网上邻居/网络共享/双机互连和局域网控制技术和解决方案 - 『系统与维护』 - 计算机区

‹‹ 上一主题 | 下一主题 ››

wm0059 (赤明魔尊)

一年级

UID 66710
精华 0
积分 743
帖子 607

铜币 98
金币 2133
经验值 743
阅读权限 30
注册 2006-4-27
状态离线

1楼

发表于 2007-4-16 21:54 使用道具

资料个人空间短消息加为好友

网上邻居/网络共享/双机互连和局域网控制技术和解决方案

一部分：使用网上邻居步骤，如果你的网上邻居有问题，请参看以下步骤（同样适用于打印机的共享）：
1.1.网线。双机互连不使用HUB或交换机，用交叉线连接两机；如果使用HUB或者交换机，均用直连线连接至HUB或交换机，保证交换机、网卡状态灯正常。
1.2.IP协议。WIN98及以后的机器在安装时会默认安装TCP/IP协议，WIN95需要另外安装。在网上邻居－>属性（WIN9X/Me）或者网上邻居－>属性－>本地连接－>属性（WIN2K/XP）里可以查看是否安装了TCP/IP协议。
1.3.IP地址。在TCP/IP属性里设置IP地址、子网掩码和网关，如果有需要可以设置DNS和WINS服务器地址。IP地址推荐设置：192.168.X.X，子网掩码：255.255.255.0。如果你的局域网中有DHCP服务器，选择自动获取地址即可。
验证方法：在DOS提示符下使用ping x.x.x.x（对方IP地址），如返回如下信息，说明IP设置成功：
1.4.NetBIOSoverTCP/IP。网上邻居的浏览和通讯要使用NetBIOS协议，该协议是无法被路由器转发的，因此WIN2K及以后的操作系统均提供将NetBIOS协议封装在TCP/IP中的功能。在Win9X/Me系统中，打开网上邻居－>属性可以参看是否安装了NetBIOS协议，在Win2K/XP中，打开TCP/IP属性－>高级－>WINS－>NetBIOS设置，选择“启用TCP/IP上的NetBIOS”。
验证NetBIOS名称解析：使用ping XXXX（对方机器名），如果返回如1.3中的信息，说明NetBIOS协议解析正常。
1.5.HOST文件。如果在1.4中无法正确解析机器名，可以修改host文件，在WINDOWS目录中搜索HOST关键字，找到后，使用记事本打开host（有的系统为host.sam），在末尾加入如下内容：
x.x.x.x（对方的IP地址）使用Tab键跳到下一制表列XXXX（对方的机器名）
存盘退出，注意，如果原文件带有.sam扩展名，要去掉扩展名，才能生效。使用与1.4.同样的方法验证。
1.6.启用打印与文件共享。在网上邻居和本地连接属性里可以看到是否安装了打印机与文件共享。验证：如果在网上邻居中看不到自己的机器，说明你没有安装打印机与文件共享。
1.7.启用GUEST用户：WIN2K/XP在工作组模式下要使用Guest用户来允许网络访问，因此要启用Guest用户。打开控制面板－>用户帐户或者在管理工具－>计算机管理－>本地用户和组中打开Guest帐户，如果使用域管理模式，可以忽略这一步。
1.8.启用计算机浏览服务。WIN2K/XP要确保计算机浏览服务正常启动。打开计算机管理－>服务和应用程序－>服务，确保“Computer Browser”没有被停止或禁用。
1.9.防火墙：确保WINXP自带的防火墙没有开启，打开本地连接属性－>高级，关掉Internet连接防火墙。如果使用了第三方的防火墙产品，参考其使用手册，确保防火墙没有禁止以下端口的通讯：UDP－137、UDP－138、TCP－139、TCP－445（仅WIN2K及以后的操作系统）。
1.10.设置共享文件夹和打印机。
经过以上步骤，你的网上邻居应该可以正常工作了，如果有疑问，请看下面的有关网上邻居的FAQ。
重申一句，微软的网上邻居由于其工作方式是基于Netbios的广播查找邻居的，所以很多情况下很不稳定。在运行里输入"\\对方机器名“，如果无法访问提示找不到网络路径，说明你的或对方的Netbios解析有问题，遇到这种情况试着重启机器，要想较好解决只能在局域网中建立WINS服务器来帮助客户端做Netbios解析。
第二部分：网上邻居FAQ
2.1.F：为什么在网上邻居访问对方提示没有权限？Q：两台机器都要打开Guest帐户（WIN2K/XP）。
K2.2.F：为什么点击对方机器显示无法连接？
Q：确保ping对方IP和机器名都能够正常返回信息。
2.3.F：为什么在网上邻居看不到对方的机器或者能看到却访问不了？
Q：按照微软的解释，这种现象有时是正常的，这需要了解网上邻居及其使用的协议NetBIOS的工作原理，参见后面的原理部分。
2.4.F：有的机器开机或关机，别的机器就用不了网上邻居了？ Q：同2.3.。
2.5.F：如果不使用网上邻居，还有其它办法方便的访问其它机器？
Q：可以不打开网上邻居，直接在搜索中搜索对方的IP或者机器名，也可以在运行中输入\\x.x.x.x（对方 IP） or XXXX（对方机器名）。（同样会用到NetBIOS协议）
2.6.F：两台机器不在一个工作组中是否可以使用网上邻居？Q：可以。
2.7.F：两台机器经过路由器连接，是否可以在网上邻居看到，又是否可以访问呢？
Q：不能看到，因为路由器不会转发广播（经过设置UDP透传可以），可以使用FAQ2.5.的方法互相访问，但仅限于WIN2K/XP。
2.8.F：为什么Win9X/Me访问不了或者看不到Win2K/XP，而反过来却没有问题呢？
Q：确认WIN2K/XP打开了Guest帐户，启用了“浏览服务”；Win9X/Me安装了“打印机和文件共享”，NetBIOS解析没有问题，并且双方没有防火墙的阻挡。
2.9.F：为什么访问需要密码？
Q：确认对方打开了Guest帐户，或者对方没有登陆到域模式。Win9x/Me如果需要登陆到域，不要按Esc取消进入系统。

