【楼主：zolo6】楼主擂台赛：哈哈 ~~~ 我岂能示弱呢 ！！！

zolo6

　　（2）. 名为\"Switch2\"的交换机的VLAN端口号配置如下：\r\n\r\n　　Switch2(config)#int e0/2\r\n　　Switch2(config-if)#vlan-membership static 3\r\n　　Switch2(config-if)#int e0/3\r\n　　Switch2(config-if)#vlan-membership static 3\r\n　　Switch2(config-if)#int e0/4 \r\n　　Switch2(config-if)#vlan-membership static 3\r\n　　……\r\n　　Switch2(config-if)#int e0/15\r\n　　Switch2(config-if)#vlan-membership static 3\r\n　　Switch2(config-if)#int e0/16 \r\n　　Switch2(config-if)#vlan-membership static 3\r\n　　Switch2(config-if)#

zolo6

　　（3）. 名为\"Switch3\"的交换机的VLAN端口号配置如下(它包括两个VLAN组的配置)，先看VLAN 4（Huma）的配置代码：\r\n\r\n　　Switch3(config)#int e0/2\r\n　　Switch3(config-if)#vlan-membership static 4\r\n　　Switch3(config-if)#int e0/3\r\n　　Switch3(config-if)#vlan-membership static 4\r\n　　Switch3(config-if)#int e0/4 \r\n　　Switch3(config-if)#vlan-membership static 4\r\n　　……\r\n　　Switch3(config-if)#int e0/8\r\n　　Switch3(config-if)#vlan-membership static 4\r\n　　Switch3(config-if)#int e0/9 \r\n　　Switch3(config-if)#vlan-membership static 4\r\n　　Switch3(config-if)#\r\n　　下面是VLAN5（Info）的配置代码：\r\n　　Switch3(config)#int e0/10\r\n　　Switch3(config-if)#vlan-membership static 5\r\n　　Switch3(config-if)#int e0/11\r\n　　Switch3(config-if)#vlan-membership static 5\r\n　　Switch3(config-if)#int e0/12\r\n　　Switch3(config-if)#vlan-membership static 5\r\n　　……\r\n　　Switch3(config-if)#int e0/20\r\n　　Switch3(config-if)#vlan-membership static 5\r\n　　Switch3(config-if)#int e0/21 \r\n　　Switch3(config-if)#vlan-membership static 5\r\n　　Switch3(config-if)#\r\n\r\n　　好了，我们已经按表1要求把VLAN都定义到了相应交换机的端口上了。为了验证我们的配置，可以在特权模式使用\"show vlan\"命令显示出刚才所做的配置，检查一下是否正确。\r\n\r\n　　以上是就Cisco Catalyst 1900交换机的VLAN配置进行介绍了，其它交换机的VLAN配置方法基本类似，参照有关交换机说明书即可。

