技能培训专题 网管人员的培训.ppt

园区网的安全技术,江南大学信息化管理中心 乐红兵,2,常见的网络攻击：,网络攻击手段多种多样，以上是最常见的几种,江南大学信息化管理中心 乐红兵,3,攻击不可避免,攻击工具体系化,网络攻击原理日趋复杂，但攻击却变得越来越简单易操作,江南大学信息化管理中心 乐红兵,4,额外的不安全因素,DMZ E-Mail File Transfer HTTP,Intranet,企业网络,生产部,工程部,市场部,人事部,路由,Internet,中继,外部个体,外部/组织,内部个体,内部/组织,江南大学信息化管理中心 乐红兵,5,现有网络安全体制,江南大学信息化管理中心 乐红兵,6,VPN 虚拟专用网,防火墙,包过滤,防病毒,入侵检测,江南大学信息化管理中心 乐红兵,7,交换机端口安全,利用交换机的端口安全功能实现 防止局域网大部分的内部攻击对用户、网络设备造成的破坏，如MAC地址攻击、ARP攻击、IP/MAC地址欺骗等。 交换机端口安全的基本功能 限制交换机端口的最大连接数 端口的安全地址绑定,江南大学信息化管理中心 乐红兵,8,交换机端口安全,安全违例产生于以下情况： 如果一个端口被配置为一个安全端口，当其安全地址的数目已经达到允许的最大个数 如果该端口收到一个源地址不属于端口上的安全地址的包 当安全违例产生时，你可以选择多种方式来处理违例： Protect：当安全地址个数满后，安全端口将丢弃未知名地址（不是该端口的安全地址中的任何一个）的包 Restrict：当违例产生时，将发送一个Trap通知 Shutdown：当违例产生时，将关闭端口并发送一个Trap通知,江南大学信息化管理中心 乐红兵,9,配置安全端口,端口安全最大连接数配置 switchport port-security ！打开该接口的端口安全功能 switchport port-security maximum value ！设置接口上安全地址的最大个数，范围是1128，缺省值为128 switchport port-security violationprotect|restrict |shutdown ！设置处理违例的方式 注意： 1、端口安全功能只能在access端口上进行配置。 2、当端口因为违例而被关闭后，在全局配置模式下使用命令errdisable recovery cause all来将接口从错误状态中恢复过来。,江南大学信息化管理中心 乐红兵,10,配置安全端口,端口的安全地址绑定 switchport port-security ！打开该接口的端口安全功能 switchport port-security mac-address mac-address ！手工配置接口上的安全地址 注意： 1、端口安全功能只能在access端口上进行配置,江南大学信息化管理中心 乐红兵,11,案例（一）,下面的例子是配置接口gigabitethernet1/3上的端口安全功能，设置最大地址个数为8，设置违例方式为protect Switch# configure terminal Switch(config)# interface gigabitethernet 1/3 Switch(config-if)# switchport mode access Switch(config-if)# switchport port-security Switch(config-if)# switchport port-security maximum 8 Switch(config-if)# switchport port-security violation protect Switch(config-if)# end,江南大学信息化管理中心 乐红兵,12,案例（二）,下面的例子是配置接口fastethernet0/3上的端口安全功能，配置端口绑定地址，主机MAC为00d0.f800.073c Switch# configure terminal Switch(config)# interface fastethernet 0/3 Switch(config-if)# switchport mode access Switch(config-if)# switchport