在以太網(wǎng)絡(luò)中主要網(wǎng)絡(luò)元素包括：交換機(jī)、路由器、防火墻、服務(wù)器和客戶端。通過對(duì)以太網(wǎng)網(wǎng)絡(luò)元素和網(wǎng)絡(luò)本身的測(cè)試，可以優(yōu)化網(wǎng)絡(luò)結(jié)構(gòu)，排除網(wǎng)絡(luò)故障，掌握網(wǎng)絡(luò)性能。以太網(wǎng)的測(cè)試也有章可循，如人們熟知的RFC2544/RFC1242、RFC2889/RFC2285、RFC2647，國內(nèi)的YD/T1099-2001（千兆比以太網(wǎng)交換機(jī)設(shè)備技術(shù)規(guī)范）。

RFC2544/1242網(wǎng)絡(luò)基準(zhǔn)測(cè)試

在RFC2544/1242中主要定義四個(gè)重要指標(biāo)：吞吐量、延遲、丟包和背靠背，這些指標(biāo)是評(píng)價(jià)網(wǎng)絡(luò)設(shè)備的基礎(chǔ)，當(dāng)然也是評(píng)價(jià)以太網(wǎng)設(shè)備的基礎(chǔ)，適合于所有以太網(wǎng)互聯(lián)設(shè)備。在測(cè)試中，測(cè)試條件的設(shè)置非常重要，如測(cè)試包長、測(cè)試時(shí)間、測(cè)試速率等。在不同的條件下進(jìn)行測(cè)試，測(cè)試的結(jié)果會(huì)有差別。在進(jìn)行吞吐量、延遲和丟包測(cè)試的時(shí)候，進(jìn)行多流的測(cè)試更能體現(xiàn)以太網(wǎng)設(shè)備支持實(shí)際網(wǎng)絡(luò)流量的性能情況。在多流的測(cè)試中，用戶可以通過測(cè)試儀表仿真成百上千的用戶流量，每條流具有不同源/目的MAC地址、源/目的IP地址、協(xié)議封裝、包長度等。

RFC2285/2889以太網(wǎng)交換機(jī)基準(zhǔn)測(cè)試

RFC2285/2889中定義了以太網(wǎng)交換機(jī)測(cè)試中的重要測(cè)試項(xiàng)目：轉(zhuǎn)發(fā)測(cè)試、擁塞控制、地址學(xué)習(xí)速率、地址表容量、錯(cuò)誤過濾、廣播轉(zhuǎn)發(fā)、廣播延遲、轉(zhuǎn)發(fā)壓力等。這些測(cè)試指標(biāo)主要是針對(duì)2層以太網(wǎng)交換設(shè)備，也是目前國內(nèi)進(jìn)行二層以太網(wǎng)交換機(jī)測(cè)試中使用最廣的測(cè)試項(xiàng)目。測(cè)試的條件涉及到包的長度、測(cè)試時(shí)間、測(cè)試拓?fù)浣Y(jié)構(gòu)等。

服務(wù)質(zhì)量和規(guī)則的測(cè)試

正如人們?nèi)找骊P(guān)心電信服務(wù)質(zhì)量一樣，人們也開始關(guān)心以太網(wǎng)的服務(wù)質(zhì)量，關(guān)心以太網(wǎng)的可管理性，關(guān)心以太網(wǎng)的智能化。目前的以太網(wǎng)設(shè)備不僅要求能高質(zhì)量地對(duì)數(shù)據(jù)進(jìn)行準(zhǔn)確的轉(zhuǎn)發(fā)，而且要能夠根據(jù)設(shè)定的規(guī)則進(jìn)行轉(zhuǎn)發(fā)。進(jìn)行QoS和規(guī)則測(cè)試，首先要根據(jù)被測(cè)設(shè)備（DUT）實(shí)施的規(guī)則來進(jìn)行測(cè)試，通常也需要進(jìn)行多流的測(cè)試。測(cè)試指標(biāo)包括：吞吐量、丟包和延遲等。

