信息技术网络管理与维护

第14章网络管理与维护本章学习目的1如何添加网络组件；2影响网络性能的要素和提高网络性能的方法；3TCP/IP的配置；4运用网络监视器和性能监视器监控网络性能并进展化；5win2000server的自动优化系统功能；6运用命令行对网络进展管理；7提高win2000server的平安性措施。14.1网络管理简介(1)网络管理的义务主要有：1．配置管理配置管理是网络管理的最根本功能，担任监测和控制网络的配置态。2．性能管理性能管理保证有效运营网络和提供商定的效力质量，在保证各种业务的效力质量的同时，尽量提高网络资源利用率。3．缺点管理缺点管理的作用是迅速发现、定位和排除网络缺点，动态维护网络的有效性。14.1网络管理简介(2)4．平安管理平安管理的作用是提供信息的严密、认证和完好性维护机制，使网络中的效力数据和系统免受侵扰和破坏。5．记账管理记账管理的作用是正确的计算和接纳用户运用网络效力的费用，进展网络资源的统计和网络本钱效益的计算。14.2添加网络组件(1)1.双击“网络邻居〞，翻开“网上邻居〞窗口，点击“网络和拨号衔接〞超链接，在“网络和拨号衔接〞窗口中单击“添加网络组件〞超衔接，翻开如图14-1所示“Windows可选的网络组件导游〞对话框，在对话框中的组件列表框中，系统给出了用户可以选择安装的网络组件。图14-1“windows〞可选的网络组件导游“对话框14.2添加网络组件(2)2用户可以根据本人的需求，单击组件选项旁边的复选框以便确认安装该类组件。用户可以单击“详细信息〞按钮或者是双击该组件选项，翻开该类组件详细内容对话框来详细选择安装某个子组件图14-2添加“网络效力〞对话框14.3提高网络性能衡量网络性能优劣的规范网络性能瓶颈减少信息流量添加子网数目提高网络速度14.3.1衡量网络性能优劣的规范1.数据链路带宽必需超出网络客户机处置数据的才干。2.竞争访问网络共享介质的访问不能超越介质的负载限制。3.效力器必需足够的快，以快速呼应一切网络客户机的恳求。14.3.2网络性能瓶颈常会用到的术语:1.Resources〔资源〕是硬件部件。软件进程在硬件资源下装载进展。2.Bottlenecks〔瓶颈〕是影响计算机呼应才干的资源。当详细运用时，瓶颈是指影响系统性能的部件。3.Load〔负荷〕资源是不得不执行的任务总量。4.Optimization(优化)是减少瓶颈对性能的影响。优化包含去除不用要的负荷、平衡多个设备之间的负载或者查找添加可用资源等。5.Throughput(吞吐率)是一定的时间周期内经过的资源信息流。6.Processes(进程)是计算机中可并发执行的程序在一个数据集合上的运转过程，是程序的一次执行和资源分配的根本单位。7.Threads〔线程〕是一个进程内的根本调度单位。一个进程可以有一个或多个线程；在多处置器环境中，线程是处置器间分配的根本单元。14.3.3减少信息流量当环境允许时，减少信息流量的方式是最好的。由于不论当前网络的构造如何，这种方式都起作用，而且并不需求任何物理改动。减轻网络负荷通常包括找出哪一台计算机产生了最大的网络负荷，确定该计算机为什么会产生如此大的网络负荷。假设能够的话减轻由这一详细计算机所产生的网络负荷。反复执行以上过程，直到不能够进一步减轻网络负荷为止，这样就把网络信息流量降到了某种可行的程度。14.3.4添加子网数目添加子网数目是另一种方式，这种方法实践上是构建更多的通路，从而减轻信息流量拥塞。将共享介质型网络拆分成多个由交换机、路由器或者执行路由功能的效力器所衔接的子网，这样可以划分冲突域〔子网内计算机通讯数据不出本子网段〕，进而提高网络性能。14.3.5提高网络速度提高网络速度是处理网络性能的最直接的，当然费用能够会高一些，由于这种方式需求交换网络上数据链路设备，甚至涉及网络体系构造的改动。通常数据链路晋级是指从以太网〔Ethernet〕晋级到快速以太网〔FastEthernet〕或者1000M/10G以太网。有时只需求晋级主干网、效力器之间的链路或者某个子网就可以了。运用网络监视器识别网络上信息量大的用户，并把那些用户迁移到更快的网络上。下面引见几种较常用的网络技术：1〕快速以太网〔FastEthernet〕2〕千兆位以太网〔GigabitEthernet〕3〕万兆以太网〔10GigabitEthernet〕14.4TCP/IP设置TCP/IP协议是Windows2000的默许网络协议，也是Windows2000正常运转、实现一切功能所必需的协议。TCP/IP协议配置包括一系列参数，如IP地址、子网掩码和默许网关的。另外在大规模的网络中也可以运用DHCP效力〔动态主机配置协议〕来简化TCP/IP参数的设置。14.4.1IP地址(1)在以TCP/IP为通讯协议的网络上，每台主机都有独一的IP地址，IP地址用来独一标示一台主机，也隐含着网络间的途径信息。IP地址共占用32个位，普通是以4个十进制数来表示，每个数字称为一个字节，字节与字节之间用点隔开，例如：，由于在TCP/IP网络上是利用IP地址来标示每一台主机，每一台主机都必需拥有独一的IP地址。14.4.1IP地址(2)类网络号主机号W取值支持网络数每个网络支持主机数AWX.Y.Z1-12612616,777,214BW.XY.Z128-1911638465,534CW.X.YZ192-2232,097,152254D224-239E240-25414.4.2子网掩码子网掩码也是由32位二进制数构成，它有两大功能。一是用来区分IP地址内的网络号和主机号，一是用来将网络切割为数个子网或将网络合并为超网。当网络上的主机在相互沟通时，他们利用子网来得知对方的网络号，进而得知彼此能否在一样的网络区域里。下面给出了默许的子网掩码，其中：A类为，B类，C类为。14.4.3默许网关在同一个网络号内的主机可以直接通讯，而不是同一个网络号内的主机，必需经过路由器才干通讯。默许网关是一个IP地址，是衔接本子网路由器的IP地址。当发送方计算机和接纳方计算机不在同一个子网时，TCP/IP协议就将IP数据包发往默许网关，由默许网关将数据包路由到目的地。14.4.4配置TCP/IP协议的相关参数鼠标右键单击“网上邻居〞，选择“属性〞/“网络和拨号衔接〞/“本地衔接〞/“属性〞/“此衔接运用以下选定的“组件〞/“Internet协议(TCP/IP)〞/“属性〞，翻开如图14-3所示对话框。如图14-3所示对话框。14.5网络性能监视器(1)如前所述，网络有很多性能问题，假设问题涉及到网络硬件、线缆或网络流量，该问题就很难发现。性能监视器提供了计数器来衡量经过效力器的网络流量，可以从多种角度监视系统资源的运用情况，并且可以监视几乎系统中一切的资源，同时可以将监视的结果用多种方式显示出来，以满足在不同的情况下对系统资源监视的要求。几个概念。1．对象：对象是系统中主要的子系统或组件，对象可以是硬件子系统或是软件子系统。2．实例：实例代表多个一样类型的对象，例如在一个多处置机系统中，每一个CPU就是处置器对象的一个实例。3．计数器：经过计数器可以搜集对象或子系统的多个方面，多个角度的数据。在性能监视器上显示的是一个个详细的计数器，代表了被监视对象各个方面的运转情况。不正常的网络计数器值阐明它代表的对象的某一性能出了问题。14.5网络性能监视器(2)表14-2性能对象、计数器及对应阐明问题。对象说明

