校園網(wǎng)絡(luò)環(huán)路防范方法分析

1、校園網(wǎng)絡(luò)環(huán)路防范方法分析李金方 肖東2,吳滔1（1 河海大學(xué)信息中心2.河海大學(xué)圖書館，南京210098）摘要：針對校園網(wǎng)絡(luò)用戶對網(wǎng)絡(luò)知識(shí)的了解和技術(shù)的缺乏，造成的網(wǎng)絡(luò)環(huán)路故障頻出，從而導(dǎo)致嚴(yán) 重的網(wǎng)絡(luò)癱瘓的問題。借助于ieee 802.id標(biāo)準(zhǔn)的牛成樹協(xié)議（stp）提供的動(dòng)態(tài)兀余切換 機(jī)制，有效的防止和消除了網(wǎng)絡(luò)環(huán)路對網(wǎng)絡(luò)運(yùn)行的影響。關(guān)鍵詞：網(wǎng)絡(luò)環(huán)路，生成樹協(xié)議中圖分類號tp393.05 , 文獻(xiàn)標(biāo)志碼：a1引言隨著高校學(xué)生培養(yǎng)形式的變化，供教師使用的辦公室逐漸演變成集教學(xué)、實(shí)驗(yàn)、科研為一體的 工作室，從而使得校園網(wǎng)絡(luò)接入的形式發(fā)生了一些變化，原先提供的物理信息點(diǎn)的數(shù)量遠(yuǎn)遠(yuǎn)不能滿 足師生入網(wǎng)

2、的需求。通常的解決方法是師生口行購置一些普通交換機(jī)進(jìn)行簡單的互聯(lián)，以滿足上網(wǎng) 的需要。山于用戶對網(wǎng)絡(luò)知識(shí)的了解和技術(shù)的缺乏，造成網(wǎng)絡(luò)環(huán)路故障頻出，對網(wǎng)絡(luò)運(yùn)行的影響較 大。2. 網(wǎng)絡(luò)環(huán)路的幾種拓?fù)湫问骄W(wǎng)絡(luò)壞路是當(dāng)前對校園網(wǎng)網(wǎng)絡(luò)運(yùn)行影響較突出的兒種問題之一（如arp攻擊，dhcp欺騙等）。 導(dǎo)致形成網(wǎng)絡(luò)環(huán)路的幾種行為如下：（1）片而的理解端口聚合是需要交換機(jī)必需具備的功能和配置技術(shù)。校園網(wǎng)某些用八簡單的認(rèn) 為在兩交換機(jī)端口z間用兩根以上的網(wǎng)線互聯(lián)起來就可以增加物理帶寬，從100m就可以達(dá)到 200m以上的帶寬，如圖1所示，導(dǎo)致網(wǎng)絡(luò)環(huán)路的產(chǎn)生。校園網(wǎng)圖1同一交換機(jī)兩端iiz間形成的環(huán)路校園網(wǎng)圖2同v

3、lan不同交換機(jī) 兩端口之間形成的環(huán)路校園網(wǎng)某些用戶缺乏對網(wǎng)絡(luò)技術(shù)知識(shí)的認(rèn)識(shí)。為了網(wǎng)絡(luò)通信的可靠性，使用兩臺(tái)交換機(jī)首 先互聯(lián)起來，然后再分別用網(wǎng)線連接到校園網(wǎng)對室內(nèi)提供的信息點(diǎn)上，如圖2所示，導(dǎo)致網(wǎng)絡(luò) 環(huán)路的產(chǎn)生。 校園網(wǎng)某些用戶在工作室內(nèi)布置網(wǎng)線，受室內(nèi)環(huán)境的影響經(jīng)常會(huì)將同一根網(wǎng)線插在同一個(gè) vlan里的交換機(jī)兩端口上，如圖3所示，形成網(wǎng)絡(luò)環(huán)路。端口z間形成的壞路圖3卜-層交換機(jī)兩端口 z間形成的環(huán)路由于上述原因，網(wǎng)絡(luò)環(huán)路的產(chǎn)生總是存在的，如何防止和消除網(wǎng)絡(luò)環(huán)路對網(wǎng)絡(luò)運(yùn)行的影響，借助ieee 802. id生成樹協(xié)議(spanning tree protocol),可以収得一個(gè)較滿意的效果。

