cisco关闭不必要的服务
*关闭BOOTP 服务器BOOTP 是一个UDP服务，CISCO 路由器用它来访问另一个运行BOOTP服务的CISCO路由器上的IOS 拷贝。

这项服务可能使攻击者有机会下载一台路由器配置的COPY.缺省情况下，该服务开启的
config t
no ip bootp server *
关闭CDP 服务在全局模式下关闭CDP config t no cdp run 在接口模式下关闭CDP config t interface
e0/1 no cdp enable 3.关闭配置自动加载服务no service config
*关闭DNS服务
no ip domain-lookup
*.关闭HTTP服务（缺省启用）
config t
no ip http server
*关闭ICMP重定向（缺省启用）CISCO IOS缺省是启动重定向消息，这种消息可以让一个端节点用特定路由器作为通向特定目的的路径。

config t
inerface e0/0
no ip redirect
*关闭IP 源路由选择IP 协议支持源路由选择，允许IP 报文的发送者控制报文到达最终目的地的路径。

可以在全局配置模式下禁止
config t
no ip source-route
*关闭ICMP不可达信息（缺省启用）ICMP 不可达信息可以向发送这通告不正确（不可达）的IP地址，攻击者能够借此映射网络。

接口模式关闭
config t
interface e0/0 no ip unreachable
*关闭代理ARP（缺省启用）如果路由器上启用了代理ARP,路由器就扮演了第二层（数据链路层）地址解析代理的角色，使得网络跨多个接口得以扩展。

攻击者可能会利用代理ARP的信任特性，伪装成一台可信主机，中途截获数据包。

在端口模式下关闭
config t
interface e0/0 no ip proxy-arp
*.关闭小型服务器（IOS11.3 之后缺省禁用）一个攻击者可能发送一个DNS 包，源地址伪装成一台可达的DNS服务器，源端口伪装成DNS服务端口（端口53），如果这样的数据包发往CISCO路由器UDP echo 端口，路由器就会向可疑的服务器发送一个DNS 数据包。

这样的数据包会被当作路由器本身生成，不会进行外出ACL 检查。

关闭小型TCP UDP服务在全局模式
config t
no service tcp-small-servers
no service udp-small-servers
*关闭TFTP服务器对路由器的TFTP 访问可用来获取路由器文件系统的访问权，因此路由器或网络本身有被攻击的危险。

要禁用FLASH 内存TFTP服务器，可使用全局配置命令
conf t
no tftp-server fla。