Telnet,在Cisco路由器配置示例的控制台和

AUX端口密码目录简介先决条件要求使用的组件规则背景信息在线路上配置口令配置过程检验配置排除登录故障配置特定于本地用户的口令配置过程检验配置排除特定于用户的口令故障配置AUX线路密码配置过程验证配置配置登录AAA身份验证配置过程检验配置排除AAA登录故障相关信息简介本文档将提供配置入站EXEC到路由器连接的口令保护配置示例.
先决条件要求为了执行本文档中描述的任务,您必须具有对路由器命令行界面(CLI)的特权EXEC访问权限.
有关使用命令行和了解命令模式的信息,请参阅使用CiscoIOS命令行界面.
有关将控制台连接到路由器的说明,请参阅路由器的随附文档,或者参阅设备的在线文档.

使用的组件本文档中的信息基于以下软件和硬件版本:Cisco2509路由器qCiscoIOS软件版本12.
2(19)q本文档中的信息都是基于特定实验室环境中的设备编写的.
本文档中使用的所有设备最初均采用原始(默认)配置.
如果您使用的是真实网络,请确保您已经了解所有命令的潜在影响.

规则有关文档规则的详细信息,请参阅Cisco技术提示规则.
背景信息使用口令保护控制或限制对路由器命令行界面(CLI)的访问是整个安全计划的基本要素之一.
保护路由器免于非授权远程访问(通常为Telnet)是需要配置的最常见的安全性,但是保护路由器免于非授权本地访问也不能忽视.
注意:密码保护只是您在有效的深入网络安全方案中应该使用的众多步骤之一.
防火墙、访问列表和设备物理访问控制是实施安全计划时必须考虑的其他要素.
命令行或对路由器的EXEC访问可以多种方式实现,但在所有情况中,到路由器的入站连接都是通过TTY线路实现的.
TTY线路有四个主要类型,正如本示例showline输出中所示:2509#showlineTtyTypTx/RxAModemRotyAccOAccIUsesNoiseOverrunsInt*0CTY000/0-1TTY9600/9600000/0-2TTY9600/9600000/0-3TTY9600/9600000/0-4TTY9600/9600000/0-5TTY9600/9600000/0-6TTY9600/9600000/0-7TTY9600/9600000/0-8TTY9600/9600000/0-9AUX9600/9600000/0-10VTY000/0-11VTY000/0-12VTY000/0-13VTY000/0-14VTY000/0-2509#CTY线路类型为控制台端口.
在所有路由器上,该类型在路由器配置中显示为linecon0,在showline命令输出中显示为cty.
控制台端口主要用于使用控制台终端进行的本地系统访问.
TTY线路是用于入站或出站调制解调器和终端连接的异步线路,可以看到在路由器或访问服务器配置中该线路显示为linex.
特定线路编号是内置于或安装在路由器或访问服务器上的硬件功能.
AUX线路为辅助端口,在配置中显示为lineaux0.
VTY线路为路由器的虚拟终端线路,仅用于控制入站Telnet连接.
它们是虚拟的,即它们是软件的功能—没有与它们关联的硬件.
它们在配置中显示为linevty04.
以上每种线路类型都可以配置口令保护.
线路可以配置为所有用户使用一个口令,或特定于用户的口令.
可以在路由器本地配置特定于用户的口令,或者使用身份验证服务器提供身份验证.

允许在不同线路上配置不同类型的口令保护.
实际上常见的是,在路由器上,控制台对应单一口令,其他入站连接对应特定于用户的口令.
以下是showrunning-config命令的路由器输出示例:2509#showrunning-configBuildingconfiguration.
.
.
Currentconfiguration:655bytes!
version12.
2.
.
.
!
---Configurationeditedforbrevitylinecon0line18lineaux0linevty04!
end在线路上配置口令要指定线路上的口令,请在线路配置模式下使用password命令.
要启用登录时检查口令,请在线路配置模式下使用login命令.
配置过程在本示例中,将为所有尝试使用控制台的用户配置口令.
从特权EXEC(或"启用")提示符处,进入配置模式,然后使用以下命令切换到线路配置模式.
请注意,提示符将发生更改以反映当前模式.
router#configureterminalEnterconfigurationcommands,oneperline.
EndwithCNTL/Z.
router(config)#linecon0router(config-line)#1.
配置口令,并启用登录时检查口令.
router(config-line)#passwordletmeinrouter(config-line)#login2.
退出配置模式.
router(config-line)#endrouter#%SYS-5-CONFIG_I:Configuredfromconsolebyconsole注意:在验证您的登录能力之前,请勿将配置更改保存到行con0.
3.
注意:在线路控制台配置下,登录是启用登录时密码检查的必需配置命令.
控制台身份验证需要使用password和login命令才能正常工作.
检验配置检查路由器配置,验证是否已正确输入命令:showrunning-config-显示路由器的当前配置.
router#showrunning-configBuildingconfiguration.
.
.
.
.
.
q!
---Linesomittedforbrevity!
linecon0passwordletmeinloginline18lineaux0linevty04!
end要测试配置,请从控制台注销,然后再次登录,使用配置的口令访问路由器:router#exitroutercon0isnowavailablePressRETURNtogetstarted.
UserAccessVerificationPassword:!
---Passwordenteredhereisnotdisplayedbytherouterrouter>注意:在执行此测试之前,请确保您有到路由器的备用连接,如Telnet或拨入,以防重新登录路由器时出现问题.
排除登录故障如果无法再次登录到路由器并且未保存配置,则重新加载路由器将删除您所作的全部配置更改.

