善用密码保护你的思科路由器
最严重的安全问题发生的原因，经常是由于人们忽略了最基本的安全措施。在本文中，戴维·戴维斯将与你一起讨论利用密码保证路由器安全的重要性，并将为你解释思科网际操作系统的三种模式，以及如何配置保护网络的五个主要密码。　　为什么需要利用密码保护路由器？　　关于这个问题，你可能想问的问题是：路由器难道没有预设的密码？答案是肯定的，确实没有。路由器没有自动的密码保护。　　对于思科公司的管理者来说，这是一个需要认真考虑的问题。它非常重要，并且设置密码也很方便。　　我们首先讨论的是思科网际操作系统的不同模式。不同的模式意味着不同的用户拥有层次不一样的访问方式以及效力不同的特权，因此，需要为不同的模式设置不同的密码。如果你需要了解关于路由器安全的更多内容，可以阅读我在TechRepublic社区里的另一篇文章，“确保思科路由器和交换机安全的五种方法：基础篇”。　　思科网际操作系统的三种模式是什么？　　在讨论如何利用密码保护路由器之前，我们先来了解一下思科网际操作系统的三种模式是什么。它们是：　　用户模式：在用户模式，路由器将显示基本界面的信息。思科认证网络工程师CCNA着名作家托德·拉蒙一直称用户模式为“无用的模式” ；因为在这个模式下，不能对配置做任何操作，也不能看到任何重要的信息。用户模式也叫做用户体验模式。　　特权模式：有时也被称做特权体验模式（或者只是priv模式），在这个模式下，可以进行配置的调整和查看。我认为，这是绝对需要设置密码的第一个地方（虽然在用户模式，也应该有密码的设置）。需要从用户模式进入特权模式的话，需要下面的命令：　　Router> enable　　Router#　　全局模式：从特权模式，我们可以进入全局模式。在这个模式下，你可以对路由器的整个设置进行更改。如果需要改变配置的话，你需要下面的命令。　　这是一个如何进入全局模式的例子：　　Router# configure terminal　　Router(config)#　　Note: you can also just type conf t.　　附注：你也可以只输入conf t命令。　　如何对思科网际操作系统的五个主要密码进行设置　　思科网际操作系统的五个主要密码是：　　控制台　　辅助端口　　虚拟类型终端　　启用密码　　启用加密　　控制台　　在默认情况下，如果没有对路由器控制台设置密码的话，你可以访问用户模式（如果其它模式也没有密码设置的话，将进一步进入下一个模式）。你可以利用控制台端口对一台新路由器进行配置。设置一个密码对控制台端口进行保护是至关重要的，因为这样可以防止有人一连接到路由器上，就进入用户模式（甚至可能有更高权限的模式）。　　因为每一个路由器只有一个控制台端口，因此你需要在全局模式下利用命令行命令进入控制台，然后使用登录和密码设置两个命令来完成了配置。登录命令可以告诉路由器需要进行控制台密码的设置。密码设置的命令用来设定实际的密码。　　下面就是如何进行设置的命令：　　Router# config t　　Router(config)# line console 0　　Router(config-line)# password SecR3t!pass　　Router(config-line)# login　　需要注意的是：复杂的密码是非常重要的，这样可以防止密码被别人猜测到。　　辅助端口　　辅助端口是路由器的一个物理访问端口。并不是所有的路由器都有这个端口。辅助端口可以滋味进入控制台的备份配置端口，因此它也是非常重要的，需要设定一个密码。　　下面就是如何进行设置的命令：　　Router# config t　　Router(config)# line aux 0　　Router(config-line)#password SecR3t!pass　　Router(config-line)# login　　虚拟类型终端　　虚拟类型终端不是一个物理连接，而是一个虚拟连接。通过它，你可以使用Telnet或者SSH命令进入到路由器（ 如何进行SSH配置，可以参见我的文章“如何对思科路由器进行SSH配置”） 。当然，在使用的时间你还是需要一个激活的局域网或者广域网的端口以便进行操作。由于不同类型的路由器和交换机可以有不同数量的虚拟类型终端端口；因此，在配置之前，需要确定它们的数量。确定的方法很简单，只要在特权模式下输入line ?命令就可以得到答案了。　　下面是对虚拟类型终端进行配置的一个例子：　　Router# config t　　Router(config)# line vty 0 4　　Router(config-line)# password SecR3t!pass　　Router(config-line)# login　　启用密码　　启用密码可以防止有人完全连接到路由器上。启用命令其实是用来调整路由器不同的安全水平（一共有○到十五一共十六个级别的安全水平）。不过通常使用的是用户模式（一级）到特权模式（十五级）之间的级别。实际上，在用户模式下输入启用命令，就可以直接进入特权模式。　　设置密码，从用户模式进入特权模式，并转到全局配置模式，需要下面的命令操作：　　Router# config t　　Router(config)# enable password SecR3t!enable　　Router(config)# exit　　启用密码功能存在的弱点是，很容易被人解密。这也是我们为什么需要启用加密功能的缘故。　　启用加密　　启用加密和启用密码的功能是一样的，但启用加密后可以将密码保存在强大的加密环境中。　　Router(config)# enable secret SecR3t!enable　　结论　　我已经介绍了思科网际操作系统的不同模式，以及如何利用五种不同类型的密码来确保思科路由器或交换机是安全的。请记住，很多情况下，网络出现的问题都是由于简单的密码引起的。一定要确保思科路由器和交换机密码设置的可靠程度。我是新手，在配置思科路由器和交换的命令的时候有哪些比较好的模拟器，我现在用PT5.3和小凡_百度知道
