0
  • 聊天消息
  • 系统消息
  • 评论与回复
登录后你可以
  • 下载海量资料
  • 学习在线课程
  • 观看技术视频
  • 写文章/发帖/加入社区
会员中心
创作中心

完善资料让更多小伙伴认识你,还能领取20积分哦,立即完善>

3天内不再提示

锐捷设备密码安全策略

网络技术干货圈 来源:网络技术干货圈 2023-11-27 10:27 次阅读

来源:公众号【网络技术干货圈】

作者:圈圈

ID:wljsghq

配置登录用户名密码以及Enable密码

用户密码登录的三种方式(设备初始的登录方式为用户名+密码)

只需要密码登录(在vty或colsole下配置login)

需要用户名和密码登录(但是没有开启aaa;在vty或colsole下配置login loca)

需要用户名和密码登录(开启了aaa;配置aaa认证为本地)

Enable登录的密码更改

enable password 密码 配置enable的明文密码

enable secret 密码 配置enable的密文密码

如果明文密码和密文密码都存在,密文密码优先

只需要密码登录

Console密码登录

line console 0

login

password ruijie

Telnet/SSH密码登录

line vty 0 4

password ruijie #修改登录密码为ruijie

login #配置登录不需要使用用户名,只需要密码就可以

transport input ssh telnet

需要用户名和密码登录(无AAA)

Console用户名密码登录

line console 0

login local #配置登录需要使用用户名和密码 并本地认证

username ruijie password ruijie@123 #配置用户名和密码

username ruijie login mode console #配置此用户支持consolet登录

username ruijie privilege 15 #配置此用户的权限

Telnet/SSH用户名密码登录

line vty 0 4

password ruijie #修改登录密码为ruijie

login local #配置登录需要使用用户名和密码 并本地认证

transport input ssh telnet

username ruijie password ruijie@123 #配置用户名和密码

username ruijie login mode ssh telnet #配置此用户支持ssh和telnet登录

username ruijie privilege 15 #配置此用户的权限

Web用户名密码登录

webmaster level 0 username admin password 123456

需要用户名和密码登录(有AAA)

开启AAA对Console/Telnet/SSH登录密码的影响

当开启AAA后,在Line下配置的关于Console、Telnet、SSH的密码都将失效(即登录不需要密码,enable需要密码)

如果要对其配置登录密码认证,需要进行以下配置(配置后登录设备必须使用用户名+密码的方式进行认证)

如果先前没有配置Username(即开启AAA前只是通过密码认证的),此时就要创建Username,并配置aaa的认证类型为本地

username ruijie password ruijie@123 #配置用户名和密码

username ruijie login mode ssh telnet console #配置此用户支持ssh、telnet、console登录

username ruijie privilege 15 #配置此用户的权限

aaa new-model

aaa authentication login default local #配置aaa的认证类型为本地

如果在local后加上none说明,除了设置的用户名,其它用户名都可以登录上来

line vty 0 4 / line console 0

login authentication default #配置登录方式为aaa本地认证(默认配置)

如果先前配置了Username(即开启AAA前就是通过用户密码认证的),此时只需要开启aaa的认证类型为本地

aaa new-model

aaa authentication login default local 配置aaa的认证类型为本地

line vty 0 4 / line console 0

login authentication default 配置登录认证方式为aaa本地认证(默认配置)

设备密码安全策略

设备内置密码安全策略类型
password policy forced-password-modify 配置用户配置密码时启用弱密码强制修改功能
弱口令强制修改功能会在用户配置口令时检测口令的复杂度,若判定其为弱口令,则该口令配置失败,同时强制要求用户重新设置口令。
弱口令的判断标准如下:口令与账号同名、口令只包含字符或数字。
只对全局口令(enable password、enable secret命令配置)和本地用户口令(username命令配置)生效,对于Line模式下面的口令不生效

password policy strong 配置用户配置密码时启用强密码检测
强口令检测功能用于检测口令的复杂度,避免口令由于复杂度过低被轻易破解。
对于以下两种情况,强口令检测功能会发出告警信息
口令与账号同名
口令只包含字符或数字

password policy min-size 配置用户密码的最小长度
口令最小长度用于限制用户口令的长度。
当用户配置的口令长度较口令最小长度小时,系统将会报错,并提醒用户重新配置口令

enable secret xxxx 另一种加密的方式配置enable密码
enable secret xxxxxx 与enable password xxxxx相比,enable secret的优先级较高
第一次配置enable secret xxxx不会有问题,但是后续通过enable secret xxxx更改密码时需要先删除enable secret才可以重新配置
配置enable secret xxxx后如果要修改enable password则需要先删除enable secret

