网络的安全管理涉及到许多方面，但纵观许多安全事件，可以得到一个基本的结论，危害都是由于忽视了基本的安全措施而造成的。本文将讨论维护思科路由器口令安全的重要性，解释思科路由器IOS的三种模式，并向读者展示如何配置五大口令保护网络安全。
6N8\7z4W7e:|)v:{ [4iTechWeb-技术社区
!i5y"K2_!i#?:l$Ztech.techweb.com.cn    借助口令保障路由器安全的原因
5I2X3D6m/x5?%k;j ktech.techweb.com.cn r%Y#Y!~1h#@ T3O
    首先，作为思科设备的管理员，我们必须认识到，路由器并不存在什么自动化的口令防御。管理员必须认真对待思科设备的口令设置问题。4l*M,o0T9[0`&|&d:}!O%n

5H7j;W6L8H$A程序开发，操作系统，服务器，源码下载，Linux,Unix,BSD,PHP,Apach,asp,下载,源码,黑客,安全,技术社区,技术论坛    思科设备运行的灵魂是IOS，它有不同的模式。这些模式是分等级设置的，这意味着访问的越深入，所要求的特权就越多，为每一相应层次设置的口令就越多。
[)A"b.O8X;},b!}!`3c$m"@+v
    思科IOS的三大模式#A#C*[ z a0R*l:j

7T1c0N0E7f#k*n4O    用户模式TechWeb-技术社区:j(D(C'W+j%i
1j8g5G*l&h:m/M%v.V
    在用户模式中，显示的是路由器的基本接口信息。有人认为这种模式根本就没有用，因为这种模式中无法作出配置改变，用户也无法查看任何重要的信息。8j#K:E6r&]:D!W&a5o

&d9D!O0E(v9~TechWeb-技术社区    特权模式程序开发，操作系统，服务器，源码下载，Linux,Unix,BSD,PHP,Apach,asp,下载,源码,黑客,安全,技术社区,技术论坛4P1a)_%w%d8e6o:k6x

0o8c1D9X-m3y.[(v8S"mTechWeb-技术社区    管理员可以在这种模式中查看和改变配置。笔者以为，在这个级别上，拥有一套口令集是绝对重要的。要从用户模式切换到特权模式，管理员需要键入enabel命令，并按下回车键：tech.techweb.com.cn;{6M0C!a;f(@%h

$V:@(x0A6~    Router> enableTechWeb-技术社区-y3z&\)e(S.j/h+z'b,B7M6V)C
Router# tech.techweb.com.cn I `(@4g5u8C
tech.techweb.com.cn0~7x!Y)P4e3D#u:z.w*b;_
程序开发，操作系统，服务器，源码下载，Linux,Unix,BSD,PHP,Apach,asp,下载,源码,黑客,安全,技术社区,技术论坛.x6n9X r"[,Z j#H
    全局配置模式
0@*e4`0o4]7z5D,gtech.techweb.com.cnTechWeb-技术社区$@-b;^-G"b6i.x6E1r(]9h
    从特权模式下，我们现在可以访问全局配置模式。这里，我们可以作出改变影响整个路由器的运行，这些改变当然包括配置上的改变。作为管理员，我们需要更进一步，深入到路由器的命令中，对其配置作出合理的改变。
8Y$q2p(`7o8N&vTechWeb-技术社区*?:V4t-n#I%x7r-{
    下面给出的是一个访问这种模式的例子：TechWeb-技术社区.e.W#S!T6X5H4I8B
TechWeb-技术社区0n0D I;s$f#}
     Router# configure terminal
'H1g2`;w4h)@TechWeb-技术社区Router(config)#

