常用網(wǎng)絡(luò)協(xié)議問答

■江蘇 孫秀洪

答：TCP/IP協(xié)議是三大協(xié)議中最重要的一個，沒有它的支持，普通計算機(jī)根本無法上網(wǎng)訪問，但TCP/IP協(xié)議的配置也是它們當(dāng)中最復(fù)雜的一個，一般要詳細(xì)設(shè)置IP地址、網(wǎng)關(guān)、子網(wǎng)掩碼、DNS 服務(wù)器等參數(shù)。而NetBEUI 協(xié)議可以增強(qiáng)用戶接口，改善局域網(wǎng)中的通信效率，它在許多操作系統(tǒng)下很有用，曾經(jīng)是Windows 9x 操作系統(tǒng)的默認(rèn)協(xié)議。

這種協(xié)議安裝后，不需要進(jìn)行設(shè)置，特別適合于在“網(wǎng)絡(luò)鄰居”窗口中傳送數(shù)據(jù)。而IPX/SPX 協(xié)議本來就是專用于NetWare 網(wǎng)絡(luò)環(huán)境中的，該協(xié)議根本不需要任何設(shè)置，不過它在局域網(wǎng)絡(luò)中的用途似乎并不是很大。

答：首先需要修改Telnet協(xié)議的端口號碼，讓別人不容易知道?？梢灾鹨稽c(diǎn)擊“開始”、“運(yùn)行”選項，彈出系統(tǒng)運(yùn)行對話框，輸入“cmd”命令，單擊“確定”按鈕后，彈出MS-DOS 工作窗口。在該窗口命令行提示符下，輸入“tlntadmn config port=1001”命令（其中“1001”為新的協(xié)議端口號碼），單擊回車鍵后，就能將本地計算機(jī)的Telnet 協(xié)議端口號碼修改為“1001”了。當(dāng)然，新開啟的協(xié)議端口號碼不能和本地計算機(jī)中已啟用的端口號碼一致，否則Telnet 協(xié)議將無法正常工作。日后，當(dāng)別人要使用Telnet 協(xié)議與本地系統(tǒng)建立遠(yuǎn)程連接時，必須在本地計算機(jī)名稱后面加上“：1001”，才能保證Telnet 連接創(chuàng)建成功。

其次在安全性要求較高的場合下，盡量使用SSH 協(xié)議連接代替Telnet 協(xié)議連接。因為SSH 協(xié)議默認(rèn)以非明文方式傳輸數(shù)據(jù)，惡意用戶即使采取技術(shù)措施，中途竊取到了傳輸?shù)臄?shù)據(jù)內(nèi)容，也無法訪問到其中的信息。

答：UDP 協(xié)議的英文全稱為“User Datagram Protocol”，中文含義為用戶數(shù)據(jù)報協(xié)議，該協(xié)議在OSI 模型中，處于IP協(xié)議的上一層，主要作用是將網(wǎng)絡(luò)數(shù)據(jù)流量壓縮成數(shù)據(jù)包的形式。一個典型的數(shù)據(jù)包就是一個二進(jìn)制數(shù)據(jù)的傳輸單位。每一個數(shù)據(jù)包的前8個字節(jié)用來包含報頭信息，剩余字節(jié)則用來包含具體的傳輸數(shù)據(jù)。

該協(xié)議與TCP 協(xié)議一樣，用于處理數(shù)據(jù)包，都屬于傳輸層協(xié)議，都直接位于IP（網(wǎng)際協(xié)議）協(xié)議的頂層。但這兩種協(xié)議之間也有明顯區(qū)別，UDP協(xié)議不提供可靠性，它只是將應(yīng)用程序傳給IP層的數(shù)據(jù)報發(fā)送出去，并不能保證它們能到達(dá)目的地，UDP 協(xié)議在傳輸數(shù)據(jù)報前不用在客戶和服務(wù)器之間建立連接，沒有超時重發(fā)等機(jī)制，傳輸速度往往很快。

