校园网优化改造建议

校园网优化改造建议
具体设置举例
1、解决ARP欺骗和攻击的方法
（以下配置以TP-LINK480T为例，具体请本学校的设备为准）
在局域网中，通信前必须通过ARP协议来完成IP地址转换为第二层物理地址（即MAC地址）。

ARP 协议对网络安全具有重要的意义。

通过伪造IP地址和MAC地址实现ARP欺骗，对网络的正常传输和安全都是一个很严峻的考验。

“又掉线了！！！”每当听到客户的抱怨声一片响起，网管员就坐立不安。

其实，此起彼伏的瞬间掉线或大面积的断网大都是ARP欺骗在作怪。

ARP欺骗攻击已经成了破坏校园局域网的罪魁祸首，是网络管理员的心腹大患。

目前知道的带有ARP欺骗功能的软件有“QQ第六感”、“网络执法官”、“P2P终结者”、“网吧传奇杀手”等，这些软件中，有些是人为手工操作来破坏网络的，有些是做为病毒或者木马出现，使用者可能根本不知道它的存在，所以更加扩大了ARP攻击的杀伤力。

从影响网络连接通畅的方式来看，ARP欺骗有两种攻击可能，一种是对路由器ARP表的欺骗；另一种是对内网电脑ARP表的欺骗，当然也可能两种攻击同时进行。

不管理怎么样，欺骗发送后，电脑和路由器之间发送的数据可能就被送到错误的MAC地址上，从表面上来看，就是“上不了网”，“访问不了路由器”，“路由器死机了”，因为一重启路由器，ARP表会重建，如果ARP攻击不是一直存在，就会表现为网络正常，所以学校网管会更加确定是路由器“死机”或是网络掉线了，但实际上应该ARP协议本身的问题。

好了，其他话就不多说，让我们来看看如何来防止ARP的欺骗吧。

上面也已经说了，欺骗形式有欺骗路由器ARP表和欺骗电脑ARP两种，我们的防护当然也是两个方面的，首先在路由器上进行设置，来防止路由器的ARP表被恶意的ARP数据包更改；其次，我们也会在电脑上进行一下设置，来防止电脑的ARP表受恶意更改。

两个方面的设置都是必须的，不然，如果您只设置了路由器的防止ARP欺骗功能而没有设置电脑，电脑被欺骗后就不会把数据包发送到路由器上，而是发送到一个错误的地方，当然无法上网和访问路由器了。

(1)、设置前准备
当使用了防止ARP欺骗功能（IP和MAC绑定功能）后，最好是不要使用动态IP，因为电脑可能获取到和IP与MAC绑定条目不同的IP，这时候可能会无法上网，通过下面的步骤来避免这一情况发生吧。

①.把路由器的DHCP功能关闭：打开路由器管理界面，“DHCP服务器”－＞“D HCP服务”，把状态由默认的“启用”更改为“不启用”，保存并重启路由器。

②.给电脑手工指定IP地址、网关、DNS服务器地址，如果您不是很清楚当地的DNS地址，可以咨询您的网络服务商。

(2)、设置路由器防止ARP欺骗
打开路由器的管理界面可以看到如下的左侧窗口：
可以看到比之前的版本多出了“IP与MAC绑定”的功能，这个功能除了可以实现IP和MAC绑定外，还可以实现防止ARP欺骗功能。

打开“静态ARP绑定设置”窗口如下：
注意，默认情况下ARP绑定功能是关闭，请选中启用后，点击保存来启用。

打开“ARP映射表”窗口如下：
这是路由器动态学习到的ARP表，可以看到状态这一栏显示为“未绑定”。

如果确认这一个动态学习的表没有错误，也就是说当时不存在arp欺骗的情况下（如果网络是正常运行的，而且不同的IP对应的MAC地址不一样，一般是没有错误的），我们把这一个表进行绑定，并且保存为静态表，这样路由器重启后这些条目都会存在，达到一劳永逸的效果。

点击“全部绑定”，可以看到下面界面：
可以看到状态中已经为已绑定，这时候，路由器已经具备了防止ARP欺骗的功能，上面的示范中只有三个条目，如果您的电脑多，操作过程也是类似的。