第三部分：网上邻居和NetBIOS工作原理部分（工作组模式）：
所有使用网上邻居的机器在启动时都会向网络中宣告自己的存在，一般使用广播方式（也是为什么无法通过路由器看到其它子网计算机的原因），而在网络中有一张浏览列表，记录了所有在此登记的计算机，也就是在网上邻居中看到的计算机，而当计算机正常关机时，浏览列表就会从记录中删除此机器。那么这张表在哪里呢？它是被“浏览主控服务器”维护的，浏览主控服务器是工作组中的一台最为重要的计算机，它负责维护本工作组中的浏览列表及指定其他工作组的主控服务器列表，为本工作组的其他计算机和其他来访本工作组的计算机提供浏览服务，每个工作组都为会每个传输协议选择一个浏览主控服务器，而我们经常遇到的无法浏览网络的错误大多是因为你所处的工作组没有浏览主控服务器而造成的。你可以在一个工作组中用NBTSTAT -a computername命令找出使用NBT协议的浏览主控服务器，它的标识是含有\\_MSBROWSE_名字段。缺省情况下，win98工作组中的浏览主控服务器是该工作组中第一台启用文件及打印机共享功能的计算机，也允许手工将一台win计算机配置为浏览主控服务器（方法会在后面讲述网络配置时具体介绍，但由于浏览主控服务器需要维护动态浏览列表，性能会受影响），如果一个工作组中有多台计算机配置了这个选项，或是当前的浏览主控服务器关闭了系统，又没有其他计算机启用主控设置时，就要进行主控浏览器的选举。选举其实过程很简单,首先由一台计算机发送一个选举临界报文,该报文包含了来自发送计算机的信息(操作系统,版本及NET名等),选举报文向网络中广播,工作组中的每一台计算机都会用自身信息与选举报文进行优先级比较,主要是操作系统起主要作用,记得好像是WIN2K/XP>Win9X/Me，最后是那个自身条件最好的成为新的浏览主控服务器。

