校園網(wǎng)絡(luò)安全方案設(shè)計(jì)

校園網(wǎng)絡(luò)平安方案設(shè)計(jì)班級(jí)：學(xué)號(hào)：設(shè)計(jì)人：李**設(shè)計(jì)日期：2010-12-22第一章、校園網(wǎng)方案設(shè)計(jì)原那么與需求1.1設(shè)計(jì)原那么

1.充分滿足現(xiàn)在以及未來3-5年內(nèi)的網(wǎng)絡(luò)需求，既要保證校園網(wǎng)能很好的為學(xué)校效勞，又要保護(hù)學(xué)校的投資。

2.強(qiáng)大的平安管理措施，四分建設(shè)、六分管理，管理維護(hù)的好壞是校園網(wǎng)正常運(yùn)行的關(guān)鍵

3.在滿足學(xué)校的需求的前提下，建出自己的特色網(wǎng)絡(luò)的穩(wěn)定性要求

整個(gè)網(wǎng)絡(luò)需要具有高度的穩(wěn)定性，能夠滿足不同用戶對(duì)網(wǎng)絡(luò)訪問的不同要求

網(wǎng)絡(luò)高性能需求

整個(gè)網(wǎng)絡(luò)系統(tǒng)需要具有很高的性能，能夠滿足各種流媒體的無障礙傳輸，保證校園網(wǎng)各種應(yīng)用的暢通無阻

認(rèn)證計(jì)費(fèi)效率高，對(duì)用戶的認(rèn)證和計(jì)費(fèi)不會(huì)對(duì)網(wǎng)絡(luò)性能造成瓶頸

網(wǎng)絡(luò)平安需求

防止IP地址沖突

非法站點(diǎn)訪問過濾

非法言論的準(zhǔn)確追蹤

惡意攻擊的實(shí)時(shí)處理

記錄訪問日志提供完整審計(jì)網(wǎng)絡(luò)管理需求

需要方便的進(jìn)行用戶管理，包括開戶、銷戶、資料修改和查詢

需要能夠?qū)W(wǎng)絡(luò)設(shè)備進(jìn)行集中的統(tǒng)一管理

需要對(duì)網(wǎng)絡(luò)故障進(jìn)行快速高效的處理第二章、校園網(wǎng)方案設(shè)計(jì)整個(gè)網(wǎng)絡(luò)采用二級(jí)的網(wǎng)絡(luò)架構(gòu)：核心、接入。核心采用一臺(tái)RG－S4909，負(fù)責(zé)整個(gè)校園網(wǎng)的數(shù)據(jù)轉(zhuǎn)發(fā)，同時(shí)為接入交換機(jī)S1926F+、內(nèi)部效勞器提供百兆接口。網(wǎng)絡(luò)出口采用RG-WALL1200防火墻。原有網(wǎng)絡(luò)設(shè)備功能較少，無法進(jìn)行平安防護(hù)，已經(jīng)不能滿足應(yīng)用的需求。方案一：不更換核心設(shè)備核心仍然采用銳捷網(wǎng)絡(luò)S4909交換機(jī)，在中校區(qū)增加一臺(tái)SAM效勞器，部署SAM系統(tǒng)，同時(shí)東校區(qū)和西校區(qū)各用3臺(tái)S2126G替換原有S1926F+,其中會(huì)聚交換機(jī)各采用一臺(tái)新增的S2126G，剩余的兩臺(tái)S2126G用于加強(qiáng)對(duì)關(guān)鍵機(jī)器的保護(hù)，中校區(qū)的網(wǎng)絡(luò)結(jié)構(gòu)也做相應(yīng)的調(diào)整，采用現(xiàn)有的兩臺(tái)S2126G做為會(huì)聚設(shè)備，其它交換機(jī)分別接入這兩臺(tái)交換機(jī)，從而實(shí)現(xiàn)所有會(huì)聚層交換機(jī)都能進(jìn)行平安控制，重點(diǎn)區(qū)域在接入層進(jìn)行平安控制的網(wǎng)絡(luò)布局。方案二：更換核心設(shè)備核心采用一臺(tái)銳捷網(wǎng)絡(luò)面向10萬兆平臺(tái)設(shè)計(jì)的多業(yè)務(wù)IPV6路由交換機(jī)RG-S8606，負(fù)責(zé)整個(gè)校園網(wǎng)的數(shù)據(jù)轉(zhuǎn)發(fā)。在中校區(qū)增加一臺(tái)SAM效勞器，部署SAM系統(tǒng)，同時(shí)東校區(qū)和西校區(qū)各用3臺(tái)S2126G替換原有S1926F+。將原有的S4909放到東校區(qū)做為會(huì)聚設(shè)備，下接三臺(tái)S2126G實(shí)現(xiàn)平安控制，其它二層交換機(jī)分別接入相應(yīng)的S2126G。西校區(qū)會(huì)聚采用一臺(tái)S2126G，剩余兩臺(tái)S2126G用于保護(hù)重點(diǎn)機(jī)器，其它交換機(jī)接入對(duì)應(yīng)的S2126G。中校區(qū)的網(wǎng)絡(luò)結(jié)構(gòu)也做相應(yīng)的調(diào)整，采用現(xiàn)有的兩臺(tái)S2126G做為會(huì)聚設(shè)備，其它交換機(jī)分別接入這兩臺(tái)交換機(jī)，從而實(shí)現(xiàn)所有會(huì)聚層交換機(jī)都能進(jìn)行平安控制，重點(diǎn)區(qū)域在接入層進(jìn)行平安控制的網(wǎng)絡(luò)布局。骨干網(wǎng)絡(luò)由RG-S8606構(gòu)成，核心交換機(jī)RG-S8606主要具有5特性：

