校園網絡環(huán)路防范方法分析

1、校園網絡環(huán)路防范方法分析李金方 肖東2,吳滔1（1 河海大學信息中心2.河海大學圖書館，南京210098）摘要：針對校園網絡用戶對網絡知識的了解和技術的缺乏，造成的網絡環(huán)路故障頻出，從而導致嚴 重的網絡癱瘓的問題。借助于ieee 802.id標準的牛成樹協(xié)議（stp）提供的動態(tài)兀余切換 機制，有效的防止和消除了網絡環(huán)路對網絡運行的影響。關鍵詞：網絡環(huán)路，生成樹協(xié)議中圖分類號tp393.05 , 文獻標志碼：a1引言隨著高校學生培養(yǎng)形式的變化，供教師使用的辦公室逐漸演變成集教學、實驗、科研為一體的 工作室，從而使得校園網絡接入的形式發(fā)生了一些變化，原先提供的物理信息點的數(shù)量遠遠不能滿 足師生入網

2、的需求。通常的解決方法是師生口行購置一些普通交換機進行簡單的互聯(lián)，以滿足上網 的需要。山于用戶對網絡知識的了解和技術的缺乏，造成網絡環(huán)路故障頻出，對網絡運行的影響較 大。2. 網絡環(huán)路的幾種拓撲形式網絡壞路是當前對校園網網絡運行影響較突出的兒種問題之一（如arp攻擊，dhcp欺騙等）。 導致形成網絡環(huán)路的幾種行為如下：（1）片而的理解端口聚合是需要交換機必需具備的功能和配置技術。校園網某些用八簡單的認 為在兩交換機端口z間用兩根以上的網線互聯(lián)起來就可以增加物理帶寬，從100m就可以達到 200m以上的帶寬，如圖1所示，導致網絡環(huán)路的產生。校園網圖1同一交換機兩端iiz間形成的環(huán)路校園網圖2同v

3、lan不同交換機 兩端口之間形成的環(huán)路校園網某些用戶缺乏對網絡技術知識的認識。為了網絡通信的可靠性，使用兩臺交換機首 先互聯(lián)起來，然后再分別用網線連接到校園網對室內提供的信息點上，如圖2所示，導致網絡 環(huán)路的產生。 校園網某些用戶在工作室內布置網線，受室內環(huán)境的影響經常會將同一根網線插在同一個 vlan里的交換機兩端口上，如圖3所示，形成網絡環(huán)路。端口z間形成的壞路圖3卜-層交換機兩端口 z間形成的環(huán)路由于上述原因，網絡環(huán)路的產生總是存在的，如何防止和消除網絡環(huán)路對網絡運行的影響，借助ieee 802. id生成樹協(xié)議(spanning tree protocol),可以収得一個較滿意的效果。

4、3. 生成樹協(xié)議工作機制3. 1生成樹協(xié)議原理冗余鏈路作為網絡備份路徑發(fā)揮著非常重婆的作用，是網絡運行可靠性的保障。而網絡環(huán)路對 網絡運行來說又是致命的打擊。stp的有效運作對于網絡是非常重要的，因為如果兩節(jié)點之間存在 多條路徑，就會產主環(huán)路，導致信息的重復，從而使網絡不通。而ieee 802.id生成樹協(xié)議(stp) 允許網絡上存在環(huán)路時，口動斷開壞路連接。當檢測到交換機間存在多條連接時，將只啟動最主要 的一條連接，而將其他連接都阻塞掉，將這些連接變?yōu)閭溆眠B接。確保同一時刻網絡兩節(jié)點z間只 有一條路徑是主動激活的，可以通訊的。當主連接岀現(xiàn)問題時，牛成樹協(xié)議將h動起用備用連接接 替主連接的工作

