校园网出口安

　　摘要：随着校园网规模的扩大，很多学校申请拿到的IP地址段也在不断增加。这些在不同阶段申请的IP往往分布在若干个不连续的地址块里。如果由于各种原因，某些IP地址段不使用并且校内由策略配置不当，就可能会被利用引发严重的安全。

　　由器是组网中的关键，在教科网由器上，一般都会用静态由把这些地址段指向各个接入学校的由器链地址，不会启用动态由协议（例如iproute202.120.0.0/1810.0.0.2，这里202.120.0.0/18是64个C的地址段，10.0.0.2是接入学校端的链地址）。对于很多学校来说，在边界由器上默认的由可能也就是指向教科网由器的链地址（例如iproute0.0.0.0/010.0.0.1，这里10.0.0.1是接入教科网端的链地址）。

　　安全的做法是在校园网内的某台由器上对所拥有的全部地址块都指向null0丢弃（例如iproute202.120.0.0/18null0），并把这个指向null0的静态由重分布进校园网由(常见的是使用ospf协议，也许也有用bgp的)。根据最长掩码匹配原则，由器会选择由表中到达同一目的地的子网掩码最长的由。

　　如果在校园内某处里有202.120.0.0/24的子网，那么可以不受影响地进行正常校内外由。实际情况中，学校不可能把拥有的全部地址都分配使用完毕，终归会有一些地址段预留备用。假设学校有一段202.120.1.0/24的子网没有分配，并且之前的指向null0丢弃也没进行，那么校园网由表内就没有202.120.1.0/24相关的由信息，这时安全就浮现出来了。

　　假设校外向202.120.1.0/24这个子网内的任意IP地址发大量报文，那么这些报文会顺理成章地进入到校园网边界由器，但是校园网由又没有这段地址信息，就会按默认由重新送回校外教科网由器。这些报文在校园网出口链上反复震荡，直到TTL=0被丢弃。

　　路由器地址进不去如果是一定强度的持续恶意，流量就会被放大了若干倍，甚至引起校园网出口链带宽耗尽，影响正常网络使用。从校内向202.120.1.0/24这个子网内的任意IP地址文也会引起同样的后果。这实际上就是形成了一个三层的环。

　　网络安全问题往往出在平时被忽视的细节问题上。网管人员要严格遵守安全规范，提高业务技能，以降低各类安全事件发生的可能性。

　　【编辑推荐】