路由測(cè)試

路由技術(shù)進(jìn)入以太網(wǎng)是以太網(wǎng)發(fā)展的關(guān)鍵，它大大擴(kuò)大了以太網(wǎng)的應(yīng)用范圍。常見的路由協(xié)議有RIP、OSPF、BGP4、IS-IS。路由測(cè)試分為控制面測(cè)試和數(shù)據(jù)面測(cè)試兩個(gè)部分。在我們前面介紹的測(cè)試都主要是通過數(shù)據(jù)面測(cè)試來完成的?？紤]三層交換機(jī)和路由器對(duì)數(shù)據(jù)包的轉(zhuǎn)發(fā)是根據(jù)路由控制來完成的，在路由測(cè)試中需要同時(shí)進(jìn)行路由控制和數(shù)據(jù)流量的測(cè)試，需要測(cè)試儀表模擬一定規(guī)模的路由網(wǎng)絡(luò)并同時(shí)進(jìn)行流量發(fā)生和分析。主要的測(cè)試項(xiàng)目包括：路由表容量、會(huì)聚時(shí)間、吞吐量、延遲等。路由測(cè)試中還需要通過儀表來仿真以太網(wǎng)中的路由震蕩事件，對(duì)以太網(wǎng)設(shè)備在這種變化下的性能進(jìn)行測(cè)試。在這種測(cè)試中，模擬的路由震蕩事件應(yīng)該盡可能的多。

4~7層測(cè)試

4～7層測(cè)試的結(jié)果往往直接反映對(duì)用戶的服務(wù)質(zhì)量，如并發(fā)TCP/HTTP連接數(shù)、響應(yīng)時(shí)間等。對(duì)于防火墻類的產(chǎn)品，還需要測(cè)試其抗攻擊能力和在應(yīng)用防御規(guī)則后實(shí)際的性能指標(biāo)。對(duì)于入侵檢測(cè)系統(tǒng)，需要測(cè)試入侵識(shí)別率、是否有漏報(bào)。服務(wù)器測(cè)試和防火墻測(cè)試可以參見最近《網(wǎng)絡(luò)世界》進(jìn)行的比較評(píng)測(cè)報(bào)告。

10GE設(shè)備和IPv6測(cè)試

對(duì)10GE以太網(wǎng)設(shè)備進(jìn)行測(cè)試，不僅僅要看端口處理能力，更要看在10GE的速率下，設(shè)備進(jìn)行路由和轉(zhuǎn)發(fā)的性能、是否能夠進(jìn)行服務(wù)質(zhì)量的控制。

在以太網(wǎng)上應(yīng)用IPv6只是時(shí)間問題，IPv6的測(cè)試目前正得到國內(nèi)的廣泛關(guān)注。IPv6的測(cè)試包括IPv6協(xié)議一致性能的測(cè)試、IPv6路由協(xié)議一致性的測(cè)試、數(shù)據(jù)轉(zhuǎn)發(fā)性能的測(cè)試、IPv6路由表容量、IPv6路由性能測(cè)試、IPv6 over IPv4/IPv4 over IPv6隧道的測(cè)試、混合流量的測(cè)試。

在以太網(wǎng)測(cè)試中還會(huì)涉及到電纜測(cè)試，采用高質(zhì)量的網(wǎng)絡(luò)電纜對(duì)于測(cè)試非常重要。在以太網(wǎng)測(cè)試中常見的測(cè)試儀器包括：電纜測(cè)試儀、網(wǎng)絡(luò)協(xié)議分析儀、網(wǎng)絡(luò)性能分析儀、4～7層仿真和性能分析儀等。 以太網(wǎng)安全

以太網(wǎng)的安全技術(shù)一般可以分為訪問控制、認(rèn)證、加密，對(duì)交換機(jī)管理的安全保護(hù)和一些附加的功能。

訪問控制

VLAN——這是最傳統(tǒng)的以太網(wǎng)安全技術(shù)，它通過分割多個(gè)廣播域，在2層VLAN之間無法互訪，VLAN之間的訪問需通過三層，可以用更為多樣的手段進(jìn)行過濾和控制，避免一些潛在的安全隱患。

