防火墙Log与端口

本文将向你解释你在防火墙的记录（Log）中看到了什么？尤其是那些端口是什么意思？你将能利用这些信息做出判断：我是否受到了Hacker的攻击？他/她到底想要干什么？本文既适用于维护企业级防火墙的安全专家，又适用于使用个人防火墙的家庭用户。

一、目标端口ZZZZ是什么意思

所有穿过防火墙的通讯都是连接的一个部分。一个连接包含一对相互“交谈”的IP地址以及一对与IP地址对应的端口。目标端口通常意味着正被连接的某种服务。当防火墙阻挡（block）某个连接时，它会将目标端口“记录在案”（logfile）。这节将描述这些端口的意义。

二、端口可分为3大类：

1） 公认端口（Well Known Ports）：从0到1023，它们紧密绑定于一些服务。通常这些端口的通讯明确表明了某种服务的协议。例如：80端口实际上总是HTTP通讯。

2） 注册端口（Registered Ports）：从1024到49151。它们松散地绑定于一些服务。也就是说有许多服务绑定于这些端口，这些端口同样用于许多其它目的。例如：许多系统处理动态端口从1024左右开始。

3） 动态和/或私有端口（Dynamic and/or Private Ports）：从49152到65535。理论上，不应为服务分配这些端口。实际上，机器通常从1024起分配动态端口。但也有例外：SUN的RPC端口从32768开始。

从哪里获得更全面的端口信息：

1．ftp://ftp.isi.edu/in-notes/iana/assignments/port-numbers

"Assigned Numbers" RFC，端口分配的官方来源。

2．http://advice.networkice.com/advice/Exploits/Ports/

端口数据库，包含许多系统弱点的端口。

3．/etc/services

UNIX 系统中文件/etc/services包含通常使用的UNIX端口分配列表。Windows NT中该文件位于%systemroot%/system32/drivers/etc/services。

4．http://www.con.wesleyan.edu/~triemer/network/docservs.html

特定的协议与端口。

5．http://www.chebucto.ns.ca/~rakerman/trojan-port-table.html

描述了许多端口。

6．http://www.tlsecurity.com/trojanh.htm

TLSecurity的Trojan端口列表。与其它人的收藏不同，作者检验了其中的所有端口。

7．http://www.simovits.com/nyheter9902.html

Trojan Horse 探测。

（一） 通常对于防火墙的TCP/UDP端口扫描有哪些？

本节讲述通常TCP/UDP端口扫描在防火墙记录中的信息。记住：并不存在所谓ICMP端口。如果你对解读ICMP数据感兴趣，请参看本文的其它部分。

0 通常用于分析操作系统。这一方法能够工作是因为在一些系统中“0”是无效端口，当你试图使用一种通常的闭合端口连接它时将产生不同的结果。一种典型的扫描：使用IP地址为0.0.0.0，设置ACK位并在以太网层广播。

1 tcpmux 这显示有人在寻找SGI Irix机器。Irix是实现tcpmux的主要提供者，缺省情况下tcpmux在这种系统中被打开。Iris机器在发布时含有几个缺省的无密码的帐户，如lp, guest, uucp, nuucp, demos, tutor, diag, EZsetup, OutOfBox, 和4Dgifts。许多管理员安装后忘记删除这些帐户。因此Hacker们在Internet上搜索tcpmux并利用这些帐户。

7 Echo 你能看到许多人们搜索Fraggle放大器时，发送到x.x.x.0和x.x.x.255的信息。

常见的一种DoS攻击是echo循环（echo-loop），攻击者伪造从一个机器发送到另一个机器的UDP数据包，而两个机器分别以它们最快的方式回应这些数据包。（参见Chargen）

另一种东西是由DoubleClick在词端口建立的TCP连接。有一种产品叫做“Resonate Global Dispatch”，它与DNS的这一端口连接以确定最近的路由。

Harvest/squid cache将从3130端口发送UDP echo：“如果将cache的source_ping on选项打开，它将对原始主机的UDP echo端口回应一个HIT reply。”这将会产生许多这类数据包。

11 sysstat 这是一种UNIX服务，它会列出机器上所有正在运行的进程以及是什么启动了这些进程。这为入侵者提供了许多信息而威胁机器的安全，如暴露已知某些弱点或帐户的程序。这与UNIX系统中“ps”命令的结果相似。

再说一遍：ICMP没有端口，ICMP port 11通常是ICMP type=11。

19 chargen 这是一种仅仅发送字符的服务。UDP版本将会在收到UDP包后回应含有垃圾字符的包。TCP连接时，会发送含有垃圾字符的数据流知道连接关闭。Hacker利用IP欺骗可以发动DoS攻击。伪造两个chargen服务器之间的UDP包。由于服务器企图回应两个服务器之间的无限的往返数据通讯一个chargen和echo将导致服务器过载。同样fraggle DoS攻击向目标地址的这个端口广播一个带有伪造受害者IP的数据包，受害者为了回应这些数据而过载。

21 ftp 最常见的攻击者用于寻找打开“anonymous”的ftp服务器的方法。这些服务器带有可读写的目录。Hackers或Crackers 利用这些服务器作为传送warez (私有程序) 和pr0n(故意拼错词而避免被搜索引擎分类)的节点。

22 ssh PcAnywhere建立TCP和这一端口的连接可能是为了寻找ssh。这一服务有许多弱点。如果配置成特定的模式，许多使用RSAREF库的版本有不少漏洞。（建议在其它端口运行ssh）

还应该注意的是ssh工具包带有一个称为make-ssh-known-hosts的程序。它会扫描整个域的ssh主机。你有时会被使用这一程序的人无意中扫描到。

UDP（而不是TCP）与另一端的5632端口相连意味着存在搜索pcAnywhere的扫描。5632（十六进制的0x1600）位交换后是0x0016（使进制的22）。

23 Telnet 入侵者在搜索远程登陆UNIX的服务。大多数情况下入侵者扫描这一端口是为了找到机器运行的操作系统。此外使用其它技术，入侵者会找到密码。

25 smtp 攻击者（spammer）寻找SMTP服务器是为了传递他们的spam。入侵者的帐户总被关闭，他们需要拨号连接到高带宽的e-mail服务器上，将简单的信息传递到不同的地址。SMTP服务器（尤其是sendmail）是进入系统的最常用方法之一，因为它们必须完整的暴露于Internet且邮件的路由是复杂的（暴露+复杂=弱点）。

53 DNS Hacker或crackers可能是试图进行区域传递（TCP），欺骗DNS（UDP）或隐藏其它通讯。因此防火墙常常过滤或记录53端口。

需要注意的是你常会看到53端口做为UDP源端口。不稳定的防火墙通常允许这种通讯并假设这是对DNS查询的回复。Hacker常使用这种方法穿透防火墙。

67和68 Bootp和DHCP UDP上的Bootp/DHCP：通过DSL和cable-modem的防火墙常会看见大量发送到广播地址255.255.255.255的数据。这些机器在向DHCP服务器请求一个地址分配。Hacker常进入它们分配一个地址把自己作为局部路由器而发起大量的“中间人”（man-in-middle）攻击。客户端向68端口（bootps）广播请求配置，服务器向67端口（bootpc）广播回应请求。这种回应使用广播是因为客户端还不知道可以发送的IP地址。

69 TFTP(UDP) 许多服务器与bootp一起提供这项服务，便于从系统下载启动代码。但是它们常常错误配置而从系统提供任何文件，如密码文件。它们也可用于向系统写入文件。

79 finger Hacker用于获得用户信息，查询操作系统，探测已知的缓冲区溢出错误，回应从自己机器到其它机器finger扫描。

98 linuxconf 这个程序提供linux boxen的简单管理。通过整合的HTTP服务器在98端口提供基于Web界面的服务。它已发现有许多安全问题。一些版本setuid root，信任局域网，在/tmp下建立Internet可访问的文件，LANG环境变量有缓冲区溢出。此外因为它包含整合的服务器，许多典型的HTTP漏洞可能存在（缓冲区溢出，历遍目录等）。

109 POP2 并不象POP3那样有名，但许多服务器同时提供两种服务（向后兼容）。在同一个服务器上POP3的漏洞在POP2中同样存在。

110 POP3 用于客户端访问服务器端的邮件服务。POP3服务有许多公认的弱点。关于用户名和密码交换缓冲区溢出的弱点至少有20个（这意味着Hacker可以在真正登陆前进入系统）。成功登陆后还有其它缓冲区溢出错误。

111 sunrpc portmap rpcbind Sun RPC PortMapper/RPCBIND。访问portmapper是扫描系统查看允许哪些RPC服务的最早的一步。常见RPC服务有：rpc.mountd, NFS, rpc.statd, rpc.csmd, rpc.ttybd, amd等。入侵者发现了允许的RPC服务将转向提供服务的特定端口测试漏洞。

记住一定要记录线路中的daemon, IDS, 或sniffer，你可以发现入侵者正使用什么程序访问以便发现到底发生了什么。

返璞归真 手制二进制加法器

曾经有一个比较热门的话题是：“如果你回到古代，如何利用你所学的专业技能可以在那时候生存下去？”对于大多数学计算机的人来说，这已经成为了一个难题。你也许懂得汇编语言懂得网络架构，可是在那个也许只有算盘的时候，你是不是只能选择打短工呢？

计算机算法的基础是二进制，有一位高手Matthias Wandel制作一个二进制加法器，结构非常简单，主要原料就是木头，而使用的输入输出装置是我们常见的弹珠。只要将你所需要相加的数字分解成a1+b2+c4……等情况“输入”计算器，就能得到想要的结果。

虽然这台机器运算范围不是很大，但也许你能从这台简单得“计算器”中得到一些启发。

利用google进行入侵与渗透

在google已经成为搜索引擎代名词的今天，聪明的人们不断发掘google的新用途，2004年在拉斯维加斯举行的BlackHat大会上，有两位安全专家分别作了名为You found that on google ? 和google attacks 的主题演讲。个人觉得颇为精彩，因此编译整理，简单介绍，不求甚解，只是希望能够引起大家的重视。

1. 观点
google及类似的搜索引擎在为人们提供大量便捷的同时，也带来了一定潜在风险。

网络中的“有心人士”数目众多；
利用搜索引擎能够快速查找存在脆弱性的主机及其它设备；
利用搜索引擎能够快速查找包含敏感数据的信息；
利用搜索引擎的“扫描”极其隐蔽，并且由于其具有archive、cache等功能，往往数据量更大。
因此，需要人们提高警觉性，在善用搜索引擎的同时，也善于保护自己。

2. 案例
2.1 基础
所谓“工欲善其事，必先利其器”，要用google来进行“渗透测试”，首先当然要深入了解google了，建议对google不甚了解的人先参考这篇Google搜索从入门到精通。

而后简单了解google的一些操作符，如：site、inurl、filetype、intitle等……

2.2 演示
要做的演示并不复杂，渗透测试人员在实施攻击之前，往往会先进行信息搜集工作，而后才是漏洞确认和最终的漏洞利用、扩大战果。在这里我们的目标是：通过google查找被人安装了php webshell后门的主机，并测试能否使用。

我们在google的搜索框中填入：

intitle:"php shell*" "Enable stderr" filetype:php
搜索结果中，或许你能找到一两够直接在机器上执行命令的web shell来。



这是类似黑客工具的操作方式。在You found that on google ? 中，你会看到大量的实际案例，google找到了大量的密码、信用卡帐号、网络管理信息等等……

2.3 工具
对攻与防两边来说，自动化的工具都是可以提高效率的，这里介绍几款工具：

gooscan
用来处理搜索结果的一个小命令行程序，能够一定程度上减轻查询google时的“体力劳动”负担。界面如下：


sitedigger
这是FoundStone出品的一款免费软件，代用了google的api接口，使用者需要先到google api网站注册帐号获取一个许可字串后，才可以正常使用。使用前建议先自动连接到网络更新规则库，SiteDigger的规则库包含了七大类规则，分类详细，是一款相当不错的小产品。你也可以先参考它的白皮书。


athena
与SiteDigger类似，是一款借助搜索引擎来查找信息被误用或滥用的工具，支持多搜索引擎。


3. 解决
3.1 我们该如何做？
我们的资料如此容易被人所获取，那该采用什么方式来避开这种攻击或数据搜集呢？

信息发布的严格审核与责任追查；
利用相关工具进行在互联网进行搜索，如果有信息被滥用，到从google中删除网页记录提交你希望删除的信息；
控制robots.txt，控制搜索引擎的机器人的查询。

在局域网内实现MSN通讯服务

MSN Messenger Service集即时消息、网络电话、自动检查邮件等功能于一体，很受广大“网虫”的喜爱，但是您知道吗，MSN Messenger Service不但可以登录到MSN的Messenger Server，还可以登录到局域网内的Exchange Server呢！无需连接到Internet，您一样可以享受MSN Messenger Service的强大功能！

　　下面笔者就如何建立局域网内部的通讯服务做详细介绍：

　　前提条件

　　网络中有一台计算机安装了Microsoft Exchange Server 2000（Microsoft Exchange Server 2000 的安装方法不是本文重点，所以不做介绍了。详情请参阅：http://support.microsoft.com）。

　　准备工作

　　1、一张Microsoft Exchange Server 2000安装光盘。

　　2、下载MSN Messenger Service的最新版本（http://messenger.msn.com/lccn ）。

　　安装与设置过程

　　一、添加Chat Services和Instant Messaging Services

　　1、将Microsoft Exchange Server 2000安装光盘放入服务器光驱，单击“Exchange Server Setup”。

　　2、当出现“Microsoft Exchange Installation 向导”时，单击“下一步”。在“Action”栏选择“Change”，将Chat Services和Instant Messaging Services都选择成“Install”，单击“下一步”安装向导会自动完成安装任务。

　　二、配置Instant Messaging

　　1、单击“开始”，指向“程序→Microsoft Exchange”，单击“System Manager”，双击“Servers”，双击您的计算机名，双击“Protocols”，右击“Instant Messaging（RVP）”，选择“新建”，单击“Instant Messaging Virtual Server”，在Display Name栏中输入配置文件名。

　　2、单击“下一步”，在Choose IIS Web Site中选择Web站点。单击“下一步”，在DNS Domain Name栏中输入DNS名（例如：home.net），此DNS名将作为用户登录邮件地址@符号后面的部分。单击“下一步”，在“Allow this server to host accounts”前面打勾，使配置文件马上生效，配置完成后建议重新启动服务器。

　　三、配置用户账户

　　1、在“管理工具”中单击“Active Directory用户和计算机”，单击“Users”，任意选择一个用户（例如：administrator），双击账户，在“Exchange Features”选项卡中，选中“Instant Messaging”。

　　2、单击“Enable→Browse”，在“Server Name”中选择配置文件名，单击“确定”。回到上一级选项卡。单击“确定”，即完成用户账户配置。

　　四、安装、配置MSN Messenger Service

　　1、将Microsoft Exchange Server 2000安装光盘放入客户机光驱；在客户机，单击“开始→运行”，键入“X:INSTMSGI386CLIENTCHSMMSSETUP.EXE”（X代表您的光驱的盘符），开始安装MSN Messenger Service 2.2 for Exchange。

　　2、MSN Messenger Service 2.2 for Exchange安装完毕后，再安装您从网上下载的MSN Messenger Service 3.x。

　　3、安装完毕后在MSN Messenger Service 3.x主窗口，单击“工具”；选择“选项”，在“账户”选项卡中的“首先用此账户登录”选项中选择“Exchange 账户”在Exchange账户“登录名”框中输入登录名administrator@home.net。

　　4、单击“确定”，选择“单击这里登录”，即可登录到Microsoft Exchange Server 2000 Instant Messaging Service。

　　注意：您必须首先安装MSN Messenger Service 2.2 for Exchange，然后再升级到MSN Messenger Service 3.x才能有登录到Microsoft Exchange Server 2000 Instant Messaging Service的选项，否则MSN Messenger Service 3.x中将没有登录到Microsoft Exchange Server 2000 Instant Messaging Service选项。

　　5、重复3、4步即可创建、配置用户账户及客户端。

电信网通双出口负载分担配置指导

这个配置是在华为的产品上面实现的，可以参考这个配置在Cisco上面做一些调整就可以了。

　　负载分担配置指导

　　定义监测组，分别监测电信和网通网关：

　　进入系统视图，创建detect-group 1，监测电信网关：

system
System View: return to User View with Ctrl+Z.
[Quidway] detect-group 1
[Quidway-detect-group-1]
[Quidway-detect-group-1]detect-list 1 ip address 60.190.80.113
[Quidway-detect-group-1]quit


　　创建detect-group 1，监测网通网关：

[Quidway]detect-group 2
[Quidway-detect-group-2]detect-list 1 ip address 221.12.79.49
[Quidway-detect-group-2]quit
[Quidway]


　　注：以上以地址60.190.80.113最为电信网关地址，地址221.12.79.49为网通网关地址为例，可以根据实际组网情况修改。

　　 配置两条默认路由互为备份，优先走电信线路：

[Quidway]ip route-static 0.0.0.0 0.0.0.0 60.190.80.113 preference 60 detect-group 1
[Quidway]ip route-static 0.0.0.0 0.0.0.0 221.12.79.49 preference 100 detect-group 2