zolo6

一、安全须知 \r\n　　Windows的xx作系统谁都知道比较危险，原因就是漏洞实在很多。单*打补丁就已经足够烦恼，要是万一被黑客盯上或者病毒破坏那后果就更严重了。往往利用系统自身的缺陷来进行各种入侵向来就是黑客常得手的重要途径。随着宽带互联网的普及，家家户户使用网络已经渐渐增多。由此带来的安全问题也威胁着计算机的安全。懂得网络的人都知道我们常用Ping命令来检查网络是否畅通的一个简单的手段?墒钦飧鯬ing也能鳺indows系统带来严重的后果，那就是Ping入侵即是ICMP（Internet Control and Message Protocal是因特网控制消息错误报文协议）入侵，原理是通过Ping大量的数据包使得计算机的CPU使用率居高不下而崩溃，通常在一个时段内连续向计算机发出大量请求而导致CPU处理不及而死机，如图所示。 \r\n被攻击后数据流量猛增 \r\n\r\n　　二、防范措施 \r\n\r\n　　步骤1：需要打开在电脑的桌面，右键点击“网上邻居→属性→本地连接→属性→Internet协议（TCP/IP）→属性→高级→选项-TCP/IP筛选-属性”。 \r\n\r\n　　步骤2：你看到一个窗口是关于“TCP/IP筛选”，先点击选中“启用TCP/IP筛选（所有适配器）”。然后分别在“TCP端口、UDP端口和IP协议”的添加框上，点击“只允许”，后按添加按钮，然后在跳出的对话框输入端口，通常我们用来上网的端口是：80、8080，而邮件服务器的端口是：25、110，FTP的端口是20、21，同样地进行UDP端口和IP协议的添加。 \r\n\r\n　　步骤3：打开“控制面板→管理工具→本地安全策略”，然后右击“IP安全策略，在本地机器”选“管理IP筛选器和IP筛选器xx作”，在管理IP筛选器和IP筛选器xx作列表中添加一个新的过滤规则，名称输入“防止ICMP攻击”，然后按添加，在源地址选任何IP地址，目标地址选我的IP地址，协议类型为ICMP，设置完毕。 \r\n\r\n　　步骤4：在“管理筛选器xx作”，取消选中“使用添加向导”，添加，在常规中输入名字“Deny的xx作”，安全措施为“阻止”。这样我们就有了一个关注所有进入ICMP报文的过滤策略和丢弃所有报文的过滤xx作了。 \r\n\r\n　　步骤5：点击“IP安全策略，在本地机器”，选择“创建IP安全策略-下一步-输入名称为ICMP过滤器”，通过增加过滤规则向导，把刚刚定义的“防止ICMP攻击”过滤策略指定给ICMP过滤器，然后选择刚刚定义“Deny的xx作”，然后右击“防止ICMP攻击”并启用。 \r\n\r\n　　三、总结 \r\n\r\n　　经过利用安全策略来这样设置，你的计算机在防范ICMP的攻击和入侵方面就安全多了，对于那些企图入侵发来的大量数据包都能拦截下来，保证你的计算机免受破坏。

zolo6

二、软件路由器的优势：\r\n    1、软件路由器同样稳定高效：\r\n    大部分网吧使用旧计算机配件组装软路由，正是由于这些不稳定的硬件频繁故障，却而给软件路由器扣上了不稳定、效率低的帽子。好多\r\n人配置的服务器运行几年都没死机过，如果大家都以对付服务器的态度来组装软路由的硬件，选用较稳定的硬件产品（要求高的可选用研祥、\r\n大众和英德斯等品牌的防火墙一体化专用主板），配合专业高效率的路由软件，同样达到稳定高效的目的。\r\n   \r\n    2、配置灵活，可选性高：\r\n    专业的路由软件现在网上比比皆是，收费的正版的也不贵、好多破解版、免费版的功能也不差，并且这些软件不断的推出新的功能和不断\r\n免费升级，这些软件大家都可以选用，找出适合自己的几款软件去测试，总有性能达到你的要求，功能让你满意的，在调试过程中，你会发现\r\n，它们的功能都大同小异，甚至原理都差不多（和硬件路由里的软件也类似）。在大家安装调试过程中遇到问题可以去相关的网站、论坛、QQ\r\n群里问，会有人热心的告诉你并帮你解决，这过程中不但学到好多东西，还能结识好多同行和这方面的专家。\r\n    3、软路由真正功能强劲、便于管理调试：\r\n    目前好多软件路由的性能超过了硬件路由器，配置时也能下载到完备的说明文件和教程，管理和高度都相当方便，路由的部分功能还可以\r\n自己根据需要定制来实现，因为使用高配置的主机配件，性能也远高于普通硬件路由器。而且象monowall防火墙和海蜘蛛网吧版路由不但免费\r\n，而且能不断的升级完善，并且有自己的专业网站、论坛、QQ群来解决用户的各类问题。

