路由交换的基本安全源于您的好习惯

    一个人的习惯，往往左右着他做事情的效率与成败。

    俗话说得好，“江山易改，本性难移”。这说明了一个人的习惯一旦养成，已经根深蒂固了，就很难改变过来。一个人的习惯不是一朝一夕就能够培养成的，而是经过长期的日积月累才定型的。所以说，我们在日常的学习生活工作中应该注意自己的言行举止，以在不良的习惯未形成的时候将其“扼杀在摇篮中”。

    同样的，作为一名从事 IT 网络的工作者来说，建立起一个好的工作习惯，可以减轻不必要的麻烦，甚至是将麻烦拒之门外。对于网络中常见的设备－－路由器和交换机，我们应在配置之前就应该把基本的安全工作做好。

    对于更新 IOS 和配置 ACL 以加强安全的方法我这里就不多说了，在此，我给出以下几条实现路由交换基本安全的配置命令

 

No.1 ：应用强密码策略

Router(config)# enable secret PASSWORD

Router(config)#service password-encryption

 

No.2 ：控制远程访问 (http 和 vty) 与控制台 (console 和 aux) 访问

Router(config)#no ip http server( 禁止 Web 配置 )

 

Router(config)#line vty 0 4

Router(config-if)#login

Router(config-if)#password PASSWORD （因为 VTY 在传输过程中数据不加密，需设强壮的密码）

Router(config-if)#exec-timeout 10( 确保会话在未用状态超过 10 分钟后被关闭 )

 

Router(config)#line console 0

Router(config-line)#transport input none( 禁止 console 口接收数据 )

Router(config-line)#password PASSWORD

 

Router(config)#line aux 0

Router(config-line)#transport input none

Router(config-line)#no exec( 禁用 AUX 端口 )

 

No.3 ：关闭其他不必要的服务和协议

Router(config)#no ip domain-lookup( 禁用 DNS 服务 )

Router(config)#no ip bootp server( 禁用 bootp 服务 )

Router(config)#no snmp-server( 禁止 snmp 流量信息 , 在边缘路由器上做 )

Router(config)#no snmp-server community public RO

Router(config)#no snmp-server community admin RW

Router(config)#no cdp run

Router(config-if)#no cdp enable( 禁止 CDP 协议 )

 

交换机的配置基本同上，只有一些小小的出入，具体配置就请你摸索吧！本文所涉及设备均为 Cisco 。至于华为等厂商的设备配置请看本人以后发表的文章。