<![CDATA[Настройка паролей типа 6 в IOS XE]]>[История]
[Требования]
[Шаги по настройке]
[Управление ключами]
[Изменение пароля]
[Проверка]
[Их необходимо пересмотреть/изменить.]
[Их использование безопасно.]
[Часто задаваемые вопросы]
[Ссылки] История
Традиционно Cisco использовала несколько различных методов для хранения паролей и ключей в IOS. Старые методы — это Type 5 (хэш MD5) и Type7 (обфускация Vigenere). Мы включили шифрование Type 7 с помощью команды CLI service password-encryption.
Существуют и более новые методы, такие как Type 8 (SHA256) и Type 9 (SCRYPT). На данный момент я рекомендую никогда не использовать Type 5 или Type 7 и ни в коем случае не использовать Type 4.
Сегодня, в 2021 году, рекомендуется использовать Тип 6, Тип 8 и Тип 9. Тип 6 использует надежное 128-битное шифрование AES для хранения паролей. Если вас интересуют подробности о типах 0, 4, 5, 6, 7, 8, 9, ознакомьтесь с другим документом, который я написал. Я бы хотел здесь пошутить на тему подсчета, но не буду.
![:winking_face:]
Примечание:
использование типа 6 поддерживается с 2006 года, IOS 12.3(2)T и, возможно, более ранних версий!
Подробное объяснение каждого типа паролей см. в
[этом документе]
, который я написал.
Требования
В этом примере я работаю с устройствами, которые были сброшены до заводских настроек.
Catalyst 9300 с IOS XE 17.3(3)
Любое устройство, на котором работает современная IOS XE, должно поддерживать тип 6.
Шаги по настройке

