只是简单地将笔记发上来而已。
cisco service的几个子命令
- service dhcp
- service linenumber 告诉用户所登录的路由器或者交换机是采用哪条线路
- service password-encryption
- service nagle nagle是一种用来减少小型数据传输的网络拥塞算法。可以为基于命令输入
- 方式的操作如telnet节省带宽,默认是关闭的。
- service prompt config 显示与关闭提示符
- service sequence-numbers 在日志文件插入序列号
- service tcp-keepalive
- service passsword-recovery 打开密码恢复功能,如果你在修改config-register的
- 时候丢失了enable-mode模式的密码可以通过这种方式恢复。
关闭口令恢复机制:
在默认情况下,网络设备都可以利用启动期间break方式进入到ROMMON模式,进行口令恢复操作。用
no service password-recovery
可以消除这类威胁。
URPF:单播反向路径转发,检查源地址,根据FIB表,知道去往源地址应该从哪个接口出去。如果检查到一个源IP的进接口与路由表的出接口不符合的话,就DROP。
URPF检查有严格strict型和松散型loose两种。
1:如果报文的源地址在路由器的FIB表中存在
对于strict型检查,反向查找报文出接口,若其中至少有一个出接口和报文的入接口相匹配,则报文通过检查;否则报文将被拒绝。
对于loose型检查,报文进行正常的转发。
2:如果报文的源地址在路由器的FIB表中不存在,则检查缺省路由及URPF的allow-default-route参数。
对于配置了缺省路由,但没有配置参数allow-default-route的情况,不管是strict还是loose检查,只要报文的源地址在路由器的FIB表中不存在,该报文都将被拒绝。
对于配置了缺省路由,同时又配置了参数allow-default-route的情况下,如果是strict型检查,只要缺省路由的出接口与报文的入接口一致,则报文将通过URPF的检查。进行正常的转发;如果缺省路由的出接口和报文的入接口不一致,则报文将拒绝。如果是loose型松果,报文都将通过URPF的检查,进行正常的转发。
3当且仅当报文被拒绝后,才去匹配ACL,如果被ACL允许通过,则报文继续进行正常的转发,如果被ACL拒绝,则报文被丢弃。
转载于:https://blog.51cto.com/yeelone/439399