http://fs.tyc.edu.tw/k12/edubuntu.html#
http://www.edubuntu.org/
ftp://ftp.cse.yzu.edu.tw/Linux/Ubuntu/ubuntu-cd/edubuntu/8.10/
http://edubuntu.org/news/9.10-release
2009-11-30
2009-11-28
2009-11-26
ubuntu9.10的openoffice英文版改為中文版
1.點選「系統」>「管理」>「Synaptic 套件管理程式」>「搜尋」
2.鍵入「openoffice.org-l10n-zh-tw」尋找套件
3.將「openoffice.org-l10n-zh-tw」標記為安裝
4.再按「套用」即可。
http://shanghsiu.blogspot.com/2009/11/ubuntu910openoffice.html
2.鍵入「openoffice.org-l10n-zh-tw」尋找套件
3.將「openoffice.org-l10n-zh-tw」標記為安裝
4.再按「套用」即可。
http://shanghsiu.blogspot.com/2009/11/ubuntu910openoffice.html
2009-11-25
史懷哲哪國人 洪蘭再嗆醫學生
中時 更新日期:2009/11/25 02:42 陳至中/高雄報導
中國時報【陳至中/高雄報導】
先前嗆醫學生上課啃雞腿的中央大學教授洪蘭二十四日出席師培主管會議大談「終身閱讀」的重要,又拿醫學院面試當例子。她說,有學生想當醫生,卻不知道史懷哲是哪國人、要他舉中國的典範,只知道孫中山以及「幫關公這個這個(指刮骨療傷)」的人。歸咎原因,都是書看不夠、知識不夠廣泛。
昨天是洪蘭前次嗆聲引起軒然大波後,首度在公開場合演講,會前會後來去如風,婉拒媒體任何問題。但在演講中,她又有意無意地提到相關議題。
批學子書讀太少 心中缺乏典範
她表示,台灣學生普遍課外讀物讀得太少,心中缺乏典範。她曾在研究所口試時,請考生舉一個醫生的例子,對方回答「史懷哲」;進一步追問卻對史懷哲的生平背景一無所知,連他是哪國人也不知道,改舉中國歷史上的典範,也只知道孫中山。
另外,她也指出,不只學生,社會大眾的中文能力也有待加強,曾有一個教授寫信給她,自我介紹說:「我是你『先父』的先生。」有一次記者提問題,開口就說:「你『外子』在當部長時……」其實「先父」、「外子」都是自我表述的謙詞,他人不應使用。
學習是馬拉松 不認同早讀現象
洪蘭把原因歸咎於書讀得太少,傳統教育強調背誦教科書,缺乏廣泛閱讀,教師得負很大的責任。她在美國留學時,一名東方學生為了爭取教授好感,上課前把課本背得滾瓜爛熟。教授提問時,他一字不漏地把教科書內容背出來,以為會得到讚許。沒想到教授卻痛批:「只是在剽竊作者的思想!」缺乏自己的思考脈絡。
洪蘭認為,理想的教法是先「Learn To Read」,等啟發閱讀的興趣後,就能「Read To Learn」,自行學習精進,「你不可能教他一輩子的知識!」
她也批評「早讀」的現象,她認為沒有所謂的「輸在起跑點」,因為學習是馬拉松,就算開始衝得快,也不見得能夠一路領先到終點。此外,如果早讀兒因為心智不夠成熟,跟不上同儕進度,反而會因此毀掉自信心,就像肌肉還沒發展好就學寫字,往往就有可能學不好。
中國醫生典範是誰? 洪蘭嘆:書讀太少心中沒典範
台灣新生報 更新日期:2009/11/25 00:07 【高雄訊】
學者洪蘭昨天表示,面試醫學院考生時,問為何做醫生?學生答不出來;醫生典範學生答史懷哲,但不知他是哪裡人;中國醫生典範學生答是國父;令她嘆學生書讀得太少。
高雄師範大學昨天舉辦「98年度師資培育之大學主管聯席會議」,邀請中央大學認知神經科學研究所所長洪蘭發表「終身閱讀」專題演講;洪蘭感嘆,學生書讀太少所以心中沒有典範,會覺得人生不知道要幹嘛,覺得活著沒意思,沒看別人怎麼做事,做起事來丟三落四,令人「嘆為觀止」。
洪蘭表示,閱讀是把別人經驗內化成自己,才能用有限的經驗學無限的知識。而教國小一、二年級的孩子閱讀,要引起孩子的動機,可以使用繪本,但對於三年級的孩子,就要用文字閱讀,讀應該要讀的書。
洪蘭表示,孩子的反應其實就是父母親的反應,品德身教勝於言教;不要只跟孩子說「NO」,而是要指出另一條路。
她也指出,大腦凡走過必留下痕跡,教學一定要學生動手做,經驗是促使神經連結最好方式;沒有不可教的孩子,也沒有輸在起跑點這回事,實驗證實大腦不時會長出新東西,人生是終身學習的。
中國時報【陳至中/高雄報導】
先前嗆醫學生上課啃雞腿的中央大學教授洪蘭二十四日出席師培主管會議大談「終身閱讀」的重要,又拿醫學院面試當例子。她說,有學生想當醫生,卻不知道史懷哲是哪國人、要他舉中國的典範,只知道孫中山以及「幫關公這個這個(指刮骨療傷)」的人。歸咎原因,都是書看不夠、知識不夠廣泛。
昨天是洪蘭前次嗆聲引起軒然大波後,首度在公開場合演講,會前會後來去如風,婉拒媒體任何問題。但在演講中,她又有意無意地提到相關議題。
批學子書讀太少 心中缺乏典範
她表示,台灣學生普遍課外讀物讀得太少,心中缺乏典範。她曾在研究所口試時,請考生舉一個醫生的例子,對方回答「史懷哲」;進一步追問卻對史懷哲的生平背景一無所知,連他是哪國人也不知道,改舉中國歷史上的典範,也只知道孫中山。
另外,她也指出,不只學生,社會大眾的中文能力也有待加強,曾有一個教授寫信給她,自我介紹說:「我是你『先父』的先生。」有一次記者提問題,開口就說:「你『外子』在當部長時……」其實「先父」、「外子」都是自我表述的謙詞,他人不應使用。
學習是馬拉松 不認同早讀現象
洪蘭把原因歸咎於書讀得太少,傳統教育強調背誦教科書,缺乏廣泛閱讀,教師得負很大的責任。她在美國留學時,一名東方學生為了爭取教授好感,上課前把課本背得滾瓜爛熟。教授提問時,他一字不漏地把教科書內容背出來,以為會得到讚許。沒想到教授卻痛批:「只是在剽竊作者的思想!」缺乏自己的思考脈絡。
洪蘭認為,理想的教法是先「Learn To Read」,等啟發閱讀的興趣後,就能「Read To Learn」,自行學習精進,「你不可能教他一輩子的知識!」
她也批評「早讀」的現象,她認為沒有所謂的「輸在起跑點」,因為學習是馬拉松,就算開始衝得快,也不見得能夠一路領先到終點。此外,如果早讀兒因為心智不夠成熟,跟不上同儕進度,反而會因此毀掉自信心,就像肌肉還沒發展好就學寫字,往往就有可能學不好。
中國醫生典範是誰? 洪蘭嘆:書讀太少心中沒典範
台灣新生報 更新日期:2009/11/25 00:07 【高雄訊】
學者洪蘭昨天表示,面試醫學院考生時,問為何做醫生?學生答不出來;醫生典範學生答史懷哲,但不知他是哪裡人;中國醫生典範學生答是國父;令她嘆學生書讀得太少。
高雄師範大學昨天舉辦「98年度師資培育之大學主管聯席會議」,邀請中央大學認知神經科學研究所所長洪蘭發表「終身閱讀」專題演講;洪蘭感嘆,學生書讀太少所以心中沒有典範,會覺得人生不知道要幹嘛,覺得活著沒意思,沒看別人怎麼做事,做起事來丟三落四,令人「嘆為觀止」。
洪蘭表示,閱讀是把別人經驗內化成自己,才能用有限的經驗學無限的知識。而教國小一、二年級的孩子閱讀,要引起孩子的動機,可以使用繪本,但對於三年級的孩子,就要用文字閱讀,讀應該要讀的書。
洪蘭表示,孩子的反應其實就是父母親的反應,品德身教勝於言教;不要只跟孩子說「NO」,而是要指出另一條路。
她也指出,大腦凡走過必留下痕跡,教學一定要學生動手做,經驗是促使神經連結最好方式;沒有不可教的孩子,也沒有輸在起跑點這回事,實驗證實大腦不時會長出新東西,人生是終身學習的。
數學差 不能當國小老師
自由 更新日期:2009/11/25 04:09
〔記者胡清暉/高雄報導〕數學太差,未來可能當不成國小老師!
大三師培生 可望首批適用
有鑑於現職國小老師很多人數學能力不足,可能扼殺孩子對數學的興趣,國家教育研究院研擬在國小教師資格檢定考試中加考「數學科教材教法」,目前就讀大三的師培生可望首批適用;教研院也將建議師培的大學,以大學學測或指考數學科均標做為師資生遴選要件。
現行師培課程,「數學教材教法」屬於七選三的選修課程,很多準老師在大學不修數學,未來卻在小學裡扮演數學啟蒙的重要角色,讓人擔心。還有大學教授觀察到相當多的現職國小老師數學能力不夠或教法不夠創新,曾有學生在實習時改錯數學考卷,甚至被小學生問倒,在在可能扼殺孩子對數學的興趣。
教研院籌備處主任陳伯璋昨分析,國小教學採包班制,由導師負責國語及數學等主科,然而,許多師培課程沒規定數學門檻,且現行教師檢定只考「國語文測驗」及教師專業科目,加上部分縣市教師甄選時,未納入數學教育專門科目,教研院研擬國小教師資格檢定考試加考「數學科教材教法」,希望國小師資需至少具備高中數學能力。
要達高中數學程度
陳伯璋表示,經專家討論,原則上國小教師資格檢定考科仍維持不超過四科,方案一是「國語文能力測驗+數學科教材教法」、「教育原理與制度」、「兒童發展與輔導」、「國民小學課程與教學」,方案二是「數學科教材教法」獨立新增一科,兩專業科目則併成一科。
此外,台中教育大學教務長楊銀興表示,過去有一些學測數學只有二、三級分的學生考進教育系,日後難免誤人子弟,他曾提議訂定學測數學須具有七級分門檻(十五級分的一半)。
新竹教育大學教育學院院長張美玉則指出,新竹教大教育系在六年前就把入學數學門檻提高為均標,並要求必修「數學科教材教法」。
音樂、體育系學生質疑不公
目前就讀大學教育學程的張同學擔心,這會讓許多數學不好的師培生心生恐懼,兩年半後如果加考數學,屆時教師檢定考試的通過率可能下降。
也有音樂系、體育系的師培生質疑,如果四科之中有兩科是國語文、數學科教材教法,明顯有利於中文系、語教系和數學系的學生,不利於藝能科學生。
〔記者胡清暉/高雄報導〕數學太差,未來可能當不成國小老師!
大三師培生 可望首批適用
有鑑於現職國小老師很多人數學能力不足,可能扼殺孩子對數學的興趣,國家教育研究院研擬在國小教師資格檢定考試中加考「數學科教材教法」,目前就讀大三的師培生可望首批適用;教研院也將建議師培的大學,以大學學測或指考數學科均標做為師資生遴選要件。
現行師培課程,「數學教材教法」屬於七選三的選修課程,很多準老師在大學不修數學,未來卻在小學裡扮演數學啟蒙的重要角色,讓人擔心。還有大學教授觀察到相當多的現職國小老師數學能力不夠或教法不夠創新,曾有學生在實習時改錯數學考卷,甚至被小學生問倒,在在可能扼殺孩子對數學的興趣。
教研院籌備處主任陳伯璋昨分析,國小教學採包班制,由導師負責國語及數學等主科,然而,許多師培課程沒規定數學門檻,且現行教師檢定只考「國語文測驗」及教師專業科目,加上部分縣市教師甄選時,未納入數學教育專門科目,教研院研擬國小教師資格檢定考試加考「數學科教材教法」,希望國小師資需至少具備高中數學能力。
要達高中數學程度
陳伯璋表示,經專家討論,原則上國小教師資格檢定考科仍維持不超過四科,方案一是「國語文能力測驗+數學科教材教法」、「教育原理與制度」、「兒童發展與輔導」、「國民小學課程與教學」,方案二是「數學科教材教法」獨立新增一科,兩專業科目則併成一科。
此外,台中教育大學教務長楊銀興表示,過去有一些學測數學只有二、三級分的學生考進教育系,日後難免誤人子弟,他曾提議訂定學測數學須具有七級分門檻(十五級分的一半)。
新竹教育大學教育學院院長張美玉則指出,新竹教大教育系在六年前就把入學數學門檻提高為均標,並要求必修「數學科教材教法」。
音樂、體育系學生質疑不公
目前就讀大學教育學程的張同學擔心,這會讓許多數學不好的師培生心生恐懼,兩年半後如果加考數學,屆時教師檢定考試的通過率可能下降。
也有音樂系、體育系的師培生質疑,如果四科之中有兩科是國語文、數學科教材教法,明顯有利於中文系、語教系和數學系的學生,不利於藝能科學生。
2009-11-24
用 Dimdim 來做視訊會議或遠距教學
http://blog.roodo.com/ystuan/archives/10323135.html
http://code.google.com/p/openmeetings/
http://moodle.club.tw/moodle/mod/forum/discuss.php?d=1528
http://anderson1029.pixnet.net/blog/post/26511604
http://rabbitming.pixnet.net/blog/post/14446130
http://www.mikogo.net.cn/
http://evo.vrvs.org/evoGate/
http://www.dimdim.com/products/dimdim-editions-comparison.html
http://e-learning2us.blogspot.com/2009/06/dimdim.html
http://code.google.com/p/openmeetings/
http://moodle.club.tw/moodle/mod/forum/discuss.php?d=1528
http://anderson1029.pixnet.net/blog/post/26511604
http://rabbitming.pixnet.net/blog/post/14446130
http://www.mikogo.net.cn/
http://evo.vrvs.org/evoGate/
http://www.dimdim.com/products/dimdim-editions-comparison.html
http://e-learning2us.blogspot.com/2009/06/dimdim.html
2009-11-18
恩將仇報擄童丟山崖 5歲童忍痛裝死獲救
自由 更新日期:"2009/11/18 04:09"
〔記者吳仁捷、王述宏/台北報導〕「阿丈救我啦!」男子陳永漢在台縣三峽某里長家白吃白住,他不滿被趕人,前晚掐昏里長的5歲長孫棄「屍」山谷,親友暨百餘里民摸黑搜山,裝死的男童扯破塑膠袋,淋雨呼救,巧遇尿急姨丈,被綁6個半小時後奇蹟似死裡逃生。
里長收留陳嫌3年多
25歲的陳永漢是里長次子的朋友,已斷斷續續借宿3年多,目前還因妨害性自主被發布通緝;里長次子最近服役後,陳嫌獨佔他房間,被要求搬出自力更生,竟對男童下殺手報復。
前晚6點50分,男童下樓找里長阿公,後來就失蹤,全家遍尋不著,自行調閱對面雜貨店監視器影帶,看見陳永漢在7時36分牽著男童上車載走,男童母親打手機問陳嫌,他卻否認,8點30分趕回里長家,下跪指天發誓。
氣憤的里長親友要將他扭送警局之際,他跑到一旁的竹崙橋旁,跳下溪谷,警方、里民、救難總隊、消防共100餘人搜山約3個半小時,昨晨零時許,當陳嫌竄出山林脫逃時,被眾人逮捕。
面對眾怒,陳嫌改口說把男童帶去土城,以2萬元賣給人口販子,眾人為之譁然,因該里毗鄰山區,且前夜間歇下雨,眾人擔心男童若被棄置溼冷山區,就算活著,也勢必無法捱過一夜低溫若等到天亮,恐怕小命休矣,於是動員摸黑搜山。
姨丈尿急發現男童
昨日凌晨近2點,男童的姨丈、舅舅得知,陳嫌曾在六寮山區、紫微南路底的休閒農園打工,2人駕車抵達當地停車場搜索時,姨丈一時尿意襲來,正想小解,發現5 公尺深的谷底,似乎有一塊白布,好像是男童的連身睡衣,他叫了一聲男童名字,谷底竟傳來「阿丈,救我啦」,他止不住興奮,用手電筒一照,果然就是男童,2 人趕快爬下去救人,並以手機顫抖地向家人回報,「囝仔救返來囉!」里長阿公、雙親獲報,淚水奪眶而出,上百里民更是拍手歡呼。陳嫌得知男童被尋獲,改口承認帶走他,並聲稱是因不滿被催促搬家,意圖殺害男童報復,家屬聞言,氣得發抖,直罵「你還算是人嗎?」警方訊後依殺人未遂、妨害自由等罪嫌,將陳嫌移送板橋地檢署,檢方訊後聲押獲准。
騙過嫌犯 機智男童爬出屍袋求援
自由 更新日期:"2009/11/18 04:09"
記者吳仁捷/專訪
「阿伯(指陳嫌)騙說要我跟他去買麥當勞,把我帶走了」,「阿伯後來突然用兩隻手掐我的脖子,我好痛好痛,不能呼吸,就趕快假裝死掉。」
5 歲男童裝死,瞞過陳嫌,讓他鬆手,憑著自己的機智,為自己爭取到一線生機。小男童回憶說,他一路閉眼、屏息,深怕被「阿伯」察覺他沒死;甚至陳嫌用大型黑色塑膠袋「裝屍」,再打結封口,他也一動不動;最後陳嫌將他從六寮山頂的停車場,扔下山谷,「屍袋」一路擦撞滾落,男童也都勇敢憋氣忍住。
「我不敢出聲,在塑膠袋裡待了很久,想說阿伯應該走了,才偷偷弄破袋子透氣,再爬出來。」男童為自己的生存奮鬥之際,三峽的里民、親人也全力搜救,但山雨、低溫襲來,男童冷得發抖,嘴唇更凍得發紫。
當姨丈和舅舅的車燈在黑暗中亮起,男童燃起希望,卻怕是「壞阿伯」回來,等來人站在崖邊一瞧,「那不是姨丈嗎?」一聲無盡希望的呼喚,喚來了姨丈和舅舅的緊緊相擁,男童哭了,大人哭得更激動。
但久處低溫,男童已失溫,一送回家,阿公、媽媽抱著他就往醫院奔去,經過診療,才漸漸恢復元氣,睜眼一見媽咪,就說,「媽媽,你要幫我教訓那個壞阿伯喔!」接著說出他如何踏入險境,如何裝死求生,…,阿公、媽媽、阿爸,還有親友們不捨,但也讚嘆他的聰明與勇氣!