计数器

描述

Server

PoolNonpaged

监控在分配内存时被拒绝的次数，该数表明物理内存太少

Server

PoolNonpagedPeak

表明服务器所需要的内存量

Server

TotalBytes/sec

每秒钟发送和接受的字节数，该数指出了网络的忙碌程度NetBEUI

Frame

发送的字节数和帧数

Bytes

Received/sec

每秒接受字节数

NetBEUI

TimesExhausted

自系统启动后所有资源的使用次数FramesRejected

FramesRejected接受的不正确、需要重传的帧数

14.5网络性能监视器(3)用户可以按如下步骤启用“性能监视器〞监控系统的性能。步骤一，翻开“开场〞菜单，选择“程序〞/“管理工具〞/“性能〞命令后，系统将翻开“性能〞窗口，如图14-5所示。步骤二，在“性能〞窗口的工具栏中单击“+〞按钮或在右侧子窗口中鼠标右键单击后，系统翻开“添加计数器〞对话框，如图14-4所示。步骤三，在“添加计数器〞对话框中，用户首先需求选择希望监控的计算机，以及属于该对象的计数器，单击“添加〞按钮即可。步骤四，单击“封锁〞按钮后，系统将前往到“性能〞窗口，这时用户便可看到系统开场用选定的计数器对相应的对象进展监控，绘出计数器统计数值的图形，如图14-5所示。步骤五，反复步骤二到步骤四，可以添加多个计数器，从不同子系统的不同角度监视系统运转的情况。14.5网络性能监视器(4)图14-4“选择计数器〞对话框14.5网络性能监视器(5)图14-5性能监视器对网络进展监控14.6网络监视器Microsoft网络监视器是Windows2000效力器所包括的一个网络诊断工具，它实现了第三方网络分析器的许多一样功能，它易于操作、可被快速配置和设置以捕获数据，可运转在一台或者多台客户机和效力器上。Microsoft网络监视器必需可以经过网络从网络计算机上获得数据，这就需求和Microsoft网络监视器衔接的任一台计算机上装入Microsoft网络监视器代理，它会经过网络直接与装在网络计算机上的监控代理打交道。Microsoft网络监视器和网络代理交互作用，在本地计算机或者网络上的任何一台计算机上进展监控，到达捕获网络信息流量的目的。Microsoft网络监视器捕获信息流量的方式有：1.捕获一切网络数据并用显示挑选器显示出有意义的数据包；2.限制捕获，只捕获挑选器定义的数据；3.经过创建定制的捕获触发器在指定事件出现后停顿数据捕获。14.6.1网络监视器窗口(1)Microsoft网络监视器的主屏幕主要由4个平铺窗口组成，分别为：网络图表窗口、会话统计窗口、站统计窗口、汇总统计窗口。翻开“开场〞菜单，选择“程序〞/“管理工具〞/“网络监视器〞命令，翻开“Microsoft网络监视器〞窗口，如图14-6所示。图14-6Microsoft网络监视器14.6.1网络监视器窗口(2)1.图表显示窗口图表显示窗口主要是以图表的方式显示某一瞬间网络的运用情况。在“Microsoft网络监视器〞窗口中，翻开“窗口〞菜单，取消选择“总共统计〞、“会话统计〞和“机器统计〞三个命令选项，只选择“图表〞命令选项，“Microsoft网络监视器〞窗口将单独显示网络图表显示窗口，如图14-7所示，其中包含五个条状图形，每个图形显示单个值的瞬间读取结果。五个条状图形分别为：〔1〕网络利用：显示网络带宽被利用的百分率；〔2〕每秒帧数：显示网络上传送的帧数；〔3〕每秒字节数：显示统计网络上传输的字节数；〔4〕每秒广播：显示统计的每秒网络上广播数据包数；〔5〕每秒的多播：显示每秒网络上统计到的多址发送的数据包数。14.6.1网络监视器窗口(3)经过网络图表显示窗口可快速查看网络的运转情况。图表上有用的主要统计是“网络利用〞、“每秒广播〞和“每秒的多播〞，假设这三部分显示的值比较高，那么阐明网络中能够有太多不用要的信息流量。图14-7图表窗口经过条状图形显示瞬间统计信息14.6.1网络监视器窗口(4)2.会话统计窗口会话统计窗口显示不同网络计算机间会话的概要列表，如图14-8所示。图14-8Microsoft网络性能监视器会话统计窗口14.6.1网络监视器窗口(5)3.机器统计窗口机器统计窗口显示出所捕获的每个宿主计算机发送的总帧数的概要信息。宿主计算机的传送情况经过发送和接纳的帧数、发送和接纳的字节数、直接帧发送数以及多播传送的帧数和发送的广播信息来表示，如图14-9所示。机器统计窗口在比较每台主机发送和接纳到的信息时是非常有用的，假设一个单独的计算机在网络中占据支配地址，那么该主机的字节统计数将提升网络的利用百分比。图14-9机器统计窗口列出网络信息流量汇总统计14.6.1网络监视器窗口(6)4.