交換機(jī)、防火墻、網(wǎng)閘等

進(jìn)入正題，今天說(shuō)說(shuō)硬件防火墻的端口映射配置，以及端口映射的應(yīng)用。所謂端口映射，就是把“某個(gè)IP地址的某個(gè)端口（也叫套接字）映射到另一個(gè)IP地址的某個(gè)端口”，其實(shí)和NAT一樣，本來(lái)都是路由器的專利。但出于加強(qiáng)安全性的考慮，一般現(xiàn)在在內(nèi)網(wǎng)出口布置的都是硬件防火墻，路由器的大部分功能也能實(shí)現(xiàn)。當(dāng)然了，現(xiàn)在的新趨勢(shì)是IPS。。。時(shí)下IPv4地址短缺，一個(gè)單位有一兩個(gè)固定IP就算不錯(cuò)了，要實(shí)現(xiàn)內(nèi)部網(wǎng)多臺(tái)主機(jī)上公網(wǎng)，不用說(shuō)需要作NAT，把內(nèi)部私有IP轉(zhuǎn)換成公網(wǎng)IP就搞定了。但如果需要對(duì)外發(fā)布一個(gè)以上的網(wǎng)站或其他服務(wù)，或是沒(méi)有VPN但需要作多臺(tái)主機(jī)（服務(wù)器）遠(yuǎn)程控制，一兩個(gè)IP怎么說(shuō)也是不夠的，這種時(shí)候就需要用到端口映射了（莫急，這就開始說(shuō)了）。一般來(lái)講，防火墻的默認(rèn)包過(guò)濾規(guī)則是禁止，如果不做端口映射，外網(wǎng)地址的所有端口都是關(guān)閉（隱藏，檢測(cè)不到）的，不允許從外網(wǎng)主動(dòng)發(fā)起的任何連接（這就是在內(nèi)網(wǎng)使用某些P2P軟件顯示“您的外網(wǎng)端口無(wú)法被連接”之類信息的原因）。下面結(jié)合實(shí)際講講配置。俺公司兩臺(tái)防火墻，一臺(tái)天融信一臺(tái)聯(lián)想網(wǎng)御，聯(lián)想網(wǎng)御作外網(wǎng)應(yīng)用。比如，現(xiàn)有如下需求：外網(wǎng)地址只有1個(gè)，外網(wǎng)地址的80端口也只有1個(gè)，既然要發(fā)布兩個(gè)HTTP，也就不必（也沒(méi)辦法）拘泥于80端口。我們可以隨便選擇外網(wǎng)的端口號(hào)，比如，指定外網(wǎng)地址23的8080端口映射至內(nèi)網(wǎng)0的80端口，指定外網(wǎng)地址23的8081端口映射至內(nèi)網(wǎng)1的80端口。這里，如果沒(méi)有特殊要求，外網(wǎng)端口的選擇是任意的，外網(wǎng)用戶只要在IE的地址欄輸入“23:端口號(hào)”就可以訪問(wèn)相應(yīng)服務(wù)。當(dāng)然，也可以指定外網(wǎng)地址23的80端口映射至內(nèi)網(wǎng)0的80端口，這樣用瀏覽器訪問(wèn)時(shí)就不用加端口號(hào)。添加端口映射配置的步驟，各品牌的防火墻不太一樣，但大同小異。比如，天融信沒(méi)有專門的端口映射配置，直接在NAT中配置即可。進(jìn)入防火墻引擎一地址轉(zhuǎn)換一添加配置，源area選擇接外網(wǎng)的以太網(wǎng)口，源地址選any（有特殊需要的可以做源地址限制），源端口為空即可（即允許源端口為任何端口）；目的area為空（空即任意），目的地址選擇外網(wǎng)地址23（需預(yù)先定義），服務(wù)選擇TCP8081（或TCP8082,服務(wù)也需要預(yù)先定義），下面目的地址轉(zhuǎn)換為0（1），目的端口轉(zhuǎn)換為80（HTTP），啟用規(guī)則即可。