port-security Switch(config-if)# switchport port-security mac-address 00d0.f800.073c Switch(config-if)# end,江南大学信息化管理中心 乐红兵,13,查看配置信息,查看所有接口的安全统计信息，包括最大安全地址数，当前安全地址数以及违例处理方式等 Switch#show port-security Secure Port MaxSecureAddr CurrentAddr Security Action - - - - Gi1/3 8 1 Protect,江南大学信息化管理中心 乐红兵,14,查看配置信息,查看安全地址信息 Switch# show port-security address Secure Mac Address Table - Vlan Mac Address Type Ports Remaining Age (mins) - - - - - 1 001b.000c.0123 SecureConfigured Gi2/2 - - Total Addresses in System (excluding one mac per port) : 0 Max Addresses limit in System (excluding one mac per port) : 3072,江南大学信息化管理中心 乐红兵,15,什么是访问列表,IP Access-list：IP访问列表或访问控制列表，简称IP ACL ACL就是对经过网络设备的数据包根据一定的规则进行数据包的过滤,ISP,江南大学信息化管理中心 乐红兵,16,访问列表,访问控制列表的作用： 内网布署安全策略，保证内网安全权限的资源访问 内网访问外网时，进行安全的数据过滤 防止常见病毒、木马、攻击对用户的破坏,江南大学信息化管理中心 乐红兵,17,访问列表的组成,定义访问列表的步骤 第一步，定义规则（哪些数据允许通过，哪些数据不允许通过） 第二步，将规则应用在路由器（或交换机）的接口上 访问控制列表规则的分类： 1、标准访问控制列表 2、扩展访问控制列表,江南大学信息化管理中心 乐红兵,18,访问列表规则的应用,路由器应用访问列表对流经接口的数据包进行控制 1.入栈应用（in） 经某接口进入设备内部的数据包进行安全规则过滤 2.出栈应用（out） 设备从某接口向外发送数据时进行安全规则过滤 一个接口在一个方向只能应用一组访问控制列表,F1/0,F1/1,IN,OUT,江南大学信息化管理中心 乐红兵,19,访问列表的入栈应用,N,Y,是否允许?,Y,是否应用访问列表?,N,查找路由表 进行选路转发,以ICMP信息通知源发送方,江南大学信息化管理中心 乐红兵,20,以ICMP信息通知源发送方,N,Y,选择出口S0,路由表中是 否存在记录?,N,Y,查看访问列表的陈述,是否允许?,Y,是否应用访问列表?,N,S0,S0,访问列表的出栈应用,江南大学信息化管理中心 乐红兵,21,IP ACL的基本准则,一切未被允许的就是禁止的 定义访问控制列表规则时，最终的缺省规则是拒绝所有数据包通过 按规则链来进行匹配 使用源地址、目的地址、源端口、目的端口、协议、时间段进行匹配 规则匹配原则 从头到尾，至顶向下的匹配方式 匹配成功马上停止 立刻使用该规则的“允许/拒绝”,江南大学信息化管理中心 乐红兵,22,Y,拒绝,Y,是否匹配规则条件1 ?,允许,N,拒绝,允许,是否匹配规则条件2 ?,拒绝,是否匹配最后一个条件?,Y,Y,N,Y,Y,允许,隐含拒绝,N,一个访问列表多条过滤规则,江南大学信息化管理中心 乐红兵,23,访问列表规则的定义,标准访问列表 根据数据包源IP地址进行规则定义 扩展访问列表 根据数据包中源IP、目的IP、源端口、目的端口、协议进行规则定义,江南大学信息化管理中心 乐红兵,24,源地址,TCP/UDP,数据,IP,eg.HDLC,1-99 号列表,IP标准访问列表,江南大学信息化管理中心 乐红兵,25,目的地址,源地址,协议,端口号,IP扩展访问列表,TCP/UDP,数据,IP,eg.HDLC,100-199 号列表,江南大学信息化管理中心 乐红兵,26,0表示检查相应的地址比特 1表示不检查相应的地址比特,128,64,32,16,8,4,2,1,0,0,0,0,0,0,0,0,反掩码（通配符）,江南大学信息化管理中心 乐红兵,27,IP标准访问列表的配置,1.