博文
关于IP-MAC地址绑定的交换机设置问题(2009-03-04 17:26:00)
摘要:
IP地址与MAC地址的关系: IP地址是根据现在的IPv4标准指定的,不受硬件限制比较容易记忆的地址,长度4个字节。而 MAC地址却是用网卡的物理地址,保存在网卡的EPROM里面,与硬件有关系,比较难于记忆,长度为6个字节。
虽然在TCP/IP网络中,计算机往往需要设置IP地址后才能通讯,然而,实际上计算机之间的通讯并不是通过IP地址,而是借助于网卡的MAC地址。IP地址只是被用于查询欲通讯的目的计算机的MAC地址。
ARP协议是用来向对方的计算机、网络设备通知自己IP对应的MAC地址的。在计算机的 ARJ缓存中包含一个或多个表,用于存储IP地址及其经过解析的以太网MAC地址。一台计算机与另一台IP地址的计算机通讯后,在ARP缓存中会保留相应的MAC地址。所以,下次和同一个IP地址的计算机通讯,将不再查询MAC地址,而是直接引用缓存中的MAC地址。
在交换式网络中,交换机也维护一张MAC地址表,并根据MAC地址,将数据发送至目的计算机。
为什么要绑定MAC与IP 地址:IP地址的修改非常容易,而MAC地址存储在网卡的EEPROM中,而且网卡的MAC地址是唯一确定的。因此,为了防止内部人员进行非法IP盗用(例如盗用权限更高人员的IP地址,以获得权限外的信息),可以将内部网络的IP地址与MAC地址绑定,盗用者即使修改了IP地址,也因MAC地址不匹配而盗用失败:而且由于网卡MAC地址的唯一确定性,可以根据MAC地址查出使用该MAC地址的网卡,进而查出非法盗用者。
目前,很多单位的内部网络,都采用了MAC地址与IP地址的绑定技术。下面我们就针对Cisco的交换机介绍一下IP和MAC绑定的设置方案。
在Cisco中有以下三种方案可供选择,方案1和方案2实现的功能是一样的,即在具体的交换机端口上绑定特定的主机的MAC地址(网卡硬件地址),方案3是在具体的交换机端口上同时绑定特定的主机的MAC地址(网卡硬件地址)和IP地址。
1.方案1——基于端口的MAC地址绑定
思科2950交换机为例,登录进入交换机,输入管理口令进入配置模式,敲入命令:
Switch#config terminal
#进入配置模式
Switch(config)# Interface fastethernet 0/1
#进......
路由器防火墙配置命令(2009-03-04 17:24:00)
摘要:
disable 表示禁止防火墙。
【缺省情况】
系统缺省为禁止防火墙。
【命令模式】
全局配置模式
【使用指南】
使用此命令来启用或禁止防火墙,可以通过show firewall命令看到相应结果。如果采用了时间段包过滤,则在防火墙被关闭时也将被关闭;该命令控制防火墙的总开关。在使用 firewall disable 命令关闭防火墙时,防火墙本身的统计信息也将被清除。
【举例】
启用防火墙。
Quidway(config)#firewall enable
【相关命令】
access-list,ip access-group
四、firewall default 配置防火墙在没有相应的访问规则匹配时,缺省的过滤方式。
firewall default { permit | deny }
【参数说明】
permit 表示缺省过滤属性设置为“允许”。
deny 表示缺省过滤属性设置为“禁止”。
【缺省情况】
在防火墙开启的情况下,报文被缺省允许通过。
【命令模式】
全局配置模式
【使用指南】
当在接口应用的规则没有一个能够判断一个报文是否应该被允许还是禁止时,缺省的过滤属性将起作用;如果缺省过滤属性是“允许”,则报文可以通过,否则报文被丢弃。
【举例】
设置缺省过滤属性为“允许”。
Quidway(config)#firewall default permit
五、ip access-group 使用此命令将规则应用到接口上。使用此命令的no形式来删除相应的设置。
ip access-group listnumber { in | out }
[ no ] ip access-group listnumber { in | out }
【参数说明】
listnumber 为规则序号,是1~199之间的一个数值。
in 表示规则用于过滤从接口收上来的报文。
out 表示规则用于过滤从接口转发的报文。
【缺省情况】
没有规则应用于接口。
【命令模式】
接口配置模式。
【使用指南】
使用此命令来将规则应用到接口上;如果要过滤从接口收上来的报文,则使用 in 关键字;如果要过滤从接口转发的报文,使用out 关键字。一......