網(wǎng)御直接有專門的端口映射配置，比較好理解，添加規(guī)則，選擇源地址（any，或自定），對(duì)外服務(wù)（8080或8081），源地址不轉(zhuǎn)換，公開地址選外網(wǎng)地址23），內(nèi)部地址選擇內(nèi)網(wǎng)服務(wù)器地址（0或1），內(nèi)部服務(wù)選80，啟用規(guī)則即可。至此，我們實(shí)現(xiàn)了兩條端口映射規(guī)則：23:8080—0:80和23:8081—1:80。同理，我們?nèi)绻胱宲2p軟件在內(nèi)網(wǎng)能正常工作的話，即讓外網(wǎng)用戶能連接p2p軟件的監(jiān)聽端口，也需要作端口映射。比如，如果內(nèi)網(wǎng)3運(yùn)行Bitcomet監(jiān)聽22345端口，顯示黃燈阻塞，我們作一條端口映射規(guī)則23:22345—3:22345,就可以變綠燈了，電驢也是一樣。下面談?wù)劧丝谟成渑浜线h(yuǎn)程桌面的應(yīng)用。以前公司沒(méi)有VPN，為了能在家遠(yuǎn)程辦公通過(guò)遠(yuǎn)程桌面訪問(wèn)我的機(jī)器5，于是通過(guò)端口映射作23:3389—5:3389來(lái)實(shí)現(xiàn)，這樣在家里運(yùn)行Windows自帶的遠(yuǎn)程桌面（其實(shí)遠(yuǎn)程控制軟件很多，但為了能在緊急情況時(shí)隨便找一臺(tái)能上網(wǎng)的機(jī)器就能用，所以還是選用系統(tǒng)自帶的），輸入地址23就可以遠(yuǎn)程登陸到我公司內(nèi)網(wǎng)的機(jī)器。但3389端口只有一個(gè)，這樣就只能我自己用。后來(lái)發(fā)現(xiàn)，在遠(yuǎn)程桌面中輸入IP地址加端口號(hào)也可以。這樣就好辦了，作23:9991—5，然后在家運(yùn)行遠(yuǎn)程桌面，輸入23:9991，就可以登陸我的機(jī)器；再作23:9992—6等等，就可以實(shí)現(xiàn)多人通過(guò)一個(gè)公網(wǎng)IP遠(yuǎn)程桌面訪問(wèn)自己的機(jī)器，沒(méi)有VPN遠(yuǎn)程辦公也很方便。但要注意這樣有一定的危險(xiǎn)性，因?yàn)榧依镆话阌肁DSL，IP地址不是固定的，所以作規(guī)則時(shí)源地址一般支能選any，即允許任何人連接9991端口，不過(guò)問(wèn)題一般不大。綜上，端口映射可以將內(nèi)網(wǎng)的任何服務(wù)發(fā)布到外網(wǎng)地址的任何端口，非常方便，靈活運(yùn)用的話對(duì)網(wǎng)管工作很有幫助。但切記，這種方法有一定的安全隱患，需慎用，最好在地址、端口、連接數(shù)、帶寬等各方面做好限制，以將危險(xiǎn)減至最低。累死我了，下班了，回家吃飯。。。網(wǎng)關(guān)、網(wǎng)橋、網(wǎng)閘、路由器、交換機(jī)等2008-02-2907:41網(wǎng)關(guān)：打個(gè)比方，網(wǎng)關(guān)就象兩個(gè)房間當(dāng)中的那扇門，兩個(gè)房間之間要走動(dòng)就必須要通過(guò)這扇門才行，所以說(shuō)網(wǎng)關(guān)起的作用就是讓兩個(gè)不在同一網(wǎng)段之內(nèi)的機(jī)子能夠互訪?網(wǎng)關(guān)就是用于不同子網(wǎng)之間的，使不同子網(wǎng)之間能相互通信！