1、什么时候使用多路由协议？
　　
　　当两种不同的路由协议要交换路由信息时，就要用到多路由协议。当然，路由再分配也可以交换路由信息。下列情况不必使用多路由协议：
　　
　　从老版本的内部网关协议（ Interior Gateway Protocol，I G P）升级到新版本的I G P。
　　
　　你想使用另一种路由协议但又必须保留原来的协议。
　　
　　你想终 止内部路由，以免受到其他没有严格过滤监管功能的路由器的干扰。
　　
　　你在一个由多个厂家的路由器构成的环境下。
　　
　　什么是距离向量路由协议？
　　
　　距离向量路由协议是为小型网络环境设计的。在大型网络环境下，这类协议在学习路由及保持路由将产生较大的流量，占用过多的带宽。如果在9 0秒内没有收到相邻站点发送的路由选择表更新，它才认为相邻站点不可达。每隔30秒，距离向量路由协议就要向相邻站点发送整个路由选择表，使相邻站点的路由选择表得到更新。这样，它就能从别的站点（直接相连的或其他方式连接的）收集一个网络的列表，以便进行路由选择。距离向量路由协议使用跳数作为度量值，来计算到达目的地要经过的路由器数。
　　
　　例如，R I P使用B e l l m a n – F o r d算法确定最短路径，即只要经过最小的跳数就可到达目的地的线路。最大允许的跳数通常定为1 5。那些必须经过1 5个以上的路由器的终端被认为是不可到达的。
　　
　　距离向量路由协议有如下几种： IP RIP、IPX RIP、A p p l e Talk RT M P和I G R P。
　　
　　什么是链接状态路由协议？
　　
　　链接状态路由协议更适合大型网络，但由于它的复杂性，使得路由器需要更多的C P U资源。它能够在更短的时间内发现已经断了的链路或新连接的路由器，使得协议的会聚时间比距离向量路由协议更短。通常，在1 0秒钟之内没有收到邻站的H E L LO报文，它就认为邻站已不可达。一个链接状态路由器向它的邻站发送更新报文，通知它所知道的所有链路。它确定最优路径的度量值是一个数值代价，这个代价的值一般由链路的带宽决定。具有最小代价的链路被认为是最优的。在最短路径优先算法中，最大可能代价的值几乎可以是无限的。
　　
　　如果网络没有发生任何变化，路由器只要周期性地将没有更新的路由选择表进行刷新就可以了（周期的长短可以从3 0分钟到2个小时）。
　　
　　链接状态路由协议有如下几种： IP OSPF、IPX NLSP和I S – I S。
　　
　　一个路由器可以既使用距离向量路由协议，又使用链接状态路由协议吗？
　　
　　可以。每一个接口都可以配置为使用不同的路由协议；但是它们必须能够通过再分配路由来交换路由信息。（路由的再分配将在本章的后面进行讨论。）
　　
　　2、什么是访问表？
　　
　　访问表是管理者加入的一系列控制数据包在路由器中输入、输出的规则。它不是由路由器自己产生的。访问表能够允许或禁止数据包进入或输出到目的地。访问表的表项是顺序执行的，即数据包到来时，首先看它是否是受第一条表项约束的，若不是，再顺序向下执行；如果它与第一条表项匹配，无论是被允许还是被禁止，都不必再执行下面表项的检查了。
　　
　　每一个接口的每一种协议只能有一个访问表。
　　
　　支持哪些类型的访问表？
　　
　　一个访问表可以由它的编号来确定。具体的协议及其对应的访问表编号如下：
　　
　　◎I P标准访问表编号：1～9 9
　　
　　◎I P扩展访问表编号：1 0 0～1 9 9
　　
　　◎I P X标准访问表编号：8 0 0～8 9 9
　　
　　◎I P X扩展访问表编号：1 0 0 0～1 0 9 9
　　
　　◎AppleTa l k访问表编号：6 0 0～6 9 9
　　
　　提示在Cisco IOS Release11.2或以上版本中，可以用有名访问表确定编号在1～199的访问表。
　　
　　如何创建IP标准访问表？
　　
　　一个I P标准访问表的创建可以由如下命令来完成： Access-list access list number {permit 　 deny} source [source-mask]
　　
　　在这条命令中：
　　
　　◎access list number：确定这个入口属于哪个访问表。它是从1到9 9的数字。
　　
　　◎permit 　 deny：表明这个入口是允许还是阻塞从特定地址来的信息流量。
　　
　　◎source：确定源I P地址。
　　
　　◎s o u r c e – m a s k：确定地址中的哪些比特是用来进行匹配的。如果某个比特是"1"，表明地址中该位比特不用管，如果是"0"的话，表明地址中该位比特将被用来进行匹配。可以使用通配符。
　以下是一个路由器配置文件中的访问表例子：
　　
　　Router# show access-lists
　　
　　Standard IP access list 1
　　
　　deny 204.59.144.0, wildcard bits 0.0.0.255
　　
　　ermit any

　　3、什么时候使用路由再分配？
　　
　　路由再分配通常在那些负责从一个自治系统学习路由，然后向另一个自治系统广播的路由器上进行配置。如果你在使用I G R P或E I G R P，路由再分配通常是自动执行的。

