ong>　　二宗罪：密码同一化

　　还有一些网络管理员认为记忆多了密码容易混淆，所以在配置路由交换设备时使用了和自己管理的服务器一样的密码，实际上这也是不安全的，密码同一化会大大提高网络设备被攻击的可能，毕竟设备多了难免会被攻击，一旦某个设备被入侵，那么密码同一化将造成所有设备密码的泄露。另外路由交换设备自身都提供了很多级密码，例如常规模式密码，特权模式密码，配置模式密码等，还有console口连接密码，Telnet访问密码等，我们在设置时也要对这些模式与密码区别化，不要全部设置为一样。通过不同级别的密码对不同用户进行授权，从而避免越权问题的发生。(如图3)


　　小提示：

　　默认情况下网络设备都可以利用启动期间的BREAK方式来进入到监听ROMMON模式进行口令恢复，这就存在一个安全隐患，任何人只要靠近网络设备就都可以通过控制台端口来完成重新设置密码的任务，所以我们在保证密码记忆牢靠的情况下可以关闭这个密码恢复方式，通过no service password-recovery命令完成关闭ROMMON监听模式的任务。

　　三宗罪：密码同级化

　　所谓密码同级化就是指不针对不同模式和不同配置接口分配不同的密码，管理路由器只通过唯一密码即可完成。实际上这也是错误的，毕竟平时访问和管理路由交换设备的用户不可能只有你一个，所以合理的将密码分级设置分级管理是非常重要的，适当的分配visit,monitor,system,manage等权限会让你的安全工作游刃有余，而在实际应用过程中这些密码分级化也大大提高了核心路由交换设备的安全。(如图4)



　　另外在密码管理方面还存在一个最大问题，那就是临时密码的处理，很多时候当网络出现故障后也许我们需要向厂商寻求技术支持，在这种情况下我们不应该把原来的密码直接告诉技术支持人员，通过设置一个临时密码的方式来解决远程或异地异人维护问题，在维护完毕后也要记得停止临时帐户，笔者就发现很多下属网络管理员在向我寻求帮助时直接告诉了管理员帐户，又或者即使建立了临时帐户，几个月后还能够通过该帐户登录和管理。这些都为路由交换设备带来了一定的安全隐患。

　　小提示：

　　默认情况下通过console口控制台登录路由交换设备是不需要密码的，但是为了保证安全我们还是应该为其设置一个密码，通过以下命令来完成——line console 0,login,password XXXXXX，最后再通过service password-encryption命令对设置的密码加密。