在以太網(wǎng)絡中主要網(wǎng)絡元素包括：交換機、路由器、防火墻、服務器和客戶端。通過對以太網(wǎng)網(wǎng)絡元素和網(wǎng)絡本身的測試，可以優(yōu)化網(wǎng)絡結構，排除網(wǎng)絡故障，掌握網(wǎng)絡性能。以太網(wǎng)的測試也有章可循，如人們熟知的RFC2544/RFC1242、RFC2889/RFC2285、RFC2647，國內(nèi)的YD/T1099-2001（千兆比以太網(wǎng)交換機設備技術規(guī)范）。

RFC2544/1242網(wǎng)絡基準測試

在RFC2544/1242中主要定義四個重要指標：吞吐量、延遲、丟包和背靠背，這些指標是評價網(wǎng)絡設備的基礎，當然也是評價以太網(wǎng)設備的基礎，適合于所有以太網(wǎng)互聯(lián)設備。在測試中，測試條件的設置非常重要，如測試包長、測試時間、測試速率等。在不同的條件下進行測試，測試的結果會有差別。在進行吞吐量、延遲和丟包測試的時候，進行多流的測試更能體現(xiàn)以太網(wǎng)設備支持實際網(wǎng)絡流量的性能情況。在多流的測試中，用戶可以通過測試儀表仿真成百上千的用戶流量，每條流具有不同源/目的MAC地址、源/目的IP地址、協(xié)議封裝、包長度等。

RFC2285/2889以太網(wǎng)交換機基準測試

RFC2285/2889中定義了以太網(wǎng)交換機測試中的重要測試項目：轉(zhuǎn)發(fā)測試、擁塞控制、地址學習速率、地址表容量、錯誤過濾、廣播轉(zhuǎn)發(fā)、廣播延遲、轉(zhuǎn)發(fā)壓力等。這些測試指標主要是針對2層以太網(wǎng)交換設備，也是目前國內(nèi)進行二層以太網(wǎng)交換機測試中使用最廣的測試項目。測試的條件涉及到包的長度、測試時間、測試拓撲結構等。

服務質(zhì)量和規(guī)則的測試

正如人們?nèi)找骊P心電信服務質(zhì)量一樣，人們也開始關心以太網(wǎng)的服務質(zhì)量，關心以太網(wǎng)的可管理性，關心以太網(wǎng)的智能化。目前的以太網(wǎng)設備不僅要求能高質(zhì)量地對數(shù)據(jù)進行準確的轉(zhuǎn)發(fā)，而且要能夠根據(jù)設定的規(guī)則進行轉(zhuǎn)發(fā)。進行QoS和規(guī)則測試，首先要根據(jù)被測設備（DUT）實施的規(guī)則來進行測試，通常也需要進行多流的測試。測試指標包括：吞吐量、丟包和延遲等。

路由測試

路由技術進入以太網(wǎng)是以太網(wǎng)發(fā)展的關鍵，它大大擴大了以太網(wǎng)的應用范圍。常見的路由協(xié)議有RIP、OSPF、BGP4、IS-IS。路由測試分為控制面測試和數(shù)據(jù)面測試兩個部分。在我們前面介紹的測試都主要是通過數(shù)據(jù)面測試來完成的?？紤]三層交換機和路由器對數(shù)據(jù)包的轉(zhuǎn)發(fā)是根據(jù)路由控制來完成的，在路由測試中需要同時進行路由控制和數(shù)據(jù)流量的測試，需要測試儀表模擬一定規(guī)模的路由網(wǎng)絡并同時進行流量發(fā)生和分析。主要的測試項目包括：路由表容量、會聚時間、吞吐量、延遲等。路由測試中還需要通過儀表來仿真以太網(wǎng)中的路由震蕩事件，對以太網(wǎng)設備在這種變化下的性能進行測試。在這種測試中，模擬的路由震蕩事件應該盡可能的多。

