aaa common-criteria policy但据我了解，它必须明确应用于本地用户。所以如果你有一个正常的username定义，你应该仍然可以登录。（只要配置没有保存，重新加载/重启应该会让你备份。）

在撰写此答案时，不支持完整的密码老化。该lifetime策略仅参考输入密码的时间。重新加载系统会有效地重新输入所有用户，因为它会加载启动配置。（是的，重新启动将使密码失效。）

本地用户数据库确实不适合这种事情。TACACS+/RADIUS 一直是正确监管用户帐户的方法。系统可以配置为没有本地帐户；'虽然没有网络访问权限，但没有人可以登录。（我们都是偶然出现的）通常系统将配置为仅在网络关闭时才回退到本地用户。（一个人的安全策略可以允许这样的静态帐户。）

[另请参阅：身份验证、授权和记帐配置指南，Cisco IOS 版本 15SY ]

c5921-base-1#show aaa common-criteria policy all 
=======================================================
Policy name: aaa-policy-1
Minimum length: 6
Maximum length: 64
Upper Count: 0
Lower Count: 0
Numeric Count: 0
Special Count: 0
Number of character changes 4
Valid for 15 minutes
=======================================================

[12:04 PM]:telnet 192.168.1.230
...
login: user1
Password: [15min old 1st password]

New Password: [new 2nd password]

c5921-base-1#exit

[12:27 PM]:telnet 192.168.1.230
...
login: user1
Password: [new 2nd password]

New Password: 
telnet> q
Connection closed.

（重新加载，是的，地址已更改）

[12:28 PM]:telnet 192.168.1.236
...
login: user1
Password: [no longer expired 2nd password]

c5921-base-1#exit
Connection closed by foreign host.

要说这东西是半生不熟的，那就表明它根本就被烤熟了。密码老化在 RAM 中完成 - 也是不可见的，并且在重新加载时丢失。密码更改机制不要求确认，也不提交更改的配置。思科自由地承认这个废话需要 7 型密码。（他们说“不支持”并将被删除有多少年了？）