那英紅

摘 要： 本文針對(duì)校園網(wǎng)絡(luò)普遍存在的病毒和 ARP 攻擊導(dǎo)致網(wǎng)絡(luò)癱瘓的問(wèn)題，提出了從網(wǎng)絡(luò)架構(gòu)上解決 ARP 和病毒攻擊問(wèn)題的思路，并提供了具體的網(wǎng)絡(luò)架構(gòu)設(shè)計(jì)方案——通過(guò)在匯聚層設(shè)備實(shí)現(xiàn)接入用戶(hù)的 VLAN 隔離，從而減少各種病毒和 ARP 攻擊。

關(guān)鍵詞： 校園網(wǎng)絡(luò)；網(wǎng)絡(luò)安全；網(wǎng)絡(luò)設(shè)計(jì)

一、前言

校園網(wǎng)絡(luò)是實(shí)現(xiàn)一個(gè)學(xué)校教育信息化的重要設(shè)施。一個(gè)良好的校園網(wǎng)絡(luò)不僅成為學(xué)校內(nèi)部管理、培養(yǎng)高素質(zhì)人才的基礎(chǔ)平臺(tái)，也成為提高自身科研效率和創(chuàng)新能力的必備條件。目前大家一談到高校校園網(wǎng)應(yīng)用的現(xiàn)狀，網(wǎng)絡(luò)安全是大家不約而同關(guān)注的焦點(diǎn)，特別是局域網(wǎng)常見(jiàn)的 ARP 攻擊成為校園網(wǎng)絡(luò)的頭號(hào)殺手，它隨時(shí)都可能導(dǎo)致部分或整個(gè)網(wǎng)絡(luò)中斷或癱瘓，嚴(yán)重影響校園網(wǎng)絡(luò)的有效使用。近年來(lái)，盡管許多網(wǎng)絡(luò)設(shè)備提供商和安全設(shè)備提供商針對(duì)這一問(wèn)題提供了一些新的技術(shù)解決方案，如 DHCP Snooping 、IP Source Guard 、ARP 防火墻等，但由于這些技術(shù)需要更換數(shù)量巨大的現(xiàn)有接入設(shè)備，一直沒(méi)有得到大規(guī)模應(yīng)用。與此相反，從ARP攻擊原理入手，研究如何從網(wǎng)絡(luò)架構(gòu)上來(lái)隔離和根除ARP攻擊成為一種解決校園網(wǎng)絡(luò)安全問(wèn)題的更加經(jīng)濟(jì)有效的手段。

二、過(guò)去的網(wǎng)絡(luò)狀況

2008年前后，ARP攻擊方式出現(xiàn)，頻繁發(fā)生的ARP攻擊和病毒泛濫，給校園網(wǎng)絡(luò)造成了嚴(yán)重的影響，導(dǎo)致用戶(hù)滿(mǎn)意度非常差，校園網(wǎng)絡(luò)管理工作效率也非常低下。在校園網(wǎng)內(nèi)曾經(jīng)發(fā)生過(guò)這樣的極端現(xiàn)象，新計(jì)算機(jī)接入網(wǎng)絡(luò)后，不到十分鐘就感染病毒然后就系統(tǒng)崩潰，重新裝機(jī)后很快又再次崩潰的現(xiàn)象，最后到網(wǎng)絡(luò)中心安裝并打好補(bǔ)丁后才能回去使用。很多學(xué)校開(kāi)始研究應(yīng)對(duì)措施，當(dāng)時(shí)采用了一些有效的應(yīng)急措施，由于與網(wǎng)絡(luò)設(shè)計(jì)無(wú)關(guān)，不做贅述。同時(shí)，各個(gè)網(wǎng)絡(luò)設(shè)備提供商提供了基于交換機(jī)的防ARP攻擊方案，甚至有的網(wǎng)絡(luò)安全設(shè)備提供商推出專(zhuān)用的防ARP攻擊防火墻設(shè)備，但這類(lèi)設(shè)計(jì)和方案由于各種原因沒(méi)有流行。

三、新的網(wǎng)絡(luò)設(shè)計(jì)

研究發(fā)現(xiàn)，ARP攻擊就是通過(guò)偽造IP地址和MAC地址實(shí)現(xiàn)ARP欺騙，能夠在網(wǎng)絡(luò)中產(chǎn)生大量的ARP通信量使網(wǎng)絡(luò)阻塞，攻擊者只要持續(xù)不斷的發(fā)出偽造的ARP響應(yīng)包就能更改目標(biāo)主機(jī)ARP緩存中的IP-MAC條目，造成網(wǎng)絡(luò)中斷或中間人攻擊；ARP攻擊主要是存在于像校園網(wǎng)這樣基于二層共享網(wǎng)絡(luò)架構(gòu)的網(wǎng)絡(luò)中，二層共享網(wǎng)絡(luò)中若有一臺(tái)計(jì)算機(jī)感染ARP病毒，則感染該ARP病毒的系統(tǒng)將會(huì)試圖通過(guò)“ARP欺騙”手段截獲所在網(wǎng)絡(luò)內(nèi)其它計(jì)算機(jī)的通信信息，并因此造成網(wǎng)內(nèi)其它計(jì)算機(jī)的通信故障。另外，二層共享網(wǎng)絡(luò)環(huán)境傳播的病毒和攻擊行為，在所有網(wǎng)絡(luò)病毒傳播和攻擊行為中所占比例也非常高。

