張丹東，戴俊文

（1.中國政法大學(xué)現(xiàn)代教育技術(shù)中心 北京 100088；2.邁普通信技術(shù)股份有限公司 成都 610041）

1 前言

校園網(wǎng)絡(luò)是實(shí)現(xiàn)高校教育信息化的重要設(shè)施。一個良好的校園網(wǎng)絡(luò)不僅成為學(xué)校內(nèi)部管理、培養(yǎng)高素質(zhì)人才的基礎(chǔ)平臺，也成為高校提高自身科研效率和創(chuàng)新能力的必備條件。經(jīng)過多年的建設(shè)，國內(nèi)大多數(shù)高校都建成了自己的校園網(wǎng)絡(luò)。由于高校的環(huán)境特別適合以太交換網(wǎng)技術(shù)的應(yīng)用，所以幾乎所有高校在網(wǎng)絡(luò)建設(shè)時都采用了高帶寬的以太交換機(jī)、基于二層或三層組網(wǎng)技術(shù)來組建自己的園區(qū)網(wǎng)絡(luò)，具有低延時、高帶寬的校園網(wǎng)絡(luò)應(yīng)用起來本該一帆風(fēng)順，然而實(shí)際情況并非如此。一談到高校校園網(wǎng)應(yīng)用的現(xiàn)狀，網(wǎng)絡(luò)安全是大家不約而同關(guān)注的焦點(diǎn)，特別是病毒泛濫和ARP攻擊。隨著計(jì)算機(jī)病毒傳播及黑客攻擊手段越來越智能，影響范圍也越來越廣，破壞力也越來越大，特別是局域網(wǎng)常見的ARP攻擊成為高校網(wǎng)絡(luò)的頭號殺手，它隨時都可能導(dǎo)致部分或整個網(wǎng)絡(luò)中斷或癱瘓，嚴(yán)重影響高校網(wǎng)絡(luò)的有效使用。近年來，盡管許多網(wǎng)絡(luò)設(shè)備提供商和安全設(shè)備提供商針對這一問題提供了一些新的技術(shù)解決方案，如DHCP Snooping、終端認(rèn)證+IP+MAC+Port綁定、IP Source Guard、Dynamic ARP Inspection、ARP 防火墻等，但由于這些技術(shù)要么需要更換數(shù)量巨大的現(xiàn)有接入設(shè)備，要么管理工作量太大不易部署，要么自身的處理能力限制成為新的攻擊瓶頸等，一直沒有得到大規(guī)模應(yīng)用。與此相反，從ARP攻擊原理入手，研究如何從網(wǎng)絡(luò)架構(gòu)上來隔離和根除ARP攻擊成為一種解決校園網(wǎng)絡(luò)安全問題的更加經(jīng)濟(jì)有效的手段。

通過對校園網(wǎng)絡(luò)和電信網(wǎng)絡(luò)的對比分析后發(fā)現(xiàn)，借鑒電信網(wǎng)絡(luò)架構(gòu)，重新審視高校網(wǎng)絡(luò)架構(gòu)設(shè)計(jì)，可以有效解決校園網(wǎng)絡(luò)安全問題，特別是ARP攻擊帶來的網(wǎng)絡(luò)不穩(wěn)定等問題，提供校園網(wǎng)絡(luò)的安全性和穩(wěn)定性。

2 過去的網(wǎng)絡(luò)狀況

中國政法大學(xué)校園網(wǎng)于1998年籌建，1999年招標(biāo)，2000年實(shí)施，至今整10年。初期校園網(wǎng)建設(shè)采用流行的吉比特以太網(wǎng)，兩個校區(qū)各一臺三層交換機(jī)作為核心交換機(jī)，其他均為二層交換機(jī)。網(wǎng)絡(luò)采用兩層結(jié)構(gòu)，核心交換機(jī)之間采用三層架構(gòu)組網(wǎng)，核心交換機(jī)以下采用二層架構(gòu)組網(wǎng)，接入網(wǎng)絡(luò)規(guī)劃設(shè)計(jì)的網(wǎng)段較大，大多以一個C類地址劃分，一棟樓為一個網(wǎng)段。由于計(jì)算機(jī)數(shù)量較少，網(wǎng)絡(luò)僅僅開通辦公區(qū)和部分學(xué)生宿舍，使用中沒有任何問題，沿用較長時間。

