关于 IPv6 安全网络的架构分析

全隧道接入到配置了IPSec网关的路由器ZXR10T128A。该路由器作为外部隧道的终结点将外部隧道封装剥除，这时嵌套的内部安全隧道构成了对内部网络的安全隔离。ZXR10 GAR B作为内部隧道的终结点，使得Host C最终接入到部门服务器Host D中。

确保高性能转发的安全加密硬件

大量使用IPSec在提高网络安全的同时，不可避免地导致路由器转发性能和处理性能的劣化。

为了消除这些影响，通常使用ASIC（专用集成电路）实现加密处理，或者通过网络处理器来实现加密处理和转发。以中兴通讯的高端路由器为例，对报文的加密和转发使用专门的网络数据加密接口板，该板由安全处理器和CPLD（可编程逻辑器件）构成主要处理单元。其中，安全处理器完成所要求的IPSec功能，包括对数据进行加/解密、认证、数字签名等；支持DES（数据加密标准）、3DES、AES（先进加密标准）等通用加密算法；支持MD5 （MessageDigestAlgorithm5）、SHA（Secure Hash Algorithm）等散列算法；支持RSA（Rivest Shamir Adleman）签名。性能达到IPSec加密速度（以3DES+MD5/SHA1计）不低于200Mbit/s，签名速度不低于60次/s。

其他安全措施

IPSec提供了网络数据和信息内容的有效性、一致性以及完整性的保证，但是，网络受到的安全威胁是来自多层面的，包括物理层、数据链路层、网络层、传输层和应用层等各个部分。

通常，物理层的威胁来自于设备的不可靠性，诸如板卡的损坏、物理接口的电器特性和电磁兼容环境的劣化等。对这样的安全隐患，可以通过配置冗余设备、冗余线路、安全供电、保障电磁兼容环境以及加强安全管理来防护。

在物理层以上层面，存在的安全隐患主要有来自于针对各种协议的安全威胁，以及意在非法占用网络资源或者耗尽网络资源的安全隐患，诸如双802.1Q封装攻击、广播包攻击、MAC洪泛、生成树攻击等二层攻击，以及虚假的ICMP报文、ICMP洪泛、源地址欺骗、路由振荡等针对三层协议的攻击。

在应用层，主要有针对HTTP、FTP/TFTP、TELNET以及通过电子邮件传播病毒的攻击。对于这些攻击，可以采用的防护手段包括：通过AAA、 TACACS+、RADIUS等安全访问控制协议，控制用户对网络的访问权限，防患针对应用层的攻击；通过MAC地址和IP地址绑定、限制每端口的MAC 地址使用数量、设立每端口广播包流量门限、使用基于端口和VLAN的ACL、建立安全用户隧道等来防范针对二层的攻击；通过路由过滤、对路由信息的加密和认证、定向组播控制、提高路由收敛速度以减轻路由振荡影响等措施，来加强三层网络的安全性。

综上所述，安全的网络是众多安全技术的综合，而IPv6IPSec机制是其中重要的组成部分，提供了协议层面上的一致性解决方案，这也是IPv6相比IPv4的重大优越性。

同时，为了构建安全网络，还应该采取其他安全措施。（1）结合AAA认证、NAT-PT、二/三层MPLSVPN、基于ACL标准的访问列表和静态扩展访问列表、防分片包攻击等来实现安全预防。（2）通过路由过滤、静态路由、策略路由和路由负荷分担来实现安全路由。（3）通过SSHv2 （SecureShell第2版）、SNMPV3（简单网络管理协议第3版）、EXC，提供进程访问安全、线路访问安全。（4）通过分级管理、定制特权级管理等手段来实现网络的安全管理。（5）通过完善的告警、日志和审计功能实现网络时钟的安全。（6）提供访问列表和关键事件的日志、路由协议事件和错误记录等，供网络管理人员进行故障分析、定位和统计。