Syshy’s Blog

随着Internet的迅速增长和要求唯一IP地址的无线设备的激增，IPv4开始有点力不从心了，而下一代协议IPv6的脚步声则越来越近了。目前，所面临的已经不是是否应当由IPv4转到IPv6的问题，而是何时转到IPv6的问题。随着IP地址需求量的指数增长，IPv4已经不再适用了。

　　各种任务数量的增长，推动了今天IPv4网络向IPv6网络的发展，人们所面临的问题是它们的长期合作和共存。许多技术将逐渐适应存在于现有IPv4网络上的新的IPv6应用，转换的主要要求有3个：既不中断IPv4服务，任何时候、任何地点可用IPv6服务，以及最低限度的运作成本、学习和支持。 　　IPv6的优点对IP地址日益增长的需要是IPv6发展的主要催化剂。据估计，仅在无线领域，需要接入Internet的移动电话、PDA和其它的无线设备就超过10亿个，而且每个设备都需要自己唯一的IP地址。数十亿个新的家庭Internet应用——从电视到冰箱再到电表，它们也将通过各种技术连接，而这些设备也都需要自己的IP地址。

　　以前，像MIT和AT&T都分配了A类IP网址。到今天，它们每一个都控制了160亿个以上的地址，而整个中国只拥有90亿个不连续的地址块。因此，如今申请IP地址的公司只能使用剩下的B类和C类IP网的地址部分了。IPv4拥有32比特的地址空间，而IPv6所拥有的地址空间则为128比特。

　　IPv6带来的并不仅仅是地址的扩展。它的自动配置或自动发现特性将淘汰需要大量人力的昂贵方法，这种方法是管理动态主机配置协议(DHCP)服务器的，而多数大型机构都利用这种服务器来管理它们的IPv4地址。IPv6将使用一种无国籍的自动配置方法，这种配置方法与一个接口ID相结合，例如机器现有的MAC地址，以及来自本地路由器的网络前缀等，以便为其分配IP地址而不是由DHCP服务器来分配。

　　IPv6也将提供一个对等网应用的基础设施，这个基础设施将允许使用端到端的全球寻址机制。这种设置将消除在一些大型企业网络边缘对网络地址转换(NAT)设备的需求，因为这些设备会减慢加密过程，而且对于VoIP、移动IP等应用效率很低。

　　IPv6的实施方案在IETF的下一代转换工作组(NGtrans WG)中，Cisco在IPv6基础设施的定义和配置中扮演了一个领导者的角色。Cisco的6Bone路由器是6Bone基础设施的一个关键部分，这个设施是一个建立于现有Internet上的IPv6的实验网络，它为IPv6的开展和实施提供了一个真实的实验平台。另外，Cisco还发布了支持新的IPv6特性的Cisco IOS 12.2(2)T，这个版本允许在适应期期间IPv4和IPv6两种协议共存。 　　

　　1.IPv6在IPv4核心网上建通道

　　许多数据封装技术在6Bone实验网络上使用已经多年了。这种技术将IPv6流量压缩到IPv4数据包内，并通过IPv4核心网或Internet来发送数据包。它只要求客户配置Cisco IOS入口和出口路由器，这要优于对整个网络范围内IP基础设施的升级。

　　2.IPv6的专用数据链路层

　　这些年来，通过发展帧中继和ATM等第二层技术，许多服务提供商已设计了用于数据服务的WAN和MAN。在这些基础设施上，通过配置ATM上的IPv6或挂接于IPv6路由器上的帧中继永久虚电路(PVC)来提供专用的IPv6服务。

　　这种方法的优点在于它隔离了IPv6和IPv4流量，因而如果在IPv6链接上发生了故障，就可以减小对IPv4网络的影响。

　　日本的IIJ公司已在日本及日本和美国之间建起了最大的IPv6主干网之一，并于2000年9月开始提供本地IPv6服务。IIJ直接通过专用的接入串行线来传输IPv6流量，它也开展了用于网络和服务器管理的IPv6数据中心服务。

　　3.使用MPLS的IPv6主干网

　　Cisco相信，随着将来IPv6流量的大量增长，多协议标记交换技术(MPLS)将成为ISP转向IPv6的一个最佳选择。这是因为它的开发成本更低，VPN配置更简单，而且还具有流量管理的能力。自2001年中期起，一半以上已配置了Cisco 12000 Internet路由器的客户，或者考虑或者已经配置了MPLS。

