1、园区网的安全技术 江南大学信息化管理中心乐红兵2 常见的网络攻击: 网络攻击手段多种多样,以上是最常见的几种 江南大学信息化管理中心乐红兵3 攻击不可避免 攻击工具体系化 网络攻击原理日趋复杂,但攻击却 变得越来越简单易操作 江南大学信息化管理中心乐红兵4 额外的不安全因素 DMZ E-Mail File Transfer HTTP IntranetIntranet 企业网络 生产部生产部 工程部工程部 市场部市场部 人事部人事部 路由路由 InternetInternet 中继中继 外部个体 外部/组织 内部个体 内部/组织 江南大学信息化管理中心乐红兵5 现有网络安全体制 现有网络安全 防
2、御体制 IDS/IPS 68% 杀毒软件 99% 防火墙 98% ACL 71% 江南大学信息化管理中心乐红兵6 VPN VPN 虚拟专用网虚拟专用网 防火墙 包过滤 防病毒 入侵检测 江南大学信息化管理中心乐红兵7 交换机端口安全 利用交换机的端口安全功能实现 防止局域网大部分的内部攻击对用户、 网络设备造成的破坏,如MAC地址攻击 、ARP攻击、IP/MAC地址欺骗等。 交换机端口安全的基本功能 限制交换机端口的最大连接数 端口的安全地址绑定 江南大学信息化管理中心乐红兵8 交换机端口安全 安全违例产生于以下情况: 如果一个端口被配置为一个安全端口,当其安全地址的数目已经 达到允许的最大个
3、数 如果该端口收到一个源地址不属于端口上的安全地址的包 当安全违例产生时,你可以选择多种方式 来处理违例: Protect:当安全地址个数满后,安全端口将丢弃未知名地址(不 是该端口的安全地址中的任何一个)的包 Restrict:当违例产生时,将发送一个Trap通知 Shutdown:当违例产生时,将关闭端口并发送一个Trap通知 江南大学信息化管理中心乐红兵9 配置安全端口 端口安全最大连接数配置 switchportport-security!打开该接口的端口安全功能 switchportport-securitymaximumvalue!设置接 口上安全地址的最大个数,范围是1128,缺
4、省值为128 switchportport-securityviolationprotect|restrict|shutdown !设置处理违例的方式 注意: 1、端口安全功能只能在access端口上进行配置。 2、当端口因为违例而被关闭后,在全局配置模式下使用命令 errdisablerecoverycauseall来将接口从错误状态中恢复过来 。 江南大学信息化管理中心乐红兵10 配置安全端口 端口的安全地址绑定 switchportport-security!打开该接口的 端口安全功能 switchportport-securitymac-addressmac-address !手工配置
5、接口上的安全地址 注意: 1、端口安全功能只能在access端口上进行配置 江南大学信息化管理中心乐红兵11 案例(一) 下面的例子是配置接口gigabitethernet1/3上的端口安全 功能,设置最大地址个数为8,设置违例方式为protect Switch#configureterminal Switch(config)#interfacegigabitethernet1/3 Switch(config-if)#switchportmodeaccess Switch(config-if)#switchportport-security Switch(config-if)#switchpo
6、rtport-security maximum8 Switch(config-if)#switchportport-securityviolation protect Switch(config-if)#end 江南大学信息化管理中心乐红兵12 案例(二) 下面的例子是配置接口fastethernet0/3上的端口安 全功能,配置端口绑定地址,主机MAC为 00d0.f800.073c Switch#configureterminal Switch(config)#interfacefastethernet0/3 Switch(config-if)#switchportmodeaccess S
