yhc93421的博客

做了5年的HR经理（人力资源部经理），我对人性有了更深入的认识，对中国人（包括自己在内）的坏毛病有颇多感慨和无奈。之所以放大说是中国人的劣根性，是因为我相信我下面说的很多特性在国人身上是普遍存在的。我是一个中国人，并不想贬低自己的民族，但我认为我们民族经过这一百年来的动荡，特别是十年文革，教育的确是被歪曲和延误了，国民整体素质处于一个很低的水平。我所发表的言论，既是在揭中国人的伤疤，也是在揭自己的伤疤，但我相信一个人或者一个民族，只有勇于正视自己的缺点和毛病，才有改进和强大的机会。

人人相轻

中国人不是文人相轻，而是人人相轻，只要想轻视别人，总有相轻的理由。比如北京人轻视外地人，上海人轻视外地人，城里人轻视农村人，南方人轻视北方人，有钱人轻视穷人，开车的轻视走路的，走路的轻视扫路的，吃饭的轻视做饭的……就是不会相互尊重。在企业里面，就表现为硕士轻视本科，本科轻视大专，大专轻视中专，名校轻视非名校，干部轻视职员，职员轻视工人。更搞笑的是学理科的轻视学文科的，学文科的轻视学理科的，市场部的轻视技术部的，技术部的轻视市场部的。

这不是随口乱掰，我就常听到“他们技术部的水平不行，解决不了什么质量问题”、“他们市场部的人员素质太低了，基本的产品知识都不具备”……这样的废话加屁话。都是一个公司的，别人不行你就要伸手帮忙，站在那里说风凉话能解决什么问题呢？说句老实话，在一个公司里面，都是出来打工的，谁比谁高多少呢？何况大家捧着的是一个饭碗。一个缺乏同情心的民族绝对不会是一个伟大的民族。我每次看见那些吃饱了腆着肚子趾高气扬地骂服务生的人，以及我们公司那些拿着几千块rmb（折合几百美金）的伪白领，以为自己忽然“中产”了，整个一不知道天高地厚的傻样，就觉得这个国家没什么希望。

缺乏团队精神

人人相轻，自然学不会相互合作。加之私心重、视野窄、眼光短，所以中国人在企业里面非常缺乏团队精神。我最近在公司推行绩效考核，有些部门经理不爽了，因为他们一算，自己的奖金要变少，还要被公司考核，于是背后说坏话的也有，开会大吵大闹的也有，不闻不问的也有，种种姿态，不一而足。有同事问我：“不至于那么严重吧，不就是搞绩效考核吗？一个制度而已。”制度本身倒不复杂，但是损害了某些人的个人利益，于是这个事情就变得复杂了。这些经理不会说自己的奖金变少了，而会说本部门的奖金变少了，本部门的风险变大了，或者挑起部门员工对制度的敌意，来对我施加压力。所以一个很简单的事情，就变得非常复杂了。

中国人很少会把团队利益放在个人利益之上。其实在一个企业，团队利益和个人利益是一起的，公司好了大家都好，公司垮了，个人也拿不了几个月薪水。老外很崇尚个人价值，但在企业和组织里面非常遵循个体服从整体的准则，这就是对企业的正确理解。所以中国的职业经理人其实很不职业，就是没有团队精神，把个人或者部门凌驾于整个组织之上。开会讲话都是“我们市场部”、“他们技术部”、“他们财务部”，听起来不像是一个公司的，像有仇。我记得有次一个经理为他部门员工薪酬的事情问我“你们公司……”，我当时反问了一句“我们是谁？公司是谁？”他一下子愣住了。

一个社会也好，一个企业一个组织也好，应该是我为人人，人人为我。不合作，就是不利己，都强调自己，漠视别人，这个国家就不会进步，一打仗大家又要做亡国奴。

缺乏团队精神，企业内耗就多了，在我们公司，有40％的工作时间是去解决内耗的，因为部门间的摩擦太多，个人间的摩擦太多。所以我就感慨，老外几万人的公司都管得好，咱们中国企业百来号人就像一盘散沙，这不是一个管理制度或者管理手段的问题，而是一个文化的问题。中国人的历史就是这样的，老爱自己内部起哄，一跟外人打就完了。私心太重，就不会顾全大局，不顾全大局，就学不会妥协，不会妥协，就天天吵架，你争我斗，企业就在这样的内耗中完蛋了。

疑心大，不诚信

做人事经理免不了经常和人沟通，我就发现我们公司的人与人之间特别不坦诚，大家总是相互猜疑，人前不说真话，人后乱说坏话。于是，企业的市场问题、生产问题变成了人际关系的问题，简单的问题搞复杂了。

不讲诚信也是从小养成的坏毛病。我妈妈从小教育我不准撒谎，但她自己却没有做到，邻居来借油明明有却说没有，答应小学毕业跟我买辆自行车结果没买，经常把公家的电池拿到自己家用……。所以中国人说谎跟玩似的，因为家庭教育跟学校教育都没上好这一课。进了企业，就是对同事不讲诚信，对老板不讲诚信，对客户不讲诚信。

我们跟老外打交道，有问题他们会当面指出，不管多难堪，但这并不妨碍他吃饭的时候跟你谈笑风生。所以老外开会，会上可能有10种声音，但会后只有1种声音；中国人开会，会上没人说话，但会后可能有10种声音。我们老板开会结束时通常会问："大家还有什么意见？"全体沉默。一出会议室，跑到自己办公室门一关就开始开部门小会了，靠。

无论在一个社会或是企业里面，诚信度越低，运行成本越高。中国人只信任跟自己有血缘关系的人，很难相信别人，其实是我们社会不够文明的一个表现。

蔑视制度

制度决定习惯，习惯决定性格，性格决定命运。

当人事经理的第一天，老板就跟我说：你最大的任务就是把公司的管理制度化。起初还不大理解，后来明白了老板的苦心，公司的各种制度不少，就是基本上没人遵守。这里面有两个问题：一是制度设计本身有缺陷，二是员工意识里根本就没有对制度的概念。

中国人很聪明，但不知怎么把“制度”这个东西（包括制度的设计和遵守）总是搞不好。我是学法律的，我一直认为美国今天之所以这么强大，就是立国时把管理国家的体系和制度设计好了，大家可以安心搞建设。西方人的制度设计有时候是可以用“精妙”形容的，而且对制度的执行在我们看来近乎呆板，而中国人的聪明之处则是在于不管什么制度，都可以把它回避、歪曲、改造，直到这个制度等于没有。

我上任后订了一个考勤制度，规定迟到一次扣10元，第二次40元，累积三次计旷工一天（因为公司的迟到现象很严重）。结果制度出来后，我一看有的员工迟到三次了，想着旷工罚款太重，心一软，就对员工说："到了第三次迟到就补请一个事假吧，事假总比旷工好，下次不要迟到了"（这是我率先违反制度）。结果有的员工下个月仍然迟到三次，刚开始请迟后事假，后来请病假（因为病假扣的钱更少），后来每次迟到都请病假，到后来连请假条也没有了，打个电话就完事......我痛定思痛，反思洪水泛滥起因是自己放闸，下了一个通知："以后迟到一律不准事后补假"。不准事后请假，迟到的员工就把请假条的时间提前一天，反正经理们不管。最后实在没辙，宣布"迟到一律不准请假"。实施的当月有个女职员迟到三次，我通知她被记旷工了，她委屈得快要哭起来："我从小就没有旷过课，现在居然被记旷工，你可以问××经理我那天迟到是因为......"，最后一句是"公司讲不讲人性化管理？！"我坚持不为所动，心想自己就是太讲人性，所以酿成如此大错。

一个考勤制度执行都如此艰难，其它的制度就不用多说了。我上任以来推行制度化管理，其中的辛酸不足为外人道。很多员工暗地里说我是老板的监工，为了讨好老板不惜牺牲群众利益，真是比杜娥还冤。企业从40人变到200人，管理半径变大，价值观的冲突变多，没有统一的制度就会变成一盘散沙。可是我们的经理们凭感觉管理惯了，用制度管理别人不习惯，用制度约束自己不习惯，员工被制度管理更加不习惯，所以上下一心蔑视制度。

政治敏感度太高

我在公司跟员工谈话，结尾通常会说：“今天我跟你谈话的意思只是这个事情本身，没有别的意思”，听起来有点绕口。为什么要这么说？因为他们非常敏感。你说他哪些方面需要改进，他会联想到公司是否想炒他；你问他们部门的工作量是否饱和，他会联想到公司是否想炒他；你问他最近有没有继续进修的打算，他会联想到公司是否想炒他。他可能根本不在意你跟他谈话的内容，而是花很长时间来琢磨为什么要炒他。

中国企业的内耗多，有个原因是说实话的成本太高。大家喜欢猜来猜去，相互间不信任，本来只是工作上的问题，非要上升到政治的高度，所以都不说实话。比如我对一个经理说“你处理这件事情有问题”，他可能会联想到我不喜欢他这个人，有意针对他。然后他会思考我为什么不喜欢他，是不是上次请客没有叫我？最后一定会找出一个理由来，于是误解就造成了。

我就是一个典型的特“含蓄”的人，有事爱闷在心里不直接说，自以为这是顾及别人情绪，是一种修养，其实很误事。我曾经不喜欢我的一个下属到了极点，有段时间我每天都想炒掉他，而且这个想法像条毒蛇一样越缠越紧。但我强迫自己做了两件事：第一是站在他的角度来看我有什么问题；第二是坦诚地跟他交换意见。结果两人一摊开说，就那么点事，大家还有继续合作的机会，结果我们又共事到今天。

所以我现在强迫自己说实话，说出来至少还有消除误解的机会，不说连机会都没有了。中国人的政治敏感度太高，多半是文革那会遗留下来的，再就是东方人特有的含蓄。不是说含蓄不好，非要学老外在大街上裸奔，但是含蓄得过了头，就显得有些小气和阴暗了。其实相互不信任会活得很累，自己累，别人也累。哪里有那么多的弦外之音？就事论事就完了。

谈恋爱可以把简单的事情搞复杂一点，千转百回都行，办企业也这样，就会影响效率。中国人在企业里面，怕这怕那，提防心太强，往往把简单的事情搞复杂了。其实说穿了，人都很简单，都是吃五谷杂粮长大了，哪有那么可怕？都是你怕我，我怕你，相互间怕出来的。

一个企业里面的政治气味太浓，跟老板也有关系。如果老板的控制欲太强，且以支配比他学历高的职业经理人为乐，那这个企业就极有可能成为清宫戏里的朝廷，明争暗斗，不亦乐乎。中国的民营企业搞着搞着就这样了，所以搞不长。没有一个环境是完全纯净的，发生政治行为也很正常，有人的地方就会有政治，但要控制在一个适当的程度。政治行为太泛滥了，就会损害诚信。

犯“君子”错误

这个世界上真正的坏人不多，就像真正的好人不多一样。但中国人很喜欢把“好人”与“坏人”这个本身就很模糊的道德标准去评判一个人的企业行为。公司要炒人，就会有员工说：“他人很好，公司为什么要炒掉他？”拜托，如果只有“坏人”才能被炒，请告诉我“坏人”在哪里？我从不认为我们公司的员工中有坏人，我只评判他是不是合格的企业人。

我在公司的绩效考核制度中规定，每个部门每年必须有5％的员工被评为不合格，实际上我最初定的是10％，但后来所有的经理都反对，只好降低标准。即使是5％，经理们也不愿执行，他们对我说："如果我的部门员工都合格，你一定要弄出个5％，怎么办？我只好安排员工轮流做庄了。"他们说得理直气壮，因为觉得自己是君子，对得起身边的兄弟们。我的回答是："GE公司的淘汰率是20％，你认为我们公司的员工都比GE的员工优秀？"

真正的错事10件中有9件是君子犯的，小人并没有多少犯错的机会。中国人往往给"君子"一个错误的定义，然后用它来掩盖事实真相。如果一个经理在符合组织利益的前提下做"君子"，与员工讲情义，这绝对是一件好事，但如果是违背组织利益去对员工做人情，那么这个"君子"不仅毫无价值，简直形同犯罪。

比如法律是最低的道德标准，但它是一条明确的线，你可以在这条线上做得更好，但你不能在线下。所以老外讲“法理情”，把法律摆在第一位，但并不是我们在中学课本中学到的“腐朽的资本主义社会里，只有赤裸裸的金钱关系，没有温情……”，他们只是先把人性定为“恶”，再用法律和制度来预防；中国人讲“情理法”，先把人性定为“善”，出了事再事后惩罚，结果法律没有遵守，人情味也越来越淡薄，医院可以看着病人死，行人可以站在大街上看着歹徒杀人，老外可以实行弹性的工作时间制，因为他们的员工主动性和自律性比咱们强，“领老板的薪水对老板负责”是基本的职业道德，就像在国外有的街道，红绿灯由司机自己按，因为遵守制度已经融入他们每个人的血脉中；要是在国内企业搞弹性工作时间，我相信90％的企业会死得很惨。中国的司机连红灯都敢闯，你叫他自己按红绿灯，他会一直按绿灯到自己不开车的那一天。

国内企业为什么很难做好绩效考核，因为中国人喜欢做老好人，不愿对别人作负面评价，所以绩效考核搞不下去。其实在当“君子”的背后，掩藏的本质是我们的经理人缺乏自信，害怕对下属作负面评价会引起下属反击而已。

推卸责任

我们公司的经理总抱怨老板不授权，权力太小，无法管理员工。可是遇到真正麻烦的时候，他们会把问题往老板那一交：“你看怎么办？”这些经理不会去想，他拿的薪水比员工多，权力比员工大，那么问题就应该到他为止，不然老板要你做经理干什么？可是他们总是把权力与责任分开，权力就是拿的钱多，管的人多，没想过其实权力和责任是对等的，你有多少权力，就要负起多少责任。

推卸责任的一个潜在心理意识是，看不见自己的问题。中国有句古训：“知天知地知彼易，知己难”，意思是人可以知道除自己以外的任何事情，就是不可自知，说得真好。所以我们公司搞培训的时候，大家群情激昂，犹如醍醐灌顶，可是一回到工作中，该犯的错继续犯。因为培训时老师讲的问题他全分析到别人头上去了，所以出了问题自然是别人的责任。

破坏环境是中国企业最推卸责任的做法。企业以牺牲环境为代价得到1块钱的利润，也许我们后代用100块钱的代价也不能弥补。我们的企业自己对社会推卸责任，怎么去要求员工对企业负起责任？

缺乏包容性

有句话说一个人的成就有多大，取决于他的胸怀有多大。我们公司有个部门经理，在公司创立初期为公司做了很大贡献，公司也一直努力想培养他。但他的心眼特别小，私心特别重，毫无包容精神，这是一个很要命的缺点。他几乎永远站在自己的立场去理解任何事情，比如，他认定他的上级（总监）不如他，但年终奖比他高，令他无法容忍，所以他经常跑到老板那去说上级的坏话。我跟他说，别人能做你的上级，肯定有他的长处，即使别人有问题，你也应该与他达成谅解和共识，原因很简单：你们是为一个目标工作，而且他是你的上级。可是一直到今天，他还在固执地寻找一切机会攻击他的上级。组织行为学里面有句话说“屁股决定大脑”，就是本位主义，他的大脑就完全被他的屁股（个人立场）控制了。

与自己不喜欢或不喜欢自己的人相处，是对胸怀的一个极大的考验。做大事的人的胸怀都是被反对者撑大的。摩托罗拉的总裁高尔文喜欢驾船航海，万科的总裁王石喜欢登山，那都是练胸怀去了，人面对大海和高山的时候，心胸自然开阔，连心思都要透亮些。所以我总劝员工在工作之外多想想生活，多见见世面，多长长见识。老窝在办公室那点地方，做手头那点事情，怎么大气得起来？有点事就急了。

人要在一个环境中才能碰到矛盾，而人一生中要不断地碰到矛盾，没有包容精神，一碰到不利自己的事情就跳，怎么跟别人合作？怎么解决矛盾？所以中国人缺乏团队精神，也和包容性有关。

缺乏文化性

把包容性再延展开来说，就是文化性。人类创造的文化包括科技文化和人文文化，它们分别发展着工具理性和价值理性，我这里说的是后一种。我曾经看到这样一个案例：一个中国人在一家国内的跨国公司工作，有一个到海外出任分公司CEO的机会，结果公司把机会给了一个他认为专业技能、学历背景都不如自己的老外。他去问老板，老板说：因为公司觉得那个老外有更高的人文修养和更开放的心态，而到一个不同的国家，面临不同的文化和价值观发生冲突的时候，需要他把各种文化和价值观糅合在一起，去实现公司的目标，这远比技能重要。这个案例给了我很深的启示。

我始终认为，中国过了“五四”运动以后就基本没有文化了，到了文革就更加把以前的文化都丢了。其实中国的儒家文化有很多好的东西，结果我们没有发扬，却被新加坡发扬了，被韩国发扬了，被日本发扬了。也许中国人穷怕了，好不容易赶上改革开放，所以功利得有点过头。我周围的很多职业经理人用各种证书、MBA学历把自己武装到牙齿，恨不得一个个都变成经济动物，谈起工作都是专家，就是不会与人相处。前几天我跟一个公司的同事聊天，他说大学毕业后6年时间里，他没有读过一本小说。

文化是一种精神的力量，是以人为载体的。穷不是不要文化的借口，因为没有文化会更穷。中国的企业做不长，做不强，技术和管理是表象，真正的原因是缺乏企业家精神和企业文化。别人搞了一百多年市场经济和企业，那种文化传统和底蕴是一种气质，不是画个浓妆就学得会的。现在国内有些企业一进去要军训，要把企业编的文化手册倒背如流，那不是企业文化，是被迫性洗脑。

跟中国的员工谈文化素养，谈人性关爱，他们多半以为你有病。他们会说，公司的氛围不好，沟通不通畅，执行力不强，但不会去想这是文化的原因。中国的企业家一有钱就忘本，就嚣张，要写书，要设论坛，要开名车，住豪宅，包二奶，骂警察，就是没想过回馈社会，也是缺乏文化性。

学历和技能是衡量一个人的硬件标准，但真正决定一个人命运的是他的软件，是一种性格和态度，是文化。所以老外招聘员工的时候，强调“沟通能力”、“团队精神”、“心理承受能力”等这些东西，就是他们更注重一个人内在的素质，这才是决定个人价值的关键。

任何事情都有轮回，每年都有春、夏、秋、冬，所以人总要走到冬天，因此，你会更加珍惜春天、夏天、秋天，在冬天的时候，你知道收场是必须的过程。

 宠辱不惊，看庭前花开花落；去留无意，望天上云卷云舒。

 
做事情要专一，任何事情不投入百分之一千是不可能成功的。

海纳百川有容乃大,壁立千尺无欲则刚.

其实每个人的心中都藏龙卧虎。

1. Create a plan for each day - use the plan to organize your day, but don't be married to the plan - remain flexible.
2. Keep a list of your priorities in view. Measure your to-dos and planned actions against them.
3. Ask of each new task before you: "Who is the best person to be doing this task?"
4. Ask specifically for what you want, including conditions ofsatisfaction, and timeframes. Don't expect people to read your mind.
5. Skip the morning news on TV. It's primarily negative. Skip the latenight news on TV. Its even more negative than the morning news. Go tosleep earlier, read, or write a journal.

6. Start each day with 30-60 minutes of reading - business, educational or inspirational.
7. Refine and clarify your vision. Where are your actions taking your organization?
8. Whatever you are currently complaining about - stop it.
9. Use the 80/20 rule to your advantage.
10. Work on one item at a time.

11. Put your basic values into writing.
12. Put your goals (all of them) into writing.
13. Do your next day's planning at the end of the day.
14. Be networking conscious.
15. Establish a reading / learning program.

16. Ask the question, where is the strategic or competitive advantage?
17. Figure out what you are very good at doing - delegate or outsource the rest.
18. Analyze the cost/benefit of what you are doing. It may be more cost-effective to delegate or outsource.
19. Ask yourself, "Is what I am doing the highest value contribution I can make now?" If not, don't do it.

(汉语译文)

1.每天做一个计划--用这个计划来安排你的日子，但不要过于死板，要保持灵活性。
2.为考虑之中的事情按主次列一个表，衡量它们的重要性并且有计划地对待。
3.对你面临的每一个新任务问一句，“谁是这个任务的最佳人选。”
4.明确的提出你需要的东西，包括满意的条件，时间构成。不要指望别人了解你的内心所想。
5.不要看早间新闻, 它们大多是消极的。不看晚间新闻, 它们更消极。早点上床，阅读或写一篇日记。

6.每天早上阅读30-60分钟--（内容可以是）商业的，有教育意义或能给人灵感的。
7.精练地阐明你的见解。你的行为最终目的是什么？
8. 放弃所有的抱怨
9.用80/20的准则对待你的利益
10.在一个时间内集中精力做一件事情。

