以太网技术大全
脚本之家
在以太网络中主要网络元素包括:交换机、路由器、防火墙、服务器和客户端。通过对以太网网络元素和网络本身的测试,可以优化网络结构,排除网络故障,掌握网络性能。以太网的测试也有章可循,如人们熟知的RFC2544/RFC1242、RFC2889/RFC2285、RFC2647,国内的YD/T1099-2001(千兆比以太网交换机设备技术规范)。
RFC2544/1242网络基准测试
在RFC2544/1242中主要定义四个重要指标:吞吐量、延迟、丢包和背靠背,这些指标是评价网络设备的基础,当然也是评价以太网设备的基础,适合于所有以太网互联设备。在测试中,测试条件的设置非常重要,如测试包长、测试时间、测试速率等。在不同的条件下进行测试,测试的结果会有差别。在进行吞吐量、延迟和丢包测试的时候,进行多流的测试更能体现以太网设备支持实际网络流量的性能情况。在多流的测试中,用户可以通过测试仪表仿真成百上千的用户流量,每条流具有不同源/目的MAC地址、源/目的IP地址、协议封装、包长度等。
RFC2285/2889以太网交换机基准测试
RFC2285/2889中定义了以太网交换机测试中的重要测试项目:转发测试、拥塞控制、地址学习速率、地址表容量、错误过滤、广播转发、广播延迟、转发压力等。这些测试指标主要是针对2层以太网交换设备,也是目前国内进行二层以太网交换机测试中使用最广的测试项目。测试的条件涉及到包的长度、测试时间、测试拓扑结构等。
服务质量和规则的测试
正如人们日益关心电信服务质量一样,人们也开始关心以太网的服务质量,关心以太网的可管理性,关心以太网的智能化。目前的以太网设备不仅要求能高质量地对数据进行准确的转发,而且要能够根据设定的规则进行转发。进行QoS和规则测试,首先要根据被测设备(DUT)实施的规则来进行测试,通常也需要进行多流的测试。测试指标包括:吞吐量、丢包和延迟等。
路由测试
路由技术进入以太网是以太网发展的关键,它大大扩大了以太网的应用范围。常见的路由协议有RIP、OSPF、BGP4、IS-IS。路由测试分为控制面测试和数据面测试两个部分。在我们前面介绍的测试都主要是通过数据面测试来完成的。考虑三层交换机和路由器对数据包的转发是根据路由控制来完成的,在路由测试中需要同时进行路由控制和数据流量的测试,需要测试仪表模拟一定规模的路由网络并同时进行流量发生和分析。主要的测试项目包括:路由表容量、会聚时间、吞吐量、延迟等。路由测试中还需要通过仪表来仿真以太网中的路由震荡事件,对以太网设备在这种变化下的性能进行测试。在这种测试中,模拟的路由震荡事件应该尽可能的多。
4~7层测试
4~7层测试的结果往往直接反映对用户的服务质量,如并发TCP/HTTP连接数、响应时间等。对于防火墙类的产品,还需要测试其抗攻击能力和在应用防御规则后实际的性能指标。对于入侵检测系统,需要测试入侵识别率、是否有漏报。服务器测试和防火墙测试可以参见最近《网络世界》进行的比较评测报告。
10GE设备和IPv6测试
对10GE以太网设备进行测试,不仅仅要看端口处理能力,更要看在10GE的速率下,设备进行路由和转发的性能、是否能够进行服务质量的控制。
在以太网上应用IPv6只是时间问题,IPv6的测试目前正得到国内的广泛关注。IPv6的测试包括IPv6协议一致性能的测试、IPv6路由协议一致性的测试、数据转发性能的测试、IPv6路由表容量、IPv6路由性能测试、IPv6 over IPv4/IPv4 over IPv6隧道的测试、混合流量的测试。
在以太网测试中还会涉及到电缆测试,采用高质量的网络电缆对于测试非常重要。在以太网测试中常见的测试仪器包括:电缆测试仪、网络协议分析仪、网络性能分析仪、4~7层仿真和性能分析仪等。
以太网安全
以太网的安全技术一般可以分为访问控制、认证、加密,对交换机管理的安全保护和一些附加的功能。
访问控制
VLAN——这是最传统的以太网安全技术,它通过分割多个广播域,在2层VLAN之间无法互访,VLAN之间的访问需通过三层,可以用更为多样的手段进行过滤和控制,避免一些潜在的安全隐患。
