路由器的密碼保護(hù)

以思科的路由器為例，一般有三種密碼來保護(hù)路由器不被隨意存取，分別是Console密碼、進(jìn)入Privilege模式密碼和遠(yuǎn)程訪問(Telnet、SSH)密碼。

Console密碼

以圖1為例，網(wǎng)管人員為路由器設(shè)定Console密碼，如此，當(dāng)用戶嘗試使用Console線登錄路由器時(shí)就需要輸入正確的Console密碼才能成功登錄，提高路由器的安全性。

圖1 網(wǎng)絡(luò)架構(gòu)

圖2 未設(shè)定Console密碼情況

首先示范沒有設(shè)定Console密碼的情況下，登錄路由器的情況。

從圖2可見，如果沒有為路由器設(shè)定Console密碼，只要使用Console登錄軟件就能輕易登錄到路由器并隨時(shí)修改路由器設(shè)定，存在嚴(yán)重的安全問題，網(wǎng)管人員應(yīng)該要為路由器設(shè)定Console密碼，具體的做法是在路由器上輸入以下命令：

Router> en

Router# conf t

進(jìn)入Console命令：

Router(config)#line console 0

設(shè)定Console密碼為Console的命令：

Router(config-line)#password console

在路由器上套用Console密碼的命令：

Router( config-line)#login

為路由器設(shè)定Console密碼后，我們嘗試再次以Console登錄路由器，會(huì)發(fā)現(xiàn)這時(shí)需要用戶輸入Console密碼（這里用的是Console），只有在輸入正確的密碼后才能成功登錄路由器。

Privilege模式密碼

一般情況下，我們在成功登錄路由器之后，通過輸入enable命令可以從User模式跳到Privilege模式，由于Privilege模式下已經(jīng)具有一定的權(quán)限，甚至通過這個(gè)模式可以成功跳到更下層的模式，從而具有更高的操作性，因此，路由器有提供進(jìn)入Privilege模式的密碼保護(hù)，具體可以使用以下的命令來設(shè)定Privilege模式密碼：

Router> en

Router# conf t

圖3 網(wǎng)絡(luò)架構(gòu)

使用enable password privilege密碼不會(huì)被加密，安全性較低或者使用enable secret privilege密碼會(huì)被加密，安全性較高，建議使用這種方式：

R o u t e r(c o n f i g)#enable password privilege

或者

R o u t e r(c o n f i g)#enable secret privilege

設(shè)定完P(guān)rivilege模式密碼后，嘗試進(jìn)入Privilege模式會(huì)要求輸入密碼，成功后才能登錄。

遠(yuǎn)程登錄路由器密碼

在實(shí)際工作中，一般情況下很少需要網(wǎng)管人員到機(jī)房使用Console線登錄路由器，更多的是使用更便捷的遠(yuǎn)程登錄方式，而遠(yuǎn)程登錄如同Privilege模式密碼類似，按照密碼的安全性可以分為Telnet和SSH。

以圖3的網(wǎng)絡(luò)架構(gòu)為例，如果想在PC1通過Telnet的方式進(jìn)入路由器，需要先在路由器上設(shè)定接口IP，作為Telnet或者SSH之用，具體操作如下：

Router1> en

Router1# conf t

進(jìn)入fa0/0界面：

Router1(config)# int fa0/0

在接口上設(shè)定IP：

Router1(config-if)#ip address 192.168.10.254 255.255.255.0

啟動(dòng)接口：

Router1(config-if)#no shutdown

設(shè)定好路由器的接口IP之后，就可以開始設(shè)定Telnet或 SSH，先以 Telnet為例，可以在路由器上作以下設(shè)定：

Router1> en

Router1# conf t

Telnet 需 要 設(shè)定 vty，1個(gè)vty可以視為一個(gè)Telnet終端機(jī)，所以vty 0 2一共有3個(gè)終端機(jī)可供用戶聯(lián)機(jī)進(jìn)來：

Router1(config)# line vty 0 2

設(shè)定Telnet 密碼為Telnet:

Router1(config-line)#password telnet

將以上設(shè)定套用在路由器上：

Router1(configline)# login

設(shè)定好Telnet所需的指定后，嘗試用PC Telnet路由器，在PC1用“telnet 192.168.10.254”命令之后可以得到以下結(jié)果，如圖4。

可以看到，Telnet成功之后會(huì)要求用戶輸入Telnet密碼，輸入正確之后就會(huì)跳到路由器的User模式，但是當(dāng)我們要跳到Privilege模式時(shí)卻彈出“% No password set.”的提示信息，這個(gè)提示信息意思是沒有設(shè)定Privilege模式密碼，基于安全性考慮，使用Telnet或者SSH登錄路由器時(shí)，只要可以設(shè)定密碼的地方通通都需要設(shè)定，否則是無法正常進(jìn)入路由器的。因此，我們需要在路由器中設(shè)定Privilege模式密碼：

Router1> en

Router1# conf t

使用安全性較高的密碼方式：

圖4 在PC1設(shè)置命令

圖5 輸出結(jié)果

圖6 成功登錄輸出結(jié)果

Router1(config)#enable secret privilege

設(shè)定好Privilege模式密碼之后，再嘗試用PC1 Telnet到路由器，可以看到以下結(jié)果，如圖5。

當(dāng)輸入正確的Telnet密碼以及Privilege模式后，就可以開始對(duì)路由器進(jìn)行操作，這是Telnet的方式。

Telnet的優(yōu)點(diǎn)是設(shè)定簡單，缺點(diǎn)是傳輸?shù)倪^程沒有加密，信息很容易被截取與竊改，出于安全性考慮，可以使用較為安全的SSH方式，在路由器上的設(shè)定如下：

Router1> en

Router1# conf t

設(shè)定域名：

Router1(config)#ip domain-name abc.com

設(shè)定登入賬號(hào)與密碼，賬號(hào)是test，密碼是ssh：

Router1(config)#username test secret ssh

選擇RSA作為加密方式：

Router1(config)#crypto key generate rsa

設(shè)定SSH終端機(jī)：

Router1(config)# line vty 0 2

啟動(dòng)SSH：

Router1(config-line)#login local

設(shè)定好SSH指令之后,我們嘗試用PC1 SSH到路由器，與Telnet不同的是，使用SSH時(shí)需要加上–L以及加上賬號(hào)test,如此，只要我們成功輸入SSH的密碼以及Privilege密碼之后就能成功登錄路由器進(jìn)行設(shè)定與操作了，如圖6。