　　4、什么是管理距离？
　　
　　管理距离是指一种路由协议的路由可信度。每一种路由协议按可靠性从高到低，依次分配一个信任等级，这个信任等级就叫管理距离。对于两种不同的路由协议到一个目的地的路由信息，路由器首先根据管理距离决定相信哪一个协议。
　　
　　5、如何配置再分配？
　　
　　在进行路由再分配之前，你必须首先：
　　
　　1) 决定在哪儿添加新的协议。
　　
　　2) 确定自治系统边界路由器（ASBR）。
　　
　　3) 决定哪个协议在核心，哪个在边界。
　　
　　4) 决定进行路由再分配的方向。
　　
　　可以使用以下命令再分配路由更新（这个例子是针对OSPF的）：
　　
　　router(config-router)#redistribute protocol [process-id] [metric metric – value ] [metric-type type – value ] [subnets]
　　
　　在这个命令中：
　　
　　◎protocol：指明路由器要进行路由再分配的源路由协议。
　　
　　主要的值有： bgp、eqp、igrp、isis、ospf、static [ ip ]、connected和rip。
　　
　　◎process-id：指明OSPF的进程ID。
　　
　　◎metric：是一个可选的参数，用来指明再分配的路由的度量值。缺省的度量值是0。
　　
　　6、为什么确定毗邻路由器很重要？
　　
　　在一个小型网络中确定毗邻路由器并不是一个主要问题。因为当一个路由器发生故障时，别的路由器能够在一个可接受的时间内收敛。但在大型网络中，发现一个故障路由器的时延可能很大。知道毗邻路由器可以加速收敛，因为路由器能够更快地知道故障路由器，因为hello报文的间隔比路由器交换信息的间隔时间短。
　　
　　使用距离向量路由协议的路由器在毗邻路由器没有发送路由更新信息时，才能发现毗邻路由器已不可达，这个时间一般为10～90秒。而使用链接状态路由协议的路由器没有收到hello报文就可发现毗邻路由器不可达，这个间隔时间一般为10秒钟。
　　
　　距离向量路由协议和链接状态路由协议如何发现毗邻路由器？
　　
　　使用距离向量路由协议的路由器要创建一个路由表（其中包括与它直接相连的网络），同时它会将这个路由表发送到与它直接相连的路由器。毗邻路由器将收到的路由表合并入它自己的路由表，同时它也要将自己的路由表发送到它的毗邻路由器。使用链接状态路由协议的路由器要创建一个链接状态表，包括整个网络目的站的列表。在更新报文中，每个路由器发送它的整个列表。当毗邻路由器收到这个更新报文，它就拷贝其中的内容，同时将信息发向它的邻站。在转发路由表内容时没有必要进行重新计算。
　　
　　注意使用IGRP和EIGRP的路由器广播hello报文来发现邻站，同时像OSPF一样交换路由更新信息。EIGRP为每一种网络层协议保存一张邻站表，它包括邻站的地址、在队列中等待发送的报文的数量、从邻站接收或向邻站发送报文需要的平均时间，以及在确定链接断开之前没有从邻站收到任何报文的时间.

　　7、什么是自治系统？
　　
　　一个自治系统就是处于一个管理机构控制之下的路由器和网络群组。它可以是一个路由器直接连接到一个LAN上，同时也连到Internet上；它可以是一个由企业骨干网互连的多个局域网。在一个自治系统中的所有路由器必须相互连接，运行相同的路由协议，同时分配同一个自治系统编号。自治系统之间的链接使用外部路由协议，例如B G P。

　　8、什么是BGP？
　　
　　BGP(Border GatewayProtocol)是一种在自治系统之间动态交换路由信息的路由协议。一个自治系统的经典定义是在一个管理机构控制之下的一组路由器，它使用IGP和普通度量值向其他自治系统转发报文。
　　
　　在BGP中使用自治系统这个术语是为了强调这样一个事实：一个自治系统的管理对于其他自治系统而言是提供一个统一的内部选路计划，它为那些通过它可以到达的网络提供了一个一致的描述。
　　
　　9、BGP支持的会话种类？
　　
　　BGP相邻路由器之间的会话是建立在TCP协议之上的。TCP协议提供一种可靠的传输机制，支持两种类型的会话：
　　
　　o 外部BGP（EBGP）：是在属于两个不同的自治系统的路由器之间的会话。这些路由器是毗邻的，共享相同的介质和子网。
　　
　　o 内部BGP（IBGP）：是在一个自治系统内部的路由器之间的会话。它被用来在自治系统内部协调和同步寻找路由的进程。BGP路由器可以在自治系统的任何位置，甚至中间可以相隔数个路由器。
　　
　　注意"初始的数据流的内容是整个BGP路由表。但以后路由表发生变化时，路由器只传送变化的部分。BGP不需要周期性地更新整个路由表。因此，在连接已建立的期间，一个BGP发送者必须保存有当前所有同级路由器共有的整个BGP路由表。BGP路由器周期性地发送Keep Alive消息来确认连接是激活的。当发生错误或特殊情况时，路由器就发送Notification消息。当一条连接发生错误时，会产生一个 notification消息并断开连接。"-来自RFC11654、BGP操作。
　　
　　10、BGP允许路由再分配吗？
　　
　　允许。因为BGP主要用来在自治系统之间进行路由选择，所以它必须支持RIP、OSPF和 IGRP的路由选择表的综合，以便将它们的路由表转入一个自治系统。BGP是一个外部路由协议，因此它的操作与一个内部路由协议不同。在BGP中，只有当一条路由已经存在于IP路由表中时，才能用NETWORK命令在BGP路由表中创建一条路由。

　　11、如何显示在数据库中的所有BGP路由？
　　
　　要显示数据库中的所有BGP路由，只需在EXEC命令行下输入：
　　
　　how ip bgp paths
　　
　　这个命令的输出可能是：
　　
　　Address Hash Refcount MetricPath
　　
　　0 x 2 9 7 A 9 C 0 2 0 i

　　12、什么是水平分割？
　　
　　水平分割是一种避免路由环的出现和加快路由汇聚的技术。由于路由器可能收到它自己发送的路由信息，而这种信息是无用的，水平分割技术不反向通告任何从终端收到的路由更新信息，而只通告那些不会由于计数到无穷而清除的路由。
　　
　　13、路由环是如何产生的？
　　
　　由于网络的路由汇聚时间的存在，路由表中新的路由或更改的路由不能够很快在全网中稳定，使得有不一致的路由存在，于是会产生路由环。
　　
　　14、什么是度量值？
　　
　　度量值代表距离。它们用来在寻找路由时确定最优路由。每一种路由算法在产生路由表时，会为每一条通过网络的路径产生一个数值（度量值），最小的值表示最优路径。度量值的计算可以只考虑路径的一个特性，但更复杂的度量值是综合了路径的多个特性产生的。一些常用的度量值有：
　　
　　◎跳步数：报文要通过的路由器输出端口的个数。
　　
　　◎Ticks：数据链路的延时（大约1/18每秒）。
　　
　　◎代价：可以是一个任意的值，是根据带宽，费用或其他网络管理者定义的计算方法得到的。
　　
　　◎带宽：数据链路的容量。
　　
　　◎时延：报文从源端传到目的地的时间长短。
　　
　　◎负载：网络资源或链路已被使用的部分的大小。
　　
　　◎可靠性：网络链路的错误比特的比率。
　　
　　◎最大传输单元（MTU）：在一条路径上所有链接可接受的最大消息长度（单位为字节）。
　　
　　IGRP使用什么类型的路由度量值？这个度量值由什么组成？
　　
　　IGRP使用多个路由度量值。它包括如下部分：
　　
　　◎带宽：源到目的之间最小的带宽值。
　　
　　◎时延：路径中积累的接口延时。
　　
　　◎可靠性：源到目的之间最差的可能可靠性，基于链路保持的状态。
　　
　　◎负载：源到目的之间的链路在最坏情况下的负载，用比特每秒表示。
　　
　　◎MTU：路径中最小的M T U值。

