近日，笔者在对公司的路由器、交换机进行调试的时候，发现了一个奇怪的现象，那就是工作正常的Cisco 6509忽然不能用远程Telnet管理了，显示的信息是连接已关闭。

　　笔者只好到中心机房使用CONSOLE线连接路由器，发现使用CONSOLE控制台可以正常登录到Cisco 6509上。随后，笔者使用“sh user”命令查到原来是Telnet的连接线程太多，超出了规定的同时连接数以致无法建立新的Telnet连接。笔者马上使用“clear line vty 连接号”命令(连接号为0到5的数字)清除Telnet连接，在执行了6条清除连接命令后就清除了所有的Telnet连接，现在就可以正常地使用Telnet命令远程管理路由器了。

　　谁知好景不长，没过几天，Cisco 6509又不能使用Telnet进行登录了，而且还是因为连接线程数量太多。经过反复测试，笔者发现造成这个故障的原因是管理员远程登录Cisco 6509后，在退出时没有使用正常的退出命令“exit”，而是直接点击管理窗口右上方的关闭按钮，这就造成当前用户实际上仍然没有从路由器中退出，在路由器中，连接没有真正断开。时间一长，当Telnet的连接数量超过路由器配置的最大连接数时，就会产生无法用Telnet进行登录的故障。

　　由此可见，大家在退出路由器或交换机的时候，一定要使用正确的退出命令“exit”，而不能直接点击“关闭”按钮。

#p#

Netflow的处理机制

从发明之初思科公司的Netflow技术就已完全融入了IOS操作系统中。由于Netflow技术支持几乎所有类型的网络端口类型，所以每台内置有Netflow 功能的思科网络设备都可以作为网络中一台能够测量、采集和输出网络流量和流向管理信息的实时数据采集器。而且因为Netflow实现的管理功能是由网络设备本身完成的，所以运营商无需购买额外的硬件设备，也无需为安装这些硬件设备占用宝贵的网络端口或改变网络链路的连接关系。这些都将转化成对网络运营成本的大幅度降低，对运营商级的大型网络优势尤其明显。

同时作为一种网络通信的宏观分析工具，Netflow技术并不分析网络中每一个数据包中包含的具体信息，只是对传送的数据流的特性进行检测，这就确保了Netflow技术具有极大的规模可扩展性：支持高速网络端口和大型的电信网络。

为进一步提高Netflow技术对网络流量/流向信息进行采集和统计的效率和灵活性，Netflow还引进了多级的处理流程，如下图所示：

图1 NetFlow的处理流程

在预处理阶段，Netflow可以首先根据网络管理的需要对特定级别的数据流进行过滤或对高速网络端口进行数据包抽样，这样可以在确保需要的管理信息被采集和统计的同时，减少网络设备的处理负荷，增加全系统的可扩展性。

在后处理阶段，Netflow可以选择把采集到的数据流原始统计信息全部输出，由上层管理服务器统一接收后再进行数据的分类处理和汇总；也可以选择由网络设备自身对原始统计信息进行多种形式的数据汇聚，只把汇总后的统计结果发送给上层管理服务器。由网络设备进行原始统计信息的汇聚可以大大减少网络设备输出的数据量，降低对上层管理服务器的配置要求，提高上层管理系统的扩展性和工作效率。

Netflow支持同时向两个管理服务器地址输出采集到的网络流量和流向统计信息，输出数据的方式有三种：

1. 简单高效UDP传输协议方式（传统方式）。但由于采用了UDP协议，数据传输的可靠性是不保证的。
2. SNMP MIB方式。管理服务器可以通过SNMP协议访问网络设备Netflow MIB库中存储的数据流Top N统计结果。
3. 可靠的SCTP传输协议方式。利用SCTP传输协议，支持拥塞识别，重传和排队机制，确保Netflow统计结果数据正确发送给上层管理服务器。

