[ 论坛 ] [ 交易 ] [ 数码影像 ] [ 宽带山 ] [ 产品泡泡 ] [ 邮箱 ] [ 电子杂志 ] [ 竞猜 ] [ MYhome ]                        [KDS风云排行榜
mingzinan 的个人空间
首页 [1] 尾页  共1页
 12000公里交作业
发贴日期: 2008-02-19   [ 2人评论过 ]

从8月底提的可爱瑟瑟,到现在一晃快12000公里了,怎么样,够狠吧,有哪位弟兄不服可出来比比,呵呵。

再有100多公里就要作三保了,赶紧交作业,和众位车友交流交流心得。
1、总体感觉整车质量不错,至少到目前为止,没出过什么小毛病。

2、不愧是赛车的胚子,拐弯的时候感觉很稳,绝对物有所值。(因为我们这里盘山路多,弯也多。)

3、不知道怎么搞的,我的车油耗比我朋友的高,不开空调时基本在7.5左右,开了空调就基本在8—9之间。我的是自动基本型的,有个朋友和我是同一款的车型,他的才7.2个油,真让我目瞪口呆。有哪位大虾知道是怎么回事?是不是因为我平时油门和刹车都踩得特凶啊?
我准备在作三保的时候让维修厂检查检查,刚好有个新春健诊,准备这几天就去。还有其他什么需要注意、检查的事项啊?

4、我的胎压力均为2.3,属于标准压力,可从视觉上看明显觉得车轮胎有些瘪,不知道众兄弟的胎压一般都保持在多少?

5、方向盘比较沉,在揉库时有时候觉得比较吃力,(呵呵,是不是因为女生力气比较小啊)。但带来的好处是开高速方向盘不抖、不飘,看来有所得就必有所失呀。


今天就说这么多吧,总觉得特惭愧,虽然也算是老人了,但一直没什么时间来关心关心咱论坛。在此特向众位斑竹说一声辛苦了,感谢你们持续的付出心血和努力,为我们广大车友们提供一块自己的阵地。

我们大家一块努力把论坛建设好吧。



 冰上舞者记BMW冬季精英驾驶培训
发贴日期: 2008-02-19   [ 1人评论过 ]

  1月4日,早上6点的哈尔滨还笼罩在夜色中,在半梦半醒状态简单的洗漱完毕。背着相机下楼钻进等候在酒店门口的大巴前往二龙山BMW冬季精英驾驶培训场地。寒冷的天气把车窗都“裹”上了一层厚厚的冰霜,看不到车窗外的任何景色同行的每个人都昏昏沉沉的睡去。


    这里还有45张精彩图片


  真正的驾驶体验是在二龙山风景区一片特别开阔的冰冻湖面的上进行,由于一开始就是在DSC关闭的情况下驾驶,在绕桶练习过程中车子打滑特别严重,在光滑的冰面上速度达到40公里以上米其林的防滑轮胎也显的力不从心了。即使你有过冰雪路面的驾驶经历可当你面对一整片开阔的冰冻湖面时难免会有种天大地大的无恐心理,车子屡次在5-.6千转的轰鸣声中完成了“托马斯全旋”动作,
直到DSC打开后,你才知道在没有电子辅助设备的帮助下,冰雪驾驶是一件多么可怕的事情。

  点击查看全图


  这里还有45张精彩图片


  这时我才真正感受到BMW350i在冰雪路面驾驶的乐趣,打开DSC平稳驾驶的情况下几乎感受不到什么车辆的打滑,车速提升到60依然操控自如,如果你是循规蹈矩的驾驶者只愿意在打开各种电子辅助设备的状态下行驶那么你可能更不愿意尝试在冰面上急速行走了。当然也就不用来体验什么冰上驾驶了。可能在雪季到来的时候你更愿意让自己挤在地铁里乐得安逸。提到宝马最关键的还是操控性能的卓越表现,下午的转向过度训练环节才着实让我尝试了几把漂移的痛快。车辆高速连续过弯甩尾,激起漫天雪暴,在极低附着力的冰面上后驱动力的BMW350i也完成的相当出色。


  点击查看全图



  直至下午5点整个培训结束,给我感觉BMW精英驾驶培训更多体会到的是在冰雪路面紧急情况下司机应对路况的正确反应以及措施,和对车辆准确操控的理解。当然你还需要一辆高安全辅助设备的车子才可以真正做到处变不惊。



 逍客准车主:“重要的是,逍客,很都市游牧……”
发贴日期: 2008-02-19   [ 2人评论过 ]

忘记从那里看到,说“奔跑,奔跑者的语言”,也不妨可以这样说“游牧,游牧者的态势”。其实,选择下订“逍客”这台车,重要的就是冲着它骨子里面的游牧精神去的。

说一个小小的插曲,下订的那天,我正在澳洲度年假,曾经和我一起进行过拓展训练的Vito给我发过了手机彩信,让我看他下订的“逍客”外形照片,并十分热情地鼓动我也下订,因为他觉得“逍客”真的很适合我们这种勇于突破,不敢平庸,向往自由的都市游牧人一族。我觉得我没有理由不相信他,毕竟我和他认识已经超过五年,并且是性格接近的朋友,一旦他认定的东西,我也很是喜欢,于是我就委托他帮我也下订了一台。

度假结束后,回到国内,我通过vito、网络真真切切把“逍客”了解了一番,我禁不住在office一跃而起,挥舞着拳头大喊一声“我的逍客”。

我觉得,“逍客”之所以能成为我的至爱选择,是它那种和我匹配的游牧精神征服了我。平时,生活在钢筋水泥建造的一个又一个巨大的建筑box里面,然而我在工作、生活中不甘于既定的模式,更愿意展示另一面的自我,寻找新的兴奋点与突破口,力求为生活创造出更多精彩。我游走在城市和城市之外,喜欢捕捉生活的点滴感动,喜欢感知生活和大自然的不为人知的一面,更乐意和朋友、同事分享我与众不同的见解和生活主张。

而“逍客”,也就是Qashqai,恰恰可以满足我的需求,并且和我的生活态度不谋而合。2.0升汽油车型的0-100km.h的加速时间仅需要10.1秒,跟同级别轿车相比也毫不示弱,四驱系统让它有着比一般轿车更加强劲的动力表现,再加上灵活操纵的XtronicCVT变速器,让我不单单可以自如穿梭在都市的钢筋水泥森林中,也可以周末带着太太顺畅地开往城市郊区或者更远的地方,更带来出色的节油效果。同时,高视野、高刚性车身以及人性化的丰富安全配备带来五星级的安全保证,让我随心所欲,自由驰骋的时候尽可安然放心。

也许,“逍客”就是这样让人着迷。看看它那由坐落于伦敦的日产欧洲技术开发中心担纲设计的上轿车下suv的跨界体外形,既有英法德古典美,又有结欧洲的现代设计潮流,每根线条都透露出刚劲、动感、时尚;还有那高悬挂系统,让我就算在郊外不好的路况上行驶,也像在城市中一样具有高通过性,非常舒适的去到想去的地方。

前几天,我的同事kevien也下订了一台,这个礼拜我们三个互相帮忙把各自的车库认真装成更自由的风格,只有这样,我才觉得它才能容纳我的“逍客”,才对得住它,让它在游牧一天后能更好地休息。而现在,诸多象我们三个一样下订了东风日产“逍客”一族,唯一可以做的就是等待明年年初它真正的到来。然后,驾驶着它出发,再出发,跨越更多的界限!



