cisco路由器優(yōu)化[5]

  十三、配置自動加載

  Cisco路由器啟動時，在出現(xiàn)CLI提示符之前，將經(jīng)歷幾個測試階段、發(fā)現(xiàn)Cisco IOS和配置文件。路由器啟動時，通常會經(jīng)過以下5個步驟：*加載并執(zhí)行POST，發(fā)現(xiàn)ROM，測試硬件組件，如閃存和接口；*加載并執(zhí)行引導自舉程序；*引導自舉程序發(fā)現(xiàn)并加載Cisco IOS映像文件。這些映像文件可以來自閃存、TFTP服務器或者閃存；*加載了Cisco IOS之后，發(fā)現(xiàn)并執(zhí)行一個配置文件：配置文件儲存在NVRAM中，但如果NVRAM是空的，系統(tǒng)配置對話框開始，或者路由器使用TFTP來獲取一個配置文件；*給用戶CLI EXEC提示符。

  在發(fā)現(xiàn)一個Cisco IOS文件時，假定在NVRAM中沒有boot system命令，路由器首先在閃存中尋找有效的Cisco IOS映像文件。如果閃存中沒有IOS映像文件，路由器執(zhí)行TFTP啟動，或者網(wǎng)絡啟動；發(fā)送本地廣播請求從TFTP服務器上獲取操作系統(tǒng)文件。如果這個過程也失敗了，路由器從內存中加載IOS映像文件。

  因為啟動過程中用到TFTP，而對加載過程沒有安全保護。所以，不應該允許路由器使用該功能。要阻止該功能，使用下面的配置：

  Router（config）#no boot network remote-url-ftp：
  [[[//[username：[：password]@]location]/directory]/filename]-rcp：
  [[[//[username@]/location]/directory]/filename]-tftp：
  [[[//location]/directory]/filename

  加載了IOS映像之后，開始發(fā)現(xiàn)一個配置文件。如果在NVRAM中沒有配置文件，路由器會使用系統(tǒng)配置對話框來建立配置文件，或使用網(wǎng)路配置選項：使用TFTP廣播來發(fā)現(xiàn)配置文件。所以，應該使用以下的命令關閉該特性：Router（config）#no service config

  十四、關閉無根據(jù)ARP

  大多數(shù)Cisco路由器（缺省情況下）都會向外發(fā)送無根據(jù)的ARP消息，無論客戶端何時連接并基于PPP連接協(xié)商一個IP地址。ARP毒害攻擊主要利用的就是這種ARP消息。

  即使客戶端從一個本地地址池收到地址，Cisco路由器也會生成一個無根據(jù)的ARP傳送。

  禁止無根據(jù)ARP傳送，使用下面的命令：Router（config）#no ip gratuitous-arps

  十五、關閉IP無類別路由選擇服務

  路由器可能會收到一些發(fā)往一個沒有網(wǎng)絡缺省路由的子網(wǎng)的數(shù)據(jù)包，如果啟用了IP無類別服務時，會將這些數(shù)據(jù)包轉發(fā)給最有可能路由的超網(wǎng)。

  要關閉IP無類別路由選擇，在全局配置模式下使用no ip classless命令。

[1]  [2]  [3]  [4]  [5]