以太网技术百科全书

从10M、100M、千兆以太网到10千兆以太网，以太网技术的发展，在速度呈数量级增长的同时，其应用领域也在不断扩大。 不同应用领域各自的应用需求，推动了以太网技术在这些领域的个性化发展。与此同时，以太网网络处理器芯片技术和测试方法也在不断发展。

连接光纤通信设备的 IP 网络无处不在的缺点是光纤通道网络目前的速度是千兆以太网的两倍。 因此，目前没有定义光纤通道交换机端口连接的标准。

以太网络中的主要网元包括：交换机、路由器、防火墙、服务器和客户端。 通过对以太网网元和网络本身进行测试，可以优化网络结构，排除网络故障，掌握网络性能。 以太网测试也是有规律可循的，比如大家熟知的RFC2544/RFC1242、RFC2889/RFC2285、RFC2647、国内的YD/T1099-2001（千兆以太网交换机设备技术规范）。

RFC2544/1242 网络基准测试

RFC2544/1242定义了四个重要指标：吞吐量、时延、丢包、背靠背。 这些指标是评价网络设备的依据，当然也是评价以太网设备的依据，适用于所有以太网互连设备。 在测试中，测试条件的设置非常重要，如测试包长、测试时间、测试速率等。 在不同的条件下，测试结果会有所不同。 在进行吞吐量、时延和丢包测试时，多流测试更能反映以太网设备支持实际网络流量的性能。 在多流测试中以太坊公开密钥，用户可以通过测试仪模拟成百上千个用户流，每个流具有不同的源/目的MAC地址、源/目的IP地址、协议封装、包长度等。

RFC2285/2889 以太网交换机基准测试

RFC2285/2889定义了以太网交换机测试中的重要测试项目：转发测试、拥塞控制、地址学习率、地址表容量、错误过滤、广播转发、广播延迟、转发压力等，这些测试指标主要针对二层以太网交换设备，是目前国内二层以太网交换机测试中使用最广泛的测试项目。 测试条件涉及数据包长度、测试时间、测试拓扑等。

服务质量和规则测试

正如人们越来越关心电信的服务质量一样，人们也开始关心以太网的服务质量、以太网的可管理性、以太网的智能性。 现在的以太网设备不仅需要高质量、准确的转发数据，还需要能够按照设定的规则进行转发。 进行QoS和规则测试，首先要根据被测设备（DUT）实现的规则进行测试，通常需要进行多流测试。 测试指标包括：吞吐量、丢包和时延等。

路由测试

路由技术进入以太网是以太网发展的关键，极大地扩展了以太网的应用范围。 常见的路由协议包括 RIP、OSPF、BGP4 和 IS-IS。 路由测试分为控制面测试和数据面测试两部分。 我们前面介绍的测试主要是通过数据面测试来完成的。 考虑到三层交换机和路由器对数据包的转发是根据路由控制完成的，因此在路由测试中需要同时进行路由控制和数据流测试，需要测试仪器来模拟一个路由网络。一定规模，同时进行流量生成和分析。 主要测试项目包括：路由表容量、收敛时间、吞吐量、时延等。在路由测试中，还需要使用仪器模拟以太网中的路由振动事件，测试以太网设备的性能在这种变化之下。 在这个测试中，应该模拟尽可能多的路由漂移事件。

4~7层测试

4-7层测试的结果往往直接反映了对用户的服务质量，如TCP/HTTP并发连接数、响应时间等。对于防火墙产品，还需要测试其抗攻击能力和应用防御规则后的实际性能指标。 对于入侵检测系统，需要测试入侵识别率和是否存在误报。 服务器测试和防火墙测试可以在最近《网络世界》的对比评测报告中找到。

10GE设备及IPv6测试

测试10GE以太网设备，不仅要测试端口处理能力，还要测试设备在10GE速率下的路由转发性能，能否控制服务质量。

IPv6在以太网上的应用只是时间问题，IPv6的测试目前在国内引起了广泛关注。 IPv6测试包括IPv6协议一致性测试、IPv6路由协议一致性测试、数据转发性能测试、IPv6路由表容量、IPv6路由性能测试、IPv6 over IPv4/IPv4 over IPv6隧道测试、混合流量测试。

网线测试也涉及到以太网测试，使用高质量的网线进行测试非常重要。 以太网测试中常见的测试仪器包括：线缆测试仪、网络协议分析仪、网络性能分析仪、4-7层仿真和性能分析仪等以太网安全

