前言
为了避免一些不法分子想登陆设备或者对设备进行攻击,Cisco IOS登录增强功能通过减缓攻击(字典攻击和Dos攻击)的速度来提高安全性
实验拓扑
配置vty远程登录
RA(config)#line vty 0 4
RA(config-line)#password cisco
RA(config-line)#login
验证:可以登录成功
配置登录增强特性
RA(config)#username admin secret cisco123 创建用户名admin加密密码cisco123
RA(config)#line vty 0 4 进入vty接口
RA(config-line)#login local 使用本地数据库验证
RA(config-line)#exit 退出
RA(config)#login block-for 120 attempts 3 within 60 如果在60s内密码验证错了3次登陆将被限制120s
验证:我随便乱输入了3次错误密码,设备就给我断开连接,然后我想再次登陆发现它拒绝了我的访问
RA#show login 命令可以查看登录信息
静默时间过了会自动恢复正常模式,远程主机又可以继续对设备登录
设置ACL(访问控制列表)
在启用了静默模式后所有的主机都将无法登录设备,为了让关键主机(管理员的主机)在任何时候都能访问,可以使用ACL来解决该问题。
ACL(Access Control Lists):访问控制列表,使用决策对流量进行过滤。
命令如下
由于模拟器路由器系统版本不支持,所有无法为大家验证了。
前几天安装了一个EVE模拟器,给大家简单展示一下这个功能。
拓扑
R1(config)#username admin secret cisco123 创建用户名admin加密密码cisco123
R1(config)#line vty 0 4 进入vty接口
R1(config-line)#login local 使用本地数据库验证
R1(config-line)#transport input telnet 使用telnet登陆
R1(config-line)#exit 退出
R1(config)#login block-for 120 attempts 3 within 60 如果在60s内密码验证错了3次登陆将被限制120s
配置acl
R1(config)#ip access-list standard PERMIT-ADMIN 创建一个名叫PERMIT-ADMIN的ACL
R1(config-std-nacl)#permit 192.168.20.2 允许源IP192.168.20.2访问
R1(config-std-nacl)#exit
R1(config)#login quite-mode access-class PERMIT-ADMIN 将PERMIT-ADMIN的ACL运用到静默模式
验证
**PC1(192.168.10.2)**输入密码3次,R1处于静默模式
**PC远程登录(192.168.20.2)**由于静默时间已经过了,所以使用PC1再次输入3次错误密码进入静默模式
R1处于静默模式,但是允许ACL允许的IP地址进行登录
在前面讲解了关于各种密码的配置有需要的可以去看:0基础学RS(四)路由器交换机安全管理访问telnet、ssh配置