要想使路由器足夠的安全，這十條命令是我們應該考慮在每臺路由器上都需要配置的，具體如下：

1、在路由器上配置一個登錄帳戶

建議在路由器和交換機上配置一個真實的用戶名和口令帳號。這樣以來就意味著你需要用戶和口令來獲得訪問權(quán)。

另外，還建議為用戶名使用一個加密口令，而不僅有一個常規(guī)口令。它用MD5加密方法來加密口令，這樣可以提高了安全性。如：

Router(config)#user name root secret Password1!

在配置了用戶名后，你必須啟用使用該用戶名的端口。如:

Router(config)# line con 0

Router(config-line)#login local

Router(config)#line aux 0

Router(config-line)#login local

Router(config)#line vty 0 4

Router(config-line)#login local

2、在路由器上設置一個主機名

一般情況下，路由器上缺省的主機名是Router。你可以保留這個缺省值，也可以對路由器重新命名并唯一地標識它才有實際的意義。如:

Router(config)#hostname Router-Branch-23

另外，你可以在路由器上配置一個域名，這樣可以很清晰知道其所處哪個DNS域中。如:

Router-Branch-23(config)#ip domain name mydomain.com

3、為進入特權(quán)模式設置口令

提到設置進入特權(quán)模式的口令時，一般都想到使用enablepassword命令。然而，使用enablesecret命令則更加安全。

這個命令用MD5加密方法加密口令，所以提示符不以明文顯示。如:

Router(config)#enable secret Password1!

4、加密路由器口令

Cisco路由器默認情況下在配置中不加密口令。然而，你可以很容易地改變這一點。為了使配置信息的絕對安全，我們可以采用加密口令，如:

Router(config)#service password-encryption

5、禁用Web服務

Cisco路由器在缺省情況下啟用了Web服務，它是一個潛在安全漏洞。如果你不打算使用Web服務，最好將它關閉，如:

Router(config)#no ip http server

6、配置DNS，或者禁用DNS查找

Cisco路由器缺省情況下，如果在特權(quán)模式下誤輸入命令，路由器認為你試圖Telnet到一個遠程主機，進而它會對我們輸入的內(nèi)容執(zhí)行DNS查找。

如果我們沒有在路由器上配置DNS，命令提示符將掛起直到DNS查找失敗。因此，建議使用以下面兩個方法中的其一，如：

一個選擇是禁用DNS，如:

Router(config)#no ip domain-lookup

還可以正確地配置DNS并指向一臺真實的DNS服務器，如：

Router(config)#ip name-server

7、配置命令別名

在路由器上配置命令的縮寫(也就是別名)，如:

Router(config)#alias exec s sh run

即我們可以輸入s，而不必輸入完整的showrunning-configuration命令。

8、設置路由器時鐘，或配置NTP服務器

多數(shù)Cisco設備沒有內(nèi)部時鐘。當它們啟動時，它們不知道時間是多少。即使你設置時間，如果你將路由器關閉或重啟，它不會保留該信息。

首先設置你的時區(qū)和夏令時。如:

Router(config)#clock timezone CST-6

Router(config)#clock summer-time CDT recurring

然后，為了確保路由器的事件消息顯示正確的時間，設置路由器的時鐘，或者配置一個NTP服務器。設置時鐘的例子如下:

Router# clock set 10:54:00 Oct 5 2005

如果你已經(jīng)在網(wǎng)絡中有了一個NTP服務器(或可以訪問Internet的路由器)，你可以命令路由器將之作為時間源。這是你最好的選擇，當路由器啟動時，它將通過NTP服務器設置時鐘。舉例如下:

Router(config)# ntp server 132.163.4.101

9、阻止日志消息打擾你的配置過程

CiscoIOS我們在配置路由器時，控制臺界面就不斷彈出日志消息(可能是控制臺端口，AUX端口或VTY端口)，禁用它可以提高配置和維護的效率。

所以在每一條端口線路上，我使用日志同步命令。舉例如下:

Router(config)#line con 0

Router(config-line)#logging synchronous

Router(config)#line aux 0

Router(config-line)#logging synchronous

Router(config)#line vty 0 4

Router(config-line)#logging synchronous

此外，我們可以在端口上修改這些端口的執(zhí)行超時時間。如果我們想禁用VTY端口線路上默認的十分鐘超時時間。在線路配置模式下使用exec-timeout 0 0命令，使路由器永不退出。

10、在路由器緩沖區(qū)或系統(tǒng)日志服務器中記錄系統(tǒng)消息

捕獲路由器的錯誤和事件以及監(jiān)視控制臺是解決問題的關鍵。默認情況下，路由器不會將緩沖的事件記錄發(fā)送到路由器內(nèi)存中。不過，我們可以配置路由器將緩沖的事件記錄發(fā)送到內(nèi)存。如:

Router(config)#logging buffered 16384

我們還可以將路由器事件發(fā)送到一個系統(tǒng)日志服務器。由于該服務器處在路由器外部，就有一個附加的優(yōu)點——即使路由器斷電也會保留事件記錄。

?

轉(zhuǎn)載于:https://blog.51cto.com/sigeshitou/855930

總結(jié)

以上是生活随笔為你收集整理的Cisco路由器安全配置命令的全部內(nèi)容，希望文章能夠幫你解決所遇到的問題。

如果覺得生活随笔網(wǎng)站內(nèi)容還不錯，歡迎將生活随笔推薦給好友。