猪圈的cool猪

《我相信，我爱你》转

200877484@qq.com(猪圈的cool猪) — Wed, 27 May 2009 05:26:12 GMT

我相信,我爱你
或许这份爱天生背负着一份罪孽
或许永远难容于世俗
甚至再也不能被你接受
但我依然相信我是上帝的宠儿
爱得如此疯狂
一切都是因为遇见了你

我相信,我爱你
这份执着的爱
或许没有人可以理解
或许你再也不会为之心动
我只希望你不要将我遗忘
记着我,记着我的爱
痛苦也好,伤心也罢
毕竟我们曾有过欢乐的时光
永远爱你的

一个很有内涵与外延的女孩

200877484@qq.com(猪圈的cool猪) — Sun, 17 May 2009 04:10:50 GMT

大四的时候，华为到我们学校来开招聘专场。同学们大都很兴奋，因为华为一向在求职的大学生心中有很高的地位———朝阳产业、良好的企业文化、新员工培训以及优厚的福利待遇。这些对于一个初入职场的学生来说，都是很大的诱惑。当然，对于我来说，唯一感兴趣的是华为的销售部门，因为我喜欢做销售。

　　你可以走了，你不合适

　　面试在一个大礼堂进行，几十个学生被分成4人一个小组，每个小组有一个面试官。面试过程很“残酷”，只要不入面试官的法眼，或是答不上面试官的提问，面试官就会说：你可以走了，也就是被当场淘汰。

　　那天和我分一组的是另外3个男生，我刚走到面试官面前还没来得及坐下，面试官只瞄了我一眼就冷冷地对我说：“你可以走了，我觉得你不合适！”

　　我很震惊，说实话也觉得很没面子。可是我没走，嘴上没说，心里满满的是不服气：你根本不认识我，凭什么看一眼就认为我不合适，凭什么就让我走？不过，当时我并没有吭声，因为我也觉得当面“质问”面试官既没礼貌也显得我很没风度。我想，等面试结束后再与面试官理论也不迟。

　　你最得意的事情是什么？

　　另外3个男生都坐下了，我可不管他们是怎么想的，我也坐下了。面试官到底没赶我走，只是当我不存在，然后开始对着其中一个男生发问：“你最得意的一件事情是什么？”可能是因为紧张，那个男生竟不知如何作答，支支吾吾地说自己还没有工作，也没有做出什么特别的成就，所以也没什么得意的事。我心里很着急，觉得他的回答有点偏题，我可不愿意他在第一道坎上就被淘汰。于是在边上悄悄地提醒他：“你可以说一件在学校里做过的你自己感到最满意的事情……”

　　面试官看了我一眼，我也不以为然：你不至于给我加上一条作弊的罪名吧，这种时候该帮人一把的。反正我已经是“不合适的人”了———这应该就叫“无欲则刚”吧。

　　为什么帮助你的竞争者？

　　不过，接下来的形势可不容乐观，3个男生相继被淘汰了，最后桌前就剩下我一个。面试官还没跟我对上话呢。不过，到现在看上去面试官是有话要说了。我还是不动声色。终于面试官开口了：“那3个人应该是你的竞争者，可我刚刚看你一直在帮助他们，你为什么要帮助他们？他们答不上来不是对你更好？如果他们都淘汰了，岂不是你的机会就来了？”我说：“我不以为他们是我的竞争对手，如果都能通过面试，将来大家可能还是同事，有困难自然是要帮一下的。”

　　让你走为什么不走？

　　对我的回答，面试官不置可否，却又拾起了先前那个话题：“我刚刚已经对你说，你不合适，你可以走了。可你为什么不走呢？”

　　机会来了，该是我说话的时候了。我的“不满”终于有机会宣泄了：“我觉得你并不了解我，所以我要留在这里给你一个了解我的机会。第一，我非常仰慕华为，因为我被华为的企业文化和用人理念所吸引，所以我很郑重地投出了我的简历，也很高兴能参加这次面试。可是我完全没有想到我遭遇到如此当头一棒。第二，我还想对你说一句，我认为你的态度对一个面试者来说很不友善。因为今天我是面试者，明天我可能是你们的员工；我更可能是华为的潜在的客户。可是你今天这样不友善的态度给我留下了深刻的印象，今天我可能成不了你的员工，但明天我可能不再愿意成为华为的客户。第三，你的不友善今天影响了我对华为的看法，明天还有可能影响到我所有的朋友对华为的看法，你知道，你可能赶走了不少你们的潜在客户！”

　　这就是一道题，面试通过

　　面试官笑了，对我的表现非常满意。因为从一开始，面试官早就给我出了一道面试题：如何面对挫折。要知道，这次招的是销售员，在未来的工作中，他面对的会是无穷无尽的拒绝和白眼，人家的态度可能比这位面试官坏好几倍。如果他连面试的还算礼貌的冷脸都无法面对，那他将来如何面对未来的困难呢？

　　另外，面试官对我在面试中愿意帮助别人也表示认同，这恰恰显示了我的团队合作精神。

　　我这才恍然大悟，对面试官的态度表示赞同，也为自己顺利通过了面试感到高兴。不过，最后我却拒绝了华为的Offer。

　　我爱销售，不喜欢秘书

　　又经过了其他3轮面试，总算见到了部门老总。他说，对我的表现非常满意，但他觉得我做销售员不合适，因为他们销售的产品是通讯设备，销售员常常需要爬上爬下、户外作业，这种工作实在不适合一个漂亮女孩。所以非常希望我能成为他的技术秘书。他希望我不要马上拒绝，考虑几天。

