下面小编给大家整理的网络配置与IP路由实例Windows系统(共含10篇),欢迎阅读与借鉴!同时,但愿您也能像本文投稿人“小郭没有盖儿”一样,积极向本站投稿分享好文章。
网络配置与IP路由实例 摘自《计算机世界》作者:中国工商 银行 池州分行刘东明 -------------------------------------------------------------------------------- 计算机网络是计算机系统的重要组成部分,网络可以使用户共享应用程序、数据文件、系统资源
网络配置与IP路由实例
摘自《计算机世界》 作者:中国工商银行池州分行 刘东明
--------------------------------------------------------------------------------
计算机网络是计算机系统的重要组成部分,网络可以使用户共享应用程序、数据文件、系统资源(打印机、Modem等),并可交换E-mail和其他信息,在网络中,计算机系统间能够以对用户透明的协同方式相互通信。网络中的计算机虽不需要运行同样的操作系统,但它们一定使用同样的协议进行通信。目前最热门、应用最广泛的当首推TCP/IP协议。在TCP/IP协议中配置和管理网络时,最重要的是IP网络地址和路由,本文以Unix操作系统和Cisco路由器为例,总结笔者多年的网络配置、管理和使用经验,给出网络配置的几个实例,供计算机网络爱好者和网络管理员参考。
配置局域网卡
IP地址分为两个部分,即网络号和主机号,利用网络掩码可以将大的逻辑网络(IP网络地址通常分为A、B、C、D、E五类,大的逻辑网络指其中的某类)分割成小的物理网络,即若干个子网,此时的网络地址是网络号+子网络号。因此在配置网卡前,网络管理员必须清楚网卡的中断、地址、所在局域网的网络地址和掩码、分配给机器的IP地址。例如,假设某局域网为A类地址,系统管理员分配给机器的IP地址为18.48.232.19,网络掩码为255.255.255.0,则此时的网络号是18,网络地址是18.48.232,主机号为19;若网络掩码为255.255.0.0,则网络号为18,网络地址为18.48,主机号为232.19等等。网管员对网卡的中断、地址和机器的IP地址、掩码清楚后,在SCO Unix Open Server中,用scoadmin.netconfig命令根据菜单提示可以很方便地进行网络配置,重新链接后再重启系统,用ping命令测试网络是否连通。
Valink X25网卡与路由器连接
在实际的Unix网络应用中,单纯的局域网已不能满足应用的需求,网络的应用已很普遍地拓展到网络互连,即通过租用电信的通信线路(X.25、DDN等)将若干个局域网或营业网点的主机进行互连,这种互连大都采用路由器作为网络的接入设备。
在实际应用中,如金融系统的某个储蓄所,若采用上述方案,因路由器比较昂贵,所以投资较大。比较好的解决方法是用Valink X25网卡通过电信通信线路与路由器连接,这样既可解决网络互连又可减少投资。这种连接在X.25通信线路中实现比较方便,但在DDN(或模拟专线、自架设专线)通信线路中,实现连接尚需在路由器的配置中做一些改进。下面将网络配置过程和改进方法概述如下。
1. 路由器的参数设置
网络如果通过路由器的seria12口连接,参数配置如下:
interface seria12
ip address 18.48.232.18 255.255.255.0
encapsulation X25 dce
X25 address 12345678
X25 htc 16
X25 map ip 18.48.232.19 12345679 broadcast
no ip mroute-cache
2. Valink网卡的配置
在SCO Unix Open Server中,Valink网卡的驱动程序安装、网卡IP地址的配置同X.25通信线路完全一样,但网管员须注意,此时网络IP地址选18.48.231.19,掩码为255.255.255.0,X.25的网络号为12345679,对方的网络IP地址是18.48.232.18,对方的X.25网络号为12345678,并增加路由:route add default 18.48.232.19(或route add default 18.48.232.18)。
进行上述配置后,Unix主机可以和路由器所在局域网段所有的机器通信。上述的配置方法实质是让DDN通信线路用X.25封装去实现路由器和Valink网卡的通信。
Modem直连路由器
企业如租用电信的X.25、DDN等通信线路,实现路由器与路由器的连接比较方便,但若使用模拟专线或自架设专线,则路由器与路由器通过Modem连接,网管员需在路由器的参数配置上做点改动,
具体配置方法如下。
设定路由器1的seria12口与路由器2的serial1口通过Modem直连。
1. 路由器1的参数为:
iptface seria12
ip address 10.251.68.9 255.255.255.252
encapsulation X25 dce
X25 address 12345619
X25 htc 16
X25 map ip 10.251.68.10 12345691 broadcast
No ip mroute-cache
2. 路由器2的参数为:
interface serial1
ip address 10.251.68.10 255.255.255.252
encapsulation X25
X25 address 12345691
X25 htc 16
X25 map ip 10.251.68.9 123454619 broadcast
no ip mroute-cache
Modem参数设置同专线X.25或DDN方式完全一样,但必须设定其中一只为主叫,另一只为被叫。配置好参数后,用ping命令测试证实路由器1与路由器2已连通。
Unix系统主机做IP路由器
Unix系统主机也可以配置成为IP路由器,假设Unix主机装有两块局域网卡(若使用一块局域网卡、一块广域网卡,如Valink网卡,配置方法同两块局域网卡,惟一区别是广域网卡的配置用Valink网卡驱动程序),两块网卡的IP地址分别为18.248.232.200(掩码为255.255.255.0)、18.250.241.188(掩码为255.255.255.0),两块网卡通过双绞线分别连入一个局域网(两个局域网不是同一网段,在Unix主机配置成IP路由器前,不能进行信息共享),此时可将该Unix主机配置成IP路由器,使得两个局域网相互之间可以通信。配置方法是分别配置两块网卡,同时在配置第二块网卡的IP地址时,再选Advanced Options选项,将Gateways(网关)设为yes,重新链接核心。重启系统后,Unix主机已配置成IP路由器,两个局域网之间的主机可以相互通信,实现信息共享,即Unix主机可在两个网段间进行数据包转发。若在两个网段中分别有路由器,而路由器又连接另外的网段或主机,那么具体实现跨网段的通信方法如下。
设路由器1的局域网口IP地址为18.248.232.1(与18.248.232.200在同一局域网),路由器2的局域网口IP地址为18.250.241.1(与18.250.241.188在同一局域网),在两台路由器中需要分别增加IP路由如下:
路由器1:ip route 18.250.241.0 255.255.255.0 18.248.232.200
路由器2:ip route 18.248.232.0 255.255.255.0 18.250.241.188
增加路由后,两台路由器通过Unix主机(作为IP路由器)已连通,可以相互通信,但路由器1尚不能同路由器2的Serial口连接的网络或Unix主机进行通信,若需实现路由器1与路由器2的Serial口上连接的网络或主机通信(路由器2的Serial口已通过电信通信线路连通其他局域网或Unix主机),设路由器2的Serial口连接路由器3,路由器3的局域网所在网段为20.15.18.0(掩码为255.255.255.0),则需在路由器1与Unix主机中分别增加如下IP路由:
路由器1:ip route 20.15.48.0 255.255.255 0 18.250.241.1
Unix主机:route add default 18.250.241.1
增加路由后,路由器1通过Unix主机可与路由器3所在的局域网段的所有主机通信。
以上所述均在SCO Unix Open Server 5.0.4和SCO Unix Open Server 5.0.5及Cisco路由器中实现。
freesys 回复于:-09-01 23:16:09在简单的两个网络里还可以,但是如果有路由协议就不能采用该方式
level 回复于:-02-27 18:44:22可以
原文转自:www.ltesting.net
懂得网络配置命令是一般技术人员必备的技术,经过一段时间的研究和学习,总结了一些常用的命令和示例以便日后查阅.
