路由表+常用網絡命令+SSL的WEB安全訪問+常用網絡命令使用技巧

路由表+常用網絡命令+SSL的WEB安全訪問+常用網絡命令使用技巧

一、如何看路由表
======================================================================
Active Routes:
Network Destination        Netmask          Gateway      Interface  Metric
          0.0.0.0          0.0.0.0      192.168.1.2   192.168.1.101   10
        127.0.0.0        255.0.0.0        127.0.0.1       127.0.0.1   1
      192.168.1.0    255.255.255.0    192.168.1.101   192.168.1.101   10
    192.168.1.101  255.255.255.255        127.0.0.1       127.0.0.1   10
    192.168.1.255  255.255.255.255    192.168.1.101   192.168.1.101   10
        224.0.0.0        240.0.0.0    192.168.1.101   192.168.1.101   10
  255.255.255.255  255.255.255.255    192.168.1.101   192.168.1.101   1
Default Gateway:       192.168.1.2

Network Destination 目的網段  
Netmask 子網掩碼  
Interface 到達該目的地的本路由器的出口ip（表示信息是從計算機A的這個IP地址送出）。
Gateway 下一跳路由器入口的ip，路由器通過interface和gateway定義一調到下一個路由器的鏈路，通常情況下，interface和gateway是同一網段的
如果目的計算機的IP地址與 Netmask執行邏輯AND運算後的結果，等於在Network Destination處的值，則會將信息轉發給Gateway處的IP地址。
但是如果Gateway處的IP地址等於計算機A自己的IP地址，則表示此信息將直接傳送給目的計算機，不需要再送給其他的路由器，例如目的計算機是與計算機A在同一個網絡內。
Metric 跳數，該條路由記錄的質量，一般情況下，如果有多條到達相同目的地的路由記錄，路由器會採用metric值小的那條路由  

第一條  0.0.0.0          0.0.0.0      192.168.1.2   192.168.1.101   10
缺省路由：意思就是說，當一個數據包的目的網段不在你的路由記錄中，那麼，你的路由器該把那個數據包發送到哪裏！缺省路由的網關是由你的連接上的default gateway決定的  
該路由記錄的意思是：當我接收到一個數據包的目的網段不在我的路由記錄中，我會將該數據包通過192.168.1.101這個接口發送到192.168.1.2這個地址，這個地址是下一個路由器的一個接口，這樣這個數據包就可以交付給下一個路由器處理，與我無關。該路由記錄的線路質量 10

第二條       127.0.0.0        255.0.0.0        127.0.0.1       127.0.0.1   1
本地環路：127.0.0.0這個網段內所有地址都指向自己機器，如果收到這樣一個數據，應該發向哪裏 該路由記錄的線路質量 1  

第三條  192.168.1.0    255.255.255.0    192.168.1.101   192.168.1.101   10
直聯網段的路由記錄：當路由器收到發往直聯網段的數據包時該如何處理，這種情況，路由記錄的interface和gateway是同一個。  
當我接收到一個數據包的目的網段是192.168.1.0時，我會將該數據包通過192.168.1.101這個接口直接發送出去，因爲這個端口直接連接着192.168.1.0這個網段，該路由記錄的線路質量 10  （因interface和gateway是同一個，表示數據包直接傳送給目的地址，不需要再轉給路由器）

第四條  192.168.1.101  255.255.255.255        127.0.0.1       127.0.0.1   10
本地主機路由：當路由器收到發送給自己的數據包時將如何處理  
當我接收到一個數據包的目的網段是192.168.1.101時，我會將該數據包收下，因爲這個數據包時發送給我自己的，該路由記錄的線路質量 1  

第五條  192.168.1.255  255.255.255.255    192.168.1.101   192.168.1.101   10
本地廣播路由：當路由器收到發送給直聯網段的本地廣播時如何處理  
當我接收到廣播數據包的目的網段是192.168.1.255時，我會將該數據從192.168.1.101接口以廣播的形式發送出去，該路由記錄的線路質量 10  （因interface和gateway是同一個，表示數據包直接傳送給目的地址，不需要再轉給路由器）

第六條  224.0.0.0        240.0.0.0    192.168.1.101   192.168.1.101   10
組播路由：當路由器收到一個組播數據包時該如何處理  
當我接收到組播數據包時，我會將該數據從192.168.1.101接口以組播的形勢發送出去，該路由記錄的線路質量 10 （因interface和gateway是同一個，表示數據包直接傳送給目的地址，不需要再轉給路由器）

第十二條  255.255.255.255  255.255.255.255    192.168.1.101   192.168.1.101   1
廣播路由：當路由器收到一個絕對廣播時該如何處理  
當我接收到絕對廣播數據包時，將該數據包丟棄掉
（對主機A而言，因interface和gateway是同一個，表示數據包直接傳送給目的地址，不需要再轉給路由器）

二、Windows Server 2000路由器
 
1、啓動Win2000路由器
2、查看理解路由表
3、添加靜態路由
4、添加RIP路由協議，使用動態路由
常用網絡命令使用技巧
一、Ping命令的使用技巧
　　Ping是個使用頻率極高的實用程序，用於確定本地主機是否能與另一臺主機交換（發送與接收）數據報。根據返回的信息，我們就可以推斷TCP/IP參數是否設置得正確以及運行是否正常。需要注意的是：成功地與另一臺主機進行一次或兩次數 據報交換並不表示TCP/IP配置就是正確的，我們必須執行大量的本地主機與遠程主機的數據報交換，才能確信TCP/IP的正確性。 
　　簡單的說，Ping就是一個測試程序，如果Ping運行正確，我們大體上就可以排除網絡訪問層、網卡、MODEM的輸入輸出線路、電纜和路由器等存在的故障，從而減小了問題的範圍。但由於可以自定義所發數據報的大小及無休止的高速發送，Ping也被某些別有用心的人作爲DDOS（拒絕服務攻擊）的工具，例如許多大型的網站就是被黑客利用數百臺可以高速接入互聯網的電腦連續發送大量Ping數據報而癱瘓的。 
　　按照缺省設置，Windows上運行的Ping命令發送4個ICMP（網間控制報文協議）回送請求，每個32字節數據，如果一切正常，我們應能得到4個回送應答。 Ping能夠以毫秒爲單位顯示發送回送請求到返回回送應答之間的時間量。如果應答時間短，表示數據報不必通過太多的路由器或網絡連接速度比較快。Ping還能顯示TTL（Time To Live存在時間）值，我們可以通過TTL值推算一下數據包已經通過了多少個路由器：源地點TTL起始值（就是比返回TTL略大的一個2的乘方數）-返回時TTL值。例如，返回TTL值爲119，那麼可以推算數據報離開源地址的TTL起始值爲128，而源地點到目標地點要通過9個路由器網段（128-119）；如果返回TTL值爲246，TTL起始值就是256，源地點到目標地點要通過9個路由器網段。 
　　1、通過Ping檢測網絡故障的典型次序 
　　正常情況下，當我們使用Ping命令來查找問題所在或檢驗網絡運行情況時，我們需要使用許多Ping命令，如果所有都運行正確，我們就可以相信基本的連通性和配置參數沒有問題；如果某些Ping命令出現運行故障，它也可以指明到何處去查找問題。下面就給出一個典型的檢測次序及對應的可能故障： 
　　·ping 127.0.0.1
　　這個Ping命令被送到本地計算機的IP軟件，該命令永不退出該計算機。如果沒有做到這一點，就表示TCP/IP的安裝或運行存在某些最基本的問題。 
　　·ping 本機IP
　　這個命令被送到我們計算機所配置的IP地址，我們的計算機始終都應該對該Ping命令作出應答，如果沒有，則表示本地配置或安裝存在問題。出現此問題時，局域網用戶請斷開網絡電纜，然後重新發送該命令。如果網線斷開後本命令正確，則表示另一臺計算機可能配置了相同的IP地址。 
　　·ping 局域網內其他IP
　　這個命令應該離開我們的計算機，經過網卡及網絡電纜到達其他計算機，再返回。收到回送應答表明本地網絡中的網卡和載體運行正確。但如果收到0個回送應答，那麼表示子網掩碼（進行子網分割時，將IP地址的網絡部分與主機部分分開的代碼）不正確或網卡配置錯誤或電纜系統有問題。 
　　·ping 網關IP
　　這個命令如果應答正確，表示局域網中的網關路由器正在運行並能夠作出應答。 
　　·ping 遠程IP
　　如果收到4個應答，表示成功的使用了缺省網關。對於撥號上網用戶則表示能夠成功的訪問Internet（但不排除ISP的DNS會有問題）。 
　　·ping localhost
　　localhost是個作系統的網絡保留名，它是127.0.0.1的別名，每太計算機都應該能夠將該名字轉換成該地址。如果沒有做到這一帶內，則表示主機文件（/Windows/host）中存在問題。 
　　·ping www.xxx.com（如www.yesky.com 天極網）
　　對這個域名執行Ping www.xxx.com 地址，通常是通過DNS 服務器 如果這裏出現故障，則表示DNS服務器的IP地址配置不正確或DNS服務器有故障（對於撥號上網用戶，某些ISP已經不需要設置DNS服務器了）。順便說一句：我們也可以利用該命令實現域名對IP地址的轉換功能。 
　　如果上面所列出的所有Ping命令都能正常運行，那麼我們對自己的計算機進行本地和遠程通信的功能基本上就可以放心了。但是，這些命令的成功並不表示我們所有的網絡配置都沒有問題，例如，某些子網掩碼錯誤就可能無法用這些方法檢測到。
　　2、Ping命令的常用參數選項 
　　·ping IP –t
　　連續對IP地址執行Ping命令，直到被用戶以Ctrl+C中斷。 
　　·ping IP -l 3000
　　指定Ping命令中的數據長度爲3000字節，而不是缺省的32字節。 
　　·ping IP –n
　　執行特定次數的Ping命令。 
二、Netstat 命令的使用技巧 
　　Netstat用於顯示與IP、TCP、UDP和ICMP協議相關的統計數據，一般用於檢驗本機各端口的網絡連接情況。 

