set authentication password cipher 概念及题目
我们来详细解析华为/H3C网络设备中 set authentication password cipher 命令,并配以完整的实验。
第一部分:详细概念解析
set authentication password cipher 是一条用于在用户界面 下设置本地认证密码的命令。它是一种最基本、最简单的设备访问控制方式。
- 命令功能与定位
功能:为特定的用户界面(如Console口或VTY虚拟终端)设置一个登录密码。
定位:属于本地认证 方法,相较于AAA认证,其功能单一,无法实现基于用户的精细化管理
依赖:此命令需要与 authentication-mode password 命令配合使用。前者设置密码内容,后者启用密码认证模式。
- 命令语法与参数
set authentication password cipher [password]
cipher:关键字,表示以密文 方式存储密码。
这是必须的安全实践。如果在配置时使用 simple 关键字或不指定加密类型,密码将以明文形式显示在配置文件中,通过 display current-configuration 命令即可看到,存在严重安全风险。
使用 cipher 后,设备会对输入的密码进行加密处理,配置文件中显示的是一串乱码,从而保护密码安全。
[password]:用户设置的密码。华为/H3C设备对密码强度有要求,通常需要满足:
长度至少8字符。
包含大写字母、小写字母、数字、特殊字符(如下划线_、@等)中的至少两种。
- 应用场景
Console口保护:防止未经物理访问的人员通过Console线直接登录设备。
简单的远程管理:在小型或测试环境中,为Telnet/VTY线路设置一个统一的共享密码,实现基础的远程访问控制。
备用登录方式:在复杂的AAA认证配置之外,设置一个简单的密码作为后备的“逃生”通道。
- 优缺点
优点:
配置简单、快捷。
不依赖于AAA等复杂模块。
缺点:
共享密码:所有知道密码的人都可以登录,无法追溯具体是哪个用户的操作。
权限粗放:所有通过该UI登录的用户都拥有相同的权限级别(由 user privilege level 设定),无法实现用户级别的权限区分。
管理不便:修改密码会影响所有使用该密码的用户。
第二部分:详细实验
本实验将演示如何在Console口和VTY线路上配置密码认证。
实验拓扑与目标
拓扑:一台交换机,一台PC。PC通过Console线连接交换机,同时PC与交换机的某个以太网口通过网线连接,IP地址已配置且路由可达。
目标:
为Console口设置密码 Console@123。
为VTY线路设置密码 Vty@123,并允许Telnet登录。
验证密码认证功能。
实验步骤
第1步:通过Console口登录(初始无认证)
使用终端软件(如PuTTY, SecureCRT)通过COM口连接交换机。此时通常可以直接进入用户视图,无密码。
第2步:为Console口(CON 0)设置密码
进入系统视图,并进入Console用户界面视图。
system-view
[Huawei] sysname SW1
[SW1] user-interface con 0
设置认证模式为密码认证。
[SW1-ui-con0] authentication-mode password
设置加密的密码。
[SW1-ui-con0] set authentication password cip