來(lái)源：公眾號(hào)【網(wǎng)絡(luò)技術(shù)干貨圈】

作者：圈圈

ID：wljsghq

配置登錄用戶名密碼以及Enable密碼

用戶密碼登錄的三種方式（設(shè)備初始的登錄方式為用戶名+密碼）

只需要密碼登錄（在vty或colsole下配置login）

需要用戶名和密碼登錄（但是沒(méi)有開(kāi)啟aaa；在vty或colsole下配置login loca）

需要用戶名和密碼登錄（開(kāi)啟了aaa；配置aaa認(rèn)證為本地）

Enable登錄的密碼更改

enable password 密碼 配置enable的明文密碼

enable secret 密碼 配置enable的密文密碼

如果明文密碼和密文密碼都存在，密文密碼優(yōu)先

只需要密碼登錄

Console密碼登錄

line console 0

login

password ruijie

Telnet/SSH密碼登錄

line vty 0 4

password ruijie #修改登錄密碼為ruijie

login #配置登錄不需要使用用戶名，只需要密碼就可以

transport input ssh telnet

需要用戶名和密碼登錄（無(wú)AAA）

Console用戶名密碼登錄

line console 0

login local #配置登錄需要使用用戶名和密碼 并本地認(rèn)證

username ruijie password ruijie@123 #配置用戶名和密碼

username ruijie login mode console #配置此用戶支持consolet登錄

username ruijie privilege 15 #配置此用戶的權(quán)限

Telnet/SSH用戶名密碼登錄

line vty 0 4

password ruijie #修改登錄密碼為ruijie

login local #配置登錄需要使用用戶名和密碼 并本地認(rèn)證

transport input ssh telnet

username ruijie password ruijie@123 #配置用戶名和密碼

username ruijie login mode ssh telnet #配置此用戶支持ssh和telnet登錄

username ruijie privilege 15 #配置此用戶的權(quán)限

Web用戶名密碼登錄

webmaster level 0 username admin password 123456

需要用戶名和密碼登錄（有AAA）

開(kāi)啟AAA對(duì)Console/Telnet/SSH登錄密碼的影響

當(dāng)開(kāi)啟AAA后，在Line下配置的關(guān)于Console、Telnet、SSH的密碼都將失效（即登錄不需要密碼，enable需要密碼）

如果要對(duì)其配置登錄密碼認(rèn)證，需要進(jìn)行以下配置（配置后登錄設(shè)備必須使用用戶名+密碼的方式進(jìn)行認(rèn)證）

如果先前沒(méi)有配置Username（即開(kāi)啟AAA前只是通過(guò)密碼認(rèn)證的），此時(shí)就要?jiǎng)?chuàng)建Username，并配置aaa的認(rèn)證類型為本地

username ruijie password ruijie@123 #配置用戶名和密碼

username ruijie login mode ssh telnet console #配置此用戶支持ssh、telnet、console登錄

username ruijie privilege 15 #配置此用戶的權(quán)限

aaa new-model

aaa authentication login default local #配置aaa的認(rèn)證類型為本地

如果在local后加上none說(shuō)明，除了設(shè)置的用戶名，其它用戶名都可以登錄上來(lái)

line vty 0 4 / line console 0

login authentication default #配置登錄方式為aaa本地認(rèn)證（默認(rèn)配置）

如果先前配置了Username（即開(kāi)啟AAA前就是通過(guò)用戶密碼認(rèn)證的），此時(shí)只需要開(kāi)啟aaa的認(rèn)證類型為本地

aaa new-model

aaa authentication login default local 配置aaa的認(rèn)證類型為本地

line vty 0 4 / line console 0

login authentication default 配置登錄認(rèn)證方式為aaa本地認(rèn)證（默認(rèn)配置）

設(shè)備密碼安全策略

設(shè)備內(nèi)置密碼安全策略類型
password policy forced-password-modify 配置用戶配置密碼時(shí)啟用弱密碼強(qiáng)制修改功能
弱口令強(qiáng)制修改功能會(huì)在用戶配置口令時(shí)檢測(cè)口令的復(fù)雜度，若判定其為弱口令，則該口令配置失敗，同時(shí)強(qiáng)制要求用戶重新設(shè)置口令。
弱口令的判斷標(biāo)準(zhǔn)如下：口令與賬號(hào)同名、口令只包含字符或數(shù)字。
只對(duì)全局口令（enable password、enable secret命令配置）和本地用戶口令（username命令配置）生效，對(duì)于Line模式下面的口令不生效

password policy strong 配置用戶配置密碼時(shí)啟用強(qiáng)密碼檢測(cè)
強(qiáng)口令檢測(cè)功能用于檢測(cè)口令的復(fù)雜度，避免口令由于復(fù)雜度過(guò)低被輕易破解。
對(duì)于以下兩種情況，強(qiáng)口令檢測(cè)功能會(huì)發(fā)出告警信息。
口令與賬號(hào)同名
口令只包含字符或數(shù)字

password policy min-size 配置用戶密碼的最小長(zhǎng)度
口令最小長(zhǎng)度用于限制用戶口令的長(zhǎng)度。
當(dāng)用戶配置的口令長(zhǎng)度較口令最小長(zhǎng)度小時(shí)，系統(tǒng)將會(huì)報(bào)錯(cuò)，并提醒用戶重新配置口令

enable secret xxxx 另一種加密的方式配置enable密碼
enable secret xxxxxx 與enable password xxxxx相比，enable secret的優(yōu)先級(jí)較高
第一次配置enable secret xxxx不會(huì)有問(wèn)題，但是后續(xù)通過(guò)enable secret xxxx更改密碼時(shí)需要先刪除enable secret才可以重新配置
配置enable secret xxxx后如果要修改enable password則需要先刪除enable secret

