2024年1月24日发(作者:)
常用网络测试命令
Ping
Ping是测试网络联接状况以及信息包发送和接收状况非常有用的工具,是网络测试最
常用的命令。Ping向目标主机(地址)发送一个回送请求数据包,要求目标主机收到请求后给予答复,从而判断网络的响应时间和本机是否与目标主机(地址)联通。
如果执行Ping不成功,则可以预测故障出现在以下几个方面:网线故障,网络适配器配置不正确,IP地址不正确。如果执行Ping成功而网络仍无法使用,那么问题很可能出在网络系统的软件配置方面,Ping成功只能保证本机与目标主机间存在一条连通的物理路径。
命令格式:
ping IP地址或主机名 [-t] [-a] [-n count] [-l size]
参数含义:
-t不停地向目标主机发送数据;
-a 以IP地址格式来显示目标主机的网络地址 ;
-n count 指定要Ping多少次,具体次数由count来指定 ;
-l size 指定发送到目标主机的数据包的大小。
例如当您的机器不能访问Internet,首先您想确认是否是本地局域网的故障。假定局域网的代理服务器IP地址为202.168.0.1,您可以使用Ping避免202.168.0.1命令查看本机是否和代理服务器联通。又如,测试本机的网卡是否正确安装的常用命令是ping 127.0.0.1。
Tracert
Tracert命令用来显示数据包到达目标主机所经过的路径,并显示到达每个节点的时间。命令功能同Ping类似,但它所获得的信息要比Ping命令详细得多,它把数据包所走的全部路径、节点的IP以及花费的时间都显示出来。该命令比较适用于大型网络。
命令格式:
tracert IP地址或主机名 [-d][-h maximumhops][-j host_list] [-w timeout]
参数含义:
-d 不解析目标主机的名字;
-h maximum_hops 指定搜索到目标地址的最大跳跃数;
-j host_list 按照主机列表中的地址释放源路由;
-w timeout 指定超时时间间隔,程序默认的时间单位是毫秒。
例如大家想要了解自己的计算机与目标主机之间详细的传输路径信息,可以在MS-DOS方式输入tracert 。
如果我们在Tracert命令后面加上一些参数,还可以检测到其他更详细的信息,例如使用参数-d,可以指定程序在跟踪主机的路径信息时,同时也解析目标主机的域名。
Netstat
Netstat命令可以帮助网络管理员了解网络的整体使用情况。它可以显示当前正在活动的网络连接的详细信息,例如显示网络连接、路由表和网络接口信息,可以统计目前总共有哪些网络连接正在运行。
利用命令参数,命令可以显示所有协议的使用状态,这些协议包括TCP协议、UDP协议以及IP协议等,另外还可以选择特定的协议并查看其具体信息,还能显示所有主机的端口号以及当前主机的详细路由信息。
命令格式:
netstat [-r] [-s] [-n] [-a]
参数含义:
-r 显示本机路由表的内容;
-s 显示每个协议的使用状态(包括TCP协议、UDP协议、IP协议);
-n 以数字表格形式显示地址和端口;
-a 显示所有主机的端口号。
Winipcfg
Winipcfg命令以窗口的形式显示IP协议的具体配置信息,命令可以显示网络适配器的物理地址、主机的IP地址、子网掩码以及默认网关等,还可以查看主机名、DNS服务器、节点类型等相关信息。其中网络适配器的物理地址在检测网络错误时非常有用。
命令格式:
winipcfg [/?] [/all]
参数含义:
/all 显示所有的有关IP地址的配置信息;
/batch [file] 将命令结果写入指定文件;
/renew_ all 重试所有网络适配器;
/release_all 释放所有网络适配器;
/renew N 复位网络适配器 N;
/release N 释放网络适配器 N。
局域网常见问题
1、办公室里有一台电脑能访问我的电脑,而我的电脑却不能访问那台电脑,说网络资源不可用(在两台机器中都设置好了共享),但是能够Ping通。请问这是为什么?
答:1.通常访问不了是被防火墙挡住了,把你同事电脑上的防火墙关闭或设置允许局域网访问策略。2.看看你同事电脑的来宾(Guest)用户有没有开启?是否允许该账户从网络上访问?
2、我们办公室的宽带是一栋楼公用的,我设置的TCP/IP都是自动获取,但有的时候就上不了网,似乎是有某台电脑上了之后我的就上不了。怎样才能解决呢?
答:这种问题比较典型,你电脑掉线的原因主要是因为局域网中某台电脑开了后,那台电脑会发出ARP欺骗包,欺骗你的电脑导致上不了网。解决办法是:查出是哪台电脑开了后,你上不了网的,将导致你电脑上不了网的那台电脑杀毒或重装系统后,就可以解决问题。
3、我们公司和另外一家公司相距很远,在不同局域网内,可以Ping路由器的IP吗?能不能Ping通?
答:可以Ping通你们路由器上的公网IP(路由器上设置了允许Ping入)。但是如果不在同一局域网是Ping不通对方的内网IP的,除非使用了VPN。
4、我家电脑现在出现不能上网的问题,家里是通过猫和路由器上网的,进192.168.1.1 时,提示用户名和密码,但是输入后,无法登录,不知该怎么办?