定义标准ACL 编号的标准访问列表Router(config)#access-list permit|deny 源地址 反掩码 命名的标准访问列表 switch(config)# ip access-list standard switch(config-std-nacl)#permit|deny 源地址 反掩码 2.应用ACL到接口 Router(config-if)#ip access-group in | out ,江南大学信息化管理中心 乐红兵,28,172.16.3.0,172.16.4.0,F1/0,S1/2,F1/1,172.17.0.0,IP标准访问列表配置实例(一),配置： access-list 1 permit 172.16.3.0 0.0.0.255 (access-list 1 deny any) interface serial 1/2 ip access-group 1 out,江南大学信息化管理中心 乐红兵,29,标准访问列表配置实例(二),需求： 你是某校园网管，领导要你对网络的数据流量进行控制,要求校长可以访问财务的主机，但教师机不可以访问。 配置： ip access-list standard abc permit host 192.168.2.8 deny 192.168.2.0 0.0.0.255,江南大学信息化管理中心 乐红兵,30,IP扩展访问列表的配置,1.定义扩展的ACL 编号的扩展ACL Router(config)#access-list permit /deny 协议 源地址 反掩码 源端口 目的地址 反掩码 目的端口 命名的扩展ACL ip access-list extended name permit /deny 协议 源地址 反掩码源端口 目的地址 反掩码 目的端口 2.应用ACL到接口 Router(config-if)#ip access-group in | out ,江南大学信息化管理中心 乐红兵,31,IP扩展访问列表配置实例(一),如何创建一条扩展ACL 该ACL有一条ACE，用于允许指定网络（192.168.x.x）的所有主机以HTTP访问服务器172.168.12.3，但拒绝其它所有主机使用网络 Router (config)# access-list 103 permit tcp 192.168.0.0 0.0.255.255 host 172.168.12.3 eq www Router # show access-lists 103,江南大学信息化管理中心 乐红兵,32,access-list 115 deny udp any any eq 69 access-list 115 deny tcp any any eq 135 access-list 115 deny udp any any eq 135 access-list 115 deny udp any any eq 137 access-list 115 deny udp any any eq 138 access-list 115 deny tcp any any eq 139 access-list 115 deny udp any any eq 139 access-list 115 deny tcp any any eq 445 access-list 115 deny tcp any any eq 593 access-list 115 deny tcp any any eq 4444 access-list 115 permit ip any any interface ip access-group 115 in ip access-group 115 out,IP扩展访问列表配置实例(二),利用ACL隔离冲击波病毒,江南大学信息化管理中心 乐红兵,33,访问列表的验证,显示全部的访问列表 Router#show access-lists 显示指定的访问列表 Router#show access-lists 显示接口的访问列表应用 Router#show ip interface 接口名称 接口编号,江南大学信息化管理中心 乐红兵,34,IP访问列表配置注意事项,1、一个端口在一个方向上只能应用一组ACL 2、访问列表的缺省规则是：拒绝所有,江南大学信息化管理中心 乐红兵,35,实验拓扑,工作目标 在路由器B上配置基于IP的ACL，使192.168.1.0/24网络中的主机无法访问FTP服务器的FTP服务。