2014年2月27日星期四

cisco 交换机配置trunk被拒绝

交换机在接口模式下输入switchport mode trunk 提示:

Command rejected: An interface whose trunk encapsulation is "Auto" can not be co
nfigured to "trunk" mode.

解决方法:

(config-if)#switchport mode trunk
Command rejected: An interface whose trunk encapsulation is "Auto" can not be configured to "trunk" mode.

(config-if)#switchport trunk encapsulation ?
dot1q Interface uses only 802.1q trunking encapsulation when trunking

(config-if)#switchport trunk encapsulation dot1q   //封闭配置
(config-if)#switchport mode trunk
(config-if)#switchport trunk all
(config-if)#switchport trunk allowed vlan all




 

什么是Trunk?

简单说,端口如果配置为trunk模式,则允许多个vlan的数据通过该端口,一般是交换机与交换机互联的端口配置成trunk。

config模式下举例
(config)#inter g0/1
(config)#switchport trunk encapsulation dot1q
(先打这条,再打下面的,dot1q就是802.1q,是vlan的一种封装方式。dot就是点的意思,就简写为dot1q了.除了一般的数据通信业务,802.1Q还通过以太网交换支持话音和视频传输。802.1Q的一个重要特点是能够通过一个高速链路共享多重子网。)

(config)#switchport mode trunk
配好之后默认的native vlan是1
有的版本不需要配置封装
直接 switchport mode trunk 就可以了。

比如说你有10个vlan,1~10 ,一般端口来说不是只能在所属的vlan内通信么,那么配置了trunk的这个端口就可以让所有的10个vlan的数据都能通过。但是仅限于对端的也是trunk的情况。所以说一般是用来作为交换机集联端口配置的。
在虚拟局域网技术中,主干“Trunk”一词用来描述连接多个虚拟局域网的链接。每个局域网都由一个被插入到它们所发送数据的标签“Tag”进行标识。这些主干(Trunk)只能工作在有标签(Tag)标注的设备之间,而且这些设备必须能够支持虚拟网络技术,所以主干(Trunk)被通常是连接路由器或交换机的,而不是连接端口的。