答:1.需要确认不通过路由器,单机拨号看能否上网,如果可以上就排除了宽带欠费或线路故障等问题。2.一般路由器电源旁边有一个很小的Reset按钮,用细小工具按住10秒钟以上,可以恢复出厂设置。然后进入192.168.1.1,参照路由器说明书设置就可以了。
5、:“猫”接好了,然后用交叉线连接路由器的WAN口,另一台电脑连接其他任意口,可“猫”的LAN灯不亮,电脑的本地连接也没有显示连接成功。请问还要设置哪里?正确方法应该怎么连接呢?
答:1.可能是你电脑和“猫”之间的网线没有插好,试试把网线插紧。2.网线有问题,可以考虑换几条网线试试。如果LAN口灯亮了,则说明刚才那条网线有问题。3.网卡驱动未安装或网卡出现故障。
6、我们是通过ADSL“猫”上网的,我们宿舍有个路由器,隔壁宿舍也有个路由器,各自宿舍内有局域网,现在我想把两个宿舍的6台电脑连起来组个局域网,也就是用两个路由器怎么连局域网?怎样实现呢?(两个宿舍用两条ADSL线路上网,互不影响)
答:1.首先将两个路由器的LAN口IP设置成不一样的,如A宿舍的设置为192.168.0.1,B宿舍的设置为192.168.0.2。2. A和B宿舍的几台电脑,手动指定IP地址(192.168.0.X,X为3~255的数字,不要重复),网关分别指向192.168.0.1和192.168.0.2。3.用一根网线连接两个路由器的LAN口,这时A和B就构建成了一个局域网,通过相应的局域网设置后,就可以共享了,这时每台电脑还是通过自己宿舍的路由器上网,互不影响。
7、我用的是局域网上网,本地连接显示的是连接上了,也能Ping通网关,为何上不去网呢?
答:1.是否能够正常上网,关键查看路由器是否和外网正常连接,查看路由器设置界面的运行状态,看是否有外网IP,有的话正常。2.检查本地连接的IP地址和DNS是否为自动获取,建议改为自动获取的,即可上网。如果是手动指定的IP,需要检查网关和DNS是否设置正确。
8、办公室有四台电脑,接了局域网,局域网游戏也可以联机玩,但查看不了计算机工作组,计算机的文件也共享不了。怎样解决呢?
答:1.几台电脑设置为同一个工作组。(“我的电脑”右击“属性→计算机名→更改→工作组”)。2.通过共享某个文件夹,进行局域网共享设置(右击某个文件夹的“属性→共享→设置”允许在网络上共享该文件夹)。3.开启Guest用户,并允许Guest用户访问网络。4.关闭防火墙试试。
9、我们公司的局域网现在通过网上邻居不能访问其他电脑,工作组也不能打开,只能输入对方机器的IP地址才能进行访问,请问这是怎么回事呀(设置了共享,而且每个机器都是设置的独立IP)?
答:输入IP地址能访问,但工作组打不开,应该是PC的工作组不一致造成的,只要将每台电脑按照下列步骤操作“我的电脑→右击属性→计算机名→更改→工作组”,
设置为同一个工作组即可。
10、我校是通过一个路由器共享上网的。现在有一个学生计算机教室,为了让学生也能上网,我想再用一个路由器,把计算机教室网络接入学校的局域网中,形成一个子网,避免学生用机与教师用机在同一层局域网中,不知道能不能行?如果能行,应该怎样设置?
答:可以,将第一个路由器LAN口出来的线,接在第二个路由器(学生机房)的WAN口上,如果第一个路由器的DHCP开启的话,可以将第二个路由器的WAN口设置为动态获取IP地址,需要注意,要将两个路由器的LAN口IP设置成不同网段的。如:上一级路由器LAN口IP为192.168.1.1, 下一级路由器的LAN口IP应该设置为192.168.0.1,接在第二个路由器下的PC设置为自动获取IP即可上网。
11、我公司局域网工作组中有四台机器,其中A机器可以访问B、C、D三台机器的共享文件,而B、C、D三台机器都不能访问A机器的共享文件,提示拒绝访问,我已经把几台机器的防火墙全部关掉了,而且组策略相关的服务也检查过了,可还是不行。该怎么办?
答:1.检查A电脑上的工作组是否和其它PC的一致。2.检查A电脑上的Guest用户是否开启(右击我的电脑→管理→计算机管理→本地用户和组→用户,双击那个Guest帐户,去掉“账户已停用”前面的勾)。3.检查A电脑是否设置了拒绝从网络上访问该计算机(依次点击“开始→运行→→‘本地计算机’策略→计算机配置→Windows设置→安全设置→本地策略→用户权利指派→拒绝从网络访问这台计算机。如果其中有Guest,则将其删除即可)。4.A电脑上是否设置了文件共享?如果没有,要设置为共享。
12、我用ADSL上网,使用了路由器自动拨号,挂了三台机器,使用静态IP。三台机器两台装Windows Vista系统,一台Windows XP,它们之间可以互相Ping通,但在运行对话框中输入另一台机器的IP地址,却不能访问它的共享文件。不知道是哪里的设置问题。
答:这需要进行局域网设置。1.几台电脑设置为同一个工作组(在我的电脑右击属性→计算机名→更改→工作组)。2.通过共享某个文件夹,进行局域网共享设置(右击某个文件夹的属性→共享→设置允许在网络上共享该文件夹)。3.开启Guest用户,并允许Guest用户访问网络。4.关闭防火墙试试。5.看是否设置了拒绝从网络上访问该计算机。具体可以参考前一个问题的解答进行设置。
13、我今年与楼上的几个朋友接了路由器上网,但他们看网络电视或用迅雷下载时,网速很慢,我连游戏都玩不成了。有什么方法可以解决呢?
