精细化管理校园网络
2013-10-25郑宏涛燕敏
文/郑宏涛 燕敏
随着网络的不断发展和进步,校园网的用户规模和业务应用也在不断地增加。伴随手机、平板电脑等智能终端逐渐普及,3G和移动互联网等新技术快速发展,校园网用户对访问网络的便捷性、易用性等提出了新的要求。因此,面对建立可运行、可管理的高效校园网需求,校园网的运行管理在新形势下面临着新的挑战和机遇。
校园网除了一般网络所具有的特点之外,还具有以下特殊的需求:
1.校园网的用户具备一定的网络知识和较强的动手能力,乐于尝试各种新鲜的事情。校园网作为支持教学和科研基础设施,成为实验网络理论的天然场所,其中不乏以恶作剧为目的的网络攻击行为。
2.作为支持学校教学科研的基础设施,用户在访问校内资源时不应受到任何限制。计费策略仅在用户访问校外资源时生效。
3.带宽使用具有明显的峰谷规律:上午与下午的上课时间流量明显低于晚上黄金时段,中午也是带宽使用的小高峰。
4.流量行为具有明显的应用分类特征:如果不采取流控策略,10%的用户有可能消耗掉90%的带宽,且其中90%以上的均为P2P流量。所以必须在整个校园网出口对外网带宽进行合理的分配和调度,保证Web、在线视频、VoIP等实时性强的业务,适当限制P2P等大量消耗带宽的应用,确保高峰期每位用户也能顺畅地浏览网页和观看视频。
5.校园网上应用和系统的安全问题。校园网大量使用真实的教育网地址,如果没有一定的安全策略,这些系统及校内的应用将直接暴露在网络上,一旦被黑客攻击或者利用将对校园网的安全和稳定造成巨大危害。
针对以上五个问题,在校园网运行管理中必须切实做到以人为本、效率优先,精细管理、提高体验。以人为本、效率优先即在校园网运行管理中要坚持网络服务教学科研的基本原则,为广大师生提供良好的网络服务;维持校园网安全稳定运行,保障基于校园网的各项业务和应用能够持续正常开展。精细管理、提高体验即校园网运行管理中运行策略制定和实施要坚持以用户为需求导向,尽量提高用户的上网体验。改变以往校园网粗放管理的运行模式,提供更多人性化的便捷服务。
图1 万兆升级改造前拓扑
两方面优化网络结构
西安石油大学于2012年5月份升级了出口带宽,总带宽由原来的500M电信+34M教育网提高到3条500M电信+300M联通+100M教育网+200M IPv6。出口带宽扩容消除了原有出口带宽绝对不足的客观问题,同时也带来了新的问题。原有的核心交换设备、计费设备、流控设备和出口网关设备均为千兆设备,在出口为534M时可以满足要求,在升级带宽后无法满足新的要求,需要对核心和出口设备进行升级改造。
目前学校使用H3C S10508作为网络的核心交换设备,计费采用的城市热点万兆计费网关(测试),出口采用Hillstone SG-6000-X6180(测试)作为出口网关。学生区用户目前采用DHCP+认证方式,家属区采用静态IP+认证方式,办公区使用静态IP方式接入。用户接入网络即可使用校园网资源,仅在访问校外资源时需要认证。在核心网万兆升级改造过程中,考虑目前网络的发展趋势和校园网用户的使用特点,从校园网结构和管理策略上进行大规模的改进和优化。网络结构优化主要从以下两个方面进行:1.改变原有的本部校区的二层网络结构,部署三层网络结构;2.在接入设备上部署安全防护策略,彻底杜绝私设DHCP服务器和ARP病毒引起的用户侧网络故障。
图2 万兆升级改造后拓扑
图3 DHCP工作流程
在校园网升级万兆之前,网络拓扑如图1所示。本部所有的用户网段网关均集中在Cisco 6509,本部实际拓扑为二层网络。缺点则表现为:1.个别区域如果发生病毒攻击网关,将会对核心6509交换机造成很大压力进而影响整个本部其他区域的网络服务,不利于校园网整体的稳定和安全;2.所有用户网关都集中在一个设备上对该设备的硬件性能和稳定性要求太高,存在潜在的转发性能瓶颈和ARP表项不足问题;3.与其他校区核心设备之间维护的静态路由条目繁多,管理复杂度增加。
