校园网管理技术的研究与应用

２００７．１０

61

校园网管理技术的研究与应用

肖立英 刘星沙

中南大学现代教育技术中心 湖南 ４１００７５

摘要：本文针对校园网面临的挑战，结合本单位实际，分析研究了校园网安全管理的控制、监控以及故障解决技术。关键词：校园网；网络安全管理；故障分析

０ 引言

随着ＩＮＴＥＲＮＥＴ的迅速发展，校园网已经在各高校的办公、科研以及教学工作中发挥着不可或缺的作用，与广大师生息息相关。而与校园网的重要性相对应，校园网的安全和管理，也就面临着巨大的考验。以下针对我校的情况，进行了一些分析和研究。

１ 校园网面临的挑战１．１ 用户量大、应用复杂

校园网覆盖办公区、学生区、家属区，从机关办公室到实验室机房，从多媒体教室到学生及教职工宿舍，几乎校园的每个角落都是网络的接入点。校园网的应用也极为复杂。例如校园信息港将校内公告、办公自动化系统、图书馆资料查询、资产查询、财务经费查询等等应用，整合为一体，其安全性非常重要。而学生们则以网络浏览、下载、聊天、视频点播、在线游戏等应用为主，对网络带宽的要求比较高。

１．２ 病毒及各种攻击频发

由于操作系统漏洞、黑客攻击、病毒攻击、校园网用户防范病毒和攻击的意识薄弱等原因，导致校园网上的病毒及各种攻击频繁，对网络的安全、稳定和性能造成极大的破怀，甚至造成网络系统崩溃。

例如最常见的蠕虫和木马病毒，能自我繁衍，通过垃圾邮件和扫描端口，使网络性能下降甚至瘫痪。而冲击波病毒通过攻击机器操作系统的漏洞，使中毒机器系统崩溃。目前在校园网泛滥严重的ＡＲＰ病毒，能发送大量ＡＲＰ欺骗性质的攻击数据包，使同一局域网的用户频繁掉线甚至无法上网。

１．３ 网络设备和拓扑结构情况复杂

校园网建设至今经历了十多年时间，无论是网络拓扑结构还是网络设备都不断的更新换代，新旧不断整合在一起，非常复杂，也存在难以管理的问题。从网络接入方式来划分，

包括了拨号上网、有线局域网、无线局域网（ＷＬＡＮ）、ＶＰＮ接入等方式；从网络设备来划分，包括了思科、华为、３ＣＯＭ等多种厂商的网络产品；从网络拓扑来看，一方面处于安全考虑，我们对各个接入单位都划分了ＶＬＡＮ，分配了相应的ＩＰ地址，但是另一方面，在很多二级单位内部，都各自组建了自己的内网，通过路由器或者服务器，共享上网。正是由于这种复杂的情况，给校园网带来了很多的安全隐患，给网络的管理加大了难度。当出现网络故障时，难以迅速的定位和排查。

２ 网络安全管理控制技术

面对纷繁复杂的校园网，网络管理必须依赖于先进有效的安全管理控制技术，包括认证技术、绑定技术、访问控制技术、限制特定的应用等。

２．１ ＣＡＭＳ

华为３ＣＯＭ的ＣＡＭＳ软件是基于ＬＩＮＵＸ操作系统、ＯＲＡＣＬＥ数据库平台的一个综合访问管理系统，能有效的实现上网用户的认证控制。根据办公区和学生区的不同要求，我们分别采用了ＰＯＲＴＡＬ认证和８０２．１Ｘ认证两种方式。ＰＯＲＴＡＬ认证的优点是不需要安装认证客户端，可以减少客户端的维护工作量，更适合于老师等办公区用户。而８０２．１Ｘ认证最大特点是简单，无需额外的设备支持，同时支持任何网络应用，因此更适合于学生区用户。图１为ＣＡＭＳ认证系统结构图。

采用ＣＡＭＳ认证系统，可以将用户的认证账号、ＩＰ地址、ＭＡＣ地址（网卡的物理地址）、ＶＬＡＮ以及接入交换机的端口都联系起来，加以绑定，这样能有效的防止盗用行为，并在最大限度上对用户加以控制。同时还可以禁用代理服务器、禁止多网卡，这些控制功能在学生区网络管理中是非常有效的手段。

作者简介：肖立英（１９７５－），女，中南大学现代教育技术中心硕士。刘星沙（１９５６－）

，女，中南大学现代教育技术中心高级工程师。

２００７．１０

62

图１ ＣＡＭＳ认证系统结构图

２．２ 访问控制列表

访问控制是网络安全防范和保护的主要策略，它的主要任务是保证网络资源不被非法使用和访问。它是保证网络安全最重要的核心策略之一。通过访问控制列表，我们可以防范病毒的泛滥和攻击、可以对重要的服务器或者特定的网段进行特殊的保护。