2014年2月26日星期三

Cisco ASA5520防火墙配置实例

Cisco ASA5505属低端产品,适用于小型企业,且只能用虚拟接口。
网络拓扑:
路由直连外网和防火墙;
防火墙直连内网和DMZ区。
1、主机名,域名和密码设置。
2、配置接口IP,并激活。
3、配置路由,启用NAT(网络地址转换,nat address translate).
4、配置远程管理接入。
5、为出站流量配置NAT。
6、配置ACL。
------------华丽的分豁线------------
主机名,域名和密码设置。
>eable //进入特权模式
#config terminal //进入全局配置模式
(config)#hostname fengxy //配置主机名
(config)#domain-name fengxy.org //配置域名
(config)#enable password 112223 //配置特权密码
(config)#passwd //配置远程登陆密码
(config#int E0/1 //进入接口配置模式
(config-if)#nameif lvluo //配置接口名,这个是必须的,否则不能通讯,可设置默认的inside,outside,安全级别为100
(config-if)#security-level 100 //配置安全级别,最高为100,最低为0,一般内网为100,外网为0。
(config-if)#ip add 192.168.201.1 255.255.255.0 //配置接口IP
(config-if)#no shutdonw 激活接口
(config-if)#exit
(config)#show ip interface ip brief //查看端口.cisco路由器查看端口命令是:show ip interface brief。
(config)#show interface E0/0 //查看具体端口。
配置静态路由
语法#route inerface-name nerwork mask next-hop-adderss(下一跳地址,网关)
如:#route outside 0.0.0.0 0.0.0.0 210.10.10.1 //通过outside接口到达 外部任何网段的网关是210.10.10.1
#show route //查看路由
------------华丽的分豁线------------
配置telnet接入
语法:#telnet ip mask interface-name //允许ip,mask (网段,或一个IP)通过interface-name 接入telnet
例:#telnet 192.168.2.0 255.255.255.0 inside //允许从inside端口过来的网段为192.168.2.0的用户telnet
#telnet 192.168.2.88 255.255.255.0 inside
//允许从inside端口过来的IP为192.168.2.88的用户telnet
------------华丽的分豁线------------
配置SSH接入 (SSH为加密传输方式,telnet为明文传输方式)
#crypto key generate rsa modulus 1024 //生成RSA密钥对
#ssh 192.168.201.0 255.255.255.0 inside //允许从inside端口过来的网段为192.168.201.0的用户SSH
#ssh 0 0 outsied //允许从outside端过来的任意IP用户
#ssh timeout 30 //ssh连接超时的时间为30分钟
#ssh version 2 //设置版本号。不知道这个有什么用。。。。
------------华丽的分豁线------------
配置ASDM(自适应安全设备管理)接入 //在这里主要是说开启web管理
#http server enable [port] //启用防火墙https服务器功能
例:#http server enable 60123
#http 网段/IP mask interface-name //配置允许https接入
例:#http 0 0 outsied //允许从outside端过来的任意IP用户使用https
#asdm image disk0:/asdmfile //指定image地址。 image地址和文件名可用#show running config查询。
#username lvluo password lvluopassword privilege 15
//配置客户端登陆用户名、密码和权限。privilege最高限为15。
//在客户机上需要安装JRE,或者客户端软件才能使用ASDM。
------------华丽的分豁线------------
为出站流量配置NAT(网络地址转换)
#nat (interface-name) nat-id local-ip mask //指定什么流量需要地址转换
#global (interface-name) nat-id {global-ip[global-ip|interface]} //定义一个全局地址池
例:
#nat-control //确认使用nat
#nat (inside) 1 0 0 //定义内部,内部地址范围是内部任意地址,(外部地址编号)nat-id是1,内部接口inside
#global (outside) 1 int //定义外部,外部地址范围是interface,即,解析到接口上的IP,外部接口outside
#global (dmz) 1 192.168.202.100-192.168.202.110 //外部接口dmz,转换地址范围是192.168.202.100-192.168.202.110
------------华丽的分豁线------------
为ASA配置ACL访问控制列表
(config)#access-list lvluoacl standard {permit|deny} ip-address mask //标准访问列表
(config)#access-list lvluoacl extended {permit|deny} protocal src-ip-address src-mask des-ip-address des-mas [operator port] //扩展访问列表;protocal协议类型,不写表示全部协议。
(config)# lvluoacl {in|out} interface interface-name //应用访问列表lvluo
例:(config)#access-list in-to-out deny ip 192.168.201.0 255.255.255.240 any //阻止(源)192.168.201.0 255.255.255.240 访问其他任意网络
(config)#access-list in-to-out permit ip any any //允许任意IP访问任意IP
(config)#access-group in-to-out in int inside //应用访问列表 in/out(方向)看接口
------------华丽的分豁线------------
配置静态NAT(发布内网服务器)
(config)#static (real-inerface,mapped-interface) mapped-ip real-ip
例:
(config)#static(dmz,outside) 210.10.10.253 192.168.202.1 //真实接口dmz,映射接口outside
(config)#access-list out-to-dmz permit tcp any host 210.10.10.253 eq www
//允许任何IP访问210.10.10.253的80端口(eq www) 实际IP在dmz区的192.168.202.1。
(config)#access-group out-to-dmz in int outside
------------华丽的分豁线------------
ICMP协议
(config)#access-list 111 permit icmp any any echo-reply //允许ping应答
(conifg)#access-lsit 111 permit icmp any any unerachable //???
(config)#access-lsit 111 permit icmp any aany time-exceeded //???
(config)#access-group 111 in int outside
------------华丽的分豁线------------
#write memory
#copy running-config startup-config
//保存配置
(config)#clear configure all //清除所有配置
(config)#clear configure command[level2command] //清除部分配置

