樊　程　徐忠軍

摘 要:高校遠(yuǎn)程錄取工作中的網(wǎng)絡(luò)保障是校園網(wǎng)管理的重要方面。本文從線路保障、VLAN規(guī)劃及配置、鏈路聚合、ARP欺騙防范、校園網(wǎng)出口設(shè)備的配置策略、網(wǎng)絡(luò)故障應(yīng)急預(yù)案等方面入手,提出了一個(gè)針對(duì)遠(yuǎn)程錄取工作特點(diǎn)的網(wǎng)絡(luò)保障方案。此方案已在網(wǎng)上錄取工作中實(shí)施并具有良好的效果。

關(guān)鍵詞:高校 網(wǎng)上錄取 網(wǎng)絡(luò)保障 應(yīng)急預(yù)案

中圖分類號(hào):TP393. 07 文獻(xiàn)標(biāo)識(shí)碼:B 文章編號(hào):1673-8454(2009)13-0017-02

目前,網(wǎng)上遠(yuǎn)程錄取已經(jīng)成為高校招生的主要手段,如何保障高校網(wǎng)上招生錄取工作安全、高效、穩(wěn)定的運(yùn)行,成為校園網(wǎng)管理人員的重要課題。筆者作為校園網(wǎng)管理人員,根據(jù)近幾年來(lái)網(wǎng)上錄取工作的實(shí)踐,設(shè)計(jì)了一套基于校園網(wǎng)環(huán)境的遠(yuǎn)程錄取網(wǎng)絡(luò)保障方案。

一、線路保障

布線系統(tǒng)為信息資源的傳遞提供了物質(zhì)通道,是網(wǎng)絡(luò)系統(tǒng)的基礎(chǔ)。網(wǎng)上錄取工作的線路保障主要分為錄取中心接入校園網(wǎng)線路的保障和校園網(wǎng)接入ISP(Internet Service Provider,互聯(lián)網(wǎng)服務(wù)提供商)的出口線路保障兩個(gè)方面。

對(duì)于錄取中心接入校園網(wǎng)的線路,考慮到錄取中心機(jī)房在招生期間的重要地位,應(yīng)該采用一種穩(wěn)定性和冗余性好的接入方式。錄取中心機(jī)房應(yīng)保證有兩條線路接入校園主干網(wǎng)絡(luò),并且在招生期間盡量避免在該線路周邊的施工,以防線路意外受損。

對(duì)于校園網(wǎng)接入ISP的出口線路,校園網(wǎng)管理人員應(yīng)落實(shí)教育部要求,確保高速、穩(wěn)定地接入教育網(wǎng)。另外,還必須建立備用ISP線路,以確保教育網(wǎng)一旦出現(xiàn)問(wèn)題時(shí)啟用。從2008年招生的情況來(lái)看,各省份的招生服務(wù)器也同時(shí)使用了電信、網(wǎng)通等公網(wǎng)運(yùn)營(yíng)商的IP地址,當(dāng)教育網(wǎng)線路意外中斷時(shí),利用備用線路也可以較快地訪問(wèn)到招生服務(wù)器。

二、網(wǎng)絡(luò)規(guī)劃及設(shè)備配置

針對(duì)遠(yuǎn)程錄取的特點(diǎn)合理規(guī)劃和配置校園網(wǎng)設(shè)備可以有效保障錄取工作的順利進(jìn)行,網(wǎng)絡(luò)規(guī)劃及設(shè)備配置主要包括錄取中心專用VLAN的劃分及訪問(wèn)控制、鏈路聚合、ARP欺騙防范、校園網(wǎng)出口策略等方面。

1.錄取中心專用VLAN的劃分及訪問(wèn)控制

VLAN(Virtual Local Area Network) 是虛擬局域網(wǎng)的簡(jiǎn)稱,它是在一個(gè)物理網(wǎng)絡(luò)上劃分出來(lái)的邏輯網(wǎng)絡(luò)。VLAN對(duì)應(yīng)于ISO模型的第二層,劃分不受網(wǎng)絡(luò)端口的實(shí)際物理位置的限制。第二層的單播、廣播和多播幀在一個(gè)VLAN內(nèi)轉(zhuǎn)發(fā)、擴(kuò)散,而不會(huì)直接進(jìn)入其他的VLAN之中,所以不同VLAN之間的訪問(wèn)必須通過(guò)路由器或者三層交換機(jī)。

