2022年网络管理之网关篇 .pdf

网络管理之网关篇大家都知道，从一个房间走到另一个房间，必然要经过一扇门。同样，从一个网络向另一个网络发送信息，也必须经过一道“关口”，这道关口就是网关。Gateway）就是一个网络连接到另一个网络的“关口”。TCP/IP 协议里的网关是最常用的，在这里我们所讲的“网关”均指TCP/IP 协议下的网关。IP 地址。比如有网络A 和网络 B，网络 A的 IP 地址范围为“ 192.168.1.1192. 168.1.254”，子网掩码为255.255.255. 0；网络 B的 IP 地址范围为“ 192.168.2.1192.168.2.254”，子网掩码为255.255.255.0。在没有路由器的情况下，两个网络之间是不能进行TCP/IP 通信的，即使是两个网络连接在同一台交换机（或集线器）上，TCP/IP 协议也会根据子网掩码（255.255.255.0）判定两个网络中的主机处在不同的网络里。而要实现这两个网络之间的通信，则必须通过网关。如果网络A中的主机发现数据包的目的主机不在本地网络中，就把数据包转发给它自己的网关，再由网关转发给网络 B的网关，网络B 的网关再转发给网络B 的某个主机（如附图所示）。网络B向网络 A转发数据包的过程也是如此。所以说， 只有设置好网关的IP 地址， TCP/IP 协议才能实现不同网络之间的相互通信。那么这个 IP 地址是哪台机器的 IP 地址呢？ 网关的 IP 地址是具有路由功能的设备的IP 地址，具有路由功能的设备有路由器、启用了路由协议的服务器（实质上相当于一台路由器）、代理服务器（也相当于一台路由器）。有多个网关。默认网关的意思是一台主机如果找不到可用的网关，就把数据包发给默认指定的网关，由这个网关来处理数据包。现在主机使用的网关，一般指的是默认网关。如何设置默认网关是网关的电脑，从而无法与其他网络的电脑通信。默认网关的设定有手动设置和自动设置两种方式。1. 手动设置TCP/IP 参数基本不变的情况，比如只有几台到十几台电脑。因为这种方法需要在联入网络的每台电脑上设置“默认网关”，非常费劲，一旦因为迁移等原因导致必须修改默认网关的 IP 地址，就会给网管带来很大的麻烦，所以不推荐使用。Windows 9x 中，设置默认网关的方法是在“网上邻居”上右击，在弹出的菜单中点击“属性”，在网络属性对话框中选择“ TCP/IP协议”，点击“属性”，在“默认网关”选项卡中填写新的默认网关的IP地址就可以了。IP 地址，而不能填写其他网段中的 IP 地址。2. 自动设置DHCP 服务器来自动给网络中的电脑分配IP 地址、子网掩码和默认网关。这样做的好处是一旦网络的默认网关发生了变化时，只要更改了DHCP 服务器中默认网关的设置名师资料总结 - - -精品资料欢迎下载 - - - - - - - - - - - - - - - - - - 名师精心整理 - - - - - - - 第 1 页，共 35 页 - - - - - - - - - ，那么网络中所有的电脑均获得了新的默认网关的IP 地址。这种方法适用于网络规模较大、TCP/IP 参数有可能变动的网络。MS Proxy）的客户端程序来自动获得，其原理和方法和DHCP 有相似之处。由于篇幅所限，就不再详述了。网关曾经是很容易理解的概念。在早期的因特网中，术语网关即指路由器。路由器是网络中超越本地网络的标记，这个走向未知的“大门”曾经、现在仍然用于计算路由并把分组数据转发到源始网络之外的部分，因此，它被认为是通向因特网的大门。随着时间的推移，路由器不再神奇，公共的基于IP 的广域网的出现和成熟促进了路由器的成长。现在路由功能也能由主机和交换集线器来行使，网关不再是神秘的概念。现在，路由器变成了多功能的网络设备，它能将局域网分割成若干网段、互连私有广域网中相关的局域网以及将各广域网互连而形成了因特网，这样路由器就失去了原有的网关概念。然而术语网关仍然沿用了下来，它不断地应用到多种不同的功能中，定义网关已经不再是件容易的事。目前，主要有三种网关：协议网关应用网关安全网关唯一保留的通用意义是作为两个不同的域或系统间中介的网关，要克服的差异本质决定了需要的网关类型。一、协议网关协议网关通常在使用不同协议的网络区域间做协议转换。这一转换过程可以发生在OSI 参考模型的第2 层、第 3 层或 2、3 层之间。但是有两种协议网关不提供转换的功能：安全网关和管道。