摘 要:本文通過(guò)采集西北師范大學(xué)網(wǎng)絡(luò)中心校園網(wǎng)故障維修登記系統(tǒng)中的報(bào)修信息，對(duì)日常網(wǎng)絡(luò)故障進(jìn)行采集、分類(lèi)、統(tǒng)計(jì)和分析，找出網(wǎng)絡(luò)在運(yùn)行管理中存在的問(wèn)題，并給出解決問(wèn)題的具體對(duì)策。

關(guān)鍵詞:校園網(wǎng);網(wǎng)絡(luò)管理;對(duì)策研究

中圖分類(lèi)號(hào):TP393.18文獻(xiàn)標(biāo)識(shí)碼:A 文章編號(hào):1673-8454(2010)21-0025-04

一、研究背景和目的

校園網(wǎng)作為學(xué)校的一項(xiàng)重要基礎(chǔ)設(shè)施，在教學(xué)、科研和管理中發(fā)揮著重要的作用。但由于校園網(wǎng)用戶(hù)群密集而活躍，設(shè)備繁雜;校園網(wǎng)規(guī)模發(fā)展迅速，管理困難;校園網(wǎng)管理機(jī)構(gòu)的管理能力有限，管理體制不健全，管理人員不足;校園網(wǎng)絡(luò)覆蓋面迅速擴(kuò)大，服務(wù)保障能力嚴(yán)重不足;此外在運(yùn)行管理中普遍都存在“重技術(shù)、輕安全、輕管理”的傾向，網(wǎng)絡(luò)管理質(zhì)量、方法和技術(shù)不夠完善，使校園網(wǎng)的管理現(xiàn)狀不容樂(lè)觀。[1]本文通過(guò)建立一套網(wǎng)絡(luò)故障維修登記系統(tǒng)，對(duì)西北師范大學(xué)2008~2009年校園網(wǎng)日常網(wǎng)絡(luò)故障報(bào)修信息進(jìn)行采集、分類(lèi)和統(tǒng)計(jì)，找出校園網(wǎng)運(yùn)行管理中的問(wèn)題，并對(duì)其原因進(jìn)行分析，提出相應(yīng)的對(duì)策建議。

二、研究方法

1.系統(tǒng)設(shè)計(jì)

根據(jù)西北師范大學(xué)校園網(wǎng)的實(shí)際情況，我們開(kāi)發(fā)了在C++環(huán)境下基于Web的網(wǎng)絡(luò)維修登記系統(tǒng)，當(dāng)用戶(hù)終端出現(xiàn)故障時(shí)，可以通過(guò)本系統(tǒng)報(bào)修并得到及時(shí)可靠地維修，保障校園網(wǎng)的正常運(yùn)行，使校園網(wǎng)更好地服務(wù)于學(xué)校各項(xiàng)教學(xué)、科研和管理事務(wù)。

2.系統(tǒng)組成

本系統(tǒng)包括兩個(gè)部分:第一部分是用戶(hù)故障登記平臺(tái)，當(dāng)用戶(hù)在使用網(wǎng)絡(luò)過(guò)程中出現(xiàn)故障時(shí)，登入到該平臺(tái)填寫(xiě)校園網(wǎng)網(wǎng)絡(luò)故障維修登記表(報(bào)修)，作為管理員維修的依據(jù)，如表1所示。

第二部分是管理員維修登記平臺(tái)，根據(jù)用戶(hù)登記的故障信息及時(shí)維修，并要求仔細(xì)填寫(xiě)校園網(wǎng)網(wǎng)絡(luò)故障維修登記表，如表2所示。

3.系統(tǒng)使用流程

(1)故障報(bào)修

校園網(wǎng)用戶(hù)出現(xiàn)故障時(shí)，在確認(rèn)接入計(jì)算機(jī)的合法使用身份和相關(guān)信息的情況下，登錄網(wǎng)絡(luò)中心維修登記系統(tǒng)主頁(yè)進(jìn)行故障報(bào)修。認(rèn)真、詳實(shí)地填寫(xiě)如表1所示校園網(wǎng)網(wǎng)絡(luò)故障維修登記表(報(bào)修)。

