红豆家园BLOG - 网络

Aireplay-ng 的 6 种攻击模式详解

xjxhd@vip.qq.com(admin) — Fri,03 Sep 2010 10:28:41 +0800

-0    Deautenticate 冲突模式
使已经连接的合法客户端强制断开与路由端的连接，使其重新连接。在重新连接过程中获得验证数据包，
从而产生有效 ARP request。
如果一个客户端连在路由端上，但是没有人上网以产生有效数据，此时，即使用-3  也无法产生有效  ARP
request。所以此时需要用-0  攻击模式配合，-3 攻击才会被立刻激活。
aireplay-ng -0 10 –a -c wifi0
参数说明：
【-0】：冲突攻击模式，后面跟发送次数（设置为 0，则为循环攻击，不停的断开连接，客户端无法正常上
网）
【-a】：设置 ap 的 mac
【-c】：设置已连接的合法客户端的 mac。如果不设置-c，则断开所有和 ap 连接的合法客户端。
aireplay-ng -3 -b -h wifi0
注：使用此攻击模式的前提是必须有通过认证的合法的客户端连接到路由器
-1    fakeauth count  伪装客户端连接
这种模式是伪装一个客户端和 AP 进行连接。
这步是无客户端的研究学习的第一步，因为是无合法连接的客户端，因此需要一个伪装客户端来和路由器相连。
为让 AP 接受数据包，必须使自己的网卡和 AP 关联。如果没有关联的话，目标 AP 将忽略所有从你网卡发
送的数据包，IVS 数据将不会产生。用-1 伪装客户端成功连接以后才能发送注入命令，让路由器接受到注
入命令后才可反馈数据从而产生 ARP 包。
aireplay-ng -1 0 –e -a -h wifi0
参数说明：
【-1】：伪装客户端连接模式，后面跟延时
【-e】：设置 ap 的 essid
【-a】：设置 ap 的 mac
【-h】：设置伪装客户端的网卡 MAC（即自己网卡 mac）
-2 Interactive 交互模式
这种攻击模式是一个抓包和提数据发攻击包，三种集合一起的模式
1．这种模式主要用于研究学习无客户端，先用-1 建立虚假客户端连接然后直接发包攻击
aireplay-ng -2 -p 0841 -c ff:ff:ff:ff:ff:ff -b -h wifi0
参数说明：
【-2】：交互攻击模式
【-p】设置控制帧中包含的信息（16 进制），默认采用 0841
【-c】设置目标 mac 地址
【-b】设置 ap 的 mac 地址
【-h】设置伪装客户端的网卡 MAC（即自己网卡 mac）
2．提取包，发送注入数据包
aireplay-ng -2  –r -x 1024 wifi0
发包攻击.其中，-x 1024  是限定发包速度，避免网卡死机，可以选择 1024。
                                                                                                                                                                    中国无线论坛中卫出品
Anywhere WLAN!!
                    34
-3    ARP-request 注入攻击模式
这种模式是一种抓包后分析重发的过程
这种攻击模式很有效。既可以利用合法客户端，也可以配合-1  利用虚拟连接的伪装客户端。如果有合法客
户端那一般需要等几分钟，让合法客户端和 ap 之间通信，少量数据就可产生有效 ARP  request 才可利用-3
模式注入成功。如果没有任何通信存在，不能得到 ARP request.，则这种攻击就会失败。如果合法客户端和
ap 之间长时间内没有 ARP request，可以尝试同时使用-0  攻击。
如果没有合法客户端，则可以利用-1  建立虚拟连接的伪装客户端，连接过程中获得验证数据包，从而产生
有效 ARP request。再通过-3 模式注入。
aireplay-ng -3 -b -h -x 512 wifi0
参数说明：
【-3】：arp 注入攻击模式
【-b】：设置 ap 的 mac
【-h】：设置
【-x】：定义每秒发送数据户包的数量，但是最高不超过 1024，建议使用 512（也可不定义）
-4      Chopchop 攻击模式，用以获得一个包含密钥数据的 xor 文件
这种模式主要是获得一个可利用包含密钥数据的 xor  文件，不能用来解密数据包。而是用它来产生一个新
的数据包以便我们可以进行注入。
aireplay-ng -4 -b -h wifi0
参数说明：
-b：设置需要研究学习的 AP 的 mac
-h：设置虚拟伪装连接的 mac（即自己网卡的 mac）
-5 fragment 碎片包攻击模式  用以获得 PRGA(包含密钥的后缀为 xor 的文件)
这种模式主要是获得一个可利用 PRGA，这里的 PRGA 并不是 wep  key 数据，不能用来解密数据包。而是
用它来产生一个新的数据包以便我们可以进行注入。其工作原理就是使目标 AP 重新广播包，当 AP 重广播
时，一个新的 IVS 将产生，我们就是利用这个来研究学习
aireplay-ng    -5 -b -h wifi0
【-5】：碎片包攻击模式
【-b】：设置 ap 的 mac
【-h】：设置虚拟伪装连接的 mac（即自己网卡的 mac）

                                                                                                                                                                    中国无线论坛中卫出品
Anywhere WLAN!!
                    35
Packetforge-ng：数据包制造程序
Packetforge-ng
Mode
【-0】：伪造 ARP 包
packetforge-ng  -0  -a    -h    wifi0  –k  255.255.255.255  -l  255.255.255.255
–y<.xor file> -w mrarp
参数说明：
【-0】：伪装 arp 数据包
【-a】：设置 ap 的 mac
【-h】设置虚拟伪装连接的 mac（即自己的 mac）
【-k】说明：设置目标文件 IP 和端口
【-l】说明：设置源文件 IP 和端口
【-y】说明：从 xor 文件中读取 PRGA。后面跟 xor 的文件名。
【-w】设置伪装的 arp 包的文件名

Aircrack-ng：WEP  及  WPA-PSK key  研究学习主程序
Aircrack-ng [optin] <.cap/.ivs file>
Optin
aircrack-ng -n 64 -b name-01.ivs
参数说明：
【-n】：设置 WEP KEY  长度（64/128/152/256/512）
aircrack-ng -x -f 2 name-01h.cap
参数说明：
【-x】：设置为暴力研究学习模式
【-f】：设置复杂程度，wep 密码设置为 1，wpa 密码设置为 2
aircrack-ng -w password.txt ciw.cap
【-w】：设置为字典研究学习模式，后面跟字典文件，再后面跟是我们即时保存的那个捕获到 WPA 验证的抓包
文件。转载请注明出自中国无线论坛 http://www.wlanbbs.com/,本贴
地址:http://www.wlanbbs.com/thread-108414-1-1.html