　　几天后，我还是拒绝了华为的Offer。我知道我太有个性，凡事太喜欢自己作主。以我这样的性格，应该成不了一个好秘书。最终，我还是与我心仪的华为失之交臂。

评论:我想这一段面试经历对于我们每一个人不管是求职者还是面试别人的人都有一定的意义，期于大家分享。

网络升级实战单臂路由显身手

200877484@qq.com(猪圈的cool猪) — Wed, 01 Apr 2009 02:46:30 GMT

网络升级实战单臂路由显身手 [转chinabyte.com]众多中小企业内部网络结构都很简单，仅仅是用一台交换机将所有员工机以及服务器连接到一起，然后通过光纤访问internet而已。当然为了保证部分主机的安全性以及分割内部广播包提高网络传输速度，采取诸如划分VLAN，分配不同子网的方法来实现。通过划分VLAN可以让在同一台交换机不同端口的客户机不能互相访问，有效的隔离了网络。

　　通过VLAN划分网络固然可以解决安全和广播风暴的频繁出现，但是对于那些既希望隔离又希望对某些客户机进行互通的公司来说，划分VLAN的同时为不同VLAN建立互相访问的通道也是必要的。

众所周知可以使用三层交换机来实现，但是大多数情况企业网络搭建初期购买的仅仅是二层可管理型交换机，如果要购买三层交换机实现VLAN互通功能的话，以前的二层设备将被丢弃。这样就造成了极大的浪费。那么有没有什么办法在仍然使用二层设备的基础上，实现三层交换机的功能呢?

　　一、三层交换机的原理:

　　在告诉各位读者解决方法前我们需要首先了解三层交换机的工作原理。理论上讲一台三层交换机可以看做是一个二层交换机+一个路由模块，实际使用中各个厂商也是通过将路由模块内置于交换机中实现三层功能的。在传输数据包时先发向这个路由模块，由其提供路由路径然后再由交换机转发相应的数据包。

　　二、单臂路由原理:

　　既然仍然要使用以前的二层设备，那么我们可以通过添加一台路由器解决上面提到的企业网络升级问题。这台路由器就相当于三层交换机的路由模块，只是我们将其放到了交换机的外部。具体原理拓扑图如下:

图1：网络拓朴结构

　　router路由器

　　连接线路(负责多个vlan之间的的通信)

　　switch交换机

　　大家可以看出在router路由器与交换机之间是通过外部线路连接的，这个外部线路只有一条，但是他在逻辑上是分开的，需要路由的数据包会通过这个线路到达路由器，经过路由后再通过此线路返回交换机进行转发。所以大家给这种拓扑方式起了一个形象的名字——单臂路由。说白了，单臂路由就是包从哪个口进去，又从哪个口出来，而不象传统网络拓扑中数据包从某个接口进入路由器又从另一个接口离开路由器。

　　那么什么时候要用到单臂路由呢?在企业内部网络中划分了VLAN，当VLAN之间有部分主机需要通信,但交换机不支持三层交换，这时候可以采用一台支持802.1Q的路由器实现VLAN的互通。我们只需要在以太口上建立子接口，并分配IP地址作为该VLAN的网关，同时启动802.1Q协议即可。

　　小提示:

　　一个物理接口当成多个逻辑接口来使用时，往往需要在该接口上启用子接口。通过一个个的逻辑子接口实现物理端口以一当多的功能。

　三、实战单臂路由:

　　笔者所在公司恰恰遇到了上面说的问题，原来使用交换机连接内部网，划分了VLAN。但是现在需要让这些VLAN实现互通，笔者购买了一台华为2621路由器来实施单臂路由解决此问题。具体拓扑图如图1所示。

　　交换机连接了多个网段，有10.91.30.*/24，10.83.224.*/24,10.83.225.*/24,10.83.226.*/24。每个网段都处在不同的VLAN中。所有数据包都通过光纤连接到核心设备。由于交换机上的光纤接口只对于10.91.30.*/24有效，所以其他网段的计算机在没有路由器的前提下都无法正常上网。这时我们就需要通过华为2621路由器为他们指明路由下一跳的地址，完成数据包的传输。

　　(1)交换机上配置:

　　交换机上划分VLAN以及将不同接口和网段加入不同VLAN的*作这里就不详细说明了。实际情况中10.83.224.*对应VLAN302,10.83.225.*对应VLAN303,10.83.226.*对应VLAN304，10.83.227.*对应VLAN305。下一条的路由地址为10.82.6.113，对应的VLAN号是307。

　　(2)路由器上的配置:

　　本实战路由器上的配置是关键，需要将连接交换机设备的那个接口设置为多个子接口。

　　第一步:用console线连接路由器，进入ethernet 0端口，并启用该接口。

　　int ethernet 0

　　undo shut(如图2)

图2：进入E0端口并启用

　　第二步:不要对ethernet 0直接*作，为其添加多个子接口。

　　int ethernet 0.1

　　int ethernet 0.2

　　int ethernet 0.3

　　int ethernet 0.4

　　int ethernet 0.5

　　第三步:为每个子接口设置trunk模式，并添加到对应的VLAN中。我们以ethernet0.1为例子，其他几个子接口设置命令类似。

　　int ethernet0.1

　　vlan dot1q vid 302(如图3)

图3：为子接口设置trunk模式

　　小提示:

　　在设置trunk模式时需要我们定义trunk所使用的协议，一般来说有ISL和dot1q两种协议提供给我们选择，如果你的设备都是CISCO的话使用哪个都可以，但是如果你的设备有CISCO还有别的公司的产品的话就必须使用802.1q协议了，笔者这样的网络环境，由于路由器是华为2621，所以必须使用802.1q协议进行trunk通讯。笔者开始就盲目的设置为ISL结果网络始终不通，后来才想到这个问题。