(2)故障維修與解決

校園網(wǎng)維修人員根據(jù)用戶(hù)的報(bào)修記錄，應(yīng)及時(shí)到達(dá)現(xiàn)場(chǎng)，進(jìn)一步分析故障原因，進(jìn)行相關(guān)故障信息收集和處理情況登記，安排在當(dāng)日或次日進(jìn)行故障處理和維修。對(duì)網(wǎng)絡(luò)硬件損壞造成的故障，向用戶(hù)說(shuō)明原因，并報(bào)告主管領(lǐng)導(dǎo)。

(3)故障處理情況信息登記

網(wǎng)絡(luò)中心維修人員必須對(duì)報(bào)修的校園網(wǎng)故障進(jìn)行登記和備案。報(bào)修用戶(hù)應(yīng)配合故障維護(hù)人員進(jìn)行相關(guān)信息登記，并對(duì)處理的情況和相關(guān)工作進(jìn)行評(píng)價(jià)和確認(rèn)。

三、故障統(tǒng)計(jì)分析

1.常見(jiàn)故障類(lèi)型

根據(jù)網(wǎng)絡(luò)中心維修登記系統(tǒng)的信息采集，對(duì)西北師范大學(xué)2008年1月~2009年9月網(wǎng)絡(luò)故障進(jìn)行了細(xì)致的分類(lèi)，如圖1所示。

從2008年1月到2009年9月，發(fā)生故障總數(shù)為777起。其中，線路故障306起;硬件故障163起;軟件故障85起;病毒引起的故障86起;用戶(hù)自身問(wèn)題46起;其他原因引起的故障91起。

2.常見(jiàn)故障現(xiàn)象

根據(jù)西北師范大學(xué)網(wǎng)絡(luò)中心維修登記系統(tǒng)，并通過(guò)維修人員填寫(xiě)的校園網(wǎng)網(wǎng)絡(luò)故障維修登記表統(tǒng)計(jì)分析，可知目前校園網(wǎng)有本地連接受限、網(wǎng)絡(luò)連接斷開(kāi)、網(wǎng)頁(yè)無(wú)法打開(kāi)、無(wú)法獲取地址等常見(jiàn)故障現(xiàn)象，如圖2所示。

3.引起網(wǎng)絡(luò)故障的原因

根據(jù)圖1、圖2以及校園網(wǎng)網(wǎng)絡(luò)故障維修登記表進(jìn)行統(tǒng)計(jì)分析，引起網(wǎng)絡(luò)故障的具體原因如表3所示。

四、運(yùn)行管理中的問(wèn)題及解決對(duì)策

1.線路問(wèn)題

(1)隨著校園網(wǎng)規(guī)模的日益擴(kuò)大，通信鏈路越來(lái)越長(zhǎng)，鏈接越來(lái)越復(fù)雜，是網(wǎng)絡(luò)運(yùn)行的重要支撐信息，但在管理中不夠規(guī)范。[2]

解決對(duì)策:通信鏈路管理的對(duì)象包括光纜、纖芯、配線架、配線架端口、設(shè)備端口、跳線。這六類(lèi)對(duì)象的關(guān)系是:配線架包含多個(gè)配線架端口;光纜包含多股纖芯;一根纖芯的一端連接一個(gè)配線架端口;一根跳線連接一個(gè)配線架端口和一個(gè)設(shè)備端口或者一個(gè)設(shè)備端口和另一個(gè)設(shè)備端口。那么在管理系統(tǒng)設(shè)計(jì)時(shí)就可以為這六類(lèi)對(duì)象分別設(shè)計(jì)一張表，上述關(guān)系用數(shù)據(jù)庫(kù)表的鍵相連接，利用關(guān)系數(shù)據(jù)庫(kù)表示復(fù)雜關(guān)系的強(qiáng)大功能，使得通信鏈路的復(fù)雜拓?fù)潢P(guān)系得到良好的管理。

