大家好，我是王宁。
今天能站在这里，纯属偶然。
什么说偶然呢，因为，这里是个人才济济的地方，164班是一个优秀的集体。个人认为，班级前二十几名的同学，时机适宜，谁考班上第一名都有可能。妈妈对我说：考了第一名，不要有压力，这一次已证明了你有考第一名的实力。以后，出现名次上下浮动都很正常，以平常心对待。
先说明一下，因为时间紧，这份发言稿是我和爸爸妈妈一起写的，下面就孩子的学习和家庭教育的几个观点和大家探讨一下：

1、关于分数
从小学开始，爸爸妈妈对我就是这样要求的，只要学习态度好，考试考多少分都不会怪我，所以，我考试对分数没什么压力，所以很少有发挥失常的时候，成绩也差不到哪去。我的经验就是：像考试一样做认真做作业，像做作业一样地轻松考试。初中了，妈妈重新告诉我：考试，只要考出你的真实水平，就可以。比如，某次考试，你的真实水平是90分，你考了90分，就很好。如果，因为某种原因，你只考了70分，那爸爸妈妈就会为你遗憾，因为你的努力付出没有得到对等的回报。
在我们家，分数引起的反应基本上是波澜不惊的，考100分也好，80分也好，没什么太大的反响。人生处处是考场，从容面对，考出自己真实水平就好。在我们家，物质也不与分数，成绩挂钩。
物质上的东西，能给生活带来便利，而爸爸妈妈的经济能承受的，就会给我买，与成绩没关系。爸爸妈妈认为，那种挂钩很容易培养孩子的功利思想，而偏离了学习和生活的本质。
我身上不缺零用钱，钱包里有一张银行卡备用，家里的小盒子里，爸爸妈妈也常放了几百元零钱备用。
爸爸妈妈的理念是，在当今充满诱惑的时代，孩子不缺钱、不缺爱，到外面走弯路的概率就要小很多。

2、享受生活
教育的最终目的是让孩子有能力创造幸福生活，享受生活。
我们觉得，享受生活，不要说等你长大以后，而是从今天开始，从现在开始。
有一次，一位奶奶对我说，你父母对你这么好，你一定要好好学习，长大报答你的父母。妈妈更正了这种说法，对我说：对父母的报答不是很高的分数，而是从现在开始，好好活着，每一天。
所以，学习只是我生活重要的一部分，但不是全部。交朋友、看电影、打扮漂亮、和小狗狗玩、适当上网玩游戏放松、去乡下陪伴疼爱我的奶奶、外婆外公、聊有好感的男生等等这些让我的生活很丰富，也让我的生活充满了爱，生命之火激情燃烧。
妈妈说，她从我的每一篇作文中，都感觉到了我对爱的理解。

3、阅读经典
阅读经典，是学好语文的关键。也是理解人生的重要途径。
经典之所以成为经典，必定有它的卓越之处。从去年开始，我开始阅读外国经典名著。我强烈地感觉到，我的作文、考试做阅读题目都上了一个台阶。在阅读的时候，并不一定感觉到明显效果，但写起作文来，笔下的文采仿佛不是自己的，涓涓流出。这就是文化的熏陶，在不知不觉中融入到了阅读者的生命。
建议大家不要让孩子读那种快餐书籍，比如各种杂志、童话故事、如何成功速成等等，要读经典的的世界名著。可能刚开始读，会找不着感觉，但读上两三本，就会找到节奏。
有一次，妈妈问我：你阅读名著时，感受到愉悦了吗？我说，感受到了！那一刻，妈妈很欣慰。因为，愉悦，是最高层次的享受。
从阶段性的作用上讲，阅读经典可以使语文成绩提高十分左右，这十分左右对于中考来说，是多么重要。

4、音乐的熏陶
阅读、音乐和其他艺术形式，其终极意义都是让人在某一阶段感到愉悦，让灵魂舒展，轻盈。
孩子们时间很紧张，妈妈平时在接送我，或开车一起外出的时候，会根据情况适时的挑选一些高雅的音乐在车里放。我在放松的情况下，不知不觉地接触到了一些世界名曲，和一些歌词写得很好的歌曲，这一次我的作文拿了高分，就是以平时在车上听到的那些音乐为题材写的。

5、润物细无声
现在的孩子叛逆心极重，我也不例外。
比如阅读，听音乐这些事情，我妈妈做得很随意，不露痕迹，根据我的情绪来，在我想休息或者做其他事的时候，她会尊重我的意见，不强行摊派。

6、训练孩子的独立性，有主见
从小，爸爸妈妈就有意识地培养我的独立性。因为，孩子不可能一辈子生活在父母的羽翼下。
尊重孩子的选择，这是最重要的。因为，人生很多事情不是只有一个选择，可以有很多选择，每一种选择都有一定的道理。不要用家长心中的选择去评价孩子。
比如：我五岁的时候，天气很热，从幼儿园出来，很渴，想要喝饮料。妈妈给钱给我，让我自己去买。我害羞，因为从未尝试过，害怕，就不肯自己去。妈妈告诉我，现在你有两个选择，一是自己去买，然后喝。一是自己不去买，那就忍着，回家再喝水。我犹豫了一下，选择了不去买，忍着。妈妈觉得这也是一种选择，就尊重我，也不评价我。
小学时，放学下雨了，妈妈也不会主动送伞。她知道，我总会想办法的，比如，和同学共，比如在教室里先做作业，比如去超市里避雨，顺便逛一逛超市。因为，我曾对妈妈说过，你女儿没你想象的那么蠢，总会想到办法。
再比如：现在我买衣服，妈妈只负责出钱。上次，和同学一起去买地摊货，25元买了一件衬衣，穿到学校来了，妈妈说也还漂亮，但建议我把那些线头剪一下，别让人一眼就看出地摊货。第二次，我又去买了一件，拿回来就觉得小了。妈妈也没评价我，建议我送给一个比我矮一点的朋友了。
这都是我的选择，爸爸妈妈都尊重我。不作负面评价。就是这样，我一路思考，爸爸妈妈一路尊重，我渐渐长大了，遇事不逃避，学会思考，有自己的主见。

7、关于粗心
经常听见有家长这样说自己的孩子，我家孩子这次错的题目好多都知道做，就是粗心啊。
在这里，我想谈一谈我们家的观点。从五年级起，妈妈就告诉我：粗心，就是能力差，学得不扎实的表现！
任何时候，都不要说是因为粗心没考好。也请家长不要再为孩子找这个推脱责任的借口。
细心、沉稳、脚踏实地是必备的能力，如果具备了这些能力，偶尔丢一两分，可以理解，超过两分，就是能力还欠缺，学得不扎实。
这个观点，妈妈五年级开始和我交流，我也渐渐认同。所以，我正常情况下能考高分，成绩稳定，这个观点应该起了很大的作用。

8、培养孩子的能力
家长要放手，在可控的范围下尽量放手。
比如，做一件事，孩子去做，可能只能打30分，你不满意，骂他，甚至代替他做了，当时事情的效果可以打90分。但请家长注意，这90分，永远是你的90分，孩子仍然是0分。如果，你让他做，用他不反感的方式指点一下，这一次可能只是30分，下一次就有可能是60分，再下一次，可能就是95分，甚至比你做得更好。
所以，家长要学习聪明地示弱，把机会让给孩子，并及时鼓励肯定孩子。爸爸妈妈终将老去，要学会把舞台适时地让给孩子，让他们发挥。
孩子只有在一次次的实践、思考中，不断长大，独立，然后超越父母。长江后浪拍前浪，我爸爸妈妈常常很幸福地被我拍死在沙滩上。