由于两个互连的网络区域的逻辑差异，安全网关是两个技术上相似的网络区域间的必要中介。如私有广域网和公有的因特网。这一特例在后续的“组合过滤网关”中讨论，此部分中集中于实行物理的协议转换的协议网关。1、管道网关管道是通过不兼容的网络区域传输数据的比较通用的技术。数据分组被封装在可以被传输网络识别的帧中，到达目的地时，接收主机解开封装，把封装信息丢弃，这样分组就被恢复到了原先的格式。例如在下图中，IPv4 数据由路由器A 封装在 IPv6 分组中，通过I Pv6 网络传递给一个IPv4 主机，路由器解开IPv6 的封装，把还原的IPv4 数据传递给目的主机。img 管道技术只能用于3 层协议，从 SNA到 IPv6 。虽然管道技术有能够克服特定网络拓扑限制的优点，它也有缺点。管道的本质可以隐藏不该接受的分组，简单来说，管道可以通过封装来攻破防火墙，把本该过滤掉的数据传给私有的网络区域。2、专用网关很多的专用网关能够在传统的大型机系统和迅速发展的分布式处理系统间建立桥梁。典型的专用网关用于把基于PC的客户端连到局域网边缘的转换器。该转换器通过X.25 网络提供对大型机系统的访问。下图演示了从PC客户端到网关的过程，网关将IP 数据通过 X. 25 广域网传送给大型机。img 这些网关通常是需要安装在连接到局域网的计算机上的便宜、单功能的电路板，这使其价格很低且很容易升级。在上图的例子中，该单功能的网关将大型机时代的硬连线的终端和终端服务器升级为PC机和局域网。3、2 层协议网关2 层协议网关提供局域网到局域网的转换，它们通常被称为翻译网桥而不是协议网关。在使用不同帧类型或时钟频率的局域网间互连可能就需要这种转换。(1) 帧格式差异名师资料总结 - - -精品资料欢迎下载 - - - - - - - - - - - - - - - - - - 名师精心整理 - - - - - - - 第 2 页，共 35 页 - - - - - - - - - IEEE802 兼容的局域网共享公共的介质访问层，但是它们的帧结构和介质访问机制使它们不能直接互通。如下图：img 翻译网桥利用了2 层的共同点，如MAC 地址，提供帧结构不同部分的动态翻译，使它们的互通成为了可能。第一代局域网需要独立的设备来提供翻译网桥，如今的多协议交换集线器通常提供高带宽主干，在不同帧类型间可作为翻译网桥，如下图所示：img 现在翻译网桥的幕后性质使这种协议转换变得模糊，独立的翻译设备不再需要，多功能交换集线器天生就具有2 层协议转换网关的功能。替代使用仅涉及2 层的设备如翻译网桥或多协议交换集线器的另一种选择是使用3 层设备：路由器。长期以来路由器就是局域网主干的重要组成部分，见下图。如果路由器用于互连局域网和广域网，它们通常都支持标准的局域网接口，经过适当的配置，路由器很容易提供不同帧类型的翻译。这种方案的缺点是如果使用3 层设备路由器需要表查询，这是软件功能，而象交换机和集线器等2 层设备的功能由硬件来实现，从而可以运行得更快。img (2)传输率差异很多过去的局域网技术已经提升了传输速率，例如，IEEE 802.3 以太网现在有10Mbps 、100Mbps和 1bps 的版本，它们的帧结构是相同的，主要的区别在于物理层以及介质访问机制，在各种区别中，传输速率是最明显的差异。令牌环网也提升了传输速率，早期版本工作在 4Mbps速率下，现在的版本速率为16Mbps，100Mbps的 FDDI是直接从令牌环发展来的，通常用作令牌环网的主干。这些仅有时钟频率不同的局域网技术需要一种机制在两个其它方面都兼容的局域网间提供缓冲的接口，现今的多协议、高带宽的交换集线器提供了能够缓冲速率差异的健壮的背板，如下图：img 如今的多协议局域网可以为同一局域网技术的不同速率版本提供内部速率缓冲，还可以为不同的 802 兼容的局域网提供2 层帧转换。路由器也可以做速率差异的缓冲工作，它们相对于交换集线器的长处是它们的内存是可扩展的。其内存缓存进入和流出分组到一定程度以决定是否有相应的访问列表（过滤）要应用，以及决定下一跳，该内存还可以用于缓存可能存在于各种网络拓扑间的速率差异，如下图：img 二、应用网关应用网关是在使用不同数据格式间翻译数据的系统。典型的应用网关接收一种格式的输入，将之翻译，然后以新的格式发送，如下图。输入和输出接口可以是分立的也可以使用同一网络连接。img 一种应用可以有多种应用网关。