TCP 協(xié)議提供的是面向連接、可靠的字節(jié)流服務(wù)，當(dāng)客戶和服務(wù)器彼此交換數(shù)據(jù)前，必須先在雙方之間建立一個TCP 連接，之后才能傳輸數(shù)據(jù)。TCP 提供超時重發(fā)，丟棄重復(fù)數(shù)據(jù)，檢驗數(shù)據(jù)，流量控制等功能，保證數(shù)據(jù)能從一端傳到另一端。

答：先以系統(tǒng)管理員權(quán)限登錄進(jìn)入交換機(jī)后臺系統(tǒng)，使用“System-view”命令進(jìn)入系統(tǒng)全局視圖模式狀態(tài)，在該狀態(tài)下輸入字符串命令“radius scheme ABC”命令，進(jìn)入名稱為“ABC”的Radius服務(wù)器組視圖狀態(tài)，輸入“key authentication passwd”命令并回車，其中“passwd”為詳細(xì)的密碼字符串，就能設(shè)置好Radius 服務(wù)器認(rèn)證/授權(quán)數(shù)據(jù)報文的加密密碼了，輸入“key accounting passwd”命令并回車，就能配置好Radius服務(wù)器計費(fèi)數(shù)據(jù)報文的加密密碼了。

對于H3C 系列路由交換機(jī)來說，不管是Radius 服務(wù)器的計費(fèi)數(shù)據(jù)報文，還是認(rèn)證/授權(quán)數(shù)據(jù)報文，它們?nèi)笔〉拿艽a內(nèi)容都為“huawei”。當(dāng)然，要是配置的密碼因為時間長了而被忘記時，大家可以嘗試執(zhí)行“undo key authentication”或“undo key accounting”字符串命令，將相關(guān)密碼內(nèi)容還原為缺省數(shù)值。

答：首先應(yīng)該檢查兩臺相互直連的路由交換機(jī)之間協(xié)議運(yùn)行狀態(tài)是否正常，只要使用“display ospf peer”命令，看看路由交換機(jī)之間peer狀態(tài)機(jī)有沒有達(dá)到了full 狀態(tài)；要是沒有達(dá)到full 狀態(tài)時，那就要仔細(xì)看看物理連接和下層協(xié)議的運(yùn)行狀態(tài)是否正常，我們可以通過ping 命令進(jìn)行測試，如果本地路由交換機(jī)無法ping 通對方網(wǎng)絡(luò)設(shè)備的話，那就說明物理連接或下層協(xié)議有問題。在物理連接以及下層協(xié)議運(yùn)行狀態(tài)正常的情況下，看看對應(yīng)連接接口的OSPF 參數(shù)有沒有配置正確，一定要保證本地接口與對端接口配置信息相同，比方說網(wǎng)段號碼與掩碼地址必須要相同，區(qū)域號也要相同等。

答：引起這種現(xiàn)象的主要原因有下面幾個方面：一是惡意用戶故意竊用網(wǎng)絡(luò)中重要計算機(jī)的IP地址，造成網(wǎng)絡(luò)中的普通用戶無法正常進(jìn)行網(wǎng)絡(luò)應(yīng)用。二是由于各種原因，普通用戶有意或無意地自行修改IP地址，從而引起地址沖突現(xiàn)象。三是其他一些因素也容易引起該現(xiàn)象，例如網(wǎng)卡卸載不正確，DHCP 服務(wù)配置不當(dāng)，遭遇ARP 病毒攻擊等，都會出現(xiàn)IP地址被搶用現(xiàn)象。

答：從客戶端系統(tǒng)來說，SSH 協(xié)議支持兩種安全認(rèn)證方式，一種是基于口令的安全認(rèn)證方式，另外一種是基于密匙的安全認(rèn)證方式。