網(wǎng)橋：網(wǎng)橋工作在數(shù)據(jù)鏈路層，將兩個(gè)局域網(wǎng)（LAN）連起來(lái)，根據(jù)MAC地址（物理地址）來(lái)轉(zhuǎn)發(fā)幀，可以看作一個(gè)“低層的路由器”（路由器工作在網(wǎng)絡(luò)層，根據(jù)網(wǎng)絡(luò)地址如IP地址進(jìn)行轉(zhuǎn)發(fā)）。它可以有效地聯(lián)接兩個(gè)LAN，使本地通信限制在本網(wǎng)段內(nèi)，并轉(zhuǎn)發(fā)相應(yīng)的信號(hào)至另一網(wǎng)段，網(wǎng)橋通常用于聯(lián)接數(shù)量不多的、同一類型的網(wǎng)段。網(wǎng)閘：網(wǎng)閘是使用帶有多種控制功能的固態(tài)開關(guān)讀寫介質(zhì)連接兩個(gè)獨(dú)立主機(jī)系統(tǒng)的信息安全設(shè)備。由于物理隔離網(wǎng)閘所連接的兩個(gè)獨(dú)立主機(jī)系統(tǒng)之間，不存在通信的物理連接、邏輯連接、信息傳輸命令、信息傳輸協(xié)議，不存在依據(jù)協(xié)議的信息包轉(zhuǎn)發(fā)，只有數(shù)據(jù)文件的無(wú)協(xié)議"擺渡"，且對(duì)固態(tài)存儲(chǔ)介質(zhì)只有"讀"和"寫"兩個(gè)命令。所以，物理隔離網(wǎng)閘從物理上隔離、阻斷了具有潛在攻擊可能的一切連接，使"黑客"無(wú)法入侵、無(wú)法攻擊、無(wú)法破壞，實(shí)現(xiàn)了真正的安全。安全隔離與信息交換系統(tǒng)，即網(wǎng)閘，是新一代高安全度的企業(yè)級(jí)信息安全防護(hù)設(shè)備，它依托安全隔離技術(shù)為信息網(wǎng)絡(luò)提供了更高層次的安全防護(hù)能力，不僅使得信息網(wǎng)絡(luò)的抗攻擊能力大大增強(qiáng)，而且有效地防范了信息外泄事件的發(fā)生。第一代網(wǎng)閘的技術(shù)原理是利用單刀雙擲開關(guān)使得內(nèi)外網(wǎng)的處理單元分時(shí)存取共享存儲(chǔ)設(shè)備來(lái)完成數(shù)據(jù)交換的，實(shí)現(xiàn)了在空氣縫隙隔離（AirGap）情況下的數(shù)據(jù)交換，安全原理是通過(guò)應(yīng)用層數(shù)據(jù)提取與安全審查達(dá)到杜絕基于協(xié)議層的攻擊和增強(qiáng)應(yīng)用層安全的效果。第二代網(wǎng)閘正是在吸取了第一代網(wǎng)閘優(yōu)點(diǎn)的基礎(chǔ)上，創(chuàng)造性地利用全新理念的專用交換通道PET（PrivateExchangeTunnel）技術(shù)，在不降低安全性的前提下能夠完成內(nèi)外網(wǎng)之間高速的數(shù)據(jù)交換，有效地克服了第一代網(wǎng)閘的弊端，第二代網(wǎng)閘的安全數(shù)據(jù)交換過(guò)程是通過(guò)專用硬件通信卡、私有通信協(xié)議和加密簽名機(jī)制來(lái)實(shí)現(xiàn)的，雖然仍是通過(guò)應(yīng)用層數(shù)據(jù)提取與安全審查達(dá)到杜絕基于協(xié)議層的攻擊和增強(qiáng)應(yīng)用層安全效果的，但卻提供了比第一代網(wǎng)閘更多的網(wǎng)絡(luò)應(yīng)用支持，并且由于其采用的是專用高速硬件通信卡，使得處理能力大大提高，達(dá)到第一代網(wǎng)閘的幾十倍之多，而私有通信協(xié)議和加密簽名機(jī)制保證了內(nèi)外處理單元之間數(shù)據(jù)交換的機(jī)密性、完整性和可信性，從而在保證安全性的同時(shí)，提供更好的處理性能，能夠適應(yīng)復(fù)雜網(wǎng)絡(luò)對(duì)隔離應(yīng)用的需求。