校园网安全设计

《校园网安全设计》由会员分享，可在线阅读，更多相关《校园网安全设计（24页珍藏版）》请在装配图网上搜索。

1、摘要当前，网络技术飞速发展，它正以不可替代的趋势影响着人们的生活和工作，给人 类带来高效和快捷，校园网的建成，使学校实现了管理网络化和数学手段现代化，这对 于提高学校的管理水平和教学质量具有十分重要的意义。但是，由于网络不安全状态的 存在，在校园网数据丢失、系统被修改或瘫痪的事情仍有反生，这对于建立一个安全。 稳定高效的校园系统时。网络安全成为一个非常重要的环节。随着网络技术的迅猛发展， 校园网迅速发展和普及，在学校日常工作和管理中发挥了至关重要的作用。但随着网络 的普及，其安全问题日益突出。如何让校园网正常高效的运行，充分发挥其教学、管理 和服务等功能，已成为不可忽视的一个问题。本文着重分析

2、了如今校园网中存在的安全 隐患，从技术、设备、管理等多方面提出了改进和解决的方案，希望能对校园网的安全 管理有所帮助，为师生创造一个安全、高效、干净的上网环境。关键字 ：网络攻击；网络安全； 防火墙 ；安全防AbstractAt present, the rapid development of network technology, it is irreplaceable trend affects peoples life and work, brought the efficient and fast, the building of campus network, so that th

3、e school to achieve the management of network and mathematical means of modernization, it is to improve the level of school management and the quality of teaching is very important. However, due to network security state of existence, in the campus network data loss, system is modified or paralysis

4、thing still against students, this is to establish a safe. Stable and efficient campus system. Network security has become a very important link. With the rapid development of network technology, campus network rapid development and popularization of the school, in the daily work and management play

5、s a critical role in. But with the popularity of the network, its security problems have become increasingly prominent. How to make the campus network normal and efficient operation, give full play to the teaching, management and service function, has become a problem that can not be ignored. This p

6、aper analyses the nowadays campus network security risks exist, from the technology, equipment, management and other aspects of the improvement and solutions, hoping to help the campus network security management, teachers and students to create a safe, efficient, clean environment for the internet.

7、Key words:network attack network security firewall security protection目录第 1 章 某校园网方案设计原则与需求 11.1 设计原则 11.2 网络建设需求 1第 2 章 某校园网安全方案设计 32.1 校园网现网拓扑图 32.2 骨干网络设计 32.3网络安全设计 82.3.1 某校园网网络安全需求分析 82.3.2某校园网网络安全方案设计思想 102.3.3某校园网网络安全方案 102.4 网络管理设计 122.4.1 网络用户管理 122.4.2 网络设备管理 122.4.3 网络故障管理 13第 3 章 ipv6 1

8、53.1 IPv6 设计 153.1.1 方案一：隧道方式 153.1.2方案二：双栈方式 153.2 流量管理系统设计 163.2.1 方案一：传统的流量管理方案 16结论错误！未定义书签。参考文献： 18致 谢 19第 1 章 某校园网方案设计原则与需求图 1-1 校园网硬软件之分1.1 设计原则1. 充分满足现在以及未来3-5 年内的网络需求，既要保证校园网能很好的为学校服 务，又要保护学校的投资。2. 强大的安全管理措施，四分建设、六分管理。管理维护的好坏是校园网正常运行 的关键。3. 在满足学校的需求的前提下，提出自己的特色。1.2 网络建设需求网络的稳定性要求：整个网络需要具体高度

9、的稳定性，能满足不同用户对网络访问 的不同需求。网络高性能需求：整个网络系统需要具有很高的性能，能够满足各种流媒体的无障 碍传输，保证校园网各种应用的畅通无阻。网络安全需求：防止 IP 地址冲突；非法站点访问过滤；非法言论的准确追踪；恶意攻击的实时处理；记录访问日志提供完整审计。网络管理需求：需要方便的进行用户管理，包括开户、销户、资料修改和查询；需要能够对网络设备进行集中的统一管理；需要对网络故障进行快速高效的处理。第2 章 某校园网安全方案设计2.1 校园网现网拓扑图IIIrrJitrw ；flr.图 2-1 校园网建成后的拓扑图整个网络采用三级的网络构架：核心层、接入层、用户层。核心采用