如Email 可以以多种格式实现，提供Email 的服务器可能需要与各种格式的邮件服务器交互，实现此功能唯一的方法是支持多个网关接口。下图所示为一个邮件服务器可以支持的几种网关接口。img 应用网关也可以用于将局域网客户机与外部数据源相连，这种网关为本地主机提供了与远程交互式应用的连接。将应用的逻辑和执行代码置于局域网中客户端避免了低带宽、高延迟的广域网的缺点，这就使得客户端的响应时间更短。应用网关将请求发送给相应的计算机，获取数据，如果需要就把数据格式转换成客户机所要求的格式，见下图所示。img 本文不对所有的应用网关配置作详尽的描述，这些例子应该概括了应用网关的各种分支。它们通常位于网络数据的交汇点，为了充分地支持这样的交汇点，需要包括局域网、广域网在内的多种网络技术的结合。三、安全网关安全网关是各种技术有趣的融合，具有重要且独特的保护作用，其范围从协议级过滤到十分复杂的应用级过滤。防火墙主要有三类：名师资料总结 - - -精品资料欢迎下载 - - - - - - - - - - - - - - - - - - 名师精心整理 - - - - - - - 第 3 页，共 35 页 - - - - - - - - - 分组过滤电路网关应用网关注意：三种中只有一种是过滤器，其余都是网关。这三种机制通常结合使用。过滤器是映射机制，可区分合法的和欺骗包。每种方法都有各自的能力和限制，要根据安全的需要仔细评价。1、包过滤器包过滤是安全映射最基本的形式，路由软件可根据包的源地址、目的地址或端口号建立许可权，对众所周知的端口号的过滤可以阻止或允许网际协议如FTP、rlogin等。过滤器可对进入和 / 或流出的数据操作，在网络层实现过滤意味着路由器可以为所有应用提供安全映射功能。作为（逻辑意义上的）路由器的常驻部分，这种过滤可在任何可路由的网络中自由使用，但不要把它误解为万能的，包过滤有很多弱点，但总比没有好。包过滤很难做好，尤其当安全需求定义得不好且不细致的时候更是如此。这种过滤也很容易被攻破。包过滤比较每个数据包，基于包头信息与路由器的访问列表的比较来做出通过 / 不通过的决定，这种技术存在许多潜在的弱点。首先，它直接依赖路由器管理员正确地编制权限集，这种情况下，拼写的错误是致命的，可以在防线中造成不需要任何特殊技术就可以攻破的漏洞。即使管理员准确地设计了权限，其逻辑也必须毫无破绽才行。虽然设计路由似乎很简单，但开发和维护一长套复杂的权限也是很麻烦的，必须根据防火墙的权限集理解和评估每天的变化，新添加的服务器如果没有明确地被保护，可能就会成为攻破点。随着时间的推移，访问权限的查找会降低路由器的转发速度。每当路由器收到一个分组，它必须识别该分组要到达目的地需经由的下一跳地址，这必将伴随着另一个很耗费CP U的工作：检查访问列表以确定其是否被允许到达该目的地。访问列表越长，此过程要花的时间就越多。包过滤的第二个缺陷是它认为包头信息是有效的，无法验证该包的源头。头信息很容易被精通网络的人篡改，这种篡改通常称为“欺骗”。包过滤的种种弱点使它不足以保护你的网络资源，最好与其它更复杂的过滤机制联合使用，而不要单独使用。2、链路网关链路级网关对于保护源自私有、安全的网络环境的请求是很理想的。这种网关拦截TCP 请求，甚至某些UDP请求，然后代表数据源来获取所请求的信息。该代理服务器接收对万维网上的信息的请求，并代表数据源完成请求，如下图。实际上，此网关就象一条将源与目的连在一起的线，但使源避免了穿过不安全的网络区域所带来的风险。img 这种方式的请求代理简化了边缘网关的安全管理，如果做好了访问控制，除了代理服务器外所有出去的数据流都被阻塞。理想情况下，此服务器有唯一的地址，不属于任何内部使用的网段。这绝对使无意中微妙地暴露给不安全区域的信息量最小化，只有代理服务器的网络地址可被外部得到，而不是安全区域中每个联网的计算机的网络地址。3、应用网关应用网关是包过滤最极端的反面。包过滤实现的是对所有穿过网络层包过滤设备的数据的通用保护，而应用网关在每个需要保护的主机上放置高度专用的应用软件，它防止了包过滤的陷阱，实现了每个主机的坚固的安全。应用网关的一个例子是病毒扫描器，这种专用软件已经成了桌面计算的主要产品之一。它在启动时调入内存并驻留在后台，持续地监视文件不受已知病毒的感染，甚至是系统文件的改变。病毒扫描器被设计用于在危害可能产生前保护用户不受到病毒的潜在损害名师资料总结 - - -精品资料欢迎下载 - - - - - - - - - - - - - - - - - - 名师精心整理 - - - - - - - 第 4 页，共 35 页 - - - - - - - - - 。