精細化管理校園網絡

文/鄭宏濤 燕敏

隨著網絡的不斷發展和進步，校園網的用戶規模和業務應用也在不斷地增加。伴隨手機、平板電腦等智能終端逐漸普及，3G和移動互聯網等新技術快速發展，校園網用戶對訪問網絡的便捷性、易用性等提出了新的要求。因此，面對建立可運行、可管理的高效校園網需求，校園網的運行管理在新形勢下面臨著新的挑戰和機遇。

校園網除了一般網絡所具有的特點之外，還具有以下特殊的需求：

1.校園網的用戶具備一定的網絡知識和較強的動手能力，樂于嘗試各種新鮮的事情。校園網作為支持教學和科研基礎設施，成為實驗網絡理論的天然場所，其中不乏以惡作劇為目的的網絡攻擊行為。

2.作為支持學校教學科研的基礎設施，用戶在訪問校內資源時不應受到任何限制。計費策略僅在用戶訪問校外資源時生效。

3.帶寬使用具有明顯的峰谷規律：上午與下午的上課時間流量明顯低于晚上黃金時段，中午也是帶寬使用的小高峰。

4.流量行為具有明顯的應用分類特征：如果不采取流控策略，10%的用戶有可能消耗掉90%的帶寬，且其中90%以上的均為P2P流量。所以必須在整個校園網出口對外網帶寬進行合理的分配和調度，保證Web、在線視頻、VoIP等實時性強的業務，適當限制P2P等大量消耗帶寬的應用，確保高峰期每位用戶也能順暢地瀏覽網頁和觀看視頻。

5.校園網上應用和系統的安全問題。校園網大量使用真實的教育網地址，如果沒有一定的安全策略，這些系統及校內的應用將直接暴露在網絡上，一旦被黑客攻擊或者利用將對校園網的安全和穩定造成巨大危害。

針對以上五個問題，在校園網運行管理中必須切實做到以人為本、效率優先，精細管理、提高體驗。以人為本、效率優先即在校園網運行管理中要堅持網絡服務教學科研的基本原則，為廣大師生提供良好的網絡服務；維持校園網安全穩定運行，保障基于校園網的各項業務和應用能夠持續正常開展。精細管理、提高體驗即校園網運行管理中運行策略制定和實施要堅持以用戶為需求導向，盡量提高用戶的上網體驗。改變以往校園網粗放管理的運行模式，提供更多人性化的便捷服務。

圖1 萬兆升級改造前拓撲

兩方面優化網絡結構

西安石油大學于2012年5月份升級了出口帶寬，總帶寬由原來的500M電信+34M教育網提高到3條500M電信+300M聯通+100M教育網+200M IPv6。出口帶寬擴容消除了原有出口帶寬絕對不足的客觀問題，同時也帶來了新的問題。原有的核心交換設備、計費設備、流控設備和出口網關設備均為千兆設備，在出口為534M時可以滿足要求，在升級帶寬后無法滿足新的要求，需要對核心和出口設備進行升級改造。

目前學校使用H3C S10508作為網絡的核心交換設備，計費采用的城市熱點萬兆計費網關（測試），出口采用Hillstone SG-6000-X6180（測試）作為出口網關。學生區用戶目前采用DHCP+認證方式，家屬區采用靜態IP+認證方式，辦公區使用靜態IP方式接入。用戶接入網絡即可使用校園網資源，僅在訪問校外資源時需要認證。在核心網萬兆升級改造過程中，考慮目前網絡的發展趨勢和校園網用戶的使用特點，從校園網結構和管理策略上進行大規模的改進和優化。網絡結構優化主要從以下兩個方面進行：1.改變原有的本部校區的二層網絡結構，部署三層網絡結構；2.在接入設備上部署安全防護策略，徹底杜絕私設DHCP服務器和ARP病毒引起的用戶側網絡故障。

圖2 萬兆升級改造后拓撲

圖3 DHCP工作流程

在校園網升級萬兆之前，網絡拓撲如圖1所示。本部所有的用戶網段網關均集中在Cisco 6509，本部實際拓撲為二層網絡。缺點則表現為：1.個別區域如果發生病毒攻擊網關，將會對核心6509交換機造成很大壓力進而影響整個本部其他區域的網絡服務，不利于校園網整體的穩定和安全；2.所有用戶網關都集中在一個設備上對該設備的硬件性能和穩定性要求太高，存在潛在的轉發性能瓶頸和ARP表項不足問題；3.與其他校區核心設備之間維護的靜態路由條目繁多，管理復雜度增加。

