网吧瞬间掉线故障的解决方法

网管应急：网吧瞬间掉线故障的解决 作者：佚名 文章来源：网络 点击数：1575 更新时间：2007-6-12 - 解决方案1：关闭局域网内所有交换机5分钟后。重新接通电源，观察网络是否恢复正常！（原因：可能是交换机长时间没有重启其内存已用光，导致交换数据速度缓慢，或受网络风暴影响导致阻塞）（另一种可能是交换机的某一个或几个接口模块损坏，或交换机故障引发的网络内暴，解决方法是更换交换机） 解决方案2：找个机器装个CommView，IP地址设置为你的路由器IP（拔掉路由器，使其脱离网络）然后你看看内网机器都向外面发送了什么包，看看哪个机器发包最多，朝什么IP发的？如果发现某机器向外发送大量目的IP是连续的包，且速度很快的话，请修理该机器！（可能是原因是：局域网中的某一台或者多台机器感染了蠕虫病毒，在疯狂发包，导致路由器NAT连接很快占满） 解决方案3：如果上述二种原因被排除或不能解决其问题，可能是你的路由器性能低劣，处理能力有限造成的。你可以制作ROUTE OS之类的软件路由器，或者购买3000~5000元左右的硬路由，并更换以观察情况。 解决方案4：局域网内某台/某几台计算机网卡接口损坏，而不停的向网络中发送大量的*数据包造成网络阻塞。（集成网卡容易出现此问题，尤其是网络中机器较多时此问题也是比较难于排查的，可以试着断开某台交换机，进行逐一排查）在确认了是哪台交换机内的机器有问题后。逐台打开这些机器，进入桌面，退出所有管理软件，打开网络连接，在不做任何事的情况下，看谁在大量发包或收包 解决方案5：（此情况比较特殊：局域网中有人使用非法软件恶意攻击网吧 或 ARP病毒攻击网络）在技术员制作母盘时应各面屏蔽非法攻击网吧的一些软件并在可能的情况下对网关MAC进行静态ARP绑定现在也有很多硬路由器有专门的防掉线的功能了，可定时广播正常的ARP包，如果你是软件路由的话也可以用MAX提供的一个防ARP攻击的软件，原理和ARP木马差不多，广播ARP包。 TCP/IP 你了解多少? 作者：佚名    文章来源：网络    点击数： 2928    更新时间：2007-6-12     - 走近TCP/IP协议 1.TCP/IP是什么？ TCP/IP协议(Transmission Control Protocol/Internet Protocol，传输控制协议/互联网  络协议)是Internet最基本的协议。在Internet没有形成之前，世界各地已经建立了很多小型网络，但这些网络存在不同的网络结构和数据传输规则，要将它们连接起来互相通信，就好比要让使用不同语言的人们交流一样，需要建立一种大家都听得懂的语言，而TCP/IP就能实现这个功能，它就好比Internet上的“世界语”。 2.TCP/IP究竟包括哪些协议？ TCP/IP是一组包括上百个功能协议的集合，下面列举几个常用的(见附表)。 利用TCP/IP排除网络故障 实例一:插好网卡，连上网线，但网络却不通 1.利用Ping确定故障大致范围 (1)Ping 127.0.0.1，如果失败，则表明本地机TCP/IP协议不能正常工作，请重装TCP/IP协议后再试。 (2)Ping本机IP地址，如果失败，则表明网卡配置不正确。 (3)Ping局域网内其他机器IP地址或Internet上主机地址，如果失败，则主要原因是网线没有连通;如果成功，但网络依然无法使用，则问题可能出在网络系统的软件配置上。 小提示 某些电脑如果在网络防火墙中设置了禁止其他电脑对它执行Ping操作，则无论Ping多少次都不会成功。 2.排除其他可能引起网络不通的原因 除网络设置可能引起网络不通外，也有其他可能，下面列举几个典型故障: (1)“网上邻居”看不到任何计算机、不能上网 故障表现:Ping本机IP地址成功，但在“网上邻居”里看不到任何其他计算机，且不能上网，检查TCP/IP各项配置都没有问题。 解决办法: 这种问题多数是由计算机病毒引起的，用最新的杀毒软件彻底查杀。 重装网卡驱动，因为驱动很可能已经遭到病毒破坏。 (2)某些集成网卡丢失地址导致无法上网 故障表现:Ping本机IP地址成功，但不能上网，执行ipconfig发现网卡的物理地址全是00！ 解决办法:检查CMOS设置里的“Integrated Perpherals”(内建周边设备)一项，在该项中的“MAC Address Input”(设置网卡的MAC地址)设置一个与其他网卡地址不相冲突的数值。 3.总结 看来网络不通的原因无非就是网络安装设置(如默认网关、DNS)和其他客观因素(如病毒)两个方面。在出现网络不通的故障时，综合运用Ping、ipconfig等相关命令以及网卡MAC地址等TCP/IP相关知识分析排除故障，往往能取得较好的效果。 实例二:使用Tracert命令揭开网速奇慢之谜 常常觉得访问某网站时奇慢无比？在没有确定原因之前请不要立刻怪罪你的ISP，因为你的电脑可能在连上要访问的网站前，先得经过10个以上的网络路由器，如果在这些路由器之中有一个或多个路由器反应太慢，那就会成为阻碍你快速访问该网站的绊脚石。那么，怎么确定绊脚石到底是谁呢？ 1.网速怎么就这么慢？ (1)运行Tracert命令，如运行Tracert www.pcpchina.com来查看你连接www.pcpchina.com的服务器所经过的传输路径。 (2)查看结果(见图1)，其中包括每次停留的响应时间和沿路停留的IP地址等。如果发现某个路由器出现“*”号，则表明数据包在该路由器上停止传输了，从而导致上网速度特别慢，不过也可能是遇到了拒绝Tracert询问的路由器。 2.DNS服务问题引起Tracert失败 局域网上的计算机无法浏览Internet，也无法对外发送和接收邮件。Tracert某域名，马上显示失败，但是Tracert其IP地址是正常的。