cisco路由器—BootP

BootP是一個(gè)UDP服務(wù)，可以用來給一臺(tái)無(wú)盤工作站指定地址信息，以及在很多其他情況下，在設(shè)備上加載操作系統(tǒng)（用它來訪問另一個(gè)運(yùn)行有BOOTP服務(wù)的路由器上的IOS拷貝，將IOS下載到BOOTP客戶端路由器上）。

該協(xié)議發(fā)送一個(gè)本地廣播到UDP端口67（和DHCP相同）。要實(shí)現(xiàn)這種應(yīng)用，必須配置一個(gè)BootP服務(wù)器來指定IP地址信息以及任何被請(qǐng)求的文件。

Cisco路由器能作為一臺(tái)BootP服務(wù)器，給請(qǐng)求的設(shè)備提供閃存中的文件，因?yàn)橐韵?個(gè)原因，應(yīng)該在路由器閃關(guān)閉BootP:

不再有使用BootP的真正需求；

BootP沒固有的認(rèn)證機(jī)制。任何人都能從路由器請(qǐng)求文件，無(wú)論配置了什么，路由器都將作出回復(fù)；

易受DoS攻擊；

默認(rèn)地，該服務(wù)是啟用的。要關(guān)閉BootP,使用下面的配置：

Router（config）#no ip bootp server

cisco路由器—DHCP

DHCP允許從服務(wù)器獲取所有的IP地址信息，包括IP地址、子網(wǎng)掩碼、域名、DNS服務(wù)器地址、WINS服務(wù)器地址哈、TFTP服務(wù)器地址和其他信息。Cisco路由器既能作為DHCP客戶端，也能作為服務(wù)器。

在將Cisco路由器作為邊界路由器時(shí)，應(yīng)該設(shè)置該路由器為DHCP客戶端的唯一的情形是，如果是通過DSL和線纜調(diào)制解調(diào)器連接到ISP,而ISP使用DHCP指定地址信息。否則，決不要將路由器設(shè)置為DHCP客戶端。

同樣地，應(yīng)該設(shè)置路由器為一臺(tái)DHCP服務(wù)器地唯一的情形是，當(dāng)在一個(gè)SOHO環(huán)境中使用路由器，在這種小型的網(wǎng)絡(luò)中基本上這臺(tái)路由器是可以給PC指定地址的唯一設(shè)備。如果這樣做，確保在路由器外部接口上過濾UDP端口67,這將阻止來自外部的DHCP和BootP請(qǐng)求。

一般DHCP服務(wù)器是默認(rèn)打開的。使用下面的配置關(guān)閉：Router（config）#no service dhcp這阻止路由器成為一臺(tái)DHCP服務(wù)器或者中繼代理。

數(shù)據(jù)包組合/分拆（packet assembler/disassembler,PAD）用在X.25網(wǎng)絡(luò)上。以提供遠(yuǎn)程站點(diǎn)間的可靠連接。PAD能給黑客提供有用的功能。假設(shè)黑客能獲得直接連接在路由器上的設(shè)備的控制權(quán)，而如果路由器在運(yùn)行PAD服務(wù)，它將接受任何PAD連接。要關(guān)閉這個(gè)服務(wù)，使用下面的命令：Router（config）#no service pad

cisco路由器—配置自動(dòng)加載

Cisco路由器啟動(dòng)時(shí)，在出現(xiàn)CLI提示符之前，將經(jīng)歷幾個(gè)測(cè)試階段、發(fā)現(xiàn)Cisco IOS和配置文件。路由器啟動(dòng)時(shí)，通常會(huì)經(jīng)過以下5個(gè)步驟：*加載并執(zhí)行POST,發(fā)現(xiàn)ROM,測(cè)試硬件組件，如閃存和接口；*加載并執(zhí)行引導(dǎo)自舉程序；*引導(dǎo)自舉程序發(fā)現(xiàn)并加載Cisco IOS映像文件。這些映像文件可以來自閃存、TFTP服務(wù)器或者閃存；*加載了Cisco IOS之后，發(fā)現(xiàn)并執(zhí)行一個(gè)配置文件：配置文件儲(chǔ)存在NVRAM中，但如果NVRAM是空的，系統(tǒng)配置對(duì)話框開始，或者路由器使用TFTP來獲取一個(gè)配置文件；*給用戶CLI EXEC提示符。

