高校校園網絡架構設計與實踐

張丹東，戴俊文

（1.中國政法大學現代教育技術中心 北京 100088；2.邁普通信技術股份有限公司 成都 610041）

1 前言

校園網絡是實現高校教育信息化的重要設施。一個良好的校園網絡不僅成為學校內部管理、培養高素質人才的基礎平臺，也成為高校提高自身科研效率和創新能力的必備條件。經過多年的建設，國內大多數高校都建成了自己的校園網絡。由于高校的環境特別適合以太交換網技術的應用，所以幾乎所有高校在網絡建設時都采用了高帶寬的以太交換機、基于二層或三層組網技術來組建自己的園區網絡，具有低延時、高帶寬的校園網絡應用起來本該一帆風順，然而實際情況并非如此。一談到高校校園網應用的現狀，網絡安全是大家不約而同關注的焦點，特別是病毒泛濫和ARP攻擊。隨著計算機病毒傳播及黑客攻擊手段越來越智能，影響范圍也越來越廣，破壞力也越來越大，特別是局域網常見的ARP攻擊成為高校網絡的頭號殺手，它隨時都可能導致部分或整個網絡中斷或癱瘓，嚴重影響高校網絡的有效使用。近年來，盡管許多網絡設備提供商和安全設備提供商針對這一問題提供了一些新的技術解決方案，如DHCP Snooping、終端認證+IP+MAC+Port綁定、IP Source Guard、Dynamic ARP Inspection、ARP 防火墻等，但由于這些技術要么需要更換數量巨大的現有接入設備，要么管理工作量太大不易部署，要么自身的處理能力限制成為新的攻擊瓶頸等，一直沒有得到大規模應用。與此相反，從ARP攻擊原理入手，研究如何從網絡架構上來隔離和根除ARP攻擊成為一種解決校園網絡安全問題的更加經濟有效的手段。

通過對校園網絡和電信網絡的對比分析后發現，借鑒電信網絡架構，重新審視高校網絡架構設計，可以有效解決校園網絡安全問題，特別是ARP攻擊帶來的網絡不穩定等問題，提供校園網絡的安全性和穩定性。

2 過去的網絡狀況

中國政法大學校園網于1998年籌建，1999年招標，2000年實施，至今整10年。初期校園網建設采用流行的吉比特以太網，兩個校區各一臺三層交換機作為核心交換機，其他均為二層交換機。網絡采用兩層結構，核心交換機之間采用三層架構組網，核心交換機以下采用二層架構組網，接入網絡規劃設計的網段較大，大多以一個C類地址劃分，一棟樓為一個網段。由于計算機數量較少，網絡僅僅開通辦公區和部分學生宿舍，使用中沒有任何問題，沿用較長時間。

2003年，從著名的非典事件開始，網絡應用以及計算機數量急劇增加，為了適應新的需要，調整和修改了原來的網絡構架，每棟樓（或幾棟樓）采用一臺三層設備作為匯聚設備，匯聚設備以上采用了三層網絡構架，匯聚設備以下作為接入網絡，采用二層設備，并將接入網絡細分為每層樓一個網段，依舊是以一個C類地址劃分。此架構在之后發生的數次大規模網絡病毒爆發時間中表現良好，未發生過全校網絡癱瘓的情況。未發生過全校網絡癱瘓的原因是，攻擊一般會導致樓宇核心癱瘓，而樓宇核心的癱瘓，就阻斷了向校園網核心的攻擊。而同期采用純二層網絡架構的其他兄弟院校基本都發生過全網癱瘓的情況。

2007年前后，ARP攻擊方式出現，頻繁發生的ARP攻擊和病毒泛濫，給校園網絡造成了嚴重的影響，導致用戶滿意度非常差，校園網絡管理工作效率也非常低下。在校園網內曾經發生過這樣的極端現象，新計算機接入網絡后，不到10 min就感染病毒然后造成系統崩潰，重新裝機后很快又再次崩潰的現象，最后到網絡中心安裝并打好補丁后才能使用。很多高校開始研究應對措施，當時采用了一些有效的應急措施，由于與網絡設計無關，不做贅述。同時，各個網絡設備提供商提供了基于交換機的防ARP攻擊方案，甚至有的網絡安全設備提供商推出專用的防ARP攻擊防火墻設備，但這類設計和方案由于各種原因沒有流行。

3 新的網絡設計

2008年，由于無法忍受ARP攻擊的影響，又由于學校資金限制，無法把大量的現有接入交換機更換成支持抗ARP攻擊的接入交換機，迫不得已，開始思考如何從網絡架構設計來解決ARP攻擊問題，特別是研究如何主動避免ARP攻擊而不是被動應對ARP攻擊問題。

研究發現，ARP攻擊就是通過偽造IP地址和MAC地址實現ARP欺騙，能夠在網絡中產生大量的ARP通信量使網絡阻塞，攻擊者只要持續不斷地發出偽造的ARP響應包就能更改目標主機ARP緩存中的IP-MAC條目，造成網絡中斷或中間人攻擊；ARP攻擊主要存在于像校園網這樣基于二層共享網絡架構的網絡中，二層共享網絡中若有一臺計算機感染ARP病毒，則感染該ARP病毒的系統將會試圖通過“ARP欺騙”手段截獲所在網絡內其他計算機的通信信息，并因此造成網內其他計算機的通信故障；另外，二層共享網絡環境傳播的病毒和攻擊行為，在所有網絡病毒傳播和攻擊行為中所占比例也非常高。