10、一台h3c s9512.负责整个校园网的数据转发。同时为接入交换机和h3c s5500、内部服务器提供百兆借口网络出口采用RG-WALL1200防火墙。原有网络设备 功能较少，无法进行安全防护，已经不能满足应用的需求。2.2 骨干网络设计骨干网络由h3c s9512构成，核心交换机还h3c 9500系列主要具有以下特性：H3C S9500系列交换机是杭州华三通信技术有限公司（以下简称H3C公司）面向以 业务为核心的企业网络架构而推出的新一代核心路由交换机，该产品基于H3C公司自适 应安全网络的技术理念，在提供大容量、高性能L2/L3交换服务基础上，进一步融合了 硬件IPv6、网络安全、网络业务

11、分析等智能特性，可为企业构建融合业务的基础网络 平台，进而帮助用户实现IT资源整合的需求。H3C S9500系列交换机目前包括S9505（7槽）、S9508 （10槽）、S9508V （垂直10 槽）和S9512（14槽）4款产品。H3C S9500作为H3C公司自适应安全网络的核心路由交 换产品，可广泛的适用各行业的生产网核心、企业数据中心、 IP 城域网核心和汇聚、 园区网核心、汇聚和配线间等场所，为用户提供多种业务接入、路由交换一体化的安全 融合网络解决方案。产品的功能如下：一、H3C S9500 系列支持分布式的 MPLS 业务，分布在接口板上的 ASIC 芯片直接 完成MPLS标签的

12、线速处理，不存在集中式处理的瓶颈，MPLS性能业界最高。与其他集 中式的MPLS设备相比,S9500保障了大业务量时MPLS的高可用性,持续保护用户投资。二、线速的IPv6业务处理H3C S9500系列支持分布式的IPv6业务，分布在接口板上的ASIC芯片支持对IPv6 报文的线速处理，用户通过升级操作系统可实现基于ASIC的全线速IPv6转发，极大保 护用户投资，适应网络业务不断发展的需求。三、大容量高性能路由交换H3C S9500系列提供业界领先的交换能力，其最高的1.44T路由交换引擎可以实现 576个千兆或48个万兆端口的线速转发，三层包转发能力高达857Mpps。该产品在网络中的功能

13、： 融合的网络安全特性 集成的安全特性：H3C S9500系列支持集成的防火墙模块，可以将防火墙的保护 功能扩展到交换机的每个端口；支持集成IPSec模块，提供安全的互联网VPN接入服务； 支持端口镜像和远程端口镜像，将有安全隐患的报文镜像到分析端口，并通过与IDS联 动及时阻断攻击。 设备自身的安全特性 ： H3C S9500 系列采用“最长匹配、逐包转发”模式，能 够抵御网络病毒的攻击；支持OSPF、RIPv2及BGPv4报文的明文及MD5密文认证；支 持IP、VLAN、MAC和端口等多种组合绑定方式，防范地址盗用；支持广播报文抑制， 有效控制ARP等非法广播流量对设备造成冲击；支持URP

14、F，防止IP地址欺骗；支持报 文安全过滤，防止非法侵入和恶意报文攻击等。 管理的安全性：H3C S9500 系列支持 IEEE 802.1x、AAA/Radius、HWTACACS，对 用户身份进行合法性认证；支持用户分级管理，不同级别的用户拥有不同的配置权限； 支持安全的SNMPv3网管协议；支持安全的远程登录SSH V2；支持受限IP地址方式的 Telnet 登录。 最长的网络正常运行时间 产品的无单点故障设计 ： H3C S9500 系列采用分布式体系结构，所有关键部件 采用冗余设计，包括主控板、交换网、电源和风扇等；采用无源背板设计，避免机箱出 现单点故障；所有单板支持热插拔功能，并且

15、对其它单板上运行的业务无影响。 路由协议的高可靠保障： H3C S9500 系列支持 OSPF/IS-IS/BGP 的优雅重启技术 （Graceful Res tar t）,可以实现用户业务的不间断转发；支持动态路由协议、跨板端口聚合、虚拟路由冗余协议（VRRP）等保护机制，有效保证全网高速可靠运行。 快速自愈的环网保护技术：H3C S9500支持RPR （弹性分组环），RPR技术融合了 SDH故障自愈的高可靠性与以太网的经济性、高带宽、灵活性、可扩展能力等优势，可 以保障小于 50ms 的故障切换时间，音频、视频等实时业务不受故障影响。 RPR 技术为 用户提供了高可靠的多业务传输解决方案。

