中所有的服务器，所以可能会出现些专门攻击 这些服务器的拒绝服务攻击。

另外，不管是还是，都需要使用，网络中的服 务器就是个容易被黑客看中的关键主机。

也就是说，虽然无法对整个网 络进行系统的网络侦察，但在每个的网络中，总有那么几台主机是大 家都知道网络名字的，也可以对这些主机进行攻击。

而且，因为的地 址空间实在是太大了，很多的网络都会使用动态的服务。

而如果 攻击者可以攻占这台动态服务器，就可以得到大量的在线的主机 地址。

另外，因为的地址是位，很不好记，网络管理员可能会常 常使用下好记的地址，这些好记的地址可能会被编辑成个 类似字典的东西，病毒找到主机的可能性小，但猜到主机的可 能性会大些。

而且由于和要共存相当长段时间，很多 网络管理员会把的地址放到地址的后位中，黑客也可能按照 这个方法来猜测可能的在线地址。

所以，对于关键主机的安全需要特 别重视，不然黑客就会从这里入手从而进入整个网络。

所以，网络管理员 在对主机赋予地址时，不应该使用好记的地址，也要尽量对自己网络 中的地址进行随机化，这样会在很大程度上减少这些主机被黑客发现 的机会。

以下这些网络攻击技术，不管是在还是在的网络中都存在， 需要引起高度的重视报文侦听，虽然提供了最为保护报文的 工具，但由于公匙和密匙的问题，在没有配置的情况下，偷看 的报文仍然是可能的应用层的攻击，显而易见，任何针对应用层，如 服务器，数据库服务器等的攻击都将仍然有效中间人攻击，虽然提 供了，还是有可能会遭到中间人的攻击，所以应尽量使用正常的模式 来交换密匙洪水攻击，不论在还是在的网络中，向被攻击的 主机发布大量的网络流量的攻击将是会直存在的，虽然在中，追溯 攻击的源头要比在中容易些。

到的过渡技术 由于的规模以及目前网络中数量庞大的用户和设备， 到的过渡不可能次性实现。

而且，目前许多企业和用户的日常工 作越来越依赖于，它们无法容忍在协议过渡过程中出现的问题。

所以到的过渡必须是个循序渐进的过程，在体验带来的好 处的同时仍能与网络中其余的用户通信。

能否顺利地实现从到 的过渡也是能否取得成功的个重要因素。

实际上，在设计的过程中就已经考虑到了到的过渡问 题，并提供了些特性使过渡过程简化。

例如，地址可以使用兼 容地址，自动由地址产生也可以在的网络上构建隧道，连接 孤岛。

目前针对过渡问题已经提出了许多机制，它们的实现 原理和应用环境各有侧重，这部分里将对过渡的基本策略和机 制做个系统性的介绍。

在过渡的过程中，必须遵循如下的原则和目标 保证和主机之间的互通 在更新过程中避免设备之间的依赖性即个设备的更新不依赖于 其它设备的更新 对于网络管理者和终端用户来说，过渡过程易于理解和实现 过渡可以逐个进行 用户运营商可以自己决定何时过渡以及如何过渡。

主要分三个方面层的过渡策略与技术链路层对的支持 对上层的影响 对于向技术的演进策略，业界提出了许多解决方案。

特别 是组织专门成立了个研究此演变的研究小组，已提交了各 种演进策略草案，并力图使之成为标准。

纵观各种演进策略，主流技术大 致可分如下几类 双栈策略 实现结点与结点互通的最直接的方式是在结点中加入 协议栈。

具有双协议栈的结点称作结点，这些结点既可 以收发分组，也可以收发分组。

它们可以使用与结 点互通，也可以直接使用与结点互通。

双栈技术不需要构造隧 道，但后文介绍的隧道技术中要用到双栈。

结点可以只支持手工配 置隧道，也可以既支持手工配置也支持自动隧道。

隧道技术 在发展初期，必然有许多局部的纯网络，这些网络被 骨干网络隔离开来，为了使这些孤立的岛互通，就采取隧道 技术的方式来解决。

利用穿越现存因特网的隧道技术将许多个孤岛连接起来，逐步扩大的实现范围，这就是目前国际试验 床的计划。

工作机理在网络与网络间的隧道入口处，路由器将 的数据分组封装入中，分组的源地址和目的地址分别是隧道入口 和出口的地址。

在隧道的出口处再将分组取出转发给目的节点。

隧道技术在实践中有四种具体形式构造隧道自动配置隧道组播 隧道以及。

，隧道代理 对于的用户，要通过现有的网络连接网络上，必须 使用隧道技术。

但是手工配置隧道的扩展性很差，的主要目的就是简化 隧道的配置，提供自动的配置手段。

对于已经建立起的来说，使 用技术为网络用户月，神州数码网络全线交换路由产品通过第阶段认 证 年月，神州数码网络成为通过第二阶段金牌认证的第 家中国厂商 金牌增强测试 同任何新技术样的发展也是经历了各种问题。