9、赏识孩子，扶持孩子的自信，呵护孩子的自尊
中华民族是个谦逊的民族。
在教育孩子方面，却容易走入一个误区。不注意赏识孩子的优点，而过份强调孩子的错误。
当我做得对的时候，爸爸妈妈会及时肯定我，表扬我。
妈妈平时在同朋友谈话时，谈到孩子的时候，她会充分肯定孩子身上的优点。我们偶尔听到，表面会装得不在意，实际上，我们很在意，得到肯定的这些优点，我们会继续坚持，越来越好。会按照父母描述的那样优秀的样子去校准自己的言行。
当孩子出现错误的时候，就事论事地分析。不哆嗦，不翻旧账。正确面对事情，改正就好。事情过了，继续过美好的生活，不要把负面情绪过分强调和延伸。
最错误的方式是，在公众面前训斥孩子，丢孩子的脸。家长们，请呵护孩子脆弱的自尊！
当然，是人就会有缺点，我也有一些缺点，就不在这里说了，呵呵。

10、必然性与偶然性
开始，我说我考第一名是偶然，现在我想告诉大家，当爸爸妈妈用心地把孩子呵护好了，这种偶然，就是必然！孩子具备了努力、坚强、细心、有爱心等等这些品质，偶然地考上一次或几次第一名就成了必然。

最后，我向关心、教育我的老师们、我的爸爸妈妈致以最诚挚的谢意：你们辛苦了！谢谢你们！
向曾经关心、帮助我的朋友们、同学们说一声：谢谢！
祝老师们、家长们：工作顺利、身体健康！
祝同学们：生活开心、学业有成！

CentOS下搭建DNS server首选Bind软件。这里采用Bind v9做为例子（bind9.x提供IPv6 socket的DNS查询,支持IPv6资源记录。

首先下载及安装：

# wget http://ftp.isc.org/isc/bind9/9.3.6/bind-9.3.6.tar.gz 
# tar -xzf bind-9.3.6.tar.gz
# cd bind-9.3.6
# ./configure -enable-ipv6 -with-openssl
# make && make install

运行 rpm -qa | grep bind 可查看安装bind的版本。

Bind软件安装后,会产生几个固有文件,分为两类:
   一类是配置文件在/etc目录下；
   一类是DNS记录文件在/var/named目录下。
   加上其他相关文件,共同设置DNS server。
   named.conf为默认的主配置文件(须手动建立),设置一般的named参数,指向该服务器使用的域数据库信息的源,这类源可以是本地磁盘文件或远程服务器。

  纯粹为了试验，我在lab里建立了一个域名shanghai.myuseasp.net的IPv6 DNS server。

  配置文件1 /etc/name.conf

// Red Hat BIND Configuration Tool
//
// Default initial "Caching Only" name server configuration
//

options {
        directory "/var/named";
        dump-file "/var/named/data/cache_dump.db";
        statistics-file "/var/named/data/named_stats.txt";
        /*
         * If there is a firewall between you and nameservers you want
         * to talk to, you might need to uncomment the query-source
         * directive below.  Previous versions of BIND always asked
         * questions using port 53, but BIND 8.1 uses an unprivileged
         * port by default.
         */
         // query-source address * port 53;
        listen-on-v6 { fc00:0:4491::18; };
        listen-on { 10.1.0.18; };
};

// Red Hat BIND Configuration Tool
//
// Default initial "Caching Only" name server configuration
//

//This is for my testing
//This defines the secv6 domain name lookup
//Regular zone file is shanghai.myuseasp.net 
zone "shanghai.myuseasp.net" IN {
        type master;
        file "shanghai.myuseasp.net.zone";
        allow-update { any; };
};


/*
zone "." IN { // a caching only nameserver config 
        type hint;
        file "named.ca";
};

zone "0.1.10.IN-ADDR.ARPA." IN { // this defines the loopback reverse name lookup
        type master;
        file "10.1.0.db";
};

zone "0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.1.9.4.4.0.0.0.0.0.0.c.f.ip6.arpa." IN { //// this defines the loopback reverse name lookup
        type master;
        file "fc00.0.4491.db";
        allow-update { none; };
};

zone "localhost." IN { // this defines the loopback name lookup 
        type master;
        file "localhost.zone";
        allow-update { none; };
};

zone "0.0.127.in-addr.arpa." IN { // this defines the loopback reverse name lookup
        type master;
        file "named.local";
        allow-update { none; };
};

zone "0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.ip6.arpa." IN { // this defines the loopback reverse name lookup
        type master;
        file "named.ip6.local";
        allow-update { none; };
};

*/

include "/etc/rndc.key";

看似内容很多，精简一下，除去注释，里面的内容只剩下：

options {
        directory "/var/named";
        dump-file "/var/named/data/cache_dump.db";
        statistics-file "/var/named/data/named_stats.txt";
        listen-on-v6 { fc00:0:4491::18; };
        listen-on { 10.1.0.18; };
};

zone "shanghai.myuseasp.net" IN {
        type master;
        file "shanghai.myuseasp.net.zone";
        allow-update { any; };
};

include "/etc/rndc.key";

现在要在目录/var/named里，创建一个名为shanghai.myuseasp.net.zone的文件，添加内容：

$ORIGIN .
$TTL 86400  ; 1 day
shanghai.myuseasp.net      IN SOA  useasp.shanghai.myuseasp.net. root.useasp.shanghai.myuseasp.net. (
                10010      ; serial
                21600      ; refresh (6 hours)
                3600       ; retry (1 hour)
                31536000   ; expire (52 weeks 1 day)
                86400      ; minimum (1 day)
                )
            NS  10.1.0.18

$ORIGIN shanghai.myuseasp.net.
useasp            A   10.1.0.18
ns 1D IN AAAA fc00:0:4491::18
1D IN A6 0 fc00:0:4491::18
shanghai.myuseasp.net.        IN      AAAA    fc00:0:4491::18
useasp 1D IN AAAA fc00:0:4491::20

运行命令/etc/init.d/named restart重新启动服务。

从另外一台相连的有IPv6的机器

ping6 shanghai.myuseasp.net，会解析到地址fc00:0:4491::18

ping6 useasp.shanghai.myuseasp.net，会解析到地址fc00:0:4491::20。

两台笔记本 A和B

A: Ubuntu 11.04 + 有线网卡(eth0) + 无线网卡(eth1)
B: Windows 7 + 有线网卡 + 无线网卡

A，B的无线网卡都连接到家庭无线 路由器 ，网关为192.168.0.1，可以上互联网。A,B的有线网卡通过网线直连，A作为DHCP server和网关，为B的有线网卡分配IP地址

实验1：A(Ubuntu)安装DHCP server步骤:

1. 下载安装dhcp server

	sudo apt-get install dhcp3-server

2.修改dhcpserver绑定的interface接口

	vi /etc/default/isc-dhcp-server
	INTERFACES="eth0"

3. 给eth0配置ipv4静态地址: 192.168.1.1。

	vi /etc/network/interfaces, add:
	auto eth0 iface eth0 inet static address 192.168.1.1 netmask 255.255.255.0 network 192.168.1.0 broadcast 192.168.1.255

DHCP server在启动时自动启动；注意不要用network connection配置静态IP，它不会写/etc/network/interfaces文件，导致 DHCP server 无法自动启动。

4.修改dhcpserver配置文件

	vi /etc/dhcp/dhcpd.conf
	subnet 192.168.1.0 netmask 255.255.255.0 {
	range 192.168.1.10 192.168.1.200;
	option broadcast-address 192.168.1.255;
	option routers 192.168.1.1;
	default-lease-time 6000;
	max-lease-time 8000000;
	}

5. 启动dhcp server

	sudo /etc/init.d/isc-dhcp-server start

如果出错，查看/var/log/syslog的错误提示
 

A安装完DHCP server后，B的有线网卡可以分配到IP地址。但是B不能上互联网了。

	route print
	0.0.0.0 0.0.0.0 192.168.0.1 192.168.0.99 26
	0.0.0.0 0.0.0.0 192.168.1.1 192.168.1.10 10

连互联网时都走HOP数小的192.168.1.1路由，导致无法上互联网。

运行下面命令解决问题：

	route delete 0.0.0.0
	route add 0.0.0.0 mask 0.0.0.0 192.168.0.1
	route add 192.168.1.0 mask 255.255.255.0 192.168.1.1