思科产品命名规则

1. CISCO开头的产品都是路由器;
2. RSP开头的都是CISCO7500系列产品的引擎;
3. VIP开头的产品都是CISCO 7500系列产品的多功能接口处理器模块
4. PA开头的产品都是CISCO 7500/7200系列产品的模块。
5. NPE开头的都是CISCO7200系列产品的引擎;
6. NM开头的都是CISCO低端路由器模块;
7. WIC开头的都是CISCO低端路由器的广域网接口模块;
8. VWIC开头的都是CISCO低端路由器的语音接口模块;
9. WS-C开头的产品都是交换机;
10. WS-X开头的产品是交换机的引擎或模块;
11. WS-G开头的产品是交换机的千兆光纤模块。
12.NN是交换机的系列号,XX对于固定配置的交换机来说是端口数,对于模块化交换机来说是插槽数,有-C标志表明带光纤接口,-M表示模块化,-A和-EN分别是指交换机软件是标准板或企业版。---------------------------------
eg:WS-C3750G-48TS-SC3750表明这款产品属于3750这个系列,也就是产品的型号。
G----表明其所有接口都是支持千兆或以上,如果没有这个就表明其主要端口都是10/100M的或者100M的
48----表明其拥有主要的端口数量为48个
T----表明其主要端口是电口(也就是所谓的Twirst Pair的端口
P----表明其主要端口是电口,同时支持PoE以太网供电
S----表明其带的扩展的接口为SFP类型的接口
最后部分的S表明交换机带的软件是SMI标准影像的
E表明是EMI影像的
在比如
C3750表明这款产品属于Catalyst 3750这个系列,也就是产品的型号。
WS-C3750G-24TS-E1U
WS -C 3750 G -24 TS -E 1U (50)
Catalyst 3750series G --表明其所有接口都是支持千兆或以上,如果没有这个就表明其主要端口都是10/100M的或者100M的
24-----表明其拥有主要的端口数量为24个
T------表明其主要端口是电口(也就是所谓的Twirst Pair的端口
P------表明其主要端口是电口,同时支持PoE以太网供电
S------表明其带的扩展的接口为SFP类型的接口
D----- 1个10 Gigabit Ethernet XENPAK port
W----- Integrated Wireless LAN Controller (50 support for up to 50 access points)
TT-----表明普通口和UPLink口都是BaseT的
LC-----表明普通口是BaseT的,并且部分支持PoE (4个) UpLin口是BaseT/SFPLT-----表明普通口是BASET的,并且部分支持POE,Uplink口是电口的。
PC-----表明普通口是BaseT的,并且全部支持PoE (24个) UpLink口是BaseT/SFP
TC----表明普通口是BaseT的, UpLink口是BaseT/SFP
TS----表明TC代表普通口是BaseT的, UpLink口是SFP的。
PS----表明TC代表普通口是BaseT的并且全部支持PoE, UpLink口是SFP的。
FS----表明普通口是100BaseFX的, UpLink口是SFP的。
T-----表明TC代表普通口是BaseT的,没有Uplink口。
-L LAN Base Image
-S Standard Image
-E Enhanced Image
1u(1RU高度)**新的3560,3570,2970支持的千兆扩展模块为SFP的
3550,2950时GBIC的
思科产品名称代表意思
TT:适用2960 CE500交换机,表示电口
TC:适用 2960 CE500交换机,表示电口+双介质口
LC:适用CE500,包括POE+电口+2SFP
TS:适用3560,3750 表示电口+SFP
PS:适用3560,3750 表示POE+SPF
T:适用3750,仅电口
TD:适用3750,表示电口+10GBE
cisco路由的命名规则都是以CISCO开头比如:cis co1721,cisco2621,cisco3662,cisco3745.这些都是路由器。
比如:cisco2621
其中cisco:是品牌,后面的前两位数字是系列号,这款产品属于2600系列,后两位是具体的型号。
其中cisco路由器有以下几个系列:
cisco2500 系列:cisco2501、cisco2502、一直到cisco2514,这些都是国内能见到的设备,再往上就是国外的了,国内很少见到。
cisco1700:1720、 1721、1751、1760
cisco1800:1821、1841
cisco2600系列:2610、2611、2620、 2621、2651
cisco2600XM系列:2610XM、2611XM、2620XM、2621XM
cisco3600:3620、 3640、3660
cisco3700:3725、3745
cisco3800:3825、3845
cisco7200:7204、 7206、7204VXR、7206VXR这些都是机箱,使用当中需要引擎的支持(NPE-225、NPE-300、NPE-400、NPE-G1、最新的是NPE-G2)和业务模块的支持东西很多了,这就不写了。
cisco7500:7507、7513 同样也需要引擎的支持(RSP2、RSP4、RSP8、RSP16)和业务模块的支持,7200上的业务模块都能在75上使用,需要一块VIP卡的支持。
在上面就是12000系列:12008,12016这些是目前最高端的。同样也需要引擎和业务模块的支持。