骨干網(wǎng)帶寬設(shè)計(jì)：千兆骨干，可平滑升級(jí)到萬兆整個(gè)骨干網(wǎng)采用千兆雙規(guī)線路的設(shè)計(jì)，二條線路通過VRRP冗余路由協(xié)議和OSPF動(dòng)態(tài)路由協(xié)議實(shí)現(xiàn)負(fù)載分擔(dān)和冗余備份，以后，隨著網(wǎng)絡(luò)流量的增加，可以將鏈路升級(jí)到萬兆。

2、骨干設(shè)備的平安設(shè)計(jì)：CSS平安體系架構(gòu)3、CSS之硬件CPPCPP即CPUProtectPolicy，RG-S8606采用硬件來實(shí)現(xiàn)，CPP提供管理模塊和線卡CPU的保護(hù)功能，對(duì)發(fā)往CPU的數(shù)據(jù)流進(jìn)行帶寬限制〔總帶寬、QOS隊(duì)列帶寬、類型報(bào)文帶寬〕，這樣，對(duì)于ARP攻擊的數(shù)據(jù)流、針對(duì)CPU的網(wǎng)絡(luò)攻擊和病毒數(shù)據(jù)流，RG-S8606分配給其的帶寬非常的有限，不會(huì)影響其正常工作。

由于銳捷10萬兆產(chǎn)品RG-S8606采用硬件的方式實(shí)現(xiàn)，不影響整機(jī)的運(yùn)行效率

4、CSS之SPOH技術(shù)

