接口协议有哪些

上图是一个路由器怎么进行分组转发的例子：有四个A类网络通过三个路由器连接在一起，每一个网络上都可能会有成千上万台主机。若路由表指出每一台主机该进行怎样的转发。则要维护的路由表是非常的庞大。 如果路由表指定到某一个网络如何转发，则路由表中只有4行，每一行对应一个网络。 以路由器2的路由表为例：由于R2同时连接在网络2和网络3上，因此只要目标主机在网络2或者网络3上，都可以通过接口0或者1或者路由器R2直接交付（当然还有使用ARP协议找到这些主机相应的MAC地址）。若目标主机在网络1中，则下一跳路由器为R1，其IP地址为20007。路由器R2和R1由于同时连接在网络2上，因此从路由器2把转发分组给R1是很容易的。 我们应当注意到：每一个路由器至少都要拥有两个不同的IP地址。 总之，在路由表中，对每一条路由最主要的是以下两条信息： （目的网络，下一跳地址） 我们根据目的网络地址来确定下一跳路由器，这样可以得到以下结论：

虽然互联网上所有的分组转发都是 基于目的主机所在的网络 ，但是在大多数情况下都允许这样的实例： 对特定的主机指明一个路由 ，这种路由叫 特定主机路由 。采用特定主机路由可以使网络人员方便管理控制网络和测试网络

路由器还可以采用 默认路由 以减少路由表所占用的空间和搜索路由表所使用的时间。

当路由器接收到一个待转发的数据报，在从路由表中得出下一跳路由器的IP地址后，不是把这个地址写入IP数据报，而是送交 数据链路层的网络接口软件 ，网络接口软件把负责下一跳的路由器IP地址转化为硬件地址（必须使用ARP），将硬件地址写入MAC帧的首部，然后根据这个硬件地址找到下一跳路由器。由此可见，当发送一连串的数据报时，上述的这种查找路由表，用ARP得到硬件地址，把硬件地址写入MAC地址首部等过程，将不断地重复进行，造成了一定的开销。

根据以上几点，我们提出 分组转发算法：

这里我们需要强调一下，路由表并没有给分组指明某个网络的完整路径(即先经过哪一个路由器，然后再经过哪一个路由器，等等)。路由表指出，到达某个网络应该先到达某个路由器(下一条路由器)，在到达下一跳路由器之后，再继续查找路由表，知道再下一步应当到达哪一个路由器。这样一步步的查找下去，直到最后到达目的网络。

为什么划分子网？

为解决上述问题，从1985年引出 子网络号字段 ，使得两级IP地址变为三级IP地址，这种做法叫做 划分子网(subnetting)RFC950 。

划分子网的基本思路：

划分子网的用例

如上图为某单位拥有一个B类IP地址，网络地址为1451300（网络号为14513），凡是目的网络为14513xx的数据报都会送到这个网络上路由器R1上。

现在把该网络划分为三个字网，这里假设子网络号占用8位，因此主机号就只剩下16-8=8位了，所划分的三个字网为1451330,1451370,1453210。路由器在接受到1451300上的路由器数据后，再根据数据报的目的地址把它转化到相应的子网。

总之，当没有划分子网的时候，IP地址是两节结构。划分子网后IP地址就变成了三级结构。划分子网只是把IP地址的主机号这部分进行再划分，而不改变IP地址原来的网络号。

假定有一个IP数据报（其目的地址为14513310）已经到达了路由器R1，那么这个路由器如何把它转发到子网1451330呢？
我们知道，从IP数据包报的首部无法看出源主机的目的主机所连接的网络是否进行了子网划分。这是因为32位IP地址本身以及数据报的首部没有包含任何关于子网划分的信息。因此必须另想办法，这就是使用 子网掩码 。

把三级IP地址的子网掩码和收到的目的地址的IP地址 逐位进行与（AND）运算，就可以立即得到网络地址，剩下的步骤就交给路由器处理分组。

使用子网掩码的好处是：不管网络有没有划分子网，只要把子网掩码和IP地址进行逐位 与(AND) 运算,就立即得出网络地址来，这样在路由器处理到来的分组时就可采取同样的做法。

在不划分子网时，为什么还要使用子网掩码？这就是为了更便于查找路由表。现在互联网规定：所有网络都必须使用子网掩码，同时在路由器的路由表中也必须有子网掩码这一栏。如果一个网路不划分子网，那么该网络的子网掩码就是用 默认的子网掩码 ，默认子网掩码中1的位置和IP地址中的网络号字段net-id正好相对应。因此，若用默认子网掩码和某个不划分子网的IP地址逐位相"与"，就应该能够得出该IP地址的网络地址来，这样做可以不用查找该地址的类别位就能够知道这是哪一类的IP地址。显然:

图4-21是这三类IP地址的网络地址和相应的默认子网掩码:

子网掩码是一个网络或者一个子网的重要属性 。在RFC950成为互联网标准后，路由器在和相邻路由器交换路由信息时，必须把自己所在的网络(或子网)的子网掩码告诉相邻路由器，在路由器的路由表中的每一个项目，除了要给出目的网络地址外，还必须同时给出该网络的子网掩码。若一个路由器连接在两个子网上就拥有两个网络地址和两个子网掩码。

例4-2：
已知IP地址是141147224，子网掩码是2552551920,求网络地址：
解: 2552551920的二进制：11111111 11111111 11000000 00000000

IP 141147224二进制： 11111111 11111111 01001000
00000000

将IP地址二进制与子网掩码二进制进行 与(AND)运算 为 ：:11111111 11111111 11000000 00000000
即网络IP为：14114640

在划分子网的情况下，分组转发的算法必须作出改动。在使用子网划分后，路由表应该包含以下内容：

在划分子网的情况下，路由器转发分组的算法如下：

例4-4：
图4-24有三个字网，两个路由器，以及路由器R1的部分路由表。现在源主机H1向目的主机H2发送分组。试讨论R1收到H1向H2发送的分组后查路由表的过程。

解：

源主机H1向目标主机H2发送的分组的目的地址为1283033138。

源主机H1把本子网的子网掩码255255255128与H2的IP地址1283033128相与得到1283033128，它不等于H1的网络地址（12830330）。这说明主机H2与主机H1不在同一个网段上，因此H1不能把数据包直接交付给H2。必须交给子网上的默认路由R1,由R1转发。

路由表在接受到这个分组之后，就在其路由表中逐行匹配寻找。
首先看R1路由表的第一行：用这一行的子网掩码255255255128与H2IP地址进行互与，得到1283033128，然后和这一行用样的方法进行第二行，结果发现相与出来的结果和目的网络地址匹配，则说明这个网络（子网2）就是收到的分组所要寻找的目的网络。于是就不用继续找了。R1把分组从接口1直接交付给主机H2(他们都在一个子网上)。

在一个划分子网的网络中可使用几个不同的子网掩码。使用变长 子网掩码VLSM(Variable Length Subnet Mask) 可进一步提高IP地址资源的利用率。在VLSM的基础上又进一步研究出 无分类编制 方法。它的正式名字是无分类域间路由选择CIDR(Classless Inter-Domain Routing)。

CIDR 最主要的特点有两个：

CIDR还使用斜线记法，就是在IP地址后面加上斜线/,然后写上 网络前缀所占的位数 。例如IP地址为12814357/20是某CIDR地址快中的一个地址，其中前20位就是网络前缀，后面的14位是主机位。如图所示：

当然以上地址的主机号全为0和全为1的地址，一般并不使用，这个地址块共有2^12个地址，我们可以使用地址块中最小的地址和网络前缀来指明这个地址快。例如，上述的地址块可记为12814320/20。

为了更方便的进行路由选择，CIDR使用了32位的地址掩码(address mask)。地址掩码是由一串1和一串0组成， 而1的个数就是网络前缀的个数。 虽然CIDR不使用子网了，但是出于某些原因，CIDR使用的地址掩码也可以继续称为 子网掩码，斜线记法中，斜线后面的数字就是1的个数 。例如，/20地址快的地址掩码是 11111111 11111111 11110000 00000000 (20个连续的1)。 斜线记法中，斜线后面的数字就是地址掩码中1的个数。

斜线记法还有一个好处就是它除了可以表示一个IP地址外，还提供了一些其他重要的信息。我们举例说明如下：
例如，地址为19219917082/27不仅表示IP地址是19219917082，而且还表示这个地址快的网络前缀有27位(剩下的5位是主机号)，因此这个地址快包含32个IP地址( =32)。通过见到那的计算还可以得出，这个地址块的最小地址是19219917064，最大地址是19219917095。具体的计算方法是这样的：找到地址掩码中1和0的交界处发生在地址中的哪一个字节，现在是第四个字节，因此只要把这一个字节的十进制82用二进制表示即可：82的二进制是01010010,取其前3位(这3位加上前3字节的24位就够成了27位)，再把后面的5位都写成0，即01000000，等于十进制64，这样就找到了地址快的最小地址19219917064，再把最后面5位都置为1，即01011111,等于十进制的95，这就找到了地址块中的最大地址19219917095。

由于一个CICR地址块有很多地址，所以在路由表中就利用CIDR地址块来查找目的网络。这种地址的聚合常称之为 路由聚合(route aggregation) ,它使得路由表中的一个项目可以表示原来传统分类地址的很多个路由，路由聚合也称之为 构成超网(supernetting) ，路由聚合有利于减少路由器之间的路由选择信息的交换，从而提高了整个互联网的性能。

每一个CIDR地址块中的地址数一定是2的整数次幂，这就是 构建超网 的来源。

网络前缀越短 ，其地址块所包含的地址数就越多，而在三级结构的IP地址中，划分子网是使网络前缀变长。

在使用了CIDR时，由于采用网络前缀这种记法，IP地址由网络前缀和主机号这两部分组成，因此在路由表中的项目也要有相应的变化，这时，每个项目由 网络前缀 和 下一跳地址组成 ， 但是在查找路由表时可能会得到不止一个匹配结果 ，这样就带来一个问题：我们应该从这些匹配结果中选择哪一条路由呢？

正确的答案是： 应但从匹配结果中选择具有最长网络前缀的路由 ，这就做 最长前缀匹配(long-prefix matching) ，这是因为网络前缀越长，说明其地址块越小因而路由就越具体，最长前缀匹配又称之为 最长匹配 或者 最佳匹配 。

使用CIDR后，由于要寻找最长前缀匹配，使路由表的查找过程变的十分复杂，当路由表的项目数很大的时候，怎样设法减少路由表的平均查找时间就成为了一个非常重要的问题，现在常用的是 二叉线索(binary trie) ,它是一种特殊结构的树，IP地址中从左到右的比特值决定了从根节点逐层向下层延伸的路径，二二叉线索中的各个路径就代表路由表中存放的各个地址。

图4-26用一个例子说明二叉树线索的结构，图中给出了5个IP地址。为了简化二叉线索的结构，可以先找出对应一与每一个IP地址的唯一前缀(unique prefix)，所谓唯一前缀就是在表中所有的IP地址中，该前缀时唯一的，这样就可以用这些唯一前缀来构造二叉线索。在进行查找时，只要能够和唯一前缀匹配相匹配就可以了。

从二叉树的根节点自顶向下的深度最多有32层，每一层对应于IP地址中的一位。

1，Linux下架FTP!!
Linux下一般最常用的工具wu-ftpd
wu-ftpd的安装非常容易，大多数版本的Linux中都包含了wu-ftpd的rpm软件包，你可以在安装Linux时指定装入。如果你想自行编译源代码，也可以到ftp://ftpwu-ftpdorg下载最新版本的源代码包。
安装好以后，可以用ckconfig命令来检查是否已经正确安装。在/etc/passwd中可以指定ftp用户的登入目录。
wu-ftpd主要有以下6个配置文件：
ftpaccess(主要配置文件，控制存取权限)
ftpconvertions(配置文件压缩/解压缩转换)
ftpgroups(设定ftp自己定义的群组)
ftphosts(设定个别的用户权限)
ftpservers(设定不同IP/Domain Name以对应到不同的虚拟主机)
ftpusers(设定哪些帐号不能用ftp连线)
下面我们来一一介绍。
⒈/etc/ftpaccess(wu-ftpd的主要配置文件)
class--定义群组，用法如下：
class<种类>;<用户地址>;[<用户地址>;……]
由class定义的群组用户才可以连线进来，可以使用多层式的class来规范哪些群组的用户能够从哪些地方上来。这里有三个重要的种类，real、anonymous个guest。real如果没有列在定义中，那么这台机器中任何真实的一般用户都无法用自己的帐号连上来。anonymous如果没有在定义，就表示不让没有帐号的的人连上来。如果有定义guest，那么guest群组的人就可以上来。另外<用户地址>;是指ftp上来的用户会用到的IP地址，则可自行设定。以下是一些例子：
class all real,guest,anonymous
定义了一个名为all的class，包含三种人，所有IP的连线用户(也就是所有人都包括了)
class local real localhost loopback
local这个class说，只有real的用户可以从本机机器连上来
class remote guest,anonymous
remote这个class包含了从任何地方上来的guest和anonymous用户，但是real用户不算
class rmtuser real !examplecom
rmtuser这个class包含了从外面来的(除了examplecom)真实用户
autogroup--自动对应群组，用法如下：
autogroup[……]
当你定义好的那些同属于一个class的用户，一旦连线上来就会被对应到一个相应的群组下面，这样你就可以用Unix的文件权限对某一群人做限制。
deny--拒绝某些地址连线，用法如下：
deny<拒绝连线的地址>;<信息文件>;
禁止某些机器连线，并显示<信息文件>;。例如：
deny 21062146:255255255254 /etc/rejectmsg
guestgroup--设定访客群
guestuser--设定访客帐号
realgroup--设定真实群组
realuser--设定真实帐号
nice--设定给某些class多少优先权，用法如下：
nice
在Linux中，nice的值是-20(最优先)到19(最后处理)，这里你可以指定负的值来提高某class的优先顺序。
defumask--设定某class的umask，用法如下：
defumask[]
umask是建立文件时该文件的的权限掩码
tcpwindow--设定tcpwindow的大小
keepalive--设定是否使用TCP SO_KEEPALIVE来控制断线情形
timeout--设定连线超时，用法如下：
timeout accept<秒>;
接受连线超时，预设120秒
timeout connect<秒>;
连线建立超时，预设120秒
timeout data<秒>;
数据传送超时，预设1200秒
timeout idle<秒>;
用户发呆超时，预设900秒
file-limit--限制某class只能传几个文件，用法如下：
file-limit[][]
对某个class限制存取文件的数目，包含了in(上传)、out(下载)，total raw代表整个传输的结果，不光是数据文件。例如：
file-limit out 20 lvfour
限制lvfour这个class的用户最多只能下载20个文件
byte-limit--限制某class只能传几个字节，用法跟file-limit相似
limit-time--限制一个连线只能持续多久，用法如下：
limit-time{|anonymous|guest}<分钟>;
为了避免有人挂在站上不下来，可以用这个方法限制用户的上线时间，例如：
limit-time guest 5
让guest帐号的用户只能用5分钟
limit--限制某class能同时几人上线，用法如下：
limit<连线数目>;<时间区段>;<额满信息文件>;
设定某个class在某一时间区段内最多能够几人同时上线，后面是当超过连线数目时要显示的信息。例如：
limit all 32 Any /home/ftp/etc/toomanyusermsg
限制所有连线在任何时间只能有32个用户，超过则拒绝连线并显示信息
limit levellone 5 Any2300-0600 /home/ftp/etc/toomanyusermsg
限制levellone这个class的用户在23:00到6:00这段时间内只能有5人连线
noretrieve--设定哪些文件不可下载
noretrieve[absolute/relative][class=]…[-][<文件名>;…]
absolute或relative指文件是用绝对路径还是相对路径
allow=retrieve--设定哪些文件可以下载
allow[absolute/relative][class=]…[-][<文件名>;…]
loginfails--设置登入错误可尝试的次数
当用户连线时可能打错ID或密码，这个设定可以让他打错几次以后就断线，避免有人用穷举法猜测密码。
private--设定线上是否可以执行SITE GROUP/SITE GPASS
当开放SITE GROUP与SITE GPASS指令时，可以用这两个指令切换到/etc/ftpgroup的群组。一般而言我们不会用到这个功能，以避免安全漏洞。
greeting--显示Server的版本信息，用法如下：
greeting
当用户登入画面显示的server信息，full是预设值，包含版本号以及hostname，brief只有hostname，而terse只有“FTP server ready”的信息。
barnner--设定未进入Login画面之前用户看到的信息，用法如下：
banner<文件路径>;
这里叙述了在用户登入时，在还没打ID/Password之前要出现的信息。文件路径指的是相对于真实的路径，而不是相对于ftp的根目录。
host--设定ftp主机名
email--指定ftp管理者的email地址
message--信息文件的设定，用法如下：
message<文件>;{<何时>;{……}}
这里的文件的路径是相对于ftp的根目录的，“何时”是指当你做了什么动作之后的反应，有几个选择：
login(登入时)
cwd=<目录>;(进入某目录时)
class 名称是前面已经定义过的，允许你的信息只对哪些人发出。
而信息文件的内容除了文字以外，还可以使用以下一些事先定义好的代号：
%T(本机时间)
%F(目前分区所剩余的空间)
%C(目前所在的目录)
%E(管理者的E-mail)
%R(客户端主机名称)
%L(本机主机名称)
%U(用户名称)
%M(与我相同class用户允许多少人连线)
%N(与我相同class用户目前有多少人连线)
%B(绝对磁盘限制大小，目前分区(单位blocks))
%b(preferred磁盘限制大小，目前分区(单位blocks))
%Q(目前已使用的blocks)
%I(最大可使用的inodes(+1))
%i(Preferred inodes限制)
%q(目前使用的indoes)
%H(超量使用磁盘空间的时间限制)
%h(超量使用文件数目的时间限制)
readme--通知用户哪些README文件已经更新
log commands--记录用户所使用过的命令，用法如下：
log commands<用户种类>;
log transfers--记录用户所传输的文件，用法如下：
log transfers<用户种类>;<传输方向>;
设定有哪些类型的用户传输文件需要记录，包含了inbound(用户上传)和outbound(用户下载)，例如：
log transfers anonymous,guest inbound,outbound
log security--记录安全性，用法如下：
log security<用户种类>;
特别用于记录某类用户关于noretrive、notar等有关安全性的记录
log syslog--记录到系统的syslog文件
alias--设定目录别名，用法如下：
alias<别名字符串>;<目录>;
cdpath--设定cd更换目录搜索顺序
compress,tar--设定是否自动压缩，用法如下：
compress[……]
tar[……]
定义哪些人可以执行压缩以及tar
shutdown--通知用户要关站了
shutdown<信息文件>;
如果信息文件存在的话，当这个文件指定的某时间以后，就会拒绝连线并切断已有的连线，等时间一到就关机。这个信息文件的格式如下：
<年>;<月>;<日>;<时>;<分>;<拒绝倒数>;<断线倒数>;<文字>;
daemon address--指定只监听某个IP地址，用法如下：
daemon address
当你有许多IP的时候，使用这个选项将会取消其它任何虚拟FTP主机的设定。不设定的话，监听所有IP。
virtual--设定虚拟FTP站台
wu-ftpd提供了虚拟主机的功能，也就是说，在同一台机器上提供了不同FTP站台，以主机名称或IP来区分；当然你要用名称的话，还需要跟DNS配合才行。virtual有很多个设定：
virtual
<路径>;
可以是主机名或IP地址
root指的是ftp的根目录，banner是欢迎信息，logfile指的是这个虚拟站台的log文件
以下是一些例子：
virtual virtualcombj root /home/ftp2
virtual virtualcombj banner /etc/vftpbanner2
virtual virtualcombj logfile /etc/viftplog2
virtual
<字母>;
用户可以查到hostname跟管理者email，以下是一些例子：
virtual 2106214650 hostname virtualsitecombj
virtual vritualsitecombj email ftpown@virtualsitecombj
virtual
allow<用户>;[<用户>;……]
virtual
deny<用户>;[<用户>;……]
很明显，以上两个选项是设定是否允许连线的，以下是一些例子：
virtual virtualsitecombj allow
virtual virtualsitecombj deny badman
virtual
private
本虚拟站台拒绝anonymous用户
defaultserver deny <用户>;[<用户>;……]
defaultserver allow <用户>;[<用户>;……]
当我们使用了虚拟主机，原先的deny，allow设定不知道要设哪个server，所以会无效，用defaultserver代表原来的主机
defaultserver private
主站台拒绝anonymous用户
passive address--转换IP数值
passive address<外部IP>;/cidr
passive ports--passive的ports范围
passive ports
pasv-allow--允许使用pasv
pasv-allow[<地址>;……]
port-allow--允许使用port
port-allow[<地址>;……]
mailserver--指定Upload通知的mail服务器
incmail--指定anonymous upload的email通知地址
virtual incmail--指定虚拟主机anonymous upload的email通知地址
defaultserver incmail--指定预设主机anonymous upload的email通知地址
mailfrom--通知的寄信人upload
virtual mailfrom--虚拟主机upload通知的寄信人
defaultserver mailfrom--预设主机upload通知的寄信人
chmod--设定是否可以改变文件权限
delete--设定是否可以删除文件
overwrite--覆盖文件
rename--重命名文件
umask--允许设定umask
passwd-check--设定anonymous FTP的密码检查程度，用法如下：
passwd-check()
设定对anonymous ftp用户的密码是否检查，none表示不检查，trivial为包含@的任意密码，rfc822则表示密码要遵循RFC822格式，enforce表示密码检查不过不允许进入，warn表示密码检查不过只出现警告信息。
deny=email--拒绝特定的email当密码
path-filer--摄定哪些文件名不可使用
path-filer<错误信息文件>;<允许字符>;<不允许字符>;
upload--设定upload权限
upload[absloute/relative][class=]…[-]<设定的目录>; >;[dirs/nodirs][d_mode]
用来对我们要设定的目录做权限设定：
absoulte/relative使用绝对路径或是相对路径
class=指定某个class
root-dir指的是对哪些root-dir的人，也就是chroot后的登入目录，应用这个规则
设定的目录指的就是我们要限制的目录
yes/no指得是能否在此目录下开新文件
owner,group指出是开出来的文件拥有者及群组
Mode指的是文件权限
dirs/nodirs指的是能否开新目录
d_mode设定建立新目录时目录的权限，如果不设定会根据mode来设定
thoughput--控制下载速度
thoughput<子目录列表>;<文件>;<远端地址列表>;
对远端的地址，控制他抓某个子目录下的某些文件时的速度，例如：
thoughput /e/ftp oo -
thoughput /e/ftp /sw 1024 05
thoughput /e/ftp sw readme oo -
thoughput /e/ftp sw oo - foocom
以上的设定你是否能够看出来呢？“oo”表示不限制bytes/sec，“-”或是“10”都是代表一倍。第一行的意思是说，在/e/ftp下面的文件不限制下载速度；第二行说，在/sw下面的任何文件限速为1024bytes/sec
05=512bytes/sec；第三行又把readme文件的限速取消；最后一行则对foocom开放全速。
anonymous-root--对某class设定匿名用户的根目录
anonymous-root[]
guest-root--预设一个guest用户根目录
guest-root[]
其中用于指定uid的范围
deny-uid，deny-gid--拒绝某段UID(GID)范围
allow-uid，allow-gid--允许某段UID(GID)范围
restricted-uid，restricted-gid--限制用户不能离开他的登录目录
unrestricted-uid，unrestricted-gid--用户可以离开他的登录目录
dns refuse_mismatch--设定DNS查到名称与用户设定不符的动作
dns refuse_mismatch<信息文件>;[override]
当用户使用未注册IP时，拒绝他的连线，override则是不理会错误而让他连线，信息文件则是我们要给用户看的。
dns refuse_no_reverse--设定无反查记录拒绝连线
dns refuse_no_reverse<信息文件>;[override]
当用户的IP反查无记录时，拒绝他的连线
dns resolveoptions--设定DNS解析选项
dns resolveoptions[options]
这里可以设定DNS解析选项
⒉/etc/ftphosts
ftphosts文件其实跟ftpaccess里面的access，deny很像，它是特别用来设定某些ID的连线，它没有class定义，所以必须是真实用户。
allow|deny<用户>;<地址>;[<地址>;……]
以下是一些例子：
allow rose 14000/8
deny jack 14012300:25525500
允许rose从140进来，拒绝jack从140123上来
⒊/etc/ftpservers
这个文件控制了当你有不同的IP/hostname的时候，进来的连线使用哪一个配置文件。例如：
1019614510 /etc/ftpd/ftpaccesssomedomain/
10196145200 /etc/ftpd/ftpaccesssomeotherdomain/
somedomain internal
1019614520 /etc/ftpd/config/faqsorg/
ftpsomedomain /etc/ftpd/config/faqsorg/
⒋/etc/ftpusers
在这个文件里记录的用户禁止使用FTP
⒌/etc/ftpgroups
给SITE GROUP指令使用，线上切换group。SITE EXEC容易造成安全漏洞，一般我们都不开放。
⒍/etc/ftpconversions
用来做tar、compress、gzip等动作指令配置文件，只要用预设即可，如果你不开放即时压缩打包，也可以把内容清除。
2，Linux *** 作系统近几年有了蓬勃的发展，在整个世界范围内得到了越来越多公司和团体的支持，尤其是最近IBM公司的鼎力支持，更是使Linux服务器如虎添翼，更上一层楼
Linux *** 作系统近几年有了蓬勃的发展，在整个世界范围内得到了越来越多公司和团体的支持，尤其是最近IBM公司的鼎力支持，更是使Linux服务器如虎添翼，更上一层楼。而在国内，Linux的应用也是方兴未艾，众多公司已经投入到Linux系统的研发和推广工作中。一些优秀的Linux *** 作系统相继出现，比如红旗Linux等。但是我国的Linux应用水平还很低，熟悉Linux的人员严重缺乏，Linux专业人才的缺乏已成为Linux在国内应用和普及的瓶颈问题。据《开放系统世界》2003年第八期介绍，中国五年内Linux人才需求量将会超过120万。而“1+1+1”工程的实施，也是间接地告诉我们这个问题的严重性。如此大好时机，我们干吗还愣着不动呢！如果你是一位Linux爱好者，你可能已经掌握了基本的Linux的知识与 *** 作，毫无疑问，你并不会去满足这样小小的成就。Linux为何如此的流行？其最大的特点莫过于功能强大，性能稳定的服务器应用了。像 支持最新的>双网卡内外网同时连接的问题
关键是网关。用dos *** 作
mac查找方法：步骤 1 ：点击左下角“开始”处—— > 运行
步骤 2 ：在对话框里输入 cmd ,进入 DOS 窗口状态
步骤 3：输入 ipconfig /all 后回车，Physical Address显示的即为本机的 MAC 地址
案例一：双网卡静态IP设置
电脑在公司局域网内。使用用192．168．0．1这个网关时，电脑只能访问外部网，而用192．168．0．2这个网关时只能访问内部网。请问，有没有什么办法可以让我同时访问内、外部网而不用手工更改网关设置？
答：你只要这样进行设置：把19216801作为内部网关，手工增加内部各网段的静态路由，例如：route add 19216810 mask 2552552550 19216802
案例二：双网卡加路由器外网自动获取IP内网静态IP
买了个路由，将楼上的机子接入互联网，可是问题来了，双网卡内外网冲突，双网关冲突，XP连个提示都没有，好在我的2003一设置就有提示，搞清楚了，用案例二解决。前提你的路由器开启DHCP。
主机接外网的网卡IP自动获取，接内网的网卡的IP10112，子网码是2552552550,
又如何实现，内外网同时可以上线浏览？
答：你只要这样进行设置：把内网网卡的IP设置为10112（根据你自己的内网分配ip）， 子网码255000 （重要）网关 不填（重要）　； 把外网网卡的IP、dns设置为自动获取 即可　
案例三：双网卡内外网IP自动获取
主机接外网的网卡IP自动获取，接内网的网卡的ip也是自动获取请问，有没有什么办法可以让我同时访问内、外网？
答：最简单的办法增加路由器，推荐欣全向 多WAN口路由器进行解决,实现的最后效果为:所有pc只接一个网卡,连接到我们的路由器上,两条线路接到路由器上就可以了,至于您的访问该走哪条线路由路由器进行识别路由器里的具体设置还要根据您两条线的访问权限的情况进行
案例四：双网卡内外网IP自动获取
如案例三
一个网卡内外网同时上，需要修改下路由即可
外网网关19216811，内网网关13223511。
新建一个文本文档，敲入：
route add 132000 mask 255000 13223511
route add 0000 mask 0000 19216811
route delete 0000 mask 0000 13223511
保存为bat文件。把这个文件设置为开机自动运行，就可以内网外网同时上了。
案例五：双网卡外网自动获取IP内网静止IP
我现在在济南，总公司的ERP服务器在北京，一个网卡连在路由器的交换机上，另一个网卡连ADSL的外网，现在只能上外网，不能上ERP。该怎么解决呢
答：外网网卡自动获取IP,另一个网关不填
案例六：双网卡内外网静止IP
机器有两块网卡，接到两台交换机上
internet地址：19216818，子网掩码：2552552550，网关：19216811
内部网地址：1722318，子网掩码：2552552550，网关：1722311
如果按正常的设置方法设置每块网卡的ip地址和网关，再cmd下使用route print查看时会看到
Network Destination Netmask Gateway Interface Metric
0000 0000 19216811 19216818
0000 0000 1722311 1722318
即指向0000的有两个网关，这样就会出现路由冲突，两个网络都不能访问。
如何实现同时访问两个网络？那要用到route命令
第一步：route delete 0000
"删除所有0000的路由"
第二步：route add 0000 mask 0000 19216811
"添加0000网络路由"这个是主要的,意思就是你可以上外网
第三步：route add 1722300 mask 255000 1722311
"添加1722300网络路由"，注意mask为255000
，而不是2552552550 ，这样内部的多网段才可用。
这时就可以同时访问两个网络了，但碰到一个问题，使用上述命令添加的路由在系统重新启动后会自动丢失，怎样保存现有的路由表呢？
route add -p 添加静态路由，即重启后，路由不会丢失。注意使用前要在tcp/ip设置里去掉接在企业内部网的网卡的网关
一些单位将内网和外网分开了。痛苦啊，偶单位就是如此。boss当然是基于安全性考虑了，可是没有笔记本的怎么办？又要办公，有得上网。没办法，发扬DIY精神偷偷装一块网卡，让聊天与工作同在。让你的主机内外兼顾。这是我在网上找到的，谢谢作者了。方法如下：
1设置其中接internet的网卡的网关为10001，启用后就是默认网关
--注：这是对应外网的网卡，按照你们单位外网的ip分配情况，在TCP/IP属性中配置好 ip、掩码、DNS
2将连接单位内部网的网卡IP配好后，设网关设置为空（即不设网关），启用后，此时内网无法通过网关路由
3进入CMD，运行：route -p add 192000 mask 255000 19216801 metric 1
--注：意思是将192的IP包的路由网关设为19216801 ，-P 参数代表永久写入路由表，建议先不加此参数，实践通过后在写上去
4 OK！同时启用两个网卡，两个网关可以同时起作用了，两个子网也可以同时访问了，关机重启后也不用重设！
案例七：双网卡 内外网 路由问题
route -p add （转载）
因为Windows 2000 下只允许配置一个默认网关，如果在网上邻居--〉属性里面把本地连接(内网）配上网关1921689710,本地连接2（外网）配上网关 10422910,表面上看是配置了2个网关，但是在DOS环境下输入route print命令查看路由表，在路由表下的default gateway只有1个网关。
实际上，如果我们的内部网Intranet只处于一个网段192168970，内部网内的ip地址范围192168971~19216897254，连接内网的本地连接可以不用配网关，只配外网的本地连接2网关10422910。
当内网 1号主机 192168972要与 2号主机 192168973通讯，主机1检查目标地址ip 192168973的网段为 192168973与运算2552552550为192168970，跟本主机处于同一网段，经交换机（根据MAC地址转发）直接把数据包发给目标主机，而不会走路由器。
当本机器要上外网的时候，经查找本机的路由表，在route print命令显示出来的路由表中，路由查询是从下往上查询的，最上面的路由条目为默认路由。经网关把数据包发出去，从而达到与外网通讯的目的。
如果内网还分好几个网段，这时候，如果内网的本地连接不设网关，显然是不能与内网的其他网段通讯的。例：如果内网主机192168971要与192168981通讯，该主机查找本地路表，由于没有找到192168980的相关路由表项，最后只好走默认路由，把数据包送到网关10422910，而这个网关是外部网的网关，该数据包显然是无法到达我们内部网的（设内外网的目的主要是为了隔绝，所以外网是无法把此数据包路由到内网的相应目的主机上的）
解决的办法：添加静态路由，由于内部网都是以192168开头的，所以我们可以在DOS环境下输入： route add 19216800 mask 25525500 1921689710 这又产生了一个问题，192168981的子网掩码为2552552550，
重叠路由
假设在路由表中有下列重叠项：
目的 掩码 网关 标志 接口
1234 255255255255 2016637253 UGH eth0
1230 2552552550 2016637254 UG eth0
1200 25525500 2016637253 UG eth1
default 0000 2016639254 UG eth1
之所以说这些路由重叠是因为这四个路由都含有地址1234，如果向1234发送数据，会选择哪条路由呢？在这种情况下，会选择第一条路由，通过网关 2016637253。原则是选择具有最长(最精确)的子网掩码。类似的，发往1235的数据选择第二条路由。
注意：这条原则只适用于间接路由(通过网关)。把两个接口定义在同一子网在很多软件实现上是非法的。例如下面的设置通常是非法的（不过有些软件将尝试在两个接口进行负载平衡）：
接口 IP地址 子网掩码
eth0 20166371 2552552550
eth1 20166372 2552552550
对于重叠路由的策略是十分有用的，它允许缺省路由作为目的为0000、子网掩码为0000的路由进行工作，而不需要作为路由软件的一个特殊情况来实现。
回头来看看CIDR，仍使用上面的例子：一个服务提供商被赋予256个C类网络，从2137900到213792550。该服务提供商外部的路由表只以一个表项就了解了所有这些路由：2137900，子网掩码为25525500。假设一个用户移到了另一个服务提供商，他拥有网络地址 21379610，现在他是否必须从新的服务提供商处取得新的网络地址呢？如果是，意味着他必须重新配置每台主机的IP地址，改变DNS设置，等等。幸运的是，解决办法很简单，原来的服务提供商保持路由2137900(子网掩码为25525500)，新的服务提供商则广播路由 21379610(子网掩码为2552552550)，因为新路由的子网掩码较长，它将覆盖原来的路由。
或者1设置其中接internet的网卡的网关为19216801启用后就是默认网关；
2将连接单位内部网的网卡IP配好后，将网关设置为空（即不设网关），启用后，此时内网无法通过网关路由；
3进入CMD，运行：
route -p add 192000 mask 255000 19216801 metric 1
(意思是将192的IP包的路由网关设为19216801 ，-P 参数代表永久写入路由表）
4 OK！同时启用两个网卡，两个网关可以同时起作用了，两个子网也可以同时访问了，关机重启后也不用重设！
按列八：双网卡外网拨号＋TP－LINk方式内网静止IP
电脑有两块网卡，平时用一块上内网，如果想上外网应该如果设置。单位也有外网是通过“拨号＋TP－LINk"的方式接的。
答：只要加一条表态路由就行了。具体 *** 作步骤：单击“开始→运行”，输入“CMD”，在打开的命令行窗口中敲入以下命令：
route add xxxxxxxxxxxx mask yyyyyyyyyyyy zzzzzzzzzzzz netric 2 if zzzzzzzzzzzz
其中：xxxxxxxxxxxx是你内网的网络地址，yyyyyyyyyyyy是你内网的掩码，zzzzzzzzzzzz是你内网网卡地址。
例如：internet地址：21822123123，
子网掩码：2552552550，
网关：21822123254
企业内部网地址：10128123123，
子网掩码：2552552550，
网关：10128123254
第一步：route delete 0000 "删除所有0000的路由"
第二步：route add 0000 mask 0000 21822123254 "添加0000网络路由"
第三步：route add 10000 mask 255000 10128123254 "添加10000网络路由"
案例十：双网卡内外网均为静止IP
电脑在公司局域网内。使用用192．168．0．1这个网关时，电脑只能访问外部网，而用192．168．0．2这个网关时只能访问内部网。请问，有没有什么办法可以让我同时访问内、外部网而不用手工更改网关设置？
答：你只要这样进行设置：把19216801作为内部网关，手工增加内部各网段的静态路由，例如：route add 19216810 mask 2552552550 19216802
案例十一：双网卡外网IP自动获取内网IP静止
主机接外网的网卡IP自动获取，接内网的网卡的IP10112，子网码是2552552550,又如何实现，内外网同时可以上线浏览？
答：你只要这样进行设置：把内网网卡的IP设置为10112（根据你自己的内网分配ip）， 子网码255000 （重要）网关 不填（重要）　； 把外网网卡的IP、dns设置为自动获取
即可
案例十二：双网卡内外网IP自动获取
主机接外网的网卡IP自动获取，接内网的网卡的ip也是自动获取请问，有没有什么办法可以让我同时访问内、外网？
答：最简单的办法增加路由器，推荐用路由器进行解决,实现的最后效果为:所有pc只接一个网卡,连接到我们的路由器上,两条线路接到路由器上就可以了,至于您的访问该走哪条线路由路由器进行识别路由器里的具体设置还要根据您两条线的访问权限的情况进行
案例十三：如案例十二
一个网卡内外网同时上，需要修改下路由即可
外网网关19216811，内网网关13223511。
新建一个文本文档，敲入：
route add 132000 mask 255000 13223511
route add 0000 mask 0000 19216811
route delete 0000 mask 0000 13223511
保存为bat文件。把这个文件设置为开机自动运行，就可以内网外网同时上了。

以前曾经介绍过关于 KMS的用法 ，其中，提到了它的优点和用处，我们使用的场景有如下几点:

如果脱离AWS，选择好像还真是不太多，Harshicorp的 Vault 是我仅知道的一个， RatticDB 算半个吧。

Vault提供了对token，密码，证书，API key等的安全存储(key/value)和控制，。它能处理key的续租、撤销、审计等功能。通过API访问可以获取到加密保存的密码、ssh key、X509的certs等。它的特性包括:

因为使用Vault的目的是为了

Vault存储[backend( >