标签: 网络

CNAME值的DNS挟持问题

如果BIND的zone里有a.com和b.com两个域,BIND是a.com的权威服务器,但不是b.com的。用户设置www.a.com这个记录CNAME到www.b.com。在客户端查询www.a.com时,BIND会返回www.a.com和www.b.com的权威应答,显然www.b.com是DNS挟持。那么客户端如何应对?

这个问题我在BIND邮件列表里询问如下:

If BIND is authoritative for zone a, and is not authoritative for zone b, but zone b is configured in BIND’s zone file, and x.zonea.com is CNAME’d to y.zoneb.com.

When DNS client queries to this BIND for x.zonea.com, it gets the authoritative answers for both x.zonea.com and y.zoneb.com, certainly y.zoneb.com is a fake one.

How DNS client handle this case?

来自ISC的Mark回答如下:

It depends on the client and whether the zones are signed or not
and whether the client is validating responses or not.

Stub clients will almost always trust the complete answer.
For iterative clients it depends on their level of paranoia.

named is paranoid. It discards the rest of the response after processing
the CNAME.

如果客户端解析器是BIND,它在处理CNAME时,简单的丢弃掉CNAME值的剩余部分,重新解析CNAME的目的值,从而避免上述问题。

转自http://www.nsbeta.info/archives/294

IP地址已经分配给另一个适配器的解决办法汇总

IP地址已经分配给另一个适配器的解决办法汇总

“您为这个网络适配器输入的IP地址xxx.xxx.xxx.xx已经分配给另一个适配器….”

问题现象:
在网卡的TCP/IP属性中无法添加固定IP地址。
启动WinXP,通过“网上邻居”查看网络连接情况,发现“本地连接”已经正常启用,右键点击“本地连接”选择“属性”,在TCP/IP中添加ISP分配的固定IP及相关数据,当点击“确定”时却出现提示
“您为这个网络适配器输入的IP地址X.X.X.X 已经分配给另一个适配器‘Realtek RTL8139 Family PCI Fast Ethernet NIC’。‘Realtek RTL8139 Family PCI Fast Ethernet NIC’从网络文件夹中隐藏,因为它本身并没有在计算机中存在,或是个不工作的旧适配器。如果相同的地址分配给两个适配器,并且它们都处于活动状态,只有一个会使用这个地址。这会造成不正确的系统配置。你想从高级对话框的IP地址列表输入不同的IP地址给这个适配器吗”,
无论点击“是”或“否”都不能设置成ISP分配给它的固定IP,从而无法通过新网卡连接到Internet。从系统提示来看,“Realtek RTL8139 Family PCI Fast Ethernet NIC”应该是原来机器安装的网卡,固定IP已经和这块网卡捆绑在了一起,而这块网卡已经被替换成了新网卡,却没有释放与之捆绑的IP地址,造成新旧网卡的IP地址冲突。
解决方法一:
1.开始→执行→cmd
2.set devmgr_show_nonpresent_devices=1
3.输入: start devmgmt.msc
4.点选「查看」→「显示隐藏设备」
5.展开“网络适配器”.卸掉半透明的隐藏设备

已不存在的硬件图标将以半透明的方式显示,然后卸载该硬件就可以删除掉其配置信息了。通过此方法,可以解决移除网卡后然后不能设置相同IP地址的问题 (“您为这个网络适配器输入的IP地址 X.X.X.X 已经分配给另一个适配器。它从网络连接文件夹中隐藏,因为它本身并没有在计算机中存在,或是个不工作的旧适配器……”)。

解决方法二:
删除那个错误的注册表MAC设置 
Windows 2000/XP/2003中的修改:同样打开注册表编辑器regedit.exe,HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Class\
把Class下面所有配置错误的设置都删除,当然不知道就看硬件里面自己的网卡型号,里面有并口和其它端口,不要删错了,让你的串口和并口也用不了了哟!

