通过命令行界面 (CLI) 配置交换机的密码设置

下载选项

PDF (1.3 MB)
在各种设备上使用 Adobe Reader 查看
ePub (1.2 MB)
在 iPhone、iPad、Android、Sony Reader 或 Windows Phone 上使用各种应用查看
Mobi (Kindle) (610.3 KB)
在 Kindle 设备上查看或在多个设备上使用 Kindle 应用查看

已更新: 2020 年 2 月 17 日

文档 ID:SMB5563

非歧视性语言

此产品的文档集力求使用非歧视性语言。在本文档集中，非歧视性语言是指不隐含针对年龄、残障、性别、种族身份、族群身份、性取向、社会经济地位和交叉性的歧视的语言。由于产品软件的用户界面中使用的硬编码语言、基于 RFP 文档使用的语言或引用的第三方产品使用的语言，文档中可能无法确保完全使用非歧视性语言。深入了解思科如何使用包容性语言。

关于此翻译

思科采用人工翻译与机器翻译相结合的方式将此文档翻译成不同语言，希望全球的用户都能通过各自的语言得到支持性的内容。请注意：即使是最好的机器翻译，其准确度也不及专业翻译人员的水平。 Cisco Systems, Inc. 对于翻译的准确性不承担任何责任，并建议您总是参考英文原始文档（已提供链接）。

目标

首次通过控制台登录到交换机时，必须使用默认用户名和密码，即 cisco。然后，系统将提示您输入并配置思科账户的新密码。默认情况下，将启用密码复杂性设置。如果您选择的密码不够复杂，系统将提示您创建其他密码。

由于密码用于验证访问设备的用户，所以简单的密码可能会危害安全。因此，默认情况下将实施密码复杂性要求，并可在必要时进行配置。

本文介绍如何通过命令行界面 (CLI) 定义交换机的基本密码设置、线路密码、启用密码、服务密码恢复、用户账户的密码复杂性规则以及密码过期设置。

注：您还可以选择通过交换机的基于Web的实用程序配置密码强度和复杂性设置。有关说明，请单击此处。

适用设备 | 软件版本

Sx300系列 | 1.4.7.06（下载最新版本）
Sx350 系列 | 2.2.8.04（下载最新版本）
SG350X 系列 | 2.2.8.04（下载最新版本）
Sx500 系列 | 1.4.7.06（下载最新版本）
Sx550X 系列 | 2.2.8.04（下载最新版本）

通过 CLI 配置密码设置

从以下选项中选择要配置的密码设置：

配置基本密码设置

步骤1:登录到交换机控制台。默认用户名和密码为 cisco。

注：可用的命令或选项可能因设备的具体型号而异。在本示例中，使用了 SG350X 交换机。

第二步：系统将提示您配置新密码，以便更好地保护您的网络。按键盘上的 Y（表示“是”）或 N（表示“否”）。

注意：在本示例中，按Y。

第三步：输入旧密码，然后在键盘上按Enter。

第四步：输入并确认新密码，然后在键盘上按Enter。

第五步：使用enable命令进入特权EXEC模式。在交换机的特权 EXEC 模式下，输入以下命令，将已配置的设置保存到启动配置文件：

SG350X#copy running-config startup-config

步骤 6：（可选）出现 Overwrite file [startup-config]… 提示后，按键盘上的 Y（表示“是”）或 N（表示“否”）。

现在，您应已通过 CLI 配置了交换机的基本密码设置。

配置线路密码设置

步骤1:登录到交换机控制台。默认用户名和密码为 cisco。如果您配置了新的用户名或密码，则输入这些凭证。

第二步：在交换机的特权EXEC模式下，输入以下命令进入全局配置模式：

SG350X#configure terminal

第三步：要在控制台、Telnet、Secure Shell(SSH)等线路上配置口令，请输入以下命令以进入口令线路配置模式：

SG350X(config)#line [line-name]

