从10M、100M、千兆到万兆以太网,以太网技术的发展,在速率呈数量级增长的同时,其应用领域也在不断拓宽。而不同应用领域各自的应用需求,又促进了在这些领域内以太网技术的个性化发展。与此同时,以太网的网络处理器芯片技术和测试手段也在发展和成熟之中。
“以太网技术大全”是以太网相关技术集大成者,包括如下内容:光纤以太网、无线局域网、端到端的以太网、多层交换与负载均衡、网络处理器、运营商级宽带技术、以太网安全、以太网测试以及基于以太网的IP存储等等。
技术的发展总是与某一历史时段特定的应用需求密切相关,以太网技术的发展亦如此。而且,以太网技术的发展向来超前,从未滞后。 光纤以太网
光纤以太网产品可以借助以太网设备采用以太网数据包格式实现WAN通信业务。该技术可以适用于任何光传输网络——光纤直接传输、SDH以及DWDM网络传输。目前,光纤以太网可以实现10Mbps、100Mbps以及1Gbps等标准以太网速度,而达到10Gbps后它更将成为各种业务的亮点。
光纤以太网业务与其他宽带接入(例如DS3)相比更为经济高效,但到目前为止它的使用只限于办公大楼或楼群内已铺设光纤的地方。使用以太网的这种新方法的战略价值不仅仅限于廉价的接入,它既可用于接入网,也可用于服务供应商网络中的本地骨干网,它可以只用在第2层,也可以作为实现第3层业务的有效途径,它可以支持IP、IPX以及其他传统协议。此外,由于在本质上它仍属于LAN,因此可用来帮助服务供应商管理企业LAN及企业LAN和其他网之间的互联。
目前及规划中的光纤以太网设备是以第2层LAN交换机、第3层LAN交换机、SONET设备和DWDM为基础。一些公司正计划推出专为网络运营商设计的光纤以太网交换机,这种交换机具有多种特性,可以尽量确保服务质量(如实现数据包分类和拥塞管理等)。所有未来产品均可能要求下列关键技术和性能:高可靠性、高端口密度、服务质量保证等功能。
限制因素
光纤以太网的灵活性和相对较低的价格使它很受欢迎。但是有一个因素限制了它的直接影响力,即运营商已铺设光纤的大楼或楼群很少。光纤是光纤以太网不可或缺的组件,所以光纤以太网业务只能在已部署光纤的地方,或者可以快捷廉价地铺设新光纤的地方提供。
实现设备
光纤以太网最富吸引力的特点是能够提供价格低廉的业务,因为它的多数设备的成本相对较低。大多数光纤以太网设备包括企业第2层以太网交换机,配备光纤接口。交换式光纤以太网产品通常是基于第2层LAN交换机。但是,有些厂商的方案是基于第三层交换机的。光纤以太网方案使SP能够构建混合网络,其中一些位于第2层,而另一些则是第2/3层的组合。
广泛的用途
光纤以太网能够支持以下业务类型。
● 高带宽Internet接入以及(潜在的)其他通信接入,如帧中继和专线;
● MAN城域网;
● MAN内的透明LAN业务,即固定速率的LAN到LAN通信;
● 存贮区域网(SAN)业务,以太网连接将在本地服务器和远程存储设备之间代替或传输光纤信道连接;
● VPN业务(类似于规划中基于多协议标记转换标准的VPN),该业务是基于802.1p以太网标准;
● 为其他SP提供的业务,用于集合和连接DSL及电缆调制解调器;
● 可管理的LAN业务和可管理的Internet安全性业务。
更多的应用可望相继出现,如光纤以太网话音业务,这意味着光纤以太网将用作向VoIP骨干网传输话音的接入技术。不管是从需求面或者是从供应面来看,整体网络都朝着宽带的脚步迈进,这给予以太网一个很好的发展空间。从技术面来看,二十年来,以太网带宽由十兆、百兆、千兆,一直发展到2002年的万兆,甚至四万兆、十万兆都已经处于研究讨论阶段,这使得以太网技术有了很好的扩展性;从应用面来看,以太网不仅仅只局限在局域网的应用,不仅仅只局限在城域网的应用,万兆以太网更进一步将以太网延伸到广域网的应用,这使得我们过去推动的“全球以太网”概念变得更加实际而可行。若再配合IEEE于2000年底成立的EFM工作组(Ethernet in the First Mile)试图发展的新型宽带接入技术,或者目前已经流行的以太网小区接入、大楼接入,提供端到端的以太网解决方案变得更加可行。从而,不止IP统一了上层网络,以太网也统一了下层网络,透过IP,透过以太网,整个网络端到端形成从接入网、城域网到广域网间无缝的连接,从网络的投资成本、逻辑管理、兼容性、以及端到端的服务质量(QoS),以太网都具有相当的竞争优势。