总共统计窗口总共统计窗口对用户全面监控网络活动，如图14-10所示。总共统计窗口管理捕获文件以及察看错误是非常有用的。总共统计窗口显示的统计信息描画了检测到的网络流量，包括捕获到的帧和字节数、缓冲区里的帧和字节数、每秒网络运用统计、网络卡的运用情况以及网络形状统计，这些统计信息是作为时间的函数被捕获的。4-10显示总共统计窗口14.6.2创建捕获挑选程序〔1〕由于许多协议都是同多个信源、信宿地址以及音讯类型混合在一同的，所以网络数据的出现和消逝都是随机的。运用Microsoft网络监视器有利于用户区分经过网络传送的看似随机的数据。在Microsoft网络监视器中可以判别数据经过网络时的方向，这意味着所创建的挑选程序可以指定能否捕获流入或流出特定设备的数据。也可把数据方向设置为捕获传入或者传出指定地址的数据包。数据方向使得用户不用捕获网络上传送的一切数据即可察看发向用户计算机的数据。捕获挑选程序运用如下几种参数对网络流量进展挑选：(1)网络地址。假设在捕获挑选器中配置了地址，Microsoft网络监视器会用适当的MAC地址测试每个网络数据包。假设信息流量中包含有正确地址，数据包就会被搜集在捕获缓冲区中。(2)捕获协议。可把捕获挑选器配置为只捕获与指定协议匹配的数据包。(3)捕获方式。创建的挑选器可按照数据包中指定的方式来匹配数据包数据。(4)方向。Microsoft网络监视器可察看数据的方向.14.6.2创建捕获挑选程序〔2〕〔1〕在“Microsoft网络监视器〞窗口中，选择菜单“捕获〞/“挑选程序〞，翻开“捕获挑选程序〞对话框，如图14-11所示。留意在创建挑选程序之前选择“捕获〞/“停顿〞命令停顿Microsoft网络监视器的捕获任务。图14-11创建挑选程序14.6.2创建捕获挑选程序〔3〕〔2〕在列表框中的目录树中，选择“SAP/ETYPE=任何SAP或任何ETYPE〞节点。然后单击“编辑〞按钮，翻开“捕获挑选程序SAP和ETYPE〞对话框，如图14-12所示。图14-12添加捕获协议14.6.2创建捕获挑选程序〔4〕〔3〕在“被禁用的协议〞列表框中选择要添加的协议，单击“启用〞按钮可允许该协议有效并添加到“启用的协议〞列表框中；假设要添加全部的禁用协议，可单击“全部启用〞按钮来完成。〔4〕要禁用已启用的协议，在“启用的协议〞列表框中选择要禁用的协议，然后单击“禁用〞即可。假设禁用全部已启用协议，可单击“全部禁用〞按钮。〔5〕单击“确定〞按钮前往到“捕获挑选程序〞对话框。〔6〕要添加捕获挑选程序地址及设置数据方向，在目录树中选择“AND〔地址对〕〞节点，然后单击“地址〞按钮，翻开如图14-13所示的“地址表达式〞对话框进展添加和设置。14.6.2创建捕获挑选程序〔5〕图14-13添加地址和设置数据方向14.6.2创建捕获挑选程序〔6〕〔7〕在“地址表达式〞对话框中，选择“包含〞或者“排除〞单项选择按钮。假设选择“包含〞单项选择按钮，那么意味着假设一个数据包符合捕获挑选程序的地址表达式，该数据包会被捕获；假设选择“排除〞单项选择按钮，那么意味着假设一个数据包符合捕获挑选程序的地址表达式要求，该数据包不会被Microsoft网络监视器所捕获，即使该数据包符合一个或者多个地址表达式的要求。〔8〕要编辑地址，单击“编辑地址〞按钮翻开“地址数据库〞对话框进展编辑。〔9〕从“机器(1)〞列表框中选择一个机器，再从“机器(2)〞列表框中选择一个相对应的机器，然后从“方向〞文本框中选择〈--〉、〈--或者--〉三个方向选项之一。14.6.2创建捕获挑选程序〔7〕〔10〕单击“确定〞完成地址的添加并前往到“捕获挑选程序〞对话框。〔11〕要添加捕获方式在目录树中，选择“AND〔方式匹配〕〞节点，单击“方式〞按钮，翻开如图14-14所示的“方式匹配〞对话框进展添加。〔12〕在“方式〞文本框中输入方式称号。选择“十六进制〞单项选择按钮，输入的方式为十六进制捕获方式，选择ASCII单项选择按钮，输入的方式为ASCII码捕获方式。〔13〕在“偏移值〔十六进制〕〞文本框中输入一个十六进制数以指定出如今帧中的多少字节处；要从帧的开场处开场搜索方式，那么选择“从拓扑头信息末尾〞单项选择按钮。14.6.2创建捕获挑选程序〔8〕图14-14添加捕获方式14.6.2创建捕获挑选程序〔9〕〔14〕单击“确定〞保管设置并前往“捕获挑选程序〞对话框。单击“保管〞按钮，可将捕获挑选程序保管起来。〔15〕单击“确定〞按钮，封锁“捕获挑选程序〞对话框，捕获挑选程序配置完成。14.6.3创建触发器〔1〕触发器是一种当符合一系列指定条件时被执行的动作。运用Microsoft网络监视器从网络捕获数据之前，可以设置触发器实现停顿捕获或者执行命令文件。

