【正文】 10所示：圖310 IPV6IPV4IPV6當一個IPv6的包經(jīng)過邊界路由器的時候邊界路由器會將IPv6的報文封裝為IPv4的包在隧道種進行傳送，當報文到達對防的時候，在邊界路由器上進行解封裝，還原出原IP6的包，從而實現(xiàn)互通。對于終端的PC機用戶來說也可以實現(xiàn)網(wǎng)絡(luò)的訪問，PC機終端會攜帶IPV6請求包向IPv6接口發(fā)出請求，該報文通過IPv4網(wǎng)絡(luò)時將會直接封裝為IPv4包，當?shù)竭_IPv6接口時，將還原為IPv6包，當接口得到IPv6請求時，會返回其請求的前綴，報文同樣被封裝為IPv4包，當?shù)竭_終端IPv6主機時，會直接還原為IPv6包，并將前綴直接分給終端主機，終端主機結(jié)合自己的后綴，自動配置好IPv6地址，進而實現(xiàn)PC機終端與邊界路由器之間的6to4隧道。（3）雙棧模式即一臺路由器可實現(xiàn)同時處理IPv4以及IPv6兩種方式，如圖311所示：圖311雙棧模式在由同一個物理網(wǎng)絡(luò)當中同時存在兩種模式的IP網(wǎng)絡(luò)，即：IPv6網(wǎng)絡(luò)與IPv4網(wǎng)絡(luò)，IPV6用戶之間可實現(xiàn)互通，同時IPv4用戶亦可在同一張網(wǎng)絡(luò)當中實現(xiàn)互通，這樣每個點的用戶即可以通過核心路由器之間進行IPv4的互通，也可以通過路由進行IPv6的互通，進行IPV6的相關(guān)實驗。第四章 網(wǎng)絡(luò)安全管理為了更好的管理校園網(wǎng)，優(yōu)化網(wǎng)絡(luò)環(huán)境，提高校園網(wǎng)管理水平，解決上網(wǎng)用戶IP地址被盜用及arp病毒泛濫等問題，解決無線接入點非法接入，保證校園網(wǎng)上教學、辦公、科研等工作的正常進行起用認證方式是很好的解決辦法。WEB認證：WEB/Portal 認證方式，各設(shè)備廠商具體實現(xiàn)并不完全一致，但其認證過程可以歸納為：用戶開機并通過DHCP服務(wù)器分配認證IP地址，局端設(shè)備通過對該IP地址進行強制URL訪問到登陸頁面，用戶輸入用戶賬號信息并發(fā)往認證服務(wù)器, 認證服務(wù)器獲得用戶MAC/IP/VLAN ID作為用戶標識，認證服務(wù)器反饋認證成功信息，局端設(shè)備將用戶VLAN ID、用戶端口、用戶IP地址和MAC地址進行可選擇性的綁定并開放用戶的上網(wǎng)功能。這種方式認證和業(yè)務(wù)流也實現(xiàn)了分離，并可以方便地利用WEB服務(wù)器推出Portal和廣告等增值業(yè)務(wù)，對用戶進行業(yè)務(wù)宣傳及業(yè)務(wù)引導。PPP0E認證：PPPoE(基于以太網(wǎng)的點到點協(xié)議)認證方，基于BNAS（寬帶接入服務(wù)器）和PPPoE的認證方法是較早出現(xiàn)也是最常見的一種用戶管理手段?；诙丝诘木W(wǎng)絡(luò)訪問控制技術(shù)，在傳統(tǒng)以太網(wǎng)設(shè)備的基礎(chǔ)上，采用IEEE 、授權(quán)的能力，從而使以太網(wǎng)設(shè)備可以達到電信運營的要求，尤其在寬帶城域網(wǎng)的建設(shè)中可以發(fā)揮重大的作用。RADIUS認證：RADIUS是英文(Remote Authentication Dial In User Service)的縮寫，是網(wǎng)絡(luò)遠程接入設(shè)備的客戶和包含用戶認證與配置信息的服務(wù)器之間信息交換的標準客戶/服務(wù)器模式。