進行萬兆升級時充分考慮到二層的弊端及校園網用戶的特殊需求，本部所有區域的網絡結構進行分層整合和優化。升級后的拓撲如圖2所示，去掉原有的Cisco 6509，所有區域的匯聚設備與核心設備通過OSPF協議連接，用戶網關終結在各區域的匯聚設備上。跨區域的VLAN的網關設置在核心設備上，區域之間通過Trunk透傳。由于跨區VLAN大多是一卡通、監控等特殊應用，不存在用戶VLAN中的病毒攻擊問題，因此不會對核心設備造成太大的壓力。升級后，核心設備負責所有校區數據包的高速轉發和交換，區域匯聚設備負責本區用戶的交換和對外訪問的轉發，用戶因為操作不當或者病毒攻擊對網絡所造成影響被隔離在本區域內部，降低了整個校園網的運行風險。

核心交換機通過OSPF協議與各區域之間連通，各區域分配不同AREA Number，區域內的變化通過OSPF的AREA 0交換到所有其他區域。減少了所有區域都在AREA 0時路由變化所引起的OSPF計算開銷，保證校園網骨干網絡保持穩定和安全。為進一步提高設備的轉發效率，縮短轉發時路由查找時間可以選擇設置Stub Area。設置Stub Area后匯聚設備僅保留本區內的直連路由，目的地址為區域外的數據包統一經過默認路由發送，可以極大減少匯聚設備的路由數量，提高轉發的效率。接入層設備上部署新的安全策略，該策略主要針對校園網中容易出現的局域網ARP病毒攻擊和學生在實踐網絡理論過程中可能出現的誤操作對網絡造成的影響。主要體現在以下四個方面：

以下安全防護策略主要以H3C設備為例，其他廠家設備也具有類似的功能但名稱可能不同。

1.開啟設備的DHCP Snooping功能，防止非法接入的DHCP服務器影響用戶上網。

DHCP工作流程如圖3所示，DHCP Snooping的工作原理是僅允許合法的DHCP服務器發送DHCP offer信息，其中包含DHCP server分配給客戶端的IP地址和DNS信息，非法的DHCP offer信息將被丟棄掉，同時生成IP地址和Mac的對應關系表。根據此思路需要在將連接DHCP服務器所在的端口設置為信任端口以便合法的DHCP offer信息能順利通過，其他端口設置為非信任端口，阻止非法的DHCP offer信息通過。

經過上述設置后，如果某用戶的設用路由器未關閉DHCP功能，其影響范圍只局限在與該路由器在同一上聯口的用戶，減輕了網絡運維的工作量，同時方便運維人員定位網絡故障。

2.開啟ARP入侵檢測功能：Arp detection。

Arp detection與DHCP Snooping配合，可以有效防止黑客或攻擊者通過ARP報文實施“中間人”攻擊。該VLAN內所有ARP非信任端口接收到的ARP（請求與回應）報文將重定向到CPU進行報文的合法性檢查：如果認為該ARP報文合法，則進行轉發；否則直接丟棄。該VLAN內信任端口接收的ARP報文正常轉發，不進行合法性檢查。此處的合法性檢查指對ARP報文內的源IP與Mac的對應關系與1中的 DHCP Snooping生成的表象進行對比和判斷，與表項相符的則允許通過，否則丟棄該數據包。

經過上述設置后可以防止各種偽造源地址的ARP病毒，常見的是網關欺騙類ARP病毒的攻擊。

3.開 啟ARP限 速 功 能：Arp rate limit。

開啟原因包括兩個方面：在2開啟的Arp detection功能，每個ARP報文都會被重定向CPU進行報文合法性檢查，存在惡意ARP報文消耗CPU過多的問題；用戶網絡知識水平參差不齊，經常發生一個機器中毒導致整個網段內的其他用戶都無法訪問網絡的情況，局域網病毒大多依賴于ARP協議，開啟Arp rate limit可以有效防止這類情況的發生，同時也減輕運維人員排查網絡故障時的負擔。

4.經過上述設置后可以有效控制各種基于ARP協議的非法網管軟件，常見的P2P終結者和網絡執法官。

這類軟件大多采用ARP協議進行網關欺騙，為了達到效果通常需要發送大量ARP響應報文，且在軟件運行初期掃描存活主機時也會發送大量的ARP請求。

5.開啟環路檢測功能：Loopbackdetection enable。

用戶因誤操作導致網絡環路進而產生廣播風暴的事情經常發生，Loopbackdetection可以有效防止個別用戶的誤操作影響整網運行。

六種手段細化管理策略

管理策略的改進主要體現在以人為本，提高服務質量。總結以往校園網運行管理的成熟經驗，同時細化管理策略，主要體現在以下幾個方面：

1.細化用戶分類。按照優先保障教學科研的原則，將校園網用戶分為教學辦公區用戶、家屬區用戶、學生區用戶。不同用戶對網絡使用的需求不同，在制定管理和運行策略時需要區分對待。制定重要用戶故障響應預案，確保基于校園網的重要業務在發生故障時及時響應，優先保障教務、財務、一卡通等重要用戶重要業務的故障恢復時間。