实验2：B关闭无线网卡，希望通过A作为路由器来连互联网

1. 在DHCP服务器的配置文件中，加入DNS服务器。这样B才能通过A知道DNS服务器的地址

	vi /etc/dhcp/dhcpd.conf
	subnet 192.168.1.0 netmask 255.255.255.0 {
	range 192.168.1.10 192.168.1.200;
	option broadcast-address 192.168.1.255;
	option routers 192.168.1.1;
	option domain-name-servers 180.168.255.18;
	default-lease-time 6000;
	max-lease-time 8000000;
	}

2. A中打开ip包转发功能, vi /etc/sysctl.conf ，删除下面一行的注释

	net.ipv4.ip_forward=1

 (sudo sysctl -p 使改变的配置立即生效)
同时添加iptables(临时方法，重启后会失效):
sudo iptables -t nat -A POSTROUTING -s 192.168.1.0/24 -o eth1 -j MASQUERADE
sudo iptables-save 永久保存

(-o eth1 指定output network interface为eth1)

实验3：A使用radvd(Router Advertisement Daemon)为B分配ipv6地址

radvd 使用 Neighbor Discovery Protocol (NDP) as specified in RFC 2461

1. 下载安装radvd

	sudo apt-get install radvd

 
2. 新建并配置radvd配置文件

	vi /etc/radvd.conf
	interface eth0 {
	MinRtrAdvInterval 3;
	MaxRtrAdvInterval 10;
	AdvLinkMTU 1280;
	AdvSendAdvert on;
	prefix fec0:1111:2222:3333::/64 {
	AdvOnLink on;
	AdvAutonomous on;
	AdvValidLifetime 86400;
	AdvPreferredLifetime 86400;
	AdvRouterAddr on;
	};
	};

3. 在/etc/sysctl.conf 中设定 net.ipv6.conf.all.forwarding=1

4. 启动radvd

	sudo /etc/init.d/radvd start

(如果在 radvd 运行状态下重启机器，radvd 会在开机后自动运行)

5. 在B上运行ipconfig:

	ipconfig
	以太网适配器 本地连接:
	连接特定的 DNS 后缀 . . . . . . . :
	本地站点的 IPv6 地址. . . . . . . : fec0:1111:2222:3333:a432:4f4d:72bf:ed0a%1
	本地链接 IPv6 地址. . . . . . . . : fe80::a432:4f4d:72bf:ed0a
	IPv4 地址 . . . . . . . . . . . . : 192.168.1.10
	子网掩码 . . . . . . . . . . . . : 255.255.255.0
	默认网关. . . . . . . . . . . . . : fe80::211:43ff:fe76:cb8
	注意windows下 fec0:1111:2222:3333:a432:4f4d:72bf:ed0a%1 中的%1表示网络接口编号

 
ping本机地址:

	C:\>ping fec0:1111:2222:3333:a432:4f4d:72bf:ed0a (本地站点地址)
	正在 Ping fec0:1111:2222:3333:a432:4f4d:72bf:ed0a 具有 32 字节的数据: 来自 fec0:1111:2222:3333:a432:4f4d:72bf:ed0a 的回复: 时间<1ms
	C:\>ping fe80::a432:4f4d:72bf:ed0a (本地链路地址)
	正在 Ping fe80::a432:4f4d:72bf:ed0a 具有 32 字节的数据: 来自 fe80::a432:4f4d:72bf:ed0a 的回复: 时间<1ms

6.A 上运行ifconfig

	$ifconfig
	eth0 Link encap:Ethernet HWaddr 00:11:43:76:0c:b8 inet addr:192.168.1.1 Bcast:192.168.1.255 Mask:255.255.255.0 inet6 addr: fe80::211:43ff:fe76:cb8/64 Scope:Link UP BROADCAST RUNNING MULTICAST MTU:1500 Metric:1 RX packets:4634 errors:0 dropped:0 overruns:0 frame:0 TX packets:1299 errors:0 dropped:0 overruns:0 carrier:0 collisions:0 txqueuelen:1000 RX bytes:677921 (677.9 KB) TX bytes:178937 (178.9 KB) Interrupt:18

ping本机地址 (注意linux上ping6的用法，必须指定接口):

	$ ping6 -I eth0 fe80::211:43ff:fe76:cb8
	PING fe80::211:43ff:fe76:cb8(fe80::211:43ff:fe76:cb8) from fe80::211:43ff:fe76:cb8 eth0: 56 data bytes 64 bytes from fe80::211:43ff:fe76:cb8: icmp_seq=1 ttl=64 time=0.046 ms

7. B ping A

	C:\>ping fe80::211:43ff:fe76:cb8
	正在 Ping fe80::211:43ff:fe76:cb8 具有 32 字节的数据: 来自 fe80::211:43ff:fe76:cb8 的回复: 时间<1ms

8. A ping B

	$ ping6 -I eth0 fe80::a432:4f4d:72bf:ed0a PING fe80::a432:4f4d:72bf:ed0a(fe80::a432:4f4d:72bf:ed0a) from fe80::211:43ff:fe76:cb8 eth0: 56 data bytes 64 bytes from fe80::a432:4f4d:72bf:ed0a: icmp_seq=1 ttl=64 time=0.733 ms
	$ ping6 -I eth0 fec0:1111:2222:3333:a432:4f4d:72bf:ed0a connect: Network is unreachable

A只能ping通B的本地链路地址，无法ping通本地站点地址。因为使用本地站点地址作为源或目的地址的数据报文不会被转发到本站点（相当于一个私有网络）外的其它站点，B的本地站点地址只能在B本地使用。

实验4: A 使用 wide-dhcpv6-server 为B分配 IPv6地址

1.下载安装wide dhcpv6 server 

sudo apt-get install wide-dhcpv6-server

2. 编辑dhcpv6 server的配置文件

vi /etc/dhcp/dhcpd6.conf

PKCS 全称是 Public-Key Cryptography Standards ，是由 RSA 实验室与其它安全系统开发商为促进公钥密码的发展而制订的一系列标准，PKCS 目前共发布过 15 个标准。 常用的有：
PKCS#7 Cryptographic Message Syntax Standard
PKCS#10 Certification Request Standard
PKCS#12 Personal Information Exchange Syntax Standard

X.509 是常见通用的证书格式。所有的 证书 都符合为Public Key Infrastructure (PKI) 制定的 ITU-T X509 国际标准。

PKCS#7 常用的后缀是： .P7B .P7C .SPC
PKCS#12 常用的后缀有： .P12 .PFX
X.509 DER 编码(ASCII)的后缀是： .DER .CER .CRT
X.509 PAM 编码(Base64)的后缀是： .PEM .CER .CRT
.cer/.crt是用于存放证书，它是2进制形式存放的，不含私钥。
.pem跟crt/cer的区别是它以Ascii来表示。
pfx/p12用于存放个人证书/私钥，他通常包含保护密码，2进制方式
p10是证书请求
p7r是CA对证书请求的回复，只用于导入
p7b以树状展示证书链(certificate chain)，同时也支持单个证书，不含私钥。

一 用openssl创建CA证书的RSA密钥(PEM格式)：

openssl genrsa -des3 -out ca.key 1024 

二用openssl创建CA证书(PEM格式,假如有效期为一年)：

openssl req -new -x509 -days 365 -key ca.key -out ca.crt -config openssl.cnf 

openssl是可以生成DER格式的CA证书的，最好用IE将PEM格式的CA证书转换成DER格式的CA证书。
三 x509到pfx

pkcs12 -export –in keys/client1.crt -inkey keys/client1.key -out keys/client1.pfx 