进行万兆升级时充分考虑到二层的弊端及校园网用户的特殊需求,本部所有区域的网络结构进行分层整合和优化。升级后的拓扑如图2所示,去掉原有的Cisco 6509,所有区域的汇聚设备与核心设备通过OSPF协议连接,用户网关终结在各区域的汇聚设备上。跨区域的VLAN的网关设置在核心设备上,区域之间通过Trunk透传。由于跨区VLAN大多是一卡通、监控等特殊应用,不存在用户VLAN中的病毒攻击问题,因此不会对核心设备造成太大的压力。升级后,核心设备负责所有校区数据包的高速转发和交换,区域汇聚设备负责本区用户的交换和对外访问的转发,用户因为操作不当或者病毒攻击对网络所造成影响被隔离在本区域内部,降低了整个校园网的运行风险。
核心交换机通过OSPF协议与各区域之间连通,各区域分配不同AREA Number,区域内的变化通过OSPF的AREA 0交换到所有其他区域。减少了所有区域都在AREA 0时路由变化所引起的OSPF计算开销,保证校园网骨干网络保持稳定和安全。为进一步提高设备的转发效率,缩短转发时路由查找时间可以选择设置Stub Area。设置Stub Area后汇聚设备仅保留本区内的直连路由,目的地址为区域外的数据包统一经过默认路由发送,可以极大减少汇聚设备的路由数量,提高转发的效率。接入层设备上部署新的安全策略,该策略主要针对校园网中容易出现的局域网ARP病毒攻击和学生在实践网络理论过程中可能出现的误操作对网络造成的影响。主要体现在以下四个方面:
以下安全防护策略主要以H3C设备为例,其他厂家设备也具有类似的功能但名称可能不同。
1.开启设备的DHCP Snooping功能,防止非法接入的DHCP服务器影响用户上网。
DHCP工作流程如图3所示,DHCP Snooping的工作原理是仅允许合法的DHCP服务器发送DHCP offer信息,其中包含DHCP server分配给客户端的IP地址和DNS信息,非法的DHCP offer信息将被丢弃掉,同时生成IP地址和Mac的对应关系表。根据此思路需要在将连接DHCP服务器所在的端口设置为信任端口以便合法的DHCP offer信息能顺利通过,其他端口设置为非信任端口,阻止非法的DHCP offer信息通过。
经过上述设置后,如果某用户的设用路由器未关闭DHCP功能,其影响范围只局限在与该路由器在同一上联口的用户,减轻了网络运维的工作量,同时方便运维人员定位网络故障。
2.开启ARP入侵检测功能:Arp detection。
Arp detection与DHCP Snooping配合,可以有效防止黑客或攻击者通过ARP报文实施“中间人”攻击。该VLAN内所有ARP非信任端口接收到的ARP(请求与回应)报文将重定向到CPU进行报文的合法性检查:如果认为该ARP报文合法,则进行转发;否则直接丢弃。该VLAN内信任端口接收的ARP报文正常转发,不进行合法性检查。此处的合法性检查指对ARP报文内的源IP与Mac的对应关系与1中的 DHCP Snooping生成的表象进行对比和判断,与表项相符的则允许通过,否则丢弃该数据包。
经过上述设置后可以防止各种伪造源地址的ARP病毒,常见的是网关欺骗类ARP病毒的攻击。
3.开 启ARP限 速 功 能:Arp rate limit。
开启原因包括两个方面:在2开启的Arp detection功能,每个ARP报文都会被重定向CPU进行报文合法性检查,存在恶意ARP报文消耗CPU过多的问题;用户网络知识水平参差不齐,经常发生一个机器中毒导致整个网段内的其他用户都无法访问网络的情况,局域网病毒大多依赖于ARP协议,开启Arp rate limit可以有效防止这类情况的发生,同时也减轻运维人员排查网络故障时的负担。
4.经过上述设置后可以有效控制各种基于ARP协议的非法网管软件,常见的P2P终结者和网络执法官。
这类软件大多采用ARP协议进行网关欺骗,为了达到效果通常需要发送大量ARP响应报文,且在软件运行初期扫描存活主机时也会发送大量的ARP请求。
5.开启环路检测功能:Loopbackdetection enable。
用户因误操作导致网络环路进而产生广播风暴的事情经常发生,Loopbackdetection可以有效防止个别用户的误操作影响整网运行。
