PASSWORD,ENABLE,CONSOLE,VTY及TACACS认证顺序及区别

最新推荐文章于 2024-05-10 01:29:18 发布
最新推荐文章于 2024-05-10 01:29:18 发布
阅读量1.8k 收藏
点赞数
分类专栏: cisco
本文详细解析了交换机登录过程中不同认证方式(本地、line、TACACS)的配置顺序及区别,包括如何在交换机上建立用户名、密码、enable密码,并通过console口和虚拟终端进行认证。此外,还探讨了TACACS服务器认证的实现及其对登录的影响。

摘要生成于 C知道 ,由 DeepSeek-R1 满血版支持, 前往体验 >

交换机的登录,用户名,密码是最基础的问题,然而由于很少有人去关心它,所以用的时候难免手忙脚乱,本文讲述了PASSWORD,ENABLECONSOLE,VTYTACACS认证顺序及区别

我们先做如下配置

Switch(config)#aaa authentication login BBDD local    新建个认证方式BBDD为本地认证

Switch(config)#aaa authentication login CCSS line      新建个认证方式CCSSline认证

Switch(config)#aaa authentication login TTCC group tacacs+  新建个认证方式TTCCtacacs认证


Switch(config)#username user privilege 15 password 123 在交换机上建个用户名密码


Switch(config)#enable secret 123456  设定enable的密码


Switch(config)#line console 0  进入console

Switch(config-line)#password 1234  设置console 口认证的密码


Switch(config)#line vty 0 4   进入虚拟终端0-4
 
Switch(config)#line console 0
Switch(config-line)#login authentication BBDD
 Username:user
Pssword:123
Enable:123456
 
 
Switch(config)#line vty 0 4
Switch(config-line)#login authentication BBDD
 
 Username:user
Pssword:123
Enable:123456
 
Switch(config)#line console 0
Switch(config-line)#login authentication CCSS
 Pssword:1234
Enable:123456
 
 
Switch(config)#line vty 0 4
Switch(config-line)#login authentication CCSS
 
 Pssword:12345
Enable:123456
 
Switch(config)#line console 0
Switch(config-line)#login authentication TTCC
 Tacacs server 认证
 
 
Switch(config)#line vty 0 4
Switch(config-line)#login authentication TTCC
 
 Tacacs server 认证
 
#aaa authentication login default group tacacs+ local
aaa authentication enable default group tacacs+ enable
且Tacacs Server正常
 Tacacs server 认证
 Tacacs server 认证
 
#aaa authentication login default group tacacs+ local
aaa authentication enable default group tacacs+ enable
且Tacacs Serverr 挂掉
 Username:user
Pssword:123
Enable:123456
 Username:user
Pssword:123
Enable:123456
 
aaa authentication login default group tacacs+ line
aaa authentication enable default group tacacs+ enable
且Tacacs Server正常
 Tacacs server 认证
 Tacacs server 认证
 
aaa authentication login default group tacacs+ line
aaa authentication enable default group tacacs+ enable
且Tacacs Serverr 挂掉
 Pssword:1234
Enable:123456
 Pssword:12345
Enable:123456
 
Switch(config)#line console 0
Switch(config-line)#login authentication BBDD
 Username:user
Pssword:123
Enable:123456
 
 
Switch(config)#line vty 0 4
Switch(config-line)#login authentication BBDD
 
 Username:user
Pssword:123
Enable:123456
 
Switch(config)#line console 0
Switch(config-line)#login authentication CCSS
 Pssword:1234
Enable:123456
 
 
Switch(config)#line vty 0 4
Switch(config-line)#login authentication CCSS
 
 Pssword:12345
Enable:123456
 
Switch(config)#line console 0
Switch(config-line)#login authentication TTCC
 Tacacs server 认证
 
 
Switch(config)#line vty 0 4
Switch(config-line)#login authentication TTCC
 
 Tacacs server 认证
 
#aaa authentication login default group tacacs+ local
aaa authentication enable default group tacacs+ enable
且Tacacs Server正常
 Tacacs server 认证
 Tacacs server 认证
 
