校園網(wǎng)網(wǎng)絡安全方案設計

1、某校園網(wǎng)絡安全方案設計第一章、某校園網(wǎng)方案設計原則與需求1.1設計原則充分滿足現(xiàn)在以及未來3-5年內(nèi)的網(wǎng)絡需求，既要保證校園網(wǎng)能很好的為學校服務，又要保護學校的投資。強大的安全管理措施，四分建設、六分管理，管理維護的好壞是校園網(wǎng)正常運行的關鍵在滿足學校的需求的前提下，建出自己的特色1.2網(wǎng)絡建設需求網(wǎng)絡的穩(wěn)定性要求整個網(wǎng)絡需要具有高度的穩(wěn)定性，能夠滿足不同用戶對網(wǎng)絡訪問的不同要求網(wǎng)絡高性能需求整個網(wǎng)絡系統(tǒng)需要具有很高的性能，能夠滿足各種流媒體的無障礙傳輸，保證校園網(wǎng)各種應用的暢通無阻認證計費效率高，對用戶的認證和計費不會對網(wǎng)絡性能造成瓶頸網(wǎng)絡安全需求防止IP地址沖突非法站點訪問過濾非法言論的準

2、確追蹤惡意攻擊的實時處理記錄訪問日志提供完整審計網(wǎng)絡管理需求需要方便的進行用戶管理，包括開戶、銷戶、資料修改和查詢需要能夠?qū)W(wǎng)絡設備進行集中的統(tǒng)一管理需要對網(wǎng)絡故障進行快速高效的處理第二章、某校園網(wǎng)方案設計2.1校園網(wǎng)現(xiàn)網(wǎng)拓撲圖整個網(wǎng)絡采用二級的網(wǎng)絡架構(gòu)：核心、接入。核心采用一臺RGS4909，負責整個校園網(wǎng)的數(shù)據(jù)轉(zhuǎn)發(fā)，同時為接入交換機S1926F+、內(nèi)部服務器提供百兆接口。網(wǎng)絡出口采用RG-WALL1200防火墻。原有網(wǎng)絡設備功能較少，無法進行安全防護，已經(jīng)不能滿足應用的需求。2.2校園網(wǎng)設備更新方案方案一：不更換核心設備核心仍然采用銳捷網(wǎng)絡S4909交換機，在中校區(qū)增加一臺SAM服務器，部

3、署SAM系統(tǒng)，同時東校區(qū)和西校區(qū)各用3臺S2126G替換原有S1926F+,其中匯聚交換機各采用一臺新增的S2126G，剩余的兩臺S2126G用于加強對關鍵機器的保護，中校區(qū)的網(wǎng)絡結(jié)構(gòu)也做相應的調(diào)整，采用現(xiàn)有的兩臺S2126G做為匯聚設備，其它交換機分別接入這兩臺交換機，從而實現(xiàn)所有匯聚層交換機都能進行安全控制，重點區(qū)域在接入層進行安全控制的網(wǎng)絡布局。方案二：更換核心設備核心采用一臺銳捷網(wǎng)絡面向10萬兆平臺設計的多業(yè)務IPV6路由交換機RG-S8606，負責整個校園網(wǎng)的數(shù)據(jù)轉(zhuǎn)發(fā)。在中校區(qū)增加一臺SAM服務器，部署SAM系統(tǒng)，同時東校區(qū)和西校區(qū)各用3臺S2126G替換原有S1926F+。將原有的

4、S4909放到東校區(qū)做為匯聚設備，下接三臺S2126G實現(xiàn)安全控制，其它二層交換機分別接入相應的S2126G。西校區(qū)匯聚采用一臺S2126G，剩余兩臺S2126G用于保護重點機器，其它交換機接入對應的S2126G。中校區(qū)的網(wǎng)絡結(jié)構(gòu)也做相應的調(diào)整，采用現(xiàn)有的兩臺S2126G做為匯聚設備，其它交換機分別接入這兩臺交換機，從而實現(xiàn)所有匯聚層交換機都能進行安全控制，重點區(qū)域在接入層進行安全控制的網(wǎng)絡布局。2.3骨干網(wǎng)絡設計骨干網(wǎng)絡由RG-S8606構(gòu)成，核心交換機RG-S8606主要具有5特性：1、骨干網(wǎng)帶寬設計：千兆骨干，可平滑升級到萬兆整個骨干網(wǎng)采用千兆雙規(guī)線路的設計，二條線路通過VRRP冗余路由