创建触发器过程如下：〔1〕在“Microsoft网络监视器〞窗口中选择“捕获〞/“触发器〞的命令，翻开“捕获触发器〞对话框，如图14-15所示。留意在创建捕获触发器之前，也必需先停顿Microsoft网络监视器捕获网络信息，选择“捕获〞/“停顿〞命令。14.6.3创建触发器〔2〕图14-15创建捕获触器14.6.3创建触发器〔3〕〔2〕在“触发器在任务〞选项区域中，选择一个按钮，例如选择“先缓冲区空间后方式匹配〞，使触发器先检查缓冲区，然后再进展方式匹配。〔3〕在“缓冲区空间〞选项区域中选择启动触发器之前捕获缓冲区必需添满的最大百分比，例如选择50%按钮，那么当捕获缓冲区被填满50％时启动触发器。〔4〕在“方式〞选项区域中，在“偏移值(十六进制)〞文本框中输入一个十六进制数以指定方式出如今帧中的多少字节处；要从帧的开头开场搜索方式，那么选择“从帧的开头〞按钮，要从拓扑头之后开场搜索方式，那么选择“从拓扑头信息末尾〞按钮。〔5〕在“方式〞选项区域中，对应“方式〞文本框中输入想要的匹配方式，输入十六进制方式前先选择“十六进制〞按钮，输入ASCII码方式前选择ASCII按钮。14.6.3创建触发器〔4〕〔6〕在“触发器动作〞选项区域中，可指定触发器匹配之后，Microsoft网络监视器要采取的动作，假设只需求讯号提示，可选择“只需可听到讯号〞按钮，假设停顿捕获，可选择“停顿捕获〞按钮；另外可启用“执行命令行〞复选框，并在其后的文本框中输入可执行文件的途径。〔7〕单击“确定〞保管设置.14.6.4缓冲区设置〔1〕Microsoft网络监视器可捕获的数据总量依赖于捕获缓冲区大小，初次启动Microsoft网络监视器时，其缺省的缓冲区大小为1MB，用户应设置增大缓冲区的值，建议任务缓冲区的大小为10MB或者更多。配置捕获缓冲区步骤如下：(1)在“Microsoft网络监视器〞窗口中，选择“捕获〞/“缓冲区设置〞命令，翻开“捕获缓冲区设置〞对话框，如图14-16所示。图14-16设置缓冲区14.6.4缓冲区设置(2)〔2〕从“缓冲区大小(MB)〞下拉列表框中选择一个新值或者输入一个新值来更改捕获缓冲区大小。留意：假设所设置的缓冲区的大小超越了物理内存总量，将会丧失数据字节。〔3〕单击“确定〞完成设置。