  1. Включите шифрование паролей AES 128
    !
    configure terminal
    password encryption aes
    key config-key password-encrypt
    super-secret-password
    end
    !
    Управление ключами
    Использованный вами сверхсекретный пароль очень важен. Очень важно хранить ключ в автономном режиме. Обязательно храните его в KeePass, 1Password или хранилище паролей по вашему выбору. В идеале каждое устройство, на котором вы настраиваете тип 6, будет иметь уникальный ключ.
    Изменение пароля
    Не должно быть слишком много причин для изменения ключа пароля. Однако, если у вас есть старый ключ пароля, его изменение не представляет сложности и не имеет негативных последствий.
    ![password key change example.png]
    Проверка
    Их необходимо проверить/изменить.
    Посмотрите на рабочую конфигурацию для паролей типа 7
    show running-config | include 7
    Проверьте рабочую конфигурацию для паролей типа 5
    show running-config | include 5
    Их можно использовать безопасно.
    Проверьте рабочую конфигурацию для паролей типа 6
    show running-config | include 6
    Проверьте текущую конфигурацию для паролей типа 8.
    show running-config | include 8
    Проверьте текущую конфигурацию для паролей типа 9
    show running-config | include 9
    Часто задаваемые вопросы
    В:
    Следует ли оставлять шифрование сервисного пароля в конфигурации?
    О:
    Да, хотя это и не должно быть необходимо, поскольку мы включили пароли типа 6, оставление шифрования паролей службы в рабочей конфигурации приведет к тому, что все другие пароли типа 5 или типа 7 будут зашифрованы, а не храниться в открытом виде.
    В:
    Должен ли я хранить ключ?
    О:
    ДА, ключ ОБЯЗАТЕЛЬНО должен храниться. В случае необходимости переноса конфигурации этого устройства на новое устройство вам понадобится ключ.
    В:
    Какие пароли будут преобразованы?
    О:
    Согласно моим тестам, будут преобразованы следующие пароли и типы паролей:
    Ключи сервера TACACS (ранее в типе 7)
    Ключи сервера RADIUS (ранее в типе 7)
    Пароли входа vty (ранее в типе 7)
    В:
    Какие типы паролей НЕ будут преобразованы?
    О:
    Согласно моим тестам, следующие пароли и типы паролей НЕ будут преобразованы:
    enable secret 9
    Пароль аутентификации BGP MD5, вместо него используйте опцию аутентификации BGP TCP
    Пароль аутентификации OSPF MD5,
    [вместо него используйте аутентификацию HMAC]
    HSRP \ VRRP с использованием ключевой строки для аутентификации, вместо этого используйте цепочку ключей аутентификации, которая будет преобразована в тип 6
    В:
    Можно ли вернуться к паролям, отличным от типа 6?
    О:
    Возврат к паролям, отличным от типа 6, является ручным процессом.
    Сначала определите все пароли типа 6
    Затем выполните
    no password-encryption aes
    Затем верните каждый из ранее идентифицированных типов 6 и перенастройте.
    В:
    Что произойдет, если мне понадобится изменить ключ шифрования пароля?
    О:
    Обычно это не требуется, однако, если у вас все еще есть пароль, то все в порядке, нет проблем! Просто измените его, см. пример выше.
    В:
    Что произойдет, если я потеряю ключ шифрования пароля?
    О:
    Перемещение паролей в зашифрованном виде на новый компьютер будет невозможно.
    В:
    Что произойдет, если я потеряю ключ шифрования пароля и мне нужно будет изменить ключ шифрования пароля?
    О:
    Я бы позвонил в Cisco TAC
    В:
    Где мне искать изменения в running-config?
    О:
    Обычно я видел пароли типа 5 и типа 7 в следующих местах:
    username kashvi password …
    пароль enable
    ключ RADIUS
    Ключ TACACS
    Вход VTY
    Пароль BGP-пира
    Предварительно согласованный ключ MKA
    В:
    Могу ли я реализовать шифрование паролей aes на существующем коммутаторе?
    О:
    Да, конечно! Воспользуйтесь приведенными выше командами проверки, чтобы убедиться, что все ваши старые пароли, особенно типа 5 и типа 7, преобразованы в более новый тип 6.
    В:
    Я развертываю новый коммутатор/маршрутизатор, как его следует настроить?
    О:
    С самого начала используйте приведенный выше скрипт конфигурации. Нет необходимости использовать service password-encryption.
    В:
    Если мне нужно использовать тип 8 или тип 9, какой из них более безопасен?
    О:
    И тип 8, и тип 9 являются безопасными, можете использовать любой из них.
    В:
    Я не вижу ключ config-key password-encrypt в рабочей конфигурации...
    О:
    Да, вы не должны его видеть. Хранение ключа в виде открытого текста было бы небезопасно, так как это может дать возможность расшифровать пароли. Ключ хранится в разделе, недоступном для администратора.
    В:
    Могу ли я настроить шифрование типа 6 на своем маршрутизаторе, если мой маршрутизатор-аналог BGP, OSPF, EIGRP не поддерживает его?
    О:
    Да! Поскольку процесс маршрутизации на вашем маршрутизаторе расшифрует пароль перед использованием с одноранговым устройством, это не должно быть проблемой.
    В:
    Должен ли я использовать enable password или enable secret?
    О:
    Определенно используйте enable secret. Если настроены оба, используется только enable secret.
    Ссылки
    Справочник команд Cisco IOS XE (key config-key password-encrypt)
    Справочник команд Cisco IOS XE (password encryption aes)
    Шифрование предварительно согласованных ключей в конфигурации маршрутизатора Cisco IOS
    Справочник команд Cisco IOS (service password-encryption)

]]>https://sla247.ru/forum/topic/1670/настройка-паролей-типа-6-в-ios-xeRSS for NodeThu, 14 May 2026 22:27:16 GMTTue, 24 Feb 2026 20:53:01 GMT60<![CDATA[Reply to Настройка паролей типа 6 в IOS XE on Tue, 24 Feb 2026 20:53:16 GMT]]>Я знаю, что эта тема уже старая, но у меня не получается преобразовать пароли типа 7 в пароли типа 6 на коммутаторах 3750X 15.2(4)E10. Пароли типа 7 (т. е. имя пользователя, TACACS+, RADIUS) не преобразуются, хотя обе команды принимаются («key config-key password-encrypt» и «password encryption aes»). В чем дело?

]]>https://sla247.ru/forum/post/12425https://sla247.ru/forum/post/12425Tue, 24 Feb 2026 20:53:16 GMT<![CDATA[Reply to Настройка паролей типа 6 в IOS XE on Tue, 24 Feb 2026 20:53:15 GMT]]>@toormehdi
...

Этот мастер-ключ должен быть на целевом поле до вставки или его можно ввести после? Пытаюсь понять порядок действий. -
Да, зашифрованный формат можно скопировать, и он будет работать, если используется тот же мастер-ключ. Его можно ввести до или после. > Может ли возникнуть ситуация, когда вставленная конфигурация с зашифрованным паролем в конечном итоге будет зашифрована дважды? Предположим, что используется более новая или другая модель маршрутизатора или более высокая версия IOS?