16、 网络业务分析：H3C S9500系列通过高性能的网络处理器实现对网络业务的分析。 支持V5、V8和V9多种日志格式，与XLOG日志审计系统配合，为用户提供完整的网络 流量分析解决方案；支持向主、备服务器同时发送日志，防止统计信息丢失。网络业务 分析使原本不可见的网络业务应用流量变得一目了然，进而可以帮助用户及时优化网络 结构，调整资源部署。 高品质QoS特性：H3C S9500系列支持完善的QoS功能，支持流量监管，粒度可 精细化到8Kbps；支持流量整形，可基于端口或队列灵活设置；支持报文DSCP优先级、 IP 优先级、 TOS 优先级、 COS 优先级以及 Exp 优先级的重置功能；支持

17、报文重定向功能， 可根据网络流量状况灵活配置报文的转发路径；支持多种模式的队列调度机制；支持多 种拥塞避免机制。定制的行业解决方案H3C S9500系列根据行业用户的个性化需求，推出了多种新业务特性：支持Portal 认证，使最终用户无须安装客户端即可完成认证；支持对BT流量控制，防止P2P业务 对出口带宽资源的滥用；在校园网中对不同网段的流量区分计费，满足教育用户的需求； 支持可编程的开放接口，可针对各行业客户需求实现个性化的业务定制。1. 骨干网带宽设计：千兆骨干，可平滑升级到万兆整个骨干网采用千兆双规线路的设计，二条线路通过 VRRP 冗余路由协议和 OSPF 动 态路由协议实现负载分担

18、和冗余备份，以后，随着网络流量的增加，可以将链路升级到 万兆2骨干设备的安全设计：CSS安全体系构架CSS赛全BS陡道、护技朮认证r加網防护横摆健科1P砒” 曲心站政命 SSH. 脱筈控和口 I f：m. I SNMIFV3. 吶汛纜犁控I 2临川麼出 AAA, i7tTiS 蝕战制卄 I SPQH. GPP B IPJtHffiM然删馆、LFMHDF? 1MPLS, .斥蒜悅制人槻VPLS. 榔嚣.翡火自VPWS.。湖,斟群猶削頼 .SHA 块图 2-2 CSS 安全体系构架3. CSS之硬件CPPCPP即CPU Protect Policy, RG-S8606采用硬件来实现，CPP提供管理

19、模块和线卡 CPU的保护功能，对发往CPU的数据流进行带宽限制（总带宽、QOS队列带宽、类型报 文带宽），这样，对于ARP攻击的数据流、针对CPU的网络攻击和病毒数据流，h3c9512 分配给其的带宽非常的有限，不会影响其正常工作。由于h3c 10万兆产品h3c s9512采用硬件的方式实现，不影响整机的运行效率4. CSS 之 SPOH 技术现在的网络需要更安全、需要为不同的业务提供不同的处理优先级，这样，大量的 ACL和QOS需要部署，需要核心交换机来处理，而这些应用属于对交换机硬件资源消耗 非常大的，核心交换机h3c 9512通过在交换机的每一个用户端口上增加一个FFP（快速 过滤处理器

20、），专门用来处理ACL和QOS，相当于把交换机的每一个端口都变成了一台独立的交换机，可以保证在非常复杂的网络环境中核心交换机的高性能。图 2-3 交换机处理结构图 骨干设备的稳定性设计：三平面分离技术 数据平面、管理平面、控制平面分离的设计思想 交换机中的数据类型可以分为三大类：数据平面：各种二层三层组播ACLQOS数据管理平面：通过TELNET、SNMP对设备进行管理维护的数据流控制平面：各种协议比如STP、ARP、OSPF、RIP交互的数据流H3c 9512 通过将三个平面进行分离，可以保证在数据流量非常大、网络异常比如 有回路、有大量攻击数据流、 OSPF 协议无法收敛的情况下，管理员仍

21、然可以通过各种 网络管理方式登陆到网络设备上，通过察看接口状态、日志纪录、协议的信息，可以发 现网络中存在的问题，关闭有问题的端口、停止异常的协议，从而达到了在线排除网络故障、在不重启交换机的情况下让其恢复正常。极大的提高了网络的稳定性。图 2-4 逻辑关系图2.3 网络安全设计2.3.1 某校园网网络安全需求分析1. 网络病毒防范病毒产生的原因：某校园网很重要的一个特征就是用户数比较多，会有很多的 PC 机缺乏有效的病毒防范手段，这样，当用户在频繁的访问 INTERNET 的时候，通过局域 网共享文件的时候，通过U盘，光盘拷贝文件的时候，系统都会感染上病毒，当某个学 生感染上病毒后，他会向校

