**行动很重要一个环节就是保障网络设备安全,很多时候大家比较重视防火墙和出口路由器安全,但是忽视了交换机安全登录管理,自己总结下,大家也可以留言交流。
一 交换机支持如下三种登录认证方式,基于安全性考虑,我们推荐使用AAA认证方式控制管理员登录。
1 AAA:登录时必须输入用户名和密码。
2 Password:登录时必须输入密码。
3 None:登录时无需任何验证,可以直接登录到交换机。
交换机使用AAA认证方式控制用户登录,在交换机上创建一个用户名是**001,密码是Super**@123的账号。
[Switch] aaa
[Switch-aaa] local-user **001 password irreversible-cipher Super**@123
二 ACL规则允许的用户才能登录设备
交换机的登录用户名和密码仅管理员知道,可以有效防止非法用户登录。但是万一管理员不小心泄露或者被非法窃取,岂不是存在很大的风险?这种情况下,可以在交换机上配置ACL规则,限制只有指定网段的用户才能登录设备。
管理员1和管理员2属于10.1*.10.*/24网段,非法用户属于20.20.10.0/24网段。通过在交换机上配置ACL规则,只允许IP地址是10.10.10.0/24网段的管理员登录设备,这样即使非法用户获取到用户名和密码,也无法登录设备。交换机的配置方法如下:
[Switch] acl 2008 [Switch-acl-basic-2008] rule permit source 10.10.**.0 0.0.0.**5 [Switch-acl-basic-2008] quit [Switch] user-interface vty 0 14 [Switch-ui-vty0-14] acl 2008 inbound
[Switch-ui-vty0-14] quit
三 STelent登录设备:该登录方式也是远程登录,基于SSH协议,安全性较高 |