端到端以太网方案以以太网作为接入技术,不但成本低,而且带宽比现行的Cable Modem、ADSL、ISDN、Modem接入都要高,因此不但可以作为一般用户Internet连接,或者多媒体点播或广播用途,更可以作为企业用户实现VPN虚拟私有专网互联使用; 大型企业各分支机构可以透过端到端的以太网实现企业内部VPN互联,企业与其合作伙伴也可以透过端到端的以太网实现企业外部VPN互联。
对用户或者对运营商来说,找到一个低成本、高带宽、具安全性能的VPN互连方案是个很关键的问题,而其答案其实就在最简单的802.1p/802.1q VLAN标准上头,我们可以采用二层的VLAN技术来提供VPN服务,但是也有几个问题需要解决。
末端用户的带宽管理
不同用户有不同的带宽需求,或者基于使用者付费原则,不同费用等级的用户可以享有不同的带宽,因此接入设备必须支持带宽限制功能。
服务质量(QoS)机制
不同的业务需要不同的服务质量保证,或者不同等级的用户享有不同的服务级别,这些不管是透过二层的802.1p还是三层的IP ToS技术来实现,网络设备都必须能够对流量进行分类、标记、甚至测量或整形,以实现QoS机制。
VLAN的扩展
基于802.1p/802.1q VLAN标准的VLAN数量只有4096个VLAN,对企业组网也许够用,但对运营商提供基于VLAN的VPN服务而言,4096个VPN无法满足大量成长的客户需求,因此必须对VLAN数量做相当的扩展。
目前的Super VLAN技术在原有分组(仅有一个VLAN标记)中再加入一组VLAN标记,使得VLAN数目可以扩展到4096×4096,这就相当于将端对端的VLAN细切成骨干VLAN及边缘VLAN,骨干VLAN类似于ATM中的VPI,而边缘VLAN类似于ATM中的VCI一样。
VLAN的安全性与用户隔离
以二层VLAN作为VPN使用,跨VLAN的互联基本上已被阻断,从而提供了基本的安全功能,运营商甚至可以利用更多的手段如ACL、MAC地址过滤等来加强安全性能。如果有必要对相同VLAN下面的不同用户进行隔离,private VLAN也是可性的方法之一。
生成树协议(STP)的收敛、扩展与分流
以端到端以太网的VLAN技术来提供二层的VPN服务将形成一张大型的二层网络,对STP来讲,不管是冗余链路的收敛时间,网络拓扑结构的扩展或者阻断链路(Block)的带宽利用都将造成很大的影响,因此必须引进快速生成树(RSTP)、超级生成树(Super STP)、VLAN群组生成树(RVGST)等技术来强化生成树协议(STP)在大型网络中的扩展性。
非生成树协议技术
在更大型的网络中也可以考虑采用诸如RPR(Resilient Packet Ring)、MRP(Metro Ring Protocol)等环状拓扑技术或VSRP(Virtual Switch Redundant Protocol)星状拓扑技术来取代生成树协议,从而使得光纤资源得到更多的节省,网络的收敛达到次秒级的水准。
以太网穿越SDH骨干网
端到端以太网穿越骨干网时,并不是所有骨干网都是百兆/千兆以太网所组成的城域网来支撑。更多时候,以太网必须穿越SDH骨干网到达另一边的以太网,因此提供以太网VLAN功能穿越SDH是必需的功能。
经过多年发展,以太网技术基本解决了上面几个主要问题,由于以太网的高度普及和VLAN技术的不断演进,在端到端以太网络中采取二层VLAN技术来实现VPN业务不但简单、低成本、高带宽,而且兼容性特别高,对个别用户或运营商来说,VPN互联增值服务在端到端以太网中是高度可行的方案,客户无需苦苦等待MPLS VPN。
