本文主🏖要介绍【yào jiè shào】⛴Cisco路由器【lù yóu qì】⛑安全配置必用🙇的十条命令，包括在路由【zài lù yóu】器⛑上配置【shàng pèi zhì】一个登【yī gè dēng】录帐户，在路由【zài lù yóu】器⛑上设置一个主机名，加密路由器【lù yóu qì】⛑口令等💸

工具/原料

• 路由器【lù yóu qì】😻
  
   

步骤/方法

1. 在路由器⬆上配置一个【yī gè】🍌登录帐【dēng lù zhàng】户
   我强烈♍建议在【jiàn yì zài】路由器⬆和交换机上配置一个【yī gè】🍌真实的⏳用户名⚓和口令🐭帐号【zhàng hào】。这样做，意味着你需要【nǐ xū yào】🍻用户和口令🐭来获得【lái huò dé】访问权【fǎng wèn quán】。
   
   　　除此之外，我建议🏍为用户名⚓使用一个【yī gè】秘👡密口令【mì kǒu lìng】🐭，而不仅有一个【yǒu yī gè】常规口令🐭。它用【tā yòng】MD5加密方【jiā mì fāng】法来加【fǎ lái jiā】密口令【mì kǒu lìng】🐭，并且大大提高了安全【le ān quán】性🗺。举例如【jǔ lì rú】下【xià】:
   Router(config)# username root secret My$Password
   　　在配置了用户📔名后🔲，你必须🍎启用使【qǐ yòng shǐ】👉用该用户名⚓的端口。举例如【jǔ lì rú】下【xià】:
   Router(config)# line con 0
   Router(config-line)# login local
   Router(config)# line aux 0
   Router(config-line)# login local
   Router(config)# line vty 0 4
   Router(config-line)# login local
   
    
2. 在路由【zài lù yóu】🦆器上设置一个【zhì yī gè】🥙主机名
   　　我猜测【wǒ cāi cè】🥗路由器【lù yóu qì】上缺省的主机名是router。你可以保留这【bǎo liú zhè】个缺省⚡值，路由器【lù yóu qì】同样可【tóng yàng kě】🔤以正常运行。然而【rán ér】，对路由🈷器重新命名并唯一地【wéi yī dì】标识它【biāo shí tā】才有意【cái yǒu yì】义。举例如📟下🛤:
   Router(config)# hostname Router-Branch-23
   　　除此之【chú cǐ zhī】🅱外，你可以在路由【zài lù yóu】🦆器上配🦅置一个【zhì yī gè】🥙域名，这样它【zhè yàng tā】💮就知道🈯所处哪个DNS域中【yù zhōng】。举例如📟下🛤:
   Router-Branch-23(config)# ip domain name TechRepublic.com
    
3. 为进入特权模式设置【shì shè zhì】✉口令【lìng】🎉
   　　当谈到设置进【shè zhì jìn】🚛入特权模式的口令【lìng】🎉时，许多人【xǔ duō rén】想到使🤵用【yòng】🗒enable password命令【lìng】🗃。然而【rán ér】，代替使【dài tì shǐ】🤽用【yòng】🗒这个命【zhè gè mìng】令【lìng】🗃，我强烈推荐使用【yòng】🗒enable secret命令【lìng】🗃。
   　　这个命【zhè gè mìng】令【lìng】🗃用【yòng】🗒MD5加密方法加密口令【lìng】🎉，所以提示符不以明文显示【xiǎn shì】。举例如下【xià】👐:
   Router(config)# enable secret My$Password
    
4. 加密路由器【lù yóu qì】口令【lìng】🆑
   　　Cisco路由器【lù yóu qì】缺省情况下在【kuàng xià zài】配置中不加密🔮口令【lìng】🆑。然而【rán ér】，你可以很容易📸地改变这一点🌷。举例如【jǔ lì rú】下:
   Router(config)# service password-encryption
    
5. 禁用Web服务【fú wù】🍕
   　　Cisco路由器还在缺🌗省情况【shěng qíng kuàng】🔑下启用了Web服务【fú wù】🍕，它是一【tā shì yī】个安全【gè ān quán】风险【fēng xiǎn】。如果你【rú guǒ nǐ】不打算🖕使用它，最好将👓它关闭🦇。举例如下:
   Router(config)# no ip http server
    
6. 配置DNS，或禁用【huò jìn yòng】DNS查找【chá zhǎo】🌷
   　　让我们🅰讨论🕚Cisco路由器【lù yóu qì】🍠中我个人认为🙃的一个【de yī gè】🌛小毛病:缺省情【quē shěng qíng】📷况下【kuàng xià】🏳，如果在特权模【tè quán mó】式下误🍫输入了一个命🏳令【lìng】，路由器【lù yóu qì】🍠认为你【rèn wéi nǐ】试图Telnet到一个【dào yī gè】🐊远程主机。然而它对你输【duì nǐ shū】入的内💧容却执行DNS查找【chá zhǎo】🌷。
   　　如果你没有在【méi yǒu zài】路由器【lù yóu qì】🍠上配置DNS，命令【lìng】提示符将挂起直📟到DNS查找【chá zhǎo】🌷失败。由于这【yóu yú zhè】🈂个原因，我建议🔆使用下面两个【miàn liǎng gè】方法中的一个【de yī gè】🌛。
   　　一个选【yī gè xuǎn】Ⓜ择是禁用DNS。做法是:
   Router(config)# no ip domain-lookup
   　　或者，你可以【nǐ kě yǐ】正确地【zhèng què dì】配置DNS指向一台真实【tái zhēn shí】的DNS服务器。
   Router(config)# ip name-server
    
