一，传统XP系统资源共享时的解决办法：

　　当我们在企业通过一台员工计算机访问另外一台员工计算机时可能会出现登录界面显示为“正在连接到192.168.0.197”，然后用户名处无法修改而保持为192.168.0.197\guest，密码处让我们填写。这样我们就无法使用自己需要且具备相关权限的帐户来访问目的计算机的共享资源了。(如图1)

    
    传统的解决办法是通过gpedit.msc启动组策略，然后在组策略配置器中找到“计算机配置->Windows设置->安全设置->本地策略->安全选项”，在这里找到“网络访问，本地帐户的共享和安全模式”，默认是“仅来宾-本地用户以来宾身份验证”，我们将其修改为“经典-本地用户以自己的身份验证”即可解决这种登录共享无法修改访问帐户名只能够使用guest的问题。(如图2)

    
    修改完毕后我们再次访问目的IP时就会出现要求我们自己填写用户名和密码的访问登录窗口了，再也不会强制我们用不具备访问权限的GUEST用户进行登录了。(如图3)

    二，与时俱进XP不改组策略也能资源共享：

　　不过可能有的读者会遇到这样的问题，那就是我们无法针对被访问计算机进行操作，例如被访问计算机是服务器或者不在本地，又或者我们不具备管理员帐户权限无法对组策略信息进行修改而只掌握了访问权限的某帐户。以上种种情况都决定了我们无法通过修改目的计算机的组策略来解决访问登录界面登录名只限制GUEST的问题。

　　那么有没有办法可以解决上述难题呢?答案是肯定的，我们可以通过映射网络磁盘的方式并修改连接用户名来解决。

　　第一步：访问目的计算机，然后在要登录的共享目录资源上点鼠标右键选择“映射网络驱动器”。(如图4)

    
    第二步：在映射网络驱动器的窗口中选择要映射的磁盘驱动器盘符，如果这时我们点“确定”按钮的话和之前一样是使用默认的GUEST进行登录的，这不是我们所希望的。接下来我们点下面的“使用其他用户名进行连接”。(如图5)

    
    第三步：通过点“使用其他用户名进行连接”我们就可以切换访问该共享资源时自动使用的帐户信息了，而不仅仅局限于GUEST帐户，最关键一点的是这样的设置是建立在目的计算机上没有修改组策略参数完成的，我们实现了不改组策略也能解决资源共享难题的目的。
   

第四步：在打开的“连接身份”处输入登录目的计算机目的共享资源的用户名和密码后确定即可。(如图6)

    
    第五步：之后我们就可以通过“我的电脑”中的映射磁盘盘符来直接访问目的计算机的指定共享资源了，访问过程中不需要我们输入任何用户名和密码，因为所有帐户信息已经在建立映射驱动器时完成。(如图7)

    
    至此我们就顺利的完成了不改组策略也能资源共享的工作，以后我们在XP系统资源共享与访问时就不用在两台计算机之间频繁跑动修改设置了，这个技巧也大大提高了资源共享的效率。

　　三，总结：

　　本技巧是建立在建立映射驱动器时切换帐户功能实现的，当然我们也完全可以通过“net use \\ip\共享名 密码 /user:用户名”语句建立批处理文件来实现，不过从操作上看本文介绍的方法更加简单，实现起来也更加灵活。不过需要特别提醒各位一点的是不管采取修改组策略还是本文的映射驱动器法，我们都要记得关闭XP系统自带的防火墙，这样才能够保证共享资源访问的顺利完成。

    案例需求:200台左右的工作站如何管

    某单位局域网共包含200台左右的工作站，为了方便管理这些工作站，单位的网络管理员将这些工作站划分到了四个VLAN中了，其中VLAN1、VLAN2被设置在E1交换机上，并且该交换机位于单位一楼，VLAN3、VLAN4被设置在E2交换机上，而该交换机放置在单位二楼。后来由于工作需要，单位局域网的规模又进行了适当升级，并又新增加了一些工作站以及网络设备。现在，单位领导要求把E1交换机转移到2楼去，同时要求该交换机通过12端口与原来就位于二楼的E2交换机进行级联，而E1交换机以前是通过31端口与单位的核心交换机级联在一起的。当E1交换机发生这样的位置变化后，原先在该交换机中划分设置的VLAN1、VLAN2，都不能通过单位的核心交换机进行上网访问了，如此说来，我们只有在E1交换机中重新划分设置VLAN1、VLAN2了？如果确实按照这样的思路去操作，那网络管理的工作量无疑是十分巨大的，显然这样的管理方法不利于提高局域网网络的管理效率。

案例解决：VLAN解决

    为了有效提高网络管理效率，我们只要对E1交换机、E2交换机的相关连接端口进行合适修改，让其工作模式变成“trunk”，那样一来先前设置在E1交换机中的VLAN1、VLAN2就能立即生效了，下面我们就一起来看看交换端口模式的具体修改步骤：

    首先以系统管理员身份登录进E1交换机的后台管理系统，来仔细检查一下E1交换机有关级联交换端口的属性信息。在检查级联交换端口的属性信息时，我们先进入到E1交换机的命令行提示符工作状态，在该工作状态下输入字符串命令“sys”，单击回车键后，将E1交换机的工作状态切换到系统配置状态，在该配置状态对应的命令提示符下输入字符串命令“dis inter e0/12”（如图1所示）,单击回车键后，我们就能从其后的结果界面中看到E1交换机与E2交换机的级联端口12的详细属性信息了；在这里，假设我们看到了与E2交换机连接在一起的E1交换机级联端口12上的属性信息为“Ethernet0/12，PVID:3，Port link-type：access”，该结果信息告诉我们级联端口12只属于VLAN3，日后只有来自VLAN3中的工作站才能通过E2交换机访问单位局域网网络，而位于VLAN1、VLAN2中的工作站是不能访问单位局域网的，这么说来，我们只有对E1交换机进行重新划分设置，让原先的VLAN1、VLAN2变成现在的VLAN3，才能让连接到E1交换机中的所有工作站正常上网。很显然，这样设置的话网络管理员的工作量将是十分巨大的；为了让局域网原先划分的VLAN1、VLAN2中的工作站都能通过E1交换机顺利访问到局域网网络，我们只需要在E1交换机中将级联端口的模式参数调整为“trunk”，而其他方面的参数不需要进行任何变化。

图1
    
    到了这里，有一些朋友可能会产生疑惑，E1交换机为什么放置在局域网的一楼位置处时，VLAN1、VLAN2中的工作站都能通过E1交换机顺利访问到局域网网络呢？这是因为E1交换机之前是利用光纤线缆直接与局域网的核心交换机连接在一起的，而E1交换机中的那个光纤专用连接端口在默认状态下已经使用了“trunk”模式。而E1交换机被转移到局域网的二楼位置处时，是在普通的交换端口12上通过双绞线缆级联到E2交换机上的，因此E1交换机此时的光纤连接端口没有连接任何设备，因此该端口的“trunk”模式也就没有了任何意义。

    现在，我们只要对E1交换机的端口12模式进行一下设置，让其工作在“trunk”模式状态下，这样一来先前设置在E1交换机中的VLAN1、VLAN2不需要重新划分就能立即生效了。在设置E1交换机端口12的模式状态时，我们可以先在对应交换机后台管理系统的命令行状态下执行“sys”字符串命令，以便将交换机的工作状态切换到系统配置状态；接着在该配置状态下输入“inter e0/12”字符串命令，单击回车键后，将E1交换机工作状态切换到端口12的配置状态，在对应该状态的命令提示符下再输入“port link-type trunk”字符串命令，再次单击回车键后，E1交换机的端口12模式状态就被修改成了“trunk”模式，紧接着再次执行“port trunk permit vlan all”字符串命令，以便让局域网中所有的VLAN都能通过E1交换机的端口12访问局域网网络。最后连续执行两次“quit”字符串命令，让E1交换机的工作状态返回到后台管理主界面，并在对应界面中执行“save”命令，当屏幕上出现是否要保存上述设置操作时，单击“Y”按键（如图2所示），来让E1交换机自动保存好上述设置操作。

图2

    
    完成好上述的设置任务后，我们还需要进行同样的操作，登录到E2交换机后台管理界面，在该界面中将E2交换机与E1交换机连接时使用的级联端口工作模式也调整为“trunk”。当然需要提醒各位朋友注意的是，上面的操作命令都是针对华为品牌的交换机进行设置的，对于其他品牌的交换机可能会使用到不同的配置命令，不过无论是哪种品牌的交换机，上面的配置思路都是相同的。   