4~7層測試

4～7層測試的結果往往直接反映對用戶的服務質(zhì)量，如并發(fā)TCP/HTTP連接數(shù)、響應時間等。對于防火墻類的產(chǎn)品，還需要測試其抗攻擊能力和在應用防御規(guī)則后實際的性能指標。對于入侵檢測系統(tǒng)，需要測試入侵識別率、是否有漏報。服務器測試和防火墻測試可以參見最近《網(wǎng)絡世界》進行的比較評測報告。

10GE設備和IPv6測試

對10GE以太網(wǎng)設備進行測試，不僅僅要看端口處理能力，更要看在10GE的速率下，設備進行路由和轉(zhuǎn)發(fā)的性能、是否能夠進行服務質(zhì)量的控制。

在以太網(wǎng)上應用IPv6只是時間問題，IPv6的測試目前正得到國內(nèi)的廣泛關注。IPv6的測試包括IPv6協(xié)議一致性能的測試、IPv6路由協(xié)議一致性的測試、數(shù)據(jù)轉(zhuǎn)發(fā)性能的測試、IPv6路由表容量、IPv6路由性能測試、IPv6 over IPv4/IPv4 over IPv6隧道的測試、混合流量的測試。

在以太網(wǎng)測試中還會涉及到電纜測試，采用高質(zhì)量的網(wǎng)絡電纜對于測試非常重要。在以太網(wǎng)測試中常見的測試儀器包括：電纜測試儀、網(wǎng)絡協(xié)議分析儀、網(wǎng)絡性能分析儀、4～7層仿真和性能分析儀等。 以太網(wǎng)安全

以太網(wǎng)的安全技術一般可以分為訪問控制、認證、加密，對交換機管理的安全保護和一些附加的功能。

訪問控制

VLAN——這是最傳統(tǒng)的以太網(wǎng)安全技術，它通過分割多個廣播域，在2層VLAN之間無法互訪，VLAN之間的訪問需通過三層，可以用更為多樣的手段進行過濾和控制，避免一些潛在的安全隱患。

端口隔離——很多廠商的交換機上都支持這一功能，實際上可以理解為VLAN技術的一種擴展，很多交換機把每個端口設為一個VLAN，端口之間在2層不能進行互訪。

MAC地址過濾——很多交換機提供了對MAC地址的過濾功能，在交換機中設定了某個主機的MAC地址之后，來自和去向它的數(shù)據(jù)包將被丟棄，用戶可以通過這樣的方法對不安全的計算機進行控制。

MAC地址的捆綁——一些交換機有這樣的功能，這樣就可以將主機的MAC與交換機的端口、VLAN等捆綁在一起。防止外來的PC非法的登錄到網(wǎng)絡上。

三層ACL——訪問控制列表已經(jīng)越來越廣泛地應用在交換機上，原來在三層交換機上，現(xiàn)在已經(jīng)出現(xiàn)在2層交換機上。

四層ACL——四層訪問控制列表可以通過對數(shù)據(jù)包第四層信息的識別，比如TCP或者UDP端口號的識別，根據(jù)策略決定是否丟棄數(shù)據(jù)包。

認證

IEEE 802.1x——IEEE 802.1x 稱為基于端口的訪問控制協(xié)議，這是業(yè)內(nèi)今年談論最多的技術。該技術協(xié)議實現(xiàn)簡單，認證和業(yè)務分離。

PPPoE——有人認為是過時的技術，但是在今天的寬帶城域網(wǎng)中仍舊普遍使用。

Web/Portal認證——這也是基于業(yè)務類型的認證，不需要安裝其他客戶端軟件，只需要瀏覽器就能完成，就用戶來說較為方便。

PEAP—PEAP（Protected Extensible Authentication Protocol）是一項IETF標準，它是IEEE 802.1x的修正，可以用于有線和無線以太網(wǎng)認證工作。這一技術利用TLS（Transport Layer Security），通過設置一個端到端的通道傳輸用戶的認證信息，比如密碼等等，而不需要必須在用戶的終端上安裝證書。這一技術具備更簡單的安全架構。