端口隔離——很多廠商的交換機(jī)上都支持這一功能，實(shí)際上可以理解為VLAN技術(shù)的一種擴(kuò)展，很多交換機(jī)把每個(gè)端口設(shè)為一個(gè)VLAN，端口之間在2層不能進(jìn)行互訪。

MAC地址過濾——很多交換機(jī)提供了對(duì)MAC地址的過濾功能，在交換機(jī)中設(shè)定了某個(gè)主機(jī)的MAC地址之后，來自和去向它的數(shù)據(jù)包將被丟棄，用戶可以通過這樣的方法對(duì)不安全的計(jì)算機(jī)進(jìn)行控制。

MAC地址的捆綁——一些交換機(jī)有這樣的功能，這樣就可以將主機(jī)的MAC與交換機(jī)的端口、VLAN等捆綁在一起。防止外來的PC非法的登錄到網(wǎng)絡(luò)上。

三層ACL——訪問控制列表已經(jīng)越來越廣泛地應(yīng)用在交換機(jī)上，原來在三層交換機(jī)上，現(xiàn)在已經(jīng)出現(xiàn)在2層交換機(jī)上。

四層ACL——四層訪問控制列表可以通過對(duì)數(shù)據(jù)包第四層信息的識(shí)別，比如TCP或者UDP端口號(hào)的識(shí)別，根據(jù)策略決定是否丟棄數(shù)據(jù)包。

認(rèn)證

IEEE 802.1x——IEEE 802.1x 稱為基于端口的訪問控制協(xié)議，這是業(yè)內(nèi)今年談?wù)撟疃嗟募夹g(shù)。該技術(shù)協(xié)議實(shí)現(xiàn)簡單，認(rèn)證和業(yè)務(wù)分離。

PPPoE——有人認(rèn)為是過時(shí)的技術(shù)，但是在今天的寬帶城域網(wǎng)中仍舊普遍使用。

Web/Portal認(rèn)證——這也是基于業(yè)務(wù)類型的認(rèn)證，不需要安裝其他客戶端軟件，只需要瀏覽器就能完成，就用戶來說較為方便。

PEAP—PEAP（Protected Extensible Authentication Protocol）是一項(xiàng)IETF標(biāo)準(zhǔn)，它是IEEE 802.1x的修正，可以用于有線和無線以太網(wǎng)認(rèn)證工作。這一技術(shù)利用TLS（Transport Layer Security），通過設(shè)置一個(gè)端到端的通道傳輸用戶的認(rèn)證信息，比如密碼等等，而不需要必須在用戶的終端上安裝證書。這一技術(shù)具備更簡單的安全架構(gòu)。

TTLS——用于在無線或者有線以太網(wǎng)中完成身份認(rèn)證的工作。這一技術(shù)與PEAP技術(shù)的體系結(jié)構(gòu)相類似，也使用TLS，在認(rèn)證過程中對(duì)用戶端的要求相對(duì)較低，它與PEAP是相互競爭的技術(shù)。

SSH——在一些廠家新推出的交換機(jī)產(chǎn)品上已經(jīng)支持SSH，可以把所有傳輸?shù)臄?shù)據(jù)進(jìn)行加密。

管理的安全保護(hù)

SNMPv3——具有多種安全處理模塊，有極好的安全性和管理功能，彌補(bǔ)了前兩個(gè)版本在安全方面的不足。

網(wǎng)絡(luò)設(shè)備的訪問控制——大多數(shù)的交換機(jī)都可以通過設(shè)置訪問密碼來防止對(duì)交換機(jī)非法的訪問和控制。另外，用戶的telnet或者其他方式的訪問，在一定時(shí)間內(nèi)沒有使用時(shí)，很多交換機(jī)都會(huì)中斷連接，防止他人在網(wǎng)管員不在的情況下對(duì)交換機(jī)進(jìn)行操作。
附加功能

