网络管理经验五谈

garfielding 2010-08-04

展开全文

一、网卡的安装问题
安装网卡的关键是：选择正确的网卡设备驱动，网卡的中断号和中断地址不能存在资源冲突。
可是笔者遇到：在WIN95中安装Dlink 10M即插即用网卡和TCP/IP协议后，用ping工具探测网关不通，探测自身网卡地址却正常。在控制面版->系统的设备管理中，发现网卡无资源冲突标记，驱动情况正常，用另一台工作正常的客户机来检查网线，网络通道也正常。进一步，检查网卡的资源分配情况，发现其中断号为12，取消其自动分配功能，手工设置其中断号，再ping网关，网通了。原来，有些主版即插即用的功能不完善，给即插即用网卡分别了系统已占用的资源，在WIN95控制面版中检查网卡的配置情况却正常，造成假象。以上的修改方法，对于PCI网卡，又不灵了，原因是不能手工设置PCI网卡的中断号。怎么办呢？在微机主板的CMOS中，去除中断12的即插即用分配，重启系统，让系统重新配置网卡资源，避开中断12的分配。

二、客户机上联口的快速定位
IP地址是Internet /Intranet网上主机通讯的逻辑地址，由用户手动设置或系统自动分配。局域网上若有两台主机IP地址相重，则两台主机相互报警，造成应用混乱。在校园网上，有几百台，甚至上千台主机上网，如何控制IP地址盗用呢？采用Vlan虚网技术，可控制一段IP地址在某一Vlan中使用，而在其它Vlan中无效。但在同一Vlan的有效IP范围内，仍然会出现IP盗用。我们利用3COM周边交换机记录上网网卡MAC地址的功能，从盗用IP的MAC地址追踪其客户机上联交换机的端口位置，然后禁止此端口的使用，并用行政手段对盗用者采取处罚措施，彻底根治IP盗用事件。
具体方法如下：
1、建立合法的客户机IP-MAC对应数据库；
2、利用简单网络协议定期从NB2 3COM路由器中读取mib库地址1.3.6.1.2.1.3.1.1.2 中IP-MAC表，如下所示：IP地址202.112.162.2的MAC地址为00104B04B81A 1.3.6.1.2.1.3.1.1.2.129.1.202.112.162.1 = 08 00 02 1A 81 C3 1.3.6.1.2.1.3.1.1.2.129.1.202.112.162.2 = 00 10 4B 04 B8 1A 1.3.6.1.2.1.3.1.1.2.129.1.202.112.162.3 = 00 10 4B 04 B8 A5 1.3.6.1.2.1.3.1.1.2.129.1.202.112.162.5 = 00 10 4B 0D 71 08 1.3.6.1.2.1.3.1.1.2.129.1.202.112.162.12 = 00 10 4B 0D 70 CE 依照标准数据库，检查是否有新的MAC地址或IP-MAC不对应的MAC地址。若有，则执行下一步。
3、在二十几台交换机3COM SW1000中，读取mib库地址1.3.6.1.4.1.43.10.9.5.1.6.1 中的MAC地址表。下表为某台交换机记录的部分下联口网卡MAC表，第三口上联一台主机，第九口上联3台主机。 1.3.6.1.4.1.43.10.9.5.1.6.1.3.1 = 00 80 C8 78 53 8C 1.3.6.1.4.1.43.10.9.5.1.6.1.4.1 = 00 80 C8 E3 24 45 1.3.6.1.4.1.43.10.9.5.1.6.1.9.1 = 00 00 21 E7 00 9E 1.3.6.1.4.1.43.10.9.5.1.6.1.9.2 = 00 80 C8 E3 3D 52 1.3.6.1.4.1.43.10.9.5.1.6.1.9.3 = 00 00 21 E5 05 3F 1.3.6.1.4.1.43.10.9.5.1.6.1.24.1 = 00 80 C8 E3 58 60 找出此盗用IP的MAC地址出自哪台交换机的哪个端口，并发信通知网络管理员。
4、网络管理员确认后，禁止此交换机端口的使用。
另外，可以简化以上步骤，将上述第三步，设计成CGI公共网关接口程序，根据用户反映的盗用IP地址或MAC地址，在Web网页上输入此地址，调用MAC定位的CGI程序，返回该MAC地址上联交换机端口的位置。

