cisco路由器優(yōu)化[5]

  十三、配置自動(dòng)加載

  Cisco路由器啟動(dòng)時(shí)，在出現(xiàn)CLI提示符之前，將經(jīng)歷幾個(gè)測(cè)試階段、發(fā)現(xiàn)Cisco IOS和配置文件。路由器啟動(dòng)時(shí)，通常會(huì)經(jīng)過(guò)以下5個(gè)步驟：*加載并執(zhí)行POST，發(fā)現(xiàn)ROM，測(cè)試硬件組件，如閃存和接口；*加載并執(zhí)行引導(dǎo)自舉程序；*引導(dǎo)自舉程序發(fā)現(xiàn)并加載Cisco IOS映像文件。這些映像文件可以來(lái)自閃存、TFTP服務(wù)器或者閃存；*加載了Cisco IOS之后，發(fā)現(xiàn)并執(zhí)行一個(gè)配置文件：配置文件儲(chǔ)存在NVRAM中，但如果NVRAM是空的，系統(tǒng)配置對(duì)話框開(kāi)始，或者路由器使用TFTP來(lái)獲取一個(gè)配置文件；*給用戶CLI EXEC提示符。

  在發(fā)現(xiàn)一個(gè)Cisco IOS文件時(shí)，假定在NVRAM中沒(méi)有boot system命令，路由器首先在閃存中尋找有效的Cisco IOS映像文件。如果閃存中沒(méi)有IOS映像文件，路由器執(zhí)行TFTP啟動(dòng)，或者網(wǎng)絡(luò)啟動(dòng)；發(fā)送本地廣播請(qǐng)求從TFTP服務(wù)器上獲取操作系統(tǒng)文件。如果這個(gè)過(guò)程也失敗了，路由器從內(nèi)存中加載IOS映像文件。

  因?yàn)閱?dòng)過(guò)程中用到TFTP，而對(duì)加載過(guò)程沒(méi)有安全保護(hù)。所以，不應(yīng)該允許路由器使用該功能。要阻止該功能，使用下面的配置：

  Router（config）#no boot network remote-url-ftp：
  [[[//[username：[：password]@]location]/directory]/filename]-rcp：
  [[[//[username@]/location]/directory]/filename]-tftp：
  [[[//location]/directory]/filename

  加載了IOS映像之后，開(kāi)始發(fā)現(xiàn)一個(gè)配置文件。如果在NVRAM中沒(méi)有配置文件，路由器會(huì)使用系統(tǒng)配置對(duì)話框來(lái)建立配置文件，或使用網(wǎng)路配置選項(xiàng)：使用TFTP廣播來(lái)發(fā)現(xiàn)配置文件。所以，應(yīng)該使用以下的命令關(guān)閉該特性：Router（config）#no service config

  十四、關(guān)閉無(wú)根據(jù)ARP

  大多數(shù)Cisco路由器（缺省情況下）都會(huì)向外發(fā)送無(wú)根據(jù)的ARP消息，無(wú)論客戶端何時(shí)連接并基于PPP連接協(xié)商一個(gè)IP地址。ARP毒害攻擊主要利用的就是這種ARP消息。

  即使客戶端從一個(gè)本地地址池收到地址，Cisco路由器也會(huì)生成一個(gè)無(wú)根據(jù)的ARP傳送。

  禁止無(wú)根據(jù)ARP傳送，使用下面的命令：Router（config）#no ip gratuitous-arps

  十五、關(guān)閉IP無(wú)類(lèi)別路由選擇服務(wù)

  路由器可能會(huì)收到一些發(fā)往一個(gè)沒(méi)有網(wǎng)絡(luò)缺省路由的子網(wǎng)的數(shù)據(jù)包，如果啟用了IP無(wú)類(lèi)別服務(wù)時(shí)，會(huì)將這些數(shù)據(jù)包轉(zhuǎn)發(fā)給最有可能路由的超網(wǎng)。

  要關(guān)閉IP無(wú)類(lèi)別路由選擇，在全局配置模式下使用no ip classless命令。

[1]  [2]  [3]  [4]  [5]