　　第四步:接下来我们还需要使用ip address命令为每个子接口设置好IP地址。

　　第五步:为路由器添加一个缺省路由，指向光纤通往核心设备的IP地址。

　　ip route-static 0.0.0.0 0.0.0.0 10.82.6.114

　　第六步:保存所有设置后使用dis cur命令查看当前配置列表。(如图4)

四、常见问题:

　　在配置单臂路由过程中要特别注意以下几个问题:

　　(1)不要对ethernet0进行任何配置，我们只需要对其子接口进行划分和设置即可。

　　(2)不要忘记将ethernet0开启，使用命令undo shut，这样所有子接口会同时开启。

　　(3)如果有防病毒ACL等列表的话不要忘记在最后添加到ethernet0上。

　　(4)由于单臂路由数据包进出都使用同一个接口必然对该路由器的硬件要求比较高，所以在实际使用中不要随便找一台低端路由器充数，稳定和较大内存是担当单臂路由器的设备所必须的。

　　(5)在设置TRUNK类型时候要根据实际情况选择是ISL还是802.1q协议。

　　(6)所有配置命令都需要在路由器没有连接交换机的状态下进行，当所有设置信息输入完毕并保存后才可以使用网线将路由器和交换机连接。为什么呢?因为单臂路由很消耗路由器的资源，所以如果在配置过程中已经将该路由器连接到了单臂拓扑中那么输入命令，显示命令会变得非常缓慢。笔者刚开始就是这样边连接边设置的，发现路由器跟死机一样，执行一个dis cur显示配置信息命令居然要等待十分钟以上，也可能是内网中已经有的病毒在发送大量数据包造成的。总之还是设置完毕再连接网络比较保险。

　　五、单臂路由的缺点:

　　单臂路由的缺点也是显而易见的，一方面他非常消耗路由器CPU与内存的资源，在一定程度上影响了网络数据包传输的效率，另一方面将本来可以由三层交换机内部完成的工作交给了额外的设备完成，对于连接线路要求也是非常高的。另外通过单臂路由将本来划分得好好的VLAN彻底打破，原有的提高安全性与减少广播数据包等措施起到的效果也大大降低了。当然不管怎么说单臂路由仍然是企业网络升级，经费紧张时一个不错的选择。

　　总结:

　　单臂路由方式仅仅是对现有网络升级时采取的一种策略，在企业内部网络中划分了VLAN，当VLAN之间有部分主机需要通信,但交换机不支持三层交换，这时我们使用该方法来解决实际问题。由于单臂路由存在着很多这样或那样的缺点，所以不建议大家在网络搭建初期就使用这种方式建立拓扑。

破解软件_系统工具下载地址大全

200877484@qq.com(猪圈的cool猪) — Tue, 14 Oct 2008 11:11:53 GMT

L2TP

200877484@qq.com(猪圈的cool猪) — Tue, 14 Oct 2008 01:37:02 GMT

英文原义：Layer 2 Tunneling Protocol
中文释义：第二层隧道协议

注解：该协议是一种工业标准的Internet隧道协议，功能大致和PPTP协议类似，比如同样可以对网络数据流进行加密。不过也有不同之处，比如PPTP要求网络为IP网络，L2TP要求面向数据包的点对点连接；PPTP使用单一隧道，L2TP使用多隧道；L2TP提供包头压缩、隧道验证，而PPTP不支持。

应用：在VPN连接中要设置L2TP连接，方法同PPTP VPN设置，同样是在VPN连接属性窗口的“网络”选项卡中，将VPN类型设置为“L2TP IPSec VPN”即可。

L2TP
第二层隧道协议 (L2TP) 是一种支持多协议虚拟专用网络 (VPN) 的联网技术，它允许远程用户通过 Internet 安全地访问企业网络。类似点对点隧道协议 (PPTP)，通过其他远程访问技术，例如通过 DSL 所提供的 Internet 访问，它可以被用于为隧道式端对端 Internet 连接提供安全保护。与 PPTP 不同，L2TP 不依赖特定厂商的加密技术即可达到完全安全和成功的实施。由于此原因，它可能成为 Internet 上保护虚拟专用网安全的标准。Windows 2000 通过 IP 安全性 (IPSec) 技术和“路由和远程访问”服务实现 L2TP 支持。

回答者：匿名 6-22 22:55

在 Microsoft Windows 2003 家族中有两种基于点对点协议 (PPP) 的 VPN 技术。

1.
点对点隧道协议 (PPTP)

PPTP 使用用户级别的 PPP 身份验证方法和用于数据加密的 Microsoft 点对点加密 (MPPE)。

2.
带有 Internet 协议安全性 (IPSec) 的第二层隧道协议 (L2TP)

L2TP 将用户级别的 PPP 身份验证方法和计算机级别的证书与用于数据加密的 IPSec 或隧道模式中的 IPSec（IPSec 本身在其中仅对 IP 通信提供封装）一起使用。

L2TP（第二层隧道协议）
更新日期： 01/21/2005

第二层隧道协议 (L2TP)
通过使用虚拟专用网 (VPN) 连接和第二层隧道协议 (L2TP)，可以通过 Internet 或其他公共网络访问专用网。L2TP 是一个工业标准 Internet 隧道协议，它和点对点隧道协议 (PPTP) 的功能大致相同。L2TP 的 Windows Server 2003 家族的实施设计为通过 IP 网络在本机运行。L2TP 的实施不支持通过 X.25、帧中继网络的本地隧道。