　　如果我們的計算機有時候接受到的數據報會導致出錯數據刪除或故障，我們不必感到奇怪，TCP/IP可以容許這些類型的錯誤，並能夠自動重發數據報。但如果累計的出錯情況數目佔到所接收的IP數據報相當大的百分比，或者它的數目正迅速增加，那麼我們就應該使用Netstat查一查爲什麼會出現這些情況了。 
 
　　1、netstat 的一些常用選項
　　·netstat –s
　　本選項能夠按照各個協議分別顯示其統計數據。如果我們的應用程序（如Web瀏覽器）運行速度比較慢，或者不能顯示Web頁之類的數據，那麼我們就可以用本選項來查看一下所顯示的信息。我們需要仔細查看統計數據的各行，找到出錯的關鍵字，進而確定問題所在。 
　　·netstat –e
　　本選項用於顯示關於以太網的統計數據。它列出的項目包括傳送的數據報的總字節數、錯誤數、刪除數、數據報的數量和廣播的數量。這些統計數據既有發送的數據報數量，也有接收的數據報數量。這個選項可以用來統計一些基本的網絡流量）。 
　　·netstat –r
　　本選項可以顯示關於路由表的信息，類似於後面所講使用route print命令時看到的 信息。除了顯示有效路由外，還顯示當前有效的連接。 
　　·netstat –a
　　本選項顯示一個所有的有效連接信息列表，包括已建立的連接（ESTABLISHED），也包括監聽連接請求（LISTENING）的那些連接。 
　　·netstat –n
　　顯示所有已建立的有效連接。
　　下面是 netstat 的輸出示例：
　　C:/>netstat -e
　　Interface Statistics
　　Received　　　Sent
　　Bytes　　　　　　　　　3995837940　　47224622
　　Unicast packets　　　　120099　　　　131015
　　Non-unicast packets　　7579544　　　 3823
　　Discards　　　　　　　 0　　　　　　 0
　　Errors　　　　　　　　 0　　　　　　 0
　　Unknown protocols　　　363054211
　　C:/>netstat -a
　　Active Connections
　　Proto Local Address　　　Foreign Address　　　 State
　　TCP　CORP1:1572　　　 172.16.48.10:nbsession　 ESTABLISHED
　　TCP　CORP1:1589　　　 172.16.48.10:nbsession　 ESTABLISHED
　　TCP　CORP1:1606　　　 172.16.105.245:nbsession ESTABLISHED
　　TCP　CORP1:1632　　　 172.16.48.213:nbsession　ESTABLISHED
　　TCP　CORP1:1659　　　 172.16.48.169:nbsession　ESTABLISHED
　　TCP　CORP1:1714　　　 172.16.48.203:nbsession　ESTABLISHED
　　TCP　CORP1:1719　　　 172.16.48.36:nbsession　 ESTABLISHED
　　TCP　CORP1:1241　　　 172.16.48.101:nbsession　ESTABLISHED
　　UDP　CORP1:1025　　　 *:*
　　UDP　CORP1:snmp　　　 *:*
　　UDP　CORP1:nbname　　 *:*
　　UDP　CORP1:nbdatagram *:*
　　UDP　CORP1:nbname　　 *:*
　　UDP　CORP1:nbdatagram *:*
　　C:/>netstat -s
　　IP Statistics
　　Packets Received　　　　　　 = 5378528
　　Received Header Errors　　　 = 738854
　　Received Address Errors　　　= 23150
　　Datagrams Forwarded　　　　　= 0
　　Unknown Protocols Received　 = 0
　　Received Packets Discarded　 = 0
　　Received Packets Delivered　 = 4616524
　　Output Requests　　　　　　　= 132702
　　Routing Discards　　　　　　 = 157
　　Discarded Output Packets　　 = 0
　　Output Packet No Route　　　 = 0
　　Reassembly Required　　　　　= 0
　　Reassembly Successful　　　　　　 = 0
　　Reassembly Failures　　　　　　　 = 
　　Datagrams Successfully Fragmented = 0
　　Datagrams Failing Fragmentation　 = 0
　　Fragments Created　　　　　　　　 = 0
　　ICMP Statistics
　　Received　Sent
　　Messages　　　　　　　　 693　　　 4
　　Errors　　　　　　　　　 0　　　　 0
　　Destination Unreachable　685　　　 0
　　Time Exceeded　　　　　　0　　　　 0
　　Parameter Problems　　　 0　　　　 0
　　Source Quenches　　　　　0　　　　 0
　　Redirects　　　　　　　　0　　　　 0
　　Echoes　　　　　　　　　 4　　　　 0
　　Echo Replies　　　　　　 0　　　　 4
　　Timestamps　　　　　　　 0　　　　 0
　　Timestamp Replies　　　　0　　　　 0
　　Address Masks　　　　　　0　　　　 0
　　Address Mask Replies　　 0　　　　 0
　　TCP Statistics
　　Active Opens　　　　　　　　 = 597
　　Passive Opens　　　　　　　　= 135
　　Failed Connection Attempts　 = 107
　　Reset Connections　　　　　　= 91
　　Current Connections　　　　　= 8
　　Segments Received　　　　　　= 106770
　　Segments Sent　　　　　　　　= 118431
　　Segments Retransmitted　　　 = 461
　　UDP Statistics
　　Datagrams Received　 = 4157136
　　No Ports　　　　　　 = 351928
　　Receive　Errors　　　 = 2
　　Datagrams Sent　　　 = 13809 
　　2、Netstat的妙用 
　　經常上網的人一般都使用ICQ的，不知道我們有沒有被一些討厭的人騷擾，想投訴卻又不知從和下手？其實，我們只要知道對方的IP，就可以向他所屬的ISP投訴了。但怎樣才能通過ICQ知道對方的IP呢？如果對方在設置ICQ時選擇了不顯示IP地址，那我們是無法在信息欄中看到的。其實，我們只需要通過Netstat就可以很方便的做到這一點：當他通過ICQ或其他的工具與我們相連時（例如我們給他發一條ICQ信息或他給我們發一條信息），我們立刻在DOS 命令提示符下輸入netstat -n或netstat -a就可以看到對方上網時所用的IP或ISP域名了，甚至連所用Port都完全暴露了。
三、IPConfig命令的使用技巧 