这种保护级别不可能在网络层实现，那将需要检查每个分组的内容，验证其来源，确定其正确的网络路径，并确定其内容是有意义的还是欺骗性的。这一过程将产生无法负担的过载，严重影响网络性能。4、组合过滤网关使用组合过滤方案的网关通过冗余、重叠的过滤器提供相当坚固的访问控制，可以包括包、链路和应用级的过滤机制。这样的安全网关最普通的实现是象岗哨一样保护私有网段边缘的出入点，通常称为边缘网关或防火墙。这一重要的责任通常需要多种过滤技术以提供足够的防卫。下图所示为由两个组件构成的安全网关：一个路由器和一个处理机。结合在一起后，它们可以提供协议、链路和应用级保护。img 这种专用的网关不象其它种类的网关一样，需要提供转换功能。作为网络边缘的网关，它们的责任是控制出入的数据流。显然的，由这种网关联接的内网与外网都使用IP 协议，因此不需要做协议转换，过滤是最重要的。保护内网不被非授权的外部网络访问的原因是显然的。控制向外访问的原因就不那么明显了。在某些情况下，是需要过滤发向外部的数据的。例如，用户基于浏览的增值业务可能产生大量的WAN 流量，如果不加控制，很容易影响网络运载其它应用的能力，因此有必要全部或部分地阻塞此类数据。联网的主要协议IP 是个开放的协议，它被设计用于实现网段间的通信。这既是其主要的力量所在，同时也是其最大的弱点。为两个IP 网提供互连在本质上创建了一个大的IP 网，保卫网络边缘的卫士- 防火墙 - 的任务就是在合法的数据和欺骗性数据之间进行分辨。5、实现中的考虑实现一个安全网关并不是个容易的任务, 其成功靠需求定义、仔细设计及无漏洞的实现。首要任务是建立全面的规则，在深入理解安全和开销的基础上定义可接受的折衷方案，这些规则建立了安全策略。安全策略可以是宽松的、严格的或介于二者之间。在一个极端情况下，安全策略的基始承诺是允许所有数据通过，例外很少，很易管理，这些例外明确地加到安全体制中。这种策略很容易实现，不需要预见性考虑，保证即使业余人员也能做到最小的保护。另一个极端则极其严格，这种策略要求所有要通过的数据明确指出被允许，这需要仔细、着意的设计，其维护的代价很大，但是对网络安全有无形的价值。从安全策略的角度看，这是唯一可接受的方案。在这两种极端之间存在许多方案，它们在易于实现、使用和维护代价之间做出了折衷，正确的权衡需要对危险和代价做出仔细的评估。网络高手必经之路网络经典命令行 - Windows 2k/2003 Server （前面的是基本的东西，建议仔细看看！）1. 最基本，最常用的，测试物理网络的ping 192.168.0.8 t ，参数 t 是等待用户去中断测试名师资料总结 - - -精品资料欢迎下载 - - - - - - - - - - - - - - - - - - 名师精心整理 - - - - - - - 第 5 页，共 35 页 - - - - - - - - - 2. 查看 DNS 、IP 、Mac等A.Win98：winipcfg B.Win2000 以上： Ipconfig/all C.NSLOOKUP：如查看河北的DNS C:nslookup Default Server: Address: 202.99.160.68 server 202.99.41.2 则将 DNS改为了 41.2 Server: Address: 202.99.160.68 Non-authoritative answer: Name: Address: 202.99.160.212 3. 网络信使（经常有人问的 ）Net send 计算机名 /IP|* (广播 ) 传送内容，注意不能跨网段net stop messenger 停止信使服务，也可以在面板服务修改net start messenger 开始信使服务4. 探测对方对方计算机名，所在的组、域及当前用户名（追捕的工作原理）ping a IP t ，只显示 NetBios 名nbtstat -a 192.168.10.146 比较全的stat -a 显示出你的计算机当前所开放的所有端口netstat -s -e 比较详细的显示你的网络资料，包括TCP 、UDP 、ICMP 和 IP 的统计等6. 探测 arp 绑定（动态和静态）列表，显示所有连接了我的计算机，显示对方IP 和 MAC 地址arp a 7. 