14.6.5捕获数据在完成捕获挑选程序和触发器的创建以及缓冲区的设置，在此根底上选择“捕获〞/“开场〞命令开场捕获进程。捕获终了，图14-17查看缓冲区捕获的数据选择“捕获〞/“停顿且查看〞命令以停顿捕获进程并查看捕获缓冲区中的数据，如图14-17所示。14.7Windows2000Server自动优化功能多处置器内存优化优先线程与进程磁盘恳求缓冲14.7.1多处置器对称多处置器是一种在多个处置器间平衡分配总处置负荷量的技术。非对称处置器技术，根据一些非负荷量尺度来分配处置负载，如操作系统把一切系统义务放在一个处置器上，而一切的用户义务放在剩余的处置器上。Windows2000Server支持对称多处置器技术。带有两个处置器的Windows2000Server计算机通常是一台计算机速度的1.5倍，这还依赖于所运转程序的类型。仅存在一个线程的运用技术不能够运转于多个处置器系统中。14.7.2内存优化在Windows2000Server中，把内存分配为称为页的4KB数据块。每一页仅仅由一个线程运用。一个线程可以储存在恣意数目的页面中。系统必需有足够的内存来储存一切正在执行的线程，假设内存总量缺乏，那么Windows2000Server运用硬盘的一部分来仿真系统内存，将当前未运用的内存页面交换到称为虚拟内存交换文件(Pagefile.sys)的系统文件中。页面交换得越快，对系统呼应性能的影响就越低。14.7.3优先线程与进程在多义务操作系统中，假设每个进程的每个线程都获得一样的处置机时间而不分先后，那么计算机响运用户的恳求将很慢。Windows2000Server根据线程对系统呼应才干的重要性来优先处置每个线程，调整优先权的权益留给了用户。进程的优先权范围内，优先级别从0-31，进程的起始优先权为7，进程的每个线程承继了该进程的基优先权7。实时运用程序的优先权最高为23。14.7.4磁盘恳求缓冲Windows2000Server的I/O系统包括了一个磁盘缓冲管理器组件，经过在RAM中维持经常访问的文件而减少磁盘访问。磁盘缓冲的特点：缓冲机制是动态的；随可用RAM的数量不同而不断改动文件缓冲大小；操作系统不需求的内存都可用做缓冲；自顺应的缓冲机制为运用程序提供文件I/O性能的优化。磁盘缓冲管理器可以运用任何系统中的可用内存，Windows2000系统中这种缓冲区的小是不允许人为调整的，由于它遭到系统中运用的资源及动态运用程序的影响。14.8命令行管理为什么运用命令行访问命令提示符14.8.1为什么运用命令行用命令行完成某些操作会很容易。14.8.2访问命令提示符翻开“开场〞菜单，然后选择“运转〞命令并输入cmd，系统翻开命令提示符窗口。运转MS-DOS程序或工具时，也可以翻开DOS会话窗口。手动双击MS-DOS程序或翻开“开场〞菜单，选择“运转〞命令并输入该DOS程序的可执行命令即可翻开DOS会话窗口。命令提示符交互并不区分可执行命令的大小写。对于任何命令，可以附带参数/？获取相关命令的协助信息。14.8.3几个常用的命令NET命令Ping命令Netstat命令IPConfig命令ARP命令Tracert命令Route命令Nslookup命令Nbstat命令NET命令用户可以运用NET命令获取给出特定信息。假设用户想查阅映射到一台计算机上的一切当前驱动器的列表，可以简单输入NETVIEWComputername。常用NET命令举例：NETACCOUNTS 查阅当前账号设置NETCONFIGSERVER 查阅本网络配置信息统计NETSHARE 查阅本地计算机上共享文件NETUSER 查阅本地用户账号NETVIEW 查阅网络上可用计算机Ping命令〔1〕Ping用于确定网络的连通性。命令格式：Ping主机名Ping域名PingIP地址图14-18Ping命令Ping命令〔2〕普通情况下，用户可以经过运用一系列Ping命令来查找问题出在什么地方，或检验网络运转的情况时。典型的检测次序及对应的能够缺点：①ping假设测试胜利，阐明网卡、TCP/IP协议的安装、IP地址、子网掩码的设置正常。假设测试不胜利，就表示TCP/IP的安装或运转存在某些最根本的问题。②ping本机IP假设测试不胜利，那么表示本地配置或安装存在问题，该当对网络设备和通讯介质进展测试、检查并排除。③ping局域网内其他IP假设测试胜利，阐明本地网络中的网卡和载体运转正确。但假设收到0个回送应对，那么表示子网掩码不正确或网卡配置错误或电缆系统有问题。Ping命令〔3〕④ping网关IP这个命令假设应对正确，表示局域网中的网关路由器正在运转并可以做出应对。⑤ping远程IP假设收到正确应对，表示胜利的运用了缺省网关。对于拨号上网用户那么表示可以胜利的访问Internet。⑥pinglocalhostlocalhost是系统的网络保管名，它是的别名，每台计算机都应该可以将该名字转换成该地址。假设没有做到这一带内，那么表示主机文件〔/Windows/host〕中存在问题。⑦Pingyahoo〔一个著名网站域名〕对此域名执行Ping命令，计算机必需先将域名转换成IP地址，通常是经过DNS效力器。假设这里出现缺点，那么表示本机DNS效力器的IP地址配置不正确，或DNS效力器有缺点。Ping命令〔4〕假设上面所列出的一切Ping命令都能正常运转，那么计算机进展本地和远程通讯根本上就没有问题了。