　　IPConfig實用程序和它的等價圖形用戶界面----Windows 95/98中的WinIPCfg可用於顯示當前的TCP/IP配置的設置值。這些信息一般用來檢驗人工配置的TCP/IP設置是否正確。但是，如果我們的計算機和所在的局域網使用了動態主機配置協議（DHCP），這個程序所顯示的信息也許更加實用。這時，IPConfig可以讓我們瞭解自己的計算機是否成功的租用到一個IP地址，如果租用到則可以瞭解它目前分配到的是什麼地址。瞭解計算機當前的IP地址、子網掩碼和缺省網關實際上是進行測試和故障分析的必要項目。 
　　1、IPConfig最常用的選項 
　　·ipconfig
　　當使用IPConfig時不帶任何參數選項，那麼它爲每個已經配置了的接口顯示IP地址、子網掩碼和缺省網關值。 
　　·ipconfig /all
　　當使用all選項時，IPConfig能爲DNS和WINS服務器顯示它已配置且所要使用的附加信息（如IP地址等），並且顯示內置於本地網卡中的物理地址（MAC）。如果IP地址是從DHCP服務器租用的，IPConfig將顯示DHCP服務器的IP地址和租用地址預計失效的日期。 
　　·ipconfig /release和ipconfig /renew
　　這是兩個附加選項，只能在向DHCP服務器租用其IP地址的計算機上起作用。如果我們輸入ipconfig /release，那麼所有接口的租用IP地址便重新交付給DHCP服務器（歸還IP地址）。如果我們輸入ipconfig /renew，那麼本地計算機便設法與DHCP服務器取得聯繫，並租用一個IP地址。請注意，大多數情況下網卡將被重新賦予和以前所賦予的相同的IP地址。 
　
　　下面的範例是 ipconfig /all 命令輸出，該計算機配置成使用 DHCP 服務器動態配置 TCP/IP，並使用 WINS 和 DNS 服務器解析名稱。
　　Windows 2000 IP Configuration
　　Node Type.. . . . . . . . : Hybrid
　　IP Routing Enabled.. . . . : No
　　WINS Proxy Enabled.. . . . : No
　　Ethernet adapter Local Area Connection:
　　Host Name.. . . . . . . . : corp1.microsoft.com
　　DNS Servers . . . . . . . : 10.1.0.200
　　Description. . . . . . . : 3Com 3C90x Ethernet Adapter
　　Physical Address. . . . . : 00-60-08-3E-46-07
　　DHCP Enabled.. . . . . . . : Yes
　　Autoconfiguration Enabled.: Yes
　　IP Address. . . . . . . . . : 192.168.0.112
　　Subnet Mask. . . . . . . . : 255.255.0.0
　　Default Gateway. . . . . . : 192.168.0.1
　　DHCP Server. . . . . . . . : 10.1.0.50
　　Primary WINS Server. . . . : 10.1.0.101
　　Secondary WINS Server. . . : 10.1.0.102
　　Lease Obtained.. . . . . . : Wednesday, September 02, 1998 10:32:13 AM
　　Lease Expires.. . . . . . : Friday, September 18, 1998 10:32:13 AM
　　
　　如果我們使用的是Windows 95/98，那麼我們應該更習慣使用winipcfg而不是ipconfig，因爲它是一個圖形用戶界面，而且所顯示的信息與ipconfig相同，並且也提供發佈和更新動態IP地址的選項。
　　四、ARP（地址轉換協議）的使用技巧 
　　ARP是一個重要的TCP/IP協議，並且用於確定對應IP地址的網卡物理地址。實用arp命令，我們能夠查看本地計算機或另一臺計算機的ARP高速緩存中的當前內容。此外，使用arp命令，也可以用人工方式輸入靜態的網卡物理/IP地址對，我們可能會使用這種方式爲缺省網關和本地服務器等常用主機進行這項作，有助於減少網絡上的信息量。 
　　按照缺省設置，ARP高速緩存中的項目是動態的，每當發送一個指定地點的數據報且高速緩存中不存在當前項目時，ARP便會自動添加該項目。一旦高速緩存的項目被輸入，它們就已經開始走向失效狀態。例如，在Windows NT/2000網絡中，如果輸入項目後不進一步使用，物理/IP地址對就會在2至10分鐘內失效。因此，如果ARP高速緩存中項目很少或根本沒有時，請不要奇怪，通過另一臺計算機或路由器的ping命令即可添加。所以，需要通過arp命令查看高速緩存中的內容時，請最好先ping 此臺計算機（不能是本機發送ping命令）。 
　　ARP常用命令選項： 
　　·arp -a或arp –g
　　用於查看高速緩存中的所有項目。-a和-g參數的結果是一樣的，多年來-g一直是UNIX平臺上用來顯示ARP高速緩存中所有項目的選項，而Windows用的是arp -a（-a可被視爲all，即全部的意思），但它也可以接受比較傳統的-g選項。 
　　·arp -a IP
　　如果我們有多個網卡，那麼使用arp -a加上接口的IP地址，就可以只顯示與該接口相關的ARP緩存項目。 
　　·arp -s IP 物理地址
　　我們可以向ARP高速緩存中人工輸入一個靜態項目。該項目在計算機引導過程中將保持有效狀態，或者在出現錯誤時，人工配置的物理地址將自動更新該項目。 
　　·arp -d IP
　　使用本命令能夠人工刪除一個靜態項目。 
　　例如我們在命令提示符下，鍵入 Arp –a；如果我們使用過 Ping 命令測試並驗證從這臺計算機到 IP 地址爲 10.0.0.99 的主機的連通性，則 ARP 緩存顯示以下項：
　　Interface:10.0.0.1 on interface 0x1
　　Internet Address　　　Physical Address　　　Type
　　10.0.0.99　　　　　　 00-e0-98-00-7c-dc　　 dynamic
　　在此例中，緩存項指出位於 10.0.0.99 的遠程主機解析成 00-e0-98-00-7c-dc 的媒體訪問控制地址，它是在遠程計算機的網卡硬件中分配的。媒體訪問控制地址是計算機用於與網絡上遠程 TCP/IP 主機物理通訊的地址。
　　至此我們可以用ipconfig和ping命令來查看自己的網絡配置並判斷是否正確、可以用netstat查看別人與我們所建立的連接並找出ICQ使用者所隱藏的IP信息、可以用arp查看網卡的MAC地址。 
　五、Tracert、Route 與 NBTStat的使用技巧 
　　1、Tracert的使用技巧　　
　　如果有網絡連通性問題，可以使用 tracert 命令來檢查到達的目標 IP 地址的路徑並記錄結果。tracert 命令顯示用於將數據包從計算機傳遞到目標位置的一組 IP 路由器，以及每個躍點所需的時間。如果數據包不能傳遞到目標，tracert 命令將顯示成功轉發數據包的最後一個路由器。當數據報從我們的計算機經過多個網關傳送到目的地時，Tracert命令可以用來跟蹤數據報使用的路由（路徑）。該實用程序跟蹤的路徑是源計算機到目的地的一條路徑，不能保證或認爲數據報總遵循這個路徑。如果我們的配置使用DNS，那麼我們常常會從所產生的應答中得到城市、地址和常見通信公司的名字。Tracert是一個運行得比較慢的命令（如果我們指定的目標地址比較遠），每個路由器我們大約需要給它15秒鐘。
　 Tracert的使用很簡單，只需要在tracert後面跟一個IP地址或URL，Tracert會進行相應的域名轉換的。

