cisco路由器优化[5]

  十三、配置自动加载

  Cisco路由器启动时，在出现CLI提示符之前，将经历几个测试阶段、发现Cisco IOS和配置文件。路由器启动时，通常会经过以下5个步骤：*加载并执行POST，发现ROM，测试硬件组件，如闪存和接口；*加载并执行引导自举程序；*引导自举程序发现并加载Cisco IOS映像文件。这些映像文件可以来自闪存、TFTP服务器或者闪存；*加载了Cisco IOS之后，发现并执行一个配置文件：配置文件储存在NVRAM中，但如果NVRAM是空的，系统配置对话框开始，或者路由器使用TFTP来获取一个配置文件；*给用户CLI EXEC提示符。

  在发现一个Cisco IOS文件时，假定在NVRAM中没有boot system命令，路由器首先在闪存中寻找有效的Cisco IOS映像文件。如果闪存中没有IOS映像文件，路由器执行TFTP启动，或者网络启动；发送本地广播请求从TFTP服务器上获取操作系统文件。如果这个过程也失败了，路由器从内存中加载IOS映像文件。

  因为启动过程中用到TFTP，而对加载过程没有安全保护。所以，不应该允许路由器使用该功能。要阻止该功能，使用下面的配置：

  Router（config）#no boot network remote-url-ftp：
  [[[//[username：[：password]@]location]/directory]/filename]-rcp：
  [[[//[username@]/location]/directory]/filename]-tftp：
  [[[//location]/directory]/filename

  加载了IOS映像之后，开始发现一个配置文件。如果在NVRAM中没有配置文件，路由器会使用系统配置对话框来建立配置文件，或使用网路配置选项：使用TFTP广播来发现配置文件。所以，应该使用以下的命令关闭该特性：Router（config）#no service config

  十四、关闭无根据ARP

  大多数Cisco路由器（缺省情况下）都会向外发送无根据的ARP消息，无论客户端何时连接并基于PPP连接协商一个IP地址。ARP毒害攻击主要利用的就是这种ARP消息。

  即使客户端从一个本地地址池收到地址，Cisco路由器也会生成一个无根据的ARP传送。

  禁止无根据ARP传送，使用下面的命令：Router（config）#no ip gratuitous-arps

  十五、关闭IP无类别路由选择服务

  路由器可能会收到一些发往一个没有网络缺省路由的子网的数据包，如果启用了IP无类别服务时，会将这些数据包转发给最有可能路由的超网。

  要关闭IP无类别路由选择，在全局配置模式下使用no ip classless命令。

[1]  [2]  [3]  [4]  [5]