小提示:交换机的端口工作模式的利用

    交换机的端口工作模式通常可以分为三种,它们分别为Access模式、Multi模式、Trunk模式。允许多个vlan的是multi模式，而不是trunk模式。Access模式的交换端口往往只能属于1个VLAN，通常用于连接普通计算机的端口；Trunk模式的交换端口可以属于多个VLAN，能够发送和接受多个VLAN的数据报文，通常使用在交换机之间的级联端口上；multi模式的交换端口可以属于多个VLAN，能够发送和接受多个VLAN的数据报文，可以用于交换机之间的连接，也可以用于连接普通计算机的端口，所以access和trunk没有可比性。三种模式的交换端口能够共同使用在相同的一台交换机中，不过Trunk模式的交换端口和multi模式的交换端口相互之间不能直接切换，往往只能先将交换端口设置为Access模式，之后再设置为其他模式。

　　目前很多黑客菜鸟，为了防止做坏事，被人找上门来，都会在入侵受害者主机前，先对自己的本机，进行一番地址隐藏，然后才做一系列的攻击操作。这里隐藏本机真实地址工具，大多数人都会选用Proxy Checker工具，它有着代理检测多面手的盛名，简单的说是一款非常全面的代理检测工具。

　　其软件除了支持同类软件的基本功能外，还支持有选择的 检测HTTP、SOCKS等各种类型的代理，更重要的是高级选项里，可设置“扫描匿名代理”、“SSL加密代理”等特殊的服务器允许你指定检测各个国家的代理服务器(如图1)。

二、偷窥无罪，我任意看

　　如果MM在你的电脑上，使用QQ与他人聊了很久，想必你心里一定不是个滋味，肯定想知道里面的内容!但是处于怕MM生气的原因，又不敢前去试问，只能将其痛苦埋藏在心里，相信在座的读者朋友也一定遇到过。其实即使没有她的QQ密码，也能无任何阻碍的看到其MM的聊天内容。

　　首先从网上下载“QQ聊天记录查看”软件，然后将其解压到本地任意位置即可。由于它是纯绿色版软件，所以我们无需对其安装就可进行使用。打开“QQ聊天记录查看”客户端程序，在弹出“选择QQ目录和号码”对话框内(如图2)。

    
    选择“自己想要偷窥QQ的号码”标签后，单击“查看”按钮，此时就可弹出“QQ信息查看器”对话框，从中你可以任意查看MM与其他好友所聊过的内容，从而让Q来Q去的谈话内容跃然眼前(如图3)。

三、“借鸡生蛋”自动溢出

　　MS05039漏洞不仅危害很大，而且它很涉及了微软的所有Window系统，攻击者可以直接通过有此漏洞的机器拿到其系统的系统权限。因此这类利用工具，也是初级黑客常用的兵器之一。

　　如果黑客想要知道局域网内的主机，是否存在该漏洞。他首先会拿出“自动扫描溢出”工具，并且按照局域网IP段规则“192.168.1.1”—“192.168.1.254”，分别将其填入到开始IP和结束IP处(如图4)。然后单击“开始扫描”按钮，就可对其局域网内所有主机进行检查，其检查结果会显示在软件右侧。而对于可溢出的电脑，我们只要执行其监听操作，例如当前扫描端口为135，则溢出命令为：135 [本地IP] [监听端口]，即可拿到其可溢出电脑的系统权限。

四、网页浏览，病毒不沾身

　　人在江湖飘，谁能不挨刀。况且我们还是在黑客界混，中招的几率远比挨刀的几率还要大。所以初级黑客在攻击别人的同时，还要保护好自己，绝对不能成为同类黑友的“口中餐”。

　　“畅游巡警”是最近推出的新一代网页杀毒软件，它无实体完全嵌入于浏览器中(如图5)。

    
    在我们使用浏览器想要观看某网址站点时，它会自动帮助我们分析其安全性，并且给出处理结果，是过滤还是警告，这样病毒在没被运行前就会被该软件“阻击”了。另外“畅游巡警”软件，还提供了检测“钓鱼网站”和“挂马网站”的功能，我们只要在“畅游巡警设置”栏内，勾选其“钓鱼网站”和“挂马网站”两个复选框便可，拥有其检测拦截功能(如图6)。

五、Word文档无秘密

　　好友小王，总喜欢将自己每天所发生的事情写在Word里，而笔者打小就有喜欢偷看日记的坏习惯。起初小王到没觉察到我的习惯，可是某天一不小心被发现，她居然将Word文档加了密，从而让我这个忠实的观众，彻底买不到这进场的“免费门票”了。于是我拿出以前常用到的“Word密码破译器”工具，让其加密的日记彻底没有了“秘密可言”。

　　“Word密码破译器”工具，支持各种Word文档的破解，对于在工作中经常接触重要Word加密文档的Office一族尤为适用。其操作也非常简单，在打开的“Word密码破译器”对话框内，单击“选择”按钮，将想要破解的Word加密文档导入，然后单击下面“开始破译”按钮，即可对其加密的Word文档进行解密(如图7)。

    设置接口参数，如以太网口、TokenRing口、同步口、异步口等。包括IP地址、子网屏蔽、TokengRing速率等。
    3、Setup描述：
    在设置完以上参数后，该命令提示是否要用以上的配置，如果回答是"YES"则系统存储以上的配置参数，系统就

    可以使用了。
    4、 Setup相关命令：
    Show config
    write memory
    write erase
    reload
    setup
    5、路由器丢失PASSWORD的恢复
    以下办法可以恢复：
    enable secret password (适合10。3（2）或更新的版本)
    enable password
    console password
    通过修改Configuration Register(出厂为0x2102)，使路由器忽略PASSWORD，这样就可以进入路由器，就可以

    看到enable password和Console password，但enable secret password以被加密，只能替换。可以进入的tion

    Register值为0x142.
    运行password恢复可能会使系统DOWN掉一个半小时；
    将Console terinal连在路由器的Console口上，确认终端设置为9600bps、8Data bit 、No parity、1 stop

    bit;
    show version显示Configuration Register 0x2102；
    关机再开，按"Ctrl+ Break",进入ROM MONITOR状态，提示符为">"；
    键入"> o/r 0x142"，修改 Configuration Register到0x142,可以忽略原先的password；
    键入"> initialize",初始化路由器，等一段时间后，路由器会出现以下提示：
    "system configuration Diaglog ……"
    Enter "NO"
    提示"Press RETURN to get started!" ,Press "Enter"
     进入特权模式
    Router>enable
    Router#show startup-config
    这样就可以得到password(enable&console password)
    修改password
    "Router#config ter"
    "Router(config)# enable secret cisco"
    "Router(config)# enable password cisco1"

    "Router(config)# line con 0"
    "Router(config)# password cisco"
    "Router(config)# config-register 0x2102"
    "ctrl + Z"
    "Router#copy running-config startup-config"
    "reload"
    以password cisco进入特权用户。

三、路由器配置
    1)路由器模式
    在Cisco 路由器中，命令解释器称为EXEC，EXEC解释用户键入的命令并执行相应操作，在输入EXEC命令前必须先登录到路由器上。基于安全原因，EXEC设置了两个访问权限：用户级和特权级，用户级可执执行的命令是特权级命令的子集。
    在特权级，可以使用：configuration，interface，subinterface，line，router，router-map等命令。
    2)配置模式
    使用Config命令可进入配置模式，进入该模式后，EXEC提示用户可用的配置方式如终端、NVRAM、网络三种，缺省是终端方式。
    3)IP路由协议模式
    在配置模式下输入Router命令，可进入IP路由协议模式，可选的路由协议一般有：bgp、egp、igrp、eigrp、rip等动态路由和静态路由。
    4)接口配置模式

    在每一个端口上可以设置很多特性，接口配置命令修改以太网、令牌环网、FDDI或同步、异步口等操作。
    5)口令配置
    可以采用口令来限制对路由器的访问，口令可以设定到具体的线路上或是特权ＥＸＥＣ模式。
    Line console 0 命令设置控制台终端口令
    Line vty 0 命令设置Telnet虚终端口令
    Enable-password 命令设置特权EXEC访问权限
    6)路由器命名
    在配置模式下用hostname，如：hostname RouterA
    四、用户帮助提示
    1、在用户提示符下键入？可以列出常用命令，通常有以下命令：
    connect 打开一个中端连接
    disconnect 关闭一个已有的telnet会话
    enable 进入特权级
    exit 退出EXEC
    help 交互求助系统描述
    lock 终端锁定
    login 以特定用户登录
    logout 退出EXEC

    ping 发送echo信息
    resume 恢复一个激活的telnet连接
    show 显示正在运行的系统信息
    systat 显示正在运行的系统信息
    telnet 打开一个telnet连接
    terminal 设置终端线路参数
    where 列出激活的telnet连接
    2、上下相关帮助
    上下相关帮助包括：
    符号转换 ：键入命令有错时提示；
    关键字完成 ：键入命令字的一部分即可；
    命令记忆 ：可用" "调出以前的命令；
    命令提示 ：当命令记不完全时，可用"？"替代

