IOS比我們相像中的要“堅強”

思科IOS自帶了很多功能，用以加強自身的安全性，但很多時候我們都忽略了，沒有正確使用。IOS比我們想象中的堅強，合理使用這些安全特性，可以增強網絡的安全。

1、限制設備的密碼長度，一般在默認情況下，我們都沒有設置。具體設置如下：
WYLZ-R1(config)#security passwords min-length 7
在這里設備密碼的最小長度是7，然后配置一個5位長度的密碼時，如下所示：
WYLZ-R1(config)#enable secret cisco
% Invalid Password length - must contain 7 to 25 characters. Password configuration failed
此時提示，無效的密碼長度，密碼長度在7到25個字符之間。

2、密碼加密策略，默認情況下telnet密碼和enable password都是明文顯示的，通過show run就完全可以看到，使用密碼策略可以將密碼加密以密文的形式顯示。具體設置如下：
WYLZ-R1(config)#do sh run | b line
line con 0
 exec-timeout 0 0
 logging synchronous
line aux 0
line vty 0 4
 password cisco123      //以明文顯示了telnet密碼
 login
 length 0
 transport input none
啟用密碼加密策略
WYLZ-R1(config)#service password-encryption
WYLZ-R1(config)#do sh run | b line
line con 0
 exec-timeout 0 0
 logging synchronous
line aux 0
line vty 0 4
 password 7 02050D4808095E731F       //密碼已經以密文的形式顯示了。
 login
 length 0
 transport input none
當然了，這種形式加密的密碼是可以破解的，所以建議telnet密碼和特權密碼不要相同。

3、為不同的用戶分配不同的權限，很多時候我們只設置一個telnet密碼和一個特權密碼，那么任何人登錄都具有完全控制權限。
WYLZ-R1(config)#privilege exec level 2 show interface e0/0
WYLZ-R1(config)#privilege exec level 2 show ip int bri
WYLZ-R1(config)#privilege exec level 2 show cdp nei
WYLZ-R1(config)#privilege exec level 2 ping
WYLZ-R1(config)#privilege exec level 2 traceroute
上面是設置用戶登錄后可以執行的命令
WYLZ-R1(config)#username user01 privilege 2 password cisco123
將用戶與權限級別進行關聯。
測試后如下所示：
WYLZ-R2#telnet 172.16.12.1
Trying 172.16.12.1 ... Open

User Access Verification

Username: user01
Password:
WYLZ-R1#sh run        //不可以執行show run命令，沒有權限。
            ^
% Invalid input detected at '^' marker.

WYLZ-R1#conf t         //不可以執行conf t命令，同樣沒有權限。
           ^
% Invalid input detected at '^' marker.

WYLZ-R1#sh ip int bri
Interface                  IP-Address      OK? Method Status                Protocol
Ethernet0/0                172.16.12.1     YES manual up                    up     
Ethernet0/1                unassigned      YES NVRAM  administratively down down   
Ethernet0/2                unassigned      YES NVRAM  administratively down down   
Ethernet0/3                unassigned      YES NVRAM  administratively down down   
Ethernet1/0                unassigned      YES NVRAM  administratively down down   
Ethernet1/1                unassigned      YES NVRAM  administratively down down   
Ethernet1/2                unassigned      YES NVRAM  administratively down down   
Ethernet1/3                unassigned      YES NVRAM  administratively down down   
Serial2/0                  unassigned      YES NVRAM  administratively down down   
Serial2/1                  unassigned      YES NVRAM  administratively down down   
Serial2/2                  unassigned      YES NVRAM  administratively down down   
精確細致地為不同用戶賦予不同的權限，可以有效地保護網絡的安全。