【9】用户接入与认证配置
本文旨在帮助网络管理员在 SD-WAN 环境中实现安全、稳定的用户接入与认证策略,涵盖本地/远程认证、权限管理、密码策略、SSH、会话控制等关键配置要素。
1.密码策略与账户安全
从 IOS XE SD-WAN 17.3.1 起,Cisco 引入密码强化功能,用于统一用户密码的复杂度与有效性要求。密码策略可设置为“中等”或“高级”,确保用户口令具备强度要求,并有效防止弱口令攻击。
管理员可以配置以下密码属性:
-
密码长度:最小 8 字符,最大 32 字符;
-
必须包含大写字母、小写字母和数字;
-
可设置密码有效期、历史重复检查次数;
-
密码错误尝试次数限制;
-
登录失败后自动锁定时间与自动解锁策略。
结合本地或远程用户数据库,设备支持统一的账户锁定机制。管理员可以设置某个账户在指定时间段内最多允许失败登录次数,超出后即锁定账户,防止暴力破解攻击。
此类密码策略建议统一通过 vManage 系统模板或 CLI 配置模板进行集中下发,以确保策略一致性和覆盖性。
2.本地用户与权限组管理
在小规模或独立场景中,设备支持使用本地用户数据库进行身份认证。通过 CLI 可添加如下命令创建本地用户:
username admin privilege 15 secret MyStrongPassword123
vManage 中也提供图形化管理方式,路径为:Administration → Manage Users,管理员可直