华为交换机的Telnet设置（五种方式）

xjxhd@vip.qq.com(admin) — Fri,16 Apr 2010 10:21:03 +0800

方式一【TELNET验证配置】
[SwitchA-ui-vty0-4]authentication-mode none //不需要验证
方式二【TELNET密码验证配置】
1.进入用户界面视图
[SwitchA]user-interface vty 0 4
2.设置认证方式为密码验证方式
[SwitchA-ui-vty0-4]authentication-mode password
3.设置明文密码
[SwitchA-ui-vty0-4]set authentication password simple Huawei
4.缺省情况下，从VTY用户界面登录后可以访问的命令级别为0级。需要将用户的权限设置为3，这用户可以进入系统视图进行操作，否则只有0级用户的权限
[SwitchA-ui-vty0-4]user privilege level 3

方式三【TELNET本地用户名和密码验证配置】
1.进入用户界面视图
[SwitchA]user-interface vty 0 4
2.使用authentication-mode scheme //表示需要进行本地或远端用户名和口令认证。
[SwitchA-ui-vty0-4]authentication-mode scheme
3.设置本地用户名和密码
[SwitchA]local-user Huawei
[SwitchA-user-huawei]service-type telnet level 3
[SwitchA-user-huawei]password simple Huawei
4.如果不改变TELNET登录用户的权限，用户登录以后是无法直接进入其它视图的，可以设置super password，来控制用户是否有权限进入其它视图
[SwitchA]local-user Huawei
[SwitchA-user-huawei]service-type telnet
[SwitchA-user-huawei]password simple Huawei
[SwitchA]super password level 3 simple huawei

方式四【TELNET RADIUS验证配置】
以使用huawei开发的cams作为RADIUS服务器为例
1.设置TELNET登录方式为scheme
[SwitchA-ui-vty0-4]authentication-mode scheme
2.配置RADIUS认证方案
[SwitchA]radius scheme cams
3.配置RADIUS认证服务器地址10.110.51.31
[SwitchA-radius-cams]primary authentication 10.110.51.31 1812
4.配置RADIUS计费服务器地址10.110.51.31
[SwitchA-radius-cams]primary accounting 10.110.51.31 1813
5.配置交换机与认证服务器的验证口令
[SwitchA-radius-cams]key authentication expert
6.配置交换机与计费服务器的验证口令
[SwitchA-radius-cams]key accounting expert
7.配置服务器类似为huawei，即使用CAMS
[SwitchA-radius-cams]server-type Huawei
8.送往RADIUS的报文不带域名
[SwitchA-radius-cams]user-name-format without-domain
9.创建（进入）一个域
[SwitchA]domain Huawei
10.在域huawei中引用名为“cams”的认证方案
[SwitchA-isp-huawei]radius-scheme cams
11.将huawei域设置为缺省域
[SwitchA]domain default enable huawei

方式五【TELNET访问控制配置】
1.设置只允许符合ACL1的IP地址登录交换机
[SwitchA-ui-vty0-4]acl 1 inbound
2.设置规则只允许某网段登录
[SwitchA]acl number 1
[SwitchA-acl-basic-1]
[SwitchA-acl-basic-1]rule permit source 10.10.10.0 0.0.0.255
3.设置规则只禁止某网段登录
[SwitchA]acl number 1
[SwitchA-acl-basic-1]
[SwitchA-acl-basic-1]rule deny source 10.10.10.0 0.0.0.255

手把手教你组建无线局域网

xjxhd@vip.qq.com(admin) — Thu,03 Dec 2009 11:01:36 +0800

无线局域网(WLAN)产业是当前整个数据通信领域发展最快的产业之一。因其具有灵活性、可移动性及较低的投资成本等优势，无线局域网解决方案作为传统有线局域网络的补充和扩展，获得了家庭网络用户、中小型办公室用户、广大企业用户及电信运营商的青睐，得到了快速的应用。然而在整个无线局域网中，却有着种种问题困扰着广大个人用户和企业用户。首先是该如何去组建无线局域网，这也是无线局域网中最基本的问题之一。具体来分，组建无线局域网包括组建家庭无线局域网和组建企业无线局域网。下面让我们来看看。
　　组建家庭无线局域网
　　尽管现在很多家庭用户都选择了有线的方式来组建局域网，但同时也会受到种种限制，例如，布线会影响房间的整体设计，而且也不雅观等。通过家庭无线局域网不仅可以解决线路布局，在实现有线网络所有功能的同时，还可以实现无线共享上网。凭借着种种优点和优势，越来越多的用户开始把注意力转移到了无线局域网上，也越来越多的家庭用户开始组建无线局域网了，但对于新手而言却有着很多问题。下面我们将组建一个拥有两台电脑(台式机)的家庭无线局域网。
　　1、选择组网方式
　　家庭无线局域网的组网方式和有线局域网有一些区别，最简单、最便捷的方式就是选择对等网，即是以无线AP或无线路由器为中心(传统有线局域网使用HUB或交换机)，其他计算机通过无线网卡、无线AP或无线路由器进行通信
　　该组网方式具有安装方便、扩充性强、故障易排除等特点。另外，还有一种对等网方式不通过无线AP或无线路由器，直接通过无线网卡来实现数据传输。不过，对计算机之间的距离、网络设置要求较高，相对麻烦。
　　2、硬件安装
　　下面，我们以TP-LINK TL-WR245 1.0无线宽带路由器、TP-LINK TL-WN250 2.2无线网卡(PCI接口)为例。关闭电脑，打开主机箱，将无线网卡插入主板闲置的PCI插槽中，重新启动。在重新进入Windows XP系统后，系统提示“发现新硬件”并试图自动安装网卡驱动程序，并会打开“找到新的硬件向导”对话框让用户进行手工安装。点击“自动安装软件”选项，将随网卡附带的驱动程序盘插入光驱，并点击“下一步”按钮，这样就可以进行驱动程序的安装。点击“完成”按钮即可。打开“设备管理器”对话框，我们可以看到“网络适配器”中已经有了安装的无线网卡。在成功安装无线网卡之后，在Windows XP系统任务栏中会出现一个连接图标(在“网络连接”窗口中还会增加“无线网络连接”图标)，右键点击该图标，选择“查看可用的无线连接”命令，在出现的对话框中会显示搜索到的可用无线网络，选中该网络，点击“连接”按钮即可连接到该无线网络中。
　　接着，在室内选择一个合适位置摆放无线路由器，接通电源即可。为了保证以后能无线上网，需要摆放在离Internet网络入口比较近的地方。另外，我们需要注意无线路由器与安装了无线网卡计算机之间的距离，因为无线信号会受到距离、穿墙等性能影响，距离过长会影响接收信号和数据传输速度，最好保证在30米以内。
　　3、设置网络环境
　　安装好硬件后，我们还需要分别给无线AP或无线路由器以及对应的无线客户端进行设置。
　　(1)设置无线路由器
　　在配置无线路由器之前，首先要认真阅读随产品附送的《用户手册》，从中了解到默认的管理IP地址以及访问密码。例如，我们这款无线路由器默认的管理IP地址为192.168.1.1，访问密码为admin. 连接到无线网络后，打开IE浏览器，在地址框中输入192.168.1.1，再输入登录用户名和密码(用户名默认为空)，点击“确定”按钮打开路由器设置页面。然后在左侧窗口点击“基本设置”链接，在右侧的窗口中设置IP地址，默认为192.168.1.1;在“无线设置”选项组中保证选择“允许”，在“SSID”选项中可以设置无线局域网的名称，在“频道”选项中选择默认的数字即可;在“WEP”选项中可以选择是否启用密钥，默认选择禁用。
　　提示：SSID即Service Set Identifier，也可以缩写为ESSID，表示无线AP或无线路由的标识字符，其实就是无线局域网的名称。该标识主要用来区分不同的无线网络，最多可以由32个字符组成，例如，wireless.
　　我们使用的这款无线宽带路由器支持DHCP服务器功能，通过DHCP服务器可以自动给无线局域网中的所有计算机自动分配IP地址，这样就不需要手动设置IP地址，也避免出现IP地址冲突。具体的设置方法如下：同样，打开路由器设置页面，在左侧窗口中点击“DHCP设置”链接，然后在右侧窗口中的“动态IP地址”选项中选择“允许”选项，表示为局域网启用 DHCP服务器。默认情况下“起始IP地址”为192.168.1.100，这样第一台连接到无线网络的计算机IP地址为192.168.1.100、第二台是192.168.1.101……你还可以手动更改起始IP地址最后的数字，还可以设定用户数(默认50)。最后点击“应用”按钮。
　　提示：通过启用无线路由器的DHCP服务器功能，在无线局域网中任何一台计算机的IP地址就需要设置为自动获取IP地址，让DHCP服务器自动分配IP地址。
　　(2)无线客户端设置
　　设置完无线路由器后，下面还需要对安装了无线网卡的客户端进行设置。
　　在客户端计算机中，右键点击系统任务栏无线连接图标，选择“查看可用的无线连接”命令，在打开的对话框中点击“高级”按钮，在打开的对话框中点击“无线网络配置”选项卡，点击“高级”按钮，在出现的对话框中选择“仅访问点(结构)网络”或“任何可用的网络(首选访问点)”选项，点击“关闭”按钮即可。
　　提示：在Windows 98/2000系统中不能进行无线网卡的配置，所以在安装完无线网卡后还需要安装随网卡附带的客户端软件，通过该软件来配置网络。
　　另外，为了保证无线局域网中的计算机顺利实现共享、进行互访，应该统一局域网中的所有计算机的工作组名称。
　　右键点击“我的电脑”，选择“属性”命令，打开“系统属性”对话框。点击“计算机名”选项卡，点击“更改”按钮，在出现的对话框中输入新的计算机名和工作组名称，输入完毕点击“确定”按钮。
　　注意：网络环境中，必须保证工作组名称相同，例如，Workgroup，而每台计算机名则可以不同。
　　重新启动计算机后，打开“网上邻居”，点击“网络任务”任务窗格中的“查看工作组计算机”链接就可以看到无线局域网中的其他计算机名称了。以后，还可以在每一台计算机中设置共享文件夹，实现无线局域网中的文件的共享;设置共享打印机和传真机，实现无线局域网中的共享打印和传真等操作。