在代理服务器端捆绑 IP 和 MAC 地址，解决局域网内盗用IP ！：ARP s 192.168.10.59 00 50ff 6c0875 解除网卡的 IP 与 MAC 地址的绑定：arp -d 网卡 IP 8. 在网络邻居上隐藏你的计算机（让人家看不见你！）net config server /hidden:yes net config server /hidden:no 则为开启9. 几个 net 命令A.显示当前工作组服务器列表 net view，当不带选项使用本命令时，它就会显示当前域或网络上的计算机上的列表。名师资料总结 - - -精品资料欢迎下载 - - - - - - - - - - - - - - - - - - 名师精心整理 - - - - - - - 第 6 页，共 35 页 - - - - - - - - - 比如：查看这个IP 上的共享资源，就可以C:net view 192.168.10.8 在 192.168.10.8 的共享资源资源共享名类型 用途注释网站服务 Disk 命令成功完成。B.查看计算机上的用户帐号列表 net user C.查看网络链接 net use 例如： net use z: 192.168.10.8movie 将这个 IP 的 movie 共享目录映射为本地的Z 盘D.记录链接 net session 例如：C:net session 计算机用户名客户类型打开空闲时间192.168.10.110 ROME Windows 2000 2195 0 00:03:12 192.168.10.51 ROME Windows 2000 2195 0 00:00:39 命令成功完成。10. 路由跟踪命令A.tracert B.pathping 除了显示路由外，还提供325S 的分析，计算丢失包的11. 关于共享安全的几个命令A.查看你机器的共享资源 net share B.手工删除共享（可以编个bat 文件，开机自运行，把共享都删了！）net share c$ /d net share d$ /d net share ipc$ /d net share admin$ /d 注意 $后有空格。C.增加一个共享：c:net share mymovie=e:downloadsmovie /users:1 mymovie 共享成功。同时限制链接用户数为1 人12. 在 DOS行下设置静态IP A.设置静态 IP CMD netsh netshint interfaceip 名师资料总结 - - -精品资料欢迎下载 - - - - - - - - - - - - - - - - - - 名师精心整理 - - - - - - - 第 7 页，共 35 页 - - - - - - - - - interface ipset add 本地链接 static IP地址 mask gateway B.查看 IP 设置interface ipshow address Arp 显示和修改“地址解析协议(ARP)”缓存中的项目。ARP 缓存中包含一个或多个表，它们用于存储 IP 地址及其经过解析的以太网或令牌环物理地址。计算机上安装的每一个以太网或令牌环网络适配器都有自己单独的表。如果在没有参数的情况下使用，则 arp 命令将显示帮助信息。语法arp -a InetAddr -N IfaceAddr -g InetAddr -N IfaceAddr -d InetAddr IfaceAddr -s InetAddr EtherAddr IfaceAddr 参数-a InetAddr -N IfaceAddr 显示所有接口的当前 ARP 缓存表。要显示指定 IP 地址的 ARP 缓存项，请使用带有 InetAddr 参数的 arp -a ，此处的 InetAddr 代表指定的 IP 地址。要显示指定接口的 ARP 缓存表，请使用 -N IfaceAddr 参数，此处的 IfaceAddr 代表分配给指定接口的 IP 地址。 -N 参数区分大小写。-g InetAddr -N IfaceAddr 与 -a 相同。-d InetAddr IfaceAddr 删除指定的 IP 地址项，此处的 InetAddr 代表 IP 地址。对于指定的接口，要删除表中的某项，请使用IfaceAddr 参数，此处的 IfaceAddr 代表分配给该接口的 IP 地址。要删除所有项，请使用星号 (*) 通配符代替 InetAddr。