在路由器上配置Telnet、控制台和AUX端口口令
下载选项
非歧视性语言
此产品的文档集力求使用非歧视性语言。在本文档集中,非歧视性语言是指不隐含针对年龄、残障、性别、种族身份、族群身份、性取向、社会经济地位和交叉性的歧视的语言。由于产品软件的用户界面中使用的硬编码语言、基于 RFP 文档使用的语言或引用的第三方产品使用的语言,文档中可能无法确保完全使用非歧视性语言。 深入了解思科如何使用包容性语言。
关于此翻译
思科采用人工翻译与机器翻译相结合的方式将此文档翻译成不同语言,希望全球的用户都能通过各自的语言得到支持性的内容。 请注意:即使是最好的机器翻译,其准确度也不及专业翻译人员的水平。 Cisco Systems, Inc. 对于翻译的准确性不承担任何责任,并建议您总是参考英文原始文档(已提供链接)。
简介
本文档介绍为到路由器的入站EXEC连接配置口令保护的配置示例。
先决条件
要求
要执行本文档中介绍的任务,您必须拥有对路由器命令行界面(CLI)的特权EXEC访问权限。有关命令行的信息以及要了解命令模式,请参阅使用Cisco IOS命令行界面。
有关将控制台连接到路由器的说明,请参阅路由器随附的文档,或参阅设备的在线文档。
使用的组件
本文档中的信息基于以下软件和硬件版本:
-
Cisco 2509 路由器
-
思科IOS®软件版本12
本文档中的信息都是基于特定实验室环境中的设备编写的。本文档中使用的所有设备最初均采用原始(默认)配置。如果您的网络处于活动状态,请确保您了解所有命令的潜在影响。
规则
有关文件规则的更多信息请参见“ Cisco技术提示规则”。
背景信息
使用口令保护控制或限制对路由器命令行界面 (CLI) 的访问是整个安全计划的基本要素之一。
保护路由器免遭未授权远程访问(通常是Telnet)是需要配置的最常见安全措施,但保护路由器免遭未授权本地访问是不可忽视的。
注意:密码保护只是高效深入的网络安全方案中要使用的众多步骤之一。防火墙、访问列表和对设备的物理访问的控制是实施安全计划时必须考虑的其他因素。
命令行或对路由器的 EXEC 访问可以多种方式实现,但在所有情况中,到路由器的入站连接都是通过 TTY 线路实现的。TTY线路有四种主要类型,如本示例所示 show line 输出:
2509#show line
Tty Typ Tx/Rx A Modem Roty AccO AccI Uses Noise Overruns Int
* 0 CTY - - - - - 0 0 0/0 -
1 TTY 9600/9600 - - - - - 0 0 0/0 -
2 TTY 9600/9600 - - - - - 0 0 0/0 -
3 TTY 9600/9600 - - - - - 0 0 0/0 -
4 TTY 9600/9600 - - - - - 0 0 0/0 -
5 TTY 9600/9600 - - - - - 0 0 0/0 -
6 TTY 9600/9600 - - - - - 0 0 0/0 -
7 TTY 9600/9600 - - - - - 0 0 0/0 -
8 TTY 9600/9600 - - - - - 0 0 0/0 -
9 AUX 9600/9600 - - - - - 0 0 0/0 -
10 VTY - - - - - 0 0 0/0 -
11 VTY - - - - - 0 0 0/0 -
12 VTY - - - - - 0 0 0/0 -
13 VTY - - - - - 0 0 0/0 -
14 VTY - - - - - 0 0 0/0 -
2509#
CTY 线路类型为控制台端口。在任何路由器上,它在路由器配置中显示为line con 0,并在 show line 命令。控制台端口主要用于通过控制台终端进行本地系统访问。
TTY线路是用于入站或出站调制解调器和终端连接的异步线路,在路由器或接入服务器配置中可看到线路x。特定线路编号是内置于或安装在路由器或访问服务器上的硬件功能。
AUX 线路为辅助端口,在配置中显示为 line aux 0。
VTY 线路为路由器的虚拟终端线路,仅用于控制入站 Telnet 连接。它们是虚拟的,从某种意义上讲,它们是软件的功能 — 没有硬件与之关联。它们在配置中显示为 line vty 0 4。
以上每种线路类型都可以配置口令保护。线路可以配置为所有用户使用一个口令,或特定于用户的口令。可以在路由器本地配置特定于用户的口令,或者使用身份验证服务器提供身份验证。
没有禁止使用不同类型的密码保护配置不同的线路。实际上常见的是,在路由器上,控制台对应单一口令,其他入站连接对应特定于用户的口令。
以下是 show running-config 指令:
2509#show running-config Building configuration... Current configuration : 655 bytes ! version 12.2 . . . !--- Configuration edited for brevity line con 0 line 1 8 line aux 0 line vty 0 4 ! end
在线路上配置口令
要在行上指定密码,请在执行模式下使用 password 命令。要在登录时启用密码检查,请在执行模式下使用 login 命令。
配置过程
在本示例中,为所有尝试使用控制台的用户配置了密码。
-
在特权EXEC(或enable)提示符下,输入配置模式,然后使用这些命令切换到线路配置模式。请注意,提示符将发生更改以反映当前模式。
router#configure terminal Enter configuration commands, one per line. End with CNTL/Z. router(config)#line con 0 router(config-line)#
