高校校园网络构架设计与实践张XX

1、高校校园网络构架设计与实践 （ 1. 中国政法大学现代教育技术中心 北京 100088; 摘要： 本文针对高校网络普遍存在的病毒和 ARP 攻击导致网络瘫痪的问题，提出了从网络架构上解决 ARP 和病毒攻击问题的思路，并提供了具体的网络架构设计方案通过在汇聚层设备实现接入用户的 VLAN 隔离，从而减少各种病毒和 ARP 攻击。本设计思想在中国政法大学校园网络中得到应用和验证，实施效果良好，经济可行。最后结合高校网络的未来发展趋势，提出了一些思路和建议，供大家探讨。 关键词： 高校网络 网络架构 网络设计 一、前言 校园网络是实现高校教育信息化的重要设施。一个良好的校园网络不仅成为学校内部管理

2、、培养高素质人才的基础平台，也成为高校提高自身科研效率和创新能力的必备条件。经过多年的建设，国内大多数高校都建成了自己的校园网络。由于高校的环境特别适合以太交换网技术的应用，所以几乎所有高校在网络建设时都采用了高带宽的以太交换机、基于二层或三层组网技术来组建自己的园区网络，具有低延时、高带宽的校园网络应用起来本该一帆风顺，然而实际情况并非如此。目前大家一谈到高校校园网应用的现状，网络安全是大家不约而同关注的焦点，特别是病毒泛滥和 ARP 攻击。随着计算机病毒传播及黑客攻击手段越来越智能，影响范围也越来越广、破坏力也越来越大，特别是局域网常见的 ARP 攻击成为高校网络的头号杀手，它随时都可能导

3、致部分或整个网络中断或瘫痪，严重影响高校网络的有效使用。近年来，尽管许多网络设备提供商和安全设备提供商针对这一问题提供了一些新的技术解决方案，如 DHCP Snooping 、终端认证 +IP+MAC+Port 绑定、 IP Source Guard 、 Dynamic ARP Inspection 、 ARP 防火墙等，但由于这些技术要么由于需要更换数量巨大的现有接入设备、要么由于管理工作量太大不易部署、要么由于自身的处理能力限制成为新的攻击瓶颈等诸多原因，一直没有得到大规模应用。与此相反，从 ARP 攻击原理入手，研究如何从网络架构上来隔离和根除 ARP 攻击成为一种解决校园网络安全问题的

4、更加经济有效的手段。通过对校园网络和电信网络的对比分析后发现，借鉴电信网络架构，重新审视高校网络架构设计，可以有效解决校园网络安全问题，特别是 ARP 攻击带来的网络不稳定等问题，提供校园网络的安全性和稳定性。 二、过去的网络状况 中国政法大学校园网于 1998 年筹建， 1999 年招标， 2000 年实施，至今整十年。初期校园网建设采用流行的千兆以太网，两个校区各一台三层交换机作为核心，其它均为二层交换机。网络采用两层结构，核心交换机之间采用三层架构组网，核心交换机以下采用二层架构组网，接入网络规划设计的网段较大，大多以一个 C 类地址划分，一栋楼为一个网段。由于计算机数量较少，网络仅仅开

5、通办公区和部分学生宿舍，使用中没有任何问题，沿用较长时间。 2003 年，著名的非典事件中和非典后，网络应用以及计算机数量急剧增加，为了适应新的需要，调整和修改了原来的网络构架，每栋楼（或几栋楼）采用一台三层设备作为汇聚设备，汇聚设备以上采用了三层网络构架，汇聚设备以下作为接入网络，采用二层设备，并将接入网络细分为每层楼一个网段，依旧是以一个 C 类地址划分。此构架在之后发生的数次大规模网络病毒爆发时间中表现良好，未发生过全校网络瘫痪的情况。未发生过全校网络瘫痪的原因是，攻击一般会导致楼宇核心瘫痪，而楼宇核心的瘫痪，就阻断了向校园网核心的攻击。而同期采用纯二层网络架构的其它兄弟院校基本都发生过

