乙太網技術
從10M、100M、千兆到萬兆乙太網,乙太網技術的發展,在速率呈數量級增長的同時,其套用領域也在不斷拓寬。而不同套用領域各自的套用需求,又促進了在這些領域內乙太網技術的個性化發展。與此同時,乙太網的網路處理器晶片技術和測試手段也在發展和成熟之中。
「乙太網技術大全」是乙太網相關技術集大成者,包括如下內容:光纖乙太網、無線區域網路、端到端的乙太網、多層交換與負載平衡、網路處理器、運營商級寬帶技術、乙太網安全、乙太網測試以及關於乙太網的IP存儲等等。
技術的發展總是與某一歷史時段特定的套用需求密切相關,乙太網技術的發展亦如此。而且,乙太網技術的發展向來超前,從未滯後。
光纖乙太網
光纖乙太網產品可以借助乙太網設備採用乙太網資料包格式實現WAN通信業務。該技術可以適用於任何光傳輸網路——光纖直接傳輸、SDH以及DWDM網路傳輸。目前,光纖乙太網可以實現10Mbps、100Mbps以及1Gbps等標準乙太網速度,而達到10Gbps後它更將成為各種業務的亮點。
光纖乙太網業務與其他寬帶接入(例如DS3)相比更為經濟高效,但到目前為止它的使用只限於辦公大樓或樓群內已鋪設光纖的地方。使用乙太網的這種新方法的戰略價值不僅僅限於廉價的接入,它既可用於接入網,也可用於服務供應商網路中的本機骨幹網,它可以只用在第2層,也可以作為實現第3層業務的有效途徑,它可以支持IP、IPX以及其他傳統傳輸協定。此外,由於在本質上它仍屬於LAN,因此可用來說明 服務供應商管理企業LAN及企業LAN和其他網之間的互聯。
目前及規劃中的光纖乙太網設備是以第2層LAN交換機、第3層LAN交換機、SONET設備和DWDM為基礎。一些公司正計劃推出專為網路運營商設計的光纖乙太網交換機,這種交換機具有多種特性,可以盡量確保服務品質(如實現資料包分類和擁塞管理等)。所有未來產品均可能要求下列關鍵技術和效能:高可靠性、高連接埠密度、服務品質保證等功能。
限制因素
光纖乙太網的靈活性和相對較低的價格使它很受歡迎。但是有一個因素限制了它的直接影響力,即運營商已鋪設光纖的大樓或樓群很少。光纖是光纖乙太網不可或缺的元件,所以光纖乙太網業務只能在已佈署光纖的地方,或者可以快捷廉價地鋪設新光纖的地方提供。
實現設備
光纖乙太網最富吸引力的特點是能夠提供價格低廉的業務,因為它的多數設備的成本相對較低。大多數光纖乙太網設備包括企業第2層乙太網交換機,配備光纖接頭。交換式光纖乙太網產品通常是關於第2層LAN交換機。但是,有些廠商的方案是關於第三層交換機的。光纖乙太網方案使SP能夠構建混合網路,其中一些位於第2層,而另一些則是第2/3層的組合。
廣泛的用途
光纖乙太網能夠支持以下業務類型。
● 高帶寬Internet接入以及(潛在的)其他通信接入,如畫格中繼和專線;
● MAN城域網;
● MAN內的透明LAN業務,即類BIOS速率的LAN到LAN通信;
● 存貯區域網(SAN)業務,乙太網連接將在本機伺服器和遠端存儲設備之間替代或傳輸光纖信道連接;
● VPN業務(類似於規劃中關於多傳輸協定標記轉換標準的VPN),該業務是關於802.1p乙太網標準;
● 為其他SP提供的業務,用於集合和連接DSL及電纜調製解調器;
● 可管理的LAN業務和可管理的Internet安全性業務。
更多的套用可望相繼出現,如光纖乙太網話音業務,這意味著光纖乙太網將用作向VoIP骨幹網傳輸話音的接入技術。
端到端乙太網
不管是從需求面或者是從供應面來看,整體網路都朝著寬帶的腳步邁進,這給予乙太網一個很好的發展空間。從技術面來看,二十年來,乙太網帶寬由十兆、百兆、千兆,一直發展到2002年的萬兆,甚至四萬兆、十萬兆都已經處於研究討論階段,這使得乙太網技術有了很好的擴展性;從套用面來看,乙太網不僅僅只局限在區域網路的套用,不僅僅只局限在城域網的套用,萬兆乙太網更進一步將乙太網延伸到廣域網的套用,這使得我們過去推動的「全球乙太網」概念變得更加實際而可行。若再配合IEEE於2000年底成立的EFM工作組(Ethernet in the First Mile)試突發展的新型寬帶接入技術,或者目前已經流行的乙太網小區接入、大樓接入,提供端到端的乙太網解決方案變得更加可行。從而,不止IP統一了上層網路,乙太網也統一了下層網路,透過IP,透過乙太網,整個網路端到端形成從接入網、城域網到廣域網間無縫的連接,從網路的投資成本、邏輯管理、相容性、以及端到端的服務品質(QoS),乙太網都具有相當的競爭優勢。