其中，前面一種認(rèn)證方式只要知道賬號和密碼，就能登錄到遠(yuǎn)程服務(wù)器中，但是這種認(rèn)證方式仍然會受到“中間人”的攻擊，因為用戶無法知道自己遠(yuǎn)程訪問的服務(wù)器，就是自己想要連接的服務(wù)器，或許會有別人在冒充真正的服務(wù)器。

后面一種認(rèn)證方式可以避免“中間人”攻擊，因為這種認(rèn)證方式需要用戶事先創(chuàng)建一對密匙，同時將公用密匙放在需要遠(yuǎn)程連接的服務(wù)器上，當(dāng)用戶自己要訪問SSH 服務(wù)器時，客戶端程序就會向服務(wù)器發(fā)出請求，請求用自己的密匙來安全認(rèn)證，接收到請求信息后，服務(wù)器會從本地系統(tǒng)自動搜索公用密匙，之后將它和接收到的公用密匙進(jìn)行比較，要是兩個密匙內(nèi)容相同，那么服務(wù)器就用公用密匙加密“質(zhì)詢”，同時將它發(fā)送給客戶端程序，客戶端程序收到“質(zhì)詢”后，就能用私人密匙解密再將它傳輸給服務(wù)器。

答：在排除線路不穩(wěn)定因素外，需要檢查終端系統(tǒng)的NetBios 協(xié)議狀態(tài)，因為共享訪問操作能通過兩種協(xié)議模式來進(jìn)行，一是Direct hosting 協(xié)議模式，二是NetBios 協(xié)議模式。如果共享訪問處于Direct hosting 協(xié)議模式狀態(tài)時，局域網(wǎng)中的終端系統(tǒng)相互之間能直接進(jìn)行共享文件傳輸操作，而共享訪問如果在NetBios 協(xié)議狀態(tài)時，本地終端需要通過137端口來解析對方終端名稱，通過138 端口號碼來傳遞通信數(shù)據(jù)包，通過139 端口號碼來傳輸特定的共享文件。

Windows XP 以上版本系統(tǒng)，默認(rèn)會強(qiáng)制共享訪問操作以Direct hosting 協(xié)議工作，以提高共享訪問速度，不過它也將NetBios 協(xié)議模式同時集成在其中了。當(dāng)我們將共享訪問設(shè)置成NetBios 協(xié)議模式時，Windows 系統(tǒng)會智能調(diào)用綁定在網(wǎng)卡設(shè)備上的第一個IP地址，要是該IP地址與遠(yuǎn)程共享主機(jī)的IP地址不處于相同工作子網(wǎng)時，自然就會發(fā)生共享訪問失敗的故障。而且每次啟動終端系統(tǒng)后，Windows 系統(tǒng)會隨機(jī)選用協(xié)議模式，這樣就會發(fā)生上面的蹊蹺故障了。

為了避免上面的故障現(xiàn)象，我們可以進(jìn)行如下設(shè)置操作，來停用NetBios 協(xié)議，以保證Windows 系統(tǒng)每次都使用Direct hosting 協(xié)議模式，來訪問局域網(wǎng)中的共享資源：首先依次點(diǎn)擊“開始”、“設(shè)置”、“網(wǎng)絡(luò)連接”命令，彈出網(wǎng)絡(luò)連接列表窗口，用鼠標(biāo)右鍵單擊“本地連接”圖標(biāo)，執(zhí)行右鍵菜單中的“屬性”命令，切換到本地連接屬性對話框，在該對話框的常規(guī)標(biāo)簽頁面中，選中TCP/IP協(xié)議選項，按下“屬性”按鈕，進(jìn)入TCP/IP協(xié)議屬性設(shè)置界面。

