通过CLI的CBS交换机密码设置

目标

首次通过控制台登录到交换机时，必须使用默认用户名和密码，即 cisco。然后，系统将提示您输入并配置思科账户的新密码。默认情况下，将启用密码复杂性设置。如果您选择的密码不够复杂，系统将提示您创建其他密码。

由于密码用于验证访问设备的用户，所以简单的密码可能会危害安全。因此，默认情况下将实施密码复杂性要求，并可在必要时进行配置。

本文提供了有关如何通过Cisco Business Switches(CBS)250和350系列中的命令行界面(CLI)定义用户帐户的基本密码设置、线路密码、启用密码、服务密码恢复、密码复杂性规则以及交换机上的密码老化设置的说明。

注意：此外，您还可以通过交换机基于 Web 的实用程序，配置密码强度和复杂性设置。点击此处查看说明。

适用设备 | 软件版本

• CBS250(产品手册) |3.0.0
• CBS350(产品手册) |3.0.0
• CBS350-2X(产品手册) |3.0.0
• CBS350-4X(产品手册) |3.0.0

通过 CLI 配置密码设置

从以下选项中选择要配置的密码设置：

配置基本密码设置

配置线路密码设置

配置启用密码设置

配置服务密码恢复设置

配置密码复杂性设置

配置密码过期设置

配置基本密码设置

步骤 1： 登录到交换机控制台。默认用户名和密码为 cisco。

注意：根据设备的具体型号，可用命令或选项可能会有所不同。在本示例中，使用CBS350交换机。

步骤 2： 系统将提示您配置新密码，以更好地保护您的网络。按键盘上的 Y（表示“是”）或 N（表示“否”）。

注意：在本示例中，按 Y。

步骤 3： 输入旧密码，然后按键盘上的 Enter 键。

步骤 4： 相应地，输入并确认新密码，然后按键盘上的 Enter 键。

步骤 5： 使用 enable 命令进入特权 EXEC 模式。在交换机的特权 EXEC 模式下，输入以下命令，将已配置的设置保存到启动配置文件：

CBS350#copy running-config startup-config

步骤 6： （可选）出现 Overwrite file [startup-config]… 提示后，按键盘上的 Y（表示“是”）或 N（表示“否”）。

现在，您应已通过 CLI 配置了交换机的基本密码设置。

配置线路密码设置

步骤 1： 登录到交换机控制台。默认用户名和密码为 cisco。如果您配置了新的用户名或密码，则输入这些凭证。

步骤 2： 在交换机的特权 EXEC 模式下，输入以下命令进入全局配置模式：

CBS350#configure terminal

步骤 3： 要在控制台、Telnet、安全外壳 (SSH) 等线路上配置密码，请输入以下命令进入密码线路配置模式：

CBS350(config)#line [line-name]

注意：在本示例中，使用的线路是 Telnet。

步骤 4： 通过输入以下命令，输入线路的 password 命令：

CBS350(config-line)#password [password][encrypted]

选项有：

• password - 指定线路的密码。长度范围为 0 到 159 个字符。
• encrypted -（可选）指定密码已加密且已从其他设备配置复制。

注意：在本示例中，为 Telnet 线路指定了密码 Cisco123$。

步骤 5： （可选）要将线路密码恢复为默认密码，请输入以下命令：

CBS350(config-line)#no password

步骤 6： 输入 end 命令返回到交换机的特权 EXEC 模式。

CBS350(config)#end

步骤 7： （可选）在交换机的特权 EXEC 模式下，输入以下命令，将已配置的设置保存到启动配置文件：

CBS350#copy running-config startup-config

步骤 8： （可选）出现 Overwrite file [startup-config]… 提示后，按键盘上的 Y（表示“是”）或 N（表示“否”）。

现在，您应已通过 CLI 配置了交换机的线路密码设置。

配置启用密码设置

配置新的启用密码后，该密码会自动加密并保存到正在运行的配置文件中。无论以何种方式输入该密码，该密码都将与加密密码一起显示在正在运行的配置文件中，并带有关键字加密。

请按照以下步骤，通过 CLI 配置交换机的启用密码设置：

步骤 1： 登录到交换机控制台。默认用户名和密码为 cisco。如果您配置了新的用户名或密码，则输入这些凭证。

步骤 2： 在交换机的特权 EXEC 模式下，输入以下命令进入全局配置模式：

CBS350#configure terminal

步骤 3： 要在交换机的特定用户访问级别配置本地密码，请输入以下命令：

CBS350(config)#enable password [level privilege-level] [unencrypted-password | encrypted encrypted-password]

