无论局域网运行规模多大，持续运行的时间长了，各式各样的网络故障就会出现了。面对网络故障，正常情况下我们只要仔细观察具体的故障现象，就能初步找到故障产生的原因，并能对症下药、采取措施解决故障了。不过，也有一些网络故障是由不起眼的细节因素引起的，这些细节因素平时出现的次数比较少，我们在排除故障的时候很容易忽略它们，这样一来故障排除起来就可能多走弯路，最终会影响故障的排除效率。这不，笔者曾经遭遇到的一则网络故障，竟然是由于某个HUB设备发生硬件损坏引起的，鉴于该细节因素出现的机率较小，现在笔者就将该故障的详细排查过程还原出来，与各位朋友共享交流。

　　网速突然变慢

　　笔者管理的某行政大楼局域网网络规模比较大，整个局域网大约由20台二层交换机和一台核心交换机组成，所有二层交换机都是通过1000兆多模光纤与核心交换机保持连接，每一台客户端系统采用100M网络线缆与各个楼层的二层交换机相互连接，核心交换机通过1000兆多模光纤直接连接硬件防火墙，并租用本地电信部门提供的千兆宽带线路实现共享上网目的。为了有效避免广播风暴现象以及抑制网络病毒的疯狂传播，笔者在核心交换机上进行了Vlan划分，确保每一个楼层的客户端系统都处于一个独立的工作子网中。

一些鸡肋般的小容量U盘，用起来嫌容量太少，丢了好像又觉得太可惜。不过现在将它进行一番小改造后，配合我们的电脑，就能得到一台强大的路由器，不仅省了买路由的钱，而且这台路由器在市面上基本买不到!  

    DD-WRT简介
    我们平常使用的每一台路由器设备，都有一个自己的操作系统OS，用于对路由设备进行各种功能设置和管理。其实我们平常所说的升级路由器固件，就是升级刷新路由设备中的操作系统，以使路由设备的功能更加强大。 
    DD-WRT算是一个Linux操作系统，但实质上就是一个第三方的路由器固件。它的路由和网络管理功能非常的强大，被广泛的应用于Linksys WRT54G/GS/GL，或其他基于Broadcom参考设计的802.11g无线路由器上。可以将DD-WRT刷新到所支持的路由器设备上，以便让路由器的功能更加强大。同样的，我们也可以让DD-WRT独立运行于一台电脑上，只要提供相应的硬件，就可以让电脑实现路由器的功能! 

每当遇到网络病毒或系统崩溃现象时，上网用户都可能要重装系统，并修改IP地址，如果用户没有按照规定设置IP地址的话，IP地址冲突现象就不可避免，一旦这种现象频繁发生，不但会影响上网用户的冲浪效率，而且也不利于局域网网络的稳定运行。为了提高局域网运行稳定性，我们不能等IP地址冲突故障发生时，才想办法去应对，而应该主动出击，让上网用户无法抢用局域网中的其他IP地址;为此，本文就从实战角度出发，通过巧妙设置交换机，来控制IP地址冲突故障反复出现!

　　组网情况

　　笔者所在的局域网大约有150个网络节点，这些网络节点平均分布在六个楼层，每一个楼层中的网络节点都通过100M双绞线与普通二层交换机保护连接，而每一个普通二层交换机又通过1000M光纤线缆连接到QuidWay S8500系列路由交换机上;为了保证网络访问安全，所有网络节点都通过启明星辰硬件防火墙与Internet网络互联互通。目前，单位局域网使用的是10.168.163.0网段的IP地址，该网段中使用的默认网关地址为10.168.163.1，子网掩码地址为255.255.255.0;由于该网段最多能拥有250多个IP地址，在平时工作中实际只用到150多个地址，显然足够大的地址空间余量完全可以满足工作站数量不断增加的需求。

现今络的应用已经成为各大公司提高劳动生产率和利润率的革命性因素,它们通过电子商务和广域网获得了新的商机。与此同时，越来越多的雇员通过络的标准TCP/IP连接到一起，这就导致了一个严重的问题，即成倍增长的IP地址超出了公司IT部门所能控制的范围。下面将讨论网络管理员每天必须应对的IP地址管理问题。

　　　　自动分配IP地址

　　　　现今互联网络正在以惊人的速度扩张,接入网络的设备数量也成几何数目增长,但网络的管理方式却没能够跟上，相当一部分的网络仍通过DNS服务和数据表格跟踪来管理IP地址。当网络发生变化时,网络管理员必须手工数据表格中的条目,修改工作站或的配置，然后再修改DNS服务中相应的配置条目。据保守的估计,对每个IP的更改都要花费大约15分钟。那么，对于一个有100个节点的小网络来说,一个网络管理员要花费近25个小时来做这些必要的修改。随着网络的扩展,这种工作将变得越来越难以负担,并极易发生错误。