#aaa authentication login default group tacacs+ local
aaa authentication enable default group tacacs+ enable
且Tacacs Serverr 挂掉
 Username:user
Pssword:123
Enable:123456
 Username:user
Pssword:123
Enable:123456
 
aaa authentication login default group tacacs+ line
aaa authentication enable default group tacacs+ enable
且Tacacs Server正常
 Tacacs server 认证
 Tacacs server 认证
 
aaa authentication login default group tacacs+ line
aaa authentication enable default group tacacs+ enable
且Tacacs Serverr 挂掉
 Pssword:1234
Enable:123456
 Pssword:12345
Enable:123456
 

几点说明:
1.
Switch(config)#enable password123456
Switch(config)#enable secret 123456
都是设置 enable的密码,只不过有secret 时 password不起作用

2.username user privilege 15 password 123
username user privilege 15 secret 123
不能同时设置,privilege 后面的数字 1-15 用来划分权限级别,15最高

3.Switch(config)#line vty 0 4
代表终端0到4,最多是0到15一共16个终端,是用来设置同时允许多少人TELNET,所以一般设成0 4 ,共五个终端就够用了。
如何设置思科设备console密码、enable密码、vty登录密码?
网络技术联盟站
09-02 1820
在网络设备的管理维护中,安全性始终是一个至关重要的方面。对于思科网络设备,设置密码是保障设备安全的基础措施之一。通过设置 Console 密码、Enable 密码以及 VTY(虚拟终端线路)登录密码,网络管理员可以有效防止未经授权的访问,保护设备的配置数据安全。本文将详细介绍如何在思科设备上设置这三种密码,并解释每种密码的作用配置方法。:Console 密码用于保护通过控制台(Console)端口对设备进行物理访问时的登录。控制台端口是网络设备上的一个串行端口,通常用于初始配置或故障排除。
8、AAA安全认证方法及NAS配置全解析
tree8的博客
05-08 18
本文详细解析了网络安全中的AAA认证机制,重点比较了PPP协议中的PAPCHAP两种认证方式,强调CHAP的安全优势,并指导如何在NAS上配置AAA服务,包括认证、授权计费功能,确保网络的安全性可靠性。同时提供了配置命令故障排查建议,适用于企业网络环境的安全部署。
华为交换机ConsoleVTY端口区别
qq_51444009的博客
05-19 3689
Console端口是(用户本地端口)用来针对本地路由器或者交换机配置密码账号的。 认证模式有两种:Password认证AAA认证 VTY端口是(虚拟终端端口)是用来登录远程设备的。 远程登录技术(Telnet),要路由器或者交换机远程登录时必须要配置VTY端口才可以进行登录。 认证模式有三种:None(不验证),就是没有账号密码直接进去的。 password(密码验证),通过输入密码进去。 AAA(账号密码认证),通过输入设置的账号密码进入。 配置AAA或者password时,都要记得给他加上权限不然无法
思科路由器配置enable password
liang0000zai的专栏
09-14 7660
A:enable password                      没加密 B:service password-encryption          对明文密码进行加密 C:enable secret                        用MD5算法对特权模式进行加密 D:enable password 7               后面要加密文
Network Advance - RuiJie(锐捷)设备配置ISE使用TACACS 做AAA认证
HuangFei
05-20 1575
aaa new-model aaa accounting commands 0 Account start-stop group tacacs+ aaa accounting commands 1 Account start-stop group tacacs+ aaa accounting commands 2 Account start-stop group tacacs+ aaa accounting commands 3 Account start-stop group tacacs+ aaa ac
vty、带内/带外管理、带内/带外ip简介
zdd56789的博客
05-10 2044
vty、带内管理、带外管理、带内ip、带外ip简介
vty 虚拟终端连接 line vty 0 4 line vty 5 15 区别
whatday的专栏
02-18 8993
在思科交换机Catalyst 2950上show run下发现有两个line vty line vty 0 4 line vty 5 15 分别有相应密码 。。 请问这两个有什么区别VTY是Cisco的设备管理的一种方式 VTY(virtual type terminal) 虚拟终端连接 VTY线路启用后,并不能直接使用,必须对其进行下面简单的配置才允许用户进行登录。 1、配...
tacacs java客户端_思科交换机 ACS4.0 Tacacs+ 登陆验证
weixin_29710403的博客
03-02 611
為了學習 Cisco 交換機 Tacacs + 遠程登陸驗證功能, 搭建以下測試環境 目的:學習 AAA 驗證模式, 設置成以下登陸方式1) Console 口不需要驗證2) vty 0本地驗證3)vty 1 5遠程驗證實現步驟:一、安裝 Windows Server 2003 sp2過程省略二、安裝 Java 環境jre-7u40-windows-i586.exe三、安裝/配置 Ci...
