1 内置服务设置 IOS中的许多服务对于ISP来说,都不是必须具备的东西。出于安全的考虑,应该将这类服务关闭,只在有需要时才开放。参见下面配置: no service finger no service pad no service udp-small-server no service tcp-small-server no ip bootp server no ip http server (或者使用 ip http server;ip http port xxx修改WEB访问端口) 另外,某些服务对ISP的网络有很大的帮助,应该要打开: service nagle service tcp-keepalives-in service timestamps debug datetime msec localtime show-timezone service timestamps log datetime msec localtime show-timezone ------------------------------------------------------------------------------------------------------------ 注1:部分服务在最新的IOS中已经关闭,敲入上述命令后,如果看不到的话,就表示默认是关闭的。 注2:Nagle服务有助于提高telnet到某一设备,或者从某一设备上telnet到其他设备时的性能。标准TCP协议中,对telnet的处理,是将所键入的字符逐字发送,这在网络拥塞时,会加剧网络的负担。而Nagle算法则对此进行了改进,一旦建立连接后,键入的第一个字符仍按一个封包发出,但其后的字符会先送到缓冲中,直到前一个连接的acknowledge包返回后,再发出。这样可以大大提高网络效率。 注3:时间戳在缺省配置中,是采用设备的up时间来记录的。因此在show log时,有可能会看到类似于 26W3day:……的东西,这样不利于判断告警发生的时间。建议按上文配置,修改为按系统本地时间来记录,以便快速知晓LOG中的告警产生的具体时间。 ------------------------------------------------------------------------------------------------------------- 2 端口安全配置 IOS中的一些功能在校园网或者企业应用中有实际的作用,但对于ISP的骨干网来说,却没有多大意义。这些功能的滥用,有可能会增加ISP的安全风险。
ISP骨干网设备的端口配置中,建议进行如下配置: Interface e0/0 Description Cisco Router Standard Configuration Guide no ip redirects no ip proxy-arp no ip mroute-cache -------------------------------------------------------------------------------------------------------------------------- 注1:当某一接口下有多台同一地址段的路由器存在时,建议不要禁用ip redirects; --------------------------------------------------------------------------------------------------------------------------
精品推荐