前言

交換機系列的 5000 和 6000（4000，正在運行）支持某種形式的身份驗證，從代碼 2.2 開始。最新版本添加了增強功能。+（TCP 端口 49，而不是 UDP 端口 49）、遠程訪問撥入用戶服務 () 或身份驗證、授權和計費 (AAA) 的服務器用戶設置與路由器用戶相同。本文檔包含啟用這些功能所需的最少命令示例。其他選項可在所考慮版本的交換機文檔中找到。

背景資料

由于最新的編解碼器版本支持其他選項，因此您需要通過在交換機上發出 show 命令來確定您正在使用的編解碼器版本。一旦您確定了交換機上使用的編解碼器版本，請使用下表來確定您的設備上可用的選項以及您希望配置的選項。

通常，在添加身份驗證和授權時始終保持在交換機上。在另一個窗口中測試配置以避免意外鎖定。

配置步驟

步驟 A - + 認證

在早期的代碼版本中，命令不像在某些后期版本中那樣復雜。在最新版本中，您的交換機上可能還提供其他選項。

如果服務器發生故障，通過發出以下命令確定交換機是否存在后門：set login local

通過發出以下命令啟用 +：set login

通過發出以下命令定義服務器：set #.#.#.#

通過發出以下命令定義服務器密鑰（這與 + 一起是可選的，因為會導致交換機加密服務器數據。如果使用，它必須與服務器相同）： set key

步驟 B - 身份驗證

在早期的代碼版本中，命令不像在某些后期版本中那樣復雜。在最新版本中，您的交換機上可能還提供其他選項。

如果服務器發生故障，通過發出以下命令確定交換機是否存在后門：set login local

通過發出以下命令啟用身份驗證：set login

定義服務器。在其他 Cisco 設備上，默認端口為 1645/1646 (/)。

現在，默認端口是 1812/1813。如果使用服務器或與其他 Cisco 設備通信，則使用的端口為 1645/1646。發出以下命令來定義服務器： set #.#.#.# auth-port 1645 acct-port 1646

定義服務器密鑰。

這是必需的，因為交換機到服務器的密碼是根據請求評論 (RFC) 加密的。如果使用，必須與服務器一致。發出以下命令：設置半徑鍵

步驟 C - 本地用戶名認證/授權

從 CATOS 版本 7.5.1 開始，可以進行本地用戶身份驗證（例如，您可以使用用戶名和密碼訪問身份驗證/授權存儲，而不是通過本地密碼進行身份驗證）。

本地用戶身份驗證只有兩個權限級別服務器運維技術，0 或 15。級別 0 是非特權 exec 級別。級別 15 是特權啟用級別。

通過在此示例中添加以下命令，用戶“”以活動模式或控制臺到達交換機，用戶“”以 EXEC 模式或控制臺到達交換機。

設置用戶 15

設置用戶

注意：如果用戶“”知道，用戶可以繼續活動模式

配置后，密碼以加密方式存儲。

本地用戶名身份驗證可以與遠程+執行或命令記帳或遠程執行記帳一起使用。它也可以與遠程 +exec 或命令授權一起使用，但這樣做沒有意義，因為用戶名需要同時存儲在 + 和本地開關上。

步驟 D - + 命令授權

在我們的示例中，我們告訴交換機僅使用 + 來要求對配置命令進行授權。在 + 服務器故障的情況下服務器運維技術，身份驗證將為無。這適用于控制臺端口和會話。發出以下命令：

設置命令無兩者

在此示例中，您可以通過設置以下參數將 + 配置為允許：

=設置

()=端口 2/12

set port 2/12 命令將被發送到+ 進行認證。

注意：由于啟用了命令授權，與不考慮啟用命令的路由器不同，交換機會在嘗試啟用時將啟用命令發送到服務器。請記住還要配置服務器以允許啟用該命令。

步驟 E - + EXEC 授權

在我們的示例中，我們使用 + 告訴交換機需要對 EXEC 會話進行授權。在 + 失敗的情況下，授權將為 None。這適用于控制臺端口和會話。發出以下命令：

設置 exec + none 兩者

除了身份驗證請求之外，這還會導致從交換機向 + 發出單獨的授權請求。如果在服務器上為 shell/exec 配置了用戶配置文件，則該用戶可以訪問交換機。

這可以防止沒有在服務器上配置 shell/exec 服務的用戶（例如點對點 (PPP) 用戶）登錄到交換機。他們將收到一條消息，說明讀取 EXEC 模式授權失敗。除了用戶的/exec模式外，用戶在輸入代碼時可以通過在服務器上具有15個指定的權限級別來強制激活模式（你必須運行bug ID是固定的）。

錯誤（注冊用戶）- 使用此工具按軟件版本、功能集和關鍵字搜索已知錯誤。

步驟 F - 執行授權

沒有啟用執行授權的命令。選擇 Yes 將服務器上的服務類型（屬性 6）設置為（即值 6）以在服務器上啟動用戶進入活動模式。如果服務類型設置為 6 admin 以外的任何值（例如，1 個登錄、7 個 shell 或 2 個 build），則在交換機 EXEC 處將提示用戶，但不會提示啟用提示。