组建办公无线局域网与家庭无线局域网的组建差不多，不过，因为办公网络中通常拥有的计算机较多，所以对所实现的功能以及网络规划等方面要求也比较高。下面，我们以拥有8台计算机的小型办公网络为例，其中包括3个办公室：经理办公室(2台)、财务室(1台)以及工作室(5台)，Internet接入采用以太网接入(10M)。
　　1、组建前的准备
　　对于这种规模的小型办公网络，采用无线路由器的对等网连接是比较适合的。另外，考虑到经理办公室和财务室等重要部门网络的稳定性，准备采用交换机和无线路由器(TP-LINK TL-WR245 1.0)连接的方式 .这样，除了配备无线路由器外，我们还需要准备一台交换机(TP-LINK TL-R410)、至少4根网线，用于连接交换机和无线路由器、服务器、经理用笔记本电脑以及财务室计算机。还需要为工作室的每台笔记本电脑配备一块无线网卡(如果已经内置就不需要了)，考虑到USB无线网卡即插即用、安装方便、高速传输、无须供电等特点，全部采用USB无线网卡(TP-LINK TL-WN220M 2.0)与笔记本电脑连接。
　　提示：出于成本以及兼容性考虑，在组建无线局域网时最好选择同一品牌的无线网络产品。
　　2、安装网络设备
　　在工作室中，首先需要给每台笔记本电脑安装USB无线网卡(假设全部安装的了Windows XP操作系统)：将USB无线网卡和笔记本电脑的USB接口连接，Windows XP会自动提示发现新硬件，并打开“找到新的硬件向导”对话框。将随网卡附带的驱动程序盘插入光驱，选择“自动安装软件”选项，然后点击“下一步”按钮即开始驱动程序的安装。这样，打开“网络连接”对话框就可以看到自动创建的“自动无线网络连接”。而且在系统“设备管理器”对话框中的“网络适配器”项中可以看到已经安装的 USB无线网卡。
　　接着，将TP-LINK TL-R410交换机的UpLink端口和进入办公网络的Internet接入口用网线连接，另外选择一个端口(UpLink旁边的端口除外)与TP- LINK TL-WR245 1.0无线宽带路由器的WAN端口连接，其他端口分别用网线和财务室、经理用计算机连接。因为该无线宽带路由器本身集成5口交换机，除了提供一个 10/100Mbps自适应WAN端口外，还提供4个10/100Mbps自适应LAN端口，选择其中的一个端口和服务器连接，并通过服务器对该无线路由器进行管理。
　　最后，分别接通交换机、无线路由器电源，该无线网络就可以正常工作了。
　　3、设置网络环境
　　在安装完网络设备后，我们还需要对无线AP或无线路由器、以及安装了无线网卡的计算机进行相应网络设置。
　　(1)设置无线路由器
　　通过无线路由器组建的局域网中，除了进行常见的基本设置、DHCP设置，还需要进行WAN连接类型以及访问控制等内容的设置。
　　首先，让我们来看看如何进行基本设置：当连接到无线网络后，在局域网中的任何一台计算机中打开IE浏览器，在地址框中输入192.168.1.1，再输入登录用户名和密码(用户名默认为空，密码为admin)，点击“确定”按钮打开路由器设置页面。在左侧窗口点击“基本设置”链接，在右侧的窗口中除了可以设置IP地址、是否允许无线设置、 SSID名称、频道、WEP外，还可以为WAN口设置连接类型，包括自动获取IP、静态IP、PPPoE、RAS、PPTP等。例如，使用以太网方式接入 Internet的网络，可以选择静态IP，然后输入WAN口IP地址、子网掩码、缺省网关、DNS服务器地址等内容。最后点击“应用”按钮完成设置。
　　在上述设置页面中，为了省去为办公网络中的每台计算机设置IP地址的操作，我们可以点击左侧窗口中的“DHCP设置”链接，在右侧窗口中的“动态IP地址”选项组中选择“允许”选项来启用DHCP服务器。为了限制当前网络用户数目，还可以设定用户数，例如，更改为6(默认50)。最后点击“应用”按钮。完成上面介绍的基本设置后，我们还需要为网络环境设置访问控制：办公网络中为了能有效地促进员工工作，提高工作效率，我们可以通过无线路由器提供的访问控制功能来限制员工对网络的访问。常见的操作包括IP访问控制、 URL访问控制等。
　　首先，在路由器管理页面左侧点击“访问控制”链接，接着在右侧的窗口中可以分别对IP访问、URL访问进行设置，在IP访问设置页面输入你希望禁止的局域网IP地址和端口号，例如，要禁止IP地址为192.168.1.100到192.168.1.102的计算机使用qq，那么可以在“协议”列表中选择“UDP”选项，在“局域网IP范围”框中输入“192.168.1.100～192.168.1.102”，在“禁止端口范围”框中分别输入 “4000”、“8000”。最后点击“应用”按钮。
　　提示：上面的设置是因为qq聊天软件使用的是UDP协议，4000(客户端)和8000(服务器端)端口。如果你不确定哪种协议的端口，可以在 “协议”列表中选择“所有”选项，端口的范围在0～65535之间;要禁止某个端口，例如，FTP端口，可以在范围中输入21～21.对于“冲击波”病毒使用的RPC服务端口可以输入135～135.
　　如果要设置URL访问控制功能，可以在访问控制页面中点击“URL访问设置”链接，在打开的页面中点击“URL访问限制”选项中的“允许”选项。接着，在“网站访问权限”选项中选择访问的权限，可以设置“允许访问”或“禁止访问”，例如，要禁止访问http://www.xxxx.com这样的网站，就可以在 “限制访问网站”框中输入http://www.xxxx.com.最后点击“应用”按钮即可。
　　提示：最多可以限制20个网站。
　　(2)客户端设置
　　在办公无线局域网中，客户端设置的方法与家庭无线局域网中的客户端设置方法大致相同，要注意工作室中的所有计算机需要设定相同的访问方式，例如，同为“仅访问点(结构)网络”或同为“任何可用的网络(首选访问点)”。另外，还要将每台计算机的工作组设置为相同的名称。
　　总结，在看了两种不同对象的无线局域网组建方式后，相信大家对组建局域网都有了一定的了解。希望可以为一些想组建无线局域网的家庭和企业提供到一点的帮助。