7、witch(config-if)#switchportport-security Switch(config-if)#switchportport-securitymac- address00d0.f800.073c Switch(config-if)#end 江南大学信息化管理中心乐红兵13 查看配置信息 查看所有接口的安全统计信息,包括最大安 全地址数,当前安全地址数以及违例处理方 式等 Switch#showport-securitySwitch#showport-security SecurePortMaxSecureAddrCurrentAddrSecurityAction - Gi
8、1/381Protect 江南大学信息化管理中心乐红兵14 查看配置信息 查看安全地址信息 Switch#showport-securityaddressSwitch#showport-securityaddress SecureMacAddressTable - VlanMacAddressTypePortsRemainingAge (mins) - 1001b.000c.0123SecureConfiguredGi2/2- - TotalAddressesinSystem(excludingonemacperport):0 MaxAddresseslimitinSystem(excludi
9、ngonemacperport):3072 江南大学信息化管理中心乐红兵15 什么是访问列表 IPAccess-list:IP访问列表或访问控制列 表,简称IPACL ACL就是对经过网络设备的数据包根据一定的规则进 行数据包的过滤 ISP 江南大学信息化管理中心乐红兵16 访问列表 访问控制列表的作用: 内网布署安全策略,保证内网安全权限的资源 访问 内网访问外网时,进行安全的数据过滤 防止常见病毒、木马、攻击对用户的破坏 江南大学信息化管理中心乐红兵17 访问列表的组成 定义访问列表的步骤 第一步,定义规则(哪些数据允许通过,哪些 数据不允许通过) 第二步,将规则应用在路由器(或交换机)的
10、 接口上 访问控制列表规则的分类: 1、标准访问控制列表 2、扩展访问控制列表 江南大学信息化管理中心乐红兵18 访问列表规则的应用 路由器应用访问列表对流经接口的数据包进行控制 1.入栈应用(in) 经某接口进入设备内部的数据包进行安全规则过滤 2.出栈应用(out) 设备从某接口向外发送数据时进行安全规则过滤 一个接口在一个方向只能应用一组访问控制列表 F1/0F1/0F1/1F1/1 ININ OUTOUT 江南大学信息化管理中心乐红兵19 访问列表的入栈应用 N Y 是否允许 ? Y 是否应用 访问列表 ? N 查找路由表 进行选路转发 以以ICMPICMP信息通知源发送方信息通知源发
11、送方 江南大学信息化管理中心乐红兵20 以以ICMPICMP信息通知源发送方信息通知源发送方 N Y 选择出口 S0 路由表中是 否存在记录 ? N Y 查看访问列表 的陈述 是否允许 ? Y 是否应用 访问列表 ? N S0 S0 访问列表的出栈应用 江南大学信息化管理中心乐红兵21 IPACL的基本准则 一切未被允许的就是禁止的 定义访问控制列表规则时,最终的缺省规则是拒 绝所有数据包通过 按规则链来进行匹配 使用源地址、目的地址、源端口、目的端口、协 议、时间段进行匹配 规则匹配原则 从头到尾,至顶向下的匹配方式 匹配成功马上停止 立刻使用该规则的“允许/拒绝” 江南大学信息化管理中心乐
12、红兵22 Y 拒绝 Y 是否匹配 规则条件1 ? 允许 N 拒绝 允许 是否匹配 规则条件2 ? 拒绝 是否匹配 最后一个 条件 ? YY N YY 允许 隐含拒绝 N 一个访问列表多条过滤规则 江南大学信息化管理中心乐红兵23 访问列表规则的定义 标准访问列表 根据数据包源IP地址进行规则定义 扩展访问列表 根据数据包中源IP、目的IP、源端口、目的端 口、协议进行规则定义 江南大学信息化管理中心乐红兵24 源地址 TCP/UDP 数据IPeg.HDLC 1-99 号列表 IP标准访问列表 江南大学信息化管理中心乐红兵25 目的地址 源地址 协议 端口号 IP扩展访问列表 TCP/UDP 数
13、据IPeg.HDLC 100-199 号列表 江南大学信息化管理中心乐红兵26 0表示检查相应的地 址比特 1表示不检查相应的 地址比特 00111111 1286432168421 00000000 00001111 11111111 反掩码(通配符) 江南大学信息化管理中心乐红兵27 IP标准访问列表的配置 1.定义标准ACL 编号的标准访问列表 Router(config)#access-listpermit|deny源地 址反掩码 命名的标准访问列表 switch(config)#ipaccess-liststandard switch(config-std-nacl)#permit|