正确配置五大口令
!A+{!]'e6z(oTechWeb-技术社区,{ [5u:t%g3P!]
    首先，要知道思科的IOS拥有五大口令，分别是控制台口令、AUX口令、VTY口令、Enable password口令、Enable secret口令。下面分别分析之。
s ~4N+h:h9X*\(u程序开发，操作系统，服务器，源码下载，Linux,Unix,BSD,PHP,Apach,asp,下载,源码,黑客,安全,技术社区,技术论坛TechWeb-技术社区4v7E(];C;R
    控制台口令
's1q-V6L7}-H9t程序开发，操作系统，服务器，源码下载，Linux,Unix,BSD,PHP,Apach,asp,下载,源码,黑客,安全,技术社区,技术论坛(S%I4b(m.v/H%T1R6s2Q
    如果用户没有在路由器的控制台上设置口令，其他用户就可以访问用户模式，并且，如果没有设置其它模式的口令，别人也就可以轻松进入其它模式。控制台端口是用户最初开始设置新路由器的地方。在路由器的控制台端口上设置口令极为重要，因为这样可以防止其它人连接到路由器并访问用户模式。)]&e7Y+g)a/`#^!]
(`*y#w;d.z#Q
    因为每一个路由器仅有一个控制台端口，所以你可以在全局配置中使用line console 0命令，然后再使用login和password命令来完成设置。这里password命令用于设置恰当的口令，如下所示：
8{!J;W'f7e9{
&{%Q$V4d!\&w;O5D.h程序开发，操作系统，服务器，源码下载，Linux,Unix,BSD,PHP,Apach,asp,下载,源码,黑客,安全,技术社区,技术论坛     Router# config t
6M/\0l6]2V6]#vtech.techweb.com.cnRouter(config)# line console 0程序开发，操作系统，服务器，源码下载，Linux,Unix,BSD,PHP,Apach,asp,下载,源码,黑客,安全,技术社区,技术论坛,t9W(^-v:F'C
Router(config-line)# password SecR3t!pass+r&N-W0w%z4U3c-U3u
Router(config-line)# login
2Y2\(`%F$_1^4g
1M,B J(b-\9x!E
0\/m w8G;k;b)d1E,eTechWeb-技术社区    注意：最好设置复杂的口令避免被其他人猜测出来。;r-g4p c$h$[%U6p
#v#l'^+I,z7q
    Aux（辅助端口）口令
'Q(_;G9f2b8h&wtech.techweb.com.cn
5Y'w.h"W$}.x*L9q&R)h'r(wTechWeb-技术社区    这也是路由器上的一个物理访问端口，不过并非所有的路由器都有这个端口。因为Aux端口是控制台端口的一个备份端口，所以为它配置一个口令也是同样重要的。程序开发，操作系统，服务器，源码下载，Linux,Unix,BSD,PHP,Apach,asp,下载,源码,黑客,安全,技术社区,技术论坛3P%f3b*M9e4B:m3B$]7_#D
程序开发，操作系统，服务器，源码下载，Linux,Unix,BSD,PHP,Apach,asp,下载,源码,黑客,安全,技术社区,技术论坛#y5S/p7}-}!o,C#t/M
     Router# config t"r*x2D%F6I+|2p
Router(config)# line aux 0TechWeb-技术社区4]2B.o:m!Z
Router(config-line)#password SecR3t!pass
.o5^,s:i*C)M;`*l+f9K:J程序开发，操作系统，服务器，源码下载，Linux,Unix,BSD,PHP,Apach,asp,下载,源码,黑客,安全,技术社区,技术论坛Router(config-line)# login
;].}4](N1u2w1v)L9\&[)c(Z+Q-h%^

9z.T)o+W)W4J0j    （VTY）远程登录口令
2s)F$R3]$E!Z#_)qTechWeb-技术社区tech.techweb.com.cn*q;f5C%c$d2A0g
    虚拟终端连接并非是一个物理连接，而是一个虚拟连接。可以用它来telnet或ssh进入路由器。当然，你需要在路由器上设置一个活动的LAN或WAN接口以便于telnet工作。因为不同的路由器和交换机拥有不同的VTY端口号，所以你应当在配置这些端口之前查看有哪些端口。为此，可以在特权模式中键入line ?命令。下面给出一个配置VTY连接的例子：
4W"G'b*o${7o9[
"[$t'j)z"A;X,S'ytech.techweb.com.cn     Router# config t
:l0?&a:T0x#["A#f!q程序开发，操作系统，服务器，源码下载，Linux,Unix,BSD,PHP,Apach,asp,下载,源码,黑客,安全,技术社区,技术论坛Router(config)# line vty 0 4tech.techweb.com.cn&v,?(P&g9w*~%U8Z
Router(config-line)# password SecR3t!pass
9~!O%Z1S,T9O)L IRouter(config-line)# login