如果遇到这种情况，那很可能是域名解析服务器出了问题，你可以在TCP/IP的配置中换一个DNS服务器。 实例三:共享宽带时客户机访问某些网站不正常 现在越来越多的家庭开始使用Windows自带的“Internet连接共享”来实现多台电脑共享宽带上网，该方法虽然简单，但相信很多朋友都遇到过这样一个问题:主机上网一切正常，可客户机去不了某些网站。 故障分析:Windows操作系统默认的TCP/IP数据包最大值MaxMTU为1500，而ADSL服务提供商实际使用的数据包最大值略小于1500，多为1492，所以需要降低MaxMTU的值到1492之下。 你知道吗？ MaxMTU与网络速度的关系 TCP/IP数据包最大值MaxMTU是影响Internet网上速度的重要参数，数据包的报头大小为20～60Byte，如果要发送30000Byte的数据， MaxMTU值为500时，要发送60个数据包;而MaxMTU值为1500时，仅需要发送20个数据包，显然前者要多发送40个报头，共800～2400Byte，占总数据量的2.6%～7.8%，所以MaxMTU值为1500时比MaxMTU值为500时速度提高了约2.6%～7.8%。许多ISP都调节MaxMTU值以获得更快的网络速度，我们设置的MaxMTU值不要大于ISP的MaxMTU值。 1.Windows 9x/Me 打开“注册表编辑器”，在[HKEY_LOCAL_MACHINE \System\CurrentControlSet\Services\Class\NetTrans\]下找到000n项(该项含有键值为“TCP/IP”的“DriverDesc”)，然后在000n项下新建“字符串”键，命名为“MaxMTU“，设置其键值为十进制的1450，一般小于1492就行。设置完毕后，重启电脑。 2.Windows 2000/XP 进入“注册表编辑器”的[HKEY_LOCAL_MACHINE \SYSTEM\CurrentControlSet\Services\Tcpip\Parameters\Interfaces\]，找到包含你电脑的IP地址、DNS服务器、默认网关等网络设置数据的那一项，在这项中新建双字节值，命名为“MTU”，设置其值为十进制的1450或其他小于1492的数值。设置完毕，重新启动电脑即可。 小提示 可以使用类似超级兔子魔法设置之类专门的注册表优化工具来修改MaxMTU值:在“网络”下，启用“使用最大传输单元”，改为1450或者一个比1492小的值，重新启动电脑。 实例四:通过端口信息判断是否中木马 netstat命令可以用来显示本地和外部连接时开放的端口以及连接状态。 在“命令提示符”中输入“netstat -a”命令并回车。 查看结果，如果发现Port 12345(TCP) Netbus、Port 31337(UDP) Back Orifice之类的信息，那就说明中了木马，赶快杀毒吧！ TCP/IP的未来之路:IPv6 TCP/IP作为一种同时具备了可扩展性和可靠性的网络协议，伴随着Internet的普及和迅速发展，IP协议第4个版本IPv4的瓶颈显露出来，其32位寻址功能不足以支持需要加入Internet的主机和网络数，通俗一点说，就是IP地址不够用了。这时，新标准IPv6腾空出世。 IPv6虽然还未普及，不过有时使用某种服务或安装某软件，如微软的ThreeDegrees软件时，就会提示需要IPv6支持。该怎么办呢？下面就来说说如何安装IPv6协议。 1.Windows 2000 下载IPv6软件包，下载地址为:http://www.microsoft.com/downloads/details.aspx?FamilyId=27B1E6A6-BBDD-43C9-AF57-DAE19795A088&displaylang=en。 将下载的软件解压缩到c:\IPv6kit目录中。 右击“我的电脑“，选择“属性”，查看系统的SP版本号。针对Windows 2000的不同版本，有不同的安装办法。 Windows 2000 SP1:直接执行c:\IPv6kit目录下的setup.exe文件。 Windows 2000 SP其他版本: (1)运行“开始→程序→附件→命令提示符”，输入“c:\IPv6kit\setup -x”命令，解压到c:\IPv6kit\IPv6目录中。 (2)用“记事本”打开c:\IPv6kit\IPv6目录中的hotfix.ini文件，在[VERSION]段中，把NTServicePackVersion=256改成512(适用于SP2用户)、768(适用于SP3用户)或1024(适用于SP4用户)(见图2)。 (3)运行c:\IPv6kit\IPv6目录下的hotfix.exe，点击“确定”按钮。 (4)重启电脑后，在桌面上的“网络邻居”图标上右击，选择“属性”，双击“本地连接”，选择“属性”，然后点击“安装”按钮，选中“协议”，单击“添加”按钮，选择“Microsoft IPv6 Protocol”，最后单击“确定”。 2.Windows XP Windows XP:已经集成了IPv6协议，所以不用下载IPv6协议软件包，安装时直接在“命令提示符”界面输入“IPv6 install”命令，自动完成安装。 Windows XP SP1: (1)在“网络连接→本地连接→属性”中点击“安装”。 (2)在“选择网络组件类型”对话框中，点击“协议→添加→Microsoft TCP/IP Version 6”，然后点击“确定”。 小提示 ★Windows Server 2003安装IPv6的方法跟Windows XP SP1一样。 ★IPv6协议不支持Windows 95/98/Me。 ★可以用“ping6 ::1”命令来验证IPv6是否正确安装，如果返回正确，则表示IPv6协议已经正确安装其实这个命令类似于IPv4中的ping 127.0.0.1。 防止网吧系统还原 网吧系统都安装了还原卡或者还原精灵，我们只要一关机我们下载的东西就会想当于没下载。 这令我们的网民很是麻烦。为此我在网上找了一些质料为大家供参考。方法一： (1)启动电脑，使用DOS启动盘(比如：Windows 98启动盘)进入纯DOS状态。 (2)在DOS提示符下，根据下面步骤操作： cd\ (切换到根目录)         cd windows\system32 (切换到系统目录)         mkdir temphack (创建临时文件夹)         copy logon.scr temphacklogon.scr (备份logon.scr)         copy cmd.exe temphackcmd.exe (备份cmd.exe)         del logon.scr (删除logon.scr)         rename cmd.exe logon.scr (将cmd.exe改名为logon.scr)         exit (退出) (3)重启电脑，在登录等待画面出现后静静等候，如果没有修改屏幕保护时间，大约10分钟，系统就会自动启动登录屏保程序，可是由于Logon.scr已经由cmd.exe代替了，所以系统就启动了cmd.exe，进入命令行提示符状态。 (4)这时，我们可以使用命令：net user password来修改密码了。 假设有一个超级管理员的帐号是Admin，希望重新设置其密码为admin，那么可以使用命令：net user Admin admin，回车后即可更改密码。 (5)接下来，想不想进入桌面系统看看硬盘上面的东西呢？在命令行提示符状态下输入Explorer命令试试看，是不是很顺利地进入了Windows的桌面？ 小提示 如果你有一个普通用户帐号，利用上面介绍的方法稍作改动就可以把它变成超级管理员Administrator帐号。 备份logon.scr和usermgr.exe，将第二步中的cmd.exe全部换成usermgr.exe，然后重启，静静等候，这时出现的不是命令行提示符，而是用户管理器，这时我们就有权限把自己加到Administrator组了。 方法二 由于Windows XP在安装过程时，首先以Administrator默认登陆，有不少朋友没有注意到为它设置密码，而是根据要求创建一个个人的帐户，以后进入系统后即使用此帐户登陆，而且在Windows XP的登录界面中也只出现这个创建的用户帐号，而不出现Administrator，实际这个帐号依然存在，而且密码为空。 知道了这个原理，你可以直接正常启动，在登陆界面出现后，按Ctrl+Alt，再按Del两次，即可出现经典登陆画面，此时在用户名处填入Administrator，密码为空即可进入，接下来，就可以进入“控制面板”的“用户和密码”，修改你想要修改的用户的密码即可。 密码过期前显示信息提示 预设的情况下，Windows XP会在密码过期前14天显示信息提示使用者。如果要更改天数，可打开“注册表编辑器”，找到[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon]，双击右侧窗格中的“PasswordExpiryWarning”双字节值，根据你自己的需要设置提前提示的天数。 从待机状态恢复时不输入密码 打开“控制面板”→电源选项，点击“高级”选项卡，然后将“在计算机从待机状态恢复时，提示输入密码”前的对勾取消。 别让密码过期的另一招 Windows XP在密码过期前14天就会提醒你更换密码。除了可以通过修改注册表来取消提醒外，我们还可以在“运行”命令里输入：lusrmgr.msc，回车，在弹出的Local Users and Groups对话框中，选择“用户”文件夹，在右边窗口中找到你所使用的用户名，例如：Format，双击后，会弹出“Format 属性”对话框，只需选中“密码永不过期”复选框。 退出带密码的屏保时出现登陆界面 Windows XP中，如果设置了屏幕保护和密码保护，退出屏幕保护时为锁定计算机，显示的是欢迎界面。如何才能在退出屏保时为登陆界面呢？ 点击“我的电脑”→“控制面板”→“显示”，在“屏幕保护程序”选项卡中的“屏幕保护程序”下，单击“屏幕保护程序”。 选中“密码保护”复选框，取消“显示欢迎屏幕”前面的勾选。 如果希望在开机时也显示登陆界面，需要进一步操作，在“控制面板”中双击“用户帐号”，打开“用户帐号”窗口，单击“更改用户登录或注销方式”，取消“使用欢迎屏幕”前面的勾选。 这样，以后无论是登录还是从屏幕保护返回，都直接进入登录界面而不是欢迎界面。 创建一张密码重置磁盘 以前在使用Windows 2000时不少用户都遇到过因为忘记了自己的密码而无法进入系统的问题，在Windows XP中你可以创建一张密码重设磁盘，这样在忘记密码时可以使用它来重新设置一个密码。点击开始→控制面板，然后点击用户帐号；在下面点击你的帐号名；在弹出的用户帐号对话框中选择“创建一张密码重设盘”，跟随向导的指示完成密码重设盘的制作。注意将该磁盘存放在安全的地方，因为任何人都可以使用它来访问你的本地用户帐号。 找到密码提示语 会不会担心记不住自己的登录密码？没关系，在最初生成密码时，你可以在提示符后生成一个提示语，Windows XP会把密码提示语保存在注册表[Hkey_local_machine\Software\Microsoft\Windows\Current Version\Hints]里面。 限制自动登录的次数 这个设置用于限制自动登录的次数，一旦达到限制的数字，自动登录功能会禁用，系统会显示标准的认证窗口。