史萊姆論壇

返回   史萊姆論壇 > 教學文件資料庫 > 網路軟硬體架設技術文件
忘記密碼?
註冊帳號 論壇說明 標記討論區已讀

歡迎您來到『史萊姆論壇』 ^___^

您目前正以訪客的身份瀏覽本論壇,訪客所擁有的權限將受到限制,您可以瀏覽本論壇大部份的版區與文章,但您將無法參與任何討論或是使用私人訊息與其他會員交流。若您希望擁有完整的使用權限,請註冊成為我們的一份子,註冊的程序十分簡單、快速,而且最重要的是--註冊是完全免費的!

請點擊這裡:『註冊成為我們的一份子!』

Google 提供的廣告


 
 
主題工具 顯示模式
舊 2004-07-18, 01:47 AM   #1
psac
榮譽會員
 
psac 的頭像
榮譽勳章
UID - 3662
在線等級: 級別:30 | 在線時長:1048小時 | 升級還需:37小時級別:30 | 在線時長:1048小時 | 升級還需:37小時級別:30 | 在線時長:1048小時 | 升級還需:37小時級別:30 | 在線時長:1048小時 | 升級還需:37小時級別:30 | 在線時長:1048小時 | 升級還需:37小時
註冊日期: 2002-12-07
住址: 木柵市立動物園
文章: 17381
現金: 5253 金幣
資產: 33853 金幣
預設 多款ADSL路由端口映射的方法

合勤ZyXel的prestige600(642)

1.先將你的IP位址指定在192.168.1.*的網段。
2.telnet192.168.1.1預設的密碼是1234
3.進入主表單第1項的1項。
RouteIP=Yes
RouteIPX=No
Bridge=No
4.進入主表單第3項的2項
          Menu3.2-TCP/IPandDHCPEthernetSetup

          DHCPSetup
           DHCP=None
           ClientIPPoolStartingAddress=N/A
           SizeofClientIPPool=N/A
           PrimaryDNSServer=N/A
           SecondaryDNSServer=N/A
           RemoteDHCPServer=N/A
          TCP/IPSetup:
           IPAddress=192.168.1.1(這是路由器的IP位址)
           IPSubnetMask=255.255.255.0
           RIPDirection=Both
            Version=RIP-1
           Multicast=None
           IPPolicies=
           EditIPAlias=No
          PressENTERtoConfirmorESCtoCancel:
PressSpaceBartoToggle.
5.進入主表單第11項的1項
RouteIP=Yes
Bridge=No
在user和password上填上你的PPPOE的用戶名和密碼。儲存。ok

6.進入24項的1項,等第一行變成UP就可以上網了。
7.NAT,進入15項在DEFAULT後面填上你的電腦的IP位址就可以了~(不支持win98的PWS。)

華碩6000EV/6005HW ADSL MODEM中設定連接阜映射(轉發)

在主表單中點「NAT」,會有個「nat channel list」,以在內部pc 192.168.1.2上架設web server為例子,web的一般預設連接阜是80,設定如下: 在nat channel list裡面的mupltiple port forwarding裡面填寫以下內容:

action: add
channel no:1
protocol:tcp
incoming port, begin:80, end :80
new port begin:80,end :80
new ip address:192.168.1.2。

LINKSYS ADSL路由器中中設定連接阜映射(轉發)

在主表單中點「advanced」,接下來的表單中有個「forwarding」,以在內部pc 192.168.1.2上架設web server為例子,web的一般預設連接阜是80,設定如下:

extport: 80 to 80
ip address:192.168.1.2

然後點擊「apply」就可以了。
psac 目前離線  
送花文章: 3, 收花文章: 1630 篇, 收花: 3204 次
舊 2004-07-18, 01:48 AM   #2 (permalink)
榮譽會員
 
psac 的頭像
榮譽勳章
UID - 3662
在線等級: 級別:30 | 在線時長:1048小時 | 升級還需:37小時級別:30 | 在線時長:1048小時 | 升級還需:37小時級別:30 | 在線時長:1048小時 | 升級還需:37小時級別:30 | 在線時長:1048小時 | 升級還需:37小時級別:30 | 在線時長:1048小時 | 升級還需:37小時
註冊日期: 2002-12-07
住址: 木柵市立動物園
文章: 17381
現金: 5253 金幣
資產: 33853 金幣
預設

寬頻藍色小精靈路由器中設定連接阜映射(轉發)

在進階設定頁面下點「Distributed Servers Setup(Virtual Serves,虛擬主機設定)」
每個Virtual Server 定義為一個Service Port,所有對這個連接阜的訪問都會重轉發IP到相應的Service IP 所對應的電腦。

例如,假如您要:

在電腦192.168.123.10 上架設FTP 伺服器。(port 21)
在電腦192.168.123.20 上架設Email的smtp 伺服器。(port 25)
在電腦192.168.123.30 上架設Web 伺服器。(port 80)
在電腦192.168.123.40 上架設Pop伺服器。(port 110)

那麼,您就需要在此頁作如下設定:

Service Service Port Service IP Enable
FTP 21 192.168.123.10 √
Email 25 192.168.123.20 √
Web 80 192.168.123.30 √
Post Office 110 192.168.123.40 √

全向1680ADSL成功連接阜映射

我的網咖形式:全向adsl(帶路由)+hub
沒有伺服器,

我的目的:把其中的一機器(192。168。1。14)對外網提供web和ftp服務。
方法:進入全向adsl的設定項目,然後進入進階設定項目,選項虛擬伺服器,會看到有三個空白,如果只想在192。168。1。14假設web和ftp可以這樣填寫:

8080192。168。1。14按一下add
2121192。168。1。14按一下add

然後儲存設定,陸由器重新啟動撥號。

裝軟體:映射以後在192。168。1。14安裝動態dns軟體,然後安裝web和ftp軟體就可以了,經我實驗,完全正常。

但架設傳奇伺服器時候,出現問題,請架設過此類傳奇的人,向我提供一下架設的方法,主要是傳奇server端ip的設定,我始終沒弄好,望有經驗的指點。

金寶(kinpo)A400上做連接阜映射

這個路由器的連接阜轉發在「(packetfilter)」裡。

以架設web伺服器為例子,路由器的Lan位址為192.168.1.1,web伺服器的ip位址為192.168.1.2(一定要和路由器的Lan的ip在同一個網段)。具體為:

  使能包過濾功能:打勾。
  源位址:任意ip,打勾
  連接阜號:80
  目標位址:你的局內網機器的ip為192.168.1.2,
  目標連接阜:80。
  優先級:任意數位咯
  傳輸協定:tcp
  動作:allow。
  然後點增加就可以了。
psac 目前離線  
送花文章: 3, 收花文章: 1630 篇, 收花: 3204 次
舊 2004-07-18, 01:49 AM   #3 (permalink)
榮譽會員
 
psac 的頭像
榮譽勳章
UID - 3662
在線等級: 級別:30 | 在線時長:1048小時 | 升級還需:37小時級別:30 | 在線時長:1048小時 | 升級還需:37小時級別:30 | 在線時長:1048小時 | 升級還需:37小時級別:30 | 在線時長:1048小時 | 升級還需:37小時級別:30 | 在線時長:1048小時 | 升級還需:37小時
註冊日期: 2002-12-07
住址: 木柵市立動物園
文章: 17381
現金: 5253 金幣
資產: 33853 金幣
預設

貝爾6309上做連接阜映射

這個路由器是在lineconfiguration裡面的配置。

以架設web伺服器為例子,路由器的Lan位址為192.168.1.1,web伺服器的ip位址為192.168.1.2(一定要和路由器的Lan的ip在同一個網段)。具體為:

在「lineconfiguration」的「Nat」的「inbound」裡面

  port:80
  host:192.168.1.2,
  protocol:tcp
  然後「add」就可以了。ftp則增加21連接阜的,作email伺服器的是要設定25,110的連接阜。

下表是一些一般的網路服務和對應的連接阜號。

服務名稱連接阜號/傳輸協定[別名]#註釋

ftp-data20/tcp #FTP,data
ftp21/tcp #FTP.control
telnet23/tcp
smtp25/tcpmail #SimpleMailTransferProtocol
time37/tcptimserver
time37/udptimserver
domain53/tcp #DomainNameServer
domain53/udp #DomainNameServer
tftp69/udp #TrivialFileTransfer
gopher70/tcp
http80/tcpwwwwww-http #WorldWideWeb
pop3110/tcp #PostOfficeProtocol-Version3
nntp119/tcpusenet #NetworkNewsTransferProtocol
netbios-ns137/tcpnbname #NETBIOSNameService
netbios-ns137/udpnbname #NETBIOSNameService
netbios-dgm138/udpnbdatagram #NETBIOSDatagramService
netbios-ssn139/tcpnbsession #NETBIOSSessionService
imap143/tcpimap4#InternetMessageAccessProtocol
snmp161/udp #SNMP
snmptrap162/udpsnmp-trap #SNMPtrap
irc194/tcp #InternetRelayChatProtocol
ipx213/udp #IPXoverIP
ldap389/tcp #LightweightDirectoryAccessProtocol
https443/tcpMCom
https443/udpMCom
uucp540/tcpuucpd
ldaps636/tcpsldap #LDAPoverTLS/SSL
doom666/tcp #DoomIdSoftware
doom666/udp #DoomIdSoftware
phone1167/udp #Conferencecalling
ms-sql-s1433/tcp #Microsoft-SQL-Server
ms-sql-s1433/udp #Microsoft-SQL-Server
ms-sql-m1434/tcp #Microsoft-SQL-Monitor
ms-sql-m1434/udp #Microsoft-SQL-Monitor
wins1512/tcp #MicrosoftWindowsInternetNameService
wins1512/udp #MicrosoftWindowsInternetNameService
l2tp1701/udp #LayerTwoTunnelingProtocol
pptp1723/tcp #Point-to-pointtunnellingprotocol
radius1812/udp #RADIUSauthenticationprotocol
radacct1813/udp #RADIUSaccountingprotocol
nfsd2049/udpnfs #NFSserver
knetd2053/tcp #Kerberosde-multiplexor
man9535/tcp #RemoteManServer
__________________
http://bbsimg.qianlong.com/upload/01/08/29/68/1082968_1136014649812.gif
psac 目前離線  
送花文章: 3, 收花文章: 1630 篇, 收花: 3204 次
舊 2006-03-28, 12:50 PM   #4 (permalink)
榮譽會員
 
psac 的頭像
榮譽勳章
UID - 3662
在線等級: 級別:30 | 在線時長:1048小時 | 升級還需:37小時級別:30 | 在線時長:1048小時 | 升級還需:37小時級別:30 | 在線時長:1048小時 | 升級還需:37小時級別:30 | 在線時長:1048小時 | 升級還需:37小時級別:30 | 在線時長:1048小時 | 升級還需:37小時
註冊日期: 2002-12-07
住址: 木柵市立動物園
文章: 17381
現金: 5253 金幣
資產: 33853 金幣
預設

