1.4.2 路由器的加密配置

網絡拓撲圖如圖1-1所示，要求完成路由器R1的Console口加密和保護特權執行模式的配置。

1. Console口的加密配置

網絡設備的Console口必須配置密碼作為最低限度的安全措施。本項目是在完成了路由器Console口登錄的基礎上進行配置的。

步驟1：在路由器R1的全局配置模式下配置Console口加密，輸入以下代碼。

R1(config)#line console 0
R1(config-line)#password cisco
R1(config-line)#login

步驟2：輸入三個exit從路由器的當前模式退出，出現圖1-6所示的提示。

R1(config-line)#exit
R1(config)#exit
R1#exit

圖1-6　Console口加密

步驟3：輸入密碼cisco，進入用戶執行模式。

2. 保護特權執行模式的配置

保護特權執行模式用的是使能密碼或者使能加密密碼。

步驟1：在路由器R1的全局配置模式下完成使能密碼的配置，輸入以下代碼。

R1(config)#enable password cisco

步驟2：在路由器R1的全局配置模式下輸入以下代碼，從全局配置模式返回用戶執行模式。

R1(config)#exit
R1#disable
R1>

路由器完成使能密碼配置后，從用戶執行模式進入特權執行模式時，會提示輸入密碼，如圖1-7所示。

圖1-7　從用戶執行模式進入特權執行模式時提示輸入密碼

步驟3：根據路由器的提示，輸入使能密碼cisco，進入特權執行模式，如圖1-8所示。

圖1-8　輸入使能密碼

步驟4：在路由器R1的全局配置模式下完成使能加密密碼的配置，輸入以下代碼。

R1(config)#enable secret cisco1

然后重復完成步驟2和步驟3，當從用戶執行模式進入特權執行模式提示輸入密碼時，輸入cisco無法進入，輸入cisco1可以進入。

步驟5：在路由器R1的特權執行模式下，輸入show run | begin enable命令查看運行配置文件，如圖1-9所示（在實際設備中，配置命令可以簡寫，如show可簡寫為sh）。

圖1-9　運行配置文件

步驟6：在路由器R1的全局配置模式下，使路由器R1以明文方式顯示的密碼變成密文方式，輸入以下代碼。

R1(config)#service password-encryption

通過路由器R1從用戶執行模式進入特權執行模式輸入的密碼和查看路由器的運行配置文件，可以發現，當一臺路由器同時配置了使能密碼和使能加密密碼時，使能加密密碼會起作用；在運行配置文件中，使能密碼是以明文方式顯示的，使能加密密碼是以密文方式顯示的，使能加密密碼安全性更好。