端到端乙太網方案以乙太網作為接入技術,不但成本低,而且帶寬比現行的Cable Modem、ADSL、ISDN、Modem接入都要高,因此不但可以作為一般用戶Internet連接,或者多媒體點播或廣播用途,更可以作為企業用戶實現VPN虛擬私有專網互聯使用; 大型企業各分支機構可以透過端到端的乙太網實現企業內部VPN互聯,企業與其合作夥伴也可以透過端到端的乙太網實現企業外部VPN互聯。
對用戶或者對運營商來說,找到一個低成本、高帶寬、具安全效能的VPN互連方案是個很關鍵的問題,而其答案其實就在最簡單的802.1p/802.1q VLAN標準上頭,我們可以採用二層的VLAN技術來提供VPN服務,但是也有幾個問題需要解決。
末端用戶的帶寬管理
不同用戶有不同的帶寬需求,或者關於使用者付費原則,不同費用等級的用戶可以享有不同的帶寬,因此接入設備必須支持帶寬限制功能。
服務品質(QoS)機制
不同的業務需要不同的服務品質保證,或者不同等級的用戶享有不同的服務級別,這些不管是透過二層的802.1p還是三層的IP ToS技術來實現,網路設備都必須能夠對流量進行分類、標記、甚至測量或整形,以實現QoS機制。
VLAN的擴展
關於802.1p/802.1q VLAN標準的VLAN數量只有4096個VLAN,對企業組網也許夠用,但對運營商提供關於VLAN的VPN服務而言,4096個VPN無法滿足大量成長的客戶需求,因此必須對VLAN數量做相當的擴展。
目前的Super VLAN技術在原有分組(僅有一個VLAN標記)中再加入一組VLAN標記,使得VLAN數目可以擴展到4096×4096,這就相當於將端對端的VLAN細切成骨幹VLAN及邊緣VLAN,骨幹VLAN類似於ATM中的VPI,而邊緣VLAN類似於ATM中的VCI一樣。
VLAN的安全性與用戶隔離
以二層VLAN作為VPN使用,跨VLAN的互聯基本上已被阻斷,從而提供了基本的安全功能,運營商甚至可以利用更多的手段如ACL、MAC位址過濾等來加強安全效能。如果有必要對相同VLAN下面的不同用戶進行隔離,private VLAN也是可性的方法之一。
產生樹傳輸協定(STP)的收斂、擴展與分流以端到端乙太網的VLAN技術來提供二層的VPN服務將形成一張大型的二層網路,對STP來講,不管是冗余鏈路的收斂時間,網路拓撲結構的擴展或者阻斷鏈路(Block)的帶寬利用都將造成很大的影響,因此必須引進快速產生樹(RSTP)、超級產生樹(Super STP)、VLAN群組產生樹(RVGST)等技術來強化產生樹傳輸協定(STP)在大型網路中的擴展性。
非產生樹傳輸協定技術
在更大型的網路中也可以考慮採用諸如RPR(Resilient Packet Ring)、MRP(Metro Ring Protocol)等環狀拓撲技術或VSRP(Virtual Switch Redundant Protocol)星狀拓撲技術來取代產生樹傳輸協定,從而使得光纖資源得到更多的節省,網路的收斂達到次秒級的水準。
乙太網穿越SDH骨幹網
端到端乙太網穿越骨幹網時,並不是所有骨幹網都是百兆/千兆乙太網所組成的城域網來支撐。更多時候,乙太網必須穿越SDH骨幹網到達另一邊的乙太網,因此提供乙太網VLAN功能穿越SDH是必需的功能。
經過多年發展,乙太網技術基本解決了上面幾個主要問題,由於乙太網的高度普及和VLAN技術的不斷演進,在端到端乙太網絡中採取二層VLAN技術來實現VPN業務不但簡單、低成本、高帶寬,而且相容性特別高,對個別用戶或運營商來說,VPN互聯增值服務在端到端乙太網中是高度可行的方案,客戶無需苦苦等待MPLS VPN。(本文作者為Foundry公司亞太區技術經理)
