Author: 絕世壞蛋

TTL傳輸中過期

訪問目標所需的躍點數超過了發送方主機為轉發數據包而設置的 TTL(生存時間)。Ping 發送的 ICMP 回顯消息的默認 TTL值是 128。如果這個值不足以將所需的鏈接數傳遞到目標,則可以通過使用 ping -i 來增大 TTL,最高可增至 255 個鏈接(最大值)。如果增大 TTL值未能解決問題,則説明在路由循環(即路由器之間的循環路徑)中轉發數據包。使用 Tracert 來跟蹤路由循環(它在 Tracert 報告中顯示為一系列重複的相同 IP 地址)中的一組路由器。接下來,對路由循環中路由器的路由表進行相應的更改,或將此問題告知遠程路由器的管理員。

神州數碼路由器設置rip認證

直接在需要設置驗證的端口上設置驗證方式並添加密碼即可。
設置驗證方式:
端口下執行rip authen<tab> 接驗證方式 神州數碼DCR-2655下可選的驗證方式有md5認證、明文認證、動態認證。
各種認證間的區別主要是:
設置密碼:
選擇的是何種驗證方式就以何種方式來設置密碼,比如選擇了md5驗證,則執行ip rip md5-key 認證ID<範圍為0-255> md5 認證秘鑰<最大範圍為16個字符>。其他兩種驗證方式可根據按?列出的路由器提供的幫助信息來設置。
 

二層交換機中ip route的應用

可以通過二層交換機的ip route功能實現跨網段管理交換機。
以下是一個簡單的拓撲圖,用以實驗交換機的跨網段管理。
在這個拓撲圖中,計算機與交換機處於不同網段,顯然是無法進行通信的。這時,就像pc想把數據送給路由器需要指定網關一樣,交換機也需要通過ip route來指定一個網關才可以把數據發送給路由器,再由路由器通過路由表中記錄的數據來決定接下來這個數據包應該走向哪裏才能送到目的地——pc。
注:支持ip route命令的二層交換機實際上是弱三層設備,這種二層交換機上雖然有ip route命令,但該命令只能用於設置交換機的網關,不能用於交換機內不同網段間的路由,因為在二層交換機內並沒有建立和維護起自己的路由表,只能支持靜態路由和SVI,而強三層交換機則可以。

神州數碼交換機清除enable密碼

導語

交換機的enable密碼忘了是一件很令人頭疼的事,如果想清除密碼卻又不想清空交換機的全部配置,就可以試試我教你的這一招啦!

解決方法

進入到bootrom模式(開機時按Ctrl+B)下執行nopassword命令清除密碼,之後執行run命令直接運行操作系統。
切記不可使用reload重啓,否則密碼將不會被清除。

交換機劃分vlan的意義

1.提高安全性———-舉個例子:沒有劃分VLAN前,交換機端口連接下的所有PC都處於一個VLAN中即一個廣播域中,實現ARP攻擊太簡單了。劃分了VLAN之後縮小了ARP攻擊的範圍,ARP報文是一個2.5層的報文,只能在同一個VLAN中傳播。
2.提高性能———–不劃分VLAN,整個交換機都處於一個廣播域,隨便一台PC發送的廣播報文都能傳送整個廣域播,佔用了很多帶寬.劃分了VLAN,縮小的廣播域的大小,縮小了廣播報文能夠到達的範圍。
誤區解釋: 劃分VLAN的目的不是隔離VLAN不讓VLAN間互訪。如果真是為了隔離,為什麼還要使用單臂路由或者三層設備來實現他們不同VLAN間的互聯呢,這不是多此一舉嗎?所以,VLAN之間隔離只能算是vlan的一種應用,並不是劃分VLAN的最終目的。

