【楼主：Ducktang1985 】网管知识大汇总，当好网管，来这里~~

梦中人的梦

URL结构 \r\n我们来仔细看看URLs和与其有关的安全含义。一种“有趣”的URL利用方式已被垃 \r\n圾广告投递者发现很长时间了，不过现在“KB”（Knowledge Base）欺骗和二月发 \r\n表于Crypto-Gram的文章，已经使得URL可以做更多的事。 \r\n虽然大部分Internet用户把WWW地址或FTP同URLs联系起来，但Uniform Resource \r\nLocators（URL，统一资源定位器）使用的更普遍一些。URLs的标准在RFC1738中规 \r\n定，其中最普通的形式定义为： \r\n: \r\n部分是网络协议名称，部分被定义为： \r\n//:/ \r\n其中只有部分是必须的。\":\"和\"@\"字符具有特殊的含义,从而服务器可以解 \r\n析完整的字符串.如果用户名和密码包含在URL中,部分只是从\"@\"字符后开始 \r\n.看看在KB欺骗论及的例子: http://www.microsoft.com&item=q209354@www. \r\nhwnd.net/pub/mskb/Q209354.asp \r\n其中真正的主机是\"www.hwnd.net\".\"www.microsoft.com\"在这个URL中不过是个假 \r\n的用户名,服务器会忽略它. \r\n信任 \r\n虽然上面的例子是合乎语法的,但是却可能引起同安全相关的问题.在Internet节点 \r\n的终端,不是网卡、Modems或计算机，而是人.他们有意识或无意识都应该考虑到屏 \r\n幕上出现的东西是否值得信任. \r\n信任是最基本的安全评价.像上面例子那样的带有欺骗性的URL,利用了我们对常识 \r\n中URLs格式的信任.这种欺骗还利用了我们把主要注意力都集中到主要内容而不是 \r\nURL地址(虽然有时URL可以帮助我们判断可信度)这个事实.SSL保护的站点,把一部 \r\n分对可信度的判断工作交给浏览器,浏览器会比较带有SSL认证信息的域;另一方面 \r\n,如果目的主机是虚构的,那么仅仅依靠加密技术并不能提供太多有用的评价. \r\n隐藏 \r\n上面关于URL的分析只是简单的隐藏了它的真实目的地.我们可以用更好的方法来进 \r\n行隐藏.由于某些原因(有可能是内部处理引起的),有的操作系统对IP地址的操作并 \r\n不是通过我们常用的格式,就象是:aaa.bbb.ccc.ddd,而是相应的十进制数. \r\n上面这类地址可以改写成十进制的值:aaa*256^3+bbb*256^2+cccc*256+ddd.这样, \r\n3633633987就是216.148.218.195(属于www.redhat.com红帽子公司).你可以在浏览 \r\n器中输入3633633987,你会发现你已经来到了REDHAT公司的网站上.上面的操作可以 \r\n使用IE5.X或者是Linux下的Lynx,但并没对其他操作系统进行测试,可能会相差很多 \r\n.一些软件会对你的输入提示\"非法的URLs\",但你只要用很少的软件(包括常用的工 \r\n具,如ping)进行测试,你就可以判断出这个操作系统是否支持这种URLs的使用方式. \r\n如果该操作系统支持这种使用,那么就可以通过构造如下的URL来制造更大的迷惑: \r\nhttp://www.toronto.comntario@3633633987/,这个URL仍然指到REDHAT.因为很 \r\n多的网站都把HTTP的SessionID存在URL中,来代替使用Cookie,所以Internet使用者 \r\n并不会注意URL中的数字值,这样上面构造的URL不会带来任何怀疑.密码部分可以省 \r\n略,这样http://www.toronto.com@3633633987/的迷惑性更强. \r\n现在,我们可以使用一些HTTP知识:anchor(锚)标记允许显示的文本指到一个不是文 \r\n本本身的连接上,这样我们可以把连接写成http://www.toronto.com,然后把连接的 \r\n文字设成锚,再把这个锚连接到http://www.toronto.com@3633633987/上,是不是很 \r\n危险,如果你点击这个连接,依旧会把你带到REDHAT公司. \r\n另一个对信任的利用是可信站点的间接寻址提供的.很多知名网站通过如下格式的 \r\n连接来记录引导访问者来此的网址:\"http://www.thisisarespectablesite. \r\ncom/outsidelinks/http://externalsite\",在服务器端捕获请求信息后,再把用户 \r\n重定向到目标网站上. \r\n这就使任何人都可以使用这种间接寻址服务,通过与URL困惑组合使用,给欺诈性的 \r\nURLs提供更多的合法性.可以限制HTTP提交区域的输入值,来避免非法的输入,但很 \r\n少有网站这么做. \r\n如果你觉着以上说的还不够,哪你还可以利用Unicode编码,把真实目的URL通过 \r\nUnicode码写出,再解析时会还原成真实目的. \r\n上面的这些对于\"知识渊博\"的垃圾广告制造者来说都不是新东西,但对于用来攻击 \r\n一般不会起疑的用户来说,还是非常有用的. \r\nOne-click 攻击 \r\n下面,我们对URL安全问题进一步讨论. \r\n很多\"标准\"的攻击都可以从缓冲区溢出开始,但是现在这种溢出却不好找到.那么, \r\n我们怎么办呢? \r\n在注册表中,有如下的键值: \r\nHKEY_LOCAL_MACHINE\\SOFTWARE\\Classes\\PROTOCOLS\\Handler,在 \r\nHKEY_CLASSES_ROOT\\Shell下还有\"URL Protocol\"这个子键(你可以使用查找来搜索 \r\n这些键).其中你可以找到ftp://, http://, https://, mailto://, news://, \r\npnm://和其他协议.这里面有很多协议都是以前没见过的,比如msee://.通过快速的 \r\n试验,发现msee://是\"微软大百科\"使用的,可能是用来查阅内部文章用的.\"微软大 \r\n百科\"是否会引起缓冲区溢出呢,如果是,那么是否可以实际利用呢?这些都要进行更 \r\n深的研究. \r\nHKEY_LOCAL_MACHI阿瑟OFTWARE\\Classes\\PROTOCOLS\\Handler,在 \r\nHKEY_CLASSES_ROOT\\Shell下还有\"URL Protocol\"这个子键(你可以使用查找来搜索 \r\n这些键).其中你可以找到ftp://, http://, https://, mailto://, news://, \r\npnm://和其他协议.这里面有很多协议都是以前没见过的,比如msee://.通过快速的 \r\n试验,发现msee://是\"微软大百科\"使用的,可能是用来查阅内部文章用的.\"微软大 \r\n百科\"是否会引起缓冲区溢出呢,如果是,那么是否可以实际利用呢?这些都要进行更 \r\n深的研究. \r\n我们可以找到很多在安装软件时添加的URL构造(比如copernic://就是copernic搜 \r\n索工具生成的).另外,还可以使用脚本语言修改受害机注册表来添加我们的URL结构 \r\n,脚本语言可以用vbs编制,然后通过email发送过去,在然后.........你就可以使用 \r\n这个URL结构来引起缓冲区溢出了.虽然这看起来同URL联系不大,但多少还有些联系 \r\n,所以就一起说了.

梦中人的梦

We want to block any traffic with TCP port 135, 4444 and UDP port 69 going between any Vlans.\r\nProcedure\r\n1) Define 3 classifiers for TCP port 4444, 135 & UDP port 69 on the layer 3 module.\r\nCB9000@slot3.1 [12-E/FEN-TX-L3] (qos/classifier): def\r\nEnter classifier number (1-498): 1\r\nEnter classifier name {?}: DropTCP135\r\nSelect cast type (unicast,multicast|all|?): a\r\nSelect IP protocol type (TCP,UDP|all|?): t\r\nEnter source IP address [0.0.0.0]:\r\nEnter source IP address mask [0.0.0.0]:\r\nEnter destination IP address [0.0.0.0]:\r\nEnter destination IP address mask [0.0.0.0]:\r\nEnter start of UDP source port range (0-65535) [0]:\r\nEnter end of UDP source port range (0-65535) [65535]:\r\nEnter start of UDP destination port range (0-65535) [0]: 135\r\nEnter end of UDP destination port range (1434-65535) [135]:\r\nEnter another filter (yes,no) [no]: y\r\nEnter classifier number (1-498): 2\r\nEnter classifier name {?}: DropTCP4444\r\nSelect cast type (unicast,multicast|all|?): a\r\nSelect IP protocol type (TCP,UDP|all|?): t\r\nEnter source IP address [0.0.0.0]:\r\nEnter source IP address mask [0.0.0.0]:\r\nEnter destination IP address [0.0.0.0]:\r\nEnter destination IP address mask [0.0.0.0]:\r\nEnter start of UDP source port range (0-65535) [0]:\r\nEnter end of UDP source port range (0-65535) [65535]:\r\nEnter start of UDP destination port range (0-65535) [0]: 4444\r\nEnter end of UDP destination port range (1434-65535) [4444]:\r\nEnter another filter (yes,no) [no]: y\r\nEnter classifier number (1-498): 3\r\nEnter classifier name {?}: DropUDP69\r\nSelect cast type (unicast,multicast|all|?): a\r\nSelect IP protocol type (TCP,UDP|all|?): u\r\nEnter source IP address [0.0.0.0]:\r\nEnter source IP address mask [0.0.0.0]:\r\nEnter destination IP address [0.0.0.0]:\r\nEnter destination IP address mask [0.0.0.0]:\r\nEnter start of UDP source port range (0-65535) [0]:\r\nEnter end of UDP source port range (0-65535) [65535]:\r\nEnter start of UDP destination port range (0-65535) [0]: 69\r\nEnter end of UDP destination port range (1434-65535) [69]:\r\nEnter another filter (yes,no) [no]:\r\n2) Define a control to drop all traffics defined by the classifiers.\r\n-----------------------------------------------------------------------\r\nCB9000@slot3.1 [12-E/FEN-TX-L3] (qos): con\r\nMenu options (Corebuilder 9000-13668C): ---------------------------------------\r\n  summary                  - Display summary information\r\n  detail                   - Display detail information\r\n  define                   - Define a new control\r\n  modify                   - Modify an existing control\r\n  remove                   - Remove an existing control\r\nType \"q\" to return to the previous menu or ? for help.\r\n-------------------------------------------------------------------------------\r\nCB9000@slot3.1 [12-E/FEN-TX-L3] (qos/control): def\r\nEnter control number {5-50|?} [5]:\r\nEnter control name {?}: NoBlaster\r\nEnter rate limit type (none,receivePort,aggregate) [none]:\r\nEnter service for conforming packets (high,best,low,drop) [best]: drop\r\nSet start and end time for the control (yes,no) [no]: n\r\nSelect classifiers which are subject to this control.\r\nEnter classifiers (1,21,23,149,420,430,440...: 1,2,3\r\nThis control will allow “zero” TCP port 135, 4444 and UDP 69 connection from any VLAN to any VLAN. This blockage will effectively stop the spread of W32.Blaster.Worm virus via routing.