　　15、度量值可以修改或调整吗？
　　
　　加一个正的偏移量。这个命令的完整结构如下：可以使用OFFSET-LIST ROUTER子命令
　　
　　为访问表中的网络输入和输出度量值添加一个正的偏移量。
　　
　　offset-list {in　out} offset [access-list] no offset-list {in　out} offset [access-list]
　　
　　如果参数LIST的值是0，那么OFFSET参数将添加到所有的度量值。如果OFFSET的值是0，那么就没有任何作用。对于IGRP来说，偏移量的值只加到时延上。这个子命令也适用于RIP和hello路由协议。
　　
　　使用带适当参数的NO OFFSET- LIST命令可以清除这个偏移量。
　　
　　在以下的例子中，一个使用IGRP的路由器在所有输出度量值的时延上加上偏移量10： offset-list out 10
　　
　　下面是一个将相同的偏移量添加到访问表121上的例子：
　　
　　offset-list out 10 121

　　16、每个路由器在寻找路由时需要知道哪五部分信息？
　　
　　所有的路由器需要如下信息为报文寻找路由：
　　
　　◎目的地址：报文发送的目的主机。
　　
　　◎邻站的确定：指明谁直接连接到路由器的接口上。
　　
　　◎路由的发现：发现邻站知道哪些网络。
　　
　　◎选择路由：通过从邻站学习到的信息，提供最优的（与度量值有关）到达目的地的路径。
　　
　　◎保持路由信息：路由器保存一张路由表，它存储所知道的所有路由信息。
　　
　　17、Cisco路由器支持的路由协议与其他厂家设备的协议兼容吗？
　　
　　除了IGRP和EIGRP，Cisco路由器支持的所有路由协议都与其他厂家实现的相同协议兼容。IGRP和EIGRP是Cisco的专利产品。

　　18、RIP路由表的表项的信息说明了什么？
　　
　　RIP路由表的每一个表项都提供了一定的信息，包括最终目的地址、到目的地的下一跳地址和度量值。这个度量值表示到目的终端的距离（跳步数）。其他的信息也可以包括。
　　
　　路由器问题补充：
　　
　　1、Cisco3600系列路由器目前是否支持广域网接口卡WIC-2T和WIC-2A/S？
　　
　　Cisco3600系列路由器在12.007XK及以上版本支持WIC-2T和WIC-2A/S这两种广域网接口卡。
　　
　　但是需要注意的是：
　　
　　只有快速以太网混合网络模块能够支持这两种广域网接口卡。
　　
　　支持这两种接口卡的网络模块如下所示：
　　
　　NM-1FE2W， NM-2FE2W， NM-1FE1R2W， NM-2W。
　　
　　而以太网混合网络模块不支持，如下所示：
　　
　　NM-1E2W，NM-2E2W， NM1E1R2W。
　　
　　19、Cisco3600系列路由器的NM(4A/S，NM(8A/S网络模块和WIC(2A/S广域网接口卡支持的最大异/同步速率各是多少？
　　
　　这些网络模块和广域网接口卡既能够支持异步，也能够支持同步。支持的最大异步速率均为115.2Kbps，最大同步速率均为128Kbps。

　　20、WIC-2T与WIC-1T的电缆各是哪种？
　　
　　WIC-1T：DB60转V35或RS232、 449等电缆。 如：CAB-V35-MT。
　　
　　WIC-2T：SMART型转V35或RS232、 449等电缆。 如： CAB-SS-V35-MT。
　　
　　21、Cisco 7000系列上的MCE1与Cisco 2600/3600上的E1、 CE1有什么区别？
　　
　　Cisco 7000上的MCE1可配置为E1、 CE1， 而Cisco 2600/3600上的E1、 CE1仅支持自己的功能。
　　
　　22、Cisco 2600系列路由器，是否支持VLAN间路由，对IOS软件有何需求？
　　
　　Cisco(2600系列路由器中，只有Cisco2620和Cisco2621可以支持VLAN间的 路由(百兆端口才支持VLAN间路由)。并且如果支持VLAN间路由，要求IOS软件必须包括IP Plus特性集。
　　
　　23、Cisco3660路由器与3620/3640路由器相比在硬件上有那些不同？
　　
　　不同点如下：
　　
　　* Cisco3660路由器基本配置包括1或2个10/100M自适应快速以太网接口；而Cisco3620/3640基本配置中不包括以太网接口。
　　
　　* Cisco3660路由器支持网络模块热插拔，而 Cisco3620/3640不支持网络模块热插拔。
　　
　　* Cisco3660的冗余电源为内置， 而Cisco3620/3640的冗余电源为外置的。

　　24、为什么3640不能识别NM-1FE2W？
　　
　　需要将IOS升级到12.0.7T
　　
　　交换机问题
　　
　　关于交换机问题：
　　
　　1、Catalyst 35500XL/2950XL的堆叠是如何实现的？
　　
　　a. 需要使用专门的堆叠电缆，1米长或50厘米长(CAB-GS-1M或CAB-GS-50CM)以及专门的千兆堆叠卡GigaStack GBIC (WS-X3550-XL) (该卡已含CAB-GS-50CM 堆叠电缆)。
　　
　　b. 可以选用2种堆叠方法：菊花链法(提供1G的带宽)或点对点法(提供 2G的带宽)。
　　
　　c. 2种方法都可以做备份。
　　
　　d. 菊花链法最多可支持9台交换机的堆叠， 点对点法最多可支持8台。
2、Catalyst 3550 XL系列交换机做堆叠时，是否支持冗余备份？
　　
　　Catalyst3550XL系列交换机的堆叠有两种实现方法：菊花链方式和点到点方式。
　　
　　当使用菊花链方式时，堆叠的交换机依次连接，交换机之间可以达到1Gbps的传输带宽；
　　
　　当使用点到点方式时，需要一台单独的 Catalyst3508G-XL交换机，
　　
　　其余的交换机通过堆叠GBIC卡和堆叠线缆与3508G相连，这种方法最大可以达到2Gbps的全双工传输带宽。 　
　　
　　这两种方法都分别支持堆叠的冗余连接。当使用菊花链连接方式时，冗余连接是通过将最上面的交换机与最下面的交换机用堆叠线缆相连接完成的。而当使用点到点连接时，是通过使用第2台3508交换机来完成的。
　　
　　25、 Catalyst3550 XL的一个千兆口使用堆叠卡做堆叠后， 另外一个千兆口是否可以连接千兆的交换机或千兆的服务器？
　　
　　可以。需使用1000Base-SX GBIC或1000Base-LX/LH GBIC。
　　
　　26、 Ethernet Channel Tech. 可以应用在什么网络设备之间？如何使用？
　　
　　可以应用在交换机之间， 交换机和路由器之间，交换机和服务器之间
　　
　　可以将2个或4个10/100Mbps或1000Mbps端口使用 Ethernet Channel Tech.，达到最多400M(10/100Mbps端口)、4G(1000Mbps端口) 或800M(10/100Mbps端口)、8G(1000Mbps端口) 的带宽。
　　
　　27、Ethernet Channel Technology有什么作用？
　　
　　增加带宽，负载均衡，线路备份

