tonen in werking stellen-beslist bevel:

    2509#show running-config
Building configuration...

Current configuration : 655 bytes
!
version 12.2
.
. 
. 

!--- Configuration edited for brevity


line con 0
line 1 8
line aux 0
line vty 0 4
!
end

    Wachtwoorden op lijn configureren

    Om een wachtwoord op een lijn te specificeren, gebruikt u de opdracht wachtwoord in de lijnconfiguratiemodus. Gebruik de opdracht in de configuratie van de lijn om wachtwoordcontrole bij de inlognaam mogelijk te maken.

    Configuratieprocedure

    In dit voorbeeld wordt een wachtwoord ingesteld voor alle gebruikers die de console willen gebruiken.

    1. Van de bevoorrechte EXEC (of "laat") vraag in, stel de configuratiewijze in en switch dan in aan de lijnconfiguratie modus met de volgende opdrachten. Merk op dat de melding verandert in de weergave van de huidige modus. 

      router#configure terminal
Enter configuration commands, one per line.  End with CNTL/Z.
router(config)#line con 0
router(config-line)#

    2. Configureer het wachtwoord en schakelt u de wachtwoorden in. 

      router(config-line)#password letmein
router(config-line)#login

    3. Configuratie modus afsluiten. 

      router(config-line)#end
router#
%SYS-5-CONFIG_I: Configured from console by console

      Opmerking: Sla de configuratiewijzigingen in regel con 0 niet op totdat uw inlogmogelijkheid is geverifieerd.

    N.B.: Onder de configuratie van de lijnconsole, is inloggen een vereiste configuratie opdracht om wachtwoordcontrole bij inloggen mogelijk te maken. Voor console-verificatie moeten zowel het wachtwoord als de inlogopdrachten werken.

    Controleer de configuratie

    Bekijk de configuratie van de router om te controleren of de opdrachten correct zijn ingevoerd:

    • toon in werking stellen- - toont de huidige configuratie van de router. 

      router#show running-config
Building configuration...
...

!--- Lines omitted for brevity


!
line con 0
password letmein
login
line 1 8
line aux 0
line vty 0 4
!
end

      Om de configuratie te testen, sluit u de console en logt u opnieuw in, met behulp van het geconfigureerde wachtwoord voor toegang tot de router:

      router#exit

router con0 is now available

Press RETURN to get started.

User Access Verification
Password: 

!--- Password entered here is not displayed by the router


router>

      Opmerking: Zorg er voor dat u, voordat u deze test uitvoert, een alternatieve verbinding hebt met de router, zoals telnet of inbelverbinding, voor het geval er een probleem is met de vastlegging in de router.

    Login van probleemoplossing

    Als u niet terug in de router kunt loggen en u niet de configuratie hebt opgeslagen, zal het opnieuw laden van de router elke configuratie verandering elimineren die u hebt aangebracht.

    Als de configuratiewijzigingen zijn opgeslagen en u niet in de router kunt inloggen, moet u een wachtwoord herstellen. Zie Wachtwoordherstelprocedures voor informatie over uw specifieke platform.

    Lokale, gebruikersspecifieke wachtwoorden configureren

    Om een op gebruikersnaam gebaseerd authentificatiesysteem in te stellen, gebruik de gebruikersnaam opdracht in mondiale configuratiemodus. Om het controleren van het wachtwoord bij inloggen mogelijk te maken, gebruikt u de lokale opdracht in de lijnconfiguratie.

    Configuratieprocedure

    In dit voorbeeld worden de wachtwoorden ingesteld voor gebruikers die proberen een verbinding te maken met de router op de VTY-lijnen met telnet.

