樊　程　徐忠军

摘 要:高校远程录取工作中的网络保障是校园网管理的重要方面。本文从线路保障、VLAN规划及配置、链路聚合、ARP欺骗防范、校园网出口设备的配置策略、网络故障应急预案等方面入手,提出了一个针对远程录取工作特点的网络保障方案。此方案已在网上录取工作中实施并具有良好的效果。

关键词:高校 网上录取 网络保障 应急预案

中图分类号:TP393. 07 文献标识码:B 文章编号:1673-8454(2009)13-0017-02

目前,网上远程录取已经成为高校招生的主要手段,如何保障高校网上招生录取工作安全、高效、稳定的运行,成为校园网管理人员的重要课题。笔者作为校园网管理人员,根据近几年来网上录取工作的实践,设计了一套基于校园网环境的远程录取网络保障方案。

一、线路保障

布线系统为信息资源的传递提供了物质通道,是网络系统的基础。网上录取工作的线路保障主要分为录取中心接入校园网线路的保障和校园网接入ISP(Internet Service Provider,互联网服务提供商)的出口线路保障两个方面。

对于录取中心接入校园网的线路,考虑到录取中心机房在招生期间的重要地位,应该采用一种稳定性和冗余性好的接入方式。录取中心机房应保证有两条线路接入校园主干网络,并且在招生期间尽量避免在该线路周边的施工,以防线路意外受损。

对于校园网接入ISP的出口线路,校园网管理人员应落实教育部要求,确保高速、稳定地接入教育网。另外,还必须建立备用ISP线路,以确保教育网一旦出现问题时启用。从2008年招生的情况来看,各省份的招生服务器也同时使用了电信、网通等公网运营商的IP地址,当教育网线路意外中断时,利用备用线路也可以较快地访问到招生服务器。

二、网络规划及设备配置

针对远程录取的特点合理规划和配置校园网设备可以有效保障录取工作的顺利进行,网络规划及设备配置主要包括录取中心专用VLAN的划分及访问控制、链路聚合、ARP欺骗防范、校园网出口策略等方面。

1.录取中心专用VLAN的划分及访问控制

VLAN(Virtual Local Area Network) 是虚拟局域网的简称,它是在一个物理网络上划分出来的逻辑网络。VLAN对应于ISO模型的第二层,划分不受网络端口的实际物理位置的限制。第二层的单播、广播和多播帧在一个VLAN内转发、扩散,而不会直接进入其他的VLAN之中,所以不同VLAN之间的访问必须通过路由器或者三层交换机。

VLAN技术具有灵活、限制广播、提高安全性的特点。利用VLAN间的访问控制列表技术(ACL)一方面限制了网络病毒的传播,另一方面又能够对录取中心专用子网实施严格的访问控制,提高了录取中心网络的可靠性和安全性。访问控制列表主要规则如下:(1)允许录取中心客户机访问教育网及电信网;(2)允许录取中心客户机访问校园网招生专用FTP服务器;(3)禁止其他VLAN用户访问校园网招生专用FTP服务器;(4)禁止所有VLAN间的危险端口的访问,如TCP135、TCP139等;(5)禁止其他VLAN用户对录取中心的访问。

2.链路聚合

链路聚合(Trunking)技术可以在不改变现有网络设备以及布线的情况下,把多条交换机到服务器或交换机到交换机的数据链路捆绑起来,形成一条逻辑上的高带宽数据链路。而且,链路聚合技术还可以增加网络容错能力,极大地提高整个网络系统的性能。

录取中心和校园主干网络之间的多条接入线路应采用链路聚合的方式。由于链路聚合实时平衡各个交换机端口和流量,一旦某个端口出现故障,它会自动把故障端口从链路聚合组中撤消,进而重新分配各链路聚合端口的流量,从而实现系统容错。这种方式既保证了录取数据的高速率传输,又能起到冗余备份的功能,提高了录取中心接入校园网线路的可靠性。

3.ARP欺骗防范

ARP(地址解析协议)用于将计算机的网络地址转化为物理地址。如果攻击者持续不断地发出伪造的ARP包就能更改目标主机和路由器中ARP缓存的IP-MAC条目,造成网络中断或中间人攻击。为了防止个别机器感染ARP病毒造成录取中心局域网的故障,根据ARP攻击的原理,可以选用具有ARP广播限制功能的接入设备,同时利用三层交换机的IP-MAC绑定功能,实现对ARP欺骗的双向控制。

首先,应在录取中心机房选用具有ARP攻击防范功能的交换机(锐捷S2126),并做如下配置(假设Fa1/1为上联端口,Fa0/1-24接用户,网关IP是192.168.1.1,在Fa0/1-24上设置网关ARP欺骗防范):

Switch-S2126(config)#interfacerangefastEthernet0/1-24 //进入端口0/1-24

Switch-S2126(config-if-range)# anti-ARP-Spoofing ip 192.168.1.1//防止网关地址欺骗

其次,在校园网三层交换机(锐捷S4909)中对教学系统客户机的IP-MAC绑定。配置命令如下 (192.168.1.10、 .11为录取中心客户端机器) :