传统的在1--3点,ip高级路由命令在4--12点,两者部分可以通用,并达到同样的目的,但ip的功能更强大,可以实现更多的配置目的,
首先,先了解传统的网络配置命令:
1. 使用ifconfig命令配置并查看网络接口情况
示例1: 配置eth0的IP,同时激活设备:
# ifconfig eth0 192.168.4.1 netmask 255.255.255.0 up
示例2: 配置eth0别名设备 eth0:1 的IP,并添加路由
# ifconfig eth0:1 192.168.4.2
# route add ?Chost 192.168.4.2 dev eth0:1
示例3:激活(禁用)设备
# ifconfig eth0:1 up(down)
示例4:查看所有(指定)网络接口配置
# ifconfig (eth0)
2. 使用route 命令配置路由表
示例1:添加到主机路由
# route add ?Chost 192.168.4.2 dev eth0:1
# route add ?Chost 192.168.4.1 gw 192.168.4.250
示例2:添加到网络的路由
# route add ?Cnet IP netmask MASK eth0
# route add ?Cnet IP netmask MASK gw IP
# route add ?Cnet IP/24 eth1
示例3:添加默认网关
# route add default gw IP
示例4:删除路由
# route del ?Chost 192.168.4.1 dev eth0:1
示例5:查看路由信息
# route 或 route -n (-n 表示不解析名字,列出速度会比route 快)
3.ARP 管理命令
示例1:查看ARP缓存
# arp
示例2: 添加
# arp ?Cs IP MAC
示例3: 删除
# arp ?Cd IP
4. ip是iproute2软件包里面的一个强大的网络配置工具,它能够替代一些传统的网络管理工具。
例如:ifconfig、route等,
上面的示例完全可以用下面的ip命令实现,而且ip命令可以实现更多的功能.下面介绍一些示例:
4.0 ip命令的语法
ip OBJECT ]
4.1 ip link set--改变设备的属性. 缩写:set、s
示例1:up/down 起动/关闭设备。
# ip link set dev eth0 up
这个等于传统的 # ifconfig eth0 up(down)
示例2:改变设备传输队列的长度。
参数:txqueuelen NUMBER或者txqlen NUMBER
# ip link set dev eth0 txqueuelen 100
示例3:改变网络设备MTU(最大传输单元)的值,
# ip link set dev eth0 mtu 1500
示例4: 修改网络设备的MAC地址。
参数: address LLADDRESS
# ip link set dev eth0 address 00:01:4f:00:15:f1
4.2 ip link show--显示设备属性. 缩写:show、list、lst、sh、ls、l
-s选项出现两次或者更多次,ip会输出更为详细的错误信息统计。
示例:
# ip -s -s link ls eth0 eth0: mtu 1500 qdisc cbq qlen 100 link/ether 00:a0:cc:66:18:78 brd ff:ff:ff:ff:ff:ff RX: bytes packets errors dropped overrun mcast 2449949362 2786187 0 0 0 0 RX errors: length crc frame. fifo missed 0 0 0 0 0 TX: bytes packets errors dropped carrier collsns 178558497 1783946 332 0 332 35172 TX errors: aborted fifo window heartbeat 0 0 0 332 这个命令等于传统的 ifconfig eth0
5.1 ip address add--添加一个新的协议地址. 缩写:add、a
示例1:为每个地址设置一个字符串作为标签。为了和Linux-2.0的网络别名兼容,这个字符串必须以设备名开头,接着一个冒号,
# ip addr add local 192.168.4.1/28 brd + label eth0:1 dev eth0
示例2: 在以太网接口eth0上增加一个地址192.168.20.0,掩码长度为24位(155.155.155.0),标准广播地址,标签为eth0:Alias:
# ip addr add 192.168.4.2/24 brd + dev eth1 label eth1:1
这个命令等于传统的: ifconfig eth1:1 192.168.4.2
5.2 ip address delete--删除一个协议地址. 缩写:delete、del、d
# ip addr del 192.168.4.1/24 brd + dev eth0 label eth0:Alias1
5.3 ip address show--显示协议地址. 缩写:show、list、lst、sh、ls、l
# ip addr ls eth0
5.4.ip address flush--清除协议地址. 缩写:flush、f
正文:
懂得网络配置命令是一般技术人员必备的技术,经过一段时间的研究和学习,总结了一些常用的命令和示例以便日后查阅.