網(wǎng)閘（SGAP）與傳統(tǒng)防火墻的技術(shù)特點(diǎn)對(duì)比如下表所示:對(duì)比項(xiàng)目傳統(tǒng)防火墻網(wǎng)閘（SGAP）安全機(jī)制采用包過(guò)濾、代理服務(wù)等安全機(jī)制，安全功能相對(duì)單一在GAP技術(shù)的基礎(chǔ)上，綜合了訪問(wèn)控制、內(nèi)容過(guò)濾、病毒查殺等技術(shù)，具有全面的安全防護(hù)功能。硬件設(shè)計(jì)防火墻硬件設(shè)計(jì)可能存在安全漏洞，遭受攻擊后導(dǎo)致網(wǎng)絡(luò)癱瘓。硬件設(shè)計(jì)采用基于GAP技術(shù)的體系結(jié)構(gòu)，運(yùn)行穩(wěn)定，不會(huì)因網(wǎng)絡(luò)攻擊而癱瘓。操作系統(tǒng)設(shè)計(jì)防火墻操作系統(tǒng)可能存在安全漏洞。采用專用安全操作系統(tǒng)作為軟件支撐系統(tǒng)，實(shí)行強(qiáng)制訪問(wèn)控制，從根本上杜絕可被黑客利用的安全漏洞。網(wǎng)絡(luò)協(xié)議處理缺乏對(duì)未知網(wǎng)絡(luò)協(xié)議漏洞造成的安全問(wèn)題的有效解決辦法。采用專用映射協(xié)議代替原網(wǎng)絡(luò)協(xié)議實(shí)現(xiàn)SGAP系統(tǒng)內(nèi)部的純數(shù)據(jù)傳輸，消除了一般網(wǎng)絡(luò)協(xié)議可被利用的安全漏洞。遭攻擊后果被攻破的防火墻只是個(gè)簡(jiǎn)單的路由器，將危及內(nèi)網(wǎng)安全即使系統(tǒng)的外網(wǎng)處理單元癱瘓，網(wǎng)絡(luò)攻擊也無(wú)法觸及內(nèi)網(wǎng)處理單元?？晒芾硇怨芾砼渲糜幸欢◤?fù)雜性管理配置簡(jiǎn)易與其它安全設(shè)備聯(lián)動(dòng)性缺乏可結(jié)合防火墻、IDS、VPN等安全設(shè)備運(yùn)行，形成綜合網(wǎng)絡(luò)安全防護(hù)平臺(tái)。交換機(jī)：交換機(jī)（Switch）也叫交換式集線器，是一種工作在0、1第二層（數(shù)據(jù)鏈路層，參見“廣域網(wǎng)”定義）上的、基于MAC（網(wǎng)卡的介質(zhì)訪問(wèn)控制地址）識(shí)別、能完成封裝轉(zhuǎn)發(fā)數(shù)據(jù)包功能的網(wǎng)絡(luò)設(shè)備。它通過(guò)對(duì)信息進(jìn)行重新生成，并經(jīng)過(guò)內(nèi)部處理后轉(zhuǎn)發(fā)至指定端口，具備自動(dòng)尋址能力和交換作用。交換機(jī)不懂得IP地址，但它可以“學(xué)習(xí)”MAC地址，并把其存放在內(nèi)部地址表中，通過(guò)在數(shù)據(jù)幀的始發(fā)者和目標(biāo)接收者之間建立臨時(shí)的交換路徑，使數(shù)據(jù)幀直接由源地址到達(dá)目的地址。交換機(jī)上的所有端口均有獨(dú)享的信道帶寬，以保證每個(gè)端口上數(shù)據(jù)的快速有效傳輸。由于交換機(jī)根據(jù)所傳遞信息包的目的地址，將每一信息包獨(dú)立地從源端口送至目的端口，而不會(huì)向所有端口發(fā)送，避免了和其它端口發(fā)生沖突，因此，交換機(jī)可以同時(shí)互不影響的傳送這些信息包，并防止傳輸沖突，提高了網(wǎng)絡(luò)的實(shí)際吞吐量。