  • Нет, IOS не будет повторно шифровать ключ/пароль, уже имеющийся в типе 6. > Есть ли способ расшифровать ключи/пароль с помощью мастер-ключа? Есть ли инструмент на боксе или вне его?
  • Насколько я знаю, нет, хотя теоретически это было бы возможно, если бы у вас был алгоритм Cisco и ключ.

Также заметил, что в ios xe некоторые ключи, которые мы создали для PSK, просто вводятся без шифрования, даже если включено шифрование паролей aes? В чем может быть причина такого поведения?

  • Шифрование AES началось с таких вещей, как ключи VPN, и постепенно было расширено на другие пароли и ключи в более новых версиях IOS. Для всего остального по-прежнему требуется «service password-encryption». > Есть ли вероятность того, что маршрутизатор получит свою конфигурацию через tftp или какой-либо другой источник с включенным шифрованием паролей aes и никогда не будет запрашивать у администратора в интерактивном режиме ввод главного ключа, что обычно происходит при первом включении?
    — Я почти уверен, что это не работало на старых версиях IOS, но не пробовал на новых версиях. Проведите тщательное тестирование. Но с точки зрения безопасности, ввод вашего мастер-ключа в виде открытого текста в конфигурацию с зашифрованным текстом буквально сводит на нет цель шифрования, поэтому даже не пытайтесь это делать. Если вы собираетесь так раздавать свой мастер-ключ, то просто не тратьте время на шифрование паролей — оставьте их в виде открытого текста.
]]>https://sla247.ru/forum/post/12424https://sla247.ru/forum/post/12424Tue, 24 Feb 2026 20:53:15 GMT<![CDATA[Reply to Настройка паролей типа 6 в IOS XE on Tue, 24 Feb 2026 20:53:14 GMT]]>Спасибо за этот пост. У меня есть несколько вопросов, на которые я не могу найти ответы в документации. Если возникнет необходимость заменить маршрутизатор (RMA, обновление и т. д.), можно ли просто скопировать зашифрованные пароли/PSK в зашифрованном формате и вставить их в новое устройство, если известен главный ключ? Должен ли этот мастер-ключ находиться на целевом устройстве до вставки или его можно ввести после? Пытаюсь понять порядок операций. Может ли возникнуть ситуация, когда вставленная конфигурация с зашифрованным паролем в конечном итоге будет зашифрована дважды? Предположим, что используется более новая или другая модель маршрутизатора или более высокая версия IOS? Есть ли способ расшифровать ключи/пароль с помощью мастер-ключа? Есть ли инструмент на устройстве или вне его? Также заметил, что в ios xe некоторые ключи, которые мы создали для PSK, просто вводятся без шифрования, даже если включено шифрование паролей aes? Что может быть причиной такого поведения? Есть ли вероятность, что маршрутизатор получит свою конфигурацию через tftp или другой источник с включенным шифрованием паролей aes и никогда не будет запрашивать у администратора ввод мастер-ключа, что обычно происходит, когда он включается в первый раз. Спасибо!

]]>https://sla247.ru/forum/post/12423https://sla247.ru/forum/post/12423Tue, 24 Feb 2026 20:53:14 GMT<![CDATA[Reply to Настройка паролей типа 6 в IOS XE on Tue, 24 Feb 2026 20:53:13 GMT]]>К вашему сведению: мы обнаружили ошибку с типом 6 и «паролем службы абонента». IOS преобразует его в тип 6 в конфигурации, но затем считывает как тип 7, что приводит к сбою службы. Обходной путь заключается в том, чтобы явно настроить его с типом 7 после включения шифрования AES, и тогда он будет продолжать работать, поскольку IOS не преобразует его. Дело TAC в процессе рассмотрения...

]]>https://sla247.ru/forum/post/12422https://sla247.ru/forum/post/12422Tue, 24 Feb 2026 20:53:13 GMT<![CDATA[Reply to Настройка паролей типа 6 в IOS XE on Tue, 24 Feb 2026 20:53:12 GMT]]>@abtt-39
Тип 6 предназначен для обратимо зашифрованных ключей/паролей, которые необходимо использовать в их исходном виде в виде открытого текста — и radius является одним из тех элементов, для которых требуется фактический ключ. Тип 8 — это HASH, который не может быть обращен обратно в исходный открытый текст и поэтому не может быть использован для таких целей, как radius. Тип 8 подходит для секретной информации пользователя, где сохраненный хеш сравнивается с хешем, введенным пользователем.