根据第二层转发 (L2F) 和点对点隧道协议 (PPTP) 的规范，您可以使用 L2TP 通过中介网络建立隧道。与 PPTP 一样，L2TP 也会压缩点对点协议 (PPP) 帧，从而压缩 IP、IPX 或 NetBEUI 协议，因此允许用户远程运行依赖特定网络协议的应用程序。

Cisco 7401ASR-GW介绍

200877484@qq.com(猪圈的cool猪) — Sun, 28 Sep 2008 00:51:41 GMT

Cisco 7401ASR-GW网络服务网关的应用和功能服务质量（QoS）增强

能够将QoS标准应用于网络通信流是对下一代网络的基本要求。随着企业和服务供应商继续转向在一个统一多服务（语音、视频和数据）体系结构中执行关键任务应用的单一集中网络，管理通信流和交付条件的能力已经变得越来越重要。由于企业从服务供应商处外购这些网络服务，为满足服务级别协议和保持网络的性能，实施QoS以确保带宽密集型应用和时间敏感性信息交付应用能够获得维持自己性能所需的带宽将是至关重要的。QoS通过更高效地使用网络链路还可以减少总体WAN成本。

Cisco 7401ASR-GW网络设备网关提供了完善的可以确保网络性能的QoS功能。

基于网络的应用识别（NBAR）

NBAR是一个新的能够识别大量不同应用的分类引擎，这些应用包括基于Web的应用以及动态指定TCP或UDP端口编号的客户机/服务器应用。使用NBAR，Cisco 7401ASR-GW能够以智能化的方式识别通过网络的数据的类型。一旦识别出某个应用，网络将针对该特定应用调用特殊的QoS服务。

IP优先级和DiffServ（差别服务）

DiffServ和IP优先级是一种数据控制技术，它们根据分组头信息中的IP优先级位和DiffServ代码点为数据包标记出不同的服务级别，并进而为数据流提供服务质量服务。较老的IP优先级功能使用IP头（IPV4）中服务类型字段的三个位，可以得到8个可能的服务级别，其中的6个得到使用。更新的DSCP机制使用这一字段中的六个位，可以提供64种不同的标记。这些服务程序所使用的位在IP头中是重叠的，所以在网络中即可使用IP优先级，也可使用DSCP值，但两者不能同时使用。

通信流策略制订和整形

通信流策略制订和通信流整形服务允许对某一特定应用的可用带宽进行限制。例如，FTP通信流所占用的带宽可以被限制为1Mbps。任何超过策略规定速率的通信流或者会被丢弃，或者其IP优先级或DSCP值会被修改为一个较低的服务等级。策略制订和整形之间的差别在于策略制订只是简单地丢弃超过限制的通信流，而整形则是将超过限制的分组存放在缓冲区中，并以指定的速率将其发送出去。通信流整形还可以对帧中继网络提供的拥塞信息作出响应。

基于等级的加权公平队列（CBWFQ）

CBWFQ是一种为特殊通信流等级提供带宽保证的机制，如语音通信流或对延迟敏感的企业资源规划（ERP）应用，与此同时，仍然可以为网络中其他所有的通信流提供公平服务。当使用CBWFQ时，指定给某一个等级的带宽是在拥塞期间为该等级提供的最小带宽。

基于等级的加权随机早期检测（CBWRED）

拥塞避免技术对网络通信流负载进行监视，目的是预测和避免公共网络中出现的瓶颈。如果没有随机早期检测，当输出队列满时，分组将被丢弃，直至拥塞消除为止。RED利用了TCP的拥塞控制机制，它在链路完全拥塞之前就开始随机丢弃分组。这样就可以避免在某一时间丢弃来自所有主机的分组，而同时仍在向这些主机发出信令要求其暂时降低分组发送速度的问题。加权RED首先从优先级较低的通信流中丢弃分组，确保高优先级通信流不会因为由不那么重要的数据引起的拥塞而受到影响。

安全性

网络安全性已经成为网络需求中越来越重要的组成部分，公司必须在自己的网络设计和基础设施中加入安全性功能。只有当作为网络的一个整体组成部分时，安全策略增强才能够发挥最大的作用，Cisco IOS软件提供了一组完善的安全功能，可用于在您的整个网络基础设施中实现全面的分层安全保护。

当作为一个安全网络服务网关部署时，Cisco 7401ASR提供了一个使用不同服务的高性能、低费效比的解决方案。

访问控制列表（ACL）

Cisco 7401ASR-GW通过使用访问控制列表提供了高级硬件加速通信流过滤功能。利用访问控制列表，Cisco 7401ASR-GW可以控制网络访问，为特殊网络段提供访问控制，定义哪些通信流可以通过某一特殊网络段，并对用户的进入进行限制。Cisco Systems PXF加速增强ACL功能能够以更快的速度处理和评估ACL，从而能够实现更方便的分组分类和访问检查，特别是针对大型ACL入口项。

网络地址转换（NAT）

Cisco 7401ASR-GW硬件加速NAT功能能够将使用非注册IP地址的专用IP网络连接到Internet。通过对专网的配置，可以使其在外部世界面前只表现为一个公共地址，有效地从视图上隐藏了内部网络。

IOS防火墙服务

除了象NAT和访问控制列表这样的安全功能，Cisco 7401ASR-GW还可以支持Cisco Systems IOS中的高级防火墙服务。基于Cisco 7401ASR-GW的Cisco IOS防火墙功能集能够为高端、多功能环境提供稳固的防火墙服务和入侵检测服务。该防火墙功能集是Cisco IOS软件的一个特别安全选项，它使用基于上下文的访问控制（CBAC）、动态每用户身份验证和授权、防止网络入侵和攻击、Java分组以及可配置的实时报警实现了静态、基于应用的过滤，可以增强现有的Cisco IOS安全功能，如通信流过滤、加密和网络地址转换。

