分类目录归档：网络技术

深信服AC设备放行定制版QQ及实现只允许访问某邮箱地址的方法

某用户部署一台深信服AC设备，做网桥模式配置，现有两个需求，需求如下：
需求一、需将内网中的定制版QQ放行
需求二、只允许访问某邮箱地址mail.xxx.com，其他所有应用，网页都进行阻止

对于需求一的实现方法：
1、深信服AC开启直通，使用定制版QQ软件，查看直通日志，获取该QQ软件连接的服务器的地址；
2、在系统配置中，全局排除地址的自定义排除地址，添加刚才获取的该QQ软件连接的服务器的地址，并提交生效，即可实现该需求
如下图所示：

对于需求二的实现方法：
在上网权限策略——应用控制中，将该邮箱相关的选项都选择并允许，将SSL协议选中并允许，在URL分类库中新增URL类型，加入*.xxx.com，并将该URL类型，增加到相关的上网权限策略中，将相关策略关联给相应用户即可。

路由器端口up和down的几种情况

在sh interface时，可能会有几种情况：
1. Router#sh int e0
　Ethernet0 is up，line protocol is up

　第一个信息Serial0 is up是考察到Physical Layer，它会检查连线否有接上或启动。
　第二个信息line protocol is up是考察到 Data-link Layer，会从连接端寻找 keepalive 的信号是否存在，用来确定信号是否断掉。
　若 interface 与 line protocol都是up的，那表示目前此介面的运作正常。

2. Router#sh int s0
　Serial0 is up，line protocol is down

　若interface up，但line protocol down，这是Data-link Layer的问题。
　可能时间，keepalive问题，或是frame封装的问题.检查一下是否需要设定clock rate，以及两边封装方式是否一样。
　一般来说clock rate的可能性更大。

3. Router#sh int s0
　Serial0 is down，line protocol is down

　这个表示interface及line protocol都没作用，基本上是Physical Layer的问题。
　检查一下网线是否连接好。

4. Router#sh int s0
　Serial0 is administratively down，line protocol is down

　这可能有任何一端没有启用interface，请到interface配置下使用no shutdown的命令，如：
　Router#conf t
　Router(config)#int s0
　Router(config-if)#no shutdown

网络传输中的几个速率规格比较（T1、T2、T3等）

常见的有T1、Frac-tional T1、T3，其中T1、T3属于T载波系统(T-Carrier System)，是贝尔实验室于1960年代所研发，为了在数位传输线上传送语音讯号所发展的多工传送方式，其资料传送速度分別是1.544Mbps，44.736Mbps，Fractional T1是指將T1的频宽加以分割，提供给频宽需求低于T1速度的使用者。

T-Carrier(北美版)

FT1=<64Kbps

T1=1.554Mbps

T1C=3.152Mbps

T2=6.312Mbps

T3=44.736Mbps

T3C=89.472Mbps

T4=274.176Mbps

T-Carrier(欧洲版)

E1=2.048Mbps

E2=8.448Mbps

E3=34.368Mbps

E4=44.736Mbps

E5=565.148Mbps

再补充几个：

STM1=155.52M

STM4=622.08M

FastEthernet=100M

GigaEthernet=1000M

FastEthernet指的是高速以太网路，传输速度是100Mbps。

FDDI：光纤分散资料介面，指的是以光纤缆线作为传输媒介的一种基频网路传输技术，传输速度可达100Mbps。

CDDI(FDDI over Copper)：指以双绞线为传输介质，传输速度亦可达100Mbps，一般使用Level 5的双绞线。

OC-Level (OC1,OC3,OC12)：利用光纤缆线作为传输媒介，OC1的传输能力是51.84Mbps，而OC3是155.5Mbps，为OC1的3倍，OC12是622Mbps，为OC3的4倍。