它包含有關(guān)用戶的專門文檔，如：用戶名、接入口令、接入權(quán)限等。這是保持遠程接入網(wǎng)絡(luò)的集中認證、授權(quán)、記費和審查的得到接受的標準。RADIUS認證系統(tǒng)包含三個方面：認證部分、客戶協(xié)議以及記費部分,其中： RADIUS 認證部分一般安裝在網(wǎng)絡(luò)中的某臺服務(wù)器上，即RADIUS認證服務(wù)器； 客戶協(xié)議運行在遠程接入設(shè)備上，如：遠程接入服務(wù)器或者路由器。這些RADIUS客戶把認證請求發(fā)送給RADIUS認證服務(wù)器，并按照服務(wù)器發(fā)回的響應(yīng)做出行動； RADIUS記費部分收集統(tǒng)計數(shù)據(jù)，并可以生成有關(guān)與網(wǎng)絡(luò)建立的撥入會話的報告。經(jīng)過對以上認證方式進行對比，為了滿足新網(wǎng)絡(luò)的安全控制，決定使用WEB/Portal：、PPPoE等認證技術(shù)相比，Portal認證技術(shù)具有以下優(yōu)勢：不需要部署客戶端，直接使用WEB頁面認證，使用方便；可以定制“VLAN+端口+IP地址池”粒度級別的個性化認證頁面，同時可以在Portal頁面上開展廣告業(yè)務(wù)、服務(wù)選擇和信息發(fā)布等內(nèi)容，進行業(yè)務(wù)拓展，實現(xiàn)IP網(wǎng)絡(luò)的運營；關(guān)注對用戶的管理，可基于用戶名與VLAN ID/IP/MAC的捆綁識別來認證，并采用Portal server和Portal client之間，BAS和Portal client之間定期發(fā)送握手報文的方式來進行斷網(wǎng)檢測；二次地址方式可以實現(xiàn)靈活的地址分配策略和計費策略，且能節(jié)省公網(wǎng)IP地址；三層認證方式可以跨越網(wǎng)絡(luò)層對用戶作認證，可以在企業(yè)網(wǎng)絡(luò)出口或關(guān)鍵數(shù)據(jù)的入口作訪問控制。圖41 認證流程圖 為了合理利用我們寶貴的帶寬資源，避免不必要的流量產(chǎn)生，保證教學和辦公的正常使用，避免網(wǎng)絡(luò)中的P2P/IM帶寬濫用、網(wǎng)絡(luò)游戲、炒股、多媒體應(yīng)用、非法網(wǎng)站占用高帶寬；對網(wǎng)絡(luò)流量、用戶上網(wǎng)行為進行深入分析與全面觀察，URL過濾，提高流量利用率。 設(shè)備選擇： 經(jīng)過多方考察決定使用H3C SecPath ACG2000M。如圖42所示圖42 H3C SecPath ACG2000M產(chǎn)品特點：強大的 P2P/IM 業(yè)務(wù)監(jiān)控 通過H3C 長期積累的狀態(tài)機檢測技術(shù)，能精確檢測 Thunder （迅雷）、 BitTorrent、 eMule （電騾） 、eDonkey（電驢）、、MSN、PPLive 等近百種 P2P/IM 應(yīng)用。同時，可基于時間、用戶、區(qū)域、應(yīng)用協(xié)議等，對 P2P/IM 應(yīng)用進行告警、限流、干擾或阻斷。 完善的安全審計系統(tǒng) 可對各種 P2P/IM、網(wǎng)絡(luò)游戲、網(wǎng)絡(luò)多媒體、文件共享、郵件收發(fā)、數(shù)據(jù)傳輸?shù)雀鞣N上網(wǎng)行為提供全方面的行為監(jiān)控和記錄；同時，通過綜合分析、檢測用戶網(wǎng)絡(luò)流量與流向趨勢，事后對歷史數(shù)據(jù)進行分析，為用戶提供細粒度的網(wǎng)絡(luò)行為審計管理系統(tǒng)。 