但是，这些命令的胜利并不表示他一切的网络配置都没有问题，例如，某些子网掩码错误就能够无法用这些方法检测到。Ping命令的常用参数选项pingIP-t：延续对IP地址执行Ping命令，直到被用户以Ctrl+C中断。pingIP-l2000：指定Ping命令中的数据长度为2000字节，而不是缺省的32字节。pingIP-n：执行特定次数的Ping命令。Netstat命令〔1〕检测计算机与网络之间详细的衔接情况，可以得到以太网的统计信息并显示一切协议〔TCP协议、UDP协议以及IP协议等〕的运用形状。还可以选择特定的协议并查看其详细运用信息，包括显示一切主机的端口号以及当前主机的详细路由信息。下面给出Netstat的一些常用选项：①Netstat-s：-s选项可以按照各个协议分别显示其统计数据。这样就可以看到当前计算机在网络上存在哪些衔接，以及数据包发送和接纳的详细情况等等。假设运用程序〔如Web阅读器〕运转速度比较慢，或者不能显示Web页之类的数据，那么可以用本选项来查看一下所显示的信息。仔细查看统计数据的各行，找到出错的关键字，进而确定问题所在。如图14-19为运转Netstat–s时屏幕显示。Netstat命令〔2〕图14-19Netstat命令实例Netstat命令〔3〕②Netstat-e：-e选项用于显示关于以太网的统计数据。它列出的工程包括传送的数据报的总字节数、错误数、删除数、数据报的数量和广播的数量。这些统计数据既有发送的数据报数量，也有接纳的数据报数量。运用这个选项可以统计一些根本的网络流量。③Netstat-r：-r选项可以显示关于路由表的信息，类似于后面所讲运用routeprint命令时看到的信息。除了显示有效路由外，还显示当前有效的衔接。④Netstat–a：-a选项显示一个一切的有效衔接信息列表，包括已建立的衔接〔ESTABLISHED〕，也包括监听衔接恳求〔LISTENING〕的那些衔接。⑤Netstat–n：显示一切已建立的有效衔接。IPConfig命令〔1〕IPConfig适用程序，可用于显示当前的TCP/IP配置的设置值，它在Windows95/98中的等价图形用户界面命令为WINIPCFG。这些信息普通用来检验人工配置的TCP/IP设置能否正确。假设计算机和所在的局域网运用了动态主机配置协议DHCP，运用IPConfig命令可以了解到他的计算机能否胜利地租用到了一个IP地址，及目前分配的子网掩码和缺省网关等网络配置信息。IPConfig命令〔2〕常用的选项：(1)ipconfig：当运用IPConfig不带任何参数选项时，显示每个曾经配置了的接口的IP地址、子网掩码和缺省网关值。(2)ipconfig/all：当运用all选项时，IPConfig能为DNS和WINS效力器显示它已配置且一切运用的附加信息，并且可以显示内置于本地网卡中的物理地址〔MAC〕。假设IP地址是从DHCP效力器租用的，IPConfig将显示DHCP效力器分配的IP地址和租用地址估计失效的日期。图14-20为运转ipconfig/all命令的结果窗口。IPConfig命令〔3〕图14-20IPConfig/all命令测试结果IPConfig命令〔4〕(3)ipconfig/release和ipconfig/renew：只能在向DHCP效力器租用其IP地址的计算机上起作用。ipconfig/release——一切接口的租用IP地址便重新交付给DHCP效力器〔归还IP地址〕。ipconfig/renew——本地计算机设法与DHCP效力器获得联络，并租用一个IP地址。大多数情况下网卡将被重新赋予和以前所赋予的一样的IP地址。ARP——地址转换协议〔1〕ARP是TCP/IP协议族中的一个重要协议，用于确定对应IP地址的网卡物理地址。运用ARP命令，可以查看本地计算机或另一台计算机的ARP高速缓存中的当前内容。运用ARP命令可以人工方式设置静态的网卡物理/IP地址对，运用这种方式可以为缺省网关和本地效力器等常用主机进展本地静态配置，这有助于减少网络上的信息量。按照缺省设置，ARP高速缓存中的工程是动态的，每当发送一个指定地点的数据报并且此时高速缓存中不存在当前工程时，ARP便会自动添加该工程。ARP〔2〕常用命令选项：①arp–a：用于查看高速缓存中的一切工程。②arp-aIP：假设有多个网卡，那么运用arp-a加上接口的IP地址，就可以只显示与该接口相关的ARP缓存工程。③arp-sIP物理地址：向ARP高速缓存中人工输入一个静态工程。该工程在计算机引导过程中将坚持有效形状，或者在出现错误时，人工配置的物理地址将自动更新该工程。④arp-dIP：运用本命令可以人工删除一个静态工程。Tracert命令〔1〕这个运用程序主要用来显示数据包到达目的主机所经过的途径。经过执行一个Tracert到对方主机的命令之后，结果前往数据包到达目的主机前所阅历的途径详细信息，并显示到达每个途径所耗费的时间。这个命令同ping命令类似，但它所看到的信息要比ping命令详细得多，它能反响显示送出的到某一站点的恳求数据包所走的全部路，以及经过该路由的IP地址，经过该IP的时间是多少。Tracert命令还可以用来查看网络在衔接站点时经过的步骤或采取哪种道路，假设是网络出现缺点，就可以经过这条命令来查看是在哪儿出现问题的。例如可以运转tracertsohu，就将看到网络在经过几个衔接之后所到达的目的地，也就知道网络衔接所阅历的过程。