一.设备访问***防范
1.防暴力破解***
1)启用AAA验证
aaa new-model
aaa authentication attempts login 1
aaa authentication login default local
对用户采用本地数据库验证
2)对用户登陆予以限制
login block-for 30 attempts 1 within 10
在10秒钟内允许用户登陆一次,如果登陆失败,在30秒内阻止该用户IP地址远程登陆访问
1.防暴力破解***
1)启用AAA验证
aaa new-model
aaa authentication attempts login 1
aaa authentication login default local
对用户采用本地数据库验证
2)对用户登陆予以限制
login block-for 30 attempts 1 within 10
在10秒钟内允许用户登陆一次,如果登陆失败,在30秒内阻止该用户IP地址远程登陆访问
二.SSH登陆访问
1)启用AAA验证
aaa new-model
aaa authentication login default local
2)生成SSH访问密钥
ip domain name g2myway.com(创建本地域名,用于生成密钥)
crypto key generate rsa general-keys(在本地生成验证密钥)
username test1 password test1 (创建本地验证数据库)
3)应用至vty访问线路
line vty 0 4
transport input ssh
login local
1)启用AAA验证
aaa new-model
aaa authentication login default local
2)生成SSH访问密钥
ip domain name g2myway.com(创建本地域名,用于生成密钥)
crypto key generate rsa general-keys(在本地生成验证密钥)
username test1 password test1 (创建本地验证数据库)
3)应用至vty访问线路
line vty 0 4
transport input ssh
login local
三.分级管理
1.特权密码的用户权限
1)创建级别为5的用户验证密码cisco
enable secret level 5(级别为5) cisco
0为guest用户,是权限最低的,1-14级是用户自定义级别,15为特权级用户.
2)对1-14级用户授权
privilege exec level 5 show start
为级别为5的用户授权可执行show start指令
1.特权密码的用户权限
1)创建级别为5的用户验证密码cisco
enable secret level 5(级别为5) cisco
0为guest用户,是权限最低的,1-14级是用户自定义级别,15为特权级用户.
2)对1-14级用户授权
privilege exec level 5 show start
为级别为5的用户授权可执行show start指令
2. 基于角色管理(默认系统管理员角色为root)-提供了一种更为严格的设备管理访问
1)必须启用AAA验证
2)登陆进入root帐户
enable view
此时用特权15级密码登录即进入root用户管理,只有root才能创建其它用户角色
3)创建其它用户角色
parser view test5 (创建名为test5的用户)
R2(config-view)#secret test5 (创建该用户的验证密钥)
commands exec include show ip int brie
针对该用户进行操作指令授权show ip int brie
1)必须启用AAA验证
2)登陆进入root帐户
enable view
此时用特权15级密码登录即进入root用户管理,只有root才能创建其它用户角色
3)创建其它用户角色
parser view test5 (创建名为test5的用户)
R2(config-view)#secret test5 (创建该用户的验证密钥)
commands exec include show ip int brie
针对该用户进行操作指令授权show ip int brie
如果没有授权,则该用户无法执行任何操作
4)登陆
用户模式下输入
R2>enable view test5 (使用相关用户角色登陆设备)
用户模式下输入
R2>enable view test5 (使用相关用户角色登陆设备)
四.对路由器的明文配置密码文件加密处理
service password-encryption
service password-recovery (不一定所有路由器支持)
禁止密码恢复
security passwords min-length 6
(设定密码强度规则,最小为6位)
service password-encryption
service password-recovery (不一定所有路由器支持)
禁止密码恢复
security passwords min-length 6
(设定密码强度规则,最小为6位)
转载于:https://blog.51cto.com/rensheng86/133350