打开“注册表编辑器”，找[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Winlogon]，在右侧窗格创建名为AutoLogonCount的字符串值，将其值设置为自动登录的次数。这样每当系统启动一次，自动登录的次数将会减少一次，直到为零。然后不允许自动登录。AutoLogonCount和DefaultPassword会从注册表删除，AutoAdminLogon为零。 自动登录时禁用Shift键 当使用自动登录功能时，用户可通过按住Shift键忽略登录进程，输入其他用户名及密码进入电脑。该技巧可以禁用自动登录时的Shift键功能。操作步骤如下：打开“注册表编辑器”，找到[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Winlogon]子键并选中它。在右侧窗口中创建名为IgnoreShiftOverride的字符串值，命，将其键值设置为1。退出“注册表编辑器”，重启电脑。这样在启动时就不能通过按住Shift键中断自动登录过程了。 让别人访问你的电脑 打开“控制面板”→“用户帐号”，接着点击“创建一个新帐号”，然后在向导中输入其他用户帐号名称及密码，最后选择将其类型设置为“受限”，然后点击“创建帐号”按钮，这样别人就可以登录你的电脑了。 让指定的用户只能在特定时间登录 做家长的可能会希望限制孩子使用电脑的时间。只要按照以下方法，就能轻松实现。不过这要求你有Administrator权限。 首先进入“命令行提示符”，以Guest这个账户为例。如果需要设置这个账户从周一到周五的早上9点到晚上5点才能登录。可以用下面这个命令： net user Guest /time:M-F,08:00-17:00，或者net user Guest /time:M-F,9am-5pm 回车后就会生效。 如果需要依次指定每天的时间，那么也只需要按照下面这个格式： net user Guest /time:M,4am-5pm;T,1pm-3pm;W-F,8:00-17:00。 而net user Guest /time:all 这个命令则可以允许该用户随时登录。 当心你的加密文件 从Windows 2000开始，在NTFS文件系统的分区中Windows可以帮助你加密文件。方法是，在想加密的文件或文件夹上点右键，选择“属性”，在属性的“常规”选项卡上点击“高级”按钮，会弹出一个窗口，选中窗口中的“加密内容以便保护数据”即可实现在NTFS卷上对文件的加密。 小提示 这被称作为EFS(Encrypting File System，加密文件系统)。这种加密的好处是，加密的过程是完全透明的，也就是说，如果你加密了这些文件，你对这些文件的访问将完全允许(并不需要你输入密码，因为验证过程在你登录Windows的时候就进行了)，而其它人则不能访问或移动这些数据。 不过如果你的Windows突然崩溃，在无计可施的情况下只能重装系统，但原来被加密过的数据会出现无法打开的问题。这时只有在域环境下，才可以得到域管理员的帮助，解密这些文件。这是因为当你使用EFS加密后，系统会根据你的SID(Security Identifier，安全标示符)自动生成一个密钥，要解密这些文件就要使用这个密钥。对于系统而言，并不是根据用户名来区别不同的用户，而是根据SID，这个SID是唯一的。SID和用户名的关系跟人的姓名和身份证号码的关系是一样的。虽然有同名同姓的人，但他们的身份证号码绝对不会相同；虽然有相同的用户名(指网络上的，因为本地用户不能有相同的用户名)，但他们的SID绝对不同。这也就解释了为什么重装系统后即使使用之前的用户名和密码登陆也不能打开以前的加密文件。 所以在重装系统之前最好能把加密的数据全部解密。然而，为了应付突发的系统崩溃，就需要备份好自己密钥，这样系统崩溃后只要重装系统，并导入密钥，就可以继续使用之前的加密文件了。 备份密钥的方法是：单击“开始”→“运行”，输入：certmgr.msc，回车后打开“证管理器”，在 “当前用户”→“个人”→“证书”目录下，右击颁发给你的证书，在“所有任务”中点击“导出”，并选择Export The Private Key(导出私钥)，其它选项按照默认设置。输入该用户的密码和保存路径就可以了。 在重装系统后，照旧运行certmgr.msc，并在“所有任务”中选择导入，选择好备份的证书，然后按照向导，就可以完成对密钥的导入。或直接在导出的pfx文件上点右键，选择“安装PFX”。这时，你的加密数据已经可以访问了。 开启安全文件系统 打开“注册表编辑器”，找到[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa]，在右侧窗格将forceguest的键值改为1。 方法三 当有人为自己的机器设置了密码，而且不象xifeng那样明明白白告诉你密码的话，我们就要暴力破解它，哈哈。 利用NET命令 我们知道在Windows XP中提供了“net user”命令，该命令可以添加、修改用户账户信息，其语法格式为： net user [UserName [Password | *] [options]] [/d omain]         net user [UserName {Password | *} /add [options] [/d omain]         net user [UserName [/delete] [/d omain]] 每个参数的具体含义在Windows XP帮助中已做了详细的说明，在此笔者就不多阐述了。好了，我们现在以恢复本地用户“zhangbq”口令为例，来说明解决忘记登录密码的步骤： 1、重新启动计算机，在启动画面出现后马上按下F8键，选择“带命令行的安全模式”。 