Netflow的版本演进

在Netflow技术的演进过程中，思科公司一共开发出了5个主要的实用版本，即：

• Netflow V1，为Netflow技术的第一个实用版本。支持IOS 11.1，11.2，11.3和12.0，但在如今的实际网络环境中已经不建议使用
• Netflow V5，增加了对数据流BGP AS信息的支持，是当前主要的实际应用版本。支持IOS 11.1CA和12.0及其后续IOS版本
• Netflow V7，思科Catalyst交换机设备支持的一个Netflow版本，需要利用交换机的MLS或CEF处理引擎。
• Netflow V8，增加了网络设备对Netflow统计数据进行自动汇聚的功能（共支持11种数据汇聚模式），可以大大降低对数据输出的带宽需求。支持IOS12.0(3)T，12.0(3)S12.1及其后续IOS版本。
• Netflow V9，一种全新的灵活和可扩展的Netflow数据输出格式，采用了基于模板（Template）的统计数据输出。方便添加需要输出的数据域和支持多种Netflow新功能，如Multicase Netflow，MPLS Aware Netflow，BGP Next Hop V9，Netflow for IPv6等。支持IOS12.0(24)S和12.3T及其后续IOS版本。在2003年思科公司的Netflow V9还被IETF组织从5个候选方案中确定为IPFIX（IP Flow Information Export）标准。

#p#

Netflow数据输出格式

下面对网络流量和流向分析系统中最常使用的Netflow V5数据输出的数据包格式进行一个简单介绍。
下图为Netflow输出数据包的包头格式：

图2 Netflow V5输出数据包的包头格式

下图为包含在每个 Netflow V5输出数据包中的具体数据流的流量和流向统计信息的数据格式：

图3 Netflow V5输出数据包中每个数据流的具体流量和流向统计信息格式

Netflow V9的数据输出格式与V5有较大区别，主要是因为Netflow V9采用了基于模板式的数据输出方式。网络设备在进行Netflow V9格式的数据输出时会向上层管理服务器分别发送数据包模板和数据流纪录。数据包模板确定了后续发送的数据流纪录数据包的格式和长度，便于管理服务器对后续数据包的处理。同时为避免传输过程中出现丢包或错误，网络设备会定期重复发送数据包模板给上层管理服务器。

3 如何利用Netflow技术进行互联网的安全管理

利用Netflow技术，运营商管理员主要可以实现对网络异常通信的检测，重点防范DDoS攻击和大范围的蠕虫病毒发作，建议的处理流程如下：

• 管理准备阶段：预先在网络设备上启动Netflow，并把Netflow采集到的网络通信流量和流向数据发送给运营商安全管理中心部署的相应Netflow分析和安全管理系统。管理系统通过分析日常Netflow采集到的统计数据，可以事先掌握网络的流量分布状况以及全网通信的正常基线，并以此为依据为日后可能出现的通信异常进行评估。
• 攻击发现和识别阶段：由于Netflow管理代理是内嵌在网络设备中的，当网络流量突然出现异常时，Netflow可以迅速做出反应。异常通信的流量和流向统计信息可以被实时汇总到管理中心的安全管理系统。通过分析，管理系统可以区分出异常流量的具体属性，包括异常出现的时刻，通信的来源地址和目的地地址的分布，占用端口的分布状况，通信流量的峰值，持续的时间等等。
• 攻击确认和分类阶段：根据分析出的异常通信的具体属性，以及与网络通信正常基线的比对，管理员可以快速定性出现的通信异常是否为网络安全攻击、确定安全攻击的类型和评估本次攻击的危险程度及可能造成的影响范围。对会造成大范围网络影响甚至业务瘫痪的恶性安全攻击需要进行实时告警。
• 攻击追踪阶段：在确定安全攻击的类型和危险级别后，为便于在源头阻塞安全攻击，需要为进一步澄清安全攻击出现的原始来源以及除主要攻击源外是否还存在其它安全危险来源。管理员可以利用管理系统对Netflow采集到的原始攻击数据包的具体特性进行察看，查找最先出现攻击的数据源，以及随时间的发展是否还有其它新的安全攻击数据源的出现。
• 处理阶段：在确认了所有主要安全攻击的来源后，管理员可根据本次所受攻击的特点采用相应技术手段实施事故应急处理，如为出现攻击的网络端口配置入向或出向的访问控制列表，对特定类型通信流量进行限速等。通过这些技术措施可以对网络安全攻击流量进行阻断，防止其对大范围网络的运行造成影响。
• 后续监视阶段：在安全攻击被阻断后，全网所有设备中的Netflow管理代理还会继续对网络通信流量进行采集和检测，汇总到管理系统的统计数据可以评估是否所有攻击都已经被屏蔽，并持续监视是否还有新的安全攻击的出现。