四 PEM格式的ca.key转换为Microsoft可以识别的pvk格式。

pvk -in ca.key -out ca.pvk -nocrypt -topvk 

五 PKCS#12 到 PEM 的转换

openssl pkcs12 -nocerts -nodes -in cert.p12 -out private.pem 

验证

openssl pkcs12 -clcerts -nokeys -in cert.p12 -out cert.pem 

六 从 PFX 格式文件中提取私钥格式文件 (.key)

openssl pkcs12 -in mycert.pfx -nocerts -nodes -out mycert.key 

七 转换 pem 到到 spc

openssl crl2pkcs7 -nocrl -certfile venus.pem  -outform DER -out venus.spc 

用 -outform -inform 指定 DER 还是 PAM 格式。例如：

openssl x509 -in Cert.pem -inform PEM -out cert.der -outform DER 

八 PEM 到 PKCS#12 的转换，

openssl pkcs12 -export -in Cert.pem -out Cert.p12 -inkey key.pem 

密钥库文件格式【Keystore】

  格式     :  JKS
 扩展名  : .jks/.ks
 描述     : 【Java Keystore】密钥库的Java实现版本，provider为SUN
 特点     :  密钥库和私钥用不同的密码进行保护
 
 格式     :  JCEKS
 扩展名  :  .jce
 描述     : 【JCE Keystore】密钥库的JCE实现版本，provider为SUN JCE
 特点     :  相对于JKS安全级别更高，保护Keystore私钥时采用TripleDES
 
 格式     :  PKCS12
 扩展名  :  .p12/.pfx
 描述     : 【PKCS #12】个人信息交换语法标准
 特点     :  1、包含私钥、公钥及其证书
               2、密钥库和私钥用相同密码进行保护
 
 格式     :  BKS
 扩展名  : .bks
 描述     :  Bouncycastle Keystore】密钥库的BC实现版本，provider为BC
 特点     :  基于JCE实现
 
 格式     : UBER
 扩展名  : .ubr
 描述     : 【Bouncycastle UBER Keystore】密钥库的BC更安全实现版本，provider为BC
 
 
证书文件格式【Certificate】
格式          :  DER
扩展名       :  .cer/.crt/.rsa

描述          : 【ASN .1 DER】用于存放证书
特点          :  不含私钥、二进制

格式          :  PKCS7
扩展名       : .p7b/.p7r
描述          : 【PKCS #7】加密信息语法标准

特点          : 1、p7b以树状展示证书链，不含私钥
                  2、p7r为CA对证书请求签名的回复，只能用于导入

格式          :  CMS
扩展名       :  .p7c/.p7m/.p7s
描述          : 【Cryptographic Message Syntax】
特点          : 1、p7c只保存证书
                  2、p7m：signature with enveloped data
                  3、p7s：时间戳签名文件
 
格式          :  PEM
扩展名       : .pem
描述          : 【Printable Encoded Message】
特点          : 1、该编码格式在RFC1421中定义，其实PEM是【Privacy-Enhanced Mail】的简写，但他也同样广泛运用于密钥管理
                  2、ASCII文件
                  3、一般基于base 64编码

格式         :  PKCS10
扩展名      : .p10/.csr
描述         : 【PKCS #10】公钥加密标准【Certificate Signing Request】
特点         :  1、证书签名请求文件
                  2、ASCII文件
                  3、CA签名后以p7r文件回复

格式         :  SPC
扩展名      : .pvk/.spc
描述         : 【Software Publishing Certificate】
特点         :  微软公司特有的双证书文件格式，经常用于代码签名，其中
                  1、pvk用于保存私钥
                  2、spc用于保存公钥

cer后缀的证书文件有两种编码 -->DER二进制编码或者BASE64编码(也就是.pem)

p7b一般是证书链，里面包括1到多个证书
pfx是指以pkcs#12格式存储的证书和相应私钥。

在Security编程中，有几种典型的密码交换信息文件格式:
DER-encoded certificate: .cer, .crt
PEM-encoded message: .pem
PKCS#12 Personal Information Exchange: .pfx, .p12
PKCS#10 Certification Request: .p10
PKCS#7 cert request response: .p7r
PKCS#7 binary message: .p7b

.cer/.crt是用于存放证书，它是2进制形式存放的，不含私钥。
.pem跟crt/cer的区别是它以Ascii来表示。
pfx/p12用于存放个人证书/私钥，他通常包含保护密码，2进制方式
p10是证书请求
p7r是CA对证书请求的回复，只用于导入
p7b以树状展示证书链(certificate chain)，同时也支持单个证书，不含私钥。

openssl之pkcs7之3 signed-data内容类型的编码解码 - -
signed内容类型由任意类型的内容和数字签名组成。任何类型的内容能够同时被任意数量的签名者签名。

签名数据的产生过程有如下几步：

1. 对于每一个签名者，他用消息摘要算法计算出摘要值 。

2. 对于每一个签名者，消息摘要和相关的信息用自己的私钥加密。

3. 对于每一个签名者，把加密的消息摘要和其他的签名者特定信息放入signer_info值中。每个签名者的证书、crl等也在这一步被收集进来。

4. 把所有签名者的信息摘要算法、他们的signer_info值和内容一起放进sign值中。

DHCP 工作流程：

1. DHCP请求IP地址的过程

-- 发现阶段（DHCPDISCOVER）， 即DHCP客户端寻找DHCP服务器的阶段。客户端以广播方式发送DHCPDISCOVER包，只有DHCP服务器才会响应。

-- 提供阶段（DHCPOFFER）， 即DHCP服务器提供IP地址的阶段。 DHCP 服务器接收到客户端的DHCPDISCOVER报文后，从IP地址池中选择一个尚未分配的IP地址分配给客户端，向该客户端发送包含租借的IP地址和其他配置信息的DHCPOFFER包。

-- 选择阶段（DHCPREQUEST）， 即DHCP客户端选择IP地址的阶段。如果有多台DHCP服务器（ DHCPServer ）向该客户端发送DHCPOFFER包，客户端从中随机挑选，然后以广播形式向各DHCP服务器回应DHCPREQUEST包，宣告使用它挑中的DHCP服务器提供的地址，并正式请求该DHCP服务器分配地址。其它所有发送DHCPOFFER包的DHCP服务器接收到该数据包后，将释放已经OFFER（预分配）给客户端的IP地址。

如果发送给DHCP客户端的DHCPOFFER包中包含无效的配置参数，客户端会向服务器发送DHCPCLINE包拒绝接受已经分配的配置信息。

-- 确认阶段（DHCPACK）， 即DHCP服务器确认所提供IP地址的阶段。当DHCP服务器收到DHCP客户端回答的DHCPREQUEST包后，便向客户端发送包含它所提供的IP地址及其他配置信息的DHCPACK确认包。然后，DHCP客户端将接收并使用IP地址及其他TCP/IP配置参数。

2. DHCP客户端续租IP地址的过程

--DHCP服务器（ DHCPServer ）分配给客户端的动态IP地址通常有一定的租借期限，期满后服务器会收回该IP地址。如果DHCP客户端希望继续使用该地址，需要更新IP租约。实际使用中， 在IP地址租约期限达到一半时 ，DHCP客户端会自动向DHCP服务器发送DHCPREQUEST包，以完成IP租约的更新。如果此IP地址有效，则DHCP服务器回应 DHCPACK 包，通知DHCP客户端已经获得新IP租约。

如果DHCP客户端续租地址时发送的DHCPREQUEST包中的IP地址与DHCP服务器当前分配给它的IP地址（仍在租期内）不一致，DHCP服务器将发送 DHCPNAK 消息给DHCP客户端。

3. DHCP客户端释放IP地址的过程

--DHCP客户端已从DHCP服务器获得地址，并在租期内正常使用，如果该DHCP客户端不想再使用该地址，则需主动向DHCP服务器发送 DHCPRELEASE 包，以释放该地址，同时将其IP地址设为0.0.0.0。