2003年，從著名的非典事件開始，網(wǎng)絡(luò)應(yīng)用以及計(jì)算機(jī)數(shù)量急劇增加，為了適應(yīng)新的需要，調(diào)整和修改了原來的網(wǎng)絡(luò)構(gòu)架，每棟樓（或幾棟樓）采用一臺三層設(shè)備作為匯聚設(shè)備，匯聚設(shè)備以上采用了三層網(wǎng)絡(luò)構(gòu)架，匯聚設(shè)備以下作為接入網(wǎng)絡(luò)，采用二層設(shè)備，并將接入網(wǎng)絡(luò)細(xì)分為每層樓一個網(wǎng)段，依舊是以一個C類地址劃分。此架構(gòu)在之后發(fā)生的數(shù)次大規(guī)模網(wǎng)絡(luò)病毒爆發(fā)時間中表現(xiàn)良好，未發(fā)生過全校網(wǎng)絡(luò)癱瘓的情況。未發(fā)生過全校網(wǎng)絡(luò)癱瘓的原因是，攻擊一般會導(dǎo)致樓宇核心癱瘓，而樓宇核心的癱瘓，就阻斷了向校園網(wǎng)核心的攻擊。而同期采用純二層網(wǎng)絡(luò)架構(gòu)的其他兄弟院?；径及l(fā)生過全網(wǎng)癱瘓的情況。

2007年前后，ARP攻擊方式出現(xiàn)，頻繁發(fā)生的ARP攻擊和病毒泛濫，給校園網(wǎng)絡(luò)造成了嚴(yán)重的影響，導(dǎo)致用戶滿意度非常差，校園網(wǎng)絡(luò)管理工作效率也非常低下。在校園網(wǎng)內(nèi)曾經(jīng)發(fā)生過這樣的極端現(xiàn)象，新計(jì)算機(jī)接入網(wǎng)絡(luò)后，不到10 min就感染病毒然后造成系統(tǒng)崩潰，重新裝機(jī)后很快又再次崩潰的現(xiàn)象，最后到網(wǎng)絡(luò)中心安裝并打好補(bǔ)丁后才能使用。很多高校開始研究應(yīng)對措施，當(dāng)時采用了一些有效的應(yīng)急措施，由于與網(wǎng)絡(luò)設(shè)計(jì)無關(guān)，不做贅述。同時，各個網(wǎng)絡(luò)設(shè)備提供商提供了基于交換機(jī)的防ARP攻擊方案，甚至有的網(wǎng)絡(luò)安全設(shè)備提供商推出專用的防ARP攻擊防火墻設(shè)備，但這類設(shè)計(jì)和方案由于各種原因沒有流行。

3 新的網(wǎng)絡(luò)設(shè)計(jì)

2008年，由于無法忍受ARP攻擊的影響，又由于學(xué)校資金限制，無法把大量的現(xiàn)有接入交換機(jī)更換成支持抗ARP攻擊的接入交換機(jī)，迫不得已，開始思考如何從網(wǎng)絡(luò)架構(gòu)設(shè)計(jì)來解決ARP攻擊問題，特別是研究如何主動避免ARP攻擊而不是被動應(yīng)對ARP攻擊問題。

研究發(fā)現(xiàn)，ARP攻擊就是通過偽造IP地址和MAC地址實(shí)現(xiàn)ARP欺騙，能夠在網(wǎng)絡(luò)中產(chǎn)生大量的ARP通信量使網(wǎng)絡(luò)阻塞，攻擊者只要持續(xù)不斷地發(fā)出偽造的ARP響應(yīng)包就能更改目標(biāo)主機(jī)ARP緩存中的IP-MAC條目，造成網(wǎng)絡(luò)中斷或中間人攻擊；ARP攻擊主要存在于像校園網(wǎng)這樣基于二層共享網(wǎng)絡(luò)架構(gòu)的網(wǎng)絡(luò)中，二層共享網(wǎng)絡(luò)中若有一臺計(jì)算機(jī)感染ARP病毒，則感染該ARP病毒的系統(tǒng)將會試圖通過“ARP欺騙”手段截獲所在網(wǎng)絡(luò)內(nèi)其他計(jì)算機(jī)的通信信息，并因此造成網(wǎng)內(nèi)其他計(jì)算機(jī)的通信故障；另外，二層共享網(wǎng)絡(luò)環(huán)境傳播的病毒和攻擊行為，在所有網(wǎng)絡(luò)病毒傳播和攻擊行為中所占比例也非常高。

