1. telnet只是在对访问安全不是很高的内部网络使用,绝对不建议在外网telnet内部设备。
<!--[if !supportLists]-->2. <!--[endif]-->一定要设置密码,而且密码加密。
<!--[if !supportLists]-->3. <!--[endif]-->在外网访问内部设备的时候使用安全的连接方式,如ssh,https,vpn等,因为ssh也是使用vty线路,因此需要做好限制,结合访问控制列表和认证。Ssh使用端口22,如果在其他的接口上有访问列表的话注意放行这个端口流量。
配置示例:
Ip domain-name cisco.com #必须要配置域名
Crypto key generate rsa #生成密钥
Username ila secret cisco #建立本地数据库
Access-list 1 per 172.16.1.1 #访问列表,在vty里调用
Line vty 0 4
Transport input ssh #只允许ssh
Transport output ssh
Login local
Access-class 1 in
<!--[if !supportLists]-->4. <!--[endif]-->SSH的查看命令
Show ip ssh show ssh 可以查看SSH的版本信息
使用路由器作为SSH客户端的连接命令:ssh –l (用户名) x.x.x.x
<!--[if !supportLists]-->5. <!--[endif]-->使用HTTP登录访问设备
使用HTTP登录访问需要注意的一个问题是,不定义认证的话可以直接登录,如果定义了一个账户(未定义特权级别)那么就要使用账户登录。
如果开启了认证的话(ip http authentication [aaa|enable|local]),则需要定义用户级别,只有15的用户才有访问权。上面的三种方法中,不建议使用enable。使用enable时输入的就是enable pass/sec的那个密码,不用输入用户名。
配置示例:
Access-list 10 permit 192.168.10.100 (这个地址是源地址)
Username ila pri 15 secret cisco #注意,一定要配置为15级才有访问权限
Ip http server
Ip http port xxxx(大于1023) #改变默认端口提供更佳安全性
Ip http authentication local #启用本地认证,注意一定要是15级的用户权限
Ip http access-list 10
<!--[if !supportLists]-->6. <!--[endif]-->查看HTTP连接的信息
Show ip http client all show ip http server all
<!--[if !supportLists]-->7. <!--[endif]-->使用HTTPS安全登录设备
强烈建议不要在公共网络使用http登录设备,因为http使用明文传送数据。HTTPS使用SSL加密技术,能够有效的保证数据的安全。
配置方法与HTTP基本一致,ip http secure-server ip http secure-port xxxx(可选) ip httpsecure-ciphersuite 3des-ede-cbc-sha等(可选)
查看命令:show ip http sever secure status
本文出自 “海阔天空” 博客,请务必保留此出处http://edges.blog.51cto.com/705035/423431