今天上午，南通的路由器被國際友人從四面八方過來登死了。。。

我們現在就來做一些配置，規避這樣的問題。

當有明確IP時或針對特定地址限制服務訪問時，可以在

相應得介面下掛一個in方向的access-group 。

當IP不那麼明確，誰都有可能來的時候，access-group就不那麼

好用了。可以利用登陸禁止（又稱安靜模式）來禁止這些

沒事就亂登陸的人。

conf t

login block-for 300 attempts 2 within 20

#在20秒內，如果有2次錯誤登陸，就讓裝置禁止所有人登陸300秒

#時間和次數需要在後續通過login failure來調整，已達到最好效果。

預設情況是：所有人~ ，裝置會自動呼叫一個 隱藏 的ACL

sl_def_acl （可通過show access-l sl_def_acl檢視)

 一旦進入了這種模式，只有console可以登陸。

這是一個全殺的方法，正常的管理登陸也會被誤傷，所以還得

開一個小的白名單，允許正常管理登陸。

access-l 111 per ip 10.21.0.0 0.0.0.255 any

login quiet-mode access-class 111

使用acl 111替換掉預設的sl_def_acl，保證既是在裝置進入安靜模式

時，正常的管理者仍然可以登陸裝置。

通過show login failure 可以看到嘗試登陸人的ＩＰ地址：

Total failed logins: 13
Detailed information about last 50 failures

Username        SourceIPAddr    lPort Count TimeStamp
admin           176.215.49.0    23    1     11:26:26 CHN Fri Oct 30 2015
admin           179.219.248.79  23    1     11:27:43 CHN Fri Oct 30 2015
admin           178.119.2.100   23    1     11:29:11 CHN Fri Oct 30 2015
admin           213.56.167.42   23    1     11:30:49 CHN Fri Oct 30 2015
admin           125.76.185.109  23    1     11:32:14 CHN Fri Oct 30 2015
sailing         125.212.225.76  22    4     11:36:17 CHN Fri Oct 30 2015