1.4.2 路由器的加密配置

网络拓扑图如图1-1所示，要求完成路由器R1的Console口加密和保护特权执行模式的配置。

1. Console口的加密配置

网络设备的Console口必须配置密码作为最低限度的安全措施。本项目是在完成了路由器Console口登录的基础上进行配置的。

步骤1：在路由器R1的全局配置模式下配置Console口加密，输入以下代码。

R1(config)#line console 0
R1(config-line)#password cisco
R1(config-line)#login

步骤2：输入三个exit从路由器的当前模式退出，出现图1-6所示的提示。

R1(config-line)#exit
R1(config)#exit
R1#exit

图1-6　Console口加密

步骤3：输入密码cisco，进入用户执行模式。

2. 保护特权执行模式的配置

保护特权执行模式用的是使能密码或者使能加密密码。

步骤1：在路由器R1的全局配置模式下完成使能密码的配置，输入以下代码。

R1(config)#enable password cisco

步骤2：在路由器R1的全局配置模式下输入以下代码，从全局配置模式返回用户执行模式。

R1(config)#exit
R1#disable
R1>

路由器完成使能密码配置后，从用户执行模式进入特权执行模式时，会提示输入密码，如图1-7所示。

图1-7　从用户执行模式进入特权执行模式时提示输入密码

步骤3：根据路由器的提示，输入使能密码cisco，进入特权执行模式，如图1-8所示。

图1-8　输入使能密码

步骤4：在路由器R1的全局配置模式下完成使能加密密码的配置，输入以下代码。

R1(config)#enable secret cisco1

然后重复完成步骤2和步骤3，当从用户执行模式进入特权执行模式提示输入密码时，输入cisco无法进入，输入cisco1可以进入。

步骤5：在路由器R1的特权执行模式下，输入show run | begin enable命令查看运行配置文件，如图1-9所示（在实际设备中，配置命令可以简写，如show可简写为sh）。

图1-9　运行配置文件

步骤6：在路由器R1的全局配置模式下，使路由器R1以明文方式显示的密码变成密文方式，输入以下代码。

R1(config)#service password-encryption

通过路由器R1从用户执行模式进入特权执行模式输入的密码和查看路由器的运行配置文件，可以发现，当一台路由器同时配置了使能密码和使能加密密码时，使能加密密码会起作用；在运行配置文件中，使能密码是以明文方式显示的，使能加密密码是以密文方式显示的，使能加密密码安全性更好。