选项有：

• level privilege-level - 指定密码应用的级别。级别范围为 1 到 15。 如果未指定，系统会将级别设置为默认值 15。 用户级别如下：

- 只读 CLI 访问 (1) - 用户无法访问 GUI，仅可访问不会更改设备配置的 CLI 命令。

- 读取/受限写入 CLI 访问 (7) - 用户无法访问 GUI，仅可访问某些可以更改设备配置的 CLI 命令。有关详情，请参阅 CLI 参考指南。

- 读/写管理访问 (15) - 用户可以访问 GUI，并可以配置设备。

CBS350(config)#enable password level 7 Cisco123$

注意：在本示例中，为级别 7 用户账户设置了密码 Cisco123$。

• unencrypted-password - 您当前使用的用户名的密码。长度范围为 0 到 159 个字符。

CBS350(config)#enable password level Cisco123$

注意：在本示例中，使用了密码 Cisco123$。

• encrypted encrypted-password - 指定密码已加密。您可以使用此命令输入已从其他设备的其他配置文件加密的密码。这允许您为两台交换机配置相同的密码。

CBS350(config)#enable password encrypted 6f43205030a2f3a1e243873007370fab

注意：在本示例中，使用的加密密码是 6f43205030a2f3a1e243873007370fab。这是 Cisco123$ 的加密版本。

注意：在上面的示例中，为级别 7 访问权限设置了启用密码 Cisco123$。

步骤 4： （可选）要将用户密码恢复为默认密码，请输入以下命令：

CBS350(config)#no enable password

步骤 5： 输入 exit 命令返回到交换机的特权 EXEC 模式。

CBS350(config)#exit

步骤 6： （可选）在交换机的特权 EXEC 模式下，输入以下命令，将已配置的设置保存到启动配置文件：

CBS350#copy running-config startup-config

步骤 7： （可选）出现 Overwrite file [startup-config]… 提示后，按键盘上的 Y（表示“是”）或 N（表示“否”）。

现在，您应已通过 CLI 配置了交换机的启用密码设置。

配置服务密码恢复设置

服务密码恢复机制可在以下情况下为您提供对设备控制台端口的物理访问权限：

• 如已启用密码恢复，则可访问启动菜单并在启动菜单中触发密码恢复。系统会保留所有配置文件和用户文件。
• 如已禁用密码恢复，则可访问启动菜单并在启动菜单中触发密码恢复。系统会删除配置文件和用户文件。
• 如果设备配置为使用用户定义的安全敏感数据密码来保护其敏感数据，则即使已启用密码恢复，也无法从启动菜单触发密码恢复。

默认启用服务密码恢复。请按照以下步骤，通过 CLI 配置交换机的服务密码恢复设置：

步骤 1： 登录到交换机控制台。默认用户名和密码为 cisco。如果您配置了新的用户名或密码，则输入这些凭证。

步骤 2： 在交换机的特权 EXEC 模式下，输入以下命令进入全局配置模式：

CBS350#configure terminal

步骤 3： （可选）要启用交换机的密码恢复设置，请输入以下命令：

CBS350#service password-recovery

步骤 4： （可选）要禁用交换机的密码恢复设置，请输入以下命令：

CBS350#no service password-recovery

步骤 5： （可选）出现以下提示后，按键盘上的 Y（表示“是”）或 N（表示“否”）。

注意：在本示例中，按 Y。

步骤 6： 输入 exit 命令返回到交换机的特权 EXEC 模式。

CBS350(config)#exit

步骤 7： （可选）在交换机的特权 EXEC 模式下，输入以下命令，将已配置的设置保存到启动配置文件：

CBS350#copy running-config startup-config

步骤 8： （可选）出现 Overwrite file [startup-config]… 提示后，按键盘上的 Y（表示“是”）或 N（表示“否”）。

现在，您应已通过 CLI 配置了交换机的密码恢复设置。

配置密码复杂性设置

交换机的密码复杂性设置会启用密码复杂性规则。如果启用此功能，新密码必须符合以下默认设置：

• 密码最小长度为 8 个字符。
• 包含至少 4 个字符类别的字符，例如大写字母、小写字母、数字和标准键盘上可用的特殊字符。
• 不同于当前密码。
• 不得包含连续重复 3 次以上的字符。
• 不能与用户名重复，不能是以反向顺序排列的用户名，或者是通过更改字符大小写产生的任意变体。
• 不能与制造商名重复，不能是以反向顺序排列的制造商名，或者是通过更改字符大小写产生的任意变体。