为更好地帮助电信运营商利用思科的Netflow技术对互联网进行有效的安全管理，思科公司还与多家业界知名的安全管理系统开发商达成了技术合作，合作利用Netflow技术开发电信级的网络安全管理系统。现在市场上支持思科Netflow技术的网络安全管理系统有多种，如思科公司自己提供的Cisco Info Center管理系统，以及如Arbor Networks公司，Mazu Networks公司，Adlex公司等多家第三方厂商提供的安全管理软件。

#p#2 UPS的分类RIPT>

UPS分为后备式、在线式和在线互动式三种。

（1）后备式UPS

当市电正常时由市电给负载设备供电，并给蓄电池浮动充电。当市电电压波动超过规定值时时启动逆变电路将电池的直流电转换为稳定的交流电输出，给负载供电。后备式UPS平时由于是由市电直接给负载供电，所以无法消除市电电网上存在的浪涌、尖峰、频率漂移等电气污染，而且容量比较小。但是它的技术简单，成本较低，价格相对低廉，用于许多对电压稳定性要求不高的场合。

(2)在线式UPS

在线式UPS一直使其逆变器处于工作状态，市电正常时它是首先通过电路将市电交流电转换为直流电，再通过逆变器将直流电转换为正弦波交流电给负载供电，在供电情况下还能对输出进行稳压及防止电磁干扰，而且还通过充电电路给蓄电池浮动充电。当停电时，则使用电池的直流电，所以逆变器不存在切换时间，所以适用于对电源有较高要求的场合。

(3)在线互动式UPS

这是一种智能化的UPS，除具有在线式UPS的功能外，还可以自动侦测市电的电压，可以提供高精度的正弦波交流电输出。在线互动式UPS还具有与计算机进行通讯的功能，有的还可以连接互联网，可以通过网络对UPS进行管理，而且可以根据计算机及网络系统的工作状况自动调整UPS本身的工作状况和输出状况，并且在UPS出现故障时，可以通知计算机系统，启动冗余的备用电源，所以称之为智能型UPS。一般用于网络系统中的服务器、路由器和大型骨干网的交换机以及部分工作站等对电源要求较高的场合。它将大大提高计算机系统的可靠性。

RIPT>3 UPS技术的发展与应用RIPT>

3.1智能型UPS

随着电子技术的不断发展，有很多新技术、新元件不断应用到UPS产品中，所以UPS产品的发展己经走出了一味追求高电气性能的老路，开始追求产品的高可靠性和高稳定性。

现在的在线互动式UPS都具备通过RS232/RS485或者是以太网的网络接口与计算机进行通讯的功能，配合相应软件就能对UPS进行本地/远程监控，大大提高了UPS的可用性。在计算机网络及通信事业迅猛发展的推动下，当今的UPS已在大量引进微处理器监控技术的基础上发展成为智能化UPS。所谓“智能化UPS”是指在UPS主机上增设通信接口，利用它经过专用的通信电缆或经过调制解调器等与计算机服务器、路由器、网关等设备上相对应的通信接口相连，建立起双向通信调控管理功能，并安装能适应各种操作平台的电源监控软件，管理UPS的运行、操作，提高UPS效能的供电系统。智能化UPS能实时监视UPS的输入、输出电压，输入、输出频率，输出电流，电池电压，UPS主机温度等运行参数，在UPS故障或电池供电规定时间后将计算机中的数据自动存档，退出并关闭系统，能通过传呼、E－mail等方式通知系统管理人员等。对于网络化智能UPS还必须配置相应的网卡，将UPS管理纳入网络管理系统中来。

