使用enable secret-- 如果没有别的，它是适用于“旧”版本的解决方案，即使它在最新版本中已更改。

（除此之外，请避免使用本地帐户。应该使用本地帐户的唯一时间是当存在阻止路由器与 AAA 服务器通信的重大问题时。如果可能，请使用 TACACS+，或 DIAMETER 用于支持它的那些.)

我对你的基本问题无能为力，但这应该有助于激励人们把它做好，正如你的问题所问的那样。一遍又一遍地听到重要平台上密码存储被破坏的程度令人沮丧。

用谷歌搜索一下就可以得出关于“7 型”密码存储有多糟糕的信息。请注意，tt 使用“Vigenère 混淆”（不是真正的加密）：Deobfuscating Cisco IOS Passwords - CT3

我仍然对 Cisco 为什么希望服务器能够访问明文密码感到困惑，如该链接中所述。

更新：如Cisco IOS 密码加密事实 - Cisco Systems所述：

为了支持某些身份验证协议（尤其是 CHAP），系统需要访问用户密码的明文，因此必须使用可逆算法来存储它们。

服务器端对纯文本密码存储的要求是 CHAP（挑战握手身份验证协议 - 维基百科）是一个坏主意的一个很好的理由。

我环顾四周，找不到任何允许用户使用启用密码命令但使用 Type 5 而不是 Type 7 对其进行加密的命令。

那是因为enable password只为遗留支持而维护。大约 20 年来，所有 Cisco 平台都enable secret将在配置中包含启用密码作为最佳实践方式。

这是用于启用密码命令，它表示默认加密类型为 5，使用 IOS 版本 12.2。但是当我在具有 12.2 IOS 的交换机上使用服务密码加密时，运行配置显示：启用密码 7 121AOC041104 7 表示类型 7。

多年来，思科文档（和其他供应商的文档）越来越受到复制/粘贴错误的影响。阅读文档时，请睁大眼睛，动动脑筋，发现这并不罕见（为了好玩，看看您是否发现此 Cisco 文档中的那个已经延续到现在的连续代码版本- 提示：跳过到配置密码策略 (CLI)部分）。

enable secret在您突出显示的情况下，他们使用与 . 相同的措辞enable password。在某些时候，有人只是将前者的措辞复制到后者，但忘记（或没有意识到）他们需要将 5 更改为 7。

基本上，我的问题是，尽管存在所有这些混淆，是否可以使用启用密码来获得类型 5 加密（这在运行配置中很明显）或者我是否必须坚持启用密码才能获得我的类型5 加密？

不，不可能使用enable password5 类加密。您enable secret只能使用仅使用类型 5 加密的方式执行此操作（至少在大多数平台上，不能完全确定）。该enable password命令没有此功能，因为enable secret它已经存在并且是包含启用密码的最佳实践方式，因此 Cisco 根本没有修改该enable password命令以包含它。

让我强调，没有理由在课堂之外使用enable password您的 Cisco 配置，除非您正在处理需要您这样做的 20 多年历史的平台（网络或管理）。