十三、配置自動加載

  Cisco路由器啟動時，在出現CLI提示符之前，將經歷幾個測試階段、發現Cisco IOS和配置文件。路由器啟動時，通常會經過以下5個步驟：*加載并執行POST，發現ROM，測試硬件組件，如閃存和接口；*加載并執行引導自舉程序；*引導自舉程序發現并加載Cisco IOS映像文件。這些映像文件可以來自閃存、TFTP服務器或者閃存；*加載了Cisco IOS之后，發現并執行一個配置文件：配置文件儲存在NVRAM中，但如果NVRAM是空的，系統配置對話框開始，或者路由器使用TFTP來獲取一個配置文件；*給用戶CLI EXEC提示符。

  在發現一個Cisco IOS文件時，假定在NVRAM中沒有boot system命令，路由器首先在閃存中尋找有效的Cisco IOS映像文件。如果閃存中沒有IOS映像文件，路由器執行TFTP啟動，或者網絡啟動；發送本地廣播請求從TFTP服務器上獲取操作系統文件。如果這個過程也失敗了，路由器從內存中加載IOS映像文件。

  因為啟動過程中用到TFTP，而對加載過程沒有安全保護。所以，不應該允許路由器使用該功能。要阻止該功能，使用下面的配置：

  Router（config）#no boot network remote-url-ftp：
  [[[//[username：[：password]@]location]/directory]/filename]-rcp：
  [[[//[username@]/location]/directory]/filename]-tftp：
  [[[//location]/directory]/filename

  加載了IOS映像之后，開始發現一個配置文件。如果在NVRAM中沒有配置文件，路由器會使用系統配置對話框來建立配置文件，或使用網路配置選項：使用TFTP廣播來發現配置文件。所以，應該使用以下的命令關閉該特性：Router（config）#no service config

  十四、關閉無根據ARP

  大多數Cisco路由器（缺省情況下）都會向外發送無根據的ARP消息，無論客戶端何時連接并基于PPP連接協商一個IP地址。ARP毒害攻擊主要利用的就是這種ARP消息。

  即使客戶端從一個本地地址池收到地址，Cisco路由器也會生成一個無根據的ARP傳送。

  禁止無根據ARP傳送，使用下面的命令：Router（config）#no ip gratuitous-arps

  十五、關閉IP無類別路由選擇服務

  路由器可能會收到一些發往一個沒有網絡缺省路由的子網的數據包，如果啟用了IP無類別服務時，會將這些數據包轉發給最有可能路由的超網。

  要關閉IP無類別路由選擇，在全局配置模式下使用no ip classless命令。

[1]  [2]  [3]  [4]  [5]