22、园网的每一个角落发送，发送给其他用户，发送给服务器。病毒对校园网的影响：校园网万兆、千兆、百兆的网络带宽都被大量的病毒数据包 所消耗，用户正常的网络访问得不到响应，办公平台不能使用；资源库、VOD不能点播； INTERNET 上不了，学生、老师面临着看着丰富的校园网资源却不能使用的尴尬境地。图 2-5 病毒危害2. 防止 IP、MAC 地址的盗用IP、MAC 地址的盗用的原因：某校园网采用静态 IP 地址方案，如果缺乏有效的 IP、 MAC 地址管理手段，用户可以随意的更改 IP 地址，在网卡属性的高级选项中可以随意 的更改MAC地址。如果用户有意无意的更改自己的IP、MAC地址，会引起多方冲

23、突，如 果与网关地址冲突，同一网段内的所有用户都不能使用网络；如果恶意用户发送虚假的 IP、MAC的对应关系，用户的大量上网数据包都落入恶意用户的手中，造成ARP欺骗攻 击。IP、 MAC 地址的盗用对校园网的影响：在用户看来，校园网络是一个很不可靠是会 给我带来很多麻烦的网络，因为大量的IP、MAC冲突的现象导致了用户经常不能使用网 络上的资源，而且，用户在正常工作和学习时候，自己的电脑上会经常弹出 MAC 地址冲 突的对话框。由于担心一些机密信息比如银行卡账户、密码、邮箱密码泄漏，用户会尽 量减少网络的使用，这样，学生、老师对校园网以及网络中心的信心会逐渐减弱，投入 几百万的校园网也就不能

24、充分发挥其服务于教学的作用，造成很大程度上的资源浪费。3. 安全事故反生的时候，需要准确定位到用户安全事故发生时候，需要准确定位到用户原因：国家的要求：2002 年，朱镕基签署了 282 号令，要求各大 INTERNET 运营机构（包 括高校）必须要保存 60 天的用户上网记录，以待相关部门审计。校园网正常运行的需求：如果说不能准确的定位到用户，学生会在网络中肆无忌弹 进行各种非法的活动，会使得校园网变成“黑客”娱乐的天堂，更严重的是，如果当某 个学生在校外的某个站点发布了大量涉及政治的比如法轮功的言论，这时候公安部门的 网络信息安全监察科找到我们的时候，我们无法处理，学校或者说网络中心只有替

25、学生 背这个黑锅。4. 安全事故发生时候，不能准确定位到用户的影响：一旦发生这种涉及到政治的安全事情发生后，很容易在社会上广泛传播，上级主管 部门会对学校做出处理；同时也会大大降低学校在社会上的影响力，降低家长、学生对 学校的满意度，对以后学生的招生也是大有影响的。5 用户上网时间的控制无法控制学生上网时间的影响：如果缺乏有效的机制来限制用户的上网时间，学生 可能会利用一切机会上网，会旷课。学生家长会对学校产生强烈的不满，会认为学校及 其的不负责任，不是在教书育人。这对学校的声誉以及学校的长期发展是及其不利的。6、用户网络权限的控制在校园网中，不同用户的访问权限应该是不一样的，比如学生应该只能

26、够访问资源 服务器，上网，不能访问办公网络、财务网络。办公网络的用户因该不能访问财务网络。 因此，需要对用户网络权限进行严格的控制。7、各种网络攻击的有效屏蔽校园网中常见的网络攻击比如MAC FLOOD、SYN FLOOD、DOS攻击、扫描攻击、ARP 欺骗攻击、流量攻击、非法组播源、非法DHCP服务器及DHCP攻击、窃取交换机的管理 员密码、发送大量的广播报文，这些攻击的存在，会扰乱网络的正常运行，降低了校园 网的效率。2.3.2 某校园网网络安全方案设计思想2.3.2.1 安全到边缘的设计思想用户在访问网络的过程中，首先要经过的就是交换机，如果我们能在用户试图进入 网络的时候，也就是在接入