]]>https://sla247.ru/forum/post/12421https://sla247.ru/forum/post/12421Tue, 24 Feb 2026 20:53:12 GMT<![CDATA[Reply to Настройка паролей типа 6 в IOS XE on Tue, 24 Feb 2026 20:53:11 GMT]]>@Тим Glen
[neal.gomes@omron.com] Привет, Тим и Нил, у меня такой же вопрос. Я хочу использовать тип 8. Но для radius это, похоже, невозможно: TEST(config-radius-server)#key ?
0 Указывает, что будет использоваться
НЕШИФРОВАННЫЙ ключ 6 Указывает, что будет использоваться
ШИФРОВАННЫЙ ключ 7 Указывает, что будет использоваться СКРЫТЫЙ
ключ LINE НЕШИФРОВАННЫЙ (открытый текст) общий ключ Проблема в том, что если я настрою тип 6, то все будет преобразовано в тип 6?

]]>https://sla247.ru/forum/post/12420https://sla247.ru/forum/post/12420Tue, 24 Feb 2026 20:53:11 GMT<![CDATA[Reply to Настройка паролей типа 6 в IOS XE on Tue, 24 Feb 2026 20:53:10 GMT]]>Привет, Тим, отличный пост, очень информативный. Я знаю, что на него уже давно не было комментариев, но у меня есть вопрос, на который, надеюсь, кто-нибудь сможет ответить. Я хочу конвертировать все свои пароли типа 7 прямо сейчас и пытаюсь понять, как лучше это сделать. Я хочу использовать тип 8 или 9 для своих локальных паролей «username» и тип 6 для своих общих ключей radius (так как тип 8/9 недоступен для общих ключей radius). Можно ли использовать оба типа в одной конфигурации коммутатора? Если можно использовать оба, и я уже преобразовал свои пароли команды «username» в тип 8 или 9, то ввод
команд
«password encryption aes» и «key config-key password-encrypt
super-secret-password» преобразует эти пароли имени пользователя в тип 6 или будет продолжать использовать тип 8/9 для «username» и преобразует только общие ключи radius в тип 6? Возможно, вы уже ответили на этот вопрос в разделе «Вопросы и ответы» в своем посте, который я привожу ниже, но я просто хотел подтвердить, чего ожидать. Похоже, что локальные пароли «username» должны остаться типа 8 или 9, а конвертироваться будут только ключи моего сервера radius? В:
Какие пароли будут преобразованы? О:
Согласно моим тестам, будут преобразованы следующие пароли и типы паролей: Ключи сервера TACACS (ранее в типе 7)
Ключи сервера RADIUS (ранее в типе 7)
пароли входа vty (ранее в типе 7) Заранее благодарю.

]]>https://sla247.ru/forum/post/12419https://sla247.ru/forum/post/12419Tue, 24 Feb 2026 20:53:10 GMT<![CDATA[Reply to Настройка паролей типа 6 в IOS XE on Tue, 24 Feb 2026 20:53:09 GMT]]>@Тим Глен Вы знаете, почему ваши инструкции не работают на C1000-8P-E-2G-L с 15.2(7)E6? Коммутатор не распознает команду «password encryption aes» и «key config-key password-encrypt» в режиме конфигурации.

]]>https://sla247.ru/forum/post/12418https://sla247.ru/forum/post/12418Tue, 24 Feb 2026 20:53:09 GMT<![CDATA[Reply to Настройка паролей типа 6 в IOS XE on Tue, 24 Feb 2026 20:53:08 GMT]]>@Тим Глен
Привет, Тим, У меня было немного времени, чтобы более внимательно изучить этот вопрос... Я проверил с 2960X 15.2(7)E4 и 15.2(7)E5 и могу подтвердить, что с 15.2(7)E5 все работает так, как ты описал для 9300. С 2960X 15.2(7)E4 нет возможности изменить ключ TACACS или ключ RADIUS на ключ 6... Не могу найти никакой информации в примечаниях к выпуску, но 15.2(7)E5 работает отлично. С уважением Адриан С.