負載平衡技術
黃明泰
TCP/IP
流量的激增,新型網路流量管理設備也相伴產生,這樣的設備提供智能內容交換能力,運用此能力可監控網路請求及伺服器系統,通過分發訪問流量來獲得最佳的回應。
Web、內容或第四層至七層交換機這類設備已不再陌生,其利用負載平衡技術, 智能化地將Internet流量轉發到套用伺服器。更先進的Web 交換機能夠提供關於第七層的流量分發,通過更詳細地檢查 IP 信息包,並關於 HTTP 報頭、URL 和 Cookies 進行轉發。針對全球性公司,Web 交換機能夠將訪問流量分發到位於世界各地的伺服器,為用戶提供最佳的回應時間和無與倫比的整體可靠性。
SLB 技術
SLB是一種通用術語,是一種能夠提供以下功能的技術:最大化提高伺服器利用率;為套用提供高整體可用性; 透明地實現網路伺服器的負載平衡,使其對用戶來說,就像是一個整體;提供易管理性。伺服器負載平衡設備使用預測器技術和先進的可配置套用組合,以達到預期的流量分發結果。預測器技術是較低層的技術,其採用統計分配方法來劃分到達伺服器的資料流量。
進一步的增強使得SLB可關於更高層的 HTTP 傳輸協定信息轉發流量。現在的伺服器負載平衡設備也稱 Web 交換機或第四層至七層交換機。
GSLB技術
全局伺服器負載平衡或GSLB 是功能更為強大的 SLB實施。只不過SLB是在資料中心操作,而GSLB 是關於全局來進行操作。使用GSLB不僅能夠縮短Web回應時間,而且還可使全球的客戶察覺不到伺服器的故障。
GSLB 的基本前提是改進網際網路中採用的處理流程,將客戶端機請求匹配到合適的伺服器。這可以通過稱為DNS搜尋的行程來實現。GSLB通過排列 DNS 中所存儲的 IP 位址順序對DNS的搜尋程序進行了改進。排序是根據幾種度量方式完成的,這些度量方式可以測試某個 IP 位址對應的特定站點的健康狀況。
網路處理器
網路處理器(Network Processor)是一種可編程器件,它特定地套用於通信領域的各種工作,比如包處理、傳輸協定分析、路由搜尋、聲音/資料的匯聚、防火牆、QoS等。
網路處理器器件內部通常由若干個微碼處理器和若乾硬件協處理器組成,多個微碼處理器在網路處理器內部並行處理,通過預先編製的微碼來控制處理流程。而對於一些複雜的標準的操作(如記憶體操作、路由表搜尋算法、QoS的擁塞控制算法、流量調度算法等)則採用硬體協處理器來進一步提高處理效能。從而實現了業務靈活性和高效能的有機結合。
NP具有的優勢如下。
1.高效能
在關於網路處理器的硬體平台中,各種算法可以通過硬體實現,內部一般都集成了幾個甚至幾十個轉發微引擎和硬體協處理器、硬體加速器,在實現複雜的擁塞管理、貯列調度、流分類和QoS功能的前提下,同樣可以達到極高的搜尋、轉發效能,實現「硬轉發」。
2.可以靈活擴展的硬體特性
由於NP可以支持編程,一旦有新的技術或者需求出現,可以很方便地通過微碼編程實現,系統的「硬體」功能可以通過軟體模組(微碼)的方式方便地進行增加、刪除。所以,對於特殊的用戶需求,關於NP的產品可以實現定制開發,即可以通過模組刪減開發能滿足不同用戶需求的產品。
所以NP提供了更快的技術、功能跟進和更加靈活的擴展能力,特別是在新規格、新標準的支持上,關於NP技術構建的產品在當前業界對MPLS/IPv6等等新興標準的支持中已經明顯表現出其優勢。
3.高可靠性
關於NP的設備解決方案中,提供了更高的集成度,大部分功能都能使用一個或者兩個晶片實現,從而避免了從前通過多個晶片、晶片組系統間配合實現的方式所帶來的隱患和功能、效能下降,NP晶片系統轉產前都經過了嚴格的測試和各種抗干擾和破壞性試驗,從而使採用NP的系統的可靠性大大提高。
4.豐富的流分類、擁塞管理、貯列調度和QoS功能
大多數NP都使用硬體的並行操作方式,很多以前用軟體實現時無法保證效能的複雜原則QoS、流操作等等功能,在使用了NP之後,可以更加容易地得到實現,同時,對效能沒有影響,這在軟體實現和關於ASIC的系統中是難以實現的。
5.管理更加方便有效