4、3. 生成樹協(xié)議工作機(jī)制3. 1生成樹協(xié)議原理冗余鏈路作為網(wǎng)絡(luò)備份路徑發(fā)揮著非常重婆的作用，是網(wǎng)絡(luò)運(yùn)行可靠性的保障。而網(wǎng)絡(luò)環(huán)路對 網(wǎng)絡(luò)運(yùn)行來說又是致命的打擊。stp的有效運(yùn)作對于網(wǎng)絡(luò)是非常重要的，因?yàn)槿绻麅晒?jié)點(diǎn)之間存在 多條路徑，就會(huì)產(chǎn)主環(huán)路，導(dǎo)致信息的重復(fù)，從而使網(wǎng)絡(luò)不通。而ieee 802.id生成樹協(xié)議(stp) 允許網(wǎng)絡(luò)上存在環(huán)路時(shí)，口動(dòng)斷開壞路連接。當(dāng)檢測到交換機(jī)間存在多條連接時(shí)，將只啟動(dòng)最主要 的一條連接，而將其他連接都阻塞掉，將這些連接變?yōu)閭溆眠B接。確保同一時(shí)刻網(wǎng)絡(luò)兩節(jié)點(diǎn)z間只 有一條路徑是主動(dòng)激活的，可以通訊的。當(dāng)主連接岀現(xiàn)問題時(shí)，牛成樹協(xié)議將h動(dòng)起用備用連接接 替主連接的工作

5、，不需要任何人工干預(yù)。可見ieee 802.id標(biāo)準(zhǔn)的生成樹協(xié)議(stp)提供了網(wǎng)絡(luò)的動(dòng)態(tài)冗余切換機(jī)制。因此使用stp, 可以在網(wǎng)絡(luò)設(shè)計(jì)小部署備份線路，并且得到下述保障： 在主線路正常工作時(shí)，備份線路是關(guān)閉的。 當(dāng)主線路出現(xiàn)故障時(shí)，口動(dòng)激活備份線路，將數(shù)據(jù)流切換到備份線路，從而保證網(wǎng)絡(luò)設(shè)備 正常運(yùn)行。因此使用stp這種網(wǎng)絡(luò)自動(dòng)重構(gòu)的功能，不僅可以保證在網(wǎng)絡(luò)結(jié)構(gòu)上存在冗余路徑的情況時(shí)， 阻止網(wǎng)絡(luò)壞路狀態(tài)的發(fā)還能使得網(wǎng)絡(luò)上的川戶能夠最大限度地與網(wǎng)絡(luò)保持正常的連接。綸成樹協(xié)議stp在交換機(jī)間進(jìn)行通信吋使用的是bpdu (bridge protocol data units)。交換機(jī) 通過發(fā)送bpdu

6、來進(jìn)行通信并構(gòu)建生成樹拓?fù)?，連接到lan的所有交換機(jī)都將接收bpdu。交換 機(jī)并不肓接轉(zhuǎn)發(fā)bpdu,但是接收bpdu的交換機(jī)會(huì)計(jì)算bpdu,如果網(wǎng)絡(luò)拓?fù)浒l(fā)生改變，就會(huì)發(fā)出 一個(gè) bpduo利用bpdu進(jìn)行的交換機(jī)間的通信將導(dǎo)致如下結(jié)果：一臺(tái)交換機(jī)被選為根交換機(jī)(root switch) 為每臺(tái)交換機(jī)計(jì)算到根交換機(jī)最短的距離(shortest distance) 選出指定交換機(jī)(tpesignated switch)，該交換機(jī)是最靠近根交換機(jī)(root switch)的 交換機(jī)，數(shù)據(jù)包將通過該交換機(jī)轉(zhuǎn)發(fā)給根交換機(jī)。 選出每臺(tái)交換機(jī)上的一個(gè)端口，該端口是該交換機(jī)到根交換機(jī)的最佳路徑。 選岀生成樹內(nèi)