 80后的车文化---最有个性的车
发贴日期: 2008-02-19   [ 2人评论过 ]

80后的车文化---最有个性的车(超炫美图)我们是不喜欢循规蹈矩,不喜欢受约束和纪律的一群人。也有人说我们是垮掉的一代,浮躁而自我。80后只是渴望自由和独立生活,80后一代也不会成为垮掉的一代!80后一代是简酷一代。


点击查看全图

小车就是简酷simple is cool

点击查看全图

小车就是简酷simple is cool


我们只是不想长大的孩子,我们充满活力。相当一部分的80后更是喜欢用汽车去诠释自己以及自己的生活,行万里路更能通过车认识更多朋友~~~建立不同的圈子


点击查看全图

小车就是简酷simple is cool

点击查看全图

小车就是简酷simple is cool



 豪车四杰动力PK
发贴日期: 2008-02-19   [ 1人评论过 ]

在3.0L-3.5L这个级别,恐怕只有沃尔沃S80 T6 AWD、奔驰E350、宝马530Li以及奥迪A6L 3.2 FSI
Quattro这几款豪车在动力方面称得上强悍。我们一屋都是车迷,经常在一块就谈论究竟谁的动力更强,但争来争去总没有个结果,。后来我查遍这三款车的资料,终于写出这篇洋洋洒洒近千字的“大作”。


奔驰E350搭载的3.5L
V6自然吸气式发动机采用了多点顺序电喷技术,最大功率200kw,最大扭矩350NM。不断的改进和新技术的应用使其与上一代E级车的4.3升V8发动机相比也仅仅只有5kw的差距。据奔驰宣称,奔驰E350的百公里加速成绩能达到惊人的6.9秒,在同级别的车型中可以说难逢对手。


由于排量较小,宝马530Li无论是190kw的最大功率还是300NM的最大扭矩,与奔驰E350相比都要略逊一筹。但得益于独特的第二代Valvetronic电子气门控制系统以及由宝马公司自行开发的双凸轮轴可变气门正时系统(Double-VANOS)技术
,因而宝马530Li在拥有相对出色的发动机响应速度(百公里加速成绩7.2秒)的同时还具有极高燃油利用率。

奥迪A6L 3.2 FSI
Quattro的最大功率和最大扭矩分别达188kw和330NM,在这个级别的车型中,其动力表现只能算是中规中矩。不过,奥迪所独创的FSI技术可以说是其动力方面的一大亮点。FSI是直喷式汽油发动机领域的一项创新的革命性技术。相比传统发动机,将燃油直接喷射入气缸的FSI发动机拥有更强劲的动力以及更低的油耗,这也是奥迪A6L
3.2 FSI Quattro百公里加速成绩能够接近7秒大关的一个重要原因。


人们以前普遍认为沃尔沃只是安全,但经过我一番详查,发现其动力不但不弱,甚至可以说还略占优势。Volvo S80 T6
AWD所搭载的全新3.0升6缸涡轮增压发动机,最高功率达210Kw(285马力),最大扭矩达到400Nm,0至100公里/小时加速仅需6.9秒,这主要是因为T6发动机所采用的双涡流技术(Twin
Scroll)可以达到与双涡轮增压器同样的高动力输出,但与前者相比其结构更加简单和紧凑,动力反应也更加迅速。其原理就是将排气管的废气通过两个独立的管道分流而不相互干扰,从而使增压器能够更加高效地利用排放的废气,产生强劲动力,保证低速高扭矩的输出。让驾驶者体验其风驰电掣的驾驶激情。


比较之前,我对这四款豪车究竟谁的动力更强莫衷一是。比较之后,我发现似乎更难下结论。由于这四款车型3.0L-3.5L的排量加上各自品牌所独有的专利技术,使它们在动力性能方面都达到了一个相当高的水准。如果非要让它们决出一个高低上下,恐怕最后起决定因素的并非车本身,而在于开车的人了……



 价值百万的----龙神
发贴日期: 2008-02-19   [ 1人评论过 ]

点击查看全图


  
  点击查看全图



 大惊喜 比亚迪F3
发贴日期: 2008-02-19   [ 2人评论过 ]

在试车之前,千万不要凭印象凭经验去主观地臆断一辆车的好与坏,否则你可能会错失一次大惊喜。

  
F3推出之初,编辑部都不以为然,以为它只不过又是民族车厂模仿国外车型的又一个案例而已。此种情形已经见怪不怪了,估计比亚迪脱离不了奇瑞、吉利、华普等廉价而又粗陋的路线,老实说是有几分看扁了它的意思。


  


  那么为何如今又要做F3的试车呢?同样事出有因——我们发现F3非常好卖。2005年底,街头巷尾突然间冒出了很多类似花冠的物体——F3,心想人们光为便宜也不一定要买F3呀,现在八九万元的选择已经有一大把了。再到岁末最后一次逛车市,发现比亚迪经销商那里居然连展车都寥寥可数,原因并不是萧条冷落,而是车子太好卖了,根本没有现货供应,就连拿来展示的车型都已被订购出去的了。而展厅一旁的售后服务车间,一大批F3排着队等候清洁,忙忙碌碌的工作人员都在为新车上牌做工作。


  惊喜何处

   既然如此,那就一定要试它一试了。不试则已,一试却发现F3充满惊喜,而且是很大的惊喜。

  
首先是动力,F3装备东安出品的1.6升三菱4G18发动机,与东南菱帅用的是同一款,发动机本身没有什么特别,但调校上却深得三菱的精髓:低扭有劲,高转爽朗。在市区车流左穿又插,感觉是随心所欲,快慢自如,无论挡位偏高偏低,对车速似乎都没有影响。在四挡甚至五挡中低速行驶,若要突然发力加速,深踩油门力量很快便涌现。这不是齿比偏大的原因,因为五挡100km/h时发动机转速只有2900rpm,而且各挡位齿比编排比例适中,与一般车型并无不同。显然,这不是变速箱的原因,而是发动机的功劳。在注重低扭之余,这副发动机的高转表现同样出色,4000rpm往后,发动机音色健康,力量持久发放,而三菱发动机独有的口哨声也给人一些动感,性情表现得轻跳活跃。


  
仅动力而言,F3就已有几分乐趣,虽然只有1.6的排量,推动1200kg的车重感觉已经完全足够。而同样具有乐趣的还有底盘,除了过弯时侧倾大一点之外,F3的底子也可称得上有几分运动感,最明显的特性是悬挂具有很强的韧性。虽然在滤震方面表现偏硬,行走稍烂的路面,颠簸会传入车厢,但车架会表现出比较扎实的刚性,支撑有力的悬挂给人带来强韧硬实的感觉。简单地说,这副底盘虽不高级,却给人牢固可靠的印象,这就已经足够了。


