"Nya" syntax, username, enable secret, password service-encryption
Username & enable secret
För att undvika att ens konf för lokala användare och enable lösenordet blir deprecated ska det konfigureras enligt nedan:
enable algorithm-type sha256 secret LÖSENORD
username LOCAL_USER algorithm-type sha256 secret LÖSENORDPassword service-encryption
Det här upptäckte jag vid uppgradering av Catalyst 9300 till 17.12.3 (från 17.9.4a) där OSPFv3 kryptering slutade att fungera. Konfigurationen försvann från interface, följande felmeddelande kom vid försök att aktivera det på nytt:
service password-encryption is enabled, OSPFv3 AES-CBC 256bit key encryption configuration is not supported
% OSPFv3: Encryption was not enabled
! Vid försök att återaktivera efter att kryptering är pålagt på interfacet
catalyst(config)#service password-encryption
%service password-encryption failed due to un-supported configuration
Aug 5 09:35:18: %OSPFv3-3-IPSEC_AES_CBC_256BIT_POLICY_CONFIGURED_INTERFACE: service password-encryption is not supported as IPSEC encryption policy SPI 256 with AES-CBC 256bit is configured under interface Vl1337Tar man bort service password-encryption så lirar det som tänkt. Men man vill ju ha någon typ av kryptering av klartextlösenord.
Det går bra genom att användning av password encryption aes. Lösenorden kommer då att bli krypterade enligt typ 6, vilket är bättre än typ 5 och typ 7. super-secret-password är då en sträng som används för att kryptera klartextlösenord. Informationen kommer från den här tråden.
!
configure terminal
password encryption aes
key config-key password-encrypt super-secret-password
end
!Verifiering kan göra genom show running-config | section x. Byt ut x mot _5_ och _7_. Finns inga kvar så är det klart.
Följande kommer ej att krypteras med password encryption aes:
- enable secret 9
- BGP MD5 (använd istället BGP TCP Authentication Option)
- OSPF MD5, använd istället HMAC autentisering
- HSRP/VRRP key-string, använd istället authentication key-chain