业界新闻 连源动态
校园网络维护探讨
发表日期:2015/9/8 0:00:00     来源:     浏览量:302

校园网络的蓬勃发展给网络管理者带来了很大的挑战和麻烦。文章主要对网络管理和维护进行了探讨。根据目前已有的防火墙技术并结合自身的经验对校园网络提出一套管理和维护的方法。深入剖析了ARP病毒的攻击原理并给出了整体解决方案,该方案旨在既保证网络安全又能提高网络的传输效率。

0 引言

随着科技的进步,网络也逐渐成为了人们在工作、生活中不可缺少的一部分,人们在享受网络带来的乐趣的同时也对网络的服务和质量提出了更高的要求。从目前网络发展的情况来看,高校的网络得到了较快的发展,每个院校都拥有自己的校园网络。校园网络的快速发展所带来的问题就是网络规模急剧膨胀、网络用户数量快速增长。目前校园网络已应用到教学方面,成为了教育行业不可或缺基础设施之一,保证校园网络能够快速、稳定、安全成为了网络管理人员的头等大事。   

1 校园网络管理

1.1 Vlan划分

校园网络的不断膨胀和用户的不断增多,会带来许多的问题,例如网络安全、IP地址冲突等。解决这些问题的一个办法就是划分Vlan(virtual local area network,虚拟网络),将网络配置成几种不同的安全级别模式。这种方法主要应用于校园网络以及用户的隔离,使得网络数据包在很小的网络范围内传输,确保校园内部的网络信息不被远程的主机节点所访问。

1.2划分Vlan的作用

划分Vlan的主要作用有两个,其中一个是保证网络的安全,阻止那些未经授权的主机,擅自访问校园内部资源;另一个作用就是减少广播在网络中的传播范围,将广播隔离到一个小的子网中,提高网络的传输效率。校园网络可以按照机构或部门进行划分Vlan,也可以按照教学楼划分,这样可以使得各个部门的主机、内部服务器等都在自己Vlan中内工作,且相互不会干扰。

1.3 IP地址

当用户主机接入校园网时,需要给其分配一个IP地址。如果给其固定一个IP地址,则不够科学,而且不好管理。例如在用户电脑非常多的情况下,当一个用户随意修改自己电脑的IP地址时,可能会导致IP冲突。所以最好使用DHCP服务器来给校园主机分配IP地址,这样不仅用户不需要手动配置IP地址,而且容易管理,只要用户把电脑的IP设置为自动获取就可以达到“即插即用”的效果,而且也能保证子网当中不会出现IP冲突等问题。现在的三层交换机都具备DHCP服务器的功能,只要启动DHCP服务,就可以为一子网分配IP地址。

1.4 防火墙

校园网络当中使用大量的应用性服务器,极易成为黑客攻击的目标。为确保这些服务器能够正常、稳定的工作,我们需要一些软硬件设备使其与外部网络隔离,对此,防火墙是最佳的选择。防火墙是设立在内外之间的一道安全屏障,可以有效防止外部用户在未授权的情况下非法访问校内资源。各个高等院校可以根据自己的需求来设置防火墙的过滤规则,网络管理人员可以随时查看防火墙的日志,及时发现异常的记录,并采取必要的安全措施。

目前的防火墙根据其技术的不同大体上可分为以下几种。   
     包过滤型,目前,包过滤型防火墙仍然是保护内部网络的最主要的技术。这种防火墙当接收到外部网络连接请求时,首先根据数据包的信息来判断一下是否来自可信网络,如果发现是来自危险站点的通信数据包,便丢弃掉,不让此类数据包通过防火墙。防火墙的判断规则是由网络管理员根据实际的情况来制定的,这些过滤信息存储在防火墙的通信端口之中,防火墙利用这些规则来审查通过该端口的每一个数据包,根据其包头信息和通信地址来判断是丢弃该数据包,还是让其通过。    
     代理型代理型防火墙又称代理服务器(Proxy Server),它的安全性能要高过包过滤型防火墙,主要在于代理服务器应用于客户端和服务器的之间,不允许两者直接通信。其原理是:当内部主机需要连接外部服务器时,首先向代理服务器发送连接请求,由代理服务器检查该请求是否合法,然后再由代理服务器以客户机的形式向真正的服务器发送数据请求;当数据返回时,数据先返回到代理服务器,由代理服务器检查数据是否合法,然后才把数据发给真正需求的主机。代理服务器技术的关键在于它切断了内网、外网的数据通道,当有连接请求时必须要通过代理服务器,这样保证了内网的安全性;并且当下次请求同一数据时,可以直接从代理服务器取得,不必再经过外网,提高了网络的速度。   
     状态监测型状态监测型防火墙安全性能远远高出了传统包过滤防火墙,它的包过滤规则不是静态的,而是利用先前数据包进行归纳分析获取数据包的一些状态信息动态地生成过滤规则。而且根据这些规则对防火墙可以主动的、实时地对网络各层进行监控。