负载均衡技术
TCP/IP 流量的激增,新型网络流量管理设备也相伴产生,这样的设备提供智能内容交换能力,运用此能力可监控网络请求及服务器系统,通过分发访问流量来获得最佳的响应。
Web、内容或第四层至七层交换机这类设备已不再陌生,其利用负载均衡技术, 智能化地将Internet流量转发到应用服务器。更先进的 Web 交换机能够提供基于第七层的流量分发,通过更详细地检查 IP 信息包,并基于 HTTP 报头、URL 和 Cookies 进行转发。针对全球性公司,Web 交换机能够将访问流量分发到位于世界各地的服务器,为用户提供最佳的响应时间和无与伦比的整体可靠性。
SLB 技术
SLB是一种通用术语,是一种能够提供以下功能的技术:最大化提高服务器利用率;为应用提供高整体可用性; 透明地实现网络服务器的负载均衡,使其对用户来说,就像是一个整体;提供易管理性。服务器负载均衡设备使用预测器技术和先进的可配置应用组合,以达到预期的流量分发结果。预测器技术是较低层的技术,其采用统计分配方法来划分到达服务器的数据流量。
进一步的增强使得SLB可基于更高层的 HTTP 协议信息转发流量。现在的服务器负载均衡设备也称 Web 交换机或第四层至七层交换机。
GSLB技术
全局服务器负载均衡或GSLB 是功能更为强大的 SLB实施。只不过SLB是在数据中心操作,而GSLB 是基于全局来进行操作。使用GSLB 不仅能够缩短Web响应时间,而且还可使全球的客户察觉不到服务器的故障。
GSLB 的基本前提是改进互联网中采用的处理流程,将客户机请求匹配到合适的服务器。这可以通过称为 DNS查找的进程来实现。GSLB通过排列 DNS 中所存储的 IP 地址顺序对 DNS 的查找过程进行了改进。排序是根据几种度量方式完成的,这些度量方式可以测试某个 IP 地址对应的特定站点的健康状况。 网络处理器
网络处理器(Network Processor)是一种可编程器件,它特定地应用于通信领域的各种任务,比如包处理、协议分析、路由查找、声音/数据的汇聚、防火墙、QoS等。
网络处理器器件内部通常由若干个微码处理器和若干硬件协处理器组成,多个微码处理器在网络处理器内部并行处理,通过预先编制的微码来控制处理流程。而对于一些复杂的标准的操作(如内存操作、路由表查找算法、QoS的拥塞控制算法、流量调度算法等)则采用硬件协处理器来进一步提高处理性能。从而实现了业务灵活性和高性能的有机结合。
NP具有的优势如下。
1.高性能
在基于网络处理器的硬件平台中,各种算法可以通过硬件实现,内部一般都集成了几个甚至几十个转发微引擎和硬件协处理器、硬件加速器,在实现复杂的拥塞管理、队列调度、流分类和QoS功能的前提下,同样可以达到极高的查找、转发性能,实现“硬转发”。
2.可以灵活扩展的硬件特性
由于NP可以支持编程,一旦有新的技术或者需求出现,可以很方便地通过微码编程实现,系统的“硬件”功能可以通过软件模块(微码)的方式方便地进行添加、删除。所以,对于特殊的用户需求,基于NP的产品可以实现定制开发,即可以通过模块删减开发能满足不同用户需求的产品。
所以NP提供了更快的技术、功能跟进和更加灵活的扩展能力,特别是在新规格、新标准的支持上,基于NP技术构建的产品在当前业界对MPLS/IPv6等等新兴标准的支持中已经明显表现出其优势。
3.高可靠性
基于NP的设备解决方案中,提供了更高的集成度,大部分功能都能使用一个或者两个芯片实现,从而避免了从前通过多个芯片、芯片组系统间配合实现的方式所带来的隐患和功能、性能下降,NP芯片系统转产前都经过了严格的测试和各种抗干扰和破坏性试验,从而使采用NP的系统的可靠性大大提高。
4.丰富的流分类、拥塞管理、队列调度和QoS功能
大多数NP都使用硬件的并行操作方式,很多以前用软件实现时无法保证性能的复杂策略QoS、流操作等等功能,在使用了NP之后,可以更加容易地得到实现,同时,对性能没有影响,这在软件实现和基于ASIC的系统中是难以实现的。