,F0/2,F1/1,F1/0,FTP服务器,192.168.1.2,192.168.4.2,192.168.2.1,192.168.2.2,192.168.3.1,192.168.3.2,B,3760,VLAN2,VALN3,江南大学信息化管理中心 乐红兵,36,IP ACL,注意事项： 1、访问控制列表只对穿越流量起作用 2、标准列表要应用在靠近目标端 3、扩展访问控制列表要应用在靠近源端 4、放置的顺序 5、隐含的拒绝所有 6、列表的编辑 7、列表的调用 8、使用ACL限制远程登录 9、配置ACL时，小心不要拒绝了路由协议,故障排除,江南大学信息化管理中心 乐红兵,38,计算机网络故障,当网络遭遇故障时，最困难的不是修复网络故障本身，而是如何迅速地查出故障所在，并确定发生的原因。对于网络管理员来说，首先要有一个清晰的排障思路，另外，经验也是非常重要的。 网络故障诊断以网络原理、网络配置和网络运行的知识为基础，从故障的实际现象出发，以网络诊断工具为手段获取诊断信息，沿着OSI七层模型从物理层开始依次向上进行，逐步确定网络故障点，查找问题的根源，排除故障，恢复网络的正常运行。,江南大学信息化管理中心 乐红兵,39,网络故障分层排除法,OSI的层次结构为管理员分析和排查故障提供了非常好的组织方式。由于各层相对独立，按层排查能够有效地发现和隔离故障，因而一般使用逐层分析和排查的方法。 通常有两种逐层排查方式： 是从低层开始排查，适用于物理网络不够成熟稳定的情况，如组建新的网络、重新调整网络线缆、增加新的网络设备； 是从高层开始排查，适用于物理网络相对成熟稳定的情况，如硬件设备没有变动。 在实际应用中往往采用折衷的方式，凡是涉及到网络通信的应用出了问题，直接从位于中间的网络层开始排查，首先测试网络连通性，如果网络不能连通，再从物理层（测试线路）开始排查；如果网络能够连通，再从应用层（测试应用程序本身）开始排查。,江南大学信息化管理中心 乐红兵,40,网络故障分层排除法,物理层：采用替换法或专门的线缆测试仪，没有测试仪的可通过网络设备（网卡、交换机等）信号灯进行简单的目测。 数据链路层：相对于其他的协议层，数据链路层出现问题的可能性不大，对于TCP/IP网络，可以使用简单的arp命令来检查MAC地址（物理地址）和IP地址之间的映射问题。 网络层和传输层是最容易出现问题的两层，路由配置容易出现错误，可通过route命令来测试路由路径是否正确，也可使用ping命令来测试连通性。对于复杂的问题，也可以通过专门的协议分析器（如微软提供的网络监视器），专业的协议分析软件sniffer pro等，这些协议分析器具有很强的检测和排查能力，能够分析链路层及其以上层次的数据通信。 应用层的问题，则需要对程序进行检查，或检查有没有什么其他程序影响到应用层本身工作。,江南大学信息化管理中心 乐红兵,41,网络故障排除步骤,第一步：全面收集信息，并分析故障现象 全面了解故障的情况，并详细询问相关细节，可以请故障发生时操作人员描述正常运行时的情况，如果有可能的话，亲自去验证一下所出现的问题。看是否有正常的功能不见了，还是有异常的反应？检查一下在故障发生之前是否对该节点或是网络进行了改动。,第二步：定位故障范围 通过第一步全面的收集的信息分析，可以将故障范围缩小到一个网段或节点。基于所作的分析，判断故障是否与一个网段有关，还是局限于一个节点。缩小故障范围是解决的开始。 例如当某台计算机发生无法上网的故障时，管理员可以询问其他用户是否也同样出现了这一问题，如果所有的用户都出现这一现象，则说明故障不在用户网络这端，在出口网络设备或其他设备上。,江南大学信息化管理中心 乐红兵,42,网络故障排除步骤,第三步：故障隔离 如果故障影响整个网段，那么就通过减少可能的故障源来隔离故障。