Author: 绝世坏蛋

TTL传输中过期

访问目标所需的跃点数超过了发送方主机为转发数据包而设置的 TTL(生存时间)。Ping 发送的 ICMP 回显消息的默认 TTL值是 128。如果这个值不足以将所需的链接数传递到目标,则可以通过使用 ping -i 来增大 TTL,最高可增至 255 个链接(最大值)。如果增大 TTL值未能解决问题,则说明在路由循环(即路由器之间的循环路径)中转发数据包。使用 Tracert 来跟踪路由循环(它在 Tracert 报告中显示为一系列重复的相同 IP 地址)中的一组路由器。接下来,对路由循环中路由器的路由表进行相应的更改,或将此问题告知远程路由器的管理员。

神州数码路由器设置rip认证

直接在需要设置验证的端口上设置验证方式并添加密码即可。
设置验证方式:
端口下执行rip authen<tab> 接验证方式 神州数码DCR-2655下可选的验证方式有md5认证、明文认证、动态认证。
各种认证间的区别主要是:
设置密码:
选择的是何种验证方式就以何种方式来设置密码,比如选择了md5验证,则执行ip rip md5-key 认证ID<范围为0-255> md5 认证秘钥<最大范围为16个字符>。其他两种验证方式可根据按?列出的路由器提供的帮助信息来设置。
 

二层交换机中ip route的应用

可以通过二层交换机的ip route功能实现跨网段管理交换机。
以下是一个简单的拓扑图,用以实验交换机的跨网段管理。
在这个拓扑图中,计算机与交换机处于不同网段,显然是无法进行通信的。这时,就像pc想把数据送给路由器需要指定网关一样,交换机也需要通过ip route来指定一个网关才可以把数据发送给路由器,再由路由器通过路由表中记录的数据来决定接下来这个数据包应该走向哪里才能送到目的地——pc。
注:支持ip route命令的二层交换机实际上是弱三层设备,这种二层交换机上虽然有ip route命令,但该命令只能用于设置交换机的网关,不能用于交换机内不同网段间的路由,因为在二层交换机内并没有建立和维护起自己的路由表,只能支持静态路由和SVI,而强三层交换机则可以。

神州数码交换机清除enable密码

导语

交换机的enable密码忘了是一件很令人头疼的事,如果想清除密码却又不想清空交换机的全部配置,就可以试试我教你的这一招啦!

解决方法

进入到bootrom模式(开机时按Ctrl+B)下执行nopassword命令清除密码,之后执行run命令直接运行操作系统。
切记不可使用reload重启,否则密码将不会被清除。

交换机划分vlan的意义

1.提高安全性———-举个例子:没有划分VLAN前,交换机端口连接下的所有PC都处于一个VLAN中即一个广播域中,实现ARP攻击太简单了。划分了VLAN之后缩小了ARP攻击的范围,ARP报文是一个2.5层的报文,只能在同一个VLAN中传播。
2.提高性能———–不划分VLAN,整个交换机都处于一个广播域,随便一台PC发送的广播报文都能传送整个广域播,占用了很多带宽.划分了VLAN,缩小的广播域的大小,缩小了广播报文能够到达的范围。
误区解释: 划分VLAN的目的不是隔离VLAN不让VLAN间互访。如果真是为了隔离,为什么还要使用单臂路由或者三层设备来实现他们不同VLAN间的互联呢,这不是多此一举吗?所以,VLAN之间隔离只能算是vlan的一种应用,并不是划分VLAN的最终目的。