NP都提供了和上層CPU標準的接頭或者內裝管理CPU,可以和其他CPU實現高速通信。NP一般都提供了大量硬體計數器,可以方便地實現各種MIB統計功能,為網管提供支持,而對業務系統而言,沒有預先配置,不會因為複雜、細緻的網管功能影響業務系統的效能。
6.可以實現靈活組合
NP作為一種器件,都提供了靈活的配置功能,可以通過NP的不同形式組合或者和其他CPU的組合,實現系統的靈活配置,滿足不同設備的需求,方便了系統設計,加快了設備的開發進度。
從現在的情況看網路處理器取得第二層到第七層可編程性和高端線速效能說起來容易,做起來難。此外,為關於網路處理器單元的Web交換機編寫軟體程式碼並不比設計ASIC快很多。節省的費用也沒有那麼顯著,因為在許多情況下,網路處理器單元需要協處理器來處理一些工作負載。
運營商寬帶技術
乙太網的成功體現之一就是在電信領域的滲透,不僅僅是電信運營商為了用戶的需要提供適應乙太網傳輸需要的技術,同時電信運營商在城域網中使用乙太網技術。
乙太網透傳
LANE:這是一個聽似比較久遠的技術。在很多利用ATM技術構建資料網路的運營商,會向用戶提供這樣的服務。乙太網可以通過運營商ATM網路實現透明傳輸。
下一代的SDH/SONET:對於傳統電信運營商來說,SDH(歐洲和中國採用的標準)和SONET(北美的標準)是他們傳輸網路中主要採用的技術體制。很多廠商推出了新的SDH和SONET技術滿足用戶的高速網路互聯的業務需要,實現乙太網在SDH/SONET上的透明傳輸,這類產品正在佈署中。
Martini draft:這是一種新興的IETF標準。MPLS在電信網中得到普遍推廣,Martini draft是利用MPLS VPN技術透明傳輸乙太網資料的技術,傳輸流的VLAN標籤與MPLS的標籤有映射關係,這一VPN 通道可以利用 MPLS 的流量管理特性來保證品質和實現鏈路迂迴。
透明的區域網路服務(TLS)
:是一種利用二、三層乙太網交換機和802.1Q標準封裝傳輸協定提供端到端連接的方案,它同時可以提供多點之間的VLAN服務。有些廠商開發了超級匯聚VLAN 的技術,利用交換機的二次標籤技術解決了這一窘境。
運營商使用的乙太網技術
光纖乙太網:直接在暗光纖上傳輸乙太網業務,用於城區的短距離傳送(<70公里)。
RPR(Resilient Packet Ring)乙太網:通過以IEEE 802.17標準來充分利用現有SDH環路網路的功能。使乙太網業務能夠借助SDH網路的恢復功能傳輸幾千公里。
密波分復用乙太網:使乙太網絡可以通過多個波長或多種光波或一根光纖進行傳送,從而極大地提高網路容量。
CWDM:與DWDM相比,CWDM更適合於構建城域網路,它在一根光纖中傳輸的波長數量少,同時CWDM設備成本更低,功耗更低,有些廠商已經推出了交換機使用的CWDM GBIC。
10G乙太網:萬兆乙太網與SONET
OC-192畫格結構的融合,可以與OC-192電路和SONET/SDH設備一起執行,保護了傳統基礎設施投資,使供應商能夠在不同地區中通過城域網提供端到端乙太網。
EPON (Ethernet PON) 和 GPON (Gigabit PON):EPON是點到多點光乙太網,可以較低的成本提供較高的帶寬。根據光分離比,無源光乙太網(EPON)在遵守服務水準傳輸協定的同時可以支持30Mbps的用戶帶寬,還能夠實現100 Mbps或更高的突發流量。EPON可以提供多種經濟優勢。
Ethernet over
VDSL技術:該技術說明 人們利用電話線資源拓展乙太網的覆蓋。VDSL可以在銅雙絞線上提供10Mbps以上的速度,還能夠克服ADSL技術的選線率低、速率不穩定等問題。
無線區域網路:IEEE802.11a/b/g等無線區域網路技術都給電信運營商提供了很好的服務手段,一方面可以提供類似移動資料服務。另一方面可以提供無線的乙太網接入服務,或者是做本機的傳輸服務。
帶寬控制:電信運營商使用的乙太網設備對帶寬控制能力要求很高,不同的交換設備採用的技術不同,且能夠提供的帶寬控制能力不同,比如初始帶寬為64Kbps或者1Mbps,遞增的粒度為1Kbps。