微软的Windows Server 2003中防火墙的功能如此之简陋，让很多系统管理员将其视为鸡肋，它一直是一个简单的、仅支持入站防护、基于主机的状态防火墙。而随着Windows Server 2008的日渐向我们走近，其内置的防火墙功能得到了巨大的改进。下面让我们一起来看一下这个新的高级防火墙将如何帮助我们防护系统，以及如何使用管理控制台单元来配置它。
　　为什么你应该使用这个Windows的基于主机的防火墙?
　　今天许多公司正在使用外置安全硬件的方式来加固它们的网络。这意味着，它们使用防火墙和入侵保护系统在它们的网络周围建立起了一道铜墙铁壁，保护它们自然免受互联网上恶意攻击者的入侵。但是，如果一个攻击者能够攻破外围的防线，从而获得对内部网络的访问，将只有Windows认证安全来阻止他们来访问公司最有价值的资产-它们的数据。
　　这是因为大多数IT人士没有使用基于主机的防火墙来加固他们的服务器的安全。为什么会出现这样的情况呢?因为多数IT人士认为，部署基于主机的防火墙所带来的麻烦要大于它们带来的价值。
　　我希望在您读完这篇文章后，能够花一点时间来考虑Windows这个基于主机的防火墙。在Windows Server 2008中，这个基于主机的防火墙被内置在Windows中，已经被预先安装，与前面版本相比具有更多功能，而且更容易配置。它是加固一个关键的基础服务器的最好方法之一。具有高级安全性的 Windows 防火墙结合了主机防火墙和IPSec。与边界防火墙不同，具有高级安全性的 Windows 防火墙在每台运行此版本 Windows 的计算机上运行，并对可能穿越边界网络或源于组织内部的网络攻击提供本地保护。它还提供计算机到计算机的连接安全，使您可以对通信要求身份验证和数据保护。

为了让员工安全、高效地访问内网中的资源，相信很多单位都在内网中搭建了VPN服务器，员工外出办公时，可以在Internet网络的任何位置处利用虚拟加密隧道，直接访问与VPN服务器同处一个子网的任何共享资源，其效果就象在本地局域网中访问共享资源一样;并且，这种网络访问方式相比以前的拨号访问方式，安全连接性能更高、网络连接成本更经济。可是，在实际使用VPN连接方式访问内网资源的过程中，我们时常会遇到VPN连接不成功的故障现象;面对这样的故障现象，很多人往往会表现得手忙脚乱，不知道该从何处下手进行应对?其实造成VPN连接不成功的原因有很多，我们只要有备而来，依次进行针对性排查，就一定能够让VPN连接顺风顺水!

　　从服务器端着手

　　要想让普通员工成功地通过VPN网络连接访问到VPN服务器及其子网中的共享内容，我们必须对VPN服务器端的各个参数进行合适设置才可以，如果参数设置不当，那么VPN网络连接自然就不能顺风顺水了。

远程访问一直是个热门话题，人们需要能够随时随地通过任何设备登录网络获取信息。过去利用特定设备或者特定位置访问网络的时代已经过去了，特别是在企业内，人们希望在任何时候都能获取企业信息，可能使用笔记本、台式机、智能手机或者甚至MP3播放器来获取企业信息。

　　微软公司就正在为此付出努力，希望能够保证用户随时随地使用各种技术来进行安全远程访问。注意这里所说的是“安全远程访问”，实现远程访问并不困难，任何简单的NAT设备或者路由器都可以让用户对企业应用程序和设备进行远程访问。这里的安全远程访问就能够保护用户数据、企业服务器不受到安全威胁。

　　以下是几个重要的微软技术能够帮助用户实现对企业资源的安全远程访问：

对于一些大型网站来说，通常拥有一整套已经执行了的WEB站点安全防范解决方案，但是，为什么一些网站还是会被攻击者挂载木马?其中一个最主要的原因是已经实施的WEB站点安全解决方案只能够应对已经出现的安全漏洞和威胁。而攻击者总是在通过各种手段来分析网站中可能会存在的弱点或漏洞，以便能够成功绕过网站当前的安全防范措施来实施挂马攻击。针对这样的一种WEB站点安全现状，最好的方式就是在部署相应的安全防范安全解决方案的同时，还必需采取与攻击者相同的手段，也就是在网站的运营过程中，不断对它进行安全评估，以此来找到网站中可能存在的弱点和漏洞。

　　对WEB站点进行安全评估是WEB安全防范处理过程中非常重要的一个环节，它应当贯穿站点的整个生命周期。对WEB站点实施安全评估的目的就是指安全评估人员，使用相应的评估工具和技术，经过一系列恰当的方法，对WEB服务器本身、服务器系统、后台数据库系统及网络中已经实施的安全机制，进行全面的检测和评估，以此来检测整个WEB系统是否还存在弱点，以及验证实施的安全机制是否有效。并根据最后的评估分析结果，对现有的安全策略进行修订，对实施的安全机制进行补充。

　　一、制定WEB站点安全评估方案

ISA Server 2006中的身份验证
本文内容为Microsoft? Internet Security and Acceleration (ISA) Server 2006如何管理身份验证。内容涉及ISA所支持的身份验证和方式等信息以及如何处理身份验证。 文档内容概括：
· 新的身份验证特性。
· 描述ISA Server 2006中可用的身份验证处理和验证选项。
· 身份验证集合总结表。

前一段时间使用NetStat命令查看服务器端口时,发现服务器udp端口开放了好多,最少在1000个以上,当时事情比较多,没有管它,今天终于有点时间,仔细检查了一下,排除了这个问题.

先使用netstat -anb命令显示服务器上每个端口所对应的监听程序,因为显示的太多,无法一一看过来,所以只能采用:

netstat -anb>C:\1.txt