cisco路由器优化[4]

  十、BootP

  BootP是一个UDP服务，可以用来给一台无盘工作站指定地址信息，以及在很多其他情况下，在设备上加载操作系统（用它来访问另一个运行有BOOTP服务的路由器上的IOS拷贝，将IOS下载到BOOTP客户端路由器上）。

  该协议发送一个本地广播到UDP端口67（和DHCP相同）。要实现这种应用，必须配置一个BootP服务器来指定IP地址信息以及任何被请求的文件。

  Cisco路由器能作为一台BootP服务器，给请求的设备提供闪存中的文件，因为以下3个原因，应该在路由器闪关闭BootP：*不再有使用BootP的真正需求；*BootP没固有的认证机制。任何人都能从路由器请求文件，无论配置了什么，路由器都将作出回复；*易受DoS攻击。

  默认地，该服务是启用的。要关闭BootP，使用下面的配置：Router（config）#no ip bootp server

  十一、DHCP

  DHCP允许从服务器获取所有的IP地址信息，包括IP地址、子网掩码、域名、DNS服务器地址、WINS服务器地址哈、TFTP服务器地址和其他信息。Cisco路由器既能作为DHCP客户端，也能作为服务器。

  在将Cisco路由器作为边界路由器时，应该设置该路由器为DHCP客户端的情形是，如果是通过DSL和线缆调制解调器连接到ISP，而ISP使用DHCP指定地址信息。否则，决不要将路由器设置为DHCP客户端。

  同样地，应该设置路由器为一台DHCP服务器地情形是，当在一个SOHO环境中使用路由器，在这种小型的网络中基本上这台路由器是可以给PC指定地址的设备。如果这样做，确保在路由器外部接口上过滤UDP端口67，这将阻止来自外部的DHCP和BootP请求。

  一般DHCP服务器是默认打开的。使用下面的配置关闭：Router（config）#no service dhcp这阻止路由器成为一台DHCP服务器或者中继代理。

  十二、PAD

  数据包组合/分拆（packet assembler/disassembler，PAD）用在X.25网络上。以提供远程站点间的可靠连接。

  PAD能给黑客提供有用的功能。假设黑客能获得直接连接在路由器上的设备的控制权，而如果路由器在运行PAD服务，它将接受任何PAD连接。

  要关闭这个服务，使用下面的命令：Router（config）#no service pad

[1]  [2]  [3]  [4]  [5]