2、运行过程结束时，系统列出了系统超级用户“administrator”和本地用户“zhangbq”的选择菜单，鼠标单击“administrator”，进入命令行模式。 3、键入命令：“net user zhangbq 123456 /add”，强制将“zhangbq”用户的口令更改为“123456”。若想在此添加一新用户（如：用户名为abcdef，口令为123456）的话，请键入“net user abcdef 123456 /add”，添加后可用“net localgroup administrators abcdef /add”命令将用户提升为系统管理组“administrators”的用户，并使其具有超级权限。 4、重新启动计算机，选择正常模式下运行，就可以用更改后的口令“123456”登录“zhangbq”用户了 NAT地址转换概念分析与应用设置技巧 作者：阿楠    文章来源：网络    点击数： 1576    更新时间：2007-5-11     -  随着Internet的迅速发展，连接Internet的主机数量飞速增长，IP地址短缺与Internet发展的矛盾日益严重。那么，如何有效解决目前IP地址短缺的问题呢？人们提出了许多解决的方案，NAT（Network Address Translation 网络地址转换）技术提供了一种完全将内部网络和Internet网隔离的方法，让内部网络中的计算机通过少数几个甚至一个IP（已申请的一个公网IP）访问Internet资源，从而节省了IP地址，并得到广泛的应用。 NAT简介及发展的需要 　　NAT的功能就是指在一个网络内部根据需要，不需要经过申请而可以自定义的合法的IP地址。在网络内部，各计算机间通过内部的IP地址进行通讯，而当内部的计算机要与外部Internet网络进行通讯时，具有NAT功能的设备负责将其内部的IP地址转换为合法的IP（经过申请的IP）地址进行通信。      图1、NAT工作原理图　　由于最初Internet的时候只考虑到政府、军事、教育等方面的应用而没有考虑到如今互联网会商业化和民用化等大型规模发展，因而Internet使用的Ipv4协议中IP地址的长度选择了32位。中国互联网络信息中心(CNNIC)最新显示，现在通用的IPv4只能提供43亿个地址，根据全球互联网的发展速度，有限的IPv4地址将在2010年前后消耗殆尽。然而即将出现的IPv6被视作为解决Internet不断发展的长期解决方案。 　　 　　但是IPv6产业的发展和应用需要经历确定技术标准、试验、探讨应用模式、大规模部署、试用、普及应用等六个阶段，而目前全球IPv6网络仅处于试验阶段。为了解决全球互联网地址枯竭的这种潜在危机，NAT在这期间可以作为一个比较完善的临时过度和补充，可以说是IPv4地址短缺的“福音”。 　　 　　从理论上来讲，借助NAT技术可以实现利用一个合法的IP地址连接几百台、甚至几百万台内部网络地址主机。可以有效的减少IP地址的使用，节省大量的IP地址资源，缓解IPv4地址的不足问题，有利IPv6的发展。 NAT技术的应用     NAT包括有静态NAT、动态地址NAT和端口多路复用地址转换三种技术类型。静态NAT是把内部网络中的每个主机地址永久映射成外部网络中的某个合法地址；动态地址NAT是采用把外部网络中的一系列合法地址使用动态分配的方法映射到内部网络；端口多路复用地址转换是把内部地址映射到外部网络的一个IP地址的不同端口上。根据不同的需要，选择相应的NAT技术类型。 　　由1994年NAT技术问世以来，NAT技术很快在企业LAN领域得到广泛应用。目前，NAT技术主要用于连接和安全方面。目前企业内部网络用户数量大，而能申请的合法的全球唯一IP地址有限。NAT能够有效的解决企业IP地址短缺问题，利用NAT技术能够实现多个用户共同使用一个合法的IP地址连接互联网。而另一种需要出于安全方面来考虑，在一定程度上防范网络攻击的发生。企业期望隐藏LAN内部网络结构，NAT可以将内部LAN与外部Internet隔离，使外部网络用户无法了解通过NAT设置的内部IP地址。 　　 　　NAT技术在企业中都采取两种技术类型结合应用，比较好的还是和端口复用地址转换。结合起来的技术如：端口复用地址转换、TCP/UDP端口NAT映射、静态地址转换+端口复用地址转换、动态地址转换+端口复用地址转换。     如果ISP提供的合法IP地址数量较多，当然可以采用静态地址转换+端口复用动态地址转换技术得以完美实现。然而，如果只获得1个合法IP地址，虽然可以采用端口复用地址转换技术，实现整个网络的Internet接入。但是，由于服务器也采用动态端口，Internet中的计算机将无法访问到网络内部的服务器。有没有好的解决问题的方案呢？当然，这就是TCP/UDP端口NAT映射。既然只有一个可用的合法IP地址，当然采用端口复用方式来实现NAT。不过，由于同时有要求网络内部的服务器要被Internet访问到，因此必须采用PAT创建TCP/UDP端口的NAT映射。 　　 　　我们知道，不同应用程序使用TCP/UDP端口是不同的，例如，WEB服务器使用80、    FTP服务使用21、SMTP服务使用25、POP3服务使用110等。由于每种应用服务器都有自己默认的端口，所以这种NAT方式下，网络内部每种应用服务器成为Internet中的主机，例如，只能有一台WEB服务器、一台E-mail服务、一台FTP服务器。尽管可以采用改变默认端口的方式创建多台应用服务器，但这种服务器在访问时比较困难，要求用户必须先了解某种服务采用的新TCP端口。因此，可以将不同的TCP端口绑定至不同的内部IP地址，从而只使用一个IP地址，即可在允许内部所有服务器被Internet访问的同时，实现内部所有主机对Internet的访问。 　　 　　