5.管理更加方便有效
NP都提供了和上层CPU标准的接口或者内置管理CPU,可以和其他CPU实现高速通信。NP一般都提供了大量硬件计数器,可以方便地实现各种MIB统计功能,为网管提供支持,而对业务系统而言,没有开销,不会因为复杂、细致的网管功能影响业务系统的性能。
6.可以实现灵活组合
NP作为一种器件,都提供了灵活的配置功能,可以通过NP的不同形式组合或者和其他CPU的组合,实现系统的灵活配置,满足不同设备的需求,方便了系统设计,加快了设备的开发进度。 运营商宽带技术
以太网的成功体现之一就是在电信领域的渗透,不仅仅是电信运营商为了用户的需要提供适应以太网传输需要的技术,同时电信运营商在城域网中使用以太网技术。
以太网透传
LANE:这是一个听似比较久远的技术。在很多利用ATM技术构建数据网络的运营商,会向用户提供这样的服务。以太网可以通过运营商ATM网络实现透明传输。
下一代的SDH/SONET:对于传统电信运营商来说,SDH(欧洲和中国采用的标准)和SONET(北美的标准)是他们传输网络中主要采用的技术体制。很多厂商推出了新的SDH和SONET技术满足用户的高速网络互联的业务需要,实现以太网在SDH/SONET上的透明传输,这类产品正在部署中。
Martini draft:这是一种新兴的IETF标准。MPLS在电信网中得到普遍推广,Martini draft是利用MPLS VPN技术透明传输以太网数据的技术,传输流的VLAN标签与MPLS的标签有映射关系,这一VPN 通道可以利用 MPLS 的流量管理特性来保证质量和实现链路迂回。
透明的局域网服务(TLS) :是一种利用二、三层以太网交换机和802.1Q标准封装协议提供端到端连接的方案,它同时可以提供多点之间的VLAN服务。有些厂商开发了超级汇聚 VLAN 的技术,利用交换机的二次标签技术解决了这一窘境。
运营商使用的以太网技术
光纤以太网:直接在暗光纤上传输以太网业务,用于城区的短距离传送(<70公里)。
RPR(Resilient Packet Ring)以太网:通过以IEEE 802.17标准来充分利用现有SDH环路网络的功能。使以太网业务能够借助SDH网络的恢复功能传输几千公里。
密波分复用以太网:使以太网络可以通过多个波长或多种光波或一根光纤进行传送,从而极大地提高网络容量。
CWDM:与DWDM相比,CWDM更适合于构建城域网络,它在一根光纤中传输的波长数量少,同时CWDM设备成本更低,功耗更低,有些厂商已经推出了交换机使用的CWDM GBIC。
10G以太网:万兆以太网与SONET OC-192帧结构的融合,可以与OC-192电路和SONET/SDH设备一起运行,保护了传统基础设施投资,使供应商能够在不同地区中通过城域网提供端到端以太网。
EPON (Ethernet PON) 和 GPON (Gigabit PON):EPON是点到多点光以太网,可以较低的成本提供较高的带宽。根据光分离比,无源光以太网(EPON)在遵守服务水平协议的同时可以支持30 Mbps的用户带宽,还能够实现100 Mbps或更高的突发流量。EPON可以提供多种经济优势。
Ethernet over VDSL技术:该技术帮助人们利用电话线资源拓展以太网的覆盖。VDSL可以在铜双绞线上提供10Mbps以上的速度,还能够克服ADSL技术的选线率低、速率不稳定等问题。
无线局域网:IEEE802.11a/b/g等无线局域网技术都给电信运营商提供了很好的服务手段,一方面可以提供类似移动数据服务。另一方面可以提供无线的以太网接入服务,或者是做本地的传输服务。
带宽控制:电信运营商使用的以太网设备对带宽控制能力要求很高,不同的交换设备采用的技术不同,且能够提供的带宽控制能力不同,比如初始带宽为64Kbps或者1Mbps,递增的粒度为1Kbps。
远程管理与维护:对于电信运营商来说网络的可维护、可管理性非常重要,一些厂商提供对交换机物理端口、线路进行远程回环测试的功能。另外,配合一些厂商私有的软件,他们可以远程的对一组交换机或者其他以太网产品进行配置、管理、升级。