　　28、 当端口设置成 Ethernet Channel时，如何选择线路？
　　
　　根据数据帧的以太网源地址和目的地址最后1位或2位做或运算，决定从哪条链路输出。对于路由器来说是根据网络地址做或运算，以决定链路的输出。
　　
　　29、Ethernet Channel Technology 与 PAgP (Port Aggregation Protocol ) 的区别？
　　
　　PAgP是 Ethernet Channel的增强版，它支持在 Ethernet Channel 上的 Spanning Tree Protocol和Uplink Fast，并支持自动配置 Ethernet Channel 的捆绑。
　　
　　最少需要的电源数 1 2
　　
　　包转发速率 18Mpps 18Mpps
　　
　　背板带宽 24Gbps 60Gbps

　　30、Catalyst4000系列是否支持ISL？
　　
　　从Supervisor Engine Software Release 5.1开始支持。

　　31、Catalyst4000交换机的冗余电源选项4008/2和4008/3有何区别？
　　
　　Catalyst4003交换机机箱上有两个电源插槽，出厂时本身自带一个电源，4008/2是专为其定制的冗余电源。Catalyst4006的机箱上有三个电源插槽，出厂时带有2个电源供电，4008/3是为其定制的专用冗余电源。

　　32、Catalyst 4006的三层交换模块是否不含以太网端口?　　

　　不，Catalyst4006的三层交换模块含有32个10/100自适应端口和2个千兆端口。 在4003上使用时可替代原有的WS-X4232-GB-RJ模块， 从而不影响网络结构。
　　
　　33、Catalyst 4000系列模块化交换机使用千兆交换模块时， 如何选用目前存在的两种交换模块(产品编号如下)？
　　
　　WS-X4306-GB Catalyst 4000 Gigabit Ethernet Module, 6-Ports (GBIC)
　　
　　WS-X4418-GB Catalyst 4000 GE Module, Server Switching 18-Ports (GBIC)
　　
　　这两个模块的使用环境不同
　　
　　WS-X4306-GB是一个6口的千兆交换模块，每个端口独占千兆的带宽，适合做网络的主干，用来连接具有千兆接口的交换机；也可以与具有千兆网卡的服务器相连。
　　
　　WS-X4418-GB 是一个18口的千兆交换模块，其中有两个口是独占千兆的带宽，另外16个口共享8G的全双工的带宽，但每个端口可以突发到千兆。此模块适合在服务器比较集中的地方连接千兆的服务器，而不适合连接网络主干。

　　34、Catalyst 6000系列的背板带宽和包转发速率各为多少？
　　
　　Catalyst 6500系列的背板带宽可扩展到256Gbps， 包转发速率可扩展到150Mpps； Catalyst 6000系列作为一个经济有效的解决方案可提供到32Gbps的背板带宽和15Mpps的包转发速率。
　　
　　35、Catalyst 6000系列的MSFC 要求多少M DRAM ？
　　
　　Catalyst 6000系列IOS软件存放在MSFC里， MSFC要求有128M DRAM。 缺省配置已含128M DRAM。
　　
　　36、Catalyst 6000系列上的插槽是否有限制?
　　
　　除第一个插槽专用于引擎， 第二个插槽可用于备份引擎或线卡， 其它插槽都用于线卡。
　　
　　37、Catalyst 6000系列有几种引擎？
　　
　　Catalyst 6000系列的引擎分为Supervisor Engine 1和Supervisor Engine 1A两种， 其中 Supervisor Engine 1A 有两个特定的备份引擎。其型号分别如下： 型号 描述
　　
　　WS-X6K-SUP1-2GE Catalyst 6000 Supervisor Engine1引擎 含两个千兆端口(需购GBIC)
　　
　　WS-X6K-SUP1A-2GE Catalyst 6000 Supervisor Engine1A引擎 加强的QOS特性， 含两个千兆端口(需购GBIC)
　　
　　WS-X6K-SUP1A-PFC Catalyst 6000 Supervisor Engine1A引擎 含两个千兆端口(需购GBIC)和PFC卡
　　
　　WS-X6K-S1A-PFC/2 Catalyst 6000 Supervisor Engine1A冗余引擎 含两个千兆端口(需购GBIC)和PFC卡
　　
　　WS-X6K-SUP1A-MSFC Catalyst 6000 Supervisor Engine1A引擎 含两个千兆端口(需购GBIC)和MSFC、 PFC卡
　　
　　WS-X6K-S1A-MSFC/2 Catalyst 6000 Supervisor Engine1A冗余引擎， 含两个千兆端口(需购GBIC)和MSFC、 PFC卡

