The documentation set for this product strives to use bias-free language. For the purposes of this documentation set, bias-free is defined as language that does not imply discrimination based on age, disability, gender, racial identity, ethnic identity, sexual orientation, socioeconomic status, and intersectionality. Exceptions may be present in the documentation due to language that is hardcoded in the user interfaces of the product software, language used based on RFP documentation, or language that is used by a referenced third-party product. Learn more about how Cisco is using Inclusive Language.
Этот документ был переведен Cisco с помощью машинного перевода, при ограниченном участии переводчика, чтобы сделать материалы и ресурсы поддержки доступными пользователям на их родном языке. Обратите внимание: даже лучший машинный перевод не может быть настолько точным и правильным, как перевод, выполненный профессиональным переводчиком. Компания Cisco Systems, Inc. не несет ответственности за точность этих переводов и рекомендует обращаться к английской версии документа (ссылка предоставлена) для уточнения.
В этом документе приведены примеры конфигураций для настройки защиты паролем при входящих соединениях EXEC с маршрутизатором.
Чтобы выполнить задачи, описанные в данном документе, необходимо иметь привилегированный доступ EXEC к интерфейсу командной строки маршрутизатора. Для получения информации об использовании командной строки и для понимания командных режимов, посмотрите Использование Интерфейса командной строки Cisco IOS.
Сведения, содержащиеся в данном документе, касаются следующих версий программного обеспечения и оборудования:
Маршрутизатор Cisco 2509
Программное обеспечение Cisco IOS® версии 12.2(19)
Сведения, представленные в этом документе, были получены от устройств, работающих в специальной лабораторной среде. Все устройства, описанные в этом документе, были запущены с чистой (стандартной) конфигурацией. В рабочей сети необходимо изучить потенциальное воздействие всех команд до их использования.
Использование функции защиты по паролю для контроля или ограничения доступа к интерфейсу командной строки (CLI) вашего маршрутизатора является одним из основных элементов общего плана безопасности.
Защита маршрутизатора от неавторизованного удалённого доступа, обычно Telnet – самое обычное средство защиты, нуждающееся в конфигурации, однако защиту маршрутизатора от неавторизованного локального доступа нельзя упускать из виду.
Примечание.Защита паролем – это всего лишь одна из многих мер, которые необходимо предпринять для эффективной работы системы безопасности сети. При внедрении плана безопасности также не следует забывать о межсетевых экранах, списках контроля доступа и контроле физического доступа к оборудованию.
Доступ к командной строке или строке EXEC маршрутизатора может быть получен разными способами, но во всех случаях входящее соединение с маршрутизатором осуществляется по каналу TTY. Как видно их примера выходных данных по команде show line, существует четыре основных типа каналов TTY:
2509#show line Tty Typ Tx/Rx A Modem Roty AccO AccI Uses Noise Overruns Int * 0 CTY - - - - - 0 0 0/0 - 1 TTY 9600/9600 - - - - - 0 0 0/0 - 2 TTY 9600/9600 - - - - - 0 0 0/0 - 3 TTY 9600/9600 - - - - - 0 0 0/0 - 4 TTY 9600/9600 - - - - - 0 0 0/0 - 5 TTY 9600/9600 - - - - - 0 0 0/0 - 6 TTY 9600/9600 - - - - - 0 0 0/0 - 7 TTY 9600/9600 - - - - - 0 0 0/0 - 8 TTY 9600/9600 - - - - - 0 0 0/0 - 9 AUX 9600/9600 - - - - - 0 0 0/0 - 10 VTY - - - - - 0 0 0/0 - 11 VTY - - - - - 0 0 0/0 - 12 VTY - - - - - 0 0 0/0 - 13 VTY - - - - - 0 0 0/0 - 14 VTY - - - - - 0 0 0/0 - 2509#
Тип строки CTY - это консольный порт. В конфигурации любого маршрутизатора она появляется в виде line con 0, а в выходных данных команды show line – в виде cty. Консольный порт в основном используется для доступа к локальным системам с помощью консольного терминала.
Линии TTY – это асинхронные линии, которые используются для входящих или исходящих модемных соединений и подключений терминала. Они обозначаются в конфигурации маршрутизатора или сервера доступа как "линии х". Особые номера линий - это функция оборудования, встроенного или установленного на маршрутизатор или сервер доступа.
Линия AUX – это вспомогательный порт, отображаемый в конфигурации как line aux 0.
Линии VTY – это линии связи виртуального терминала маршрутизатора, используемые исключительно для управления входящими соединениями Telnet. Термин «виртуальный» означает, что эти линии представляют собой функцию программного обеспечения и с ними не связано какое-либо аппаратное обеспечение. Они отображены в конфигурации в виде строки vty 0 4.
Можно настроить каждый из этих типов каналов связи защитой по паролю. Линии могут быть настроены для использования одинакового пароля для всех пользователей или паролей для отдельных пользователей. Пароли пользователей могут быть настроены локально на маршрутизаторе, либо можно использовать сервер аутентификации для предоставления аутентификации.