11.把你的基本价值观写下来
12.把你的目标（所有的）写下来
13.你的下一天是今天晚上就计划好的吗？
14.有意识地建立关系网
15.建立一个阅读或学习划

16.问这样一个问题。自己的战略性或竞争性优势在哪里？
17. 确定你最善于做的是什么--将其它事交给别人做。
18.对你正做的事情做一个成本效益分析。
19.问你自己：“我正在做的事情是我现在能获得的最大利益回报吗”，如果不是这样，你就不要去做。

~~~~~~~~~~~~~~~~~~~~~~~~~~~~~

有人曾经问一位非常成功的传奇人物：“您认为您能够获得如此巨大成功的最重要原因是什么？”

他回答道：“因为我有非常多的经验。”

那人又问: “那你是怎样获得这么多的宝贵经验呢? ”

答: “通过非常多次的失败。”

If you have not succeeded, it's because you have not failed enough times.

如果你没有成功，那是因为你还没有经历足够多次的失败

 http://yhc93421.bokee.com/inc/%C0%CF%D7%D3%CB%FB%CB%B5%C4%CF%BB%B3%E8%AA%CF%C8%C9%FA%D6%F8.doc

http://yhc93421.bokee.com/inc/H248%D0%DE%B6%A9_%D6%D8%D2%AA.pdf

 http://yhc93421.bokee.com/inc/BICC%D0%AD%D2%E9.rar

CCIE之建立详细的“故障检测检查表”

出处：PConline
责任编辑：feel_shu
[04-3-4 10:10] 作者：FengNet.Com

第一级故障检测

　　接口处于”UP/UP”状态？
　　显示IP接口摘要
　　显示ATM接口情形
　　显示端口（CAT 5000）
　　显示MAC（CAT 5000）
　　常用的接口故障检测：show controllers.
　　连接的哪一端是DCE，哪一端是DTE？
　　Show cdp neighbor.

　　1、祯中继故障检测

　　路由器与祯中继交换机是否正确通信？
　　Show frame PVC显示的DLCI是否处于激活状态？
　　路由器送出分组吗？(debug frame packet/show frame PVC(分组进/分组出)
　　你的祯中继分组语句正确吗？(show frame-relay map)
　　实验环境最受欢迎的祯中继故障检测工具:debug frame packet.

　　2. ISDN/DDR故障检测

　　ISDN
　　Show isdn status
　　Debug isdn q91
　　Debug isdn q931
　　最受欢迎的ISDN故障检测工具，debug isdn q931

　　DDR
　　出境业务流是否是有兴趣的业务流
　　Show dialer
　　Show dialer map
　　Debug dialer packet
　　Debug dialer events
　　记住——当怀疑的时候，保持拨号者列表的配置尽可能的简单。

ISDN呼叫是否正常设置？
　　Debug isdn q931
　　由呼叫方产生的Q931信息是什么？
　　由被呼叫方产生的Q931信息是什么？
　　最受欢迎的DDR故障检测工具ebug dialer packet.
　　PPP权威认证是否正常发生？
　　Debug PPP authentication

　　3. Catalyst 5000故障检测

　　端口是否激活
　　Show port
　　端口通过祯吗？
　　清除计数器
　　show mac module/port
　　CAM表中是否有特定的MAC地址？
　　Show port
　　Show mac
　　Show cam dynamic
　　Show vlan
　　Show trunk
　　Show spantree

　　4. ATM故障检测

　　Show atm interface status
　　Show atm ilmi
　　Show atm vc

　　5. ATM仿真局域网LANE故障检测

　　LANE设备是否正确地建立所有管理和控制VC?
　　Show lane default
　　Show lane client
　　Show lane database
　　Show lane le-arp
　　Debug lane client all

第二级故障检测

　　1. IP地址

　　分配给特定路由器的接口的IP地址有哪些？
　　Show ip interface brief
　　直接相连的邻居接口IP地址是哪些？
　　Show cdp neighbor detail
　　你能ping通自身的接口吗？

　　2. 特定路由器转发的IP分组

　　ping (standard ping/extended ping)
　　Debug ip packet
　　分组通过正确的接口离开路由器吗？
　　如果debug ip packet显示”unroutable” 信息，检查路由表(show ip route)
　　如果debug ip packe显示”encap failed”信息，检查支持IP分组转发特定接口的过程。
　　如果”encap failed”信息出现在一个多访问接口，例如Ethernet或令牌环，使用debug arp 确保ARP过程正常。
　　如果”encap failed”信息出现在非广播多重访问接口，例如祯中继或ATM，使用debug 祯分组或debug atm分组确保分组映射到目的地址。
　　如果”encap failed”出现在交换连接上，例如ISDN/DDR连接，使debug q931来确保呼叫方正确设置，检查拨号者分组来确保业务流已被定义为“有兴趣的”，或检查PPP权威认证确保PPP权威认证已正确产生。
　　如果debug ip packet仅仅显示sending信息，则所有的IP转发过程都在该路由器上正确操作。检查所有中间路由器或路由业务流的返回路径。

　　3. IP路由

　　IP路由更新信息是否把正确的前缀送出正确的接口了吗？
　　你在正确的接口上收到正确的路由更新信息吗？
　　Debug ip rip
　　Debug ip igrp transactions
　　Debug ip igrp events
　　Debug ip eigrp
4. 跟踪分组通过互连网的路径

　　traceroute (standard traceroute/extened traceroute)

　　5. OSPF

　　参与OSPF进程每个接口的OSPF是否激活？
　　Show Ip ospf interface
　　OSPF邻居之间关系正确形成了吗？
　　Show ip ospf neighbor
　　OSPF的毗邻正确形成了吗？

　　6. NBMA网络上OSPF

　　是否有不同接口混合使用（物理的、点到点子接口和多点子接口），存在接口不匹配情况吗？

　　7. DDR

　　OSPF Hello 分组无限地保持接口处于激活状态吗？

　　8. IP路由分组再分派

　　激活合适的路由协议检错工具，确认路由正确通过再分派进程。
　　在路由再分派过程中存在FLSM/VLSM冲突吗？
　　Show ip protocols
　　Clear ip ospf redistribution

　　第三级故障检测

　　你的BGP邻居关系形成了吗？
　　Show ip bgp summary
　　BGP 网络已在通告了吗？
　　正在通告的网络在BGP路由器的IGP表中？
　　Show ip route
　　IBGP路由器能ping到广播的下一跳地址吗？
　　如果不能，考虑使用下一跳地址本身。
　　你的BGP表正确形成了吗？
　　Clear ip bgp *
　　Debug ip bgp events
　　Debug ip bgp updates
　　同步是否应该关闭？
　　Show ip bgp
　　Show ip route

第四级故障检测

　　1、IPX

　　指定路由器上运行IPX进程？
　　Show protocols
　　Show ipx interface brief
　　Show cdp neighbor brief
　　IPX业务流正确进出指定路由器吗？
　　Ping ipx
　　Debug ipx packet
　　你能在正确的接口上发送和接收正确的IPX路由更新信息吗？
　　Debug ipx routing activity
　　IPX路由表一致吗？
　　Clear ipx route *
　　Show ipx route
　　SAP表一致吗？
　　Clear ipx route *
　　Show ipx servers
　　假如使用IPX EIGRP，EIGRP邻居关系正确形成了吗？
　　EIGRP拓扑数据库的内容正确且完整吗？
　　EIGRP度量值计算反映了最短路径的正确代价了吗？
　　如果用隧道输送IPX业务流，隧道操作正确吗？
　　Show tunnel/debug tunnel
　　记住—IPX隧道依赖于在隧道端点之间的连接性。
　　保证隧道的一个端点可以由另一个端点到达，ping隧道端口。
　　如果ping连接成功但隧道仍不工作，检查所有中间路由器上访问表。访问表可能封锁了隧道业务流。

　　2. APPLETALK

　　Appletalk进程运行在指定路由器上了吗？
　　Show protocols
　　Show appletalk interface brief
　　Show appletalk interface
　　Show cdp neighbor brief
　　Show apple neighbor
　　Appletalk 业务流正确进出在指定的路由器上吗？
　　Ping appletalk
　　Debug appletalk packet
　　能否在正确的接口上发送和接收正确的路由更新信息？
　　Debug appletalk routing activity
　　Appletalk 路由表一致吗？
　　No appletalk routing/appletalk routing (RTMP only)
　　Show appletalk route
　　区表一致吗？
No appletalk routing (RTMP only)
　　Show appletalk zones
　　Debug appletalk zone
　　如果使用appletalk eigrp，正确形成了 EIGRP邻居关系了吗？
　　EIGRP拓扑数据库的内容正确且完整吗
　　EIGRP度量值计算反映最短路径的正确代价了吗？
　　如果隧道输送appletalk业务流，隧道操作正确吗？
　　Show tunnel/debug tunnel
　　记住—appletalk隧道依赖于隧道端点间的连接性。
　　保证隧道的一个端点可从另一个端点到达，ping隧道端点。
　　如果ping连接成功但隧道仍不工作，检查所有中间路由器上的访问表，因为访问表可能封锁了隧道业务流。

　　3. DECNET

　　DECNET进程运行在指定路由器上了吗？
　　Show protocols
　　Show DECNET
　　Show decnet interface
　　Show cdp neighbor brief
　　DECNET业务流正确进出指定路由器吗？
　　Ping decnet
　　Debug decnet packet
　　能否在正确的端口上发送和接收正确的录由更新信息？
　　Debug decnet routing activity
　　Decnet 路由表一致吗？
　　Show decnet route

　　第五级 故障检测

　　1. 透明桥

　　所有的网桥组成员都列出相同的根桥了吗？
　　Show span
　　生成树正确形成了吗？
　　桥组中的哪个端口处于封锁状态（如果有的话）？
　　Debug sapn events
　　Show spantree
　　Debug arp

　　2. CRB和IRB

　　Show interface crb
　　Show interface irb
　　Show interface bvi

3. LAT

　　Debug translate
　　Show translate

　　4. 源路由桥接

　　show source

　　5. DLSw+

　　故障检测DLSw+连接的两边
　　你能ping通DLSw+对等进程吗？
　　DLSw disable
　　Show dlsw peer
　　Show dlsw reachability
　　Debug dlsw peer
　　Debug dlsw reachability
　　Debug dlsw core
　　Show span
　　Show source

　　第六级故障检测

　　1. 访问表

　　记住隐含为所有拒绝
　　记住有方向性的访问表。
　　show access-lists
　　show access-expressions
　　debug access-expressions
　　
　　2. 排队

　　show queue
　　debug custom
　　debug priority
　　
　　3. 策略路由和路由图

　　show ip policy
　　debug ip policy

　　最后补一句，一个熟练的故障检测这必须透彻理解他或她正在排错的技术。常用的故障检测工具是CiscoWorks和Network Asscoiates SNIFFER,这里是培养故障检测技能的开端。

_________________
应知学问难，在乎点滴勤。
*****************
http://zhaoshan100.nease.net
*****************

1 引言
作为网络工程师，在网络环境出现故障时，及时定位故障并解决故障是十分重要的。本文以CISCO路由式网络为基础，介绍使用诊断工具对Cisco路由器进行故障诊断的方法。限于篇幅，我们所介绍的内容和示例主要是基于IP报文的，基于IPX和Appletalk等协议的诊断技术与此类似。
2 路由器的功能特性和体系结构
在学习Cisco路由器上可使用的各种故障排除和诊断工具之前，了解路由器的基本体系结构是十分重要的。网络工程师应该理解诊断命令执行时所起的作用以及对于路由器性能所产生的影响。
交换与路由是我们在网络互联中经常遇到的术语。此处所说的交换与局域网中的帧级交换是完全不同的概念。交换过程是指路由器如何在两个不同的接口间传送报文。
比如，路由器在以太网接口0接收到一个报文。路由器首先从报文中获取MAC头信息，然后检查网络层报文头。路由器检查路由表是否有与报文的目的地址匹配的表项。假设路由表中包含匹配的项，并且下一跳地址是另外一个路由器，该路由器可以通过以太网接口1到达。然后路由器需要检查下一跳的第二层地址。如果它没有该地址，则需要在以太网接口1发送ARP广播报文。如果没有接收到ARP响应，路由器则将该报文丢弃。如果有响应信息，路由器则建立到下一跳路由器的以太网帧。在这个例子中，路由器从接收到以太网帧到建立并发送以太网帧的整个过程称为交换过程。需要注意的是，ARP解析过程通常不认为是交换过程的一部分。上面的过程中，执行路由表查询以寻找下一跳的地址表明采用了交换过程。这是一种最简单的报文交换方法，因而其开销和延迟都比较大。所有的路由协议最终都依赖于路由表的建立，路由器通过接收运行相同协议的相邻路由器发送的路由更新报文来更新相应的路由表，我们称之为路由过程（routing process），它主要由路由处理器完成。
目前在国内应用比较广泛的Cisco路由器包括2500系列、4000系列、7000系列和7500系列，这些路由器进行路由的过程基本上是相似的，但是交换的过程却根据其系统结构的不同而不同。
7000系列支持过程交换、快速交换、自治交换和硅交换。Cisco 7500系列路由器比7000系列在体系结构方面有很多改进。路由处理器和交换处理器的功能被集成到路由器交换处理器（RSP）中。这一新的体系结构减少了快速交换时系统总线的负载。集成后的功能对路由处理器和交换处理器都作了性能、稳定性、可扩充性和安全等方面的优化。7500系列路由器既不支持自治交换也支持硅交换，它支持更加灵活的优化交换。
Cisco 4000/2500系列路由器的硬件结构比7000/7500系列路由器的硬件结构简单。这些设备只在交换过程中才共享存储器。所有的报文缓存和Cache都位于共享存储器中，因此只支持快速交换或过程交换。
需要知道过程交换需要通过查询路由表来做出路由选择，而且其他交换技术都是通过缓存来提高交换速度的，因为其缓存的位置不同而分别称为不同的技术。
3 故障诊断与排除命令
Cisco ISO操作系统软件提供了一组功能丰富的命令，可以用来进行故障查找与排除、问题诊断以及性能检测。命令大致可以分为两类：show命令和debug命令。同时，还包含一组用于连接这两类命令的clear命令。下面我们分别讲解各命令
3.1 show命令
在这一节中，我们将讲述最常用的show命令，阐述这些命令的输出以及这些命令适用于解决的故障类型。为了叙述清楚，这些命令被分为全局系统命令、与接口相关的命令和与协议相关的命令。我们仅讨论最常使用的命令。
全局系统命令
本节将列出与路由器软件和硬件相关的输出命令，其中包括存储区和电源。show version命令是最基本的命令之一，它显示路由器本身以及其所使用的软、硬件的基本信息。show hardware命令的功能与show version命令类似。
命令的输出信息包括：IOS的版本、路由器持续运行的时间约23周、最近一次重启动的原因、路由器主存的大小、共享存储器的大小、闪存的大小、IOS映像的文件名，以及路由器从何处启动等信息。show version命令显示了路由器的许多非常有用的信息。在解决问题时，通常应该从这个命令开始收集数据。
如果路由器的多个接口同时丢失报文，则可能由于路由器内存不足或者CPU过载。用户可以使用show memory命令检查内存利用率（如下所示）。CPU利用率可以使用show process命令检查。
YH-Router#show memory
Head Total(b) Used(b) Free(b) Lowest(b) Largest(b)
Processor 60DB19C0 19195456 6162924 13032532 11615164 11250780
Fast 60DB19C0 131072 128344 2728 2728 2684
show memory的前两行显示了存储器的一般信息，它表明系统有足够可用的内存。同时它还显示内存中没有碎片，因为在13.03兆字节可用内存中最大的可用块接近11.25兆字节。内存碎片表明内存被划分为了许多不连续的块。它将导致内存的利用率降低，严重时可能产生内存错误从而也严重影响路由器的性能。
现在看一看路由器中有许多内存碎片的情形（如下所示）。此时我们有足够多的可用内存（8.4兆字节），但是其中最大的块仅为0.5兆字节。连续内存中没有足够大的可用块，这有可能导致严重的内存分配问题。这些问题有时表现为一个或多个接口间歇性的丢失报文。此时路由器产生内存碎片错误消息。
HX-Router#sh mem
Head Total(b) Used(b) Free(b) Lowest(b) Largest(b)
Processor 60DB19C0 19195456 10713712 8481744 192680 586748
Fast 60DB19C0 131072 90936 40136 40136 40092
使用命令show memory free，用户可以看到可用内存被划分为许多很小的碎片。需要注意的是，路由器中存在一定数量的内存碎片是正常的。虽然并没有一个很严格的界限来划分内存碎片的可接受程度，但是可用块的大小至少应该不小于可用内存的一半。用户可以通过重新启动路由器来解决这个问题。在重新启动时，系统重新分配内存和缓存空间。此时，用户应该监视内存分配的过程。如果再次发生类似的情况，则应该咨询Cisco TAC。
用户可以使用show process cpu命令检查路由器的CPU是否过载。该命令将给出路由器CPU的利用率，同时显示路由器中不同进程的CPU占用率。在下述示例中，路由器的CPU工作正常。在通常情况下，在5分钟内CPU的平均利用率小于60%是可以接受的。如果怀疑CPU利用率出现了问题，则需要不断地监视这一参数，因为它可能在短时间内发生变化。最好每10秒钟使用一次该命令。通过这种方法，可以清楚地了解CPU利用率的波动情况。
YH-Router#sh process cpu
CPU utilization for five seconds:15%/4%;one minute:175;five minutes:19%
PID Runtime(ms) Invoked uSecs 5Sec 1Min 5Min TTY Process
1 460184 5380085 85 0.00% 0.00% 0.00% 0 NTP
2 252749536 2384205 106010 0.00% 2.35% 2.65% 0 Check Heaps
......
13 26155236 9135958 2862 0.32% 0.25% 0.22% 0 IP Background
14 317720 150150 2116 0.00% 0.00% 0.00% 0 IP Cache ager
......
23 51598380 135094851 381 0.32% 0.24% 0.28% 0 IPX Input
24 86792124 23662071 3667 0.98% 0.87% 0.89% 0 IPX RIP
25 438480948 123384161 3553 7.94% 3.31% 3.91% 0 IPX SAP
......
如果CPU的平均利用率超过了80%，则表明路由器过载。下一步需要检测那一些进程导致了CPU利用率过高。在上面的显示中，我们可以看到进程IPX SAP占用了绝大部分的CPU处理能力，但是它还在可以接受的范围之内。有时候，如果SRB background参数持续过高，则表明发生了路由网桥风暴。
show process memory命令可以用来给出路由器可用内存的一般信息，然后显示每一个进程所占用的内存空间的详细信息。
如果路由器由于临时重启动而完全崩溃，则相应的错误消息将包含在show version命令的输出中。show stack命令用于跟踪路由器的堆栈，提供路由器临时重新启动的原因。如果由于错误而导致重新启动，堆栈记录将在输出的末尾显示。为了抽取与故障相关的信息，堆栈记录需要解码。这一工作通常由Cisco TAC工程师完成。此外，拥有相应CCO登录ID的用户可以通过将show stack命令的输出发送到CCO而获得解码信息。堆栈记录解码的结果有时与Cisco路由器的bug有关。
当用户向Cisco TAC报告故障时，支持技术人员通常要求用户发送show tech_support命令的输出结果。这个命令将导致下述命的按序执行：Show version、Show controllers、Show buffers、Show interface、Show stack、Show process cpu、Show process memory和Show running-config。这些命令的组合将给出路由器配置以及大多数关键性能参数的详细信息。show tech_support命令的输出对于Cisco TAC技术人员解决复杂网络问题是十分有用。
与接口相关的命令
下面我们将阐述一些直接与路由器活跃接口相关的命令。show ip interface brief将显示每一个路由器接口的IP地址信息以及第二层的状态信息（如下所示）。其他与IP对应的协议的相关性信息可以通过相应命令属性获得，比如show ipx interface brief。
YH-Router#sh ip in brief
Interface IP-Address OK? Method Status Protocol
TokenRing0/0 172.26.12.3 YES NVRAM up up
TokenRing0/1 172.27.12.3 YES NVRAM up up
TokenRing0/2 172.28.12.3 YES NVRAM up up
TokenRing0/3 unassigned YES NVRAM administratively down down
Ethernet1/0 172.30.12.3 YES NVRAM up up
Ethernet1/0 172.31.12.3 YES NVRAM up up
Ethernet1/0 172.32.12.3 YES NVRAM up up
Ethernet1/0 172.33.12.3 YES NVRAM up up
show interface命令可以获得更多的信息。我们以以太网为例来讨论这些通用接口参数。
YH-Router#sh int e1/0
Ethernet1/0 is up,line protcol is up
Hardware is cxBus Ethernet,address is 00e0.f78a.6d40(bia 00e0.f78a.6d40)
Description:seg=E2 LAB SRV1
Internet address is 172.30.12.3/16
MTU 1500bytes,BW 10000Kbit,DLY 1000usec,rely 255/255,load 1/255
Encapsulation ARPA, loopback not set, keepalive set(10sec)
ARP type:ARPA,ARP Timeout 04:00:00
Last input 00:00:00,output 00:00:00,output hang never
Queueing strategy:fifo
Output queue 0/40,44 drops;input queue 0/75,66114 drops
5 minute input rate 181000 bits/sec,23 packets/sec
5 minute output rate 43000 bits/sec,26 packets/sec
525599659 packets input,2042735431 bytes, 0 no buffer
Received 4004547 broadcasts,10 runts,0 giants
139 input errors, 0 CRC, 129 frame, 0 overrun, 0 ignored, 0 abort
0 input packets with dribble condition detected
481020335 packets output, 1069273018 bytes, 47 underruns
20 output errors, 95880485 collisions, 0 interface resets
0 babbles, 0 late collision, 0 deferred
0 lost carrier, 0 no carrier
0 output buffer failures, 0 output buffers swapped out
其中：
Ethernet 1/0 is up 表明OSI模型的第一层成功启动。
Line protocol up 表明第二层成功启动 。
Description 用户自定义的描述。使用这一功能给出接口准确的描述是十分重要的。在一个大型组织中，一个局部网络的工程师很难定位发生故障的路由器。
MTU 指定最大传输单元，用户可以配置。
BW、Dly、rely、load（带宽、延迟、可靠性和负载）：这些参数与IGRP/EIGRP标准有关。带宽和延迟的配置可以影响到路由选择。在工作正常的接口中，可靠性的值为255。除非在十分繁忙的条件下，否则负载通常不应超过150/255。
Encapsulation 它指在接口的第二层封装。在以太网中，对于IP，Cisco的缺省设置为ARPA，而IPX的缺省设置为Novell-Ether。
从输出中还能获取哪些其他的信息呢？读者可以看到，ARP cache timeout的值为4小时（该值为缺省设置）。从路由器接口输入到输出的时间不到1秒钟。输出从未被挂起。接口计数器最后一次被清0是在5个星期以前。在评估接口的统计信息时，这些数据是十分有用的。在通常情况下，可以将计数器清０以便作进一步的监视。
接口所采用的是FIFO排队规则。输出队列和输入队列的缺省长度分别为40和75。队列中都不包含报文。在计数器最后一次被清0后，输入队列丢失了许多报文。但是，正如我们前面所说的，计数器5个星期未被清0；因此，该值不能说明一定发生了网络故障。在这种情况下，应该首先将计数器清０，然后再监视输出队列的丢失报文数。
同时，命令的输出中还显示每1秒钟通过路由器接口的平均信息量（以字节为单位）以及报文数。这些参数的总量信息、路由器接口观测到的所有广播报文的数量也在命令的输出中显示。如果广播报文的数量增长非常迅速，尤其是如果相对于输入报文的数量非常高，则表明在局域网段中有广播风暴。由于某些特定的应用程序需要频繁使用广播报文，因此确定广播报文的数量阀值是很困难的。但是，如果广播报文的数量超过了整个输入报文的30%，则需要使用局域网协议分析仪进一步检测网络。
我们还可以获取接口的下列错误检测信息：
Runts 是指大小小于最小值的报文。在示例的以太网中，该值为64。以太网中指定最小报文大小大小是由于在这种传输模式下的工作站需要检测碰撞。如果以太网段中包含以太网中继器并且其距离符合规定的标准，最小报文大小大小可以使处在这种传输模式下的工作站检测线路中的任何碰撞。
Giants 指大小超过线路可以承受的最大报文大小的报文。以太网的MTU通常为1500字节，或者最大的封装数据为1500字节。
Input errors 指到达报文中检测到的错误，也可能表明网段本身发生了错误。
Output errors 指输出报文中的错误，它可能表明路由器接口本身发生了故障。
CRCs 由于报文不正确的以太网校验和而检测到的循环冗余校验错。它可能由于网段的噪声引起，或者由于网卡故障、报文冲突引发。CRC的频率应是每100000个输入报文中发生一次。
Frame errors 指接收到的帧的类型与路由器以太网帧类型（IP协议帧类型为ARPA）不匹配。
Aborts 在碰撞检测中过度的重传而导致的问题。在以太网中，重传的最大次数不超过15次。
Dribble condition 指接收到的帧比MTU大，但不属于Giants。
Babble 是指持续接收到可疑的帧。
Deferred 如果线路繁忙，报文在传输时将被延缓发送。
Interface resets 在检测到过多的错误时，路由器将重置接口。这些错误可能存在于局域网段中，也可能是接口本身的错误。在此不能够判断具体是那儿发生故障，但是，如果伴随着大量的输出错误，则表明路由器接口本身发生故障。
Collisions 在以太网中，冲突被分为两大类：early和late。early collision 由发送方在帧的前64个字节进入线路之前检测到的冲突。early collision是以太网CSMA/CD访问方法中的组成部分。early collision通常导致小的被中断的帧或称为runt。Late collision发生在帧的多个字节（大于64）被发送到线路中时产生的冲突。在理论上，以太网不会产生此类冲突。产生late collision的原因包括：
n;; 电缆违反了距离规则。
n;; 发生故障的NIC卡不正确地监听线路。
Lost carrier 表明在计数器最后一次清0后，载波和线路协议发生的故障。此类故障通常与路由器无关。例如，载波丢失可能是因为路由器与集线器之间的电缆连接中断。
Buffer parameters show interface命令还提供与缓冲区分配有关的故障信息，它包括no buffer、overruns、ignored、underruns、buffer failures和swapped out buffers等。

上面，我们详细讨论了show interface命令的用法。这些命令的输出提供了与路由器接口相关以及与传输介质相关的参数等有价值的信息。
show controller命令提供连接到路由器接口物理线路以及传输介质的详细信息。并且提供状态的历史信息。其中一些详细信息很少被使用，它们一般仅被TAC技术人员用于解决十分复杂的问题。
与协议相关的命令
本节将讨论如何使用与不同协议相关的显示命令。
show protocol命令给出了路由器运行的协议信息以及路由这些协议的每一个接口的地址信息（如下所示）。
YH-Router#sh protocol
Global values:
Internet Protocol routing is enabled
Novell routing is enabled
Serial0 is up, line protocol is up
Internet address is 171.137.8.130/25
Novell address is AB890880.0000.30e8.b7c8
Serial1 is administratively down, line protocol is down
TokenRing0 is up, line protocol is up
Internet address is 171.137.6.1/25
Novell address is AB890600.0000.30e8.b7c8
......
3.2 Debug命令
Cisco IOS 软件中包含大量的调试命令。这些命令可以在路由器正常工作或者发生网络故障时获得在路由器中交换的报文和帧的细节信息。调试命令在排除网络故障时的特殊功能，可以减少用户对协议分析仪的需求。在使用调试命令时，需要注意以下几点：
n;; 在没有完全掌握调试命令的工作过程以及它所提供的信息时，不要使用调试命令。
n;; 调试命令仅能捕获通过过程交换的报文。调试命令会明显增加处理器的负载。某一些命令的负载很小，但是另一些处理器敏感的命令会极大地增加处理器的负担。建议读者在使用调试命令之前，使用命令show process cpu检查CPU的负载。即使CPU的负载很小，在使用处理器敏感的命令时仍需要十分慎重。在不能确定的情况下，可以查询Cisco调试命令参考手册。对CPU十分敏感的命令将会产生警告信息。通常情况下，调试命令的大量输出将会增加处理器的负担。
n;; 调试命令针对故障排除，监视时最好不要使用这些命令。在获得了足够的信息后，应立刻中止调试命令的执行。
下面我们将阐述在Cisco IOS中可以使用的各种调试命令。为了叙述清楚，我们将所有的调试命令分为三类：全局（系统）调试命令、接口调试命令以及协议调试命令。与show命令类似，这些命令之间并没有严格的界限。
首先，需要了解的是有哪些调试命令可以使用。使用与调试相关的帮助，输入“debug ?”，我们将获得了一个命令的列表，其中每一个命令都包含若干的属性，它们在排除故障时提供各种不同的作用。 br />全局调试
在配置Cisco路由器时，全局和接口命令的界限是十分明显的。在这种情况下，我们使用“全局”来标识那些不能用于接口调试或者特定的传输介质类型和协议调试的命令。例如，在2500系列路由器中，就可以使用调试命令分析Cisco发现协议（Cisco Discovery Protocol，CDP）。我们通过telnet远程登录到路由器。在缺省方式下，调试命令的输出被发送到控制台，如果处于telnet会话中，我们可以使用terminal monitor命令查看输出。
接口调试
debug serial interface命令是直接与路由器接口和传输介质类型相关的调试命令。在下面的示例中，串行接口采用HDLC封装。端到端的HDLC保持活跃的报文每10秒钟交换一次。这表明链路操作正常并且第二层工作正常。show interface serial0命令表明线路协议正常启动。使用undebug all命令关闭所有的调试。
YH-Router#debug serial interface
Serial network interface debugging is on
YH-Router#
Jun 1 21:54:55 PDT:Serial0: HDLC myseq 171093, mineseen 171093*, yourseen 1256540,line up
Jun 1 21:55:05 PDT:Serial0: HDLC myseq 171094, mineseen 171094*, yourseen 1256541,line up
Jun 1 21:54:15 PDT:Serial0: HDLC myseq 171095, mineseen 171095*, yourseen 1256542,line up
YH-Router#undebug all
All possible debugging has been turned off
协议调试
下面我们举协议调试的两个示例。两个示例都与IP协议有关。当然，调试命令适用于所有的其他协议。
第一个示例（如下所示）显示ARP调试。ARP调试启动，然后清除ARP缓存，同时产生了ARP请求和响应。首先，我们使用命令清除了路由器上所有的ARP缓存，因此路由器连接的每一个局域网段都将产生ARP报文。因为我们不需要产生过多的ARP报文，所以所选择的路由器仅与一个以太网段相连。
YH-Router#debug arp
ARP packet debugging is on
YH-Router#clear arp
YH-Router#
*Jun 1 21:57:36 PDT: IP ARP: sent req src 171.136.10.1 00e0.1eb9.bbcd
dst 171.136.10.34 00a0.24d1.5823 Ethernet0
*Jun 1 21:57:36 PDT: IP ARP: sent req src 171.136.10.1 00e0.1eb9.bbcd
dst 171.136.10.10 0080.5f06.ca3d Ethernet0
......
*Jun 1 21:57:36 PDT: IP ARP: rcvd req src 171.136.10.10 0080.5f06.ca3d, dst 171.136.10.1 Ethernet0
*Jun 1 21:57:36 PDT: IP ARP: creating entry for IP address:171.136.10.10,hw: 0080.5f06.ca3d
......
第二个示例（如下所示）显示IP RIP调试。在调试开始时，并没有清空路由器表，因为路由器每隔30秒自动进行一次RIP更新，因此不需要强制更新。与第一个示例中类似，在获得了足够的信息后应该关闭所有的调试。
YH-Router#debug ip rip events
RIP event debugging is on
YH-Router#
NOV 27 13:55:45 PST: RIP: sending v1 update to 255.255.255.255 via TokenRing1/0 (165.48.65.136)
NOV 27 13:55:45 PST: RIP: Update contains 25 routes
NOV 27 13:55:45 PST: RIP: Update queued
NOV 27 13:55:45 PST: RIP: Update contains 6 routes
NOV 27 13:55:45 PST: RIP: Update queued
NOV 27 13:55:45 PST: RIP: Update sent via TokenRing1/0
......
YH-Router#undeb all
All possible debugging has been turned off
3.3 Ping命令
Ping是最常使用的故障诊断与排除命令。它由一组ICMP回应请求报文组成，如果网络正常运行将返回一组回应应答报文。ICMP消息以IP数据包传输，因此接收到ICMP回应应答消息能够表明第三层以下的连接都工作正常。
Cisco的ping命令不但支持IP协议，而且支持大多数其他的桌面协议，如IPX和AppleTalk协议的ping命令。我们首先看一下支持IP协议的ping命令以用户EXEC方式执行的情况，然后再讨论在特权模式下，扩展的ping命令包含的许多强大功能。
用户执行模式
IP PING 简单的IP ping既可以在用户模式下执行，也可以在特权模式下执行。正常情况下，命令会发送回5个回应请求，5个惊叹号表明所有的请求都成功地接收到了响应。输出中还包括最大、最小和平均往返时间等信息。
每一个“！”表明一个echo响应被成功的接受，如果不是“！”号，则表明echo响应未被接收到的原因：
！ 响应成功接收
· 请求超时
U 目的不可达
P 协议不可达
N 网络不可达
Q 源抑制
M 不能分段
？ 不可知报文类型