如何用路由器设置来限制访问及控制上网速度?(2009-03-04 17:23:00)
摘要:
P2P软件与TP-LINK宽带路由器P2P全称peer-to-peer,可定义为:以非集中方式使用分布式资源来完成关键任务的一类系统和应用。定义中有两点解释一下:1、资源――包括计算能力、数据、网络带宽等;2、关键任务――分布式计算、文件共享、平台服务、协同通信等。对一般用户群体来说,使用得最多的当然是文件共享。这类软件有几种典型代表:BT、电驴、迅雷、QQ直播、PPStream等。
下图是一个混合型的P2P结构图,最常用的一种:
图1 混合型P2P结构图
P2P软件在下载(download)的同时,也在为其他用户提供上传(upload),所以不会随着用户数的增加而降低下载速度。简单的说就是:下载的人越多,速度越快。
接着,就图1来看看BT具体的工作原理:首先,有个tracker服务器,提供种子下载,同时把一个原始文件分成了Z个部分,A在服务器随机下载了第N个部分,B在服务器随机下载了第M个部分,这样A的BT就会根据情况到B的电脑上去拿B已经下载好的M部分,B的BT就会根据情况去到A的电脑上去拿A已经下载好的N部分,这样就服务器端得负荷就比较小,同时也加快了用户方(A、B)的下载速度,效率也提高了,更同样减少了地域之间的限制。比如说C要连到服务器去下载的话可能才几K,但是要是到A和B的电脑上去拿就快得多了。所以说用的人越多,下载的人越多,大家也就越快。而且,在你下载的同时,你也在上传(别人从你的电脑上拿那个文件的某个部分)。
其他P2P软件的原理都是类似的。
BT等软件在下载的同时又作为种子为其他人提供下载服务,由于ADSL上行带宽最大只有512K,所以使用P2P软件后更容易造成局域网出口上行带宽的拥塞,但是任何上网操作均需要上行/下行两个方向的流量,如果上行带宽被占满,就会影响到所有用户的使用,表现为速度变慢。所以,这里建议使用BT的时候,上传速度不宜设置得太大;否则,会影响下载速度的。原因就是上传速度过大,会导致上行带宽阻塞。
从P2P软件应用来看,有人喜,也有人忧。喜的是可以免费下载海量的文件;忧的是,网络带宽被大量占用,影响了网络性能。那么,为了更好的使用P2P软件,路由器该如何设置呢?
第一、 接了路由器之后,BT下载速度变慢,怎么办?
对这种情况,您只需要在“转发规......
网络低俗之风泛滥,网络监管刻不容缓(2009-03-04 17:22:00)
摘要:互联网自从诞生以来,人类的生活生产得到了革命性的突破。事情总是有其两面性,《双城记》的开头说:这是最好的时代,这是最坏的时代;这是智慧的时代,这是愚蠢的时代。把这句话用来比喻网络时代也十分恰当。网络也是一把双刃剑,灯光迷离之下,魔鬼与上帝同在。当前网络低俗之风日益泛滥。互联网为人类创造了一个前所未有的虚拟空间,那同时也为低俗内容的出现铺好了温床。粗鲁的宣泄,“黄、赌、毒”等等信息充斥互联网的很多角落。2008年6月9日,一个穿着“保护我”马甲的人,在中华网的论坛《国际观察》发表了一篇题为“网络阴谋(低调发表)”的文章,揭发凯迪网络公司是日美的特务组织,总经理纠集了一批“网特”攻击某些发言者,诋毁中国文化,歪曲丑化中国政府和中国人的形象,是有组织、有纲领,有分工的行动,故事编得有鼻子有眼。此贴被置顶,被广为传播,给凯迪网造成很大的压力。凯迪网起诉中华网,对于发布这样的信息没有履行审查的责任;现在已经法院一审判决,由中华网向凯迪网公开发表声明赔礼道歉,并象征性赔偿名誉损失1元。实质上,凯迪网受到的是政治攻击。如果把凯迪网的损失和它得到的赔偿放到天枰上的话,那一定是严重失衡。“保护我”这个网友利用了互联网快速得信息传播速度广度,这并不是人类创造互联网的本意,类似事件层出不穷。另外“黄、赌、毒”这类信息的泛滥,戕害了太多缺乏自制力的青少年,他们沉溺于网络,甚至网络犯罪。青少年是社会的栋梁,是国家民族的希望,危害他们就等于危害社会和国家。 中国网民总数自去年6月首次超过美国成为“世界第一”之后,每天都还在增长,中国的网络管理形势更加紧迫。为此,国务院新闻办等7部门5日在京召开电视电话会议,部署在全国开展整治互联网低俗之风专项行动。相信国家的管理政策一定能大扫网络低俗之风。除了从政策方面加强管理,一些必要的强制措施也是必要的。笔者推荐用大势至(北京)软件工程有限公司(http://www.grabsun.com/)的聚生网管软件。聚生网管是国内比较有名的网络管理软件。1、真正不需要调整任何网络结构,不需要端口镜像、代理服务器或者HUB,局域网任意一台电脑安装就可以控制整个局域网2、真正可以有效地控制各种P2P工具(P2P下载控制、P2P视频工具),封堵P2P工具为国内网管软件之最3、真正实现对带宽的动态、精确、智能控制,便于管理员实时掌控局域网的网络资源使用状况4、可以对网址浏......
多种软方法解决共享访问故障(2009-03-04 17:20:00)
摘要:
在局域网环境中,与同事或朋友之间通过共享方式相互交流信息是常有的事情;可是在共享访问对方文件夹的过程中,我们常常会遇到一些莫名其妙的访问故障,在排除这些故障时,不少人总会下意识地将故障排除重点“锁定”在网卡、交换机或物理连接线路上。事实上,我们只要不对网卡、交换机之类的网络设备进行恶意“折磨”的话,共享访问操作就不会出现什么“硬”故障,多数故障其实是由于我们平时的操作不当或设置不当造成的,都应该属于“软”故障。对待这些共享访问“软”故障,我们必须从“软”处出发进行针对性应对! 组策略设置不当引起的“软”故障
在相互访问对方共享资源时,如果系统出现“对方网络资源无权访问”的“软”故障时,我们有必要检查一下对方计算机的系统组策略设置,看看对方是否禁止了其他用户通过网络来访问该计算机中的共享资源。在进行这项检查时,可以按照如下步骤进行操作:
首先在Windows系统桌面中逐一单击“开始”、“运行”菜单命令,进入运行对话框,在其中执行“gpedit.msc”字符串命令,打开组策略编辑界面;在该界面的左侧列表子窗口中,用鼠标依次单击“计算机配置”分支下面的“Windows设置”、“安全设置”、“本地策略”、“用户权利指派”子项,然后在“用户权利指派”子项下面,用鼠标双击其中的“拒绝从网络访问这台计算机”选项,打开如图1所示的目标策略属性设置界面,检查其中是否存在guest帐号,一旦发现该帐号存在的话,我们必须立即选中guest帐号并单击“删除”按钮,这么一来Windows系统就可以允许guest用户通过网络访问本地计算机系统中的目标共享资源了。
图1
其次回到组策略主窗口,在“计算机配置”分支下面,用鼠标逐一双击“Windows设置”、“安全设置”、“本地策略”、“安全选项”项目,然后在“安全选项”下面找到“网络访问:本地帐户的共享和安全模式”选项,同时用鼠标右键单击该选项,并执行快捷菜单中的“属性”命令,进入到如图2所示的属性设置界面,看看该界面中的“经典:本地用户自己的身份验证”项目此时是否处于选中状态,倘若发现该项目还没有被选中时,我们必须立即重新选中该选项,并单击“确定”按钮结束该选项的属性设置操作;
图2
下面,我们还需要再次依次展开“计算机配置......
局域网故障排除经验谈-网卡故障(2009-03-04 17:17:00)
摘要:局域网是网中各种系统运行的硬件平台,其故障影响着系统中各项工作的顺利进行。局域网的维护工作特别是故障的预防和及时排除是保证工作顺利进行的保障。现在谈一谈维护工作中故障排除的一点体会。
1.网卡故障
网卡也称网络接口卡,是连接计算机与网络的硬件设备,在运行、更换及安装中容易出现以下故障。
(1)网卡松动
由于温度变化、振动及插槽与网卡尺寸配合等原因,可能出现网卡松动,网卡与插槽接触不实,造成网络不通。这时网卡指示灯(LED)不发光,Ping该机或其他计算机的IP地址均发回响应失败的信息,但网卡的驱动程序正常。这时可打开机箱,将网卡插牢即可。如果多次出现这种情况,说明该插槽容易造成网卡松动,则应该更换插槽。
(2)网卡驱动程序故障
由于杀毒和非正常关机等原因,可能造成网卡驱动程序的损坏。如果网卡驱动程序损坏,网卡不能正常工作,网络也Ping不通,但网卡指示灯发光。这时可通过“控制面板”中“系统”的“设备管理器”选项,查看网卡驱动程序是否正常,如果“网络适配器”中所显示该网卡图标上标有一黄色“!”,说明该网卡驱动程序不正常,重新安装网卡驱动程序,即可解决问题。
(3)网卡与主板插槽不兼容
计算机重新安装Windows时,操作系统找不到网卡(PCI网卡)。由于网卡型号没有改变,COMS设置也没有改变,故考虑是网卡松动,将网卡从PCI插槽中拔除,重新插入系统还是找不到,将其与其他机器的同类型网卡互换,却都能找到,证明网卡没坏,PCI插槽也没有坏,后来更换了PCI插槽,问题就解决了。故障的原因是这块网卡在重新安装Windows后与开始用的PCI插槽不知何原因不兼容,这种情况并不多见,当网卡出现故障,找不出其他原因时,可更换插槽试一试。
(4)由于COMS设置引起网卡故障
在工作中,一台计算机更换一块PCI总线自适应网卡后,不能正常工作。网络时连时断,网卡指示灯时亮时灭,且交替过程不均匀......
FTP服务器防“雷”记(2009-03-04 17:16:00)
摘要:
安装FTP服务器防雷插件
作为企业网络管理员需要对企业服务器进行维护,而对于大多数中小企业来说最常见的服务器应用恐怕要属FTP服务了, 通过FTP服务我们可以方便的进行数据资源的共享,让员工可以根据自己的权限从服务器上下载或上传数据文件等资源,通过FTP服务将服务器打造成功能更加强大的文件服务器。当然很多企业的FTP服务器都是对外开放的,将自己的一些资料和文档和外部用户分享,一方面扩大了企业业务对象的覆盖面,另一方面也为已经成为用户的人群提供有力的技术支持。然而你是否知道在FTP服务器维护过程中最棘手的问题是什么呢?这就是迅雷下载,今天就请各位IT168的读者跟随笔者一起亲身经历
FTP服务器防“雷”记。
一、迅雷到底会为FTP服务器带来什么危害:
FTP服务器维护过程中会遇到一个让人头疼的问题,对于有经验的FTP服务器维护管理人员来说最惧怕的下载工具就是迅雷了。随着下载技术和软件的逐渐发展对于FTP服务器来说也出现了一个资源杀手——迅雷,通过迅雷下载工具我们不仅可以下载HTTP页面文件还可以访问FTP服务器来下载相关资源,下载时只需要按照“ftp://用户名:密码@FTP服务器IP地址/资源路径”这样一个地址添加即可。(如图1)
很多用户都使用迅雷下载资源,由于迅雷将采用多线程多连接来访问服务器,所以当通过迅雷从FTP服务器上下载时,他对服务器的负载和资源占用是巨大的,如果我们不在服务器上进行任何限制基本上几个用户采用迅雷到同一个服务器上进行下载,这个服务器也就无法再为其他人提供FTP服务了。那么我们又该如何设置禁止迅雷对FTP服务器的危害呢?最近笔者发现了这么个小工具,通过他我们可以有效的禁止迅雷工具对FTP的连接,并且还可以针对使用迅雷的用户进行封IP处理,从而让我们的FTP服务器能够为更多人服务,让服务器资源合理利用。
二、安装FTP服务器防雷插件:
理论上讲迅雷不仅占用客户端全部网络带宽用于下载,还会开启多线程连接FTP服务器获取最大的下载带宽,所以基本上用户使用迅雷下载资源对服务器资源占用是垄断型的,经过笔者测试当开启迅雷连接FTP服务器时服务器自身CPU负载马上大幅度提高。(如图2)
本文介绍的方法是从插件入手来解决迅雷下载高负荷的问题,通过在目前主流的FTP搭建工具serv-......
将Ping命令功能发挥到最大(2009-03-04 17:15:00)
摘要:对于Windows下ping命令相信大家已经再熟悉不过了,但是能把ping的功能发挥到最大的人却并不是很多,当然我也并不是说我可以让ping发挥最大的功能,我也只不过经常用ping这个工具,也总结了一些小经验,现在和大家分享一下。
现在我就参照ping命令的帮助说明来给大家说说我使用ping时会用到的技巧,ping只有在安装了TCP/IP协议以后才可以使用: ping [-t] [-a] [-n count] [-l length] [-f] [-i ttl] [-v tos] [-r count] [-s count] [[-j computer-list] | [-k computer-list]] [-w timeout] destination-list Options: -t Ping the specified host until stopped.To see statistics and continue - type Control-Break;To stop - type Control-C. 不停的ping地方主机,直到你按下Control-C。 此功能没有什么特别的技巧,不过可以配合其他参数使用,将在下面提到。 -a Resolve addresses to hostnames. 解析计算机NetBios名。 示例:C:\>ping -a 192.168.1.21 Pinging iceblood.yofor.com [192.168.1.21] with 32 bytes of data: Reply from 192.168.1.21: bytes=32 time<10ms TTL=254 Reply from 192.168.1.21: bytes=32 time<10ms TTL=254 Reply from 192.168.1.21: bytes=32 time<10ms TTL=254 Reply from 192.168.1.21: bytes=32 time<10ms TTL=254 Ping statistics for 192.168.1.2......
P2P如火如荼,占用一半以上带宽(2009-02-25 17:34:00)
摘要:
中国电信总工韦乐平表示,在宽带流量和商务方面P2P正在成为颠覆性的技术。
P2P如火如荼,占用一半以上带宽
中国宽带网不堪重负
对比“友邦”之后,中国的宽带状况常令国人“惊诧”。
5月,世界银行发布报告称,目前中国的互联网使用价格占收入水平的10%,这一比例是发达国家的10倍。这一数字,一时引发一片口水战。
近一点的是,6月5日,中国工程院副院长邬贺铨在“2007年宽带世界论坛亚洲会议”上指出,“中国的宽带用户数还低于世界平均水平,数字鸿沟问题严重;而且中国P2P流量已经是美国的三到四倍;中国的宽带网带宽还不够宽。”
前者说明了中国网民对于价格的敏感。后者印证了中国P2P产业的繁荣,尽管,它也许还是畸形的。当这两种因素一同发生作用,便不得不让人心生警惕——在P2P产业链中,网民对价格的敏感令宽带运营商不敢轻易提价从而陷入成本泥沼,后一现象则说明了对带宽日益增长的渴求。
正因此,在P2P看似宽广无垠的道路上,隐患的魅影,在常被曝光的封杀和限速新闻中已经显露端倪。好在,信息产业部方面已经旗帜鲜明地表明了对P2P应当适当引导的立场。
方向已明,但路径并不清晰。一边是普通互联网用户的视频狂欢,另一边是气喘吁吁不堪重负的宽带。肩负了网民的旺盛需求的中国固网运营商,怎么在这条不无矛盾的道路上前行?
一如所有的新技术,P2P的道路令看客感到悬念横生,身躯庞大的运营商大象,是否也有机会在这一场中国式盛宴上轻舞飞扬?是该明里暗里地“围追堵截”,还是该搭乘P2P开始一场资费方式变革之旅,抑或携手改写还不大健康的P2P产业链条?
名词解释P2P,即Peer to Peer,也即对等网络,是一种资源计算、存储、通信与信息等分布利用与共享的网络体系架构,与目前网络中占据主导地位的客户机服务器Client/Server,C/S体系架构相对应。如今盛行的BT、电驴、迅雷等均应用了P2P技术。
P2P
重点
P2P涉及版权问题
九州梦网法律总监唐向阳告诉记者,国内提供视频的网站普遍存在着版权的问题,像九州梦网和夸克电影网一样投入很大资金用来购买版权的网站并不多。没有源于版权的高昂投入,成为很多P2P内容免费的根本原因。“免费的午餐”,带来了巨大的用户群,而庞大的用户群技术,令P2P对带宽的占用超越“国际标准”。
P2P的中国式繁荣P2P软件......
如何有效管理局域网的BT下载和聊天?(2009-02-25 17:31:00)
摘要:随着企业信息化的深入开展,各行业企业都踏上了互联网的快车,企业的工作效率有了较大的提高。但是,在实际的互联网应用中,总有一些员工对网络的应用背离了网络资源使用的初衷,例如:在工作时间用一些BT工具,如迅雷、vagaa、酷狗、网际快车、超级旋风等等工具,或者用一些视频工具如QQ堂、pplive、以及网页视频等等;还有一些员工一上班就打开聊天工具长时间聊天。上述这些行为极大的浪费了职员的工作时间,从而间接地又降低了工作效率,所以,如何有效提高局域网的网络资源的使用效率已经成为网管头疼的事情了。
那么具体通过什么方式来封堵P2P工具和限制聊天软件呢?
传统的模式是通过防火墙、路由器或者交换机做ACL访问控制,也就是在路由器、防火墙或者交换机上限制被控制的电脑访问公网的IP、端口或者协议,以及通过对数据包特征的一些识别来实现对报文传输的控制。但是,随着信息技术的发展,特别是P2P工具的蓬勃兴起,上述这些P2P工具和聊天工具的架构技术、登录技术、传输技术都有了很大的革新。首先在登录方式上,通过提供服务器集群,从而使得登录的服务器众多,可以支持更多的人同时登录,从而使得限制P2P工具和聊天工具的服务器的IP的方式就变得不太可能;其次在传输方式上,大多采用加密的传输方式,从而无法发现其报文的明显传输特征;最后,从传输的端口上,这些工具都可以自动切换端口,并且可以通过80端口、以HTTP协议、TCP协议的方式登录,从而使得通过防火墙、路由器或者交换机来封堵上述工具就变得极为困难,这给网管工作带来了很大的问题。
大势至(北京)软件工程有限公司根据各行业企事业单位网络管理的紧迫需要,推出了聚生网管2008版。聚生网管系统通过独创的虚拟网关技术和对P2P工具的协议拦截技术,可以部署在局域网的一台电脑上就可以控制整个局域网的上网行为。聚生网管的核心功能表现在以下三大方面:一、当前所有流行P2P软件的限制功能。聚生网管有效控制P2P下载工具和P2P视频工具有BitComet(比特彗星),eMule(电骡),eDonkey(电驴),Poco/PP点点通,Kamun(卡盟),迅雷,Vagaa(哇嘎画时代),Kugoo(酷狗),Baidu下吧,BitSprit(比特精灵),μTorrent,百宝,Shareaza(Raza),aBitCool(网酷),Tuotu(脱兔),PPLive,PPF......