如何设置局域网网速最大化？

几个小技巧 提高局域网内的网速

1去掉无关的选项

在WindowsXP中，双击“控制面板”中的“文件夹选项”，再单击“查看”标签，然后将鼠标指针滚动至窗口的最下方，可以看到有一个“自动搜索网络文件夹和打印机”项，默认是选中的，将它去掉。这样，当我们打印时，WindowsXP不会自作主张去寻找局域网上的打印机并安装驱动程序，以防止不经意将机密文档打到别的部门打印机上而自己却还找不到。同时，将此项去掉后，当我们通过“网上邻居”来访问局域网电脑时，它不会自动查找其上的共享文件夹，这样才会提升一些速度。

2将网卡调至全速

按下Win+Pause/Break键，单击“硬件”标签，再单击“设备管理器”从而打开“设备管理器”，双击“网络适合器”下相应网卡，在打开窗口中单击“高级”标签，选中LinkSpeed/DuplexMode(连接速度/双工模式)，再在其下选择100FullMode这样可以让网卡调至全速。当然，如果你使用的是无线网络，则将其调至最高速即可，则是笔者的无线网卡D-LinkAirPlusXtremeG+DWL-G650+WirelessCardbusAdapter#2，笔者将其DesiredBasicRateSet(基本速率)设置为Upto54Mbps

3去掉无关的协议

打开“网络连接”窗口，右击“本地连接”，选择“属性”，然后在打开窗口中将不需要的协议去掉。如果你使用Windows98，则“TCP/IP-拨号适配器”、“Microsoft友好登录”、“Microsoft虚拟专用网络适配器”、“IPX/SPX兼容协议”等都可以去掉，因为这些组件平时不怎么用到，如果选中它们的话，反而会影响工作站正常上网和浏览。

4设置空密码登录

如果电脑上没有保存敏感数据，只是放一些公共的资源，那可以设置空密码登录。这样用户就不需要提供密码就能够直接进入，可以省却告诉别人密码的时间，也更加方便。

按下Win+R，输入gpeditmsc，打开“组策略编辑器”，找到“计算机配置”→“Windows设置”→“安全设置”→“本地策略”→“安全选项”，再双击右侧窗口中的“帐户:使用空白密码的本地帐户只允许进行控制台登录”，在打开窗口中将其设置为“已禁用”。

接下来，在此机器上打开“资源管理器”，再选择“工具”→“文件夹选项”，单击“查看”标签，然后取消“去除简单文件共享(推荐)”前的小钩。

5自动登录局域网

如果你每天都需要访问某个共享文件夹，不需要按部就班地双击“网上邻居”，然后找到服务器，双击后输入用户名和密码再访问。比如，你要访问一个名为server的电脑，用户名为user，密码是8888则只要写一个bat文件，在其中输入如下语句:netuseserverIPC$"8888"/user:"user"，接着把该bat文件拖放到“开始→程序→启动”组中，这样一开机，系统就会以user为用户名，8888为密码登录server电脑，这样你在任何地方访问它上面的共享文件夹则无需再输入用户名和密码了。

如果你使用WindowsXP，则可以在第一次打开共享电脑时，输入用户名和密码后，选中“记住我的密码”复选项，下次访问时将不会再向我们索取密码。

6取消防火墙

如果你启用了WindowsXP中防火墙，且共享了驱动器，那有可能别人无法在“网络邻居”中浏览共享驱动器，这时可以右击“本地连接”，选择“属性”，再单击“高级”标签，单击“配置”按钮，在打开的窗口中选中“关闭(不推荐)”项即可。因为我们的局域网电脑本身就接在路由器上，可以考虑在上面设置防火墙。这样局域网内的机器不会受到外界的攻击，但是局域网内的机器访问也会快一些。

7多系统相互快速访问

如果你发现Windows2000机器访问98机器特别慢，可以在2000机器上按下Win+R，输入“regedt32”，在“注册表编辑器”中找到[HKEY_LOCAL_MACHINESoftwareMicrosoftWindowsCurrentVersionExplorerRemoteComputerNameSpace]，在该分支下找到并删除掉键，以后双击98同事的机器将会很快。

8快速备份/更新数据

如果你经常需要将数据备份到局域网内的某文件服务器上，是不是再在本地硬盘上选中文件，然后切换到文件服务器上粘贴这样就太麻烦了。事实上，我们只要知道文件服务器的名字(如file_bck)，并知道其用户名(如user)和密码(如123456)，则可以现在我们只要运行一个批处理文件就可以了，此批处理文件内容如下:

setsource=d:work

setdest=file_bckbackup

netusefile_bckIPC$"1234"/user:"user"

xcopy%source%%dest%/e/v/r/y/z

将其保存为batchcopybat，以后只要双击此bat文件将会将d:work所有文件备份到file_bckbackup下。

9快速映射盘符

打开共享机器的根文件夹，如homepc，再选中相应的文件夹，右击，选择“映射网络驱动器”命令，即可立即把该文件夹映射成盘符。如果直接选择“工具→映射网络驱动器”则需要我们选择映射路径。

10取消不用的网络驱动器

如果你映射了网络驱动器，日后不再使用了，请务必打开“资源管理器”，再单击“工具”→“断开网络驱动器”命令，然后在如图13所示的窗口中取消相应的驱动器即可。否则每次开机时就会自动映射此盘，也会占用较多的系统资源，从而让局域网访问速度变慢。

11考虑快捷方式访问共享文件夹

如果你经常要访问某个用户的共享文件夹，如homepcwritingsoft，那可以在“资源管理器”中打开homepcwritingsoft，然后用鼠标拖动地址栏中的文件夹图标到桌面上，等光标变为链接状时松开。以后，要访问此文件夹，只要直接双击桌面的快捷方式即可，无需从“网上邻居”中逐层进入。

12直接键入电脑名称

在“资源管理器”的地址栏中直接输入你想连接到的共享文件夹所在的计算机或者该共享文件夹的网络路径可以快速访问。如输入comp(其中comp就是计算机名称)，就进入名称为comp的这台计算机，可以查看它的共享文件夹或文件。输入compshare，则会进入comp计算机的share共享文件夹中。