远程线内供电:IEEE802.3af标准规定了在5类双绞线中对以太网产品进行直流供电。在这一标准公布之前,已经有很多厂商能够提供这样的功能。
QoS:电信运营商对QoS的要求很高,以太网的IEEE802.1p技术结合IP层的DiffServ技术都备受重视。 基于以太网的IP存储
一些使用以太网的存储协议正迅速成为网络存储管理员词典中的内容:FC/IP、Internet SCSI(iSCSI)、Fibre Channel Back Bone (FC-BB)和Internet光纤通道协议(iFCP)。所有这些协议,不管是作为千兆还是万兆以太网部署,都运行在IP上面。
IP存储协议的真正好处是它们不关心基础的传输机制是什么,IP存储不在意WAN连接是否是千兆以太网或者SONET不是点到点。
有200多家厂商正在开发iSCSI解决方案。厂商具有如此之高兴趣的原因之一是IP存储提供了一条在无需基于光纤通道技术的条件下,进入高速增长的存储网络领域的道路。
在存储领域,SCSI的重要不言而喻,作为成熟的技术,它满足了块级数据传输的需求。虽然现在SAN利用串行光纤通道取代了SCSI的并行传送机制,但它仍然使用SCSI协议,保留了SCSI控制器API。
相比之下,IP的技术特点决定了它在块级数据传输上的劣势。另外,IP不能保证数据包从信源传送到目的,SCSI要求数据包不仅到达目的地,还要以准确的次序到达。作为一个折衷方案,人们自然地想到了用IP封装块级数据(iSCSI)或者是用IP把FC SAN连接起来(FCIP)。iSCSI是一个供硬件设备使用的可以在IP基于以太网的IP存储
协议的上层运行的SCSI指令集。简单地说,iSCSI可以实现在IP网络上运行SCSI协议,使其能够在诸如高速千兆以太网上进行路由选择。
iSCSI最适于部署在从光纤通道设备向工作站或服务器传输块级存储数据的工作组中,不过,你可以将iSCSI与FC/IP或iFCP相结合,连接远程办公室和数据中心。 iSCSI使基于IP以太网的服务器可以访问光纤通道SAN。由于iSCSI是一项新技术,因此,它仍将经历定义、互操作性、部署和管理阶段。这就是说,200多家开发iSCSI解决方案的公司的影响以及大量的已有IP网络,将使iSCSI能够对SAN产生真正的影响。
FC/IP是WAN和城域网(MAN)中最常用的存储协议。它非常适用于在地理上分布的存储区域网络(SAN)之间镜像保存数据,它很少(即使有的话)用作一项跨LAN传输存储数据的技术。在FC/IP中,光纤通道帧被FC/IP封装在IP包中。
FC/IP是一项利用TCP/IP协议在IP网络上连接两个SAN的IETF标准。这项协议具有实现纠错和检测的优点:即如果IP网络错误率高的话,它就重试。这是在一条低性能、高错误率的IP网络上连接SAN的理想途径。
FC-BB是光纤通道骨干标准,它定义了跨多种类型的网络连接SAN的方法。FC-BB描述了一种不需要重试方法的IP封装方式:即它依赖于高层的SCSI纠错方法。这种IP封装可以在硬件中完成并可以扩展到数千兆位的速率。惟一的要求是网络必须速度高且错误率低。
在iFCP网关中终结光纤通道会话,并将它转换为iFCP上的TCP/IP会话。这种目的网关接收iFCP信息,启动一次光纤通道会话,然后将iFCP信息转换为光纤通道格式。对于需要保持以太网基础设施的用户来说,iFCP是一项很好的技术。iFCP技术背后的想法是利用无
#p# 处不在的IP网络连接光纤通信设备,缺点是光纤通道网络目前的速度是千兆以太网的两倍的这一事实。因此,目前还不存在定义连接到光纤通道交换机端口的标准。
在以太网络中主要网络元素包括:交换机、路由器、防火墙、服务器和客户端。通过对以太网网络元素和网络本身的测试,可以优化网络结构,排除网络故障,掌握网络性能。以太网的测试也有章可循,如人们熟知的RFC2544/RFC1242、RFC2889/RFC2285、RFC2647,国内的YD/T1099-2001(千兆比以太网交换机设备技术规范)。
