基于数据链路层的计算机网络安全策略及实现

本文针对OSI开放网络模型中的数据链路层,以交换式以太网技术为基础,分析数据链路层的不安全因素.探讨了数据链路层的网络风暴防护、交换机端口配置、桥协议数据单元防护、IP源地址防护、环路防护、动态ARP防护、动态主机IP地址配置、私有VLAN配置.为了网络安全,给出了相应的解决方法.最后,给出相对完善的数据链路层安全建议.     

关于网络通信中应对ARP欺骗和攻击的方法

局域网中ARP欺骗和攻击问题日渐突出,这样的攻击有时候甚至造成大面积网络不能正常访问外网,根据ARP欺骗和攻击的特点,通过分析ARP攻击的原理,提出在网络设备配置具备的情况下,结合动态主机分配协议(DHCP),在交换机上部署动态ARP检察(DAI)技术,使非法的ARP数据包无法进入网络;在网络设备配置不具备的情况下,通过端口限制、程序控制等,在计算机端口实现对ARP数据包的监控、对ARP攻击的预警、ARP攻击后的自动恢复,并对ARP攻击者实施隔离,进而保护内部网络。     

SDARP：基于软件定义网络的地址解析协议代理机制

针对以太网中,主机之间存在大量的地址解析协议（ARP）的广播流量,导致以太网规模受限问题的研究,提出基于软件定义网络的地址解析协议代理机制（SDARP）,利用软件定义网络范式,集中处理地址解析协议报文,应答地址解析请求,从而抑制广播流量。SDARP基于RYU控制器实现。基于Mininet仿真器的虚拟试验床实验证明：SDARP对主机透明,能够有效减少92.9%的ARP广播报文,消除广播风暴,并减少35.9%的ICMP传输时间。     

交换网络中广播风暴的产生和生成树协议（STP）对其有效阻止

在交换网络环境中,物理环路可以提高网络的冗余,但容易产生双向的广播环,甚至形成广播风暴,使交换机瘫痪;通过生成树协议生成根网桥,根端口,指定端口和阻塞端口,在逻辑上断开该网段,形成一个无环网络,使网络中无法产生广播环和广播风暴;当其它链路出现故障时,阻塞的端口自动恢复,逻辑断开的线路又被连通,继续传输数据。     

VLAN技术及实现方法

叙述了VLAN技术的优点及划分方式,并以Alcatel-Lucent OS6602交换机为例给出了VLAN的配置实例和VLAN间路由的实现,更好地解决网络冲突和广播风暴等问题,网络性能和安全性也得到了提高。     

基于WinPcap的MAC地址泛洪攻击技术研究

针对交换机中MAC地址表溢出时,会将所有的数据包广播到整个网络的特点,利用WinPcap为Win32应用程序提供的访问网络底层的能力,向交换机发送伪造地址的数据包使其MAC地址表溢出。从而导致网络中发生广播风暴,达到嗅探数据的目的。     

VLAN技术在小型网络中的应用

网络已经是生活、工作以及学习中必不可少的一部分,校园、企业等都相应建立起了局域网,但是随着扩充的网络越来越多,广播风暴随时都有可能发生。VLAN技术能够很好地解决广播风暴问题和复杂的网络管理问题,同时能够提高网络的利用效率。通过研究VLAN技术和三层交换技术,实现小型网络在不同交换机中进行VLAN的划分,利用三层交换技术进行VLAN间路由的配置等,保证网络安全、稳定、顺利地运行。     

园区WiFi网下软定义移动通信的设计与实现

当前WiFi园区网络存在移动通信范围有限、主机地址配置受限等问题.软定义移动组网的已有研究大多集中于实现无线接入点的可编程性,其在实际部署中需要使用专用的接入点设施.以单跳有设施网络为研究目标,提出了一种园区WiFi网下软定义移动通信方案,为移动主机访问本地资源提供免配置接入和移动通信支持.其中,网络设施选择OpenFlow网络,普通接入点直接连接OpenFlow交换机.控制器负责分发包含接入位置的流表项,为移动主机提供基于名称的路由转发,并主动调整通信流的返回路径.目前已经完成系统原型开发,进行了移动通信实验,测量和分析了不同配置下的网络可用带宽和切换时延.实验结果表明,该组网模式可以实现主机的移动通信,主机网络配置和OpenFlow交换机性能对切换时延影响较小.     