网络结算

运行NetFlow的Cisco 7401ASR-GW是解决网络通信流监视和分析问题的理想解决方案。使用PXF技术的Cisco 7401ASR-GW提供了硬件加速NetFlow功能，可以为服务供应商和企业网络实现一个全面、高性能的网络结算解决方案。

Cisco 7401ASR-GW能够监视通信流并汇聚网络结算信息，这些信息是由IP地址、协议类型和自主系统（AS）编号这样的变量定义的，并能够对分组大小、分组流和分组流持续时间进行详细的分析。

小外形

Cisco 7401ASR-GW安装在一个小型的1机柜单元之中，具有前后对流和低功耗的特性，是一种紧凑型的机型。由于在设计时考虑到实现堆叠的必要，所以可以利用Cisco 7401AR-GW紧凑的外形在单一机柜中实现密度非常高的服务，使服务供应商能够节省费用高昂的空间和电源。

全面的易管理性

Cisco 7401ASR-GW运行的是成熟、全面而又灵活的Cisco IOS，是一个易于部署的能够满足服务供应商CPE要求的解决方案。Cisco IOS可以提供丰富的功能集和很多优点：

使用客户熟悉的Cisco IOS命令行界面（CLI），能够容易地实现服务的交付
涵盖业界最广泛产品的公共软件平台
广泛部署在500万个以上的设备中
充分利用培训方面的投资
使用远程配置和升级功能，易于部署
Cisco 7401ASR-GW还是Cisco单元管理框架（CEMF）的一个组成部分，CEMF是Cisco Systems公司提出的可扩展、集成性质的单元管理框架，可以帮助服务供应商通过一个公共管理系统支持多种路由选择技术。CEMF将结算、配置、错误和性能信息集中在一个公共框架之中，能够简化网络的管理过程。CEMF基于开放标准，用于实现与第三方和专有系统的集成，能够加强服务供应商现有的OSS并允许对传统系统进行逐步升级。

总结

Cisco 7401ASR-GW将性能、灵活性和稳固的服务结合起来，是理想的网络服务网关，可用于需要紧凑、可堆叠、功能强大、低费效比的解决方案，从而在网络边缘提供高接触IP服务的应用。

ARP详解

200877484@qq.com(猪圈的cool猪) — Sat, 27 Sep 2008 11:58:27 GMT

一、什么是[url=javascript:;]ARP[/url][url=javascript:;]协议[/url]
ARP协议是“Address Resolution Protocol”（[url=javascript:;]地址[/url][url=javascript:;]解析[/url]协议）的缩写。在[url=javascript:;]局域网[/url]中，[url=javascript:;]网络[/url]中实际传输的是“帧”，帧里面是有目标主机的MAC地址的。在以太网中，一个主机和另一个主机进行直接通信，必须要知道目标主机的MAC地址。但这个目标MAC地址是如何获得的呢？它就是通过地址解析协议获得的。所谓“地址解析”就是主机在发送帧前将目标IP地址转换成目标MAC地址的过程。ARP协议的基本[url=javascript:;]功能[/url]就是通过目标设备的IP地址，查询目标设备的MAC地址，以保证通信的顺利进行。
二、ARP协议的工作[url=javascript:;]原理[/url]
ARP攻击就是通过伪造IP地址和MAC地址实现ARP欺骗，能够在网络中产生大量的ARP通信量使网络阻塞，攻击者只要持续不断的发出伪造的ARP响应包就能更改目标主机ARP缓存中的IP-MAC条目，造成网络中断或中间人攻击。
ARP攻击主要是存在于局域网网络中，局域网中若有一个人感染ARP木马，则感染该ARP木马的[url=javascript:;]系统[/url]将会试图通过“ARP欺骗”手段截获所在网络内其它计算机的通信信息，并因此造成网内其它计算机的通信[url=javascript:;]故障[/url]。
RARP的工作原理：
1. 发送主机发送一个本地的RARP广播，在此广播包中，声明自己的MAC地址并且请求任何收到此请求的RARP服务器分配一个IP地址；
2. 本地网段上的RARP服务器收到此请求后，检查其RARP列表，查找该MAC地址对应的IP地址；
3. 如果存在，RARP服务器就给源主机发送一个响应[url=javascript:;]数据[/url]包并将此IP地址提供给对方主机使用；
4. 如果不存在，RARP服务器对此不做任何的响应；
5. 源主机收到从RARP服务器的响应信息，就利用得到的IP地址进行通讯；如果一直没有收到RARP服务器的响应信息，表示初始化失败。
三.ARP和RARP报头结构
硬件类型字段：指明了发送方想知道的硬件接口类型，以太网的值为1；
协议类型字段：指明了发送方提供的高层协议类型，IP为0800（16进制）；
硬件地址长度和协议长度：指明了硬件地址和高层协议地址的长度，这样ARP报文就可以在任意硬件和任意协议的网络中使用；
操作字段：用来表示这个报文的类型，ARP请求为1，ARP响应为2，RARP请求为3，RARP响应为4；
发送方的硬件地址（0-2字节）：源主机硬件地址的前3个字节；
发送方的硬件地址（3-5字节）：源主机硬件地址的后3个字节；
发送方IP（0-1字节）：源主机硬件地址的前2个字节；
发送方IP（2-3字节）：源主机硬件地址的后2个字节；
目的硬件地址（0-1字节）：目的主机硬件地址的前2个字节；
目的硬件地址（2-5字节）：目的主机硬件地址的后4个字节；
目的IP（0-3字节）：目的主机的IP地址。
四、如何查看ARP缓存表
ARP缓存表是可以查看的，也可以添加和修改。在[url=javascript:;]命令[/url]提示符下，输入“arp -a”就可以查看ARP缓存表中的内容了，如附图所示。
用“arp -d”命令可以删除ARP表中所有的内容；
用“arp -d +空格+ <指定ip地址>” 可以删除指定ip所在行的内容
用“arp -s”可以手动在ARP表中指定IP地址与MAC地址的对应，类型为static(静态)，此项存在硬盘中，而不是缓存表，计算机重新启动后仍然存在，且遵循静态优于动态的原则，所以这个[url=javascript:;]设置[/url]不对，可能导致无法上网.
五、ARP欺骗
ARP欺骗分为二种，一种是对路由器ARP表的欺骗；另一种是对内网PC的网关欺骗.
第一种ARP欺骗的原理是——截获网关数据。它通知[url=javascript:;]路由器[/url]一系列错误的内网MAC地址，并按照一定的频率不断进行，使真实的地址信息无法通过更新保存在路由器中，结果路由器的所有数据只能发送给错误的MAC地址，造成正常PC无法收到信息。第二种ARP欺骗的原理是——伪造网关。它的原理是建立假网关，让被它欺骗的PC向假网关发数据，而不是通过正常的路由器途径上网。在PC看来，就是上不了网了，“网络掉线了”。
一般来说，ARP欺骗攻击的后果非常严重，大多数情况下会造成大面积掉线。有些网管员对此不甚了解，出现故障时，认为PC没有问题，[url=javascript:;]交换机[/url]没掉线的“本事”，电信也不承认[url=javascript:;]宽带[/url]故障。而且如果第一种ARP欺骗发生时，只要重启路由器，网络就能全面恢复，那问题一定是在路由器了。为此，宽带路由器背了不少“黑锅”。
作为网吧路由器的厂家，对防范ARP欺骗不得已做了不少份内、份外的工作。一、在宽带路由器中把所有PC的IP-MAC输入到一个静态表中，这叫路由器IP-MAC绑定。二、力劝网管员在内网所有PC上设置网关的静态ARP信息，这叫PC机IP-MAC绑定。一般厂家要求两个工作都要做，称其为IP-MAC双向绑定。
ARP协议[url=javascript:;]详解[/url]第一课:
thunder://QUFodHRwOi8vZnRlbDEuMzgwMGhrLmNvbS8wODA4LzA4MDgxNGFycHh5eS5yYXJaWg==

