作为最低限度的安全措施,必须为所有网络设备的控制台端口配置强密码。 这可降低未经授权的人员将电缆插入实际设备来访问设备的风险。

可在全局配置模式下使用下列命令来为控制台线路设置密码:

Switch(config)# line console 0

Switch(config-line)# password cisco

Switch(config-line)# login

命令 line console 0 用于从全局配置模式进入控制台线路配置模式。 0 用于代表第一个(而且在大多数情况下是唯一的一个)控制台接口。

第二个命令 password cisco 指定控制台线路的密码。

login 命令用于将交换机配置为在用户登录时要求身份验证。 当启用了登录且设置了密码后,系统将提示控制台用户输入密码才能访问 CLI。

VTY 密码

VTY 线路使用户可通过 Telnet 访问思科设备。 默认情况下,许多思科交换机支持第 0 到 15 的 16 条 vty 线路。 思科路由器支持的 vty 线路数因路由器类型和 IOS 版本而异。 但是,最常见的数量配置是 5 条线路。 默认情况下这些线路编号为 0 到 4,不过可以配置附加线路。 所有可用 vty 线路必须设置密码。 可为所有连接设置同一个密码。 然而,理想的做法是为其中的一条线路设置不同的密码,这样可以为管理员提供一条保留通道,当其他连接均被使用时,管理员可以通过此保留通道访问设备以进行管理工作。

用于设置 vty 线路密码的命令示例如下:

Switch(config)# line vty 0 15

Switch(config-line)# password cisco

Switch(config-line)# login

默认情况下,IOS 自动为 VTY 线路执行了 login 命令。 这可防止设备在用户通过 Telnet 访问设备时不要求其进行身份验证。 如果用户错误地使用了 no login 命令,则会取消身份验证要求,这样未经授权的人员就可通过 Telnet 连接到该线路。 这是一项重大的安全风险。

此图显示了保护控制台和 Telnet 线路上的用户 EXEC 访问的过程。