有效控制ARP攻擊的方法，是徹底取消二層網(wǎng)絡(luò)中存在的局域網(wǎng)，即配置每端口一個(gè)VLAN，從根本上隔離用戶(hù)，才能從根本上解決ARP攻擊問(wèn)題。這和廣泛應(yīng)用的電信以太接入網(wǎng)絡(luò)的網(wǎng)絡(luò)架構(gòu)是吻合的，電信接入網(wǎng)絡(luò)在接入交換機(jī)通過(guò)Vlan實(shí)現(xiàn)用戶(hù)隔離，用戶(hù)之間在匯聚層以下不允許通過(guò)二層網(wǎng)絡(luò)進(jìn)行直接通信，所以電信接入網(wǎng)絡(luò)中的ARP攻擊和病毒攻擊很少，提高了網(wǎng)絡(luò)的穩(wěn)定性和安全性。我們最終選擇了只依靠匯聚交換機(jī)來(lái)劃分大量VLAN，從匯聚層到接入層網(wǎng)絡(luò)，用戶(hù)之間相互隔離的技術(shù)方案，取得了良好的效果。

新的網(wǎng)絡(luò)架構(gòu)中包括三個(gè)層次，分別具有如下特點(diǎn)：

（一）核心層：采用三層架構(gòu)，V4/v6雙棧，主要負(fù)責(zé)高速數(shù)據(jù)轉(zhuǎn)發(fā)，兩臺(tái)核心交換機(jī)連接各個(gè)樓宇匯聚交換機(jī)，每棟樓配置一條或兩條路由，這樣減少路由數(shù)量，設(shè)備負(fù)擔(dān)很輕，也方便網(wǎng)絡(luò)的路由維護(hù)管理。

（二）匯聚層：向上和核心交換機(jī)相連，采用三層網(wǎng)絡(luò)互連；向下連接接入層交換機(jī)和必要的前置匯聚交換機(jī)，采用二層網(wǎng)絡(luò)架構(gòu)，并采用VLAN實(shí)現(xiàn)用戶(hù)隔離，保證每接入端口一個(gè)VLAN。匯聚交換機(jī)啟用V4/v6雙棧，并開(kāi)啟地址分配服務(wù)。

（三）接入層：包括接入交換機(jī)以及必要的前置匯聚交換機(jī)，均為簡(jiǎn)單二層交換設(shè)備，采用二層技術(shù)組網(wǎng)，前置匯聚交換機(jī)放行所有VLAN。接入層按照規(guī)劃，每端口配置不同VLAN。

經(jīng)過(guò)將近一年的實(shí)施和運(yùn)行驗(yàn)證，整體效果非常好。表現(xiàn)為：

1.病毒攻擊明顯減少：基本沒(méi)有老師說(shuō)防火墻報(bào)警某某IP地址攻擊他的計(jì)算機(jī)需要請(qǐng)求網(wǎng)絡(luò)中心協(xié)助處理。

2. ARP攻擊徹底消失，不需要做任何處理。如果個(gè)別沒(méi)有實(shí)現(xiàn)完全隔離的區(qū)域出現(xiàn)問(wèn)題，由于限制在一個(gè)房間之內(nèi)，可以指導(dǎo)用戶(hù)自己處理，非常簡(jiǎn)單，絕大多數(shù)師生都可以自行完成。

3.可以根據(jù)IP地址實(shí)現(xiàn)故障定位，網(wǎng)絡(luò)管理可以準(zhǔn)確到每一間房間、每一個(gè)端口。

4.全網(wǎng)標(biāo)準(zhǔn)化配置，工作人員經(jīng)過(guò)簡(jiǎn)單培訓(xùn)即可處理樓宇內(nèi)所有網(wǎng)絡(luò)的基本故障，提高了工作效率，降低了工作人員培訓(xùn)

要求。

四、總結(jié)與討論

總結(jié)起來(lái)，本文所討論的校園網(wǎng)絡(luò)設(shè)計(jì)思想關(guān)鍵點(diǎn)在于：通過(guò)引入新的高性能匯聚交換機(jī)，將電信運(yùn)營(yíng)商網(wǎng)絡(luò)的架構(gòu)思想應(yīng)用于校園網(wǎng)絡(luò)設(shè)計(jì)中，解決了高校網(wǎng)絡(luò)廣泛存在的 ARP 攻擊和病毒攻擊兩大難題，提高了網(wǎng)絡(luò)的穩(wěn)定性，簡(jiǎn)化了網(wǎng)絡(luò)管理，而且保留了大量原有的低端接入層設(shè)備，投資保護(hù)性好，經(jīng)濟(jì)有效。

參考文獻(xiàn)：

[1]無(wú)線(xiàn)局域網(wǎng)安全接入-體系結(jié)構(gòu)與協(xié)議[M].高等教育出版社， 2009.4.

[2]無(wú)線(xiàn)局域網(wǎng)安全體系結(jié)構(gòu)[M].高等教育出版社，2008.5.