神州數碼路由器與交換機配置總結與注意事項

1、神州數碼設備設置時鐘頻率命令與思科設備不同,使用physical-layer speed接波特率,時鐘頻率統一設置在s0/2(母頭)上的。
2、可以通過設置迴環地址(loopback)來驗證網絡是否聯通,而不必連接計算機來驗證。
3、神州數碼的設備在路由重分佈時要注意發佈直連網絡(connect)。
4、神州數碼的設備路由重分佈命令與思科略不同,直接redistribute後面接要分佈的協議即可(ospf需要寫上進程號)。
5、使用ping命令時可以用-i參數指定使用當前設備的哪個ip(端口)去ping目標ip。
6、多區域ospf相連時,在核心路由器上將兩個區域寫在同一進程下可不必進行重分佈操作,否則必須重分佈。
7、配置基本拓撲時,要先將ip地址配置完再配路由,避免遺漏。
8、神州數碼設備配置ospf直連網段時使用正掩碼,而思科使用反掩碼。
9、路由重分佈時,動態路由需要重分佈靜態路由,靜態路由不需要重分佈其他路由。
10、神州數碼設備設置默認路由時可以使用default代替0.0.0.0 0.0.0.0,例如:ip route default 192.168.1.1。
11、不同交換機的同一vlan間可以通信,如果不使用trunk口來連接兩台設備,則需要把連接兩台設備的鏈路也加入到需要跨交換機通信的vlan中。
12、trunk將一個交換機中不同vlan的數據打包在一起,併為他們貼上屬於哪個vlan的標籤。之後傳輸給另一台設備,再由另一台設備上的trunk口進行解包,把各個vlan的數據傳輸給各個vlan。使用trunk可以避免為每一個vlan的跨交換機通信都單獨牽一條線。
13、做不同vlan間通信的實驗時給三層交換機設置ip地址的目的是為了開啓三層交換機的路由協議。因為兩個ip地址都屬於三層交換機的直連線路,所以不需要配置路由信息。
14、神州數碼的設備需要給vlan加端口使用vlan 接vlan id進入vlan再在其中使用sw<tab> int<tab> 接端口號來將端口加入vlan。需要給vlan設置ip則使用int<tab> vlan 接vlan id進入vlan再使用ip add<tab> 接ip 子網掩碼 為vlan配置ip地址。
15、單臂路由中,封裝dot1Q協議相當於為子端口打上vlan id的標籤,將這個子端口加入到vlan中。
16、計算機網關需配置成離自己最近的路由器的相連端口的地址,如相鄰的三層交換機開啓了路由功能則設置成所屬的三層交換機的vlan地址。
17、如果想刪除某一vlan,應先使用no int<tab> vlan 接vlan id 刪除該VLAN的配置,再使用no vlan 接vlan id 刪除VLAN中所加入的端口。
18、做dhcp服務時,應先開啓dhcp 服務。
19、dhcp服務器動態分配ip是依據計算機所連vlan/端口的ip地址段以及地址池中該ip地址段的地址範圍來確定為計算機分配的ip地址。
20、dhcp中繼服務器中中轉udp報文的目的地址應為dhcp服務器的ip地址(若dhcp服務器為交換機或路由器則為相連的vlan/端口的ip地址)。
21、路由器做dhcp服務器時需使用network指定網段再使用range來指定在該網段中要進行分配的地址範圍。交換機使用network-add<tab>命令分配整個地址段給客户機,可使用ip dhcp ex<tab> 接地址範圍來保留部分地址不進行分配。
22、配置dhcp中繼需要給兩台設備之間配置路由,使得他們之間可以通信。
23、ppp單項認證中設置本地驗證方式時需使用默認名稱。驗證方需配置本地驗證方式、驗證數據庫並在端口中封裝ppp協議同時指定使用pap/chap認證方式。被驗證方僅需配置本地驗證方式不需要配置驗證數據庫,同時在端口中封裝ppp協議並以pap/chap的方式發送本機賬户密碼給驗證方,不需要指定使用何種驗證方式(pap/chap)。
24、在配置交換機的帶內管理時要記得給和負責管理的計算機相接的vlan配置ip地址,使之處於一個網段中。
25、在交換機中設置用户賬户密碼及登錄enable時如果不指定權限級別,則默認使用的級別為15。
26、User EXEC mode為用户模式、Privileged EXEC mode為特權用户模式。
27、忘記特權模式密碼可以進入bootrom(交換機開機時按ctrl+b)模式使用nopassword命令清除密碼。
28、trunk端口可以通過多個vlan的流量,可以使用trunk口來實現不同交換機中相同vlan間的通信,這樣就不必為每一個vlan的通信都單獨牽一條線了。
29、trunk端口不支持802.1x認證。

生成樹協議介紹

作用:

用於鏈路冗餘備份,防止廣播風暴

原理:

交換機通過算法,分別計算出根網橋、根端口、指定端口,最後將既非根端口又非指定端口的端口關閉。
從而阻止環路的產生,噹噹前線路中有鏈路斷掉時,又會啓用被阻斷的端口,從而達到冗餘備份的目的。

根網橋的計算方法:

比較各交換機網橋ID,橋ID由兩部分組成,前半部分是交換機的優先級,後半部分為交換機的mac地址,例如:32768 – 00:03:0f:0f:2a:63,其中32768為交換機默認優先級,優先級取值範圍為0-65535,步長為4096。
比較時先比較優先級,優先級小的為根網橋,若優先級相同則比較mac地址mac地址小的為優先級。

根端口的計算方法:

1、比較所有非根網橋的交換機上的端口到達根網橋的路徑成本,路徑成本最低的為根端口。路徑成本是從非根網橋到根網橋上所有鏈路的成本之和。神州數碼設備默認10Mbit/s/100Mbit/s自適應的路徑開銷為200000。
2、如果通過路徑成本無法選擇根端口,則依據非根網橋的直連網橋的橋ID最小來選擇根端口,在交換機級聯中可能會出現此情況。
3、若依然無法確定根端口,則再依據上游端口ID最小來確定根端口。端口ID形如128.001,前面的128為端口優先級,取值範圍為0-255,步長為1,默認值為128,後面的001為端口號。

指定端口的計算方法:

每條連接交換機的鏈路上都需要選擇指定端口。根網橋的所有端口都是指定端口。
1、比較到根網橋的路徑成本,最小的為指定端口。
2、如無法選擇指定端口,則比較端口所在網橋的橋ID,最小的為指定端口。
3、若依然無法確定指定端口,則比較端口ID值,最小的為指定端口。

CentOS 6中dhcp服務器安裝與配置

安裝dhcp服務

yum install -y dhcp

用vim文本編輯器打開dhcp服務的主配置文件。

vim /etc/dhcp/dhcpd.conf

可以看到如下內容:

意思就是告訴你想獲取dhcp的配置方法可以參見/usr/share/doc/dhcp*/dhcpd.conf.sample文件或是使用man 5 dhcpd.conf命令
為方便,一般都是直接刪除當前dhcpd.conf文件,並將/usr/share/doc/dhcp*/dhcpd.conf.sample複製到/etc/dhcp/目錄下,重命名為dhcpd.conf。

cp /usr/share/doc/dhcp*/dhcpd.conf.sample /etc/dhcp/dhcpd.conf
vim /etc/dhcp/dhcpd.conf

在第四十七行左右可以看到如下內容,它們是在配置動態地址分配時可能會用到的選項,可根據實際情況進行配置與取捨。其中以“option”開頭的為可選參數,否則為必填:

subnet 10.5.5.0 netmask 255.255.255.224 {             #配置要分配的網段及子網掩碼
range 10.5.5.26 10.5.5.30;                     #設置要分配的地址範圍
option domain-name-servers ns1.internal.example.org;        #設置默認分配的dns服務器
option domain-name "internal.example.org";             #設置域名(這地方我表示無法理解)
option routers 10.5.5.1;                      #設置默認分配的網關地址
option broadcast-address 10.5.5.31;                #設置廣播地址(這個地方也是無法理解)
default-lease-time 600;                      #設置租期(單位是秒)
max-lease-time 7200;                        #設置最大租期(單位是秒)
}

以上是動態分配ip地址的配置內容,假如想給一台設備分配固定IP要怎麼辦呢?
翻到第75行左右,可以看見如下內容:

host fantasia {
hardware ethernet 08:00:07:26:c0:a5;                #客户端MAC地址,服務器通過MAC地址來確定是否需要給客户端分配固定IP地址。
fixed-address fantasia.fugue.com;                  #要分配的固定IP地址
}

最後,根據自己的需求做修改並重啓dhcpd服務即可。

service dhcpd restart

解決vsftpd登錄時間過長的問題

新配置完的vsftpd服務器在登錄時總會有登錄異常緩慢的情況,而登錄成功後上傳文件速度卻很快。
造成這個問題的原因是因為vsftpd默認開啓了dns反向解析,當輸入ip地址時客户端會嘗試查詢此ip地址對應的域名,如此除非等到dns查詢超時,才可能登錄上ftp服務器。
解決的方法自然是關閉vsftpd服務器的dns方向解析選項。
關閉方法:
在配置文件/etc/vsftpd/vsftpd.conf
中加入

reverse_lookup_enable=NO

重啓服務後就會發現登錄速度快了非常多了~

解決vsftpd中虛擬用户和系統用户不能共存的問題

按照網上的教程設置虛擬用户之後會發現系統賬户登錄不上ftp,查看日誌顯示認證失敗。由此懷疑問題出在pam上。
百度搜索之後找到問題原因,是因為設置虛擬用户的時候註釋掉了pam中關於系統賬户認證的配置選項,所以導致系統賬户驗證失敗。
系統用户與虛擬用户共存的正確配置方法:
編輯/etc/pam.d/vsftpd
在原內容前加入

auth sufficient pam_userdb.so db=/etc/vsftpd/db#db=後面接用户數據庫文件地址
account sufficient pam_userdb.so db=/etc/vsftpd/db#db=後面接用户數據庫文件地址