6、全网瘫痪的情况。 2007 年前后， ARP 攻击方式出现，频繁发生的 ARP攻击和病毒泛滥，给校园网络造成了严重的影响，导致用户满意度非常差，校园网络管理工作效率也非常低下。在校园网内曾经发生过这样的极端现象，新计算机接入网络后，不到十分钟就感染病毒然后就系统崩溃，重新装机后很快又再次崩溃的现象，最后到网络中心安装并打好补丁后才能回去使用。很多高校开始研究应对措施，当时采用了一些有效的应急措施，由于与网络设计无关，不做赘述。同时，各个网络设备提供商提供了基于交换机的防 ARP 攻击方案，甚至有的网络安全设备提供商推出专用的防 ARP 攻击防火墙设备，但这类设计和方案由于各种原因没有流行。 三

7、、新的网络设计 2008 年，由于无法忍受 ARP 攻击的影响，又由于学校资金限制，无法把大量的现有接入交换机更换成支持抗 ARP 攻击的接入交换机，迫不得已，开始思考如何从网络架构设计来解决 ARP 攻击问题，特别是研究如何主动避免 ARP 攻击而不是被动应对 ARP 攻击问题。研究发现， ARP 攻击 就是通过伪造 IP 地址和 MAC 地址实现 ARP 欺骗 ，能够在网络中产生大量的 ARP 通信量使网络阻塞，攻击者只要持续不断的发出伪造的 ARP 响应包就能更改目标主机 ARP 缓存中的 IP-MAC 条目，造成网络中断或中间人攻击； ARP 攻击主要是存在于像校园网这样基于二层共享网

8、络架构的网络中，二层共享网络中若有一台计算机感染 ARP 病毒，则感染该 ARP 病毒的系统将会试图通过“ ARP 欺骗”手段截获所在网络内其它计算机的通信信息，并因此造成网内其它计算机的通信故障。另外，二层共享网络环境传播的病毒和攻击行为，在所有网络病毒传播和攻击行为中所占比例也非常高。 有效控制 ARP 攻击的方法，是彻底取消二层网络中存在的局域网，即配置每端口一个 VLAN ，从根本上隔离用户，才能从根本上解决 ARP 攻击问题。这和广泛应用的电信以太接入网络的网络架构是吻合的，电信接入网络在接入交换机通过 Vlan 实现用户隔离，用户之间在汇聚层以下不允许通过二层网络进行直接通信，所以

9、电信接入网络中的 ARP 攻击和病毒攻击很少，提高了网络的稳定性和安全性。为了实现校园网接入网络用户的相互隔离，我们最终选择了只依靠汇聚交换机来划分大量 VLAN ，从汇聚层到接入层网络，用户之间相互隔离的技术方案，取得了良好的效果。新的网络规划如图 1 所示。图 1 中国政法大学校园网络架构新的网络架构中包括三个层次，分别具有如下特点：(1) 核心层：采用三层架构， V4/v6 双栈，主要负责高速数据转发，两台核心交换机连接各个楼宇汇聚交换机，每栋楼配置一条或两条路由，这样减少路由数量，设备负担很轻，也方便网络的路由维护管理。 (2) 汇聚层：向上和核心交换机相连，采用三层网络互连；向下连接

10、接入层交换机和必要的前置汇聚交换机，采用二层网络架构，并采用 VLAN 实现用户隔离，保证每接入端口一个 VLAN 。汇聚交换机启用 V4/v6 双栈，并开启地址分配服务。 (3) 接入层：包括接入交换机以及必要的前置汇聚交换机，均为简单二层交换设备，采用二层技术组网，前置汇聚交换机放行所有 VLAN 。接入层按照规划，每端口配置不同 VLAN 。 经过将近一年的实施和运行验证，整体效果非常好。表现为： (1) 病毒感染明显减少：基本没有师生再抱怨在家上网和在学校上网有什么不同。 (2) 病毒攻击明显减少： BBS 上也看不到学生说防火墙报警某某 IP 地址攻击他的计算机需要请求网络中心协助处