-s InetAddr EtherAddr IfaceAddr 向 ARP 缓存添加可将 IP 地址 InetAddr 解析成物理地址 EtherAddr 的静态项。要向指定接口的表添加静态 ARP 缓存项，请使用 IfaceAddr 参数，此处的 IfaceAddr 代表分配给该接口的 IP 地址。/? 在命令提示符显示帮助。注释InetAddr 和 IfaceAddr 的 IP 地址用带圆点的十进制记数法表示。物理地址 EtherAddr 由六个字节组成，这些字节用十六进制记数法表示并且用连字符隔开（比如，00-AA-00-4F-2A-9C ）。通过 -s 参数添加的项属于静态项，它们不会 ARP 缓存中超时。 如果终止 TCP/IP 协议后再启动， 这些项会被删除。要创建永久的静态 ARP 缓存项，请在批处理文件中使用适当的 arp 命令并通过“计划任务程序”在启动时运行该批处理文件。只有当网际协议 (TCP/IP) 协议在网络连接中安装为网络适配器属性的组件时，该命令才可用。范例要显示所有接口的 ARP 缓存表，可键入：arp -a 对于指派的 IP 地址为 10.0.0.99 的接口，要显示其 ARP 缓存表，可键入：arp -a -N 10.0.0.99 名师资料总结 - - -精品资料欢迎下载 - - - - - - - - - - - - - - - - - - 名师精心整理 - - - - - - - 第 8 页，共 35 页 - - - - - - - - - 要添加将 IP 地址 10.0.0.80 解析成物理地址 00-AA-00-4F-2A-9C 的静态 ARP 缓存项，可键入：arp -s 10.0.0.80 00-AA-00-4F-2A-9C At 计划在指定时间和日期在计算机上运行命令和程序。at 命令只能在“计划”服务运行时使用。如果在没有参数的情况下使用，则 at 列出已计划的命令。语法at ComputerName ID /delete|/delete /yes at ComputerName hours:minutes /interactive /every:date,.|/next:date,. command 参数computername 指定远程计算机。如果省略该参数，则 at 计划本地计算机上的命令和程序。ID 指定指派给已计划命令的识别码。/delete 取消已计划的命令。如果省略了 ID ，则计算机中所有已计划的命令将被取消。/yes 删除已计划的事件时，对来自系统的所有询问都回答“是”。hours:minutes 指定命令运行的时间。该时间用 24 小时制（即从 00:00 午夜 到 23:59 ）的 小时 : 分钟格式表示。/interactive 对于在运行 command 时登录的用户 , 允许 command 与该用户的桌面进行交互。/every: 在每个星期或月的指定日期（例如，每个星期四，或每月的第三天）运行 command 命令。date 指定运行命令的日期。可以指定一周的某日或多日（即，键入 M、T、W 、Th、F、S、Su）或一个月中的某日或多日（即，键入从 1 到 31 之间的数字）。用逗号分隔多个日期项。如果省略了 date ，则 at 使用该月的当前日。/next: 在下一个指定日期（比如，下一个星期四）到来时运行 command 。command 指定要运行的 Windows 命令、程序（ .exe 或 .com 文件）或批处理程序（.bat 或 .cmd 文件）。当命令需要路径作为参数时，请使用绝对路径，也就是从驱动器号开始的整个路径。如果命令在远程计算机上，请指定服务器和共享名的通用命名协定 (UNC) 符号，而不是远程驱动器号。/? 在命令提示符显示帮助。注释Schtasks 是功能更为强大的超集命令行计划工具，它含有 at 命令行工具中的所有功能。对于所有的命令行计划任务，都可以使用 schtasks 来替代 at 。有关 schtasks 的详细信息，请参阅“相关主题”。名师资料总结 - - -精品资料欢迎下载 - - - - - - - - - - - - - - - - - - 名师精心整理 - - - - - - - 第 9 页，共 35 页 - - - - - - - - - 使用 at 使用 at 命令时，要求您必须是本地 Administrators 组的成员。