传统的在1--3点,ip高级路由命令在4--12点,两者部分可以通用,并达到同样的目的,但ip的功能更强大,可以实现更多的配置目的,
首先,先了解传统的网络配置命令:
1. 使用ifconfig命令配置并查看网络接口情况
示例1: 配置eth0的IP,同时激活设备:
# ifconfig eth0 192.168.4.1 netmask 255.255.255.0 up
示例2: 配置eth0别名设备 eth0:1 的IP,并添加路由
# ifconfig eth0:1 192.168.4.2
# route add Chost 192.168.4.2 dev eth0:1
示例3:激活(禁用)设备
# ifconfig eth0:1 up(down)
示例4:查看所有(指定)网络接口配置
# ifconfig (eth0)
2. 使用route 命令配置路由表
示例1:添加到主机路由
# route add Chost 192.168.4.2 dev eth0:1
# route add Chost 192.168.4.1 gw 192.168.4.250
示例2:添加到网络的路由
# route add Cnet IP netmask MASK eth0
# route add Cnet IP netmask MASK gw IP
# route add Cnet IP/24 eth1
示例3:添加默认网关
# route add default gw IP
示例4:删除路由
# route del Chost 192.168.4.1 dev eth0:1
示例5:查看路由信息
# route 或 route -n (-n 表示不解析名字,列出速度会比route 快)
3.ARP 管理命令
示例1:查看ARP缓存
# arp
示例2: 添加
# arp Cs IP MAC
示例3: 删除
# arp Cd IP
4. ip是iproute2软件包里面的一个强大的网络配置工具,它能够替代一些传统的网络管理工具,
例如:ifconfig、route等,
上面的示例完全可以用下面的ip命令实现,而且ip命令可以实现更多的功能.下面介绍一些示例:
4.0 ip命令的语法
ip [OPTIONS] OBJECT [COMMAND [ARGUMENTS]]
4.1 ip link set--改变设备的属性. 缩写:set、s
示例1:up/down 起动/关闭设备。
# ip link set dev eth0 up
这个等于传统的 # ifconfig eth0 up(down)
示例2:改变设备传输队列的长度。
参数:txqueuelen NUMBER或者txqlen NUMBER
# ip link set dev eth0 txqueuelen 100
示例3:改变网络设备MTU(最大传输单元)的值。
# ip link set dev eth0 mtu 1500
示例4: 修改网络设备的MAC地址。
参数: address LLADDRESS
# ip link set dev eth0 address 00:01:4f:00:15:f1
4.2 ip link show--显示设备属性. 缩写:show、list、lst、sh、ls、l
-s选项出现两次或者更多次,ip会输出更为详细的错误信息统计。
示例:
启动接口,分配IP地址: router router enable router# router# configure terminal router(config)# router(config)# interface Type Port router(config-if)# no shutdown router(config-if)# ip address IP-Address Subnet-Mask router(config-if)# ^z
启动接口,分配IP地址:router>
router> enable
router#
router# configure terminal
router(config)#
router(config)# interface Type Port
router(config-if)# no shutdown
router(config-if)# ip address IP-Address Subnet-Mask
router(config-if)# ^z
配置RIP路由协议:30秒更新一次
router(config)# router rip
router(config-if)# network Network-Number <--通告标准A,B,C类网-->
router(config-if)# ^z
配置IGRP路由协议:90秒更新一次
router(config)# router igrp AS-Number <-- AS-Number范围1~65535-->
router(config-if)# network Network-Number <--通告标准A,B,C类网-->
router(config-if)# ^z
配置Novell IPX路由协议:Novell RIP 60秒更新一次
router(config)# ipx routing [node address]
router(config)# ipx maximum-paths Paths <--设置负载平衡,范围1~512-->
router(config)# interface Type Port
router(config-if)# ipx network Network-Number [encapsulation encapsulation-type] [secondary] <--通告标准A,B,C类网-->
router(config-if)# ^z
配置DDR:
router(config)# dialer-list Group-Number protocol Protocol-Type permit [list ACL-Number]
router(config)# interface bri 0
router(config-if)# dialer-group Group-Number
router(config-if)# dialer map Protocol-Type Next-Hop-Address name Hostname Telphone-Number
router(config-if)# ^z
配置ISDN:
router(config)# isdn swith-type Swith-Type <--配置ISDN交换机类型,中国使用basic-net3-->
router(config-if)# ^z
配置Frame. Relay:
router(config-if)# encapsulation frame-relay [cisco | ietf ]
router(config-if)# frame-relay lmi-type [ansi | cisco | q933a ]
router(config-if)# bandwidth kilobits
router(config-if)# frame-relay invers-arp [ Protocol ] [dlci ]
<--配置静态Invers ARP表:
router(config)# frame-relay Protocol Protocol-Address DLCI [ Broadcast ] [ ietf | cisco ] [ payload-compress | packet-by-packet ]
-->
<--设置Keepalive间隔:
router(config-if)# keepalive Number
-->
<--为本地接口指定DLCI:
router(config-if)# frame-lelay local-dlci Number
-->
<--子接口配置:
router(config-if)# interface Type Port.Subininterface-Number [ multipoint | point-to-point ]
router(config-subif)# ip unnumbered Interface
router(config-subif)# frame-lelay local-dlci Number
-->
router(config-if)# ^z
配置标准ACL:
router(config)# aclearcase/“ target=”_blank“ >ccess-list Access-List-Number [ permit | deny ] source [ source-mask ] <-- Access-List-Number 范围:1~99标准ACL;100~199扩展ACL;800~899标准IPX ACL;900~999扩展IPX ACL;1000~1099 IPX SAP ACL;600~699Apple Talk ACL-->
router(config)# interface Type Port
router(config-if)# ip access-group Access-List-Number [ in | out ]
router(config-if)# ^z
配置扩展ACL:
router(config)# access-list Access-List-Number [ permit | deny ] [ Protocol | Protocol-Number ] source source-wildcard [ Source-Port ] destination destination-wildcard [ Destination-Port ] [ established ]
router(config)# interface Type Port
router(config-if)# ip access-group Access-List-Number [ in | out ]
router(config-if)# ^z
配置命名ACL:
router(config)# ip access-list [ standard | extended ] ACL-Name
router(config [ std- | ext- ] nacl)# [ permit | deny ] [ IP-Access-List-Test-Conditions ]
router(config [ std- | ext- ] nacl)# no [ permit | deny ] [ IP-Access-List-Test-Conditions ]
router(config [ std- | ext- ] nacl)# ^z
router(config)# interface Type Port
router(config-if)# ip access-group [ACL-Name | 1~199 ] [ in | out ]
router(config-if)# ^z
配置DCE时钟:
router# show controllers Type Port <--确定DCE接口-->
router(confin-if)# clock rate 64000 <--进入DCE接口设置时钟速率-->
router(config-if)# ^z
配置PPP协议:
router(config)# username Name password Set-Password-Here <--验证方建立数据库-->
router(config)# interface Type Port
router(config-if)# encapsulation ppp <--启动PPP协议-->
router(config-if)# ppp outhentication [ chap | chap pap | pap chap | pap ] <--选择PPP认证-->
router(config-if)# ppp pap sent-username Name password Password <--发送验证信息-->
router(config-if)# ^z
PAP单向认证配置实例:
验证方:
router-server(config)# username Client password 12345 <--验证方建立数据库-->
router-server(config)# interface serial 0
router-server(config-if)# encapsulation ppp
router-server(config-if)# ppp authentication pap <--选择使用PAP实现PPP认证-->
router-server(config-if)# ^z
被验证方:
router-client(config-if)# encapsulation ppp
router-client(config-if)# ppp pap sent-username Client password 12345 <--发送验证信息-->
router-client(config-if)# ^z
PAP双向认证配置实例:
路由器 A:
routerA(config)# username B password 12345
routerA(config)# interface serial 0
routerA(config-if)# encapsulation ppp
routerA(config-if)# ppp authentication pap
routerA(config-if)# ppp pap sent-username A password 54321
routerA(config-if)# ^z
路由器 B:
routerB(config)# username A password 54321
routerB(config)# interface serial 1
routerB(config-if)# encapsulation ppp
routerB(config-if)# ppp authentication pap
routerB(config-if)# ppp pap sent-username B password 12345
routerB(config-if)# ^z
CHAP单向认证配置实例:
验证方:
router-server(config)# username router-client password 12345
router-server(config)# interface serial 0
router-server(config-if)# encapsulation ppp
router-server(config-if)# ppp authentication chap
router-server(config-if)# ^z
被验证方:
router-client(config-if)# encapsulation ppp
router-client(config-if)# ppp authentication chap
router-client(config-if)# ppp chap hostname router-client