其次按下“高級”按鈕，切換到TCP/IP協(xié)議高級屬性對話框，用鼠標(biāo)點(diǎn)選“WINS”標(biāo)簽，彈出對應(yīng)標(biāo)簽設(shè)置頁面，在“NetBios 設(shè)置”處，看看TCP/IP協(xié)議上的NetBios 工作模式有沒有被選中，如果看到該模式已經(jīng)被正常選中時，應(yīng)該及時改選“禁用TCP/IP上的NetBios”功能選項，確認(rèn)后保存設(shè)置對話框。日后，本地計算機(jī)系統(tǒng)通過網(wǎng)絡(luò)訪問共享資源時，就會一直通過Direct hosting 協(xié)議模式來工作，那么共享訪問就能始終穩(wěn)定了。

答：很簡單！只要依次點(diǎn)擊“開始”、“運(yùn)行”命令，彈出系統(tǒng)運(yùn)行對話框，輸入“regedit”命令并回車，展開系統(tǒng)注冊表編輯界面。在該界面的左側(cè)列表中，將鼠標(biāo)定位到注冊表分支“HEY_LOCAL_MACHINESystemCurrentControlSetServices”上，手工刪除該分支下的DHCP、LmHOSTS、NetBT、Tcpip 等選項，再刷新系統(tǒng)注冊表后，重新添加TCP/IP協(xié)議基本就能成功了。

答：首先要建好臺賬資料。在初始組網(wǎng)時，應(yīng)該建立IP地址和MAC 地址的臺賬資料，善始善終地對局域網(wǎng)計算機(jī)執(zhí)行嚴(yán)格的管理、登記制度，將每臺計算機(jī)的IP地址、MAC 地址、物理位置、連接端口、使用者身份等信息，添加到網(wǎng)管員臺賬資料數(shù)據(jù)庫中。日后發(fā)生地址搶用現(xiàn)象時，只要弄清楚了惡意用戶的MAC 地址后，就能從臺賬資料數(shù)據(jù)庫中進(jìn)行搜索，要是事先對MAC 地址記錄全面，我們就能快速找到具體的使用者信息，這會節(jié)省我們很多寶貴時間，避免大海撈針的麻煩。

其次建立多層次安全防護(hù)體系。對于網(wǎng)絡(luò)中的某些重要應(yīng)用平臺，應(yīng)盡量避免使用IP地址來進(jìn)行授權(quán)管理，而應(yīng)充分運(yùn)用VPN 連接、口令、加密或其他安全認(rèn)證機(jī)制，建立多層次的安全保護(hù)體系，這樣可以避免IP地址搶用現(xiàn)象所帶來的安全威脅。

第三要加大宣傳網(wǎng)絡(luò)管理力度。讓上網(wǎng)用戶都明白自由調(diào)整IP地址所帶來的危害，以及一系列處罰措施，并應(yīng)該制定適當(dāng)?shù)腎P地址管理制度，要求所有用戶都要認(rèn)真遵守。比方說，建立的IP地址管理制度可以包括：IP地址臨時分配制度、計算機(jī)網(wǎng)卡MAC 地址登記制度、IP地址申請分配制度、IP地址更改制度、非法調(diào)整IP地址處罰制度等。

答：VRRP協(xié)議的全稱是Virtual Router Redundancy Protocol 協(xié)議，中文含義為虛擬路由容錯協(xié)議，該協(xié)議是為支持廣播能力或多播能力的局域網(wǎng)而設(shè)計的，它能將局域網(wǎng)中的活動交換機(jī)與多臺備份交換機(jī)虛擬成默認(rèn)路由器，這些活動交換機(jī)和備份交換機(jī)對外被稱為一個備份組。這臺虛擬的路由器擁有獨(dú)立的IP地址，該IP地址可以與備份組中的某臺交換機(jī)地址相同，備份組中的每一臺交換機(jī)也都有自己的獨(dú)立IP地址；網(wǎng)絡(luò)中的所有客戶機(jī)只要知道虛擬路由器的IP地址，而不要知道包括活動交換機(jī)在內(nèi)的所有交換機(jī)IP地址，客戶機(jī)只要將默認(rèn)網(wǎng)關(guān)設(shè)置為虛擬路由器的IP地址，日后客戶機(jī)進(jìn)行上網(wǎng)連接時，就能通過虛擬路由器與外網(wǎng)進(jìn)行通信連接了；當(dāng)備份組中的活動交換機(jī)出現(xiàn)意外不能正常工作時，備份組中的其他交換機(jī)就能自動替代活動交換機(jī)，成為新的活動交換機(jī)，繼續(xù)為客戶機(jī)提供路由轉(zhuǎn)發(fā)服務(wù)，從而保證網(wǎng)絡(luò)中的客戶機(jī)可以一直穩(wěn)定地與外部網(wǎng)絡(luò)進(jìn)行通信連接。

