IOS比我们相像中的要“坚强”

思科IOS自带了很多功能，用以加强自身的安全性，但很多时候我们都忽略了，没有正确使用。IOS比我们想象中的坚强，合理使用这些安全特性，可以增强网络的安全。

1、限制设备的密码长度，一般在默认情况下，我们都没有设置。具体设置如下：
WYLZ-R1(config)#security passwords min-length 7
在这里设备密码的最小长度是7，然后配置一个5位长度的密码时，如下所示：
WYLZ-R1(config)#enable secret cisco
% Invalid Password length - must contain 7 to 25 characters. Password configuration failed
此时提示，无效的密码长度，密码长度在7到25个字符之间。

2、密码加密策略，默认情况下telnet密码和enable password都是明文显示的，通过show run就完全可以看到，使用密码策略可以将密码加密以密文的形式显示。具体设置如下：
WYLZ-R1(config)#do sh run | b line
line con 0
 exec-timeout 0 0
 logging synchronous
line aux 0
line vty 0 4
 password cisco123      //以明文显示了telnet密码
 login
 length 0
 transport input none
启用密码加密策略
WYLZ-R1(config)#service password-encryption
WYLZ-R1(config)#do sh run | b line
line con 0
 exec-timeout 0 0
 logging synchronous
line aux 0
line vty 0 4
 password 7 02050D4808095E731F       //密码已经以密文的形式显示了。
 login
 length 0
 transport input none
当然了，这种形式加密的密码是可以破解的，所以建议telnet密码和特权密码不要相同。

3、为不同的用户分配不同的权限，很多时候我们只设置一个telnet密码和一个特权密码，那么任何人登录都具有完全控制权限。
WYLZ-R1(config)#privilege exec level 2 show interface e0/0
WYLZ-R1(config)#privilege exec level 2 show ip int bri
WYLZ-R1(config)#privilege exec level 2 show cdp nei
WYLZ-R1(config)#privilege exec level 2 ping
WYLZ-R1(config)#privilege exec level 2 traceroute
上面是设置用户登录后可以执行的命令
WYLZ-R1(config)#username user01 privilege 2 password cisco123
将用户与权限级别进行关联。
测试后如下所示：
WYLZ-R2#telnet 172.16.12.1
Trying 172.16.12.1 ... Open

User Access Verification

Username: user01
Password:
WYLZ-R1#sh run        //不可以执行show run命令，没有权限。
            ^
% Invalid input detected at '^' marker.

WYLZ-R1#conf t         //不可以执行conf t命令，同样没有权限。
           ^
% Invalid input detected at '^' marker.

WYLZ-R1#sh ip int bri
Interface                  IP-Address      OK? Method Status                Protocol
Ethernet0/0                172.16.12.1     YES manual up                    up     
Ethernet0/1                unassigned      YES NVRAM  administratively down down   
Ethernet0/2                unassigned      YES NVRAM  administratively down down   
Ethernet0/3                unassigned      YES NVRAM  administratively down down   
Ethernet1/0                unassigned      YES NVRAM  administratively down down   
Ethernet1/1                unassigned      YES NVRAM  administratively down down   
Ethernet1/2                unassigned      YES NVRAM  administratively down down   
Ethernet1/3                unassigned      YES NVRAM  administratively down down   
Serial2/0                  unassigned      YES NVRAM  administratively down down   
Serial2/1                  unassigned      YES NVRAM  administratively down down   
Serial2/2                  unassigned      YES NVRAM  administratively down down   
精确细致地为不同用户赋予不同的权限，可以有效地保护网络的安全。

为太原等地区用户提供了全套网页设计制作服务，及太原网站建设行业解决方案。主营业务为成都网站设计、成都做网站、太原网站设计，以传统方式定制建设网站，并提供域名空间备案等一条龙服务，秉承以专业、用心的态度为用户提供真诚的服务。我们深信只要达到每一位用户的要求，就会得到认可，从而选择与我们长期合作。这样，我们也可以走得更远！