注意不要註釋源文件內容!直接在源文件內容前加入上述內容!
細心一點就會發現上述兩段配置內容中將網上設置虛擬用户時原本的required變成了sufficient,同時強調了新增配置內容必須在最前方。
這是因為required在驗證了一次之後就不會繼續驗證下去,而sufficient在驗證後還會繼續向下驗證。
所以這就是為什麼新增的配置選項中用sufficient替換了required,因為都使用required註定只能驗證一種登錄方式。而如果把新增配置內容加到原配置文件後方的話在前面原本的系統用户的required驗證後就不會繼續向下驗證,虛擬用户登錄就不能實現了。所以才要把新增配置內容放在最前方,驗證完虛擬賬户繼續驗證系統賬户,從而實現虛擬賬户與本地賬户共存。

/var/log目錄下的日誌文件介紹

/var/log/secure:記錄登錄系統存取數據的文件;
例如:pop3,ssh,telnet,ftp等都會記錄在此.
/var/log/btmp:記錄登錄這的信息記錄,被編碼過,所以必須以last解析;
例如:lastb | awk ‘{ print $3}’ | sort | uniq -c | sort -nr | more
/var/log/message:幾乎所有的開機系統發生的錯誤都會在此記錄;
/var/log/boot.log:記錄一些開機或者關機啓動的一些服務顯示的啓動或者關閉的信息;
/var/log/maillog:記錄郵件的存取和往來;
/var/log/cron:用來記錄crontab這個服務的內容;
/var/log/httpd,/var/log/mysqld.log等等文件,記錄幾個不同的網絡服務的記錄文件;
/var/log/acpid ,   ACPI – Advanced Configuration and Power Interface,表示高級配置和電源管理接口。
後面的 d 表示 deamon 。 acpid 也就是 the ACPI event daemon 。 也就是 acpi 的消息進程。用來控制、獲取、管理 acpi 的狀態的服務程序。
/var/run/utmp 記錄着現在登錄的用户;
/var/log/lastlog 記錄每個用户最後的登錄信息;
/var/log/btmp 記錄錯誤的登錄嘗試;
/var/log/dmesg內核日誌;
/var/log/cpus CPU的處理信息;
/var/log/syslog 事件記錄監控程序日誌;
/var/log/auth.log 用户認證日誌;
/var/log/daemon.log 系統進程日誌;
/var/log/mail.err 郵件錯誤信息;
/var/log/mail.info 郵件信息;
/var/log/mail.warn 郵件警告信息;
/var/log/daemon.log 系統監控程序產生的信息;
/var/log/kern 內核產生的信息;
/var/log/lpr   行打印機假脱機系統產生的信息;