現(xiàn)在的網(wǎng)絡(luò)需要更平安、需要為不同的業(yè)務(wù)提供不同的處理優(yōu)先級(jí)，這樣，大量的ACL和QOS需要部署，需要核心交換機(jī)來處理，而這些應(yīng)用屬于對(duì)交換機(jī)硬件資源消耗非常大的，核心交換機(jī)RG-S8606通過在交換機(jī)的每一個(gè)用戶端口上增加一個(gè)FFP(快速過濾處理器)，專門用來處理ACL和QOS，相當(dāng)于把交換機(jī)的每一個(gè)端口都變成了一臺(tái)獨(dú)立的交換機(jī)，可以保證在非常復(fù)雜的網(wǎng)絡(luò)環(huán)境中核心交換機(jī)的高性能。1、網(wǎng)絡(luò)病毒的防范病毒產(chǎn)生的原因：某校園網(wǎng)很重要的一個(gè)特征就是用戶數(shù)比擬多，會(huì)有很多的PC機(jī)缺乏有效的病毒防范手段，這樣，當(dāng)用戶在頻繁的訪問INTERNET的時(shí)候，通過局域網(wǎng)共享文件的時(shí)候，通過U盤，光盤拷貝文件的時(shí)候，系統(tǒng)都會(huì)感染上病毒，當(dāng)某個(gè)學(xué)生感染上病毒后，他會(huì)向校園網(wǎng)的每一個(gè)角落發(fā)送，發(fā)送給其他用戶，發(fā)送給效勞器。病毒對(duì)校園網(wǎng)的影響：校園網(wǎng)萬兆、千兆、百兆的網(wǎng)絡(luò)帶寬都被大量的病毒數(shù)據(jù)包所消耗，用戶正常的網(wǎng)絡(luò)訪問得不到響應(yīng)，辦公平臺(tái)不能使用；資源庫(kù)、VOD不能點(diǎn)播；INTERNET上不了，學(xué)生、老師面臨著看著豐富的校園網(wǎng)資源卻不能使用的為難境地。2、防止IP、MAC地址的盜用IP、MAC地址的盜用的原因：某校園網(wǎng)采用靜態(tài)IP地址方案，如果缺乏有效的IP、MAC地址管理手段，用戶可以隨意的更改IP地址，在網(wǎng)卡屬性的高級(jí)選項(xiàng)中可以隨意的更改MAC地址。如果用戶有意無意的更改自己的IP、MAC地址，會(huì)引起多方?jīng)_突，如果與網(wǎng)關(guān)地址沖突，同一網(wǎng)段內(nèi)的所有用戶都不能使用網(wǎng)絡(luò)；如果惡意用戶發(fā)送虛假的IP、MAC的對(duì)應(yīng)關(guān)系，用戶的大量上網(wǎng)數(shù)據(jù)包都落入惡意用戶的手中，造成ARP欺騙攻擊。IP、MAC地址的盜用對(duì)校園網(wǎng)的影響：在用戶看來，校園網(wǎng)絡(luò)是一個(gè)很不可靠是會(huì)給我?guī)砗芏嗦闊┑木W(wǎng)絡(luò)，因?yàn)榇罅康腎P、MAC沖突的現(xiàn)象導(dǎo)致了用戶經(jīng)常不能使用網(wǎng)絡(luò)上的資源，而且，用戶在正常工作和學(xué)習(xí)時(shí)候，自己的電腦上會(huì)經(jīng)常彈出MAC地址沖突的對(duì)話框。由于擔(dān)憂一些機(jī)密信息比方銀行卡賬戶、密碼、郵箱密碼泄漏，用戶會(huì)盡量減少網(wǎng)絡(luò)的使用，這樣，學(xué)生、老師對(duì)校園網(wǎng)以及網(wǎng)絡(luò)中心的信心會(huì)逐漸減弱，投入幾百萬的校園網(wǎng)也就不能充分發(fā)揮其效勞于教學(xué)的作用，造成很大程度上的資源浪費(fèi)。3、平安事故發(fā)生時(shí)候，需要準(zhǔn)確定位到用戶平安事故發(fā)生時(shí)候，需要準(zhǔn)確定位到用戶原因：

國(guó)家的要求：2002年，朱镕基簽署了282號(hào)令，要求各大INTERNET運(yùn)營(yíng)機(jī)構(gòu)〔包括高?！潮仨氁４?0天的用戶上網(wǎng)記錄，以待相關(guān)部門審計(jì)。