DHCP配置文件通常包括3部分 ：declarations, parameters, options。

declarations：描述网络的布局；描述客户；提供客户的地址。

parameters：表明如何执行任务，是否要执行任务，或将哪些网络配置选项发送给客户。

option：配置DHCP可选参数。

常用声明（declarations） ：

shared-network 告知DHCP服务器是否为一些子网络分享相同网络

subnet 描述一个IP是否属于子网

range 提供动态分配IP地址的起始和结束范围

host 为特定的主机提供网络参数

group 为一组参数提供声明

常用参数（parameters） ：

ddns-update-style 配置DHCP-DNS互动更新模式

default-lease-time 指定默认租赁时间的长度，单位为秒

max-lease-time 指定最大租赁时间长度，单位为秒

hardware 指定网卡接口类型和MAC地址

server-name 告知DHCP客户服务器名称

fixed-address 为客户端指定一个固定的IP地址

常用选项（option） ：

domain-name 为客户端指定域名

domain-name-servers为客户端指明DNS服务器IP地址

host-name 为客户端指明主机名称

routers 为客户端指明默认网关

broadcast-address 为客户端设定广播地址

subnet-mask 为客户端设定子网掩码

ntp-server 为客户端设定格林威治时间的偏移时间，单位为秒

下面是一个 DHCP Server 配置文件的例子 ：
如果是Linux系统的话就按下面操作：

1、先挂载光盘  #mount  /dev/cdrom  /media

2、然后安装DHCP服务器安装包   #rpm -ivh /media/Server/dhcp-3.0.5-3.el5.i386.rpm

3、复制dhcp服务器配置示例文件到/etc下并改名为dhcpd.conf
   #cd /usr/share/doc/dhcp-3.0.5/
   #cp dhcpd.conf.sample /etc/dhcpd.conf这一步会有一个是否覆盖，写y就行了

4、修改dhcp服务器的配置文件：#vi /etc/dhcpd.conf

#
# DHCP Server Configuration file.
#   see /usr/share/doc/dhcp*/dhcpd.conf.sample  
#[root@pact config]# cat /usr/share/doc/dhcp*/dhcpd.conf.sample 
ddns-update-style interim; #ddns-update-style 配置DHCP-DNS互动更新模式
ignore client-updates;

subnet 192.168.0.0 netmask 255.255.255.0 { #subnet 描述一个IP是否属于子网

# --- default gateway
        option routers                  192.168.0.1; #为客户端指定默认网关
        option subnet-mask              255.255.255.0; #设置客户端的子网掩码

        option nis-domain               "domain.org";
        option domain-name              "domain.org"; #为客户端指定域名
        option domain-name-servers      192.168.1.1; #为客户端指定DNS服务器地址

        option time-offset              -18000; # 为客户端设定格林威治时间的偏移时间，单位为秒
#       option ntp-servers              192.168.1.1; #为客户端指定时间服务器
#       option netbios-name-servers     192.168.1.1;
# --- Selects point-to-point node (default is hybrid). Don't change this unless
# -- you understand Netbios very well
#       option netbios-node-type 2;

        range dynamic-bootp 192.168.0.128 192.168.0.254; #提供动态分配IP地址的起始和结束范围
        default-lease-time 21600; #指定默认租赁时间的长度，单位为秒
        max-lease-time 43200; #指定最大租赁时间长度，单位为秒

        # we want the nameserver to appear at a fixed address
        host ns { #host 为特定的主机提供网络参数
                next-server marvin.redhat.com;
                hardware ethernet 12:34:56:78:AB:CD; #指定网卡接口类型和MAC地址
                fixed-address 207.175.42.254; #为客户端指定一个固定的IP地址
        }
}

IEEE EUI-64 地址代表网络接口寻址的新标准。公司ID仍然是24位长度，但扩展ID是40位，从而为网络适配器制造商创建了更大的地址空间。EUI-64地址使用U/L和I/G位的方式与IEEE 802地址相同。
将IEEE 802地址映射到EUI-64 地址。
要从IEEE 802 地址创建EUI-64地址，则16位的11111111 11111110 (0xFFFE) 将被插入到公司 ID 和扩展 ID 之间的IEEE 802地址中。
因为MAC地址是唯一的，所以EUI-64地址一般是唯一的。

如何将48 bits的MAC地址转化为64 bits的接口ID？
转化步骤：
1.在MAC地址的公司ID（高24 bits）和节点ID（低24 bits）中间插入 FFFE
2.将MAC地址的U/L位[“全球/本地”（"Universal/Local"）]（从高位开始的第七位） 求反 （invert）

例：
原MAC 20-CF-30-00-32-1A

1.在MAC地址的公司ID（高24 bits）和节点ID（低24 bits）中间插入FFFE；得到 20-CF-30-FF-FE-00-32-1A.
2.20为十六进制，转化为二进制为0010 0000,将MAC地址的U/L位（从高位开始的第七位）求反（invert）；
得到0010 0010，转化为16进制，即为22；

             20-CF-30-00-32-1A
                     |公司ID和节点ID之间插入FFFE
                     /\
                    /  \ 
           20-CF-30-FF-FE-00-32-1A
            |十六进制的20转化为二进制
            |
	00100000（20）
	      |将U/L求反
              |
	00100010（22）
最终得到结果为22-CF-30-FF-FE-00-32-1A.

EUI-64 应用：
以太网卡的 IPv6 Link-Local Address 是通过该接口的接口标识来构造的。当转换为冒号十六进制符号时,在EUI-64接口ID前面加上fe80::/64可以得到网卡的link-local地址。例子中MAC地址为20-CF-30-00-32-1A的网卡的link-local地址为FE80::22CF:30FF:FE00:321A.
无状态自动配置Stateless ,是通过dhcpdv6 server得到64位的前缀，加上EUI-64接口ID构成的(当转换为冒号十六进制符号时)；用来对一块以太网卡进行无状态自动配置的 EUI-64 前缀（IPv6 address prefix）的长度必须是64位。

IPv6 地址分类:
unicast 单播地址（单点传送）
multicast 组播地址（多点传送）-IPv6没有定义广播地址，用组播地址代替广播地址
anycast 任播地址（任一点传送）

IPv6地址 作用域：
link local地址 本链路有效
site local地址 本站点（区域）有效，一个site通常是一个企业内部或者一个校园网
global地址 全球有效，也即可汇聚全球单播地址

下面用表格列出IPv6地址分类，及IPv6地址与IPv4地址的对应关系和区别：  

常见 IPv6地址 及其前缀和特点：
  ::/128   即0:0:0:0:0:0:0:0，只能作为尚未获得正式地址的主机的源地址，不能作为目的地址，不能分配给真实的网络接口。
  ::1/128 即0:0:0:0:0:0:0:1，回环地址，相当于IPv4中的localhost（127.0.0.1），ping locahost可得到此地址。
  2001::/16   全球可聚合地址，由 IANA 按地域和ISP进行分配，是最常用的IPv6地址，属于单播地址。
  2002::/16   6 to 4 地址，用于6to4自动构造隧道技术的地址，属于单播地址。
  3FFE::/16    早期开始的IPv6 6bone试验网 地址，属于单播地址。
  FE80::/10    本地链路地址，用于单一链路，适用于自动配置、邻机发现等，路由器不转发以fe80开头的地址。
  FF00::/8   组播地址。
  FF01:1   node local scope all-node multicast address.　　 
   FF01:2   node local scope all-routers multicast address.
  FF02:1   link local scope all-node multicast address,属于本地链路范围内有效的地址， 路由器 不会对其作转发。
  FF02:2   link local scope all routers multicast address,属于本地链路范围内有效的地址， 路由器 不会对其作转发。
  FF05:1   site local scope all node multicast address,属于本地站点范围内有效的地址， 路由器 会在本企业内部作转发，相当于私网网址。 
  FF05:2   site local scope all routers multicast address,属于本地站点范围内有效的地址， 路由器 会在本企业内部作转发，相当于私网网址。
  ::A.B.C.D   兼容IPv4的IPv6地址，其中<A.B.C.D>代表IPv4地址。自动将IPv6包以隧道方式在IPv4网络中传送的IPv4/IPv6节点将使用这些地址。
  ::FFFF:A.B.C.D    是IPv4映射过来的IPv6地址，其中<A.B.C.D>代表IPv4地址，例如 ::ffff:202.120.2.30 ，它是在不支持IPv6的网上用于表示IPv4节点。

