可以将网络设备设置为HTTPS服务,让交换机和路由器作为认证服务器,从而提高网络传输的安全性,步骤如下。
第1步,查看HTTP服务状态。如果网络设备支持安全HTTP服务,将显示信息"HTTP secure server capability: Present"或"HTTP secure server capability: Not present"。
Cisco# show ip http server status |
第2步,进入全局配置模式。
Cisco# configure terminal |
第3步,启用安全HTTPS服务。默认状态下,HTTPS服务是被启用的。
Cisco(config)# ip http secure-server |
第4步,(可选)指定HTTPS服务的端口号。默认端口号为443,有效取值范围为1025 ~ 65535。建议采用系统默认值443。
Cisco(config)# ip http secure-port port-number |
第5步,(可选)为HTTPS连接指定CipherSuites加密算法。如果不指定加密算法,HTTPS服务器与客户端将协商所采用的算法。默认为不指定加密算法。
Cisco(config)# ip http secure-ciphersuite {[3des-ede-cbc-sha] [rc4-128-md5] [rc4-128- sha] [des-cbc-sha]} |
第6步,(可选)在连接处理期间,配置HTTP服务从客户端请求X.509v3证书。默认情况下,客户端将从服务器请求证书,但是,服务器不会尝试从客户端获取证书。
Cisco(config)# ip http secure-client-auth |
第7步,指定CA信任点(Trustpoint)使用得到的X.509v3证书认证客户端连接。
Cisco(config)# ip http secure-trustpoint name |
第8步,(可选)为HTTP服务指定主目录。该路径通常位于网络设备本地的Flash闪存中。
Cisco(config)# ip http path path-name |
第9步,(可选)指定一个允许访问HTTP服务的访问列表。
Cisco(config)# ip http access-class access-list-number |
第10步,(可选)设置访问HTTP服务的并发最大数。取值范围为1 ~16,默认值为5。如果网络内只有一个网络管理员,那么,该值不妨设置为1。
Cisco(config)# ip http max-connections value |
第11步,(可选)指定在几种情形下,能够与HTTP服务保持多长时间的连接。idle用于指定在没有数据发送和接收时所允许连接的最长时间,取值范围为1秒~600秒,默认值为180秒。life用于指定所允许的连接持续的最长时间,取值范围为1秒~86 400秒,默认值为180秒。requests用于指定在一个连接上所允许的请求处理最大数,最大值为86 400,默认值为1。从安全的角度考虑,idle取值应当在120秒~180秒,life取值应当在180秒~300秒,requests取值为1。
Cisco(config)# ip http timeout-policy idle seconds life seconds requests value |
第12步,返回特权模式。
Cisco(config)# end |
第13步,保存修改后的配置。
Cisco# copy running-config startup-config |