在路由器中配置加密预共享密钥

已更新: 2023 年 6 月 2 日
文档 ID:46420

非歧视性语言

此产品的文档集力求使用非歧视性语言。在本文档集中,非歧视性语言是指不隐含针对年龄、残障、性别、种族身份、族群身份、性取向、社会经济地位和交叉性的歧视的语言。由于产品软件的用户界面中使用的硬编码语言、基于 RFP 文档使用的语言或引用的第三方产品使用的语言,文档中可能无法确保完全使用非歧视性语言。 深入了解思科如何使用包容性语言。

关于此翻译

思科采用人工翻译与机器翻译相结合的方式将此文档翻译成不同语言,希望全球的用户都能通过各自的语言得到支持性的内容。 请注意:即使是最好的机器翻译,其准确度也不及专业翻译人员的水平。 Cisco Systems, Inc. 对于翻译的准确性不承担任何责任,并建议您总是参考英文原始文档(已提供链接)。

    简介

    本文档介绍如何在路由器中设置当前和新预共享密钥的加密。

    先决条件

    要求

    本文档没有任何特定的要求。

    使用的组件

    本文档中的信息基于以下软件版本:

    • 思科IOS XE®软件版本16.9

    本文档中的信息都是基于特定实验室环境中的设备编写的。本文档中使用的所有设备最初均采用原始(默认)配置。如果您的网络处于活动状态,请确保您了解所有命令的潜在影响。

    规则

    有关文档约定的更多信息,请参考 Cisco 技术提示约定。

    背景信息

    Cisco IOS软件版本12.3(2)T引入了允许路由器在非易失性RAM、非易失性RAM(NVRAM)中以安全类型6格式加密互联网安全关联和密钥管理协议(ISAKMP)预共享密钥的功能。要加密的预共享密钥可以在ISAKMP密钥环下以主动模式配置为标准,也可以在Easy VPN(EzVPN)服务器或客户端设置下配置为组密码。 

    配置

    此部分存在您与您能使用配置功能本文描述的信息。

    note-icon

    注意:使用命令查找工具可获取关于此部分中所用命令的更多信息。

    note-icon

    注意:只有注册的思科用户才能访问内部思科工具和信息。

    引入了以下两个命令以启用预共享密钥加密:

    • key config-key password-encryption [primary key]

    • password encryption aes

    [primary key] 是使用高级加密标准(AES)对称密码对路由器配置中的所有其他密钥进行加密的密码/密钥。主密钥不存储在路由器配置中,在连接到路由器时无法以任何方式查看或获取。

    配置后,主密钥用于加密路由器配置中的任何当前密钥或新密钥。如果在命令行中未指定[primary key] ,路由器将提示用户输入密钥并重新输入密钥进行验证。如果密钥已经存在,则会首先提示用户输入旧密钥。在您发出 password encryption aes 命令之前,密钥不会加密。

    可以用key config-key...命令更改主密钥(尽管除非密钥以某种方式受到危害,否则不必更改主密钥),并再次使用新的[primary-key]。  路由器配置中的所有当前加密密钥都使用新密钥重新加密。

    您可以在发出no key config-key...命令时删除主键  但是,这会使路由器配置中所有当前配置的密钥变得无用(显示一条警告消息,详细介绍此消息并确认主密钥删除)。由于主密钥不再存在,路由器无法解密和使用第6类密码。

    note-icon

    :出于安全原因,不删除主密钥,也不删除密码加密  aes 命令可解密路由器配置中的口令。一旦密码加密,它们就不会被解密。如果主密钥未被删除,配置中的当前加密密钥仍可解密。

    此外,要查看密码加密功能的调试类型消息,请在配置模式下使用password logging命令。

    配置

    本文档在路由器上使用以下配置:

    加密当前预共享密钥 
    Router#show running-config 
Building configuration...
.
.crypto isakmp policy 10
 authentication pre-share
crypto isakmp key cisco123 address 10.1.1.1
.
.
endRouter#configure terminal
Enter configuration commands, one per line.  End with CNTL/Z.
Router(config)#key config-key password-encrypt testkey123
Router(config)#password encryption aes
Router(config)#^Z
Router#
Router#show running-config 
Building configuration...
.
.
password encryption aes
.
.
crypto isakmp policy 10
 authentication pre-share
crypto isakmp key 6 FLgBaJHXdYY_AcHZZMgQ_RhTDJXHUBAAB address 10.1.1.1
.
.
end
    以交互方式添加新主键 
    Router(config)#key config-key password-encrypt 
New key: 
        
        
Confirm key: 
        
        
Router(config)#
    以交互方式修改当前主键 
    Router(config)#key config-key password-encrypt
 Old key: 
        
        
New key: 
        
        
Confirm key: 
        
        
Router(config)#
*Jan  7 01:42:12.299: TYPE6_PASS: Master key change heralded, 
re-encrypting the keys with the new primary key
    删除主键 
    Router(config)#no key config-key password-encrypt 
WARNING: All type 6 encrypted keys will become unusable
Continue with primary key deletion ? [yes/no]: yes
Router(config)#

    验证

    当前没有可用于此配置的验证过程。

    故障排除

    当前没有可用于此配置的特定故障排除信息。

    相关信息

    修订历史记录

    版本 发布日期 备注
    2.0
    02-Jun-2023
    重新认证
    1.0
    19-Jan-2006
    初始版本
    TAC Authored

    由思科工程师提供

    此文档是否有帮助?

    Feedback反馈

    联系我们

    本文档适用于以下产品