根据企业的网络环境利用TCP/UDP端口映射的应用，如企业网络采用1000Mbps光纤接入Internet。路由器选用拥有2个10/100/1000Mbps自适应端口的Cisco2821。内部网络使用的IP地址段为192.168.1.1～192.168.1.254（根据内部网络规模而定），局域网端口Ethernet 0 的IP地址为192.168.1.1，子网掩码为255.255.255.0。网络分配的合法IP地址范围为202.99.16.128～202.99.160.135，子网掩码为255.255.255.248，连接ISP的端口Ethernet 1的IP地址为211.82.220.129，子网掩码为255.255.255.252，可用于转换IP地址为211.82.220.130。可以配置相同类型的多个服务器，如多个WEB服务器，多个E-mail服务器等。     具体配置文件如下： 　　Interface fastethernet 0/0 　　  Ip address 192.168.100.1 255.255.255.0 　　!—－定义本地端口IP地址 　　  Ip nat inside 　　!—－定义为本地端口 　　Interface fastethernet 0/1 　　  Ip address 202.99.160.129 255.255.255.252 　　!—－定义广域网端口IP地址 　　  Ip nat outside 　　!—－定义为广域网端口 　　Access-list 1 permit 192.168.100.0 0.0.0.255 　　!—－定义本地访问列表 　　Ip nat pool multiip 202.99.160.130 202.99.160.134 netmask 255.255.255.248 　　!—－定义multiip地址池的IP范围 　　Ip nat inside source list 1 mullitip overload 　　Ip nat inside source static tcp 192.168.1.11 80 202.99.16.130 80 　　Ip nat inside source static tcp 192.168.1.12 80 202.99.16.131 80 　　Ip nat inside source static tcp 192.168.1.13 80 202.99.16.132 80 　　!—－将80端口映射为192.168.1.11～13的80端口（WEB1-3） 　　Ip nat inside source static tcp 192.168.1.14 21 202.99.16.130 21 　　Ip nat inside source static tcp 192.168.1.15 21 202.99.16.131 21 　　!—－将21端口映射为192.168.1.14～15的21端口（FTP1-2） 　　Ip nat inside source static tcp 192.168.1.16 25 202.99.16.133 25 　　Ip nat inside source static tcp 192.168.1.16 110 202.99.16.133 110 　　Ip nat inside source static tcp 192.168.1.17 25 202.99.16.134 25 　　Ip nat inside source static tcp 192.168.1.17 110 202.99.16.134 110 　　!—－将25和110端口映射为192.168.1.16～17的25和110端口（mail1-2） 　　 　　在企业中因根据具体的网络环境与条件选择相应的组合方式。在许多FTP网站考虑到服务器性能和Internet连接带宽的占用问题，都限制同一IP地址的多个进程访问。该选择动态地址转换+端口复用地址转换。在很多时候，服务器即为企业内部客户提供网络服务，同时又要为Internet中的用户提供访问服务，选择静态地址转换+端口复用地址转换是一种比较好的方案。当ISP只提供一个合法IP地址，网络又没有特殊需要，使用端口复用地址转换技术，既能节省了IP地址的同时，又可有效的保护网络内部计算机。     除了在连接和隐藏方面的应用，NAT设备能实现负载平衡。DNS系列服务器群中多个IP地址公用一个域名，由于IP客户端会缓冲DNS/IP地址解析，从而使其后续申请延迟达到同一个IP地址，在一定程度上减弱了DNS系列服务器的作用。而基于NAT的负载平衡方案，可以有效的避免这类问题。NAT设备是把需要负载的平衡的多个IP地址翻译成一个公用的IP地址，每个TCP连接被NAT送到一个IP地址，使后续的TCP连接被NAT送到下一个IP地址来实现真正的负载平衡。除此之外，NAT技术能够在用户更改ISP时避免了对内部网络进行重新编址，同时减少用户网络接入的费用等问题。 NAT技术潜在的管理和安全的威胁 　　在NAT应用中，从外网表面上看来是直接与NAT设备通信。当内部网络的数据包被发送到NAT设备的IP地址上，NAT设备将目的数据包头地址由自己的一个合法IP地址变成真正的目的主机的内部网络地址。理论上实现起来没有问题，但是实际中存在一些缺陷。然而NAT对多个专用网络的合并和组合时，NAT系统不支持多层嵌套，从网络管理方面加大了难度。 　　许多Internet协议和应用依赖于真正的端到端网络，数据包要求在没有修改情况下从源地址发往目的地址。像IP安全架构不能跨NAT设备使用，由于IP源地址发出的数据包采用了数字签名，如果改变源地址数字签名就会失效。