Switch-Center(config)# arp192.168.1.105078.4c70.b219arpafastEthernet 3/3

Switch-Center(config)# arp192.168.1.110050.ba73.cd8darpafastEthernet 3/3

利用网络设备的反ARP欺骗功能,可以在录取中心子网内有效地控制ARP欺骗攻击。

4.校园网出口设备的配置策略

目前高校大都采用高性能防火墙作为校园网的出口设备,充分运用防火墙的功能可以更好地保障网上录取的正常进行。其保障作用主要体现在防火墙对出口带宽的合理分配、多出口链路备份机制、网络蠕虫防范等几个方面。

在用户出口带宽分配方面,由于入网用户数量庞大,网络应用种类繁多,校园网出口流量经常达到或接近最大带宽。因此,在网上录取时期必须实施合理的带宽分配策略,根据不同情况对用户流量实行精细管理。一方面,应该对P2P类的大流量应用进行限制。普遍的调查数据表明,网络上超过60%的流量是由于少数用户使用BT、迅雷等P2P类的软件造成的。校园网管理人员应该利用防火墙识别并限制此类的应用,将P2P应用所占的出口带宽控制在不影响出口通畅的前提下。另一方面,校园网管理人员必须考虑网络流量高峰时期招生数据的优先传输。当信息拥塞造成出口瓶颈时,防火墙所具有的优先权数据队列机制,可以保证招生数据比其他应用数据获得更高的优先传输权。通常防火墙通过定义管道的方式提供CoS/QoS功能,并可以基于IP、VLAN等信息进行带宽管理。通过优先级控制,保证了校园网中录取中心的带宽不被其他服务或者用户占用,从而保证了招生数据优先通过网络。

在多出口链路备份方面,为了保障网上录取工作不受出口线路故障的影响,可以利用防火墙的出口链路备份功能。即当一条链路因故障中断时,防火墙会立即启用其他的链路出口,并把在故障接口上的状态信息也同时转移到正常的链路接口上,保持了防火墙的状态表的一致性,从而保证录取中心的网络应用不受影响。

最后,利用防火墙的访问控制策略可以禁止对危险端口的访问,控制网络蠕虫的传播,还可以利用防火墙的状态检测机制防范一些常见的黑客攻击。

三、网络故障应急预案

网上远程录取工作具有很强的时效性,因此积极做好应急预案,防患于未然,才能迅速及时地排除故障。从近几年的实际情况来看,意外故障主要表现为设备失效、大规模蠕虫爆发等方面。

1.设备失效故障处理

招生期间正值暑假,高温多雷等不利因素很可能造成网络设备的意外故障。首先,网管人员应提前检测所有涉及网上录取的网络设备,并统一安排同型号的应急备用设备。备用设备平时用于校园网其他节点的运行,但在招生专用网络设备出现意外故障时作为替换。其次,应备份所有涉及网上录取的设备配置文件。在特殊情况需要使用备用设备时,可以通过TFTP(Trivial File Transfer Protocol,文件传输协议)服务将配置文件导入网络设备。这种方式既保证了配置准确性又加快了配置速度,有效地缩短了故障恢复时间。最后,网管人员在处理意外故障时,应冷静应对,迅速定位故障设备并制定解决方案,合理分工协作,提高故障处理效率。

2.大规模蠕虫暴发事件的应对

大规模蠕虫暴发事件会造成校园网核心及出口设备负载过高,带宽拥堵,上网速度明显变慢。此类事件的应对措施可以从以下几个方面考虑:首先,应及时在专业网站上获取蠕虫的相关信息,了解其原理及传播方式,特别是传播时所使用的端口,然后在校园网核心及出口设备利用访问控制策略进行封堵。其次,由于大规模蠕虫暴发事件通常都和操作系统漏洞有关,应要求用户尽快检查系统漏洞,打齐系统补丁。最后,因为此类事件往往造成整个互联网的网速降低,校园网管理人员应及时分析各出口链路的情况,必要时放弃受到严重影响的出口线路,及时调整出口路由策略,选用带宽状况较好的备用线路。?筅

四、结束语

高校网上招生录取的网络保障工作需要构建一个安全、高效、可靠的校园网环境,基于这种需求,本文从线路保障、网络规划及设备配置、网络故障应急预案等方面入手,提出了一个针对远程录取工作特点的网络保障方案。此方案已经在校园网环境中实施,并有效保障了近几年学院网上招生录取工作的顺利进行,收到了良好的效果。

参考文献:

[1]姚军.校园网接入模式的研究与实现[J].西安科技大学学报,2006(4).

[2]陈兵.网络安全体系结构研究[J].计算机工程与应用, 2002(7):138-140.

[3]陈军.高校网上招生的网络安全与优化[J].网络安全技与应用,2007(4).