　　利用MPLS，客户就能更容易地扩展流量。由于MPLS路由器交换数据包是基于标记而不是基于地址查找的，因而带给硬件的负担就更小。利用MPLS进行转发并利用IPv6来传递应用，ISP就能在MPLS路径上发送IPv6。这种方法将使ISP得到与如今的ASIC交换相似的强大性能，却无须对硬件基础设施进行成本高昂的升级。

　　Cisco设计了一种称为6PE(IPv6 Provider Edge Router over MPLS)的特性来支持MPLS，这种特性将允许服务提供商在任何时间、任何地点将IPv6与MPLS网络相结合。6PE现在正处于开发之中，它将于2001年下半年发布。

　　双堆栈网络:从IPv4到IPv6在开展双堆栈网络时，主机同时运行两种协议，使应用一个一个地转向IPv6进行传输。它主要用于与IPv4和IPv6设备都进行通信的应用。双堆栈将在Cisco IOS软件平台上使用，以支持应用和Telnet、SNMP以及在IPv6传输上的其它协议等。对于ISP来说，双堆栈带来了很多优点。

　　1.管理并解决双控制面网络的故障。2.选择并配置内部网间路由协议(IGP)。这个协议包括一个综合协议，例如中间级系统到中间级系统协议，这个协议为IPv4和IPv6路由计算SPF(短径优先)；也包括用于IPv4的OSPFv2协议和用于IPv6的OSPFv3。3.完成全面的网络升级以得到IPv6对所有网络设备的支持。

　　这些网络设备或者仅是软件，或者同时包括硬件和软件，因为高速接口可能需要IPv6的硬件转发。Cisco方案提供了这种配置能力，但是要进行精密的计划和网络管理可能还需要在实施之前做更多的调查研究。

　　例如，Zama在西雅图、圣何塞、洛杉矶、香港、汉城和东京等地建立了IPv6的节点，并通过租用线路将它们连接。Zama使用了运行Cisco IOS 12.2T的Cisco 7200和Cisco 7500路由器，当IPv6可使用它的Cisco IOS版本时，它们就升级到Cisco 12000 Internet路由器和Catalyst交换器。

　　Zama计划实施双堆栈和NAT协议转换(NAT-PT)，NAT-PT是由IETF NGtrans WG所指定的。它们为早期用户提供了IPv6的商业级支持和网络服务，也在亚洲和北美的早期用户之间架起了一座桥梁。它们的网络能够传输本地的IPv6流量和IPv4流量。当需要在仅使用IPv4协议和仅使用IPv6协议的主机之间进行双向转换时，NAT-PT是一个很好的选择。NAT可与现有的Internet客户/服务器模式(服务器具有正式的IPv4地址，客户端在NAT设备之后)相匹配。Cisco IOS软件也为IPv4提供了实施NAT的一个强大工具，使它成为Cisco IPv6业务的一个关键组成部分。与IPv4使用的NAT不同，NAT-PT将成为转换到IPv6过程中的一个暂时的桥梁。

　　无线成为IPv6的第一个应用无线可能会成为IPv6的第一个“杀手”应用程序，这是由于在Internet的每个接入点，移动设备都需要一个全球范围的正式IP地址。例如，最近英国电信向RIPE-NCC申请3000万个IPv4地址以提供通用分组无线服务(GPRS)，因为英国目前已经拥有了一些IPv4地址。由于10亿个以上的用户都希望到2005年能够进行全球移动，所以都得到IPv4地址就不太容易了。

　　在2000年发布的3GPPP规范中，IPv6成了无线的第三代标准。到2002年，IPv6将进入无线IP多媒体子系统中，这个子系统包括将语音和数据拆分后送到网络中的路由器及服务器。这意味着新
的IPv6设备能对手持设备分配IPv6地址。

　　UMTS在其第5版规范中，要求在IP多媒体部分使用专用的IPv6，这个规范有望于2002年上半年发布。NTT DoCoMo今天已经拥有2000万个无线用户，它也正计划提供IPv6服务而不是利用双NAT层来提供服务。

　　在对IPv6进行了多年的早期测试并对其实施了某些应用之后，由IPv4转向IPv6获得了巨大的动力。IPv6将把人们带回到一个端到端的全球寻址的基础设施，消除了破坏这种性能的应用网关和NAT。对于处理大量增长的Cable、DSL、Ethernet及无线设备等在线设备来说，端到端的寻址变得重要起来。

世界杯终于结束了，意大利终于拿起了大力神杯~

blog好久没更新了，今天突然上来发现好多垃圾评论，好多垃圾引用，把pjblog升级到2.6后终于解决问题！

另外，Beebee综合娱乐社区正式开通了，http://www.ourqzone.com  提供如下服务：Q-Zone,QQ空间,3.0 QQ空间代码,QQ空间花神代码,56地带,我乐地带,KEY,破解软件，很有趣的社区~欢迎大家常去www.ourqzone.com