梦中人的梦

运行环境：AIX 4.3, AIX 5.1, AIX 5.2 \r\n在AIX中可以用两种方法来实现应用环境中多台机器的系统时间的统一。一个是启动xntpd 守护进程, 另一个是启动timed进程. \r\n为了保证时间的一致性，在同一台机器上只启动xntpd 或 timed. (在AIX中这两个进程，缺省是不启动。每个AIX系统使用自己的系统时间。) \r\n\r\nxntpd \r\n是一个关于网络时间协议的守护进程，它遵循了因特网时间服务器的通用标准。在启动 xntpd 时, xntpd 会读取 /etc/ntp.conf \r\n配置文件来确定网络中系统时钟服务器，以 ntp 服务器的系统时间为标准，来调整本机的系统时间。 \r\n可以用 ntpq 命令来显示 xntpd 进程的内部变量。使用 ntp 时应注意，xntpd 服务器和 xntpd 客户端的时钟不能相差超过1000秒。若有大于1000秒的偏移，在客户端启动 xntpd 守护进程前，用 data 命令或 ntpdate 命令调整本机的系统时间，使偏移量在1000秒之内。 然后启动 xntpd. \r\n\r\ntimed \r\n是一个时钟服务进程。 在一个局域网内可有多个 timed 服务器，但只有一个 timed 主服务器，其余的是 timed 副服务器。当 timed 主服务器功能失效时，其中一个 timed 副服务器可自动变为主服务器。 网络时间可以以 timed 主服务器的系统时间为标准，也可以以所有运行 timed 的主、辅服务器的系统时钟的平均值为准，来调整所有运行 timed 进程的机器的系统时钟。timed 客户机的系统时间与局域网上运行着的 timed 主服务器的系统时间同步，使整个网络运行环境有一个统一的时钟。 \r\n\r\n1. 构造一个NTP环境的基本步骤(假设NTP不是运行在SP上): \r\n1.1 设置NTP 服务器 (MASTER) , 其它NTP客户服务器以此服务器的时间为准,与其进行时间同步. \r\n1.1.1 编辑 /etc/ntp.conf 文件, 内容如下: \r\n---------------------------- \r\n#broadcastclient \r\nserver 127.127.1.0 \r\ndriftfile /etc/ntp.drift \r\ntracefile /etc/ntp.trace \r\n---------------------------- \r\n请注意文件中的 server 127.127.1.0 这一行, 此处的127.127.1.0 是一特殊的地址,表示NTP主服务器是与自身的系统时钟同步. \r\n1.1.2 编辑好 /etc/ntp.conf后, 启动xntpd守护进程 \r\n# startsrc -s xntpd \r\n也可通过调用smitty , 使 xntpd 在以后重启服务器时能自动启动. \r\n# smitty xntpd \r\n\r\n1.1.3 xntpd 状态查询 , 使用 #lssrc -ls xntpd \r\n刚启动xntpd时, sys peer 为 \'insane\', 表明xntpd还没有完成同步, . \r\n#lssrc -ls xntpd \r\nProgram name: /usr/sbin/xntpd \r\nVersion: 3 \r\nLeap indicator: 11 (Leap indicator is insane.) \r\nSys peer: no peer, system is insane \r\n... \r\n\r\n等待 6 - 10 分钟后, sys peer 就不再是 \'insane\' 了. \r\n\r\n#lssrc -ls xntpd \r\nProgram name: /usr/sbin/xntpd \r\nVersion: 3 \r\nLeap indicator: 00 (No leap second today.) \r\nSys peer: 127.127.1.0 \r\n... \r\n\r\n1.2. NTP客户端的设置 \r\n1.2.1 编辑 NTP 客户端上的 /etc/ntp.conf文件, 内容如下: \r\n---------------------------- \r\n#broadcastclient \r\nserver 9.185.43.189 \r\ndriftfile /etc/ntp.drift \r\ntracefile /etc/ntp.trace \r\n---------------------------- \r\n其中的 server 9.185.43.189 表明, 此客户端与IP地址为 9.185.43.189 的NTP服务器进行时间同步. \r\n1.2.2 在NTP客户端启动xntpd守护进程 \r\n# startsrc -s xntpd \r\n也可通过调用smitty , 使 xntpd 在以后重启服务器时能自动启动. \r\n# smitty xntpd \r\n\r\n1.2.3 查询xntpd的状态 \r\n当 system peer 不为 \'insane\' 时, 表明客户端已与服务器端成功地进行了同步. \r\n# lssrc -ls xntpd \r\nProgram name: /usr/sbin/xntpd \r\nVersion: 3 \r\nLeap indicator: 00 (No leap second today.) \r\nSys peer: 9.185.43.189 \r\n... \r\n\r\n1.3. NTP客户端查询NTP服务器 \r\n\r\nntp客户端使用 ntpdate 命令来确认是否可用指定的 ntp 服务器进行时间同步。 \r\n命令的结果会显示客户端与服务器的时间偏移。 \r\n\r\n#ntpdate -d 9.185.43.189 \r\n... \r\n\r\n18 Mar 10:52:54 ntpdate[23578]: step time server 9.185.43.189 offset 86323.06827 \r\n2 sec \r\n\r\n若时间间隔大于1000秒，使用ntpdate 进行调整, 如： \r\n\r\n#date \r\nTue Mar 18 11:06:29 BEIST 2003 \r\n\r\n#ntpdate 9.185.43.189 \r\n19 Mar 11:06:51 ntpdate[23832]: step time server 9.185.43.189 offset 86403.40260 \r\n7 sec \r\n\r\n#date \r\nWed Mar 19 11:06:54 BEIST 2003 \r\n完成上述操作后 ntp 客户端与 ntp 服务器系统时钟完成同步，ntp 客户端得到了新的系统时间。 \r\n\r\n\r\n2. 使用timed的基本设置步骤如下 \r\n\r\n2.1. 启动timed服务器 \r\na. 在局域网内，以timed 主服务器的系统时钟为标准，来完成时钟的同步。 \r\n# startsrc -s timed -a \" -M -c \" \r\n\r\nb. 在局域网内，以所有运行 timed 的主、辅服务器的系统时间平均值为标准，来完成时钟的同步。 \r\n# startsrc -s timed -a \" -M “ \r\n\r\n2.2. 启动timed 客户端, 使其按照标准网络时间来调整自己的系统时钟。 \r\n# startsrc -s timed \r\n\r\n2.3. 将timed的启动语句加到 /etc/rc.tcpip 中，以便重新启动机器后，timed可自动启动。 \r\n\r\n参考资料: timed , xntpd command