端口隔离——很多厂商的交换机上都支持这一功能,实际上可以理解为VLAN技术的一种扩展,很多交换机把每个端口设为一个VLAN,端口之间在2层不能进行互访。
MAC地址过滤——很多交换机提供了对MAC地址的过滤功能,在交换机中设定了某个主机的MAC地址之后,来自和去向它的数据包将被丢弃,用户可以通过这样的方法对不安全的计算机进行控制。
MAC地址的捆绑——一些交换机有这样的功能,这样就可以将主机的MAC与交换机的端口、VLAN等捆绑在一起。防止外来的PC非法的登录到网络上。
三层ACL——访问控制列表已经越来越广泛地应用在交换机上,原来在三层交换机上,现在已经出现在2层交换机上。
四层ACL——四层访问控制列表可以通过对数据包第四层信息的识别,比如TCP或者UDP端口号的识别,根据策略决定是否丢弃数据包。
认证
IEEE 802.1x——IEEE 802.1x 称为基于端口的访问控制协议,这是业内今年谈论最多的技术。该技术协议实现简单,认证和业务分离。
PPPoE——有人认为是过时的技术,但是在今天的宽带城域网中仍旧普遍使用。
Web/Portal认证——这也是基于业务类型的认证,不需要安装其他客户端软件,只需要浏览器就能完成,就用户来说较为方便。
PEAP—PEAP(Protected Extensible Authentication Protocol)是一项IETF标准,它是IEEE 802.1x的修正,可以用于有线和无线以太网认证工作。这一技术利用TLS(Transport Layer Security),通过设置一个端到端的通道传输用户的认证信息,比如密码等等,而不需要必须在用户的终端上安装证书。这一技术具备更简单的安全架构。
TTLS——用于在无线或者有线以太网中完成身份认证的工作。这一技术与PEAP技术的体系结构相类似,也使用TLS,在认证过程中对用户端的要求相对较低,它与PEAP是相互竞争的技术。
SSH——在一些厂家新推出的交换机产品上已经支持SSH,可以把所有传输的数据进行加密。
管理的安全保护
SNMPv3——具有多种安全处理模块,有极好的安全性和管理功能,弥补了前两个版本在安全方面的不足。
网络设备的访问控制——大多数的交换机都可以通过设置访问密码来防止对交换机非法的访问和控制。另外,用户的telnet或者其他方式的访问,在一定时间内没有使用时,很多交换机都会中断连接,防止他人在网管员不在的情况下对交换机进行操作。
附加功能
VPN——用户在使用基于以太网技术的宽带接入时都可以使用IPSec的VPN技术。
交换机的附加功能——一些领先厂商的交换机上已经有不同的安全模块。有的交换机有一些日志功能,有些交换机还能够对DHCP的过程进行跟踪。
无线局域网
无线局域网(WLAN)技术是新世纪最有发展前景的网络技术之一。经过近几年的发展,无线局域技术已经日渐成熟,应用日趋广泛,较低的价格和成熟的产品推动着无线局域网技术从小范围应用进入主流应用。
热点——标准出新
1997年,IEEE 802.11无线局域网标准的制定是无线网络技术发展的一个里程碑。它的颁布使得无线局域网在各种有移动互联接入要求的环境中被用户广泛接受。802.11b是802.11的扩充,规定采用2.4GHz频带,传输速率能够根据应用环境以及其他传输因素从11Mbps自动降到5.5Mbps,或者根据直接序列扩频技术调整到2Mbps和1Mbps,以保证设备正常稳定运行。802.11a在802.11的基础上扩充了物理层,规定该层使用5GHz频带,采用正交频分调制数据,传输速率范围为6Mbps~54Mbps,既可满足室内应用,又能满足室外应用。新近出台的802.11g和802.11b的运行频段相同,都是运行在2.4GHz,且两者完全兼容,在传输速率上有所提高,可达到22Mbps,甚至54Mbps。