　　注：以上以地址60.190.80.113最为电信网关地址，地址221.12.79.49为网通网关地址为例，可以根据实际组网情况修改。

　　 配置静态路由与监测组关联，使访问网通流量优先走网通线路：

　　以下配置较多，配置过程中可以用实际网通网关地址替换地址221.12.79.49后直接复制粘贴：

ip route-static 58.16.0.0 255.248.0.0 221.12.79.49 preference 60 detect-group 2
ip route-static 58.100.0.0 255.254.0.0 221.12.79.49 preference 60 detect-group 2
ip route-static 58.240.0.0 255.240.0.0 221.12.79.49 preference 60 detect-group 2
ip route-static 60.0.0.0 255.248.0.0 221.12.79.49 preference 60 detect-group 2
ip route-static 60.8.0.0 255.252.0.0 221.12.79.49 preference 60 detect-group 2
ip route-static 60.12.0.0 255.255.0.0 221.12.79.49 preference 60 detect-group 2
ip route-static 60.13.0.0 255.255.192.0 221.12.79.49 preference 60 detect-group 2
ip route-static 60.13.128.0 255.255.128.0 221.12.79.49 preference 60 detect-group 2
ip route-static 60.16.0.0 255.240.0.0 221.12.79.49 preference 60 detect-group 2
ip route-static 60.24.0.0 255.248.0.0 221.12.79.49 preference 60 detect-group 2
ip route-static 60.31.0.0 255.255.0.0 221.12.79.49 preference 60 detect-group 2
ip route-static 60.208.0.0 255.248.0.0 221.12.79.49 preference 60 detect-group 2
ip route-static 60.216.0.0 255.254.0.0 221.12.79.49 preference 60 detect-group 2
ip route-static 60.220.0.0 255.252.0.0 221.12.79.49 preference 60 detect-group 2
ip route-static 61.48.0.0 255.252.0.0 221.12.79.49 preference 60 detect-group 2
ip route-static 61.52.0.0 255.254.0.0 221.12.79.49 preference 60 detect-group 2
ip route-static 61.54.0.0 255.255.0.0 221.12.79.49 preference 60 detect-group 2
ip route-static 61.55.0.0 255.255.0.0 221.12.79.49 preference 60 detect-group 2
ip route-static 61.133.0.0 255.255.128.0 221.12.79.49 preference 60 detect-group 2
ip route-static 61.134.64.0 255.255.192.0 221.12.79.49 preference 60 detect-group 2
ip route-static 61.134.128.0 255.255.128.0 221.12.79.49 preference 60 detect-group 2
ip route-static 61.135.0.0 255.255.0.0 221.12.79.49 preference 60 detect-group 2
ip route-static 61.136.0.0 255.255.0.0 221.12.79.49 preference 60 detect-group 2
ip route-static 61.138.0.0 255.255.128.0 221.12.79.49 preference 60 detect-group 2
ip route-static 61.139.128.0 255.255.192.0 221.12.79.49 preference 60 detect-group 2
ip route-static 61.148.0.0 255.255.0.0 221.12.79.49 preference 60 detect-group 2
ip route-static 61.149.0.0 255.255.0.0 221.12.79.49 preference 60 detect-group 2
ip route-static 61.156.0.0 255.255.0.0 221.12.79.49 preference 60 detect-group 2
ip route-static 61.158.0.0 255.255.0.0 221.12.79.49 preference 60 detect-group 2
ip route-static 61.159.0.0 255.255.192.0 221.12.79.49 preference 60 detect-group 2
ip route-static 61.161.0.0 255.255.192.0 221.12.79.49 preference 60 detect-group 2
ip route-static 61.161.128.0 255.255.128.0 221.12.79.49 preference 60 detect-group 2
ip route-static 61.162.0.0 255.255.0.0 221.12.79.49 preference 60 detect-group 2
ip route-static 61.163.0.0 255.255.0.0 221.12.79.49 preference 60 detect-group 2
ip route-static 61.167.0.0 255.255.0.0 221.12.79.49 preference 60 detect-group 2
ip route-static 61.168.0.0 255.255.0.0 221.12.79.49 preference 60 detect-group 2
ip route-static 61.176.0.0 255.255.0.0 221.12.79.49 preference 60 detect-group 2
ip route-static 61.179.0.0 255.255.0.0 221.12.79.49 preference 60 detect-group 2
ip route-static 61.180.128.0 255.255.128.0 221.12.79.49 preference 60 detect-group 2
ip route-static 61.181.0.0 255.255.0.0 221.12.79.49 preference 60 detect-group 2
ip route-static 61.182.0.0 255.255.0.0 221.12.79.49 preference 60 detect-group 2
ip route-static 61.189.0.0 255.255.128.0 221.12.79.49 preference 60 detect-group 2
ip route-static 124.90.0.0 255.254.0.0 221.12.79.49 preference 60 detect-group 2
ip route-static 124.162.0.0 255.255.0.0 221.12.79.49 preference 60 detect-group 2
ip route-static 192.168.2.246 255.255.255.255 192.168.2.254 preference 60
ip route-static 202.32.0.0 255.224.0.0 221.12.79.49 preference 60 detect-group 2
ip route-static 202.96.64.0 255.255.224.0 221.12.79.49 preference 60 detect-group 2
ip route-static 202.97.128.0 255.255.128.0 221.12.79.49 preference 60 detect-group 2
ip route-static 202.98.0.0 255.255.224.0 221.12.79.49 preference 60 detect-group 2
ip route-static 202.99.0.0 255.255.0.0 221.12.79.49 preference 60 detect-group 2
ip route-static 202.102.128.0 255.255.192.0 221.12.79.49 preference 60 detect-group 2
ip route-static 202.102.224.0 255.255.254.0 221.12.79.49 preference 60 detect-group 2
ip route-static 202.106.0.0 255.255.0.0 221.12.79.49 preference 60 detect-group 2
ip route-static 202.107.0.0 255.255.128.0 221.12.79.49 preference 60 detect-group 2
ip route-static 202.108.0.0 255.255.0.0 221.12.79.49 preference 60 detect-group 2
ip route-static 202.110.0.0 255.255.128.0 221.12.79.49 preference 60 detect-group 2
ip route-static 202.110.192.0 255.255.192.0 221.12.79.49 preference 60 detect-group 2
ip route-static 202.111.128.0 255.255.192.0 221.12.79.49 preference 60 detect-group 2
ip route-static 203.79.0.0 255.255.0.0 221.12.79.49 preference 60 detect-group 2
ip route-static 203.80.0.0 255.255.0.0 221.12.79.49 preference 60 detect-group 2
ip route-static 203.81.0.0 255.255.224.0 221.12.79.49 preference 60 detect-group 2
ip route-static 203.86.32.0 255.255.224.0 221.12.79.49 preference 60 detect-group 2
ip route-static 203.86.64.0 255.255.224.0 221.12.79.49 preference 60 detect-group 2
ip route-static 203.90.0.0 255.255.128.0 221.12.79.49 preference 60 detect-group 2
ip route-static 203.90.128.0 255.255.192.0 221.12.79.49 preference 60 detect-group 2
ip route-static 203.90.192.0 255.255.224.0 221.12.79.49 preference 60 detect-group 2
ip route-static 203.92.0.0 255.254.0.0 221.12.79.49 preference 60 detect-group 2
ip route-static 210.12.0.0 255.255.128.0 221.12.79.49 preference 60 detect-group 2
ip route-static 210.12.192.0 255.255.192.0 221.12.79.49 preference 60 detect-group 2
ip route-static 210.13.0.0 255.255.255.0 221.12.79.49 preference 60 detect-group 2
ip route-static 210.14.160.0 255.255.224.0 221.12.79.49 preference 60 detect-group 2
ip route-static 210.14.192.0 255.255.192.0 221.12.79.49 preference 60 detect-group 2
ip route-static 210.15.0.0 255.255.128.0 221.12.79.49 preference 60 detect-group 2
ip route-static 210.15.128.0 255.255.192.0 221.12.79.49 preference 60 detect-group 2
ip route-static 210.16.128.0 255.255.192.0 221.12.79.49 preference 60 detect-group 2
ip route-static 210.21.0.0 255.255.0.0 221.12.79.49 preference 60 detect-group 2
ip route-static 210.22.0.0 255.255.0.0 221.12.79.49 preference 60 detect-group 2
ip route-static 210.51.0.0 255.255.0.0 221.12.79.49 preference 60 detect-group 2
ip route-static 210.52.0.0 255.254.0.0 221.12.79.49 preference 60 detect-group 2
ip route-static 210.52.128.0 255.255.128.0 221.12.79.49 preference 60 detect-group 2
ip route-static 210.53.0.0 255.255.0.0 221.12.79.49 preference 60 detect-group 2
ip route-static 210.74.64.0 255.255.192.0 221.12.79.49 preference 60 detect-group 2
ip route-static 210.74.128.0 255.255.192.0 221.12.79.49 preference 60 detect-group 2
ip route-static 210.78.0.0 255.255.224.0 221.12.79.49 preference 60 detect-group 2
ip route-static 210.82.0.0 255.254.0.0 221.12.79.49 preference 60 detect-group 2
ip route-static 211.100.0.0 255.255.0.0 221.12.79.49 preference 60 detect-group 2
ip route-static 211.101.0.0 255.255.192.0 221.12.79.49 preference 60 detect-group 2
ip route-static 211.147.0.0 255.255.0.0 221.12.79.49 preference 60 detect-group 2
ip route-static 211.167.96.0 255.255.224.0 221.12.79.49 preference 60 detect-group 2
ip route-static 218.4.0.0 255.252.0.0 221.12.79.49 preference 60 detect-group 2
ip route-static 218.10.0.0 255.254.0.0 221.12.79.49 preference 60 detect-group 2
ip route-static 218.21.128.0 255.255.128.0 221.12.79.49 preference 60 detect-group 2
ip route-static 218.24.0.0 255.254.0.0 221.12.79.49 preference 60 detect-group 2
ip route-static 218.26.0.0 255.255.0.0 221.12.79.49 preference 60 detect-group 2
ip route-static 218.27.0.0 255.255.0.0 221.12.79.49 preference 60 detect-group 2
ip route-static 218.28.0.0 255.254.0.0 221.12.79.49 preference 60 detect-group 2
ip route-static 218.56.0.0 255.252.0.0 221.12.79.49 preference 60 detect-group 2
ip route-static 218.60.0.0 255.254.0.0 221.12.79.49 preference 60 detect-group 2
ip route-static 218.62.0.0 255.255.128.0 221.12.79.49 preference 60 detect-group 2
ip route-static 218.67.128.0 255.255.128.0 221.12.79.49 preference 60 detect-group 2
ip route-static 218.68.0.0 255.254.0.0 221.12.79.49 preference 60 detect-group 2
ip route-static 218.109.159.0 255.255.255.0 221.12.79.49 preference 60 detect-group 2
ip route-static 219.141.128.0 255.255.128.0 221.12.79.49 preference 60 detect-group 2
ip route-static 219.142.0.0 255.254.0.0 221.12.79.49 preference 60 detect-group 2
ip route-static 219.154.0.0 255.254.0.0 221.12.79.49 preference 60 detect-group 2
ip route-static 219.156.0.0 255.254.0.0 221.12.79.49 preference 60 detect-group 2
ip route-static 219.158.0.0 255.255.0.0 221.12.79.49 preference 60 detect-group 2
ip route-static 219.159.0.0 255.255.192.0 221.12.79.49 preference 60 detect-group 2
ip route-static 220.248.0.0 255.252.0.0 221.12.79.49 preference 60 detect-group 2
ip route-static 220.252.0.0 255.255.0.0 221.12.79.49 preference 60 detect-group 2
ip route-static 221.0.0.0 255.252.0.0 221.12.79.49 preference 60 detect-group 2
ip route-static 221.4.0.0 255.254.0.0 221.12.79.49 preference 60 detect-group 2
ip route-static 221.6.0.0 255.255.0.0 221.12.79.49 preference 60 detect-group 2
ip route-static 221.7.128.0 255.255.128.0 221.12.79.49 preference 60 detect-group 2
ip route-static 221.8.0.0 255.254.0.0 221.12.79.49 preference 60 detect-group 2
ip route-static 221.10.0.0 255.255.0.0 221.12.79.49 preference 60 detect-group 2
ip route-static 221.11.0.0 255.255.128.0 221.12.79.49 preference 60 detect-group 2
ip route-static 221.12.0.0 255.252.0.0 221.12.79.49 preference 60 detect-group 2
ip route-static 221.12.0.0 255.255.128.0 221.12.79.49 preference 60 detect-group 2
ip route-static 221.12.128.0 255.255.192.0 221.12.79.49 preference 60 detect-group 2
ip route-static 221.192.0.0 255.252.0.0 221.12.79.49 preference 60 detect-group 2
ip route-static 221.195.0.0 255.255.0.0 221.12.79.49 preference 60 detect-group 2
ip route-static 221.196.0.0 255.254.0.0 221.12.79.49 preference 60 detect-group 2
ip route-static 221.199.0.0 255.255.224.0 221.12.79.49 preference 60 detect-group 2
ip route-static 221.199.32.0 255.255.240.0 221.12.79.49 preference 60 detect-group 2
ip route-static 221.199.128.0 255.255.192.0 221.12.79.49 preference 60 detect-group 2
ip route-static 221.199.192.0 255.255.240.0 221.12.79.49 preference 60 detect-group 2
ip route-static 221.200.0.0 255.252.0.0 221.12.79.49 preference 60 detect-group 2
ip route-static 221.204.0.0 255.254.0.0 221.12.79.49 preference 60 detect-group 2
ip route-static 221.207.0.0 255.255.192.0 221.12.79.49 preference 60 detect-group 2
ip route-static 221.208.0.0 255.240.0.0 221.12.79.49 preference 60 detect-group 2
ip route-static 221.208.0.0 255.252.0.0 221.12.79.49 preference 60 detect-group 2
ip route-static 221.213.0.0 255.255.0.0 221.12.79.49 preference 60 detect-group 2
ip route-static 221.214.0.0 255.254.0.0 221.12.79.49 preference 60 detect-group 2
ip route-static 222.128.0.0 255.252.0.0 221.12.79.49 preference 60 detect-group 2
ip route-static 222.132.0.0 255.252.0.0 221.12.79.49 preference 60 detect-group 2
ip route-static 222.136.0.0 255.248.0.0 221.12.79.49 preference 60 detect-group 2
ip route-static 222.160.0.0 255.252.0.0 221.12.79.49 preference 60 detect-group 2
ip route-static 222.163.0.0 255.255.224.0 221.12.79.49 preference 60 detect-group 2
ip route-static 0.0.0.0 0.0.0.0 20.1.1.2 preference 60


　　注：以上路由已经包含大部分网通地址段，如有更新可以动态添加。

　　经过如上三个配置步骤后，路由器便能自动区分网通流量和电信流量，使访问网通站点走网通线路，访问电信站点走电信线路。并且当网通线路出问题后所有流量都会自动切换到电信线路上，使用户能够不间断访问网络。
添加防火墙配置，增加网络的可性：

　　 定义电信线路使用的acl 3001：

　　可以用实际电信网关地址替换地址60.190.80.112，实际内网地址网段替换192.168.2.0 0.0.0.255后直接复制粘贴：

acl number 3001
rule 10 deny tcp destination-port eq 445
rule 11 deny udp destination-port eq 445
rule 20 deny tcp destination-port eq 135
rule 21 deny udp destination-port eq 135
rule 30 deny tcp destination-port eq 137
rule 31 deny udp destination-port eq netbios-ns
rule 40 deny tcp destination-port eq 138
rule 41 deny udp destination-port eq netbios-dgm
rule 50 deny tcp destination-port eq 139
rule 51 deny udp destination-port eq netbios-ssn
rule 61 deny udp destination-port eq tftp
rule 70 deny tcp destination-port eq 593
rule 80 deny tcp destination-port eq 4444
rule 90 deny tcp destination-port eq 707
rule 100 deny tcp destination-port eq 1433
rule 101 deny udp destination-port eq 1433
rule 110 deny tcp destination-port eq 1434
rule 111 deny udp destination-port eq 1434
rule 120 deny tcp destination-port eq 5554
rule 130 deny tcp destination-port eq 9996
rule 141 deny udp source-port eq bootps
rule 160 permit icmp icmp-type echo
rule 161 permit icmp icmp-type echo-reply
rule 162 permit icmp icmp-type ttl-exceeded
rule 165 deny icmp
rule 200 deny tcp destination-port eq www
rule 202 deny tcp destination-port eq ftp
rule 204 deny tcp destination-port eq 3389
rule 2000 permit ip destination 60.190.80.112 0
rule 2001 permit ip destination 192.168.2.0 0.0.0.255
rule 2002 deny ip


　　 定义网通线路使用的acl 3002：

　　可以用实际网通网关地址替换地址221.12.79.49，实际内网地址网段替换192.168.2.0 0.0.0.255后直接复制粘贴：

acl number 3002
rule 10 deny tcp destination-port eq 445
rule 11 deny udp destination-port eq 445
rule 20 deny tcp destination-port eq 135
rule 21 deny udp destination-port eq 135
rule 30 deny tcp destination-port eq 137
rule 31 deny udp destination-port eq netbios-ns
rule 40 deny tcp destination-port eq 138
rule 41 deny udp destination-port eq netbios-dgm
rule 50 deny tcp destination-port eq 139
rule 51 deny udp destination-port eq netbios-ssn
rule 61 deny udp destination-port eq tftp
rule 70 deny tcp destination-port eq 593
rule 80 deny tcp destination-port eq 4444
rule 90 deny tcp destination-port eq 707
rule 100 deny tcp destination-port eq 1433
rule 101 deny udp destination-port eq 1433
rule 110 deny tcp destination-port eq 1434
rule 111 deny udp destination-port eq 1434
rule 120 deny tcp destination-port eq 5554
rule 130 deny tcp destination-port eq 9996
rule 141 deny udp source-port eq bootps
rule 160 permit icmp icmp-type echo
rule 161 permit icmp icmp-type echo-reply
rule 162 permit icmp icmp-type ttl-exceeded
rule 165 deny icmp
rule 200 deny tcp destination-port eq www
rule 202 deny tcp destination-port eq ftp
rule 204 deny tcp destination-port eq 3389
rule 2000 permit ip destination 221.12.79.54 0
rule 2001 permit ip destination 192.168.2.0 0.0.0.255
rule 2002 deny ip


　　定义内网使用的acl 3003：

　　可以用实际内网地址网段替换192.168.2.0 0.0.0.255后直接复制粘贴：

acl number 3003
rule 10 deny tcp destination-port eq 445
rule 11 deny udp destination-port eq 445
rule 20 deny tcp destination-port eq 135
rule 21 deny udp destination-port eq 135
rule 30 deny tcp destination-port eq 137
rule 31 deny udp destination-port eq netbios-ns
rule 40 deny tcp destination-port eq 138
rule 41 deny udp destination-port eq netbios-dgm
rule 50 deny tcp destination-port eq 139
rule 51 deny udp destination-port eq netbios-ssn
rule 61 deny udp destination-port eq tftp
rule 70 deny tcp destination-port eq 593
rule 80 deny tcp destination-port eq 4444
rule 90 deny tcp destination-port eq 707
rule 100 deny tcp destination-port eq 1433
rule 101 deny udp destination-port eq 1433
rule 110 deny tcp destination-port eq 1434
rule 111 deny udp destination-port eq 1434
rule 120 deny tcp destination-port eq 5554
rule 130 deny tcp destination-port eq 9996
rule 141 deny udp source-port eq bootps
rule 160 permit icmp icmp-type echo
rule 161 permit icmp icmp-type echo-reply
rule 162 permit icmp icmp-type ttl-exceeded
rule 165 deny icmp
rule 2030 permit ip source 192.168.2.0 0.0.0.255
rule 3000 deny ip


　　在全局和接口下分别启用防火墙：

[Quidway]firewall enable
[Quidway]firewall default deny
[Quidway] interface Ethernet 1/0
[Quidway-Ethernet1/0]firewall packet-filter 3001 inbound
[Quidway-Ethernet1/0]quit
[Quidway]interface Ethernet 2/0
[Quidway-Ethernet2/0]firewall packet-filter 3002 inbound
[Quidway-Ethernet2/0]quit
[Quidway]interface Ethernet 3/0
[Quidway-Ethernet3/0]firewall packet-filter 3003 inbound
[Quidway-Ethernet3/0]


　　以上配置为Ethernet 1/0连接电信线路，Ethernet 2/0连接网通线路，Ethernet 3/0连接内网，可以根据实际组网进行调整。

无线局域网五种常见故障及解决

无线局域网(下简称为WLAN)随着技术的逐渐成熟和产品成本的降低，已悄悄的走进我们的工作和生活。大规模WLAN和宽带的普及也使得相关的故障时有发生，下面我们就来看下常见的无线局域网故障有那些:

　　故障现象:无法登陆无线路由器进行设置

　　分析及解决方法:

　　硬件故障大多数是接头松动、网线断、集线器损坏和计算机系统故障等方面的问题。一般都可以通过观察指示灯来帮助定位。此外，电压不正常、温度过高、雷击等也容易造成故障。

　　办法一:检查路由器上面的数据信号指示灯,电源灯间歇性闪烁为正常,如不正常首先检查接入的宽带线路,可以换不同的网线重新插好。在电脑中检查网络连接，重新设置IP地址,如果在自动获取IP地址不成功的情况下,手动设置IP并禁用系统所用的网络防火墙功能。

　　办法二:在系统IE的连接设置中选择“从不进行拨号连接”，点击“确定”结束。进入“局域网设置”后清空所有选项。再打开IE 输入路由器地址进行连接。

　　办法三:将路由器恢复出厂设置，重新安装驱动及登录帐号及密码。

　　如上办法仍未解决请联系厂商并检查硬件之间的冲突问题。

　　故障现象:能上MSN但无法打开网页

　　分析及解决方法:

　　路由器是地址转换设备，当你或与你进行通信的人位于防火墙或路由器之后时， 阻止了双方直接连接到 Internet。此时要求双方所使用的网络地址转换设备支持UPnP技术。关于路由器对该技术的支持情况请看你所用的路由器说明书，并咨询厂商技术支持。

　　办法一:个别路由器需要在LAN设置中将UPnP设置为“Enable”。

　　办法二:有可能是病毒所致。可以打开资源管理器查看资源占用和CPU使用情况，如果占用率很高，很有可能是感染了病毒，将其用杀毒软件进行查杀即可。

　　办法三:IE文件损坏。下载新的IE进行安装或配合操作系统进行修复即可。

　　故障现象:联网时断时续

　　分析及解决方法:

　　一般的无线路由器都会提供三种或三种以上的连接方式，大多无线路由器会默认设置成“按需连接，在有访问数据时自动进行连接”也就是说每隔一定时间它会检测有没有线路空载 ,一旦连接后并没有数据交互,就会自动断开连接。

　　办法一: 进入无线路由器设置界面，在连接方式出选择“自动连接，在开机和断线后进行自动连接”即可。

　　办法二:检查网络是否有网络病毒攻击，很有可能是ARP网络攻击。进入网卡属性，手动设置IP，更换新的IP地址，如果继续掉线，请使用专业的抗攻击软件进行防御。

　　故障现象:网速过慢

　　分析及解决方法:

　　首先有可能是WEB服务器繁忙所致，其次有可能是无线信号微弱所致。

　　办法一:如果是WEB服务器繁忙所致则不是我们用户所能够解决的，您可以过一段时间再试一次。

　　办法二:在企业和SOHO族使用无线局域网中，无线路由器的位置摆放经常被人们所忽略。无线路由器的位置摆放不当是造成信号微弱的直接原因。

　　解决办法很简单:

　　第一、放置在相对较高的位置上;
　　第二、摆放的放置与接收端不应间隔较多水泥墙壁。
　　第三、尽量放置在使用端的中心位置。

　　故障现象:状态显示为可以发送数据包,却接收不到数据

　　分析及解决办法:

　　首先确保你的物理连接正确。登录路由器.用路由器ping接入提供商的dns地址。如果能ping通,说明路由器到internet的连接是畅通的,否则请检查路由器的配置。然后,用内部网络中的任意一台pc机ping网关(即路由器内部接口地址),如果能ping通,则说明内部网络连接是畅通的,否则就检查路由器配置和pc机配置是否正确以及是否相符合。如果上面两步均能ping通,但是还是上不了网的话,就按照一下步骤排查。

　　1，检查内部pc的网关和dns的配置是否正确,确定无误后进行下一步。
　　2，检查路由器关于nat方面的设置,看看配置是否正常.如果路由器配置检查不出错误,最好查看一下nat的地址转换表(不知道你的路由器是否支持此功能)。

　　看看内部网络的地址转译是否有相应条目.如果没有证明你nat配置一定有错误.那么将其改正好。

浏览器遭恶意修改解决方案

近几个月来，IE被恶意修改的情况越来越多，也越来越严重，从修改IE首页到修改IE右键菜单甚至Windows开始菜单，只要到关于网络安全的论坛上找一找，每天都有人问怎样恢复IE被恶意修改的问题。现在，我们先看看IE被修改的现象。

一、IE被修改现象

1、IE起始主页被修改；相对而言，这是比较“友好”的修改方式了，因为我们还可以通过简单的方法改回来；

2、IE起始主页被修改，并且在IE自带的主页设置选项不能修改，变为灰色；

3、自动在IE收藏家加入该主页，这种情况有两种：（1）、直接加入收藏夹；（2）、加入收藏夹的子文件夹，比如“媒体”文件夹；

4、自动在IE菜单的【工具】加入该网页；

5、在IE右键菜单加入该网页；

6、修改IE标题栏；

7、开机出现提示框；

8、注册表不能使用甚至regedit.exe文件被删除其实是移到了Temp文件夹；

9、将该网站快捷方式加入Windows的开始菜单、桌面等；

10、开机自动打开浏览器访问指定网站。

以上我们列出了现在网络上流行的修改IE甚至Windows的大部分现象甚至全部，这些修改是怎样形成的，已经有很多文章提到。我们现在重点看看怎样把这些讨厌的设置改回来。当然，我不会告诉你一个个记那些注册表选项，一不小心修改错误，连系统也不稳定。

现在我们用两种方法恢复IE：一是使用绝对信得过的软件；二是使用最简单而又最有效的注册表修改方法，当然，你不必记那些繁琐的注册键对应的选项。

二、金山毒霸注册表修理工具

现在编程的人实在很多，编写修改注册表的程序的人就更多，我在网上也不知道看见多少，有些只能修改IE主页，有些能修改不少，但是只能使用10次，有些却又要注册。这些都没关系，关键一点，涉及注册表的东西，最好还是使用名牌软件公司的好些，在这里，我们要有一点品牌意识。金山毒霸我们已经很熟悉了，相信他们的注册表修理工具绝对不会出问题。好，我们看看它的使用。

（一）、下载和安装金山毒霸注册表修理工具

可以在这里下载，该软件是绿色软件，不要安装，点击直接运行。

（二）、金山毒霸注册表修理工具可以修改的项目

基本上，IE的修改都可以恢复，包括：

1、IE主页方面的修改；

2、IE标题修改；

3、IE属性设置方面的修改；

4、Windows开始菜单修改；

这些修改项目对一般的IE被修改已经完全可以解决，毕竟，不是所有的网页都那么过分。

（三）、金山毒霸注册表修理工具的使用

双击打开金山毒霸注册表修理工具。

很简单，直接选择要清理项目按【清理】按钮就可以了。或许你担心自己不知道怎样选择要修改的项目，那么很简单，使用默认，全部选定这些项目，按【清理】按钮全部清理就行了。因为这些修改都是回到IE或者Windows的默认设置，所以，不必担心会出问题。

