Configuration des mots de passe Telnet, Console et AUX sur les routeurs (2024)

Table of Contents
Introduction Conditions préalables Exigences Composants utilisés Conventions Informations générales Configurer les mots de passe sur la ligne Procédure de configuration Vérifier la configuration Dépannage de l'échec de connexion Configurer les mots de passe spécifiques aux utilisateurs locaux Procédure de configuration Vérifier la configuration Dépanner l'échec du mot de passe spécifique à l'utilisateur Configuration du mot de passe de ligne AUX Procédure de configuration Vérification de la configuration Configurer l'authentification AAA pour la connexion Procédure de configuration Vérifier la configuration Dépannage de l'échec de connexion AAA Informations connexes References

    Introduction

    Ce document décrit des exemples de configuration pour configurer la protection par mot de passe pour les connexions d'exécution entrantes au routeur.

    Conditions préalables

    Exigences

    Pour effectuer les tâches décrites dans ce document, vous devez disposer d'un accès privilégié à l'interface de ligne de commande (CLI) du routeur. Pour plus d'informations sur la ligne de commande et pour comprendre les modes de commande, consultez Utiliser l'interface de ligne de commande de Cisco IOS.

    Pour obtenir des instructions sur la connexion d'une console à votre routeur, reportez-vous à la documentation fournie avec votre routeur ou à la documentation en ligne de votre équipement.

    Composants utilisés

    Les informations contenues dans ce document sont basées sur les versions de matériel et de logiciel suivantes:

    • Routeur Cisco 2509

    • Logiciel Cisco IOS® version 12

    The information in this document was created from the devices in a specific lab environment. All of the devices used in this document started with a cleared (default) configuration. Si votre réseau est en ligne, assurez-vous de bien comprendre l’incidence possible des commandes.

    Conventions

    Pour plus d'informations sur les conventions utilisées dans ce document, reportez-vous à Conventions relatives aux conseils techniques Cisco.

    Informations générales

    L'utilisation de la protection par mot de passe pour contrôler ou restreindre l'accès à l'interface de ligne de commande (CLI) de votre routeur est l'un des éléments fondamentaux d'un plan global de sécurité.

    Pour protéger le routeur contre les accès distants non autorisés, généralement Telnet, est la sécurité la plus courante qui doit être configurée, mais la protection du routeur contre les accès locaux non autorisés ne peut pas être négligée.

    Remarque : la protection par mot de passe n'est qu'une des nombreuses étapes à suivre dans un régime de sécurité réseau approfondi et efficace. Les pare-feu, les listes d'accès et le contrôle de l'accès physique à l'équipement sont d'autres éléments à prendre en compte lors de la mise en oeuvre de votre plan de sécurité.

    L'accès à la ligne de commande, ou EXEC, à un routeur peut être fait de façons diverses, mais dans tous les cas la connexion en entrée au routeur est établie sur une ligne TTY. Il existe quatre principaux types de lignes TTY, comme le montre cet exemple show line résultat :

    2509#show line Tty Typ Tx/Rx A Modem Roty AccO AccI Uses Noise Overruns Int* 0 CTY - - - - - 0 0 0/0 - 1 TTY 9600/9600 - - - - - 0 0 0/0 - 2 TTY 9600/9600 - - - - - 0 0 0/0 - 3 TTY 9600/9600 - - - - - 0 0 0/0 - 4 TTY 9600/9600 - - - - - 0 0 0/0 - 5 TTY 9600/9600 - - - - - 0 0 0/0 - 6 TTY 9600/9600 - - - - - 0 0 0/0 - 7 TTY 9600/9600 - - - - - 0 0 0/0 - 8 TTY 9600/9600 - - - - - 0 0 0/0 - 9 AUX 9600/9600 - - - - - 0 0 0/0 - 10 VTY - - - - - 0 0 0/0 - 11 VTY - - - - - 0 0 0/0 - 12 VTY - - - - - 0 0 0/0 - 13 VTY - - - - - 0 0 0/0 - 14 VTY - - - - - 0 0 0/0 -2509#

    Le type de ligne CTY est le port de console. Sur n’importe quel routeur, il apparaît dans la configuration du routeur sous la forme line con 0 et dans le résultat de la commande show line en tant que cty . Le port de console est principalement utilisé pour l'accès au système local avec un terminal de console.

    Les lignes TTY sont des lignes asynchrones utilisées pour les connexions de modem et de terminal entrantes ou sortantes et peuvent être vues dans une configuration de routeur ou de serveur d'accès sous la forme line x . Les numéros de ligne spécifiques sont une fonction du matériel intégré ou installé sur le routeur ou le serveur d'accès.