IPv6 地址表示方法

IPv6 地址 = 前缀（prefix） + 接口标识（接口ID）
其中：
前缀-相当于v4地址中的网络ID
接口标识-相当于v4地址中的主机ID
地址长度128bits，用冒号“：”将128比特分割成8个16比特的部分，每个部分包括4位16进制（16比特）
地址前缀用“/xx”表示，其中xx是数字
IPv6 地址例子：
2020:0000:0000:2020:0000:0000:0FFF:0010/64
4位的16进制2020即16位2进制 0010 0000 0010 0000
IPv6前缀（prefix）为2020:0000:0000:2020
接口标示（interface ID）为0000:0000:0FFF:0010
rfc2373定义了缩写模式：
1）每个16位分段中开头的零可以省略，例子可缩写成 2020:0000:0000:2020:0000:0000:FFF:10/64
2）一个或多个相连的全零分段可以用双冒号表示，例子可缩写成 2020::2020:0000:0000:0FFF:0010/64
3）双冒号只能使用一次
a.例子可缩写成2020::2020:0000:0000:0FFF:0010/64或者2020:0000:0000:2020::0FFF:0010/64
b.但是不可写成2020::2020::0FFF:0010/64，因为这样会造成歧义，不知道全地址是2020:0000:0000:0000:2020:0000:0FFF:0010/64还是2020:0000:2020:0000:0000:0000:0FFF:0010/64或者是2020:0000:0000:2020:0000:0000:0FFF:0010/64
根据上面3条规则，例子里的 IPv6 地址可以缩写成2020::2020:0:0:FFF:10/64或者2020:0:0:2020::FFF:10/64

 当处理拥有 IPv4 和 IPV6 节点的混合环境时，可以使用 IPv6地址 的另一种形式。即 x:x:x:x:x:x:d.d.d.d，其中，“x”是 IPv6地址 的 96 位高位顺序字节的十六进制值，“d”是 32 位低位顺序字节的十进制值。通常，“映射 IPv4 的 IPV6地址”以及“兼容 IPv4 的 IPV6地址”可以采用这种表示法表示。

IPv4一致地址：将IPv4地址嵌套在IPv6地址中（用于自动隧道和NAT-PT中）
IPv6地址的其它部分（不包括IPv4地址的部分）可以采用“首选或者压缩格式”-与IPv6地址的格式一样。
IPv6地址中内嵌的IPv4地址采用IPv4的十进制表示方法，地址前缀长度用“/xx”来表示。
例如：Ipv4地址162.166.6.6的一致地址为0:0:0:0:0:0:162.166.6.6/64
注意：此时IPv6地址中的IPv4地址表示方式还是点分制的十进制表示法，而非冒号分割。

0:0:0:0:0:0:162.166.6.6/64
           |
           |
           |——162.166.6.6 IPv4地址表示方式还是点分制的十进制表示法

    IPv6 的计划是创建未来互联网扩充的基础，其目标是取代IPv4，虽然 IPv6 在1994年就已被IETF指定作为IPv4的下一代标准，由于早期的路由器、防火墙、企业的ERP（Enterprise Resource Planning)系统及相关应用程序皆须改写，所以在世界范围内使用IPv6部署的公众网与IPv4相比还非常的少，技术上仍以双架构并存居多。IP协议是互联网体系结构的核心，它必须具备相对的稳定性。 IPv6 作为Internet Protocol的新版本，其根本目的是继承和取代IPv4。因此，人们在规划IPv6的时候，就把眼光投向了包括地址在内的上述重要需求，希望能够解决这些目前已经出现和将来可能出现的问题。从IPv4到IPv6的改变将不可避免的带来Internet上新的革命，无论是硬件还是软件都将有全新的发展。但是，原有的IPv4协议已经成功的实施了将近二十年，在Internet上，甚至有许多通信协议标准比Internet还要早，Internet协议和标准化是有一个简单的原则的：
只要可以应用现有的协议标准，就使用它们；只有当现有的标准不够时才制定新的协议，而且只要能够得到这些新的标准，而它们又能够提供等价的功能，就使用这些新的标准。

    所以， IPv6 协议的意图并不是排斥和避免已有的标准。它的产生只是因为传统的IPv4不能满足需要。在IPv6完全取代IPv4之前，不可避免的，这两种协议要有一个可能是相当长的共存时期， IPv6 可能需要在研究所和学术机构中进行足够的试验，才能象IPv4一样成功的投入商业运营。因此，从IPv4到IPv6要有一个过渡时期。

    IPv6 在IPv4的基础上进行改进，它的一个重要的设计目标是与IPv4兼容。制订 IPv6 时，IETF致力于产生一种开放的标准，因此他们邀请了许多团体来参加标准的制订过程，研究人员、计算机制造商、程序设计人员、管理人员、用户、电话公司以及有线电视产业都对下一代IP提出了他们的要求和建议。但是作为一种新的协议，从诞生于实验室和研究所到实际应用于Internet是有很大距离的。不可能要求立即将所有节点都演进到新的协议版本，所以在一定的时间内，IPv6将和IPv4共同存在共同运行。如果没有一个过渡方案，再先进的协议也没有实用意义，因此从IPv4网络向 IPv6 网络过渡的问题从一开始就列入了开发者的日程表。

在相当时间内， IPv6 节点之间的通信还要依赖于原有IPv4网络的设施，而且 IPv6 节点也必不可少的要与IPv4节点通信，我们希望这种通信能够高效的完成，对用户隐藏下层细节。同时，IPv4已经应用了十多年，基于IPv4的应用程序和设施已经相当成熟而完备，我们希望以最小的代价来实现这些程序在IPv6环境下的应用。所有这些都提出了从IPv4网络向 IPv6 网络高效无缝互连的问题。 对于过渡问题和高效无缝互连问题的研究已经取得了许多成果，形成了一系列的技术和标准。

预计在2025年以前IPv4仍会被支持，以便给新协议的修正留下足够的时间。

IPv6 能解决的核心问题与互联网目前所面临的关键问题之间出现了明显的偏差，难以给互联网的发展带来革命性的影响。与IPv4的各种地址复用解决方案相比， IPv6 能够降低复杂性和成本，然而目前却只有制造商较能够感受到这个优势，用户和运营商??无法直接感受到，导致产业链缺乏推动 IPv6 的动力。

     互联网快速发展至今，全球上网人数已经超过25亿。其中，在过去5年中，亚洲在全球新增网民中所占比率最高，达到53.8%。自互联网诞生以来，网民总量便在快速增长。与此同时，各种网络服务的规模也在急剧膨胀。

    传统的IP，即IPv4(Internet Protocol version 4)定义IP地址的长度为32位，仅能提供约2.5亿个IP位置，Internet上每个主机都分配了一个（或多个）32位的IP地址。32位的地址在DARPA时代的互联网络看来还是足够使用的，同时网络地址的分类（A、B、C、D、E类）和提取也提高了路由的效率。 但是在80年代早期，即使是最有远见的TCP/IP开发者们也没有预料到互联网会有后来的爆炸性的增长。Internet的设计者们没有想到今天Internet会发展到如此大的规模，更没有预测到今天Internet因为发展规模所陷入的困境。1987年统计表明可能将来需要分配多达100,000个网络，然而早在1996年这个记录已经被打破。自从1992年以来，特别是WWW服务普及之后，网络节点的数目开始几何级数的增长。

    地址短缺问题的根源有绝对的一面也有相对的一面。绝对的一面就是32位的空间是十分有限的；相对的一面就是，尽管现行的32位IPv4的地址结构可以为1670万个网络上的超过40亿台主机分配地址，但实际上的地址分配效率远远达不到这个数值，甚至在理论上也不可能。 网络增长不仅导致地址总数量的不够，也导致路由表的迅速膨胀。

