Auxiliary Password 

To configure the auxiliary password on a router, go into global  configuration mode and type  line  aux  ? . And by the way, you won’t 

find these ports on a switch. This output shows that you only get a  choice of 0–0, which is because there’s only one port: 

tod # config  t  tod (config)# line  aux  ?  

    <0-0>    First  Line  number  

tod (config)# line  aux  0  tod (config-line)# login  

%  Login  disabled  on  line  1,  until  'password'  is  set  

tod (config-line)# password  aux  tod (config-line)# login  

Setting Up Secure Shell (SSH) 

I strongly recommend using Secure Shell (SSH) instead of Telnet  because it creates a more secure session. The Telnet application uses  an unencrypted data stream, but SSH uses encryption keys to send  data so your username and password aren’t sent in the clear,  vulnerable to anyone lurking around! 

Here are the steps for setting up SSH: 

1.  Set your hostname: 

Router(config)# hostname   tod 

2.  Set the domain name—both the hostname and domain name are  required for the encryption keys to be generated: 

tod (config)# ip  domain-name   lamle .com  

3.  Set the username to allow SSH client access: 

tod (config)# username   tod   password   lamle 

4.  Generate the encryption keys for securing the session: 

tod (config)# crypto  key  generate  rsa  

The  name  for  the  keys  will  be:   tod . lamle .com  

Choose  the  size  of  the  key  modulus  in  the  range  of  360  to  

4096  for  your  General  Purpose  Keys.  Choosing  a  key  modulus  

Greater  than  512  may  take  a  few  minutes.  

How  many  bits  in  the  modulus  [512]:  1024  

%  Generating  1024  bit  RSA  keys,  keys  will  be  non-  

exportable...  

[OK]  (elapsed  time  was  6  seconds)  

tod (config)#  

1d14h:  %SSH-5-ENABLED:  SSH  1.99  has  been  enabled*June  24  

19:25:30.035:  %SSH-5-ENABLED:  SSH  1.99  has  been  enabled  

5.  Enable SSH version 2 on the device—not mandatory, but strongly  suggested: 

tod (config)# ip  ssh  version  2  

6.  Connect to the VTY lines of the switch or router: 

tod (config)# line  vty  0  15  

7.  Tell the lines to use the local database for password: 

tod (config-line)# login  local  

8.  Configure your access protocols: 

tod (config-line)# transport  input  ?  

    all          All  protocols  

    none        No  protocols  

    ssh          TCP/IP  SSH  protocol  

    telnet    TCP/IP  Telnet  protocol  

Beware of this next line, and make sure you never use it in  production because it’s a horrendous security risk: 

tod (config-line)# transport  input  all  

I recommend using the next line to secure your VTY lines with  SSH: 

tod (config-line)# transport  input  ssh  ?  

    telnet    TCP/IP  Telnet  protocol  

    <cr>  

I actually do use Telnet once in a while when a situation arises that  specifically calls for it. It just doesn’t happen very often. But if you  want to go with Telnet, here’s how you do that: 

tod (config-line)# transport  input  ssh  telnet  

Know that if you don’t use the keyword  telnet  at the end of the  command string, then only SSH will work on the device. You can go  with either, just so long as you understand that SSH is way more  secure than Telnet. 

Encrypting Your Passwords 

Because only the enable secret password is encrypted by default, you’ll  need to manually configure the user-mode and ena ble passwords for  encryption. 

Notice that you can see all the passwords except the enable secret  when performing a  show  running-config  on a switch: 

tod # sh  running-config  

Building  configuration...  

Current  configuration  :  1020  bytes  

!  

!  Last  configuration  change  at  00:03:11  UTC  Mon  Mar  1  1993  

!  

version  15.0  

no  service  pad  

service  timestamps  debug  datetime  msec  

service  timestamps  log  datetime  msec  

no  service  password-encryption  

!  

hostname   tod 

!  

enable  secret  4  ykw.3/tgsOuy9.6qmgG/EeYOYgBvfX4v.S8UNA9Rddg  

enable  password   tod 

!  

[output  cut]  

!  

line  con  0  

  password  console  

  login  

line  vty  0  4  

  password  telnet  

  login  

line  vty  5  15  

  password  telnet  

  login  

!  

end  

To manually encrypt your passwords, use the  service  password-  encryption  command. Here’s how: 

tod # config  t  

tod (config)# service  password-encryption  tod (config)# exit  

tod # show  run  

Building  configuration...  

!  

!  

enable  secret  4  ykw.3/tgsOuy9.6qmgG/EeYOYgBvfX4v.S8UNA9Rddg  

enable  password  7  1506040800  

!  

[output  cut]  

!  

!  

line  con  0  

  password  7  050809013243420C  

  login  

line  vty  0  4  

  password  7  06120A2D424B1D  

  login  

line  vty  5  15  

  password  7  06120A2D424B1D  

  login  

!  

end  

tod # config  t  

tod (config)# no  service  password-encryption  tod (config)# ^Z  

tod #  

Nicely done—the passwords will now be enc rypted. All you need to do  is encrypt the passwords, perform a  show  run , then turn off the  command if you want. This output clearly shows us that the enable  password and the line passwords are all encrypted. 

Before we move on to find out how to set descriptions on your  interfaces, I want to stress some points about password encryption. As  I said, if you set your passwords and then turn on the  service  password-encryption  command, you have to perform a  show  running-  config  before you turn off the encryption service or your passwords  won’t be encrypted. You don’t have to turn off the encryption service at  all—you’d only do that if your switch is running low on processes. And  if you turn on the service before you set your passwords, then you 

don’t even have to view them to have them encrypted. 

Site Search:

Close

Close
Download Free Demo of VCE
Exam Simulator

Experience Avanset VCE Exam Simulator for yourself.


Simply submit your e-mail address below to get started with our interactive software demo of your free trial.


Enter Your Email Address

Free Demo Limits: In the demo version you will be able to access only first 5 questions from exam.