配置基础路由器和交换机安全

"该文档是关于Cisco网络设备配置的安全挑战，涵盖了路由器和交换机的基本安全设置，主要包括密码策略、加密、执行超时、同步日志、登录验证和禁止非法访问等措施。" 在Cisco网络设备中，确保网络安全是至关重要的。在提供的配置中，我们看到了几个关键的安全实践： 1. 密码策略：`security passwords min-length 10`命令要求密码至少包含10个字符，这增加了密码破解的难度，提高了安全性。 2. 服务密码加密：`service password-encryption`命令使输入的密码在存储时自动加密，防止明文密码被泄露。 3. 启用秘密密码：`enable secret`命令用于设置特权模式（enable mode）的密码，比如`enable secret ciscoenapa55`。这是比普通`enable password`更安全的选项，因为它对密码进行哈希加密。 4. 控制台线配置：`line console 0`命令进入控制台线配置，然后设置密码（如`password ciscoconpa55`）以保护物理访问，`exec-timeout 15`则限制无活动连接的最大时间，避免长时间无人使用的终端被占用。 5. 同步日志：`logging synchronous`命令允许在执行命令时接收日志消息，而不会中断用户界面，有助于实时监控设备状态。 6. 虚拟终端线配置：`line vty 0 4`用于配置远程访问的VTY线路，设置密码（如`password ciscovtypa55`）和执行超时，同时`login local`启用基于本地用户数据库的登录验证。 7. 禁止非法访问：`banner motd #unauthorized#`设置消息-of-the-day（MOTD） banner，警告未经授权的访问者，增强了安全警示。 8. 接口配置：在交换机上，`interface fastEthernet 0/1`进入接口配置模式，`switchport mode trunk`将接口配置为中继模式，允许不同VLAN间的通信，但这也需要相应的访问控制策略来防止未授权的VLAN穿越。 这些配置步骤是实现基本网络设备安全的关键部分，它们能有效防止未授权访问，保护网络资源，并为用户提供了一个相对安全的环境。在实际的CCNA学习和网络管理中，理解并应用这些安全措施是非常基础且必要的。