6月20日的新闻《SK集团入股联通已成定局》，其中又有电信重组的消息：中国联通集团与中国网通集团的合并方案已经送交国务院；联通集团知情人士表示，关于合并方案，一直是网通集团方面在热心推动。而6月19日，北邮曾剑秋教授做客新浪聊天时，却提出了未来电信和网通应合并共拿一张3G牌照的观点。

　　如果重组的消息属实，为什么网通热心推动与联通而不是与电信合并？可能包括以下几方面原因：
　　1，联通有GSM和CDMA两张2G移动网，而网通在固网上尤其在北方10省有较强实力，两家合并可以优势互补，在全业务运营上较移动和电信有综合优势；
　　2，原中国电信南北拆分后，电信和网通是同质竞争，有着直接的较强的竞争关系，如果电信网通合并，北电信和南网通融入当地的主导运营商，需要有一个心理适应的磨合期。
　　3，目前网通和联通在实力上比较接近，与联通合并相比较于与电信合并，网通在新成立的公司中可能占有较多的股份。

　　从联通的角度，与网通合并显然胜过被拆分。2005年2月，王晓初曾建议中国电信伙同中国网通收购中国联通集团一张移动网络，没有得到联通的回应。

　　如果电信与网通合并，那么可能会出现：
　　1，国内互联网南北互联互通的问题应比较容易得到解决。
　　2，原中国电信南北拆分后，电信、网通与移动和联通相比，成了事实上的瘸腿，南北公司的实力差距大。以北方电信为例，在实力上不仅与北方网通不在一个层面上，而且将来拿到3G牌照，与移动和联通竞争也困难。电信与网通合并，可以互相解决南北实力分布不均衡的问题。
　　3，电信与网通合并，可以彼此将运营较为成功的一些业务模式在全国范围内推广，比如电信的互联星空可以与网通的宽带中国融合，原先就是由一家拆分而成，在许多方面有着合并的文化基础。
　　4，如曾剑秋教授所说，电信网通合并，只需发3张3G牌照，而且也不需要由第三方来运营新电信的3G网络，省去不少麻烦。
　　5，电信与网通都是固话运营商，两家合并，仍然缺乏移动运营经验，仍然要借助移动或联通的2G网络发展3G。
　　6，电信和网通合并，虽然在实力上与移动相比并不占优势，但一定是国内人员最多的电信运营商。按理说，人多力量大，但是由于异质竞争，固网运营商正在转型，人力资源面临结构性的矛盾，因此现在电信运营商都在成为学习型的企业。
　　7，会出现一些关于合并导致垄断的质疑。

　　当然，国内电信业是否重组以及如何重组，SK是否能入股联通，最终要由政府来决定。政府决策，相信会***远瞩。

        第一条：
　　从2006年6月9号至7月9号，请认真阅读报纸的体育版。掌握世界杯动态，以便我们之间的对话。否则你将被视为外星人，或被完全忽略。

　　第二条：
　　世界杯期间，电视完全属于我，任何时间，毫无例外。

　　第三条：
　　球赛直播期间，我不介意你经过屏幕前，但请采用爬行的姿势;如果你选择脱光站在电视机前，请注意不要耽搁太久以免着凉，不要想我会有时间带你看医生或照顾你;

　　第四条：
　　球赛期间我是盲人，聋子和哑巴。除非我要求再来听啤酒或要求弄点东西来吃。不要期望我会听你说话，去开门，去接电话，或者扶起从二楼摔下的小孩。

　　第五条：
　　在冰箱里塞满吃的东西是个好主意。当我的朋友来家看球时不要对他们拿脸色。作为回报，每天晚上12点至早上6点你可以看电视，但有赛事重播时除外（参见第二条）。

　　第六条：
　　切记！切记！切记！！！
　　如果我中意的球队输了，不要对我说什么“算了，只是一场比赛。”和“他们下次会赢。”之类的话。这种话只会更加激怒我，记住，关于足球你永远不可能比我更懂，所谓的“鼓励的话”只能直接导致分手或离婚（不一定是按照这个顺序哈！）

　　第七条：
　　欢迎在一场比赛时和我坐在一起，并且在中场休息时和我聊天（仅限于广告时间并且场上比分让我很爽时）。另外，请注意是一场比赛。因此不要拿世界杯作为"spendtimetogether"的接口。

