【內(nèi)容提要】隨著各個學(xué)校校園網(wǎng)絡(luò)的建設(shè)，校園網(wǎng)絡(luò)的管理問題便凸顯出來，如何才能有效的管理好網(wǎng)絡(luò)，使網(wǎng)絡(luò)為人們的工作學(xué)習(xí)提供更多的便利。同時我們?nèi)绾畏婪稅阂獾墓�擊者以及管理好網(wǎng)絡(luò)中的用戶問題也擺在我們網(wǎng)絡(luò)管理員的面前，本文就作者在校園網(wǎng)絡(luò)管理中所經(jīng)常遇到的問題進行分析并提出解決問題的方法。
　　【關(guān)鍵字】計算機，網(wǎng)絡(luò)，故障，維護，ARP
　　
　　隨著計算機的廣泛應(yīng)用和網(wǎng)絡(luò)的日趨流行，功能獨立的多種計算機系統(tǒng)互聯(lián)起來，形成日漸龐大的網(wǎng)絡(luò)系統(tǒng)。網(wǎng)絡(luò)帶來的便利及信息內(nèi)容的豐富使得計算機網(wǎng)絡(luò)在學(xué)校中越來越流行，我校也是借助信息革命的東風(fēng)構(gòu)建了校園網(wǎng)。然而網(wǎng)絡(luò)的定義決定了它在運行過程中不可能一帆風(fēng)順。本文就取材于我個人在校園網(wǎng)絡(luò)的維護方面遇到的一些問題并進行分析進而提出解決的方法。
　　在校園網(wǎng)絡(luò)中常見的故障主要分為這樣幾類，分別是：私自更換IP地址；在網(wǎng)絡(luò)中形成回路；下載文件堵塞網(wǎng)絡(luò)；病毒攻擊導(dǎo)致網(wǎng)絡(luò)癱瘓。
　　1私自更換IP地址形成IP地址沖突
　　在我校校園網(wǎng)建成初期我們幾個網(wǎng)絡(luò)管理人員幾乎每天被這一問題困擾。早期校園網(wǎng)絡(luò)較小，僅供部分教師上網(wǎng)，同時大部分教師不懂網(wǎng)絡(luò)，所以我們采用DHCP讓他們自動獲取到地址，后來機器數(shù)量增多了有懂些網(wǎng)絡(luò)知識的老師為了地址固定，就不用獲取而是設(shè)定了一些固定的地址，這樣DHCP服務(wù)器就有可能會將先連入的機器分配一些被設(shè)為固定的地址，于是被設(shè)了固定地址的機器就不能使用那個地址，機器的使用者就會盲目更換地址，造成整個網(wǎng)絡(luò)地址沖突。針對上述問題，我提出了將所有的地址登記并分配固定IP地址，但是僅僅這么做還不行，他們還是會經(jīng)常更換，最后我將IP地址和網(wǎng)卡地址綁定，私自更換IP地址或網(wǎng)卡地址都無法上網(wǎng)，這樣才解決了私自更換IP地址形成IP地址沖突的問題。
　　2在網(wǎng)絡(luò)形成回路
　　所謂回路就是網(wǎng)絡(luò)中存在環(huán)!例如兩臺交換機相連,應(yīng)該使用一條線相連,達到級聯(lián)的效果，如果使用兩條線連接,就構(gòu)成了回路。回路產(chǎn)生的根本原因是由于交換機的工作原理造成。當(dāng)交換機中有新機器接入，交換機會產(chǎn)生一個機器MAC地址和交換機端口的對照表，然后該交換機將該表傳到相鄰的交換機，在相鄰的交換機的另一個端口又穿回來,從而又增加一個MAC地址表,這樣無限制的傳輸會引起網(wǎng)絡(luò)帶寬用盡,從而使網(wǎng)絡(luò)癱瘓。