    1. Van de bevoorrechte EXEC (of "laat") prompt, voer de configuratiemodus in en voer een gebruikersnaam/wachtwoord combinaties in voor elke gebruiker voor wie u toegang tot de router wilt verlenen: 

      router#configure terminal
	Enter configuration commands, one per line.  End with CNTL/Z.
	router(config)#username russ password montecito
	router(config)#username cindy password belgium
	router(config)#username mike password rottweiler

    2. Switch aan lijn configuratie modus, met de volgende opdrachten. Merk op dat de melding verandert in de weergave van de huidige modus. 

      router(config)#line vty 0 4
router(config-line)#

    3. Wachtwoord instellen bij inloggen. 

      router(config-line)#login local

    4. Configuratie modus afsluiten. 

      router(config-line)#end
router#
%SYS-5-CONFIG_I: Configured from console by console

      Opmerking: Om auto telnet uit te schakelen wanneer u een naam op de CLI typt, moet u geen loggen instellen op de lijn die wordt gebruikt. Terwijl transport liever geen de zelfde output heeft verstrekt, schakelt het auto telnet ook voor de gedefinieerde host uit die met de ip host opdracht wordt geconfigureerd. Dit is anders dan de opdracht waarbij geen houtkap de voorkeur heeft, die het ophoudt voor ongedefinieerde hosts en het laat werken voor de gedefinieerde.

    Controleer de configuratie

    Bekijk de configuratie van de router om te controleren of de opdrachten correct zijn ingevoerd:

    • toon in werking stellen- - toont de huidige configuratie van de router. 

      router#show running-config
Building configuration...
!

!--- Lines omitted for brevity 


!
username russ password 0 montecito
username cindy password 0 belgium
username mike password 0 rottweiler
!

!--- Lines omitted for brevity 


!
line con 0
line 1 8
line aux 0
line vty 0 4
 login local
!
end

      Om deze configuratie te testen, moet een Telnet-verbinding aan de router worden gemaakt. Dit kan worden gedaan door van een verschillende gastheer op het netwerk te verbinden, maar u kunt ook van de router zelf testen door op het IP adres van om het even welke interface op de router te tellen die in een omhoog/op staat zoals gezien in de uitvoer van de show interfaces opdracht is.

      Hier is een steekproefuitvoer als het adres van interface Ethernet 0 10.1.1.1 was:

      router#telnet 10.1.1.1
Trying 10.1.1.1 ... Open


User Access Verification


Username: mike
Password:

!--- Password entered here is not displayed by the router 


router

    Wachtwoord voor probleemoplossing

    De namen en wachtwoorden van de gebruikers zijn hoofdlettergevoelig. Gebruikers die proberen in te loggen met een niet correct opgegeven gebruikersnaam of wachtwoord worden afgewezen.

    Als de gebruikers niet in de router met hun specifieke wachtwoorden kunnen inloggen, stel dan de gebruikersnaam en het wachtwoord op de router opnieuw in.

    AUX-lijnwachtwoord instellen

    Om een wachtwoord op de AUX-lijn te specificeren, geeft u de opdracht Wachtwoord in de lijnconfiguratie uit. Geef de opdracht in de configuratie van de lijn op om het wachtwoord bij inloggen te controleren.

    Configuratieprocedure

    In dit voorbeeld wordt een wachtwoord ingesteld voor alle gebruikers die de AUX poort willen gebruiken.

    1. Geef de opdracht Show line uit om de lijn die door de AUX poort wordt gebruikt te controleren.

      R1#show line

   Tty Typ    Tx/Rx    A Modem Roty AccO AccI  Uses  Noise  Overruns  Int
*    0 CTY                  -    -     -    -    -     0      0     0/0      -
    65 AUX  9600/9600  -    -     -    -    -    0     1     0/0             -
    66 VTY                  -    -     -    -    -     0      0     0/0      -
    67 VTY                  -    -     -    -    -     0      0     0/0      -

    2. In dit voorbeeld is de AUX poort op lijn 65. Geef deze opdrachten uit om de router AUX-lijn te configureren:

      R1# conf t
R1(config)# line 65
R1(config-line)#modem inout
R1(config-line)#speed 115200
R1(config-line)#transport input all
R1(config-line)#flowcontrol hardware
R1(config-line)#login
R1(config-line)#password cisco
R1(config-line)#end
R1#

    Controleer de configuratie

    Bekijk de configuratie van de router om te controleren of de opdrachten correct zijn ingevoerd:

    • Het bevel van show in werking stellen-in werking stellen -vormt de huidige configuratie van de router:

      R1#show running-config
Building configuration...
!

