深圳长宽技术维护手册初稿.doc

深圳长宽技术维护手册第一部分：机房日常维护机房是小区网络的核心，若机房有问题，则整个小区都会受影响，故确保机房网络环境有助于整个小区网络质量的改善。1， 打扫机房卫生：保证机房地面干净，无杂物（杂物包括坏设备、过期宣传单、不用的电源线、配置线、网线、光纤等），机房内无蜘蛛网2， 清理设备卫生：保证机房设备无灰尘（用手触摸进行检测），保证设备散热风扇正常运转，清理散热风扇处的灰尘。3， 整理机房线缆（光纤和网线）：机房内的网线和光纤必须整理整齐，按续放置或捆匝在机架的两边，光纤和网线的两端必须打标（具体打标规则后面介绍），并且标签必须准确。4， 整理机房电源插座：为了防止机房进水引起整个网络中断，电源插座不能随意放置在地面上，必须捆匝在机架旁边或者固定在机柜托盘上，必须紧固插座，防止插座松动。有问题的插座（电源线插不牢固或已经损坏）必须立即更换。5， 检查机房门和锁：机房门和锁必须完好，有问题的必须立即通知公司相关部门，并且必须随时跟进，确保门锁能够尽快进行更换。6， 机房内光纤配线架：必须干净，所有配线架上的不使用光纤接口必须用专用帽子盖住，以防止灰尘进入。7， 机房出入登记：机房内必须有出入记录本，所有进出机房人员必须填写出入记录。8， 其他：注意机房漏水、进水以及是否有老鼠进入机房的痕迹等等。若有问题能自己处理的立即予以处理，否则请立即通知公司相关职能部门。第二部分：故障处理故障处理中最重要的是找到故障节点，只要能够找到故障节点，则故障很好解决，那么怎样找出故障节点呢？有经验的老运维，可以利用经验很快能够找到故障点，若没有相关经验，我们也可以使用排除法和替换法找出故障节点。一、运维必配工具：1， 螺丝刀（一字螺丝刀和十字螺丝刀）（必带）2， 压线钳（必带）3， 水晶头数个（4至5个）（必带）4， 网线测线器一个（必带）5， 笔记本电脑（可选）6， 标签纸一张（附圆珠笔一支）（必带）二、运维必备知识：1，网络管理的基础知识网络协议是网络管理的基础知识，要做好运维工作必须掌握以下网络协议及概念：TCP/IP协议、MAC地址、UDP协议、ARP协议、ICMP协议，具体概念见后。2，故障处理常用命令：诊断工具-Ping命令说明： Ping是测试网络联接状况以及信息包发送和接收状况非常有用的工具，是网络测试最常用的命令。Ping向目标主机(地址)发送一个回送请求数据包，要求目标主机收到请求后给予答复，从而判断网络的响应时间和本机是否与目标主机(地址)连通。命令格式：pingIP地址或主机名-t-a-ncount-lsize参数含义： -t 不停地向目标主机发送数据； -a以IP地址格式来显示目标主机的网络地址； -ncount指定要Ping多少次，具体次数由count来指定； -l size指定发送到目标主机的数据包的大小。结果说明：Ping命令有4种返回结果：1、“Requesttimedout.”表示没有收到目标主机返回的响应数据包，也就是网络不通或网络 状态恶劣2、“ReplyfromX.X.X.X:bytes=32time运行，win98/me输入command，win2000以上输入cmd打开命令提示符窗口。输入命令：ping 这个IP地址被定义为本机IP地址，我们现在要做的事情就是先PING一下自己，根据返回的结果来确定我们下一步要做什么。 如果返回的是第2种结果，则表示您的网卡驱动及TCP/IP都是正常的，可以进行下一步了。 如果返回的是第四种结果则表示您的网卡驱动程序或TCP/IP有问题，此时您应该检查一下网卡驱动程序是否安装正确完好，TCP/IP协议是否安装。 把网卡驱动程序及TCP/IP协议设置好后，检查一下现在能否上网，如果还是无法上网，这时就要进行第二步了。 检查您的计算机到网关之间的线路在命令提示符窗口下输入ipconfig命令，将返回您的计算机在网络上的IP地址（IPAddress）、子网掩码（SubnetMask）及网关（DefaultGateway）如果您的计算机使用的是自动获取IP，而在IPAddress后面显示的是169.XXX.XXX.XXX的IP地址则您的计算机并没有从DHCP服务器上获取到可用的计算机IP地址。这时可以使用命令ipconfig/renew重新获取一下IP（win98/me使用ipconfig/renew_all），一般情况下都可以获取得正确的IP地址，当然前提是DHCP服务器正常。