三、超级兔子系列软件

超级兔子是国内有名的软件系列了，他们的软件，基本上全部是注册表修改方面的。关于IE修改，超级兔子有两个软件可以使用：超级兔子魔法设置和超级兔子注册表保护器。

（一）、超级兔子魔法设置

超级兔子魔法设置几乎可以解决所有我们以上提到的问题。现在我们看它的使用。

1、下载与安装

超级兔子魔法设置可以在这里下载，下载完成以后，和一般软件的安装没有区别。为了下面的使用我们可以更加清楚，我们先看看超级兔子魔法设置的界面。

2、超级兔子魔法设置的使用

在这里，我们不会详细介绍超级兔子的所有使用方法，只是介绍与我们主题相关的一些使用。

（1）、开机自动打开浏览器到指定网页的修改开机自动打开浏览器到指定网页的修改，其时就是开机启动项的设置，我们可以直接在Windows修改，方法为：【开始】－>【程序】－>【附件】－>【系统信息】－>【工具】－>【系统配置实用程序】－>【启动】，我们得到以下界面。

在以上界面中，有一项是我们要修改的，仔细查看每一项的【命令】，我们可以看到【名称】为“Seekmm”的项，它的命令为“c:\ProgramFiles\Internet Explorer\iexplore.exe c:\windows\seekmm.htm”，其实就是一个网页，也就是开机打开的网页。需要注意的是，有时候开始打开网页的命令部分也可以是一个网址，没有上面那么复杂。

　在超级兔子魔法设置里面就没有以上修改那么复杂，选择主界面的【自动运行】，得到以下界面。

同样，我们可以找到“seekmm”这一项，选定直接按【删除】按钮就行了。

（2）、开始菜单被修改的恢复

有些网站会修改开始菜单，隐藏【运行】这一项，我们可以在超级兔子里面修改，在主界面选择【开始菜单】，出现以下界面。

我们看到【运行】已经被禁止，将【运行】前面的勾去掉保存就可以了。

（3）、IE相关修改

这里可以修改与IE相关的一些选项，选择主界面的【IE浏览器】，出现以下界面。

我们可以看到，IE的标题、默认打开的网页等已经被修改，直接【复原】保存就可以恢复。

（二）、超级兔子注册表保护器

超级兔子注册表保护器其实已经包含在超级兔子魔法设置里面，同时，超级兔子注册表保护器也可以单独下载。相对以上的魔法设置，超级兔子注册表保护器可以设置更多的IE选项，同时，还可以保护注册表，以免再次被修改。

1、下载与安装

可以在这里下载， 安装和一般软件没有区别。

2、具体使用

在【程序】的【超级兔子注册表保护器】选择【超级兔子注册表保护器】，出现以下界面。

在这里，可以恢复IE的大部分设置，包括标题栏、首页、右键菜单、浏览器选项；也可以修改开机弹出网页、开机弹出标题、注册表被锁定等。直接按清理按钮就可以恢复了。在这里，需要重点注意，这里的【清除】直接将IE恢复到默认状态，那么，对于IE的邮件菜单而言，我们右键菜单里面的网络蚂蚁和FlashGet也就一起清除了。所以，这里要注意不选择【IE浏览器的鼠标右键】。

四、最简单的就是最有效的修改方法

看武侠小说多了，有时候发现，最简单的往往就是最有效的招式。修改有关的IE注册表也一样，其实，只要一招就可以：直接搜索。

因为对IE的修改，包括标题、右键、工具菜单、开机弹出窗口等，总是要联系到一个网页或者网页标题，我们直接在注册表搜索这些文字，将它们全部删除，IE的修改也就完成了。完全不必去记那些注册表的“键”，修改什么搜索什么，这一招是最有效的。我们现在就来看看。

刚才我们看到IE浏览器的标题已经被修改为“http://www.youmiss.com<;=难忘浪漫大学”，在【开始】－>【运行】输入“regedit”，出现注册表编辑器，选择菜单【编辑】－>【查找】，出现以下界面图。

输入查找目标，按【查找下一个】就行查找，我们立即找到了被修改的注册项。

双击这一项，将它改为空白就可以了；是不是这样就完了？不，最好还是再搜索一下，按【F3】，果然又找到一个，这一次在HKEY_LOCAL_MACHINE\Software\Microsoft\Internet ExplorerMain”的【Window Title】里面！继续修改。

使用以上方法，我们可以解决IE本身被修改的大部分问题，关键记住一点，一定要搜索完成才算修改完成，也就是，搜索完以后按【F3】再搜索，直到再也找不到那一项。

五、总结

以上我们介绍了两个软件和自己手工修改的方法来恢复IE和Windows，这些方法应该是简单而且有效的，个人认为有一个金山毒霸注册表清理工具和上文介绍的搜索方法就可以解决问题了

“内存不足”的解决方法

大家在应用电脑时一定都遇到过机器提示内存不足的现象吧，那么什么是内存不足，又该如何处理呢，下面我们就来讲一讲有关这方面的内容。

　　所谓“内存不足”就是指在启动或运行DOS应用程序和Windows应用程序时，系统报“Out of memory"或“内存不足"的错误信息。“内存不足”是一种很常见的故障，运行DOS应用程序和Windows应用程序引起“内存不足”的原因不完全相同。

　　一、DOS下的内存不足

　　如果是在运行DOS应用程序时出现“ Out of memory”（内存不足）的故障，可按以下方法进行检查和处理：

　　1、检查系统是否提供对扩充内存的支持，必须保证CONFIG.SYS文件中的EMM386.EXE命令中含有RAM参数，关于RAM参数的设置请参考相关文章，这里就不述叙；


　　2、 如果故障仍存在，检查DOS内核程序与其它运行的应用程序是否兼容，某些程序是否占用了大量的常规内存，并作出相应的处理。

　　举个例子：一次我在运行WPS 时，屏幕显示“内存不够”，系统无法运行。考虑到在运行WPS之前曾执行过一些其它程序，可能是这些程序没有完全从内存中退出，于是重新启动，运行金山汉字系统，WPS 编辑软件仍无法进入，用DOS 6.22的Mem命令查看内存，仅剩200KB左右的空间，且CHLIB文件占用主内存达255KB，即字库放在了常规内存中，而金山系统是应该可以自动使用扩展内存存放字库的，查看系统配置情况，在CONFIG.SYS中设有：

　　DEVICE=C：\DOS\HIMEM.SYS
　　DOS=HIGH

　　这就是说，DOS内核程序调入扩展内存后，虽然扩大了可用主内存空间，但是由于扩展内存与金山系统发生冲突，以致汉字库无法载入扩展内存。解决的办法有两种：

　　1、去掉DOS=HIGH设置，将DOS内核程序从扩展内存撤出，即可正常运行。

　　2、将“/DEVICE=C：\DOS\HIMEM.SYS"改为“/DEVICE=C：\DOS\HIMEM.SYS/INT15=320"，因金山系统使用的是扩展内存的低端，这一区域若有其它程序驻留，字库就不能正常载入，利用INT15参数给系统先预留出一部分传统的扩展存储器(即不由XMS规范管理而由INT15直接使用的扩展存储器)，字库和DOS内核都可使用扩展内存了，这样设置之后，在金山汉字系统状态下可用的主内存空间可达512KB，比不设置时多出250KB左右。

　　二、Windows中的内存不足

　　如果在运行Windows应用程序时，出现“内存不足”的故障，可按下列方法进行检查和处理：

　　1、首先应检查Windows的资源使用情况，如果资源占用较多，可用资源较少，打开新文件时会出现“内存不足"的问题。这时可以清理屏幕，减少窗口的数目，关闭不用的应用程序，包括TSR内存驻留程序，将Windows应用程序最小化为图标，如果问题只是在运行一特殊的应用程序时出现，则与应用软件销售商联系，可能是数据对象的管理不好所致；

　　2、如果问题没有解决，清除或保存Clipboard(剪贴板)的内容，使用ControlPanel Desktop选项将墙纸(Wallpaper)设置为None；

　　3、如问题仍存在，可用PIF编辑器编辑PIF文件，增大PIF文件中定义的MemoryRequirements：KB Required的值；在标准模式下，选择Prevent ProgramSwitch，该开关选项打开后，退出应用程序返回Windows；如果是386增强模式，则要将Display Usage设置成Full Screen(全屏幕方式)，将Execution设置为Exclusive，将Video memory设置为尽可能低的方式；

　　4、 如果问题仍存在，则重新开机进入Windows系统，并且确保在“启动"图标中没有其它无关的应用软件同时启动运行，在WIN.INI文件中也没有Run或Load命令加载的任何无关的应用程序。

　　在平时，出现“内存不足"的问题一般可以按以下办法处理。首先，退出那些不需要运行的应用程序，然后，再检查系统的可用资源为多少。如果可用资源大于30％，一般可以运行新的程序。当有多个应用程序在系统中运行时，可以退出一个，检查一次可用资源，如果某个应用程序在退出前后，可用资源的百分比没有变化，说明这个应用程序没有释放它所占用的资源。如果要收回这些没有释放的资源，只能退出Windows后，再重新进入Windows。为了确保在启动进入Windows时系统的可用资源足够，在“启动"图标中应该没有无关的应用软件同时启动运行，在WIN.INI文件中也没有由Run或Load命令加载的任何无关的应用程序，因为这些同时启动的无关应用程序可能已经占用了很多资源，使得要使用的应用程序无法运行。

　　一般说来，经过这样处理，就不会出现“内存不足"的问题了。

网站设计的思考

1、定位你的网站主题和名称
2、定位你的网站CI形象
3、确定网站的栏目和版块
4、确定网站的目录结构和链接结构
5、确定网站的整体风格和创意设计
6、首页的设计
7、版面布局的原理
8、网页色彩搭配的原理
9、字体的设定
10、网页中表格的运用

　
　　网站设计，包含的内容非常多。大体分两个方面：
　　一方面是纯网站本身的设计比如文字排版，图片制作，平面设计，三维立体设计，静态无声图文，动态有声影像等；

　　另一方面是网站的延伸设计，包括网站的主题定位和浏览群的定位，智能交互，制作策划，形象包装，宣传营销等等。

　　这两方面相辅相成（感觉有点象写辨证论文：），加之网络技术的飞速发展，要提出一个绝对正确和权威的设计思路是不可能的，要想在一篇文章中概括出来也很难，所以阿捷根据建设一个网站的思路，将自己几年来网站设计制作的心得整理成一个系列“讲座”，告诉给大家（注意：我并不会非常具体地讲某一个技术或制作技巧，重点在于思路）希望能给您一些帮助。下面是大致的提纲：

　　1.定位你的网站主题和名称；　　 2.定位你的网站CI形象；　　 3.确定你的栏目和版块；　　 4.网站的整体风格创意设计　　 5.网站的层次结构和链接结构　　 6.首页的设计　　 7.版面布局的窍门　　 8.色彩的搭配　　 9.效果与速度　　 10.替浏览者考虑　　 11.细微之处见功力　　 12.建设完成度与推出时间　　 13.交互性与亲和度　　 14.考虑不同的浏览器和分辨率　　 15.字体的设置和表格的嵌套　　 16.新技术的运用取舍　　 17.设计好你的banner和位置　　 18.语句文字--融入感情　　 19.对网站设计初学者的建议

　　以上是本“系列”文章的提纲，会根据实际撰写情况作些变动。每星期一篇。我们开始之前，首先明确几个前提：

　　一．网站设计与网站制作。我们说网站“设计”而不是网站“制作”，它们的区别在于设计是一个思考的过程，而制作只是将思考的结果表现出来。一个成功的网站首先需要一个优秀的设计，然后辅之优秀的制作。设计是网站的核心和灵魂，一个相同的设计可以有多种制**现的方式。

　　二．我们说的“网站”是指有确定主题和明确目的的实用性站点，不包括纯表现类或者纯文字类网站。

　　三．在文章中，可能举例说明或点评到某些具体站点。首先申明，阿捷不存在为任何站点作广告的“嫌疑“。

　　好了，废话少说，我们进入正题：

定位你的网站主题和名称
　　设计一个站点，首先遇到的问题就是定位网站主题。

　　所谓主题也就是你的网站的题材。网络上的网站题材千奇百怪,琳琅满目。只要你想的到，就可以把它制作出来。下面是美国《个人电脑》杂志(PC Magazine)评出的99年度排名前100位的全美知名网站的十类题材，对我们有一些参考价值。

　　第1类：网上求职　　 第2类：网上聊天／即时信息/ ICQ　　 第3类：网上社区／讨论 / 邮件列表　　 第4类：计算机技术　　 第5类：网页/ 网站开发 　　 第6类：娱乐网站 　　 第7类：旅行 　　 第8类：参考 /资讯　　 第9类：家庭/教育 　　 第10类：生活/时尚

　　每个大类都可以继续细分，比如娱乐类再分为体育 /电影/ 音乐大类，音乐又可以按格式分为MP3，VQF，Ra，按表现形式分古典，现代，摇滚等。以上都只是最常见的题材，还有许多专业的，另类的，独特的题材可以选择，比如中医，热带鱼，天气预报等等，同时，各个题材相联系和交叉结合可以产生新得题材，例如旅游论坛（旅游+讨论），经典入球播放（足球+影视）按这样分下去，题材可以有成千上万个，你不会再为题材重复，难以选择而烦恼了吧

　　对于题材的选择，我的建议是：

　　1.主题要小而精。定位要小，内容要精。如果你想制作一个包罗万象的站点，把所有您认为精彩的东西都放在上面，那么往往会事与愿违，给人的感觉是没有主题，没有特色，样样有却样样都很肤浅，因为您不可能有那么多的精力去维护它。网络的最大特点就是新和快，目前最热门的个人主页都是天天更新甚至几小时更新一次。最新的调查结果也显示，网络上的“主题站”比“万全站”更受人们喜爱，就好比专卖店和百货商店，如果我需要买某方面的东西，肯定会选择专买店。再举个例子，我的一位网友KK希望制作文学方面的题材，但是文学也包括许多许多内容，有小说，诗歌，散文；有科幻，武侠，推理；阿捷仔细了解了他的擅长和想要提供的主要内容，最后将题材定位在网络文学上，删除了原有的一些无关的文学作品，集中扩大和整理网络文学作品。网站推出后，很快受到大家的喜爱。

　　2.题材最好是你自己擅长或者喜爱的内容。比如：您对擅长编程，就可以建立一个编程爱好者网站；对足球感兴趣，可以报道最新的战况，球星动态等。这样在制作时，才不会觉得无聊或者力不从心。兴趣是制作网站的动力，没有热情，很难设计制作出杰出的作品。

　　3.题材不要太滥或者目标太高。“太滥”是指到处可见，人人都有的题材；比如软件下载，免费信息。“目标太高”是指在这一题材上已经有非常优秀，知名度很高的站点，你要超过它是很困难的。除非你下决心和有实力竞争并超过它，记住，在互联网上只有第一，人们往往只记得最好的网站，第二第三名的印象则会浅得多。

　　OK，如果你已经有一个绝妙的主意了，那我们开始为网站起名字。（哎呀，别踢我！）您可能认为起名字与网站设计无关，阿捷在这里浪费时间。其实网站名称也是网站设计的一部分，而且是很关键的一个要素。你来看，“电脑学习室”和“电脑之家”显然是后者简练；“迷笛乐园”和“MIDI乐园”显然是后者明晰；“儿童天地”和“中国幼儿园”显然是后者大气。我们都知道PIIICUP的中文名称“奔腾”，如果改为“奔跑”，可能就没有今天这么“火”了。和现实生活中一样，网站名称是否正气，响亮，易记，对网站的形象和宣传推广也有很大影响。一般的建议是：

　　1. 名称要正。这个“正”是阿捷自己的说法，其实就是要合法，和理，和情。不能用反动的，**的，迷信的，危害社会安全的名词语句。

　　2. 名称要易记。根据中文网站浏览者的特点，除非特定需要，网站名称最好用中文名称，不要使用英文或者中英文混合型名称。例如：beyond studio和超越工作室，后者更亲切好记。另外，网站名称的字数应该控制在六个字（最好四个字）以内，比如“XX阁”“XX设计室”，四个字的可以用成语，如“一网打进”。字数少还有个好处，一般友情链接的小logo尺寸是88X31，而六个字的宽度是78左右，适合于其他站点的链接排版。

　　3. 名称要有特色。名称平实就可以接受，如果能体现一定的内涵，给浏览者更多的视觉冲击和空间想象力，则为上品。这里举几个阿捷认为很好的名称：音乐前卫，网页陶吧，天籁绝音。在体现出网站主题的同时，能点出特色之处。

　　总之，定位题材和名称是设计一个网站的第一步，也是很重要的一部分。如果能找到一个满意的名称，花一天时间翻字典也是值得的

定位你的网站CI形象
　　所谓CI，是借用的广告术语。(CI是英文corporate identity的缩写)，意思是通过视觉来统一企业的形象。现实生活中的CI策划比比皆是，杰出的例子如：可口可乐公 司，全球统一的标志，色彩和产品包装，给我们的印象极为深刻。更多的例子如SONY,三菱，麦当劳等等。

　　一个杰出的网站，和实体公司一样，也需要整体的形象包装和设计。准确的，有创意的CI 设计，对网站的宣传推广有事半功倍的效果。在您的网站主题和名称定下来之后，需要思考的就是网站的CI形象。

　　有网友要问了：我不是学广告专业的，CI对我来说可能太难了吧 不用担心，阿捷自己也没有学过设计专业哦。大家只要参考我的一些具体做法和经验，很容易将自己网站的CI搞定:)

　　1.设计网站的标志(logo).首先你需要设计制作一个网站的标志(logo)。就如同商标一样，logo是你站点特色和内涵的集中体现，看见logo就让大家联想起你的站点。注意：这里的logo不是指88X31的小图标banner,而是网站的标志。

　　标志可以是中文，英文字母，可以是符号，图案，可以是动物或者人物等等。比如：soim是用soim的英文作为标志，新浪用字母sina+眼睛作为标志。标志的设计创意来自你网站的名称和内容。

　　(1).网站有代表性的人物，动物，花草，可以用它们作为设计的蓝本，加以卡通化和艺术化，例如迪斯尼的米老鼠，搜狐的卡通狐狸，鲨威体坛的篮球鲨鱼。

　　(2).网站有专业性的，可以以本专业有代表的物品作为标志。比如中国银行的铜板标志，奔驰汽车的方向盘标志。

　　(3).最常用和最简单的方式是用自己网站的英文名称作标志。采用不同的字体， 字母的变形，字母的组合可以很容易制作好自己的标志。

　　2.设计网站的标准色彩。网站给人的第一印象来自视觉冲击，确定网站的标准色彩是相当重要的一步。不同的色彩搭配产生不同的效果，并可能影响到访问者的情绪。

　　“标准色彩”是指能体现网站型象和延伸内涵的色彩。举个实际的例子就明白了：IBM的深蓝色，肯得基的红色条型，windows视窗标志上的红蓝黄绿色块，都使我们觉得很贴切，很和谐。如果将IBM改用绿色或金黄色，我们会有什么感觉？

　　一般来说，一个网站的标准色彩不超过3种，太多则让人眼花缭乱。标准色彩要用于网站的标志，标题，主菜单和主色块。给人以整体统一的感觉。至于其它色彩也可以使用，只是作为点缀和衬托，绝不能喧宾夺主。

　　一般来说，适合于网页标准色的颜色有：蓝色，黄/橙色，黑/灰/白色三大系列色。(注：关于色彩搭配的具体方法，我们会在本系列文章的第八篇介绍)。

　　3.设计网站的标准字体。和标准色彩一样，标准字体是指用于标志，标题，主菜单的特有字体。一般我们网页默认的字体是宋体。为了体现站点的“与众不同”和特有风格，我们可以根据需要选择一些特别字体。例如，为了体现专业可以使用粗仿宋体，体现设计精美可以用广告体，体现亲切随意可以用手写体等等。当然这些都是阿捷的个人看法，你可以根据自己网站所表达的内涵，选择更贴切的字体。目前常见的中文字体有二三十种，常见的英文字体有近百种，网络上还有许多专用英文艺术字体下载，要寻找一款满意的字体并不算困难:)

　　需要说明的是：使用非默认字体只能用图片的形式，因为很可能浏览者的PC里没有安装你的特别字体，那么您的辛苦设计制作便付之东流啦！

　　4.设计网站的宣传标语。也可以说是网站的精神，网站的目标。用一句话甚至一个词来高度概括。类似实际生活中的广告金句。例如：鹊巢的“味道好极了”；麦斯威尔的“好东西和好朋友一起分享”；Intel的“给你一个奔腾的心”。

　　以上四方面：标志，色彩，字体，标语，是一个网站树立CI形象的关键，确切的说是网站的表面文章，设计并完成这几步，你的网站将脱胎换骨，整体形象有一个提高。形象地说：你从一个土气的农民转变为一位西装革履的白领人士。(注意：我们只是以平面静态来设计CI,还没有引入声音，三维立体等因素。)

　　好了，看了以上的介绍，你应该对网站CI有了一个初步的概念。也许不是很明白，因为那些道理太抽象了，你可能需要一些实际的，更生动的例子。阿捷会在自己的主页上同时修改补充一些实例。下一节，我们来讨论“确定网站的栏目版块”，欢迎您参与，谢谢！

确定网站的栏目和版块

　　《设计的思考》系列文章，今天开始写第三篇。阿捷不是专业的网页设计师，但阿捷将尽自己所能把这个系列文章写好，尽可能将自己实践过程中总结的经验和心得告诉给大家，希望能给您一点收获，一点启发。文章中所列观点如有不同意见，欢迎您来信讨论，来信寄ajie@soim.com，谢谢。

　　我们在前二篇文章里学习了定位网站主题和确立网站的CI形象。下面是否该进入实质性的设计制作阶段呢？答案是：不能。经验告诉我们，建立一个网站好比写一篇文章，首先要拟好提纲，文章才能主题明确，层次清晰；也好比造一座高楼，首先要设计好框架图纸，才能使楼房结构合理。

　　初学者(包括我自己:-)，最容易犯的错误就是：确定题材后立刻开始制作。当你一页一页制作完毕后才发现：网站结构不清晰，目录庞杂，内容东一块西一块。结果不但浏览者看得糊涂，自己扩充和维护网站也相当困难，您的网站或许就此半途而废，更糟糕的是：你因此失去了制作主页的信心和兴趣！