13直接IP访问

如果你将某个共享电脑的网卡IP固定下来，则可以在“运行”窗口中直接输入电脑IP来访问此电脑，无需从“网上邻居”一层一层地打开。

14在TotalCommander下快速访问

在TotalCommander中打开某共享文件夹后，双击其窗格，会弹出窗口，选择“添加当前文件夹”可以将其添加到文件夹列表中。如果以后要访问，只要双击窗格，再选择相应的项目即可快速到达。

15动态/静态IP两相宜

如果在公司使用DHCP，而在家使用固定IP，那重复地修改网卡IP地址是一件很令人头疼的事情。如果你安装WindowsXP，则可以让网卡同时拥有动态/静态IP:双击“控制面板”中的“网络连接”图标，再右击相应的网卡，如“无线网络连接”，选择“属性”命令，再在打开窗口中选中“Internet协议(TCP/IP)”项，单击下方的“属性”按钮。并在再次打开的窗口中选中“自动获得IP地址”和“自动获得DNS服务器地址”项。再单击“备用配置”标签，然后在打开窗口中选中“用户配置”项，再在其中输入固定IP地址、子网掩码、默认网关、首选DNS服务器地址，如1921680188、2552552550、1921680。这样，当我们的电脑发现有DHCP存在，就会从DHCP服务器上获得IP地址。否则就会使用我们设置的固定IP、子网掩码、默认网关、首选DNS服务器地址等，如上为1921680188等，非常方便。

16取消缓存设置

在电脑上右击某文件夹，选择“共享和安全”时，单击窗口下方的“缓存”按钮，再在打开的窗口取消“允许在这个共享文件夹中缓存文件”项。这样当我们的共享文件夹下的文件非常多时，别人访问此共享文件夹加速会明显。如果不这样设置，可能很长时间无法打开此文件夹下的文件，而且有可能会让系统死机。

17可以考虑千兆网卡和64位电脑

千兆网卡和64位的电脑，并安装64位Windows，据权威机构测试，它的局域网速度访问速度有明显的提升。

18将无线AP/路由器放在屋子的中间

无线AP/路由器是无线网的中心，因此请一定要把它放屋子的中间，这样保证家里的所有网卡能够更好地连接上它。有不少人因为小区宽带只接到门口到客厅，就将无线AP/路由器接在那些位置，这样做，你的无线信号会损失很多，自然网速提不上去。

19打开无线的54Mbps模式

有的无线AP/路由器为了与更多的网卡“兼容”，并没有打开它的G模式，此时要登录到AP/路由器，将其“无线模式”设置为Gmode(G模式)，将“传输(TX)率”设置为54Mbps，激活8X模式，并将“天线传输功率”设置到最高。

我们最好不要使用WindowsXP的无线管理，而是安装网卡自带的程序，这样设置时，会有更多的选项，显示的是网卡自带程序的设置项，里面就有相应的8X模式，并可以强制为54Mbps方式，这些功能WindowsXP中通用无线管理驱动都不具有。

要注意的是，强制为54Mbps后，在一些PCMCIA插槽的无线网卡上可能会出现连不上无线AP/路由器的现象，这时只有将AP/路由器改回mixedmode(混合模式)。

20更换信道

在无线AP/路由器中，我们可以更改信道。对于80211g来说，有11个信道可用，但是完全不干扰的只有1、5、11三个，也就是说同一个区域使用三个以上的80211g无线网络就会相互干扰，信道之间的重叠会使数据链接速率下降。因此，不管我们的邻居有没有安装80211g无线网络，还是将其更换为以上三个信道中的一个，可能也会给网络的速度和稳定带来一些帮助。

21无线/有线混用

现在购买的无线AP/路由器上一般都会有4个有线网线的接口，你把数据访问量大的机器通过有线网卡和网线将它接在无线AP/路由器的有线接口上，同时将有线网的IP地址记住。这样，你在别的房间里在用无线网卡的机器上按下Win+R，输入有线网卡的IP地址来访问电脑时速度将会快出很多!无线网卡与有线网卡之间传输起来速率非常慢!

把各种部件连成一台完整的超级电脑的方法如下：

1首先要确定硬件部件和所需要的资源

需要一个头节点（head node），至少一打的计算节点（compute node），一台以太网交换机，一个电源分配单元（power distribution unit）和一个服务器机架。计算一下电力消耗，冷却需求和占地需求。同样，你需要确定你的私有网络的IP地址段，节点的命名，预计使用的软件包以及搭建 服务集群所用的技术（后面会有更多解释）。

2建立计算节点

需要自己组装计算节点，或者你也可以使用预配置的服务器。

●选择一款能够最大化空间、冷却和能源消耗效率的机架式服务器；

●或者，可以使用一打左右闲置的过时服务器——它们集合在一起工作的性能要比它们独立运行时的总和还多，而且还能省你一大笔钱！整个系统的处理器、网络适配器、主板应该是同一型号的，这样才能达到最佳运行效能。当然了，还要给每个节点配内存和硬盘，并且至少给头节点配一台光驱。

3将服务器装在机架上

安装的时候从下面开始，这样可以避免机架头重脚轻。你可能会需要朋友的帮助才能完成这件事——这么多的服务器将非常的重，把它们放到机架的滑轨上会非常困难。

4在机架顶端安装以太网交换机

现在来配置交换机：允许9000字节的大的帧，将IP地址设置为你在第一步里面确定的静态地址，关闭例如SMTP嗅探这样不必要的路由协议。

5安装能源分配单元

根据目前你的节点的最大需求，可能220V就能满足你的高性能计算需求了。

6 一切都安装妥当之后，就可以开始配置环节了

Linux是高性能计算集群（HPC Cluster）操作系统的事实标准，这不仅因为Linux是科学计算的理想环境，也是由于在数以百计甚至千计的节点上安装的时候，Linux不会产生任何花费。设想一下，在如此多的节点上安装Windows会花掉你多少钱呢？

●从更新主板BIOS的固件开始，将所有节点的BIOS固件都更新至最新的版本；

●在每个节点上都安装好你喜欢的Linux发行版，头节点需要安装队图形界面的支持。比较流行的选择，包括CentOS、OpenSuse、Scientific Linux、RedHat以及SLES；

