【內容提要】隨著各個學校校園網絡的建設，校園網絡的管理問題便凸顯出來，如何才能有效的管理好網絡，使網絡為人們的工作學習提供更多的便利。同時我們如何防范惡意的攻擊者以及管理好網絡中的用戶問題也擺在我們網絡管理員的面前，本文就作者在校園網絡管理中所經常遇到的問題進行分析并提出解決問題的方法。
　　【關鍵字】計算機，網絡，故障，維護，ARP
　　
　　隨著計算機的廣泛應用和網絡的日趨流行，功能獨立的多種計算機系統互聯起來，形成日漸龐大的網絡系統。網絡帶來的便利及信息內容的豐富使得計算機網絡在學校中越來越流行，我校也是借助信息革命的東風構建了校園網。然而網絡的定義決定了它在運行過程中不可能一帆風順。本文就取材于我個人在校園網絡的維護方面遇到的一些問題并進行分析進而提出解決的方法。
　　在校園網絡中常見的故障主要分為這樣幾類，分別是：私自更換IP地址；在網絡中形成回路；下載文件堵塞網絡；病毒攻擊導致網絡癱瘓。
　　1私自更換IP地址形成IP地址沖突
　　在我校校園網建成初期我們幾個網絡管理人員幾乎每天被這一問題困擾。早期校園網絡較小，僅供部分教師上網，同時大部分教師不懂網絡，所以我們采用DHCP讓他們自動獲取到地址，后來機器數量增多了有懂些網絡知識的老師為了地址固定，就不用獲取而是設定了一些固定的地址，這樣DHCP服務器就有可能會將先連入的機器分配一些被設為固定的地址，于是被設了固定地址的機器就不能使用那個地址，機器的使用者就會盲目更換地址，造成整個網絡地址沖突。針對上述問題，我提出了將所有的地址登記并分配固定IP地址，但是僅僅這么做還不行，他們還是會經常更換，最后我將IP地址和網卡地址綁定，私自更換IP地址或網卡地址都無法上網，這樣才解決了私自更換IP地址形成IP地址沖突的問題。
　　2在網絡形成回路
　　所謂回路就是網絡中存在環!例如兩臺交換機相連,應該使用一條線相連,達到級聯的效果，如果使用兩條線連接,就構成了回路。回路產生的根本原因是由于交換機的工作原理造成。當交換機中有新機器接入，交換機會產生一個機器MAC地址和交換機端口的對照表，然后該交換機將該表傳到相鄰的交換機，在相鄰的交換機的另一個端口又穿回來,從而又增加一個MAC地址表,這樣無限制的傳輸會引起網絡帶寬用盡,從而使網絡癱瘓。
　　人們都知道形成回路會影響網絡，但是在實際網絡中，這種情況是很容易發生的。例如我曾經就在我校一個辦公室中看到這樣的情況：由于網絡接口模塊不夠，他們就在辦公室中增加了一個交換機，共接了五臺電腦，后來有一人搬走留下一根網線的一端放在那里，來了一個新人看見這條線沒有接好就接回了交換機，他這一錯誤的行為導致整個網絡馬上耗盡了所有的帶寬，整個網絡堵塞無法聯網，經過仔細排查我發現一臺交換機上的數據量特別大，于是就懷疑是該交換機所連接的局部網絡的問題，將該交換機斷開網絡后，網絡馬上恢復正常。我仔細檢查與該交換機相連接的網線，發現有一根從交換機接出的網線又接回了交換機，剛好形成了回路。
　　針對校園網中存在的這一問題，我查閱了相關的資料后，了解到該網絡中的交換機可以配置生成樹協議來消除回路，于是我將所有的交換機都配置了生成樹協議，使得環路自動消失，同時也解決了另外一個困擾我的問題。由于早期網絡建設我沒有多少經驗，所以我在設計的時候也考慮為整個網絡做一個鏈路備份，但是擔心形成回路，所以就放棄了，現在配置了生成樹協議后，我就將網絡的鏈路加做了備份從而形成如下圖所示的安全鏈路。在四臺交換機A、B、C、D之間形成了多條備用鏈路。