如果一直获取不到正确的IP地址，这时则要检查： 是否防火墙软件阻挡了网卡的通信，如WindowsXP的防火墙。 检查网线是否连接正常，水晶头是否松动。一般是看网卡的灯和重新插拔网线； 检查楼道交换机和光电收发器或者楼道级联线是否完好。 获取到正确的IP地址、子网掩码及网关地址后，就可以使用Ping工具来探测本地计算机和网关之间是否连通了。 运行命令Ping网关地址后，如果返回的结果正常，而IE依然打不开网页，这个时候就应该进行第三步工作了。如果返回的结果不正常，则说明您的计算机和网关主机网络不正常。检查intenet连接 DNS在命令提示符窗口下PING一个著名的网站，比如，如果正常的话，将会返回的IP地址，如果提示P.Pleasecheckthenameandtryagain.则说明没有获取到网站的IP地址，请检查用户DNS设置是否正确。我们的DNS：或者如果DNS设置正确，请网管检查DNS服务器是否工作正常。检查DNS是否工作正常可以使用例外一个命令nslookup三、故障处理方法：1， 排除法：是指当出现网络故障时，不能很快找到故障点，使用此方法来定位故障点，并排出故障。案例如下：比如某小区用户出现丢包故障，携带笔记本在机房和楼道进行测试都发现ping内网ip有丢包现象，很难找到故障节点，这样的话就可以使用排除法来派查故障，具体操作如下：在机房中，首先拔掉小区中心交换机至上联光电的链路，把笔记本接到小区的上联光电上，看是否丢包，若不丢包，则可以排除上联光电问题，紧接着恢复中心交换机与上联光电的链路，然后把笔记本电脑接到中心交换机上，在ping内网ip的情况下，逐一拔掉中心交换机的下联网线，直至找到是那一跟下联网线引起丢包，最后再到引起丢包的下联网线所连接的楼道中去测试，直至找到引起整个小区丢包的用户为止。2， 替换法：是指不能判断网络点时，使用更换设备和线缆的方法来判断故障点。案例如下：比如用户投诉说网络很慢，上门后发现不能立即判断是什么原因引起此问题，这样就可以使用替换法来解决，首先，使用自己的笔记本电脑代替用户电脑，看是否出现相同故障，若没有出现相同故障，则说明用户电脑有问题。很多东西都可以使用此方法来解决，比如：怀疑楼道交换机有问题，可以更换一台楼道交换机，看更换后是否故障现象消失。还有，比如怀疑用户家连接楼道交换机端口有问题，则可以给用户更换楼道交换机端口，等等，此方法可以广泛使用。四、用户端故障：1，软件故障：系统中病毒、浏览器问题（打不开浏览器、打开很多链接、自己设置代理服务器、装了网络助手等）、网卡驱动（丢失或没装）2，硬件故障:用户家自己网络设备问题（自己的路由器、交换机故障）、网卡问题（配置不当、损坏等）、用户家线路问题（水晶头、信息模块）3，用户私自架设非法dhcp服务问题：用户不能得到长宽合法公网IP（220.112,211.162,6），而是得到192.168或者172或者10开头的ip，则说明小区内部有人做了dhcp服务器，用户没有从我们长宽的dhcp服务器获取ip，而是从非法dhcp服务器获取ip，这说明我们小区的vlan划分没有作好。解决此问题的方法是：首先使用ipconfig/all命令，查看dhcp server的ip地址，然后使用arp a命令查看dhcp server的ip地址所对应的mac地址，若不能查到mac地址，则使用ping dhcp服务器ip,然后再使用arp a命令，这样就可以发现dhcp服务器的mac地址，把此mac地址上报调度值班人员，让其查出此dhcp server的用户的信息，然后上门要求用户删除其所建立的dhcp server，若调度查不出此用户的信息，那么就只能使用排除法来定位非法dhcp服务器的位置了。定位出用户后，然后上门要求用户停止使用dhcp服务器。五、上门处理故障流程六、认证故障1， 用户名或密码出错2， 用户帐号被暂停3， 通过认证但没有计时窗口出现，这是因为用户装了某些软件导致计时窗口被屏蔽，例如网络助手等。4， 非正常注销导致用户IP被盗用。第三部分：基本知识：IP地址：众所周知，在电话通讯中，电话用户是靠电话号码来识别的。同样，在网络中为了区别不同的计算机，也需要给计算机指定一个号码，这个号码就是“IP地址”。什么是IP地址所谓IP地址就是给每个连接在Internet上的主机分配的一个32bit地址。