时尚 生活 休闲
茶楼 综合商务 全国总站
按主题找帖
按用户找帖 - - 生活 - 家居生活
论坛导航
综合商务
论坛管理
空缺 家居生活
居家用品、家具饰品,风格、细节、个性,都由自己做主
禁止与本版块无关的广告,灌水帖! 论坛主题
回复/阅读
最后更新
2011-2-22
2011-02-23 08:32
2010-7-27
2011-07-05 08:16
2011-6-23
2011-06-24 18:02
2011-4-1
2011-06-24 17:48
2011-6-9
2011-06-10 15:04
2010-7-6
2011-06-08 14:44
2011-5-12
2011-05-12 11:49
2010-9-16
2011-04-26 11:02
普通主题
2011-7-28
2011-07-28 19:19
2011-7-25
2011-07-25 15:39
2011-7-16
2011-07-25 12:07
2011-7-25
2011-07-25 12:03
2011-7-23
2011-07-25 10:01
2011-7-23
2011-07-23 16:57
2011-7-23
2011-07-23 15:19
2011-7-23
2011-07-23 11:59
2011-7-22
2011-07-22 14:59
2011-7-22
2011-07-22 12:03
2011-7-22
2011-07-22 11:55
2011-7-22
2011-07-22 09:58
2011-7-22
2011-07-22 09:52
2011-7-22
2011-07-22 09:51
2011-7-14
2011-07-22 09:47
2010-1-29
2011-07-22 09:41
2011-7-21
2011-07-21 18:32
2011-7-21
2011-07-21 17:14
2010-3-11
2011-07-21 11:22
2011-7-19
2011-07-21 09:12
2011-7-20
2011-07-21 09:11
2011-7-19
2011-07-19 17:48
2011-7-18
2011-07-18 14:43
论坛图标说明
同城购论坛
版权所有.
Copyright 2011 TOCHGO.COM,All Rights Reserved.2005-08-08 17:45
随心订制linux透明防火墙
作者:药剂师
一般而言,防火墙的两个网络接口应分属两个不同的网络,根据系统管理员定义的访问规则在两个接口之间转发数据包,或者拒绝、丢弃数据包。实际上,防火墙不单单是访问控制的功能,而且还充当了路由器的角色。当然,这并非有什么不妥当的地方,但是当你企图把你配置好的linux防火墙放入运行网络,来保护现有系统安全的时候,你不得不重新考虑和更改你的网络架构。另外一个可能的麻烦是,当防火墙发生意外时,如果没有防火墙的硬件备份的话,那么你将面临巨大的心理压力,因为防火墙的故障,整个网络瘫痪了。假如你把防火墙配置成透明模式(可称为伪网桥),就无需更改网络架构,即使是防火墙不能工作了,要做的仅仅是拔出网线,把网线直接插在路由器的内部接口就可以让网络正常工作,然后你就有时间慢慢恢复发生故障的防火墙。
好了,既然透明防火墙有那么多方便,我们赶快动手来配置吧!准备一台pc机,两块网卡(建议用3com网卡),网线若干,redhat linux 9***盘一套。打开机箱,把两块网卡插入计算机的pci插槽,用网线把计算机分别与网关和交换机相连(如前页图“正常状态”那样);盖上计算机的盖子,插上电源,开机。在光驱里放上Linux 9***光盘,由光盘引导计算机,从而***Linux 系统。选择定制***,不要保守,多花一点时间体验一下图形界面的***乐趣,取消防火墙(no firewall),在***快结束时选择以文本方式登录系统,完成***。
透明防火墙功能配置:
1、 设置网络地址。修改文件 /etc/sysconfig/network-scripts/ifcfg-eth0 和 /etc/sysconfig/network-scripts/ifcfg-eth1,使其具有相同的ip地址,相同的子网掩码。
用vi 来编辑如下,保存文件,运行命令 service network restart 使修改生效。
DEVICE=eth0
BOOTPROTO=none
BROADCAST=192.168.1.255
IPADDR=192.168.1.254
NETMASK=255.255.255.0
NETWORK=192.168.1.0
ONBOOT=yes
USERCTL=no
PEERDNS=no
TYPE=Ethernet DEVICE=eth1
BOOTPROTO=none
BROADCAST=192.168.1.255
IPADDR=192.168.1.254
NETMASK=255.255.255.0
NETWORK=192.168.1.0
ONBOOT=yes
USERCTL=no
PEERDNS=no
TYPE=Ethernet
这里需要注意两个地方,第一个是要区分清楚那一个网卡是eth0,那一个是 eth1.这个问题十分关键,如果搞混了就会导致防火墙不能连通网络。至于怎样区分eth0和 eth1,我将在文章的末尾作简单的描述。在这里假定与路由器相连的网卡是eth0.
2、 设置默认路由。在文件 /etc/sysconfig/network-scripts/ifcfg-eth0 中加入一行 gateway=192.168.1.1 保存后运行命令 service network restart ,修改生效。找一个开放ICMP协议的公网IP,用命令ping 202.108.36.196 (
的主机)检测跟外网的连通状况,如果正常,表明Linux防火墙主机跟外网配置正确。再用命令ping 192.168.1.18 检测防火墙主机与内网主机的连通状况,如果正常则进行下一步操作。
3、 启用网络转发和proxy_arp 。这是透明防火墙的核心部分,我把它们写进文件/etc/rc.d/rc.local。用vi /etc/rc.d/rc.local 插入如下内容。在做这一步的时候,我曾
#Ip forward
/ in/sysctl -w net.ipv4.conf.all.forwarding=1
#Enable proxy-arp
/ in/sysctl -w net.ipv4.conf.eth0.proxy_arp=1
/ in/sysctl -w net.ipv4.conf.eth1.proxy_arp=1
经花费较多的时间,因为我做参考的那本书里的这一步没有参数 “–w” ,后来单独运行 sysctl net.ipv4.conf.eth0.proxy_arp=1 才发现red hat Linux 9 没有参数“-w”不能运行。
4、 指定路由。由于两块网卡(eth0,eth1)使用同样的ip ,如果不专门指定转发路径,一定会导致路由混乱,从而使防火墙以内的计算机没法访问 Internet 。还是用命令 vi 修改文件 /etc/rc.d/rc.local ,插入如下几行。保存文件,重新启动计算机/
#Define route
/ in/ip route del 192.168.1.0/24 dev eth0
/ in/ip route add 192.168.1.1 dev eth0
/ in/ip route add 192.168.1.0/24 dev eth1
Linux防火墙,如果不出意外,就可以从192.168.1.18 这台主机访问Internet,当然内网的任何机器都是可以访问Internet 的。在这里对定义的路由(Define route)作些说明:/ in/ip route del 192.168.1.0/24 dev eth0 表明所有到子网192.168.1.0/24的数据包都不从网卡eth0转发而从 eth1转发,即命令 / in/ip route add 192.168.1.0/24 dev eth1;/ in/ip route add 192.168.1.1 dev eth0 表明所有到192.168.1.1的数据包都由eth0转发,这其实可以理解为两个网卡数据转发的分工—到192.168.1.1 的数据包由eth0负责,其余的由eth1负责。到这一步,恭喜你!已经成功了一大半,如果***Linux的时候,选择的防火墙规则为中等级别,那么这个防火墙已经配置成功了。相信大家跟我一样,且肯就此罢休。
定制防火墙策略
都是2.4.20的内核版本,当然要用netfilter/iptables。由于***Linux系统的时候,选择了“无防火墙”这个选项,那么在/etc/sysconfig 下将没有iptables这个文件存在。还是让我们随心所欲的来定制防火墙访问策略吧。
在目录 /etc/rc.d 下创建脚本文件 myfirewall.sh,用命令 touch /etc/rc.d/myfirewall.sh并给文件执行权限 chmod 711 myfirewall。然后用 vi 编辑这个文件。我写的这个
vi /etc/rc.d/myfirewall.sh
#!/bin/bash
#Define string
IPT=/ in/iptables
#Refresh rules
$IPT -F FORWARD
$IPT -F INPUT
$IPT -F OUTPUT
#Default policy
$IPT -P INPUT DROP
$IPT -P FORWARD DROP
$IPT -P OUTPUT ACCEPT
#Enable loo ack
$IPT -A INPUT -i lo -p all -j ACCEPT
#Enable icmp
$IPT -A INPUT -p icmp –j ACCEPT
#Interface forward
$IPT -A FORWARD -s 192.168.1.0/24 -j ACCEPT
$IPT -A FORWARD -d 192.168.1.0/24 -j ACCEPT
#Enable h
$IPT -A INPUT -p tcp --dport 22 -j ACCEPT
#Add other acce rule //可根据实际情况添加或减少规则
$IPT -A INPUT -p tcp --dport 20 -j ACCEPT
$IPT -A INPUT -p tcp --dport 21 -j ACCEPT
$IPT -A INPUT -p tcp --dport 80 -j ACCEPT
$IPT -A INPUT -p tcp --dport 53 -j ACCEPT
$$IPT -A INPUT -p udp --dport 53 -j ACCEPT
$IPT -A INPUT -p tcp --dport 23 -j ACCEPT
$IPT -A INPUT -p tcp --dport 110 -j ACCEPT
$IPT -A INPUT -p tcp --dport 25 -j ACCEPT
$IPT -A INPUT -p tcp --dport 443 -j ACCEPT
规则只开放了较少的允许访问的策略(可以ping ,收发邮件,浏览网页, h,htt ,telnet,ftp,其它的访问则全部丢弃)。$IPT –A OUTPUT ACCEPT 没有设置成DROP的原因是由于大部分网络服务所使用的协议是tcp协议,众所周知,tcp协议是面向连接的,如果设置 $IPT –A OUTPUT DROP, 那么任何协议为tcp的连接就要写两条了。况且防火墙对外的访问总是允许的,因此这样做是为了简化规则。
修改完成后保存,然后在当前目录运行命令 ./myfirewall.sh,在上述脚本没有书写错误的情况下,规则生效,但它仅仅在内存里,用命令 service iptables save 将自动生成文件 /etc/sysconfig/iptables,前面设定的访问策略就被保存到硬盘,系统重启时,系统将自动地从文件 /etc/sysconfig/iptables 获得定制的访问策略。
到这里,一个透明的linux 防火墙就架设好了。更改计算机的BIOS设置,使它可以在没有键盘的情况下启动系统。启用ftp,以便可以在需要时可以向防火墙主机拷贝文件。把键盘和显示器拿掉,剩下的操作只是摁一下电源开关。
防火墙的管理
可能有时候我们需要更改防火墙的某些规则,或者做些别的管理,既然我们是系统管理员,再插上键盘和接上显示器坐在防火墙面前可能会被人耻笑,因此这些管理工作当然通过网络来进行。Ssh和webmin是我的偏好, h的协议端口是22,webmin的默认协议端口是10000。其中 h是linux系统的默认服务 ,只要***客户端就可以(windows下的程序securecrt 是个不错的选择,据说 h连接速度没有vnc 快)对防火墙进行所有的管理(和直接操作防火墙主机一样);webmin是基于web的图形界面管理方式,非常的方便和直观,尽管它不能象 h那样对系统进行完全的管理,但是对于我们的工作需求还是可以满足,建议在防火墙系统***webmin服务器程序。Ssh与webmin两者结合使用,可以帮助我们较快较深入地掌握Linux。
Ssh客户端***较为简单,而webmin不需要***客户端。这里介绍webmin 服务器的***:把webmin-1.110. tar.gz 下载到另外一台windows的硬盘里,然后用ftp把它复制到防火墙主机的ftp目录(如果你是linux高手,并不需要如此,只须以 h方式登录防火墙,用get/wget指令取得该文件),解开文件webmin-1.110.tar.gz tar –zxvf webmin-1.110.gz.tzr cd webmin-1.110 ***webmin ./setup.sh ,一路回车,创建一个webmin管理账户,***完毕;在任何一台运行浏览器的地址栏输入防火墙的ip加上端口号10000就可以管理防火墙(
)。以这种方式管理linux 网络的防火墙十分直观,并且选项十分详尽,就算不懂iptable语法的人也能容易的配置防火墙的访问规则。这里有一个技巧,假如你更改了某条访问规则导致网络不能向外访问,不要慌,到防火墙跟前重启一下系统即可。万一更改规则发生不测并且规则已经写入硬盘,那么请你直接删除文件 /etc/sysconfig/iptables,然后再运行脚本 sh /etc/rc.d/myfirewall 再次重写文件/etc/sysconfig/iptables service iptables save 。有的系统管理员倾向于直接编辑/etc/sysconfig/iptables 文件,但是这需要更多的耐心和勇气。如果你是新手,建议你跟我一样,先写脚本,再生成iptables。
特别关注:
最好把除路由器而外的整个网络放在防火墙的保护之中。如果象下图那样有同一
网段的主机放在防火墙的前面,将导致严重的网络故障。实践表明,这台windows主机的ip地址丢失了(网络属性的ip值还在,但用命令 ipconfig /all 则是 0.0.0.0),重启windows后提示ip地址冲突,更换同一网段内的任何一个未用的ip地址还是提示冲突。搞的我的两台邮件服务器和两台web服务器停火,我还以为是中了邪门的病毒,直到后来我把tcp/ip协议卸载再***才解决问题。经分析,是防火墙的路由导致这样的故障。强烈建议把所有的主机放在防火墙的保护之下,以减少网络的复杂程度。另外,我们应该养成这样一种习惯—在系统正常的情况下,如果更改了配置,请一定要用笔记录所作的更改,以便在改出问题时我们能够快速准确的恢复,这种习惯更可运用到所有的IT管理工作,它是我的不传之密。
感谢齐一楠为解决问题提供的无私的帮助!