配置AAA认证授权
青红造了个大白之成长记
04-02 2万+
一、 目的 1、掌握AAA认证的工作原理。 2、掌握使用Cisco Secure ACS服务器实现AAA认证授权的方法。 二、网络拓扑 三、认证部分实验要求 配置测试本地基于认证服务器的AAA认证。 1、在R1上创建本地帐号,配置本地AAA认证登录consoleVTY。 2、配置测试本地基于认证服务器的AAA认证。 1、在R1上创建本地帐号(用户名:A...
from netmiko import ConnectHandler from netmiko.exceptions import NetmikoAuthenticationException, NetmikoTimeoutException import time import logging # ===================== 配置参数 ===================== SWITCH = { 'device_type': 'hp_comware', # H3C设备类型 'ip': '192.168.1.1', # 交换机IP地址 'username': 'admin', # SSH用户名 'password': 'admin123', # SSH密码 'port': 22, # SSH端口 'secret': '', # Enable密码(若无则留空) 'timeout': 120, # 连接超时时间 } # VLAN配置 VLAN_CONFIG = { 'vlan_id': 230, 'vlan_ip': '192.168.230.1', 'subnet_mask': '255.255.255.0' } # DHCP配置 DHCP_POOL = { 'name': 'vlan230_pool', 'network': '192.168.230.0', 'mask': '255.255.255.0', 'gateway': '192.168.230.1', 'dns': '114.114.114.114', 'range_start': '192.168.230.50', 'range_end': '192.168.230.200' } # 接口配置 INTERFACE_CONFIG = { 'trunk_ports': ['GigabitEthernet1/0/1', 'GigabitEthernet1/0/2'], 'mirror_source': 'GigabitEthernet1/0/3', 'mirror_dest': 'GigabitEthernet1/0/10' } # TACACS配置 TACACS_CONFIG = { 'scheme_name': 'TACACS_GROUP', 'server_ip': '10.10.10.100', 'key': 'TacacsSecretKey123!', 'vty_range': '0 4' } # ===================== 配置函数 ===================== def configure_ssh(conn): """配置SSH服务并关闭不安全协议""" commands = [ 'public-key local create rsa', # 生成RSA密钥 'ssh server enable', # 启用SSH服务 'ssh user admin service-type all authentication-type password', 'undo telnet server enable', # 关闭Telnet 'undo ftp server', # 关闭FTP 'undo sftp server enable' # 关闭SFTP ] output = conn.send_config_set(commands) logging.info(f"SSH配置完成:\n{output}") def configure_console(conn): """配置Console口参数""" commands = [ 'user-interface con 0', 'idle-timeout 15 0', # 15分钟超时 'authentication-mode password' # 密码认证模式 ] output = conn.send_config_set(commands) logging.info(f"Console配置完成:\n{output}") def configure_tacacs(conn, tacacs_config): """配置TACACS认证""" commands = [ f'tacacs scheme {tacacs_config["scheme_name"]}', f'primary authentication server-address {tacacs_config["server_ip"]}', f'primary authorization server-address {tacacs_config["server_ip"]}', f'key authentication cipher {tacacs_config["key"]}', f'user-interface vty {tacacs_config["vty_range"]}', 'authentication-mode scheme' # 应用TACACS认证 ] output = conn.send_config_set(commands) logging.info(f"TACACS配置完成:\n{output}") def configure_vlan(conn, vlan_config): """创建VLAN并配置接口IP""" commands = [ f'vlan {vlan_config["vlan_id"]}', f'interface Vlan-interface {vlan_config["vlan_id"]}', f'ip address {vlan_config["vlan_ip"]} {vlan_config["subnet_mask"]}' ] output = conn.send_config_set(commands) logging.info(f"VLAN配置完成:\n{output}") def