交换:交换机的命名一般是WS开头这个是固定的,再下一个字母有两种一个是C一个是X,C代表固化交换机或者机箱,X代表的是模块。比如看到WS-C3750-24TS- S这个型号的时候我们应该知道他是CISCO交换机 固化交换机3750系列,24个以太网口,TS表示是以太口+SFP口后面的S表示是标准版的,相映的型号就是E的,属于增强型或者叫企业版。

再来一个WS-X6748-SFP,ws还是代表交换设备,x表示模块,6表示6000系列,7表示7代产品,48表示48口,SFP表示端口类型(SFP 是一种mini接口模块)
交换1900:1924
2900:2924、2924M
2950:2950-24、2950G- 24/48、2950C-24、2950T-24、2950SX-24/48
2960:2960-24/48TT-L、296024 /48TC-L
3500:3508G、3524、3548
3550:3550-24-SMI/EMI、3550-48-SMI /EMI、3550-12G/T
3560:3560-24/48也有带G的
3750:3750-24/48-TS-S、 3750-24/48-TS-E 3750G-24/48-TS-S、3750G-24/48-TS-E 、3750G-12S
4000:4003、 4006
4500:4503、4506、4507R
6000:6006、6009
6500:6506、6509、6513
7600:7609、7613
目前工作中经常接触到的交换机有:2960,3560,3750,4500,6500这些系列,它们在型号命令上有自己相应的规则,总结如下:
例如:WS-C3750G-48TS-S
C3750表明这款产品属于3750这个系列,也就是产品的型号。
G--表明其所有接口都是支持千兆 或以上,如果
没有这个就表明其主要端口都是10/100M的或者100M 的
48--表明其拥有主要的端口数量为48个
T--表明其主要端口是电口(也就是所谓的Twirst Pair的端口
P--表明其主要端口是电口,同时支持PoE以太网供电
S--表明其带的扩展的接口为SFP 类型的接口
最后部分的S表明交换机带的软件是SMI标准影像的
E表明是EMI影像的
注:新的 3560,3570,2970 支持的千兆扩展模块为SFP的
3550,2950是GBIC的
补充:WS-C3750G-24TS-E1U
24-–表明其拥有主要的端口数量为24个
T--表明其主要端口是电口(也就是所谓的 Twirst Pair的端口
P--表明其主要端口是电口,同时支持PoE以太网供电
S--表明其带的扩展的接口为 SFP类型的接口
D-– 1个10 Gigabit Ethernet XENPAK port
W-– Integrated Wireless LAN Controller (50 support for up to 50 access points)
TT-–表明普通口和UPLink口都是 BaseT的
LC-–表明普通口是BaseT的,并且部分支持 PoE (4个) UpLink口是 BaseT/SFP
PC-–表明普通口是BaseT的,并且全部支持PoE (24个) UpLink口是 BaseT/SFP
TC-- 表明普通口是BaseT的, UpLink口是 BaseT/SFP
TS-- 表明TC代表普通口是BaseT的, UpLink口是 SFP的。
PS-- 表明TC代表普通口是BaseT的并且全部支持PoE, UpLink口是 SFP的。
FS-- 表明普通口是100BaseFX的, UpLink口是 SFP的。
T-– 表明TC代表普通口是BaseT的,没有Uplink口。
-L LAN Base Image
-S Standard Image
-E Enhanced Image
1u(1RU高度)
SFP是Small Form-Factor Pluggable的缩写,可以简单的理解为GBIC的升级版本。SFP模块体积比GBIC模块减少一半,可以在相同的面板上配置多出一倍以上的端口数量。SFP模块的其他功能基本和GBIC一致。有些交换机厂商称SFP模块为小型化GBIC(MINI-GBIC),支持SX、LX、TX、LH,走 1000M.
与GBIC的模块 5483(转成1000M电口)5484(多模,500M以内),5486(单多模,10KM),5487(单模,可达70KM)相对应的SFP模块是 GLC模块,分为GLC-LH-SM=(单模,10KM),GLC-SX-MM= (多模,500M,)GLC-ZX-SM=(单模,70KM),GLC-T=(转成电口)
1、何为GBIC?
GBIC是Giga Bitrate Interface Converter的缩写,是将千兆位电信号转换为光信号的接口器件。GBIC设计上可以为热插拔使用。GBIC是一种符合国际标准的可互换产品。采用 GBIC接口设计的千兆位交换机由于互换灵活,在市场上占有较大的市场分额。
2、何为SFP?
SFP是SMALL FORM PLUGGABLE的缩写,可以简单的理解为GBIC的升级版本。SFP模块体积比GBIC模块减少一半,可以在相同的面板上配置多出一倍以上的端口数量。SFP模块的其他功能基本和GBIC一致。有些交换机厂商称SFP模块为小型化GBIC(MINI-GBIC)。
ipbase与 ipservice 是思科IOS功能不同的版本,支持的功能特性区别而命名,如ipbase版本支持一些基本常 用的路由协议如rip,igrp等,而ipservice版本则支持除基本外cisco全部拥有的协议如ospf,eigrp,IS-IS等,其它命令集等也相对更为全面。