附:区分eth0与eth1的小技巧。把防火墙的一块网卡跟交换机相连,另外一块不做任何连接,即另外一块网卡的网络连接是断开的;使用命令 ifconfig eth0 down 关闭网络接口eth0;用网络中的另一台计算机 ping 192.168.1.254 ,如果ping 通了则表明连接交换机的网络接口为eth1,另一块为eth0,还可以把网线交换一下另一网络接口,确认判断的正确性。
2005-08-08 18:21
天方夜谭
2005-08-09 06:53
个人申请住房商业贷款时首付比例
2005-08-09 07:03
【赛迪网讯】7月18日消息,“芙蓉姐姐”可以说是当前中国网民中最“当红”的人物。每天有数十万的网民访问“芙蓉姐姐”的网站。她的照片和日记成为了人们谈论最多的话题,以及工作之余的笑料。然而,据外电报道,这同时也促进了中国政府对网络空间进行监管的决心。
中国当前的网民数量已经突破1亿,成为继美国之后的第二大互联网市场。并且,该数字每月仍以数百万的速度递增。为了对网络内容进行有效监控,中国政府已经加强了监管力度。所有的网站、博客站点和电子公告牌运营商必须到相关部门备案,否则将被关闭。
而“芙蓉姐姐”可能就要面临这样的结局。中国文化部官员刘强(音译)说:“我们一直在关注此事,但目前还没有明确的法规来限制这一现象。”
很明显,“芙蓉姐姐”热衷于张贴煽情照片只是为了名声。因此,几乎不会对社会秩序构成威胁。不管怎样,中国当局已要求博客中国对有关“芙蓉姐姐”的内容进行重新部署,将其布置在不显眼的位置上。
与“芙蓉姐姐”现象相似的是,在2003年底,27岁的杂志记者木子美因明目张胆地公开性日记而“一夜成名”。
事实上,中国政府在互联网监管这一问题上也面临着矛盾和尴尬。北京大学新闻与传播学院副主任陈长风(音译)表示:“中国政府将互联网视为科技进步的核心,但同时又禁止网民浏览不健康内容。”
目前,中国大多数纸媒和电视媒体都是国内企业,从而使得互联网成为了更强大的工具。陈说:“当前国际互联网几乎是无所不能,广州发生什么事情,北京的网民马上就会知晓,并且迅速发表自己的见解。互联网在中国的作用就是能够迅速传播大众观点。”
今年3月,针对日本“教科书”事件,中国人民的****情绪高涨。四月份,在网络上迅速升级,数百万的网民对日本的可耻行径表示抗议。而传统媒体的反应速度明显迟钝。在“芙蓉姐姐”事件上亦是如此,许多纸媒上周才在第一版面上登出了“芙蓉姐姐”的照片。(
2005-08-09 09:10
'780')this.width='780' etTimeout('if(document.getElementById(\'http://images.enet.com.cn/elady/2005/0720/bi-02.jpg\').height>\'700\')document.getElementById(\'http://images.enet.com.cn/elady/2005/0720/bi-02.jpg\').height=\'700\';',500);"
border="0" onclick="if(this.width>=780) window.open('http://images.enet.com.cn/elady/2005/0720/bi-02.jpg');">
2005-08-09 09:11
'780')this.width='780' etTimeout('if(document.getElementById(\'http://clu ic.chinaren.com/uploadfile/849/991/CZYrLoh.jpg\').height>\'700\')document.getElementById(\'http://clu ic.chinaren.com/uploadfile/849/991/CZYrLoh.jpg\').height=\'700\';',500);"
border="0" onclick="if(this.width>=780) window.open('http://clu ic.chinaren.com/uploadfile/849/991/CZYrLoh.jpg');">
2005-08-09 09:14
'780')this.width='780' etTimeout('if(document.getElementById(\'http://clu ic.chinaren.com/uploadfile/262/25/KFYrLxO.jpg\').height>\'700\')document.getElementById(\'http://clu ic.chinaren.com/uploadfile/262/25/KFYrLxO.jpg\').height=\'700\';',500);"
border="0" onclick="if(this.width>=780) window.open('http://clu ic.chinaren.com/uploadfile/262/25/KFYrLxO.jpg');">
2005-08-09 09:16
'780')this.width='780' etTimeout('if(document.getElementById(\'http://dalin2.ahut.edu.cn/meinv/46156727.jpg\').height>\'700\')document.getElementById(\'http://dalin2.ahut.edu.cn/meinv/46156727.jpg\').height=\'700\';',500);"
border="0" onclick="if(this.width>=780) window.open('http://dalin2.ahut.edu.cn/meinv/46156727.jpg');">
2005-08-09 18:03
路由器基础知识
--------------------------------------------------------------------------------
是什么把网络相互连接起来?是路由器。路由器是互联网络的枢纽、"交通***"。目前路由器已经广泛应用于各行各业,各种不同档次的产品已经成为实现各种骨干网内部连接、骨干网间互联和骨干网与互联网互联互通业务的主力军。
所谓路由就是指通过相互连接的网络把信息从源地点移动到目标地点的活动。一般来说,在路由过程中,信息至少会经过一个或多个中间节点。通常,人们会把路由和交换进行对比,这主要是因为在普通用户看来两者所实现的功能是完全一样的。其实,路由和交换之间的主要区别就是交换发生在OSI参考模型的第二层(数据链路层),而路由发生在第三层,即网络层。这一区别决定了路由和交换在移动信息的过程中需要使用不同的控制信息,所以两者实现各自功能的方式是不同的。
早在40多年之间就已经出现了对路由技术的讨论,但是直到80年代路由技术才逐渐进入商业化的应用。路由技术之所以在问世之初没有被广泛使用主要是因为80年代之前的网络结构都非常简单,路由技术没有用武之地。直到最近十几年,大规模的互联网络才逐渐流行起来,为路由技术的发展提供了良好的基础和平台。
路由器是互联网的主要节点设备。路由器通过路由决定数据的转发。转发策略称为路由选择(routing),这也是路由器名称的由来(router,转发者)。作为不同网络之间互相连接的枢纽,路由器系统构成了基于
TCP/IP 的国际互连网络 Internet 的主体脉络,也可以说,路由器构成了 Internet
的骨架。它的处理速度是网络通信的主要瓶颈之一,它的可靠性则直接影响着网络互连的质量。因此,在园区网、地区网、乃至整个
Internet 研究领域中,路由器技术始终处于核心地位,其发展历程和方向,成为整个 Internet
研究的一个缩影。在当前我国网络基础建设和信息建设方兴未艾之际,探讨路由器在互连网络中的作用、地位及其发展方向,对于国内的网络技术研究、网络建设,以及明确网络市场上对于路由器和网络互连的各种似是而非的概念,都具有重要的意义。
路由器的作用
--------------------------------------------------------------------------------
路由器的一个作用是连通不同的网络,另一个作用是选择信息传送的线路。选择通畅快捷的近路,能大大提高通信速度,减轻网络系统通信负荷,节约网络系统资源,提高网络系统畅通率,从而让网络系统发挥出更大的效益来。
从过滤网络流量的角度来看,路由器的作用与交换机和网桥非常相似。但是与工作在网络物理层,从物理上划分网段的交换机不同,路由器使用专门的软件协议从逻辑上对整个网络进行划分。例如,一台支持IP协议的路由器可以把网络划分成多个子网段,只有指向特殊IP地址的网络流量才可以通过路由器。对于每一个接收到的数据包,路由器都会重新计算其校验值,并写入新的物理地址。因此,使用路由器转发和过滤数据的速度往往要比只查看数据包物理地址的交换机慢。但是,对于那些结构复杂的网络,使用路由器可以提高网络的整体效率。路由器的另外一个明显优势就是可以自动过滤网络广播。从总体上说,在网络中添加路由器的整个***过程要比即插即用的交换机复杂很多。
一般说来,异种网络互联与多个子网互联都应采用路由器来完成。
路由器的主要工作就是为经过路由器的每个数据帧寻找一条最佳传输路径,并将该数据有效地传送到目的站点。由此可见,选择最佳路径的策略即路由算法是路由器的关键所在。为了完成;这项工作,在路由器中保存着各种传输路径的相关数据——路径表(Routing
Table),供路由选择;时使用。路径表中保存着子网的标志信息、网上路由器的个数和下一个路由器的名字等内容。路径表可以是由系统管理员固定设置好的,也可以由系统动态修改,可以由路由器自动调整,也可以由主机控制。
1.静态路径表
由系统管理员事先设置好固定的路径表称之为静态(static)路径表,一般是在系统***时就根据网络的配置情况预先设定的,它不会随未来网络结构的改变而改变。
2.动态路径表
动态(Dynamic)路径表是路由器根据网络系统的运行情况而自动调整的路径表。路由器根据路由选择协议(Routing
Protocol)提供的功能,自动学习和记忆网络运行情况,在需要时自动计算数据传输的最佳路径。
路由器的类型
--------------------------------------------------------------------------------
互联网各种级别的网络中随处都可见到路由器。接入网络使得家庭和小型企业可以连接到某个互联网服务提供商;企业网中的路由器连接一个校园或企业内成千上万的计算机;骨干网上的路由器终端系统通常是不能直接访问的,它们连接长距离骨干网上的ISP和企业网络。互联网的快速发展无论是对骨干网、企业网还是接入网都带来了不同的挑战。骨干网要求路由器能对少数链路进行高速路由转发。企业级路由器不但要求端口数目多、价格低廉,而且要求配置起来简单方便,并提供QoS。