加载 Cmd.exe 在运行命令之前，At 不会自动加载 Cmd.exe （命令解释器）。如果没有运行可执行文件 (.exe)，则在命令开头必须使用如下所示的方法专门加载 Cmd.exe：cmd /c dir c:test.out。查看已计划的命令当不带命令行选项使用 at 时，计划任务会出现在类似于以下格式的表中：Status ID Day Time Command Line OK 1 Each F 4:30 PM net send group leads status due OK 2 Each M 12:00 AM chkstor check.file OK 3 Each F 11:59 PM backup2.bat 包含标识号 (ID) 当在命令提示下使用带有标识号 (ID) 的 at 命令时， 单个任务项的信息会显示在类似于下面的格式中：Task ID ： 1 Status:OK Schedule:Each F Time of Day:4:30 PM Command:net send group leads status due当计划带有at 的命令（尤其是带有命令行选项的命令）后，要通过键入不带命令行选项的at 来检查该命令语法是否输入正确。如果显示在 “ 命令行 ” 列中的信息不正确，请删除该命令，然后重新键入它。如果还不正确，则可以在重新键入该命令时让它少带些命令行选项。查看结果使用at 的已经计划的命令作为后台程序运行。运行结果不会显示在计算机上。要将输出重定向到文件， 请使用重定向符号( )。如果将输出重定向到文件，则不论是在命令行还是在批处理文件中使用at，都需要在重定向符号之前使用转义符()。例如，要重定向输出到Output.text 文件，则要键入：at 14:45 c:test.bat c:output.txt 执行命令的当前目录为systemroot 文件夹更改系统时间在使用at 命令计划了要运行的命令之后，如果更改了计算机的系统时间，则通过键入不带名师资料总结 - - -精品资料欢迎下载 - - - - - - - - - - - - - - - - - - 名师精心整理 - - - - - - - 第 10 页，共 35 页 - - - - - - - - - 命令行选项的at 可使at 计划程序与修改后的系统时间同步。存储命令已计划的命令存储在注册表中。这样，如果重新启动“ 计划 ” 服务，则不会丢失计划任务。连接到网络驱动器对于需要访问网络的计划作业，请不要使用已重新定向的驱动器。“ 计划 ” 服务可能无法访问这些重定向的驱动器，或者， 在该计划任务运行时如果有其他用户登录，则这些重定向的驱动器可能不会出现。因此，对于计划作业，请使用UNC 路径。例如：at 1:00pm my_backup servershare 请不要使用下述语法（其中x: ?表示由用户建立的连接）：at 1:00pm my_backup x: 如果计划了一个使用驱动器号的at 命令来连接共享目录，则应包含一个at 命令以使在完成该驱动器的使用时断开与驱动器的连接。如果不能断开与驱动器的连接，则在命令提示下，所指派的驱动器号将不可用。范例要显示Marketing 服务器上已计划的命令列表，请键入：at marketing 要了解服务器Corp 上标识号为3 的命令的详细信息，请键入：at corp 3 要 计 划 在 上 午8:00 于Corp 服 务 器 上 运 行 网 络 共 享 命 令 ， 并 将 该 列 表 重 定 向 到Maintenance 服务器的Corp.txt 文件（位于Reports 共享目录下）中，请键入：at corp 08:00 cmd /c net share reports=d:marketingreports maintenancereportscorp.txt 为了在每五天后的午夜将Marketing 服务器的硬盘驱动器备份到磁带驱动器，首先创建名为 Archive.cmd 的批处理程序（它含有备份命令），然后计划该批处理程序的运行，为此请键入：at marketing 00:00 /every:5,10,15,20,25,30 archive 要取消当前服务器上已计划的所有命令，请按下述方法清除at 计划信息：at /delete 如果要运行的命令不是可执行(.exe) 文件，请按如下所示的方法在该命令之前使用cmd /c 来加载Cmd.exe：cmd /c dir c:test.out 。