校園網(wǎng)正常運(yùn)行的需求：如果說不能準(zhǔn)確的定位到用戶，學(xué)生會(huì)在網(wǎng)絡(luò)中肆無忌彈進(jìn)行各種非法的活動(dòng)，會(huì)使得校園網(wǎng)變成“黑客”娛樂的天堂，更嚴(yán)重的是，如果當(dāng)某個(gè)學(xué)生在校外的某個(gè)站點(diǎn)發(fā)布了大量涉及政治的比方法輪功的言論，這時(shí)候公安部門的網(wǎng)絡(luò)信息平安監(jiān)察科找到我們的時(shí)候，我們無法處理，學(xué)?；蛘哒f網(wǎng)絡(luò)中心只有替學(xué)生背這個(gè)黑鍋。4、平安事故發(fā)生時(shí)候，不能準(zhǔn)確定位到用戶的影響：一旦發(fā)生這種涉及到政治的平安事情發(fā)生后，很容易在社會(huì)上廣泛傳播，上級(jí)主管部門會(huì)對(duì)學(xué)校做出處理；同時(shí)也會(huì)大大降低學(xué)校在社會(huì)上的影響力，降低家長(zhǎng)、學(xué)生對(duì)學(xué)校的滿意度，對(duì)以后學(xué)生的招生也是大有影響的。5、用戶上網(wǎng)時(shí)間的控制無法控制學(xué)生上網(wǎng)時(shí)間的影響：如果缺乏有效的機(jī)制來限制用戶的上網(wǎng)時(shí)間，學(xué)生可能會(huì)利用一切時(shí)機(jī)上網(wǎng)，會(huì)曠課。學(xué)生家長(zhǎng)會(huì)對(duì)學(xué)校產(chǎn)生強(qiáng)烈的不滿，會(huì)認(rèn)為學(xué)校及其的不負(fù)責(zé)任，不是在教書育人。這對(duì)學(xué)校的聲譽(yù)以及學(xué)校的長(zhǎng)期開展是及其不利的。6、用戶網(wǎng)絡(luò)權(quán)限的控制在校園網(wǎng)中，不同用戶的訪問權(quán)限應(yīng)該是不一樣的，比方學(xué)生應(yīng)該只能夠訪問資源效勞器，上網(wǎng)，不能訪問辦公網(wǎng)絡(luò)、財(cái)務(wù)網(wǎng)絡(luò)。辦公網(wǎng)絡(luò)的用戶因該不能訪問財(cái)務(wù)網(wǎng)絡(luò)。因此，需要對(duì)用戶網(wǎng)絡(luò)權(quán)限進(jìn)行嚴(yán)格的控制。

7、各種網(wǎng)絡(luò)攻擊的有效屏蔽校園網(wǎng)中常見的網(wǎng)絡(luò)攻擊比方MACFLOOD、SYNFLOOD、DOS攻擊、掃描攻擊、ARP欺騙攻擊、流量攻擊、非法組播源、非法DHCP效勞器及DHCP攻擊、竊取交換機(jī)的管理員密碼、發(fā)送大量的播送報(bào)文，這些攻擊的存在，會(huì)擾亂網(wǎng)絡(luò)的正常運(yùn)行低了校園網(wǎng)的效率。用戶在訪問網(wǎng)絡(luò)的過程中，首先要經(jīng)過的就是交換機(jī)，如果我們能在用戶試圖進(jìn)入網(wǎng)絡(luò)的時(shí)候，也就是在接入層交換機(jī)上部署網(wǎng)絡(luò)平安無疑是到達(dá)更好的效果。銳捷網(wǎng)絡(luò)提倡的是從全局的角度來把控網(wǎng)絡(luò)平安，平安不是某一個(gè)設(shè)備的事情，應(yīng)該讓網(wǎng)絡(luò)中的所有設(shè)備都發(fā)揮其平安功能，互相協(xié)作，形成一個(gè)全民皆兵的網(wǎng)絡(luò)，最終從全局的角度把控網(wǎng)絡(luò)平安。用戶的網(wǎng)絡(luò)訪問行為可以分為三個(gè)階段，包括訪問網(wǎng)絡(luò)前、訪問網(wǎng)絡(luò)的時(shí)候、訪問網(wǎng)絡(luò)后。對(duì)著每一個(gè)階段，都應(yīng)該有嚴(yán)格的平安控制措施。銳捷網(wǎng)絡(luò)結(jié)合SAM系統(tǒng)和交換機(jī)嵌入式平安防護(hù)機(jī)制設(shè)計(jì)的特點(diǎn)，從三個(gè)方面實(shí)現(xiàn)網(wǎng)絡(luò)平安：事前的準(zhǔn)確身份認(rèn)證、事中的實(shí)時(shí)處理、事后的完整審計(jì)。對(duì)于每一個(gè)需要訪問網(wǎng)絡(luò)的用戶，我們需要對(duì)其身份進(jìn)行驗(yàn)證，身份驗(yàn)證信息包括用戶的用戶名/密碼、用戶PC的IP地址、用戶PC的MAC地址、用戶PC所在交換機(jī)的IP地址、用戶PC所在交換機(jī)的端口號(hào)、用戶被系統(tǒng)定義的允許訪問網(wǎng)絡(luò)的時(shí)間，通過以上信息的綁定，可以到達(dá)如下的效果：