有些条目如果没有添加，也可以下次补充上去。

除了这种利用动态学习到的ARP表来导入外，也可以使用手工添加的方式，只要知道电脑的MAC地址，手工添加相应条目就可。

为了让下一次路由器重新启动后这些条目仍然存在，我们点击了“全部导入”，然后再次打开“静态ARP绑定设置”窗口：
可以看到静态条目已经添加，而且在绑定这一栏已经打上勾，表示启用相应条目的绑定。

到此，我们已经成功设置路由器来防止192.168.1.111、192.168.1.112、222.77.77.1这三个IP受ARP欺骗的攻击，如果有更多的电脑，只是条目数不同，设置过程当然是一样的，不是很难吧？
另：现在有部分具有ARP防护功能的路由器，如果路由器有此功能建议开启。

对于这类路由器中提到的ARP防护功能，其实它的原理就是定期的发送自己正确的ARP信息。

但是路由器的这种功能对于真正意义上的攻击，是不能解决的。

遭受ARP攻击的最常见的特征就是掉线，一般情况下不需要处理一定时间内可以回复正常上网，因为ARP欺骗是有老化时间的，过了老化时间就会自动的回复正常。

现在大多数路由器都会在很短时间内不停广播自己的正确ARP信息，使受骗的主机回复正常。

但是如果出现攻击性ARP欺骗(其实就是时间很短的量很大的欺骗ARP，1秒有个几百上千的)，它是不断的发起ARP欺骗包来阻止内网机器上网，即使路由器不断广播正确的包也会被他大量的错误信息给淹没。

可能你会有疑问：我们也可以发送比欺骗者更多更快正确的ARP信息啊？如果攻击者每秒发送1000个ARP欺骗包，那我们就每秒发送1500个正确的ARP信息！面对上面的疑问，我们仔细想想，如果网络拓扑很大，网络中
接了很多网络设备和主机，大量的设备都去处理这些广播信息，那网络使用起来好不爽，再说了会影响到我们工作和学习。

ARP广播会造成网络资源的浪费和占用。

如果该网络出了问题，我们抓包分析，数据包中也会出现很多这类ARP广播包，对分析也会造成一定的影响
(3)、设置电脑防止ARP欺骗
路由器已经设置了防止ARP欺骗功能，接下来我们就来设置电脑的防止ARP欺骗了。

微软的操作系统中都带有ARP这一命令行程序，我们可以在windows的命令行界面来使用它。

打开windows的命令行提示符如下：
通过“arp-s ＋路由器IP如192.168.1.1＋路由器的MAC地址”这一条命令来实现对路由器的ARP 条目的静态绑定，可以看到在arp -a 命令的输出中，已经有了我们刚才添加的条目，Type类型为static 表示是静态添加的。

至此，我们也已经设置了电脑的静态ARP条目，这样电脑发送到路由器的数据包就不会发送到错误的地方去了。

怎么知道路由器的MAC地址是多少呢？可以打开路由器的管理界面，进入“网络参数”－＞“LAN口设置”：
LAN口的MAC地址就是电脑的网关的MAC地址。

细心的人可能已经发现了，如果使用上面的方法，电脑每次在重启后都需要输入上面的命令来实现防止ARP欺骗，有没有更简单的方法自动来完成，不用手工输入呢？有！
我们可以新建一个批处理文件如static_arp.bat，注意后缀名为bat。

编辑它，在里面加入我们刚才的命令：
保存就可以了，以后可以通过双击它来执行这条命令，还可以把它放置到系统的启动目录下来实现启动时自己执行。

打开电脑“开始”－＞“程序”，双击“启动”打开启动的文件夹目录，把刚才建立的static_arp.bat复制到里面去：
好了，以后电脑每次启动时就会自己执行arp –s命令了，网络管理员终于可以好好休息一下，不再受到ARP攻击的干扰。