7. 配置命【pèi zhì mìng】令别名🚮
   　　许多网【xǔ duō wǎng】🍭络管理员都知🎁道在路由器上🛵配置命【pèi zhì mìng】令的缩【lìng de suō】写【xiě】(也就是🏹别名)。举例如下:
   Router(config)# alias exec s sh run
   　　这就是说你现在可以【zài kě yǐ】输入【shū rù】💅s，而不必【ér bú bì】🌄输入【shū rù】💅完整的show running-configuration命令。
    
8. 设置路【shè zhì lù】🚦由器时🎓钟【zhōng】，或配置【huò pèi zhì】NTP服务器【fú wù qì】👶
   　　多数Cisco设备没有内部时钟【zhōng】🔙。当它们启动时【qǐ dòng shí】，它们不【tā men bú】知道时间是多【jiān shì duō】少😋。即使你【jí shǐ nǐ】💆设置时【shè zhì shí】📍间【jiān】，如果你【rú guǒ nǐ】🔜将路由器🕉关闭或重启，它不会保留该信息。
   　　首先设💰置你的时区和夏令时。例子如【lì zǐ rú】下🏴:
   Router(config)# clock timezone CST -6
   Router(config)# clock summer-time CDT recurring
   　　然后，为【wéi】了确保路由器的☕事件消息显示正确的【zhèng què de】时🔧间【jiān】，设置路【shè zhì lù】🚦由器的☕时钟【zhōng】🔙，或者配置一个【zhì yī gè】🥡NTP服务器【fú wù qì】👶。设置时【shè zhì shí】📍钟的例【zhōng de lì】🏫子如下🏴:
   Router# clock set 10:54:00 Oct 5 2005
   　　如果你【rú guǒ nǐ】🔜已经在网络中有了一【yǒu le yī】个【gè】NTP服务器【fú wù qì】👶(或可以访问😆Internet的路由【de lù yóu】器🕉)，你可以命令路由器🕉将之作为【wéi】❎时间【jiān】源。这是你💆最好的🌡选择【xuǎn zé】，当路由👟器🕉启动时【qǐ dòng shí】，它将通🙋过NTP服务器【fú wù qì】👶设置时【shè zhì shí】📍钟【zhōng】。举例如下🏴:
   Router(config)# ntp server 132.163.4.101
    
9. 不让日志消息打扰你👜的配置【de pèi zhì】过程
   　　Cisco IOS中另一【zhōng lìng yī】个我认为的小📅毛病就🎲是在我【shì zài wǒ】🤕配置路【pèi zhì lù】由器时【yóu qì shí】🎁，控制台【kòng zhì tái】🚏界面就不断弹出日志消息(可能是🥗控制台【kòng zhì tái】🚏端口【duān kǒu】🤚，AUX端口【duān kǒu】🤚或VTY端口【duān kǒu】🤚)。要预 防这一🏉点，你可以🚭这样做。
   　　所以在每一条🎈端口【duān kǒu】🤚线路上【xiàn lù shàng】，我使用【wǒ shǐ yòng】日志同步命令😴。举例如💡下【xià】:
   Router(config)# line con 0
   Router(config-line)# logging synchronous
   Router(config)# line aux 0
   Router(config-line)# logging synchronous
   Router(config)# line vty 0 4
   Router(config-line)# logging synchronous
   　　除此之外⛳，你可以🚭在端口【duān kǒu】🤚上修改🏵这些端口【duān kǒu】🤚的执行【de zhí háng】超时时【chāo shí shí】间【jiān】💙。例如🌒，我们假设你想禁用【jìn yòng】VTY线路上【xiàn lù shàng】默认的【mò rèn de】十分钟超时时【chāo shí shí】间【jiān】💙。在线路配置模🙀式下【xià】使用 exec-timeout 0 0命令，使路由【shǐ lù yóu】器永不【qì yǒng bú】退出。
    
10. 在路由【zài lù yóu】器【qì】缓冲🍓区或系【qū huò xì】统日🥃志服务⛎器【qì】中【zhōng】记录系统消息🛥
    　　捕获路🅿由器【qì】的错误和🚶事件以【shì jiàn yǐ】及监视控制台是解决【shì jiě jué】🏕问题的关键【guān jiàn】。默认情况下🎆，路由器【lù yóu qì】不会将缓冲的【huǎn chōng de】⏭事件记【shì jiàn jì】录发送【lù fā sòng】🔶到路由器【lù yóu qì】内存中【zhōng】。
    　　然而，你可以配置路✒由器【qì】将缓冲的【huǎn chōng de】⏭事件记【shì jiàn jì】录发送【lù fā sòng】🔶到内存🐄。举例如🥤下:
    Router(config)# logging buffered 16384
    　　你还可🏺以将路【yǐ jiāng lù】由器【qì】事件发送到一个【dào yī gè】系统日🥃志服务⛎器【qì】。由于该服务器【qì】⬆处在路【chù zài lù】由器【qì】外部，就有一个附加【gè fù jiā】👹的优点【de yōu diǎn】🔇：即使路由器【lù yóu qì】断电也会保留事件记【shì jiàn jì】录 。
     

注意事项

• 有哪个【yǒu nǎ gè】命令的【de】🦎标准是你希望【nǐ xī wàng】🖋思科在【sī kē zài】每台路【měi tái lù】📧由器上🧟都使用【dōu shǐ yòng】的【de】吗🤫？每位管理员都其自己【qí zì jǐ】的【de】🦎“正确【zhèng què】”配置每台路【měi tái lù】📧由器的【de】🦎命令。本文的【de】👍十条命令是我认为你应该在【yīng gāi zài】每台路【měi tái lù】📧由器上🧟都配置🕞的【de】🦎，没有特👆别的【de】顺🚻序。