按照TCP/IP（Transport Control Protocol/Internet Protocol，传输控制协议/Internet协议）协议规定，IP地址用二进制来表示，每个IP地址长32bit，比特换算成字节，就是4个字节。例如一个采用二进制形式的IP地址是“00001010000000000000000000000001”，这么长的地址，人们处理起来也太费劲了。为了方便人们的使用，IP地址经常被写成十进制的形式，中间使用符号“.”分开不同的字节。于是，上面的IP地址可以表示为“”。IP地址的这种表示法叫做“点分十进制表示法”，这显然比1和0容易记忆得多。有人会以为，一台计算机只能有一个IP地址，这种观点是错误的。我们可以指定一台计算机具有多个IP地址，因此在访问互联网时，不要以为一个IP地址就是一台计算机；另外，通过特定的技术，也可以使多台服务器共用一个IP地址，这些服务器在用户看起来就像一台主机似的。如何分配IP地址TCP/IP协议需要针对不同的网络进行不同的设置，且每个节点一般需要一个“IP地址”、一个“子网掩码”、一个“默认网关”。不过，可以通过动态主机配置协议（DHCP），给客户端自动分配一个IP地址，避免了出错，也简化了TCP/IP协议的设置。那么，局域网怎么分配IP地址呢？互联网上的IP地址统一由一个叫“IANA”（Internet Assigned Numbers Authority，互联网网络号分配机构）的组织来管理。附表：局域网使用的ip地址范围由于分配不合理以及IPv4协议本身存在的局限，现在互联网的IP地址资源越来越紧张，为了解决这一问题，IANA将A、B、C类IP地址的一部分保留下来，留作局域网使用的IP地址空间，保留IP的范围如附表所示。保留的IP地址段不会在互联网上使用，因此与广域网相连的路由器在处理保留IP地址时，只是将该数据包丢弃处理，而不会路由到广域网上去，从而将保留IP地址产生的数据隔离在局域网内部。在局域网内计算机数量少于254台的情况下，一般在C类IP地址段里选择IP地址范围就可以了，如从“”到“192.168.1. 254”。如何设置IP地址那么如何来设置IP地址呢？以Windows 2000 Server为例，在桌面的“网上邻居”上右击，在弹出的菜单中点击“属性”，出现“网络和拨号连接”窗口，在“本地连接”上右击，在弹出的菜单中点击“属性”，出现“本地连接属性”窗口（请见附图），双击“Internet协议（TCP/IP）”，出现“Internet协议（TCP/IP）属性”窗口，在“使用下面的IP地址”中输入IP地址，此处我们输入“45”，子网掩码是“”。大家都知道，从一个房间走到另一个房间，必然要经过一扇门。同样，从一个网络向另一个网络发送信息，也必须经过一道“关口”，这道关口就是网关。什么是网关顾名思义，网关（Gateway）就是一个网络连接到另一个网络的“关口”。按照不同的分类标准，网关也有很多种。TCP/IP协议里的网关是最常用的，在这里我们所讲的“网关”均指TCP/IP协议下的网关。那么网关到底是什么呢？网关实质上是一个网络通向其他网络的IP地址。比如有网络A和网络B，网络A的IP地址范围为“192. 168.1.254”，子网掩码为；网络B的IP地址范围为“54”，子网掩码为。在没有路由器的情况下，两个网络之间是不能进行TCP/IP通信的，即使是两个网络连接在同一台交换机（或集线器）上，TCP/IP协议也会根据子网掩码（）判定两个网络中的主机处在不同的网络里。而要实现这两个网络之间的通信，则必须通过网关。如果网络A中的主机发现数据包的目的主机不在本地网络中，就把数据包转发给它自己的网关，再由网关转发给网络B的网关，网络B的网关再转发给网络B的某个主机（如附图所示）。网络B向网络A转发数据包的过程也是如此。所以说，只有设置好网关的IP地址，TCP/IP协议才能实现不同网络之间的相互通信。那么这个IP地址是哪台机器的IP地址呢？网关的IP地址是具有路由功能的设备的IP地址，具有路由功能的设备有路由器、启用了路由协议的服务器（实质上相当于一台路由器）、代理服务器（也相当于一台路由器）。什么是默认网关如果搞清了什么是网关，默认网关也就好理解了。就好像一个房间可以有多扇门一样，一台主机可以有多个网关。默认网关的意思是一台主机如果找不到可用的网关，就把数据包发给默认指定的网关，由这个网关来处理数据包。现在主机使用的网关，一般指的是默认网关。如何设置默认网关一台电脑的默认网关是不可以随随便便指定的，必须正确地指定，否则一台电脑就会将数据包发给不是网关的电脑，从而无法与其他网络的电脑通信。