图２ 防病毒攻击的访问控制列表范例

例如通过图２的访问控制列表，可以有效的阻止冲击波、蠕虫等病毒的攻击。

访问控制列表分为标准访问控制列表、扩展访问控制列表、反身访问控制列表、基于时间的访问控制列表、基于上下文的访问控制列表等，可以应用在路由器和三层交换机上，并适用于思科、华为等各种厂商的网络设备。它的基本原理就是使用包过滤技术，在网络设备上读取第三层及第四层包头中的信息如源地址、目的地址、源端口、目的端口等，根据预先定义好的规则对包进行过滤，从而达到访问控制的目的。

例如当我们需要保护特定的服务器时，可以采用扩展访问控制列表，只允许某些网段访问服务器的某些应用。而对于特别重要的网段，还可以采用反身访问控制列表（ｒｅｆｌｅｃｔ＋ｅｖａｌｕａｔｅ）实现单向访问控制。也就是说，其他网段不能直接发

起对受保护网段的访问，而只能由该网段首先发起网络连接的请求，才能建立与其他网段的连接。

２．３ 限制ＢＴ下载

ＢＴ下载在校园网尤其是学生区用户中非常受欢迎，它的特点是在下载的同时提供上传，因此下载的人越多速度就越快。在高速的校园网中，大量用户使用ＢＴ下载影音文件及大型软件等，而且为了更有效的获取文件，ＢＴ下载程序在启动时就会建立数量巨大的并发连接。因此，ＢＴ下载所产生的网络流量会给校园网带宽带来相当大的负担，严重消耗出口带

宽的资源分配，对校园网关键业务（如校内的网络办公、视频点播，校外的远程教育等）造成破怀性的影响。

为了解决ＢＴ下载的问题，我们从技术上可以采用以下两种解决办法：一种方法是封闭ＢＴ，杜绝一切ＢＴ流量。例如在ＣＩＳＣＯ路由器上配置以下命令即可实现封闭所有网络出口的ＢＴ流量：

ｃｌａｓｓ－ｍａｐ　ｍａｔｃｈ－ａｌｌ　ｂｉｔｔｏｒｒｅｎｔｍａｔｃｈ　ｐｒｏｔｏｃｏｌ　ｂｉｔｔｏｒｒｅｎｔｐｏｌｉｃｙ－ｍａｐ　ｂｉｔｔｏｒｒｅｎｔ－ｐｏｌｉｃｙｃｌａｓｓ　ｂｉｔｔｏｒｒｅｎｔ

ｐｏｌｉｃｅ　３２０００　１０００　１０００　ｃｏｎｆｏｒｍ－ａｃｔｉｏｎｔｒａｎｓｍｉｔ　ｅｘｃｅｅｄ－ａｃｔｉｏｎ　ｄｒｏｐｉｎｔｅｒｆａｃｅ　网络出口接口

ｓｅｒｖｉｃｅ－ｐｏｌｉｃｙ　ｉｎｐｕｔ　ｂｉｔｔｏｒｒｅｎｔ－ｐｏｌｉｃｙｓｅｒｖｉｃｅ－ｐｏｌｉｃｙ　ｏｕｔｐｕｔ　ｂｉｔｔｏｒｒｅｎｔ－ｐｏｌｉｃｙ

另一种方法是制定流量策略，在特定范围、时间内允许ＢＴ流量，以满足用户的下载需求。例如将整个校园网可以使用的ＢＴ下载流量设置为１Ｍｂｐｓ，其余的带宽资源提供给其他业务使用。同时设置按时间的访问控制列表，在校园网工

作时间内限制ＢＴ下载，在非工作时间内不加以限制。

３ 网络安全管理监控技术

网络监控是网络安全管理的重要内容，只有实时监控网络的运行情况，才能掌握第一手资料，及时发现异常，提前预警。

３．１ 日志

查看日志是监控网络的一个有效手段。在前面提到的ＣＡＭＳ系统中，有非常详细的日志可供实时查询，包括认证失败日志、系统日志、Ｐｏｒｔａｌ日志、管理员操作日志和用户操作日志。在认证失败日志中，可以清楚的看到用户认证失败的原因，例如服务不存在（用户名输入错误）、用户已失效（账号到期）、用户密码错误、静态ＩＰ地址绑定检查失败、ＭＡＣ地址绑定检查失败、设备ＩＰ地址绑定检测失败、端口绑定检查失败、已经超出在线用户数量限制等。同时，

可以看到认证失

２００７．１０

63

败的用户的所有信息，包括ＩＰ地址、ＭＡＣ地址、接入设备（交换机）的ＩＰ和端口等。这样就能及时察觉到用户的误操作或者恶意盗用的行为，把每一个异常登录行为都能实时掌握。