　　tracert 最常見的用法：

　　tracert IP address [-d] 該命令返回到達 IP 地址所經過的路由器列表。通過使用 -d 選項，將更快地顯示路由器路徑，因爲 tracert 不會嘗試解析路徑中路由器的名稱。

　　Tracert一般用來檢測故障的位置，我們可以用tracert IP在哪個環節上出了問題，雖然還是沒有確定是什麼問題，但它已經告訴了我們問題所在的地方，我們也就可以很有把握的告訴別人----某某地方出了問題。 
　　2、Route 的使用技巧
　　大多數主機一般都是駐留在只連接一臺路由器的網段上。由於只有一臺路由器，因此不存在使用哪一臺路由器將數據報發表到遠程計算機上去的問題，該路由器的IP地址可作爲該網段上所有計算機的缺省網關來輸入。 
　　但是，當網絡上擁有兩個或多個路由器時，我們就不一定想只依賴缺省網關了。實際上我們可能想讓我們的某些遠程IP地址通過某個特定的路由器來傳遞，而其他的遠程IP則通過另一個路由器來傳遞。 
　　在這種情況下，我們需要相應的路由信息，這些信息儲存在路由表中，每個主機和每個路由器都配有自己獨一無二的路由表。大多數路由器使用專門的路由協議來交換和動態更新路由器之間的路由表。但在有些情況下，必須人工將項目添加到路由器和主機上的路由表中。Route就是用來顯示、人工添加和修改路由表項目的。 
　　一般使用選項： 
　　·route print
　　本命令用於顯示路由表中的當前項目，在單路由器網段上的輸出；由於用IP地址配置了網卡，因此所有的這些項目都是自動添加的。 
　　·route add
　　使用本命令，可以將信路由項目添加給路由表。例如，如果要設定一個到目的網絡209.98.32.33的路由，其間要經過5個路由器網段，首先要經過本地網絡上的一個路由器，器IP爲202.96.123.5，子網掩碼爲255.255.255.224，那麼我們應該輸入以下命令： 
　　route add 209.98.32.33 mask 255.255.255.224 202.96.123.5 metric 5 
　　·route change
　　我們可以使用本命令來修改數據的傳輸路由，不過，我們不能使用本命令來改變數據的目的地。下面這個例子可以將數據的路由改到另一個路由器，它採用一條包含3個網段的更直的路徑： 
　　route add 209.98.32.33 mask 255.255.255.224 202.96.123.250 metric 3 
　　·route delete
　　使用本命令可以從路由表中刪除路由。例如：route delete 209.98.32.33 
　　3、NBTStat的使用技巧
　　使用 nbtstat 命令釋放和刷新 NetBIOS 名稱。NBTStat（TCP/IP上的NetBIOS統計數據）實用程序用於提供關於關於NetBIOS的統計數據。運用NetBIOS，我們可以查看本地計算機或遠程計算機上的NetBIOS名字表格。 
　　常用選項： 
　　·nbtstat –n
　　顯示寄存在本地的名字和服務程序。 
　　·nbtstat –c
　　本命令用於顯示NetBIOS名字高速緩存的內容。NetBIOS名字高速緩存用於寸放與本計算機最近進行通信的其他計算機的NetBIOS名字和IP地址對。
　　·nbtstat –r
　　本命令用於清除和重新加載NetBIOS名字高速緩存。 
　　·nbtstat -a IP
　　通過IP顯示另一臺計算機的物理地址和名字列表，我們所顯示的內容就像對方計算機自己運行nbtstat -n一樣。 
　　·nbtstat -s IP
　　顯示實用其IP地址的另一臺計算機的NetBIOS連接表。 
　　例如我們在命令提示符下，鍵入：nbtstat –RR 釋放和刷新過程的進度以命令行輸出的形式顯示。該信息表明當前註冊在該計算機的 WINS 中的所有本地 NetBIOS 名稱是否已經使用 WINS 服務器釋放和續訂了註冊。
六、NSlookup用法
配置好dns服務器，添加了相應的記錄之後，只要ip地址保持不變，一般情況下我們就不再需要去維護dns的數據文件了。不過在確認域名解釋正常之前我們最好是測試一下所有的配置是否正常。許多人會簡單地使用ping命令檢查一下就算了。不過ping指令只是一個檢查網絡聯通情況的命令，雖然在輸入的參數是域名的情況下會通過dns進行查詢，但是它只能查詢a類型和cname類型的記錄，而且只會告訴你域名是否存在，其他的信息一概欠奉。所以如果你需要對dns的故障進行排錯就必須熟練另一個更強大的工具nslookup。這個命令可以指定查詢的類型，可以查到dns記錄的生存時間還可以指定使用那個dns服務器進行解釋。

　　查詢ip地址

　　nslookup最簡單的用法就是查詢域名對應的ip地址，包括a記錄和cname記錄，如果查到的是cname記錄還會返回別名記錄的設置情況。其用法是：

　　nslookup 域名

　　以下是a記錄的返回情況。 
 
　　nslookup命令會採用先反向解釋獲得使用的dns服務器的名稱，由於我這裏使用的是一個內部的dns服務器所以沒有正確的反向記錄，導致結果的前面幾行出錯。大家可以不必理會。重點看的是最後的兩行這裏看到的是www.oray.net的ip地址是61.145.112.212。注意即使www.oray.net的主機沒有在線同樣能夠返回結果。

　　如果目標域名是一個別名記錄(cname)，nslookup就開始顯示出和ping命令不同的地方了，請看查詢cname記錄的結果。由於cname和a記錄最後都是活的ip地址，所以一般情況下兩者是等同看待的，命令的格式相同。 
 
　　注意這次nslookup返回了三行信息，前兩行顯示這是一個cname記錄，對應的域名和ip地址。最後顯示的就是目標域名， 並註明alias（別名）。
如果域名不存在會怎樣呢？ 
 
　　看得懂最後以行的英文嗎，不懂沒關係記住形狀就可以了。如果一個指定類型的域名不存在對應的記錄同樣也是這種結果。

　　查詢其他類型的域名

　　前面兩個命令我們沒有加任何參數，所以默認情況下nslookup查詢的是a類型的記錄。如果我們配置了其他類型的記錄希望看到解釋是否正常。這時候ping就無能爲力了。比如我們配置了mx記錄，但是郵件服務器只能發信不能收信，到底是域名解釋問題還是其他的問題ping命令的檢查只能讓你誤入歧途。nslookup 這時候可以模擬你的其他遇見服務器進行域名解釋的情況。我們需要在nslookup上加上適當的參數。指定查詢記錄類型的指令格式如下：

　　nslookup –qt=類型 目標域名

　　注意qt必須小寫。

　　類型可以是一下字符，不區分大小寫：

　　a 地址記錄(ipv4)
　　aaaa 地址記錄（ipv6）
　　afsdb andrew文件系統數據庫服務器記錄（不懂）
　　atma atm地址記錄（不是自動提款機）
　　cname 別名記錄
　　hinfo 硬件配置記錄，包括cpu、操作系統信息
　　isdn 域名對應的isdn號碼
　　mb 存放指定郵箱的服務器
　　mg 郵件組記錄
　　minfo 郵件組和郵箱的信息記錄
　　mr 改名的郵箱記錄
　　mx 郵件服務器記錄
　　ns 名字服務器記錄
　　ptr 反向記錄（從ip地址解釋域名）
　　rp 負責人記錄
　　rt 路由穿透記錄（不懂）
　　srv tcp服務器信息記錄（將有大用處）
　　txt 域名對應的文本信息
　　x25 域名對應的x.25地址記錄
看看oray.net的郵件服務器記錄吧。 
 
　　看看，nslookup把服務器的名稱和地址都給出來了，注意preference就是前面所說的優先級，該數值越小則優先級越高。

　　我再看看名字服務器記錄是怎麼樣的。 
 
　　看起來和mx記錄的格式差不多，一般情況下服務器會同時返回對應的地址。不過也有不返回的情況。

　　在這裏我希望大家注意一行顯示“non-suthoritativeanswer:”，這一行在前面的例子中都沒有顯示過。它的出現代表這個結果是從服務器的緩存中得到的。所以提醒你這不是一個授權的答案。前面我們進行的幾次查詢過程中192.168.1.104這臺機器就採用了我們第一篇文章中描述的過程查詢了oray.net的域名。在這個過程中不但緩存了www.oray.net、test.oray.net以及oray.net的mx記錄等最終結果。也包括獲取的名字服務器等中間結果。隱含的查詢了oray.net的ns記錄。後面我們還會介紹這個過程。

　　指定使用的名字服務器

　　在默認情況下nslookup使用的是我們在本機tcp/ip配置中的dns服務器進行查詢，但有時候我們需要指定一個特定的服務器進行查詢試驗。這時候我們不需要更改本機的tcp/ip配置，只要在命令後面加上指定的服務器ip或者域名就可以了。這個參數在我們對一臺指定服務器排錯是非常必要的，另外我們可以通過指定服務器直接查詢授權服務器的結果避免其他服務器緩存的結果。命令格式如下：

　　nslookup [-qt=類型] 目標域名 指定的dns服務器ip或域名

　　我們可看看以下的命令結果： 
 

這個命令直接從頂級域名服務器查詢oray.net的ns記錄。所有的二級域名的ns記錄都存放在頂級域名服務器中，這是最權威的解釋。注意這次沒有非授權結果的提示。對於二級域名的ns記錄查詢來說這肯定是授權結果。頂級域名服務器的名稱是a到j.gtld-servers.net共十臺服務器。(gtld是global top level domain的縮寫)。當我們修改域名的ns記錄的時候可以通過上述查詢知道修改的結果是不是已經在頂級域名服務器上生效。不過即使已經生效也可能不能正常解釋，注意我在上一篇文章中提到的緩存時間的問題。

　　那麼到底緩存多久呢？

　　檢查域名的緩存時間

　　檢查域名的緩存時間需要我們使用一個新的參數：-d

　　格式如下：

　　nslookup –d [其他的參數] 目標域名 [指定的服務器地址]

　　請看範例 

 

　　我們忽略其他的看看got answer後面幾行，包括了一個ttl數值。這個數值就是域名記錄的生存時間。

　　這種查詢將整個dns數據包的所有部分都揭示出來，大家可以看到dns實際上並不是想象中那麼簡單的東西。具體的各部分解釋大家可以去看看相關的標準文檔。需要提醒大家的是一定要找到answer:的內容，其他的東西都不是描述最終的結果。上面就不止一個地方又ttl數值。
域名解釋過程的模擬