ATM：是一种高速的资料传输技术。最快传输速度为155Mbps，传输能力比3条T3专线加起来还快。

STM1，STM4：以光纤缆线为传输媒体，STM1的速率是155.5Mbps，STM4是622Mbps。

无线路由器加密WEP、WPA和WPA2区别

WEP
有线等效加密（WiredEquivalentPrivacy），又称无线加密协议（WirelessEncryptionProtocol），简称WEP，是个保护无线网络（Wi-Fi）信息安全的体制。因为无线网络是用无线电把讯息传播出去，它特别容易被窃听。WEP的设计是要提供和传统有线的局域网路相当的机密性，而依此命名的。WEP虽然有些弱点，但也足以吓阻非专业人士的窥探了。

WPA和WPA2
WPA全名为Wi-FiProtectedAccess，有WPA和WPA2两个标准，是一种保护无线电脑网路（Wi-Fi）安全的系统，它是应研究者在前一代的系统有线等效加密（WEP）中找到的几个严重的弱点而产生的。WPA实作了IEEE802.11i标准的大部分，是在802.11i完备之前替代WEP的过渡方案。WPA的设计可以用在所有的无线网卡上，但未必能用在第一代的无线取用点上。WPA2实作了完整的标准，但不能用在某些古老的网卡上。这两个都提供优良的保全能力，但也都有两个明显的问题：
1、WPA或WPA2一定要启动并且被选来代替WEP才有用，但是大部分的安装指引都把WEP列为第一选择。
2、在使用家中和小型办公室最可能选用的”个人”模式时，为了保全的完整性，所需的密语一定要比已经教用户设定的六到八个字元的密码还长。

IEEE802.11所制定的是技术性标准，Wi-Fi联盟所制定的是商业化标准，而Wi-Fi所制定的商业化标准基本上也都符合IEEE所制定的技术性标准。WPA（Wi-FiProtectedAccess）事实上就是由Wi-Fi联盟所制定的安全性标准，这个商业化标准存在的目的就是为了要支持IEEE802.11i这个以技术为导向的安全性标准。而WPA2其实就是WPA的第二个版本。WPA之所以会出现两个版本的原因就在于Wi-Fi联盟的商业化运作。

我们知道802.11i这个任务小组成立的目的就是为了打造一个更安全的无线局域网，所以在加密项目里规范了两个新的安全加密协定–TKIP与CCMP.其中TKIP虽然针对WEP的弱点作了重大的改良，但保留了RC4演算法和基本架构，言下之意，TKIP亦存在着RC4本身所隐含的弱点。因而802.11i再打造一个全新、安全性更强、更适合应用在无线局域网环境的加密协定-CCMP.所以在CCMP就绪之前，TKIP就已经完成了。但是要等到CCMP完成，再发布完整的IEEE802.11i标准，可能尚需一段时日，而Wi-Fi联盟为了要使得新的安全性标准能够尽快被布署，以消弭使用者对无线局域网安全性的疑虑，进而让无线局域网的市场可以迅速扩展开来，因而使用已经完成TKIP的IEEE802.11i第三版草案（IEEE802.11idraft3）为基准，制定了WPA.而于IEEE完成并公布IEEE802.11i无线局域网安全标准后，Wi-Fi联盟也随即公布了WPA第2版（WPA2）。

密码分析学家已经找出WEP好几个弱点，因此在2003年被Wi-FiProtectedAccess（WPA）淘汰，又在2004年由完整的IEEE802.11i标准（又称为WPA2）所取代。

两条语句，测试服务器是否支持asp或php

1.测试服务器是否支持asp：
将以下的语句保存为test.asp置于网站的根目录，然后运行该文件即可
<% response.write “support asp” %>

2.测试服务器是否支持php：
将以下的语句保存为test.php置于网站的根目录，然后运行该文件即可
<?php phpinfo() ?>

系统时间错误导致IE浏览器安全证书无效

系统时间错误会导致IE浏览器安全证书无效，很多朋友也许不会留意到自己的系统时间是否正确，但是在现在很多安全级别比较高的页面访问都要判断系统时间的，比如网上银行、网络游戏，错误的系统时间就会影响正确的登录访问；而且现在也有病毒恶意修改系统时间，导致安全软件无法正常运行。