27、层交换机上部署网络安全无疑是达到更好的效果。2.3.2.2 全局安全的设计思想H3c提倡的是从全局的角度来把控网络安全，安全不是某一个设备的事情，应该让 网络中的所有设备都发挥其安全功能，互相协作，形成一个全民皆兵的网络，最终从全 局的角度把控网络安全。2.3.2.3 全程安全的设计思想用户的网络访问行为可以分为三个阶段，包括访问网络前、访问网络的时候、访问 网络后。对着每一个阶段，都应该有严格的安全控制措施。2.3.3 某校园网网络安全方案H3c结合SAM系统和交换机嵌入式安全防护机制设计的特点，从三个方面实现网 络安全：事前的准确身份认证、事中的实时处理、事后的完整审计。2.3.3.1 事

28、前的身份认证对于每一个需要访问网络的用户，我们需要对其身份进行验证，身份验证信息包括 用户的用户名/密码、用户PC的IP地址、用户PC的MAC地址、用户PC所在交换机 的IP地址、用户PC所在交换机的端口号、用户被系统定义的允许访问网络的时间，通 过以上信息的绑定，可以达到如下的效果：每一个用户的身份在整个校园网中是唯一，避免了个人信息被盗用.当安全事故发生的时候，只要能够发现肇事者的一项信息比如 IP 地址，就可以准 确定位到该用户，便于事情的处理。只有经过网络中心授权的用户才能够访问校园网，防止非法用户的非法接入，这也 切断了恶意用户企图向校园网中传播网络病毒、黑客程序的通道。2.3.3.

29、2 网络攻击的防范1、常见网络病毒的防范对于常见的比如冲击波、振荡波等对网络危害特别严重的网络病毒，通过部署扩展 的ACL,能够对这些病毒所使用的TCP、UDP的端口进行防范，一旦某个用户不小心 感染上了这种类型的病毒，不会影响到网络中的其他用户，保证了校园网网络带宽的合 理使用。2、未知网络病毒的防范对于未知的网络病毒，通过在网络中部署基于数据流类型的带宽控制功能，为不同 的网络应用分配不同的网络带宽，保证了关键应用比如WEB、课件资源库、邮件数据 流有足够可用的带宽，当新的病毒产生时，不会影响到主要网络应用的运行，从而保证 了网络的高可用性。3、防止IP地址盗用和ARP攻击通过对每一个AR

30、P报文进行深度的检测，即检测ARP报文中的源IP和源MAC是 否和端口安全规则一致，如果不一致，视为更改了 IP 地址，所有的数据包都不能进入 网络，这样可有效防止安全端口上的ARP欺骗，防止非法信息点冒充网络关键设备的 IP （如服务器），造成网络通讯混乱。4、防止假冒IP、MAC发起的MAC FloodSYN Flood攻击通过部署IP、MAC、端口绑定和IP+MAC绑定（只需简单的一个命令就可以实现）。 并实现端口反查功能，追查源IP、MAC访问，追查恶意用户。有效的防止通过假冒源 IP/MAC地址进行网络的攻击，进一步增强网络的安全性。5、非法组播源的屏蔽H3c产品均支持IMGP源端口

31、检查，实现全网杜绝非法组播源，指严格限定IGMP 组播流的进入端口。当IGMP源端口检查关闭时，从任何端口进入的视频流均是合法的， 交换机会把它们转发到已注册的端口。当IGMP源端口检查打开时，只有从路由连接口 进入的视频流才是合法的，交换机把它们转发向已注册的端口；而从非路由连接口进入 的视频流被视为是非法的，将被丢弃。锐捷产品支持IGMP源端口检查，有效控制非法 组播，实现全网杜绝非法组播源，更好地提高了网络的安全性和全网的性能，同时可以 有效杜绝以组播方式的传播病毒.在校园网流媒体应用多元化和潮流下具有明显的优势，而且也是网络带宽合理的分配所 必须的。同时IGMP源端口检查，具有效率更高

32、、配置更简单、更加实用的特点，更加 适用于校园运营网络大规模的应用环境。6、对 DOS 攻击，扫描攻击的屏蔽通过在校园网中部署防止 DOS 攻击，扫描攻击，能够有效的避免这二种攻击行为， 节省了网络带宽，避免了网络设备、服务器遭受到此类攻击时导致的网络中断2.3.3.3 事后的完整审计当用户访问完网络后，会保存有完备的用户上网日志纪录，包括某个用户名，使用 那个IP地址，MAC地址是多少，通过那一台交换机的哪一个端口，什么时候开始访问 网络，什么时候结束，产生了多少流量。如果安全事故发生，可以通过查询该日志，来 唯一的确定该用户的身份，便于了事情的处理。2.4 网络管理设计网络管理包括设备管理