samba服務器常用命令

samba常用的命令,若分為服務器與客户端功能,則主要有底下這幾個數據:
smbd、nmbd:服務器功能,就是最重要的權限管理 (smbd) 以
及 NetBIOS name 查詢 (nmbd) 兩個重要的服務程序;
tdbdump、tdbtool:服務器功能,在 Samba 3.0 以後的版本中,
用户的賬號與密碼參數已經轉為使用數據庫了!Samba 使用的數據庫名稱為 TDB
(Trivial DataBase)。 既然是使用數據庫,當然要使用數據庫的控制指令來處
理囉。tdbdump 可以察看數據庫的內容,tdbtool 則可以進入數據庫操作接口直
接手動修改帳密參數。不過,你得要安裝 tdb-tools 這個軟件才行;
smbstatus:服務器功能,可以列出目前 Samba 的聯機狀況, 包
括每一條 Samba 聯機的 PID, 分享的資源,使用的用户來源等等,讓你輕鬆管
理 Samba 啦;
smbpasswd、pdbedit:服務器功能,在管理 Samba 的用户賬號
密碼時, 早期是使用 smbpasswd 這個指令,不過因為後來使用 TDB 數據庫了,
因此建議使用新的 pdbedit 指令來管理用户數據;
testparm:服務器功能,這個指令主要在檢驗配置文件 smb.conf
的語法正確與否,當你編輯過 smb.conf 時,請務必使用這個指令來檢查一次,
避免因為打字錯誤引起的困擾啊!
mount.cifs:客户端功能,在 Windows 上面我們可以設定『網絡驅
動器機』來連接到自己的主機上面。在 Linux 上面,我們則是透過 mount
(mount.cifs) 來將遠程主機分享的檔案與目錄掛載到自己的 Linux 主機上面
哪!
smbclient:客户端功能,當你的 Linux 主機想要藉由『網絡上
的芳鄰』的功能來查看別台計算機所分享出來的目錄與裝置時,就可以使用
smbclient 來查看啦!這個指令也可以使用在自己的 SAMBA 主機上面,用來查
看是否設定成功哩!
nmblookup:客户端功能,有點類似 nslookup 啦!重點在查出
NetBIOS name 就是了。
smbtree:客户端功能,這玩意就有點像 Windows 系統的網絡上
的芳鄰顯示的結果,可以顯示類似『靠近我的計算機』之類的數據, 能夠查到
工作組與計算機名稱的樹狀目錄分佈圖
以下內容摘錄自《鳥哥的linux私房菜-服務器架設篇-第三版》在此向原作者致敬。

vsftpd配置支持虛擬用户登錄

前言:

vsftpd有三種用户模式:匿名用户、本地用户、虛擬用户
匿名用户就是不需要密碼就能對ftp進行訪問,本地用户是使用/etc/passwd中記錄的系統用户作為ftp用户來訪問ftp服務,而虛擬用户是專屬於vsftpd的用户,他們映射在一個本地用户上,便於控制權限,比本地用户登錄更安全。

在主配置文件中開啓虛擬用户登錄:

編輯vsftpd主配置文件

vim /etc/vsftpd/vsftpd.conf

在文件結尾添加如下三行:

guest_enable=YES開啓虛擬用户登錄
guest_username=ftp設置ftp(安裝vsftpd時默認創建)用户為虛擬用户在操作系統上的映射
user_config_dir=/etc/vsftpd/vu_conf設置用於保存虛擬用户個性配置文件的目錄(目錄名隨便)

創建用户信息數據庫

創建並編輯用於保存虛擬用户賬户名和密碼的文本文件,文件名隨意。

vim /etc/vsftpd/vu

在其中添加虛擬用户登錄名和 密碼,登錄名為奇數行號,密碼為偶數行號。

test1      #賬户
12345678     #密碼
test2      #賬號
87654321      #密碼

生成用户信息數據庫文件(其中記錄的就是虛擬用户的賬户名和密碼)

db_load -T -t hash -f /etc/vsftpd/vu /etc/vsftpd/vu.db

配置pam認證

編輯pam中關於ftp用户認證的配置,pam是用於認證用户及授權用户訪問服務的一套東東。

vim /etc/pam.d/vsftpd

在文件開頭添加兩條新內容:

auth sufficient pam_userdb.so db=/etc/vsftpd/vu        #這個文件其實就是我們之前創建的用户數據庫文件,不過注意這裏一定不要加上db,否則會登錄不了的。具體原因是pam在打開數據庫文件時會自動在後面增加.db後綴,如果之前已經加了就找不到文件了。
account sufficient pam_userdb.so db=/etc/vsftpd/vu

創建並編輯虛擬用户的個性配置文件

創建用於存放虛擬用户個性配置文件的目錄

mkdir /etc/vsftpd/vu_conf

創建並編輯test1用户的個性配置文件(文件名必須和用户名相同)

vim /etc/vsftpd/vu_conf/test1

添加個性配置(若不添加則使用全局配置,對權限的控制請使用匿名用户的控制選項,如anon_mkdir_write=NO,禁止此虛擬用户創建目錄):

local_root=/ftp/test1      #設置用户的ftp目錄,如果不設置則使用宿主賬號的ftp目錄

vsftp配置文件中各個選項的中文註釋參考此篇文章。

文章歸檔

創建虛擬用户的FTP家目錄

創建test1用户的家目錄。

mkdir -p /ftp/test1
chown -R ftp:ftp /ftp

收尾:

在確保SELinux和防火牆均已正確配置後,重啓vsftpd服務。

service vsftpd restart

最後使用ftp客户端測試連接,推薦使用FileZilla。