默认网关的设定有手动设置和自动设置两种方式。1. 手动设置手动设置适用于电脑数量比较少、TCP/IP参数基本不变的情况，比如只有几台到十几台电脑。因为这种方法需要在联入网络的每台电脑上设置“默认网关”，非常费劲，一旦因为迁移等原因导致必须修改默认网关的IP地址，就会给网管带来很大的麻烦，所以不推荐使用。在Windows 9x中，设置默认网关的方法是在“网上邻居”上右击，在弹出的菜单中点击“属性”，在网络属性对话框中选择“TCP/IP协议”，点击“属性”，在“默认网关”选项卡中填写新的默认网关的IP地址就可以了。需要特别注意的是：默认网关必须是电脑自己所在的网段中的IP地址，而不能填写其他网段中的IP地址。2. 自动设置自动设置就是利用DHCP服务器来自动给网络中的电脑分配IP地址、子网掩码和默认网关。这样做的好处是一旦网络的默认网关发生了变化时，只要更改了DHCP服务器中默认网关的设置，那么网络中所有的电脑均获得了新的默认网关的IP地址。这种方法适用于网络规模较大、TCP/IP参数有可能变动的网络。TCP/UDP篇我们学习过什么是“数据包”。理解数据包，对于网络管理的网络安全具有至关重要的意义。比如，防火墙的作用本质就是检测网络中的数据包，判断其是否违反了预先设置的规则，如果违反就加以阻止。图1就是瑞星个人版防火墙软件设置规则的界面。细心的读者会发现，图1中的“协议”栏中有“TCP”、“UDP”等名词，它们是什么意思呢？现在我们就来讲讲什么是TCP和UDP。面向连接的TCP“面向连接”就是在正式通信前必须要与对方建立起连接。比如你给别人打电话，必须等线路接通了、对方拿起话筒才能相互通话。图1TCP（Transmission Control Protocol，传输控制协议）是基于连接的协议，也就是说，在正式收发数据前，必须和对方建立可靠的连接。一个TCP连接必须要经过三次“对话”才能建立起来，其中的过程非常复杂，我们这里只做简单、形象的介绍，你只要做到能够理解这个过程即可。我们来看看这三次对话的简单过程：主机A向主机B发出连接请求数据包：“我想给你发数据，可以吗？”，这是第一次对话；主机B向主机A发送同意连接和要求同步（同步就是两台主机一个在发送，一个在接收，协调工作）的数据包：“可以，你什么时候发？”，这是第二次对话；主机A再发出一个数据包确认主机B的要求同步：“我现在就发，你接着吧！”，这是第三次对话。三次“对话”的目的是使数据包的发送和接收同步，经过三次“对话”之后，主机A才向主机B正式发送数据。TCP协议能为应用程序提供可靠的通信连接，使一台计算机发出的字节流无差错地发往网络上的其他计算机，对可靠性要求高的数据通信系统往往使用TCP协议传输数据。图2我们来做一个实验，用计算机A（安装Windows 2000 Server操作系统）从“网上邻居”上的一台计算机B拷贝大小为8,644,608字节的文件，通过状态栏右下角网卡的发送和接收指标就会发现：虽然是数据流是由计算机B流向计算机A，但是计算机A仍发送了3,456个数据包，如图2所示。这些数据包是怎样产生的呢？因为文件传输时使用了TCP/IP协议，更确切地说是使用了面向连接的TCP协议，计算机A接收数据包的时候，要向计算机B回发数据包，所以也产生了一些通信量。图3如果事先用网络监视器监视网络流量，就会发现由此产生的数据流量是9,478,819字节，比文件大小多出10.96%（如图3所示），原因不仅在于数据包和帧本身占用了一些空间，而且也在于TCP协议面向连接的特性导致了一些额外的通信量的产生。面向非连接的UDP协议“面向非连接”就是在正式通信前不必与对方先建立连接，不管对方状态就直接发送。这与现在风行的手机短信非常相似：你在发短信的时候，只需要输入对方手机号就OK了。UDP（User Data Protocol，用户数据报协议）是与TCP相对应的协议。它是面向非连接的协议，它不与对方建立连接，而是直接就把数据包发送过去！图4UDP适用于一次只传送少量数据、对可靠性要求不高的应用环境。比如，我们经常使用“ping”命令来测试两台主机之间TCP/IP通信是否正常，其实“ping”命令的原理就是向对方主机发送UDP数据包，然后对方主机确认收到数据包，如果数据包是否到达的消息及时反馈回来，那么网络就是通的。例如，在默认状态下，一次“ping”操作发送4个数据包（如图2所示）。