(2)設(shè)備接口(水晶頭)損壞引起網(wǎng)絡(luò)故障。

解決對(duì)策:進(jìn)行網(wǎng)段劃分以便管理和隔離故障，平時(shí)要將文檔備案工作做得細(xì)致，可以將站點(diǎn)的MAC地址文檔備案，當(dāng)出現(xiàn)故障時(shí)，能及時(shí)找到故障節(jié)點(diǎn)。

(3)配線架端口故障。

解決對(duì)策:安裝支持SNMP協(xié)議的網(wǎng)管系統(tǒng)，并啟動(dòng)已有SNMP功能的網(wǎng)絡(luò)設(shè)備，及時(shí)了解、掌握和管理每個(gè)端口的狀態(tài)，維護(hù)工作要求有及時(shí)完整的記錄，提高故障的處理效率。

(4)非標(biāo)準(zhǔn)化布線、跳線制作不標(biāo)準(zhǔn)，引起干擾，發(fā)生錯(cuò)誤。

解決對(duì)策:首先，在組建網(wǎng)絡(luò)過(guò)程中采用標(biāo)準(zhǔn)化的設(shè)計(jì)方案，選用標(biāo)準(zhǔn)化的施工工藝和標(biāo)準(zhǔn)化的現(xiàn)場(chǎng)認(rèn)證測(cè)試方案，工程設(shè)計(jì)、施工和驗(yàn)收要規(guī)范，保證綜合布線系統(tǒng)的質(zhì)量。更改系統(tǒng)結(jié)構(gòu)后一定要測(cè)試電纜的物理連通性和嚴(yán)格認(rèn)證測(cè)試，測(cè)試標(biāo)準(zhǔn)可選用北美標(biāo)準(zhǔn)TIA568A/568B或ISO11801等。其次，定期對(duì)布線系統(tǒng)輪測(cè)，以保證布線系統(tǒng)的性能合格，排除因布局變動(dòng)、用戶(hù)數(shù)量增刪和人為調(diào)整等原因?qū)Σ季€系統(tǒng)造成的損害。再次，對(duì)網(wǎng)絡(luò)的業(yè)務(wù)工作和故障情況建立準(zhǔn)確完整的記錄，有助于故障的查找。最后，在網(wǎng)絡(luò)配線間禁止使用帶有輻射源設(shè)備，建立禁用清單。

2.在線電影、電視，P2P的下載、視頻等，引起網(wǎng)絡(luò)瓶頸，導(dǎo)致網(wǎng)絡(luò)不定時(shí)阻塞、斷開(kāi)

解決對(duì)策:限制用戶(hù)流量。

西北師范大學(xué)校內(nèi)用戶(hù)有教職員工、學(xué)生(包括博士、碩士、本科、成教)等用戶(hù)群體，可以根據(jù)不同對(duì)象分時(shí)限制用戶(hù)的流量，例如對(duì)研究生流量限制如表4所示:

西北師范大學(xué)使用城市熱點(diǎn)的寬帶計(jì)費(fèi)系統(tǒng)，進(jìn)行流量控制。可以通過(guò)以下步驟實(shí)現(xiàn)對(duì)用戶(hù)流量的限制:打開(kāi)系統(tǒng)中的策略管理器;在策略管理器中添加“帶寬控制策略，啟用訪問(wèn)控制，啟用分時(shí)段控制”項(xiàng);然后根據(jù)需要設(shè)置分時(shí)控制的時(shí)間和上、下行帶寬即可。

沒(méi)有寬帶計(jì)費(fèi)系統(tǒng)的院校，可以使用路由器或交換機(jī)的rate-limit命令來(lái)限制特定用戶(hù)的流量，例如給研究生樓分配的網(wǎng)段是222.23.4.0，配置方法為:

Router(config)#ip cef(在全局模式下開(kāi)啟cef —Cisco Express Forward，只有支持cef的網(wǎng)絡(luò)設(shè)備才可以)

Router(config)#access-list 2 permit 222.23.4.0 0.0.0.255(定義標(biāo)準(zhǔn)或者擴(kuò)展訪問(wèn)列表)

Router(config-if)#rate-limit output access-group 1 1000000 32000 32000 conform-action transmit exceed-action drop(在希望限制的端口上限制出口的流量)