说明：对于网络中有很多主机，如果我们这样每一台都去做静态绑定，工作量是非常大的。

，这种静态绑定，在电脑每次重起后，都必须重新在绑定，虽然也可以做一个批处理文件，但是还是比较麻烦的！
对于这种情况我们建议使用ARP防护软件。

目前关于ARP类的防护软件出的比较多了，大家使用比较常用的ARP工具主要是，360ARP防火墙、欣向ARP工具，Antiarp等。

它们除了本身来检测出ARP攻击外，防护的工作原理是一定频率向网络广播正确的ARP信息。

我们还是来简单说下这些小工具。

①、欣向ARP工具
它有5个功能：
A. IP/MAC清单
选择网卡。

如果是单网卡不需要设置。

如果是多网卡需要设置连接内网的那块网卡。

IP/MAC扫描。

这里会扫描目前网络中所有的机器的IP与MAC地址。

请在内网运行正常时扫描，因为这个表格将作为对之后ARP的参照。

之后的功能都需要这个表格的支持，如果出现提示无法获取IP或MAC时，就说明这里的表格里面没有相应的数据。

B. ARP欺骗检测
这个功能会一直检测内网是否有PC冒充表格内的IP。

你可以把主要的IP设到检测表格里面，例如，路由器，电影服务器，等需要内网机器访问的机器IP。

(补充)“ARP欺骗记录”表如何理解：
“Time”：发现问题时的时间；
“sender”：发送欺骗信息的IP或MAC；
“Repeat”：欺诈信息发送的次数；
“ARP info”：是指发送欺骗信息的具体内容.如下面例子：
time sender Repeat ARP info 22:22:22 192.168.1.22 1433 192.168.1.1 is at 00:0e:03:22:02:e8 这条信息的意思是：在22:22:22的时间,检测到由192.168.1.22发出的欺骗信息，已经发送了1433次，他发送的欺骗信息的内容是：192.168.1.1的MAC地址是00:0e:03:22:02:e8。

打开检测功能，如果出现针对表内IP的欺骗，会出现提示。

可以按照提示查到内网的ARP欺骗的根源。

提示一句，任何机器都可以冒充其他机器发送IP与MAC，所以即使提示出某个IP或MAC在发送欺骗信息，也未必是100％的准确。

所有请不要以暴力解决某些问题。

C. 主动维护
这个功能可以直接解决ARP欺骗的掉线问题，但是并不是理想方法。

他的原理就在网络内不停的广播制定的IP的正确的MAC地址。

“制定维护对象”的表格里面就是设置需要保护的IP。

发包频率就是每秒发送多少个正确的包给网络内所有机器。

强烈建议尽量少的广播IP，尽量少的广播频率。

一般设置1次就可以，如果没有绑定IP的情况下，出现ARP欺骗，可以设置到50－100次，如果还有掉线可以设置更高，即可以实现快速解决ARP欺骗的问题。

但是想真正解决ARP问题，还是请参照上面绑定方法。

D. 欣向路由器日志
收集欣向路由器的系统日志，等功能。

E. 抓包
类似于网络分析软件的抓包，保存格式是.cap。

②、 Antiarp
这个软件界面比较简单，以下该软件的使用方法。

A. 填入网关IP地址，点击［获取网关地址］将会显示出网关的MAC地址。

点击[自动防护]即可保护当前网卡与该网关的通信不会被第三方监听。

注意：如出现ARP欺骗提示，这说明攻击者发送了ARP欺骗数据包来获取网卡的数据包，如果您想追踪攻击来源请记住攻击者的MAC地址，利用MAC地址扫描器可以找出IP 对应的MAC地址。

B. IP地址冲突
如频繁的出现IP地址冲突，这说明攻击者频繁发送ARP欺骗数据包，才会出现IP冲突的警告，利用Anti ARP Sniffer可以防止此类攻击。

C. 您需要知道冲突的MAC地址，Windows会记录这些错误。

查看具体方法如下：
右击[我的电脑]--[管理]--点击[事件查看器]--点击[系统]--查看来源为[TcpIP]---双击事件可以看到显示地址发生冲突，并记录了该MAC地址，请复制该MAC地址并填入Anti ARP Sniffer的本地MAC地址输入框中(请注意将:转换为-)，输入完成之后点击[防护地址冲突]，为了使MAC地址生效请禁用本地网卡然后再启用网卡，在CMD命令行中输入Ipconfig /all，查看当前MAC地址是否与本地MAC地址输入框中的MAC 地址相符，如果更改失败请与我联系。

