校园网安全构架设计与实践

　　摘要：本文针对校园网络普遍存在的病毒和ARP攻击导致网络瘫痪的问题，提出了从网络架构上解决ARP和病毒攻击问题的思路，并提供了具体的网络架构设计方案通过在汇聚层设备实现接入用户的VLAN隔离，从而减少各种病毒和ARP攻击。
　　关键词：校园网络；网络安全；网络设计
　　一、前言
　　校园网络是实现一个学校教育信息化的重要设施。一个良好的校园网络不仅成为学校内部管理、培养高素质人才的基础平台，也成为提高自身科研效率和创新能力的必备条件。目前大家一谈到高校校园网应用的现状，网络安全是大家不约而同关注的焦点，特别是局域网常见的ARP攻击成为校园网络的头号杀手，它随时都可能导致部分或整个网络中断或瘫痪，严重影响校园网络的有效使用。近年来，尽管许多网络设备提供商和安全设备提供商针对这一问题提供了一些新的技术解决方案，如DHCPSnooping、IPSourceGuard、ARP防火墙等，但由于这些技术需要更换数量巨大的现有接入设备，一直没有得到大规模应用。与此相反，从ARP攻击原理入手，研究如何从网络架构上来隔离和根除ARP攻击成为一种解决校园网络安全问题的更加经济有效的手段。
　　二、过去的网络状况
　　2008年前后，ARP攻击方式出现，频繁发生的ARP攻击和病毒泛滥，给校园网络造成了严重的影响，导致用户满意度非常差，校园网络管理工作效率也非常低下。在校园网内曾经发生过这样的极端现象，新计算机接入网络后，不到十分钟就感染病毒然后就系统崩溃，重新装机后很快又再次崩溃的现象，最后到网络中心安装并打好补丁后才能回去使用。很多学校开始研究应对措施，当时采用了一些有效的应急措施，由于与网络设计无关，不做赘述。同时，各个网络设备提供商提供了基于交换机的防ARP攻击方案，甚至有的网络安全设备提供商推出专用的防ARP攻击防火墙设备，但这类设计和方案由于各种原因没有流行。
　　三、新的网络设计
　　研究发现，ARP攻击就是通过伪造IP地址和MAC地址实现ARP欺骗，能够在网络中产生大量的ARP通信量使网络阻塞，攻击者只要持续不断的发出伪造的ARP响应包就能更改目标主机ARP缓存中的IPMAC条目，造成网络中断或中间人攻击；ARP攻击主要是存在于像校园网这样基于二层共享网络架构的网络中，二层共享网络中若有一台计算机感染ARP病毒，则感染该ARP病毒的系统将会试图通过ARP欺骗手段截获所在网络内其它计算机的通信信息，并因此造成网内其它计算机的通信故障。另外，二层共享网络环境传播的病毒和攻击行为，在所有网络病毒传播和攻击行为中所占比例也非常高。
　　有效控制ARP攻击的方法，是彻底取消二层网络中存在的局域网，即配置每端口一个VLAN，从根本上隔离用户，才能从根本上解决ARP攻击问题。这和广泛应用的电信以太接入网络的网络架构是吻合的，电信接入网络在接入交换机通过Vlan实现用户隔离，用户之间在汇聚层以下不允许通过二层网络进行直接通信，所以电信接入网络中的ARP攻击和病毒攻击很少，提高了网络的稳定性和安全性。我们最终选择了只依靠汇聚交换机来划分大量VLAN，从汇聚层到接入层网络，用户之间相互隔离的技术方案，取得了良好的效果。
　　新的网络架构中包括三个层次，分别具有如下特点：
　　（一）核心层：采用三层架构，V4v6双栈，主要负责高速数据转发，两台核心交换机连接各个楼宇汇聚交换机，每栋楼配置一条或两条路由，这样减少路由数量，设备负担很轻，也方便网络的路由维护管理。
　　（二）汇聚层：向上和核心交换机相连，采用三层网络互连；向下连接接入层交换机和必要的前置汇聚交换机，采用二层网络架构，并采用VLAN实现用户隔离，保证每接入端口一个VLAN。汇聚交换机启用V4v6双栈，并开启地址分配服务。
　　（三）接入层：包括接入交换机以及必要的前置汇聚交换机，均为简单二层交换设备，采用二层技术组网，前置汇聚交换机放行所有VLAN。接入层按照规划，每端口配置不同VLAN。
　　经过将近一年的实施和运行验证，整体效果非常好。表现为：
　　1。病毒攻击明显减少：基本没有老师说防火墙报警某某IP地址攻击他的计算机需要请求网络中心协助处理。
　　2。ARP攻击彻底消失，不需要做任何处理。如果个别没有实现完全隔离的区域出现问题，由于限制在一个房间之内，可以指导用户自己处理，非常简单，绝大多数师生都可以自行完成。
　　3。可以根据IP地址实现故障定位，网络管理可以准确到每一间房间、每一个端口。
　　4。全网标准化配置，工作人员经过简单培训即可处理楼宇内所有网络的基本故障，提高了工作效率，降低了工作人员培训
　　要求。
　　四、总结与讨论
　　总结起来，本文所讨论的校园网络设计思想关键点在于：通过引入新的高性能汇聚交换机，将电信运营商网络的架构思想应用于校园网络设计中，解决了高校网络广泛存在的ARP攻击和病毒攻击两大难题，提高了网络的稳定性，简化了网络管理，而且保留了大量原有的低端接入层设备，投资保护性好，经济有效。
　　参考文献：
　　〔1〕无线局域网安全接入体系结构与协议〔M〕。高等教育出版社，2009。4。
　　〔2〕无线局域网安全体系结构〔M〕。高等教育出版社，2008。5。