5、，不需要任何人工干預?？梢奿eee 802.id標準的生成樹協(xié)議(stp)提供了網絡的動態(tài)冗余切換機制。因此使用stp, 可以在網絡設計小部署備份線路，并且得到下述保障： 在主線路正常工作時，備份線路是關閉的。 當主線路出現(xiàn)故障時，口動激活備份線路，將數(shù)據(jù)流切換到備份線路，從而保證網絡設備 正常運行。因此使用stp這種網絡自動重構的功能，不僅可以保證在網絡結構上存在冗余路徑的情況時， 阻止網絡壞路狀態(tài)的發(fā)還能使得網絡上的川戶能夠最大限度地與網絡保持正常的連接。綸成樹協(xié)議stp在交換機間進行通信吋使用的是bpdu (bridge protocol data units)。交換機 通過發(fā)送bpdu

6、來進行通信并構建生成樹拓撲，連接到lan的所有交換機都將接收bpdu。交換 機并不肓接轉發(fā)bpdu,但是接收bpdu的交換機會計算bpdu,如果網絡拓撲發(fā)生改變，就會發(fā)出 一個 bpduo利用bpdu進行的交換機間的通信將導致如下結果：一臺交換機被選為根交換機(root switch) 為每臺交換機計算到根交換機最短的距離(shortest distance) 選出指定交換機(tpesignated switch)，該交換機是最靠近根交換機(root switch)的 交換機，數(shù)據(jù)包將通過該交換機轉發(fā)給根交換機。 選出每臺交換機上的一個端口，該端口是該交換機到根交換機的最佳路徑。 選岀生成樹內

7、的所有端口。如果所有啟動生成樹協(xié)議的交換機都使用缺省的設置值，那么，具有最小mac地址的 交換機將成為根交換機(root switch)。通過提高交換機的優(yōu)先級(數(shù)值越小)，牛.成樹協(xié) 議可以將其強制選定為根交換機。當生成樹協(xié)議使用缺省參數(shù)值時，源站點和目的站點之間的路徑未必是最理想的。例如，一個 到某個端口的高速率的連接可能使得根端口發(fā)生改變，因其數(shù)值優(yōu)于了當詢的根端口。因為生成樹 追求的目標就是根端口應具有最快的連接。3.2生成樹(stp)工作舉例在一個環(huán)路中有三個橋(或三臺交換機)，如圖4所示。在此例中，如果不使用生成樹技術, 可以預見到可能發(fā)生的一些網絡故障。例如，如果橋a向橋b發(fā)出一

8、個廣播包，那么，橋b將把此 數(shù)據(jù)包廣播給橋c,而橋c 乂會將此數(shù)據(jù)包廣播回給橋a。隨后會一總將如此反復，廣播包將會在這 個環(huán)路小被循環(huán)往復地傳遞，從而導致嚴重的網絡故障。為了避免網絡環(huán)路的發(fā)生，可以如圖42所示采用stp來解決。生成樹將阻斷橋b與橋c之間 的連接，以打破壞路的形成。stp算法將根據(jù)計算出來的各橋和端口之間的數(shù)值，來決定斷開哪一 條連接?，F(xiàn)在，如果橋a向橋c發(fā)出一個廣播包，那么，橋c將在端口 1處將此數(shù)據(jù)包丟棄，那么此 廣播將結束。aport 3bridge ii)-15port 1port 2port cost-19port cost-4port cost-4 、,port 3

9、bridge 11)-30port iport 3：09bridge id- 20port 1port 2、r port cost-4k)rt cost-1fort cost-19port cost-19lanz割14, i應用5if：之前l(fā)an3.lanllanz圖肝2：應用.sir之后.lansabort j根橋交換機bort 1port 2port cost-19指定端i i指定端i ibpori aport 50bridge id- 30.指定橋ljort 1port 2阻塞1port 1port 2根端i i：根曙口port cost-19port cost-19但是，牛成樹的算法較