梦中人的梦

你了解公司站点的访问情况吗？如果仅仅是简单地统计一下访问量，说明你还未真正利用Web站点为企业服务。事实上，对站点访问情况进行详细分析，尤其是Web日志分析，能帮助企业更好地作出商务决策。简单地，对制造商而言，可决定某类产品是否有继续生产的必要；或对站点进行针对性改造完善，使之更具吸引力，并让客户和企业内部用户能实现高效访问。为达到此目的，可手工进行Web日志分析，或采用商用Web分析工具进行自动分析，还可采用外包服务方式。\r\n　　\r\n对网络主管来说，大量的Web日志记录信息难于管理，对日志数据的分析“破解”更是一项浩大的工程；面对堆积如山的日志数据，有的主管甚至无从下手。甚至在使用Web日志分析软件的用户都有此感觉。一般的Web服务器都配置有站点访问日志记录，且大多数在采用商业软件来分析日志文件数据，数据分析周期（每周或每天）进行，但很少有企业在真正基于分析工具得出的结论基础上进行站点改进。那么，针对站点访问的分析活动意义倒底何在呢？\r\n　　\r\nWeb分析要实现的功能\r\n　　\r\nWeb日志文件事实上是一些分离的“碎片”，日志分析软件的功能就是将这些碎片集合起来，从中剖析出有用信息，提高网站访问效率，进而为商务决策提供支撑服务。\r\n　　\r\n例如，一个中等规模的电子产品批发商对其Web站点通信进行了数月分析，发现用户对安全产品兴趣很浓，如智能卡。于是公司针对其提供的安全产品发起了一场营销活动，两月后公司收益明显提升，以前销售一直不好的一些分公司业绩也开始名列前茅。\r\n　　\r\n简单的日志分析方法是，运用telnet命令登录到Web服务器实时查看日志文件更新情况，这种方法查看的数据量大，但只能进行最基本的分析。通过观察抵达服务器的通信，能确定用户是否遇到了访问错误，是内部Web站点访问还是欲进入搜索引擎。如果用户指向搜索引擎，则可查看搜索类型以及关键字，以帮助企业建立相关的内容管理方案，进而制定相应的行销战略。\r\n　　\r\n但这里有个问题，用户不可能一直守在机器旁查看日志信息更新情况。因而对通信进行深层分析的最好办法是采用专门的日志分析软件。\r\n　　\r\n几乎所有大中型企业都构建有动态Web站点，能基于数据库生成各类站点信息，这就给用户访问行为分析带来了难度。因为所有站点URL都是类似的，站点分析工具有可能误将它们视为同一访问，如URL：www.mydomain.com/products.aspx?productid=20与www.mydomain.com/products.aspx?productid=21，大多数日志分析软件将它们视为同一页面，而忽略了附加参数，即要访问的产品编号。因而Web日志分析软件应具备参数识别能力，能依据完整的访问字符串分析站点访问行为。\r\n　　\r\n例如，NetIQ的WebTrends分析工具在其高级管理功能选项中提供“URL参数分析”功能，能对特定页面内容进行分析。在用户提交页面名（products.aspx）和参数名（productid）后，工具能基于参数分析报告得出详细分析结果，如对特定产品页面的浏览访问次数。管理人员可据此获取更多有用信息，如站点中被访问最多或最少的产品，并运用转换文件将信息直观表达出来。\r\n　　\r\n路径与参数分析同等重要\r\n　　\r\nWebTrends并不是将参数作为整个路径的一部分来分析看待，参数拾取分析仅在参数分析报告形成中发生。但这种参数分析方法在登录、退出或路径分析报告中相当有用。\r\n　　\r\n通过对用户或客户端访问Web站点的路径进行分析会发现，访问者不一定是从主页进入站点，在搜寻到所需信息后也不一定从主页退出。事实上，用户有可能经常绕过你认为重要的站点信息，包括主页中的核心内容。这就需要对站点内容进行调整，真正迎合用户的“口味”。例如，可采用启发式的即问即答服务方式，试探用户的访问取向。\r\n　　\r\n大多数日志分析软件都能提供一定类型的路径分析报告。有一种“5%规则”：如果对Web站点特定页面（如某产品页面）的访问量超过了整个站点访问量的5%，则应将该页面视为与主页同等的访问优先级；据此可将其设定为趣味性动态内容、广告或专门链接。5%规则同样可运用于退出页面，以此保证用户访问Web站点时间更长，吸引他们购买更多产品或搜寻更多信息。\r\n　　\r\n事实是，大多数访问者在站点呆的时间也就几分钟，而且很少购买产品。需要对退出页面进行分析，以决定访问者从哪个页面离开Web站点。如果不是从预想的目标页面退出，如仅列出产品类别而没有任何具体产品的页面，这时可通过改变站点架构或页面内容重新定位用户访问。另外就是，导致访问者退出页面的原因是多方面的，有可能是退出页面的内容过长或过短，或出现令访问者厌烦的内容，或出现链接中断，抑或是图片加载时间过长，因而要确定访问者退出特定页面的真正原因是件费时费力的事。一种简单方法是，通过变更内容来查看用户的访问行为。\r\n　　\r\nWebTrends将参数分析与路径分析分离对待，因而要基于登录和退出页面得到有用结果，需要在报告中查看完整的URL（包括后续质询串）。在路径分析中（包括登录和退出页面报告），需要更为详尽的信息帮助进行管理。可以在每次出现订购或取消某产品时创建客户代码，并写入数据库，然后编写一程序来详尽报告数据库中的哪些产品经常被购买或更换。要实现这类复杂的日志分析，Datanautics提供的G2平台比较在行，它具备数据挖掘功能，能将日志文件数据与数据库信息进行关联。\r\n　　\r\n错误分析\r\n　　\r\n当用户浏览站点时，往往会发生这样或那样的错误提示，通常是“错误404文件未找到”。\r\n　　\r\n导致404错误有三种可能：一是用户本身不在想要的Web站点主页面（如在搜索引擎结果页面），而点击了本不存在的页面链接；二是同一Web站点内链接错误；第三是用户输入URL错误。\r\n　　\r\n很明显，对Web站点内或指向外部站点的链接进行有效管理相当重要。通常的日志分析软件不但能显示引发404错误的原因，而且能告诉主管访问者在试图进入哪个页面以及访问哪个文件（内部或外部的）时发生错误。\r\n　　\r\n引发外部404错误的原因通常是Web站点进行了重新设计，如更新了Web架构，增加了访问地址录或改变了文件命名方式。可能有数千个外部站点链接到同一页面而该页面早已不存在，这跟存储变更一样，不一定通知客户存储位置已改变到何处。没有任何办法来自动管理外部404错误，但可设法减少或消除这类链接指向。例如，运用日志分析软件，用户能透过404错误发现来自外部Web站点的链接，并给这类Web站点主管发去电子邮件，告知链接更新信息。大多数情况下，链接会得到即时修复，客户能实现正常访问；更为重要的是，已链接到本站点的用户能不中断地从一个Web站点跳到另一站点。