神州数码路由器与交换机配置总结与注意事项

1、神州数码设备设置时钟频率命令与思科设备不同,使用physical-layer speed接波特率,时钟频率统一设置在s0/2(母头)上的。
2、可以通过设置回环地址(loopback)来验证网络是否联通,而不必连接计算机来验证。
3、神州数码的设备在路由重分布时要注意发布直连网络(connect)。
4、神州数码的设备路由重分布命令与思科略不同,直接redistribute后面接要分布的协议即可(ospf需要写上进程号)。
5、使用ping命令时可以用-i参数指定使用当前设备的哪个ip(端口)去ping目标ip。
6、多区域ospf相连时,在核心路由器上将两个区域写在同一进程下可不必进行重分布操作,否则必须重分布。
7、配置基本拓扑时,要先将ip地址配置完再配路由,避免遗漏。
8、神州数码设备配置ospf直连网段时使用正掩码,而思科使用反掩码。
9、路由重分布时,动态路由需要重分布静态路由,静态路由不需要重分布其他路由。
10、神州数码设备设置默认路由时可以使用default代替0.0.0.0 0.0.0.0,例如:ip route default 192.168.1.1。
11、不同交换机的同一vlan间可以通信,如果不使用trunk口来连接两台设备,则需要把连接两台设备的链路也加入到需要跨交换机通信的vlan中。
12、trunk将一个交换机中不同vlan的数据打包在一起,并为他们贴上属于哪个vlan的标签。之后传输给另一台设备,再由另一台设备上的trunk口进行解包,把各个vlan的数据传输给各个vlan。使用trunk可以避免为每一个vlan的跨交换机通信都单独牵一条线。
13、做不同vlan间通信的实验时给三层交换机设置ip地址的目的是为了开启三层交换机的路由协议。因为两个ip地址都属于三层交换机的直连线路,所以不需要配置路由信息。
14、神州数码的设备需要给vlan加端口使用vlan 接vlan id进入vlan再在其中使用sw<tab> int<tab> 接端口号来将端口加入vlan。需要给vlan设置ip则使用int<tab> vlan 接vlan id进入vlan再使用ip add<tab> 接ip 子网掩码 为vlan配置ip地址。
15、单臂路由中,封装dot1Q协议相当于为子端口打上vlan id的标签,将这个子端口加入到vlan中。
16、计算机网关需配置成离自己最近的路由器的相连端口的地址,如相邻的三层交换机开启了路由功能则设置成所属的三层交换机的vlan地址。
17、如果想删除某一vlan,应先使用no int<tab> vlan 接vlan id 删除该VLAN的配置,再使用no vlan 接vlan id 删除VLAN中所加入的端口。
18、做dhcp服务时,应先开启dhcp 服务。
19、dhcp服务器动态分配ip是依据计算机所连vlan/端口的ip地址段以及地址池中该ip地址段的地址范围来确定为计算机分配的ip地址。
20、dhcp中继服务器中中转udp报文的目的地址应为dhcp服务器的ip地址(若dhcp服务器为交换机或路由器则为相连的vlan/端口的ip地址)。
21、路由器做dhcp服务器时需使用network指定网段再使用range来指定在该网段中要进行分配的地址范围。交换机使用network-add<tab>命令分配整个地址段给客户机,可使用ip dhcp ex<tab> 接地址范围来保留部分地址不进行分配。
22、配置dhcp中继需要给两台设备之间配置路由,使得他们之间可以通信。
23、ppp单项认证中设置本地验证方式时需使用默认名称。验证方需配置本地验证方式、验证数据库并在端口中封装ppp协议同时指定使用pap/chap认证方式。被验证方仅需配置本地验证方式不需要配置验证数据库,同时在端口中封装ppp协议并以pap/chap的方式发送本机账户密码给验证方,不需要指定使用何种验证方式(pap/chap)。
24、在配置交换机的带内管理时要记得给和负责管理的计算机相接的vlan配置ip地址,使之处于一个网段中。
25、在交换机中设置用户账户密码及登录enable时如果不指定权限级别,则默认使用的级别为15。
26、User EXEC mode为用户模式、Privileged EXEC mode为特权用户模式。
27、忘记特权模式密码可以进入bootrom(交换机开机时按ctrl+b)模式使用nopassword命令清除密码。
28、trunk端口可以通过多个vlan的流量,可以使用trunk口来实现不同交换机中相同vlan间的通信,这样就不必为每一个vlan的通信都单独牵一条线了。
29、trunk端口不支持802.1x认证。

生成树协议介绍

作用:

用于链路冗余备份,防止广播风暴

原理:

交换机通过算法,分别计算出根网桥、根端口、指定端口,最后将既非根端口又非指定端口的端口关闭。
从而阻止环路的产生,当当前线路中有链路断掉时,又会启用被阻断的端口,从而达到冗余备份的目的。

根网桥的计算方法:

比较各交换机网桥ID,桥ID由两部分组成,前半部分是交换机的优先级,后半部分为交换机的mac地址,例如:32768 – 00:03:0f:0f:2a:63,其中32768为交换机默认优先级,优先级取值范围为0-65535,步长为4096。
比较时先比较优先级,优先级小的为根网桥,若优先级相同则比较mac地址mac地址小的为优先级。

根端口的计算方法:

1、比较所有非根网桥的交换机上的端口到达根网桥的路径成本,路径成本最低的为根端口。路径成本是从非根网桥到根网桥上所有链路的成本之和。神州数码设备默认10Mbit/s/100Mbit/s自适应的路径开销为200000。
2、如果通过路径成本无法选择根端口,则依据非根网桥的直连网桥的桥ID最小来选择根端口,在交换机级联中可能会出现此情况。
3、若依然无法确定根端口,则再依据上游端口ID最小来确定根端口。端口ID形如128.001,前面的128为端口优先级,取值范围为0-255,步长为1,默认值为128,后面的001为端口号。

指定端口的计算方法:

每条连接交换机的链路上都需要选择指定端口。根网桥的所有端口都是指定端口。
1、比较到根网桥的路径成本,最小的为指定端口。
2、如无法选择指定端口,则比较端口所在网桥的桥ID,最小的为指定端口。
3、若依然无法确定指定端口,则比较端口ID值,最小的为指定端口。

CentOS 6中dhcp服务器安装与配置

安装dhcp服务

yum install -y dhcp

用vim文本编辑器打开dhcp服务的主配置文件。

vim /etc/dhcp/dhcpd.conf

可以看到如下内容:

意思就是告诉你想获取dhcp的配置方法可以参见/usr/share/doc/dhcp*/dhcpd.conf.sample文件或是使用man 5 dhcpd.conf命令
为方便,一般都是直接删除当前dhcpd.conf文件,并将/usr/share/doc/dhcp*/dhcpd.conf.sample复制到/etc/dhcp/目录下,重命名为dhcpd.conf。

cp /usr/share/doc/dhcp*/dhcpd.conf.sample /etc/dhcp/dhcpd.conf
vim /etc/dhcp/dhcpd.conf

在第四十七行左右可以看到如下内容,它们是在配置动态地址分配时可能会用到的选项,可根据实际情况进行配置与取舍。其中以“option”开头的为可选参数,否则为必填:

subnet 10.5.5.0 netmask 255.255.255.224 {             #配置要分配的网段及子网掩码
range 10.5.5.26 10.5.5.30;                     #设置要分配的地址范围
option domain-name-servers ns1.internal.example.org;        #设置默认分配的dns服务器
option domain-name "internal.example.org";             #设置域名(这地方我表示无法理解)
option routers 10.5.5.1;                      #设置默认分配的网关地址
option broadcast-address 10.5.5.31;                #设置广播地址(这个地方也是无法理解)
default-lease-time 600;                      #设置租期(单位是秒)
max-lease-time 7200;                        #设置最大租期(单位是秒)
}

以上是动态分配ip地址的配置内容,假如想给一台设备分配固定IP要怎么办呢?
翻到第75行左右,可以看见如下内容:

host fantasia {
hardware ethernet 08:00:07:26:c0:a5;                #客户端MAC地址,服务器通过MAC地址来确定是否需要给客户端分配固定IP地址。
fixed-address fantasia.fugue.com;                  #要分配的固定IP地址
}

最后,根据自己的需求做修改并重启dhcpd服务即可。

service dhcpd restart

解决vsftpd登录时间过长的问题

新配置完的vsftpd服务器在登录时总会有登录异常缓慢的情况,而登录成功后上传文件速度却很快。
造成这个问题的原因是因为vsftpd默认开启了dns反向解析,当输入ip地址时客户端会尝试查询此ip地址对应的域名,如此除非等到dns查询超时,才可能登录上ftp服务器。
解决的方法自然是关闭vsftpd服务器的dns方向解析选项。
关闭方法:
在配置文件/etc/vsftpd/vsftpd.conf
中加入

reverse_lookup_enable=NO

重启服务后就会发现登录速度快了非常多了~

解决vsftpd中虚拟用户和系统用户不能共存的问题

按照网上的教程设置虚拟用户之后会发现系统账户登录不上ftp,查看日志显示认证失败。由此怀疑问题出在pam上。
百度搜索之后找到问题原因,是因为设置虚拟用户的时候注释掉了pam中关于系统账户认证的配置选项,所以导致系统账户验证失败。
系统用户与虚拟用户共存的正确配置方法:
编辑/etc/pam.d/vsftpd
在原内容前加入

auth sufficient pam_userdb.so db=/etc/vsftpd/db#db=后面接用户数据库文件地址
account sufficient pam_userdb.so db=/etc/vsftpd/db#db=后面接用户数据库文件地址

