Teaker's Blog

　　无线上网三种常见方案

　　目前无线上网的实现方式有很多种，而且这些方式各有不同的特点，用户可以根据自己的实际需要和条件进行选择，当前包括中国移动和中国联通两大移动运营商均推出了相应的无线上网服务，通过一张小小的网卡，无论身处何方，你仍然可以通过网络和世界连在一起。

　　手机+电脑

　　这种方式接入互联网，是利用手机内置的MODEM调制解调器，通过数据传输线、红外线等方式将手机同笔记本电脑连接起来。

　　据了解，用户只要购买了支持无线上网功能的手机(带有USB或红外线接口)，通过将配套的数据线与电脑连接，就可以使用。这种方式既可以适用于笔记本电脑，也可以使用于台式电脑，同时手机打电话时也不需要将手机卡重复插入和取出。除了使用手机和数据线外，使用手机的红外线接入也可以上网。

　　无线上网卡+电脑

　　这种方式，需要购买额外的一种卡式设备(PC卡)，将其直接插在笔记本或者台式电脑的PCMCIA槽或USB接口，实现无线上网。

　　当前，无线上网卡有几种类型，一是机卡一体，上网卡的号码已经固化在PC卡上，直接插入笔记本电脑的PCMCIA插槽内，就可以使用；第二是记卡分离，记录上网卡号码的“手机卡”就可以和卡体分离，把两者插在一起，在插入PCMCIA插槽内就可以上网；第三是USB无线猫(MODEM)，即通过USB连接插入台式或笔记本电脑的USB接口内上网，而手机卡也可以插入到无线猫中。

　　无线局域网WLAN

　　无线局域网WLAN是另一种方便的上网方式，目前中国电信、中国移动和中国网通等运营商均在机场酒店、会议中心和展览馆等商旅人士经常出入的场所，铺设了无线局域网，用户只需要使用内置了WLAN网卡的电脑或者PDA，在WLAN覆盖的地方(俗称“热点”)，就可以上网。

　　使用步骤

　　两运营商无线上网各有特色

　　目前，中国移动和中国联通两大运营商均提供了无线上网卡业务，他们提供的上网业务各有特点。下面我们就详细解释一下如何用无线上网卡接入互联网的。

　　中国移动随E卡

　　特点：提供GPRS和WLAN两种方式，可以无缝切换，非常方便，具体搭配方式有3种。

　　1.随E行SIM卡+单模GPRS网卡+电脑或PDA

　　●单模网卡上有SIM卡插槽，在激活SIM卡后，将其插入单模网卡；

　　●在电脑商安装客户端软件(购买网卡时已配备)；

　　●安装完毕后，将单模网卡插入电脑，电脑将自动启动驱动程序，驱程安装完成后重启电脑；

　　●启动客户端软件，并设置无线网卡配置，将GPRS连接设为“缺省”，设置接入点名称为“cmnet”，配置用户名和密码为空；

　　●进入短信界面可以发送短信，进入GPRS界面可以连接网络，启动互联网浏览器。

　　2.随E行SIM卡+单模WLAN网卡+电脑或PDA

　　●将网卡插入电脑，启动驱动程序(如属迅驰笔记本，则内置了WLAN功能，无需安装网卡)；

　　●进入WLAN覆盖地点，电脑右下角会提示发现WLAN网络；

　　●关闭加密功能(网络不支持)并在SSID设置中设为CMCC，确保使用的是移动的网络(因为可能有多家运营商提供WLAN)；

　　●启动浏览器，例如IE。在登陆界面输入手机号码和密码(只需将SIM卡插入手机中，发送“sqwlan”到1866，就收到返回的密码)。

　　3.随E行SIM卡+双模GPRS网卡+电脑或PDA

　　●在电脑上安装“随E行客户端软件”(下载网址在www.monternet.com)；

　　●双模网卡插入电脑，电脑将自动启动驱动程序，驱程安装完成后重启电脑；

　　●在客户端点击“连接设置”，选择认证参数(SIM认证还是WEB认证，可以都选)；

　　●自动连接，软件先尝试用WLAN的SIM认证上网，失败后再尝试WEB认证方式上网，最后尝试GPRS上网；

　　●启动浏览器。可以上网或发送短信。

　　中国联通掌中宽带

　　特点：传输速率高，最高可以达到153.6 kbps，比较快捷。

　　●购买终端产品PCMIA无线MODEM卡或者USB外置无线MODEM；

　　●到联通营业厅或者代理点申请开通CDMA 1X上网业务；

　　●将无线上网卡插入电脑，并安装驱动程序；

　　●安装拨号程序或者拨号网络添加连接；

　　●设置拨号参数，号码为#777，用户名/密码设置为“card”；

　　●点击连接图标，进行拨号连接。连接成功后，就可以打开IE等浏览器，进入要浏览的网站；

　　●双向收发短信。点击短信图标，就可以分别进入手机短信的写、读、发界面，输入接受方的手机号码及发送方(即本机)手机号，再用文本框编写短信内容。短信发送等级有3种，分别是NORMAL(普通)、URGENT(加急)和EMERGENCY(紧急)。

　　精明提示

　　无线上网卡还可发短信

　　据了解，无线上网所采用的几种方式，除了正常的接入互联网功能之外，还可以收发短信。

　　1.接入互联网：只要有移动运营商或局域网信号覆盖的地方，用无线上网就可以浏览网页、传输和下载数据、发送电子邮件等等。

　　2.采用无线上网卡上网：在采用中国移动SIM卡或者中国联通的UTK卡上网时，带有收发短信息功能的，例如用笔记本电脑或PDA可以发送短信给亲朋。

　　但是，除了上述短信功能之外，用于无线上网的SIM卡或者UTK卡，暂时尚未开通语音通话、下载SP(例如网站)短信、多媒体短信等其它功能。也就是说，如果把无线上网卡直接插入GPRS或CDMA手机中，只能发送短信或者把手机作为了一个MODEM，以连接笔记本电脑上网，但因为手机需要充电等原因，这样使用不大方便。

　　另一方面，无线上网也可以进行国内漫游，而且在国内漫游时无需支付漫游费，也就是说在外地使用和在本地使用资费是一样的。但是国际漫游目前无法实现。

　　计费方式

　　一般按包月限流量收费

　　要使得自己的电脑上网挣脱缰绳，是需要付出成本的。

　　首先，购置相应设备的费用，主要是GPRS或者CDMA的无线上网卡，两种网卡均有多个厂家的品牌可供选择，市面上的价格大多数在1000元～3000元不等的水平。而SIM卡或UTK卡也需要支付一定费用，但费用不高，一般相当于购买了一张手机卡一样，只需要大致按照所含的话费付钱就可以了。

　　其次，无线上网的服务费，主要是因为使用了中国移动或者中国联通的网络，而需要向运营商支付的通信费。方式有多种，包括按照流量、包月等，两大运营商目前有不同套餐可以供用户选择。

　　中国移动

　　无线上网业务资费，主要分成GPRS无线上网费和点对点短信息费两部分。

　　随E行的无线上网费，基本月费是200元/月，优惠期内是150元/月，包含500M/月的GPRS通信流量和10小时/月的WLAN通信时长。超出部分，按照0.01元/kb收取GPRS通信费或按照0.2元/kb收取WLAN通信费。

