校园网络环路防范方法分析

1、校园网络环路防范方法分析李金方 肖东2,吴滔1（1 河海大学信息中心2.河海大学图书馆，南京210098）摘要：针对校园网络用户对网络知识的了解和技术的缺乏，造成的网络环路故障频出，从而导致严 重的网络瘫痪的问题。借助于ieee 802.id标准的牛成树协议（stp）提供的动态兀余切换 机制，有效的防止和消除了网络环路对网络运行的影响。关键词：网络环路，生成树协议中图分类号tp393.05 , 文献标志码：a1引言随着高校学生培养形式的变化，供教师使用的办公室逐渐演变成集教学、实验、科研为一体的 工作室，从而使得校园网络接入的形式发生了一些变化，原先提供的物理信息点的数量远远不能满 足师生入网

2、的需求。通常的解决方法是师生口行购置一些普通交换机进行简单的互联，以满足上网 的需要。山于用户对网络知识的了解和技术的缺乏，造成网络环路故障频出，对网络运行的影响较 大。2. 网络环路的几种拓扑形式网络坏路是当前对校园网网络运行影响较突出的儿种问题之一（如arp攻击，dhcp欺骗等）。 导致形成网络环路的几种行为如下：（1）片而的理解端口聚合是需要交换机必需具备的功能和配置技术。校园网某些用八简单的认 为在两交换机端口z间用两根以上的网线互联起來就可以增加物理带宽，从100m就可以达到 200m以上的带宽，如图1所示，导致网络环路的产生。校园网图1同一交换机两端iiz间形成的环路校园网图2同v

3、lan不同交换机 两端口之间形成的环路校园网某些用户缺乏对网络技术知识的认识。为了网络通信的可靠性，使用两台交换机首 先互联起来，然后再分别用网线连接到校园网对室内提供的信息点上，如图2所示，导致网络 环路的产生。 校园网某些用户在工作室内布置网线，受室内环境的影响经常会将同一根网线插在同一个 vlan里的交换机两端口上，如图3所示，形成网络环路。端口z间形成的坏路图3卜-层交换机两端口 z间形成的环路由于上述原因，网络环路的产生总是存在的，如何防止和消除网络环路对网络运行的影响，借助ieee 802. id生成树协议(spanning tree protocol),可以収得一个较满意的效果。

4、3. 生成树协议工作机制3. 1生成树协议原理冗余链路作为网络备份路径发挥着非常重婆的作用，是网络运行可靠性的保障。而网络环路对 网络运行来说又是致命的打击。stp的有效运作对于网络是非常重要的，因为如果两节点之间存在 多条路径，就会产主环路，导致信息的重复，从而使网络不通。而ieee 802.id生成树协议(stp) 允许网络上存在环路时，口动断开坏路连接。当检测到交换机间存在多条连接时，将只启动最主要 的一条连接，而将其他连接都阻塞掉，将这些连接变为备用连接。确保同一时刻网络两节点z间只 有一条路径是主动激活的，可以通讯的。当主连接岀现问题时，牛成树协议将h动起用备用连接接 替主连接的工作

5、，不需要任何人工干预。可见ieee 802.id标准的生成树协议(stp)提供了网络的动态冗余切换机制。因此使用stp, 可以在网络设计小部署备份线路，并且得到下述保障： 在主线路正常工作时，备份线路是关闭的。 当主线路出现故障时，口动激活备份线路，将数据流切换到备份线路，从而保证网络设备 正常运行。因此使用stp这种网络自动重构的功能，不仅可以保证在网络结构上存在冗余路径的情况时， 阻止网络坏路状态的发还能使得网络上的川户能够最大限度地与网络保持正常的连接。纶成树协议stp在交换机间进行通信吋使用的是bpdu (bridge protocol data units)。交换机 通过发送bpdu

6、来进行通信并构建生成树拓扑，连接到lan的所有交换机都将接收bpdu。交换 机并不肓接转发bpdu,但是接收bpdu的交换机会计算bpdu,如果网络拓扑发生改变，就会发出 一个 bpduo利用bpdu进行的交换机间的通信将导致如下结果：一台交换机被选为根交换机(root switch) 为每台交换机计算到根交换机最短的距离(shortest distance) 选出指定交换机(tpesignated switch)，该交换机是最靠近根交换机(root switch)的 交换机，数据包将通过该交换机转发给根交换机。 选出每台交换机上的一个端口，该端口是该交换机到根交换机的最佳路径。 选岀生成树内

7、的所有端口。如果所有启动生成树协议的交换机都使用缺省的设置值，那么，具有最小mac地址的 交换机将成为根交换机(root switch)。通过提高交换机的优先级(数值越小)，牛.成树协 议可以将其强制选定为根交换机。当生成树协议使用缺省参数值时，源站点和目的站点之间的路径未必是最理想的。例如，一个 到某个端口的高速率的连接可能使得根端口发生改变，因其数值优于了当询的根端口。因为生成树 追求的目标就是根端口应具有最快的连接。3.2生成树(stp)工作举例在一个环路中有三个桥(或三台交换机)，如图4所示。在此例中，如果不使用生成树技术, 可以预见到可能发生的一些网络故障。例如，如果桥a向桥b发出一