    虽然目前的NAT、CIDR等技术可暂时延缓网络位置匮乏的现象，但是这都只是治标不治本的解决方式，IP地址不够用的问题很快就会浮现出来；为了解决根本问题，从1990年开始，互联网工程任务小组（Internet Engineering Task Force，简称IETF）开始规划IPv4的下一代协议，除要解决即将遇到的IP地址短缺问题外，还要发展更多的扩展，为此IETF小组创建IPng，以让后续工作顺利进行。IPng（IP Next Generation）问题就是在IPv4的地址空间出现危机时提出的，地址即将耗尽和路由表的过度膨胀是促使IPng问题产生的直接原因。1994年，各IPng领域的代表们于多伦多举办的IETF会议中正式提议 IPv6 发展计划，该提议直到1994年11月17日才被认可，1995年底确定了IPng的协议规范，分配了版本号6（版本号5已经被分配另一种草案），称为"IP version 6"（ IPv6 ），同现在使用的版本4相区别；1998年又作了较大的改动，并于1998年8月10日成为IETF的草案标准，最终 IPv6 在1998年12月被互联网工程研究团队（Internet Engineering Task Force，简称IETF）通过公布互联网标准规范（RFC 2460）的方式定义出台。

     现如今被称为CableLabs的认证电缆调制解调器， DOCSIS (有线电缆数据服务接口规范)是一个为电缆调制解调器的标准接口，用来处理电缆电视运营商和个人或公司的计算机或电视机顶盒之间的输入和输出数据之间的信号的设备。DOCSIS1.0是由国际电信联盟（ITU-TS）在1998年3月批准的。 虽然“DOCSIS”继续被使用，比较新的名称强调目前正在使用该标准来认证电缆调制解调器的制造商的产品。符合 DOCSIS 标准的电缆调制解调器已经上市。

    刚开始，有线电视运营商的客户使用的是非标准的电缆调制解调器， 可以在将之处理为向后兼容来支持有线运营商端的DOCSIS卡。由于DOCSIS不断发展到新版本，现有的调制解调器可以通过改电缆调制解调器的EEPROM存储器中变编程来升级到较新版本。DOCSIS标准的电缆调制解调器正被集成到机顶盒与电视机一起使用。DOCSIS还必须支持或衔接的高清晰度电视（HDTV）标准。机顶盒本身还必须遵循一个公认的标准的OpenCable。

    DOCSIS规定了在电缆上交换双向信号调制方案和协议。它支持的用户下行数据速率高达27 Mbps（兆比特每秒）的。
由于这个数据速率是由多个用户共享的，以及有线运营商受到单个T1连接到Internet的限制，单个企业或家庭的实际下行流数据率差不多在1.5至3 Mbps的。 由于上行的数据流不得不支持从用户来的小得多的数据量，它设计总数据传输速率为10 Mbps，给个人的数据传输速率是在500 Kbps和2.5 Mbps的。

  以上数据都是DOCSIS1.0规范根据的，后面版本的DOCSIS跟这些有所不同，以后会讲到。

注意：网络中搜寻而来，仅供参考，具体请咨询医生！！！

这几天到处逛逛，发现一个治疗儿童肺热感冒咳嗽的方子，分享一下，顺便也当作自己收藏咯：
“我家两个宝宝，过敏体质很容易咳嗽。
以前看西医都是阿奇霉素加中西药合成冲剂，加雾化。

后来看了这个中医，是刘渡舟老师学生。每次感冒咳嗽基本就是这个方子加减 4贴药，一般就好了。
药材在同仁堂抓，貌似比外面的药材好点。

桑叶皮 （桑叶+桑白皮）各6g 
菊花   6g 
地骨皮 6g 
生甘草 6g 
白茅根、芦根 各10g 
瓜蒌   10g 
陈皮   6g 
川贝   2g 
莱菔子 6g 
鱼腥草 10g 
钩藤   6g 
蝉衣   5g 
蜜炙枇杷叶 6g 
沙参   6g

一天煮两次 第一次两碗五分水煮到五分 第二次 二碗水煮到五分。

适合1岁以上小儿。
我听医生说，幼小的孩子，咳嗽多是肺热。我儿子一般我是看他舌苔，舌尖红，舌苔中后部有白色。
然后嘴唇会比平时红。
咳嗽有痰。
不需要加减，原方就好。一般如果孩子小，给他煮到4分，加白糖喝。
如果痰多，第一帖吃下去可能会咳得更厉害，甚至会吐，吐一些粘液状东西
然后就开始好转，一般4贴就好了。”

还未到7月，天气已经热得让人受不了。
我是相对来说很不怕热的人，今天已经差不多要汗流浃背了。
这种天气，不开空调，让人怎么活啊。
夏天穿 裙子 的人很多，因为裙子妩媚动人，飘逸，有女人味；但是有时候裙子不是很方便，这是为什么呢？因为怕走光啊。
所以，前段时间很尽心尽力地搜罗 长裤 。
总算找到一款夏天也可以穿的长裤咯：）

分享一下最近入的这条 休闲长裤

材质：最喜欢的是她的面料，是丝棉的，面料细腻手感丝滑，凉爽透气，不黏身，穿上感觉不到裤子的存在，极其舒适。

裤形：大大的阔腿裤，松紧腰，有抽带，两侧有口袋，裤脚抽带，可做灯笼裤穿，效果极酷，很有型。垂感灯笼裤是今年的大热噢！

洗涤：请不要用洗衣粉长时间浸泡，深色前几次洗会有轻微浮色

其它：身边的朋友人手一条，高矮，胖瘦，老少都能穿，最宜夏天穿着，外出旅游，居家,遛弯,练功，瑜伽，舞蹈都适宜！可休闲，可时尚！在这炎热的夏天，怕热又不想穿裙子的MM必备的选择！

下午去菜场；

一个印度人在同一个菜摊子前买菜；

他自己挑了一些菜之后，摊主向他推荐一个菜-米苋；

一点英文都不懂的摊主是如何把这个米苋推荐给印度人的呢？

目睹整个过程的我觉得自己真的是白学了十几年的英语了！

摊主：要买点米苋吗？（手上拿着一把米苋，在印度人面前晃了几次）

印度人：No，no。（边摇手）

摊主：买一点好嘞，很好吃的。（手上继续拿着，在他面前晃动）

印度人：No，no。（边摇头，然后双手划拉了几下，耸耸肩）

摊主：不难洗的，用刀切一下就好。（一手抓着米苋，另一只手做刀背状，切向米苋的根）

印度人：（没说话，双手做了一个掰开的姿势）

摊主：要一半是吧？（两手分开米苋，两只手各拿着半把）

印度人：（点点头）

然后摊主给他称好了。

分享  上海居转户 填表时的几个注意事项（续）

     17、原籍派出所的迁出证明需要填写原因，有些地方的派出所填写原音时只有“购房落户”和“投靠父母”，不能写“上海居住证转常住户口”；这种情况下，可填写“工作调动”，或者“其他”。
     18、合同如果是和公司签的无限期合同，则起止日期的起填入职时间，止先不填。
     19、身份证号码最后一位是X的请注意大小写。
     20、迁入迁出地址写明确、详细，要精确到“某某室”。

其他注意事项：
     21、已婚的同学，原户口本上最好先回原籍将“未婚”变更为“已婚”。
     22、需要变更居住证地址的同学，尽量早点变更，有些区域需要变更后1个月才给开无犯罪证明。

如果大家有碰到其他的注意事项，欢迎分享一下

翘首以盼盼星星盼月亮~~~盼呀盼呀~~~今天是2013年6月18 日，大家期待已久的“2013年4养保实缴记帐在网站 12333  上总算可以看到啦； 社保缴费年度内实际缴费月数 和 2013年5月的社保应缴数额也更新啦。需要打印最新社保的同学赶紧啦~~~ 今天网站终于update最新数据啦，有些同学今天从83变84啦~~ 恭喜恭喜，赶紧提交吧。祝愿大家 上海居转户 顺顺利利