如果成功将不再会显示地址冲突。

注意:如果您想恢复默认MAC地址,请点击[恢复默认],为了使MAC地址生效请禁用本地网卡然后再启用网卡。

③、360ARP防火墙
这个软件也比较简单，
A、在保护状态着选择开启，即可开启基本的ARP防护功能。

开启ARP防火墙将有效解决局域网内因为ARP 攻击频繁掉线情况，并及时查杀已感染ARP病毒木马。

B、在“当前网关IP/MAC保护设置”中，设置当前需要进行保护的网关IP/MAC，您可以选择由防火墙自动获取，也可以自行添加需要保护的网关的IP/MAC。

C、在“综合设置”中，可设置网关及DNS保护设置（自动获取或手工设置），同时可设置拦截攻击类型（拦截外部ARP攻击、拦截IP冲突、拦截本机对外ARP攻击），建议全选。

2、路由器连接数限制功能设置指导
（以下配置以TP-LINK480T为例，具体请本学校的设备为准）
路由器里的“连接数”主要是指并发连接数，它是路由器能够同时处理的点对点连接的数目。

那么，连接数究竟是一个什么概念呢？它的大小会对用户的日常使用产生什么影响呢？
要了解连接数，首先需要明白一个概念，那就是“会话”。

这个“会话”可不是我们平时的谈话，但是可以用平时的谈话来理解，两个人在谈话时，你一句，我一句，一问一答，我们把它称为一次对话，或者叫会话。

同样，在我们用电脑工作时，每一次完整的数据交换过程，我们都可以把它叫做一个“会话”。

说到这里，可能有人会说：这个是在电脑上的操作，跟路由器有什么关系呢？事实并不是这样的，我们使用路由器的目的是共享上网，电脑说出去的话都需要路由器来转发出去，对方电脑的回话也需要路由器转发回来，那么，如果是多台电脑的话，路由器如何知道哪句话是谁说的呢？举个例子：张三、李四、王五
说话，您都知道哪句话是张三说的，哪句话是李四说的；那是因为您记住了他们说的话。

路由器如果要分辨的话，同样也要记住。

在路由器内部维护着一张连接数表，是用来存放连接数信息，动态占用一些内存、CPU。

这张表的大小是固定的，如果某个时候，这张表被填满了；那么，再有数据要出去的话，路由器没有办法转发。

可以这么说：“路由器的连接数是有上限的，如果其中的一部分电脑就用完了连接数，那么，其余的电脑就没法上网”。

下面以图例来说明连接数条目问题，以下测试结果在2M的ADSL线路上得出的：
（1）打开的时候，连接数可以达到80左右；这个连接数维持的时间很短，一分钟之内可以老化消失掉。

因此，不必担心这个会影响网速。

那么，为什么会一下有这么多连接数呢？这主要是象sina这些门户网站，有多个服务器，而且网页页面有很多图片、动画等，而网页浏览的时候需要先把这些元素下载到本地电脑的临时文件夹里，这样一来，才会导致一瞬间产生这么多连接数。

如图1所示：
图1 连接新浪首页发起的连接数
（2）开启迅雷下载，占用连接数不是很多；当下载热门电影、游戏的时候，连接数会稳定在80左右；这80个连接数会一直存在，直到迅雷下载完成。

强调一下，这个数值是在2M ADSL线路上测试的。

如图2所示：
图2 使用迅雷下载时发起的连接数
（3）开启BT（使用Bitcomet）下载，会占用大量连接数。

下载的初始化阶段，连接数可能达到2000多，等待稳定下载以后，连接数会下降；这些条目也是一直存在，直到下载完成。

如图3所示，是速度在
时候，所发起的连接数。

这里说明一点：连接数和速度大小没有必然的联系。

速度大，连接数不一定多；反过来，连接数多，速度也不一定大。

但是，连接数多的话，速度变大的可能性比较高。

图3 使用BitComet下载
其他的P2P软件，原理也是差不多的。

上面通过几个简单的例子来说明下什么是连接数，那么在路由器上设置这个功能有什么好处呢？有两个目的：1、可以防止P2P类软件过分占用连接资源而导致的网速慢和掉线问题，同时也能间接的避免P2P 软件占用太多的带宽（如果想要有效分配内网带宽的话请使用IP QOS功能）；2、可以避免一些攻击甚至病毒发起大量连接占用完路由器资源或带宽而导致的掉线问题。

因此在学校局域网这种复杂的网络环境下，我们建议启用连接数限制，最大连接数建议设置为100或者150。

2、路由器IP QoS功能设置
（以下配置以TP-LINK480T为例，具体请本学校的设备为准）
这篇文档就TP-LINK企业级路由器的IP QoS功能的设置，给出了较详细的配置过程。

