论坛: 系统集成 标题: 网络管理经验五例 复制本贴地址    
作者: feng5 [feng5]       登录
一、网卡的安装问题

---- 安装网卡的关键是:选择正确的网卡设备驱动,网卡的中断号和中断地址不能存在资源冲突。

---- 可是笔者遇到:在WIN95中安装Dlink 10M即插即用网卡和TCP/IP协议后,用ping工具探测网关不通,探测自身网卡地址却正常。在控制面版->系统的设备管理中,发现网卡无资源冲突标记,驱动情况正常,用另一台工作正常的客户机来检查网线,网络通道也正常。进一步,检查网卡的资源分配情况,发现其中断号为12,取消其自动分配功能,手工设置其中断号,再ping网关,网通了。 

---- 原来,有些主版即插即用的功能不完善,给即插即用网卡分别了系统已占用的资源,在WIN95控制面版中检查网卡的配置情况却正常,造成假象。 

---- 以上的修改方法,对于PCI网卡,又不灵了,原因是不能手工设置PCI网卡的中断号。怎么办呢?在微机主板的CMOS中,去除中断12的即插即用分配,重启系统,让系统重新配置网卡资源,避开中断12的分配。
 

二、客户机上联口的快速定位

---- IP地址是Internet /Intranet网上主机通讯的逻辑地址,由用户手动设置或系统自动分配。局域网上若有两台主机IP地址相重,则两台主机相互报警,造成应用混乱。在校园网上,有几百台,甚至上千台主机上网,如何控制IP地址盗用呢?

---- 采用Vlan虚网技术,可控制一段IP地址在某一Vlan中使用,而在其它Vlan中无效。但在同一Vlan的有效IP范围内,仍然会出现IP盗用。

---- 我们利用3COM周边交换机记录上网网卡MAC地址的功能,从盗用IP的MAC地址追踪其客户机上联交换机的端口位置,然后禁止此端口的使用,并用行政手段对盗用者采取处罚措施,彻底根治IP盗用事件。具体方法如下:
 
---- 1、建立合法的客户机IP-MAC对应数据库;

---- 2、利用简单网络协议定期从NB2 3COM路由器中读取mib库地址1.3.6.1.2.1.3.1.1.2 中IP-MAC表,如下所示:IP地址202.112.162.2的MAC地址为00104B04B81A 

1.3.6.1.2.1.3.1.1.2.129.1.202.112.162.1 = 08 00 02 1A 81 C3

1.3.6.1.2.1.3.1.1.2.129.1.202.112.162.2 = 00 10 4B 04 B8 1A

1.3.6.1.2.1.3.1.1.2.129.1.202.112.162.3 = 00 10 4B 04 B8 A5

1.3.6.1.2.1.3.1.1.2.129.1.202.112.162.5 = 00 10 4B 0D 71 08

1.3.6.1.2.1.3.1.1.2.129.1.202.112.162.12 = 00 10 4B 0D 70 CE

---- 依照标准数据库,检查是否有新的MAC地址或IP-MAC不对应的MAC地址。若有,则执行下一步。

---- 3、在二十几台交换机3COM SW1000中,读取mib库地址1.3.6.1.4.1.43.10.9.5.1.6.1 中的MAC地址表。下表为某台交换机记录的部分下联口网卡MAC表,第三口上联一台主机,第九口上联3台主机。 

1.3.6.1.4.1.43.10.9.5.1.6.1.3.1 = 00 80 C8 78 53 8C

1.3.6.1.4.1.43.10.9.5.1.6.1.4.1 = 00 80 C8 E3 24 45

1.3.6.1.4.1.43.10.9.5.1.6.1.9.1 = 00 00 21 E7 00 9E

1.3.6.1.4.1.43.10.9.5.1.6.1.9.2 = 00 80 C8 E3 3D 52

1.3.6.1.4.1.43.10.9.5.1.6.1.9.3 = 00 00 21 E5 05 3F

1.3.6.1.4.1.43.10.9.5.1.6.1.24.1 = 00 80 C8 E3 58 60

---- 找出此盗用IP的MAC地址出自哪台交换机的哪个端口,并发信通知网络管理员。

---- 4、网络管理员确认后,禁止此交换机端口的使用。 

---- 另外,可以简化以上步骤, 将上述第三步,设计成CGI公共网关接口程序,根据用户反映的盗用IP地址或MAC地址,在Web网页上输入此地址,调用MAC定位的CGI程序,返回该MAC地址上联交换机端口的位置。
 

三、系统数据的备份

---- 常采用磁带机来备份大容量数据,但对于少量的系统关键数据,用两台主机间硬盘备份更方便、灵活,如定时发电子邮件或用FTP将数据传至另一台机器上。备份时,应注意数据的安全性、可靠性,如:防止网上数据的截获、防止已损害数据复盖原来备份的数据。我们在两台UNIX主机间,利用UNIX的信任关系,实现数据远程拷贝,将一台主机中的关键数据先加密,用cron定期将此数据拷贝到另一台主机。

---- 具体方法如下: 