router-client(config-if)# ppp chap password 12345
router-client(config-if)# ^z
CHAP双向认证配置实例:
路由器 A:
routerA(config)# username routerB password 12345
routerA(config)# interface serial 0
routerA(config-if)# encapsulation ppp
routerA(config-if)# ppp authentication chap
routerA(config-if)# ppp chap hostname routerA
routerA(config-if)# ppp chap password 54321
routerA(config-if)# ^z
路由器 B:
routerB(config)# username routerA password 54321
routerB(config)# interface serial 1
routerB(config-if)# encapsulation ppp
routerB(config-if)# ppp authentication chap
routerB(config-if)# ppp chap hostname routerB
routerB(config-if)# ppp chap password 12345
routerB(config-if)# ^z
Telnet使用:
routerA# terminal monitor <--可以传回在远端主机执行Debug命令的结果-->
routerA# telnet IP-Address [ Router-Name ] <--Telnet到指定的地址或名字的主机-->
routerB# [ exit | logout ] <--退出Telnet-->
routerB# ++<6>再按 <--挂起Telnet-->
routerA# show sessions <--显示当前所有Telnet的信息,包括Connect-Number -->
routerA# Connect-Number <--返回指定的Telnet连接-->
routerA# disconnect IP-Address [ Router-Name ] <--断开指定地址或名字的主机的连接-->
routerA# show user <--显示Telnet到本机的连接信息-->
routerA# clear line [ 0 | 1 | 2 | 3 | 4 ] <--断开指定Telnet到本机的连接-->
禁止任何Telnet到本机:
router(config)# line vty 0 4
router(config-line)# access-class ACL-Number
router(config)# ^z
设置主机名:
router(config)# hostname Set-Hostname
router(config)# ^z
router(config)# ^z
设置用户模式密码:
router(config)# line console 0
router(config-line)# login
router(config-line)# password Set-Password
router(config-line)# ^z
设置Telnet密码:
router(config)# line vty 0 4
router(config-line)# login
router(config-line)# password Set-Password
router(config-line)# ^z
设置特权模式密码:
router(config)# enable password Set-Password <--不加密的密码,明码-->
router(config)# enable secret Set-Password <--经过加密的密码-->
router(config)# ^z
给所有密码加密:
router(config)# service password-ancryption Set-Password-Here
router(config)# no service password-ancryption <--取消加密-->
router(config)# ^z
设置登录Banner:
router(config)# banner motd 分隔符 Set-Banner-InFORMation-Here 分隔符 <--前后分隔符一定要一致-->
设置接口的描述信息:
router(config-if)# description Set-Port-InFORMation-Here
router(config)# ^z
CDP的控制:
router(config-if)# cdp enable <--在指定端口启用CDP,缺省-->
router(config-if)# no cdp enable <--在指定端口关闭CDP-->
router(config)# cdp run <--使所有端口启用CDP-->
router(config)# no cdp run <--使所有端口关闭CDP-->
Ping的使用:
router# ping IP-Address
router# ping <--扩展Ping命令-->
Protocol [ip]:[ Protocol-Type ] <--选择协议类型-->
Target IP address:IP-Address <--输入测试地址-->
Repeat count [5]: <--选择发送的ICMP包数量-->
Datagram size [100]: <--选择每个包的大小-->
Timeout in seconds [2]: <--设置每个包的超时时间-->
Extended commands [n]:y <--使用扩展Ping命令-->
Sweep range of sizes [n]:
Tracke的使用:
router# trace IP-Address [ Host-Name ]
为Cisco 4000路由器指定媒体类型:
router(config-if)# media-type 10baset <--使AUI(默认)失效,改为使用RJ-45-->
router(config-if)# ^z
更改路由器启动顺序:
router(config)# boot system flash IOS-FileName
router(config)# boot system tftp IOS-FileName TFTP-IP-Address
router(config)# boot system rom
router(config)# ^z
修改寄存器数值:
router(config)# config-register value <--Cisco出厂默认value=0x2102,value范围:0x2100(进入ROM监视器),0x2101(使系统从ROM启动),0x2102~0x210F(使系统从NVRAM启动),
Cisco路由配置语句汇总Windows系统
,
0x1=0x2101,从最小位开始改变-->
在ROM监视器中更改寄存器数值:
> o/r value
路由器密码的恢复:
冷关机,然后再开机并在60秒内按< Ctrl>+进入ROM监视器模式
> o/r 0x2142 <--25xx型路由器--> 或 > confreg 0x2142 <--16xx型路由器-->
router> I
router> n
router> enable
router# copy startup-config running-config
router# configure terminal
router(config)# enable secret New-Password
router(config)# config-register 0x2102
router(config)# ^z
router# copy running-config startup-config
router# reload
配置名称-主机入口:
router(config)# ip host Set-Name [ TCP-Port-Number ] IP-Address [ IP-Address 2 ]...
router(config)# ^z
定义DNS主机:
router(config)# ip name-server Server-Address [ Server-Address 2 ]...
router(config)# ^z
禁用DNS:
router(config)# no ip domain-lookup
router(config)# ^z
配置水平分割:
router(config-if)# ip split-horizon
router(config-if)# no ip split-horizon
router(config-if)# ^z
配置静态路由:
router(config)# ip route IP-Address Subnet-Mask [ Next-Hop-Address | Local-Out-Port ] [Distace ]
<--Distance范围:1~255,相当于优先权,越小越好。RIP=120;DSPF=110;IGRP=100;EIGRP=90-->
router(config)# ^z
配置缺省路由:
router(config)# ip defoult-network IP-Address <--动态缺省路由-->
router(config)# ip route 0.0.0.0 0.0.0.0 [ Next-Hop-Address | Local-Out-Port ] [Distace ] <--静态缺省路由-->
router(config)# ^z
其它命令:
router# show version
router# show running-config
router# show startup-config
router# show flash
router# show interface [ Type Port ]
router# show buffers
router# show protocol
router# show mem
router# show stacks
router# show processes
router# show cdp entry [ Device-Name ] <--显示指定邻居三层信息-->
router# show cdp neighbors
router# show cdp neighbors detail <---显示所有邻居三层信息->
router# show ip router
router# show ipx router
router# show host
router# show ip protocol
router# show ip interface Type Port
router# show ipx interface Type Port
router# show ipx servers
router# show ipx traffic
router# show access-lists [ ACL-Number ]
router# show isdn status
router# show dialer <--查看ISDN拨号信息-->
router# show isdn active
router# show frame-relay pvc
router# show frame-relay map
router# show frame-relay lmi
router# erase startup-config
router# reload
router# setup
router# copy running-config startup-config
router# copy startup-config running-config
router# copy tftp running-config
router# copy running-config tftp
router# debug ipx routing activity
router# debug ipx sap
router# debug isdn q921
router# debug isdn q931
router# debug dialer
router# debug ip rip
router# clear interface bri
,原文转自:www.ltesting.net
多核心,尤其是双核心的星形(以下简称双星) 网络 拓扑结构因为其许多优点,成为多数城域宽带IP网络的首选拓扑结构,因此,双星形结构的路由规划在城域网的建设中,显得尤为重要。 一、 双星形拓朴结构概述 双星形的结构综合了单星形结构和网状结构的优点,即
多核心,尤其是双核心的星形(以下简称双星)网络拓扑结构因为其许多优点,成为多数城域宽带IP网络的首选拓扑结构。因此,双星形结构的路由规划在城域网的建设中,显得尤为重要。
一、 双星形拓朴结构概述
双星形的结构综合了单星形结构和网状结构的优点,即节省了链路,又能起到网状结构的路由冗余与备份的作用。它一般分为核心层、分布层、接入层三个层面,一个典型的双星形结构如图一:
图 中,核心层设计两个节点,分布层五个节点,接入层可以是N个节点。核心节点做为城域网骨干,也是城域网出口,两个节点设计有链路互连;分布层节点设计五个,每个节点均以双链路与两个核心之间互连,接入层节点设计多个,每个节点可以有一条或两条链路连到一个分布节点。这样的设计,使核心设备可以高速转发数据包,并保持路由冗余;分布层节点汇接接入层流量并做策略控制,接入层就是接入用户以及其它一些设备。
二、 路由协议的选择
在宽带IP城域网的建设中,IP路由的规划应当参照Internet骨干路由的方法进行设计,对于双星形结构来说,可以在内部路由采用OSPF v2,对于外部路由采用BGP4。内部路由在层次上可以分为两层:骨干路由层和接入层。
骨干路由层原则上采用OSPF v2,OSPF v2是由RFC1583定义,适用于自治域内的路由规划,有较强的域内路由分区和负载分担的功能,更重要的是它是一种开放的标准,各种厂家的设备均支持,不必担心不同厂家设备之间的路由协议的兼容问题。
接入层路由一般采用静态路由,只有在用户的网络确实需要采用动态路由协议时才分情况采用OSPF或BGP。
外部路由协议采用BGP4协议。BGP4是边界网关协议,适用于独立的自治域管理系统,有很强的策略路由和流量控制,路由过滤的功能.国内大多数IP网络的骨干网协议均选用BGP4。
三、城域网外部路由的规划设计
对于双星形结构的城域网络来说,BGP4协议是整个城域网的外部路由协议,它担负着与骨干BGP4协议的互通,广播城域网路由,学习外网路由,路由过滤,流量控制,路由广播等功能.双星结构的城域网原则上应该独立运行于一个自治域,拥有独立的自治域号,也可与省网骨干共同运行于同一个自治域。BGP4的功能大部份厂家的设备都支持。下面以Cisco设备为例来说明.