路由器：路由器是一種連接多個(gè)網(wǎng)絡(luò)或網(wǎng)段的網(wǎng)絡(luò)設(shè)備，它能將不同網(wǎng)絡(luò)或網(wǎng)段之間的數(shù)據(jù)信息進(jìn)行“翻譯”，以使它們能夠相互“讀”懂對(duì)方的數(shù)據(jù)，從而構(gòu)成一個(gè)更大的網(wǎng)絡(luò)。詳細(xì)請(qǐng)看參考資料網(wǎng)站貓：我們常將Modem稱為“貓”，但依據(jù)工作的原理和作用，Modem的全名為“調(diào)制解調(diào)器”。對(duì)于我們而言，Modem在我們通過(guò)電話線撥號(hào)上網(wǎng)的過(guò)程中是連接計(jì)算機(jī)和普通電話線的不可缺少的設(shè)備；但是計(jì)算機(jī)處理的數(shù)據(jù)信息是二進(jìn)制的數(shù)字信號(hào)，而電話線上傳輸?shù)膮s是載波形式的模擬信號(hào)；Modem就要負(fù)責(zé)這兩種信號(hào)的轉(zhuǎn)換一一調(diào)制，將數(shù)字信號(hào)轉(zhuǎn)換為模擬信號(hào)；解調(diào)，將模擬信號(hào)轉(zhuǎn)換為數(shù)字信號(hào)。調(diào)制與解調(diào)，所以叫調(diào)制解調(diào)器防火墻：防火墻是位于網(wǎng)關(guān)服務(wù)器上的一組相關(guān)程序，它們保護(hù)私人網(wǎng)絡(luò)的資源不被用戶或其它網(wǎng)絡(luò)訪問(wèn)。（這個(gè)詞也指程序使用的安全策略）。擁有內(nèi)部互聯(lián)網(wǎng)的企業(yè)安裝了防火墻就可以在允許其員工訪問(wèn)廣域網(wǎng)的時(shí)阻止外部用戶訪問(wèn)公司的私密數(shù)據(jù)，還可以控制它自己的用戶能對(duì)什么樣的外部數(shù)據(jù)進(jìn)行訪問(wèn)。服務(wù)器：服務(wù)器是計(jì)算機(jī)的一種，它是網(wǎng)絡(luò)上一種為客戶端計(jì)算機(jī)提供各種服務(wù)的高性能的計(jì)算機(jī)，它在網(wǎng)絡(luò)操作系統(tǒng)的控制下，將與其相連的硬盤、磁帶、打印機(jī)、Modem及昂貴的專用通訊設(shè)備提供給網(wǎng)絡(luò)上的客戶站點(diǎn)共享，也能為網(wǎng)絡(luò)用戶提供集中計(jì)算、信息發(fā)表及數(shù)據(jù)管理等服務(wù)。安全篇---交換機(jī)設(shè)置方法介紹L2-L4層過(guò)濾現(xiàn)在的新型交換機(jī)大都可以通過(guò)建立規(guī)則的方式來(lái)實(shí)現(xiàn)各種過(guò)濾需求。規(guī)則設(shè)置有兩種模式，一種是MAC模式，可根據(jù)用戶需要依據(jù)源MAC或目的MAC有效實(shí)現(xiàn)數(shù)據(jù)的隔離，另一種是IP模式，可以通過(guò)源^、目的^、協(xié)議、源應(yīng)用端口及目的應(yīng)用端口過(guò)濾數(shù)據(jù)封包；建立好的規(guī)則必須附加到相應(yīng)的接收或傳送端口上，則當(dāng)交換機(jī)此端口接收或轉(zhuǎn)發(fā)數(shù)據(jù)時(shí)，根據(jù)過(guò)濾規(guī)則來(lái)過(guò)濾封包，決定是轉(zhuǎn)發(fā)還是丟棄。