●使用Rocks Cluster Distribution来搭建计算集群。除了它已经安装好计算集群需要使用的所有工具外，Rock还提供了一种通过PXE和RedHat的“Kick Start”来进行批量部署的方案。

7 安装消息传送界面、资源管理器以及其他必须的库

如果上一步里你没有选择Rock做为你的节点的操作系统，那么现在你需要手动设置并行计算机制所必需的软件。

●首先，你需要一个便携的bash管理系统，例如Torque Resource Manager，这些软件允许你划分以及分配计算任务；

●如果安装了Torque Resource Manager，那么你还需要Maui Cluster Scheduler来完成设置；

●其次，需要安装消息传送界面（message passing interface），用来在不同的计算节点的进程之间共享数据。

最后，不要忘了用多线程的数学库及编译器来编写计算任务。

8将所有的计算节点接入网络

头节点负责将任务分配到计算节点，计算节点再把结果返回回来，节点间的消息传递也是如此，所以当然是越快越好了。

●使用私有网络将集群中的所有节点互联起来；

●头节点其实还充当局域网里的NFS、PXE、DHCP以及NTP服务器；

●将该网络从公网中分离出来，这样可以保证该网络中的广播报文不会影响到其他的网络；

9对集群进行测试

在你把你强大的Top500计算集群交付给客户之前，你还要测试一下它的性能。HPL（High Performance Lynpack）评测软件包是测试集群的计算速度的常见选择。你需要从源代码编译它，编译的时候根据你选择的架构，打开所有可能的优化选项。

服务器的网络配置基本上是按照电脑买专业的服务器进行搭配，这个服务器只需要有电脑就可以直接搭配当前的服务器了，至于网络方面，你可以选择中国联通，中国移动，中国电信当中的任何一家网线即可。

四核英特尔™ 至强™ 7300 系列处理器

四核英特尔 至强 7300 系列处理器为服务器整合提供领先的可扩充性和一流的虚拟化能力。相比前代双核英特尔至强 7100 系列处理器，性能功耗比和性能均实现了 2 倍以上的提升5。通过在所有基于英特尔至强处理器的平台上实现最大整合比例，支持更多虚拟机并可降低总拥有成本。80 瓦英特尔至强处理器树立了能效新标准。E7340、E7330、E7320 可实现 15% 至 47% 的功耗节省6。在进行超密集部署时，相比 95 瓦和 150 瓦的英特尔™ 双核处理器，50 瓦英特尔至强处理器 L7345 可降低高达 47% 至 67% 的功耗7。