1.接入路由器
接入路由器连接家庭或ISP内的小型企业客户。接入路由器已经开始不只是提供SLIP或PPP连接,还支持诸如PPTP和IPSec等虚拟私有网络协议。这些协议要能在每个端口上运行。诸如ADSL等技术将很快提高各家庭的可用带宽,这将进一步增加接入路由器的负担。由于这些趋势,接入路由器将来会支持许多异构和高速端口,并在各个端口能够运行多种协议,同时还要避开***交换网。
2.企业级路由器
企业或校园级路由器连接许多终端系统,其主要目标是以尽量便宜的方法实现尽可能多的端点互连,并且进一步要求支持不同的服务质量。许多现有的企业网络都是由Hub或网桥连接起来的以太网段。尽管这些设备价格便宜、易于***、无需配置,但是它们不支持服务等级。相反,有路由器参与的网络能够将机器分成多个碰撞域,并因此能够控制一个网络的大小。此外,路由器还支持一定的服务等级,至少允许分成多个优先级别。但是路由器的每端口造价要贵些,并且在能够使用之前要进行大量的配置工作。因此,企业路由器的成败就在于是否提供大量端口且每端口的造价很低,是否容易配置,是否支持QoS。另外还要求企业级路由器有效地支持广播和组播。企业网络还要处理历史遗留的各种LAN技术,支持多种协议,包括IP、IPX和Vine。它们还要支持防火墙、包过滤以及大量的管理和安全策略以及VLAN。
3.骨干级路由器
骨干级路由器实现企业级网络的互联。对它的要求是速度和可靠性,而代价则处于次要地位。硬件可靠性可以采用***交换网中使用的技术,如热备份、双电源、双数据通路等来获得。这些技术对所有骨干路由器而言差不多是标准的。骨干IP路由器的主要性能瓶颈是在转发表中查找某个路由所耗的时间。当收到一个包时,输入端口在转发表中查找该包的目的地址以确定其目的端口,当包越短或者当包要发往许多目的端口时,势必增加路由查找的代价。因此,将一些常访问的目的端口放到缓存中能够提高路由查找的效率。不管是输入缓冲还是输出缓冲路由器,都存在路由查找的瓶颈问题。除了性能瓶颈问题,路由器的稳定性也是一个常被忽视的问题。
4.太比特路由器
在未来核心互联网使用的三种主要技术中,光纤和DWDM都已经是很成熟的并且是现成的。如果没有与现有的光纤技术和DWDM技术提供的原始带宽对应的路由器,新的网络基础设施将无法从根本上得到性能的改善,因此开发高性能的骨干交换/路由器(太比特路由器)已经成为一项迫切的要求。太比特路由器技术现在还主要处于开发实验阶段。
路由器的结构
--------------------------------------------------------------------------------
路由器的体系结构
从体系结构上看,路由器可以分为第一代单总线单CPU结构路由器、第二代单总线主从CPU结构路由器、第三代单总线对称式多CPU结构路由器;第四代多总线多CPU结构路由器、第五代共享内存式结构路由器、第六代交叉开关体系结构路由器和基于机群系统的路由器等多类。
路由器的构成
路由器具有四个要素:输入端口、输出端口、交换开关和路由处理器。
输入端口是物理链路和输入包的进口处。端口通常由线卡提供,一块线卡一般支持4、8或16个端口,一个输入端口具有许多功能。第一个功能是进行数据链路层的封装和解封装。第二个功能是在转发表中查找输入包目的地址从而决定目的端口(称为路由查找),路由查找可以使用一般的硬件来实现,或者通过在每块线卡上嵌入一个微处理器来完成。第三,为了提供QoS(服务质量),端口要对收到的包分成几个预定义的服务级别。第四,端口可能需要运行诸如SLIP(串行线网际协议)和PPP(点对点协议)这样的数据链路级协议或者诸如PPTP(点对点隧道协议)这样的网络级协议。一旦路由查找完成,必须用交换开关将包送到其输出端口。如果路由器是输入端加队列的,则有几个输入端共享同一个交换开关。这样输入端口的最后一项功能是参加对公共资源(如交换开关)的仲裁协议。
交换开关可以使用多种不同的技术来实现。迄今为止使用最多的交换开关技术是总线、交叉开关和共享存贮器。最简单的开关使用一条总线来连接所有输入和输出端口,总线开关的缺点是其交换容量受限于总线的容量以及为共享总线仲裁所带来的额外开销。交叉开关通过开关提供多条数据通路,具有N×N个交叉点的交叉开关可以被认为具有2N条总线。如果一个交叉是闭合,输入总线上的数据在输出总线上可用,否则不可用。交叉点的闭合与打开由调度器来控制,因此,调度器限制了交换开关的速度。在共享存贮器路由器中,进来的包被存贮在共享存贮器中,所交换的仅是包的指针,这提高了交换容量,但是,开关的速度受限于存贮器的存取速度。尽管存贮器容量每18个月能够翻一番,但存贮器的存取时间每年仅降低5%,这是共享存贮器交换开关的一个固有限制。
输出端口在包被发送到输出链路之前对包存贮,可以实现复杂的调度算法以支持优先级等要求。与输入端口一样,输出端口同样要能支持数据链路层的封装和解封装,以及许多较高级协议。
路由处理器计算转发表实现路由协议,并运行对路由器进行配置和管理的软件。同时,它还处理那些目的地址不在线卡转发表中的包。
路由器的基本协议与技术
--------------------------------------------------------------------------------
***
***(Virtual Private
Network-虚拟专用网)解决方案是路由器具有的重要功能之一。其解决方案大致如下:
1.访问控制
一般分为PAP(口令认证协议)和CHAP(高级口令认证协议)两种协议。PAP要求登录者向目标路由器提供用户名和口令,与其访问列表(Acce List)中的信息相符才允许其登录。它虽然提供了一定的安全保障,但用户登录信息在网上无加密传递,易被人窃取。CHAP便应运而生,它把一随机初始值与用户原始登录信息(用户名和口令)经Hash算法翻译后形成新的登录信息。这样在网上传递的用户登录信息对黑客来说是不透明的,且由于随机初始值每次不同,用户每次的最终登录信息也会不同,即使某一次用户登录信息被窃取,黑客也不能重复使用。需要注意的是,由于各厂商采取各自不同的Hash算法,所以CHAP无互操作性可言。要建立***需要***两端放置相同品牌路由器。
2.数据加密
在加密过程中加密位数是一个很重要的参数,它直接关系到解密的难易程度,其中Intel
9000系列路由器表现最为优异,为一百多位加密。
3.NAT(Network Addre Tra lation-网络地址转换协议)
如同用户登录信息一样,IP和MAC地址在网上无加密传递也很不安全。NAT可把合法IP地址和MAC地址翻译成非法IP地址和MAC地址在网上传递,到达目标路由器后反翻译成合法IP与MAC地址,这一过程有点像CHAP,翻译算法厂商各自有不同标准,不能实现互操作。
QoS
QoS(Quality of Service-服务质量)本来是ATM(Asynchronous
Tra mit
Mode)中的专用术语,在IP上原来是不谈QoS的,但利用IP传VOD等多媒体信息的应用越来越多,IP作为一个打包的协议显得有点力不从心:延迟长且不为定值,丢包造成信号不连续且失真大。为解决这些问题,厂商提供了若干解决方案:第一种方案是基于不同对象的优先级,某些设备(多为多媒体应用)发送的数据包可以后到先传。第二种方案基于协议的优先级,用户可定义哪种协议优先级高,可后到先传,Intel和Cisco都支持。第三种方案是做链路整合MLPPP(Multi
Link Point to Point
Protocol),Cisco支持可通过将连接两点的多条线路做带宽汇聚,从而提高带宽。第四种方案是做资源预留RSVP(Resource
Reservation
Protocol),它将一部分带宽固定的分给多媒体信号,其它协议无论如何拥挤,也不得占用这部分带宽。这几种解决方案都能有效的提高传输质量。
RIP、OSPF和BGP协议
互联网上现在大量运行的路由协议有RIP(Routing Information
Protocol-路由信息协议)、OSPF(Open Shortest Path
First--开放式最短路优先)和BGP(Border Gateway
Protocol—边界网关协议)。RIP、OSPF是内部网关协议,适用于单个ISP的统一路由协议的运行,由一个ISP运营的网络称为一个自治系统。BGP是自治系统间的路由协议,是一种外部网关协议。
RIP是推出时间最长的路由协议,也是最简单的路由协议。它主要传递路由信息(路由表)来广播路由。每隔30秒,广播一次路由表,维护相邻路由器的关系,同时根据收到的路由表计算自己的路由表。RIP运行简单,适用于小型网络,互联网上还在部分使用着RIP。
OSPF协议是“开放式最短路优先”的缩写。“开放”是针对当时某些厂家的“私有”路由协议而言,而正是因为协议开放性,才使得OSPF具有强大的生命力和广泛的用途。它通过传递链路状态(连接信息)来得到网络信息,维护一张网络有向拓扑图,利用最小生成树算法得到路由表。OSPF是一种相对复杂的路由协议。
总的来说,OSPF、RIP都是自治系统内部的路由协议,适合于单一的ISP(自治系统)使用。一般说来,整个互联网并不适合跑单一的路由协议,因为各ISP有自己的利益,不愿意提供自身网络详细的路由信息。为了保证各ISP利益,标准化组织制定了ISP间的路由协议BGP。
BGP处理各ISP之间的路由传递。其特点是有丰富的路由策略,这是RIP、OSPF等协议无法做到的,因为它们需要全局的信息计算路由表。BGP通过ISP边界的路由器加上一定的策略,选择过滤路由,把RIP、OSPF、BGP等的路由发送到对方。全局范围的、广泛的互联网是BGP处理多个ISP间的路由的实例。BGP的出现,引起了互联网的重大变革,它把多个ISP有机的连接起来,真正成为全球范围内的网络。带来的副作用是互联网的路由爆炸,现在互联网的路由大概是60000条,这还是经过“聚合”后的数字。
配置BGP需要对用户需求、网络现状和BGP协议非常了解,还需要非常小心,BGP运行在相对核心的地位,一旦出错,其造成的损失可能会很大! IPv6技术
迅速发展中的互联网将不再是仅仅连接计算机的网络,它将发展成能同***网、有线电视网类似的信息通信基础设施。因此,正在使用的IP(互联网协议)已经难以胜任,人们迫切希望下一代
IP即IPv6的出现。
IPv6是IP的一种版本,在互联网通信协议TCP/IP中,是OSI模型第3层(网络层)的传输协议。它同目前广泛使用的、1974年便提出的IPv4相比,地址由32位扩充到128位。从理论上说,地址的数量由原先的4.3×109个增加到4.3×1038个。之所以必须从现行的IPv4改用IPv6,主要有二个原因。