5、協(xié)議和OSPF動態(tài)路由協(xié)議實現(xiàn)負載分擔和冗余備份，以后，隨著網(wǎng)絡流量的增加，可以將鏈路升級到萬兆。2、骨干設備的安全設計：CSS安全體系架構(gòu)3、CSS之硬件CPPCPP即CPU Protect Policy，RG-S8606采用硬件來實現(xiàn)，CPP提供管理模塊和線卡CPU的保護功能，對發(fā)往CPU的數(shù)據(jù)流進行帶寬限制（總帶寬、QOS隊列帶寬、類型報文帶寬），這樣，對于ARP攻擊的數(shù)據(jù)流、針對CPU的網(wǎng)絡攻擊和病毒數(shù)據(jù)流，RG-S8606分配給其的帶寬非常的有限，不會影響其正常工作。由于銳捷10萬兆產(chǎn)品RG-S8606采用硬件的方式實現(xiàn)，不影響整機的運行效率4、CSS之SPOH技術(shù)現(xiàn)在的網(wǎng)絡需要更安

6、全、需要為不同的業(yè)務提供不同的處理優(yōu)先級，這樣，大量的ACL和QOS需要部署，需要核心交換機來處理，而這些應用屬于對交換機硬件資源消耗非常大的，核心交換機RG-S8606通過在交換機的每一個用戶端口上增加一個FFP(快速過濾處理器)，專門用來處理ACL和QOS，相當于把交換機的每一個端口都變成了一臺獨立的交換機，可以保證在非常復雜的網(wǎng)絡環(huán)境中核心交換機的高性能。骨干設備的穩(wěn)定性設計：三平面分離技術(shù)數(shù)據(jù)平面、管理平面、控制平面分離的設計思想交換機中的數(shù)據(jù)類型可以分為三大類：數(shù)據(jù)平面：各種二層三層組播ACLQOS數(shù)據(jù)管理平面：通過TELNET、SNMP對設備進行管理維護的數(shù)據(jù)流控制平面：各種協(xié)議比

7、如STP、ARP、OSPF、RIP交互的數(shù)據(jù)流RG-S8606通過將三個平面進行分離，可以保證在數(shù)據(jù)流量非常大、網(wǎng)絡異常比如有回路、有大量攻擊數(shù)據(jù)流、OSPF協(xié)議無法收斂的情況下，管理員仍然可以通過各種網(wǎng)絡管理方式登陸到網(wǎng)絡設備上，通過察看接口狀態(tài)、日志紀錄、協(xié)議的信息，可以發(fā)現(xiàn)網(wǎng)絡中存在的問題，關閉有問題的端口、停止異常的協(xié)議，從而達到了在線排除網(wǎng)絡故障、在不重啟交換機的情況下讓其恢復正常。極大的提高了網(wǎng)絡的穩(wěn)定性。2.4網(wǎng)絡安全設計某校園網(wǎng)網(wǎng)絡安全需求分析1、網(wǎng)絡病毒的防范病毒產(chǎn)生的原因：某校園網(wǎng)很重要的一個特征就是用戶數(shù)比較多，會有很多的PC機缺乏有效的病毒防范手段，這樣，當用戶在頻繁的