-
配置密码,并在登录时启用密码检查。
router(config-line)#password letmein router(config-line)#login
-
退出配置模式。
router(config-line)#end router# %SYS-5-CONFIG_I: Configured from console by console
注意:在验证登录能力之前,请勿将配置更改保存到line con 0。
注意:在线路控制台配置下,
login是登录时启用密码检查所需的配置命令。 控制台身份验证需要password和login工作命令
检查配置
检查路由器配置,验证是否已正确输入命令:
-
show running-config— 显示路由器的当前配置。router#show running-config Building configuration... ... !--- Lines omitted for brevity ! line con 0 password letmein login line 1 8 line aux 0 line vty 0 4 ! end
要测试配置,请注销控制台并再次登录,然后使用配置的密码访问路由器:
router#exit router con0 is now available Press RETURN to get started. User Access Verification Password: !--- Password entered here is not displayed by the router router>
注:在执行此测试之前,请确保您有到路由器的备用连接,如Telnet或拨入,以防在登录回路由器时出现问题。
对登录失败进行故障排除
如果无法重新登录到路由器且尚未保存配置,请重新加载路由器以消除您所做的任何配置更改。
如果保存了配置更改并且您无法登录路由器,请执行口令恢复。请参阅口令恢复过程,找到对应您特定平台的说明。
配置特定于本地用户的口令
要建立基于用户名的身份验证系统,请使用 username < /code> 命令。要在登录时启用密码检查,请在执行模式下使用 login local 命令。
配置过程
在本示例中,为尝试使用Telnet在VTY线路上连接到路由器的用户配置了密码。
-
在特权EXEC(或enable)提示符下,进入配置模式并输入用户名/密码组合,每个用户一个要允许其访问路由器:
router#configure terminal Enter configuration commands, one per line. End with CNTL/Z. router(config)#username russ password montecito router(config)#username cindy password belgium
router(config)#username mike password rottweiler -
切换到线路配置模式,然后使用以下命令。请注意,提示符将发生更改以反映当前模式。
router(config)#line vty 0 4 router(config-line)#
-
在登录时配置密码检查。
router(config-line)#login local
-
退出配置模式。
router(config-line)#end router# %SYS-5-CONFIG_I: Configured from console by console
注意:要在CLI中键入名称时禁用自动Telnet,请配置 使用的线路上没有日志记录首选/strong>。虽然 transport preferred none 提供同样的输出,但同时也会对配置了 ip host 命令的已定义主机禁用自动 Telnet。这与 no log preferred 命令,该命令对未定义的主机停止该命令,然后允许该命令对已定义的主机工作。
检查配置
检查路由器配置,验证是否已正确输入命令:
-
show running-config— 显示路由器的当前配置。router#show running-config Building configuration... ! !--- Lines omitted for brevity ! username russ password 0 montecito username cindy password 0 belgium username mike password 0 rottweiler ! !--- Lines omitted for brevity ! line con 0 line 1 8 line aux 0 line vty 0 4 login local ! end
要测试此配置,必须与路由器建立 Telnet 连接。如果从网络上的另一台主机进行连接,则可以完成此操作,但您也可以通过telnet从路由器本身测试路由器上处于打开/打开状态的任何接口的IP地址,如输出所示。
show interfaces命令。
如果接口ethernet 0的地址为10.1.1.1,则以下为输出示例:
router#telnet 10.1.1.1 Trying 10.1.1.1 ... Open User Access Verification Username: mike Password: !--- Password entered here is not displayed by the router router
排除特定于用户的口令故障
用户名和口令区分大小写。尝试使用错误的用户名或密码登录的用户将被拒绝。