2.細化流量分類。分析網絡中各種應用類型，按照時效性的原則對流量進行歸類。網頁瀏覽、VoIP等實時性強的歸為保障類，在線視頻、單線程下載等實時性一般的歸為普通類，P2P等下載類應用歸為第三類。保障類應用具有最高優先級，在流控時建立專用通道，不被擠占。在線視頻等普通業務屬于實時性較強用戶敏感度一般，歸為第二類，建立專用通道保留一個流量范圍。第三類屬于嚴格控制的應用，這些應用特點帶寬需求大、實時性弱，設立專用通道給定最大帶寬，通道帶寬不滿時可以被其他通道借用。

3.細化帶寬分配。帶寬分配時充分考慮全體用戶的使用習慣，在不同時間段為用戶提供盡可能高的帶寬。上班時間用戶數較少，這個時間段內的單用戶可用帶寬設置較大一些；中午和下午下班后時間單用戶的帶寬設置較小；晚上十一點之后可以取消流控策略。在全校范圍內均衡流量使用，確保每位用戶無論高峰期還是一般時段都能流暢地使用校園網，確保學校對校園網出口帶寬投資得到最大化利用。

4.細化故障處理流程。針對校園網運行過程中常見的問題和故障，制定常見問題處理流程，規范故障處理定期收集整理用戶反映的問題，對全體運維人員和參加運維的學生網管進行培訓。定期分析運維中出現的問題，發現網絡運行中可能存在的隱患及時處理，確保校園網安全穩定。建立討論組和知識庫，鼓勵運維人員（主要是學生網管）在解決問題時相互交流相互學習共同進步，新網管參與運行之前均會指派一位指導老師。

5.強化新知識、新業務培訓。隨著智能手機、平板電腦、互聯網電視等智能終端和移動互聯網的興起，運維業務面臨著許多新的挑戰。在校園網運行管理過程中，面對新興業務的出現和流行，有針對性的對運維人員進行相關專業培訓，使其掌握新技術，努力提高用戶的滿意度。

6.建立校內熱點資源站點，減少用戶對出口帶寬的需求，降低出口壓力，提高校園網服務質量和體驗。共享出口環境的帶寬常常處于相對飽和狀態，由于用戶基數較大，每位用戶的平均帶寬實際很小。針對校園網用戶的使用規律和流量行為特征，建立校內的熱點資源站可以有效減輕出口壓力，豐富校園網應用，增強校園網對用戶的吸引力。

經過本次萬兆升級和網絡調整后，校園網運行實現了安全有序，徹底消除了原有二層結構對核心設備的潛在威脅和影響，規范的拓撲布局縮小了故障排除時間和修復時間，增強了核心網絡的穩定性和可擴展性。在設備支持的區域，徹底解決了ARP攻擊和小路由問題。在設備不支持的區域，通過網絡宣傳和故障處理過程中的引導，小路由和ARP攻擊的發生概率也大幅度下降。這類問題的出現頻率由之前的每天發生下降為現在的每周1~2次。

通過對校園網的運行和管理策略的調整，實現用戶流暢、便捷的使用網絡服務。通過細致的用戶服務制度和流控管理策略，確保重要業務和重要用戶時時暢通；確保一般用戶在網絡閑暇時能夠使用較高的帶寬，在高峰期能夠流暢地訪問網頁和觀看視頻。通過建立校內熱點資源站解決高峰期出口帶寬有限和體驗不佳的問題，提高校園網的服務質量。通過服務吸引更多用戶主動使用校園網，2013年開學后校園網高峰期在線IP比2012年下半年增加了1000多人，校園網上新增加的視頻點播、文件共享和教學視頻等服務受到用戶的喜愛。Linux、Mac以及Android和IOS版本的客戶端為用戶使用網絡提供了更多的選擇。

校園網運行管理中，技術可以在一定范圍內解決部分問題，但是解決不了所有問題。管理手段和策略與用戶的知識水平、學校的制度政策息息相關。從保障教學、科研角度出發，實施精細化、人性化管理，同時通過各種渠道不斷加大宣傳和普及網絡知識，提高用戶的網絡知識素養，才能實現校園網運行管理的可持續、健康發展。