簡介
本文描述如何在路由器中設定當前和新預共用金鑰的加密。
必要條件
需求
本文件沒有特定需求。
採用元件
本檔案中的資訊是根據以下軟體版本:
本文中的資訊是根據特定實驗室環境內的裝置所建立。文中使用到的所有裝置皆從已清除(預設)的組態來啟動。如果您的網路運作中,請確保您瞭解任何指令可能造成的影響。
慣例
請參閱思科技術提示慣例以瞭解更多有關文件慣例的資訊。
背景資訊
Cisco IOS軟體版本12.3(2)T程式碼引進相關功能,允許路由器以非揮發性RAM、非揮發性RAM(NVRAM)中安全型別6格式加密網際網路安全關聯和金鑰管理通訊協定(ISAKMP)預先共用金鑰。 要加密的預共用金鑰可以配置為標準、在ISAKMP金鑰環下、在主動模式下或者在Easy VPN(EzVPN)伺服器或客戶端設定下配置為組密碼。
設定
本節提供可用於設定本檔案中所述功能的資訊。
附註:使用命令查詢工具可獲取本節所用命令的詳細資訊。
附註:只有註冊的思科使用者才能訪問內部思科工具和資訊。
引入了以下兩個命令以啟用預共用金鑰加密:
[主金鑰] 是使用高級加密標準(AES)對稱密碼加密路由器配置中的所有其他金鑰的密碼/金鑰。主鍵不存儲在路由器配置中,且在連線到路由器時無法以任何方式看到或獲取。
配置後,主金鑰用於加密路由器配置中的所有當前金鑰或新金鑰。如果命令行中未指定[主鍵],則路由器會提示使用者輸入該鍵並重新輸入該鍵以進行驗證。如果金鑰已存在,則會提示使用者先輸入舊金鑰。在您發出password encryption aes指令之前,金鑰不會加密。
可以使用金鑰配置金鑰更改主金鑰(雖然除非金鑰以某種方式受到危害,否則不必更改主金鑰)。..... 再次使用新[primary-key]發出命令。 路由器配置中的所有當前加密金鑰均使用新金鑰重新加密。
您可以在發出no key config-key...時刪除主鍵。。但是,這會導致路由器配置中所有當前配置的金鑰都無效(顯示一條警告消息,詳細說明了此消息並確認刪除主金鑰)。 由於主金鑰不再存在,路由器無法解密和使用第6類口令。
附註:出於安全原因,刪除主金鑰或刪除password encryption aes 命令都不會解密路由器配置中的密碼。一旦密碼被加密,它們就不會被解密。如果主金鑰未刪除,配置中的當前加密金鑰仍可解密。
此外,若要檢視密碼加密功能的調試型別消息,請在配置模式下使用password logging命令。
組態
本檔案在路由器上使用以下設定:
加密目前的預先共用金鑰 |
Router#show running-config
Building configuration...
.
.crypto isakmp policy 10
authentication pre-share
crypto isakmp key cisco123 address 10.1.1.1
.
.
endRouter#configure terminal
Enter configuration commands, one per line. End with CNTL/Z.
Router(config)#key config-key password-encrypt testkey123
Router(config)#password encryption aes
Router(config)#^Z
Router#
Router#show running-config
Building configuration...
.
.
password encryption aes
.
.
crypto isakmp policy 10
authentication pre-share
crypto isakmp key 6 FLgBaJHXdYY_AcHZZMgQ_RhTDJXHUBAAB address 10.1.1.1
.
.
end |
以互動方式新增新主鍵 |
Router(config)#key config-key password-encrypt
New key:
Confirm key:
Router(config)# |
以互動方式修改當前主鍵 |
Router(config)#key config-key password-encrypt
Old key:
New key:
Confirm key:
Router(config)#
*Jan 7 01:42:12.299: TYPE6_PASS: Master key change heralded,
re-encrypting the keys with the new primary key |
刪除主鍵 |
Router(config)#no key config-key password-encrypt
WARNING: All type 6 encrypted keys will become unusable
Continue with primary key deletion ? [yes/no]: yes
Router(config)# |
驗證
目前沒有適用於此組態的驗證程序。
疑難排解
目前尚無適用於此組態的具體疑難排解資訊。
相關資訊