答：CDP協(xié)議的全稱為Cisco Discovery Protocol，中文含義為思科發(fā)現(xiàn)協(xié)議，它是一種獨(dú)立媒體協(xié)議，運(yùn)行在所有思科本身制造的設(shè)備上，主要作用為路由器的使用提供相關(guān)接口信息。

在缺省狀態(tài)下，CDP 協(xié)議在全局模式下處于啟用狀態(tài)，由于它會定期向網(wǎng)絡(luò)發(fā)送CDP 消息，在網(wǎng)絡(luò)帶寬并不富裕的情況下，我們可以使用“no cdp run”命令，強(qiáng)制路由器設(shè)備暫停向網(wǎng)絡(luò)發(fā)送CDP 消息，以便有效節(jié)省寶貴的帶寬資源。日后，再次需要使用CDP 協(xié)議時，可以使用“cdp run”命令，將其在全局模式狀態(tài)下啟用成功。如果要將某個特定端口的CDP 協(xié)議啟用起來時，需要在指定端口模式狀態(tài)下，執(zhí)行“cdp enable”命令；相反，使用“no cdp enable”命令可以在某個端口視圖下關(guān)閉CDP 協(xié)議消息更新。

答：很簡單，只要讓用戶無法進(jìn)入TCP/IP參數(shù)設(shè)置對話框即可。依次點(diǎn)擊“開始”、“運(yùn)行”命令，彈出系統(tǒng)運(yùn)行對話框，輸入“services.msc”命令并回車，展開系統(tǒng)服務(wù)列表界面，選中“Network Connections”服務(wù)，用鼠標(biāo)右鍵單擊之，執(zhí)行快捷菜單中的“屬性”命令，從目標(biāo)服務(wù)屬性框中，點(diǎn)擊“停止”按鈕，同時將“啟動類型”選擇為“已禁用”，確認(rèn)后保存設(shè)置操作。這樣，用戶日后打開網(wǎng)絡(luò)連接管理窗口時，就找不到“本地連接”圖標(biāo)，那么上網(wǎng)參數(shù)自然也就無法修改了。

答：如果想準(zhǔn)確判斷Windows 系統(tǒng)中的TCP/IP協(xié)議是否運(yùn)行正常，不妨使用Ping命令測試本地IP地址來實現(xiàn)，具體操作為：依次單擊“開始”、“運(yùn)行”命令，彈出系統(tǒng)運(yùn)行對話框，輸入“cmd”命令并回車，展開DOS 命令提示符窗口，在該窗口命令行中輸入“ping 127.0.0.1”命令，要是可以正常Ping 通，那就意味著當(dāng)前的TCP/IP協(xié)議是正常運(yùn)行的。

答：因為TELNET、FTP 之類的傳統(tǒng)協(xié)議程序在網(wǎng)絡(luò)環(huán)境中傳輸數(shù)據(jù)時，是以明文形式進(jìn)行的，惡意用戶很容易竊取口令和賬號之類的隱私數(shù)據(jù)。而且，這些協(xié)議程序的安全驗證方式也有致命弱點(diǎn)，十分容易受到“中間人”攻擊。這里的“中間人”攻擊方式，指的是“中間人”冒充真正主機(jī)接收用戶傳給主機(jī)的數(shù)據(jù)，再冒充用戶自己將數(shù)據(jù)傳給真正的主機(jī)，主機(jī)和用戶之間的數(shù)據(jù)傳送被“中間人”轉(zhuǎn)手后，就可能出現(xiàn)安全問題。