14、deny源地址反掩码 2.应用ACL到接口 Router(config-if)#ipaccess-groupin|out 江南大学信息化管理中心乐红兵28 172.16.3.0 172.16.4.0 F1/0 S1/2 F1/1 172.17.0.0 IP标准访问列表配置实例(一) 配置: access-list1permit172.16.3.00.0.0.255 (access-list1denyany) interfaceserial1/2 ipaccess-group1out 江南大学信息化管理中心乐红兵29 标准访问列表配置实例(二) 需求: 你是某校园网管,领导要你对网络的数据流量进
15、 行控制,要求校长可以访问财务的主机,但教师机 不可以访问。 配置: ipaccess-liststandardabc permithost192.168.2.8 deny192.168.2.00.0.0.255 财务 192.168.1.0 教师 192.168.2.0 192.168.2.8 F0/1 F0/2 F0/5F0/6 F0/8 F0/9 F0/10 校长 江南大学信息化管理中心乐红兵30 IP扩展访问列表的配置 1.定义扩展的ACL 编号的扩展ACL Router(config)#access-listpermit/deny 协议源地址反掩码源端口目的地址反掩码目的端 口 命名
16、的扩展ACL ipaccess-listextendednamepermit/deny协议 源地址反掩码源端口目的地址反掩码目的端口 2.应用ACL到接口 Router(config-if)#ipaccess-group in|out 江南大学信息化管理中心乐红兵31 IP扩展访问列表配置实例(一) 如何创建一条扩展ACL 该ACL有一条ACE,用于允许指定网络( 192.168.x.x)的所有主机以HTTP访问服务器 172.168.12.3,但拒绝其它所有主机使用网络 Router(config)#access-list103permittcp 192.168.0.00.0.255.255
17、host172.168.12.3eqwww Router#showaccess-lists103 江南大学信息化管理中心乐红兵32 access-list115denyudpanyanyeq69 access-list115denytcpanyanyeq135 access-list115denyudpanyanyeq135 access-list115denyudpanyanyeq137 access-list115denyudpanyanyeq138 access-list115denytcpanyanyeq139 access-list115denyudpanyanyeq139 acce
18、ss-list115denytcpanyanyeq445 access-list115denytcpanyanyeq593 access-list115denytcpanyanyeq4444 access-list115permitipanyany interface ipaccess-group115in ipaccess-group115out IP扩展访问列表配置实例(二) 利用利用ACLACL隔离冲击波病毒隔离冲击波病毒 江南大学信息化管理中心乐红兵33 访问列表的验证 显示全部的访问列表 Router#showaccess-lists 显示指定的访问列表 Router#showacc
19、ess-lists 显示接口的访问列表应用 Router#showipinterface接口名称接口编号 江南大学信息化管理中心乐红兵34 IP访问列表配置注意事项 1、一个端口在一个方向上只能应用一组ACL 2、访问列表的缺省规则是:拒绝所有 江南大学信息化管理中心乐红兵35 实验拓扑 工作目标 在路由器B上配置基于IP的ACL,使192.168.1.0/24网 络中的主机无法访问FTP服务器的FTP服务。 F0/2F1/1F1/0 FTP服务器 192.168.1.2 192.168.4.2 192.168.2.1 192.168.2.2 192.168.3.1 192.168.3.2 B