1,定位到注册表HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\PCI
2,寻找出错信息中提到的网卡名称(注意必须确保完全相同)
3,备份网卡所属的注册表,删除其在PCI下的相关键值
4,重启计算机,测试更改IP是否成功
如果您的实际网卡和出错信息中提到的网卡名一样,您可能会误删除正常的网卡,这时需要恢复注册表来逆转操作。如果您在注册表中删除那个键值的时候,提示“无法删除”或者“删除项时出错”,那么请参考下面的步骤排查这一问题:
1,运行devmgmt.msc命令
2,点击查看->显示隐藏的设备
3,在网络适配器下找到故障设备,尝试停用设备然后再删除注册表键值
您也可以尝试手动卸载这一设备。
如果仍然无法成功,请在安全模式内测试一下。
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Tcpip\Parameters\Interfaces
下面每一个文件夹就是一个网卡,找到重复IP的那两个网卡,查处哪一个是真正要用的。
我的方法是改一下现有存在的网卡的子网掩码,再看注册,已经改变的那个就是你真正要用的。
把另一个不存在的网卡地址随便给一个别的,不冲突就行。 现在你就可以随便给这个真正存在网卡配IP 了。

解决:您为这个网络适配器输入的IP地址 已经分配给另一个适配器
有时候更新了网卡驱动,或是删掉本地连接重新获取了驱动生成了“本地连接”会出现不能将原来的ip地址再设置为本地连接的ip地址的问题。
具体表现及解决方法如下:
您为这个网络适配器输入的IP地址xxx.xxx.xxx.xx已经分配给另一个适配器‘xxx NIC’,‘xxx NIC‘从网络和拨号连接文件夹中隐藏,因为它本身并没有在计算机中存在,或是个不工作的旧适配器。如果相同的地址分配给两个适器,并且它们都处于活动状态,只有一个会使用这个地址。这会造成不正确的系统配置。
您想从高级对话框的IP地址列表输入不同的IP地址给这个适配器吗?

方法1:
1.开始→执行→cmd
2.set devmgr_show_nonpresent_devices=1
3.输入: start devmgmt.msc
4.点选「查看」→「显示隐藏设备
5.展開“网络适配器”.卸掉麻烦源头吧!

方法2:
故障原因:Windows 2000/xp会认为不同PCI插槽中的网卡就是不同的网卡,而不管它们实际上是不是同一个;并且,即使网卡虽被拆掉了,但它的相关配置文件却已被Windows 系统记录到注册表中了。所以,在”故障现象”中所遇到的,就相当于是系统认为你现在计算机中安装了两张网卡,而原来一张已绑定了192.168.0.1这个IP地址,再给另一张网卡绑定此IP时自然会有出错提示!

解决方法:打开注册表,查找键值:[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Class],按提示的原来网卡的
信息从class中找到相应的硬件配置信息项删除即可。注意:每一项里面都有相应硬件的描述信息,删除之前请确认不要删错。
注意:如果自己不清楚网卡注册表信息,打开网卡驱动文件夹,在打开驱动文件夹XP安装目录,里面有记事本,信息都在里面,比如8139/810X网卡信息就是{4d36e972-e325-11ce-bfc1-08002be10318},然后在子目录里找到8139网卡的信息,删除即可.

