校园网中常见问题分析及对策

所属栏目:计算机网络论文 发布日期:2010-09-18 08:18 热度:

  【内容提要】随着各个学校校园网络的建设,校园网络的管理问题便凸显出来,如何才能有效的管理好网络,使网络为人们的工作学习提供更多的便利。同时我们如何防范恶意的攻击者以及管理好网络中的用户问题也摆在我们网络管理员的面前,本文就作者在校园网络管理中所经常遇到的问题进行分析并提出解决问题的方法。
  【关键字】计算机,网络,故障,维护,ARP
  
  随着计算机的广泛应用和网络的日趋流行,功能独立的多种计算机系统互联起来,形成日渐庞大的网络系统。网络带来的便利及信息内容的丰富使得计算机网络在学校中越来越流行,我校也是借助信息革命的东风构建了校园网。然而网络的定义决定了它在运行过程中不可能一帆风顺。本文就取材于我个人在校园网络的维护方面遇到的一些问题并进行分析进而提出解决的方法。
  在校园网络中常见的故障主要分为这样几类,分别是:私自更换IP地址;在网络中形成回路;下载文件堵塞网络;病毒攻击导致网络瘫痪。
  1私自更换IP地址形成IP地址冲突
  在我校校园网建成初期我们几个网络管理人员几乎每天被这一问题困扰。早期校园网络较小,仅供部分教师上网,同时大部分教师不懂网络,所以我们采用DHCP让他们自动获取到地址,后来机器数量增多了有懂些网络知识的老师为了地址固定,就不用获取而是设定了一些固定的地址,这样DHCP服务器就有可能会将先连入的机器分配一些被设为固定的地址,于是被设了固定地址的机器就不能使用那个地址,机器的使用者就会盲目更换地址,造成整个网络地址冲突。针对上述问题,我提出了将所有的地址登记并分配固定IP地址,但是仅仅这么做还不行,他们还是会经常更换,最后我将IP地址和网卡地址绑定,私自更换IP地址或网卡地址都无法上网,这样才解决了私自更换IP地址形成IP地址冲突的问题。
  2在网络形成回路
  所谓回路就是网络中存在环!例如两台交换机相连,应该使用一条线相连,达到级联的效果,如果使用两条线连接,就构成了回路。回路产生的根本原因是由于交换机的工作原理造成。当交换机中有新机器接入,交换机会产生一个机器MAC地址和交换机端口的对照表,然后该交换机将该表传到相邻的交换机,在相邻的交换机的另一个端口又穿回来,从而又增加一个MAC地址表,这样无限制的传输会引起网络带宽用尽,从而使网络瘫痪。
  人们都知道形成回路会影响网络,但是在实际网络中,这种情况是很容易发生的。例如我曾经就在我校一个办公室中看到这样的情况:由于网络接口模块不够,他们就在办公室中增加了一个交换机,共接了五台电脑,后来有一人搬走留下一根网线的一端放在那里,来了一个新人看见这条线没有接好就接回了交换机,他这一错误的行为导致整个网络马上耗尽了所有的带宽,整个网络堵塞无法联网,经过仔细排查我发现一台交换机上的数据量特别大,于是就怀疑是该交换机所连接的局部网络的问题,将该交换机断开网络后,网络马上恢复正常。我仔细检查与该交换机相连接的网线,发现有一根从交换机接出的网线又接回了交换机,刚好形成了回路。
  针对校园网中存在的这一问题,我查阅了相关的资料后,了解到该网络中的交换机可以配置生成树协议来消除回路,于是我将所有的交换机都配置了生成树协议,使得环路自动消失,同时也解决了另外一个困扰我的问题。由于早期网络建设我没有多少经验,所以我在设计的时候也考虑为整个网络做一个链路备份,但是担心形成回路,所以就放弃了,现在配置了生成树协议后,我就将网络的链路加做了备份从而形成如下图所示的安全链路。在四台交换机A、B、C、D之间形成了多条备用链路。
  