三、系统数据的备份
常采用磁带机来备份大容量数据，但对于少量的系统关键数据，用两台主机间硬盘备份更方便、灵活，如定时发电子邮件或用FTP将数据传至另一台机器上。备份时，应注意数据的安全性、可靠性，如：防止网上数据的截获、防止已损害数据复盖原来备份的数据。我们在两台UNIX主机间，利用UNIX的信任关系，实现数据远程拷贝，将一台主机中的关键数据先加密，用cron定期将此数据拷贝到另一台主机。
具体方法如下：
1、建立机器B (hostb) 信任机器A (hosta)的信任关系。在hostb主机的用户backdata根目录下建.rhost文件，内容为：hosta root。表明hosta的root用户有权在hostb的用户backdata目录下进行远程操作。
2、在hosta中，编写远程拷贝Shell程序backdata.sh。将源文件按当前月份和星期几备份，备份数据每周复盖一次。 # /root/backdata.sh month=`date +"%y%m"` weekday=`date +"%a"` rcp /root/db.dat backdata@hostb:db.dat.${month} rcp /root/db.dat backdata@hostb:db.dat.${weekday}
3、在hosta中，用crontab -e设计定时操作：每天2点钟执行上述程序。 0 2 * * * /root/backdata.sh > > /root/backdata.log

四、Windows与Linux间的资源共享
1、从Windows共享linux资源
小红帽redhat 6.0中自带编译好的samba程序，提供samba文件共享服务。
首先，设置配置文件/etc/smb.conf。
如下所示，设置：本机的工作组或域名，netbios机器名，本地或NT域控制器口令认证方法；
本地认证时，需要用命令/usr/bin/smbpasswd生成用户口令文件/etc/smbpasswd；
设置共享目录：如film共享目录对应实际目录/disk1/film。
[global]
# workgroup = NT-Domain-Name or Workgroup-Name workgroup = cauic
# netbios name = 机器名 netbios name = linuxzrm
# server string is the equivalent of the NT Description field server string = Linuxzou Samba Server
# security =用户认证方法：本地认证（user）或域控制器认证（server） security = user ; security = server
# 本地认证时，用此口令文件
smb passwd file = /etc/smbpasswd
encrypt passwords = yes
guest account = nobody
allow hosts = 202.112.162 .
deny hosts = all
[film]
available = yes
path = /disk1/film
修改配置后，可用工具testparm测试此配置是否正常。
然后，执行/etc/rc.d/init.d/smb start|restart启动或重启smaba服务（包括smbd和nmbd服务）。
现在，可以在windows下浏览cauic工作组下机器名为linuxzrm的共享资源。
2、从linux共享windows资源
利用linux的工具smbmount将windows下共享目录按smb文件系统，装载到本机目录下。
下面的shell程序（需超级用户执行）表明，以用户名为zoup、口令为z12345身份，将windows服务器VOD下共享目录rmcontent，装载到本机/vodcontent目录下，安装点属于本机用户zou用户组staff。
# /home/zou/mountvod.sh smbmount "//vod/rmcontent" -c 'mount /vodcontent -u zou -g staff' -U zoup%z12345 将以上命令放到系统启动文件中，系统每次启动后，会自动装载windows共享目录。
如：在文件/etc/rc.d/rc.local中添加以下语句： if [ -f /home/zou/mountvod.sh ]; then echo mounting //vod/rmconten /home/zou/mountvod.sh > > /home/zou/mountvod.log fi
五、cisco路由器IP流量的获取
用cisco路由器作网际路由器时，一般都利用cisco的IP包过滤功能来统计IP流量。
方法是在cisco路由器的每个出入口添加ip accounting output-packets命令，cisco路由器会自动统计这些端口的IP流量。
常用snmp或telnet终端仿真（show ip account）方法，获取IP流量。
在Cisco IOS v.11以上版本中，提供了http服务器功能，用户可从WWW网页管理cisco路由器，不需要任何编程，即可很容易地采集IP流量，为了安全起见，还可限制访问服务器的客户机。
方法如下： Access-list 10 permit 202.112.162.5 Ip http server Ip http access-list 10 在客户机202.112.162.5中，用网页下载工具wget定期采集、清除IP流量。
方法如下：
#读取IP流量，存入outpu-packets网页文件中 wget --http-user=admin --http-passwd=cisco http://cisco/exec/show/ip/accounting/output-packets
#清除采集过的IP流量 wget --http-user=admin --http-passwd=cisco http://cisco/exec//clear/ip/accounting/CR 在网页outpu-packets中，读取标识符< pre >、 < /pre >之间的IP流量表，来实现统计IP流量。
Source Destination Packets Bytes
202.112.175.7 202.205.10.30 3 592 202.112.175.175 203.207.176.15 17 2000 202.112.168.22 202.96.44.134 1 40 202.112.164.5 202.103.134.58 1 40 202.112.175.201 202.114.98.12 3 430 202.112.164.151 202.96.49.1 6 279