8、訪問INTERNET的時候，通過局域網(wǎng)共享文件的時候，通過U盤，光盤拷貝文件的時候，系統(tǒng)都會感染上病毒，當某個學生感染上病毒后，他會向校園網(wǎng)的每一個角落發(fā)送，發(fā)送給其他用戶，發(fā)送給服務器。病毒對校園網(wǎng)的影響：校園網(wǎng)萬兆、千兆、百兆的網(wǎng)絡帶寬都被大量的病毒數(shù)據(jù)包所消耗，用戶正常的網(wǎng)絡訪問得不到響應，辦公平臺不能使用；資源庫、VOD不能點播；INTERNET上不了，學生、老師面臨著看著豐富的校園網(wǎng)資源卻不能使用的尷尬境地。2、防止IP、MAC地址的盜用IP、MAC地址的盜用的原因：某校園網(wǎng)采用靜態(tài)IP地址方案，如果缺乏有效的IP、MAC地址管理手段，用戶可以隨意的更改IP地址，在網(wǎng)卡屬性的高級選項

9、中可以隨意的更改MAC地址。如果用戶有意無意的更改自己的IP、MAC地址，會引起多方?jīng)_突，如果與網(wǎng)關地址沖突，同一網(wǎng)段內(nèi)的所有用戶都不能使用網(wǎng)絡；如果惡意用戶發(fā)送虛假的IP、MAC的對應關系，用戶的大量上網(wǎng)數(shù)據(jù)包都落入惡意用戶的手中，造成ARP欺騙攻擊。IP、MAC地址的盜用對校園網(wǎng)的影響：在用戶看來，校園網(wǎng)絡是一個很不可靠是會給我?guī)砗芏嗦闊┑木W(wǎng)絡，因為大量的IP、MAC沖突的現(xiàn)象導致了用戶經(jīng)常不能使用網(wǎng)絡上的資源，而且，用戶在正常工作和學習時候，自己的電腦上會經(jīng)常彈出MAC地址沖突的對話框。由于擔心一些機密信息比如銀行卡賬戶、密碼、郵箱密碼泄漏，用戶會盡量減少網(wǎng)絡的使用，這樣，學生、老師對

10、校園網(wǎng)以及網(wǎng)絡中心的信心會逐漸減弱，投入幾百萬的校園網(wǎng)也就不能充分發(fā)揮其服務于教學的作用，造成很大程度上的資源浪費。3、安全事故發(fā)生時候，需要準確定位到用戶安全事故發(fā)生時候，需要準確定位到用戶原因：國家的要求：2002年，朱镕基簽署了282號令，要求各大INTERNET運營機構(gòu)（包括高校）必須要保存60天的用戶上網(wǎng)記錄，以待相關部門審計。校園網(wǎng)正常運行的需求：如果說不能準確的定位到用戶，學生會在網(wǎng)絡中肆無忌彈進行各種非法的活動，會使得校園網(wǎng)變成“黑客”娛樂的天堂，更嚴重的是，如果當某個學生在校外的某個站點發(fā)布了大量涉及政治的比如法輪功的言論，這時候公安部門的網(wǎng)絡信息安全監(jiān)察科找到我們的時候，我

11、們無法處理，學校或者說網(wǎng)絡中心只有替學生背這個黑鍋。4、安全事故發(fā)生時候，不能準確定位到用戶的影響：一旦發(fā)生這種涉及到政治的安全事情發(fā)生后，很容易在社會上廣泛傳播，上級主管部門會對學校做出處理；同時也會大大降低學校在社會上的影響力，降低家長、學生對學校的滿意度，對以后學生的招生也是大有影響的。5、用戶上網(wǎng)時間的控制無法控制學生上網(wǎng)時間的影響：如果缺乏有效的機制來限制用戶的上網(wǎng)時間，學生可能會利用一切機會上網(wǎng)，會曠課。學生家長會對學校產(chǎn)生強烈的不滿，會認為學校及其的不負責任，不是在教書育人。這對學校的聲譽以及學校的長期發(fā)展是及其不利的。6、用戶網(wǎng)絡權(quán)限的控制在校園網(wǎng)中，不同用戶的訪問權(quán)限應該是不

