以太网技术的前世今生
万兆以太网技术与千兆以太网类似,仍然保留了以太网帧结构。通过不同的编码方式或波分复用提供10Gbit/s传输速度。所以就其本质而言,10G以太网仍是以太网的一种类型。
10G以太网于2002年6月在IEEE通过。10G以太网包括10GBASE-X、10GBASE-R和10GBASE-W。10GBASE-X使用一种特紧凑包装,含有1个较简单的WDM器件、4个接收器和4个在1300nm波长附近以大约25nm为间隔工作的激光器,每一对发送器/接收器在3.125Gbit/s速度(数据流速度为2.5Gbit/s)下工作。10GBASE-R是一种使用64B/66B编码(不是在千兆以太网中所用的8B/10B)的串行接口,数据流为10.000Gbit/s,因而产生的时钟速率为10.3Gbit/s。10GBASE-W是广域网接口,与SONET OC-192兼容,其时钟为9.953Gbit/s数据流为9.585Gbit/s。
万兆以太网的特性如下:
首先,万兆以太网不再支持半双工数据传输,所有数据传输都以全双工方式进行,这不仅极大地扩展了网络的覆盖区域(交换网络的传输距离只受光纤所能到达距离的限制),而且使标准得以大大简化。
其次,为使万兆以太网不但能以更优的性能为企业骨干网服务,更重要的是,还要从根本上对广域网以及其它长距离网络应用提供最佳支持,尤其是还要与现存的大量SONET网络兼容。该标准对物理层进行了重新定义。新标准的物理层分为两部分,分别为LAN物理层和WAN物理层。LAN物理层提供了现在正广泛应用的以太网接口,传输速率为10G;WAN物理层则提供了与OC-192c和SDH VC-4-64c相兼容的接口,传输速率为9.58G。与SONET不同的是,运行在SONET上的万兆以太网依然以异步方式工作。WIS(WAN接口子层)将万兆以太网流量映射到SONET的STS-192c帧中,通过调整数据包间的间距,使OC-192c的略低的数据传输率与万兆以太网相匹配。
第三,万兆以太网有5种物理接口。
千兆以太网的物理层每发送8比特的数据要用10个比特组成编码数据段,网络带宽的利用率只有80%;万兆以太网则每发送64比特只用66个比特组成编码数据段,比特利用率达97%。虽然这是牺牲了纠错位和恢复位而换取的,但万兆以太网采用了更先进的纠错和恢复技术,确保数据传输的可靠性。
新标准的物理层可进一步细分为5种具体的接口,分别为1550纳米LAN接口、1310纳米宽频波分复用(WWDM)LAN接口、850纳米LAN接口、1550纳米WAN接口和1310纳米WAN接口。每种接口都有其对应的最适宜的传输介质。850纳米LAN接口适于用在50/125微米多模光纤上,最大传输距离为65米。50/125微米多模光纤现在已用得不多,但由于这种光纤制造容易,价格便宜,所以用来连接服务器比较划算。1310纳米宽频波分复用(WWDM)LAN接口适于用在62.5/125微米的多模光纤上,传输距离为300米。62.5/125微米的多模光纤又叫FDDI光纤,是目前企业使用得最广泛的多模光纤,从上世纪80年代末90年代初开始在网络界大行其道。1550纳米WAN接口和1310纳米WAN接口适于在单模光纤上进行长距离的城域网和广域网数据传输,1310纳米WAN接口支持的传输距离为10公里,1550纳米WAN接口支持的传输距离为40公里。
四、以太网的安全技术
以太网的安全技术一般可以分为访问控制、认证、加密,对交换机管理的安全保护和一些附加的功能。具体如下:
1.访问控制
VLAN--这是最传统的以太网安全技术,它通过分割多个广播域,在2层VLAN之间无法互访,VLAN之间的访问需通过三层,可以用更为多样的手段进行过滤和控制,避免一些潜在的安全隐患。
端口隔离--很多厂商的交换机上都支持这一功能,实际上可以理解为VLAN技术的一种扩展,很多交换机把每个端口设为一个VLAN,端口之间在2层不能进行互访。
MAC地址过滤--很多交换机提供了对MAC地址的过滤功能,在交换机中设定了某个主机的MAC地址之后,来自和去向它的数据包将被丢弃,用户可以通过这样的方法对不安全的计算机进行控制。
MAC地址的捆绑--一些交换机有这样的功能,这样就可以将主机的MAC与交换机的端口、VLAN等捆绑在一起。防止外来的PC非法的登录到网络上。
三层ACL--访问控制列表已经越来越广泛地应用在交换机上,原来在三层交换机上,现在已经出现在2层交换机上。
四层ACL--四层访问控制列表可以通过对数据包第四层信息的识别,比如TCP或者UDP端口号的识别,根据策略决定是否丢弃数据包。
2.认证
IEEE 802.1x--IEEE 802.1x 称为基于端口的访问控制协议。该技术协议实现简单,认证和业务分离。
PPPoE--有人认为是过时的技术,但是在今天的宽带城域网中仍旧普遍使用。
Web/Portal认证--这也是基于业务类型的认证,不需要安装其他客户端软件,只需要浏览器就能完成,就用户来说较为方便。
PEAP-PEAP(Protected Extensible Authentication Protocol)是一项IETF标准,它是IEEE 802.1x的修正,可以用于有线和无线以太网认证工作。这一技术利用TLS(Transport Layer Security),通过设置一个端到端的通道传输用户的认证信息,比如密码等等,而不需要必须在用户的终端上安装证书。这一技术具备更简单的安全架构。
TTLS--用于在无线或者有线以太网中完成身份认证的工作。这一技术与PEAP技术的体系结构相类似,也使用TLS,在认证过程中对用户端的要求相对较低,它与PEAP是相互竞争的技术。
3.加密
SSH--在一些厂家新推出的交换机产品上已经支持SSH,可以把所有传输的数据进行加密。
4.管理的安全保护
SNMPv3--具有多种安全处理模块,有极好的安全性和管理功能,弥补了前两个版本在安全方面的不足。
网络设备的访问控制--大多数的交换机都可以通过设置访问密码来防止对交换机非法的访问和控制。另外,用户的telnet或者其他方式的访问,在一定时间内没有使用时,很多交换机都会中断连接,防止他人在网管员不在的情况下对交换机进行操作。
5.附加功能
VPN--用户在使用基于以太网技术的宽带接入时都可以使用IPSec的VPN技术。
交换机的附加功能--一些领先厂商的交换机上已经有不同的安全模块。有的交换机有一些日志功能,有些交换机还能够对DHCP的过程进行跟踪。
