如何关闭路由器不需要的服务.doc

关闭不需要的服务这里假设路由器有Ethernet0和Ethernet1端口Router(config)# no cdp run/关闭CDP协议，CDP使用多播地址，能够发现对端路由器的Hostname，硬件设备类型，IOS版本，三层接口地址，发送CDP多播的地址Router(config)# no service tcp-small-serversRouter(config)# no service udp-small-servers/关闭TCP和UDP的一些无用的小服务，这些小服务的端口小于19，通常用在以前的UNIX环境中，如chargen，daytime等Router(config)# no service finger/finger通常用在UNIX中，用来确定谁登陆到设备上：telnet 54 fingerRouter(config)# no ip finger/关闭对于finger查询的应答Router(config)# no ip identd/关闭用户认证服务，一个设备发送一个请求到Ident接口（TCP 113), 目标会回答一个身份识别，如host名称或者设备名称Router(config)# no ip source-route/关闭IP源路由，通过源路由，能够在IP包头中指定数据包实际要经过的路径Router(config)# no ftp-server enable/关闭FTP服务Router(config)# no ip http server/关闭HTTP路由器登陆服务Router(config)# no ip http secure-server/关闭HTTPS路由器登陆服务Router(config)# no snmp-server community public RORouter(config)# no snmp-server community private RWRouter(config)# no snmp-server enable trapsRouter(config)# no snmp-server system-shutdownRouter(config)# no snmp-server trap-authRouter(config)# no snmp-server/关闭SNMP服务Router(config)# no ip domain-lookup/关闭DNS域名查找Router(config)# no ip bootp server/bootp服务通常用在无盘站中，为主机申请IP地址Router(config)# no service dhcp/关闭DHCP服务Router(config)# no service pad/pad服务一般用在X.25网络中为远端站点提供可靠连接Router(config)# no boot network/关闭路由器通过TFTP加载IOS启动Router(config)# no service config/关闭路由器加载IOS成功后通过TFTP加载配置文件Router(config)# interface ethernet 0Router(config -if)# no ip proxy-arp/关闭代理ARP服务Router(config -if)# no ip directed-broadcast/关闭直连广播，因为直连广播是能够被路由的Router(config -if)# no ip unreachableRouter(config -if)# no ip redirectRouter(config -if)# no ip mask-reply/关闭三种不可靠的ICMP消息Router(config -if)# exit注意：使用show ip interface查看接口启用的服务Router(config)# interface ethernet 0Router(config -if)# shutdown/手动关闭没有使用的接口Router(config -if)# exitRouter(config)# service tcp-keepalives -inRouter(config)# service tcp-keepalives -out/对活动的tcp连接进行监视，及时关闭已经空闲超时的tcp连接，通常和telnet，ssh一起使用Router(config)# username admin1 privilege 15 secret geekboyRouter(config)# hostname jwyBullmastiff(config)# ip domain-name Bullmastiff(config)# crypto key generate rsaBullmastiff(config)# line vty 0 4Bullmastiff(config -line)# login localBullmastiff(config -line)# transport input sshBullmastiff(config -line)# transport output ssh/只允许其他设备通过SSH登陆到路由器安全连接：用SSH替代Telnet如果你一直利用Telnet控制网络设备，你可以考虑采用其他更安全的方式。本文告诉你如何用SSH替换Telnet。使用Telnet这个用来访问远程计算机的TCP/IP协议以控制你的网络设备相当于在离开某个建筑时大喊你的用户名和口令。很快地，会有人进行监听，并且他们会利用你安全意识的缺乏。SSH是替代Telnet和其他远程控制台管理应用程序的行业标准。SSH命令是加密的并以几种方式进行保密。在使用SSH的时候，一个数字证书将认证客户端（你的工作站）和服务器（你的网络设备）之间的连接，并加密受保护的口令。SSH1使用RSA加密密钥，SSH2使用数字签名算法（DSA）密钥保护连接和认证。加密算法包括Blowfish，数据加密标准（DES），以及三重DES（3DES）。SSH保护并且有助于防止欺骗，“中间人”攻击，以及数据包监听。实施SSH的第一步是验证你的设备支持SSH。请登录你的路由器或交换机，并确定你是否加载了一个支持SSH的IPSec IOS镜像。在我们的例子中，我们将使用Cisco IOS命令。运行下面的命令：Router Show flash该命令显示已加载的IOS镜像名称。你可以用结果对比你的供应商的支持特性列表。在你验证了你的设备支持SSH之后，请确保设备拥有一个主机名和配置正确的主机域，就像下面的一样：Router config terminalRouter (config)# hostname hostnameRouter (config)# ip domain-name domainname在这个时候，你就可以启用路由器上的SSH服务器。要启用SSH服务器，你首先必须利用下面的命令产生一对RSA密钥：Router (config)# crypto key generate rsa在路由器上产生一对RSA密钥就会自动启用SSH。如果你删除这对RSA密钥，就会自动禁用该SSH服务器。实施SSH的最后一步是启用认证，授权和审计（AAA）。在你配置AAA的时候，请指定用户名和口令，会话超时时间，一个连接允许的尝试次数。像下面这样使用命令：Router (config)# aaa new-modelRouter (config)# username passwordRouter (config)# ip ssh time-outRouter (config)# ip ssh authentication-retries要验证你已经配置了SSH并且它正运行在你的路由器上，执行下面的命令：Router# show ip ssh在验证了配置之后，你就可以强制那些你在AAA配置过程中添加的用户使用SSH，而不是Telnet。你也可以在虚拟终端（vty）连接中应用SSH而实现同样的目的。这里给出一个例子：Router (config)# line vty 0 4Router (config-line)# transport input