7、的所有端口。如果所有啟動(dòng)生成樹協(xié)議的交換機(jī)都使用缺省的設(shè)置值，那么，具有最小mac地址的 交換機(jī)將成為根交換機(jī)(root switch)。通過提高交換機(jī)的優(yōu)先級(數(shù)值越小)，牛.成樹協(xié) 議可以將其強(qiáng)制選定為根交換機(jī)。當(dāng)生成樹協(xié)議使用缺省參數(shù)值時(shí)，源站點(diǎn)和目的站點(diǎn)之間的路徑未必是最理想的。例如，一個(gè) 到某個(gè)端口的高速率的連接可能使得根端口發(fā)生改變，因其數(shù)值優(yōu)于了當(dāng)詢的根端口。因?yàn)樯蓸?追求的目標(biāo)就是根端口應(yīng)具有最快的連接。3.2生成樹(stp)工作舉例在一個(gè)環(huán)路中有三個(gè)橋(或三臺(tái)交換機(jī))，如圖4所示。在此例中，如果不使用生成樹技術(shù), 可以預(yù)見到可能發(fā)生的一些網(wǎng)絡(luò)故障。例如，如果橋a向橋b發(fā)出一

8、個(gè)廣播包，那么，橋b將把此 數(shù)據(jù)包廣播給橋c,而橋c 乂會(huì)將此數(shù)據(jù)包廣播回給橋a。隨后會(huì)一總將如此反復(fù)，廣播包將會(huì)在這 個(gè)環(huán)路小被循環(huán)往復(fù)地傳遞，從而導(dǎo)致嚴(yán)重的網(wǎng)絡(luò)故障。為了避免網(wǎng)絡(luò)環(huán)路的發(fā)生，可以如圖42所示采用stp來解決。生成樹將阻斷橋b與橋c之間 的連接，以打破壞路的形成。stp算法將根據(jù)計(jì)算出來的各橋和端口之間的數(shù)值，來決定斷開哪一 條連接。現(xiàn)在，如果橋a向橋c發(fā)出一個(gè)廣播包，那么，橋c將在端口 1處將此數(shù)據(jù)包丟棄，那么此 廣播將結(jié)束。aport 3bridge ii)-15port 1port 2port cost-19port cost-4port cost-4 、,port 3

9、bridge 11)-30port iport 3：09bridge id- 20port 1port 2、r port cost-4k)rt cost-1fort cost-19port cost-19lanz割14, i應(yīng)用5if：之前l(fā)an3.lanllanz圖肝2：應(yīng)用.sir之后.lansabort j根橋交換機(jī)bort 1port 2port cost-19指定端i i指定端i ibpori aport 50bridge id- 30.指定橋ljort 1port 2阻塞1port 1port 2根端i i：根曙口port cost-19port cost-19但是，牛成樹的算法較

10、復(fù)雜，所以，在交換機(jī)上盡量不要改動(dòng)其出廠默認(rèn)設(shè)置值，（最好在充 分研究理解其z后，再去更改交換機(jī)上的生成樹的設(shè)置）。生成樹將口動(dòng)任命根橋/根端口，并避免 環(huán)路的形成。由此可見啟用stp的主要口的是在網(wǎng)絡(luò)設(shè)計(jì)中部署備份線路，從而增加網(wǎng)絡(luò)運(yùn)行的可靠性。同 理在網(wǎng)絡(luò)設(shè)計(jì)屮合理部署使用stp,可以冇效的防止網(wǎng)絡(luò)環(huán)路的產(chǎn)生，從而人大降低環(huán)路對網(wǎng)絡(luò)運(yùn) 行的致命打擊。4. stp防止網(wǎng)絡(luò)環(huán)路的技術(shù)實(shí)現(xiàn)實(shí)現(xiàn)環(huán)境在一幢學(xué)生宿舍樓構(gòu)成；樓內(nèi)冇520個(gè)信息點(diǎn)和1個(gè)3. 3mx3. 3mx3m的網(wǎng)絡(luò)交換設(shè)備 機(jī)房，機(jī)房內(nèi)安置4個(gè)2m高的標(biāo)準(zhǔn)機(jī)柜，共有24端口的交換機(jī)23臺(tái)（其中一臺(tái)為神州數(shù)碼網(wǎng)絡(luò) 公司生產(chǎn)的dcrs-

