一.设备访问***防范
   1.防暴力破解***
     1)启用AAA验证
      aaa new-model
      aaa authentication attempts login 1 
      aaa authentication login default local
      对用户采用本地数据库验证
     2)对用户登陆予以限制
      login block-for 30 attempts 1 within 10 
      在10秒钟内允许用户登陆一次,如果登陆失败,在30秒内阻止该用户IP地址远程登陆访问
二.SSH登陆访问
     1)启用AAA验证
     aaa new-model
     aaa authentication login default local
     2)生成SSH访问密钥
     ip domain name g2myway.com(创建本地域名,用于生成密钥)
     crypto key generate rsa general-keys(在本地生成验证密钥)
     username test1 password test1 (创建本地验证数据库)
     3)应用至vty访问线路
     line vty 0 4
     transport input ssh
     login local
三.分级管理
      1.特权密码的用户权限
        1)创建级别为5的用户验证密码cisco
       enable secret level 5(级别为5) cisco
     0为guest用户,是权限最低的,1-14级是用户自定义级别,15为特权级用户.
        2)对1-14级用户授权
       privilege exec level 5 show start
         为级别为5的用户授权可执行show start指令
      2. 基于角色管理(默认系统管理员角色为root)-提供了一种更为严格的设备管理访问
        1)必须启用AAA验证  
        2)登陆进入root帐户
       enable view
      此时用特权15级密码登录即进入root用户管理,只有root才能创建其它用户角色
        3)创建其它用户角色
        parser view test5 (创建名为test5的用户)
R2(config-view)#secret test5 (创建该用户的验证密钥)
        commands exec include show ip int brie
        针对该用户进行操作指令授权show ip int brie
        如果没有授权,则该用户无法执行任何操作
        4)登陆
        用户模式下输入
    R2>enable view test5 (使用相关用户角色登陆设备)
四.对路由器的明文配置密码文件加密处理
      service password-encryption
      service password-recovery (不一定所有路由器支持)
      禁止密码恢复
     security passwords min-length 6
     (设定密码强度规则,最小为6位)