　　所以，我们在动手制作网页前，一定要考虑好以下三方面：

　　1.确定栏目和版块；　　 2.确定网站的目录结构和链接结构　　 3.确定网站的整体风格创意设计

　　今天我们首先来讨论“确定网站的栏目和版块”。

　　网站的题材确定后，相信你已经收集和组织了许多相关的资料内容。你一定认为这些都是最好的，肯定能吸引网友们来浏览网站。但是你有没有将最好的，最吸引人的内容放在最突出的位置呢？有没有让好东西在版面分布上占绝对优势呢？

　　我看见许多个人主页的栏目(主菜单)并不是这样的。举个例子：有一个以提供动画素材为主题的站点，它的主栏目是：关于站长，本站导航，动画宝库，本站论坛，本站留言本，联系站长。首页上写着本站网址和版权申明(居然还有将本站设为首页字样)。最主要的，最吸引人的动画素材在主栏目里占1/6，在首页上一字没提。我想即使这个站点的确有大量的，精美的动画素材，也很难吸引浏览者继续挖掘。

　　栏目的实质是一个网站的大纲索引，索引应该将网站的主体明确显示出来。在制定栏目的时候，要仔细考虑，合理安排。一般的网站栏目安排要注意以下几方面：

　　1.一定记住要紧扣你的主题！

　　一般的做法是：将你的主题按一定的方法分类并将它们作为网站的主栏目。例如上面的例子，可以将栏目分为动物动画，标志动画，三维动画，卡通动画等，在首页上标明最近更新的动画。记住：主题栏目个数在总栏目中要占绝对优势，这样的网站显的专业，主题突出，容易给人留下深刻印象。

　　2.设一个最近更新或网站指南栏目

　　如果你的首页没有安排版面放置最近更新内容信息，就有必要设立一个“最近更新”的栏目。这样做是为了照顾常来的访客，让你的主页更有人性化。

　　如果你的主页内容庞大(超过15MB)，层次较多，而又没有站内的搜索引擎，建议您设置“本站指南”栏目。可以帮助初访者快速找到他们想要的内容。

　　3.设定一个可以双向交流的栏目

　　不需要很多，但一定要有。比如论坛，留言本，邮件列表等，可以让浏览者留下他们的信息。有调查表明，提供双向交流的站点比简单的留一个"Email me"的站点更具有亲和力。

　　4.设一个下载或常见问题回答栏目

　　网络的特点是信息共享。如果你看到一个站点有大量的优秀的有价值的资料，你肯定希望能一次性下载，而不是一页一页浏览存盘。“将心比心”在你自己的主页上设置一个资料下载栏目，会得到大家的喜欢。有些站点为了广告显示量，一篇文章还要分几页显示，我觉得迟早会因访问量下降而淘汰(个人意见:)。另外，如果您的站点经常收到网友关于某方面的问题来信，你最好设立一个常见问题回答的栏目，既方便了网友，也可以节约自己更多时间用以学习。

　　至于其他的辅助内容，如关于本站，版权信息等可以不放在主栏目里，以免冲淡主题。总结以上几点，我们得出划分栏目需要注意的是：

　　 ●尽可能删除与主题无关的栏目　　 ●尽可能将网站最有价值的内容列在栏目上　　 ●尽可能方便访问者的浏览和查询

　　上面说的是栏目，我们再看看版块设置。版块比栏目的概念要大一些，每个版块都有自己的栏目。举个例子：网易的站点分新闻，体育，财经，娱乐，教育等版块，每个版块下面有各有自己的主栏目。一般的个人站点内容少，只有主栏目(主菜单)就够了，不需要设置版块。如果你觉得的确有必要设置版块的，应该注意1.各版块要有相对独立性。2.各版块要有相互关联。3.版块的内容要围绕站点主题。关于版块方面，主要是门户站点等较大ICP需要考虑的问题，阿捷在此不再作展开讨论。

确定网站的目录结构和链接结构

　　上篇讲到：我们在动手制作网页前，一定要考虑好以下三方面：

　　1.确定栏目和版块；　　 2.确定网站的目录结构和链接结构　　 3.确定网站的整体风格创意设计　　 今天我们继续来讨论“确定网站的目录结构和链接结构”。

　　一.网站的目录结构

　　网站的目录是指你建立网站时创建的目录。例如：在用frontpage98建立网站时都默认建立了根目录和images子目录。目录的结构是一个容易忽略的问题，大多数站长都是未经规划，随意创建子目录。目录结构的好坏，对浏览者来说并没有什么太大的感觉，但是对于站点本身的上传维护，内容未来的扩充和移植有着重要的影响。下面是建立目录结构的一些建议：

　　●不要将所有文件都存放在根目录下。

　　有网友为了方便，将所有文件都放在根目录下。这样做造成的不利影响在于：

　　1.文件管理混乱。你常常搞不清哪些文件需要编辑和更新，哪些无用的文件可以删除，哪些是相关联的文件，影响工作效率。

　　2.上传速度慢。服务器一般都会为根目录建立一个文件索引。当您将所有文件都放在根目录下，那么即使你只上传更新一个文件，服务器也需要将所有文件再检索一遍，建立新的索引文件。很明显，文件量越大，等待的时间也将越长。所以，给您的建议是：尽可能减少根目录的文件存放数。

　　●按栏目内容建立子目录。

　　子目录的建立，首先按主菜单栏目建立。例如:网页教程类站点可以根据技术类别分别建立相应的目录，象Flash,Dhtml,Javascript等；企业站点可以按公司简介，产品介绍，价格，在线定单，反馈联系等建立相应目录。

其他的次要栏目，类似what's new，友情连接内容较多，需要经常更新的可以建立独立的子目录。而一些相关性强，不需要经常更新的栏目，例如：关于本站，关于站长，站点经历等可以合并放在一个统一目录下。

所有程序一般都存放在特定目录。例如：CGI程序放在cgi-bin目录。便于维护管理。所有需要下载的内容也最好放在一个目录下。

　　●在每个主目录下都建立独立的images目录。

　　默认的，一个站点根目录下都有一个images目录。刚开始学习主页制作时，阿捷习惯将所有图片都存放在这个目录里。可是后来发现很不方便，当我需要将某个主栏目打包供网友下载，或者将某个栏目删除时，图片的管理相当麻烦。经过实践发现：为每个主栏目建立一个独立的images目录是最方便管理的。而根目录下的images目录只是用来放首页和一些次要栏目的图片。

　　●目录的层次不要太深。

　　目录的层次建议不要超过3层。原因很简单，维护管理方便。

　　其它需要注意的还有：

　　1.不要使用中文目录；网络无国界，使用中文目录可能对网址的正确显示造成困难。

　　2.不要使用过长的目录；尽管服务器支持长文件名，但是太长的目录名不便于记忆。

　　3.尽量使用意义明确的目录；上面的例子中，你可以用Flash,Dhtml,Javascript来建立目录，也可以用1，2，3建立目录，但是哪一个更明确，更便于记忆和管理呢？显然是前者！

　　随着网页技术的不断发展，利用数据库或者其他后台程序自动生成网页越来越普遍，网站的目录结构也必将飞跃到一个新的结构层次。

　　二.网站的链接结构

　　网站的链接结构是指页面之间相互链接的拓扑结构。它建立在目录结构基础之上，但可以跨越目录。形象的说：每个页面都是一个固定点，链接则是在两个固定点之间的连线。一个点可以和一个点连接，也可以和多个点连接。更重要的是，这些点并不是分布在一个平面上，而是存在于一个立体的空间中。

　　●我们研究网站的链接结构的目的在于：用最少的链接，使得浏览最有效率。

　　一般的，建立网站的链接结构有两种基本方式：

　　1.树状链接结构（一对一）。类似DOS的目录结构，首页链接指向一级页面，一级页面链接指向二级页面。立体结构看起来就象蒲公英。这样的链接结构浏览时，一级级进入，一级级退出。优点是条理清晰，访问者明确知道自己在什么位置，不会"迷"路。缺点是浏览效率低，一个栏目下的子页面到另一个栏目下的子页面，必须绕经首页。

　　2.星状链接结构（一对多）。类似网络服务器的链接，每个页面相互之间都建立有链接。立体结构象东方明珠电视塔上的钢球。这种链接结构的优点是浏览方便，随时可以到达自己喜欢的页面。缺点是链接太多，容易使浏览者迷路，搞不清自己在什么位置，看了多少内容。

　　这两种基本结构都只是理想方式，在实际的网站设计中，总是将这两种结构混合起来使用。我们希望浏览者既可以方便快速的达到自己需要的页面，又可以清晰的知道自己的位置。所以，最好的办法是：

　　●首页和一级页面之间用星状链接结构，一级和二级页面之间用树状链接结构。

　　举个例子。一个新闻站点的页面结构如下：

---------------------------------------------------一级页面 二级页面 财经新闻页 -- [财经新闻1，财经新闻2...]/ |首页 -- 娱乐新闻页 -- [娱乐新闻1，娱乐新闻2...]\ |IT新闻页 -- [IT新闻1，IT新闻2...]----------------------------------------------------

　　其中，首页，财经新闻页，娱乐新闻页，IT新闻页之间是星状链接，可以互相点击，直接到达。而财经新闻页和它的子页面之间是树状连接，浏览财经新闻1后，你必须回到财经新闻页，才能浏览IT新闻2。所以,有站点为了免去返回一级页面的麻烦，将二级页面直接用新开窗口(POP up windows)打开，浏览结束后关闭即可。

　　注意：以上我们都是用的三级页面举例。如果您的站点内容庞大，分类明细，需要超过三级页面，那么建议你在页面里显示导航条，可以帮助浏览者明确自己所处的位置。就是您经常看到许多网站页面顶部的，类似这样：“您现在的位置是：首页->财经新闻->股市信息->深圳股->深发展”

　　关于链接结构的设计，在实际的网页制作中是非常重要一环。采用什么样的链接结构直接影响到版面的布局。例如你的主菜单放在什么位置，是否每页都需要放置，是否需要用分帧框架，是否需要加入返回首页的链接。在连接结构确定后，再开始考虑链接的效果和形式，是采用下拉表单，还是用DHTML动态菜单等等。

　　随着电子商务的推广，网站竞争的越来越激烈，对链接结构设计的要求已经不仅仅局限于可以方便快速的浏览，更加注重个性化和相关性。例如，一个爱婴主题网站里，在8个月婴儿的营养问题页面上，你需要加入8个月婴儿的健康问题链接，智力培养链接，或者是有关奶粉宣传的链接，一本图书，一个玩具的链接。因为父母不可能到每个栏目下去寻找关于8个月婴儿的信息，他们可能在找到需要的问题后就离开网站了。如何尽可能留住访问者，是网站设计者未来必须考虑的问题。

　　讲到这里，阿捷忽然觉得自己很厉害，居然会总结出这么大一套理论:)什么，皮厚?可能吧，这么多高手都没发言呢！有意见请来信ajie@soim.com

　　下次我们继续讨论“确定网站的整体风格创意设计”。

确定网站的整体风格和创意设计

　　网站的整体风格及其创意设计是站长们最希望掌握，也是最难以学习的。难就难在没有一个固定的程式可以参照和模仿。给你一个主题，任何两人都不可能设计出完全一样的网站。当我们说："这个站点很cool，很有个性！"那么，是什么让你觉得很cool呢？它到底和一般的网站有什么区别呢？本文试图用最简明的语言来说明：

　　1.风格是什么，如何树立网站风格？　　 2.创意是什么，如何产生创意？

　　●风格(style)是抽象的。是指站点的整体形象给浏览者的综合感受。

　　这个“整体形象”包括站点的CI（标志，色彩，字体，标语），版面布局，浏览方式，交互性，文字，语气，内容价值，存在意义，站点荣誉等等诸多因素。举个例子：我们觉得网易是平易近人的，迪斯尼是生动活泼的，IBM是专业严肃的。这些都是网站给人们留下的不同感受。

　　风格是独特的，是站点不同与其他网站的地方。或者色彩，或者技术，或者是交互方式，能让浏览者明确分辨出这是你的网站独有的。例如新世纪网络(www.century.2000c.net)的黑白色,网易壁纸站的特有框架,即使你只看到其中一页，也可以分辨出是哪个网站的。

　　风格是有人性的。通过网站的外表，内容，文字，交流可以概括出一个站点的个性，情绪。是温文儒雅，是执著热情，是活泼易变,是放任不羁。象诗词中的“豪放派”和“婉约派”，你可以用人的性格来比喻站点。

　　有风格的网站与普通网站的区别在于：普通网站你看到的只是堆砌在一起的信息，你只能用理性的感受来描述，比如信息量大小，浏览速度快慢。但你浏览过有风格的网站后你能有更深一层的感性认识，比如站点有品位，和蔼可亲，是老师，是朋友。

　　看了以上描述，你可能对风格是什么可能依然模糊。其实风格就是一句话：与众不同！

　　如何树立网站风格呢？我们可以分这样几个步骤：

　　第一，确信风格是建立在有价值内容之上的。一个网站有风格而没有内容，就好比绣花枕头一包草，好比一个性格傲慢但却目不识丁的人。你首先必须保证内容的质量和价值性。这是最基本的，无须置疑。

　　第二，你需要彻底搞清楚自己希望站点给人的印象是什么。可以从这几方面来理清思路：

　　1.如果只用一句话来描述你的站点，应该是:_____________

　　参考答案：　　 有创意，专业，有(技术)实力，有美感，有冲击力

　　2.想到你的站点，可以联想到的色彩是：________________

　　参考答案：　　 热情的红色，幻想的天兰色，聪明的金黄色

　　3.想到你的站点，可以联想到的画面是：________________

　　参考答案：　　 一份早报，一辆法拉利跑车，人群拥挤的广场，杂货店

　　4.如果网站是一个人，他拥有的个性是：________________

　　参考答案：　　 思想成熟的中年人，狂野奔放的牛仔，自信憨厚的创业者

　　5.作为站长，你希望给人的印象是：____________________

　　参考答案：　　 敬业，认真投入，有深度，负责，纯真，直爽，淑女

　　6.用一种动物来比喻，你的网站最象：__________________

　　参考答案：　　 猫(神秘高贵)，鹰(目光锐利)，兔子(聪明敏感)，狮子(自信威信)

　　7.浏览者觉得你和其他网站的不同是：__________________

　　参考答案：　　 可以信赖，信息最快，交流方便，

　　8.浏览者和你交流合作的感受是：______________________

　　参考答案：　　 师生，同事，朋友，长幼。

　　你可以自己先填写一份答案，然后让其他网友填写。比较后的结果会告诉你：你网站现在的差距，弱点及需要改进的地方。

　　第三，在明确自己的网站印象后，开始努力建立和加强这种印象。

　　经过第二步印象的的"量化"后，你需要进一步找出其中最有特色特点的东西，就是最能体现网站风格的东西。并以它作为网站的特色加以重点强化，宣传。例如：再次审查网站名称，域名，栏目名称是否符合这种个性，是否易记。审查网站标准色彩是否容易联想到这种特色，是否能体现网站的性格等等。具体的做法，没有定式。我这里提供一些参考：

　　1.将你的标志logo,尽可能的出现在每个页面上。或者页眉，或者页脚，或则背景。

　　2.突出你的标准色彩。文字的链接色彩，图片的主色彩，背景色，边框等色彩尽量使用与标准色彩一致的色彩。

　　3.突出你的标准字体。在关键的标题，菜单，图片里使用统一的标准字体。

　　4.想一条朗朗上口宣传标语。把它做在你的banner里，或者放在醒目的位置，告诉大家你的网站的特色是...

　　5.使用统一的语气和人称。即使是多个人合作维护，也要让读者觉得是同一个人写的。

　　6.使用统一的图片处理效果。比如，阴影效果的方向，厚度，模糊度都必须一样。

　　7.创造一个你的站点特有的符号或图标。比如在一句链接前的一个点，可以使用,.。☆※○◇□△→（区位码里自己参看）等等。虽然很简单的一个变化，却给人与众不同的感觉，(为什么我没有想到呢？)

　　8.用自己设计的花边，线条，点

　　9.展示你网站的荣誉和成功作品。

　　10.告诉网友关于你的真实的故事和想法。

　　风格的形成不是一次定位的，你可以在实践中不断强化，调整，修饰，直到有一天，网友们写信告诉你："我喜欢你的站点，因为它很有风格！"

　　● 创意(idea)是网站生存的关键。这一点相信大家都已经认同。然而作为网页设计师，最苦恼的就是没有好的创意来源。

　　注意，这里说的创意是指站点的整体创意，(因为这个创意而产生这个站点，或者相同的内容，推出的创意不同),网页的平面设计创意我将在后面的版面布局窍门里介绍。

　　创意到底是什么，如何产生创意呢？

　　创意是引人入胜，精彩万分，出奇不意的；　　 创意是捕捉出来的点子，是创作出来的奇招....　　 这些讲法都说出了创意的一些特点，实质上，

　　创意是传达信息的一种特别方式。

　　比如Webdesigner(网页设计师)，我们将其中的E字母大写一下: wEbdEsigEr，感觉怎么样，这其实就是一种创意！

　　创意并不是天才者的灵感，而是思考的结果。根据美国广告学教授詹姆斯的研究，创意思考的过程分五阶段

　　1.准备期--研究所搜集的资料，根据旧经验，启发新创意；　　 2.孵化期--将资料咀嚼消化，使意识自由发展，任意结合；　　 3.启示期--意识发展并结合，产生创意；　　 4.验证期--将产生的创意讨论修正；　　 5.形成期--设计制作网页，将创意具体化。

　　创意是将现有的要素重新组合。

　　比如，网络与电话结合，产生IP电话。从这一点上出发，任何人，包括你和我，都可以创造出不同凡响的创意。而且，资料越丰富，越容易产生创意。就好比万花筒，筒内的玻璃片越多，所呈现的图案越多。你如果有心可以发现，网络上的最多的创意来自与现实生活的结合(或者虚拟现实)，例如在线书店，电子社区，在线拍卖。你是否想到了一种更好的创意呢？

　　创意思考的途径最常用的是联想，这里提供了网站创意的25种联想线索：

　　1.把它颠倒 2.把它缩小 3.把颜色换一下 4.使它更长　　 5.使它闪动 6.把它放进音乐里 7.结合文字音乐图画 8.使它成为年轻的　　 9.使它重复 10.使它变成立体 11.参加竞赛 12.参加打赌　　 13.变更一部分 14.分裂它 15.使它罗曼蒂克 16.使它速度加快　　 17.增加香味 18.使它看起来流行 19.使它对称 20.将它向儿童诉求　　 21.价格更低 22.给它起个绰号 23.把它打包 24.免费提供　　 25.以上各项延伸组合　　 -------------(转载自樊志育《广告制作》)

　　需要一提的是：创意的目的是更好的宣传推广网站。如果创意很好，却对网站发展毫无意义，好比给奶牛穿高跟鞋，那么，我们宁可放弃这个创意！

　　关于风格和创意，可以讲得还有许多。感兴趣的网友可以自己找一些广告设计方面的书阅读。希望本文能帮助您对网站的设计有一个更新的认识和提高。谢谢！

如何测试局域网的网速及数据吞吐量

网络管理员最常遇到的问题就是网络连接问题，也许公司员工的计算机无法上网那么我们可以通过简单的几步就检测到问题所在，但有一种网络连接问题却让我们无所适从，那就是员工反映网络速度缓慢。
因为决定网络速度的因素很多，不可能通过简单的操作检测出速度的大小。作为一名合格的网络管理员，我们需要专业的工具来测量网络带宽以及数 据的吞吐量，今天就为大家介绍专业评测工具CHARIOT的简单使用方法。
网络速度慢最直接的原因就是带宽不足或者线路有问题，我们可以通过CHARIOT测量网络中任意两台计算机之间的连通带宽，并且该软件还可以将测量结果以图形的形式表现出来，更方便我们比较和浏览。当然要想成功测量带宽吞吐量的前提是需要这两台计算机之间 有路由指引数据包的传送方向。
一.CHARIOT简介：
CHARIOT是目前世界上唯一认可的应用层IP网络及网络设备的测试软件，可提供端到端，多操作系统，多协议测试，多应用模拟测试，其应用范围包括有线，无线，局域，广域网络及网络设备；可以进行网络故障定位，用户投诉分析，系统评估，网络优化等。从用 户角度测试网络或网络参数（吞吐量，反应时间，延时，抖动，丢包等）。
二.CHARIOT工作原理：
CHARIOT和一般的网管系统及一些在线监测系统有本质上的不同。网管系统及一些在线监测系统采取被动式监视，而CHARIOT采用主动式监视及测量；网管系统及一些在线监测系统提供定性的测量，而CHARIOT采取定量的测量。
CHARIOT测试原理是通过产生模拟真实的流量，采用End to End的方法测试网络设备或网络系统在真实环境中的性能。能够广泛应用在SWITCH，ROUTER，WIRELESS，QoS，MULTICASTING及网络等方面的功能和性能测试。
CHARIOT的基本组成包括CHARIOT控制台和Endpoint.其中CHARIOT控制台可以运行于Microsoft的各种Windows平台。在CHARIOT控制台上可以定义各种可能的测试拓扑结构和测试业务类型。Endpoint可以运行在几乎目前流行的所有操作系统上。CHARIOT Endpoint能够充分利用运行主机的资源，执行CHARIOT控制台发布的Script命令，从而完成需要的测试。
三.CHARIOT的功能：
CHARIOT能提供多达10000个并发连接，能更好的模拟真实环境对设备及网络进行全面的测量。CHARIOT能够评估网络应用的性能和容量，对网络和设备进行压力测试。CHARIOT作为压力、故障定位、评估设备及网络应用层性能的测试软件，是维护 健康、快速、可靠网络和研发生产高性能网络设备所需的可靠工具。CHARIOT同时也可以作为网络设备和网络本身的一个在线测试工具，提供主动式网络在线性能分析及监视。
另外CHARIOT内置了超过120个业务脚本，如FTP，HTTP，IPTV，Netmeeting，RealAudio等，可以方便我们应用于不同的环境。他还支持IP TOS，GQoS，DiffServ，组播及VOIP等业务。在测试时CHARIOT可以将单个主机模拟成超过2000个主机，这样测量结果更具权威性。
小提示：
CHARIOT可提供定量在线网络性能分析，一些评测机构采用该软件对客户的网络系统提供网络性能评估服务。他的兼容性很好支持多种操作系统。并且CHARIOT的评测是根据一个个的脚本来实现的，因此用户可以编写自己的脚本满足实际要求，编写起来难度也 不是很大。
四.实际应用：
我们将通过几个实例为大家介绍CHARIOT 5.0的使用。通过CHARIOT我们可以测量出网络中任意两个节点之间的真实的最大带宽，这样就不会被ISP欺骗花高价钱享受低带宽了。
实例1：测量网络中任意两个节点的带宽：
任务描述：
经常有人反映网络速度缓慢，那么怎样确定网络间带宽是多少呢？SNIFFER只能抓包不能给出实际带宽，这时候就需要CHARIOT来帮忙了。我们假定要测量网络中A计算机10.91.30.45与B计算机10.91.30.42之间的实际带宽。
实现方法：
第一步：首先在AB计算机上运行CHARIOT的客户端软件ENDPOINT.双击endpoint.exe出现图2所示，确定后你会发现任务管理器中多了一个名为endpoint的进程。
第二步：被测量的机器已经就绪了，这时候就需要运行控制端CHARIOT了，我们可以选择网络中的其他计算机也可以在A或B计算机上直接运行CHARIOT。
第三步：主界面中点NEW按钮，弹出的界面中点上方一排按钮的ADD PAIR。
第四步：在ADD AN ENDPOINT PAIR窗口中输入PAIR名称，然后在ENDPOINT1处输入A计算机的IP地址10.91.30.45，在ENDPOINT2处输入B计算机的IP地址10.91.30.42.按select script按钮并选择一个脚本，由于我们是测量带宽所以选择软件内置的Throughput.scr脚本。
小提示：
CHARIOT可以测量包括TCP，UDP，SPX在内的多种网络传输层协议，我们在测量带宽时选择默认的TCP即可。
第五步：确定后我们点主菜单的RUN启动测量工作，当然直接点上面一排里的RUN按钮也是可以的。
第六步：之后软件会测试100个数据包从A计算机发送到B计算机。由于软件默认的传输数据包很小所以很快测量工作就结束了。在结果中我们点THROUGHPUT标签可以查看具体测量的带宽大小。如图6显示了A与B计算机之间的实际最大带宽为83.6Mbp s.
小提示：
由于交换机和网线的损耗，往往真实带宽达不到100Mbps，所以本例得到的83.6Mbps基本可以说明AB计算机之间的最大带宽为100Mbps，去除损耗可以达到80多Mbps的传输速度。
总结：
本文介绍了CHARIOT的基本功能和工作原理并带着大家完成了一个最简单的带宽吞吐量测量例子，当然CHARIOT功能是强大的，很多技巧可以帮助我们测量得更加准确更加具有权威性。

CNN:Users rage against China's 'Great Firewall'

POSTED: 7:48 p.m. EDT, June 19, 2007

BEIJING, China (Reuters) -- Yang Zhou is no cyberdissident, but recent curbs on his Web surfing habits by China's censors have him fomenting discontent about China's "Great Firewall."

