cisco路由器優(yōu)化[3]

  八、SNMP

  SNMP可以用來遠(yuǎn)程監(jiān)控和管理Cisco設(shè)備。然而，SNMP存在很多安全問題，特別是SNMP v1和v2中。要關(guān)閉SNMP服務(wù)，需要完成以下三件事：

  *從路由器配置中刪除默認(rèn)的團(tuán)體字符串；

  *關(guān)閉SNMP陷阱和系統(tǒng)關(guān)機(jī)特征；

  *關(guān)閉SNMP服務(wù)。

  要查看是否配置了SNMP命令，執(zhí)行show running-config命令。

  下面顯示了用來完全關(guān)閉SNMP的配置：Router（config）#no snmp-server community public RORouter（config）#no snmp-server community private RWRouter（config）#no snmp-server enable trapsRouter（config）#no snmp-server system-shutdownRouter（config）#no snmp-server trap-authRouter（config）#no snmp-server

  前兩個(gè)命令刪除了只讀和讀寫團(tuán)體字符串（團(tuán)體字符串可能不一樣）。接下來三個(gè)命令關(guān)閉SNMP陷阱、系統(tǒng)關(guān)機(jī)和通過SNMP的認(rèn)證陷阱。最后在路由器上關(guān)閉SNMP服務(wù)。關(guān)閉SNMP服務(wù)之后，使用show snmp命令驗(yàn)證。

  九、域名解析

  缺省情況下，Cisco路由器DNS服務(wù)會(huì)向255.255.255.255廣播地址發(fā)送名字查詢。應(yīng)該避免使用這個(gè)廣播地址，因?yàn)楣粽呖赡軙?huì)借機(jī)偽裝成一個(gè)DNS服務(wù)器。

  如果路由器使用DNS來解析名稱，會(huì)在配置中看到類似的命令：Router（config）#hostname santaRouter（config）#ip domain-name claus.govRouter（config）#ip name-server 200.1.1.1 202.1.1.1Router（config）#ip domain-lookup

  可以使用show hosts命令來查看已經(jīng)解析的名稱。

  因?yàn)镈NS沒有固有的安全機(jī)制，易受到會(huì)話攻擊，在目的DNS服務(wù)器響應(yīng)之前，黑客先發(fā)送一個(gè)偽造的回復(fù)。如果路由器得到兩個(gè)回復(fù)，通常忽略第二個(gè)回復(fù)。

  解決這個(gè)問題，要么確保路由器有一個(gè)到DNS服務(wù)器的安全路徑，要么不要使用DNS，而使用手動(dòng)解析。使用手動(dòng)解析，可以關(guān)閉DNS，然后使用ip host命令靜態(tài)定義主機(jī)名。如果想阻止路由器產(chǎn)生DNS查詢，要么配置一個(gè)具體的DNS服務(wù)器（ip name-server），要么將這些查詢作為本地廣播（當(dāng)DNS服務(wù)器沒有被配置時(shí)），使用下面的配置：Router#telnetwww.quizware.com80  （測(cè)試）Router（config）#no ip domain-lookupRouter#telnetwww.cisco.com80

[1]  [2]  [3]  [4]  [5]