!--- Lines omitted for brevity.

line aux 0
 password cisco
 login
 modem InOut
 transport input all
 speed 115200
 flowcontrol hardware


!--- Lines omitted for brevity.

!
end

    AAA-verificatie voor vastlegging configureren

    Om authenticatie, autorisatie en accounting (AAA) authenticatie voor logins mogelijk te maken, gebruik de inlogauthenticatie opdracht in lijnconfiguratie modus. Ook AAA-services moeten worden geconfigureerd.

    Configuratieprocedure

    In dit voorbeeld, wordt de router gevormd om wachtwoorden van gebruikers van een TACACS+ server terug te krijgen wanneer de gebruikers proberen te verbinden met de router.

    Opmerking: Het configureren van de router om andere typen AAA-servers te gebruiken (RADIUS bijvoorbeeld) is vergelijkbaar. Zie Verificatie configureren voor meer informatie.

    N.B.: Dit document heeft geen betrekking op de configuratie van de AAA-server zelf.

    1. Van de bevoorrechte EXEC (of "laat") vraag in, stel configuratiewijze in en voer de opdrachten in om de router te configureren om AAA diensten te gebruiken voor authenticatie: 

      	router#configure terminal
Enter configuration commands, one per line.  End with CNTL/Z.
router(config)#aaa new-model
router(config)#aaa authentication login my-auth-list tacacs+
router(config)#tacacs-server host 192.168.1.101
router(config)#tacacs-server key letmein

    2. Switch aan lijn configuratie modus met de volgende opdrachten. Merk op dat de melding verandert in de weergave van de huidige modus. 

      router(config)#line 1 8
router(config-line)#

    3. Wachtwoord instellen bij inloggen. 

      router(config-line)#login authentication my-auth-list

    4. Configuratie modus afsluiten.

      router(config-line)#end
router#
%SYS-5-CONFIG_I: Configured from console by console

    Controleer de configuratie

    Bekijk de configuratie van de router om te controleren of de opdrachten correct zijn ingevoerd:

    • toon in werking stellen- - toont de huidige configuratie van de router. 

      router#write terminal
Building configuration...

Current configuration:
!
version 12.0
service timestamps debug uptime
service timestamps log uptime
no service password-encryption
!
hostname router
!
aaa new-model
aaa authentication login my-auth-list tacacs+
!

!--- Lines omitted for brevity 


...
!
tacacs-server host 192.168.1.101
tacacs-server key letmein
!
line con 0
line 1 8
 login authentication my-auth-list
line aux 0
line vty 0 4
!
end

    Om deze specifieke configuratie te testen, moet een inkomende of uitgaande verbinding aan de lijn gemaakt worden. Zie de Modem - Router Connection Guide voor specifieke informatie over het configureren van asynchrone lijnen voor modemverbindingen.

    In plaats hiervan kunt u één of meer VTY-lijnen configureren om AAA-verificatie uit te voeren en de testoplossing uit te voeren.

    Probleemoplossing met AAA-aanmelding

    Voordat u debug-opdrachten afgeeft, zie Belangrijke informatie over debug Commands.

    Als u een mislukte inlogpoging wilt oplossen, gebruikt u de opdracht debug geschikt voor uw configuratie:

    Gerelateerde informatie

    Revisiegeschiedenis

    Revisie Publicatiedatum Opmerkingen
    1.0
    17-Dec-2019
    Eerste vrijgave

    Was dit document nuttig?

    FeedbackFeedback

    Contact Cisco

    Dit document is van toepassing op deze producten