除两个节点外断开其它所有的节点。如果这两个节点能正常通讯，再增加其它节点。如这两个节点不能通讯，就要对物理层的有关部分，如电缆的接头、电缆本身或与它们相连的Hub和网卡等进行检查。 如果故障能被隔离至一个节点，可以更换网卡，使用好的网卡驱动程序（绝不能使用该节点现有的网络软件或配置文件），或是用一条新的电缆与网络相连。如果网络的连接没有问题，那么检查一下是否只是某一个应用有问题。使用相同的驱动器或是文件系统运行其它的应用程序。与其它节点比较配置情况，试用应用程序（同样不要使用现有的软件或配置文件） 如果只是一名用户出现使用问题，检查涉及该节点的网络安全系统。检查是否对网络的安全系统进行了改变以致影响该用户。是否删除了与该用户安全等级相同的其他用户？该用户是否被网络中的一个安全组所删除？是否某项应用被移到网络中的其它部分？是否改变了系统的注册方法或是改变了该用户的注册方法？比较该用户与其他执行相同任务的用户。,江南大学信息化管理中心 乐红兵,43,网络故障排除步骤,第四步：排除故障 一旦确定了故障源，那么识别故障类型是比较容易的。对于网络硬件设备来说，最方便的措施就是简单地更换，对损坏部分的维修可以以后再进行。记住：“尽可能迅速地恢复网络的所有功能是故障诊断目的。” 有两种办法可以解决软件故障。第一种是，重新安装有问题的软件，删除可能有问题的文件并且确保你拥有全部所需的文件。这也是保证第二种方法得以顺利实施的好办法，即对软件进行重新的设置。如果问题是单一用户的问题，通常最简单的方法是整个删除该用户然后从头开始，或是重复必要的步骤，使该用户重新获得原来有问题的应用。比无目标地进行检查，逻辑有序地执行这些步骤可以更快速地找到问题。,第五步：检验故障是否被排除 请操作人员测试一下故障是否依然存在，这可以确保是否整个故障都已被排除。只是简要地请用户按正常方法操作有关网络设备即可，同时请用户快速地执行其它几种正常操作。有时解决一个地方的问题会引出别处的问题；有时问题是解决了，但可能会掩盖其它故障。,江南大学信息化管理中心 乐红兵,44,低层故障的一般处理过程,检查网络连接,查看是否获取正确ip地址,是否正常,是,当前状态,否,本地连接受限,是否使用HUB连接,是否使用HUB连接,是否使用,是否使用,是否获取,本地连接断开,是,是否能够ping通网关,是否ping通,是,网络正常 可能IE损坏 Dns故障,否,ARP病毒,否,设置为自 动获取ip 地址,检查连接状态,是,HUB停电或损坏,否,交换机停电 网线出问题 网卡出问题,是,去除HUB 重新检查,禁用、启动 本地连接,否,江南大学信息化管理中心 乐红兵,45,（1） 排除网线和HUB故障, 查看网卡指示灯、HUB指示灯。 检查网线是否插好。重插后指示灯仍不亮，用网线测线仪测双绞线两端，看通否。若不通，换一根双绞线试一下。否则有可能是网卡或HUB端口问题。 检查RJ-45接头。RJ-45接头容易出现故障，例如网线没有与RJ-45接头良好接触，网线未按照标准脚位压入接头，接头规格不符或者网线内部的绞线断了。接头的镀金层也很重要,镀金层太薄不耐用，多次插拔后就会把镀金层磨掉，也就容易发生断线。 若部分计算机的网络功能同时失效，则有可能是连接这些计算机的HUB出现故障。HUB上的RJ-45插槽一般都有相对应的指示灯，观察HUB的各个指示灯状态,若某一插槽在连接计算机之后，指示灯却不亮，这个插槽可能就有问题了。如换一个插槽指示灯仍不亮,则可能是插槽接出去的网线出了故障，只能更换。,江南大学信息化管理中心 乐红兵,46,（2） 排除网卡故障, 检查网卡设置。如果怀疑网卡设置有问题，可以用网卡附带的软件检测当前的设置，再检查系统设置是否与其相符，检查网卡设置的IRQ或I/O端口地址等参数。如果有问题，重新设置就能解决。 检查一下网卡驱动程序，若有误重新安装正确的即可。 网卡硬件故障可以通过指示灯观察。网卡通常有两个指示灯，即“连接指示灯”和“数据传输指示灯”。正常情况下“连接指示灯”应一直亮，而“数据传输指示灯”在数据传输时应不停闪烁。若“连接指示灯”不亮，应考虑连接故障，即网卡自身是否工作正常,安装是否正确。若网卡损坏只能更换。,江南大学信息化管理中心 乐红兵,47,（3） 排除交换机故障, 交换机是现在局域网的主要接入设备，也经常会出现各式各样的故障。