　　我們現在來模擬一下一臺dns服務器接到一個不是自己管理的域的域名解釋過程。回憶一下第一篇文章的過程：

　　首先我們會詢問根服務器，然後根服務器會讓我們去找對應的頂級服務器。如果查詢的是oray.net，就會要求我們去找net的服務器。

　　看看下面的範例：

　　這裏我們讓21cn.com的服務器解釋www.oicp.net的域名，很顯然這臺服務器不用有這個域，需要詢問根服務器。一般情況下dns服務器會幫我們完成全部的過程。這種解釋方式我們稱之爲遞歸解析，爲了讓大家看到這個過程我家了一個參數讓21cn.com的服務器不要這樣做。這個參數是-norecurse。這樣理論上21cn.com會讓我們去問根服務器，不過由於它已經緩存了頂級服務器的記錄，所以直接返回了管理net的頂級服務器記錄。實際上大部分的查詢都不需要從根服務器開始。大家看到了所有的頂級域名服務器的地址都被返回。

　　我們隨便選擇一個在進行查詢。 

 

　　這次頂級服務器就返回了oicp.net的服務器地址記錄的。然後我們就向這些記錄之一進行查詢，一定能夠得到答案。可能是一個地址、一個cname記錄或者告訴你不存在。

　　nslookup的命令就介紹到這裏，其實nslookup還有許多其他參數。不過常用的就俄這麼幾個，另外如果大家不喜歡命令行方式的話。還有幾個圖形界面的nslookup功能的工具。不過大家還是需要了解域名解釋都有些什麼才能夠正確使用這些工具。






nslookup用法
NSLOOKUP是NT、2000中連接DNS服務器，查詢域名信息的一個非常有用的命令，簡單介紹如下： 

實例：查詢163.com域名信息 

D:/>nslookup 

Default Server: ns-px.online.sh.cn 

Address: 202.96.209.5 

當前的DNS服務器 ,可用server命令改變。 





> set type=any 



設置查選條件爲所有類型記錄（A、MX等） 



> 163.com. 



查詢域名，注意有. 

Server: ns-px.online.sh.cn 

Address: 202.96.209.5 

查詢結果~~ 

Non-authoritative answer: 

未證實回答，出現此提示表明該域名的註冊主DNS非提交查詢的DNS服務器 

163.com nameserver = NS.NEASE.NET 

163.com nameserver = NS2.NEASE.NET 

查詢域名的名字服務器 

163.com 

primary name server = ns.163.com 

主要名字服務器 

responsible mail addr = admin.NEASE.NET 

聯繫人郵件地址[email protected] 

serial = 20010348 

區域傳遞序號，又叫文件版本，當發生區域複製時，該域用來指示區域信息的更新情況。 

refresh = 10800 (3 hours) 

重刷新時間，當區域複製發生時，指定區域複製的更新時間間隔 

retry = 3600 (1 hour) 

重試時間，區域複製失敗時，重新嘗試的時間 

expire = 360000 (4 days 4 hours) 

有效時間，區域複製在有效時間內不能完成，則終止更新 

default TTL = 3600 (1 hour) 

TTL設置 

被查詢域名的資料 

163.com MX preference = 50, mail exchanger = m218.163.com 

163.com MX preference = 50, mail exchanger = m207.163.com 

163.com MX preference = 50, mail exchanger = m208.163.com 

163.com MX preference = 50, mail exchanger = m209.163.com 

163.com MX preference = 50, mail exchanger = m210.163.com 

163.com MX preference = 50, mail exchanger = m229.163.com 

163.com MX preference = 50, mail exchanger = m246.163.com 

163.com MX preference = 50, mail exchanger = m180.163.com 

163.com MX preference = 50, mail exchanger = m214.163.com 

163.com internet address = 202.106.185.77 



163.com nameserver = NS.NEASE.NET 

163.com nameserver = NS2.NEASE.NET 

NS.NEASE.NET internet address = 202.106.185.75 

NS2.NEASE.NET internet address = 61.145.113.57 

m218.163.com internet address = 202.108.44.218 

m207.163.com internet address = 202.108.44.207 

m208.163.com internet address = 202.108.44.208 

m209.163.com internet address = 202.108.44.209 

m210.163.com internet address = 202.108.44.210 

m229.163.com internet address = 202.108.44.229 

m246.163.com internet address = 202.108.44.246 

m180.163.com internet address = 202.108.44.180 

被查詢域名的滿足條件記錄 

------------------------ 

該命令的幫助（漢字部分爲說明） 



> help 



Commands: (identifiers are shown in uppercase, [] means optional) 

命令，標記有[]爲可選 

NAME - print info about the host/domain NAME using default server 

查詢主機或域名，用缺省服務器 

NAME1 NAME2 - as above, but use NAME2 as server 

查詢主機或域名，用NAME2做提交查詢服務器 

help or ? - print info on common commands 

打印幫助信息 

set OPTION - set an option 

設置選項 

all - print options, current server and host 

打印當前選項和服務器 

[no]debug - print debugging information 

打印調試信息 

[no]d2 - print exhaustive debugging information 

打印詳細的調試信息 

[no]defname - append domain name to each query 

在查詢中增加域名 

[no]recurse - ask for recursive answer to query 

請求遞歸查詢 

[no]search - use domain search list 

使用域名搜索列表 

[no]vc - always use a virtual circuit 

始終使用虛電路 

domain=NAME - set default domain name to NAME 

設置缺省域名 

srchlist=N1[/N2/.../N6] - set domain to N1 and search list to N1,N2, etc. 

設置域名列表搜索列表 

root=NAME - set root server to NAME 

設置根服務器 

retry=X - set number of retries to X 

設置重試次數 

timeout=X - set initial time-out interval to X seconds 

設置超時時間 

type=X - set query type (ex. A,ANY,CNAME,MX,NS,PTR,SOA,SRV) 

設置查詢記錄類型 

querytype=X - same as type 

與上同 

class=X - set query class (ex. IN (Internet), ANY) 

設置查詢類 

[no]msxfr - use MS fast zone transfer 

使用快速區域傳遞 

ixfrver=X - current version to use in IXFR transfer request 

server NAME - set default server to NAME, using current default server 

lserver NAME - set default server to NAME, using initial server 

finger [USER] - finger the optional NAME at the current default host 

root - set current default server to the root 

ls [opt] DOMAIN [> FILE] - list addresses in DOMAIN (optional: output to FILE) 

-a - list canonical names and aliases 

-d - list all records 

-t TYPE - list records of the given type (e.g. A,CNAME,MX,NS,PTR etc.) 

view FILE - sort an 'ls' output file and view it with pg 

exit - exit the program 

退出程序 

------------ 

一些說明： 

1、任何合法有效的域名都必須有至少一個主的名字服務器。當主名字服務器失效時，纔會使用輔助名字服務器。這裏的失效指服務器沒有響應。 

2、DNS中的記錄類型有很多，分別****不同的作用，常見的有A記錄（主機記錄，用來指示主機地址），MX記錄（郵件交換記錄，用來指示郵件服務器的交換程序），CNAME記錄（別名記錄），SOA（授權記錄），PTR（指針）等。 

3、一個有效的DNS服務器必須在註冊機構註冊，這樣纔可以進行區域複製。所謂區域複製，就是把自己的記錄定期同步到其他服務器上。當DNS接收到非法DNS發送的區域複製信息，會將信息丟棄。 

4、DNS有兩種，一是普通DNS，一是根DNS，根DNS不能設置轉發查詢，也就是說根DNS不能主動向其他DNS發送查詢請求。如果內部網絡的DNS被設置爲根DNS，則將不能接收網外的合法域名查詢，請注意，有關根DNS的說明們




我們介紹了一個方法用ping查看域名的IP地址，這樣只能查到域名的A記錄，要查詢域名的MX記錄、CNAME記錄或NS記錄，可用nslookup命令。nslookup是windows NT/2000/XP和unix、linux等操作系統自帶的命令。（在Windows 98/Me裏沒有）。 　在Windows的DOS命令行窗口裏，或unix/linux的命令行下，輸入nslookup，啓動後，界面如下（以Windows爲例）：
 
　　其中“Default Server”和“Address”是當前上網所用的DNS服務器域名和地址。“>”是nslookup的提示符。在提示符下輸入“?”和回車，可看到nslookup的幫助信息，輸入“exit”和回車可退出nslookup。 
　　此時，在提示符下直接輸入域名，可查到該域名的A記錄。例如：
 
　其中“Non-authoritative answer”表示查詢結果是從DNS的cache裏返回的。 
　　輸入set querytype=mx，再輸入域名，可查詢MX記錄。例如：
 　
輸入set querytype=cname，再輸入域名，可查詢CNAME記錄。例如：
 