IPX PING IPX ping命令只能在运行IOS v 8.2及其以上版本的路由器上执行。用户模式下的IPX ping通常仅用于测试Cisco路由器接口。在特权模式下，用户可以ping特定的NOVELL工作站，命令的格式为“ping ipx IPX地址”。
APPLETALE PING 该命令使用Apple Echo Protocol（AEP）以确认AppleTalk节点之间的连通性。需要注意的是，目前的Cisco路由器仅对以太网接口支持Apple Echo Protocol。命令的格式为“ping apple Appletalk地址”。
特权执行模式
在特权执行模式下，扩展的ping命令适用于任何一种桌面协议。它包含更多的功能属性，因此可以获得更为详细的信息。通过这些信息我们可以分析网络性能下降的原因而不单单是服务丢失的原因。扩展的ping命令的执行方式也是敲入ping。然后路由器提示各种不同的属性。
EXTENDED IP PING 其使用方法如下所示：
YH-Router#ping
Protocol [ip]:
Target IP address: 165.48.183.12
Repeat count [5]: 10
Datagram size [100]: 1600
Timeout in seconds [2]:
Extended commands [n]: y
Source address or interface: 165.48.48.3
Type of service [0]:
Set DF bit in IP header? [no]:
Data pattern [0xABCD]:
Loose, Srict, Record, Timestamp, Verbose[none]:
Sweep range of sizes [n]:
Type escape sequence to abort.
Sending 10, 1600-byte ICMP Echoes to 165.58.183.12, timeout is 2 seconds:
!!!!!!!!!!
Success rate is 100 percent (10/10), round-trip min/avg/max = 36/39/48 ms
首先我们讨论特权模式下的ping的各种可用属性。每种属性的缺省值在括号中显示。
Protocol 需要测试的协议。
Target address 测试的目标地址。
Repeat count 如果出现间歇性的失败或者响应时间过慢，ping重复的次数。
Datagram size 如果怀疑报文由于延迟过长或者分段失败而丢失，则可以提高报文的大小。例如，我们可以使用1600字节的报文来强制分段。
Timeout 如果怀疑超时是由于响应过慢而不是报文丢失，则可以提高该值。
Extended commands 回答确定以获得扩展属性。
Source address 必须是路由器接口的地址。
Type of service 根据RFC 791 TOS规定的属性，通常缺省值为0。
Set DF bit in IP header？ 通过设置DF位禁止分段，即使是报文超过了路由器定义的MTU也禁止分段。
Data pattern [0xABCD] 通过改变数据模式可以测试线路的噪声。
Loose，Strict，Record，Timestamp，Verbose[none] 这些都是IP报文头的属性。一般只使用Record属性和Verbose，其他属性很少被使用。Record可以用来记录报文每一跳的地址，Verbose属性给出每一个回应应答的响应时间。。
Sweep range of sizes [n] 该属性主要用于测试大报文被丢失、处理速度过慢或者分段失败等故障。

EXTEND IPX PING 扩展的IPX ping也允许用户修改参数，比如报文大小和重复次数。对用户模式下ping的另一个增强属性是使用了Novell Standard echo属性。使用这一属性，用户可以ping装载IPX的工作站。如果禁用该属性，Novell IPX设备将不响应ping，因为它们不支持Cisco proprietary IPX ping协议。用户可以修改设备的属性使它们支持这一特性
EXTENDED APPLETALK PING 扩展的AppleTalk ping命令是对用户模式下ping的增强，这一点与扩展的IPX ping类似。与IP和IPX扩展ping一样，用户也可以选择Verbose等属性。
3.4 trace命令
trace命令提供路由器到目的地址的每一跳的信息。它通过控制IP报文的生存期（TTL）字段来实现。TTL等于1的ICMP回应请求报文将被首先发送。路径上的第一个路由器将会丢弃该报文并且发送回标识错误消息的报文。错误消息通常是ICMP超时消息，表明报文顺利到达路径的下一跳，或者端口不可达消息，表明报文已经被目的地址接收但是不能向上传送到IP协议栈。
为了获得往返延迟时间的信息，trace发送三个报文并显示平均延迟时间。然后将报文的TTL字段加1并发送3个报文。这些报文将到达路径的第二个路由器上，并返回超时错误或者端口不可达消息。反复使用这一方法，不断增加报文的TTL字段的值，直到接收到目的地址的响应消息。
在有些情况下，使用trace命令可能会导致故障。因为IOS中存在与trace命令相关的bug。这些bug的相关信息可以从CCO得到。另外一个问题是，某些目标站点不响应ICMP端口不可达消息。当命令的输出显示一系列星号（*）时，就可能碰到了此类站点。用户可以使用Ctrl-Shift-6中断命令的执行。
用户执行模式 下面展示了一个简单的在用户执行模式下执行的trace命令的输出。到达目的地的距离是3跳。TTL值为1的3个报文的响应消息是ICMP超时错误，并且返回报文的IP地址有两个。因为路由器1和路由器2在同一个网段中，并且它们到路由器3的距离都是一跳，因此这些路由器都响应该报文。
Router3#trace 171.144.1.39
Type escape sequence to abort.
Tracing the route to Router9 (171.144.1.39)
1 Router2 (165.48.48.2) 0 msec
Router2 (165.48.48.2) 0 msec
Router1 (165.48.48.1) 0 msec
2 165.48.48.129 12 msec
Router6 (165.48.49.129) 12 msec 12 msec
3 Router4 (171.133.1.2) 12 msec 12 msec
Router9 (17.144.1.39) 12 msec 12 msec
Router3
下面列出了IP trace命令的输出中出现的不同字符及其含义：
XY msec 在接收到响应消息之前的往返延迟（以毫秒为单位）
* 报文超时
？ 报文类型不能识别
U 端口不可达
P 协议不可达
N 网络不可达
H 主机不可达
Q ICMP 源抑制
特权模式扩展Trace 用于扩展ping命令的许多属性都可以用来扩展trace命令的功能。扩展trace命令的特殊属性有：
Numeric display 在缺省情况下，trace命令的输出中既包括IP地址也包括其对应的DNS域名。如果用户不需要显示DNS域名，则可以使用该属性。
Probe count 其缺省值为3，用户可以根据需要进行调整。
TTL 该值可以在最大和最小TTL值之间变化。
Port number 这是一个非常有用的属性，它可以使工程技术人员跟踪特定的传输层端口。因此，不但可以确认源端与目的端之间的IP连通性，而且可以确认高层服务是否可被访问。

与trace命令相关的另外一个问题是，如果存在到达目的地的多条路径，返回报文的源地址可能不相同。在这种情况下，用户需要仔细比较不同返回报文的延迟时间。如果仍不能得到明确的结果，可以远程访问路径上的一个或多个路由器，使用trace命令访问源地址和目的地址。
4 理解Cisco错误消息
4.1 错误消息格式
系统错误消息格式如下：
%Facility - subfacility - Severity - Mnemonic ： Message Text
Facility 它指出错误消息涉及的设备名。该值可以是协议、硬件设备或者系统软件模块。
Subfacility 它仅与通道接口处理器（CIP）卡有关。详细的信息可以参见Cisco文档的相关章节。
Severity 它是一个范围在0到7之间的数字。数字的值越小，严重程度越高。
Mnemonic 唯一标识错误消息的单值代码。该代码通常可以暗示错误的类型。
Message Text 它是错误消息的简短描述，其中包括涉及的路由器硬件和软件信息。
下面是一些错误消息的示例。用户可以查阅CCO ISO文档的系统错误消息一节，以查找这些错误消息的说明。
%DUAL-3-SIA：Route 171.155.148.192/26 stuck-in-active state in IP-EIGP 211. Cleaning up
%LANCE-3-OWNERR: Unit 0, buffer ownership error
需要注意的是，并不是所有的消息都涉及到故障或者问题的状况。某些消息显示的是状态方面的信息。例如，以下消息仅表明ISDN BRI 0接口与特定的远端数据连接。
%ISDN-6-CONNECT: Interface BRI0 is now connected to 95551212
4.2 Traceback Report
某些与路由器内部错误相关的错误消息包含了traceback信息。在向Cisco TAC报告错误时，应在错误描述中加入这些信息。
5 错误消息和事件信息的日志
根据错误消息的重要性和有效性，Cisco错误消息可以被记录到以下位置：
n;; 控制台
n;; 虚拟终端
n;; Syslog服务器
n;; 内部缓冲区
logging on命令使日志消息的输出到上述位置。对于Syslog服务器，必须使用下述全局配置命令指明服务器的IP地址：
logging ip-address
通过反复使用这一命令，可以建立一个服务器的列表。在管理大型网络时，通常需要设置冗余服务器。
logging buffered命令用于将日志信息发送到内部缓冲区。缓冲区的大小必须在4096字节以上。缺省值根据系统平台的不同而不同。用户需要选择适合环境的缓冲区大小。如果缓冲区太小，新的消息将会覆盖旧的消息。这有可能会导致问题。但是，如果缓冲区大小过大将会浪费系统缓存。no logging buffered命令将禁止消息被写入内部缓存。
用户可以使用show logging命令显示内部缓冲区的内容。如果用户需要某一时间段的信息，首先使用NTP或者手工设置时钟，具体操作为：
YH-Router#clock set 11:37:00 December 2000
YH-Router#sh clock
11:37:03.596 PST Fri Dec 11 2000
日志消息的时间戳和调试信息可以使用以下全局配置命令：
YH-Router (config)#service timestamps log datetime
YH-Router (config)#service timestamps debug datetime
terminal monitor命令将在当前终端上显示调试时的日志信息。该命令不是一个配置命令。相反，它可以通过telnet到路由器时在命令行方式下使用。
在大多数情况下，用户可能需要显示某一级别的日志信息。因此，日志信息被分为八个不同的级别，按照重要程度由高到低排列如下：
n;; Emergencies
n;; Alerts
n;; Critical
n;; Errors
n;; Warnings
n;; Notifications
n;; Informational
n;; Debugging
例如，需要在控制台上显示严重程度等于或者大于警告（Warning）的所有日志信息，可以使用下述全局配置命令：
logging console warning
类似的，将某种类型的日志信息发送到当前的终端时，使用
logging monitor level
或者将信息发送到Syslog服务器时使用
logging trap level
与terminal monitor命令不同，logging monitor命令是路由器配置的一部分。前一种命令不允许在不同的安全级别下执行。
需要注意的是，将日志记录到不同的位置时，系统开销变化很大。将日志记录到控制台的开销比较大，然而将日志记录到虚拟终端时开销较小。使用Syslog服务器时开销更小。系统开销最小的日志写入方式是写入内部缓冲区。
6 核心转储（Core Dump）
为了查找路由器崩溃的原因，我们可以使用许多命令来获取有效的信息。其中我们已经讲解了show stacks命令的用法。核心转储是系统内存映象的拷贝，它可以被写入到TFTP服务器中。从这个二进制文件中，我们可以获得与路由器崩溃或者严重误操作相关的信息，通过这些信息可以排除可能的故障。
下面的配置命令将核心转储写入到命令中IP地址对应的TFTP服务器上：
exception dump ip-address
write core命令通常用于路由器发生严重的误操作但是没有完全崩溃时，保存核心映像。
只有运行IOS v 9.0或更高版本的服务器才可以使用核心转储。但是，需要注意的是，在使用核心转储时，最好获取有经验的工程师或者Cisco TAC的支持。
7 结束语
要顺利地诊断并排除网络故障，网络工程技术人员必须掌握两种基本的技能。首先是对网络技术和协议要有清楚的理解，它是诊断与排除网络故障的基础。没有适当的知识和经验，故障诊断与排除工具比如路由器诊断命令和网络分析仪都不能发挥其作用。
网络工程技术人员必须掌握的第二种技能是将所掌握的知识以有条理的方式应用于诊断和排除网络故障的过程中。本文虽然只阐述了一些诊断的命令，但需要强调的是：故障诊断与排除是一种结构化的方法。许多工程技术人员认为故障诊断与排除计划不如研究和应用技术本身重要。事实上，正确的计划在故障诊断与排除过程中往往起决定性的作用。在故障排除过程中，一个偶然的行为可能使故障得以顺利解决，但是它不能替代结构化的故障诊断与排除方法。
网络故障的排除是一项系统工程，应该经过定义问题、搜集事实、基于事实考虑可能性、建立行动计划、实施计划、观察结果和循环过程等步骤，这一过程就如同软件开发过程的瀑布模型，其重要性是不言而喻的。限于篇幅，本文对这些知识不再赘述

第1章 故障处理方法

一、网络的复杂性

一般网络包括路由、拨号、交换、视频、WAN（ISDN、帧中继、ATM、…）、LAN、VLAN、…

二、故障处理模型

1、 界定问题（Define the Problem）
详细而精确地描述故障的症状和潜在的原因

2、 收集详细信息（Gather Facts）
信息来源：关键用户、网络管理系统、路由器/交换机
1） 识别症状：
2） 重现故障：校验故障依然存在
3） 调查故障频率：
4） 确定故障的范围：有三种方法建立故障范围
Ø 由外到内故障处理（Outside-In Troubleshooting）：通常适用于有多个主机不能连接到一台服务器或服务器集
Ø 由内到外故障处理（Inside-Out Troubleshooting）：
Ø 半分故障处理（Divide-by-Half Troubleshooting）

3、 虑可能情形（Consider Possibilities）
考虑引起故障的可能原因

4、 建立一份行动计划（Create the Action Plan）
5、 部署行动计划（Implement the Action Plan）
用于纠正网络故障原因。从最象故障源处，想出处理方法
每完成一个步骤，检查故障是否解决

6、 观察行动计划执行结果（Observe Results）

7、 如有行动计划不能解决问题，重复上述过程（Iterate as Needed）

三、记录所做修改

在通过行动计划解决问题后，建议把记录作为故障处理的一部分，记录所有的配置修改。

第2章 网络文档

一、网络基线

解决网络问题的最简单途径是把当前配置和以前的配置相比较。
基线文档由不同的网络和系统文档组成，它包括：
Ø 网络配置表
Ø 网络拓扑图
Ø ES网络配置表
Ø ES网络拓扑图

创建网络的注意事项：
1） 确定文档覆盖的范围；
2） 保持一致：收集网络中所有设备的相同信息；
3） 明确目标：了解文档的用途；
4） 文档易于使用和访问；
5） 及时维护更新文档。

二、网络配置表

网络配置表的通常目标是提供网络中使用的硬件和软件组成的列表，其组成有：
分级 项目
杂项信息 设备名、设备型号、CPU类型、FLASH、DRAM、接口描述、用户名口令
第1层 介质类型、速率、双工模式、接口号、连接插座或端口
第2层 MAC地址、STP状态、STP根桥、速端口信息、VLAN、Etherchannel配置、封装、中继状态、接口类型、端口安全、VTP状态、VTP模式
第3层 IP地址、IPX地址、HSRP地址、子网掩码、路由协议、ACL、隧道信息、环路接口
在多数情形下，存储这些信息的最佳方式是电子表格或数据库，电子表格用于较小的网络，数据库用于较大的网络。

三、网络拓扑图

网络拓扑图是图示网络的各组成部分之间如何在逻辑上和物理上相互连接。

1、网络拓扑图的组成
分级 项目
杂项信息 设备名、设备型号、设置间连接、接口描述
第1层 介质类型、接口号
第2层 MAC地址、VLAN、封装、中继状态、接口类型、DLCI
第3层 IP地址、子网掩码、路由协议

对于大型的网络，可以制作多个网络拓扑图，每个网络拓扑图反映一个分离的部分。

2、建立网络拓扑图

四、发现网络配置信息

1、收集路由器和第3层交换机网络配置信息
show version ；显示设备型号、Flash、DRAM、IOS版本
show ip interface brief ；显示接口简要信息（类型、状态、协议状态、IP地址）
show interface e0/0 ；显示某接口详细信息（MAC、IP、MASK、…）
show ip protocols ；显示IP路由协议信息
show ip interface e0/0 ；显示接口的IP协议信息（状态、IP地址、ACL、…）

2、收集交换机配置信息
交换机网络配置表包含的信息：设备名、型号、位置、Flash、DRAM、CATOS版本、管理地址、VTP域、VTP模式、端口号、端口速率、端口双工、VLAN、STP状态、速端口状态、中继状态、…
show version ；显示IOS或CATOS版本、DRAM、Flash
show vtp domain ；（CatOS）显示VTP域和VTP模式
show vtp status ；（IOS）
show interface ；（CatOS）显示管理接口信息
show port ；（CatOS）显示每个端口的简要信息（号、VLAN、双工、…）
show interface ；（IOS）
show trunk ；（CatOS）显示中继信息（模式、封装、允许端口、剪裁、…）
show interface trunk ；（IOS）
show spantree 45 ；（CatOS）显示端口的STP模式、类型、状态、速端口、…）
show spanning-tree 45 ；（IOS）

3、发现相邻CISCO设备的信息
CDP（Cisco Discovery Protocol）是CISCO的专用协议，用于识别直接相邻的CISCO设备信息，CDP工作在第2层。
Show cdp neighbor ；显示相邻CISCO设备的简要信息（ID、相邻接口、平台、…）
Show cdp neighbor detail；显示相邻CISCO设备的详细信息（包含第3层信息）

五、创建网络文档的过程

1、 LOGIN ；登录到设备进入特权模式。

2、 接口发现 ；发现关于设备的所需信息

3、 Document ；在网络配置表中记录发现的信息。

4、 Diagram ；从网络配置表传输所需信息到网络拓扑图

5、 设备发现 ；判断是否有相邻设备没有记录文档。

第3章 ES文档和故障处理

一、ES网络配置表

ES网络配置表是ES的硬件和软件组成的列表。ES网络配置常包括以下项目：
分级 项目
杂项信息 系统名、系统厂商/型号、CPU速率、RAM、存储器、系统功能
第1、2层 介质类型、接口速率、VLAN、MAC、网络接头
第3层 IP地址、缺省网关、子网掩码、WINS、DNS、
第7层 操作系统（版本）、基于网络的应用程序、高带宽应用程序、低延时应用程序、特定考虑

二、ES网络拓扑图

ES网络拓扑图的典型项目有：系统名、网络连接、物理位置、系统目标、VLAN、IP地址、子网掩码、操作系统、网络应用程序
大多数ES网络拓扑图都建立在网络拓扑图中，其中还可加入ES网络配置表数据的子集。

三、收集ES网络配置信息

通用命令：
1） ping host/ip-address ；发送和接收ICMP响应，校验网络的连通性
2） arp -a ；查看修改ES的MAC-IP映射表（同一子网）
3） telnet host/ip-address ；登录远程ES或特定TCP端口

Windows平台命令
1） ipconfig /all ；查看修改ES的IP信息（适用所有Windows平台）
2） winipcfg ；查看修改ES的IP信息（仅适用于Win9x平台）
3） tracert host/ip-address ；校验到主机的连接并显示路径上的设备IP
4） route print ；显示本设备IP路由表的内容
5） netstat ；显示当前网络连接

Unix、Linux和Mac OS系统命令
1） ifconfig -a ；查看UNIX和MAC主机的IP信息
2） traceroute host/ip ；
3） route -n ；
4） cat /etc/resolv.conf ；查看DNS服务器信息

四、通用的故障处理过程

1、通用的故障处理过程：
l 收集症状：收集网络、用户、ES的症状
1） 分析现存症状
2） 判断所属
3） 窄化范围
4） 判定症状
5） 记录症状

l 分离问题
1） Bottom-Up troubleshooting
从物理层开始向上排查，直到应用层。常用于怀疑问题发生在物理层，或在处理复杂网络问题时使用。

2） Top-Down troubleshooting
从应用层开始向下排查故障，用于怀疑问题发生在软件部分。

3） Divide-and-Conquer troubleshooting
选择OSI模型的特定层（数据链路层、网络层、传输层）开始故障处理，确定问题是在该层、还是上层或下层。适于具有丰富的经验的人员使用。

常用traceroute命令检查下4层（从物理层到应用层）。

l 纠正问题

2、ES故障处理命令

1） ping
连续Ping： ping -t 192.168.0.1 ；Windows系统
ping -s 192.168.0.1 ；Unix环境
记录路由： ping -r 192.168.0.1 ；Windows
ping -s -nRv 192.168.0.1 ；Unix

2） Trace Route
Tracert 10.0.0.1 ；Windows系统
Tracerout 10.0.0.1 ；Unix

Ping记录路由器的出接口，而traceroute通常记录进入的接口。

3） Arp
显示第2层和第3层地址的映射表： Arp -a ；Windows/Unix

4） Route
显示路由表： route print ；windows系统
route -n ；Unix

5） Netstat
显示到ES的当前连接及端口： netstat -n ；Windowx & Unix

6） Ipconfig＆Ifconfig
显示ES的IP配置： ipconfig /all ；windows
ifconfig -a ；unix

7） Nbtstat
显示当前名称解析缓存： nbtstat -c ；
清除当前名称解析缓存： nbtstat -r ；

第4章 协议属性

一、OSI参考模型
应用层
表示层
会话层
传输层
网络层
数据链路层
物理层

二、全局协议分类
1、面向连接的协议：
windows size：在需要目标系统确认的传输的数据包数。
队列数据传送：对进入和发送的PDU指定序号，在目的地再按序号重排数据；
流控：确保发送的速率不超过目标接收的速率，通过为传输建立窗口尺寸实现；
错误控制：确保接收到的数据连续并无错，如有丢失或损失的PDU，则不发送ACK包。
面向连接的协议有：ATM、TCP、Novell SPX、Apple Talk ATP；

2、非连接的协议
不包括连接设置和终止，没有流控和错误控制。
非连接的协议有：UDP、Apple Talk DDP、Novell IPX；

三、第2层：数据链路层
1、Ethernet/IEEE802.3
2、Token Ring/IEEE802.5

四、PPP

五、SDLC

六、Frame Relay

七、ISDN

八、第3、4层：IP路由协议
1、IP
2、ICMP
3、TCP
4、UDP

第5层 Cisco测试命令和TCP/IP连接故障处理

一、故障处理命令
1、show命令：
1） 全局命令：
show version ；显示系统硬件和软件版本、DRAM、Flash
show startup-config ；显示写入NVRAM中的配置内容
show running-config ；显示当前运行的配置内容
show buffers ；详细输出buffer的名称和尺寸
show stacks ；提供路由器进程和处理器利用率信息, 用stack decode
show tech-support ；显示几个show命令的输出
show access-lists ；查看访问列表配置
show memory ；用于测试内存问题

2） 接口相关命令
show queueing [fair|priority|custom]
show queue e0/1 ；查看接口上队列的设置和操作
show interface e0/1 ；Cisco缺省的Ethernet封装方法是ARPA
show ip interface e0/1 ；显示指定接口的TCP/IP配置信息

3） 进程相关命令
show processes cpu ；显示路由器CPU的使用率和当前的进程
show processs memory ；显示路由器当前进程的内存使用情况

4） TCP/IP协议相关命令
Show ip access-list ；显示IP访问列表（1-199）
Show ip arp ；显示路由器的ARP缓存（IP、MAC、封装类型、接口）
Show ip protocols ；显示运行在路由器上的IP路由协议的信息
Show ip route ；显示IP路由表中的信息
Show ip traffic ；显示IP流量统计信息

2、debug命令
DEBUG不应在CPU使用率超过50%的路由器上运行。
1） 限制debug输出
在使用DEBUG获得所需数据后，要关闭Debug
使路由器对所有消息都配置使用时间戳：
Router#service timestamps debug datetime msec localtime
Router#service timestamp log datetime msec localtime
缺省，error和debug信息仅发送到console，telnet到路由器上看不到debug和log的信息。想在telnet中看到debug和log信息：
Router#terminal monitor
Router#terminal monitor ；关闭信息输出
Router#undebug all ；关闭debug进程及所有相关信息的输出

可以应用ACL到debug以限定仅输出要求的debug信息。
如仅查看从10.0.1.1到10.1.1.1的ICMP包：
Router(config)#access-list 101 permit icmp host 10.0.1.1 host 10.1.1.1
Router#debug ip packet detail 101

2） 全局debug命令：

3） 接口debug

4） 协议debug

5） IP debug
debug ip packets

3、logging命令
输出error和其它信息到console、terminal、路由器内部buffer或一台syslog服务器：
Router>show logging

Cisco路由器有8种可能的logging级：0-7
Logging级别 名称 描述
1 Emergencies 系统不能用的信息
2 Alerts 直接行动
3 Critical 紧急情形
4 Errors 错误信息
5 Warnings 警告信息
6 Notifications 正常但重要的情形
7 Informational 信息
8 Debugging 调试
缺省地，console、monitor、buffer的logging被设置为debugging级，而trap（syslog）服务器的logging被设置为informational。

4、执行路由核心复制
core dump包含一份当前系统内存中信息的精确拷贝。捕捉包含在内存中信息的方法有：
1） 配置路由器在崩溃时执行Core Dump，存储到TFTP、FTP、RCP服务器：
对TFTP协议，只需指定TFTP服务器IP，不需要任何附加的配置：
Router(config)#exception dump 192.168.1.1 ；TFTP服务器的IP地址

对FTP协议的配置：
Router(config)#exception dump 192.168.1.1 ；FTP服务器的IP地址
Router(config)#ip ftp username Kevin
Router(config)#ip ftp password aloha
Router(config)#ip ftp source-interface e0
Router(config)#exception protocol ftp

对RCP协议的配置：
Router(config)#exception protocol rcp
Router(config)#exception dump 192.168.1.1 ；RCP服务器的IP地址
Router(config)#ip rcmd remote-username Kevin
Router(config)#ip rcmd rcp-enable
Router(config)#ip rcmd rsh-enable
Router(config)#ip rcmd remote-host Kevin 192.168.1.1 kevin ；

2） 在系统没有崩溃的情况下，执行Core Dump命令。
Router#write core

Core Dump仅在Cisco工程师测试和解决路由器问题时有用。

5、ping命令
ping用于测试整个网络可达性和连通性。可在用户EXEC模式和特权EXEC模式下使用。
IP的ping使用ICMP协议提供连通性和可能性信息，缺省只发送5个echo信息。
扩展Ping的选项有：源IP地址；服务类型；数据；包头选项。
Ping的响应字符集
字符 解释 字符 解释
! Received an echo-reply message Q Source quench
. Timeout M Unable to fragment
U/H Destination unreachable A Administratively denied
N Network unreachable ? Unknown packet-type
P Protocol unreachable

6、traceroute命令
traceroute用于显示到达目标的包路径。可在用户模式和特权模式下使用。
Traceroute的响应：
字符 解释 字符 解释
Xx msec The RTT for each packet * Timeout
H Host unreachable U Port unreachable
N Network unreachable P Protocol unreachable
A Administratively denied Q Source quench
? Unknown packet type

二、LAN连接问题
1、获得IP地址
主机可以动态或静态获得IP地址。
1） DHCP：DHCP比BootP多了地址池和租期。
2） BootP：
3） Helper Addresses：指定集中放置的DHCP服务器的IP地址
Ip helperaddress ip-address ；
No ip forward-protocol udp 137 ；

4） 路由器上的DHCP服务：配置路由器为一台DHCP服务器
5） DHCP和BootP故障处理
Show dhcp server ；
Show dhcp lease ；

2、ARP
ARP映射第2层MAC地址到第3层地址。
Show arp ；显示路由器的ARP表
Debug arp ；

1） ARP代理：缺省Cisco路由器的ARP代理是启用的
在下列情况下，CISCO路由器将用自身的MAC地址响应ARP请求：
Ø 接收到ARP的接口上的Proxy ARP是启用的；
Ø ARP请求的地址不在本地子网；
Ø 路由器的路由表中包含ARP请求地址的子网；

3、TCP连接示例

三、IP访问列表
1、标准ACL：基于IP包的源IP地址允许或禁用
2、扩展ACL：提供源地址、目标地址、端口号、会话层协议进行过滤。
3、命名ACL：可以是标准ACL，也可以是扩展ACL。
命名ACL与编号ACL的区别：命名ACL有一个逻辑名，可以删除命名ACL中单独一行。
Ip access-list extended Example-Named-ACL
Deny tcp any any eq echo
Deny tcp any any eq 37
Permit udp host 172.16.10.2 any eq snmp
Permit tcp any any

第6章 TCP/IP路由协议故障处理

一、缺省网关
当包的目的地址不在路由器的路由表中，如路由器配置了缺省网关，则转发到缺省网关，否则就丢弃。
Show ip route ；查看Cisco路由器的缺省网关

二、静态和动态路由

三、处理RIP故障
RIP是距离矢量路由协议，度量值是跳数。RIP最大跳数为15，如果到目标的跳数超过15，则为不可达。
RIP V1是有类别路由协议，RIP V2是非分类路由协议，支持CIDR、路由归纳、VLSM，使用多播（224.0.0.9）发送路由更新。
RIP相关的show命令：
Show ip route rip ；仅显示RIP路由表
Show ip route ；显示所有IP路由表
Show ip interface ；显示IP接口配置
Show running-config
Debug ip rip events ；

常见的RIP故障：RIP版本不一致、RIP使用UDP广播更新

四、处理IGRP故障
IGRP是Cisco专用路由协议，距离矢量协议。IGRP的度量值可以基于五个要素：带宽、延时、负载、可靠性、MTU，缺省只使用带宽和延时。
IGRP相关的show命令：
Show ip route igrp ；显示IGRP路由表
Debug ip igrp events ；
Debug ip igrp transactions ；

常见的IGRP故障：访问列表、不正确的配置、到相邻路由器的line down

五、处理EIGRP故障
EIGRP是链路状态协议和距离矢量混合协议，是CISCO专用路由协议。EIGRP使用多播地址224.0.0.10发送路由更新，使用DUAL算法计算路由。EIGRP的度量值可以基于带宽、延时、负载、可靠性、MTU，缺省仅使用带宽和延时。
EIGRP使用3种数据库：路由数据库、拓扑数据库、相邻路由器数据库。
EIGRP相关的show命令：
Show running-config
Show ip route
Show ip route eigrp ；仅显示EIGRP路由
Show ip eigrp interface ；显示该接口的对等体信息
Show ip eigrp neighbors ；显示所有的EIGRP邻居及其信息
Show ip eigrp topology ；显示EIGRP拓扑结构表的内容
Show ip eigrp traffic ；显示EIGRP路由统计的归纳
Show ip eigrp events ；显示最近的EIGRP协议事件记录

EIGRP相关的debug命令：
Debug ip eigrp as号
Debug ip eigrp neighbor
Debug ip eigrp notifications
Debug ip eigrp summary
Debug ip eigrp

常见的EIGRP故障：相邻关系、缺省网关等的丢失、老版本IOS的路由、stuck in active。
处理EIGRP故障时，先用show ip eigrp neighbors查看所有相邻路由器，然后再用show ip route gigrp查看路由器的路由表，再用show ip eigrp topology查看路由器的拓扑结构表，也可用show ip eigrp traffic查看路由更新是否被发送。

六、处理OSPF故障
OSPF是链路状态协议，维护3个数据库：相邻数据库、拓扑结构数据库、路由表。
OSPF相关的show命令：
Show running-config
Show ip route
Show ip route ospf ；仅显示OSPF路由
Show ip ospf process-id ；显示与特定进程ID相关的信息
Show ip ospf ；显示OSPF相关信息
Show ip ospf border-routers ；显示边界路由器
Show ip ospf database ；显示OSPF的归纳数据库
Show ip ospf interface ；显示指定接口上的OSPF信息
Show ip ospf neighbor ；显示OSPF相邻信息
Show ip ospf request-list ；显示链路状态请求列表
Show ip ospf summary-address ；显示归纳路由的再发布信息
Show ip ospf virtual-links ；显示虚拟链路信息
Show ip interface ；显示接口的IP设置

OSPF相关的debug命令：
Debug ip ospf adj ；
Debug ip ospf events
Debug ip ospf flood
Debug ip ospf lsa-generation
Debug ip ospf packet
Debug ip ospf retransmission
Debug ip ospf spf
Debug ip ospf tree

常见的OSPF故障：OSPF的每个area不超过100台路由器，整个网络不超过700台路由器；通配符掩码配置不当；

七、处理BGP障
BGP（包括IBGP和EBGP）的关键配置是邻居关系，BGP使用TCP建立相邻关系。
BGP相关的show命令：
Show ip bgp ；显示BGP所学习到的路由
Show ip bgp network ；显示特定网络的BGP信息
Show ip neighbors ；显示BGP邻居信息
Show ip bgp peer-group ；显示BGP对待组信息
Show ip bgp summary ；显示所有BGP连接的归纳
Show ip route bgp ；显示BGP路由表

BGP相关的debug命令：
Debug ip bgp 192.1.1.1 updates
Debug ip bgp dampening
Debug ip bgp events
Debug ip bgp keepalives
Debug ip bgp updates

典型的BGP故障：

八、再发布路由协议

九、TCP/IP症状和原因
症状 原因
本地主机不能与远程主机通讯 1） DNS工作不正常2） 没有到远程主机的路由3） 缺少缺省网关4） 管理拒绝（ACL）
某个应用程序不能正常工作 1） 管理拒绝（ACL）2） 网络没有正常配置以处理该应用程序
启动失败 1） BootP服务器没有MAC地址的实体2） 缺少IP helper-address3） ACL4） 修改NIC或MAC地址5） 重复的IP地址6） 不正常的IP配置
不能ping远程主机 1） ACL2） 没有到远程主机的路由3） 没有设置缺省网关4） 远程主机down
缺少路由 1） 没有正确配置路由协议2） 发布列表3） 被动接口4） 没有通告路由的邻居5） 路由协议版本不一致6） 邻居关系没有建立
相邻关系没有建立 1） 不正确的路由协议配置2） 不正确的IP配置3） 没有配置network或neighbor语句4） hello间隔不一致5） 不一致的area ID
高的CPU利用率 1） 不稳定的路由更新2） 没有关闭debug3） 进程过重
路由触发活跃模式 1） 不一致的间隔2） 硬件问题3） 不稳定的链路

十、TCP/IP症状和行动计划