　　点对点短信息费和手机一样，也就是说发送移动的手机则是0.1元/条，发送到联通手机则是0.15元/条。

　　值得注意的是，停机期间需要收取占号费10元/月，除非你完全取消服务，如果在2个月内不重新开机，则随E行号码会自动失效。

　　中国联通

　　目前联通的掌中宽带资费，分成了三个档次的包月套餐，其中包括50元包100M流量、200元包500M和300元包2000M流量的三种促销套餐。

　　另外，联通目前还推出了半年卡和包年卡，前者1500元使用半年，每月包2000M流量；而后者2400元使用一年，每月2000M流量。上述这些包月限流量的套餐，超出流量限额后的资费，则按照0.005元/kb收取。根据目前联通的促销政策，在每天的23：00至次7：00，按照实际发生流量的50%收费。

1.在基于ios的交换机上设置主机名/系统名:
switch(config)# hostname hostname
在基于cli的交换机上设置主机名/系统名:
switch(enable) set system name name-string

2.在基于ios的交换机上设置登录口令:
switch(config)# enable password level 1 password

在基于cli的交换机上设置登录口令:
switch(enable) set password
switch(enable) set enalbepass

3.在基于ios的交换机上设置远程访问:
switch(config)# interface vlan 1
switch(config-if)# ip address ip-address netmask
switch(config-if)# ip default-gateway ip-address
在基于cli的交换机上设置远程访问:
switch(enable) set interface sc0 ip-address netmask broadcast-address
switch(enable) set interface sc0 vlan
switch(enable) set ip route default gateway

4.在基于ios的交换机上启用和浏览cdp信息:
switch(config-if)# cdp enable
switch(config-if)# no cdp enable
为了查看cisco邻接设备的cdp通告信息:
switch# show cdp interface [type modle/port]
switch# show cdp neighbors [type module/port] [detail]
在基于cli的交换机上启用和浏览cdp信息:
switch(enable) set cdp {enable|disable} module/port
为了查看cisco邻接设备的cdp通告信息:
switch(enable) show cdp neighbors[module/port] [vlan|duplex|capabilities|detail]

5.基于ios的交换机的端口描述:
switch(config-if)# des cription des cription-string
基于cli的交换机的端口描述:
switch(enable)set port name module/number des cription-string

6.在基于ios的交换机上设置端口速度:
switch(config-if)# speed{10|100|auto}
在基于cli的交换机上设置端口速度:
switch(enable) set port speed moudle/number {10|100|auto}
switch(enable) set port speed moudle/number {4|16|auto}

7.在基于ios的交换机上设置以太网的链路模式:
switch(config-if)# duplex {auto|full|half}
在基于cli的交换机上设置以太网的链路模式:
switch(enable) set port duplex module/number {full|half}

8.在基于ios的交换机上配置静态vlan:
switch# vlan database
switch(vlan)# vlan vlan-num name vla
switch(vlan)# exit
switch# configure teriminal
switch(config)# interface interface module/number
switch(config-if)# switchport mode access
switch(config-if)# switchport access vlan vlan-num
switch(config-if)# end
在基于cli的交换机上配置静态vlan:
switch(enable) set vlan vlan-num [name name]
switch(enable) set vlan vlan-num mod-num/port-list

9. 在基于ios的交换机上配置vlan中继线:
switch(config)# interface interface mod/port
switch(config-if)# switchport mode trunk
switch(config-if)# switchport trunk encapsulation {isl|dotlq}
switch(config-if)# switchport trunk allowed vlan remove vlan-list
switch(config-if)# switchport trunk allowed vlan add vlan-list
在基于cli的交换机上配置vlan中继线:
switch(enable) set trunk module/port [on|off|desirable|auto|nonegotiate]
vlan-range [isl|dotlq|dotl0|lane|negotiate]

10.在基于ios的交换机上配置vtp管理域:
switch# vlan database
switch(vlan)# vtp domain domain-name
在基于cli的交换机上配置vtp管理域:
switch(enable) set vtp [domain domain-name]

11.在基于ios的交换机上配置vtp 模式:
switch# vlan database
switch(vlan)# vtp domain domain-name
switch(vlan)# vtp {sever|cilent|transparent}
switch(vlan)# vtp password password
在基于cli的交换机上配置vtp 模式:
switch(enable) set vtp [domain domain-name] [mode{ sever|cilent|transparent }][password password]

12. 在基于ios的交换机上配置vtp版本:
switch# vlan database
switch(vlan)# vtp v2-mode
在基于cli的交换机上配置vtp版本:
switch(enable) set vtp v2 enable

13. 在基于ios的交换机上启动vtp剪裁:
switch# vlan database
switch(vlan)# vtp pruning
在基于cl i 的交换机上启动vtp剪裁:
switch(enable) set vtp pruning enable

14.在基于ios的交换机上配置以太信道:
switch(config-if)# port group group-number [distribution {source|destination}]
在基于cli的交换机上配置以太信道:
switch(enable) set port channel moudle/port-range mode{on|off|desirable|auto}

15.在基于ios的交换机上调整根路径成本:
switch(config-if)# spanning-tree [vlan vlan-list] cost cost
在基于cli的交换机上调整根路径成本:
switch(enable) set spantree portcost moudle/port cost
switch(enable) set spantree portvlancost moudle/port [cost cost][vlan-list]

16.在基于ios的交换机上调整端口id:
switch(config-if)# spanning-tree[vlan vlan-list]port-priority port-priority
在基于cli的交换机上调整端口id:
switch(enable) set spantree portpri {mldule/port}priority
switch(enable) set spantree portvlanpri {module/port}priority [vlans]

17. 在基于ios的交换机上修改stp时钟:
switch(config)# spanning-tree [vlan vlan-list] hello-time seconds
switch(config)# spanning-tree [vlan vlan-list] forward-time seconds
switch(config)# spanning-tree [vlan vlan-list] max-age seconds
在基于cli的交换机上修改stp时钟:
switch(enable) set spantree hello interval[vlan]
switch(enable) set spantree fwddelay delay [vlan]
switch(enable) set spantree maxage agingtiame[vlan]

18. 在基于ios的交换机端口上启用或禁用port fast 特征:
switch(config-if)#spanning-tree portfast
在基于cli的交换机端口上启用或禁用port fast 特征:
switch(enable) set spantree portfast {module/port}{enable|disable}

19. 在基于ios的交换机端口上启用或禁用uplinkfast 特征:
switch(config)# spanning-tree uplinkfast [max-update-rate pkts-per-second]
在基于cli的交换机端口上启用或禁用uplinkfast 特征:
switch(enable) set spantree uplinkfast {enable|disable}[rate update-rate] [all-protocols off|on]

20. 为了将交换机配置成一个集群的命令交换机,首先要给管理接口分配一个ip地址,然后使用下列命令: switch(config)# cluster enable cluster-name

21. 为了从一条中继链路上删除vlan,可使用下列命令:
switch(enable) clear trunk module/port vlan-range

22. 用show vtp domain 显示管理域的vtp参数.

23. 用show vtp statistics显示管理域的vtp参数.

