通過CLI在CBS交換機上進行密碼設定
目標
首次通過控制檯登入交換機時,必須使用預設使用者名稱和密碼,即cisco。然後系統會提示您輸入並配置思科帳戶的新密碼。預設情況下啟用密碼複雜性。如果您選擇的密碼不夠複雜,系統將提示您建立另一個密碼。
由於密碼用於驗證訪問裝置的使用者,因此簡單密碼是潛在的安全隱患。因此,預設情況下會強制實施密碼複雜性要求,必要時可對其進行配置。
本文提供如何透過思科商務交換器(CBS)250和350系列中的指令行介面(CLI)定義交換器上的基本密碼設定、線路密碼、啟用密碼、服務密碼復原、密碼複雜性規則,以及密碼老化設定。
附註:您還可以通過交換機的基於Web的實用程式配置密碼強度和複雜性設定。按一下此處獲取說明。
適用裝置 |軟體版本
通過CLI配置密碼設定
從以下選項中選擇要配置的密碼設定:
配置基本密碼設定
步驟1.登入到交換機控制檯。預設使用者名稱和密碼為cisco。
附註:可用的命令或選項可能會因裝置的具體型號而異。本範例中使用的是CBS350交換器。
步驟2.系統將提示您配置新密碼,以便更好地保護您的網路。按鍵盤上的Y鍵選擇「Yes(是)」或「N(否)」。
附註:在此示例中,Y被按下。
步驟3.輸入舊密碼,然後按鍵盤上的Enter鍵。
步驟4.相應地輸入並確認新密碼,然後按鍵盤上的Enter。
步驟5.使用enable命令進入特權執行模式。在交換機的特權EXEC模式下,輸入以下命令,將配置的設定儲存到啟動配置檔案中:
CBS350#copy running-config startup-config
步驟6.(可選)出現Overwrite file [startup-config]...提示後,在鍵盤上按Y選擇「Yes」,或按N選擇「No」。
現在,您應該已經通過CLI在交換機上配置了基本密碼設定。
配置線路密碼設定
步驟1.登入到交換機控制檯。預設使用者名稱和密碼為cisco。如果已配置新的使用者名稱或密碼,請輸入這些憑據。
步驟2.在交換機的特權EXEC模式下,輸入以下命令進入全域性配置模式:
CBS350#configure終端步驟3.要在控制檯、Telnet、Secure Shell(SSH)等線路上配置口令,請輸入以下命令以進入口令線路配置模式:
CBS350(config)#line [line-name]附註:在本示例中,使用的行是Telnet。
步驟4.輸入以下命令,輸入該行的password命令:
CBS350(config-line)#password [password][encrypted]選項包括:
- password — 指定線路的密碼。長度範圍為0到159個字元。
- encrypted — (可選)指定密碼已加密並從其他裝置配置複製。
附註:在此範例中,為Telnet線路指定密碼Cisco123$。
步驟5.(可選)要將線路口令恢復為預設口令,請輸入以下內容:
CBS350(config-line)#no password步驟6.輸入end命令返回交換機的特權執行模式。
CBS350(config)#end步驟7.(可選)在交換機的特權EXEC模式下,輸入以下命令,將配置的設定儲存到啟動配置檔案中:
CBS350#copy running-config startup-config步驟8.(可選)出現Overwrite file [startup-config]...提示後,在鍵盤上按Y選擇「Yes」,或按N選擇「No」。
現在,您應該已經通過CLI配置交換機上的線路密碼設定。
配置啟用密碼設定
設定新的啟用密碼時,系統會自動對其進行加密,並將其儲存到執行組態檔中。無論輸入密碼的方式如何,它都會顯示在運行配置檔案中,並且關鍵字已加密與加密的密碼一起加密。
按照以下步驟通過CLI配置交換機上的啟用密碼設定:
步驟1.登入到交換機控制檯。預設使用者名稱和密碼為cisco。如果已配置新的使用者名稱或密碼,請輸入這些憑據。
步驟2.在交換機的特權EXEC模式下,輸入以下命令進入全域性配置模式:
CBS350#configure終端步驟3.要在交換機上的特定使用者訪問級別上配置本地密碼,請輸入以下內容:
CBS350(config)#enable password [level privilege-level] [unencrypted-password | encrypted encrypted-password]選項包括:
- level privilege-level — 指定密碼應用的級別。級別範圍從1到15。如果未指定,級別將設定為預設值15。使用者級別如下:
— 只讀CLI訪問(1) — 使用者無法訪問GUI,並且只能訪問不更改裝置配置的CLI命令。
— 讀取/受限寫入CLI訪問(7) — 使用者無法訪問GUI,且只能訪問某些更改裝置配置的CLI命令。有關詳細資訊,請參閱CLI參考指南。
— 讀/寫管理訪問(15) — 使用者可以訪問GUI,並可以配置裝置。
CBS350(config)#enable password level 7 Cisco123$注意:在本示例中,為7級使用者帳戶設定密碼Cisco123$。
- unencrypted-password — 您目前使用的使用者名稱的密碼。長度範圍為0到159個字元。
注意:在本示例中,使用密碼Cisco123$。
- encrypted encrypted-password — 指定密碼已加密。您可以使用此命令輸入已從其他裝置的另一個配置檔案加密的密碼。這麼做可讓您使用相同的密碼設定兩台交換器。
附註:在本範例中,使用的加密密碼為43205030f-a2f3a1e243873007370fab。這是Cisco123$的加密版本。
附註:在上方範例中,為7級存取設定啟用密碼Cisco123$。
步驟4.(可選)要將使用者密碼恢復為預設密碼,請輸入以下內容:
CBS350(config)#no enable password步驟5.輸入exit命令返回交換機的特權執行模式。
CBS350(config)#exit步驟6.(可選)在交換機的特權EXEC模式下,輸入以下命令,將配置的設定儲存到啟動配置檔案中:
CBS350#copy running-config startup-config步驟7.(可選)出現Overwrite file [startup-config]...提示後,在鍵盤上按Y選擇「Yes」,或按N選擇「No」。
現在,您應該已經通過CLI在交換機上配置了啟用密碼設定。
配置服務密碼恢復設定
服務密碼恢復機制使您能夠以以下條件實際訪問裝置的控制檯埠:
- 如果啟用密碼恢復,則您可以訪問引導選單並在引導選單中觸發密碼恢復。保留所有配置檔案和使用者檔案。
- 如果禁用密碼恢復,則可以訪問引導選單並在引導選單中觸發密碼恢復。配置檔案和使用者檔案被刪除。
- 如果裝置配置為使用使用者定義的安全敏感資料密碼保護敏感資料,則即使啟用了密碼恢復,也不能從啟動選單觸發密碼恢復。
預設情況下啟用服務密碼恢復。按照以下步驟通過CLI配置交換機上的服務密碼恢復設定:
步驟1.登入到交換機控制檯。預設使用者名稱和密碼為cisco。如果已配置新的使用者名稱或密碼,請輸入這些憑據。
步驟2.在交換機的特權EXEC模式下,輸入以下命令進入全域性配置模式:
CBS350#configure終端步驟3.(可選)若要在交換器上啟用密碼復原設定,請輸入以下內容:
CBS350#service password-recovery步驟4.(可選)若要停用交換器上的密碼復原設定,請輸入以下內容:
CBS350#no service password-recovery步驟5.(可選)出現以下提示後,在鍵盤上按Y選擇「Yes(是)」或N選擇「No(否)」。
附註:在此示例中,Y被按下。
步驟6.輸入exit命令返回交換機的特權執行模式。
CBS350(config)#exit步驟7.(可選)在交換機的特權EXEC模式下,輸入以下命令,將配置的設定儲存到啟動配置檔案中:
CBS350#copy running-config startup-config步驟8.(可選)出現Overwrite file [startup-config]...提示後,在鍵盤上按Y選擇「Yes」,或按N選擇「No」。
現在,您應該已經通過CLI在交換機上配置了密碼恢復設定。
配置密碼複雜性設定
交換機的密碼複雜性設定啟用密碼複雜性規則。如果啟用此功能,新密碼必須符合以下預設設定:
- 最少八個字元。
- 包含至少四個字元類(如大寫字母、小寫字母、數字和標準鍵盤上可用的特殊字元)中的字元。
- 與當前密碼不同。
- 不包含連續重複三次以上的字元。
- 請勿重複或反轉使用者名稱或通過更改字元的大小寫而達到的任何變體。
- 不要重複或反轉製造商名稱或通過更改字元的大小寫所達到的任何變體。
您可以使用特定命令控制上述口令複雜性的屬性。如果以前配置了其他複雜性設定,則使用這些設定。
此功能預設啟用。按照以下步驟通過CLI配置交換機上的密碼複雜性設定:
步驟1.登入到交換機控制檯。預設使用者名稱和密碼為cisco。如果已配置新的使用者名稱或密碼,請輸入這些憑據。