问题 行动计划
DNS工作不正常 1）配置DNS主机的配置和DNS服务器，可以使用nslookup校验DNS服务器的工作
没有到远程主机的路由 1） 用ipconfig /all检查缺省网关2） 用show ip route查看是否相应路由3） 如果没有该路由，用show ip route查看是否有缺省网关4） 如有网关，检查到目标的下一跳；如无网关，修正问题
ACL 有分离的问题与ACL相关，必须分析ACL、或重写ACL并应用。
网络没有配置以处理应用程序 查看路由器配置
Booting失败 1） 查看DHCP或BootP服务器，并查看是否存在故障机的MAC实体2） 使用debug ip udp校验从主机接收的包3） 校验helper-address正确配置4） 查看ACL是否禁用包
缺少路由 1） 在第1台路由器上用show ip route查看所学到的路由2） 校验相邻路由器3）有正确的路由network和neighbor语句4） 对OSPF，校验通配符掩码5） 检查应用到接口上的distribute list6）验证邻居的IP配置7） 如果路由被再发布，验证度量值8） 验证路由被正常的再发布
没有构成相邻关系 1） 用show ip protocol neighbors列表已构成的相邻关系2） 查看没有构成相邻关系的协议配置3） 检查路由配置中的network语句4）用show ip protocol/interface查看特定的接口信息，如Hello间隔

第7章 处理串行线路和帧中继连接故障

一、处理串行线路故障
1、HDLC封装
High-level Data Link Control（HDLC）是用于串行链路的一种封装方法，HDLC是Cisco路由器串行接口的缺省封装方法。
处理串行链路故障的第一步就是查看链路两端要使用相同的封装类型。
Show interface serial 1 ；查看接口信息
Clear counters serial number ；复位接口的计数器到0

正常情况下，接口和line都是up的。
线缆故障、载波故障和硬件故障都可导致接口down，通过校验电缆连接、更换硬件（包括电缆）、检查载波信令定位问题。
接口up，line down：CSU/DSU故障、路由器接口问题、CSU/DSU或载波的时间不一致、没有从远端路由器接收到keepalive信令、载波问题。应验证本地接口和远端接口的配置。
接口重启的原因：
Ø 数秒内排队的包没有被发送；
Ø 硬件问题（路由器接口、线缆、CSU/DSU）；
Ø 时钟信令不一致
Ø 环路接口
Ø 接口关闭
Ø 线协议down且接口定期重启

show controllers serial 0 ；显示接口状态、是否连有线缆、时钟速率
show buffers ；查看系统buffer池，接口buffer设置

debug serial interface ；显示HDLC或Frame Relay通信信息

2、CSU/DSU环路测试
有四种类型的环路测试：
Ø 在本地CSU/DSU上测试本地环路；
Ø 在远端CSU/DSU上测试本地环路；
Ø 从本地NIU到远端CSU/DSU测试远端环路；
Ø 从远端NIU到本地CSU/DSU测试远端环路；
用PPP封装的串行链路上，PPP用协商Magic Number检测环回网络。

3、串行线中总结：
1） 症状和问题：
症状或情形 问题
Interface is administratively down;line protocol is down 1） 接口被从命令行关闭2） 不允许重复的IP地址，两个使用相同IP地址的接口将down
Interface is down;line protocol is down 1） 不合格的线缆2） 没有本地提供商的信令3） 硬件故障（接口或CSU/DSU、线缆）4） 时钟
Interface is up;line protocol is down 1） 未配置的接口：本地或远程2） 本地提供商问题3） Keepalive序号没有增加4） 硬件故障（本地或远端接口、CSU/DSU）5） 线路杂音6） 时钟不一致7） 第2层（如LMI）
Interface is up;line protocol is up(looped) 链路在某处环路
Incrementing carrier transition counter 1） 来自本地提供商的信号不稳定2） 线缆故障3） 硬件故障
Incrementing interface resets 1） 线缆故障，导致CD信号丢失2） 硬件故障3） 线路拥塞
Input drops,errors,CRC,and framing errors 1） 线路速率超过接口能力2） 本地提供商问题3） 线路杂音4） 线缆故障5） 不合格线缆6） 硬件故障
Output drops 接口传输能力超过线路速率

2） 问题和行动
问题 解决行动方案
本地提供商问题 1） 检查CSU/DSU的CD信号和其它信号，看链路是否在发送和接收信息2） 如果没有CD信号或有其它问题，联系本地提供商处理故障
不合格或故障的线缆 1） 使用符合设备要求的线缆2） 使用breakout盒检查3） 交换故障线缆
未配置的接口 1） 使用show running-config校验接口配置2） 确认链路两端使用相同的封装类型
Keepalive问题 1） 验证keepalive被发送2） 配置了keepalive发送，debug keepalive3） 验证序号在增加4） 如果序号不增加，运行环路测试5） CSU/DSU环路，序号仍不增，则硬件故障
硬件故障 1）更换硬件
接口在环路模式 1） 检查接口配置2） 如果在接口配置有环路，移除3） 如果接口配置被清除，清除CSU/DSU环路模式4） 如CSU/DSU不在环路模式，可能是提供商置环
接口administratively down 1） 检查是否有重复的IP地址2） 进行接口配置模式，执行no shutdown
线路速率大于接口能力 1） 使用hold-queue减少进入的队列尺寸2） 增加输出的队列尺寸
接口速率大于线路速率 1） 减少广播流量2） 增加输出的队列3） 如有需要，使用队列算法

二、处理帧中继故障
DLCI用于在帧中继中标识虚拟链路，DLCI仅仅是本地信令，DLCI与第3层IP地址相映射。
处理帧中继的步骤：
1） 检查物理层，线缆或接口问题；
2） 检查接口封装；
3） 检查LMI类型；
4） 校验DLCI到IP的映射；
5） 校验Frame Delay的PVC；
6） 校验Frame Delay的LMI；
7） 校验Frame Delay映射；
8） 校验环路测试；

1、帧中继的show命令
show interface
show frame-relay lmi ；显示LMI相关信息（LMI类型、更新、状态）
show frame-relay pvc ；输出PVC信息、每条DLCI的LMI状态、…）
show frame-relay map ；提供DLCI号信息和所有FR接口的封装

2、帧中继的debug命令
debug frame-relay lmi ；显示LMI交换信息
debug frame-relay events ；显示协议和应用程序使用DLCI的细节

3、帧中继总纳
1） 症状和问题
症状或情形 相关问题
Frame Realy link is down 1） 线缆故障2） 硬件故障3） 本地服务商问题4） LMI类型不一致5） Keepalive没有被发送6） 封装类型不一致7） DLCI不一致
从Frame Delay网络不能ping远端主机 1） DLCI指定了错误的接口2） 封装类型不一致3） ACL问题4） 接口配置错误

2） 问题和行动
问题 解决行动方案
线缆故障 1） 检查线缆并测试接头2） 更换线缆
硬件故障 1） 执行环路测试，以分离硬件2） 将线缆连接到路由器的另一同样配置的接口，如OK，则需更换硬件
本地服务提供商问题 1） 如环路测试使LMI状态up，但不能连接远端着站点，联系本地载波2） 包含载波问题，就好象FR配置错误，如DLCI不一致或封装不一致。
LMI类型不一致 1） 校验路由器的LMI类型与PVC上的每个设备都一致2） 如使用公共提供商网络，不能访问LMI，与提供商联系
Keepalive问题 1） 使用show interface查看是否keepalive被禁用，或校验keepalive被正常配置2） 如果keepalive设置错误，进入配置模式并在接口上指定keepalive间隔
封装类型 1） 校验两端路由器的封装方式相同，如有非Cisco路由器，必须用IETF。用show frame-relay命令显示封装信息2）用encapsulation frame-relay ietf更换封装方式，与可用frame-relay map设置某个PVC的封装。
DLCI不一致 1） 用show running-config和show frame-relay pvc显示指派给某接口的DLCI号2） 如DLCI号配置正常，联系供应商校验FR交换机是否了相同的DLCI
ACL问题 1） 使用show ip interface显示应用到接口上的ACL2） 分析ACL，如有需要，删除或修改它

第8章 处理ISDN故障

一、ISDN基本原理

二、常见ISDN故障
ISDN问题分成3类：配置不当的路由器、物理线缆和ISDN协议、配置不当的交换机。
1、配置不当的路由器
配不当由于不同原因：typographical错误、从服务供应商提供的错误信息、本路由器配置不正确
1） SPID（Service Profile Identifiers）:如SPID和LDN配置错误，将有ISDN连接问题。SPID仅用于北美，只有服务供应商要求时才设置。
2） CHAP：CHAP认证在使用PPP封装的接口上使用。两端路由器的CHAP配置一定要相同。在PPP中，用户名和口令是大小写敏感的。
3） Dialer Map实体：Dialer map关联高层地址到相关的电话号码。每种协议需要一条dialer map语句。
4） 访问列表：ACL可用于ISDN连接以阻止某类型流量触发连接。
5） PPP：

2、物理层连接
1) BRI：在现有电话线上提供数字服务。
2) ISDN BRI信道：2B+D(2*64+16+48=192kbps)；ISDN BRI的物理帧为48bits，链路每秒发送4000帧。
3) 本地环路：客户和CO之间的链路，连接ISDN设备到ISDN交换机。
4) 物理层：参考点（R、S、T、U）；设备（LT/ET、NT1、NT2、TE1、TE2、TA）

三、配置不当的电话交换机
在新安装ISDN时，必须考虑服务供应商ISDN交换机配置错误的可能性。
1、第2层故障处理：
ISDN第2层故障处理的目标：q.921协议和PPP。
1） q.921：ISDN的第2层在q.921中定义。Q.921信令在D信道上用LAPD协议传输。处理q.921故障最常用命令是debug isdn q921，问题常与TEI（terminal endpoint identifier）、SAPI（service access point identifier）和SABME（set asynchronous balanced mode extended）有关。
TEI＝127表示广播；TEI＝64-126保留用于动态分配。
SAPI=0表示当前第3层信令；63表示用于TEI值分配的管理SAPI；64为呼叫控制。

2） PPP：PPP使用LCP设置和维护链路；NCP配置和维护网络层协议。

2、第3层故障处理：
ISDN第3层也叫q.931，使用debug isdn q931命令可查看call setup、connect、release、cancel、status、disconnect和、user information。
ISDN第3层连接在本地路由器（TE）和远端ISDN交换机（ET）之间。
ISDN呼叫建立的过程：
1） SETUP:在本地TE和远端ET之间发送信息
2） CALL_PROC：呼叫处理信令
3） ALERT：
4） CONNECT
5） CONNECT_ACK：

3、交换机类型：
配置ISDN时，必须用isdn switch-type命令指定本地环路的交换机。

四、ISDN故障处理命令
1、ping：在DDR中，ping命令触发一个呼叫，在第2个B信道up前，路由器已完成了ping。

2、clear interface bri n：重置接口上不同的计数器并中止接口上的连接。

3、show interface bri n：显示关于ISDN BRI D信道的信息

4、show interface bri n 1 2：显示ISDN BRI的B信道信息。

5、show controller bri：显示接口硬件控制器信息和U接口，供Cisco的TAC处理故障。

6、show isdn status：显示ISDN接口状态和各层详细信息。

7、show dialer：显示关于DDR连接的信息，包括拨号、成功的连接、IDLE时间、呼叫数。

8、show ppp multilink：

五、调试ISDN
1、debug bri：提供有关BRI B信道的信息，包括带宽信息

2、debug isdn q921：获取关于接口D信道的信息，D信息用于在交换机和本地ISDN设备间传输信令。

3、debug dialer：呼叫连接的原因和连接的状态。

4、debug isdn q931：监视发生在第3层的事件。
Cause ID显示呼叫被拒绝的原因；
CallRef ID发送和返回的信息，用于分析路由器和交换机之间不同呼叫的特定会话。

5、debug ppp negotiation：提供建立PPP会话的实时信息，可察看CHAP和PAP验证。

6、debug ppp packet：报告实时PPP包流，包括包的类型和所用的B信道

第9章 交换以太网故障处理

一、Switch、Bridge、Hub
广播域：由Router控制
冲突域：由Switch或Bridge控制
Switch和Hub比较：
类型 Switch Hub
Unicasts 仅发送到目标 发送到所有端口
Broadcasts 发送同VLAN中的所有端口 发送到所有端口
Aggregate bandwidth 等于每个端口的带宽×端口数 等于介质速率
Full/half-duplex 可全双工连接 仅半双工
Support for mixed media:Token Ring,Ethernet,FDDI… 依靠switch，可在不同帧类型和物理介质之间传输 仅支持同一介质
混合介质的支持 依赖于桥配置
处理帧 硬件（ASIC） 软件或
端口数量 从4到超过100 通常16个以下
帧类型转换 依靠桥配置

二、Catalyst故障处理工具
1、Catalyst命令行接口：
命令行接口有Native模式和Hybrid模式。本机模式配置第3层和第2层在一起；混合模式在不同CLI下配置第3层和第2层，常为基于set的CLI。

2、混合模式下的CLI：
1） show system：关于switch的高级总结信息，包括供电状态、uptime和管理设置
2） show port：显示指定端口或一个模块上所有端口的信息（VLAN、速率、双工、状态、类型、…）
3） show log：报告重要事件，包括所有模块的重启、trap、供电失败、…。
4） show logging buffer：等同于路由器的show log命令，根据logging级别，报告端口up或down、STP、…
5） show interface：报告管理模块上IP配置和SC0接口上VLAN信息。（sl0、sc0）
6） show cdp：显示相邻CISCO设备信息
7） show config：等同于show running-config命令，显示交换机除MSFC等外所有模块上所有设置，仅显示非默认设置。Show config all显示所有设置。
8） show test：仅显示switch管理模块状态，包括接口卡、供电、内存等。
9） show mac：显示大量计数，包括每端口帧流量、发出和进入的帧的总数量、丢弃、…
10）show vtp domain：
11）show cam：显示与端口相关联的MAC地址
12）重复的MAC地址
13）show spantree：显示每个VLAN的SPT进程状态
14）show version：显示硬件和软件版本号，包括内存、系统UP时间统计等

3、RMON（Remote Monitoring）
RMON基于RMONProbe，从电路（物理介质）上采集数据信息。Router和Switch并不支持所有级别的RMON信息，更多的监控可以用SPAN（Switched Port Analyzer交换端口分析，也叫Port Mirroring端口监控）实现。

4、指示灯：
管理引擎上包含有负载LED，可以提示交换机的当前负载。在启动过程中，LED将闪烁；正常情况下，LED常绿；橙色LED提示有问题；红色LED提示有故障。

三、用STP控制环路
STP算法在802.1D中定义，用于在多交换机时控制重复路径，避免网络环路。
Cisco使用Port fast和Uplink fast时，要防止产生网络环路。

四、VLAN
VLAN有基于端口的静态VLAN和基于MAC的动态VLAN
1、ISL：Cisco专用协议，用于连接两台设备以支持多个VLAN。
Ø ISL只能在支持ISL的产品上使用
Ø ISL必须是点对点的
Ø ISL仅用于100Mb全双工
Ø ISL要求路由器的IOS和内存升级；
Ø ISL可以支持Token Ring；
Ø ISL添加30Bit到原始帧；
Ø ISL在帧的末尾包含CRC。

2、802.1Q：用于连接非Cisco中继到Cisco设备
。
3、VTP：VTP使用多播通知VTP域中所有其它交换机关于域中VLAN的信息。
Ø VTP服务器：
Ø VTP客户机
Ø 透明VTP：

五、线缆问题
物理层标准：
线缆 10Mb 100Mb
3类线距离 100m 不可用
5类距离 100m 100m
多模光纤距离 2000m 2000m
单模光纤距离 高达100km 高达100km

1、线缆问题：
1） 万用表（Multimeters）和电缆测试器（Cable Testers）
万用表（Multimeters）和伏欧表（Volt-ohm）用于验证电缆连通性，只能用于测试铜线或其它基于电信号的电缆，不能用于测试光纤。
电缆测试器（Cable Testers）既可测试电缆也可测试光缆，提供给用户更多的被测试电缆的信息，如：连通性、断路、短路、距离过长、噪音、MAC信息、线路负载、…。

2） 时域反射器（TDRs）和光时域反射器（OTDRs）
TDR是更复杂的电缆测试器，可用于定位电缆中的物理问题，检测在什么位置断路、短路、卷曲等异常现象。

2、交叉线
交叉线用于两台主机直接相连、连接两台网络设备。
以太网使用1、2、3、6四芯（白橙、橙、白绿、绿），而T1电路使用RJ-45的1、2、3、5四芯

六、交换机连接故障处理
发生在交换机上常见的故障有速率和双工设置，
1、SPAN（交换端口分析器）：
也叫Port Mirroring（端口监视器）交换机拷贝所有被发送到工作站接口的包到另一接口，这个接口没有被指定VLAN。
Set span enable ；配置SPAN
使用SPAN既监视接收的、发送的或所有的包。

2、多层交换特性卡（MSFC）和Catalyst路由：
MSFC是一个在子板的Cisco路由器，安装在管理模块上，提供VLAN间路由。
在CLI下访问MSFC：session

3、路由器和交换机间VLAN：
路由器提供VLAN间的通信。
1） 广播管理：
路由器不转发广播，交换机控制广播仅转发到是源端口所VLAN成员的端口。
2） 策略控制：交换机没有策略，而路由器提供连接VLAN的安全和策略控制
3） VLAN交换：经过路由器转发一个包到同VLAN的不同接口
4） VLAN传输：使用不同VLAN协议的两VLAN间或VLAN协议传输到非VLAN第2层协议。
5） 路由：在不同VLAN或非VLAN网络间通信
6） 路由器上VLAN故障处理：
show vlans
show arp
show interface
show cdp neighbor
debug vlan packet
debug spantree
7） show vlans：在路由器上执行，显示路由器VLAN配置的细节，包括：VLAN名、接口、IP地址、VLAN封装协议、接口协议。
8） debug vlan packet：判定在中继上发送到路由器的数据的VLAN。

3、VLAN设计和故障处理
VLAN设计时注意事项：
1） 网络直径要少于8台交换机；
2） VLAN必须在某个限制内进行编号；

七、混合/本地模式命令转换
混合模式 本机模式 解释
Clear vlan No vlan 从配置中删除VLAN
Set cam agingtime Mac-address-table aging-time 设置保留MAC地址的超时值
Set port dulex Duplex 在特定端口上配置双工
Set port name Description 设置端口名
Set port speed speed 设置端口速率
Se tspan Monitor session 设置SPAN端口
Set spantree Spanning-tree 设置STP信息
Set vlan Switchport access vlan 分配某端口到给定VLAN
Show cam dynamic Show mac-address-table dynamic 显示MAC到端口关系
Show port Show interface 显示端口信息
Show span Show monitor 显示SPAN端口
Show test Show diagnostic 显示启动测试结果
Show version Show version 显示交换机IOS版本信息
Show vlan Show vlan 显示VLAN信息
Show vtp domain Show vtp status 显示VTP信息

第10章 分离并纠正物理层和数据链路层故障

1、识别物理层问题的症状

物理层组件包括：接口／端口、模块、线缆、中继器、网卡、转换器等。
物理层问题将导致链路上数据完全或间断的丢失，应用程序失败，数据传输速率低。

设备的端口和特定部件的LED在正常工作时稳定，故障时LED状态将关闭、闪烁或其它颜色。

物理层问题的常见症状：

2、识别数据链路层问题的症状

数据链路层问题包括：不正常的帧类型（不相符的封装）、重复的MAC地址、交换机等第2层设备的不当行为。

第2层和第3层测试工具（CDP、PING）可以帮助检验并校验数据链路层问题。

3、用于分离物理层和数据链路层问题的命令和应用程序：

1） ES命令：
Ping host|ip-address ；
Arp -a ；
Netstat -rn ；
Ipconfig /all ；
Tracert ；
Winipcfg ；
Ifconfig -a ；
Traceroute ；

2） Cisco IOS命令
Ping ；
Traceroute ；
Debug ；
Show version ；
Show ip interface brief ；
Show interface e 1 ；
Show cdp neighbor detail ；
Show controllers ；
Debug ppp|isdn|serial|asynch|frame-relay
Show arp ；
Debug arp|lapb|stun ；

4、纠正发生在物理层和数据链路层的命令和应用程序
arp -d ；
interface ；
no shutdown ；
encapsulation ；
clock rate ；
controller ；
duplex full|half|auto
speed 10|100|auto

1） 纠正T1|E1问题的命令
channel-group channel-no timeslots timeslot-list speed 56|64
clock source line|internal
framing sf|esf；framing crc4|no-crc4
linecode ami|b8zs；linecode ami|hdb3
pri-group timeslote range

2）

第11章 分离并纠正网络层问题

1、网络层问题的症状

2、分离网络层问题的ES命令
1） 通用命令：
ping
arp -a
netstat

2） WINDOWS
Route print
Ipconfig /all
Tracert
Winipcfg

3） UNIX&MAC
Ifconfig -a
Traceroute
Route -n

3、分离网络层问题的Cisco IOS命令
1） 通用：
ping
trace
debug
show running-config

2） ARP
Show ip arp
Debug arp

3） 路由表
show ip route
debug ip routing

4） IP接口
Show ip interface brief

5） BGP
Show ip bgp
Show ip bgp summary
Show ip bgp neighbors
Debug ip bgp

6） IP流量
Show ip traffic
Debug ip icmp
Debug ip packet

7） IP访问列表
Show ip access-list

传统路由器的基本作用是路由计算和包转发，通常基于共享存储器体系结构，采和集中式CPU，即单个ＣＰＵ（或多个ＣＰＵ，联结成路由器簇）控制共享总线，连接到多个接口卡上，接口卡包含简单的队列等结构，与ＣＰＵ通信，通过共享总线实现数据包转发。随着Internet的快速发展和大量新的服务需求的不断出现，对网络的路由和交换性能提出了更高的要求，要同时提高包转发速率和系统的性能，必须对传统路由器与交换设备的设计体系结构进行改进，并加入一些新的设计方案以完善系统性能。ＣＥＦ（Cisco Express Forwarding,Cisco特快交换）技术是思科公司推出的一种全新的路由交换方案，它具有良好的交换性能，增强的交换体系结构和极高的包转发速率。采用ＣＥＦ技术的ＧＳＲ1200系列千兆交换路由器，在体系结构，路由方式和接口卡性能等方面都有质的改变，特别适用于大业务量的ＩＳＰ网络的核心层，同时也广泛应用于高速企业网的主干。本文将对ＣＥＦ特快交换技术作一介绍和分析。

　　一、路由器交换算法的简单回顾

　　1.过程交换

　　最初的Cisco路由器采用集中式ＣＰＵ包交换，所有的包通过共享总线传到ＣＰＵ，经路由表查找，ＣＲＣ重算，再通过共享总线把包传到适当的线路卡上。

　　2.快速交换

　　到达某特定目的地址的ＩＰ包通常会引起数据包流，即假设交换过到特定目标的包之后，另一个很可能不久也会到达。通过构建最近交换目标的高速缓存，可以减少包在全路由表中查找同一目标的次数，这种“一次路由，然后交换”的方式称为快速交换，快速交换大大提高了路由器的包转发速率，因而成为Cisco路由器平台上缺省的交换机制。但有一点需要注意，ＩＰ路由表的改变必须高速缓存无效，在路由状况不断变化的环境中，路由高速缓存的优势将受到很大限制。

　　3.自治交换

　　自治交换的特点是从ＣＰＵ中卸载了一些交换功能。在效果上，将路由高速缓存功能从ＣＰＵ移到辅助交换处理器上，线路卡上的接收包先在交换处理器中完成本地路由高速缓存目标的查找，若查找失败时才中断ＣＰＵ执行路由表查找。在此，Cisco将周期性计算路由的ＣＰＵ改名为路由处理器，把辅助交换处理器改名为交换处理器。Cisco 7000系列的路由器上执行自治交换，可使吞吐量等性能进一步提高。

　　4.分布式交换

　　随着ＶＩＰ（Versatile Interface Processor，通用接口处理器）卡引入，路由器的交换体系逐渐向对等多处理器结构发展。每个ＶＩＰ卡都包含ＲＩＳＣ处理器，维护最新的由路由交换处理器产生的快速交换高速缓存的拷贝，并能独立实现路由交换的功能，高速完成两种类型的交换－－－本地ＶＩＰ的交换和ＶＩＰ之间的交换。

　　5.ＣＥＦ特快交换

　　如前所述，快速交换的高速缓存机制在Internet之类的高速动态路由选择环境（经常存在网络拓扑变化，路由改变、路由震荡等）中不能很好地伸缩，路由的改变导致高速缓存无效，而重建高速缓存（即执行“过程交换”的过程）在计算上开销很大；同时，随着互联网及其业务的迅猛发展，基于ＷＥＢ的各种应用和交互式业务使得通信次数多而通信时间短的实时数据流大量增加，快速交换的高速缓存内容处于不断变化之中，重建高速缓存的负担加大，从而导致路由器性能的降低。ＣＥＦ特快交换技术正是针对上述不足而设计提出的。

　　二、ＣＥＦ特快交换基本原理

　　1.ＣＥＦ部件

　　ＣＥＦ是一种高级的第三层交换技术，它主要是为高性能、高伸缩性的第三层ＩＰ骨干网交换设计的。为优化包转发的路由查找机制，ＣＥＦ定义了两个主要部件：转发信息库（Forwarding Information base）和邻接表（Adjacency Table）。

　　转发信息库（ＦＩＢ）是路由器决定目标交换的查找表，ＦＩＢ的条目与ＩＰ路由表条目之间有一一对应的关系，即ＦＩＢ是ＩＰ路由表中包含的路由信息的一个镜像。由于ＦＩＢ包含了所有必需的路由信息，因此就不用再维护路由高速缓存了。当网络拓扑或路由发生变化时，ＩＰ路由表被更新，ＦＩＢ的内容随之发生变化。

　　ＣＥＦ利用邻接表提供数据包的ＭＡＣ层重写所需的信息。ＦＩＢ中的每一项都指向邻接表里的某个下一跳中继段。若相邻节点间能通过数据链路层实现相互转发，则这些节点被列入邻接表中。

　　系统一旦发现邻接关系，就将其写到邻接表中，邻接序列随时都在生成，每次生成一个邻接条目就会为那个邻接节点预先计算一个链路层头标信息，并把这个链路层头标信息存储在邻接表中，当决定路由时，它就指向下一网络段及相应的邻接条目。随后在对数据包进行ＣＥＦ交换时，用它来进行封装。欲查看邻接表的有关信息，可以使用Cisco IOS的命令：show adjacency/show adjacency detail。当我们查看邻接表信息时，会发现有以下两种主要邻接类型：Host adjacency和Point to Point。Host adjacency类型通常的显示是一个ＩＰ地址，它表示邻接的下一跳ＩＰ地址；Point to Point类型的显示是“point 2point”，表示这是一条点对点电路。此外还有其他一些特殊类型，如Null adjacency、Glean adjacency等，此外不再赘述。

　　2.CEF操作模式

　　ＣＥＦ有两种模式：集中式和分布式。集中式允许一个路由处理模块运行特快交换，即ＦＩＢ和邻接表驻留在路由处理模块中，当线路卡不可用或不具备分散ＣＥＦ交换的功能时，就可使用集中ＣＥＦ交换模式。

　　分布式（一般记作ｄＣＥＦ）允许路由器的多个线路卡（ＶＩＰ）分别运行特快交换功能，前提是线路是ＶＩＰ线路卡或ＧＳＲ线路卡。中央路由处理器完成系统管理/路由选择和转发表计算等功能，并把ＣＥＦ表分布到单个线路卡；每个线路卡维护着一个ＦＩＢ和邻接表的相同的拷贝。线路卡在端口适配器之间执行快速转发，这样，交换操作就无需路由交换模块的参与了。ＤＣＥＦ采用一种“内部过程通信”机制来保证路由处理器和接口卡之间ＦＩＢ和邻接表的同步。

　　Cisco　12000系列路由器只运行dCEF模式，由线路卡执行交换功能。在其它路由器中，可以在同一个路由器中混合使用各种类型的接口卡，如果一个不支持ＣＥＦ的接口卡收到数据包后，将把数据包转发到路由处理器来进行处理，或把该数据包转发到下一个网络段处理。

　　ＣＥＦ在路由器上是全局激活的，但可在每个接口（或ＶＩＰ的底板）上启用/禁用ＣＥＦ；ＣＥＦ和快速交换模式也可同时运行，但不推荐这样使用，因为会占用大量的系统维护资源。

三、ＣＥＦ与快速交换的比较

　　与快速交换相似，ＣＥＦ也使用自己建立的数据结构（而不是路由表）来执行交换操作。快速交换通过生成并查找路由高速缓存交换数据包，该路由高速缓存交换数据包，该路收高速缓存的条目（包括目的ＩＰ地址，输出接口，ＭＡＣ地址头信息等）是在第一个数据包到来时，对整个路由表执行最长匹配查找算法获得下一跳ＩＰ地址，然后查找ＡＲＰ缓存获得第二层的ＭＡＣ地址信息，并写入路由高速缓存，之后的数据包则根据已经生成的高速缓存的条目直接重写ＭＡＣ头信息完成交换操作。

　　ＣＥＦ通过ＦＩＢ和邻接表对数据包进行交换，但ＦＩＢ和邻接表是在数据包到来以前，由ＣＰＵ根据路由表生成并定时更新的，因此到达路由器的第一个数据包也无须执行查找路由表的过程，直接由ＦＩＢ和邻接表获得新的ＭＡＣ头信和卢，就可进行交换了，对于拥有大容量路由表的路由器来说，这种预先建立交换查找条目的方式能够有效地提高交换性能。

　　四、基于ＣＥＦ的负载平衡的实现

　　当到达某一目的ＩＰ地址存在多条路径时，每条路径都有一个反映其代价的metric值，路由协议通过计算获得到达目的地址的具有最短metric值的路径，数据包通过该路径到达目的地址。负载平衡的目的则是要把流量分配到多条路径中，这样可优化资源的使用。ＣＥＦ特快交换支持两种类型的负载平衡－－－按目的地配置的负载平衡和按数据包配置的负载平衡。

　　1.按目的地配置负载平衡

　　基本原理是：对于给定的一对源/目的ＩＰ地下，即使有多个路径可用，也可保证数据包采用同一路径；通往不同源/目的ＩＰ地址的数据流则倾向于采用不同的路径。通过采用按目的地负载平衡的方法，可以保证对某个源/目的ＩＰ地址对的数据包以一定的次序到达。当启用ＣＥＦ时，按目的地配置的负载平衡被默认启用。

　　2.按数据包配置负载平衡

　　基本原理是：采用轮转法确定各个数据包按哪条路径到达目的地。这种负载平衡方法可使路由器在路径上连续发送数据包，即保证路径的使用状况比较好，但针对一个源/目的ＩＰ地址对的数据包可能会采用不同的路径，从而导致目的端对数据包的重新排序。这种类型的负载平衡对某些类型的数据流传送不是很合适（如ＶｏＩＰ数据流）。当然，若在某一源/目的ＩＰ地址对之间有大量的数据流，通过并行链路传送，如果按目的地负载平衡方式，将会使某条链路负担过重，而其他链路上的数据流很少，此时采用按数据包的负载平衡是合理的。

　　五、小结

　　ＣＥＦ是专门为高性能、高伸缩性的ＩＰ骨干网络设计的一种高速交换方式。从上述介绍我们不难看出，在大规模的动态ＩＰ网络中，ＣＥＦ能够提供前所未有的交换的一致性和稳定性。它能够有效弥补快速交换的高速缓存条目频繁失效的缺陷，采用ｄＣＥＦ分布式交换可使每个线路卡进行完全的交换，提供更优越的性能；ＣＥＦ比快速交换的路由高速缓存占用内存要少，并能提供负载平衡，网络记帐等功能。借助ＣＥＦ特快交换技术和其它一些革命性的创新技术，Cisco的ＧＳＲ路由器在全球取得了巨大的成功，在中国互联网基础设施建设中发挥着极其重要的作用。
附：cisco关于CEF的介绍
Cisco's Express Forwarding (CEF) technology for IP is a scalable, distributed, layer 3 switching solution designed to meet the future performance requirements of the Internet and Enterprise networks. It represents the latest advance in Cisco IOSTM switching capabilities that includes NetFlowTM Switching and Distributed Switching. CEF is also a key component of Cisco's Tag Switching architecture.

Express Forwarding evolved to best accommodate the changing network dynamics and traffic characteristics resulting from increasing numbers of short duration flows typically associated with Web-based applications and interactive type sessions. Existing layer 3 switching paradigms use a route-cache model to maintain a fast lookup table for destination network prefixes. The route-cache entries are traffic-driven in that the first packet to a new destination is routed via routing table information and as part of that forwarding operation, a route-cache entry for that destination is then added. This allows subsequent packets flows to that same destination network to be switched based on an efficient route-cache match. These entries are periodically aged out to keep the route cache current and can be immediately invalidated if the network topology changes. This 'demand-caching' scheme - maintaining a very fast access subset of the routing topology information - is optimized for scenarios whereby the majority of traffic flows are associated with a subset of destinations. However, given that traffic profiles at the core of the Internet (and potentially within some large Enterprise networks) are no longer resembling this model, a new switching paradigm was required that would eliminate the increasing cache maintenance resulting from growing numbers of topologically dispersed destinations and dynamic network changes.

CEF avoids the potential overhead of continuous cache churn by instead using a Forwarding Information Base (FIB) for the destination switching decision which mirrors the entire contents of the IP routing table. i.e. there is a one-to-one correspondence between FIB table entries and routing table prefixes; therefore no need to maintain a route-cache.

This offers significant benefits in terms of performance, scalability, network resilience and functionality, particularly in large complex networks with dynamic traffic patterns.

任企业安全策略的一个主要部分都是实现和维护防火墙，因此防火墙在网络安全的实现当中扮演着重要的角色。防火墙通常位于企业网络的边缘，这使得内部网络与Internet之间或者与其他外部网络互相隔离，并限制网络互访从而保护企业内部网络。设置防火墙目的都是为了在内部网与外部网之间设立唯一的通道，简化网络的安全管理。
在众多的企业级主流防火墙中，Cisco PIX防火墙是所有同类产品性能最好的一种。Cisco PIX系列防火墙目前有5种型号PIX506，515，520，525，535。其中PIX535是PIX 500系列中最新，功能也是最强大的一款。它可以提供运营商级别的处理能力，适用于大型的ISP等服务提供商。但是PIX特有的OS操作系统，使得大多数管理是通过命令行来实现的，不象其他同类的防火墙通过Web管理界面来进行网络管理，这样会给初学者带来不便。本文将通过实例介绍如何配置Cisco PIX防火墙。