比如一些大公司生产的牌子。浪潮的，英特尔的，他们专门生产供网站用打大型服务器。

建议买个服务器

看你开什么游戏服务器了

私服的要P4

1G

的就行了

1000人上线不卡

具体看你开什么样的游戏了

人数多了买个好点的

要开多区的话

多买几台

要保证网速

第1章 Windows Server 2008规划与安装 11 Windows Server 2008简介

111 Windows Server 2008功能及特点

112 Windows Server 2008的新增功能

113 Windows Server 2008版本之间的区别

114 网管心得——Windows Server 2008和Linux的区别

115 网管心得——IP地址和子网掩码

12 设置网络地址

121 设置计算机名称

122 设置IP地址

123 检查网络连接是否正确

13 使用Microsoft管理控制台

131 MMC概述

132 打开MMC

133 管理单元

134 为MMC控制台添加管理单元

135 MMC模式

136 MMC附加功能

14 局域网中的专有名词

141 Windows Server 2008工作组

142 Windows Server 2008域

143 域中的计算机

144 域树

145 森林

15 操作实例

151 操作实例——安装Windows Server 2008系统

152 操作实例——配置基本外部设备

153 操作实例——使用Sysprep工具审核安装内容

第2章 Active Directory目录服务 21 Active Directory概述

211 名称空间

212 对象与属性

213 容器与组织单位

214 信任

215 架构

216 域控制器

217 轻型目录访问协议

218 站点

219 网管心得——活动目录的逻辑和物理结构

2110 网管心得——使用活动目录的意义

22 活动目录域服务的安装与配置

221 安装Active Directory域服务

222 安装活动目录

23 管理Active Directory中的域组账户

231 创建与管理域组

232 Active Directory域内置的组

233 删除域控制器与域

24 提升域与林功能级别

241 提升域功能级别

242 提升林功能级别

25 将计算机加入或脱离域

251 将Windows计算机加入域

252 利用已加入域的计算机登录

253 脱离域

26 操作实例

261 操作实例——DNS在活动

目录中的应用

262 操作实例——站点在活动

目录中的应用

263 操作实例——LDAP在活动

目录中的应用

第3章 用户和组账号管理 31 用户账号管理

311 用户账号简介

312 规划新用户账号

313 创建用户账号

314 管理用户账号

315 用户配置文件

316 创建主文件夹

32 密码的更改、备份与还原

321 更改密码

322 备份与还原密码

33 组账号管理

331 组介绍

332 规则分组策略

333 实现组

334 实现本地组

335 网管心得——计算机账户

34 组策略及应用

341 组策略概述

342 组策略的配置

343 脚本策略

344 软件安装

345 软件限制

346 文件夹重定向

347 硬件访问控制

348 网管心得——委派的作用

35 操作实例

351 操作实例——创建密码重设盘

352 操作实例——如何把Users组的账号提升为管理员权限 第4章 磁盘系统的管理

41 磁盘概念

411 MBR磁盘与GPT磁盘

412 基本磁盘与动态磁盘

42 磁盘管理概述

421 远程管理

422 命令行

423 网管心得——中小企业服务器磁盘存储管理维护要点

43 分区和卷

431 创建卷或分区

432 创建扩展分区和逻辑驱动器

433 将磁盘转换为动态磁盘

434 将磁盘转换为GPT磁盘

435 更改卷的容量

436 向卷添加镜像

44 设置磁盘配额

441 启用磁盘配额

442 设置每用户配额

443 导入和导出配额

444 网管心得——磁盘配额的含义

45 启用文件加密

46 镜像卷与RAID-5卷的修复

461 镜像卷的修复

462 RAID-5卷的修复

463 网络工具列表

47 操作实例

471 操作实例——磁盘碎片整理与磁盘错误检查

472 操作实例——使用工具对磁盘分区（Acronis Disk Director Server）

第5章 配置与管理文件服务器

51 文件服务与资源共享

511 安装文件服务器

512 设置资源共享

513 管理共享文件夹

514 访问网络共享资源

515 卷影副本

52 资源访问权限的控制

521 NTFS权限概述

522 设置文件或文件夹的NTFS权限

523 复制、移动文件和文件夹对权限的影响

524 在NTFS上压缩文件和文件夹

525 共享权限

53 加密文件系统

531 加密文件系统概述

532 加密文件或文件夹

533 备份密钥

54 数据的备份和还原

541 数据的备份

542 数据的还原

543 网管心得——非常时期容灾备份策略解析

544 网管心得——中小企业的远程备份问题

55 分布式文件系统

551 分布式文件系统的概述

552 配置DFS命名空间

553 在DFS命名空间中创建文件

56 操作实例

561 操作实例——安装Windows Server Backup

第6章 配置与管理打印服务器

61 打印概述

611 基本概念

612 共享打印机的连接

613 网管心得——本地与远程打印的理解

62 安装打印服务器

621 安装本地打印机

622 安装远程打印机

623 安装Internet打印机

624 网络接口打印机的安装

625 网管心得——网络打印的要求

63 共享打印机的高级设置

631 设置打印优先级

632 设置打印机的打印时间

633 设置打印机池

634 打印机的其他设置

64 设置打印机权限

641 打印机权限分配

642 打印机的所有权

65 使用分隔页分隔打印文件

651 创建分隔页文件

652 选择分隔页文件

66 打印机其他设置

661 管理打印队列

662 送纸器设置

663 网管心得——打印与活动目录

67 操作实例

671 操作实例——搭建小型公司网络打印服务

672 操作实例——安装打印机客户端 第7章 配置与管理DNS服务器

71 DNS的基本概念与原理

711 DNS概述

712 域名空间结构

713 区域

714 DNS查询模式

715 DNS规划与域名申请

716 网管心得——主要省份城市的DNS服务器地址

72 安装和配置DNS客户端

721 安装DNS服务

722 指定DNS服务器

73 创建和管理DNS区域

731 新建DNS区域

732 内建DNS资源记录

733 创建DNS资源记录

734 添加DNS的子域

735 创建辅助区域

736 创建反向搜索区域

74 操作实例

741 操作实例——配置DNS服务器

742 操作实例——创建区域委派

743 操作实例——启用DNS来使用

WINS解析

第8章 配置与管理DHCP服务器

81 DHCP服务及其协议原理

811 DHCP协议原理

812 何时使用DHCP服务

82 DHCP服务器的安装和配置

821 安装DHCP服务器

822 授权DHCP服务器

823 创建DHCP作用域

824 保留特定的IP地址

825 DHCP配置选项

826 超级作用域

83 配置DHCP客户端

84 复杂网络的DHCP服务器的部署

841 安装多个DHCP服务器

842 多宿主DHCP服务器

843 跨网段的DHCP中继

85 操作实例

851 操作实例——数据库的备份

852 操作实例——数据库的还原

853 操作实例——数据库的重整 第9章 远程管理和终端服务

91 远程桌面管理

911 远程桌面管理概述

912 启用远程桌面

913 配置远程桌面连接

92 配置终端服务

921 终端服务器概述

922 安装终端服务器

923 授权终端服务器

924 配置终端服务器

925 管理终端服务器

93 远程协助

931 远程协助概述

932 配置远程协助

933 网络工具列表

94 Telnet服务

941 Telnet服务器概述

942 配置Telnet服务并进行远程登录

95 操作实例

951 操作实例——为终端服务器指定用户登录自启动程序

952 操作实例——更改远程桌面使用的默认端口

953 操作实例——配置及访问RemoteApp程序

第10章 电子证书服务

101 数字证书简介

1011 数字证书

1012 PKI

1013 网管心得——PKI的组成部分

102 证书认证机构

103 企业CA的安装与证书申请

1031 企业证书的意义与适用

1032 CA模式

1033 安装证书服务并架设企业根CA

1034 申请和使用证书

1035 签名与加密的电子邮件

1036 企业从属CA的安装

1037 网管心得——Web和证书服务

104 数字证书的管理

1041 CA的备份与还原

1042 自动或手动发放证书

1043 吊销证书和证书吊销列表

1044 导入与导出用户的证书

1045 更新证书

105 操作实例

1051 操作实例——创建服务器验证字请求

1052 操作实例——Web服务器SSL双向认证

第11章 路由和远程策略

111 软路由

1111 路由概述

1112 Windows Server 2008路由器的设置

1113 网管心得——路由与远程访问服务特性

112 远程访问服务器配置与管理

1121 ***概述

1122 远程访问服务器的配置

1123 远程访问服务客户端的设置

113 利用NPS策略实现安全访问

1131 NAP概述

1132 配置***服务器

1133 配置NPS服务器

1134 利用组策略配置***客户端

1135 配置***客户端

1136 网管心得——***隧道技术

114 操作实例

1141 操作实例——在运行Windows XP的计算机中设置及使用***连接

1142 操作实例——创建拨号连接

要建立一个安全Linux服务器就首先要了解Linux环境下和网络服务相关的配置文件的含义及如何进行安全的配置。在Linux系统中，TCP/IP网络是通过若干个文本文件进行配置的，也许你需要编辑这些文件来完成联网工作，但是这些配置文件大都可以通过配置命令linuxconf(其中网络部分的配置可以通过netconf命令来实现)命令来实现。下面介绍基本的TCP/IP网络配置文件。

/etc/confmodules文件

该配置文件定义了各种需要在启动时加载的模块的参数信息。这里主要着重讨论关于网卡的配置。在使用Linux做网关的情况下，Linux服务器至少需要配置两块网卡。为了减少启动时可能出现的问题，Linux内核不会自动检测多个网卡。对于没有将网卡的驱动编译到内核而是作为模块动态载入的系统若需要安装多块网卡，应该在“confmodules”文件中进行相应的配置。