路由器的組態與偵錯技術

路由器在電腦網路中有著舉足輕重的地位,是電腦網路的橋樑。通過它不僅可以連通不同的網路,還能選項資料傳送的路徑,並能阻隔非法的訪問。

路由器的組態對初學者來說,並不是件十分容易的事。現將路由器的一般組態和簡單偵錯介紹給大家,供朋友們在組態路由器時參考,本文以Cisco2501為例。

Cisco2501有一個乙太網口(AUI)、一個Console口(RJ45)、一個AUX口(RJ45)和兩個同步串列阜,支持DTE和DCE設備,支持 EIA/TIA-232、 EIA/TIA-449、 V.35 、X.25和EIA-530接頭。

一.組態

1.組態乙太網連接阜

# conf t(從終端組態路由器)

# int e0(指定E0口)

# ip addr ABCD XXXX(ABCD 為乙太網位址,XXXX為子網路遮罩)

# ip addr ABCD XXXX secondary(E0口同時支持兩個位址檔案類型。如果第一個為 A類位址,則第二個為B或C類位址)

# no shutdown(啟動E0口)

# exit

完成以上組態後,用ping指令檢查E0口是否正常。如果不正常,一般是因為沒有啟動該連接阜,初學者往往容易忽視。用no shutdown指令啟動E0口即可。

2.X.25的組態

# conf t

# int S0(指定S0口)

# ip addr ABCD XXXX(ABCD 為乙太網S0 的IP位址,XXXX為子網路遮罩)

# encap X25-ABC(封裝X.25傳輸協定。ABC指定X.25為DTE或DCE操作,預設為DTE)

# x25 addr ABCD(ABCD為S0的X.25連接阜位址,由郵電局提供)

# x25 map ip ABCD XXXX br(映射的X.25位址。ABCD為對方路由器(如:S0)的IP 位址,XXXX為對方路由器(如:S0)的X.25連接阜位址)

# x25 htc X(組態最高雙向通道數。X的取值範圍1-4095,要根據 郵電局實際提供的數位組態)

# x25 nvc X(組態虛電路數,X不可超過郵電局實際提供的數否則將影響資料的正常傳輸)

# exit

S0連接阜組態完成後,用no shutdown指令啟動E0口。如果ping S0連接阜正常,ping 映射的X.25 IP位址即對方路由器連接阜IP位址不通,則可能是以下幾種情況引起的:1)本地機X.25位址組態錯誤,重新與郵局核對(X.25位址長度為13位);2)本地機映射IP位址或X.25位址組態錯誤,重新組態正確;3)對方IP位址或X.25位址組態錯誤;4)本地機或對方路由組態錯誤。

能夠與對方通訊,但有丟失封包現象。出現這種情況,一般有以下幾種可能:1)線路情況不好,或網路卡、RJ45插頭接觸不良;2)x25 htc最高雙向通道數X的取值範圍和x25nvc 虛電路數X超出郵電局實際提供的數位。最高雙向通道數和虛電路數這兩個值越大越好,但絕對不能超出郵電局實際提供的數位,否則就會出現丟失封包現象。

3.專線的組態

# conf t

# intS2(指定S2口)

# ip addr ABCD XXXX(ABCD 為S2 的IP位址,XXXX為子網路遮罩)

# exit

專線口組態完成後,用no shutdown指令啟動S2口即可。

4.畫格中繼的組態

# conf t

# int s0

# ip addr ABCD XXXX (ABCD 為S0 的IP位址,XXXX為子網路遮罩)

# encap frante_relay (封裝frante_relay 傳輸協定)

# no nrzi_encoding (NRZI=NO)

# frame_relay lmi_type q933a (LMI使用Q933A標準.LMI(Local management Interface) 有3種:ANSI:T1.617、CCITTY:Q933A和Cisco特有的標準)

# fram-relay intf-typ ABC(ABC為畫格中繼設備檔案類型,它們分別是DTE設備、DCE交換機或NNI(網路接點接頭)支持)

# frame_relay interface_dlci 110 br(組態DLCI(資料鏈路連接標幟符))

# frame-relay map ip ABCD XXXX broadcast (建立畫格中繼映射。ABCD為對方IP位址,XXXX為本機DLCI號,broadcast允許廣播向前轉發或更新路由)

# no shutdown (啟動本連接阜)

# exit

畫格中繼S0連接阜組態完成後,用ping指令檢查S0口。如果不正常,通常是因為沒有啟動該連接阜,用no shutdown指令啟動S0口即可。如果ping S0連接阜正常,ping 映射的IP位址不正常,則可能是畫格中繼交換機或對方組態錯誤,需要綜合排查。

5.組態同步/異步口(適用於2522)

# conf t

# int s2

# ph asyn (組態S2為異步口)

# ph sync (組態S2為同步口)

6.動態路由的組態

# conf t

# router eigrp 20 (使用EIGRP路由傳輸協定。常用的路由傳輸協定有RIP、IGRP、IS-IS等)

# passive-interface serial0 (若S0與X.25相連,則輸入本條指令)

# passive-interface serial1 (若S1與X.25相連,則輸入本條指令)

# network ABCD (ABCD為本地機的乙太網位址)

# network XXXX (XXXX為S0的IP位址)

# no auto-summary

# exit

7.靜態路由的組態

# ip router ABCD XXXX YYYY 90 (ABCD為對方路由器的乙太網位址,XXXX 為子網路遮罩,YYYY為對方對應的廣域網連接阜位址)

# dialer-list 1 protocol ip permail

二. 綜合偵錯

當路由器全部組態完畢後,可進行一次綜合偵錯。

1.首先將路由器的乙太網口和所有要使用的串列阜都啟動。方法是進入該口,執行no shutdown。

2.將和路由器相連的主機加上預設路由(中心路由器的以太位址)。方法是在Unix系統的超級用戶下執行:router add default XXXX 1(XXXX為路由器的E0口位址)。每台主機都要加預設路由,否則,將不能正常通訊。