    在配置PIX防火墙之前，先来介绍一下防火墙的物理特性。防火墙通常具有至少3个接口，但许多早期的防火墙只具有2个接口；当使用具有3个接口的防火墙时，就至少产生了3个网络，描述如下：
Ø 内部区域（内网）。 内部区域通常就是指企业内部网络或者是企业内部网络的一部分。它是互连网络的信任区域，即受到了防火墙的保护。
Ø 外部区域（外网）。 外部区域通常指Internet或者非企业内部网络。它是互连网络中不被信任的区域，当外部区域想要访问内部区域的主机和服务，通过防火墙，就可以实现有限制的访问。
Ø 停火区（DMZ）。 停火区是一个隔离的网络，或几个网络。位于停火区中的主机或服务器被称为堡垒主机。一般在停火区内可以放置Web服务器，Mail服务器等。停火区对于外部用户通常是可以访问的，这种方式让外部用户可以访问企业的公开信息，但却不允许他们访问企业内部网络。注意：2个接口的防火墙是没有停火区的。

由于PIX535在企业级别不具有普遍性，因此下面主要说明PIX525在企业网络中的应用。

PIX防火墙提供4种管理访问模式：
² 非特权模式。 PIX防火墙开机自检后，就是处于这种模式。系统显示为pixfirewall>
² 特权模式。 输入enable进入特权模式，可以改变当前配置。显示为pixfirewall#
² 配置模式。 输入configure terminal进入此模式，绝大部分的系统配置都在这里进行。显示为pixfirewall(config)#
² 监视模式。 PIX防火墙在开机或重启过程中，按住Escape键或发送一个“Break”字符，进入监视模式。这里可以更新操作系统映象和口令恢复。显示为monitor>

配置PIX防火墙有6个基本命令：nameif，interface，ip address，nat，global，route.
这些命令在配置PIX是必须的。以下是配置的基本步骤：
1. 配置防火墙接口的名字，并指定安全级别（nameif）。
Pix525(config)#nameif ethernet0 outside security0
Pix525(config)#nameif ethernet1 inside security100
Pix525(config)#nameif dmz security50
提示：在缺省配置中，以太网0被命名为外部接口（outside），安全级别是0；以太网1被命名为内部接口（inside），安全级别是100.安全级别取值范围为1～99，数字越大安全级别越高。若添加新的接口，语句可以这样写：
Pix525(config)#nameif pix/intf3 security40 （安全级别任取）

2. 配置以太口参数（interface）
Pix525(config)#interface ethernet0 auto（auto选项表明系统自适应网卡类型 ）
Pix525(config)#interface ethernet1 100full（100full选项表示100Mbit/s以太网全双工通信 ）
Pix525(config)#interface ethernet1 100full shutdown （shutdown选项表示关闭这个接口，若启用接口去掉shutdown ）

3. 配置内外网卡的IP地址（ip address）
Pix525(config)#ip address outside 61.144.51.42 255.255.255.248
Pix525(config)#ip address inside 192.168.0.1 255.255.255.0
很明显，Pix525防火墙在外网的ip地址是61.144.51.42，内网ip地址是192.168.0.1

4. 指定要进行转换的内部地址（nat）
网络地址翻译（nat）作用是将内网的私有ip转换为外网的公有ip.Nat命令总是与global命令一起使用，这是因为nat命令可以指定一台主机或一段范围的主机访问外网，访问外网时需要利用global所指定的地址池进行对外访问。nat命令配置语法：nat (if_name) nat_id local_ip [netmark]
其中（if_name）表示内网接口名字，例如inside. Nat_id用来标识全局地址池，使它与其相应的global命令相匹配，local_ip表示内网被分配的ip地址。例如0.0.0.0表示内网所有主机可以对外访问。[netmark]表示内网ip地址的子网掩码。
例1．Pix525(config)#nat (inside) 1 0 0
表示启用nat,内网的所有主机都可以访问外网，用0可以代表0.0.0.0
例2．Pix525(config)#nat (inside) 1 172.16.5.0 255.255.0.0
表示只有172.16.5.0这个网段内的主机可以访问外网。

5. 指定外部地址范围（global）
global命令把内网的ip地址翻译成外网的ip地址或一段地址范围。Global命令的配置语法：global (if_name) nat_id ip_address-ip_address [netmark global_mask]
其中（if_name）表示外网接口名字，例如outside.。Nat_id用来标识全局地址池，使它与其相应的nat命令相匹配，ip_address-ip_address表示翻译后的单个ip地址或一段ip地址范围。[netmark global_mask]表示全局ip地址的网络掩码。
例1． Pix525(config)#global (outside) 1 61.144.51.42-61.144.51.48
表示内网的主机通过pix防火墙要访问外网时，pix防火墙将使用61.144.51.42-61.144.51.48这段ip地址池为要访问外网的主机分配一个全局ip地址。
例2． Pix525(config)#global (outside) 1 61.144.51.42
表示内网要访问外网时，pix防火墙将为访问外网的所有主机统一使用61.144.51.42这个单一ip地址。
例3. Pix525(config)#no global (outside) 1 61.144.51.42
表示删除这个全局表项。

6. 设置指向内网和外网的静态路由（route）
定义一条静态路由。route命令配置语法：route (if_name) 0 0 gateway_ip [metric]
其中（if_name）表示接口名字，例如inside，outside。Gateway_ip表示网关路由器的ip地址。[metric]表示到gateway_ip的跳数。通常缺省是1。
例1． Pix525(config)#route outside 0 0 61.144.51.168 1
表示一条指向边界路由器（ip地址61.144.51.168）的缺省路由。
例2． Pix525(config)#route inside 10.1.1.0 255.255.255.0 172.16.0.1 1
Pix525(config)#route inside 10.2.0.0 255.255.0.0 172.16.0.1 1
如果内部网络只有一个网段，按照例1那样设置一条缺省路由即可；如果内部存在多个网络，需要配置一条以上的静态路由。上面那条命令表示创建了一条到网络10.1.1.0的静态路由，静态路由的下一条路由器ip地址是172.16.0.1
OK，这6个基本命令若理解了，就可以进入到pix防火墙的一些高级配置了。

A. 配置静态IP地址翻译（static）
如果从外网发起一个会话，会话的目的地址是一个内网的ip地址，static就把内部地址翻译成一个指定的全局地址，允许这个会话建立。static命令配置语法：static (internal_if_name，external_if_name) outside_ip_address inside_ ip_address 其中internal_if_name表示内部网络接口，安全级别较高。如inside.
external_if_name为外部网络接口，安全级别较低。如outside等。outside_ip_address为正在访问的较低安全级别的接口上的ip地址。inside_ ip_address为内部网络的本地ip地址。
例1． Pix525(config)#static (inside, outside) 61.144.51.62 192.168.0.8
表示ip地址为192.168.0.8的主机，对于通过pix防火墙建立的每个会话，都被翻译成61.144.51.62这个全局地址，也可以理解成static命令创建了内部ip地址192.168.0.8和外部ip地址61.144.51.62之间的静态映射。
例2． Pix525(config)#static (inside, outside) 192.168.0.2 10.0.1.3
例3． Pix525(config)#static (dmz, outside) 211.48.16.2 172.16.10.8
注释同例1。通过以上几个例子说明使用static命令可以让我们为一个特定的内部ip地址设置一个永久的全局ip地址。这样就能够为具有较低安全级别的指定接口创建一个入口，使它们可以进入到具有较高安全级别的指定接口。

B. 管道命令（conduit）
前面讲过使用static命令可以在一个本地ip地址和一个全局ip地址之间创建了一个静态映射，但从外部到内部接口的连接仍然会被pix防火墙的自适应安全算法(ASA)阻挡，conduit命令用来允许数据流从具有较低安全级别的接口流向具有较高安全级别的接口，例如允许从外部到DMZ或内部接口的入方向的会话。对于向内部接口的连接，static和conduit命令将一起使用，来指定会话的建立。
conduit命令配置语法：
conduit permit | deny global_ip port[-port] protocol foreign_ip [netmask]
permit | deny 允许 | 拒绝访问
global_ip 指的是先前由global或static命令定义的全局ip地址，如果global_ip为0，就用any代替0；如果global_ip是一台主机，就用host命令参数。
port 指的是服务所作用的端口，例如www使用80，smtp使用25等等，我们可以通过服务名称或端口数字来指定端口。
protocol 指的是连接协议，比如：TCP、UDP、ICMP等。
foreign_ip 表示可访问global_ip的外部ip。对于任意主机，可以用any表示。如果foreign_ip是一台主机，就用host命令参数。
例1. Pix525(config)#conduit permit tcp host 192.168.0.8 eq www any
这个例子表示允许任何外部主机对全局地址192.168.0.8的这台主机进行http访问。其中使用eq和一个端口来允许或拒绝对这个端口的访问。Eq ftp 就是指允许或拒绝只对ftp的访问。
例2. Pix525(config)#conduit deny tcp any eq ftp host 61.144.51.89
表示不允许外部主机61.14.51.89对任何全局地址进行ftp访问。
例3. Pix525(config)#conduit permit icmp any any
表示允许icmp消息向内部和外部通过。
例4. Pix525(config)#static (inside, outside) 61.144.51.62 192.168.0.3
Pix525(config)#conduit permit tcp host 61.144.51.62 eq www any
这个例子说明static和conduit的关系。192.168.0.3在内网是一台web服务器，现在希望外网的用户能够通过pix防火墙得到web服务。所以先做static静态映射：192.168.0.3－>61.144.51.62（全局），然后利用conduit命令允许任何外部主机对全局地址61.144.51.62进行http访问。

C. 配置fixup协议
fixup命令作用是启用，禁止，改变一个服务或协议通过pix防火墙，由fixup命令指定的端口是pix防火墙要侦听的服务。见下面例子：
例1． Pix525(config)#fixup protocol ftp 21
启用ftp协议，并指定ftp的端口号为21
例2． Pix525(config)#fixup protocol http 80
Pix525(config)#fixup protocol http 1080
为http协议指定80和1080两个端口。
例3． Pix525(config)#no fixup protocol smtp 80
禁用smtp协议。

D. 设置telnet
telnet有一个版本的变化。在pix OS 5.0（pix操作系统的版本号）之前，只能从内部网络上的主机通过telnet访问pix。在pix OS 5.0及后续版本中，可以在所有的接口上启用telnet到pix的访问。当从外部接口要telnet到pix防火墙时，telnet数据流需要用ipsec提供保护，也就是说用户必须配置pix来建立一条到另外一台pix，路由器或vpn客户端的ipsec隧道。另外就是在PIX上配置SSH，然后用SSH client从外部telnet到PIX防火墙，PIX支持SSH1和SSH2，不过SSH1是免费软件，SSH2是商业软件。相比之下cisco路由器的telnet就作的不怎么样了。
telnet配置语法：telnet local_ip [netmask]
local_ip 表示被授权通过telnet访问到pix的ip地址。如果不设此项，pix的配置方式只能由console进行。

说了这么多，下面给出一个配置实例供大家参考。

Welcome to the PIX firewall

Type help or '?' for a list of available commands.
PIX525> en
Password:
PIX525#sh config
: Saved
:
PIX Version 6.0(1) ------ PIX当前的操作系统版本为6.0
Nameif ethernet0 outside security0
Nameif ethernet1 inside security100 ------ 显示目前pix只有2个接口
Enable password 7Y051HhCcoiRTSQZ encrypted
Passed 7Y051HhCcoiRTSQZ encrypted ------ pix防火墙密码在默认状态下已被加密，在配置文件中不会以明文显示，telnet 密码缺省为cisco
Hostname PIX525 ------ 主机名称为PIX525
Domain-name 123.com ------ 本地的一个域名服务器123.com，通常用作为外部访问
Fixup protocol ftp 21
Fixup protocol http 80
fixup protocol h323 1720
fixup protocol rsh 514
fixup protocol smtp 25
fixup protocol sqlnet 1521
fixup protocol sip 5060 ------ 当前启用的一些服务或协议，注意rsh服务是不能改变端口号
names ------ 解析本地主机名到ip地址，在配置中可以用名字代替ip地址，当前没有设置，所以列表为空
pager lines 24 ------ 每24行一分页
interface ethernet0 auto
interface ethernet1 auto ------ 设置两个网卡的类型为自适应
mtu outside 1500
mtu inside 1500 ------ 以太网标准的MTU长度为1500字节

ip address outside 61.144.51.42 255.255.255.248
ip address inside 192.168.0.1 255.255.255.0 ------ pix外网的ip地址61.144.51.42，内网的ip地址192.168.0.1
ip audit info action alarm
ip audit attack action alarm ------ pix入侵检测的2个命令。当有数据包具有攻击或报告型特征码时，pix将采取报警动作（缺省动作），向指定的日志记录主机产生系统日志消息；此外还可以作出丢弃数据包和发出tcp连接复位信号等动作，需另外配置。
pdm history enable ------ PIX设备管理器可以图形化的监视PIX
arp timeout 14400 ------ arp表的超时时间
global (outside) 1 61.144.51.46 ------ 如果你访问外部论坛或用QQ聊天等等，上面显示的ip就是这个
nat (inside) 1 0.0.0.0 0.0.0.0 0 0
static (inside, outside) 61.144.51.43 192.168.0.8 netmask 255.255.255.255 0 0
conduit permit icmp any any
conduit permit tcp host 61.144.51.43 eq www any
conduit permit udp host 61.144.51.43 eq domain any
------ 用61.144.51.43这个ip地址提供domain-name服务，而且只允许外部用户访问domain的udp端口
route outside 0.0.0.0 0.0.0.0 61.144.51.61 1 ------ 外部网关61.144.51.61
timeout xlate 3:00:00 ------ 某个内部设备向外部发出的ip包经过翻译(global)后，在缺省3个小时之后此数据包若没有活动，此前创建的表项将从翻译表中删除，释放该设备占用的全局地址
timeout conn 1:00:00 half-closed 0:10:00 udp 0:02:00 rpc 0:10:00 h323 0:05:00 sip 0:30:00 sip_media 0:02:00
timeout uauth 0:05:00 absolute ------ AAA认证的超时时间，absolute表示连续运行uauth定时器，用户超时后，将强制重新认证
aaa-server TACACS+ protocol tacacs+
aaa-server RADIUS protocol radius ------ AAA服务器的两种协议。AAA是指认证，授权，审计。Pix防火墙可以通过AAA服务器增加内部网络的安全
no snmp-server location
no snmp-server contact
snmp-server community public ------ 由于没有设置snmp工作站，也就没有snmp工作站的位置和联系人
no snmp-server enable traps ------ 发送snmp陷阱
floodguard enable ------ 防止有人伪造大量认证请求，将pix的AAA资源用完
no sysopt route dnat
telnet timeout 5
ssh timeout 5 ------ 使用ssh访问pix的超时时间
terminal width 80
Cryptochecksum:a9f03ba4ddb72e1ae6a543292dd4f5e7
PIX525#
PIX525#write memory ------ 将配置保存

上面这个配置实例需要说明一下，pix防火墙直接摆在了与internet接口处，此处网络环境有十几个公有ip,可能会有朋友问如果我的公有ip很有限怎么办？你可以添加router放在pix的前面，或者global使用单一ip地址，和外部接口的ip地址相同即可。另外有几个维护命令也很有用，show interface查看端口状态，show static查看静态地址映射，show ip查看接口ip地址，ping outside | inside ip_address确定连通性。

本文只是对pix防火墙的基本配置做了相关描述，pix其他的一些功能例如AAA服务器，vpn等等限于篇幅，不再一一介绍。希望本文能够抛砖引玉，

若有兴趣的读者可以访问以下资源：
http://www.cisco.com/global/CN/products/sc/index.shtml pix防火墙中文资料
http://www.cisco.com/en/US/products...ons_guides.html pix防火墙英文官方网站，详细的技术资料
http://www.net130.com/ccnp-labs 一个不错的pix在线实验

书籍方面可以参考人邮（http://www.ptpress.com.cn）出版的《pix安全防火墙》。

Router:sam-i-am(VPN Server)

Current configuration:
!
version 12.2
service timestamps debug uptime
service timestamps log up time
no service password-encryption
!
hostname sam-i-am
!
ip subnet-zero

!--- IKE配置

sam-i-am(config)#crypto isakmp policy 1 //定义策略为1
sam-i-am(isakmp)#hash md5 //定义MD散列算法
sam-i-am(isakmp)#authentication pre-share //定义为预共享密钥认证方式
sam-i-am(config)#crypto isakmp key cisco123 address 0.0.0.0 0.0.0.0

!--- 配置预共享密钥为cisco123,对等端为所有IP

!--- IPSec协议配置

sam-i-am(config)#crypto ipsec transform-set rtpset esp-des esp-md5-hmac

!--- 创建变换集 esp-des esp-md5-hmac

sam-i-am(config)#crypto dynamic-map rtpmap 10 //创建动态保密图rtpmap 10
san-i-am(crypto-map)#set transform-set rtpset //使用上面的定义的变换集rtpset
san-i-am(crypto-map)#match address 115 //援引访问列表确定受保护的流量
sam-i-am(config)#crypto map rtptrans 10 ipsec-isakmp dynamic rtpmap

!--- 将动态保密图集加入到正规的图集中

!
interface Ethernet0
ip address 10.2.2.3 255.255.255.0
no ip directed-broadcast
ip nat inside

no mop enabled
!
interface Serial0
ip address 99.99.99.1 255.255.255.0
no ip directed-broadcast
ip nat outside
crypto map rtptrans //将保密映射应用到S0接口上

!
ip nat inside source route-map nonat interface Serial0 overload
!--- 这个NAT配置启用了路由策略，内容为10.2.2.0到10.1.1.0的访问不进行地址翻译
!--- 到其他网络的访问都翻译成SO接口的IP地址

ip classless
ip route 0.0.0.0 0.0.0.0 Serial0 //配置静态路由协议
no ip http server
!
access-list 115 permit ip 10.2.2.0 0.0.0.255 10.1.1.0 0.0.0.255
access-list 115 deny ip 10.2.2.0 0.0.0.255 any
!
access-list 120 deny ip 10.2.2.0 0.0.0.255 10.1.1.0 0.0.0.255
access-list 120 permit ip 10.2.2.0 0.0.0.255 any
!
sam-i-am(config)#route-map nonat permit 10 //使用路由策略
sam-i-am(router-map)#match ip address 120
!
line con 0
transport input none
line aux 0
line vty 0 4
password ww
login
!
end

 

Router:dr_whoovie(VPN Client)

Current configuration:
!
version 12.2
service timestamps debug uptime
service timestamps log uptime
no service password-encryption
!
hostname dr_whoovie
!
ip subnet-zero
!
dr_whoovie(config)#crypto isakmp policy 1 //定义策略为1
dr_whoovie(isakmp)#hash md5 //定义MD5散列算法
dr_whoovie(isakmp)#authentication pre-share //定义为预共享密钥认证方式
dr_whoovie(config)#crypto isakmp key cisco123 address 99.99.99.1

!--- 配置预共享密钥为cisco123,对等端为服务器端IP99.99.99.1

!--- IPSec协议配置

dr_whoovie(config)#crypto ipsec transform-set rtpset esp-des esp-md5-hmac

!--- 创建变换集 esp-des esp-md5-hmac

dr_whoovie(config)#crypto map rtp 1 ipsec-isakmp

!--- 使用IKE创建保密图rtp 1

dr_whoovie(crypto-map)#set peer 99.99.99.1 //确定远程对等端
dr_whoovie(crypto-map)#set transform-set rtpset //使用上面的定义的变换集rtpset
dr_whoovie(crypto-map)#match address 115 //援引访问列表确定受保护的流量

!
interface Ethernet0
ip address 10.1.1.1 255.255.255.0
no ip directed-broadcast
ip nat inside

no mop enabled
!
interface Serial0
ip address negotiated //IP地址自动获取
no ip directed-broadcast
ip nat outside
encapsulation ppp //S0接口封装ppp协议
no ip mroute-cache
no ip route-cache
crypto map rtp //将保密映射应用到S0接口上

!
ip nat inside source route-map nonat interface Serial0 overload
!--- 这个NAT配置启用了路由策略，内容为10.1.1.0到10.2.2.0的访问不进行地址翻译
!--- 到其他网络的访问都翻译成SO接口的IP地址

ip classless
ip route 0.0.0.0 0.0.0.0 Serial0 //配置静态路由协议
no ip http server

!
access-list 115 permit ip 10.1.1.0 0.0.0.255 10.2.2.0 0.0.0.255
access-list 115 deny ip 10.1.1.0 0.0.0.255 any

access-list 120 deny ip 10.1.1.0 0.0.0.255 10.2.2.0 0.0.0.255
access-list 120 permit ip 10.1.1.0 0.0.0.255 any

!
dialer-list 1 protocol ip permit
dialer-list 1 protocol ipx permit
route-map nonat permit 10 //使用路由策略
match ip address 120
!
line con 0
transport input none
line aux 0
line vty 0 4
password ww
login
!
end

-----------IKE配置----------------

IPSec VPN对等端为了建立信任关系，必须交换某种形式的认证密钥。
Internet 密钥交换(Internet Key Exchange，IKE)是一种为IPSec管理和交换密钥的标准方法。
一旦两个对等端之间的IKE协商取得成功，那么IKE就创建到远程对等端的安全关联(security association，SA)。SA是单向的；在两个对等端之间存在两
个SA。
IKE使用UDP端口500进行协商，确保端口500不被阻塞。

配置

1、（可选）启用或者禁用IKE
(global)crypto isakmp enable
或者
(global)no crypto isakmp enable
默认在所有接口上启动IKE

2、创建IKE策略
(1)定义策略
(global)crypto isakmp policy priority
注释：policy 1表示策略1，假如想多配几个VPN，可以写成policy 2、policy3┅

(2)（可选）定义加密算法
(isakmp)encryption {des | 3des}
加密模式可以为56位的DES-CBC(des，默认值)或者168位的3DES(3des)

(3)（可选）定义散列算法
(isamkp)hash {sha | md5}
默认sha

(4)（可选）定义认证方式
(isamkp)authentication {rsa-sig | rsa-encr | pre-share}
rsa-sig 要求使用CA并且提供防止抵赖功能；默认值
rsa-encr 不需要CA，提供防止抵赖功能
pre-share 通过手工配置预共享密钥

(5)（可选）定义Diffie-Hellman标识符
(isakmp)group {1 | 2}
注释：除非购买高端路由器，或是VPN通信比较少，否则最好使用group 1长度的密钥，group命令有两个参数值：1和2。参数值1表示密钥使用768位密钥，
参数值2表示密钥使用1024位密钥，显然后一种密钥安全性高，但消耗更多的CPU时间。

(6)（可选）定义安全关联的生命期
(isakmp)lifetime seconds
注释：对生成新SA的周期进行调整。这个值以秒为单位，默认值为86400，也就是一天。值得注意的是两端的路由器都要设置相同的SA周期，否则VPN在正
常初始化之后，将会在较短的一个SA周期到达中断。

3、(rsa-sig)使用证书授权(CA)
(1)确保路由器有主机名和域名
(global)hostname hostname
(global)ip domain-name domain

(2)产生RSA密钥
(global)crypto key generate rsa

(3)使用向IPSec对等端发布证书的CA
－－设定CA的主机名
(global)crypto ca identity name
－－设定联络CA所使用的URL
(ca-identity)enrollment url url
URL应该采用http://ca-domain-nameort/cgi-bin-location的形式
－－（可选）使用RA模式
(ca-identity)enrollment mode ra
(ca-identity)query url url
－－（可选）设定注册重试参数
(ca-identity)enrollment retry period minutes
(ca-identity)enrollment retry count number
minutes(1到60；默认为1) number(1到100；默认为0，代表无穷次)
－－（可选）可选的证书作废列表
(ca-identity)crl optional

(4)（可选）使用可信的根CA
－－确定可信的根CA
(global)crypto ca trusted-root name
－－（可选）从可信的根请求CRL
(ca-root)crl query url
－－定义注册的方法
(ca-root)root {CEP url | TFTP server file | PROXY url}

(5)认证CA
(global)crypto ca authenticate name

(6)用CA注册路由器
(global)crypto ca enroll name

4、(rsa-encr)手工配置RSA密钥（不使用CA）
(1)产生RSA密钥
(global)crypto key generate rsa

(2)指定对等端的ISAKMP标识
(global)crypto isakmp identity {address | hostname}

(3)指定其他所有对等端的RSA密钥
－－配置公共密钥链
(global)crypto key pubkey-chain rsa

－－用名字或地址确定密钥
(pubkey-chain)named-key key-name [encryption | signature]
(pubkey-chain)addressed-key key-name [encryption | signature]

－－（可选）手工配置远程对等端的IP地址
(pubkey-key)address ip-addr

－－指定远程对等端的公开密钥
(pubkey-key)key-string key-string

5、(preshare)配置预共享密钥
(global)crypto isakmp key key-string {addrss | hostname} {peer-address | peer-hostname}
注释：返回到全局设置模式确定要使用的预先共享密钥和指归VPN另一端路由器IP地址，即目的路由器IP地址。相应地在另一端路由器配置也和以上命令类
似

6、（可选）使用IKE模式
(1)定义要分发的“内部”或者受保护IP地址库
(global)ip local pool pool-name start-address end-address

(2)启动IKE模式协商
(global)crypto isakmp client configuration address-pool local pool-name

--------------IPSc配置----------------

IPSec 使用加密、数据完整性、源发鉴别以及拒绝重演分组来保护和认证网络层对等端之间的IP分组

IPSec对于构建内因网、外因网以及远程用户接入VPN来说非常有用处

IPSec支持以下标准
--Internet协议的安全体系结构
--IKE(Internet密钥交换)
--DES(数据加密标准)
--MD5
--SHA
--AH(Authentication Header，认证首部)数据认证和反重演(anti-reply)服务
--ESP(Encapsulation Security Payload，封装安全净荷)数据隐私、数据验证以及反重演(anti-reply)服务

敏感流量由访问列表所定义，并且通过crypto map(保密图)集被应用到接口上。

配置

1、为密钥管理配置IKE

2、（可选）定义SA的全局生命期
(global)crypto ipsec security-association lifetime seconds seconds
(global)crypto ipsec security-association lifetime killobytes kilobytes

3、定义保密访问列表来定义受保护的流量
(global)access-list access-list-number ....
或者
(global)ip access-list extended name
扩展的访问列表必须定义由IPSec保护哪种IP流量。保密图(crypto map)援引这个访问列表来确定在接口上要保护的流量。

4、定义IPSec交换集
(1)创建变换集
(global)crypto ipsec transform-set name [transform1 | transform2 | transform3]
可以在一个保密图(crypto map)中定义多个变换集。如果没有使用IKE，那么只能定义一种变换集。用户能够选择多达三种变换。
（可选）选择一种AH变换
--ah-md5-hmac
--ah-sha-hmac
--ah-rfc-1828
（可选）选择一种ESP加密编号
--esp-des
--esp-3des
--esp-rfc-1829
--esp-null
以及这些验证方法之一
--esp-md5-hmac
--esp-sha-hmac
（可选）选择IP压缩变换
--comp-lzs

(2)（可选）选择变换集的模式
(crypto-transform)mode {tunnel | transport}

5、使用IPSec策略定义保密映射
保密图(crypto map)连接了保密访问列表，确定了远程对等端、本地地址、变换集和协商方法。

(1)（可选）使用手工的安全关联（没有IKE协商）
--创建保密图
(global)crypto map map-name sequence ipsec-manual

--援引保密访问列表来确定受保护的流量
(crypto-map)match address access-list

--确定远程的IPSec对等端
(crypto-map)set peer {hostname | ip_addr}

--指定要使用的变换集
(crypto-map)set transform-set name
变换集必须和远程对等端上使用的相同

--（仅适用于AH验证）手工设定AH密钥
(crypto-map)set session-key inbound ah spi hex-key-data
(crypto-map)set session-key outbound ah spi hex-key-data

--（仅适用于ESP验证）手工设定ESP SPI和密钥
(crypto-map)set session-key inbound ah spi hex-key-data [authenticator hex-key-data]
(crypto-map)set session-key outbound ah spi hex-key-data [authenticator hex-key-data]

(2)（可选）使用IKE建立的安全关联
--创建保密图
(global)crypto map map-name sequence ipsec-isakmp

--援引保密访问列表来确定受保护的流量
(crypto-map)match address access-list

--确定远程的IPSec对等端
(crypto-map)set peer {hostname | ip_addr}

--指定要使用的变换集
(crypto-map)set transform-set name
变换集必须和远程对等端上使用的相同

--（可选）如果SA生命期和全局默认不同，那么定义它：
(crypto-map)set security-association lifetime seconds seconds
(crypto-map)set security-association lifetime kilobytes kilobytes

--（可选）为每个源/目的主机对使用一个独立的SA
(crypto-map)set security-association level per-host

--（可选）对每个新的SA使用完整转发安全性
(crypto-map)set pfs [group1 | group2]

(3)（可选）使用动态安全关联
--创建动态的保密图