20、 3760 VLAN2 VALN3 江南大学信息化管理中心乐红兵36 IPACL 注意事项: 1、访问控制列表只对穿越流量起作用 2、标准列表要应用在靠近目标端 3、扩展访问控制列表要应用在靠近源端 4、放置的顺序 5、隐含的拒绝所有 6、列表的编辑 7、列表的调用 8、使用ACL限制远程登录 9、配置ACL时,小心不要拒绝了路由协议 故障排除 江南大学信息化管理中心乐红兵38 计算机网络故障 当网络遭遇故障时,最困难的不是修复网络故障 本身,而是如何迅速地查出故障所在,并确定发 生的原因。对于网络管理员来说,首先要有一个 清晰的排障思路,另外,经验也是非常重要的。 网络故障诊断以网络原理、网
21、络配置和网络运行 的知识为基础,从故障的实际现象出发,以网络 诊断工具为手段获取诊断信息,沿着OSI七层模 型从物理层开始依次向上进行,逐步确定网络故 障点,查找问题的根源,排除故障,恢复网络的 正常运行。 江南大学信息化管理中心乐红兵39 网络故障分层排除法 OSI的层次结构为管理员分析和排查故障提供了非常好的 组织方式。由于各层相对独立,按层排查能够有效地发现和 隔离故障,因而一般使用逐层分析和排查的方法。 通常有两种逐层排查方式: 是从低层开始排查,适用于物理网络不够成熟稳定的情况,如组建新的 网络、重新调整网络线缆、增加新的网络设备; 是从高层开始排查,适用于物理网络相对成熟稳定的情况
22、,如硬件设备 没有变动。 在实际应用中往往采用折衷的方式,凡是涉及到网络通 信的应用出了问题,直接从位于中间的网络层开始排查,首 先测试网络连通性,如果网络不能连通,再从物理层(测试 线路)开始排查;如果网络能够连通,再从应用层(测试应 用程序本身)开始排查。 江南大学信息化管理中心乐红兵40 网络故障分层排除法 物理层:采用替换法或专门的线缆测试仪,没有测试仪的可 通过网络设备(网卡、交换机等)信号灯进行简单的目测。 数据链路层:相对于其他的协议层,数据链路层出现问题的 可能性不大,对于TCP/IP网络,可以使用简单的arp命令来检 查MAC地址(物理地址)和IP地址之间的映射问题。 网络层
23、和传输层是最容易出现问题的两层,路由配置容易出 现错误,可通过route命令来测试路由路径是否正确,也可使 用ping命令来测试连通性。对于复杂的问题,也可以通过专门 的协议分析器(如微软提供的网络监视器),专业的协议分析 软件snifferpro等,这些协议分析器具有很强的检测和排查能 力,能够分析链路层及其以上层次的数据通信。 应用层的问题,则需要对程序进行检查,或检查有没有什么 其他程序影响到应用层本身工作。 江南大学信息化管理中心乐红兵41 网络故障排除步骤 第一步:全面收集信息,并分析故障现象 全面了解故障的情况,并详细询问相关细节,可以请故障发生时 操作人员描述正常运行时的情况,如
24、果有可能的话,亲自去验证一下 所出现的问题。看是否有正常的功能不见了,还是有异常的反应?检 查一下在故障发生之前是否对该节点或是网络进行了改动。 第二步:定位故障范围 通过第一步全面的收集的信息分析,可以将故障范围缩小到一个 网段或节点。基于所作的分析,判断故障是否与一个网段有关,还是 局限于一个节点。缩小故障范围是解决的开始。 例如当某台计算机发生无法上网的故障时,管理员可以询问其他用 户是否也同样出现了这一问题,如果所有的用户都出现这一现象,则 说明故障不在用户网络这端,在出口网络设备或其他设备上。 江南大学信息化管理中心乐红兵42 网络故障排除步骤 第三步:故障隔离 如果故障影响整个网段
25、,那么就通过减少可能的故障源来隔离故障。除两个节 点外断开其它所有的节点。如果这两个节点能正常通讯,再增加其它节点。如这两 个节点不能通讯,就要对物理层的有关部分,如电缆的接头、电缆本身或与它们相 连的Hub和网卡等进行检查。 如果故障能被隔离至一个节点,可以更换网卡,使用好的网卡驱动程序(绝不能使 用该节点现有的网络软件或配置文件),或是用一条新的电缆与网络相连。如果网 络的连接没有问题,那么检查一下是否只是某一个应用有问题。使用相同的驱动器 或是文件系统运行其它的应用程序。与其它节点比较配置情况,试用应用程序(同 样不要使用现有的软件或配置文件) 如果只是一名用户出现使用问题,检查涉及该节
