cisco路由器優(yōu)化[4]

  十、BootP

  BootP是一個UDP服務，可以用來給一臺無盤工作站指定地址信息，以及在很多其他情況下，在設備上加載操作系統(tǒng)（用它來訪問另一個運行有BOOTP服務的路由器上的IOS拷貝，將IOS下載到BOOTP客戶端路由器上）。

  該協(xié)議發(fā)送一個本地廣播到UDP端口67（和DHCP相同）。要實現(xiàn)這種應用，必須配置一個BootP服務器來指定IP地址信息以及任何被請求的文件。

  Cisco路由器能作為一臺BootP服務器，給請求的設備提供閃存中的文件，因為以下3個原因，應該在路由器閃關閉BootP：*不再有使用BootP的真正需求；*BootP沒固有的認證機制。任何人都能從路由器請求文件，無論配置了什么，路由器都將作出回復；*易受DoS攻擊。

  默認地，該服務是啟用的。要關閉BootP，使用下面的配置：Router（config）#no ip bootp server

  十一、DHCP

  DHCP允許從服務器獲取所有的IP地址信息，包括IP地址、子網掩碼、域名、DNS服務器地址、WINS服務器地址哈、TFTP服務器地址和其他信息。Cisco路由器既能作為DHCP客戶端，也能作為服務器。

  在將Cisco路由器作為邊界路由器時，應該設置該路由器為DHCP客戶端的情形是，如果是通過DSL和線纜調制解調器連接到ISP，而ISP使用DHCP指定地址信息。否則，決不要將路由器設置為DHCP客戶端。

  同樣地，應該設置路由器為一臺DHCP服務器地情形是，當在一個SOHO環(huán)境中使用路由器，在這種小型的網絡中基本上這臺路由器是可以給PC指定地址的設備。如果這樣做，確保在路由器外部接口上過濾UDP端口67，這將阻止來自外部的DHCP和BootP請求。

  一般DHCP服務器是默認打開的。使用下面的配置關閉：Router（config）#no service dhcp這阻止路由器成為一臺DHCP服務器或者中繼代理。

  十二、PAD

  數(shù)據包組合/分拆（packet assembler/disassembler，PAD）用在X.25網絡上。以提供遠程站點間的可靠連接。

  PAD能給黑客提供有用的功能。假設黑客能獲得直接連接在路由器上的設備的控制權，而如果路由器在運行PAD服務，它將接受任何PAD連接。

  要關閉這個服務，使用下面的命令：Router（config）#no service pad

[1]  [2]  [3]  [4]  [5]