---- 1、建立机器B (hostb) 信任机器A (hosta)的信任关系。 

---- 在hostb主机的用户backdata根目录下建.rhost文件,内容为:hosta root。 

---- 表明hosta的root用户有权在hostb的用户backdata目录下进行远程操作。 

---- 2、在hosta中,编写远程拷贝Shell程序backdata.sh。将源文件按当前月份和星期几备份,备份数据每周复盖一次。 

# /root/backdata.sh

month=`date +"%y%m"`

weekday=`date +"%a"`

rcp /root/db.dat backdata@hostb:db.dat.${month}

rcp /root/db.dat backdata@hostb:db.dat.${weekday}

---- 3、在hosta中,用crontab -e设计定时操作:每天2点钟执行上述程序。

0 2 * * * /root/backdata.sh > > /root/backdata.log

四、Windows与Linux间的资源共享

---- 1、从Windows共享linux资源

---- 小红帽redhat 6.0中自带编译好的samba程序,提供samba文件共享服务。首先,设置配置文件/etc/smb.conf。如下所示,设置:本机的工作组或域名,netbios机器名,本地或NT域控制器口令认证方法;本地认证时,需要用命令/usr/bin/smbpasswd生成用户口令文件/etc/smbpasswd;设置共享目录:如film共享目录对应实际目录/disk1/film。

[global]

    # workgroup = NT-Domain-Name or Workgroup-Name

    workgroup = cauic

    # netbios name = 机器名

    netbios name = linuxzrm

# server string is the equivalent of

the NT Description field

    server string = Linuxzou Samba Server

# security =用户认证方法:

本地认证(user)或域控制器认证(server)

    security = user

    ; security = server

    # 本地认证时,用此口令文件

    smb passwd file = /etc/smbpasswd

    encrypt passwords = yes

    guest account = nobody

    allow hosts = 202.112.162.

    deny hosts = all

[film]

    available = yes

    path = /disk1/film

---- 修改配置后,可用工具testparm测试此配置是否正常。然后,执行/etc/rc.d/init.d/smb start|restart启动或重启smaba服务(包括smbd和nmbd服务)。

---- 现在,可以在windows下浏览cauic工作组下机器名为linuxzrm的共享资源。

---- 2、从linux共享windows资源 

---- 利用linux的工具smbmount将windows下共享目录按smb文件系统,装载到本机目录下。下面的shell程序(需超级用户执行)表明,以用户名为zoup、口令为z12345身份,将windows服务器VOD下共享目录rmcontent,装载到本机/vodcontent目录下,安装点属于本机用户zou用户组staff。 

# /home/zou/mountvod.sh

smbmount "//vod/rmcontent" -c 'mount /vodcontent

-u zou -g staff' -U zoup%z12345

---- 将以上命令放到系统启动文件中,系统每次启动后,会自动装载windows共享目录。如:在文件/etc/rc.d/rc.local中添加以下语句:

if [ -f /home/zou/mountvod.sh ]; then

  echo mounting  //vod/rmconten

  /home/zou/mountvod.sh > > /home/zou/mountvod.log

fi

五、cisco路由器IP流量的获取

---- 用cisco路由器作网际路由器时,一般都利用cisco的IP包过滤功能来统计IP流量。方法是在cisco路由器的每个出入口添加ip accounting output-packets命令,cisco路由器会自动统计这些端口的IP流量。

---- 常用snmp或telnet终端仿真(show ip account)方法,获取IP流量。在Cisco IOS v.11以上版本中,提供了http服务器功能,用户可从WWW网页管理cisco路由器,不需要任何编程,即可很容易地采集IP流量,为了安全起见,还可限制访问服务器的客户机。方法如下: 

Access-list 10 permit 202.112.162.5

Ip http server

Ip http access-list 10

---- 在客户机202.112.162.5中,用网页下载工具wget定期采集、清除IP流量。方法如下: 

#读取IP流量,存入outpu-packets网页文件中

wget --http-user=admin --http-passwd=cisco
http://cisco/exec/show/ip/accounting/output-packets

#清除采集过的IP流量

wget --http-user=admin --http-passwd=cisco

http://cisco/exec//clear/ip/accounting/CR

在网页outpu-packets中,读取标识符< pre >、

< /pre >之间的IP流量表,来实现统计IP流量。 

  Source            Destination    Packets    Bytes

202.112.175.7    202.205.10.30        3          592

202.112.175.175  203.207.176.15      17        2000

202.112.168.22    202.96.44.134        1          40

202.112.164.5    202.103.134.58      1          40

202.112.175.201  202.114.98.12        3          430

202.112.164.151  202.96.49.1          6          279



地主 发表时间: 04-05-22 13:20

回复: pl521 [pl521]   论坛用户   登录
内容还可以 http://hao521314.home.bj001.net来这看看吧!

B1层 发表时间: 04-05-22 18:54

回复: feng5 [feng5]      登录
是什么呀,打不开嘛!

B2层 发表时间: 04-05-23 17:39

论坛: 系统集成

20CN网络安全小组版权所有
Copyright © 2000-2010 20CN Security Group. All Rights Reserved.
论坛程序编写:NetDemon

粤ICP备05087286号