在日常运维中,交换机管理平面的安全往往容易被忽视。很多网络虽然内部业务隔离做得很好,但设备自身的登录防线却形同虚设。今天,我们就以锐捷交换机为例,聊聊如何通过配置AAA(认证、授权、计费)功能,结合SSH和ACL访问控制,打造一套坚不可摧的登录安全策略。
一、 开启AAA并配置本地防暴力破解策略
在锐捷交换机中,所有的登录认证策略都依赖于AAA框架。首先,我们需要进入全局配置模式,开启AAA新模型,并创建具有高强度密码的本地管理员账号。
Ruijie> enable
Ruijie# config terminal
Ruijie(config)# aaa new-model
Ruijie(config)# username sysadmin password Ruijie@2026!@
账号创建完毕后,配置防暴力破解机制。通过限制登录尝试次数和锁定时间,我们可以有效抵御自动化脚本的密码猜测攻击。
Ruijie(config)# aaa authentication login default local
Ruijie(config)# aaa local authentication attempts 5
Ruijie(config)# aaa local authentication lockout-time 1
配置解析:
aaa authentication login default local:创建名为default的登录认证列表,优先调用本地账号进行认证。aaa local authentication attempts 5:设置登录失败锁定阈值。当用户输入了正确的用户名但连续5次输错密码时,系统将触发锁定机制。aaa local authentication lockout-time 1:配置锁定时间为1分钟。需要注意的是,不同型号的锐捷设备时间单位可能有所不同(如分钟或秒),建议在配置时输入aaa local authentication lockout-time ?查看具体单位。锁定期间,该账号将无法登录,但不影响其他正常账号的使用。
二、 强化VTY线路:仅允许SSH与ACL访问控制
为了防止Telnet明文传输带来的密码泄露风险,我们需要在VTY(虚拟终端)线路上强制使用SSH协议,并结合ACL(访问控制列表)限制仅允许指定的管理网段登录。
Ruijie(config)# access-list 2010 permit 192.168.1.0 0.0.0.255
Ruijie(config)# line vty 0 5
Ruijie(config-line)# transport input ssh
Ruijie(config-line)# access-class 2010 in
Ruijie(config-line)# exec-timeout 90 0
Ruijie(config-line)# login authentication default
配置解析:
transport input ssh:强制VTY线路仅接受SSH连接,彻底关闭不安全的Telnet服务。access-class 2010 in:调用标准ACL 2010,仅允许192.168.1.0/24网段的主机发起登录请求,从源头上阻断外部非法访问。exec-timeout 90 0:设置会话空闲超时时间为90分钟(0秒)。如果管理员登录后长时间无操作,系统将自动断开连接,防止因忘记退出而导致的会话劫持风险。login authentication default:在该VTY线路上应用我们之前创建的default认证列表,使AAA防暴力破解策略正式生效。
三、 运维小Tips
- 避免把自己锁在门外 :在配置
line vty和line console的login authentication之前,强烈建议先通过Telnet或SSH测试AAA本地认证是否生效。确认无误后,再应用到Console口,防止因配置失误导致设备彻底失联。 - 密码强度要求:锐捷设备对密码复杂度有一定要求,建议密码中必须包含大小写字母、数字和特殊字符的组合,且长度不少于8位。
- 保存配置 :安全策略配置完成后,务必执行
write或end后copy running-config startup-config,确保重启后策略依然生效。
通过上述配置,我们的锐捷交换机不仅实现了高强度的本地密码认证,还具备了防暴力破解、协议加密和IP白名单三重防护。在网络安全的博弈中,细节决定成败,希望这套实战配置能为你的网络设备加上一把"安全锁"。