正确放置ACL
　　
　　ACL通过过滤数据包并且丢弃不希望抵达目的地的数据包来控制通信流量。然而，网络能否有效地减少不必要的通信流量，这还要取决于网络管理员把ACL放置在哪个地方。

    
    假设在图3所示的一个运行TCP/IP协议的网络环境中，网络只想拒绝从RouterA的T0接口连接的网络到RouterD的E1接口连接的网络的访问，即禁止从网络1到网络2的访问。
　　
　　根据减少不必要通信流量的通行准则，网管员应该尽可能地把ACL放置在靠近被拒绝的通信流量的来源处，即RouterA上。如果网管员使用标准ACL来进行网络流量限制，因为标准ACL只能检查源IP地址，所以实际执行情况为：凡是检查到源IP地址和网络1匹配的数据包将会被丢掉，即网络1到网络2、网络3和网络4的访问都将被禁止。由此可见，这个ACL控制方法不能达到网管员的目的。同理，将ACL放在RouterB和RouterC上也存在同样的问题。只有将ACL放在连接目标网络的RouterD上（E0接口），网络才能准确实现网管员的目标。由此可以得出一个结论: 标准ACL要尽量靠近目的端。
　　
　　网管员如果使用扩展ACL来进行上述控制，则完全可以把ACL放在RouterA上，因为扩展ACL能控制源地址（网络1），也能控制目的地址（网络2），这样从网络1到网络2访问的数据包在RouterA上就被丢弃，不会传到RouterB、RouterC和RouterD上，从而减少不必要的网络流量。因此，我们可以得出另一个结论：扩展ACL要尽量靠近源端。

ACL的配置
　　
　　ACL的配置分为两个步骤：
　　
　　第一步:在全局配置模式下，使用下列命令创建ACL：
　　
　　Router (config)# access-list access-list-number {permit | deny } {test-conditions}
　　
　　其中，access-list-number为ACL的表号。人们使用较频繁的表号是标准的IP ACL（1—99）和扩展的IP ACL（100－199）。
　　
　　在路由器中，如果使用ACL的表号进行配置，则列表不能插入或删除行。如果列表要插入或删除一行，必须先去掉所有ACL，然后重新配置。当ACL中条数很多时，这种改变非常烦琐。一个比较有效的解决办法是：在远程主机上启用一个TFTP服务器，先把路由器配置文件下载到本地，利用文本编辑器修改ACL表，然后将修改好的配置文件通过TFTP传回路由器。
　　
　　这里需要特别注意的是，在ACL的配置中，如果删掉一条表项，其结果是删掉全部ACL，所以在配置时一定要小心。
　　
　　在Cisco IOS11.2以后的版本中，网络可以使用名字命名的ACL表。这种方式可以删除某一行ACL，但是仍不能插入一行或重新排序。所以，笔者仍然建议使用TFTP服务器进行配置修改。
　　
　　第二步：在接口配置模式下，使用access-group命令ACL应用到某一接口上：
　　
　　Router (config-if)# {protocol} access-group access-list-number {in | out }
　　
　　其中，in和out参数可以控制接口中不同方向的数据包，如果不配置该参数，缺省为out。
　　
　　ACL在一个接口可以进行双向控制，即配置两条命令，一条为in，一条为out，两条命令执行的ACL表号可以相同，也可以不同。但是，在一个接口的一个方向上，只能有一个ACL控制。
　　
　　值得注意的是，在进行ACL配置时，网管员一定要先在全局状态配置ACL表，再在具体接口上进行配置，否则会造成网络的安全隐患。

访问控制列表使用目的：

　　1、限制网络流量、提高网络性能。例如队列技术，不仅限制了网络流量，而且减少了拥塞
　　2、提供对通信流量的控制手段。例如可以用其控制通过某台路由器的某个网络的流量
　　3、提供了网络访问的一种基本安全手段。例如在公司中，允许财务部的员工计算机可以访问财务服务器而拒绝其他部门访问财务服务器
　　4、在路由器接口上，决定某些流量允许或拒绝被转发。例如，可以允许FTP的通信流量，而拒绝TELNET的通信流量。

　　工作原理：
　　ACL中规定了两种操作，所有的应用都是围绕这两种操作来完成的：允许、拒绝
　　注意：ACL是CISCO IOS中的一段程序，对于管理员输入的指令，有其自己的执行顺序，它执行指令的顺序是从上至下，一行行的执行，寻找匹配，一旦匹配则停止继续查找，如果到末尾还未找到匹配项，则执行一段隐含代码——丢弃DENY.所以在写ACL时，一定要注意先后顺序。
　　例如：要拒绝来自172.16.1.0/24的流量，把ACL写成如下形式
　　允许172.16.0.0/18
　　拒绝172.16.1.0/24
　　允许192.168.1.1/24
　　拒绝172.16.3.0/24
　　那么结果将于预期背道而驰，把表一和表二调换过来之后，再看一下有没有问题：
　　拒绝172.16.1.0/24
　　允许172.16.0.0/18
　　允许192.168.1.1/24
　　拒绝172.16.3.0/24
　　发现172.16.3.0/24和刚才的情况一样，这个表项并未起到作用，因为执行到表二就发现匹配，于是路由器将会允许，和我们的需求完全相反，那么还需要把表项四的位置移到前面
　　最后变成这样：
　　拒绝172.16.1.0/24
　　拒绝172.16.3.0/24
　　允许172.16.0.0/18
　　允许192.168.1.1/24
　　可以发现，在ACL的配置中的一个规律：越精确的表项越靠前，而越笼统的表项越靠后放置。

　  ACL是一组判断语句的集合，它主要用于对如下数据进行控制：

　　1、入站数据；
　　2、出站数据；
　　3、被路由器中继的数据
　　工作过程
　　1、无论在路由器上有无ACL，接到数据包的处理方法都是一样的：当数据进入某个入站口时，路由器首先对其进行检查，看其是否可路由，如果不可路由那么就丢弃，反之通过查路由选择表发现该路由的详细信息——包括AD，METRIC……及对应的出接口；
　　2、这时，我们假定该数据是可路由的，并且已经顺利完成了第一步，找出了要将其送出站的接口，此时路由器检查该出站口有没有被编入ACL，如果没有ACL 的话，则直接从该口送出。如果该接口编入了ACL，那么就比较麻烦。第一种情况——路由器将按照从上到下的顺序依次把该数据和ACL进行匹配，从上往下，逐条执行，当发现其中某条ACL匹配，则根据该ACL指定的操作对数据进行相应处理（允许或拒绝），并停止继续查询匹配；当查到ACL的最末尾，依然未找到匹配，则调用ACL最末尾的一条隐含语句deny any来将该数据包丢弃。

　　对于ACL，从工作原理上来看，可以分成两种类型：

　　1、入站ACL
　　2、出站ACL
　　上面的工作过程的解释是针对出站ACL的。它是在数据包进入路由器，并进行了路由选择找到了出接口后进行的匹配操作；而入站ACL是指当数据刚进入路由器接口时进行的匹配操作，减少了查表过程
　　并不能说入站表省略了路由过程就认为它较之出站表更好，依照实际情况而定：
　　如图所示，采用基本的ACL——针对源的访问控制
　　要求如下：
　　1、拒绝1.1.1.2访问3.1.1.2但允许访问5.1.1.2
　　2、拒绝3.1.1.2访问1.1.1.2但允许访问5.1.1.2
　　采用基本的ACL来对其进行控制
    QUOTE:
    R1(config)#access-list 1 deny 1.1.1.2 0.0.0.255
    R1(config)#access-list 1 permit any
    R1(config)#int e0
    R1(config-if)#access-group 1 in
    R2(config)#access-list 1 deny 3.1.1.2 0.0.0.255
    R2(config)#access-list 1 permit any
    R2(config)#int e0
    R2(config-if)#access-group 1 in

　　从命令上来看，配置似乎可以满足条件。假定从1.1.1.2有数据包要发往3.1.1.2，进入路由器接口E0后，这里采用的是入站表，则不需查找路由表，直接匹配ACL，发现有语句 access-list 1 deny 1.1.1.2 0.0.0.255拒绝该数据包，丢弃；假定从3.1.1.2有数据包要发往1.1.1.2，同上。