　　人們都知道形成回路會影響網(wǎng)絡(luò)，但是在實際網(wǎng)絡(luò)中，這種情況是很容易發(fā)生的。例如我曾經(jīng)就在我校一個辦公室中看到這樣的情況：由于網(wǎng)絡(luò)接口模塊不夠，他們就在辦公室中增加了一個交換機，共接了五臺電腦，后來有一人搬走留下一根網(wǎng)線的一端放在那里，來了一個新人看見這條線沒有接好就接回了交換機，他這一錯誤的行為導(dǎo)致整個網(wǎng)絡(luò)馬上耗盡了所有的帶寬，整個網(wǎng)絡(luò)堵塞無法聯(lián)網(wǎng)，經(jīng)過仔細排查我發(fā)現(xiàn)一臺交換機上的數(shù)據(jù)量特別大，于是就懷疑是該交換機所連接的局部網(wǎng)絡(luò)的問題，將該交換機斷開網(wǎng)絡(luò)后，網(wǎng)絡(luò)馬上恢復(fù)正常。我仔細檢查與該交換機相連接的網(wǎng)線，發(fā)現(xiàn)有一根從交換機接出的網(wǎng)線又接回了交換機，剛好形成了回路。
　　針對校園網(wǎng)中存在的這一問題，我查閱了相關(guān)的資料后，了解到該網(wǎng)絡(luò)中的交換機可以配置生成樹協(xié)議來消除回路，于是我將所有的交換機都配置了生成樹協(xié)議，使得環(huán)路自動消失，同時也解決了另外一個困擾我的問題。由于早期網(wǎng)絡(luò)建設(shè)我沒有多少經(jīng)驗，所以我在設(shè)計的時候也考慮為整個網(wǎng)絡(luò)做一個鏈路備份，但是擔(dān)心形成回路，所以就放棄了，現(xiàn)在配置了生成樹協(xié)議后，我就將網(wǎng)絡(luò)的鏈路加做了備份從而形成如下圖所示的安全鏈路。在四臺交換機A、B、C、D之間形成了多條備用鏈路。
　　
　　
　　
　　
　　3下載文件堵塞網(wǎng)絡(luò)。
　　所謂下載文件堵塞網(wǎng)絡(luò)，對我校來說，就是在學(xué)校內(nèi)部有些老師喜歡音樂和電影，于是他們就用迅雷、BT、電驢等下載工具下載大量的音頻視頻文件，使得整個的帶寬被耗盡，導(dǎo)致其他的老師想打開網(wǎng)頁都困難。相信這一現(xiàn)象在很多的局域網(wǎng)內(nèi)部普遍存在。本人向一些負責(zé)這方面工作網(wǎng)絡(luò)管理員了解過，他們大多采用勸說，讓其自覺遵守網(wǎng)絡(luò)管理規(guī)定，在網(wǎng)絡(luò)空閑時段下載，但收效甚微，并不能從根本上解決問題。
　　對于我校網(wǎng)絡(luò)中存在的這一問題，加之網(wǎng)絡(luò)使用者有老師、學(xué)生、及其他的教職工，人員龐雜，這種方法根本行不通，只能從技術(shù)上來解決這一問題。為了解決這一問題我查閱了大量的資料對我校現(xiàn)用的路由器交換機的功能有了全新的了解之后，我將網(wǎng)絡(luò)按照科室劃分了VLAN，每個VLAN中分配一定的帶寬，這樣基本解決一人下載全校網(wǎng)絡(luò)都很慢的問題，雖然不影響其他科室的人，但是還是會影響到本科室的人，并沒有從根本上解決問題。最后，只能夠采用每IP地址限速，就是為每個IP地址分配一定的帶寬，限制每個IP地址的流量。設(shè)置如下圖所示：
　　
　　

　　但是這樣又會帶來新的問題，那就是帶寬的浪費，確實需要下載文件的人也無法獲得更大的帶寬。針對這一問題，我采取了兩個措施，一是對于一些平時確實較多需要下載大文件的IP帶寬分配的大些，二是當(dāng)網(wǎng)絡(luò)有空余的帶寬時，任何一個IP都可以使用多余的帶寬。設(shè)置如下圖所示：
　　
　　

    
　
　　4病毒攻擊導(dǎo)致網(wǎng)絡(luò)癱瘓
　　這種情況存在多種可能，其中比較常見的是ARP病毒攻擊。這種病毒攻擊導(dǎo)致網(wǎng)絡(luò)癱瘓是人為故障中最難解決的。下面就ARP攻擊如何解決做詳細闡述。