答:目前市面上的普通路由器都不支持限速功能。Tenda的TEI480支持限速,也就是说可以给每台电脑限制在某一带宽内,这样就不会出现别人用迅雷下载时抢占大部分带宽,而影响他人的情况。另外迅雷上有限速功能,可以让朋友在迅雷上设置,限制下载速度。
14、我最近升级了Vista旗舰版,并安装了TP-LINK无线驱动,发现无法打开TP-LINK无线配置的程序,这是什么原因呢?
答:可能是由于TP-LINK的无线配置程序不支持在Vista下使用。可以使用Vista自带的无线配置软件。具体设置如下:点击开始→网络→管理我的无线网络,这样即可使用Windows自带的配置软件上网。
15、配置路由器时,发现有的路由器一定要两台电脑,用其中一台进行配置才可以,如果只接一台电脑就无法配置,而有的路由器却不要这样,请问这是为什么?
答:一般情况,路由器允许任何一台电脑对其进行设置。除非基于安全考虑,客户在路由器上设置了指定某个IP地址的电脑才能访问路由器,这时才会出现其它电脑无法配置的情况。解决办法是把路由器复位。
16、我寝室的两台电脑通过一个路由器共享网络连接,昨天都还好好的,两台电脑都能上网,今天一早发现上不了网,具体表现为:两台电脑ping路由器不通,不能登入192.168.0.1路由设置界面(两台机子都在这个网段中),两台电脑能互相ping通,路由器wan口指示灯闪烁,复位路由器后还是不行。还有电脑不能自动获取正确IP,自动获取的是那种受限制或无连接的。
答:这种情况是电脑和路由器建立不了连接导致的,解决办法如下:1.单独用一台电脑和路由器连接,看能否获取IP地址。2.观察路由器的sys灯是否正常闪烁,正常闪烁表示路由器运行没有问题。3.注意复位应在路由器通电情况下进行,按住路由器的Reset小孔6秒以上,注意检查一下电脑的IP地址是不是自动获取的,如果能获取应该就可以进入。
17、我现在经常使用无线网卡上网,但是网速很慢,而且经常叫我修护IP地址?是怎么回事呀!
答:以上情况一般手动设置一个固定的IP地址就可以解决问题。注意要设置好网关(网关为路由器的IP地址)和当地的DNS(在路由器设置页面的运行状态中有)后才能正常上网。
18、我的ADSL猫带有路由功能,拨号上网时,我们的几台机子通过交换机都可以开机直接上网。但是网速非常不稳定,而且流量稍微大一点就导致断线。当我利用电脑拨号上网(放弃猫上的路由功能,用一台机器做主机),其他机子利用我的网络共享上网时则网速十分正常,不存在掉线和大流量下的断线问题,这是什么原因呢?
答:单机拨号上网正常,证明不是线路问题。可能是你使用的ADSL猫的带机能力不
足造成的。一般情况ADSL猫的路由功能,对电脑比较少的情况(三台以内)使用正常。但如果电脑比较多(超过三台),就不推荐使用ADSL猫的路由功能,推荐购买一台路由器,这样稳定性更好。
19、我用的是Windows XP的操作系统,在局域网中共享了我的文件夹,现在我只想要一部分人能看到我共享的文件,并且通过密码访问,请问我在哪里可以设置密码?
答:右击“我的电脑”→“管理”,选择“本地用户和组”→“用户”,再右击“Guest”,选择“设置密码”,然后设置网络密码即可。这样别人必须要知道你的密码才能访问你的电脑。
20、在局域网内,游戏连网时要用到Windows中的IPX/SPX协议,但现在我的Windows
XP系统好像没有这个协议,该怎样添加呢?