局域网中广播风暴产生原因及解决方法之分析

文章根据局域网广播风暴的危害及产生的原因,细致地阐述了几种解决网络风暴的对策。并结合实例,通过对交换机进行VLAN配置,进一步明确了解决广播风暴核心技术     

大规模网络中Internet蠕虫主动防治技术研究--利用DNS服务抑制蠕虫传播

Internet蠕虫爆发后,在大规模网络中,由于易感主机和被感染主机数量很多,构成了良好的蠕虫生存环境。实践证明常用的路由封堵、控制策略只在蠕虫爆发初期有效,在长时间的封堵后,网络中仍然存在大量被感染主机,这些主机不停活动,攻击其它易感主机。文章提出利用DNS服务疏导被感染主机访问告警服务器的方法,及时通知被感染主机的使用者对本机采取相应处理措施,从而达到在网管人员和用户共同配合下迅速消灭蠕虫的效果。该文详细给出了利用DNS服务针对网络中被感染主机进行疏导的系统设计与实现。通过对清华大学校园网实施后的数据统计分析,证明这种方法是快速有效的。     

交换机冗余链路引起的网络拥塞问题

网络中,冗余链路可以保障网络的高可用性,但它也会引起数据帧在网路中不停地兜圈,导致广播风暴、MAC地址表不稳定、重复帧等,从而引起网络拥塞。该文结合模拟实验探讨了交换机的工作原理及数据转发流程,及如何避免数据帧的兜圈引起网络拥塞,为网络设备的高可用性配置提供了实践指导。     

集成移动IP与移动Ad Hoc网络的移动检测算法

移动IP借助定期广播的代理通告完成移动检测。与移动IP原本应用的无线局域网环境不同,在移动AdHoc网络中频繁的广播会造成广播风暴。现有的集成移动IP与移动AdHoc网络的方案中提出了多种性能优化的方法,但都没有从根本上解决此问题。论文提出了一种基于局部存储信息的移动检测算法。该算法借助路由协议的Hello信令在邻居节点间传递移动管理信息,帮助移动主机实现移动检测,从而避免移动代理周期性地广播代理通告给网络造成的性能开销。仿真结果表明,基于Hello信令的移动检测算法可以改善网络中数据通讯的传输性能。实际的测试床实现检验了算法功能的完备性。     

VLAN技术在校园网中的应用

虚拟局域网（VLAN）技术是目前网络技术中的一项重要技术。文章主要介绍了VLAN技术原理、优点及其划分,阐述了VLAN技术在管理维护校园网系统中所起的作用以及在校园网中用交换机配置VLAN的步骤,解决了校园网中存在的广播风暴和安全性问题。     

虚拟局域网的划分和配置

该文叙述了VLAN技术的优点及划分方式,并以iSpirit3026、iSpirit4508交换机为例给出了VLAN的配置实例,更好地解决网络冲突和广播风暴等问题．网络性能和安全性也得到了提高。     

浅谈VLAN技术及其在校园网络中的应用

随着网络规模的扩展,网络负荷不断增大,迫切需要一种技术解决在局域网内部出现的访问冲突与广播风暴一类的问题,VLAN的产生就解决这个问题。本文主要讨论VLAN的概念、主要功能、划分方法及在校园网络中VLAN技术的应用。     

在公众网上镜像校园网Web站点的实现方法

在公众网上镜像校园网Web站点是解决公众网用户快速访问学校网站的有效办法.站点镜像的重要工作是如何保持两个站点的内容同步.在全面分析的基础上,提出了在一台服务器上使用两块网卡,采用公众网和教育网两个IP地址的解决方案,并在洛阳理工学院校园网上进行了实施.测试结果表明,大大提高了公众网用户访问学校网站的速度.