12、一樣的，比如學生應該只能夠訪問資源服務器，上網(wǎng)，不能訪問辦公網(wǎng)絡、財務網(wǎng)絡。辦公網(wǎng)絡的用戶因該不能訪問財務網(wǎng)絡。因此，需要對用戶網(wǎng)絡權(quán)限進行嚴格的控制。7、各種網(wǎng)絡攻擊的有效屏蔽校園網(wǎng)中常見的網(wǎng)絡攻擊比如MAC FLOOD、SYN FLOOD、DOS攻擊、掃描攻擊、ARP欺騙攻擊、流量攻擊、非法組播源、非法DHCP服務器及DHCP攻擊、竊取交換機的管理員密碼、發(fā)送大量的廣播報文，這些攻擊的存在，會擾亂網(wǎng)絡的正常運行，降低了校園網(wǎng)的效率。某校園網(wǎng)網(wǎng)絡安全方案設計思想.1安全到邊緣的設計思想用戶在訪問網(wǎng)絡的過程中，首先要經(jīng)過的就是交換機，如果我們能在用戶試圖進入網(wǎng)絡的時候，也就是在接入層交換機上部

13、署網(wǎng)絡安全無疑是達到更好的效果。.2全局安全的設計思想銳捷網(wǎng)絡提倡的是從全局的角度來把控網(wǎng)絡安全，安全不是某一個設備的事情，應該讓網(wǎng)絡中的所有設備都發(fā)揮其安全功能，互相協(xié)作，形成一個全民皆兵的網(wǎng)絡，最終從全局的角度把控網(wǎng)絡安全。.3全程安全的設計思想 用戶的網(wǎng)絡訪問行為可以分為三個階段，包括訪問網(wǎng)絡前、訪問網(wǎng)絡的時候、訪問網(wǎng)絡后。對著每一個階段，都應該有嚴格的安全控制措施。某校園網(wǎng)網(wǎng)絡安全方案銳捷網(wǎng)絡結(jié)合SAM系統(tǒng)和交換機嵌入式安全防護機制設計的特點，從三個方面實現(xiàn)網(wǎng)絡安全：事前的準確身份認證、事中的實時處理、事后的完整審計。.1事前的身份認證對于每一個需要訪問網(wǎng)絡的用戶，我們需要對其身份進行

14、驗證，身份驗證信息包括用戶的用戶名/密碼、用戶PC的IP地址、用戶PC的MAC地址、用戶PC所在交換機的IP地址、用戶PC所在交換機的端口號、用戶被系統(tǒng)定義的允許訪問網(wǎng)絡的時間，通過以上信息的綁定，可以達到如下的效果：每一個用戶的身份在整個校園網(wǎng)中是唯一，避免了個人信息被盜用.當安全事故發(fā)生的時候，只要能夠發(fā)現(xiàn)肇事者的一項信息比如IP地址，就可以準確定位到該用戶，便于事情的處理。只有經(jīng)過網(wǎng)絡中心授權(quán)的用戶才能夠訪問校園網(wǎng)，防止非法用戶的非法接入，這也切斷了惡意用戶企圖向校園網(wǎng)中傳播網(wǎng)絡病毒、黑客程序的通道。.2網(wǎng)絡攻擊的防范1、常見網(wǎng)絡病毒的防范對于常見的比如沖擊波、振蕩波等對網(wǎng)絡危害特別嚴重

15、的網(wǎng)絡病毒，通過部署擴展的ACL，能夠?qū)@些病毒所使用的TCP、UDP的端口進行防范，一旦某個用戶不小心感染上了這種類型的病毒，不會影響到網(wǎng)絡中的其他用戶，保證了校園網(wǎng)網(wǎng)絡帶寬的合理使用。2、未知網(wǎng)絡病毒的防范對于未知的網(wǎng)絡病毒，通過在網(wǎng)絡中部署基于數(shù)據(jù)流類型的帶寬控制功能，為不同的網(wǎng)絡應用分配不同的網(wǎng)絡帶寬，保證了關鍵應用比如WEB、課件資源庫、郵件數(shù)據(jù)流有足夠可用的帶寬，當新的病毒產(chǎn)生時，不會影響到主要網(wǎng)絡應用的運行，從而保證了網(wǎng)絡的高可用性。3、防止IP地址盜用和ARP攻擊通過對每一個ARP報文進行深度的檢測，即檢測ARP報文中的源IP和源MAC是否和端口安全規(guī)則一致，如果不一致，視為更