3.ping本地機的路由器乙太網口,若不通,可能乙太網口沒有啟動或不在一個網段上。ping廣域網口,若不通,則沒有加預設路由。ping對方廣域網口,若不通,路由器組態錯誤。ping主機乙太網口,若不通,對方主機沒有加預設路由。

4.在專線卡X.25主機上加網路閘道(靜態路由)。方法是在Unix系統的超級用戶下執行:router add X.X.X.X Y.Y.Y.Y 1(X.X.X.X為對方乙太網位址,Y.Y.Y.Y為對方廣域網位址)。

5.使用Tracert對路由進行跟蹤,以確定不通網段。
psac 目前離線  
送花文章: 3, 收花文章: 1630 篇, 收花: 3204 次
舊 2006-04-08, 02:25 PM   #5 (permalink)
榮譽會員
 
psac 的頭像
榮譽勳章
UID - 3662
在線等級: 級別:30 | 在線時長:1048小時 | 升級還需:37小時級別:30 | 在線時長:1048小時 | 升級還需:37小時級別:30 | 在線時長:1048小時 | 升級還需:37小時級別:30 | 在線時長:1048小時 | 升級還需:37小時級別:30 | 在線時長:1048小時 | 升級還需:37小時
註冊日期: 2002-12-07
住址: 木柵市立動物園
文章: 17381
現金: 5253 金幣
資產: 33853 金幣
預設

教你讀懂路由表

教你讀懂路由表

源碼:--------------------------------------------------------------------------------
Active Routes:
Network Destination Netmask Gateway Interface Metric
0.0.0.0 0.0.0.0 192.168.123.254 192.168.123.88 1
0.0.0.0 0.0.0.0 192.168.123.254 192.168.123.68 1
127.0.0.0 255.0.0.0 127.0.0.1 127.0.0.1 1
192.168.123.0 255.255.255.0 192.168.123.68 192.168.123.68 1
192.168.123.0 255.255.255.0 192.168.123.88 192.168.123.88 1
192.168.123.68 255.255.255.255 127.0.0.1 127.0.0.1 1
192.168.123.88 255.255.255.255 127.0.0.1 127.0.0.1 1
192.168.123.255 255.255.255.255 192.168.123.68 192.168.123.68 1
192.168.123.255 255.255.255.255 192.168.123.88 192.168.123.88 1
224.0.0.0 224.0.0.0 192.168.123.68 192.168.123.68 1
224.0.0.0 224.0.0.0 192.168.123.88 192.168.123.88 1
255.255.255.255 255.255.255.255 192.168.123.68 192.168.123.68 1
Default Gateway: 192.168.123.254 ----------------------------------------------------


現用的路由:
destination 目的網段
mask 子網路遮罩
interface 到達該目的地的本路由器的出口ip
gateway 下一跳路由器入口的ip,路由器通過interface和gateway定義一調到下一個路由器的鏈路,通常情況下,interface和gateway是同一網段的
metric 跳數,該條路由記錄的品質,一般情況下,如果有多條到達相同目的地的路由記錄,路由器會採用metric值小的那條路由

第一條
預設路由:意思就是說,當一個資料包的目的網段不在你的路由記錄中,那麼,你的路由器該把那個資料包傳送到哪裡!預設路由的網路閘道是由你的連接上的default gateway決定的
該路由記錄的意思是:當我接收到一個資料包的目的網段不在我的路由記錄中,我會將該資料包通過192.168.123.88這個接頭傳送到192.168.123.254這個位址,這個位址是下一個路由器的一個接頭,這樣這個資料包就可以交付給下一個路由器處理,與我無關。該路由記錄的線路品質 1


第二條
預設路由:該路由記錄的意思是:當我接收到一個資料包的目的網段不在我的路由記錄中,我會將該資料包通過192.168.123.68這個接頭傳送到192.168.123.254這個位址,這個位址是下一個路由器的一個接頭,這樣這個資料包就可以交付給下一個路由器處理,與我無關。該路由記錄的線路品質 1

第三條
本機環路:127.0.0.0這個網段內所有位址都指向自己機器,如果收到這樣一個資料,應該發向哪裡 該路由記錄的線路品質 1


第四條
直連網段的路由記錄:當路由器收到發往直連網段的資料包時該如何處理,這種情況,路由記錄的interface和gateway是同一個。
當我接收到一個資料包的目的網段是192.168.123.0時,我會將該資料包通過192.168.123.68這個接頭直接傳送出去,因為這個連接阜直接連接著192.168.123.0這個網段,該路由記錄的線路品質 1


第五條
直連網段的路由記錄
當我接收到一個資料包的目的網段是192.168.123.0時,我會將該資料包通過192.168.123.88這個接頭直接傳送出去,因為這個連接阜直接連接著192.168.123.0這個網段,該路由記錄的線路品質 1


第六條
本機主機路由:當路由器收到傳送給自己的資料包時將如何處理
當我接收到一個資料包的目的網段是192.168.123.68時,我會將該資料包收下,因為這個資料包時傳送給我自己的,該路由記錄的線路品質 1


第七條
本機主機路由:當路由器收到傳送給自己的資料包時將如何處理
當我接收到一個資料包的目的網段是192.168.123.88時,我會將該資料包收下,因為這個資料包時傳送給我自己的,該路由記錄的線路品質 1