　　38、Catalyst 6000系列上备份引擎与主引擎必须是一致的吗？
　　
　　是的。 Catalyst 6000系列的备份引擎与主引擎必须是一致的，
　　
　　例如， 不能将不带MSFC&PFC的引擎给带MSFC&PFC的引擎作备份。
　　
　　另外， WS-X6K-SUP1A-PFC 和 WS-X6K-SUP1A-MSFC有专门的备份引擎
　主、备引擎的对应关系如下：
　　
　　主引擎 备份引擎
　　
　　WS-X6K-SUP1-2GE WS-X6K-SUP1-2GE
　　
　　WS-X6K-SUP1A-2GE WS-X6K-SUP1A-2GE
　　
　　WS-X6K-SUP1A-PFC WS-X6K-S1A-PFC/2
　　
　　WS-X6K-SUP1A-MSFC WS-X6K-S1A-MSFC/2
　　
　　39、Catalyst 6000系列支持的路由协议有哪些？
　　
　　Catalyst 6000系列支持的路由协议有：OSPF， IGRP， EIGRP， BGP4， IS-IS， RIP和RIP II；
　　
　　对于组播PIM支持sparse和dense两种模式；
　　
　　支持的非 IP 路由协议有： NLSP， IPX RIP/SAP， IPX EIGRP， RTMP， Apple Talk EIGRP和DECnet Phase IV和V。
　　
　　40、Catalyst 6000系列支持的网络协议有哪些？
　　
　　MSM上支持 6Mpps 的 IP、 IP 组播和 IPX 。 引擎上的MSFC 支持 15Mpps的 IP、 IP 组播、IPX以及 AppleTalk、 VINEs、 DECnet.
　　
　　41、Catalyst6000上若引擎为SUP-1A-2GE， 怎么实现三层交换的功能？
　　
　　用MSM实现。 6000上只有含有MSFC的引擎才能通过MSFC实现三层交换功能， 在6000上， MSFC是不能单独订购的。
　　
　　42、Catalyst? 6000交换机和Catalyst? 6500交换机有何区别？6000交换机是否可以升级到6500交换机？
　　
　　Catalyst? 6000系列交换机的背板带宽为32G，而6500系列交换机的背板带宽最大可以扩展到256G。由于这两个系列的交换机使用的背板总线结构不同，所以6000交换机不能升级到6500系列交换机。
　　
　　但这两个系列交换机使用相同的交换模块。
　　
　　43、Catalyst3508G是否也可以同Catalyst3524一样采用菊花链堆叠模式？
　　
　　完全可以。
　　
　　44、在交换机之间配置Uplink-Fast时，是否需要关闭原有Spanning-Tree选项？
　　
　　不需要，Uplink-Fast实际上使用的是一种简化的Spanning-Tree算法， 与标准的Spanning-Tree兼容，因此不需关闭该功能。

网络经典命令行
（前面的是基本的东西，建议仔细看看！）

1.最基本，最常用的，测试物理网络的
ping 192.168.0.8 －t ，参数－t是等待用户去中断测试

2.查看DNS、IP、Mac等
A.Win98：winipcfg
B.Win2000以上：Ipconfig/all

C.NSLOOKUP：如查看河北的DNS
C:>nslookup
Default Server: ns.hesjptt.net.cn
Address: 202.99.160.68
>server 202.99.41.2 则将DNS改为了41.2
> pop.pcpop.com
Server: ns.hesjptt.net.cn
Address: 202.99.160.68

Non-authoritative answer:
Name: pop.pcpop.com
Address: 202.99.160.212

3.网络信使 （经常有人问的~）
Net send 计算机名/IP|* (广播) 传送内容，注意不能跨网段
net stop messenger 停止信使服务，也可以在面板－服务修改
net start messenger 开始信使服务

4.探测对方对方计算机名，所在的组、域及当前用户名 （追捕的工作原理）
ping －a IP －t ，只显示NetBios名
nbtstat -a 192.168.10.146 比较全的

5.netstat -a 显示出你的计算机当前所开放的所有端口
netstat -s -e 比较详细的显示你的网络资料，包括TCP、UDP、ICMP 和 IP的统计等

6.探测arp绑定（动态和静态）列表，显示所有连接了我的计算机，显示对方IP和MAC地址
arp -a

7.在代理服务器端
捆绑IP和MAC地址，解决局域网内盗用IP！：
ARP －s 192.168.10.59 00 －50－ff－6c－08－75
解除网卡的IP与MAC地址的绑定：
arp -d 网卡IP

8.在网络邻居上隐藏你的计算机 （让人家看不见你！）
net config server /hidden:yes
net config server /hidden:no 则为开启

9.几个net命令
A.显示当前工作组服务器列表 net view，当不带选项使用本命令时，它就会显示当前域或网络上的计算机上的列表。
比如：查看这个IP上的共享资源，就可以
C:>net view 192.168.10.8
在 192.168.10.8 的共享资源
资源共享名 类型 用途 注释

网站服务 Disk
命令成功完成。

B.查看计算机上的用户帐号列表 net user
C.查看网络链接 net use
例如：net use z: \192.168.10.8movie 将这个IP的movie共享目录映射为本地的Z盘

D.记录链接 net session
例如：
C:>net session
计算机 用户名 客户类型 打开空闲时间

\192.168.10.110 ROME Windows 2000 2195 0 00:03:12

\192.168.10.51 ROME Windows 2000 2195 0 00:00:39
命令成功完成。

10.路由跟踪命令
A.tracert pop.pcpop.com
B.pathping pop.pcpop.com 除了显示路由外，还提供325S的分析，计算丢失包的％

11.关于共享安全的几个命令
A.查看你机器的共享资源 net share
B.手工删除共享（可以编个bat文件，开机自运行，把共享都删了！）
net share c$ /d
net share d$ /d
net share ipc$ /d
net share admin$ /d
注意$后有空格。
C.增加一个共享：
c:
et share mymovie=e:downloadsmovie /users:1
mymovie 共享成功。
同时限制链接用户数为1人

12.在DOS行下设置静态IP
A.设置静态IP
CMD
netsh
netsh>int
interface>ip
interface ip>set add "本地链接" static IP地址 mask gateway
B.查看IP设置
interface ip>show address

Arp
显示和修改“地址解析协议 (ARP)”缓存中的项目。ARP 缓存中包含一个或多个表，它们用于存储 IP 地址及其经过解析的以太网或令牌环物理地址。计算机上安装的每一个以太网或令牌环网络适配器都有自己单独的表。如果在没有参数的情况下使用，则 arp 命令将显示帮助信息。

语法
arp [-a [InetAddr] [-N IfaceAddr]] [-g [InetAddr] [-N IfaceAddr]] [-d InetAddr [IfaceAddr]] [-s InetAddr EtherAddr [IfaceAddr]]
参数
-a [InetAddr] [-N IfaceAddr]
显示所有接口的当前 ARP 缓存表。要显示指定 IP 地址的 ARP 缓存项，请使用带有 InetAddr 参数的 arp -a，此处的 InetAddr 代表指定的 IP 地址。要显示指定接口的 ARP 缓存表，请使用 -N IfaceAddr 参数，此处的 IfaceAddr 代表分配给指定接口的 IP 地址。-N 参数区分大小写。
-g [InetAddr] [-N IfaceAddr]
与 -a 相同。
-d InetAddr [IfaceAddr]
删除指定的 IP 地址项，此处的 InetAddr 代表 IP 地址。对于指定的接口，要删除表中的某项，请使用 IfaceAddr 参数，此处的 IfaceAddr 代表分配给该接口的 IP 地址。要删除所有项，请使用星号 (*) 通配符代替 InetAddr。
-s InetAddr EtherAddr [IfaceAddr]
向 ARP 缓存添加可将 IP 地址 InetAddr 解析成物理地址 EtherAddr 的静态项。要向指定接口的表添加静态 ARP 缓存项，请使用 IfaceAddr 参数，此处的 IfaceAddr 代表分配给该接口的 IP 地址。
/?