    La ligne AUX est le port auxiliaire, vu dans configuration en tant que line aux 0.

    Les lignes VTY sont les lignes du terminal virtuel du routeur, utilisées seulement pour contrôler les connexions d'arrivée de Telnet. Elles sont virtuelles dans le sens où qu'elles sont une fonction du logiciel - aucun matériel ne leur est associé. Elles apparaissent dans la configuration en tant que line vty 0 4.

    Chacun de ces types de ligne peut être configuré avec la protection par mot de passe. Des lignes peuvent être configurées pour utiliser un mot de passe pour tous les utilisateurs ou pour des mots de passe spécifiques au utilisateur. Des mots de passe spécifiques à des utilisateurs peuvent être configurés localement sur le routeur, ou vous pouvez utiliser un serveur d'authentification pour fournir l'authentification.

    See Also
    Configuration et gestion des consoles Cisco IOS

    Il n'y a aucune interdiction de configuration de différentes lignes avec différents types de protection par mot de passe. Il est, en fait, courant de voir des routeurs avec un mot de passe unique pour la console et des mots de passe spécifiques aux utilisateurs pour d'autres connexions entrantes.

    Ceci est un exemple de sortie de routeur de la show running-config commande:

    2509#show running-configBuilding configuration...Current configuration : 655 bytes!version 12.2.. . !--- Configuration edited for brevityline con 0line 1 8line aux 0line vty 0 4!end

    Configurer les mots de passe sur la ligne

    Pour spécifier un mot de passe sur une ligne, utilisez la password en mode de configuration de ligne. Pour activer la vérification du mot de passe lors de la connexion, utilisez la login en mode de configuration de ligne.

    Procédure de configuration

    Dans cet exemple, un mot de passe est configuré pour tous les utilisateurs qui tentent d'utiliser la console.

    1. À partir de l'invite du mode d'exécution privilégié (ou de l'invite enable), passez en mode de configuration, puis passez en mode de configuration de ligne avec ces commandes. Notez que l'invite change pour refléter le mode en cours.

      router#configure terminalEnter configuration commands, one per line. End with CNTL/Z.router(config)#line con 0router(config-line)#

    2. Configurez le mot de passe et activez la vérification du mot de passe à la connexion.

      router(config-line)#password letmeinrouter(config-line)#login

    3. Quittez le mode de configuration.

      router(config-line)#endrouter#%SYS-5-CONFIG_I: Configured from console by console

      Remarque : n'enregistrez pas les modifications de configuration apportées à l'icône de ligne 0 tant que votre capacité à vous connecter n'a pas été vérifiée.

      Remarque : sous la configuration de la console de ligne, login est une commande de configuration requise pour activer la vérification du mot de passe lors de la connexion.L'authentification de la console nécessite password et la login commandes pour travailler

    Vérifier la configuration

    Examinez configuration du routeur pour vérifier que les commandes ont été correctement saisies :

    • show running-config - affiche la configuration actuelle du routeur.

      router#show running-configBuilding configuration......!--- Lines omitted for brevity!line con 0password letmeinloginline 1 8line aux 0line vty 0 4!end

      Pour tester la configuration, déconnectez-vous de la console et reconnectez-vous, puis utilisez le mot de passe configuré pour accéder au routeur :

      router#exitrouter con0 is now availablePress RETURN to get started.User Access VerificationPassword: !--- Password entered here is not displayed by the routerrouter>

      Remarque : avant d'effectuer ce test, assurez-vous que vous disposez d'une autre connexion au routeur, telle que Telnet ou un accès commuté, en cas de problème lors de la reconnexion au routeur.

    Dépannage de l'échec de connexion

    Si vous ne parvenez pas à vous reconnecter au routeur et que vous n'avez pas enregistré la configuration, rechargez le routeur pour éliminer les modifications de configuration effectuées.

    Si les modifications de configuration ont été enregistrées et que vous ne pouvez pas vous connecter au routeur, effectuez une récupération de mot de passe. Référez-vous à Procédures de récupération des mots de passe pour obtenir les instructions pour votre plate-forme particulière.

    Configurer les mots de passe spécifiques aux utilisateurs locaux

    Pour établir un système d'authentification basé sur le nom d'utilisateur, utilisez la username< /code>en mode de configuration globale. Pour activer la vérification du mot de passe à la connexion, utilisez la login local en mode de configuration de ligne.

    Procédure de configuration

    Dans cet exemple, les mots de passe sont configurés pour les utilisateurs qui tentent de se connecter au routeur sur les lignes VTY avec Telnet.