步驟 G - 計費 - + 或

啟用 + 計費為：

用戶根據交換機提示，發出以下命令：set exec start-stop +

要在交換機外遠程登錄用戶，請發出以下命令：set start-stop +

重啟交換機，發出以下命令：set start-stop +

用戶執行命令，發出以下命令：set all start-stop +

提示服務器例如每分鐘更新一次記錄，表明用戶仍然登錄，發出以下命令：set 1

啟用記帳：

用戶根據開關提示，發出以下命令：set exec start-stop

要在交換機外遠程登錄用戶，請發出以下命令：set start-stop

重啟交換機，發出以下命令：set start-stop

以提示服務器為例，每分鐘更新一次記錄，表明用戶仍處于登錄狀態，發出以下命令：set 1

+ 免費軟件記錄

以下是服務器上的日志記錄可能出現的示例：

2000 年 3 月 24 日星期五 13:22:41 10.31.1.151

171.68.118.100 停止 =5 = =UTC

=殼盤原因=2 =236

2000 年 3 月 24 日星期五 13:22:50 10.31.1.151

171.68.118.100 停止 =15==UTC

=shell priv-lvl=0 cmd=

2000 年 3 月 24 日星期五 13:22:54 10.31.1.151

171.68.118.100 停止 =16==UTC

=shell priv-lvl=15 cmd=寫

2000 年 3 月 24 日星期五 13:22:59 10.31.1.151

171.68.118.100 停止 =17==UTC

=shell priv-lvl=15 cmd=顯示

2000 年 3 月 24 日星期五 13:23:19 10.31.1.151

171.68.118.100 =14==UTC

=外殼

UNIX 上的日志輸出

以下是服務器上的日志記錄可能出現的示例：

-Id=10.31.1.151

NAS 端口類型 = 0

用戶名 = “登錄”

Acct--Type=開始

帳戶-=

用戶類型=7

帳戶--Id = ""

計費延遲時間 = 0

-Id=10.31.1.151

NAS 端口類型 = 0

用戶名 = “登錄”

--Id="171.68.118.100"

Acct--Type=開始

用戶--類型=登錄-用戶

帳戶--Id = ""

登錄-=

登錄主機=171.68.118.100

計費延遲時間 = 0

-Id=10.31.1.151

NAS 端口類型 = 0

用戶名 = “登錄”

--Id="171.68.118.100"

Acct--Type=停止

用戶--類型=登錄-用戶

帳戶--Id = ""

登錄-=

登錄主機=171.68.118.100

Acct--時間=9

計費延遲時間 = 0

-Id=10.31.1.151

NAS 端口類型 = 0

用戶名 = “登錄”

Acct--Type=停止

帳戶-=

用戶類型=7

帳戶--Id = ""

49

Acct--時間=30

計費延遲時間 = 0

步驟 H - + 身份驗證

請按照以下說明進行操作：

請記住，如果服務器通過發出以下命令失敗，則存在后門：set local

通過發出以下命令告訴交換機向服務器發送可用請求： set

添加以下命令將導致交換機將用戶名 $$ 發送到服務器。并非所有服務器都支持此用戶名。請參閱上面的步驟 E 以了解將單個用戶啟動到活動模式的另一個選項（例如，設置服務類型（屬性 6 - 到管理員））。

通過發出以下命令來確定服務器失敗時是否存在后門：set local

如果您的服務器支持 $$ 用戶名，請通過發出以下命令告訴交換機向服務器發送可用請求：

第 I 步 - 激活認證

添加以下命令將導致交換機將用戶名 $$ 發送到服務器。并非所有服務器都支持此用戶名。請參閱上面的步驟 E 以了解將單個用戶啟動到活動模式的另一個選項（例如，設置服務類型（屬性 6 - 到管理員））。

通過發出以下命令來確定服務器失敗時是否存在后門：set local

如果您的服務器支持 $$ 用戶名，請通過發出以下命令告訴交換機向服務器發送可用請求：

步驟 J - + 啟用授權

當用戶嘗試啟用時，添加以下命令將導致啟用的開關發送到服務器。服務器需要啟用啟用命令。在以下示例中，我們將故障轉移到服務器發生故障的無事件：

設置 + 無

步驟 K - 身份驗證

有關安裝到交換機的更多信息，請參閱以下文檔：

使用身份驗證、授權和記帳控制和監控對交換機的訪問

找回密碼

有關密碼恢復過程的更多信息，請參閱以下文檔：

密碼恢復程序

本頁是思科產品密碼恢復程序的索引。

用于額外安全性的 ip 命令

為了提高安全性，可以通過 ip 命令配置訪問控制：

設置ip

設置 IP 范圍掩碼|主機

這僅允許為交換機指定范圍或主機。

調試

在啟用調試之前，請檢查服務器日志以了解故障原因。這對開關來說更容易且不易損壞。在早期的交換機版本中，調試是在工程模式下執行的。在最新的代碼版本中，不需要訪問項目模式來執行調試命令：

設置跟蹤 | 半徑 | 4

注意：設置軌跡|半徑| 0 命令返回無跟蹤模式。

評論：

1998年，藍色學院成立。我們翻譯了大量的路由交換資料和調試案例，啟發了廣大網絡技術愛好者。2002年成立藍盟，專注于網絡維護、網絡管理外包、計算機維護、服務器升級、網絡改造、系統集成、網絡咨詢、服務管理、運維咨詢、ITIL培訓等一站式IT外包服務。 ITSS咨詢等，請注明出處。如果您有任何版權問題，請致電：-226，我們會盡快回復。