淺析系統網絡管理經驗之五大問題

淺析系統網絡管理經驗之五大問題

1、網卡的安裝問題

安裝網卡的關鍵是：選擇正確的網卡設備驅動，網卡的中斷號和中斷地址不能存在資源衝突。
但是筆者遇到：在WIN95中安裝Dlink 10M即插即用網卡和TCP/IP協議後，用ping工具探測網關不通，探測自身網卡地址卻正常。在控制面版->系統的設備管理中，發現網卡無資源衝突標記，驅動狀況正常，用另外一臺工做正常的客戶機來檢查網線，網絡通道也正常。進一步，檢查網卡的資源分配狀況，發現其中斷號爲12，取消其自動分配功能，手工設置其中斷號，再ping網關，網通了。
原來，有些主版即插即用的功能不完善，給即插即用網卡分別了系統已佔用的資源，在WIN95控制面版中檢查網卡的配置狀況卻正常，形成假象。
以上的修改方法，對於PCI網卡，又不靈了，緣由是不能手工設置PCI網卡的中斷號。怎麼辦呢？在微機主板的CMOS中，去除中斷12的即插即用分配，重啓系統，讓系統從新配置網卡資源，避開中斷12的分配。

2、客戶機上聯口的快速定位

IP地址是Internet/Intranet網上主機通信的邏輯地址，由用戶手動設置或系統自動分配。局域網上如有兩臺主機IP地址相重，則兩臺主機相互報警，形成應用混亂。在校園網上，有幾百臺，甚至上千臺主機上網，如何控制IP地址盜用呢？
採用Vlan虛網技術，可控制一段IP地址在某一Vlan中使用，而在其它Vlan中無效。但在同一Vlan的有效IP範圍內，仍然會出現IP盜用。
咱們利用3COM周邊交換機記錄上網網卡MAC地址的功能，從盜用IP的MAC地址追蹤其客戶機上聯交換機的端口位置，而後禁止此端口的使用，並用行政手段對盜用者採起處罰措施，完全根治IP盜用事件。具體方法以下：

一、創建合法的客戶機IP-MAC對應數據庫；
二、利用簡單網絡協議按期從NB2 3COM路由器中讀取mib庫地址1.3.6.1.2.1.3.1.1.2 中IP-MAC表，以下所示：IP地址202.112.162.2的MAC地址爲00104B04B81A

1.3.6.1.2.1.3.1.1.2.129.1.202.112.162.1 = 08 00 02 1A 81 C3
1.3.6.1.2.1.3.1.1.2.129.1.202.112.162.2 = 00 10 4B 04 B8 1A
1.3.6.1.2.1.3.1.1.2.129.1.202.112.162.3 = 00 10 4B 04 B8 A5
1.3.6.1.2.1.3.1.1.2.129.1.202.112.162.5 = 00 10 4B 0D 71 08
1.3.6.1.2.1.3.1.1.2.129.1.202.112.162.12 = 00 10 4B 0D 70 CE

依照標準數據庫，檢查是否有新的MAC地址或IP-MAC不對應的MAC地址。如有，則執行下一步。

三、在二十幾臺交換機3COM SW1000中，讀取mib庫地址1.3.6.1.4.1.43.10.9.5.1.6.1 中的MAC地址表。下表爲某臺交換機記錄的部分下聯口網卡MAC表，第三口上聯一臺主機，第九口上聯3臺主機。

1.3.6.1.4.1.43.10.9.5.1.6.1.3.1 = 00 80 C8 78 53 8C
1.3.6.1.4.1.43.10.9.5.1.6.1.4.1 = 00 80 C8 E3 24 45
1.3.6.1.4.1.43.10.9.5.1.6.1.9.1 = 00 00 21 E7 00 9E
1.3.6.1.4.1.43.10.9.5.1.6.1.9.2 = 00 80 C8 E3 3D 52
1.3.6.1.4.1.43.10.9.5.1.6.1.9.3 = 00 00 21 E5 05 3F
1.3.6.1.4.1.43.10.9.5.1.6.1.24.1 = 00 80 C8 E3 58 60

找出此盜用IP的MAC地址出自哪臺交換機的哪一個端口，併發信通知網絡管理員。

四、網絡管理員確認後，禁止此交換機端口的使用。

另外，能夠簡化以上步驟， 將上述第三步，設計成CGI公共網關接口程序，根據用戶反映的盜用IP地址或MAC地址，在Web網頁上輸入此地址，調用MAC定位的CGI程序，返回該MAC地址上聯交換機端口的位置。

3、系統數據的備份

常採用磁帶機來備份大容量數據，但對於少許的系統關鍵數據，用兩臺主機間硬盤備份更方便、靈活，如定時發電子郵件或用FTP將數據傳至另外一臺機器上。備份時，應注意數據的安全性、可*性，如：防止網上數據的截獲、防止已損害數據覆蓋原來備份的數據。咱們在兩臺UNIX主機間，利用UNIX的信任關係，實現數據遠程拷貝，將一臺主機中的關鍵數據先加密，用cron按期將此數據拷貝到另外一臺主機。