预防交换机漏洞攻击防护

xjxhd@vip.qq.com(admin) — Thu,03 Dec 2009 10:55:48 +0800

网络转IT专家网
交换机市场近年来一直保持着较高的增长势头，到2009年市场规模有望达到15.1亿美元。交换机在企业网中占有重要的地位，通常是整个网络的核心所在，这一地位使它成为黑客入侵和病毒肆虐的重点对象，为保障自身网络安全，企业有必要对局域网上的交换机漏洞进行全面了解。

　　VLAN跳跃攻击
　　虚拟局域网(VLAN)是对广播域进行分段的方法。VLAN还经常用于为网络提供额外的安全，因为一个VLAN上的计算机无法与没有明确访问权的另一个VLAN上的用户进行对话。不过VLAN本身不足以保护环境的安全，恶意黑客通过VLAN跳跃攻击，即使未经授权，也可以从一个VLAN跳到另一个VLAN.
　　VLAN跳跃攻击(VLAN hopping)依靠的是动态中继协议(DTP)。如果有两个相互连接的交换机，DTP就能够对两者进行协商，确定它们要不要成为802.1Q中继，洽商过程是通过检查端口的配置状态来完成的。
　　VLAN跳跃攻击充分利用了DTP，在VLAN跳跃攻击中，黑客可以欺骗计算机，冒充成另一个交换机发送虚假的DTP协商消息，宣布他想成为中继;真实的交换机收到这个DTP消息后，以为它应当启用802.1Q中继功能，而一旦中继功能被启用，通过所有VLAN的信息流就会发送到黑客的计算机上。
　　中继建立起来后，黑客可以继续探测信息流，也可以通过给帧添加802.1Q信息，指定想把攻击流量发送给哪个VLAN.
　　生成树攻击
　　生成树协议(STP)可以防止冗余的交换环境出现回路。要是网络有回路，就会变得拥塞不堪，从而出现广播风暴，引起MAC表不一致，最终使网络崩溃。
　　使用STP的所有交换机都通过网桥协议数据单元(BPDU)来共享信息，BPDU每两秒就发送一次。交换机发送BPDU时，里面含有名为网桥ID的标号，这个网桥ID结合了可配置的优先数(默认值是32768)和交换机的基本MAC地址。交换机可以发送并接收这些BPDU，以确定哪个交换机拥有最低的网桥ID，拥有最低网桥ID的那个交换机成为根网桥(root bridge)。
　　根网桥好比是小镇上的社区杂货店，每个小镇都需要一家杂货店，而每个市民也需要确定到达杂货店的最佳路线。比最佳路线来得长的路线不会被使用，除非主通道出现阻塞。
　　根网桥的工作方式很相似。其他每个交换机确定返回根网桥的最佳路线，根据成本来进行这种确定，而这种成本基于为带宽所分配的值。如果其他任何路线发现摆脱阻塞模式不会形成回路(譬如要是主路线出现问题)，它们将被设成阻塞模式。
　　恶意黑客利用STP的工作方式来发动拒绝服务(DoS)攻击。如果恶意黑客把一台计算机连接到不止一个交换机，然后发送网桥ID很低的精心设计的BPDU，就可以欺骗交换机，使它以为这是根网桥，这会导致STP重新收敛(reconverge)，从而引起回路，导致网络崩溃。
　　MAC表洪水攻击
　　交换机的工作方式是：帧在进入交换机时记录下MAC源地址，这个MAC地址与帧进入的那个端口相关，因此以后通往该MAC地址的信息流将只通过该端口发送出去。这可以提高带宽利用率，因为信息流用不着从所有端口发送出去，而只从需要接收的那些端口发送出去。
　　MAC地址存储在内容可寻址存储器(CAM)里面，CAM是一个128K大小的保留内存，专门用来存储MAC地址，以便快速查询。如果恶意黑客向CAM发送大批数据包，就会导致交换机开始向各个地方发送大批信息流，从而埋下了隐患，甚至会导致交换机在拒绝服务攻击中崩溃。
　　ARP攻击
　　ARP(Address ResolutionProtocol)欺骗是一种用于会话劫持攻击中的常见手法。地址解析协议(ARP)利用第2层物理MAC地址来映射第3层逻辑IP地址，如果设备知道了IP地址，但不知道被请求主机的MAC地址，它就会发送ARP请求。ARP请求通常以广播形式发送，以便所有主机都能收到。
　　恶意黑客可以发送被欺骗的ARP回复，获取发往另一个主机的信息流。一个ARP欺骗过程，其中ARP请求以广播帧的形式发送，以获取合法用户的MAC地址。假设黑客Jimmy也在网络上，他试图获取发送到这个合法用户的信息流，黑客Jimmy欺骗ARP响应，声称自己是IP地址为10.0.0.55(MAC地址为05-1C-32-00-A1-99)的主人，合法用户也会用相同的MAC地址进行响应。结果就是，交换机在MAC地表中有了与该MAC表地址相关的两个端口，发往这个MAC地址的所有帧被同时发送到了合法用户和黑客Jimmy.
　　VTP攻击
　　VLAN中继协议(VTP，VLAN TrunkProtocol)是一种管理协议，它可以减少交换环境中的配置数量。就VTP而言，交换机可以是VTP服务器、VTP客户端或者VTP透明交换机，这里着重讨论VTP服务器和VTP客户端。用户每次对工作于VTP服务器模式下的交换机进行配置改动时，无论是添加、修改还是移除VLAN，VTP配置版本号都会增加1，VTP客户端看到配置版本号大于目前的版本号后，就知道与VTP服务器进行同步。
　　恶意黑客可以让VTP为己所用，移除网络上的所有VLAN(除了默认的VLAN外)，这样他就可以进入其他每个用户所在的同一个VLAN上。不过，用户可能仍在不同的网络上，所以恶意黑客就需要改动他的IP地址，才能进入他想要攻击的主机所在的同一个网络上。服务器安全产品
　　恶意黑客只要连接到交换机，并在自己的计算机和交换机之间建立一条中继，就可以充分利用VTP.黑客可以发送VTP消息到配置版本号高于当前的VTP服务器，这会导致所有交换机都与恶意黑客的计算机进行同步，从而把所有非默认的VLAN从VLAN数据库中移除出去。