RFC2544/1242网络基准测试
在RFC2544/1242中主要定义四个重要指标:吞吐量、延迟、丢包和背靠背,这些指标是评价网络设备的基础,当然也是评价以太网设备的基础,适合于所有以太网互联设备。在测试中,测试条件的设置非常重要,如测试包长、测试时间、测试速率等。在不同的条件下进行测试,测试的结果会有差别。在进行吞吐量、延迟和丢包测试的时候,进行多流的测试更能体现以太网设备支持实际网络流量的性能情况。在多流的测试中,用户可以通过测试仪表仿真成百上千的用户流量,每条流具有不同源/目的MAC地址、源/目的IP地址、协议封装、包长度等。
RFC2285/2889以太网交换机基准测试
RFC2285/2889中定义了以太网交换机测试中的重要测试项目:转发测试、拥塞控制、地址学习速率、地址表容量、错误过滤、广播转发、广播延迟、转发压力等。这些测试指标主要是针对2层以太网交换设备,也是目前国内进行二层以太网交换机测试中使用最广的测试项目。测试的条件涉及到包的长度、测试时间、测试拓扑结构等。
服务质量和规则的测试
正如人们日益关心电信服务质量一样,人们也开始关心以太网的服务质量,关心以太网的可管理性,关心以太网的智能化。目前的以太网设备不仅要求能高质量地对数据进行准确的转发,而且要能够根据设定的规则进行转发。进行QoS和规则测试,首先要根据被测设备(DUT)实施的规则来进行测试,通常也需要进行多流的测试。测试指标包括:吞吐量、丢包和延迟等。
路由测试
路由技术进入以太网是以太网发展的关键,它大大扩大了以太网的应用范围。常见的路由协议有RIP、OSPF、BGP4、IS-IS。路由测试分为控制面测试和数据面测试两个部分。在我们前面介绍的测试都主要是通过数据面测试来完成的。考虑三层交换机和路由器对数据包的转发是根据路由控制来完成的,在路由测试中需要同时进行路由控制和数据流量的测试,需要测试仪表模拟一定规模的路由网络并同时进行流量发生和分析。主要的测试项目包括:路由表容量、会聚时间、吞吐量、延迟等。路由测试中还需要通过仪表来仿真以太网中的路由震荡事件,对以太网设备在这种变化下的性能进行测试。在这种测试中,模拟的路由震荡事件应该尽可能的多。
4~7层测试
4~7层测试的结果往往直接反映对用户的服务质量,如并发TCP/HTTP连接数、响应时间等。对于防火墙类的产品,还需要测试其抗攻击能力和在应用防御规则后实际的性能指标。对于入侵检测系统,需要测试入侵识别率、是否有漏报。服务器测试和防火墙测试可以参见最近《网络世界》进行的比较评测报告。
10GE设备和IPv6测试
对10GE以太网设备进行测试,不仅仅要看端口处理能力,更要看在10GE的速率下,设备进行路由和转发的性能、是否能够进行服务质量的控制。
在以太网上应用IPv6只是时间问题,IPv6的测试目前正得到国内的广泛关注。IPv6的测试包括IPv6协议一致性能的测试、IPv6路由协议一致性的测试、数据转发性能的测试、IPv6路由表容量、IPv6路由性能测试、IPv6 over IPv4/IPv4 over IPv6隧道的测试、混合流量的测试。
在以太网测试中还会涉及到电缆测试,采用高质量的网络电缆对于测试非常重要。在以太网测试中常见的测试仪器包括:电缆测试仪、网络协议分析仪、网络性能分析仪、4~7层仿真和性能分析仪等。 以太网安全
以太网的安全技术一般可以分为访问控制、认证、加密,对交换机管理的安全保护和一些附加的功能。
访问控制
VLAN——这是最传统的以太网安全技术,它通过分割多个广播域,在2层VLAN之间无法互访,VLAN之间的访问需通过三层,可以用更为多样的手段进行过滤和控制,避免一些潜在的安全隐患。
端口隔离——很多厂商的交换机上都支持这一功能,实际上可以理解为VLAN技术的一种扩展,很多交换机把每个端口设为一个VLAN,端口之间在2层不能进行互访。