11、5950-28t萬兆匯聚交換機(jī)，其余22臺(tái)為神州數(shù)碼生產(chǎn)的dcs-3950-26c接入層交換機(jī)）。dcs-3950-26c接入層交換機(jī)分別通過t兆端口與dcrs-5950-28t萬兆匯聚交換機(jī)的千兆端 口級聯(lián)，充分保證了負(fù)載均衡的能力需求。為了冇效的防止網(wǎng)絡(luò)環(huán)路的產(chǎn)生，只在接入層交換機(jī)上 啟用stp協(xié)議，即使得每臺(tái)接入層交換機(jī)均配置成根橋交換機(jī)，其100m的端口均設(shè)置成指定端口。 其中任意一臺(tái)dcs-3950-26c交換機(jī)配置的相關(guān)內(nèi)容顯示如2switch#show runno service password-encryptionhostname switchenable password

12、adminusername admin privilege 15 password 7 21232f297a57a5a743894a0e4a801 fc3spanning-tree（全局啟動(dòng)生成樹協(xié)議，默認(rèn)的生成樹的類型為mstp。防止交換機(jī)自身或交換機(jī)z間的環(huán)路）loopback-detection interval-time 240 3（）（全局開川環(huán)路檢測功能，設(shè)置環(huán)路檢測的時(shí)間間隔。防止交換機(jī)下接的hub上的環(huán)路） （全局開啟環(huán)路恢復(fù)時(shí)間）loopback-detection control-recovery timeout 240iip dhcp snooping enableip

13、dhcp snooping binding enablevlan 1vlan 2name managementivlan 20interface ethernet()/o/1spanning-tree portfast switchport access vlan 20 loopback-detection specified-vlan 20 loopback-detection control shutdown ip dhcp snooping binding user-control（全局啟動(dòng)dhcp snooping功能）（全局啟動(dòng)dhcp snooping綁定功能）（將端口設(shè)置為牛成樹

14、指定端口，使其快速成為轉(zhuǎn)發(fā)端m ）（將端口設(shè)置為在vlan20中檢測環(huán)路）（當(dāng)端口檢測到環(huán)路后將端口關(guān)閉，并在240秒后恢復(fù)）（設(shè)置端口的dhcp綁定模式，防止私自接dhcp服務(wù)器 和私h固定ip地址）interface etherneto/o/25 switchport mode trunk ip dhcp snooping trustinterface vlan2interface ethernet0/0/24 spanning-tree portfast switchport access vlan 20 loopback-detection specified-vlan 20 loop

15、back-detection control shutdown ip dhcp snooping binding user-control（設(shè)置端口為dhcp snooping安全端口，即容許接受dhcp請 求。也就是允許接dhcp服務(wù)器）ip address 192.168.2.3 255.255.255.0ip default-gateway 192.168.2.1no loginend交換機(jī)經(jīng)配置重新啟動(dòng)后，經(jīng)過檢測124個(gè)端口均可正常上網(wǎng)使用。然后再用一根網(wǎng)線連接到 dcs-3950-26c交換機(jī)任意兩端口上，或者用一根網(wǎng)線連接到普通交換機(jī)的兩端口上，再用一根網(wǎng)線 上聯(lián)到dcs-3950-26c交換機(jī)某一端口上（如圖3所示）構(gòu)建產(chǎn)牛網(wǎng)絡(luò)環(huán)路的環(huán)境。登入dcs-3950-26c 交換機(jī)杳看可見形成環(huán)路的端口已發(fā)生阻塞（blocking），同時(shí)檢測交換機(jī)其他端ii均可正常上網(wǎng)。 實(shí)驗(yàn)表明stp協(xié)議發(fā)揮了作川，有效的防止網(wǎng)絡(luò)壞路的發(fā)生，保障了網(wǎng)絡(luò)的正常運(yùn)行。結(jié)束語河海大學(xué)校園網(wǎng)絡(luò)在接入層交換機(jī)未啟用stp協(xié)議z前，網(wǎng)絡(luò)環(huán)路故障頻出，不僅花