16、改了IP地址，所有的數(shù)據(jù)包都不能進入網(wǎng)絡，這樣可有效防止安全端口上的ARP欺騙，防止非法信息點冒充網(wǎng)絡關鍵設備的IP（如服務器），造成網(wǎng)絡通訊混亂。4、防止假冒IP、MAC發(fā)起的MAC FloodSYN Flood攻擊通過部署IP、MAC、端口綁定和IP+MAC綁定（只需簡單的一個命令就可以實現(xiàn)）。并實現(xiàn)端口反查功能，追查源IP、MAC訪問，追查惡意用戶。有效的防止通過假冒源IP/MAC地址進行網(wǎng)絡的攻擊，進一步增強網(wǎng)絡的安全性。5、非法組播源的屏蔽銳捷產(chǎn)品均支持IMGP源端口檢查，實現(xiàn)全網(wǎng)杜絕非法組播源，指嚴格限定IGMP組播流的進入端口。當IGMP源端口檢查關閉時，從任何端口進入的視頻流均

17、是合法的，交換機會把它們轉(zhuǎn)發(fā)到已注冊的端口。當IGMP源端口檢查打開時，只有從路由連接口進入的視頻流才是合法的，交換機把它們轉(zhuǎn)發(fā)向已注冊的端口；而從非路由連接口進入的視頻流被視為是非法的，將被丟棄。銳捷產(chǎn)品支持IGMP源端口檢查，有效控制非法組播，實現(xiàn)全網(wǎng)杜絕非法組播源，更好地提高了網(wǎng)絡的安全性和全網(wǎng)的性能，同時可以有效杜絕以組播方式的傳播病毒.在校園網(wǎng)流媒體應用多元化和潮流下具有明顯的優(yōu)勢，而且也是網(wǎng)絡帶寬合理的分配所必須的。同時IGMP源端口檢查，具有效率更高、配置更簡單、更加實用的特點，更加適用于校園運營網(wǎng)絡大規(guī)模的應用環(huán)境。6、對DOS攻擊，掃描攻擊的屏蔽通過在校園網(wǎng)中部署防止DOS攻

18、擊，掃描攻擊，能夠有效的避免這二種攻擊行為，節(jié)省了網(wǎng)絡帶寬，避免了網(wǎng)絡設備、服務器遭受到此類攻擊時導致的網(wǎng)絡中斷。.3事后的完整審計當用戶訪問完網(wǎng)絡后，會保存有完備的用戶上網(wǎng)日志紀錄，包括某個用戶名，使用那個IP地址，MAC地址是多少，通過那一臺交換機的哪一個端口，什么時候開始訪問網(wǎng)絡，什么時候結(jié)束，產(chǎn)生了多少流量。如果安全事故發(fā)生，可以通過查詢該日志，來唯一的確定該用戶的身份，便于了事情的處理。2.5網(wǎng)絡管理設計網(wǎng)絡管理包括設備管理、用戶管理、網(wǎng)絡故障管理網(wǎng)絡用戶管理網(wǎng)絡用戶管理見網(wǎng)絡運營設計開戶部分網(wǎng)絡設備管理網(wǎng)絡設備的管理通過STARVIEW實現(xiàn)，主要提供以下功能，這些功能也是我們常見的