11、理。 (3) ARP 攻击彻底消失，不需要做任何处理。如果个别没有实现完全隔离的区域出现问题，由于限制在一个房间之内，可以指导用户自己处理，非常简单，绝大多数师生都可以自行完成。 (4) 可以根据 IP 地址实现故障定位，网络管理可以准确到每一间房间、每一个端口。 (5) 由于同时采用了 v4 、 v6 地址的自动分配，用户上网简单，免去了很多麻烦。 (6) 全网标准化配置，工作人员经过简单培训即可处理楼宇内所有网络的基本故障，提高了工作效率，降低了工作人员培训要求。 采用这样的网络设计和部署，以下关键问题的处理也非常重要： (1) 师生无法使用局域网软件。在校园网中采用这种网络构架会影响校园

12、网中广泛使用的文件共享等依赖二层网络实现的网络应用。研究后，我们建议用户采用虚拟局域网软件，结果是用户反映效果很好，不但可以在全校范围使用，而且还可以在全球范围使用。 (2) 网络对汇聚层设备的要求较高。随着计算机数量和用户流量的增加，需要选择高性能的汇聚层设备，这主要表现在几个方面： (a) 数据平面网络流量处理能力要求很高，否则可能会出现网络拥堵； (b) 数据平面对 VLAN 的支持数量要大，否则无法做到每个接入用户一个 VLAN ；(c) 由于在汇聚层设备开启地址分配服务，需要较高的控制平面处理能力，否则会出现接入计算机无法获取地址等故障。(d) 由于处于汇聚层的位置，对自身安全保护和

13、抗攻击能力的要求也比较高。这些问题都与设备的性能相关，是选择汇聚交换机需要仔细考虑的。 中国政法大学校园网络选择了电信级城域以太网的汇聚交换机，其良好的流量转发性能、管理控制能力和安全稳定性，很好地满足了实际使用的需要。 中国政法大学校园网通过从网络架构设计上根本解决当前校园络的难点，新部署的网络安全性好，稳定性高，极大地提高了用户的满意度。本设计思想在与北京兄弟高校的交流中得到肯定，也有一些兄弟院校开始了测试或实际推广工作。 四、总结与讨论 总结起来，本文所讨论的校园网络设计思想关键点在于：通过引入新的高性能汇聚交换机，将电信运营商网络的架构思想应用于校园网络设计中，解决了高校网络广泛存在的

14、 ARP 攻击和病毒攻击两大难题，提高了网络的稳定性，简化了网络管理，而且保留了大量原有的低端接入层设备，投资保护性好，经济有效。通过实践和验证，结合高校校园网的实际发展趋势，对现有的校园网络架构设计和相应的交换机产品设计提出了以下一些思考和建议，供大家探讨： (1) 核心层网络强化数据转发性能和三层网络功能，相应的核心交换机设计作相应的调整，强化转发数据功能，简化其它不必要的功能，有利于降低成本。 (2) 汇聚层网络应适当增强二层汇聚和三层路由能力，特别重要的一点是汇聚交换机的设计应当提高 VLAN 支持数量，增强控制面处理能力，如路由性能，自动分配地址性能等，以及提供自身的抗攻击能力。(3

15、) 接入层网络主要完成用户接入的功能，接入交换机应该提高带宽、简化功能、降低成本。 (4) 一些专用于电信网络的技术或思想，可以有选择地应用于校园网络设计，提高校园网络的可靠性、安全性、管理维护能力。参考文献 1. DianeTeare, CatherinePaquet. Campus Network Design Fundamentals. Cisco Press, December 2005 2. Eric Vyncke, Christopher Paggen. LAN Switch Security. Cisco Press ， August 2007 The architecture

16、design principles and practice of campus network for high education Zhang Dandong 1 Dai Junwen 2 ( 1.China University of Political Science and Law, Beijing 100088, China , 2.MAIPU ( Sichuan ) Communication Technology CO.LTD, Chengdu , 610041, China ) Abstract： This paper presents a solution for prev

17、enting virus and ARP attack from the view of network architecture, aim at campus network collapsed by virus and ARP attack which is general phenomena in campus network for high education. The solution makes each access user isolated and prevents virus and ARP attack by virtual LAN (VLAN) technology. This solution is imployed in campus network of China University of Politica