本文旨在帮助网络管理员在 SD-WAN 环境中实现安全、稳定的用户接入与认证策略，涵盖本地/远程认证、权限管理、密码策略、SSH、会话控制等关键配置要素。

---

1.密码策略与账户安全

从 IOS XE SD-WAN 17.3.1 起，Cisco 引入密码强化功能，用于统一用户密码的复杂度与有效性要求。密码策略可设置为“中等”或“高级”，确保用户口令具备强度要求，并有效防止弱口令攻击。

管理员可以配置以下密码属性：

• 密码长度：最小 8 字符，最大 32 字符；

• 必须包含大写字母、小写字母和数字；

• 可设置密码有效期、历史重复检查次数；

• 密码错误尝试次数限制；

• 登录失败后自动锁定时间与自动解锁策略。

结合本地或远程用户数据库，设备支持统一的账户锁定机制。管理员可以设置某个账户在指定时间段内最多允许失败登录次数，超出后即锁定账户，防止暴力破解攻击。

此类密码策略建议统一通过 vManage 系统模板或 CLI 配置模板进行集中下发，以确保策略一致性和覆盖性。

---

2.本地用户与权限组管理

在小规模或独立场景中，设备支持使用本地用户数据库进行身份认证。通过 CLI 可添加如下命令创建本地用户：

username admin privilege 15 secret MyStrongPassword123

vManage 中也提供图形化管理方式，路径为：Administration → Manage Users，管理员可直