    1. À partir de l'invite du mode d'exécution privilégié (ou de l'invite enable), passez en mode de configuration et entrez des combinaisons nom d'utilisateur/mot de passe, une pour chaque utilisateur pour lequel vous voulez autoriser l'accès au routeur :

      router#configure terminalEnter configuration commands, one per line. End with CNTL/Z.router(config)#username russ password montecitorouter(config)#username cindy password belgium
      router(config)#username mike password rottweiler

    2. Passez en mode de configuration de ligne et utilisez ces commandes. Notez que l'invite change pour refléter le mode en cours.

      router(config)#line vty 0 4router(config-line)#

    3. Configurez une vérification du mot de passe à la connexion.

      router(config-line)#login local

    4. Quittez le mode de configuration.

      router(config-line)#endrouter#%SYS-5-CONFIG_I: Configured from console by console

    Remarque : pour désactiver la fonction Telnet automatique lorsque vous tapez un nom dans l'interface de ligne de commande, configurez aucune journalisation n'est préférée /strong>sur la ligne utilisée. Tandis que transport preferred none fournit la même sortie, il désactive également le Telnet automatique pour le hôte défini qui est configuré avec la commande ip host. Ce n'est pas comme no log preferred , qui l'arrête pour les hôtes non définis et le laisse fonctionner pour les hôtes définis.

    Vérifier la configuration

    Examinez configuration du routeur pour vérifier que les commandes ont été correctement saisies :

    • show running-config - affiche la configuration actuelle du routeur.

      router#show running-configBuilding configuration...!!--- Lines omitted for brevity !username russ password 0 montecitousername cindy password 0 belgiumusername mike password 0 rottweiler!!--- Lines omitted for brevity !line con 0line 1 8line aux 0line vty 0 4 login local!end

      Pour tester cette configuration, une connexion Telnet doit être faite au routeur. Cela peut être fait si vous vous connectez à partir d'un hôte différent sur le réseau, mais vous pouvez également tester à partir du routeur lui-même via Telnet l'adresse IP de n'importe quelle interface sur le routeur qui est dans un état up/up comme le montre le résultat de la commande show interfaces erasecat4000_flash:.

    Voici un exemple de résultat si l'adresse de l'interface ethernet 0 était 10.1.1.1 :

    router#telnet 10.1.1.1Trying 10.1.1.1 ... OpenUser Access VerificationUsername: mikePassword:!--- Password entered here is not displayed by the router router

    Dépanner l'échec du mot de passe spécifique à l'utilisateur

    Les noms d'utilisateur et mots de passe distinguent les majuscules et minuscules. Les utilisateurs qui tentent de se connecter avec un nom d'utilisateur ou un mot de passe incorrectement mis en cause sont rejetés.

    Si les utilisateurs ne peuvent pas se connecter au routeur avec leur mot de passe spécifique, reconfigurez le nom d'utilisateur et le mot de passe sur le routeur.

    Configuration du mot de passe de ligne AUX

    Afin de spécifier un mot de passe sur la ligne AUX, émettez la commande password en mode de configuration de ligne. Afin d'activer une vérification de mot de passe à la connexion, émettez la commande login en mode de configuration de ligne.

    Procédure de configuration

    Dans cet exemple, un mot de passe est configuré pour tous les utilisateurs qui tentent d'utiliser le port AUX.

    1. Émettez le e show line afin de vérifier la ligne utilisée par le port AUX.

      R1#show line Tty Typ Tx/Rx A Modem Roty AccO AccI Uses Noise Overruns Int* 0 CTY - - - - - 0 0 0/0 - 65 AUX 9600/9600 - - - - - 0 1 0/0 - 66 VTY - - - - - 0 0 0/0 - 67 VTY - - - - - 0 0 0/0 -

    2. Dans cet exemple, le port AUX se trouve sur la ligne 65. Émettez ces commandes afin de configurer la ligne AUX du routeur :

      R1#configure terminalR1(config)#line 65R1(config-line)#modem inoutR1(config-line)#speed 115200R1(config-line)#transport input allR1(config-line)#flowcontrol hardwareR1(config-line)#loginR1(config-line)#password ciscoR1(config-line)#endR1#

    Vérification de la configuration

    Examinez la configuration du routeur afin de vérifier que les commandes ont été entrées correctement :

    • Les show running-config affiche la configuration actuelle du routeur :

      R1#show running-configBuilding configuration...!!--- Lines omitted for brevity.line aux 0 password cisco login modem InOut transport input all speed 115200 flowcontrol hardware!--- Lines omitted for brevity.!end

    Configurer l'authentification AAA pour la connexion

    Pour activer l'authentification AAA (Authentication, Authorization, and Accounting) pour les connexions, utilisez la login authentication en mode de configuration de ligne. Les services AAA doivent également être configurés.

