通过CLI在CBS交换机上设置密码
目标
首次通过控制台登录交换机时,必须使用默认用户名和密码(即cisco)。然后,系统将提示您输入并配置思科帐户的新密码。默认情况下启用密码复杂性。如果您选择的密码不够复杂,系统会提示您创建另一个密码。
由于密码用于验证访问设备的用户,因此简单密码可能会带来安全隐患。因此,默认情况下会强制执行密码复杂性要求,并且可能会根据需要进行配置。
本文提供有关如何通过思科业务交换机(CBS)250和350系列中的命令行界面(CLI)在交换机上定义基本密码设置、线路密码、启用密码、服务密码恢复、用户帐户的密码复杂性规则以及密码老化设置的说明。
注意:您还可以通过交换机的基于Web的实用程序配置密码强度和复杂性设置。单击此处获取说明。
适用设备 |软件版本
通过CLI配置密码设置
从以下选项中,选择要配置的密码设置:
配置基本密码设置
步骤1.登录交换机控制台。默认用户名和密码为cisco。
注意:可用命令或选项可能因设备的确切型号而异。在本例中,使用CBS350交换机。
步骤2.系统将提示您配置新密码以更好地保护网络。在键盘上按Y表示是或按N表示否。
注意:在本例中,按Y。
步骤3.输入旧密码,然后按键盘上的Enter键。
步骤4.输入并确认新密码,然后在键盘上按Enter键。
步骤5.使用enable命令进入特权执行模式。在交换机的特权执行模式下,输入以下命令,将配置的设置保存到启动配置文件:
CBS350#copy running-config startup-config
第6步。(可选)出现“Overwrite file [startup-config].....”提示后,在键盘上按Y表示“Yes”或N表示“No”。
您现在应该已通过CLI在交换机上配置基本密码设置。
配置线路密码设置
步骤1.登录交换机控制台。默认用户名和密码为cisco。如果已配置新的用户名或密码,请输入这些凭证。
步骤2.在交换机的特权执行模式下,输入以下命令进入全局配置模式:
CBS350#configure terminal步骤3.要在控制台、Telnet、安全外壳(SSH)等线路上配置口令,请输入以下命令进入口令线路配置模式:
CBS350(config)#line [line-name]注意:在本例中,使用的线路是Telnet。
步骤4.输入以下命令输入线路的password命令:
CBS350(config-line)#password [password][encrypted]选项有:
- password — 指定线路的密码。长度范围为0到159个字符。
- encrypted — (可选)指定密码已加密并从其他设备配置复制。
注意:在本例中,为Telnet线路指定密码Cisco123$。
步骤5.(可选)要将线路密码恢复为默认密码,请输入以下命令:
CBS350(config-line)#no password步骤6.输入end命令返回交换机的特权执行模式。
CBS350(config)#end步骤7.(可选)在交换机的特权执行模式下,输入以下命令,将配置的设置保存到启动配置文件:
CBS350#copy running-config startup-config第8步。(可选)出现“Overwrite file [startup-config].....”提示后,在键盘上按Y表示“Yes”或N表示“No”。
您现在应该已通过CLI在交换机上配置线路密码设置。
配置启用密码设置
当您配置新的启用密码时,该密码会自动加密并保存到运行配置文件。无论密码如何输入,都会在运行配置文件中显示,其中关键字encrypted和加密密码。
按照以下步骤通过CLI在交换机上配置启用密码设置:
步骤1.登录交换机控制台。默认用户名和密码为cisco。如果已配置新的用户名或密码,请输入这些凭证。
步骤2.在交换机的特权执行模式下,输入以下命令进入全局配置模式:
CBS350#configure terminal步骤3.要在交换机上为特定用户访问级别配置本地密码,请输入以下命令:
CBS350(config)#enable password [level privilege-level] [unencrypted-password |encrypted encrypted-password]选项有:
- level privilege-level — 指定密码应用的级别。级别范围为1到15。如果未指定,则级别设置为默认值15。用户级别如下:
— 只读CLI访问(1) — 用户无法访问GUI,并且只能访问不更改设备配置的CLI命令。
— 读取/有限写入CLI访问(7) — 用户无法访问GUI,并且只能访问某些更改设备配置的CLI命令。有关详细信息,请参阅《CLI参考指南》。
— 读/写管理访问(15) — 用户可以访问GUI,并可以配置设备。
CBS350(config)#enable password level 7 Cisco123$注意:在本示例中,为7级用户帐户设置密码Cisco123$。
- unencrypted-password — 您当前使用的用户名的密码。长度范围为0到159个字符。
注意:在本示例中,使用密码Cisco123$。
- encrypted encrypted-password — 指定密码已加密。您可以使用此命令输入已从另一设备的另一个配置文件加密的密码。这将允许您使用相同的密码配置两台交换机。
注意:在本示例中,使用的加密密码为6f43205030a2f3a1e243873007370fab。这是Cisco123$的加密版本。
注意:在上例中,为7级访问设置使能密码Cisco123$。
步骤4.(可选)要将用户密码恢复为默认密码,请输入以下命令:
CBS350(config)#no enable password步骤5.输入exit命令,返回交换机的特权执行模式。
CBS350(config)#exit步骤6.(可选)在交换机的特权执行模式下,输入以下命令,将配置的设置保存到启动配置文件:
CBS350#copy running-config startup-config第7步。(可选)出现“Overwrite file [startup-config].....”提示后,在键盘上按Y表示“Yes”或N表示“No”。
您现在应该已通过CLI在交换机上配置启用密码设置。
配置服务密码恢复设置
服务密码恢复机制允许您通过以下条件物理访问设备的控制台端口:
- 如果启用了口令恢复,则可以访问启动菜单并在启动菜单中触发口令恢复。保留所有配置文件和用户文件。
- 如果禁用了口令恢复,则可以访问启动菜单并在启动菜单中触发口令恢复。配置文件和用户文件将被删除。
- 如果设备配置为使用用户定义的安全敏感数据密码来保护其敏感数据,则即使启用了密码恢复,也无法从启动菜单触发密码恢复。
默认情况下,服务密码恢复已启用。按照以下步骤通过CLI在交换机上配置服务密码恢复设置:
步骤1.登录交换机控制台。默认用户名和密码为cisco。如果已配置新的用户名或密码,请输入这些凭证。
步骤2.在交换机的特权执行模式下,输入以下命令进入全局配置模式:
CBS350#configure terminal步骤3.(可选)要在交换机上启用口令恢复设置,请输入以下命令:
CBS350#服务密码恢复步骤4.(可选)要禁用交换机上的口令恢复设置,请输入以下命令:
CBS350#no service password-recovery步骤5.(可选)出现以下提示后,在键盘上按Y表示是,或按N表示否。
注意:在本例中,按Y。
步骤6.输入exit命令,返回交换机的特权EXEC模式。
CBS350(config)#exit步骤7.(可选)在交换机的特权执行模式下,输入以下命令,将配置的设置保存到启动配置文件:
CBS350#copy running-config startup-config第8步。(可选)出现“Overwrite file [startup-config].....”提示后,在键盘上按Y表示“Yes”或N表示“No”。
您现在应该已通过CLI在交换机上配置密码恢复设置。
配置密码复杂性设置
交换机的密码复杂性设置为密码启用复杂性规则。如果启用此功能,则新密码必须符合以下默认设置:
- 最小长度为8个字符。
- 包含至少四个字符类的字符,例如大写字母、小写字母、数字和标准键盘上可用的特殊字符。
- 与当前密码不同。
- 不包含连续重复三次以上的字符。
- 请勿重复或反转用户名或更改字符大小写所达到的任何变体。
- 请勿重复或反转制造商名称或更改字符大小写所达到的任何变体。
您可以使用特定命令控制上述密码复杂性属性。如果您之前配置了其他复杂性设置,则使用这些设置。
默认情况下,此功能已启用。按照以下步骤通过CLI在交换机上配置密码复杂性设置:
步骤1.登录交换机控制台。默认用户名和密码为cisco。如果已配置新的用户名或密码,请输入这些凭证。
步骤2.在交换机的特权执行模式下,输入以下命令进入全局配置模式:
CBS350#configure terminal步骤3.(可选)要在交换机上启用密码复杂性设置,请输入以下命令:
CBS350(config)#口令复杂性启用步骤4.(可选)要禁用交换机上的密码复杂性设置,请输入以下命令:
CBS350(config)#no passwords complexity enable步骤5.(可选)要配置密码的最低要求,请输入以下命令:
CBS350(config)#密码复杂性[min-length number] [min-classes number] [not-current] [no-repeat number] [not-username] [not manufacturer-name]选项有:
- min-length number — 设置密码的最小长度。范围为0到64个字符。默认值为 8。
- min-classes number — 设置标准键盘上可用的最小字符类,如大写字母、小写字母、数字和特殊字符。范围为0至4个类。默认值为 3。
- not-current — 指定新密码不能与当前密码相同。
- no-repeat number — 指定新密码中可连续重复的最大字符数。零指定对重复字符没有限制。范围为0到16个字符。默认值为 3。
- not-username — 指定密码不能重复或反转用户名或更改字符大小写所达到的任何变体。
- not-manufacturer-name — 指定密码不能重复或反转制造商的名称或通过更改字符大小写达到的任何变体。
注意:这些命令不会清除其他设置。配置密码复杂性设置仅作为切换操作。
注意:在本示例中,密码复杂性设置为至少9个字符,不能重复或反转用户名,并且不能与当前密码相同。
步骤6.输入exit命令,返回交换机的特权EXEC模式。
CBS350(config)#exit步骤7.(可选)在交换机的特权执行模式下,输入以下命令,将配置的设置保存到启动配置文件:
CBS350#copy running-config startup-config第8步。(可选)出现“Overwrite file [startup-config].....”提示后,在键盘上按Y表示“Yes”或N表示“No”。
您现在应该已通过CLI在交换机上配置密码复杂性设置。
要显示交换机CLI上的密码配置设置,请跳至显示密码配置设置。
配置密码老化设置
老化仅与权限级别为15的本地数据库用户和配置的权限级别为15的使能密码相关。默认配置为180天。
按照以下步骤通过CLI在交换机上配置密码复杂性设置:
步骤1.登录交换机控制台。默认用户名和密码为cisco。如果已配置新的用户名或密码,请输入这些凭证。
步骤2.在交换机的特权执行模式下,输入以下命令进入全局配置模式:
CBS350#configure terminal步骤3.要指定交换机上的密码老化设置,请输入以下命令:
CBS350(config)#密码老化[天]- days — 指定强制更改密码前的天数。可以使用0禁用老化。范围为0至365天。
注意:在本例中,密码老化设置为60天。
步骤4.(可选)要禁用交换机上的密码老化,请输入以下命令:
CBS350(config)#no passwords aging 0(CBS350(config)#no passwords aging 0)步骤5.(可选)要将密码老化恢复为默认设置,请输入以下命令:
CBS350(config)#no passwords aging [days]步骤6.输入exit命令,返回交换机的特权EXEC模式。
CBS350(config)#exit步骤7.(可选)在交换机的特权执行模式下,输入以下命令,将配置的设置保存到启动配置文件:
CBS350#copy running-config startup-config第8步。(可选)出现“Overwrite file [startup-config].....”提示后,在键盘上按Y表示“Yes”或N表示“No”。
您现在应该已通过CLI在交换机上配置密码老化设置。
要显示交换机CLI上的密码配置设置,请跳至显示密码配置设置。
显示密码配置设置
老化仅与权限级别为15的本地数据库用户和配置的权限级别为15的使能密码相关。默认配置为180天。
步骤1.在交换机的特权执行模式下,输入以下命令:
CBS350(config)#show passwords configuration
反馈