Enable password-启用口令
2g,H.T3N.z,E
&l8\ i4z/~;r*b#Q1p+F    enable password命令可以防止某人完全获取对路由器的访问权。Enable命令实际上可以用于在路由器的不同安全级别上切换（共有0-15等16个安全级别）。不过，它最常用于从用户模式（级别1）切换到特权模式（级别15）。事实上，如果你处于用户模式，而用户键入了enable命令，此命令将假定你进入特权模式。/W&A&O;W.y2v

,t!K)v,g3Ktech.techweb.com.cn    如果要设置一个口令用于控制用户从用户模式转向特权模式，就要进入全局配置模式并使用enable password命令，如下所示：TechWeb-技术社区)a2U3Y,N&D5b"]:O

1E1V'v"n.z$I8I%R8iTechWeb-技术社区     Router# config ttech.techweb.com.cn"^7U%z*L*}
Router(config)# enable password SecR3t!enable+w8f'X%F9u9H#p8B)Z
Router(config)# exit 8u7\#J/l8[;^;J0v%z,a
程序开发，操作系统，服务器，源码下载，Linux,Unix,BSD,PHP,Apach,asp,下载,源码,黑客,安全,技术社区,技术论坛.o;F'K$u5N5o.D(W/X

4J/c/F3m*N${/B5R    Enable password-启用口令
-o)B+q5K#~(?(Y _3n/e;T9z#E1G)B2U)e
    enable password命令可以防止某人完全获取对路由器的访问权。Enable命令实际上可以用于在路由器的不同安全级别上切换（共有0-15等16个安全级别）。不过，它最常用于从用户模式（级别1）切换到特权模式（级别15）。事实上，如果你处于用户模式，而用户键入了enable命令，此命令将假定你进入特权模式。*S'H7f!D%\7^*A

!N;~2w2D6m,V(v    如果要设置一个口令用于控制用户从用户模式转向特权模式，就要进入全局配置模式并使用enable password命令，如下所示：
*`2A/H7v,x5PTechWeb-技术社区
'V%?3R*N.r*f7Q:u#z/S;\0n    Enable password命令不好的一面是它容易被其他人猜测出来，这也正是我们需要使用enabel secret的原因。9M;B+[5U#T

;n9h6H0m(N1|-i%I#v6r程序开发，操作系统，服务器，源码下载，Linux,Unix,BSD,PHP,Apach,asp,下载,源码,黑客,安全,技术社区,技术论坛    Enable secret-启用加密TechWeb-技术社区)e,G-W5v!E,h!^*Q

'r%m2J#o7g:c2^5I5V3~TechWeb-技术社区    启用加密口令(enable secret password)与enable password 的功能是相同的。但通过使用“enable secret”，口令就以一种更加强健的加密形式被存储下来：
0p%q$n'f7v+W3l(J,GTechWeb-技术社区(t-f5B)?1e(B5\%H9{
     Router(config)# enable secret SecR3t!enable
&X(i8m%q'G9W2`2v3T,Otech.techweb.com.cn
&N.h:D3x/O6d"I3X g#]'o程序开发，操作系统，服务器，源码下载，Linux,Unix,BSD,PHP,Apach,asp,下载,源码,黑客,安全,技术社区,技术论坛程序开发，操作系统，服务器，源码下载，Linux,Unix,BSD,PHP,Apach,asp,下载,源码,黑客,安全,技术社区,技术论坛0u:j7L;v$[.v(i5l
    在很多情况下，许多网络瘫痪是由于缺乏口令安全造成的。因此，作为管理员一定要保障正确设置其交换机和路由器的口令。