Já tem uma conta?

  •   Conteúdo personalizado
  •   Produtos e suporte

Ainda não tem uma conta?

Criar conta

Telnet, senhas da Console e Porta AUX no exemplo de configuração do Roteadores de Cisco

Opções de download

  • PDF     (108.1 KB)
    Ver no Adobe Reader em vários dispositivos
  • ePub     (84.5 KB)
    Ver em vários aplicativos no iPhone, iPad, Android, Sony Reader ou Windows Phone
  • Mobi (Kindle)     (85.3 KB)
    Ver no dispositivo Kindle ou no aplicativo Kindle em vários dispositivos
Atualizado:26 de Setembro de 2014
ID do documento:45843
Sobre a tradução

Sobre esta tradução

A Cisco traduziu este documento com a ajuda de tecnologias de tradução automática e humana para oferecer conteúdo de suporte aos seus usuários no seu próprio idioma, independentemente da localização. Observe que mesmo a melhor tradução automática não será tão precisa quanto as realizadas por um tradutor profissional. A Cisco Systems, Inc. não se responsabiliza pela precisão destas traduções e recomenda que o documento original em inglês (link fornecido) seja sempre consultado.

Introdução

Este original fornece configurações de amostra configurando a proteção de senha para conexões exec de entrada ao roteador.

Pré-requisitos

Requisitos

Para executar as tarefas descritas neste documento, você deve ter acesso EXEC privilegiado à Interface de Linha de Comando (CLI) do roteador. Para obter informações sobre como usar a linha de comando e para compreender os modos de comando, consulte Usando o software Cisco IOS.

Para instruções sobre como conectar um console ao seu roteador, consulte a documentação que acompanha o roteador ou a documentação on-line para o seu equipamento.

Componentes Utilizados

As informações neste documento são baseadas nestas versões de software e hardware:

  • Cisco 2509 Router

  • Versão de software de Cisco IOS® 12.2(19)

As informações neste documento foram criadas a partir de dispositivos em um ambiente de laboratório específico. Todos os dispositivos usados neste original começaram com uma configuração cancelada (do padrão). Se sua rede está viva, certifique-se de que você compreende o impacto potencial do comando any.

Convenções

Para obter mais informações sobre das convenções de documento, refira as convenções dos dicas técnicas da Cisco.

Informações de fundo

A utilização de proteção por senha para controlar ou restringir o acesso à interface à Interface de linha de comando (CLI) do roteador é um dos elementos fundamentais de um plano completo de segurança.

Protegendo o roteador de Acesso remoto desautorizado, tipicamente o telnet, é a maioria de segurança comum que precisa de configurar, mas proteger o roteador de acesso local desautorizado não pode ser negligenciada.

Note: A proteção por senha é apenas um dos vários meios que devem ser usados em um regime de segurança de rede abrangente e eficaz. Os Firewall, as listas de acesso, e o controle do acesso físico ao equipamento são outros elementos que devem ser considerados ao executar seu plano da Segurança.

A linha de comando, ou o EXEC, acesso a um roteador podem ser feitos em um número de maneiras, mas a conexão de entrada ao roteador é feita em todos os casos em uma linha TTY. Existem quatro tipos principais de linhas TTY, como pode ser visto neste exemplo de saída de show line:

2509#show line
   Tty Typ     Tx/Rx    A Modem  Roty AccO AccI   Uses   Noise  Overruns   Int
*    0 CTY              -    -      -    -    -      0       0     0/0       -
     1 TTY   9600/9600  -    -      -    -    -      0       0     0/0       -
     2 TTY   9600/9600  -    -      -    -    -      0       0     0/0       -
     3 TTY   9600/9600  -    -      -    -    -      0       0     0/0       -
     4 TTY   9600/9600  -    -      -    -    -      0       0     0/0       -
     5 TTY   9600/9600  -    -      -    -    -      0       0     0/0       -
     6 TTY   9600/9600  -    -      -    -    -      0       0     0/0       -
     7 TTY   9600/9600  -    -      -    -    -      0       0     0/0       -
     8 TTY   9600/9600  -    -      -    -    -      0       0     0/0       -
     9 AUX   9600/9600  -    -      -    -    -      0       0     0/0       -
    10 VTY              -    -      -    -    -      0       0     0/0       -
    11 VTY              -    -      -    -    -      0       0     0/0       -
    12 VTY              -    -      -    -    -      0       0     0/0       -
    13 VTY              -    -      -    -    -      0       0     0/0       -
    14 VTY              -    -      -    -    -      0       0     0/0       -

2509#

O tipo de linha CTY é a porta do console. Em qualquer roteador, ela aparece na configuração do roteador como line con 0 e na saída do comando show line como ctv. A porta do console é utilizada principalmente para acesso de sistema local, utilizando um terminal de console.