第八條
本機廣播路由:當路由器收到傳送給直連網段的本機廣播時如何處理
當我接收到廣播資料包的目的網段是192.168.123.255時,我會將該資料從192.168.123.68接頭以廣播的形勢傳送出去,該路由記錄的線路品質 1

第九條
本機廣播路由:當路由器收到傳送給直連網段的本機廣播時如何處理
當我接收到廣播資料包的目的網段是192.168.123.255時,我會將該資料從192.168.123.88接頭以廣播的形勢傳送出去,該路由記錄的線路品質 1

第十條
組播路由:當路由器收到一個組播資料包時該如何處理
當我接收到組播資料包時,我會將該資料從192.168.123.68接頭以組播的形勢傳送出去,該路由記錄的線路品質 1

第十一條
組播路由:當路由器收到一個組播資料包時該如何處理
當我接收到組播資料包時,我會將該資料從192.168.123.88接頭以組播的形勢傳送出去,該路由記錄的線路品質 1

第十二條
廣播路由:當路由器收到一個絕對廣播時該如何處理
當我接收到絕對廣播資料包時,將該資料包丟棄掉
psac 目前離線  
送花文章: 3, 收花文章: 1630 篇, 收花: 3204 次
舊 2006-04-16, 07:12 PM   #6 (permalink)
榮譽會員
 
psac 的頭像
榮譽勳章
UID - 3662
在線等級: 級別:30 | 在線時長:1048小時 | 升級還需:37小時級別:30 | 在線時長:1048小時 | 升級還需:37小時級別:30 | 在線時長:1048小時 | 升級還需:37小時級別:30 | 在線時長:1048小時 | 升級還需:37小時級別:30 | 在線時長:1048小時 | 升級還需:37小時
註冊日期: 2002-12-07
住址: 木柵市立動物園
文章: 17381
現金: 5253 金幣
資產: 33853 金幣
預設

快速增強路由器安全的十個小技巧

要不是思科最新發佈的安全警告的提醒,很多網路管理員還沒有認識到他們的路由器能夠成為攻擊的熱點。路由器作業系統同網路作業系統一樣容易受到黑客的攻擊。大多數中小企業沒有僱傭路由器工程師,也沒有把這項功能當成一件必須要做的事情外包出去。因此,網路管理員和經理人既不十分瞭解也沒有時間去保證路由器的安全。下面是保證路由器安全的十個基本的技巧。

  1.更新你的路由器作業系統:就像網路作業系統一樣,路由器作業系統也需要更新,以便改正編程錯誤、軟體瑕疵和快取溢位的問題。要經常向你的路由器廠商查詢現用的更新和作業系統的版本。

  2.修改預設值的密碼:據卡內基梅隆大學的電腦應急反應小組稱,80%的安全事件都是由於較弱或者預設值的密碼引起的。避免使用普通的密碼,並且使用大小寫字母混合的方式作為更強大的密碼規則。下面這個連接是電腦管理員使用的普通密碼:http://www.thenetworkadministrator.com/passwords.htm。

  3.禁用HTTP設定和SNMP(簡單網路管理傳輸協定):你的路由器的HTTP設定部分對於一個繁忙的網路管理員來說是很容易設定的。但是,這對路由器來說也是一個安全問題。如果你的路由器有一個指令行設定,禁用HTTP方式並且使用這種設定方式。如果你沒有使用你的路由器上的SNMP,那麼你就不需要啟用這個功能。思科路由器存在一個容易遭受GRE隧道攻擊的SNMP安全漏洞。

  4.封鎖ICMP(網際網路控制消息傳輸協定)ping請求ing和其它ICMP功能對於網路管理員和黑客都是非常有用的工具。黑客能夠利用你的路由器上啟用的ICMP功能找出可用來攻擊你的網路的訊息。

  5.禁用來自網際網路的telnet指令:在大多數情況下,你不需要來自網際網路接頭的主動的telnet會話。如果從內部訪問你的路由器設定會更安全一些。

  6.禁用IP轉發IP廣播:IP轉發IP廣播能夠允許對你的設備實施拒絕服務攻擊。一台路由器的記憶體和CPU難以承受太多的請求。這種結果會導致快取溢位。

  7.禁用IP路由和IP重新轉發IP:重新轉發IP允許資料包從一個接頭進來然後從另一個接頭出去。你不需要把精心設計的資料包重新轉發IP到專用的內部網路。

  8.包過濾:包過濾僅傳送你允許進入你的網路的那種資料包。許多公司僅允許使用80連接阜(HTTP)和110/25連接阜(電子郵件)。此外,你可以封鎖和允許IP位址和範圍。

  9.審查安全記錄:通過簡單地利用一些時間審查你的記錄文件,你會看到明顯的攻擊方式,甚至安全漏洞。你將為你經歷了如此多的攻擊感到驚奇。

  10.不必要的服務:永遠禁用不必要的服務,無論是路由器、伺服器和工作站上的不必要的服務都要禁用。思科的設備通過網路作業系統預設值地提供一些小的服務,如echo(回波), chargen(字元發生器傳輸協定)和discard(拋棄傳輸協定)。這些服務,特別是它們的UDP服務,很少用於合法的目的。但是,這些服務能夠用來實施拒絕服務攻擊和其它攻擊。包過濾可以防止這些攻擊。
psac 目前離線  
送花文章: 3, 收花文章: 1630 篇, 收花: 3204 次
舊 2006-07-13, 05:32 PM   #7 (permalink)
榮譽會員
 
psac 的頭像
榮譽勳章
UID - 3662
在線等級: 級別:30 | 在線時長:1048小時 | 升級還需:37小時級別:30 | 在線時長:1048小時 | 升級還需:37小時級別:30 | 在線時長:1048小時 | 升級還需:37小時級別:30 | 在線時長:1048小時 | 升級還需:37小時級別:30 | 在線時長:1048小時 | 升級還需:37小時
註冊日期: 2002-12-07
住址: 木柵市立動物園
文章: 17381
現金: 5253 金幣
資產: 33853 金幣
預設