有效控制ARP攻擊的方法，是徹底取消二層網(wǎng)絡(luò)中存在的局域網(wǎng)，即配置每端口一個VLAN，從根本上隔離用戶，才能從根本上解決ARP攻擊問題。這和廣泛應(yīng)用的電信以太接入網(wǎng)絡(luò)的網(wǎng)絡(luò)架構(gòu)是吻合的，電信接入網(wǎng)絡(luò)在接入交換機(jī)后通過VLAN實(shí)現(xiàn)用戶隔離，用戶之間在匯聚層以下不允許通過二層網(wǎng)絡(luò)進(jìn)行直接通信，所以電信接入網(wǎng)絡(luò)中的ARP攻擊和病毒攻擊很少，提高了網(wǎng)絡(luò)的穩(wěn)定性和安全性。

為了實(shí)現(xiàn)校園網(wǎng)接入網(wǎng)絡(luò)用戶的相互隔離，筆者最終選擇了只依靠匯聚交換機(jī)來劃分大量 VLAN，從匯聚層到接入層網(wǎng)絡(luò)，用戶之間相互隔離的技術(shù)方案，取得了良好的效果。新的網(wǎng)絡(luò)規(guī)劃如圖1所示。

新的網(wǎng)絡(luò)架構(gòu)中包括三個層次，分別具有如下特點(diǎn)。

·核心層：采用三層架構(gòu)，IPv4/v6雙棧，主要負(fù)責(zé)高速數(shù)據(jù)轉(zhuǎn)發(fā)，兩臺核心交換機(jī)連接各個樓宇匯聚交換機(jī)，每棟樓配置一條或兩條路由，這樣減少路由數(shù)量，設(shè)備負(fù)擔(dān)很輕，也方便網(wǎng)絡(luò)的路由維護(hù)管理。

·匯聚層：向上和核心交換機(jī)相連，采用三層網(wǎng)絡(luò)互連；向下連接接入層交換機(jī)和必要的前置匯聚交換機(jī)，采用二層網(wǎng)絡(luò)架構(gòu)，并采用VLAN實(shí)現(xiàn)用戶隔離，保證每接入端口一個VLAN。匯聚交換機(jī)啟用IPv4/v6雙棧，并開啟地址分配服務(wù)。

·接入層：包括接入交換機(jī)以及必要的前置匯聚交換機(jī)，均為簡單二層交換設(shè)備，采用二層技術(shù)組網(wǎng)，前置匯聚交換機(jī)放行所有VLAN。接入層按照規(guī)劃，每端口配置不同VLAN。

經(jīng)過將近一年的實(shí)施和運(yùn)行驗(yàn)證，整體效果非常好，表現(xiàn)如下。

·病毒感染明顯減少。

·病毒攻擊明顯減少。

·ARP攻擊徹底消失，不需要做任何處理。如果個別沒有實(shí)現(xiàn)完全隔離的區(qū)域出現(xiàn)問題，由于限制在一個房間之內(nèi)，可以指導(dǎo)用戶自己處理，非常簡單，絕大多數(shù)師生都可以自行完成。

·可以根據(jù)IP地址實(shí)現(xiàn)故障定位，網(wǎng)絡(luò)管理可以準(zhǔn)確到每一間房間、每一個端口。

·由于同時采用了IPv4/v6地址的自動分配，用戶上網(wǎng)簡單，免去了很多手續(xù)。

·全網(wǎng)標(biāo)準(zhǔn)化配置，工作人員經(jīng)過簡單培訓(xùn)即可處理樓宇內(nèi)所有網(wǎng)絡(luò)的基本故障，提高了工作效率，降低了對工作人員的培訓(xùn)要求。

采用這樣的網(wǎng)絡(luò)設(shè)計(jì)和部署，以下關(guān)鍵問題的處理也非常重要。

·師生無法使用局域網(wǎng)軟件。在校園網(wǎng)中采用這種網(wǎng)絡(luò)構(gòu)架會影響校園網(wǎng)中廣泛使用的文件共享等依賴二層網(wǎng)絡(luò)實(shí)現(xiàn)的網(wǎng)絡(luò)應(yīng)用。研究后，建議用戶采用虛擬局域網(wǎng)軟件，反映效果很好，不但可以在全校范圍使用，而且還可以在全球范圍使用。