  F3车厢的格局也和花冠十有八九相似,试车期间我们还特意抽空去丰田的展厅比较过,F3就连车内中控台的储物格位置、升降窗按键只有司机位有向下的“one
touch”按键、车尾那个“GL-i”的标志、后座椅放倒的开关,都几乎和花冠一摸一样。


  设计格局与花冠同出一辙。尽管用料做工有显著的差距,但价钱却几乎少了一半,吸引力自然不在话下。更为成功的是,F3整车的包装、带给人的气派感,都学到了花冠的精髓,甚至连GPS卫星导航等高级装备,F3也一一对应给予提供(只是暂无自动挡版本供应)。要学就要学最好的,花冠是全世界最畅销的车型之一,它为何畅销,比亚迪根本不用费心思去研究,只要确保自己找对了学习对象,尽管依葫芦画瓢便可。如果其成果有花冠的十分之一,那成绩就已经不得了了。不是这样吗?事实就在眼前,你大可去经销商处走走,与销售小姐或正在看车的朋友聊聊,你便知我所言非虚。


  
F3有些地方是“青出于蓝”的:一是车头灯的形状,要比花冠更“精神”,车灯面积大小相当,边角的处理更尖锐,灯沿下方配合大灯多加了一小半圆弧形,马上显得更加出彩;二是车内的中央后视镜上加装了一个小小的指南针,观感不赖,有几分像麻将牌的“东南西北风”,而且测量方向时非常准确,虽然作用有限,但总寥胜于无;三是仪表盘里的红色指针在通电一刻会生猛地摆动两下,记得这好像是斯巴鲁力狮的噱头设计,也被F3学到了;最后F3的后门车窗玻璃还可以完全降下,这是连花冠也不能做到的。


  尚需努力

  
当然惊喜之余,我们也发现了F3很多未完善的地方,最让人不满的是测试的F3新车车厢里散发着一股刺鼻的气味,证明其内饰材料的加工工艺仍有问题,车主在新车使用初段必须经常打开车窗,才能确保健康。在操作方面,F3的方向盘助力较小,转向不够轻松;离合接点有些模糊,脚感较重,起步会容易熄火(在两天的试车中出现三次);油门踏板太重太硬,影响对油门的细腻控制;挡闸有时候也不够清楚,由高挡退至低挡时需要稍加力度,并要巧用劲。不过其挡位行程很短,只要能顺利入挡的话,操作起来的速度是可以很快的。


  
此外,还有一些显得稚嫩的地方,例如和花冠一样的荧光白灯仪表,每次亮起时好像家里的日光灯那样,要闪烁几下才能完全点亮,而且没有亮度调节,晚上行车其光度会让人觉得刺眼;座椅的人机工程设计也不够完善,座垫太松软;车门内手枕上的一块装饰塑料板的材质看起来类似搪瓷,毫无质感可言之余还显得莫名其妙……


  
F3的整体完善度比不上花冠,完全是在我们预料之中的,但这些问题对于刚刚涉猎新车开发的比亚迪来说,都不是关键的技术难题,相信只要用心,假以时日不难克服。


  
F3让人看到了希望,却让我想起了另外一款同级车——菱帅。采用同样一台发动机,差不多的级别和价格,还有日本三菱出品的身世,整车完善性也比较高,但如今的景况却大不如F3这款中国自己出产的新车。为什么呢?我想原因大概不外乎品牌、服务和态度,三菱品牌在全球失势;菱帅车型虽然成熟但却显得老迈,价格也一减再减,消费者对车是贪新厌旧的,谁够积极,谁就能受到宠爱,显然如今的比亚迪F3要比菱帅甚至花冠表现得更加积极。


  再接再厉

  
回头衡量这辆F3,我们则可以给比亚迪竖一次大拇指了——它交出了一份满意的功课,尽管这份功课还有些抄袭/参考的成分,但结果也让我们也觉得开心。很希望其它民族车厂能够认真看看这辆F3,同样是“抄”,为何比亚迪能“抄”得这么好?而且,这还是上“一年级”的小弟哦。


  
比亚迪有了成绩,但不要开心太早,虽然功课做得不错,但要清楚记得这不是完全自己从头做的,成功只有一半在自己,还有一半是别人的。F3只是车厂发展的过程,而不是结果,最终还是要“抄”出心得,继而研发自己的高水准产品才算修成正果。


   还车时与比亚迪车厂的朋友聊天,她说看着吧,比亚迪在不久的将来会推出更多的新车,估计会有F1啊、F4啊什么的,我们应该能期待更多新的惊喜



 猫猫的JUNIPER JNCIE-M实验室操作考试 失败记录
发贴日期: 2007-12-19   [ 0人评论过 ]

昨天接到的考试fail通知,有些意料之中[因为做的很不好],虽然壮志未酬,但其中仍有少许心得,与大家分享。
猫猫我考试无数,虽未臻化境,但也不算菜鸟,这次参加JUNIPER的认证考试,据说比多年前的CCIE考试难度大几倍,但是用考官的话来说是“different
market”,心里更加紧张,考试前一天晚上花了3个小时把所有的scenario又做了一遍,才睡着。

第二天起了个大早,7点起床[NND从来没这么早起床过],早餐也顾不得吃,匆匆忙忙打车去东方广场W3,结果8:30到达JUNIPER
BEIJING OFFICE,因为猫猫在JUNIPER代理商工作,所以这里是经常光顾的,非常熟悉,但这一点儿都不能化解紧张情绪....开了一灌冰冷的diet
coke,慢慢喝着,饼干就不吃了,也咽不下去
JUNIPER北京考场同一天只能容纳2个考生[因为都是远程的几个有限的机架,分别在阿姆斯特丹和日本,嘿嘿,这个的“好处”一会儿再说],所以我在前台旁边的沙发上一边等考官一边等另一个考生,期间叹气无数次,紧张无数次不表....

8:40 JTAC一个资深工程师来了,因为很熟,就坐着陪我聊,跟我聊他以前考试的时候的情况,多少让我感觉好一些
8:48

杜松论坛http://www.juniperbbs.net/frame.php?frameon=yes&referer=http%3A//www.juniperbbs.net/thread-10873-1-1.html



 猫猫的JUNIPER JNCIE-M实验室操作考试 失败记录
发贴日期: 2007-12-19   [ 0人评论过 ]

昨天接到的考试fail通知,有些意料之中[因为做的很不好],虽然壮志未酬,但其中仍有少许心得,与大家分享。
猫猫我考试无数,虽未臻化境,但也不算菜鸟,这次参加JUNIPER的认证考试,据说比多年前的CCIE考试难度大几倍,但是用考官的话来说是“different
market”,心里更加紧张,考试前一天晚上花了3个小时把所有的scenario又做了一遍,才睡着。

第二天起了个大早,7点起床[NND从来没这么早起床过],早餐也顾不得吃,匆匆忙忙打车去东方广场W3,结果8:30到达JUNIPER
BEIJING OFFICE,因为猫猫在JUNIPER代理商工作,所以这里是经常光顾的,非常熟悉,但这一点儿都不能化解紧张情绪....开了一灌冰冷的diet
coke,慢慢喝着,饼干就不吃了,也咽不下去
JUNIPER北京考场同一天只能容纳2个考生[因为都是远程的几个有限的机架,分别在阿姆斯特丹和日本,嘿嘿,这个的“好处”一会儿再说],所以我在前台旁边的沙发上一边等考官一边等另一个考生,期间叹气无数次,紧张无数次不表....