ping 图形软件

xjxhd@vip.qq.com(admin) — Tue,01 Dec 2009 12:53:50 +0800

本软件可以指定要PING的IP地址，以图形的形式显示出来，PING出的结果进行文本保存。
应该网友要求改为可以PING 域名

点击下载此文件

在windows2003下安装mrtg

xjxhd@vip.qq.com(admin) — Tue,10 Nov 2009 10:25:17 +0800

在windows2003下安装mrtg，环境为简体中文windows2003+IIS6.0.

在windows2003下安装mrtg，环境为简体中文windows2003+IIS5.0.
所需文件  Perl运行：ActiveState Perl 现在最新版本为5.8.6.811
  . MRTG 现最新版本为2.10.15
安装步骤
1）装备perl环境，由于是windows，所以要用ActiveState Perl。
2）配置snmp，基于安全理由，建议各位在设置snmp的时候，如果可以的话最好把默认的权限改了，并限制能访问的IP，这里就不展开谈了，而且不同的系统或者设备的SNMP权限设置也不尽相同。

3) 准备设置mrtg。用perl运行\mrtg\bin\mrtg，注意的是路径问题，例如perl的执行文件在D:\Perl\bin，mrtg在D:\mrtg\bin，那么运行的命令就是
D:\Perl\bin>perl D:\mrtg\bin\mrtg
那么运行的结果应该是
  Usage: mrtg

mrtg-2.10.15 is the Multi Router Traffic Grapher.

If you want to know more about this tool, you might want  to read the docs. They came together with mrtg!
   先恭喜你了，perl和mrtg都准备好给你设置啦
   配置cfgmaker。运行perl cfgmaker，你就会看到大量的参数设置说明，这里就不展开讨论了，本教材只是适合菜鸟的我才能写出来，我们只需要最简单最基本的就够了吧。  perl cfgmaker chinatnk@192.168.0.254 --global WorkDir:/mrtg/www --output myconfig.cfg
说明一下：这个配置的cfg监视ip:192.168.1.100，他的访问权限是chinatnk，有只读权限就够过了；然后WorkDir:/mrtg/www就是输出html文件存放的路径，myconfig.cfg就是为这个配置命名的文件名啦，你可以改成自己喜欢的名字，例如china.cfg的。要注意的是路径，perl和cfgmaker的位置，最后生成的cfg文件应该放在这个命令执行的路径上。
   cfg文件调试。当你运行了步骤4的命令后，应该是一大片执行perl脚步录取snmp信息的命令，最后结束应该是 --base: Writing myconfig.cfg
如果不是，那么你可以翻屏看看是不是访问snmp的权限有问题了。顺便可以打开myconfig.cfg看看，第一行就是你刚才输入的命令。注意，这个命令只会读取一次snmp信息，我们需要设置他的监控周期，例如每5分钟更新一次，就在这个myconfig.cfg后面加上  RunAsDaemon:yes
Interval:5
   运行indexmaker。indexmaker顾名思义，就是制作index页面，利用刚才生成的cfg，输出一个index的页面才好看，因为mrtg生成是每一个snmp一个html。
perl indexmaker C:\mrtg\bin\myconfig.cfg > C:\mrtg\www\index.htm
这个命令，就把我放在C:\mrtg\bin\的myconfig.cfg将来生成的报表输出了一个index.html放在C:\mrtg\www\

运行mrtg。
perl mrtg --logging=myconfig.log myconfig.cfg
运行后，应该会显示

Daemonizing MRTG ...
Do Not close this window. or MRTG will die po

这个cmd窗口就在运行mrtg了～当然，如果你关了，mrtg就die啦。命令中myconfig.log就是mrtg的日志，如果现在看看刚才设定的目录C:\mrtg\www\，里面已经生成了一批html文件了。使用index.htm，也就是刚才用indexmaker生成的那页面就能看到所监控的snmp。现在这个版本的Perl，还提供了一个wperl，上面这个命令用wperl执行后就会自动在后台运行，不开窗口，在taskmgr里面关闭，之余怎么让系统自动完成这些工作呢……

有架站的人相信對MRTG這套程式都不陌生... /
現在就來分享如何在WINDOWS作業系統下安裝MRTG吧^^

1) 先啟動Windows 中的SNMP功能。
控制台-->新增或移除程式-->新增/移除Windows 元件-->Management and monitoring tools-->Simple Network Management Protocol-->確定-->下一步

2) 要安裝Perl，未安裝就請下載安裝
http://downloads.activestate.com/ ... 635-MSWin32-x86.msi

3) 下載Mrtg
http://people.ee.ethz.ch/~oetike ... ub/mrtg-2.10.13.zip

解壓到c:\mrtg
4) 進入CMD(開始->執行-->cmd-->確定)
執行以下每個指令:
5) cd c:\mrtg\bin
6) perl cfgmaker public@127.0.0.1 --global "WorkDir: c:\網頁所放的位置" --output mrtg.cfg
7) 現在c:\mrtg\bin會多了mrtg.cfg這個檔
用記事簿開mrtg.cfg
9) 在檔案尾加入這個字句
RunAsDaemon: yes
執行以下每個指令:
10) start /Dc:\mrtg\bin wperl mrtg --logging=eventlog mrtg.cfg
如果想為mrtg 弄個index 的話要執行這個指令:
perl indexmaker mrtg.cfg --output=c:\網頁所放的位置
想開機時啟動mrtg 要做以下步驟:
1) 開啟記事簿，打上
start /Dc:\mrtg\bin wperl mrtg --logging=eventlog c:\mrtg\bin\mrtg.cfg
2) 存為mrtg.cmd
把mrtg.cmd移到
開始-->所有程式-->啟動
想mrtg 的網頁為中文的話要做以下步驟: 
1) 用記事簿開mrtg.cfg
2) 在檔案尾加入這個字句
Language: big5
3) 存檔
4) 清空mrtg 網頁所存放的html檔案
5) 再運行start /Dc:\mrtg\bin wperl mrtg --logging=eventlog c:\mrtg\bin\mrtg.cfg