33、、用户管理、网络故障管理2.4.1 网络用户管理网络用户管理见网络运营设计开户部分2.4.2 网络设备管理网络设备的管理通过STARVIEW实现，主要提供以下功能，这些功能也是我们常 见的解决问题的思路：1、网络现状及故障的自动发现和了解STARVIEW能自动发现网络拓扑结构，让网络管理员对整个校园网了如指掌，对 于用户私自挂接的HUB、交换机等设备能及时地发现，提前消除各种安全隐患。对于网络中的异常故障，比如某台交换机的 CPU 利用率过高，某条链路上的流量 负载过大， STARVIEW 都可以以不同的颜色进行显示，方便管理员及时地发现网络中 的异常情况。2、网络流量的查看STARVIEW

34、在网络初步异常的情况下，能进一步的察看网络中的详细流量，从而为 网络故障的定位提供了丰富的数据支持。3、网络故障的信息自动报告STARVIEW支持故障信息的自动告警，当网络设备出现故障时，会通过TRAP的方式 进行告警，网络管理员的界面上能看到各种故障信息，这些信息同样为管理员的故障排 除提供了丰富的信息。4、设备面板管理STARVIEW 的设备面板管理能够很清楚的看到校园中设备的面板，包括端口数量、 状态等等，同时可以很方便的登陆到设备上，进行配置的修改，完善以及各种信息的察 看。5、RGNOS 操作系统的批量升级校园网很大的一个特点就是规模大，需要使用大量的接入层交换机，如果需要对这 些交

35、换机进行升级，一台一台的操作，会给管理员的工作带来很大的压力， STARVIEW 提供的操作系统的批量升级功能，能够很方便的一次对所有的相同型号的交换机进行升 级，加大的较少了网络管理员的工作量。2.4.3 网络故障管理随着校园网用户数的增多，尤其是宿舍网运营的开始，用户网络故障的排除会成为校园网管理工作的重点和难点，传统的网络故障解决方式主要是这样一个流程：图 2-6 网络故障分析对于这种传统的网络故障解决办法，有以下的几个弊端：1、网管员工作量大 当用户出现网络故障时，需要通过电话或者到网络中心进行报修，也就是说网管员经常会被打扰，网管员日常的工作思路会受到影响，再者，接待学生的态度很不好

36、把握，会造成用户对网管员态度有看法，对网络中心的声誉产生负面影响。网管需要手工登记用户故障信息，需要一定的时间，造成效率降低。 需要电话与用户预约故障处理时间，效率低，浪费 较多的网络故障是用户方的问题，网管上门服务价值太低2、网络故障表单管理混乱 手工填写的故障表单容易丢失，表单丢失，意味着故障信息丢失，会严重影响网管A 管理员受理学生来故障，很有可能到时候是 B 管理员来处理，存在信息很难完全 同步的问题，导致故障处理受到影响。重复受理，如果学生今天来报了故障，网络中心没有解决，那第二天，他可能又会 去报修，导致故障重复，干扰网管的正常工作3、故障不能及时处理网管员会优先处理故障信息较多的

37、楼栋，这样的话，对于离中心较远用户或者个别 用户的网络故障，一般会压后处理上面这些用户会觉得受到了不公正的待遇，可能通过海报、校长信箱反映问题针对高校校园网的这种现状，锐捷网络在安全认证计费系统 SAM 中专门开发了网络 故障报修功能，大大提高了网络故障处理得效率，既可以以提高校园网用户的满意度， 又可以让我们的网管员能够有更多的时间对整个校园网进行优化设计，对网络应用系统 的建设进行完善，让校园网更好的为学校服务。A/r c 皀!匸 c第 3 章 ipv63.1 IPv6 设计某作为豫南地区中国教育和科研计算机网的节点，接入下一代互联网以及 Cernet2 是很快就需要实施，因此，整个网络对

38、IPv6的支持就显得尤为关键，IPv6网络设计的目标是:整网支持IPv6,并且要保证IPv6网络的性能和IPv4 一样。常见的 IPv6 网络的设计方案有二种：3.1.1 方案一：隧道方式对设备的要求：一般来说，隧道方式只有核心交换机支持IPv6,且采用NP实现IPv6优势:实现起来简单，只需要核心和教育网之间建立隧道即可。劣势:所有的 IPv6 数据包需要核心交换机来处理，核心交换机处理负载大，整网 IPv6性能低。核心交换机采用NP处理IPv6（NP的性能比ASIC芯片低很多，无法满足千兆万兆的 线速转发），性能低，无法满足IPv6数据包的千兆线速转发核心交换机负载重，导致核心交换机稳定可