答:右击“网上邻居”→“属性”,再右击“本地连接”→“属性”;接着,单击“安装”按钮,选择“协议”组件,单击“添加”按钮;在打开的窗口中选择“NWLink
IPX/SPX/NetBIOS Compatible Transport Protocol”,最后,单击“确定”按钮即可进行安装。
21、我们宿舍用无限局域网连接外网,有时打开迅雷后无线局域网自动掉线,外网也连不上了。本来路由器应该有掉线自动重连功能的,却没有自动连,请问怎么解决?是不是路由器里面连接数设得太低了,我的默认是100。
答:1.就算连接数设置成100,也不会影响到Wan口掉,不过连接数一般推荐设置为150。2.请将路由器去掉,试试单机下载迅雷,看是否会出现掉线情况。如果会,说明是宽带的线路问题。3.考虑将路由器的固件升级到最新。4.考虑使用迅雷自带的限速功能。
22、我的宿舍是7个人共用一个8口交换机,一根网线(外网)从楼梯口的路由器连到我们宿舍,然后我们宿舍用7根网线(内网)连到宿舍的交换机上,这样我们才能拨号上网。我们想联机玩CS,可是根本无法联机,无法组成一个局域网。请问我们想组成一个局域网,该怎么办呢?我们的IP是193.168.11.2~193.168.11.254,网关是193.168.11.1,子网掩码是255.255.255.0。我们的DNS服务器是202.103.224.68。
答:1.想玩CS的电脑,先不要拨号上网。先把局域网弄通,也就是让大家的电脑能够互相访问。2.在本地连接属性里,添加“IPX/SPX协议”,即可玩局域网CS。也有另外一个办法,就是大家都上浩方对战平台,选择同一个房间也可以联网玩CS。
23、我的电脑接入我们单位的局域网之后,为什么不能通过网络邻居看见其他计算机呢?别人都可以看到我的机器。
答:1.检查同事电脑的防火墙是否关闭?2.检查局域网中电脑上的工作组是否和其它PC的一致。3.检查同事电脑上的Guest用户是否开启(右击我的电脑→管理→计算机管理→本地用户和组→用户,那里有个Guest,双击之去掉“账户已停用”前面的钩)。4.检查同事电脑是否设置了“拒绝从网络上访问这台计算机”(要删除“拒绝从网络上访问这台计算机”项中的Guest账户,依次点击→开始→运行→→本地计算机策略→计算机配置→windows设置→安全设置→本地策略→用户权利指派→拒绝从网络上访问这台计算机。如果其中有Guest,则将Guest删除即可)。5.检查同事电脑上是否设置了文件共享。同事的电脑设置了文件共享你才能看到并访问它们。
24、我们单位的局域网将所有有关证券的信息给屏蔽了,我想问怎么才能绕过屏蔽,上证券交易网或看到证券信息呢?
答:如果是局域网所有证券信息都给屏蔽了,就不大好处理了,不过还可以用代理服务器实现。
25、公司原有一个ADSL拨号方式上网的网络,现在公司扩大,又加了一个ADSL拨号方式上网的网络,请问能不能让一个局域网通过两个路由器上网?最好是能控制其中几台单独上一个网。
答:可以通过两个路由器共享上网,需要注意将路由器的DHCP关闭,路由器的LAN口IP地址设置为不一样的,PC的网关指向不同的路由器LAN口IP地址即可。推荐使用腾达的TEI480T+双WAN口路由器,这样不但可以实现带宽叠加,而且可以控制其中几台电脑单独上一个网。
关于局域网中不能互访的话题历来都是网管非常关心的,最近网友提出类似问题的也相当多,主要是Windows98不能访问WindowsXP,或Windows2000、WindowsXP不能访问WindowsXP,下面就针对这些互访故障的解决方法做一综述。
问题一:如何使用硬件排除法?
用ping命令结合看网卡灯的方法可以验证是硬件还是软件方面的原因。
先检查网卡灯,如果一个也不亮的话则是网卡有问题。如果只是网卡的信号灯不亮,点击“开始→运行”并输入“ping 对方IP-t”(实际输入不带引号),如果提示中连续出现了四次“Request time out”(请求暂停//超时),说明物理线路不通或网络太忙造成了阻塞。可用测线仪进一步检查网线及网头,一个一个排除故障。
问题二:缺少协议怎么办?
局域网互访必需的协议:TCP/IP(必要时IPX/SPX、Novell网络和某些网络游戏要设定该协议)、NetBIOS。
S协议
WindowsXP中默认是不支持NetBIOS协议的,而现在不少小型网均采用的是该协议。添加方法如下:
(1)复制Windows XP安装光盘ValueaddMSFTNetnetbeui目录下的文件到系统的system32Drivers目录中;
(2) 复制 到系统的lnf目录,然后像通常添加协议那样操作就可以了(在网上邻居有相应添加协议的选项,在光驱中放入Windows安装盘直接添加也可以)。
I协议
该通讯协议是Windows95/98时代的产物,WindowsXP中已经没有了这类协议(但NetBEUI相关文件仍放在WindowsXP光盘中),有些局域网必须有 NetBEUI才能存取网络中的某些或全部计算机资料,所以需要动手安装NetBEUI。方法如下:
放入 WindowsXP安装光盘,到“ValueaddMsftNetNetbeui”目录下将 复制到C:WindowsINF中;将复制到C:WindowsSystem32Drivers 中;依次点击“开始→控制面板→网上邻居”,选择“网络连接”,在“局域网连接”上按右键,选择好内容;在“常规”这一项中,依次点击“安装→通讯协议→添加”,此时即可看到“NetBEUI Protocol”,选取NetBEUI之后,按确定即可。
问题三:设置错误如何处理?
确定所有计算机的IP都在同一网段,确定所有计算机都在同一工作组(或域),更改工作组之前,如果你的计算机已经是域的成员,则应该让管理员将你从域中分离并停用你计算机的账户。想修改工作组你必须以管理员身份登录才行。
另外,确定防火墙没有设太高的级别,否则有可能关掉必要的通信端口,建议关掉再试一下。
问题四:安装服务吗?
要想达到共享的目的,安装“Microsoft网络文件和打印服务”必不可少。步骤如下:依次进入“控制面板→本地连接→属性→安装”,在“选择网络组件类型”对话框中单击“服务→添加”,在“选择网络服务”对话框中,单击要安装的服务即可。
问题五:要分清域网络吗?
局域网包括带域和不带域的两种,对于域网络,还应在“网络”属性的“主网络登录”中,选中“Microsoft网络用户”保证域名填写正确。
问题六:账户不对怎么办?