　　当1.1.1.2要和5.1.1.2通信，数据包同样会被拒绝掉
　　当3.1.1.2要和5.1.1.2通信，数据包也会被拒绝掉
　　该ACL只能针对源进行控制，所以无论目的是何处，只要满足源的匹配，则执行操作。
　　如何解决此问题？
　　1、把源放到离目标最近的地方，使用出站控制；
　　2、使ACL可以针对目的地址进行控制。

　　第一项很好理解，因为标准的ACL只能针对源进行控制，如果把它放在离源最近的地方，那么就会造成不必要的数据包丢失的情况，一般将标准ACL放在离目标最近的位置！
　　第二种办法，要针对目标地址进行控制。因为标准ACL只针对源，所以，这里不能采用标准ACL，而要采用扩展ACL.但是它也有它的劣势，对数据的查找项目多，虽然控制很精确，但是速度却相对慢些。

　　简单比较以下标准和扩展ACL
　　标准ACL仅仅只针对源进行控制
　　扩展ACL可以针对某种协议、源、目标、端口号来进行控制
　　从命令行就可看出
　　标准：
　　Router（config）#access-list list-number
　　扩展：
　　Router（config）#access-list list-number protocol source {source-mask destination destination-mask} [operator operand] [established] [log]
　　Protocol—用来指定协议类型，如IP、TCP、UDP、ICMP以及IGRP等
　　Source and destination—源和目的，分别用来标示源地址及目的地址
　　Source-mask and destination-mask—源和目的的通配符掩码
　　Operator operand—It，gt，eq，neq（分别是小于、大于、等于、不等于）和一个端口号
　　Established—如果数据包使用一个已建连接（例如，具有ACK位组），就允许TCP信息通过
　　为了避免过多的查表，所以扩展ACL一般放置在离源最近的地方

　  看完上面的内容后，那么大家可以看以下几道关于CISCO访问控制列表的例题：
　　1、What are two reasons that a network administrator would use access lists？ （Choose two.）
　　A：to control vty access into a router
　　B：to control broadcast traffic through a router
　　C：to filter traffic as it passes through a router
　　D：to filter traffic that originates from the router
　　E：to replace passwords as a line of defense against security incursions
　　Answers：??A， C
　　注：该题主要考察CISCO考生对ACL作用的理解：网络管理员在网络中使用ACL的两个理由？
　　A选项指出了CISCO 访问列表的一个用法：通过VTY线路来访问路由器的访问控制；
　　ACL不能对穿越路由器的广播流量作出有效控制。
　　选项C也指明了ACL的另一个作用，那就是过滤穿越路由器的流量。这里要注意了，是“穿越”路由器的流量才能被ACL来作用，但是路由器本身产生的流量，比如路由更新报文等，ACL是不会对它起任何作用的：因为ACL不能过滤由路由器本身产生的流量，那么D也是错误的；
　　2、For security reasons， the network administrator needs to prevent pings into the corporate networks from hosts outside the internetwork. Which protocol should be blocked with access control lists？
　　A： IP
　　B： ICMP
　　C： TCP
　　D： UDP
　　Answers：??B

　　安全起见，网络管理员想要阻止来自Internet上的外部主机PING企业内部网络，哪种协议必须在访问列表中被阻塞掉？PING使用的是ICMP协议，在ACL中，我们可以自己来定义需要被允许或者拒绝某些协议的流量。该题选B

　　3、Refer to the exhibit. The access list has been configured on the S0/0 interface of router RTB in the outbound direction. Which two packets， if routed to the interface， will be denied？ （Choose two.）
　　access-list 101 deny tcp 192.168.15.32 0.0.0.15 any eq telnet
　　access-list 101 permit ip any any

    
    访问控制列表
　　A：source ip address： 192.168.15.5； destination port： 21
　　B：source ip address：， 192.168.15.37 destination port： 21
　　C：source ip address：， 192.168.15.41 destination port： 21
　　D：source ip address：， 192.168.15.36 destination port： 23
　　E：source ip address： 192.168.15.46； destination port： 23
　　Correct Answers：??B， E

　　如图，在RTB上配置了访问列表，控制从S0/0口出去向外部的由192.168.15.32/29网段发起的telnet流量，其它流量允许通过。telnet使用23号端口，由此可以排除掉ABC三个选项。该题选择D，E.

　　从历史上看，单个厂商提供的管理软件几乎一直是所有安装的选择。无线局域网厂商对自己的管理工具投入了大量的资金，但是，他们肯定还能投入更多的资金。我们认为，随着时间的推移，无线局域网管理将成为竞争性的无线局域网产品之间的关键的差异化因素。

　　确切地说什么应该进入无线局域网管理系统，以及如何向用户展示最终的功能，仍有一些争论。大多数产品允许为指定的用户提供某种形式的基于政策的服务定义，通常是把用户分组为一些类，然后根据通讯的优先等级、用户的位置、每一天的时间、甚至用户部门的类等变量定义这些类的权限。

　　大多数产品在无线局域网交换机或者控制器上执行某种级别的管理服务。但是，首选的方法是使用在服务器上运行的管理软件，或者理想地使用一台管理设备。考虑到建设一个企业级无线局域网基础设施需要的大量的功能单元，一个集中实施的管理功能是非常重要的。

　　因为厂商在自己的产品中使用多种管理功能的组合，把具体的功能类别统一起来是很困难的。但是，下面是应该包含在你的无线局域网捆绑产品中的关键的系统管理功能。

　　1.无线局域网规划工具

　　大多数无线局域网管理系统都考虑到了通过.dxf或者类似的文件建立设计方案的重要性，有些管理系统允许把无线电传播属性分配给结果的虚拟架构中的元素，特别值得指出的是Bluesocket公司的“Wireless LANPlanner”、Trapeze公司的RingMaster和摩托罗拉的LANPlanner(与Bluesocket的产品无关)。同时，经常包括对于无线电性能的3D分析而不是简单的2D分析，允许自动放置接入点。

　　当然，这个阶段重要的事情还有考虑吞吐量的需求、用户和应用程序装载以及语音等有时限的通讯需要的带宽。遗憾的是这种类型的准备通常包括人工整理当前的网络管理记录并且相应地确定接入点的数量和位置。我们认为，这是未来增强的功能的一个主要机会。

　　2.自动部署和操作

　　自动发现无线局域网控制器和接入点(甚至远程站点的接入点)等核心功能单元是大多数基本无线局域网计划的一个通用的功能，无线局域网设备的最初设置和配置都有某种程度的自动化。当包含多个控制器和许多接入点的时候，这种自动化工功能是非常重要的，因为人工设置每一个单元既费时间又容易出错。

　　3.监视和控制

　　所有的无线局域网管理工具都允许IT工作人员监视和控制RF(无线电频率)覆盖和性能、接入点用户装载、吞吐量和系统性能，甚至到达单个用户或者站点的水平。实际上，目前所有的无线局域网产品都做得很好。不过，这通常反应这个系统厂商对于什么变量最重要的偏爱。在快节奏的管理领域，灵活性和使用的方便性是非常重要的。

4.优化和扩展性

　　无线局域网中的各种控制点的数量可以是非常大的，因此，系统行为和性能分析中的某些自动化以及自动调谐相关的参数是任何无线局域网管理实施中的一个关键能力。再说一次，所有的厂商都提供这种功能，因为手工设置接入点虽然目前并非不可能，但是性能会稍差一些。

　　企业级无线局域网管理系统还必须提供外部数据库的接口，包括目录服务和授权的数据库，并且允许和安全地把管理数据输出到外部网络管理系统和分析工具。

　　考虑到潜在的具体安装的连接性的所有这些要求，标准的数据库功能(如SQL数据库)和支持互换的文件格式(如CSV和微软的Excel)是非常重要的。几乎所有的无线局域网管理工具都不同程度地支持外部接口。

　　5.报告和记录

　　制作记录和管理报告是任何网络管理工具的一个重要的功能。正如管理系统厂商启用的和网络操作人员设计的那样，记录输入必须要包括配置和可记录的事件的全部变化。报告反应一段事件的网络行为，如用户数量、吞吐量分析和安全事件。思科的WCS管理套装软件的5.1版等一些无线局域网管理产品能够制作符合管理部门规定的报告，如符合PCI规定(思科的情况是如此)或者符合Sarbanes-Oxley法案。