而SSH協(xié)議程序在傳輸數(shù)據(jù)的時候，是以加密形式進(jìn)行的，“中間人”攻擊方式無法輕易實現(xiàn)，所以SSH協(xié)議程序可以替代傳統(tǒng)協(xié)議程序，為數(shù)據(jù)傳輸提供一個相對安全的“通道”。當(dāng)然，SSH協(xié)議程序在傳輸數(shù)據(jù)的過程中，還支持?jǐn)?shù)據(jù)壓縮功能，該功能可以大大提升數(shù)據(jù)傳輸速度。

答：首先依次點(diǎn)擊“開始”、“運(yùn)行”命令，彈出系統(tǒng)運(yùn)行對話框，在其中執(zhí)行“regedit”命令，打開注冊表編輯器。依次將鼠標(biāo)定位到HKEY_LOCAL_MACHINESystemCurrentControlSetServicesWinsock、HKEY_LOCAL_MACHINESystemCurrentControlSetServicesWinsock2注冊表分支上，對它們先執(zhí)行備份操作，再刪除它們，重新啟動計算機(jī)后，將備份的內(nèi)容導(dǎo)入進(jìn)來。

其次開啟記事本程序的運(yùn)行狀態(tài)，打開“c：winntinf ettcpip.inf” 或“c：windowsinf ettcpip.inf”文件，找到“[MS_TCPIP.PrimaryInstall]”位置處的“Characteristics=0xa0”，將這里的“0Xa0”調(diào)整為“0x80”，執(zhí)行保存操作后退出。

第三依次點(diǎn)擊“開始”、“設(shè)置”、“網(wǎng)絡(luò)連接”選項，選中本地連接圖標(biāo)，打開它的右鍵菜單，點(diǎn)擊“屬性”命令，進(jìn)入本地連接屬性對話框，逐一點(diǎn)擊TCP/IP屬性、添加協(xié)議、從磁盤等按鈕，導(dǎo)入之前編輯過的“nettcpip.inf”文件，選中“TCP/IP協(xié)議”選項。確認(rèn)后返回網(wǎng)絡(luò)連接列表界面，這個時候，TCP/IP協(xié)議的“卸載”按鈕已經(jīng)生效了。單擊“卸載”按鈕，就能將TCP/IP協(xié)議正常刪除了。

協(xié)議相比，IPV6協(xié)議具有哪些優(yōu)勢？

答：IPv6協(xié)議是Internet Protocol Version 6的縮寫，它是互聯(lián)網(wǎng)工程任務(wù)組設(shè)計的用于替代IPv4的下一代IP協(xié)議。與IPv4協(xié)議相比，它支持更多的服務(wù)類型，允許協(xié)議不停演變，使之適應(yīng)未來升級需求，其IP報文頭部格式靈活，能加快報文處理速度。更重要的是，它的地址長度為128位，能有效增大地址空間。

與IPV4協(xié)議相比，IPV6協(xié)議具有下面一些優(yōu)勢：一是該協(xié)議有效減小了路由器中路由表長度，提高了路由器數(shù)據(jù)包轉(zhuǎn)發(fā)速度。

二是該協(xié)議采用128位地址長度，保證有足夠的地址資源可以利用。

三是該協(xié)議支持自動配置，使網(wǎng)絡(luò)管理更加方便、快捷。

四是該協(xié)議方便進(jìn)行擴(kuò)充，能適應(yīng)未來技術(shù)和應(yīng)用需求。

五是該協(xié)議支持分組的保密性與完整性，能有效改善網(wǎng)絡(luò)運(yùn)行安全性。

六是該協(xié)議使用了全新的頭部格式，能加速路由選擇過程。