网络管理实用手册

YY01

一　网络管理之IP地址篇

　　众所周知，在电话通讯中，电话用户是靠电话号码来识别的。同样，在网络中为了区别不同的计算机，也需要给计算机指定一个号码，这个号码就是“IP地址”。

什么是IP地址

　　所谓IP地址就是给每个连接在Internet上的主机分配的一个32bit地址。

　　按照TCP/IP（Transport Control Protocol/Internet Protocol，传输控制协议/Internet协议）协议规定，IP地址用二进制来表示，每个IP地址长32bit，比特换算成字节，就是4个字节。例如一个采用二进制形式的IP地址是“00001010000000000000000000000001”，这么长的地址，人们处理起 来也太费劲了。为了方便人们的使用，IP地址经常被写成十进制的形式，中间使用符号“.”分开不同的字节。于是，上面的IP地址可以表示为“10.0.0.1”。IP地址的这种表示法叫做“点分十进制表示法”，这显然比1和0容易记忆得多。

　　有人会以为，一台计算机只能有一个IP地址，这种观点是错误的。我们可以指定一台计算机具有多个IP地址，因此在访问互联网时，不要以为一个IP地址就是一台计算机；另外，通过特定的技术，也可以使多台服务器共用一个IP地址，这些服务器在用户看起来 就像一台主机似的。

如何分配IP地址

　　TCP/IP协议需要针对不同的网络进行不同的设置，且每个节点一般需要一个“IP地址”、一个“子网掩码”、一个“默认网关”。不过，可以通过动态主机配置协议（DHCP），给客户端自动分配一个IP地址，避免了出错，也简化了TCP/IP协议的设置。

　　那么，局域网怎么分配IP地址呢？互联网上的IP地址统一由一个叫“IANA”（Internet Assigned Numbers Authority，互联网网络号分配机构）的组织来管理。

　　由于分配不合理以及IPv4协议本身存在的局限，现在互联网的IP地址资源越来越紧张，为了解决这一问题，IANA将A、B、C类IP地址的一部分保留下来，留作局域网使用的IP地址空间，保留IP的范围如附表所示。［见附件］

　　保留的IP地址段不会在互联网上使用，因此与广域网相连的路由器在处理保留IP地址时，只是将该数据包丢弃处理，而不会路由到广域网上去，从而将保留IP地址产生的数据隔离在局域网内部。

　　在局域网内计算机数量少于254台的情况下，一般在C类IP地址段里选择IP地址范围就可以了，如从“192.168.1.1”到“192.168.1. 254”。

如何设置IP地址

　　那么如何来设置IP地址呢？以Windows 2000 Server为例，在桌面的“网上邻居”上右击，在弹出的菜单中点击“属性”，出现“网络和拨号连接”窗口，在“本地连接”上右击，在弹出的菜单中点击“属性”，出现“本地连接属性”窗口（请见附图），双击“Internet协议（TCP/IP）”，出现“Internet协议（TCP/IP）属性”窗口，在“使用下面的IP地址”中输入IP地址，此处我们输入“192.168.12.145”，子网掩码是“255.255.255.0”。

YY01

二　网络管理之网关篇

??大家都知道，从一个房间走到另一个房间，必然要经过一扇门。同样，从一个网络向另一个网络发送信息，也必须经过一道“关口”，这道关口就是网关。

什么是网关

??顾名思义，网关（Gateway）就是一个网络连接到另一个网络的“关口”。

??按照不同的分类标准，网关也有很多种。TCP/IP协议里的网关是最常用的，在这里我们所讲的“网关”均指TCP/IP协议下的网关。

??那么网关到底是什么呢？网关实质上是一个网络通向其他网络的IP地址。比如有网络A和网络B，网络A的IP地址范围为“192.168.1.1~192. 168.1.254”，子网掩码为255.255.255.0；网络B的IP地址范围为“192.168.2.1~192.168.2.254”，子网掩码为255.255.255.0。在没有路由器的情况下，两个网络之间是不能进行TCP/IP通信的，即使是两个网络连接在同一台交换机（或集线器）上，TCP/IP协议也会根据子网掩码（255.255.255.0）判定两个网络中的主机处在不同的网络里。而要实现这两个网络之间的通信，则必须通过网关。如果网络A中的主机发现数据包的目的主机不在本地网络中，就把数据包转发给它自己的网关，再由网关转发给网络 B的网关，网络B的网关再转发给网络B的某个主机（如附图所示）。网络B向网络A转发数据包的过程也是如此。

??所以说，只有设置好网关的IP地址，TCP/IP协议才能实现不同网络之间的相互通信。那么这个IP地址是哪台机器的IP地址呢？网关的IP地址是具有路由功能的设备的IP地址，具有路由功能的设备有路由器、启用了路由协议的服务器（实质上相当于一台路由器）、代理服务器（也相当于一台路由器）。

什么是默认网关

??如果搞清了什么是网关，默认网关也就好理解了。就好像一个房间可以有多扇门一样，一台主机可以有多个网关。默认网关的意思是一台主机如果找不到可用的网关，就把数据包发给默认指定的网关，由这个网关来处理数据包。现在主机使用的网关，一般指的是默认网 关。


如何设置默认网关

??一台电脑的默认网关是不可以随随便便指定的，必须正确地指定，否则一台电脑就会将数据包发给不是网关的电脑，从而无法与其他网络的电脑通信。默认网关的设定有手动设置和自动设置两种方式。

??1. 手动设置

??手动设置适用于电脑数量比较少、TCP/IP参数基本不变的情况，比如只有几台到十几台电脑。因为这种方法需要在联入网络的每台电脑上设置“默认网关”，非常费劲，一旦因为迁移等原因导致必须修改默认网关的IP地址，就会给网管带来很大的麻烦，所以不推荐使用。

??在Windows 9x中，设置默认网关的方法是在“网上邻居”上右击，在弹出的菜单中点击“属性”，在网络属性对话框中选择“TCP/IP协议”，点击“属性”，在“默认网关”选项卡中填写新的默认网关的IP地址就可以了。

??需要特别注意的是：默认网关必须是电脑自己所在的网段中的IP地址，而不能填写其他网段中的IP地址。

??2. 自动设置

??自动设置就是利用DHCP服务器来自动给网络中的电脑分配IP地址、子网掩码和默认网关。这样做的好处是一旦网络的默认网关发生了变化时，只要更改了DHCP服务器中默认网关的设置，那么网络中所有的电脑均获得了新的默认网关的IP地址。这种方法适用 于网络规模较大、TCP/IP参数有可能变动的网络。

??另外一种自动获得网关的办法是通过安装代理服务器软件（如MS Proxy）的客户端程序来自动获得，其原理和方法和DHCP有相似之处。由于篇幅所限，就不再详述了。

YY01

三　网络管理之TCP/UDP篇
??我们学习过什么是“数据包”。理解数据包，对于网络管理的网络安全具有至关重要的意义。比如，防火墙的作用本质就是检测网络中的数据包，判断其是否违反了预先设置的规则，如果违反就加以阻止。图1就是瑞星个人版防火墙软件设置规则的界面。细心的读者会
发现，图1中的“协议”栏中有“TCP”、“UDP”等名词，它们是什么意思呢？现在我们就来讲讲什么是TCP和UDP。
面向连接的TCP
??“面向连接”就是在正式通信前必须要与对方建立起连接。比如你给别人打电话，必须等线路接通了、对方拿起话筒才能相互通话。
??TCP（Transmission Control Protocol，传输控制协议）是基于连接的协议，也就是说，在正式收发数据前，必须和对方建立可靠的连接。一个TCP连接必须要经过三次“对话”才能建立起来，其中的过程非常复杂，我们这里只做简单、形象的介绍，你只要做到能够理解这个过程即可。我们
来看看这三次对话的简单过程：主机A向主机B发出连接请求数据包：“我想给你发数据，可以吗？”，这是第一次对话；主机B向主机A发送同意连接和要求同步（同步就是两台主机一个在发送，一个在接收，协调工作）的数据包：“可以，你什么时候发？”，这是第二
次对话；主机A再发出一个数据包确认主机B的要求同步：“我现在就发，你接着吧！”，这是第三次对话。三次“对话”的目的是使数据包的发送和接收同步，经过三次“对话”之后，主机A才向主机B正式发送数据。

??TCP协议能为应用程序提供可靠的通信连接，使一台计算机发出的字节流无差错地发往网络上的其他计算机，对可靠性要求高的数据通信系统往往使用TCP协议传输数据。

??我们来做一个实验，用计算机A（安装Windows 2000
Server操作系统）从“网上邻居”上的一台计算机B拷贝大小为8,644,608字节的文件，通过状态栏右下角网卡的发送和接收指标就会发现：虽然是数据流是由计算机B流向计算机A，但是计算机A仍发送了3,456个数据包，如图2所示。这些数据包是
怎样产生的呢？因为文件传输时使用了TCP/IP协议，更确切地说是使用了面向连接的TCP协议，计算机A接收数据包的时候，要向计算机B回发数据包，所以也产生了一些通信量。
??如果事先用网络监视器监视网络流量，就会发现由此产生的数据流量是9,478,819字节，比文件大小多出10.96%（如图3所示），原因不仅在于数据包和帧本身占用了一些空间，而且也在于TCP协议面向连接的特性导致了一些额外的通信量的产生。
面向非连接的UDP协议
??“面向非连接”就是在正式通信前不必与对方先建立连接，不管对方状态就直接发送。这与现在风行的手机短信非常相似：你在发短信的时候，只需要输入对方手机号就OK了。
??UDP（User Data Protocol，用户数据报协议）是与TCP相对应的协议。它是面向非连接的协议，它不与对方建立连接，而是直接就把数据包发送过去！

??UDP适用于一次只传送少量数据、对可靠性要求不高的应用环境。比如，我们经常使用“ping”命令来测试两台主机之间TCP/IP通信是否正常，其实“ping”命令的原理就是向对方主机发送UDP数据包，然后对方主机确认收到数据包，如果数据包是否到达的消息及时反馈回来，那么网络就是通的。例如，在默认状态下，一次“ping”操作发送4个数据包（如图2所示）。大家可以看
到，发送的数据包数量是4包，收到的也是4包（因为对方主机收到后会发回一个确认收到的数据包）。这充分说明了UDP协议是面向非连接的协议，没有建立连接的过程。正因为UDP协议没有连接的过程，所以它的通信效果高；但也正因为如此，它的可靠性不如TC
P协议高。QQ就使用UDP发消息，因此有时会出现收不到消息的情况。

YY01

四 网络管理之ARP协议篇

　　我们知道，当我们在浏览器里面输入网址时，DNS服务器会自动把它解析为IP地址，浏览器实际上查找的是IP地址而不是网址。那么IP地址是如何转换为第二层物理地址（即MAC地址）的呢？在局域网中，这是通过ARP协议来完成的。ARP协议对网络安 全具有重要的意义。通过伪造IP地址和MAC地址实现ARP欺骗，能够在网络中产生大量的ARP通信量使网络阻塞。所以网管们应深入理解ARP协议。

一、什么是ARP协议

　　ARP协议是“Address Resolution Protocol”（地址解析协议）的缩写。在局域网中，网络中实际传输的是“帧”，帧里面是有目标主机的MAC地址的。在以太网中，一个主机要和另一个主机进行直接通信，必须要知道目标主机的MAC地址。但这个目标MAC地址是如何获得的呢？它就是通过 地址解析协议获得的。所谓“地址解析”就是主机在发送帧前将目标IP地址转换成目标MAC地址的过程。ARP协议的基本功能就是通过目标设备的IP地址，查询目标设备的MAC地址，以保证通信的顺利进行。

二、ARP协议的工作原理

　　在每台安装有TCP/IP协议的电脑里都有一个ARP缓存表，表里的IP地址与MAC地址是一一对应的，如附表所示。
　　我们以主机A（192.168.1.5）向主机B（192.168.1.1）发送数据为例。当发送数据时，主机A会在自己的ARP缓存表中寻找是否有目标IP地址。如果找到了，也就知道了目标MAC地址，直接把目标MAC地址写入帧里面发送就可以了； 如果在ARP缓存表中没有找到相对应的IP地址，主机A就会在网络上发送一个广播，目标MAC地址是“FF.FF.FF.FF.FF.FF”，这表示向同一网段内的所有主机发出这样的询问：“192.168.1.1的MAC地址是什么？”网络上其他主机并 不响应ARP询问，只有主机B接收到这个帧时，才向主机A做出这样的回应：“192.168.1.1的MAC地址是00-aa-00-62-c6-09”。这样，主机A就知道了主机B的MAC地址，它就可以向主机B发送信息了。同时它还更新了自己的ARP缓存表，下次再向主机B发送信息时，直接从ARP缓存表里查找就可以了。ARP缓存表采用了老化机制，在一段时间内如果表中的某一行没有使用，就会 被删除，这样可以大大减少ARP缓存表的长度，加快查询速度。

三、如何查看ARP缓存表

　　ARP缓存表是可以查看的，也可以添加和修改。在命令提示符下，输入“arp -a”就可以查看ARP缓存表中的内容了，如附图所示。

　　用“arp -d”命令可以删除ARP表中某一行的内容；用“arp -s”可以手动在ARP表中指定IP地址与MAC地址的对应。

YY01

五 网络管理之ICMP协议篇
　　对TCP/IP协议你一定非常熟悉，但是对ICMP协议你可能就一无所知了。ICMP协议是一个非常重要的协议，它对于网络安全具有极其重要的意义。下面我们就来谈谈ICMP协议。
什么是ICMP协议
　　ICMP是“Internet Control Message Protocol”（Internet控制消息协议）的缩写。它是TCP/IP协议族的一个子协议，用于在IP主机、路由器之间传递控制消息。控制消息是指网络通不通、主机是否可达、路由是否可用等网络本身的消息。这些控制消息虽然并不传输用户数据，但是对于用户数据的传递起着重要的作用。
　　我们在网络中经常会使用到ICMP协议，只不过我们觉察不到而已。比如我们经常使用的用于检查网络通不通的Ping命令，这个“Ping”的过程实际上就是ICMP协议工作的过程。还有其他的网络命令如跟踪路由的Tracert命令也是基于ICMP协议的。
ICMP的重要性
　　ICMP协议对于网络安全具有极其重要的意义。ICMP协议本身的特点决定了它非常容易被用于攻击网络上的路由器和主机。例如，在1999年8月海信集团“悬赏”50万元人民币测试防火墙的过程中，其防火墙遭受到的ICMP攻击达334050次之多，
占整个攻击总数的90%以上！可见，ICMP的重要性绝不可以忽视！
　　比如，可以利用操作系统规定的ICMP数据包最大尺寸不超过64KB这一规定，向主机发起“Ping
of Death”（死亡之Ping）攻击。“Ping of Death”
攻击的原理是：如果ICMP数据包的尺寸超过64KB上限时，主机就会出现内存分配错误，导致TCP/IP堆栈崩溃，致使主机死机。
　　此外，向目标主机长时间、连续、大量地发送ICMP数据包，也会最终使系统瘫痪。大量的ICMP数据包会形成“ICMP风暴”，使得目标主机耗费大量的CPU资源处理，疲于奔命。
应对ICMP攻击
　　虽然ICMP协议给黑客以可乘之机，但是ICMP攻击也并非无药可医。只要在日常网络管理中未雨绸缪，提前做好准备，就可以有效地避免ICMP攻击造成的损失。
　　对于“Ping of Death”攻击，可以采取两种方法进行防范：第一种方法是在路由器上对ICMP数据包进行带宽限制，将ICMP占用的带宽控制在一定的范围内，这样即使有ICMP攻击，它所占用的带宽也是非常有限的，对整个网络的影响非常少；第二种方法就是在主机上设置 ICMP数据包的处理规则，最好是设定拒绝所有的ICMP数据包。
　　设置ICMP数据包处理规则的方法也有两种，一种是在操作系统上设置包过滤，另一种是在主机上安装防火墙。具体设置如下：
　　1．在Windows 2000 Server中设置ICMP过滤
　　Windows 2000 Server提供了“路由与远程访问”服务，但是默认情况下是没有启动的，因此首先要启动它：点击“管理工具”中的“路由与远程访问”，启动设置向导。在其中选择“手动配置服务器”项，点击[下一步]按钮。稍等片刻后，系统会提示“路由和远程访问服务现在已被安装。要开始服务吗？”，点击[是]按钮启动服务。
　　服务启动后，在计算机名称的分支下会出现一个“IP路由选择”，点击它展开分支，再点击“常规”，会在右边出现服务器中的网络连接（即网卡）。用鼠标右键点击你要配置的网络连接，在弹出的菜单中点击“属性”，会弹出一个网络连接属性的窗口，如图1所示 。

　
　图1中有两个按钮，一个是“输入筛选器”（指对此服务器接受的数据包进行筛选），另一个是“输出筛选器”（指对此服务器发送的数据包进行筛选），这里应该点击[输入筛选器]
按钮，会弹出一个“添加筛选器”窗口，再点击[添加]按钮，表示要增加一个筛选条件。
　　在“协议”右边的下拉列表中选择“ICMP”，在随后出现的“ICMP类型”和“ICMP编码”中均输入“255”，代表所有的ICMP类型及其编码。ICMP有许多不同的类型（Ping就是一种类型），每种类型也有许多不同的状态，用不同的“编码”
来表示。因为其类型和编码很复杂，这里不再叙述。
　　点击[确定]按钮返回“输入筛选器”窗口，此时会发现“筛选器”列表中多了一项内容（如图2所示）。点击[确定]按钮返回“本地连接”窗口，再点击[确定]按钮，此时筛选器就生效了，从其他计算机上Ping这台主机就不会成功了。

　　2．
用防火墙设置ICMP过滤
　　现在许多防火墙在默认情况下都启用了ICMP过滤的功能。如果没有启用，只要选中“防御ICMP攻击”、“防止别人用ping命令探测”就可以了，如图3所示。

　　通过以上讲解，你现在知道ICMP的重要性了吧？赶紧给你的服务器设置ICMP过滤吧。

YY01

六 IEEE 802.11b标准简析

??以往，无线局域网发展缓慢，推广应用困难，主要是由于传输速率低、成本高、产品系列有限，且很多产品不能相互兼容。如以前无线局域网的速率只有1～2Mb/s，而许多应用也是根据10Mb/s以太网速率设计的，限制了无线产品的应用种类。针对现在高速增长的数据业务和多媒体业务，无线局域网取得进展的关键就在于高速新标准的制定，以及基于该标准的10Mb/s甚至更高速率产品的出现。IEEE 802.11b从根本上改变了无线局域网的设计和应用现状，满足了人们在一定区域内实现不间断移动办公的需求，为我们创造了一个自由的空间。

一、802.11b标准简介

??IEEE 802.11b无线局域网的带宽最高可达11Mbps，比两年前刚批准的IEEE 802.11标准快5倍，扩大了无线局域网的应用领域。另外，也可根据实际情况采用5.5Mbps、2 Mbps和1 Mbps带宽，实际的工作速度在5Mb/s左右，与普通的10Base-T规格有线局域网几乎是处于同一水平。作为公司内部的设施，可以基本满足使用要求。IEEE 802.11b使用的是开放的2.4GB频段，不需要申请就可使用。既可作为对有线网络的补充，也可独立组网，从而使网络用户摆脱网线的束缚，实现真正意义上的移动应用。

??IEEE 802.11b无线局域网与我们熟悉的IEEE 802.3以太网的原理很类似，都是采用载波侦听的方式来控制网络中信息的传送。不同之处是以太网采用的是CSMA/CD（载波侦听/冲突检测）技术，网络上所有工作站都侦听网络中有无信息发送，当发现网络空闲时即发出自己的信息，如同抢答一样，只能有一台工作站抢到发言权，而其余工作站需要继续等待。如果一旦有两台以上的工作站同时发出信息，则网络中会发生冲突，冲突后这些冲突信息都 会丢失，各工作站则将继续抢夺发言权。而802.11b无线局域网则引进了冲突避免技术，从而避免了网络中冲突的发生，可以大幅度提高网络效率。

IEEE 802.11b优点

??功能?????????????优点

??速度?2.4ghz直接序列扩频无线电提供最大为11mbps的数据传输速率，无须直线传播

??动态速率转换?当射频情况变差时，降低数据传输速率为5.5mbps、2mbps和1mbps

??使用范围?802.11b支持以百米为单位的范围（在室外为300米；在办公环境中最长为100
???????米）

??可靠性?与以太网类似的连接协议和数据包确认提供可靠的数据传送和网络带宽的有效使
??????用

??互用性?与以前的标准不同的是，802.11b只允许一种标准的信号发送技术。weca将认证
??????产品的互用性

??电源管理??802.11b网络接口卡可转到休眠模式，访问点将信息缓冲到客户，延长了笔
????????记本电脑的电池寿命

??漫游支持??当用户在楼房或公司部门之间移动时，允许在访问点之间进行无缝连接

??加载平衡??802.11b nic更改与之连接的访问点，以提高性能（例如，当前的访问点流
????????量较拥挤，或发出低质量的信号时）

??可伸缩性??最多三个访问点可以同时定位于有效使用范围中，以支持上百个用户
????????同时语音和数据支持

??安全性???内置式鉴定和加密


??二、802.11b的基本运作模式

??802.11b运作模式基本分为两种：点对点模式和基本模式，如图１所示。点对点模式是指无线网卡和无线网卡之间的通信方式。只要PC插上无线网卡即可与另一具有无线网卡的PC连接，对于小型的无线网络来说，是一种方便的连接方式，最多可连接256台 PC。而基本模式是指无线网络规模扩充或无线和有线网络并存时的通信方式，这是802.11b最常用的方式。此时，插上无线网卡的PC需要由接入点与另一台PC连接。接入点负责频段管理及漫游等指挥工作，一个接入点最多可连接1024台PC（无线网卡）。 当无线网络节点扩增时，网络存取速度会随着范围扩大和节点的增加而变慢，此时添加接入点可以有效控制和管理频宽与频段。无线网络需要与有线网络互连，或无线网络节点需要连接和存取有线网的资源和服务器时，接入点可以作为无线网和有线网之间的桥梁。


三、802.11b的典型解决方案

??802.11b无线局域网由于其便利性和可伸缩性，特别适用于小型办公环境和家庭网络。在室内环境中，针对不同的实际情况可以有不同的典型解决方案

??对等解决方案

??对等解决方案是一种最简单的应用方案，只要给每台电脑安装一片无线网卡，即可相互访问。如果需要与有线网络连接，可以为其中一台电脑再安装一片有线网卡，无线网中其余电脑即利用这台电脑作为网关，访问有线网络或共享打印机等设备。

但对等解决方案是一种点对点方案，网络中的电脑只能一对一互相传递信息，而不能同时进行多点访问。如果要实现像有线局域网的互通功能，则必须借助接入点。

??单接入点解决方案

??接入点相当于有线网络中的集线器。无线接入点可以连接周边的无线网络终端，形成星形网络结构，同时通过10Base-T端口与有线网络相连，使整个无线网的终端都能访问有线网络的资源，并可通过路由器访问Internet。


802.11b应用

??功能?????????????优点

??不易接线的区域??在不易接线或接线费用较高的区域（如有历史意义的建筑物，有石棉
???????????的建筑物，以及教室）中提供网络服务

??灵活的工作组???为经常进行网络配置更改的工作区降低了总拥有成本

??网络化的会议室??用户可在从一个会议室移动到另一个会议室时进行网络连接，以获得
???????????最新的信息，并且可在决策时相互交流

??特殊网络?????现场顾问和小工作组的快速安装和兼容软件可提高工作效率

??子公司网络????为远程或销售办公室提供易于安装、使用和维护的网络

??部门范围的网络移动?漫游功能使企业可以建立易于使用的无线网络，可覆盖所有部门


??一般地说，802.11b允许使用任何现有在有线网络上运行的应用程序或网络服务。

??多接入点解决方案

??当网络规模较大，超过了单个接入点的覆盖半径时，可以采用多个接入点分别与有线网络相连，从而形成以有线网络为主干的多接入点的无线网络，所有无线终端可以通过就近的接入点接入网络，访问整个网络的资源，从而突破无线网覆盖半径的限制。

??无线中继解决方案

??无线接入器还有另外一种用途，即充当有线网络的延伸。比如在工厂车间中，车间具有一个网络接口连接有线网，而车间中许多信息点由于距离很远使得网络布线成本很高，还有一些信息点由于周边环境比较恶劣，无法进行布线。由于这些信息点的分布范围超出了单个 接入点的覆盖半径，我们可以采用两个接入点实现无线中继，以扩大无线网络的覆盖范围。

??无线冗余解决方案

??对于网络可靠性要求较高的应用环境，比如金融、证券等，接入点一旦失效，整个无线网络会瘫痪，将带来很大损失。因此，可以将两个接入点放置在同一位置，从而实现无线冗余备份的方案。

??多蜂窝漫游工作方式

??在一个大楼中或者在很大的平面里面部署无线网络时，可以布置多个接入点构成一套微蜂窝系统，这与移动电话的微蜂窝系统十分相似。微蜂窝系统允许一个用户在不同的接入点覆盖区域内任意漫游，随着位置的变换，信号会由一个接入点自动切换到另外一个接入点。 整个漫游过程对用户是透明的，虽然提供连接服务的接入点发生了切换，但对用户的服务却不会被中断。


四、802.11b的应用前景

??早期的802.11b无线局域网技术已经在纵向市场应用方面取得成功，例如生产、存货控制和零售点等方面，1999年已经取得了4亿美元的销售额。随着802.11b性能价格比实质性的提高，一个全新的横向市场应用将全面展开。企业将可以应用无线局域 网作为他们有限局域网的延伸。这一应用将使他们全方位地与公司应用程序和网络外围设备取得连接，从而大大提高雇员在移动中的工作效率。无线局域网技术将首先应用于企业的会议厅和部门办公室，随着其使用的深入，最终将应用于公司的每一个角落。小企业和家庭用 户也将使用无线局域网代替有线网络，从而获得无线局域网提供的在“无线”安装和维护方面带来的节约。

YY01

七 局域网协议设置一点通
　　早上一上班，同事老张便火急赶到我办公室，说他们部门昨天新买的四台电脑全部有问题，我一听傻眼了，这可都是我推荐的1.7G的CPU、256M内存的品牌机，怎么会有问题。询问问题何在？他说一台都上不了网，就连局域网也上不了。唉，原来是这样，我 这才如释重负，问题肯定是没有设置通信协议。我过去打开网络属性一看，空空如也，怪不得如此。
　　局域网中的一些协议，在安装操作系统时会自动安装。如在安装Windows 2000或Windows
95/98时，系统会自动安装NetBEUI通信协议。在安装NetWare时，系统会自动安装IPX/SPX通信协议。其中三种协议中，NetBEUI和IPX/SPX在安装后不需要进行设置就可以直接使用，但TCP/IP要经过必要的设置。所以下文主要以Windows 2000环境下的TCP/IP协议为主，介绍其安装、设置和测试方法，其他操作系统中协议的有关操作与Windows 2000基本相同，甚至更为简单。
一、TCP/IP通信协议的安装
　　在Windows 2000中，如果未安装有TCP/IP通信协议，可选择“开始/设置/控制面板/网络和拨号连接”，右键单击“本地连接”选择“属性”将出现“本地连接属性”对话框，单击对话框中的“安装”按钮，选取其中的TCP/IP协议，(如图1)然后单击“添加”按钮。系统会询问你是否要进行“DHCP服务器”的设置？如果你局域网内的IP地址是固定的(一般是这样)，可选择“否”。随后，系统开始从安装盘中复制所需的文件。

二、TCP/IP通信协议的设置
　　在“网络”对话框中选择已安装的TCP/IP协议，打开其“属性”，将出现“Internet协议(TCP/IP)属性”的对话框。(如图2)在指定的位置输入已分配好的“IP地址”和“子网掩码”，不知道可以去询问网络管理员。建议在安装系统前记下此号码，毕竟求人不如求己嘛。如果该用户还要访问其它Widnows
2000网络的资源，还可以在“默认网关”处输入网关的地址。

三、TCP/IP通信协议的测试
　　当TCP/IP协议安装并设置结束后，为了保证其能够正常工作，在使用前一定要进行测试。我建议大家使用系统自带的工具程序：PING命令，该工具可以检查任何一个用户是否与同一网段的其他用户连通，是否与其他网段的用户连接正常，同时还能检查出自己的IP地址是否
与其他用户的IP地址发生冲突。假如服务器的IP地址为190.201.2.1，如要测试你的机器是否与服务器接通时，只需切换到DOS提示符下，并键入命令“PING190.201.2.1”即可。如果出现类似于“Reply
from 190.201.2.1……”的回应，(如图3)说明TCP/IP协议工作正常；如果显示类似于“Request timed
out”的信息，说明双方的TCP/IP协议的设置可能有错，或网络的其它连接(如网卡、HUB或连线等)有问题，还需进一步检查。

　　老张的“问题”解决了，我还想再啰嗦几句，在组建局域网时，具体选择哪一种网络通信协议主要取决于网络规模、网络间的兼容性和网络管理几个方面。如果正在组建一个小型的单网段的网络，并且对外没有连接的需要，这时最好选择NetBEUI通信协议。如果
你正从NetWare迁移到Windows 2000，或两种平台共存时，IPX/SPX及其兼容协议可提供一个很好的传输环境。如果你正在规划一个高效率、可互联性和可扩展性的网络，那么TCP/IP则将是理想的选择。此外，网络上的机器如果重新安装操作系统或在网络上新增加一台机器，都必须重新安装其通信协议，才能使其正常享用网络上的资源。

YY01

八 网络服务器架构概述

　　针对校园服务器而言，经过一个学期长时间的运行，服务器中的各种系统已经紊乱，这时恐怕就得重新安装操作系统或应用软件了。以下我们将讲解软件维护过程中所需注意的一些问题。

安装前的准备

　　在进行操作系统维护之前需要将必要的数据备份出来。备份的方法可以使用额外的硬盘，也可以将数据用刻录机备份出来。另外，在重新安装系统之前，需要检查硬件是否工作正常，从网上下载最新的硬件驱动程序安装盘(光盘或软盘)，否则系统很可能将无法安装成 功。尤其是某些RAID卡的驱动程序，一定是要有软盘介质的支持，因为在安装操作系统时会要求你插入驱动盘。

操作系统的安装

　　在确认万事俱备之后，就可以重新安装操作系统了。首先需要将硬盘格式化，用操作系统的启动盘启动系统之后，运行格式化命令就可以了。如果有必要，可以重新把硬盘分区，但是千万不要进行低级格式化硬盘，除非确认硬盘有坏道。

　　在格式化硬盘之后，就把操作系统安装上，安装操作系统的具体操作过程这里就不再讲了。安装完操作系统之后，再把显卡、网卡、SCSI卡、主板等设备的驱动程序安装上，使操作系统正常运行就可以了。

　　另外，需要提醒一下，在安装完操作系统之后，记住一定要下载并安装最新的操作系统的补丁，这样就能够保证服务器的安全漏洞是最少的。

网络服务的设置和启动

　　仅仅安装完操作系统是不行的，此时的服务器还没有提供各种网络服务，因此需要对服务器进行一系列的设置。下面介绍几种特别重要的网络服务。

　　1、DNS服务

　　DNS(域名解析系统)是基于TCP/IP的网络中最重要的网络服务之一，最主要的作用是提供主机名到IP地址的解析服务。在Windows 2000 Server组成的网络中，DNS服务居于核心地位，如果没有DNS，Windows 2000网络将无法工作。所以在Windows 2000网络中，至少要有一台DNS服务器

　　2、域控制器

　　在Windows NT/2000中有“域”的概念。带有“域”的网络能够实现“单一账号单录，普遍资源访问”，也就是说只要在域控制器上有一个合法账号，就可以访问域中其他的服务器的资源。如果没有域控制器，只能构成一个对等网。对等网在权限控制、资源管理上是很麻烦的。因此首 先要在网络中安装域控制器；如果网络中已经有了域控制器，可以不必再安装域控制器，但可以将这台服务器设置成备份域控制器，当一台域控制器出故障的时候，另外一台域控制器可以接替它的工作。

　　3、DHCP服务

　　DHCP(动态主机配置协议)是服务器向其他客户机提供IP地址以及其他网络服务的IP地址(如DNS、默认网关的IP地址等)的网络服务。数量在几十台以上的计算机网络中，使用DHCP会带来很大的方便，客户机的IP地址、DNS的IP地址、默认网 关的IP地址等都可以实现自动分配，这会大大降低网络的管理难度。除非只有几台计算机，否则都应该采用DHCP。

　　4、Web服务

　　Web服务是服务器提供的基本功能，尤其是在校园网中，怎么可能没有校园主页呢？在将校园网主页的数据复制到服务器中之后，需要重新设置一下Web服务，使校园网主页能够正常运转。


应用系统的安装

　　基本网络服务安装、设置完成之后，需要安装各种服务器应用系统。下面介绍几种必需的应用系统。

　　1、E-mail服务

　　E-mail是网络中使用频率最高的网络服务之一，因此E-mail服务器不可缺。邮件服务器软件有许多，在Windows NT/2000中，用的最多的当然是Exchange Server了；在Linux中，最常用的邮件服务器软件是Sendmail。由于篇幅所限，具体的安装和设置就不讲了。

　　2、数据库服务

　　数据库服务也是服务器中经常提供的服务，许多应用系统都在数据库服务器的基础上进行。在Windows NT/2000网络中，最常用的数据库服务系统是MS SQL Server；在Linux中，最常用的数据库服务系统是My SQL。也可以使用Oracle等大型数据库系统。

　　3、代理服务

　　目前，许多学校使用代理服务器联入互联网，这样可以节省大量的互联网接入费用。常见的代理服务器软件有SyGate、WinGate、MS Proxy等。有的软件不仅需要在服务器端安装，也需要在客户端安装，因此在安装的时候，要保证客户端与服务器端的一致。

　　4、其他应用系统

　　安装了以上这些服务是远远不够的，因为校园服务器上还要运行其他应用系统，比如教育教学资源库、校园管理系统、电子图书馆、电子备课系统等。这些软件的安装各有不同，按照说明书一步一步进行就可以了。

　　OK，经过以上一系列的步骤，现在焕然一新的服务器又重新出现在您的面前了。相信整装待发的服务器将在下一学期的工作中会有更好的表现。

专家提示

　　1、安装前的准备

　　在重新安装操作系统之前，首先要确定是否需要重新安装。如果需要，那么要确定操作系统的版本，数据库、Web服务、邮件服务等应用程序的版本，要确定是否用当前的版本，还是升级。之后，准备操作系统、补丁程序、应用程序，准备驱动程序，最好使用厂家提 供的驱动。

　　备份数据的方法有许多种，在校园网中很实用的办法是网络备份，或者用磁带机备份。备份时，要区分文件系统、数据库，文件系统备份很简单，Copy即可， 数据库备份不能简单地Copy，要用数据库下的备份工具来备份，或者用专用的备份软件来备份，例如Veritas、IBM、CA、NETAPP等公司的备份管理软件。

　　2、操作系统的安装

　　如果硬盘以前是安装UNIX，硬盘的分区不是FAT分区，而是VFS、E2FS、E3FS等分区；或者硬盘做过RAID，硬盘的前16K字节会保存RAID的设置信息，这时候为了保证系统安装不会受到干扰，要求清除这些信息。可以用一个小工具来彻底清 除系统分区信息，它就是Clear程序，这个小程序能够彻底清除硬盘的分区信息。如果找不到Clear程序，也可用Fdisk/mbr来清除主引导记录。

　　在系统安装驱动程序时，最好使用厂家提供的驱动，不要用系统自检的驱动，很多情况下，系统自检的驱动会有各种问题。例如，有时候用NT自检的SCSI卡的驱动会导致系统找不到硬盘；NT自检的网卡会导致系统蓝屏；Linux自检的RAID卡驱动会在安 装时死机；SCO Openserver自检的网卡会在大数据传输量的情况下导致网卡断掉等。

　　3、网络服务的设置和启动

　　为了优化系统的性能，使系统的CPU、内存资源得到合理的应用，要确定系统运行时需要哪些服务，将系统需要的服务启动，不需要的服务关闭。例如，如果你的服务器只是一个Web服务器，那就没有必要让DNS、DHCP、ICF、IPSEC服务启动，如果 你不想远程管理服务器，也可以关闭TelNet服务，这样，系统的性能就会得到优化。

YY01

九 网络管理服务器篇之IIS
　　在使用Windows NT 4.0时，IIS就已经成为流行的Web服务器平台。IIS4.0是作为OptionPack4的一部分发行的，需要进行额外的安装才能运行。然而，在Windows2000中，IIS5.0应经完全成为操作系统的一个有机组成部分，如果在安装Windo
ws2000时没有选择安装IIS，也可以单独添加。与IIS4.0相比，IIS5.0提供了方便的安装和管理，增强的应用环境，基于标准的发布协议，在性能和扩展性方面有了很大的改进，为客户提供更佳的稳定性和可靠性。
一、安装IIS
步骤1：单击"开始"，指向"设置"，单击"控制面板"，然后启动"添加/删除程序"应用程序。

步骤2：选择"配置Windows"，单击"组件"按钮，在【Windows组件向导】对话框中，选择【Internet信息服务】组件，单击【详细信息】进行进一步设置，例如FTP服务、SMTP服务、WWW服务通常可以选装。单击【下一步】，从Windows2000安装光盘中拷贝所需文件，安装完毕
后如下图2、3、4、5、6所示




二、创建Web站点
　　在IIS中创建Web站点是非常容易的，IIS已经为我们准备了详细的Web站点创建向导，遵循向导的步骤，可以在短时间内完成站点创建。
Web站点的创建可以使用默认的站点（即在添加IIS组件时选中WorldWideWeb服务器），系统就已经架设好一个网站，只要我们在默认的目录（Inetpub\wwwroot）中放置政府网页即可。如下图7、图8、图9和图10所示：




      
也可以新建Web站点即使用Web站点创建向导，打开IIS窗口，展开【Internet信息服务】根节点，右击需要创建站点的计算机图标，缺省情况下，IIS仅对本地站点提供管理，在弹出菜单中指向【新建】，单击【Web站点】打开Web站点创建向导，将网页放置在选好的目录下。如下图11、图12、图13、图14、图15、图16和图17所示：







至此，在IIS的Web站点的创建也就基本完成，可以在服务器端运行ASP程序，至于设定Web站点、Web站点标识和连接、启动日志记录、操作员、性能、自定义错误信息、ISAPI筛选器等设置内容，由于篇幅有限就不多说了。
　　三、Windows NT/2000的IIS服务器的安全管理与维护
1、Web站点安全性设置
　　本文讨论的安全设置仅依赖于Windows
NT/2000和IIS内部的安全性功能，鉴于Windwos2000强大的安全性能（符合C2安全级别），尤其是强大的用户认证能力和独有的NTFS安全分区，IIS网站的安全性完全可以得到非常有力的保证。笼统的说，站点安全性工作将围绕如下两个任务进行：
合法用户身份的认证和站点文件的安全保障。前者需要借助于Windows2000的账号系统和认证机制；后者则要由IIS和NTFS分区共同维护。
　　
　　2、NTFS权限设置
　　安装操作系统最新的补丁程序，不论是NT还是2000，硬盘分区均为NTFS分区，NTFS权限是NTFS分区文件格式特有的安全权限。
　　【Windows域服务器的简要验证】和【集成Windows验证】都是属于加密验证的发式。其中简要验证方法是IIS5.0中新引入的验证方法，它通过网络发送经过混编的密码值而不是密码本身。该方法通过代理服务器和其他防火墙工作。这里的混编密码 值通常是利用哈西算法得到的，此方法较基本验证安全得多，但低于集成Windows验证方式（可以通过复杂运算加以破解）。
【集成Windows验证】通过与用户的Internet Explorer Web浏览器进行密码交换以确认用户的身份。
　　3、IP地址和域名访问控制
　　IP地址和域名访问控制方式源于对于特定IP地址或域名的不信任，鉴于网站管理员通常会认为来自某些IP地址的用户带有明显的攻击倾向（通过对日志文件的分析可以得到这一结论），或者网站管理员希望仅有来自特定IP地址或域名的用户才能够访问网站。这
些限制能力都倚赖于IP地址和域名访问控制功能。
　　4、使用权限向导
　　权限向导是IIS5.0新引入的权限管理工具。鉴于对站点安全性的配置复杂而无序，较难理出一条简明而准确的主线，IIS5.0引入了权限向导工具，它提供了一个连续、简单、准确的权限配置流程，可以使管理员迅速对站点进行一般性的权限设定。尤其是对
于涉及大量权限继承关系的站点（虚拟）目录配置工作，运用权限向导往往能达到意想不到的效果。权限向导主要对安全设置和目录权限进行快速指定，并能够以摘要的形式提供安全分析。
　　5、目录和文件权限
　　为了控制好服务器上用户的权限，同时也为了预防以后可能的入侵和溢出，我们还必须非常小心地设置目录和文件的访问权限，NT的访问权限分为：读取、写入、读取及执行、修改、列目录、完全控制。在默认的情况下，大多数的文件夹对所有用户（Everyon
e这个组）是完全敞开的（FullControl），你需要根据应用的需要进行权限重设。
　　
　　6、设置WWW目录访问权
　　在Internet Service Manager中创建Web发布目录（文件夹）时，可以为定义的主目录或虚拟目录及其中所有的文件夹设置访问权限。这些权限是有WWW服务提供的那些，是NTFS文件系统提供的权限之外的部分。这些权限是：
　　读：读权限允许Web客户读或下载存储在主目录或虚拟目录中的文件。如果客户为目录中没有读权限的文件发送一个读请求，则Web服务器返回一个错误。通常，应该给予包含要发布信息（例如HTML文件）的目录读权限。应该为包含公用网关接口(CGI)应
用程序和InternetServer应用程序编程接口(ISAPI)DLL的目录取消读权限，以防止客户下载应用程序文件。
　　执行：执行权限允许Web客户运行存储在主目录或虚拟目录中的程序和脚本。如果客户发送请求，运行不具有执行权限的文件夹中的程序或脚本，则服务器返回一个错误。为了安全，不要给予内容文件夹执行权限。
　　7、解除NetBios与TCP/IP协议的绑定
　　NetBois在局域网内是不可缺少的功能，在网站服务器上却成了黑客扫描工具的首选目标。方法：WINNT：控制面版→网络→绑定→NetBios接口→禁用；WIN2000：控制面版→网络和拨号连接→本地网络→属性→TCP/IP→属性→高级→WINS→禁用TCP/IP上的NETBIOS。
　　8、删除所有的网络共享资源
　　NT与2000在默认情况下有不少网络共享资源，在局域网内对网络管理和网络通讯有用，在网站服务器上同样是一个特大的安全隐患。
　　9、加强日志审核
　　安全日志：本地安全策略->审核策略中打开相应的审核。
　　日志任何包括事件查看器中的应用、系统、安全日志，IIS中的WWW、SMTP、FTP日志、SQLSERVER日志等，从中可以看出某些攻击迹象，因此每天查看日志是保证系统安全的必不可少的环节。安全日志缺省是不记录，帐号审核可以从域用户管理器
→规则→审核中选择指标；NTFS中对文件的审核从资源管理器中选取。
　　10、只保留TCP/IP协议，删除NETBEUI、IPX/SPX协议
　　网站需要的通讯协议只有TCP/IP，而NETBEUI是一个只能用于局域网的协议，IPX/SPX是面临淘汰的协议，放在网站上没有任何用处，反而会被某些黑客工具利用。
　　11、加强数据备份
　　这一点非常重要，站点的核心是数据，数据一旦遭到破坏后果不堪设想，数据备份需要仔细计划，制定出一个策略并作了测试以后才实施，而且随着网站的更新，备份计划也需要不断地调整。

YY01

十　经典强大的服务器软件Apache
一、软件简介
　　1、Apache是最流行的Web服务器端软件之一。快速、可靠、可通过简单的API扩展，Perl/Python解释器可被编译到服务器中，完全免费，完全源代码开放。如果你需要创建一个每天有数百万人访问的Web服务器，Apache可能是最佳选择。
　　2、Apache Web Server Win32从版本1.3.17开始使用MSI（扩展名）的形式发布，MSI文件可以在Windows下直接运行，使用起来就和我们平常所用的那些EXE（扩展名）文件一样的方便。
　　3、不过MSI文件这种新兴的东东也给使用微软较早发行的Win98和WinNT的用户带来了麻烦，当它们安装时系统会提示"无法通过Windows 安装程序服务安装此安装程序包。您必须安装带有更新版本Windows 安装程序服务的Windows Service Pack"，根本无法让你继续下去！——而在WinME和Win2K下面则不会有这种麻烦出现。
　　4、要解决在Win98和WinNT下安装MSI文件不能完成的麻烦，你需要先有相应版本的名为"Microsoft
Installer"的软件包，把它安装之后方可以开始MSI的安装工作。
　　5、此软件为免费软件；本文测试环境为Windows 2000。
　　6、确保此软件安装前已卸载（或停止服务）了其他的HTTP服务器端软件。
　　二、软件安装
　　1、本机已升级成了域控制器，已拥有一个名为"edu.enanshan.com"的域名；计算机名为"server"；完整的计算机名为"server.edu.enanshan.com"。
　　2、双击Apaceh的安装文件".msi"即可进入安装向导。
　　3、当安装向导进行到"License Agreement"（协议许可）时，点选中"I accept the terms in the license
agreement"（我接受这些协议）项后再按"Next"便能继续进行下一步操作。
　　4、之后进入的是"Server Information"（服务器信息）的界面，对于域控制器，系统会自动填写各项的相关内容；如果没有，则需手动填入"Network Domain"（网络域名）、"Server Name"（服务器名）和"Administrator's Email
Address"（管理员信箱）三项内容，然后才能选中"Run as a service for all
Users"（所有用户使用的服务）项后按"Next"继续即可。

　　5、接着便是选择安装类型（Setup
Type）。Apache提供"Complte"（完全安装）和"Custom"（定制安装）两种安装方式，一般点选中"Complte"项继续（Next）进行完全安装。
　　6、在"Destination
Folder"（目标目录）中，系统默认将把Apache安装到"C:\Program Files\Apache
Group"中，为了以后操作方便起见，建议将此处的安装路径用"Change"改变到"C:\"下。系统安装成功后将自动在此建立一个名为"Apache"的目录，也就是说，安装之后的实际Apache系统文件所在路径将为"C:\Apache"目录。
　　7、其他各项均选默认选项即可完成最后安装！安装成功后需根据提示重新启动计算机。然后进入到控制面板中，打开"管理工具"中的"服务"，就可以看到Apache的服务已成功地处于运行状态了！
　　8、此外，在开始菜单中的"程序"里也将有名为"Apache httpd Server"的组件，其下的"Configure Apache Server"（配置Apaceh服务器）项可以编辑配置文件和测试配置；"Control Apache Server" （控制Apaceh服务器）项可以开启、停止和重启动Apache的服务；"Review Server Log Files"（查看日志文件）中则可以查看Apache的系统日志文件等。
　　9、当确信Apache已经安装成功并处于运行状态之后，则就可以直接打开浏览器，在地址栏输入"http://server"（服务器名）的格式，就可以调出你的第一个Apache页面罗！
　　10、如欲卸载它，除了要到控制面板的"添加/删除程序"里找到"Apache HTTP Server Version 1.3.20"项去"删除"外，还需要将"C:\Apache"整个目录删掉才较为彻底。
　三、基本设置
　　1、Apache的核心配置文件名是"httpd.conf"，其所存放的路径为"C:\Apache\conf"目录下。用记事本打开它后，对它进行修改后再保存便可达到配置Apache服务器的目的！
　　2、由于配置文件"httpd.conf"决定着整个Apahce服务器的使用，因此对于它的修改千万要小心！强烈建议先做好多个备份，以防出错！如果实在忘了备份了，当错得无法还原时，系统还为你准备了个名为"httpd.default.conf"的备份文件，它是你初安装好Apache后系统自动做好的"httpd.conf"的备份。好在好在！我就差一点重装。^-^
　　3、更改主页路径
　　（1）默认的，Apache主页文件存放在"C:\Apache\htdocs"目录下。
　　（2）比如要想输入"http://server"（服务器名）即可调出"D:\Onlyme\wy"目录下的自己的主页文件，则先用记事本打开"C:\Apache\conf"目录下的"httpd.conf"文件，用"编辑"菜单中的"查找"功能，找到"DocumentRoot"C:/Apache/htdocs""一句，然后将半角引号中的"C:/Apache/htdocs"改成"D:/Onlyme/wy"（注册这里是"/"而不是"\"了）。

　　4、好了，现在打开浏览器，输入"http://server"，看看出现什么！啊，"HTTP 404
没有找到"？天啦！哦，对了，还有默认主页文件名，Apache的只有一个"index.html"，你的是这名吗？反正我的不是，后面跟上文件名不就得了！所以现在还只得输入"http://server/index.htm"。该出来了吧！仍是不行？嗯，试试这样，在开始菜单中的"程序"里找到"Apache httpd Server"组件，再选其下"Control Apache
Server"中的"Restart"重新运行一下Apache的HTTP服务。……终于可以了！长出了一口气。
　　5、不过呢，每次调用主页时都要输入文件名实在是麻烦！把我的"Index.htm"添加进去吧！好，还是需要宝贝的"httpd.conf"文件，寻找"DirectoryIndex
index.html"行，这里放的就是默认调用的文件！在"index.html"的后面加入你的"index.htm"和其他类型，再保存即可。唯一需要注意的是，各文件类型之间都必须要用一个空格来分隔开！
　　6、最后仍要提醒的是：改了配置后，如果未能生效，记住先用用"Restart"！