　　6.RF频谱管理

　　虽然最初的RF设置是重要的，但是，假如一个接入点出现故障、增加一个新的接入点或者删除一个接口，能够自动重新设置RF参数同样重要。检测干扰并且根据检测结果通知操作人员和根据需要重新设置接入点是目前的一个重大机会。然而，需要指出的是，这包括专门的(不是Wi-Fi)无线电硬件检测非Wi-Fi干扰。虽然我们认为干扰将日益成为一个挑战，但是，目前没有一家厂商把这个一层的监视功能集成到无线局域网管理系统，尽管思科的“频谱专家”产品中有这个技术，并且已经讨论了把这个功能集成到管理软件中。

　　7.安全

　　整个市场的无线局域网安全管理实施都非常精细，都是历史和当前对无线网络安全担心的直接结果。无线局域网管理系统一般包括制定安全政策的能力。许多无线局域网管理系统包括防火墙、指向上层加密和身份识别(如RADIUS，远程认证拨入用户服务)的链接、入侵检测/防御系统、恶意接入点和特别客户检测和缓解措施以及检测假冒的SSID(服务组标识符)。

　　需要指出的是802.11加密(如WPA和WPA2)和身份识别一直得到了支持，但是，它对于充分的安全保障来说还是不够的。因此，需要管理系统支持上述的所有其它功能。

　　此外，某些产品(包括Aruba和Meru的产品)以合适的界面获得了符合政府级“敏感但是非机密”的安全技术规范的认证。这是政府应用中的“敏感但是非机密”的信息的安全技术规范。我们鼓励把这个技术规范应用到商业环境中。

    8.移动性管理

　　这个类别包括一些帮助IT支持漫游、负载均衡和持续会话的工具。这些成分对于无线局域网是独特的，允许在用户各个接入点之间漫游的时候保持和优化连接。需要指出的是漫游可以定义为可以接受的，即使在很长一段时间在广阔的地域之间进行漫游也是可以的接受的，因此需要持续性。

　　最近增加的这种功能包括为基于网络的应用程序集成管理功能，正如在思科3300系列移动服务引擎(MSE)中看到的那样。MES实际上为应用程序提供一个根据地，以不依赖于物理层的方式把应用程序推向网络，使这些应用程序透明可用，不管接入方式如何。我们预计无线局域网未来将包含更多的上层功能，重新定义使这些功能发挥作用的无线局域网管理系统的服务。

9.排除故障和缓解措施

　　由于有许多可能的设置和环境变量，支持问题检测和解决方案是非常重要的。这里关键的功能包括提醒和报警、可靠性服务和与外部管理接口联系起来。

　　就像有线网络管理一样，重要的是能够查看(和记录)提醒信息和报警状况，并且具体说明如何处理这些情况。我们使用的所有这些产品都胜任这个工作，关键的变量是如何向用户显示这个提醒和报警信息。

　　大多数企业级无线局域网系统在一旦发生控制器或者接入点故障的时候都可以通过管理系统重新进行设置。在控制器出现故障的情况下，需要一个待机部分。但是，接入点可以根据频道和传输功率简单地和自动地重新设置。这可以导致容量的损失，但是，如果接入点空间足够的话，覆盖范围没有损失。这种对重要情况的自动反应能够最大限度地减轻操作人员的负荷，消除了传统的排除故障的程序。

　　10.可访问的界面

　　企业级管理工具越来越多地被作为一项Web服务应用，拥有一个浏览器界面。这将把企业级管理工具的应用扩展到无线掌上设备，在不危害安全和完整性的情况下提高这种工具的灵活性(如果实施正确的话)。

　　11.管理语音服务

　　Farpoint Group认为VoFi (VoIP over Wi-Fi)将成为企业无线局域网应用的关键推动因素。在Wi-Fi手机和包含Wi-Fi和融合功能的蜂窝手机大量上市的推动下，这种趋势将加快发展。虽然为设施增加的数据量相对较低，但是，语音管理功能必须要包含容量规划、覆盖认证、通讯监视、甚至包括呼叫接入控制等功能以及指向IP PBX和融合服务的接口。

　　12.位置和跟踪

　　许多技术能够用来以良好的分辨率跟踪未修改的Wi-Fi客户，精确度甚至可达一、两米。这种功能通常使用一个单独的设备实施，但是，把这个硬件的管理作为这个无线局域网管理系统本身的一部分。同VoFi一样，无线位置和跟踪的使用正在迅速增长，应用的领域包括物流、仓储、健康医疗、辅助生活设施以及基本的系统管理功能等。基本的系统功能包括负载均衡和确定什么时候把语音连接转接到一个蜂窝网络。

　　13.访客和客户访问

　　在当前的许多设施中有一些关键的功能。可以使用客户访问系统向用户提供临时的证书，在需要的或者预定的时间结束时撤销这个访问，以及限制访问办公楼的某些部分，或者仅限于访问外部互联网服务，尽管还可能允许进行打印。客户访问可以作为许多系统中的政策管理功能的扩展进行实施。

14.多站点管理

　　大型机构需要多个楼层或者整个大楼、一个园区、甚至多个站点的无线局域网管理能力，并且能够把这种管理能力扩展到全球。实现这个目标并不是一个技术挑战。但是，重要的是管理平台能够升级到在一个单个的管理平台(有时候称作“主控制台”功能)管理多个服务器。

　　推动未来的无线局域网管理

　　无线局域网是一个不断变化的领域并且管理工具需要跟上这个领域的发展。如果你要保证你的平台跟上你的机构的发展，下面是你需要与你的厂商讨论的六个以管理为重点的机会：

　　1.自动化

　　我们曾与一些厂商说过“点击鼠标修复”功能，类似于执行在PC中的系统验证和病毒扫描工具，建议采用实施起来迅速和方便的解决方案。目前的解决方案几乎都需要进行大量的培训，或者只有拥有有意义的用户经验才能得到最好的结果。专家、智能安装程序和同样的使用方便的构件都是极好的反应，并且很可能成为未来的竞争性的差异化因素。

　　2.客户化

　　标准的界面屏幕也许不是指定的操作团队所需要的。能够客户化用户界面和管理报告将变得日益普通。广泛的客户化也许会给厂商的技术支持团队带来巨大的挑战。但是，要让产品像操作人员要求的那样运行，拥有客户化的菜单、监视屏幕和报告，还有很长的路要走才能满足指定站点的具体需求。

　　3.灵活性

　　按照指定一个安装的要求通过API、XML或者类似的技术扩展管理系统功能将在日益复杂的企业环境中提高产品的价值。我们已经看到XML更广泛的应用，如在AirWave管理平台上的应用和Bluesocket的管理套装软件中的应用。我们甚至认为XML可能开始取代SNMP，成为下一代统一管理工具的基础。

　　4.向802.11扩展

　　许多802.11中的工作组正在开发新的标准。这些新标准将影响到无线局域网管理系统提供的服务。其中最重要的标准是802.11v (基站管理)和802.11w (保护管理框架), 但是，大多数即将推出的标准都将影响到无线局域网管理系统。当前正在制定的一些标准将在两年内完成。但是，我们还没有看到802.11领域的活动很快结束的迹象。

　　5.移动设备管理

　　把网络管理扩展到网络的每一个方面，扩展到个人移动设备及其用户，在未来的几年里将越来越重要。初始化设置、设置监视和验证、设备安全和完整性、设备备份和锁定、甚至远程删除等功能最终将成为核心网络管理系统的一部分。

　　坏消息是这种进步还需要一些时间。移动设备管理当前是作为一个单独的和独特的功能实施的，与无线局域网管理没有关系。厂商产品经理应该把网络管理看作是一个从设备到服务器的连续不断的事情以应付这种事情的发展。

　　6.统一的管理

　　最后，现在是停止思考有线和无线局域网并且把重点放在有一个统一的管理战略的局域网方面的时候了。虽然这是一个非常重要的方向，但是，这个目标很难实现，因为市场上有大量的产品(或者已经安装的产品)、大量的代码需要重新编写、需要厂商之间的协作等因素很难获得像网络设备那样的高度竞争的市场。这个问题通过行业联盟能够得到最好的解决。我们认为，最终将组成一个这样的机构。

　　结论

　　随着基本的无线电和无线局域网技术开始成熟，系统架构和管理系统功能最容易产生产品的差异化。虽然系统架构只能通过性能的好处评估(这确实是很难评估的)，但是，通过强大的和使用方便的管理功能实现的节省开支能够给任何规模的机构带来真正的差异。再说一次，良好的管理系统能够最大限度地减少运营开支。节省的运营开支要比一开始购买系统有关的开支还要多。

　　成功的部署无线局域网、迅速地把无线局域网作为每一个地方的用户的默认的主要接入方式的关键是让操作人员尽可能早地参与编写RFP(征求建议书)和设备评估。对于他们来说，关键是什么?当然是无线局域网管理。