Yang's fury erupted a few days ago when he found he could not browse his friend's holiday snaps on Flickr.com, due to access restrictions by censors after images of the 1989 Tiananmen Square massacre were posted on the photo-sharing Web site.

"Once you've complained all you can to your friends, what more can you do? What else is there but anger and disillusionment?" Yang said after venting his anger with friends at a hot-pot restaurant in Beijing.

The blocking of Flickr is the latest casualty of China's ongoing battle to control its sprawling Internet. Wikipedia and a raft of other popular Web sites, discussion boards and blogs have already fallen victim to the country's censors.

China employs a complex system of filters and an army of tens of thousands of human monitors to survey the country's 140 million Internet users' surfing habits and surgically clip sensitive content from in front of their eyes.

Its stability-obsessed government says the surveillance machinery, commonly known as the "Great Firewall," is necessary to let Internet users enjoy a "healthy" online environment and build a "harmonious" society.

Yang just thinks it's a pain.

"I just want to look at some photos! What's wrong with that?" said the 24-year-old accountant, typical of millions of young urban-dwelling professionals who are increasingly aware of and fed up with state intrusions into their private life.

Privacy, once regarded with suspicion in pre-reform China, has become a sought-after commodity among China's burgeoning middle class, according to Nicholas Bequelin from Hong Kong-based Human Rights Watch.

"Of course, it's the first thing people seek when they have the economic resources," Bequelin said. "We see this growing in China in the wake of ideas of ownership and property."

Away from cyberspace, the battle for privacy between China's secretive government and its increasingly active citizens has turned violent in recent months.

In Bobai county, in the southern region of Guangxi, hundreds of farmers smashed government offices and burnt cars after local officials imposed punitive fines on residents who had defied family planning laws and had too many children.

The battle for control of China's Internet, however, will remain much more covert than confrontational, according to Liu Bin, an IT consultant with Beijing-based consulting firm BDA.

He believes it will take a long time before the government loosens control over Web content, especially because the Internet-savvy middle class is unlikely to take to the streets -- like the farmers of Bobai county -- over lack of Web access.

"Many educated people feel they can accept the current status quo because it doesn't have much impact on their daily lives ... They have been living with government propaganda for over 1,000 years," Liu said.

Such an attitude grates on Du Dongjin, a 40-year-old IT worker in Shanghai.

Du has decided to sue his Internet service provider, the Shanghai branch of state-owned behemoth China Telecom, who he said had blocked a Web site that had carried financial software he hoped to market.

"If the court authorities aren't influenced and they can hear the case fairly, I will win," Du said.

Most frustrated Web surfers, however, would rather air their grievances in the relatively safe realms of Internet anonymity.

They still have their anonymity because a state push to have China's millions of bloggers register with their real names to ensure they only posted "responsible" Web content was abandoned after an outcry from the Internet industry and due to the impossible task of keeping lists of exploding numbers of users.

"The thirst for information in China is so strong, it is very difficult for the (Communist) Party to stay ahead of the curve," Bequelin explained.

Within days of the blocking of Flickr, links to browser plug-ins and how-to explanations to subvert the filters and see Flickr photos were gleefully posted on blogs and in chat-rooms.

Many posts were preceded by tirades against the censors for "harmonising" Flickr.

One blogger posted an image of a voodoo doll, calling it the Great Firewall and inviting users to -- digitally -- stick pins in it.

Yang said restrictions on Flickr probably wouldn't motivate him to write a blog, much less push him down the road of "potentially dangerous" activism.

But he liked the idea of the Great Firewall voodoo doll.

"Have you got the link? Maybe I'll go stick a pin in it," he said.

Div+CSS布局 网站设计的优点

业界越来越关注DIV+CSS的标准化设计，大到各大门户网站，小到不计其数的个人网站，在Div+CSS标准化的影响下，网页设计人员已经把这一要求作为行业标准。那么什么是Div+CSS标准？Div+CSS的标准化设计到底有什么好处？

Div 全称 division 意为“区分”使用 DIV 的方法跟使用其他 tag 的方法一样。

Very excellent webmaster club www.163.com

如果单独使用 DIV 而不加任何 CSS, 那么它在网页中的效果和使用

是一样的。
DIV本身就是容器性质的,你不但可以内嵌table还可以内嵌文本和其它的HTML代码

CSS 是Cascading style Sheets的简称，中文译作“层叠样式表单”，在主页制作时采用CSS技术，可以有效地对页面的布局、字体、颜色、背景和其它效果实现更加精确的控制。只要对相应的代码做一些简单的修改，就可以改变同一页面的不同部分，或者页数不同的网页的外观和格式。网上冲浪无论你用Internet Explorer还是Netscape Navigator，几乎随时都在与CSS打交道，在网上没有使用过CSS的网页可能不好找。不管你用什么工具软件制作网页，都有在有意无意地使用CSS。用好CSS能使你的网页更加简炼，同样内容的网页，有的人做出来有几十KB，而高手做出来只有十几KB。

Div+CSS标准的优点:

1.大大缩减页面代码，提高页面浏览速度,缩减带宽成本;
2.结构清晰，容易被搜索引擎搜索到，天生优化了seo
3.缩短改版时间。只要简单的修改几个CSS文件就可以重新设计一个有成百上千页面的站点。
4.强大的字体控制和排版能力。CSS控制字体的能力比糟糕的FONT标签好多了，有了CSS，我们不再需要用FONT标签或者透明的1 px GIF图片来控制标题，改变字体颜色，字体样式等等。
5.CSS非常容易编写。你可以象写html代码一样轻松地编写CSS。
6.提高易用性。使用CSS可以结构化HTML，例如：

标签只用来控制段落，heading标签只用来控制标题，table标签只用来表现格式化的数据等等。你可以增加更多的用户而不需要建立独立的版本。
7.可以一次设计，随处发布。你的设计不仅仅用于web浏览器，也可以发布在其他设备上，比如PowerPoint。
8.更好的控制页面布局。不用多说。
9.表现和内容相分离。将设计部分剥离出来放在一个独立样式文件中，你可以减少未来网页无效的可能。
10.更方便搜索引擎的搜索。用只包含结构化内容的HTML代替嵌套的标签，搜索引擎将更有效地搜索到你的内容，并可能给你一个较高的评价(ranking)。
11.Table 布局灵活性不大，你只能遵循 table tr td 的格式。而div 你可以 div ul li 也可以 ol li 还可以 ul li ……但标准语法最好有序的写。
12.另外如果你不是javascrput的高手，你可以不必去写ID，只用class就可以。当客户端程序员写完程序，需要调整时候，你可以在利用他的ID进行控制。
13.Table 中布局中，垃圾代码会很多，一些修饰的样式及布局的代码混合一起，很不利于直观。而Div 更能体现样式和结构相分离，结构的重构性强。
14.在几乎所有的浏览器上都可以使用。
15.以前一些非得通过图片转换实现的功能，现在只要用CSS就可以轻松实现，从而更快地下载页面。
16.使页面的字体变得更漂亮，更容易编排，使页面真正赏心悦目。
17.你可以轻松地控制页面的布局 。
18.你可以将许多网页的风格格式同时更新，不用再一页一页地更新了。你可以将站点上所有的网页风格都使用一个CSS文件进行控制，只要修改这个CSS文件中相应的行，那么整个站点的所有页面都会随之发生变动。

必须学会的几种网络测试方法

了解和掌握下面几个命令将会有助于您更快地检测到网络故障所在，从而节省时间，提高效率。

ping

ping是测试网络联接状况以及信息包发送和接收状况非常有用的工具，是网络测试最
常用的命令。ping向目标主机(地址)发送一个回送请求数据包，要求目标主机收到请求后给予答复，从而判断网络的响应时间和本机是否与目标主机(地址)联通。

如果执行ping不成功，则可以预测故障出现在以下几个方面：网线故障，网络适配器配置不正确，ip地址不正确。如果执行ping成功而网络仍无法使用，那么问题很可能出在网络系统的软件配置方面，ping成功只能保证本机与目标主机间存在一条连通的物理路径。

命令格式：

ping ip地址或主机名 [-t] [-a] [-n count] [-l size]

参数含义：

-t不停地向目标主机发送数据；

-a 以ip地址格式来显示目标主机的网络地址；

-n count 指定要ping多少次，具体次数由count来指定；

-l size 指定发送到目标主机的数据包的大小。

例如当您的机器不能访问internet，首先您想确认是否是本地局域网的故障。假定局域网的代理服务器ip地址为202.168.0.1，您可以使用ping避免202.168.0.1命令查看本机是否和代理服务器联通。又如，测试本机的网卡是否正确安装的常用命令是ping 127.0.0.1。

tracert

tracert命令用来显示数据包到达目标主机所经过的路径，并显示到达每个节点的时间。命令功能同ping类似，但它所获得的信息要比ping命令详细得多，它把数据包所走的全部路径、节点的ip以及花费的时间都显示出来。该命令比较适用于大型网络。

命令格式：

tracert ip地址或主机名 [-d][-h maximumhops][-j host_list] [-w timeout]

参数含义：

-d 不解析目标主机的名字；

-h maximum_hops 指定搜索到目标地址的最大跳跃数；

-j host_list 按照主机列表中的地址释放源路由；

-w timeout 指定超时时间间隔，程序默认的时间单位是毫秒。

例如大家想要了解自己的计算机与目标主机www.cce.com.cn之间详细的传输路径信息，可以在ms-dos方式输入tracert

如果我们在tracert命令后面加上一些参数，还可以检测到其他更详细的信息，例如使用参数-d，可以指定程序在跟踪主机的路径信息时，同时也解析目标主机的域名。

netstat

netstat命令可以帮助网络管理员了解网络的整体使用情况。它可以显示当前正在活动的网络连接的详细信息，例如显示网络连接、路由表和网络接口信息，可以统计目前总共有哪些网络连接正在运行。

利用命令参数，命令可以显示所有协议的使用状态，这些协议包括tcp协议、udp协议以及ip协议等，另外还可以选择特定的协议并查看其具体信息，还能显示所有主机的端口号以及当前主机的详细路由信息。

命令格式：

netstat [-r] [-s] [-n] [-a]

参数含义：

-r 显示本机路由表的内容；

-s 显示每个协议的使用状态(包括tcp协议、udp协议、ip协议)；

-n 以数字表格形式显示地址和端口；

-a 显示所有主机的端口号。

winipcfg

winipcfg命令以窗口的形式显示ip协议的具体配置信息，命令可以显示网络适配器的物理地址、主机的ip地址、子网掩码以及默认网关等，还可以查看主机名、dns服务器、节点类型等相关信息。其中网络适配器的物理地址在检测网络错误时非常有用。

命令格式：

winipcfg [/?] [/all]

参数含义：

/all 显示所有的有关ip地址的配置信息；

/batch [file] 将命令结果写入指定文件；

/renew_ all 重试所有网络适配器；

/release_all 释放所有网络适配器；

/renew n 复位网络适配器 n；

/release n 释放网络适配器 n。

在microsoft的windows 95及其以后的操作系统中，都可以运行以上命令。

常用电脑密码破解技巧

·CMOS密码破解

　　网管员在维护和使用电脑时，经常会遇到各种密码丢失的问题，这里，我们就为广大网管员准备了一些破解密码的方法，但是希望大家不要干坏事哦。开机密码是我们最先要遇到的因此我们就先从CMOS密码破解讲起。虽然CMOS种类各异，但它们的加密方法却基本一致。一般破解的方法主要从“硬”和“软”两个方面来进行。

　　一、CMOS密码破解

　　使用电脑，首先需要开机。因此开机密码是我们最先要遇到的。虽然CMOS种类各异，但它们的加密方法却基本一致。一般破解的方法主要从“硬”和“软”两个方面来进行。

　　1.“硬”解除方法

　　硬件方法解除CMOS密码原理是将主板上的CMOSRAM进行放电处理，使存储在CMOSRAM中的参数得不到正常的供电导致内容丢失，从而起到解除CMOS密码的目的。一些报刊对如何破解CMOS密码的通常做法，如跳线短接法和电池短接法已有较多介绍，操作起来也十分方便。但我们这里要介绍的是个另类技巧，这也是一些电脑DIY们很喜欢用的方法。方法也很简单：打开机箱，将硬盘或光驱、软驱的数据线从主板上拔掉，然后再启动计算机，BIOS会在自检时报告错误并自动进入CMOS，此时就可以重新设置BIOS内容了。

　　2.“软”解除方法

　　严格地说，“软”解除CMOS密码没有“硬”解除方法那么彻底，但也十分奏效。CMOS密码根据需要，可设为普通级用户密码和超级用户级密码两种。前者只是限制对BIOS的修改，可以正常启动电脑和运行各类软件，而后者则对进入电脑和BIOS完全禁止。

　　1） 破解普通用户密码

　　首先用DOS启动盘启动电脑，进入DOS状态，在DOS命令行输入debug回车，然后用所列的其中任何一种方法的数据解除CMOS密码，重新启动电脑，系统会告诉你CMOS参数丢失，要求你重新设定CMOS参数。经过试验，这是一种很有效的方法。“-”后面的字母“O”，表示数值输出的地址，70和10都是数值。

　　2） 破解超级用户密码

　　这里我们需借助外部工具。我们选用最为经典的BiosPwds，是一款免费软件，比较适合对DOS不太熟悉的电脑用户，很久以前就为人们所熟知，只要轻轻一点，就会将用户的CMOS密码显示出来。工具最新版本1.21，127KB，免费下载地址：http：//bj2.onlinedown.net/soft/8107.htm。下载解压后，双击该软件的执行文件，在出现的界面中点击“Getpasswords”按钮，稍等二、三秒即会将BIOS各项信息显示于BiosPwds的界面上，包括：Bios版本、Bios日期、使用密码等，这时你便可以很轻松地得知BIOS密码。

·破解系统密码

　　二、破解系统密码

　　系统密码是你登录到操作系统时所使用到的密码，它为你的计算机提供了一种安全保护，可以使你的计算机免受非法用户的使用，从而保障电脑和机密数据的安全。

　　1. Windows98/ME的系统登录密码

　　① 取消法

　　最简单的一种方法是在系统登录要求输入密码时，你什么也不用输入，直接点击取消，可以进入操作系统。但用此种方法只能访问本机的资源，如果计算机是局域网的一部分，你将不能访问网络资源。

　　② 新增使用者

　　当你由于密码问题被挡在系统之外时，不妨为系统再新增一个使用者，然后重新登录，一样可以登录系统并访问系统或网络资源。单击“开始”/“设置”/“控制面板”，然后双击“用户”，打开“用户属性”对话框。接着，根据提示依次输入“用户名”、“密码”、“个性化项目设置”中所需的内容，最后单击“完成”。

　　③ 删除"PWL"文件

　　删除Windows安装目录下的.PWL密码文件和Profiles子目录下的所有个人信息文件，然后重新启动Windows，系统就会弹出一个不包含任何用户名的密码设置框，我们无需输入任何内容，直接点击"确定"按钮，Windows密码即被删除。

　　④ 修改注册表

　　运行注册表编辑器，打开注册表数据库"HKEY＿LOCAL＿MACHINE＼Network＼Logon"分支下的"username"修改为"0"，然后重新启动系统，也可达到去掉密码的目的。

　　2. 破解WindowsNT密码

　　如果你有普通用户账号，有一个很简单的方法获取NTAdministrator账号：先把c：＼winntsystem32下的logon.scr改名为logon.old备份，然后把usrmgr.exe改名为logon.scr再重新启动。logon.scr是系统启动时加载的程序，重新启动后，不会出现以往的登录密码输入界面，而是用户管理器，这时你就有权限把自己加到Administrator组。

　　3. Windows2000密码

　　启动盘启动电脑或引导进入另一操作系统（如Windows98），找到文件夹"X：＼DocumentsandSettings＼Administrator"（X为Windows2000所在磁盘的盘符），将此文件夹下的"Cookies"文件夹删除，然后重新启动电脑，即可以空密码快速登录Windows2000。

　　4. 破解WindowsXP的密码

　　在启动WindowsXP时按F8键选择带命令行的安全模式，使用net命令可以对用户身份进行操作。具体步骤如下：使用命令"netuserabcd/add"添加一名为abcd的用户，使用命令"netlocalgroupadministratorsabcd/add"将用户abcd提升为管理员，重新启动电脑，用abcd身份登录，最后对遗忘密码的用户进行密码修改即可。

·破解常用软件密码

　　三、破解几个常用软件密码

　　目前，更多的用户懂得了利用电脑软件对自己的一些储存在电脑中的信息进行加密操作，使无权阅读的人无法轻松打开这些重要资料。下面就让我们一块看一下几个常用软件密码的解除：

　　1. 破解WPS系列密码

　　如果你是合法用户，在忘却密码时，启动WPS程序，点击“文件”/“密码设置”菜单，在出现的密码设置对话框中可以看到原密码会自动以“”号的方式出现在“密码”文本框中，点击“清除”按钮，再在随后出现的提示框中点击“确认”按钮，该加密文件的密码已经被清除了。以后再次打开该文件就不再需要输入密码了。如果你不是合法用户就只能借助有关工具进行破解。现在破解WPS密码的软件很多，但论其功能强大，破解速度快就要数国产的Edward＇sWPS2000PasswordRecovery了。该工具破解WPS密码采用的是破解密码的常见的方法———穷举法。使用步骤如下：首先，在程序界面中的“EncryptedWPS2000file”的文本框中通过右侧的“浏览”按钮加入需破解的WPS加密文件；然后选择密码破解方法，该软件有以下几种密码破解方式：Brute-force（强力攻击）、Dictionary（字典攻击）、mask（掩码搜索）等等，一般选用“Brute-force”（强力破解）法；接着在“Brute—forceRangeOptions”列表框中选择破解密码可能包含的密码范围，例如：大小写字母、数字、是否有空格、特殊字符等；此外还要指定密码长度，如6位或更长；最后，当上述几项设置完毕后，请点击"RUN"选项，密码很快得以破解。

　　2. 破解Word文档密码

　　可能是微软的Office太引人注目了，针对它的破解软件非常多。下面先让我们来看看如何破解它的文档密码。我们选用一款国产的软件“97/2000/XP密码查看器”，这是一款仅有29KB大小的微型简体中文的Word密码解除软件。此软件无需安装，双击可执行文件即可。该工具可以破解Win dows9X/NT/2000/XP全系列的文档密码，可以查找最多13位的密码（未注册版只支持3位），使用“字典式”穷举法破解。使用时在程序中点击“文件”/“打开”命令加入需破解文档；在“任务属性”中设置密码类型，建议将几个选项全部选中；填写密码长度；点击“确定”返回主界面，选择"操作"/"开始破解命令即可进行密码破解。

　　3. 破解Excel文档

　　我们选用一个叫AdvancedExcel97PasswordRecovery的工具，614K，最近版本1.01，它可以迅速破解Excel文件的密码。AdvancedExcel97PasswordRecovery下载后需要安装，安装完毕后打开其程序主界面，通过浏览按钮打开需要解密的电子表格文档，选择密码长度，设置密码类型，最后点击蓝色的开始破解按钮，稍等片刻会弹出文档密码已被破解的提示菜单。

　　4.破解QQ密码

　　我们使用一个叫“OICQ密码终结者”的工具。使用步骤如下：首先要设置你的OICQ的安装目录；接着选择搜索用的字符集，例如选上图中小写字母的字符集，就选中小写字母前的复选框或将"基本设置"下面的所有方框全部选中；然后设置搜索密码的位数，建议不要太长，例如8位，那就需要很长时间，不知你有没有耐心；最后单击"开始"按钮即可进行OICQ的密码破解。据网上高手称Oicqpassovcr的穷举速度可以达到每秒钟数千次，如果你想破解的QQ密码只是4-5位的话，我想在几分钟之内Oicqpassover就可以破解密码了。

·破解网络密码

　　四、破解网络密码

　　网络正悄然而迅速地走进我们的日常生活。但作为普通的网络用户，人们都有一种共同的忧虑，就是网络的安全隐患。于是不得不对个人网络活动采取有效的保护措施——加上各种密码。但这些密码一旦遗忘，成为我们进行工作的大碍。下面是一些有关网络密码的破解技巧。