每一個(gè)用戶的身份在整個(gè)校園網(wǎng)中是唯一，防止了個(gè)人信息被盜用.

當(dāng)平安事故發(fā)生的時(shí)候，只要能夠發(fā)現(xiàn)肇事者的一項(xiàng)信息比方IP地址，就可以準(zhǔn)確定位到該用戶，便于事情的處理。

只有經(jīng)過網(wǎng)絡(luò)中心授權(quán)的用戶才能夠訪問校園網(wǎng)，防止非法用戶的非法接入，這也切斷了惡意用戶企圖向校園網(wǎng)中傳播網(wǎng)絡(luò)病毒、黑客程序的通道。1、常見網(wǎng)絡(luò)病毒的防范對(duì)于常見的比方?jīng)_擊波、振蕩波等對(duì)網(wǎng)絡(luò)危害特別嚴(yán)重的網(wǎng)絡(luò)病毒，通過部署擴(kuò)展的ACL，能夠?qū)@些病毒所使用的TCP、UDP的端口進(jìn)行防范，一旦某個(gè)用戶不小心感染上了這種類型的病毒，不會(huì)影響到網(wǎng)絡(luò)中的其他用戶，保證了校園網(wǎng)網(wǎng)絡(luò)帶寬的合理使用。2、未知網(wǎng)絡(luò)病毒的防范對(duì)于未知的網(wǎng)絡(luò)病毒，通過在網(wǎng)絡(luò)中部署基于數(shù)據(jù)流類型的帶寬控制功能，為不同的網(wǎng)絡(luò)應(yīng)用分配不同的網(wǎng)絡(luò)帶寬，保證了關(guān)鍵應(yīng)用比方WEB、課件資源庫(kù)、郵件數(shù)據(jù)流有足夠可用的帶寬，當(dāng)新的病毒產(chǎn)生時(shí)，不會(huì)影響到主要網(wǎng)絡(luò)應(yīng)用的運(yùn)行，從而保證了網(wǎng)絡(luò)的高可用性。3、防止IP地址盜用和ARP攻擊通過對(duì)每一個(gè)ARP報(bào)文進(jìn)行深度的檢測(cè)，即檢測(cè)ARP報(bào)文中的源IP和源MAC是否和端口平安規(guī)那么一致，如果不一致，視為更改了IP地址，所有的數(shù)據(jù)包都不能進(jìn)入網(wǎng)絡(luò)，這樣可有效防止平安端口上的ARP欺騙，防止非法信息點(diǎn)冒充網(wǎng)絡(luò)關(guān)鍵設(shè)備的IP〔如效勞器〕，造成網(wǎng)絡(luò)通訊混亂。4、防止假冒IP、MAC發(fā)起的MACFlood\SYNFlood攻擊通過部署IP、MAC、端口綁定和IP+MAC綁定〔只需簡(jiǎn)單的一個(gè)命令就可以實(shí)現(xiàn)〕。并實(shí)現(xiàn)端口反查功能，追查源IP、MAC訪問，追查惡意用戶。有效的防止通過假冒源IP/MAC地址進(jìn)行網(wǎng)絡(luò)的攻擊，進(jìn)一步增強(qiáng)網(wǎng)絡(luò)的平安性。5、非法組播源的屏蔽銳捷產(chǎn)品均支持IMGP源端口檢查，實(shí)現(xiàn)全網(wǎng)杜絕非法組播源，指嚴(yán)格限定IGMP組播流的進(jìn)入端口。