路由器的密碼保護

以思科的路由器為例，一般有三種密碼來保護路由器不被隨意存取，分別是Console密碼、進入Privilege模式密碼和遠程訪問(Telnet、SSH)密碼。

Console密碼

以圖1為例，網(wǎng)管人員為路由器設定Console密碼，如此，當用戶嘗試使用Console線登錄路由器時就需要輸入正確的Console密碼才能成功登錄，提高路由器的安全性。

圖1 網(wǎng)絡架構

圖2 未設定Console密碼情況

首先示范沒有設定Console密碼的情況下，登錄路由器的情況。

從圖2可見，如果沒有為路由器設定Console密碼，只要使用Console登錄軟件就能輕易登錄到路由器并隨時修改路由器設定，存在嚴重的安全問題，網(wǎng)管人員應該要為路由器設定Console密碼，具體的做法是在路由器上輸入以下命令：

Router> en

Router# conf t

進入Console命令：

Router(config)#line console 0

設定Console密碼為Console的命令：

Router(config-line)#password console

在路由器上套用Console密碼的命令：

Router( config-line)#login

為路由器設定Console密碼后，我們嘗試再次以Console登錄路由器，會發(fā)現(xiàn)這時需要用戶輸入Console密碼（這里用的是Console），只有在輸入正確的密碼后才能成功登錄路由器。

Privilege模式密碼

一般情況下，我們在成功登錄路由器之后，通過輸入enable命令可以從User模式跳到Privilege模式，由于Privilege模式下已經(jīng)具有一定的權限，甚至通過這個模式可以成功跳到更下層的模式，從而具有更高的操作性，因此，路由器有提供進入Privilege模式的密碼保護，具體可以使用以下的命令來設定Privilege模式密碼：

Router> en

Router# conf t

圖3 網(wǎng)絡架構

使用enable password privilege密碼不會被加密，安全性較低或者使用enable secret privilege密碼會被加密，安全性較高，建議使用這種方式：

R o u t e r(c o n f i g)#enable password privilege

或者

R o u t e r(c o n f i g)#enable secret privilege

設定完Privilege模式密碼后，嘗試進入Privilege模式會要求輸入密碼，成功后才能登錄。

遠程登錄路由器密碼

在實際工作中，一般情況下很少需要網(wǎng)管人員到機房使用Console線登錄路由器，更多的是使用更便捷的遠程登錄方式，而遠程登錄如同Privilege模式密碼類似，按照密碼的安全性可以分為Telnet和SSH。

以圖3的網(wǎng)絡架構為例，如果想在PC1通過Telnet的方式進入路由器，需要先在路由器上設定接口IP，作為Telnet或者SSH之用，具體操作如下：

Router1> en

Router1# conf t

進入fa0/0界面：

Router1(config)# int fa0/0

在接口上設定IP：

Router1(config-if)#ip address 192.168.10.254 255.255.255.0

啟動接口：

Router1(config-if)#no shutdown

設定好路由器的接口IP之后，就可以開始設定Telnet或 SSH，先以 Telnet為例，可以在路由器上作以下設定：

Router1> en

Router1# conf t

Telnet 需 要 設定 vty，1個vty可以視為一個Telnet終端機，所以vty 0 2一共有3個終端機可供用戶聯(lián)機進來：

Router1(config)# line vty 0 2

設定Telnet 密碼為Telnet:

Router1(config-line)#password telnet

將以上設定套用在路由器上：

Router1(configline)# login

設定好Telnet所需的指定后，嘗試用PC Telnet路由器，在PC1用“telnet 192.168.10.254”命令之后可以得到以下結果，如圖4。

可以看到，Telnet成功之后會要求用戶輸入Telnet密碼，輸入正確之后就會跳到路由器的User模式，但是當我們要跳到Privilege模式時卻彈出“% No password set.”的提示信息，這個提示信息意思是沒有設定Privilege模式密碼，基于安全性考慮，使用Telnet或者SSH登錄路由器時，只要可以設定密碼的地方通通都需要設定，否則是無法正常進入路由器的。因此，我們需要在路由器中設定Privilege模式密碼：

Router1> en

Router1# conf t

使用安全性較高的密碼方式：

圖4 在PC1設置命令

圖5 輸出結果

圖6 成功登錄輸出結果

Router1(config)#enable secret privilege

設定好Privilege模式密碼之后，再嘗試用PC1 Telnet到路由器，可以看到以下結果，如圖5。

當輸入正確的Telnet密碼以及Privilege模式后，就可以開始對路由器進行操作，這是Telnet的方式。

Telnet的優(yōu)點是設定簡單，缺點是傳輸?shù)倪^程沒有加密，信息很容易被截取與竊改，出于安全性考慮，可以使用較為安全的SSH方式，在路由器上的設定如下：

Router1> en

Router1# conf t

設定域名：

Router1(config)#ip domain-name abc.com

設定登入賬號與密碼，賬號是test，密碼是ssh：

Router1(config)#username test secret ssh

選擇RSA作為加密方式：

Router1(config)#crypto key generate rsa

設定SSH終端機：

Router1(config)# line vty 0 2

啟動SSH：

Router1(config-line)#login local

設定好SSH指令之后,我們嘗試用PC1 SSH到路由器，與Telnet不同的是，使用SSH時需要加上–L以及加上賬號test,如此，只要我們成功輸入SSH的密碼以及Privilege密碼之后就能成功登錄路由器進行設定與操作了，如圖6。