梦中人的梦

引:消除Windows故障，节省你的系统操作时间，帮你解决当今最流行的操作系统中29个最令人不满的地方。\r\n　　\r\nWindows XP比它以前的系统更加稳定和安全(让我们从容面对这并不是太多的问题)，但它还是有让人不满意的地方。如果你还在XP上耗费时间，那你会碰到很多需要修补的非常白痴的小问题，从启动缓慢到图标跟你捉秘藏等等。而其中的一些问题无法得到很好的修复，似乎我们只能等待下一个版本的Windows了。出路其实就在我们的前方：我们会给大家介绍修复你XP缺陷的方法，让你能够更加舒适地使用你的电脑。　　  \r\n　\r\n　　\r\n天翻地覆看系统       \r\n　　\r\n加速Windows的启动\r\n　　\r\n烦恼：我在自己的系统上安装了一些应用程序，但是在Windows启动时会自动加载它们，让我的系统启动速度慢得像乌龟在爬一样。更让人气愤的是这些新安装的应用程序居然也没提供能够取消自动加载功能的选项。\r\n　  \r\n对策：如果你在开始菜单无法找到这个程序的(或者根本就无法从开始菜单里面启动这个程序)关闭自动运行的设置项，那可以试着用Windows的系统配置工具来手动阻止它的自动运行。点击“开始-运行”，在打开后面输入msconfig后点击确定。在弹出的窗口里面选择“启动”页，取消你想要阻止自动运行选项前面的勾选标后点确定，然后选择重启电脑。当你重启电脑后系统配置工具会弹出个烦人的测试模式窗口。如果没有什么问题的话就选择“下次启动不显示这个信息及弹出系统配置工具”后确定即可。\r\n　　\r\n将备份带回家\r\n　　 \r\n烦恼：在我办公室电脑上的Windows XP专业版中自带了备份工具(点击“开始-程序-附件-系统工具”)。但在我的家用版XP上我一直在苦苦寻找这样一款备份工具而没有结果。微软把它藏哪去了？\r\n　　\r\n对策：幸好Windows XP家用版的安装光盘里面有这个备份工具。要安装它，进入光盘根目录valueadd\\ msft\\ntbackup这个文件夹，在ntbackup.msi这个文件上点右键，选择安装。如果你像我这样只能找到自己电脑的恢复光盘而不是XP的安装光盘的话，你可以去硬盘上Windows安装路径下valueadd\\msft\\ntbackup寻找。如果你的系统支持数据光盘写入(在70页“立即烧录”这篇文章里面有介绍)，你可以通过你的CD-R/RW刻录机来备份。\r\n　　\r\n清除临时文件\r\n　　 \r\n烦恼：浏览网页、安装软件或进行一些正常的Windows操作都会产生大量无用的临时文件在一个你难以发现的临时文件夹里面(一般都在系统盘的Documents and Settings\\username\\Local Settings\\Temp这个路径下)。Windows让人不满意的是，当你选择删除临时文件时，这个文件夹里的内容却会被忽略。     \r\n   \r\n对策：在Windows资源管理器中的C盘上点右键(其他盘符也可)选择属性，在常规选项里面会看见“磁盘清理”按钮。点击“磁盘清理”来删除一些无用的文件以获得更多有用的磁盘空间，但它并没有删除在系统盘Local Settings目录下的临时文件(见图1)。所以我们还不得不再手动删除这些文件。删除这些文件前，关闭所有的应用程序，进入这个文件夹，按“Ctrl+A”全选这些文件，然后删除即可。\r\n\r\n图1    图1:当Windows提示你的硬盘上已没有任何临时文件时，不用轻信它。自己手动找到这些临时文件并删除它们。 \r\n　　\r\n找出隐藏的文件和文件扩展名\r\n　　 \r\n烦恼：Windows XP可能认为我不需要查看隐藏的文件和文件扩展名。你认为呢？当然大部分时间确实是这样的。在我查看自己某个文件夹下的JPEG或BMP图片的情况下，这一设置是快捷、有效的。但是病毒也有机会利用这一隐藏的默认属性来引诱我进入它们的圈套。在不显示文件扩展名的情况下，我可能会点击我电子邮件中一个叫SafePic.jpg的图像文件，但它其实是一个名为SafePic.jpg.exe的一个可执行文件。\r\n　　 \r\n对策：要显示所有文件的扩展名，打开资源管理器，选择上面的“文件-文件夹选项-查看”，去除“隐藏已知文件类型的扩展名”和“显示所有文件和文件夹” 勾选，然后确定。\r\n　　 \r\n终止无响应但又占用系统资源的任务\r\n　　 \r\n烦恼：我已经关闭了所有的应用程序，但还是有一个正在运行的应用程序吞噬了我所有的系统资源，让系统运行变慢，我该怎么办？\r\n　　 \r\n对策：可能引发这一状况的原因是一些程序或任务出错，但又在不停运行而没有被关闭，但它们又没有显示在桌面或任务栏，所以你无法关闭它们。要关闭这些耗费CPU资源的东西，首先要关闭所有应用程序，按下“Ctrl＋Alt＋Delete”弹出任务管理器后，你就可以关闭它们。下拉进程列表以寻找那个占用系统资源太多的任务，找到后，选中它后点击结束进程。不要在意系统剩余的进程，它们只是在任务管理器里面占用很少的资源百分比。\r\n　　\r\n启用休眠\r\n　　\r\n烦恼：我想让自己的笔记本电脑启动更加迅速。但是在默认设置中，无论是关机还是待机模式都对笔记本电脑电池的续航能力影响太大。\r\n　　\r\n对策：现在有第三个选择方案：休眠，在Windows关机时把系统当前状态写入到硬盘中。从休眠状态下开机的速度比从关机状态下开机快，而且很节省电池的电量。但是你必须手动启用这一功能。进入控制面板的“性能和维护”类别选项里面，打开电源选项，选择休眠选项，勾选启用休眠，即可。\r\n　  \r\n当你启用休眠时请牢记三点：你必须有足够的硬盘空间(我们建议至少应该是物理内存的1.5倍大小)；你必须以管理员或高权限用户身份登录； 你必须安装有最新版本的Windows，驱动和应用程序。(Windows XP SP2修正了使用1GB内存下的休眠问题；但是SP2还是不停提示休眠错误，如果把内存增大到1.5GB或更大即解决。微软宣称他们仍在寻求解决这个错误的办法。)\n\n[ 本帖最后由 梦中人的梦 于 2007-8-16 17:20 编辑 ]

梦中人的梦

路由器是网络中的核心设备。硬件路由器是大家所熟悉的，最典型的就是Cisco公司的系列路由器。软件路由器是个新兴的产品，比如Tiny Software推出的WinRoute Pro软件路由器，Vicomsoft公司推出的Internet Gateway软件路由器等等。与软件为基础的路由器比较,有人认为，Cisco的产品纯粹是用硬件组建的路由器。这种看法是片面的。像PC机一样，Cisco的路由器包括电源、内部总线、主存、闪存、处理器和操作系统等。同时，它的内部组件还包括专用网卡，用来处理各种各样可能的连接。总之，Cisco路由器的硬件与具有插入式组件的专用计算机，主要区别就在于：Cisco路由器的网络操作系统（IOS）中包含路由软件，而软路由器产品则是运行在Windows系列的操作系统上。下面是二者在另外一些方面的比较。   \r\n\r\n■应用场合不同 \r\n\r\n    Tiny Software的WinRoute Pro适合于一个分支办公机构，而Vicomsoft的Internet Gateway适合于整个办公机构，因为它可以处理各个分支机构的多个连接。同时，还可以通过一个共享远程服务器实现用户拨叫。一些公司为了安全的需要，正在建立自己的工作组，并把工作组掩藏在以软件为基础的网络地址转换（NAT）路由器的后面。   \r\n\r\n    这两种软路由器是不是都能满足大公司应用的要求？比如说有一5000多个用户的公司，该公司只用一根或两根T-1租线与Internet相连，其带宽不到5Mbps。虽然，这两种软路由器都可以达到超过一台高速PC机6倍以上的流量，但是，在使用DHCP的情况下，Internet Gateway路由器将用户数量限制在1024个。当用户超过一定的数量时，WinRoute Pro的电子邮件服务器就会给多出的用户文件加一个标记。在庞大而复杂的公司环境中，这两种路由器就显得力不从心。实际上，大多数这种公司，都需要Cisco的新型高端路由产品。   \r\n\r\n■安全程度不一\r\n\r\n    如果将软路由器安装在一个非常“干净”的系统上，也就是说，系统安装有最新的维护程序和安全补丁，没有安装其他软件，而且执行NAT，那么，软路由器就能像所有其它Cisco提供的硬路由器一样安全可靠。  \r\n\r\n    尽管NAT最初是设计用来加强和保护网络通信协议的，但是它并不运行在操作系统内，它通常安装在硬件层和网络协议堆栈层之间，能够访问所有的信息包，近而在它们产生任何危害前有效地进行控制，这就大大提高了系统的安全性。Internet Gateway和WinRoute Pro中都运用到了NAT技术，而Cisco在它的IOS V12.0及以后的版本中，则完全融合了NAT的各种功能。这些运用都遵循RFC 1631对IP NAT的要求。   \r\n对Cisco的硬件路由器而言，NAT不仅对外将网络用户的IP地址隐藏起来，而且在内部，用户也看不到外部网络资源的IP地址，这可防止有恶意的人员去盗取网络资源。   \r\n\r\n    就安全级别来说，Cisco路由器的安全性并不比软路由器高。Cisco在PIX中使用NAT，与其在自己的IOS中使用NAT基本相同。尽管如此，Cisco的路由器在抵抗Dos（拒绝服务）攻击方面做得不错，这主要是因为Cisco的IOS不仅是操作系统，它还是路由/安全软件。这种集成方式不仅比工作于Windows上的软路由产品更简洁，而且，每当Cisco发现一种新的攻击方法时，它就能够实现快速更新。   \r\n\r\n■价格有差异  \r\n\r\n    各中小型机构里使用的Cisco路由器，其价格一般不等。价格的不同决定于子网的数量和流量支持，决定于上传的方式和速度，还决定于安全选择及用户是否要求语音服务。我们来看非常普通的路由器—Cisco 4500-M。该系统的吞吐能力与我们测试的系统相当，4500-M高端支持一个155Mbps 的ATM OC-3组件，低端可以支持两个T-1租线接口，这种接口通常支持2.048Mbps和16.128Mbps的低速接口。一个800MHz的PC机在这种宽带下工作也是完全可以的。   \r\n\r\n    但是价格并不代表一切，表面现象可能具有欺骗性。Cisco 4500-M比起其他配备软件的PC产品有很多的优点，它包括更多的内建LAN和WAN协议，优化的WAN服务，以及集中安装和设计用户自己的网络基本架构的能力。除此之外，一台Cisco路由器或其他主流路由产品的正常运行时间，要比在Windows平台上路由器的运行时间长得多。但是，这种路由器仍然要比我们上面介绍的两种软路由器（含服务器硬件设备）的价格高，这还不包括雇用一位有Cisco认证的安装者所需的资金。所以，用户在做选择之前，最好先考虑好自己的需求。