路由器上的S0口、F0口的区别

S口是serial接口的意思，也叫高速异步串口，主要是连接广域网的V.35线缆用的，通俗的说，就是路由器和路由器连接时候用的，可以用命令设置带宽，一般也就在10M、8M左右。
F口是FastEthernet接口，叫快速以太网口，主要连接以太网（局域网）用的，通俗的说，就是连接交换机或电脑用的，用普通的双绞线就可以连接，速率默认是100Mbps，可以用命令限速，但是不可能超过100Mbps。

CISCO路由器启动流程图

这个图全面的说明了路由器的启动过程，其中有好几个需要说明的地方。

1、boot field 启动字段

2、run rom monitor rom监控模式

3、use IOS in ROM（RXboot mode）运行在ROM中的MINI IOS

4、Config reg bit{13，6}为相应的配置寄存器对应的位

一、路由器加电后，首先运行ROM中的POST程序（Power On Self Test）对路由器的硬件进行检测，俗称加电自检。

二、检测通过后紧接着执行ROM中的引导程序（bootstrap），并根据寄存器值（register）来决定启动方式。

寄存器值的格式为：0x21YZ
Y列的状态：
0x210Z 从nvram加载配置文件
0x214Z 不从nvram加载配置文件
Z列的状态：
0x21Y0 从rommon启动提示符为：> (路由器启动时按Ctrl+Break)
0x21Y1 从mini ios启动提示符为：Router(boot)>
0x21Y2 从flash 启动提示符为：Router>

我们经常使用的两个寄存器值：0x2102 （正常），0x2142（不读取保存的配置）。

三、如果正常启动，则按引导程序到Flash中查找IOS镜像。如果找到IOS镜像，则

读取后正常启动。如果没有找到IOS镜像，则进入boot模式，即Mini IOS启动。boot模式下可使用TFTP上的IOS；或使用TFTP/X-modem为路由器重新灌一个IOS。如果Mini IOS也启动失败，则进入rom monitor模式。

四、读取IOS并初始化成功后，引导程序将更具寄存器值决定加载或者不加载启动配置文件。如果选择加载，则到NVRAM中找到启动配置文件，并加载到 RAM中成为运行配置文件。如果选择不加载或者根本没有启动配置文件，则路由器会进入询问配置模式，以问答的方式对路由器进行基本配置。

五、进入用户模式，启动过程完毕。

破解路由器密码

现有一台路由器，enable密码忘记，需要破解enable密码。
断电重启，自检过程中按住ctrl+break，进入rommon模式
rommon 1 > confreg 0x2142   即下次重启后不加载配置文件
rommon 2 > reset    重启
重启后：
Router>en Router#copy startup-config running-config 首先手动加载配置文件
Router#conf t     进入特权模式修改密码
Router(config)#enable password ccna Router(config)#enable secret ccnp
Router#write      保存配置
Router(config)#config-register 0x2102 修改寄存器值，下次启动加载配置文件，正常启动
Router#reload     重启

CCNA实验之实现两台路由器的直连

在Cisco Packet Tracer中，两台路由器配置分别如下：
第一台的配置：
route>en
route#conf t
route(config)#hostname route1
route1(config)#enable password ccna
route1(config)#enable secert ccnp
route1(config)#interface ?
route1(config)#inter f0/0
route1(config-if)#ip address 192.168.1.1 255.255.255.0
route1(config-if)#no shutdown
ctrl+z
route1#show ip int b
Interface              IP-Address      OK? Method Status                Protocol
FastEthernet0/0        192.168.1.1     YES manual up                    up
FastEthernet0/1        unassigned      YES NVRAM administratively down down
Vlan1                  unassigned      YES NVRAM administratively down down

配置telnet如下：
route1(config)#line vty ?
<0-15> First Line number
route1(config)#line vty 0 15
route1(config-line)#password 123456
route1(config-line)#login
ctrl+z
route1#write
第二台也做这样的配置。