Никаких запретов на установление разных типов защиты паролем на разных линиях не существует. Хотя широко распространена практика применения на маршрутизаторе одного пароля для консоли и отдельных для каждого пользователя паролей для других входящих соединений.
Ниже приведен пример выходных данных маршрутизатора для команды show running-config:
2509#show running-config Building configuration... Current configuration : 655 bytes ! version 12.2 . . . !--- Configuration edited for brevity line con 0 line 1 8 line aux 0 line vty 0 4 ! end
Для задания пароля в строке используется команда password в режиме настройки с командной строкой. Чтобы включить проверку пароля при подключении, воспользуйтесь командой login в режиме конфигурации линии.
В этом примере пароль настраивается для всех пользователей, которым нужно использовать консоль.
Из привилегированного приглашения EXEC (или "enable") войдите в режим конфигурации и перейдите в режим линейной конфигурации с помощью следующих команд. Обратите внимание, что приглашение изменяется в зависимости от текущего режима.
router#configure terminal Enter configuration commands, one per line. End with CNTL/Z. router(config)#line con 0 router(config-line)#
Настройте пароль и включите проверку пароля при входе.
router(config-line)#password letmein router(config-line)#login
Выйдите из режима конфигурирования.
router(config-line)#end router# %SYS-5-CONFIG_I: Configured from console by console
Примечание.Не следует сохранять изменения настроек в line con 0 до тех пор, пока не будет уверенности в том, что вход в систему успешно осуществляется.
Примечание. При конфигурации линии в консоли команда настройки login обязательна, чтобы включить проверку пароля при подключении. Для аутентификации с помощью консоли должна работать как команда password, так и команда login.
Проверьте конфигурацию маршрутизатора, чтобы удостовериться в том, что команды вводились корректно:
show running-config - вывод текущей конфигурации маршрутизатора.
router#show running-config Building configuration... ... !--- Lines omitted for brevity ! line con 0 password letmein login line 1 8 line aux 0 line vty 0 4 ! end
Для тестирования конфигурации выполните разрегистрацию с консоли и повторно зарегистрируйтесь, используя настроенный пароль для доступа к маршрутизатору:
router#exit router con0 is now available Press RETURN to get started. User Access Verification Password: !--- Password entered here is not displayed by the router router>
Примечание.Перед выполнением этого теста убедитесь, что существует альтернативное подключение к маршрутизатору, такое как Telnet или удаленное, на случай возникновения проблемы повторного входа на маршрутизатор.
Если не удается выполнить повторный вход в маршрутизатор, а конфигурация не сохранена, то перезагрузка маршрутизатора приведет к отмене всех внесенных изменений.
Если же изменения в конфигурации были сохранены, а повторный вход на маршрутизатор выполнить не удается, пароль придется восстанавливать. Для получения инструкций по определенной платформе см. раздел "Процедуры восстановления пароля".
Для установки системы аутентификации на основе имени пользователя используйте команду username в режиме глобальной конфигурации. Чтобы включить проверку пароля при входе, используйте команду login local в режиме линейной конфигурации.
В этом примере пароли настроены для пользователей, которые осуществляют попытки подключиться к маршрутизатору на линиях VTY по протоколу Telnet.
Из привилегированного приглашения EXEC (или "enable") необходимо войти в режим настройки и ввести комбинации имен пользователей и паролей по одной для каждого пользователя, которому планируется разрешить доступ к маршрутизатору:
router#configure terminal Enter configuration commands, one per line. End with CNTL/Z. router(config)#username russ password montecito router(config)#username cindy password belgium router(config)#username mike password rottweiler
Переключитесь в режим конфигурации линии с помощью следующих команд. Обратите внимание, что приглашение изменяется в зависимости от текущего режима.
router(config)#line vty 0 4 router(config-line)#
Настройка проверки пароля при входе.
router(config-line)#login local
Выйдите из режима конфигурирования.
router(config-line)#end router# %SYS-5-CONFIG_I: Configured from console by console
Примечание. Для того чтобы отключить автоматическое подключение по протоколу Telnet при вводе имени через интерфейс командной строки (CLI), настройте режим no logging preferred на используемой линии. Команда transport preferred none предоставляет те же выходные данные, но она также отключает автоматическое подключение по протоколу Telnet для заданных хостов, настроенных с помощью команды ip host. Она отличается от команды no logging preferred, которая останавливает подключение для незаданных хостов и выполняет его для заданных хостов.
Проверьте конфигурацию маршрутизатора, чтобы удостовериться в том, что команды вводились корректно:
show running-config - вывод текущей конфигурации маршрутизатора.
router#show running-config Building configuration... ! !--- Lines omitted for brevity ! username russ password 0 montecito username cindy password 0 belgium username mike password 0 rottweiler ! !--- Lines omitted for brevity ! line con 0 line 1 8 line aux 0 line vty 0 4 login local ! end
Для того чтобы протестировать эту конфигурацию, к маршрутизатору должны быть выполнено подключения Telnet. Это можно сделать путем подключения от другого узла сети. Либо выполните проверку от самого маршрутизатора, организовав доступ по протоколу Telnet к IP-адресу любого интерфейса на маршрутизаторе в состоянии up/up, как показывают выходные данные команды show interfaces.