梦中人的梦

交换机作为网吧的核心设备，可以被看做是计算机间数据传递的立交桥。毫无疑问，立交桥的性能和通行能力，将在根本上影响整个网络的传输速率。对于网吧业主而言，交换机算得上是价格比较昂贵的网络设备，因此，在选购交换机时必须非常慎重地进行选择。\r\n　　\r\n选购原则\r\n\r\n　　网吧业主注重的是网络的稳定、高速，以及资金的投入，因此在为网吧选购交换机时，应当遵循以下几个原则：\r\n\r\n　　●稳定压倒一切\r\n　　稳定应当是选购网吧设备时应遵循的基本原则，交换机自然也不例外。交换机的性能可以较差，带宽可以较窄，但绝不可以经常发生故障，特别是不能经常掉线。原因很简单，交换机一旦发生故障，网吧内的所有计算机都将立即中断与网络的连接，“网”吧也就徒有虚名了。时断时续的网络环境很快会把消费者赶到竞争对手那里去。\r\n\r\n　　●追求最高性价比\r\n\r\n　　“让每一分钱都花得很值”是每个经营者的追求目标。性价比原则主要体现在以下几个方面：\r\n\r\n　　第一，端口密度。在各种性能参数基本相同的情况下，交换机的端口密度越大，每个端口的花费就越少。也就是说，一台有48个端口的交换机要比两台各有24个端口的交换机便宜，因此，高密度端口的交换机往往拥有较高的性价比。\r\n\r\n　　第二，性能与功能。性能越好、功能越丰富，自然价格越高。事实上，由于网吧规模往往并不是很大，各种网络应用并不是特别丰富，对网络安全的要求也不是很高，所以，一般的100Mbps傻瓜交换机完全能够担当重任。\r\n\r\n　　第三，考虑差异。有的交换机（中心交换机）用于连接其他交换机和服务器，而有的交换机（工作组交换机）则直接连接计算机，因此，不同位置的交换机应当选择不同性能的产品。只有这样，才能充分发挥各个设备的最高性能。当网吧内的计算机超过200台时，建议购置一台三层交换机作为中心交换机。\r\n\r\n　　第四，厂商品牌。美国、中国大陆和中国台湾地区都有生产交换机的厂商。其中，美国产品价格最高，功能最丰富，性能最强劲，其次就是中国大陆和中国台湾地区的产品。由于网吧交换机不需要具备太多的功能，因此，中国大陆的知名品牌往往最具性价比。\r\n\r\n　　●整体一盘棋\r\n\r\n　　交换机之间应当和谐、匹配、兼容。端口速率应当匹配，如果中心交换机采用1000Mbps端口，工作组交换机却采用100Mbps端口，那么，采用1000Mbps端口无疑是一种浪费。不同品牌交换机所采用的技术应当彼此兼容，共同遵循同一国际标准，从而使网络管理和技术实现成为可能。总之，交换机之间应当和谐连接，从而发挥各自的最大的性能。\r\n　\r\n选购时应考虑的问题\r\n\r\n　　理性选购、合理预算是一个成功的网吧业主必须遵循的原则。因此，在选购交换机时，应当根据投资额度和网吧的实际需求，认真考虑以下问题：\r\n\r\n　　●智能还是傻瓜\r\n\r\n　　智能交换机是指可网管交换机，傻瓜交换机是指不可网管交换机。借助管理功能，交换机可以实现各种交换技术，设置复杂的网络应用，控制用户访问交换机，保障网络安全，提高网络传输效率。大型网吧的中心交换机应当拥有管理功能，用于划分VLAN并实现VLAN间的通讯，而选购工作组交换机时通常不用考虑管理功能，可采用廉价的傻瓜化交换机。\r\n\r\n　　●1000Mbps还是100Mbps\r\n\r\n　　毫无疑问，1000Mbps端口可以提供更高的网络带宽，更适合多路并发访问和多媒体数据传输，但是，它的端口价格往往比100Mbps的贵10~20倍。因此，除非有特殊需要，建议选择100Mbps交换机。\r\n\r\n　　●对称还是非对称\r\n\r\n　　对称交换机的所有端口的速率完全相同，如全部为100Mbps或1000Mbps；而非对称交换机的端口速率不同，如部分为100Mbps，部分为1000Mbps。当决定采用1000Mbps网络骨干时，中心交换机应当选择1000Mbps对称端口交换机，用于连接工作组交换机和服务器；工作组交换机则应选择非对称交换机，1000Mbps端口用于连接中心交换机，100Mbps端口则用于连接计算机。\r\n\r\n　　●选用何种端口\r\n\r\n　　模块化交换机除了拥有较高的性能外，还拥有较大的灵活性，可以根据网络环境选择不同的模块，提供不同数量和类型的端口（图1所示为模块化端口）。固定端口交换机性能较差，只能提供固定的端口数量，只适用于特定的网络类型，但价格却便宜得多。不过，由于网吧的环境相对简单，不需要极高的灵活性和扩展性，因此，固定端口更适合网吧。\r\n\r\n\r\n图1\r\n\r\n　●堆叠还是级联 \r\n\r\n　　堆叠和级联是连接交换机以扩展端口的两种手段。所谓堆叠，是指使用专门的模块和线缆，将若干交换机堆叠在一起，将它们作为一个交换机使用和管理，实现高速连接。所谓级联，是指使用普通的线缆将交换机连接在一起（图2），实现相互之间的通讯。采用堆叠方式时，交换机之间的连接带宽通常大于1Gbps；采用级联时，带宽最高只有1Gbps。不过，由于堆叠需要借助于专门的模块和电缆实现，因此，价格相对较高。建议网吧采用级联方式。\r\n\r\n\r\n图2\r\n\r\n●桌面还是机架 \r\n\r\n　　由于网吧的空间非常宝贵，所以，应当尽量减少网络设备所占用的空间。应当选择机架式交换机，并将它固定在标准机柜中（图3），既可节约宝贵的空间，又便于提供电源、实现管理。\r\n\r\n\r\n图3\r\n　　\r\n主要参数\r\n\r\n　　在进行选购时，应当注意以下几个主要参数：\r\n\r\n　　●端口\r\n\r\n　　如要购买工作组交换机，建议选择拥有24个或48个端口的10/100Mbps交换机，中心交换机建议选择固定端口的100Mbps三层交换机。虽然1000Mbps端口拥有更高的传输速率，但由于价格原因不推荐选购。另外，网吧的规模通常较小，从交换机到计算机的距离一般在100米之内，因此，廉价的RJ-45端口更适合网吧。\r\n\r\n　●转发速率 \r\n\r\n　　转发速率是交换机一个非常重要的参数，它从根本上决定了交换机的转发速率。转发速率通常以“Mpps”（Million Packet Per Second，每秒百万包数）来表示，即每秒能够处理的数据包的数量。该值越大，交换机性能越强劲。\r\n\r\n　　●背板带宽\r\n\r\n　　背板带宽是指交换机接口处理器或接口卡和数据总线间所能吞吐的最大数据量。由于所有端口间的通讯都要通过背板完成，所有背板能够提供的带宽就成为端口间并发通讯时的瓶颈。带宽越大，能够给各通讯端口提供的可用带宽越大，数据交换速度越快；带宽越小，则能够给各通讯端口提供的可用带宽越小，数据交换速度也就越慢。因此，背板带宽越大，交换机的传输速率则越快。\r\n\r\n　　●缓存\r\n\r\n　　缓存用于暂时存储等待转发的数据。如果缓存容量较小，当并发访问量较大时，数据将被丢弃，从而导致网络通讯失败。只有缓存容量较大，才可以在组播和广播流量很大的情况下，提供更佳的整体性能，同时保证最大可能的吞吐量。目前，几乎所有的廉价交换机都采用共享内存结构，由所有端口共享交换机内存，均衡网络负载并防止数据包丢失。\r\n\r\n　　●MAC地址数量\r\n\r\n　　每台交换机都维护着一张MAC地址表，记录MAC地址与端口的对应关系，从而根据MAC地址将访问请求直接转发到对应的端口。存储的MAC地址数量越多，数据转发的速度和效率也就越高，抗MAC地址溢出供给能力也就越强。\r\n\r\n　　掌握了上述几个部分所介绍的知识，必能完善你对网吧交换机的认识，从而懂得如何挑选适合自己的产品。\r\n\r\n　　编后：随着众多网吧规模的日益扩展，网络结构的不断扩充，构建一个稳定、高效的网络环境已经成为许多网吧业主不得不面对的事实。此时就需要广大业主细心挑选、谨慎选择，用高性价比的产品去构筑一个高效的网络。本文应该能够在广大业主选购网吧交换机时起到极大的帮助作用。