As linhas TTY são linhas assíncronas usadas para modems internos ou externos e conexões de terminal e podem ser vistas na configuração de um roteador ou servidor de acessos como linhas x. Os números de linha específicos são uma função do hardware construído em ou instalado no roteador ou servidor de acesso.

A linha AUX é o porto auxiliar, considerado na configuração como o line aux 0.

As linhas VTY são as linhas de terminal virtual do roteador, usadas unicamente para controlar conexões do telnet de entrada. São virtuais, no sentido que são uma função do software - não há nenhum hardware associado com elas. Aparecem na configuração como o line vty 0 4.

Cada um desses tipos de linha pode ser configurado com proteção de senha. As linhas podem ser configuradas para usar uma senha para todos os usuários, ou para senhas USER-específicas. As senhas específicas ao usuário podem ser configuradas localmente no roteador, ou você pode fornecer autenticação.usando um servidor de autenticação.

Não há nenhuma proibição contra configurar linhas diferentes com tipos diferentes de proteção de senha. É, de fato, comum para ver o Roteadores com uma única senha para o console e senhas USER-específicas para outras conexões de entrada.

Está abaixo um exemplo das saídas de roteador do comando show running-config:

2509#show running-config
Building configuration...

Current configuration : 655 bytes
!
version 12.2
.
. 
. 

!--- Configuration edited for brevity


line con 0
line 1 8
line aux 0
line vty 0 4
!
end

Configurar senhas na linha

Para especificar uma senha em uma linha, use o comando password no modo de configuração de linha. Para permitir a verificação de senha no início de uma sessão, use o comando login no modo de configuração de linha.

Note: Para encontrar a informação adicional nos comandos usados neste original, use a ferramenta de consulta de comandos (clientes registrados somente).

Procedimento de configuração

Neste exemplo, uma senha é configurada para todos os usuários que tentam usar o console.

  1. A partir do prompt EXEC (ou "enable") privilegiado, entre no modo de configuração e, em seguida, mude para o modo de configuração de linha, usando os seguintes comandos. Observe que o prompt é alterado para refletir o modo atual. 

    router#configure terminal
Enter configuration commands, one per line.  End with CNTL/Z.
router(config)#line con 0
router(config-line)#

  2. Configurar a senha, e permita a verificação de senha no início de uma sessão. 

    router(config-line)#password letmein
router(config-line)#login

  3. Sair do modo de configuração. 

    router(config-line)#end
router#
%SYS-5-CONFIG_I: Configured from console by console

    Note: Não salvar alterações de configuração para alinhar o engodo 0 até que sua capacidade para entrar esteja verificada.

Note: Sob a linha configuração do console, o início de uma sessão é um comando required configuration permitir a verificação de senha no início de uma sessão. A autenticação do console exige a senha e os comandos login trabalhar.

Verificar a configuração

Examine a configuração do roteador para verificar se os comandos foram digitados corretamente:

Os determinados comandos de exibição são apoiados pela ferramenta do Output Interpreter (clientes registrados somente), que permite que você ver uma análise do emissor de comando de execução.

  • show running-config – Exibe a configuração atual do roteador. 

    router#show running-config
Building configuration...
...

!--- Lines omitted for brevity


!
line con 0
password letmein
login
line 1 8
line aux 0
line vty 0 4
!
end

    Para testar a configuração, terminar o console e entrar outra vez, usando a senha configurada para alcançar o roteador:

    router#exit

router con0 is now available

Press RETURN to get started.