如果已保存配置更改,但无法登录路由器,您将必须执行口令恢复.
请参阅口令恢复过程,找到对应您特定平台的说明.
配置特定于本地用户的口令要建立一个基于用户名的身份验证系统,请在全局配置模式下使用username命令.
要启用登录时检查口令,请在线路配置模式下使用loginlocal命令.
配置过程在本示例中,将为尝试使用Telnet连接到VTY线路上路由器的用户配置口令.
从特权EXEC(或"启用")提示符处,进入配置模式,然后为允许访问路由器的每个用户输入一个用户名/口令组合:router#configureterminalEnterconfigurationcommands,oneperline.
EndwithCNTL/Z.
router(config)#usernamerusspasswordmontecitorouter(config)#usernamecindypasswordbelgiumrouter(config)#usernamemikepasswordrottweiler1.
使用以下命令切换到线路配置模式.
请注意,提示符将发生更改以反映当前模式.

router(config)#linevty04router(config-line)#2.
配置登录时的口令检查.
router(config-line)#loginlocal3.
退出配置模式.
router(config-line)#endrouter#%SYS-5-CONFIG_I:Configuredfromconsolebyconsole4.
注意:要在CLI上键入名称时禁用自动Telnet,请在所用行上配置nologgingpreferred.
虽然transportpreferrednone提供同样的输出,但同时也会对配置了iphost命令的已定义主机禁用自动Telnet.
这不同于nologgingpreferred命令,该命令会对未定义的主机禁用自动Telnet,对定义的主机则允许自动Telnet正常工作.
检验配置检查路由器配置,验证是否已正确输入命令:showrunning-config-显示路由器的当前配置.
router#showrunning-configBuildingconfiguration.
.
.
!
!
---Linesomittedforbrevity!
usernamerusspassword0montecitousernamecindypassword0belgiumusernamemikepassword0rottweiler!
!
---Linesomittedforbrevity!
linecon0line18lineaux0linevty04loginlocal!
end要测试此配置,必须与路由器建立Telnet连接.
这可以通过从网络上的不同主机进行连接来实现,但也可以从路由器本身进行测试,方法是通过远程登录连接到路由器上的任何接口IP地址,该接口应在showinterfaces命令输出中显示为up/up状态.
以下是interfaceethernet0地址为10.
1.
1.
1时的示例输出:router#telnet10.
1.
1.
1Trying10.
1.
1.
1.
.
.
OpenUserAccessVerificationUsername:mikePassword:!
---Passwordenteredhereisnotdisplayedbytherouterrouterq排除特定于用户的口令故障用户名和口令区分大小写.
使用大小写错误的用户名或口令尝试登录的用户将被拒绝.

如果用户无法使用他们的特定口令登录路由器,请在路由器上重新配置用户名和口令.

配置AUX线路密码要在AUX线路上指定密码,请在线路配置模式下发出password命令.
要在登录时启用密码检查,请在线路配置模式下发出login命令.
配置过程在本示例中,为尝试使用AUX端口的所有用户配置了密码.
发出showline命令以验证AUX端口使用的线路.
R1#showline1.
TtyTypTx/RxAModemRotyAccOAccIUsesNoiseOverrunsInt*0CTY000/0-65AUX9600/9600010/0-66VTY000/0-67VTY000/0-在本例中,AUX端口在线65.
发出以下命令以配置路由器AUX线路:R1#conftR1(config)#line65R1(config-line)#modeminoutR1(config-line)#speed115200R1(config-line)#transportinputallR1(config-line)#flowcontrolhardwareR1(config-line)#loginR1(config-line)#passwordciscoR1(config-line)#endR1#2.
验证配置检查路由器的配置,以检验命令是否已正确输入:showrunning-config命令可显示路由器的当前配置:R1#showrunning-configBuildingconfiguration.
.
.
!
!
---Linesomittedforbrevity.
lineaux0passwordciscologinmodemInOuttransportinputallspeed115200flowcontrolhardware!
---Linesomittedforbrevity.
!
endq配置登录AAA身份验证要对登录启用身份验证、授权以及记账(AAA)身份验证,请在线路配置模式下使用loginauthentication命令.
同时必须配置AAA服务.
配置过程在本示例中,路由器将配置为在用户尝试连接路由器时从TACACS+服务器检索用户口令.
注意:将路由器配置为使用其他类型的AAA服务器(例如RADIUS)类似.
有关详细信息,请参阅配置身份验证.
注意:本文档不涉及AAA服务器本身的配置.
从特权EXEC(或"启用")提示符处,进入配置模式,然后输入命令,将路由器配置为使用AAA服务进行身份验证:router#configureterminalEnterconfigurationcommands,oneperline.
EndwithCNTL/Z.
router(config)#aaanew-modelrouter(config)#aaaauthenticationloginmy-auth-listtacacs+1.
router(config)#tacacs-serverhost192.
168.
1.
101router(config)#tacacs-serverkeyletmein使用以下命令切换到线路配置模式.
请注意,提示符将发生更改以反映当前模式.