校園網安全構架設計與實踐

那英紅

摘 要： 本文針對校園網絡普遍存在的病毒和 ARP 攻擊導致網絡癱瘓的問題，提出了從網絡架構上解決 ARP 和病毒攻擊問題的思路，并提供了具體的網絡架構設計方案——通過在匯聚層設備實現接入用戶的 VLAN 隔離，從而減少各種病毒和 ARP 攻擊。

關鍵詞： 校園網絡；網絡安全；網絡設計

一、前言

校園網絡是實現一個學校教育信息化的重要設施。一個良好的校園網絡不僅成為學校內部管理、培養高素質人才的基礎平臺，也成為提高自身科研效率和創新能力的必備條件。目前大家一談到高校校園網應用的現狀，網絡安全是大家不約而同關注的焦點，特別是局域網常見的 ARP 攻擊成為校園網絡的頭號殺手，它隨時都可能導致部分或整個網絡中斷或癱瘓，嚴重影響校園網絡的有效使用。近年來，盡管許多網絡設備提供商和安全設備提供商針對這一問題提供了一些新的技術解決方案，如 DHCP Snooping 、IP Source Guard 、ARP 防火墻等，但由于這些技術需要更換數量巨大的現有接入設備，一直沒有得到大規模應用。與此相反，從ARP攻擊原理入手，研究如何從網絡架構上來隔離和根除ARP攻擊成為一種解決校園網絡安全問題的更加經濟有效的手段。

二、過去的網絡狀況

2008年前后，ARP攻擊方式出現，頻繁發生的ARP攻擊和病毒泛濫，給校園網絡造成了嚴重的影響，導致用戶滿意度非常差，校園網絡管理工作效率也非常低下。在校園網內曾經發生過這樣的極端現象，新計算機接入網絡后，不到十分鐘就感染病毒然后就系統崩潰，重新裝機后很快又再次崩潰的現象，最后到網絡中心安裝并打好補丁后才能回去使用。很多學校開始研究應對措施，當時采用了一些有效的應急措施，由于與網絡設計無關，不做贅述。同時，各個網絡設備提供商提供了基于交換機的防ARP攻擊方案，甚至有的網絡安全設備提供商推出專用的防ARP攻擊防火墻設備，但這類設計和方案由于各種原因沒有流行。

三、新的網絡設計

研究發現，ARP攻擊就是通過偽造IP地址和MAC地址實現ARP欺騙，能夠在網絡中產生大量的ARP通信量使網絡阻塞，攻擊者只要持續不斷的發出偽造的ARP響應包就能更改目標主機ARP緩存中的IP-MAC條目，造成網絡中斷或中間人攻擊；ARP攻擊主要是存在于像校園網這樣基于二層共享網絡架構的網絡中，二層共享網絡中若有一臺計算機感染ARP病毒，則感染該ARP病毒的系統將會試圖通過“ARP欺騙”手段截獲所在網絡內其它計算機的通信信息，并因此造成網內其它計算機的通信故障。另外，二層共享網絡環境傳播的病毒和攻擊行為，在所有網絡病毒傳播和攻擊行為中所占比例也非常高。

有效控制ARP攻擊的方法，是徹底取消二層網絡中存在的局域網，即配置每端口一個VLAN，從根本上隔離用戶，才能從根本上解決ARP攻擊問題。這和廣泛應用的電信以太接入網絡的網絡架構是吻合的，電信接入網絡在接入交換機通過Vlan實現用戶隔離，用戶之間在匯聚層以下不允許通過二層網絡進行直接通信，所以電信接入網絡中的ARP攻擊和病毒攻擊很少，提高了網絡的穩定性和安全性。我們最終選擇了只依靠匯聚交換機來劃分大量VLAN，從匯聚層到接入層網絡，用戶之間相互隔離的技術方案，取得了良好的效果。

新的網絡架構中包括三個層次，分別具有如下特點：

（一）核心層：采用三層架構，V4/v6雙棧，主要負責高速數據轉發，兩臺核心交換機連接各個樓宇匯聚交換機，每棟樓配置一條或兩條路由，這樣減少路由數量，設備負擔很輕，也方便網絡的路由維護管理。

（二）匯聚層：向上和核心交換機相連，采用三層網絡互連；向下連接接入層交換機和必要的前置匯聚交換機，采用二層網絡架構，并采用VLAN實現用戶隔離，保證每接入端口一個VLAN。匯聚交換機啟用V4/v6雙棧，并開啟地址分配服務。

（三）接入層：包括接入交換機以及必要的前置匯聚交換機，均為簡單二層交換設備，采用二層技術組網，前置匯聚交換機放行所有VLAN。接入層按照規劃，每端口配置不同VLAN。

經過將近一年的實施和運行驗證，整體效果非常好。表現為：

1.病毒攻擊明顯減少：基本沒有老師說防火墻報警某某IP地址攻擊他的計算機需要請求網絡中心協助處理。

2. ARP攻擊徹底消失，不需要做任何處理。如果個別沒有實現完全隔離的區域出現問題，由于限制在一個房間之內，可以指導用戶自己處理，非常簡單，絕大多數師生都可以自行完成。

3.可以根據IP地址實現故障定位，網絡管理可以準確到每一間房間、每一個端口。

4.全網標準化配置，工作人員經過簡單培訓即可處理樓宇內所有網絡的基本故障，提高了工作效率，降低了工作人員培訓

要求。

四、總結與討論

總結起來，本文所討論的校園網絡設計思想關鍵點在于：通過引入新的高性能匯聚交換機，將電信運營商網絡的架構思想應用于校園網絡設計中，解決了高校網絡廣泛存在的 ARP 攻擊和病毒攻擊兩大難題，提高了網絡的穩定性，簡化了網絡管理，而且保留了大量原有的低端接入層設備，投資保護性好，經濟有效。

參考文獻：

[1]無線局域網安全接入-體系結構與協議[M].高等教育出版社， 2009.4.

[2]無線局域網安全體系結構[M].高等教育出版社，2008.5.