1.no ip redirects
 
路由器A和路由器B在同一个网段中。现在有PC的网关设置为A的地址 192.18.3.1. 在发送数据过程中可能会出现发往 192.168.2.X 网段的数据。这样数据包会先到A的接口再流向B。
ip redirects 可以使用ICMP 包。告知PC 以后发往192.168.2.X 的数据直接发给B。而不需要通过自己。
 
no ip redirects 是关闭这项功能。 特别是在HSRP中。主要是为了避免让客户端使用真实的MAC地址通讯。
 
 
 
2.no ip unreachables
 
ICMP unreachables are normally limited to no more than one every one-half second per input interface, but this can changed by using the ip icmp rate-limit unreachables global configuration command.
 
如用用户使用ACL列表。那么所有不符合条件的数据包在经过路由器时会被丢弃。返回显示 目标主机不可达。因为没有合适的路由。 使用 no ip unreachables 后。只会出现 timeout 。

 

3.no ip directed-broadcast

广播分两种:255.255.255.255,称为全广播,由于会被路由器禁止传输,所以也叫本地网络广播。
另一种是所有的主机为都为1的广播,例如:192.168.1.255/24
这种广播路由器默认是可以转发的。
ip directed-broadcast 或者是no ip directed-broadcast ,就是允许或者禁止这种广播的转发


默认情况下,router不转发目的地址255.255.255.255的广播,但是转发子网内广播,比如192.168.1.255
为什么要关闭这个功能,举例说明:routerA连接一个外网,内网中有500台主机(ip为172.16.0.0/24),如果有一个Hack发出一个Ping包,目的IP为172.16.255.255,而源IP地址是另外一个主机的IP地址,如果router将这个数据包转发进内网,会发生什么?——内网的500台主机都会向那个可怜的主机返回的Ping的响应.