遠端管理與維護:對於電信運營商來說網路的可維護、可管理性非常重要,一些廠商提供對交換機物理連接埠、線路進行遠端迴環測試的功能。另外,配合一些廠商私有的軟體,他們可以遠端的對一組交換機或者其他乙太網產品進行配置、管理、昇級。
遠端線內供電:IEEE802.3af標準規定了在5類雙絞線中對乙太網產品進行直流供電。在這一標準公佈之前,已經有很多廠商能夠提供這樣的功能。
QoS:電信運營商對QoS的要求很高,乙太網的IEEE802.1p技術結合IP層的DiffServ技術都備受重視。
關於乙太網的IP存儲
一些使用乙太網的存儲傳輸協定正迅速成為網路存儲管理員詞典中的內容:FC/IP、Internet SCSI(iSCSI)、FibreChannel Back Bone (FC-BB)和Internet光纖通道傳輸協定(iFCP)。所有這些傳輸協定,不管是作為千兆還是萬兆乙太網佈署,都執行在IP上面。
IP存儲傳輸協定的真正好處是它們不關心基礎的傳輸機制是什麼,IP存儲不在意WAN連接是否是千兆乙太網或者SONET不是點到點。
有200多家廠商正在開發iSCSI解決方案。廠商具有如此之高興趣的原因之一是IP存儲提供了一條在無需關於光纖通道技術的條件下,進入高速增長的存儲網路領域的道路。
在存儲領域,SCSI的重要不言而喻,作為成熟的技術,它滿足了塊級資料傳輸的需求。雖然現在SAN利用串行光纖通道取代了SCSI的並行傳送機制,但它仍然使用SCSI傳輸協定,保留了SCSI控制器API。
相比之下,IP的技術特點決定了它在塊級資料傳輸上的劣勢。另外,IP不能保證資料包從信源傳送到目的,SCSI要求資料包不僅到達目的地,還要以準確的次序到達。作為一個折衷方案,人們自然地想到了用IP封裝塊級資料(iSCSI)或者是用IP把FC SAN連接起來(FCIP)。iSCSI是一個供硬體設備使用的可以在IP關於乙太網的IP存儲傳輸協定的上層執行的SCSI指令集。簡單地說,iSCSI可以實現在IP網路上執行SCSI傳輸協定,使其能夠在諸如高速千兆乙太網上進行路由選項。
iSCSI最適於佈署在從光纖通道設備向工作站或伺服器傳輸塊級存儲資料的工作組中,不過,你可以將iSCSI與FC/IP或iFCP相結合,連接遠端辦公室和資料中心。
iSCSI使關於IP乙太網的伺服器可以訪問光纖通道SAN。由於iSCSI是一項新技術,因此,它仍將經歷定義、互操作性、佈署和管理階段。這就是說,200多家開發iSCSI解決方案的公司的影響以及大量的已有IP網路,將使iSCSI能夠對SAN產生真正的影響。
FC/IP是WAN和城域網(MAN)中最常用的存儲傳輸協定。它非常適用於在地理上分佈的存儲區域網路(SAN)之間鏡像儲存資料,它很少(即使有的話)用作一項跨LAN傳輸存儲資料的技術。在FC/IP中,光纖通道畫格被FC/IP封裝在IP包中。
FC/IP是一項利用TCP/IP傳輸協定在IP網路上連接兩個SAN的IETF標準。這項傳輸協定具有實現糾錯和檢測的優點:即如果IP網路錯誤率高的話,它就重試。這是在一條低效能、高錯誤率的IP網路上連接SAN的理想途徑。
FC-BB是光纖通道骨幹標準,它定義了跨多種類型的網路連接SAN的方法。FC-BB描述了一種不需要重試方法的IP封裝方式:即它依賴於高層的SCSI糾錯方法。這種IP封裝可以在硬體中完成並可以擴展到數千兆位的速率。惟一的要求是網路必須速度高且錯誤率低。
在iFCP網關中終結光纖通道會話,並將它轉換為iFCP上的TCP/IP會話。這種目的網關接收iFCP信息,啟動一次光纖通道會話,然後將iFCP信息轉換為光纖通道格式。對於需要保持乙太網基礎設施的用戶來說,iFCP是一項很好的技術。iFCP技術背後的想法是利用無處不在的IP網路連接光纖通信設備,缺點是光纖通道網路目前的速度是千兆乙太網的兩倍的這一事實。因此,目前還不存在定義連線到光纖通道交換機連接埠的標準。
乙太網測試
思博倫通信 沈謙