两个核心路由器之间运行IBGP,互相学习对方从外网学来的BGP路由,与外网运行EBGP,各自学习相应的BGP路由。有条件的话,双核心应与不同的出口设备互连,做为路由备份,如图二。
1、 路由的过滤与广播
BGP运行以后,如何广播城域网内部路由是一个很重要的问题。广播路由主要有两种方法。
a)向BGP中自动注入OSPF路由,使用Redistribute OSPF命令;
b)在双核心上配置相应的广播路由,OSPF路由不注入BGP路由,而是广播什么路由就配置什么广播路由,使用NETWORK X.X.X.X命令。
第一种方法配置简单,但是由于内网路由的复杂性,可能会广播一些不应该广播的内网路由,从而影响外网的路由的稳定性,同时,也比较耗费路由器资源。
第二种方法配置语句较多,但是可以很好的控制路由的广播,做到内网广播的路由过滤,同时,比较节省路由器资源。更进一步,通过路由总结,可以只向外网广播汇聚路由,减少骨干网络上的路由数目,有利于整个骨干网络的稳定性。
2、 流量控制
城域网流量全部由双核心出口出去。为了充分利用双链路,可以利用BGP4的LOCAL PREFERENCE 属性,设置出口流量控制策略,使双出口链路的带宽得到充分利用,最优化出口流量分布。而且,对于一些多核心的网络,流量控制更加显得重要。
3、 使用LOOPBACK地址
对于运行IBGP的双核心来说,在向邻居宣告其邻居关系时,应该使用LOOPBACK地址,而不是相邻接口地址,这样,当对应接口链路发生故障时,LOOPBACK地址仍然可达,使BGP邻居关系仍然能够形成,可以使用Update-source子句。
4、 对于BGP同步规则的处理
因为双星形结构的特殊性,在双星之间有直达链路,因此,一般不要求BGP的同步规则。但是,如果城域网不是单独运行在一个自治域内,而是还有别的IBGP邻居,并且可能会转发其它自治域的流量,则应该要求同步规则,在BGP协议的配置段中使用Synchronization语句。对于多核心的网络,一般均要求同步规则。
一个配置实例如下:
router bgp 100
no synchronization
network 200.100.0.0 mask 255.255.224.0
network 200.100.32.0 mask 255.255.224.0
network 200.150.0.0 mask 255.255.192.0
aggregate-address 200.100.0.0 255.255.224.0 summary-only
aggregate-address 200.100.32.0 255.255.224.0 summary-only
aggregate-address 200.150.0.0 255.255.192.0 summary-only
neighbor 200.100.0.18 remote-as 200
neighbor 200.100.0.18 description ”MAN EXIT 1“
neighbor 200.100.0.18 update-source Loopback0
neighbor 200.100.0.18 route-map local-pref in
neighbor 200.100.0.18 filter-list 1 out
neighbor 200.100.0.17 remote-as 300
neighbor 200.100.0.17 description ”MAN EXIT 2“
neighbor 200.100.0.17 update-source Loopback0
no auto-summary
route-map local-pref permit 10
set local-preference 300
四、城域网内部路由规划设计
1、 路由分区的规划
无论是多星还是双星型结构的城域网结构来说,都应根据路由器数量,网络的基本拓扑,路由器的负载等来合理规划路由区域,
对于双星型结构的网络,毫无疑问,将双核心设计为骨干路由区域,即AREA 0,负责高速,稳定的转发数据包。对于各个汇接区,经过合理规划,将每个汇接区设计为一个单独路由区域。汇接层路由器设计成区域边界路由器。各个汇接区域内接入路由器设计成域内路由器,也运行OSPF协议。见图二。
2、 IP地址规划与路由汇总的应用
对于每个汇接区域内的OSPF 区域来说,由于边界路由器负责向骨干区域内注入区域内的路由,许多路由将会是非常零散的小路由,这样,容易造成AREA 0内的路由器路由表项过大,使路由器资源耗费过大,路由收敛时间增大,影响城域网络的稳定性和健壮性。因此,解决这个问题的最好方法是在边界路由器上做汇接区域内的路由汇总。使注入到零域内的路由是一个个较整齐的汇总路由,大大减少了路由表数目。但是,这就要求进行城域网规划时,合理规划IP地址,为每个汇接区域分配连续的,大段的IP地址,只有这样,才可以更好利用OSPF的特性,使城域网络的路由规划更合理,使网络更健壮。
3、 接入用户路由的注入
对于各个接入层交换机来说,由于许多最终用户将直接接到这个交换机上,这样将会产生许多最终用户的路由,对于这些路由的域内广播可以有两种方法:
a)将这些路由做为OSPF内部路由来广播,需单独配置,比较繁琐,
b)将这些路由做为外部路由来广播,使用Redistribute Connect和Redistribute Static语句。这种方法只需配置一次,比较简单,且将来网管人员定义方便。
对于城域网来说,采用第二种方案比较合理
4、 NSSA路由区域的应用
对于双星形结构的网络来说,由于每个域只有一个汇接层路由器做为出口,按照普通的路由区域,则域内路由器不但学到了域内的路由,还学到了许多域间路由,路由表项还可以进一步减少。传统的做法是每一个路由区域做为stub区域,但是如前所述,每一个汇接层路由区域是一个单独的路由区域,有许多用户路由做外部路由注入, 所以不可以做为STUB域,但是可以设计成NSSA(Not So Stub Area)。NSSA区别于STUB的地方在于NSSA可以允许外部路由以7类LSA注入到OSPF区域,最后由边界路由器转化为5类LSA注入到OSPF AREA 0 内。同时域内的路由器可以不学习域间路由,只用一条默认路由指向边界路由器。大大减少了路由条目,使用AREA X NSSA语句。
5、 网内默认路由的产生
城域网的全网出口是由双核心出去,对于每个路由器配置默认路由很不现实。因此,可以在双核心路由器上产生默认路由,通过OSPF广播到全部城域网内的路由器,使每个路由器可以自学习默认路由。使用Default-information originate语句。