TTLS——用于在無線或者有線以太網(wǎng)中完成身份認證的工作。這一技術與PEAP技術的體系結構相類似，也使用TLS，在認證過程中對用戶端的要求相對較低，它與PEAP是相互競爭的技術。

SSH——在一些廠家新推出的交換機產(chǎn)品上已經(jīng)支持SSH，可以把所有傳輸?shù)臄?shù)據(jù)進行加密。

管理的安全保護

SNMPv3——具有多種安全處理模塊，有極好的安全性和管理功能，彌補了前兩個版本在安全方面的不足。

網(wǎng)絡設備的訪問控制——大多數(shù)的交換機都可以通過設置訪問密碼來防止對交換機非法的訪問和控制。另外，用戶的telnet或者其他方式的訪問，在一定時間內(nèi)沒有使用時，很多交換機都會中斷連接，防止他人在網(wǎng)管員不在的情況下對交換機進行操作。
附加功能

VPN——用戶在使用基于以太網(wǎng)技術的寬帶接入時都可以使用IPSec的VPN技術。

交換機的附加功能——一些領先廠商的交換機上已經(jīng)有不同的安全模塊。有的交換機有一些日志功能，有些交換機還能夠?qū)HCP的過程進行跟蹤。 無線局域網(wǎng)

無線局域網(wǎng)（WLAN)技術是新世紀最有發(fā)展前景的網(wǎng)絡技術之一。經(jīng)過近幾年的發(fā)展，無線局域技術已經(jīng)日漸成熟，應用日趨廣泛，較低的價格和成熟的產(chǎn)品推動著無線局域網(wǎng)技術從小范圍應用進入主流應用。

熱點——標準出新

1997年，IEEE 802.11無線局域網(wǎng)標準的制定是無線網(wǎng)絡技術發(fā)展的一個里程碑。它的頒布使得無線局域網(wǎng)在各種有移動互聯(lián)接入要求的環(huán)境中被用戶廣泛接受。802.11b是802.11的擴充，規(guī)定采用2.4GHz頻帶，傳輸速率能夠根據(jù)應用環(huán)境以及其他傳輸因素從11Mbps自動降到5.5Mbps，或者根據(jù)直接序列擴頻技術調(diào)整到2Mbps和1Mbps，以保證設備正常穩(wěn)定運行。802.11a在802.11的基礎上擴充了物理層，規(guī)定該層使用5GHz頻帶，采用正交頻分調(diào)制數(shù)據(jù)，傳輸速率范圍為6Mbps～54Mbps，既可滿足室內(nèi)應用，又能滿足室外應用。新近出臺的802.11g和802.11b的運行頻段相同，都是運行在2.4GHz，且兩者完全兼容，在傳輸速率上有所提高，可達到22Mbps，甚至54Mbps。

旨在完善無線局域網(wǎng)的服務質(zhì)量，IEEE推出了諸多新標準。802.1h旨在探索802.11a與歐洲HiperLAN2標準之間的一致性，集中關注動態(tài)頻率選擇（Dynamic frequency selection）和傳輸功率控制（Transmit power control）；802.11e 旨在改善和管理服務質(zhì)量，并提供分級服務；802.11f 致力于內(nèi)部接入點通信（Inter Access Point Communication）的發(fā)展。

焦點——安全性

無線局域網(wǎng)的安全一直是一個焦點。無線網(wǎng)絡傳播數(shù)據(jù)所覆蓋的區(qū)域可能會超出一個組織物理上控制的區(qū)域，這樣就存在電子破壞（或干擾）的可能性。目前，在基本的WEP安全機制之外，更多的安全機制正在出現(xiàn)和發(fā)展之中。

WEP

通過實施 WEP，有可能使用共享密鑰認證，通過共享的秘密 WEP加密密鑰信息證實身份，不需要公開傳輸密鑰。廣播和多點傳送信息一般不加密。

SSID (服務組標志符)

