高校網(wǎng)絡(luò)出口解決方案.doc

高校網(wǎng)絡(luò)出口解決方案1.高校網(wǎng)絡(luò)出口現(xiàn)狀分析 隨著高校信息化建設(shè)的開(kāi)展，教學(xué)、科研、辦公、生活對(duì)于校園網(wǎng)平臺(tái)的依賴性越來(lái)越強(qiáng)。國(guó)內(nèi)的高校經(jīng)過(guò)多年持續(xù)不斷的基礎(chǔ)設(shè)施建設(shè)和應(yīng)用提升，已經(jīng)形成了較為穩(wěn)定的校園網(wǎng)基礎(chǔ)架構(gòu)、相對(duì)豐富的校園網(wǎng)應(yīng)用平臺(tái)。但是，在講究信息共享、資源整合的今天，有一塊區(qū)域長(zhǎng)期以來(lái)一直困擾著各大高校這就是校園網(wǎng)出口區(qū)域。實(shí)踐中會(huì)發(fā)現(xiàn)，眾多高校都測(cè)試了多個(gè)廠商的設(shè)備，卻未能獲得很好的問(wèn)題解決，無(wú)法取得理想的效果。然而，幾乎所有的高校信息化專家一致認(rèn)為：“高校校園網(wǎng)不應(yīng)該作為一個(gè)信息孤島而存在。網(wǎng)絡(luò)的價(jià)值更重要的是體現(xiàn)在信息的流通、資源的共享?！弊鳛樾@網(wǎng)絡(luò)平臺(tái)的“門戶”出口區(qū)域，承擔(dān)著高校之間相互交流的窗口的重大作用。那么高校的校園網(wǎng)出口到底是怎樣一個(gè)現(xiàn)狀，都面臨著哪些問(wèn)題呢？為此，銳捷網(wǎng)絡(luò)自2006年初對(duì)全國(guó)10個(gè)省進(jìn)行了采樣調(diào)查和分析。 1.1高校出口基本狀況調(diào)研 高校網(wǎng)絡(luò)出口調(diào)研的對(duì)象為10個(gè)省市的本科類非985院校（天津、遼寧、四川、重慶、湖南、湖北、廣東、安徽、福建、江蘇）。下面從學(xué)校規(guī)模，出口鏈路及帶寬方面來(lái)介紹調(diào)研成果。 第一、從學(xué)校網(wǎng)絡(luò)規(guī)模、信息點(diǎn)來(lái)看； 60%的高校擁有1000-10000這樣的信息點(diǎn)數(shù)規(guī)模。僅僅有13%的高校信息點(diǎn)數(shù)在1000點(diǎn)以下。而超過(guò)10000點(diǎn)大規(guī)模的學(xué)校比例為27%。信息點(diǎn)數(shù)的多少基本上可以反映接入PC的數(shù)量（不是完全一一對(duì)應(yīng)的關(guān)系），因此，我們通過(guò)結(jié)合網(wǎng)絡(luò)規(guī)模和出口鏈路、出口設(shè)備狀況可以來(lái)判斷不同規(guī)模的學(xué)校所面臨的共性和個(gè)性的問(wèn)題。 一般來(lái)說(shuō)：規(guī)模在1000點(diǎn)以下、出口帶寬不是很低的情況下，出口區(qū)域的規(guī)劃相對(duì)容易，對(duì)設(shè)備性能的要求相對(duì)較低，從而所采用的策略可以寬松一些。目前面臨出口難題的主要為信息點(diǎn)數(shù)為1000-10000和10000以上的那些高校。第二、從出口的鏈路條數(shù)和帶寬情況來(lái)看；一方面，網(wǎng)絡(luò)規(guī)模較大的學(xué)校，出口帶寬普遍較高；另一方面，根據(jù)學(xué)校所在區(qū)域有所差別，比如像在廣州、武漢等全國(guó)網(wǎng)絡(luò)的核心節(jié)點(diǎn)地區(qū)，高校的出口帶寬普遍較高。同時(shí)，運(yùn)營(yíng)商在不同地區(qū)采取的收費(fèi)標(biāo)準(zhǔn)也對(duì)高校出口帶寬有著重要的影響。 具體來(lái)說(shuō)：在廣州、武漢，普通本科擁有千兆電信和千兆教育網(wǎng)帶寬的比例最高，甚至有千兆電信/千兆網(wǎng)通的接入；而在大連，普通本科學(xué)校的出口帶寬普遍在CERNET-100M，網(wǎng)通-10到50M不等。