下面就以TL-R480T举例说明。

R480T软件升级后的界面如下，新增“QoS”：
QoS Set界面如下图
上图中红线勾勒部分的信息重要性就不强调了，下面有“上行带宽”和“下行带宽”两项参数，点击页面“帮助”按钮可以看到下图信息：
可以将“上行带宽”和“下行带宽”理解为用户申请的宽带线路的实际上下行带宽，比如ADSL线路上行512Kbps下行2Mbps ，那么就可以在这里分别填写如下：
如上图，在这里强调的是：必须先开启这里的开关“开启QoS”并填入线路实际的上下行带宽，然后才能在IP QoS页面继续配置，否则会提示错误。

下面是IP QoS设置界面：
举例添加如下新条目，如下图：
上面填写了一些参数，解释如下：
(1)“地址段”——包含了从.10到.20总共11个IP地址。

另外，这里的地址段允许输入和路由器LAN口IP地址不在同一网段的IP地址，意味着用户内网如果采用三层交换设备规划了不同子网的方案下，路由器也可以支持对不同网段IP的带宽限制。

(2)“模式”——独立带宽，顾名思义下面的“最大带宽”“最小带宽”是针对这段IP地址里面的每一个IP而言，如果模式选择了“共享带宽”也就是这段IP共享下面的参数。

(3)“上行/下行”——我们都知道网络上传输的数据流是有方向的，比如BT下载，可以从Internet 上的服务器下载数据，自身也作为服务器上传数据，我司路由器IP QoS就是根据这种“有方向性的数据流”来分别进行限制。

路由器非常准确的对上/下行数据流分开来进行了限制。

就上图填写的参数，假设配置了
192.168.1.10这个IP地址的主机正在进行BT下载，那么这台主机的数据流量会比较大，这台主机的数据流分两部分：一部分是它从别的服务器下载数据，一部分是它上传数据给别的主机。

路由器的IP QoS将会对这台.10的主机下载和上传两个方向的数据流量分别进行规定限制。

按照上面填写的参数，.10主机在上行方向（上传数据）的数据流量最小保证50Kbps、最大不超过100Kbps的带宽，下行方向（下载数据）的数据流量最小保证100Kbps、最大不超过200Kbps的带宽。

这里上行数据和下行数据的可用带宽是以线路实际上/下行带宽作为参考的。

如果现在.10 — .20这11台主机都在下载数据，而线路的实际下行带宽是有限的2Mbps ，可能发生带宽争用，按照我们上面设置的参数路由器要先保证每一个IP地址下行数据最小使用100Kbps的带宽，那么11台主机总共使用了1100Kbps的带宽资源，这条线路总的下行带宽资源2000Kbps还余留约900Kbps ，这900Kbps的剩余带宽资源如何分配？我们可以这样理解路由器对剩余900Kbps的线路带宽的分配：比如某个时候11台主机都在争用剩余900Kbps的带宽，那么“在第一轮争用过程中，11台主机平分了900Kbps 的带宽”，过了第一轮争用后，11台主机中的2台在使用给自己保证的最小100Kbps的带宽后刚好足够传输不需要额外的带宽了，这2台主机就退出了争用过程只余下9台主机继续争用，那么在第二轮争用过程中就是9台主机平分了900Kbps的带宽。

如上图红色标注，现在假设线路的下行带宽是10Mbps ，配置了192.168.1.10和192.168.1.11这两台主机的“下行带宽”最小都是100Kbps ，最大却不同分别是1000Kbps和2000Kbps ，那么带宽在分配的时候：
∙路由器先保证两台主机的“下行带宽”最小可以使用到100Kbps 。

∙最小带宽保证后，两台主机进一步还有下行带宽的需求，那么超过100Kbps的流量后，路由器采用“轮询”方式，开始增大两台主机占用的有效带宽，当192.168.1.10这台主机的下行数据流
占用的带宽达到最大1000Kbps的时候，路由器将不会载转发超过1000Kbps带宽的数据包。

但
是192.168.1.11这台主机在争用带宽的时候，数据流达到1000Kbps后这台主机仍然需要更大
的带宽，路由器会一直增大它占用的有效下行带宽至2000Kbps后，将不再继续转发超过这个带
宽范围的数据包。

