基于校園網的廣播風暴成因分析及解決方法研究

◆王志剛 陳庶民 李恒武

（信息工程大學信息管理中心 河南 450000）

基于校園網的廣播風暴成因分析及解決方法研究

◆王志剛 陳庶民 李恒武

（信息工程大學信息管理中心 河南 450000）

廣播風暴會導致網絡性能下降，影響業務正常運行，嚴重時可導致網絡癱瘓，本文通過對校園網廣播風暴成因進行分析，提出了幾種解決辦法和應對手段。

校園網；ARP；環路；STP；RSTP；廣播風暴

0 引言

當校園網產生廣播風暴時，廣播數據包會在網絡中大量傳送，無法處理，會造成網絡不穩定、網速變慢，業務不能正常運行，嚴重時導致校園網部分區域癱瘓，甚至可以使核心交換機不堪重負導致校園網整體癱瘓。這就需要我們多角度、全方位對校園網潛在安全威脅進行分析研究并提供解決方法。

1 成因分析

1.1 感染病毒

當校園網用戶感染蠕蟲病毒、ARP病毒、震蕩波等病毒或木馬時，被感染的用戶會向外發送大量的廣播包或對特定網段進行掃描，向網絡中瘋狂傳播，就會占用大量的網絡帶寬，引起網絡堵塞，產生廣播風暴。

1.2 黑客軟件

當校園網用戶嘗試利用網絡執法官、網絡剪刀等黑客工具，對校園網指定網段發送大量的數據包進行非法掃描或攻擊時，會消耗大量的網絡資源，也會引起廣播風暴。

1.3 設備故障

交換機端口、網卡、網線等設備短路或線序錯誤，會產生大量的廣播幀或非法幀。這些無用的數據包不停地向交換機發送，會引起交換機端口阻塞，處理器工作繁忙，造成緩沖區溢出，產生丟包現象，網絡會時斷時續甚至中斷，就形成了廣播風暴。

1.4 網絡環路

一條物理網絡線路兩端同時接在了一臺網絡設備中，或者在一些比較復雜的網絡中，冗余的備用線路無意間連上時，都會構成環路，如圖1所示。

圖1 網絡環路示意圖

網絡環路產生時交換機發出的請求無法得到應答，大量廣播幀就會在交換機間不斷復制，重復傳送，形成了死循環，從而引發了廣播風暴。

2 解決方法

2.1 病毒防治

加強校園網終端管控，啟用終端準入系統，制定詳細的安全策略和安全驗證機制，部署漏洞掃描系統，及時更新操作系統補丁庫和殺毒軟件病毒庫，最大限度控制各種病毒的產生以及傳播，減少病毒對校園網的危害。

2.2 廣播閾分隔

利用Vlan技術對廣播域進行分割，由于交換機在轉發數據包時僅限于同一個Vlan內的成員，Vlan外的其它部分可以被有效地保護起來免于頻繁地受廣播風暴的影響，因此可以將一個物理網絡劃分成多個Vlan，將交換機端口加入不同的Vlan，以H3C S5120-EI為例，配置過程如圖2所示：

圖2 端口加入Vlan配置過程

2.3 端口隔離

通過端口隔離技術，用戶可以將需要進行控制的端口加入到一個隔離組中，實現隔離組中的端口之間二層數據的隔離，使用隔離技術后隔離端口之間就不會產生單播、廣播和組播，病毒就不會在隔離計算機之間傳播，增加了網絡安全性，提高了網絡性能。以圖3左側為例，用戶HostA、HostB和HostC彼此之間二層報文不能互通，但可以和外部網絡通信，我們只需將端口GE1/0/1、GE1/0/2、GE1/0/3加入隔離組具體配置如圖3右側所示。

圖3 H3C交換機端口隔離配置過程

端口隔離技術的確對廣播風暴的抑制很有效，但交換機的不同端口之間如果全部實行隔離，結果是病毒被隔離、有用數據的通訊同樣被阻止。因此，客戶端對應的端口之間需要通訊的端口千萬不要加入隔離組，否則客戶端之間的數據共享是無法實現的。

2.4 啟用風暴控制

風暴控制是一種工作在交換機物理端口上的流量控制機制，它在特定的時間周期內監視端口收到的數據偵，然后通過與配置的閾值進行比較，當端口收到的數據幀超過閾值時，交換機將禁止相應類型數據幀（未知MAC的單播、組播或廣播）的轉發，直到數據流恢復正常（低于閾值）。例如，對于端口G1/0/1，都最多只允許該端口傳輸能力85%的廣播報文通過，其余端口允許該端口傳輸能力的65%，對超出該范圍的廣播報文進行抑制，具體配置如圖4所示：