　　以端口为中心的虚拟局域网中，虚拟局域网交换机的一个端口就是一个虚拟局域网，虽有连接在这个端口上的主机都在同一个虚拟局域网中。很显然，这回使得我们的管理工作更加的容易，而且网络运行也会更加的有效。

　　具体来说，这种实现方式有如下的优点：

　　1、 数据不会泄露到其他域

　　由于一个交换机端口就是一个独立的局域网。所以，当数据在网络中传输的时候，交换机就不会把数据包转发给其他的端口中。这就可以保证数据包只在自己的虚拟局域网中传输。若需要发送到其他的虚拟局域网中，则交换机也是先把数据发送给路由器，然后，再由路由器发送给交换机中其他的端口。可见，以端口为中心的虚拟局域网，可以有效的避免网络侦听，从而比其他的实现方式具有更高的安全性。

　　2、 用户由端口分配，虚拟局域网易于管理

　　相对于其他方式来说，以端口为中心的虚拟局域网中，一个交换机的端口就表示一个虚拟局域网。这种特性，便于我们对局域网进行设置与管理。因为一个端口上的主机都在一个虚拟局域网中，如此的话，就不需要我们做过多的配置，就可以实现虚拟局域网。而相对于其他实现方式来说，都需要进行一些比较繁琐的设置，因为他们往往两个甚至更多以上的端口是同一个虚拟局域网。

　　这种方式虽然易于管理，提供了比较高的安全性能，但是，其也有一些比较致命的缺陷。主要的缺陷就是不够灵活，当用户变动位置的时候，这种实现方式的变化就会比较大。如现在由于要开发一个产品，为此质量、销售、生产、采购等等组成一个临时的项目小组，负责这个产品的开发。为了提高产品开发效率，所以把他们临时搬到会议室进行工作。如此地理位置的变动后，他们连接的网线也要变了。若采用其他的实现方式，如动态的虚拟局域网，根据主机的MAC地址来判断该用户是属于哪个虚拟局域网中，则不用进行其他的配置，就可以连接到他们以前的虚拟局域网中。而采用以端口为中心的虚拟局域网，由于会议室中网线的端口没有进行调整过，则他们就不属于他们以前的局域网中。这就会给他们的日常工作带来比较大的影响。

　　真是因为以端口为中心的虚拟局域网有这个致命的缺陷，把它的一些优点都淹没了。所以，在中型以上的网络中，很少采用这种实现方式。当用户的位置改变时，其管理成本太高。

第二种实现方式：静态的虚拟局域网

　　静态的虚拟局域网与以端口为中心的虚拟局域网类似。静态的虚拟局域网是在交换机上静态的配置，可以让一个或者几个交换机的端口为一个虚拟局域网。这些端口将一直保持着这种配置，除非网络管理员人为的去改变他们。可见，这跟上面的这种实现方式的差异，主要在于前者一个端口就是一个虚拟局域网，而后者的话，可以通过配置实现几个端口是同一个虚拟局域网。这种差异，可以减少当用户位置改变时或者当公司组织结构发生改变时的管理成本。

　　如有家企业，随着公司规模的扩大，产品研发部门人数也随之增加。后来研发部门下面分成了两个组，一个是产品开发组，另外一个是供应商开发组。他们虽然在两个不同的办公室，但是都属于同一个部门。而现在产品开发组的网络通过集线器连接到交换机的一个端口上;供应商开发组的网路连接到另外一个端口上。若是采用以端口为中心的实现方式的话则可能就需要额外的添加一个额外的物理层局域网交换机，把他们两个组的网络连接到同一个虚拟局域网中。但是，若采用静态的虚拟局域网的话，则不需要添置其他的硬件设备，而只需要在虚拟局域网交换机上，把他们所连接的两个端口设置为同一个虚拟局域网即可。很明显，静态虚拟局域网能够比较适应组织结构的变动，它应对这种情况的管理成本相对比较低廉一些。

　　但是，静态局域网他也有一定的缺陷。主要在于对一些移动用户无法作出灵活的调整。如现在财务经理有一台笔记本电脑，当开部门管理层会议的时候，财务经理需要在会议室中连接到他所在的网络，访问其他财务人员的共享文件。同理，产品研发部门经理也需要访问他们部门的共享文件。但是，根据静态虚拟局域网的特征，会议室的网线所连接端口在同一时间中只能属于同一个虚拟局域网。除非在会议室中部属很多的网线并且分属于不同的端口;或者说当用户改变的时候网络管理员手工的更改端口配置。但是，无论是哪一种实现方式，其管理成本都是比较高的，管理工作量也比较大。

　　所以，静态虚拟局域网在网络设备位置相对稳定的企业中适用会比较好;同时，也可以应对一些部门的变动。因为部门变动毕竟不会常常发生，如半年一次的变动的话，还是可以适应的。

　　但是，若一天之内用户需要改变好几次位置，如开会、培训、给客户演示的需要等等。这种情况下，只有采用第三种实现方式，即动态的虚拟局域网。

第三种实现方式：动态的虚拟局域网

　　当企业员工在公司内部到处走动，在任何一个位置上都能够连接到自己所在的虚拟局域网的话，则采用动态的虚拟局域网是最佳的选择。其实，随着无线网络在公司内部的普及，这种需求对于企业来说，也越来越普遍。

　　如当客户在拜访的时候，安排在会客室。销售经理拿着笔记本在会客室进行无线网络的时候，则他仍然需要访问自己销售部门所在的虚拟局域网。若是第三方检验的人在会客室内，则质量部门人员在会客室利用他们的笔记本看相关的检验信息的时候，他们也需要连接到质量部门的网络等等。

　　针对这种情况，我们就希望能够根据主机的MAC地址来判断这台主机是属于那个虚拟局域网。若能够按这种方式实现的话，则公司员工无论到企业哪个位置，则员工都不会改变其所属的虚拟局域网。

　　采用动态的虚拟局域网，就可以实现这种需求。动态虚拟局域网那个是指在交换机上可以动态的分配虚拟局域网的端口，如可以利用MAC地址或者IP地址来分配。一般情况下，我们都是利用MAC地址来分配虚拟局域网的端口。当用户的主机连接到交换机上的端口时，交换机会判断这台主机的MAC地址。然后根据其内部的虚拟局域网与MAC地址对照表，判断这台主机是属于哪个虚拟局域网的。最后其就把这台主机连接到对应的虚拟局域网中。

　　这种实现方式的好处就是可以应对用户位置的地理变化。当用户在公司内部移动时，我们网络管理员基本上不用为他们做额外的配置与管理。虚拟局域网交换机会根据用户主机的MAC地址或者IP地址，来自我的进行调整。

　　不过这种方式也有一个比较大的缺陷，就是前期的维护工作量比较大。如在虚拟局域网配置的时候，要把公司所有主机的MAC地址跟其所属的虚拟局域网对应起来。当公司中新添加主机的时候，也需要调整交换机中的这个对应表。天下没有白吃的午餐。要在后续的维护工作中省心的话，则在前期虚拟局域网规划中，就要多花点功夫了。

　　所以说，这种动态虚拟局域网也不是说用在任何企业中都能够起到很好的效果。对于员工位置稳定，不需要移动办公的企业来说，则采用静态的虚拟局域网是一个比较名字的选择。若企业移动办公经常发生，则最好还是采用动态的虚拟局域网为妙。

　　当然，若不从管理成本上考虑，以上的三种方式在企业中都可以使用。若考虑到管理成本与使用的便利性因素的时候，网络管理员就要凭借自己的经验，做出抉择了。

    光纤通信（FTTx）一直以来都被看做是继DSL宽带接入方式之后最具市场前景的宽带接入方式，与常见的双绞线通信不同，其具有工作频率更高，容量更大（可以根据用户需要升级到10-100Mbps的独享带宽），衰减更小，不受强电干扰，抗电磁脉冲能力较强，保密性好等特点。

    光纤宽带通信（FTTx）包含多种接入形式，如常见的FTTP（光纤到驻地，FiberToThePremise）、FTTB（光纤到大楼，FiberToTheBuilding）、FTTC（光纤到路边，FiberToTheCurb）、FTTN（光纤到邻里，FiberToTheNeighborhood）、FTTZ（光纤到小区，FiberToTheZone）、FTTO（光纤到办公室，FiberToTheOffice）、FTTH（光纤到户或光纤到家庭，FiberToTheHome）等。

   

FTTH是光纤直接进入家庭的最佳选择

    
    而对于众多的家庭用户来说，FTTH是最佳的选择，该形式可将光纤及光网络单元（ONU）直接连接到家庭，是各种光纤宽带接入中除FTTD（光纤到桌面，FiberToTheDesk）外最贴近用户的光纤接入形式。而随着光纤宽带接入形式上的广义化，需要说明的是，目前的FTTH宽带接入已不单纯指光纤到家庭，已泛指FTTO、FTTD、FTTN等各种光纤到户的接入形式。