整个网络浏览的过程是，当一台win98进入网络时，如果它带有服务器服务（启用了文件及打印机共享）会向网络广播宣告自己的存在，而浏览主控服务器会取得这个宣告并将它放入自己维护的浏览列表中；而没有在相应协议上绑定文件及打印机共享的计算机则不会宣告，因而也就不会出现在网络邻居里了。当客户计算机想获得需要的网络资源列表时，首先会广播发出浏览请求，浏览主控服务器收到请求后，如果请求的是本组的浏览列表，则直接将客户所需的资源列表发回；如果请求的是其它工作组的浏览列表，浏览主控服务器会根据本身BrowsingList中的记录找到相应工作组的主控浏览器返回给用户，用户可从那里得到它想要的浏览列表，我们也就在网上邻居中看到计算机列表了。
但是为什么在网上邻居里有些机子访问不了呢？事实上如果微软的网上邻居真能做到所见即所得，相信抱怨它的人不会象现在这么多，可通过前面对浏览服务的介绍，大家已经知道这是不可能的，因为浏览列表的获得不是通过访问其中每一台机子得到的，很多时候网络中的计算机并不能正确更新浏览列表。当一台计算机正常关机时，它会向网络发出广播宣告，使浏览主控服务器及时将它从浏览列表中删除；而非正常关机后，浏览列表里仍会把该条目保持很长一段时间(NT下是45分钟),这就是我们仍能在网络邻居里看到它的原因.而98的稳定性是众所周知的 ----在还没来得及关机前就已经崩溃了

局域网控制技术和解决方案
限制用户上网其实就是对局域网的一个控制问题，基本可以分为限制IP、限制用户和限制流量。
1.限制IP是最常用的一种手段，适用范围也较广，在使用代理/路由服务器、宽带路由器/防火墙都可以使用。
在代理/路由服务器软件中一般都有关于控制IP上网的设置，例如Sygate，ISAServer，具体设置方法这里就不写了，你可以参考软件的帮助文档，在网上也可以找到很多相关的文章。我要提一点的是，如果你使用了WIN2K/XP自带的Internet共享，可以安装一个防火墙软件，利用防火墙软件来限制该服务器与其它机器的通讯，也可以达到控制部分机器上网的目的。
目前的很多宽带路由器/防火墙都带有基本的访问控制列表（ACL）功能，通过简单的设置就可以对流量进行过滤，对允许上网的IP的数据包进行转发，而不允许上网的IP的数据包则被丢弃。一般情况下，路由器都是按照顺序查找的原则，即当路由器接收到数据包后，先从第一条规则开始匹配，如果符合条件则按照该规则设定的转发或者丢弃；如果不符合，则查找的二条规则，以此类推，知道最后一条。这里需要注意的是，有些路由器对于不符合任何规则的数据包按照转发处理，有的则是转发，而防火墙对于不符合规则的一律按丢弃处理。因此，在设置路由器时，一定要先加允许上网的规则，再加不允许的规则，最后根据具体情况，看是否需要加一个禁止所有IP上网的规则，否则无法达到控制的目的。而防火墙则仅加入允许的规则就可以了。下面是一个例子，没有任何语句，只是打个比方：
1 允许 192.168.2.22/255.255.255.255 0.0.0.0