注意：在本示例中，使用的线路是Telnet。

第四步：输入以下命令，输入线路的password命令：

SG350X(config-line)#password [password][encrypted]

选项有：

password - 指定线路的密码。长度范围为 0 到 159 个字符。
encrypted -（可选）指定密码已加密且已从其他设备配置复制。

注意：在本示例中，为Telnet线路指定了口令Cisco123$。

步骤 5：（可选）要将线路密码恢复为默认密码，请输入以下命令：

SG350X(config-line)#no password

第六步：输入end命令返回交换机的特权EXEC模式。

SG350X(config)#end

步骤 7：（可选）在交换机的特权 EXEC 模式下，输入以下命令，将已配置的设置保存到启动配置文件：

SG350X#copy running-config startup-config

步骤 8：（可选）出现 Overwrite file [startup-config]… 提示后，按键盘上的 Y（表示“是”）或 N（表示“否”）。

现在，您应已通过 CLI 配置了交换机的线路密码设置。

配置启用密码设置

配置新的启用密码后，该密码会自动加密并保存到正在运行的配置文件中。无论以何种方式输入该密码，该密码都将与加密密码一起显示在正在运行的配置文件中，并带有关键字加密。

请按照以下步骤，通过 CLI 配置交换机的启用密码设置：

步骤1:登录到交换机控制台。默认用户名和密码为 cisco。如果您配置了新的用户名或密码，则输入这些凭证。

第二步：在交换机的特权EXEC模式下，输入以下命令进入全局配置模式：

SG350X#configure terminal

第三步：要在交换机上的特定用户访问级别上配置本地密码，请输入以下命令：

SG350X(config)#enable password [level privilege-level] [unencrypted-password | encrypted encrypted-password]

选项有：

level privilege-level - 指定密码应用的级别。级别范围为1至15。如果未指定，级别将设置为默认值15。用户级别如下：

- 只读 CLI 访问 (1) - 用户无法访问 GUI，仅可访问不会更改设备配置的 CLI 命令。

- 读取/受限写入 CLI 访问 (7) - 用户无法访问 GUI，仅可访问某些可以更改设备配置的 CLI 命令。有关详情，请参阅 CLI 参考指南。

- 读/写管理访问 (15) - 用户可以访问 GUI，并可以配置设备。

SG350X(config)#enable password level 7 Cisco123$

注意：在本示例中，为级别 7 用户账户设置了密码 Cisco123$。

unencrypted-password - 您当前使用的用户名的密码。长度范围为 0 到 159 个字符。

SG350X(config)#enable password level Cisco123$

注意：在本示例中，使用了密码 Cisco123$。

encrypted encrypted-password - 指定密码已加密。您可以使用此命令输入已从其他设备的其他配置文件加密的密码。这允许您为两台交换机配置相同的密码。

SG350X(config)#enable password encrypted 6f43205030a2f3a1e243873007370fab

注意：在本示例中，使用的加密口令为6f43205030a2f3a1e243873007370fab。这是 Cisco123$ 的加密版本。

注意：在上述示例中，为7级访问设置了启用密码Cisco123$。

步骤 4：（可选）要将用户密码恢复为默认密码，请输入以下命令：

SG350X(config)#no enable password

第五步：输入exit命令返回交换机的特权EXEC模式。

SG350X(config)#exit

步骤 6：（可选）在交换机的特权 EXEC 模式下，输入以下命令，将已配置的设置保存到启动配置文件：

SG350X#copy running-config startup-config

步骤 7：（可选）出现 Overwrite file [startup-config]… 提示后，按键盘上的 Y（表示“是”）或 N（表示“否”）。

现在，您应已通过 CLI 配置了交换机的启用密码设置。

配置服务密码恢复设置

服务密码恢复机制可在以下情况下为您提供对设备控制台端口的物理访问权限：

如已启用密码恢复，则可访问启动菜单并在启动菜单中触发密码恢复。系统会保留所有配置文件和用户文件。
如已禁用密码恢复，则可访问启动菜单并在启动菜单中触发密码恢复。系统会删除配置文件和用户文件。
如果设备配置为使用用户定义的安全敏感数据密码来保护其敏感数据，则即使已启用密码恢复，也无法从启动菜单触发密码恢复。