強大的過濾功能 通過自定義 IP 地址、主機名、正則表達式等方式設(shè)置 URL 特征庫，支持根據(jù)不同的 URL 策略設(shè)置不同的響應(yīng)方式，支持根據(jù)時間表對不同的 URL 策略設(shè)置不同的響應(yīng)動作，避免保密信息的外泄，免受非法信息的干擾，確保網(wǎng)絡(luò)的健康使用。 豐富的報表 提供業(yè)務(wù)流量趨勢圖、流量分布圖、Top N 用戶列表、Top N 應(yīng)用協(xié)議列表等報表，并支持按照用戶名/用戶組、使用頻度、使用時段、應(yīng)用分類、應(yīng)用協(xié)議、流量大小等進行多維度組合定制報表，使用戶能全面掌握網(wǎng)絡(luò)中的流量、應(yīng)用和業(yè)務(wù)分布，為合理規(guī)劃網(wǎng)絡(luò)、制定流量控制策略提供依據(jù)。 全面地識別“地下”VoIP 支持對 Skype、SIP、中橋、UUCall等近百種協(xié)議或網(wǎng)關(guān)的呼叫識別、阻斷或干擾。目前， H3C是唯一能實現(xiàn)對 Skype在 PCPC、 PCPhone 兩種通信模式進行實時有效控制的廠商。 領(lǐng)先的“一拖 N”清理技術(shù)采用業(yè)界流行的 ID 軌跡檢測技術(shù)、時鐘偏移檢測技術(shù)，結(jié)合多種應(yīng)用層特征檢測技術(shù)如應(yīng)用特征檢測、流量/連接數(shù)統(tǒng)計、TTL 檢測、MAC 地址檢測等，能實時準確的識別出以 NAT、Proxy方式進行共享接入的用戶以及準確的 PC數(shù)量，并實施告警、阻斷等控制措施。 用戶行為分析 采用先進的技術(shù)分析手段，全面分析網(wǎng)絡(luò)應(yīng)用的流量類型和流量流向趨勢，統(tǒng)計網(wǎng)絡(luò)熱點，發(fā)掘業(yè)務(wù)增長點；分析用戶行為，統(tǒng)計用戶興趣，為個性化運營提供依據(jù)，并通過開放的平臺接口，與第三方業(yè)務(wù)平臺對接，提供高附加值業(yè)務(wù)，如在用戶行為興趣分析的基礎(chǔ)上提供定向WEB廣告服務(wù)。 高性能、高可靠性 基于新一代多核 CPU+FPGA硬件架構(gòu)，業(yè)務(wù)與轉(zhuǎn)發(fā)相分離，實現(xiàn)了千兆級線速業(yè)務(wù)處理能力；通過雙電源冗余、掉電保護、二層回退等高可靠性設(shè)計，保證 SecPath ACG在斷電、軟硬件故障或鏈路故障的情況下，網(wǎng)絡(luò)鏈路仍然暢通。 及時的特征庫更新 H3C 專業(yè)安全團隊密切跟蹤應(yīng)用變化，并對應(yīng)用協(xié)議特征庫及時更新；支持在線自動/手動升級方式，升級過程無需重啟系統(tǒng)，不影響系統(tǒng)業(yè)務(wù)運行。產(chǎn)品規(guī)格：（見表41所示）表41 ACG 產(chǎn)品規(guī)格：網(wǎng)絡(luò)設(shè)備安全是保證網(wǎng)絡(luò)設(shè)備在物理上的可靠和安全，主要依靠網(wǎng)絡(luò)設(shè)備本身的安全設(shè)計、雙機冗余系統(tǒng)、冗余存儲等技術(shù)、以及安全管理的意識保證。網(wǎng)絡(luò)的設(shè)備安全問題主要存在于以下幾個方面：u 網(wǎng)絡(luò)硬件設(shè)備本身的不可靠性造成的故障；u 因機房環(huán)境、意外事故（例如：火災(zāi)等）導致的設(shè)備和網(wǎng)路故障問題；u 因機房結(jié)構(gòu)設(shè)計不合理或機房管理不當所導致的主機設(shè)備物理入侵問題。