　　要想解決這一問題首先要了解ARP是什么以及它的工作原理。我們知道，當(dāng)我們在瀏覽器里面輸入網(wǎng)址時，DNS服務(wù)器會自動把它解析為IP地址，瀏覽器實際上查找的是IP地址而不是網(wǎng)址。但是網(wǎng)絡(luò)信息傳輸只知道IP地址并不行，必須知道對方的MAC地址，那么IP地址是如何轉(zhuǎn)換為第二層物理地址（即MAC地址）的呢？在局域網(wǎng)中，這是通過ARP協(xié)議來完成的。通過偽造IP地址和MAC地址實現(xiàn)ARP欺騙，能夠在網(wǎng)絡(luò)中產(chǎn)生大量的ARP通信量使網(wǎng)絡(luò)阻塞，這就是ARP病毒。那么什么是ARP協(xié)議呢？ARP——地址解析協(xié)議。在TCP/IP網(wǎng)絡(luò)環(huán)境下，每個主機都分配了一個32位的IP地址，這種互聯(lián)網(wǎng)地址是在網(wǎng)際范圍標(biāo)識主機的一種邏輯地址。為了讓報文在物理網(wǎng)路上傳送，必須知道對方目的主機的物理地址。這樣就存在把IP地址變換成物理地址的地址轉(zhuǎn)換問題。以以太網(wǎng)環(huán)境為例，為了正確地向目的主機傳送報文，必須把目的主機的32位IP地址轉(zhuǎn)換成為48位以太網(wǎng)的地址。這就需要在互連層有一組服務(wù)將IP地址轉(zhuǎn)換為相應(yīng)物理地址，這組協(xié)議就是ARP協(xié)議。
　　下面介紹ARP的工作原理，分為兩種情況：
　　1）在同一個網(wǎng)段內(nèi)
　　假設(shè)主機A和B在同一個網(wǎng)段,主機A要向主機B發(fā)送信息。具體的地址解析過程如下：
　　(1)主機A首先查看自己的ARP緩存表,確定其中是否包含有主機B對應(yīng)的ARP表項。如果找到了主機B對應(yīng)的MAC地址,則主機A直接利用ARP表中的MAC地址,對IP數(shù)據(jù)包進行幀封裝,并將數(shù)據(jù)包發(fā)送給主機B。
　　(2)如果主機A在ARP緩存表中找不到對應(yīng)的MAC地址,則緩存該數(shù)據(jù)報文,然后以廣播方式發(fā)送一個ARP請求報文。由于ARP請求報文以廣播方式發(fā)送,該網(wǎng)段上的所有主機都可以接收到該請求,但只有被請求的主機B會對該請求進行處理。
　　(3)主機B比較自己的IP地址和ARP請求報文中的目標(biāo)IP地址,如果相同則將ARP請求報文中的發(fā)送端主機A的IP地址和MAC地址存入自己的ARP表中，之后以單播方式發(fā)送ARP響應(yīng)報文給主機A。
　　(4)主機A收到ARP響應(yīng)報文后,將主機B的MAC地址加入到自己的ARP緩存表中以用于后續(xù)報文的轉(zhuǎn)發(fā),同時將IP數(shù)據(jù)包進行封裝后發(fā)送出去。
　　2）在不同網(wǎng)段間
　　當(dāng)主機A和主機B不在同一網(wǎng)段時,主機A就會先向網(wǎng)關(guān)發(fā)出ARP請求報文。當(dāng)主機A從收到的響應(yīng)報文中獲得網(wǎng)關(guān)的MAC地址后,將報文封裝并發(fā)給網(wǎng)關(guān)。如果網(wǎng)關(guān)沒有主機B的ARP表項,網(wǎng)關(guān)會廣播ARP請求,目標(biāo)IP地址為主機B的IP地址,當(dāng)網(wǎng)關(guān)從收到的響應(yīng)報文中獲得主機B的MAC地址后,就可以將報文發(fā)給主機B;如果網(wǎng)關(guān)已經(jīng)有主機B的ARP表項,網(wǎng)關(guān)直接把報文發(fā)給主機B。