當(dāng)設(shè)備的遠(yuǎn)程密碼、enable密碼配置失敗，可以檢查密碼安全策略是否關(guān)閉
no enable secret //關(guān)閉enable密碼策略
no password policy strong //關(guān)閉強(qiáng)口令密碼策略
no password policy min-size //關(guān)閉密碼最小長(zhǎng)度策略
no password policy forced-password-modify //關(guān)閉密碼弱口令強(qiáng)制修改功能

其余密碼安全操作

配置密碼生存周期（單位為天）

password policy life-cycle 10

用戶配置密碼時(shí)，不允許用戶配置最近5次已經(jīng)配置過(guò)的密碼

password policy no-repeat-times 5

開(kāi)啟對(duì)密碼進(jìn)行特殊字符檢測(cè)的功能

password policy printable-character-check

開(kāi)啟密碼加密存儲(chǔ)功能

service password-encryption

密碼恢復(fù)

密碼丟失的情況

1、命令行密碼未丟失，Web密碼丟失；可以通過(guò)登錄命令行或Console更改Web密碼

2、命令行密碼丟失，Web密碼沒(méi)有丟失；通過(guò)登錄Web或Console更改命令行密碼

3、Console密碼丟失，命令行/Web沒(méi)有丟失，通過(guò)Web或命令行更改Console密碼

4、命令行、Console、Web密碼都丟失；只可以通過(guò)Console登錄來(lái)更改密碼（需要重啟設(shè)備，對(duì)用戶造成影響，會(huì)上不了網(wǎng)）

如果是在radius服務(wù)器上配置的，直接在radius上查看相應(yīng)配置

Web密碼忘記

通過(guò)Telnet/SSH或Console重置Web密碼

show run | inc webmaster #通過(guò)命令行查看Web密碼

如果密碼是密文直接重置密碼

webmaster level 0 username admin password 123456 #重置Web密碼

如果密碼是明文，可以選擇重置，也可以選擇不重置

Telnet/SSH密碼忘記

直接通過(guò)Web界面的圖形化更改Telnet/SSH密碼

通過(guò)Web界面的Web控制器/Console使用命令行更改Telnet/SSH密碼

查看登錄密碼

show run | be vty 如果是通過(guò)密碼登錄，查看登錄密碼

show run | inc username 如果是通過(guò)用戶名和密碼登錄，查看登錄的用戶名和密碼

如果需要更新密碼，可以通過(guò)重新配置的方式進(jìn)行密碼更新

查看enable密碼

show run | inc enable pass 查看enable的明文密碼

show run | inc secret 查看enable的密文密碼

如果存在密文密碼，必須通過(guò)enable secret 密碼 將其更改

如果只有明文密碼，可以通過(guò)enable password 密碼 更改或者不更改

Console密碼忘記

通過(guò)Telnet/SSH進(jìn)行命令行更改

查看登錄密碼

show run | be console 如果是通過(guò)密碼登錄，查看登錄密碼

show run | inc username 如果是通過(guò)用戶名和密碼登錄，查看登錄的用戶名和密碼

如果需要更新密碼，可以通過(guò)重新配置的方式進(jìn)行密碼更新

查看enable密碼

同上

所有密碼都忘記，通過(guò)Console進(jìn)行密碼重置

通過(guò)Console登錄設(shè)備

1、先重啟設(shè)備，設(shè)備上電后立即按Ctrl+C鍵進(jìn)入ROM層

2、進(jìn)入Bootloader菜單之后，按Ctrl+Q鍵進(jìn)入uboot命令行

3、輸入命令main_config_password_clear

4、此時(shí)設(shè)備會(huì)自動(dòng)重啟，重啟后不需要密碼（登錄密碼和enable密碼都不需要）即可進(jìn)入配置CLI命令行

5、此時(shí)修改Web/Console/Telnet/SSH登錄密碼 和 Enable密碼就可以

設(shè)備恢復(fù)出廠設(shè)置

無(wú)線設(shè)備可以通過(guò)Reset按鍵實(shí)現(xiàn)

AP設(shè)備

長(zhǎng)按reset鍵大于3s（如果小于2s會(huì)進(jìn)行胖瘦設(shè)備切換）

AC設(shè)備

長(zhǎng)按reset鍵大于5~8s

通過(guò)Console方式實(shí)現(xiàn)

產(chǎn)出配置文件后一定不要保存

瘦AP設(shè)備

AP上使用命令行

clear ap flash 或者 apm factory-reset

AP上使用Web界面

系統(tǒng)-恢復(fù)出廠設(shè)置

在AC設(shè)備上將上線的AP恢復(fù)出廠設(shè)置

ac-controller

factory-reset [ap-name]

胖AP設(shè)備

命令行（操作完成后重啟還是胖AP）

刪除config.text文件然后重啟

del config.text

reload 重啟設(shè)備

命令行（操作完成后重啟為瘦AP）

clear ap flash 或者 apm factory-reset

Web界面（操作完成后為瘦AP）

系統(tǒng)-恢復(fù)出廠設(shè)置

AC設(shè)備

web界面

維護(hù)-AC管理-配置管理-恢復(fù)出廠設(shè)置

命令行

刪除config.text（AC配置） 和 ap-config.text（AP配置）文件

del config.text

del ap-config.text

reload 重啟設(shè)備

其余設(shè)備

刪除config.text文件重啟后即可恢復(fù)出廠設(shè)置