　　
　　
　　
　　
　　3下載文件堵塞網絡。
　　所謂下載文件堵塞網絡，對我校來說，就是在學校內部有些老師喜歡音樂和電影，于是他們就用迅雷、BT、電驢等下載工具下載大量的音頻視頻文件，使得整個的帶寬被耗盡，導致其他的老師想打開網頁都困難。相信這一現象在很多的局域網內部普遍存在。本人向一些負責這方面工作網絡管理員了解過，他們大多采用勸說，讓其自覺遵守網絡管理規定，在網絡空閑時段下載，但收效甚微，并不能從根本上解決問題。
　　對于我校網絡中存在的這一問題，加之網絡使用者有老師、學生、及其他的教職工，人員龐雜，這種方法根本行不通，只能從技術上來解決這一問題。為了解決這一問題我查閱了大量的資料對我校現用的路由器交換機的功能有了全新的了解之后，我將網絡按照科室劃分了VLAN，每個VLAN中分配一定的帶寬，這樣基本解決一人下載全校網絡都很慢的問題，雖然不影響其他科室的人，但是還是會影響到本科室的人，并沒有從根本上解決問題。最后，只能夠采用每IP地址限速，就是為每個IP地址分配一定的帶寬，限制每個IP地址的流量。設置如下圖所示：
　　
　　

　　但是這樣又會帶來新的問題，那就是帶寬的浪費，確實需要下載文件的人也無法獲得更大的帶寬。針對這一問題，我采取了兩個措施，一是對于一些平時確實較多需要下載大文件的IP帶寬分配的大些，二是當網絡有空余的帶寬時，任何一個IP都可以使用多余的帶寬。設置如下圖所示：
　　
　　

    
　
　　4病毒攻擊導致網絡癱瘓
　　這種情況存在多種可能，其中比較常見的是ARP病毒攻擊。這種病毒攻擊導致網絡癱瘓是人為故障中最難解決的。下面就ARP攻擊如何解決做詳細闡述。
　　要想解決這一問題首先要了解ARP是什么以及它的工作原理。我們知道，當我們在瀏覽器里面輸入網址時，DNS服務器會自動把它解析為IP地址，瀏覽器實際上查找的是IP地址而不是網址。但是網絡信息傳輸只知道IP地址并不行，必須知道對方的MAC地址，那么IP地址是如何轉換為第二層物理地址（即MAC地址）的呢？在局域網中，這是通過ARP協議來完成的。通過偽造IP地址和MAC地址實現ARP欺騙，能夠在網絡中產生大量的ARP通信量使網絡阻塞，這就是ARP病毒。那么什么是ARP協議呢？ARP——地址解析協議。在TCP/IP網絡環境下，每個主機都分配了一個32位的IP地址，這種互聯網地址是在網際范圍標識主機的一種邏輯地址。為了讓報文在物理網路上傳送，必須知道對方目的主機的物理地址。這樣就存在把IP地址變換成物理地址的地址轉換問題。以以太網環境為例，為了正確地向目的主機傳送報文，必須把目的主機的32位IP地址轉換成為48位以太網的地址。這就需要在互連層有一組服務將IP地址轉換為相應物理地址，這組協議就是ARP協議。
　　下面介紹ARP的工作原理，分為兩種情況：
　　1）在同一個網段內
　　假設主機A和B在同一個網段,主機A要向主機B發送信息。具體的地址解析過程如下：
　　(1)主機A首先查看自己的ARP緩存表,確定其中是否包含有主機B對應的ARP表項。如果找到了主機B對應的MAC地址,則主機A直接利用ARP表中的MAC地址,對IP數據包進行幀封裝,并將數據包發送給主機B。
　　(2)如果主機A在ARP緩存表中找不到對應的MAC地址,則緩存該數據報文,然后以廣播方式發送一個ARP請求報文。由于ARP請求報文以廣播方式發送,該網段上的所有主機都可以接收到該請求,但只有被請求的主機B會對該請求進行處理。