在校园网实际管理中，我们可以将每个接入点的用户信息与网络设备信息记录存档，在监控过程中就能及时发现问题，及时通知用户。

网络设备的日志也是监控的重要环节。例如在华为交换机上用ｄｉｓｐｌａｙ　ｌｏｇｂｕｆｆｅｒ命令就可以查看到交换机的日志信息。在ＡＲＰ病毒泛滥严重时候，交换机会记录大量的ＡＲＰ冲突日志，我们通过查看发生冲突的ＭＡＣ地址，就可以找到中病毒的机器，加以隔离，并及时通知用户杀毒。

３．２ 流量监控

网络流量是监控网络运行状况的重要指标。通过实时了解各个物理接口以及ＶＬＡＮ的网络流量，就能清楚的知道带宽的利用率，并及时发现异常情况。如果网络带宽过于饱合，就一定会引起网络拥塞，这时就必须找出流量大的原因，进行限流控制或者增加带宽；如果发现网络流量出现异常，则必须立刻预警，找出原因，防止网络恶化瘫痪。比如突发高流量，则可能有病毒攻击；而如果流量突然变低，则可能接口出现了异常，线路或物理接口故障导致丢包等。

流量监控的方法很多，许多网管软件都具备流量监控的功能，例如华为的ＱｕｉｄＶｉｅｗ，思科的ＣｉｓｃｏＶｉｅｗ等等。其实，我们也可以用很简单的方法实现流量监控，如ＭＲＴＧ（Ｍｕｌｔｉ　Ｒｏｕｔｅｒ　Ｔｒａｆｆｉｃ　Ｇｒａｇｈｅｒ）。ＭＲＴＧ作为一个免费软件，能够在Ｌｉｎｕｘ、Ｗｉｎｄｏｗｓ等各种平台上运行，功能强大，配置简单。只要是支持ＳＮＭＰ协议的设备都可以使用ＭＲＴＧ来监控，流量信息是通过图形化界面（如图３）在浏览器上直观的显示出来。

图３ ＭＲＴＧ流量图

３．３ 设备及链路监控

网络设备及链路是网络正常的最基本条件，因此我们必须实时监控网络设备的性能情况以及链路的正常情况。监控的方法包括检查网络设备的ＣＰＵ及内存的利用率是否异常，设备接口指示灯是否异常，链路ＰＩＮＧ测试是否丢包或者延迟很大等。

４ 网络故障分析案例

下面以学校的一次网络故障处理过程为例，介绍网络故障分析解决的方法。

某日上午，大量用户投诉无法认证上网。查看ＣＡＭＳ管理日志，发现大量的“认证报文重复”的认证失败日志，在线用户量也明显低于正常水平。用ＲＥＢＯＯＴ命令重起ＣＡＭＳ服务器无效。

为了排查服务器故障，将ＰＯＲＴＡＬ用户改为无需认证直接上网，并将８０２．１ｘ认证用户的子网与服务器断开，从而实现隔离所有认证请求的目的。这时，用ＴＯＰ命令查看ＣＡＭＳ服务器（ＬＩＮＵＸ操作系统）的ＣＰＵ使用情况，发现ＣＰＵ利用率达到１００％，而占用ＣＰＵ达到１００％的进程是ＯＲＡＣＬＥ。

此时查看ＯＲＡＣＬＥ系统日志，发现报错信息，由此可以判断出，是由于ＯＲＡＣＬＥ故障导致服务器ＣＰＵ占满，服务器无法响应客户端的认证请求导致用户认证失败，无法联网。

最终通过厂家技术人员的协助，对ＣＡＭＳ服务器进行升级（包括对ＯＲＡＣＬＥ数据库进行整理，对ＣＡＭＳ软件版本进行升级等），故障得到解决，服务器恢复正常。

通过图４的ＭＲＴＧ流量图，可以清楚的看出网络的中断和恢复过程。

图４ 故障案例ＭＲＴＧ流量图

５ 结束语

综上所述，网络的安全管理技术是校园网稳定运行的必要条件。作为网络管理人员，必须结合本单位实际，不断探索和实践新的技术手段，提升网络控制、监控以及故障分析解决的能力，才能使网络充分有效地发挥其不可估量的

作用。

参考文献

［１］葛丽萍．浅谈校园网病毒防护体系的构建．电大理工．２００６．［２］华为．华为ＣＡＭＳ业务管理解决方案．中国数据通信．２００２．［３］卢东祥，于建江．ＢＴ流量对校园网络造成的影响及其对策．计算机系统应用．２００６．

［４］鲍振忠等．ＭＲＴＧ流量监测系统在校园网中的布署及应用．中国科技信息．２００５．