8:40 JTAC一个资深工程师来了,因为很熟,就坐着陪我聊,跟我聊他以前考试的时候的情况,多少让我感觉好一些
8:48
考官来了,澳洲人,这里要说的是:Juniper有一个Education
Services部门,是全球性质的,人员分布在几大洲,每个国家也就2-3个人,主要负责对公司产品的技术培训和认证考试工作。这次的考官我早就知道他,叫Damien。他笑眯眯的,我很有礼貌的打了招呼,然后他说"I
am gonna get stuff ready over there, pls wait here",我说好,然后继续等。

8:58
另一个兄弟还不来....不管了,去考场找考官.他一看到点了,就说"let me get you started
first",我说好,只见考场里[所谓考场就是一个会议室临时改装的,装了两个移动PC,两套键盘,主要是为了适应不同人的需要,因为有的人习惯笔记本键盘,有的人习惯台式机键盘,我因为上次考JNCIP-M
LAB的时候用了这个台子和台式机键盘,所以这次还用这个吧],他问我要用哪个,我说用这边这个,然后我说如果可以的话,我想用自己的MICROSOFT鼠标,因为习惯了,他说没问题随便你用。

然后我坐下来,打开书包,把我前两天去文具店买的笔和橡皮都弄出来,10多根铅笔,10多根圆珠笔,还有2块橡皮,一个转笔刀....把考官吓一跳,他笑着说"this
is
redundancy,huh?",于是我哈哈大笑

他给了我一个大概有7-8页的装订好的几张纸,上面都是考题要求,然后另外给了我4-5页一模一样的图,上面标明了拓扑,链路,IP,接口类型和数目等,画的比较清楚但是我怎么看怎么别扭,他说这几个图是让你在上面随便画的,这几页考题要求是装订好的,但是你可以随便撕开,也可以在上面随便画图写字作标记,唯一的要求就是不许带出考场

然后开始介绍RACK,因为是远程的所以看不到,只有听他在说[[这时候另一个哥们儿来了,他是爱立信的售后,后来得知人家的确做的比我好,这次他就PASS了,祝贺他!]],怎么访问terminal
server,怎么访问每台机器[他妈的居然有10台机器要我配,NND!],考官说我这次的RACK是Amsterdam 2,
那个爱立信的哥们儿用的是Amsterdam 1。
我想这个不违反NDA规则,可以说一下:

考试用的超级终端软件是SecureCRT,里面的设置可以随便改,你可以随意根据个人习惯设置字体,颜色,界面,我设置好自己的喜欢的界面以后,考官说
“嘿,你跟我习惯一模一样,我也习惯用黑色背景,灰白色Courier New字体”....笑;
*Ns`-]?mz
3l~\rYS51z
考试用PC----Internet----UNIX
server----terminal server,然后terminal server控制所有的考试机器,所有的考试机器的带外管理口和UNIX server
& terminal server是在同一个网段的,所以你可以先telnet到UNIX
server,然后开10个SecureCRT窗口telnet到所有的考试机器,但是这里必须设置防止发呆的设置,否则5分钟掉一次[不是router问题而是UNIX
server问题,UNIX又不让你动,只好在你这边改],我个人因为以前考过CISCO的,就习惯了ctrl+shift+6, then X;

杜松论坛http://www.juniperbbs.net/frame.php?frameon=yes&referer=http%3A//www.juniperbbs.net/thread-10873-1-1.html



 JUNIPER路由相关图片
发贴日期: 2007-12-17   [ 0人评论过 ]

JUNIPER路由相关图片
点击查看全图

ITAA红火

点击查看全图

ITAA红火


点击查看全图
杜松论坛http://www.juniperbbs.net/frame.php?frameon=yes&referer=http%3A//www.juniperbbs.net/thread-10873-1-1.html



 简释iptables防火墙
发贴日期: 2007-12-15   [ 0人评论过 ]

一般LINUX防火墙(iptalbes)的运用无非是用nat

表(PREROUTING、OUTPUT、POSTROUTING)和filter表(FORWARD、INPUT、OUTPU

T)。我们只有知道了数据的流向才能正确的配置防火墙。现用一个相对比较直观的图形解释数据的走向。(此处只作最基本的ipta
bles数据流走向说明。)点击查看全图
上图是你的家,蓝色的圈是你家院子,有两扇大门①⑥进出,你家有两个房间,分别为eth0和

eth1房间,每个房间有两个门可以进出②③④⑤。旁边是张三和李四的家,张三家和李四家之间的往返必须要过你家院子。
现假设,eth0网卡IP为:192.168.5.1链接内网,eth1网卡IP为:218.100.100.111链接互连网

再假设,“张三家”为一个局域网,“李四家”为互连网。进我家院子用PREROUTING,出我家院子用FORWARD,进我家

门用INPUT,出我家门用OUTPUT。(当我们的操作是征对服务器本身而言的话,如SSH操作,此时肯定会用到PREROU

TING、INPUT和OUTPUT,当数据只是通过服务器去访问别的机器时会用到PREROUTING和FORWARD。)

又假设,默认这六个门都是关的。生成如下代码。
############################################################

###############
*nat
################################
点击查看全图REROUTING
DROP [0:0]
:OUTPUT

DROP [0:0]
点击查看全图OSTROUTING
DROP [0:0]
################################
-F

-Z
-X
### 以后要新增语句请在此处增加。
-L
–v
COMMIT
################################################
*filter
##############################
:INPUT

DROP [0:0]
:FORWARD
DROP [0:0]
:OUTPUT
DROP&
nbsp;
[0:0]
##############################
-F
-Z
-X
###
以后要新增语句请在此处增加。
-L –v

COMMIT
############################################################

##############
1、 局域网用户通过服务器共享上网
(即从张三家到李四家)
1)首先进①号门,再从⑥号门走出。
-A PREROUTING
–p tcp --dport 80 –j ACCEPT #允许TCP
80端口通过服务器
-A FORWARD –p tcp
--dport 80 –j
ACCEPT #允许TCP80 端口转发
-A FORWARD –p
tcp --sport 80 –j
ACCEPT
#允许接收对方为TCP80端口反回的信息
2)其次,由于我们上网打的是域名,为此有一个公网DNS服务器为我们服务,那当然也要允许内网机器与DNS服务器的数据转发。