6、 动态接入路由的设计
由于用户接入路由关系到全网的安全性和稳定性,从这方面的因素考虑,建议接入层路由只提供静态路由,然后将静态路由重分布(Redistribution)到OSPF的路由表中。这样可以最大限度的保证网络的安全性和保持整个系统路由的稳定性。只有在用户的网络确实需要采用动态路由协议时才分情况采用OSPF或BGP,例如用户网络到城域网间存在多条链路,为了提供自动故障恢复功能,可以采用OSPF路由协议;如果该用户同时还连接到其它ISP(multihome),可能需要采用BGP协议予以解决。
一个简单的配置实例如下:
Router OSPF 100
network 200.100.0.16 0.0.0.240 area 0
network 100.200.200.128 0.0.0.240 area 1
network 100.100.100.128 0.0.0.240 area 1
area 1 nssa
area 1 nssa default-information originate
area 1 range 60.150.231.0 255.255.255.0
redistribution connected
redistribution static
Default-information originate
小结:
城域网的内部不适合进行OSPF与BGP路由之间的相互注入,而是应采用OSPF默认路由指向核心,再由核心路由器对内网路由进行BGP路由广播,使外网可以学习城域网内路由,同时,
原文转自:www.ltesting.net
IP欺骗的技术比较复杂,不是简单地照猫画老虎就能掌握,但作为常规攻击手段,有必要理解 其原理,至少有利于自己的 安全 防范,易守难攻嘛, 假设B上的客户运行rlogin与A上的rlogind通信: 假设B上的客户运行rlogin与A上的rlogind通信: 1.B发送带有SYN标志
IP欺骗的技术比较复杂,不是简单地照猫画老虎就能掌握,但作为常规攻击手段,有必要理解
其原理,至少有利于自己的安全防范,易守难攻嘛。
假设B上的客户运行rlogin与A上的rlogind通信:
假设B上的客户运行rlogin与A上的rlogind通信:
1. B发送带有SYN标志的数据段通知A需要建立TCP连接。并将TCP报头中的sequence number设置成自己本次连接的初始值ISN。
2. A回传给B一个带有SYS+ACK标志的数据段,告之自己的ISN,并确认B发送来的第一个数据段,将acknowledge number设置成B的ISN+1。
3. B确认收到的A的数据段,将acknowledge number设置成A的ISN+1。
B ---- SYN ----> A
B <---- SYN+ACK ---- A
B ---- ACK ----> A
TCP使用的sequence number是一个32位的计数器,从0-4294967295。 TCP为每一个连接选择一个初始序号ISN,为了防止因为延迟、重传等扰乱三次握手,ISN不能随便选取,不同系统有不同算法。理解TCP如何分配ISN以及ISN随时间变化的规律,对于成功地进行IP欺骗攻击很重要。
基于远程过程调用RPC的命令,比如rlogin、rcp、rsh等等,根据/etc/hosts.equiv以及$HOME/.rhosts文件进行安全校验,其实质是仅仅根据信源IP地址进行用户身份确认,以便允许或拒绝用户RPC。
IP欺骗攻击的描述:
1. 假设Z企图攻击A,而A信任B,所谓信任指/etc/hosts.equiv和$HOME/.rhosts中有相关设置。注意,如何才能知道A信任B呢?没有什么确切的办法。我的建议就是平时注意搜集蛛丝马迹,厚积薄发。一次成功的攻击其实主要不是因为技术上的高明,而是因为信息搜集的广泛翔实。动用了自以为很有成就感的技术,却不比人家酒桌上的巧妙提问,攻击只以成功为终极目标,不在乎手段。
2. 假设Z已经知道了被信任的B,应该想办法使B的网络功能暂时瘫痪,以免对攻击造成干扰。著名的SYN flood常常是一次IP欺骗攻击的前奏。请看一个并发服务器的框架:
int initsockid, newsockid;
if ((initsockid = socket(...)) < 0) {
error(”can't create socket“);
}
if (bind(initsockid, ...) < 0) {
error(”bind error“);
}
if (listen(initsockid, 5) < 0) {
error(”listen error“);
}
for (;{
newsockid = aclearcase/” target=“_blank” >ccept(initsockid, ...); /* 阻塞 */
if (newsockid < 0) {
error(“accept error”);
}
if (fork == 0) { /* 子进程 */
close(initsockid);
do(newsockid); /* 处理客户方请求 */
exit(0);
}
close(newsockid);
}
listen函数中第二个参数是5,意思是在initsockid上允许的最大连接请求数目。如果某个时刻initsockid上的连接请求数目已经达到5,后续到达initsockid的连接请求将被TCP丢弃。注意一旦连接通过三次握手建立完成,accept调用已经处理这个连接,则TCP连接请求队列空出一个位置。所以这个5不是指initsockid上只能接受5个连接请求。SYN flood正是一种 Denialof Service,导致B的网络功能暂时中断。
Z向B发送多个带有SYN标志的数据段请求连接,注意将信源IP 地址换成一个不存在的主机X;B向子虚乌有的X发送SYN+ACK数据段,但没有任何来自X的ACK出现。B的IP层会报告B的TCP层,X不可达,但B的TCP层对此不予理睬,认为只是暂时的。于是B在这个initsockid上再也不能接收正常的连接请求。
Z(X) ---- SYN ----> B
Z(X) ---- SYN ----> B
Z(X) ---- SYN ----> B
Z(X) ---- SYN ----> B
Z(X) ---- SYN ----> B
......
X <---- SYN+ACK ---- B
X <---- SYN+ACK ---- B
X <---- SYN+ACK ---- B
X <---- SYN+ACK ---- B
X <---- SYN+ACK ---- B
......