　　輸入set querytype=ns，再輸入域名，可查詢NS記錄。例：
 
　　如果您在企商在線申請了域名或獨立域名的動態解析，可以用這個辦法查詢設置是否已經生效。
基於SSL的WEB安全訪問
SSL是典型的基於PKI的網絡應用，目前主要用於WEB安全訪問。
一、 理解SSL安全機制
SSL（Secure Sockets Layer 安全套接字層）是以公鑰基礎結構爲基礎的網絡安全解決方案。是由Netscape公司提出的一種建立在網絡傳輸層TCP協議之上的安全協議標準（工作在Socket網絡通信層上），用來在客戶端和服務器之間建立安全的TCP連接，向基於TCP/IP協議的客戶/服務器應用程序提供客戶端和服務器的驗證、數據完整性及信息保密性等安全措施。SSL協議主要用於瀏覽器和WEB服務器之間建立安全的數據傳輸通道，還適用於Telnet、FTP和NNTP等服務。
1、SSL的工作機制：
（1） 客戶端向服務器提出請求，要求建立安全通信連接。
（2） 客戶端與服務器進行協商，確定用於保證安全通信的加密算法和強度。
（3） 服務器將其服務器證書發送給客戶端。該證書包含服務器的公鑰，並用CA的私鑰加密。
（4） 客戶端使用CA的公鑰對服務器證書進行解密，獲得服務器公鑰。客戶端產生用於創建會話密鑰的信息，並用服務器公鑰加密，然後發送到服務器。
（5） 服務器使用自己的私鑰解密該消息，然後生成會話密鑰，然後將其用服務器公鑰加密，再發送給客戶端。這樣服務器和客戶端雙方就都擁有了會話密鑰。
（6） 服務器和客戶端使用會話密鑰來加密和解密傳輸的數據。它們之間數據傳輸使用的是對稱加密。
2、SSL協議主要解決3個關鍵問題
（1） 客戶端對服務器的身份確認
（2） 服務器對客戶的身份確認
（3） 在服務器和客戶之間建立安全的數據通道
說明：對於SSL安全來說，客戶認證是可選的，即不強制進行客戶端驗證。這有利於SSL的廣泛使用，如果要強制客戶端驗證，就要求每個客戶端都有自己的公鑰，並且服務器要對每個客戶端進行認證，僅爲每個用戶分發公鑰和數字證書，對於客戶基數大的應用來說負擔很重。而在實際應用中，服務器的認證更爲重要，因爲確保用戶知道自己正在和哪個服務器進行連接，比商家知道自己在和哪個用戶進行連接更爲重要。而且服務器比客戶數量要少得多，爲服務器配備公鑰和站點證書易於實現。
二、 Windows2000的SSL WEB安全解決方案
基於SSL的WEB安全涉及到WEB服務器和瀏覽器對SSL的支持，關鍵是服務器端。在瀏覽器和IIS WEB服務器之間建立SSL連接，必須具備以下條件：
（1） 需要從可信任的證書頒發機構獲取WEB服務器證書
（2） 必須在WEB服務器上安裝服務器證書
（3） 在WEB服務器上設置SSL選項
（4） 客戶端必須同WEB服務器信任同一證書認證機構（安裝CA證書）
三、 安裝步驟
（一） 申請和安裝服務器證書
1、 生成服務器證書請求文件

 
 
 
 
完成後生成一服務器證書證書文件certreq.txt

2、 申請服務器證書
 

 

 

 

3、 CA管理員在證書服務器端審查並頒發證書
 
4、 下載已頒發的服務器證書
 

 
5、 安裝服務器證書
 
 
 
（二） 在WEB服務器上啓用SSL
 
（三） 在客戶瀏覽器端安裝根CA證書
 
 
（四） 測試SSL連接
使用https協議訪問WEB站點

四、 對SSL客戶端進行驗證
服務器證書用來讓客戶端識別服務器身份，同樣，也可要客戶端出具證書，讓服務器識別客戶身份，這就需要客戶證書。
1、申請和安裝客戶證書
 

2、啓用SSL客戶證書驗證
 

當客戶端用瀏覽器訪問安全站點時，將出現下列對話框，要求客戶端提供客戶證書。
 
五、 在WEB服務器上使用證書信任列表進一步限制訪問
可根據需要，使用證書信任列表（CTL）定義服務器可信任的CA。這樣，可以配置每個WEB站點接受不同列表中的證書，可據此驗證客戶端證書。
一旦啓用證書信任列表，將只允許使用列表中所列CA發佈的證書，同時禁止使用其他CA發佈的證書
網管必讀-常用網絡命令
如果你玩過路由器的話，就知道路由器裏面那些很好玩的命令縮寫。例如，"sh int" 的意思是 "show interface"。 現在 Windows 2000 也有了類似界面的工具，叫做 netsh。 
　　我們在 Windows 2000 的 cmd shell 下，輸入 netsh就出來：netsh> 提示符，輸入 int ip 就顯示：interface ip> 然後輸入 dump ，我們就可以看到當前系統的網絡配置： 

　　# ---------------------------------- 
　　# Interface IP Configuration 
　　# ---------------------------------- 
　　pushd interface ip 

　　# Interface IP Configuration for "Local Area Connection" 
　　set address name = "Local Area Connection" source = static addr = 192.168.1.168 
　　mask = 255.255.255.0 
　　add address name = "Local Area Connection" addr = 192.1.1.111 mask = 255.255.255.0 
　　set address name = "Local Area Connection" gateway = 192.168.1.100 gwmetric = 1 
　　set dns name = "Local Area Connection" source = static addr = 202.96.209.5 
　　set wins name = "Local Area Connection" source = static addr = none 

　　popd 
　　# End of interface IP configuration 

　　上面介紹的是通過交互方式操作的一種辦法。 
　　我們可以直接輸入命令： 
　　"netsh interface ip add address "Local Area Connection" 10.0.0.2 
　　255.0.0.0" 
　　來添加 IP 地址。如果不知道語法，不要緊的哦！在提示符下，輸入 ? 就可以找到答案了。方便不方便啊？原來微軟的東西里面，也有那麼一些讓人喜歡的玩意兒。可惜，之至者甚少啊！ 

　　Windows網絡命令行程序

　　這部分包括： 
　　使用 ipconfig /all 查看配置 
　　使用 ipconfig /renew 刷新配置 
　　使用 ipconfig 管理 DNS 和 DHCP 類別 ID 
　　使用 Ping 測試連接 
　　使用 Arp 解決硬件地址問題 
　　使用 nbtstat 解決 NetBIOS 名稱問題 
　　使用 netstat 顯示連接統計 
　　使用 tracert 跟蹤網絡連接 
　　使用 pathping 測試路由器 
　　使用 ipconfig /all 查看配置 

　　發現和解決 TCP/IP 網絡問題時，先檢查出現問題的計算機上的 TCP/IP 配置。可以使用 ipconfig 命令獲得主機配置信息，包括 IP 地址、子網掩碼和默認網關。 

　　注意 

　　對於 Windows 95 和 Windows 98 的客戶機，請使用 winipcfg 命令而不是 ipconfig 命令。 

　　使用帶 /all 選項的 ipconfig 命令時，將給出所有接口的詳細配置報告，包括任何已配置的串行端口。使用 ipconfig /all，可以將命令輸出重定向到某個文件，並將輸出粘貼到其他文檔中。也可以用該輸出確認網絡上每臺計算機的 TCP/IP 配置，或者進一步調查 TCP/IP 網絡問題。 

　　例如，如果計算機配置的 IP 地址與現有的 IP 地址重複，則子網掩碼顯示爲 0.0.0.0。 

　　下面的範例是 ipconfig /all 命令輸出，該計算機配置成使用 DHCP 服務器動態配置TCP/IP，並使用 WINS 和 DNS 服務器解析名稱。 

　　Windows 2000 IP Configuration 
　　Node Type.. . . . . . . . : Hybrid 
　　IP Routing Enabled.. . . . : No 
　　WINS Proxy Enabled.. . . . : No 
　　Ethernet adapter Local Area Connection: 
　　Host Name.. . . . . . . . : corp1.microsoft.com 
　　DNS Servers . . . . . . . : 10.1.0.200 
　　Description. . . . . . . : 3Com 3C90x Ethernet Adapter 
　　Physical Address. . . . . : 00-60-08-3E-46-07 
　　DHCP Enabled.. . . . . . . : Yes 
　　Autoconfiguration Enabled.: Yes 
　　IP Address. . . . . . . . . : 192.168.0.112 
　　Subnet Mask. . . . . . . . : 255.255.0.0 
　　Default Gateway. . . . . . : 192.168.0.1 
　　DHCP Server. . . . . . . . : 10.1.0.50 
　　Primary WINS Server. . . . : 10.1.0.101 
　　Secondary WINS Server. . . : 10.1.0.102 
　　Lease Obtained.. . . . . . : Wednesday, September 02, 1998 10:32:13 AM 
　　Lease Expires.. . . . . . : Friday, September 18, 1998 10:32:13 AM
如果 TCP/IP 配置沒有問題，下一步測試能夠連接到 TCP/IP 網絡上的其他主機。 

　　使用 ipconfig /renew 刷新配置 

　　解決 TCP/IP 網絡問題時，先檢查遇到問題的計算機上的 TCP/IP 配置。如果計算機啓用 DHCP 並使用 DHCP 服務器獲得配置，請使用 ipconfig /renew 命令開始刷新租約。 
使用 ipconfig /renew 時，使用 DHCP 的計算機上的所有網卡（除了那些手動配置的適配器）都儘量連接到 DHCP 服務器，更新現有配置或者獲得新配置。 
也可以使用帶 /release 選項的 ipconfig 命令立即釋放主機的當前 DHCP 配置。有關 DHCP 和租用過程的詳細信息，請參閱客戶機如何獲得配置。 

　　注意 

　　對於啓用 DHCP 的 Windows 95 和 Windows 98 客戶，請使用 winipcfg 命令的 release 和 renew 選項，而不是 ipconfig /release 和 ipconfig /renew 命令，手動釋放或更新客戶的 IP 配置租約。 

　　使用 ipconfig 管理 DNS 和 DHCP 類別 ID 也可以使用 ipconfig 命令： 
顯示或重置 DNS 緩存。詳細信息，請參閱使用 ipconfig 查看或重置客戶解析程序緩存。 

　　刷新已註冊的 DNS 名稱。詳細信息，請參閱使用 ipconfig 更新 DNS 客戶註冊。 

　　顯示適配器的 DHCP 類別 ID。詳細信息，請參閱顯示客戶機上的 DHCP 類別 ID 信息。 

　　設置適配器的 DHCP 類別 ID。詳細信息，請參閱設置客戶機上的 DHCP 類別 ID 信息。 

　　使用 Ping 測試連接 

　　Ping 命令有助於驗證 IP 級的連通性。發現和解決問題時，可以使用 Ping 向目標主機名或 IP 地址發送 ICMP 迴應請求。需要驗證主機能否連接到 TCP/IP 網絡和網絡資源時，請使用 Ping。也可以使用 Ping 隔離網絡硬件問題和不兼容配置。 

　　通常最好先用 Ping 命令驗證本地計算機和網絡主機之間的路由是否存在，以及要連接的網絡主機的 IP 地址。Ping 目標主機的 IP 地址看它是否響應，如下： 

　　ping IP_address 

　　使用 Ping 時應該執行以下步驟： 
　　Ping 環回地址驗證是否在本地計算機上安裝 TCP/IP 以及配置是否正確。 
　　ping 127.0.0.1 

　　Ping 本地計算機的 IP 地址驗證是否正確地添加到網絡。 
　　ping IP_address_of_local_host 

　　Ping 默認網關的 IP 地址驗證默認網關是否運行以及能否與本地網絡上的本地主機通訊。 
　　ping IP_address_of_default_gateway 

　　Ping 遠程主機的 IP 地址驗證能否通過路由器通訊。 
　　ping IP_address_of_remote_host 

　　Ping 命令用 Windows 套接字樣式的名稱解析將計算機名解析成 IP 地址，所以如果用地址成功，但是用名稱 Ping 失敗，則問題出在地址或名稱解析上，而不是網絡連通性的問題。詳細信息，請參閱使用 Arp 解決硬件地址問題。 

　　如果在任何點上都無法成功地使用 Ping，請確認： 

　　安裝和配置 TCP/IP 之後重新啓動計算機。 

　　“Internet 協議 (TCP/IP) 屬性”對話框“常規”選項卡上的本地計算機的 IP 地址有效而且正確。 

　　用 IP 路由，並且路由器之間的鏈路是可用的。 

　　您可以使用 Ping 命令的不同選項來指定要使用的數據包大小、要發送多少數據包、是否記錄用過的路由、要使用的生存時間 (TTL) 值以及是否設置“不分段”標誌。可以鍵入 ping -? 查看這些選項。 

　　下例說明如何向 IP 地址 172.16.48.10 發送兩個 Ping，每個都是 1,450 字節： 

　　C:/>ping -n 2 -l 1450 172.16.48.10 
　　Pinging 172.16.48.10 with 1450 bytes of data: 
　　Reply from 172.16.48.10:bytes=1450 time<10ms TTL=32 
　　Reply from 172.16.48.10:bytes=1450 time<10ms TTL=32 

　　Ping statistics for 157.59.8.1: 
　　Packets:Sent = 2, Received = 2, Lost = 0 (0% loss), 
　　Approximate roundtrip times in milli-seconds: 
　　Minimum = 0ms, Maximum = 10ms, Average = 2ms 

　　默認情況下，在顯示“請求超時”之前，Ping 等待 1,000 毫秒（1 秒）的時間讓每個響應返回。如果通過 Ping 探測的遠程系統經過長時間延遲的鏈路，如衛星鏈路，則響應可能會花更長的時間才能返回。可以使用 -w （等待）選項指定更長時間的超時。
　使用 Arp 解決硬件地址問題 

　　“地址解析協議 (ARP)”允許主機查找同一物理網絡上的主機的媒體訪問控制地址，如果給出後者的 IP 地址。爲使 ARP 更加有效，每個計算機緩存 IP 到媒體訪問控制地址映射消除重複的 ARP 廣播請求。 

　　可以使用 arp 命令查看和修改本地計算機上的 ARP 表項。arp 命令對於查看 ARP 緩存和解決地址解析問題非常有用。 

　　詳細信息，請參閱查看“地址解析協議 (ARP)”緩存和添加靜態 ARP 緩存項目。 

　　使用 nbtstat 解決 NetBIOS 名稱問題 

　　TCP/IP 上的 NetBIOS (NetBT) 將 NetBIOS 名稱解析成 IP 地址。TCP/IP 爲 NetBIOS 名稱解析提供了很多選項，包括本地緩存搜索、WINS 服務器查詢、廣播、DNS 服務器查詢以及 Lmhosts 和主機文件搜索。 

　　Nbtstat 是解決 NetBIOS 名稱解析問題的有用工具。可以使用nbtstat 命令刪除或更正預加載的項目： 

　　nbtstat -n 顯示由服務器或重定向器之類的程序在系統上本地註冊的名稱。 
　　nbtstat -c 顯示 NetBIOS 名稱緩存，包含其他計算機的名稱對地址映射。 
　　nbtstat -R 清除名稱緩存，然後從 Lmhosts 文件重新加載。 
　　nbtstat -RR 釋放在 WINS 服務器上註冊的 NetBIOS 名稱，然後刷新它們的註冊。 
　　nbtstat -a name 對 name 指定的計算機執行 NetBIOS 適配器狀態命令。適配器狀態命令將

　　返回計算機的本地 NetBIOS 名稱表，以及適配器的媒體訪問控制地址。 

　　nbtstat -S 列出當前的 NetBIOS 會話及其狀態（包括統計），如下例所示： 
　　NetBIOS connection table 
　　Local name State In/out Remote Host Input Output 
------------------------------------------------------------------ 
　　CORP1 <00> Connected Out CORPSUP1<20> 6MB 5MB 
　　CORP1 <00> Connected Out CORPPRINT<20> 108KB 116KB 
　　CORP1 <00> Connected Out CORPSRC1<20> 299KB 19KB 
　　CORP1 <00> Connected Out CORPEMAIL1<20> 324KB 19KB 
　　CORP1 <03> Listening 

　　使用 netstat 顯示連接統計 

　　可以使用 netstat 命令顯示協議統計信息和當前的 TCP/IP 連接。netstat -a 命令將顯示所有連接，而 netstat -r 顯示路由表和活動連接。netstat -e 命令將顯示Ethernet 統計信息，而 netstat -s 顯示每個協議的統計信息。如果使用 netstat -n，則不能將地址和端口號轉換成名稱。下面是 netstat 的輸出示例： 

