本文主要給大家詳細的介紹了對于CISCO路由器網(wǎng)絡設備訪問安全的基礎介紹，并且介紹了基本的安全登錄，終端保護，授權(quán)等問題，相信看過此文會對你有所幫助。

為了保護他們的Cisco 網(wǎng)絡，許多管理員開始忙于什么樣的流量可以被允許通過網(wǎng)絡設備，怎樣限制郵件路由升級和其他路由器交換的唯一信息。訪問控制列表(ACLs)通?？梢韵喈敽唵蔚亟鉀Q這些問題。網(wǎng)絡設備的安全對任何聯(lián)網(wǎng)的環(huán)境都很重要，為解決這個問題，Cisco提供了許多可供選擇的方法。

在本文中，我將介紹登錄安全的基本配置。還將介紹怎樣使用基于用戶的登錄配置來使得基本配置更加安全，證明怎樣監(jiān)視配置活動和對你的路由器的連接。一旦你明白了這些基本的配置，你可以在其上建立更多的Cisco高級特性。

基本登錄安全配置

Cisco提供的最基本的安全考慮是在設備訪問和配置過程中使用本地口令。不同的口令可以應用于不同的行或者訪問指針。Cisco設備中典型的訪問指針是終端行(也稱為虛擬終端行， 或VTYs)，控制臺端口，和輔助端口(AUX)。

而且，不同的端口可以建立不同的認證方法。下面是一個非常簡單的認證配置的例子。

IOS 版本 下面的例子假設有一個標準的，使用IOS 12.x版本的類訪問Cisco路由器。 Router (config)# line con 0 Router (config-line)# password conpword1 Router (config-line)# login Router (config-line)# exit Router (config)# enable password 12345

在此，我已經(jīng)設置了一個控制臺端口口令并且產(chǎn)生我在配置路由器時需要的口令。首先我進入控制臺端口的行配置模式，設置口令并用login來完成。然后我為路由器配置的訪問權(quán)限創(chuàng)建口令。當需要保護本地控制臺對路由器的訪問時，應該從這里開始。

口令加密

需要注意的是在這個配置過程中，口令是純文本的。從安全的角度看這不是一個好思想。然而，你可以把這些口令加密，這樣訪問路由器的其他人就不能看到這些口令。執(zhí)行下面的命令： Router (config)# service password-encryption

口令加密服務將加密所有現(xiàn)存的和在以后配置的口令。我強烈推薦在你的Cisco網(wǎng)絡設備配置中使用這項服務。

口令種類

有效口令包括兩個種類：標準有效口令和有效密碼(enable secret)。由于使用了強加密手段，所以有效密碼比有效口令更安全。

配置有效密碼之后，它將替代有效口令。下面的例子說明了有效密碼的設置： Router (config)# enable secret abc123

如果你在執(zhí)行了這一步后查看路由器配置，你將看到有效密碼口令自動被加密了，無論是否開啟了口令加密服務。

設置通話超時時間

另一件有關(guān)訪問的事就是考慮通話超時。作為一個更高層的安全性，你可以設置在一段靜止狀態(tài)后斷開對話連接。如果你離開終端一段時間，需要關(guān)閉一個配置對話，這是個便利的工具。默認的超時時間是十分鐘。如果想設置通話超時，試一下下面的命令： Router (config)# line console 0 Router (config-line)# exec-timeout 6 30

如果在六分三十秒鐘內(nèi)沒有輸入，將關(guān)閉這個控制臺對話。

保護終端行

在保護控制臺端口的同時，你也希望保護在網(wǎng)絡中用來進行Telnet訪問的終端行?？紤]下面關(guān)于Telnet安全的例子： Router (config)# line vty 0 4 Router (config-line)# password termpword1 Router (config-line)# login

需要注意的是這和控制臺的配置非常相似。一個區(qū)別是由于路由器訪問有不止一個VTY行，所以在VTY關(guān)鍵字后面有兩個數(shù)字。在許多Cisco路由器上默認的行數(shù)為五行。在這里，我們?yōu)樗薪K端(VTY)行設置一個口令。我可以在某個范圍指定實際的終端或VTY行號。你經(jīng)?？吹降恼Z法是vty 0 4，這樣可以包括所有五個終端訪問行。從理論上來說，你可以對不同的VTY行或范圍建立不同的口令。如果需要的話，你可以擴展可用的VTY行數(shù)以容納更多的用戶。但這個方法也有限制。首先，一般建議限制對典型的網(wǎng)絡設備同時進行訪問。所以在這個例子中，擴展VTY的輸入行數(shù)并不是很好的選擇。如果只是限制Telnet協(xié)議對VTY的訪問，可以使用下列命令： Router (config) # line vty 0 4 Router (config-line) # transport input telnet