图14-21给出了tracert命令的一个实例。Tracert命令〔2〕图14-21Tracert命令Route命令〔1〕大多数主机普通都是驻留在只衔接一台路由器的网段上。由于只需一台路由器，因此不存在选择运用哪一台路由器将数据包发送到远程计算机上去的问题，该路由器的IP地址可作为该网段上一切计算机的缺省网关来输入。但是，当网络上拥有两个或多个路由器时，用户就不一定想只依赖缺省网关了。实践上能够想让某些远程IP地址经过某个特定的路由器来传送，而其他的远程IP那么经过另一个路由器来传送。在这种情况下，用户需求相应的路由信息，这些信息储存在路由表中，每个主机和每个路由器都配有本人独一无二的路由表。大多数路由器运用专门的路由协议来交换和动态更新路由器之间的路由表。但在有些情况下，必需人工将工程添加到路由器和主机上的路由表中。Route命令可以显示、人工添加和修正路由表工程。Route命令〔2〕routeprint：本命令用于显示路由表中的当前工程，在单个路由器网段上的输出结果如图14-22所示。图14-22routeprint命令Route命令〔3〕routeadd： 运用本命令，可以将路由工程添加给路由表。routechange：可以运用本命令来修正数据的传输路由routedelete： 运用本命令可以从路由表中删除路由。Nslookup利用Nslookup命令查看主机的IP地址和主机称号。这个命令在查看主机IP的时候跟Ping命令有些类似，但得到的信息却有些不同。直接键入命令，系统前往本机的效力器称号〔带域名的全称〕和IP地址，并进入以“>〞为提示符的操作命令行形状。键入“？〞可查询详细命令参数。如此时给出一个计算机称号，假设在本机可以识别该称号，前往本机、查询主机的称号、IP地址及别名。键入“Server效力器称号〞更改当前效力器。Nbtstat运用Nbtstat命令来查看计算机上网络配置的一些信息。运用这条命令还可以查找出他人计算机上一些私人信息。假设想查看本人计算机上的网络信息，可以运转Nbtstat–n可以得到他所在的任务组，计算机名以及网卡地址等等；想查看网络上其他的电脑情况，就，运转Nbtstat-a*.*.*.*，此处的*.*.*.*用IP地址替代就会前往得到那台主机上的一些信息。14.9网络平安平安战略平安配置和分析管理平安性模板系统资源审核Windows2000平安性措施14.9.1平安战略平安战略是一个事先定义好的一系列运用计算机的行为准那么，运用这些平安战略将使得用户有一致的任务方式，防止用户破坏计算机上的各种重要的配置，维护网络上的敏感数据。Windows2000平安战略定义了用户在运用计算机、运转运用程序和访问网络等方面的行为，经过这些约束防止了各种对网络平安性的有意或无意的损伤。Windows2000中平安战略分为本地平安设置和组战略两种方式：本地平安设置是基于单个计算机的平安性；组战略可以在站点、OU(组织单元)或域的范围内实现，通常在较大规模并且实施活动目录的网络中运用。14.9.2平安配置和分析(1)1〕翻开“控制面板〞，双击“管理工具〞图标；2〕在“管理工具〞对话框中翻开“本地平安设置〞；3〕在“本地平安设置〞窗口的右侧“树〞窗口中单击“+〞号来扩展条目，如图14-23所示，可以进展相应的设置。例如，用户可以设置密码的平安战略，选中“账户战略〞/“密码战略〞，然后在右边的窗口中选择要设置的选项，如选中“密码长度最小值〞，在这里可以设置密码的长度最少为8个字符。要进展其它的平安设置，可反复上述步骤。14.9.2平安配置和分析(2)图14-23平安设置14.9.3管理平安性模板Windows2000中包含了许多个平安模板分别适用于不同的平安需求，利用这些模板用户就可以简化战略的设定和实施操作。它通常包含了大多数的平安设定，用户也可以按照需求继续配置以顺应一个详细网络的需求。平安模板包括4种平安级别的模板：根本、兼容、平安和高度平安。可以在%systemroot%\security\templates文件夹中找到它们。14.9.4系统资源审核〔1〕提高网络的平安性就必需设置系统资源审核，以便时间监视器可以将网络管理员所关怀的资源的运用情况记录到平安日志中。经过所记载的信息，分析网络的平安性，并做出相应的战略。审核分为两种类型，一种审核是与操作系统本身平安性相关的各种事件的审核，这一类的审核必需在组战略的审核战略中设置；另外一种就是对于网络中资源的审核，这一类审核将允许用户了解资源的运用情况。14.9.4系统资源审核〔2〕设置资源审核会加大系统的负担，因此尽量只对必要的操作和资源设置审核。并且只能在NTFS分区上设置资源审核，FAT分区不支持审核。为资源设置审核时只需求在要审核的对象上鼠标右键单击，选择“属性〞中的“平安〞选项卡即可进展相应的设置。为资源设置系统审核的操作如下：〔1〕找到并单击希望设置审核的对象，这里以E盘下的Intepub目录为例。〔2〕在该对象上右击，选择“属性〞；〔3〕在“属性〞对话框中单击“平安〞选项卡；〔4〕在“平安〞选项卡中单击“高级〞按钮；〔5〕在翻开的如图14-24对话框中，选中“审核〞选项卡。14.9.4系统资源审核〔3〕图14-24访问控制设置14.9.4系统资源审核〔4〕〔6〕在上图中点击“添加〞按钮，翻开如图12-25对话框；〔7〕在“选择用户、计算机或组〞中选择要审核的用户，单击“确定〞按钮。