24. 在catalyst交换机上定义trbrf的命令如下:
switch(enable) set vlan vlan-name [name name] type trbrf bridge bridge-num[stp {ieee|ibm}]

25. 在catalyst交换机上定义trcrf的命令如下:
switch (enable) set vlan vlan-num [name name] type trcrf
{ring hex-ring-num|decring decimal-ring-num} parent vlan-num

26. 在创建好trbrf vlan之后,就可以给它分配交换机端口.对于以太网交换,可以采用如下命令给vlan分配端口:
switch(enable) set vlan vlan-num mod-num/port-num

27. 命令show spantree显示一个交换机端口的stp状态.

28. 配置一个elan的les和bus,可以使用下列命令:
atm (config)# interface atm number.subint multioint
atm(config-subif)# lane serber-bus ethernet elan-name

29. 配置lecs:
atm(config)# lane database database-name
atm(lane-config-databade)# name elan1-name server-atm-address les1-nsap-address
atm(lane-config-databade)# name elan2-name server-atm-address les2-nsap-address
atm(lane-config-databade)# name …

30. 创建完数据库后,必须在主接口上启动lecs.命令如下:
atm(config)# interface atm number
atm(config-if)# lane config database database-name
atm(config-if)# lane config auto-config-atm-address

31. 将每个lec配置到一个不同的atm子接口上.命令如下:
atm(config)# interface atm number.subint multipoint
atm(config)# lane client ethernet vlan-num elan-num

32. 用show lane server 显示les的状态.

33. 用show lane bus显示bus的状态.

34. 用show lane database显示lecs数据库可内容.

35. 用show lane client显示lec的状态.

36. 用show module显示已安装的模块列表.

37. 用物理接口建立与vlan的连接:
router# configure terminal
router(config)# interface media module/port
router(config-if)# des cription des cription-string
router(config-if)# ip address ip-addr subnet-mask
router(config-if)# no shutdown

38. 用中继链路来建立与vlan的连接:
router(config)# interface module/port.subinterface
router(config-ig)# encapsulation[isl|dotlq] vlan-number
router(config-if)# ip address ip-address subnet-mask

39. 用lane 来建立与vlan的连接:
router(config)# interface atm module/port
router(config-if)# no ip address
router(config-if)# atm pvc 1 0 5 qsaal
router(config-if)# atm pvc 2 0 16 ilni
router(config-if)# interface atm module/port.subinterface multipoint
router(config-if)# ip address ip-address subnet-mask
router(config-if)# lane client ethernet elan-num
router(config-if)# interface atm module/port.subinterface multipoint
router(config-if)# ip address ip-address subnet-name
router(config-if)# lane client ethernet elan-name
router(config-if)# …

40. 为了在路由处理器上进行动态路由配置,可以用下列ios命令来进行:
router(config)# ip routing
router(config)# router ip-routing-protocol
router(config-router)# network ip-network-number
router(config-router)# network ip-network-number

41. 配置默认路由:
switch(enable) set ip route default gateway

42. 为一个路由处理器分配vlanid,可在接口模式下使用下列命令:
router(config)# interface interface number
router(config-if)# mls rp vlan-id vlan-id-num

43. 在路由处理器启用mlsp:
router(config)# mls rp ip

44. 为了把一个外置的路由处理器接口和交换机安置在同一个vtp域中:
router(config)# interface interface number
router(config-if)# mls rp vtp-domain domain-name

45. 查看指定的vtp域的信息:
router# show mls rp vtp-domain vtp domain name

46. 要确定rsm或路由器上的管理接口,可以在接口模式下输入下列命令:
router(config-if)#mls rp management-interface

47. 要检验mls-rp的配置情况：
router# show mls rp

48. 检验特定接口上的mls配置：
router# show mls rp interface interface number

49. 为了在mls-se上设置流掩码而又不想在任一个路由处理器接口上设置访问列表：
set mls flow [destination|destination-source|full]

50. 为使mls和输入访问列表可以兼容，可以在全局模式下使用下列命令：
router(config)# mls rp ip input-acl

51. 当某个交换机的第3层交换失效时，可在交换机的特权模式下输入下列命令：
switch(enable) set mls enable

52. 若想改变老化时间的值，可在特权模式下输入以下命令：
switch(enable) set mls agingtime agingtime

53. 设置快速老化：
switch(enable) set mls agingtime fast fastagingtime pkt_threshold

54. 确定那些mls-rp和mls-se参与了mls，可先显示交换机引用列表中的内容再确定：
switch(enable) show mls include

55. 显示mls高速缓存记录：
switch(enable) show mls entry

56. 用命令show in arp显示arp高速缓存区的内容。

57. 要把路由器配置为hsrp备份组的成员，可以在接口配置模式下使用下面的命令：
router(config-if)# standby group-number ip ip-address

58. 为了使一个路由器重新恢复转发路由器的角色，在接口配置模式下：
router(config-if)# standy group-number preempt

59. 访问时间和保持时间参数是可配置的：
router(config-if)# standy group-number timers hellotime holdtime

60. 配置hsrp跟踪：
router(config-if)# standy group-number track type-number interface-priority

61. 要显示hsrp路由器的状态：
router# show standby type-number group brief

62. 用命令show ip igmp确定当选的查询器。

63. 启动ip组播路由选择：
router(config)# ip muticast-routing

64. 启动接口上的pim：
dalllasr1>(config-if)# ip pim {dense-mode|sparse-mode|sparse-dense-mode}

65. 启动稀疏-稠密模式下的pim：
router# ip multicast-routing
router# interface type number
router# ip pim sparse-dense-mode

66. 核实pim的配置：
dallasr1># show ip pim interface[type number] [count]

67. 显示pim邻居：
dallasr1># show ip neighbor type number

68. 为了配置rp的地址，命令如下：
dallasr1># ip pim rp-address ip-address [group-access-list-number][override]

69. 选择一个默认的rp：
dallasr1># ip pim rp-address
通告rp和它所服务的组范围：
dallasr1># ip pim send-rp-announce type number scope ttl group-list access-list-number
为管理范围组通告rp的地址：
dallasr1># ip pim send-rp-announce ethernet0 scope 16 group-list1
dallasr1># access-list 1 permit 266.0.0.0 0.255.255.255
设定一个rp映像代理：
dallasr1># ip pim send-rp-discovery scope ttl
核实组到rp的映像：
dallasr1># show ip pim rp mapping
dallasr1># show ip pim rp [group-name|group-address] [mapping]

70. 在路由器接口上用命令ip multicast ttl-threshold ttl-value设定ttl阀值：
dallasr1>(config-if)# ip multicast ttl-threshold ttl-value

71. 用show ip pim neighbor显示pim邻居表。

72. 显示组播通信路由表中的各条记录：
dallasr1>show ip mroute [group-name|group-address][scoure][summary][count][active kbps]

73. 要记录一个路由器接受和发送的全部ip组播包：
dallasr1> #debug ip mpacket [detail] [access-list][group]

74. 要在cisco路由器上配置cgmp：
dallasr1>(config-if)# ip cgmp

75.配置一个组播路由器，使之加入某一个特定的组播组：
dallasr1>(config-if)# ip igmp join-group group-address

76. 关闭 cgmp：
dallasr1>(config-if)# no ip cgmp

77. 启动交换机上的cgmp：
dallasr1>(enable) set cgmp enable

78. 核实catalyst交换机上cgmp的配置情况：
catalystla1>(enable) show config
set prompt catalystla1>
set interface sc0 192.168.1.1 255.255.255.0
set cgmp enable