在這里，我已經(jīng)指定所有終端行都可以使用Telnet。為了進一步限制源地址的路由器訪問，我可以在行配置模式配合類訪問命令使用一個訪問列表。

要保護可以在網(wǎng)絡中進行路由器訪問的虛擬終端行，還有好多事情要做。

SSH vs. Telnet SSH對比Telnet 如果你非常偏愛使用Telnet來登錄你的路由器，可以選擇使用SSH。為了使你的路由器能夠使用SSH，運行下列命令： Router (config) # line vty 0 3 Router (config-line) # transport input ssh

而且，我們對基本網(wǎng)絡設備登錄有一個相當可靠的基礎。我們將考慮的下一個安全登錄形式是基于用戶的登錄。

基于用戶的登錄

一個基于特定用戶信任關(guān)系的登錄進程有助于保證配置改變的責任，這在那些擁有許多需要手工操作的路由器和交換機的大型網(wǎng)絡環(huán)境中顯得尤為重要。一旦你執(zhí)行了這個類型的認證，路由器將記錄是誰在何時訪問路由器并修改了配置。作為一個網(wǎng)絡管理員，你將真切地體會到記錄路由器配置變化的好處。為了使其工作，你可以使用認證，授權(quán)，和記錄(AAA)特性來設定本地用戶名認證。下面例子中的命令是激活本地用戶名登錄所必須的： Router (config) # aaa new-model Router (config) # aaa authentication login default local Router (config) # line vty 0 3 Router (config-line) # login authentication default Router (config-line) # exit Router (config)# username rmcintire password rmcinpword1 Router (config)# username rhumphrey password rhpword1 Router (config)# username jberry password jbpword1

盡管對AAA設置進行全面討論超出了本文的范圍，但我還是要介紹更多的高級技巧以說明其有用的性能。在此，我為登錄創(chuàng)建了三個不同的用戶名和口令并在VTY 1至3行應用這一登錄方法。此外，如果加密服務啟動了，口令將在實際路由器配置文件中被加密。

授權(quán)

隨同訪問而來的問題是訪問等級，或者說是授權(quán)等級。這個問題是指你希望訪問你的用戶擁有多大的權(quán)限。Cisco的功能允許設置不同訪問等級。權(quán)限等級的范圍是從0到15;15擁有***級別的訪問權(quán)限。默認的級別是0和15。級別15提供完全的訪問權(quán)限，而級別0能使用的命令和配置非常有限。你可以設置權(quán)限等級并通過命令或類型賦予這些等級一定的功能。例如，你可以創(chuàng)建一個級別，允許訪問界面和命令行配置模式，另一個級別只允許訪問某些通用命令配置模式。為了指定權(quán)限等級，你可以使用下列通用配置命令： Router (config) # Privilege configure level 5 ntp

你可以通過改變配置等級來賦予多種命令訪問方式。這里，我創(chuàng)建等級5并允許在通用配置模式下使用NTP命令。

作為網(wǎng)絡管理員，你將承擔維護每一個用戶的訪問等級。為了使這些訪問設置更有效，一定要限制所有用戶使用訪問命令的能力，因為這將允許他們改變自己的權(quán)限等級。在下面的例子中，我指定自己的等級為5： Router (config) # username rmcintire privilege ***nother option to consider is assigning privilege by terminal line. To restrict privilege level by input line， enter config mode on that line and set the level as follows: Router (config) # line console 0 Router (config-line) # privilege level 7 Router (config) # line vty 0 4 Router (config-line) # privilege level 4

這就在VTY(終端)行中實現(xiàn)了一個比控制臺更低的權(quán)限等級。這可能更適合需要限制用戶通過虛擬終端對話在網(wǎng)絡上進行等級較高的修改的環(huán)境。主要是，當需要進行重大修改時，這將迫使對控制臺端口擁有較高級別訪問權(quán)限的維護部門派人去手工改動交換機。

監(jiān)控訪問安全

你不僅可以追蹤路由器的配置活動，還可以實時地知道何人連接了特定的路由器。像下面例子那樣使用顯示用戶命令： Router # show users

這個命令的輸出了一個表格，包括的行條目顯示了每一個在使用的終端行，用戶名，位置(地址)，等。這個位置或IP地址可以用來從終端對話的位置查找實際的系統(tǒng)。如果用戶名登錄啟動，你可以輕松地看到哪些用戶登錄了路由器。這就是我為什么推薦在不止有一個人進行網(wǎng)絡維護的網(wǎng)絡環(huán)境中使用某些基于用戶的訪問形式的原因。你也可以使用下面的命令斷開受到懷疑或者沒有授權(quán)許可的用戶的對話： Router # disconnect ip-address

在任何時候查看權(quán)限信息，使用下面的命令： Router # show privilege

結(jié)論

在只有很少的幾個人員需要訪問網(wǎng)絡設備的簡單環(huán)境中，你通?？梢灾粚崿F(xiàn)很基本的安全功能，以VTY形式和控制臺口令來控制用戶對路由器輸入行的訪問。增加一個有效密碼，以及用戶對配置網(wǎng)絡進行訪問是相當安全的。如果你有一個更大的網(wǎng)絡，更多的人員需要進行訪問，或者只是對責任要求更高，請瀏覽基于用戶的訪問技巧。