此外，由于一些特定因素，90%以上高校都有2個(gè)校園網(wǎng)出口，并且根據(jù)當(dāng)?shù)厍闆r，相當(dāng)比例的學(xué)校擁有三個(gè)以上的出口（教育城域網(wǎng)、聯(lián)通、移動(dòng)等提供的第三條出口）。舉例來(lái)說(shuō)：在四川的20所本科院校中，有5所學(xué)校具有三出口，比例為25%；湖北的17所本科院校中有四所學(xué)校具有三出口。 1.2高校出口現(xiàn)有設(shè)備分析我們的調(diào)研成果還包括了高校出口現(xiàn)有設(shè)備和所關(guān)注的功能。 第一、從現(xiàn)有出口設(shè)備組合方式來(lái)看； 出口設(shè)備主要包含了三類：路由器類、防火墻類、流量控制類。另外，還有一類為代理服務(wù)器的方式，該方式目前在國(guó)內(nèi)高校已不多見(jiàn)，但仍然有個(gè)別學(xué)校在使用（這里我們歸為路由器類）。 從一組124所高校的統(tǒng)計(jì)數(shù)據(jù)來(lái)看，單獨(dú)采用防火墻的模式和采用防火墻+路由器的混合模式占到了73%。（具體數(shù)據(jù)請(qǐng)看下圖124所本科院校出口設(shè)備組成比例圖） 第二、從出口設(shè)備所啟用和所關(guān)注的功能來(lái)看； 功能上，NAT（地址轉(zhuǎn)換）轉(zhuǎn)發(fā)，路由處理是最基本的。針對(duì)多出口，策略路由也是必備功能。 性能上，NAT（地址轉(zhuǎn)換）和策略路由是絕大都數(shù)高?，F(xiàn)有出口設(shè)備的瓶頸所在。其次是安全防護(hù)能力，包含出口日志的記錄能力，從我們的調(diào)查來(lái)看，幾乎沒(méi)有哪一個(gè)學(xué)校未遇到公安機(jī)關(guān)找上門的情況，甚至個(gè)別學(xué)校有因?yàn)槿罩締?wèn)題而被公安機(jī)關(guān)拘留的記錄，某個(gè)城域網(wǎng)因?yàn)槿罩締?wèn)題面臨被公安機(jī)關(guān)關(guān)閉的困境。 以所使用的具體設(shè)備為例：路由器功能豐富，但是安全性能差。防火墻對(duì)安全的處理是大家所認(rèn)可的，轉(zhuǎn)發(fā)性能不高，尤其對(duì)于NAT、PBR的轉(zhuǎn)發(fā)性能較低，容易成為網(wǎng)絡(luò)瓶頸。而代理服務(wù)器的配置管理較復(fù)雜，對(duì)網(wǎng)管人員的要求高；并且其可靠性較低，需要經(jīng)常重啟；最重要的問(wèn)題在于大規(guī)模網(wǎng)絡(luò)下代理服務(wù)器的性能問(wèn)題。所以，我們看到了在某校規(guī)模較小的辦公網(wǎng)絡(luò)需要采用八臺(tái)代理服務(wù)器來(lái)保證其功能和性能的平衡。2.當(dāng)前校園網(wǎng)出口面臨的挑戰(zhàn) 第一、NAT性能問(wèn)題；出口設(shè)備要支持NAT（地址轉(zhuǎn)換）是共識(shí)的。一方面，校內(nèi)使用私有地址的情況，訪問(wèn)Internet需要進(jìn)行NAT；另一方面，即使校內(nèi)使用真實(shí)的教育網(wǎng)IP，那么通過(guò)電信或者網(wǎng)通的線路訪問(wèn)外部資源，仍然需要進(jìn)行NAT（地址轉(zhuǎn)換），因?yàn)殡娦潘峙涞牡刂犯邢蕖AT（地址轉(zhuǎn)換）等于給出口設(shè)備增加了一項(xiàng)很重要的任務(wù)，但是，從實(shí)際情況來(lái)看，NAT卻成為了上網(wǎng)速度慢的一個(gè)重要原因。 第二、策略路由支持問(wèn)題； 首先，當(dāng)前校園網(wǎng)是基于多出口的架構(gòu)。1）為了提高訪問(wèn)速度需要多出口互聯(lián)。