一些通信术语和缩略语

xjxhd@vip.qq.com(admin) — Wed,16 Sep 2009 10:36:22 +0800

AP    Access Point    接入点
BAS    Broadband Access Server    宽带接入服务器
CAPWAP    Control and Provisioning of Wireless Access Points    无线接入点的控制及维护
DHCP    Dynamic Host Configuration Protocol    动态主机配置协议
DNS    Domain Name Server    域名服务器
DSLAM    Digital Subscriber Line Access Multiplexer    数字用户线接入复用器
IP    Internet Protocol    互联网协议
MAC    Media Access Control    媒体访问控制
NAT    Network Address Translation    网络地址转换
PAT    Port Address Translation    端口地址转换
PPPoE    PPP over Ethernet    以太网上传送PPP协议
PVC    Permanent Virtual Circuit    永久虚电路
QoS    Quality of Service    服务质量
Radius    Remote Authentication Dial In User Service    远程用户拨号认证系统
VoIP    Voice over Internet Protocol    IP电话
VLAN    Virtual Local Area Network    虚拟局域网
WEP    Wired Equivalent Privacy    有线等效加密
WLAN    Wireless LAN    无线局域网
PORTAL    PORTAL    门户
WAPI    WLAN Authentication and Privacy Infrastructure    无线局域网鉴别与保密基础架构

MA5200设备常见一个认证失败原因

xjxhd@vip.qq.com(admin) — Wed,02 Sep 2009 10:25:43 +0800

MA5200设备常见一个认证失败原因
1.WEB user request
WEB用户正常下线。
如果用户反馈为异常下线而且对应此原因，则是WEB认证用户心跳超时。WEB认证的用户在认证成功后，为防止客户异常关闭WEB认证客户端，会定时给WEB认证客户端发送报文检测（心跳），如果WEB认证客户端被异常关闭，心跳报文就会无响应，连续多次无响应时WEB服务器就会通知MA5200用户由于心跳超时断线。

2、PPP echo fail/ARP detect fail/802.1x handshake fail
这三类原因都属于握手失败，对应的用户分别是PPPOE用户、VLAN用户和802.1X用户。根本原因是MA5200F向用户发出握手报文（三类用户分别是ARP、ECHO、EAP报文），连续多次都没有收到用户的响应报文，MA5200F认为用户已经异常断线，所以切断用户。常见的情况如：网线脱落、终端异常关机、链路DOWN、终端死机、链路捅塞及用户病毒导致主机CAR限制等。对于网络脱落、终端导常关机、终端死机、链路DOWN的情况都属于不可控因素，只能尽力避免。如果终端和链路状态都正常，用户仍然频繁异常断线，则应当首先查看二层网络流量是否正常，是否存在广播风暴导致二层网络捅塞的情况，这种情况下从终端PING MA5200F（或从MA5200 PING用户）时应当也会产生较大丢包。

3.DHCP server nak
DHCP服务器拒绝。一般是地址已经被分配，但IP/ARP触发上线还还想要这个地址

4.DHCP decline
客户端拒绝
dhcp decline报文是dhcp客户端发现网络上有服务器将要分配给自己的ip地址，一般是网络上有人配置了静态IP造成的

5.user request to offline
用户主动请求下线，此下线原因是正常情况

6.CM Ifnet down
用户接入的MA5200F的以太网端口状态DOWN导致的掉线

巧妙排除网络连接故障的八种方法

xjxhd@vip.qq.com(admin) — Tue,18 Aug 2009 11:13:15 +0800

搭建一个网络是相对比较轻松的事情，但是要想管理好网络却是一件比较繁琐的工作。且不说用户给你提出的各种要求会让你忙个不停，单单网络不通这一故障解决起来就够麻烦的，因为导致网络不通的原因实在太多。但是作为网络管理者也不必为此而失去解决问题的勇气，只要我们将故障现象进行规类，还是有规律可循的。

　　一、连接指示灯不亮

　　观察网卡后侧RJ45一边有两个指示灯。它们分别为连接状态指示灯和信号传输指示灯，其中正常状态下连接状态指示灯呈绿色并且长亮，信号指示灯呈红色，正常应该不停的闪烁。如果我们发现连接指示灯，也就是绿灯不亮，那么表示网卡连接到HUB或交换机之间的连接有故障。对此可以使用测试仪进行分段排除，如果从交换机到网卡之间是通过多个模块互连的，那么可以使用二分法进行快速定位。而一般情况下这种故障发生多半是网线没有接牢、使用了劣质水晶头等原因。而且故障点大多是连接的两端有问题，例如交换机的端口处和连接计算机的网卡处的接头，借助测试仪可以很轻松的就以找出故障进行解决。

　　二、信号指示灯不亮

　　如果信号指示灯不亮，那么则说明没有信号进行传输，但可以肯定的是线路之间是正常的。那么不防使用替换法将连接计算机的网线换到另外一台计算机上试试，或者使用测试仪检查是否有信号传送，如果有信号传送那么则是本地网卡的问题。在实际的工作经验证明网卡导致没有信息传送是比较普遍的故障。对此可以首先检查一下网卡安装是否正常、IP设置是否错误，可以尝试Ping一下本机的IP地址，如果能够Ping通则说明网卡没有太大问题。如果不通，则可以尝试重新安装网卡驱动来解决，另外对于一些使用了集成网卡或质量不高的网卡，容易出现不稳定的现象，即所有设置都正确，但网络却不通。对此可以将网卡禁用，然后再重新启用的方法，也会起到意想不到的效果。

　　三、降速使用

　　很多网卡都是使用10M/100M自适应网卡，虽然网卡的默认设置是“自适应”，但是受交换机速度或网线的制作方法影响，可能出现一些不匹配的情况。这个时候不防试试把网卡速度直接设为10M。其方法是右击“本地连接”打开其属性窗口，在“常规”选项卡中单击“配置”按钮，将打开的网卡属性窗口切换到“高级”选项卡，在“属性”列表中选中“Link Speed/Duplex Mode”，在右侧的“值”下拉菜单中选择“10 FullMode”，依次单击“确定”按钮保存设置。