79. cgmp离开的设置：
dallas_sw(enable) set cgmp leave

80. 在cisco设备上修改控制端口密码：
r1(config)# line console 0
r1(config-line)# login
r1(config-line)# password lisbon
r1(config)# enable password lilbao
r1(config)# login local
r1(config)# username student password cisco

81. 在cisco设备上设置控制台及vty端口的会话超时：
r1(config)# line console 0
r1(config-line)# exec-timeout 5 10
r1(config)# line vty 0 4
r1(config-line)# exec-timeout 5 2

82. 在cisco设备上设定特权级：
r1(config)# privilege configure level 3 username
r1(config)# privilege configure level 3 copy run start
r1(config)# privilege configure level 3 ping
r1(config)# privilege configure level 3 show run
r1(config)# enable secret level 3 cisco

83. 使用命令privilege 可定义在该特权级下使用的命令：
router(config)# privilege mode level level command

84. 设定用户特权级：
router(config)# enable secret level 3 dallas
router(config)# enable secret san-fran
router(config)# username student password cisco

85. 标志设置与显示：
r1(config)# banner motd ‘unauthorized access will be prosecuted!’

86. 设置vty访问：
r1(config)# access-list 1 permit 192.168.2.5
r1(config)# line vty 0 4
r1(config)# access-class 1 in

87. 配置http访问：
router3(config)# access-list 1 permit 192.168.10.7
router3(config)# ip http sever
router3(config)# ip http access-class 1
router3(config)# ip http authentication local
router3(config)# username student password cisco

88. 要启用http访问，请键入以下命令：
switch(config)# ip http sever

89. 在基于set命令的交换机上用setcl1启动和核实端口安全：
switch(enable) set port security mod_num/port_num…enable mac address
switch(enable) show port mod_num/port_num
在基于ciscoios命令的交换机上启动和核实端口安全：
switch(config-if)# port secure [mac-mac-count maximum-mac-count]
switch# show mac-address-table security [type module/port]

90. 用命令access-list在标准通信量过滤表中创建一条记录：
router(config)# access-list access-list-number {permit|deny} source-address [source-address]

91. 用命令access-list在扩展通信量过滤表中创建一条记录：
router(config)# access-list access-list-number {permit|deny{protocol|protocol-keyword}}{source source-wildcard|any}{destination destination-wildcard|any}[protocol-specific options][log]

92. 对于带内路由更新，配置路由更新的最基本的命令格式是：
r1(config-router)#distribute-list access-list-number|name in [type number]

93. 对于带外路由更新，配置路由更新的最基本的命令格式是：
r1(config-router)#distribute-list access-list-number|name out [interface-name] routing-process| autonomous-system-number

94. set snmp命令选项：
set snmp community {read-only|ready-write|read-write-all}[community_string]

95. set snmp trap 命令格式如下：
set snmp trap {enable|disable}
[all|moudle|classis|bridge|repeater| auth|vtp|ippermit|vmps|config|entity|stpx]
set snmp trap rvcr_addr rcvr_community

96. 启用snmp chassis 陷阱:
console>(enable) set snmp trap enable chassis

97. 启用所有snmp chassis 陷阱:
console>(enable) set snmp trap enable

98. 禁用snmp chassis 陷阱:
console>(enable) set snmp trap disable chassis

99. 给snmp陷阱接收表加一条记录：
console>(enable) set snmp trap 192.122.173.42 public

100. show snmp 输出结果。

101. 命令set snmp rmon enable 的输出结果。

102. 显示span信息：
consile> show span

    在虚拟网络世界中，现实生活中所有的阴险和卑鄙都表现得一览无余，在信息时代里，几乎每个人都面临着安全威胁，都有必要对网络安全有所了解，并能够处理一些安全方面的问题，那些平时不注意安全的人，往往在付出惨重的代价时才会后悔不已。下面笔者就介绍几个保护局域网中的共享资源的安全防范技巧，希望能够给大家带来帮助。

　　大家在Windows局域网中，有时为了能够实现某些资源的共用，往往可以对需要实现共用的资源建立一个共享名称，然后需要使用该共用资源的用户通过局域网中的网上邻居功能，来实现对共用资源的访问。虽然共享能给我们带来操作上的方便，但不可否认它也给我们带来了安全方面的威胁。有些不法用户可以利用共享功能，来任意删除、更改或者破坏局域网中其他计算机上的资源。为了保护共享资源的安全，我们可以在Window的共享级系统设置共享密码；同时还可以将共享文件夹的访问类型设置为“只读”或“完全”，以此来保证其安全性。例如，为了安全的共享一个包含重要信息的文件夹，你可以对文件夹设置密码保护、设置访问权限并只把密码告诉特定的用户。

　　即使我们给共享资源设置了访问密码，但是局域网中的每一个用户仍然能够在“网上邻居”中看到这个共享资源，在黑客横行的今天，这些访问密码在那些高级黑客面前简直是形同虚设，因此我们千万不要认为设置密码就很安全了。

　　那么我们该采取什么方法才能确保相对安全呢？用过NT的用户可能会知道，NT会默认地给C盘建立一个形如"C$"的共享名称，但在网上邻居中我们并不能看到C文件夹，这就说明了“$”符号可以隐藏共享文件夹；所以在这里，我们同样可以使用这样的方法，在给需要共用的资源设置共享名称时，只需要在共享名后附加一个美元标志（$）。设置完共享名称后，再打开“网上邻居”时就会发现被设置的共享资源现在找不到了，这时即使你黑客本领再大，也无法对这个共享资源进行破坏了。

　　使用$来设置共享名称为保证共享资源的安全又添加了一道有力的屏障，而且该共享资源的任何访问限制或密码仍然有效。下面，笔者就以实际的例子来说明这个技巧的应用情况假设，笔者在某个局域网中的A计算机中需要设置一个共享文件夹，而且要求设置的共享文件夹不能让其他用户看到，只允许指定用户B来访问。要实现上面的操作目的，我们就可以按照如下步骤来执行：

　　1、首先A在计算机中找到需要共享的资源文件夹，例如我们假设把E盘中的famen文件夹资源共享给B使用。

　　2、接着在famen文件夹上，用鼠标右键单击一下，从随后弹出的右键菜单中选择“共享”命令，程序将打开一个设置对话框。

　　3、在该设置对话框中有两个标签，其中“常规”标签可以帮助我们详细了解共享文件夹的各方面的参数信息，例如文件夹大小、位置、创建时间以及文件属性等；在“共享”标签下，我们可以用鼠标单击“共享为”选项前面的单选框，并在“共享名”文本框中输入一个以“$”结尾的名称，例如输入famen$。

　　4、接着我们在“访问类型”设置项中，根据自己的需要设置共享的级别，系统共提供3种访问类型，分别为只读、完全以及根据密码访问，在这里我们选择“根据密码访问”选项。

　　5、一旦选择了“根据密码访问”选项后，“完全访问密码”文本框将被激活，最后在对应的文本框中输入访问密码，最后点击“确定”按钮退出共享对话框。显示共享名为Secret$、共享方式为根据密码完全访问的文件夹。