CERNET與電信、網(wǎng)通等運(yùn)營(yíng)商的互聯(lián)僅在上海、北京、廣州三地有交互中心，且互聯(lián)帶寬還不夠高，這就給教育用戶訪問(wèn)公網(wǎng)資源和運(yùn)營(yíng)商用戶訪問(wèn)教育網(wǎng)資源帶來(lái)了問(wèn)題。2）為了解決費(fèi)用問(wèn)題。電信、網(wǎng)通等ISP的包月交費(fèi)制提供了高校解決國(guó)際流量費(fèi)用的好思路。3）解決線路備份問(wèn)題，避免單出口單點(diǎn)故障的存在。 其次，從上面多出口架構(gòu)的原因分析可以看出，出口有必要對(duì)不同用戶規(guī)定相應(yīng)的路徑，根據(jù)不同的訪問(wèn)流量制定相應(yīng)的路徑也就是基于策略的路由。從實(shí)際中各個(gè)學(xué)校的使用情況來(lái)看，一些早期的設(shè)備不支持策略路由，或者部分新采購(gòu)的設(shè)備啟用策略路由時(shí)，造成設(shè)備性能的下降，從而影響整個(gè)出口的性能和穩(wěn)定性。 第三、安全防護(hù)能力問(wèn)題；出口的安全防護(hù)一直是大家重點(diǎn)關(guān)注的對(duì)象，當(dāng)前出口面臨的網(wǎng)絡(luò)威脅主要表現(xiàn)2個(gè)特點(diǎn)：首先，快速增長(zhǎng)的網(wǎng)絡(luò)帶寬為網(wǎng)絡(luò)威脅提供了更多的空間。以前只有2M的出口帶寬，而現(xiàn)在已經(jīng)千兆入戶、百兆到桌面，而骨干網(wǎng)的帶寬也已經(jīng)普及萬(wàn)兆。網(wǎng)絡(luò)越發(fā)達(dá)，網(wǎng)絡(luò)威脅出現(xiàn)的次數(shù)越多，網(wǎng)絡(luò)威脅造成的損失也就越大。其次，越來(lái)越豐富的應(yīng)用，使得網(wǎng)絡(luò)安全的應(yīng)對(duì)面也越來(lái)越廣。比如：EDonkey等P2P下載軟件和各種IM的聊天軟件。這些協(xié)議都是要TCP/UDP層上，甚至需要完成應(yīng)用層的服務(wù)。網(wǎng)絡(luò)威脅的種類也越來(lái)越多，不僅有非法入侵、網(wǎng)絡(luò)滲透。還有網(wǎng)絡(luò)欺騙、DOS/DDOS攻擊、各種惡意軟件、垃圾郵件等。 第四、日志記錄問(wèn)題；互聯(lián)網(wǎng)安全保護(hù)技術(shù)措施規(guī)定在2005年11月23日公安部部長(zhǎng)辦公會(huì)議通過(guò)，并自2006年3月1日起已經(jīng)施行。（該規(guī)定簡(jiǎn)稱“82號(hào)令”）規(guī)定對(duì)用戶信息、用戶上網(wǎng)記錄、地址轉(zhuǎn)換記錄、設(shè)備狀態(tài)記錄等都有要求。 圖2公安部82號(hào)令（部分摘抄） 第五、流量控制問(wèn)題；校園網(wǎng)的規(guī)模在擴(kuò)大，網(wǎng)絡(luò)基礎(chǔ)設(shè)施在提升，出口帶寬在增加，各種網(wǎng)絡(luò)應(yīng)用也更加豐富。但是，某些用戶或者應(yīng)用（如BT等P2P應(yīng)用）卻在過(guò)多的占用著網(wǎng)絡(luò)資源?？偟膩?lái)說(shuō)，出口帶寬的增長(zhǎng)速度與訪問(wèn)流量的提升速度已經(jīng)是一種矛盾。所以，有必要對(duì)用戶或者某些特定應(yīng)用進(jìn)行流量的控制。 第六、高可用性的問(wèn)題；以太網(wǎng)發(fā)明人Bob Metcalf曾說(shuō)過(guò)“網(wǎng)絡(luò)的價(jià)值和其節(jié)點(diǎn)數(shù)的平方成正比。”當(dāng)然該價(jià)值體現(xiàn)的前提就是網(wǎng)絡(luò)的正常穩(wěn)定運(yùn)行。