大家可以看到，发送的数据包数量是4包，收到的也是4包（因为对方主机收到后会发回一个确认收到的数据包）。这充分说明了UDP协议是面向非连接的协议，没有建立连接的过程。正因为UDP协议没有连接的过程，所以它的通信效果高；但也正因为如此，它的可靠性不如TCP协议高。QQ就使用UDP发消息，因此有时会出现收不到消息的情况。附表：tcp协议和udp协议的差别TCP协议和UDP协议各有所长、各有所短，适用于不同要求的通信环境。TCP协议和UDP协议之间的差别如附表所示。ARP协议篇我们知道，当我们在浏览器里面输入网址时，DNS服务器会自动把它解析为IP地址，浏览器实际上查找的是IP地址而不是网址。那么IP地址是如何转换为第二层物理地址（即MAC地址）的呢？在局域网中，这是通过ARP协议来完成的。ARP协议对网络安全具有重要的意义。通过伪造IP地址和MAC地址实现ARP欺骗，能够在网络中产生大量的ARP通信量使网络阻塞。所以网管们应深入理解ARP协议。一、什么是ARP协议ARP协议是“Address Resolution Protocol”（地址解析协议）的缩写。在局域网中，网络中实际传输的是“帧”，帧里面是有目标主机的MAC地址的。在以太网中，一个主机要和另一个主机进行直接通信，必须要知道目标主机的MAC地址。但这个目标MAC地址是如何获得的呢？它就是通过地址解析协议获得的。所谓“地址解析”就是主机在发送帧前将目标IP地址转换成目标MAC地址的过程。ARP协议的基本功能就是通过目标设备的IP地址，查询目标设备的MAC地址，以保证通信的顺利进行。二、ARP协议的工作原理在每台安装有TCP/IP协议的电脑里都有一个ARP缓存表，表里的IP地址与MAC地址是一一对应的，如附表所示。附表我们以主机A（）向主机B（）发送数据为例。当发送数据时，主机A会在自己的ARP缓存表中寻找是否有目标IP地址。如果找到了，也就知道了目标MAC地址，直接把目标MAC地址写入帧里面发送就可以了；如果在ARP缓存表中没有找到相对应的IP地址，主机A就会在网络上发送一个广播，目标MAC地址是“FF.FF.FF.FF.FF.FF”，这表示向同一网段内的所有主机发出这样的询问：“的MAC地址是什么？”网络上其他主机并不响应ARP询问，只有主机B接收到这个帧时，才向主机A做出这样的回应：“的MAC地址是00-aa-00-62-c6-09”。这样，主机A就知道了主机B的MAC地址，它就可以向主机B发送信息了。同时它还更新了自己的ARP缓存表，下次再向主机B发送信息时，直接从ARP缓存表里查找就可以了。ARP缓存表采用了老化机制，在一段时间内如果表中的某一行没有使用，就会被删除，这样可以大大减少ARP缓存表的长度，加快查询速度。三、如何查看ARP缓存表ARP缓存表是可以查看的，也可以添加和修改。在命令提示符下，输入“arp -a”就可以查看ARP缓存表中的内容了，如附图所示。用“arp -d”命令可以删除ARP表中某一行的内容；用“arp -s”可以手动在ARP表中指定IP地址与MAC地址的对应。ICMP协议篇对TCP/IP协议你一定非常熟悉，但是对ICMP协议你可能就一无所知了。ICMP协议是一个非常重要的协议，它对于网络安全具有极其重要的意义。下面我们就来谈谈ICMP协议。什么是ICMP协议ICMP是“Internet Control Message Protocol”（Internet控制消息协议）的缩写。它是TCP/IP协议族的一个子协议，用于在IP主机、路由器之间传递控制消息。控制消息是指网络通不通、主机是否可达、路由是否可用等网络本身的消息。这些控制消息虽然并不传输用户数据，但是对于用户数据的传递起着重要的作用。我们在网络中经常会使用到ICMP协议，只不过我们觉察不到而已。比如我们经常使用的用于检查网络通不通的Ping命令，这个“Ping”的过程实际上就是ICMP协议工作的过程。还有其他的网络命令如跟踪路由的Tracert命令也是基于ICMP协议的。ICMP的重要性ICMP协议对于网络安全具有极其重要的意义。ICMP协议本身的特点决定了它非常容易被用于攻击网络上的路由器和主机。例如，在1999年8月海信集团“悬赏”50万元人民币测试防火墙的过程中，其防火墙遭受到的ICMP攻击达334050次之多，占整个攻击总数的90%以上！可见，ICMP的重要性绝不可以忽视！比如，可以利用操作系统规定的ICMP数据包最大尺寸不超过64KB这一规定，向主机发起“Ping of Death”（死亡之Ping）攻击。