梦中人的梦

一、路由器配置途径  \r\n\r\n　　可以通过以下几个途径来配置路由器：\r\n  \r\n　　1. 用主控Console口接终端配置。  \r\n　　2. 在AUX口接一Modem同电话网相连，在远端配置。  \r\n　　3. 在TCP/IP网上可通过仿真终端（virtual termianl）telnet配置  \r\n　　4. 可以从TFTP Server上下载配置。  \r\n　　5. 可以用网管工作站进行配置。  \r\n\r\n　　如何利用Console口来配置一台路由器  \r\n\r\n　　利用一台终端（或安装有异步通信程序软件的微机），利用Cisco提供的电缆和接头，分别接在路由器的Console口上及经过正确配置的终端或微机的串行口上，就可对路由器进行配置。终端或微机串行口的配置为：  \r\n\r\n　　VT100 仿真  \r\n　　9600速率  \r\n　　无校验位  \r\n　　8数据位  \r\n　　1停止位  \r\n\r\n二、路由器的内存和作用  \r\n\r\n　　路由器内存的种类  \r\n\r\n　　路由器的内存有三类：RAM(Random Access Memory)，NVRAM(Non-Volatile Random Access Memory)及EEPROM(Electronic Erasable Programmable Random Access Memory，又称为Flash)。  \r\n\r\n　　路由器内存的作用  \r\n\r\n　　Flash：存储路由器的操作系统（IOS:Internet Operating system）。 \r\n\r\n　　NVRAM：存储用户对路由器的配置表。  \r\n\r\n　　RAM：路由器在加电后，配置表被从NVRAM中调入RAM中，并控制路由器的活动；存放路由器路由表及数据缓冲区。  \r\n\r\n　　NVRAM同RAM的区别  \r\n　　用户对路由器配置的更改在RAM中进行  \r\n　　用户在存储配置表后，RAM将配置表的拷贝放置在NVRAM中  \r\n　　路由器掉电后，RAM的内容将丢失，NVRAM的内容将被保留。\r\n  \r\n三、路由器的口令  \r\n\r\n　　enable secret /enable password  \r\n　　是当用户从用户执行状态进入超级用户状态时，需要输入的口令\r\n  \r\n　　区 别：  \r\n　　1. 当enable secret 存在时，enable password不起作用\r\n  \r\n　　2. 查看配置表时，时，enable secret为加密格式，enable password为正常格式  \r\n　　vty password  \r\n　　用户以telnet方式进入路由器时，需要输入的口令  \r\n　　dial-in password  \r\n　　用户以拨号方式进入路由器时，需要输入的口令  \r\n\r\n四、路由器系统配置 \r\n\r\n　　交互配置模式  \r\n\r\n　　所有路由器在系统加电后，都会进入路由器交互式对话配置模式，该配置模式可以完成对路由器的一般配置。  \r\n\r\n　　命令行方式配置路由器  \r\n\r\n　　根据不同牌子、不同型号的路由器采取相应的命令行进行配置。\r\n\r\n　　路由器知识对与想向高端网络技术发展的朋友来说是必不可少的。本人在一家网络公司工作，对华为和CISCO的路由产品接触不少，相信很多朋友和我一样很急需这方面的知识………………  \r\n\r\n　　路由器是一种连接多个网络或网段的网络设备，它能将不同网络或网段之间的数据信息进行“翻译”，以使它们能够相互“读”懂对方的数据，从而构成一个更大的网络。  \r\n\r\n　　路由器有两大典型功能，即数据通道功能和控制功能。数据通道功能包括转发决定、背板转发以及输出链路调度等，一般由特定的硬件来完成；控制功能一般用软件来实现，包括与相邻路由器之间的信息交换、系统配置、系统管理等。  \r\n\r\n　　多少年来，路由器的发展有起有伏。90年代中期，传统路由器成为制约因特网发展的瓶颈。ATM交换机取而代之，成为IP骨干网的核心，路由器变成了配角。进入90年代末期，Internet规模进一步扩大，流量每半年翻一番，ATM网又成为瓶颈，路由器东山再起，Gbps路由交换机在1997年面世后，人们又开始以Gbps路由交换机取代ATM交换机，架构以路由器为核心的骨干网。 \r\n\r\n\r\n　　G>路由器原理及路由协议  \r\n\r\n　　本文通过阐述TCP／IP网络中路由器的基本工作原理，介绍了IP路由器的几大功能，给出了静态路由协议和动态路由协议，以及内部网关协议和外部网关协议的概念，同时简要介绍了目前最常见的RIP、OSPF、BGP和BGP-4这几种路由协议，然后描述了路由算法的设计目标和种类，着重介绍了链路状态法和距离向量法。在文章的最后，扼要讲述了新一代路由器的特征。  \r\n\r\n　　——近十年来，随着计算机网络规模的不断扩大，大型互联网络（如Internet）的迅猛发展，路由技术在网络技术中已逐渐成为关键部分，路由器也随之成为最重要的网络设备。用户的需求推动着路由技术的发展和路由器的普及，人们已经不满足于仅在本地网络上共享信息，而希望最大限度地利用全球各个地区、各种类型的网络资源。而在目前的情况下，任何一个有一定规模的计算机网络（如企业网、校园网、智能大厦等），无论采用的是快速以大网技术、FDDI技术，还是ATM技术，都离不开路由器，否则就无法正常运作和管理。 \r\n\r\n1 网络互连  \r\n　　——把自己的网络同其它的网络互连起来，从网络中获取更多的信息和向网络发布自己的消息，是网络互连的最主要的动力。网络的互连有多种方式，其中使用最多的是网桥互连和路由器互连。  \r\n\r\n　　1.1 网桥互连的网络  \r\n\r\n　　——网桥工作在OSI模型中的第二层，即链路层。完成数据帧（frame）的转发，主要目的是在连接的网络间提供透明的通信。网桥的转发是依据数据帧中的源地址和目的地址来判断一个帧是否应转发和转发到哪个端口。帧中的地址称为“MAC”地址或“硬件”地址，一般就是网卡所带的地址。 \r\n\r\n　　——网桥的作用是把两个或多个网络互连起来，提供透明的通信。网络上的设备看不到网桥的存在，设备之间的通信就如同在一个网上一样方便。由于网桥是在数据帧上进行转发的，因此只能连接相同或相似的网络（相同或相似结构的数据帧），如以太网之间、以太网与令牌环（token ring）之间的互连，对于不同类型的网络（数据帧结构不同），如以太网与X.25之间，网桥就无能为力了。  \r\n\r\n　　——网桥扩大了网络的规模，提高了网络的性能，给网络应用带来了方便，在以前的网络中，网桥的应用较为广泛。但网桥互连也带来了不少问题：一个是广播风暴，网桥不阻挡网络中广播消息，当网络的规模较大时（几个网桥，多个以太网段），有可能引起广播风暴（broadcasting storm），导致整个网络全被广播信息充满，直至完全瘫痪。第二个问题是，当与外部网络互连时，网桥会把内部和外部网络合二为一，成为一个网，双方都自动向对方完全开放自己的网络资源。这种互连方式在与外部网络互连时显然是难以接受的。问题的主要根源是网桥只是最大限度地把网络沟通，而不管传送的信息是什么。  \r\n\r\n　1.2 路由器互连网络  \r\n\r\n　　——路由器互连与网络的协议有关，我们讨论限于TCP／IP网络的情况。 \r\n\r\n　　——路由器工作在OSI模型中的第三层，即网络层。路由器利用网络层定义的“逻辑”上的网络地（即IP地址）来区别不同的网络，实现网络的互连和隔离，保持各个网络的独立性。路由器不转发广播消息，而把广播消息限制在各自的网络内部。发送到其他网络的数据茵先被送到路由器，再由路由器转发出去。  \r\n\r\n　　——IP路由器只转发IP分组，把其余的部分挡在网内（包括广播），从而保持各个网络具有相对的独立性，这样可以组成具有许多网络（子网）互连的大型的网络。由于是在网络层的互连，路由器可方便地连接不同类型的网络，只要网络层运行的是IP协议，通过路由器就可互连起来。  \r\n\r\n　　——网络中的设备用它们的网络地址（TCP／IP网络中为IP地址）互相通信。IP地址是与硬件地址无关的“逻辑”地址。路由器只根据IP地址来转发数据。IP地址的结构有两部分，一部分定义网络号，另一部分定义网络内的主机号。目前，在Internet网络中采用子网掩码来确定IP地址中网络地址和主机地址。子网掩码与IP地址一样也是32bit，并且两者是一一对应的，并规定，子网掩码中数字为“1”所对应的IP地址中的部分为网络号，为“0”所对应的则为主机号。网络号和主机号合起来，才构成一个完整的IP地址。同一个网络中的主机IP地址，其网络号必须是相同的，这个网络称为IP子网。  \r\n\r\n　　——通信只能在具有相同网络号的IP地址之间进行，要与其它IP子网的主机进行通信，则必须经过同一网络上的某个路由器或网关（gateway）出去。不同网络号的IP地址不能直接通信，即使它们接在一起，也不能通信。  \r\n\r\n　　——路由器有多个端口，用于连接多个IP子网。每个端口的IP地址的网络号要求与所连接的IP子网的网络号相同。不同的端口为不同的网络号，对应不同的IP子网，这样才能使各子网中的主机通过自己子网的IP地址把要求出去的IP分组送到路由器上。\r\n  \r\n2 路由原理  \r\n\r\n　　——当IP子网中的一台主机发送IP分组给同一IP子网的另一台主机时，它将直接把IP分组送到网络上，对方就能收到。而要送给不同IP于网上的主机时，它要选择一个能到达目的子网上的路由器，把IP分组送给该路由器，由路由器负责把IP分组送到目的地。如果没有找到这样的路由器，主机就把IP分组送给一个称为“缺省网关（default gateway）”的路由器上。“缺省网关”是每台主机上的一个配置参数，它是接在同一个网络上的某个路由器端口的IP地址。  \r\n\r\n　　——路由器转发IP分组时，只根据IP分组目的IP地址的网络号部分，选择合适的端口，把IP分组送出去。同主机一样，路由器也要判定端口所接的是否是目的子网，如果是，就直接把分组通过端口送到网络上，否则，也要选择下一个路由器来传送分组。路由器也有它的缺省网关，用来传送不知道往哪儿送的IP分组。这样，通过路由器把知道如何传送的IP分组正确转发出去，不知道的IP分组送给“缺省网关”路由器，这样一级级地传送，IP分组最终将送到目的地，送不到目的地的IP分组则被网络丢弃了。  \r\n\r\n　　——目前TCP／IP网络，全部是通过路由器互连起来的，Internet就是成千上万个IP子网通过路由器互连起来的国际性网络。