若设备驱动被编译为模块（内核的模块）：对于PCI设备，模块将自动检测到所有已经安装到系统上的设备；对于ISA卡，则需要向模块提供IO地址，以使模块知道在何处寻找该卡，这些信息在“/etc/confmodules”中提供。

例如，我们有两块ISA总线的3c509卡，一个IO地址是0x300，另一个是0x320。编辑“confmodules”文件如下：

aliaseth03c509

aliaseth13c509

options3c509io=0x300,0x320

这是说明3c509的驱动程序应当分别以eth0或eth1的名称被加载（aliaseth0,eth1），并且它们应该以参数io=0x300,0x320被装载，来通知驱动程序到哪里去寻找网卡，其中0x是不可缺少的。

对于PCI卡，仅仅需要alias命令来使ethN和适当的驱动模块名关联，PCI卡的IO地址将会被自动的检测到。对于PCI卡，编辑“confmodules”文件如下：

aliaseth03c905

aliaseth13c905

若驱动已经被编译进了内核：系统启动时的PCI检测程序将会自动找到所有相关的网卡。ISA卡一般也能够被自动检测到，但是在某些情况下，ISA卡仍然需要做下面的配置工作：

在“/etc/liloconf”中增加配置信息，其方法是通过LILO程序将启动参数信息传递给内核。对于ISA卡，编辑“liloconf”文件，增加如下内容：

append="ether="0,0,eth0ether="0,0,eth1"

注：先不要在“liloconf”中加入启动参数，测试一下你的ISA卡，若失败再使用启动参数。

如果用传递启动参数的方法，eth0和eth1将按照启动时被发现的顺序来设置。

/etc/HOSTNAME文件

该文件包含了系统的主机名称，包括完全的域名，如：deepopenarchcom。

/etc/sysconfig/network-scripts/ifcfg-ethN文件

在RedHat中，系统网络设备的配置文件保存在“/etc/sysconfig/network-scripts”目录下，ifcfg-eth0包含第一块网卡的配置信息，ifcfg-eth1包含第二块网卡的配置信息。

下面是“/etc/sysconfig/network-scripts/ifcfg-eth0”文件的示例：

DEVICE=eth0

IPADDR=2081641861

NETMASK=2552552550

NETWORK=2081641860

BROADCAST=208164186255

ONBOOT=yes

BOOTPROTO=none

USERCTL=no

若希望手工修改网络地址或在新的接口上增加新的网络界面，可以通过修改对应的文件（ifcfg-ethN）或创建新的文件来实现。

DEVICE=name name表示物理设备的名字

IPADDR=addr addr表示赋给该卡的IP地址

NETMASK=mask mask表示网络掩码

NETWORK=addr addr表示网络地址

BROADCAST=addr addr表示广播地址

ONBOOT=yes/no 启动时是否激活该卡

none：无须启动协议

bootp：使用bootp协议

dhcp：使用dhcp协议

USERCTL=yes/no 是否允许非root用户控制该设备

/etc/resolvconf文件

该文件是由域名解析器（resolver，一个根据主机名解析IP地址的库）使用的配置文件，示例如下：

searchopenarchcom

nameserver2081641861

nameserver2081641862

“searchdomainnamecom”表示当提供了一个不包括完全域名的主机名时，在该主机名后添加domainnamecom的后缀；“nameserver”表示解析域名时使用该地址指定的主机为域名服务器。其中域名服务器是按照文件中出现的顺序来查询的。

/etc/hostconf文件

该文件指定如何解析主机名。Linux通过解析器库来获得主机名对应的IP地址。下面是一个“/etc/hostconf”的示例：

orderbind,hosts

multion

ospoofon

“orderbind,hosts”指定主机名查询顺序，这里规定先使用DNS来解析域名，然后再查询“/etc/hosts”文件(也可以相反)。

“multion”指定是否“/etc/hosts”文件中指定的主机可以有多个地址，拥有多个IP地址的主机一般称为多穴主机。

“nospoofon”指不允许对该服务器进行IP地址欺骗。IP欺骗是一种攻击系统安全的手段，通过把IP地址伪装成别的计算机，来取得其它计算机的信任。

/etc/sysconfig/network文件

该文件用来指定服务器上的网络配置信息，下面是一个示例：

NETWORK=yes

RORWARD_IPV4=yes

HOSTNAME=deepopenarchcom

GAREWAY=0000

GATEWAYDEV=

NETWORK=yes/no 网络是否被配置；

FORWARD_IPV4=yes/no 是否开启IP转发功能

HOSTNAME=hostnamehostname表示服务器的主机名

GAREWAY=gw-ip gw-ip表示网络网关的IP地址

GAREWAYDEV=gw-dev gw-dw表示网关的设备名，如：etho等

注意：为了和老的软件相兼容，“/etc/HOSTNAME”文件应该用和HOSTNAME=hostname相同的主机名。

/etc/hosts文件

当机器启动时，在可以查询DNS以前，机器需要查询一些主机名到IP地址的匹配。这些匹配信息存放在/etc/hosts文件中。在没有域名服务器情况下，系统上的所有网络程序都通过查询该文件来解析对应于某个主机名的IP地址。

下面是一个“/etc/hosts”文件的示例：

IPAddress Hostname Alias

127001 Localhost Gateopenarchcom

2081641861 gateopenarchcomGate

………… ………… ………

最左边一列是主机IP信息，中间一列是主机名。任何后面的列都是该主机的别名。一旦配置完机器的网络配置文件，应该重新启动网络以使修改生效。使用下面的命令来重新启动网络：/etc/rcd/initd/networkrestart

/etc/inetdconf文件

众所周知，作为服务器来说，服务端口开放越多，系统安全稳定性越难以保证。所以提供特定服务的服务器应该尽可能开放提供服务必不可少的端口，而将与服务器服务无关的服务关闭，比如：一台作为www和ftp服务器的机器，应该只开放80和25端口，而将其他无关的服务如：fingerauth等服务关掉，以减少系统漏洞。