    除此而外，读者在对FTTH的理解上，要注意与目前常见的“FTTx+LAN（光纤+局域网）”宽带接入方案进行区别。FTTx+LAN是一种利用光纤+5类双绞线方式实现“100Mbps到小区或大楼、1-10Mbps到家庭”的宽带接入方案——小区内的交换机和局端交换机与光网络单元（ONU）相连，小区内采用5类双绞线综合布线，用户上网速率可达1-10Mbps。与FTTH这种单家独户独享带宽的方案不同，FTTx+LAN的带宽是由多家用户或家庭共享的，当共享用户较多时，其宽带带宽或网速就很难得到保障。

二、FTTH技术标准

    目前看来，带宽独享的ADSL2+、FTTH已成宽带未来发展的主流趋势。在FTTH的技术上，在APON（ATMPON）之后，目前有由ITU/FSAN制定的GPON（GigabitPON）标准，和由IEEE802.3ah工作组制定的EPON（EthernetPON）两大标准在竞争。

    GPON技术是基于ITU-TG.984.x标准的新一代宽带无源光综合接入标准，可用带宽约为1111Mbit/s，虽然技术实现复杂，但具有高带宽、高效率、大覆盖范围、用户接口丰富等优点，被一些欧美运营商视为实现接入网业务宽带化的较理想技术。

   

EPON方案具备良好的扩展性，可实现多种光纤入户方式

    
    EPON（以太无源光网络）也是一种新型的光纤接入网技术，有效上行传输总带宽为1000Mbit/s，采用点到多点结构、无源光纤传输，可在以太网之上提供多种业务，综合了PON技术和以太网技术的优点，具备低成本、高带宽、扩展性强、与现有以太网有良好兼容性、方便管理等特点，在亚洲地区，如我国及日本等地使用较广。

    而无论哪种PON光纤系统都由OLT（OpticalLineTerminal，光线路终端）、POS（Passiveopticalsplitter，无源光分路器/耦合器POS）、ONU（OpticalNetworkUnit，光网络单元）三大部分及其网管系统组成。并且这些部分在安装时都是由ISP安装人员进行布设的，家庭用户自身一般没条件自行对其进行架设。

三、FTTH布设方案

    在具体功能上，OLT放置在ISP中心局端，负责控制信道的连接、管理及维护。OLT与ONU之间的最大传输距离可达10-20km以上，OLT有一套测距功能来测试每一个ONU与OLT之间的逻辑距离，并据此来指挥ONU调整其信号发送延时，使不同距离的ONU所发送的信号能在OLT处准确地复用在一起。OLT设备一般还具备带宽分配功能，可根据ONU的需要，由OLT分配具体带宽。并且，OLT设备具备点对多点的集线器特性，一个OLT下面可带32个ONU（并且后续可扩展），每个OLT下面的所有ONU通过时分复用共享1G带宽，即每个ONU可以提供上下行最大为1Gbps的带宽。

    POS无源光纤分支器，即分光器或分路器，则是一个连接OLT和ONU的无源设备，它的功能是将输入（下行）光学信号分发给多个输出端口，使多个用户能够共用一条光纤，从而共享带宽；在上行方向，将多个ONU光学信号时分复用到一条光纤中。

   

ONU一般具备1-32个百兆口，可连接各种网络终端

    
    ONU则是在用户端用来接入最终用户或者楼道交换机的设备，其使用单根光纤通过无源分光器可将多个ONU的数据时分复用到一个OLT端口。由于采用点对多点的树形拓扑结构，减少了汇聚设备的投入，网络层次也更加清晰。大多数ONU设备本身具备一定的交换机功能，其上行接口为PON接口，通过无源分光器连接到OLT设备的接口板上，下行通过1-32个百兆乃至千兆的RJ45端口，连接不同的数据设备，如交换机、宽带路由器、电脑、IP电话、机顶盒等，实现点到多点的快速部署。

四、家庭中如何组网

    一般FTTH到户端的ONU设备，大多会至少提供4个百兆RJ45接口，对于家有四台内使用有线网卡连接的电脑的用户，其已能满足家庭中多机共享上网的需求。除此而外，对于使用动态IP的FTTH网络，用户还可根据需要自行下接交换机或无线AP进行有线及无线网络的扩展。

   

目前的宽带路由器能完美的支持FTTH接入方案

    
    而对于使用固定IP只提供了一个百兆RJ45接口的FTTH终端，则可通过宽带路由器或无线路由器进行扩展。在设置时，只需在路由器的WEB设置界面中，找到“WAN口”选项，将WAN口连接类型选为“静态IP”方式，然后，在下面的界面中输入ISP提供的IP地址、子网掩码、网关和DNS地址即可。

    此外，对于已购宽带路由器或无线路由器的用户，要在FTTH网络中将其做为交换机或无线AP使用，在设置时需注意以下几点：要将线路由器设置为交换机或无线AP来使用，需将来自ONU设备的双绞线插头直接插在路由器LAN口中的任何一个接口；在路由器的管理页面中，将默认打开的DHCP服务器功能关闭；将路由器的IP地址和采用动态IP的ONU设备设为同一网段。

    由于光纤接入可提供无限量带宽，光纤到户（FTTH）被称为宽带时代的“王者”，是宽带发展的终极目标。光纤到户后，用户的上网速度可再一次大幅提升，下载一部500MB的DVD电影最快只需要数秒钟的时间，比现在ADSL方案快数十倍。而随着FTTH架设成本的不断降低，光线到户正从梦想走向现实。

　　虚拟局域网可以根据网络工作组的功能、项目组成或者部门构成来划分，而不用考虑具体的地理位置。简单的说，在一幢办公楼里四楼跟五楼的研发部门可以在同一个虚拟局域网内。如此可见，可以非常廉价的实现对网络进行分段从而提高网络的安全性能以及减少冲突的发生。虚拟局域网可以将用户与终端设备分成一个逻辑段，然后通过虚拟局域网交换机把这些逻辑段组成了一个交换网络。交换机的每一个端口都可以连接一个独立的局域网。分配给同一个虚拟局域网的端口共享广播域，不同虚拟局域网的端口不共享广播域。如此的话，就可以利用虚拟域网来实现对广播域的隔离，从而廉价的提高网络性能，避免一些常见的如DDOS攻击，提高网络的安全性。

　　所以说，虚拟局域网的出现改变了我们网络管理员的工作方式;同时，使得路由器与交换机的角色也发生了一定的转变。

　　网络管理员了解这些改变后，有利于我们做好虚拟局域网的设计与管理。那么下面我们就来看看具体有哪些改变呢?

　　一、 虚拟局域网中路由器角色的转变

　　在传统的局域网中，路由器一般只提供防火墙、路由处理与分配、广播管理等等。但是，在虚拟局域网中路由器的职责与传统的局域网所担负的任务发生了明显的改变，或者说，内涵有了衍生。最主要的一点区别就是，虚拟局域网中的路由器还要承担起在工作组之间提供信息转发的功能。路由器在虚拟局域网中主要提供两方面的功能，一是为虚拟局域网中的用户提供访问共享资源的功能;二是帮助各个虚拟局域网之间进行通讯。

　　我们都知道，虚拟局域网的主要作用就是把企业的局域网分割成相互独立的几块，就相当于是不同的局域网一样。而若没有路由器的帮助，这些工作组之间是不能够相互通信的。也就是说，销售部门与财务部门之间若分处与两个不同的虚拟局域网之间，若没有路由器的帮助，他们相互之间就不能够进行通信。

　　另外路由器还为虚拟局域网的用户提供了访问一些共享资源，如服务器的路径。现在的应用软件大部分是服务器/客户端或者服务器/浏览器模式。服务器的访问量特别大，对于大部分企业来说，服务器的访问效率是企业网络应用的瓶颈。所以，若能够提高服务器的访问性能的话，无疑可以提高整体的网络执行效率。而这其中比较有效的方式就是把服务器隔离，减少广播，从而提高服务器的网络运行效率。而现在若把服务器与其它的工作组分成两个虚拟局域网，无疑减少广播冲突，提高网络的运行性能。但是，现在的问题是服务器与工作组若处于不同的虚拟局域网的话，则企业的员工就无法正常访问服务器。为此，我们还必须要路由器的帮助，让路由器提供对这些服务器的访问路径。