ARP协议详解第二课:
thunder://QUFodHRwOi8vZnRlbDEuMzgwMGhrLmNvbS8wODA4LzA4MDgxNWFycGRldC5yYXJaWg==

ARP协议详解第三课:课:thunder://QUFodHRwOi8vZnRlbDEuMzgwMGhrLmNvbS8wODA4LzA4MDgxNmFycGRzdC5yYXJaWg==

ARP协议详解第四课:
thunder://QUFodHRwOi8vZnRlbDEuMzgwMGhrLmNvbS8wODA4LzA4MDgxN2FycGRzdC5yYXJaWg==
欢迎大家访问我的小博客:http://hi.baidu.com/zwhq11

Linux操作系统下NAT及防火墙的混合应用

200877484@qq.com(猪圈的cool猪) — Sat, 27 Sep 2008 06:51:07 GMT

主要讲述Linux系统下的NAT(网络地址转换)和基于NAT的防火墙技术。
　　首先由Linux系统的安装引入，着重介绍LINUX下的NAT的网络配置（服务端和客户端），以及防火墙配置原则。
　　其次，从理论上阐述，“什么是NAT”和网络上的攻击方法。
　　
　　【引言】
　　LINUX凭借其稳定性、安全性和代码开放在这几年中，风靡全球；作为一种类UNIX系统，Linux正在互联网的各个层面得到应用，从科学计算到银行取款机，从网络web服务到高层的Oracle 数据库应用。都可以看到linux的影子。而由于Linux遵循于GPL协议（公共软件许可证），任何人可以得到并且修改它的源代码，所以他的安全性相较于其他的非开源系统来说要高的多；并且它可以从网络中免费下载。从这2点来说他非常适合用于网络信息闸（软路由或网关）和自制防火墙（事实上国内的硬件防火墙厂商都是用工业X86硬件和linux来做他们的产品，虽然那不是真正意义上的硬件防火墙）。现在学校过于注重对windows及其windows平台上的软件、开发工具的学习。但是学生们没有意识到，真正撑起这个互联网的正是UNIX系统；就从我对Linux的见解为大家展示UNIX系统的一角吧。
　　什么是NAT？
　　
　　NAT英文全称是Network Address Translation，称是网络地址转换，它是一个IETF标准，允许一个机构（包括多个网络节点）以一个地址出现在Internet上。NAT将每个局域网节点的地址转换成一个IP地址，反之亦然。它也可以应用到防火墙技术里，把个别IP地址隐藏起来不被外界发现，使外界无法直接访问内部网络设备，同时，它还帮助网络可以超越地址的限制，合理地安排网络中的公有Internet 地址和私有IP地址的使用。
　　
　　为什么要进行NAT
　　假设校园网提供园区Internet接入服务，为了方便管理，校园网络中心分配给园区用户的IP地址都是伪IP（内部IP），但是部分用户要求建立自己的WWW服务器对外发布信息，这时候我们就可以通过NAT来提供这种服务了。我们可以在防火墙的外部网卡上绑定多个合法IP地址或端口，然后通过NAT技术使发给其中某一个IP地址的包转发至内部某一用户的WWW服务器上，然后再将该内部WWW服务器响应包伪装成该合法IP发出的包。
　　
　　实验环境介绍
　　本文所有到的实验环境如下：
　　LINUX系统主机一台（服务端）：双网卡 REDHAT 9.0 主机名：host
　　WINDOWS 98 系统主机一台(客户端)：单网卡　　　　主机名：test　　　　
　　联想D-link 8口 10M/100M交换机一个
　　
　　【正文】
　　网络的拓朴结构：
　　
　　
　　
　　一、 RED HAT 9.0 安装和注意点
　　Linux是一个独立的操作系统，所以不能在其他操作系统下进行安装，他有自己的启动方式，可以采用以下两种方法进行安装。
　　● 从CD-ROM进行安装
　　● 从FTP服务器进行安装
　　由于Linux系统安装（第一种方法），有随机参考手册，难度不大，所以我们着重介绍从ftp安装。
　　在安装之前制作启动盘：
　　1．在windows操作系统下将安装盘放入光驱；
　　2．运行　ｅ:\dosutils\rawrite.exe(e盘为光驱)
　　3．在运行后的界面中输入e:\images\bootnet.img
　　4．指定目标盘，输入用户软盘盘符：a
　　这样一张安装程序的启动盘就建好了。
　　　
　　用软盘引导计算机，进入蓝色界面后，输入ＦＴＰ服务器地址和ftp上的用户名及口令就可以下在安装了。
　　RED HAT 9.0安装界面为中文，安装中文说明基本可以完成系统定制，在此要强调的是，分区的时候，/swap（交换分区）大小要是内存大小的2倍；既然是作nat网关，要把/var（日志分区）单分出来，并且不要少于500M，有充裕的空间存储日志，也为将来将来系统故障或受到攻击做到有据可查。
　　
　　二．LINUX的网络设置和nat原理
　　2.1网络设置
　　我们把linux系统安装完后，整个设置平台算是搭建完毕，但是还要设置网络；设置网络之前，或者说让linux上网前，应该把和这台服务器应该起到作用的无关服务关掉。
　　可以在命令行下敲入setup回车，会出现一个文本菜单，里面有“系统服务”一项，直接用空格键取消服务前面的勾然后重新启动系统就行了。
　　假如是UNIX的熟练用户，可以在取消服务后，不用重新启动，在命令行行打入psaux
　　会显示现在在后台运行的所有服务，看到要杀死的进程后，打入
　　kill -9
　　（-9代表强制杀掉进程）杀死进程。
　　然后进入/etc/sysconfig/network-scripts/目录
　　viifcfg-eth0会出现以下内容
　　device=eth0
　　onboot=yes
　　bootproto=none
　　IPADDR=192.168.0.1 #(内网网卡IP)