注意不要注释源文件内容!直接在源文件内容前加入上述内容!
细心一点就会发现上述两段配置内容中将网上设置虚拟用户时原本的required变成了sufficient,同时强调了新增配置内容必须在最前方。
这是因为required在验证了一次之后就不会继续验证下去,而sufficient在验证后还会继续向下验证。
所以这就是为什么新增的配置选项中用sufficient替换了required,因为都使用required注定只能验证一种登录方式。而如果把新增配置内容加到原配置文件后方的话在前面原本的系统用户的required验证后就不会继续向下验证,虚拟用户登录就不能实现了。所以才要把新增配置内容放在最前方,验证完虚拟账户继续验证系统账户,从而实现虚拟账户与本地账户共存。

/var/log目录下的日志文件介绍

/var/log/secure:记录登录系统存取数据的文件;
例如:pop3,ssh,telnet,ftp等都会记录在此.
/var/log/btmp:记录登录这的信息记录,被编码过,所以必须以last解析;
例如:lastb | awk ‘{ print $3}’ | sort | uniq -c | sort -nr | more
/var/log/message:几乎所有的开机系统发生的错误都会在此记录;
/var/log/boot.log:记录一些开机或者关机启动的一些服务显示的启动或者关闭的信息;
/var/log/maillog:记录邮件的存取和往来;
/var/log/cron:用来记录crontab这个服务的内容;
/var/log/httpd,/var/log/mysqld.log等等文件,记录几个不同的网络服务的记录文件;
/var/log/acpid ,   ACPI – Advanced Configuration and Power Interface,表示高级配置和电源管理接口。
后面的 d 表示 deamon 。 acpid 也就是 the ACPI event daemon 。 也就是 acpi 的消息进程。用来控制、获取、管理 acpi 的状态的服务程序。
/var/run/utmp 记录着现在登录的用户;
/var/log/lastlog 记录每个用户最后的登录信息;
/var/log/btmp 记录错误的登录尝试;
/var/log/dmesg内核日志;
/var/log/cpus CPU的处理信息;
/var/log/syslog 事件记录监控程序日志;
/var/log/auth.log 用户认证日志;
/var/log/daemon.log 系统进程日志;
/var/log/mail.err 邮件错误信息;
/var/log/mail.info 邮件信息;
/var/log/mail.warn 邮件警告信息;
/var/log/daemon.log 系统监控程序产生的信息;
/var/log/kern 内核产生的信息;
/var/log/lpr   行打印机假脱机系统产生的信息;