您可以使用特定命令控制上述密码复杂性的属性。如果之前配置了其他复杂性设置，则会使用这些设置。

默认情况下启用此功能。请按照以下步骤，通过 CLI 配置交换机的密码复杂性设置：

步骤 1： 登录到交换机控制台。默认用户名和密码为 cisco。如果您配置了新的用户名或密码，则输入这些凭证。

步骤 2： 在交换机的特权 EXEC 模式下，输入以下命令进入全局配置模式：

CBS350#configure terminal

步骤 3： （可选）要启用交换机的密码复杂性设置，请输入以下命令：

CBS350(config)#passwords complexity enable

步骤 4： （可选）要禁用交换机的密码复杂性设置，请输入以下命令：

CBS350(config)#no passwords complexity enable

步骤 5： （可选）要配置最低密码要求，请输入以下命令：

CBS350(config)#passwords complexity [min-length number] [min-classes number] [not-current] [no-repeat number] [not-username] [not manufacturer-name]

选项有：

• min-length number - 设置密码的最小长度。范围为 0 到 64 个字符。默认值为 8。
• min-classes number - 设置最小字符类别数，例如大写字母、小写字母、数字和标准键盘上可用的特殊字符。范围为 0 到 4 个类别。默认值为 3。
• not-current - 指定新密码不得与当前密码相同。
• no-repeat number - 指定新密码中可以连续重复的最大字符数。零表示对重复字符数没有限制。范围为 0 到 16 个字符。默认值为 3。
• not-username - 指定密码不能与用户名重复，不能是以反向顺序排列的用户名，或者是通过更改字符大小写产生的任意变体。
• not-manufacturer-name - 指定密码不能与制造商名重复，不能是以反向顺序排列的制造商名，或者是通过更改字符大小写产生的任意变体。

注意：这些命令不会清除其他设置。配置密码复杂性设置仅作为切换操作。

注意：在本示例中，密码复杂性设置为至少 9 个字符，不能与用户名重复，不能是以反向顺序排列的用户名，并且不能与当前密码相同。

步骤 6： 输入 exit 命令返回到交换机的特权 EXEC 模式。

CBS350(config)#exit

步骤 7： （可选）在交换机的特权 EXEC 模式下，输入以下命令，将已配置的设置保存到启动配置文件：

CBS350#copy running-config startup-config

步骤 8： （可选）出现 Overwrite file [startup-config]… 提示后，按键盘上的 Y（表示“是”）或 N（表示“否”）。

现在，您应已通过 CLI 配置了交换机的密码复杂性设置。

要在交换机的 CLI 上显示密码配置设置，请跳至显示密码配置设置。

配置密码过期设置

过期仅与权限级别为 15 的本地数据库用户和权限级别为 15 的已配置启用密码相关。 默认配置为 180 天。

请按照以下步骤，通过 CLI 配置交换机的密码复杂性设置：

步骤 1： 登录到交换机控制台。默认用户名和密码为 cisco。如果您配置了新的用户名或密码，则输入这些凭证。

步骤 2： 在交换机的特权 EXEC 模式下，输入以下命令进入全局配置模式：

CBS350#configure terminal

步骤 3： 要指定交换机的密码过期设置，请输入以下命令：

CBS350(config)#passwords aging [days]

• days - 指定强制更改密码之前的天数。您可以使用 0 以禁用过期设置。范围为 0 到 365 天。

注意：在本示例中，密码过期设置为 60 天。

步骤 4： （可选）要禁用交换机的密码过期设置，请输入以下命令：

CBS350(config)#no passwords aging 0

步骤 5： （可选）要将密码过期恢复为默认设置，请输入以下命令：

CBS350(config)#no passwords aging [days]

步骤 6： 输入 exit 命令返回到交换机的特权 EXEC 模式。

CBS350(config)#exit

步骤 7： （可选）在交换机的特权 EXEC 模式下，输入以下命令，将已配置的设置保存到启动配置文件：

CBS350#copy running-config startup-config

步骤 8： （可选）出现 Overwrite file [startup-config]… 提示后，按键盘上的 Y（表示“是”）或 N（表示“否”）。

现在，您应已通过 CLI 配置了交换机的密码过期设置。

要在交换机的 CLI 上显示密码配置设置，请跳至显示密码配置设置。

显示密码配置设置

过期仅与权限级别为 15 的本地数据库用户和权限级别为 15 的已配置启用密码相关。 默认配置为 180 天。

步骤 1： 在交换机的特权 EXEC 模式下，输入以下命令：

CBS350(config)#show passwords configuration