另外，交換機(jī)通過(guò)硬件“邏輯與非門”對(duì)過(guò)濾規(guī)則進(jìn)行邏輯運(yùn)算，實(shí)現(xiàn)過(guò)濾規(guī)則確定，完全不影響數(shù)據(jù)轉(zhuǎn)發(fā)速率。802.1X基于端口的訪問(wèn)控制為了阻止非法用戶對(duì)局域網(wǎng)的接入，保障網(wǎng)絡(luò)的安全性，基于端口的訪問(wèn)控制協(xié)議802.1X無(wú)論在有線LAN或WLAN中都得到了廣泛應(yīng)用。例如華碩最新的GigaX2024/2048等新一代交換機(jī)產(chǎn)品不僅僅支持802.1X的Local、RADIUS驗(yàn)證方式，而且支持802.1X的DynamicVLAN的接入，即在VLAN和802.1X的基礎(chǔ)上，持有某用戶賬號(hào)的用戶無(wú)論在網(wǎng)絡(luò)內(nèi)的何處接入，都會(huì)超越原有802.1Q下基于端口VLAN的限制，始終接入與此賬號(hào)指定的VLAN組內(nèi)，這一功能不僅為網(wǎng)絡(luò)內(nèi)的移動(dòng)用戶對(duì)資源的應(yīng)用提供了靈活便利，同時(shí)又保障了網(wǎng)絡(luò)資源應(yīng)用的安全性；另外，GigaX2024/2048交換機(jī)還支持802.1X的GuestVLAN功能，即在802.1X的應(yīng)用中，如果端口指定了GuestVLAN項(xiàng)，此端口下的接入用戶如果認(rèn)證失敗或根本無(wú)用戶賬號(hào)的話，會(huì)成為GuestVLAN組的成員，可以享用此組內(nèi)的相應(yīng)網(wǎng)絡(luò)資源，這一種功能同樣可為網(wǎng)絡(luò)應(yīng)用的某一些群體開放最低限度的資源，并為整個(gè)網(wǎng)絡(luò)提供了一個(gè)最外圍的接入安全。流量控制（trafficcontrol）交換機(jī)的流量控制可以預(yù)防因?yàn)閺V播數(shù)據(jù)包、組播數(shù)據(jù)包及因目的地址錯(cuò)誤的單播數(shù)據(jù)包數(shù)據(jù)流量過(guò)大造成交換機(jī)帶寬的異常負(fù)荷，并可提高系統(tǒng)的整體效能，保持網(wǎng)絡(luò)安全穩(wěn)定的運(yùn)行。SNMPv3及SSH安全網(wǎng)管SNMPv3提出全新的體系結(jié)構(gòu)，將各版本的SNMP標(biāo)準(zhǔn)集中到一起，進(jìn)而加強(qiáng)網(wǎng)管安全性。SNMPv3建議的安全模型是基于用戶的安全模型，即USM.USM對(duì)網(wǎng)管消息進(jìn)行加密和認(rèn)證是基于用戶進(jìn)行的，具體地說(shuō)就是用什么協(xié)議和密鑰進(jìn)行加密和認(rèn)證均由用戶名稱（userNmae）權(quán)威引擎標(biāo)識(shí)符（EngineID）來(lái)決定（推薦加密協(xié)議CBCDES，認(rèn)證協(xié)議HMAC-MD5-96和HMAC-SHA-96），通過(guò)認(rèn)證、加密和時(shí)限提供數(shù)據(jù)完整性、數(shù)據(jù)源認(rèn)證、數(shù)據(jù)保密和消息時(shí)限服務(wù)，從而有效防止非授權(quán)用戶對(duì)管理信息的修改、偽裝和竊聽。