configure_dhcp(conn, dhcp_config): """配置DHCP地址池""" commands = [ 'dhcp enable', # 全局启用DHCP f'dhcp server ip-pool {dhcp_config["name"]}', f'network {dhcp_config["network"]} mask {dhcp_config["mask"]}', f'gateway-list {dhcp_config["gateway"]}', f'dns-list {dhcp_config["dns"]}', f'expired day 7', # 租期7天 f'forbidden-ip {dhcp_config["range_start"]} to {dhcp_config["range_end"]}' ] output = conn.send_config_set(commands) logging.info(f"DHCP配置完成:\n{output}") def configure_trunk_ports(conn, trunk_ports): """配置Trunk接口""" for port in trunk_ports: commands = [ f'interface {port}', 'port link-type trunk', 'port trunk permit vlan all', # 允许所有VLAN 'port trunk pvid vlan 1' # 默认PVID ] output = conn.send_config_set(commands) logging.info(f"接口{port} Trunk配置完成:\n{output}") def configure_port_security(conn, ports): """配置端口安全检测""" for port in ports: commands = [ f'interface {port}', 'port-security enable', # 启用端口安全 'port-security intrusion-mode disable-port' # 非法接入时禁用端口 ] output = conn.send_config_set(commands) logging.info(f"端口{port}安全配置完成:\n{output}") def configure_mirror_port(conn, source_port, dest_port): """配置端口镜像""" commands = [ 'mirroring-group 1 local', f'mirroring-group 1 mirroring-port {source_port} both', # 双向流量 f'mirroring-group 1 monitor-port {dest_port}' ] output = conn.send_config_set(commands) logging.info(f"镜像口配置完成:\n{output}") def save_configuration(conn): """保存配置到设备""" output = conn.save_config() # Netmiko内置保存方法 logging.info(f"配置已保存:\n{output}") # ===================== 主执行逻辑 ===================== def main(): # 配置日志记录 logging.basicConfig( filename='h3c_config.log', level=logging.INFO, format='%(asctime)s - %(levelname)s - %(message)s' ) try: # 建立SSH连接 with ConnectHandler(**SWITCH) as conn: logging.info(f"成功连接到交换机 {SWITCH['ip']}") # 按顺序执行配置任务 configure_ssh(conn) configure_console(conn) configure_tacacs(conn, TACACS_CONFIG) configure_vlan(conn, VLAN_CONFIG) configure_dhcp(conn, DHCP_POOL) configure_trunk_ports(conn, INTERFACE_CONFIG['trunk_ports']) configure_port_security(conn, INTERFACE_CONFIG['trunk_ports']) configure_mirror_port(conn, INTERFACE_CONFIG['mirror_source'], INTERFACE_CONFIG['mirror_dest']) # 保存配置 save_configuration(conn) logging.info("所有配置任务完成!") print("配置成功完成!详细日志请查看 h3c_config.log") except NetmikoAuthenticationException: logging.error("认证失败:请检查用户名/密码") print("错误:认证失败,请检查凭据") except NetmikoTimeoutException: logging.error("连接超时:无法访问设备") print("错误:设备不可达或IP地址错误") except Exception as e: logging.error(f"未预期错误:{str(e)}") print(f"配置失败:{str(e)}") if __name__ == "__main__": main() 整理成文章发布。
最新发布
06-19
用户已经有一个使用Netmiko库对H3C设备进行配置的Python脚本,包括SSH连接、配置VLAN、DHCP、TACACS认证、端口镜像等任务。现在需要将这个脚本整理成一篇技术文章并发布。技术文章的结构通常包括:1.引言:介绍文章...
Java Network Library:tacacs 在 Java 中的实现-开源
06-28
Java 网络库 - 构建包含诸如 Cisco 的 TACACS 协议之类的东西 - 用 Ja​​va 实现