如与外网相连,则推荐不启用Guest账户,如果只是局域网内使用,可以直接启用,这样访问起来比较方便,但也有不少注意事项。
1.开启Guest用户
密码可以不设,这样可以只输入账号Guest,即可登录(互访)。但需要保证以下策略的开启。
点击“开始→运行”并输入“”,打开组策略。依次点击“计算机配置→Windows设置→安全设置→本地策略→安全选项”,找到“账户:使用空白密码的本地用户只允许进行控制台登录”。当启用时,就不能在远程用空密码访问,禁用它就可以了。
2.解禁Guest
(1)打开组策略,依次点击“计算机配置→Windows设置→安全设置→本地策略→用户权利指派”,在“拒绝从网络访问这台计算机”项上双击,看有无Guest,如有请删除。
(2)仍在上述组策略中,在“从网络访问此计算机”项上双击,看有无Guest,如无,请添加。
(3)仍在组策略中,依次点击“计算机配置→Windows设置→安全设置→安全选项”,双击“网络访问:本地账号的共享和安全模式”,将默认设置“仅来宾→本地用户以来宾身份验证”,更改为“经典→本地用户以自己的身份验证”。
另外,如果只能看到WindowsXP电脑的文件目录,却不能进入文件夹。这是因为WindowsXP默认的是文件的简单共享方式,可进行修改:在“资源管理器”中,单击“工具→文件夹选项”,在“查看”选项卡中,将“高级设置”中的“使用简单文件共享(推荐)”前面的钩去掉即可。
一. 局域网内的邻居
网络的基本作用是实现资源共享,而作为最小网络分布结构的局域网(Local Area Network,LAN)更是把这个概念淋漓尽致的发展起来,那么,局域网内的共享是怎么实现的呢?
1. 局域网实现原理
在了解共享之前,我们需要对局域网的概念有个了解,局域网并
不同于外界通讯使用的TCP/IP协议体系,它是一种建立在传统以太网(Ethernet)结构上的网络分布,除了使用TCP/IP协议,它还涉及许多协议。
在局域网里,计算机要查找彼此并不是通过IP进行的,而是通过网卡MAC地址,它是一组在生产时就固化的唯一标识号,根据协议规范,当一台计算机要查找另一台计算机时,它必须把目标计算机的IP通过ARP协议(地址解析协议)在物理网络中广播出去,“广播”是一种让任意一台计算机都能收到数据的数据发送方式,计算机收到数据后就会判断这条信息是不是发给自己的,如果是,就会返回应答,在这里,它会返回自身地址。当源计算机收到有效的回应时,它就得知了目标计算机的MAC地址并把结果保存在系统的地址缓冲池里,下次传输数据时就不需要再次发送广播了,这个地址缓冲池会定时刷新重建,以免造成数据冗余现象。实际上,共享协议规定局域网内的每台启用了文件及打印机共享服务的计算机在启动的时候必须主动向所处网段广播自己的IP和对应的MAC地址,然后由某台计算机(通常是局域网内某个工作组里第一台启动的计算机)承担接收并保存这些数据的角色,这台计算机就被称为“浏览主控服务器”,它是工作组里极为重要的计算机,负责维护本工作组中的浏览列表及指定其他工作组的主控服务器列表,为本工作组的其他计算机和其他来访本工作组的计算机提供浏览服务,它的标识是含有_MSBROWSE_名字段。这就是我们能在网络邻居看到其他计算机的来由,它实际上是一个浏览列表,用户可以使用“nbtstat -r”来查看在浏览主控服务器上声明了自己的NetBIOS名称列表。浏览列表记录了整个局域网内开启的计算机的资源描述,当我们要访问另一台计算机的共享资源时,系统实际上是通过发送广播查询浏览主控服务器,然后由浏览主控服务器提供的浏览列表来“发现”目标计算机的共享资源的。
但是仅知道彼此的地址还不够,计算机之间必须建立一条连接的数据链路才能正常工作,这就需要另一个基本协议来进行了。NetBIOS(网络基本输入输出系统)协议是IBM开发的用于给局域网提供网络以及其他特殊功能的命令集,几乎每个局域网都必须在这种协议上面进行工作,NetBIOS相当于Intranet上的TCP/IP协议。而后推出的NetBEUI协议(NetBIOS用户扩展接口协议)则是对前者进行了功能扩充,这几个协议都是组成局域网的基本必备,最后,为了建立连接,局域网还需要TCP/IP协议。
2. Windows下的局域网共享
Windows系统对于局域网内机算机的身份和权限验证是在一个被称为“IPC”(命名管道)的组件技术上实现的,它实质上是Windows为了方便管理员从远方登录管理计算机而设置的,在局域网里它也负责文件的共享和传输,所以它是Windows局域网不可缺的基础组件。
默认情况下,局域网之间的共享服务通过来宾帐户“Guest”的身份进行,这个帐户在Windows系统里权限最少,为方便阻止来访者越权访问提供了基础,同时它也是资源共享能正常进行的最小要求,任何一台要提供局域网共享服务的计算机都必须开放来宾帐户,命令是“net user guest /active:yes”。除了使用IPC作为身份验证,系统还使用SMB(Server Message Block)协议用来做文件共享,这个协议与共享存在很大联系,稍后我们将会讲到。
二. 局域网共享的实现
虽然我们可以把局域网定义为“一定数量的计算机通过互连设备连
接构成的网络”,但是仅仅使用网卡让计算机构成一个物理连接的网络还不能实现真正意义的局域网,它还需要进行一定的协议设置,才能实现资源共享。
