为什么需要配置登录认证
家里的Wi-Fi谁都能连?公司交换机随便插网线就能访问?这可不是小事。很多网络设备出厂时默认没有密码,或者用的是通用账号,就像门没上锁,外人轻轻一推就进来了。
配置登录认证,就是给设备加把锁。无论是路由器、交换机还是防火墙,只要能远程或本地管理,就必须设置可靠的认证方式,防止未授权操作。
常见的认证方式有哪些
最基础的是本地用户名密码认证。你登录设备时输入的账号密码都存在设备本地。适合小型网络,但设备多了就难统一管理。
进阶一点是使用AAA框架,比如接入RADIUS或TACACS+服务器。账号集中管理,一个人离职,删一个账号就行,不用一台台设备去改。大企业基本都这么干。
还有像SSH替代Telnet这种细节也很关键。Telnet传密码是明文的,抓个包就看得到。SSH加密通信,安全性高得多。
实际配置示例:启用SSH并关闭Telnet
以一台常见企业级交换机为例,进入命令行后先设主机名和域名:
hostname SW-Office
ip domain-name zhiyongwang.com生成加密密钥,SSH要用:
crypto key generate rsa系统会提示选密钥长度,推荐2048位。
然后开启SSH服务,限制版本为2:
ip ssh version 2
line vty 0 4
transport input ssh
login local最后关掉Telnet:
line vty 0 4
transport input none
transport output none添加本地用户并设置权限
别再用admin/123456这种组合了。创建一个带密码的用户:
username manager privilege 15 secret MySecurePass2024privilege 15 表示最高权限,日常维护够用了。如果只想让某人查状态不能改配置,可以把权限设成1或5。
启用AAA认证对接RADIUS
假设你有台RADIUS服务器,IP是192.168.10.100,共享密钥是radiuskey123:
aaa new-model
aaa authentication login default group radius local
radius-server host 192.168.10.100 key radiuskey123这样设备会优先向RADIUS验证用户,服务器挂了才走本地账号,既安全又可靠。
别忘了在VTY线路中启用AAA:
line vty 0 4
login authentication default一些实用建议
定期更换密码,尤其是管理员账号。别图省事写纸条贴显示器边上。
启用登录失败锁定机制,连续输错三次就暂时禁用登录,防暴力破解。
日志别忽视。登录成功失败都记下来,出事了能查是谁动的手。
小公司没RADIUS?至少做到:改默认密码、关不必要的服务、用SSH、设强密码。这几步花不了十分钟,但能挡住大多数低级攻击。