tacacs-plus-telegram-notifier
03-27
塔卡奇语加上电报通知器
第四章 路由器 TACAS+
lanndmentt的专栏
11-14 962
4.1.  用户登录集中鉴权 提问 使用集中的鉴权方式对用户登录设备进行控制 回答 Router1#configure terminal Enter configuration commands, one per line.    End with CNTL/Z. Router1(config)#aaa new-model Router1(config)#aaa authentic
Tacacs-各厂商交换机配置
曹世宏的博客
10-06 6281
其他文章: Tacacs+协议原理 Tacacs+服务搭建与配置详解 Tacacs+各厂商交换机配置 Tacacs+协议交互报文抓包示例 以下为整理的常见厂商的交换机tacacs+认证配置。 交换机配置Tacacs+认证思路 交换机全局开启Tacacs+认证 配置tacacs+认证模板,主要配置tacacs+认证的服务器地址,端口,密钥。 配置tacacs+的认证,授权,计费列表 全局内调用tacacs+认证方式 vtyconsole下调用tacacs+认证方式 华为交换机tacacs+认..
cisco设备vty tacacs+认证配置
weixin_33885676的博客
08-31 762
认证部分R1(config)#aaa new-modelR1(config)#tacacs-server host 192.168.0.20 key ciscoR1(config)#aaa authentication login vty group tacacs+R1(config)#line vty 0 15R1(config-line)#login authentica...
华为交换机、路由器设备怎样配置console登录密码
年华日记的博客
01-30 9388
在对路由器交换机等网络进行管理中,为了安全起见经常需要为设备配置登录密码,尤其是使用串口线直连设备时。 console线路密码认证有两种方式:1,只配置password(密码);2,aaa认证模式配置用户密码管理权限
line vty 0 4 line vty 5 15 有什么区别
热门推荐
ttuiop的专栏
01-18 2万+
在思科交换机Catalyst 2950上show run下发现有两个line vty line vty 0 4 line vty 5 15 分别有相应密码 。。 请问这两个有什么区别VTY是Cisco的设备管理的一种方式VTY(virtual type terminal) 虚拟终端连接VTY线路启用后,并不能直接使用,必须对其进行下面简单的配置才允许用户进行登录。1、配置登录密码如果想成功登录到设备,必须在line线路下使用命令password来定义登录密码,否则无法成功登录(注:如果全局已经启用了相关
line vty 0 4 什么意思
点滴记录 不断进步
04-13 3687
转自于 http://hi.baidu.com/rxlly/blog/item/9072bc397ae18bde7c1e71f6.html line vty 0 4是不是指启用5个telnet会话的意思? 那line vty 0 0是不是只启用一个telnet会话的意思? 我在640-802教材上看到 line vty 0 1180,突然这么大,我有点想不通 line conso...
Cisco 中line密码的几点理解
大胜哥的专栏
06-25 3028
这里主要是说 line console 0 line vty 0 4 配置中有几个牵涉到密码的设置。 password 是指连接到路由器 需要输入的认证密码。 我们可以通过show running-config 查看到我们设置的密码。 如: line con 0  password a  login ! line aux 0 ! line vty 0 4  passwo
请详细说明如何在华为路由器上通过VRP命令配置系统视图,并设置consolevty登录认证及超时?
10-30
在华为路由器上,使用VRP命令配置系统视图并设置consolevty登录认证与超时是一个涉及多个步骤的过程。首先,您需要通过控制台连接到路由器,并进入系统视图,这可以通过在用户视图下输入命令行提示符(system-view)来完成。然后,您将能够进行进一步的配置。 参考资源链接:[华为ENSP-VRP命令操作指南](https://wenku.youkuaiyun.com/doc/i5h21r7qks) 在系统视图下,设置console线路的登录认证,您需要先进入到console线路视图,使用命令line console 0,然后为该线路设置密码,使用命令local-user admin password cipher 密码。完成console线路的配置后,同样可以通过命令line vty 0 4进入vty线路视图,并为vty线路设置登录密码,使用service-type telnet来支持通过telnet登录。 为了确保设备的安全性,您还可以设置超时时间,防止未授权的使用。在系统视图下,使用命令line console 0来进入console线路视图,然后设置超时时间命令为idle-timeout timeout_value。对于vty线路,进入vty线路视图后,使用同样的命令来设置超时时间。 此外,如果您希望管理命令历史记录的保存,可以在系统视图下使用命令display history-size来查看当前保存的命令历史记录条数,使用命令undo history enable来禁用命令历史记录的保存,以保护隐私安全。 以上操作完成后,建议您使用命令save或write来保存配置,以确保重启后配置依然有效。通过这些步骤,您将能够有效地配置管理华为路由器的登录认证超时设置,确保网络设备的安全性。如果您希望深入了解更多关于VRP命令的具体细节更多配置选项,可以参考《华为ENSP-VRP命令操作指南》这份资源,它提供了详细的操作指导实验,将帮助您更好地理解掌握路由器的配置与管理。 参考资源链接:[华为ENSP-VRP命令操作指南](https://wenku.youkuaiyun.com/doc/i5h21r7qks)
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值