首先,同一个局域网内的计算机IP地址应该是分布在相同网段里的,虽然以太网最终的地址形式为网卡MAC地址,但是提供给用户层次的始终是相对好记忆
的IP地址形式,而且系统交互接口和网络工具都通过IP来寻找计算机,因此为计算机配置一个符合要求的IP是必须的,这是计算机查找彼此的基础,除非你是在DHCP环境里,因为这个环境的IP地址是通过服务器自动分配的
其次,要为局域网内的机器添加“交流语言”——局域网协议,包括最基本的NetBIOS协议和NetBEUI协议,然后还要确认“Microsoft 网络的文件和打印机共享”已经安装并为选中状态,然后,还要确保系统安装了“Microsoft 网络客户端”,而且仅仅有这个客户端,否则很容易导致各种奇怪的网络故障发生。
然后,用户必须为计算机指定至少一个共享资源,如某个目录、磁盘或打印机等,完成了这些工作,计算机才能正常实现局域网资源共享的功能。
最后,计算机必须开启139、445这两个端口的其中一个,它们被用作NetBIOS会话连接,而且是SMB协议依赖的端口,如果这两个端口被阻止,对方计算机访问共享的请求就无法回应。
但是并非所有用户都能很顺利的享受到局域网资源共享带来的便利,由于操作系统环境配置、协议文件受损、某些软件修改等因素,时常会令局域网共享出现各种各样的问题,如果你是网络管理员,就必须学习如何分析排除大部分常见的局域网共享故障了。
三. 局域网共享故障的分析与排除
IPC、Server服务与共享故障
临近毕业了,学生小王找了一家平面设计公司作为实习单位,这天办公室有同事急匆匆找网络部索要杀毒软件,但不凑巧管理员外出未归,小王为人比较热心,虽然自己不是学网络专业的,可是想想也略懂皮毛,就自告奋勇去帮忙了,幸好只是个小病毒,他轻易就解决了,在同事的夸奖下,小王心血来潮顺便给她做了
系统优化。
可是才过十几分钟,那个同事又出来找网络部了,她说自己的机器被小王摆弄后无法打开别人计算机的共享了,这下,小王第一次明白了什么叫好心的后果„„
我在前面说起Windows的局域网共享时,提到了IPC(Internet Process
Connection),IPC是NT以上的系统为了让进程间通信而开放的命名管道,可以通过验证用户名和密码获得相应的权限,在远程管理计算机和查看计算机的共享资源时使用,微软把它用于局域网功能的实现,如果它被关闭,计算机就会出现“无法访问网络邻居”的故障。 在Windows NT以后的系统里,IPC是依赖于Server服务运行的,一些习惯了单机环境的用户可能会关闭这个服务,这样的后果就是系统将无法提供与局域网有关的操作,用户无法查看别人的计算机,也无法为自己发布任何共享。
要确认IPC和Server服务是否正常,可以在命令提示符里输入命令net share,如果Server服务未开启,系统会提示“没有启动 Server 服务。是否可以启动?
(Y/N) [Y]:”,回车即可以启动Server服务。如果Server服务已开启,系统会列出当前的所有共享资源列表,其中至少要有名为“IPC$”的共享,否则用户依然无法正常使用共享资源
除了Server服务以外,还有两个服务会对共享造成影响,分别是“Computer Browser”和“TCP/IP NetBIOS Helper Service”,前者用于保存和交换局域网内计算机的NetBIOS名称和共享资源列表,当一个程序需要访问另一台计算机的共享资源时,它会从这个列表里查询目标计算机,一旦该服务被禁止,IPC就认定当前没有可供访问的共享资源,用户自然就没法访问其他计算机的共享资源了;后者主要用于在TCP/IP上传输的NetBIOS协议(NetBT)和NetBIOS名称解析工作,NetBT协议为跨网段实现NetBIOS命令传输提供了载体,正因如此,早期的黑客入侵教材里“关于139端口的远程入侵”才能实现,因为NetBIOS协议被TCP封装起来通过Internet传输到对方机器里处理了,同样对方也是用相同途径实现数据传输的,否则黑客们
根本无法跨网段使用网络资源映射指令“net use”。对于本地局域网来说,NetBT是SMB协议依赖的传输媒体,也是相当重要的。
如果这两个服务异常终止,局域网内的共享可能就无法正常使用,这时候我们可以通过执行程序“”打开服务管理器,在里面查找“Computer
Browser”和“TCP/IP NetBIOS Helper Service”服务并点击“启动”即可。
系统安全策略与共享故障
熟悉Windows系统的用户或多或少都会接触到“组策略”(),这里实际上是提供了一个比手工修改注册表更直观的操作方法来设置系统的一些功能和用户权限,但是这里的设置失误也会影响到局域网共享资源的使用。
由于IPC本身就是用于身份验证的,因此它对计算机账户的配置特别敏感,而组策略里偏偏就有很多方面的设置是针对计算机账户的,其中影响最大的要数“计算机配置 – Windows配置 – 安全设置 – 本地策略 – 用户权利指派”里的“拒绝从网络访问这台计算机”,在Windows 2000系统里默认是不做任何限制的,可是自从XP出现后,这个部分就默认多了两个帐户,一个是用于远程协助(也就是被简化过的终端服务)身份登录的3389用户名,另一个则是我们局域网共享的基本成员guest!