具體方法以下：

一、創建機器B (hostb) 信任機器A (hosta)的信任關係。
在hostb主機的用戶backdata根目錄下建.rhost文件，內容爲：hosta root。
代表hosta的root用戶有權在hostb的用戶backdata目錄下進行遠程操做。

二、在hosta中，編寫遠程拷貝Shell程序backdata.sh。將源文件按當前月份和星期幾備份，備份數據每週覆蓋一次。

# /root/backdata.sh
month=`date +"%y%m"`
weekday=`date +"%a"`
rcp /root/db.dat backdata@hostb:db.dat.${month}
rcp /root/db.dat backdata@hostb:db.dat.${weekday}

 

三、在hosta中，用crontab -e設計定時操做：天天2點鐘執行上述程序。

0 2 * * * /root/backdata.sh > > /root/backdata.log

 

4、Windows與Linux間的資源共享

一、從Windows共享linux資源

小紅帽redhat 6.0中自帶編譯好的samba程序，提供samba文件共享服務。首先，設置配置文件/etc/smb.conf。以下所示，設置：本機的工做組或域名，netbios機器名，本地或NT域控制器口令認證方法；本地認證時，須要用命令/usr/bin/smbpasswd生成用戶口令文件/etc/smbpasswd；設置共享目錄：如film共享目錄對應實際目錄/disk1/film。

[global]
# workgroup = NT-Domain-Name or Workgroup-Name
workgroup = cauic
# netbios name = 機器名
netbios name = linuxzrm
# server string is the equivalent of
the NT Description field
server string = Linuxzou Samba Server
# security =用戶認證方法：
本地認證（user）或域控制器認證（server）
security = user
; security = server
# 本地認證時，用此口令文件
smb passwd file = /etc/smbpasswd
encrypt passwords = yes
guest account = nobody
allow hosts = 202.112.162.
deny hosts = all
[film]
available = yes
path = /disk1/film

 

修改配置後，可用工具testparm測試此配置是否正常。而後，執行/etc/rc.d/init.d/smb start|restart啓動或重啓smaba服務（包括smbd和nmbd服務）。
如今，能夠在windows下瀏覽cauic工做組下機器名爲linuxzrm的共享資源。

二、從linux共享windows資源

利用linux的工具smbmount將windows下共享目錄按smb文件系統，裝載到本機目錄下。下面的shell程序（需超級用戶執行）代表，以用戶名爲zoup、口令爲z12345身份，將windows服務器VOD下共享目錄rmcontent，裝載到本機/vodcontent目錄下，安裝點屬於本機用戶zou用戶組staff。

# /home/zou/mountvod.sh
smbmount "//vod/rmcontent" -c ''mount /vodcontent
-u zou -g staff'' -U zoup%z12345

 

將以上命令放到系統啓動文件中，系統每次啓動後，會自動裝載windows共享目錄。如：在文件/etc/rc.d/rc.local中添加如下語句：

if [ -f /home/zou/mountvod.sh ]; then
echo mounting //vod/rmconten
/home/zou/mountvod.sh > > /home/zou/mountvod.log
fi

 

5、cisco路由器IP流量的獲取

用cisco路由器做網際路由器時，通常都利用cisco的IP包過濾功能來統計IP流量。方法是在cisco路由器的每一個出入口添加ip accounting output-packets命令，cisco路由器會自動統計這些端口的IP流量。
經常使用snmp或telnet終端仿真（show ip account）方法，獲取IP流量。在Cisco IOS v.11以上版本中，提供了http服務器功能，用戶可從WWW網頁管理cisco路由器，不須要任何編程，便可很容易地採集IP流量，爲了安全起見，還可限制訪問服務器的客戶機。方法以下：

Access-list 10 permit 202.112.162.5
Ip http server
Ip http access-list 10

 

在客戶機202.112.162.5中，用網頁下載工具wget按期採集、清除IP流量。方法以下：

#讀取IP流量，存入outpu-packets網頁文件中
wget --http-user=admin --http-passwd=cisco
http://cisco/exec/show/ip/accounting/output-packets

#清除採集過的IP流量
wget --http-user=admin --http-passwd=cisco
http://cisco/exec//clear/ip/accounting/CR

在網頁outpu-packets中，讀取標識符< pre >、

< /pre >之間的IP流量表，來實現統計IP流量。

Source Destination Packets Bytes 202.112.175.7 202.205.10.30 3 592 202.112.175.175 203.207.176.15 17 2000 202.112.168.22 202.96.44.134 1 40 202.112.164.5 202.103.134.58 1 40 202.112.175.201 202.114.98.12 3 430 202.112.164.151 202.96.49.1 6 279