路由器之測試方法

隨著訊息產業的飛速發展,電腦網路技術得到廣泛應用,電腦網路已成為現代工作生活中必不可少的一部分。路由器作為電腦網的核心設備,相應地在網路上存在廣泛的應用。高端路由器現已由企業級設備成為公眾網上重要的電信級設備。隨著互連網路的逐步普及以及它在生活中重要性的增加,路由器的性能、功能、安全性、可靠性等指標變得越來越重要。所以對路由器的測試有其重要性與必要性。路由器測試規範主要有下面通信行業標準來規範:YD/T1156-2001《路由器測試規範-高端路由器》;YD/T1098-2001《路由器測試規範-低端路由器》。(以上標準分別參照下面標準制定:YD/T1097-2001《路由器設備技術規範-高端路由器》;YD/T1096-2001《路由器設備技術規範-低端路由器》)

  本文的測試介紹主要依據上述路由器測試規範。但是由於以上測試規範只作設備入網測試標準,是一種入門測試,所以我們重點介紹在上述規範基礎上補充的一些其他測試內容。

一、測試的目的和內容
  路由器是通過轉發資料包來實現網路互連的設備,可以支持多種協議(例如TCP/IP,SPX/IPX,AppleTalk),可以在多個層次上轉發資料包(例如資料鏈路層、網路層、應用層)。

  路由器需要連接兩個或多個邏輯連接阜,至少擁有一個物理連接阜。路由器根據收到的資料包中網路層地址以及路由器內部維護的路由表決定輸出連接阜以及下一條路由器地址或主機地址,並且重寫鏈路層資料包頭。路由表必須動態維護來反映當前的網路拓撲。路由器通常通過與其他路由器交換路由訊息來完成動態維護路由表。

(一)路由器分類
  當前路由器分類方法各異。各種分類方法有一定的關聯,但是並不完全一致。通常可以按照路由器能力分類、結構分類、網路中位置分類、功能分類和性能分類等方法。在路由器標準制定中主要按照能力分類,按能力分為高端路由器和低端路由器。背板交換能力大於20Gbit/s,吞吐量大於20Mbit/s的路由器稱為高端路由器。交換能力在上述資料以下的路由器成為低端路由器。與此對應,路由器測試規範分為高端路由器測試規範和低端路由器測試規範。

(二)測試目的及內容
  通過測試路由器,可以瞭解到哪些路由器能提供最好的性能、路由器在不同負載下的行為、模型化網路使用路由器的設計參數、路由器能否處理突發流量、路由器的性能限制、路由器能否提供不同服務質量、路由器不同體系結構對功能和性能的影響、路由器的功能特性和性能指標、路由器的使用是否影響網路安全、路由器協議實現的一致性以及路由器可靠性和路由器產品的優勢和劣勢等內容。

  低端路由器設備測試主要包括:一般測試,即電氣安全性測試;環境測試,包括高低溫、濕度測試和高低溫存儲測試;物理接頭測試,測試低端路由器可能擁有接頭的電氣和物理測性;協議一致性測試,測試協議實現的一致性;性能測試,測試路由器的主要性能;管理測試,主要測試路由器對無大項網管功能的支持。

  高端路由器測試主要包括:接頭測試,高端路由器可能擁有的接頭測試;ATM協議測試,測試ATM協議要求;PPP協議測試,測試PPP協議的一致性;IP協議測試,測試IP協議一致性;路由協議測試,測試路由協議一致性;網管功能測試,驗證測試網關功能;性能和QoS測試,測試路由器性能和QoS能力驗證;網路同步測試,測試設備同步定時能力;可靠性測試,驗證設備可靠性;供電測試,測試整機功耗等內容;環境測試,包括高低溫、濕度測試和高低溫存儲測試。

  上述兩個測試規範由於起草單位以及起草時間不同,組織安排有所不同。

除上述測試外,建議在測試中考慮下面所列測試專案。  
(1)功能測試:主要來驗證產品是否具備了設計的每一項功能。
(2)穩定性和可靠性測試:一般採取加重負載的辦法來評估和分析設備在長時間、高負載的情況下的執行能力。
(3)互操作性測試:不同的網路產品之間必須能夠互操作。互操作性測試考察一個網路產品是否能在一個由不同廠家的多種網路產品互連的網路環境中很好地工作,如驗證路由器與Cisco產品的互操作,交換機與Cisco、3Com、Lucent、Intel等的互操作等。

二、測試方法
  路由器測試方法通常分為本機測試法、分佈測試法、遠端測試法和協同測試法。由於篇幅限制,本文不介紹其他測試法的特點以及適用範圍,只列出路由器測試中最常用到的遠端測試法。

  其中,控制觀察點(PCO):通常由兩個先入先出(FIFO)隊列組成,其功能類似於一對輸入輸出連接阜,向隊列一端發送命令,從同一隊列的另一端接收應答信號;被測實體(IUT):Item Under Test;下測試器(LT):通過位於被測試實體下層的PCO與被測試層交互的測試系統稱為下層測試系統。