方法3:
故障原因:Windows 2000/xp会认为不同PCI插槽中的网卡就是不同的网卡,而不管它们实际上是不是同一个;
并且,即使网卡虽被拆掉了,但它的相关配置文件却已被Windows 系统记录到注册表中了。
所以,在”故障现象”中所遇到的,就相当于是系统认为你现在计算机中安装了两张网卡,而原来一张已绑定了192.168.50.188这个IP地址,再给另一张网卡绑定此IP时自然会有出错提示!
解决方法:打开注册表,查找键值:[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Class],按提示的原来网卡的信息从class中找到相应的硬件配置信息项删除即可。注意:每一项里面都有相应硬件的描述信息,删除之前请确认不要删错。如果自己不清楚网卡注册表信息,可以打开网卡的属性对话框,根据网卡描述性文字(如是已经删除掉的网卡,可根据修改IP时,提示的对话框中的网卡名)部分文本,在class项下搜索,即可定位到所在网卡配置文件。如果先后使用的网卡厂家、型号均一样,唯一不一样的是各自项的”NetCfgInstanceId”值。
如此情况可通过修改当前网卡的速率或但双工模式,之后在注册表项下刷新,对应的注册表项变化则为当前网卡。比如,先后的网卡都是Realtek的8139D网卡,通过搜索Realtek,有两个注册项。修改当前使用网卡的工作模式为100M全双工,观察到两个类似的网卡注册表项,有一个项下的DUPLEXMODE的值由之前的1改变为5,初步确认此项为当前使用网卡;再次确认,将网卡工作模式恢复至auto自动协商,键值变更为1。此项为当前网卡,相同的另外一项就是以前的陈旧网卡信息,先导出备份,接着,删除。再次修改IP设置,没有了之前的警告窗口了。

方法4:
1.单击开始,指向所有程序、指向附件,然后单击命令提示符。
2.在命令提示符处键入以下命令,然后按 Enter 键: set devmgr_show_nonpresent_devices=1
3.在命令提示符处键入以下命令,然后按 Enter 键(其中,%SystemRoot% 是安装 Windows XP 的文件夹): cd\%SystemRoot%\system32
4.在命令提示符处键入以下命令,然后按 Enter 键: start devmgmt.msc
5.解决设备治理器中设备和驱动程序的问题。 注重:在设备治理器中单击查看菜单上的“显示隐藏的设备”才能看到未连接到计算机的设备。
6.在问题解决之后,关闭设备治理器。
7.在命令提示符处键入 exit。
请注重,关闭命令提示符窗口时,Windows 将清除在第 2 步中设置的 devmgr_show_nonpresent_devices=1 变量,并会阻止在单击“显示隐藏的设备”时显示幻像设备。
网友回复:在设备治理器里钩选“显示隐藏的设备”后看到“网络适配器”中有个灰度显示的旧网卡设备,把它卸载后重启系统,现在本地连接等都恢复正常了

如果上面的方法都不行,可以试一下如下的方法。
——————————–
1.打开注册表(开始/运行,输入regedit);
2.搜索注册表中所有关于“Microsoft TV”的值,并删除;
3.重新启动;
4.手动添加IP地址(原先无法修改IP地址的本地连接现在可以了);
5.添加DNS服务器地址。
6.网络连接成功。

工作组与域

工作组 WorkGroup
  
在一个网络内,可能有成百上千台电脑,如果这些电脑不进行分组,都列在“网上邻居”内,可想而知会有多么乱。为了解决这一问题,Windows9x以上的操作系统引用了“工作组”这个概念,将不同的电脑一般按功能分别列入不同的组中,如财务部的电脑都列入“财务部”工作组中,人事部的电脑都列入“人事部”工作组中。你要访问某个部门的资源,就在“网上邻居”里找到那个部门的工作组名,双击就可以看到那个部门的电脑了。
  
系统默认的工作组名称为WorkGroup,如果你重新创建的工作组,那么就对WorkGroup名称进行修改。计算机名和工作组的长度不能超过15个英文字符,可以输入汉字,但是不能超过7个。“计算机说明”是附加信息,不填也可以,但是最好填上一些这台电脑主人的信息,如“技术部主管”等。单击[确定]按钮后,Windows98提示需要重新启动,按要求重新启动之后,再进入“网上邻居”,就可以看到你所在工作组的成员了。
  
