一、网卡的安装问题
---- 安装网卡的关键是:选择正确的网卡设备驱动,网卡的中断号和中断地址不能存在资源冲突。
---- 可是笔者遇到:在WIN95中安装Dlink 10M即插即用网卡和TCP/IP协议后,用ping工具探测网关不通,探测自身网卡地址却正常。在控制面版->系统的设备管理中,发现网卡无资源冲突标记,驱动情况正常,用另一台工作正常的客户机来检查网线,网络通道也正常。进一步,检查网卡的资源分配情况,发现其中断号为12,取消其自动分配功能,手工设置其中断号,再ping网关,网通了。
---- 原来,有些主版即插即用的功能不完善,给即插即用网卡分别了系统已占用的资源,在WIN95控制面版中检查网卡的配置情况却正常,造成假象。
---- 以上的修改方法,对于PCI网卡,又不灵了,原因是不能手工设置PCI网卡的中断号。怎么办呢?在微机主板的CMOS中,去除中断12的即插即用分配,重启系统,让系统重新配置网卡资源,避开中断12的分配。
二、客户机上联口的快速定位
---- IP地址是Internet /Intranet网上主机通讯的逻辑地址,由用户手动设置或系统自动分配。局域网上若有两台主机IP地址相重,则两台主机相互报警,造成应用混乱。在校园网上,有几百台,甚至上千台主机上网,如何控制IP地址盗用呢?
---- 采用Vlan虚网技术,可控制一段IP地址在某一Vlan中使用,而在其它Vlan中无效。但在同一Vlan的有效IP范围内,仍然会出现IP盗用。
---- 我们利用3COM周边交换机记录上网网卡MAC地址的功能,从盗用IP的MAC地址追踪其客户机上联交换机的端口位置,然后禁止此端口的使用,并用行政手段对盗用者采取处罚措施,彻底根治IP盗用事件。具体方法如下:
---- 1、建立合法的客户机IP-MAC对应数据库;
---- 2、利用简单网络协议定期从NB2 3COM路由器中读取mib库地址1.3.6.1.2.1.3.1.1.2 中IP-MAC表,如下所示:IP地址202.112.162.2的MAC地址为00104B04B81A
1.3.6.1.2.1.3.1.1.2.129.1.202.112.162.1 = 08 00 02 1A 81 C3
1.3.6.1.2.1.3.1.1.2.129.1.202.112.162.2 = 00 10 4B 04 B8 1A
1.3.6.1.2.1.3.1.1.2.129.1.202.112.162.3 = 00 10 4B 04 B8 A5
1.3.6.1.2.1.3.1.1.2.129.1.202.112.162.5 = 00 10 4B 0D 71 08
1.3.6.1.2.1.3.1.1.2.129.1.202.112.162.12 = 00 10 4B 0D 70 CE
---- 依照标准数据库,检查是否有新的MAC地址或IP-MAC不对应的MAC地址。若有,则执行下一步。
---- 3、在二十几台交换机3COM SW1000中,读取mib库地址1.3.6.1.4.1.43.10.9.5.1.6.1 中的MAC地址表。下表为某台交换机记录的部分下联口网卡MAC表,第三口上联一台主机,第九口上联3台主机。
1.3.6.1.4.1.43.10.9.5.1.6.1.3.1 = 00 80 C8 78 53 8C
1.3.6.1.4.1.43.10.9.5.1.6.1.4.1 = 00 80 C8 E3 24 45
1.3.6.1.4.1.43.10.9.5.1.6.1.9.1 = 00 00 21 E7 00 9E
1.3.6.1.4.1.43.10.9.5.1.6.1.9.2 = 00 80 C8 E3 3D 52
1.3.6.1.4.1.43.10.9.5.1.6.1.9.3 = 00 00 21 E5 05 3F
1.3.6.1.4.1.43.10.9.5.1.6.1.24.1 = 00 80 C8 E3 58 60
---- 找出此盗用IP的MAC地址出自哪台交换机的哪个端口,并发信通知网络管理员。
---- 4、网络管理员确认后,禁止此交换机端口的使用。
---- 另外,可以简化以上步骤, 将上述第三步,设计成CGI公共网关接口程序,根据用户反映的盗用IP地址或MAC地址,在Web网页上输入此地址,调用MAC定位的CGI程序,返回该MAC地址上联交换机端口的位置。
三、系统数据的备份
---- 常采用磁带机来备份大容量数据,但对于少量的系统关键数据,用两台主机间硬盘备份更方便、灵活,如定时发电子邮件或用FTP将数据传至另一台机器上。备份时,应注意数据的安全性、可靠性,如:防止网上数据的截获、防止已损害数据复盖原来备份的数据。我们在两台UNIX主机间,利用UNIX的信任关系,实现数据远程拷贝,将一台主机中的关键数据先加密,用cron定期将此数据拷贝到另一台主机。
---- 具体方法如下:
---- 1、建立机器B (hostb) 信任机器A (hosta)的信任关系。
---- 在hostb主机的用户backdata根目录下建.rhost文件,内容为:hosta root。
---- 表明hosta的root用户有权在hostb的用户backdata目录下进行远程操作。
---- 2、在hosta中,编写远程拷贝Shell程序backdata.sh。将源文件按当前月份和星期几备份,备份数据每周复盖一次。
# /root/backdata.sh
month=`date +"%y%m"`
weekday=`date +"%a"`
rcp /root/db.dat backdata@hostb:db.dat.${month}
rcp /root/db.dat backdata@hostb:db.dat.${weekday}
