本文主要給大家詳細的介紹了對于CISCO路由器網絡設備訪問安全的基礎介紹，并且介紹了基本的安全登錄，終端保護，授權等問題，相信看過此文會對你有所幫助。

為了保護他們的Cisco 網絡，許多管理員開始忙于什么樣的流量可以被允許通過網絡設備，怎樣限制郵件路由升級和其他路由器交換的唯一信息。訪問控制列表(ACLs)通常可以相當簡單地解決這些問題。網絡設備的安全對任何聯(lián)網的環(huán)境都很重要，為解決這個問題，Cisco提供了許多可供選擇的方法。

在本文中，我將介紹登錄安全的基本配置。還將介紹怎樣使用基于用戶的登錄配置來使得基本配置更加安全，證明怎樣監(jiān)視配置活動和對你的路由器的連接。一旦你明白了這些基本的配置，你可以在其上建立更多的Cisco高級特性。

基本登錄安全配置

Cisco提供的最基本的安全考慮是在設備訪問和配置過程中使用本地口令。不同的口令可以應用于不同的行或者訪問指針。Cisco設備中典型的訪問指針是終端行(也稱為虛擬終端行， 或VTYs)，控制臺端口，和輔助端口(AUX)。

而且，不同的端口可以建立不同的認證方法。下面是一個非常簡單的認證配置的例子。

IOS 版本 下面的例子假設有一個標準的，使用IOS 12.x版本的類訪問Cisco路由器。 Router (config)# line con 0 Router (config-line)# password conpword1 Router (config-line)# login Router (config-line)# exit Router (config)# enable password 12345

在此，我已經設置了一個控制臺端口口令并且產生我在配置路由器時需要的口令。首先我進入控制臺端口的行配置模式，設置口令并用login來完成。然后我為路由器配置的訪問權限創(chuàng)建口令。當需要保護本地控制臺對路由器的訪問時，應該從這里開始。

口令加密

需要注意的是在這個配置過程中，口令是純文本的。從安全的角度看這不是一個好思想。然而，你可以把這些口令加密，這樣訪問路由器的其他人就不能看到這些口令。執(zhí)行下面的命令： Router (config)# service password-encryption

口令加密服務將加密所有現(xiàn)存的和在以后配置的口令。我強烈推薦在你的Cisco網絡設備配置中使用這項服務。

口令種類

有效口令包括兩個種類：標準有效口令和有效密碼(enable secret)。由于使用了強加密手段，所以有效密碼比有效口令更安全。

配置有效密碼之后，它將替代有效口令。下面的例子說明了有效密碼的設置： Router (config)# enable secret abc123

如果你在執(zhí)行了這一步后查看路由器配置，你將看到有效密碼口令自動被加密了，無論是否開啟了口令加密服務。

設置通話超時時間

另一件有關訪問的事就是考慮通話超時。作為一個更高層的安全性，你可以設置在一段靜止狀態(tài)后斷開對話連接。如果你離開終端一段時間，需要關閉一個配置對話，這是個便利的工具。默認的超時時間是十分鐘。如果想設置通話超時，試一下下面的命令： Router (config)# line console 0 Router (config-line)# exec-timeout 6 30

如果在六分三十秒鐘內沒有輸入，將關閉這個控制臺對話。

保護終端行

在保護控制臺端口的同時，你也希望保護在網絡中用來進行Telnet訪問的終端行。考慮下面關于Telnet安全的例子： Router (config)# line vty 0 4 Router (config-line)# password termpword1 Router (config-line)# login

需要注意的是這和控制臺的配置非常相似。一個區(qū)別是由于路由器訪問有不止一個VTY行，所以在VTY關鍵字后面有兩個數字。在許多Cisco路由器上默認的行數為五行。在這里，我們?yōu)樗薪K端(VTY)行設置一個口令。我可以在某個范圍指定實際的終端或VTY行號。你經常看到的語法是vty 0 4，這樣可以包括所有五個終端訪問行。從理論上來說，你可以對不同的VTY行或范圍建立不同的口令。如果需要的話，你可以擴展可用的VTY行數以容納更多的用戶。但這個方法也有限制。首先，一般建議限制對典型的網絡設備同時進行訪問。所以在這個例子中，擴展VTY的輸入行數并不是很好的選擇。如果只是限制Telnet協(xié)議對VTY的訪問，可以使用下列命令： Router (config) # line vty 0 4 Router (config-line) # transport input telnet