以太网安全技术一般可分为访问控制、认证、加密、交换机管理的安全保护和一些附加功能。

访问控制

VLAN——这是最传统的以太网安全技术。 通过划分多个广播域，二层VLAN之间无法互访。 VLAN之间的访问需要经过三层，可以采用更多样化的手段进行过滤和控制，避免一些安全隐患。

端口隔离——很多厂商的交换机都支持这个功能。 其实可以理解为VLAN技术的延伸。 很多交换机把每个端口都设置成一个VLAN，端口之间不能二层互通。

MAC地址过滤——很多交换机都提供MAC地址过滤功能。 在交换机中设置某台主机的MAC地址后，往来于它的数据包将被丢弃。 用户可以使用该方法过滤不安全的计算机进行控制。

MAC地址绑定——有些交换机有这个功能以太坊公开密钥，可以将主机的MAC与交换机的端口、VLAN等进行绑定。 防止外部PC非法登录网络。

三层ACL——访问控制列表在交换机上的应用越来越广泛。 以前是在三层交换机上，现在出现在二层交换机上了。

Layer 4 ACL——第四层访问控制列表，通过识别数据包的第四层信息，如TCP或UDP端口号的识别，可以根据策略决定是否丢弃数据包。

认证

IEEE 802.1x——IEEE 802.1x被称为基于端口的访问控制协议，是今年业界最受关注的技术。 技术协议简单，认证与业务分离。

PPPoE——有人认为它是一项过时的技术，但在当今的宽带城域网中仍然普遍使用。

Web/Portal认证——这也是基于业务类型的认证。 无需安装其他客户端软件，只需一个浏览器即可完成，更加方便用户使用。

PEAP—PEAP（Protected Extensible Authentication Protocol）是一个IETF标准，是对IEEE 802.1x的修正，可用于有线和无线以太网认证。 该技术使用TLS（Transport Layer Security）通过建立端到端的通道来传输用户认证信息，例如密码等，而无需在用户终端上安装证书。 该技术具有更简单的安全架构。

TTLS——用于在无线或有线以太网中完成认证工作。 该技术的架构与PEAP类似，同样使用TLS。 它在认证过程中对用户端的要求相对较低，是与PEAP竞争的技术。

SSH——一些厂商新推出的交换机产品已经支持SSH，所有传输的数据都可以加密。

托管安全

SNMPv3——具有多种安全处理模块，具有优良的安全和管理功能，弥补了前两个版本安全方面的不足。

网络设备的访问控制——大多数交换机都可以通过设置访问密码来防止非法访问和控制交换机。 另外，当用户的telnet或其他访问方式在一定时间内没有被使用时，很多交换机会中断连接，以防止其他人在网络管理员不在场的情况下操作交换机。

附加功能

VPN——用户在使用基于以太网技术的宽带接入时，可以使用IPSec VPN技术。

添加到交换机 - 一些领先供应商的交换机上已经提供了不同的安全模块。 有的交换机有一些日志记录功能，有的交换机还可以跟踪DHCP进程。 无线局域网

无线局域网(WLAN)技术是新世纪最有前途的网络技术之一。 经过几年的发展，无线局域网技术已经日趋成熟并得到广泛应用。 较低的价格和成熟的产品推动无线局域网技术从小规模应用走向主流应用。

热点 - 新标准

1997年，IEEE 802.11无线局域网标准的制定是无线网络技术发展的里程碑。 它的发布使得WLAN在各种有移动上网需求的环境中被用户广泛接受。 802.11b是802.11的扩展，规定使用2.4GHz频段，传输速率可根据应用环境等传输因素自动从11Mbps降低至5.5Mbps，或根据需要调整为2Mbps和1Mbps直接序列扩频技术，确保设备正常稳定运行。 802.11a在802.11的基础上扩展了物理层，规定该层使用5GHz频段，采用正交频分调制数据，传输速率范围为6Mbps至54Mbps，可同时满足室内和室外应用。 新发布的802.11g和802.11b工作在同一频段，都工作在2.4GHz，两者完全兼容，传输速率也得到了提升，可以达到22Mbps甚至54Mbps。