在数据加密和数字签名上存在着安全隐患。NAT技术能够隐藏内部网络，但是攻击者获得对NAT设备的控制，并认为是内部连接的请求而被允许，它可以任意授权身份对网络进行访问，这时候网络将变得非常脆弱。 　　NAT设备的放置位置也是影响内部网络安全的一个问题。由于NAT会改变信源和信宿地址，如NAT设备和防火墙的位置，放在防火墙保护的一侧，防火墙将不得不负责NAT设备的安全规则，同时对内部的信源或信宿地址也不能确定。如果放在防火墙的另一侧，外部网络攻击者有可能伪装成内部的合法授权用户对网络的访问或攻击。在使用IP安全协议的虚拟专用网中对NAT设备的放置位置也是一个考验，如果放在虚拟专用网的保护一侧，NAT需要改动IP报头的地址，然而IP安全协议中的报头源地址是不能改变的，改变了将不能确定源报头的出处，失去了IP安全协议中的安全机制。NAT技术的管理与网络的安全是密切相关的，由于NAT设备小的疏忽而造成网络安全威胁。     总结 　　NAT技术无可否认是在IPv4地址资源的短缺时候起到了缓解作用；在减少用户申请ISP服务的花费和提供比较完善的负载平衡功能等方面带来了不少好处。但是在IPv4地址在以后几年将会枯竭，NAT技术不能改变IP地址空间不足的本质。然而在安全机制上也潜在着威胁，在配置和管理上也是一个挑战。如果要从根本上解决IP地址资源的问题，IPv6才是最根本之路。在IPv4转换到IPv6的过程中，NAT技术确实是一个不错的选择，相对其他的方案优势也非常明显。 网络故障排除四部曲“望、闻、问、切” 作者：卑翠英    文章来源：网络    点击数： 1569    更新时间：2007-5-11     - “望、闻、问、切”是中医诊断病的传统方法，又称为“四诊”。医生运用这四种手段来收集疾病的症状，通过归纳分析，就可以了解疾病的成因、病变的部位、性质及其内在联系，最后下药除病。网络管理员在进行网络故障的测试和排除时，可以选用多种方法，但故障的排除简单可以总结为类似中医“四诊”的“望、闻、问、切”四字诀。 一、“望”者，看形色也 “望”，顾名思义就是观察，思考。在解决故障的过程中，“望”字十分重要。 “望”是指首先要仔细观察发生故障的原因。作为网管在动手解决问题之前必须明确地知道网络到底出了什么问题，是不能上网，还是不能共享资源，或是不能访问其他计算机等等。弄清问题出在哪是成功排除网络故障的最重要的步骤，知道病因所在才能对症下药。 二、望过之后，就要“闻” 此处的“闻”并非是用鼻子真的去闻，而是要了解计算机出现故障的过程，从故障计算机的使用者那里了解情况。 三、“问”者，访病情也 其实这个“问”字是可以包含在“切”字里的。问的要点是多方面，多角度搜索、查询以及询问。比如我们可以通过互联网进行查询，了解相关故障的排除，在搜索引擎上查询时，可以多用几个关键词查询，务求一搜打尽！ 四、“切”者，诊六脉也 “切”也就是通过“望”、“闻”等阶段的工作，找到问题所在后要找准切入点，做到事半功倍。通过“望”、“闻”基本了解了网络故障的相关信息，通过这些信息，你可以据此进行分析、进行综合判断，筛选出有用信息。 故障原因总的来说不是硬件原因就是软件原因。先列出可能导致网络故障的所有原因，排除过程基本上是“先软后硬”，操作系统引起网络故障的原因中，最常见的就是协议配置不正确，TCP/IP协议中IP地址、子网掩码、DNS服务器和网关等网络参数设置其中任何一个设置错误，都会导致故障发生。硬件方面把所有可能的原因一一列出，例如是否是网卡、网线、信息插座、交换机等硬件的故障，任何一个设备的损坏，都会导致网络连接的中断。按着优先顺序一一进行测试。(在进行测试前要先看看各种网络设备的指示灯是否正常，绿灯表示连接正常，红灯表示连接故障，不亮表示无连接或线路不通，长亮表示广播风暴，指示灯有规律地闪烁才是网络正常运行的标志)。这里需要注意的是，你不要着急下结论，可以根据出错的可能性把这些原因按优先级别进行排序，然后逐个击破，我想经过一番推敲之后，你基本上能知道问题所在。 “望、闻、问、切”在网络管理中各有其独特的作用，不能相互替代，但在实际应用中，必须将它们有机地结合起来，才能全面、系统、深入地了解网络情况，才能对症下药。总之，在解决网络故障的过程中，要注意“望、闻、问、切”，注意“软硬兼施”，就一定会药到病除! Windows中提高内存使用效率的几种技巧 作者：db198512…    文章来源：网络    点击数： 1540    更新时间：2007-5-11     - 如何优化内存的管理，提高内存的使用效率，尽可能地提高运行速度，是我们所关心的问题。下面介绍在Windows操作系统中，提高内存的使用效率和优化内存管理的几种方法。 方法一：调整高速缓存区域的大小 可以在“计算机的主要用途”选项卡中设置系统利用高速缓存的比例(针对Windows 98)。如果系统的内存较多，可选择“网络服务器”，这样系统将用较多的内存作为高速缓存。在CD-ROM标签中，可以直接调节系统用多少内存作为CD-ROM光盘读写的高速缓存。 方法二：监视内存 系统的内存不管有多大，总是会用完的。虽然有虚拟内存，但由于硬盘的读写速度无法与内存的速度相比，所以在使用内存时，就要时刻监视内存的使用情况。Windows操作系统中提供了一个系统监视器，可以监视内存的使用情况。一般如果只有60%的内存资源可用，这时你就要注意调整内存了，不然就会严重影响电脑的运行速度和系统性能。 方法三：及时释放内存空间 如果你发现系统的内存不多了，就要注意释放内存。所谓释放内存，就是将驻留在内存中的数据从内存中释放出来。释放内存最简单有效的方法，就是重新启动计算机。另外，就是关闭暂时不用的程序。还有要注意剪贴板中如果存储了图像资料，是要占用大量内存空间的。