参保个人城镇基本养老保险缴费情况

上海居转户填表时的几个注意事项

     1、姓名：(包括少数民族译名) 填写户籍登记所用的名字，用字要固定。“曾用名”(包括笔名)应填写使用较多、影响较大的。
     2、出生日期：按公历填写到日。
     3、籍贯：填写本人的祖居地(指祖父的长期居住地)。
     4、“籍贯”和“出生地”按现行政区划填写，要填写省、市或县的名称，如“江苏东海”、“上海”等。
     5、照片：为1寸正面免冠彩色照片。
     6、毕业院校：按最高学历毕业院校填写。
     7、毕业时间：指最高学历毕业时间，填至月，如1998年7月毕业，应填1998.7。
     8、所学专业：应与前面已填写的“毕业院校、毕业时间”相互对应一致。
     9、工作单位：指目前所在工作单位，填写工作单位全称。
     10、工作岗位：以本人从事的工作性质为准，并与签定的劳动（聘用）合同相一致。担任两个岗位以上的,要同时填写,如： “副总经理、总工程师”等。
     11、专业技术职务：填写主管部门评定或通过全国统一的专业技术资格考试或通过以聘代评方式获得的中级及以上的专业技术职务。
     12、职业资格：填写内容与职业资格证书内容相一致。
     13、申请人简历：要连续填写,不得间断。全日制大、中专毕业后首次参加工作的，从就读全日制大、中专开始填写。未就读全日制大中专的，从首次参加工作开始填写。
     14、获得省部级以上政府奖励情况：由符合《办法》第六条第（一）项激励条件的人员填写。
     15、最近连续3年缴纳城镇职工社会保险基数：由符合《办法》第六条第（三）项激励条件的人员填写。
     16、最近连续3个缴纳年度每年纳税额、最近连续3年每年聘用本市员工人数：由符合《办法》第六条第（四）项激励条件的人员填写。

上海居转户20130605公示人数总共149人，各区人数分布如下：  

上海居转户公示时间及人数汇总 

上海居转户受理网店地址及代码

上海居转户过程中比较麻烦的过程：

1.税单
税单要求从2006年1月1日到提交材料上月的个人所得税完税证明；税单从2006年1月1日起至上月不能有中断，自己先去所在区税务局打印出来看看，若是有中断的，麻烦单位人员帮你办补缴或零申报，然后重新打税单；如果不是你先所在的公司发生的补缴，那需要到原来公司找财务人员帮你忙。

2.社保
社保硬性条件是要满84个月，上网上上查，满84个月时开始申请；若是社保有补缴，则需单位另外开补缴情况说明，再拿社保的补缴凭证。如果不是你现在所在公司发生的补缴，恭喜你“中奖”了，赶紧找原单位HR吧！

3.婚育证明
这个婚育证明比较难开，是因为你在户籍地待得时间不多，他们不一定知道你的婚育情况，不知道婚育情况就不好开了；
>先到户籍所在地居委会开（事先电话问清要什么条件才给开，因你已离开多年，如要单位出证明，则先让单位开个证明）；
>再到所属街道盖章（即所谓居委、街道二级章）；
>持户籍所在地开具的婚育证明，再到居住地居委会开个证明；
>然后到居住地街道再开个证明（上海这份婚育证明是固定格式的）。

4.无犯罪记录证明
也是先到户籍地开，各地开法不一样，有些地方当场拿不到，要若干工作日后拿，只好托友人代取了。
持户籍地再到居住地派出所开，建议直接找管你片的户籍警，专业人士效率高。

5.档案
材料受理的同时会要求调你的档案，如果你的档案在办理居住证时已经到上海，这一步你就轻松了；
如果当时没有调档案，麻烦还是有一点的，你先打电话查询档案中的材料，如果没有你与原户籍所在地解除劳动关系的证明文件，那么你需要再找到你服务过的单位，挨家把离职证明开好，一并放入档案。

小结：材料准备好，上交到人才服务中心受理窗口，注意税单和社保要后打，因为要的是最新的。

6.户口迁移
公示通过后，人才会打电话通知取材料，材料有多份，注意不要遗失就是了。
先到居住地（要落户的）分局（注意是分局不是派出所），对方收走两份材料，会给你开《准予迁入证明》，
你持这份东西就可以到户籍地迁移了。
户籍地开出《户口迁移证》后，还要到人才的受理窗口打印《申报户口证明信》；
然后到落户地派出所报户口。报户口需拍照，到派出所指定地点拍照；
然后返回派出所拿户口本，30日后用旧的身份证到派出所换新证。OK。

想要办理上海居转户的朋友，当准备好了上海居转户所需材料清单里的所有材料以后，就可以提交材料了。

审批期限：

初审期限： 15个工作日

审核：30个工作日

公示期限：15个工作日

公示结束后，首先要恭喜你，会通知拿材料。

先去区人才拿材料->落户区公安分局拿准迁材料->户口所在地派出所拿准迁证->审核区人才拿介绍信->落户派出所

注：

1.有的区是直接给落户介绍信，有的区是迁移证办好后再去换；

2.去派出所落户时，有的派出所照片拍不了，会给你一个单子，凭单子去指定的地方拍照，拍好照再回派出所；

3.户口本当场可以拿到，身份证大约一个月可以拿到。

上海居转户的要求里面，税单是硬性要求，从06年1月1日开始的税单必须是连续的，这叫个人所得税完税证明；期间可以有两种情况断：

1）失业，社保和税同时没有。

2）产假领生育金，交给他当时的生育金领取单，他们自己会算时间。

补〇申报要当时所在的公司出面补。公司把材料准备好自己去补也可以，记住一定要带上自己的身份证。需要当时的劳动合同，工资单，个税申报表2份盖公章，单位出情况说明盖章，报税软盘（可以到税务局电脑上现场做）。如果是中间断两头都是这家公司交税的，审核起来容易。如果后面是别的公司交的，可能会需要提供离职证明。

以下是各区的〇申报方法（暂不全，会尽力补全）：

徐汇区：零申报的话，请财务带着办税员卡，盖过章的申报表，到税务局做好申报软盘，就可以申报了。
长宁区：零申报的话，到原公司做好申报软盘，可以存在U盘里，带着自己身份证，就可以申报了。

上海居转户

审批条件

一）准予批准的条件：申办条件：持证人员申办本市常住户口应当同时符合下列条件：

1、持有《上海市居住证》满7年；

2、持证期间按规定参加本市城镇社会保险满7年；

3、持证期间依法在本市缴纳所得税；

4、在本市被聘任为中级及以上专业技术职务或者具有技师（国家二级以上职业资格证书）以上职业资格，且专业及工种对应；

5、无违反国家及本市计划生育政策规定行为、治安管理处罚以上违法犯罪记录及其他方面的不良行为记录。

激励条件 ：持证人员符合下列条件之一的，可以优先申办本市常住户口：

1、在本市作出重大贡献并获得相应奖励，或在本市被评聘为高级专业技术职务或高级技师（国家一级职业资格证书）且专业、工种与所聘岗位相符的，可不受前述第1、2项规定的持证及参保年限的限制；

2、在本市远郊地区的教育、卫生等岗位工作满5年的，持证及参保年限可缩短至5年；

3、最近连续3年在本市缴纳城镇社会保险基数高于本市上年度职工平均工资2倍以上的，或者最近连续3年计税薪酬收入高于上年同行业中级技术、技能或管理岗位年均薪酬收入水平的，技术管理和关键岗位人员可不受前述第4项规定的专业技术职务或职业资格等级的限制；

4、按个人在本市直接投资（或投资份额）计算，最近连续三个纳税年度内累计缴纳总额及每年最低缴纳额达到本市规定标准的，或者连续3年聘用本市员工人数达到规定标准的，相关投资和创业人才可不受前述第4项专业技术职务或职业资格等级的限制。

前款所称的重大贡献奖项范围，计税薪酬收入标准，技术管理和关键岗位范围，投资纳税数额和用工人数标准，由相关管理部门适时公布。

（二）不予批准的情形：

申请人不符合以上条件。

上海居转户所需材料清单（大图）