※〖♀计算机及网络技术♂〗※ 复制
☆°♡ o自己丰富才能感知世界的丰富;自己善良才能感知世界的美好;自己坦荡才能逍遥地生活在天地之间じ☆ve‰^ǒ^
日志
憧憬岛自序
因网站正处于试运行期间,如果您在使用本站的服务过程中,发现有错误或无法使用,请发邮件: kevinceo@126.com 或 点击“在线QQ"我们将及时修改,谢谢合作!
电脑爱好者QQ群:26476972(网页制作,图片处理,DIY等)
网络工程师QQ群:23952601(网络技术,路由器,交换机,IP及子网,网工考试及培训等)
http://hi.baidu.com/pcfiend/
修改设置,打造安全电脑
分类:黑客攻防
由于现在家用电脑所使用的操作系统多数为Win XP 和Win2000 pro(建议还在使用98的朋友换换系统,连_blank>微软都放弃了的系统你还用它干嘛?)所以后面我将主要讲一下基于这两个操作系统的安全防范。
个人电脑常见的被入侵方式
谈到个人上网时的安全,还是先把大家可能会遇到的问题归个类吧。我们遇到的入侵方式大概包括了以下几种:
(1) 被他人盗取密码;
(2) 系统被_blank>木马攻击;
(3) 浏览网页时被恶意的java scrpit程序攻击;
(4) QQ被攻击或泄漏信息;
(5) 病毒感染;
(6) 系统存在漏洞使他人攻击自己。
(7) _blank>黑客的恶意攻击。
下面我们就来看看通过什么样的手段来更有效的防范攻击。
1.察看本地共享资源
运行CMD输入net share,如果看到有异常的共享,那么应该关闭。但是有时你关闭共享下次开机的时候又出现了,那么你应该考虑一下,你的机器是否已经被黑客所控制了,或者中了病毒。
2.删除共享(每次输入一个)
net share admin$ /delete
net share c$ /delete
net share d$ /delete(如果有e,f,……可以继续删除)
3.删除ipc$空连接
在运行内输入regedit,在_blank>注册表中找到 HKEY-LOCAL_MACHINESYSTEMCurrentControSetControlLSA 项里数值名称RestrictAnonymous的数值数据由0改为1。
4.关闭自己的139端口,ipc和RPC漏洞存在于此。
关闭139端口的方法是在“网络和拨号连接”中“本地连接”中选取“Internet协议(TCP/IP)”属性,进入“高级TCP/IP设置”“WinS设置”里面有一项“禁用TCP/IP的NETBIOS”,打勾就关闭了139端口。
5.防止rpc漏洞
打开管理工具——服务——找到RPC(Remote Procedure Call (RPC) Locator)服务——将故障恢复中的第一次失败,第二次失败,后续失败,都设置为不操作。
XP SP2和2000 pro sp4,均不存在该漏洞。
6.445端口的关闭
修改注册表,添加一个键值
HKEY_LOCAL_MACHINESystemCurrentControlSetServicesNetBTParameters在右面的窗口建立一个SMBDeviceEnabled 为REG_DWORD类型键值为 0这样就ok了
7.3389的关闭
XP:我的电脑上点右键选属性-->远程,将里面的远程协助和远程桌面两个选项框里的勾去掉。
Win2000server 开始-->程序-->管理工具-->服务里找到Terminal Services服务项,选中属性选项将启动类型改成手动,并停止该服务。(该方法在XP同样适用)
使用2000 pro的朋友注意,网络上有很多文章说在Win2000pro 开始-->设置-->控制面板-->管理工具-->服务里找到Terminal Services服务项,选中属性选项将启动类型改成手动,并停止该服务,可以关闭3389,其实在2000pro 中根本不存在Terminal Services。
8.4899的防范
网络上有许多关于3389和4899的入侵方法。4899其实是一个远程控制软件所开启的服务端端口,由于这些控制软件功能强大,所以经常被黑客用来控制自己的肉鸡,而且这类软件一般不会被杀毒软件查杀,比后门还要安全。
4899不象3389那样,是系统自带的服务。需要自己安装,而且需要将服务端上传到入侵的电脑并运行服务,才能达到控制的目的。
所以只要你的电脑做了基本的安全配置,黑客是很难通过4899来控制你的。
9、禁用服务
打开控制面板,进入管理工具——服务,关闭以下服务
1.Alerter[通知选定的用户和计算机管理警报]
2.ClipBook[启用“剪贴簿查看器”储存信息并与远程计算机共享]
3.Distributed File System[将分散的文件共享合并成一个逻辑名称,共享出去,关闭后远程计算机无法访问共享
4.Distributed Link Tracking Server[适用局域网分布式链接? 倏突Ф朔馷
5.Human Interface Device Access[启用对人体学接口设备(HID)的通用输入访问]
6.IMAPI CD-Burning COM Service[管理 CD 录制]
7.Indexing Service[提供本地或远程计算机上文件的索引内容和属性,泄露信息]
8.Kerberos Key Distribution Center[授权协议登录网络]
9.License Logging[监视IIS和SQL如果你没安装IIS和SQL的话就停止]
10.Messenger[警报]
11.NetMeeting Remote Desktop Sharing[netmeeting公司留下的客户信息收集]
12.Network DDE[为在同一台计算机或不同计算机上运行的程序提供动态数据交换]
13.Network DDE DSDM[管理动态数据交换 (DDE) 网络共享]
14.Print Spooler[打印机服务,没有打印机就禁止吧]
15.Remote Desktop Help& nbsp;Session Manager[管理并控制远程协助]
16.Remote Registry[使远程计算机用户修改本地注册表]
17.Routing and Remote Access[在局域网和广域往提供路由服务.黑客理由路由服务刺探注册信息]
18.Server[支持此计算机通过网络的文件、打印、和命名管道共享]
19.Special Administration Console Helper[允许管理员使用紧急管理服务远程访问命令行提示符]
20.TCP/IPNetBIOS Helper[提供 TCP/IP 服务上的 NetBIOS 和网络上客户端的 NetBIOS 名称解析的支持而使用户能够共享文件、打印和登录到网络]
21.Telnet[允许远程用户登录到此计算机并运行程序]
22.Terminal Services[允许用户以交互方式连接到远程计算机]
23.Window s Image Acquisition (WIA)[照相服务,应用与数码摄象机]
如果发现机器开启了一些很奇怪的服务,如r_server这样的服务,必须马上停止该服务,因为这完全有可能是黑客使用控制程序的服务端。
10、账号密码的安全原则
首先禁用guest帐号,将系统内建的administrator帐号改名~~(改的越复杂越好,最好改成中文的),而且要设置一个密码,最好是8位以上字母数字符号组合。 (让那些该死的黑客慢慢猜去吧~)
如果你使用的是其他帐号,最好不要将其加进administrators,如果加入administrators组,一定也要设置一个足够安全的密码,同上如果你设置adminstrator的密码时,最好在安全模式下设置,因为经我研究发现,在系统中拥有最高权限的帐号,不是正常登陆下的adminitrator帐号,因为即使有了这个帐号,同样可以登陆安全模式,将sam文件删除,从而更改系统的administrator的密码!而在安全模式下设置的administrator则不会出现这种情况,因为不知道这个administrator密码是无法进入安全模式。权限达到最大这个是密码策略:用户可以根据自己的习惯设置密码,下面是我建议的设置(关于密码安全设置,我上面已经讲了,这里不再罗嗦了。
打开管理工具.本地安全设置.密码策略
1.密码必须符合复杂要求性.启用
2.密码最小值.我设置的是8
3.密码最长使用期限.我是默认设置42天
4.密码最短使用期限0天
5.强制密码历史 记住0个密码
6.用可还原的_blank>加密来存储密码 禁用
11、本地策略:
这个很重要,可以帮助我们发现那些心存叵测的人的一举一动,还可以帮助我们将来追查黑客。
(虽然一般黑客都会在走时会清除他在你电脑中留下的痕迹,不过也有一些不小心的)
打开管理工具
找到本地安全设置.本地策略.审核策略
1.审核策略更改 成功失败
2.审核登陆事件 成功失败
3.审核对象访问 失败
4.审核跟踪过程 无审核
5.审核目录服务访问 失败
6.审核特权使用 失败
7.审核系统事件 成功失败
8.审核帐户登陆时间 成功失败
9.审核帐户管理 成功失败
&nb sp;然后再到管理工具找到
事件查看器
应用程序:右键>属性>设置日志大小上限,我设置了50mb,选择不覆盖事件
安全性:右键>属性>设置日志大小上限,我也是设置了50mb,选择不覆盖事件
系统:右键>属性>设置日志大小上限,我都是设置了50mb,选择不覆盖事件
12、本地安全策略:
打开管理工具
找到本地安全设置.本地策略.安全选项
1.交互式登陆.不需要按 Ctrl Alt Del 启用 [根据个人需要,? 但是我个人是不需要直接输入密码登陆的]
2.网络访问.不允许SAM帐户的匿名枚举 启用
3.网络访问.可匿名的共享 将后面的值删除
4.网络访问.可匿名的命名管道 将后面的值删除
5.网络访问.可远程访问的注册表路径 将后面的值删除
6.网络访问.可远程访问的注册表的子路径 将后面的值删除
7.网络访问.限制匿名访问命名管道和共享
8.帐户.(前面已经详细讲过拉 )
13、用户权限分配策略:
打开管理工具
找到本地安全设置.本地策略.用户权限分配
1.从网络访问计算机 里面一般默认有5个用户,除Admin外我们删除4个,当然,等下我们还得建一个属于自己的ID
2.从远程系统强制关机,Admin帐户也删除,一个都不留
3.拒绝从网络访问这台计算机 将ID删除
4.从网络访问此计算机,Admin也可删除,如果你不使用类似3389服务
5.通过远端强制关机。删掉
14、终端服务配置
打开管理工具
终端服务配置
1.打开后,点连接,右键,属性,远程控制,点不允许远程控制
2.常规,加密级别,高,在使用标准Windows验证上点√!
3.网卡,将最多连接数上设置为0
4.高级,将里面的权限也删除.[我没设置]
再点服务器设置,在Active Desktop上,设置禁用,且限制每个使用一个会话
15、用户和组策略
打开管理工具
计算机管理.本地用户和组.用户;
删除Support_388945a0用户等等
只留下你更改好名字的adminisrator权限
计算机管理.本地用户和组.组
组.我们就不分组了,每必要把
16、自己动手DIY在本地策略的安全选项
1)当登陆时间用完时自动注销用户(本地) 防止黑客密码渗透.
2)登陆屏幕上不显示上次登陆名(远程)如果开放3389服务,别人登陆时,就不会残留有你登陆的用户名.让他去猜你的用户名去吧.