VLAN技術(shù)具有靈活、限制廣播、提高安全性的特點(diǎn)。利用VLAN間的訪問(wèn)控制列表技術(shù)(ACL)一方面限制了網(wǎng)絡(luò)病毒的傳播,另一方面又能夠?qū)︿浫≈行膶Ｓ米泳W(wǎng)實(shí)施嚴(yán)格的訪問(wèn)控制,提高了錄取中心網(wǎng)絡(luò)的可靠性和安全性。訪問(wèn)控制列表主要規(guī)則如下:(1)允許錄取中心客戶機(jī)訪問(wèn)教育網(wǎng)及電信網(wǎng);(2)允許錄取中心客戶機(jī)訪問(wèn)校園網(wǎng)招生專用FTP服務(wù)器;(3)禁止其他VLAN用戶訪問(wèn)校園網(wǎng)招生專用FTP服務(wù)器;(4)禁止所有VLAN間的危險(xiǎn)端口的訪問(wèn),如TCP135、TCP139等;(5)禁止其他VLAN用戶對(duì)錄取中心的訪問(wèn)。

2.鏈路聚合

鏈路聚合(Trunking)技術(shù)可以在不改變現(xiàn)有網(wǎng)絡(luò)設(shè)備以及布線的情況下,把多條交換機(jī)到服務(wù)器或交換機(jī)到交換機(jī)的數(shù)據(jù)鏈路捆綁起來(lái),形成一條邏輯上的高帶寬數(shù)據(jù)鏈路。而且,鏈路聚合技術(shù)還可以增加網(wǎng)絡(luò)容錯(cuò)能力,極大地提高整個(gè)網(wǎng)絡(luò)系統(tǒng)的性能。

錄取中心和校園主干網(wǎng)絡(luò)之間的多條接入線路應(yīng)采用鏈路聚合的方式。由于鏈路聚合實(shí)時(shí)平衡各個(gè)交換機(jī)端口和流量,一旦某個(gè)端口出現(xiàn)故障,它會(huì)自動(dòng)把故障端口從鏈路聚合組中撤消,進(jìn)而重新分配各鏈路聚合端口的流量,從而實(shí)現(xiàn)系統(tǒng)容錯(cuò)。這種方式既保證了錄取數(shù)據(jù)的高速率傳輸,又能起到冗余備份的功能,提高了錄取中心接入校園網(wǎng)線路的可靠性。

3.ARP欺騙防范

ARP(地址解析協(xié)議)用于將計(jì)算機(jī)的網(wǎng)絡(luò)地址轉(zhuǎn)化為物理地址。如果攻擊者持續(xù)不斷地發(fā)出偽造的ARP包就能更改目標(biāo)主機(jī)和路由器中ARP緩存的IP-MAC條目,造成網(wǎng)絡(luò)中斷或中間人攻擊。為了防止個(gè)別機(jī)器感染ARP病毒造成錄取中心局域網(wǎng)的故障,根據(jù)ARP攻擊的原理,可以選用具有ARP廣播限制功能的接入設(shè)備,同時(shí)利用三層交換機(jī)的IP-MAC綁定功能,實(shí)現(xiàn)對(duì)ARP欺騙的雙向控制。

首先,應(yīng)在錄取中心機(jī)房選用具有ARP攻擊防范功能的交換機(jī)(銳捷S2126),并做如下配置(假設(shè)Fa1/1為上聯(lián)端口,Fa0/1-24接用戶,網(wǎng)關(guān)IP是192.168.1.1,在Fa0/1-24上設(shè)置網(wǎng)關(guān)ARP欺騙防范):

Switch-S2126(config)#interfacerangefastEthernet0/1-24 //進(jìn)入端口0/1-24

Switch-S2126(config-if-range)# anti-ARP-Spoofing ip 192.168.1.1//防止網(wǎng)關(guān)地址欺騙

其次,在校園網(wǎng)三層交換機(jī)(銳捷S4909)中對(duì)教學(xué)系統(tǒng)客戶機(jī)的IP-MAC綁定。配置命令如下 (192.168.1.10、 .11為錄取中心客戶端機(jī)器) :