在乙太網絡中主要網路元素包括:交換機、路由器、防火牆、伺服器和客戶端。通過對乙太網網路元素和網路本身的測試,可以最佳化網路結構,排除網路故障,掌握網路效能。乙太網的測試也有章可循,如人們熟知的RFC2544/RFC1242、RFC2889/RFC2285、RFC2647,國內的YD/T1099-2001(千兆比乙太網交換機設備技術規範)。
RFC2544/1242網路基準測試
在RFC2544/1242中主要定義四個重要指標:吞吐量、延遲、丟包和背靠背,這些指標是評價網路設備的基礎,當然也是評價乙太網設備的基礎,適合於所有乙太網互聯設備。在測試中,測試條件的設定非常重要,如測試包長、測試時間、測試速率等。在不同的條件下進行測試,測試的結果會有差別。在進行吞吐量、延遲和丟包測試的時候,進行多流的測試更能體現乙太網設備支持實際網路流量的效能情況。在多流的測試中,用戶可以通過測試儀表仿真成百上千的用戶流量,每條流具有不同源/目的MAC位址、源/目的IP位址、傳輸協定封裝、包長度等。
RFC2285/2889乙太網交換機基準測試
RFC2285/2889中定義了乙太網交換機測試中的重要測試專案:轉發測試、擁塞控制、位址學習速率、位址表容量、錯誤過濾、廣播轉發、廣播延遲、轉發壓力等。這些測試指標主要是針對2層乙太網交換設備,也是目前國內進行二層乙太網交換機測試中使用最廣的測試專案。測試的條件涉及到包的長度、測試時間、測試拓撲結構等。
服務品質和規則的測試
正如人們日益關心電信服務品質一樣,人們也開始關心乙太網的服務品質,關心乙太網的可管理性,關心乙太網的智能化。目前的乙太網設備不僅要求能高品質地對資料進行準確的轉發,而且要能夠根據設定的規則進行轉發。進行QoS和規則測試,首先要根據被測設備(DUT)實施的規則來進行測試,通常也需要進行多流的測試。測試指標包括:吞吐量、丟包和延遲等。
路由測試
路由技術進入乙太網是乙太網發展的關鍵,它大大擴大了乙太網的套用範圍。一般的路由傳輸協定有RIP、OSPF、BGP4、IS-IS。路由測試分為控制面測試和資料面測試兩個部分。在我們前面介紹的測試都主要是通過資料面測試來完成的。考慮三層交換機和路由器對資料包的轉發是根據路由控制來完成的,在路由測試中需要同時進行路由控制和資料流量的測試,需要測試儀表模擬一定規模的路由網路並同時進行流量發生和分析。主要的測試專案包括:路由表容量、會聚時間、吞吐量、延遲等。路由測試中還需要通過儀表來仿真乙太網中的路由震盪事件,對乙太網設備在這種變化下的效能進行測試。在這種測試中,模擬的路由震盪事件應該盡可能的多。
4~7層測試
4∼7層測試的結果往往直接反映對用戶的服務品質,如並發TCP/HTTP連接數、回應時間等。對於防火牆類的產品,還需要測試其抗攻擊能力和在套用防禦規則後實際的效能指標。對於入侵檢測系統,需要測試入侵識別率、是否有漏報。伺服器測試和防火牆測試可以參見最近《網路世界》進行的比較評測報告。
10GE設備和IPv6測試
對10GE乙太網設備進行測試,不僅僅要看連接埠處理能力,更要看在10GE的速率下,設備進行路由和轉發的效能、是否能夠進行服務品質的控制。
在乙太網上套用IPv6只是時間問題,IPv6的測試目前正得到國內的廣泛關注。IPv6的測試包括IPv6傳輸協定一致效能的測試、IPv6路由傳輸協定一致性的測試、資料轉發效能的測試、IPv6路由表容量、IPv6路由效能測試、IPv6
over IPv4/IPv4 over IPv6隧道的測試、混合流量的測試。
在乙太網測試中還會涉及到電纜測試,採用高品質的網路電纜對於測試非常重要。在乙太網測試中一般的測試儀器包括:電纜測試儀、網路傳輸協定分析儀、網路效能分析儀、4∼7層仿真和效能分析儀等。
乙太網安全
乙太網的安全技術一般可以分為訪問控制、認證、加密,對交換機管理的安全保護和一些附加的功能。
訪問控制
VLAN——這是最傳統的乙太網安全技術,它通過分割多個廣播域,在2層VLAN之間無法互訪,VLAN之間的訪問需通過三層,可以用更為多樣的手段進行過濾和控制,避免一些潛在的安全隱患。