三、測試分類
  綜合上文中的測試內容,路由器測試一般可以分成以下幾類:功能測試、性能測試、穩定性可靠性測試、一致性測試、互操作性測試以及網管測試。

  (一)功能測試

  路由器功能通常可以劃分為如下方面。
  (1)接頭功能:該功能用作將路由器連接到網路。可以分為局域網接頭及廣域網接頭兩種。局域網接頭主要包括以太網、令牌環、令牌總線、FDDI等網路接頭。廣域網接頭主要包括E1/T1、E3/T3、DS3、通用串行口(可轉換成X.21DTE/DCE、V.35DTE/DCE、RS232DTE/DCE、RS449DTE/DCE、EIA530DTE)等網路接頭。
(2)通信協議功能:該功能負責處理通信協議,可以包括TCP/IP、PPP、X.25、幀中繼等協議。
(3)資料包轉發功能:該功能主要負責按照路由表內容在各連接阜(包括邏輯連接阜)間轉發資料包並且改寫鏈路層資料包頭訊息。
(4)路由訊息維護功能:該功能負責執行路由協議,維護路由表。路由協議可包括RIP、OSPF、BGP等協議。
(5)管理控制功能:路由器管理控制功能包括五個功能,SNMP代理功能,Telnet服務器功能,本機管理、遠端監控和RMON功能。通過多種不同的途徑對路由器進行控制管理,並且允許紀錄日誌。
(6)安全功能:用於完成資料包過濾,地址轉換,訪問控制,資料加密,防火牆,地址分配等功能。
 
 路由器對上述功能並非必要完全實現。但是由於路由器作為網路設備,存在最小功能集,對最小功能集所規定的功能,路由器必須支持。因為絕大多數功能測試可以由接頭測試、性能測試、協議一致性測試和網管測試所涵蓋,所以路由器功能測試一般可以只對其他測試無法涵蓋的功能作驗證性測試。路由器功能測試一般採用遠端測試法。

  (二)性能測試
  路由器是IP網路的核心設備,其性能的好壞直接影響IP網網路規模、網路穩定性以及網路可擴展性。由於IETF沒有對路由器性能測試作專門規定,一般來說只能按照RFC2544(Benchmarking Methodology for Network Interconnect Devices)作測試。但路由器區別於一般簡單的網路互連設備,在性能測試時還應該加上路由器特有的性能測試。例如路由表容量、路由協議收斂時間等指標。
  
路由器性能測試應當包括下列指標。

  (1)吞吐量:測試路由器包轉發的能力。通常指路由器在不丟包條件下每秒轉發包的極限,一般可以採用二分法查找該極限點。

(2)時延:測試路由器在吞吐量範圍內從收到包到轉發出該包的時間間隔。時延測試應當重複20次然後取其平均值。

(3)丟包率:測試路由器在不同負荷下丟棄包占收到包的比例。不同負荷通常指從吞吐量測試到線速(線路上傳輸包的最高速率),步長一般使用線速的10%。

(4)背靠背幀數:測試路由器在接收到以最小包間隔傳輸時不丟包條件下所能處理的最大包數。該測試實際考驗路由器快取記憶體能力,如果路由器具備線速能力(吞吐量=接頭媒體線速),則該測試沒有意義。

(5)系統恢復時間:測試路由器在過載後恢復正常工作的時間。測試方法可以採用向路由器連接阜發送吞吐量110%和線速間的較小值,持續60秒後將速率下降到50%的時刻到最後一個丟包的時間間隔。如果路由器具備線速能力,則該測試沒有意義。

(6)系統復位:測試路由器從軟件復位或關電重啟到正常工作的時間間隔。正常工作指能以吞吐量轉發資料。
  
在測試上述RFC2544中規定的指標時應當考慮下列因素。
  
幀格式:建議按照RFC2544所規定的幀格式測試;
幀長:從最小幀長到MTU順序遞增,例如在以太網上採用64,128, 256, 512, 1024, 1280, 1518字節;
認證接收幀:排除收到的非測試幀,例如控制幀、路由更新幀等;廣播幀:驗證廣播幀對路由器性能的影響,上述測試後在測試幀中夾雜1%廣播幀再測試;
管理幀:驗證管理幀對路由器性能的影響,上述測試後在測試幀中夾雜每秒一個管理幀再測試;
路由更新:路由更新即下一跳連接阜改變對性能的影響;
過濾器:在設置過濾器條件下對路由器性能的影響,建議設置25個過濾條件測試;
協議地址:測試路由器收到隨機處於256個網路中的地址時對性能的影響;
雙向流量:測試路由器連接阜雙向收發資料對性能的影響;
多連接阜測試:考慮流量全連接分佈或非全連接分佈對性能的影響;
多協議測試:考慮路由器同時處理多種協議對性能的影響;
混合包長:除測試所建議的遞增包長外,檢查混合包長對路由器性能的影響,RFC2544除要求包含所有測試包長外沒有對混合包長中各包長所佔比例作規定。(筆者建議按照實際網路中各包長的分佈測試,例如在沒有特殊應用要求時以太網接頭上可採用60字節包50%,128字節包10%,256字節包15%,512字節包10%,1500字節包15%。)  