samba服务器常用命令

samba常用的命令,若分为服务器与客户端功能,则主要有底下这几个数据:
smbd、nmbd:服务器功能,就是最重要的权限管理 (smbd) 以
及 NetBIOS name 查询 (nmbd) 两个重要的服务程序;
tdbdump、tdbtool:服务器功能,在 Samba 3.0 以后的版本中,
用户的账号与密码参数已经转为使用数据库了!Samba 使用的数据库名称为 TDB
(Trivial DataBase)。 既然是使用数据库,当然要使用数据库的控制指令来处
理啰。tdbdump 可以察看数据库的内容,tdbtool 则可以进入数据库操作接口直
接手动修改帐密参数。不过,你得要安装 tdb-tools 这个软件才行;
smbstatus:服务器功能,可以列出目前 Samba 的联机状况, 包
括每一条 Samba 联机的 PID, 分享的资源,使用的用户来源等等,让你轻松管
理 Samba 啦;
smbpasswd、pdbedit:服务器功能,在管理 Samba 的用户账号
密码时, 早期是使用 smbpasswd 这个指令,不过因为后来使用 TDB 数据库了,
因此建议使用新的 pdbedit 指令来管理用户数据;
testparm:服务器功能,这个指令主要在检验配置文件 smb.conf
的语法正确与否,当你编辑过 smb.conf 时,请务必使用这个指令来检查一次,
避免因为打字错误引起的困扰啊!
mount.cifs:客户端功能,在 Windows 上面我们可以设定『网络驱
动器机』来连接到自己的主机上面。在 Linux 上面,我们则是透过 mount
(mount.cifs) 来将远程主机分享的档案与目录挂载到自己的 Linux 主机上面
哪!
smbclient:客户端功能,当你的 Linux 主机想要藉由『网络上
的芳邻』的功能来查看别台计算机所分享出来的目录与装置时,就可以使用
smbclient 来查看啦!这个指令也可以使用在自己的 SAMBA 主机上面,用来查
看是否设定成功哩!
nmblookup:客户端功能,有点类似 nslookup 啦!重点在查出
NetBIOS name 就是了。
smbtree:客户端功能,这玩意就有点像 Windows 系统的网络上
的芳邻显示的结果,可以显示类似『靠近我的计算机』之类的数据, 能够查到
工作组与计算机名称的树状目录分布图
以下内容摘录自《鸟哥的linux私房菜-服务器架设篇-第三版》在此向原作者致敬。

vsftpd配置支持虚拟用户登录

前言:

vsftpd有三种用户模式:匿名用户、本地用户、虚拟用户
匿名用户就是不需要密码就能对ftp进行访问,本地用户是使用/etc/passwd中记录的系统用户作为ftp用户来访问ftp服务,而虚拟用户是专属于vsftpd的用户,他们映射在一个本地用户上,便于控制权限,比本地用户登录更安全。

在主配置文件中开启虚拟用户登录:

编辑vsftpd主配置文件

vim /etc/vsftpd/vsftpd.conf

在文件结尾添加如下三行:

guest_enable=YES开启虚拟用户登录
guest_username=ftp设置ftp(安装vsftpd时默认创建)用户为虚拟用户在操作系统上的映射
user_config_dir=/etc/vsftpd/vu_conf设置用于保存虚拟用户个性配置文件的目录(目录名随便)

创建用户信息数据库

创建并编辑用于保存虚拟用户账户名和密码的文本文件,文件名随意。

vim /etc/vsftpd/vu

在其中添加虚拟用户登录名和 密码,登录名为奇数行号,密码为偶数行号。

test1      #账户
12345678     #密码
test2      #账号
87654321      #密码

生成用户信息数据库文件(其中记录的就是虚拟用户的账户名和密码)

db_load -T -t hash -f /etc/vsftpd/vu /etc/vsftpd/vu.db

配置pam认证

编辑pam中关于ftp用户认证的配置,pam是用于认证用户及授权用户访问服务的一套东东。

vim /etc/pam.d/vsftpd

在文件开头添加两条新内容:

auth sufficient pam_userdb.so db=/etc/vsftpd/vu        #这个文件其实就是我们之前创建的用户数据库文件,不过注意这里一定不要加上db,否则会登录不了的。具体原因是pam在打开数据库文件时会自动在后面增加.db后缀,如果之前已经加了就找不到文件了。
account sufficient pam_userdb.so db=/etc/vsftpd/vu

创建并编辑虚拟用户的个性配置文件

创建用于存放虚拟用户个性配置文件的目录

mkdir /etc/vsftpd/vu_conf

创建并编辑test1用户的个性配置文件(文件名必须和用户名相同)

vim /etc/vsftpd/vu_conf/test1

添加个性配置(若不添加则使用全局配置,对权限的控制请使用匿名用户的控制选项,如anon_mkdir_write=NO,禁止此虚拟用户创建目录):

local_root=/ftp/test1      #设置用户的ftp目录,如果不设置则使用宿主账号的ftp目录

vsftp配置文件中各个选项的中文注释参考此篇文章。

文章归档

创建虚拟用户的FTP家目录

创建test1用户的家目录。

mkdir -p /ftp/test1
chown -R ftp:ftp /ftp

收尾:

在确保SELinux和防火墙均已正确配置后,重启vsftpd服务。

service vsftpd restart

最后使用ftp客户端测试连接,推荐使用FileZilla。