[转帖]Cisco网络设备访问安全基础

mx850606

为了保护他们的Cisco 网络，许多管理员开始忙于什么样的流量可以被允许通过网络设备，怎样限制邮件路由升级和其他路由器交换的唯一信息。访问控制列表(ACLs)通常可以相当简单地解决这些问题。网络设备的安全对任何联网的环境都很重要，为解决这个问题，Cisco提供了许多可供选择的方法。

在本文中，我将先容登录安全的基本配置。还将先容怎样使用基于用户的登录配置来使得基本配置更加安全，证明怎样监视配置活动和对你的路由器的连接。一旦你明白了这些基本的配置，你可以在其上建立更多的Cisco高级特性。

基本登录安全配置

Cisco提供的最基本的安全考虑是在设备访问和配置过程中使用本地口令。不同的口令可以应用于不同的行或者访问指针。Cisco设备中典型的访问指针是终端行(也称为虚拟终端行, 或VTYs)，控制台端口，和辅助端口(AUX)。

而且，不同的端口可以建立不同的认证方法。下面是一个非常简单的认证配置的例子。

IOS 版本 下面的例子假设有一个标准的，使用IOS 12.x版本的类访问Cisco路由器。 Router (config)# line con 0 Router (config-line)# password conpword1 Router (config-line)# login Router (config-line)# exit Router (config)# enable password 12345

在此，我已经设置了一个控制台端口口令并且产生我在配置路由器时需要的口令。首先我进入控制台端口的行配置模式，设置口令并用login来完成。然后我为路由器配置的访问权限创建口令。当需要保护本地控制台对路由器的访问时，应该从这里开始。

口令加密

需要注意的是在这个配置过程中，口令是纯文本的。从安全的角度看这不是一个好思想。然而，你可以把这些口令加密，这样访问路由器的其他人就不能看到这些口令。实行下面的命令： Router (config)# service password-encryption

口令加密服务将加密所有现存的和在以后配置的口令。我强烈推荐在你的Cisco网络设备配置中使用这项服务。

口令种类

有效口令包括两个种类：标准有效口令和有效密码(enable secret)。由于使用了强加密手段，所以有效密码比有效口令更安全。

配置有效密码之后，它将替代有效口令。下面的例子说明了有效密码的设置： Router (config)# enable secret abc123

如果你在实行了这一步后查看路由器配置，你将看到有效密码口令自动被加密了，无论是否开启了口令加密服务。

设置通话超时时间

另一件有关访问的事就是考虑通话超时。作为一个更高层的安全性，你可以设置在一段静止状态后断开对话连接。如果你离开终端一段时间，需要关闭一个配置对话，这是个便利的工具。默认的超时时间是十分钟。如果想设置通话超时，试一下下面的命令： Router (config)# line console 0 Router (config-line)# exec-timeout 6 30

如果在六分三十秒钟内没有输入，将关闭这个控制台对话。

保护终端行

在保护控制台端口的同时，你也希翼保护在网络中用来进行Telnet访问的终端行。考虑下面关于Telnet安全的例子： Router (config)# line vty 0 4 Router (config-line)# password termpword1 Router (config-line)# login

需要注意的是这和控制台的配置非常相似。一个区别是由于路由器访问有不止一个VTY行，所以在VTY关键字后面有两个数字。在许多Cisco路由器上默认的行数为五行。在这里，大家为所有终端(VTY)行设置一个口令。我可以在某个范围指定实际的终端或VTY行号。你经常看到的语法是vty 0 4，这样可以包括所有五个终端访问行。从理论上来说，你可以对不同的VTY行或范围建立不同的口令。如果需要的话，你可以扩展可用的VTY行数以容纳更多的用户。但这个方法也有限制。首先，一般建议限制对典型的网络设备同时进行访问。所以在这个例子中，扩展VTY的输入行数并不是很好的选择。如果只是限制Telnet协议对VTY的访问，可以使用下列命令： Router (config) # line vty 0 4 Router (config-line) # transport input telnet

在这里，我已经指定所有终端行都可以使用Telnet。为了进一步限制源地址的路由器访问，我可以在行配置模式配合类访问命令使用一个访问列表。

要保护可以在网络中进行路由器访问的虚拟终端行，还有好多事情要做。

SSH vs. Telnet SSH对比Telnet 如果你非常偏爱使用Telnet来登录你的路由器，可以选择使用SSH。为了使你的路由器能够使用SSH，运行下列命令： Router (config) # line vty 0 3 Router (config-line) # transport input ssh

而且，大家对基本网络设备登录有一个相当可靠的基础。大家将考虑的下一个安全登录形式是基于用户的登录。

基于用户的登录

一个基于特定用户信任关系的登录进程有助于保证配置改变的责任，这在那些拥有许多需要手工操作的路由器和交换机的大型网络环境中显得尤为重要。一旦你实行了这个类型的认证，路由器将记录是谁在何时访问路由器并修改了配置。作为一个网络管理员，你将真切地体会到记录路由器配置变化的好处。为了使其工作，你可以使用认证，授权，和记录(AAA)特性来设定本地用户名认证。下面例子中的命令是激活本地用户名登录所必须的： Router (