而inetd，也叫作“超级服务器”，就是监视一些网络请求的守护进程，其根据网络请求来调用相应的服务进程来处理连接请求。inetdconf则是inetd的配置文件。inetdconf文件告诉inetd监听哪些网络端口，为每个端口启动哪个服务。在任何的网络环境中使用Linux系统，第一件要做的事就是了解一下服务器到底要提供哪些服务。不需要的那些服务应该被禁止掉，最好卸载掉，这样黑客就少了一些攻击系统的机会。查看“/etc/inetdconf”文件，了解一下inetd提供哪些服务。用加上注释的方法（在一行的开头加上#号），禁止任何不需要的服务，再给inetd进程发一个SIGHUP信号。

第一步：把文件的许可权限改成600。

[root@deep]#chmod600/etc/inetdconf

第二步：确信文件的所有者是root。

[root@deep]#stat/etc/inetdconf

第三步：编辑“inetdconf”文件（vi/etc/inetdconf），禁止所有不需要的服务，如：ftp、telnet、shell、login、exec、talk、ntalk、imap、pop-2、pop-3、finger、auth，等等。如果你觉得某些服务有用，可以不禁止这些服务。但是，把这些服务禁止掉，系统受攻击的可能性就会小很多。改变后的“inetdconf”文件的内容如下面所示：

#Tore-readthisfileafterchanges,justdoa'killall-HUPinetd'

#

#echostreamtcpnowaitrootinternal

#echodgramudpwaitrootinternal

#discardstreamtcpnowaitrootinternal

#discarddgramudpwaitrootinternal

#daytimestreamtcpnowaitrootinternal

#daytimedgramudpwaitrootinternal

#chargenstreamtcpnowaitrootinternal

#chargendgramudpwaitrootinternal

#timestreamtcpnowaitrootinternal

#timedgramudpwaitrootinternal

#

#Thesearestandardservices

#

#ftpstreamtcpnowaitroot/usr/sbin/tcpdinftpd-l-a

#telnetstreamtcpnowaitroot/usr/sbin/tcpdintelnetd

#

#Shell,login,exec,comsatandtalkareBSDprotocols

#

#shellstreamtcpnowaitroot/usr/sbin/tcpdinrshd

#loginstreamtcpnowaitroot/usr/sbin/tcpdinrlogind

#execstreamtcpnowaitroot/usr/sbin/tcpdinrexecd

#comsatdgramudpwaitroot/usr/sbin/tcpdincomsat

#talkdgramudpwaitroot/usr/sbin/tcpdintalkd

#ntalkdgramudpwaitroot/usr/sbin/tcpdinntalkd

#dtalkstreamtcpwaitnobody/usr/sbin/tcpdindtalkd

#

#Popandimapmailservicesetal

#

#pop-2streamtcpnowaitroot/usr/sbin/tcpdipop2d

#pop-3streamtcpnowaitroot/usr/sbin/tcpdipop3d

#imapstreamtcpnowaitroot/usr/sbin/tcpdimapd

#

#TheInternetUUCPservice

#

#uucpstreamtcpnowaituucp/usr/sbin/tcpd/usr/lib/uucp/uucico-l

#

#TftpserviceisprovidedprimarilyforbootingMostsites

#runthisonlyonmachinesactingas"bootservers"Donotuncomment

#thisunlessyouneedit

#

#tftpdgramudpwaitroot/usr/sbin/tcpdintftpd

#bootpsdgramudpwaitroot/usr/sbin/tcpdbootpd

#

#Finger,systatandnetstatgiveoutuserinformationwhichmaybe

#valuabletopotential"systemcrackers"Manysiteschoosetodisable

#someoralloftheseservicestoimprovesecurity

#

#fingerstreamtcpnowaitroot/usr/sbin/tcpdinfingerd

#cfingerstreamtcpnowaitroot/usr/sbin/tcpdincfingerd

#systatstreamtcpnowaitguest/usr/sbin/tcpd/bin/ps-auwwx

#netstatstreamtcpnowaitguest/usr/sbin/tcpd/bin/netstat-finet

#

#Authentication

#

#authstreamtcpnowaitnobody/usr/sbin/inidentdinidentd-l-e-o

#

#Endofinetdconf

注意：改变了“inetdconf”文件之后，别忘了给inetd进程发一个SIGHUP信号（killall–HUPinetd）。

[root@deep/root]#killall-HUPinetd

第四步：

为了保证“inetdconf”文件的安全，可以用chattr命令把它设成不可改变。把文件设成不可改变的只要用下面的命令：

[root@deep]#chattr+i/etc/inetdconf

这样可以避免“inetdconf”文件的任何改变（意外或是别的原因）。一个有“i”属性的文件是不能被改动的：不能删除或重命名，不能创建这个文件的链接，不能往这个文件里写数据。只有系统管理员才能设置和清除这个属性。如果要改变inetdconf文件，你必须先清除这个不允许改变的标志：

[root@deep]#chattr-i/etc/inetdconf

但是对于诸如sendmail，named，www等服务，由于它们不象finger，telnet等服务，在请求到来时由inet守护进程启动相应的进程提供服务，而是在系统启动时，作为守护进程运行的。而对于redhatlinux，提供了一个linuxconfig命令，可以通过它在图形界面下交互式地设置是否在启动时运行相关服务。也可以通过命令来设置是否启动时启动某个服务，如：[root@deep]#chkconfig–level35namedoff

具体命令可以参考manchkconfig的说明。

/etc/hostsallow文件

但是对于telnet、ftp等服务，如果将其一同关闭，那么对于管理员需要远程管理时，将非常不方便。Linux提供另外一种更为灵活和有效的方法来实现对服务请求用户的限制，从而可以在保证安全性的基础上，使可信任用户使用各种服务。Linux提供了一个叫TCPwrapper的程序。在大多数发布版本中该程序往往是缺省地被安装。利用TCPwrapper你可以限制访问前面提到的某些服务。而且TCPwrapper的记录文件记录了所有的企图访问你的系统的行为。通过last命令查看该程序的log，管理员可以获知谁曾经或者企图连接你的系统。