2 校园网络维护

(1)网线故障   
     网线连接问题在校园网络故障中是最常见的。处理此一类故障首先可查看一下连接网卡的网线是否松动、断线。测试网线是否断线的工具就是网线测线器,利用此仪器可以非常直观地检测出每根网芯工作情况。一般来说,在100M校园网络中,只要1、2、3、6网芯是连通的就可以保证此网线可以正常使用。      
     (2)IP地址故障   
     在校园网络当中划分子网是非常容易管理的,但是也会给用户带来一些麻烦。例如在某一子网当中,用户给自己的电脑指定了一个IP地址,这种情况下用户在这个子网之外是不能获得网络服务的,此时必须设置电脑采用“自动获取IP地址”。具体步骤如下(以XP系统为例):首先,在桌面上选中“网络邻居”单击鼠标右键→属性,然后再选中“本地连接”_→“属性”→“Internet TCP/IP协议(TCPfiP)”→“自动获得IP地址”。      
     (3)核心设备   
     目前,在高校当中,几乎每一个校区都会有一到两个核心设备,而且对核心设备的使用方法有所不同。笔者对核心设备的使用方法建议如下:首先把各子网的路由信息汇聚到一个交换机上,然后再连接到核心设备上,即核心设备只应用于交换,不应用于路由。这样做的好处是:当某一个子网的主机感染病毒,发送了大量数据包,最多只会把信息汇聚到交换机的资源消耗掉,但不会影响到核心设备以及其他子网的正常通信。如果把路由应用在核心设备上,一旦发生以上问题,不但会消耗掉核心设备资源,而且还会影响到其他子网的正常通信。      
     (4)病毒   
     在校园网络当中最常见的病毒就是ARP病毒,其发作的迹象就是间断性的断网。原因是本来流向主干网络的大量的信息却流向了病毒主机,而且这些大量的数据包可能使得本网段拥塞,所以使得网速变得很慢或者直接断网。   
     ARP(Address Resolution Protocol,地址解析协议)用于IP地址到MAC地址的映射。这一对映射是很有必要的,因为在网络层及其以上的层次传输数据时,必将经过物理层,然而物理层却并不能识别这些协议。但是此协议也有自己的缺陷,不法分子可以通过伪造IP和MAC的映射来制造ARP攻击,轻则造成被攻击的主机经常断网,重则是截取被攻击主机的重要信息,使受害者蒙受巨大损失。   
     一般来说,ARP欺骗是在篡改ARP缓存表的基础上实施的。ARP病毒有两种攻击形式。一种是主动攻击形式,即恶意更改害主机ARP缓存中的IP和MAC映射。例如在某一局域网当中存在以下几台主机(IP/MAC):   
     A:192.168.1.1   
     AA--AA--AA--AA--AA--AA   
     B:192.168.1.2   
     BB--BB--BB--BB--BB--BB(网关地址)   
     C:192.168.1.3   
     CC--CC--CC--CC--CC--CC   
     D:192.168.1.4 DD--DD--DD--DD--DD--DD   
     在正常情况下,A可以利用自己ARP缓存表中的信息或者使用ARP协议跟D正常通信,若c向A发送ARP数据包,其内容是(192.168.1.4,CC-CC-CC-CC-CC-CC),A收到此数据包时,会修改自己的ARP缓存表,把D的物理地址修改为:CC-CC-CC-CC-CC-CC,此时当A再向D发送数据时,数据包首先发送到c,即c截取到了A数据包。另一种攻击模式是被动攻击,即攻击主机并不主动去修改受害主机的ARP缓存表,而是当受害主机发送ARP协议询问包时,再进行应答,实施欺骗攻击。   
     可以看出ARP协议默认所有的ARP数据包都是可信的。   
     以下给出防御ARP攻击的思路。   
     (1)配置静态记录   
     在目标主机上建立一个静态的ARP表,这样能够防御ARP攻击。但是不足之处是破坏了ARP动态刷新的过程,需要实时修改ARP表,工作量大,且不好维护。   
     (2)在交换机上启动DHCP Snooping和DAI服务   
     DHCP Snooping主要作用是:屏蔽掉非法的DHCP服务器,使用户获取到正确的网络地址;建立、维护一张动态的DHCP-Snooping表。该表格是用DHCP ack数据包中的IP/MAC映射对生成的,是DAI技术的基础。DAI技术原理只是截取网络当中的ARP数据包,验证此数据包当中的MAC~P映射是否合法(与DHCP-Snooping表进行比较),如果验证成功就转发,否则丢弃此数据包。

3 结束语

网络维护人员可以利用本文提供的一些经验和方法来排除实际运行维护中的网络故障。但是网络维护人员只有在熟练掌握网络知识和积累一定的工作经验之后,才能对校园网络进行合理的、科学的优化,创建―个快速、稳定、安全的校园网络环境。