1.由于互联网迅速发展,地址数量已经不够用,这使得网络管理花费的精力和费用令人难以承受。地址的枯竭是促使向拥有128位地址空间过渡的首要原因。
2.随着主机数目的增加,决定数据传输路由的路由表在不断加大。路由器的处理性能跟不上这种迅速增长。长此以往,互联网连接将难以提供稳定的服务。经由IPv6,路由数可以减少一个数量级。
为了使互联网连接许多东西变得简单,而且使用容易,必须采用IPv6。IPv6所以能做到这一点,是因为它使用了四种技术:地址空间的扩充、可使路由表减小的地址构造、自动设定地址以及提高安全保密性。
IPv6在路由技术上继承了IPv4的有利方面,代表未来路由技术的发展方向,许多路由器厂商目前已经投入很大力量以生产支持IPv6的路由器。当然IPv6也有一些值得注意和效率不高的地方,IPv4/NAT和IPv6将会共存相当长的一段时间。
路由器的配置与调试
--------------------------------------------------------------------------------
路由器在计算机网络中有着举足轻重的地位,是计算机网络的桥梁。通过它不仅可以连通不同的网络,还能选择数据传送的路径,并能阻隔非法的访问。
路由器的配置对初学者来说,并不是件十分容易的事。现将路由器的一般配置和简单调试介绍给大家,供朋友们在配置路由器时参考,本文以Cisco2501为例。
Cisco2501有一个以太网口(AUI)、一个Co ole口(RJ45)、一个AUX口(RJ45)和两个同步串口,支持DTE和DCE设备,支持
EIA/TIA-232、 EIA/TIA-449、 V.35 、X.25和EIA-530接口。
一.配置
1.配置以太网端口
# conf t(从终端配置路由器)
# int e0(指定E0口)
# ip addr ABCD XXXX(ABCD 为以太网地址,XXXX为子网掩码)
# ip addr ABCD XXXX secondary(E0口同时支持两个地址类型。如果第一个为
A类地址,则第二个为B或C类地址)
# no shutdown(激活E0口)
# exit
完成以上配置后,用ping命令检查E0口是否正常。如果不正常,一般是因为没有激活该端口,初学者往往容易忽视。用no
shutdown命令激活E0口即可。
2.X.25的配置
# conf t
# int S0(指定S0口)
# ip addr ABCD XXXX(ABCD 为以太网S0 的IP地址,XXXX为子网掩码)
# encap X25-ABC(封装X.25协议。ABC指定X.25为DTE或DCE操作,缺省为DTE)
# x25 addr ABCD(ABCD为S0的X.25端口地址,由邮电局提供)
# x25 map ip ABCD XXXX
br(映射的X.25地址。ABCD为对方路由器(如:S0)的IP
地址,XXXX为对方路由器(如:S0)的X.25端口地址)
# x25 htc X(配置最高双向通道数。X的取值范围1-4095,要根据 邮电局实际提供的数字配置)
# x25 nvc X(配置虚电路数,X不可超过邮电局实际提供的数否则将影响数据的正常传输)
# exit
S0端口配置完成后,用no shutdown命令激活E0口。如果ping S0端口正常,ping
映射的X.25
IP地址即对方路由器端口IP地址不通,则可能是以下几种情况引起的:1)本机X.25地址配置错误,重新与邮局核对(X.25地址长度为13位);2)本机映射IP地址或X.25地址配置错误,重新配置正确;3)对方IP地址或X.25地址配置错误;4)本机或对方路由配置错误。
能够与对方通讯,但有丢包现象。出现这种情况,一般有以下几种可能:1)线路情况不好,或网卡、RJ45插头接触不良;2)x25
htc最高双向通道数X的取值范围和x25nvc
虚电路数X超出邮电局实际提供的数字。最高双向通道数和虚电路数这两个值越大越好,但绝对不能超出邮电局实际提供的数字,否则就会出现丢包现象。
3.专线的配置
# conf t
# int S2(指定S2口)
# ip addr ABCD XXXX(ABCD 为S2 的IP地址,XXXX为子网掩码)
# exit
专线口配置完成后,用no shutdown命令激活S2口即可。
4.帧中继的配置
# conf t
# int s0
# ip addr ABCD XXXX (ABCD 为S0 的IP地址,XXXX为子网掩码)
# encap frante_relay (封装frante_relay 协议)
# no nrzi_encoding (NRZI=NO)
# frame_relay lmi_type q933a (LMI使用Q933A标准.LMI(Local
management Interface)
有3种:ANSI:T1.617、CCITTY:Q933A和Cisco特有的标准)
# fram-relay intf-typ
ABC(ABC为帧中继设备类型,它们分别是DTE设备、DCE交换机或NNI(网络接点接口)支持)
# frame_relay interface_dlci 110 br(配置DLCI(数据链路连接标识符))
# frame-relay map ip ABCD XXXX broadcast
(建立帧中继映射。ABCD为对方IP地址,XXXX为本地DLCI号,broadcast允许广播向前转发或更新路由)
# no shutdown (激活本端口)
# exit
帧中继S0端口配置完成后,用ping命令检查S0口。如果不正常,通常是因为没有激活该端口,用no
shutdown命令激活S0口即可。如果ping S0端口正常,ping
映射的IP地址不正常,则可能是帧中继交换机或对方配置错误,需要综合排查。
5.配置同步/异步口(适用于2522)
# conf t
# int s2
# ph asyn (配置S2为异步口)
# ph sync (配置S2为同步口)
6.动态路由的配置
# conf t
# router eigrp 20
(使用EIGRP路由协议。常用的路由协议有RIP、IGRP、IS-IS等)
# pa ive-interface serial0 (若S0与X.25相连,则输入本条指令)
# pa ive-interface serial1 (若S1与X.25相连,则输入本条指令)
# network ABCD (ABCD为本机的以太网地址)
# network XXXX (XXXX为S0的IP地址)
# no auto-summary
# exit
7.静态路由的配置
# ip router ABCD XXXX YYYY 90 (ABCD为对方路由器的以太网地址,XXXX
为子网掩码,YYYY为对方对应的广域网端口地址)
# dialer-list 1 protocol ip permail
二. 综合调试
当路由器全部配置完毕后,可进行一次综合调试。
1.首先将路由器的以太网口和所有要使用的串口都激活。方法是进入该口,执行no shutdown。
2.将和路由器相连的主机加上缺省路由(中心路由器的以太地址)。方法是在Unix系统的超级用户下执行:router
add default XXXX
1(XXXX为路由器的E0口地址)。每台主机都要加缺省路由,否则,将不能正常通讯。
3.ping本机的路由器以太网口,若不通,可能以太网口没有激活或不在一个网段上。ping广域网口,若不通,则没有加缺省路由。ping对方广域网口,若不通,路由器配置错误。ping主机以太网口,若不通,对方主机没有加缺省路由。
4.在专线卡X.25主机上加网关(静态路由)。方法是在Unix系统的超级用户下执行:router add
X.X.X.X Y.Y.Y.Y 1(X.X.X.X为对方以太网地址,Y.Y.Y.Y为对方广域网地址)。
5.使用Tracert对路由进行跟踪,以确定不通网段。
路由器的选购
--------------------------------------------------------------------------------
选择路由器时应注意安全性、控制软件、网络扩展能力、网管系统、带电插拔能力等方面。
1.由于路由器是网络中比较关键的设备,针对网络存在的各种安全隐患,路由器必须具有如下的安全特性:
(1)可靠性与线路安全
可靠性要求是针对故障恢复和负载能力而提出来的。对于路由器来说,可靠性主要体现在接口故障和网络流量增大两种情况下,为此,备份是路由器不可或缺的手段之一。当主接口出现故障时,备份接口自动投入工作,保证网络的正常运行。当网络流量增大时,备份接口又可承当负载分担的任务。 (2)身份认证
路由器中的身份认证主要包括访问路由器时的身份认证、对端路由器的身份认证和路由信息的身份认证。
(3)访问控制 对于路由器的访问控制,需要进行口令的分级保护。有基于IP地址的访问控制和基于用户的访问控制。
(4)信息隐藏
与对端通信时,不一定需要用真实身份进行通信。通过地址转换,可以做到隐藏网内地址,只以公共地址的方式访问外部网络。除了由内部网络首先发起的连接,网外用户不能通过地址转换直接访问网内资源。
(5)数据加密
(6)攻击探测和防范
(7)安全管理
2.路由器的控制软件是路由器发挥功能的一个关键环节。从软件的***、参数自动设置,到软件版本的升级都是必不可少的。软件***、参数设置及调试越方便,用户使用就越容易掌握,就能更好地应用。
3.随着计算机网络应用的逐渐增加,现有的网络规模有可能不能满足实际需要,会产生扩大网络规模的要求,因此扩展能力是一个网络在设计和建设过程中必须要考虑的。扩展能力的大小主要看路由器支持的扩展槽数目或者扩展端口数目。
4.随着网络的建设,网络规模会越来越大,网络的维护和管理就越难进行,所以网络管理显得尤为重要。
5.在我们***、调试、检修和维护或者扩展计算机网络的过程中,免不了要给网络中增减设备,也就是说可能会要插拔网络部件。那么路由器能否支持带电插拔,是路由器的一个重要的性能指标。
外型尺寸的选择
如果网络已完成楼宇级的综合布线,工程要求网络设备上机式集中管理,应选择19英寸宽的机架式路由器,如Cisco2509、华为2501(配置同Cisco2501)。如果没有上述需求,桌面型的路由器如Intel的8100和Cisco的1600系列,具有更高的性能价格比。
协议的选择
由于最初局域网并没先出标准后出产品,所以很多厂商如A le和IBM都提出了自己的标准,产生了如A leTalk和IBM协议,Novell公司的网络操作系统运行IPX/SPX协议,在连接这些异构网络时需要路由器对这些协议提供支持。Intel9100系列和9200系列的路由器可提供免费支持,3Com的系列路由产品也提供较广泛的协议支持。
