Cisco路由器安全配置命令有哪些？

1.在路由器上配置登录帐户。我强烈建议在路由器和交换机上配置真实的用户名和密码帐户。这样做意味着您需要一个用户和密码才能访问。

此外，我建议用户名使用秘密密码，而不只是普通密码。它采用MD5加密方法对密码进行加密，大大提高了安全性。例子如下:

路由器(配置)#用户名根密码My$密码

配置用户名后，必须启用使用该用户名的端口。例子如下:

路由器(配置)#线路配置0

路由器(配置行)#登录本地

路由器(配置)#线路辅助0

路由器(配置行)#登录本地

路由器(配置)#线路vty04

路由器(配置行)#登录本地

2.在路由器上设置主机名。

我猜路由器上的默认主机名是router。可以保留这个默认值，路由器也可以正常运行。但是，重命名路由器并唯一标识它是有意义的。例子如下:

路由器(配置)#主机名路由器-Branch-23

此外，您可以在路由器上配置一个域名，以便它知道自己在哪个DNS域中。例子如下:

路由器-Branch-23(配置)#ip域名TechRepublic.com

3.设置进入特权模式的密码。

说到设置进入特权模式的口令，许多人会想到使用enablepassword命令。但是，我强烈建议使用enablesecret命令，而不是使用该命令。

此命令使用MD5加密方法对密码进行加密，因此提示符不会以明文显示。例子如下:

路由器(配置)#启用加密My$密码

4.加密路由器密码

默认情况下，Cisco路由器在其配置中不加密口令。然而，你可以很容易地改变这一点。例子如下:

路由器(配置)#服务密码加密

5.禁用Web服务

Cisco还默认启用Web服务，这是一个安全风险。如果不打算用，最好关机。例子如下:

路由器(配置)#无iphttp服务器

6.配置DNS，或禁用DNS查找

我们来讨论一下我个人认为的思科路由器的一个小缺陷:默认情况下，如果在特权模式下错误地输入了一个命令，路由器会认为你在尝试Telnet到远程主机。但是，它会对您的输入执行DNS查找。

如果您没有在路由器上配置DNS，命令提示符将会挂起，直到DNS查找失败。为此，我建议使用以下两种方法之一。

一种选择是禁用DNS。做法是:

路由器(配置)#无ip域-查找

或者，您可以正确配置DNS以指向一个真实的DNS服务器。

路由器(配置)#ip名称-服务器

7.配置命令别名。

许多网络管理员都知道路由器上配置命令的缩写(即别名)。例子如下:

路由器(配置)#aliasexec的sh运行

也就是说，现在可以输入s，而不必输入完整的showrunning-configuration命令。

8.设置路由器时钟或配置NTP服务器。

大多数Cisco设备没有内部时钟。当他们开始的时候，他们不知道时间是什么。即使设置了时间，如果关闭或重启路由器，也不会保留这些信息。

首先设置您的时区和夏令时。例子如下:

路由器(配置)#时钟时区CST-6

路由器(配置)#时钟夏令时CDT循环

然后，为了确保路由器的事件消息显示正确的时间，设置路由器的时钟或配置NTP服务器。设置时钟的示例如下:

路由器#时钟设置2005年10月5日10:54:00

如果网络中已有NTP服务器(或可访问互联网的路由器)，您可以命令路由器将其用作时间源。这是你最好的选择。当路由器启动时，它将通过NTP服务器设置时钟。例子如下:

路由器(配置)#ntp服务器132.163.4.101

9.不要让日志消息打扰您的配置过程。

CiscoIOS的另一个小问题是，当我配置路由器时，控制台界面不断d出日志消息(可能是控制台端口、辅助端口或VTY端口)。为了防止这种情况，您可以这样做。

因此，在每个端口线路上，我使用logsynchronization命令。例子如下:

路由器(配置)#线路配置0

路由器(配置行)#日志同步

路由器(配置)#线路辅助0

路由器(配置行)#日志同步

路由器(配置)#线路vty04

路由器(配置行)#日志同步

此外，您可以在端口上修改这些端口的执行超时。例如，假设您想要禁用VTY线路的默认10分钟超时。在线路配置模式下使用exec-timeout00命令使路由器永不退出。

10.在路由器缓冲区或系统日志服务器中记录系统消息。

解决问题的关键是捕获路由器的错误和事件，并监控控制台。默认情况下，路由器不会将缓冲的事件记录发送到路由器存储器。

但是，您可以配置路由器将缓冲的事件记录发送到内存。例子如下:

路由器(配置)#日志缓冲16384

您还可以将路由器事件发送到syslog服务器。因为服务器位于路由器之外，所以还有一个额外的好处:即使路由器断电，事件记录也会保留。