锐捷交换机安全策略详细配置指南
在锐捷交换机的配置模式下,为保障远程登录安全,我们首先需设定登录密码。
执行命令:enable secret level 1 0 star,此操作将远程登录密码设置为“star”。
紧接着,为配置模式的密码强度,我们使用命令:enable secret level 15 0 star,将密码同样设为“star”。
为了方便管理,我们需要开启web管理功能,通过以下命令实现:enable services web-server。
为了加强密码的安全性,建议开启密码加密功能:service password-encryption。
接下来是AAA本地认证的配置。
进入使能模式:enable。接着,进入全局配置模式:config terminal。
在配置模式下,我们可以设置本地用户名及密码,如:username admin1 password admin1。
启用新的认证授权计费模型:aaa new-model。
配置默认调用本地交换机用户密码进行登录认证:aaa authentication login default local。
为增强安全性,我们设置登录尝试次数及锁定策略:aaa local authentication attempts 5 表示允许错误登录5次,之后将锁定;另一种方式是 aaa local authentication lockout-time 30 表示尝试登录5次后,账户将在30分钟后解锁。
对于vty模式(即远程用户终端),我们需应用login认证:line vty 0 4,随后在vty配置模式下应用默认认证:login authentication default。
对于console模式(即控制台),同样需进行login认证配置,但需根据实际情况决定是否先通过telnet或SSH验证成功后再进行console下的配置。
为避免长时间无操作导致会话超时,我们设置失效时长:exec-timeout 5 0。
为增强网络安全性,我们配置MAC地址表项的老化时间:mac-address-table aging-time 20。
为保障密码安全,我们设置密码更换周期、禁止重复使用历史密码次数、最小密码长度以及要求密码强度:password policy life-cycle 7, no-repeat-times 5, min-size 10 以及 strong。