我們大家使用的多數思科路由器產品的telnet登錄的遠程端口號都是23,一些攻擊者可以利用這個端口號來入侵。所以為安全起見,修改默認端口號并阻塞23號端口是提高安全性絕對不能忽視的,下面講解給VTY接口配置密碼、修改telnet端口號和阻塞23號端口的4個步驟:

第一步:給VTY接口配置密碼

Router(config)#line vty 0 X ## 其中X根據不同的型號數字而不同

Router(config-line)#password Telnet的密碼 ##設置Telnet的密碼

Router(config-line)#login ##啟用密碼驗證

第二步:修改telnet端口

Router(config-line)#rotary N ##這里N表示數字(在Cisco3500上范圍為 ,修改以后的端口以3000為基數再加上N即可,例如N=2,則可用于登陸的telnet端口就是3002)

第三步:阻塞默認23端口

1)設置一個擴展訪問列表

Router(config)#access-list 101 deny tcp any any eq 23

Router(config)#access-list 101 permit ip any any

當然,如果想限制Telnet到路由器上IP范圍,可以將access-list 101 permit ip any any 修改為:

access-list 101 permit ip A.B.C.D E.F.G.H I.J.K.L W.X.Y.Z

其中: A.B.C.D Source address(源地址);

E.F.G.H Source wildcard bits(源地址的反掩碼);

I.J.K.L Destination address(目標地址);

W.X.Y.Z Destination wildcard bits(目標地址的反掩碼);

2)將訪問列表應用在VTY接口上

Router(config-line)# line vty 0 X

Router(config-line)#access-class 101 in

第四步:測試

telnet 路由器IP 3002