　　设置好了共享的文件夹以后，我们在B计算机中打开网上邻居窗口，并在该窗口中找到A计算机，并用鼠标双击A计算机的图标，但在其后的窗口中我们发现A计算机中并没有famen$这个共享文件夹，那么我们该如何才能访问它呢？下面是其具体的访问步骤：

　　1、要访问一个共享文件夹，通常情况下只需简单的在“网上邻居”列表中选择该主机系统，而后便可查找并访问该文件夹。我们首先在B计算机的桌面上，用鼠标双击“网上邻居”图标，打开网上邻居窗口，找到A计算机图标。由于famen$被隐藏了起来，因此我们无法在共享目录列表中直接找到famen$。2、为了能够访问这个隐藏起来的共享文件夹，我们必须利用“映像网络驱动器”功能才能实现。但在Win9X系统默认设置中，“映像网络驱动器”功能并没有出现在工具栏中，我们必须通过设置才能把它显示在工具栏中。我们只要在菜单栏中依次选择“视图/文件夹选项”，出现“文件夹选项”对话框后，用鼠标点击“视图”标签，并选择“在工具条中显示映像网络驱动器按钮”的复选框，而后点击“确定”就可以了。

　　3、下面我们就可以直接用鼠标单击工具栏中的“映像网络驱动器”命令按钮，系统将打开一个标题为“映像网络驱动器”的设置对话框，在对话框的“路径”文本框中以UNC格式输入网络路径和共享名，添加了路径和共享名为“\Afamen$”。

　　4、最后，我们再用鼠标单击一下“确定”按钮便可以完成此连接。如果我们设置了访问密码，我们还会看到一个“输入网络密码”的对话框。输入密码后，Windows将连接到秘密共享的文件夹了。

　　既然我们已经知道了如何建立和访问秘密的共享文件夹，那么对于打印机我们能不能建立秘密共享呢？建立好之后我们又该如何去访问呢？它的访问方法是不是也是与普通文件夹一样呢？好了，我们还是把这些疑问一一实践一下吧，到了最后你一定会知道答案的。

    假定我们在A计算机设置了秘密共享打印机的系统名为“hp”，并且该系统装备了一台HP LaserJet 打印机，然后在B计算机中利用网上邻居去访问A计算机中的打印机，但要求局域网中的其他用户不能使用打印机，下面请看其具体的操作过程：

　　1、首先在A计算机的桌面中，用鼠标依次打开“我的电脑”/“打印机” 文件夹。

　　2、接着用鼠标右键单击HP LaserJet打印机图标，从随后弹出的右键菜单中选择“共享”命令。

　　3、在弹出的“共享”对话框中选择“共享为”选项，并在“共享名”文本框中输入以“$”结尾的名称，例如在这里我们输入hp$，如果需要密码的话，还可以在“密码4、最后用鼠标单击一下“共享”对话框中的“确定”按钮，这样我们就完成了建立秘密共享文件夹的操作。如果我们为共享打印机设置了密码，单击“确定”按钮时，系统还会提示我们需要对密码进行再次确认。

　　5、下面我们回到B计算机的桌面上来，利用网上邻居来访问A计算机上的秘密共享的打印机。由于打印机不同于文件夹，所以其访问的过程也与上面的步骤不完全一样。首先我们依次打开B计算机中的“我的电脑”/“打印机”文件夹，接着用鼠标双击“添加打印机”图标来启动“添加打印机向导”。

　　6、当添加向导询问我们的计算机与该打印机的连接方式时，选择“网络打印机”选项。当“添加打印机向导”要求我们输入网络打印机路径时，我们有以下两种选择：点击“浏览”按钮在工作组中查找共享打印机，或使用访问网络资源的UNC格式输入共享打印机的网络路径。

　　7、由于我们对打印机建立了秘密共享，所以点击“浏览”按钮并扫描整个工作组，我们是看不到秘密共享的打印机的。为此，我们必须使用网络资源访问的UNC格式，并在资源名后附加“$”标志，在“网络路径或队列名”文本框中我们输入了\Ahp$，填写完毕后，点击“下一步”按钮继续安装直到结束。”文本框中为打印机设置密码。

1、错误号401.1

症状：HTTP 错误 401.1 – 未经授权：访问由于凭据无效被拒绝。
分析：
由于用户匿名访问使用的账号(默认是IUSR_机器名)被禁用，或者没有权限访问计算机，将造成用户无法访问。
解决方案：
（1）查看IIS管理器中站点安全设置的匿名帐户是否被禁用，如果是，请尝试用以下办法启用：
控制面板->管理工具->计算机管理->本地用户和组，将IUSR_机器名账号启用。如果还没有解决，请继续下一步。
（2）查看本地安全策略中，IIS管理器中站点的默认匿名访问帐号或者其所属的组是否有通过网络访问服务器的权限，如果没有尝试用以下步骤赋予权限：
开始->程序->管理工具->本地安全策略->安全策略->本地策略->用户权限分配，双击“从网络访问此计算机”，添加IIS默认用户或者其所属的组。
注意：一般自定义 IIS默认匿名访问帐号都属于组，为了安全，没有特殊需要，请遵循此规则。

2、错误号401.2

症状：HTTP 错误 401.2 – 未经授权：访问由于服务器配置被拒绝。
原因：关闭了匿名身份验证
解决方案：
运行inetmgr，打开站点属性->目录安全性->身份验证和访问控制->选中“启用匿名访问”，输入用户名，或者点击“浏览”选择合法的用户，并两次输入密码后确定。

3、错误号：401.3

症状：HTTP 错误 401.3 – 未经授权：访问由于 ACL 对所请求资源的设置被拒绝。
原因：IIS匿名用户一般属于Guests组，而我们一般把存放网站的硬盘的权限只分配给administrators组，这时候按照继承原则，网站文件夹也只有administrators组的成员才能访问，导致IIS匿名用户访问该文件的NTFS权限不足，从而导致页面无法访问。
解决方案：
给IIS匿名用户访问网站文件夹的权限，方法：进入该文件夹的安全选项，添加IIS匿名用户，并赋予相应权限，一般是读、写。

　　很多朋友在用IIS6架网站的时候遇到不少问题，而这些问题有些在过去的IIS5里面就遇到过，有些是新出来的，俺忙活了一下午，做了很多次试验，结合以前的排错经验，做出了这个总结，希望能给大家帮上忙

　　如果你的服务器是2003的，它默认只支持.net,不支持asp所以须进行以下操作：

打开iis6.0里面的本地计算机->web服务扩展
把active server pages  允许就行了

问题1：未启用父路径

症状举例：

Server.MapPath() 错误 ‘ASP 0175 : 80004005’
不允许的 Path 字符
/0709/dqyllhsub/news/OpenDatabase.asp，行 4
在 MapPath 的 Path 参数中不允许字符 ‘..’。