　　在实际工作中，我们网络管理员可以通过一条或者多条高速主干线路经济的将路由器连接到虚拟局域网中。在路由器的帮助下，虚拟局域网不仅提供了逻辑分段的功能，而且大幅度的提高了网络的性能与安全性。或者说，虚拟局域网与路由器的结合，是双方取长补短的一个过程。

　　采用了虚拟局域网与路由器的公司网络，能够提高路由器与交换机之间的信息吞吐量。因为我们都知道，以太网中一个数据包会发送到所有局域网中的主机上。这无疑会增加局域网中路由器与交换机端口的工作压力。而现在有了虚拟局域网，则数据包会在一个最小范围内进行转发，从而不会让无用的数据包占用路由器与交换机宝贵的端口带宽。这就从另一方面提高了路由器与交换机的信息吞吐量。另外，在路由器的帮助下，还可以强化虚拟局域网中所有物理端口的通信能力与控制能力。

二、 虚拟局域网中交换机角色的转变

　　交换机是虚拟局域网中的核心网络设备之一，交换机作为终端设备进入到虚拟局域网中，它是 信息在虚拟局域网中传输的入口，在虚拟局域网中有着至关重要的作用。可以毫无夸张的说，没有交换机的存在，也就没有虚拟局域网的存在。

　　传统的交换机一般没有网路分段的功能。也就是说，一个交换机上的所有端口都是在同一个局域网中。但是，随着虚拟局域网技术的出现，使得一个交换机上的网络端口也可以属于不同的网络段。换句话说，可以利用交换机，结合虚拟局域网技术，来实现网络的分段。

　　若支持虚拟局域网技术的交换机，他们可以依据我们网络管理员预先设定的规则，根据数据桢来知道能的决定是过滤这个数据包呢，还是转发这个数据包。若是转发的话，会讲数据转发给网络中的其他交换机或者路由器。一把来说，交换机过滤数据最常用的方法包括桢过滤与桢表标记。这两种方法交换机都会对通过其的数据包进行分析，并结合我们预先定义的虚拟局域网规则，然后决定是转发还是过滤。最重要的是，这些工作都可以实现集中管理，并且很容易就被应用到企业局域网中。

　　采用桢过滤方法的交换机会检查经过这个交换机的所有桢信息。并且，在每一台交换机中都有一个过滤表。如此的话，交换机就可以灵活的控制数据的转发，提供一种比较高层次的管理控制。如我们可以根据终端用户的IP地址、MAC地址、以及网络层协议等等将企业局域网分解成不同的段。当数据包在这个交换机进行转发的时候，交换机就会结合数据桢的相关信息，参照内部的过滤表，然后决定相关的操作。不过这种处理机制是比较早期的处理方法，由于交换机要对通过其的所有数据桢都进行类似的检验、判断、处理过程，所以，采用这种模式的话，其虚拟局域网的运行效率并不是很高。所以，在早期的时候，企业即使采用了虚拟局域网，也不会感觉到局域网性能有什么提升。

　　现在很多虚拟局域网交换机其采用的是桢标记的方法。当桢在网路主干线路上转发的时候，会在每一桢的头部加上一个唯一的标识。虚拟局域网交换机在将这个桢进行转发的时候，如广播给其他的交换机、路由器或者其他中断设备之间，都会对这个标记进行检查。当桢离开这个主干线路的时候，或者说，当数据桢离开虚拟局域网交换机的时候，都会清除这个标识。也就是说，其他设备不用对这个标识进行检查。因为在网络协议的第二层对桢进行检查，其好用的资源是比较少的，对网络性能的影响也是非常有限。另外，这种方法还提供了比较好的灵活性，在后续网络升级的时候，也可以很好的实现。所以，在大型的企业网络中，我还是建立采用桢过滤方法的虚拟局域网交换机。现在这种技术已经被IEEE组织所采用。

　　可见，虚拟局域网的出现，扩大了交换机的应用范围，让交换机从传统的数据转发，到现在对局域网进行智能分段的过渡。这是一个交换机质的改善，大大提高了交换机的性价比。

　　最后笔者要提醒大家，虽然虚拟局域网管理比较灵活，但是，其具体的灵活程度也是跟虚拟局域网的设计以及所采用的设备紧密相关的。为了提高虚拟局域网的灵活性与可升级性，我们在设计虚拟局域网的时候，就要多采用动态的虚拟局域网;而在采用端口为中心的虚拟局域网或者静态的虚拟局域网的时候就要慎重。相对来说，动态虚拟局域网的灵活性与可扩展性要比后面的两者高，但是，其安全性却比其他两种方式要差一点。相反，采用以端口为中心的虚拟局域网或者静态的虚拟局域网其在灵活性与扩展性上稍有不足，但是，在安全性上，却要略胜一筹。所以，企业在设计虚拟局域网的时候，还需要在这里取得一个均衡点。根据笔者的建议，对于扩展性的企业，最好还是采用动态的虚拟局域网为好。因为根据笔者这么多年的工作经验，对于一些正在成长的企业来说，其可能经常需要调整组织结构。所以，这种成长行的企业，对于网络应用的灵活性要求比较高。

    故障现象及解决：

    前些天，我们发现 IP 电话经常无法接电话，但可以外拨电话。用 PC ping 上级网络上的服务器，ping 了一个晚上，只丢了一个包，看来网络也是正常的，当时怀疑是 G250 有问题。因为只要 G250 重启后，头几个电话都可以正常接通。所以，我们只好把厂家技术人员找来了。

   厂家人员来公司后，进行系统自测，没有发现问题。但登录到上级网络的设备上后发现我公司的 G250 在不断地登录上级设备，而其他县供电公司的设备没有问题。厂家人员怀疑我的网络防火墙有问题，可能阻止了某些端口。但我把防火墙撤离了，问题依旧。由于一时也找不到问题出在哪里，我抱着试试看的心理打开了 OmniPeek，对网络进行扫描。但看起来网络很正常呀，没有 ARP极具特点的大量的 Arp Response 广播包，网络上的其他广播包也不多，正当我准备关闭 OmniPeek时，一个数据包引起我的注意。

    公司的一台华为交换机发 Arp Response，宣称自己是网关！但是和 Arp 病毒不同的是，它在五分钟多的时间里只发了一个包。由于这个交换机是其他部门的，我没有口令，只好把交换机的端口关闭掉，然后再测试 95598，问题就解决了。登录到 C6509，运行 show log 命令，发现如下日志：

    *Dec 29 15:27:04: %IP-4-DUPADDR: Duplicate  address 10.141.122.254 on Vlan122, sourced by000f.e21d.0632

    *Dec 29 15:27:34: %IP-4-DUPADDR: Duplicate  address 10.141.122.254 on Vlan122, sourced by000f.e21d.0632

    *Dec 29 15:28:04: %IP-4-DUPADDR: Duplicate  address 10.141.122.254 on Vlan122, sourced by000f.e21d.0632

    *Dec 29 15:28:34: %IP-4-DUPADDR: Duplicate  address 10.141.122.254 on Vlan122, sourced by000f.e21d.0632

    *Dec 29 15:29:04: %IP-4-DUPADDR: Duplicate  address 10.141.122.254 on Vlan122, sourced by000f.e21d.0632

    *Dec 29 15:29:34: %IP-4-DUPADDR: Duplicate  address 10.141.122.254 on Vlan122, sourced by000f.e21d.0632

    *Dec 29 15:30:04: %IP-4-DUPADDR: Duplicate  address 10.141.122.254 on Vlan122, sourced by000f.e21d.0632

    *Dec 29 15:30:34: %IP-4-DUPADDR: Duplicate  address 10.141.122.254 on Vlan122, sourced by000f.e21d.0632

    *Dec 29 15:31:04: %IP-4-DUPADDR: Duplicate  address 10.141.122.254 on Vlan122, sourced by000f.e21d.0632

    *Dec 29 15:31:34: %IP-4-DUPADDR: Duplicate  address 10.141.122.254 on Vlan122, sourced by000f.e21d.0632

    *Dec 29 15:32:04: %IP-4-DUPADDR: Duplicate  address 10.141.122.254 on Vlan122, sourced by000f.e21d.0632

     --More—

    估计是由于该交换机启动后和交换机的地址冲突造成的。

    事后我找到该交换机的所属部门，查看设备配置，发现他们竟然将自己的 vlan 地址设置成 C6509交换机的地址！修改配置后，再将该交换机接入网络，问题不见了。

    经验教训：

    从这件事情上，我们可以总结如下：

    1、 必须对接入自己网络的设备进行把关，尤其是交换机之类的设备。
    2、 在检查网络故障时，不能只看数据量大的包，有些数据包，一个可能就成为造成网络故障的“毒药“ 。