客户有台3600路由忽然速度奇慢，检查线路、重启动之后发现IOS没了...不得已用Xmodem把IOS重新传上去，启动正常，并没有发现硬件有问题。仔细检查该路由器的配置，发现有这样两个配置指令：
 snmp-server community public RO
 snmp-server community private RW

　　询问 网管人员，原来他们最近想用一台网络测试仪记录设备工作状态，结果就给配上了这样的snmp参数。对于一台直接连接到Internet的路由器来说，这样的配置...等于敞开大门，欢迎骇客。

　　Cisco 的配置文档建议通过以下手段建立一个有效的安全策略：

　　1.确定要重点保护的网络资源

　　象上面例子中的网络出口，一旦工作不正常，影响很大，需要重点保护；网络中重要的文件、数据库、应用系统等，更是保护的重点。

　　2.找出危险点

　　一般来说Internet出口、Internet服务器、拔号访问入口等等是容易发生安全问题的地方，应该重点防护。了解新发现的安全漏洞，及时采取相应的措施，比如打上补丁、升级IOS或暂时关闭有问题的服务。根据CCO “安全顾问”网页, Cisco产品今年以来发现的影响较广泛的严重安全漏洞为：

　　CSCdw33027　 SSH扫描导致当机 2002.6.27
 CSCdt93866　 NTP缓冲区溢出漏洞 2002.5.8
 CSCdw67458　 SNMP拒绝服务漏洞 2002.2.12

　　这些漏洞您了解并采取了相应的措施吗？ 如果不，那么很可能您最近的一次当机事件就跟它们有关，一些客户的经历证明了这一点。除了安全问题，还有一些其它的功能设计方面的缺陷等等，值得紧跟IOS主要更新版本进行升级。

　　3.限制访问范围

　　典型的手段是访问控制列表。在上面那个例子中，把community字配成众所周知道的public/private当然万万不行，由于SNMP是一个相当不安全的协议(尤其是低版本)，还应该通过访问控制列表限定能访问设备SNMP的主机: 在snmp-server community xxxx RO/RW 后，可以加上一个标准或扩展的访问控制列表。console口可以配上密码，不要设置no exec-timeout。telnet访问的限制通过在line vty指定access-class实现;CatOS的交换机用ip permit-list; 高端设备可以用SSH取代telnet。不必要的服务，如tcp/udp-small-servers、ip finger、ip http server等应予以关闭。ip http server(Web管理界面)去年就曾爆出了一个严重的安全漏洞，可以用ip http access-class作限制。tftp-server服务用完就应关闭，也可以指定ACL，或用较为安全的FTP代替。路由协议可以加上认证，常用的RIP v2、EIGRP、OSPF以及BGP等都支持明文或md5认证。在端口上应用ACL，过滤不必要的通讯，还可以利用IOS的安全功能，防止IP欺骗和一些常见的攻击。