旨在完善无线局域网的服务质量,IEEE推出了诸多新标准。802.1h旨在探索802.11a与欧洲HiperLAN2标准之间的一致性,集中关注动态频率选择(Dynamic frequency selection)和传输功率控制(Transmit power control);802.11e 旨在改善和管理服务质量,并提供分级服务;802.11f 致力于内部接入点通信(Inter Access Point Communication)的发展。
焦点——安全性
无线局域网的安全一直是一个焦点。无线网络传播数据所覆盖的区域可能会超出一个组织物理上控制的区域,这样就存在电子破坏(或干扰)的可能性。目前,在基本的WEP安全机制之外,更多的安全机制正在出现和发展之中。
WEP
通过实施 WEP,有可能使用共享密钥认证,通过共享的秘密 WEP加密密钥信息证实身份,不需要公开传输密钥。广播和多点传送信息一般不加密。
SSID (服务组标志符)
它是一个无线网单元的名称。这一信息是在各个用于建立关联的管理帧中携带的。一个终端在某一时间只能与一个接入点关联,而一个接入点却可与多个终端关联。关联是由终端来启动的。
RADIUS认证
它是在认证过程中提供认证信息的安全方法。人们以用户无线MAC地址的形式使用认证信息以批准或拒绝接入网络。 接入点的作用如同一个RADIUS用户,它可收集用户认证信息并把这些信息传送到指定的RADIUS 服务器上。RADIUS 服务器的作用一是接收用户的各种连接请求;二是处理各种请求以鉴别用户;三是通过向用户提供服务所必须的信息对接入点做出响应。
协议和地址过滤
它在无线网络上把接入点配置为“非”转发特定协议,可根据MAC地址(被拒绝的地址)拒绝对有线局域网的接入,也可根据MAC地址有选择地许可对有线局域网的接入。
SNMPv3
只有在 SNMPv3 上才可加密数据并使管理员对鉴别口令、隐私口令、鉴别兼隐私口令进行设置。
802.1x
在IEEE 802.11无线标准委员会内部,对 IEEE 802.1x (基于端口的网络接入控制)所具体指定的各种安全技术的合并工作正在起步。这些工作的目的是在各种交换的局域网端口上提供认证能力,为各种企业局域网提供安全接入的可能性。这些技术也包括鉴定和认证、密钥管理和其他认证及安全预防,如802.11i 将提高安全性和认证机制。
PPP 扩展认证协议(EAP)
EAP是PPP 认证的一种普遍协议,支持多重认证机制。EAP 不会在链路控制阶段选择一个特定的认证机制,而是把这种选择推迟到认证阶段。这就使认证者在确定具体的认证机制之前可获得更多的信息。
快速重置密钥(Rapid Re-Keying)
基于IEEE 802.1x协议,该协议包括用户认证和各种WEP 密钥分布特征。快速重置密钥也使用IEEE 802.1x的周期性重置密钥选择,在接入点,它周期性地生成新的、高质量、伪随机性的、碎片WEP 密钥配对。快速重置密钥使用 802.1x 周期性地把这些密钥传送给各相关用户,这就需要802.1x 的EAP-TLS (扩展认证协议-传输层安全性)认证方法。
VPN
无线用户也是VPN用户,它会创建针对VPN 网关和政策服务器的加密隧道。这将使无线连接具有 VPN 安全特色。
WPA
这是Wi-Fi联盟10月31日最新宣布的无线局域网安全方案,以一个叫Wi-Fi保护接入(WPA)的IEEE标准工作为基础。WPA有两个主要内容,一个是替代WEP的、设计更好的加密系统TKIP,另一个是基于802.1x标准的用户身份认证系统。TKIP是未来的802.11i中的两个加密标准之一,另一个是美国政府新推出的AES,即高级加密标准,但后者只能在未来的Wi-Fi硬件上运行。
至于WPA的身份认证系统,则为WLAN提供了更加安全的接入保护。用户在接入WLAN时,只能与一个无线接入点进行通信,该接入点会将用户的接入请求发往一个特定的注册服务器。只有当该服务器确认了用户的证书——用户名加上口令、生物识别信息(比如指纹)或者智能卡识别——用户才能够进入整个网络。
在目前,这种新标准还没有投入使用。Wi-Fi联盟预计,第一个WPA软件可能要到明年一季度末才能下载使用。到明年年底,该标准将成为Wi-Fi认证的强制性标准。