它是一個無線網(wǎng)單元的名稱。這一信息是在各個用于建立關聯(lián)的管理幀中攜帶的。一個終端在某一時間只能與一個接入點關聯(lián)，而一個接入點卻可與多個終端關聯(lián)。關聯(lián)是由終端來啟動的。

RADIUS認證

它是在認證過程中提供認證信息的安全方法。人們以用戶無線MAC地址的形式使用認證信息以批準或拒絕接入網(wǎng)絡。 接入點的作用如同一個RADIUS用戶，它可收集用戶認證信息并把這些信息傳送到指定的RADIUS 服務器上。RADIUS 服務器的作用一是接收用戶的各種連接請求；二是處理各種請求以鑒別用戶；三是通過向用戶提供服務所必須的信息對接入點做出響應。

協(xié)議和地址過濾

它在無線網(wǎng)絡上把接入點配置為“非”轉(zhuǎn)發(fā)特定協(xié)議，可根據(jù)MAC地址（被拒絕的地址）拒絕對有線局域網(wǎng)的接入，也可根據(jù)MAC地址有選擇地許可對有線局域網(wǎng)的接入。

SNMPv3

只有在 SNMPv3 上才可加密數(shù)據(jù)并使管理員對鑒別口令、隱私口令、鑒別兼隱私口令進行設置。

802.1x

在IEEE 802.11無線標準委員會內(nèi)部，對 IEEE 802.1x (基于端口的網(wǎng)絡接入控制)所具體指定的各種安全技術的合并工作正在起步。這些工作的目的是在各種交換的局域網(wǎng)端口上提供認證能力，為各種企業(yè)局域網(wǎng)提供安全接入的可能性。這些技術也包括鑒定和認證、密鑰管理和其他認證及安全預防，如802.11i 將提高安全性和認證機制。

PPP 擴展認證協(xié)議(EAP)

EAP是PPP 認證的一種普遍協(xié)議，支持多重認證機制。EAP 不會在鏈路控制階段選擇一個特定的認證機制，而是把這種選擇推遲到認證階段。這就使認證者在確定具體的認證機制之前可獲得更多的信息。

快速重置密鑰（Rapid Re-Keying）

基于IEEE 802.1x協(xié)議，該協(xié)議包括用戶認證和各種WEP 密鑰分布特征。快速重置密鑰也使用IEEE 802.1x的周期性重置密鑰選擇，在接入點，它周期性地生成新的、高質(zhì)量、偽隨機性的、碎片WEP 密鑰配對?？焖僦刂妹荑€使用 802.1x 周期性地把這些密鑰傳送給各相關用戶，這就需要802.1x 的EAP-TLS (擴展認證協(xié)議－傳輸層安全性)認證方法。 VPN

無線用戶也是VPN用戶，它會創(chuàng)建針對VPN 網(wǎng)關和政策服務器的加密隧道。這將使無線連接具有 VPN 安全特色。

WPA

這是Wi-Fi聯(lián)盟10月31日最新宣布的無線局域網(wǎng)安全方案，以一個叫Wi-Fi保護接入（WPA）的IEEE標準工作為基礎。WPA有兩個主要內(nèi)容，一個是替代WEP的、設計更好的加密系統(tǒng)TKIP，另一個是基于802.1x標準的用戶身份認證系統(tǒng)。TKIP是未來的802.11i中的兩個加密標準之一，另一個是美國政府新推出的AES，即高級加密標準，但后者只能在未來的Wi-Fi硬件上運行。

至于WPA的身份認證系統(tǒng)，則為WLAN提供了更加安全的接入保護。用戶在接入WLAN時，只能與一個無線接入點進行通信，該接入點會將用戶的接入請求發(fā)往一個特定的注冊服務器。只有當該服務器確認了用戶的證書——用戶名加上口令、生物識別信息（比如指紋）或者智能卡識別——用戶才能夠進入整個網(wǎng)絡。

在目前，這種新標準還沒有投入使用。Wi-Fi聯(lián)盟預計，第一個WPA軟件可能要到明年一季度末才能下載使用。到明年年底，該標準將成為Wi-Fi認證的強制性標準。