u 無線設(shè)備的防水防盜。針對以上安全隱患，為提高網(wǎng)絡(luò)的物理安全性，主要對策有：選用高可靠性硬件設(shè)備；提高物理設(shè)備單機的可靠性，提高設(shè)備安裝安全性。WLAN開始是作為有線局域網(wǎng)的延伸而存在的，各團體、企事業(yè)單位廣泛地采用了WLAN技術(shù)來構(gòu)建其辦公網(wǎng)絡(luò)。隨著應(yīng)用的進一步發(fā)展，WLAN正逐漸從傳統(tǒng)意義上的局域網(wǎng)技術(shù)發(fā)展成為“公共無線局域網(wǎng)”，成為國際互聯(lián)網(wǎng)寬帶接入手段。無線局域網(wǎng)之間傳遞消息不依賴于物理布線，這無疑給用戶帶來了極大的方便，但同時也使得無線局域網(wǎng)比傳統(tǒng)局域網(wǎng)面臨更多的安全威脅。WEP密鑰的發(fā)布問題　　。，而在實際應(yīng)用中，一般都是手工設(shè)置，并長期固定使用4個可選密鑰之一。因此，當工作站點增多時，手工方法的配置和管理將十分煩瑣并效率低下，而且密鑰一旦丟失，WLAN將無安全性可言。WEP用戶身份認證方法的缺陷　　：開放系統(tǒng)認證和共享密鑰認證。前者是默認的認證方法，任何移動站點都可加入BSS(Basic Service Set，基本服務(wù)集)，并可以跟AP(Access Point，接入點)通信，能“聽到”所有未加密的數(shù)據(jù)，可見，這種方法根本沒有提供認證，當然，也就不存在安全性。后者是一種請求響應(yīng)認證機制：AP在收到工作站點STA的請求接入消息時發(fā)送詢問消息，STA對詢問消息使用共享密鑰進行加密并送回AP，AP解密并校驗消息的完整性，若成功，則允許STA接入WLAN。攻擊者只需抓住加密前后的詢問消息，加以簡單的數(shù)學運算就可得到共享密鑰生成的偽隨機密碼流，然后偽造合法的響應(yīng)消息通過AP認證后接入WLAN。WEP服務(wù)集標識SSID和MAC地址過濾　　WEP服務(wù)集標識SSID由Lucent公司提出，用以對封閉網(wǎng)絡(luò)進行訪問控制。只有與AP有相同的SSID的客戶站點才允許訪問WLAN。MAC地址過濾的想法是AP中存有合法客戶站點的MAC地址列表，拒絕MAC地址不在列表中的站點接入被保護的網(wǎng)絡(luò)。但由于SSID和MAC地址很容易被竊取，因此安全性較低。WEP加密機制的天生脆弱性　　WEP加密機制的天生脆弱性是受網(wǎng)絡(luò)攻擊的最主要原因，目前，消除WEP算法安全性方面缺陷的工作正在加緊進行，其中IEEE Group ，它對現(xiàn)有系統(tǒng)改進相對較小并易于實現(xiàn)。 無線局域網(wǎng)安全技術(shù)一、 早期基本的無線局域網(wǎng)安全技術(shù)無線網(wǎng)卡物理地址（MAC）過濾：每個無線工作站網(wǎng)卡都由惟一的物理地址標示，該物理地址編碼方式類似于以太網(wǎng)物理地址，是48位。網(wǎng)絡(luò)管理員可在無線局域網(wǎng)訪問點AP中手工維護一組允許訪問或不允許訪問的MAC地址列表，以實現(xiàn)物理地址的訪問過濾。如果企業(yè)當中的AP數(shù)量太多，為了實現(xiàn)整個企業(yè)當中所有AP統(tǒng)一的無線網(wǎng)卡MAC地址認證，現(xiàn)在的AP也支持無線網(wǎng)卡MAC地址的集中Radius認證。