“Ping of Death” 攻击的原理是：如果ICMP数据包的尺寸超过64KB上限时，主机就会出现内存分配错误，导致TCP/IP堆栈崩溃，致使主机死机。此外，向目标主机长时间、连续、大量地发送ICMP数据包，也会最终使系统瘫痪。大量的ICMP数据包会形成“ICMP风暴”，使得目标主机耗费大量的CPU资源处理，疲于奔命。应对ICMP攻击虽然ICMP协议给黑客以可乘之机，但是ICMP攻击也并非无药可医。只要在日常网络管理中未雨绸缪，提前做好准备，就可以有效地避免ICMP攻击造成的损失。对于“Ping of Death”攻击，可以采取两种方法进行防范：第一种方法是在路由器上对ICMP数据包进行带宽限制，将ICMP占用的带宽控制在一定的范围内，这样即使有ICMP攻击，它所占用的带宽也是非常有限的，对整个网络的影响非常少；第二种方法就是在主机上设置ICMP数据包的处理规则，最好是设定拒绝所有的ICMP数据包。设置ICMP数据包处理规则的方法也有两种，一种是在操作系统上设置包过滤，另一种是在主机上安装防火墙。具体设置如下：1在Windows 2000 Server中设置ICMP过滤Windows 2000 Server提供了“路由与远程访问”服务，但是默认情况下是没有启动的，因此首先要启动它：点击“管理工具”中的“路由与远程访问”，启动设置向导。在其中选择“手动配置服务器”项，点击下一步按钮。稍等片刻后，系统会提示“路由和远程访问服务现在已被安装。要开始服务吗？”，点击是按钮启动服务。服务启动后，在计算机名称的分支下会出现一个“IP路由选择”，点击它展开分支，再点击“常规”，会在右边出现服务器中的网络连接（即网卡）。用鼠标右键点击你要配置的网络连接，在弹出的菜单中点击“属性”，会弹出一个网络连接属性的窗口，如图1所示。图1图1中有两个按钮，一个是“输入筛选器”（指对此服务器接受的数据包进行筛选），另一个是“输出筛选器”（指对此服务器发送的数据包进行筛选），这里应该点击输入筛选器 按钮，会弹出一个“添加筛选器”窗口，再点击添加按钮，表示要增加一个筛选条件。在“协议”右边的下拉列表中选择“ICMP”，在随后出现的“ICMP类型”和“ICMP编码”中均输入“255”，代表所有的ICMP类型及其编码。ICMP有许多不同的类型（Ping就是一种类型），每种类型也有许多不同的状态，用不同的“编码”来表示。因为其类型和编码很复杂，这里不再叙述。点击确定按钮返回“输入筛选器”窗口，此时会发现“筛选器”列表中多了一项内容（如图2所示）。点击确定按钮返回“本地连接”窗口，再点击确定按钮，此时筛选器就生效了，从其他计算机上Ping这台主机就不会成功了。图22 用防火墙设置ICMP过滤现在许多防火墙在默认情况下都启用了ICMP过滤的功能。如果没有启用，只要选中“防御ICMP攻击”、“防止别人用ping命令探测”就可以了，如图3所示。图3通过以上讲解，你现在知道ICMP的重要性了吧？赶紧给你的服务器设置ICMP过滤吧。虚拟局域网技术 （vlan）交换式以太网使用透明桥接（Transparent Bridging）技术，该技术由IEEE 802.1协议给出明确的定义。所谓透明是针对主机而言的，主机不需要知道其他主机所在的位置，而交换机将负责把一个主机产生的数据帧传给另一个主机。 有很多企业在发展的初期，人员较少 ，因此对网络的要求也不高，而且为了节约成本，很多企业网都采用了通过路由器实现分段的简单结构，如图1所示。在这样的网络下，每一个局域网上的广播数据包都可以被该段上的所有设备收到，而无论这些设备是否需要。 图1 简单的网络分段随着企业规模的不断扩大，特别是多媒体在企业局域网中的应用，使每个部门内部的数据传输量非常大。此外，由于公司发展中一些遗留下来的问题，使得一个部门的员工不能相对集中办公。更重要的是，公司的财务部门需要越来越高的安全性，不能和其他的部门混用一个以太网段，以防止数据窃听。这些新问题需要更灵活地配置局域网，因此就产生了虚拟局域网（Virtual LAN）技术。 VLAN概念的引入，使交换机承担了网络的分段工作，而不再使用路由器来完成。VLAN的经典拓扑结构见图2。VLAN具有控制广播、安全性高和灵活性及可扩展性等技术优势。 图2 VLAN的网络分段通过使用VLAN，能够把原来一个物理的局域网划分成很多个逻辑意义上的子网，而不必考虑具体的物理位置，每一个VLAN都可以对应于一个逻辑单位，如部门、车间和项目组等。