  
  表1.jpg
  
  3下载文件堵塞网络。
  所谓下载文件堵塞网络,对我校来说,就是在学校内部有些老师喜欢音乐和电影,于是他们就用迅雷、BT、电驴等下载工具下载大量的音频视频文件,使得整个的带宽被耗尽,导致其他的老师想打开网页都困难。相信这一现象在很多的局域网内部普遍存在。本人向一些负责这方面工作网络管理员了解过,他们大多采用劝说,让其自觉遵守网络管理规定,在网络空闲时段下载,但收效甚微,并不能从根本上解决问题。
  对于我校网络中存在的这一问题,加之网络使用者有老师、学生、及其他的教职工,人员庞杂,这种方法根本行不通,只能从技术上来解决这一问题。为了解决这一问题我查阅了大量的资料对我校现用的路由器交换机的功能有了全新的了解之后,我将网络按照科室划分了VLAN,每个VLAN中分配一定的带宽,这样基本解决一人下载全校网络都很慢的问题,虽然不影响其他科室的人,但是还是会影响到本科室的人,并没有从根本上解决问题。最后,只能够采用每IP地址限速,就是为每个IP地址分配一定的带宽,限制每个IP地址的流量。设置如下图所示:
  
  表2.jpg

  但是这样又会带来新的问题,那就是带宽的浪费,确实需要下载文件的人也无法获得更大的带宽。针对这一问题,我采取了两个措施,一是对于一些平时确实较多需要下载大文件的IP带宽分配的大些,二是当网络有空余的带宽时,任何一个IP都可以使用多余的带宽。设置如下图所示:
  
  表3.jpg

     表4.jpg
 
  4病毒攻击导致网络瘫痪
  这种情况存在多种可能,其中比较常见的是ARP病毒攻击。这种病毒攻击导致网络瘫痪是人为故障中最难解决的。下面就ARP攻击如何解决做详细阐述。
  要想解决这一问题首先要了解ARP是什么以及它的工作原理。我们知道,当我们在浏览器里面输入网址时,DNS服务器会自动把它解析为IP地址,浏览器实际上查找的是IP地址而不是网址。但是网络信息传输只知道IP地址并不行,必须知道对方的MAC地址,那么IP地址是如何转换为第二层物理地址(即MAC地址)的呢?在局域网中,这是通过ARP协议来完成的。通过伪造IP地址和MAC地址实现ARP欺骗,能够在网络中产生大量的ARP通信量使网络阻塞,这就是ARP病毒。那么什么是ARP协议呢?ARP——地址解析协议。在TCP/IP网络环境下,每个主机都分配了一个32位的IP地址,这种互联网地址是在网际范围标识主机的一种逻辑地址。为了让报文在物理网路上传送,必须知道对方目的主机的物理地址。这样就存在把IP地址变换成物理地址的地址转换问题。以以太网环境为例,为了正确地向目的主机传送报文,必须把目的主机的32位IP地址转换成为48位以太网的地址。这就需要在互连层有一组服务将IP地址转换为相应物理地址,这组协议就是ARP协议。
  下面介绍ARP的工作原理,分为两种情况:
  1)在同一个网段内
  假设主机A和B在同一个网段,主机A要向主机B发送信息。具体的地址解析过程如下:
  (1)主机A首先查看自己的ARP缓存表,确定其中是否包含有主机B对应的ARP表项。如果找到了主机B对应的MAC地址,则主机A直接利用ARP表中的MAC地址,对IP数据包进行帧封装,并将数据包发送给主机B。
  (2)如果主机A在ARP缓存表中找不到对应的MAC地址,则缓存该数据报文,然后以广播方式发送一个ARP请求报文。由于ARP请求报文以广播方式发送,该网段上的所有主机都可以接收到该请求,但只有被请求的主机B会对该请求进行处理。
  (3)主机B比较自己的IP地址和ARP请求报文中的目标IP地址,如果相同则将ARP请求报文中的发送端主机A的IP地址和MAC地址存入自己的ARP表中,之后以单播方式发送ARP响应报文给主机A。
  (4)主机A收到ARP响应报文后,将主机B的MAC地址加入到自己的ARP缓存表中以用于后续报文的转发,同时将IP数据包进行封装后发送出去。
  2)在不同网段间
  当主机A和主机B不在同一网段时,主机A就会先向网关发出ARP请求报文。当主机A从收到的响应报文中获得网关的MAC地址后,将报文封装并发给网关。如果网关没有主机B的ARP表项,网关会广播ARP请求,目标IP地址为主机B的IP地址,当网关从收到的响应报文中获得主机B的MAC地址后,就可以将报文发给主机B;如果网关已经有主机B的ARP表项,网关直接把报文发给主机B。
  在了解了这些以后,我们平时就应该在网络中做如下的防范措施:
  1)IP地址和MAC地址的静态绑定
  (1)在用户端进行绑定
  ARP欺骗是通过ARP的动态刷新,并不进行验证的漏洞,来欺骗内网主机的,所以我们把ARP表全部设置为静态可以解决对内网的欺骗,也就是在用户端实施IP和MAC地址绑定,可以在用户主机上建立一个批处理文件,此文件内容是绑定内网主机IP地址和MAC地址,并包括网关主机的IP地址和MAC地址的绑定,并把此批处理文件放到系统的启动目录下,使系统每次重启后,自动运行此文件。
  批处理文件内容如下:
  
