前言
交換機(jī)系列的 5000 和 6000(4000���,正在運(yùn)行)支持某種形式的身份驗(yàn)證,從代碼 2.2 開始。最新版本添加了增強(qiáng)功能。+(TCP 端口 49,而不是 UDP 端口 49)�����、遠(yuǎn)程訪問撥入用戶服務(wù) () 或身份驗(yàn)證���、授權(quán)和計(jì)費(fèi) (AAA) 的服務(wù)器用戶設(shè)置與路由器用戶相同�。本文檔包含啟用這些功能所需的最少命令示例�。其他選項(xiàng)可在所考慮版本的交換機(jī)文檔中找到。
背景資料
由于最新的編解碼器版本支持其他選項(xiàng)���,因此您需要通過在交換機(jī)上發(fā)出 show 命令來確定您正在使用的編解碼器版本����。一旦您確定了交換機(jī)上使用的編解碼器版本��,請使用下表來確定您的設(shè)備上可用的選項(xiàng)以及您希望配置的選項(xiàng)�。
通常�����,在添加身份驗(yàn)證和授權(quán)時(shí)始終保持在交換機(jī)上�����。在另一個(gè)窗口中測試配置以避免意外鎖定。
配置步驟
步驟 A - + 認(rèn)證
在早期的代碼版本中����,命令不像在某些后期版本中那樣復(fù)雜。在最新版本中�����,您的交換機(jī)上可能還提供其他選項(xiàng)���。
如果服務(wù)器發(fā)生故障�,通過發(fā)出以下命令確定交換機(jī)是否存在后門:set login local
通過發(fā)出以下命令啟用 +:set login
通過發(fā)出以下命令定義服務(wù)器:set #.#.#.#
通過發(fā)出以下命令定義服務(wù)器密鑰(這與 + 一起是可選的�,因?yàn)闀?huì)導(dǎo)致交換機(jī)加密服務(wù)器數(shù)據(jù)。如果使用���,它必須與服務(wù)器相同): set key
步驟 B - 身份驗(yàn)證
在早期的代碼版本中����,命令不像在某些后期版本中那樣復(fù)雜����。在最新版本中,您的交換機(jī)上可能還提供其他選項(xiàng)�。
如果服務(wù)器發(fā)生故障���,通過發(fā)出以下命令確定交換機(jī)是否存在后門:set login local
通過發(fā)出以下命令啟用身份驗(yàn)證:set login
定義服務(wù)器。在其他 Cisco 設(shè)備上����,默認(rèn)端口為 1645/1646 (/)。
現(xiàn)在���,默認(rèn)端口是 1812/1813�。如果使用服務(wù)器或與其他 Cisco 設(shè)備通信��,則使用的端口為 1645/1646�����。發(fā)出以下命令來定義服務(wù)器: set #.#.#.# auth-port 1645 acct-port 1646
定義服務(wù)器密鑰�����。
這是必需的����,因?yàn)榻粨Q機(jī)到服務(wù)器的密碼是根據(jù)請求評論 (RFC) 加密的�。如果使用�����,必須與服務(wù)器一致�。發(fā)出以下命令:設(shè)置半徑鍵
步驟 C - 本地用戶名認(rèn)證/授權(quán)
從 CATOS 版本 7.5.1 開始��,可以進(jìn)行本地用戶身份驗(yàn)證(例如����,您可以使用用戶名和密碼訪問身份驗(yàn)證/授權(quán)存儲(chǔ),而不是通過本地密碼進(jìn)行身份驗(yàn)證)�。
本地用戶身份驗(yàn)證只有兩個(gè)權(quán)限級別服務(wù)器運(yùn)維技術(shù),0 或 15��。級別 0 是非特權(quán) exec 級別����。級別 15 是特權(quán)啟用級別。
通過在此示例中添加以下命令��,用戶“”以活動(dòng)模式或控制臺(tái)到達(dá)交換機(jī)��,用戶“”以 EXEC 模式或控制臺(tái)到達(dá)交換機(jī)��。
設(shè)置用戶 15
設(shè)置用戶
注意:如果用戶“”知道,用戶可以繼續(xù)活動(dòng)模式
配置后���,密碼以加密方式存儲(chǔ)����。
本地用戶名身份驗(yàn)證可以與遠(yuǎn)程+執(zhí)行或命令記帳或遠(yuǎn)程執(zhí)行記帳一起使用��。它也可以與遠(yuǎn)程 +exec 或命令授權(quán)一起使用����,但這樣做沒有意義,因?yàn)橛脩裘枰瑫r(shí)存儲(chǔ)在 + 和本地開關(guān)上�����。
步驟 D - + 命令授權(quán)
在我們的示例中�����,我們告訴交換機(jī)僅使用 + 來要求對配置命令進(jìn)行授權(quán)�����。在 + 服務(wù)器故障的情況下服務(wù)器運(yùn)維技術(shù)����,身份驗(yàn)證將為無。這適用于控制臺(tái)端口和會(huì)話����。發(fā)出以下命令:
設(shè)置命令無兩者