　　C:/>netstat -e 
　　Interface Statistics 
　　Received Sent 
　　Bytes 3995837940 47224622 
　　Unicast packets 120099 131015 
　　Non-unicast packets 7579544 3823 
　　Discards 0 0 
　　Errors 0 0 
　　Unknown protocols 363054211 
　　C:/>netstat -a 
　　Active Connections 
　　Proto Local Address Foreign Address State 
　　TCP CORP1:1572 172.16.48.10:nbsession ESTABLISHED 
　　TCP CORP1:1589 172.16.48.10:nbsession ESTABLISHED 
　　TCP CORP1:1606 172.16.105.245:nbsession ESTABLISHED 
　　TCP CORP1:1632 172.16.48.213:nbsession ESTABLISHED 
　　TCP CORP1:1659 172.16.48.169:nbsession ESTABLISHED 
　　TCP CORP1:1714 172.16.48.203:nbsession ESTABLISHED 
　　TCP CORP1:1719 172.16.48.36:nbsession ESTABLISHED 
　　TCP CORP1:1241 172.16.48.101:nbsession ESTABLISHED 
　　UDP CORP1:1025 *:* 
　　UDP CORP1:snmp *:* 
　　UDP CORP1:nbname *:* 
　　UDP CORP1:nbdatagram *:* 
　　UDP CORP1:nbname *:* 
　　UDP CORP1:nbdatagram *:* 
　　C:/>netstat -s 
　　IP Statistics 
　　Packets Received = 5378528 
　　Received Header Errors = 738854 
　　Received Address Errors = 23150 
　　Datagrams Forwarded = 0 
　　Unknown Protocols Received = 0 
　　Received Packets Discarded = 0 
　　Received Packets Delivered = 4616524 
　　Output Requests = 132702 
　　Routing Discards = 157 
　　Discarded Output Packets = 0 
　　Output Packet No Route = 0 
　　Reassembly Required = 0 
　　Reassembly Successful = 0 
　　Reassembly Failures = 
　　Datagrams Successfully Fragmented = 0 
　　Datagrams Failing Fragmentation = 0 
　　Fragments Created = 0 
　　ICMP Statistics 
　　Received Sent 
　　Messages 693 4 
　　Errors 0 0 
　　Destination Unreachable 685 0 
　　Time Exceeded 0 0 
　　Parameter Problems 0 0 
　　Source Quenches 0 0 
　　Redirects 0 0 
　　Echoes 4 0 
　　Echo Replies 0 4 
　　Timestamps 0 0 
　　Timestamp Replies 0 0 
　　Address Masks 0 0 
　　Address Mask Replies 0 0 
　　TCP Statistics 
　　Active Opens = 597 
　　Passive Opens = 135 
　　Failed Connection Attempts = 107 
　　Reset Connections = 91 
　　Current Connections = 8 
　　Segments Received = 106770 
　　Segments Sent = 118431 
　　Segments Retransmitted = 461 
　　UDP Statistics 
　　Datagrams Received = 4157136 
　　No Ports = 351928 
　　Receive Errors = 2 
　　Datagrams Sent = 13809
使用 tracert 跟蹤網絡連接 

　　Tracert（跟蹤路由）是路由跟蹤實用程序，用於確定 IP 數據報訪問目標所採取的路徑。Tracert 命令用 IP 生存時間 (TTL) 字段和 ICMP 錯誤消息來確定從一個主機到網絡上其他主機的路由。 

　　Tracert 工作原理

　　通過向目標發送不同 IP 生存時間 (TTL) 值的“Internet 控制消息協議 (ICMP)”迴應數據包，Tracert 診斷程序確定到目標所採取的路由。要求路徑上的每個路由器在轉發數據包之前至少將數據包上的 TTL 遞減 1。數據包上的 TTL 減爲 0 時，路由器應該將“ICMP 已超時”的消息發回源系統。 

　　Tracert 先發送 TTL 爲 1 的迴應數據包，並在隨後的每次發送過程將 TTL 遞增 1，直到目標響應或 TTL 達到最大值，從而確定路由。通過檢查中間路由器發回的“ICMP 已超時”的消息確定路由。某些路由器不經詢問直接丟棄 TTL 過期的數據包，這在Tracert 實用程序中看不到。 

　　Tracert 命令按順序打印出返回“ICMP 已超時”消息的路徑中的近端路由器接口列表。如果使用 -d 選項，則Tracert 實用程序不在每個 IP 地址上查詢 DNS。 

　　在下例中，數據包必須通過兩個路由器（10.0.0.1 和 192.168.0.1）才能到達主機172.16.0.99。主機的默認網關是 10.0.0.1，192.168.0.0 網絡上的路由器的 IP 地 址是 192.168.0.1。 

　　C:/>tracert 172.16.0.99 -d 
　　Tracing route to 172.16.0.99 over a maximum of 30 hops 
　　1 2s 3s 2s 10,0.0,1 
　　2 75 ms 83 ms 88 ms 192.168.0.1 
　　3 73 ms 79 ms 93 ms 172.16.0.99 
　　Trace complete. 

　　用 tracert 解決問題

　　可以使用 tracert 命令確定數據包在網絡上的停止位置。下例中，默認網關確定 192.168.10.99 主機沒有有效路徑。這可能是路由器配置的問題，或者是 192.168.10.0 網絡不存在（錯誤的 IP 地址）。 

　　C:/>tracert 192.168.10.99 
　　Tracing route to 192.168.10.99 over a maximum of 30 hops 
　　1 10.0.0.1 reportsestination net unreachable. 
　　Trace complete. 

　　Tracert 實用程序對於解決大網絡問題非常有用，此時可以採取幾條路徑到達同一個點。 

　　Tracert 命令行選項 

　　Tracert 命令支持多種選項，如下表所示。 
　　tracert [-d] [-h maximum_hops] [-j host-list] [-w timeout] target_name 

　　選項 描述 
　　-d 指定不將 IP 地址解析到主機名稱。 
　　-h maximum_hops 指定躍點數以跟蹤到稱爲 target_name 的主機的路由。 
　　-j host-list 指定 Tracert 實用程序數據包所採用路徑中的路由器接口列表。 
　　-w timeout 等待 timeout 爲每次回覆所指定的毫秒數。 
　　target_name 目標主機的名稱或 IP 地址。 
　　詳細信息，請參閱使用 tracert 命令跟蹤路徑。
使用 pathping 測試路由器 

　　pathping 命令是一個路由跟蹤工具，它將 ping 和 tracert 命令的功能和這兩個工具所不提供的其他信息結合起來。pathping 命令在一段時間內將數據包發送到到達最終目標的路徑上的每個路由器，然後基於數據包的計算機結果從每個躍點返回。由於命令顯示數據包在任何給定路由器或鏈接上丟失的程度，因此可以很容易地確定可能導致網絡問題的路由器或鏈接。某些選項是可用的，如下表所示。 
 

　　默認的躍點數是 30，並且超時前的默認等待時間是 3 秒。默認時間是 250 毫秒，並且沿着路徑對每個路由器進行查詢的次數是 100。 

　　以下是典型的 pathping 報告。躍點列表後所編輯的統計信息表明在每個獨立路由器上數據包丟失的情況。 

　　D:/>pathping -n msw 
　　Tracing route to msw [7.54.1.196] 
　　over a maximum of 30 hops: 
　　0 172.16.87.35 
　　1 172.16.87.218 
　　2 192.68.52.1 
　　3 192.68.80.1 
　　4 7.54.247.14 
　　5 7.54.1.196 
　　Computing statistics for 125 seconds... 
　　Source to Here This Node/Link 
　　Hop RTT Lost/Sent = Pct Lost/Sent = Pct Address 
　　0 172.16.87.35 
　　0/ 100 = 0% | 
　　1 41ms 0/ 100 = 0% 0/ 100 = 0% 172.16.87.218 
　　13/ 100 = 13% | 
　　2 22ms 16/ 100 = 16% 3/ 100 = 3% 192.68.52.1 
　　0/ 100 = 0% | 
　　3 24ms 13/ 100 = 13% 0/ 100 = 0% 192.68.80.1 
　　0/ 100 = 0% | 
　　4 21ms 14/ 100 = 14% 1/ 100 = 1% 10.54.247.14 
　　0/ 100 = 0% | 
　　5 24ms 13/ 100 = 13% 0/ 100 = 0% 10.54.1.196 
　　Trace complete. 

　　當運行 pathping 時，在測試問題時首先查看路由的結果。此路徑與 tracert 命令所顯示的路徑相同。然後 pathping 命令對下一個 125 毫秒顯示忙消息（此時間根據躍點計數變化）。在此期間，pathping 從以前列出的所有路由器和它們之間的鏈接之間收集信息。在此期間結束時，它顯示測試結果。 

　　最右邊的兩欄 This Node/Link Lost/Sent=Pct 和 Address 包含的信息最有用。172.16.87.218（躍點 1）和 192.68.52.1（躍點 2）丟失 13% 的數據包。 所有其他鏈接工作正常。在躍點 2 和 4 中的路由器也丟失尋址到它們的數據包（如 This Node /Link 欄中所示），但是該丟失不會影響轉發的路徑。 

　　對鏈接顯示的丟失率（在最右邊的欄中標記爲 |）表明沿路徑轉發丟失的數據包。該丟失表明鏈接阻塞。對路由器顯示的丟失率（通過最右邊欄中的 IP 地址顯示）表明這些路由器的 CPU 可能超負荷運行。這些阻塞的路由器可能也是端對端問題的一個因素，尤其是在軟件路由器轉發數據包時。