2014年2月17日星期一

win7加入域失败:未知的用户名或密码错误

windows7系统加入域时提示: “登陆失败:未知的用户名或密码错误”,确认用户名和密码没有错误。

win7 join to domain 1解决方法:

运行 "secpol.msc",打开本地安全策略,安全设置>本地策略>安全选项:网络安全:LAN管理器身份验证级别,默认是“没有定义”,更改为“发送LM和NTLM响应”即可加入到域
win7 join to domain 2

win7 join to domain 3

什么是LAN Manager 身份验证级别?

该安全设置确定网络登录时将使用哪个质询/响应身份验证协议。该选项会影响客户端使用的身份验证协议的级别、协商的会话安全级别,以及服务器所接受的身份验证级别,具体如下:

发送 LM & NTLM 响应:客户端使用 LM 和 NTLM 身份验证,从不使用 NTLMv2 会话安全;域控制器接受 LM、 NTLM 和 NTLMv2 身份验证。

发送 LM 和 NTLM - 如果已协商,使用 NTLMv2 会话安全:客户端使用 LM 和 NTLM 身份验证,如果服务器支持,使用 NTLMv2 会话安全;域控制器接受 LM、NTLM 以及 NTLMv2 身份验证。

仅发送 NTLM 响应:客户端仅使用 NTLM 身份验证,如果服务器支持,使用 NTLMv2 会话安全;域控制器接受 LM、NTLM 以及 NTLMv2 身份验证。

仅发送 NTLMv2 响应:客户端仅使用 NTLMv2 身份验证,如果服务器支持,使用 NTLMv2 会话安全;域控制器接受 LM、NTLM 以及 NTLMv2 身份验证。

仅发送 NTLMv2 响应\拒绝 LM:客户端仅使用 NTLMv2 身份验证,如果服务器支持,使用 NTLMv2 会话安全;域控制器拒绝 LM(只接受 NTLM 和 NTLMv2 身份验证)。

仅发送 NTLMv2 响应\拒绝 LM 和 NTLM:客户端仅使用 NTLMv2 身份验证,如果服务器支持,使用 NTLMv2 会话安全;域控制器拒绝 LM 和 NTLM(只接受 NTLMv2 身份验证)。

2014年2月14日星期五

Windows Server 2003 中的预设安全模板及应用

Microsoft Windows Server 2003 包括几个预定义的安全模板,可供您用来提高网络上的安全级别。可以通过使用 Microsoft 管理控制台 (MMC) 中的“安全模板”来修改安全模板以满足您的要求。

