作者:ielab-悦然 更新日期:2020年3月23日
正常情况下,为了实现对于设备的安全访问,我们都会给设备添加密码信息,或者执行相应的操作,以避免潜在的安全隐患,这里简单介绍几种常见的配置方式。
首先,在vty线路,以及console 接口上设置密码,但是一般不建议给console设置密码,因为,能够通过console 连接的设备,一般是内网工作人员,而不是远程人员,为了保证设备安全,可以设置enable 的密码,防止对设备的访问。这里有两种的加密方式:
SW1(config)#enable secret cisco
SW1(config)#service password-encryption
//启用密码加密服务,这之后设置的密码将加密存放.
建议使用前者,前者会对密码进行MD5计算,得到的结果更安全。为了防止将来设备不兼容第一条命令,可以将两种密码加密方式都用上,已实现乡下兼容的效果。
其次,由于进行设备调试的时候,经常会关闭设备超时登录的功能,因此,一定记得,设备调试完成后,使用命令配置设备超时登录,防止他人,无意中通过console进入设备后,直接获取管理员权限,造成配置混乱或者篡改的行为。
SW1(config)#line console 0
SW1(config-line)#exec-timeout 5 30 //配置超时时间为5分30秒.
对于远程登录的用户,如果长时间无数据通过,为了防止远端无响应而自动关闭连接,并减少 DOS攻击,可使用以下命令
SW1(config)#service tcp-keepalives-in
//配置交换机在没有收到远程响应时自动关闭连接,减少DOS攻击.
防止进行密码猜测而进行的多次尝试连接,进行登录限制访问:
SW1(config)#login block-for 60 attempts 3 within 30
//配置用户30秒内连续登陆失败3次后,等待60秒后才能再次登录.
SW1(config)#login delay 10
//配置用户登陆成功,10秒后才可再次登录.
可以配合命令查看登录信息:
SW1(config)#login on-failure log
//配置登录失败会在日志中记录
SW1(config)#login on-success log
//配置登陆成功会在日志中记录