原因分析：

　　许多Web页面里要用到诸如../格式的语句（即回到上一层的页面，也就是父路径），而IIS6.0出于安全考虑，这一选项默认是关闭的。

解决方法：

在IIS中 属性->主目录->配置->选项中。把”启用父路径“前面打上勾。确认刷新。

问题2：ASP的Web扩展配置不当（同样适用于ASP.NET、CGI）

症状举例：

HTTP 错误 404 – 文件或目录未找到。

原因分析：

　　在IIS6.0中新增了web程序扩展这一选项，你可以在其中对ASP、ASP.NET、CGI、IDC等程序进行允许或禁止，默认情况下ASP等程序是禁止的。

解决方法：

　　在IIS中的Web服务扩展中选中Active Server Pages，点击“允许”。

问题3：身份认证配置不当

症状举例：

HTTP 错误 401.2 – 未经授权：访问由于服务器配置被拒绝。

原因分析：IIS 支持以下几种 Web 身份验证方法：

匿名身份验证

　　IIS 创建 IUSR_计算机名称 帐户（其中 计算机名称 是正在运行 IIS 的服务器的名称），用来在匿名用户请求 Web 内容时对他们进行身份验证。此帐户授予用户本地登录权限。你可以将匿名用户访问重置为使用任何有效的 Windows 帐户。

基本身份验证

　　使用基本身份验证可限制对 NTFS 格式 Web 服务器上的文件的访问。使用基本身份验证，用户必须输入凭据，而且访问是基于用户 ID 的。用户 ID 和密码都以明文形式在网络间进行发送。

Windows 集成身份验证

　　Windows 集成身份验证比基本身份验证安全，而且在用户具有 Windows 域帐户的内部网环境中能很好地发挥作用。在集成的 Windows 身份验证中，浏览器尝试使用当前用户在域登录过程中使用的凭据，如果尝试失败，就会提示该用户输入用户名和密码。如果你使用集成的 Windows 身份验证，则用户的密码将不传送到服务器。如果该用户作为域用户登录到本地计算机，则他在访问此域中的网络计算机时不必再次进行身份验证。

摘要身份验证

　　摘要身份验证克服了基本身份验证的许多缺点。在使用摘要身份验证时，密码不是以明文形式发送的。另外，你可以通过代理服务器使用摘要身份验证。摘要身份验证使用一种挑战/响应机制（集成 Windows 身份验证使用的机制），其中的密码是以加密形式发送的。

.NET Passport 身份验证

　　Microsoft .NET Passport 是一项用户身份验证服务，它允许单一签入安全性，可使用户在访问启用了 .NET Passport 的 Web 站点和服务时更加安全。启用了 .NET Passport 的站点会依靠 .NET Passport 中央服务器来对用户进行身份验证。但是，该中心服务器不会授权或拒绝特定用户访问各个启用了 .NET Passport 的站点。

解决方法：

　　根据需要配置不同的身份认证（一般为匿名身份认证，这是大多数站点使用的认证方法）。认证选项在IIS的属性->安全性->身份验证和访问控制下配置。

问题4：IP限制配置不当

症状举例：

HTTP 错误 403.6 – 禁止访问：客户端的 IP 地址被拒绝。

原因分析：

　　IIS提供了IP限制的机制，你可以通过配置来限制某些IP不能访问站点，或者限制仅仅只有某些IP可以访问站点，而如果客户端在被你阻止的IP范围内，或者不在你允许的范围内，则会出现错误提示。

解决方法：

　　进入IIS的属性->安全性->IP地址和域名限制。如果要限制某些IP地址的访问，需要选择授权访问，点添加选择不允许的IP地址。反之则可以只允许某些IP地址的访问。

问题5：IUSR账号被禁用

症状举例：

HTTP 错误 401.1 – 未经授权：访问由于凭据无效被拒绝。

原因分析：

　　由于用户匿名访问使用的账号是IUSR_机器名，因此如果此账号被禁用，将造成用户无法访问。

解决办法：

　　控制面板->管理工具->计算机管理->本地用户和组，将IUSR_机器名账号启用。

问题6：NTFS权限设置不当

症状举例：

HTTP 错误 401.3 – 未经授权：访问由于 ACL 对所请求资源的设置被拒绝。

原因分析：

　　Web客户端的用户隶属于user组，因此，如果该文件的NTFS权限不足（例如没有读权限），则会导致页面无法访问。

解决办法：

　　进入该文件夹的安全选项卡，配置user的权限，至少要给读权限。关于NTFS权限设置这里不再馈述。

问题7：IWAM账号不同步

症状举例：

HTTP 500 – 内部服务器错误

原因分析：

　　IWAM账号是安装IIS时系统自动建立的一个内置账号。IWAM账号建立后被Active Directory、IIS metabase数据库和COM+应用程序三方共同使用，账号密码被三方分别保存，并由操作系统负责这三方保存的IWAM密码的同步工作。系统对IWAM账号的密码同步工作有时会失效，导致IWAM账号所用密码不统一。

解决办法：

　　如果存在AD，选择开始->程序->管理工具->Active Directory用户和计算机。为IWAM账号设置密码。

运行c:InetpubAdminScripts>adsutil SET w3svc/WAMUserPass +密码 同步IIS metabase数据库密码
运行cscript c:inetpubadminscriptssynciwam.vbs -v 同步IWAM账号在COM+应用程序中的密码

问题8：MIME设置问题导致某些类型文件无法下载（以ISO为例）

症状举例：

HTTP 错误 404 – 文件或目录未找到。

原因分析：

　　IIS6.0取消了对某些MIME类型的支持，例如ISO，致使客户端下载出错。

解决方法：

　　在IIS中 属性->HTTP头->MIME类型->新建。在随后的对话框中，扩展名填入.ISO，MIME类型是application。

　　另外，防火墙阻止，ODBC配置错误，Web服务器性能限制，线程限制等因素也是造成IIS服务器无法访问的可能原因，这里就不再一一馈述了。

      笔者所在局域网的有500多台计算机，为了区分各类不同用户，对不同用户分配更详细的访问权限，我们采用的是设置固定IP的方法，而不是自动获取IP地址。不过在实际使用中遇到了和其他LAN管理上的相同问题。那就是经常有用户私自修改IP地址，从而造成网络冲突的问题。

　　虽然很多网络公司可以提供硬件解决的办法但价格不菲。俗话说穷人有穷人的办法，笔者经过查询资料发现了两个行知有效的方法——代理服务器IP与MAC地址绑定和交换机MAC地址与端口绑定的。将这两个办法结合起来有效的解决了非法用户上网这个问题。

　　如何查看计算机MAC地址

　　我们可以在98系统中执行winipcfg查看MAC地址，在2000及其以上操作系统中运行ipconfig /all进行查看。

 　　小提示：实际上网络管理员也可以利用Nbtstat命令来远程获得指定机器的MAC地址。在MS-DOS方式下键入命令“Nbtstat -a 远程计算机名”，即可获得指定机器的IP地址和MAC地址。不过这需要实现建立IPC连接，如果初次使用不会有任何反应。

　　这里告诉大家一个方便快捷的办法那就是在执行“Nbtstat -a 远程计算机名”前先使用一款扫描工具对整个局域网扫描，自动建立IPC连接。这样运行“Nbtstat -a 远程计算机名”就不会出现没有任何反馈信息的情况了。

　　方法一：代理服务器上IP与MAC地址的绑定

　　这要根据局域网接入互联网的方式不同而采用不同的办法。如果是采用代理服务器接入互联网，那就可以在代理服务器上使用——ARP -s IP地址 MAC地址　

　　例如：使用ARP -s 10.91.30.45 00-EO-4C-6C-08-75的命令，这样就将静态IP地址10.91.30.45与网卡地址为00-EO-4C-6C-08-75的计算机绑定在一起了，即使别人盗用了IP地址192.168.1.4，也无法通过代理服务器上网。