　　四、防火墙导致网络不通

　　在局域网中为了保障安全，很多朋友都安装了一些防火墙。这样很容易造成一些“假”故障，例如Ping不通但是却可以访问对方的计算机，不能够上网却可以使用QQ等。判断是否是防火墙导致的故障很简单，你只需要将防火墙暂时关闭，然后再检查故障是否存在。而出现这种故障的原因也很简单，例如用户初次使用IE访问某个网站时，防火墙会询问是否允许该程序访问网络，一些用户因为不小心点了不允许这样以后都会延用这样的设置，自然导致网络不通了。比较彻底的解决办法是在防火墙中去除这个限制。例如笔者使用的是金山网镖，那么则可以打开其窗口，切换到“应用规则”标签，然后在其中找到关于Internet Explorer项，单击“允许”即可。
五、整个网络奇怪的不通

　　在实际的故障解决过程中，对于一些较大型的网络还容易出现整个网络不通的奇怪故障。说它奇怪，是因为所有的现象看起来都正常，指示灯、配置都经过检查了，任何问题都没有，但网络就是不通;而且更另人叫绝的是在不通的过程中偶尔还能有一两台计算机能够间隙性的访问。其实这就是典型的网络风暴现象，多发生在一些大中型网络中。既网络中存在着很多病毒，然后彼此之间进行流窜相互感染，由于网络中的计算机比较多，这样数据的传输量很大，直接就占领了端口，使正常的数据也无法传输。对于这种由病毒引发的网络风暴解决的最直接的办法就是找出风暴的源头，这时只需要在网络中的一台计算机上安装一个防火墙，例如金山网镖，启用防火墙后你就会发现防火墙不停的报警，打开后可以在“安全状态”标签的安全日志中看到防火墙拦截来自同一个IP地址的病毒攻击，这时你只要根据IP地址找出是哪一台计算机，将其与网络断开进行病毒查杀，一般即可解决问题。

　　小提示：作为网络管理员，即使在正常情况下也有必要安装金山网镖这样的防火墙，找出网络中流串的病毒源头，作出预防，避免危害进一步的扩大。但是要避免网络风暴最佳的办法还是划分子网和安装网络版杀毒软件。划分子网，这样每个子网内的计算机比较少，这样病毒即使相互传播，产生的数据量也不大，不会危及整个网络，而安装网络版杀毒软件则可以保持整个网络高速畅通的运转。

　　六、配置错误导致网络不通

　　这种故障的外部表现多是网络指示灯正常，也能够Ping通，有时可以访问内网资源，但无法访问外网资源，有时还会表现出访问网站时只能通过IP地址，而不能通过域名访问。这就是典型的网络配置不当所产生的，即没有设置正确的网卡和DNS。如果网关设置错误，那么该台计算机只能在局域网内部访问，如果DNS设置错误，那么访问外部网站时不能进行解析。对此我们只需要打开本地连接的属性窗口，打开“Internet协议(TCP/IP)”属性窗口，然后设置正确的默认网关和DNS服务器地址即可。

　　七、网上邻居无法访问

　　网络是畅通的，与Interne或局域网内部的连接全部正常，但是通过网上邻居访问局域网其它计算机时却无法访问的症状。造成这种故障的原因比较多，笔者在这里可以给大家提供一个简单的解决办法。即直接在“运行”窗口中按照“\\计算机名(IP地址)\共享名”的格式来访问网内其它计算机上的共享文件夹，这样不仅可以绕开这个故障，而且也比通过网上邻居访问要更加快捷。

　　八、组策略导致网络不通

　　这种故障主要存在于Windows 2000/XP/2003系统之间，是因为组策略设置了禁止从网络访问。因此我们可以在“运行”窗口中输入“Gpedit.msc”并回车，在打开的组策略窗口中依次选择“本地计算机策略—计算机配置—Windows设置—安全设置—本地策略—用户权利指派”，然后双击右侧的“拒绝从网络访问这台计算机”，在打开的窗口中将里面的帐户列表选中并删除即可。

　　网络不通是一个复杂多变的故障，但只要我们掌握其本质，了解网络构建的步骤，熟悉故障的易发点，这样就可以做到以不变应万变，轻松解决网络不通的问题。

Windows系统下IPv6的配置

xjxhd@vip.qq.com(admin) — Sat,15 Aug 2009 22:47:43 +0800

在windows系统家族中对IPv6协议的配置方法有两种：IPv6命令和netsh命令。我们可以用它们来查询和配置IPv6的接口、地址、高速缓存和路由。

以windows xp下的IPv6命令为例：

◆IPv6 install 安装IPv6协议栈

◆IPv6 uninstall 卸载IPv6协议栈

◆IPv6 [-v] if [ifindex] 显示IPv6的所有接口界面的配置信息。接口界面采用接口索引号来表示。

参数说明：[ifindex] 指定接口的索引号

[-v] 接口的其他信息

例：IPv6 if 显示所有接口的信息

IPv6 if 4 显示接口4的信息

注：通常的，安装IPv6协议栈后，一块网卡默认网络接口有4个，interface 1用于回环接口,interface 2用于自动隧道虚拟接口，interface 3用于6to4隧道虚拟接口，interface 4用于正常的网络连接接口，即IPv6地址的单播接口。如有多块网卡，后面还有其他接口。

◆IPv6 [-p] adu /

[life validlifetime[/preflifetime]]

[anycast] [unicast] 给指定接口配置IPv6地址。注意，这里没有配置前缀长度。

参数说明： [life validlifetime[/preflifetime]] IPv6地址的存活时间

[anycast] 把地址设成泛播地址

[unicast] 把地址设成单播地址,默认为单播地址

[-p] 把所做的配置保存。如果不加此参数进行配置，当电脑重新启动的时候配置将丢失，这一点需注意。下面的-p参数作用都一样，不再另作说明。

例：IPv6 adu 4/3eff:124e::1 给索引号为4的接口界面配置IPv6地址3eff:124e::1

IPv6 adu 4/3eff:124e::1 life 0 删除上面刚刚配置的IPv6地址

◆IPv6 [-p] ifc [forwards] [-forwards] [advertises] [-advertises] [

mtu #bytes] [site site-identifier] [preference P] 配置接口的属性

参数说明： forwards 允许在该接口上转发收到的数据包。

-forwards 禁用在该接口上转发收到的数据包。

Advertises 允许在该接口上发送“路由器公布”消息。

-advertises 禁用在该接口上发送“路由器公布”消息。

mtu 为链接设置最大传输单位(mtu)的大小（以字节为单位）。

site 设置站点标识。站点标识被用来区分属于不同管理区域（使用站点本地寻址）的接口。

例：IPv6 ifc 4 forwards 打开接口4的IPv6的转发功能

◆IPv6 [-v] rt 察看路由表

参数说明：[-v] 察看路由表中的系统路由。不加参数，只能察看手动添加的路由。

例: IPv6 –v rt 察看路由表中的所有路由（手动路由和系统路由）

注:路由表包括系统自动生成的路由(系统路由)表项和用户手动添加的路由(手动路由)

表项。

◆IPv6 [-p] rtu [/address] [life valid[/pref]] [preference P]