26、点的网络安全系统。检查是否 对网络的安全系统进行了改变以致影响该用户。是否删除了与该用户安全等级相同 的其他用户?该用户是否被网络中的一个安全组所删除?是否某项应用被移到网络 中的其它部分?是否改变了系统的注册方法或是改变了该用户的注册方法?比较该 用户与其他执行相同任务的用户。 江南大学信息化管理中心乐红兵43 网络故障排除步骤 第四步:排除故障 一旦确定了故障源,那么识别故障类型是比较容易的。对于网络硬件 设备来说,最方便的措施就是简单地更换,对损坏部分的维修可以以 后再进行。记住:“尽可能迅速地恢复网络的所有功能是故障诊断目的 。” 有两种办法可以解决软件故障。第一种是,重新安装有问题的
27、软件, 删除可能有问题的文件并且确保你拥有全部所需的文件。这也是保证 第二种方法得以顺利实施的好办法,即对软件进行重新的设置。如果 问题是单一用户的问题,通常最简单的方法是整个删除该用户然后从 头开始,或是重复必要的步骤,使该用户重新获得原来有问题的应用 。比无目标地进行检查,逻辑有序地执行这些步骤可以更快速地找到 问题。 第五步:检验故障是否被排除 请操作人员测试一下故障是否依然存在,这可以确保是否整个故障 都已被排除。只是简要地请用户按正常方法操作有关网络设备即可,同 时请用户快速地执行其它几种正常操作。有时解决一个地方的问题会引 出别处的问题;有时问题是解决了,但可能会掩盖其它故障。 江
28、南大学信息化管理中心乐红兵44 低层故障的一般处理过程 检查网络连接 查看是否获取正确ip地址是否正常 是 当前状态 否 本地连接受限 是否使用HUB连接是否使用HUB连接 是否使用 是否使用 是否获取 本地连接断开 是 是否能够ping通网关 是否ping通 是 网络正常 可能IE损坏 Dns故障 否 ARP病毒 否 设置为自 动获取ip 地址 检查连接状态 是 HUB停电或损坏 否 交换机停电 网线出问题 网卡出问题 是 去除HUB 重新检查 禁用、启动 本地连接 否 江南大学信息化管理中心乐红兵45 (1)排除网线和HUB故障 查看网卡指示灯、HUB指示灯。 检查网线是否插好。重插后指示
29、灯仍不亮,用网线测线仪 测双绞线两端,看通否。若不通,换一根双绞线试一下。否 则有可能是网卡或HUB端口问题。 检查RJ-45接头。RJ-45接头容易出现故障,例如网线没有 与RJ-45接头良好接触,网线未按照标准脚位压入接头,接头 规格不符或者网线内部的绞线断了。接头的镀金层也很重要, 镀金层太薄不耐用,多次插拔后就会把镀金层磨掉,也就容 易发生断线。 若部分计算机的网络功能同时失效,则有可能是连接这些 计算机的HUB出现故障。HUB上的RJ-45插槽一般都有相对 应的指示灯,观察HUB的各个指示灯状态,若某一插槽在连接 计算机之后,指示灯却不亮,这个插槽可能就有问题了。如 换一个插槽指示灯
30、仍不亮,则可能是插槽接出去的网线出了故 障,只能更换。 江南大学信息化管理中心乐红兵46 (2)排除网卡故障 检查网卡设置。如果怀疑网卡设置有问题,可以用网卡 附带的软件检测当前的设置,再检查系统设置是否与其相 符,检查网卡设置的IRQ或I/O端口地址等参数。如果有问 题,重新设置就能解决。 检查一下网卡驱动程序,若有误重新安装正确的即可。 网卡硬件故障可以通过指示灯观察。网卡通常有两个指 示灯,即“连接指示灯”和“数据传输指示灯”。正常情况下“连 接指示灯”应一直亮,而“数据传输指示灯”在数据传输时应 不停闪烁。若“连接指示灯”不亮,应考虑连接故障,即网卡 自身是否工作正常,安装是否正确。若
31、网卡损坏只能更换。 江南大学信息化管理中心乐红兵47 (3)排除交换机故障 交换机是现在局域网的主要接入设备,也经常会出现各式各样的故障 。一般分为交换机硬件故障和交换机软件故障。交换机的硬件故障一般 为交换机电源、背板、模块、端口等部件的故障。 检查电源故障。如果面板上的POWER指示灯是绿色的,表明正常; 如果指示灯不亮,则说明交换机没有正常供电。外部供电不稳、电路老 化或雷击等都能造成交换机电源损坏。 检查端口故障。这是比较常见的故障,无论是光纤端口还是双绞线的 RJ-45端口,在插拔时都要注意,以免弄坏端口。带电插拔接头也增加 了端口故障发生率。接在端口上的双绞线要避免暴露在室外,以免