　　小提示：ARP的映射信息会在每次重新启动计算机后消失，所以请将所有的映射命令保存到一个批处理BAT文件中，并将这个文件设置为随系统启动而加载，从而保证代理服务器重新启动ARP映射信息也不会消失了。

　　如果是通过路由器直接接入互联网，最好通过硬件防火墙来实现IP与MAC地址的绑定。一般的硬件防火墙都具有这个功能，具体操作也非常简单。鉴于篇幅有限这里就不举例介绍了。

　　方法二：交换机的MAC地址与端口绑定

　　上面提到的方法一虽然可以在一定程度上解决非法用户网络接入的问题，但用户还是可以通过修改注册表，下载专用小工具等方法，轻松更改了本机的MAC地址，甚至于将本机的MAC地址和IP地址改得和代理服务器一模一样。非法用户又可以非法使用网络了。因此方法二应运而生。

　　将交换机的MAC地址与端口绑定后擅自改动本机网卡的MAC地址，该机器的网络访问将因其MAC地址被交换机认定为非法而无法实现，自然也就不会对局域网造成干扰了。我们以CISCO交换机讲解配置命令。

　　登录进入交换机，输入管理口令进入配置模式，敲入命令：(config)#mac_address_table permanent [MAC地址] [以太网端口号]

　　这样逐一的将每个端口与相应的计算机MAC地址进行绑定，保存退出后就彻底阻止了用户的非法修改。当然其他品牌的交换机只要是可以网管的，大多可以按照此方法进行操作。

　　总结：实际使用中笔者发现将两个方法进行结合可以最大限度的阻止非法用户的非法使用网络，效果很好。写出来希望能为各位深陷此痛苦的网络管理员排忧解难。

      未接网线却显示已启用连接

　　问:Windows XP系统正确识别了新安装的网卡，并安装了驱动程序，在没有连接网线的情况下，网络连接中的“本地连接”显示已启用，并且处于“连接状态”。在接上网线并设置了相应的参数后，进行网络访问，IE显示“无法连接”。可是，同一网络中的其他计算机都能进行正常的网络访问。请问，这是什么原因?

　　答:导致故障产生的原因与网卡有关，建议你采用下述步骤排除该故障。

　　更换网卡。把该计算机上的网卡换到其他计算机上进行测试，或者将其他连接正常的计算机的网卡换到该计算机上进行测试，看看网卡是否出现故障。

　　重装驱动程序。从网卡生产商的官方网站上下载最新版本的驱动程序，并进行安装，看看是不是因为驱动程序不兼容而造成故障产生。

　　更换PCI接口。将网卡换插至另一个使用正常的PCI插槽进行测试，以判断PCI插槽是否工作正常。

　　修改BIOS设置。升级主板BIOS或者将BIOS设置为系统默认值。

　　无线路由器无法正常工作

　　问:我使用无线路由器作为家庭网内的Internet共享设备，WAN口连接ADSL Modem，LAN口连接台式机。在配制向导中设置为ADSL PPPoE接入，并指定了账号和密码。设置完毕后，却发现无法上网。我的笔记本电脑虽然能够检测到无线信号，但也无法上网。然而，我直接连接ADSL Modem进行拨号，却能正常登录网络。

　　答:导致故障产生的原因可能是以下两个方面的问题:

　　1.局方绑定了MAC地址。宽带服务提供商为了避免用户使用宽带路由器，将计算机的MAC地址和账号绑定在了一起，只有拥有特定MAC地址的计算机才能实现Internet连接。如果属于这种情况，你可以使用无线路由器的MAC地址克隆功能，克隆可以进行ADSL拨号的计算机的网卡MAC地址。

　　2.用户名和密码设置错误。如果属于这种情况，可以检查一下无线路由器中的ADSL用户名和密码是否正确，确保设置完全正确。

　　有线网卡和无线网卡能否共存

　　问:有线网卡和无线网卡能否共存于同一台台式机?同时使用两块网卡，能否访问Internet?

　　答:有线网卡和无线网卡可以共存于同一台计算机中，彼此之间不会有什么影响。使用两块网卡分别接入局域网和电信宽带是可以的。在接入局域网的网卡的IP地址信息中不能设置默认网关，而在连接电信宽带的网卡的IP地址信息中应该设置包括默认网关在内的IP地址信息，这样一来，两个连接就可以同时使用了。

　　未设IP仍能互访

　　问:3台电脑使用交换机组成了一个局域网。网络中没有设置DHCP服务器，也没有为任何一台计算机设置IP地址。为什么它们之间还能互相访问呢?

　　答:这是因为计算机会自己分配IP地址信息，从而实现相互之间的通讯。默认状态下，计算机的IP地址信息设置为“自动获取IP地址”。当采用Windows 98/Me/2000/XP/2003系统的计算机开机后，系统会首先在网内寻找DHCP服务器，以便从DHCP服务器上获得自己的IP地址信息，并对TCP/IP协议进行配置。如果无法建立与DHCP服务器的连接，计算机会使用APIPA自动寻址方式，并自动配置TCP/IP协议。使用APIPA时，Windows系统将在169.254.0.1～169.254.255.254的范围内自动获取一个IP地址，子网掩码为255.255.0.0，并以此配置建立网络连接，直到找到DHCP服务器为止。

　　无法进行红外线通信

　　问:Windows XP系统使用红外线适配器找到红外线设备后，理应在任务栏里显示一个红外线的图标，同时桌面上也应有一个红外线通信的标志。但是，我却什么都没有看到，而且右键点击要发送的文件后，在“发送到”命令中没有出现“发送文件到另一台计算机”选项，这使我无法向其他红外线设备发送文件。

　　答:这可能是你在进行Windows XP系统优化时将一项名为“Terminal Services”的服务禁用了的缘故。只要将该服务重新启用即可解决问题。打开“管理工具”，进入“服务”，在打开的“服务”对话框的右侧列表中找到“Terminal Services”这项服务，打开它的属性窗口，将“启动类型”由原来的“已禁用”改为“手动”并启动该服务，点击“确定”按钮后重新启动计算机即可使红外线通信恢复正常。

      大部分猫都有默认的最大允许session，一旦超过这个数值，猫就会进行保护性断流。

　　ADSL猫上网时，发现物理连接提示灯还显示在登入状态，但是在电脑上却显示流量为0或者1，一段时间后，问题又自动解决了，QQ和MSN等软件又能自动登录上去。

　　这种情况通常在BT下载的时候发生，因为大部分猫都有默认的最大允许session，一旦超过这个数值，猫就会进行保护性断流。要解决这个问题，我们可以通过TELENT登录ADSL猫，运行中输入CMD，打开DOS窗口，键入telnet 192.168.1.1，输入用户名和密码后登录ADSL猫。然后键入如下命令($默认有的)：

(1)$modify nbsize maxipsess XXX；

(2)$commit；

(3)$reboot，

　　执行之后，ADSL会自动重启以完成修改，其中第一个命令中的XXX数值为最大允许session，一般设置到500即可，因为一般猫默认最大允许session都是192，下载人数增多，自然就会保护性断流。这样修改完成之后，一边上网一边下载就一点问题没有了。

