演示：限制VTY（Telnet）的访问、密码策略

第10章实施网络安全任务10.4配置设备访问的安全本章前面几节主要是在描述使用各种访问控制列表，包括基础访问控制列表和高级访问控制列表来对企业的业务流量进行过滤，而本节主要描述控制访问设备的安全，其中包括Telnet访问的安全、控制线的安全、登录密码的强度、交换机端口的安全等。任务10.4.1演示：限制VTY（Telnet）的访问

在进行Telnet访问时，虽然有登录的用户名与密码来对访问者进行身份验证，但是除此之外，Telnet将允许任何来源的IP接点访问网络设备，无法限制访问来源，这将为Telnet登录网络设备造成安全威胁，所以本小节主要描述如何限制VTY访问的安全。演示目标：配置VTY线路访问的安全。演示环境：如图10.33所示。演示背景：首先完成如图10.33所示实验环境的网络基础配置，其中包括为路由器R1、R2以及计算机配置IP地址，并在网络中启动路由协议，确保网络上的每个IP接点都可以相互ping通。然后配置路由器R1允许被Telnet的功能，在完成配置后，确保实验环境中的任意IP接点都可以成功地Telnet路由器R1。最后，使用VTY的控制访问方式来实现，只允许192.168.2.2和192.168.2.100的IP接点可以Telnet路由器R1，而其他的IP接点，比如172.16.2.1无法通过Telnet访问路由器R1。演示步骤：任务10.4.1图10.33限制VTY访问的实验环境在完成对实验环境的基础配置后，配置路由器R1的Telnet功能，然后在路由器R2上完成对路由器R1的Telnet过程，如图10.34所示。这里需要注意的是，无论是Telnet目标地址192.168.2.1还是172.16.1.1，事实上都是在Telnet路由器R1，因为这两个IP地址都是路由器R1上的IP地址，只是处于不同的接口而已。记住：只要这两个IP地址的路由可达，通信无故障，使用这两个IP地址中的任意一个都可以Telnet路由器R1。任务10.4.1图10.34在路由器R2上测试到R1的Telnet过程注意：根据实验环境，此时路由器R2TelnetR1的源地址是192.168.2.2，在默认情况下，如果没有特别声明源地址，那么将会把路由器R2距离目标路由器R1最近的接口IP地址作为Telnet路由器R1的源IP地址，如果需要声明Telnet过程中的源IP地址，则可以使用下面的方法来完成。任务10.4.1如图10.35所示的过程，分别声明路由器R2使用不同的源地址（E1/0192.168.2.2和Lo1172.16.2.1）Telnet路由器R2，由于现在路由器R1并没有对Telnet的访问来源进行限制，所以使用任意的源IP地址都可以Telnet路由器R1，如果配置没有问题，那么计算机A也可以成功地Telnet路由器R1。图10.35在路由器R2上使用不同的源地址来测试到R1的Telnet过程任务10.4.1现在到路由器R1上对VTY的访问进行限制，要求只允许路由器R2使用192.168.2.2源IP地址和主机A（192.168.2.100）可以Telnet路由器R1，其他源地址都将被作为非法地址，无法完成到路由器R1的Telnet。具体配置如下：R1(config)#access-list1permithost192.168.2.2*允许192.168.2.2R1(config)#access-list1permithost192.168.2.100*允许192.168.2.100R1(config)#linevty04*进入VTY线路0～4R1(config-line)#access-class1in*将访问控制列表1应用到VTY线路的入方向上R1(config-line)#exit任务10.4.1当完成上述配置后，现在再次使用不同的源IP地址来Telnet路由器R1，如图10.36所示，使用172.16.2.1作为源IP地址登录路由器R1被拒绝，而使用192.168.2.2作为源IP地址登录路由器R1成功，计算机A登录路由器R1也应该成功。图10.36配置路由器R1的VTY线路限制后的访问状态任务10.4.2演示：限制Console线的访问演示目标：配置访问Console线的密码，以加强安全性。演示环境：任意一台路由器使用Console线连接到控制计算机。演示背景：在默认情况下，Console线的访问是没有设置密码的，通常只要通过控制线成功地连接到路由器，然后启动路由器就可以进入路由器的一般用户模式，在很多情况下这样做存在一定的安全威胁，此时需要控制Console线访问的密码，所以在该演示环境中，将对Console线的访问使用密码，并设置它的空闲超时值。最后，分别观察Console线访问有密码和没设置密码的区别。演示步骤：任务10.4.2在没有设置Console线访问密码的情况下，如图10.37所示，当路由器启动完成后，直接进入路由器的一般用户模式，在这种情况下，路由器没有要求用户在进入一般用户模式时提供任何访问密码。现在来配置路由器或者交换机的控制线访问密码，具体配置如下。当完成并保存配置后，重新启动路由器，当通过控制线访问路由器时，会出现如图10.38所示的步骤要求输入访问密码。关于配置路由器控制线访问的密码：R1(config)#lineconsole0 *进入控制线路R1(config-line)#login *对控制线路进行登录配置R1(config-line)#passwordccna123W *设置控制线登录配置的密码R1(config-line)#exec-timeout1030 *设置控制线的空闲超时时间为10分30秒任务10.4.2图10.37没有密码策略时进入控制线的状态图10.38要求提供密码的控制台访问登录任务10.4.3演示：设置密码长度限制、密码加强为相关的线路访问设置密码可以加强密码访问的安全，而密码字符串本身的安全也是一件非常重要的事情，以下建议为设置密码的最佳实践。限定密码字符串的长度，字符数越多，猜测密码所需要的时间就越长。建议使用混合字符，比如：大小写字母、数字、空格和其他符号，密码字符串的组合越复杂，攻击者猜中密码的可能性就越小。不要使用密码字典中的单词。需要经常变更密码。演示目标：要求配置路由器的密码安全策略。演示环境：任意一台思科路由器或者交换机。演示背景：要求为思科路由器或者交换机配置密码安全策略，当用户为网络设备配置任何密码时，最少需要８个字符，并对密码字符串的内容进行加密。演示步骤：任务10.4.3在没配置密码安全策略时，可以通过showrunning-config指令查看当前运行的配置文件，如图10.39所示，可以清晰地看出没有启动加密密码的功能，所以Enable用户的密码字符串的内容清晰可见，而且只有４个字符的长度，这不能达到建议的密码长度（至少８位）。图10.39没有启动密码安全策略的配置文件任务10.4.3现在使用如下配置订制密码的安全策略，要求用户在配置任何密码字符串时，至少需要８个字符的长度，并按要求对密码字符串的内容进行加密。R1(config)#securitypasswordsmin-length8*设置密码的最小长度R1(config)#servicepassword-encryption*设置加密密码字符串当完成上述配置后，在路由器上使用enablepasswordccie来为Enable用户设置密码，会出现如图10.40所示的提示，配置的密码无效，因为目前所配置的密码长度只有４个字符的长度，不满足上面所要求的密码安全策略。图10.40不满足密码安全策略时的提示任务10.4.3现在使用enablepasswordccie123W指令完成对Enable用户密码的配置，这次能够成功地完成配置密码，因为它已经满足密码安全策略的要求。现在通过showrunning-config指令再查看当前运行的配置文件，如图10.41所示，加密密码的功能被