圖4 H3C交換機風暴閾值配置

2.5 啟用生成樹協議

生成樹協議（STP/RSTP/MSTP）是一種二層管理協議，它通過一定的算法實現鏈路備份和路徑最優化，運行該協議的設備通過彼此交互信息發現網絡中的環路并有選擇的對某些端口進行阻塞最終將環路網絡結構修剪成無環路的樹型網絡結構從而防止報文在環路網絡中不斷增生和無限循環，避免設備由于重復接收相同的報文造成的報文處理能力下降的問題發生。生成樹協議在交換機缺省是關閉的，如果組網可能存在環路需要開啟，如果確定某個端口連接的部分不存在環路可以通過命令關閉該端口的生成樹功能，也可以根據需要配置交換機的生成樹模式。

圖5 H3C交換機RSTP組網示意圖

配置過程中具體要求如下：

該示例中SWA（S7500E系列）為核心層交換機作為樹根；SWB、SWC（S5500系列）為匯聚層交換機，SWC為SWB的備份交換機，當SWB出現故障的時候，由SWC轉發數據，SWC和SWB之間通過兩條鏈路相連，保證在一條鏈路發生故障的時候，另一條可以正常工作；SWD、SWE、SWF為接入層交換機，Switch D、Switch E、Switch F（S5100或3100系列）下面直接掛接用戶的計算機，SWD、SWE、SWF分別通過一個端口與SWC、SWB相連，在下面的配置步驟中僅列出了RSTP相關的配置，由于SWD、SWE和SWF的RSTP配置基本一致，本例只列出了SW上面的RSTP配置，具體配置如圖6所示。

圖6 H3C交換機RSTP配置圖

2.6 調整入網方式

傳統網絡接入方式主要有三種固定IP、DHCP、PPPoE分別在網絡的不同階段發揮了相應的作用，隨著網絡的規模擴大和復雜性的增加，固定IP方式由于用戶惡意或嘗試設置IP會增加網絡的額外開銷，管理復雜；DHCP方式會產生較多的廣播開銷，影響網絡的使用效率，也無法解決用戶更改IP問題；PPPoE采用動態分配IP地址方式，IP地址信息是自動生成，不存在用戶更改IP的問題，該協議是在包頭和用戶協議之間插入PPPoE封裝和PPP封裝，這兩個封裝只占用8個字節廣播開銷很小。另外，由于PPPoE撥號上網方式不使用 ARP 協議，故對許多有關ARP 的病毒形成的廣播風暴以及校園網內部攻擊有天然的預防作用，可以將Vlan技術與PPPoE相結合，采用BRAS和RADIUS接入認證完成校園網PPPoE接入方式的部署。

3 結束語

廣播風暴是一種較為嚴重的網絡故障，我們在網絡管理中要對校園網拓撲結構、路由設置、VLAN劃分進行合理規劃，完善網絡設備的配置信息，深入研究網絡管理技術，加強網絡線路和設備運行狀態的監控，制定嚴格的計算機安全管理制度，建立應急響應機制，提高網管人員的責任意識，及時發現和處理網絡上的異常流量和病毒攻擊等問題，確保網絡高效、安全、穩定運行。

[1]胡道元，閔京華 編著.網絡安全（第2版）[M].清華大學出版社，2008.

[2]馬宣興 編著.網絡安全與病毒防范實驗指導手冊[M].上海交通大學出版社，2011.

[3]王達.Cisco/H3C 交換機配置與管理完全手冊（第二版）[M].水利水電出版社，2012.

[4]洪增斌.局域網中廣播風暴產生原因及解決方法之分析[J].網絡安全，2015.

圖1 增強型VPN的校園網安全體系架構圖

（1）校園網與外部網絡之間由防火墻進行隔離，在路由器上做NAT地址轉換，使外部網絡能夠訪問校園網內的基礎服務器（如Web服務和FTP服務器）。

（2）在校園網內構建一個專用網絡，用于放置數據庫服務器及其它對安全性要求較高的服務器。

（3）服務器專用網絡通過帶PKI認證的VPN網關與校園網及Internet隔離，用戶不能直接訪問這些服務器。

（4）在專用網中構建一個PKI認證服務器，并在VPN服務器中部署PKI認證以完成用戶的數字身份認證。

（5）基于C/S模式工作的客戶機需訪問專用網內服務器時，必須通過PKI驗證后與專用網絡建立VPN隧道，實現與服務器的安全連接。

5 總結

VPN為校園網的建設提供安全、快捷、靈活和經濟的組網方式。通過在VPN中部署PKI，在通信雙方建立傳輸隧道前可以通過CA來確認彼此的合法身份，根據角色屬性證書來進行訪問權限的控制，再由IPSec去保證雙方的通信安全，這樣多種安全措施的綜合使用就可以大幅度地提高VPN的通信安全，從而保障校園網絡安全體系高效安全地運行。

參考文獻：

[1]堯榮恒.云安全在數字化校園中的體系構建[J].無線互聯科技，2015.

[2]邱建新.基于IPSec的VPN技術在校園網絡中的應用研究[J].浙江交通職業技術學院學報，2013.

[3]劉敬軒，戴英俠.基于SSL的VPN網關的設計與實現[J].計算機應用，2005.

[4]Ruixi Yuan W.Timothy Strayer.虛擬專網技術與解決方案[M].中國電力出版社.

廣西高等教育教學改革工程項目，項目編號：2014JGB388。