Windows Server 2003 中的预定义安全模板

· 默认安全 (Setup security.inf)

Setup security.inf 模板是在安装过程中创建的,它与特定的计算机有关。根据安装是全新安装还是升级安装,不同计算机的 Setup security.inf 模板也各不相同。Setup security.inf 表示在安装操作系统的过程中应用的默认安全设置,包括对系统驱动器的根的文件权限。它可以用于服务器和客户机,但不能应用到域控制器。您可以将此模板的某些部分用于灾难恢复。

不要使用组策略来应用 Setup security.inf。因为这样做会导致性能下降。

注意:在 Microsoft Windows 2000 中,有另外两个安全模板:ocfiless(用于文件服务器)和 ocfilesw(用于工作站)。在 Windows Server 20003 中,这两个文件被 Setup security.inf 文件取代。

· 域控制器默认安全 (DC security.inf):

此模板是在服务器提升为域控制器时创建的。它反映了文件、注册表和系统服务的默认安全设置。如果您重新应用此模板,这些设置将设置为默认值。但是,该模板可能会覆盖由其他程序创建的新文件、注册表项和系统服务的权限。

· 兼容 (Compatws.inf)

此模板依照大多数不属于 Windows Logo Program for Software(Windows 软件徽标计划)的程序的要求,更改被授予“Users”组成员的默认文件权限和注册表权限。兼容模板还删除“Power Users”组的所有成员。

有关 Windows Logo Program for Software 的更多信息,请访问下面的 Microsoft 网站:

http://www.microsoft.com/winlogo/default.mspx (http://www.microsoft.com/winlogo/default.mspx)

注意:不要对域控制器应用兼容模板。

· 安全 (Secure*.inf)

安全模板定义最不可能对程序兼容性产生影响的增强安全设置。例如,定义加强的密码、锁定和审核设置。另外,这种模板通过将客户端配置为仅发送 NTLMv2 响应而将服务器配置为拒绝 LAN Manager 响应来限制对 LAN Manager 和 NTLM 身份验证协议的使用。

Windows Server 2003 中有两个预定义的安全模板:用于工作站的 Securews.inf 和用于域控制器的 Securedc.inf。有关使用这些模板和其他安全模板的更多信息,请在帮助和支持中心搜索“预定义的安全模板”。

· 高度安全 (hisec*.inf)

高安全模板还指定了安全模板没有定义的其他限制,例如执行身份验证所需的加密级别和签名以及安全通道上的数据交换和服务器消息块 (SMB) 客户端和服务器之间的数据交换。

· 系统根安全 (Rootsec.inf)

此模板指定根权限。默认情况下,Rootsec.inf 为系统驱动器的根定义这些权限。如果根目录权限被意外更改,您可以使用此模板来重新应用根目录权限;您也可以修改此模板以便将相同的根权限应用到其他卷。按照指定,该模板不覆盖在子对象上定义的显式权限,它只传播子对象继承的权限。

· 无终端服务器用户 SID (Notssid.inf)

在终端服务没有运行时可以应用此模板,以便从文件系统和注册表位置删除 Windows Terminal Server 安全标识符 (SID)。执行此操作后系统安全不一定会提高。

有关 Windows Server 2003 中的所有预定义模板的更多详细信息,请在帮助和支持中心搜索“预定义的安全模板”。

重要说明:在域控制器上实现安全模板可能会更改“默认域控制器策略”或“默认域策略”的设置。应用的模板可能会覆盖由其他程序创建的新文件、注册表项和系统服务的权限。应用安全模板后可能需要还原这些策略。在对域控制器执行这些步骤之前,请创建 SYSVOL 共享的备份。

应用安全模板

1. 单击“开始”,单击“运行”,键入 mmc,然后单击“确定”。

2. 在“文件”菜单上,单击“添加/删除管理单元”。

3. 单击“添加”。

4. 在“可用的独立管理单元”列表中,依次单击“安全配置和分析”、“添加”、“关闭”,然后单击“确定”。

5. 在左窗格中,单击“安全配置和分析”,在右窗格中查看说明。

6. 右键单击“安全配置和分析”,然后单击“打开数据库”。

7. 在“文件名”框中,键入数据库文件的名称,然后单击“打开”。

8. 单击要使用的安全模板,然后单击“打开”以将模板中包含的条目导入到数据库中。

9. 在左窗格中右键单击“安全配置和分析”,然后单击“立即配置计算机”。

2014年2月11日星期二

网卡、网桥、交换机、集线器、中继器、路由器、网关分属OSI模型什么层设备?

