前言

交换机系列的 5000 和 6000（4000，正在运行）支持某种形式的身份验证，从代码 2.2 开始。最新版本添加了增强功能。+（TCP 端口 49，而不是 UDP 端口 49）、远程访问拨入用户√服务 () 或身份验证Ψ 、授权和计费 (AAA) 的服务器用户设置与路由器用户相同。本文档包含启用这些功▃能所需的最少命令示例。其他选项可在所考虑版本的交换机文档中找↓到。

背景资料

由于最新的编解码器版本↓支持其他选项，因此您需要通过在交换机上发出 show 命令来确定您正在使用的编解码器版本。一旦您确定了々交换机上使用的编解码器版本，请使用下表来确定您的设备上可用的选项以及∞您希望配置的选项。

通常，在添加身份验证和授权时始终保持在交换机上。在另一个窗口中测试配置以避免意外锁定。

配置步骤

步骤 A - + 认证

在早期的代码版本中，命令不像在某些后期版本中那样▓复杂。在最新版本中，您的交换机☉上可能还提供其他选项。

如果服务器发生故障，通过发出以下命○令确定交换机是否存在后门：set login local

通过发出ζ以下命令启用◥ +：set login

通过发出以下命□　令定义服务Ψ器：set #.#.#.#

通过发出以下▼命令定义服★务器密钥（这与 + 一起是可选的，因为会导致交换机加密服务器数据。如果使用，它必须与服务︼器相同）： set key

步骤 B - 身份验证

在早期的代码版本中，命令不像在☉某些后期版本中那样复杂。在最新版本中，您的交换机上可能还提供其他选项。

如果服务器发生故障，通过发出以下命令确定交换机是否存在后门：set login local

通过发出以下命令启∩用身份验证：set login

定义服务器。在其他 Cisco 设备上，默认端口为 1645/1646 (/)。

现在，默认端口是 1812/1813。如果使◢用服务器或与其他 Cisco 设备通信，则使用的端口为 1645/1646。发出以下命令来定义服务器： set #.#.#.# auth-port 1645 acct-port 1646

定义服务器密钥。

这是必☆需的，因为交换机到服务器的密码是根据请求评论 (RFC) 加密的。如果使用，必须与服务器一致。发出以下命令：设置半径键

步骤 C - 本地ζ用户名认证/授权

从 CATOS 版本 7.5.1 开始，可以进行本地用户身份验证（例如，您可以使用用户名和密码访问身份验证/授权存储，而不是通过本地密码进行身份♂验证）。

本地用户身份验证只有两个权限级别服务器运维技〒术，0 或 15。级别 0 是非特权 exec 级别。级别 15 是特权启用级别。

通过在㊣　此示例中添加以下命令，用户“”以活动模式或控制台到达交换机，用户“”以 EXEC 模式或控制台到达交换机。

设置用户 15

设置用户

注意：如果用户“”知道，用户可以继续活动Ψ模式

配置后，密码以加密方式※存储。

本地用户名身份验证可以与远程+执行或命令记帐或远程执行记帐一起使用。它也可以与远程 +exec 或命令授权↙一起使用，但这样做没有意义，因为用户名需要【同时存储在 + 和本地开【关上。

步骤 D - + 命令授权

在我们的示例中，我们告诉交换机仅使用 + 来要求对配置命令进行授权。在 + 服务「器故障的情况下服务器运维技术，身份验证将为无。这适用于控制台端口和会话。发出以下命令：

设㊣　置命令无两者

在此示例中，您可▆以通过设置以下参数将 + 配置█为允许：

=设置

()=端口 2/12

set port 2/12 命令将被发送到+ 进行认证。

注意：由于启用了命令授权，与不考虑启用命令的路由器不同，交换机会在尝试启用时将启╲用命令发送■到服务器。请记住还要配置服务器以允许启用该命令。

步骤 E - + EXEC 授权

在我们的示例中，我们使用 + 告诉交换机需∞要对 EXEC 会话进行授权。在 + 失败的情①况下，授权将为 None。这适用于控制台端口和会话。发出以下命令：

设置 exec + none 两者

除了身份验证请求之外，这还会导致从交换机向 + 发出单独◆的授权请求。如果在服务器上为 shell/exec 配置了用◣户配置文件，则该用户可以访问交换机。

这可以防止没有在服务器上配置 shell/exec 服※务的用户（例如∴点对点 (PPP) 用户）登录到交换机。他们将收到一条消息，说明读取 EXEC 模式授¤权失败。除了用户的/exec模式外，用户在输入代码时可以通过在服务器上具有15个卐指定的权限级别来强制激活模式（你必须运行√bug ID是固定的）。

错误（注册用户）- 使用此工具按软件版本、功能集和关键字搜索已知错误。

步骤 F - 执行授权

没有启用执行授权的命令。选择 Yes 将服务器上的服务类型（属性 6）设置为（即值 6）以在服务器上启动用户∑　进入活动模式。如果服务类型设置为 6 admin 以外的任何值（例如，1 个登录、7 个 shell 或 2 个 build），则在交换机 EXEC 处将提示用户，但不会提示启用提示。