3)对匿名连接的额外限制
4)禁止按 alt crtl del(没必要)
5)允许在未登陆前关机[防止远程关机/启动、强制关机/启动]
6)只有本地登陆用户才能访问cd-rom
7)只有本地登陆用户才能访问软驱
8)取消关机原因的提示
A、打开控制面板窗口,双击“电源选项”图标,在随后出现的电源属性窗口中,进入到“高级”标签页面;
B、在该页面的“电源按钮”设置项处,将“在按下计算机电源按钮时”设置为“关机”,单击“确定”按钮,来退出设置框;
C、以后需要关机时,可以直接按下电源按键,就能直接关闭计算机了。当然,我们也能启用休眠功能键,来实现快速关机和开机;
D4、要是系统中没有启用休眠模式的话,可以在控制面板窗口中,打开电源选项,进入到休眠标签页面,并在其中将“启用休眠”选项选中就可以了。
9)禁止关机事件跟踪
开始“Start ->”运行“ Run ->输入”gpedit.msc “,在出现的窗口的左边部分,选择 ”计算机配置“(Computer Configuration )-> ”管理模板“(Administrative Templates)-> ”系统“(System),在右边窗口双击“Shutdown Event Tracker” 在出现的对话框中选择“禁止”(Disabled),点击然后“确定”(OK)保存后退出这样,你将看到类似于Windows 2000的关机窗口
17、常见端口的介绍
TCP
21 FTP
22 SSH
23 TELNET
25 TCP SMTP
53 TCP DNS
80 HTTP
135 epmap
138 [冲击波]
139 smb
445
1025 DCE/1ff70682-0a51-30e8-076d-740be8cee98b
1026 DCE/12345778-1234-abcd-ef00-0123456789ac
1433 TCP SQL SERVER
5631 TCP PCANYWHERE
5632 UDP PCANYWHERE
3389 Terminal Services
4444[冲击波]
UDP
67[冲击波]
137 netbios-ns
161 An SNMP Agent is running/ Default community names of the SNMP Agent
关于UDP一般只有腾讯QQ会打开4000或者是8000端口或者8080,那么,我们只运 行本机使用4000这几个端口就行了
18、另外介绍一下如何查看本机打开的端口和tcpip端口的过滤
开始--运行--cmd
输入命令netstat -a
会看到例如(这是我的机器开放的端口)
Proto Local Address Foreign Address State
TCP yf001:epmap yf001:0 LISTE
TCP yf001:1025(端口号) yf001:0 LISTE
TCP (用户名)yf001:1035 yf001:0 LISTE
TCP yf001:netbios-ssn yf001:0 LISTE
UDP yf001:1129 *:*
UDP yf001:1183 *:*
UDP yf001:1396 *:*
UDP yf001:1464 *:*
UDP yf001:1466 *:*
UDP yf001:4000 *:*
UDP yf001:4002 *:*
UDP yf001:6000 *:*
UDP yf001:6001 *:*
UDP yf001:6002 *:*
UDP yf001:6003 *:*
UDP yf001:6004 *:*
UDP yf001:6005 *:*
UDP yf001:6006 *:*
UDP yf001:6007 *:*
UDP yf001:1030 *:*
UDP yf001:1048 *:*
UDP yf001:1144 *:*
UDP yf001:1226 *:*
UDP yf001:1390 *:*
UDP yf001:netbios-ns *:*
UDP yf001:netbios-dgm *:*
UDP yf001:isakmp *:*
现在讲讲基于Windows的tcp/ip的过滤
控制面板——网络和拨号连接——本地连接——INTERNET协议(tcp/ip)--属性--高级---选项-tcp/ip筛选--属性!!
然后添加需要的tcp 和UDP端口就可以了~如果对端口不是很了解的话,不要轻易进行过滤,不然可能会导致一些程序无法使用。
19、胡言乱语
(1)、TT浏览器
选择用另外一款浏览器浏览网站.我推荐用TT,使用TT是有道理的。
TT可以识别网页中的脚本,JAVA程序,可以很好的抵御一些恶意的脚本等等,而且TT即使被感染,你删除掉又重新安装一个就是。
MYIE浏览器
是一款非常出色的浏览器,篇幅有险,不做具体介绍了。(建议使用)
(2)、移动“我的文档”
进入资源管理器,右击“我的文档”,选择“属性”,在“目标文件夹”选项卡中点“移动”按钮,选择目标盘后按“确定”即可。在Windows 2003 中“我的文档”已难觅芳踪,桌面、开始等处都看不到了,建议经常使用的朋友做个快捷方式放到桌面上。
(3)、移动IE临时文件
进入“开始→控制面板→Internet 选项”,在“常规”选项“Internet 文件”栏中点“设置”按钮,在弹出窗体中点“移动文件夹”按钮,选择目标文件夹后,点“确定”,在弹出对话框中选择“是”,系统会自动重新登录。点本地连接>高级>安全日志,把日志的目录更改专门分配日志的目录,不建议是C:再重新分配日志存储值的大小,我是设置了10000KB。
20、避免被恶意代码 木马等病毒攻击
以上主要讲怎样防止黑客的恶意攻击,下面讲避免机器被_blank>恶意代码,木马之类的病毒攻击。
其实方法很简单,所以放在最后讲。
我们只需要在系统中安装杀毒软件
如 卡巴基斯,瑞星,金山独霸等
还有防止木马的木马克星和金山的反木马软件(可选)
并且能够及时更新你的病毒定义库,定期给你的系统进行全面杀毒。杀毒务必在安全模式下进行,这样才能有效清除电脑内的病毒以及驻留在系统的非法文件。
还有就是一定要给自己的系统及时的打上补丁,安装最新的升级包。微软的补丁一般会在漏洞发现半个月后发布,而且如果你使用的是中文版的操作系统,那么至少要等一个月的时间才能下到补丁,也就是说这一个月的时间内你的系统因为这个漏洞是很危险的。
本人强烈建议个人用户安装使用_blank>_blank">防火墙(目前最有效的方式)
例如:天网个人_blank">防火墙、诺顿_blank">防火墙、瑞星_blank">防火墙等等。
因为_blank">防火墙具有数据过滤功能,可以有效的过滤掉恶意代码,和阻止D_blank>DOS攻击等等。总之如今的_blank">防火墙功能强大,连漏洞扫描都有,所以你只要安装_blank">防火墙就可以杜绝大多数网络攻击,但是就算是装_blank">防火墙也不要以为就万事无忧。因为安全只是相对的,如果哪个邪派高手看上你的机器,_blank">防火墙也无济于事。我们只能尽量提高我们的安全系数,尽量把损失减少到最小。
安全意识也很重要,我们平时上网的时候都应该有一个好的安全意识。加上我们的不懈努力,相信我们的网络生活会更美好。
作者语
说这么多希望朋友们自己多学习,多实践,多钻研。尽情的享受网络给我们带来的便利和快捷,只有了解它,才能更好的利用它。
我坚信只有安全才能自由,只有自由才能快乐。
本文出自 51CTO.COM技术博客
时间能够以这样的方式过去令人感到惊异。人们倾向于认为计算机技术属于高科技,但是,TCP/IP协议在过去的三十年里以各种形式出现,无所不在。因此, TCP/IP协议有时间变得真正成熟起来,并且更稳定和更可靠。然而,当涉及到计算机的时候,事情就没有那样简单了。当路由包通过网络的时候,有时候会出现错误。在这种情况下,熟悉Windows路由表是很有帮助的。路由表能够决定来自有问题的机器的数据包的去向。在本文中,我将向你介绍如何查看 Windows路由表以及如何让Windows路由表中包含的数据有意义。 查看Windows路由表 路由表是Windows的TCP/IP协议栈的一个重要的部分。但是,路由表不是Windows操作系统向普通用户显示的东西。如果你要看到这个路由表,你必须要打开一个命令提示符对话框,然后输入“ROUTE PRINT”命令。然后,你将看到一个类似于图A中显示的图形。 图A:这是Windows路由表的外观  在我深入讨论这个路由表之前,我建议你在命令提示符对话框中输入另一个命令。这个命令是:IPCONFIG /ALL 我建议你使用IPCONFIG /ALL命令的理由是因为这个命令能够显示TCP/IP协议在机器中实际上是如何设置的。的确,你可以在网卡属性页认真查看TCP/IP协议,但是,如果你从IPCONFIG得到这个信息,这个信息会更可靠。在过去的几年里,我曾经遇到过这样一些例子,IPCONFIG报告的信息与机器中的TCP/IP协议设置屏幕中显示的信息完全不一样。这种事情不常见,但是,如果正好出现这种错误,你就会遇到这种不匹配的情况。坦率地说,键入到TCP/IP属性页中的信息反映了你想要Windows为选择的网络设置的TCP/IP协议。IPCONFIG提供的信息显示了Windows实际上设置的协议。 即使你没有出现一些奇怪的Windows错误,从IPCONFIG获得你的配置信息仍是非常有用的。如果一台机器有多个网卡,要记住每一个网卡绑定的设置是很困难的。IPCONFIG列出了如图B所示的每一个网卡的各种设置,很容易阅读。 图B:IPCONFIG /ALL显示这台机器上每一个网卡的TCP/IP设置  检查路由表 当这篇文章要讨论路由表的时候,你现在也许很想知道我为什么让你执行IPCONFIG /ALL命令。这样做的原因是你一般来说从来不看路由表,除非你的机器出现了问题。如果你遇到了问题,开始诊断故障的最佳地方就是对比IPCONFIG提供的信息和路由表中存储的信息。 正如你在图B中所看到的那样,IPCONFIG/ALL屏幕显示了IP地址、默认网关等一些基本的TCP/IP信息。然而,路由表却不是这样容易看懂。所以,我要用一些时间讨论如何阅读路由表以及路由表中的信息代表什么意思。 为了理解这些列中的信息代表什么意思,你需要稍微了解一下路由器是如何工作的。路由器的工作是协调一个网络与另一个网络之间的通信。因此,一台路由器包含多个网卡,每一个网卡连接到不同的网段。 当用户把一个数据包发送到本机以外的一个不同的网段时,这个数据包将被发送到路由器。路由器将决定这个数据包应该转发给哪一个网段。如果这台路由器连接两个网段或者十几个网段也没有关系。决策的过程都是一样的,而且决策都是根据路由表做出的。 