在/etc目录下，有两个文件：hostsdenyhostsallow通过配置这两个文件，你可以指定哪些机器可以使用这些服务，哪些不可以使用这些服务。

当服务请求到达服务器时，TCPwrapper就按照下列顺序查询这两个文件，直到遇到一个匹配为止：

1当在/etc/hostsallow里面有一项与请求服务的主机地址项匹配，那么就允许该主机获取该服务

2否则，如果在/etc/hostsdeny里面有一项与请求服务的主机地址项匹配，就禁止该主机使用该项服务。

3如果相应的配置文件不存在，访问控制软件就认为是一个空文件，所以可以通过删除或者移走配置文件实现对清除所有设置。在文件中，空白行或者以#开头的行被忽略，你可以通过在行前加#实现注释功能。

配置这两个文件是通过一种简单的访问控制语言来实现的，访问控制语句的基本格式为：

程序名列表:主机名/IP地址列表。

程序名列表指定一个或者多个提供相应服务的程序的名字，名字之间用逗号或者空格分割，可以在inetdconf文件里查看提供相应服务的程序名：如上面的文件示例中，telent所在行的最后一项就是所需的程序名：intelnetd。

主机名/IP地址列表指定允许或者禁止使用该服务的一个或者多个主机的标识，主机名之间用逗号或空格分隔。程序名和主机地址都可以使用通配符，实现方便的指定多项服务和多个主机。

Linux提供了下面灵活的方式指定进程或者主机列表:

1一个以""起始的域名串，如ammsaccn那么wwwammsaccn就和这一项匹配

2以""结尾的IP串如20237152那么IP地址包括20237152的主机都与这一项匹配。

3格式为nnnn/mmmm表示网络/掩码，如果请求服务的主机的IP地址与掩码的位与的结果等于nnnn那么该主机与该项匹配。

4ALL表示匹配所有可能性

5EXPECT表示除去后面所定义的主机。如:list_1EXCEPTlist_2表示list_1主机列表中除去List_2所列出的主机

6LOCAL表示匹配所有主机名中不包含""的主机

上面的几种方式只是Linux提供的方式中的几种，但是对于我们的一般应用来说是足够了。我们通过举几个例子来说明这个问题：

例一：我们只希望允许同一个局域网的机器使用服务器的ftp功能，而禁止广域网上面的ftp服务请求，本地局域网由20239154、20239153和20239152三个网段组成。

在hostsdeny文件中，我们定义禁止所有机器请求所有服务：

ALL:ALL

在hostsallow文件中，我们定义只允许局域网访问ftp功能：

inftpd-l–a:202391542023915320239152

这样，当非局域网的机器请求ftp服务时，就会被拒绝。而局域网的机器可以使用ftp服务。此外，应该定期检查/var/log目录下的纪录文件，发现对系统安全有威胁的登录事件。last命令可以有效的查看系统登录事件，发现问题所在。

最后tcpdchk是检查TCP_WAPPERS配置的程序。它检查TCP_WAPPERS的配置，并报告它可以发现的问题或潜在的问题。在所有的配置都完成了之后，请运行tcpdchk程序：

[root@deep]#tcpdchk

/etc/services文件

端口号和标准服务之间的对应关系在RFC1700“AssignedNumbers”中有详细的定义。“/etc/services”文件使得服务器和客户端的程序能够把服务的名字转成端口号，这张表在每一台主机上都存在，其文件名是“/etc/services”。只有“root”用户才有权限修改这个文件，而且在通常情况下这个文件是没有必要修改的，因为这个文件中已经包含了常用的服务所对应的端口号。为了提高安全性，我们可以给这个文件加上保护以避免没有经过授权的删除和改变。为了保护这个文件可以用下面的命令：

[root@deep]#chattr+i/etc/services

/etc/securetty文件

“/etc/securetty”文件允许你规定“root”用户可以从那个TTY设备登录。登录程序（通常是“/bin/login”）需要读取“/etc/securetty”文件。它的格式是：列出来的tty设备都是允许登录的，注释掉或是在这个文件中不存在的都是不允许root登录的。

注释掉（在这一行的开头加上＃号）所有你想不让root登录的tty设备。

编辑securetty文件（vi/etc/securetty）象下面一样，注释掉一些行：

tty1

#tty2

#tty3

#tty4

#tty5

#tty6

#tty7

#tty8

使Control-Alt-Delete关机键无效

把“/etc/inittab”文件中的一行注释掉可以禁止用Control-Alt-Delete关闭计算机。如果服务器不是放在一个安全的地方，这非常重要。

编辑inittab文件（vi/etc/inittab）把这一行：

ca::ctrlaltdel:/sbin/shutdown-t3-rnow

改为：

#ca::ctrlaltdel:/sbin/shutdown-t3-rnow

用下面的命令使改变生效：

[root@deep]#/sbin/initq

改变“/etc/rcd/initd/”目录下的脚本文件的访问许可

/etc/rcd/initd/下的脚本主要包含了启动服务的脚本程序。一般用户没有什么必要知道脚本文件的内容。所以应该改变这些脚本文件的权限。

[root@deep]#chmod-R700/etc/rcd/initd/

这样只有root可以读、写和执行这个目录下的脚本。

/etc/rcd/rclocal文件

在默认情况下，当登录装有Linux系统的计算机时，系统会告诉你Linux发行版的名字、版本号、内核版本和服务器名称。这泄露了太多的系统信息。最好只显示一个“Login:”的提示信息。

第一步：

编辑“/ect/rcd/rclocal”文件，在下面这些行的前面加上“#”：

--

#Thiswilloverwrite/etc/issueateverybootSo,makeanychangesyou

#wanttomaketo/etc/issuehereoryouwilllosethemwhenyoureboot

#echo"">/etc/issue

#echo"$R">>/etc/issue

#echo"Kernel$(uname-r)on$a$(uname-m)">>/etc/issue

#

#cp-f/etc/issue/etc/issuenet

#echo>>/etc/issue

--

第二步：

删除“/etc”目录下的“issuenet”和“issue”文件：

[root@deep]#rm-f/etc/issue

[root@deep]#rm-f/etc/issuenet

注意：“/etc/issuenet”文件是用户从网络登录计算机时（例如：telnet、SSH），看到的登录提示。同样在“”目录下还有一个“issue”文件，是用户从本地登录时看到的提示。这两个文件都是文本文件，可以根据需要改变。但是，如果想删掉这两个文件，必须向上面介绍的那样把“/etc/rcd/rclocal”脚本中的那些行注释掉，否则每次重新启动的时候，系统又会重新创建这两个文件。

