【內(nèi)容提要】隨著各個(gè)學(xué)校校園網(wǎng)絡(luò)的建設(shè)，校園網(wǎng)絡(luò)的管理問題便凸顯出來，如何才能有效的管理好網(wǎng)絡(luò)，使網(wǎng)絡(luò)為人們的工作學(xué)習(xí)提供更多的便利。同時(shí)我們?nèi)绾畏婪稅阂獾墓�擊者以及管理好網(wǎng)絡(luò)中的用戶問題也擺在我們網(wǎng)絡(luò)管理員的面前，本文就作者在校園網(wǎng)絡(luò)管理中所經(jīng)常遇到的問題進(jìn)行分析并提出解決問題的方法。
　　【關(guān)鍵字】計(jì)算機(jī)，網(wǎng)絡(luò)，故障，維護(hù)，ARP
　　
　　隨著計(jì)算機(jī)的廣泛應(yīng)用和網(wǎng)絡(luò)的日趨流行，功能獨(dú)立的多種計(jì)算機(jī)系統(tǒng)互聯(lián)起來，形成日漸龐大的網(wǎng)絡(luò)系統(tǒng)。網(wǎng)絡(luò)帶來的便利及信息內(nèi)容的豐富使得計(jì)算機(jī)網(wǎng)絡(luò)在學(xué)校中越來越流行，我校也是借助信息革命的東風(fēng)構(gòu)建了校園網(wǎng)。然而網(wǎng)絡(luò)的定義決定了它在運(yùn)行過程中不可能一帆風(fēng)順。本文就取材于我個(gè)人在校園網(wǎng)絡(luò)的維護(hù)方面遇到的一些問題并進(jìn)行分析進(jìn)而提出解決的方法。
　　在校園網(wǎng)絡(luò)中常見的故障主要分為這樣幾類，分別是：私自更換IP地址；在網(wǎng)絡(luò)中形成回路；下載文件堵塞網(wǎng)絡(luò)；病毒攻擊導(dǎo)致網(wǎng)絡(luò)癱瘓。
　　1私自更換IP地址形成IP地址沖突
　　在我校校園網(wǎng)建成初期我們幾個(gè)網(wǎng)絡(luò)管理人員幾乎每天被這一問題困擾。早期校園網(wǎng)絡(luò)較小，僅供部分教師上網(wǎng)，同時(shí)大部分教師不懂網(wǎng)絡(luò)，所以我們采用DHCP讓他們自動(dòng)獲取到地址，后來機(jī)器數(shù)量增多了有懂些網(wǎng)絡(luò)知識(shí)的老師為了地址固定，就不用獲取而是設(shè)定了一些固定的地址，這樣DHCP服務(wù)器就有可能會(huì)將先連入的機(jī)器分配一些被設(shè)為固定的地址，于是被設(shè)了固定地址的機(jī)器就不能使用那個(gè)地址，機(jī)器的使用者就會(huì)盲目更換地址，造成整個(gè)網(wǎng)絡(luò)地址沖突。針對(duì)上述問題，我提出了將所有的地址登記并分配固定IP地址，但是僅僅這么做還不行，他們還是會(huì)經(jīng)常更換，最后我將IP地址和網(wǎng)卡地址綁定，私自更換IP地址或網(wǎng)卡地址都無法上網(wǎng)，這樣才解決了私自更換IP地址形成IP地址沖突的問題。
　　2在網(wǎng)絡(luò)形成回路
　　所謂回路就是網(wǎng)絡(luò)中存在環(huán)!例如兩臺(tái)交換機(jī)相連,應(yīng)該使用一條線相連,達(dá)到級(jí)聯(lián)的效果，如果使用兩條線連接,就構(gòu)成了回路。回路產(chǎn)生的根本原因是由于交換機(jī)的工作原理造成。當(dāng)交換機(jī)中有新機(jī)器接入，交換機(jī)會(huì)產(chǎn)生一個(gè)機(jī)器MAC地址和交換機(jī)端口的對(duì)照表，然后該交換機(jī)將該表傳到相鄰的交換機(jī)，在相鄰的交換機(jī)的另一個(gè)端口又穿回來,從而又增加一個(gè)MAC地址表,這樣無限制的傳輸會(huì)引起網(wǎng)絡(luò)帶寬用盡,從而使網(wǎng)絡(luò)癱瘓。