當(dāng)IGMP源端口檢查關(guān)閉時(shí)，從任何端口進(jìn)入的視頻流均是合法的，交換時(shí)機(jī)把它們轉(zhuǎn)發(fā)到已注冊(cè)的端口。當(dāng)IGMP源端口檢查翻開時(shí)，只有從路由連接口進(jìn)入的視頻流才是合法的，交換機(jī)把它們轉(zhuǎn)發(fā)向已注冊(cè)的端口；而從非路由連接口進(jìn)入的視頻流被視為是非法的，將被丟棄。銳捷產(chǎn)品支持IGMP源端口檢查，有效控制非法組播，實(shí)現(xiàn)全網(wǎng)杜絕非法組播源，更好地提高了網(wǎng)絡(luò)的平安性和全網(wǎng)的性能，同時(shí)可以有效杜絕以組播方式的傳播病毒.在校園網(wǎng)流媒體應(yīng)用多元化和潮流下具有明顯的優(yōu)勢(shì)，而且也是網(wǎng)絡(luò)帶寬合理的分配所必須的。同時(shí)IGMP源端口檢查，具有效率更高、配置更簡(jiǎn)單、更加實(shí)用的特點(diǎn)，更加適用于校園運(yùn)營(yíng)網(wǎng)絡(luò)大規(guī)模的應(yīng)用環(huán)境。6、對(duì)DOS攻擊，掃描攻擊的屏蔽通過在校園網(wǎng)中部署防止DOS攻擊，掃描攻擊，能夠有效的防止這二種攻擊行為，節(jié)省了網(wǎng)絡(luò)帶寬，防止了網(wǎng)絡(luò)設(shè)備、效勞器遭受到此類攻擊時(shí)導(dǎo)致的網(wǎng)絡(luò)中斷。當(dāng)用戶訪問完網(wǎng)絡(luò)后，會(huì)保存有完備的用戶上網(wǎng)日志紀(jì)錄，包括某個(gè)用戶名，使用那個(gè)IP地址，MAC地址是多少，通過那一臺(tái)交換機(jī)的哪一個(gè)端口，什么時(shí)候開始訪問網(wǎng)絡(luò)，什么時(shí)候結(jié)束，產(chǎn)生了多少流量。如果平安事故發(fā)生，可以通過查詢?cè)撊罩?，來唯一確實(shí)定該用戶的身份，便于了事情的處理。網(wǎng)絡(luò)管理包括設(shè)備管理、用戶管理、網(wǎng)絡(luò)故障管理網(wǎng)絡(luò)用戶管理見網(wǎng)絡(luò)運(yùn)營(yíng)設(shè)計(jì)開戶局部網(wǎng)絡(luò)設(shè)備的管理通過STARVIEW實(shí)現(xiàn)，主要提供以下功能，這些功能也是我們常見的解決問題的思路：1、網(wǎng)絡(luò)現(xiàn)狀及故障的自動(dòng)發(fā)現(xiàn)和了解STARVIEW能自動(dòng)發(fā)現(xiàn)網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)，讓網(wǎng)絡(luò)管理員對(duì)整個(gè)校園網(wǎng)了如指掌，對(duì)于用戶私自掛接的HUB、交換機(jī)等設(shè)備能及時(shí)地發(fā)現(xiàn)，提前消除各種平安隱患。