当设备的远程密码、enable密码配置失败,可以检查密码安全策略是否关闭
no enable secret //关闭enable密码策略
no password policy strong //关闭强口令密码策略
no password policy min-size //关闭密码最小长度策略
no password policy forced-password-modify //关闭密码弱口令强制修改功能

其余密码安全操作

配置密码生存周期(单位为天)

password policy life-cycle 10

用户配置密码时,不允许用户配置最近5次已经配置过的密码

password policy no-repeat-times 5

开启对密码进行特殊字符检测的功能

password policy printable-character-check

开启密码加密存储功能

service password-encryption

密码恢复

密码丢失的情况

1、命令行密码未丢失,Web密码丢失;可以通过登录命令行或Console更改Web密码

2、命令行密码丢失,Web密码没有丢失;通过登录Web或Console更改命令行密码

3、Console密码丢失,命令行/Web没有丢失,通过Web或命令行更改Console密码

4、命令行、Console、Web密码都丢失;只可以通过Console登录来更改密码(需要重启设备,对用户造成影响,会上不了网)

如果是在radius服务器上配置的,直接在radius上查看相应配置

Web密码忘记

通过Telnet/SSH或Console重置Web密码

show run | inc webmaster #通过命令行查看Web密码

如果密码是密文直接重置密码

webmaster level 0 username admin password 123456 #重置Web密码

如果密码是明文,可以选择重置,也可以选择不重置

Telnet/SSH密码忘记

直接通过Web界面的图形化更改Telnet/SSH密码

通过Web界面的Web控制器/Console使用命令行更改Telnet/SSH密码

查看登录密码

show run | be vty 如果是通过密码登录,查看登录密码

show run | inc username 如果是通过用户名和密码登录,查看登录的用户名和密码

如果需要更新密码,可以通过重新配置的方式进行密码更新

查看enable密码

show run | inc enable pass 查看enable的明文密码

show run | inc secret 查看enable的密文密码

如果存在密文密码,必须通过enable secret 密码 将其更改

如果只有明文密码,可以通过enable password 密码 更改或者不更改

Console密码忘记

通过Telnet/SSH进行命令行更改

查看登录密码

show run | be console 如果是通过密码登录,查看登录密码

show run | inc username 如果是通过用户名和密码登录,查看登录的用户名和密码

如果需要更新密码,可以通过重新配置的方式进行密码更新

查看enable密码

同上

所有密码都忘记,通过Console进行密码重置

通过Console登录设备

1、先重启设备,设备上电后立即按Ctrl+C键进入ROM

2、进入Bootloader菜单之后,按Ctrl+Q键进入uboot命令行

2690eaf6-8c5e-11ee-939d-92fbcf53809c.png

3、输入命令main_config_password_clear

26aac0ca-8c5e-11ee-939d-92fbcf53809c.png

4、此时设备会自动重启,重启后不需要密码(登录密码和enable密码都不需要)即可进入配置CLI命令行

5、此时修改Web/Console/Telnet/SSH登录密码 和 Enable密码就可以

设备恢复出厂设置

无线设备可以通过Reset按键实现

AP设备

长按reset键大于3s(如果小于2s会进行胖瘦设备切换)

AC设备

长按reset键大于5~8s

通过Console方式实现

产出配置文件后一定不要保存

瘦AP设备

AP上使用命令行

clear ap flash 或者 apm factory-reset

AP上使用Web界面

系统-恢复出厂设置

在AC设备上将上线的AP恢复出厂设置

ac-controller

factory-reset [ap-name]

胖AP设备

命令行(操作完成后重启还是胖AP)

删除config.text文件然后重启

del config.text

reload 重启设备

命令行(操作完成后重启为瘦AP)

clear ap flash 或者 apm factory-reset

Web界面(操作完成后为瘦AP)

系统-恢复出厂设置

AC设备

web界面

维护-AC管理-配置管理-恢复出厂设置

命令行

删除config.text(AC配置) 和 ap-config.text(AP配置)文件

del config.text

del ap-config.text

reload 重启设备

其余设备

删除config.text文件重启后即可恢复出厂设置

审核编辑:汤梓红
声明:本文内容及配图由入驻作者撰写或者入驻合作网站授权转载。文章观点仅代表作者本人,不代表电子发烧友网立场。文章及其配图仅供工程师学习之用,如有内容侵权或者其他违规问题,请联系本站处理。 举报投诉
  • 网络
    +关注

