在Cisco中配置本地用户认证

为所有认证目的使用一个共享密码并不是最安全的方法。为每个人分配独立的登录用户名和密码，这样更容易进行跟踪管理。实际上，登录Cisco路由器设备以及其他网络设备的有两种主要方式。

• 在设备上使用本地登录信息和密码进行登录。
• 通过使用外部认证服务（例如AAA服务器、Radius、TACACS等）来实现认证。

默认情况下，出于管理目的，无需登录或输入密码即可访问Cisco路由器（可以通过Console、Telnet或SSH进行访问）。

• “特权EXEC”密码，也被称为“启用密码”，就是用来访问路由器完整配置模式的唯一密码。关于不同的密码级别和类型，请参考下面的说明。
• 如果路由器设备使用第二层认证机制，那么其安全性将会更高。因为在这种模式下，用户除了需要输入“enable”密码之外，还需要提供额外的用户名和密码信息。这样就能有效防止未经授权的访问。
• 此外，在设备上设置本地用户名，还可以为不同用户提供更细粒度的管理权限。不过，与本地账户相比，使用外部AAA服务器来进行认证和授权更为理想。
• 例如，您可以设置一个具有完全访问权限的用户名（权限级别为15），这样您就可以对路由器进行任何配置。或者，您也可以设置一个权限受限的用户名（权限级别为1），这样您就只能查看路由器的部分信息，而无法进行其他操作。

Cisco中的本地用户认证

本地用户认证是一种通过将在Cisco设备上存储的用户登录信息来认证用户的机制。 这与使用外部认证服务器来进行用户认证的做法截然不同。例如，可以使用RADIUS或TACACS+等外部认证服务器来对用户进行身份验证。 要在Cisco设备上配置本地用户认证，您需要创建一个本地用户账户，并指定该账户的认证方式。 您还可以为该账户设置权限级别，从而确定用户对该设备的访问权限以及对其配置的访问权限。

步骤1：要创建本地用户账户，可以使用“username”和“password”命令。例如，要创建一个名为“admin”的用户账户，并为其设置密码为“password”，则请输入以下命令：

username admin password password

步骤2：为了指定本地用户账户的认证方式，可以使用AAA认证登录命令。例如，如果要指定使用本地用户账户进行认证，可以输入如下命令：

aaa authentication login default local

步骤3：要为本地用户账户设置权限级别，可以使用“privilege”和“level”命令。例如，若要将该用户账户的权限级别设置为15，可以输入如下命令：

privilege 15 level 15 admin

步骤4：要设置本地用户账户的权限级别，可以使用“username”和“privilege”命令。例如，若要将该用户账户的权限级别设置为15，可以输入如下命令：

username admin privilege 15

请记住，这些步骤只是一个基本的示例而已。您实际使用的具体命令和选项可能会因所使用的Cisco设备版本以及网络的具体需求而有所不同。

在Cisco环境中配置本地用户认证

步骤1：请使用“geeks”和“annie@3314”的凭据创建一个用户账户，并授予该用户15级权限。

Router>enable
Router#configure terminal
Enter configuration commands, 
one per line.  End with CNTL/Z.
Router(config)#username geeks 
privilege 15 secret geeks@357

在成功认证之后，那些被授予15级权限的用户将进入特权模式，此时他们就不需要再输入密码了。在授予15级权限时，请务必谨慎操作。

注意：

Enable Password (not encrypted) 
Enable Secret Password (encrypted password)

步骤2：请为 GeeksforGeeks 创建一个用户账户，密码为 geeks@357。同时，请允许该用户拥有一级访问权限。

Router(config)#username GeeksforGeeks
 privilege 1 secret geeks@357

步骤3：请配置 VTY 线路 0 到 4，以便进入的会话能够向本地用户数据库进行身份验证。同样地，其他线路如 console 和 aux 也需要进行类似的配置。为了实现这一点，请在线路配置模式下执行 login local 命令。

Router(config)# line vty 0 4
Router(config-line)# login local
Router(config-line)# exit

Router(config)# line console 0
Router(config-line)# login local
Router(config-line)# exit

Router(config)# line aux 0
Router(config-line)# login local
Router(config-line)# exit

如果既没有定义“enable密码”，也没有定义“enable secret”命令，同时控制台端口也配置了线路密码的话，那么控制台线路的密码将被用作所有VTY线路的启用密码。这些VTY线路包括Telnet、登录和SSH连接。

步骤4：通过Loopback0接口使用反向Telnet方式，来确认您的配置是否正确。系统会提示您输入用户名和密码。一旦认证成功，您就可以进入执行shell会话了。具体是进入普通模式还是特权模式，则取决于您使用的是“GeeksforGeeks”还是“geeks”这个用户名。

Routerconfig-line)#end
Router#telnet 10.1.1.1
Trying 10.1.1.1 ... Open

User Access Verification
Username: geeks
Password: 
Router#