7.6. Шифрование системных паролей

Системный пароль — это пароль, назначенный системе, а не пользователю: секреты RADIUS, TACACS+, SNMP community strings и пароли SNMPv3. По умолчанию системные пароли хранятся в файле startup-config в открытом виде. Для защиты этих паролей можно включить их автоматическое шифрование.

password encryption aes

Включить шифрование системных паролей. После включения все новые системные пароли будут автоматически шифроваться с использованием алгоритма AES-256 в режиме CBC. Системные пароли, заданные до включения шифрования, останутся в том виде, в котором были: либо открытыми, либо зашифрованными.

no password encryption aes

Выключить шифрование системных паролей. После выключения все новые системные пароли будут сохраняться в открытом виде. Системные пароли, заданные до выключения шифрования, останутся в том виде, в котором были.

Шифрование затрагивает пароли в следующих командах:

  • aaa radius — секрет RADIUS-сервера

  • aaa tacacs+ — секрет TACACS+ сервера

  • radius accounting secret — секрет RADIUS Accounting

  • service snmp community — строка сообщества SNMP

  • service snmp host — строка сообщества получателя SNMP-трапов

  • service snmp user — пароли аутентификации и шифрования SNMPv3

Примечание

Зашифрованные пароли можно копировать между устройствами через буфер обмена, командную строку, веб-интерфейс или RESTCONF. Независимо от того, включено шифрование или нет, если в команде указан зашифрованный пароль, он будет сохранён в зашифрованном виде.

Примечание

Если после включения шифрования сохранить конфигурацию в startup-config, пароли будут сохранены в том виде, в котором они были на момент сохранения. Однако при последующей загрузке этой конфигурации все системные пароли в рабочей конфигурации будут зашифрованы. Повторное сохранение конфигурации запишет все пароли в зашифрованном виде.