路由器作为网络设备中的“黑匣子”,工作在后台。用户选择路由器时,多从技术角度来考虑,如可延展性、路由协议互操作性、广域数据服务支持、内部ATM支持、SAN集成能力等。另外,选择路由器还应遵循如下基本原则:即标准化原则、技术简单性原则、环境适应性原则、可管理性原则和容错冗余性原则。对于高端路由器,更多的还应该考虑是否和如何适应骨干网对网络高可靠性、接口高扩展性以及路由查找和数据转发的高性能要求。高可靠性、高扩展性和高性能的“三高”特性是高端路由器区别于中、低端路由器的关键所在。
2005-08-10 07:11
路由器基础知识
[ 作者:罗浩
更新时间:2005-8-3
编辑:yujun ]
路由器是什么
--------------------------------------------------------------------------------
是什么把网络相互连接起来?是路由器。路由器是互联网络的枢纽、"交通***"。目前路由器已经广泛应用于各行各业,各种不同档次的产品已经成为实现各种骨干网内部连接、骨干网间互联和骨干网与互联网互联互通业务的主力军。
所谓路由就是指通过相互连接的网络把信息从源地点移动到目标地点的活动。一般来说,在路由过程中,信息至少会经过一个或多个中间节点。通常,人们会把路由和交换进行对比,这主要是因为在普通用户看来两者所实现的功能是完全一样的。其实,路由和交换之间的主要区别就是交换发生在OSI参考模型的第二层(数据链路层),而路由发生在第三层,即网络层。这一区别决定了路由和交换在移动信息的过程中需要使用不同的控制信息,所以两者实现各自功能的方式是不同的。
早在40多年之间就已经出现了对路由技术的讨论,但是直到80年代路由技术才逐渐进入商业化的应用。路由技术之所以在问世之初没有被广泛使用主要是因为80年代之前的网络结构都非常简单,路由技术没有用武之地。直到最近十几年,大规模的互联网络才逐渐流行起来,为路由技术的发展提供了良好的基础和平台。
路由器是互联网的主要节点设备。路由器通过路由决定数据的转发。转发策略称为路由选择(routing),这也是路由器名称的由来(router,转发者)。作为不同网络之间互相连接的枢纽,路由器系统构成了基于
TCP/IP 的国际互连网络 Internet 的主体脉络,也可以说,路由器构成了 Internet
的骨架。它的处理速度是网络通信的主要瓶颈之一,它的可靠性则直接影响着网络互连的质量。因此,在园区网、地区网、乃至整个
Internet 研究领域中,路由器技术始终处于核心地位,其发展历程和方向,成为整个 Internet
研究的一个缩影。在当前我国网络基础建设和信息建设方兴未艾之际,探讨路由器在互连网络中的作用、地位及其发展方向,对于国内的网络技术研究、网络建设,以及明确网络市场上对于路由器和网络互连的各种似是而非的概念,都具有重要的意义。
路由器的作用
--------------------------------------------------------------------------------
路由器的一个作用是连通不同的网络,另一个作用是选择信息传送的线路。选择通畅快捷的近路,能大大提高通信速度,减轻网络系统通信负荷,节约网络系统资源,提高网络系统畅通率,从而让网络系统发挥出更大的效益来。
从过滤网络流量的角度来看,路由器的作用与交换机和网桥非常相似。但是与工作在网络物理层,从物理上划分网段的交换机不同,路由器使用专门的软件协议从逻辑上对整个网络进行划分。例如,一台支持IP协议的路由器可以把网络划分成多个子网段,只有指向特殊IP地址的网络流量才可以通过路由器。对于每一个接收到的数据包,路由器都会重新计算其校验值,并写入新的物理地址。因此,使用路由器转发和过滤数据的速度往往要比只查看数据包物理地址的交换机慢。但是,对于那些结构复杂的网络,使用路由器可以提高网络的整体效率。路由器的另外一个明显优势就是可以自动过滤网络广播。从总体上说,在网络中添加路由器的整个***过程要比即插即用的交换机复杂很多。
一般说来,异种网络互联与多个子网互联都应采用路由器来完成。
路由器的主要工作就是为经过路由器的每个数据帧寻找一条最佳传输路径,并将该数据有效地传送到目的站点。由此可见,选择最佳路径的策略即路由算法是路由器的关键所在。为了完成;这项工作,在路由器中保存着各种传输路径的相关数据——路径表(Routing
Table),供路由选择;时使用。路径表中保存着子网的标志信息、网上路由器的个数和下一个路由器的名字等内容。路径表可以是由系统管理员固定设置好的,也可以由系统动态修改,可以由路由器自动调整,也可以由主机控制。
1.静态路径表
由系统管理员事先设置好固定的路径表称之为静态(static)路径表,一般是在系统***时就根据网络的配置情况预先设定的,它不会随未来网络结构的改变而改变。
2.动态路径表
动态(Dynamic)路径表是路由器根据网络系统的运行情况而自动调整的路径表。路由器根据路由选择协议(Routing
Protocol)提供的功能,自动学习和记忆网络运行情况,在需要时自动计算数据传输的最佳路径。
路由器的类型
--------------------------------------------------------------------------------
互联网各种级别的网络中随处都可见到路由器。接入网络使得家庭和小型企业可以连接到某个互联网服务提供商;企业网中的路由器连接一个校园或企业内成千上万的计算机;骨干网上的路由器终端系统通常是不能直接访问的,它们连接长距离骨干网上的ISP和企业网络。互联网的快速发展无论是对骨干网、企业网还是接入网都带来了不同的挑战。骨干网要求路由器能对少数链路进行高速路由转发。企业级路由器不但要求端口数目多、价格低廉,而且要求配置起来简单方便,并提供QoS。
1.接入路由器
接入路由器连接家庭或ISP内的小型企业客户。接入路由器已经开始不只是提供SLIP或PPP连接,还支持诸如PPTP和IPSec等虚拟私有网络协议。这些协议要能在每个端口上运行。诸如ADSL等技术将很快提高各家庭的可用带宽,这将进一步增加接入路由器的负担。由于这些趋势,接入路由器将来会支持许多异构和高速端口,并在各个端口能够运行多种协议,同时还要避开***交换网。
2.企业级路由器
企业或校园级路由器连接许多终端系统,其主要目标是以尽量便宜的方法实现尽可能多的端点互连,并且进一步要求支持不同的服务质量。许多现有的企业网络都是由Hub或网桥连接起来的以太网段。尽管这些设备价格便宜、易于***、无需配置,但是它们不支持服务等级。相反,有路由器参与的网络能够将机器分成多个碰撞域,并因此能够控制一个网络的大小。此外,路由器还支持一定的服务等级,至少允许分成多个优先级别。但是路由器的每端口造价要贵些,并且在能够使用之前要进行大量的配置工作。因此,企业路由器的成败就在于是否提供大量端口且每端口的造价很低,是否容易配置,是否支持QoS。另外还要求企业级路由器有效地支持广播和组播。企业网络还要处理历史遗留的各种LAN技术,支持多种协议,包括IP、IPX和Vine。它们还要支持防火墙、包过滤以及大量的管理和安全策略以及VLAN。
3.骨干级路由器
骨干级路由器实现企业级网络的互联。对它的要求是速度和可靠性,而代价则处于次要地位。硬件可靠性可以采用***交换网中使用的技术,如热备份、双电源、双数据通路等来获得。这些技术对所有骨干路由器而言差不多是标准的。骨干IP路由器的主要性能瓶颈是在转发表中查找某个路由所耗的时间。当收到一个包时,输入端口在转发表中查找该包的目的地址以确定其目的端口,当包越短或者当包要发往许多目的端口时,势必增加路由查找的代价。因此,将一些常访问的目的端口放到缓存中能够提高路由查找的效率。不管是输入缓冲还是输出缓冲路由器,都存在路由查找的瓶颈问题。除了性能瓶颈问题,路由器的稳定性也是一个常被忽视的问题。
4.太比特路由器
在未来核心互联网使用的三种主要技术中,光纤和DWDM都已经是很成熟的并且是现成的。如果没有与现有的光纤技术和DWDM技术提供的原始带宽对应的路由器,新的网络基础设施将无法从根本上得到性能的改善,因此开发高性能的骨干交换/路由器(太比特路由器)已经成为一项迫切的要求。太比特路由器技术现在还主要处于开发实验阶段。
路由器的结构
--------------------------------------------------------------------------------
路由器的体系结构
从体系结构上看,路由器可以分为第一代单总线单CPU结构路由器、第二代单总线主从CPU结构路由器、第三代单总线对称式多CPU结构路由器;第四代多总线多CPU结构路由器、第五代共享内存式结构路由器、第六代交叉开关体系结构路由器和基于机群系统的路由器等多类。
路由器的构成
路由器具有四个要素:输入端口、输出端口、交换开关和路由处理器。
输入端口是物理链路和输入包的进口处。端口通常由线卡提供,一块线卡一般支持4、8或16个端口,一个输入端口具有许多功能。第一个功能是进行数据链路层的封装和解封装。第二个功能是在转发表中查找输入包目的地址从而决定目的端口(称为路由查找),路由查找可以使用一般的硬件来实现,或者通过在每块线卡上嵌入一个微处理器来完成。第三,为了提供QoS(服务质量),端口要对收到的包分成几个预定义的服务级别。第四,端口可能需要运行诸如SLIP(串行线网际协议)和PPP(点对点协议)这样的数据链路级协议或者诸如PPTP(点对点隧道协议)这样的网络级协议。一旦路由查找完成,必须用交换开关将包送到其输出端口。如果路由器是输入端加队列的,则有几个输入端共享同一个交换开关。这样输入端口的最后一项功能是参加对公共资源(如交换开关)的仲裁协议。
交换开关可以使用多种不同的技术来实现。迄今为止使用最多的交换开关技术是总线、交叉开关和共享存贮器。最简单的开关使用一条总线来连接所有输入和输出端口,总线开关的缺点是其交换容量受限于总线的容量以及为共享总线仲裁所带来的额外开销。交叉开关通过开关提供多条数据通路,具有N×N个交叉点的交叉开关可以被认为具有2N条总线。如果一个交叉是闭合,输入总线上的数据在输出总线上可用,否则不可用。交叉点的闭合与打开由调度器来控制,因此,调度器限制了交换开关的速度。在共享存贮器路由器中,进来的包被存贮在共享存贮器中,所交换的仅是包的指针,这提高了交换容量,但是,开关的速度受限于存贮器的存取速度。尽管存贮器容量每18个月能够翻一番,但存贮器的存取时间每年仅降低5%,这是共享存贮器交换开关的一个固有限制。
输出端口在包被发送到输出链路之前对包存贮,可以实现复杂的调度算法以支持优先级等要求。与输入端口一样,输出端口同样要能支持数据链路层的封装和解封装,以及许多较高级协议。
路由处理器计算转发表实现路由协议,并运行对路由器进行配置和管理的软件。同时,它还处理那些目的地址不在线卡转发表中的包。
路由器的基本协议与技术