MAC地址过滤——很多交换机提供了对MAC地址的过滤功能,在交换机中设定了某个主机的MAC地址之后,来自和去向它的数据包将被丢弃,用户可以通过这样的方法对不安全的计算机进行控制。
MAC地址的捆绑——一些交换机有这样的功能,这样就可以将主机的MAC与交换机的端口、VLAN等捆绑在一起。防止外来的PC非法的登录到网络上。
三层ACL——访问控制列表已经越来越广泛地应用在交换机上,原来在三层交换机上,现在已经出现在2层交换机上。
四层ACL——四层访问控制列表可以通过对数据包第四层信息的识别,比如TCP或者UDP端口号的识别,根据策略决定是否丢弃数据包。
认证
IEEE 802.1x——IEEE 802.1x 称为基于端口的访问控制协议,这是业内今年谈论最多的技术。该技术协议实现简单,认证和业务分离。
PPPoE——有人认为是过时的技术,但是在今天的宽带城域网中仍旧普遍使用。
Web/Portal认证——这也是基于业务类型的认证,不需要安装其他客户端软件,只需要浏览器就能完成,就用户来说较为方便。
PEAP—PEAP(Protected Extensible Authentication Protocol)是一项IETF标准,它是IEEE 802.1x的修正,可以用于有线和无线以太网认证工作。这一技术利用TLS(Transport Layer Security),通过设置一个端到端的通道传输用户的认证信息,比如密码等等,而不需要必须在用户的终端上安装证书。这一技术具备更简单的安全架构。
TTLS——用于在无线或者有线以太网中完成身份认证的工作。这一技术与PEAP技术的体系结构相类似,也使用TLS,在认证过程中对用户端的要求相对较低,它与PEAP是相互竞争的技术。
SSH——在一些厂家新推出的交换机产品上已经支持SSH,可以把所有传输的数据进行加密。
管理的安全保护
SNMPv3——具有多种安全处理模块,有极好的安全性和管理功能,弥补了前两个版本在安全方面的不足。
网络设备的访问控制——大多数的交换机都可以通过设置访问密码来防止对交换机非法的访问和控制。另外,用户的telnet或者其他方式的访问,在一定时间内没有使用时,很多交换机都会中断连接,防止他人在网管员不在的情况下对交换机进行操作。
附加功能
VPN——用户在使用基于以太网技术的宽带接入时都可以使用IPSec的VPN技术。
交换机的附加功能——一些领先厂商的交换机上已经有不同的安全模块。有的交换机有一些日志功能,有些交换机还能够对DHCP的过程进行跟踪。无线局域网
无线局域网(WLAN)技术是新世纪最有发展前景的网络技术之一。经过近几年的发展,无线局域技术已经日渐成熟,应用日趋广泛,较低的价格和成熟的产品推动着无线局域网技术从小范围应用进入主流应用。
热点——标准出新
1997年,IEEE 802.11无线局域网标准的制定是无线网络技术发展的一个里程碑。它的颁布使得无线局域网在各种有移动互联接入要求的环境中被用户广泛接受。802.11b是802.11的扩充,规定采用2.4GHz频带,传输速率能够根据应用环境以及其他传输因素从11Mbps自动降到5.5Mbps,或者根据直接序列扩频技术调整到2Mbps和1Mbps,以保证设备正常稳定运行。802.11a在802.11的基础上扩充了物理层,规定该层使用5GHz频带,采用正交频分调制数据,传输速率范围为6Mbps~54Mbps,既可满足室内应用,又能满足室外应用。新近出台的802.11g和802.11b的运行频段相同,都是运行在2.4GHz,且两者完全兼容,在传输速率上有所提高,可达到22Mbps,甚至54Mbps。
旨在完善无线局域网的服务质量,IEEE推出了诸多新标准。802.1h旨在探索802.11a与欧洲HiperLAN2标准之间的一致性,集中关注动态频率选择(Dynamic frequency selection)和传输功率控制(Transmit power control);802.11e 旨在改善和管理服务质量,并提供分级服务;802.11f 致力于内部接入点通信(Inter Access Point Communication)的发展。