　　在了解了這些以后，我們平時就應(yīng)該在網(wǎng)絡(luò)中做如下的防范措施：
　　1）IP地址和MAC地址的靜態(tài)綁定
　　(1)在用戶端進行綁定
　　ARP欺騙是通過ARP的動態(tài)刷新,并不進行驗證的漏洞,來欺騙內(nèi)網(wǎng)主機的,所以我們把ARP表全部設(shè)置為靜態(tài)可以解決對內(nèi)網(wǎng)的欺騙,也就是在用戶端實施IP和MAC地址綁定,可以在用戶主機上建立一個批處理文件,此文件內(nèi)容是綁定內(nèi)網(wǎng)主機IP地址和MAC地址,并包括網(wǎng)關(guān)主機的IP地址和MAC地址的綁定,并把此批處理文件放到系統(tǒng)的啟動目錄下,使系統(tǒng)每次重啟后,自動運行此文件。
　　批處理文件內(nèi)容如下：
　　
　　arp-s本機IP地址本機MAC地址
　　arp-s網(wǎng)關(guān)地址網(wǎng)關(guān)MAC地址
　　
　　這里要注意，當(dāng)網(wǎng)關(guān)的地址改變，該批處理文件一定要及時改動否則無法聯(lián)網(wǎng)。
　　(2)在交換機上綁定
　　在核心交換機上綁定用戶主機IP地址和網(wǎng)卡的MAC地址,如果用戶隨意改變自己的IP地址或者MAC地址，就無法連入互聯(lián)網(wǎng)。如下圖所示：
　　
　　
　
　　同時在邊緣交換機上將用戶計算機網(wǎng)卡的IP地址和交換機端口綁定的雙重安全綁定方式。這樣可以極大程度上避免非法用戶使用ARP欺騙或盜用合法用戶的IP地址進行流量的盜取,可以防止非法用戶隨意接入網(wǎng)絡(luò),網(wǎng)絡(luò)用戶如果擅自改動本機網(wǎng)卡的IP或MAC地址,該機器的網(wǎng)絡(luò)訪問將被拒絕,從而降低了ARP攻擊的概率。
　　2）采用VLAN技術(shù)隔離端口
　　我們可根據(jù)需要,將本單位網(wǎng)絡(luò)規(guī)劃出若干個VLAN,當(dāng)發(fā)現(xiàn)有非法用戶在惡意利用ARP欺騙攻擊網(wǎng)絡(luò),或因合法用戶受病毒ARP病毒感染而影響網(wǎng)絡(luò)時,我們可先找到該用戶所在的交換機端口,然后將該端口劃一個單獨的VLAN,將該用戶與其它用戶進行隔離,以避免對其它用戶的影響,當(dāng)然也可以利用將交換機的該端口關(guān)掉來屏蔽該用戶對網(wǎng)絡(luò)造成影響。
　　3）防火墻和殺毒軟件
　　可以安裝ARP防火墻或者開啟局域網(wǎng)ARP防護,比如360安全衛(wèi)士等ARP病毒專殺工具,并且實時下載安裝系統(tǒng)漏洞補丁,關(guān)閉不必要的服務(wù)等來減少病毒的攻擊。
　　隨著互聯(lián)網(wǎng)的推廣普及，其社會化、大眾化的特征必然給網(wǎng)絡(luò)管理員帶來新的挑戰(zhàn)，作為其縮影的校園網(wǎng)絡(luò)當(dāng)然也不例外。但是我相信只要我們網(wǎng)絡(luò)管理員努力鉆研，與時俱進，就能掌握合適的方法來破解我們所面對的一個又一個的難題。

　　搜論文知識網(wǎng)致力于為需要刊登論文的人士提供相關(guān)服務(wù),提供迅速快捷的論文發(fā)表、寫作指導(dǎo)等服務(wù)。具體發(fā)表流程為：客戶咨詢→確定合作，客戶支付定金→文章發(fā)送并發(fā)表→客戶接收錄用通知，支付余款→雜志出版并寄送客戶→客戶確認收到。鳴網(wǎng)系學(xué)術(shù)網(wǎng)站，對所投稿件無稿酬支付，謝絕非學(xué)術(shù)類稿件的投遞！