--------------------------------------------------------------------------------
***
***(Virtual Private
Network-虚拟专用网)解决方案是路由器具有的重要功能之一。其解决方案大致如下:
1.访问控制
一般分为PAP(口令认证协议)和CHAP(高级口令认证协议)两种协议。PAP要求登录者向目标路由器提供用户名和口令,与其访问列表(Acce List)中的信息相符才允许其登录。它虽然提供了一定的安全保障,但用户登录信息在网上无加密传递,易被人窃取。CHAP便应运而生,它把一随机初始值与用户原始登录信息(用户名和口令)经Hash算法翻译后形成新的登录信息。这样在网上传递的用户登录信息对黑客来说是不透明的,且由于随机初始值每次不同,用户每次的最终登录信息也会不同,即使某一次用户登录信息被窃取,黑客也不能重复使用。需要注意的是,由于各厂商采取各自不同的Hash算法,所以CHAP无互操作性可言。要建立***需要***两端放置相同品牌路由器。
2.数据加密
在加密过程中加密位数是一个很重要的参数,它直接关系到解密的难易程度,其中Intel
9000系列路由器表现最为优异,为一百多位加密。
3.NAT(Network Addre Tra lation-网络地址转换协议)
如同用户登录信息一样,IP和MAC地址在网上无加密传递也很不安全。NAT可把合法IP地址和MAC地址翻译成非法IP地址和MAC地址在网上传递,到达目标路由器后反翻译成合法IP与MAC地址,这一过程有点像CHAP,翻译算法厂商各自有不同标准,不能实现互操作。
QoS
QoS(Quality of Service-服务质量)本来是ATM(Asynchronous
Tra mit
Mode)中的专用术语,在IP上原来是不谈QoS的,但利用IP传VOD等多媒体信息的应用越来越多,IP作为一个打包的协议显得有点力不从心:延迟长且不为定值,丢包造成信号不连续且失真大。为解决这些问题,厂商提供了若干解决方案:第一种方案是基于不同对象的优先级,某些设备(多为多媒体应用)发送的数据包可以后到先传。第二种方案基于协议的优先级,用户可定义哪种协议优先级高,可后到先传,Intel和Cisco都支持。第三种方案是做链路整合MLPPP(Multi
Link Point to Point
Protocol),Cisco支持可通过将连接两点的多条线路做带宽汇聚,从而提高带宽。第四种方案是做资源预留RSVP(Resource
Reservation
Protocol),它将一部分带宽固定的分给多媒体信号,其它协议无论如何拥挤,也不得占用这部分带宽。这几种解决方案都能有效的提高传输质量。
RIP、OSPF和BGP协议
互联网上现在大量运行的路由协议有RIP(Routing Information
Protocol-路由信息协议)、OSPF(Open Shortest Path
First--开放式最短路优先)和BGP(Border Gateway
Protocol—边界网关协议)。RIP、OSPF是内部网关协议,适用于单个ISP的统一路由协议的运行,由一个ISP运营的网络称为一个自治系统。BGP是自治系统间的路由协议,是一种外部网关协议。
RIP是推出时间最长的路由协议,也是最简单的路由协议。它主要传递路由信息(路由表)来广播路由。每隔30秒,广播一次路由表,维护相邻路由器的关系,同时根据收到的路由表计算自己的路由表。RIP运行简单,适用于小型网络,互联网上还在部分使用着RIP。
OSPF协议是“开放式最短路优先”的缩写。“开放”是针对当时某些厂家的“私有”路由协议而言,而正是因为协议开放性,才使得OSPF具有强大的生命力和广泛的用途。它通过传递链路状态(连接信息)来得到网络信息,维护一张网络有向拓扑图,利用最小生成树算法得到路由表。OSPF是一种相对复杂的路由协议。
总的来说,OSPF、RIP都是自治系统内部的路由协议,适合于单一的ISP(自治系统)使用。一般说来,整个互联网并不适合跑单一的路由协议,因为各ISP有自己的利益,不愿意提供自身网络详细的路由信息。为了保证各ISP利益,标准化组织制定了ISP间的路由协议BGP。
BGP处理各ISP之间的路由传递。其特点是有丰富的路由策略,这是RIP、OSPF等协议无法做到的,因为它们需要全局的信息计算路由表。BGP通过ISP边界的路由器加上一定的策略,选择过滤路由,把RIP、OSPF、BGP等的路由发送到对方。全局范围的、广泛的互联网是BGP处理多个ISP间的路由的实例。BGP的出现,引起了互联网的重大变革,它把多个ISP有机的连接起来,真正成为全球范围内的网络。带来的副作用是互联网的路由爆炸,现在互联网的路由大概是60000条,这还是经过“聚合”后的数字。
配置BGP需要对用户需求、网络现状和BGP协议非常了解,还需要非常小心,BGP运行在相对核心的地位,一旦出错,其造成的损失可能会很大! IPv6技术
迅速发展中的互联网将不再是仅仅连接计算机的网络,它将发展成能同***网、有线电视网类似的信息通信基础设施。因此,正在使用的IP(互联网协议)已经难以胜任,人们迫切希望下一代
IP即IPv6的出现。
IPv6是IP的一种版本,在互联网通信协议TCP/IP中,是OSI模型第3层(网络层)的传输协议。它同目前广泛使用的、1974年便提出的IPv4相比,地址由32位扩充到128位。从理论上说,地址的数量由原先的4.3×109个增加到4.3×1038个。之所以必须从现行的IPv4改用IPv6,主要有二个原因。
1.由于互联网迅速发展,地址数量已经不够用,这使得网络管理花费的精力和费用令人难以承受。地址的枯竭是促使向拥有128位地址空间过渡的首要原因。
2.随着主机数目的增加,决定数据传输路由的路由表在不断加大。路由器的处理性能跟不上这种迅速增长。长此以往,互联网连接将难以提供稳定的服务。经由IPv6,路由数可以减少一个数量级。
为了使互联网连接许多东西变得简单,而且使用容易,必须采用IPv6。IPv6所以能做到这一点,是因为它使用了四种技术:地址空间的扩充、可使路由表减小的地址构造、自动设定地址以及提高安全保密性。
IPv6在路由技术上继承了IPv4的有利方面,代表未来路由技术的发展方向,许多路由器厂商目前已经投入很大力量以生产支持IPv6的路由器。当然IPv6也有一些值得注意和效率不高的地方,IPv4/NAT和IPv6将会共存相当长的一段时间。
路由器的配置与调试
--------------------------------------------------------------------------------
路由器在计算机网络中有着举足轻重的地位,是计算机网络的桥梁。通过它不仅可以连通不同的网络,还能选择数据传送的路径,并能阻隔非法的访问。
路由器的配置对初学者来说,并不是件十分容易的事。现将路由器的一般配置和简单调试介绍给大家,供朋友们在配置路由器时参考,本文以Cisco2501为例。
Cisco2501有一个以太网口(AUI)、一个Co ole口(RJ45)、一个AUX口(RJ45)和两个同步串口,支持DTE和DCE设备,支持
EIA/TIA-232、 EIA/TIA-449、 V.35 、X.25和EIA-530接口。
一.配置
1.配置以太网端口
# conf t(从终端配置路由器)
# int e0(指定E0口)
# ip addr ABCD XXXX(ABCD 为以太网地址,XXXX为子网掩码)
# ip addr ABCD XXXX secondary(E0口同时支持两个地址类型。如果第一个为
A类地址,则第二个为B或C类地址)
# no shutdown(激活E0口)
# exit
完成以上配置后,用ping命令检查E0口是否正常。如果不正常,一般是因为没有激活该端口,初学者往往容易忽视。用no
shutdown命令激活E0口即可。
2.X.25的配置
# conf t
# int S0(指定S0口)
# ip addr ABCD XXXX(ABCD 为以太网S0 的IP地址,XXXX为子网掩码)
# encap X25-ABC(封装X.25协议。ABC指定X.25为DTE或DCE操作,缺省为DTE)
# x25 addr ABCD(ABCD为S0的X.25端口地址,由邮电局提供)
# x25 map ip ABCD XXXX
br(映射的X.25地址。ABCD为对方路由器(如:S0)的IP
地址,XXXX为对方路由器(如:S0)的X.25端口地址)
# x25 htc X(配置最高双向通道数。X的取值范围1-4095,要根据 邮电局实际提供的数字配置)
# x25 nvc X(配置虚电路数,X不可超过邮电局实际提供的数否则将影响数据的正常传输)
# exit
S0端口配置完成后,用no shutdown命令激活E0口。如果ping S0端口正常,ping
映射的X.25
IP地址即对方路由器端口IP地址不通,则可能是以下几种情况引起的:1)本机X.25地址配置错误,重新与邮局核对(X.25地址长度为13位);2)本机映射IP地址或X.25地址配置错误,重新配置正确;3)对方IP地址或X.25地址配置错误;4)本机或对方路由配置错误。
能够与对方通讯,但有丢包现象。出现这种情况,一般有以下几种可能:1)线路情况不好,或网卡、RJ45插头接触不良;2)x25
htc最高双向通道数X的取值范围和x25nvc
虚电路数X超出邮电局实际提供的数字。最高双向通道数和虚电路数这两个值越大越好,但绝对不能超出邮电局实际提供的数字,否则就会出现丢包现象。
3.专线的配置
# conf t
# int S2(指定S2口)
# ip addr ABCD XXXX(ABCD 为S2 的IP地址,XXXX为子网掩码)
# exit
专线口配置完成后,用no shutdown命令激活S2口即可。
4.帧中继的配置
# conf t
# int s0
# ip addr ABCD XXXX (ABCD 为S0 的IP地址,XXXX为子网掩码)
# encap frante_relay (封装frante_relay 协议)
# no nrzi_encoding (NRZI=NO)
# frame_relay lmi_type q933a (LMI使用Q933A标准.LMI(Local
management Interface)
有3种:ANSI:T1.617、CCITTY:Q933A和Cisco特有的标准)
# fram-relay intf-typ
ABC(ABC为帧中继设备类型,它们分别是DTE设备、DCE交换机或NNI(网络接点接口)支持)
# frame_relay interface_dlci 110 br(配置DLCI(数据链路连接标识符))
# frame-relay map ip ABCD XXXX broadcast
(建立帧中继映射。ABCD为对方IP地址,XXXX为本地DLCI号,broadcast允许广播向前转发或更新路由)