由于在相同VLAN内的主机间传送的数据不会影响到其他VLAN上的主机，因此减少了数据交互的可能性，极大地增强了网络的安全性。 光纤的基础知识 光纤主要分为两类：单模光纤(Single-mode Fiber)：一般光纤跳线用黄色表示，接头和保护套为蓝色；传输距离较长。多模光纤(Multi-mode Fiber)：一般光纤跳线用橙色表示，也有的用灰色表示，接头和保护套用米色或者黑色；传输距离较短。光纤使用注意！光纤跳线两端的光模块的收发波长必须一致，也就是说光纤的两端必须是相同波长的光模块，简单的区分方法是光模块的颜色要一致。一般的情况下，短波光模块使用多模光纤（橙色 的光纤），长波光模块使用单模光纤（黄色光纤），以保证数据传输的准确性。光纤在使用中不要过度弯曲和绕环，这样会增加光在传输过程的衰减。光纤跳线使用后一定要用保护套将光纤接头保护起来，灰尘和油污会损害光纤的耦合。SC-STSCLCpage术语缩写SFP: Small Form Factor Pluggable SFF: Small Form Factor XFP: 10 Gigabit Small Form Factor PluggableMU: Miniature Unit LC: Lucent Connector SC: Subscriber Connector FC: Fiber Connector MTRJ: MT ferrule, Register Jack latch ST: Straight Tip FC 网线的使用与制作方法：直通线与交叉线的区别正线，即直通线 ，标准568B）：两端线序一样，从左至右线序是：白橙，橙，白绿，蓝，白蓝，绿，白棕，棕。反线，即交叉线 ，（568A）：一端为正线的线序，另一端为从左至右：白绿，绿，白橙，蓝，白蓝，橙，白棕，棕。以下是各种设备的连接情况下，正线和反线的正确选择。其中HUB代表集线器，SWITCH代表交换机，ROUTER代表路由器：PC-PC:反线PC-HUB:正线HUB-HUB普通口:反线HUB-HUB级连口-级连口：反线HUB-HUB普通口-级连口：正线HUB-SWITCH:反线HUB(级联口）-SWITCH:正线SWITCH-SWITCH:反线SWITCH-ROUTER:正线ROUTER-ROUTER:反线100BaseT连接双绞线，以100Mb/S的EIA/TIA 568B作为标准规格。制作步骤如下：步骤 1：利用斜口错剪下所需要的双绞线长度，至少 0.6米，最多不超过 100米。然后再利用双绞线剥线器（实际用什么剪都可以）将双绞线的外皮除去23厘米。 有一些双绞线电缆上含有一条柔软的尼龙绳，如果您在剥除双绞线的外皮时，觉得裸露出的部分太短，而不利于制作RJ45接头时，可以紧握双绞线外皮，再捏住尼龙线往外皮的下方剥开，就可以得到较长的裸露线。（如图） 步骤2：剥线完成后的双绞线电缆如右图所示。步骤3：接下来就要进行拨线的操作。将裸露的双绞线中的橙色对线拨向自己的前方，棕色对线拨向自己的方向，绿色对线剥向左方，蓝色对线剥向右方，如图所示。 上：橙 左：绿 下：棕 右：蓝 步骤4：将绿色对线与蓝色对线放在中间位置，而橙色对线与棕色对线保持不动， 即放在靠外的位置，如图所示。 左一：橙 左二：绿 左三：蓝 左四：棕步骤5：小心的剥开每一对线，因为我们是遵循EIATIA 568B的标准来制作接头，所以线对颜色是有一定顺序的（如图所示）。 需要特别注意的是，绿色条线应该跨越蓝色对线。这里最容易犯错的地方就是将白绿线与绿线相邻放在一起，这样 会造成串扰，使传输效率降低。 左起：白橙橙白绿蓝白蓝绿白棕棕 常见的错误接法是将绿色线放到第4只脚的位置（如图所示）。 应该将绿色线放在第6只脚的位置才是正确的，因为在100BaseT网络中，第3只脚与第6只脚是同一对的，所以需要使用同一对残。（见标准EIATIA 568B） 左起：白橙橙白绿绿白蓝蓝白棕棕步骤 6：将裸露出的双绞线用剪刀或斜口钳剪下只剩约 14mm的长度，之所以留下这个长度是为了符合EIATIA的标准，您可以参考有关用RJ-45接头和双绞线制作标准的介绍。最后再将双绞线的每一根线依序放入RJ45接头的引脚内，第一只引脚内应该放白橙色的线，其余类推，如图 步骤7：确定双绞线的每根线已经正确放置之后，就可以用RJ45压线钳压接RJ45接头，如右图 市面上还有一种RJ45接头的保护套，可以防止接头在拉扯时造成接触不良。