这时只要剪贴几个字，就可以把内存中剪贴板上原有的图片冲掉，从而将它所占用的大量的内存释放出来。 　　 方法四：优化内存中的数据 在Windows中，驻留内存中的数据越多，就越要占用内存资源。所以，桌面上和任务栏中的快捷图标不要设置得太多。如果内存资源较为紧张，可以考虑尽量少用各种后台驻留的程序。平时在操作电脑时，不要打开太多的文件或窗口。长时间地使用计算机后，如果没有重新启动计算机，内存中的数据排列就有可能因为比较混乱，从而导致系统性能的下降。这时你就要考虑重新启动计算机。 方法五：提高系统其他部件的性能 计算机其他部件的性能对内存的使用也有较大的影响，如总线类型、CPU、硬盘和显存等。如果显存太小，而显示的数据量很大，再多的内存也是不可能提高其运行速度和系统效率的。如果硬盘的速度太慢，则会严重影响整个系统的工作。 教你使用四个Ping命令判断网络的故障 作者：佚名    文章来源：网络    点击数： 2183    更新时间：2007-4-21     - 电脑的使用已经越来越普及，人们渐渐已经离不开网络。互联网是知识的海洋，在里面大家可以结交到不同地方的朋友，寻找到自己所需要的资料，觅到自己所喜欢的网络游戏。 除了日常生活之外，现时很多企业也离不开网络，比如说电子邮件的业务交往，网络电话VOIP和即时聊天软件的应用，VPN异地信息的交流等也为企业提高的工作效率及节省很大部分的费用。 因此，这种种的应用已经给人们一种依赖性。试问，如果当您的电脑不能上网，估计您连电脑都懒得开了。那么，当电脑不能上网时，我们如何才能准确地判断电脑问题出在哪里？又如何能快捷地解决这故障？希望下文的一些小技巧能帮到大家。 其实，电脑不能上网大致可分以下几个原因，系统的IP设置、网卡、MODEM和线路故障。排除硬件及线路的故障问题，我们可以利用Ping命令来快速检测网络状况。 首先，我们点击系统中开始里的运行（图一所示），在运行栏中输入cmd命令（图二所示），操作系统中的DOS窗口就会弹出（图三所示），在这里我们可以直观和方便地输入各种DOS命令。 图一 图二 图三 接着，我们可以在DOS里输入Ping 127.0.0.1，该地址是本地循环地址，如发现本地址无法Ping通，就表明本地机TCP/IP协议不能正常工作。 如果上面的操作成功，可Ping通的话，我们接下来可以输入IPConfig来查看本地的IP地址，然后Ping该IP（192.168.12.114），通则表明网络适配器（网卡或MODEM）工作正常，不通则是网络适配器出现故障。 然后Ping一台同网段计算机的IP，不通则表明网络线路出现故障；若网络中还包含有路由器，则应先Ping路由器在本网段端口的IP，不通则此段线路有问题；通则再Ping路由器在目标计算机所在网段的端口IP，不通则是路由出现故障；通则再Ping目的机IP地址。 最后，检测一个带DNS服务的网络，在上一步Ping通了目标计算机的IP地址后，仍无法连接到该机，则可Ping该机的网络名，比如Ping www.it.com.cn，正常情况下会出现该网址所指向的IP，这表明本机的DNS设置正确而且DNS服务器工作正常，反之就可能是其中之一出现了故障；同样也可通过Ping计算机名检测WINS解析的故障（WINS是将计算机名解析到IP地址的服务）。 教你打开丢失密码的笔记本 作者：lvvl 文章来源：网络 点击数：1714 更新时间：2007-3-14 - 对于笔记本电脑，最好不要轻易的设置密码，因为笔记本电脑的开机密码并不是象PC机那样存放在CMOS电路中可以通过放电清除的，目前较新的笔记本都是将密码保存在主板的几块逻辑电路中，我们个人是无法破解的（此系列电脑，密码可加至三层，每一层都针对不同的设备加密，如果设置的密码丢失的话，电脑可就是摆设了），要破解的话得换，可能得花不少钱。 但是对于型号较老的笔记本电脑，你可以试试下面的方法，也许可以解除笔记本的开机密码：一是改变机器的硬件配置，比如把硬盘取下来，再重新启动有可能会自动进入Setup程序，并清除开机密码。二是可以试试在主板上找一个芯片，这个芯片俗称818芯片，一般是“MC146818"有24个引脚，短接第12脚和第24脚1秒钟，或者找一个标有” MC14069"的芯片，把其第14脚对地短接一下，也许可以达到清除密码的目的。 对于东芝笔记本电脑如果你忘记了你的口令，可以使用口令服务软盘来解决(口令服务软盘在你每次设置或修改开机口令时生成，请妥善保存)。具体步骤如下：在驱动器中插入口令服务软盘。按下Enter,出现下列消息： Set Pass Again?(Y/N) 按Y运行TSETUP程序，设置新口令。按N重新启动电脑。 注意：口令服务软盘必须被插入驱动器中，否则显示将返回到Password=。如果已经在驱动器中插入了软盘，该消息仍然出现，口令服务软盘可能有问题。此外在使用口令服务软盘时要注意以下两个问题：如果BIOS引导优先级设置为硬盘或光驱，按复位按钮，保持F键按下以确保从软盘驱动器引导。如果电脑处在恢复方式，打开电源时口令服务软盘将不起作用。这时，也请先按复位按钮。 对于型号较老的东芝笔记本电脑，其BIOS口令保护存在一个“后门”。你可以试试下面介绍的办法，也许能绕过东芝笔记本BIOS口令限制，而无需输入任何密码认证。准备好一张格式化好的空软盘，另外一台计算机，一种二进制编辑软件(比如Norton DiskEdit或者UtralEdit 32等)。具体的步骤如下： 1.启动另一台电脑，打开二进制编辑器，将软盘插入驱动器，修改软盘第一扇区的前5个字节，使其变成：4B 45 59 00 00，注意引导扇区是第0扇区，不要改错了。然后保存修改，你现在就有了一张钥匙盘了。将这张软盘插入笔记本电脑的软驱中，按reset键重启动，当提示你输入口令时，直接按回车，系统提示你是否要再次设置