    关注

    14

    文章

    7569

    浏览量

    88807
  • 密码
    +关注

    关注

    8

    文章

    191

    浏览量

    30500
  • 设备
    +关注

    关注

    2

    文章

    4514

    浏览量

    70652
  • 锐捷
    +关注

    关注

    0

    文章

    23

    浏览量

    7917

原文标题:锐捷设备密码管理、密码安全策略、密码恢复、恢复出厂设置

文章出处:【微信号:网络技术干货圈,微信公众号:网络技术干货圈】欢迎添加关注!文章转载请注明出处。

收藏 人收藏

    评论

    相关推荐

    网络视频监控系统安全策略方案探讨

    网络视频监控系统的安全策略需包括中心平台、前端接入设备、客户端及网络各部分的软硬件设备安全措施;而最受关注也是最关健的核心部分,即监控中心平台是系统的中枢大脑。
    发表于 06-18 11:01 4608次阅读
    网络视频监控系统<b class='flag-5'>安全策略</b>方案探讨

    ZigBee接入EPA网络的安全策略

    ZigBee接入EPA网络的安全策略针对ZigBee技术的特点,结合EPA控制网络的安全规范与工业现场实际应用的需要,提出ZigBee接入EPA网络的安全策略与基于安全组态的实现方法。
    发表于 03-19 16:47

    无线通信系统波形文件加载的安全策略

    安全风险,提出一种基于无线通信系统的波形文件加载技术的安全策略,以提升无线通信系统的安全性和可靠性。1 波形文件加载的现状及安全风险1.1 硬件平台本 文 采 用 以 GPP 通 用
    发表于 02-22 09:58

    嵌入式设备网络安全有什么策略

    本文探索了在系统开发过程中重要的安全策略,包括进行嵌入式安全评估和设计的框架,定义了一些网络安全概念,并提供了一些嵌入式设备安全方面的建议。
    发表于 09-19 06:00

    ZigBee接入EPA网络的安全策略

    针对ZigBee技术的特点,结合EPA控制网络的安全规范与工业现场实际应用的需要,提出ZigBee接入EPA网络的安全策略与基于安全组态的实现方法。测试表明,通过安全组态增加了
    发表于 03-18 22:00 21次下载

    基于多维整数空间的安全策略冲突检测与消解

    针对当前大部分安全策略冲突检测与消解算法缺少灵活性和扩展性等缺点,提出一种基于多维整数空间的安全策略形式化描述方法,在此基础上设计了一种可扩展的安全策略冲突检
    发表于 03-24 08:49 13次下载

    可视化的安全策略形式化描述与验证系统

    通过分析安全策略中可能出现的问题,对安全策略的一致性与完备性进行形式化定义。通过构造安全策略的状态模型,提出策略的一致性与完备性验证算法。基于可扩展访问控制标
    发表于 04-07 09:00 9次下载

    金融税控收款机信息安全策略

    文章介绍了金融税控收款机系统的信息安全策略,包括安全审计策略, 用户数据的保护策略, 标识和鉴别策略,
    发表于 06-15 10:47 24次下载

    企业网络系统的安全策略

    本文针对企业目前面临的网络安全困境,提出一个网络安全模型,企业可以依据该模型为自己的网络制定安全策略,从而提高企业网络的安全性。文章还为企业的网络
    发表于 08-06 09:46 17次下载

    基于有向图模型的网络安全策略冲突研究

    保证安全策略的协同工作和一致性是实现分布式系统安全管理需要首先解决的问题。本文提出了一种可适应的安全策略框架,在此安全策略框架中,针对现有安全策略
    发表于 01-27 15:12 11次下载

    打造SQL Server2000的安全策略教程

    打造SQL Server2000的安全策略教程  Microsoft建立了一种既灵活又强大的安全管理机制,它能够对用户访问SQL Server服务器系统
    发表于 01-27 11:42 551次阅读

    一种基于群组的无线传感器网络安全策略_师鸣若

    一种基于群组的无线传感器网络安全策略_师鸣若
    发表于 03-19 11:46 0次下载

    基于可信计算的多级安全策略TCBMLSP分析

    的一个重要方面是安全访问控制策略的建立,其中具有代表性的是BLP、BIBA策略模型。 针对现有安全策略模型BLP与BIBA结合应用存在可用性差的问题,通过引入可信度量机制提出了基于可信
    发表于 11-09 17:01 4次下载
    基于可信计算的多级<b class='flag-5'>安全策略</b>TCBMLSP分析

    云计算环境的多域安全策略验证管理技术

    为了有效管理云系统间跨域互操作中安全策略的实施,提出一种适用于云计算环境的多域安全策略验证管理技术。首先,研究了安全互操作环境的访问控制规则和安全属性,通过角色层次关系区分城内管理和域
    发表于 12-15 13:46 0次下载
    云计算环境的多域<b class='flag-5'>安全策略</b>验证管理技术

    基于网络的IoT安全策略确保数据完整性及网络和设备安全

    调查显示,为解决这些问题,企业使用的策略包括基于网络的IoT安全策略,系统和流量的实时监控,专门的IoT安全团队以及定期的漏洞评估。他们还专注于端到端加密。
    的头像 发表于 06-04 17:45 3010次阅读