[publish] [age] [spl SitePrefixLength] 添加路由表项

参数说明：[/address] 指定下一跳地址

[life valid[/pref]] 存活时间

[publish] 是否发布

[age] 是否老化

[spl SitePrefixLength] 指定与路由关联的站点前缀长度

例：IPv6 rtu 2000:3440::/64 4 为接口4添加一条路由

IPv6 rtu 2000:3440::/64 4 life 0 为接口4删除一条路由

IPv6 rtu ::/0 4/3ffe:124e::2 添加一条缺省路由，网关为3ffe:345e::2

IPv6 rtu 3ffe:124e::/64 4 为接口4添加前缀64

注：默认情况下建立的路由表项在老化但不发布，但是我们可以设置成老化并且发布的。

◆IPv6 [-p] ifcr v6v4 [nd] [pmld] 建立IPv6/IPv4隧道(tunnel)

参数说明：[nd] 允许“邻居发现”跨过隧道，以便能发送和接收“路由器公布”消息

[pmld] 允许周期性的“多播侦听发现 (MLD)”消息

例：你要与另一台机器建立IPv6/IPv4隧道，你的IPv4地址是133.100.8.2，对方的IPv4地址是210.28.10.4，那么你可以执行如下命令：

IPv6 ifcr v6v4 133.100.8.2 210.28.10.4

执行完这条命令之后，系统会告诉你新创建的接口的索引值。对这个接口的配置方法

与别的接口完全一样，但是需要注意一点，它是一个点到点链路的接口。

◆IPv6 [-p] ifcr 6over4 用指定的 IPv4 源地址创建 6over4 接口

◆IPv6 [-p] ifd 删除接口

例：IPv6 ifd 4 删除接口4

注：此命令不能删除环回和隧道虚拟接口，即interface 1,2,3不能删除。

◆IPv6 nc [ifindex [address]] 察看所有接口的邻居缓存，类似于ipv4中的arp缓存

邻居高速缓存将显示用于邻居高速缓存项的接口标识符、邻居节点的 IPv6 地址、相应的链路层地址，以及邻居高速缓存项的状态。

参数说明: ifindex 指定接口

[address] 如果指定了接口，则您可以指定 IPv6 地址，只显示单个邻居高速缓存项。

例:IPv6 nc 察看邻居缓存

IPv6 nc 4 察看接口4的邻居缓存

IPv6 nc 4 3eff:124e::1 察看接口4上的3eff:124e::1地址的缓存项

◆IPv6 ncf [ifindex [address]] 删除指定的邻居高速缓冲项。

参数说明：ifindex 指定接口号

[address] 如果指定了接口，则可以指定 IPv6 地址，只删除单个

邻居高速缓存项。

例：IPv6 ncf 4

注：只有没有引用的邻居高速缓存将被删除。因为路由高速缓存项包含对邻居高速缓存的引用，建议您先运行 IPv6 rcf 命令。

◆IPv6 rc [ifindex [address]] 察看路由缓存。

参数说明：ifindex 指定接口号

[address] 将显示指定接口上的指定地址的路由缓存项

例：IPv6 rc 4 显示接口4的路由缓存

注：路由高速缓存将显示目标地址、接口标识符和下一个 hop 地址、接口标识符和在发送到目标时用作源地址的地址，以及用于目标的路径 MTU。

◆IPv6 rcf [ifindex [address]] 删除指定的路由高速缓存项。

参数含义同IPv6 rc。

例：IPv6 rcf 4 删除接口4上的路由缓存项

◆IPv6 bc 显示绑定高速缓存的内容，主要是每个绑定的家庭地址、转交地址和绑定序列号，以及生存时间。

注：绑定高速缓存将保存家庭地址和用于移动 IPv6 的转交地址之间的绑定。

◆IPv6 spt 显示站点前缀表的内容

◆IPv6 spu [life L] 添加、删除或更新站点前缀表中的前缀

参数说明：[life L] 指定存活时间，默认无限期，如存活时间为0，则删除表项

例：IPv6 spu 3ffe:124e::/64 4 添加一条前缀表项

IPv6 spu 3ffe:124e::/64 4 life 0 删除一条前缀表项

◆IPv6 gp 显示IPv6 协议的全局参数的值

例：IPv6 gp 显示如下：

C:\>IPv6 gp
DefaultCurHopLimit = 128
UseAnonymousAddresses = yes
MaxAnonDADAttempts = 5
MaxAnonLifetime = 7d/24h
AnonRegenerateTime = 5s
MaxAnonRandomTime = 10m
AnonRandomTime = 2m21s
NeighborCacheLimit = 8
RouteCacheLimit = 32
BindingCacheLimit = 32
ReassemblyLimit = 262144
MobilitySecurity = on

IPv6 [-p] gpu ... 这是一组命令，用来修改IPv6协议的全局参数（即IPv6 gp所显示出来的参数），

◆IPv6 [-p] gpu DefaultCurHopLimit 设置IPv6 数据包头中“Hop 限制”字段的值，默认为128

◆IPv6 [-p] gpu UseAnonymousAddresses [yes|no|always|Counter] 设置是否使用匿名地址。默认为 yes
◆IPv6 [-p] gpu MaxAnonDADAttempts 设置检查匿名地址唯一性的次数。默认 5

◆IPv6 [-p] gpu MaxAnonLifetime 设置匿名地址的有效生存时间和首选生存时间。默认有效生存时间为 7 天。默认首选生存时间是 1 天

◆IPv6 [-p] gpu AnonRegenerateTime 设置时间段（以秒为单位）

◆IPv6 [-p] gpu MaxAnonRandomTime 以分钟为单位设置最大匿名随机时间

◆IPv6 [-p] gpu AnonRandomTime 以秒为单位来设置最小匿名随机时间的值。默认值是 0 秒

◆IPv6 [-p] gpu NeighborCacheLimit 在邻居高速缓存中为每个接口设置最大的项目数量。默认值为 8 项

◆IPv6 [-p] gpu RouteCacheLimit 在路由表中为每个接口设置最大的项目数量。默认值为32项

◆IPv6 ppt 显示前缀策略表

注：前缀策略被用来指定用于源和目标地址选择的策略。

◆IPv6 [-p] ppu prefix precedence P srclabel SL [dstlabel DL] 用指定首选项、源标签值 (SourceLabelValue) 和目标标签值 (DestinationLabelValue) 的策略更新前缀策略表。

◆IPv6 [-p] ppd 删除前缀策略

◆IPv6 renew [ifindex] 为所有接口恢复 IPv6 配置

参数说明：[ifindex] 恢复指定接口的IPv6配置

例：IPv6 renew 4 刷新接口4的自动分配地址

注：将通过在合适的接口上发送“路由器请求”消息来刷新主机的自动配置地址。将基于收到的“路由器公布”消息来配置地址。类似于ipv4中的ipconfig /renew命令。

在windows的最新版本server 2003中，微软公司抛弃了IPv6命令，继而用netsh命令系列来取代。对于IPv6命令，netsh命令系列都有与之一一对应的命令行。

----------------------------------------------------------------

附加：

为了使您更好的理解IPv6,在这里给出一个表格，以比较ipv4和IPv6地址的区别。