3.2 UPS的智能化管理

为了达到UPS对整个局域网系统进行保护的目的，UPS的智能化管理功能显得尤为重要。因此，内部配置微处理器的智能化UPS是当今UPS发展的一个新趋势。它通过UPS内部硬件与软件的结合，并利用接口或网络专用的适配器，由系统管理员对UPS的运行工作状态进行远程化和智能化控制，以大幅度提高UPS的功能。例如，它可以用作监控UPS的输出电压频率、市电电压频率、蓄电池状态以及故障记录等。它还可以通过软件对蓄电池进行检测、自动充放电以及遥控开关机等。

3.3 UPS的监控技术

要实现UPS的管理，就必须建立有效的电源管理系统，即建立物理上的信息传输接口和逻辑上的通信协议以及UPS信息数据库的管理。一个完整的电源管理系统，通常由电源管理软件和智能附件组成，也就是说，智能UPS的监控是由硬件、软件监控两部分组成。

一般UPS监控技术可分为以下几种：

(1)基于串行通信方式的监控技术

串行通信是传统的UPS软件/附件通信方式，多用于中小功率UPS解决方案，其优点是安全、可靠、安装简单，但这种通信方式的局限性是通信距离短，主要用于局域网中UPS的监控及其所连接计算机的安全保护。

(2)基于Web的监控技术

基于Web的软件/附件监控技术是随着Internet的发展而诞生的，附件主要是Web/SNMP Management Card。在数据中心或大型计算机网络中，UPS通常要保护多台计算机。通过TCP/IP与计算机及UPS通信，同时系统管理员通过Web浏览器对分布在WAN范围内的UPS进行监控，定期产生UPS的状态报告。

(3）基于SNMP的监控技术

基于SNMP的软件/附件监控技术与网管产品的发展有紧密的联系，主要用于UPS数量多、分布广的企业级网络中。给UPS配上网卡或直接将SNMP适配器集成到UPS里，把UPS作为网络中的独立节点进行控制和诊断。

(4）基于Modem/电话/寻呼网络方式的监控技术

拨号上网，使用Internet浏览器实现UPS的远程监控，以各种方式显示UPS的工作状态，定时开/关机、自检，在故障情况下通过多种方式报警，恢复后，取消关机动作，并发出相应的信息。

3.4 UPS监控技术的发展趋势

UPS系统与Internet技术的紧密结合，使其增加整个信息系统的易用性比以往任何时候都更有意义。虽然传统技术如电话拨号、SNMP、Telnet等已实现了对UPS的远程和集中监控，但这些技术通常要求特定的设备配置和操作技能。随着Internet的普及，使用浏览器监控UPS将成为UPS监控技术的主流。

由于未来网络的广泛化和全球化，必然带来网络的复杂化，多种形式的网络系统将连接在一起。作为网络系统的一部分，要求UPS能够实现在各种网络平台上的监控，而且随着Internet、Intranet和电子商务的高速发展，用户对网络可用性的要求会越来越高，使UPS从对网络关键设备的保护延伸至对整个网络路径的保护。因此，监控软件除了要提供完善的监控保护功能，还必须支持主流操作系统、跨平台操作并具有即插即用的功能；支持主流数据库及应用软件；与主流服务器管理工具集成；与主流网络管理系统集成。