19、解決問題的思路：1、網(wǎng)絡現(xiàn)狀及故障的自動發(fā)現(xiàn)和了解STARVIEW能自動發(fā)現(xiàn)網(wǎng)絡拓撲結(jié)構(gòu)，讓網(wǎng)絡管理員對整個校園網(wǎng)了如指掌，對于用戶私自掛接的HUB、交換機等設備能及時地發(fā)現(xiàn)，提前消除各種安全隱患。對于網(wǎng)絡中的異常故障，比如某臺交換機的CPU利用率過高，某條鏈路上的流量負載過大，STARVIEW都可以以不同的顏色進行顯示，方便管理員及時地發(fā)現(xiàn)網(wǎng)絡中的異常情況。2、網(wǎng)絡流量的查看STARVIEW在網(wǎng)絡初步異常的情況下，能進一步的察看網(wǎng)絡中的詳細流量，從而為網(wǎng)絡故障的定位提供了豐富的數(shù)據(jù)支持。3、網(wǎng)絡故障的信息自動報告STARVIEW支持故障信息的自動告警，當網(wǎng)絡設備出現(xiàn)故障時，會通過TRAP的方

20、式進行告警，網(wǎng)絡管理員的界面上能看到各種故障信息，這些信息同樣為管理員的故障排除提供了豐富的信息。4、設備面板管理STARVIEW的設備面板管理能夠很清楚的看到校園中設備的面板，包括端口數(shù)量、狀態(tài)等等，同時可以很方便的登陸到設備上，進行配置的修改，完善以及各種信息的察看。5、RGNOS操作系統(tǒng)的批量升級校園網(wǎng)很大的一個特點就是規(guī)模大，需要使用大量的接入層交換機，如果需要對這些交換機進行升級，一臺一臺的操作，會給管理員的工作帶來很大的壓力，STARVIEW提供的操作系統(tǒng)的批量升級功能，能夠很方便的一次對所有的相同型號的交換機進行升級，加大的較少了網(wǎng)絡管理員的工作量。網(wǎng)絡故障管理隨著校園網(wǎng)用戶數(shù)的

21、增多，尤其是宿舍網(wǎng)運營的開始，用戶網(wǎng)絡故障的排除會成為校園網(wǎng)管理工作的重點和難點，傳統(tǒng)的網(wǎng)絡故障解決方式主要是這樣一個流程：打電話、去網(wǎng)絡中心 上不了網(wǎng)？網(wǎng)管員手工登記受理 與用戶預約，上門處理網(wǎng)管員安排處理人員和時間 對于這種傳統(tǒng)的網(wǎng)絡故障解決辦法，有以下的幾個弊端：1、網(wǎng)管員工作量大當用戶出現(xiàn)網(wǎng)絡故障時，需要通過電話或者到網(wǎng)絡中心進行報修，也就是說網(wǎng)管員經(jīng)常會被打擾，網(wǎng)管員日常的工作思路會受到影響，再者，接待學生的態(tài)度很不好把握，會造成用戶對網(wǎng)管員態(tài)度有看法，對網(wǎng)絡中心的聲譽產(chǎn)生負面影響。網(wǎng)管需要手工登記用戶故障信息，需要一定的時間，造成效率降低。需要電話與用戶預約故障處理時間，效率低，浪

22、費較多的網(wǎng)絡故障是用戶方的問題，網(wǎng)管上門服務價值太低2、網(wǎng)絡故障表單管理混亂手工填寫的故障表單容易丟失，表單丟失，意味著故障信息丟失，會嚴重影響網(wǎng)管員的工作A管理員受理學生來故障，很有可能到時候是B管理員來處理，存在信息很難完全同步的問題，導致故障處理受到影響。重復受理，如果學生今天來報了故障，網(wǎng)絡中心沒有解決，那第二天，他可能又會去報修，導致故障重復，干擾網(wǎng)管的正常工作3、故障不能及時處理網(wǎng)管員會優(yōu)先處理故障信息較多的樓棟，這樣的話，對于離中心較遠用戶或者個別用戶的網(wǎng)絡故障，一般會壓后處理上面這些用戶會覺得受到了不公正的待遇，可能通過海報、校長信箱反映問題針對高校校園網(wǎng)的這種現(xiàn)狀，銳捷網(wǎng)絡在