當(dāng)下，對(duì)服務(wù)質(zhì)量要求越來(lái)越高，用戶對(duì)校園網(wǎng)這一平臺(tái)的依賴性和期望值都越來(lái)越高，各高校對(duì)網(wǎng)絡(luò)的可用性，尤其出口的可用性的關(guān)注也是前所未有的。通俗的來(lái)說(shuō)，校內(nèi)某一區(qū)域不正常只影響到該區(qū)域，而校園網(wǎng)出口的不可用將導(dǎo)致整個(gè)學(xué)校與外界的隔斷，校內(nèi)與校外的任何互訪、信息互通都無(wú)法實(shí)現(xiàn)。再審視絕大多數(shù)校園網(wǎng)出口區(qū)域，單設(shè)備、單鏈路的現(xiàn)象還占據(jù)主要位置。對(duì)于設(shè)備的冗余、鏈路的備份，以及在出現(xiàn)任何設(shè)備或者鏈路故障下的自動(dòng)切換，也僅僅是少數(shù)學(xué)校達(dá)到這樣的水平。那么，如何打造出口的高可用性？如何實(shí)現(xiàn)出口的自動(dòng)調(diào)整對(duì)用戶的透明性？即，用戶無(wú)需理解復(fù)雜的出口技術(shù)，只需要體驗(yàn)最快的網(wǎng)速。這些問(wèn)題都擺在了網(wǎng)絡(luò)管理者的面前。3.銳捷高教校園網(wǎng)出口解決方案 正是基于對(duì)高校的深刻理解，基于實(shí)事求是的調(diào)研數(shù)據(jù)，銳捷網(wǎng)絡(luò)2007年推出了為高校度身定制的校園網(wǎng)出口解決方案。 3.1性能是出口制勝的法寶 高度增強(qiáng)的NAT、PBR性能 首先，通過(guò)三組數(shù)據(jù)來(lái)說(shuō)明實(shí)際的性能效果。 1）在啟用NAT、ACL、PBR（策略路由）的情況下，在通常情況報(bào)文流情況下（平均報(bào)文長(zhǎng)度為500byte左右的混合報(bào)文），雙向可以達(dá)到8Gbps的線速轉(zhuǎn)發(fā)。簡(jiǎn)單理解，在學(xué)校1條千兆CERNET，1條千兆電信的雙出口架構(gòu)下，完全可以雙向線速轉(zhuǎn)發(fā)。 2）并發(fā)達(dá)到200萬(wàn)條的NAT會(huì)話數(shù)。如果按照每個(gè)網(wǎng)絡(luò)節(jié)點(diǎn)300條NAT會(huì)話，則可以支持將近7000臺(tái)的網(wǎng)絡(luò)節(jié)點(diǎn)同時(shí)在線，解決了網(wǎng)絡(luò)規(guī)模大與上網(wǎng)速度慢的矛盾。 3）每秒高達(dá)30萬(wàn)條的NAT新建連接會(huì)話。在出口中平均長(zhǎng)度512Byte報(bào)文1Gbps的NAT線速轉(zhuǎn)發(fā)下，每秒達(dá)到新建7萬(wàn)條NAT會(huì)話?？梢酝瑫r(shí)1100個(gè)用戶美妙新建100個(gè)鏈接，從而解決用戶數(shù)多的情況下，網(wǎng)頁(yè)打開(kāi)不斷線。圖3信產(chǎn)部關(guān)于NPE網(wǎng)絡(luò)出口引擎性能的測(cè)試報(bào)告 從底層架構(gòu)提升防火墻的性能 為了能夠解決校園網(wǎng)出口安全所面臨的各種問(wèn)題，我們針對(duì)校園網(wǎng)出口安全進(jìn)行了研究，對(duì)不同廠商的各種產(chǎn)品進(jìn)行深入分析，對(duì)各種實(shí)現(xiàn)方案進(jìn)行詳細(xì)比較。當(dāng)然，其中如何能夠提供高性能的、豐富的網(wǎng)絡(luò)安全功能是出口安全的焦點(diǎn)所在。NP和單一CPU的方案可以提供豐富的安全服務(wù)，但是性能不滿足要求。而ASIC的方案可以提供高性能，但安全功能不夠豐富。 綜合考慮，銳捷RG-WALL2000產(chǎn)品核心技術(shù)采用可編程專用安全芯片和成熟商用芯片相結(jié)合的方案。這樣RG-WALL2000即有ASIC產(chǎn)品的高效能，兼有軟件產(chǎn)品的靈活性，同時(shí)也部分吸收了NP的微引擎設(shè)計(jì)思想。