腾达路由器的两个不常用协议的介绍
一、SNMP,简单网络管理协议的前身是简单网关监控协议,用来对通信线路进行管理,随后,人们对SGMP进行了很大的修改,特别是加入了符合Internet定义的SMI和MIB:体系结构,改进后的协议就是著名的SNMP。
1、SNMP可以用来远程监控和管理Cisco设备。然而,SNMP存在很多安全问题,特别是SNMP v1和v2中。要关闭SNMP服务,需要完成以下三件事:
(1)从路由器配置中删除默认的团体字符串;
(2)关闭SNMP陷阱和系统关机特征;
(3)关闭SNMP服务。
2、要查看是否配置了SNMP命令,执行show running-config命令,下面显示了用来完全关闭SNMP的配置:
Router(config)#no snmp-server community public RO;
Router(config)#no snmp-server community private RW;
Router(config)#no snmp-server enable traps;
Router(config)#no snmp-server system-shut;
Router(config)#no snmp-server trap-authRouter(config)#no snmp-server。
3、前两个命令删除了只读和读写团体字符串(团体字符串可能不一样)。接下来三个命令关闭SNMP陷阱、系统关机和通过SNMP的认证陷阱。最后在路由器上关闭SNMP服务。关闭SNMP服务之后,使用show snmp命令验证。
4、缺省情况下,路由器DNS服务会向255.255.255.255广播地址发送名字查询。应该避免使用这个广播地址,因为攻击者可能会借机伪装成一个DNS服务器,如果路由器使用DNS来解析名称,会在配置中看到类似的命令:
Router(config)#hostname santa;
Router(config)#ip domain-name claus.gov;
Router(config)#ip name-server 200.1.1.1 202.1.1.1;
Router(config)#ip domain-look开启。
5、可以使用show hosts命令来查看已经解析的名称,因为DNS没有固有的安全机制,易受到会话攻击,在目的DNS服务器响应之前,黑客先发送一个伪造的回复。如果路由器得到两个回复,通常忽略第二个回复,解决这个问题,要么确保路由器有一个到DNS服务器的安全路径,要么不要使用DNS,而使用手动解析。使用手动解析,可以关闭DNS,然后使用ip host命令静态定义主机名。
二、BootP是一个基于IP/UDP协议的协议,它可以让无盘站从一个中心服务器上获得IP地址,为局域网中的无盘工作站分配动态IP地址,并不需要每个用户去设置静态IP地址。使用BOOTP协议的时候,一般包括Bootstrap Protocol Server和Bootstrap Protocol Client两部分。
1、BootP是一个UDP服务,可以用来给一台无盘工作站指定地址信息,以及在很多其他情况下,在设备上加载操作系统,用它来访问另一个运行有BOOTP服务的路由器上的IOS拷贝,将IOS下载到BOOTP客户端路由器上。
2、该协议发送一个本地广播到UDP端口67,要实现这种应用,必须配置一个BootP服务器来指定IP地址信息以及任何被请求的文件。
3、路由器能作为一台BootP服务器,给请求的设备提供闪存中的文件,因为以下3个原因,应该在路由器闪关闭BootP:
(1)不再有使用BootP的真正需求;
(2)BootP没固有的认证机制;
(3)任何人都能从路由器请求文件,无论配置了什么,路由器都将作出回复。
通过上面介绍,相信大家已经对这两个协议有了解了吧,虽然在平时不会常用到,但是也是需要我们能够明白其含义的,说不定哪天就要用到了,更多方面的内容,有兴趣的网友可以看下阿尔法路由器设置。