Rsh 在运行RSH 服务的远程计算机上运行命令。Windows XP 和 Windows 2000 不提供RSH 名师资料总结 - - -精品资料欢迎下载 - - - - - - - - - - - - - - - - - - 名师精心整理 - - - - - - - 第 11 页，共 35 页 - - - - - - - - - 服务。 Windows 2000 Server Resource Kit 提供名为Rshsvc.exe 的 RSH 服务。使用不带参数的rsh 显示帮助。语法rsh Host -l UserName -n Command 参数Host 指定运行command 的远程计算机。-l UserName 指定远程计算机上使用的用户名。在省略情况下，使用当前登录用户的名称。-n 将 rsh 的输入重定向到NULL 设备。这防止本地计算机命令结果的显示。Command 指定要运行的命令。/? 在命令提示符显示帮助。注释标准操作rsh 命令将标准输入复制到远程command，将远程command 的标准输出复制到其标准输出，将远程command 的标准错误复制到其标准错误。Rsh 通常在远程命令终止时终止。使用重定向符号为了使重定向在远程计算机上发生，要以引号引住重定向符号（例如 ） 。如果不使用引号，重定向会在本地计算机发生。例如，以下命令将远程文件“RemoteFile ”附加到本地文件“ LocalFile”中：rsh othercomputer cat remotefile localfile 以下命令将远程文件Remotefile 附加到远程文件otherremotefile 中：rsh othercomputer cat remotefile otherremotefile 使用rsh 在使用已登录到某个域并且运行Windows XP Professional 的计算机时，该域的主域控制器必须可用于确认用户名或rsh 命令失败。.rhosts 文件.rhosts 文件通常许可UNIX 系统的网络访问权限。.rhosts 文件列出可以访问远程计算机的计算机名及关联的登录名。在正确配置了.rhosts 文件的远程计算机上运行rcp、rexec 或rsh 命令时，您不必提供远程计算机的登录和密码信息。.rhosts 文件是一个文本文件，该文件中每一行为一个条目。条目由本地计算机名、本地用户名和有关该条目的所有注释组成。每个条目均由制表符或空格分开，注释用符号(#) 打头。例如：名师资料总结 - - -精品资料欢迎下载 - - - - - - - - - - - - - - - - - - 名师精心整理 - - - - - - - 第 12 页，共 35 页 - - - - - - - - - host7 #This computer is in room 31A .rhosts 文件必须在远程计算机的用户主目录中。有关远程计算机.rhosts 文件特定执行的详细信息，请参阅远程系统的文档。只有当网际协议(TCP/IP) 协议在网络连接中安装为网络适配器属性的组件时，该命令才可用。范例要以名称admin1 在远程计算机vax1 上执行telcon 命令，请键入：rsh vax1 -l admin1 telcon Tftp 向运行平凡文件传输协议(TFTP) 服务或daemon 的远程计算机 （尤其是运行UNIX 的计算机）传输文件或从运行平凡文件传输协议(TFTP) 服务或daemon 的远程计算机（尤其是运行UNIX 的计算机）传输文件。语法tftp -i Host get | put Source Destination 参数-i 指定二进制图像传送模式（也称为八进制模式）。在二进制图像模式下，文件以一个字节为单位进行传输。在传送二进制文件时使用该模式。如果省略了-i，文件将以ASCII 模式传送。这是默认的传送模式。该模式将行尾(EOL) 字符转换为指定计算机的适当格式。传送文本文件时使用该模式。如果文件传送成功，将显示数据传输率。Host 指定本地或远程计算机。put 将本地计算机上的Destination 文件传送到远程计算机上的Source 文件。 因为TFTP 协议不支持用户身份验证， 所以用户必须登录到远程计算机，同时文件在远程计算机上必须可写。get 将远程计算机上的Destination 文件传送到本地计算机上的