　　人們都知道形成回路會(huì)影響網(wǎng)絡(luò)，但是在實(shí)際網(wǎng)絡(luò)中，這種情況是很容易發(fā)生的。例如我曾經(jīng)就在我校一個(gè)辦公室中看到這樣的情況：由于網(wǎng)絡(luò)接口模塊不夠，他們就在辦公室中增加了一個(gè)交換機(jī)，共接了五臺(tái)電腦，后來有一人搬走留下一根網(wǎng)線的一端放在那里，來了一個(gè)新人看見這條線沒有接好就接回了交換機(jī)，他這一錯(cuò)誤的行為導(dǎo)致整個(gè)網(wǎng)絡(luò)馬上耗盡了所有的帶寬，整個(gè)網(wǎng)絡(luò)堵塞無法聯(lián)網(wǎng)，經(jīng)過仔細(xì)排查我發(fā)現(xiàn)一臺(tái)交換機(jī)上的數(shù)據(jù)量特別大，于是就懷疑是該交換機(jī)所連接的局部網(wǎng)絡(luò)的問題，將該交換機(jī)斷開網(wǎng)絡(luò)后，網(wǎng)絡(luò)馬上恢復(fù)正常。我仔細(xì)檢查與該交換機(jī)相連接的網(wǎng)線，發(fā)現(xiàn)有一根從交換機(jī)接出的網(wǎng)線又接回了交換機(jī)，剛好形成了回路。
　　針對(duì)校園網(wǎng)中存在的這一問題，我查閱了相關(guān)的資料后，了解到該網(wǎng)絡(luò)中的交換機(jī)可以配置生成樹協(xié)議來消除回路，于是我將所有的交換機(jī)都配置了生成樹協(xié)議，使得環(huán)路自動(dòng)消失，同時(shí)也解決了另外一個(gè)困擾我的問題。由于早期網(wǎng)絡(luò)建設(shè)我沒有多少經(jīng)驗(yàn)，所以我在設(shè)計(jì)的時(shí)候也考慮為整個(gè)網(wǎng)絡(luò)做一個(gè)鏈路備份，但是擔(dān)心形成回路，所以就放棄了，現(xiàn)在配置了生成樹協(xié)議后，我就將網(wǎng)絡(luò)的鏈路加做了備份從而形成如下圖所示的安全鏈路。在四臺(tái)交換機(jī)A、B、C、D之間形成了多條備用鏈路。
　　
　　
　　
　　
　　3下載文件堵塞網(wǎng)絡(luò)。
　　所謂下載文件堵塞網(wǎng)絡(luò)，對(duì)我校來說，就是在學(xué)校內(nèi)部有些老師喜歡音樂和電影，于是他們就用迅雷、BT、電驢等下載工具下載大量的音頻視頻文件，使得整個(gè)的帶寬被耗盡，導(dǎo)致其他的老師想打開網(wǎng)頁都困難。相信這一現(xiàn)象在很多的局域網(wǎng)內(nèi)部普遍存在。本人向一些負(fù)責(zé)這方面工作網(wǎng)絡(luò)管理員了解過，他們大多采用勸說，讓其自覺遵守網(wǎng)絡(luò)管理規(guī)定，在網(wǎng)絡(luò)空閑時(shí)段下載，但收效甚微，并不能從根本上解決問題。
　　對(duì)于我校網(wǎng)絡(luò)中存在的這一問題，加之網(wǎng)絡(luò)使用者有老師、學(xué)生、及其他的教職工，人員龐雜，這種方法根本行不通，只能從技術(shù)上來解決這一問題。為了解決這一問題我查閱了大量的資料對(duì)我校現(xiàn)用的路由器交換機(jī)的功能有了全新的了解之后，我將網(wǎng)絡(luò)按照科室劃分了VLAN，每個(gè)VLAN中分配一定的帶寬，這樣基本解決一人下載全校網(wǎng)絡(luò)都很慢的問題，雖然不影響其他科室的人，但是還是會(huì)影響到本科室的人，并沒有從根本上解決問題。最后，只能夠采用每IP地址限速，就是為每個(gè)IP地址分配一定的帶寬，限制每個(gè)IP地址的流量。設(shè)置如下圖所示：
　　
　　

　　但是這樣又會(huì)帶來新的問題，那就是帶寬的浪費(fèi)，確實(shí)需要下載文件的人也無法獲得更大的帶寬。針對(duì)這一問題，我采取了兩個(gè)措施，一是對(duì)于一些平時(shí)確實(shí)較多需要下載大文件的IP帶寬分配的大些，二是當(dāng)網(wǎng)絡(luò)有空余的帶寬時(shí)，任何一個(gè)IP都可以使用多余的帶寬。設(shè)置如下圖所示：
　　
　　

    
　
　　4病毒攻擊導(dǎo)致網(wǎng)絡(luò)癱瘓
　　這種情況存在多種可能，其中比較常見的是ARP病毒攻擊。這種病毒攻擊導(dǎo)致網(wǎng)絡(luò)癱瘓是人為故障中最難解決的。下面就ARP攻擊如何解決做詳細(xì)闡述。