有效控制ARP攻擊的方法，是徹底取消二層網絡中存在的局域網，即配置每端口一個VLAN，從根本上隔離用戶，才能從根本上解決ARP攻擊問題。這和廣泛應用的電信以太接入網絡的網絡架構是吻合的，電信接入網絡在接入交換機后通過VLAN實現用戶隔離，用戶之間在匯聚層以下不允許通過二層網絡進行直接通信，所以電信接入網絡中的ARP攻擊和病毒攻擊很少，提高了網絡的穩定性和安全性。

為了實現校園網接入網絡用戶的相互隔離，筆者最終選擇了只依靠匯聚交換機來劃分大量 VLAN，從匯聚層到接入層網絡，用戶之間相互隔離的技術方案，取得了良好的效果。新的網絡規劃如圖1所示。

新的網絡架構中包括三個層次，分別具有如下特點。

·核心層：采用三層架構，IPv4/v6雙棧，主要負責高速數據轉發，兩臺核心交換機連接各個樓宇匯聚交換機，每棟樓配置一條或兩條路由，這樣減少路由數量，設備負擔很輕，也方便網絡的路由維護管理。

·匯聚層：向上和核心交換機相連，采用三層網絡互連；向下連接接入層交換機和必要的前置匯聚交換機，采用二層網絡架構，并采用VLAN實現用戶隔離，保證每接入端口一個VLAN。匯聚交換機啟用IPv4/v6雙棧，并開啟地址分配服務。

·接入層：包括接入交換機以及必要的前置匯聚交換機，均為簡單二層交換設備，采用二層技術組網，前置匯聚交換機放行所有VLAN。接入層按照規劃，每端口配置不同VLAN。

經過將近一年的實施和運行驗證，整體效果非常好，表現如下。

·病毒感染明顯減少。

·病毒攻擊明顯減少。

·ARP攻擊徹底消失，不需要做任何處理。如果個別沒有實現完全隔離的區域出現問題，由于限制在一個房間之內，可以指導用戶自己處理，非常簡單，絕大多數師生都可以自行完成。

·可以根據IP地址實現故障定位，網絡管理可以準確到每一間房間、每一個端口。

·由于同時采用了IPv4/v6地址的自動分配，用戶上網簡單，免去了很多手續。

·全網標準化配置，工作人員經過簡單培訓即可處理樓宇內所有網絡的基本故障，提高了工作效率，降低了對工作人員的培訓要求。

采用這樣的網絡設計和部署，以下關鍵問題的處理也非常重要。

·師生無法使用局域網軟件。在校園網中采用這種網絡構架會影響校園網中廣泛使用的文件共享等依賴二層網絡實現的網絡應用。研究后，建議用戶采用虛擬局域網軟件，反映效果很好，不但可以在全校范圍使用，而且還可以在全球范圍使用。

·網絡對匯聚層設備的要求較高。隨著計算機數量和用戶流量的增加，需要選擇高性能的匯聚層設備，主要表現在以下幾個方面：數據平面網絡流量處理能力要求很高，否則可能會出現網絡擁堵；數據平面對VLAN的支持數量要大，否則無法做到每個接入用戶一個VLAN；由于在匯聚層設備開啟地址分配服務，需要較高的控制平面處理能力，否則會出現接入計算機無法獲取地址等故障；由于處于匯聚層的位置，對自身安全保護和抗攻擊能力的要求也比較高。這些問題都與設備的性能相關，是選擇匯聚交換機時需要仔細考慮的。中國政法大學校園網絡選擇了電信級城域以太網的匯聚交換機，其良好的流量轉發性能、管理控制能力和安全穩定性，很好地滿足了實際使用的需要。

中國政法大學校園網從網絡架構設計上根本解決了當前校園網存在的難點，新部署的網絡安全性好、穩定性高，極大地提高了用戶的滿意度。本設計思想在與北京兄弟高校的交流中得到肯定，也有一些兄弟院校開始了測試或實際推廣工作。

4 結束語

本文所討論的校園網絡設計思想關鍵點在于：通過引入新的高性能匯聚交換機，將電信運營商網絡的架構思想應用于校園網絡設計中，解決了高校網絡廣泛存在的ARP攻擊和病毒攻擊兩大難題，提高了網絡的穩定性，簡化了網絡管理，而且保留了大量原有的低端接入層設備，投資保護性好，經濟有效。

通過實踐和驗證，結合高校校園網的實際發展趨勢，對現有的校園網絡架構和相應的交換機產品設計提出了以下一些思考和建議，以供探討：

·核心層網絡強化數據轉發性能和三層網絡功能，相應的核心交換機設計做相應的調整，強化轉發數據功能，簡化其他不必要的功能，有利于降低成本；

·匯聚層網絡應適當增強二層匯聚和三層路由能力，特別重要的一點是匯聚交換機的設計應當提高VLAN支持數量，增強控制面處理能力，如路由性能、自動分配地址性能等，以及提供自身的抗攻擊能力；

·接入層網絡主要完成用戶接入的功能，接入交換機應該提高帶寬、簡化功能、降低成本；

·一些專用于電信網絡的技術或思想，可以有選擇地應用于校園網絡設計，提高校園網絡的可靠性、安全性、管理維護能力。

1 Diane Teare, Catherine Paquet. Campus network design fundamentals.Cisco Press,December 2005

2 Eric Vyncke,Christopher Paggen.LAN switch security.Cisco Press,August 2007