如果你要查看执行“Route Print”命令之后屏幕显示的内容,你将发现路由表分为五列。第一列是网络目的地址。列出了路由器连接的所有的网段。网络掩码列提供这个网段本身的子网掩码,而不是连接到这个网段的网卡的子网掩码。这基本上能够让路由器确定目的网络的地址类。 第三列是网关。一旦路由器确定它要把这个数据包转发到哪一个目的网络,路由器就要查看网关列表。网关表告诉路由器这个数据包应该转发到哪一个IP地址才能达到目的网络。 接口列告诉路由器哪一个网卡连接到了合适的目的网络。从技术上说,接口列仅告诉路由器分配给网卡的IP地址。那个网卡把路由器连接到目的网络。然而,路由器很聪明,知道这个地址绑定到哪一个物理网卡。 最后一列是测量。测量本身是一种科学。但是,我将设法简单向你解释一下它们做什么。我听说过的一个最佳的解释测量的方法是用机场的词汇对此进行解释。设想一下,我需要从北卡罗来纳州的加洛特市飞往佛罗里达州的迈阿密。由于加洛特机场非常大,我要去迈阿密海滩可以有很多选择。我可以乘坐西北航空公司的班机。那个班机能把我带到密执安州的底特律,然后从底特律飞往迈阿密。我还可以乘坐大陆航空公司的班机飞往休斯顿,然后飞往迈阿密。另一个选择是乘坐美国航空公司的飞机直接飞往迈阿密。我应该选择哪一条线路呢? 在现实生活中,有许多因素值得考虑,如飞机票的价格和起飞的时间等。但是,让我们假设这一切都是相同的。如果除了航线之外,航班都是一样的,那么,我会选择中途停留最少的航班。那会使我以最快的速度到达目的地。由于停留的次数少,我的衔接出问题的机会就少,行李丢失等问题也会减少。 路由是以同样的方式工作的。许多时候,路由器有很多方法发送一个数据包。在这种情况下,以最短的(或者最可靠的)路径发送数据包是有意义的。测量就在这里发挥作用了。Windows一般不查看测量列,除非通向一个目的地有很多路径。如果有多个路径,Windows将查看测量列以确定最短的路径。这是一种非常简单的解释。但是,这种解释说明了要点。 额外的路由选择 早些时候,我曾介绍过“Route Print”命令。但是,你用“Route”命令实际上能够做很多事情。“Route”命令的参数如下: ROUTE [-f] [-p] [command [destination] [] -f开关是可以选择的。这个开关告诉Windows清除路由表中所有的网关输入记录。如果这个-f开关与其它命令一起使用,那么,在执行这个命令中的其它指令之前,所有的网关输入记录都将被清除。 -p开关使指定的路由保持不变。一般来说,当服务器重新启动的时候,你通过“ROUTE”命令指定的任何路由都会被删除。-p开关告诉Windows保留这个路由,即使系统重新启动也不改变。 “ROUTE”命令参数的命令部分相对简单一些。这个命令集包含PRINT、ADD、DELETE和CHANGE四个选项。我曾向你们介绍过 “ROUTE PRINT”命令。即使这个命令也包含其它的选项。例如,你可以使用通配符与这个命令一起使用。例如,如果你只要输出与192.x.x.x子网有关的路由,你可以使用这个命令:“ ROUTE PRINT 192*”。 “ROUTE DELETE”命令的工作方式与“ROUTE PRINT”非常相似。简单地输入“ROUTE DELETE”命令,然后输入你要从路由表中删除的目的地址和网关就可以了。例如,如果你要删除192.0.0.0网关,你可以输入这个命令: “ROUTE DELETE 192.0.0.0”。 “ROUTE CHANGE”和“ROUTE ADD”命令的基本参数都相同。当你输入这个命令的时候,你必须指定目的地、子网掩码和网关。你还可以指定一个测量和接口,不过,这是可以选择的。例如,如果你要使用最低参数增加一个目的地,你可以输入如下命令:ROUTE ADD 147.0.0.0 255.0.0.0 148.100.100.100 在这个命令中,147.0.0.0是你新增加的目的地址。255.0.0.0是这个目的地址的子网掩码,148.100.100.100是网关。你可以使用METRIC和IF这两个参数扩大这个命令的功能。例如:ROUTE ADD 147.0.0.0 255.0.0.0 148.100.100.100 METRIC 1 IF 1 测量这个参数是可以选择的。但是,它指定了测量或者路由跳数的数量。IF参数告诉Windows使用哪一个网卡。在这种特殊的情况下,Windows将使用作为接口1与Windows绑定的网卡。如果你不使用IF参数,Windows将搜索可供使用的最佳的网卡。 结论 在这篇文章中,我解释了如何使用“ROUTE”命令显示Windows路由表,和如果有必要的话如何修改这些路由表。如果你需要一些额外的帮助,你输入“ROUTE /?”命令可以得到更多的参数的例子。 |
1. ARP概念
咱们谈ARP之前,还是先要知道ARP的概念和工作原理,理解了原理知识,才能更好去面对和分析处理问题。
1.1 ARP概念知识
ARP,全称Address Resolution Protocol,中文名为地址解析协议,它工作在数据链路层,在本层和硬件接口联系,同时对上层提供服务。
IP数据包常通过以太网发送,以太网设备并不识别32位IP地址,它们是以48位以太网地址传输以太网数据包。因此,必须把IP目的地址转换成以太网目的地址。在以太网中,一个主机要和另一个主机进行直接通信,必须要知道目标主机的MAC地址。但这个目标MAC地址是如何获得的呢?它就是通过地址解析协议获得的。ARP协议用于将网络中的IP地址解析为的硬件地址(MAC地址),以保证通信的顺利进行。
1.2 ARP工作原理
首先,每台主机都会在自己的ARP缓冲区中建立一个 ARP列表,以表示IP地址和MAC地址的对应关系。当源主机需要将一个数据包要发送到目的主机时,会首先检查自己 ARP列表中是否存在该 IP地址对应的MAC地址,如果有﹐就直接将数据包发送到这个MAC地址;如果没有,就向本地网段发起一个ARP请求的广播包,查询此目的主机对应的MAC地址。此ARP请求数据包里包括源主机的IP地址、硬件地址、以及目的主机的IP地址。网络中所有的主机收到这个ARP请求后,会检查数据包中的目的IP是否和自己的IP地址一致。如果不相同就忽略此数据包;如果相同,该主机首先将发送端的MAC地址和IP地址添加到自己的ARP列表中,如果ARP表中已经存在该IP的信息,则将其覆盖,然后给源主机发送一个 ARP响应数据包,告诉对方自己是它需要查找的MAC地址;源主机收到这个ARP响应数据包后,将得到的目的主机的IP地址和MAC地址添加到自己的ARP列表中,并利用此信息开始数据的传输。如果源主机一直没有收到ARP响应数据包,表示ARP查询失败。
例如:
A的地址为:IP:192.168.10.1 MAC: AA-AA-AA-AA-AA-AA
B的地址为:IP:192.168.10.2 MAC: BB-BB-BB-BB-BB-BB
根据上面的所讲的原理,我们简单说明这个过程:A要和B通讯,A就需要知道B的以太网地址,于是A发送一个ARP请求广播(谁是192.168.10.2 ,请告诉192.168.10.1),当B收到该广播,就检查自己,结果发现和自己的一致,然后就向A发送一个ARP单播应答(192.168.10.2 在BB-BB-BB-BB-BB-BB)。
1.3 ARP通讯模式
通讯模式(Pattern Analysis):在网络分析中,通讯模式的分析是很重要的,不同的协议和不同的应用都会有不同的通讯模式。更有些时候,相同的协议在不同的企业应用中也会出现不同的通讯模式。ARP在正常情况下的通讯模式应该是:请求 -> 应答 -> 请求 -> 应答,也就是应该一问一答。
2. 常见ARP攻击类型
个人认为常见的ARP攻击为两种类型:ARP扫描和ARP欺骗。
2.1 ARP扫描(ARP请求风暴)
通讯模式(可能):
请求 -> 请求 -> 请求 -> 请求 -> 请求 -> 请求 -> 应答 -> 请求 -> 请求 -> 请求...
描述:
网络中出现大量ARP请求广播包,几乎都是对网段内的所有主机进行扫描。大量的ARP请求广播可能会占用网络带宽资源;ARP扫描一般为ARP攻击的前奏。
出现原因(可能):
*病毒程序,侦听程序,扫描程序。
*如果网络分析软件部署正确,可能是我们只镜像了交换机上的部分端口,所以大量ARP请求是来自与非镜像口连接的其它主机发出的。
*如果部署不正确,这些ARP请求广播包是来自和交换机相连的其它主机。
2.2 ARP欺骗
ARP协议并不只在发送了ARP请求才接收ARP应答。当计算机接收到ARP应答数据包的时候,就会对本地的ARP缓存进行更新,将应答中的IP和MAC地址存储在ARP缓存中。所以在网络中,有人发送一个自己伪造的ARP应答,网络可能就会出现问题。这可能就是协议设计者当初没考虑到的!
2.2.1 欺骗原理
假设一个网络环境中,网内有三台主机,分别为主机A、B、C。主机详细信息如下描述:
A的地址为:IP:192.168.10.1 MAC: AA-AA-AA-AA-AA-AA
B的地址为:IP:192.168.10.2 MAC: BB-BB-BB-BB-BB-BB
C的地址为:IP:192.168.10.3 MAC: CC-CC-CC-CC-CC-CC
正常情况下A和C之间进行通讯,但是此时B向A发送一个自己伪造的ARP应答,而这个应答中的数据为发送方IP地址是192.168.10.3(C的IP地址),MAC地址是BB-BB-BB-BB-BB-BB(C的MAC地址本来应该是CC-CC-CC-CC-CC-CC,这里被伪造了)。当A接收到B伪造的ARP应答,就会更新本地的ARP缓存(A被欺骗了),这时B就伪装成C了。同时,B同样向C发送一个ARP应答,应答包中发送方IP地址四192.168.10.1(A的IP地址),MAC地址是BB-BB-BB-BB-BB-BB(A的MAC地址本来应该是AA-AA-AA-AA-AA-AA),当C收到B伪造的ARP应答,也会更新本地ARP缓存(C也被欺骗了),这时B就伪装成了A。这样主机A和C都被主机B欺骗,A和C之间通讯的数据都经过了B。主机B完全可以知道他们之间说的什么:)。这就是典型的ARP欺骗过程。
注意:一般情况下,ARP欺骗的某一方应该是网关。
2.2.2 两种情况
ARP欺骗存在两种情况:一种是欺骗主机作为“中间人”,被欺骗主机的数据都经过它中转一次,这样欺骗主机可以窃取到被它欺骗的主机之间的通讯数据;另一种让被欺骗主机直接断网。
第一种:窃取数据(嗅探)
通讯模式:
应答 -> 应答 -> 应答 -> 应答 -> 应答 -> 请求 -> 应答 -> 应答 ->请求->应答...