Switch-Center(config)# arp192.168.1.105078.4c70.b219arpafastEthernet 3/3

Switch-Center(config)# arp192.168.1.110050.ba73.cd8darpafastEthernet 3/3

利用網(wǎng)絡(luò)設(shè)備的反ARP欺騙功能,可以在錄取中心子網(wǎng)內(nèi)有效地控制ARP欺騙攻擊。

4.校園網(wǎng)出口設(shè)備的配置策略

目前高校大都采用高性能防火墻作為校園網(wǎng)的出口設(shè)備,充分運(yùn)用防火墻的功能可以更好地保障網(wǎng)上錄取的正常進(jìn)行。其保障作用主要體現(xiàn)在防火墻對(duì)出口帶寬的合理分配、多出口鏈路備份機(jī)制、網(wǎng)絡(luò)蠕蟲(chóng)防范等幾個(gè)方面。

在用戶出口帶寬分配方面,由于入網(wǎng)用戶數(shù)量龐大,網(wǎng)絡(luò)應(yīng)用種類繁多,校園網(wǎng)出口流量經(jīng)常達(dá)到或接近最大帶寬。因此,在網(wǎng)上錄取時(shí)期必須實(shí)施合理的帶寬分配策略,根據(jù)不同情況對(duì)用戶流量實(shí)行精細(xì)管理。一方面,應(yīng)該對(duì)P2P類的大流量應(yīng)用進(jìn)行限制。普遍的調(diào)查數(shù)據(jù)表明,網(wǎng)絡(luò)上超過(guò)60%的流量是由于少數(shù)用戶使用BT、迅雷等P2P類的軟件造成的。校園網(wǎng)管理人員應(yīng)該利用防火墻識(shí)別并限制此類的應(yīng)用,將P2P應(yīng)用所占的出口帶寬控制在不影響出口通暢的前提下。另一方面,校園網(wǎng)管理人員必須考慮網(wǎng)絡(luò)流量高峰時(shí)期招生數(shù)據(jù)的優(yōu)先傳輸。當(dāng)信息擁塞造成出口瓶頸時(shí),防火墻所具有的優(yōu)先權(quán)數(shù)據(jù)隊(duì)列機(jī)制,可以保證招生數(shù)據(jù)比其他應(yīng)用數(shù)據(jù)獲得更高的優(yōu)先傳輸權(quán)。通常防火墻通過(guò)定義管道的方式提供CoS/QoS功能,并可以基于IP、VLAN等信息進(jìn)行帶寬管理。通過(guò)優(yōu)先級(jí)控制,保證了校園網(wǎng)中錄取中心的帶寬不被其他服務(wù)或者用戶占用,從而保證了招生數(shù)據(jù)優(yōu)先通過(guò)網(wǎng)絡(luò)。

在多出口鏈路備份方面,為了保障網(wǎng)上錄取工作不受出口線路故障的影響,可以利用防火墻的出口鏈路備份功能。即當(dāng)一條鏈路因故障中斷時(shí),防火墻會(huì)立即啟用其他的鏈路出口,并把在故障接口上的狀態(tài)信息也同時(shí)轉(zhuǎn)移到正常的鏈路接口上,保持了防火墻的狀態(tài)表的一致性,從而保證錄取中心的網(wǎng)絡(luò)應(yīng)用不受影響。

最后,利用防火墻的訪問(wèn)控制策略可以禁止對(duì)危險(xiǎn)端口的訪問(wèn),控制網(wǎng)絡(luò)蠕蟲(chóng)的傳播,還可以利用防火墻的狀態(tài)檢測(cè)機(jī)制防范一些常見(jiàn)的黑客攻擊。

三、網(wǎng)絡(luò)故障應(yīng)急預(yù)案

網(wǎng)上遠(yuǎn)程錄取工作具有很強(qiáng)的時(shí)效性,因此積極做好應(yīng)急預(yù)案,防患于未然,才能迅速及時(shí)地排除故障。從近幾年的實(shí)際情況來(lái)看,意外故障主要表現(xiàn)為設(shè)備失效、大規(guī)模蠕蟲(chóng)爆發(fā)等方面。