zolo6

三、软件路由器推荐配置推荐：\r\n       软件路由推荐使用：海蜘蛛网吧会员版或VIP版（厂家支持较好，功能较多，全中文，带配套ARP和流量工具，便于网吧管理）\r\n      1、带机200台以下\r\n         CPU： P3-1G\r\n         主板：810T或815E（集成显卡）\r\n         内存：256M-PC133\r\n         电子盘：128M高速CF卡+转接卡或电子盘\r\n         网卡：intel82559或3com905B/C\r\n         电源：P3电源（实际功率50W左右）\r\n      2、带机200-500台\r\n         CPU： P4-2.0G\r\n         主板：845G或865G（集成显卡）\r\n         内存：512M-PC400\r\n         电子盘：256M的PQI电子盘\r\n         网卡：intel82559或3com905B/C\r\n         电源：P4电源（实际功率80W左右）\r\n     3、带机500台以上\r\n         CPU： PM-1.73G\r\n         主板：微星9628（915gm芯片组）\r\n         内存：1G-PC533\r\n         电子盘：256M的PQI高速工业级电子盘\r\n         网卡：主板集成3块intel网卡（2块千兆1块百兆）\r\n         电源：P4电源（实际功率80W左右）\r\n         或选用：1U五舟SF6100服务器  http://www.chinaserver.cn/content/evaluating.asp?strid=86\r\n                 1U金品准系统        http://www.it.com.cn/f/server/059/24/177439_2.htm

zolo6

四、软件路由器注意事项：\r\n      \r\n         1、配件要选用全新大厂配件，电源功率大小无所谓，但一定要稳定。\r\n         2、机箱要保证散热良好，CPU风扇最好选用纯铜服务器风扇或AVC原装风扇。\r\n         3、建议调试好后，制作全盘GHO备份，以备有问题后恢复。\r\n         4、每隔一段时间（一两周左右），重启软路由器以释放内存和清空CACHE。

zolo6

端口0\r\n服务Reserved\r\n说明通常用于分析操作系统。这一方法能够工作是因为在一些系统中“0”是无效端口，当你试图使用通常的闭合端口连接它时将产生不同的结果。一种典型的扫描，使用IP地址为0.0.0.0，设置ACK位并在以太网层广播。 \r\n端口1 \r\n服务tcpmux \r\n说明这显示有人在寻找SGI Irix机器。Irix是实现tcpmux的主要提供者，默认情况下tcpmux在这种系统中被打开。Irix机器在发布是含有几个默认的无密码的帐户，如：IP、GUEST UUCP、NUUCP、DEMOS 、TUTOR、DIAG、OUTOFBOX等。许多管理员在安装后忘记删除这些帐户。因此HACKER在INTERNET上搜索tcpmux并利用这些帐户。 \r\n端口7 \r\n服务Echo \r\n说明能看到许多人搜索Fraggle放大器时，发送到X.X.X.0和X.X.X.255的信息。 \r\n端口19 \r\n服务Character Generator \r\n说明这是一种仅仅发送字符的服务。UDP版本将会在收到UDP包后回应含有垃圾字符的包。TCP连接时会发送含有垃圾字符的数据流直到连接关闭。HACKER利用IP欺骗可以发动DoS攻击。伪造两个chargen服务器之间的UDP包。同样Fraggle DoS攻击向目标地址的这个端口广播一个带有伪造受害者IP的数据包，受害者为了回应这些数据而过载。 \r\n端口21 \r\n服务FTP \r\n说明FTP服务器所开放的端口，用于上传、下载。最常见的攻击者用于寻找打开anonymous的FTP服务器的方法。这些服务器带有可读写的目录。木马Doly Trojan、Fore、Invisible FTP、WebEx、WinCrash和Blade Runner所开放的端口。

zolo6

端口22 \r\n服务Ssh \r\n说明PcAnywhere建立的TCP和这一端口的连接可能是为了寻找ssh。这一服务有许多弱点，如果配置成特定的模式，许多使用RSAREF库的版本就会有不少的漏洞存在。 \r\n端口23 \r\n服务Telnet \r\n说明远程登录，入侵者在搜索远程登录UNIX的服务。大多数情况下扫描这一端口是为了找到机器运行的操作系统。还有使用其他技术，入侵者也会找到密码。木马Tiny Telnet Server就开放这个端口。 \r\n端口25 \r\n服务SMTP \r\n说明SMTP服务器所开放的端口，用于发送邮件。入侵者寻找SMTP服务器是为了传递他们的SPAM。入侵者的帐户被关闭，他们需要连接到高带宽的E-MAIL服务器上，将简单的信息传递到不同的地址。木马Antigen、Email Password Sender、Haebu Coceda、Shtrilitz Stealth、WinPC、WinSpy都开放这个端口。 \r\n端口31 \r\n服务MSG Authentication \r\n说明木马Master Paradise、Hackers Paradise开放此端口。 \r\n端口42 \r\n服务WINS Replication \r\n说明WINS复制