一般来说,同一个工作组内部成员相互交换信息的频率最高,所以你一进入“网上邻居”,首先看到的是你所在工作组的成员。如果要访问其他工作组的成员,需要双击“整个网络”,就会看到网络上所有的工作组,双击工作组名称,就会看到里面的成员。
  
你也可以退出某个工作组,只要将工作组名称改动即可。不过这样在网上别人照样可以访问你的共享资源,只不过换了一个工作组而已。你可以随便加入同一网络上的任何工作组,也可以离开一个工作组。“工作组”就像一个自由加入和退出的俱乐部一样,它本身的作用仅仅是提供一个“房间”,以方便网上计算机共享资源的浏览。
  
域 Domain
  
与工作组的“松散会员制”有所不同,“域”是一个相对严格的组织。“域”指的是服务器控制网络上的计算机能否加入的计算机组合。
  
实行严格的管理对网络安全是非常必要的。在对等网模式下,任何一台电脑只要接入网络,就可以访问共享资源,如共享ISDN上网等。尽管对等网络上的共享文件可以加访问密码,但是非常容易被破解。在由Windows9x构成的对等网中,数据是非常不安全的。
  
在“域”模式下,至少有一台服务器负责每一台联入网络的电脑和用户的验证工作,相当于一个单位的门卫一样,称为“域控制器(DomainController,简写为DC)”。“域控制器”中包含了由这个域的账户、密码、属于这个域的计算机等信息构成的数据库。当电脑联入网络时,域控制器首先要鉴别这台电脑是否是属于这个域的,用户使用的登录账号是否存在、密码是否正确。如果以上信息不正确,域控制器就拒绝这个用户从这台电脑登录。不能登录,用户就不能访问服务器上有权限保护的资源,只能以对等网用户的方式访问Windows共享出来的资源,这样就一定程度上保护了网络上的资源。
 
想把一台电脑加入域,仅仅使它和服务器在“网上邻居”能够相互看到是远远不够的,必须要由网络管理员进行把这台电脑加入域的相关操作。操作过程由服务器端设置和客户端设置构成。
  
1、服务器端设置
  
以系统管理员身份在已经设置好ActiveDirectory(活动目录)的Windows 2000Server上登录,点击“开始/程序/管理工具/ActiveDirectory用户和计算机”,在程序界面中右击“computers”(计算机),在弹出的菜单中单击“新建/计算机”,填入想要加入域的计算机名即可。要加入域的计算机名最好为英文,否则系统会提示中文计算机名可能会引起一些问题。
  
2、客户端设置
  
第一步:登录到系统桌面,鼠标右键点“我的电脑->属性->网络标识”。
第二步:点“属性”按钮,在弹出的窗口中隶属于处从“工作组”选择到“域”。
第三步:在“域”文本处输入你希望加入的域的名称。确定后系统要求你输入域管理员帐号和密码,输入正确后当前计算机就成功加入到域中。

小提示:有的计算机通过上面介绍的方法会显示域DNS错误,遇到这种情况我们只需要在“网络标识”标签点“网络ID”按钮即可,通过配置新的网络ID完成加入域的操作。另外千万要记住加入域时需要输入的是域管理员帐号和密码,普通管理员是不能完成该操作的。

总结:采用域的方式管理资源配置起来相对麻烦,需要专门人员进行管理维护。不过这种资源管理模式在安全性方面得到了大大的提高。这一点是工作组模式远远不及的。一些大型公司网络中多采用这种形式,在共享资源的同时,最大限度的防止隐私的泄露。

TTL值的含义以及域名TTL值的区别

什么是TTL?
TTL是IP协议包中的一个值,指定数据报被路由器丢弃之前允许通过的网段数量。
在很多情况下数据包在一定时间内不能被传递到目的地。解决方法就是在一段时间后丢弃这个包,然后给发送者一个报文,由发送者决定是否要重发。TTL 是由发送主机设置的,以防止数据包不断在 IP 互联网络上永不终止地循环。转发 IP 数据包时,要求路由器至少将 TTL 减小1。当记数到0时,路由器决定丢弃该包,并发送一个ICMP报文给最初的发送者。