默认启用服务密码恢复。请按照以下步骤，通过 CLI 配置交换机的服务密码恢复设置：

步骤1:登录到交换机控制台。默认用户名和密码为 cisco。如果您配置了新的用户名或密码，则输入这些凭证。

第二步：在交换机的特权EXEC模式下，输入以下命令进入全局配置模式：

SG350X#configure terminal

步骤 3：（可选）要启用交换机的密码恢复设置，请输入以下命令：

SG350X#service password-recovery

步骤 4：（可选）要禁用交换机的密码恢复设置，请输入以下命令：

SG350X#no service password-recovery

步骤 5：（可选）出现以下提示后，按键盘上的 Y（表示“是”）或 N（表示“否”）。

注意：在本示例中，按Y。

第六步：输入exit命令返回交换机的特权EXEC模式。

SG350X(config)#exit

步骤 7：（可选）在交换机的特权 EXEC 模式下，输入以下命令，将已配置的设置保存到启动配置文件：

SG350X#copy running-config startup-config

步骤 8：（可选）出现 Overwrite file [startup-config]… 提示后，按键盘上的 Y（表示“是”）或 N（表示“否”）。

现在，您应已通过 CLI 配置了交换机的密码恢复设置。

配置密码复杂性设置

交换机的密码复杂性设置会启用密码复杂性规则。如果启用此功能，新密码必须符合以下默认设置：

密码最小长度为 8 个字符。
包含至少 4 个字符类别的字符，例如大写字母、小写字母、数字和标准键盘上可用的特殊字符。
不同于当前密码。
不得包含连续重复 3 次以上的字符。
不能与用户名重复，不能是以反向顺序排列的用户名，或者是通过更改字符大小写产生的任意变体。
不能与制造商名重复，不能是以反向顺序排列的制造商名，或者是通过更改字符大小写产生的任意变体。

您可以使用特定命令控制上述密码复杂性的属性。如果之前配置了其他复杂性设置，则会使用这些设置。

默认情况下启用此功能。请按照以下步骤，通过 CLI 配置交换机的密码复杂性设置：

步骤1:登录到交换机控制台。默认用户名和密码为 cisco。如果您配置了新的用户名或密码，则输入这些凭证。

第二步：在交换机的特权EXEC模式下，输入以下命令进入全局配置模式：

SG350X#configure terminal

步骤 3：（可选）要启用交换机的密码复杂性设置，请输入以下命令：

SG350X(config)#passwords complexity enable

步骤 4：（可选）要禁用交换机的密码复杂性设置，请输入以下命令：

SG350X(config)#no passwords complexity enable

步骤 5：（可选）要配置最低密码要求，请输入以下命令：

SG350X(config)#passwords complexity [min-length number] [min-classes number] [not-current] [no-repeat number] [not-username] [not manufacturer-name]

选项有：

min-length number - 设置密码的最小长度。范围为 0 到 64 个字符。默认值为 8。
min-classes number - 设置最小字符类别数，例如大写字母、小写字母、数字和标准键盘上可用的特殊字符。范围为 0 到 4 个类别。默认值为 3。
not-current - 指定新密码不得与当前密码相同。
no-repeat number - 指定新密码中可以连续重复的最大字符数。零表示对重复字符数没有限制。范围为 0 到 16 个字符。默认值为 3。
not-username - 指定密码不能与用户名重复，不能是以反向顺序排列的用户名，或者是通过更改字符大小写产生的任意变体。
not-manufacturer-name - 指定密码不能与制造商名重复，不能是以反向顺序排列的制造商名，或者是通过更改字符大小写产生的任意变体。

注意：这些命令不会清除其他设置。配置密码复杂性设置仅作为切换操作。