步驟2.在交換機的特權EXEC模式下,輸入以下命令進入全域性配置模式:
CBS350#configure終端步驟3.(可選)要在交換機上啟用密碼複雜性設定,請輸入以下內容:
CBS350(config)#passwords complexity enable步驟4.(可選)要在交換機上禁用密碼複雜性設定,請輸入以下命令:
CBS350(config)#no passwords complexity enable步驟5.(可選)要配置口令的最低要求,請輸入以下內容:
CBS350(config)#passwords complexity [min-length number] [min-classes number] [not-current] [no-repeat number] [not-username] [not manufacturer-name]選項包括:
- min-length number — 設定密碼的最小長度。範圍為0到64個字元。預設值為 8。
- min-classes number — 設定標準鍵盤上可用的最小字元類,如大寫字母、小寫字母、數字和特殊字元。範圍為0到4個類。預設值為 3。
- not-current — 指定新密碼不能與當前密碼相同。
- no-repeat number — 指定新密碼中可連續重複的最大字元數。零表示對重複字元沒有限制。範圍為0到16個字元。預設值為 3。
- not-username — 指定密碼不能重複或反轉使用者名稱或通過更改字元的大小寫而達到的任何變體。
- not-manufacturer-name — 指定密碼不能重複或反轉通過更改字元的大小寫而達到的製造商名稱或任何變體的名稱。
附註:這些命令不會消除其他設定。配置密碼複雜性設定僅作為切換操作。
附註:在此示例中,密碼複雜性設定為至少9個字元,不能重複或反轉使用者名稱,且不能與當前密碼相同。
步驟6.輸入exit命令返回交換機的特權執行模式。
CBS350(config)#exit步驟7.(可選)在交換機的特權EXEC模式下,輸入以下命令,將配置的設定儲存到啟動配置檔案中:
CBS350#copy running-config startup-config步驟8.(可選)出現Overwrite file [startup-config]...提示後,在鍵盤上按Y選擇「Yes」,或按N選擇「No」。
現在,您應該已經通過CLI在交換機上配置密碼複雜性設定。
要在交換機的CLI上顯示密碼配置設定,請跳至顯示密碼配置設定。
配置密碼老化設定
老化僅與許可權級別為15的本地資料庫使用者和許可權級別為15的已配置啟用密碼相關。預設配置為180天。
按照以下步驟通過CLI配置交換機上的密碼複雜性設定:
步驟1.登入到交換機控制檯。預設使用者名稱和密碼為cisco。如果已配置新的使用者名稱或密碼,請輸入這些憑據。
步驟2.在交換機的特權EXEC模式下,輸入以下命令進入全域性配置模式:
CBS350#configure終端步驟3.要在交換機上指定口令老化設定,請輸入以下內容:
CBS350(config)#passwords aging [days]- days — 指定強制更改密碼之前的天數。您可以使用0禁用老化。範圍為0至365天。
附註:在本例中,密碼老化設定為60天。
步驟4.(可選)要在交換機上禁用密碼時效,請輸入以下內容:
CBS350(config)#no密碼老化0步驟5.(可選)要將口令老化恢復為預設設定,請輸入以下內容:
CBS350(config)#no passwords aging [days]步驟6.輸入exit命令返回交換機的特權執行模式。
CBS350(config)#exit步驟7.(可選)在交換機的特權EXEC模式下,輸入以下命令,將配置的設定儲存到啟動配置檔案中:
CBS350#copy running-config startup-config步驟8.(可選)出現Overwrite file [startup-config]...提示後,在鍵盤上按Y選擇「Yes」,或按N選擇「No」。
現在,您應該已經通過CLI在交換機上配置了密碼老化設定。
要在交換機的CLI上顯示密碼配置設定,請跳至顯示密碼配置設定。
顯示密碼配置設定
老化僅與許可權級別為15的本地資料庫使用者和許可權級別為15的已配置啟用密碼相關。預設配置為180天。
步驟1.在交換機的特權執行模式下,輸入以下命令:
CBS350(config)#show passwords configuration
意見