連接埠隔離——很多廠商的交換機上都支持這一功能,實際上可以理解為VLAN技術的一種擴展,很多交換機把每個連接埠設為一個VLAN,連接埠之間在2層不能進行互訪。
MAC位址過濾——很多交換機提供了對MAC位址的過濾功能,在交換機中設定了某個主機的MAC位址之後,來自和去向它的資料包將被丟棄,用戶可以通過這樣的方法對不安全的電腦進行控制。
MAC位址的元件服務——一些交換機有這樣的功能,這樣就可以將主機的MAC與交換機的連接埠、VLAN等元件服務在一起。防止外來的PC非法的登入到網路上。
三層ACL——訪問控制列表已經越來越廣泛地套用在交換機上,原來在三層交換機上,現在已經出現在2層交換機上。
四層ACL——四層訪問控制列表可以通過對資料包第四層信息的識別,比如TCP或者UDP連接埠號的識別,根據原則決定是否丟棄資料包。
認證
IEEE 802.1x——IEEE 802.1x
稱為關於連接埠的訪問控制傳輸協定,這是業內今年談論最多的技術。該技術傳輸協定實現簡單,認證和業務分離。
PPPoE——有人認為是過時的技術,但是在今天的寬帶城域網中仍舊普遍使用。
Web/Portal認證——這也是關於業務類型的認證,不需要安裝其他客戶端軟體,只需要瀏覽器就能完成,就用戶來說較為方便。
PEAP—PEAP(Protected Extensible Authentication Protocol)是一項IETF標準,它是IEEE802.1x的修正,可以用於有線和無線乙太網認證工作。這一技術利用TLS(Transport Layer Security),通過設定一個端到端的通道傳輸用戶的認證信息,比如密碼等等,而不需要必須在用戶的終端上安裝證書。這一技術具備更簡單的安全架構。
TTLS——用於在無線或者有線乙太網中完成身份認證的工作。這一技術與PEAP技術的體系結構相類似,也使用TLS,在認證程序中對用戶端的要求相對較低,它與PEAP是相互競爭的技術。
SSH——在一些廠家新推出的交換機產品上已經支持SSH,可以把所有傳輸的資料進行加密。
管理的安全保護
SNMPv3——具有多種安全處理模組,有極好的安全性和管理功能,彌補了前兩個版本在安全方面的不足。
網路設備的訪問控制——大多數的交換機都可以通過設定訪問密碼來防止對交換機非法的訪問和控制。另外,用戶的telnet或者其他方式的訪問,在一定時間內沒有使用時,很多交換機都會中斷連接,防止他人在網管員不在的情況下對交換機進行操作。
附加功能
VPN——用戶在使用關於乙太網技術的寬帶接入時都可以使用IPSec的VPN技術。
交換機的附加功能——一些領先廠商的交換機上已經有不同的安全模組。有的交換機有一些日誌功能,有些交換機還能夠對DHCP的程序進行跟蹤。
無線區域網路
楊子江
無線區域網路(WLAN)技術是新世紀最有發展前景的網路技術之一。經過近幾年的發展,無線局域技術已經日漸成熟,套用日趨廣泛,較低的價格和成熟的產品推動著無線區域網路技術從小範圍套用進入主流套用。
熱點——標準出新
1997年,IEEE
802.11無線區域網路標準的制定是無線網路技術發展的一個里程碑。它的頒布使得無線區域網路在各種有移動互聯接入要求的環境中被用戶廣泛接受。802.11b是802.11的擴充,規定採用2.4GHz頻帶,傳輸速率能夠根據套用環境以及其他傳輸因素從11Mbps自動降到5.5Mbps,或者根據直接序列擴頻技術調整到2Mbps和1Mbps,以保證設備正常穩定執行。802.11a在802.11的基礎上擴充了物理層,規定該層使用5GHz頻帶,採用正交頻分調製資料,傳輸速率範圍為6Mbps∼54Mbps,既可滿足室內套用,又能滿足室外套用。新近出台的802.11g和802.11b的執行頻段相同,都是執行在2.4GHz,且兩者完全相容,在傳輸速率上有所提高,可達到22Mbps,甚至54Mbps。
旨在完善無線區域網路的服務品質,IEEE推出了諸多新標準。802.1h旨在探索802.11a與歐洲HiperLAN2標準之間的一致性,集中關注動態頻率選項(Dynamic