在一个使用TCP/IP协议的网络中，每一台计算机都必须至少有一个IP地址，才能与其他计算机连接通信。为了便于统一规划和管理网络中的IP地址，DHCP（Dynamic Host Configure Protocol，动态主机配置协议）应运而生了。这种网络服务有利于对校园网络中的客户机IP地址进行有效管理，而不需要一个一个手动指定IP地址。

DHCP服务的安装

DHCP指的是由服务器控制一段IP地址范围，客户机登录服务器时就可以自动获得服务器分配的IP地址和子网掩码。首先，DHCP服务器必须是一台安装有Windows 2000 Server/Advanced Server系统的计算机；其次，担任DHCP服务器的计算机需要安装TCP/IP协议，并为其设置静态IP地址、子网掩码、默认网关等内容。默认情况下，DHCP作为Windows 2000 Server的一个服务组件不会被系统自动安装，必须把它添加进来：

1 依次点击“开始→设置→控制面板→添加/删除程序→添加/删除Windows组件”，打开相应的对话框。

2 用鼠标左键点击选中对话框的“组件”列表框中的“网络服务”一项，单击[详细信息]按钮，出现带有具体内容的对话框。

3 在对话框“网络服务的子组件”列表框中勾选“动态主机配置协议（DHCP）”，单击[确定]按钮，根据屏幕提示放入Windows 2000安装光盘，复制所需要的程序。

4 重新启动计算机后，在“开始→程序→管理工具”下就会出现“DHCP”一项，说明DHCP服务安装成功。

DHCP服务器的授权

出于对网络安全管理的考虑，并不是在Windows 2000 Server中安装了DHCP功能后就能直接使用，还必须进行授权操作，未经授权操作的服务器无法提供DHCP服务。对DHCP服务器授权操作的过程如下：

1 依次点击“开始→程序→管理工具→DHCP”，打开DHCP控制台窗口。

2 在控制台窗口中，用鼠标左键点击选中服务器名，然后单击右键，在快捷菜单中选中“授权”，此时需要几分钟的等待时间。注意：如果系统长时间没有反应，可以按F5键或选择菜单工具中的“操作”下的“刷新”进行屏幕刷新，或先关闭DHCP控制台，在服务器名上用鼠标右键点击。如果快捷菜单中的“授权”已经变为“撤消授权”，则表示对DHCP服务器授权成功。此时，最明显的标记是服务器名前面红色向上的箭头变成了绿色向下的箭头。这样，这台被授权的DHCP服务器就有分配IP的权利了。

添加IP地址范围

当DHCP服务器被授权后，还需要对它设置IP地址范围。通过给DHCP服务器设置IP地址范围后，当DHCP客户机在向DHCP服务器申请IP地址时，DHCP服务器就会从所设置的IP地址范围中选择一个还没有被使用的IP地址进行动态分配。添加IP地址范围的操作如下：

1 点击“开始→程序→管理工具→DHCP”，打开DHCP控制台窗口。

2 选中DHCP服务器名，在服务器名上点击鼠标右键，在出现的快捷菜单中选择“新建作用域”，在出现的窗口中单击[下一步]按钮，在出现的对话框中输入相关信息，单击[下一步]按钮

3 在图1所示的窗口中，根据自己网络的实际情况，对各项进行设置，然后单击[下一步]按钮，出现如图2所示的窗口。

4 在图2所示的窗口中，输入需要排除的IP地址范围。由于校园网络中有很多网络设备需要指定静态IP地址（即固定的IP地址），如服务器、交换机、路由器等，此时必须把这些已经分配的IP地址从DHCP服务器的IP地址范围中排除，否则会引起IP地址的冲突，导致网络故障。

5 单击[下一步]按钮，在出现的“租约期限”窗口中可以设置IP地址租期的时间值。一般情况下，如果校园网络中的IP地址比较紧张的时候，可以把租期设置短一些，而IP地址比较宽松时，可以把租期设置长一些。设置完后，单击[下一步]按钮，出现“配置DHCP选项”窗口。

6 在“配置DHCP选项”窗口中，如果选择“是，我想现在配置这些选项”，此时可以对DNS服务器、默认网关、WINS服务器地址等内容进行设置；如果选择“否，我想稍后配置这些选项”，可以在需要这些功能时再进行配置。此处，我们选择前者，单击[下一步]按钮。

7 在出现的窗口中，常常输入网络中路由器的IP地址（即默认网关的IP地址）或是NAT服务器（网络地址转换服务器）的IP地址，如WinRoute、SyGate等。这样，客户机从DHCP服务器那里得到的IP信息中就包含了默认网关的设定了，从而可以接入Internet。

8 单击[下一步]按钮，在此对话框中设置有关客户机DNS域的名称，同时输入DNS服务器的名称和IP地址。，然后单击[添加]按钮进行确认。单击[下一步]按钮，在出现的窗口中进行WINS服务器的相关设置，设置完后单击[下一步]按钮。

9 在出现的窗口中，选择“是，我想现在激活此作用域”后，单击[下一步]按钮，在出现的窗口中单击[完成]按钮，设置结束。此时，就可以在DHCP管理器中看到我们刚刚建好的作用域。

注意：如果您的校园网络是以工作组的形式存在的，可以在第6步的“配置DHCP选项”窗口中选择“否，我想稍后配置这些选项”，此时设置过程跳过第7、8步。如果您的校园网络是以域的形式存在的，建议您的网络配置顺序为：活动目录的建立→WINS的建立→DNS的建立→DHCP的建立，这样可以减少很多麻烦。

DHCP服务的测试

经过上述设置，DHCP服务已经正式启动，我们需要在客户机上进行测试。只需把客户机的IP地址选项设为“自动获取IP地址”，随后重新启动客户机。在客户机的“运行”对话框中键入“Ipconfig/all”，即可看到客户机分配到的动态IP地址。