23、安全認證計費系統(tǒng)SAM中專門開發(fā)了網(wǎng)絡故障報修功能，大大提高了網(wǎng)絡故障處理得效率，既可以以提高校園網(wǎng)用戶的滿意度，又可以讓我們的網(wǎng)管員能夠有更多的時間對整個校園網(wǎng)進行優(yōu)化設計，對網(wǎng)絡應用系統(tǒng)的建設進行完善，讓校園網(wǎng)更好的為學校服務。以下是網(wǎng)上報修的流程圖：網(wǎng)管員通過網(wǎng)絡查看受理、反饋處理意見理通過網(wǎng)絡提交故障信息 上不了網(wǎng)？ 到時間直接上門處理對需要上門處理的故障，網(wǎng)管員通過網(wǎng)絡事先通知用戶 2.6 IPv6設計某作為豫南地區(qū)中國教育和科研計算機網(wǎng)的節(jié)點，接入下一代互聯(lián)網(wǎng)以及Cernet2是很快就需要實施，因此，整個網(wǎng)絡對IPv6的支持就顯得尤為關鍵，IPv6網(wǎng)絡設計的目標是：整網(wǎng)支持IPv6

24、，并且要保證IPv6網(wǎng)絡的性能和IPv4一樣。常見的IPv6網(wǎng)絡的設計方案有二種：方案一：隧道方式對設備的要求：一般來說，隧道方式只有核心交換機支持IPv6，且采用NP實現(xiàn)IPv6優(yōu)勢：實現(xiàn)起來簡單，只需要核心和教育網(wǎng)之間建立隧道即可。劣勢：所有的IPv6數(shù)據(jù)包需要核心交換機來處理，核心交換機處理負載大，整網(wǎng)IPv6性能低核心交換機采用NP處理IPv6（NP的性能比ASIC芯片低很多，無法滿足千兆萬兆的線速轉(zhuǎn)發(fā)），性能低，無法滿足IPv6數(shù)據(jù)包的千兆線速轉(zhuǎn)發(fā)核心交換機負載重，導致核心交換機穩(wěn)定可靠性降低，就象司機長期疲勞駕駛，出車禍的幾率大增。用戶可直接攻擊核心交換機，整網(wǎng)的安全性、穩(wěn)定可靠性

25、極低方案二：雙棧方式對設備的要求：所有的三層交換機支持IPv6，且采用硬件ASIC芯片來支持IPv6優(yōu)勢：整網(wǎng)形成了分布式三層IPv6架構(gòu)，所有的匯聚、核心交換機支持雙棧，自動識別V4和V6數(shù)據(jù)包，形成了高效的轉(zhuǎn)發(fā)和管理系統(tǒng)。就好比學校分成院系，院系分成了專業(yè)以后，各種工作的開展更方便，學校的管理也更有效。所有的匯聚交換機采用硬件ASIC芯片來支持IPV6，能夠?qū)崿F(xiàn)IPV6數(shù)據(jù)包的線速轉(zhuǎn)發(fā)，保證了網(wǎng)絡的性能。對于用戶來說，他能到達的只是匯聚層IPV6交換機，并不知道核心的存在，對整網(wǎng)的核心能起到保護作用。由于匯聚層交換機能支持IPV6，有效緩解了核心上的處理壓力，這有利于提高核心的穩(wěn)定可靠性劣勢：一次性投入成本高些為了充分的保護用戶的投資，銳捷網(wǎng)絡采取IPv4/IPv6雙協(xié)議棧方式實現(xiàn)IPv6，方案中的所有三層交換機均RG-S8600、RG-S5750、RG-S3760全部采用硬件ASIC芯片來支持IPv6，能夠便于校園網(wǎng)隨時啟用IPv6功能。以下是上顯示的各個廠家的設備對IPV6支持的情況，紅色部分表示銳捷交換機的情況2.7流量管理系統(tǒng)設計網(wǎng)絡中的流量情況是網(wǎng)絡是否正常的關鍵，網(wǎng)絡中大量的P2P軟件的使用，已經(jīng)對各種網(wǎng)絡業(yè)務的正常開展產(chǎn)生了非常嚴重的影響，有的學校甚至因為P2P軟