一般分为交换机硬件故障和交换机软件故障。交换机的硬件故障一般为交换机电源、背板、模块、端口等部件的故障。 检查电源故障。如果面板上的POWER指示灯是绿色的，表明正常；如果指示灯不亮，则说明交换机没有正常供电。外部供电不稳、电路老化或雷击等都能造成交换机电源损坏。 检查端口故障。这是比较常见的故障，无论是光纤端口还是双绞线的RJ-45端口，在插拔时都要注意，以免弄坏端口。带电插拔接头也增加了端口故障发生率。接在端口上的双绞线要避免暴露在室外，以免被雷电击中，导致端口损坏。遇到此类故障，可以关闭电源后用酒精棉球清洗端口。如果端口损坏严重那就只能更换端口了。 检查模块故障。交换机是由许多模块组成的，比如:堆叠模块、管理模块、扩展模块等。这些模块在插拔时，或者搬运时受到碰撞,或者电源不稳定时都可能出现故障。模块出现故障只能更换。 检查背板故障。交换机各个模块都是接插在背板上的。如果环境潮湿，电路板受潮短路，或者元器件因高温、雷击等因素而受损都会造成电路板不能正常工作。在外部电源正常供电的情况下，如果交换机的各个内部模块都不能正常工作，那就应该是背板坏了。背板坏了唯一的办法就是更换。,江南大学信息化管理中心 乐红兵,48,（4） 排除光纤故障, 分析故障。光纤如果有断点，通信就无法正常工作。 诊断故障。对光纤进行线路检测的方式有仪器测试和手工测试两种。由于检测线路的仪器设备价格昂贵,所以一般都用手工测试的方法。 检测光纤。在线路不通时，采用电筒照明的方法，即在光纤的一端用电筒对准光纤头部照亮，在另一端看光纤头部是否有亮点。如果有亮点，说明光纤通信正常；反之则说明光纤有断点，需要更换。,江南大学信息化管理中心 乐红兵,49,常用网络命令,Ping Ipconfig Arp Route Tracert Netstat nslookup,江南大学信息化管理中心 乐红兵,50,Ping命令的使用技巧,Ping是用于确定本地主机是否能与另一台主机交换（发送与接收）数据报。根据返回的信息，可以推断TCP/IP参数是否设置得正确以及运行是否正常。 按照缺省设置，Windows上运行的Ping命令发送4个ICMP（因特网控制报文协议）回送请求，每个32字节数据，如果一切正常，应能得到4个回送应答。,江南大学信息化管理中心 乐红兵,51,Ping命令的使用技巧,如果应答时间短，表示数据报不必通过太多的路由器或网络连接速度比较快。 Ping还能显示TTL（Time To Live存在时间）值，可以通过TTL值推算一下数据包已经通过了多少个路由器：源地点TTL起始值（就是比返回TTL略大的一个2的乘方数）-返回时TTL值。 例如，返回TTL值为119，可以推算数据报离开源地址的TTL起始值为128，而源地点到目标地点要通过9个路由器网段（128-119）；如果返回TTL值为246，TTL起始值就是256，源地点到目标地点要通过9个路由器网段。,江南大学信息化管理中心 乐红兵,52,Ping命令的使用技巧,1、通过Ping检测网络故障的典型次序 正常情况下，使用Ping命令来查找问题所在或检验网络运行情况时，需要使用许多Ping命令，如果所有都运行正确，就可以相信基本的连通性和配置参数没有问题；如果某些Ping命令出现运行故障，它也可以指明到何处去查找问题。下面就给出一个典型的检测次序及对应的可能故障：,江南大学信息化管理中心 乐红兵,53,Ping命令的使用技巧,ping 127.0.0.1 这个Ping命令被送到本地计算机的IP软件，该命令永不退出该计算机。如果没有做到这一点，就表示TCP/IP的安装或运行存在某些最基本的问题。,江南大学信息化管理中心 乐红兵,54,Ping命令的使用技巧,ping 本机IP 这个命令被送到我们计算机所配置的IP地址，我们的计算机始终都应该对该Ping命令作出应答。如果没有，则表示本地配置或安装存在问题。出现此问题时，局域网用户请断开网络电缆，然后重新发送该命令。如果网线断开后本命令正确，则表示另一台计算机可能配置了相同的IP地址。,江南大学信息化管理中心 乐红兵,55,Ping命令的使用技巧,ping 局域网内其他IP 这个命令应该离开我们的计算机，经过网卡及网络电缆到达其他计算机，再返回。收到回送应答表明本地网络中的网卡和载体运行正确。