步骤 G - 计费 - + 或

启用 + 计费为：

用户根据交换△机提示，发出以下命令：set exec start-stop +

要在交换机外远程登录用户，请发出以下命令：set start-stop +

重启〖交换机，发出以下命令：set start-stop +

用户〗执行命令，发出以下命令：set all start-stop +

提示服务器例如每分㊣钟更新一次记录，表明用户仍然登录，发出以下命令：set 1

启用记帐：

用户根【据开关提示，发出以下命令：set exec start-stop

要在交换机外远程登录用户，请发出以下命令：set start-stop

重启交换机，发出以下命令：set start-stop

以提示服务器为ぷ例，每分钟更新一次记录，表明用户仍处于登录状态，发出以下命令：set 1

+ 免费软件记录

以下是服务器上的日志记录可∩能出现的示例：

2000 年 3 月 24 日星期五 13:22:41 10.31.1.151

171.68.118.100 停止 =5 = =UTC

=壳盘原因=2 =236

2000 年 3 月 24 日星期五 13:22:50 10.31.1.151

171.68.118.100 停止 =15==UTC

=shell priv-lvl=0 cmd=

2000 年 3 月 24 日星期五 13:22:54 10.31.1.151

171.68.118.100 停止 =16==UTC

=shell priv-lvl=15 cmd=写

2000 年 3 月 24 日星期五 13:22:59 10.31.1.151

171.68.118.100 停止 =17==UTC

=shell priv-lvl=15 cmd=显示

2000 年 3 月 24 日星期五 13:23:19 10.31.1.151

171.68.118.100 =14==UTC

=外壳

UNIX 上的日志输〖出

以下是服务器上的日志记录可能出现的示例：

-Id=10.31.1.151

NAS 端口类型 = 0

用户名 = “登录”

Acct--Type=开始

帐户-=

用户类型=7

帐户--Id = ""

计费延※迟时间 = 0

-Id=10.31.1.151

NAS 端口类型 = 0

用户名 = “登录”

--Id="171.68.118.100"

Acct--Type=开始

用户--类型=登录-用户

帐户--Id = ""

登录-=

登录主机=171.68.118.100

计费延迟时间 = 0

-Id=10.31.1.151

NAS 端口类型 = 0

用户名 = “登录”

--Id="171.68.118.100"

Acct--Type=停止

用户--类型=登录-用户

帐户--Id = ""

登录-=

登录主机=171.68.118.100

Acct--时间=9

计费延迟时间 = 0

-Id=10.31.1.151

NAS 端口类型 = 0

用户名 = “登录”

Acct--Type=停止

帐户-=

用户类型=7

帐户--Id = ""

49

Acct--时间=30

计费延迟时间 = 0

步骤 H - + 身份验证

请按照以下说◤明进行操作：

请记住，如果服务器通过发出以下命令失败，则存在后门：set local

通过发出以下命令告诉交换机向服务器发送可用请求： set

添加以下命令将导致交换机将用户名 $$ 发送到服务♂器。并非△所有服务器都支持此用户名。请参阅上面的步骤 E 以了解将单个用户启动到活动模式的另一个选◎项（例如，设置①服务类型（属性 6 - 到管理员））。

通过ㄨ发出以下命令来确定服务器失败时是否存在后门：set local

如果您的服务器●支持 $$ 用户名，请通过发出以下命令告诉№交换机向服务器发送可用请求：

第 I 步 - 激活认证

添加以下命令将导致交换机将用户名 $$ 发ω送到服＠务器。并非所有服务器都支持此用户名。请参阅上面的步骤 E 以了解将单个用户启动到活动模式的另一个选项（例如，设置服务类型（属性 6 - 到管理员））。

通过发出以下命令来确定服务器失败时是否存在后门：set local

如果≡您的服务器支持 $$ 用户名，请通过发出以︾下命令告诉交换机向服务器发送可用请求：

步骤 J - + 启用授权

当用户尝试启用时，添加以下命令将导致启用的开关发送到服务器。服务器需要启用启用命令。在以下示例中，我们々将故障转移到服务器发生故障的无事件：

设置 + 无

步骤 K - 身份验证

有关安装到交换机的更多信息，请参阅以下文档：

使用身ξ　份验证、授权和记帐控制和监控对交换机的访问

找回密码

有关密码恢复过程的更多信息◤，请参阅以下文档：

密♀码恢复程序

本页是思科产品密码恢复程序的索引。

用于额外安全性的 ip 命令

为了提高安全性，可以通过 ip 命令配置访问控制：

设置ip

设置 IP 范围掩码|主机

这仅允许为交换机指定范□围或主机。

调试

在启用调试之前，请检查服务器日志以了解故障原因。这↘对开关来说更容易且不易损坏。在早期的←交换机版本中，调试是在工程模式下执行的。在最新的代码版本中，不需要访问项目模式来〇执行调试命令：

设置跟踪 | 半径 | 4

注意：设置轨迹|半径| 0 命令返回无跟》踪模式。

评论：

1998年，蓝色学院成立。我们翻译了大量的路由交换资料和调试案例，启发了广№大网络技术爱好者。2002年成立蓝盟，专注于网络维护、网络管理外包、计算机维▃护、服务器升级、网络改造、系统集成、网络咨询、服务管理、运维咨询、ITIL培训等一站式IT外包服务。 ITSS咨询等，请注▲明出处。如果您有任何版权问题，请致电：-226，我们会╱尽快回复。