　　1. 破解上网账号与密码

　　作为日常上网的桥梁，我们每个人都需要在上网时进行上网账号与密码的设置，这样才能登录网络。利用一些工具软件获得账号并不是很难的事情，甚至可以说是一件轻而易举的事情。这里我们借助一个叫GetIP的工具，这是个由国人刘骥设计开发的“口令密码”识别软件。GetIP能够帮助我们将那些代表口令的密码“***”号还原成真实的口令。如果你需要该软件，可到作者的主页http：//brain.zb169.net/免费下载。GetIP使用十分简单，运行GetIP.exe可执行文件，出现程序界面，将鼠标指向“点击（放大镜）处并拖动”，用鼠标拖着移动到想要得知的密码处，真实的密码口令就会立即反应到"文本"框中。

　　2. 破解IE分级审查密码

　　IE浏览器提供了分级审查功能，它可以在用户的设置下对某些网页进行过滤，只有知道分级审查功能密码的用户才能查看相关网页的信息。如果遗忘了分级审查功能的密码，不但不能访问受到限制的站点，而且不能更改已有的限制级别，重装IE也没有用，怎么办？启动注册表编辑器，找到“HKEY＿LOCAL＿MACHINE＼SOFTWARE＼Microsoft＼Windows＼CurrentVersion＼policies＼Ratings”子键，找到一个名叫"KEY"的键值项，它就是用户设置IE分级审查口令（数据已经加密），用户只需删除该键值就可以取消分级审查口令，然后重新设置IE分级审查密码即可。

　　3. 破解OE密码

　　在OE程序中有三种密码：邮箱密码、新闻组密码和用户身份确认密码。下面我们以一个叫“密码截取”（3.1特别版）的软件，可运行于WIN9X/2000/NT/XP，110KB，可到http：//gaoasp.diy.163.com/处下载。软件可以用于破解Web的邮箱密码、POP3收信密码、FTP登录密码，并将密码显示、保存，或发送到用户指定的邮箱。密码截取过程：密码截取软件将截取到的密码输入框中的密码（如拨号连接、OICQ、IE中的密码），以密码明文形式保存在用户自定义的文件中（缺省为c：＼password.txt），如果没有截取到密码，密码文件将不存在。同时可以将获取到的密码发送到用户指定的邮箱中。密码截取2.8支持的操作系统：Windows9X/NT/2000。该软件不需安装，下载并解压后，直接双击getpassword.exe运行，点击图中的"邮件设置"选项，设置将截取到的密码发向指定信箱，接着点击"密码文件"选项，设置将截取到的密码保存在本机的c：＼password.txt中，以便随时查看。

　　4. 破解Foxmail密码

　　有相当多的用户，使用简单却功能强大Foxmail做邮件接收工具。但是由于Foxmail本身的安全隐患，一些人只须新建一个账户后，进入Foxmail缺省的安装目录下，将新建的账户目录下的“account.stg”文件复制后将你的账户文件覆盖，你所建立的账户密码就会被清除。

加强IIS的安全机制

了解如何加强IIS的安全机制，建立一个高安全性能的Web服务器就显得尤为重要……

　　IIS（Internet Information Server）作为目前最为流行的Web服务器平台，发挥着巨大的作用。因此，了解如何加强IIS的安全机制，建立一个高安全性能的Web服务器就显得尤为重要。

　　保证系统的安全性

　　因为IIS是建立在操作系统下，安全性也应该建立在系统安全性的基础上，因此，保证系统的安全性是IIS安全性的基础，为此，我们要做以下事情。

　　1、 使用NTFS文件系统

　　在NT系统中应该使用NTFS系统，NTFS可以对文件和目录进行管理，而FAT文件系统只能提供共享级的安全，而且在默认情况下，每建立一个新的共享，所有的用户就都能看到，这样不利于系统的安全性。和FAT文件系统不同，在NTFS文件下，建立新共享后可以通过修改权限保证系统安全。

　　2、 关闭默认共享

　　在Windows 2000中，有一个"默认共享"，这是在安装服务器的时候，把系统安装分区自动进行共享，虽然对其访问还需要超级用户的密码，但这是潜在的安全隐患，从服务器的安全考虑，最好关闭这个"默认共享"，以保证系统安全。方法是：单击"开始/运行"，在运行窗口中输入"Regedit"，打开注册表编辑器，展开"HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\lanmanworkstation\parameters"，在右侧窗口中创建一个名为"AutoShare-Wks"的双字节值，将其值设置为0，这样就可以彻底关闭"默认共享"。


　　3、 设置用户密码

　　用户一定要设置密码，用户的密码尽量使用数字与字母大小混排的口令，还需要经常修改密码，封锁失败的登录尝试，并且设定严格的账户生存时间。应避免设置简单的密码，且用户的密码尽可能不要和用户名有任何关联。

　　保证IIS自身的安全性

　　在保证系统具有较高安全性的情况下，还要保证IIS的安全性，主要请注意以下事情：

　　1、要尽量避免把IIS安装在网络中的主域控制器上。因为在安装完IIS后，会在所安装的计算机上生成IUSR_Computername的匿名账户。这个账户会被添加到域用户组中，从而把应用于域用户组的访问权限提供给访问Web服务器的每个匿名用户，这样不仅不能保证IIS的安全性，而且会威胁到主域控制器。

　　2、限制网站的目录权限。目前有很多的脚本都有可能导致安全隐患，因此在设定IIS中网站的目录权限时，要严格限制执行、写入等权限。

　　3、经常到微软的站点下载IIS的补丁程序，保证IIS最新版本。

　　只要提高安全意识，经常注意系统和IIS的设置情况，IIS就会是一个比较安全的服务器平台，能为我们提供安全稳定的服务。

创建Windows VPN服务器

有关VPN客户机的一个常见的错觉是认为它们是在VPN网络上连接到企业网络的工作站。这种工作站肯定是一种VPN客户机，但是，它并不是惟一的一种 VPN客户机。VPN客户机可以是一台计算机，还可以是一台路由器。你的网络需要使用什么类型的VPN客户机确实取决于你的公司的具体需求。

　　例如，如果你碰巧有一个缺少与公司办公室直接连接的一个分支办公室，使用一台路由器作为VPN客户机对你来说可能是一个很好的选择。通过这样做，你可以利用一个单个的连接把整个分支办公室与公司办公室连接起来。不需要每一台PC都单独建立一个连接。

　　另一方面，如果你拥有一些经常出差的雇员，这些雇员需要在旅行中访问公司的网络，你把这些雇员的笔记本电脑设置为VPN的客户机可能会有好处。

　　从技术上说，只要支持PPTP、L2TP或者IPSec协议，任何操作系统都可以作为一台VPN客户机。就微软而言，这意味着你可以使用 Windows NT 4.0、9X、ME、2000和XP操作系统。虽然所有这些操作系统从技术上说都可以作为客户机，我建议你坚持使用Windows 2000或者Windows XP操作系统，因为这些操作系统能够支持L2TP和PSec协议。

　　VPN服务器

　　VPN服务器可以当作VPN客户机的一个连接点。从技术上说，你可以使用Windows NT Server 4.0、Windows 2000 Server或者Windows Server 2003等操作系统作为一台VPN服务器。不过，为了保证安全，我认为你应该使用Windows Server 2003操作系统。

　　有关VPN服务器的最大的误解之一是VPN服务器所有的工作都是自己完成的。我的朋友无数次地对我说，他们要购买一台VPN服务器。他们没有认识到VPN服务器只是必要的组件之一。

　　VPN服务器本身是非常简单的。VPN服务器不过是执行路由和远程访问服务任务的一个增强的‘Windows 2003 Server’服务器。一旦一个进入VPN网络的请求被批准，这个VPN服务器就简单地充当一台路由器向这个VPN客户机提供专用网络的接入。

　　ISA服务器

　　VPN服务器的额外要求之一是你要有一台RADIUS(远程认证拨入用户服务)服务器。远程认证拨入用户服务是互联网服务提供商在用户试图建立互联网连接的时候对用户进行身份识别的一种机制。

　　你需要使用RADIUS服务器的原因是你需要一些身份识别机制对通过VPN连接进入你的网络的用户进行身份识别。你的域名控制器不能完成这个任务。即使你的域名控制器能够胜任这个任务，把域名控制器暴露给外部世界也不是一个好主意。

　　现在的问题是你从什么地方获得这个RADIUS服务器?微软有自己版本的RADIUS，名为“互联网身份识别服务”，英文缩写字是IAS。 Windows Server 2003操作系统包含IAS功能。这是一个好消息。坏消息是由于安全的原因不能在同一台计算机中把ISA当作路由和远程访问服务(RRAS)来运行。即使可以这样做，我也不能肯定在虚拟服务器设置之外是否有这个可能。

　　防火墙

　　你的VPN需要的其它组件是一个良好的防火墙。的确。你的VPN服务器接受来自外部世界的连接，但是，这并不意味着外部世界需要完全访问的VPN服务器。你必须使用防火墙封锁任何没有使用的端口。

　　建立VPN连接的基本要求是，VPN服务器的IP地址必须能过通过互联网访问，VPN通信必须能够通过你的防火墙进入VPN服务器。然而，还有一项可选择的组件。你可以使用这个组件让你的VPN服务器更安全。

　　如果你非常重视安全问题(而且你有这笔预算)，你可以在ISA服务器和你的周边防火墙和VPN服务器之间放置一个ISA服务器。这个想法是，你可以设置防火墙把所有的与VPN有关的通信都指向那个ISA服务器，而不是指向VPN服务器。然后，ISA服务器将充当一个VPN代理服务器。

　　VPN客户机和VPN服务器仅与ISA服务器进行通信。它们相互之间从来不直接通信。这就意味着ISA服务器在保护VPN服务器，不允许直接访问VPN服务器，从而为VPN服务器增加了一个保护层。

　　选择一个隧道协议

　　当VPN客户机访问一台VPN服务器的时候，它们是通过一个虚拟的隧道进行访问的。一个隧道实际上就是通过一个不安全的媒介(通常是互联网)的安全通道。然而，隧道并不是用魔术变出来的。隧道需要使用一个隧道协议。

　　我以前曾讲过老式的Windows客户机能够通过PPTP(点对点隧道协议)协议连接到一个VPN网络。但是，我建议使用比较新的客户端软件，如Windows 2000和Windows XP，因为它们支持L2TP(2层隧道协议)。事实是这两个协议中的任何一个协议都可以工作，而且客户机都支持这些协议。然而，每一个协议都有其优点和缺点。选择一个适合你的机构的隧道协议是你规划VPN网络时应做出的最重要的决策之一。

　　同PPTP协议相比，L2TP协议最大的优势在于它依赖IPSec。IPSec加密数据，也提供数据身份识别。这意味着IPSec证明这个数据确实是由发送者发送的并且在传输的过程中没有被修改。而且IPSec可以防止重播攻击。重播攻击指的是黑客捕捉身份识别数据包，然后在晚些时候重新发送这个数据包以便获得这个系统的访问权限。

　　L2TP还可以提供比PPTP更强大的身份识别功能。L2TP能够对用户和计算机都进行身份识别。而且在用户级身份识别期间交换的数据包总是被加密的。

　　虽然表面上看L2TP也许是隧道协议的选择，但是，PPTP也有一些超过L2TP的优点。我已经谈到过这些优点之一，就是兼容性。PPTP比 L2TP兼容更多的Windows系统。如果你有一些仍在使用版本比较老的Windows操作系统的VPN用户，那么，除了使用PPTP之外，你没有别的选择。

　　PPTP优于L2TP的另一个优势是L2TP是以IPSec为基础的。在L2TP的优点这一节，我谈到IPSec喜欢L2TP是一件好事，而且事情确实如此。然而，使用IPSec有一个重大缺陷。IPSec要求你的网络具有认证中心。

　　这个好消息是Windows Server 2003有自己的认证中心。认证中心的设置是相对简单的。坏消息是，从安全的观点看，认证中心不是你要处理的事情。保持认证中心完整性的惟一方法是在一台安全保护增强到最大限度的专用服务器上运行认证中心。这就意味着必须要额外投资购买一台服务器、额外的Windows服务器软件许可证、以及增加与你的网络增加一台服务器有关的额外管理负担。

　　不过，按照我的意见，额外的成本和管理负担是值得的。L2TP能够为你提供比PPTP更好的安全性。此外，你还可以利用认证中心做其它的事情，如通过IPSec加密本地通信等。

　　身份识别协议

　　在我谈论协议话题的时候，我要用一些时间谈一谈身份识别协议的问题。在设置VPN的过程中，系统将要求你选择一个身份识别协议。大多数人会选择 MS-CHAP v2选项。MS-CHAP是一个相对安全的选项，它兼容运行在过去的10年里制作的任何版本的Windows操作系统的VPN客户机。MS-CHAP最大的优点是容易设置。

　　如果你计划使用L2TP并且要更好的安全性，你应该选择EAP-TLS作为你的身份识别协议。只有运行Windows 2003或者Windows XP操作系统的客户机才能支持EAP-TLS协议。而且，必须设置VPN服务器之后认证中心才能办法用户认证。

　　EAP-TLS协议的设置比较复杂，如果最终用户已经获得了智能卡，这个协议会工作得更好。但是，EAP-TLS协议确实能够为你提供最佳的安全。简单地说，MS-CHAP是基于口令的协议。EAP-TLS是基于证书的协议。

　　结论

　　在你创建一个VPN之前，需要做许多规划工作。在这篇文章中，我谈了设计一个VPN必须要做的一些规划，还谈了一些你必须要做出的一些决策。

Windows系统常遇木马的预防技巧

木马程序是目前比较流行的一类病毒文件，它与一般的病毒不同，它不会自我繁殖，也并不刻意地去感染其他文件。它通过将自身伪装吸引用户下载执行，或以捆绑在网页中的形式，当用户浏览网页时受害。木马程序向施种木马者提供打开被种者电脑的门户，使施种者可以任意毁坏、窃取被种者的文件和隐私，甚至远程操控被种者的电脑。木马的原理和计算机网络中常常要用到的远程控制软件相似，但由于远程控制软件是“善意”的控制，因此通常不具有隐蔽性;而木马程序则完全相反，木马要达到的是“偷窃”性的远程控制，如果没有很强的隐蔽性的话，那就是毫无价值的。

　　木马通常有两个可执行程序:一个是客户端，即控制端，另一个是服务端，即被控制端。木马的设计者为了防止木马被发现，而采用多种手段隐藏木马。木马的服务一旦运行，电脑就会有一个或几个端口被打开，黑客就可以利用控制端进入运行了服务端的电脑，甚至可以控制被种者的电脑，所以被种者的安全和个人隐私也就全无保障了!

　　随着微软的操作系统从Win9X过渡到WinNT系统(包括2000/xp/2003)，微软的任务管理器也一下子“脱胎换骨”，变得“火眼金睛”起来 (在Win9X中，只需要将进程注册为系统服务就能够从进程查看器中隐形，可是这一切在WinNT中却完全不同，无论木马从端口、启动文件上如何巧妙地隐藏自己，始终都不能欺骗WinNT的任务管理器)，这使得以前在win9X操作系统下靠将进程注册为系统服务就能够从任务管理器中隐形的木马面临前所未有的危机，所以木马的开发者及时调整了开发思路，转入了开发可以躲避WinNT的任务管理器的进程查询的动态嵌入式DLL木马。

　　要弄清楚什么是动态嵌入式DLL木马，我们必须要先了解Windows系统的另一种“可执行文件”——DLL，DLL是Dynamic Link Library(动态链接库)的缩写，DLL文件是Windows的基础，因为所有的API函数都是在DLL中实现的。DLL文件没有程序逻辑，是由多个功能函数构成，它并不能独立运行，DLL文件一般都是由进程加载并调用的。

　　因为DLL文件不能独立运行，所以在进程列表中并不会出现DLL。所以木马的开发者就通过编写动态嵌入式DLL木马，并且通过别的进程来运行它，那么无论是入侵检测软件还是进程列表中，都只会出现那个进程而并不会出现那个DLL木马。如果那个进程是可信进程(例如资源管理器Explorer.exe)，那么就没人会怀疑DLL文件也是个木马了。从而木马就又实现了自己的隐蔽性的功能，所以，预防DLL木马也是相当重要的。
在WinNT系统，DLL木马一般都藏在System32目录下(因为System32是系统文件存放的目录，里面的文件很多，在里面隐藏当然很方便了)，针对这一点我们可以在安装好系统和必要的应用程序后，对该目录下的EXE和DLL文件作一次记录:点击开始—运行—输入cmd回车—出现DOS命令行模式—输入cd\回车，再输入cd C:\Windows\System32回车，这就转换目录到了System32目录(要还是不知道怎么进入的，请参看DOS的cd命令的使用)，输入命令:dir *.exe>exebackup.txt &dir *.dll>dllbackup.txt回车
这样，我们就把System32目录下所有的exe文件和所有的dll文件都记录在exebackup.txt和dllbackup.txt里面了。日后如发现系统异常而用传统的方法又查不出问题时，则要考虑是不是系统中已经潜入了DLL木马。

　　这时我们用同样的方法将System32目录下的EXE和DLL文件记录到另外exebackup1.txt和dllbackup1.txt中，然后运行 CMD—fc exebackup.txt exebackup1.txt>different.txt &fc dllbackup.txt dllbackup1.txt>different.txt(使用FC命令比较前后两次的DLL和EXE文件，并将结果输入到 different.txt中)，这样我们就能发现一些多出来的DLL和EXE文件，然后通过查看创建时间、版本、是否经过压缩等就能够比较容易地判断出是不是已经被DLL木马光顾了。

　　没有是最好，如果有的话也不要直接删除掉，可以先把它移到回收站里，若系统没有异常反应再将之彻底删除，或者把DLL文件上报给反病毒研究中心检查。

　　最后，防治木马的危害，专家建议大家应采取以下措施:

　　第一，安装反病毒软件和个人防火墙，并及时升级。

　　第二，把个人防火墙设置好安全等级，防止未知程序向外传送数据。

　　第三，使用安全性比较好的浏览器和电子邮件客户端工具。

　　第四，操作系统的补丁要经常进行更新。

　　第五，不要随便打开陌生网友传送的文件和下载、使用破解软件。

　　相信大家只要做好安全防护工作，防治木马并不是那么可怕的。

检测网络速度慢或性能不良的办法

做网管常常会遇到一些棘手的问题，如网络缓慢或性能不良。这时候如果有一台网络测试仪帮助检测故障，无疑会极大地提高工作效率。那么如何使用FLUKE公司的LANMETER网络测试仪来检测网络速度慢或性能不良?

答：运行网络统计（Network Stats）测试，检查高的网络利用率和异常的高碰撞率。施加少量的后台流量（每秒100帧LLC流量，每帧100个字节）后再次运行测试 。如果你发现随传输增加时碰撞或FCS错误增加，那么就应运行电缆扫描（Cable Scan）。

如果碰撞的数量十分高（超过5％），则要运行碰撞分析（Collision Analysis）测试来确定由于碰撞损失了多少带宽。将本地和远端碰撞所造成的带宽损失加上后，平均大于0.5％就需进行故障诊断。同时检查碰撞是否是“突发”的，而且突发碰撞的增加不随网络流量增加而增加。也就是说，如果碰撞数量有较大的变化而没有对应较大的流量增加，那么可能在某个地方有严重的物理层问题。流量水平和碰撞一定有某种关系。如果在网络性能处于可接受的水平而碰撞数量一直较大，那么在该碰撞域可能有过多的站点进行传输，或网络的结构需要优化以减小网络站点之间的距离。过量的碰撞经常是物理介质所造成的，例如没有或端接不正确，阻抗不连续（坏的连接器、连接电缆、被挤压的电缆等），或有坏的网卡等。

如果利用率很高（持续峰值超过60％），同时碰撞数量为可接受的水平（平均值低于5％），那么网络可能已经饱和。这有些不可能，因为以太网网段如果有很高的利用率时通常会有较高的碰撞率。当利用率接近100％，碰撞的数量会远远超过好的帧的数量。这时可能需要安装交换器、桥或路由器将网络分隔成足够小的子网来支持流量负载。

运行网络统计（Network Stats）测试并检查错误（碰撞以外的）。如果出现错误，运行错误统计（Error Stats）测试并用放大（Zoom）来了解有问题站点的MAC地址，然后用专家测试（Expert－T）来隔离特定的问题或用电缆扫描（Cable）检查电缆。如果问题是间歇性的，则要试着更换被怀疑有问题的网卡，因为这些问题在测试时可能不会显示出来。

检查一下用户正在连接的服务器或服务是否是在WAN的远端，或通过路由连接。如果确实如此，那么用Ping测试（NetWare Ping,ICMP Ping）来检查通过网段的响应，并将结果和你的基准测试或听证测试结果相比较。为了保证帧没有丢失，要试着连续进行Ping测试，并且检查请求的数量和响应的数量相等（IP主机经常会对第一个Ping响应失败，那么需要多试几次）。如果数量不一致，远端媒介或互连设备（桥、路由器等）可能满负荷或有问题。丢帧也是电缆故障的症状，例如UTP电缆的串绕，或同轴线的大地环路。如果怀疑有丢帧，可运行电缆扫描（Cable Cable），测试缓慢站点（以及相应的文件服务器）连接至网络的电缆，或连接任何桥或路由器以及它们之间的电缆。

预防网页中的5种“隐形杀手”