]]>https://sla247.ru/forum/post/12417https://sla247.ru/forum/post/12417Tue, 24 Feb 2026 20:53:08 GMT<![CDATA[Reply to Настройка паролей типа 6 в IOS XE on Tue, 24 Feb 2026 20:53:07 GMT]]>@adrian.smithson Нет, я не думаю, что то, как вы делаете это с 2960, является правильным способом. Я даже немного удивлен, что он конвертирует вашу комбинацию имени пользователя и пароля. Я только что попробовал то же самое с 3750X w IOS 15.2(4)E7, и ничего не было конвертировано, ни имя пользователя и пароль, ни ключи RADIUS или TACACS. Я провел небольшое исследование и нашел следующее. https://www.cisco.com/c/en/us/td/docs/switches/lan/catalyst2960x/software/15-2_7_e/release_notes/rn-1527e-2960x-xr.html
Функции, представленные в Cisco IOS Release 15.2(7)
Поддержка
E3
для пароля шифрования AES типа 6: Начиная с этой версии, вы можете указать зашифрованный ключ типа 6 для сервера TACACS. Новая команда — tacacs server key 6 key-name. Я не уверен на 100 %, но, насколько я могу судить по результатам некоторых исследований, тип 6 был введен в середине 2000-х годов для обеспечения безопасности общего секрета в конфигурации IOS VPN. https://www.cisco.com/c/en/us/support/docs/security-vpn/ipsec-negotiation-ike-protocols/46420-pre-sh-keys-ios-rtr-cfg.html Затем, со временем, Cisco представила другие алгоритмы шифрования (типы 4, 8, 9) и постепенно перенесла тип 6 в другие функции, такие как имя пользователя и пароль, ключ RADIUS и ключ TACACS. Надеюсь, это поможет. Извините за задержку с ответом.

]]>https://sla247.ru/forum/post/12416https://sla247.ru/forum/post/12416Tue, 24 Feb 2026 20:53:07 GMT<![CDATA[Reply to Настройка паролей типа 6 в IOS XE on Tue, 24 Feb 2026 20:53:06 GMT]]>@Тим Глен
Я использую версию 15.2.7E2 на моем 2960X.

]]>https://sla247.ru/forum/post/12415https://sla247.ru/forum/post/12415Tue, 24 Feb 2026 20:53:06 GMT<![CDATA[Reply to Настройка паролей типа 6 в IOS XE on Tue, 24 Feb 2026 20:53:05 GMT]]>@adrian.smithson
Какую версию IOS вы используете на 2960X?

]]>https://sla247.ru/forum/post/12414https://sla247.ru/forum/post/12414Tue, 24 Feb 2026 20:53:05 GMT<![CDATA[Reply to Настройка паролей типа 6 в IOS XE on Tue, 24 Feb 2026 20:53:04 GMT]]>Спасибо, Тим, все работает отлично на коммутаторах Cat9XXX. Но есть ли у вас идеи, как изменить тип пароля на 6 на коммутаторе cat 2960X, особенно ключи в разделе Radius и TACACs? Потому что это работает для имени пользователя и пароля, но не для ключей Radius и TACACs... Мне нужно удалить ключи в этом разделе и создать новую запись с ключом 6 и хэшем, который я получил с работающего коммутатора 9XXX. Но я не думаю, что это правильный способ, верно?

]]>https://sla247.ru/forum/post/12413https://sla247.ru/forum/post/12413Tue, 24 Feb 2026 20:53:04 GMT<![CDATA[Reply to Настройка паролей типа 6 в IOS XE on Tue, 24 Feb 2026 20:53:03 GMT]]>Спасибо за комплимент,
@Pierce Vasale
! Рад, что вам понравилось, и надеюсь, что это поможет вам в вашей сети!

]]>https://sla247.ru/forum/post/12412https://sla247.ru/forum/post/12412Tue, 24 Feb 2026 20:53:03 GMT<![CDATA[Reply to Настройка паролей типа 6 в IOS XE on Tue, 24 Feb 2026 20:53:02 GMT]]>Спасибо! Это просто замечательно! (Особенно в сочетании с вашим документом, в котором описаны различия.)

]]>https://sla247.ru/forum/post/12411https://sla247.ru/forum/post/12411Tue, 24 Feb 2026 20:53:02 GMT