六种手段细化管理策略
管理策略的改进主要体现在以人为本,提高服务质量。总结以往校园网运行管理的成熟经验,同时细化管理策略,主要体现在以下几个方面:
1.细化用户分类。按照优先保障教学科研的原则,将校园网用户分为教学办公区用户、家属区用户、学生区用户。不同用户对网络使用的需求不同,在制定管理和运行策略时需要区分对待。制定重要用户故障响应预案,确保基于校园网的重要业务在发生故障时及时响应,优先保障教务、财务、一卡通等重要用户重要业务的故障恢复时间。
2.细化流量分类。分析网络中各种应用类型,按照时效性的原则对流量进行归类。网页浏览、VoIP等实时性强的归为保障类,在线视频、单线程下载等实时性一般的归为普通类,P2P等下载类应用归为第三类。保障类应用具有最高优先级,在流控时建立专用通道,不被挤占。在线视频等普通业务属于实时性较强用户敏感度一般,归为第二类,建立专用通道保留一个流量范围。第三类属于严格控制的应用,这些应用特点带宽需求大、实时性弱,设立专用通道给定最大带宽,通道带宽不满时可以被其他通道借用。
3.细化带宽分配。带宽分配时充分考虑全体用户的使用习惯,在不同时间段为用户提供尽可能高的带宽。上班时间用户数较少,这个时间段内的单用户可用带宽设置较大一些;中午和下午下班后时间单用户的带宽设置较小;晚上十一点之后可以取消流控策略。在全校范围内均衡流量使用,确保每位用户无论高峰期还是一般时段都能流畅地使用校园网,确保学校对校园网出口带宽投资得到最大化利用。
4.细化故障处理流程。针对校园网运行过程中常见的问题和故障,制定常见问题处理流程,规范故障处理定期收集整理用户反映的问题,对全体运维人员和参加运维的学生网管进行培训。定期分析运维中出现的问题,发现网络运行中可能存在的隐患及时处理,确保校园网安全稳定。建立讨论组和知识库,鼓励运维人员(主要是学生网管)在解决问题时相互交流相互学习共同进步,新网管参与运行之前均会指派一位指导老师。
5.强化新知识、新业务培训。随着智能手机、平板电脑、互联网电视等智能终端和移动互联网的兴起,运维业务面临着许多新的挑战。在校园网运行管理过程中,面对新兴业务的出现和流行,有针对性的对运维人员进行相关专业培训,使其掌握新技术,努力提高用户的满意度。
6.建立校内热点资源站点,减少用户对出口带宽的需求,降低出口压力,提高校园网服务质量和体验。共享出口环境的带宽常常处于相对饱和状态,由于用户基数较大,每位用户的平均带宽实际很小。针对校园网用户的使用规律和流量行为特征,建立校内的热点资源站可以有效减轻出口压力,丰富校园网应用,增强校园网对用户的吸引力。
经过本次万兆升级和网络调整后,校园网运行实现了安全有序,彻底消除了原有二层结构对核心设备的潜在威胁和影响,规范的拓扑布局缩小了故障排除时间和修复时间,增强了核心网络的稳定性和可扩展性。在设备支持的区域,彻底解决了ARP攻击和小路由问题。在设备不支持的区域,通过网络宣传和故障处理过程中的引导,小路由和ARP攻击的发生概率也大幅度下降。这类问题的出现频率由之前的每天发生下降为现在的每周1~2次。
通过对校园网的运行和管理策略的调整,实现用户流畅、便捷的使用网络服务。通过细致的用户服务制度和流控管理策略,确保重要业务和重要用户时时畅通;确保一般用户在网络闲暇时能够使用较高的带宽,在高峰期能够流畅地访问网页和观看视频。通过建立校内热点资源站解决高峰期出口带宽有限和体验不佳的问题,提高校园网的服务质量。通过服务吸引更多用户主动使用校园网,2013年开学后校园网高峰期在线IP比2012年下半年增加了1000多人,校园网上新增加的视频点播、文件共享和教学视频等服务受到用户的喜爱。Linux、Mac以及Android和IOS版本的客户端为用户使用网络提供了更多的选择。
校园网运行管理中,技术可以在一定范围内解决部分问题,但是解决不了所有问题。管理手段和策略与用户的知识水平、学校的制度政策息息相关。从保障教学、科研角度出发,实施精细化、人性化管理,同时通过各种渠道不断加大宣传和普及网络知识,提高用户的网络知识素养,才能实现校园网运行管理的可持续、健康发展。