當談到配置一臺新的Cisco路由器,多數配置依賴于路由器的類型以及它將服務的用途。然而,每位管理員都有其自己的“正確”配置每臺路由器的命令列表。筆者將和你分享他自己配置路由器的十條命令列表。
當談到配置一臺新的Cisco路由器,多數配置依賴于路由器的類型以及它將服務的用途。然而,有一些東西是你在每臺新的Cisco路由器上都應該配置的。
有哪個命令的標準是你希望思科在每臺路由器上都使用的嗎?每位管理員都其自己的“正確”配置每臺路由器的命令。
這是我認為你應該在每臺路由器上都配置的十條命令的列表(沒有特別的順序)。
在路由器上配置一個登錄帳戶
我強烈建議在路由器和交換機上配置一個真實的用戶名和口令帳號。這樣做,意味著你需要用戶和口令來獲得訪問權。
除此之外,我建議為用戶名使用一個秘密口令,而不僅有一個常規口令。它用MD5加密方法來加密口令,并且大大提高了安全性。舉例如下:
Router(config)# username root secret My$Password
在配置了用戶名后,你必須啟用使用該用戶名的端口。舉例如下: Router(config)# line con 0
Router(config-line)# login local Router(config)# line aux 0 Router(config-line)# login local Router(config)# line vty 0 4 Router(config-line)# login local |
在路由器上設置一個主機名
我猜測路由器上缺省的主機名是router。你可以保留這個缺省值,路由器同樣可以正常運行。然而,對路由器重新命名并唯一地標識它才有意 義。舉例如下:
Router(config)# hostname Router-Branch-23
除此之外,你可以在路由器上配置一個域名,這樣它就知道所處哪個DNS域中。舉例如下:
Router-Branch-23(config)# ip domain name TechRepublic.com
為進入特權模式設置口令
當談到設置進入特權模式的口令時,許多人想到使用enable password命令。然而,代替使用這個命令,我強烈推薦使用enable secret命令。
這個命令用MD5加密方法加密口令,所以提示符不以明文顯示。舉例如下:
Router(config)# enable secret My$Password
加密路由器口令
Cisco路由器缺省情況下在配置中不加密口令。然而,你可以很容易地改變這一點。舉例如下:
Router(config)# service password-encryption
禁用Web服務
Cisco路由器還在缺省情況下啟用了Web服務,它是一個安全風險。如果你不打算使用它,最好將它關閉。舉例如下:
Router(config)# no ip http server
配置DNS,或禁用DNS查找
讓我們討論Cisco路由器中我個人認為的一個小毛病:缺省情況下,如果在特權模式下誤輸入了一個命令,路由器認為你試圖Telnet到一個遠程 主機。然而它對你輸入的內容卻執行DNS查找。
如果你沒有在路由器上配置DNS,命令提示符將掛起直到DNS查找失敗。由于這個原因,我建議使用下面兩個方法中的一個。
一個選擇是禁用DNS。做法是:
Router(config)# no ip domain-lookup
或者,你可以正確地配置DNS指向一臺真實的DNS服務器。
Router(config)# ip name-server
當談到配置一臺新的Cisco路由器,多數配置依賴于路由器的類型以及它將服務的用途。然而,每位管理員都有其自己的“正確”配置每臺路由器的命令列表。筆者將和你分享他自己配置路由器的十條命令列表。
當談到配置一臺新的Cisco路由器,多數配置依賴于路由器的類型以及它將服務的用途。然而,有一些東西是你在每臺新的Cisco路由器上都應該配置的。
有哪個命令的標準是你希望思科在每臺路由器上都使用的嗎?每位管理員都其自己的“正確”配置每臺路由器的命令。
這是我認為你應該在每臺路由器上都配置的十條命令的列表(沒有特別的順序)。
在路由器上配置一個登錄帳戶
我強烈建議在路由器和交換機上配置一個真實的用戶名和口令帳號。這樣做,意味著你需要用戶和口令來獲得訪問權。
除此之外,我建議為用戶名使用一個秘密口令,而不僅有一個常規口令。它用MD5加密方法來加密口令,并且大大提高了安全性。舉例如下:
Router(config)# username root secret My$Password
在配置了用戶名后,你必須啟用使用該用戶名的端口。舉例如下: Router(config)# line con 0
Router(config-line)# login local Router(config)# line aux 0 Router(config-line)# login local Router(config)# line vty 0 4 Router(config-line)# login local |
在路由器上設置一個主機名
我猜測路由器上缺省的主機名是router。你可以保留這個缺省值,路由器同樣可以正常運行。然而,對路由器重新命名并唯一地標識它才有意 義。舉例如下:
Router(config)# hostname Router-Branch-23
除此之外,你可以在路由器上配置一個域名,這樣它就知道所處哪個DNS域中。舉例如下:
Router-Branch-23(config)# ip domain name TechRepublic.com
為進入特權模式設置口令
當談到設置進入特權模式的口令時,許多人想到使用enable password命令。然而,代替使用這個命令,我強烈推薦使用enable secret命令。
這個命令用MD5加密方法加密口令,所以提示符不以明文顯示。舉例如下:
Router(config)# enable secret My$Password
加密路由器口令
Cisco路由器缺省情況下在配置中不加密口令。然而,你可以很容易地改變這一點。舉例如下:
Router(config)# service password-encryption
禁用Web服務
Cisco路由器還在缺省情況下啟用了Web服務,它是一個安全風險。如果你不打算使用它,最好將它關閉。舉例如下:
Router(config)# no ip http server
配置DNS,或禁用DNS查找
讓我們討論Cisco路由器中我個人認為的一個小毛病:缺省情況下,如果在特權模式下誤輸入了一個命令,路由器認為你試圖Telnet到一個遠程 主機。然而它對你輸入的內容卻執行DNS查找。
如果你沒有在路由器上配置DNS,命令提示符將掛起直到DNS查找失敗。由于這個原因,我建議使用下面兩個方法中的一個。
一個選擇是禁用DNS。做法是:
Router(config)# no ip domain-lookup
或者,你可以正確地配置DNS指向一臺真實的DNS服務器。
Router(config)# ip name-server
(責任編輯: 51CTO.com TEL:010-68476606)