frequency selection)和傳輸功率控制(Transmit power control);802.11e
旨在改善和管理服務品質,並提供分級服務;802.11f 致力於內部接入點通信(Inter Access Point
Communication)的發展。
焦點——安全性
無線區域網路的安全一直是一個焦點。無線網路傳播資料所覆蓋的區域可能會超出一個組織物理上控制的區域,這樣就存在電子破壞(或干擾)的可能性。目前,在基本的WEP安全機制之外,更多的安全機制正在出現和發展之中。
WEP
通過實施 WEP,有可能使用共享密鑰認證,通過共享的秘密 WEP加密密鑰信息證實身份,不需要公開傳輸密鑰。廣播和多點傳送信息一般不加密。
SSID (服務組標誌符)
它是一個無線網單元的名稱。這一信息是在各個用於建立關聯的管理畫格中攜帶的。一個終端在某一時間只能與一個接入點關聯,而一個接入點卻可與多個終端關聯。關聯是由終端來啟動的。
RADIUS認證
它是在認證程序中提供認證信息的安全方法。人們以用戶無線MAC位址的形式使用認證信息以批准或拒絕接入網路。
接入點的作用如同一個RADIUS用戶,它可收集用戶認證信息並把這些信息傳送到指定的RADIUS 伺服器上。RADIUS
伺服器的作用一是接收用戶的各種連接請求;二是處理各種請求以鑒別用戶;三是通過向用戶提供服務所必須的信息對接入點做出回應。
傳輸協定和位址過濾
它在無線網路上把接入點配置為「非」轉發特定傳輸協定,可根據MAC位址(被拒絕的位址)拒絕對有線區域網路的接入,也可根據MAC位址有選項地許可對有線區域網路的接入。
SNMPv3
只有在 SNMPv3 上才可加密資料並使管理員對鑒別密碼、隱私密碼、鑒別兼隱私密碼進行設定。
802.1x
在IEEE 802.11無線標準委員會內部,對 IEEE 802.1x (關於連接埠的網路接入控制)所直接指定的各種安全技術的合併工作正在起步。這些工作的目的是在各種交換的區域網路連接埠上提供認證能力,為各種企業區域網路提供安全接入的可能性。這些技術也包括鑒定和認證、密鑰管理和其他認證及安全預防,如802.11i
將提高安全性和認證機制。
PPP 擴展認證傳輸協定(EAP)
EAP是PPP 認證的一種普遍傳輸協定,支持多重認證機制。EAP不會在鏈路控制階段選項一個特定的認證機制,而是把這種選項推遲到認證階段。這就使認證者在確定直接的認證機制之前可獲得更多的信息。
快速重置密鑰(Rapid Re-Keying)
關於IEEE 802.1x傳輸協定,該傳輸協定包括用戶認證和各種WEP 密鑰分佈特徵。快速重置密鑰也使用IEEE 802.1x的週期性重置密鑰選項,在接入點,它週期性地產生新的、高品質、偽隨機性的、碎片WEP 密鑰配對。快速重置密鑰使用 802.1x 週期性地把這些密鑰傳送給各相關用戶,這就需要802.1x 的EAP-TLS (擴展認證傳輸協定-傳輸層安全性)認證方法。
VPN
無線用戶也是VPN用戶,它會新增針對VPN 網關和政策伺服器的加密隧道。這將使無線連接具有 VPN 安全特色。
WPA
這是Wi-Fi聯盟10月31日最新宣佈的無線區域網路安全方案,以一個叫Wi-Fi保護接入(WPA)的IEEE標準工作為基礎。WPA有兩個主要內容,一個是替代WEP的、設計更好的加密系統TKIP,另一個是關於802.1x標準的用戶身份認證系統。TKIP是未來的802.11i中的兩個加密標準之一,另一個是美國政府新推出的AES,即進階加密標準,但後者只能在未來的Wi-Fi硬體上執行。
至於WPA的身份認證系統,則為WLAN提供了更加安全的接入保護。用戶在接入WLAN時,只能與一個無線接入點進行通信,該接入點會將用戶的接入請求發往一個特定的註冊伺服器。只有當該伺服器驗證了用戶的證書——用戶名加上密碼、生物識別資料(比如指紋)或者智能卡識別——用戶才能夠進入整個網路。
在目前,這種新標準還沒有投入使用。Wi-Fi聯盟預計,第一個WPA軟體可能要到明年一季度末才能下載使用。到明年年底,該標準將成為Wi-Fi認證的強制性標準。
|