  arp-s本机IP地址本机MAC地址
  arp-s网关地址网关MAC地址
  
  这里要注意,当网关的地址改变,该批处理文件一定要及时改动否则无法联网。
  (2)在交换机上绑定
  在核心交换机上绑定用户主机IP地址和网卡的MAC地址,如果用户随意改变自己的IP地址或者MAC地址,就无法连入互联网。如下图所示:
  
  表5.jpg
 
  同时在边缘交换机上将用户计算机网卡的IP地址和交换机端口绑定的双重安全绑定方式。这样可以极大程度上避免非法用户使用ARP欺骗或盗用合法用户的IP地址进行流量的盗取,可以防止非法用户随意接入网络,网络用户如果擅自改动本机网卡的IP或MAC地址,该机器的网络访问将被拒绝,从而降低了ARP攻击的概率。
  2)采用VLAN技术隔离端口
  我们可根据需要,将本单位网络规划出若干个VLAN,当发现有非法用户在恶意利用ARP欺骗攻击网络,或因合法用户受病毒ARP病毒感染而影响网络时,我们可先找到该用户所在的交换机端口,然后将该端口划一个单独的VLAN,将该用户与其它用户进行隔离,以避免对其它用户的影响,当然也可以利用将交换机的该端口关掉来屏蔽该用户对网络造成影响。
  3)防火墙和杀毒软件
  可以安装ARP防火墙或者开启局域网ARP防护,比如360安全卫士等ARP病毒专杀工具,并且实时下载安装系统漏洞补丁,关闭不必要的服务等来减少病毒的攻击。
  随着互联网的推广普及,其社会化、大众化的特征必然给网络管理员带来新的挑战,作为其缩影的校园网络当然也不例外。但是我相信只要我们网络管理员努力钻研,与时俱进,就能掌握合适的方法来破解我们所面对的一个又一个的难题。

  搜论文知识网致力于为需要刊登论文的人士提供相关服务,提供迅速快捷的论文发表、写作指导等服务。具体发表流程为:客户咨询→确定合作,客户支付定金→文章发送并发表→客户接收录用通知,支付余款→杂志出版并寄送客户→客户确认收到。鸣网系学术网站,对所投稿件无稿酬支付,谢绝非学术类稿件的投递!
 

文章标题:校园网中常见问题分析及对策

转载请注明来自:http://www.sofabiao.com/fblw/dianxin/wangluo/4210.html

相关问题解答

SCI服务

搜论文知识网的海量职称论文范文仅供广大读者免费阅读使用! 冀ICP备15021333号-3