许多使用XP系统的用户无法正常开启共享资源的访问权限,正是这个项目的限制,解决方法也很容易,只要从列表里移除“Guest”帐户就可以了。
除了与帐户相关的策略,这里还有几个与NetBIOS和IPC相关的组策略设置,它们是位于“计算机配置 – Windows配置 – 安全设置 – 本地策略 – 安全选项”里的“对匿名连接的额外限制”(默认为“无”),对于XP以上的系统,这里还有“不允许SAM账户和共享的匿名枚举”(默认为“已停用”)、“本地账户的共享和安全模式”(默认为“仅来宾”),其中“对匿名连接的额外限制”的设置是可以直接扼杀共享功能的,当它被设置为“不允许枚举”时,其他计算机就无法获取共享资源列表,如果它被设置为“没有显式匿名权限就无法访问”的话,这台计算机就与共享功能彻底告别了,所以有时候实在找不出故障,不妨检查一下该项目。
权限与共享的冲突
如今的局域网普遍建立在Windows 2000以上的系统架构上运行,而且IPC的作用本来就是为了提供身份验证,因而共享始终离不开权限的影子,何况如果系统不会把文件共享的访问身份设置为最小权限的来宾帐户的话,别有用心的访问者就能轻易夺取管理员级别了。但是也正因为这样,一些时候权限反而会成为阻挠共享顺利进行的罪魁祸首。
防火墙与共享的矛盾
现在基本上已经没有一台计算机是不曾安装网络防火墙和病毒防火墙的了,可是用户在众多的墙里享受安全特性的时候,偶尔也会发现局域网共享莫名其妙的失败了,如果用户留意到防火墙正在闪烁的报警状态,也许会发现日志上记录着“计算机 试图访问本机139 – NetBIOS端口,该操作已被拦截”,这是为什么?因为防火墙把NetBIOS的通讯给拦截掉了,别忘记NetBIOS可是局域网通讯的基础。防火墙此举是为了阻止前面提到的利用NetBT进行的“139入侵”模式攻击,虽然防火墙规则里可能写着“允许局域网资源共享”,但是可能这条规则没被选中,或者防火墙没能认出这是一个局域网。
知道了缘由,解决起来也就容易多了,对于有原配规则设置的防火墙,只要勾上“允许局域网资源共享”,就能让NetBIOS协议正常通讯了,如果没有,就自己建立一个规则:协议方向为“入”,协议选择“TCP”,端口范围134—139,标志位“SYN”,满足时的规则为“通行”即可。一些XP系统内置的Windows防火墙ICF往往会掐了自家共享的脖子,如果是这样,就把它关掉,因为ICF始终比不过专门的防火墙,更别指望靠它抵挡一切入侵了。
特殊的共享故障
在一小部分机器里,网络共享是艰难的,它们怎么做也看不到对方的计算机和资源列表,但是使用一些局域网管理工具如LANExplorer、LANetAdmin等却能看到一切,对于这种计算机,只能通过直接输入资源名称或把对方共享资源通过net use命令给映射过来作为虚拟盘符才能工作,对于这种机器,它实际上并没有故障,只是对方通过某种手段阻止了计算机向浏览主控服务器通报自己的共享
资源,让整个局域网里的浏览列表缺少对着台计算机的描述,也就无法在网络邻居里发现它了。
另一种情况是大家都能看到网络邻居里的计算机,但某台计算机的网络邻居里却是空的,而且它也无法通过输入UNC地址(即前面提到的共享资源,它是用“计算机资源”的格式表达的)来访问到对方计算机,用户会收到一个错误提示“找不到网络路径”,这种就是真正的故障了,一般是因为计算机没有正常获得浏览列表所导致,某种原因让它无法获得浏览主控服务器返回的数据,我们可以先尝试使用“nbtstat -R”清空本机的浏览列表缓存试试看,或者运行“net
stop browser && net stop LmHosts && net stop Server && net start Server
&& net start LmHosts && net start browser”命令集来重新启动几个与文件共享相关的服务,不过建议已经成为浏览主控服务器身份的计算机不要轻易执行这个命令,因为它可能会让你丧失在该工作组里的主控身份,因为当一个网络里的浏览主控服务器停止运行时,同一工作组里的某台计算机会变为浏览主控服务器,这个过程被称为“浏览主控服务器重选”,目的是为了保持工作组共享资源的正常访问,但是如果不幸这个浏览列表被安排在一台故障机器上,整个工作组可能就无法正常进行共享访问了。如果经历这些步骤还是无法查看网络邻居,可以试试看修改“TCP/IP协议属性-高级-WINS”里的“启用TCP/IP上的NetBIOS”,最后可以尝试删除“Microsoft 网络的文件和打印机共享”和“Microsoft 网络客户端”再重新添加一次。
四. 共享与安全
也许,只要是有开放互连的地方,就会有无法逃脱安全问题的难堪,共享更是不例外,许多用户根本不知道,默认情况下系统就已经为你开了一个庞大的后门供人来品尝,而这个后门的官方名称就是“默认共享”——系统会自动为用户开放以每个盘符进行命名的隐藏共享“盘符$”,虽然网络邻居里看不出来,但是有经验的用户都知道那是什么一回事了,只需使用“IP盘符$”的格式便完成了资源的访问操作。而另一个被称为“默认管理共享”(ADMIN$)的共享,更是提供了一系列强大的网络指令,甚至包括关机命令。你也许会说,这不正符合微软的构思“远程管理”吗?话虽如此,但是对于一个只有来宾帐户身份标识的共享来说,它能判断出谁是主人吗?