1.設(shè)備失效故障處理

招生期間正值暑假,高溫多雷等不利因素很可能造成網(wǎng)絡(luò)設(shè)備的意外故障。首先,網(wǎng)管人員應(yīng)提前檢測(cè)所有涉及網(wǎng)上錄取的網(wǎng)絡(luò)設(shè)備,并統(tǒng)一安排同型號(hào)的應(yīng)急備用設(shè)備。備用設(shè)備平時(shí)用于校園網(wǎng)其他節(jié)點(diǎn)的運(yùn)行,但在招生專用網(wǎng)絡(luò)設(shè)備出現(xiàn)意外故障時(shí)作為替換。其次,應(yīng)備份所有涉及網(wǎng)上錄取的設(shè)備配置文件。在特殊情況需要使用備用設(shè)備時(shí),可以通過(guò)TFTP(Trivial File Transfer Protocol,文件傳輸協(xié)議)服務(wù)將配置文件導(dǎo)入網(wǎng)絡(luò)設(shè)備。這種方式既保證了配置準(zhǔn)確性又加快了配置速度,有效地縮短了故障恢復(fù)時(shí)間。最后,網(wǎng)管人員在處理意外故障時(shí),應(yīng)冷靜應(yīng)對(duì),迅速定位故障設(shè)備并制定解決方案,合理分工協(xié)作,提高故障處理效率。

2.大規(guī)模蠕蟲(chóng)暴發(fā)事件的應(yīng)對(duì)

大規(guī)模蠕蟲(chóng)暴發(fā)事件會(huì)造成校園網(wǎng)核心及出口設(shè)備負(fù)載過(guò)高,帶寬擁堵,上網(wǎng)速度明顯變慢。此類事件的應(yīng)對(duì)措施可以從以下幾個(gè)方面考慮:首先,應(yīng)及時(shí)在專業(yè)網(wǎng)站上獲取蠕蟲(chóng)的相關(guān)信息,了解其原理及傳播方式,特別是傳播時(shí)所使用的端口,然后在校園網(wǎng)核心及出口設(shè)備利用訪問(wèn)控制策略進(jìn)行封堵。其次,由于大規(guī)模蠕蟲(chóng)暴發(fā)事件通常都和操作系統(tǒng)漏洞有關(guān),應(yīng)要求用戶盡快檢查系統(tǒng)漏洞,打齊系統(tǒng)補(bǔ)丁。最后,因?yàn)榇祟愂录斐烧麄€(gè)互聯(lián)網(wǎng)的網(wǎng)速降低,校園網(wǎng)管理人員應(yīng)及時(shí)分析各出口鏈路的情況,必要時(shí)放棄受到嚴(yán)重影響的出口線路,及時(shí)調(diào)整出口路由策略,選用帶寬狀況較好的備用線路。?筅

四、結(jié)束語(yǔ)

高校網(wǎng)上招生錄取的網(wǎng)絡(luò)保障工作需要構(gòu)建一個(gè)安全、高效、可靠的校園網(wǎng)環(huán)境,基于這種需求,本文從線路保障、網(wǎng)絡(luò)規(guī)劃及設(shè)備配置、網(wǎng)絡(luò)故障應(yīng)急預(yù)案等方面入手,提出了一個(gè)針對(duì)遠(yuǎn)程錄取工作特點(diǎn)的網(wǎng)絡(luò)保障方案。此方案已經(jīng)在校園網(wǎng)環(huán)境中實(shí)施,并有效保障了近幾年學(xué)院網(wǎng)上招生錄取工作的順利進(jìn)行,收到了良好的效果。

參考文獻(xiàn):

[1]姚軍.校園網(wǎng)接入模式的研究與實(shí)現(xiàn)[J].西安科技大學(xué)學(xué)報(bào),2006(4).

[2]陳兵.網(wǎng)絡(luò)安全體系結(jié)構(gòu)研究[J].計(jì)算機(jī)工程與應(yīng)用, 2002(7):138-140.

[3]陳軍.高校網(wǎng)上招生的網(wǎng)絡(luò)安全與優(yōu)化[J].網(wǎng)絡(luò)安全技與應(yīng)用,2007(4).