　　netmask=255.255.255．0
　　TYPE=ETHERNET
　　USERCTL=NO
　　PEERDNS=NO
　　NETWORK=192.168.0.0（网络号）
　　Broadcast＝192.168.0.255（广播号）
　　上面的设置的意思是：eth0对内的内网网卡,ip地址为192.168.0.1，子网掩码为：255.255.255.0；
　　
　　viifcfg－eth1会出现以下内容
　　device＝eth1
　　onboot＝yes
　　bootproto＝none
　　IPADDR=202.204.208.5 #(外网网卡IP)
　　netmask=255.255.255．128
　　TYPE=ETHERNET
　　USERCTL=NO
　　PEERDNS=NO
　　NETWORK＝202.204.208.0（网络号）
　　Broadcast＝202.204.208.127（广播号）
　　上面的设置的意思是：eth1是对外的外网网卡,ip地址为202.204.208.5。
　　网卡的设置就完成了
　　
　　加入nat客户端ip和名称
　　vi /etc/hosts
　　格式为：
　　ip地址主机名
　　127.0.0.1 host
　　
　　指定内网网关
　　vi /etc/sysconfig/network
　　gateway=202.204.208.7 #(网关地址，假如服务端的外网为拨号，就不要指定)
　　
　　设置DNS服务器
　　vi /etc/resolv.conf
　　格式为
　　nameserver ip地址
　　nameserver 202.106.196.115
　　都设置好后，从新启动系统，在命令行下打入
　　route -a #察看路由表，看一下默认网关是否为202.204.208.7
　　假如是的话，服务端的网络配置就已经全部完成。
　　
　　下面是客户端的网络配置
　　因为是win 98系统，所以只给出配置参数，配置方法略
　　ip地址为192.168.0.2
　　子网掩码:255.255.255.0
　　域名服务器：202.106.196.115
　　网关：192.168.0.1
　　全部网络设置完成
　　
　　2．2 NAT原理
　　2.2.1在进入NAT设置之前，我们要先讨论一下NAT的工作原理
　　在引言部分，我们已经提到了一个NAT应用实例，从这个实例中可以看出NAT和防火墙是一体的，换句话说，NAT就是防火墙。NAT对防火墙来说是子集的关系。
　　在本节，我们会深入讨论NAT的原理部分，为了更清晰的认识NAT,我们借用INTERNET标准化组织发布的RFC3022文档的部分内容。
　　NAT有三种类型：静态NAT(Static NAT)、网络地址端口转换DNAT（destination- NAT）、动态地址NAT(Pooled NAT)。我们主要讨论前面２种nat．
　　静态nat解决问题的办法是：在内部网络中使用内部地址，通过NAT把内部地址翻译成合法的IP地址在Internet上使用，其具体的做法是把IP包内的地址域用合法的IP地址来替换。NAT设备维护一个状态表（路由表，所以也称NAT为软路由），用来把非法的IP地址映射到合法的IP地址上去。每个包在NAT设备中都被翻译成正确的IP地址，发往下一级，这意味着给处理器带来了一定的负担。但对于一般的网络来说，这种负担是微不足道的。
　　网络地址端口转换NAT,也叫做反向NAT,他解决问题的方法是：在内部网络中，使用内部地址的计算机开设了网络服务（80，21等），当外部ip想访问这些服务时，NAT网关把外部访问ip翻译成内部ip,也就是说，把内部开设的服务，映射到一个合法的ip和端口上，已供外部访问。
　　假如想进一步了解他的工作原理，NAT其实就是一种IP包欺诈，也可以说是对IP报头的修改，请看下表
　　4位版本
　　4位首部长度
　　8位服务类型
　　16位总长度（字节数）
　　16位标识
　　3位标志
　　13位片偏移
　　8位生存时间（ttl）
　　8位协议
　　16位首部校验和
　　32位源ip地址
　　32位目的ip地址
　　其他选项
　　携带数据
　　IP数据包格式和报头中的各字段
　　NAT网关（外202.204.208.5；内192.168.0.1）收到本地局域网内的客户机（192.168.0.2），发来的ip数据，先判断是否是本地子网中发来的，假如通过，则按照她的目的ip地址查找本地路由表进行转发，NAT在包被继续向前送出之前转换32位源地址192.168.0.1成202.204.208.5。相应的，IP包往回传时依据相同的地址进行转换。
　　2.2.2 NAT设置
　　我们知道了NAT的原理，就可以进行NAT的配置了，我们前面说过了NAT就是防火墙，在RED HAT9.0下自带防火墙 IPTABLS
　　我们在做好网络设置后，假如要实现客户端（win98）通过服务端上网（静态NAT），可以在命令行下直接打入
　　iptables -t nat -A POSTROUTING -o eth1 -j SNAT - to 202.204.208.5
　　说明：
　　-t nat : 调用nat表，调用这个表说明遇到了产生新的连接的包。
　　-A ：该命令将一条规则附加到链的末尾。
　　POSTROUTING：指定正当信息包打算离开防火墙时改变它们的规则。
　　-o eth1：输出接口为ETH1
　　-j SNAT：跳转，也叫触发条件，当满足Snat规则是便发生跳转
　　整条语句的意思为：　当防火墙遇到产生新的连接的包，则在他要离开防火墙时改变他的源ip为202.204.208.5并且从ETH1出口送出。
　　
　　nat的规则指定完成后，还要打开IP转发功能：
　　echo 1 > /proc/sys/net/ipv