　　第八条：
　　进球重放很重要。我不关心我看过没有，我要再看，再看，再看……

　　第九条：
　　告诉你的朋友，不要搞什么要我参加的聚会，如生孩子，小孩生日等等，因为1）我不会去，2）我不会去and3）我不会去。

　　第十条：
　　（接上条）但是，如果我的朋友邀请我们去他家看球，我们将以闪电速度到达。

　　第十一条：
　　每日精华和球赛一样重要。不要说什么“你不是已经看过了吗……为什么不换个我们都能看的台？”回答将是：“参见第二条！”

一、 集成在路由器中的防火墙技术

　　1、 路由器IOS标准设备中的ACL技术

　　ACL即Access Control Lis t(访问控制列表)，简称Access List(访问列表)，它是后续所述的IOS Firewall Feature Set的基础，也是Cisco全线路由器统一界面的操作系统IOS(Internet Operation System，网间操作系统)标准配置的一部分。这就是说在购买了路由器后，ACL功能已经具备，不需要额外花钱去买。

　　2、 IOS Firewall Feature Set(IOS防火墙软件包)

　　IOS Firewall Feature Set是在ACL的基础上对安全控制的进一步提升，由名称可知，它是一套专门针对防火墙功能的附加软件包，可通过IOS升级获得，并且可以加载到多个Cisco路由器平台上。

　　目前防火墙软件包适用的路由器平台包括Cisco 1600、1700、2500、2600和3600，均属中、低端系列。对很多倾向与使用"all-in-one solution"(一体化解决方案)，力求简单化管理的中小企业用户来说，它能很大程度上满足需求。之所以不在高端设备上实施集成防火墙功能，这是为了避免影响大型网络的主干路由器的核心工作–数据转发。在这样的网络中，应当使用专用的防火墙设备。

　　Cisco IOS防火墙特征:

　　基于上下文的访问控制(CBAC)为先进应用程序提供基于应用程序的安全筛选并支持最新协议

　　Java能防止下载动机不纯的小应用程序

　　在现有功能基础上又添加了拒绝服务探测和预防功能，从而增加了保护

　　在探测到可疑行为后可向中央管理控制台实时发送警报和系统记录错误信息

　　TCP/UDP事务处理记录按源/目的地址和端口对跟踪用户访问

　　配置和管理特性与现有管理应用程序密切配合

二、 专用防火墙–PIX

　　PIX(Private Internet eXchange)属于四类防火墙中的第四种–软硬件结合的防火墙，它的设计是为了满足高级别的安全需求，以较好的性能价格比提供严密的、强有力的安全防范。除了具备第四类防火墙的共同特性，并囊括了IOS Firewall Feature Set的应有功能。

　　PIX成为Cisco在网络安全领域的旗舰产品已有一段历史了，它的软硬件结构也经历了较大的发展。现在的PIX有515和520两种型号(520系列容量大于515系列)，从原来的仅支持两个10M以太网接口，到10/100M以太网、令牌环网和FDDI的多介质、多端口(最多4个)应用;其专用操作系统从v5.0开始提供对 IPSec这一标准隧道技术的支持，使PIX能与更多的其它设备一起共同构筑起基于标准VPN连接。

　　Cisco的PIX Firewall能同时支持16，000多路TCP对话，并支持数万用户而不影响用户性能，在额定载荷下，PIX Firewall的运行速度为45Mbps，支持T3速度，这种速度比基于UNIX的防火墙快十倍。

　　主要特性:

　　保护方案基于适应性安全算法(ASA)，能提供任何其它防火墙都不能提供的最高安全保护

　　将获专利的"切入代理"特性能提供传统代理服务器无法匹敌的高性能

　　安装简单，维护方便，因而降低了购置成本

　　支持64路同时连接，企业发展后可扩充到16000路

　　透明支持所有通用TCP/IP Internet服务，如万维网(WWW)文件传输协议(FTP)、Telnet、Archie、Gopher和rlogin

　　支持多媒体数据类型，包括Progressive网络公司的Real Audio，Xing技术公司的Steamworks，White Pines公司腃USeeMe，Vocal Te公司的Internet Phone，VDOnet公司的VDOLive，Microsoft公司的NetShow和Uxtreme公司的Web Theater 2