由于采用了ASIC的專用技術(shù)，在芯片設(shè)計(jì)的時(shí)候，就考慮到各種報(bào)文的轉(zhuǎn)發(fā)效率。這樣的設(shè)計(jì)就是校園網(wǎng)出口的全包長(zhǎng)線速轉(zhuǎn)發(fā)性能。實(shí)測(cè)數(shù)據(jù)顯示，任意大小的數(shù)據(jù)包都在5-13ms內(nèi)數(shù)據(jù)轉(zhuǎn)發(fā)，完全達(dá)到業(yè)界最優(yōu)水平。 3.2安全防護(hù)牢牢掌握 在校園網(wǎng)出口，我們將安全防護(hù)主要交給RG-WALL2000。在銳捷RG-WALL2000產(chǎn)品中，銳捷開(kāi)發(fā)了核心的安全芯片：Sentinel。Sentinel是一個(gè)高集成度的安全芯片，主要模塊是四層智能防御系統(tǒng)和IPSecVPN微引擎陣列。詳細(xì)地說(shuō)，RG-WALL 2000能在硬件內(nèi)為源自Layer 2 至Layer 7的頭信息作檢驗(yàn)和執(zhí)行模式匹配，且一次能匹配128個(gè)字節(jié)，垂度為16個(gè)字節(jié)。即，RG-WALL 2000一方面能快速地檢驗(yàn)多至144個(gè)字節(jié)（128 + 16 = 144）的頭信息，另一方面也能匹配具體的消息頭（從1到128字節(jié)長(zhǎng)度的可編程序簽名/模式字串），并能在結(jié)果上執(zhí)行邏輯運(yùn)算。CME也能把同一流的數(shù)據(jù)包拼合，從而阻止把簽名分布到多個(gè)小包的應(yīng)用層攻擊。在互聯(lián)網(wǎng)環(huán)境，基于芯片內(nèi)的CME分擔(dān)通用CPU的工作來(lái)預(yù)防一些已知的攻擊。 RG-WALL 2000除了防御常見(jiàn)的攻擊手段，如：SYN FLOODING、UDP flood、Ping flood、UDP Scan、TCP Scan(TCP SYN Scan、TCP FIN Scan、TCP Xmas Scan)、Ping Sweep Jolt2 Attack、Land-based Attack、Teardrop Attack、Ping of Death Attack、Smurf Attack、ARP Attack(APR Spoof、ARP Flood) 之外，還能偵察動(dòng)態(tài)端口的攻擊。 圖4 RG-WALL 2000先進(jìn)的體系架構(gòu)當(dāng)然，鑒于NPE出口引擎的新一代流轉(zhuǎn)發(fā)機(jī)制，其具備內(nèi)嵌防火墻這項(xiàng)技術(shù)，也能承擔(dān)起安全防護(hù)的任務(wù)。NPE的安全防護(hù)主要體現(xiàn)在：報(bào)文過(guò)濾（它根據(jù)安全策略對(duì)數(shù)據(jù)流進(jìn)行檢查，讓合法的流量通過(guò)，將非法的流量阻止，從而達(dá)到訪問(wèn)控制的目的。）、狀態(tài)檢測(cè)（對(duì)基于六元組來(lái)識(shí)別網(wǎng)絡(luò)流量，并針對(duì)每條網(wǎng)絡(luò)流量建立從二層至七層的狀態(tài)信息。并基于這些狀態(tài)信息進(jìn)行各種豐富的安全控制和更深粒度的報(bào)文過(guò)濾。）、攻擊防御（包括：IP畸形包攻擊、IP假冒、TCP劫持入侵、SYN flood、Smurf、Ping of Death、Teardorp、Land、ping flood、UDP Flood等.）、內(nèi)容過(guò)濾：（針對(duì)URL地址進(jìn)行靈活地分類，并應(yīng)用到各種策略上，實(shí)現(xiàn)基于用戶策略的URL訪問(wèn)過(guò)濾。）