DNS用UDP 53或者 TCP 53端口。两者用其一个就行。
-A PREROUTING –p
udp --dport 53 –j
ACCEPT
-A FORWARD –p
udp --dport 53 –j
ACCEPT

-A FORWARD –p udp --sport 53 –j
ACCEPT


3)再次,由于局域网的地址在公网上是不被允许的,所以在出公网前应该把其地址转为服务器地址进行伪装。
-A POSTROUTING
–s 192.168.5.0/24 –j SNAT

–to 218.100.100.111
2、 允许局域网和公网可以访问服务器的SSH
假设SSH采用默认端口TCP
22 。此要求相当于要进我的家的TCP

22号门,为此我们首先要进我家院子,然后再进我家门,最后走出我家门这样的过程。此操作是征对服务器本身的操作。
-A PREROUTING
–p tcp --dport 22 –j ACCEPT
-A INPUT –p tcp --dport 22 –j ACCEPT

-A OUTPUT –p tcp --sport 22 –j
ACCEPT
3、 允许内网机器可以登录MSN和QQ。
(MSN和QQ默认是不允许登录的)QQ一般来说可以从TCP
80、8000、443及UDP
8000、4000登录,而MSN可以从TCP

1863、443登录。我们登录MSN和QQ的过程就象上网一样,也是去访问远程服务器的指定端口,故而我们只用数据转发即可。
-A PREROUTING
–p tcp --dport 1863 –j ACCEPT
-A PREROUTING –p tcp --dport 443 –j
ACCEPT
-A PREROUTING –p tcp --dport 8000 –j
ACCEPT
-A PREROUTING –p udp --dport 8000 –j
ACCEPT
-A PREROUTING –p udp --dport 4000 –j
ACCEPT
-A FORWARD –p tcp --dport 1863 –j
ACCEPT
-A FORWARD –p tcp --sport 1863 –j
ACCEPT
-A FORWARD –p tcp --dport 443 –j
ACCEPT
-A FORWARD –p tcp --sport 443 –j
ACCEPT
-A FORWARD –p tcp --dport 8000 –j
ACCEPT
-A FORWARD –p tcp --sport 8000 –j
ACCEPT
-A FORWARD –p udp --dport 8000 –j
ACCEPT
-A FORWARD –p udp --sport 8000 –j
ACCEPT
-A FORWARD –p udp --dport 4000 –j
ACCEPT
-A FORWARD –p udp --sport 4000 –j
ACCEPT
4、 让内网机器可以收发邮件。
接收邮件是访问远程服务器的TCP
110端口,发送邮件是访问TCP25端口。用数据转发即可。
-A PREROUTING –p tcp --dport 110 –j
ACCEPT
-A PREROUTING –p tcp --dport 25 –j
ACCEPT
-A FORWARD –p tcp --dport 110 –j
ACCEPT
-A FORWARD –p tcp --sport 110 –j
ACCEPT
-A FORWARD –p tcp --dport 25 –j
ACCEPT
-A FORWARD –p tcp --sport 25 –j
ACCEPT
5、 内部机器对外发布WEB。
要把内网机器192.168.5.179的WEB对外发布的话,相当于是从外网访问内网。与第1步操作的局域网共享上网相同,只

是访问的方向改变了。不是从内网访问外网,而是从外网访问内网。
当公网访问服务器218.100.100.111时,防火墙把它映射到内网的192.168.5.179的TCP80上。当内网

机器访问服务器218.100.100.111时,防火墙把它映射到内网的192.168.5.179的TCP80上。
-A PREROUTING
–i eth0 –p tcp –d 218.100.100.111 --dport 80 –j DNAT
--to-destination
192.168.5.179:80
-A PREROUTING –i eth1 –p tcp –d 218.100.100.111 –dport 80 –j
DNAT
–to-destination 192.168.5.179:80
(以上两句必须写在 –A PREROUTING –p tcp
--dport 80 –j ACCEPT 前面。)
TCP
80端口的转发在第1步就已做过,此处就不用重复制作了。另外在
-A POSTROUTING –s 192.168.5.0/24 –j
SNAT
–to 218.100.100.111 之后加上一句:
-A POSTROUTING –p
tcp --dport 80
–j ACCEPT
为什么要加这句话呢,我的理解是这样的,
公网访问 http://218.100.100.111时:(假设公网上用户的IP为199.199.199.199,端口12345为

随机的产生的。)
数据源 : ip:199.199.199.199
sport:12345
数据目标: ip:218.100.100.111 dport
80
此时,通过-A PREROUTING –i eth0 –p tcp –d 218.100.100.111 --dport 80 –j

DNAT --to-destination 192.168.5.179:80

告诉199.199.199.199,您要访问的真正地址应该是192.168.5.179:80,然后我们通过-A ;
POSTROUTING
–p tcp --dport 80 –j ACCEPT 目标地址218.100.100.111:80伪装成

192.168.5.179:80 。
数据源 : ip:199.199.199.199
sport:12345
数据目标: ip:192.168.5.179
dport
80
当192.168.5.179返回数据时:
数据源 :
ip:192.168.5.179
sport:80

数据目标: ip:199.199.199.199 dport 12345
数据经过
-A POSTROUTING –s 192.168.5.0/24 –j SNAT

–to 218.100.100.111 后,
数据源 :
ip:218.100.100.111 sport:80

数据目标: ip:199.199.199.199 dport
12345
6、 完整的iptables配置
############################################################

###############
*nat
################################
点击查看全图REROUTING
DROP [0:0]
:OUTPUT

DROP [0:0]
:POSTROUTING
DROP [0:0]
杜松论坛http://www.juniperbbs.net/frame.php?frameon=yes&referer=http%3A//www.juniperbbs.net/thread-10873-1-1.html



 IS-IS网络类型及FR接口
发贴日期: 2007-12-13   [ 0人评论过 ]

IS-IS网络类型及FR接口
IS-IS网络类型及FR接口

Document
ID: 00017




目录

提要

正文


实验

TOPO如下

基本配置如下

测试



[color][/color]

提要:
Readers of this document should have knowledge of these
topics:

·
Configuring Frame Relay

·
Configuring Integrated IS?IS

正文:

ISIS
只有两种网络类型:点到点和广播

对于每种网络类型,IS?IS
Hello (IIH)包用来交换建立邻接关系。

帧中继网络上运行IS?IS根据连接的类型(全互连,部分互连,中心-轴)可以配置成以上两种中的一种。本文档将展示如何在帧中继网络上配置、诊断、修复。在FR网络下,接口运行的模式如下:

多点接口子接口、主接口 :
广播型网络

点到点子接口
:点到点网络

TOPO如下
[img]http://www.one-tom.com/bbs/uploads/20070406_142847_first.gif[/img]

基本配置如下

l
R1

l
R2

l
R3

l
R4

l
FR配置部分略

R1基本配置

interface Loopback0


ip address 1.1.1.1
255.255.255.0

!