除上述RFC2544建議的測試項外還建議測試如下內容。

  1路由震盪:路由震盪對路由器轉發能力的影響。路由震盪程度即每秒更新路由的數量可以依據網路條件而定。路由更新協議可採用BGP。

2路由表容量:測試路由表大小。骨幹網路由器通常執行BGP,路由表包含全球路由。一般來說要求超過10萬條路由,建議通過採用BGP輸入匯出路由計數來測試。

3時鐘同步:在包含相應連接阜例如POS口的路由器上測試內鍾精度以及同步能力。

4協議收斂時間:測試路由變化通知到全網所用時間。該指標雖然與路由器單機性能有關,但是一般只能在網路上測試,而且會因配置改變而變化。可以在網路配置完成後通過檢查該指標來衡量全網性能。測試時間應當根據具體專案以及測試目標而定。一般認為測試時間應當介於60秒到300秒之間。另外一般可以根據用戶要求和測試目標作設定選擇。路由器性能測試一般可採用遠端測試法。

(三)一致性測試
  路由器一致性測試通常採用「黑箱」方法,被測試設備IUT叫做「黑箱」。測試系統通過控制觀察點PCO與被測試設備接頭。

  不同的測試事件是通過不同的PCO來控制和觀察的,按照其應答是否遵守規範,即定時關係和資料匹配限制,測試的結果可分為通過、失敗、無結果3種。路由器是一種複雜的網路互連設備,需要在各個通信層上實現多種協議。例如相應的接頭的物理層和鏈路層協議、IP/ICMP等互連網層協議、TCP/UDP等傳輸層協議、Telnet/SNMP等應用層協議以及RIP/OSPF/BGP等路由協議。

  協議一致性測試應當包含路由器所實現的所有協議。由於該測試內容繁多測試複雜,在測試中可以選擇重要的協議以及所關心的內容測試。由於骨幹網上路有器可能影響全球路由,所以在路由器測試中應特別重視路由協議一致性測試例如OSPF和BGP協議。由於一致性測試只能選擇有限測試例測試,一般無法涵蓋協議所有內容。所以即使通過測試也無法保證設備完全實現協議所有內容,所以最好的辦法是在現實環境中試執行。路由器一致性測試一般採用分佈式測試法或遠端測試法。

(四)互操作測試
  由於通信協議、路由協議非常複雜且擁有眾多選項,實現同一協議的路由器並不能保證互通互操作。並且因為一致性測試能力有限,即使通過協議一致性測試也未必能保證完全實現協議。所以有必要對設備進行互操作測試。

  互操作測試實際上是將一致性測試中所用的儀表替換成需要與之互通互操作的設備,選擇一些重要且典型的互連方式配置,觀察兩設備是否能按照預期正常工作。

(五)穩定性、可靠性測試
  由於大多數路由器需要每天24小時,每週7天連續工作,作為Internet核心設備的骨幹路由器的穩定性和可靠性尤其重要。所以用戶需要瞭解露由器的穩定性和可靠性。

  路由器的穩定性和可靠性很難測試。一般可以通過兩種途徑的到:(1)廠家通過關鍵部件的可靠性以及備份程度計算系統可靠性;(2)用戶或廠家通過大量相同產品使用中的故障率統計產品穩定性和可靠性。當然,用戶也可以通過在一定時間內對試執行結果的要求來在一定程度上保證路由器的可靠性與穩定性。

(六)網管測試
  網管測試一般測試網管軟件對網路以及網路上設備的管理能力。由於路由器是IP網的核心設備,所以必須測試路由器對網管的支持度。  如果路由器附帶網管軟件,可以通過使用所附帶的網管軟件來檢查網管軟件所實現的配置管理、安全管理、性能管理、計帳管理、故障管理、拓撲管理和視圖管理等功能。如果路由器不附帶網管軟件,則應當測試路由器對SNMP協議實現的一致性以及對MIB實現的程度。由於路由器需要實現的MIB非常多,每個MIB都包含大量內容,很難對MIB實現完全測試。一般可以通過抽測重要的MIB項來檢查路由器對MIB的實現情況。

  另外,由於路由器設備非常複雜,可能採用的接頭和協議多種多樣,所以對路由器測試所採用的儀表以及儀表的配置必須根據測試內容以及路由器實際配置來決定。一般來說路由器測試所使用的儀表可分為性能測試儀表、協議測試儀表以及其他種類儀表。

(1)性能測試儀表
主要測試IP包轉發能力。最典型的有NetCom公司的SmartBit、安捷***司的Router Tester等。性能測試儀表有時也要求一些協議仿真能力,例如對BGP、OSPF的仿真。

(2)協議測試儀表
主要測試路由器對協議實現的一致性。主要有路由協議一致性測試儀表例如安捷***司的Router Tester等。其他協議例如TCP/IP、ATM、ISDN、SNMP等眾多路由器實現的協議一致性測試所用儀表可使用各種專用或通用儀表。

(3)其他儀表
主要包括一些通用儀表,如示波器、萬用表、率耗器、光功率計等。

還有在測試儀表的選擇中還應當考慮儀表的精度以及誤差範圍。

綜上所述路由器的測試是一項複雜但是非常重要的工作,對路有器的測試只有在研究測試方法的基礎上結合具體測試情況,制定正確測試方案,選擇合適的測試儀表,認真測試才能達到測試目的。
psac 目前離線  
送花文章: 3, 收花文章: 1630 篇, 收花: 3204 次
 


主題工具
顯示模式

發表規則
不可以發文
不可以回覆主題
不可以上傳附加檔案
不可以編輯您的文章

論壇啟用 BB 語法
論壇啟用 表情符號
論壇啟用 [IMG] 語法
論壇禁用 HTML 語法
Trackbacks are 禁用
Pingbacks are 禁用
Refbacks are 禁用


所有時間均為台北時間。現在的時間是 09:42 PM


Powered by vBulletin® 版本 3.6.8
版權所有 ©2000 - 2020, Jelsoft Enterprises Ltd.


SEO by vBSEO 3.6.1