〔記者吳仁捷、王述宏/台北報導〕「阿丈救我啦!」男子陳永漢在台縣三峽某里長家白吃白住,他不滿被趕人,前晚掐昏里長的5歲長孫棄「屍」山谷,親友暨百餘里民摸黑搜山,裝死的男童扯破塑膠袋,淋雨呼救,巧遇尿急姨丈,被綁6個半小時後奇蹟似死裡逃生。
里長收留陳嫌3年多
25歲的陳永漢是里長次子的朋友,已斷斷續續借宿3年多,目前還因妨害性自主被發布通緝;里長次子最近服役後,陳嫌獨佔他房間,被要求搬出自力更生,竟對男童下殺手報復。
前晚6點50分,男童下樓找里長阿公,後來就失蹤,全家遍尋不著,自行調閱對面雜貨店監視器影帶,看見陳永漢在7時36分牽著男童上車載走,男童母親打手機問陳嫌,他卻否認,8點30分趕回里長家,下跪指天發誓。
氣憤的里長親友要將他扭送警局之際,他跑到一旁的竹崙橋旁,跳下溪谷,警方、里民、救難總隊、消防共100餘人搜山約3個半小時,昨晨零時許,當陳嫌竄出山林脫逃時,被眾人逮捕。
面對眾怒,陳嫌改口說把男童帶去土城,以2萬元賣給人口販子,眾人為之譁然,因該里毗鄰山區,且前夜間歇下雨,眾人擔心男童若被棄置溼冷山區,就算活著,也勢必無法捱過一夜低溫若等到天亮,恐怕小命休矣,於是動員摸黑搜山。
姨丈尿急發現男童
昨日凌晨近2點,男童的姨丈、舅舅得知,陳嫌曾在六寮山區、紫微南路底的休閒農園打工,2人駕車抵達當地停車場搜索時,姨丈一時尿意襲來,正想小解,發現5 公尺深的谷底,似乎有一塊白布,好像是男童的連身睡衣,他叫了一聲男童名字,谷底竟傳來「阿丈,救我啦」,他止不住興奮,用手電筒一照,果然就是男童,2 人趕快爬下去救人,並以手機顫抖地向家人回報,「囝仔救返來囉!」里長阿公、雙親獲報,淚水奪眶而出,上百里民更是拍手歡呼。陳嫌得知男童被尋獲,改口承認帶走他,並聲稱是因不滿被催促搬家,意圖殺害男童報復,家屬聞言,氣得發抖,直罵「你還算是人嗎?」警方訊後依殺人未遂、妨害自由等罪嫌,將陳嫌移送板橋地檢署,檢方訊後聲押獲准。
騙過嫌犯 機智男童爬出屍袋求援
自由 更新日期:"2009/11/18 04:09"
記者吳仁捷/專訪
「阿伯(指陳嫌)騙說要我跟他去買麥當勞,把我帶走了」,「阿伯後來突然用兩隻手掐我的脖子,我好痛好痛,不能呼吸,就趕快假裝死掉。」
5 歲男童裝死,瞞過陳嫌,讓他鬆手,憑著自己的機智,為自己爭取到一線生機。小男童回憶說,他一路閉眼、屏息,深怕被「阿伯」察覺他沒死;甚至陳嫌用大型黑色塑膠袋「裝屍」,再打結封口,他也一動不動;最後陳嫌將他從六寮山頂的停車場,扔下山谷,「屍袋」一路擦撞滾落,男童也都勇敢憋氣忍住。
「我不敢出聲,在塑膠袋裡待了很久,想說阿伯應該走了,才偷偷弄破袋子透氣,再爬出來。」男童為自己的生存奮鬥之際,三峽的里民、親人也全力搜救,但山雨、低溫襲來,男童冷得發抖,嘴唇更凍得發紫。
當姨丈和舅舅的車燈在黑暗中亮起,男童燃起希望,卻怕是「壞阿伯」回來,等來人站在崖邊一瞧,「那不是姨丈嗎?」一聲無盡希望的呼喚,喚來了姨丈和舅舅的緊緊相擁,男童哭了,大人哭得更激動。
但久處低溫,男童已失溫,一送回家,阿公、媽媽抱著他就往醫院奔去,經過診療,才漸漸恢復元氣,睜眼一見媽咪,就說,「媽媽,你要幫我教訓那個壞阿伯喔!」接著說出他如何踏入險境,如何裝死求生,…,阿公、媽媽、阿爸,還有親友們不捨,但也讚嘆他的聰明與勇氣!
女大生頂罪 落跑男友另結新歡 警嘆太天真
NOWnews 更新日期:2009/11/17 17:09 社會中心/綜合報導
上個月台南縣警方追緝一名槍砲通緝犯時,嫌犯留下大學生女友,衝撞員警逃逸,當時這名女大學生還很天真的幫男友扛下持有槍械的重罪,導致她被收押,警方17日抓到這名通緝犯,才發現他早就另交女友,也感嘆女大學生真的太傻、太天真。
上個月13日,戴著黑框眼鏡,長相秀氣的女大學生蘇芳儀因持有槍械和毒品被逮捕,其實警方當時要抓的是他的男朋友王秋和,但王秋和衝撞警方後逃逸,蘇芳儀當時被愛沖昏頭,坦護男友頂下罪,被法官裁定收押。
王秋和逃逸一個月後,星期一警方循線在官田鄉發現他的行蹤,今日上前圍捕時,王秋和再度開車衝撞,員警對空鳴槍後連開7槍,其中一槍貫穿車門,擊中王秋和腹部,王秋和駕駛的休旅車也失控衝入菱角田中。
王秋和落網後,警方在他的住處再度起出槍械,讓警方訝異的是,才不過一個月時間,他已經結交另一位女友,而且已經同居。被愛沖昏頭頂罪的蘇芳儀,被收押時已經感到後悔,如果她知道王秋和馬上另結新歡,根本不把她當一回事,心裡真的是不知做何感想?(新聞來源:東森新聞記者黃琮群)
上個月台南縣警方追緝一名槍砲通緝犯時,嫌犯留下大學生女友,衝撞員警逃逸,當時這名女大學生還很天真的幫男友扛下持有槍械的重罪,導致她被收押,警方17日抓到這名通緝犯,才發現他早就另交女友,也感嘆女大學生真的太傻、太天真。
上個月13日,戴著黑框眼鏡,長相秀氣的女大學生蘇芳儀因持有槍械和毒品被逮捕,其實警方當時要抓的是他的男朋友王秋和,但王秋和衝撞警方後逃逸,蘇芳儀當時被愛沖昏頭,坦護男友頂下罪,被法官裁定收押。
王秋和逃逸一個月後,星期一警方循線在官田鄉發現他的行蹤,今日上前圍捕時,王秋和再度開車衝撞,員警對空鳴槍後連開7槍,其中一槍貫穿車門,擊中王秋和腹部,王秋和駕駛的休旅車也失控衝入菱角田中。
王秋和落網後,警方在他的住處再度起出槍械,讓警方訝異的是,才不過一個月時間,他已經結交另一位女友,而且已經同居。被愛沖昏頭頂罪的蘇芳儀,被收押時已經感到後悔,如果她知道王秋和馬上另結新歡,根本不把她當一回事,心裡真的是不知做何感想?(新聞來源:東森新聞記者黃琮群)
2009-11-17
洗髮精直接倒頭上 小心掉髮!
華視 更新日期:2009/11/16 16:46
很多人習慣洗頭髮的時候,直接把洗髮精擠在頭頂,這樣雖然方便,但如果你的洗髮精品質不佳或濃度太高,小心會讓你掉頭髮,甚至頭髮局部"變灰白"的情況。
連按三下,一大坨洗髮精直接倒在頭上,很多人都是這樣洗頭,不過小心,如果你長期這樣把濃度高的洗髮精,直接淋在頭皮"固定部位"清洗,有可能會出現嚴重局部的落髮,甚至禿髮,一位年輕先生,甚至出現頭髮變色,變灰白的情況,更可怕的,有人頭頂長出紅色斑點,出現頭皮毛囊炎,得剃髮治療。只是洗個頭髮有這麼嚴重嗎?醫師強調,含有化學物質的洗髮劑,直接接觸頭部,不到一年就有可能出現落髮。正確洗髮方式,最好是擠出5元硬幣大的洗髮乳,摻入水,在手上搓揉出細微泡泡再洗,記得要用指腹清柔按摩,才不會讓妳頂上無光。(完整影音新聞請見:http://news.cts.com.tw/cts/life /200911/200911160345176.html)
很多人習慣洗頭髮的時候,直接把洗髮精擠在頭頂,這樣雖然方便,但如果你的洗髮精品質不佳或濃度太高,小心會讓你掉頭髮,甚至頭髮局部"變灰白"的情況。
連按三下,一大坨洗髮精直接倒在頭上,很多人都是這樣洗頭,不過小心,如果你長期這樣把濃度高的洗髮精,直接淋在頭皮"固定部位"清洗,有可能會出現嚴重局部的落髮,甚至禿髮,一位年輕先生,甚至出現頭髮變色,變灰白的情況,更可怕的,有人頭頂長出紅色斑點,出現頭皮毛囊炎,得剃髮治療。只是洗個頭髮有這麼嚴重嗎?醫師強調,含有化學物質的洗髮劑,直接接觸頭部,不到一年就有可能出現落髮。正確洗髮方式,最好是擠出5元硬幣大的洗髮乳,摻入水,在手上搓揉出細微泡泡再洗,記得要用指腹清柔按摩,才不會讓妳頂上無光。(完整影音新聞請見:http://news.cts.com.tw/cts/life /200911/200911160345176.html)
2009-11-16
薇閣小電影 偷情、多P讓人盡「性」
NOWnews 更新日期:2009/11/13 11:17 記者張菫宸/台北報導
國民黨立委吳育昇驚爆帶熟女上薇閣「休息」兩個半小時搞婚外情,而日前薇閣為慶祝旗艦店開幕砸下重金拍攝三部愛情小電影,以旅館房間作為電影拍攝場景。電影是放在房間裡供客人觀賞,首映會時更請到名模蔣怡站台,蔣怡表示電影雖然令人臉紅心跳但覺得發人省思。
對於情慾交織的電影內容和露骨的拍攝尺度,蔣怡表示:第一次聽到旅館業者投資拍攝小電影,感覺真的很好奇電影的內容,看到電影後,雖然令人臉紅心跳但覺得發人省思!尤其三位導演拍攝風格都很不一樣,各有各的特色,每部電影只有短短十分鐘,也都有將現代男女關係的矛盾與深度表現出來,手法很新潮。
電影邀請到執導國片《花吃了那女孩》陳宏一導演拍攝名為《送餐服務》的小電影,透過故事中女主角每天送餐給客人,幻想每間房間裡的情慾故事,不論是「兄妹的愛的不倫」或「芭比的性愛論」,都是內心渴望與想像之間拉扯。
第二部由羅景壬導演所執導的《浴帽》,是一部發生在都會成年男女之間荒謬的情愛喜劇,電影中可以看到男主角因為看到女生洗澡時頭上戴著俗到極點的阿嬤浴帽,而產生性趣缺缺打退堂鼓的情形。羅景壬導演運用電影台詞:「滑稽的刀畢竟還是一把刀」來說明愛情沒有對錯,他表示,「我用幽默輕鬆的態度來看待情慾這件事,透過男主角不斷重複著一樣的劇情,來思考愛情本身就很不可理喻這麼一件事。」。
第三部小電影是由日本導演神山雅美所執導的《無味皂》,主打的就是不會在你身上留下任何味道的香皂,故事有點玄疑,外遇的妻子和情人使用著丈夫製作的無味皂,卻也因為那塊皂而發生意外。對於電影本身,神山雅美導演表示:「我想拍出無味皂強調的那種神祕卻又激情的氛圍,也許大家會認為劇情很驚悚、讓人心驚膽顫,不過我想表現的只是一種黑色幽默罷了! 」
薇閣小電影:
wego-浴帽
wego-送餐服務
wego-無味皂
國民黨立委吳育昇驚爆帶熟女上薇閣「休息」兩個半小時搞婚外情,而日前薇閣為慶祝旗艦店開幕砸下重金拍攝三部愛情小電影,以旅館房間作為電影拍攝場景。電影是放在房間裡供客人觀賞,首映會時更請到名模蔣怡站台,蔣怡表示電影雖然令人臉紅心跳但覺得發人省思。
對於情慾交織的電影內容和露骨的拍攝尺度,蔣怡表示:第一次聽到旅館業者投資拍攝小電影,感覺真的很好奇電影的內容,看到電影後,雖然令人臉紅心跳但覺得發人省思!尤其三位導演拍攝風格都很不一樣,各有各的特色,每部電影只有短短十分鐘,也都有將現代男女關係的矛盾與深度表現出來,手法很新潮。
電影邀請到執導國片《花吃了那女孩》陳宏一導演拍攝名為《送餐服務》的小電影,透過故事中女主角每天送餐給客人,幻想每間房間裡的情慾故事,不論是「兄妹的愛的不倫」或「芭比的性愛論」,都是內心渴望與想像之間拉扯。
第二部由羅景壬導演所執導的《浴帽》,是一部發生在都會成年男女之間荒謬的情愛喜劇,電影中可以看到男主角因為看到女生洗澡時頭上戴著俗到極點的阿嬤浴帽,而產生性趣缺缺打退堂鼓的情形。羅景壬導演運用電影台詞:「滑稽的刀畢竟還是一把刀」來說明愛情沒有對錯,他表示,「我用幽默輕鬆的態度來看待情慾這件事,透過男主角不斷重複著一樣的劇情,來思考愛情本身就很不可理喻這麼一件事。」。
第三部小電影是由日本導演神山雅美所執導的《無味皂》,主打的就是不會在你身上留下任何味道的香皂,故事有點玄疑,外遇的妻子和情人使用著丈夫製作的無味皂,卻也因為那塊皂而發生意外。對於電影本身,神山雅美導演表示:「我想拍出無味皂強調的那種神祕卻又激情的氛圍,也許大家會認為劇情很驚悚、讓人心驚膽顫,不過我想表現的只是一種黑色幽默罷了! 」
薇閣小電影:
wego-浴帽
wego-送餐服務
wego-無味皂
2009-11-12
Cisco 防火牆技術匯總
Cisco 防火牆技術匯總
出處:www.net130.com 作者:www.net130.com 時間:2006年1月5日15:14
我們知道防火牆有四種類型:集成防火牆功能的路由器,集成防火牆功能的代理伺服器,專用的軟體防火牆和專用的軟硬體結合的防火牆。Cisco的防火牆解決方案中包含了四種類型中的第一種和第四種,即:集成防火牆功能的路由器和專用的軟硬體結合的防火牆。
一、 集成在路由器中的防火牆技術
1、 路由器IOS標準設備中的ACL技術
ACL即Access Control Lis t(訪問控制列表),簡稱Access List(訪問列表),它是後續所述的IOS Firewall Feature Set的基礎,也是Cisco全線路由器統一介面的作業系統IOS(Internet Operation System,網間作業系統)標準配置的一部分。這就是說在購買了路由器後,ACL功能已經具備,不需要額外花錢去買。
2、 IOS Firewall Feature Set(IOS防火牆套裝軟體)
IOS Firewall Feature Set是在ACL的基礎上對安全控制的進一步提升,由名稱可知,它是一套專門針對防火牆功能的附加套裝軟體,可通過IOS升級獲得,並且可以載入到多個Cisco路由器平臺上。
目前防火牆套裝軟體適用的路由器平臺包括Cisco 1600、1700、2500、2600和3600,均屬中、低端系列。對很多傾向與使用"all-in-one solution"(一體化解決方案),力求簡單化管理的中小企業用戶來說,它能很大程度上滿足需求。之所以不在高端設備上實施集成防火牆功能,這是為了避免影響大型網路的主幹路由器的核心工作--資料轉發。在這樣的網路中,應當使用專用的防火牆設備。
Cisco IOS防火牆特徵:
l 基於上下文的訪問控制(CBAC)為先進應用程式提供基於應用程式的安全篩選並支援最新協定
l Java能防止下載動機不純的小應用程式
l 在現有功能基礎上又添加了拒絕服務探測和預防功能,從而增加了保護
l 在探測到可疑行為後可向中央管理控制臺即時發送警報和系統記錄錯誤資訊
l TCP/UDP事務處理記錄按源/目的地址和埠對跟蹤用戶訪問
l 配置和管理特性與現有管理應用程式密切配合
訂購資訊
Cisco 1600系列Cisco IOS防火牆特性
IP/Firewall CD16-BW/EW/CH-11.3=
IP/Firewall CD16-BY/EY/CH-11.3=
IP/IPX/Firewall Plus CD16-C/BHP-11.3=
Cisco 2500系列Cisco IOS防火牆特性
IP/Firewall CD25CH-11.2=
IP/IPX/AT/DEC/Firewall Plus CD25-BHP-11.2=
二、 專用防火牆--PIX
PIX(Private Internet eXchange)屬於四類防火牆中的第四種--軟硬體結合的防火牆,它的設計是為了滿足高級別的安全需求,以較好的性能價格比提供嚴密的、強有力的安全防範。除了具備第四類防火牆的共同特性,並囊括了IOS Firewall Feature Set的應有功能。
PIX成為Cisco在網路安全領域的旗艦產品已有一段歷史了,它的軟硬體結構也經歷了較大的發展。現在的PIX有515和520兩種型號(520系列容量大於515系列),從原來的僅支援兩個10M乙太網介面,到10/100M乙太網、權杖環網和FDDI的多介質、多埠(最多4個)應用;其專用作業系統從v5.0開始提供對IPSec這一標準隧道技術的支援,使PIX能與更多的其他設備一起共同構築起基於標準VPN連接。
Cisco的PIX Firewall能同時支持16,000多路TCP對話,並支援數萬用戶而不影響用戶性能,在額定載荷下,PIX Firewall的運行速度為45Mbps,支援T3速度,這種速度比基於UNIX的防火牆快十倍。
主要特性:
l 保護方案基於適應性安全演算法(ASA),能提供任何其他防火牆都不能提供的最高安全保護
l 將獲專利的"切入代理"特性能提供傳統代理伺服器無法匹敵的高性能
l 安裝簡單,維護方便,因而降低了購置成本
l 支援64路同時連接,企業發展後可擴充到16000路
l 透明支援所有通用TCP/IP Internet服務,如萬維網(WWW)檔傳輸協議(FTP)、Telnet、Archie、Gopher和rlogin
l 支援多媒體資料類型,包括Progressive網路公司的Real Audio,Xing技術公司的Steamworks,White Pines公司腃USeeMe,Vocal Te公司的Internet Phone,VDOnet公司的VDOLive,Microsoft公司的NetShow和Uxtreme公司的Web Theater 2
l 支援H323相容的視頻會議應用,包括Intel的Internet Video Phone和Microsoft的NetMeeting
l 無需因安裝而停止運行
l 無需升級主機或路由器
l 完全可以從未註冊的內部主機訪問外部Internet
l 能與基於Cisco IOS的路由器互操作
訂購資訊
帶2個10/100BaseT NIC的64路PIX PIX-64-A-CH
帶2個10/100BaseT NIC的1024路PIX PIX1K-A-CH
帶2個10/100BaseT NIC的16K路(不限)PIX PIXUR-A-CH
帶2個10/100BaseT NIC的64路200MHZ PIX PIX64-B-CH
帶2個10/100BaseT NIC的1024路200MHZ PIX PIX1K-B-CH
帶2個10/100BaseT NIC的16K路200MHZ PIX PIXUR-B-CH
10/100M bps乙太網介面,RJ45 PIX-1FE=
4/16Mbps權杖環網介面 PIX-1TR=
PIX軟體版本升級 SWPIX-VER=
三、 兩種防火牆技術的比較
IOS FIREWALL FEATURE SET PIX FIREWALL
網路規模 中小型網路,小於250節點的應用。 大型網路,可支援多於500用戶的應用
工作平臺 路由器IOS作業系統 專用PIX工作平臺
性能 最高支援T1/E1(2M)線路 可支援多條T3/E3(45M)線路
工作原理 基於資料包過濾,核心控制為CBAC 基於資料包過濾,核心控制為ASA
配置方式 命令行或圖形方式(通過ConfigMaker) 命令行方式或圖形方式(通過Firewall Manager)
應用的過濾 支援Java小程式過濾 支援Java小程式過濾
身份認證 通過IOS命令,支持TACACS+、RADIUS伺服器認證。 支持TACACS+、RADIUS集中認證
虛擬專網(VPN) 通過IOS軟體升級可支援IPSec、L2F和GRE隧道技術,支援40或56位DES加密。 支援Private Link或IPSec隧道和加密技術
網路位址翻譯(NAT) 集成IOS Plus實現 支援
冗余特性 通過路由器的冗餘協議HSRP實現 支援熱冗餘
自身安全 支持Denial-of-Service 支持Denial-of-Service
代理服務 無,通過路由器的路由功能實現應用 切入的代理服務功能
管理 通過路由器的管理工具,如Cisco Works 通過Firewall Manager實現管理
審計功能 一定的跟蹤和報警功能 狀態化資料過濾,可通過Firewall Manager實現較好的額監控、報告功能
四、 Centri防火牆
主要特性:
l 核心代理體系結構
l 針對Windows NT定制TCP/IP棧
l 圖形用戶結構可制訂安全政策
l 可將安全政策拖放到網路、網路組、用戶和用戶組
l ActiveX、Java小應用程式、Java和Vb模組
l 通用資源定位器(URL)模組
l 埠位址轉換
l 網路位址轉換
l 透明支援所有通用TCP/IP應用程式,包括WWW、檔傳輸協議(FTP)Telnet和郵件
l 為Web、Telnet和FTP提供代理安全服務
l 根據IP位址、IP子網和IP子網組進行認證
l 使用sl口令和可重複使用口令Telnet、Web和ftp提供聯機用戶認證
l 使用Windows NT對所有網路服務進行帶外認證
l 防止拒絕服務型攻擊,包括SYN Flood、IP地址哄騙和Ping-of-Death
訂購資訊
Cisco Centri產品
Centri Firewall v4.0 for Windows NT,50個用戶 Centri-50
Centri Firewall v4.0 for Windows NT,100個用戶 Centri-100
Centri Firewall v4.0 for Windows NT,250個用戶 Centri-250
Centri Firewall v4.0 for Windows NT,用戶不限 Centri-UNR
Centri Firewall v4.0 for Windows NT,從100個用戶升級到250個 Centri-UDP-100-250
Centri Firewall v4.0 for Windows NT,從250個用戶升級到無窮多 Centri-250-UNR
五、Cisco PIX防火牆的安裝流程
1. 將PIX安放至機架,經檢測電源系統後接上電源,並加電主機。
2. 將CONSOLE口連接到PC的串口上,運行HyperTerminal程式從CONSOLE口進入PIX系統;此時系統提示pixfirewall>。
3. 輸入命令:enable,進入特權模式,此時系統提示為pixfirewall#。
4. 輸入命令: configure terminal,對系統進行初始化設置。
5. 配置乙太口參數:
interface ethernet0 auto (auto選項表明系統自適應網卡類型 )interface ethernet1 auto
6. 配置內外網卡的IP位址:
ip address inside ip_address netmask
ip address outside ip_address netmask
7. 指定外部位址範圍:
global 1 ip_address-ip_address
8. 指定要進行要轉換的內部位址:
nat 1 ip_address netmask
9. 設置指向內部網和外部網的缺省路由
route inside 0 0 inside_default_router_ip_address
route outside 0 0 outside_default_router_ip_address
10. 配置靜態IP位元址對映:
static outside ip_address inside ip_address
11. 設置某些控制選項:
conduit global_ip port<-port> protocol foreign_ip global_ip 指的是要控制的位址
port 指的是所作用的埠,其中0代表所有埠
protocol 指的是連接協定,比如:TCP、UDP等
foreign_ip 表示可訪問global_ip的外部ip,其中表示所有的ip。
12. 設置telnet選項:
telnet local_ip
local_ip 表示被允許通過telnet訪問到pix的ip位址(如果不設此項, PIX的配置只能由consle方式進行)。
13. 將配置保存:
wr mem
14. 幾個常用的網路測試命令:
#ping
#show interface 查看埠狀態
#show static 查看靜態位址映射
六、PIX與路由器的結合配置
(一)、PIX防火牆
1、設置PIX防火牆的外部位址:
ip address outside 131.1.23.2
2、設置PIX防火牆的內部位址:
ip address inside 10.10.254.1
3、設置一個內部電腦與Internet上電腦進行通信時所需的全局位址池:
global1 131.1.23.10-131.1.23.254
4、允許網路位址為10.0.0.0的網段位址被PIX翻譯成外部位址:
nat 110.0.0.0
5、網管工作站固定使用的外部位址為131.1.23.11:
static 131.1.23.11 10.14.8.50
6、允許從RTRA發送到到網管工作站的系統日誌包通過PIX防火牆:
conduit 131.1.23.11514 udp 131.1.23.1 255.255.255.255
7、允許從外部發起的對郵件伺服器的連接(131.1.23.10):
mailhost 131.1.23.10 10.10.254.3
8、允許網路管理員通過遠端登錄管理IPX防火牆:
telnet 10.14.8.50
9、在位於網管工作站上的日誌伺服器上記錄所有事件日誌:
syslog facility 20.7
syslog host 10.14.8.50
(二)、路由器RTRA
RTRA是外部防護路由器,它必須保護PIX防火牆免受直接攻擊,保護FTP/HTTP伺服器,同時作為一個警報系統,如果有人攻入此路由器,管理可以立即被通知。
1、阻止一些对路由器本身的攻击:www.net130.com
no service tcps mall-servers
2、强制路由器向系统日志服务器发送在此路由器发生的每一个事件,包括被存取斜砭芫陌吐酚善髋渲玫母谋洌徽飧龆骺梢宰魑韵低彻芾碓钡脑缙谠ぞな居腥嗽谑酝脊セ髀酚善鳎蛘咭丫ト肼酚善鳎谑酝脊セ鞣阑鹎剑?BR>logging trapde bugging
3、此地址是网管工作站的外部地址,路由器将记录所有事件到此主机上:
logging 131.1.23.11
4、保护PIX防火墙和HTTP/FTP服务器以及防卫欺骗攻击(见存取列表):
enable secret xxxxxxxxxxx
interface Ethernet 0
ipaddress 131.1.23.1 255.255.255.0
interfaceSerial 0
ip unnumbered ethernet 0
ip access-group 110 in
5、禁止任何顯示為來源於路由器RTRA和PIX防火牆之間的資訊包,這可以防止欺騙攻擊:
access-list 110 deny ip 131.1.23.0 0.0.0.255 anylog
6、防止對PIX防火牆外部介面的直接攻擊並記錄到系統日誌伺服器任何企圖連接PIX防火牆外部介面的事件:
access-list 110 deny ip any host 131.1.23.2 log
7、允許已經建立的TCP會話的資訊包通過:
access-list 110 permit tcp any 131.1.23.0 0.0.0.255 established
8、允許和FTP/HTTP伺服器的FTP連接:
access-list 110 permit tcp any host 131.1.23.3 eq ftp
9、允許和FTP/HTTP伺服器的FTP資料連接:
access-list 110 permit tcp any host 131.1.23.2 eq ftp-data
10、允許和FTP/HTTP伺服器的HTTP連接:
access-list 110 permit tcp any host 131.1.23.2 eq www
11、禁止和FTP/HTTP伺服器的別的連接並記錄到系統日誌伺服器任何企圖連接FTP/HTTP的事件:
access-list 110 deny ip any host 131.1.23.2 log
12、允許其他預定在PIX防火牆和路由器RTRA之間的流量:
access-list 110 permit ip any 131.1.23.0 0.0.0.255
13、限制可以遠端登錄到此路由器的IP位址:
line vty 0 4
login
password xxxxxxxxxx
access-class 10 in
14、只允許網管工作站遠端登錄到此路由器,當你想從Internet管理此路由器時,應對此存取控制列表進行修改:
access-list 10 permit ip 131.1.23.11
(三)、路由器RTRB
RTRB是內部網防護路由器,它是你的防火牆的最後一道防線,是進入內部網的入口。
1、記錄此路由器上的所有活動到網管工作站上的日誌伺服器,包括配置的修改:www.net130.com
logging trap debugging
logging 10.14.8.50
2、允許通向網管工作站的系統日誌資訊:
interface Ethernet 0
ip address 10.10.254.2 255.255.255.0
no ip proxy-arp
ip access-group 110 in
access-list 110 permit udp host 10.10.254.0 0.0.0.255
3、禁止所有別的從PIX防火牆發來的資訊包:
access-list 110 deny ip any host 10.10.254.2 log
4、允許郵件主機和內部郵件伺服器的SMTP郵件連接:
access-list permit tcp host 10.10.254.31 0.0.0.0 0.255.255.255 eq smtp
5、禁止別的來源與郵件伺服器的流量:
access-list deny ip host 10.10.254.31 0.0.0.0 0.255.255.255
6、防止內部網路的信任位址欺騙:
access-list deny ip any 10.10.254.0 0.0.0.255
7、允許所有別的來源於PIX防火牆和路由器RTRB之間的流量:
access-list permit ip 10.10.254.0 0.0.0.255 10.0.0.0 0.255.255.255
8、限制可以遠端登錄到此路由器上的IP地址:
line vty 0 4
login
password xxxxxxxxxx
access-class 10 in
9、只允許網管工作站遠端登錄到此路由器,當你想從Internet管理此路由器時,應對此存取控制列表進行修改:
access-list 10 permit ip 10.14.8.50
按以上設置配置好PIX防火牆和路由器後,PIX防火牆外部的攻擊者將無法在外部連接上找到可以連接的開放埠,也不可能判斷出內部任何一台主機的 IP位址,即使告訴了內部主機的IP位址,要想直接對它們進行Ping和連接也是不可能的。這樣就可以對整個內部網進行有效的保護。
http://www.5dmail.net/html/2006-1-5/200615151446.htm
出處:www.net130.com 作者:www.net130.com 時間:2006年1月5日15:14
我們知道防火牆有四種類型:集成防火牆功能的路由器,集成防火牆功能的代理伺服器,專用的軟體防火牆和專用的軟硬體結合的防火牆。Cisco的防火牆解決方案中包含了四種類型中的第一種和第四種,即:集成防火牆功能的路由器和專用的軟硬體結合的防火牆。
一、 集成在路由器中的防火牆技術
1、 路由器IOS標準設備中的ACL技術
ACL即Access Control Lis t(訪問控制列表),簡稱Access List(訪問列表),它是後續所述的IOS Firewall Feature Set的基礎,也是Cisco全線路由器統一介面的作業系統IOS(Internet Operation System,網間作業系統)標準配置的一部分。這就是說在購買了路由器後,ACL功能已經具備,不需要額外花錢去買。
2、 IOS Firewall Feature Set(IOS防火牆套裝軟體)
IOS Firewall Feature Set是在ACL的基礎上對安全控制的進一步提升,由名稱可知,它是一套專門針對防火牆功能的附加套裝軟體,可通過IOS升級獲得,並且可以載入到多個Cisco路由器平臺上。
目前防火牆套裝軟體適用的路由器平臺包括Cisco 1600、1700、2500、2600和3600,均屬中、低端系列。對很多傾向與使用"all-in-one solution"(一體化解決方案),力求簡單化管理的中小企業用戶來說,它能很大程度上滿足需求。之所以不在高端設備上實施集成防火牆功能,這是為了避免影響大型網路的主幹路由器的核心工作--資料轉發。在這樣的網路中,應當使用專用的防火牆設備。
Cisco IOS防火牆特徵:
l 基於上下文的訪問控制(CBAC)為先進應用程式提供基於應用程式的安全篩選並支援最新協定
l Java能防止下載動機不純的小應用程式
l 在現有功能基礎上又添加了拒絕服務探測和預防功能,從而增加了保護
l 在探測到可疑行為後可向中央管理控制臺即時發送警報和系統記錄錯誤資訊
l TCP/UDP事務處理記錄按源/目的地址和埠對跟蹤用戶訪問
l 配置和管理特性與現有管理應用程式密切配合
訂購資訊
Cisco 1600系列Cisco IOS防火牆特性
IP/Firewall CD16-BW/EW/CH-11.3=
IP/Firewall CD16-BY/EY/CH-11.3=
IP/IPX/Firewall Plus CD16-C/BHP-11.3=
Cisco 2500系列Cisco IOS防火牆特性
IP/Firewall CD25CH-11.2=
IP/IPX/AT/DEC/Firewall Plus CD25-BHP-11.2=
二、 專用防火牆--PIX
PIX(Private Internet eXchange)屬於四類防火牆中的第四種--軟硬體結合的防火牆,它的設計是為了滿足高級別的安全需求,以較好的性能價格比提供嚴密的、強有力的安全防範。除了具備第四類防火牆的共同特性,並囊括了IOS Firewall Feature Set的應有功能。
PIX成為Cisco在網路安全領域的旗艦產品已有一段歷史了,它的軟硬體結構也經歷了較大的發展。現在的PIX有515和520兩種型號(520系列容量大於515系列),從原來的僅支援兩個10M乙太網介面,到10/100M乙太網、權杖環網和FDDI的多介質、多埠(最多4個)應用;其專用作業系統從v5.0開始提供對IPSec這一標準隧道技術的支援,使PIX能與更多的其他設備一起共同構築起基於標準VPN連接。
Cisco的PIX Firewall能同時支持16,000多路TCP對話,並支援數萬用戶而不影響用戶性能,在額定載荷下,PIX Firewall的運行速度為45Mbps,支援T3速度,這種速度比基於UNIX的防火牆快十倍。
主要特性:
l 保護方案基於適應性安全演算法(ASA),能提供任何其他防火牆都不能提供的最高安全保護
l 將獲專利的"切入代理"特性能提供傳統代理伺服器無法匹敵的高性能
l 安裝簡單,維護方便,因而降低了購置成本
l 支援64路同時連接,企業發展後可擴充到16000路
l 透明支援所有通用TCP/IP Internet服務,如萬維網(WWW)檔傳輸協議(FTP)、Telnet、Archie、Gopher和rlogin
l 支援多媒體資料類型,包括Progressive網路公司的Real Audio,Xing技術公司的Steamworks,White Pines公司腃USeeMe,Vocal Te公司的Internet Phone,VDOnet公司的VDOLive,Microsoft公司的NetShow和Uxtreme公司的Web Theater 2
l 支援H323相容的視頻會議應用,包括Intel的Internet Video Phone和Microsoft的NetMeeting
l 無需因安裝而停止運行
l 無需升級主機或路由器
l 完全可以從未註冊的內部主機訪問外部Internet
l 能與基於Cisco IOS的路由器互操作
訂購資訊
帶2個10/100BaseT NIC的64路PIX PIX-64-A-CH
帶2個10/100BaseT NIC的1024路PIX PIX1K-A-CH
帶2個10/100BaseT NIC的16K路(不限)PIX PIXUR-A-CH
帶2個10/100BaseT NIC的64路200MHZ PIX PIX64-B-CH
帶2個10/100BaseT NIC的1024路200MHZ PIX PIX1K-B-CH
帶2個10/100BaseT NIC的16K路200MHZ PIX PIXUR-B-CH
10/100M bps乙太網介面,RJ45 PIX-1FE=
4/16Mbps權杖環網介面 PIX-1TR=
PIX軟體版本升級 SWPIX-VER=
三、 兩種防火牆技術的比較
IOS FIREWALL FEATURE SET PIX FIREWALL
網路規模 中小型網路,小於250節點的應用。 大型網路,可支援多於500用戶的應用
工作平臺 路由器IOS作業系統 專用PIX工作平臺
性能 最高支援T1/E1(2M)線路 可支援多條T3/E3(45M)線路
工作原理 基於資料包過濾,核心控制為CBAC 基於資料包過濾,核心控制為ASA
配置方式 命令行或圖形方式(通過ConfigMaker) 命令行方式或圖形方式(通過Firewall Manager)
應用的過濾 支援Java小程式過濾 支援Java小程式過濾
身份認證 通過IOS命令,支持TACACS+、RADIUS伺服器認證。 支持TACACS+、RADIUS集中認證
虛擬專網(VPN) 通過IOS軟體升級可支援IPSec、L2F和GRE隧道技術,支援40或56位DES加密。 支援Private Link或IPSec隧道和加密技術
網路位址翻譯(NAT) 集成IOS Plus實現 支援
冗余特性 通過路由器的冗餘協議HSRP實現 支援熱冗餘
自身安全 支持Denial-of-Service 支持Denial-of-Service
代理服務 無,通過路由器的路由功能實現應用 切入的代理服務功能
管理 通過路由器的管理工具,如Cisco Works 通過Firewall Manager實現管理
審計功能 一定的跟蹤和報警功能 狀態化資料過濾,可通過Firewall Manager實現較好的額監控、報告功能
四、 Centri防火牆
主要特性:
l 核心代理體系結構
l 針對Windows NT定制TCP/IP棧
l 圖形用戶結構可制訂安全政策
l 可將安全政策拖放到網路、網路組、用戶和用戶組
l ActiveX、Java小應用程式、Java和Vb模組
l 通用資源定位器(URL)模組
l 埠位址轉換
l 網路位址轉換
l 透明支援所有通用TCP/IP應用程式,包括WWW、檔傳輸協議(FTP)Telnet和郵件
l 為Web、Telnet和FTP提供代理安全服務
l 根據IP位址、IP子網和IP子網組進行認證
l 使用sl口令和可重複使用口令Telnet、Web和ftp提供聯機用戶認證
l 使用Windows NT對所有網路服務進行帶外認證
l 防止拒絕服務型攻擊,包括SYN Flood、IP地址哄騙和Ping-of-Death
訂購資訊
Cisco Centri產品
Centri Firewall v4.0 for Windows NT,50個用戶 Centri-50
Centri Firewall v4.0 for Windows NT,100個用戶 Centri-100
Centri Firewall v4.0 for Windows NT,250個用戶 Centri-250
Centri Firewall v4.0 for Windows NT,用戶不限 Centri-UNR
Centri Firewall v4.0 for Windows NT,從100個用戶升級到250個 Centri-UDP-100-250
Centri Firewall v4.0 for Windows NT,從250個用戶升級到無窮多 Centri-250-UNR
五、Cisco PIX防火牆的安裝流程
1. 將PIX安放至機架,經檢測電源系統後接上電源,並加電主機。
2. 將CONSOLE口連接到PC的串口上,運行HyperTerminal程式從CONSOLE口進入PIX系統;此時系統提示pixfirewall>。
3. 輸入命令:enable,進入特權模式,此時系統提示為pixfirewall#。
4. 輸入命令: configure terminal,對系統進行初始化設置。
5. 配置乙太口參數:
interface ethernet0 auto (auto選項表明系統自適應網卡類型 )interface ethernet1 auto
6. 配置內外網卡的IP位址:
ip address inside ip_address netmask
ip address outside ip_address netmask
7. 指定外部位址範圍:
global 1 ip_address-ip_address
8. 指定要進行要轉換的內部位址:
nat 1 ip_address netmask
9. 設置指向內部網和外部網的缺省路由
route inside 0 0 inside_default_router_ip_address
route outside 0 0 outside_default_router_ip_address
10. 配置靜態IP位元址對映:
static outside ip_address inside ip_address
11. 設置某些控制選項:
conduit global_ip port<-port> protocol foreign_ip global_ip 指的是要控制的位址
port 指的是所作用的埠,其中0代表所有埠
protocol 指的是連接協定,比如:TCP、UDP等
foreign_ip 表示可訪問global_ip的外部ip,其中表示所有的ip。
12. 設置telnet選項:
telnet local_ip
local_ip 表示被允許通過telnet訪問到pix的ip位址(如果不設此項, PIX的配置只能由consle方式進行)。
13. 將配置保存:
wr mem
14. 幾個常用的網路測試命令:
#ping
#show interface 查看埠狀態
#show static 查看靜態位址映射
六、PIX與路由器的結合配置
(一)、PIX防火牆
1、設置PIX防火牆的外部位址:
ip address outside 131.1.23.2
2、設置PIX防火牆的內部位址:
ip address inside 10.10.254.1
3、設置一個內部電腦與Internet上電腦進行通信時所需的全局位址池:
global1 131.1.23.10-131.1.23.254
4、允許網路位址為10.0.0.0的網段位址被PIX翻譯成外部位址:
nat 110.0.0.0
5、網管工作站固定使用的外部位址為131.1.23.11:
static 131.1.23.11 10.14.8.50
6、允許從RTRA發送到到網管工作站的系統日誌包通過PIX防火牆:
conduit 131.1.23.11514 udp 131.1.23.1 255.255.255.255
7、允許從外部發起的對郵件伺服器的連接(131.1.23.10):
mailhost 131.1.23.10 10.10.254.3
8、允許網路管理員通過遠端登錄管理IPX防火牆:
telnet 10.14.8.50
9、在位於網管工作站上的日誌伺服器上記錄所有事件日誌:
syslog facility 20.7
syslog host 10.14.8.50
(二)、路由器RTRA
RTRA是外部防護路由器,它必須保護PIX防火牆免受直接攻擊,保護FTP/HTTP伺服器,同時作為一個警報系統,如果有人攻入此路由器,管理可以立即被通知。
1、阻止一些对路由器本身的攻击:www.net130.com
no service tcps mall-servers
2、强制路由器向系统日志服务器发送在此路由器发生的每一个事件,包括被存取斜砭芫陌吐酚善髋渲玫母谋洌徽飧龆骺梢宰魑韵低彻芾碓钡脑缙谠ぞな居腥嗽谑酝脊セ髀酚善鳎蛘咭丫ト肼酚善鳎谑酝脊セ鞣阑鹎剑?BR>logging trapde bugging
3、此地址是网管工作站的外部地址,路由器将记录所有事件到此主机上:
logging 131.1.23.11
4、保护PIX防火墙和HTTP/FTP服务器以及防卫欺骗攻击(见存取列表):
enable secret xxxxxxxxxxx
interface Ethernet 0
ipaddress 131.1.23.1 255.255.255.0
interfaceSerial 0
ip unnumbered ethernet 0
ip access-group 110 in
5、禁止任何顯示為來源於路由器RTRA和PIX防火牆之間的資訊包,這可以防止欺騙攻擊:
access-list 110 deny ip 131.1.23.0 0.0.0.255 anylog
6、防止對PIX防火牆外部介面的直接攻擊並記錄到系統日誌伺服器任何企圖連接PIX防火牆外部介面的事件:
access-list 110 deny ip any host 131.1.23.2 log
7、允許已經建立的TCP會話的資訊包通過:
access-list 110 permit tcp any 131.1.23.0 0.0.0.255 established
8、允許和FTP/HTTP伺服器的FTP連接:
access-list 110 permit tcp any host 131.1.23.3 eq ftp
9、允許和FTP/HTTP伺服器的FTP資料連接:
access-list 110 permit tcp any host 131.1.23.2 eq ftp-data
10、允許和FTP/HTTP伺服器的HTTP連接:
access-list 110 permit tcp any host 131.1.23.2 eq www
11、禁止和FTP/HTTP伺服器的別的連接並記錄到系統日誌伺服器任何企圖連接FTP/HTTP的事件:
access-list 110 deny ip any host 131.1.23.2 log
12、允許其他預定在PIX防火牆和路由器RTRA之間的流量:
access-list 110 permit ip any 131.1.23.0 0.0.0.255
13、限制可以遠端登錄到此路由器的IP位址:
line vty 0 4
login
password xxxxxxxxxx
access-class 10 in
14、只允許網管工作站遠端登錄到此路由器,當你想從Internet管理此路由器時,應對此存取控制列表進行修改:
access-list 10 permit ip 131.1.23.11
(三)、路由器RTRB
RTRB是內部網防護路由器,它是你的防火牆的最後一道防線,是進入內部網的入口。
1、記錄此路由器上的所有活動到網管工作站上的日誌伺服器,包括配置的修改:www.net130.com
logging trap debugging
logging 10.14.8.50
2、允許通向網管工作站的系統日誌資訊:
interface Ethernet 0
ip address 10.10.254.2 255.255.255.0
no ip proxy-arp
ip access-group 110 in
access-list 110 permit udp host 10.10.254.0 0.0.0.255
3、禁止所有別的從PIX防火牆發來的資訊包:
access-list 110 deny ip any host 10.10.254.2 log
4、允許郵件主機和內部郵件伺服器的SMTP郵件連接:
access-list permit tcp host 10.10.254.31 0.0.0.0 0.255.255.255 eq smtp
5、禁止別的來源與郵件伺服器的流量:
access-list deny ip host 10.10.254.31 0.0.0.0 0.255.255.255
6、防止內部網路的信任位址欺騙:
access-list deny ip any 10.10.254.0 0.0.0.255
7、允許所有別的來源於PIX防火牆和路由器RTRB之間的流量:
access-list permit ip 10.10.254.0 0.0.0.255 10.0.0.0 0.255.255.255
8、限制可以遠端登錄到此路由器上的IP地址:
line vty 0 4
login
password xxxxxxxxxx
access-class 10 in
9、只允許網管工作站遠端登錄到此路由器,當你想從Internet管理此路由器時,應對此存取控制列表進行修改:
access-list 10 permit ip 10.14.8.50
按以上設置配置好PIX防火牆和路由器後,PIX防火牆外部的攻擊者將無法在外部連接上找到可以連接的開放埠,也不可能判斷出內部任何一台主機的 IP位址,即使告訴了內部主機的IP位址,要想直接對它們進行Ping和連接也是不可能的。這樣就可以對整個內部網進行有效的保護。
http://www.5dmail.net/html/2006-1-5/200615151446.htm
2009-11-10
Protocol Numbers & 常見TCP/UDP PORT列表
Protocol Numbers
(last updated 2009-06-18)
Registries included below:
- Assigned Internet Protocol Numbers
Registry Name: Assigned Internet Protocol Numbers
Reference: [RFC5237]
Registration Procedures: IESG Approval or Standards Action
Note: In the Internet Protocol version 4 (IPv4) [RFC791] there is a field
called "Protocol" to identify the next level protocol. This is an 8
bit field. In Internet Protocol version 6 (IPv6) [RFC1883], this field
is called the "Next Header" field.
Registry:
Decimal Keyword Protocol References
------- --------------- --------------------------------------- ------------------
0 HOPOPT IPv6 Hop-by-Hop Option [RFC1883]
1 ICMP Internet Control Message [RFC792]
2 IGMP Internet Group Management [RFC1112]
3 GGP Gateway-to-Gateway [RFC823]
4 IP IP in IP (encapsulation) [RFC2003]
5 ST Stream [RFC1190][RFC1819]
6 TCP Transmission Control [RFC793]
7 CBT CBT [Ballardie]
8 EGP Exterior Gateway Protocol [RFC888][DLM1]
9 IGP any private interior gateway [IANA]
(used by Cisco for their IGRP)
10 BBN-RCC-MON BBN RCC Monitoring [SGC]
11 NVP-II Network Voice Protocol [RFC741][SC3]
12 PUP PUP [PUP][XEROX]
13 ARGUS ARGUS [RWS4]
14 EMCON EMCON [BN7]
15 XNET Cross Net Debugger [IEN158][JFH2]
16 CHAOS Chaos [NC3]
17 UDP User Datagram [RFC768][JBP]
18 MUX Multiplexing [IEN90][JBP]
19 DCN-MEAS DCN Measurement Subsystems [DLM1]
20 HMP Host Monitoring [RFC869][RH6]
21 PRM Packet Radio Measurement [ZSU]
22 XNS-IDP XEROX NS IDP [ETHERNET][XEROX]
23 TRUNK-1 Trunk-1 [BWB6]
24 TRUNK-2 Trunk-2 [BWB6]
25 LEAF-1 Leaf-1 [BWB6]
26 LEAF-2 Leaf-2 [BWB6]
27 RDP Reliable Data Protocol [RFC908][RH6]
28 IRTP Internet Reliable Transaction [RFC938][TXM]
29 ISO-TP4 ISO Transport Protocol Class 4 [RFC905][RC77]
30 NETBLT Bulk Data Transfer Protocol [RFC969][DDC1]
31 MFE-NSP MFE Network Services Protocol [MFENET][BCH2]
32 MERIT-INP MERIT Internodal Protocol [HWB]
33 DCCP Datagram Congestion Control Protocol [RFC4340]
34 3PC Third Party Connect Protocol [SAF3]
35 IDPR Inter-Domain Policy Routing Protocol [MXS1]
36 XTP XTP [GXC]
37 DDP Datagram Delivery Protocol [WXC]
38 IDPR-CMTP IDPR Control Message Transport Proto [MXS1]
39 TP++ TP++ Transport Protocol [DXF]
40 IL IL Transport Protocol [Presotto]
41 IPv6 Ipv6 [Deering]
42 SDRP Source Demand Routing Protocol [DXE1]
43 IPv6-Route Routing Header for IPv6 [Deering]
44 IPv6-Frag Fragment Header for IPv6 [Deering]
45 IDRP Inter-Domain Routing Protocol [Hares]
46 RSVP Reservation Protocol [Braden]
47 GRE General Routing Encapsulation [Li]
48 DSR Dynamic Source Routing Protocol [RFC4728]
49 BNA BNA [Salamon]
50 ESP Encap Security Payload [RFC4303]
51 AH Authentication Header [RFC4302]
52 I-NLSP Integrated Net Layer Security TUBA [GLENN]
53 SWIPE IP with Encryption [JI6]
54 NARP NBMA Address Resolution Protocol [RFC1735]
55 MOBILE IP Mobility [Perkins]
56 TLSP Transport Layer Security Protocol [Oberg]
using Kryptonet key management
57 SKIP SKIP [Markson]
58 IPv6-ICMP ICMP for IPv6 [RFC1883]
59 IPv6-NoNxt No Next Header for IPv6 [RFC1883]
60 IPv6-Opts Destination Options for IPv6 [RFC1883]
61 any host internal protocol [IANA]
62 CFTP CFTP [CFTP][HCF2]
63 any local network [IANA]
64 SAT-EXPAK SATNET and Backroom EXPAK [SHB]
65 KRYPTOLAN Kryptolan [PXL1]
66 RVD MIT Remote Virtual Disk Protocol [MBG]
67 IPPC Internet Pluribus Packet Core [SHB]
68 any distributed file system [IANA]
69 SAT-MON SATNET Monitoring [SHB]
70 VISA VISA Protocol [GXT1]
71 IPCV Internet Packet Core Utility [SHB]
72 CPNX Computer Protocol Network Executive [DXM2]
73 CPHB Computer Protocol Heart Beat [DXM2]
74 WSN Wang Span Network [VXD]
75 PVP Packet Video Protocol [SC3]
76 BR-SAT-MON Backroom SATNET Monitoring [SHB]
77 SUN-ND SUN ND PROTOCOL-Temporary [WM3]
78 WB-MON WIDEBAND Monitoring [SHB]
79 WB-EXPAK WIDEBAND EXPAK [SHB]
80 ISO-IP ISO Internet Protocol [MTR]
81 VMTP VMTP [DRC3]
82 SECURE-VMTP SECURE-VMTP [DRC3]
83 VINES VINES [BXH]
84 TTP TTP [JXS]
85 NSFNET-IGP NSFNET-IGP [HWB]
86 DGP Dissimilar Gateway Protocol [DGP][ML109]
87 TCF TCF [GAL5]
88 EIGRP EIGRP [CISCO][GXS]
89 OSPFIGP OSPFIGP [RFC1583][JTM4]
90 Sprite-RPC Sprite RPC Protocol [SPRITE][BXW]
91 LARP Locus Address Resolution Protocol [BXH]
92 MTP Multicast Transport Protocol [SXA]
93 AX.25 AX.25 Frames [BK29]
94 IPIP IP-within-IP Encapsulation Protocol [JI6]
95 MICP Mobile Internetworking Control Pro. [JI6]
96 SCC-SP Semaphore Communications Sec. Pro. [HXH]
97 ETHERIP Ethernet-within-IP Encapsulation [RFC3378]
98 ENCAP Encapsulation Header [RFC1241,RXB3]
99 any private encryption scheme [IANA]
100 GMTP GMTP [RXB5]
101 IFMP Ipsilon Flow Management Protocol [Hinden]
102 PNNI PNNI over IP [Callon]
103 PIM Protocol Independent Multicast [Farinacci]
104 ARIS ARIS [Feldman]
105 SCPS SCPS [Durst]
106 QNX QNX [Hunter]
107 A/N Active Networks [Braden]
108 IPComp IP Payload Compression Protocol [RFC2393]
109 SNP Sitara Networks Protocol [Sridhar]
110 Compaq-Peer Compaq Peer Protocol [Volpe]
111 IPX-in-IP IPX in IP [Lee]
112 VRRP Virtual Router Redundancy Protocol [RFC3768]
113 PGM PGM Reliable Transport Protocol [Speakman]
114 any 0-hop protocol [IANA]
115 L2TP Layer Two Tunneling Protocol [Aboba]
116 DDX D-II Data Exchange (DDX) [Worley]
117 IATP Interactive Agent Transfer Protocol [Murphy]
118 STP Schedule Transfer Protocol [JMP]
119 SRP SpectraLink Radio Protocol [Hamilton]
120 UTI UTI [Lothberg]
121 SMP Simple Message Protocol [Ekblad]
122 SM SM [Crowcroft]
123 PTP Performance Transparency Protocol [Welzl]
124 ISIS over IPv4 [Przygienda]
125 FIRE [Partridge]
126 CRTP Combat Radio Transport Protocol [Sautter]
127 CRUDP Combat Radio User Datagram [Sautter]
128 SSCOPMCE [Waber]
129 IPLT [Hollbach]
130 SPS Secure Packet Shield [McIntosh]
131 PIPE Private IP Encapsulation within IP [Petri]
132 SCTP Stream Control Transmission Protocol [Stewart]
133 FC Fibre Channel [Rajagopal]
134 RSVP-E2E-IGNORE [RFC3175]
135 Mobility Header [RFC3775]
136 UDPLite [RFC3828]
137 MPLS-in-IP [RFC4023]
138 manet MANET Protocols [RFC5498]
139 HIP Host Identity Protocol [RFC5201]
140 Shim6 Shim6 Protocol [RFC5533]
141-252 Unassigned [IANA]
253 Use for experimentation and testing [RFC3692]
254 Use for experimentation and testing [RFC3692]
255 Reserved [IANA]
References
----------
[CFTP] Forsdick, H., "CFTP", Network Message, Bolt Beranek and
Newman, January 1982.
[CISCO] Cisco Systems, "Gateway Server Reference Manual", Manual
Revision B, January 10, 1988.
[DDN] Feinler, E., Editor, "DDN Protocol Handbook", Network
Information Center, SRI International, December 1985.
[DGP] M/A-COM Government Systems, "Dissimilar Gateway Protocol
Specification, Draft Version", Contract no. CS901145,
November 16, 1987.
[ETHERNET] "The Ethernet, A Local Area Network: Data Link Layer and
Physical Layer Specification", AA-K759B-TK, Digital
Equipment Corporation, Maynard, MA. Also as: "The
Ethernet - A Local Area Network", Version 1.0, Digital
Equipment Corporation, Intel Corporation, Xerox
Corporation, September 1980. And: "The Ethernet, A Local
Area Network: Data Link Layer and Physical Layer
Specifications", Digital, Intel and Xerox, November 1982.
And: XEROX, "The Ethernet, A Local Area Network: Data Link
Layer and Physical Layer Specification", X3T51/80-50,
Xerox Corporation, Stamford, CT., October 1980.
[IEN90] Cohen, D. and J. Postel, "Multiplexing Protocol", IEN 90,
USC/Information Sciences Institute, May 1979.
[IEN119] Forgie, J., "ST - A Proposed Internet Stream Protocol",
IEN 119, MIT Lincoln Laboratory, September 1979.
[IEN158] Haverty, J., "XNET Formats for Internet Protocol Version 4",
IEN 158, October 1980.
[MFENET] Shuttleworth, B., "A Documentary of MFENet, a National
Computer Network", UCRL-52317, Lawrence Livermore Labs,
Livermore, California, June 1977.
[PUP] Boggs, D., J. Shoch, E. Taft, and R. Metcalfe, "PUP: An
Internetwork Architecture", XEROX Palo Alto Research Center,
CSL-79-10, July 1979; also in IEEE Transactions on
Communication, Volume COM-28, Number 4, April 1980.
[SPRITE] Welch, B., "The Sprite Remote Procedure Call System",
Technical Report, UCB/Computer Science Dept., 86/302,
University of California at Berkeley, June 1986.
[RFC741] Cohen, D., "Specifications for the Network Voice Protocol",
RFC 741, ISI/RR 7539, USC/Information Sciences Institute,
March 1976.
[RFC768] Postel, J., "User Datagram Protocol", STD 6, RFC 768,
USC/Information Sciences Institute, August 1980.
[RFC791] Postel, J., "Internet Protocol - DARPA Internet Prnogram
Protocol Specification", STD 5, RFC 791, DARPA, September
1981.
[RFC792] Postel, J., "Internet Control Message Protocol - DARPA
Internet Program Protocol Specification", STD 5, RFC 792,
USC/Information Sciences Institute, September 1981.
[RFC793] Postel, J., "Transmission Control Protocol - DARPA
Internet Program Protocol Specification", STD 7, RFC 793,
USC/Information Sciences Institute, September 1981.
[RFC823] Hinden, R., and A. Sheltzer, "The DARPA Internet Gateway",
RFC 823, BBN, September 1982.
[RFC869] Hinden, R., "A Host Monitoring Protocol", RFC 869,
Bolt Beranek and Newman, December 1983.
[RFC888] Seamonson, L., and E. Rosen, "STUB" Exterior Gateway
Protocol", RFC 888, BBN Communications Corporation,
January 1984.
[RFC905] International Standards Organization, "ISO Transport Protocol
Specification - ISO DP 8073", RFC 905, April 1984.
[RFC908] Velten, D., R. Hinden, and J. Sax, "Reliable Data Protocol",
RFC 908, BBN Communications Corporation, July 1984.
[RFC938] Miller, T., "Internet Reliable Transaction Protocol", RFC 938,
ACC, February 1985.
[RFC969] Clark, D., M. Lambert, and L. Zhang, "NETBLT: A Bulk Data
Transfer Protocol", RFC 969, MIT Laboratory for Computer
Science, December 1985.
[RFC1112] Deering, S., "Host Extensions for IP Multicasting",
STD 5, RFC 1112, Stanford University, August 1989.
[RFC1190] Topolcic, C., Editor, "Experimental Internet Stream
Protocol, Version 2 (ST-II)", RFC 1190, CIP Working Group,
October 1990.
[RFC1241] Woodburn, W., and D. Mills, " A Scheme for an Internet
Encapsulation Protocol: Version 1", RFC 1241, SAIC,
University of Delaware, July 1991.
[RFC1583] Moy, J., "The OSPF Specification", RFC 1583, Proteon,
March 1994.
[RFC1735] Heinanen, J., and R. Govindan, " NBMA Address Resolution
Protocol (NARP)", RFC 1735, Telecom Finland and USC/ISI,
December 1994.
[RFC1819] L. Delgrossi, L. Berger, and ST2 Working Group, "Internet
Stream Protocol Version 2 (ST2) Protocol Specification
- Version ST2+", RFC 1819, August 1995.
[RFC1883] Deering, S., and R. Hinden, "Internet Protocol, Version 6
(IPv6) Specification", RFC 1883, Xerox PARC, Ipsilon
Networks, December 1995.
[RFC2003] Perkins, C., "IP Encapsulation within IP", RFC 2003, IBM,
September 1996.
[RFC2393] Shacham, A., and R. Monsour, R. Pereira, M. Thomas, "IP
Payload Compression Protocol (IPComp)", RFC 2393, Cisco,
Hi/fn, TimeStep, AltaVista Internt, December 1998.
[RFC3175] F. Baker, C. Iturralde, F. Le Faucheur, B. Davie,
"Aggregation of RSVP for IPv4 and IPv6 Reservations",
RFC 3175, September 2001.
[RFC3378] R. Housley and S. Hollenbeck, "EtherIP: Tunneling Ethernet
Frames in IP Datagrams", RFC 3378, September 2002.
[RFC3692] T. Narten, "Assigning Experimental and Testing Numbers Considered
Useful", RFC 3692, January 2004.
[RFC3768] R. Hinden, Ed., "Virtual Router Redundancy Protocol (VRRP)",
RFC 3768, April 2004.
[RFC3775] D. Johnson, C. Perkins, and J. Arkko, "Mobility Support in IPv6",
RFC 3775, June 2004.
[RFC3828] L-A. Larzon, M. Degermark, S. Pink, L-E. Jonsson Ed., and
G. Fairhurst, Ed., "The UDP-Lite Protocol", RFC 3828, July 2004.
[RFC4023] T. Worster, Y. Rekhter, and E. Rosen, Ed., "Encapsulating MPLS in
IP or Generic Routing Encapsulation (GRE)", RFC 4023, March 2005.
[RFC4302] S. Kent, "IP Authentication Header", RFC 4302, December 2005.
[RFC4303] S. Kent, "IP Encapsulating Security Payload (ESP)", RFC 4303,
December 2005.
[RFC4340] E. Kohler, M. Handley and S. Floyd, "Datagram Congestion
Control Protocol (DCCP)", RFC 4340, March 2006.
[RFC4728] D.B. Johnson, D.A. Maltz and Y-C. Hu, "The Dynamic Source Routing Protocol
for Mobile Ad Hoc Networks (DSR)", RFC 4728, February 2007.
[RFC5498] I. Chakeres, "IANA Allocations for MANET Protocols", RFC 5498,
March 2009.
[RFC5201] R. Moskowitz, P. Nikander, P. Jokela, Ed., T. Henderson, "Host Identity
Protocol", RFC 5201, April 2008.
[RFC5237] J. Arkko, S. Bradner, "IANA Allocation Guidelines for the Protocol Field",
RFC 5237, February 2008.
[RFC5533] E. Nordmark, M. Bagnulo, "Shim6: Level 3 Multihoming Shim Protocol for IPv6",
RFC 5533, June 2009.
People
------
[Aboba] Bernard Aboba, April 1998.
[Ballardie] Tony Ballardie
[BCH2] Barry Howard
[BK29] Brian Kantor
[BN7]
[Braden] Bob Braden,, July 1997.
[BWB6] Barry Boehm
[BXH] Brian Horn
[BXW] Bruce Willins
[Callon] Ross Callon,, December 1995.
[Carpenter] Brian Carpenter,, January 1995.
[Crowcroft] Jon Crowcroft, June 1999.
[DDC1] David Clark
[Deering] Steve Deering,, March 1995.
[DLM1] David Mills
[Doraswamy] Naganand Doraswamy,, September 1997.
[DRC3] Dave Cheriton
[Durst] Robert Durst,, March 1997.
[DXE1] Deborah Estrin
[DXF] Dirk Fromhein
[DXM2] David Mittnacht
[Ekblad] Leif Ekblad, March 1999.
[Farinacci] Dino Farinacci,, March 1996.
[Feldman] Nancy Feldman January 1997.
[GAL5] Guillermo A. Loyola
[GLENN] K. Robert Glenn
[GXC] Greg Chesson
[GXS] Guenther Schreiner
[GXT1] Gene Tsudik
[Hamilton] Mark Hamilton, November 1998.
[Hares] Sue Hares
[HCF2] Harry Forsdick
[Hinden] Bob Hinden,, November 1995, 1997.
[Hunter] Michael Hunter,, July 1997.
[HWB] Hans-Werner Braun
[HXH] Howard Hart
[IANA] Internet Assigned Numbers Authority,, June 1995.
[JBP] Jon Postel
[JMP] Jean-Michel Pittet,, November 1998.
[JC120]
[JFH2] Jack Haverty
[JI6] John Ioannidis
[JTM4] John Moy
[JWF] Jim Forgie
[JXS] Jim Stevens
[KATZ] Dave Katz
[Lee] CJ Lee,, October 1997.
[Li] Tony Li
[Lothberg] Peter Lothberg, March 1999.
[Markson] Tom Markson,, September 1995.
[MB] Mike Brescia
[MBG] Michael Greenwald
[McIntosh] Bill McIntosh
[ML109] Mike Little
[MTR] Marshall T. Rose
[Murphy] John Murphy, October 1998.
[MXS1] Martha Steenstrup
[NC3] J. Noel Chiappa
[Oberg] Christer Oberg October 1994.
[Partridge] Criag Partridge, August 1999.
[Perkins] Charlie Perkins, October 1994.
[Petri] Bernhard Petri, March 2000.
[Presotto] Dave Presotto, July 1995.
[Przygienda] Tony Przygienda, August 1999.
[PXL1] Paul Liu
[Rajagopal] Murali Rajagopal,, May 2000.
[RH6] Robert Hinden
[RTB3] Bob Braden
[RC77]
[RDH1] Russ Housley
[RWS4] Robert W. Scheifler
[RXB3] Robert Woodburn
[Sautter] Robert Sautter, August 1999.
[SAF3] Stuart A. Friedberg
[Salamon] Gary Salamon
[SC3] Steve Casner
[SGC] Steve Chipman Chipman&F.BBN.COM>
[SHB] Steven Blumenthal
[Speakman] Tony Speakman, January 1998.
[Sridhar] Manickam R.Sridhar, September 1997.
[Stewart] Randall R. Stewart, April 2000.
[SXA] Susie Armstrong
[SXD] Steve Deering
[TXM] Trudy Miller
[Volpe] Victor Volpe, October 1997.
[VXD] Victor Dafoulas
[Waber] Kurt Waber, August 1999.
[Welzl] Michael Welzl, August 1999.
[WM3] William Melohn
[WXC] Wesley Craig
[Worley] John Worley, June 1998.
[ZSU] Zaw-Sing Su
[]
常見TCP/UDP PORT列表
echo===============>7/tcp
echo===============>7/udp
discard============>9/tcp----sink null
discard============>9/udp----sink null
systat============>11/tcp----users #Active users
systat============>11/tcp----users #Active users
daytime===========>13/tcp
daytime===========>13/udp
qotd==============>17/tcp----quote #Quote of the day
qotd==============>17/udp----quote #Quote of the day
chargen===========>19/tcp----ttytst source #Character generator
chargen===========>19/udp----ttytst source #Character generator
ftp-data==========>20/tcp #FTP, data
ftp===============>21/tcp #FTP. control
telnet============>23/tcp
smtp==============>25/tcp----mail #Simple Mail Transfer Protocol
time==============>37/tcp----timserver
time==============>37/udp----timserver
rlp===============>39/udp----resource #Resource Location Protocol
nameserver========>42/tcp----name #Host Name Server
nameserver========>42/udp----name #Host Name Server
nicname===========>43/tcp----whois
domain============>53/tcp #Domain Name Server
domain============>53/udp #Domain Name Server
bootps============>67/udp----dhcps #Bootstrap Protocol Server
bootpc============>68/udp----dhcpc #Bootstrap Protocol Client
tftp==============>69/udp #Trivial File Transfer
gopher============>70/tcp
finger============>79/tcp
http==============>80/tcp----www www-http #World Wide Web
kerberos==========>88/tcp----krb5 kerberos-sec #Kerberos
kerberos==========>88/udp----krb5 kerberos-sec #Kerberos
hostname=========>101/tcp----hostnames #NIC Host Name Server
iso-tsap=========>102/tcp #ISO-TSAP Class 0
rtelnet==========>107/tcp #Remote Telnet Service
pop2=============>109/tcp----postoffice #Post Office Protocol - Version 2
pop3=============>110/tcp #Post Office Protocol - Version 3
sunrpc===========>111/tcp----rpcbind portmap #SUN Remote Procedure Call
sunrpc===========>111/udp----rpcbind portmap #SUN Remote Procedure Call
auth=============>113/tcp----ident tap #Identification Protocol
uucp-path========>117/tcp
nntp=============>119/tcp----usenet #Network News Transfer Protocol
ntp==============>123/udp #Network Time Protocol
epmap============>135/tcp----loc-srv #DCE endpoint resolution
epmap============>135/udp----loc-srv #DCE endpoint resolution
netbios-ns=======>137/tcp----nbname #NETBIOS Name Service
netbios-ns=======>137/udp----nbname #NETBIOS Name Service
netbios-dgm======>138/udp----nbdatagram #NETBIOS Datagram Service
netbios-ssn======>139/tcp----nbsession #NETBIOS Session Service
imap=============>143/tcp----imap4 #Internet Message Access Protocol
pcmail-srv=======>158/tcp #PCMail Server
snmp=============>161/udp #SNMP
snmptrap=========>162/udp----snmp-trap #SNMP trap
print-srv========>170/tcp #Network PostScript
bgp==============>179/tcp #Border Gateway Protocol
irc==============>194/tcp #Internet Relay Chat Protocol
ipx==============>213/udp #IPX over IP
ldap=============>389/tcp #Lightweight Directory Access Protocol
https============>443/tcp----MCom
https============>443/udp----MCom
microsoft-ds=====>445/tcp
microsoft-ds=====>445/udp
kpasswd==========>464/tcp # Kerberos (v5)
kpasswd==========>464/udp # Kerberos (v5)
isakmp===========>500/udp----ike #Internet Key Exchange
exec=============>512/tcp #Remote Process Execution
biff=============>512/udp----comsat
login============>513/tcp #Remote Login
who==============>513/udp----whod
cmd==============>514/tcp----shell
syslog===========>514/udp
printer==========>515/tcp----spooler
talk=============>517/udp
ntalk============>518/udp
efs==============>520/tcp #Extended File Name Server
router===========>520/udp----route routed
timed============>525/udp----timeserver
tempo============>526/tcp----newdate
courier==========>530/tcp----rpc
conference=======>531/tcp----chat
netnews==========>532/tcp----readnews
netwall==========>533/udp #For emergency broadcasts
uucp=============>540/tcp----uucpd
klogin===========>543/tcp #Kerberos login
kshell===========>544/tcp----krcmd #Kerberos remote shell
new-rwho=========>550/udp----new-who
remotefs=========>556/tcp----rfs rfs_server
rmonitor=========>560/udp----rmonitord
monitor==========>561/udp
ldaps============>636/tcp----sldap #LDAP over TLS/SSL
doom=============>666/tcp #Doom Id Software
doom=============>666/udp #Doom Id Software
kerberos-adm=====>749/tcp #Kerberos administration
kerberos-adm=====>749/udp #Kerberos administration
kerberos-iv======>750/udp #Kerberos version IV
kpop============>1109/tcp #Kerberos POP
phone===========>1167/udp #Conference calling
ms-sql-s========>1433/tcp #Microsoft-SQL-Server
ms-sql-s========>1433/udp #Microsoft-SQL-Server
ms-sql-m========>1434/tcp #Microsoft-SQL-Monitor
ms-sql-m========>1434/udp #Microsoft-SQL-Monitor
wins============>1512/tcp #Microsoft Windows Internet Name Service
wins============>1512/udp #Microsoft Windows Internet Name Service
ingreslock======>1524/tcp----ingres
l2tp============>1701/udp #Layer Two Tunneling Protocol
pptp============>1723/tcp #Point-to-point tunnelling protocol
radius==========>1812/udp #RADIUS authentication protocol
radacct=========>1813/udp #RADIUS accounting protocol
nfsd============>2049/udp----nfs #NFS server
knetd===========>2053/tcp #Kerberos de-multiplexor
man=============>9535/tcp #Remote Man Server
http://redhat2.ecenter.idv.tw/bbs/showthread.php?postid=81723
http://www.iana.org/assignments/protocol-numbers/
(last updated 2009-06-18)
Registries included below:
- Assigned Internet Protocol Numbers
Registry Name: Assigned Internet Protocol Numbers
Reference: [RFC5237]
Registration Procedures: IESG Approval or Standards Action
Note: In the Internet Protocol version 4 (IPv4) [RFC791] there is a field
called "Protocol" to identify the next level protocol. This is an 8
bit field. In Internet Protocol version 6 (IPv6) [RFC1883], this field
is called the "Next Header" field.
Registry:
Decimal Keyword Protocol References
------- --------------- --------------------------------------- ------------------
0 HOPOPT IPv6 Hop-by-Hop Option [RFC1883]
1 ICMP Internet Control Message [RFC792]
2 IGMP Internet Group Management [RFC1112]
3 GGP Gateway-to-Gateway [RFC823]
4 IP IP in IP (encapsulation) [RFC2003]
5 ST Stream [RFC1190][RFC1819]
6 TCP Transmission Control [RFC793]
7 CBT CBT [Ballardie]
8 EGP Exterior Gateway Protocol [RFC888][DLM1]
9 IGP any private interior gateway [IANA]
(used by Cisco for their IGRP)
10 BBN-RCC-MON BBN RCC Monitoring [SGC]
11 NVP-II Network Voice Protocol [RFC741][SC3]
12 PUP PUP [PUP][XEROX]
13 ARGUS ARGUS [RWS4]
14 EMCON EMCON [BN7]
15 XNET Cross Net Debugger [IEN158][JFH2]
16 CHAOS Chaos [NC3]
17 UDP User Datagram [RFC768][JBP]
18 MUX Multiplexing [IEN90][JBP]
19 DCN-MEAS DCN Measurement Subsystems [DLM1]
20 HMP Host Monitoring [RFC869][RH6]
21 PRM Packet Radio Measurement [ZSU]
22 XNS-IDP XEROX NS IDP [ETHERNET][XEROX]
23 TRUNK-1 Trunk-1 [BWB6]
24 TRUNK-2 Trunk-2 [BWB6]
25 LEAF-1 Leaf-1 [BWB6]
26 LEAF-2 Leaf-2 [BWB6]
27 RDP Reliable Data Protocol [RFC908][RH6]
28 IRTP Internet Reliable Transaction [RFC938][TXM]
29 ISO-TP4 ISO Transport Protocol Class 4 [RFC905][RC77]
30 NETBLT Bulk Data Transfer Protocol [RFC969][DDC1]
31 MFE-NSP MFE Network Services Protocol [MFENET][BCH2]
32 MERIT-INP MERIT Internodal Protocol [HWB]
33 DCCP Datagram Congestion Control Protocol [RFC4340]
34 3PC Third Party Connect Protocol [SAF3]
35 IDPR Inter-Domain Policy Routing Protocol [MXS1]
36 XTP XTP [GXC]
37 DDP Datagram Delivery Protocol [WXC]
38 IDPR-CMTP IDPR Control Message Transport Proto [MXS1]
39 TP++ TP++ Transport Protocol [DXF]
40 IL IL Transport Protocol [Presotto]
41 IPv6 Ipv6 [Deering]
42 SDRP Source Demand Routing Protocol [DXE1]
43 IPv6-Route Routing Header for IPv6 [Deering]
44 IPv6-Frag Fragment Header for IPv6 [Deering]
45 IDRP Inter-Domain Routing Protocol [Hares]
46 RSVP Reservation Protocol [Braden]
47 GRE General Routing Encapsulation [Li]
48 DSR Dynamic Source Routing Protocol [RFC4728]
49 BNA BNA [Salamon]
50 ESP Encap Security Payload [RFC4303]
51 AH Authentication Header [RFC4302]
52 I-NLSP Integrated Net Layer Security TUBA [GLENN]
53 SWIPE IP with Encryption [JI6]
54 NARP NBMA Address Resolution Protocol [RFC1735]
55 MOBILE IP Mobility [Perkins]
56 TLSP Transport Layer Security Protocol [Oberg]
using Kryptonet key management
57 SKIP SKIP [Markson]
58 IPv6-ICMP ICMP for IPv6 [RFC1883]
59 IPv6-NoNxt No Next Header for IPv6 [RFC1883]
60 IPv6-Opts Destination Options for IPv6 [RFC1883]
61 any host internal protocol [IANA]
62 CFTP CFTP [CFTP][HCF2]
63 any local network [IANA]
64 SAT-EXPAK SATNET and Backroom EXPAK [SHB]
65 KRYPTOLAN Kryptolan [PXL1]
66 RVD MIT Remote Virtual Disk Protocol [MBG]
67 IPPC Internet Pluribus Packet Core [SHB]
68 any distributed file system [IANA]
69 SAT-MON SATNET Monitoring [SHB]
70 VISA VISA Protocol [GXT1]
71 IPCV Internet Packet Core Utility [SHB]
72 CPNX Computer Protocol Network Executive [DXM2]
73 CPHB Computer Protocol Heart Beat [DXM2]
74 WSN Wang Span Network [VXD]
75 PVP Packet Video Protocol [SC3]
76 BR-SAT-MON Backroom SATNET Monitoring [SHB]
77 SUN-ND SUN ND PROTOCOL-Temporary [WM3]
78 WB-MON WIDEBAND Monitoring [SHB]
79 WB-EXPAK WIDEBAND EXPAK [SHB]
80 ISO-IP ISO Internet Protocol [MTR]
81 VMTP VMTP [DRC3]
82 SECURE-VMTP SECURE-VMTP [DRC3]
83 VINES VINES [BXH]
84 TTP TTP [JXS]
85 NSFNET-IGP NSFNET-IGP [HWB]
86 DGP Dissimilar Gateway Protocol [DGP][ML109]
87 TCF TCF [GAL5]
88 EIGRP EIGRP [CISCO][GXS]
89 OSPFIGP OSPFIGP [RFC1583][JTM4]
90 Sprite-RPC Sprite RPC Protocol [SPRITE][BXW]
91 LARP Locus Address Resolution Protocol [BXH]
92 MTP Multicast Transport Protocol [SXA]
93 AX.25 AX.25 Frames [BK29]
94 IPIP IP-within-IP Encapsulation Protocol [JI6]
95 MICP Mobile Internetworking Control Pro. [JI6]
96 SCC-SP Semaphore Communications Sec. Pro. [HXH]
97 ETHERIP Ethernet-within-IP Encapsulation [RFC3378]
98 ENCAP Encapsulation Header [RFC1241,RXB3]
99 any private encryption scheme [IANA]
100 GMTP GMTP [RXB5]
101 IFMP Ipsilon Flow Management Protocol [Hinden]
102 PNNI PNNI over IP [Callon]
103 PIM Protocol Independent Multicast [Farinacci]
104 ARIS ARIS [Feldman]
105 SCPS SCPS [Durst]
106 QNX QNX [Hunter]
107 A/N Active Networks [Braden]
108 IPComp IP Payload Compression Protocol [RFC2393]
109 SNP Sitara Networks Protocol [Sridhar]
110 Compaq-Peer Compaq Peer Protocol [Volpe]
111 IPX-in-IP IPX in IP [Lee]
112 VRRP Virtual Router Redundancy Protocol [RFC3768]
113 PGM PGM Reliable Transport Protocol [Speakman]
114 any 0-hop protocol [IANA]
115 L2TP Layer Two Tunneling Protocol [Aboba]
116 DDX D-II Data Exchange (DDX) [Worley]
117 IATP Interactive Agent Transfer Protocol [Murphy]
118 STP Schedule Transfer Protocol [JMP]
119 SRP SpectraLink Radio Protocol [Hamilton]
120 UTI UTI [Lothberg]
121 SMP Simple Message Protocol [Ekblad]
122 SM SM [Crowcroft]
123 PTP Performance Transparency Protocol [Welzl]
124 ISIS over IPv4 [Przygienda]
125 FIRE [Partridge]
126 CRTP Combat Radio Transport Protocol [Sautter]
127 CRUDP Combat Radio User Datagram [Sautter]
128 SSCOPMCE [Waber]
129 IPLT [Hollbach]
130 SPS Secure Packet Shield [McIntosh]
131 PIPE Private IP Encapsulation within IP [Petri]
132 SCTP Stream Control Transmission Protocol [Stewart]
133 FC Fibre Channel [Rajagopal]
134 RSVP-E2E-IGNORE [RFC3175]
135 Mobility Header [RFC3775]
136 UDPLite [RFC3828]
137 MPLS-in-IP [RFC4023]
138 manet MANET Protocols [RFC5498]
139 HIP Host Identity Protocol [RFC5201]
140 Shim6 Shim6 Protocol [RFC5533]
141-252 Unassigned [IANA]
253 Use for experimentation and testing [RFC3692]
254 Use for experimentation and testing [RFC3692]
255 Reserved [IANA]
References
----------
[CFTP] Forsdick, H., "CFTP", Network Message, Bolt Beranek and
Newman, January 1982.
[CISCO] Cisco Systems, "Gateway Server Reference Manual", Manual
Revision B, January 10, 1988.
[DDN] Feinler, E., Editor, "DDN Protocol Handbook", Network
Information Center, SRI International, December 1985.
[DGP] M/A-COM Government Systems, "Dissimilar Gateway Protocol
Specification, Draft Version", Contract no. CS901145,
November 16, 1987.
[ETHERNET] "The Ethernet, A Local Area Network: Data Link Layer and
Physical Layer Specification", AA-K759B-TK, Digital
Equipment Corporation, Maynard, MA. Also as: "The
Ethernet - A Local Area Network", Version 1.0, Digital
Equipment Corporation, Intel Corporation, Xerox
Corporation, September 1980. And: "The Ethernet, A Local
Area Network: Data Link Layer and Physical Layer
Specifications", Digital, Intel and Xerox, November 1982.
And: XEROX, "The Ethernet, A Local Area Network: Data Link
Layer and Physical Layer Specification", X3T51/80-50,
Xerox Corporation, Stamford, CT., October 1980.
[IEN90] Cohen, D. and J. Postel, "Multiplexing Protocol", IEN 90,
USC/Information Sciences Institute, May 1979.
[IEN119] Forgie, J., "ST - A Proposed Internet Stream Protocol",
IEN 119, MIT Lincoln Laboratory, September 1979.
[IEN158] Haverty, J., "XNET Formats for Internet Protocol Version 4",
IEN 158, October 1980.
[MFENET] Shuttleworth, B., "A Documentary of MFENet, a National
Computer Network", UCRL-52317, Lawrence Livermore Labs,
Livermore, California, June 1977.
[PUP] Boggs, D., J. Shoch, E. Taft, and R. Metcalfe, "PUP: An
Internetwork Architecture", XEROX Palo Alto Research Center,
CSL-79-10, July 1979; also in IEEE Transactions on
Communication, Volume COM-28, Number 4, April 1980.
[SPRITE] Welch, B., "The Sprite Remote Procedure Call System",
Technical Report, UCB/Computer Science Dept., 86/302,
University of California at Berkeley, June 1986.
[RFC741] Cohen, D., "Specifications for the Network Voice Protocol",
RFC 741, ISI/RR 7539, USC/Information Sciences Institute,
March 1976.
[RFC768] Postel, J., "User Datagram Protocol", STD 6, RFC 768,
USC/Information Sciences Institute, August 1980.
[RFC791] Postel, J., "Internet Protocol - DARPA Internet Prnogram
Protocol Specification", STD 5, RFC 791, DARPA, September
1981.
[RFC792] Postel, J., "Internet Control Message Protocol - DARPA
Internet Program Protocol Specification", STD 5, RFC 792,
USC/Information Sciences Institute, September 1981.
[RFC793] Postel, J., "Transmission Control Protocol - DARPA
Internet Program Protocol Specification", STD 7, RFC 793,
USC/Information Sciences Institute, September 1981.
[RFC823] Hinden, R., and A. Sheltzer, "The DARPA Internet Gateway",
RFC 823, BBN, September 1982.
[RFC869] Hinden, R., "A Host Monitoring Protocol", RFC 869,
Bolt Beranek and Newman, December 1983.
[RFC888] Seamonson, L., and E. Rosen, "STUB" Exterior Gateway
Protocol", RFC 888, BBN Communications Corporation,
January 1984.
[RFC905] International Standards Organization, "ISO Transport Protocol
Specification - ISO DP 8073", RFC 905, April 1984.
[RFC908] Velten, D., R. Hinden, and J. Sax, "Reliable Data Protocol",
RFC 908, BBN Communications Corporation, July 1984.
[RFC938] Miller, T., "Internet Reliable Transaction Protocol", RFC 938,
ACC, February 1985.
[RFC969] Clark, D., M. Lambert, and L. Zhang, "NETBLT: A Bulk Data
Transfer Protocol", RFC 969, MIT Laboratory for Computer
Science, December 1985.
[RFC1112] Deering, S., "Host Extensions for IP Multicasting",
STD 5, RFC 1112, Stanford University, August 1989.
[RFC1190] Topolcic, C., Editor, "Experimental Internet Stream
Protocol, Version 2 (ST-II)", RFC 1190, CIP Working Group,
October 1990.
[RFC1241] Woodburn, W., and D. Mills, " A Scheme for an Internet
Encapsulation Protocol: Version 1", RFC 1241, SAIC,
University of Delaware, July 1991.
[RFC1583] Moy, J., "The OSPF Specification", RFC 1583, Proteon,
March 1994.
[RFC1735] Heinanen, J., and R. Govindan, " NBMA Address Resolution
Protocol (NARP)", RFC 1735, Telecom Finland and USC/ISI,
December 1994.
[RFC1819] L. Delgrossi, L. Berger, and ST2 Working Group, "Internet
Stream Protocol Version 2 (ST2) Protocol Specification
- Version ST2+", RFC 1819, August 1995.
[RFC1883] Deering, S., and R. Hinden, "Internet Protocol, Version 6
(IPv6) Specification", RFC 1883, Xerox PARC, Ipsilon
Networks, December 1995.
[RFC2003] Perkins, C., "IP Encapsulation within IP", RFC 2003, IBM,
September 1996.
[RFC2393] Shacham, A., and R. Monsour, R. Pereira, M. Thomas, "IP
Payload Compression Protocol (IPComp)", RFC 2393, Cisco,
Hi/fn, TimeStep, AltaVista Internt, December 1998.
[RFC3175] F. Baker, C. Iturralde, F. Le Faucheur, B. Davie,
"Aggregation of RSVP for IPv4 and IPv6 Reservations",
RFC 3175, September 2001.
[RFC3378] R. Housley and S. Hollenbeck, "EtherIP: Tunneling Ethernet
Frames in IP Datagrams", RFC 3378, September 2002.
[RFC3692] T. Narten, "Assigning Experimental and Testing Numbers Considered
Useful", RFC 3692, January 2004.
[RFC3768] R. Hinden, Ed., "Virtual Router Redundancy Protocol (VRRP)",
RFC 3768, April 2004.
[RFC3775] D. Johnson, C. Perkins, and J. Arkko, "Mobility Support in IPv6",
RFC 3775, June 2004.
[RFC3828] L-A. Larzon, M. Degermark, S. Pink, L-E. Jonsson Ed., and
G. Fairhurst, Ed., "The UDP-Lite Protocol", RFC 3828, July 2004.
[RFC4023] T. Worster, Y. Rekhter, and E. Rosen, Ed., "Encapsulating MPLS in
IP or Generic Routing Encapsulation (GRE)", RFC 4023, March 2005.
[RFC4302] S. Kent, "IP Authentication Header", RFC 4302, December 2005.
[RFC4303] S. Kent, "IP Encapsulating Security Payload (ESP)", RFC 4303,
December 2005.
[RFC4340] E. Kohler, M. Handley and S. Floyd, "Datagram Congestion
Control Protocol (DCCP)", RFC 4340, March 2006.
[RFC4728] D.B. Johnson, D.A. Maltz and Y-C. Hu, "The Dynamic Source Routing Protocol
for Mobile Ad Hoc Networks (DSR)", RFC 4728, February 2007.
[RFC5498] I. Chakeres, "IANA Allocations for MANET Protocols", RFC 5498,
March 2009.
[RFC5201] R. Moskowitz, P. Nikander, P. Jokela, Ed., T. Henderson, "Host Identity
Protocol", RFC 5201, April 2008.
[RFC5237] J. Arkko, S. Bradner, "IANA Allocation Guidelines for the Protocol Field",
RFC 5237, February 2008.
[RFC5533] E. Nordmark, M. Bagnulo, "Shim6: Level 3 Multihoming Shim Protocol for IPv6",
RFC 5533, June 2009.
People
------
[Aboba] Bernard Aboba
[Ballardie] Tony Ballardie
[BCH2] Barry Howard
[BK29] Brian Kantor
[BN7]
[Braden] Bob Braden,
[BWB6] Barry Boehm
[BXH] Brian Horn
[BXW] Bruce Willins
[Callon] Ross Callon,
[Carpenter] Brian Carpenter,
[Crowcroft] Jon Crowcroft
[DDC1] David Clark
[Deering] Steve Deering,
[DLM1] David Mills
[Doraswamy] Naganand Doraswamy,
[DRC3] Dave Cheriton
[Durst] Robert Durst,
[DXE1] Deborah Estrin
[DXF] Dirk Fromhein
[DXM2] David Mittnacht
[Ekblad] Leif Ekblad
[Farinacci] Dino Farinacci,
[Feldman] Nancy Feldman
[GAL5] Guillermo A. Loyola
[GLENN] K. Robert Glenn
[GXC] Greg Chesson
[GXS] Guenther Schreiner
[GXT1] Gene Tsudik
[Hamilton] Mark Hamilton
[Hares] Sue Hares
[HCF2] Harry Forsdick
[Hinden] Bob Hinden,
[Hunter] Michael Hunter,
[HWB] Hans-Werner Braun
[HXH] Howard Hart
[IANA] Internet Assigned Numbers Authority,
[JBP] Jon Postel
[JMP] Jean-Michel Pittet,
[JC120]
[JFH2] Jack Haverty
[JI6] John Ioannidis
[JTM4] John Moy
[JWF] Jim Forgie
[JXS] Jim Stevens
[KATZ] Dave Katz
[Lee] CJ Lee,
[Li] Tony Li
[Lothberg] Peter Lothberg
[Markson] Tom Markson,
[MB] Mike Brescia
[MBG] Michael Greenwald
[McIntosh] Bill McIntosh
[ML109] Mike Little
[MTR] Marshall T. Rose
[Murphy] John Murphy
[MXS1] Martha Steenstrup
[NC3] J. Noel Chiappa
[Oberg] Christer Oberg
[Partridge] Criag Partridge
[Perkins] Charlie Perkins
[Petri] Bernhard Petri
[Presotto] Dave Presotto
[Przygienda] Tony Przygienda
[PXL1] Paul Liu
[Rajagopal] Murali Rajagopal,
[RH6] Robert Hinden
[RTB3] Bob Braden
[RC77]
[RDH1] Russ Housley
[RWS4] Robert W. Scheifler
[RXB3] Robert Woodburn
[Sautter] Robert Sautter
[SAF3] Stuart A. Friedberg
[Salamon] Gary Salamon
[SC3] Steve Casner
[SGC] Steve Chipman Chipman&F.BBN.COM>
[SHB] Steven Blumenthal
[Speakman] Tony Speakman
[Sridhar] Manickam R.Sridhar
[Stewart] Randall R. Stewart
[SXA] Susie Armstrong
[SXD] Steve Deering
[TXM] Trudy Miller
[Volpe] Victor Volpe
[VXD] Victor Dafoulas
[Waber] Kurt Waber
[Welzl] Michael Welzl
[WM3] William Melohn
[WXC] Wesley Craig
[Worley] John Worley
[ZSU] Zaw-Sing Su
[]
常見TCP/UDP PORT列表
echo===============>7/tcp
echo===============>7/udp
discard============>9/tcp----sink null
discard============>9/udp----sink null
systat============>11/tcp----users #Active users
systat============>11/tcp----users #Active users
daytime===========>13/tcp
daytime===========>13/udp
qotd==============>17/tcp----quote #Quote of the day
qotd==============>17/udp----quote #Quote of the day
chargen===========>19/tcp----ttytst source #Character generator
chargen===========>19/udp----ttytst source #Character generator
ftp-data==========>20/tcp #FTP, data
ftp===============>21/tcp #FTP. control
telnet============>23/tcp
smtp==============>25/tcp----mail #Simple Mail Transfer Protocol
time==============>37/tcp----timserver
time==============>37/udp----timserver
rlp===============>39/udp----resource #Resource Location Protocol
nameserver========>42/tcp----name #Host Name Server
nameserver========>42/udp----name #Host Name Server
nicname===========>43/tcp----whois
domain============>53/tcp #Domain Name Server
domain============>53/udp #Domain Name Server
bootps============>67/udp----dhcps #Bootstrap Protocol Server
bootpc============>68/udp----dhcpc #Bootstrap Protocol Client
tftp==============>69/udp #Trivial File Transfer
gopher============>70/tcp
finger============>79/tcp
http==============>80/tcp----www www-http #World Wide Web
kerberos==========>88/tcp----krb5 kerberos-sec #Kerberos
kerberos==========>88/udp----krb5 kerberos-sec #Kerberos
hostname=========>101/tcp----hostnames #NIC Host Name Server
iso-tsap=========>102/tcp #ISO-TSAP Class 0
rtelnet==========>107/tcp #Remote Telnet Service
pop2=============>109/tcp----postoffice #Post Office Protocol - Version 2
pop3=============>110/tcp #Post Office Protocol - Version 3
sunrpc===========>111/tcp----rpcbind portmap #SUN Remote Procedure Call
sunrpc===========>111/udp----rpcbind portmap #SUN Remote Procedure Call
auth=============>113/tcp----ident tap #Identification Protocol
uucp-path========>117/tcp
nntp=============>119/tcp----usenet #Network News Transfer Protocol
ntp==============>123/udp #Network Time Protocol
epmap============>135/tcp----loc-srv #DCE endpoint resolution
epmap============>135/udp----loc-srv #DCE endpoint resolution
netbios-ns=======>137/tcp----nbname #NETBIOS Name Service
netbios-ns=======>137/udp----nbname #NETBIOS Name Service
netbios-dgm======>138/udp----nbdatagram #NETBIOS Datagram Service
netbios-ssn======>139/tcp----nbsession #NETBIOS Session Service
imap=============>143/tcp----imap4 #Internet Message Access Protocol
pcmail-srv=======>158/tcp #PCMail Server
snmp=============>161/udp #SNMP
snmptrap=========>162/udp----snmp-trap #SNMP trap
print-srv========>170/tcp #Network PostScript
bgp==============>179/tcp #Border Gateway Protocol
irc==============>194/tcp #Internet Relay Chat Protocol
ipx==============>213/udp #IPX over IP
ldap=============>389/tcp #Lightweight Directory Access Protocol
https============>443/tcp----MCom
https============>443/udp----MCom
microsoft-ds=====>445/tcp
microsoft-ds=====>445/udp
kpasswd==========>464/tcp # Kerberos (v5)
kpasswd==========>464/udp # Kerberos (v5)
isakmp===========>500/udp----ike #Internet Key Exchange
exec=============>512/tcp #Remote Process Execution
biff=============>512/udp----comsat
login============>513/tcp #Remote Login
who==============>513/udp----whod
cmd==============>514/tcp----shell
syslog===========>514/udp
printer==========>515/tcp----spooler
talk=============>517/udp
ntalk============>518/udp
efs==============>520/tcp #Extended File Name Server
router===========>520/udp----route routed
timed============>525/udp----timeserver
tempo============>526/tcp----newdate
courier==========>530/tcp----rpc
conference=======>531/tcp----chat
netnews==========>532/tcp----readnews
netwall==========>533/udp #For emergency broadcasts
uucp=============>540/tcp----uucpd
klogin===========>543/tcp #Kerberos login
kshell===========>544/tcp----krcmd #Kerberos remote shell
new-rwho=========>550/udp----new-who
remotefs=========>556/tcp----rfs rfs_server
rmonitor=========>560/udp----rmonitord
monitor==========>561/udp
ldaps============>636/tcp----sldap #LDAP over TLS/SSL
doom=============>666/tcp #Doom Id Software
doom=============>666/udp #Doom Id Software
kerberos-adm=====>749/tcp #Kerberos administration
kerberos-adm=====>749/udp #Kerberos administration
kerberos-iv======>750/udp #Kerberos version IV
kpop============>1109/tcp #Kerberos POP
phone===========>1167/udp #Conference calling
ms-sql-s========>1433/tcp #Microsoft-SQL-Server
ms-sql-s========>1433/udp #Microsoft-SQL-Server
ms-sql-m========>1434/tcp #Microsoft-SQL-Monitor
ms-sql-m========>1434/udp #Microsoft-SQL-Monitor
wins============>1512/tcp #Microsoft Windows Internet Name Service
wins============>1512/udp #Microsoft Windows Internet Name Service
ingreslock======>1524/tcp----ingres
l2tp============>1701/udp #Layer Two Tunneling Protocol
pptp============>1723/tcp #Point-to-point tunnelling protocol
radius==========>1812/udp #RADIUS authentication protocol
radacct=========>1813/udp #RADIUS accounting protocol
nfsd============>2049/udp----nfs #NFS server
knetd===========>2053/tcp #Kerberos de-multiplexor
man=============>9535/tcp #Remote Man Server
http://redhat2.ecenter.idv.tw/bbs/showthread.php?postid=81723
http://www.iana.org/assignments/protocol-numbers/
2009-11-04
Cisco NAT 筆記
http://blog.roodo.com/kennykao1976/archives/4751865.html
基本上在Cisco Router上的NAT有三種,但透過這三種NAT,又可以變化出LoadBalance等數種技巧 基本的三種NAT方式:
1. Static NAT:靜態NAT轉址,直接指定每個內部Private IP其對外Public IP,固定為1對1的方式。但這種方法,依然需要大量的外部真實IP供給內部IP連線使用,沒有達到節省IP的目的,已少人使用。
2. Dynamic NAT:動態NAT轉址,訂定一到數個NAT Pool,指定可用來做為NAT轉址所用的Public IP之集合,供給內部Private IP動態轉址使用。每一次Private IP的連線,Router會輪流分派一個Public IP對外連線使用。
3. PAT(Port Address Translation):埠號地址轉換,是NAT的另一種加強型的技術,它可以允許許多個內部Private IP轉換到單一的Public IP。
Private IP的可用位址:RFC1918設定了三塊區域的私人IP位址,一般都是以這三個區塊當作NAT轉址的內部IP。這些IP並不會在Internet的路由間繞送。
Addr Range IP & mask
10.0.0.0 - 10.255.255.255 10.0.0.0/255.0.0.0 1個Class A
172.16.0.0 - 172.31.255.255 172.16.0.0/255.240.0.0 12個Class B
192.168.0.0 - 192.168.255.255 192.168.0.0/255.255.255.0 16個Class C
設定範例:
1.Static NAT,一個簡單的範例,將內部192.168.1.100 /24 的IP轉址成外部200.1.1.1 /24
Router1#conf t
Router1(config)#int S 0/0/0
Router1(config-if)#ip address 200.1.1.1 255.255.255.0
Router1(config-if)#ip nat outside
Router1(config-if)#no shutdown
Router1(config-if)#exit
Router1(config)#int fa 0/1
Router1(config-if)#ip address 192.168.1.254 255.255.255.0
Router1(config-if)#ip nat inside
Router1(config-if)#no shutdown
Router1(config-if)#exit
Router1(config)#ip nat inside source static 192.168.1.100 200.1.1.1
2.Dynamic NAT,定義一個連線集合(200.1.1.1~200.1.1.10)/24給內部192.168.1.1/24連線使用
Router1#conf t
Router1(config)#int S 0/0/0
Router1(config-if)#ip address 200.1.1.1 255.255.255.0
Router1(config-if)#ip nat outside
Router1(config-if)#no shutdown
Router1(config-if)#exit
Router1(config)#int fa 0/1
Router1(config-if)#ip address 192.168.1.254 255.255.255.0
Router1(config-if)#ip nat inside
Router1(config-if)#no shutdown
Router1(config-if)#exit
Router1(config)#ip nat pool nat1 200.1.1.1 200.1.1.10 netmask 255.255.255.0
Router1(config)#access-list 1 permit 10.1.1.0 0.0.0.255
Router1(config)#ip nat inside source list 1 pool nat1
Router1(config)#exit
3.PAT(Overload),只定義一個IP提供NAT連線(200.1.1.1)/24給內部192.168.1.1/24連線使用
Router1#conf t
Router1(config)#int S 0/0/0
Router1(config-if)#ip address 200.1.1.1 255.255.255.0
Router1(config-if)#ip nat outside
Router1(config-if)#no shutdown
Router1(config-if)#exit
Router1(config)#int fa 0/1
Router1(config-if)#ip address 192.168.1.254 255.255.255.0
Router1(config-if)#ip nat inside
Router1(config-if)#no shutdown
Router1(config-if)#exit
Router1(config)#ip nat pool nat1 200.1.1.1 200.1.1.1 netmask 255.255.255.0