10、復雜，所以，在交換機上盡量不要改動其出廠默認設置值，（最好在充 分研究理解其z后，再去更改交換機上的生成樹的設置）。生成樹將口動任命根橋/根端口，并避免 環(huán)路的形成。由此可見啟用stp的主要口的是在網絡設計中部署備份線路，從而增加網絡運行的可靠性。同 理在網絡設計屮合理部署使用stp,可以冇效的防止網絡環(huán)路的產生，從而人大降低環(huán)路對網絡運 行的致命打擊。4. stp防止網絡環(huán)路的技術實現(xiàn)實現(xiàn)環(huán)境在一幢學生宿舍樓構成；樓內冇520個信息點和1個3. 3mx3. 3mx3m的網絡交換設備 機房，機房內安置4個2m高的標準機柜，共有24端口的交換機23臺（其中一臺為神州數(shù)碼網絡 公司生產的dcrs-

11、5950-28t萬兆匯聚交換機，其余22臺為神州數(shù)碼生產的dcs-3950-26c接入層交換機）。dcs-3950-26c接入層交換機分別通過t兆端口與dcrs-5950-28t萬兆匯聚交換機的千兆端 口級聯(lián)，充分保證了負載均衡的能力需求。為了冇效的防止網絡環(huán)路的產生，只在接入層交換機上 啟用stp協(xié)議，即使得每臺接入層交換機均配置成根橋交換機，其100m的端口均設置成指定端口。 其中任意一臺dcs-3950-26c交換機配置的相關內容顯示如2switch#show runno service password-encryptionhostname switchenable password

12、adminusername admin privilege 15 password 7 21232f297a57a5a743894a0e4a801 fc3spanning-tree（全局啟動生成樹協(xié)議，默認的生成樹的類型為mstp。防止交換機自身或交換機z間的環(huán)路）loopback-detection interval-time 240 3（）（全局開川環(huán)路檢測功能，設置環(huán)路檢測的時間間隔。防止交換機下接的hub上的環(huán)路） （全局開啟環(huán)路恢復時間）loopback-detection control-recovery timeout 240iip dhcp snooping enableip

13、dhcp snooping binding enablevlan 1vlan 2name managementivlan 20interface ethernet()/o/1spanning-tree portfast switchport access vlan 20 loopback-detection specified-vlan 20 loopback-detection control shutdown ip dhcp snooping binding user-control（全局啟動dhcp snooping功能）（全局啟動dhcp snooping綁定功能）（將端口設置為牛成樹

14、指定端口，使其快速成為轉發(fā)端m ）（將端口設置為在vlan20中檢測環(huán)路）（當端口檢測到環(huán)路后將端口關閉，并在240秒后恢復）（設置端口的dhcp綁定模式，防止私自接dhcp服務器 和私h固定ip地址）interface etherneto/o/25 switchport mode trunk ip dhcp snooping trustinterface vlan2interface ethernet0/0/24 spanning-tree portfast switchport access vlan 20 loopback-detection specified-vlan 20 loop

15、back-detection control shutdown ip dhcp snooping binding user-control（設置端口為dhcp snooping安全端口，即容許接受dhcp請 求。也就是允許接dhcp服務器）ip address 192.168.2.3 255.255.255.0ip default-gateway 192.168.2.1no loginend交換機經配置重新啟動后，經過檢測124個端口均可正常上網使用。然后再用一根網線連接到 dcs-3950-26c交換機任意兩端口上，或者用一根網線連接到普通交換機的兩端口上，再用一根網線 上聯(lián)到dcs-3950-26c交換機某一端口上（如圖3所示）構建產牛網絡環(huán)路的環(huán)境。登入dcs-3950-26c 交換機杳看可見形成環(huán)路的端口已發(fā)生阻塞（blocking），同時檢測交換機其他端ii均可正常上網。 實驗表明stp協(xié)議發(fā)揮了作川，有效的防止網絡壞路的發(fā)生，保障了網絡的正常運行。結束語河海大學校園網絡在接入層交換機未啟用stp協(xié)議z前，網絡環(huán)路故障頻出，不僅花