这种网络称为以路由器为基础的网络（router based network），形成了以路由器为节点的“网间网”。在“网间网”中，路由器不仅负责对IP分组的转发，还要负责与别的路由器进行联络，共同确定“网间网”的路由选择和维护路由表。\r\n  \r\n　　——路由动作包括两项基本内容：寻径和转发。寻径即判定到达目的地的最佳路径，由路由选择算法来实现。由于涉及到不同的路由选择协议和路由选择算法，要相对复杂一些。为了判定最佳路径，路由选择算法必须启动并维护包含路由信息的路由表，其中路由信息依赖于所用的路由选择算法而不尽相同。路由选择算法将收集到的不同信息填入路由表中，根据路由表可将目的网络与下一站（nexthop）的关系告诉路由器。路由器间互通信息进行路由更新，更新维护路由表使之正确反映网络的拓扑变化，并由路由器根据量度来决定最佳路径。这就是路由选择协议（routing protocol），例如路由信息协议（RIP）、开放式最短路径优先协议（OSPF）和边界网关协议（BGP）等。  \r\n\r\n　　——转发即沿寻径好的最佳路径传送信息分组。路由器首先在路由表中查找，判明是否知道如何将分组发送到下一个站点（路由器或主机），如果路由器不知道如何发送分组，通常将该分组丢弃；否则就根据路由表的相应表项将分组发送到下一个站点，如果目的网络直接与路由器相连，路由器就把分组直接送到相应的端口上。这就是路由转发协议（routed protocol）。  \r\n\r\n　　——路由转发协议和路由选择协议是相互配合又相互独立的概念，前者使用后者维护的路由表，同时后者要利用前者提供的功能来发布路由协议数据分组。下文中提到的路由协议，除非特别说明，都是指路由选择协议，这也是普遍的习惯。\r\n  \r\n3、 路由协议 \r\n\r\n　　——典型的路由选择方式有两种：静态路由和动态路由。\r\n  \r\n　　——静态路由是在路由器中设置的固定的路由表。除非网络管理员干预，否则静态路由不会发生变化。由于静态路由不能对网络的改变作出反映，一般用于网络规模不大、拓扑结构固定的网络中。静态路由的优点是简单、高效、可靠。在所有的路由中，静态路由优先级最高。当动态路由与静态路由发生冲突时，以静态路由为准。\r\n  \r\n　　——动态路由是网络中的路由器之间相互通信，传递路由信息，利用收到的路由信息更新路由器表的过程。它能实时地适应网络结构的变化。如果路由更新信息表明发生了网络变化，路由选择软件就会重新计算路由，并发出新的路由更新信息。这些信息通过各个网络，引起各路由器重新启动其路由算法，并更新各自的路由表以动态地反映网络拓扑变化。动态路由适用于网络规模大、网络拓扑复杂的网络。当然，各种动态路由协议会不同程度地占用网络带宽和CPU资源。  \r\n\r\n　　——静态路由和动态路由有各自的特点和适用范围，因此在网络中动态路由通常作为静态路由的补充。当一个分组在路由器中进行寻径时，路由器首先查找静态路由，如果查到则根据相应的静态路由转发分组；否则再查找动态路由。\r\n  \r\n　　——根据是否在一个自治域内部使用，动态路由协议分为内部网关协议（IGP）和外部网关协议（EGP）。这里的自治域指一个具有统一管理机构、统一路由策略的网络。自治域内部采用的路由选择协议称为内部网关协议，常用的有RIP、OSPF；外部网关协议主要用于多个自治域之间的路由选择，常用的是BGP和BGP-4。下面分别进行简要介绍。  \r\n\r\n　　3.1 RIP路由协议  \r\n\r\n　　——RIP协议最初是为Xerox网络系统的Xerox parc通用协议而设计的，是Internet中常用的路由协议。RIP采用距离向量算法，即路由器根据距离选择路由，所以也称为距离向量协议。路由器收集所有可到达目的地的不同路径，并且保存有关到达每个目的地的最少站点数的路径信息，除到达目的地的最佳路径外，任何其它信息均予以丢弃。同时路由器也把所收集的路由信息用RIP协议通知相邻的其它路由器。这样，正确的路由信息逐渐扩散到了全网。 \r\n\r\n　　——RIP使用非常广泛，它简单、可靠，便于配置。但是RIP只适用于小型的同构网络，因为它允许的最大站点数为15，任何超过15个站点的目的地均被标记为不可达。而且RIP每隔30s一次的路由信息广播也是造成网络的广播风暴的重要原因之一。\r\n  \r\n     3.2 OSPF路由协议  \r\n\r\n　　——80年代中期，RIP已不能适应大规模异构网络的互连，0SPF随之产生。它是网间工程任务组织（1ETF）的内部网关协议工作组为IP网络而开发的一种路由协议。\r\n  \r\n　　——0SPF是一种基于链路状态的路由协议，需要每个路由器向其同一管理域的所有其它路由器发送链路状态广播信息。在OSPF的链路状态广播中包括所有接口信息、所有的量度和其它一些变量。利用0SPF的路由器首先必须收集有关的链路状态信息，并根据一定的算法计算出到每个节点的最短路径。而基于距离向量的路由协议仅向其邻接路由器发送有关路由更新信息。  \r\n\r\n　　——与RIP不同，OSPF将一个自治域再划分为区，相应地即有两种类型的路由选择方式：当源和目的地在同一区时，采用区内路由选择；当源和目的地在不同区时，则采用区间路由选择。这就大大减少了网络开销，并增加了网络的稳定性。当一个区内的路由器出了故障时并不影响自治域内其它区路由器的正常工作，这也给网络的管理、维护带来方便。  \r\n\r\n　　3.3 BGP和BGP-4路由协议  \r\n\r\n　　——BGP是为TCP／IP互联网设计的外部网关协议，用于多个自治域之间。它既不是基于纯粹的链路状态算法，也不是基于纯粹的距离向量算法。它的主要功能是与其它自治域的BGP交换网络可达信息。各个自治域可以运行不同的内部网关协议。BGP更新信息包括网络号／自治域路径的成对信息。自治域路径包括到达某个特定网络须经过的自治域串，这些更新信息通过TCP传送出去，以保证传输的可靠性。  \r\n\r\n　　——为了满足Internet日益扩大的需要，BGP还在不断地发展。在最新的BGp4中，还可以将相似路由合并为一条路由。  \r\n\r\n　　3.4 路由表项的优先问题  \r\n\r\n　　——在一个路由器中，可同时配置静态路由和一种或多种动态路由。它们各自维护的路由表都提供给转发程序，但这些路由表的表项间可能会发生冲突。这种冲突可通过配置各路由表的优先级来解决。通常静态路由具有默认的最高优先级，当其它路由表表项与它矛盾时，均按静态路由转发。\r\n  \r\n4 路由算法  \r\n　　——路由算法在路由协议中起着至关重要的作用，采用何种算法往往决定了最终的寻径结果，因此选择路由算法一定要仔细。通常需要综合考虑以下几个设计目标：  \r\n\r\n　　——（1）最优化：指路由算法选择最佳路径的能力。  \r\n\r\n　　——（2）简洁性：算法设计简洁，利用最少的软件和开销，提供最有效的功能。\r\n  \r\n　　——（3）坚固性：路由算法处于非正常或不可预料的环境时，如硬件故障、负载过高或操作失误时，都能正确运行。由于路由器分布在网络联接点上，所以在它们出故障时会产生严重后果。最好的路由器算法通常能经受时间的考验，并在各种网络环境下被证实是可靠的。  \r\n\r\n　　——（4）快速收敛：收敛是在最佳路径的判断上所有路由器达到一致的过程。当某个网络事件引起路由可用或不可用时，路由器就发出更新信息。路由更新信息遍及整个网络，引发重新计算最佳路径，最终达到所有路由器一致公认的最佳路径。收敛慢的路由算法会造成路径循环或网络中断.\r\n\r\n      ——（5）灵活性：路由算法可以快速、准确地适应各种网络环境。例如，某个网段发生故障，路由算法要能很快发现故障，并为使用该网段的所有路由选择另一条最佳路径。\r\n  \r\n　　——路由算法按照种类可分为以下几种：静态和动态、单路和多路、平等和分级、源路由和透明路由、域内和域间、链路状态和距离向量。前面几种的特点与字面意思基本一致，下面着重介绍链路状态和距离向量算法。  \r\n\r\n　　——链路状态算法（也称最短路径算法）发送路由信息到互联网上所有的结点，然而对于每个路由器，仅发送它的路由表中描述了其自身链路状态的那一部分。距离向量算法（也称为Bellman-Ford算法）则要求每个路由器发送其路由表全部或部分信息，但仅发送到邻近结点上。从本质上来说，链路状态算法将少量更新信息发送至网络各处，而距离向量算法发送大量更新信息至邻接路由器。 ——由于链路状态算法收敛更快，因此它在一定程度上比距离向量算法更不易产生路由循环。但另一方面，链路状态算法要求比距离向量算法有更强的CPU能力和更多的内存空间，因此链路状态算法将会在实现时显得更昂贵一些。除了这些区别，两种算法在大多数环境下都能很好地运行。  \r\n\r\n　　——最后需要指出的是，路由算法使用了许多种不同的度量标准去决定最佳路径。复杂的路由算法可能采用多种度量来选择路由，通过一定的加权运算，将它们合并为单个的复合度量、再填入路由表中，作为寻径的标准。通常所使用的度量有：路径长度、可靠性、时延、带宽、负载、通信成本等。  \r\n\r\n5 新一代路由器  \r\n\r\n　　——由于多媒体等应用在网络中的发展，以及ATM、快速以太网等新技术的不断采用，网络的带宽与速率飞速提高，传统的路由器已不能满足人们对路由器的性能要求。因为传统路由器的分组转发的设计与实现均基于软件，在转发过程中对分组的处理要经过许多环节，转发过程复杂，使得分组转发的速率较慢。另外，由于路由器是网络互连的关键设备，是网络与其它网络进行通信的一个“关口”，对其安全性有很高的要求，因此路由器中各种附加的安全措施增加了CPU的负担，这样就使得路由器成为整个互联网上的“瓶颈”。\r\n  \r\n　　——传统的路由器在转发每一个分组时，都要进行一系列的复杂操作，包括路由查找、访问控制表匹配、地址解析、优先级管理以及其它的附加操作。这一系列的操作大大影响了路由器的性能与效率，降低了分组转发速率和转发的吞吐量，增加了CPU的负担。而经过路由器的前后分组间的相关性很大，具有相同目的地址和源地址的分组往往连续到达，这为分组的快速转发提供了实现的可能与依据。新一代路由器，如IP Switch、Tag Switch等，就是采用这一设计思想用硬件来实现快速转发，大大提高了路由器的性能与效率。\r\n\r\n　　——新一代路由器使用转发缓存来简化分组的转发操作。在快速转发过程中，只需对一组具有相同目的地址和源地址的分组的前几个分组进行传统的路由转发处理，并把成功转发的分组的目的地址、源地址和下一网关地址（下一路由器地址）放人转发缓存中。当其后的分组要进行转发时，茵先查看转发缓存，如果该分组的目的地址和源地址与转发缓存中的匹配，则直接根据转发缓存中的下一网关地址进行转发，而无须经过传统的复杂操作，大大减轻了路由器的负担，达到了提高路由器吞吐量的目标。