#p#4 局域网UPS的选择RIPT>

4.1 UPS选择的原则

一个典型的局域网通常拥有服务器、网络交换机、路由器、网管工作站、数据存储器、PC、打印机以及其他各种终端设备。由于局域网的节点数量多，而且各个节点可能分散在不同的地点，这样，就会有位于不同地点的多台UPS需要维护，因此，在局域网中使用的UPS有其自身的特点，在选型和配置时必须加以注意。

通常，局域网的中心机房应采用10～20kVA中等容量的UPS集中供电方式，并采用双机热备份或并联供电，确保供电安全可靠。而对于局域网中众多的无法集中设置的PC、路由器、打印机等设备，应采用分散式的在现场设置小容量UPS提供电力保障，且应首选对电网没有污染的在线式UPS装置。这是因为后备式或互动式UPS都属于低端产品，其可靠性和故障率等技术性能都不如在线式UPS；另外在遇到比较恶劣的电网环境时，基本上无法抑制电网干扰传至网络设备，容易影响局域网正常工作。

4.2　选择UPS的注意事项

应合理设置局域网内负载设备的布局，尽可能采用单台大容量UPS集中供电方式。这样，不仅可以降低UPS单位功率的投资费用，而且还可以减少UPS的故障率，并有利于提高蓄电池的利用率。

要选用允许市电电源波动范围大一些的UPS机型，并要考虑局域网的不同配送电系统的具体要求，以适应其带载的能力。

要选用过载能力强和具有抗输出短路能力的UPS机型，这样可以减少UPS切换操作的机率，以降低UPS的故障率。

在局域网中要适当配置抗瞬态浪涌的抑制器，以便更好地保护网络设备，并选用具有输出零线对地线电位低的UPS机型，以获得尽可能高的数据传输速率，且降低数据传输的误码率。

要根据局域网中不同等级的集中监控要求，配置具有不同网络控制功能的智能化UPS机型，以适应网络功能的需求，同时也可以避免投资浪费现象。

RIPT>5 UPS的维护RIPT>

现在UPS得到了广泛的应用，UPS是使用简单但也容易损坏的设备，科学的使用和维护UPS可以提高UPS的可用性，延长UPS的使用寿命，在正常使用情况下应注意以下几点：

(1)不要用来接电感性负载，因为电感性负载在启动时的启动电流往往是正常工作时额定电流的3～5倍，容易引起UPS的瞬时过载，影响UPS的寿命。

(2)不要满载运行，长期满载使用UPS，将直接影响UPS的寿命，选用UPS时一般以负载额定功率的120％～150％选用UPS，如1kW负载一般选用1.5kW的UPS。

(3)维护好蓄电池，多数UPS采用的蓄电池是免维护的密封式铅酸电池。虽说是免维护，但如果维护不当，同样会缩短电池的寿命。对于UPS特别是后备式的UPS，如当地长期不停电，要定期（一般三个月）人为的中断供电，使蓄电池对负载放电，以保持电池蓄电性能，当然这个过程需要专人负责。

(4）注意防雷击，要保证UPS的有效屏蔽和良好接地，以保护UPS内部电路和电池的安全。

(5）注意用电安全，不要随意对UPS产品进行拆装维护，以免发生安全事故。因为UPS的输出一般是交流220V，存在触电危险，所以一般要请专业服务人员来维修。

RIPT>6 结语RIPT>

正确、安全使用和维护好UPS，将使计算机、网络及其它应用UPS供电的设备得到安全的保护，提高负载设备和数据的可靠性和稳定性，给用户一个放心的使用环境，以创造良好的社会效益和经济效益。

#p#二、Windows 2000 Server操作系统RIPT>

1.准备工作

在微软的网址上（www.microsoft.com），有安装协议的简单说明，现将原文摘录如下：

1.Save the file tpipv6-001205.exe from the download page to a local folder (for example, C:\IPv6TP).

2.From the local folder (C:\IPv6TP), run Tpipv6-001205.exe and extract the files to the same location.