User Access Verification
Password: 

!--- Password entered here is not displayed by the router


router>

    Note: Antes de executar este teste, assegure-se de que você tenha uma conexão alternativa no roteador, tal como o telnet ou o discado, caso que há um problema que registra de novo no roteador.

Solução de problemas de falha de login

Se você não pode registrar de novo no roteador e você não salvar a configuração, recarregar o roteador eliminará todas as alterações de configuração que você fizer.

Se as alterações de configuração salvar e você não pode entrar ao roteador, você terá que executar uma recuperação de senha. Consulte Password Recovery Procedures (Procedimentos de recuperação de senha) para obter instruções sobre a sua plataforma específica.

Configure senhas específicas de usuário local

Para estabelecer um sistema de autenticação com base em nome de usuário, utilize o comando username no modo de configuração global. Para permitir a verificação de senha no início de uma sessão, use o comando login local no modo de configuração de linha.

Procedimento de configuração

Neste exemplo, as senhas são configuradas para os usuários que tentam conectar ao roteador nas linhas VTY usando o telnet.

  1. Do alerta privilegiado EXEC (ou “permita”), incorpore o modo de configuração e incorpore combinações de nome de usuário/senha, uma para cada usuário quem você quer permitir o acesso ao roteador: 

    router#configure terminal
	Enter configuration commands, one per line.  End with CNTL/Z.
	router(config)#username russ password montecito
	router(config)#username cindy password belgium
	router(config)#username mike password rottweiler

  2. Comute ao modo de configuração de linha, usando os comandos seguintes. Observe que o prompt é alterado para refletir o modo atual. 

    router(config)#line vty 0 4
router(config-line)#

  3. Configure a verificação de senha no login. 

    router(config-line)#login local

  4. Sair do modo de configuração. 

    router(config-line)#end
router#
%SYS-5-CONFIG_I: Configured from console by console

    Note: A fim desabilitar o auto telnet quando você datilografa um nome no CLI, não configurar nenhum registro preferido na linha que é usada. Quando o transporte preferiu nenhum fornece a mesma saída, ele igualmente desabilita o auto telnet para o host definido que é configurado com o comando ip host. Isto é ao contrário de nenhum comando preferido de registro, que o para para anfitriões indeterminados e o deixa trabalhar para definidos.

Verificar a configuração

Examine a configuração do roteador para verificar se os comandos foram digitados corretamente:

  • show running-config – Exibe a configuração atual do roteador. 

    router#show running-config
Building configuration...
!

!--- Lines omitted for brevity 


!
username russ password 0 montecito
username cindy password 0 belgium
username mike password 0 rottweiler
!

!--- Lines omitted for brevity 


!
line con 0
line 1 8
line aux 0
line vty 0 4
 login local
!
end

    Para testar esta configuração, uma conexão Telnet deve ser feita ao roteador. Isso pode ser feito conectando a partir de um host diferente na rede, mas também é possível testar a partir do próprio roteador realizando um Telnet para o endereço IP de qualquer interface no roteador que esteja em um estado up/up, conforme visto na saída do comando show interfaces.

    Veja abaixo um exemplo no qual o endereço da interface ethernet 0 é 10.1.1.1:

    router#telnet 10.1.1.1
Trying 10.1.1.1 ... Open


User Access Verification


Username: mike
Password:

!--- Password entered here is not displayed by the router 


router

Solucione problemas de falha de senha específicas do usuário

Os nomes de usuário e senha são diferenciando maiúsculas e minúsculas. Os usuários que tentarem efetuar logon com um nome de usuário ou senha armazenada incorretamente serão recusados.

Se os usuários são incapazes de registrar no roteador com suas senhas específicas, reconfigure o nome de usuário e senha no roteador.

Configurar a senha de linha AUX

A fim especificar uma senha na linha AUX, emita o comando password no modo de configuração de linha. A fim permitir a verificação de senha no início de uma sessão, emita o comando login no modo de configuração de linha.

Procedimento de configuração

Neste exemplo, uma senha é configurada para todos os usuários que tentam usar o porto auxiliar.