　　支持H323兼容的视频会议应用，包括Intel的Internet Video Phone和Microsoft的NetMeeting

　　无需因安装而停止运行

　　无需升级主机或路由器

　　完全可以从未注册的内部主机访问外部Internet

　　能与基于Cisco IOS的路由器互操作

三、 两种防火墙技术的比较

　　IOS FIREWALL FEATURE SET PIX FIREWALL

　　网络规模 中小型网络，小于250节点的应用。 大型网络，可支持多于500用户的应用

　　工作平台 路由器IOS操作系统 专用PIX工作平台

　　性能 最高支持T1/E1(2M)线路 可支持多条T3/E3(45M)线路

　　工作原理 基于数据包过滤，核心控制为CBAC 基于数据包过滤，核心控制为ASA

　　配置方式 命令行或图形方式(通过ConfigMaker) 命令行方式或图形方式(通过Firewall Manager)

　　应用的过滤 支持Java小程序过滤 支持Java小程序过滤

　　身份认证 通过IOS命令，支持TACACS+、RADIUS服务器认证。 支持TACACS+、RADIUS集中认证

　　虚拟专网(VPN) 通过IOS软件升级可支持IPSec、L2F和GRE隧道技术，支持40或56位DES加密。 支持Private Link或IPSec隧道和加密技术。

　　网络地址翻译(NAT) 集成IOS Plus实现 支持

　　冗余特性 通过路由器的冗余协议HSRP实现 支持热冗余

　　自身安全 支持Denial-of-Service 支持Denial-of-Service

　　代理服务 无，通过路由器的路由功能实现应用 切入的代理服务功能

　　管理 通过路由器的管理工具，如Cisco Works 通过Firewall Manager实现管理

　　审计功能 一定的跟踪和报警功能 状态化数据过滤，可通过Firewall Manager实现较好的额监控、报告功能

四、 Centri防火墙

　　主要特性:

　　核心代理体系结构

　　针对Windows NT定制TCP/IP栈

　　图形用户结构可制订安全政策

　　可将安全政策拖放到网络、网络组、用户和用户组

　　ActiveX、Java小应用程序、Java和Vb模块

　　通用资源定位器(URL)模块

　　端口地址转换

　　网络地址转换

　　透明支持所有通用TCP/IP应用程序，包括WWW、文件传输协议(FTP)Telnet和邮件

　　为Web、Telnet和FTP提供代理安全服务

　　根据IP地址、IP子网和IP子网组进行认证

　　使用sl口令和可重复使用口令Telnet、Web和ftp提供联机用户认证

　　使用Windows NT对所有网络服务进行带外认证

　　防止拒绝服务型攻击，包括SYN Flood、IP地址哄骗和Ping-of-Death

五、Cisco PIX防火墙的安装流程

　　1. 将PIX安放至机架，经检测电源系统后接上电源，并加电主机。

　　2. 将CONSOLE口连接到PC的串口上，运行HyperTerminal程序从CONSOLE口进入PIX系统;此时系统提示pixfirewall>。

　　3. 输入命令:enable,进入特权模式，此时系统提示为pixfirewall#。

　　4. 输入命令: configure terminal,对系统进行初始化设置。

　　5. 配置以太口参数:

　　interface ethernet0 auto (auto选项表明系统自适应网卡类型 )interface ethernet1 auto

　　6. 配置内外网卡的IP地址:

　　ip address inside ip_address netmask

　　ip address outside ip_address netmask

　　7. 指定外部地址范围:

　　global 1 ip_address-ip_address

　　8. 指定要进行要转换的内部地址:

　　nat 1 ip_address netmask

　　9. 设置指向内部网和外部网的缺省路由

　　route inside 0 0 inside_default_router_ip_address

　　route outside 0 0 outside_defau
lt_router_ip_address

　　10. 配置静态IP地址对映:

　　static outside ip_address inside ip_address

　　11. 设置某些控制选项:

　　conduit global_ip port protocol foreign_ip global_ip 指的是要控制的地址

　　port 指的是所作用的端口，其中0代表所有端口

　　protocol 指的是连接协议，比如:TCP、UDP等

　　foreign_ip 表示可访问global_ip的外部ip，其中表示所有的ip。

　　12. 设置telnet选项:

　　telnet local_ip

　　local_ip 表示被允许通过telnet访问到pix的ip地址(如果不设此项， PIX的配置只能由consle方式进行)。

　　13. 将配置保存:

　　wr mem

　　14. 几个常用的网络测试命令:

　　#ping

　　#show interface 查看端口状态

　　#show static 查看静态地址映射

六、PIX与路由器的结合配置

　　(一)、PIX防火墙

　　1、设置PIX防火墙的外部地址:

　　ip address outside 131.1.23.2

　　2、设置PIX防火墙的内部地址:

　　ip address inside 10.10.254.1

　　3、设置一个内部计算机与Internet上计算机进行通信时所需的全局地址池:

　　global1 131.1.23.10-131.1.23.254

　　4、允许网络地址为10.0.0.0的网段地址被PIX翻译成外部地址:

　　nat 110.0.0.0

　　5、网管工作站固定使用的外部地址为131.1.23.11:

　　static 131.1.23.11 10.14.8.50

　　6、允许从RTRA发送到到网管工作站的系统日志包通过PIX防火墙:

　　conduit 131.1.23.11514 udp 131.1.23.1 255.255.255.255

　　7、允许从外部发起的对邮件服务器的连接(131.1.23.10):

　　mailhost 131.1.23.10 10.10.254.3

　　8、允许网络管理员通过远程登录管理IPX防火墙:

　　telnet 10.14.8.50

　　9、在位于网管工作站上的日志服务器上记录所有事件日志:

　　syslog facility 20.7

　　syslog host 10.14.8.50

　　(二)、路由器RTRA

　　RTRA是外部防护路由器，它必须保护PIX防火墙免受直接攻击，保护FTP/HTTP服务器，同时作为一个警报系统，如果有人攻入此路由器，管理可以立即被通知。

　　1、阻止一些对路由器本身的攻击

　　no service tcps mall-servers

　　2、强制路由器向系统日志服务器发送在此路由器发生的每一个事件

BR>logging trapde bugging

　　3、此地址是网管工作站的外部地址，路由器将记录所有事件到此主机上:

　　logging 131.1.23.11

　　4、保护PIX防火墙和HTTP/FTP服务器以及防卫欺骗攻击(见存取列表):

　　enable secret xxxxxxxxxxx

　　interface Ethernet 0

　　ipaddress 131.1.23.1 255.255.255.0

　　interfaceSerial 0

　　ip unnumbered ethernet 0

　　ip access-group 110 in

　　5、禁止任何显示为来源于路由器RTRA和PIX防火墙之间的信息包，这可以防止欺骗攻击:

　　access-list 110 deny ip 131.1.23.0 0.0.0.255 anylog

　　6、防止对PIX防火墙外部接口的直接攻击并记录到系统日志服务器任何企图连接PIX防火墙外部接口的事件:

　　access-list 110 deny ip any host 131.1.23.2 log

　　
　　7、允许已经建立的TCP会话的信息包通过:

　　access-list 110 permit tcp any 131.1.23.0 0.0.0.255 established

　　8、允许和FTP/HTTP服务器的FTP连接:

　　access-list 110 permit tcp any host 131.1.23.3 eq ftp

　　9、允许和FTP/HTTP服务器的FTP数据连接:

　　access-list 110 permit tcp any host 131.1.23.2 eq ftp-data

　　10、允许和FTP/HTTP服务器的HTTP连接:

　　access-list 110 permit tcp any host 131.1.23.2 eq www

　　11、禁止和FTP/HTTP服务器的别的连接并记录到系统日志服务器任何企图连接FTP/HTTP的事件:

　　access-list 110 deny ip any host 131.1.23.2 log

　　12、允许其他预定在PIX防火墙和路由器RTRA之间的流量:

　　access-list 110 permit ip any 131.1.23.0 0.0.0.255

　　13、限制可以远程登录到此路由器的IP地址:

　　line vty 0 4

　　login

　　password xxxxxxxxxx

　　access-class 10 in

　　14、只允许网管工作站远程登录到此路由器，当你想从Internet管理此路由器时，应对此存取控制列表进行修改:

　　access-list 10 permit ip 131.1.23.11

(三)、路由器RTRB

　　RTRB是内部网防护路由器，它是你的防火墙的最后一道防线，是进入内部网的入口。

　　1、记录此路由器上的所有活动到网管工作站上的日志服务器，包括配置的修改

　　logging trap debugging

　　logging 10.14.8.50

　　2、允许通向网管工作站的系统日志信息:

　　interface Ethernet 0

　　ip address 10.10.254.2 255.255.255.0

　　no ip proxy-arp

　　ip access-group 110 in

　　access-list 110 permit udp host 10.10.254.0 0.0.0.255

　　3、禁止所有别的从PIX防火墙发来的信息包:

　　access-list 110 deny ip any host 10.10.254.2 log

　　4、允许邮件主机和内部邮件服务器的SMTP邮件连接:

　　access-list permit tcp host 10.10.254.31 0.0.0.0 0.255.255.255 eq smtp

　　5、禁止别的来源与邮件服务器的流量:

　　access-list deny ip host 10.10.254.31 0.0.0.0 0.255.255.255

　　6、防止内部网络的信任地址欺骗:

　　access-list deny ip any 10.10.254.0 0.0.0.255

　　7、允许所有别的来源于PIX防火墙和路由器RTRB之间的流量:

　　access-list permit ip 10.10.254.0 0.0.0.255 10.0.0.0 0.255.255.255

　　8、限制可以远程登录到此路由器上的IP地址:

　　line vty 0 4

　　login

　　password xxxxxxxxxx

　　access-class 10 in

　　9、只允许网管工作站远程登录到此路由器，当你想从Internet管理此路由器时，应对此存取控制列表进行修改:

　　access-list 10 permit ip 10.14.8.50

　　按以上设置配置好PIX防火墙和路由器后，PIX防火墙外部的攻击者将无法在外部连接上找到可以连接的开放端口，也不可能判断出内部任何一台主机的IP地址，即使告诉了内部主机的IP地址，要想直接对它们进行Ping和连接也是不可能的。这样就可以对整个内部网进行有效的保护。

包括赛事日程表、小组赛战况、小组赛积分表、淘汰赛战况、淘汰赛对阵图等。
小组赛、淘汰赛的积分、胜负计算公式已经写好，只需在“赛事日程表”中填写好比赛结果即可。

点击下载此文件

就在一个月黑风高的夜晚，当全国的老百姓都沉睡在梦乡的时候，一个蓄谋已久的行动――燃油涨价又开始了。第二天当善良的人们展开双眼，才发现我们又一次失去了最后将自己爱车的油箱加满的机会。我们国家的燃油价格已经连续涨价了N次，虽然大家都已经麻木不仁了，但是今天早上看到了来自发改委的有关负责人的言论，还是让我这个一贯心平静气的内向性格的平民布衣怒火中烧，咬断虫牙！下面，针对发改委的官方言论，借助本人微薄的一点石油知识，进行一次现场辩论。

观点一：本次提价是为缩小国内外成品油价差

　　试问，那一次提价，你们不是为了缩小国内外成品油的价格差呢？这个回答太没有新意，拜托下次找一个更好更新颖更有创意的好点子来懵一懵我们好了。我知道国外的汽油价格贼高，我们国内却一直享受着低油价，但是你应该早点告诉我国内外价格差距到底有多大才是呀？什么？4月17日原油期货收盘价格突破每桶70美元大关，你怎么老是了＝那期货的数据来说事呀，这当中的炒作成分太大了，还有，你直接告诉我一公升多少银子就是了，老是用桶这样一个单位来计量，虽然也算是国际接轨，但是我不懂呀，是木桶，水桶还是horse桶？现在价格到了70美元，所以你们就涨价了，前一段时间，价格跌落60美元以下，你们怎么没有降价呢？“缩小国内外成品油价差，促进国民经济平稳健康发展，国家再次提高了成品油价格”。涨价可以促进稳定，切，这个道理有点新颖，那么降价肯定会破坏稳定了，那我们国家还到处去开采石油，去跨国寻找石油做什么？直接涨价到20元的单价，这样和谐社会肯定提前建立起来了。

　　观点二：开采企业部分超额利润将上缴中央财政

　　首先看到这两组数字，我就开始发蒙，一是：2005年中石油、中石化分别实现净利润1334亿元和396亿元，比上年增长28.4%和23%。二是2005年，上述两个公司用于这部分的资金投入分别达1248亿元和466亿元。中石油看来还厚道一点，因为它去年将净利润的93.6％拿出来进行投资，中石化的就太慷慨了，不但把自己全年的净利润全部投出，而且还倒贴了70亿元，那每一个中石化的员工岂不是要把过去下发的奖金退回给企业？今年315日国务院才开始决定开征石油特别收益金，在原油价格上涨到每桶40美元以上时，将原油开采企业获得的一部分超额利润收缴中央财政。以前的利润呢？对于这些纳税人的血汗钱，能否每年进行一次财务公告，将每一笔超过万元的资金使用情况向全国人民通报，这个每一个纳税人都应该知晓的权利。

　　观点三：涨价是否与石油巨头垄断相关

　　对于上述观点，这个负责人没有给出直接答案，但是分析言论的含义，显然是无关的成分居多。我所知道我们国家有很多地下炼油厂，他们通过二次炼油，生产出的燃油价格品质与目前国有企业销售的货色基本相当，而售价不足3元的单价。这中间的原因我不想深究，但是现在国内几乎所有的加油站都成为了清一色的字号，即便如此，他们彼此之间还有巨大差异，比如加盟店虽然打出了国字旗号，但是在燃油吃紧的时候却得不到厂家的供应。更有趣的是很多地方都出现了连续没有燃油可以提供的现象，我们的石油巨头却拼命解说说不可能出现油荒。其实这当中的勾当很清楚，就是囤油待到涨价再来销售，这就是垄断行业的作法，这样的企业怎么能否配上“国有”的旗号？

　　观点四：成品油这类商品不在听证目录

　　对于听证一词，我们早就麻木了，因为目前中国所有的听证会，一定涨价会，从来没有哪一个听证会的结果是让商品的价格降下来的。所以听证会就是相关政府部们对老百姓进行再度剥削的最好挡箭牌而已。公共交通、邮政、电信，城市供水、供电、供热、燃气等价格与收费都可以列为听证项目，而油价上涨却不再听证的范围，真是一个很有道理的事情，对于关键事务，百姓可以无知情权！因为既然大家都知道听证会就是涨价会，那么如果率先得知要进行燃油涨价的听证，那作为普通老百姓来说，肯定会拼命搜集全家所有能够盛装液体且避免挥发的所有容器，在最短的时间内将汽油加满加足，最大限度的抵御油价上涨带来的冲击。我们没有囤油的仓库，也没有购买指标神通广大的本领，只有这么一点点小小的要求，难道都不能满足么？

　　观点五：国内外消费者油价承担如何比较

　　终于有了比较的数据：目前英国汽油零售价为每升0.898英镑，折合人民币为每升12.8元；法国汽油零售价为每升1.214欧元，折合人民币为每升12元，均比我国汽油平均零售价高两倍左右。美国各种税收在零售价格中所占比重为20%左右，普通汽油价格为每升6.11元，比国内汽油平均价格高35%左右。看看吧，我们国家的老百姓原来很幸福了，怎么这样的幸福我们一点都没有感觉出来呢？因为呀，英国、法国和美国的人均年收入都超过了2万美元甚至更多多，我们呢？2千美元都木有！我们用别人1/10的收入，享受着高出别人35%的汽油，我们容易么？政府制定政策，为什么以为向比我们发达数十年的国家进行比较，为什么不和产油的俄罗斯比较一下，人家月收入700元人民币教授依然可以开着20年的拉达潇洒地走着，我们呢？还有那些过路费、过桥费、养路费等等，既是选择一款用水作为燃料地汽车进行全国旅游，也会被这些苛捐杂税折腾倒调，你们搞发展改革的人士们，怎么不考虑一下这些？

　　观点六：国内油价为何要与国际接轨

　　什么都要接轨了，不过轨道不太一样。别人是时速500公里以上的磁悬浮轨道，我们是时速不足50公里的米轨！油价是否一定要和国际接轨？这似乎是一个颠扑不破的真理。但是我要说：一是既然2005年我们石油净进口为1.36亿吨，占石油全部消费量的42.9%。那么我们接轨的部分应该是这里的42.9％，我们还有57.1％的大部分是我们能够自己解决的，自己的东西，难道也要采取国际上的高价钱？人家那些拉美产油国家的石油比自来水还便宜，因为人家能够自给，我们为什么连自己的部分也要接轨呢？二是我们燃油的品质接轨了么？一位用我们国家的高硫汽油和国际上的超级无铅汽油进行比较，东施也要和西施竞聘选美？简直要笑S我了！我们国家的燃油品质差是不争的事实，否则你们中石化、中石油还拼命往里面搁置什么添加剂做什么？国外汽车公司总是用落后的发动机来装配国产的新车，他们最充足的理由就是燃油品质太差！你们拿出这样的石油，却卖出了国际接轨的价格，真是够黑的了，现在还在这里堂而皇之地大放厥词，真是“哇呀呀，看斧头！”

自从家里用了液晶电视后，PC就装了MCE连液晶观看电影，几个月下来，更新了一些补丁，安装的程序也多了，关机居然关不了，重新装系统吧，也挺烦的，今天写了个批处理，效果还不错，结合MCE遥控器，又可以躺在床上关机了。

方法：

在桌面新建poweroff.bat，内容如下：

tskill explorer                           //杀死explorer进程，可以写成tskill [PID]，但是explorer每次开机PID都不一样，因此干脆用进程名explorer

shutdown -s -f -t 00               //不给提示立即强行关机，-s是关闭本地计算机，-f是强行关闭正在使用的其他程序 -t是在几秒内关机，我这写着00是立马关机之意!

这不是透明的裙子，而是裙子上所印的花样。现在正在日本流行, 马上流行到美国了！先让您有个心理准备，不要到时在街上惊得心脏病发作!