(global)crypto dynamic-map dyn-map-name dyn-seq-num

--（可选）援引保密访问列表确定受保护的流量
(crypto-map)match address access-list

--（可选）确定远程的IPSec对等端
(crypto-map)set peer {hostname | ip_addr}

--（可选）指定要使用的变换集
(crypto-map)set transform-set tranform-set-name

--（可选）如果SA生命期和全局默认不同，那么定义它：
(crypto-map)set security-association lifetime seconds seconds
(crypto-map)set security-association lifetime kilobytes kilobytes

--（可选）对每个新的SA使用完整转发安全性
(crypto-map)set pfs [group1 | group2]

--将动态保密图集加入到正规的图集中
(global)crypto map map-name sequence ipsec-isakmp dynamic dyn-map-name [discover]

--（可选）使用IKE模式的客户机配置
(global)crypto map map-name client configuration address [initiate | respond]

--（可选）使用来自AAA服务器的预共享IKE密钥
(global)crypto map map-name isakmp authorization list list-name

6、将保密映射应用到接口上

(1)指定要使用的保密映射
(interface)crypto map map-name

(2)（可选）和其他接口共享保密映射
(global)crypto map map-name local-address interface-id

（LAPD：ISDN Link Access Protocol Channel D － Q.921）

LAP-D 是 ISDN 协议集中的第二层协议，与 X.25 LAP-B 协议几乎相同。ISDN 的三种逻辑数字通信信道执行如下功能： B 信道 － 传送用户业务信息包括数字数据、视频和语音； D 信道 － 在用户和网络间传送信令和数据包； H 信道 － 执行与 B 信道相同的功能但其运行速率超过 DS-0 （64 Kbps）。 　　LAP-D 完成 ISDN 链路建立过程具体如下： 终端端点（TE）和网络交换准备接受帧（RR），等待初始化一个连接。 终端端点（TE）发送一个未编号的信息（UI）帧，其中 SAPI（业务接入点标识）的值为63（管理协议、查询网络），TEI （终端终点标识） 的值为127（建立广播链路）。 网络分配一个可使用 TEI（范围为 64 － 126 ）。 TE 发送一个 SABME 帧，其 SAPI 值为0（呼叫控制），TEI 值为网络分配的值。 网络发出未编号响应（UA）帧，SAPI=0，TEI 值为分配值 。 　　LAPD 由 CCITT Q.920/921 定义，其工作于平衡式异步模式（ABM）下，该模式是完全平衡的（也就是没有主从关系）。任何时候每个站都可以进行初始化、监督、错误恢复和发送帧操作。 DTE 和 DCE 在该协议中是同等的。

协议结构

标准 LAPD 帧格式如下所示：

Flag

Address Field

Control Field

Information

FCS

Flag

Flag ― Flag 字段的值恒为 0x7E。采用“Bit Stuffing”技术以确保帧分隔符标志的位模式不会出现在帧的数据字段。 　　Address Field ― 帧中头标志后面的起始两个字节为 Address Field。Address Field 格式如下所示：

1	2	3	4	5	6	7	8
SAPI (6 bits)						C/R	EA0
TEI (7 bits)							EA1

SAPI（服务访问点标识符），6位（如下所示）； C/R（命令/响应）位表示帧是命令还是响应； EA0（地址字段扩展）位表示是否是地址最后八位字节； TEI（终端终点标识符），7位设备标识符（如下所示）； EA1（地址字段扩展）位，与 EA0 相同。 　　Control Field ― Control Field 字段在 Address Field 字段后面，用于识别帧类型。另外，它还包括序列号、控制特征和差错追踪，这主要取决于帧类型。下面提供了 LAPD 中定义的管理帧类型：

RR	信息帧确认和指示以接收更多信息。
REJ	请求重发指定序列号后面的所有帧。
RNR	表示临时占有站的状态（如全窗口）。

LAPD 支持的一些未编号的帧类型有 DISC（请求断开）、UA（确认帧）、DM （DISC 的应答，表示断开模式）、FRMR （帧拒绝）、SABM、SABME、UI 和 XID。 　　FCS － 通过检查所传输帧数据的完整性， 帧校验序列（FCS）可以进行高级别的物理差错控制。首先，传输方使用基于帧中所有位的值的算法得出序列号。然后接收方对接收到的帧采用相同的算法，将得到的值与 CRC 作比较。 　　Window size － LAPD 支持扩展的窗口大小（模数为128），确认帧的可能值是从8扩展到128。这种扩展值通常应用于确认时延比帧传输时间大得多的卫星传输系统中。链路初始帧类型决定会话模数，并且在基本帧类型名称中增加了“E”（如由SABM 变为 SABME）。

TS服务器群切换问题处理(II)

关键字/主题词
TS  切换  Cisco4006  CPU  SLR  TTL
系统版本
Cisco4006 : Version 12.1(19)EW
问题描述　
2004年底至2005年初,我们上报过一个关于TS服务器切换的问题(详见<<TS服务器群切换问题处理>>):
OSS4006偶尔会出现CPU过载现象,导致双网卡TS服务器网卡切换,甚至应用进程切换和通信故障;
第二象限曾经出现”所有TS停止服务”的告警并伴随很多GW自动切换的大规模故障;根源同样归结到上诉CPU问题;
现场通过脚本每15秒采集OSS4006的CPU信息,发现两台交换机的CPU出现过高达99%利用率的情形,并持续几分钟; 另外我们排除人工干预的外在因素;
Cisco公司当初无法明确判断原因,要求对4006进行升级;
分析处理过程
1.IOS升级:
5月24日现场更换4006的引擎板(杭州统一安排的项目,为了解决另一个问题),并把交换机软件IOS升级到Version 12.1(19)EW;
升级后OSS4006的CPU持续高达80%左右(凌晨除外),同时NMS上有大量的” 所有TS停止服务”告警;说明原有问题仍然存在,而且在新的IOS下表现非常直接和突出;

------------------ show process cpu ------------------

CPU utilization for five seconds: 84%/3%; one minute: 77%; five minutes: 77%
 PID Runtime(ms)   Invoked      uSecs   5Sec   1Min   5Min TTY Process
   1           0         1          0  0.00%  0.00%  0.00%   0 Chunk Manager   
   2         400     27817         14  0.00%  0.00%  0.00%   0 Load Meter      
   3       20724    370188         55  0.00%  0.00%  0.00%   0 OSPF Hello      
   4           0         1          0  0.00%  0.00%  0.00%   0 Deferred Events 
   5      153108     20994       7292  0.00%  0.07%  0.09%   0 Check heaps     
   6           4         2       2000  0.00%  0.00%  0.00%   0 Pool Manager    
   7           0         2          0  0.00%  0.00%  0.00%   0 Timers          
   8           0         2          0  0.00%  0.00%  0.00%   0 Serial Backgroun
   9           0         1          0  0.00%  0.00%  0.00%   0 IFS Agent Manage
  10           0         1          0  0.00%  0.00%  0.00%   0 IPC Zone Manager
  11        2172    138428         15  0.00%  0.00%  0.00%   0 IPC Periodic Tim
  12           0         1          0  0.00%  0.00%  0.00%&nbp;  0 IPC BackPressure
  13        1420    138428         10  0.00%  0.00%  0.00%   0 IPC Deferred Por
  14           0         1          0  0.00%  0.00%  0.00%   0 IPC Seat Manager
  15       47476    154199        307  0.00%  0.01%  0.00%   0 ARP Input       
  16        1152     33808         34  0.00%  0.00%  0.00%   0 HC Counter Timer
  17          28         4       7000  0.00%  0.00%  0.00%   0 Entity MIB API  
  18           0         1          0  0.00%  0.00%  0.00%   0 SERIAL A'detect 
  19        2828    138427         20  0.00%  0.00%  0.00%   0 Dynamic ARP Insp
  20           0         1          0  0.00%  0.00%  0.00%   0 Critical Bkgnd  
  21        1456     42492         34  0.00%  0.00%  0.00%   0 Net Background  
  22          36       203        177  0.00%  0.00%  0.00%   0 Logger          
  23        2576    138399         18  0.00%  0.01%  0.00%   0 TTY Background  
  24        3020    138427         21  0.00%  0.00%  0.00%   0 Per-Second Jobs 
  25    12606284  27029577        466  4.66%  3.07%  4.11%   0 Cat4k Mgmt HiPri
  26    63427820  51415624       1233 59.27% 62.49% 63.80%   0 Cat4k Mgmt LoPri
  27        1272     89414         14  0.00%  0.00%  0.00%   0 Galios Reschedul
  28           0         2          0  0.00%  0.00%  0.00%   0 rf task         

运行同样IOS的另两台VAS4006的CPU则稳定在10%左右,暗示着CPU问题与某一类数据负载有关
2.水落石出:
新版本的IOS提供一条命令”monitor session 1 source cpu”,可以把4006的CPU所处理的包抓出来:
 
数据是很明确的: OSS4006的CPU大概每秒需处理1748个包请求(而且还不是忙时),这些包除少量的管理包外,绝大部分是TSEH,SLR之间的缓存同步数据包;该类包发向239.255.122.21,是我们广泛采用的多目包;
Cisco4006对TTL=1的多目包需通过CPU作一些处理,TTL>1的多目包则可以快速交换
3.曲终人散:
解决问题的方法有两个:
1. 把SLR等服务器割到其他交换机,如Cisco6509;目前大网有用户200万,很难实施;
2. 修改SLR缓存同步包的TTL值;
现场采用MCNC做实验,证明修改TTL值后,PIM多目路由可正常剪枝和收敛;
5月27日,我们实施了第二种方案,OSS4006 CPU降到10%左右,系统稳定
总结

SG链路负荷问题分析

关键字/主题词
SG  链路  负荷分担  SLS
系统版本
SG3.1 : MSWITCH_3.2_REL_NSS_0042
问题描述　
UT->ZTE的漫游信令处理等工作目前由SG41和SG42承担;每SG配置4块PPU板,分别处理面向ZTE的SS7信令协议(2块PPU,主备)和面向UT HLR,VLR,iTS的M3UA协议(2块PPU,负荷分担).
从UT的HLR到ZTE的VLR,路径如下图:

其中HLR配置4条偶连实现到SG的M3UA协议传输;SG41和SG42分别配置4条链路到ZTE,实现SS7信令的传输;HLR对偶连及SG对链路均采用”按SLS负荷分担”的模式.
另:SG41的链路27和SG42的链路26目前处在未开通状态.
按预想结果:SG41的链路28,29,30及SG42的链路25,27,28其负荷应该基本均衡.
但根据局方投诉,统计显示如下:
时间段 链路号 链路收到错误MSU的个数 链路发送的SIF/SIO的个数 链路接收的SIF/SIO的个数 拥塞导致MSU丢失次数 链路定位失败次数 接收否定证实次数 数据重传字节次数 发出MSU个数 接收MSU个数 链路负荷(erl) 
从2005-06-10 17:00 到2005-06-10 18:00 25 0 1380 3450015 0 0 0 0 96 35831 0 
 26 19742 0 0 0 0 0 0 0 0 0 
 27 0 6566291 3452067 0 0 0 0 52971 35807 0.23 
 28 0 6589444 2297290 0 0 0 0 53039 23860 0.23 

-06-10 17:00 到2005-06-10 18:00 27 5975 0 0 0 0 0 0 0 0 0 
 28 0 6597567 3452637 0 0 0 0 53088 35846 0.23 
 29 0 6608246 2296036 0 0 0 0 53204 23860 0.23 
 30 0 1380 3441489 0 0 0 0 96 35732 0 

上表显示:SG41的链路30的”链路负荷”是0 erl,而链路28,29上有正常负荷(链路27未开通);SG42的链路25的”链路负荷”是0 erl,而链路27,28上有正常负荷(链路26未开通).
局方怀疑是NMS统计故障.
分析处理过程
1.负荷统计分析:
“链路负荷”是根据如下公式计算所得:
链路负荷=(链路发送的SIF/SIO的个数 + 发出MSU个数*6)*8/(64*1024*时间段)
时间段为秒,如,一小时,时间段=3600.取两位小数.
由上表数据计算SG41链路30和SG42链路25的负荷确实很小,被显示为0;原因是通过该链路发送的相关包数目太少(相对同SG的正常链路).
检查这两条链路的状态是正常的;链路收包数目也是一个旁证.
分析表示并非NMS统计有误
2.现场操作:
2.1 通过如下命令可以看出SG按SLS的传输分配情况:
(以SG41为例,0x127f1是ZTE VLR的点码)

-> snUtilDPCMapShow 0x127f1,1
point code = 27f1
 
home link map (NMS配置的分担方式)
link = 28
 SLS =   0 4 8 12
link = 29
 SLS =   1 5 9 13
link = 30
 SLS =   2 6 10 14
link = 27
 SLS =   3 7 11 15
 
visitor link map (实际的负荷分担方式)
link = 28
 SLS =   0 3 4 8 12 15
link = 29
 SLS =   1 5 7 9 13
link = 30
 SLS =   2 6 10 11 14
value = 0 = 0x0
由于链路27未开通,会导致配置的负荷分担方式和实际的负荷分担方式不同;SG会根据实际链路的状态调整SLS到各个链路的分配情况.
从上结果看:0->15共16个SLS在三条状态完好的链路上基本均匀分配(5+5+6=16);但不是完全按顺序轮流排列,比如SLS=4应该分给链路29,但实际分给链路28.(这是后面解决问题的关键).
2.2 现场将SG41上的链路27(实际未开通)配置数据删除,情况有了变化.
-> snUtilDPCMapShow 0x127f1,1
point code = 27f1
  home link map
link = 28
 SLS =   0 3 6 9 12 15
link = 29
 SLS =   1 4 7 10 13
link = 30
 SLS =   2 5 8 11 14
visitor link map
link = 28
 SLS =   0 3 6 9 12 15
link = 29
 SLS =   1 4 7 10 13
link = 30
 SLS =   2 5 8 11 14
可以看出少了链路27的配置后,实际的”负荷分担”方式发生变化,严格按照顺序将16个SLS分配给三条链路.
此时链路30的负荷开始正常,如下表:
2.3 在SG42上做另一种操作:
将链路25(开通,但负荷为0)配置数据删除并重新添加,情况也有变化:原来负荷为0的链路25开始有了负荷,但原来正常的链路27负荷却变为0.如下表所示:
SG41 
时间段 链路号 链路收到错误MSU的个数 链路发送的SIF/SIO的个数 链路接收的SIF/SIO的个数 拥塞导致MSU丢失次数 链路定位失败次数 接收否定证实次数 数据重传字节次数 发出MSU个数 接收MSU个数 链路负荷(erl) 
从2005-06-17 12:00 到2005-06-17 13:00 28 0 4470494 2842570 0 0 0 0 34277 29937 0.16 
 29 0 4465508 2832671 0 0 0 0 34298 29857 0.16 
 30 0 2953748 1886908 0 0 0 0 22694 19949 0.1 
 小计 0 1.2E+07 7562149 0 0 0 0 91269 79743 0.14 
从2005-06-17 13:00 到2005-06-17 14:00 28 0 4519396 2902262 0 0 0 0 35127 30619 0.16 
 29 0 4540131 2894610 0 0 0 0 35179 30553 0.16 
 30 0 3020498 1942921 0 0 0 0 23459 20546 0.11 
 小计 0 1.2E+07 7739793 0 0 0 0 93765 81718 0.14 
从2005-06-17 14:00 到2005-06-17 15:00 28 0 5079181 3257254 0 0 0 0 39319 34473 0.18 
 29 0 5087608 3258862 0 0 0 0 39534 34474 0.18 
 30 0 3413080 2173698 0 0 0 0 26460 23026 0.12 
 小计 0 1.4E+07 8689814 0 0 0 0 105313 91973 0.16 
从2005-06-17 15:00 到2005-06-17 16:00 28 0 5133179 3278333 0 0 0 0 39685 34677 0.18 
 29 0 5183727 3291417 0 0 0 0 40057 34819 0.18 
 30 0 3475443 2198123 0 0 0 0 26895 23287 0.12 
 小计 0 1.4E+07 8767873 0 0 0 0 106637 92783 0.16 
SG42 
时间段 链路号 链路收到错误MSU的个数 链路发送的SIF/SIO的个数 链路接收的SIF/SIO的个数 拥塞导致MSU丢失次数 链路定位失败次数 接收否定证实次数 数据重传字节次数 发出MSU个数 接收MSU个数 链路负荷(erl) 
从2005-06-17 12:00 到2005-06-17 13:00 25 0 1542 1892612 0 0 0 0 114 19994 0 
 27 0 5969258 2839496 0 0 0 0 45761 29878 0.21 
 28 0 5953751 2826233 0 0 0 0 45547 29779 0.21 
 小计 0 1.2E+07 7558341 0 0 0 0 91422 79651 0.14 
从2005-06-17 13:00 到2005-06-17 14:00 25 0 2637431 2339177 0 0 0 0 37969 24753 0.1 
 27 0 1136992 2918798 0 0 0 0 8868 30863 0.04 
 28 0 6092231 2147662 0 0 0 0 47248 22700 0.22 
 小计 0 9866654 7405637 0 0 0 0 94085 78316 0.12 
从2005-06-17 14:00 到2005-06-17 15:00 25 0 6809072 3248262 0 0 0 0 52667 34414 0.24 
 27 0 1542 3245093 0 0 0 0 114 34427 0 
 28 0 6807331 2155833 0 0 0 0 52643 22882 0.24 
 小计 0 1.4E+07 8649188 0 0 0 0 105424 91723 0.16 
从2005-06-17 15:00 到2005-06-17 16:00 25 0 6889443 3286273 0 0 0 0 53192 34765 0.24 
 27 0 1528 3288216 0 0 0 0 113 34781 0 
 28 0 6928849 2193662 0 0 0 0 53443 23207 0.25 
 小计 0 1.4E+07 8768151 0 0 0 0 106748 92753 0.16 

综合上面所诉,我们得出的结论是: 链路配置数据的变化会影响SG的实际负荷分担方式;而且可能出现不严格按顺序分配的情形.
是什么原因造成某些链路的负荷不正常?
3.负荷分担分析:
3.1通过前面提到的命令” snUtilDPCMapShow”结果,我们把SG的实际负荷分配归结如下表:
SLS SG41 SG42 
0 LINK28 LINK27 
1 LINK29 LINK27 
2 LINK30 LINK28 
3 LINK28 LINK25 
4 LINK29 LINK28 
5 LINK30 LINK27 
6 LINK28 LINK28 
7 LINK29 LINK25 
8 LINK30 LINK25 
9 LINK28 LINK27 
10 LINK29 LINK28 
11 LINK30 LINK25 
12 LINK28 LINK27 
13 LINK29 LINK27 
14 LINK30 LINK28 
15 LINK28 LINK25 
visitor link map 

我们发现:通过前面的不同操作, SG41将SLS按顺序分配到各个链路;SG42虽然分配也相对均匀,但没有严格按顺序.
3.2 HLR->SG的分担方式
考虑数据包从HLR->SG,共有4块PPU板(4条偶连),其分担方式应该是:
SLS=0,1到SG41的偶连1和偶连2,SLS=2,3到SG42的偶连3和偶连4,依此类推……(抓包的结果证实该分析)
综合HLR->SG和SG->链路的分担,实际UT HLR->ZTE VLR的数据分担(按SLS)应该如下:
SLS( 发) SG41 SG42 
0 LINK28 　 
1 LINK29 　 
2 　 LINK28 
3 　 LINK25 
4 LINK29 　 
5 LINK30 　 
6 　 LINK28 
7 　 LINK25 
8 LINK30 　 
9 LINK28 　 
10 　 LINK28 
11 　 LINK25 
12 LINK28 　 
13 LINK29 　 
14 　 LINK28 
15 　 LINK25 
实际发包 
SG42 LINK27没有参与发送 
可以看出SG42的链路27没有参与数据发送,因而其负荷统计为0; SG42链路虽然负责发送SLS=0,1,5,9,12,13的数据,但这类数据均被HLR发往SG41,不通过SG42.
上表完整地解释前面统计表格的问题!(数据比例是非常正确的)
总结:SG上的未开通链路数据可能导致SG上链路分担不按顺序,部分链路的负荷为0;需要R&D查清根本原因

1.      适用环境:

             所有使用IPMP(multipathing)双网卡技术的SUN服务器的现场 

2.      发布原因

             当cisco4006交换机cpu工作异常，致使CPU占用率很高时(如99%),cisco交换机对发送到自身的ICMP request 包不再响应。而根据当前的IPMP配置工作方式，启动IPMP服务的sun服务器依赖到default gateway（目前default gateway地址均为cisco路由地址）的ICMP包是否有响应来判断网络是否故障,当cisco交换机不响应时，IPMP会停止网络服务,导致SUN服务器服务中止。

为避免该种情况,我们须使用IPMP的加强保护机制,增加数个同一网段的参考地址作为目的IP,当所有的目的IP都没有响应时,才发生切换。

3.      故障现象

          当交换机CPU很忙时,SUN服务器网卡失效, 无法提供服务。

4.      处理方法:

1.  在/etc/init.d目录下创建文件ipmp.targets,内容如下:

#!/sbin/sh

# /etc/rc2.d/S70ipmp.targets /etc/init.d/ipmp.targets

# Copyright (c) 2005 by Sun Microsystems, Inc.

# All rights reserved.

#

#ident  "@(#)ipmp.targets      1.0.0    

#

# Edit the following IPMP test  TARGETS to suit your needs.

# To install:

# 1) cp ipmp.targets /etc/init.d    

# 2) perform edits on the script as required (e.g: add TARGETS)

# 3) chmod 744 /etc/init.d/ipmp.targets

# 4) chown root:sys /etc/init.d/ipmp.targets

# 5) ln /etc/init.d/ipmp.targets /etc/rc2.d/S70ipmp.targets

#

TARGETS="172.16.1.5 172.16.1.6 172.16.1.1"

case "$1" in

        'start')

            /usr/bin/echo "Adding static routes for use as IPMP targets"

                 for target in $TARGETS; do

           /usr/sbin/route add -host $target $target

                 done

                  ;;

        'stop')

              /usr/bin/echo "Removing static routes for use as IPMP targets"

                  for target in $TARGETS; do

                 /usr/sbin/route delete -host $target $target

                  done

                  ;

  esac  

注意:其中TARGETS建议使用3个地址,推荐使用同一网段的服务器的物理IP地址和default gateway的IP地址。同一网段内的服务器优先选择如DB服务器，TS服务器等。.

   172.16.1.5 172.16.1.6为两台DB服务器的物理IP

         172.16.1.1为缺省路由

         具体IP地址各现场需要根据实际情况修改

2.    chmod 744 /etc/init.d/ipmp.targets

3.  chown root:sys /etc/init.d/ipmp.targets

4.  ln /etc/init.d/ipmp.targets /etc/rc2.d/S70ipmp.targets

5.  /etc/rc2.d/S70ipmp.targets start

6.  pkill –HUP in.mpathd

5.      注意事项

          该操作不需要重启服务器,不用修改双网卡配置

6.      适用版本:

       所有使用Solaris 8  IPMP的现场

 

 

 

 

震下坤上
    复：亨。出入无疾。朋来无咎。反复其道，七日
  来复。利有攸往。
 
[译文]复卦象征回复：亨通。阳气生长没有害处，结伴前来没有过错。返转回复有一定规律，过了七天必然回复。利于有所前往。(出入：生长。“入”为自内生，“出”为向外长。)
    [提示]概述正气回复的卦旨。
    客：从卦形看，复卦正好是剥卦的颠倒。这再明显不过了：剥卦是独阳在上，复卦则是独阳在下。
   
主：阴极而阳返，这是必然的道理。群阴剥阳，剥至极处，阳便要复生了。阳被剥于上，复生于下。复卦就是一阳复生·于下之象，“复”就是返本回复之意。虽然只有一阳，但它是新生的，蓬勃向上的。正如冬至之后，阴寒最盛之时，一阳复生，这就预兆着大地回春之时将至，其欣欣向荣的生生之势毕竟是不可阻挡的，当然是必“亨”无疑的。
    客：“出入无疾，朋来无咎”这两句话的含意似乎不很明白。
   
主：这是对“亨”之义作具体说明。“出入”指阳爻从内卦产生、逐渐进入外卦。“朋来”是指一阳萌生则众阳将会陆续皆生，诸阳将像朋友一样结伴前来。总之是阳气萌发、勃勃生长的一片兴旺景象。《易经》中常有不要轻举妄动的告诫，然而当此之时，情况不同了，这正是任凭阳气萌生、发展的大好时机，所以可以尽情地生长和扩展，都不会犯错误的，都是“无疾”、‘‘无咎”的，都是“利有攸往”的。“复”道之“亨”，就“亨”在这里。
    客：这与剥卦的“不利有攸往”，真是形成了鲜明的对比。
    主：此一时也，彼一时也，对于正气来说，时来运转了。“待时而动”，待的就是这个时候。
    客：“反复其道，七日来复”又该怎样理解呢?这些话似乎带有神秘色彩。
   
主：这里指出阳气回复的必然性。“反复其道”，是说阴长则阳消，阳长则阴消，阴阳往来交替消长，按照一定的规律变化。这个规律在《易经》中表述为“七日来复”，就是说，从“一阳消退”到“一阳复生”，要经历七次变化。具体过程是：“一阳消”为“骺”，“二阳消”为“遁”，
 
“三阳消”为“否”(奏)，“四阳消”为“观”，“五阳消”为“剥”，“六阳消尽”为“坤”，“一阳来复”为“复”。当“剥”之时，阴进阳退，阳消将尽，所以“不利有攸往”；当“复”之时，阳进阴退，阳气方生，所以“利有攸往”。
    《彖》曰：复。亨，刚反。动而以顺行，是以出入
    无疾，朋来无咎。反复其道，七日来复。天行也。利有
    攸往，刚长也。复，其见天地之心乎?
   
[译文]《彖传》说：回复，亨通，说明阳刚返回。阳气萌动，并能顺应客观规律而运行，所以产生、滋长没有害处，结伴前来没有过错。返转回复有一定规律，过了七天必然回复，这是大自然的运行法则。利于有所前往，说明阳刚在生长。回复，大概体现着天地主宰万物的用心吧?
    [提示]解释卦辞。
    客：《彖传》对卦辞逐句解释其大意，简明扼要。
   
主：其中“动而以顺行”一句尤其值得注意，这是从复卦卦象推演而得(复卦下为震、为动，上为坤、为顺)，指出了复卦的基本卦旨。处“复”之时，行动是顺应客观规律而动。这与剥卦《彖传》指出的“顺而止之”的基本卦旨恰好相反。君子处“剥”、处“复”，或止或行，都是顺乎规律。能够认识客观规律并且能灵活主动地顺应它，也就从必然中实现了自由。
    《象》曰：雷在地中，复。先王以至日闭关，商旅
  不行，后不省方。
  [译文]《象传》说：雷潜藏于地中，象征阳气回复。先代君王因此在冬至日闭关静养，商人旅客不外出远行，君主不巡视四方。(后：君主。省：巡视，视察。)
    [提示]微阳初生时需要静养。
   
主：复卦下为震、为雷，上为坤、为地，是雷在地中之象。雷潜于地中，象征着阳气刚刚回复，一阳始生于下，还很微弱，还无力奋出地面。在节气上，这正是阴气极盛、阴极生阳、阳气初生的“冬至”之时。由于阳气始生，不能随意损耗，应该静养以待其壮大。人在此时也要安静保养，闭上关卡，君王百姓都要停止活动，以利于养精蓄锐。
    客：本卦卦辞中强调“利有攸往”，《象传》中又强调“闭关”“不行”，岂不是前后矛盾吗?
   
主：《易》有“变易”之旨，读《易》也要有灵活变化的观念。卦辞强调进取，是着眼于发展的趋势；《象辞》强调静养，是着眼于暂时的现状。这二者立意虽相反，其精神实质却并不矛盾。猛力前冲之前，先要后退几步，这叫“蓄势”。静养正是为进取而积蓄力量。
    初九，不远复，无祗悔，元吉。
    [译文]初九，走得不远就回复到正道，不至于悔恨，大吉。(祗：即“抵”，至。)
    《象》曰：不远之复，以修身也。
    [译文]<象传>说：走得不远就回复到正道，因为初九善于修身。
    [提示]偏离正道者贵在及时回复。
    主：初九处在复卦之初，首先回复于阳。犹如一个人离开正道不远，很快就回来了，还不至于达到悔恨的程度。
    客：这正如东晋诗人陶渊明在<归去来兮辞>所写：“适迷途其未远，觉今是而昨非。”一时偏离正道、误入歧途，总是难免的；重要的是善于省察、修正自己的失误。
    主：所以爻辞称初九的不远而复为“大吉”，这真是“知过能改，善莫大焉”。
    六二。休复。吉。
    [译文]六二，喜悦地回复，吉祥。(休：喜庆。)
    《象》曰：休复之吉，以下仁也。
    [译文]《象传》说：喜悦地回复，吉祥，因为六二谦逊地亲近仁人。(下：谦逊。)
    [提示]亲近仁人者能够乐于回复正道。
    客：六二之“复”，“休”在何处，“吉”在何处呢?
   
主：《象传》指出，原因在于“以下仁也”，这为我们提供了探讨爻义的门径。这里的“仁人”指率先回复于阳的初九。六二当阳气回复之时，性柔居中得正，与初九最为亲近，最早受到阳刚之气的影响，以回复于阳为可喜庆之事。因此，六二虽然在初九之上，却能视初九为“仁人”，亲而下之，谦逊地归向于它，这就是《象传》所说的“下仁”。这样，六二就会心悦诚服地向阳刚回复，而得到“休复之吉”。
    六三。频复。厉无咎。
    [译文]六三，愁眉苦脸地勉强回复，虽有危险，却没有过错。(频：同“颦”，皱眉。)
    《象》曰：频复之厉，义无咎也。
    [译文]《象传》说：愁苦地回复虽有危险，从回复于正道的．意义上来说，是没有过错的。
    [提示]痛苦的回复对于改过自新是必要的。
    客：六二“休复”，能够心怀喜悦地主动回复到正道上来；六三“频复”，却是愁眉苦脸地勉强回复到正道上来。同样是回复于正道，为什么会有这样不同的感情境界呢?
   
主：六二居中得正，又亲近于初九，所以对于回复于阳是心悦诚服的。六三以阴爻居阳位而失正，在素质上并不很好；又与初九无比无应，对于回复于阳并无内心需要。只是处于阳气回复之时，在客观形势的裹挟之下，不得不勉强地回复于正道。由此可见，是否回复于正道是问题的关键，哪怕是内心不很情愿地回复，也可以免过。不过，“频复”只能“无咎”而已，到底不能与“休复”之“吉”同日而语。
   
客：一个人滑向邪恶的泥坑十分容易；重新回到正道上来却很不容易，有时候就是要强迫自己改邪归正，要忍受脱胎换骨的痛苦。所以，愁眉苦脸的“频复”也是很必要的，这可以视为洗涤灵魂的“炼狱”。
    六四，中行独复。
    [译文]六四，走在中间，独自回复。
    《象》曰：中行独复，以从道也。
    [译文]《象传》说：走在中间，独自回复，是为了遵从正道。
    [提示]与阳刚相应，可以独自回复于阳。
   
主：六四上下各有两个阴爻，它居于五个阴爻的中间位置，所以叫做“中行”。它以阴爻居阴位得正，而且与初九阴阳相应。在五个阴爻中，唯独六四处在与阳刚相应的位置，这是十分有利的条件。所以，六四虽然居于群阴包围之中，却独能顺利地回复于阳。这就叫“中行独复”。
    客：在阳气初生之时，要认清趋势，坚决果断，敢于独自回复于阳。要提倡这种“独复”的精神。
    主：一般人都习惯于随大流，受“从众”意识支配。六四独能“从道”而不“从众”，独自走自己的路，确实有其超凡出群之处。
    六五。敦复。无悔。
    [译文]六五，敦厚地回复，没有悔恨。
    《象》曰：敦复无悔，中以自考也。
    [译文]《象传》说：敦厚地回复，没有悔恨，说明六五能够以中道反省考察自己。
    [提示]品格敦厚，有利于回复于阳。
   
主：六五以柔爻居尊位，持中而不偏；又处于坤体之中，而坤地是厚实的象征。所以六五能够敦厚诚恳地一心向善，回复于阳。本来，由于六五与初九阳刚无比应系，处于阳气回复之时，应该有悔的；但是由于六五居中而且能复，以中道作自我考察，调整自己的行为，这样也就变“有悔”为“无悔”了。
    客：这样看来，品格敦厚，也是一个有利的因素。
    主：正像唐代大诗人杜甫的两句诗所写：“葵藿倾太阳，物性固莫夺。”能否回复于阳，外部的条件固然不可忽视，内在的秉性尤其能起决定作用。
    上六，迷复，凶，有灾眚。用行师，终有大败。以其国君凶，至于十年不克征。
   
[译文]上六，迷失了回复的路，有凶险，有灾祸。如果用于行军作战，最后只有大败，使得他的国君也遭凶险，以至于十、年不能再出征打仗。(灾：外来之灾，天灾。眚：音sheng，自作之祸，人祸。)
    《象》曰：迷复之凶，反君道也。
    [译文]《象传》说：迷失了回复的路，有凶险，是由上六违返了阳刚之道。
    [提示]迷而不复，极为凶险。
    客：上六居于极外之地，离初九阳刚最远，又与初九无应，已经无法复归于阳，确实是迷而不复之象。称为“迷复”，十分确当。
    主：误人歧途是难免的，回来便是，回头就是岸。最可怕的是昏迷而不知回复，迷迷糊糊地愈滑愈远。“盲人骑瞎马，夜半临深池”，必然遇到灭顶之灾。
    客：如果带兵打仗的话，会导致全军覆灭，连累整个国家陷入险地，甚至一蹶不振，这后果太严重了。不过，上六为什么会迷失回复之路呢?
   
主：原因在于上六认不清事物发展的大趋势，逆潮流而动。当阳气回复、众阴归向阳刚之时，它仍然违反阳刚之道，一意孤行，不知回头。(阳为君，是主导因素；阴为臣，是从属因素。所以《象传》把阳刚的主导作用称为“君道”。)复卦的基本精神就在于揭示正气回复、顺之则亨的道理。初九不远而复，“元吉”；上六远而不复，“凶有灾眚”。这一首一尾两爻，对比最为突出。初九是全卦唯一的阳爻，一阳初生，生机勃勃，这是阳气回复的根本。五个阴爻，除了上六迷而不复、终致灾凶以外，其余四阴，都在不同程度地向阳刚回复。其中六二比于初阳而“休复”，有“下仁”的佳誉；六四应于初阳而“独复”，获“从道”的美称。六三、六五，虽然与初阳无比无应，但六三终于忍受痛苦而“频复”，六五则秉性忠厚而“敦复”，都回复到归向阳刚的正道上来，得以“无咎”、“无悔”。总之，正气回复的关键时刻，正是人生之旅的紧要关头，何去何从，何归何依，需要作出明智的抉择。复卦六爻，展示了六种行为品格的不同类型，其中的得失长短，值得仔细推敲。这无疑地有助于我们在人生大谋略问题上作出正确抉择。