因此,稍有经验的用户对这两个共享都是深恶痛绝的,幸好系统提供了永久关闭它的方法:运行regedit开启注册表编辑器,找到“HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServiceslanmanserverparameters”分支,添加名为“AutoShareServer”和“AutoSharewks”的DWORD类型值,均设为0,重启计算机就会发现仅仅剩下一个维持共享功能的IPC$了。
除了这里,共享还为我们带来了“计划任务”的潜在危害,即通过IPC$,入侵者可以设定机器在一个固定的时间里执行某种操作,这实际上是通过“计划任务”实现的,而“计划任务”的实体为“Task Scheduler”服务项,赶快进里禁止掉它。
知识点:权限的由来
对计算机来说,系统执行的代码可能会对它造成危害,因此处理器产生了Ring的概念,把“裸露在外”的一部分用于人机交互的操作界面限制起来,避免它一时头脑发热发出有害指令;而对于操作界面部分而言,用户的每一步操作仍然有可能伤害到它自己和底层系统——尽管它自身已经被禁止执行许多有害代码,但是一些不能禁止的功能却依然在对这层安全体系作出威胁,例如格式化操作、删除修改文件等,这些操作在计算机看来,只是“不严重”的磁盘文件处理功能,然而它忽略了一点,操作系统自身就是驻留在磁盘介质上的文件!因此,为了保护自己,操作系统需要在Ring 3笼子限制的操作界面基础上,再产生一个专门用来限制用户的栅栏,这就是现在我们要讨论的权限,它是为限制用户而存在的,而且限制对每个用户并不是一样的。
细心的用户如果点击了共享资源属性里的“权限”界面,可能会发现系统已经自动给这里添加了“Everyone”权限,这是个特殊权限,它的存在是为了让用户能访问被标记为“公有”的文件,这也是一些程序正常运行需要的访问权限,任何人都能正常访问被赋予“Everyone”权限的文件,包括来宾组成员。
但是有时候这个理论会因某种原因而产生混乱,进而导致来宾组成员丧失了访问权限,这时候,用户只能手工为它添加一个“guest”的访问权限了。在一些系统上,甚至要添加“Users”或“Administrators”权限才能实现文件共享,但是对于这种权限指派已经严重混乱的系统,我建议还是重新安装一个算了。
对于Windows XP系统,它默认是仅仅给共享显示一个简单的界面而已,如果你要自定义更多东西,就必须进入“控制面板”的“文件夹选项”里,取消“使用简单文件共享”的勾,而且这里还涉及到NTFS分区“安全”页设置的显示。
随着Windows XP的逐步推进以及安全概念的推广,越来越多用户开始使用NTFS格式作为自己的硬盘分区,这样就在IPC的用户身份验证模式上又增加了一种权限限制:NTFS权限。
什么是NTFS
NTFS(New Technology File System)是一个特别为网络和磁盘配额、文件加密等管理安全特性设计的磁盘格式,只有使用NT技术的系统对它直接提供支持,也就是说,如果系统崩溃了,用户将无法使用外面流行的普通光盘启动工具修复系统,因此,是使用传统的FAT32还是NTFS,一直是个倍受争议的话题,但如果用户要使用完全的系统权限功能,或者要安装作为服务器使用,建议最好还是使用NTFS分区格式。
与FAT32分区相比,NTFS分区多了一个“安全”特性,在里面,用户可以进一步设置相关的文件访问权限,而且前面提到的相关用户组指派的文件权限也只有在NTFS格式分区上才能体现出来。
一些刚接触NTFS分区的用户经常会发现,自己机器的共享和来宾帐户都开
了,但是别人无论怎么访问都提示“权限不足”,即使给共享权限里添加了来宾帐户甚至管理员帐户也无效,这是为什么?归根究底还是因为在NTFS这部分被拦截了,用户必须理清一个概念,那就是如果你对某个共享目录的访问权限做了什么设置,例如添加删除访问成员,其相应的NTFS权限成员也要做出相应的修改,即共享权限成员和NTFS权限成员必须一致或者为“Everyone”成员,在XP/2003系统里出于安全因素,文件夹时常会缺少Everyone权限,因此,即使你的共享权限里设置了Everyone或Guest,它仍然会被NTFS权限因素阻止访问;如果NTFS权限成员里有共享权限成员的存在,那么访问的权限就在共享权限里匹配,例如一个目录的共享权限里打开了Everyone只读访问权限,那么即使在NTFS权限里设置了Everyone的完全控制权限,通过共享途径访问的用户依然只有“只读”的权限,但是如果在NTFS权限成员或共享权限成员里缺少Everyone的话,这个目录就无法被访问了。因此要获得正常的访问权限,除了做好共享目录的权限设置工作以外,还在共享目录上单击右键---属性----安全,在里面添加Guest和Everyone权限并设置相应的访问规则(完全控制、可修改、可读取等),如果没有其他故障因素,你就会发现共享正常开启访问了。
发布评论