随着计算机及网络应用的扩展，电脑信息安全所面临的危险和已造成的损失也在成倍地增长，特别是各种黑客的增多，一些个人用户也时常遭到不同手段的攻击，这不得不引起我们的重视。
　　对于个人用户来说，除了病毒和木马，网页中的隐形代码也开始严重地威胁着我们的安全，但大多数人却缺乏自我保护意识，对隐形代码的危害认识不够，甚至在自己不知情的情况下被别人窃取了重要资料。因为隐形代码具有比较大的隐蔽性，到目前为止，还没有什么病毒防火墙能很好地阻止隐形代码的攻击，大多数甚至根本就不能发现。所以我们更应该高度警惕网页代码中的隐形杀手。一般来说网页代码中的“隐形杀手”大致分为以下几类。
　　隐形杀手1 占用CPU
　　通过不断地消耗本机的系统资源，最终导致CPU占用率高达100%，使计算机不能再处理其他用户的进程。
　　“隐形杀手1”代码的典型恶作剧是通过JavaScript产生一个死循环。这类代码可以是在有恶意的网站中出现，也可以以邮件附件的形式发给你。现在大多数的邮件客户端程序都可以自动调用浏览器来打开HTM/HTML类型的文件。这样只要你一打开附件，屏幕上就会出现无数个新开的浏览器窗口。最后让你不得不重新启动计算机。
　　避恶方法 对于这类问题，只能是不要随便打开陌生人寄来的邮件的附件。
　　隐形杀手2 非法读取本地文件
　　这类代码典型的作法是在网页中通过对Activex、JavaScript和WebBrowser control的调用来读本地文件。
　　“隐形杀手2”的代码较之“隐形杀手1”的特点就是表现方式较隐蔽，一般的人不容易发现隐形代码正在读取自己硬盘上的文件。“隐形杀手2”还能利用浏览器自身漏洞来实现其杀招，如IE5.0的IFrame漏洞。很简单的几行代码就可以读取你本地硬盘上的任何IE可以打开的文件。
　　避恶方法 可以通过关闭JavaScript并随时注意微软的安全补丁来解决。
　　隐形杀手3 Web欺骗
　　攻击者通过先攻入负责目标机域名解析的DNS服务器，然后把DNS-IP地址复位到一台他已经拿下超级用户权限的主机。
　　这类攻击目前在国内很少出现，但如果成功的话危害却非常大。而且可能会损失惨重。其攻击方法是：在他已经拿下超级用户权限的那台主机上伪造一个和目标机完全一样的环境，来诱骗你交出你的用户名和密码。比如说我们的邮件甚至网上的银行账号和密码。因为你面对的是一个和昨天一样的环境，在你熟练的敲入用户名和密码的时候。根本没有想到不是真正的主机。
　　避恶方法 上网时，最好关掉浏览器的JavaScript，使攻击者不能隐藏攻击的迹象，只有当访问熟悉的网站时才打开它，虽然这会减少浏览器的功能，但我想这样做还是值得的。还有就是不要从自己不熟悉的网站上链接到其他网站，特别是链接那些需要输入个人账户名和密码的网站。
隐形杀手4 控制用户机
　　目前这类问题主要集中在IE对Actives的使用上。
　　我们现在可以看一看自己IE的安全设置，对于“下载已签名的ActiveX控件”，现在的选项是“提示”。但你可能不知道，IE仍然有特权在无需提示的情况下下载和执行程序。这是一个严重的安全问题，我们可能在不知情的情况下被别人完全控制。避恶方法在注册表
　　
HKEY-LOCAL-MACHINESOFTWAREMicrosoftInternet ExplorerActiveX Compatiblity”


　　下为“Active Setup controls”创建一个基于CLSID的新建{6E449683-C509-11CF-AAFA-00AA00 B6015C}在新建下创建REGDWORD类型的值：Compatibility Flags 0x00000400。
　　隐形杀手5 非法格式化本地硬盘
　　这类代码的危害较大。只要你浏览了它的网页，你的硬盘就会被格式化。
　　这并不是耸人听闻，其实IE可以通过执行ActiveX而使硬盘被格式化并不是什么新漏洞，早在去年就有国外黑客发现这一问题，并公布了源代码，只是当时公布的漏洞源代码是对西班牙版的Windows，如果直接Copy下来的话对于中文版的Windows并没有什么用。但最近已经在国内的个别个人主页里发现了对中文版Windows的格式化本地硬盘的代码。你如果浏览含有这类代码的网页，浏览器只会出一个警告说：“当前的页面含有不完全的ActiveX，可能会对你造成危害”，问你是否执行。如果你选择“是”的话，你的本机硬盘就会被快速格式化，而且因为格式化时窗口是最小化的，你可能根本就没注意，等发现已悔之晚矣。
　　避恶方法 对于在浏览网页时出现的类似提示，除非你知道自己是在做什么，否则不要随便回答“是”。而且上述提示信息还可以被修改，如改成“Windows正在删除本机的临时文件，问你是否继续”，所以千万要注意！另：把本机的format.com、deltree.exe等危险命令改名也是一个办法。因为我们在Windows中要真正用到这些DOS命令的情况并不是很多，而很多宏病毒或危险代码就是直接调用这些DOS命令，如有名的国产宏病毒“七月杀手”，就是在Autoexec.bat中加入了deltree c: /y。

任天堂红白机历史5分钟全记录

对于有一定历史的游戏玩家来说，近日在YouTube上出现的一段五分钟视频绝对值得一看。

任天堂红白机，或者说FC伴随了一代人的成长。这段5分钟的视频就整个概括了FC的历史，从1981年的第一代大金刚，到1994年的最后一代高桥名人冒险岛，该视频重出现了FC平台上所有上市的1252款游戏的启动画面。回忆一下儿时的幸福时光，看看你玩过多少款？

判断交换机性能好坏的九个因素

把握千兆交换机的主要性能指标是关键，而判断交换机性能的好坏，需要从以下几方面的因素出发：

　　转发技术 存储转发技术要求交换机在接收到全部数据包后再决定如何转发，采用该技术的千兆交换机可以在转发之前检查数据包的完整性和正确性，减少了不必要的数据转发。直通转发则是在交换机收到整个帧之前就已经开始转发数据了，这样可以有效地降低交换延迟。但是，交换机在没有完全接收并检查数据包的正确性之前就已经开始了数据转发。这样，在通信质量不高的环境下， 交换机会转发所有的完整数据包和错误数据包，这实际上是给整个交换网络带来了许多垃圾通信包。因此， 直通转发技术适用于网络链路质量较好、错误数据包较少的网络环境。
　吞吐量 以太网吞吐量的最大理论值被称为线速，是指交换机有足够的能力以全速处理各种尺寸的数据封包转发， 千兆交换机产品都应达到线速。

　　管理功能 通常，交换机厂商都提供管理软件或第三方管理软件远程管理交换机。 一般的交换机满足SNMP MIB I/MIB II统计管理功能，而复杂一些的千兆交换机会通过增加内置RMON组 （mini-RMON）来支持RMON主动监视功能。有的交换机还允许外接RMON监视可选端口的网络状况。

　　延时 采用直通转发技术的千兆交换机有固定的延时，因为直通式交换机不管数据包的整体大小， 而只根据目的地址来决定转发方向。所以，它的延时是固定的。 采用存储转发技术的交换机由于必须要接收完完整的数据包才开始转发，所以数据包大，则延时大；数据包小，则延时小。

　　单/多MAC地址类型 单MAC交换机主要设计用于连接最终用户、网络共享资源或非桥接路由器， 它们不能用于连接集线器或含有多个网络设备的网段。多MAC交换机在每个端口有足够存储体，记忆多个硬件地址。多MAC交换机的每个端口可以看作是一个集线器，而整个交换机就可以看作是集线器的集线器。

　　全双工 全双工端口可以同时发送和接收数据，具有全双工功能的交换机可以获得两倍于单工模式通信的吞吐量， 并且避免了数据发送与接收之间的碰撞。目前市场上的主流千兆交换机如Cisco、3Com的产品均支持全/半双工模式的自动转换。

　　能否支持VLAN 通过将局域网划分为虚拟网络VLAN网段，可以强化网络管理和网络安全，控制不必要的数据广播。在虚拟网络中，广播域可以是有一组任意选定的MAC地址组成的虚拟网段。这样，网络中工作组可以突破共享网络中的地理位置限制，而根据管理功能来划分。

　　链路聚合 链路聚合可以让交换机之间和交换机与服务器之间的链路带宽有非常好的伸缩性，比如可以把2个、3个、4个千兆的链路绑定在一起，使链路的带宽成倍增长。链路聚合技术可以实现不同端口的负载均衡，同时也能够互为备份，保证链路的冗余性。在这些千兆以太网交换机中，最多可以支持4组链路聚合，每组中最大4个端口。链路聚合一般是不允许跨芯片设置的。生成树协议和链路聚合都可以保证一个网络的冗余性。在一个网络中设置冗余链路，并用生成树协议让备份链路阻塞，在逻辑上不形成环路。而一旦出现故障，启用备份链路。

　　安全性 安全性越来越为人们所重视，交换机可以在底层把非法的客户隔离在网络之外。这些可以管理的网络交换机都支持MAC地址过滤的功能，还可以将MAC地址与固定的端口绑定在一起，和VLAN绑定在一起。

局域网网络速度变慢的原因

计算机网络发生故障是不可避免的。网络故障诊断是网络管理的重要工作。一般当网络发生信息不通、不能浏览Web等连通性故障时，故障现象比较明确，容易观察和定位故障点，此类故障解决起来并不困难。然而最令人头痛的是网络是通的，但网速变慢。
初次面对这类“软”故障时，往往有的人会束手无策。本文为大家介绍引起此类“软”故障常见的原因及排除方法，以提高大家对实际问题的处理能力。

一、网线问题导致网速变慢
我们知道，双绞线是由四对线按严格的规定紧密地绞和在一起的，用来减少串扰和背景噪音的影响。同时，在T568A标准和T568B标准中仅使用了双绞线的1、2和3、6四条线，其中，1、2用于发送，3、6用于接收，而且1、2必须来自一个绕对，3、6必须来自一个绕对。只有这样，才能最大限度地避免串扰，保证数据传输。本人在实践中发现不按正确标准（T586A、T586B）制作的网线，存在很大的隐患。表现为：一种情况是刚开始使用时网速就很慢；另一种情况则是开始网速正常，但过了一段时间后，网速变慢。后一种情况在台式电脑上表现非常明显，但用笔记本电脑检查时网速却表现为正常。对于这一问题本人经多年实践发现，因不按正确标准制作的网线引起的网速变慢还同时与网卡的质量有关。一般台式计算机的网卡的性能不如笔记本电脑的，因此，在用交换法排除故障时，使用笔记本电脑检测网速正常并不能排除网线不按标准制作这一问题的存在。我们现在要求一律按T586A、T586B标准来压制网线，在检测故障时不能一律用笔记本电脑来代替台式电脑。

二、网络中存在回路导致网速变慢
当网络涉及的节点数不是很多、结构不是很复杂时，这种现象一般很少发生。但在一些比较复杂的网络中，经常有多余的备用线路，如无意间连上时会构成回路。比如网线从网络中心接到计算机一室，再从计算机一室接到计算机二室。同时从网络中心又有一条备用线路直接连到计算机二室，若这几条线同时接通，则构成回路，数据包会不断发送和校验数据，从而影响整体网速。这种情况查找比较困难。为避免这种情况发生，要求我们在铺设网线时一定养成良好的习惯：网线打上明显的标签，有备用线路的地方要做好记载。当怀疑有此类故障发生时，一般采用分区分段逐步排除的方法。

三、网络设备硬件故障引起的广播风暴而导致网速变慢
作为发现未知设备的主要手段，广播在网络中起着非常重要的作用。然而，随着网络中计算机数量的增多，广播包的数量会急剧增加。当广播包的数量达到30%时，网络的传输效率将会明显下降。当网卡或网络设备损坏后，会不停地发送广播包，从而导致广播风暴，使网络通信陷于瘫痪。因此，当网络设备硬件有故障时也会引起网速变慢。当怀疑有此类故障时，首先可采用置换法替换集线器或交换机来排除集线设备故障。如果这些设备没有故障，关掉集线器或交换机的电源后，DOS下用“Ping”命令对所涉及计算机逐一测试，找到有故障网卡的计算机，更换新的网卡即可恢复网速正常。网卡、集线器以及交换机是最容易出现故障引起网速变慢的设备。

四、网络中某个端口形成了瓶颈导致网速变慢
实际上，路由器广域网端口和局域网端口、交换机端口、集线器端口和服务器网卡等都可能成为网络瓶颈。当网速变慢时，我们可在网络使用高峰时段，利用网管软件查看路由器、交换机、服务器端口的数据流量；也可用Netstat命令统计各个端口的数据流量。据此确认网络数据流通瓶颈的位置，设法增加其带宽。具体方法很多，如更换服务器网卡为100M或1000M、安装多个网卡、划分多个VLAN、改变路由器配置来增加带宽等，都可以有效地缓解网络瓶颈，可以最大限度地提高数据传输速度。

五、蠕虫病毒的影响导致网速变慢
通过E-mail散发的蠕虫病毒对网络速度的影响越来越严重，危害性极大。这种病毒导致被感染的用户只要一上网就不停地往外发邮件，病毒选择用户个人电脑中的随机文档附加在用户机子的通讯簿的随机地址上进行邮件发送。成百上千的这种垃圾邮件有的排着队往外发送，有的又成批成批地被退回来堆在服务器上。造成个别骨干互联网出现明显拥塞，网速明显变慢，使局域网近于瘫痪。因此，我们必须及时升级所用杀毒软件；计算机也要及时升级、安装系统补丁程序，同时卸载不必要的服务、关闭不必要的端口，以提高系统的安全性和可靠性。

新平台谁主沉浮 ATi与NV新独显面面观

就在处理器巨头Intel和AMD分别推出下一代移动产品不久之后，显示芯片业两巨头nVIDIA和ATi也迅速的发布了支持DX10的最新一代移动显示芯片。凭借着迅驰平台，Intel在移动集成显卡市场占据着绝对优势，nVIDIA和ATi可发挥的空间并不多。两大显示芯片巨头被迫在移动独显市场上来一决雌雄。支持DX10的新一代显卡，可谓nVIDIA和ATi的最新力作。无独有偶的是，两家的DX10新品都采用了全新的命名方式，这种默契似乎标志着一场在移动独显市场的大战即将开始。

nVIDIA的DX10显示芯片——GeForce 8M系列

与Geforce GO 6/7系列类似，最新一代的GeForce 8M系列是GeForce 8桌面显卡的移动版本。相比以前的Geforce GO系列，GeForce 8M系列移动显卡的标识发生了较大变化：由此前的“Go”变为“M”后缀。目前发布的GeForce 8M系列共有两个型号——8400M和8600M，比Geforce GO 7系列的6款（Geforce GO 7200/7300/7400/7600/7800/7900）少了很多。

低端市场以GeForce 8400M为主力。为了进一步细分市场，替代目前的Geforce GO 7200/7300/7400，8400M分为三款：8400M GT/8400M GS/ 8400M G

8400M GS/ 8400M G只拥有64位显存位宽。两者参数基本一致，唯一的差别就是在独立的流处理单元（Stream Processors）数目上，8400M GS比8400M G多出一倍。所谓流处理单元也就是DX10时代既可以完成Vertex Shader工作，也可以完成Geometry Shader和Pixel Shader的最基本GPU处理单元。而这就是DX10显卡采用的统一渲染架构设计。

相对于以前由固定数量Vertex Shader、Pixel Shader组成的传统显卡渲染流水线架构而言，统一渲染架构具有更大的灵活性。显示芯片配置的流处理单元可以根据实际需要组成任意Vertex Shader/Pixel Shader比例，极大的提高显示芯片的效率和性能。因此，流处理单元数目越多，流处理单元运行频率（Shader Clock）越高，显卡的性能越强。比如nVIDIA的顶级桌面显卡GeForce 8800 Ultra，就拥有128个流处理单元，每个流处理单元的运行频率达到1.5GHz。而8400M中规格最高的8400M GT在核心频率、显存频率和位宽、流处理单元的运行频率上比8400GS都有不小的提高。

nVIDIA针对中端市场取代Geforce GO 7600的利器则是Geforce 8600M。8600M也分为两款

8600M GS比8400M GT在核心频率、显存频率、流处理单元运行频率上都有很大的提高。至于目前最强的nVIDIA移动独立显卡Geforce 8600M GT，尽管核心频率、显存频率、流处理器运行频率较8600M GS低，但流处理单元的数目达到32个。

在nVIDIA Geforce 8M系列中，接替GeForce Go 7800/7800 GTX /7900 GS/7900 GTX/7950 GTX 的顶级产品还没有出现，不能不说是一个遗憾，不过目前已有不少品牌采用了目前Geforce 8M系列：采用GeForce 8400M的机型有华硕A7/A8、三星Q45等；配置GeForce 8600M的机型有Acer Aspire 5920G、华硕F3、东芝Qosmio G40等。国内市场上，配置Geforce 8M系列独立显卡的Santa Rosa本本也已亮相。

ATi的DX10显示芯片——Mobility Radeon HD 2000系列

ATi的DX10显示芯片推出时间虽落后于nVIDIA，但在移动显示芯片上，ATi一点都没被nVIDIA抛下，产品线甚至比nVIDIA还要齐全。最新一代ATi移动显卡，在型号标识上也有所改变，把“X”换成了“HD”，似乎表明自己的产品在高清视频上更具有优势。

与nVIDIA类似，ATi HD2000系列的型号比上一代产品Mobility Radeon X1000系列少很多，只有三个型号——HD2300/2400/2600。HD2300针对入门级市场，HD2400/2400XT主要把守低端市场，中端市场交给HD2600，而H2600XT则是HD2000系列目前的顶级产品。

其中，HD2300显得比较“另类”，它只支持DX9，采用90nm工艺，POWERPLAY省电技术也只是6.0版的。在渲染流水线架构上，HD2300没有采用统一渲染架构，只配置了四个Pixel Shader处理单元和两个Vertex Shader处理单元。尽管HD2300在很多参数上与Mobility Radeon X2300非常相似，但两者绝不是同一产品。HD2300晶体管数目比X2300多1000万，并且还支持HD2000系列才采用的UVD通用视频解码器——该技术能有效的降低播放高清视频或者蓝光DVD时处理器的负载。

而4款新的DX10移动显示芯片均采用65nm工艺生产，支持DX10和UVD技术，POWERPLAY省电技术升级为7.0版。在DX10显卡重要参数流处理单元上，H2400/2400XT共配置了40个流处理单元，H2600/2600XT配置了120个流处理单元，远远高于竞争对手nVIDIA Geforce 8M系列。不过，ATi的算法似乎与nVIDIA不太相同。ATi显示核心内部集成的流处理单元为多流程设计，每一个单元能同时处理4D+1D数据（D可看作对于像素，顶点方面的着色，渲染或者位图等方面的处理）。举个例子，ATi桌面顶级HD2900XT配置的320个流处理单元实际只有64个，320是“64 × 5 = 320”这样算出来的。

按照ATi的建议，配置HD2300独显的机型售价应在799～999美元之间，HD2400/2400XT独显机型的价格范围在999～1199美元，而顶级的HD2600/2600XT独显机型的价格至少在1199美元以上。

目前，表示会采用Mobility Radeon HD 2000系列显示芯片的笔记本电脑厂商主要有华硕、富士通、MSI微星等。而配置该系列的独显机型恐怕还需一段时间才能与消费者见面。

谁主浮沉——nVIDIA发力，ATi面临挑战

独显笔记本电脑在市场上正变得越来越受欢迎，除了与价格有关外，微软的Vista操作系统和Intel的Santa Rosa迅驰平台也起了推波助澜的作用。Vista系统对显卡有着较高要求，尽管主流的集成显卡都能很好的运行，但若想达到流畅的效果，特别是在开启Aero 3D用户界面的情况下，非独立显卡不可。而Intel最近发布的Santa Rosa迅驰平台，配置的GMA X3100集成显卡性能平平，让不少用户深感失望。不难预料，独显机型将成为市场的香饽饽。而作为独显笔记本电脑的显卡供应商，nVIDIA和ATi之间的竞争会变得越发激烈。

在DX10独显笔记本电脑市场上，nVIDIA的GeForce 8M系列和ATi的Mobility Radeon HD 2000系列已开始“交火”。nVIDIA的DX10移动显示芯片在中、低端市场上似乎具有更强的竞争力。针对低端的8400M G/GS/GT都属于完整的DX10显卡，采用了统一渲染构架。ATi的低端产品H2300基本属于不入流的角色，不仅难以与8400M G/GS/GT对抗，即使面对ATi自家的上一代产品，都没有太多优势。因此，H2300很可能昙花一现。而ATi真正的DX10入门显卡H2400/2400XT，按照ATi的官方说法，配置该型号显示芯片的独显机型价格建议在999美元～1199美元左右，似乎在价格方面没有太大的竞争力。

不过，在高端产品线上，ATi似乎略胜一筹。nVIDIA目前最强的DX10移动显卡为Geforce 8600M GT。据国外用户测试，Geforce 8600M在3DMark03（XP）下得分10840，3DMark06（XP）得分3653。而ATi的顶级产品为MR HD2600 XT，据国外网站FX57.net测试，3DMark03得分12240，3DMark06得分4002。尽管如此，nVIDIA和ATi的这个结果还存在一些值得商榷的地方：Geforce 8600M具体型号并不清楚；两者并不是在同一机型上测试，HD2600 XT测试用笔记本电脑的配置稍强一些（4GB DDR2-667内存）。

总的说来，nVIDIA的产品线结构似乎更为有利，毕竟大多数独显机型配置的都是低端显卡，nVIDIA为低价DX10独显机型提供了不错的解决方案。ATi面临的压力不仅仅如此，如今越来越多的厂商倾向于选择nVIDIA，就连ThinkPad这样的ATi铁杆粉丝，都投入了nVIDIA的怀抱——在新一代T61/R61上配置nVIDIA的专业显卡。而据nVIDIA最近公布的2007年一季营收报告显示，Geforce笔记本电脑专用移动显示芯片产品营收连续第五季创新高，与去年同期相比成长高达71%。市场调查机构Mercury Research也指出，Geforce系列移动产品在笔记本电脑独立显示芯片市场的占有率达到58％。

从目前的形势来看，ATi在这场大战中暂时处于劣势，倘若Mobility Radeon HD 2000系列在市场上没有大的突破，那么今后移动显卡市场发展的道路可能变得略显艰难。

视频：可显示动态图像的LED艺术风扇

ThinkGeek 让最普通不过的电风扇成为了炫目的时尚产品，这种风扇内置LED灯，可以在“工作时持续显示绚丽的动态图像。”

风扇内甚至还具备5MB内存，可以存储最多128帧图像，你可以随心所欲地加入各种动画特效，不过不知道有多少人可以接受349.99美元的价格呢？

“线程注射”的含义

一. 无处可寻的病毒
大学生毕业后在一家公司担任计算机维护员的工作，这天主任把他找去维修一台出现异常的计算机，这台计算机上什么程序都未运行，可是机内安装的卡巴斯基杀毒软件却在不停的提示在系统目录发现特洛伊木马程序，而后自动进行查杀，可是刚查杀完毕就又跳出了同样的提示，一旦断开网络连接，这个现象立刻终止，再连接网络，立即再次提示发现特洛伊木马程序……如此反复循环，最终导致任何正常工作都无法进行。由于机器上储存有大量重要资料和数据库，如果要重装系统，后面的环境恢复工作必将十分庞大，主任通过杀毒软将无法解决，只好把所有希望都寄托在这名小伙子身上了。