32、被雷 电击中,导致端口损坏。遇到此类故障,可以关闭电源后用酒精棉球清 洗端口。如果端口损坏严重那就只能更换端口了。 检查模块故障。交换机是由许多模块组成的,比如:堆叠模块、管理模 块、扩展模块等。这些模块在插拔时,或者搬运时受到碰撞,或者电源不 稳定时都可能出现故障。模块出现故障只能更换。 检查背板故障。交换机各个模块都是接插在背板上的。如果环境潮湿 ,电路板受潮短路,或者元器件因高温、雷击等因素而受损都会造成电 路板不能正常工作。在外部电源正常供电的情况下,如果交换机的各个 内部模块都不能正常工作,那就应该是背板坏了。背板坏了唯一的办法 就是更换。 江南大学信息化管理中心乐红兵48 (4)排
33、除光纤故障 分析故障。光纤如果有断点,通信就无法正常 工作。 诊断故障。对光纤进行线路检测的方式有仪器 测试和手工测试两种。由于检测线路的仪器设备 价格昂贵,所以一般都用手工测试的方法。 检测光纤。在线路不通时,采用电筒照明的方 法,即在光纤的一端用电筒对准光纤头部照亮, 在另一端看光纤头部是否有亮点。如果有亮点, 说明光纤通信正常;反之则说明光纤有断点,需 要更换。 江南大学信息化管理中心乐红兵49 常用网络命令 Ping Ipconfig Arp Route Tracert Netstat nslookup 江南大学信息化管理中心乐红兵50 Ping命令的使用技巧 Ping是用于确定本地主
34、机是否能与另一台 主机交换(发送与接收)数据报。根据返 回的信息,可以推断TCP/IP参数是否设置 得正确以及运行是否正常。 按照缺省设置,Windows上运行的Ping命 令发送4个ICMP(因特网控制报文协议) 回送请求,每个32字节字节数据,如果一切正 常,应能得到4个回送应答。 江南大学信息化管理中心乐红兵51 Ping命令的使用技巧 如果应答时间短,表示数据报不必通过太多的路 由器或网络连接速度比较快。 Ping还能显示TTL(TimeToLive存在时间)值, 可以通过TTL值推算一下数据包已经通过了多少 个路由器:源地点TTL起始值(就是比返回TTL略 大的一个2的乘方数)-返回
35、时TTL值。 例如,返回TTL值为119,可以推算数据报离开源 地址的TTL起始值为128,而源地点到目标地点要 通过9个路由器网段(128-119);如果返回TTL 值为246,TTL起始值就是256,源地点到目标地 点要通过9个路由器网段。 江南大学信息化管理中心乐红兵52 Ping命令的使用技巧 1、通过Ping检测网络故障的典型次序 正常情况下,使用Ping命令来查找问题所 在或检验网络运行情况时,需要使用许多 Ping命令,如果所有都运行正确,就可以 相信基本的连通性和配置参数没有问题; 如果某些Ping命令出现运行故障,它也可 以指明到何处去查找问题。下面就给出一 个典型的检测次序
36、及对应的可能故障: 江南大学信息化管理中心乐红兵53 Ping命令的使用技巧 ping127.0.0.1 这个Ping命令被送到本地计算机的IP软件,该命令永不 退出该计算机。如果没有做到这一点,就表示TCP/IP 的安装或运行存在某些最基本的问题。 江南大学信息化管理中心乐红兵54 Ping命令的使用技巧 ping本机IP 这个命令被送到我们计算机所配置的IP地址, 我们的计算机始终都应该对该Ping命令作出应 答。如果没有,则表示本地配置或安装存在问 题。出现此问题时,局域网用户请断开网络电 缆,然后重新发送该命令。如果网线断开后本 命令正确,则表示另一台计算机可能配置了相 同的IP地址。
37、 江南大学信息化管理中心乐红兵55 Ping命令的使用技巧 ping局域网内其他IP 这个命令应该离开我们的计算机,经过网卡及 网络电缆到达其他计算机,再返回。收到回送 应答表明本地网络中的网卡和载体运行正确。 但如果收到0个回送应答,那么表示子网掩码 不正确或网卡配置错误或电缆系统有问题。 江南大学信息化管理中心乐红兵56 Ping命令的使用技巧 ping网关IP 这个命令如果应答正确,表示局域网中的网关路由器 正在运行并能够作出应答。 ping远程IP 如果收到4个应答,表示成功的使用了缺省网关。对于 拨号上网用户则表示能够成功的访问Internet(但不排 除ISP的DNS会有问题)。
38、pinglocalhost localhost是个作系统的网络保留名,它是127.0.0.1的 别名,每台计算机都应该能够将该名字转换成该地址 。如果没有做到这一点,则表示主机文件( /Windows/host)中存在问题。 江南大学信息化管理中心乐红兵57 Ping命令的使用技巧 (如天 极网) 对这个域名执行P地址,通常 是通过DNS服务器。如果这里出现故障,则表 示DNS服务器的IP地址配置不正确或DNS服务 器有故障(对于拨号上网用户,某些ISP已经 不需要设置DNS服务器了)。顺便说一句:我 们也可以利用该命令实现域名对IP地址的转换 功能。 江南大学信息化管理中心乐红兵58 Pin