　　(3)主機B比較自己的IP地址和ARP請求報文中的目標IP地址,如果相同則將ARP請求報文中的發送端主機A的IP地址和MAC地址存入自己的ARP表中，之后以單播方式發送ARP響應報文給主機A。
　　(4)主機A收到ARP響應報文后,將主機B的MAC地址加入到自己的ARP緩存表中以用于后續報文的轉發,同時將IP數據包進行封裝后發送出去。
　　2）在不同網段間
　　當主機A和主機B不在同一網段時,主機A就會先向網關發出ARP請求報文。當主機A從收到的響應報文中獲得網關的MAC地址后,將報文封裝并發給網關。如果網關沒有主機B的ARP表項,網關會廣播ARP請求,目標IP地址為主機B的IP地址,當網關從收到的響應報文中獲得主機B的MAC地址后,就可以將報文發給主機B;如果網關已經有主機B的ARP表項,網關直接把報文發給主機B。
　　在了解了這些以后，我們平時就應該在網絡中做如下的防范措施：
　　1）IP地址和MAC地址的靜態綁定
　　(1)在用戶端進行綁定
　　ARP欺騙是通過ARP的動態刷新,并不進行驗證的漏洞,來欺騙內網主機的,所以我們把ARP表全部設置為靜態可以解決對內網的欺騙,也就是在用戶端實施IP和MAC地址綁定,可以在用戶主機上建立一個批處理文件,此文件內容是綁定內網主機IP地址和MAC地址,并包括網關主機的IP地址和MAC地址的綁定,并把此批處理文件放到系統的啟動目錄下,使系統每次重啟后,自動運行此文件。
　　批處理文件內容如下：
　　
　　arp-s本機IP地址本機MAC地址
　　arp-s網關地址網關MAC地址
　　
　　這里要注意，當網關的地址改變，該批處理文件一定要及時改動否則無法聯網。
　　(2)在交換機上綁定
　　在核心交換機上綁定用戶主機IP地址和網卡的MAC地址,如果用戶隨意改變自己的IP地址或者MAC地址，就無法連入互聯網。如下圖所示：
　　
　　
　
　　同時在邊緣交換機上將用戶計算機網卡的IP地址和交換機端口綁定的雙重安全綁定方式。這樣可以極大程度上避免非法用戶使用ARP欺騙或盜用合法用戶的IP地址進行流量的盜取,可以防止非法用戶隨意接入網絡,網絡用戶如果擅自改動本機網卡的IP或MAC地址,該機器的網絡訪問將被拒絕,從而降低了ARP攻擊的概率。
　　2）采用VLAN技術隔離端口
　　我們可根據需要,將本單位網絡規劃出若干個VLAN,當發現有非法用戶在惡意利用ARP欺騙攻擊網絡,或因合法用戶受病毒ARP病毒感染而影響網絡時,我們可先找到該用戶所在的交換機端口,然后將該端口劃一個單獨的VLAN,將該用戶與其它用戶進行隔離,以避免對其它用戶的影響,當然也可以利用將交換機的該端口關掉來屏蔽該用戶對網絡造成影響。
　　3）防火墻和殺毒軟件
　　可以安裝ARP防火墻或者開啟局域網ARP防護,比如360安全衛士等ARP病毒專殺工具,并且實時下載安裝系統漏洞補丁,關閉不必要的服務等來減少病毒的攻擊。
　　隨著互聯網的推廣普及，其社會化、大眾化的特征必然給網絡管理員帶來新的挑戰，作為其縮影的校園網絡當然也不例外。但是我相信只要我們網絡管理員努力鉆研，與時俱進，就能掌握合適的方法來破解我們所面對的一個又一個的難題。

　　搜論文知識網致力于為需要刊登論文的人士提供相關服務,提供迅速快捷的論文發表、寫作指導等服務。具體發表流程為：客戶咨詢→確定合作，客戶支付定金→文章發送并發表→客戶接收錄用通知，支付余款→雜志出版并寄送客戶→客戶確認收到。鳴網系學術網站，對所投稿件無稿酬支付，謝絕非學術類稿件的投遞！