我认为这样就使得B网络功能暂时瘫痪,可我总觉得好象不对头,
因为B虽然在initsockid上无法接收TCP连接请求,但可以在another initsockid上接收,这种SYN flood应该只对特定的服务(端口),不应该影响到全局。当然如果不断地发送连接请求,就和用ping发洪水包一个道理,使得B的TCP/IP忙于处理负载增大。至于SYN flood,回头有机会我单独灌一瓢有关DoS的。如何使B的网络功能暂 碧被居 很多办法,根据具体情况而定,不再赘述。
3. Z必须确定A当前的ISN。首先连向25端口(SMTP是没有安全校验机制的),与1中类似,不过这次需要记录A的ISN,以及Z到A的大致的RTT(round trip time)。这个步骤要重复多次以便求出RTT的平均值。现在Z知道了A的ISN基值和增加规律(比如每秒增 加128000,每次连接增加64000),也知道了从Z到A需要RTT/2 的时间。必须立即进入攻击,否则在这之间有其他主机与A连接, ISN将比预料的多出64000。
4. Z向A发送带有SYN标志的数据段请求连接,只是信源IP改成了B,注意是针对TCP513端口(rlogin)。A向B回送SYN+ACK数据段,B已经无法响应,B的TCP层只是简单地丢弃A的回送数据段。
5. Z暂停一小会儿,让A有足够时间发送SYN+ACK,因为Z看不到这个包。然后Z再次伪装成B向A发送ACK,此时发送的数据段带有Z预测的A的ISN+1。如果预测准确,连接建立,数据传送开始。问题在于即使连接建立,A仍然会向B发送数据,而不是Z,Z 仍然无法看到A发往B的数据段,Z必须蒙着头按照rlogin协议标准假冒B向A发送类似 “cat + + >> ~/.rhosts” 这样的命令,于是攻击完成。如果预测不准确,A将发送一个带有RST标志的数据段异常终止连接,Z只有从头再来。
Z(B) ---- SYN ----> A
B <---- SYN+ACK ---- A
Z(B) ---- ACK ----> A
Z(B) ---- PSH ----> A
......
6. IP欺骗攻击利用了RPC服务器仅仅依赖于信源IP地址进行安全校验的特性,建议阅读rlogind的源代码。攻击最困难的地方在于预测A的ISN。我认为攻击难度虽然大,但成功的可能性也很大,不是很理解,似乎有点矛盾。考虑这种情况,入侵者控制了一台由A到B之间的路由器,假设Z就是这台路由器,那么A回送到B的数据段,现在Z是可以看到的,显然攻击难度骤然下降了许多。否则Z必须精确地预见可能从A发往B的信息,以及A期待来自B的什么应答信息,这要求攻击者对协议本身相当熟悉。同时需要明白,这种攻击根本不可能在交互状态下完成,必须写程序完成。当然在准备阶段可以.netxray之类的工具进行协议分析。
7. 如果Z不是路由器,能否考虑组合使用ICMP重定向以及ARP欺骗等技术?没有仔细分析过,只是随便猜测而已。并且与A、B、Z之间具体的网络拓扑有密切关系,在某些情况下显然大幅度降低了攻击难度。注意IP欺骗攻击理论上是从广域网上发起的,不局限于局域网,这也正是这种攻击的魅力所在。利用IP欺骗攻击得到一个A上的shell,对于许多高级入侵者,得到目标主机的shell,离root权限就不远了,最容易想到的当然是接下来进行buffer overflow攻击。
8. 也许有人要问,为什么Z不能直接把自己的IP设置成B的?这个问题很不好回答,要具体分析网络拓扑,当然也存在ARP冲突、出不了网关等问题。那么在IP欺骗攻击过程中是否存在ARP冲突问题。回想我前面贴过的ARP欺骗攻击,如果B的ARP Cache没有受到影响,就不会出现ARP冲突。如果Z向A发送数据段时,企图解析A的MAC地址或者路由器的MAC地址,必然会发送ARP请求包,但这个ARP请求包中源IP以及源MAC都是Z的,自然不会引起ARP冲突。而ARP Cache只会被ARP包改变,不受IP包的影响,所以可以肯定地说,IP欺骗攻击过程中不存在ARP冲突。相反,如果Z修改了自己的IP,这种ARP冲突就有可能出现,示具体情况而言。攻击中连带B一起攻击了,其目的无非是防止B干扰了攻击过程, 如果B本身已经down掉,那是再好不过。
9. fakeip曾经沸沸扬扬了一下,我对之进行端口扫描,发现其tcp端口113是接收入连接的。和IP欺骗等没有直接联系,和安全校验是有关系的。当然,这个东西并不如其名所暗示,对IP层没有任何动作。
10. 关于预测ISN,我想到另一个问题。就是如何以第三方身份切断 A与B之间的TCP连接,实际上也是预测sequence number的问题。尝试过,也很困难。如果Z是A与B之间的路由器,就不用说了; 或者Z动用了别的技术可以监听到A与B之间的通信,也容易些; 否则预测太难。作者在3中提到连接A的25端口,可我想不明白的 是513端口的ISN和25端口有什么关系?看来需要看看TCP/IP内部实现的源代码。
未雨绸缪
虽然IP欺骗攻击有着相当难度,但我们应该清醒地意识到,这种攻击非常广泛,入侵往往由这里开始。预防这种攻击还是比较容易的, 比如删除所有的/etc/hosts.equiv、$HOME/.rhosts文件,修改/etc/ inetd.conf文件,使得RPC机制无法运做,还可以杀掉portmapper等等。设置路由器,过滤来自外部而信源地址却是内部IP的报文。cisio公司的产品就有这种功能。不过路由器只防得了外部入侵,内部入侵呢?
TCP的ISN选择不是随机的,增加也不是随机的,这使攻击者有规可循,可以修改与ISN相关的代码,选择好的算法,使得攻击者难以找到规律。估计Linux下容易做到,那solaris、irix、hp-unix还有aix呢?sigh
虽然写的不怎么,但总算让大家了解了一下IP欺骗攻击,我实验过预测sequence number,不是ISN,企图切断一个TCP连接,感觉难度很大。作者建议要找到规律,不要盲目预测,这需要时间和耐心。现在越发明白什么是那种锲而不舍永远追求的精神,我们所向往的传奇故事背后有着如此沉默的艰辛和毅力,但愿我们学会的是这个,而不是浮华与喧嚣。一个现成的bug足以让你取得root权限,可你在做什么,你是否明白?我们太肤浅了......
