校园网中常见问题分析及对策

校园网中常见问题分析及对策

【内容提要】随着各个学校校园网络的建设，校园网络的管理问题便凸显出来，如何才能有效的管理好网络，使网络为人们的工作学习提供更多的便利。同时我们如何防范恶意的攻击者以及管理好网络中的用户问题也摆在我们网络管理员的面前，本文就作者在校园网络管理中所经常遇到的问题进行分析并提出解决问题的方法。

【关键字】计算机，网络，故障，维护，ARP

随着计算机的广泛应用和网络的日趋流行，功能独立的多种计算机系统互联起来，形成日渐庞大的网络系统。网络带来的便利及信息内容的丰富使得计算机网络在学校中越来越流行，我校也是借助信息革命的东风构建了校园网。然而网络的定义决定了它在运行过程中不可能一帆风顺。本文就取材于我个人在校园网络的维护方面遇到的一些问题并进行分析进而提出解决的方法。

在校园网络中常见的故障主要分为这样几类，分别是：私自更换IP地址；在网络中形成回路；下载文件堵塞网络；病毒攻击导致网络瘫痪。

1私自更换IP地址形成IP地址冲突

在我校校园网建成初期我们几个网络管理人员几乎每天被这一问题困扰。早期校园网络较小，仅供部分教师上网，同时大部分教师不懂网络，所以我们采用DHCP让他们自动获取到地址，后来机器数量增多了有懂些网络知识的老师为了地址固定，就不用获取而是设定了一些固定的地址，这样DHCP服务器就有可能会将先连入的机器分配一些被设为固定的地址，于是被设了固定地址的机器就不能使用那个地址，机器的使用者就会盲目更换地址，造成整个网络地址冲突。针对上述问题，我提出了将所有的地址登记并分配固定IP地址，但是仅仅这么做还不行，他们还是会经常更换，最后我将IP地址和网卡地址绑定，私自更换IP地址或网卡地址都无法上网，这样才解决了私自更换IP地址形成IP地址冲突的问题。

2在网络形成回路

所谓回路就是网络中存在环!例如两台交换机相连,应该使用一条线相连,达到级联的效果，如果使用两条线连接,就构成了回路。回路产生的根本原因是由于交换机的工作原理造成。当交换机中有新机器接入，交换机会产生一个机器MAC地址和交换机端口的对照表，然后该交换机将该表传到相邻的交换机，在相邻的交换机的另一个端口又穿回来,从而又增加一个MAC地址表,这样无限制的传输会引起网络带宽用尽,从而使网络瘫痪。

人们都知道形成回路会影响网络，但是在实际网络中，这种情况是很容易发生的。例如我曾经就在我校一个办公室中看到这样的情况：由于网络接口模块不够，他们就在办公室中增加了一个交换机，共接了五台电脑，后来有一人搬走留下一根网线的一端放在那里，来了一个新人看见这条线没有接好就接回了交换机，他这一错误的行为导致整个网络马上耗尽了所有的带宽，整个网络堵塞无法联网，经过仔细排查我发现一台交换机上的数据量特别大，于是就怀疑是该交换机所连接的局部网络的问题，将该交换机断开网络后，网络马上恢复正常。我仔细检查与该交换机相连接的网线，发现有一根从交换机接出的网线又接回了交换机，刚好形成了回路。

针对校园网中存在的这一问题，我查阅了相关的资料后，了解到该网络中的交换机可以配置生成树协议来消除回路，于是我将所有的交换机都配置了生成树协议，使得环路自动消失，同时也解决了另外一个困扰我的问题。由于早期网络建设我没有多少经验，所以我在设计的时候也考虑为整个网络做一个链路备份，但是担心形成回路，所以就放弃了，现在配置了生成树协议后，我就将网络的链路加做了备份从而形成如下图所示的安全链路。在四台交换机A、B、C、D之间形成了多条备用链路。

3下载文件堵塞网络。

所谓下载文件堵塞网络，对我校来说，就是在学校内部有些老师喜欢音乐和电影，于是他们就用迅雷、BT、电驴等下载工具下载大量的音频视频文件，使得整个的带宽被耗尽，导致其他的老师想打开网页都困难。相信这一现象在很多的局域网内部普遍存在。本人向一些负责这方面工作网络管理员了解过，他们大多采用劝说，让其自觉遵守网络管理规定，在网络空闲时段下载，但收效甚微，并不能从根本上解决问题。

对于我校网络中存在的这一问题，加之网络使用者有老师、学生、及其他的教职工，人员庞杂，这种方法根本行不通，只能从技术上来解决这一问题。为了解决这一问题我查阅了大量的资料对我校现用的路由器交换机的功能有了全新的了解之后，我将网络按照科室划分了VLAN，每个VLAN中分配一定的带宽，这样基本解决一人下载全校网络都很慢的问题，虽然不影响其他科室的人，但是还是会影响到本科室的人，并没有从根本上解决问题。最后，只能够采用每IP地址限速，就是为每个IP地址分配一定的带宽，限制每个IP地址的流量。设置如下图所示：

但是这样又会带来新的问题，那就是带宽的浪费，确实需要下载文件的人也无法获得更大的带宽。针对这一问题，我采取了两个措施，一是对于一些平时确实较多需要下载大文件的IP带宽分配的大些，二是当网络有空余的带宽时，任何一个IP都可以使用多余的带宽。

设置如下图所示：

4病毒攻击导致网络瘫痪

这种情况存在多种可能，其中比较常见的是ARP病毒攻击。这种病毒攻击导致网络瘫痪是人为故障中最难解决的。下面就ARP攻击如何解决做详细阐述。

要想解决这一问题首先要了解ARP是什么以及它的工作原理。我们知道，当我们在浏览器里面输入网址时，DNS服务器会自动把它解析为IP地址，浏览器实际上查找的是IP 地址而不是网址。但是网络信息传输只知道IP地址并不行，必须知道对方的MAC地址，那么IP地址是如何转换为第二层物理地址（即MAC地址）的呢？在局域网中，这是通过ARP协议来完成的。通过伪造IP地址和MAC地址实现ARP欺骗，能够在网络中产生大量的ARP通信量使网络阻塞，这就是ARP病毒。那么什么是ARP协议呢？ARP——地址解析协议。在TCP/IP网络环境下，每个主机都分配了一个32位的IP地址，这种互联网地址是在网际范围标识主机的一种逻辑地址。为了让报文在物理网路上传送，必须知道对方目的主机的物理地址。这样就存在把IP地址变换成物理地址的地址转换问题。以以太网环境为例，为了正确地向目的主机传送报文，必须把目的主机的32位IP地址转换成为48位以太网的地址。这就需要在互连层有一组服务将IP地址转换为相应物理地址，这组协议就是ARP协议。

下面介绍ARP的工作原理，分为两种情况：

1）在同一个网段内

假设主机A和B在同一个网段,主机A要向主机B发送信息。具体的地址解析过程如下：

(1)主机A首先查看自己的ARP缓存表,确定其中是否包含有主机B对应的ARP表项。如果找到了主机B对应的MAC地址,则主机A直接利用ARP表中的MAC地址,对IP数据包进行帧封装,并将数据包发送给主机B。

(2)如果主机A在ARP缓存表中找不到对应的MAC地址,则缓存该数据报文,然后以广播方式发送一个ARP请求报文。由于ARP请求报文以广播方式发送,该网段上的所有主机都可以接收到该请求,但只有被请求的主机B会对该请求进行处理。