图14-25添加用户、计算机对话框14.9.4系统资源审核〔5〕〔8〕在“审核工程〞中选择对该资源的不同操作的胜利事件或失败事件的审核，如图14-26所示，如可以对用户“创建文件/写入数据〞、“删除〞访问设置审核。〔9〕单击“确定〞按钮，完成设置。图14-26设置审核工程对话框14.9.5Windows2000平安性措施〔1〕Windows2000是一种相对平安的操作系统，利用其全部或部分平安特性的优点，可明显减少危险性。这里结合实践运用中的阅历引见加强Windows2000平安性的思索。1．版本的选择选择成熟版本的操作系统，留意随时安装补丁程序。14.9.5Windows2000平安性措施〔2〕2．组件的定制Windows2000在默许情况下会安装一些常用的组件，但是正是这种默许安装能够带来平安隐患。对于管理员该确切需求哪些效力，而且仅仅安装确实需求的效力，根据平安原那么，最少的效力+最小的权限=最大的平安。典型的WEB效力器需求的最小组件选择是：只安装IIS的ComFiles，IISSnap-In，WWWServer组件。而应该谨慎安装其他组件：IndexingService，FrontPage2000ServerExtensions，InternetServiceManager(HTML)等。14.9.5Windows2000平安性措施〔3〕3．正确安装Windows2000Server〔1〕分区和逻辑盘的分配假设将硬盘仅仅分为一个逻辑盘，一切的软件都装在C盘上，很明显不是个好方法。建议最少建立两个分区，一个系统分区，一个运用程序分区，这是由于微软的IIS经常会有走漏源码的破绽，假设把系统和IIS放在同一个驱动器会导致系统文件的走漏甚至入侵者远程获取管理权限。最好建立多个逻辑驱动器，例如第一个大于2G，用来装系统和重要的日志文件，第二个放IIS，第三个放FTP〔需求的话〕，这样无论IIS或FTP出了平安破绽都不会直接影响到系统目录和系统文件。14.9.5Windows2000平安性措施〔4〕3．正确安装Windows2000Server〔2〕安装顺序的选择与系统补丁Windows2000在安装中有几个顺序是一定要留意的。首先，何时接入网络。Windows2000在安装时有一个破绽，在他输入Administrator密码后，系统就建立了ADMIN$的共享，但是并没有用他刚刚输入的密码来维护它，这种情况不断继续到他再次启动后，在此期间，任何人都可以经过ADMIN$进入他的机器；同时，只需安装一完成，各种效力就会自动运转，而这时的效力器是满身破绽，非常容易进入的，因此，在完全安装并配置好Windows2000Server之前，一定不要把主机接入网络。14.9.5Windows2000平安性措施〔5〕4．平安配置Windows2000Server即使正确安装了Windows2000Server，系统还是有很多的破绽，需求在管理和运用中进展细致地配置。〔1〕端口端口是计算机和外部网络相连的逻辑接口，也是计算机的第一道屏障，端口配置正确与否直接影响到主机的平安，普通来说，仅翻开他需求运用的端口会比较平安。很多黑客攻击程序是针对特定效力和特定效力端口的，因此，为了降低蒙受黑客攻击的危险，应该封锁那些不用要的效力和效力端口。配置的方法是：鼠标右键单击“网上邻居〞/“属性〞/“本地衔接〞/“属性〞/“TCP/IP〞/“属性〞/“高级〞/“选项〞/“TCP/IP挑选〞/“启用TCP/IP挑选〞/“属性〞，翻开如图14-27所示对话框。选中“启用TCP/IP挑选〔一切适配器〕〞，依次选中各个端口〔如TCP端口〕上“只允许〞选项，点按“添加〞按钮，翻开如图14-28所示对话框。键入要添加的端口号，反复上述过程即可。14.9.5Windows2000平安性措施〔6〕图14-27TCP/IP挑选对话框图14-28添加挑选器14.9.5Windows2000平安性措施〔7〕〔2〕IISIIS是微软的组件中破绽最多的一个，平均两三个月就要出一个破绽，而微软的IIS默许安装又真实不敢恭维，所以我们应该本人配置IIS。例如，把C盘Inetpub目录彻底删掉，在D盘上建一个Inetpub，或者改一个名字，不用系统默许目录名。在IIS管理器中将主目录指向D:\Inetpub。又如，删除IIS安装时默许的scripts等虚拟目录，假设需求什么权限的目录可以本人渐渐建，需求什么权限开什么。特别留意写权限和执行程序的权限，没有绝对必要不要给目录这些权限。〔3〕运用程序配置删除IIS管理器中不用要的任何无用映射。在IIS管理器中鼠标右键单击主机，选择“属性〞/“WWW效力〞/“编辑〞/“主目录〞/“配置〞/“运用程序映射〞，删除不用要的运用程序类型，如图14-29所示。选择“运用程序调试〞选项页，如图14-30所示，将脚本错误音讯改为发送文本，否那么ASP出错的时候用户将知道他的程序、网络、数据库构造。错误文本可本人定制，点按“确定〞退出。14.9.5Windows2000平安性措施〔8〕图14-29运用程序配置图14-30运用程序调试14.9.5Windows2000平安性措施〔9〕〔4〕删除不需求的效力许多效力器允许远程用户经过Telnet等方式登陆，并可在控制台上执行一系列操作，如装载和卸载模块，安装和删除软件等。这虽然带