# no shutdown (激活本端口)
# exit
帧中继S0端口配置完成后,用ping命令检查S0口。如果不正常,通常是因为没有激活该端口,用no
shutdown命令激活S0口即可。如果ping S0端口正常,ping
映射的IP地址不正常,则可能是帧中继交换机或对方配置错误,需要综合排查。
5.配置同步/异步口(适用于2522)
# conf t
# int s2
# ph asyn (配置S2为异步口)
# ph sync (配置S2为同步口)
6.动态路由的配置
# conf t
# router eigrp 20
(使用EIGRP路由协议。常用的路由协议有RIP、IGRP、IS-IS等)
# pa ive-interface serial0 (若S0与X.25相连,则输入本条指令)
# pa ive-interface serial1 (若S1与X.25相连,则输入本条指令)
# network ABCD (ABCD为本机的以太网地址)
# network XXXX (XXXX为S0的IP地址)
# no auto-summary
# exit
7.静态路由的配置
# ip router ABCD XXXX YYYY 90 (ABCD为对方路由器的以太网地址,XXXX
为子网掩码,YYYY为对方对应的广域网端口地址)
# dialer-list 1 protocol ip permail
二. 综合调试
当路由器全部配置完毕后,可进行一次综合调试。
1.首先将路由器的以太网口和所有要使用的串口都激活。方法是进入该口,执行no shutdown。
2.将和路由器相连的主机加上缺省路由(中心路由器的以太地址)。方法是在Unix系统的超级用户下执行:router
add default XXXX
1(XXXX为路由器的E0口地址)。每台主机都要加缺省路由,否则,将不能正常通讯。
3.ping本机的路由器以太网口,若不通,可能以太网口没有激活或不在一个网段上。ping广域网口,若不通,则没有加缺省路由。ping对方广域网口,若不通,路由器配置错误。ping主机以太网口,若不通,对方主机没有加缺省路由。
4.在专线卡X.25主机上加网关(静态路由)。方法是在Unix系统的超级用户下执行:router add
X.X.X.X Y.Y.Y.Y 1(X.X.X.X为对方以太网地址,Y.Y.Y.Y为对方广域网地址)。
5.使用Tracert对路由进行跟踪,以确定不通网段。
路由器的选购
--------------------------------------------------------------------------------
选择路由器时应注意安全性、控制软件、网络扩展能力、网管系统、带电插拔能力等方面。
1.由于路由器是网络中比较关键的设备,针对网络存在的各种安全隐患,路由器必须具有如下的安全特性:
(1)可靠性与线路安全
可靠性要求是针对故障恢复和负载能力而提出来的。对于路由器来说,可靠性主要体现在接口故障和网络流量增大两种情况下,为此,备份是路由器不可或缺的手段之一。当主接口出现故障时,备份接口自动投入工作,保证网络的正常运行。当网络流量增大时,备份接口又可承当负载分担的任务。 (2)身份认证
路由器中的身份认证主要包括访问路由器时的身份认证、对端路由器的身份认证和路由信息的身份认证。
(3)访问控制 对于路由器的访问控制,需要进行口令的分级保护。有基于IP地址的访问控制和基于用户的访问控制。
(4)信息隐藏
与对端通信时,不一定需要用真实身份进行通信。通过地址转换,可以做到隐藏网内地址,只以公共地址的方式访问外部网络。除了由内部网络首先发起的连接,网外用户不能通过地址转换直接访问网内资源。
(5)数据加密
(6)攻击探测和防范
(7)安全管理
2.路由器的控制软件是路由器发挥功能的一个关键环节。从软件的***、参数自动设置,到软件版本的升级都是必不可少的。软件***、参数设置及调试越方便,用户使用就越容易掌握,就能更好地应用。
3.随着计算机网络应用的逐渐增加,现有的网络规模有可能不能满足实际需要,会产生扩大网络规模的要求,因此扩展能力是一个网络在设计和建设过程中必须要考虑的。扩展能力的大小主要看路由器支持的扩展槽数目或者扩展端口数目。
4.随着网络的建设,网络规模会越来越大,网络的维护和管理就越难进行,所以网络管理显得尤为重要。
5.在我们***、调试、检修和维护或者扩展计算机网络的过程中,免不了要给网络中增减设备,也就是说可能会要插拔网络部件。那么路由器能否支持带电插拔,是路由器的一个重要的性能指标。
外型尺寸的选择
如果网络已完成楼宇级的综合布线,工程要求网络设备上机式集中管理,应选择19英寸宽的机架式路由器,如Cisco2509、华为2501(配置同Cisco2501)。如果没有上述需求,桌面型的路由器如Intel的8100和Cisco的1600系列,具有更高的性能价格比。
协议的选择
由于最初局域网并没先出标准后出产品,所以很多厂商如A le和IBM都提出了自己的标准,产生了如A leTalk和IBM协议,Novell公司的网络操作系统运行IPX/SPX协议,在连接这些异构网络时需要路由器对这些协议提供支持。Intel9100系列和9200系列的路由器可提供免费支持,3Com的系列路由产品也提供较广泛的协议支持。
路由器作为网络设备中的“黑匣子”,工作在后台。用户选择路由器时,多从技术角度来考虑,如可延展性、路由协议互操作性、广域数据服务支持、内部ATM支持、SAN集成能力等。另外,选择路由器还应遵循如下基本原则:即标准化原则、技术简单性原则、环境适应性原则、可管理性原则和容错冗余性原则。对于高端路由器,更多的还应该考虑是否和如何适应骨干网对网络高可靠性、接口高扩展性以及路由查找和数据转发的高性能要求。高可靠性、高扩展性和高性能的“三高”特性是高端路由器区别于中、低端路由器的关键所在。
2005-08-10 08:24
网络管理经验谈
要成为一名好的、称职的网络管理员并不是件容易的事。因为他需要你在各方面都具有很强的专业知识。另外经验对一个网络管理员来说也是必不可少的。作为网管中的一员我在这里想和大家谈谈工作中的心得同各位交流一下网络管理的技术及经验。
首先,我来谈谈网络管理系统的概念。网络管理系统包括配置管理、故障管理、性能管理、安全管理和计费管理五大部分。而对于我们一般的中小企业的网络来说通常不需要计费管理。因为它主要应用于ISP级的大企业如电信运营网络商。安全管理则属于计算机安全建设领域。所以我主要说说配置、故障和性能管理三个方面。目前市场上各种网管产品主要是针对网络故障管理和网络性能管理这两个方面的。网络故障管理主要侧重于实时的监控,而网络性能管理更看中历史分析。网络管理的软件很多,在市场上经常使用的例如CA公司的TNG.
3Com的Tra cend、HP的OpenVieW、Cisco的Ciscowork2000这些都是很不错的管理工具。在这里我想对Ciscowork2000多说两句,因为在很多企业中用的网络设备如路由器、交换机等都是Cisco的产品,在管理这些Cisco设备时,Ciscowrks2000是极为方便,好用的。
Ciscowrks2000是Cisco公司的网络管理产品系列,
它将路由器和交换机管理功能与Web的最新技术结合在一起。这样,它不仅利用了现有工具和设备中内置的管理数据资源同时为快速变化的企业网络提供新的网络管理工具。如果你以前用过Ciscowrks,那就更方便了。因为Ciscowrks2000继承了Ciscowrks,Cisco资源管理器CRM及CWSI的功能,包括功能增强的工具、重要的新功能及基于标准的第三方集成工具。尤其重要的是Ciscowrks2000还包括用于关键管理工具和产品的基于Web的RME(Resource
Manager
E entials)、管理交换机和网络业务的CWSI园区网、建立管理内部网的Cisco管理连接、Cisco
View图形设备管理工具以及将来增加功能时可插入的模块让管理员更方便、更容易地管理好自己的网络。用过CiscoWorks2000的人都会发现在面向Interet的网络管理方面,Ciscowrks2000拥有用于管理功能和应用集成的浏览器用户接口以及基于标准的结构;在管理效率及灵活性上
Ciscowrks2000产品有着通过诸如库存、拓扑结构及改变管理等应用程序对多种设备进行管理一体的特性。
接下来我将根据网络管理系统所包含的内容分别谈谈配置管理、性能管理在最后我会和大家重点探讨一下我认为最重要的一项——故障管理。
配置管理是指管理员对企业所有设备配置的统一管理。目前管理员大多通过登录方法对网络设备进行配置并利用设备提供曲配置命令完成。这也是惟一能够完成所有配置任务的
方式。设备的制造商会针对不同型号的设备推出一些辅助的配置管理软件二具,简化设备的配置过程。但这往往只能实现部分配置功能,而且只针对特定型号的设备缺乏通用性没有太大的意义。由于设备的配置参数方式没有通用的标准和协议所以没有通用的设备配置管理软件,管理员只能通过各自产品的软件对所有设备分别配置。
性能管理是管理员通过对网络、系统产生的报表数据进行实时的分析与管理,性能管理系统会保存大量采样数据同时定期对原始数据进行成汇总,生成汇总化报表,以减少存储资源占用,提高数据质量,性能报表报告是性能管理的核心。性能报表直观易懂性是基本要求,报表内容是否有效是否能够对系统性能调整起到指导作用则是性能管理系统是否有用的关
键。当然,网络性能超出限制值产生性能故障报警,并通过网络故障管理统一处理也是性能管理的基本要求。另外有一些高端的网络性能管理软件还具有自动分析预测功能可以自行
学习和分析网络性能的历史和现状,给出将来可能出现的性能问题预测。
最后也是最重要的一点,我要和大家谈谈故障管理。因为对于大多数管理员来说,主要任务就是整个企业网络系统的维护。每当网络或系统出现故障时,是最令管理员们头痛的事。因此,故障管理将成为整个网络管理的重中之重。网络故障管理首先能够自动发现、生成和维护网络拓扑结构形成网络模型。该模型应该与管理员头脑中的网络图像一致。通过核对该图,管理员可以纠正错误认识,或者发现用户私自增加和改变的网络连接。一般网管软件可以生成基于IP网络的拓扑结构图,高级网管软件则可以生成和维护基于交换机物理连接、帧中继永久虚电路、IPX网络、存储区或网SAN甚至BM网络体系架构SNA网络的拓扑结构图。然后,故障管理以此模型为基础自动定期轮询网络设备、监视线路设备的运行状况和故障情
况。故障管理的核心是对采集到的故障信息的处理。网管软件可以理解网络拓扑结构和故障来源、严重性、自动、及时直观地在网络拓扑界面表示该故障。这对实时监视和解决问题非常有效。界面的直观易用性是考察此类软件的侧重点。作为一个好的网络管理员,只靠管理软件是远远不够的。在进行网络管理和排除故障时其实最方便的是使用操作系统配备的工具。下面我就来介绍一下这类工具确的用法。