Ниже приведен образец выхода, если бы адрес интерфейса ethernet 0 был 10.1.1.1:
router#telnet 10.1.1.1 Trying 10.1.1.1 ... Open User Access Verification Username: mike Password: !--- Password entered here is not displayed by the router router
Имена пользователей и пароли интерпретируются с учетом регистра символов. Вход пользователей с использованием неверного имени пользователя или пароля запрещается.
Если пользователи не могут войти в систему маршрутизатора со своими паролями, измените имена пользователей и пароли на маршрутизаторе.
Для того чтобы указать пароль на линии AUX, выполните команду password в режиме линейного конфигурирования. Для того чтобы включить проверку пароля при входе, выполните команду login в режиме конфигурации линии.
В данном примере пароль настроен для всех пользователей, пытающихся использовать вспомогательный порт.
Выполните команду show line, чтобы проверить линию, используемую портом AUX.
R1#show line Tty Typ Tx/Rx A Modem Roty AccO AccI Uses Noise Overruns Int * 0 CTY - - - - - 0 0 0/0 - 65 AUX 9600/9600 - - - - - 0 1 0/0 - 66 VTY - - - - - 0 0 0/0 - 67 VTY - - - - - 0 0 0/0 -
В данном примере вспомогательный порт находится на линии 65. Для того чтобы настроить линию AUX маршрутизатора, выполните следующие команды, сделайте следующее:
R1# conf t R1(config)# line 65 R1(config-line)#modem inout R1(config-line)#speed 115200 R1(config-line)#transport input all R1(config-line)#flowcontrol hardware R1(config-line)#login R1(config-line)#password cisco R1(config-line)#end R1#
Для того чтобы проверить правильность ввода команд, просмотрите конфигурацию маршрутизатора:
По команде show running-config на экране появляется текущая конфигурация маршрутизатора:
R1#show running-config Building configuration... ! !--- Lines omitted for brevity. line aux 0 password cisco login modem InOut transport input all speed 115200 flowcontrol hardware !--- Lines omitted for brevity. ! end
Чтобы включить AAA для регистрации, используйте команду login authentication в режиме линейной конфигурации. Также необходимо настроить службы AAA.
Данный пример отображает настройку маршрутизатора на получение паролей пользователей от сервера TACACS+, когда пользователи пытаются подключиться к маршрутизатору.
Примечание.Настройка маршрутизатора для использования серверов AAA других типов (например, RADIUS) проводится аналогично. Дополнительные сведения см. в разделе "Настройка аутентификации".
Примечание.Данный документ не содержит сведений о настройке ААА-сервера.
В командной строке, работающей в привилегированном режиме EXEC (или "включенный"), войдите в режим настройки и введите команды для настройки маршрутизатора таким образом, чтобы он мог использовать службы AAA для аутентификации:
router#configure terminal Enter configuration commands, one per line. End with CNTL/Z. router(config)#aaa new-model router(config)#aaa authentication login my-auth-list tacacs+ router(config)#tacacs-server host 192.168.1.101 router(config)#tacacs-server key letmein
Переключитесь в режим конфигурации линии с помощью следующих команд. Обратите внимание, что приглашение изменяется в зависимости от текущего режима.
router(config)#line 1 8 router(config-line)#
Настройка проверки пароля при входе.
router(config-line)#login authentication my-auth-list
Выйдите из режима конфигурирования.
router(config-line)#end router# %SYS-5-CONFIG_I: Configured from console by console
Проверьте конфигурацию маршрутизатора, чтобы удостовериться в том, что команды вводились корректно:
show running-config - вывод текущей конфигурации маршрутизатора.
router#write terminal Building configuration... Current configuration: ! version 12.0 service timestamps debug uptime service timestamps log uptime no service password-encryption ! hostname router ! aaa new-model aaa authentication login my-auth-list tacacs+ ! !--- Lines omitted for brevity ... ! tacacs-server host 192.168.1.101 tacacs-server key letmein ! line con 0 line 1 8 login authentication my-auth-list line aux 0 line vty 0 4 ! end
Для того, чтобы протестировать данную конфигурацию, для линии должны быть настроены входящее и исходящее подключения. Конкретные сведения по настройке асинхронных линий для модемных подключений см. в Руководстве по подключению модем-маршрутизатор.
В качестве альтернативного решения можно настроить одну или более VTY линий для осуществления ААА аутентификации и на ее основе – тестирования.
Прежде чем применять команды отладки, ознакомьтесь с разделом "Важные сведения о командах отладки".
Для отладки неудачной попытки регистрации выполните команду отладки, соответствующую вашей конфигурации: