TELNET, пульт и пароли порта AUX на примере

TELNET, пульт и пароли порта AUX на примере конфигурации
маршрутизаторов Cisco
Содержание
Введение
Предпосылки
Требования
Используемые компоненты
Соглашения
Справочная информация
Формируйте пароли на линии
Процедура конфигурации
Проверьте конфигурацию
Расследуйте неудачу логина
Формируйте местные определенные для пользователя пароли
Процедура конфигурации
Проверьте конфигурацию
Расследуйте определенную для пользователя неудачу пароля
Формируйте пароль линии AUX
Процедура конфигурации
Проверьте конфигурацию
Формируйте идентификацию AAA для логина
Процедура конфигурации
Проверьте конфигурацию
Расследуйте неудачу логина AAA
Соответствующая информация
Введение
Этот документ обеспечивает типовые конфигурации для формирования защиты с помощью паролей для прибывающих связей EXEC с
маршрутизатором.
Предпосылки
Требования
Для выполнения, задачи описали в этом документе, вы, должно быть, дали доступу EXEC ПРИВИЛЕГИЮ к интерфейсу командной
строки (CLI) маршрутизатора. Дополнительные сведения об использовании командной строки и для понимания командных режимов
см. в Используя программное обеспечение Cisco IOS.
Для получения инструкций относительно соединения пульта к вашему маршрутизатору обратитесь к документации, которая
сопровождала ваш маршрутизатор, или обратитесь к документации онлайн для вашего оборудования.
Используемые компоненты
Информация в этом документе основана на этих версиях программного и аппаратного обеспечения:
Маршрутизатор Cisco 2509
Cisco IOS® Software Version 12.2 (19)
Информация в этом документе была создана из устройств в определенной окружающей среде лаборатории. Все устройства,
используемые в этом документе, начали с очищенного (неплатеж) конфигурацию. Если ваша сеть жива, удостоверьтесь, что вы
понимаете потенциальное воздействие любой команды.
Соглашения
Для получения дополнительной информации о соглашениях документа направьте в Cisco Технические Соглашения Подсказок.
Справочная информация
Использование защиты с помощью паролей, чтобы управлять или ограничить доступ к интерфейсу командной строки (CLI) вашего
маршрутизатора является одним из фундаментальных элементов полного плана обеспечения безопасности.
Защита маршрутизатора от несанкционированного удаленного доступа, как правило TELNET, является наиболее распространенной
безопасностью, которая нуждается в формировании, но не может быть пропущена защита маршрутизатора от несанкционированного
местного доступа.
Примечание: Защита с помощью паролей является только одним из многих шагов, которые необходимо использовать в эффективном
всестороннем режиме сетевой безопасности. Брандмауэры, списки доступа и контроль физического доступа к оборудованию являются
другими элементами, которые нужно рассмотреть при осуществлении плана обеспечения безопасности.
Командная строка или EXEC, доступ к маршрутизатору может быть сделан многими способами, но во всех случаях прибывающая
связь с маршрутизатором сделана на линии TTY. Существует четыре главных типа линий TTY, как замечено в этой типовой
выставочной продукции линии:
2509#show line
Tty Typ
Tx/Rx
*
0 CTY
1 TTY
9600/9600
2 TTY
9600/9600
3 TTY
9600/9600
4 TTY
9600/9600
5 TTY
9600/9600
6 TTY
9600/9600
7 TTY
9600/9600
8 TTY
9600/9600
9 AUX
9600/9600
10 VTY
11 VTY
12 VTY
13 VTY
14 VTY
A Modem
-
Roty AccO AccI
-
Uses
0
0
0
0
0
0
0
0
0
0
0
0
0
0
0
Noise
0
0
0
0
0
0
0
0
0
0
0
0
0
0
0
Overruns
0/0
0/0
0/0
0/0
0/0
0/0
0/0
0/0
0/0
0/0
0/0
0/0
0/0
0/0
0/0
Int
-
-
2509#
Тип линии CTY является Портом Пульта. На любом маршрутизаторе это появляется в конфигурации маршрутизатора, поскольку
линия подставляет 0 и в продукции выставочной команды линии как cty. Порт пульта, главным образом, используется для местного
системного доступа с помощью терминала пульта.
Линии TTY являются асинхронными линиями, используемыми для прибывающего или модема за границу и предельных связей, и
могут быть замечены в маршрутизаторе или конфигурации сервера доступа как линия x. Определенные числа линии являются
функцией аппаратных средств, построенных в или установленный на сервере доступа или маршрутизаторе.
Линия AUX является Вспомогательным портом, замеченным в конфигурации как линия aux 0.
Линии VTY являются Действительными Предельными линиями маршрутизатора, используемого исключительно для управления
прибывающими связями TELNET. Они являются действительными, в том смысле, что они - функция программного обеспечения - нет
никаких аппаратных средств, связанных с ними. Они появляются в конфигурации как линия vty 0 4.
Каждый из этих типов линий может формироваться с защитой с помощью паролей. Линии могут формироваться для использования
одного пароля для всех пользователей, или для определенных для пользователя паролей. Определенные для пользователя пароли могут
формироваться в местном масштабе на маршрутизаторе, или можно использовать сервер идентификации для обеспечения
идентификации.
Нет никакого запрета на формирование различных линий с различными типами защиты с помощью паролей., фактически,
распространено видеть маршрутизаторы с единственным паролем для пульта и определенными для пользователя паролями для других
прибывающих связей.
Ниже пример продукции маршрутизатора от выставочной команды управления-config:
2509#show running-config
Building configuration...
Current configuration : 655 bytes
!
version 12.2
.
.
.
!--- Configuration edited for brevity
line
line
line
line
!
end
con 0
1 8
aux 0
vty 0 4
Формируйте пароли на линии
Для определения пароля на линии используйте команду пароля в способе конфигурации линии. Для предоставления возможности
проверки пароля в логине используйте команду логина в способе конфигурации линии.
Примечание: Для нахождения дополнительной информации о командах используемой в этом документе используйте Инструмент
Поиска Команды (только зарегистрированные клиенты).
Процедура конфигурации
В этом примере пароль формируется для всех пользователей, пытающихся использовать пульт.
1. От привилегированного EXEC (или "позволяют") быстрый, войдите в способ конфигурации и затем переключитесь на способ
конфигурации линии с помощью следующих команд. Заметьте что быстрые изменения отражать текущий способ.
router#configure terminal
Enter configuration commands, one per line.
router(config)#line con 0
router(config-line)#
End with CNTL/Z.
2. Формируйте пароль и позвольте проверку пароля в логине.
router(config-line)#password letmein
router(config-line)#login
3. Выходной способ конфигурации.
router(config-line)#end
router#
%SYS-5-CONFIG_I: Configured from console by console
Примечание: не экономьте изменения конфигурации довода "против" линии 0, пока не была проверена ваша способность
загрузиться.
Примечание: Под конфигурацией пульта линии логин является необходимой командой конфигурации для предоставления
возможности проверки пароля в логине. Идентификация пульта требует, чтобы работали и пароль и команды логина.
Проверьте конфигурацию
Исследуйте конфигурацию маршрутизатора, чтобы проверить, что были должным образом введены команды:
Определенные выставочные команды поддержаны переводчиком Продукции Тулом (только зарегистрированные клиенты), который
позволяет вам рассматривать анализ выставочной продукции команды.
покажите, что управление-config - показывает текущую конфигурацию маршрутизатора.
router#show running-config
Building configuration...
...
!--- Lines omitted for brevity
!
line con
password
login
line 1 8
line aux
line vty
!
0
letmein
0
0 4
end
Чтобы проверить конфигурацию, выйдите пульт и загрузиться снова, с помощью формируемого пароля для доступа к
маршрутизатору:
router#exit
router con0 is now available
Press RETURN to get started.
User Access Verification
Password:
!--- Password entered here is not displayed by the router
router>
Примечание: прежде, чем выполнить этот тест, гарантируйте, чтобы у вас была дополнительная связь в маршрутизатор, такой
как TELNET или диски - в, в случае, если существует проблема, регистрирующаяся назад в маршрутизатор.
Расследуйте неудачу логина
Если вы не можете зарегистрироваться назад в маршрутизатор, и вы не спасли конфигурацию, перезагружение маршрутизатора
устранит любые изменения конфигурации, которые вы внесли.
Если изменения конфигурации были спасены, и вы не можете логин к маршрутизатору, необходимо будет выполнить восстановление
пароля. См. Процедуры Восстановления Пароля для нахождения инструкций для особой платформы.
Формируйте местные определенные для пользователя пароли
Для установления основанной на имени пользователя системы идентификации используйте команду имени пользователя в
глобальном способе конфигурации. Для предоставления возможности проверки пароля в логине используйте логин местная команда в
способе конфигурации линии.
Процедура конфигурации
В этом примере пароли формируются для пользователей, пытающихся соединиться с маршрутизатором на линиях VTY с помощью
TELNET.
1. От привилегированного EXEC (или "позволяют") быстрый, войдите в способ конфигурации и войдите в комбинации имени
пользователя/пароля, один для каждого пользователя, для которого вы хотите позволить доступ к маршрутизатору:
router#configure terminal
Enter configuration commands, one per line. End with CNTL/Z.
router(config)#username russ password montecito
router(config)#username cindy password belgium
router(config)#username mike password rottweiler
2. Переключитесь на способ конфигурации линии, с помощью следующих команд. Заметьте что быстрые изменения отражать
текущий способ.
router(config)#line vty 0 4
router(config-line)#
3. Формируйте проверку пароля в логине.
router(config-line)#login local
4. Выходной способ конфигурации.
router(config-line)#end
router#
%SYS-5-CONFIG_I: Configured from console by console
Примечание: для выведения из строя автомобиля TELNET, когда вы вводите имя на CLI, не формируете регистрации,
предпочтенной на линии, которая используется. В то время как транспорт предпочел, чтобы ни один не обеспечивал ту же
самую продукцию, он также повреждает автомобиль TELNET для определенного хозяина, которые формируются с IP командой
хозяина. Это не непохоже ни на какую регистрацию предпочтенная команда, которая останавливает ее для неопределенных
хозяев и позволяет ей работать на определенные.
Проверьте конфигурацию
Исследуйте конфигурацию маршрутизатора, чтобы проверить, что были должным образом введены команды:
покажите, что управление-config - показывает текущую конфигурацию маршрутизатора.
router#show running-config
Building configuration...
!
!--- Lines omitted for brevity
!
username russ password 0 montecito
username cindy password 0 belgium
username mike password 0 rottweiler
!
!--- Lines omitted for brevity
!
line con 0
line 1 8
line aux 0
line vty 0 4
login local
!
end
Для тестирования этой конфигурации связь TELNET должна быть сделана к маршрутизатору. Это может быть сделано путем
соединения от различного хозяина в сети, но можно также проверить от самого маршрутизатора telnetting к IP-адресу любого
интерфейса на маршрутизаторе, который находится в / государство, как замечено в продукции выставочной команды
интерфейсов.
Если адрес интерфейсного Ethernet 0 был 10.1.1.1, вот типовая продукция:
router#telnet 10.1.1.1
Trying 10.1.1.1 ... Open
User Access Verification
Username: mike
Password:
!--- Password entered here is not displayed by the router
router
Расследуйте определенную для пользователя неудачу пароля
Имена пользователя и пароли с учетом регистра. Пользователи, пытающиеся загружаться с неправильно именем пользователя в
жестком переплете или паролем, будут отклонены.
Если пользователи неспособны зарегистрироваться в маршрутизатор с их определенными паролями, повторно формируйте имя
пользователя и пароль на маршрутизаторе.
Формируйте пароль линии AUX
Для определения пароля на линии AUX выпустите команду пароля в способе конфигурации линии. Для предоставления возможности
проверки пароля в логине выпустите команду логина в способе конфигурации линии.
Процедура конфигурации
В этом примере пароль формируется для всех пользователей, пытающихся использовать порт AUX.
1. Выпустите выставочную команду линии для подтверждения линии, используемой портом AUX.
R1#show line
*
Tty Typ
Tx/Rx
0 CTY
65 AUX 9600/9600
66 VTY
67 VTY
A Modem Roty AccO AccI Uses
0
-
Noise
0
1
0
0
Overruns Int
0
0/0
0/0
0
0/0
0
0/0
-
-
2. В этом примере порт AUX находится на линии 65. Выпустите эти команды для формирования маршрутизатора линия AUX:
R1# conf t
R1(config)# line 65
R1(config-line)#modem inout
R1(config-line)#speed 115200
R1(config-line)#transport input all
R1(config-line)#flowcontrol hardware
R1(config-line)#login
R1(config-line)#password cisco
R1(config-line)#end
R1#
Проверьте конфигурацию
Исследуйте конфигурацию маршрутизатора, чтобы проверить, что были должным образом введены команды:
Выставочная команда управления-config показывает текущую конфигурацию маршрутизатора:
R1#show running-config
Building configuration...
!
!--- Lines omitted for brevity.
line aux 0
password cisco
login
modem InOut
transport input all
speed 115200
flowcontrol hardware
!--- Lines omitted for brevity.
!
end
Формируйте идентификацию AAA для логина
Для предоставления возможности идентификации разрешение, и считающий (AAA) идентификация для логинов, использует команду
идентификации логина в способе конфигурации линии. Услуги AAA должны также формироваться.
Процедура конфигурации
Когда пользователи пытаются соединиться с маршрутизатором, в этом примере маршрутизатор формируется для восстановления
паролей пользователей от TACACS + сервер.
Примечание: Формирование маршрутизатора для использования других типов серверов AAA (RADIUS, например) подобно.
Посмотрите Идентификацию Формирования для получения дополнительной информации.
Примечание: Этот документ не обращается к конфигурации самого сервера AAA. Обратитесь к Протоколам Сервера безопасности для
получения информации о формировании сервера AAA.
1. От привилегированного EXEC (или "позволяют") быстрый, войдите в способ конфигурации и войдите в команды для
формирования маршрутизатора для использования услуг AAA для идентификации:
router#configure terminal
Enter configuration commands, one per line. End with CNTL/Z.
router(config)#aaa new-model
router(config)#aaa authentication login my-auth-list tacacs+
router(config)#tacacs-server host 192.168.1.101
router(config)#tacacs-server key letmein
2. Переключитесь на способ конфигурации линии с помощью следующих команд. Заметьте что быстрые изменения отражать
текущий способ.
router(config)#line 1 8
router(config-line)#
3. Формируйте проверку пароля в логине.
router(config-line)#login authentication my-auth-list
4. Выходной способ конфигурации.
router(config-line)#end
router#
%SYS-5-CONFIG_I: Configured from console by console
Проверьте конфигурацию
Исследуйте конфигурацию маршрутизатора, чтобы проверить, что были должным образом введены команды:
покажите, что управление-config - показывает текущую конфигурацию маршрутизатора.
router#write terminal
Building configuration...
Current configuration:
!
version 12.0
service timestamps debug uptime
service timestamps log uptime
no service password-encryption
!
hostname router
!
aaa new-model
aaa authentication login my-auth-list tacacs+
!
!--- Lines omitted for brevity
...
!
tacacs-server host 192.168.1.101
tacacs-server key letmein
!
line con 0
line 1 8
login authentication my-auth-list
line aux 0
line vty 0 4
!
end
Для тестирования этой особой конфигурации прибывающая или связь за границу должна быть сделана к линии. Посмотрите Модем Гид Связи Маршрутизатора для определенной информации о формировании async линии для связей модема.
Поочередно, можно формировать одну или более линий VTY, чтобы выполнить идентификацию AAA и выполнить тестирование вслед
за этим.
Расследуйте неудачу логина AAA
Перед тем, чтобы выпускать команды отладки посмотрите Важную информацию о Командах Отладки.
Для поиска неисправностей неудавшейся попытки логина используйте команду отладки, соответствующую конфигурации:
отладьте aaa идентификацию
радиус отладки
отладка kerberos
Соответствующая информация
Примеры конфигурации и технические примечания
© 1992-2014 Cisco Systems, Inc. Все права защищены.
Дата генерации PDF файла: 26 декабря 2014
http://www.cisco.com/cisco/web/support/RU/106/1069/1069532_configpasswords.html