在Windows和Unix操作系统中都配备有这些命令工具用这些工具可以探察网络状态查明故障原因。即使不能查明故障原因
至少也可以弄清问题的性质,以便进一步处理。在这些命令中,常用的有Ping、Tracert、Ipconfig
Netstat和Nslookup等等。现在我分别来讲讲他们的用法。
Ping命令
Ping是对TCP/IP网络上的任意一台计算机发送一个ICMP(Internet Control Me age
Protocol)的请求。接收这个信息包的计算机,
要返回个“应答”包。收到了“应答”包,就可确认可否进行通信。Ping除了确认通信外,还可以确认名字解析测定通信所需的时间等。Ping命令的具体语法格式Ping目的地址[参数1][参数2]
其中,参数主要有
-a:解析主机地址。
-n: 数据:发出的测试包的个数,缺省值为4。
-t: 继续执行Ping命令,直到用户按ctrl+C终止。
-W:设定time out的值。
执行Ping命令后当屏幕上显示“Unknown host"或"Request timed
out"信息时一种情况是,当执行Ping<目标计算机名>时,出现"Unknown host",
表示没有找到所给目标计算机的IP地址说明名字解析失败但是否意味着不能和目标计算机进行通信仍未可知。这时将目标计算机名改换成IP地址再次执行Ping如果能顺利通信那么就可以判定只是名字解析的问题如果屏幕上显示“Request
timed out”
就可以判定与目标计算机不能进行通信。另一种情况是, 当执行Ping<目标计算机名>时,
显示"Request time out", 这说明名字解析虽然正确
但却不能进行通信。这样
通过执行Ping,
就可以将问题分成了两类。根据这个结果来考虑下一步应选用的工具。Ping命令虽然简单但实际运用起来却是作用非凡灵活使用相信一定会给你的网管生涯带来意外的惊喜。
Tracert命令
Trscert命令是用来检验数据包是通过什么路径到达目的地的。通过执行Tracert,可以让我们清楚地看到数据走的是什么路径。当Ping
一个较远的主机出现错误时
用Tracert命令可以方便地查出数据包是在那里出错的。如果信息包一个路由器也不能穿越,则有可能是计算机的网关设置错了。那么,我们可以用Ipconfig命令来查看。
Ipconfig命令
该命令的作用就是显示一些本机的网络信息,如:
IP Addre :192.168.1.2
*本机P地址*
Subet Mask:255.255.255.0
*自网掩码*
DefauIt Gateway:192.168.1.1
*缺省网关*
winipcfg命令
Wi cfg工具的功能与Ipconfig基本相同只是Winipcfg在操作上更加方便,
同时能够以Windows的32位图形界面方式显示。当用户需要查看任何一台机器上TCP/IP协议的配置情况时,只需在Windows
95/98上选择"开始→运行" 在出现的对话框中输入命令"Winipcfg"
,将出现测试结果。单击"详细信息"按钮在随后出现的对话框中可以查看和改变TCP/IP的有关配置参数,
当一台机器上***有多个网卡时可以查找到每个网卡的物理地址和有关协议的绑定情况这在某些时候对我们是特别有用的。如果要获取更多的信息,可单击图中的“详细信息按钮,在出现的对话框中可以查看到比较全面的信息。
Netstat命令
利用该工具可以显示有关统计信息和当前TCP/IP网络连接的情况,用户或网络管理人员可以得到非常详尽的统计结果。当网络中没有***特殊的网管软件但要对网络的整个使用状况作个详细的了解时,Netsta是非常有用的。
Netsta的语法格式是:Netstat[-参数1][-参数2]------其中主要参数有
-a:显示所有与该主机建立连接的端口信息。
-n: 以数字格式显示地址和端口信息。
-e: 显示以太网的统计住处该参数一般与s参数共同使用。所显示的内容中," Discards"
表示不能处理而被废弃的信息包数,"Errors"
表示坏掉的信息包数。这些数值大时,很可能是集线器、电缆和网卡等硬件发生了故障。另外,网络太拥挤也可能导致这些数值的增大。
-s:显示每个协议的统计情况。如果用户想要统计当前局域网中的详细信息
可通过键入
"netstat-e-s" 来查看。
NsIookup命令 lookup 一般是用来确认DNS服务器动作的。 lookup有多个选择功能
用命令行键入 lookup<主机名>执行, 即可显示出目标服务器的主机名和对应的IP地址,
称之为正向解析。若失败了,可能是执行 lookup命令的计算机的DNS设定搞错了。另外,还有可能是所查询的DNS服务器停止或工作异常。还有这种情况虽然返回了应答,但一和该服务器通信就失败。这种情况多数是目标服务器停止工作但也有可能DNS服务器保存了错误的信息。在DNS服务器出现问题时有时可能只能进行正向解析无法进行逆向解析。此时只需执行 lookup看是否输出目标主机名即可。
以上就是我介绍的一些网管工具。当然这只是很片面的一部分仅仅供各位参考。大家还可以通过各种网管书籍来学习更多的知识。
2005-08-10 08:52
电脑是通过路由器直接上网的
2005-08-10 09:41
Win2000 无盘终端***指南
1、RPLW2K.EXE (
2、METAFARM
V1.8 (
3、METAFARM V1.8 的补丁
4、METAFARM V1.8 的注册机
一、*** Win2000 服务器
1、请在您的服务器上*** Win2000 ADVANCED SERVER 或Win2000
SERVER。注意一点在***服务器之前将日期向后调整10年或更长(2010年),等我们把下面所有设置完毕后,再调回到正确日期,这样就可以解决终端用户的日期限制问题。
2、假设服务器名 GCSERVER,必须为系统添加 TCP/IP、IPX/SPX、NETBEUI、DLC
协议,其中 IP 地址 指定为: 192.168.10.1,子网掩码统一为:
255.255.255.0。注意此服务器必须成为主域。
由于Win2000 SERVER 不再提供RPL 服务,所以我们必需借用专用软件来为Win2000
SERVER 添加远程启动服务,现在国内已有多个这类的工具,我向大家推荐凌心远程启动工具,它的最新版v
3.0。安全稳定而且它是免费的。当然在条件允许的情况下我见意您使用一台WinNT4
远程启动服务器,专用于无盘工作站的启动,Windows 2000 Server
服务器则专用于终端服务,这样安排会使整个网络更稳定快速。不过一般用户很少有这个经济能力。我以一台Windows2000
Server 服务器为例***过程如下:
二、*** RPL 远程启动服务
1、将下载的文件拷贝到服务器上,把 NT40 Server 光盘放入服务器光驱中。参考提示正确填写路径。
2、重新启动Windows2000 后。可以在***目录中找到一个 MgrPatch.exe
文件。它是远程启动管理器监控程序,为它建立一个快捷方式到桌面,并且以后必须通过它来启动“远程启动管理器”。进入WINDOWS2000的命令行模式,CD
RPL(即你上面添加远程启动服务时的目标路径)。执行RPLCMD ,按照在 NT4
中添加网卡参数的相同方法(详见无盘WIN95***全传)为你的工作站添加配置。设置好无盘DOS622
保证其可以正常登陆。
关于METAFARM V1.8的强大功能。
1.***系统组件,选中终端服务,不要终端授权。程序运行方式选: 应用程序模式。兼容方式选:和
TERMINAL 4.0 兼容的模式。系统告诉OFFICE 2000可能无法正常使用时,不管它肯定能用。
2、开始***METAFARM V1.8,装好后,从添加/删除里*** METAFARM V1.8
的补丁,直接***不了,好多程序都要这样装,比如:WPS2000、、等等。重启动。
3、运行注册机,如果有别的协议,就都删了它(REMOVE按钮),添加(ADD按钮)如下几个协议就够了,添加时注意用户数量(USER),然后再激活来(ACTIVE)。
主协议(文件柜型): OEM METAFRAME 1.8 FOR WIN2000 用户数量:100
扩展协议(用户型): CITRIX USER LICENSE PACK 用户数量:100
分扩展协议(钥匙型): CITRIX LOAD BALANCING SERVICES 用户数量:不可改!
分扩展协议(钥匙型): CITRIX INSTALLATION MANAGEMENT SERVICES
用户数量:不可改!
分扩展协议(钥匙型): WINFRAME SERVER OPTION PACK 用户数量:不可改!
分扩展协议(钥匙型): METAFRAME RESERVED OPTION PACK1 用户数量:不可改!
分扩展协议(钥匙型): METAFRAME RESERVED OPTION PACK2 用户数量:不可改!
分扩展协议(钥匙型): METAFRAME RESERVED OPTION PACK3 用户数量:不可改!
分扩展协议(钥匙型): METAFRAME RESERVED OPTION PACK4 用户数量:不可改!
分扩展协议(钥匙型): METAFRAME 1.8 FEATURE RELEASE 1 用户数量:不可改!
分扩展协议(钥匙型): METAFRAME 1.8 FEATURE RELEASE - UPDATE
用户数量:不可改!
说明:主协议和扩展协议只能各有一个,分扩展协议可以有多个。
4、启用程序菜单下的MetaFrame Tools
ICA Client Creator
项目,将于(DOS
286处理器)的客户端程序解压到一张软盘,拷贝到C:WINNT
plRPLFILESPROFILES目录下建立CLIENT目录。启动一台工作站,用ADMINISTRATOR身分登录,进入无盘DOS,进入CLIENT目录,开始***。INSTALL+回车,F1,回车.
5、***完后,再进入C:WFCLIENT目录,运行WFCLIENT 配置好参数
Description: 随便填,如win2000
Tra ort:按三角,选NETBIOS
Server 前的()里就多了个*号。下面的方扩号里就多了个名称,那就应该是你服务器的名称。
Username: 填一个用户帐号名
Pa word: 相应密码
Domain:
Command line:
Working Directory:
[ x] Use data compre ion
[ x] Enable Sound
然后进入主界面,选OPTIONS下的Preferenc... 设置相应颜色,别忘了启用本地的鼠标。
回到主