信心十足的坐下来，凭着他往日积累的手工检测和查杀病毒的经验，很快就清理了一堆恶意程序和流氓软件，在经过几次慎重检查所有涉及的启动项都没有异常程序后，再次把网络给连接上了，正欲离开办公室，身后卡巴斯基发现病毒的嘶叫声猛的吓了他一跳，怎么还有病毒？茫然不知所措了……

二. 永无休止的躲藏
隐藏是病毒的天性，在业界对病毒的定义里，“隐蔽性”就是病毒的一个最基本特征，任何病毒都希望在被感染的计算机中隐藏起来不被发现，因为病毒都只有在不被发现的情况下，才能实施其破坏行为。为了达到这个目的，许多病毒使用了各种不同的技术来躲避反病毒软件的检验，这样就产生了各种各样令普通用户头痛的病毒隐藏形式。由于木马后门的行为特征已具备病毒条件，因此本文将木马后门也统一归纳为病毒来描述。
开山鼻祖：隐藏窗口 & 隐藏进程 & 隐藏文件

在计算机流行的早期，计算机病毒和木马后门等危害程序在普通用户范围的普及并不是很广泛，这个时期的用户群对计算机和网络安全的防范意识可以说是几乎没有的，普通用户的系统也多为脆弱的windows 95/98系列和电话线拨号的慢速网络，而那一段时间正是外国木马“bo”和国产木马雏形“冰河”、“netspy”等在如今看来各方面技术都颇为简单的远程控制软件大行其道的黄金时期，很多用户根本就没有防火墙和杀毒软件（即使有，也是以杀cih的为主），即使远方的黑客把用户的计算机翻了个底朝天，用户也不会有所察觉，这一时期接触此类技术的人相对较少，因此并未造成如今这个病毒到处蔓延的局面。
因为这个阶段国内用户的机器环境仍然以windows 9x为主流，所以病毒编写者们并不需要消耗太多的脑筋就可以做到让病毒悄无声息运行的效果，并让它在alt+del+ctrl呼出的任务管理器中不可见。
我们都知道，在windows下运行的程序界面都被定义为“窗口”，程序通过这个途径与用户产生交互，每个完整的程序都必须拥有至少一个窗口，但是如果编写者将这个窗口在运行期间设置为“不可见”呢？这样一来，用户就不会察觉到这个程序在桌面上运行了，但是如果有一定经验的用户打开任务管理器，他就会因为发现系统里多出来的进程而产生怀疑，因此病毒编写者在这个时期采取了初级形式的隐藏手段：隐藏进程。

其实所谓隐藏进程，是利用微软未公开的一个api（application programming interface，应用程序接口）函数“registerserviceprocess”将自身注册为“服务进程”，而恰巧windows 9x中的任务管理器是不会显示此类进程的，结果就被病毒钻了空子，让“冰河”等木马在国内大部分普通用户的机器上安家落户。
而早期后门技术里，还有一个最基本的行为就是隐藏文件，与今天的各种隐藏手段相比，它可谓是“不入流”级别了——这里提到的“隐藏”，就是简单的将文件属性设置为“隐藏”而已，除此之外，再无别的保护手段了，然而，由于系统设计时为了避免初学者胡乱删除文件而默认“不显示系统和隐藏文件”的做法（到了windows 2000/xp时代，这个做法更升级到“隐藏受保护的系统文件”了），却恰好给这些病毒提供了天然的隐身场所——大部分对电脑操作不熟悉的用户根本不知道“隐藏文件”的含义，更别提设置为“显示所有文件”了，在那个安全软件厂商刚开始探索市场的时代，用户更是不会留意太多安全产品及其实际含义，因而这个时期成了各种初期木马技术发展的重要阶段，利用这种手段制作的木马被统称为“第一代木马”。
以现在的技术和眼光看来，这些早期技术作品的发现和清理是相对较简单的了，因为它们采用的“进程隐藏”技术在nt体系上的windows2000/xp/2003等操作系统上已经无效了，直接使用系统自带的任务管理器便能发现和迅速终止进程运行，而后在“控制面板”——“文件夹选项”里面设置“显示所有文件”和取消“隐藏受保护的系统文件”，就能发现那个被隐藏起来的木马程序了。对于windows 9x用户，使用任意一款第三方的进程管理工具如“windows优化大师”的进程管理组件即可轻松发现。

继续发展：使用线程注射技术的dll木马
虽然现在使用“线程注射”的木马病毒和流氓软件已经遍地开花了，但是从那个混沌时代经历过来的人都不会忘记首个采用“线程注射”的dll木马“广外幽灵”在当时所带来的恐惧，“线程注射”到底是种什么东西呢？下面就让我们来详细讲解一下。

首先，用户可能不会了解“线程”（thread）的意思，而要讲解“线程”，就不能不先提到“进程”（process）的概念。许多刚接触计算机的用户无法理解“进程”是什么东西：常常听到高手说打开任务管理器关闭某某进程，但是一看到任务管理器列表里的一堆东西，头就大了。许多用户知道使用任务管理器关闭一些失去响应的任务，但是如果某个任务没有在“应用程序”列表里出现，用户就不知所措了。到底什么是“进程”呢？“进程”是指一个可执行文件在运行期间请求系统在内存里开辟给它的数据信息块，系统通过控制这个数据块为运行中的程序提供数据交换和决定程序生存期限，任何程序都必须拥有至少一个进程，否则它不被系统承认。进程从某一方面而言就是可执行文件把自身从存储介质复制在内存中的映像，它通常和某个在磁盘上的文件保持着对应关系，一个完整的进程信息包括很多方面的数据，我们使用进程查看工具看到的“应用程序”选项卡包含的是进程的标题，而“进程”选项卡包含的是进程文件名、进程标识符、占用内存等，其中“进程文件名”和“进程标识符”是必须掌握的关键，“进程标识符”是系统分配给进程内存空间时指定的唯一数字，进程从载入内存到结束运行的期间里这个数字都是保持不变的，而“进程文件名”则是对应着的介质存储文件名称，根据“进程文件名”我们就可以找到最初的可执行文件位置。

任务管理器的“应用程序”项里列出来的“任务”，是指进程在桌面上显示出来的窗口对象，例如用户打开word 2003撰写文档，它的进程“winword.exe”会创建一个在桌面上显示的前台窗口，这个窗口就是任务管理器里看得见的“任务”了，而实际上真正在运行的是进程“winword.exe”。并不是所有的进程都会在任务管理器里留下“任务”的，像qq、msn和所有后台程序，它们并不会在任务列表里出现，但是你会在进程列表里找到它们，如果要它们在任务列表里出现该怎么办呢？只要让它们产生一个在桌面上出现的窗体就可以了，随便打开一个好友聊天，就会发现任务列表里终于出现了qq的任务。因此，真正科学的终止程序执行方案是针对“进程”来结束程序的运行，而不是在任务列表里关闭程序，因为木马作者们是不会让自己的木马在任务列表里出现的，但是进程列表里一般人都是逃不过的。

而“线程”，则是在一个进程里产生的多个执行进度实例，举个简单例子，一个网络文件传输程序如果只有一个线程（单线程）运作，那么它的执行效率会非常低下，因为它既需要从网络上读取文件数据，又需要把文件保存到磁盘，同时还需要绘制当前传输进度条，由于在代码的角度里这些操作只能一条条的顺序执行，程序就不能很好的做到在保存数据的同时绘制传输进度条，即使程序员将其勉强凑到一块执行，在用户方面看来，这个程序的响应会非常缓慢甚至直接崩溃，而“多线程”技术则是为了解决这种问题而产生的，采用“多线程”技术编写的应用程序在运行时可以产生多个同时执行的操作实例，例如一个采用“多线程”技术的网络文件传输程序就能同时分出三个进度来同时执行网络数据传输、文件保存操作和绘制传输进度条的操作，于是在用户看来，这个程序运行非常流畅，这就是线程的作用。在程序运行时，只能产生一个进程，但是在这个进程的内存空间（系统为程序能正常执行而开辟的独立内存领域）里，可以产生多个线程，其中至少有一个默认的线程，被称为“主线程”，它是程序主要代码的运行部分。

那么，“线程注射”又是什么含义呢？其实它的全称是“远程线程注射”（remotethread injection），通常情况下，各个进程的内存空间是不可以相互访问的，这也是为程序能够稳定运行打下基础，这个访问限制让所有进程之间互相独立，这样一来，任何一个非系统关键进程发生崩溃时都不会影响到其他内存空间里的进程执行，从而使nt架构的稳定性远远高于win9x架构。但是在一些特定的场合里，必须让进程之间可以互相访问和管理，这就是“远程线程”技术的初衷，这个技术实现了进程之间的跨内存空间访问，其核心是产生一个特殊的线程，这个线程能够将一段执行代码连接到另一个进程所处的内存空间里，作为另一个进程的其中一个非核心线程来运行，从而达到交换数据的目的，这个连接的过程被称为“注射”（injection）。远程线程技术好比一棵寄生在大树上的蔓藤，一旦目标进程被注射，这段新生的线程就成为目标进程的一部分代码了，只要目标进程不被终止，原进程无论是否还在运行都不会再影响到执行结果了。

与“线程注射”离不开的是“hook”技术，这个“hook”，又是什么呢？其官方定义如下：
钩子（hook），是windows消息处理机制的一个平台，应用程序可以在上面设置子程以监视指定窗口的某种消息，而且所监视的窗口可以是其他进程所创建的。当消息到达后，在目标窗口处理函数之前处理它。钩子机制允许应用程序截获处理window消息或特定事件。

钩子实际上是一个处理消息的程序段，通过系统调用，把它挂入系统。每当特定的消息发出，在没有到达目的窗口前，钩子程序就先捕获该消息，亦即钩子函数先得到控制权。这时钩子函数即可以加工处理（改变）该消息，也可以不作处理而继续传递该消息，还可以强制结束消息的传递。

在这里，木马编写者首先把一个实际为木马主体的dll文件载入内存，然后通过“线程注射”技术将其注入其他进程的内存空间，最后这个dll里的代码就成为其他进程的一部分来实现了自身的隐藏执行，通过调用“hook”机制，这个dll木马便实现了监视用户的输入输出操作，截取有用的资料等操作。这种木马的实际执行体是一个dll文件，由于windows系统自身就包含着大量的dll文件，谁也无法一眼看出哪个dll文件不是系统自带的，所以这种木马的隐蔽性又提高了一级，而且它的执行方式也更加隐蔽，这是由windows系统自身特性决定的，windows自身就是大量使用dll的系统，许多dll文件在启动时便被相关的应用程序加载进内存里执行了，可是有谁在进程里直接看到过某个dll在运行的？因为系统是把dll视为一种模块性质的执行体来调用的，它内部只包含了一堆以函数形式输出的模块，也就是说每个dll都需要由一个用到它的某个函数的exe来加载，当dll里的函数执行完毕后就会返回一个运行结果给调用它的exe，然后dll进程退出内存结束这次执行过程，这就是标准的dll运行周期，而采用了“线程注射”技术的dll则不是这样，它们自身虽然也是导出函数，但是它们的代码是具备执行逻辑的，这种模块就像一个普通exe，只是它不能直接由自身启动，而是需要有一个特殊作用的程序（称为加载者）产生的进程把这个dll的主体函数载入内存中执行，从而让它成为一个运行中的木马程序。了解windows的用户都知道，模块是紧紧依赖于进程的，调用了某个模块的进程一旦退出执行，其加载的dll模块也就被迫终止了，但是在dll木马里，这个情况是不会因为最早启动的exe被终止而发生的，因为它使用了“远程线程注射”技术，所以，在用户发现异常时，dll木马早就不知道被注入哪个正常进程里了，即使用户发现了这个木马dll，也无法把它终止，因为要关闭它就必须在那么多的系统进程里找到被它注射的进程，并将其终止，对一般用户来说，这是个不可能完成的任务。

三分钟隐藏管理员账号

对regedit.exe大家都很熟悉，但却不能对注册表的项键设置权限，而regedt32.exe最大的优点就是能够对注册表的项键设置权限。nt/2000/xp的帐户信息都在注册表的HKEY_LOCAL_MACHINE\SAM\SAM键下，但是除了系统用户SYSTEM外，其它用户都无权查看到里面的信息，因此我首先用regedt32.exe对SAM键为我设置为“完全控制”权限。这样就可以对SAM键内的信息进行读写了了。具体步聚如下：

　1、假设我们是以超级用户administrator登录到开有终端服务的肉鸡上的，首先在命令行下或帐户管理器中建立一个帐户:hacker$,这里我在命令行下建立这个帐户 net user hacker$ 1234 /add

　　2、在开始/运行中输入:regedt32.exe并回车来运行regedt32.exe。

　　3、点“权限”以后会弹出窗口点添加将我登录时的帐户添加到安全栏内，这里我是以administrator的身份登录的，所以我就将administrator加入，并设置权限为“完全控制"。这里需要说明一下:最好是添加你登录的帐户或帐户所在的组，切莫修改原有的帐户或组，否则将会带来一系列不必要的问题。等隐藏超级用户建好以，再来这里将你添加的帐户删除即可。

　　4、再点“开始”→“运行”并输入"regedit.exe" 回车,启动注册表编辑器regedit.exe。 打开键：HKEY_LOCAL_MAICHINE\SAM\SAM\Domains\account\user\names\hacker$"

　　5、将项hacker$、00000409、000001F4导出为hacker.reg、409.reg、1f4.reg，用记事本分别打这几个导出的文件进行编辑，将超级用户对应的项000001F4下的键"F"的值复制，并覆盖hacker$对应的项00000409下的键"F"的值,然后再将00000409.reg与hacker.reg合并。

　　6、在命令行下执行net user hacker$ /del将用户hacker$删除：net user hacker$ /del

　　7、在regedit.exe的窗口内按F5刷新，然后打文件-导入注册表文件将修改好的hacker.reg导入注册表即可

　　8、到此，隐藏的超级用户hacker$已经建好了，然后关闭regedit.exe。在regedt32.exe窗口内把HKEY_LOCAL_MACHINE\SAM\SAM键权限改回原来的样子（只要删除添加的帐户administrator即可）。

　　9、注意：隐藏的超级用户建好后，在帐户管理器看不到hacker$这个用户，在命令行用“net user”命令也看不到，但是超级用户建立以后，就不能再改密码了，如果用net user命令来改hacker$的密码的话，那么在帐户管理器中将又会看这个隐藏的超级用户了，而且不能删除。

注:本地机直接从第2步开始

iphone视频广告曝光啦

实在太诱人了。。。

根据IP地址查交换机端口

在一个Cisco 交换网络中间，已知某台机器的IP地址，如何找出它连接到了哪台交换机的哪个端口上呢?最方便快捷的方法使使用CiscoWorks 2000 LMS网管软件的User tracking 功能，图形化界面，一目了然。

　　如果没有这个软件，也可以使用以下手工分析方法来找出答案:

　　示例网络:核心交换机为6509(交换引擎SE用CatOS, MSFC 运行IOS软件)
　　1. 找出该IP所对应的MAC地址:
　　通过查看系统的ARP缓存表可以找出某IP所对应的MAC地址。由于ARP不能跨VLAN进行，所以连接各个VLAN的路由模块MSFC就是最佳的选择--一般它在每一个VLAN都有一个端口(interface vlan n)，能正确地进行ARP解释。
　　6509MSFC#ping 10.10.1.65
　　Type escape sequence to abort.
　　Sending 5, 100-byte ICMP Echos to 10.10.1.65, timeout is 2 seconds:
　　!!!!!
　　Success rate is 100 percent (5/5), round-trip min/avg/max = 1/1/4 ms
　　6509MSFC#show arp | in 10.10.1.65
　　Internet 10.10.1.65 2 0006.2973.121d ARPA Vlan2
　　通过以上命令，我们知道10.10.1.65的MAC地址是0006.2973.121d, 这是IOS设备的MAC地址表达方式，在CatOS中，应写为00-06-29-73-12-1d.

　　2.在交换机上找出MAC地址所对应的端口
　　6509SE> (enable) show cam 00-06-29-73-12-1d
　　* = Static Entry. + = Permanent Entry. # = System Entry. R = Router Entry.
　　X = Port Security Entry $ = Dot1x Security Entry
　　VLAN Dest MAC/Route Des [CoS] Destination Ports or Vcs / [Protocol Type]
2 00-06-29-73-12-1d 9/41 [ALL]
　　Total Matching CAM Entries Displayed =1

　　这是不是说IP为 10.10.1.65的机器就接在端口9/41上呢?
　　不一定。如果以下命令中显示该端口上只有一个活动的MAC地址，那么答案就是肯定的:
　　6509SE> (enable) show cam dynamic 9/41
　　* = Static Entry. + = Permanent Entry. # = System Entry. R = Router Entry.
　　X = Port Security Entry $ = Dot1x Security Entry
　　VLAN Dest MAC/Route Des [CoS] Destination Ports or VCs / [Protocol Type]
　　---- ------------------ ----- -------------------------------------------

　　2 00-06-29-73-12-1d 9/41 [ALL]
　　Total Matching CAM Entries Displayed =1
　　如果该命令显示该端口上有多个活动的MAC地址，那么这个端口应该连接到别的交换机或HUB设备上，见下面的例子(查找IP为10.10.1.250所对应的交换机端口):

　　6509MSFC#ping 10.10.1.250
　　Type escape sequence to abort.
　　Sending 5, 100-byte ICMP Echos to 10.10.1.250, timeout is 2 seconds:
　　!!!!!
　　Success rate is 100 percent (5/5), round-trip min/avg/max = 1/1/1 ms
　　6509MSFC#show arp | in 10.10.1.250
　　Internet 10.10.1.250 4 0009.6b8c.64ec ARPA Vlan2
　　6509SE> (enable) show cam 00-09-6b-8c-64-ec
　　* = Static Entry. + = Permanent Entry. # = System Entry. R = Router Entry.
　　X = Port Security Entry $ = Dot1x Security Entry
　　VLAN Dest MAC/Route Des [CoS] Destination Ports or VCs / [Protocol Type]
　　---- ------------------ ----- -------------------------------------------

　　2 00-09-6b-8c-64-ec 3/11 [ALL]
　　Total Matching CAM Entries Displayed =1
　　6509SE> (enable) show cam dy 3/11
　　* = Static Entry. + = Permanent Entry. # = System Entry. R = Router Entry.
　　X = Port Security Entry $ = Dot1x Security Entry
　　VLAN Dest MAC/Route Des [CoS] Destination Ports or VCs / [Protocol Type]
1 00-03-e3-4b-06-80 3/11 [ALL]
　　1 00-08-02-e6-b0-cd 3/11 [ALL]
　　1 00-02-a5-ee-f2-4f 3/11 [ALL]
　　1 00-09-6b-8c-66-d6 3/11 [ALL]
　　1 00-09-6b-63-17-d9 3/11 [ALL]
　　1 00-0b-cd-03-ec-f5 3/11 [ALL]
　　1 00-09-6b-63-17-d8 3/11 [ALL]
　　1 00-08-02-e6-b0-c1 3/11 [ALL]
　　1 00-08-02-e6-b0-85 3/11 [ALL]
　　1 00-08-02-e6-b0-81 3/11 [ALL]
　　1 00-02-a5-ef-16-af 3/11 [ALL]
　　1 00-02-a5-ee-f2-93 3/11 [ALL]
　　1 00-02-55-c6-05-61 3/11 [ALL]
　　2 00-09-6b-8c-64-ec 3/11 [ALL]
　　1 00-08-02-e6-b0-ed 3/11 [ALL]
　　1 00-08-02-e6-b0-a9 3/11 [ALL]
　　1 00-02-55-54-7a-e0 3/11 [ALL]
　　1 00-02-a5-ef-15-a6 3/11 [ALL]
　　1 00-08-02-e6-af-8f 3/11 [ALL]
　　1 00-08-02-e6-b0-bd 3/11 [ALL]
　　1 00-0b-cd-03-db-8b 3/11 [ALL]
　　1 00-09-6b-8c-25-50 3/11 [ALL]
　　Do you wish to continue y/n [n]? n

　　由于该端口连接到另一台交换机或HUB,必须继续追查，方法如下:
　　6509SE> (enable) show cdp nei 3/11
　　* - indicates vlan mismatch.
　　# - indicates duplex mismatch.
　　Port Device-ID Port-ID Platform
　　-------- ------------------------------- ------------------------- ------------

　　3/11 Cisco2924 GigabitEthernet1/1 cisco WS-C2924M-XL
　　该命令显示对端设备是一台Cisco2924，如果没有显示，那么说明连接的是别的厂家的设备，可能要到该交换机上用类似的办法继续追查。本例子中是Cisco 设备，所有我们可以继续:

　　6509SE> (enable) show cdp nei 3/11 de
　　Port (Our Port): 3/11
　　Device-ID: Cisco2924
　　Device Addresses:
　　IP Address: 10.10.0.60
　　Holdtime: 153 sec
　　Capabilities: TRANSPARENT_BRIDGE SWITCH
　　Version:
　　Cisco Internetwork Operating System Software
　　IOS (tm) C2900XL Software (C2900XL-C3H2S-M), Version 12.0(5.2)XU, MAINTENANCE INTERIM SOFTWARE
　　Copyright (c) 1986-2000 by cisco Systems, Inc.
Compiled Mon 17-Jul-00 17:35 by ayounes
　　Platform: cisco WS-C2924M-XL
　　Port-ID (Port on Neighbors's Device): GigabitEthernet1/1
　　VTP Management Domain: lan
　　Native VLAN: 1
　　Duplex: full
　　System Name: unknown
　　System Object ID: unknown
　　Management Addresses: unknown
　　Physical Location: unknown
　　Cisco2924#show mac-address-table dynamic address 0009.6b8c.64ec
　　Non-static Address Table:
　　Destination Address Address Type VLAN Destination Port
　　------------------- ------------ ---- --------------------
　　0009.6b8c.64ec Dynamic 2 FastEthernet0/2
　　Cisco2924#show mac-address-table dynamic interface f0/2
　　Non-static Address Table:
　　Destination Address Address Type VLAN Destination Port
　　------------------- ------------ ---- --------------------
　　0009.6b8c.64ec Dynamic 2 FastEthernet0/2
　　通过以上命令可知，MAC地址0009.6b8c.64ec 与Cisco 2924交换机相连，且是该端口上唯一活动的MAC地址，所以IP为10.10.1.250的机器应该就连接在这个端口上。