2 禁止 192.168.2.0/255.255.255.224 0.0.0.0
3 允许 192.168.2.0/255.255.255.0 0.0.0.0
4 禁止 0.0.0.0/0.0.0.0 0.0.0.0
上面的例子可以实现192.168.2.0-192.168.2.31都不可以上网，但其中的192.168.2.22又可以上网，其余的192.168.2.32-192.168.2.255都可以上网，除了这个子网，其余又都不能上网。可以看到，加入规则的先后顺序基本是按照范围大小来确定的，范围越小，越先加入，路由器也就越先匹配。这里面涉及的部分内容不一定被所有的宽带路由器所支持，不确定的话，你可以试试先。
对IP的控制比较容易实现，但是对于动态获取IP地址的网络无法精确控制，而且用户还会自行将IP地址更改到允许上网的范围，从而绕过控制列表，甚至还会造成IP地址冲突，这就涉及到MAC地址与IP的绑定问题。
很多朋友很青睐MAC地址和IP的绑定，认为很好用。其实这种静态ARP技术有很大的局限性，而且效果也不好。MAC与IP地址绑定可以一定程度防止用户私自更改IP地址，之所以说一定程度，是因为此中方法也不能杜绝更改IP的现象，原因后文有述。
因为以太网通讯最终是靠着MAC来进行的，因此，将客户机网卡的MAC地址与其IP地址一一对应，那么用户再更改IP地址将无法使用局域网，更不用提上互联网了，其实现原理我简单说一下：
在每台计算机中都有一张ARP表，该表记录着曾经通讯过的其它机器MAC地址与IP地址的对应关系，下次在通讯时，会在此表中按照目的机器的IP地址查找到其MAC地址，然后与之建立连接。交换机会自动学习网络中其它机器的MAC地址，从而建立起自己的与计算机中相类似的ARP表，通讯时也要按“表”索“机”。上面提到的这些ARP表都是动态的，不定时更新的，每当有计算机开机或关机，该表都会被更新。部分路由器/交换机支持静态的ARP技术，即可以手工输入这些ARP表项，将计算机的MAC地址和IP固定，那么该机器的ARP表项就不会被更新，当用户更改了IP后，数据包传到交换机，交换机会按照目的MAC地址将数据包转发到目的机器，但是当交换机收到目的机器回应的数据包时，会发现数据包中IP和MAC的对应关系与本地ARP表不符，但是，如果是一个二层交换机，它不会去理会这种错误，因为它是靠着MAC地址来工作的，IP对它来说没有任何作用，因此该数据包会正常到达发起连接的计算机，通讯可以正常建立。那么如果是三层交换机呢，那要分两种情况，如果这两台计算机在同一子网内（或者是同一VLAN内），那么通讯仍然可以建立（理由同上）；如果不是在一个子网（或者VLAN），那么通讯连接就会失败，因为数据包要跨越三层，最终按照IP来查找目的机器的MAC地址，这时上面的错误就会终止数据包的传输，因此如果你的绑定是在交换机上做的，而且要对同一子网（VLAN）做限制的话，你基本会很失望的，这种技术只有在路由器/三层交换机上才有意义（如果你的宽带路由器支持的话，静态ARP倒是一个不错的选择）。
静态ARP有很大的缺点，首先，如果是一个很大的局域网络，要收集上百台机器的MAC地址和IP，还要一一手工输入路由器，对于网管来说是一个极大的考验（考验你的打字速度J）。其次，计算机的MAC地址也不是不能更改的，现在也有很多傻瓜式的软件，点几下鼠标就会把你的上百条记录的努力付之东流。

2.限制用户，用户基本上是指Windows里的域用户，你可以指定哪些用户可以上网，哪些不可以，但是，这种方法只能用在使用Windows计算机做为代理/路由服务器上网的局域网里，而且要建立一个完整的域，客户端还要通过输入用户和密码才能登陆，进而上网，比较适合中型的局域网络，通过域的管理还可以进行其它的控制。能够与Windows用户帐号结合的代理软件有Wingate，路由网关型软件有ISA（也可以做代理）。限制用户的好处是你不必管用户的IP地址是多少（当然你也可以在DHCP中为可上网的用户分配固定IP地址），而且有一层用户名/密码做保护，要盗用也不是那么容易。
t3.限制流量，限制流量可以在一些代理/路由服务器软件上实现，如Sygate、ISA都可以做到，因为我没有实际去做，不知道具体效果如何。
在某些交换机上也可以实现端口限速，我知道Cisco2950以上级别交换机可以做到以1M为单位的限速，其它牌子的我不是很清楚。
上面所有的方法其实都有一个弱点，无法防止内部非法的代理服务器，所谓非法，就是在可以上网的机器上装有代理软件，不可上网的用户通过此代理上网。非法代理实际上是很头痛的事情，这种封包没有任何特殊性，而且代理服务器的端口可以任意修改，用访问列表来控制几乎是不可能的，唯一的办法就是彻底断绝可上网与不可上网用户的通讯。
下面我给出一种目前来说比较完善的局域网方案，基本可以控制住机器的上网，图在最后，使用了三层交换机，VLAN划分和ACL，同样也适用于其它目的的网络控制。
其中VLAN1:192.168.1.0是可以上网的，VLAN2:192.168.2.0是不可以上网的，VLAN3:192.168.3.0是服务器。
VLAN1与VLAN2通过访问列表禁止任何通讯；VLAN1和VLAN2都可以和VLAN3通讯。
访问列表的设置：
条目动作源地址/掩码目的地址
1 禁止 192.168.1.0/255.255.255.0 192.168.2.0
2 禁止 192.168.2.0/255.255.255.0 192.168.1.0
将此列表应用在接口VLAN1和VLAN2上，启用VLAN间路由。
VLAN1和VLAN2之间用户较小的文件传输可以通过局域网的Email服务器，较大的文件可以在服务器上建立FTP服务。
这样，VLAN2的用户无论如何更改IP，也不能达到上网的目的，而且也不能通过VLAN1内的非法代理上网，并且通过VLAN3的服务器可以实现文件共享，可以说是一个较为理想的方案。