在發(fā)現(xiàn)一個(gè)Cisco IOS文件時(shí)，假定在NVRAM中沒有boot system命令，路由器首先在閃存中尋找有效的Cisco IOS映像文件。如果閃存中沒有IOS映像文件，路由器執(zhí)行TFTP啟動(dòng)，或者網(wǎng)絡(luò)啟動(dòng)；發(fā)送本地廣播請(qǐng)求從TFTP服務(wù)器上獲取操作系統(tǒng)文件。如果這個(gè)過程也失敗了，路由器從內(nèi)存中加載IOS映像文件。

因?yàn)閱?dòng)過程中用到TFTP,而對(duì)加載過程沒有安全保護(hù)。所以，不應(yīng)該允許路由器使用該功能。要阻止該功能，使用下面的配置：

Router（config）#no boot network remote-url-ftp:  
 
[[[//[username:[:password]@]location]/directory]/filename]-rcp:  
 
[[[//[username@]/location]/directory]/filename]-tftp:  
 
[[[//location]/directory]/filename 

加載了IOS映像之后，開始發(fā)現(xiàn)一個(gè)配置文件。如果在NVRAM中沒有配置文件，路由器會(huì)使用系統(tǒng)配置對(duì)話框來建立配置文件，或使用網(wǎng)路配置選項(xiàng)：使用TFTP廣播來發(fā)現(xiàn)配置文件。所以，應(yīng)該使用以下的命令關(guān)閉該特性：

Router（config）#no service config

cisco路由器—關(guān)閉無(wú)根據(jù)ARP

大多數(shù)Cisco路由器（缺省情況下）都會(huì)向外發(fā)送無(wú)根據(jù)的ARP消息，無(wú)論客戶端何時(shí)連接并基于PPP連接協(xié)商一個(gè)IP地址。ARP毒害攻擊主要利用的就是這種ARP消息。即使客戶端從一個(gè)本地地址池收到地址，Cisco路由器也會(huì)生成一個(gè)無(wú)根據(jù)的ARP傳送。

禁止無(wú)根據(jù)ARP傳送，使用下面的命令：Router（config）#no ip gratuitous-arps 十五、關(guān)閉IP無(wú)類別路由選擇服務(wù),路由器可能會(huì)收到一些發(fā)往一個(gè)沒有網(wǎng)絡(luò)缺省路由的子網(wǎng)的數(shù)據(jù)包，如果啟用了IP無(wú)類別服務(wù)時(shí)，會(huì)將這些數(shù)據(jù)包轉(zhuǎn)發(fā)給最有可能路由的超網(wǎng)。要關(guān)閉IP無(wú)類別路由選擇，在全局配置模式下使用no ip classless命令。

cisco路由器關(guān)閉服務(wù)的更多資源請(qǐng)讀者閱讀：

cisco路由器之關(guān)閉一些不必要的服務(wù) 上篇

cisco路由器之關(guān)閉一些不必要的服務(wù) 中篇

【編輯推薦】

1. 網(wǎng)絡(luò)命令學(xué)習(xí)基礎(chǔ)之Route
2. 思科基礎(chǔ)知識(shí)：廣域網(wǎng)協(xié)議（1）
3. 思科基礎(chǔ)知識(shí)：使用訪問列表管理流量
4. 網(wǎng)絡(luò)命令學(xué)習(xí)基礎(chǔ)之在cmd下更改ip地址

cisco路由器—PAD