3.3流量識(shí)別，智能流量控制 網(wǎng)絡(luò)管理者要把好網(wǎng)絡(luò)的脈搏，清楚網(wǎng)絡(luò)的狀況，就有必要在出口區(qū)域：1）對(duì)應(yīng)用進(jìn)行識(shí)別，能夠看到具體的IM（即時(shí)通信）、P2P（BT、Edonkey等）、FTP等應(yīng)用；2）掌控基于應(yīng)用的和基于用戶的流量，這樣就能合理的分配資源、有計(jì)劃的規(guī)劃網(wǎng)絡(luò)的發(fā)展。RG-WALL能夠識(shí)別IM、P2P的應(yīng)用，同時(shí)基于其僅5ms延遲的能力，先天具備對(duì)流量進(jìn)行管理的基礎(chǔ)條件。在隊(duì)列管理方面，RG-WALL2000充分借鑒了高端路由交換設(shè)備的隊(duì)列管理結(jié)構(gòu)，在物理接口上執(zhí)行流控制管理。在分類上， RG-WALL 2000能夠根據(jù)源MAC, TOS, 數(shù)據(jù)包長(zhǎng), IP協(xié)議, 源和目的IP地址, TCP標(biāo)志(ACK, RST, SYN, FIN), TCP源和目的端口, VLAN標(biāo)志, VLAN用戶優(yōu)先級(jí)等信息對(duì)數(shù)據(jù)流進(jìn)行分類.NPE所具有的獨(dú)特流量控制手段有：帶寬限制：可以提供從基于接口的粗粒度，到基于策略的每用戶的細(xì)粒度的帶寬限制； 并發(fā)會(huì)話數(shù)限制：基于策略的或者每用戶的并發(fā)會(huì)話數(shù)限制； 新建會(huì)話速率限制：基于策略的或者每用戶的新建會(huì)話速率限制；3.4日志記錄，疏而不漏日志對(duì)于網(wǎng)絡(luò)安全的分析和安全設(shè)備的管理非常重要。NPE針對(duì)各種網(wǎng)絡(luò)攻擊和安全威脅進(jìn)行日志記錄，采用統(tǒng)一的格式，支持本地查看的同時(shí)，還能夠通過(guò)統(tǒng)一的輸出接口將日志發(fā)送到日志服務(wù)器，為用戶事后分析、審計(jì)提供重要信息. NPE日志包括： 設(shè)備日志：設(shè)備的狀態(tài)，系統(tǒng)事件日志 上網(wǎng)記錄日志：基于五元組的上網(wǎng)記錄日志 五元組為源/目的IP、源/目的端口、協(xié)議號(hào) NAT日志：即進(jìn)行NAT地址轉(zhuǎn)換前后的地址、端口的對(duì)應(yīng)關(guān)系 攻擊日志：設(shè)備網(wǎng)絡(luò)受到攻擊的日志信息 圖5 出口設(shè)備符合規(guī)定的日志記錄RG-WALL2000支持設(shè)備日志和安全事件的審計(jì)日志，以供安全事件后的追查。通過(guò)在出口設(shè)備上的符合規(guī)范的日志實(shí)現(xiàn)，能夠保證在出現(xiàn)安全問(wèn)題后的反查。同時(shí)在公安機(jī)關(guān)要求協(xié)助調(diào)查時(shí)候，起到很好的作用。進(jìn)一步地，結(jié)合學(xué)校的身份認(rèn)證平臺(tái)，比如銳捷RG-SAM，可以一步定位到安全事件的當(dāng)事人在什么時(shí)間在某棟樓的哪一個(gè)交換機(jī)的哪個(gè)端口下接入網(wǎng)絡(luò)的。 3.5冗余備份，實(shí)現(xiàn)高可用性整個(gè)出口的設(shè)計(jì)將打造高可用性作為一個(gè)重要的目標(biāo)。從架構(gòu)上看，出口采用了雙設(shè)備、多鏈路的互聯(lián)。一方面可以實(shí)現(xiàn)分流，即辦公區(qū)域的流量通過(guò)特定路徑，宿舍區(qū)域的流量經(jīng)過(guò)另外獨(dú)立的路徑；另一方面，當(dāng)出現(xiàn)問(wèn)題的時(shí)候，互為備份的設(shè)備或者冗余鏈路之間能夠?qū)崿F(xiàn)自動(dòng)的切換。從學(xué)校實(shí)際的測(cè)試結(jié)果來(lái)看，也能很快進(jìn)行切換，完全滿足學(xué)校的需要。達(dá)到的效果是：對(duì)于校園網(wǎng)用戶來(lái)說(shuō)不用理解