∙剩余的下行7Mbps的带宽资源将闲置，不会分配给.10和.11 ，除非将其最大可用“下行带宽”
改为更大，否则它们将不能使用剩余带宽。

配置IP QoS的时候，“模式”选择为“共享带宽”，则是地址段内包含的所有IP地址共享设置的上下行最大最小带宽。

上面我们用了较长篇幅来描述企业级路由器新增的IP QoS功能的使用，是不是看似很复杂？不过即使您看的不是太懂的话也没有关系，您只需要按照下面的步骤来设置您的网络即可：
①将内网的电脑的IP手工指定，并且是连续的，如192.168.1.2～192.168.1.100，这样方便后面的设置；
②在IP QOS设置开关处设置您的线路的带宽，分别设置线路的上行带宽和下行带宽，如10M的光纤线路需要填入
10000；然后开启QOS总开关；
③进入IP QOS规则设置页面，添加新条目，设置：
IP地址段如192.168.1.2～192.168.1.100；
模式选择为“独立”；
上行最小带宽：线路真实上行带宽/内网电脑数，在此例中为10000/99＝101；最大带宽的设置关系不大，推荐设置800或1000或2000；
下行最小带宽：线路真实下行带宽/内网电脑数，在此例中为10000/99＝101；最大带宽的设置关系不大，推荐设置800或1000或2000；
④保存，设置完成。

4、PPPOE设置
目前ARP病毒比较猖獗，严重影响了网络的正常运行。

在一般情况下，只要有一台计算机感染ARP病毒就可能造成此网段中所有计算机上网时断时续或缓慢等其它不正常现象。

为了保障校园网络正常运行，针对ARP病毒猖獗和破坏性，我们以上也介绍了一引起应对措施。

但由于ARP病毒利用的是二层网络ARP 协议固有的弱点，以上措施并不能从根本上彻底解决问题，网络上有的介绍的应对措施虽然能从根本上解决，但对于绝大部分学校来说，资金投入又比较多，例如以下网管常用的几种应对措施：
第一、对感染病毒的计算机进行暂时断网杀毒；给网络中每台计算机安装ARP病毒防御软件（Antiarp、360ARP防火墙等）。

不足之外：在学校计算机数量比较多的情况下不利于实施。

第二、对每台计算机实行IP和MAC双向绑定。

不足之外：在计算机数量比较多的情况下不利于实施。

第三、使用路由器广播网关MAC地址ARP包。

不足之外：影响网络质量，在ARP病毒发包比较厉害的情况下作用不大，不能从根本上阻止ARP病毒攻击。

第四、每台计算机都直接连接可网管交换机，用交换机进行端口和MAC地址以及IP地址绑定。

不足之处：需要可网管交换机，资金投入大。

以上措施都是在继续使用ARP协议上网的基础上实施的。

那么有没有一种能够彻底解决ARP病毒带来的困扰而且投资又比较少的上网方式呢？其实是有的，我们可以在网内采用PPPOE(PPPOE全称Point to Point Protocol over Ethernet，意思是基于以太网的点对点协议)的方式上网。

这种方式不使用ARP 协议，也就不存在ARP病毒欺骗了，如同 ADSL 宽带上网，每个工作站访问 Internet 是相对独立的，互不干扰，可以有效解决局域网 ARP 攻击等带来的问题。

（具体可参见PPPOE协议原理）
需要使用PPPOE就必须有能支持PPPOE SERVER的设备，而电信级的支持PPPOE服务的BRAS设备的价格高昂（如华为MA5200等），不是一般学校能够接受的，普通的宽带路由器如TP－link、侠诺等又不支持PPPOE SERVER，如何解决呢？下面我们就重点介绍部分支持PPPOE SERVER的性价比又比较高的中低端路由器及软路由。

支持PPPOE SERVER的中低端路由器有：
h3c(华三) VRP 3.4版本以上的中低端路由器,华为（H3C）AR18-21A（约1600元已停产）、MSR20－10(约2500元) 推荐, 如博达的1750（约1200元）、2605等(推荐)；
Cisco(思科)1700以上路由器（价格较高）；
BEST HR－802宽带路由器（小品牌，未实际试用）。