TTL值帮助我们大致的识别主机的操作系统类型。
UNIX 及类 UNIX 操作系统 ICMP 回显应答的 TTL 字段值为 255
Compaq Tru64 5.0 ICMP 回显应答的 TTL 字段值为 64
微软 Windows NT/2K操作系统 ICMP 回显应答的 TTL 字段值为 128
微软 Windows 95 操作系统 ICMP 回显应答的 TTL 字段值为 32

特殊情况:
LINUX Kernel 2.2.x & 2.4.x ICMP 回显应答的 TTL 字段值为 64
FreeBSD 4.1, 4.0, 3.4;
Sun Solaris 2.5.1, 2.6, 2.7, 2.8;
OpenBSD 2.6, 2.7,
NetBSD
HP UX 10.20
ICMP 回显应答的 TTL 字段值为 255
Windows 95/98/98SE
Windows ME
ICMP 回显应答的 TTL 字段值为 32
Windows NT4 WRKS
Windows NT4 Server
Windows 2000
Windows XP
ICMP 回显应答的 TTL 字段值为 128

什么是域名的TTL值?
TTL(Time- To-Live),简单的说它表示一条域名解析记录在dns服务器上缓存时间.当各地的dns服务器接受到解析请求时,就会向域名指定的DNS服务器发出解析请求从而获得解析记录;在获得这个记录之后,记录会在DNS服务器中保存一段时间,这段时间内如果再接到这个域名的解析请求,DNS服务器将不再向DNS服务器发出请求,而是直接返回刚才获得的记录;而这个记录在DNS服务器上保留的时间,就是TTL值。

合理设置域名TTL值:
一.增大TTL值,以节约域名解析时间。
通常情况下域名解析记录是很少更改的。我们可以通过增大域名记录的TTL值让记录在各地DNS服务器中缓存的时间加长,这样在更长的时间段内,我们访问这个网站时,本地ISP的DNS服务器就不需要向域名的NS服务器发出解析请求,而直接从本地缓存中返回域名解析记录。
TTL值是以秒为单位的,通常的默认值都是3600,也就是默认缓存1小时。我们可以根据实际需要把TTL值扩大,例如要缓存一天就设置成86400。

二.减小TTL值,减少更换空间时的不可访问时间。
更换域名空间时会对DNS记录进行修改,因为DNS记录缓存的问题,新的域名记录在有的地方可能生效了,但在有的地方可能等上一两天甚至更久才生效,只就导致有部分用户在一段时间内无法不可访问网站了。

那么TTL值到底应该设置成多大呢?
首先向大家介绍一下TTL值设置大一点和设置小一点的区别:较大的TTL值可以减少域名解析时间,加快网站访问速度。较小的TTL值,可以减少在更换空间修改域名解析后,网站不可访问的时间。
所以对于TTL值设置的建议为:网站刚建立的时候设置为半小时或一小时,方便调试及更换空间。等到稳定以后,TTL设置为一天(baidu,google等域名TTL都设置为一天)。

在实际使用中,关于TTL值的经验分享
首先,本人并没有发现TTL=1小时与TTL=1天,网站访问速度有明显区别。
其次,每次修改域名解析A记录后,虽然TTL设置的为1小时或者1天,但一般3-5分钟后域名解析修改就生效了。这种情况的原因可能是,本人所在的本地ISP的DNS服务器并没有完全遵守标准规范。

为了尽可能的减小这个各地的解析时间差,合理的做法是:
1.先查看域名当前的TTL值。
2.修改TTL值为可设定的最小值,建议为60秒。
3.等待一天,保证各地的DNS服务器缓存都过期并更新了记录。
4.设置修改DNS解析到新的记录,这个时候各地的DNS就能以最快的速度更新到新的记录。
5.确认各地的DNS已经更新完成后,再TTL值设置成常用的值(如: TTL=86400)。TTL=60还是太小了点。
这一切都能起作用的前提,是那些DNS服务器完全遵守这些标准和规范,否则NS服务器上怎么设置TTL都是白搭,但目前来看还没发现这么不讲规矩的DNS服务器。

