來源：公眾號【網絡技術干貨圈】

作者：圈圈

ID：wljsghq

配置登錄用戶名密碼以及Enable密碼

用戶密碼登錄的三種方式（設備初始的登錄方式為用戶名+密碼）

只需要密碼登錄（在vty或colsole下配置login）

需要用戶名和密碼登錄（但是沒有開啟aaa；在vty或colsole下配置login loca）

需要用戶名和密碼登錄（開啟了aaa；配置aaa認證為本地）

Enable登錄的密碼更改

enable password 密碼 配置enable的明文密碼

enable secret 密碼 配置enable的密文密碼

如果明文密碼和密文密碼都存在，密文密碼優先

只需要密碼登錄

Console密碼登錄

line console 0

login

password ruijie

Telnet/SSH密碼登錄

line vty 0 4

password ruijie #修改登錄密碼為ruijie

login #配置登錄不需要使用用戶名，只需要密碼就可以

transport input ssh telnet

需要用戶名和密碼登錄（無AAA）

Console用戶名密碼登錄

line console 0

login local #配置登錄需要使用用戶名和密碼 并本地認證

username ruijie password ruijie@123 #配置用戶名和密碼

username ruijie login mode console #配置此用戶支持consolet登錄

username ruijie privilege 15 #配置此用戶的權限

Telnet/SSH用戶名密碼登錄

line vty 0 4

password ruijie #修改登錄密碼為ruijie

login local #配置登錄需要使用用戶名和密碼 并本地認證

transport input ssh telnet

username ruijie password ruijie@123 #配置用戶名和密碼

username ruijie login mode ssh telnet #配置此用戶支持ssh和telnet登錄

username ruijie privilege 15 #配置此用戶的權限

Web用戶名密碼登錄

webmaster level 0 username admin password 123456

需要用戶名和密碼登錄（有AAA）

開啟AAA對Console/Telnet/SSH登錄密碼的影響

當開啟AAA后，在Line下配置的關于Console、Telnet、SSH的密碼都將失效（即登錄不需要密碼，enable需要密碼）

如果要對其配置登錄密碼認證，需要進行以下配置（配置后登錄設備必須使用用戶名+密碼的方式進行認證）

如果先前沒有配置Username（即開啟AAA前只是通過密碼認證的），此時就要創建Username，并配置aaa的認證類型為本地

username ruijie password ruijie@123 #配置用戶名和密碼

username ruijie login mode ssh telnet console #配置此用戶支持ssh、telnet、console登錄

username ruijie privilege 15 #配置此用戶的權限

aaa new-model

aaa authentication login default local #配置aaa的認證類型為本地

如果在local后加上none說明，除了設置的用戶名，其它用戶名都可以登錄上來

line vty 0 4 / line console 0

login authentication default #配置登錄方式為aaa本地認證（默認配置）

如果先前配置了Username（即開啟AAA前就是通過用戶密碼認證的），此時只需要開啟aaa的認證類型為本地

aaa new-model

aaa authentication login default local 配置aaa的認證類型為本地

line vty 0 4 / line console 0

login authentication default 配置登錄認證方式為aaa本地認證（默認配置）

設備密碼安全策略

設備內置密碼安全策略類型
password policy forced-password-modify 配置用戶配置密碼時啟用弱密碼強制修改功能
弱口令強制修改功能會在用戶配置口令時檢測口令的復雜度，若判定其為弱口令，則該口令配置失敗，同時強制要求用戶重新設置口令。
弱口令的判斷標準如下：口令與賬號同名、口令只包含字符或數字。
只對全局口令（enable password、enable secret命令配置）和本地用戶口令（username命令配置）生效，對于Line模式下面的口令不生效

password policy strong 配置用戶配置密碼時啟用強密碼檢測
強口令檢測功能用于檢測口令的復雜度，避免口令由于復雜度過低被輕易破解。
對于以下兩種情況，強口令檢測功能會發出告警信息。
口令與賬號同名
口令只包含字符或數字

password policy min-size 配置用戶密碼的最小長度
口令最小長度用于限制用戶口令的長度。
當用戶配置的口令長度較口令最小長度小時，系統將會報錯，并提醒用戶重新配置口令

enable secret xxxx 另一種加密的方式配置enable密碼
enable secret xxxxxx 與enable password xxxxx相比，enable secret的優先級較高
第一次配置enable secret xxxx不會有問題，但是后續通過enable secret xxxx更改密碼時需要先刪除enable secret才可以重新配置
配置enable secret xxxx后如果要修改enable password則需要先刪除enable secret

