使用机柜和上锁的机架限制人员实际接触网络设备是不错的做法,但口令仍是防范未经授权的人员访问网络设备的主要手段。必须从本地为每台设备配置口令以限制访问。在后续课程中,我们将介绍通过同时验证口令和用户 ID 来加强安全性的方法。现在,我们将介绍仅使用口令的基本安全措施。

 
如前所述,IOS 使用分层模式来提高设备安全性。作为此安全措施的一部分,IOS 可以通过不同的口令来提供不同的设备访问权限。
 
在此介绍的口令有:
  • 控制台口令 — 用于限制人员通过控制台连接访问设备
  • 使能口令 — 用于限制人员访问特权执行模式
  • 使能加密口令 — 经加密,用于限制人员访问特权执行模式
  • VTY 口令 — 用于限制人员通过 Telnet 访问设备
作为一种良好的做法,应该为这些权限级别分别采用不同的身份验证口令。尽管使用多个不同的口令登录不太方便,但这是防范未经授权的人员访问网络基础设施的必要预防措施。
 
此外,请使用不容易猜到的强口令。使用弱口令或容易猜到的口令一直是商业世界中无处不在的安全隐患。
 
选择口令时请考虑下列关键因素:
口令长度应大于 8 个字符。
在口令中组合使用小写字母、大写字母和数字序列。
避免为所有设备使用同一个口令。
避免使用常用词语,例如 password 或 administrator,因为这些词语容易被猜到。
 
注意:在大多数实验中,我们会使用诸如 cisco 或 class 等简单口令。这些口令为弱口令而且容易被猜到,在实际生产环境中应避免使用。我们只在课堂环境中为便利起见使用这些口令。
 
控制台口令
Cisco IOS 设备的控制台端口具有特别权限。作为最低