IDS和IPS的区别

200877484@qq.com(猪圈的cool猪) — Fri, 26 Sep 2008 07:43:57 GMT

IDS和IPS的区别很多朋友在学网络时会遇到网络防御系统，但在工程图上只画上一个防御系统，没有具体标明是什么系统。
在日常中，我们常用的是IDS和IPS，入侵防御和入侵检测系统。

那什么是IDS呢？早期的IDS仅仅是一个监听系统，在这里，你可以把监听理解成窃听的意思。基于目前局网的工作方式，IDS可以将用户对位于与IDS同一交换机/HuB的服务器的访问、操作全部记录下来以供分析使用，跟我们常用的widnows操作系统的事件查看器类似。再后来，由于IDS的记录太多了，所以新一代的IDS提供了将记录的数据进行分析，仅仅列出有危险的一部分记录，这一点上跟目前windows所用的策略审核上很象；目前新一代的IDS，更是增加了分析应用层数据的功能，使得其能力大大增加；而更新一代的IDS，就颇有“路见不平，拔刀相助”的味道了，配合上防火墙进行联动，将IDS分析出有敌意的地址阻止其访问。
就如理论与实际的区别一样，IDS虽然具有上面所说的众多特性，但在实际的使用中，目前大多数的入侵检测的接入方式都是采用pass-by方式来侦听网络上的数据流，所以这就限制了IDS本身的阻断功能，IDS只有靠发阻断数据包来阻断当前行为，并且IDS的阻断范围也很小，只能阻断建立在TCP基础之上的一些行为，如Telnet、FTP、HTTP等，而对于一些建立在UDP基础之上就无能为力了。因为防火墙的策略都是事先设置好的，无法动态设置策略，缺少针对攻击的必要的灵活性，不能更好的保护网络的安全，所以IDS与防火墙联动的目的就是更有效地阻断所发生的攻击事件，从而使网络隐患降至较低限度。

IPS（Intrusion Prevention System , 入侵防御系统）对于初始者来说，IPS位于防火墙和网络的设备之间。这样，如果检测到攻击，IPS会在这种攻击扩散到网络的其它地方之前阻止这个恶意的通信。IDS只是存在于你的网络之外起到报警的作用，而不是在你的网络前面起到防御的作用。
　　
IPS检测攻击的方法也与IDS不同。目前有很多种IPS系统，它们使用的技术都不相同。但是，一般来说，IPS系统都依靠对数据包的检测。IPS将检查入网的数据包，确定这种数据包的真正用途，然后决定是否允许这种数据包进入你的网络。
IDS和IPS系统有一些重要的区别。如果你要购买有效的安全设备，如果你使用IPS而不是使用IDS，你的网络通常会更安全。

它们两的大区别还有就是IDS是旁路系统，与普通机子一样，放在一边进行监听数据包，不会影响网络，当危险发生时，只会发出警告，而不会对网络采取手段。而IPS是穿透设备，是让所有流量经过IPS再到网络中，可能检查每个数据包，当发生危险时，可以采用各种手段中断危险操作。

如果你的网络流量不是很大，那么IPS绝对是首选，但如果你是是大型网络的核心，有各种类型的流量，建议使用IDS进行安全，如果IPS没选好的话，及有可能整个网络的速度被IPS的最大吞吐量限制。