我是新手，在配置思科路由器和交换的命令的时候有哪些比较好的模拟器，我现在用PT5.3和小凡
还有我想请教在现实的工作环境下用哪种软件比较的好，缺乏经验希望哪位好人能够帮忙解决下问题
提问者采纳
gns3不错，是图形化界面，比较方便，加载真实的ios，小凡dynamips也不错
提问者评价
谢了，很久没上了，都忘记了，哈哈
其他类似问题
按默认排序
其他2条回答
PacketTracer 有很多版本 ，界面非常好，可憨籂封饺莩祭凤熄脯陇以手动，也可以命令。即灵活又实用。下载个试试！
Boson Network Designer模拟器比较实用，网上一般都有下载，
思科路由器的相关知识
等待您来回答
下载知道APP
随时随地咨询
出门在外也不愁CISCO路由器基于时间的访问列表的应用
&CISCO路由器中的access-list（访问列表）最基本的有两种，分别是标准访问列表和扩展访问列表，二者的区别主要是前者是基于目标地址的数据包过滤，而后者是基于目标地址、源地址和网络协议极其端口的数据包过滤。随着网络的发展和用户要求的变化，从IOS12.0开始，CISCO路由器新增加了一种基于时间的访问列表。通过它，可以根据一天中的不同时间或者根据一星期中的不同日期（当然也可以二者结合起来）控制网络数据包的转发。 一、使用方法
&&& 这种基于时间的访问列表就是在原来的标准访问列表和扩展访问列表中加入有效的时间范围来更合理有效的控制网络。它需要先定义一个时间范围，然后在原来的各种访问列表的基础上应用它。并且，对于编号访问表和名称访问表都适用。 二、使用规则
&&& 用time-range 命令来指定时间范围的名称，然后用absolute命令或者一个或者多个 periodic命令来具体定义时间范围，IOS命令格式为：time-range time-range-name absolute [start time date] [end time date] periodic days-of-the week hh:mm to [days-of-the week] hh:mm&&& 我们分别来介绍一下每个命令和参数的详细情况： &&& time-range：&&& 用来定义时间范围的命令&&& time-range-name：&&& 时间范围名称，用来标识时间范围，以便于在后面的访问列表中引用&&& absolute：&&& 该命令用来指定绝对时间范围。它后面紧跟这start和 end两个关键字。在这两个关键字后面的时间要以24小时制、hh:mm（小时：分钟）表示，日期要按照日/月/年来表示。可以看到，他们两个可以都省略。如果省略start及其后面的时间，那表示与之相联系的permit 或deny语句立即生效，并一直作用到end处的时间为止；若省略如果省略end及其后面的时间，那表示与之相联系的permit 或deny语句在start处表示的时间开始生效，并且永远发生作用，当然把访问列表删除了的话就不会起作用了。&&& 上面讲的就是命令和基本参数为了便于理解，下面我们来看两个例子。 &&& 如果要表示每天的早8点到晚8点就可以用这样的语句： &&& absolute start 8:00 end 20:00&&& 再如，我们要使一个访问列表从日早5点开始起作用，直到日晚24点停止作用，语句如下： &&& absolute start 5:00 1 December 2000 end 24:00 31 December 2000&&& 这样一来，我们就可以用这种基于时间的访问列表来实现，而不用半夜跑到办公室去删除那个访问列表了，这对于网络管理员来说应该是件好事吧。接下来，让我们看下一个periodic命令及其参数。一个时间范围只能有一个absolute语句，但是可以有几个periodic语句。 periodic：主要是以星期为参数来定义时间范围的一个命令。它的参数主要有Monday、Tuesday、Wednesday、Thursday、Friday、Saturday、Sunday中的一个或者几个的组合，也可以是daily（每天）、weekday（周一到周五）或者weekend（周末）。&&& 我们还是来看几个具体的例子。比如表示每周一到周五的早9点到晚10点半，就可以用： periodic weekday 9:00 to 22:30&&& 每周一早7点到周二的晚8点就可以用： &&& periodic Monday to Tuesday 20:00&&& 好了，我们已经把这个时间范围如何定义弄清楚了，下面让我们看看如何在实际情况下应用这种基于时间的访问列表。 &&& 此主题相关图片如下：&&& 例1：在如上图所示的网络中，路由器有两个以太网接口E0和E1，分别连接着202.111.170.0和202.222.100.0两个子网络，其中202.111.170.50和202.222.100.100分别是WEB服务器1和WEB服务器2。还有一个串口S1，连入Internet。为了让202.111.170.0子网公司员工在工作时间不能进行WEB浏览，从日1点到日晚24点这一个月中，只有在周六早7点到周日晚10点才可以通过公司的网络访问Internet。我们做如下的基于时间的访问控制列表来实现这样的功能： &&& Router# config t&&& Router(config)# interface ethernet 0&&& Router(config-if)#ip access-group 101 in&&& Router(config-if)#time-range http&&& Router(config-if)#absolute start 1:00 1 December 2000 end 24:00 31&&& December 2000 periodic Saturday 7:00 to Sunday 22:00&&& Router(config-if)#ip access-list 101 permit tcp any any eq 80 http&&&& 我们是在一个扩展访问列表的基础上再加上时间控制就达到了目的。因为是要控制WEB访问的协议，所以必须要用扩展列表，也就是说，编号要在100-199之间。这些关于访问列表的基础知识，请参考其他关于Cisco或者CCNA的基础文档。我们定义了这个时间范围名称是http，这样，我们就在列表中的最后一句方便的引用了。有了以上的详细讲解，这个很好看懂了。我们再看下面一个例子。 &&& 例2：网络结构同上例，现在假设我们的访问要求变了，服务器WEB2（IP：202.222.100.100）上放着的是新年贺岁版的公司主页，我们希望在日24：00点前，Internet的用户访问的是服务器WEB1（IP：202.111.170.50）上的主页内容，而不能访问WEB2上的内容。在此之后的新年里，访问的是新年版主页而不能访问旧版本的主页。那么，我们利用带有时间控制的访问列表来自动实现这个功能，而再也不用让网管员在新年半夜时手动删除了。列表内容如下： &&& Router# config t&&& Router(config)#interface serial 0&&& Router(config-if)#ip access-group web in&&& Router(config-if)#&&& time-range changewebabsolute end 24:00 31 December 2000&&& Router(config-if)#ip access-list extended web&&& permit tcp any host 202.111.170.50 eq 80 changeweb&&& deny tcp any host 202.222.100.100 eq 80 changeweb&&& permit tcp any host 202.222.100.100 eq 80&&& 现在让我们分析一下这个访问控制列表。第一句是进入端口控制模式。第二句是应用名称访问列表web，并且是用在Serial 0的入口方向，就是数据流入路由器的时候做协议控制分析。第三句，定义一个时间范围名称是changeweb。第四句是定义扩展名称访问列表web。第五、六句是表示在新年前，只能允许访问WEB1。第七句是允许所有到WEB2的web访问。这样第七句不是在没有时间限制的情况下全部允许了WEB2的访问吗？那我们的目的是如何实现的呢？不要忘记，路由器中访问控制列表的每个表项的顺序是很重要的，它是从上到下执行的，这样，在新年之前，也就是第五、六句起左右的时候，访问WEB2的要求已经被禁止了，所以，第七句就没有用了，而在新年之后呢，第五、六句失效了，第七句才发挥它的作用。允许所有对WEB2的访问请求，那么，新年之后，还能访问WEB1服务器吗？当然不能，因为我们第七句只允许访问WEB2，隐含的意思就是，其余的全部禁止。 &&& 好了，看到这儿，你不是觉的你的想法都被CISCO路由器实现了？合理有效的利用基于时间的访问控制列表，可以更有效、更安全、更方便的保护我们的内部网络。这样你的网络才会更安全，网络管理员也会更轻松。
你还不是该群组正式成员，不能参与讨论。思科路由器基本配置与常用配置命令汇总
【】【】【】【】
　　《全国专业技术人员计算机应用能力考试标准教程―word&2003中文字处理》严格根据..
定价：￥39.50
优惠价：￥29.60&&本书适合报考全国专业技术人员计算机应用能力考试“中文windows&xp操作系统”科目的..
定价：￥39.50
优惠价：￥29.60&&
????????????
????????????
　 　 　 　 　Copyright ©
() All Rights Reserved 下载
 收藏
该文档贡献者很忙，什么也没留下。
 下载此文档
正在努力加载中...
cisco路由器配置命令
下载积分：1200
内容提示：
文档格式：DOC|
浏览次数：1|
上传日期： 02:40:35|
文档星级：
该用户还上传了这些文档
下载文档:cisco路由器配置命令.DOC
官方公共微信}