Router1(config)#access-list 1 permit 10.1.1.0 0.0.0.255
Router1(config)#ip nat inside source list 1 pool nat1 overload
Router1(config)#exit
http://www.wretch.cc/blog/ivan691230/12415530
Cisco NAT configuration
路由器NAT功能配置
隨著internet的網路迅速發展,IP位址短缺已成為一個十分突出的問題。為了解決這個問題,出現了多種解決方案。下面幾紹一種在目前網路環境中比較有效的方法即位址轉換(NAT)功能。
NAT(Network Address Translation)的功能,就是指在一個網路內部,根據需要可以隨意自定義的IP位址,而不需要經過申請。在網路內部,各電腦間通過內部的IP位址進行通訊。而當內部的電腦要與外部internet網路進行通訊時,具有NAT功能的設備(比如:路由器)負責將其內部的IP位址轉換為合法的IP位址(即經過申請的IP位址)進行通信。
NAT 的應用環境:
情況1:
一個企業不想讓外部網路用戶知道自己的網路內部結構,可以通過NAT將內部網路與外部Internet 隔離開,則外部用戶根本不知道通過NAT設定的內部IP位址。
情況2:
一個企業申請的合法Internet IP位址很少,而內部網路用戶很多。可以通過NAT功能實現多個用戶同時公用一個合法IP與外部Internet 進行通信。
設定NAT所需路由器的硬體配置和軟體配置:
設定NAT功能的路由器至少要有一個內部埠(Inside),一個外部埠(Outside)。內部埠連接的網路用戶使用的是內部IP位址。
內部埠可以為任意一個路由器埠。外部埠連接的是外部的網路,如Internet 。外部埠可以為路由器上的任意埠。
設定NAT功能的路由器的IOS應支援NAT功能(本文事例所用路由器為Cisco2501,其IOS為11.2版本以上支援NAT功能)。
關於NAT的幾個概念:
內部本地位址(Inside local address):分配給內部網路中的電腦的內部IP位址。
內部合法位址(Inside global address):對外進入IP通信時,代表一個或多個內部本地位址的合法IP位址。需要申請才可取得的IP位址。
NAT的設定方法:
NAT設定可以分為靜態位址轉換、動態位址轉換、複用動態位址轉換。
1、靜態位址轉換適用的環境
靜態位址轉換將內部本地位址與內部合法位址進行一對一的轉換,且需要指定和哪個合法位址進行轉換。如果內部網路有E-mail伺服器或FTP伺服器等可以為外部用戶提供的服務,這些伺服器的IP位址必須採用靜態位址轉換,以便外部用戶可以使用這些服務。
靜態位址轉換基本配置步驟:
(1)、在內部本地位址與內部合法位址之間建立靜態位址轉換。在全局設定狀態下輸入:
Ip nat inside source static 內部本地位址 內部合法位址
(2)、指定連接網路的內部埠 在埠設定狀態下輸入:
ip nat inside
(3)、指定連接外部網路的外部埠 在埠設定狀態下輸入:
ip nat outside
注:可以根據實際需要定義多個內部埠及多個外部埠。
實例1:
本實例實現靜態NAT位址轉換功能。將2501的乙太口作為內部埠,同步埠0作為外部埠。其中10.1.1.2,10.1.1.3,10.1.1.4的內部本地位址採用靜態位址轉換。其內部合法位址分別對應為192.1.1.2,192.1.1.3,192.1.1.4。
路由器2501的配置:
Current configuration:
version 11.3
no service password-encryption
hostname 2501
ip nat inside source static 10.1.1.2 192.1.1.2
ip nat inside source static 10.1.1.3 192.1.1.3
ip nat inside source static 10.1.1.4 192.1.1.4
interface Ethernet0
ip address 10.1.1.1 255.255.255.0
ip nat inside
interface Serial0
ip address 192.1.1.1 255.255.255.0
ip nat outside
no ip mroute-cache
bandwidth 2000
no fair-queue
clockrate 2000000
interface Serial1
no ip address
shutdown
no ip classless
ip route 0.0.0.0 0.0.0.0 Serial0
line con 0 ;
line aux 0
line vty 0 4
password cisco
end
配置完成後可以用以下語句進行查看:
show ip nat statistcs
show ip nat translations
2、動態位址轉換適用的環境:
動態位址轉換也是將本地位址與內部合法位址一對一的轉換,但是動態位址轉換是從內部合法位址池中動態地選擇一個末使用的位址對內部本地位址進行轉換。
動態位址轉換基本配置步驟:
(1)、在全局設定模式下,定義內部合法位址池
ip nat pool 地址池名稱 起始IP地址 終止IP地址 子網路遮罩
其中位址池名稱可以任意設定。
(2)、在全局設定模式下,定義一個標準的access-list規則以允許哪些內部位址可以進行動態位址轉換。
Access-list 標號 permit 源地址 通配符
其中標號為1-99之間的整數。
(3)、在全局設定模式下,將由access-list指定的內部本地位址與指定的內部合法位址池進行位址轉換。
ip nat inside source list 訪問列表標號 pool內部合法位址池名字
(4)、指定與內部網路相連的內部埠在埠設定狀態下:
ip nat inside
(5)、指定與外部網路相連的外部埠
Ip nat outside
實例2:
本實例中硬體配置同上,運用了動態NAT位址轉換功能。將2501的乙太口作為內部埠,同步埠0作為外部埠。其中10.1.1.0網段採用動態位址轉換。對應內部合法位址為192.1.1.2~192.1.1.10
Current configuration:
version 11.3
no service password-encryption
hostname 2501
ip nat pool aaa 192.1.1.2 192.1.1.10 netmask 255.255.255.0
ip nat inside source list 1 pool aaa
interface Ethernet0
ip address 10.1.1.1 255.255.255.0
ip nat inside
interface Serial0
ip address 192.1.1.1 255.255.255.0
ip nat outside
no ip mroute-cache
bandwidth 2000
no fair-queue
clockrate 2000000
interface Serial1
no ip address
shutdown
no ip classless
ip route 0.0.0.0 0.0.0.0 Serial0
access-list 1 permit 10.1.1.0 0.0.0.255
line con 0
line aux 0
line vty 0 4
password cisco
end
3、複用動態位址轉換適用的環境:
複用動態位址轉換首先是一種動態位址轉換,但是它可以允許多個內部本地位址共用一個內部合法位址。只申請到少量IP位址但卻經常同時有多於合法位址個數的用戶上外部網路的情況,這種轉換極為有用。
注意:當多個用戶同時使用一個IP位址,外部網路通過路由器內部利用上層的如TCP或UDP埠號等唯一標識某台電腦。
複用動態位址轉換配置步驟:
在全局設定模式下,定義內部合位址池
ip nat pool 地址池名字 起始IP地址 終止IP地址 子網路遮罩
其中位址池名字可以任意設定。
在全局設定模式下,定義一個標準的access-list規則以允許哪些內部本地位址可以進行動態位址轉換。
access-list 標號 permit 源地址 通配符
其中標號為1-99之間的整數。
P>
在全局設定模式下,設定在內部的本地位址與內部合法IP位址間建立複用動態位址轉換。
ip nat inside source list 訪問列表標號 pool 內部合法位址池名字 overload
在埠設定狀態下,指定與內部網路相連的內部埠
ip nat inside
在埠設定狀態下,指定與外部網路相連的外部埠
ip nat outside
實例:應用了複用動態NAT位址轉換功能。將2501的乙太口作為內部埠,同步埠0作為外部埠。10.1.1.0網段採用複用動態位址轉換。假設企業只申請了一個合法的IP位址192.1.1.1。
2501的配置
Current configuration:
version 11.3
no service password-encryption
hostname 2501
ip nat pool bbb 192.1.1.1 192.1.1.1 netmask 255.255.255.0
ip nat inside source list 1 pool bbb overload
interface Ethernet0
ip address 10.1.1.1 255.255.255.0
ip nat inside
interface Serial0
ip address 192.1.1.1 255.255.255.0
ip nat outside
no ip mroute-cache
bandwidth 2000
no fair-queue
clockrate 2000000
interface Serial1
no ip address
shutdown
no ip classless
ip route 0.0.0.0 0.0.0.0 Serial0
access-list 1 permit 10.1.1.0 0.0.0.255
line con 0
line aux 0
line vty 0 4
password cisco
end
http://blog.yam.com/linadonis/article/21205470
基本上在Cisco Router上的NAT有三種,但透過這三種NAT,又可以變化出LoadBalance等數種技巧 基本的三種NAT方式:
1. Static NAT:靜態NAT轉址,直接指定每個內部Private IP其對外Public IP,固定為1對1的方式。但這種方法,依然需要大量的外部真實IP供給內部IP連線使用,沒有達到節省IP的目的,已少人使用。
2. Dynamic NAT:動態NAT轉址,訂定一到數個NAT Pool,指定可用來做為NAT轉址所用的Public IP之集合,供給內部Private IP動態轉址使用。每一次Private IP的連線,Router會輪流分派一個Public IP對外連線使用。
3. PAT(Port Address Translation):埠號地址轉換,是NAT的另一種加強型的技術,它可以允許許多個內部Private IP轉換到單一的Public IP。
Private IP的可用位址:RFC1918設定了三塊區域的私人IP位址,一般都是以這三個區塊當作NAT轉址的內部IP。這些IP並不會在Internet的路由間繞送。
Addr Range IP & mask
10.0.0.0 - 10.255.255.255 10.0.0.0/255.0.0.0 1個Class A
172.16.0.0 - 172.31.255.255 172.16.0.0/255.240.0.0 12個Class B
192.168.0.0 - 192.168.255.255 192.168.0.0/255.255.255.0 16個Class C
設定範例:
1.Static NAT,一個簡單的範例,將內部192.168.1.100 /24 的IP轉址成外部200.1.1.1 /24
Router1#conf t
Router1(config)#int S 0/0/0
Router1(config-if)#ip address 200.1.1.1 255.255.255.0
Router1(config-if)#ip nat outside
Router1(config-if)#no shutdown
Router1(config-if)#exit
Router1(config)#int fa 0/1
Router1(config-if)#ip address 192.168.1.254 255.255.255.0
Router1(config-if)#ip nat inside
Router1(config-if)#no shutdown
Router1(config-if)#exit
Router1(config)#ip nat inside source static 192.168.1.100 200.1.1.1
2.Dynamic NAT,定義一個連線集合(200.1.1.1~200.1.1.10)/24給內部192.168.1.1/24連線使用
Router1#conf t
Router1(config)#int S 0/0/0
Router1(config-if)#ip address 200.1.1.1 255.255.255.0
Router1(config-if)#ip nat outside
Router1(config-if)#no shutdown
Router1(config-if)#exit
Router1(config)#int fa 0/1
Router1(config-if)#ip address 192.168.1.254 255.255.255.0
Router1(config-if)#ip nat inside
Router1(config-if)#no shutdown
Router1(config-if)#exit
Router1(config)#ip nat pool nat1 200.1.1.1 200.1.1.10 netmask 255.255.255.0
Router1(config)#access-list 1 permit 10.1.1.0 0.0.0.255
Router1(config)#ip nat inside source list 1 pool nat1
Router1(config)#exit
3.PAT(Overload),只定義一個IP提供NAT連線(200.1.1.1)/24給內部192.168.1.1/24連線使用
Router1#conf t
Router1(config)#int S 0/0/0
Router1(config-if)#ip address 200.1.1.1 255.255.255.0
Router1(config-if)#ip nat outside
Router1(config-if)#no shutdown
Router1(config-if)#exit
Router1(config)#int fa 0/1
Router1(config-if)#ip address 192.168.1.254 255.255.255.0
Router1(config-if)#ip nat inside
Router1(config-if)#no shutdown
Router1(config-if)#exit
Router1(config)#ip nat pool nat1 200.1.1.1 200.1.1.1 netmask 255.255.255.0
Router1(config)#access-list 1 permit 10.1.1.0 0.0.0.255
Router1(config)#ip nat inside source list 1 pool nat1 overload
Router1(config)#exit
http://www.wretch.cc/blog/ivan691230/12415530
Cisco NAT configuration
路由器NAT功能配置
隨著internet的網路迅速發展,IP位址短缺已成為一個十分突出的問題。為了解決這個問題,出現了多種解決方案。下面幾紹一種在目前網路環境中比較有效的方法即位址轉換(NAT)功能。
NAT(Network Address Translation)的功能,就是指在一個網路內部,根據需要可以隨意自定義的IP位址,而不需要經過申請。在網路內部,各電腦間通過內部的IP位址進行通訊。而當內部的電腦要與外部internet網路進行通訊時,具有NAT功能的設備(比如:路由器)負責將其內部的IP位址轉換為合法的IP位址(即經過申請的IP位址)進行通信。
NAT 的應用環境:
情況1:
一個企業不想讓外部網路用戶知道自己的網路內部結構,可以通過NAT將內部網路與外部Internet 隔離開,則外部用戶根本不知道通過NAT設定的內部IP位址。
情況2:
一個企業申請的合法Internet IP位址很少,而內部網路用戶很多。可以通過NAT功能實現多個用戶同時公用一個合法IP與外部Internet 進行通信。
設定NAT所需路由器的硬體配置和軟體配置:
設定NAT功能的路由器至少要有一個內部埠(Inside),一個外部埠(Outside)。內部埠連接的網路用戶使用的是內部IP位址。
內部埠可以為任意一個路由器埠。外部埠連接的是外部的網路,如Internet 。外部埠可以為路由器上的任意埠。
設定NAT功能的路由器的IOS應支援NAT功能(本文事例所用路由器為Cisco2501,其IOS為11.2版本以上支援NAT功能)。
關於NAT的幾個概念:
內部本地位址(Inside local address):分配給內部網路中的電腦的內部IP位址。
內部合法位址(Inside global address):對外進入IP通信時,代表一個或多個內部本地位址的合法IP位址。需要申請才可取得的IP位址。
NAT的設定方法:
NAT設定可以分為靜態位址轉換、動態位址轉換、複用動態位址轉換。
1、靜態位址轉換適用的環境
靜態位址轉換將內部本地位址與內部合法位址進行一對一的轉換,且需要指定和哪個合法位址進行轉換。如果內部網路有E-mail伺服器或FTP伺服器等可以為外部用戶提供的服務,這些伺服器的IP位址必須採用靜態位址轉換,以便外部用戶可以使用這些服務。
靜態位址轉換基本配置步驟:
(1)、在內部本地位址與內部合法位址之間建立靜態位址轉換。在全局設定狀態下輸入:
Ip nat inside source static 內部本地位址 內部合法位址
(2)、指定連接網路的內部埠 在埠設定狀態下輸入:
ip nat inside
(3)、指定連接外部網路的外部埠 在埠設定狀態下輸入:
ip nat outside
注:可以根據實際需要定義多個內部埠及多個外部埠。
實例1:
本實例實現靜態NAT位址轉換功能。將2501的乙太口作為內部埠,同步埠0作為外部埠。其中10.1.1.2,10.1.1.3,10.1.1.4的內部本地位址採用靜態位址轉換。其內部合法位址分別對應為192.1.1.2,192.1.1.3,192.1.1.4。
路由器2501的配置:
Current configuration:
version 11.3
no service password-encryption
hostname 2501
ip nat inside source static 10.1.1.2 192.1.1.2
ip nat inside source static 10.1.1.3 192.1.1.3
ip nat inside source static 10.1.1.4 192.1.1.4
interface Ethernet0
ip address 10.1.1.1 255.255.255.0
ip nat inside
interface Serial0
ip address 192.1.1.1 255.255.255.0
ip nat outside
no ip mroute-cache
bandwidth 2000
no fair-queue
clockrate 2000000
interface Serial1
no ip address
shutdown
no ip classless
ip route 0.0.0.0 0.0.0.0 Serial0
line con 0 ;
line aux 0
line vty 0 4
password cisco
end
配置完成後可以用以下語句進行查看:
show ip nat statistcs
show ip nat translations
2、動態位址轉換適用的環境:
動態位址轉換也是將本地位址與內部合法位址一對一的轉換,但是動態位址轉換是從內部合法位址池中動態地選擇一個末使用的位址對內部本地位址進行轉換。
動態位址轉換基本配置步驟:
(1)、在全局設定模式下,定義內部合法位址池
ip nat pool 地址池名稱 起始IP地址 終止IP地址 子網路遮罩
其中位址池名稱可以任意設定。
(2)、在全局設定模式下,定義一個標準的access-list規則以允許哪些內部位址可以進行動態位址轉換。
Access-list 標號 permit 源地址 通配符
其中標號為1-99之間的整數。
(3)、在全局設定模式下,將由access-list指定的內部本地位址與指定的內部合法位址池進行位址轉換。
ip nat inside source list 訪問列表標號 pool內部合法位址池名字
(4)、指定與內部網路相連的內部埠在埠設定狀態下:
ip nat inside
(5)、指定與外部網路相連的外部埠
Ip nat outside
實例2:
本實例中硬體配置同上,運用了動態NAT位址轉換功能。將2501的乙太口作為內部埠,同步埠0作為外部埠。其中10.1.1.0網段採用動態位址轉換。對應內部合法位址為192.1.1.2~192.1.1.10
Current configuration:
version 11.3
no service password-encryption
hostname 2501
ip nat pool aaa 192.1.1.2 192.1.1.10 netmask 255.255.255.0
ip nat inside source list 1 pool aaa
interface Ethernet0
ip address 10.1.1.1 255.255.255.0
ip nat inside
interface Serial0
ip address 192.1.1.1 255.255.255.0
ip nat outside
no ip mroute-cache
bandwidth 2000
no fair-queue
clockrate 2000000
interface Serial1
no ip address
shutdown
no ip classless
ip route 0.0.0.0 0.0.0.0 Serial0
access-list 1 permit 10.1.1.0 0.0.0.255
line con 0
line aux 0
line vty 0 4
password cisco
end
3、複用動態位址轉換適用的環境:
複用動態位址轉換首先是一種動態位址轉換,但是它可以允許多個內部本地位址共用一個內部合法位址。只申請到少量IP位址但卻經常同時有多於合法位址個數的用戶上外部網路的情況,這種轉換極為有用。
注意:當多個用戶同時使用一個IP位址,外部網路通過路由器內部利用上層的如TCP或UDP埠號等唯一標識某台電腦。
複用動態位址轉換配置步驟:
在全局設定模式下,定義內部合位址池
ip nat pool 地址池名字 起始IP地址 終止IP地址 子網路遮罩
其中位址池名字可以任意設定。
在全局設定模式下,定義一個標準的access-list規則以允許哪些內部本地位址可以進行動態位址轉換。
access-list 標號 permit 源地址 通配符
其中標號為1-99之間的整數。
P>
在全局設定模式下,設定在內部的本地位址與內部合法IP位址間建立複用動態位址轉換。
ip nat inside source list 訪問列表標號 pool 內部合法位址池名字 overload
在埠設定狀態下,指定與內部網路相連的內部埠
ip nat inside
在埠設定狀態下,指定與外部網路相連的外部埠
ip nat outside
實例:應用了複用動態NAT位址轉換功能。將2501的乙太口作為內部埠,同步埠0作為外部埠。10.1.1.0網段採用複用動態位址轉換。假設企業只申請了一個合法的IP位址192.1.1.1。
2501的配置
Current configuration:
version 11.3
no service password-encryption
hostname 2501
ip nat pool bbb 192.1.1.1 192.1.1.1 netmask 255.255.255.0
ip nat inside source list 1 pool bbb overload
interface Ethernet0
ip address 10.1.1.1 255.255.255.0
ip nat inside
interface Serial0
ip address 192.1.1.1 255.255.255.0
ip nat outside
no ip mroute-cache
bandwidth 2000
no fair-queue
clockrate 2000000
interface Serial1
no ip address
shutdown
no ip classless
ip route 0.0.0.0 0.0.0.0 Serial0
access-list 1 permit 10.1.1.0 0.0.0.255
line con 0
line aux 0
line vty 0 4
password cisco
end
http://blog.yam.com/linadonis/article/21205470
訂閱:
文章 (Atom)