但如果收到0个回送应答，那么表示子网掩码不正确或网卡配置错误或电缆系统有问题。,江南大学信息化管理中心 乐红兵,56,Ping命令的使用技巧,ping 网关IP 这个命令如果应答正确，表示局域网中的网关路由器正在运行并能够作出应答。 ping 远程IP 如果收到4个应答，表示成功的使用了缺省网关。对于拨号上网用户则表示能够成功的访问Internet（但不排除ISP的DNS会有问题）。 ping localhost localhost是个作系统的网络保留名，它是127.0.0.1的别名，每台计算机都应该能够将该名字转换成该地址。如果没有做到这一点，则表示主机文件（/Windows/host）中存在问题。,江南大学信息化管理中心 乐红兵,57,Ping命令的使用技巧,ping （如 天极网） 对这个域名执行Ping 地址，通常是通过DNS服务器。如果这里出现故障，则表示DNS服务器的IP地址配置不正确或DNS服务器有故障（对于拨号上网用户，某些ISP已经不需要设置DNS服务器了）。顺便说一句：我们也可以利用该命令实现域名对IP地址的转换功能。,江南大学信息化管理中心 乐红兵,58,Ping命令的使用技巧,2、Ping命令的常用参数选项 ping IP -t 连续对IP地址执行Ping命令，直到被用户以Ctrl+C中断。 ping IP -l 3000 指定Ping命令中的数据长度为3000字节，而不是缺省的32字节。 ping IP -n C 执行特定次数的Ping命令。,江南大学信息化管理中心 乐红兵,59,Ping命令的使用技巧,江南大学信息化管理中心 乐红兵,60,IPConfig命令的使用技巧,IPConfig实用程序和它的等价图形用户界面-Windows 95/98中的WinIPCfg可用于显示当前的TCP/IP配置的设置值。这些信息一般用来检验人工配置的TCP/IP设置是否正确。但是，如果计算机和所在的局域网使用了动态主机配置协议（DHCP），这个程序所显示的信息也许更加实用。这时，IPConfig可以让我们了解自己的计算机是否成功的租用到一个IP地址，如果租用到则可以了解它目前分配到的是什么地址。了解计算机当前的IP地址、子网掩码和缺省网关实际上是进行测试和故障分析的必要项目。,江南大学信息化管理中心 乐红兵,61,IPConfig命令的使用技巧,1、IPConfig最常用的选项 ipconfig 当使用IPConfig时不带任何参数选项，那么它为每个已经配置了的接口显示IP地址、子网掩码和缺省网关值。 ipconfig /all 当使用all选项时，IPConfig能为DNS和WINS服务器显示它已配置且所要使用的附加信息（如IP地址等），并且显示内置于本地网卡中的物理地址（MAC）。如果IP地址是从DHCP服务器租用的，IPConfig将显示DHCP服务器的IP地址和租用地址预计失效的日期。,江南大学信息化管理中心 乐红兵,62,IPConfig命令的使用技巧,ipconfig /release和ipconfig /renew 这是两个附加选项，只能在向DHCP服务器租用其IP地址的计算机上起作用。如果我们输入ipconfig /release，那么所有接口的租用IP地址便重新交付给DHCP服务器（归还IP地址）。如果我们输入ipconfig /renew，那么本地计算机便设法与DHCP服务器取得联系，并租用一个IP地址。请注意，大多数情况下网卡将被重新赋予和以前所赋予的相同的IP地址。,江南大学信息化管理中心 乐红兵,63,ARP的使用技巧,ARP是一个重要的TCP/IP协议，并且用于确定对应IP地址的网卡物理地址。使用arp命令，能查看本地计算机或另一台计算机的ARP高速缓存中的当前内容。此外，使用arp命令，也可以用人工方式输入静态的网卡物理/IP地址对，我们可能会使用这种方式为缺省网关和本地服务器等常用主机进行这项作，有助于减少网络上的信息量。,江南大学信息化管理中心 乐红兵,64,ARP的使用技巧,按照缺省设置，ARP高速缓存中的项目是动态的，每当发送一个指定地点的数据报，且高速缓存中不存在当前项目时，ARP便会自动添加该项目。一旦高速缓存的项目被输入，它们就已经开始走向失效状态。