梦中人的梦

　信息技术在各个领域的广泛应用促使信息交换网络的迅猛发展，其中Internet是最大的受益者。 Internet网络的主要节点设备是路由器，路由器通过路由决定数据的转发。转发策略称为路由选择（routing），这也是路由器名称的由来（router，转发者）。决定转发的办法可以是人为指定，但人为指定工作量大，而且不能采取灵活的策略，于是动态路由协议应运而生，通过传播、分析、计算、挑选路由， 来实现路由发现、路由选择、路由 切换和负载分担等功能。\r\n\r\nRIP、OSPF和BGP协议\r\n\r\n　　Internet上现在大量运行的路由协议有RIP、OSPF和BGP。RIP、OSPF是内部网关协议， 适用于单个ISP的统一路由协议的运行，由一个ISP运营的网络称为一个自治系统（AS）。BGP是自治系统间的路由协议， 是一种外部网关协议。\r\n　　RIP是推出时间最长的路由协议，也是最简单的路由协议。它是\"路由信息协议\"的缩写， 主要传递路由信息（路由表）来广播路由：每隔30秒，广播一次路由表，维护相邻路由器的关系， 同时根据收到的路由表计算自己的路由表。RIP运行简单，适用于小型网络，Internet上还在部分使用着RIP。\r\n　　OSPF协议是\"开放式最短路优先\"的缩写。\"开放\"是针对当时某些厂家的\"私有\"路由协议而言，而正是因为协议开放性，才造成OSPF今天强大的生命力和广泛的用途。它通过传递链路状态（连接信息）来得到网络信息，维护一张网络有向拓扑图，利用最小生成树算法（SPF算法）得到路由表。OSPF是一种相对复杂的路由协议。\r\n　　总的来说，OSPF、RIP都是自治系统内部的路由协议，适合于单一的ISP（自治系统）使用。一般说来， 整个Internet并不适合跑单一的路由协议，因为各ISP有自己的利益，不愿意提供自身网络详细的路由信息。 为了保证各ISP利益，标准化组织制定了ISP间的路由协议BGP。\r\n　　BGP是\"边界网关协议\"的缩写，处理各ISP之间的路由传递。其特点是有丰富的路由策略， 这是RIP、OSPF等协议无法做到的， 因为它们需要全局的信息计算路由表。BGP通过ISP边界的路由器加上一定的策略， 选择过滤路由，把RIP、OSPF、 BGP等的路由发送到对方。全局范围的、广泛的Internet是BGP处理多个ISP间的路由的实例。 BGP的出现，引起了Internet的重大变革，它把多个ISP有机的连接起来，真正成为全球范围内的网络。> 带来的副作用是Internet的路由爆炸，现在Internet网的路由大概是60000条，这还是经过\"聚合\"后的数字。\r\n　　配置BGP需要对用户需求、网络现状和BGP协议非常了解，还有--需要非常小心， BGP运行在相对核心的地位，一旦出错，其造成的损失可能会很大！\r\n\r\n多播（MULTICAST）\r\n\r\n　　为适应Internet网络一对多的多点传送应用如天气预报、网络会议等，出现了一种新的传输模式--多播（multicast）。 多播适合于一到多的传输环境，同时也可适用多到多、多到一的情况。\r\n　　多播转发主要由路由器决定，路由器通过两种方式决定所谓的下游：决定是否有主机（用户）的下游， 通过Multicast client（IGMP）协议；决定是否有间接用户，即通过\"下游\"路由器带的组员，由下游路由器通过多播路由协议的报文通告，路由器决定是否往该下游转发数据。\r\n　　可以看到，第二种方式中多播路由协议的应用是大规模网络多播转发的关键。多播路由协议应该至少能正确通告组员信息， 并能形成全局统一的路由拓扑。\r\n根据网络的实际情况，有两大类多播路由协议：密集模式和稀疏模式。两者之间没有固定的界限。一般说来，可以从两个方面详细区分：\r\n\r\n1．组员数目占总数的比例，比例小的采用稀疏模式；\r\n2．组员的分布，如果分布非常广泛，建议采用稀疏模式。\r\n\r\n　　密集模式适用于小型网络，其假设是全网有非常\"密集\"的组员存在，采用广播＋剪枝的工作策略。其默认假设是向所有的下游转发数据，当收到某下游发来的明确的剪枝信息后，才把该接口从下游列表中除去。一般说来，转发路径应该是?quot;源\"为根、组员为枝叶的一棵树。密集模式的路由协议包括DVMRP、MOSPF和PIMDM。\r\n　　稀疏模式是Internet上应用广泛的一种情形。毕竟，针对Internet网，现在任何一次多播应用都不会有1％以上的机器需要接收。\r\n　　稀疏模式默认所有机器都不需要收多播包，只有明确指定需要的才予以转发，这确实能适用于\"稀疏\"的考虑。现在所有稀疏模式协议的主要转发思路是所有同类报文按相同的路径转发，即先发送到一个汇聚点（或称为核），再沿以汇聚点为根的组员为枝叶的共享树转发。稀疏方式的路由协议包括PIMSM和CBT。\r\n　　华为公司的Quidway 高端路由器将全面支持多播方式，包括Multicast client、稀疏模式的路由协议PIMSM、密集模式路由协议PIMDM、DVMRP，配合语音功能和QoS服务策略控制，挖掘网络潜力，使网络得到充分的利用 。可以毫不夸张的说，路由协议支持着IP，支持着Internet。没有路由协议，Internet将是一个混乱的世界，不可能有今天这样的方便快捷。而多播则开创了一个新的发展前景，将成为引导Internet未来的主力。

梦中人的梦

什么是TCP和UDP \r\n\r\nTCP和UDP是TCP/IP协议中的两个传输层协议，它们使用IP路由功能把数据包发送到目的地，从而为应用程序及应用层协议（包括：HTTP、 SMTP、SNMP、FTP和Telnet）提供网络服务。TCP提供的是面向连接的、可靠的数据流传输，而UDP提供的是非面向连接的、不可靠的数据流传输。面向连接的协议在任何数据传输前就建立好了点到点的连接。ATM和帧中继是 面向连接的协议，但它们工作在数据链路层，而不是在传输层。普通的音频电话也是面向连接的。 \r\n\r\n\r\n可靠的传输协议可避免数据传输错误。其实现方式是：在构造数据包时在其中设置校验码，到达目的地后再采用一定的算法重新计算校验码，通过比较二者，就可以找出被破坏了的数据。因为需要重发被破坏了的和已经丢失的数据，所以在需要重发数据时协议必须能够使目的地给出源头的一个确认信号。有些数据包不一定按照顺序到达，所以协议必须能够探测出乱序的包，暂存起来，然后把它们按正确的次序送到应用层中去。另外，协议还必须能够找出并丢弃重复发送的数据。一组定时器可以限制针对不同确认的等待时间，这样就可以开始重新发送或重新建立连接。 \r\n\r\n\r\n数据流传输协议不支持位传输。TCP不能在一个包内以字节或位为单位构造数据，它只负责传输未经构造的8位字符串。 \r\n\r\n\r\n非面向连接的传输协议在数据传输之前不建立连接，而是在每个中间节点对非面向连接的包和数据包进行路由。没有点到点的连接，非面向连接的协议，如UDP，是不可靠的连接。当一个UDP数据包在网络中移动时，发送过程并不知道它是否到达了目的地，除非应用层已经确认了它已到达的事实。非面向连接的协议也不能探测重复的和乱序的包。标准的专业术语用“不可靠”来描述UDP。在现代网络中，UDP并不易于导致传输失败，但是你也不能肯定地说它是可靠的。