39、g命令的使用技巧 2、Ping命令的常用参数选项 pingIP-t 连续对IP地址执行Ping命令,直到被用户以 Ctrl+C中断。 pingIP-l3000 指定Ping命令中的数据长度为3000字节,而 不是缺省的32字节。 pingIP-nC 执行特定次数的Ping命令。 江南大学信息化管理中心乐红兵59 Ping命令的使用技巧 江南大学信息化管理中心乐红兵60 IPConfig命令的使用技巧 IPConfig实用程序和它的等价图形用户界面- Windows95/98中的WinIPCfg可用于显示当前的 TCP/IP配置的设置值。这些信息一般用来检验人 工配置的TCP/IP设置是否正确。
40、但是,如果计算 机和所在的局域网使用了动态主机配置协议( DHCP),这个程序所显示的信息也许更加实用 。这时,IPConfig可以让我们了解自己的计算机 是否成功的租用到一个IP地址,如果租用到则可 以了解它目前分配到的是什么地址。了解计算机 当前的IP地址、子网掩码和缺省网关实际上是进 行测试和故障分析的必要项目。 江南大学信息化管理中心乐红兵61 IPConfig命令的使用技巧 1、IPConfig最常用的选项 ipconfig 当使用IPConfig时不带任何参数选项,那么它为每个 已经配置了的接口显示IP地址、子网掩码和缺省网关 值。 ipconfig/all 当使用all选项时,I
41、PConfig能为DNS和WINS服务器 显示它已配置且所要使用的附加信息(如IP地址等) ,并且显示内置于本地网卡中的物理地址(MAC)。 如果IP地址是从DHCP服务器租用的,IPConfig将显 示DHCP服务器的IP地址和租用地址预计失效的日期 。 江南大学信息化管理中心乐红兵62 IPConfig命令的使用技巧 ipconfig/release和ipconfig/renew 这是两个附加选项,只能在向DHCP服务器租 用其IP地址的计算机上起作用。如果我们输入 ipconfig/release,那么所有接口的租用IP地址 便重新交付给DHCP服务器(归还IP地址)。 如果我们输入ip
42、config/renew,那么本地计算 机便设法与DHCP服务器取得联系,并租用一 个IP地址。请注意,大多数情况下网卡将被重 新赋予和以前所赋予的相同的IP地址。 江南大学信息化管理中心乐红兵63 ARP的使用技巧 ARP是一个重要的TCP/IP协议,并且用于 确定对应IP地址的网卡物理地址。使用arp 命令,能查看本地计算机或另一台计算机 的ARP高速缓存中的当前内容。此外,使 用arp命令,也可以用人工方式输入静态的 网卡物理/IP地址对,我们可能会使用这种 方式为缺省网关和本地服务器等常用主机 进行这项作,有助于减少网络上的信息量 。 江南大学信息化管理中心乐红兵64 ARP的使用技巧
43、 按照缺省设置,ARP高速缓存中的项目是动态的,每当发 送一个指定地点的数据报,且高速缓存中不存在当前项目 时,ARP便会自动添加该项目。一旦高速缓存的项目被输 入,它们就已经开始走向失效状态。例如,在Windows NT/2000网络中,如果输入项目后不进一步使用,物理/IP 地址对就会在2至10分钟内失效。因此,如果ARP高速缓 存中项目很少或根本没有时,请不要奇怪,通过另一台计 算机或路由器的ping命令即可添加。所以,需要通过arp 命令查看高速缓存中的内容时,请最好先ping此台计算机 (不能是本机发送ping命令)。 江南大学信息化管理中心乐红兵65 ARP的使用技巧 ARP常用命
44、令选项: arp-a或arp-g 用于查看高速缓存中的所有项目。-a和-g参数的结果是 一样的,多年来-g一直是UNIX平台上用来显示ARP高 速缓存中所有项目的选项,而Windows用的是arp-a( -a可被视为all,即全部的意思),但它也可以接受比较 传统的-g选项。 arp-aIP 如果我们有多个网卡,那么使用arp-a加上接口的IP地 址,就可以只显示与该接口相关的ARP缓存项目。 江南大学信息化管理中心乐红兵66 ARP的使用技巧 arp-sIP物理地址 我们可以向ARP高速缓存中人工输入一个静态 项目。该项目在计算机引导过程中将保持有效 状态,或者在出现错误时,人工配置的物理地