　　要想解決這一問題首先要了解ARP是什么以及它的工作原理。我們知道，當(dāng)我們?cè)跒g覽器里面輸入網(wǎng)址時(shí)，DNS服務(wù)器會(huì)自動(dòng)把它解析為IP地址，瀏覽器實(shí)際上查找的是IP地址而不是網(wǎng)址。但是網(wǎng)絡(luò)信息傳輸只知道IP地址并不行，必須知道對(duì)方的MAC地址，那么IP地址是如何轉(zhuǎn)換為第二層物理地址（即MAC地址）的呢？在局域網(wǎng)中，這是通過ARP協(xié)議來完成的。通過偽造IP地址和MAC地址實(shí)現(xiàn)ARP欺騙，能夠在網(wǎng)絡(luò)中產(chǎn)生大量的ARP通信量使網(wǎng)絡(luò)阻塞，這就是ARP病毒。那么什么是ARP協(xié)議呢？ARP——地址解析協(xié)議。在TCP/IP網(wǎng)絡(luò)環(huán)境下，每個(gè)主機(jī)都分配了一個(gè)32位的IP地址，這種互聯(lián)網(wǎng)地址是在網(wǎng)際范圍標(biāo)識(shí)主機(jī)的一種邏輯地址。為了讓報(bào)文在物理網(wǎng)路上傳送，必須知道對(duì)方目的主機(jī)的物理地址。這樣就存在把IP地址變換成物理地址的地址轉(zhuǎn)換問題。以以太網(wǎng)環(huán)境為例，為了正確地向目的主機(jī)傳送報(bào)文，必須把目的主機(jī)的32位IP地址轉(zhuǎn)換成為48位以太網(wǎng)的地址。這就需要在互連層有一組服務(wù)將IP地址轉(zhuǎn)換為相應(yīng)物理地址，這組協(xié)議就是ARP協(xié)議。
　　下面介紹ARP的工作原理，分為兩種情況：
　　1）在同一個(gè)網(wǎng)段內(nèi)
　　假設(shè)主機(jī)A和B在同一個(gè)網(wǎng)段,主機(jī)A要向主機(jī)B發(fā)送信息。具體的地址解析過程如下：
　　(1)主機(jī)A首先查看自己的ARP緩存表,確定其中是否包含有主機(jī)B對(duì)應(yīng)的ARP表項(xiàng)。如果找到了主機(jī)B對(duì)應(yīng)的MAC地址,則主機(jī)A直接利用ARP表中的MAC地址,對(duì)IP數(shù)據(jù)包進(jìn)行幀封裝,并將數(shù)據(jù)包發(fā)送給主機(jī)B。
　　(2)如果主機(jī)A在ARP緩存表中找不到對(duì)應(yīng)的MAC地址,則緩存該數(shù)據(jù)報(bào)文,然后以廣播方式發(fā)送一個(gè)ARP請(qǐng)求報(bào)文。由于ARP請(qǐng)求報(bào)文以廣播方式發(fā)送,該網(wǎng)段上的所有主機(jī)都可以接收到該請(qǐng)求,但只有被請(qǐng)求的主機(jī)B會(huì)對(duì)該請(qǐng)求進(jìn)行處理。
　　(3)主機(jī)B比較自己的IP地址和ARP請(qǐng)求報(bào)文中的目標(biāo)IP地址,如果相同則將ARP請(qǐng)求報(bào)文中的發(fā)送端主機(jī)A的IP地址和MAC地址存入自己的ARP表中，之后以單播方式發(fā)送ARP響應(yīng)報(bào)文給主機(jī)A。
　　(4)主機(jī)A收到ARP響應(yīng)報(bào)文后,將主機(jī)B的MAC地址加入到自己的ARP緩存表中以用于后續(xù)報(bào)文的轉(zhuǎn)發(fā),同時(shí)將IP數(shù)據(jù)包進(jìn)行封裝后發(fā)送出去。
　　2）在不同網(wǎng)段間
　　當(dāng)主機(jī)A和主機(jī)B不在同一網(wǎng)段時(shí),主機(jī)A就會(huì)先向網(wǎng)關(guān)發(fā)出ARP請(qǐng)求報(bào)文。當(dāng)主機(jī)A從收到的響應(yīng)報(bào)文中獲得網(wǎng)關(guān)的MAC地址后,將報(bào)文封裝并發(fā)給網(wǎng)關(guān)。如果網(wǎng)關(guān)沒有主機(jī)B的ARP表項(xiàng),網(wǎng)關(guān)會(huì)廣播ARP請(qǐng)求,目標(biāo)IP地址為主機(jī)B的IP地址,當(dāng)網(wǎng)關(guān)從收到的響應(yīng)報(bào)文中獲得主機(jī)B的MAC地址后,就可以將報(bào)文發(fā)給主機(jī)B;如果網(wǎng)關(guān)已經(jīng)有主機(jī)B的ARP表項(xiàng),網(wǎng)關(guān)直接把報(bào)文發(fā)給主機(jī)B。