interface Serial1/0


ip address 123.1.1.1
255.255.255.0


ip router isis


encapsulation
frame-relay


frame-relay map ip 123.1.1.3 103
broadcast


frame-relay map clns 103
broadcast


frame-relay map clns 102
broadcast


frame-relay map ip 123.1.1.2 102
broadcast


no frame-relay
inverse-arp

!

router isis


net
10.0010.0100.1001.00


passive-interface
Loopback0





R2基本配置

!

interface Loopback0


ip address 2.2.2.2
255.255.255.0

!

interface Serial1/0


ip address 123.1.1.2
255.255.255.0


ip router isis


encapsulation
frame-relay


serial restart-delay
0


frame-relay map ip 123.1.1.3 203
broadcast


frame-relay map clns 203
broadcast


frame-relay map clns 201
broadcast


frame-relay map ip 123.1.1.1 201
broadcast


no frame-relay
inverse-arp

!

router isis


net
10.0020.0200.2002.00


passive-interface
Loopback0



R3基本配置

interface Loopback0


ip address 3.3.3.3
255.255.255.0



i L1
123.1.1.0 [115/20] via
34.1.1.3, Serial1/0.32
杜松论坛http://www.juniperbbs.net/frame.php?frameon=yes&referer=http%3A//www.juniperbbs.net/thread-10873-1-1.html



 Juniper 低端防火墙
发贴日期: 2007-12-09   [ 1人评论过 ]

Juniper 低端防火墙
[color]SSG5/20[/color]
Juniper 网络公司 5
系列安全业务网关(SSG 5)和 20 系列安全业务网关(SSG
20)是专用的安全设备,为小型分支办事处和小型企业的网络部署提供了集高性能、高安全性、路由和广泛的局域网/
广域网连接方式于一体的完美组合。通过状态防火墙、IPSec VPN、IPS、防病毒(包括防间谍软件、防广告软件、防网页仿冒)、防垃圾邮件以及 Web
过滤等一套完整的统一威胁管理(UTM)安全特性,可以对进出于分支办事处的流量流进行保护,以避免蠕虫、间谍软件、特洛伊木马和恶意软件的侵袭。由于拥有这套丰富的
UTM 安全特性,SSG 5 和 SSG 20 可以作为独立的网络保护设备进行部署。此外,SSG 5 和 SSG 20
还配备了强劲的路由引擎,因此还可以作为传统的分支办事处路由器,或者是作为安全与路由设备的组合进行部署,从而有助于降低 IT 前期购置成本和运营开销。SSG 5
和 SSG 20 可为客户提供以下特性和优势:
可扩展的 I/O 架构以无与伦比的安全性提供固定局域网连接和广域网 I/O
选项,以降低成本并扩展投资保护。
由最佳的安全合作伙伴支持 UTM
安全特性,确保保护网络免遭各种方式的攻击。网络分区等高级安全特性允许管理员部署安全策略,以隔离访客、无线网络和地区服务器或数据库,防止未经授权的接入,并阻断任何可能发生的攻击。

面向安全特性的专用处理硬件和软件平台,为保护高速局域网和低速广域网连接提供所需性能。
杜松论坛http://www.juniperbbs.net/frame.php?frameon=yes&referer=http%3A//www.juniperbbs.net/thread-10873-1-1.html



 UNIX的Shell命令详解
发贴日期: 2007-12-02   [ 1人评论过 ]

3. 前景与背景
在 sh 下面,一个新产生的 process 可以经由 command
後面的符号';'和'&'来分别前景和背景。如以下语法

command

这表示产生一个 foreground 的
process ,你要等到它结束才能再下另一个指令。

command &

这样表示产生一个 background 的
process ,它会给你一个类似以下的讯息:

[1] 21304

然後就出现下一个提示号,以供你给下一个指令。然後在这个
background 的process 结束的时候再给你一个如下面的讯息,告诉你它把这个 process 执行完毕了。

[1] Done
command

command1 ; command2 ; command3

这样表示你要求系统连续执行 command1 ,
command2 , command3 三个指令,其中 command2 要等待 command1 , command3 要等待 command2 ,而你要等待
command3 执行完毕才能下指令。

command1 & command2 & command3
&

这样表示你要求系统连续执行 command1 , command2 , command3
三个指令,而这三个指令都放在背景执行,彼此之间不需等待。

fg 与 bg

也许你会问,一个已经执行的 process
可不可以由前景换背景,或由背景换前景呢?

可以的。一个在前景执行的 process ,你可以按 Ctl-Z 将 process
暂停,系统会给你一个讯息:

Suspended

然後出现提示号。此时你可以使用 fg 将其恢复前景执行,或按 bg
将其改为背景执行。

而如果有一个 background 的 process , 你也可以用 fg 指令将其呼叫到前景来。首先你需用 jobs
指令来观查目前有多少在背景下的 proesses,然後根据它所显示出来的 job id 来决定将那一个 process 放到前景。如使用% fg %3 #
将第三个 job 放到 foreground 。

4. 别名 alias
在 csh 与 tcsh 中,提供 alias
的功能,使得使用者可以将常用却冗长的指令以其他的名字存起,不过不须像储存变数一样要在前面加一个"$"。

alias 的格式:
alias
aliasname string ....
alias aliasname 'string \!* string'

前面的一个格式是把
aliasname 直接用来取代後面的 string ,然後如有任何跟在後面的 argument 将会出现的其後。如下例:

% alias la
ls -Fa

例中的 la . 相当於 ls -F . ,然而如果仅是如此并不足够,因此有後面的另一种格式。後面的格式中的 \!*
代表将来会出现在 aliasname 後面的所有参数,
如下例:

% alias dir 'ls -Flag \!* |
more'

例中的 dir doc 相当於 ls -Flag doc | more ,这样可提供使用者在设计上更大的弹性。

5.
tcsh 的初始设定档
tcsh 有两个 initial 档,一个是 $HOME/.tcshrc , 一个是 $HOME/.login


每一个 tcsh 在被开启时,它都会去执行所有位於 .tcshrc 中的命令,因此你可以把所有的 alias , 变数设定都放到
.tcshrc 里面去。在tcsh 起动的时候便会自动的去执行这些对於你的环境的初始设定。

.login 只有在 tcsh 本身是一个 login
shell 的时候才会执行,它多半用来设定一些只需在 login 的时候要执行的命令,如环境变数的设定,因环境变数在设定之後,只要是其子 process
均会取得其环境,因此不须在每次开启 shell 的时候都重覆执行。

tcsh 另有一个结束设定档,称为 .logout ,是在每一个 login
shell 结束,logout 所要执行的动作,其编辑的方法跟 .login , .tcshrc 完全一模一样。

source
指令

如果要重新执行 .tcshrc 的内容,可以利用 source
指令来达到,此时就相当於把该档案中的所有内容重新在命令列输入一遍。如下:

% source .login
杜松论坛http://www.juniperbbs.net/frame.php?frameon=yes&referer=http%3A//www.juniperbbs.net/thread-10873-1-1.html



 远程访问的3A认证
发贴日期: 2007-11-29   [ 0人评论过 ]

远程访问的3A认证
摘 要:本文介绍了关于远程访问的安全问题,以及与其相关的两个协议RADIUS和TACACS。通过比较两个协议的区别,我们可以了解现在ISP普遍采用的确保拨号服务安全的机制。最后本文提出了实际应用时,这种机制存在的一些问题。

关键词:远程访问控制 认证 授权 记帐 TACACS RADIUS

  Internet网络的兴起推动了整个世界信息产业的飞速发展,MODEM的出现为单个网络用户获得网络服务带来了福音,它借助于现有的公用电话交换网,使用户摆脱了上网地理位置的限制,用户可以在任何一个有电话线路的地方拨号连入Internet。然而,这也给网络服务的提供者(ISP)们提出了一个无法回避的问题,即如何保证远程访问的网络安全。

  远程访问控制的安全包含三方面的内容:认证、授权和记帐。“认证”是确认远端访问用户的身份,判断访问者是否会合法的网络用户,常用的办法是以一个用户标识和一个与之对应的口令来识别用户。“授权”即对不同用户赋予不同的权限,限制用户可以使用的服务,如限制其访问某些服务器或使用某些应用,它避免了合法用户有意或无意地破坏系统。“记帐”记录了用户使用网络服务中的所有操作,包括使用的服务类型、起始时间、数据流量等信息,它不仅为ISP们提供了计费手段,同时也对网络安全起到了监视的作用。认证(Authentication)、授权(Authorization)、记帐(Accounting)三个英语单词的第一个字母都是“A”,所以现在人们常常将它们称作为“3A”或“AAA”,把它们作为网络安全策略的一个组成部分。

一、基本结构
  通常,一个远程访问控制系统可以分为硬件部分和软件部分,硬件部分用来实现对MODEM和端口的控制,软件部分则是一个运行于服务器上的程序,我们称之为后台守护进程(Daemon),它负责对用户进行认证、授权以及记录记帐信息。

  一个最简单的实现远程访问控制的方法是将用户标识列表加载于访问控制服务器内,由同一个服务器完成对MODEM和端口的控制以及对用户的认证、授权和记帐。例如,Cisco2500系列的远程访问控制器可以将一个用户标识列表和口令作为系统配置文件的一部分,由它完成控制和认证两个功能。在Windows
NT环境下的RAS(Remote Access
Service)也采用了这一种机制来管理远程拨号。

  但是,随着拨号用户数目的增加,采用上述机制必然导致服务器有限资源的浪费和速度的滞后,甚至无法满足要求。同时,对于经常出差的用户来说,需要通过长途拨号登录到注册地的服务器才能访问网络,既不方便也不经济。因此,将硬件和软件两部分功能分开实现于不同的服务器上,也就成为了一个比较好的解决方案。

  整个系统采用客户/服务器结构。由网络访问服务器NAS(Network
Access
Server)充当客户端,它负责将用户的标识和口令,以及用户希望得到服务类型和配置等信息封装在请求报文中送到服务器端,并且根据服务器端回送的响应作进一步动作。
  在服务器端由一台或几台运行了Daemon的主机充当,服务器端接收到客户端发来的请求,根据请求报文中的信息和本地数据库中用户的记录对用户进行认证。本地数据库存放了用户名、口令以及该用户的配置信息。认证完成后,服务器端向客户端回送响应,指示NAS是否为该用户提供服务以及提供何种服务。
  服务器端还可以充当其它服务器的代理客户端(Proxy
Client),其主要功能是将本地收到的客户端发来的请求转发给另一台服务器,并将那台服务器返回的响应转发给客户端。



二、RADIUS和TACACS
  RADIUS(Remote
Authentication Dial In User Service)和TACACS (Terminal Access Controller Access
Control
System)是基于上述结构的远程访问控制的两个开放协议标准,它们被广泛的实现在各种拨号服务器中。
  RADIUS是由LIVINGSTON公司最早提出的,实现于它们的PortMaster系列终端上,后来由IETF列入Internet标准,定义在RFC2138和RFC2139中。
  TACACS是CISCO公司在80年代提出的,是用于其公司路由器和终端服务器产品的远程访问控制协议,后经扩展变为XTACACS(Extended
TACACS),近几年为了进一步增强TACACS的功能,CISCO公司又推出了新一代的TACACS+。
  TACACS+和RADIUS都实现了认证、授权和记帐功能,它们有很多相似点:结构上都采用了客户/服务器、请求一响应:都用公共密钥对在网上传输的用户信息进行加密;都提供了进一步认证的手段;都有较好的灵活性和可扩充性。两者存在的主要区别在于:
  首先,客户端与服务器端连接采用的传输协议不同。这是它们的一个最大区别,在TACACS+协议中客户端采用TCP与服务器端连接,而在RADIUS中则采用UDP。采用TCP连接可以避免客户端和服务器端在传送用户信息和计费信息中报文的错误,提高用户记帐信息的正确性,这对绝大多数的ISP都是比较重要的,在线路质量比较差的网络上它有着较突出的优越性。但是,采用UDP连接也有不可忽视的好处;一方面采用UDP连接使服务器端的实现比较简单,另一方面TCP的超时重传机制在整个系统的实际使用中存在着一些不足,客户端在发出请求后若一段时间内未收到从服务器来的响应则需重发请求,但是通常用户希望在几秒中内完成认证,而TCP的超时重传的时间是由来回(round-trip)时间决定的,要远远大于几秒,若采用UDP,在一定时间内未收到响应后可以马上重发一个UDP报文而不需要关心前一个报文是否到达,这比采用TCP效率高。
  其次,对报文的加密程度不同。TACACS+和RADIUS都是MD5算法对报文进行加密,但TACACS+对整个报文进行加密,而RADIUS仅对用户的口令部分加密。
  再次,对AAA功能的分离程度不同。为了使RADIUS协议尽可能的简单,易于实现,RADIUS定义的数据报文比较简单,服务器在收到NAS的认证请求后,若用户认证成功后就将用户的授权信息封装在认证响应报文中返回给NAS。因此也就导致了用户的认证和授权过程往往无法打开,通常在RADIUS中用户的认证信息和配置信息是放在同一个数据库中。而TACACS+中为了使认证、授权和记帐功能能够按需要完全分开,它定义了较复杂的数据报文结构以满足这一要求,认证、授权和记帐都有各自不同的请求和响应报文格式,这样三种功能可以实现于不同的服务器上,与之对应的数据库也可以各自分开。
  最后,在支持代理方式上不同。在RADIUS协议中定义了服务器端充当代理客户端的功能,但在TACACS+协议中没有具体提到。代理功能常用于分布式的远程访问控制系统中,通过将用户信息转发给一异地的含有用户信息记录的服务器进行认证和授权,使在不同地理位置上的活动用户不需通过长途拨号登录到注册地的NAS就能得到本地接入服务,即通常称的“漫游”。
  TACACS+和RADIUS都是开放标准,现在很多NAS产品都同时支持这两种协议,但是各个厂商在实现它们的过程中往往根据自己产品的特点对协议作了扩充,给不同的NAS产品之间的互操作带来了影响。
三、实际应用中存在的问题
  1.用户数量对系统的影响
  当用户数量很大量,要使系统能够同时并发处理多个客户端的请求,并能从庞大的用户数据库中迅速搜索到相关信息,对系统提出了两方面的要求:一方面是对服务器端内存在的要求、另一方面是服务器处理速度的要求。
  ISP们通常可以采用硬件升级来应付这种情况。当然,我们还可以另一种方法,即配置多台服务器,系统结构如图2,采用这种结构的远程访问控制系统,将用户信息分开存放于不同的服务器,从而减少每台服务器上用户信息的总量和对请求的处理量。当然在采用这种方法时,需建立一个用户标志与服务器之间的对应关系,从而使NAS知道对于某一用户该由哪个服务器认证。