AS自治域

AS自治域:
全球的互联网被分成很多个AS 自治域,每个国家的运营商、机构、甚至公司等都可以申请AS号码,AS号码是有限的,最大数目是65536。各自分配的IP地址被标清楚属于哪个AS号码,在全球互联网上,假如一封email从一个a IP地址发往另外一个b IP地址,这封email必须要知道a IP地址属于的AS号码A到b IP地址属于的AS号码 B如何走,然后就沿着这条路到达目的IP地址。这个过程叫数据包的路由,当然,过程要复杂的多。
在国外,尤其美国,很多公司都有自己的AS号码,也可能有好几个,而国内申请到的AS号码很少,仅是几个运营商持有,不超过30个。在IPv4的互联网时代,我们是弱势的。下面列几个主要的:
中国电信:
AS36678 CTUSA – 中国电信美国公司
AS23724 中国电信IDC
AS4816 广东电信
AS4815 上海电信
AS9394 铁通
AS4847 CNIX-AP China Networks 中国互联网交换中心
AS4808 北京网通
AS4837 网通骨干

win7网关问题

又查了一下win7上不了网的一些问题,我自己还碰到一个,ipconfig后,看到有两个网关,一个是0.0.0.0,一个是正常的网关,我想上不了网的原因应该在这里,网关不对,用下面这些命令修复一下,应该是可以的。也可以看我的上一篇文章《win7上不了网修复工具》和《解决win7多重网络的问题》。

转载一:

微软推出WINDOWS7操作系统后,很多朋友都升级到了WIN7系统,有些原来是由vista升级的。但是在使用中会碰到这样一个问题:每次重启或在使用中,会不定期地提示 “默认网关不可用” 然后就不能连接网络了。使用修复功能或者使用ipconfig /renew(家庭网络)命令可以恢复正常,但是以后还会再次出现,该如何彻底解决这个问题呢? 这个问题在Vista SP2版本中也曾经出现过。解决办法就是修复Winsock。下面来看看具体该怎么做?

修复Winsock命令
第一步:点击左下角的WIN图标,输入CMD然后回车,打开DOS模式窗口。 第二步:在DOS命令行提示符下直接输入:“netsh winsock reset”,然后回车,会提示需要重启,不要管它。 第三步:在DOS命令行提示符下直接输入:“netsh int ip reset reset.log”,然后回车,提示重新启动计算机完成此操作。 第四步:关闭DOS窗口,重新启动计算机,问题解决。

转载二:

试过因为网络故障导致网关失效,即使点了自动获取,你查看的时候或发现网关是浅灰色的默认网关,而不是空白的等着自动获取的在XP里就出现了的,后来重装win7后还是有这问题!自动检查提示“默认网关未打开”,然后在详细信息里提示DHCP未启用在本地连接属性里看到DHCP是启用了的,而且DHCP的两个服务也是自动启动且已启动。协议版本4(TCP/IPV4)里的一切都是自动获取的,未改变,且在高级项里的IP设置里,DHCP也是提示启用了协议版本6(TCP/IPV6)有人说这个开启了IPV4就失效这纯粹没见识的人才说出来的。
这里说下问题的现状:
1、 使用修复功能或者使用ipconfig /renew命令,则提示在释放接口Loopback Pseudo-Interface 1时出错:系统找不到指定的文件;
2、在设置tcp协议时看见自动获取状态也能看见浅色的网关,其他为IP、子网掩码、DNS为空。