　　在了解了這些以后，我們平時(shí)就應(yīng)該在網(wǎng)絡(luò)中做如下的防范措施：
　　1）IP地址和MAC地址的靜態(tài)綁定
　　(1)在用戶端進(jìn)行綁定
　　ARP欺騙是通過ARP的動(dòng)態(tài)刷新,并不進(jìn)行驗(yàn)證的漏洞,來欺騙內(nèi)網(wǎng)主機(jī)的,所以我們把ARP表全部設(shè)置為靜態(tài)可以解決對(duì)內(nèi)網(wǎng)的欺騙,也就是在用戶端實(shí)施IP和MAC地址綁定,可以在用戶主機(jī)上建立一個(gè)批處理文件,此文件內(nèi)容是綁定內(nèi)網(wǎng)主機(jī)IP地址和MAC地址,并包括網(wǎng)關(guān)主機(jī)的IP地址和MAC地址的綁定,并把此批處理文件放到系統(tǒng)的啟動(dòng)目錄下,使系統(tǒng)每次重啟后,自動(dòng)運(yùn)行此文件。
　　批處理文件內(nèi)容如下：
　　
　　arp-s本機(jī)IP地址本機(jī)MAC地址
　　arp-s網(wǎng)關(guān)地址網(wǎng)關(guān)MAC地址
　　
　　這里要注意，當(dāng)網(wǎng)關(guān)的地址改變，該批處理文件一定要及時(shí)改動(dòng)否則無法聯(lián)網(wǎng)。
　　(2)在交換機(jī)上綁定
　　在核心交換機(jī)上綁定用戶主機(jī)IP地址和網(wǎng)卡的MAC地址,如果用戶隨意改變自己的IP地址或者M(jìn)AC地址，就無法連入互聯(lián)網(wǎng)。如下圖所示：
　　
　　
　
　　同時(shí)在邊緣交換機(jī)上將用戶計(jì)算機(jī)網(wǎng)卡的IP地址和交換機(jī)端口綁定的雙重安全綁定方式。這樣可以極大程度上避免非法用戶使用ARP欺騙或盜用合法用戶的IP地址進(jìn)行流量的盜取,可以防止非法用戶隨意接入網(wǎng)絡(luò),網(wǎng)絡(luò)用戶如果擅自改動(dòng)本機(jī)網(wǎng)卡的IP或MAC地址,該機(jī)器的網(wǎng)絡(luò)訪問將被拒絕,從而降低了ARP攻擊的概率。
　　2）采用VLAN技術(shù)隔離端口
　　我們可根據(jù)需要,將本單位網(wǎng)絡(luò)規(guī)劃出若干個(gè)VLAN,當(dāng)發(fā)現(xiàn)有非法用戶在惡意利用ARP欺騙攻擊網(wǎng)絡(luò),或因合法用戶受病毒ARP病毒感染而影響網(wǎng)絡(luò)時(shí),我們可先找到該用戶所在的交換機(jī)端口,然后將該端口劃一個(gè)單獨(dú)的VLAN,將該用戶與其它用戶進(jìn)行隔離,以避免對(duì)其它用戶的影響,當(dāng)然也可以利用將交換機(jī)的該端口關(guān)掉來屏蔽該用戶對(duì)網(wǎng)絡(luò)造成影響。
　　3）防火墻和殺毒軟件
　　可以安裝ARP防火墻或者開啟局域網(wǎng)ARP防護(hù),比如360安全衛(wèi)士等ARP病毒專殺工具,并且實(shí)時(shí)下載安裝系統(tǒng)漏洞補(bǔ)丁,關(guān)閉不必要的服務(wù)等來減少病毒的攻擊。
　　隨著互聯(lián)網(wǎng)的推廣普及，其社會(huì)化、大眾化的特征必然給網(wǎng)絡(luò)管理員帶來新的挑戰(zhàn)，作為其縮影的校園網(wǎng)絡(luò)當(dāng)然也不例外。但是我相信只要我們網(wǎng)絡(luò)管理員努力鉆研，與時(shí)俱進(jìn)，就能掌握合適的方法來破解我們所面對(duì)的一個(gè)又一個(gè)的難題。

　　搜論文知識(shí)網(wǎng)致力于為需要刊登論文的人士提供相關(guān)服務(wù),提供迅速快捷的論文發(fā)表、寫作指導(dǎo)等服務(wù)。具體發(fā)表流程為：客戶咨詢→確定合作，客戶支付定金→文章發(fā)送并發(fā)表→客戶接收錄用通知，支付余款→雜志出版并寄送客戶→客戶確認(rèn)收到。鳴網(wǎng)系學(xué)術(shù)網(wǎng)站，對(duì)所投稿件無稿酬支付，謝絕非學(xué)術(shù)類稿件的投遞！