描述:
这种情况就属于我们上面所说的典型的ARP欺骗,欺骗主机向被欺骗主机发送大量伪造的ARP应答包进行欺骗,当通讯双方被欺骗成功后,自己作为了一个“中间人“的身份。此时被欺骗的主机双方还能正常通讯,只不过在通讯过程中被欺骗者“窃听”了。
出现原因(可能):
*木马病毒
*嗅探
*人为欺骗
第二种:导致断网
通讯模式:
应答 -> 应答 -> 应答 -> 应答 -> 应答 -> 应答 -> 请求…
描述:
这类情况就是在ARP欺骗过程中,欺骗者只欺骗了其中一方,如B欺骗了A,但是同时B没有对C进行欺骗,这样A实质上是在和B通讯,所以A就不能和C通讯了,另外一种情况还可能就是欺骗者伪造一个不存在地址进行欺骗。
对于伪造地址进行的欺骗,在排查上比较有难度,这里最好是借用TAP设备(呵呵,这个东东好像有点贵勒),分别捕获单向数据流进行分析!
出现原因(可能):
* 木马病毒
*人为破坏
*一些网管软件的控制功能
3. 常用的防护方法
搜索网上,目前对于ARP攻击防护问题出现最多是绑定IP和MAC和使用ARP防护软件,也出现了具有ARP防护功能的路由器。呵呵,我们来了解下这三种方法。
3.1 静态绑定
最常用的方法就是做IP和MAC静态绑定,在网内把主机和网关都做IP和MAC绑定。
欺骗是通过ARP的动态实时的规则欺骗内网机器,所以我们把ARP全部设置为静态可以解决对内网PC的欺骗,同时在网关也要进行IP和MAC的静态绑定,这样双向绑定才比较保险。
方法:
对每台主机进行IP和MAC地址静态绑定。
通过命令,arp -s可以实现 “arp –s IP MAC地址 ”。
例如:“arp –s 192.168.10.1 AA-AA-AA-AA-AA-AA”。
如果设置成功会在PC上面通过执行 arp -a 可以看到相关的提示:
Internet Address Physical Address Type
192.168.10.1 AA-AA-AA-AA-AA-AA static(静态)
一般不绑定,在动态的情况下:
Internet Address Physical Address Type
192.168.10.1 AA-AA-AA-AA-AA-AA dynamic(动态)
说明:对于网络中有很多主机,500台,1000台...,如果我们这样每一台都去做静态绑定,工作量是非常大的。。。。,这种静态绑定,在电脑每次重起后,都必须重新在绑定,虽然也可以做一个批处理文件,但是还是比较麻烦的!
3.2 使用ARP防护软件
目前关于ARP类的防护软件出的比较多了,大家使用比较常用的ARP工具主要是欣向ARP工具,Antiarp等。它们除了本身来检测出ARP攻击外,防护的工作原理是一定频率向网络广播正确的ARP信息。我们还是来简单说下这两个小工具。
3.2.1 欣向ARP工具
俺使用了该工具,它有5个功能:
?
A. IP/MAC清单
选择网卡。如果是单网卡不需要设置。如果是多网卡需要设置连接内网的那块网卡。
IP/MAC扫描。这里会扫描目前网络中所有的机器的IP与MAC地址。请在内网运行正常时扫描,因为这个表格将作为对之后ARP的参照。
之后的功能都需要这个表格的支持,如果出现提示无法获取IP或MAC时,就说明这里的表格里面没有相应的数据。
?
B. ARP欺骗检测
这个功能会一直检测内网是否有PC冒充表格内的IP。你可以把主要的IP设到检测表格里面,例如,路由器,电影服务器,等需要内网机器访问的机器IP。
(补充)“ARP欺骗记录”表如何理解:
“Time”:发现问题时的时间;
“sender”:发送欺骗信息的IP或MAC;
“Repeat”:欺诈信息发送的次数;
“ARP info”:是指发送欺骗信息的具体内容.如下面例子:
time sender Repeat ARP info 22:22:22 192.168.1.22 1433 192.168.1.1 is at 00:0e:03:22:02:e8
这条信息的意思是:在22:22:22的时间,检测到由192.168.1.22发出的欺骗信息,已经发送了1433次,他发送的欺骗信息的内容是:192.168.1.1的MAC地址是00:0e:03:22:02:e8。
打开检测功能,如果出现针对表内IP的欺骗,会出现提示。可以按照提示查到内网的ARP欺骗的根源。提示一句,任何机器都可以冒充其他机器发送IP与MAC,所以即使提示出某个IP或MAC在发送欺骗信息,也未必是100%的准确。所有请不要以暴力解决某些问题。
?
C. 主动维护
这个功能可以直接解决ARP欺骗的掉线问题,但是并不是理想方法。他的原理就在网络内不停的广播制定的IP的正确的MAC地址。
“制定维护对象”的表格里面就是设置需要保护的IP。发包频率就是每秒发送多少个正确的包给网络内所有机器。强烈建议尽量少的广播IP,尽量少的广播频率。一般设置1次就可以,如果没有绑定IP的情况下,出现ARP欺骗,可以设置到50-100次,如果还有掉线可以设置更高,即可以实现快速解决ARP欺骗的问题。但是想真正解决ARP问题,还是请参照上面绑定方法。
?
D. 欣向路由器日志
收集欣向路由器的系统日志,等功能。
?
E. 抓包
类似于网络分析软件的抓包,保存格式是.cap。
3.2.1 Antiarp
这个软件界面比较简单,以下为我收集该软件的使用方法。
A. 填入网关IP地址,点击[获取网关地址]将会显示出网关的MAC地址。点击[自动防护]即可保护当前网卡与该网关的通信不会被第三方监听。注意:如出现ARP欺骗提示,这说明攻击者发送了ARP欺骗数据包来获取网卡的数据包,如果您想追踪攻击来源请记住攻击者的MAC地址,利用MAC地址扫描器可以找出IP 对应的MAC地址。
B. IP地址冲突
如频繁的出现IP地址冲突,这说明攻击者频繁发送ARP欺骗数据包,才会出现IP冲突的警告,利用Anti ARP Sniffer可以防止此类攻击。
C. 您需要知道冲突的MAC地址,Windows会记录这些错误。查看具体方法如下:
右击[我的电脑]--[管理]--点击[事件查看器]--点击[系统]--查看来源为[TcpIP]---双击事件可以看到显示地址发生冲突,并记录了该MAC地址,请复制该MAC地址并填入Anti ARP Sniffer的本地MAC地址输入框中(请注意将:转换为-),输入完成之后点击[防护地址冲突],为了使MAC地址生效请禁用本地网卡然后再启用网卡,在CMD命令行中输入Ipconfig /all,查看当前MAC地址是否与本地MAC地址输入框中的MAC地址相符,如果更改失败请与我联系。如果成功将不再会显示地址冲突。
注意:如果您想恢复默认MAC地址,请点击[恢复默认],为了使MAC地址生效请禁用本地网卡然后再启用网卡。
3.3 具有ARP防护功能的路由器
这类路由器以前听说的很少,对于这类路由器中提到的ARP防护功能,其实它的原理就是定期的发送自己正确的ARP信息。但是路由器的这种功能对于真正意义上的攻击,是不能解决的。
ARP的最常见的特征就是掉线,一般情况下不需要处理一定时间内可以回复正常上网,因为ARP欺骗是有老化时间的,过了老化时间就会自动的回复正常。现在大多数路由器都会在很短时间内不停广播自己的正确ARP信息,使受骗的主机回复正常。但是如果出现攻击性ARP欺骗(其实就是时间很短的量很大的欺骗ARP,1秒有个几百上千的),它是不断的发起ARP欺骗包来阻止内网机器上网,即使路由器不断广播正确的包也会被他大量的错误信息给淹没。
可能你会有疑问:我们也可以发送比欺骗者更多更快正确的ARP信息啊?如果攻击者每秒发送1000个ARP欺骗包,那我们就每秒发送1500个正确的ARP信息!
面对上面的疑问,我们仔细想想,如果网络拓扑很大,网络中接了很多网络设备和主机,大量的设备都去处理这些广播信息,那网络使用起来好不爽,再说了会影响到我们工作和学习。ARP广播会造成网络资源的浪费和占用。如果该网络出了问题,我们抓包分析,数据包中也会出现很多这类ARP广播包,对分析也会造成一定的影响。
这里的链路带宽默认都是100M,即COST=19.以太网端口有三种链路类型:Access、Hybrid和Trunk。Access类型的端口只能属于1个VLAN,一般用于连接计算机的端口; Trunk类型的端口可以属于多个VLAN,可以接收和发送多个VLAN的报文,一般用于交换机之间连接的端口;Hybrid类型的端口可以属于多个 VLAN,可以接收和发送多个VLAN的报文,可以用于交换机之间连接,也可以用于连接用户的计算机。Hybrid端口和Trunk端口的不同之处在于 Hybrid端口可以允许多个VLAN的报文发送时不打标签,而Trunk端口只允许缺省VLAN的报文发送时不打标签。
Access端口只属于1个VLAN,所以它的缺省VLAN就是它所在的VLAN,不用设置;Hybrid端口和Trunk端口属于多个VLAN,所以需要设置缺省VLAN ID。缺省情况下,Hybrid端口和Trunk端口的缺省VLAN为VLAN 1
如果设置了端口的缺省VLAN ID,当端口接收到不带VLAN Tag的报文后,则将报文转发到属于缺省VLAN的端口;当端口发送带有VLAN Tag的报文时,如果该报文的VLAN ID与端口缺省的VLAN ID相同,则系统将去掉报文的VLAN Tag,然后再发送该报文。
另外需要注意的是:
(1) Trunk端口不能和isolate-user-vlan同时配置;Hybrid端口可以和isolate-user-vlan同时配置。但如果缺省 VLAN是在isolate-user-vlan中建立了映射的VLAN,则不允许修改缺省VLAN ID,只有在解除映射后才能进行修改。
(2) 本Hybrid端口或Trunk端口的缺省VLAN ID和相连的对端交换机的Hybrid端口或Trunk端口的缺省VLAN ID必须一致,否则报文将不能正确传输。
交换机接口出入数据处理过程!
tag就是普通的ethernet报文,报文结构的变化是在源mac地址和目的mac地址之后,加上了4bytes的vlan信息,也就是vlan tag头;untag就是普通的ethernet报文,比tag报文少了4 bytes字节。
情况列举 Switch收发 Switch对标记的处理 remark
Access (接收) Tagged = PVID 不接收 注:部分高端产品可能接收。
Access (接收) Tagged =/ PVID 不接收 注:部分高端产品可能接收。
Access (接收) Untagged 接收 增加tag=PVID 从PC
Access (发送) Tagged = PVID 转发 删除tag
Access (发送) Tagged =/ PVID 不转发 不处理
Access (发送) Untagged 无此情况 无此情况 无此情况
Trunk (接收) Tagged = PVID 接收 不修改tag
Trunk (接收) Tagged =/ PVID 接收 不修改tag
Trunk (接收) Untagged 接收 增加tag=PVID
Trunk (发送) Tagged = PVID If Passing then 转发 删除tag
Trunk (发送) Tagged =/ PVID If Passing then 转发 不修改tag
Trunk (发送) Untagged 无此情况 无此情况 无此情况(注)
Hybrid (接收) Tagged = PVID 接收 不修改tag 对端是trunk
Hybrid (接收) Tagged =/ PVID 接收 不修改tag 对端是trunk
Hybrid (接收) Untagged 接收 增加tag=PVID 类Trunk
Hybrid (发送) Tagged = PVID Tag 和 untag 中列出的vlan可以passing 看Tag项和untag项
Hybrid (发送) Tagged =/ PVID Tag 和 untag 中列出的vlan可以passing 看Tag项和untag项
Hybrid (发送) Untagged 无此情况 无此情况 无此情况(注)
收报文:
Acess端口
1、收到一个报文,判断是否有VLAN信息:如果没有则打上端口的PVID,并进行交换转发,如果有则直接丢弃(缺省)
发报文:
Acess端口:
1、将报文的VLAN信息剥离,直接发送出去
收报文:
trunk端口:
1、收到一个报文,判断是否有VLAN信息:如果没有则打上端口的PVID,并进行交换转发,如果有判断该trunk端口是否允许该 VLAN的数据进入:如果可以则转发,否则丢弃
发报文:
trunk端口:
1、比较端口的PVID和将要发送报文的VLAN信息,如果两者相等则剥离VLAN信息,再发送,如果不相等则直接发送
收报文:
hybrid端口:
1、收到一个报文
2、判断是否有VLAN信息:如果没有则打上端口的PVID,并进行交换转发,如果有则判断该hybrid端口是否允许该VLAN的数据进入:如果可以则转发,否则丢弃
发报文:
hybrid端口:
1、判断该VLAN在本端口的属性(disp interface 即可看到该端口对哪些VLAN是untag, 哪些VLAN是tag)
2、如果是untag则剥离VLAN信息,再发送,如果是tag则直接发送
本文出自 51CTO.COM技术博客
和其他协议一样,生成树协议也是随着网络的不断发展而不断更新换代的。本文按照技术发展的主线,介绍了生成树协议的发展历程、近期热点和未来的发展方向。 生成树协议是一种二层管理协议,它通过有选择性地阻塞网络冗余链路来达到消除网络二层环路的目的,同时具备链路的备份功能。 由于生成树协议本身比较小,所以并不像路由协议那样广为人知。但是它却掌管着端口的转发大权—“小树枝抖一抖,上层协议就得另谋生路”。真实情况也确实如此,特别是在和别的协议一起运行的时候,生成树就有可能断了其他协议的报文通路,造成种种奇怪的现象。 生成树协议和其他协议一样,是随着网络的不断发展而不断更新换代的。本文标题中的“生成树协议”是一个广义的概念,并不是特指IEEE 802.1D中定义的STP协议,而是包括STP以及各种在STP基础上经过改进了的生成树协议。 在生成树协议发展过程中,老的缺陷不断被克服,新的特性不断被开发出来。按照大功能点的改进情况,我们可以粗略地把生成树协议的发展过程划分成三代,下面一一道来。 开天辟地的第一代生成树协议: STP/RSTP 在网络发展初期,透明网桥是一个不得不提的重要角色。它比只会放大和广播信号的集线器聪明得多。它会悄悄把发向它的数据帧的源MAC地址和端口号记录下来,下次碰到这个目的MAC地址的报文就只从记录中的端口号发送出去,除非目的MAC地址没有记录在案或者目的MAC地址本身就是多播地址才会向所有端口发送。通过透明网桥,不同的局域网之间可以实现互通,网络可操作的范围得以扩大,而且由于透明网桥具备MAC地址学习功能而不会像Hub那样造成网络报文冲撞泛滥。 但是,金无足赤,透明网桥也有它的缺陷,它的缺陷就在于它的透明传输。透明网桥并不能像路由器那样知道报文可以经过多少次转发,一旦网络存在环路就会造成报文在环路内不断循环和增生,甚至造成恐怖的“广播风暴”。之所以用“恐怖”二字是因为在这种情况下,网络将变得不可用,而且在大型网络中故障不好定位,所以广播风暴是二层网络中灾难性的故障。 在这种大环境下,扮演着救世主角色的STP(Spanning TreeProtocol)协议来到人间,其中以IEEE的802.1D版本最为流行。  图1 生成树工作过程示意图 STP协议的基本思想十分简单。大家知道,自然界中生长的树是不会出现环路的,如果网络也能够像一棵树一样生长就不会出现环路。于是,STP协议中定义了根桥(RootBridge)、根端口(RootPort)、指定端口(DesignatedPort)、路径开销(PathCost)等概念,目的就在于通过构造一棵自然树的方法达到裁剪冗余环路的目的,同时实现链路备份和路径最优化。用于构造这棵树的算法称为生成树算法SPA(Spanning TreeAlgorithm)。 要实现这些功能,网桥之间必须要进行一些信息的交流,这些信息交流单元就称为配置消息BPDU(BridgeProtocol Data Unit)。STP BPDU是一种二层报文,目的MAC是多播地址01-80-C2-00-00-00,所有支持STP协议的网桥都会接收并处理收到的BPDU报文。该报文的数据区里携带了用于生成树计算的所有有用信息。 要了解生成树协议的工作过程也不难,首先进行根桥的选举。选举的依据是网桥优先级和网桥MAC地址组合成的桥ID(Bridge ID),桥ID最小的网桥将成为网络中的根桥。在图1所示的网络中,各网桥都以默认配置启动,在网桥优先级都一样(默认优先级是32768)的情况下,MAC地址最小的网桥成为根桥,例如图1中的SW1,它的所有端口的角色都成为指定端口,进入转发状态。 接下来,其他网桥将各自选择一条 “最粗壮”的树枝作为到根桥的路径,相应端口的角色就成为根端口。假设图1中SW2和SW2、SW3之间的链路是千兆GE链路,SW1和SW3之间的链路是百兆FE链路,SW3从端口1到根桥的路径开销的默认值是19,而从端口2经过SW2到根桥的路径开销是4 4=8,所以端口2成为根端口,进入转发状态。同理,SW2的端口2成为根端口,端口1成为指定端口,进入转发状态。 根桥和根端口都确定之后一棵树就生成了,如图中实线所示。下面的任务是裁剪冗余的环路。这个工作是通过阻塞非根桥上相应端口来实现的,例如SW3的端口1的角色成为禁用端口,进入阻塞状态(图中用“×”表示)。 生成树经过一段时间(默认值是30秒左右)稳定之后,所有端口要么进入转发状态,要么进入阻塞状态。STPBPDU仍然会定时从各个网桥的指定端口发出,以维护链路的状态。如果网络拓扑发生变化,生成树就会重新计算,端口状态也会随之改变。 当然生成树协议还有很多内容,在这里不可能一一介绍。之所以花这么多笔墨介绍生成树的基本原理是因为它太“基本”了,其他各种改进型的生成树协议都是以此为基础的,基本思想和概念都大同小异。 STP协议给透明网桥带来了新生。但是,随着应用的深入和网络技术的发展,它的缺点在应用中也被暴露了出来。STP协议的缺陷主要表现在收敛速度上。 当拓扑发生变化,新的配置消息要经过一定的时延才能传播到整个网络,这个时延称为Forward Delay,协议默认值是15秒。在所有网桥收到这个变化的消息之前,若旧拓扑结构中处于转发的端口还没有发现自己应该在新的拓扑中停止转发,则可能存在临时环路。为了解决临时环路的问题,生成树使用了一种定时器策略,即在端口从阻塞状态到转发状态中间加上一个只学习MAC地址但不参与转发的中间状态,两次状态切换的时间长度都是Forward Delay,这样就可以保证在拓扑变化的时候不会产生临时环路。但是,这个看似良好的解决方案实际上带来的却是至少两倍Forward Delay的收敛时间! 为了解决STP协议的这个缺陷,在世纪之初IEEE推出了802.1w标准,作为对802.1D标准的补充。在IEEE 802.1w标准里定义了快速生成树协议RSTP(Rapid Spanning Tree Protocol)。RSTP协议在STP协议基础上做了三点重要改进,使得收敛速度快得多(最快1秒以内)。 第一点改进:为根端口和指定端口设置了快速切换用的替换端口(Alternate Port)和备份端口(Backup Port)两种角色,当根端口/指定端口失效的情况下,替换端口/备份端口就会无时延地进入转发状态。图2中所有网桥都运行RSTP协议,SW1是根桥,假设SW2的端口1是根端口,端口2将能够识别这种拓扑结构,成为根端口的替换端口,进入阻塞状态。当端口1所在链路失效的情况下,端口2就能够立即进入转发状态,无需等待两倍Forward Delay时间。 图2 RSTP冗余链路快速切换示意图  第二点改进:在只连接了两个交换端口的点对点链路中,指定端口只需与下游网桥进行一次握手就可以无时延地进入转发状态。如果是连接了三个以上网桥的共享链路,下游网桥是不会响应上游指定端口发出的握手请求的,只能等待两倍Forward Delay时间进入转发状态。 第三点改进:直接与终端相连而不是把其他网桥相连的端口定义为边缘端口(Edge Port)。边缘端口可以直接进入转发状态,不需要任何延时。由于网桥无法知道端口是否是直接与终端相连,所以需要人工配置。 可见,RSTP协议相对于STP协议的确改进了很多。为了支持这些改进,BPDU的格式做了一些修改,但RSTP协议仍然向下兼容STP协议,可以混合组网。虽然如此,RSTP和STP一样同属于单生成树SST(SingleSpanning Tree),有它自身的诸多缺陷,主要表现在三个方面。 第一点缺陷:由于整个交换网络只有一棵生成树,在网络规模比较大的时候会导致较长的收敛时间,拓扑改变的影响面也较大。 第二点缺陷:近些年IEEE802.1Q大行其道,逐渐成为交换机的标准协议。在网络结构对称的情况下,单生成树也没什么大碍。但是,在网络结构不对称的时候,单生成树就会影响网络的连通性。 图3 非对称网络示意图  图3中假设SW1是根桥,实线链路是VLAN 10,虚线链路是802.1Q的Trunk链路,Trunk了VLAN 10和VLAN 20。当SW2的Trunk端口被阻塞的时候,显然SW1和SW2之间VLAN 20的通路就被切断了。 第三点缺陷:当链路被阻塞后将不承载任何流量,造成了带宽的极大浪费,这在环行城域网的情况下比较明显。 图4 SST带宽利用率低下示意图 screen.width*0.7) {this.resized=true; this.width=screen.width*0.7; this.alt='Click here to open new windownCTRL  图4中假设SW1是根桥,SW4的一个端口被阻塞。在这种情况下,SW2和SW4之间铺设的光纤将不承载任何流量,所有SW2和SW4之间的业务流量都将经过SW1和SW3转发,增加了其他几条链路的负担。 这些缺陷都是单生成树SST无法克服的,于是支持VLAN的多生成树协议出现了。 聪明伶俐的第二代生成树协议: PVST/PVST 每个VLAN都生成一棵树是一种比较直接,而且最简单的解决方法。它能够保证每一个VLAN都不存在环路。但是由于种种原因,以这种方式工作的生成树协议并没有形成标准,而是各个厂商各有一套,尤其是以Cisco的VLAN生成树PVST(Per VLAN Spanning Tree)为代表。 为了携带更多的信息,PVSTBPDU的格式和STP/RSTPBPDU格式已经不一样,发送的目的地址也改成了Cisco保留地址01-00-0C-CC-CC-CD,而且在VLAN Trunk的情况下PVST BPDU被打上了802.1Q VLAN标签。所以,PVST协议并不兼容STP/RSTP协议。 Cisco很快又推出了经过改进的PVST+协议,并成为了交换机产品的默认生成树协议。经过改进的PVST+协议在VLAN 1上运行的是普通STP协议,在其他VLAN上运行PVST协议。PVST+协议可以与STP/RSTP互通,在VLAN 1上生成树状态按照STP协议计算。在其他VLAN上,普通交换机只会把PVST BPDU当作多播报文按照VLAN号进行转发。但这并不影响环路的消除,只是有可能VLAN 1和其他VLAN的根桥状态可能不一致。 图5 PVST 与SST对接示意图  图5中所有链路默认VLAN是VLAN 1,并且都Trunk了VLAN 10和VLAN 20。SW1和SW3运行单生成树SST协议,而SW2运行PVST+协议。在VLAN 1上,可能SW1是根桥,SW2的端口1被阻塞。在VLAN 10和VLAN 20上,SW2只能看到自己的PVSTBPDU,所以在这两个VLAN上它认为自己是根桥。VLAN 10和VLAN 20的PVST BPDU会被SW1和SW3转发,所以SW2检测到这种环路后,会在端口2上阻塞VLAN 10和VLAN 20。这就是PVST+协议提供的STP/RSTP兼容性。可以看出,网络中的二层环路能够被识别并消除,强求根桥的一致性是没有任何意义的。 由于每个VLAN都有一棵独立的生成树,单生成树的种种缺陷都被克服了。同时,PVST带来了新的好处,那就是二层负载均衡。 图6 PVST+负载均衡示意图  图6中四台设备都运行PVST+协议,并且都Trunk了VLAN 10和VLAN 20。假设SW1是所有VLAN的根桥,通过配置可以使得SW4端口1上的VLAN 10和端口2上的VLAN 20阻塞,SW4的端口1所在链路仍然可以承载VLAN20的流量,端口2所在链路也可以承载VLAN 10的流量,同时具备链路备份的功能。这在以往的单生成树情况下是无法实现的。 聪明伶俐的PVST/PVST+协议实现了VLAN认知能力和负载均衡能力,但是新技术也带来了新问题,PVST/PVST+协议也有它们的“难言之隐”。 第一点缺陷:由于每个VLAN都需要生成一棵树,PVST BPDU的通信量将正比于Trunk的VLAN个数。 第二点缺陷:在VLAN个数比较多的时候,维护多棵生成树的计算量和资源占用量将急剧增长。特别是当Trunk了很多VLAN的接口状态变化的时候,所有生成树的状态都要重新计算,CPU将不堪重负。所以,Cisco交换机限制了VLAN的使用个数,同时不建议在一个端口上Trunk很多VLAN。 第三点缺陷:由于协议的私有性,PVST/PVST+不能像STP/RSTP一样得到广泛的支持,不同厂家的设备并不能在这种模式下直接互通,只能通过一些变通的方式实现,例如Foundry的IronSpan。IronSpan默认情况下运行的是STP协议,当某个端口收到PVSTBPDU时,该端口的生成树模式会自动切换成PVST/PVST+兼容模式。 一般情况下,网络的拓扑结构不会频繁变化,所以PVST/PVST+的这些缺点并不会很致命。但是,端口Trunk大量VLAN这种需求还是存在的。于是,Cisco对PVST/PVST+又做了新的改进,推出了多实例化的MISTP协议。 多实例化的第三代生成树协议:MISTP/MSTP 多实例生成树协议MISTP(Multi-Instance Spanning TreeProtocol)定义了“实例”(Instance)的概念。简单的说,STP/RSTP是基于端口的,PVST/PVST+是基于VLAN的,而MISTP就是基于实例的。所谓实例就是多个VLAN的一个集合,通过多个VLAN捆绑到一个实例中去的方法可以节省通信开销和资源占用率。 在使用的时候可以把多个相同拓扑结构的VLAN映射到一个实例里,这些VLAN在端口上转发状态将取决于对应实例在MISTP里的状态。值得注意的是网络里的所有交换机的VLAN和实例映射关系必须都一致,否则会影响网络连通性。为了检测这种错误,MISTPBPDU里除了携带实例号以外,还要携带实例对应的VLAN关系等信息。MISTP协议不处理STP/RSTP/PVST BPDU,所以不能兼容STP/RSTP协议,甚至不能向下兼容PVST/PVST+协议,在一起组网的时候会出现环路。为了让网络能够平滑地从PVST+模式迁移到MISTP模式,Cisco在交换机产品里又做了一个可以处理PVST BPDU的混合模式MISTP-PVST+。网络升级的时候需要先把设备都设置成MISTP-PVST+模式,然后再全部设置成MISTP模式。 MISTP带来的好处是显而易见的。它既有PVST的VLAN认知能力和负载均衡能力,又拥有可以和SST媲美的低CPU占用率。不过,极差的向下兼容性和协议的私有性阻挡了MISTP的大范围应用。 多生成树协议MSTP(Multiple Spanning Tree Protocol)是IEEE 802.1s中定义的一种新型多实例化生成树协议。这个协议目前仍然在不断优化过程中,现在只有草案(Draft)版本可以获得。不过Cisco已经在CatOS 7.1版本里增加了MSTP的支持,华为公司的三层交换机产品Quidway系列交换机也即将推出支持MSTP协议的新版本。 MSTP协议精妙的地方在于把支持MSTP的交换机和不支持MSTP交换机划分成不同的区域,分别称作MST域和SST域。在MST域内部运行多实例化的生成树,在MST域的边缘运行RSTP兼容的内部生成树IST(Internal Spanning Tree)。 图7 MSTP工作原理示意图  图7中间的MST域内的交换机间使用MSTP BPDU交换拓扑信息, SST域内的交换机使用STP/RSTP/PVST+ BPDU交换拓扑信息。在MST域与SST域之间的边缘上,SST设备会认为对接的设备也是一台RSTP设备。而MST设备在边缘端口上的状态将取决于内部生成树的状态,也就是说端口上所有VLAN的生成树状态将保持一致。 MSTP设备内部需要维护的生成树包括若干个内部生成树IST,个数和连接了多少个SST域有关。另外,还有若干个多生成树实例MSTI(Multiple Spanning Tree Instance)确定的MSTP生成树,个数由配置了多少个实例决定。 MSTP相对于之前的种种生成树协议而言,优势非常明显。MSTP具有VLAN认知能力,可以实现负载均衡,可以实现类似RSTP的端口状态快速切换,可以捆绑多个VLAN到一个实例中以降低资源占用率。最难能可贵的是MSTP可以很好地向下兼容STP/RSTP协议。而且,MSTP是IEEE标准协议,推广的阻力相对小得多。 可见,各项全能的MSTP协议能够成为当今生成树发展的一致方向是当之无愧的。 生成树协议的未来之路 任何技术的发展都不会因为某项“理想”技术的出现而停滞,生成树协议的发展历程本身就说明了这一点。随着应用的深入,各种新的二层隧道技术不断涌现,例如Cisco的802.1QTunneling,华为QuidwayS8016的QinQ,以及基于MPLS的二层VPN技术等。在这种新形势下,用户和服务提供商对生成树协议又会有新的需求。生成树协议该往何处走?这个问题虽然现在还没有一个统一的答案,但是各厂商已经开始了这方面的积极探索。也许不久的将来,支持二层隧道技术的生成树协议将成为交换机的标准协议。 |
1.具体功能 该命令用于在本地IP路由表中显示和修改条目。使用不带参数的ROUTE可以显示帮助。 2.语法详解 route [-f] [-p] [command [destination] [mask netmask] [gateway] [metric metric] [if interface] 3.参数说明 -f 清除所有不是主路由(子网掩码为255.255.255.255的路由)、环回网络路由(目标为127.0.0.0,子网掩码为 255.255.255.0的路由)或多播路由(目标为224.0.0.0,子网掩码为240.0.0.0的路由)的条目的路由表。如果它与命令之一(例如Add、Change或Delete)结合使用,表会在运行命令之前清除。 -p 与Add命令共同使用时,指定路由被添加到注册表并在启动TCP/IP协议的时候初始化IP路由表。默认情况下,启动TCP/IP协议时不会保存添加的路由,与Print命令一起使用时,则显示永久路由列表。所有其他的命令都忽略此参数。永久路由存储在注册表中的位置是 HKEY_LOCAL_MACHSYSTEMCurrentControlSetServicesTcpipParametersPersistentRoutes。 command 指定要运行的命令。下表列出了有效的命令。 destination 指定路由的网络目标地址。目标地址可以是一个IP网络地址(其中网络地址的主机地址位设置为0),对于主机路由是IP地址,对于默认路由是0.0.0.0。mask subnetmask 指定与网络目标地址相关联的网掩码(又称子网掩码)。子网掩码对于IP网络地址可以是一适当的子网掩码,对于主机路由是255.255.255.255 ,对于默认路由是0.0.0.0。如果忽略,则使用子网掩码255.255.255.255。定义路由时由于目标地址和子网掩码之间的关系,目标地址不能比它对应的子网掩码更为详细。换句话说,如果子网掩码的一位是0,则目标地址中的对应位就不能设置为1。 gateway 指定超过由网络目标和子网掩码定义的可达到的地址集的前一个或下一个跃点IP地址。对于本地连接的子网路由,网关地址是分配给连子网接口的IP地址。对于要经过一个或多个路由器才可用到的远程路由,网关地址是一个分配给相邻路由器的、可直接达到的IP地址。 metric metric 为路由指定所需跃点数的整数值(范围是1~9999),它用来在路由表里的多个路由中选择与转发包中的目标地址最为匹配的路由。所选的路由具有最少的跃点数。跃点数能够反映跃点的数量、路径的速度、路径可靠性、路径吞吐量以及管理属性。 if interface 指定目标可以到达的接口的接口索引。使用Route print命令可以显示接口及其对应接口索引的列表。对于接口索引可以使用十进制或十六进制的值。对于十六进制值,要在十六进制数的前面加上0x。忽略if参数时,接口由网关地址确定。 注意:路由表中跃点数一列的值较大是由于允许TCP/IP根据每个LAN接口的IP地址、子网掩码和默认网关的配置自动确定路由表中路由的跃点数造成的。默认启动的自动确定接口跃点数确定了每个接口的速度,调整了每个接口的路由跃点数,因此最快接口所创建的路由具有最低的跃点数。要删除大跃点数,请在每个 LAN连接的TCP/IP协议的高级属性中禁用自动确定接口跃点数。 如果在systemrootSystem32DriversEtc文件夹的本地网络文件中存在适当的条目,名称可以用于Destination。只要名称可以通过“域名系统”(DNS)查询这样的标准主机名解析技术分解为IP地址,就可以将其用于Gateway,DNS查询使用存储在 systemrootSystem32DriversEtc 文件夹下的本地主机文件和NetBIOS 名称解析。 如果是Print或Delete命令,可以忽略Gateway参数,使用通配符来表示目标和网关。Destination的值可以是由星号(*)指定的通配符。如果指定目标含有一个星号(*)或问号(?),它被看作是通配符,只打印或删除匹配的目标路由。星号代表任意一字符序列,问号代表任一字符。例如, 10.*.1、192.168.*、127.*和*224*都是星号通配符的有效使用。 使用了无效的目标和子网掩码(网掩码)值的组合,会显示“Route bad gateway address netmask”错误消息。目标中有一位或多位设置为1,而其在子网掩码中的对应位设置为0时会发生这个错误。可以通过二进制表示法表示目标和子网掩码来检查这种情况。以二进制表示的子网掩码包括表示目标网络地址部分的一连串的1和表示目标主机地址部分的一连串的0两个部分。查看目标以确定目标的主机地址部分(由子网掩码所定义) 是否有些位设置成了1。 Windows 98 的Route命令不支持-p参数。 只有当TCP/IP协议在网络连接中安装为网络适配器属性的组件时,该命令才可用。 4.例举说明 例子1:要显示IP路由表的完整内容,执行以下命令: route print 例子2:要显示IP路由表中以10.开始的路由,执行以下命令: route print 10.* 例子3:要添加默认网关地址为192.168.12.1的默认路由,执行以下命令: route add 0.0.0.0 mask 0.0.0.0 192.168.12.1 例子4:要添加目标为10.41.0.0,子网掩码为255.255.0.0,下一个跃点地址为10.27.0.1的路由,执行以下命令: route add 10.41.0.0 mask 255.255.0.0 10.27.0.1 例子5:要添加目标为10.41.0.0,子网掩码为255.255.0.0,下一个跃点地址为10.27.0.1的永久路由,执行以下命令: route -p add 10.41.0.0 mask 255.255.0.0 10.27.0.1 例子6:要添加目标为10.41.0.0,子网掩码为255.255.0.0,下一个跃点地址为10.27.0.1,跃点数为7的路由,执行以下命令: route add 10.41.0.0 mask 255.255.0.0 10.27.0.1 metric 7 例子7:要添加目标为10.41.0.0,子网掩码为255.255.0.0,下一个跃点地址为10.27.0.1,接口索引为0x3的路由,执行以下命令: route add 10.41.0.0 mask 255.255.0.0 10.27.0.1 if 0x3 例子8:要删除目标为10.41.0.0,子网掩码为255.255.0.0的路由,执行以下命令: route delete 10.41.0.0 mask 255.255.0.0 例子9:要删除IP路由表中以10.开始的所有路由,执行以下命令: route delete 10.* 例子10:要将目标为10.41.0.0,子网掩码为255.255.0.0的路由的下一个跃点地址由10.27.0.1更改为10.27.0.25,执行以下命令: route change 10.41.0.0 mask 255.255.0.0 10.27.0.25 Route 大多数主机一般都是驻留在只连接一台路由器的网段上。由于只有一台路由器,因此不存在使用哪一台路由器将数据包发表到远程计算机上去的问题,该路由器的IP地址可作为该网段上所有计算机的缺省网关来输入。 但是,当网络上拥有两个或多个路由器时,你就不一定想只依赖缺省网关了。实际上你可能想让你的某些远程IP地址通过某个特定的路由器来传递,而其他的远程IP则通过另一个路由器来传递。 在这种情况下,你需要相应的路由信息,这些信息储存在路由表中,每个主机和每个路由器都配有自己独一无二的路由表。大多数路由器使用专门的路由协议来交换和动态更新路由器之间的路由表。但在有些情况下,必须人工将项目添加到路由器和主机上的路由表中。Route就是用来显示、人工添加和修改路由表项目的。 route print--本命令用于显示路由表中的当前项目,由于用IP地址配置了网卡,因此所有的这些项目都是自动添加的。 route add--使用本命令,可以将信路由项目添加给路由表。例如,如果要设定一个到目的网络209.98.32.33的路由,其间要经过5个路由器网段,首先要经过本地网络上的一个路由器,器IP为202.96.123.5,子网掩码为255.255.255.224,那么你应该输入以下命令: route add 209.98.32.33 mask 255.255.255.224 202.96.123.5 metric 5 route change--你可以使用本命令来修改数据的传输路由,不过,你不能使用本命令来改变数据的目的地。下面这个例子可以将数据的路由改到另一个路由器,它采用一条包含3个网段的更直的路径: route add 209.98.32.33 mask 255.255.255.224 202.96.123.250 metric 3 route delete--使用本命令可以从路由表中删除路由。例如:route delete 209.98.32.33 ------------------------------------------------------------------------------ 使用 Route 命令行实用工具 可以使用 Route 命令行工具查看并编辑计算机的 IP 路由表。Route 命令和语法如下所示: route [-f] [-p] [Command [Destination] [mask Netmask] [Gateway] [metric Metric]] [if Interface]]
示例 若要显示 IP 路由表的全部内容,请键入: route print 若要显示以 10. 起始的 IP 路由表中的路由,请键入: route print 10.* 若要添加带有 192.168.12.1 默认网关地址的默认路由,请键入: route add 0.0.0.0 mask 0.0.0.0 192.168.12.1 若要向带有 255.255.0.0 子网掩码和 10.27.0.1 下一跃点地址的 10.41.0.0 目标中添加一个路由,请键入: route add 10.41.0.0 mask 255.255.0.0 10.27.0.1 若要向带有 255.255.0.0 子网掩码和 10.27.0.1 下一跃点地址的 10.41.0.0 目标中添加一个永久路由,请键入: route -p add 10.41.0.0 mask 255.255.0.0 10.27.0.1 若要向带有 255.255.0.0 子网掩码、10.27.0.1 下一跃点地址且其成本值标为 7 的 10.41.0.0 目标中添加一个路由,请键入: route add 10.41.0.0 mask 255.255.0.0 10.27.0.1 metric 7 若要向带有 255.255.0.0 子网掩码、10.27.0.1 下一跃点地址且使用 0x3 接口索引的 10.41.0.0 目标中添加一个路由,请键入: route add 10.41.0.0 mask 255.255.0.0 10.27.0.1 if 0x3 若要删除到带有 255.255.0.0 子网掩码的 10.41.0.0 目标的路由,请键入: route delete 10.41.0.0 mask 255.255.0.0 若要删除以 10. 起始的 IP 路由表中的所有路由,请键入: route delete 10.* 若要将带有 10.41.0.0 目标和 255.255.0.0 子网掩码的下一跃点地址从 10.27.0.1 修改为 10.27.0.25,请键入: route change 10.41.0.0 mask 255.255.0.0 10.27.0.25 |
在局域网内 XP不能和 98的电脑互相访,2K和2K、XP与XP也不能互相通信。在工作站访问服务器时,工作站的“网上邻居”中可以看到服务器的名称,但是点击后却无法看到任何共享内容,或者提示找不到网络路径、无权访问等问题,归纳为以下几点:
如果是XP的话,在首次使用的时候要在网上邻居的属性里面进行网络安装向导。
1、检查计算机之间的物理连接。
网卡是否安装正确,在系统中是否存在资源冲突。交换机或者集线器等网络设备是否正常工作。网线是否都是通的,接法是不是正确(如果有中心节点的局域网,网线要用直通线,两头都是用568B的接法;双机通过网卡直接互联,网线应该用交叉线,一头为568A,一头为568B;没有UP-link端口的集线器级联要用交叉线,交换机和集线器级联,交换机和交换机级联都用直通线。568A接法:绿白、绿、橙白、蓝、蓝白、橙、棕白、棕;568B接法:橙白、橙、绿白、蓝、蓝白、绿、棕白、棕)。
2、确保所有计算机上都安装了TCP/IP协议,并且工作正常。
检测 TCP/IP协议是否正常工作,可以PING 127.0.0.1,如果ping通,证明正常。
在98和2k中添加删除协议是很简单,这里就不介绍了。但是该协议是Microsoft XP/ 2003的核心组件,是不能删除(不信你可以到XP里,卸载的按钮是灰色不可用的)。但是我们可以使用NetShell实用程序使TCP/IP协议恢复到初次安装操作系统时的状态。
在命令提示符里运行该命令:
netsh int ip reset c:resetlog.txt,
其中,Resetlog.txt记录命令结果的日志文件,一定要指定,这里指定了Resetlog.txt日志文件及完整路径。运行此命令的结果与删除并重新安装TCP/IP协议的效果相同。
3、使用ping命令测试网络中两台计算机之间的连接和网络中名称解析是否正常
ping对方IP是很简单的,这里不多说了,不明白的自己上网搜资料去。ping名称格式ping 计算机的名称。通过ping命令用名称测试计算机连接,确定计算机的名称的方法是:在命令提示符处,输入SYSTEMINFO。或者在桌面上右击我的电脑-属性,然后单击计算机名称。如果看到该命令的成功答复,说明您在计算机之间具有基本连接和名称解析。
4、正确设置网络:
IP地址是否在同一个子网内。在TCP/IP协议上是否捆绑NETBIOS解析计算机名(在TCP/IP协议属性——高级——WINS——选择启用TCP/IP上的NETBIOS)。
查看是否选定“文件和打印服务”组件,所有计算机也都必须启用“文件和打印共享”。在网上邻居和本地连接属性里可以看到是否安装了打印机与文件共享。如果在网上邻居中看不到自己的机器,说明你没有安装打印机与文件共享。
5、启动"计算机浏览器"服务
WIN2K/XP要确保计算机浏览服务正常启动。打开计算机管理->服务和应用程序->服务,查看“Computer Browser”没有被停止或禁用。
6、运行网络标识向导,将你的计算机加入局域网
控制面板——系统——计算机名,单击“网络 ID”,开始“网络标识向导”下一步之后,选择第一项“本机是商业网络的一部分,用它连接到其他工作着的计算机”;继续“下一步”,选择“公司使用没有域的网络”;再下一步,就输入你的局域网的工作组的名称。完成之后,重新启动计算机!
7、Win2k和XP安装NetBEUI协议
在Win2k和XP中NetBEUI协议是一个高效协议在局域网中使,因此最好能安装此协议
2K中的安装:网上邻居->属性->本地连接->属性---->安装------>协议------->NetBEUI Protocol
NetBEUI 通讯协议已不是 Windows XP 的一部份 ,但仍然将它保存在 Windows XP 的光盘内, 安装办法如下:
将 Windows XP 的光盘放入光驱内,并开启 \VALUEADD\MSFT\NET\NETBEUI 目录;
复制 nbf.sys 到 %SYSTEMROOT%\SYSTEM32\DRIVERS\ 目录
复制 netnbf.inf 到 %SYSTEMROOT%\INF\ 目录
网上邻居——属性——本地连接——属性——安装——协议—— 选NetBEUI Protocol——添加,便进行安装 重新启动电脑生效
8、启用Guest(来宾)帐户
XP和2k的Guest帐户允许其他人使用你的电脑,但不允许他们访问特定的文件,也不允许他们安装软件。可以使用下面的命令授予来宾帐户网络访问:
net user guest /active:yes
或者打开控制面板->用户帐户或者在管理工具->计算机管理->本地用户和组中打开Guest帐户
9、查看本地安全策略设置是否允许Guest(来宾)帐号从网络上访问。
在运行里输入gpedit.msc,弹出组策略管理器,在‘计算机配置-Windows设置-本地策略-用户权利指派’中,有“拒绝从网络访问这台计算机”策略阻止从网络访问这台计算机,如果其中有GUEST帐号,解决办法是删除拒绝访问中的GUEST帐号。或者在“从网络上访问该计算机”添加帐号
10、正确设置防火墙:
确保WINXP自带的防火墙没有开启,打开本地连接属性->高级,关掉Internet连接防火墙。如果使用了第三方的防火墙产品,参考其使用手册,确保防火墙没有禁用以下端口:UDP-137、UDP-138、TCP-139、TCP-445。
11、检查RPC、Plug and Play服务已启动,检查相应的系统文件夹的权限,重新注册以下的动态链接库:
regsvr32 netshell.dll
regsvr32 netcfgx.dll
regsvr32 netman.dll
12、设置帐号和密码
由于WinNT内核的操作系统,在访问远程计算机的时候,好像总是首先尝试用本地的当前用户名和密码来尝试,可能造成无法访问,可以在要访问的计算机中把用户密码添加进去,并在‘计算机配置-Windows设置-本地策略-用户权利指派’中,在“从网络上访问该计算机”中添加用户就可以了。
13、尝试用多种方法访问“网络计算机”
通过IP访问,在地址栏上输入在地址输入栏中输入“\IP地址”,单击“确定”。 通过计算机用计算机名访问,在地址栏输入“\计算机名字”,单击“确定”。
用搜索计算机的方法访问,计算机更新列表需要时间,搜索计算机可以加快更新列表。点击“网上邻居”右键中的“搜索计算机”,输入计算机名,点击“立即搜索”,就可以看到你要访问的计算机。直接双击右边计算机名就可以打开它了。
用映射驱动器的方法访问,进入命令提示符,输入“NET VIEW 计算机名”,回车这是查看对方计算机上有哪些共享文件夹,如E。再输入NET USE Z:计算机名字E将对方计算机共享的文件夹E映射为H:盘,在命令提示符下键入“H:”。你会发现你已经连到计算机上了。
14、改变网络访问模式:
打开组策略编辑器,依次选择“计算机配置→Windows设置→安全设置→本地策略→安全选项”,双击“网络访问:本地账号的共享和安全模式”策略,将默认设置“仅来宾—本地用户以来宾身份验证”,更改为“经典:本地用户以自己的身份验证”。
现在,当其他用户通过网络访问使用Windows XP的计算机时,就可以用自己的“身份”进行登录了(前提是Windows XP中已有这个账号并且口令是正确的)。
当该策略改变后,文件的共享方式也有所变化,在启用“经典:本地用户以自己的身份验证”方式后,我们可以对同时访问共享文件的用户数量进行限制,并能针对不同用户设置不同的访问权限。
但是用户的口令为空时,访问还是会被拒绝。这是应为在“安全选项”中有一个“账户:使用空白密码的本地账户只允许进行控制台登录”策略默认是启用的,根据Windows XP安全策略中拒绝优先的原则,密码为空的用户通过网络访问使用Windows XP的计算机时便会被禁止。我们只要将这个策略停用即可解决问题。
附录一:关于IPX/SPX协议
IPX/SPX协议本来就是Novell开发的专用于NetWare网络中的协议。但为什么要在windows LAN内有它的身影呢??除了为了支持路由到NetWare网络之外,另外就是因为大部分可以联机的游戏都支持IPX/SPX协议,比如以前的红色警戒、罗马帝国、还有现在的星际争霸,反恐精英等等。虽然这些游戏通过TCP/IP协议也能联机,但是通过IPX/SPX协议更省事,因为根本不需要任何设置就可以正常联机了!
除此之外,IPX/SPX协议在局域网络中就没有别的用途了,如果确定不在局域网中联机玩游戏或者要通过路由器路由到NetWare网络,那么这个协议是不必要的。
附录二:TCP/IP协议和NETbios、NETBUEI协议简单介绍:
网络协议有上千种之多,遍及OSI通信模型的七个层次,从我们非常熟悉的TCP/IP、HTTP、FTP协议,到NetBEUI(NETBIOS)、 IPX/SPX OSPF、IGP等协议!对于普通用户而言,是不需要关心太多的底层通信协议的,因为在实际中,底层通信协议一般会自动工作,不需要特别的设置。但是对于第三层以上的协议,就不同了!例如TCP/IP协议一般就需要设置才能正常工作。
TCP/IP作为互联网的基础协议(在局域网上当然也能畅通无阻的),没有它就根本不可能上网,任何和互联网有关的工作都离不开TCP/IP协议。不过TCP/IP协议也是这三大协议中配置起来最麻烦的一个,单机上网还好,通过局域网访问互联网的话,就要详细设置IP地址,网关,子网掩码,DNS服务器了(要不你就在服务器上大展拳脚,设置DHCP咯!不过一样麻烦)。
虽然TCP/IP照样适用于局域网,但在局域网中的它的通信效率的稳定性都不高,所以有些朋友使用它在浏览“网上邻居”中的计算机时,会出现不能正常浏览的现象。所以就要安装NetBEUI协议了。
这里先和大家介绍一下NetBEUI和NETBIOS的区别,其实NetBEUI(NetBios Enhanced User Interface) 英文直译就是NetBios增强用户接口。是NetBIOS协议的增强版本。
而NetBIOS协议(NetWork Basic Input/Output System)直译为网络基本输入/输出系统,是由IT的大佬IBM公司开发的局域网基础的协议!
如果是老玩家的话就知道了,用windows98以前的操作系统上internet的时候,往往要自己添加TCP/IP协议,这是因为windows98之前的操作系统的缺省协议是NetBEUI而不是TCP/IP。呵呵,是不是和现在倒过来呢?可见internet发展的迅速啊!
NetBEUI协议是一种短小精悍、通信效率高的广播型协议,它不需要进行任何设置,特别适合于在“网络邻居”传送数据。可以说它是专为小型局域网设计的网络协议,对那些无需跨经路由器与大型主机通信和连接internet的小型局域网,往往安装NetBEUI协议就绰绰有余了。本文出自 51CTO.COM技术博客
我们到底是为了什么而学习呢?我经常这么想着~~~~~~~
我们在大学里学的,在社会上,我们能用到多少呢?
我们所学的专业能有多少是对口的呢?
胡锦涛,他难道上的是国家主席专业?
我还是认为,学习=爱好。
我也不知道怎么的,和班里的几个同学总是和不来。
我们大学四年,我们还是很冷漠!难道是我太孤傲啦?
现在思绪很混乱~~~~~~~~~~~~~~
今天早晨,在欧克一百,我有看到“她”了,“她”正在帮“她”男友英语四六级考试作弊。
不知,何时起,我见到“她”已经失去了往日的不愉快。现在,我们可能真的成为陌生人了。这是我们的约定(我提出),成为陌生人。当初,做出这个决定,我是考虑到自己会吃亏(她说我们做一个好朋友,我没有同意)。她也就英语好一点,我能用得到的。
今天不知道是高兴还是忧郁,多了几分惆怅!突然想起~~~~~~~~~~~~~~~
此刻,我闭目静静的冥想~~~~~~~~~~~~~~~~
拈花微笑,愿作花儿,
不渴望四季红艳,
只要美丽时分,君正含情而笑
拈花微笑, 恰是我等待
孤独吗?我不知道要孤独到什么时候……
悲哀吗?我无尚悲哀…
请允许我拈花,举起一畦企盼
请允许我微笑,让花儿告诉你
它的春天只有一次
一瓣有一瓣的悲伤与苦痛
此刻,月儿像梨花柔红
星儿如雏菊黝青,
送朵花儿给你花正如我,开在此季此刻
佛曰:合掌为朴素的敬礼
微笑又如莲花的纯净
是我, 望一秋又一秋凝重的岁月逝去
有谁知,开放中有着我太多的泪水……
花开为谁?芳魂无语
美丽, 无法自己凝眸
只能看一抹银光洒落
染映湖上一轮弦月……
花谢为谁?芳魂无泪
还请允许我绚烂的开放
让我香气四溢
再请允许我妩媚无比
让你温柔待我
一如我等你 在花谢的季节里
原来, 拈花微笑
终是心心相印了
我不惧岁月的的沧桑
我知你总会自远方而来
远方的风能催开无颜花色
由单调到绚烂,进入梦的花园
于是我微笑
因为有一个你能懂
且任泪水欣然滑落
|
基本要求 1.了解大型网络系统规划、管理方法; 2.具备中小型网络系统规划、设计的基本能力; 3.掌握中小型网络系统组建、设备配置调试的基本技术; 4.掌握企事业单位中小型网络系统现场维护与管理基本技术; 5.了解网络技术的发展。 考试内容 一、网络规划与设计 1.网络需求分析。 2.网络规划设计。 3.网络设备及选型。 4.网络综合布线方案设计。 5.接人技术方案设计 6.IP地址规划与路由设计。 7.网络系统安全设计 二、网络构建 1.局域网组网技术。 (1)网线制作方法、 (2)交换机配置与使用方法。 (3)交换机端口的基本配置。 (4)交换机VLAN配置。 (5)交换机STP配置。 2.路由器配置与使用。 (1)路由器基本操作与配置方法 (2)路由器接口配置 (3)路由器静态路由配置。 (4)RIP动态路由配置。 (5)OSPF动态路由配置。 3.路由器高级功能。 (1)设置路由器为DHCP服务器。 (2)访问控制列表的配置。
|