8、个广播包，那么，桥b将把此 数据包广播给桥c,而桥c 乂会将此数据包广播回给桥a。随后会一总将如此反复，广播包将会在这 个环路小被循环往复地传递，从而导致严重的网络故障。为了避免网络环路的发生，可以如图42所示采用stp来解决。生成树将阻断桥b与桥c之间 的连接，以打破坏路的形成。stp算法将根据计算出來的各桥和端口之间的数值，來决定断开哪一 条连接。现在，如果桥a向桥c发出一个广播包，那么，桥c将在端口 1处将此数据包丢弃，那么此 广播将结束。aport 3bridge ii)-15port 1port 2port cost-19port cost-4port cost-4 、,port 3

9、bridge 11)-30port iport 3：09bridge id- 20port 1port 2、r port cost-4k)rt cost-1fort cost-19port cost-19lanz割14, i应用5if：之前lan3.lanllanz图肝2：应用.sir之后.lansabort j根桥交换机bort 1port 2port cost-19指定端i i指定端i ibpori aport 50bridge id- 30.指定桥ljort 1port 2阻塞1port 1port 2根端i i：根曙口port cost-19port cost-19但是，牛成树的算法较

10、复杂，所以，在交换机上尽量不要改动其出厂默认设置值，（最好在充 分研究理解其z后，再去更改交换机上的生成树的设置）。生成树将口动任命根桥/根端口，并避免 环路的形成。由此可见启用stp的主要口的是在网络设计中部署备份线路，从而增加网络运行的可靠性。同 理在网络设计屮合理部署使用stp,可以冇效的防止网络环路的产生，从而人大降低环路对网络运 行的致命打击。4. stp防止网络环路的技术实现实现环境在一幢学生宿舍楼构成；楼内冇520个信息点和1个3. 3mx3. 3mx3m的网络交换设备 机房，机房内安置4个2m高的标准机柜，共有24端口的交换机23台（其中一台为神州数码网络 公司生产的dcrs-

11、5950-28t万兆汇聚交换机，其余22台为神州数码生产的dcs-3950-26c接入层交换机）。dcs-3950-26c接入层交换机分别通过t兆端口与dcrs-5950-28t万兆汇聚交换机的千兆端 口级联，充分保证了负载均衡的能力需求。为了冇效的防止网络环路的产生，只在接入层交换机上 启用stp协议，即使得每台接入层交换机均配置成根桥交换机，其100m的端口均设置成指定端口。 其中任意一台dcs-3950-26c交换机配置的相关内容显示如2switch#show runno service password-encryptionhostname switchenable password

12、adminusername admin privilege 15 password 7 21232f297a57a5a743894a0e4a801 fc3spanning-tree（全局启动生成树协议，默认的生成树的类型为mstp。防止交换机自身或交换机z间的环路）loopback-detection interval-time 240 3（）（全局开川环路检测功能，设置环路检测的时间间隔。防止交换机下接的hub上的环路） （全局开启环路恢复时间）loopback-detection control-recovery timeout 240iip dhcp snooping enableip

13、dhcp snooping binding enablevlan 1vlan 2name managementivlan 20interface ethernet()/o/1spanning-tree portfast switchport access vlan 20 loopback-detection specified-vlan 20 loopback-detection control shutdown ip dhcp snooping binding user-control（全局启动dhcp snooping功能）（全局启动dhcp snooping绑定功能）（将端口设置为牛成树

14、指定端口，使其快速成为转发端m ）（将端口设置为在vlan20中检测环路）（当端口检测到环路后将端口关闭，并在240秒后恢复）（设置端口的dhcp绑定模式，防止私自接dhcp服务器 和私h固定ip地址）interface etherneto/o/25 switchport mode trunk ip dhcp snooping trustinterface vlan2interface ethernet0/0/24 spanning-tree portfast switchport access vlan 20 loopback-detection specified-vlan 20 loop

15、back-detection control shutdown ip dhcp snooping binding user-control（设置端口为dhcp snooping安全端口，即容许接受dhcp请 求。也就是允许接dhcp服务器）ip address 192.168.2.3 255.255.255.0ip default-gateway 192.168.2.1no loginend交换机经配置重新启动后，经过检测124个端口均可正常上网使用。然后再用一根网线连接到 dcs-3950-26c交换机任意两端口上，或者用一根网线连接到普通交换机的两端口上，再用一根网线 上联到dcs-3950-26c交换机某一端口上（如图3所示）构建产牛网络环路的环境。登入dcs-3950-26c 交换机杳看可见形成环路的端口已发生阻塞（blocking），同时检测交换机其他端ii均可正常上网。 实验表明stp协议发挥了作川，有效的防止网络坏路的发生，保障了网络的正常运行。结束语河海大学校园网络在接入层交换机未启用stp协议z前，网络环路故障频出，不仅花