cisco路由器優(yōu)化[4]

  十、BootP

  BootP是一個UDP服務(wù)，可以用來給一臺無盤工作站指定地址信息，以及在很多其他情況下，在設(shè)備上加載操作系統(tǒng)（用它來訪問另一個運行有BOOTP服務(wù)的路由器上的IOS拷貝，將IOS下載到BOOTP客戶端路由器上）。

  該協(xié)議發(fā)送一個本地廣播到UDP端口67（和DHCP相同）。要實現(xiàn)這種應(yīng)用，必須配置一個BootP服務(wù)器來指定IP地址信息以及任何被請求的文件。

  Cisco路由器能作為一臺BootP服務(wù)器，給請求的設(shè)備提供閃存中的文件，因為以下3個原因，應(yīng)該在路由器閃關(guān)閉BootP：*不再有使用BootP的真正需求；*BootP沒固有的認證機制。任何人都能從路由器請求文件，無論配置了什么，路由器都將作出回復(fù)；*易受DoS攻擊。

  默認地，該服務(wù)是啟用的。要關(guān)閉BootP，使用下面的配置：Router（config）#no ip bootp server

  十一、DHCP

  DHCP允許從服務(wù)器獲取所有的IP地址信息，包括IP地址、子網(wǎng)掩碼、域名、DNS服務(wù)器地址、WINS服務(wù)器地址哈、TFTP服務(wù)器地址和其他信息。Cisco路由器既能作為DHCP客戶端，也能作為服務(wù)器。

  在將Cisco路由器作為邊界路由器時，應(yīng)該設(shè)置該路由器為DHCP客戶端的情形是，如果是通過DSL和線纜調(diào)制解調(diào)器連接到ISP，而ISP使用DHCP指定地址信息。否則，決不要將路由器設(shè)置為DHCP客戶端。

  同樣地，應(yīng)該設(shè)置路由器為一臺DHCP服務(wù)器地情形是，當(dāng)在一個SOHO環(huán)境中使用路由器，在這種小型的網(wǎng)絡(luò)中基本上這臺路由器是可以給PC指定地址的設(shè)備。如果這樣做，確保在路由器外部接口上過濾UDP端口67，這將阻止來自外部的DHCP和BootP請求。

  一般DHCP服務(wù)器是默認打開的。使用下面的配置關(guān)閉：Router（config）#no service dhcp這阻止路由器成為一臺DHCP服務(wù)器或者中繼代理。

  十二、PAD

  數(shù)據(jù)包組合/分拆（packet assembler/disassembler，PAD）用在X.25網(wǎng)絡(luò)上。以提供遠程站點間的可靠連接。

  PAD能給黑客提供有用的功能。假設(shè)黑客能獲得直接連接在路由器上的設(shè)備的控制權(quán)，而如果路由器在運行PAD服務(wù)，它將接受任何PAD連接。

  要關(guān)閉這個服務(wù)，使用下面的命令：Router（config）#no service pad

[1]  [2]  [3]  [4]  [5]