路由器的安全登陆

 1.       telnet只是在对访问安全不是很高的内部网络使用，绝对不建议在外网telnet内部设备。

<!--[if !supportLists]-->2.       <!--[endif]-->一定要设置密码，而且密码加密。

<!--[if !supportLists]-->3.       <!--[endif]-->在外网访问内部设备的时候使用安全的连接方式，如ssh，https，vpn等，因为ssh也是使用vty线路，因此需要做好限制，结合访问控制列表和认证。Ssh使用端口22，如果在其他的接口上有访问列表的话注意放行这个端口流量。

配置示例：

Ip domain-name cisco.com      #必须要配置域名

Crypto key generate rsa         #生成密钥

Username ila secret cisco        #建立本地数据库

Access-list 1 per 172.16.1.1      #访问列表，在vty里调用

Line vty 0 4

Transport input ssh                #只允许ssh

Transport output ssh

Login local

Access-class 1 in

<!--[if !supportLists]-->4.       <!--[endif]-->SSH的查看命令

Show ip ssh    show ssh 可以查看SSH的版本信息

使用路由器作为SSH客户端的连接命令：ssh –l （用户名） x.x.x.x

 

<!--[if !supportLists]-->5.       <!--[endif]-->使用HTTP登录访问设备

使用HTTP登录访问需要注意的一个问题是，不定义认证的话可以直接登录，如果定义了一个账户（未定义特权级别）那么就要使用账户登录。

如果开启了认证的话（ip http authentication [aaa|enable|local]）,则需要定义用户级别，只有15的用户才有访问权。上面的三种方法中，不建议使用enable。使用enable时输入的就是enable pass/sec的那个密码，不用输入用户名。

配置示例：

Access-list 10 permit 192.168.10.100 （这个地址是源地址）

Username ila pri 15 secret cisco   #注意，一定要配置为15级才有访问权限

Ip http server

Ip http port xxxx（大于1023）  #改变默认端口提供更佳安全性

Ip http authentication local     #启用本地认证，注意一定要是15级的用户权限

Ip http access-list 10

<!--[if !supportLists]-->6.       <!--[endif]-->查看HTTP连接的信息

Show ip http client all    show ip http server all

<!--[if !supportLists]-->7.       <!--[endif]-->使用HTTPS安全登录设备

强烈建议不要在公共网络使用http登录设备，因为http使用明文传送数据。HTTPS使用SSL加密技术，能够有效的保证数据的安全。

配置方法与HTTP基本一致，ip http secure-server  ip http secure-port xxxx（可选） ip httpsecure-ciphersuite 3des-ede-cbc-sha等（可选）

查看命令：show ip http sever secure status

 

 

 

本文出自 “海阔天空” 博客，请务必保留此出处http://edges.blog.51cto.com/705035/423431