焦点——安全性
无线局域网的安全一直是一个焦点。无线网络传播数据所覆盖的区域可能会超出一个组织物理上控制的区域,这样就存在电子破坏(或干扰)的可能性。目前,在基本的WEP安全机制之外,更多的安全机制正在出现和发展之中。
WEP
通过实施 WEP,有可能使用共享密钥认证,通过共享的秘密 WEP加密密钥信息证实身份,不需要公开传输密钥。广播和多点传送信息一般不加密。
SSID (服务组标志符)
它是一个无线网单元的名称。这一信息是在各个用于建立关联的管理帧中携带的。一个终端在某一时间只能与一个接入点关联,而一个接入点却可与多个终端关联。关联是由终端来启动的。
RADIUS认证
它是在认证过程中提供认证信息的安全方法。人们以用户无线MAC地址的形式使用认证信息以批准或拒绝接入网络。 接入点的作用如同一个RADIUS用户,它可收集用户认证信息并把这些信息传送到指定的RADIUS 服务器上。RADIUS 服务器的作用一是接收用户的各种连接请求;二是处理各种请求以鉴别用户;三是通过向用户提供服务所必须的信息对接入点做出响应。
协议和地址过滤
它在无线网络上把接入点配置为“非”转发特定协议,可根据MAC地址(被拒绝的地址)拒绝对有线局域网的接入,也可根据MAC地址有选择地许可对有线局域网的接入。
SNMPv3
只有在 SNMPv3 上才可加密数据并使管理员对鉴别口令、隐私口令、鉴别兼隐私口令进行设置。
802.1x
在IEEE 802.11无线标准委员会内部,对 IEEE 802.1x (基于端口的网络接入控制)所具体指定的各种安全技术的合并工作正在起步。这些工作的目的是在各种交换的局域网端口上提供认证能力,为各种企业局域网提供安全接入的可能性。这些技术也包括鉴定和认证、密钥管理和其他认证及安全预防,如802.11i 将提高安全性和认证机制。
PPP 扩展认证协议(EAP)
EAP是PPP 认证的一种普遍协议,支持多重认证机制。EAP 不会在链路控制阶段选择一个特定的认证机制,而是把这种选择推迟到认证阶段。这就使认证者在确定具体的认证机制之前可获得更多的信息。
快速重置密钥(Rapid Re-Keying)
基于IEEE 802.1x协议,该协议包括用户认证和各种WEP 密钥分布特征。快速重置密钥也使用IEEE 802.1x的周期性重置密钥选择,在接入点,它周期性地生成新的、高质量、伪随机性的、碎片WEP 密钥配对。快速重置密钥使用 802.1x 周期性地把这些密钥传送给各相关用户,这就需要802.1x 的EAP-TLS (扩展认证协议-传输层安全性)认证方法。 VPN
无线用户也是VPN用户,它会创建针对VPN 网关和政策服务器的加密隧道。这将使无线连接具有 VPN 安全特色。
WPA
这是Wi-Fi联盟10月31日最新宣布的无线局域网安全方案,以一个叫Wi-Fi保护接入(WPA)的IEEE标准工作为基础。WPA有两个主要内容,一个是替代WEP的、设计更好的加密系统TKIP,另一个是基于802.1x标准的用户身份认证系统。TKIP是未来的802.11i中的两个加密标准之一,另一个是美国政府新推出的AES,即高级加密标准,但后者只能在未来的Wi-Fi硬件上运行。
至于WPA的身份认证系统,则为WLAN提供了更加安全的接入保护。用户在接入WLAN时,只能与一个无线接入点进行通信,该接入点会将用户的接入请求发往一个特定的注册服务器。只有当该服务器确认了用户的证书——用户名加上口令、生物识别信息(比如指纹)或者智能卡识别——用户才能够进入整个网络。
在目前,这种新标准还没有投入使用。Wi-Fi联盟预计,第一个WPA软件可能要到明年一季度末才能下载使用。到明年年底,该标准将成为Wi-Fi认证的强制性标准。
【以太网技术大全】相关文章:
★ 局域网维护及优化
★ 双网卡的应用
★ 局域网十大故障