为了提高WLAN的服务质量，IEEE推出了许多新的标准。 802.1h旨在探索802.11a与欧洲HiperLAN2标准的一致性，重点在于动态频率选择（Dynamic frequency selection）和传输功率控制（Transmit power control）； 802.11e旨在提高和管理服务质量，提供分类服务； 802.11f 致力于发展接入点间通信（Inter Access Point Communication）。

焦点 - 安全

WLAN 安全一直是关注的焦点。 无线网络在可能超出组织物理控制范围的区域广播数据，从而产生电子破坏（或干扰）的可能性。 目前，除了基本的WEP安全机制外，更多的安全机制正在不断涌现和发展。

无线接入点

通过实施WEP，可以使用共享密钥认证，即通过共享秘密的WEP加密密钥信息来验证身份，而不需要公开传输密钥。 广播和多播消息通常不加密。

SSID（服务集标识符）

它是无线网络单元的名称。 该信息承载在用于建立关联的每个管理帧中。 一个终端在某一时刻只能关联一个接入点，但一个接入点可以关联多个终端。 关联由终端发起。

RADIUS认证

它是一种在身份验证过程中提供身份验证信息的安全方法。 一种使用用户无线 MAC 地址形式的身份验证信息来批准或拒绝对网络的访问。 接入点作为RADIUS用户，可以收集用户的认证信息，并将这些信息传送给指定的RADIUS服务器。 RADIUS服务器的作用是接收用户的各种连接请求； 第二，处理各种请求以识别用户； 第三，通过向用户提供服务所需的信息来响应接入点。

协议和地址过滤

它将无线网络上的接入点配置为“不”转发特定协议，并可以根据MAC地址（拒绝地址）拒绝对有线局域网的访问，或者根据MAC地址选择性地允许对有线局域网的访问。 进入。

SNMPv3

只有在SNMPv3上才能对数据进行加密，管理员可以设置认证密码、隐私密码、认证密码和隐私密码。

802.1x

在 IEEE 802.11 无线标准委员会内，正在努力整合 IEEE 802.1x（基于端口的网络访问控制）中指定的各种安全技术。 这些工作的目的是在各种交换局域网端口上提供认证能力，并提供安全访问各种企业局域网的可能性。 这些技术还包括身份验证和身份验证、密钥管理和其他身份验证和安全防范措施，例如 802.11i 将改进安全和身份验证机制。

PPP 可扩展认证协议 (EAP)

EAP是PPP认证的通用协议，支持多种认证机制。 EAP 在链路控制阶段不选择具体的认证机制，而是将选择推迟到认证阶段。 这使得认证者在确定具体的认证机制之前能够获得更多的信息。

快速重新键入

基于 IEEE 802.1x 协议，其中包括用户身份验证和各种 WEP 密钥分发功能。 Fast rekey 还使用 IEEE 802.1x 的定期 rekey 选项，它会在接入点定期生成新的、高质量的、伪随机的、分段的 WEP 密钥对。 快速重置密钥使用 802.1x 周期性地将这些密钥传送给相关用户，这需要 802.1x 的 EAP-TLS（Extensible Authentication Protocol-Transport Layer Security）认证方式。 虚拟专用网络

无线用户也是 VPN 用户，创建到 VPN 网关和策略服务器的加密隧道。 这将在无线连接上提供 VPN 安全性。

WPA

这是 Wi-Fi 联盟于 10 月 31 日宣布的最新无线 LAN 安全解决方案，它基于一项名为 Wi-Fi Protected Access (WPA) 的 IEEE 标准工作。 WPA有两个主要内容，一个是TKIP，一种设计更好的替代WEP的加密系统，另一个是基于802.1x标准的用户认证系统。 TKIP 是未来 802.11i 中的两个加密标准之一，另一个是新的美国政府的 AES，即高级加密标准，但后者只能在未来的 Wi-Fi 硬件上运行。

WPA的身份认证体系，为WLAN提供更安全的接入保护。 用户接入WLAN时，只能与一个无线接入点进行通信，接入点会将用户的接入请求发送给特定的注册服务器。 只有当服务器验证了用户的凭据——用户名加密码、生物特征（如指纹）或智能卡识别——用户才能访问整个网络。

目前，这个新标准还没有投入使用。 Wi-Fi 联盟预测，第一个 WPA 软件可能要到明年第一季度末才能提供下载。 到明年年底，该标准将成为 Wi-Fi 认证的强制标准。