OSI的7层从上到下分别是 7 应用层 6 表示层 5 会话层 4 传输层 3 网络层 2 数据链路层 1 物理层 其中高层,即7、6、5、4层定义了应用程序的功能,下面3层,即3、2、1层主要面向通过网络的端到端的数据流。

应用层,很简单,就是应用程序。这一层负责确定通信对象,并确保由足够的资源用于通信,这些当然都是想要通信的应用程序干的事情。

表示层,负责数据的编码、转化,确保应用层的正常工作。这一层,是将我们看到的界面与二进制间互相转化的地方,就是我们的语言与机器语言间的转化。数据的压缩、解压,加密、解密都发生在这一层。这一层根据不同的应用目的将数据处理为不同的格式,表现出来就是我们看到的各种各样的文件扩展名。

会话层,负责建立、维护、控制会话,区分不同的会话,以及提供单工(Simplex)、半双工(Half duplex)、全双工(Full duplex)三种通信模式的服务。我们平时所知的NFS,RPC,X Windows等都工作在这一层。

传输层,负责分割、组合数据,实现端到端的逻辑连接。数据在上三层是整体的,到了这一层开始被分割,这一层分割后的数据被称为段(Segment)。三次握手(Three-way handshake),面向连接(Connection-Oriented)或非面向连接(Connectionless-Oriented)的服务,流控(Flow control)等都发生在这一层。

网络层,负责管理网络地址,定位设备,决定路由。我们所熟知的IP地址和路由器就是工作在这一层。上层的数据段在这一层被分割,封装后叫做包(Packet),包有两种,一种叫做用户数据包(Data packets),是上层传下来的用户数据;另一种叫路由更新包(Route update packets),是直接由路由器发出来的,用来和其他路由器进行路由信息的交换。

数据链路层,负责准备物理传输,CRC校验,错误通知,网络拓扑,流控等。我们所熟知的MAC地址和交换机都工作在这一层。上层传下来的包在这一层被分割封装后叫做帧(Frame)。

物理层,就是实实在在的物理链路,负责将数据以比特流的方式发送、接收。

OSI七层模型:网卡是数据链路层的设备(因为他能够基于数据帧进行操作),交换机是数据链路层,集线器(HUB)是物理层设备(已经被交换机取代),中继器是物理层设备(中继器的唯一作用就是放大信号。),路由器是网络层设备。

交换机就是用来进行报文交换的机器.它和HUB最重要的区别就HUB是物理层设备,采用广播的形式来传输信息,交换机多为链路层设备(二层交换机),能够进行地址学习,采用存储转发的形式来交换报文.它和路由器的区别在于路由器有DDN,ADSL等接口,交换机只有以太网接口.

 

网关的解释复杂一点:

网关分类

1、应用网关!(实体在应用层,但是跨多层工作,主要是上几层)
2、协议网关!(一般都是指ipx/spx<---->;tcp/ip不同网络协议的网络互连的功能体)
3、ip网关!(不同网段之间访问的 功能体)

而一个实体有可能冲当以上3者!所以不能断言工作在几层,或者设备是什么!
第2者和第三者往往有路由器充当,也是路由器功能的2大体现!
但是我们和第2者的实际来往不多