作者声明：我谨保证我是此作品的著作权人。我同意亿彩文摘网站发表此作品，同意亿彩文摘向其他媒体推荐此作品。未经亿彩文摘或作者本人同意，其他媒体一律不得转载。一旦传统媒体决定刊用，请亿彩文摘及时通知我。在不发生重复授权的前提下，我保留个人向其他媒体的直接投稿权利。

去年我才从美国回来，此前在斯坦福呆了六年。今天我要给大家介绍很多新东西。最近北京市普查工作刚结束，我们北京市得了两个冠军，一个是高血压冠军；一个是高血脂冠军，很遗憾。市委非常重视，有文件下达了，要求各单位多听最新保健知识，我就是奔着这个目的来的。

      现在，死亡率最高的是30至50岁的人。年龄不是个宝，血脂高很危险。大家知道国际上有个标准，寿命等于成熟期的5至7倍者为长寿。这么说，人的寿命应该是100至175岁。为什么都没有达到呢？最主要一个原因是不重视保健，而且不听保健。这个问题在国内非常严重，特别是领导干部。国家保健局一再强调每个人都要重视自己的保健。现在绝大多数是病死的，很少数是老死的。应该绝大多数是老死而少数是病死。这个极端反常的现象要求我们尽快纠正。

      最近联合国表扬我们的邻国日本。为什么表扬日本，因为他的寿命是世界冠军。他们女性的平均寿命是87.6岁，我们国家50年代是35岁，60年代是57岁，现在是67.88岁，距离日本整整差20岁，这是没法原谅的。日本的先进经验是以社区为单位，每一个月讲一次保健课，如果没有来听就必须补课。我国没这制度，谁爱听就听，不听拉倒。我回国后问了许多人，应该活多久呢？有人告诉我五六十岁就差不多了，这说明我们的标准太低了。他们大部分人根本不知道保健，凑合活着，问题很严重。我在医院工作了40年，绝大部分人病死是很痛苦的。我来的目的很明确，我受科学委托，受命于卫生部的指示，希望每个人都重视保健工作。

　　联合国提出个口号：“千万不要死于无知”。很多人死于无知，这很冤枉呀。我们知识分子平均年龄58.5岁，按这个数字，我想不算学前教育，小学6年，中学6年，医科大学8年，硕士3年，博士3年，博士后3年，都学完后到点了，根本不能干什么了。很多科学家没超过这个年龄。我在美国斯坦福见到了张学良将军，在纽约参加了他的100岁寿辰。我很受教育，一进门见到他我们就大吃一惊，他眼不花，耳不聋，很多人问他：“少帅您怎么活这么久”？他回答很明确：“不是我活得久呀，而是他们活得太短了”。这句话的意思是，你活得短，还嫌我活得长。这情景我一直到现在还记得很清楚。而我们很多人很糊涂，对保健一无所知，这样我们的工作也做不好，因为我们天天处在不健康、亚健康状态。我见过很多人，宋美龄我在长岛见过，他们都活得很长，都是100多岁。他们能活，我们为什么不能活。我就很奇怪，我们很多人凑合活着，这种思想危害极大。

　　大家知道怎么保健吧？其实国际上在维多利亚开会有个宣言，这个宣言有三个里程碑，第一个叫平衡饮食，第二个叫有氧运动，第三个叫心理状态。这三个里程碑国际上都知道，而我们很多人不清楚。这三个里程碑的标题不会改变，而内容会随时改变。地球人的平均寿命70多岁，我们是67.88岁，还没有达到平均寿命。而有很多人已经创造纪录了，据我所知，英国有个叫霍曼卡门今年已经209岁了，经历了12个王朝，如不信我，可以告诉你个电话号码，还有个罗马尼亚老太太今年104岁，更奇怪的是她92岁时生了个胖娃娃。人家能活，我们凑合活着，你能凑合得了吗？

　　　平衡饮食

　　下面我讲第一个问题，平衡饮食。也许有人早就认为保健有什么好听的，还不是早起早睡身体好。我告诉你，唐朝时可以这么说，现在这么说就是极端无知了，很多事情都在变化。所谓平衡饮食，有饮、食二大类。

　　先说饮食的第一个问题，“饮”的问题。

　　我在北大时问学生，什么饮料最好？学生异口同声回答：“可口可乐”；可口可乐美国都不承认，国际上也不承认，它只能解渴，没有任何保健作用。什么叫保健品，大家要知道，它得是能治疗疾病的。到现在我们中国人绝大部分都不知道什么叫保健品。

　　国际会议上定出了6种保健品：第一绿茶；第二红葡萄酒；第三豆浆；第四酸奶；人家不提牛奶，你注意啦；第五骨头汤；第六蘑菇汤。

　　为什么提蘑菇汤？因为蘑菇能提高免疫功能。一个办公室有人老感冒，有人老不得病，什么原因？就是免疫功能不一样。喝蘑菇汤能提高免疫力，所以是保健品。那为什么提骨头汤呢？骨头汤里含琬胶，琬胶是延年益寿的，所以现在世界各国都有骨头汤街，而中国没有。我们调查了一下，最近苏州、南京城里有了，北京还是没有。所以不要小看骨头汤，它能延年益寿，因为有琬胶。为什么提酸奶？因为酸奶是维持细菌平衡的。

　　所谓维持细菌平衡是指有益的细菌生长，有害的细菌消灭，所以吃酸奶可以少得病的。在欧洲酸奶非常广泛，我们许多女孩喜欢吃酸奶，但是她们不了解为什么。我们很奇怪，中国酸奶销量是很低的，而牛奶销量很大。牛奶本身我们不否定它的作用，但跟酸奶比起来差得很远。还有豆浆，后面再说。

　　我下面讲为什么喝绿茶。现在很多人喝茶，但年轻人不喝。很多人喝红茶。红茶加面包在欧洲流行过，但现在不喝了。大家知道，红茶加面包没有一点保健作用。绿茶什么有保健作用呢？原来绿茶里面含有茶坨酚，而茶坨酚是抗癌的。还有人喝茉莉花茶，我问他为什么喝茉莉花茶？他的答复很简单：“它很香”。我说你要是为了香，我建议你喝香油。我们不是为了香，而是怕得癌症。日本普查搞得特别好。他们普查完了说40岁以上的人没有一个体内没有癌细胞的。为什么有人得癌症，有人不得，就是跟喝绿茶有关系。如果你每天喝4杯绿茶，癌细胞就不分裂，而且即使分裂也要推迟9年以上。所以在日本小学生每天一上学就喝一杯绿茶，咱们没有。我给老师讲，老师都不知道，我们的下一代有问题呀。绿茶里含茶坨酚，它是抗癌的，在所有的饮料里绿茶是第一的。我今天来晚了，很多人已经把茉莉花茶喝得差不多了。赶快改，茉莉花茶没有一点保健作用，只是香而已。

　　第二请注意，绿茶里含有氟。这个氟有什么作用呢？古代很早就知道，曹雪芹写红楼梦时说贾府的人吃完饭拿茶漱口，而苏东坡也有记载，他每次吃完饭拿中下等茶漱口，目的是坚固牙齿。他不知道是氟的作用，日本人现在搞清楚了，它不仅能坚固牙齿，还能消灭虫牙，消灭菌斑。饭后3分钟，牙齿的菌斑就要出现。现在我们很多人牙齿不好，不但不拿茶水漱口，连白水都不漱，问题在哪里不知道。现在有人30岁就开始掉牙，50岁牙就全掉了。医院里牙科最忙，牙科里镶牙室最忙。我们到欧洲一看，人人牙齿都很好。你想，如果牙齿好，你当然长寿啦。我们很多人忽略了，其实你不费事，你拿茶水漱口就把菌斑消灭了，而且坚固牙齿。到了老年，你牙齿坚固，不得虫牙。这很小的一件事，应该坚持做。

　　第三个，绿茶本身含茶甘宁，茶甘宁是提高血管韧性的，使血管不容易破裂。很多人脑血管意外来北京治疗，医院每死4个人就有1个是脑出血，这很危险。脑出血没法治，就怕生气，一生气一拍桌子一瞪眼，脑血管崩了。这个我见得太多了，那天他们开玩笑说梅兰芳被儿子气死了，我说他没喝绿茶，他要是喝绿茶就不至于死。我现在改了，早就喝上绿茶了。为什么，我怕我儿子气我。各位，你们这岁数早点喝吧，到时候你拍几下桌子瞪几下眼都不怕。绿茶第一抗癌，第二能坚固牙齿，第三脑血管不易破裂，干嘛不喝呀。如果你不知道怎么喝茶，请马上纠正，因为国际潮流已经是喝绿茶了。还有人跟我抬杠：喝完茶睡不着觉怎么办？谁让你睡觉前喝茶了。

　　饮料中第二个是红葡萄酒。为什么提红葡萄酒，很多中国人不知道，欧洲早就知道了，他们天天男女老少都喝一点红葡萄酒，什么原因？原来红葡萄的皮上有种东西，叫“逆转醇”。这逆转醇干什么的你们不知道，它整个是抗衰老的，一说抗衰老人们就爱喝了。它还是抗氧化剂，常喝红葡萄酒的人不得心脏病。第二它可以帮助防止心脏的突然停搏，我们叫猝停。大家知道，什么情况下心脏可以停搏，第一原来有心脏病的，第二有高血压的，第三跟食物有关系。什么食物呢？过大、过硬、过粘、过热的食物可以使心脏停搏，血脂高可以使心脏停搏。前几天我到师范大学会诊，35岁的一个博士后，早晨还活蹦乱跳的，中午就没了。为什么？血脂太高了。现在我把北京市普查结果告诉大家，在职干部每两个人就有一个人血脂高，二分之一。血脂高的危险在哪里呢？心脏会突然停搏。有一个20岁的小伙子，他抽出来的血是泥状的，非常危险。我们问他，他说吃得太好了。不是你吃得太好，而是吃得太不合理了。我们有个病例，一个人在街上买了个大年糕，又硬、又粘、又热，跑回家一进门就让老太太快点吃，别凉了，老太太刚吃几口就咽气了。他背着老太太往医院跑，到医院我们问他怎么回事，他说刚给老太太年糕吃的。这不属于无知是什么！没抢救过来。老太太在家呆得好好的，没事吃什么年糕呀，吃完年糕心脏停搏了。现在国际上一再强调，过大、过硬、过粘、过热就会使心脏停搏。红葡萄酒还有个作用是能降血压、降血脂。红葡萄酒有以上几大作用，所以在国外卖得很好。我不是来推销红葡萄酒的，我是来传达国际会议精神的。很多人提出来，不是不让喝酒吗？世界卫生组织说的是“戒烟限酒”，没说不让喝酒，而且酒的限量也说了：葡萄酒每天不超过50～100毫升，白酒每天不超过5～10毫升，啤酒每天不超过300毫升。如果你超过这个量是错误的，不超过这个量是好的。有的女同志提出来：我不会喝酒怎么办？你不会喝酒，难道不会吃葡萄吗？吃葡萄难道不会不吐葡萄皮吗？“吃葡萄不吐葡萄皮”是相声里说的一句话，但我告诉你，白葡萄没有逆转醇，所以你不听课就不会买葡萄。白葡萄没有逆转醇，你是白吃了。现在欧洲已经出现红葡萄糕点了。我实验过，把红葡萄洗干净吃，一咽皮挺舒服的，没事。所以有钱的喝红葡萄酒，没钱的吃葡萄不吐葡萄皮一样保健。还有人跟我抬杠：我没钱怎么办？我告诉大家，国际会议上已经调查完了，全世界的长寿地区都在无钱地区，第一是巴基斯坦的埃尔汗，第二是苏联的阿塞拜疆，还有厄瓜多尔的卡拉汗，这些都是无钱地区。你说奇怪不，有钱的天天泡在宴席里，鸡鸭鱼肉，上下一般粗，将军肚。我调查了，这样的人极少活过65岁的。

　　关于早上锻炼的问题，在中国很多人就不清楚。我从国外回来，看到很多老头、老太太早上5、6点背着宝剑就出来了。到了晚上，中国老头、老太太都看不到了，都在家看电视呢。为什么两个国家差别怎么大？这是他们不明白，不能怨老人，没人跟他们讲。早上锻炼很危险，早上起来，人的生物钟规律是体温高、血压高，而且肾上腺素比晚上高出4倍，如果你激烈运动，就很容易出事，容易出现心脏停搏。98年开展长跑运动，北京市有据可查的已经跑死4个老头了，如果再跑就坏了。有的党委组织老头老太太爬香山，而且一清早就去，上鬼见愁，说：“谁爬得快谁长寿”。这不知是谁的主意，我现在也闹不明白。我告诉大家，如果这样下去的话要犯错误，因为从领导开始就不了解保健。千万不要组织这种活动，这是医学上最忌讳的。我们不反对早上散步、做体操、打太极拳、练气功。这是无可非议的。但是如果中老年人早上激烈运动，搞长跑，爬香山，有百害无一利，而且死亡率是很高的。你不长跑可能死不了，不爬山可能死不了，这叫死于无知，结果是自己害了自己。

　　人体需要弱碱。什么是弱碱？蔬菜、水果。凡是发达国家，凡是健康国家都是蔬菜、水果消耗最大。你不会保健，就会点菜，没用。有人开玩笑，这些贪污犯不用枪毙，吃就把他吃死了，我看一点也不夸大。还有人跟我抬杠说：我还没解决温饱怎么办？没解决温饱，你饿死了跟这有什么关系！大家都知道钱和权都重要，有人跟我提到“有权才成”。我们知道，最有权的是中 国 皇 帝，远的不说，就说清朝，有13个皇帝，同治19岁死的，顺治23岁，咸丰31，光绪38，但有个乾隆活了89岁，他特别会保健，皇帝里他是冠军。我们查了他的档案，第一，他特别好运动，第二他吃蒸发糕，粗细粮搭配，第三这人好旅游，最有名的就是三下江南，所以他活了89岁。我们调查了818个和尚，30%以上的和尚有90岁以上，最小的一个65岁。和尚有什么权？饮食值得我们注意哑！所以，钱、权都不是主要的，主要是保健。如果你不会保健，有钱有权都没有保证，所以联合国才说，千万不要死于无知。

　　再说饮食的第二个问题，“食”的问题。

　　大家知道，亚洲金字塔最好。什么叫金字塔？谷类、豆类、菜类。这谷、豆、菜非常好，在旧金山开会时好多外国医生提出来了，说，不对呀，中国人已经不吃谷、豆、菜了，已经吃起我们的汉堡包来了。我回国后去了趟麦当劳，硬把我挤出来了，你说厉害吧，这在国外是很少见的事。咱们年轻人过生日，举行宴会都是麦当劳。我很佩服麦当劳，人家一年拿走我们20多个亿，人家很会做生意。据我掌握的情况，人家为什么叫它垃圾食品，就是因为它是一种偏激食品，后果是上下一般粗，跟行李卷一样。人家不吃，因为吃了还要去减肥。咱们不知道，天天麦当劳，尤其第二代简直没有麦当劳就活不了啦。我们应该知道它是偏激食品，不符合我们的饮食习惯。

　　“谷”，人家在国际会议上从来不提大米、白面，也不提麦当劳。谷类里第一提的是老玉米，说是“黄金作物”。老玉米的来历，美国医学会作了个普查，发现原始的美国人、印第安人没一个高血压，没一个动脉硬化。原来是吃老玉米吃的。后来发现老玉米里含有大量的卵磷脂、亚油酸、谷物醇、VE，所以不发生高血压和动脉硬化。从此以后，美国就改了，美洲、非洲、欧洲、日本、香港、中国的广州，早上都吃玉米羹了。现在许多人吃卵磷脂干嘛？就是希望不得动脉硬化。但是他不知道老玉米里含得最多，不用多花钱。我在美国调查了一下，一个老玉米2.5美元，而在中国一个老玉米1块钱，相差16倍。但是我们很多人不知道，也不吃。这次普查以后，我马上改正了，在美国我坚持6年了，每天喝玉米粥。我今年70多岁了，体力充沛、精神饱满，嗓音洪亮、底气十足，而且脸上没有皱纹。什么原因？喝玉米粥喝的，信不信由你。你喝你的牛奶，我喝我的玉米粥，咱们看谁活得长。

　　“谷”的第二是荞麦。为什么提荞麦？现在人都“三高”，即高血压、高血脂、高血糖。荞麦是“三降”，它降血压、降血脂、降血糖。我问北大学生，什么叫荞麦？说不知道，就知道汉堡包。荞麦里含有18%的纤维素，吃荞麦的人不得胃肠道癌症，直肠癌、结肠癌都不得。我们坐办公室的人，得病有20%是直肠癌、结肠癌。

　　“谷”的第三是薯类，白薯、红薯、山药、土豆。这类东西是在国际会议上提出来的。为什么？原来它“三吸收”： 吸收水份，吸收脂肪、糖类，吸收毒素。吸收水份，润滑肠道，不得直肠癌、结肠癌。吸收脂肪、糖类，不得糖尿病。吸收毒素，不发生胃肠道炎症。我在美国也调查了，美国吃薯类是把它做成各种糕点，也不少吃的。希望大家多吃薯类，主食中搭配薯类。

　　“谷”里面还有燕麦，国外早就知道，中国很多人不知道。你要是血压高，一定要吃燕麦，燕麦粥、燕麦片。它能降血脂、降血压。能降甘油三脂，使你的血脂降下来。

　　“谷”最后一个是小米！我们是小米加步枪打胜仗的啊！我回国后就问：“为什么咱们不吃小米了呢”？很多人跟我说什么：“那玩意不是坐月子吃的吗”？你说糟糕不糟糕。实际上本草纲目已经说明白了，小米能除湿、健脾、镇静。安眠，有这么大好处你不吃！现在很多坐办公室的人睡不着觉，得抑郁症、经官能症，吃安定2片、4片、6片，已经有人吃8片还睡不着。我劝大家别吃了。有两个有名的医学教授吃了安定以后，头脑昏昏沉沉撞到暖气包上了。所以北京日报头版登出来“安定并不一定安定”，别吃了。我做保健工作他们让我开药，我就劝他们别吃安定了，我说你吃点小米粥吧。结果怎么样，他喝了一碗小米粥就来找我了，说怎么还睡不着觉！谁让你只喝一碗了，吗啡都没有那么快。我在农村普查过，那些老头老太太们不知道什么叫失眠，躺在床上就呼呼睡。我仔细观察了，人家是喝小米粥喝的。所以现在我已经改了，早上一碗玉米粥，精神焕发，晚上一碗小米粥，呼呼大睡，你说多好呀！你要明白，食疗重于药疗，这是李时珍说的，所有李时珍写的本草纲目全部都是食物。我们为什么不拿食物解决问题，非得吃药！十药九毒，没听说拿药能保健的，秦始皇没办到，汉武帝没办到，你也办不到。但是我要声明：我不是反对吃药，反对吃药的是李 洪 志。我反对乱吃药，我主张吃药“短、平、快”。短时间吃药，吃平安药，快速停药。

　　下面讲“谷、豆、菜”中的“豆”。我们普查结果出来是整个中国老百姓缺乏优质蛋白。所以我们小球老胜，大球就不胜。为什么？球场上一踢一撞就一跟头。我们现在的药费比美国高十倍，但我们的身体不如人家。中国人的优质蛋白不够怎么办？现在卫生部已经提出来“大豆行动计划”，内容是“一把蔬菜一把豆，一个鸡蛋加点肉”。我讲之后北大学生就说成了“半斤鸡蛋二两肉，加点蔬菜加点豆”。他说你讲的没有量，我给你加点量。谁让你加量的！一个鸡蛋300毫克胆固醇正合适，为什么吃半斤，还编出来二两肉？没有这个。一两大豆的蛋白等于二两瘦肉，等于三两鸡蛋，等于四两大米，你说应该吃什么好？现在国际上都知道了。美国把每年的8月15日定为全国的“豆腐节”，我们没有豆腐节。他们不缺优质蛋白，他们认为大豆是营养之花，豆中之王。大豆中起码有5种抗癌物质，特别是饴黄酮，它能预防、治疗乳腺癌，但只在大豆中才有。我们北京和天津隔这么近，北京的乳腺癌特别多，而天津很少。你知道为什么？天津的早点是豆浆、豆腐脑。北京的早点问题不少，现在北京要研究早点了。北京高血压、高血脂这么多，早点五花八门，但很不科学。牛奶好还是豆浆好？联合国国际会议上说，牛奶里含的是乳糖，而全世界有三分之二的人不吸收乳糖，在亚洲黄种人中有70%不吸收乳糖，我们是黄种人。有人牛奶是喝了，但并没有吸收多少。对牛奶吸收量最大的是白种人。北京市调查的结果是40%的人不吸收乳糖。全国普查的结果，吸收最好的是广东。豆浆有什么优点？豆浆里含的是寡糖，它100%吸收。而且豆浆里还含有钾、钙、镁等，钙比牛奶含量多。牛奶里没有抗癌物质，而豆浆里有5种抗癌物质。其中特别是饴黄酮专门预防、治疗乳腺癌、直肠癌、结肠癌。所以对我们黄种人来说最合适的是豆浆。我不反对大家喝牛奶，但为了防癌一定要喝点豆浆。有人停牛奶改喝豆浆了，这方法也不一定好。牛奶可以接着喝，适当加点豆浆。
　　

　　下面谈“谷、豆、菜”中的“菜”。国际会议上第一个提的菜是胡萝卜。为什么提胡萝卜？我国本草纲目里写的是养眼蔬菜。晚上看不到东西，特别是夜盲症，吃了就好。它保护粘膜的，长期吃胡萝卜不容易得感冒。美国人认为胡萝卜是美容菜，养头发、养皮肤、养粘膜。常吃胡萝卜的人确实从里往外美容。这美容概念应该是内外和谐，我们好多女孩子上当了，她抹了化妆品还好看点，一卸装比原来还难看。美国很注意这个，他们老吃胡萝卜。在乌鲁木齐时他们请我吃饺子，是胡萝卜馅的，他们起名叫俄罗斯饺子，我吃完后觉得很美。第一，它养粘膜，不容易感冒；第二，它健美；第三，它有点抗癌作用，而且对眼睛特别好。欧洲已经有胡萝卜糕点了。胡萝卜还不怕高温，多高温度营养也不受损失。

　　“菜”中第二提的是南瓜。为什么提南瓜呢？它刺激维生素细胞，产生胰岛素。所以常吃南瓜的人不得糖尿病。“菜”中应该提的还有苦瓜。它虽苦，但分泌胰岛素物质，常吃苦瓜的人也不得糖尿病。南瓜、苦瓜，我们这个年龄的人一定要常吃。
国际会议上还提到蕃茄，就是西红柿。在美国，几乎每个家庭都种蕃茄、吃蕃茄，目的是不得癌症。这是刚刚5、6年前才知道的。吃西红柿不得癌症，你知道吗？不得子宫癌、卵巢癌、胰腺癌、膀胱癌、前列腺癌。这这西红柿不是随便吃的，我问大家，西红柿怎么吃？有人说，那还不简单，洗洗就生吃呗。还有人切片放白糖，再喝点啤酒。如果是这么吃的，我告诉你，白吃了！不抗癌。西红柿里面有个东西叫蕃茄素，它和蛋白质结合在一块，周围有纤维素包裹，很难出来。所以必须加温，加温到一定程度才出来。我告诉大家，西红柿炒鸡蛋最值钱了。还有蕃茄汤，或西红柿鸡蛋汤也是好的。生吃西红柿不抗癌，请大家注意。

　　还有大蒜。大蒜是抗癌之王。我刚一说大蒜怎么吃，有人就说：那玩意得加温吃。你咋什么都加温？我告诉大家，大蒜加温等于零！山东人、东北人最爱吃，一瓣瓣地吃，还说吃大蒜不得癌，但没几天他先得癌症了。什么原因？现在世界上都知道怎么吃大蒜，只有我们不知道。告诉大家，原来是必须先把它切成片，一片一片的薄片放在空气里15分钟，它跟氧气结合以后产生大蒜素。大蒜本身不抗癌，大蒜素才抗癌，而且是抗癌之王。我那天见人吃大蒜，他拿过一碗面，然后很快就把大蒜剥出来了，一瓣一瓣地吃，还不到5秒钟就吃进去了。连5秒钟都没有，这大蒜有什么用呀？一点也没有。如果不按我的方法，那是白吃了。大蒜有味不用怕，吃点山楂，嚼点花生米，再吃点好茶叶就没味了。国外每礼拜都吃的，我们为什么不吃呀！

　　下面讲黑木耳。黑木耳有什么作用？现在一到过年时心肌梗死一个挨一个，年龄越来越小，已经到30岁了。为什么过年时多？两个原因，一个是高凝体质血稠，就是脂肪高。大家记住，血稠的人叫高凝体质。高凝体质的人加上高凝食物，所以过年时心肌梗死的人特别多，年龄不限。心肌梗死虽然无法治，但完全可以预防。有的大夫告诉你吃阿司匹林，为什么？可以使血不粘稠，不得心肌梗死。但后果是什么，吃阿司匹林的后果是眼底出血，现在很多人眼底出血。我劝大家不要吃阿司匹林了。现在欧洲已经不吃阿司匹林了，吃什么？吃黑木耳。黑木耳有两个作用，其中一个是使血不粘稠。黑木耳的作用是美国心脏病专家发现的，他得了诺贝尔奖。他发现以后，所有欧洲人、有钱有地位的人都吃黑木耳，而不吃阿司匹林了。什么样的人是高凝体质？答案是矮、粗、胖的人，特别是更年期的女同胞。而且血型AB的人更容易高凝血稠。还有脖子越短越容易高凝血稠。第一过年时不要胡吃海塞；第二多喝点好茶，活血化瘀；第三千万不要生气，一生气血就稠。喝白酒也容易血稠，要喝就喝红葡萄酒，不超过100毫升。如果给你吃花生米，千万不要吃，实在要吃，把皮剥了吃。你看咱中国的花生米，五香花生米、炒花生米、炸花生米全都带皮。你到欧洲去看看，所有花生米没有带皮的，人家知道不要吃皮。有人说：“这皮不是有营养吗”？谁说的，我告诉大家，花生皮没有营养，它只能治血凝片，提高血小板，止血用的。我们中老年人千万不要吃了。还有看电视要注意，好电视就看会儿，不好的电视不看。为什么？长时间坐在那儿，血凝度会升高。我特别担心的是什么？他本来短粗胖，没脖子，还在更年期，又是AB血型，胡吃海塞，然后一生气，又喝白酒，完了吃花生米不剥皮，他要不得心肌梗死我这大夫不当了。

　　下面谈谈花粉。里根总统曾经一次被枪伤，还得了一次恶性肿瘤，他那么大岁数，现在还活着，只是得了老年性痴呆症。是花粉在他身上起了很大作用。现在欧洲、美洲都流行起花粉来了。我回国后一查历史，原来我们很早就有。武则天就吃花粉，慈禧太后也吃花粉。大家知道，花粉是植物的精子，它孕育着生命，营养最丰富，在植物里是最好的东西。古代就有了，但我们忽略了它。大家不要在街上买花粉，街上卖的花粉有硬壳，没有破壁。破壁要有高科技处理。第二，花粉是野生的，容易污染，要消毒。第三，它是蛋白质，必须脱敏。花粉必须具备这三条才能用：处理、消毒、脱敏。花粉在日本用得最厉害，不管多大年纪的人都用它美容。法国的模特没一人不用它。有一回，我一个月时间每天晚上起夜三次，我一看不好，就吃花粉，一个月就恢复正常了。文献记载，花粉治愈率97%。如用花粉治不好，药也解决不了，最后肾功能衰竭，尿血，然后肾肿瘤。所以要早点治而不要等到肾功能衰竭。还有一个胃肠道紊乱，女同胞多，习惯性便秘。很多人吃泻药而很容易得直肠癌、结肠癌。花粉有个名字叫肠道警察，吃了花粉以后，警察可以维持肠道秩序。第三它健美，维持体型。花粉的三大作用不可忽略。植物问题就谈这么多。

　　下面谈谈动物问题。广播电台说吃四条腿的不如吃两条腿的，而吃两条腿的不如吃多条腿的。这个概念在欧洲不一样，你如果参加宴会，要注意，假如有牛肉，又有猪肉，应该吃猪肉。牛肉的问题太多，第一有疯牛病，第二有口蹄疫，第三有不良胆固醇。现在美国有三万妇女得了淋巴肿瘤，吃汉堡包吃出来的。所以他们争论很大，已经杀了几万头牛，我们应该慎重吃。如果有猪肉又有羊肉，吃羊肉；有羊肉又有鸡肉，吃鸡肉；有鸡有鱼，吃鱼；有鱼有虾，那吃虾呀。这不是客气，动物越小蛋白越好。朴素的大众营养学就看动物大小，拿来分子式谁也看不懂。我还没说老鼠呢。国际会议上说跳蚤的蛋白最好。跳蚤别看它那么小，它可以跳1米多高，你信不信。如果把它放大到人体那么大，它可以跳到月球上去。所以有几个美国医生在琢磨怎么吃跳蚤呢。现在联合国WHO建议大家多吃点鸡和鱼，那为什么不提虾呢？不是不提，而是虾太贵了，不容易普及。如果有虾，还是吃虾好。我现在掌握这么个原则：要是虾来了我就吃两口虾，这两口比你一肚子牛肉的蛋白都要多。鱼容易普及，鱼肉蛋白1个小时就能吸收，吸收率为100%，而牛肉蛋白3小时才吸收。鱼对老年人尤其是身体虚弱的人特别合适。当然虾比鱼还好。国际上调查了，全世界最有名的长寿地区在日本，日本的长寿地区在海边，而海边寿命最长的是吃鱼的地方。特别要吃小鱼、小虾，特别要吃全鱼（连头带尾），因为有活性物质，而且活性物质在小鱼、小虾的头部和腹部。看你会不会买鱼，要买就买小鱼小虾，且吃全鱼全虾，这有大学问，不是买鱼越大越好。

　　还有个吃的原则，吃东西要掌握量，不是越多越好。国际上有规定的，要吃7成饱，一辈子不得胃病，吃8成饱最多了，若吃10成饱，那2成没有用，是废物。所以国际上建议大家0.618黄金分割：副食6主食4；粗粮6细粮4；植物6动物4。现在人类吃的动物太多，而且粗细粮不平衡。我的一个病人吃了6个大包子，20岁得了胃扩张，诊断结果一是等死，二是胃切除。结果切除了大半个胃。老年人特别要只吃7成饱。

　　物质平衡有个规律，我简单介绍一下。初生到5个月婴儿吃母乳最好，超过5个月母乳也不行了，需要42种以上的食品。人到老年就更难了。幸亏有法国一个医生叫科里门特，他到非洲去旅游时看到非洲大泽湖地人比我们健康长寿。他们吃什么？吃海藻，把它晒干了包包子吃，然后喝海藻汤。医生拿到巴黎一实验，原来是海藻，而且是螺旋状的，起名叫螺旋藻。这螺旋藻是1962年发现的，这一发现轰动了全世界。为什么？它1克等于1000克各种蔬菜的综合。当时只有皇帝皇后、奥林匹克冠军吃，别人吃不着。很多年后发现这东西特别好，营养特别丰富，最全面，营养分布最平衡，而且是碱性食品。我告诉大家，日本为什么是长寿世界冠军，他们一年消耗500吨螺旋藻，他们到中国旅游每人都带它。我们问他们，为什么带螺旋藻？他们说，8克螺旋藻就可以维持生命40天。现在的太空食品，没有带包子大饼的，全都是螺旋藻。螺旋藻在世界上很驰名了，所以你如果营养不好，别忘了这东西，它能平衡饮食的。它对几个病特别重要，第一是心脑血管病，它能降血压、降血脂；第二是糖尿病，这病是缺少蛋白、维生素，很难治愈，螺旋藻能补充维生素，而且螺旋藻的最大优点是使糖尿病人不得合并症，能跟正常人饮食一样。糖尿病人缺少能量，又不能吃糖，螺旋藻是干糖，摄入干糖后就有能量了。糖尿病人血糖不稳定，用螺旋藻后可以逐渐停药，然后逐渐停螺旋藻，最后拿饮食控制。欧洲已经完全战胜糖尿病，我们也是完全可以的，但必须配合治疗。第三是胃炎、胃溃疡，螺旋藻有叶绿素，对胃粘膜有恢复作用。第四是肝炎，国际上没有肝炎，为什么？人家分餐了。上海医学院做了调查，家里有一个人转胺酶高，其他人转胺酶也高。我们拿筷子捅在一个碗里。所以呼吁每个家庭要注意，最好分餐。注意，很多人看起来是健康的，你看不出他是带菌者。螺旋藻能使病毒不复制，而且大量氨基酸能使肝细胞恢复。它有胆碱，能使肝功能恢复，提高免疫功能。螺旋藻还有防辐射作用。苏联核电站爆炸时，日本专家去抢救，拿的就是螺旋藻，它抗辐射作用很强。现在很多女性做IT工作，在电脑前工作的怀孕女子有的4个月后流产，有的生出来的婴儿象青蛙一样，北京市妇产医院的报告还有带尾巴的。辐射带给人的影响很大。最近报纸登载，哈尔滨去年一年发现了1500例白血病，10月份又发现36例。初步判定原因是房屋装修，而且是甲醛。房屋装修危险很大，国际上规定，装修后的房屋一定要半年后才能入住。哈尔滨的报告中多是4～5岁的儿童。房屋装修对老年人、孕妇、儿童危害最大。各位不要低估辐射。螺旋藻提纯后，很纯很小一点叫藻复康，它能抗辐射。它经过医科大学、军事医学院鉴定，卫生部批准，现在已经出口了。唯一抗辐射的就是藻复康。所以在电脑前工作的人，可以滴一点藻复康抹上，也可以吃藻复康。它抗辐射、抗肿瘤、抗病毒、抗氧化，而且提高免疫功能。
我再总结一下，辐射对我们影响很大，但有几个方法可以预防：第一喝绿茶，第二吃青菜、萝卜，第三吃螺旋藻，第四吃藻复康。藻复康是最好的。根据自己的经济条件选择一种，实在不行就吃青菜萝卜。辐射是每个人都会接触到的。国际上提出了警告：千万不要把电器放在卧室内。尤其是微波炉对我们危害最大，它7米内对我们都有辐射。而且各种电器不要同时开着。又有电视，又有冰箱，又有微波炉，你就在旁边做菜，得了癌症很冤枉啊。

　　有氧运动

　　有一个很原则的经验，千万不要早上锻炼。建议大家傍晚锻炼。国际上规定了，饭后45分钟再运动。而且老年人的运动散步就可以了，20分钟。要想减肥不用这方法，饭前半小时到一小时吃2粒到4粒螺旋藻，然后食欲就减退了，而且营养不缺。欧洲人减肥全用螺旋藻，国内的少吃多拉不是办法。第二是早上起床的时间，国际上规定6点，供你参考。开窗时间国际上规定9点至11点，下午2点至4点。为什么？因为9点以后污染空气下沉了，污染物质减少了，没有反流现象。各位注意，早上起来开窗户，不要在那里大喘气，因为致癌物质、反流物质都跑到你肺里了，容易得肺癌。国际上警告说，早上6点至9点是致癌最危险的时候。早起早睡身体好，不能一概而论。你夜里在家吸了一肚子二氧化碳，呼吸道里的毒素有100多种，又跑到小树林里，树林里早上又全是二氧化碳。早上锻炼，基础血压高，基础体温高，肾上腺素比傍晚高4倍，有心脏病的人很容易出问题。树林里必须到太阳出来，日光跟叶绿素起反应才能产生氧气。树林里全是二氧化碳的时候，容易中毒，容易得癌症。黄帝内经里说“没太阳不锻炼”。我建议大家夏天早睡早起，冬天不要早上出去锻炼，而改为晚上锻炼。也不是说什么样的人都早睡早起身体好，岁数大的人不要猛起。有的人腾的就起来，一下子心肌梗死了。国际上是这么说的，70岁以上的人，慢慢起，先动动胳膊动动腿，再按摩按摩心脏，坐一两分钟再起来。这样没一个得心脏病的。所以不同年龄、不同季节要不同对待。

　　下面提到午睡问题。国际上规定了，午睡不午睡不用争论了。过去日本人不主张午睡，但我们主张若头一天晚上没有睡好就应该午睡。午睡时间是午饭后半小时，而且最好睡一个小时，睡的太长对身体没有好处。不要盖大被子。晚上什么时间睡觉？我们从来不提倡早睡早起。早睡早起的概念要清楚，如果7点就睡，12点就起来瞎折腾，那没有用。我们主张10点到10:30睡觉，因为国际会议上定的，一小时到一个半小时进入深睡眠是最科学的，这就是12点到3点，这3小时雷打不动，什么也别干。这3小时是深睡眠。如果这3小时谁好了，第二天起来一定精神焕发。如果你4点以后睡觉，那是浅睡眠。会睡和不会睡不一样。我们主张12点至凌晨3点雷打不动，而且睡前洗个热水澡，水温40～50度，这会使睡眠质量高。你们打牌我不反对，但反对12点至凌晨3点打牌。深圳夜里打牌打死4个年轻人，报纸已经报道了。

　　心理状态

　　保健的第三个里程碑是心理状态问题。如果心理状态不好，那你白吃白锻炼了，这是很重要的。气质和血液，你要是一生气血流得久慢，得肿瘤还不知道什么原因。生气容易得肿瘤，全世界都知道。斯坦福大学做了个很有名的实验，拿鼻管搁在鼻子上让你喘气，然后再拿鼻管放在雪地里十分钟。如果冰雪不改变颜色，说明你心平气和；如果冰雪变白了，说明你很内疚；如果冰雪变紫了，说明你很生气。把那紫色的冰雪抽出1～2毫升给小老鼠打上，1～2分钟后小老鼠就死了。而且紫色冰雪的成分都研究出来了。所以生气容易得肿瘤，这是个很严重的问题。“谁在人前不讲人，谁人背后无人讲”。我劝你们，谁让你生气，你别生气。如果你憋不住，我告诉大家，你看一下表，别超过5分钟，超过5分钟要坏事，血变紫了。这个实验已经得了诺贝尔奖了。人家心理学会提出了5个避免生气的方法：一是躲避；二是转移，人家骂你，你去下棋、钓鱼，没听见；三是释放，但要注意，人家骂你，你再去骂别人不叫释放，是找知心朋友谈谈，释放出来，要不然搁在心里要得病的；四是升华，就是人家越说你，你越好好干；五是控制，这是最主要的一个方法，就是你怎么骂我不怕。这一点很重要，我们小平同志做得最好，三起三落永不要求平反。非洲一位总 统问小 平同志有什么好经验，他就说一句话：“忍耐”。忍一时风平浪静，退一步海阔天空。忍耐不是目的，是策略。但一般人做不到，刚说一句就暴跳如雷。小不忍则乱大谋呀。欧洲有个博学经典：难能之理宜停，难处之人宜厚，难处之事宜缓，难成之功宜智。四句中第一句的意思是，很难的道理先不要讲。哲理很深，很有用。三国演义里诸葛亮三气周瑜，楞把周瑜气死了。你说赖周瑜还是赖诸葛亮？结论是赖周瑜，他气量太小。生气对人危害很大。

　　现在国际上有个最新说法，所有动物都没有笑的功能，只有人类有这个功能。但人类还不好好利用它。有人说猴子会笑，大象会笑，你们见过吗？但真见到会哭的，宰牛时牛会流眼泪。古代说：笑一笑，十年少。不是指年龄，是指心态。笑口常开，健康常在。笑的作用非常大，我们每个人都有这本能，为什么不笑呢？我们东方民族很严肃，而且跟级别有关系，科长、处长还会笑，一到局长就不会笑了，跟外宾打交道绷着个脸。现在中央领导都改变了，你看江主席笑得多好。美国成立了微笑俱乐部，笑成了健康的标志。哈哈一笑，皱纹没了。笑使很多病都不得。第一不得偏头痛，第二不得后背痛，因为笑的时候微循环旺盛。通则不痛，不通则痛。得了偏头痛别着急，哈哈一笑就好了，不信你可以实验。而且性功能不减弱，生殖功能不减弱。你看人家罗马尼亚老太太92岁还生胖娃娃，人家天天笑啊。我们现在30多岁就不生孩子了，天天绷着个脸当然不能生了。还有，经常笑对呼吸道、消化道特别好。可以做实验，你摸着肚子开始笑，每天大笑三次，肚子咕噜三次，不便秘，不得胃肠道癌症。你锻炼上肢，锻炼下肢，什么时候锻炼肠胃呀？没机会，只有笑才能锻炼肠胃。笑在国际上已经成为一个健康的标准，我调查多次了，笑的第二个诺贝尔奖已经发布了。笑促进脑下垂体，产生脑内胚，它是天然麻醉剂。你要是得了关节炎别着急，冲着关节哈哈一笑，一会儿就不痛了。笑有那么多好处，我们为什么不笑呢？
　　

　　最近北京市普查完了，人的寿命你知道是老头长还是老太太长？我告诉大家，老太太比老头长，平均比老头多活6年半。偶尔碰上一个老头，我问，你怎么一个人锻炼呀？他说我配不上对呀，老太太都一块儿练，一堆一堆地在街头锻炼。很多老太太的最大优点就是从年轻时就喜欢笑，到老了还笑。我每次讲课时都注意到了，笑的都是女同胞，男同胞还是不笑。都差了6年半了，你什么时候笑呀？所以现在每个人都快点笑吧。今天来的人，你们笑几下可以多活几年。有的人怎么说也不笑。级别越高越不笑，我有什么办法呢？不但笑，还有个逻辑：“男儿有泪不轻弹”。正常人的眼泪是咸的，糖尿病人的眼泪是甜的，悲伤的眼泪是苦的，里面有肽、荷尔蒙。长时间不“弹”出来会得肿瘤、癌症的。就是不得肿瘤也会得溃疡病、慢性结肠炎的。所以，各位如果悲伤，眼泪必须“弹”出来，留着没有任何好处。

　　国际会议上已经给我们提出警告了，让我们喝绿茶，吃大豆，睡好觉，常运动，不要忘记常欢笑。希望每个人都要注意平衡饮食、有氧运动，而且注意你的心理状态，该哭时哭，该笑时笑。我相信我们一定能越过73岁，闯过84岁，90、100岁一定会健在。

我们今日生活的世界：建筑物越建越高，但我们的境界却越来越低；高速路越修越宽，但我们的思路却越走越窄； 我们有了越来越多的食物，但营养状况却难以平衡； 我们能够运用的医疗手段越来越多，但健康标准变得越来越没准儿；我们的收入越来越高，但道德水准却未见突飞猛进；我们的开销越来越大,但快乐的获得越来越不易；我们的财富在成倍地增长，但自身的价值却越来越模糊；我们的住宅越来越大，家却变得越来越小；我们拥有的知识越来越多，但判断力却越来越弱；我们已经征服了宇宙外层空间，但却好象遗忘了我们自己的内心世界。都市文明的生活，使人已不再和泥土或自然有任何接触，田园生活那种优美而富有情调的方式亦已被毁坏。

哈耶克思想简介 lara2003-11-14 21:34