解决方法:
首先,在CMD里输入:netsh winsock reset catalog 回车(提示重启暂时不重启,把另一行也输完才重启)
然后,再输入:netsh int ip reset reset.log回车 (提示刷新成功,然后重启即可)

锐捷MAC重复造成无法上网

今天又长见识了,也为那些奸商捏一把汗。最近经常有一些很郁闷的事情,有一些要不是不能认证,要不是上着掉线的,其实最终的原因很简单,MAC地址重复了。学校用的是锐捷的系统,升级3.0版本以后,MAC重复也会在系统上提示无法认证了。但是为什么会MAC重复呢?原因如下:
1、有的同学想借用别人的电脑上网,就改了在操作系统中的MAC地址,导致系统中出现相同的MAC地址。
2、有的同学用的USB网卡,他们大多电脑老,或者是用的上网本。制造USB网卡的公司把许多网卡都生产成一个MAC地址,造成重复,并且MAC固化在网卡里(也可能是驱动不完善),无法修改MAC。(经测试可以通过更改注册表MAC实现,不过还会有一些隐藏问题)

目前的解决办法是在学号前面加两个零来作为MAC地址使用,这样在全校范围内都是唯一的,可以解决这些问题。实际操作情况还会出现用USB网卡的同学的MAC地址无法改变的问题,只能换设备解决了。

原来为什么可以共存呢?我的理解是,原先锐捷的SAM系统是对MAC重复包容的,允许他们认证,而在一个交换机,或者说一个VLAN下,MAC地址相对是唯一的,他们在数据链路层交换的时候,还是可以的。但是新的锐捷系统设定的MAC已经不允许重复了,否则无法认证成功。这也能够解释,有些时候锐捷认证成功而上不了网,一个是网络层的问题(IP),另一个就是数据链路层的问题(MAC)了。

机房小记

今天忙碌了一天,不过学到了许多,见识到了许多。其实,真正也没学到什么,但是明白了些道理,看到了些方向。其实做为一个IT相关人员,或是计算机爱好者,对于计算机的各个方面都喜欢玩一点,觉得不弄点什么自己都不舒服。额,还是写流水账吧。

今天机房很热闹,来了不少人,都是属于工程师的吧。在和他们配合的过程中,理解了一些学校的网络拓扑,一些思考问题的方法。

1、机房要装一个流控设备,发现是基于linux的命令系统,一下子明白了,其实那些服务器,那些东西,简单来说就是一台电脑,只不过是用命令行来控制,然后做指定的一些事情。虽然与我们平常用的windows不太一样,但是其实用过dos、linux的人都明白,其实图形界面就是一个外套而已。同时机房的那些设备有什么web界面什么的,按我自己的理解,大概就是做了个web服务而已,同样是有写好的web程序,跟服务器部署网站差不多,都是一个原理。

2、今天要升级sam系统,也就是锐捷的那个管理平台。搞了半天SQL Server 2005装不上,后来重装windows2003,发现IBM的服务器硬盘找不到,用了普通的03安装盘,找不到阵列,用了winpe,也是不行,最后上了个linux可以看到阵列之后分的区,但是没发用啊,总不能解压一个GHO吧。后来还是在IBM官网找了引导光盘才安装成功。选择的是英文,后来不知道怎么自动变成中文了,汗,可能是中间有选的时候我没看见。

3、装完之后还是无法装好数据库,服务无法启动,好像是提示1483错误,查了一下,原因是服务器CPU为6核的12线程(好像是这样吧,这个真有点晕),05版的只支持二的N次方线程的。汗啊……可以改boot.ini来开少一些线程。

4、发现网络工程师们都通晓路由器、交换机、网关的一些配置,还要懂linux命令,完了还要会些平时用的简单网管命令来测试网络问题。经验是个很重要的部分额。还有就是抓包分析,怎么分析确实不懂,完全不懂,有待提高。