注释
InetAddr 和 IfaceAddr 的 IP 地址用带圆点的十进制记数法表示。
物理地址 EtherAddr 由六个字节组成，这些字节用十六进制记数法表示并且用连字符隔开（比如，00-AA-00-4F-2A-9C）。
通过 -s 参数添加的项属于静态项，它们不会 ARP 缓存中超时。如果终止 TCP/IP 协议后再启动，这些项会被删除。要创建永久的静态 ARP 缓存项，请在批处理文件中使用适当的 arp 命令并通过“计划任务程序”在启动时运行该批处理文件。
只有当网际协议 (TCP/IP) 协议在 网络连接中安装为网络适配器属性的组件时，该命令才可用。

范例
要显示所有接口的 ARP 缓存表，可键入：

arp -a

对于指派的 IP 地址为 10.0.0.99 的接口，要显示其 ARP 缓存表，可键入：

arp -a -N 10.0.0.99

要添加将 IP 地址 10.0.0.80 解析成物理地址 00-AA-00-4F-2A-9C 的静态 ARP 缓存项，可键入：

arp -s 10.0.0.80 00-AA-00-4F-2A-9C

At
计划在指定时间和日期在计算机上运行命令和程序。at 命令只能在“计划”服务运行时使用。如果在没有参数的情况下使用，则 at 列出已计划的命令。

语法
at [\ComputerName] [{[ID] [/delete]|/delete [/yes]}]

at [[\ComputerName] hours:minutes [/interactive] [{/every:date[,…]|/next:date[,…]}] command]

参数
\computername
指定远程计算机。如果省略该参数，则 at 计划本地计算机上的命令和程序。
ID
指定指派给已计划命令的识别码。
/delete
取消已计划的命令。如果省略了 ID，则计算机中所有已计划的命令将被取消。
/yes
删除已计划的事件时，对来自系统的所有询问都回答“是”。
hours:minutes
指定命令运行的时间。该时间用 24 小时制（即从 00:00 [午夜] 到 23:59）的 小时: 分钟格式表示。
/interactive
对于在运行 command 时登录的用户,允许 command 与该用户的桌面进行交互。
/every:
在每个星期或月的指定日期（例如，每个星期四，或每月的第三天）运行 command 命令。
date
指定运行命令的日期。可以指定一周的某日或多日（即，键入 M、T、W、Th、F、S、Su）或一个月中的某日或多日（即，键入从 1 到31 之间的数字）。用逗号分隔多个日期项。如果省略了 date，则 at 使用该月的当前日。
/next:
在下一个指定日期（比如，下一个星期四）到来时运行 command。
command
指定要运行的 Windows 命令、程序（.exe 或 .com 文件）或批处理程序（.bat 或 .cmd 文件）。当命令需要路径作为参数时，请使用绝对路径，也就是从驱动器号开始的整个路径。如果命令在远程计算机上，请指定服务器和共享名的通用命名协定 (UNC) 符号，而不是远程驱动器号。
/?
在命令提示符显示帮助。
注释
Schtasks 是功能更为强大的超集命令行计划工具，它含有 at 命令行工具中的所有功能。对于所有的命令行计划任务，都可以使用 schtasks 来替代 at。有关 schtasks 的详细信息，请参阅“相关主题”。

使用 at
使用 at 命令时，要求您必须是本地 Administrators 组的成员。

加载 Cmd.exe
在运行命令之前，At 不会自动加载 Cmd.exe （命令解释器）。如果没有运行可执行文件 (.exe)，则在命令开头必须使用如下所示的方法专门加载 Cmd.exe：

cmd /c dir > c: est.out。

查看已计划的命令
当不带命令行选项使用 at 时，计划任务会出现在类似于以下格式的表中：

Status ID Day Time Command Line
OK 1 Each F 4:30 PM net send group leads status due
OK 2 Each M 12:00 AM chkstor > check.file
OK 3 Each F 11:59 PM backup2.bat
包含标识号 (ID)
当在命令提示下使用带有标识号 (ID) 的 at 命令时，单个任务项的信息会显示在类似于下面的格式中：

Task ID： 1

Status:OK

Schedule:Each F

Time of Day:4:30 PM

Command:net send group leads status due当计划带有 at 的命令（尤其是带有命令行选项的命令）后，要通过键入不带命令行选项的 at 来检查该命令语法是否输入正确。如果显示在“命令行”列中的信息不正确，请删除该命令，然后重新键入它。如果还不正确，则可以在重新键入该命令时让它少带些命令行选项。

查看结果
使用 at 的已经计划的命令作为后台程序运行。运行结果不会显示在计算机上。要将输出重定向到文件，请使用重定向符号 (> )。如果将输出重定向到文件，则不论是在命令行还是在批处理文件中使用 at，都需要在重定向符号之前使用转义符 (^)。例如，要重定向输出到 Output.text 文件，则要键入：

at 14:45 c: est.bat ^>c:output.txt

执行命令的当前目录为 systemroot 文件夹

更改系统时间
在使用 at 命令计划了要运行的命令之后，如果更改了计算机的系统时间，则通过键入不带命令行选项的 at 可使 at 计划程序与修改后的系统时间同步。

存储命令
已计划的命令存储在注册表中。这样，如果重新启动“计划”服务，则不会丢失计划任务。

连接到网络驱动器
对于需要访问网络的计划作业，请不要使用已重新定向的驱动器。“计划”服务可能无法访问这些重定向的驱动器，或者，在该计划任务运行时如果有其他用户登录，则这些重定向的驱动器可能不会出现。因此，对于计划作业，请使用 UNC 路径。例如：

at 1:00pm my_backup \servershare

请不要使用下述语法（其中 x: ?表示由用户建立的连接）：

at 1:00pm my_backup x:

如果计划了一个使用驱动器号的 at 命令来连接共享目录，则应包含一个 at 命令以使在完成该驱动器的使用时断开与驱动器的连接。如果不能断开与驱动器的连接，则在命令提示下，所指派的驱动器号将不可用。

范例
要显示 Marketing 服务器上已计划的命令列表，请键入：

at \marketing
要了解服务器 Corp 上标识号为 3 的命令的详细信息，请键入：

at \corp 3
要计划在上午 8:00 于 Corp 服务器上运行网络共享命令，并将该列表重定向到 Maintenance 服务器的 Corp.txt 文件（位于 Reports 共享目录下）中，请键入：

at \corp 08:00 cmd /c "net share reports=d:marketing
eports >> \maintenance
eportscorp.txt"
为了在每五天后的午夜将 Marketing 服务器的硬盘驱动器备份到磁带驱动器，首先创建名为 Archive.cmd 的批处理程序（它含有备份命令），然后计划该批处理程序的运行，为此请键入：

at \marketing 00:00 /every:5,10,15,20,25,30 archive
要取消当前服务器上已计划的所有命令，请按下述方法清除 at 计划信息：

at /delete
如果要运行的命令不是可执行 (.exe) 文件，请按如下所示的方法在该命令之前使用 cmd /c 来加载 Cmd.exe：

cmd /c dir > c: est.out。
Rsh
在运行 RSH 服务的远程计算机上运行命令。Windows XP 和 Windows 2000 不提供 RSH 服务。Windows 2000 Server Resource Kit 提供名为 Rshsvc.exe 的 RSH 服务。使用不带参数的 rsh 显示帮助。

　　以前，我曾认为只要不随便运行网友发来的文件就不会中病毒或木马，但后来出现了利用漏洞传播的冲击波、震荡波;以前，我曾认为不上小网站就不会中网页木马，但后来包括国内某知名游戏网站在内的多个大网站均在其首页被黑客挂上了木马。从此，我知道:安全，从来没有绝对的。

　　虽然没有绝对的安全，但如果能知已知彼，了解木马的隐藏手段，对于木马即使不能百战百胜，也能做到及时发现，使损失最小化。那么，木马究竟是如何躲在我们的系统中的呢？

　　最基本的隐藏:不可见窗体＋隐藏文件

　　木马程序无论如何神秘，但归根究底，仍是Win32平台下的一种程序。Windows下常见的程序有两种:

　　1.Win32应用程序(Win32 Application)，比如QQ、Office等都属于此行列。

　　2.Win32控制台程序(Win32 Console)，比如硬盘引导修复程序FixMBR。

　　其中，Win32应用程序通常会有应用程序界面，比如系统中自带的“计算器”就有提供各种数字按钮的应用程序界面。木马虽然属于Win32应用程序，但其一般不包含窗体或隐藏了窗体(但也有某些特殊情况，如木马使用者与被害者聊天的窗口)，并且将木马文件属性设置为“隐藏”，这就是最基本的隐藏手段，稍有经验的用户只需打开“任务管理器”，并且将“文件夹选项”中的“显示所有文件”勾选即可轻松找出木马，于是便出现了下面要介绍的“进程隐藏”技术。　　

　　第一代进程隐藏技术:Windows 98的后门

　　在Windows 98中，微软提供了一种能将进程注册为服务进程的方法。尽管微软没有公开提供这种方法的技术实现细节(因为Windows的后续版本中没有提供这个机制)，但仍有高手发现了这个秘密，这种技术称为RegisterServiceProcess。只要利用此方法，任何程序的进程都能将自己注册为服务进程，而服务进程在Windows 98中的任务管理器中恰巧又是不显示的，所以便被木马程序钻了空子。

　　要对付这种隐藏的木马还算简单，只需使用其他第三方进程管理工具即可找到其所在，并且采用此技术进行隐藏的木马在Windows 2000/XP(因为不支持这种隐藏方法)中就得现形！中止该进程后将木马文件删除即可。可是接下来的第二代进程隐藏技术，就没有这么简单对付了。

　　第二代进程隐藏技术:进程插入

　　在Windows中，每个进程都有自己的私有内存地址空间，当使用指针(一种访问内存的机制)访问内存时，一个进程无法访问另一个进程的内存地址空间，就好比在未经邻居同意的情况下，你无法进入邻居家吃饭一样。比如QQ在内存中存放了一张图片的数据，而MSN则无法通过直接读取内存的方式来获得该图片的数据。这样做同时也保证了程序的稳定性，如果你的进程存在一个错误，改写了一个随机地址上的内存，这个错误不会影响另一个进程使用的内存。

　　你知道吗——进程(Process)是什么

　　对应用程序来说，进程就像一个大容器。在应用程序被运行后，就相当于将应用程序装进容器里了，你可以往容器里加其他东西(如:应用程序在运行时所需的变量数据、需要引用的DLL文件等)，当应用程序被运行两次时，容器里的东西并不会被倒掉，系统会找一个新的进程容器来容纳它。

　　一个进程可以包含若干线程(Thread)，线程可以帮助应用程序同时做几件事(比如一个线程向磁盘写入文件，另一个则接收用户的按键操作并及时做出反应，互相不干扰)，在程序被运行后中，系统首先要做的就是为该程序进程建立一个默认线程，然后程序可以根据需要自行添加或删除相关的线程

　　1.进程插入是什么

　　独立的地址空间对于编程人员和用户来说都是非常有利的。对于编程人员来说，系统更容易捕获随意的内存读取和写入操作。对于用户来说，操作系统将变得更加健壮，因为一个应用程序无法破坏另一个进程或操作系统的运行。当然，操作系统的这个健壮特性是要付出代价的，因为要编写能够与其他进程进行通信，或者能够对其他进程进行操作的应用程序将要困难得多。但仍有很多种方法可以打破进程的界限，访问另一个进程的地址空间，那就是“进程插入”(Process Injection)。一旦木马的DLL插入了另一个进程的地址空间后，就可以对另一个进程为所欲为，比如下文要介绍的盗QQ密码。

　　2.木马是如何盗走QQ密码的

　　普通情况下，一个应用程序所接收的键盘、鼠标操作，别的应用程序是无权“过问”的。可盗号木马是怎么偷偷记录下我的密码的呢？木马首先将1个DLL文件插入到QQ的进程中并成为QQ进程中的一个线程，这样该木马DLL就赫然成为了QQ的一部分！然后在用户输入密码时，因为此时木马DLL已经进入QQ进程内部，所以也就能够接收到用户传递给QQ的密码键入了，真是“家贼难防”啊！