39、靠性降低，就象司机长期疲劳驾驶，出 车祸的几率大增。用户可直接攻击核心交换机，整网的安全性、稳定可靠性极低3.1.2 方案二：双栈方式对设备的要求：所有的三层交换机支持IPv6，且采用硬件ASIC芯片来支持IPv6优势:整网形成了分布式三层 IPv6 架构，所有的汇聚、核心交换机支持双栈，自动 识别V4和V6数据包，形成了高效的转发和管理系统。就好比学校分成院系，院系分成 了专业以后，各种工作的开展更方便，学校的管理也更有效。所有的汇聚交换机采用硬件ASIC芯片来支持IPV6，能够实现IPV6数据包的线速转 发，保证了网络的性能。对于用户来说，他能到达的只是汇聚层IPV6交换机，并不知道核心的

40、存在，对整网的核心能起到保护作用。由于汇聚层交换机能支持IPV6，有效缓解了核心上的处理压力，这有利于提高核心 的稳定可靠性 2.7 流量管理系统设计网络中的流量情况是网络是否正常的关键，网络中大量的 P2P 软件的使用，已经对 各种网络业务的正常开展产生了非常严重的影响，有的学校甚至因为P2P软件的泛滥， 直接导致了网络出口的瘫痪。3.2 流量管理系统设计3.2.1 方案一：传统的流量管理方案传统的流量管理方案的做法很多就是简单的封堵这些P2P软件，从而达到控制流量 的目的，这有三大弊端，第一：这些软件之所以有如此强大的生命力，是因为用户通过使用这些软件的确能 快速的获取各种有用的资源，如果

41、简单的通过禁止的方式，用户的意见会非常的大，同 时，各种有用的资源我们很难获取。第二：各种新型的，对网络带宽消耗更大的应用软件也在不断的出现。所谓道高一 尺，魔高一丈，一味的封堵这些软件，我们永远处于被动的局面，显然不能从根本上解 决这个问题。第三：我们无法获取网络中的流量信息，无法为校园网的优化，网络管理，网络故 障预防和排除提供数据支撑。结论没有安全保证的校园网络就像没有刹车的车子跑在高速公路上。互联网络的飞速发 展，对校园网络中师生的工作和学习已经产生了深远的影响，网络在我们的生活中已经 无处不在。但在享受高科技带来的便捷同时，我们需要清醒的认识到，网络安全问题的 日益严重也越来越成为网

42、络应用的巨大障碍，校园网络安全已经到了必须要统一管理和 彻底解决的地步，只有很好的解决了网络安全问题，校园网络的应用才能健康、高速的 发展。对于校园网络的管理人员来讲,一定要提高网络安全意识,加强网络安全技术的掌握, 注重对学生教工的网络安全知识培训,制定一套完整的规章制度来规范上网人员的行为 同时,还应加强学生网络道德教参考文献：1 王群计算机网络安全管理M.人民邮电出版社,2010.2 葛彦强，汪向征.计算机网络安全实用技术M.中国水利水电出版社,2010.3 张友纯.计算机网络安全M.华中科技大学出版社,2006.4 王腊梅.计算机网络安全的防范措施J.武汉市经济管理干部学院学 报,20

43、03,(6).5 曹世平.计算机网络安全分析J.科技经济市场,2006,(11).6 郭绍青, 田富鹏. 局域网构建技术. 北京：高等教育出版社，20067 赵海峰. 局域网组网实务. 北京：电子工业出版社，2007 年8 陈伟.数据通信与计算机网络.武汉:武汉理工大学出版社,2004致谢本论文在电子科技大学成都学院信息管理系何凯霖老师的耐心细致指导下完成。何 老师在该论文的内容编排、字词推敲等方面提出了宝贵意见，在此表示衷心的感谢。同 时，在三年的工作学习生活中，非常感谢各位老师的悉心教导，让我受益匪浅。大学生 活让我在各个方面都有所提高，成长不少。在此不一一言谢。祝各位老师及领导：工作 顺利，事业步步高升。最后感谢电子科技大学成都学院对我的培育！