至于通過(guò)Telnet的遠(yuǎn)程網(wǎng)絡(luò)管理，由于Telnet服務(wù)有一個(gè)致命的弱點(diǎn)——它以明文的方式傳輸用戶名及口令，所以，很容易被別有用心的人竊取口令，受到攻擊，但采用SSH進(jìn)行通訊時(shí)，用戶名及口令均進(jìn)行了加密，有效防止了對(duì)口令的竊聽，便于網(wǎng)管人員進(jìn)行遠(yuǎn)程的安全網(wǎng)絡(luò)管理。Syslog和Watchdog交換機(jī)的Syslog日志功能可以將系統(tǒng)錯(cuò)誤、系統(tǒng)配置、狀態(tài)變化、狀態(tài)定期報(bào)告、系統(tǒng)退出等用戶設(shè)定的期望信息傳送給日志服務(wù)器，網(wǎng)管人員依據(jù)這些信息掌握設(shè)備的運(yùn)行狀況，及早發(fā)現(xiàn)問(wèn)題，及時(shí)進(jìn)行配置設(shè)定和排障，保障網(wǎng)絡(luò)安全穩(wěn)定地運(yùn)行。Watchdog通過(guò)設(shè)定一個(gè)計(jì)時(shí)器，如果設(shè)定的時(shí)間間隔內(nèi)計(jì)時(shí)器沒(méi)有重啟，則生成一個(gè)內(nèi)在CPU重啟指令，使設(shè)備重新啟動(dòng)，這一功能可使交換機(jī)在緊急故障或意外情況下時(shí)可智能自動(dòng)重啟，保障網(wǎng)絡(luò)的運(yùn)行。雙映像文件一些最新的交換機(jī)，像ASUSGigaX2024/2048還具備雙映像文件。這一功能保護(hù)設(shè)備在異常情況下（固件升級(jí)失敗等）仍然可正常啟動(dòng)運(yùn)行。文件系統(tǒng)分majoy和mirror兩部分進(jìn)行保存，如果一個(gè)文件系統(tǒng)損害或中斷，另外一個(gè)文件系統(tǒng)會(huì)將其重寫，如果兩個(gè)文件系統(tǒng)都損害，則設(shè)備會(huì)清除兩個(gè)文件系統(tǒng)并重寫為出廠時(shí)默認(rèn)設(shè)置，確保系統(tǒng)安全啟動(dòng)運(yùn)行。面我來(lái)為大家介紹一下，交換機(jī)的配置方法，新手看仔細(xì)，老手過(guò)：首先,我們?cè)谂渲媒粨Q機(jī)時(shí)應(yīng)該注意到的是在交換機(jī)中設(shè)置的IP地址，網(wǎng)關(guān)，域名等信息是為用于管理交換機(jī)而設(shè)置，把這些的配置都配置成功后，就可以為以后的工作途中省了不少事。3350配置dhcp,網(wǎng)絡(luò)上多有討論，但大都存在錯(cuò)漏，按照網(wǎng)上介紹的配置一句“IPHELPER-ADDRESSDHCP服務(wù)器地址”后，工程當(dāng)中發(fā)現(xiàn)客戶機(jī)不能從DHCP服務(wù)器獲取IP地址。我最近也剛好配置了3350,作為DHCP服務(wù)器中繼代理，剛開始也曾困惑很久，后來(lái)在網(wǎng)上查找資料及在論壇上尋求眾人幫助，終于在工程當(dāng)中測(cè)試通過(guò)，為了避免大家在工程當(dāng)中遇到此類情況左調(diào)右調(diào)，特將配置過(guò)程寫出來(lái)，給大家作為參考。網(wǎng)絡(luò)環(huán)境：一臺(tái)3550EMI交換機(jī)，劃分三個(gè)vlan,vlan2為服務(wù)器所在網(wǎng)絡(luò)，命名為server,IP地址段為,子網(wǎng)掩碼:,網(wǎng)關(guān):,域服務(wù)器為window