在這里，我已經指定所有終端行都可以使用Telnet。為了進一步限制源地址的路由器訪問，我可以在行配置模式配合類訪問命令使用一個訪問列表。

要保護可以在網絡中進行路由器訪問的虛擬終端行，還有好多事情要做。

SSH vs. Telnet SSH對比Telnet 如果你非常偏愛使用Telnet來登錄你的路由器，可以選擇使用SSH。為了使你的路由器能夠使用SSH，運行下列命令： Router (config) # line vty 0 3 Router (config-line) # transport input ssh

而且，我們對基本網絡設備登錄有一個相當可靠的基礎。我們將考慮的下一個安全登錄形式是基于用戶的登錄。

基于用戶的登錄

一個基于特定用戶信任關系的登錄進程有助于保證配置改變的責任，這在那些擁有許多需要手工操作的路由器和交換機的大型網絡環(huán)境中顯得尤為重要。一旦你執(zhí)行了這個類型的認證，路由器將記錄是誰在何時訪問路由器并修改了配置。作為一個網絡管理員，你將真切地體會到記錄路由器配置變化的好處。為了使其工作，你可以使用認證，授權，和記錄(AAA)特性來設定本地用戶名認證。下面例子中的命令是激活本地用戶名登錄所必須的： Router (config) # aaa new-model Router (config) # aaa authentication login default local Router (config) # line vty 0 3 Router (config-line) # login authentication default Router (config-line) # exit Router (config)# username rmcintire password rmcinpword1 Router (config)# username rhumphrey password rhpword1 Router (config)# username jberry password jbpword1

盡管對AAA設置進行全面討論超出了本文的范圍，但我還是要介紹更多的高級技巧以說明其有用的性能。在此，我為登錄創(chuàng)建了三個不同的用戶名和口令并在VTY 1至3行應用這一登錄方法。此外，如果加密服務啟動了，口令將在實際路由器配置文件中被加密。

授權

隨同訪問而來的問題是訪問等級，或者說是授權等級。這個問題是指你希望訪問你的用戶擁有多大的權限。Cisco的功能允許設置不同訪問等級。權限等級的范圍是從0到15;15擁有***級別的訪問權限。默認的級別是0和15。級別15提供完全的訪問權限，而級別0能使用的命令和配置非常有限。你可以設置權限等級并通過命令或類型賦予這些等級一定的功能。例如，你可以創(chuàng)建一個級別，允許訪問界面和命令行配置模式，另一個級別只允許訪問某些通用命令配置模式。為了指定權限等級，你可以使用下列通用配置命令： Router (config) # Privilege configure level 5 ntp

你可以通過改變配置等級來賦予多種命令訪問方式。這里，我創(chuàng)建等級5并允許在通用配置模式下使用NTP命令。

作為網絡管理員，你將承擔維護每一個用戶的訪問等級。為了使這些訪問設置更有效，一定要限制所有用戶使用訪問命令的能力，因為這將允許他們改變自己的權限等級。在下面的例子中，我指定自己的等級為5： Router (config) # username rmcintire privilege ***nother option to consider is assigning privilege by terminal line. To restrict privilege level by input line， enter config mode on that line and set the level as follows: Router (config) # line console 0 Router (config-line) # privilege level 7 Router (config) # line vty 0 4 Router (config-line) # privilege level 4

這就在VTY(終端)行中實現(xiàn)了一個比控制臺更低的權限等級。這可能更適合需要限制用戶通過虛擬終端對話在網絡上進行等級較高的修改的環(huán)境。主要是，當需要進行重大修改時，這將迫使對控制臺端口擁有較高級別訪問權限的維護部門派人去手工改動交換機。

監(jiān)控訪問安全

你不僅可以追蹤路由器的配置活動，還可以實時地知道何人連接了特定的路由器。像下面例子那樣使用顯示用戶命令： Router # show users

這個命令的輸出了一個表格，包括的行條目顯示了每一個在使用的終端行，用戶名，位置(地址)，等。這個位置或IP地址可以用來從終端對話的位置查找實際的系統(tǒng)。如果用戶名登錄啟動，你可以輕松地看到哪些用戶登錄了路由器。這就是我為什么推薦在不止有一個人進行網絡維護的網絡環(huán)境中使用某些基于用戶的訪問形式的原因。你也可以使用下面的命令斷開受到懷疑或者沒有授權許可的用戶的對話： Router # disconnect ip-address

在任何時候查看權限信息，使用下面的命令： Router # show privilege

結論

在只有很少的幾個人員需要訪問網絡設備的簡單環(huán)境中，你通常可以只實現(xiàn)很基本的安全功能，以VTY形式和控制臺口令來控制用戶對路由器輸入行的訪問。增加一個有效密碼，以及用戶對配置網絡進行訪問是相當安全的。如果你有一個更大的網絡，更多的人員需要進行訪問，或者只是對責任要求更高，請瀏覽基于用戶的訪問技巧。