      现在，多数家庭通过组建无线网络来访问因特网已经成为一个趋势。然而又有多少人知道在这个趋势的背后隐藏着许许多多的网络安全问题。原则上，无线网络比有线网络更容易受到入侵，因为被攻击端的电脑与攻击端的电脑并不需要网线设备上的连接，他只要在你无线路由器或中继器的有效范围内，就可以进入你的内部网络，访问的的资源，如果你在内部网络传输的数据并未加密的话，更有可能被人家窥探你的数据隐私。此外，无线网络就其发展的历史来讲，远不如有线网络长，其安全理论和解决方案远不够完善。所有的这些都讲导致无线网络的安全性教有线网络差。在这篇文章里，让我来告诉你如何通过一些安全措施来让你的无线网络变的更安全、更可靠。

　　1． 修改用户名和密码（不使用默认的用户名和密码）

　　一般的家庭无线网络都是通过通过一个无线路由器或中继器来访问外部网络。通常这些路由器或中继器设备制造商为了便于用户设置这些设备建立起无线网络，都提供了一个管理页面工具。这个页面工具可以用来设置该设备的网络地址以及帐号等信息。为了保证只有设备拥有者才能使用这个管理页面工具，该设备通常也设有登陆界面，只有输入正确的用户名和密码的用户才能进入管理页面。然而在设备出售时，制造商给每一个型号的设备提供的默认用户名和密码都是一样，不幸的是，很多家庭用户购买这些设备回来之后，都不会去修改设备的默认的用户名和密码。这就使得黑客们有机可乘。他们只要通过简单的扫描工具很容易就能找出这些设备的地址并尝试用默认的用户名和密码去登陆管理页面，如果成功则立即取得该路由器/交换机的控制权。

　　2． 使用加密

　　所有的无线网络都提供某些形式的加密。之前我跟大家提过，攻击端电脑只要在无线路由器/中继器的有效范围内的话，那么它很大机会访问到该无线网络，一旦它能访问该内部网络时，该网络中所有是传输的数据对他来说都是透明的。如果这些数据都没经过加密的话，黑客就可以通过一些数据包嗅探工具来抓包、分析并窥探到其中的隐私。开启你的无线网络加密，这样即使你在无线网络上传输的数据被截取了也没办法（或者是说没那么容易）被解读。目前，无线网络中已经存在好几种加密技术。通常我们选用能力最强的那种加密技术。此外要注意的是，如果你的网络中同时存在多个无线网络设备的话，这些设备的加密技术应该选取同一个。

      3． 修改默认的服务区标识符（SSID）

　　通常每个无线网络都有一个服务区标识符（SSID），无线客户端需要加入该网络的时候需要有一个相同的SSID，否则将被“拒之门外”。通常路由器/中继器设备制造商都在他们的产品中设了一个默认的相同的SSID。例如linksys设备的SSID通常是“linksys”。如果一个网络，不为其指定一个SSID或者只使用默认SSID的话，那么任何无线客户端都可以进入该网络。无疑这为黑客的入侵网络打开了方便之门。

　　4． 禁止SSID广播

　　在无线网络中，各路由设备有个很重要的功能，那就是服务区标识符广播，即SSID广播。最初，这个功能主要是为那些无线网络客户端流动量特别大的商业无线网络而设计的。开启了SSID广播的无线网络，其路由设备会自动向其有效范围内的无线网络客户端广播自己的SSID号，无线网络客户端接收到这个SSID号后，利用这个SSID号才可以使用这个网络。但是，这个功能却存在极大的安全隐患，就好象它自动地为想进入该网络的黑客打开了门户。在商业网络里，由于为了满足经常变动的无线网络接入端，必定要牺牲安全性来开启这项功能，但是作为家庭无线网络来讲，网络成员相对固定，所以没必要开启这项功能。

　　5． 设置MAC地址过滤

　　众所周知，基本上每一个网络接点设备都有一个独一无二的标识称之为物理地址或MAC地址，当然无线网络设备也不例外。所有路由器/中继器等路由设备都会跟踪所有经过他们的数据包源MAC地址。通常，许多这类设备都提供对MAC地址的操作，这样我们可以通过建立我们自己的准通过MAC地址列表，来防止非法设备（主机等）接入网络。但是值得一提的是，该方法并不是绝对的有效的，因为我们很容易修改自己电脑网卡的MAC地址，笔者就有一篇文章专门介绍如何修改MAC地址的。

　　6． 为你的网络设备分配静态IP

　　由于DHCP服务越来越容易建立，很多家庭无线网络都使用DHCP服务来为网络中的客户端动态分配IP。这导致了另外一个安全隐患，那就是接入网络的攻击端很容易就通过DHCP服务来得到一个合法的IP。然而在成员很固定的家庭网络中，我们可以通过为网络成员设备分配固定的IP地址，然后再再路由器上设定允许接入设备IP地址列表，从而可以有效地防止非法入侵，保护你的网络。

　　7． 确定位置，隐藏好你的路由器或中继器

　　大家都知道，无线网络路由器或中继器等设备，都是通过无线电波的形式传播数据，而且数据传播都有一个有效的范围。当你的设备覆盖范围，远远超出你家的范围之外的话，那么你就需要考虑一下你的网络安全性了，因为这样的话，黑客可能很容易再你家外登陆到你的家庭无线网络。此外，如果你的邻居也使用了无线网络，那么你还需要考虑一下你的路由器或中继器的覆盖范围是否会与邻居的相重叠，如果重叠的话就会引起冲突，影响你的网络传输，一旦发生这种情况，你就需要为你的路由器或中继器设置一个不同于邻居网络的频段（也称Channel）。根据你自己的家庭，选择好合适有效范围的路由器或中继器，并选择好其安放的位置，一般来讲，安置再家庭最中间的位置是最合适的。

　　问：我一直在关注打印机和扫描仪的发展，常常看到1200dpi、600dpi等等的词语，我不明白这些是什么意思？

　　答：关于打印输出的标准规则是用户必须根据特定的输出设备的能力，来进行扫描。扫描时，所使用的分辨率的计算方法为：dpi(扫描分辨率)＝lpi(印刷分辨率)×1.5。额外的50%是提供给打印机驱动程序，用于在创建半色调图时重新采样用的。(注意，由于一些家 用喷墨打印机使用一种不同的抖动原理，该公式并不适用)。我们可以发现:打印机的“dpi”和图像中的“dpi”相比，有着不同的含义(黑白图像是一个例外)。对于彩色或者灰度图像，在扫描时、我们给出下列建议：

　　对于打印分辨率为600或720dpi的打印机，可以使用分辨率为100到200dpi的图像。按照这个算法，一台3600dpi的打印机，使用600到800dpi的分辨率扫描原图像就已经足哆了。　以上的建议并不适用于黑白图像。因为在黑白图像中，使用一个比特位(bit)来表示两种颜色(黑和白)。它不包含灰度的信息、因此不需要半色调图，也不需要进行抖动。这时，我们可以认为打印机分辨率和图像分辨率是相等约。例如，对于一台打印分辨率为300dpi的打印机，我们在扫描图像时就可以采用300dpi的分辨率。通常，对于黑白图像而言，300dpi的图像分辨率就足够了。