5、用分光的方法分离了光纤上的数据,想要抓这个光纤上的数据怎么办呢?我是想象不到,光纤又不可能直接接出来,况且是核心路由的端口。后来是在那个出来的网关上,做了一个RJ-45口的端口镜像,然后连接到笔记本,就这么解决了……

6、还有一个问题是用数据流来思考的。在路由内部的设备需要在外网访问。具体的线路估计是这样的,入口是教育网,出口是电信。设置的IP是教育网的IP,如果访问的话,需要通过路由做端口映射。我们自己给的教育网的公网IP可以正常访问外网的原因是出口是电信,可以正常的上网,不会有阻碍。

7、配置交换机的时候,vlan要配置在所有经过的交换机上,特别是级联模式之后,不要忘记配置相应vlan。不然会导致认证成功无法上网的故障。

8、多模光纤速度快,还是单模光纤?今天装设备的时候还出现了不匹配的问题,我们就那一条多模光纤,结果是正好要在那个上面分光。单模光纤快,具体的话网上一查一大堆,最高的带宽和速率好像都在改变,可能是在发展中吧,也可能是自己理解错误。

9、关于接入设备的旁路模式和串联模式。
旁路模式通常是指通过交换机等网络设备的“端口镜像”功能来实现监控,选择此模式,设备只需直接连接到交换机的镜像端口即可,网络数据相当于复制了一份分流到一旁的监控设备中,所以形象的称之为“旁路监控模式”;而串联模式一般是将监控设备做为网关或者网桥串联在网络中,所有数据都是流经了监控设备,所以称之为“串联监控模式”。
旁路模式和串联模式各有其优缺点,比较如下:
1.旁路监控模式部署起来比较灵活方便,只需要在交换机上面配置镜像端口即可。不会影响现有的网络结构。而串联模式一般要作为网关或者网桥,所以需要对现有网络结构进行变动。
2.旁路模式分析的是镜像端口拷贝过来的数据,对原始传递的数据包不会造成延时,不会对网速造成任何影响。而串联模式是串联在网络中的,那么所有的数据必须先经过监控系统,通过监控系统的分析检查之后,才能够发送到各个客户端,所以会对网速有一定的延时。
3.旁路监控设备一旦故障或者断电,不会影响现有网络的正常运行。而串联监控设备如果出现故障,会导致网络中断(汉塔上网行为管理系统硬件本身具有bypass功能,如设备突发故障,可采用应急处理方式,直接将设备关机即可,完全不影响网络数据流的传输)。
4. 旁路监控需要交换机支持端口镜像才可以实现监控,而串联监控不需要。
5. 旁路模式采用发送RST包的方式来断开TCP连接,因此无法禁止UDP通讯。而串联模式不存在该问题。
6. 旁路模式不对原始数据包进行处理,故无法分配实时带宽。

总之,今天长见识了,简单记录一下,嘿嘿。

主动FTP vs. 被动FTP 权威解释

目录

  • 开场白
  • 基础
  • 主动FTP
  • 主动FTP的例子
  • 被动FTP
  • 被动FTP的例子
  • 总结
  • 参考资料
  • 附录 1: 配置常见FTP服务器

开场白

处理防火墙和其他网络连接问题时最常见的一个难题是主动FTP与被动FTP的区别以及如何完美地支持它们。幸运地是,本文能够帮助你清除在防火墙环境中如何支持FTP这个问题上的一些混乱。

本文也许不像题目声称的那样是一个权威解释,但我已经听到了很多好的反馈意见,也看到了本文在许多地方被引用,知道了很多人都认为它很有用。虽然我一直在找寻改进的方法,但如果你发现某个地方讲的不够清楚,需要更多的解释,请告诉我!最近的修改是增加了主动FTP和被动FTP会话中命令的例子。这些会话的例子应该对更好地理解问题有所帮助。例子中还提供了非常棒的图例来解释FTP会话过程的步骤。现在,正题开始了… 阅读详细 »