  1. Emita o comando show line a fim verificar a linha usada pelo porto auxiliar.

    R1#show line

   Tty Typ    Tx/Rx    A Modem Roty AccO AccI  Uses  Noise  Overruns  Int
*    0 CTY                  -    -     -    -    -     0      0     0/0      -
    65 AUX  9600/9600  -    -     -    -    -    0     1     0/0             -
    66 VTY                  -    -     -    -    -     0      0     0/0      -
    67 VTY                  -    -     -    -    -     0      0     0/0      -

  2. Neste exemplo, o porto auxiliar está na linha 65. Emita estes comandos a fim configurar a linha do roteador AUX:

    R1# conf t
R1(config)# line 65
R1(config-line)#modem inout
R1(config-line)#speed 115200
R1(config-line)#transport input all
R1(config-line)#flowcontrol hardware
R1(config-line)#login
R1(config-line)#password cisco
R1(config-line)#end
R1#

Verifique a configuração

Examine a configuração do roteador a fim verificar que os comandos estiveram incorporados corretamente:

  • O comando show running-config indica a configuração atual do roteador:

    R1#show running-config
Building configuration...
!

!--- Lines omitted for brevity.

line aux 0
 password cisco
 login
 modem InOut
 transport input all
 speed 115200
 flowcontrol hardware


!--- Lines omitted for brevity.

!
end

Configurar autenticação AAA para logon

Para habilitar a autenticação AAA (autenticação, autorização e relatório) para logons, use o comando login authentication no modo de configuração de linha. Os serviços AAA também devem ser configurados.

Procedimento de configuração

Nesse exemplo, o roteador está configurado para recuperar as senhas dos usuários de um servidor TACACS+ quando os usuários tentam se conectar ao roteador.

Note: Configurar o roteador para usar outros tipos de servidores AAA (RAIO, por exemplo) é similar. Veja configurar a autenticação para a informação adicional.

Note: Este original não endereça a configuração do servidor AAA própria. Refira protocolos do servidor de segurança para obter informações sobre de configurar o servidor AAA.

  1. Do alerta privilegiado EXEC (ou “permita”), incorpore o modo de configuração e incorpore os comandos configurar o roteador para usar serviços AAA para a autenticação: 

    	router#configure terminal
Enter configuration commands, one per line.  End with CNTL/Z.
router(config)#aaa new-model
router(config)#aaa authentication login my-auth-list tacacs+
router(config)#tacacs-server host 192.168.1.101
router(config)#tacacs-server key letmein

  2. Comute ao modo de configuração de linha usando os comandos seguintes. Observe que o prompt é alterado para refletir o modo atual. 

    router(config)#line 1 8
router(config-line)#

  3. Configure a verificação de senha no login. 

    router(config-line)#login authentication my-auth-list

  4. Sair do modo de configuração.

    router(config-line)#end
router#
%SYS-5-CONFIG_I: Configured from console by console

Verificar a configuração

Examine a configuração do roteador para verificar se os comandos foram digitados corretamente:

  • show running-config – Exibe a configuração atual do roteador. 

    router#write terminal
Building configuration...

Current configuration:
!
version 12.0
service timestamps debug uptime
service timestamps log uptime
no service password-encryption
!
hostname router
!
aaa new-model
aaa authentication login my-auth-list tacacs+
!

!--- Lines omitted for brevity 


...
!
tacacs-server host 192.168.1.101
tacacs-server key letmein
!
line con 0
line 1 8
 login authentication my-auth-list
line aux 0
line vty 0 4
!
end

Para testar esta configuração específica, uma conexão de entrada ou de saída deve ser feita à linha. Consulte Modem – Guia de conexão do roteador para obter informações especificas sobre configuração de linhas assíncronas para conexões de modem.

Alternadamente, você pode configurar umas ou várias linhas VTY para executar a autenticação de AAA e executar seu teste a isso.

Solução de problema de falha no início de sessão de AAA

Antes de emitir comandos debug, consulte Informações importantes sobre comandos debug.

Para pesquisar defeitos uma falha de tentativa de login, use o comando debug apropriado a sua configuração:

Informações Relacionadas

Colaborado por engenheiros da Cisco

Este documento lhe foi útil?

FeedbackFeedback

Deixe-nos ajudar

Discussões relacionadas com comunidade da Cisco

Este documento se refere a estes produtos

SOBRE A CISCO
FALE CONOSCO
TRABALHE CONOSCO