例如，在Windows NT/2000网络中，如果输入项目后不进一步使用，物理/IP地址对就会在2至10分钟内失效。因此，如果ARP高速缓存中项目很少或根本没有时，请不要奇怪，通过另一台计算机或路由器的ping命令即可添加。所以，需要通过arp命令查看高速缓存中的内容时，请最好先ping 此台计算机（不能是本机发送ping命令）。,江南大学信息化管理中心 乐红兵,65,ARP的使用技巧,ARP常用命令选项： arp -a或arp -g 用于查看高速缓存中的所有项目。-a和-g参数的结果是一样的，多年来-g一直是UNIX平台上用来显示ARP高速缓存中所有项目的选项，而Windows用的是arp -a（-a可被视为all，即全部的意思），但它也可以接受比较传统的-g选项。 arp -a IP 如果我们有多个网卡，那么使用arp -a加上接口的IP地址，就可以只显示与该接口相关的ARP缓存项目。,江南大学信息化管理中心 乐红兵,66,ARP的使用技巧,arp -s IP 物理地址 我们可以向ARP高速缓存中人工输入一个静态项目。该项目在计算机引导过程中将保持有效状态，或者在出现错误时，人工配置的物理地址将自动更新该项目。 arp -d IP 使用本命令能够人工删除一个静态项目。,江南大学信息化管理中心 乐红兵,67,Tracert、Route 的使用技巧,1、Tracert的使用技巧 如果有网络连通性问题，可以使用 tracert 命令来检查到达的目标 IP 地址的路径并记录结果。 tracert 命令显示用于将数据包从计算机传递到目标位置的一组 IP 路由器，以及每个跃点所需的时间。 如果数据包不能传递到目标，tracert 命令将显示成功转发数据包的最后一个路由器。 当数据报从某计算机经过多个网关传送到目的地时，tracert命令可以用来跟踪数据报使用的路由（路径）。 跟踪的路径是源计算机到目的地的一条路径，不能保证或认为数据报总遵循这个路径。,江南大学信息化管理中心 乐红兵,68,Tracert的使用技巧,如果我们的配置使用DNS，那么我们常常会从所产生的应答中得到城市、地址和常见通信公司的名字。tracert是一个运行得比较慢的命令（如果我们指定的目标地址比较远），每个路由器我们大约需要给它15秒钟。 tracert的使用很简单，只需要在tracert后面跟一个IP地址或URL，tracert会进行相应的域名转换的。,江南大学信息化管理中心 乐红兵,69,Tracert的使用技巧,tracert 最常见的用法： tracert IP address -d 该命令返回到达 IP 地址所经过的路由器列表。通过使用 -d 选项，将更快地显示路由器路径，因为 tracert 不会尝试解析路径中路由器的名称。 tracert一般用来检测故障的位置，我们可以用tracert IP在哪个环节上出了问题，虽然还是没有确定是什么问题，但它已经告诉了我们问题所在的地方，我们也就可以很有把握的告诉别人-某某地方出了问题。,江南大学信息化管理中心 乐红兵,70,Route 的使用技巧,大多数主机一般都是驻留在只连接一台路由器的网段上。不存在使用哪一台路由器将数据报发到远程计算机上去的问题，该路由器的IP地址可作为该网段上所有计算机的缺省网关来输入。 当网络上拥有两个或多个路由器时，我们就不一定想只依赖缺省网关了。想让某些远程IP地址通过某个特定的路由器来传递，而其他的远程IP则通过另一个路由器来传递。 此时，需要相应的路由信息，这些信息储存在路由表中，每个主机和每个路由器都配有自己独一无二的路由表。大多数路由器使用专门的路由协议来交换和动态更新路由器之间的路由表。但在有些情况下，必须人工将项目添加到路由器和主机上的路由表中。 Route就是用来显示、人工添加和修改路由表项目的。,江南大学信息化管理中心 乐红兵,71,Route 的使用技巧,一般使用选项： route print 本命令用于显示路由表中的当前项目，在单路由器网段上的输出；由于用IP地址配置了网卡，因此所有的这些项目都是自动添加的。 route add 使用本命令，可以将路由项目添加给路由表。 例如，如果要设定一个到目的网络209.98.32.33的路由，其间要经过5个路由器网段，首先要经过本地网络上的一个路由器IP为202.96.