如基本协议方面目前 图神州数码网络金银牌认证广泛使用的协议有由于路 由头攻击等的出现，威胁到了协议的安全性，并且协议本身在实践中 的发展也需要完善，所以把上述的标准进行了改进和更新包括 修改和补充 ，避免受到路由头攻击的影响。

替换， 完善了邻居发现的协议过程，增强了安全性。

替换，完 善了无状态地址分配的协议交互过程。

替换，升级，完 善了的互联网控制消息协议。

替换，去除 了使用任播地址的限制对前缀等方面的修改。

总体看来协议经过改进，变得更加健壮，进步完美。

目前主要的网络设 备广泛使用还是为改进的，这使得的技术上的进步并没有使用户获得 提升。

为了应对这个挑战全球论坛下的标识程序推出了支持 以上的最新协议的升级测试程序程序，该阶段被称作 第二阶段增强测试。

测试 是动态主机配置协议的版本，协议基本规范由 定义。

相对于无状态地址自动配置协议，属于种有状态地址自动 配置协议。

在有状态地址配置过程中，服务器分配个完整的地址 给主机，并提供服务器地址和域名等其它配置信息，这中间可能通过中继代 理转交报文，而且最终服务器能把分配的地址和客户端的绑定关系 记录在案，从而增强了网络的可管理性。

服务器也能提供无状态 服务，即服务器不分配地址，仅需向主机提供服务器地址和域 名等其它配置信息，主机地址仍然通过路由器公告方式自动生成，这样配合使用就弥补了无状态地址自动配置的缺陷。

协议还提供了 前缀代理的扩展功能，上游路由器可以自动为下游路由器分派地址前缀，从而实 现了层次化网络环境中地址的自动规划。

神州数码网络产品交换机均支持 特性，神州数码网络也是目前业内独家通过认 证的厂商，可以为网络部署实施方案，解决地址分配的难题。

神州数码网络有限公司于年月日全球范围内首获 认证，通过该测试说明中国厂商在协议标准支持方面已跃居世界前 列，特别是全球首次通过的认证项目，难度比般的项目要大几倍，需要世界的 所有测试实验室审核方可通过。

虽然有些公司的产品支持了，但是在实现上对的理解各异，实现 方法也各不相同，使得协议的互操作性较差，甚至些国际知名厂商在此方面实 现的也不够完全。

神州数码网路的网络产品在国际上率先通过 和功能的测试，推动了技术在网络中的再次广泛应用。

图神州数码网络里程碑 安全技术 随着互联网技术的迅速发展，安全问题日益严重，而问题的根源大多是与非 法主机接入有关，针对主机的安全合法接入问题，清华大学于年月提出源址合法性检验草案，该草案主要讲述了的 原理，根据原理在接入设备交换机上 建立基于源地址的绑定关系，从而可以判断从接入设备的指定端口接收到的报文 的源地址的有效性。

神州数码网络公司与清华大学紧密合作，从该草案设计之初 就密切跟踪其进展，根据草案进展逐步开发相应的功能配合清华大学测试，目前 神州数码系列交换机支持草案中涉及的所有功能， 可全面保证终端设备的安全接入。

年月在瑞典召开的会议上，清华 大学针对该草案实现功能的演示就是使用的两台设备与台 设备。

草案中关于的主机合法接入主要包括了与 两部分的内容，下面分别介绍。

利用机制，通过源地址 和锚信息绑定的方式，对端口接入报文进行合法性检测，放行匹配绑定的报文， 丢弃不匹配的报文，以达到对直连链路节点准入控制的目的。

全局启用功能，交换机所有端口上均可建立 绑定，但不下硬件表项即准入控制表项。

端口上启用功能时，该端口上初始化拒绝所有报文除 了源地址为本地链路地址的报文和报文。

当该端口上根据 报文建立个状态为的绑定时，则下发个 ，四元组的准入控制表项，允许符合规则的 报文通过。

关闭端口的功能时，不删除上层绑定表项，只删除下发的准 入控制表项关闭全局的功能时，删除所有的上层绑定表项，同 时删除下发的所有准入控制表项。

如图所示，功能启在接入交换机上，端口 拒绝转发所有数据流量，汇聚交换机配置无状态地址自动配置协议，公 告前缀。

当客户主机接收到来自的公告后，通过无状态地址自动配置协议自动获取前缀为的地址，地址生成后会先发送 报文，探测在当前链路上该地址是否可用。

客户主机若收到 回应表示该地址不可用，反之表示可用。

接入交换机当收到来自客户主机的 后，会为该主机建立绑定，在规定时间内若未探测到回应 的报文，则根据该绑定下发驱动表项，允许转发该源地址 的报文，从而达到客户主机流量的控制接入目的。

图典型应用 在用户不需要认证和使用方式获取地址的环境之下，可以 使用在交换机上绑定用户，用户的 绑定信息可以是通过在用户动态获取地址的过程中获得。

接入 主机获取动态地址之前只能访问和使用本地链路地址 访问本地资源获取动态全球单播地址之后可以访问所有资源。

在这种模式下， 接入交换机能够严格控制接入主机的报文，只有完全匹配 的