---- 3、在hosta中,用crontab -e设计定时操作:每天2点钟执行上述程序。
0 2 * * * /root/backdata.sh > > /root/backdata.log
四、Windows与Linux间的资源共享
---- 1、从Windows共享linux资源
---- 小红帽redhat 6.0中自带编译好的samba程序,提供samba文件共享服务。首先,设置配置文件/etc/smb.conf。如下所示,设置:本机的工作组或域名,netbios机器名,本地或NT域控制器口令认证方法;本地认证时,需要用命令/usr/bin/smbpasswd生成用户口令文件/etc/smbpasswd;设置共享目录:如film共享目录对应实际目录/disk1/film。
[global]
# workgroup = NT-Domain-Name or Workgroup-Name
workgroup = cauic
# netbios name = 机器名
netbios name = linuxzrm
# server string is the equivalent of
the NT Description field
server string = Linuxzou Samba Server
# security =用户认证方法:
本地认证(user)或域控制器认证(server)
security = user
; security = server
# 本地认证时,用此口令文件
smb passwd file = /etc/smbpasswd
encrypt passwords = yes
guest account = nobody
allow hosts = 202.112.162.
deny hosts = all
[film]
available = yes
path = /disk1/film
---- 修改配置后,可用工具testparm测试此配置是否正常。然后,执行/etc/rc.d/init.d/smb start|restart启动或重启smaba服务(包括smbd和nmbd服务)。
---- 现在,可以在windows下浏览cauic工作组下机器名为linuxzrm的共享资源。
---- 2、从linux共享windows资源
---- 利用linux的工具smbmount将windows下共享目录按smb文件系统,装载到本机目录下。下面的shell程序(需超级用户执行)表明,以用户名为zoup、口令为z12345身份,将windows服务器VOD下共享目录rmcontent,装载到本机/vodcontent目录下,安装点属于本机用户zou用户组staff。
# /home/zou/mountvod.sh
smbmount "//vod/rmcontent" -c 'mount /vodcontent
-u zou -g staff' -U zoup%z12345
---- 将以上命令放到系统启动文件中,系统每次启动后,会自动装载windows共享目录。如:在文件/etc/rc.d/rc.local中添加以下语句:
if [ -f /home/zou/mountvod.sh ]; then
echo mounting //vod/rmconten
/home/zou/mountvod.sh > > /home/zou/mountvod.log
fi
五、cisco路由器IP流量的获取
---- 用cisco路由器作网际路由器时,一般都利用cisco的IP包过滤功能来统计IP流量。方法是在cisco路由器的每个出入口添加ip accounting output-packets命令,cisco路由器会自动统计这些端口的IP流量。
---- 常用snmp或telnet终端仿真(show ip account)方法,获取IP流量。在Cisco IOS v.11以上版本中,提供了http服务器功能,用户可从WWW网页管理cisco路由器,不需要任何编程,即可很容易地采集IP流量,为了安全起见,还可限制访问服务器的客户机。方法如下:
Access-list 10 permit 202.112.162.5
Ip http server
Ip http access-list 10
---- 在客户机202.112.162.5中,用网页下载工具wget定期采集、清除IP流量。方法如下:
#读取IP流量,存入outpu-packets网页文件中
wget --http-user=admin --http-passwd=cisco
http://cisco/exec/show/ip/accounting/output-packets
#清除采集过的IP流量
wget --http-user=admin --http-passwd=cisco
http://cisco/exec//clear/ip/accounting/CR
在网页outpu-packets中,读取标识符< pre >、
< /pre >之间的IP流量表,来实现统计IP流量。
Source Destination Packets Bytes
202.112.175.7 202.205.10.30 3 592
202.112.175.175 203.207.176.15 17 2000
202.112.168.22 202.96.44.134 1 40
202.112.164.5 202.103.134.58 1 40
202.112.175.201 202.114.98.12 3 430
202.112.164.151 202.96.49.1 6 279
阅读:20次
责任编辑:liuqing9906