在此示例中,您可以通過設(shè)置以下參數(shù)將 + 配置為允許:
=設(shè)置
()=端口 2/12
set port 2/12 命令將被發(fā)送到+ 進(jìn)行認(rèn)證��。
注意:由于啟用了命令授權(quán)�,與不考慮啟用命令的路由器不同,交換機(jī)會(huì)在嘗試啟用時(shí)將啟用命令發(fā)送到服務(wù)器�����。請記住還要配置服務(wù)器以允許啟用該命令�。
步驟 E - + EXEC 授權(quán)
在我們的示例中,我們使用 + 告訴交換機(jī)需要對 EXEC 會(huì)話進(jìn)行授權(quán)����。在 + 失敗的情況下,授權(quán)將為 None����。這適用于控制臺(tái)端口和會(huì)話。發(fā)出以下命令:
設(shè)置 exec + none 兩者
除了身份驗(yàn)證請求之外��,這還會(huì)導(dǎo)致從交換機(jī)向 + 發(fā)出單獨(dú)的授權(quán)請求。如果在服務(wù)器上為 shell/exec 配置了用戶配置文件���,則該用戶可以訪問交換機(jī)���。
這可以防止沒有在服務(wù)器上配置 shell/exec 服務(wù)的用戶(例如點(diǎn)對點(diǎn) (PPP) 用戶)登錄到交換機(jī)。他們將收到一條消息�����,說明讀取 EXEC 模式授權(quán)失敗��。除了用戶的/exec模式外���,用戶在輸入代碼時(shí)可以通過在服務(wù)器上具有15個(gè)指定的權(quán)限級別來強(qiáng)制激活模式(你必須運(yùn)行bug ID是固定的)����。
錯(cuò)誤(注冊用戶)- 使用此工具按軟件版本�����、功能集和關(guān)鍵字搜索已知錯(cuò)誤���。
步驟 F - 執(zhí)行授權(quán)
沒有啟用執(zhí)行授權(quán)的命令�。選擇 Yes 將服務(wù)器上的服務(wù)類型(屬性 6)設(shè)置為(即值 6)以在服務(wù)器上啟動(dòng)用戶進(jìn)入活動(dòng)模式�����。如果服務(wù)類型設(shè)置為 6 admin 以外的任何值(例如�����,1 個(gè)登錄����、7 個(gè) shell 或 2 個(gè) build),則在交換機(jī) EXEC 處將提示用戶�����,但不會(huì)提示啟用提示�。
步驟 G - 計(jì)費(fèi) - + 或
啟用 + 計(jì)費(fèi)為:
用戶根據(jù)交換機(jī)提示,發(fā)出以下命令:set exec start-stop +
要在交換機(jī)外遠(yuǎn)程登錄用戶��,請發(fā)出以下命令:set start-stop +
重啟交換機(jī)��,發(fā)出以下命令:set start-stop +
用戶執(zhí)行命令�,發(fā)出以下命令:set all start-stop +
提示服務(wù)器例如每分鐘更新一次記錄,表明用戶仍然登錄�,發(fā)出以下命令:set 1
啟用記帳:
用戶根據(jù)開關(guān)提示�����,發(fā)出以下命令:set exec start-stop
要在交換機(jī)外遠(yuǎn)程登錄用戶��,請發(fā)出以下命令:set start-stop
重啟交換機(jī)�,發(fā)出以下命令:set start-stop
以提示服務(wù)器為例���,每分鐘更新一次記錄��,表明用戶仍處于登錄狀態(tài)�����,發(fā)出以下命令:set 1
+ 免費(fèi)軟件記錄
以下是服務(wù)器上的日志記錄可能出現(xiàn)的示例:
2000 年 3 月 24 日星期五 13:22:41 10.31.1.151
171.68.118.100 停止 =5 = =UTC
=殼盤原因=2 =236
2000 年 3 月 24 日星期五 13:22:50 10.31.1.151
171.68.118.100 停止 =15==UTC
=shell priv-lvl=0 cmd=
2000 年 3 月 24 日星期五 13:22:54 10.31.1.151
171.68.118.100 停止 =16==UTC
=shell priv-lvl=15 cmd=寫
2000 年 3 月 24 日星期五 13:22:59 10.31.1.151
171.68.118.100 停止 =17==UTC
=shell priv-lvl=15 cmd=顯示
2000 年 3 月 24 日星期五 13:23:19 10.31.1.151
171.68.118.100 =14==UTC
=外殼
UNIX 上的日志輸出
以下是服務(wù)器上的日志記錄可能出現(xiàn)的示例:
-Id=10.31.1.151
NAS 端口類型 = 0
用戶名 = “登錄”
Acct--Type=開始
帳戶-=
用戶類型=7
帳戶--Id = ""
計(jì)費(fèi)延遲時(shí)間 = 0
-Id=10.31.1.151