ranzo 回复于:-07-04 20:30:02转的吧
magice007 回复于:2003-07-06 15:08:15还是有所收益
level 回复于:-02-27 18:44:54可以
原文转自:www.ltesting.net
??在有些系统中有这样的 需求 ,希望内部网中的某几个IP地址连接互联网,而又希望这些IP地址不被非法用户盗用,可以通过下面的解决办法实现: 首先使用ipchains或者iptables来设定只允许合法的IP地址连出。 对于合法IP建立IP/Mac捆绑。要讨论这个问题我们
??在有些系统中有这样的需求,希望内部网中的某几个IP地址连接互联网,而又希望这些IP地址不被非法用户盗用。可以通过下面的解决办法实现:
首先使用ipchains或者iptables来设定只允许合法的IP地址连出。
对于合法IP建立IP/Mac捆绑。要讨论这个问题我们首先需要了解ARP协议的工作原理,arp协议是地址解析协议(Address Resolution Protocol)的缩写,其作用及工作原理如下:
在底层的网络通信中,两个节点想要相互通信,必须先要知道源与目标的MAC地址。为了让系统能快速地找到一个远程节点的MAC地址,每一个本地的内核都保存有一个即时的查询表(称为ARP缓存)。ARP中有影射远程主机的IP地址到其对应的MAC地址的一个列表。地址解析协议(ARP)缓存是一个常驻内存的数据结构,其中的内容是由本地系统的内核来管理和维护的。默认的情况下,ARP缓存中保留有最近十分钟本地系统与之通信的节点的IP地址(和对应的MAC地址),
当一个远程主机的MAC地址存在于本地主机的ARP 缓存中,转换远程节点的IP地址为MAC地址不会遇到问题。然而在许多情况下,远程主机的MAC地址并不存在于本地的ARP缓存中,系统会怎么处理呢?在知道一个远程主机的IP地址,但是MAC地址不在本地的ARP缓存中的时候,以下的过程用来获取远程节点的MAC地址:本地主机发送一个广播包给网络中的所有的节点,询问是否有对应的IP地址。一个节点(只有一个)会回答这个ARP广播信息。在回应的信息包里就会包含有这个远程主机的MAC地址。在收到这个返回包后,本地节点就会在本地ARP缓存中记录远程节点的MAC地址。
如果我们将IP/MAC对应关系建立为固定的,也就是对那些合法IP地址建立静态的MAC对应关系,那么即使非法用户盗用了IP地址linux路由器在回应这些IP发出的连接请求时则不会通过arp协议询问其mac地址而是使用Linux建立的静态MAC地址、发出应答数据这样盗用IP者则不会得到应答数据从而不能使用网络服务。
建立静态IP/MAC捆绑的方法是:建立/etc/ethers文件,其中包含正确的IP/MAC对应关系,格式如下:
192.168.2.32 08:00:4E:B0:24:47
然后再/etc/rc.d/rc.local最后添加:
arp -f
即可
2.4内核的iptables可以对IP和Mac同时进行限定,使用该功能对合法IP的规则同时限定IP地址和Mac地址即可。
原文转自:www.ltesting.net
4.权限控制 chmod delete overwrite rename umask 说明:允许或禁止执行相关的功能, passwd-check 说明:定义匿名ftp登录时密码检查的级别。 none:不进行密码检查 trivial:密码必须包含@ rfc822:密码必须符合rfc822中的规定 warn:警告但让其登录 enfo
4.权限控制
chmod
delete
overwrite
rename
umask
说明:允许或禁止执行相关的功能。
passwd-check ()
说明:定义匿名ftp登录时密码检查的级别。
none:不进行密码检查
trivial:密码必须包含@
rfc822:密码必须符合rfc822中的规定
warn:警告但让其登录
enforce:警告并终止连接
deny-email
说明:定义拒绝匿名登录用户的邮件地址,该地址在匿名用户登录时被当作登录密码,
注:大小写敏感。
path-filter {}
说明:定义用户上传文件时允许的和禁止的文件名格式。不符和时向用户显示中的 信息。
upload [absolute|relative] [class=] ...[-]
[“dirs”|“nodirs”] []
说明:定义文件上载的各个方面.
如果允许上载的话,所有新上载的文件将为和中所定义的用户和组 所拥有. 在中可以定义文件的权限.已经存在的文件将保持其原来的所有权和权 限.为在passwd中指定的ftp用户的宿主目录.“dirs”和“nodirs”选项用来指定允许或禁止用“mkdir”命令建立新目录.缺省的,如果使用了upload命令,则允许建立新目录.
用来定义新建目录的权限,如果忽略改选项,则将继承,如果连也忽略则缺省为 0777.
如:
upload /home/ftp * no
upload /home/ftp /incoming yes ftp ftp 0666
原文转自:www.ltesting.net
前言: 发现WEB服务器上有一个文件一直在不断增长而且速度还很快,一看是日志文件,已经达到一个G了,但又想留下最新的一些日志,不想一下都删除了,但日志文件太大,根本就打不开。其实这时最好用日志轮询,之前这个WEB服务器没有做这个配置,本应该配置WEB服务器时就应该做的。现在配置下也不晚。
1.首先得要软件:cronolog.org/download/
Version 1.6.2 released -01-24 (gzip'ed tar file)
Version 1.6.1 released -12-20 (gzip'ed tar file)
Win 32 version (ZIP file)
Version 1.6 released 1999-12-16 (gzip'ed tar file)
Version 1.5b9 released on 4 June (gzip'ed tar file)
Version 1.4 released 20 December (gzip'ed tar file)
如果有Windows的要下Win_32_version(ZIP file) Linux习惯用哪种包就用哪种.
2. 在Linux 下安装cronolog
tar zxvf cronolog-1.6.2.tar.gz
cd cronolog-1.6.2
./configure (注意:默认是安装在/usr/local下 cronolog的命令在/usr/local/sbin下,这个要清楚)
make ; make install
3.在Windows下安装cronolog
在Windows下很简单,直接把cronolog.exe解压Copy到apache目录下的bin目录中.
4.配置都是一样的格式,不过要注意Linux和Windows下斜杠的方向.
Linux下
例:cronolog命令在/usr/local/sbin 下 日志文件在 /usr/local/apache2/logs/下
在FormatLog附近加入两句:
CustomLog “|/usr/local/sbin/cronolog logs/access_%Y%m%d.log” combined
ErrorLog “|/usr/local/sbin/cronolog logs/error_%Y%m%d.log”
Windows下
例:cronolog命令在apache的bin中 日志文件在D:/logs
CustomLog “|bin/cronolog D:/logs/access_%Y%m%d.log” combined
ErrorLog “|bin/cronolog D:/logs/error_%Y%m%d.log”
(注意:斜杠方向都在Linux下是一样的,不跟Windows的习惯一样)
如果有虚拟主机,虚拟主机也要配置,例如:
<VirtualHost *:80>
ServerName www.domain.com
CustomLog “|bin/cronolog.exe D:/logs/access_%Y%m%d.log” combined
ErrorLog “|bin/cronolog.exe D:/logs/error_%Y%m%d.log”
</VirtualHost>
5.重启服务就可以看到生成了一个新的日志文件,
第一步:点击“网上邻居”——>选择“属性”——>在“网络连接”中鼠标右键点击“本地连接”——>选择“属性”——>在“此链接使用下列项目”中双击“Internet协议(TCP/IP)”;
IP地址与网络上的其他系统有冲突怎么办 第二步:如果本地连接属性中“Internet协议(TCP/IP)属性”中设置为“自动获得IP地址”,那么只需要重新启动一次计算机,IP地址会自动重新分配,即可自动解决“IP地址与网络上的其他系统有冲突”问题;
第三步:如果地连接属性中“Internet协议(TCP/IP)属性”中设置为“使用下面的IP地址”,假如非得手工配置IP地址的话,那么需要更改第一项“IP 地址”;举个例子,如果现在IP地址为192.168.2.5,那么只需要更改最后一位,将其改为192.168.2.6,如果更改最后一位数字为6依然提示“IP地址与网络上的其他系统有冲突”,就换成7,以此类推,直到系统不再提示“IP地址与网络上的其他系统有冲突”为止;
★ 如何在Linux路由上设置IP和MAC绑定?Windows系统