Router(config-if)#rate-limit input access-group 1 4000000 32000 32000 conform-action transmit exceed-action drop(在希望限制的端口上限制進(jìn)口的流量)

通過(guò)上述的配置，我們就對(duì)222.23.4.0網(wǎng)段上的主機(jī)進(jìn)行了限速，出口速率最高為1.00Mbps，進(jìn)口速率最高為4.00Mbps。

3.IP地址沖突，導(dǎo)致無(wú)法獲取地址

解決對(duì)策:加強(qiáng)對(duì)MAC地址的管理，在網(wǎng)絡(luò)用戶(hù)連網(wǎng)的同時(shí)，建立IP地址和MAC地址的信息檔案，通過(guò)自始至終地對(duì)局域網(wǎng)客戶(hù)執(zhí)行嚴(yán)格的管理、登記制度，將每個(gè)用戶(hù)的IP地址、MAC地址、上聯(lián)端口、物理位置和用戶(hù)身份等信息記錄在網(wǎng)絡(luò)管理員的數(shù)據(jù)庫(kù)中，就可以方便地管理IP地址。

4.ARP攻擊，引起網(wǎng)絡(luò)癱瘓

解決對(duì)策1:DAI+DHCPSnooping技術(shù)[3]。

動(dòng)態(tài)ARP檢測(cè)(DAI， Dynamic ARP Inspection)可以用來(lái)檢查所有非信任端口的ARP請(qǐng)求和應(yīng)答，確保應(yīng)答來(lái)自真正的ARP所有者。通過(guò)DHCPSnooping監(jiān)聽(tīng)綁定表包括IP地址與MAC地址的綁定信息并將其與特定的交換機(jī)端口相關(guān)聯(lián)，檢查端口記錄的DHCP綁定信息和ARP應(yīng)答的IP地址決定是否為真正的ARP所有者，不合法的ARP包將被刪除。對(duì)于沒(méi)有使用DHCP的服務(wù)器，可以采用靜態(tài)添加DHCP綁定表或ARP access-list實(shí)現(xiàn)。 另外，通過(guò)DAI可以控制某個(gè)端口的ARP請(qǐng)求報(bào)文頻率。一旦ARP請(qǐng)求頻率超過(guò)預(yù)先設(shè)定的閾值，立即關(guān)閉該端口。對(duì)有大量ARP報(bào)文特征的病毒或攻擊也可以起到阻斷作用。

解決對(duì)策2:網(wǎng)關(guān)IP和MAC靜態(tài)綁定。

在客戶(hù)機(jī)上進(jìn)行網(wǎng)關(guān)IP及其MAC靜態(tài)綁定，禁止ICMP重定向報(bào)文和禁止響應(yīng)ICMP路由通告報(bào)文。[4]

ICMP的重定向報(bào)文控制著Windows是否會(huì)改變路由表從而響應(yīng)網(wǎng)絡(luò)設(shè)備發(fā)送給它的ICMP重定向消息，這樣雖然方便了用戶(hù)，但有時(shí)也會(huì)被他人利用來(lái)進(jìn)行網(wǎng)絡(luò)攻擊，對(duì)ARP的攻擊也提供了條件。通過(guò)修改注冊(cè)表可禁止響應(yīng)ICMP的重定向報(bào)文，從而使網(wǎng)絡(luò)更為安全。

ICMP路由公告功能可以使他人計(jì)算機(jī)的網(wǎng)絡(luò)連接異常、數(shù)據(jù)被竊聽(tīng)、計(jì)算機(jī)被用于流量攻擊等，因此關(guān)閉響應(yīng)ICMP路由通告報(bào)文，避免攻擊。

解決對(duì)策3:合理配置交換設(shè)備。

ARP攻擊是一種常見(jiàn)的網(wǎng)絡(luò)問(wèn)題，對(duì)此，對(duì)交換設(shè)備進(jìn)行恰當(dāng)配置，可以避免ARP攻擊。以下以H3C三層設(shè)備為例(如圖3所示)，介紹典型的配置方法，阻止仿冒網(wǎng)關(guān)IP的ARP攻擊。