NAS 端口類型 = 0
用戶名 = “登錄”
--Id="171.68.118.100"
Acct--Type=開始
用戶--類型=登錄-用戶
帳戶--Id = ""
登錄-=
登錄主機(jī)=171.68.118.100
計(jì)費(fèi)延遲時(shí)間 = 0
-Id=10.31.1.151
NAS 端口類型 = 0
用戶名 = “登錄”
--Id="171.68.118.100"
Acct--Type=停止
用戶--類型=登錄-用戶
帳戶--Id = ""
登錄-=
登錄主機(jī)=171.68.118.100
Acct--時(shí)間=9
計(jì)費(fèi)延遲時(shí)間 = 0
-Id=10.31.1.151
NAS 端口類型 = 0
用戶名 = “登錄”
Acct--Type=停止
帳戶-=
用戶類型=7
帳戶--Id = ""
49
Acct--時(shí)間=30
計(jì)費(fèi)延遲時(shí)間 = 0
步驟 H - + 身份驗(yàn)證
請按照以下說明進(jìn)行操作:
請記住�����,如果服務(wù)器通過發(fā)出以下命令失敗�����,則存在后門:set local
通過發(fā)出以下命令告訴交換機(jī)向服務(wù)器發(fā)送可用請求: set
添加以下命令將導(dǎo)致交換機(jī)將用戶名 $$ 發(fā)送到服務(wù)器����。并非所有服務(wù)器都支持此用戶名。請參閱上面的步驟 E 以了解將單個(gè)用戶啟動(dòng)到活動(dòng)模式的另一個(gè)選項(xiàng)(例如��,設(shè)置服務(wù)類型(屬性 6 - 到管理員))�。
通過發(fā)出以下命令來確定服務(wù)器失敗時(shí)是否存在后門:set local
如果您的服務(wù)器支持 $$ 用戶名,請通過發(fā)出以下命令告訴交換機(jī)向服務(wù)器發(fā)送可用請求:
第 I 步 - 激活認(rèn)證
添加以下命令將導(dǎo)致交換機(jī)將用戶名 $$ 發(fā)送到服務(wù)器�。并非所有服務(wù)器都支持此用戶名���。請參閱上面的步驟 E 以了解將單個(gè)用戶啟動(dòng)到活動(dòng)模式的另一個(gè)選項(xiàng)(例如�,設(shè)置服務(wù)類型(屬性 6 - 到管理員))�。
通過發(fā)出以下命令來確定服務(wù)器失敗時(shí)是否存在后門:set local
如果您的服務(wù)器支持 $$ 用戶名,請通過發(fā)出以下命令告訴交換機(jī)向服務(wù)器發(fā)送可用請求:
步驟 J - + 啟用授權(quán)
當(dāng)用戶嘗試啟用時(shí)�,添加以下命令將導(dǎo)致啟用的開關(guān)發(fā)送到服務(wù)器。服務(wù)器需要啟用啟用命令�����。在以下示例中�����,我們將故障轉(zhuǎn)移到服務(wù)器發(fā)生故障的無事件:
設(shè)置 + 無
步驟 K - 身份驗(yàn)證
有關(guān)安裝到交換機(jī)的更多信息���,請參閱以下文檔:
使用身份驗(yàn)證�����、授權(quán)和記帳控制和監(jiān)控對交換機(jī)的訪問
找回密碼
有關(guān)密碼恢復(fù)過程的更多信息�,請參閱以下文檔:
密碼恢復(fù)程序
本頁是思科產(chǎn)品密碼恢復(fù)程序的索引。
用于額外安全性的 ip 命令
為了提高安全性����,可以通過 ip 命令配置訪問控制:
設(shè)置ip
設(shè)置 IP 范圍掩碼|主機(jī)
這僅允許為交換機(jī)指定范圍或主機(jī)。
調(diào)試
在啟用調(diào)試之前�,請檢查服務(wù)器日志以了解故障原因。這對開關(guān)來說更容易且不易損壞��。在早期的交換機(jī)版本中�����,調(diào)試是在工程模式下執(zhí)行的��。在最新的代碼版本中���,不需要訪問項(xiàng)目模式來執(zhí)行調(diào)試命令:
設(shè)置跟蹤 | 半徑 | 4
注意:設(shè)置軌跡|半徑| 0 命令返回?zé)o跟蹤模式��。
評論:
1998年����,藍(lán)色學(xué)院成立。我們翻譯了大量的路由交換資料和調(diào)試案例�,啟發(fā)了廣大網(wǎng)絡(luò)技術(shù)愛好者。2002年成立藍(lán)盟���,專注于網(wǎng)絡(luò)維護(hù)���、網(wǎng)絡(luò)管理外包、計(jì)算機(jī)維護(hù)�����、服務(wù)器升級�、網(wǎng)絡(luò)改造����、系統(tǒng)集成、網(wǎng)絡(luò)咨詢���、服務(wù)管理��、運(yùn)維咨詢��、ITIL培訓(xùn)等一站式IT外包服務(wù)���。 ITSS咨詢等����,請注明出處�����。如果您有任何版權(quán)問題���,請致電:-226����,我們會(huì)盡快回復(fù)���。
售前咨詢專員