    Procédure de configuration

    Dans cet exemple, le routeur est configuré pour récupérer les mots de passe d'utilisateurs depuis un serveur TACACS+ quand les utilisateurs essayent de se connecter au routeur.

    Remarque : la configuration du routeur pour utiliser d'autres types de serveurs AAA (RADIUS, par exemple) est similaire. Voir Configurer l'authentification pour plus d'informations.

    Remarque : ce document ne traite pas de la configuration du serveur AAA lui-même.

    1. À partir de l'invite du mode d'exécution privilégié (ou de l'invite enable), passez en mode de configuration et entrez les commandes pour configurer le routeur afin qu'il utilise les services AAA pour l'authentification :

      router#configure terminalEnter configuration commands, one per line. End with CNTL/Z.router(config)#aaa new-modelrouter(config)#aaa authentication login my-auth-list tacacs+router(config)#tacacs-server host 192.168.1.101router(config)#tacacs-server key letmein

    2. Passez en mode de configuration de ligne et utilisez ces commandes. Notez que l'invite change pour refléter le mode en cours.

      router(config)#line 1 8router(config-line)#

    3. Configurez une vérification du mot de passe à la connexion.

      router(config-line)#login authentication my-auth-list

    4. Quittez le mode de configuration.

      router(config-line)#endrouter#%SYS-5-CONFIG_I: Configured from console by console

    Vérifier la configuration

    Examinez configuration du routeur pour vérifier que les commandes ont été correctement saisies :

    • show running-config - affiche la configuration actuelle du routeur.

      router#write terminalBuild configuration...Current configuration:!version 12.0service timestamps debug uptimeservice timestamps log uptimeno service password-encryption!hostname router!aaa new-modelaaa authentication login my-auth-list tacacs+!!--- Lines omitted for brevity ...!tacacs-server host 192.168.1.101tacacs-server key letmein!line con 0line 1 8 login authentication my-auth-listline aux 0line vty 0 4!end

    Pour tester cette configuration particulière, une connexion entrante ou sortante doit être établie sur la ligne. Reportez-vous au Modem - Router Connection Guide pour obtenir des informations spécifiques sur la configuration des lignes asynchrones pour les connexions par modem.

    Vous pouvez également configurer une ou plusieurs lignes VTY pour effectuer l'authentification AAA et effectuer votre test sur celles-ci.

    Dépannage de l'échec de connexion AAA

    Avant d'émettre debug , consultez Informations importantes sur les commandes de débogage.

    Pour résoudre un échec de connexion, utilisez la commande debug approprié à votre configuration :

    • debug aaa authentication

    • debug radius

    • debug kerberos

    Informations connexes

    • Référence des commandes de débogage CiscoIOS
    • Assistance technique et téléchargements Cisco
    Configuration des mots de passe Telnet, Console et AUX sur les routeurs (2024)

    References

    Top Articles
    BAKED Aloo Tikki Recipe
    Maultaschen - Authentic German Recipe - All Tastes German
    Hourly Weather Forecast for Austin, TX - The Weather Channel | Weather.com
    Flying Together: United Airlines' Collaborative Platform
    Autotrader Near Me
    Katonah Train Times
    Athletic Greens: Joe Rogan's Secret to Vitality
    AG1 Review for 2024: A Dietitian’s Take and Health Editor's Review
    Why make the captain rank.
    'Can’t be Black and Have a Firearm': Purple Heart Veteran Arrested By NYPD for Possession of His Own Gun Despite Having Valid Concealed Weapon Permit Issued By the Same Police Department
    citymantis.com Reviews | check if site is scam or legit| Scamadviser
    Pandamania Salon - Boise, ID 83704 - Services and Reviews
    Latest Posts
    Figs and Pigs in a Blanket Recipe
    The Tastiest Turkish Delight Recipe | A Spicy Perspective
    Article information

    Author: Sen. Emmett Berge

    Last Updated:

    Views: 5804

    Rating: 5 / 5 (80 voted)

    Reviews: 87% of readers found this page helpful

    Author information

    Name: Sen. Emmett Berge

    Birthday: 1993-06-17

    Address: 787 Elvis Divide, Port Brice, OH 24507-6802

    Phone: +9779049645255

    Job: Senior Healthcare Specialist

    Hobby: Cycling, Model building, Kitesurfing, Origami, Lapidary, Dance, Basketball

    Introduction: My name is Sen. Emmett Berge, I am a funny, vast, charming, courageous, enthusiastic, jolly, famous person who loves writing and wants to share my knowledge and understanding with you.