和我们打交道多的是第1者和第3者
特别是第三者,几乎网络上所有用户都要用,除非你仅仅工作在简单的局域网

那么网关到底是什么呢?网关实质上是一个网络通向其他网络的IP地址。比如有网络A和网络B,网络A的IP地址范围为“192.168.1.1~192. 168.1.254”,子网掩码为255.255.255.0;网络B的IP地址范围为“192.168.2.1~192.168.2.254”,子网掩码为255.255.255.0。在没有路由器的情况下,两个网络之间是不能进行TCP/IP通信的,即使是两个网络连接在同一台交换机(或集线器)上,TCP/IP协议也会根据子网掩码(255.255.255.0)判定两个网络中的主机处在不同的网络里。而要实现这两个网络之间的通信,则必须通过网关。如果网络A中的主机发现数据包的目的主机不在本地网络中,就把数据包转发给它自己的网关,再由网关转发给网络B的网关,网络B的网关再转发给网络B的某个主机(如附图所示)。网络B向网络A转发数据包的过程。

所以说,只有设置好网关的IP地址,TCP/IP协议才能实现不同网络之间的相互通信。那么这个IP地址是哪台机器的IP地址呢?网关的IP地址是具有路由功能的设备的IP地址,具有路由功能的设备有路由器、启用了路由协议的服务器(实质上相当于一台路由器)、代理服务器(也相当于一台路由器)。

以上关于网关的解释来自CSDN博客,转载请标明出处:http://blog.csdn.net/z19881126/archive/2010/11/16/6012633.aspx

[转载]服务器日常检查范围及方法

每天检查
1. 每天检查系统日志,对出错的提示做分析并解决
2. 每天检查系统磁盘空间,关注系统磁盘的大小变化
3. 每天检查数据备份情况
4. 每天检查系统内存的使用情况
5. 每天检查CPU使用率
每星期检查
6. 杀毒软件每二天更新一次
7. 每星期检查系统补丁的更新
8. 每星期检查活动目录的复制状态
9. 审核管理组的成员资格
10. 执行验证恢复,检测备份的可靠性
11. 检查活动目录的数据库太小
12. 检查DHCP服务的范围,确保有足够的可用IP
每个月检查
13. 检查活动目录数据库的完整性
14. 执行一次磁盘目录的检查,用SCANDISK
15. 对系统进行碎片整理
16. 每个月初与月中做系统的状态备份
17. 每个月重新引导服务器

 

1:系统运行状况检查
1.1:事件日志检查(应用程序/安全性/系统)
:每日检查
:发现有错误的日志出现需要检查出原因并排除错误

1.2:共享文件夹检查
:每日检查
:发现有未经允许的共享文件夹,马上删除

1.3:本地用户和组检查
:每日检查
:发现有未经允许的用户和组,马上删除

1.4:磁盘大小和碎片检查
:每日检查
:发现磁盘空间低于警戒值(30%可用),需要清理无用的磁盘文件
:发现磁盘碎片大于警戒值(70%碎片),需要在服务器空闲时间进行碎片整理

1.5:系统服务和应用程序检查
:每日检查
:发现未经允许的系统服务和应用程序的安装,马上删除

1.6:IIS的检查
: 每日检查
:发现有未经允许的web网站运行,马上删除

1.7:进程和应用程序检查
:每日多次检查
:发现有可疑的进程和应用程序,马上关闭并找到运行文件进行删除

1.8:检查cpu使用和内存的占用情况
:每日多次检查
:发现cpu长时间占用过高(90%)检查主要原因,看情况重启服务器

2.1:检查数据库的日常维护的运行结果
:每日检查
:保证数据和日志按要求正确备份,运行失败的重新手工备份且排除出错原因

2:2:检查数据库的事务日志
:每日检查
:当事务日志大于300M时候,需要完整备份日志后对日志进行收缩操作

2.3:检查数据库文件的碎片
:每半月检查
:当数据库的碎片大于警戒值,需要进行碎片整理工作

3:web系统检查
3.1:web系统的登陆检查
:每日检查
:确保web系统能正常登陆

3.2:web系统的响应检查
:每日检查
:检查web系统的请求和响应速度,如果响应过慢或者无响应,需要检查原因和排除.

3.3:web系统的文件检查
:每月检查
:检查和备份web系统的程序文件

4:web流量检查
4.1:web流量检查
:每日检查
:确保流量正常,发现流量异常的情况,需要查明原因和解决掉。