  2.“漫游”的安全性问题
  随着网络把整个世界连成一体,人们对网络的依赖也越来越大,人们希望在任何地方都能得到网络服务。于是,“漫游”成了人们迫切希望得到的服务。代理功能为实现“漫游”提供了很好的支持。
  A地和B地的ISP通过联合为用户提供“漫游”,两地的服务器通过广域网相连,并且建立信任关系,使用相同的密钥。当A地的用户漫游到B地,只需拨号与B地的NAS连接。B地的服务通过广域网向A地的服务器转发请求报文来认证用户身份,当得到A地服务器的认证后,由B地的NAS直接向用户提供本地网络服务。这样A地的用户不需拨打长途登录到A地的服务器,从而大大减少了开销,也减轻了线路负载。为了使B地的服务器能够正确的转发请求,用户在登录时,除了需提供用户标志和口令外,还需指出注册地服务器的名称。


  在整个认证过程中,由于报文通过广域网进行传送,因此被截取的可能性也就很大。RADIUS只对用户口令部分加密,因此用户信息很容易被窃听。在这方面,TACACS+对整个报文进行加密的优越性就相对比较突出了。不过虽然两者都考虑了这方面的问题,但仍然存在一些不安因素,例如记帐报文的正确传送直接关系的ISP和用户利益,但当服务器被连接到广域网上时,服务器也就很可能成为被攻击的对象。因此,我们需要引入检测机制,对报文的可信度进行检查,以防止欺骗行为的发生。同时,在服务器端尽可能的不要提供开放的服务,如TELNET,FTP,EMALL,HTTP等。

杜松论坛http://www.juniperbbs.net/frame.php?frameon=yes&referer=http%3A//www.juniperbbs.net/thread-10873-1-1.html



 配置路由器实现LAN共享ADSL上网
发贴日期: 2007-11-26   [ 0人评论过 ]

配置路由器实现LAN共享ADSL上网
实验名称: 配置路由器实现LAN共享ADSL上网

目录:

1
需求说明
2.top图形
3.基本配置
4.测试和验证
5.注意事项
6.总结

1
需求说明

湖南迈威科技公司在电信公司申请了一条8M包月的ADSL宽带,公司要求实现所有的内部的电脑一起共享上网,要求LAN内的所有主机都是通过DHCP服务器(R1)自动分配地址,DHCP分配的同时要求保留192.168.1.x地址 (x=1.2.3.254)。
[color]附:[/color]公司现在拥有一台2611路由器和一个Modem,申请到的ADSL帐号:cisco 密码:cisco

2.top图形

[img]http://www.one-tom.com/bbs/uploads/20070618_113206_ADSL.JPG[/img]

3.基本配置

R1基本配置
R1#show run
Building configuration...
!
hostname R1
!
no aaa new-model
ip ***net-zero
!
ip dhcp excluded-address
192.168.1.1
ip
dhcp excluded-address 192.168.1.2
ip dhcp excluded-address
192.168.1.3
ip
dhcp excluded-address 192.168.1.254
!
ip dhcp pool huawei

network 192.168.1.0
255.255.255.0

default-router 192.168.1.1
!
ip cef
!
interface Ethernet0/0

ip address 192.168.1.1
255.255.255.0

ip nat inside

half-duplex
!
interface Ethernet0/1

no ip address

half-duplex

pppoe enable

pppoe-client dial-pool-number
1
!
interface Dialer1

ip address negotiated

ip mtu 1492

ip nat
outside

encapsulation ppp

dialer pool 1

ppp chap hostname
cisco

ppp
chap password 0 cisco
!
ip nat inside source list 10 interface Dialer1
overload
ip http
server
ip
classless
ip
route 0.0.0.0 0.0.0.0 Dialer1
!
access-list 10 permit 192.168.1.0
0.0.0.255
!
line con 0
line aux 0
line vty 0 4

login
!
!
end
R2
基本配置
R2#show
run
Building
configuration...

!
hostname R2
!
no aaa new-model
ip ***net-zero
ip cef
!
!
!
ip audit po max-events 100
vpdn enable
!
vpdn-group 1

accept-dialin

protocol pppoe

virtual-template
1
!
username cisco password 0 cisco
!
interface Loopback0

ip address 10.0.0.1
255.255.255.0
!
interface Ethernet0/0

ip address 202.103.1.254
255.255.255.0

half-duplex
!
interface Ethernet0/1

no ip address

half-duplex

pppoe enable
!
interface Virtual-Template1

ip unnumbered
Loopback0

peer default ip address pool
cisco

ppp
authentication chap
!
ip local pool cisco 10.0.0.10
10.0.0.20
ip http
server
no ip http
secure-server
ip
classless
!
end

4.测试和验证

4.1观察PC 1 是否自动获得了IP地址

在命令行下使用Ipconfig
/all 命令查看
4.2在PC 1 上ping
Web服务器202.103.1.1
在命令行下使用ping 202.103.1.1 命令查看
4.3 在R1 上观察内网IP是否进行了NAT转换
R1使用 debug ip nat
命令查看

杜松论坛http://www.juniperbbs.net/frame.php?frameon=yes&referer=http%3A//www.juniperbbs.net/thread-10873-1-1.html



 给我一个选择魔兽世界公服而不是私服的理由!!!
发贴日期: 2007-11-18   [ 8人评论过 ]

最近魔兽很火呢,我很想玩,可是我不知道这个公服和私服的区别是,可是好象公服要钱,私服不要钱~~~但总感觉不太对劲,在这里问一下大家,有私服了为什么还花钱玩公服阿?玩公服的多吗?公服跟私服有什么区别?我该玩公服还是私服阿??大家帮忙给点建议,十分感激!!!



首页 [1] 尾页  共1页
关于我们 - 联系我们 - 加入我们 - 营销服务 - 友情链接 - 频道合作- PChome Widget
Copyright © 1996-2008 PChome.net All rights reserved. 电脑之家 版权所有