對(duì)于網(wǎng)絡(luò)中的異常故障，比方某臺(tái)交換機(jī)的CPU利用率過高，某條鏈路上的流量負(fù)載過大，STARVIEW都可以以不同的顏色進(jìn)行顯示，方便管理員及時(shí)地發(fā)現(xiàn)網(wǎng)絡(luò)中的異常情況。網(wǎng)絡(luò)流量的查看STARVIEW在網(wǎng)絡(luò)初步異常的情況下，能進(jìn)一步的觀察網(wǎng)絡(luò)中的詳細(xì)流量，從而為網(wǎng)絡(luò)故障的定位提供了豐富的數(shù)據(jù)支持。3、網(wǎng)絡(luò)故障的信息自動(dòng)報(bào)告STARVIEW支持故障信息的自動(dòng)告警，當(dāng)網(wǎng)絡(luò)設(shè)備出現(xiàn)故障時(shí)，會(huì)通過TRAP的方式進(jìn)行告警，網(wǎng)絡(luò)管理員的界面上能看到各種故障信息，這些信息同樣為管理員的故障排除提供了豐富的信息。

4、設(shè)備面板管理STARVIEW的設(shè)備面板管理能夠很清楚的看到校園中設(shè)備的面板，包括端口數(shù)量、狀態(tài)等等，同時(shí)可以很方便的登陸到設(shè)備上，進(jìn)行配置的修改，完善以及各種信息的觀察。5、RGNOS操作系統(tǒng)的批量升級(jí)校園網(wǎng)很大的一個(gè)特點(diǎn)就是規(guī)模大，需要使用大量的接入層交換機(jī)，如果需要對(duì)這些交換機(jī)進(jìn)行升級(jí)，一臺(tái)一臺(tái)的操作，會(huì)給管理員的工作帶來很大的壓力，STARVIEW提供的操作系統(tǒng)的批量升級(jí)功能，能夠很方便的一次對(duì)所有的相同型號(hào)的交換機(jī)進(jìn)行升級(jí)，加大的較少了網(wǎng)絡(luò)管理員的工作量。隨著校園網(wǎng)用戶數(shù)的增多，尤其是宿舍網(wǎng)運(yùn)營(yíng)的開始，用戶網(wǎng)絡(luò)故障的排除會(huì)成為校園網(wǎng)管理工作的重點(diǎn)和難點(diǎn)，傳統(tǒng)的網(wǎng)絡(luò)故障解決方式主要是這樣一個(gè)流程：網(wǎng)絡(luò)中的流量情況是網(wǎng)絡(luò)是否正常的關(guān)鍵，網(wǎng)絡(luò)中大量的P2P軟件的使用，已經(jīng)對(duì)各種網(wǎng)絡(luò)業(yè)務(wù)的正常開展產(chǎn)生了非常嚴(yán)重的影響，有的學(xué)校甚至因?yàn)镻2P軟件的泛濫，直接導(dǎo)致了網(wǎng)絡(luò)出口的癱瘓。2.6.1方案一：傳統(tǒng)的流量管理方案?jìng)鹘y(tǒng)的流量管理方案的做法很多就是簡(jiǎn)單的封堵這些P2P軟件，從而到達(dá)控制流量的目的，這有三大弊端，

第一：這些軟件之所以有如此強(qiáng)大的生命力，是因?yàn)橛脩敉ㄟ^使用這些軟件確實(shí)能快速的獲取各種有用的資源，如果簡(jiǎn)單的通過禁止的方式，用戶的意見會(huì)非常的大，同時(shí)，各種有用的資源我們很難獲取。

第二：各種新型的，對(duì)網(wǎng)絡(luò)帶寬消耗更大的應(yīng)用軟件也在不斷的出現(xiàn)。所謂道高一尺，魔高一丈，一味的