使用这种保护套时，需要在压接RJ45接头之前就将这种胶套插在双绞线电缆上，如图。 步骤8：重复步骤2到步骤7，再制作另一端的RJ45接头。因为工作站与集线器之间是直接对接，所以另一端RJ45接头的引脚接法完全一样。完成后的连接线两端的RJ45接头无论引脚和颜色都完全样，这种连接方法适用于ADSL MODEM和计算机网卡之间的连接，计算机与集线器（交换机）之间的连接。完成的RJ45接头应该如下图所示。交叉网线用于ADSL MODEM和集线器HUB的连接（与MODEM设计有关系，并非全部如此），HUB与HUB之间不通过级连口的连接，以及两台计算机直接通过网卡相互连接。制作方法和上面基本相同，只是在线序上不像568B，采用了1-3,2-6交换的方式，也就是一头使用568B制作，另外一头使用568A制作第四部分：FAQ:问：我知道网卡与网卡连接、网卡与Hub连接所使用的跳线制作方法并不相同。可是，有时候一种线竟然在哪儿都能使用，都可以连接成功。到底什么情况下使用直通线，什么时候又该使用交叉线呢?答：一、以下情况必须使用交叉线：1.两台计算机通过网卡直接连接（即所谓的双机直连）时；2.以级联方式将集线器或交换机的普通端口连接在一起时。二、以下情况必须使用直通线：1.计算机连接至集线器或交换机时；2.一台集线器或交换机以Up-Link端口连接至另一台集线器或交换机的普通端口时；3.集线器或交换机与路由器的LAN端口连接时。三、以下情况既可使用直通线，也可使用交叉线：1.集线器或交换机的RJ-45端口拥有极性识别功能，可以自动判断所连接的另一端设备，并自动实现MDI/MDI-间的切换；2.集线器或交换机的特定端口拥有MDI/MDI-开关，可通过拨动该开关选择使用直通线或交叉线与其他集线设备连接。问：用户连接的是100Mbps以太网交换机端口，为什么在传输文件时系统提示只有800KB900KB/s的传输速率，有时候甚至会更少?答：这是因为速率的计量方式不同。一种是Bit比特位，一种是Byte字节。通常在1个Byte里有8个Bits。网络带宽通常以bps（标称bit/s）作为计量单位，即“Bits-Per-Second（每秒的比特位数量，通常又被译为波特率）”，而许多下载工具软件的计量单位是Byte/s，所以，两者之间相差8倍。除开计量方式的问题，网络无法达到标称传输速率的主要原因包括：网卡的原因。如果网卡质量不好，发出的数据包经常出现错误，导致数据包经常重发，或收到的数据包错误比较多，也会导致拷贝文件速度降低。网线的原因。如果网线太长，信号衰减比较厉害，或者虽然网线距离近，但网线质量不好，也不能达到理论速度。另外，当网络繁忙时，也达不到理想速度。启动时网卡报错问：用户的电脑在开机时总会出现以下信息：intel undipxe-build 082copyright c 1997-200 intel corporationfor realtek rtl8139a/b/c/rtl8130 pci fast ethernet controllerv2.110012105CLIENT MAC ADDR00 E0 4C B3 32 FC GUIDFFFFFFFF-FFFF-FFFF-FFFF-FFFFFFFFFFFFDHCP.PXE-E51NO DHCP OR proxyDHCP OFFERS WERE RECEIVEDPXE-MOFEXITING PXE ROM.请问是怎么回事?答：这是因为此电脑的网卡启用了BOOT ROM芯片的引导功能，而且网卡带有PXE的引导芯片之后所造成的。可以这样解决：如果网卡是集成在主板上的，或者将网上的启动程序写进了BIOS中，可以从BIOS设置中修改系统的引导顺序，如设置硬盘最先引导，或者从BIOS中禁止网卡启动系统。如果网卡不是集成的，则可以拔掉网卡上的引导芯片或者用网卡设置程序，禁止网卡的BootROM引导功能也可以关机，然后在开机之后，当出现“Press Shift-F10 Configure”时，马上按“Shift+F10”组合键，进入菜单之后，从第4行中将Boot order rom设置为disable，然后按F4键保存退出。问：用户家的电脑，网卡安装正确，在设备管理器中显示正常，并且可以看到它的型号是8139，网络也是畅通的，就是不能上网，重装操作系统也不能上网，如果把这个网卡拿到别的电脑去装上，则在设备管理器中有