當設備的遠程密碼、enable密碼配置失敗，可以檢查密碼安全策略是否關閉
no enable secret //關閉enable密碼策略
no password policy strong //關閉強口令密碼策略
no password policy min-size //關閉密碼最小長度策略
no password policy forced-password-modify //關閉密碼弱口令強制修改功能

其余密碼安全操作

配置密碼生存周期（單位為天）

password policy life-cycle 10

用戶配置密碼時，不允許用戶配置最近5次已經配置過的密碼

password policy no-repeat-times 5

開啟對密碼進行特殊字符檢測的功能

password policy printable-character-check

開啟密碼加密存儲功能

service password-encryption

密碼恢復

密碼丟失的情況

1、命令行密碼未丟失，Web密碼丟失；可以通過登錄命令行或Console更改Web密碼

2、命令行密碼丟失，Web密碼沒有丟失；通過登錄Web或Console更改命令行密碼

3、Console密碼丟失，命令行/Web沒有丟失，通過Web或命令行更改Console密碼

4、命令行、Console、Web密碼都丟失；只可以通過Console登錄來更改密碼（需要重啟設備，對用戶造成影響，會上不了網）

如果是在radius服務器上配置的，直接在radius上查看相應配置

Web密碼忘記

通過Telnet/SSH或Console重置Web密碼

show run | inc webmaster #通過命令行查看Web密碼

如果密碼是密文直接重置密碼

webmaster level 0 username admin password 123456 #重置Web密碼

如果密碼是明文，可以選擇重置，也可以選擇不重置

Telnet/SSH密碼忘記

直接通過Web界面的圖形化更改Telnet/SSH密碼

通過Web界面的Web控制器/Console使用命令行更改Telnet/SSH密碼

查看登錄密碼

show run | be vty 如果是通過密碼登錄，查看登錄密碼

show run | inc username 如果是通過用戶名和密碼登錄，查看登錄的用戶名和密碼

如果需要更新密碼，可以通過重新配置的方式進行密碼更新

查看enable密碼

show run | inc enable pass 查看enable的明文密碼

show run | inc secret 查看enable的密文密碼

如果存在密文密碼，必須通過enable secret 密碼 將其更改

如果只有明文密碼，可以通過enable password 密碼 更改或者不更改

Console密碼忘記

通過Telnet/SSH進行命令行更改

查看登錄密碼

show run | be console 如果是通過密碼登錄，查看登錄密碼

show run | inc username 如果是通過用戶名和密碼登錄，查看登錄的用戶名和密碼

如果需要更新密碼，可以通過重新配置的方式進行密碼更新

查看enable密碼

同上

所有密碼都忘記，通過Console進行密碼重置

通過Console登錄設備

1、先重啟設備，設備上電后立即按Ctrl+C鍵進入ROM層

2、進入Bootloader菜單之后，按Ctrl+Q鍵進入uboot命令行

3、輸入命令main_config_password_clear

4、此時設備會自動重啟，重啟后不需要密碼（登錄密碼和enable密碼都不需要）即可進入配置CLI命令行

5、此時修改Web/Console/Telnet/SSH登錄密碼 和 Enable密碼就可以

設備恢復出廠設置

無線設備可以通過Reset按鍵實現

AP設備

長按reset鍵大于3s（如果小于2s會進行胖瘦設備切換）

AC設備

長按reset鍵大于5~8s

通過Console方式實現

產出配置文件后一定不要保存

瘦AP設備

AP上使用命令行

clear ap flash 或者 apm factory-reset

AP上使用Web界面

系統-恢復出廠設置

在AC設備上將上線的AP恢復出廠設置

ac-controller

factory-reset [ap-name]

胖AP設備

命令行（操作完成后重啟還是胖AP）

刪除config.text文件然后重啟

del config.text

reload 重啟設備

命令行（操作完成后重啟為瘦AP）

clear ap flash 或者 apm factory-reset

Web界面（操作完成后為瘦AP）

系統-恢復出廠設置

AC設備

web界面

維護-AC管理-配置管理-恢復出廠設置

命令行

刪除config.text（AC配置） 和 ap-config.text（AP配置）文件

del config.text

del ap-config.text

reload 重啟設備

其余設備

刪除config.text文件重啟后即可恢復出廠設置