　　3.如何插入进程

　　(1)使用注册表插入DLL

　　早期的进程插入式木马的伎俩，通过修改注册表中的[HKEY_LOCAL_MACHINESoftwareMicrosoftWindows NTCurrentVersionWindowsAppInit_DLLs]来达到插入进程的目的。缺点是不实时，修改注册表后需要重新启动才能完成进程插入。

　　(2)使用挂钩(Hook)插入DLL

　　比较高级和隐蔽的方式，通过系统的挂钩机制(即“Hook”，类似于DOS时代的“中断”)来插入进程(一些盗QQ木马、键盘记录木马以Hook方式插入到其他进程中“偷鸡摸狗”)，需要调用SetWindowsHookEx函数(也是一个Win32 API函数)。缺点是技术门槛较高，程序调试困难，这种木马的制作者必须具有相当的Win32编程水平。

　　你知道吗——什么是API

　　Windows中提供各种功能实现的接口称为Win32 API(Application Programming Interface，即“应用程序编程接口”)，如一些程序需要对磁盘上的文件进行读写，就要先通过对相应的API(文件读写就要调用文件相关的API)发出调用请求，然后API根据程序在调用其函数时提供的参数(如读写文件就需要同时给出需要读写的文件的文件名及路径)来完成请求实现的功能，最后将调用结果(如写入文件成功，或读取文件失败等)返回给程序。

　　(3)使用远程线程函数(CreateRemoteThread)插入DLL

　　在Windows 2000及以上的系统中提供了这个“远程进程”机制，可以通过一个系统API函数来向另一个进程中创建线程(插入DLL)。缺点很明显，仅支持Windows 2000及以上系统，在国内仍有相当多用户在使用Windows 98，所以采用这种进程插入方式的木马缺乏平台通用性。

　　木马将自身作为DLL插入别的进程空间后，用查看进程的方式就无法找出木马的踪迹了，你能看到的仅仅是一些正常程序的进程，但木马却已经偷偷潜入其中了。解决的方法是使用支持“进程模块查看”的进程管理工具(如“Windows优化大师”提供的进程查看)，木马的DLL模块就会现形了。

　　不要相信自己的眼睛:恐怖的进程“蒸发”

　　严格地来讲，这应该算是第2.5代的进程隐藏技术了，可是它却比前几种技术更为可怕得多。这种技术使得木马不必将自己插入到其他进程中，而可以直接消失！

　　它通过Hook技术对系统中所有程序的进程检测相关API的调用进行了监控，“任务管理器”之所以能够显示出系统中所有的进程，也是因为其调用了EnumProcesses等进程相关的API函数，进程信息都包含在该函数的返回结果中，由发出调用请求的程序接收返回结果并进行处理(如“任务管理器”在接收到结果后就在进程列表中显示出来)。

　　而木马由于事先对该API函数进行了Hook，所以在“任务管理器”(或其他调用了列举进程函数的程序)调用EnumProcesses函数时(此时的API函数充当了“内线”的角色)，木马便得到了通知，并且在函数将结果(列出所有进程)返回给程序前，就已将自身的进程信息从返回结果中抹去了。就好比你正在看电视节目，却有人不知不觉中将电视接上了DVD，你在不知不觉中就被欺骗了。

　　所以无论是“任务管理器”还是杀毒软件，想对这种木马的进程进行检测都是徒劳的。这种木马目前没有非常有效的查杀手段，只有在其运行前由杀毒软件检测到木马文件并阻止其病毒体的运行。当时还有一种技术是由木马程序将其自身的进程信息从Windows系统用以记录进程信息的“进程链表”中删除，这样进程管理工具就无法从“进程链表”中获得木马的进程信息了。但由于缺乏平台通用性而且在程序运行时有一些问题，所以没有被广泛采用。

　　你知道吗——什么是Hook

　　Hook是Windows中提供的一种用以替换DOS下“中断”的一种系统机制，中文译名为“挂钩”或“钩子”。在对特定的系统事件(包括上文中的特定API函数的调用事件)进行Hook后，一旦发生已Hook的事件，对该事件进行Hook的程序(如:木马)就会收到系统的通知，这时程序就能在第一时间对该事件做出响应(木马程序便抢在函数返回前对结果进行了修改)。

　　毫无踪迹:全方位立体隐藏

　　利用刚才介绍的Hook隐藏进程的手段，木马可以轻而易举地实现文件的隐藏，只需将Hook技术应用在文件相关的API函数上即可，这样无论是“资源管理器”还是杀毒软件都无法找出木马所在了。更令人吃惊的是，现在已经有木马(如:灰鸽子)利用该技术实现了文件和进程的隐藏。要防止这种木马最好的手段仍是利用杀毒软件在其运行前进行拦截。

　　跟杀毒软件对着干:反杀毒软件外壳

　　木马再狡猾，可是一旦被杀毒软件定义了特征码，在运行前就被拦截了。要躲过杀毒软件的追杀，很多木马就被加了壳，相当于给木马穿了件衣服，这样杀毒软件就认不出来了，但有部分杀毒软件会尝试对常用壳进行脱壳，然后再查杀(小样，别以为穿上件马夹我就不认识你了)。除了被动的隐藏外，最近还发现了能够主动和杀毒软件对着干的壳，木马在加了这种壳之后，一旦运行，则外壳先得到程序控制权，由其通过各种手段对系统中安装的杀毒软件进行破坏，最后在确认安全(杀毒软件的保护已被瓦解)后由壳释放包裹在自己“体内”的木马体并执行之。对付这种木马的方法是使用具有脱壳能力的杀毒软件对系统进行保护。

　　你知道吗——什么是壳

　　顾名思义，你可以很轻易地猜到，这是一种包在外面的东西。没错，壳能够将文件(比如EXE)包住，然后在文件被运行时，首先由壳获得控制权，然后释放并运行包裹着的文件体。很多壳能对自己包住的文件体进行加密，这样就可以防止杀毒软件的查杀。比如原先杀毒软件定义的该木马的特征是“12345”，如果发现某文件中含有这个特征，就认为该文件是木马，而带有加密功能的壳则会对文件体进行加密(如:原先的特征是“12345”，加密后变成了“54321”，这样杀毒软件当然不能靠文件特征进行检查了)。脱壳指的就是将文件外边的壳去除，恢复文件没有加壳前的状态。