zolo6

端口53 \r\n服务Domain Name Server（DNS） \r\n说明DNS服务器所开放的端口，入侵者可能是试图进行区域传递（TCP），欺骗DNS（UDP）或隐藏其他的通信。因此防火墙常常过滤或记录此端口。 \r\n端口67 \r\n服务Bootstrap Protocol Server \r\n说明通过DSL和Cable modem的防火墙常会看见大量发送到广播地址255.255.255.255的数据。这些机器在向DHCP服务器请求一个地址。HACKER常进入它们，分配一个地址把自己作为局部路由器而发起大量中间人（man-in-middle）攻击。客户端向68端口广播请求配置，服务器向67端口广播回应请求。这种回应使用广播是因为客户端还不知道可以发送的IP地址。 \r\n端口69 \r\n服务Trival File Transfer \r\n说明许多服务器与bootp一起提供这项服务，便于从系统下载启动代码。但是它们常常由于错误配置而使入侵者能从系统中窃取任何 文件。它们也可用于系统写入文件。 \r\n端口79 \r\n服务Finger Server \r\n说明入侵者用于获得用户信息，查询操作系统，探测已知的缓冲区溢出错误，回应从自己机器到其他机器Finger扫描。\r\n端口80\r\n服务HTTP\r\n说明用于网页浏览。木马Executor开放此端口。\r\n端口99\r\n服务Metagram Relay\r\n说明后门程序ncx99开放此端口。

zolo6

端口102\r\n服务Message transfer agent(MTA)-X.400 over TCP/IP\r\n说明消息传输代理。\r\n端口109\r\n服务Post Office Protocol -Version3\r\n说明POP3服务器开放此端口，用于接收邮件，客户端访问服务器端的邮件服务。POP3服务有许多公认的弱点。关于用户名和密码交 换缓冲区溢出的弱点至少有20个，这意味着入侵者可以在真正登陆前进入系统。成功登陆后还有其他缓冲区溢出错误。\r\n端口110\r\n服务SUN公司的RPC服务所有端口\r\n说明常见RPC服务有rpc.mountd、NFS、rpc.statd、rpc.csmd、rpc.ttybd、amd等\r\n端口113\r\n服务Authentication Service\r\n说明这是一个许多计算机上运行的协议，用于鉴别TCP连接的用户。使用标准的这种服务可以获得许多计算机的信息。但是它可作为许多服务的记录器，尤其是FTP、POP、IMAP、SMTP和IRC等服务。通常如果有许多客户通过防火墙访问这些服务，将会看到许多这个端口的连接请求。记住，如果阻断这个端口客户端会感觉到在防火墙另一边与E-MAIL服务器的缓慢连接。许多防火墙支持TCP连接的阻断过程中发回RST。这将会停止缓慢的连接。\r\n端口119\r\n服务Network News Transfer Protocol\r\n说明NEWS新闻组传输协议，承载USENET通信。这个端口的连接通常是人们在寻找USENET服务器。多数ISP限制，只有他们的客户才能访问他们的新闻组服务器。打开新闻组服务器将允许发/读任何人的帖子，访问被限制的新闻组服务器，匿名发帖或发送SPAM。\r\n端口135\r\n服务Location Service\r\n说明Microsoft在这个端口运行DCE RPC end-point mapper为它的DCOM服务。这与UNIX 111端口的功能很相似。使用DCOM和RPC的服务利用计算机上的end-point mapper注册它们的位置。远端客户连接到计算机时，它们查找end-point mapper找到服务的位置。HACKER扫描计算机的这个端口是为了找到这个计算机上运行Exchange Server吗？什么版本？还有些DOS攻击直接针对这个端口。