45、 址将自动更新该项目。 arp-dIP 使用本命令能够人工删除一个静态项目。 江南大学信息化管理中心乐红兵67 Tracert、Route的使用技巧 1、Tracert的使用技巧 如果有网络连通性问题,可以使用tracert命令来检查到 达的目标IP地址的路径并记录结果。 tracert命令显示用于将数据包从计算机传递到目标位置 的一组IP路由器,以及每个跃点所需的时间。 如果数据包不能传递到目标,tracert命令将显示成功转 发数据包的最后一个路由器。 当数据报从某计算机经过多个网关传送到目的地时, tracert命令可以用来跟踪数据报使用的路由(路径)。 跟踪的路径是源计算机到目的地的一
46、条路径,不能保证 或认为数据报总遵循这个路径。 江南大学信息化管理中心乐红兵68 Tracert的使用技巧 如果我们的配置使用DNS,那么我们常常 会从所产生的应答中得到城市、地址和常 见通信公司的名字。tracert是一个运行得比 较慢的命令(如果我们指定的目标地址比 较远),每个路由器我们大约需要给它15 秒钟。 tracert的使用很简单,只需要在tracert后面 跟一个IP地址或URL,tracert会进行相应的 域名转换的。 江南大学信息化管理中心乐红兵69 Tracert的使用技巧 tracert最常见的用法: tracertIPaddress-d该命令返回到达IP地址所经过 的
47、路由器列表。通过使用-d选项,将更快地显示路由 器路径,因为tracert不会尝试解析路径中路由器的名 称。 tracert一般用来检测故障的位置,我们可以用 tracertIP在哪个环节上出了问题,虽然还是没有 确定是什么问题,但它已经告诉了我们问题所在 的地方,我们也就可以很有把握的告诉别人-某 某地方出了问题。 江南大学信息化管理中心乐红兵70 Route的使用技巧 大多数主机一般都是驻留在只连接一台路由器的网段上。 不存在使用哪一台路由器将数据报发到远程计算机上去的 问题,该路由器的IP地址可作为该网段上所有计算机的缺 省网关来输入。 当网络上拥有两个或多个路由器时,我们就不一定想只依
48、 赖缺省网关了。想让某些远程IP地址通过某个特定的路由 器来传递,而其他的远程IP则通过另一个路由器来传递。 此时,需要相应的路由信息,这些信息储存在路由表中, 每个主机和每个路由器都配有自己独一无二的路由表。大 多数路由器使用专门的路由协议来交换和动态更新路由器 之间的路由表。但在有些情况下,必须人工将项目添加到 路由器和主机上的路由表中。 Route就是用来显示、人工添加和修改路由表项目的。 江南大学信息化管理中心乐红兵71 Route的使用技巧 一般使用选项: routeprint 本命令用于显示路由表中的当前项目,在单路由器网段上的输出; 由于用IP地址配置了网卡,因此所有的这些项目都
49、是自动添加的。 routeadd 使用本命令,可以将路由项目添加给路由表。 例如,如果要设定一个到目的网络209.98.32.33的路由,其间要经过 5个路由器网段,首先要经过本地网络上的一个路由器IP为 202.96.123.5,子网掩码为255.255.255.224,那么我们应该输入以 下命令: routeadd209.98.32.33mask255.255.255.224202.96.123.5metric5 江南大学信息化管理中心乐红兵72 Route的使用技巧 routechange 我们可以使用本命令来修改数据的传输路由,不过, 我们不能使用本命令来改变数据的目的地。下面这个 例
50、子可以将数据的路由改到另一个路由器,它采用一 条包含3个网段的更直的路径: routeadd209.98.32.33mask255.255.255.224 202.96.123.250metric3 routedelete 使用本命令可以从路由表中删除路由。例如:route delete209.98.32.33 江南大学信息化管理中心乐红兵73 Netstat命令的使用技巧 Netstat用于显示与IP、TCP、UDP和ICMP协议 相关的统计数据,一般用于检验本机各端口的网 络连接情况。 如果我们的计算机有时候接收到的数据报会导致 出错数据删除或故障,TCP/IP可以容许这些类型 的错误,并