·網(wǎng)絡(luò)對匯聚層設(shè)備的要求較高。隨著計(jì)算機(jī)數(shù)量和用戶流量的增加，需要選擇高性能的匯聚層設(shè)備，主要表現(xiàn)在以下幾個方面：數(shù)據(jù)平面網(wǎng)絡(luò)流量處理能力要求很高，否則可能會出現(xiàn)網(wǎng)絡(luò)擁堵；數(shù)據(jù)平面對VLAN的支持?jǐn)?shù)量要大，否則無法做到每個接入用戶一個VLAN；由于在匯聚層設(shè)備開啟地址分配服務(wù)，需要較高的控制平面處理能力，否則會出現(xiàn)接入計(jì)算機(jī)無法獲取地址等故障；由于處于匯聚層的位置，對自身安全保護(hù)和抗攻擊能力的要求也比較高。這些問題都與設(shè)備的性能相關(guān)，是選擇匯聚交換機(jī)時需要仔細(xì)考慮的。中國政法大學(xué)校園網(wǎng)絡(luò)選擇了電信級城域以太網(wǎng)的匯聚交換機(jī)，其良好的流量轉(zhuǎn)發(fā)性能、管理控制能力和安全穩(wěn)定性，很好地滿足了實(shí)際使用的需要。

中國政法大學(xué)校園網(wǎng)從網(wǎng)絡(luò)架構(gòu)設(shè)計(jì)上根本解決了當(dāng)前校園網(wǎng)存在的難點(diǎn)，新部署的網(wǎng)絡(luò)安全性好、穩(wěn)定性高，極大地提高了用戶的滿意度。本設(shè)計(jì)思想在與北京兄弟高校的交流中得到肯定，也有一些兄弟院校開始了測試或?qū)嶋H推廣工作。

4 結(jié)束語

本文所討論的校園網(wǎng)絡(luò)設(shè)計(jì)思想關(guān)鍵點(diǎn)在于：通過引入新的高性能匯聚交換機(jī)，將電信運(yùn)營商網(wǎng)絡(luò)的架構(gòu)思想應(yīng)用于校園網(wǎng)絡(luò)設(shè)計(jì)中，解決了高校網(wǎng)絡(luò)廣泛存在的ARP攻擊和病毒攻擊兩大難題，提高了網(wǎng)絡(luò)的穩(wěn)定性，簡化了網(wǎng)絡(luò)管理，而且保留了大量原有的低端接入層設(shè)備，投資保護(hù)性好，經(jīng)濟(jì)有效。

通過實(shí)踐和驗(yàn)證，結(jié)合高校校園網(wǎng)的實(shí)際發(fā)展趨勢，對現(xiàn)有的校園網(wǎng)絡(luò)架構(gòu)和相應(yīng)的交換機(jī)產(chǎn)品設(shè)計(jì)提出了以下一些思考和建議，以供探討：

·核心層網(wǎng)絡(luò)強(qiáng)化數(shù)據(jù)轉(zhuǎn)發(fā)性能和三層網(wǎng)絡(luò)功能，相應(yīng)的核心交換機(jī)設(shè)計(jì)做相應(yīng)的調(diào)整，強(qiáng)化轉(zhuǎn)發(fā)數(shù)據(jù)功能，簡化其他不必要的功能，有利于降低成本；

·匯聚層網(wǎng)絡(luò)應(yīng)適當(dāng)增強(qiáng)二層匯聚和三層路由能力，特別重要的一點(diǎn)是匯聚交換機(jī)的設(shè)計(jì)應(yīng)當(dāng)提高VLAN支持?jǐn)?shù)量，增強(qiáng)控制面處理能力，如路由性能、自動分配地址性能等，以及提供自身的抗攻擊能力；

·接入層網(wǎng)絡(luò)主要完成用戶接入的功能，接入交換機(jī)應(yīng)該提高帶寬、簡化功能、降低成本；

·一些專用于電信網(wǎng)絡(luò)的技術(shù)或思想，可以有選擇地應(yīng)用于校園網(wǎng)絡(luò)設(shè)計(jì)，提高校園網(wǎng)絡(luò)的可靠性、安全性、管理維護(hù)能力。

1 Diane Teare, Catherine Paquet. Campus network design fundamentals.Cisco Press,December 2005

2 Eric Vyncke,Christopher Paggen.LAN switch security.Cisco Press,August 2007