服務(wù)區(qū)標識符(SSID)匹配：無線工作站必須出示正確的SSID，與無線訪問點AP的SSID相同，才能訪問AP；如果出示的SSID與AP的SSID不同，那么AP將拒絕他通過本服務(wù)區(qū)上網(wǎng)。因此可以認為SSID是一個簡單的口令，從而提供口令認證機制，實現(xiàn)一定的安全。在無線局域網(wǎng)接入點AP上對此項技術(shù)的支持就是可不讓AP廣播其SSID號，這樣無線工作站端就必須主動提供正確的SSID號才能與AP進行關(guān)聯(lián)。有線等效保密（WEP）：有線等效保密（WEP），用于在無線局域網(wǎng)中保護鏈路層數(shù)據(jù)。WEP使用40位鑰匙，采用RSA開發(fā)的RC4對稱加密算法，在鏈路層加密數(shù)據(jù)。WEP加密采用靜態(tài)的保密密鑰，各WLAN終端使用相同的密鑰訪問無線網(wǎng)絡(luò)。WEP也提供認證功能，當加密機制功能啟用，客戶端要嘗試連接上AP時，AP會發(fā)出一個Challenge Packet給客戶端，客戶端再利用共享密鑰將此值加密后送回存取點以進行認證比對，只有正確無誤，才能獲準存取網(wǎng)絡(luò)的資源。40位WEP具有很好的互操作性，所有通過WiFi 組織認證的產(chǎn)品都可以實現(xiàn)WEP互操作?，F(xiàn)在的WEP一般也支持128位的鑰匙，提供更高等級的安全加密。二、 （WPA）之前的安全解決方案端口訪問控制技術(shù)（）和可擴展認證協(xié)議（EAP）：該技術(shù)也是用于無線局域網(wǎng)的一種增強性網(wǎng)絡(luò)安全解決方案。當無線工作站與無線訪問點AP關(guān)聯(lián)后。如果認證通過，則AP為無線工作站打開這個邏輯端口，否則不允許用戶上網(wǎng)。，同時它還作為Radius客戶端，將用戶的認證信息轉(zhuǎn)發(fā)給Radius服務(wù)器?，F(xiàn)主流的PC機操作系統(tǒng)Win XP ?，F(xiàn)在，安全功能比較全的AP在支持IEEE 和Radius的集中認證時支持的可擴展認證協(xié)議類型有：EAP MD5 amp。 TLS、TTLS和PEAP。無線客戶端二層隔離技術(shù)：在電信運營商的公眾熱點場合，為確保不同無線工作站之間的數(shù)據(jù)流隔離，無線接入點AP也可支持其所關(guān)聯(lián)的無線客戶端工作站二層數(shù)據(jù)隔離，確保用戶的安全。VPNOverWireless技術(shù)：目前已廣泛應(yīng)用于廣域網(wǎng)絡(luò)及遠程接入等領(lǐng)域的VPN（Virtual Private Networking）安全技術(shù)也可用于無線局域網(wǎng)。，VPN主要采用DES、3DES等技術(shù)來保障數(shù)據(jù)傳輸?shù)陌踩?。對于安全性要求更高的用戶，是目前較為理想的無線局域網(wǎng)絡(luò)的安全解決方案之一。三、 2003年快速發(fā)展的WPA (WiFi 保護訪問) 技術(shù)在IEEE 標準最終確定前，WPA（WiFi Protected Access）技術(shù)將成為代替WEP的無線安全標準協(xié)議，為IEEE 無線局域網(wǎng)提供更強大的安全性能。，其核心就是IEEE 。新一代的加密技術(shù)TKIP與WEP一樣基于RC4加密算法，且對現(xiàn)有的WEP進行了改進。在現(xiàn)有的WEP加密引擎中增加了“密鑰細分（每發(fā)一個包重新生成一個新的密鑰）”、“消息完整性檢查（MIC）”、“具