對(duì)于交換機(jī)A設(shè)備，需要配置過(guò)濾源IP是網(wǎng)關(guān)的ARP報(bào)文的ACL規(guī)則，配置如下ACL規(guī)則:

ACL num 5000rule 0deny0806ffff2464646403ffffffff40

rule0目的:把所有交換機(jī)B端口冒充網(wǎng)關(guān)的ARP報(bào)文禁掉，其中64646403是網(wǎng)關(guān)IP地址的16進(jìn)制表示形式:100.100.100.3=64646403

5.用戶(hù)群體的特殊性，網(wǎng)內(nèi)攻擊嚴(yán)重，出現(xiàn)用戶(hù)頻繁斷網(wǎng)，IE瀏覽器頻繁出錯(cuò)

解決對(duì)策1:終端安全增強(qiáng)技術(shù)。

在用戶(hù)終端系統(tǒng)上，使用自動(dòng)補(bǔ)丁更新系統(tǒng)，修補(bǔ)已知的操作系統(tǒng)或應(yīng)用系統(tǒng)的軟件漏洞，避免被人掃描到并加以利用;在用戶(hù)終端系統(tǒng)上，安裝防病毒軟件，使用特征碼掃描、實(shí)時(shí)監(jiān)控等計(jì)算機(jī)病毒防范技術(shù)加強(qiáng)網(wǎng)絡(luò)終端安全;在單個(gè)終端上啟用個(gè)人防火墻，來(lái)實(shí)現(xiàn)對(duì)終端訪問(wèn)控制，阻止一些已知的攻擊。如可以通過(guò)對(duì)個(gè)人防火墻的設(shè)定來(lái)抵御端口掃描工具，并指定操作系統(tǒng)對(duì)外開(kāi)放的安全端口，進(jìn)一步增強(qiáng)終端的安全性。因此，可以通過(guò)補(bǔ)丁管理、防病毒技術(shù)、個(gè)人防火墻等終端安全增強(qiáng)技術(shù)，有效地阻止網(wǎng)內(nèi)攻擊以及網(wǎng)絡(luò)入侵等威脅。

解決對(duì)策2:實(shí)名制上網(wǎng)方式并保存上網(wǎng)記錄，加強(qiáng)終端用戶(hù)上網(wǎng)行為的管理。

結(jié)合西北師范大學(xué)校園網(wǎng)的特點(diǎn)，我們選擇了城市熱點(diǎn)的寬帶計(jì)費(fèi)系統(tǒng)技術(shù)。寬帶計(jì)費(fèi)系統(tǒng)部署在路由器和核心交換機(jī)之間，實(shí)現(xiàn)對(duì)不同用戶(hù)基于不同策略的上網(wǎng)，達(dá)到賬號(hào)+口令+IP地址+MAC地址等信息的綁定功能，使用戶(hù)上網(wǎng)真正達(dá)到實(shí)名制，系統(tǒng)日志管理器實(shí)現(xiàn)用戶(hù)上網(wǎng)日志保存，使加強(qiáng)終端用戶(hù)上網(wǎng)行為的管理得到保證。經(jīng)實(shí)踐證明該方案性能穩(wěn)定、可靠，具有很好的應(yīng)用前景。

參考文獻(xiàn):

[1]孟洛明.網(wǎng)絡(luò)管理研究中的問(wèn)題、現(xiàn)狀和若干研究方向[J].北京郵電大學(xué)學(xué)報(bào)，2003，26(2).

[2]宋維佳等.校園網(wǎng)資源管理系統(tǒng)設(shè)計(jì)與實(shí)現(xiàn)[J].通信學(xué)報(bào)，2005(1):38-40.

[3]羅江濤.基于SNOOPING的安全DHCP系統(tǒng)研究與實(shí)現(xiàn)[D].西安電子科技大學(xué)，2007.

[4]楊楊，房超，劉輝.ARP欺騙及ICMP重定向攻擊技術(shù)研究[J].計(jì)算機(jī)工程，2008，34(2):103-107.

(編輯:金冉)