3.From the local folder (C:\IPv6TP), run Setup.exe -x and extract the files to a subfolder of the current folder (for example, C:\IPv6TP\files).

4.From the folder containing the extracted files (C:\IPv6TP\files), open the file Hotfix.inf in a text editor.

5.In the [Version] section of the Hotfix.inf file, change the line NTServicePackVersion=256 to NTServicePackVersion=1024, and then save changes.

6.From the folder containing the extracted files (C:\IPv6TP\files), run Hotfix.exe.

7.Restart the computer when prompted.

8.After the computer is restarted, continue installing the Microsoft IPv6 Technology Preview for Windows 2000 starting at step 3 of the "Installing the IPv6 Technology Preview for Windows 2000" section of either the Introduction to the Microsoft IPv6 Technology Preview for Windows 2000 or the Readme.htm file in the folder containing Setup.exe (C:\IPv6TP).

2.安装配置

完成了准备工作之后，还需要给以太网卡添加IPv6协议族，这里也摘录部分原文。

1.From the Windows 2000 desktop, click Start, point to Settings, and then click Network and Dial-up Connections. As an alternative, you can right-click My Network Places, and then click Properties.

2.Right-click the Ethernet-based connection to which you want to add the IPv6 protocol, and then click Properties. Typically, this connection is named Local Area Connection.

3.Click Install.

4.In the Select Network Component Type dialog box, click Protocol, and then click Add.

5.In the Select Network Protocol dialog box, click Microsoft IPv6 Protocol and then click OK.

6.Click Close to close the Local Area Connection Properties dialog box.

3.测试网络连通性

测试的前题条件与之前在Linux环境下的配置类似。

Windows NT系列的操作系统中，一个网卡可以对应于多个接口（interface），一个interface对应一个ipv6地址，Windows 2000 Server也是如此。因此，当一个网卡通常具有多个ipv6地址的时候（至少有本地链路地址，通常还有站点地址，全球地址，ipv4向ipv6过渡阶段的过渡型地址），Windows 2000 Server就用多个interface来对应之，一般情况下一个网卡有4个interface。而其中之一对应的是全球地址，在手动给网卡配置全球地址的时候也要注意对应该接口，该接口的特点是其描述包含“本地连接”或“Local Area Connection”的关键字。

假如“本地连接”对应的接口序号是2，那么切换到命令提示符下，用如下命令手动加入ipv6地址：

ipv6 adu 2/2001:250:3000:1::1:1，2表示该操作对应于interface 2。

假设路由器地址是2001:250:3000:1:2c0:95ff:fee0:473f，用如下命令手动加入静态路由表：

ipv6 rtu ::/0 2/2001:250:3000:1:2c0:95ff:fee0:473f，这里后面的地址表示路由器的IPv6地址，::/0相当于Redhat Linux 9中静态路由表的default gw。

运行命令：ping6 2001:250:3000:1:2c0:95ff:fee0:473f，如果能够收到回应，则表示本机与ipv6路由器之间的ipv6网络是互通的。

#p#三、Windows XP Professional操作系统RIPT>

安装协议方面简单了许多，只需要进入命令模式，然后运行ipv6 install即可。其他操作与Windows 2000 Server类似。

RIPT>四、FreeBSD UnixRIPT>

安装协议的方法也很简单，只需要修改/etc/rc.conf文件，新添加一行即可：

ipv6_enable="YES"

配置地址也可以在该文件中完成，如新增加一行：

ipv6_ifconfig_fxp0="2001:250:3000:1::1:1 prefixlen 64"

就给网卡fxp0进行了一个网络前缀为64，全球地址为2001:250:3000:1::1:1的配置。

其它网络连通性测试的操作与以上所述的原理一样，就不在赘述。

希望本篇文章能够给读者在下一代互联网（NGN，Next Generation Network）核心协议--IPv6协议方面带来一些兴趣。