qiufeng 哈耶克是20世纪最杰出的自由主义者，也是20世纪罕见的社会科学家。虽然哈耶克1974年获得了诺贝尔经济学奖，但他的学术贡献却远远超出经济学范围。他毕生发表了130篇文章和25本专著，涵盖的范围从纯粹的经济学到理论心理学，从政治哲学到法律哲学，从科学哲学到思想史。而且，更重要的是，在这方方面面，哈耶克绝不是玩票，而是见解卓著。 不过，他的贡献主要体现在于，作为一位自由主义者，坚持和重申了古典自由主义的基本理念。英国学者伯林的划分。狐狸多知，而刺猬有一大知。哈耶克自己也曾划分过两种类型：本专业中的万事通，和困惑型人物。前者对自己的专业了如指掌，熟悉古往今来各种见解，大多数成功的教师、作家和演说家，都属于这类人物。哈耶克也将这类人称为记忆型的天才。困惑型人物则凡事都要自己问个为什么，他们获得知识的过程，是自己思考的过程。他们记不住别人说了什么，他们总是把别人的知识融入到自己的思考中。他们总是让六经注我，他们固执己见。他们从各个方面思考，进行探讨，经常是围绕着一个主题。哈耶克就是这类天才的典型。 第一部分、哈耶克的思想谱系 哈耶克1899年5月8日于出生在维也纳一个知识分子家庭，1992年3月23日去世。他足够长寿，经历了整个20世纪，经历两次世界大战。亲眼看到了自己所钟爱的观念，自由主义的衰落，及复兴的全过程。看到极权主义兴起和崩溃的过程。 一、哈耶克的生平 第一阶段：维也纳时代 维也纳 哈耶克思想成长的时代，是19世纪、20世纪之交的维也纳。他曾经参加过第一次世界大战。战争结束之后，在维也纳大学获得的博士学位（1921-1923）。 从思想、知识的角度看，这个时代的维也纳是维也纳历史上最辉煌的时代。也是奥地利著名作家茨威格在《昨日的世界：一个欧洲人的回忆》中非常生动地描述了19世纪末到1914年第一次世界大战爆发前那段岁月奥地利、主要是维也纳的气氛。他在回忆录的第一段话就是“倘若要我今天为第一次世界大战千我长大成人的那个时代作一个简明扼要的概括，那么，我希望我这样说：那是一个太平的黄金时代”。 奥地利曾经是欧洲列强之一，但普鲁士崛起之后，奥地利的地位就每况愈下，帝国已经失去了雄心，人们的兴趣更多地转向精神领域。茨威格说，“在欧洲，几乎没有一座城市有像维也纳这样热衷于文化生活”。而自由主义政治制度也具有宽容性。犹太人在这里得到了发挥其思想艺术才能的机会。犹太人人是富裕的，但犹太人人更热爱文化和艺术。茨威格曾说：“一个犹太人的真正愿望，他的潜在理想，是提高自己的精神文明，使自己进入更高的文化层次。”另外，来自帝国各个角落的知识才俊都汇集到维也纳。于是，维也纳成为当时欧洲的文化艺术中心，同时也成为整个世界的学术中心。我们可以担?0世纪西方的重大思想，大多数发源于19世纪末、20世纪初的维也纳。 举几个例子： 弗洛伊德的精神分析 维特根斯坦的逻辑实证主义，跟哈耶克还是远房的表亲。 波普的科学哲学， 波拉尼家族， 杜拉克在他的回忆录《旁观者》中记述了这个家族。从这个家族涌现出两位思想人物。卡尔，迈克尔。卡尔认为，市场并非唯一可能的经济体系，也未必是最先进的一种，还有另一种选择两人思想几乎正好对立。卡尔最出名的著作当然是《大转型》，这本书虽然研究的是经济史，然而，卡尔的主要目的是探寻一种能够超越资本主义和共产主义、提供经济发展、安定、自由和平等的社会，一种经济和社会融合的社会模式，市场只用来分配商品和资金而不能分配土地和劳动力的社会，把市场坚定地排斥在外的社会。 事实上，市场信条是波拉尼家族的共同的宿敌，不管是奥托的早期法西斯主义，还是阿道夫浪漫的巴西，或者是穆希的有机的乡村，卡尔的经济整合的社会原则，都是对以分工为核心的市场原则的反抗。他们希望找到超越市场而保持社群完整性的社会。事实上，他们的努力是人类中最有天分的心智超越市场的一个缩影而已。 经由杜拉克的介绍，我们知道，这个家族都具有超人的机械工程天赋，他们中好几位早年是工程师或科学家，但他们又都有一颗敏感而不安分的心，最后由技术领域都转向了社会政治。然而，也许是工程师的思维已成为习惯，他们不能容忍社会中的瑕疵，尤其是市场带来的社会后果，蓝图；他们热衷于社会工程，按照理想构造一个完美的社会：如果我可以设计一架完的机器，那我为什么就不能设计构造一个完美能够避免各种社会模式的不足的的理想社会？ 然而，他们的理想注定是要落空的。最终，也许只有迈克尔认识到了他们失败的根源。从科学发展的过程，迈克尔认识到，社会秩序是作为人的行动的非刻意的结果而形成的，不是可以按照某个理想进行计划设计构造的。他的这一结论与卡尔对市场的描述、也与他的兄姊的心智倾向相反。这使他成为波拉尼家族的异数。 因此，当杜拉克评论这个家族的失败的时候，也许不应该包括迈克尔；杜拉克说，“他们的挫败象征着近200年来，自从法国大革命以来（即使不是从更早100年的霍布斯和洛克算起），西方人追寻的落空——亦即追寻一种完美的‘公民宗教’，或是追寻一个十全十美，或是完善的社会，却不得其果。” 杜拉克，管理学之父。企业家精神。 奥地利学派经济学。我们下面将会介绍 他们几乎都活跃于这个时代。他们塑造了20世纪西方思想的基本走向。 顺便说一下，20、30年代的北平，跟世纪之交的维也纳，有一点相似之处。不再是政治中心，没有了政治的喧嚣。南方人的知识分子在这里沉静地思考、写作。中西文化交融。文化上最伟大的时代。 学习 哈耶克在30岁之前就生活在这样的时代。 大学他上的是维也纳大学，念的法律系。但他却听各种各样的课程。当时的大学很松懈。对心理学感兴趣。 1923年3月到1924年5月，曾经去过美国留学。 回来后与米塞斯建立联系。 他经济学上的老师是米塞斯。参加米塞斯举办的私人讨论会。这也是维也纳特有的一种学术活动方式。两周。有经济学家、哲学家，社会学家。哈耶克自己的讨论组。 哈耶克评论说，后来，米塞斯成为他的思想发展的“主要领路人”，他的学术兴趣“受到他的很大影响：对货币和工业波动的影响，对社会主义的兴趣，都是在他[米塞斯]的直接影响下产生的。” 米塞斯对哈耶克的经济学产生了很大影响。 但最主要的影响还是政治思想：将他从一个费边社社会主义者转变成自由主义者。 《社会主义》（1922年）的影响： 当《社会主义》出第一版时，其冲击是深远的。它逐渐但又从根本上改变了很多第一次世界大战后重返大学校园的年轻的理想主义者的世界观。我很清楚这一点，因为我就是这样的青年人。 我们当时觉得，生养我们的文明已经崩溃了。我们决心建造一个更美好的世界，正是这种重新构造社会的愿望使我们中的很多人去研究经济学。社会主义许诺会满足我们对一个更合理、更公正的世界的期望。就在这时候，这本书问世了。我们的希望被击碎了。《社会主义》告诉我们，我们所期望的改革完全是搞错了方向…… 米塞斯的另一种观点也深深地影响了哈耶克： 即观念的力量 米塞斯：认为大多数人确实没有能力跟上思考的艰难脚步，无论什么样的学校教育，都无助于那些连握最简单的命题都不能透彻理解的人去理解复杂的命题。但恰恰因为他们不可能自己进行思考，所以群众总是追随我们称之为受教育者的人民的领袖们。只要争取到这些人，有胜券在握了。最主要的社会主义者都是知识分子。社会主义的骨干是他们，而不是群众。 文明开化的人类是将被摧毁，还是可以避免这场大灾难，是一个命中注定在未来几十年将行动起来的人们应该关注的问题，蛭龆ㄕ庖幻说恼撬堑男卸澈蟮墓勰睢? 只有观念能够打败观念，只有资本主义和自由主义的观念，能够打败社会主义的观念。如果我们打败了社会主义的观念，如果人们终于认识到了生产资料的私人所有的必要性，那么，社会主义就不得不退出历史舞台。 哈耶克也始终这样认为。观念创造和改变历史。 第二阶段：伦敦经济学院时代 伦敦经济学院 1931年哈耶克进入伦敦经济学院。 这里很奇特：一方面是一群费边社社会主义者，是二战后民主社会主义、福利国家在英国等国兴起的大本营。也是第二次世界大战后原殖民地国家社会主义思潮的主要来源。其中最重要的是人物就是伦敦经济学院的政治学家、民主社会主义者哈罗德·拉斯基。拉斯基是犹太人，比哈耶克年长6岁。1920年，拉斯基进入伦敦经济学院，1926年升任政治学教授。 二战后成为新兴独立国家的许多地区和国家的民族主义领导人，都曾经在拉斯基手下学习。在亚洲、非洲，该校是“最重要的高等教育机构”，拉斯基则“塑造了那么多新兴国家的未来领袖的精神”。印度第一任总理尼赫鲁的思想的“核心”就是拉斯基，“印度[是]受拉斯基思想影响最大的国家。”1955年，米尔顿·弗里德曼曾在印度呆过，他说，当时的印度是“具有社会主义倾向，印度的思想氛围基本上被伦敦经济学院的哈罗德·拉斯基和他的费边社同仁所统治。”在进入伦敦经济学院半个多世纪后，哈耶克在自己最后一本著作《致命的自负》的草稿中写道，他现在到亚洲、非洲旅行，他发现，政府中掌权的人好多都在30年代和40年代上过伦敦经济学院，基本上都受到了拉斯基的鼓舞。 另一方面，伦敦经济学院又是古典自由主义复兴的根据地。一群自由主义者。坎南，罗宾斯。 与凯恩斯进行论战 在这里，哈耶克对商业周期进入了深入研究， 透过信贷市场注入的新增货币，会压低利率，导致资源出现历时性的扭曲配置。由此形成适合于时间相对较长或者说消耗时间之生产结构的资本品，代价则是占用那些更适合于现有的、较少消耗时间的生产结构之资本品。由信贷支持的资本重构必然意味着经济活动的净增加，从而出现繁荣。然而，随着时间的推移，将会显现出，这种一直无法完成的资本重构，是与实际的资源之可利用水平不相称的。新被察觉到的短缺，将会体现为未被使用的资源（uncommitted resources）之价格的腾涨，及相应出现的信贷需求之增加。成本的这种上升必然要求清算或放弃已被扭曲配置之资本。与该被放弃之资本互补的劳动力将失去其工作。衰退之后将是复苏，此时，市场的相对价格和工资之调整，将使未被利用之资本和工资重新被吸收进生产结构中。 正是根据这一理论，他在1929年初预言到了1929年10月爆发的股市华尔街股市崩溃和随后的30年代大萧条。 在面对衰退，哈耶克的观点是，让市场自动地恢复均衡。 而凯恩斯则认为，可以通过财政手段创造需求，从而让经济复苏。给经济打气，让经济重新启动，就成了政府的责任。政府应当雇佣民众，上马公共工程，实行转移支付，保持较高开支。 参加社会主义计算大论战 社会主义计算论战（the socialist calculation debate）持续了很长时间，具有重大意义，该论战始于1920年，米塞斯发表了他的原创性的文章“社会主义国家的经济计划”（Econiomic Planning in the Socialist Commonwealth）。米塞斯提出的问题是非常深刻的：一个没有价格的经济体系——即社会主义——是否有可能存在？ 在米塞斯看来，“社会主义制度下的经济计算的要害不仅在于，由于没有价格，经济活动主体无法进行计算，问题还在于，由于没有私有财产，所以也不可能有价格……要出现价格和利润，私有财产是必不可缺的。”社会主义计算论战的本质就是米塞斯所欲指出的，由于缺乏以私有财产、竞争性市场和利润为基础的交换体系，就不存在价格之类的东西，那么，在这样的情况下，根本不可能作出有效率的经济决策。 米塞斯举了一个例子，非常精彩地阐述了自己的要旨，说明了价格对于引导生产具有重要意义：“[社会主义的]局长想建一栋房子。那么可以用很多办法。相对于未来建筑的效用来说，每种办法都各有优劣，从而会导致房子的寿命各不相同；每种办法都需要[不同的]花费不同的建筑材料和劳动。局长该选择哪种办法呢？对于要使用的种种建筑材料和各种劳力，他没办法将其化约为一个公分目。因此，他根本就没有办法比较各种办法。”[4]他在《社会主义国家的经济计算》一文中指出，“社会主义取消了理性的经济”。 社会主义计算论战分为两个阶段。在十年后的一篇评论中，哈耶克指出，“20年代是米塞斯跟社会主义者进行这场论战。30年代我到英国后，我意识到，我几乎完全没有注意这场论战，于是我就编辑了一本文集。20年代米塞斯出战，30年代则是我出战。” 哈耶克编辑的《集体主义经济计划》（1937）一书的副标题为《对社会主义的可能性的批评性研究》，这本书在哈耶克从经济理论研究转向政治哲学芯浚鹆酥饕饔谩? 成立朝圣山学社 《通向奴役的道路》的广泛影响带给海耶克众多机会，他受到各个方面——或学术界或新闻界——的盛情邀约演讲，结交了众多思想投契、志同道合的朋友。其人数之多，出乎他的意料。他发现，不仅在美国，而且在欧洲大陆的很多国家，到处都有仍然强烈捍卫伟大自由传统的个人和小团体。但是，如果大家要尝试去各自重申或捍卫自由时，就都象他在伦敦经济学院的小群体一样，常常深感势单力薄，孤立无援。 当时的世界在经历了战争之后，正陷入一种焦躁不安之中。计划经济已经在苏联东欧建成，中国在两年后也成了计划经济国家。在西欧，社会民主党构成了一个统治联盟，凯恩斯主义货币泛滥成灾的美国，则热衷于布雷顿森林协定，最后把经济拖入通货膨胀时期。知识分子中最时髦的，是所谓“科学的”政府经济计划和管制。 哈耶克发起召开朝圣山会议就是为了抵制这种潮流。他感到，只有在拥有相同的基本哲学观点的成员的团体内部，才能够对捍卫自由市场原则进行深入的讨论。 1947年4月1日，在瑞士Vevey附近的朝圣山，一批拥护自由市场的知识分子聚会，这就成了朝圣山学社的第一届会议。会议参加者共计三十六位学者和政论家，他们来自美国、英国以及其他一些欧洲大陆的国家。 会议获得了成功，与会者决议把它变成一个永久性的学会，这就是有名的朝圣山学社，时在1947年4月。哈耶克任首届会长，总共任期达十二年之久。在他的任期内，会员数量成长迅速。 针对学社的目标，哈耶克后来解释说，“这个思想运动有点自负地宣称要致力于自由事业，实际上是要努力理解自由的前提条件。因为我们面临一个很现实的问题，就是有很人有一种幻想，以为自由可以自上而下强加，而不是创造某种前提条件，从而使人们有可能掌握他们自己的命运。” 学社的活动一概不对外公开。哈耶克几乎每年都在一个国家召开一次大会。朝圣山学社成立后，举行过数十次全体会议和地区会议，主要是在欧洲，还有美国、澳大利亚和南美。其成员则从最初的数十人，发展到目前的500人。它深化和发展了自由主义，抵抗了各类集体主义倾向对人类命运的威胁，终于迎来了八十年代末和九十年代初的共产主义阵营大解体。该学会中一些成员在战后走上了欧洲各国的最高领导岗位。它在哈耶克的学术生涯中占有重要地位，对战后世界的思潮走向有相当的影响，也对战后国际秩序的重建有潜在的重要影响。 第三阶段：美国 1950年，哈耶克到美国，进入芝加哥大学，但他并没有进入经济系，而是进入社会思想委员会。在此期间，他除了每年冬季讲授一门“西方经济思想史”课程和指导研究生外，其余时间致力于建构自由哲学的完整体系，并正式开始专心准备着手写作《自由宪章》。林曾是哈耶克的学生。 这个时候正是芝加哥学派最鼎盛的时期。 重申自由主义的政治经济学纲领 第四阶段：晚年，返回欧洲 1962年，哈耶克离开来到德国，接受了弗赖堡大学一个教职。在此，他的注意力逐渐转移到探讨和阐述经济社会行为中的“自发”秩序。哈耶克开始重建自由主义社会理论，提供了一种自由的个体间进行社会合作的洞见。 从上面对哈耶克生平的简单介绍中，我们可以看到，哈耶克很幸运，一直活跃在自由主义思想运动的核心，20年代的维也纳，30年代的伦敦，50、60年代的芝加哥。 二、学术背景之一：奥地利学派 古典政治经济学 门格尔的理论， 米塞斯，《社会主义》 主观主义，门格尔主观价值论 个人主义， 自发秩序， 市场过程， 主要特征：奥地利学派坚定地捍卫自由市场。 三、学术背景之二：古典自由主义 1、哈耶克出生在自由主义衰落时代 哈耶克出生在19世纪的最后一年。这多少具有一定的象征意味。因为，19世纪、尤其是在19世纪中后期的欧洲、美洲，一直被自由主义者视为自由主义的黄金时代。在这个时代，以19世纪中期英国废除谷物法为标志，进入了全球性自由贸易时代，也是第一个全球化时代。那时的全球化并今天更像全球化，举例来说，那时，人员基本上可以自由流动，不需要护照、签证那么复杂的手续。政府是小政府，没有进行经济干预，没有建立国有企业。没有宣传部，言论是自由的。结社是自由的，马列主义就是在那个时代诞生、发展、壮大的。社会民主党也在迅速发展为一支强大的政治力量。 然而，哈耶克诞生前后，自由主义开始衰落了。哈耶克见证了这一衰落的过程。从20世纪初一直到20世纪80年代，是自由主义暗淡的时代。这可以从制度和理论两个方面予以说明。 在制度方面，就是社会方方面面的制度，都在偏离自由主义原则。比如，在经济方面，在政治方面。 在理论方面看，自由主义本身也发生了分裂、变形。以至于到今天，虽然都叫做自由主义，但含义大不相同，甚至有很多截然相反的地方。这涉及到一个很重要的问题，我们不妨多说恍? 2、自由主义概念的简单疏理，哈耶克属于哪一派 自由主义的两支： 法国19世纪政治学家贡斯当古代的自由与现代的自由 英国政治学家伯林区分了积极自由，消极自由。消极自由就与免于强制的自由，积极自由就是获得什么东西的东西。举个例子，我口袋里只有 哈耶克则在《个人主义：正确的与错误的》和《自由宪章》中，区分了欧洲大陆式、或者说法国式的个人主义，英国的个人主义，实际上就是法国式的自由主义与英国式的自由主义。基本上分别对应于积极自由和消极自由。 法国式的自由主义，是当代社会主义的一个理论渊源。在法国最发达，在德国也很有市场，通过德国传进英国，在19世纪末演变出新自由主义，福利国家，经济管制。 到了当代，社会民主党就是积极自由最典型的代表者，而英国和美国的保守党则接近于英国式的自由主义，但也不完全是。前者更强调权利，强调社会公正，强调政府干预经济，强调再分配，大政府，福利国家，高税率，国有化，市场管制。后者则强调小政府，发挥市场的作用，解除管制，降低税率，强调鼓励企业家创新。 哈耶克本人属于英国式的自由主义传统。他曾经想把学社叫做阿克顿、托克维尔协会。 这个英国式的自由主义传统最辉煌的时代是苏格兰启蒙运动，还有柏克。启蒙运动包括休谟、斯密等人。 经过托克维尔《论美国的民主》，《旧制度与大革命》 阿克顿，自由，权力。宗教。法国大革命讲稿，现代史讲稿。自由史论。 阿克顿是1902年6月去世的，这似乎也意味着古典自由主义时代的结束。 接下来就是哈耶克了。 第二部分、哈耶克的若干思想洞见 一、政府是否应该干预经济 30年代，左翼化时代。经济学中也有一种思潮，有些经济学家认为，社会主义下的完全计划的社会不仅比资本主义效率更高(因为据说混乱的资本主义会导致商业周期和垄断权力)，它也承诺社会正义，因而也会更为公平。而且这是历史发展的大潮之必然。当时，似乎只有一位反动派在抵抗历史的大潮。那就是哈耶克。他在两条战线上作战：一方面是与凯恩斯和凯恩斯主义者就商业周期理论展开争论，另一方面，是反击全世界日益高涨的社会主义潮流。这一切都是为了捍卫自由主义。 与凯恩斯的辩论其关键的分歧是：二人对于政府干预的态度。凯恩斯对之持正面肯定的态度，并认为政府的干预能够在市场中扮演重要角色，可以减少不稳定性，克服经济危机，并改善预期；而哈耶克相反，认为政府干预经济从长远看必将必将破坏市场，预后不良。 在当时大的世界性经济危机下，人们对于传统的市场经济逐渐丧失信心，于是，国家从外部的干预成为寄托希望的最后避难所。出现了两类干预：一类是比较强的干预，就是苏联的计划经济和德国的国家统制经济。另一类是比较弱的，也出现国家干预急剧扩大的趋势，如美国的“罗斯福新政”。取消金本位制（禁止私人拥有黄金），再次扩大货币发行量，扩大信贷规模，由政府控制物价和信贷发行规模，实行关税保护政策，采取充分就业措施，实行平等的收入再分配调整，实行社会保障政策，提高税收，发行国债等。 因而，斯密的所谓“看不见的手”，以及“市场的自发的调节功能”等等，早已被多数人视为陈旧过时的老调，不予理睬了。而凯恩斯主义则为政府干预提供了一种理论论证。从而形成一种相当长时间的凯恩斯主义时代。 当年凯恩斯认为，为了保护自由资本主义的核心，需要有所妥协，实行社会民主式的「预防」性理论，即由政府提供每人最低限度的维持生计的费用，以使自由社会具有更大的吸引力。因此，政府应当采取政府开支的办法，创造需求的办法，稳定工资，保证就业。伴随着福利国家。政府在财政收入中所占比重越来越高，税收水平越来越高。 哈耶克对此却提出批评。因为他认为，要人为创造需求，就需要制造赤字，多发钞票，结果导致通货膨胀，而通货膨胀会扰乱市场的正常运转。 到70年代，奉行凯恩主义的西方经济出现“滞胀”，凯恩斯主义陷入了困境。因为按照凯恩斯理论，经济停滞与通货膨胀这两种想象绝不可能同时发生。 此时，哈耶克获得诺贝尔奖，他又展开了对凯恩伺的批评。 于是，潮流发生逆转，出是美国里根政府和英国撒切尔政府。这就是史称“新保守主义”（实即新古典自由主义）潮流的兴起，也即凯恩斯主义全面退潮和和耶克风靡全球的时期。 二、计划经济为何崩溃 哈耶克的另一个知识战场是与社会主义者展开论战。社会主义计算论战。 米塞斯早在1920年代计划经济制度还没有建立起来之前就已经指出，社会主义从技术上就是不可能的，因为它缺乏市场价格。哈耶克在1930年代的多篇文章中进一步发挥米塞斯的这一观点。1935年，他搜集和编辑了一系列论述社会主义经济组织问题的文章编为《集体主义的经济计划》。哈耶克论述社会主义问题的其他论文和专门讨论Oskar Lange与Abba Lerner在与米塞斯和哈耶克争论中提出的所谓“市场社会主义”模式的论文，后来结集为《个人主义与经济秩序》（Individualism and Economic Order，1948）。 在《集体主义经济计划》中，哈耶克批驳了我们有可能从单独一个点上管理一个技术发达的社会的想法。相反，哈耶克强调了自生秩序（尽管他当时还没有使用这一术语）的观念，政府的恰当目标应当是保证个人能够尽可能充分地以自己觉得最合适的方式利用其知识和才能。 他相信，如果没有经济自由，就不可能有进步。企图要求社会所有成员按照一个人或某些人的指令生活，从而操纵人与人之间的互动活动，这种企图必将阻碍那种可以实现物质和技术进步的社会秩序的生成。法律——规则——应当高于某个人的命令。私有产权则是这种秩序的根本。 三、计划经济必将导致极权主义：《通往奴役之路》 国家干预和计划经济的崛起，促使哈耶克写作了《通往奴役之路》（1944）。 全书共16章。该书之重要，与其说在经济学方面，不如说在其政治哲学方面和政治思想史方面。它的经典地位也建基于此。该书的意义，是在社会主义思潮横流於世之时，以一种决绝的姿态挽狂澜於既倒，以先知的洞见指出它对自由事业的根本性危险。从而在政治思想史上具有里程碑的地位。 其次，在经济学上，它雄辩地证明了，取消私有财产制度的中央计划经济，不仅会导致经济的毫无效率和停滞不前，并且，生产资料的国有化必定导致思想的国有化，即从根本上取消个人自由，建立极权主义统治。因此说，国家对经济的干预、福利国家和计划经济，是一条通往奴役之路。 哈耶克是这样论证的：如果社会主义要用中央计划取代市场，那就必然要建立某种机构来负责制定计划，哈耶克 将其称之为中央计划局，为了贯彻计划、控制资源的流动，中央计划局就必须拥有对于经济事务的广泛的自由裁量权。但是，社会主义会的中央计划局并没有市场价格作为决策的依据，也就是说它没有办法知道何种生产计划在经济上是可行的，哈耶克说，没有价格系统，将被证明是社会主义的致命缺陷。 这种缺陷不仅是经济的。控制经济就是控制生命，从长程的观点看，统制经济与民主程序是不能并存的。统制经济必然造成无孔不入的全面压制，因而导致现代最为严酷的政治控制——极权主义。计划经济与民主是不相容的。 作者指出，计划经济也不能与民主相容。各种各样的集体主义有一个共同之处，首先在於他们都坚持一个高于一切的共同社会目标；其次，在他们达到目标的方法，他们都要将整个社会组织起来，控制社会的一切资源，以达到其单一的目标；第三，他们都拒绝承认每一个人都有一个自己的独立自主的领域，拒绝承认在该领域内个人自身的目标是至高无上不容侵犯的。而要推行作为理想的这种统一价值体系，独裁制度乃是最有效的制度性工具。因此，这种中央管制的计划经济，是最典型的极权主义。其对个人自由的摧残程度，远远超过历史上专制政治。只有在自由竞争的经济制度内，民主政治才可能实行。然而，当民主政治受到集体主义教条支配时，民主政治将走向自我毁灭。 在计划经济下，也不可能有思想和学术的自由。思想的国有化正是工业国有化的伴随物。哈耶克指出，极权国家集中控制宣传，一切宣传工具都被用来朝一个方向影响所有的人，隔绝外界，没有任何其他声音，天长日久，任何人都难免受其影响。民主国家虽也有众多宣传机构，但它们相互独立互相竞争目标各异声音多元，二者截然不同。极权政府宣传的主要技巧之一，就是仍然使用旧字眼，但换上新的意义，如自由、民主、真理等。其次，则是控制一切信息来源，实施资讯垄断。决定一则新闻是否发布的唯一标准，是其是否会影响国民对政权的忠诚。第三，是严厉压制任何怀疑和不同见解。如此，在没有任何不同声音的环境下，人们的独立思考能力逐渐萎缩，在长期单一的垄断的声音的灌输下，统治者的思想就成了全体国民的思想，统治者的目标也就成了全体国民的目标，这一现象扩展至一切精神领域：科学、法律、历史、文学、……。政治权力与真理划上等号，真理也就死亡了。 哈耶克也指出，在计划经济为根本的极权主义社会中，总是最坏者当权。这种“劣币驱逐良币”的现象绝非偶然，而是极权社会运行的基本法则，即“精英淘汰制”。在社会中，一个人数众多，组织严密，意识形态统一的团体，往往不是由社会中素质较高的人构成。原因在于，人们的教育水准越高，理智越强，其观点和口味就越独立，也就越多样化，因而就越不易认同一个统一的意识形态和价值体系。因此，高度划一的看法和意志，势必降低团体的道德标准。同时，也只有这样的群体，才便于独裁者掌握控制，以达到其政治目标。另外，大多数人是并无自己的坚定信念的，适足成为被灌输的土壤。手法圆熟道德低下的政客利用忌妒等各种大众心理，强调“我们”与“他们”间的鸿沟，划分“敌我”，以凝聚自己的团体，故他们易于成功，这也是坏人易得势的原因。 此外，因为集体主义的道德原则是：目的可以使手段正确。因此，“只问目的，不择手段”是合法的。在极权社会中，一个基本的假定是：如果我们的行为是“为全体谋福利”的，则天下没有什么事不可做。其结果，是对一切道德价值的否定。因此也是使那些肆无忌惮为非作歹的人得以爬上高位的关键。这就表明，一个国家如果有一个超乎一切的共同政治目标时，则任何普遍的道德绝无藏身之地。品格完善的人难于在极权社会中居于领导地位。因为在该社会中，许多坏事都是以“共同目标”的名义、以“革命”的名义而施行的。所以，存心干坏事，乃是增进权力，爬上高位的必由之路。因道德良知而无法做这些事的人，将被摈弃于权力之门外。 这本书是哈耶克最伟大的著作，也是20世纪最畅销的政治著作之一。德国，东欧。索尔仁尼琴的评论。中国。 四、反对唯理主义：《科学的反革命》 通往奴役之路实际上是哈耶克一个庞大计划的一个组成部分，他决心研究，为什么知识分子对于市场不满，而喜欢计划。1940年代，哈耶克在专业杂志上发表了一系列论文，探讨当时的主流哲学倾向，怀有偏见的知识分子由于这种思想倾向而认识不到经济计划所必然导致的体制性问题。这些论文后来结集为《科学的反革命：理性滥用之研究》（The Counter-Revolution of Science ，1952）。这可能是哈耶克最出色的著作，仔细地探讨了“建构理性主义”的知识史及社会科学中的“科学主义”的困境。 有两种理性：迷信理性的唯理主义和知道理性的限度的理性主义。 唯理主义者相信，理性是伟大的，因此，一切美好的东西都应当是由人的理性设计制造出来的。因此，“凡是未经自觉设计的东西，不可能用于达到人类的意图甚至成为其基本前提，这种观点很容易变成如下信念：既然制度都是由人创造的，我们必定也完全有能力以我们喜欢的无论什么方式去改造它们。”于是，他们把社会、政治、文化都视为工程，可以按照某个蓝图进行仔细的规划设计。 哈耶克相信理性，他认为，理性无疑是人最宝贵的财富。但理性并不是万能的，如果我们相信理性可以成为自己的主宰，可以控制它自身的发展，则恰恰可能毁灭理性。”他的批评并不是针对理性的，相反，他提出了一种合理的看法：对个人的理性可能知道和实施的事情是有限的，最好的社会应当以这一前提条件为基础，而不能以人的理性无所不能的信念为本。现代文明受到的威胁，并不是毁灭世界的非理性的狂热，而是建构理性主义者之滥用理性，试图有意识地设计现代世界，从而把人类置于他自己造成的锁链之中。 正是在这本著作中，哈耶克明确地继承了David Hume and Adam Smith等的苏格兰启蒙运动思想，运用理性来限制理性之诉求。 五、什么是自由：重申古典自由主义：《自由宪章》 《自由宪章》于1960年初出版。本书分为三个部分，第一部分《自由的价值》，力图表明我们为何需要自由以及自由的作用何在。主要是哲学性的讨论。本书的第二部分《自由与法律》，探究西方人为了保障个人自由而逐渐形成的各种制度。主要从历史的角度去关照其间的问题。第三部分《福利国家中的自由》，则把上述原则适用于当下若干重大的经济和社会问题，包括就业，社会保障，税制，城镇规划等等。 这里集中介绍一下哈耶克关于自由的概念。 哈耶克一开篇就指出：“自由即人的这样一种状态，其中一些人对另一些人的强制（coercion）被减少到社会所能达到的最低限度。” 自由“的前提条件在于，个人拥有某些确定的私域，在他的生活环境中，有一些情势是他人不能干涉的。” 柏林爵士（Sir Isaiah Berlin ）曾区分为积极自由（positive liberty）与消极自由（negative liberty），哈耶克所认同的乃是消极自由，即他人压迫之不存在。 社会之所以需要自由，是因为每个人都处于“无可避免的无知状态”。思想永远不可能预见到其自己的发展方向，进步的方向在绝大多数情况下是未知的，因此，任何人、尤其是政府不应当强制所有人顺着一个方向发展，因为没有谁能知道未来会带来什么，技术变化会如何影响未来的社会生活。如果我们要实现进步，我们就必须为不断地修正我们目前的观念和理想留出空间，从而使之适应于未来的实践。也就是说，要允许每个人在他认为可能的方向上自由地探索。 哈耶克对于自由概念的探讨可以帮助我们澄清几个问题。 第一，自由仅指人与人之间的一种关系，对自由的侵犯也仅来自人的有意识的强制。他所强调的“强制”，基本是指人为的因素。比如，如果某人登山时坠入冰雪窟窿而无法自拔，则很难说他是不自由的。因为，虽然客观境况使他无法脱身，但是却没有人在强迫他或禁止他做某事。 第二，一个人是否自由，与他可选择的范围的大小没有关系。比如，穷人与五星级酒店。 第三，自由并不等于政治自由。有人认为，自由等于参与立法、参与政府决策的权利。 第四，民族的自由不等于个人自由。政治意义上的自由民族，未必就是要自由人组成的民族。个人自由的倡导者都同情上述民族自由的诉求，而且也正是这种同情，导使１９世纪的自由运动与民族运动之间形成了持续的联合。但是，尽管民族自由的概念类似于个人自由的概念，但它们却并不是相同的概念，因为对民族自由的追求并不总是能够增进个人自由的。对民族自由的追求，有时会导使人们倾向于选择一个他们本族的专制君主，而不选择一个由外族多数构成的自由政府；而且它还常常能够为暴虐限制少数民族成员的个人自由提供借口。 第五，个人自由不等于内在自由。一个人否认识到必然规律，是否理性，跟他是否自由没有关系。他由于知识不足而作出了错误选择，与另一个人尤其是政府强加于他某种东西使他只能作出某种选择，这两者之间是完全不同的。 邓正来先生译为《自由秩序原理》。三联最近已经重版了，说明销售得很好。 六、自发秩序的概念：《法，立法与自由》： 哈耶克的晚年集中思考自由主义的哲学基础。从1973年到1979年，他陆续出版了三卷本的《法、立法与自由》（Law, Legislation and Liberty ，1973-1979）。对古典自由主义给出了一个完整的论证。 这本书共有三个洞见：第一个洞见认为, 自我生成演化的或自生自发的秩序与组织秩序完全不同；而且, 它们各自的独特性与支配它们的两种全然不同的规则或法律紧密相关。第二个洞见主张, 当下通常所说的“社会的”或分配的正义, 只是在上述两种秩序的后一种即组织秩序中才具有意义；而它在自生自发的秩序中, 也就是亚当·斯密所说的“大社会”或者卡尔·波普尔爵士所谓的“开放社会”里, 则毫无意义且与之完全不相容。第三个洞见则宣称, 那种占支配地位的自由民主制度模式, 因其间的同一个代议机构既制定正当行为规则又指导或管理政府, 而必定导使自由社会的自生自发秩序逐渐转变成一种服务于有组织的利益集团联盟的极权主义体制。 在这里，他阐述了自发秩序的概念。其实，在以前对于市场的研究中，哈耶克已经提出了自发秩序的理论。在这里，他将这个理论应用到法律和政治领域。他指出，人类社会中存在着种种有序结构，但它们是许多人的行动的产物，而不是人之设计的结果。在某些领域，这一发现现在已得到了人们的普遍接受。尽管人们曾一度认为，甚至语言和道德也是由过去的某个天才"发明出来的"，但是现在所有的人已认识到它们是进化过程的产物，而该过程的结果则不是任何人曾预见的或设计的。 哈耶克认为，法律在很大程度上也是自发形成的。哈耶克对比了普通法传统与成文法（statute law），他阐述了法官如何将作为文化演进之成果的普遍的规则应用于一个又一个具体的案例中，从而产生了普通法，因此，普通法所蕴涵的是很长历史过程中不断试错所获得的知识。这一洞见使哈耶克得出结论：法律如同市场一样，也是一种“自发”秩序，是人类行为的结果，而不是人类设计的东西。 七、扩展的自发秩序：《致命的自负》 在1988年哈耶克出版了他最后一本书《致命的自负》副题是《社会制度的谬误》。这本书仍然是讨论自发秩序问题，将其扩展到道德、传统领域，讨论道德规则如何自发地形成并扩展，从而推动文明发展的。 哈耶克提出这样一个问题：人类是如何从早期原始社会休戚与共的小部落，发展成广土众民、和睦相处并形成巨大而复杂交往关系的巨型社会的呢？哈耶克认为，形成这种社会的一个关键性因素，是人类中某一部分群体在一个类似于自然选择的过程中，形成了一套调节人际关系的规则，包括伦理道德、商业惯例、财产制度、货币、法律、市场制度本身。它们在很大程度上不是人类特意计划或追求的结果，而是在无人能预知其后果的情况下，在漫长的岁月中自发进化而形成的。人类早期在不存在国家之前自发出现的贸易、先于理性时代而形成的传统习俗，都证明了文明的成长与其说是由于理性的完善和强大政治国家的建立，倒不如说国家和理性精神的产生是它们的结果。这样的规则、制度也在不断地扩展，从而使文明不断地从少数国家传播到其他国家。 哈耶克把这些制度称为复杂现象，这些现象中都包含着无限多的要素、相互作用关系极为复杂，人类的理智对其秩序模式的形成机制上所能达到的认知水平是十分有限的。对于这种复杂现象，我们充其量只能掌握一些有关它的一般结构的“抽象知识”，而这完全不足以使我们有能力“建造”或是预见它们所采取的具体形式。 许多知识分子之所以敌视市场秩序的原因，即在于他们没有真正理解或根本不愿理解这种抽象的自发模式在一切生命领域所起的作用。正是因为这种不理解，使他们情不自禁地倾向于从“泛灵论”角度，把复杂结构解释成某个主体的自觉设计的结果。这就是“建构论理性主义”，它把人类社会获得的一切优势和机会，一概归功于理性设计而不是对传统规则的遵从，因此他们认为，只要对目标做更为恰当的筹划和“理性的协调”，就能消灭一切依然存在的不可取现象。包括爱因斯坦这样伟大的头脑在内，众多知识分子所以倾向于社会主义的选择，都是因为，他们在理性之外看不到任何有用的知识，或者说，他们不承认人类通过理性而得到的各种知识体系，也受着某些传统行为实践模式的制约。 正因为大多数有益于人类福利的制度是自发形成的，因此，国家必须将控制和干预限制在最小程度。这是对自由主义的又一个强有利论证。 一个简单的综述 在按照时间顺序介绍了哈耶克的思想之后，我们会发现，哈耶克确实是一位困惑型的刺猬，他一生其实都在思考一个问题，就是一个自由社会如何可能。最初他主要从经济学角度思考，考虑如何确保经济上的自由，面对计划经济的崛起，以《通往奴役之路》为标志，转向思考政治问题。 我们可以把哈耶克的自由理论作一个简单的概括： 他的理论的基础是知识的分散性，没有任何人是全知全能的，没有任何人能对社会作出一个全面的设计，因此，应当让每个人自由地在各个方向上探索，而国家不能为每个人设定目的和努力的方向，相反，国家的作用仅仅在于提供一个公正的规则体系，让每个人自由地利用自己的知识、并通过市场制度利用他而恩德知识，追求自己的幸福，而在公正规则体系下，这样对私人利益的追求，将会造福于他所不认识的人，从而推进社会的公共利益。 三、哈耶克在中国及其对于中国的意义 1、哈耶克进入中国 哈耶克早年是一位经济学家，但在30年代之前，中国人很少关注经济学，所以，尽管哈耶克跟凯恩斯曾经进行论战，但哈耶克似乎没有进入中国人的知识视野。 20世纪40年代，哈耶克引起中国学者注意 潘光旦在四十年代已经注意到哈耶克。哈耶克的《通往奴役之路》是1944年出版的。按当时的开放程度和知识分子的英文水平，看到这本书的中国知识分子可能不少。潘光旦1946年出版的政论集《自由之路》就提到了哈耶克的这本书。不是一般的提到，是很详细的介绍。关于这方面的情况，山西的谢泳先生在1998年出版的《教授当年》中有两篇文章说到这件事。据他推测，潘光旦可能看的是《通往奴役之路》全书，也可能看到的是1945年4月号的美国《读者文摘》上出版的缩编本。因为潘光旦在提到哈耶克时，特别说过这一缩编本。 潘光旦说，哈耶克这本书是专门就竞争在经济上的价值立论，对一切计划经济表示反对。潘光旦认为，哈耶克较为偏激。不过，潘光旦还是认为哈耶克对集体主义的评论大体上是很健全的。理由是哈耶克过去在奥地利时受过苏俄式的集体主义压迫，又吃过德国式的集体主义的亏，所以对任何集体主义，有一种深恶痛绝的情感。潘光旦说，哈耶克认为自由经济与计划经济不能两立，过分地抨击计划经济与集体主义的措施，他不赞成。 但是，总的来说，那时的知识分子既然看到了哈耶克，也不可能予以重视。因为，当年的知识分子，大多数具有左翼倾向。即使是当年的自由主义者，也差不多都是拉斯基本的信徒。而在伦敦经济学院，哈耶克主要的论敌就是拉斯基。哈耶克写作通往奴役之路，在很大程度上就是批评拉斯基的社会主义纲领。 1958年哈耶克第一本著作在大陆出版 根据山西几位朋友的研究（赵诚），哈耶克的第一本中文版译著《物价与生产》是在“反右运动”的第二年，大跃进的高潮中由上海人民出版社出版的。在当时历史条件下，一定不会是当做借鉴学习的学说，而只能是以被批判的资产阶级学说、以“内部读物”的方式介绍到中国来的。 而他的代表作《通向奴役之路》第一次被介绍到中国是1962年，由商务印书馆以“内部读物”的名义出版的，印了3500册。当时，中国正处于“反修防”的意识形态泛化的高潮中，中国当时的主流文化与世界主流文明和传统优秀人文精神严重敌对。跟当时大多数西方书籍一样，译者在《译序》中说翻译的“目的也是想供学术界了解和批评现 代资产阶级反动经济理论时作为参考”，但这些译者心中怎么想的，我们不得而知。不过，有人曾经数过，在60、70年代，中国最有学问的人都去翻译西方经典了，他们无法按照当时官方的口径说话。他们在那个中国文化史上最黑暗的时代，还留下了一点点有价值的东西。这些东西对于后来一些人的觉醒和独立思考，提供了最初的几口奶。以上两本书都出自滕维藻、朱宗风两位翻译家之手。 当然，在学在官府的时代，这些“内部读物”不是一般人所 能看到的，但是，“文革”之中，一度出现了对社会的局部失控，造成了在官学中禁锢的当代世界的一些思想精华流传到了民 间。在这些流传到民间的“灰皮书”、“黄皮书”中，在学生中 当时流传最广的是当时翻译为“德热拉斯”，改革开放后被译为“吉拉斯”的原南共中央的重要领导人所写的《新阶级》。 后来，在改革开放初期，一部分青年已不仅在态度上对集权主义批 评，而且在学理上想弄明白自由与社会经济发展模式的关系。在老三届大学生中，已经有人关注到了哈耶克的思想。在当时条件下，谁也不道中国在改革开放上能走多远，《通向奴役的道路》这些书能否再版，不敢奢望，因此，有人为了持在手中奉为经典，不惜采用了非常手段，设法从图书馆借出来，之后以“丢失”作价赔偿。这样的手段虽然有违公德，但在那样的历史条件下，也情有可原。 80年代：哈耶克 哈耶克《通往奴役之路》对于一些思想者起到了震撼作用。但那个时代刚刚经历过人类历史上最残酷的时代。是个需要抚慰心灵，寻找人性的时代，流行的是精神分析，存在主义，寻根思潮，萨特，海德格尔，尼采。因此，哈耶克的思想在介绍西方的大潮只是个边缘。 不过，人们终于开始正面地评价哈耶克的经济学思想了。随着中国的开放和在经济上对计划体制的改革，经济上逐渐和国际接轨，西方经济学在中国行情看涨。70年代后西方的由主义学派终成气候，西方经济学终于在科学创造出的巨大生产力面前，摆脱了20世纪以来，经济上选择民族国家还是世界一体的窘境。主张市场选择的自由主义经济学派也渐居要津；1974年哈耶克被授于诺贝尔经济学奖。1988年在当时较为宽松环境下，一部分中国的经济学家编译了一套“诺贝尔经济奖得主著作”丛书，哈耶克的《个人主义与经济秩序》在1989年3月由北京经济学院出版社出版，这一版是公开发行，印了7000册。90年代初我曾见到一位这套丛书的编委，他告诉我，原本打算把哈耶克的《自由宪章》也翻译出版，但是该计划被搁置起来。 1991年5月在中国大陆出版了凝结着哈耶克思想的《致命的自负》出版，当时译为《不幸的观念》，由刘锋、张来举二先生翻译，东方出版社出版，这一版印了5000册。限于国内的特殊政治形势，这本书又是“内部发行”。但是，在图书走向市场的90年代的中国，这类学术性的“内部发行”与公开发行已看不出有什么区别，而且译者在前言或后记中例行的“供批判者参考”之类的话，读者也都知道是言不由衷之言，没人认真对待，我就是在公开的书市上买到这本书的。我的感觉这本书在翻译上一些句子不如滕维藻先生的译文流畅，但是还是解了读者求知之渴的。 在台湾，我知道殷海光先生1964年就在中国的另一部分——台湾出版自己的译著《自由宪章》，后来又了解到他的弟子林毓生在美国留学时师从于哈耶克。据林先生说，《自由宪章》在个别地方翻译得不够贴切，但是大陆的一般读者想找一本殷海光先生的译本也只能隔海相望了。同一本书，1964年在台湾出版了它的译本，90年代初在中国大陆出版计划却又被搁置了起来。 90年代，哈耶克得到全面介绍 90年代，向市场转轨已经成为不可逆转的趋势。 这里插一句：经常有人谈论中国如何特殊，可是如果仔细观察一下20世纪以来的历史，就会发现，从很大方面看，中国其实基本上跟整个世界是同步的。30年代，西方知识分子左倾化，中国的知识界也左翼化，联自由主义者都不例外。第二次世界大战，西方走上了国家干预，新独立的后发展国家在选择现代化道路时，都选择了在粗放的方式下较快完成工业化的苏联式的集权计划模式。中国也不例外。到了70年代后期，西方的政府干预经济陷入困境，东方的计划经济难以维系。于是，撒切尔夫人和里根经济学。中国几乎同时开始了改革开放。哈耶克的命运也与此一起沉浮。 90年代是哈耶克时代。 《通往奴役之路》1997年重新翻译出版。《自由宪章》于1997年出版。《法、立法与自由》于2000年出版。《致命的自负》于2000年出版。《哈耶克思想精粹》，2000年。《科学的反革命》于2003年出版。资本主义与历史学家，哈耶克传。这样，除了早年的经济学著作之外，哈耶克的重要著作基本上介绍过来了。 影响各个学科。法学，经济学，政治学。哈耶克作为一位思想家的作用突出表现出来。对于制度设计将产生重大影响。 通过上面对哈耶克思想在中国传播史的简单介绍，我们也可以看出中国学界思考重心的变化过程。 2、从哈耶克的角度分析几个现实问题 哈耶克之所以在思想取得如此高的地位，并不是偶然的。事实上，在整个中东欧，哈耶克都处于这种地位。而在西方，哈耶克其实处于学术的边缘。有些西方人觉得奇怪。其实这并不奇怪。哈耶克对于中国的意义在于： 揭示了原有制度的问题所在。对计划经济的批评，对极权主义的分析。 同时又提出了一个新制度的框架。自由市场，法治，宪政。 并且指出了路径：自发秩序，农村改革。温州。 但也需要理性的设计。即制度框架的变化。 因此，哈耶克对于观察中国制度变迁过程，提供了一个完整的视角。 下面根据我对哈耶克思想的理解，具体分析几个问题 政府与市场 自发秩序。 竞争秩序与反垄断问题 有人提出反垄断，然而，唯一的垄断是政府设置的垄断。政府设置进入壁垒。不让民营企业进入。电力、金融、石油，等等。行业间的分配不公。寻租。管制不可能公正，也不可能严格执法。 人口问题与城市贫民窟的问题 首先，人口太多，正是由于制度因素造成的。城市与乡村分割。乡村生育率高于城市。乡村又实行集体制度，按人头分配，鼓励多生育。 另一方面，人口多从来不是问题。知识与劳动分工细化、深化。 城市仍然歧视农民。为了形象，而拒绝农民进城，不让农民子女接受教育。其实，贫民窟是融入现代文明的学习过程。南美，我们的城市没有贫民窟。而我们不会将贫民从这里驱赶回去。 平等与社会公正问题 哈耶克认为人的天资生来就是不平等的，天资是不同的，也正因为如此，我们才需要自由。如果个人天生就大不相同，那么，最优的——或者说合乎自然的——社会就是人的多样性充分表现的社会。在自由的社会，人与人之间是平等，就是说，国家将平等地对待他们。意思就是说，他们每个人都可以得到法律同等的保护，他们的身份是平等的，他们拥有同样多的自由权利。法律面前的平等。 但这样的社会，必然又是物质上不平等的社会。因为人是不同的，每个人都可以自由发挥自己的才能、利用偶然的运气，而社会平等地对待每一个人，则他们字各自所能得到的结果必然是不平等的……自由必然导致物质上的不平等。物质上的不平等是自然而然的。 而人的多样性和物质上的差距，推动了社会的进步。新知识及其好处只能逐渐地扩散，多数人的欲望通常总是由当时只能由少数人所获得的东西所决定的。我们之所以会不断期望经济迅速发展，在很大程度上帮是由于财富的平等，如果没有这种不平等，就不可能有经济的迅速发展。 同样，在国际社会中，如果西方国家不是一直大大超前，那么，贫穷的、不发达的国家今天也不可能比以往任何时候都更接近于达到西方国家的水平；正因为西方国家先获得了知识、制度，于是，后进国家只用几十年的时间就可以达到西方花了几百年才达到的政治文明和物质享受水平。后发优势。 社会出现物质不平等的根源有两个，一个是人的天资的多样性，一个却正是法律面前人人平等。恰恰是在人们被平等对待的时候，人们天资上的多样性才能得到表现，起表现之一就是物质财富的多寡不同。 反观中国，人们的不平等，更多是自由权利上平等。政府没有平等地对待每个人。大部分物质财富上不平等，正是自由的缺失造成的，是权力垄断造成的。物质财富上的不平等，主要是人们政治自由缺乏的表现。社会公正问题，首先是维护公民权利的问题。比如，自由迁徙，比如无代表不纳税。 法治 没有法律，就没有自由。 法律的恰当目标是为生活于其中的个人创造私域，使他们按自己的意愿活动。他强调了法律对于自由的重要性。如果没有法律，就不可能有自由。法律的目的不是取消或限制自由，而是维护和扩大自由。自由就是免于他人之强制和暴力；如果不存在法律，就不可能有自由：自由并不等于……每个人都可以随心所欲。（如果每个人的意志都可以支配某个人，则该人又何来自由呢？）自由就是个人在法律所允许的范围内、按自己的意志处置自己的人身、行为、财物及其全部财产的自由，在这种法律之下，他并未、也不会处于任何他人的专断意志支配之下，而是在自由地按自己意愿行事。 但是，这要求法律必须是正义的，法律的执行必须是公正的。 不是以法治国。法治首先针对的政府，政府的一切活动都应合乎法律。 宪政建设 要维护社会的和平与稳定，维护个人自由，需要政府。自由并不意味着不存在强制，不要政府。防止一个人强制另一个人，就得由一个裁判机构对他们进行强制。自由主义者不是无政府主义者。但政府一旦成立，垄断了暴力，就成为对个人自由最大的威胁。因此，需要种种制度安排来限制政府的权力。 理性地对待传统