如果用户无法使用他们的特定口令登录路由器,请在路由器上重新配置用户名和口令。
配置AUX线路口令
要在AUX行上指定密码,请发出 password 命令。要在登录时启用密码检查,请发出 login 命令。
配置过程
在本示例中,为尝试使用AUX端口的所有用户配置密码。
-
发出e
show line命令,以验证AUX端口使用的线路。R1#show line Tty Typ Tx/Rx A Modem Roty AccO AccI Uses Noise Overruns Int * 0 CTY - - - - - 0 0 0/0 - 65 AUX 9600/9600 - - - - - 0 1 0/0 - 66 VTY - - - - - 0 0 0/0 - 67 VTY - - - - - 0 0 0/0 - -
在本示例中,AUX端口位于第65行上。发出以下命令以配置路由器AUX线路:
R1#configure terminal R1(config)#line 65 R1(config-line)#modem inout R1(config-line)#speed 115200 R1(config-line)#transport input all R1(config-line)#flowcontrol hardware R1(config-line)#login R1(config-line)#password cisco R1(config-line)#end R1#
验证配置
检查路由器的配置,确认命令输入正确:
-
此
show running-config命令显示路由器的当前配置:R1#show running-config Building configuration... ! !--- Lines omitted for brevity. line aux 0 password cisco login modem InOut transport input all speed 115200 flowcontrol hardware !--- Lines omitted for brevity. ! end
配置登录的AAA身份验证
要为登录启用身份验证、授权和记帐(AAA)身份验证,请使用 login authentication 命令。同时必须配置 AAA 服务。
配置过程
在本示例中,路由器将配置为在用户尝试连接路由器时从 TACACS+ 服务器检索用户口令。
注意:路由器配置为使用其他类型的AAA服务器(例如RADIUS)是类似的。有关详细信息,请参阅配置身份验证。
注:本文档不介绍AAA服务器本身的配置。
-
在特权EXEC(或enable)提示符下,进入配置模式,然后输入命令配置路由器使用AAA服务进行身份验证:
router#configure terminal Enter configuration commands, one per line. End with CNTL/Z. router(config)#aaa new-model router(config)#aaa authentication login my-auth-list tacacs+ router(config)#tacacs-server host 192.168.1.101 router(config)#tacacs-server key letmein
-
切换到线路配置模式并使用以下命令。请注意,提示符将发生更改以反映当前模式。
router(config)#line 1 8 router(config-line)#
-
在登录时配置密码检查。
router(config-line)#login authentication my-auth-list
-
退出配置模式。
router(config-line)#end router# %SYS-5-CONFIG_I: Configured from console by console
检查配置
检查路由器配置,验证是否已正确输入命令:
-
show running-config— 显示路由器的当前配置。router#write terminal Build configuration... Current configuration: ! version 12.0 service timestamps debug uptime service timestamps log uptime no service password-encryption ! hostname router ! aaa new-model aaa authentication login my-auth-list tacacs+ ! !--- Lines omitted for brevity ... ! tacacs-server host 192.168.1.101 tacacs-server key letmein ! line con 0 line 1 8 login authentication my-auth-list line aux 0 line vty 0 4 ! end
要测试这一特定配置,必须与线路建立入站或出站连接。有关配置用于调制解调器连接的异步线路的具体信息,请参阅调制解调器 — 路由器连接指南。
或者,您可以配置一条或多条VTY线路以执行AAA身份验证并在之后执行测试。
排除AAA登录故障
在您发布之前 debug 命令,请参阅有关Debug命令的重要信息。
要对尝试登录失败进行故障排除,请在执行模式下使用 debug 命令:
相关信息
修订历史记录
| 版本 | 发布日期 | 备注 |
|---|---|---|
1.0 |
17-Dec-2019 |
初始版本 |
反馈