VPN——用戶在使用基于以太網(wǎng)技術(shù)的寬帶接入時(shí)都可以使用IPSec的VPN技術(shù)。

交換機(jī)的附加功能——一些領(lǐng)先廠商的交換機(jī)上已經(jīng)有不同的安全模塊。有的交換機(jī)有一些日志功能，有些交換機(jī)還能夠?qū)HCP的過程進(jìn)行跟蹤。 無線局域網(wǎng)

無線局域網(wǎng)（WLAN)技術(shù)是新世紀(jì)最有發(fā)展前景的網(wǎng)絡(luò)技術(shù)之一。經(jīng)過近幾年的發(fā)展，無線局域技術(shù)已經(jīng)日漸成熟，應(yīng)用日趨廣泛，較低的價(jià)格和成熟的產(chǎn)品推動(dòng)著無線局域網(wǎng)技術(shù)從小范圍應(yīng)用進(jìn)入主流應(yīng)用。

熱點(diǎn)——標(biāo)準(zhǔn)出新

1997年，IEEE 802.11無線局域網(wǎng)標(biāo)準(zhǔn)的制定是無線網(wǎng)絡(luò)技術(shù)發(fā)展的一個(gè)里程碑。它的頒布使得無線局域網(wǎng)在各種有移動(dòng)互聯(lián)接入要求的環(huán)境中被用戶廣泛接受。802.11b是802.11的擴(kuò)充，規(guī)定采用2.4GHz頻帶，傳輸速率能夠根據(jù)應(yīng)用環(huán)境以及其他傳輸因素從11Mbps自動(dòng)降到5.5Mbps，或者根據(jù)直接序列擴(kuò)頻技術(shù)調(diào)整到2Mbps和1Mbps，以保證設(shè)備正常穩(wěn)定運(yùn)行。802.11a在802.11的基礎(chǔ)上擴(kuò)充了物理層，規(guī)定該層使用5GHz頻帶，采用正交頻分調(diào)制數(shù)據(jù)，傳輸速率范圍為6Mbps～54Mbps，既可滿足室內(nèi)應(yīng)用，又能滿足室外應(yīng)用。新近出臺(tái)的802.11g和802.11b的運(yùn)行頻段相同，都是運(yùn)行在2.4GHz，且兩者完全兼容，在傳輸速率上有所提高，可達(dá)到22Mbps，甚至54Mbps。

旨在完善無線局域網(wǎng)的服務(wù)質(zhì)量，IEEE推出了諸多新標(biāo)準(zhǔn)。802.1h旨在探索802.11a與歐洲HiperLAN2標(biāo)準(zhǔn)之間的一致性，集中關(guān)注動(dòng)態(tài)頻率選擇（Dynamic frequency selection）和傳輸功率控制（Transmit power control）；802.11e 旨在改善和管理服務(wù)質(zhì)量，并提供分級(jí)服務(wù)；802.11f 致力于內(nèi)部接入點(diǎn)通信（Inter Access Point Communication）的發(fā)展。

焦點(diǎn)——安全性

無線局域網(wǎng)的安全一直是一個(gè)焦點(diǎn)。無線網(wǎng)絡(luò)傳播數(shù)據(jù)所覆蓋的區(qū)域可能會(huì)超出一個(gè)組織物理上控制的區(qū)域，這樣就存在電子破壞（或干擾）的可能性。目前，在基本的WEP安全機(jī)制之外，更多的安全機(jī)制正在出現(xiàn)和發(fā)展之中。

WEP

通過實(shí)施 WEP，有可能使用共享密鑰認(rèn)證，通過共享的秘密 WEP加密密鑰信息證實(shí)身份，不需要公開傳輸密鑰。廣播和多點(diǎn)傳送信息一般不加密。

SSID (服務(wù)組標(biāo)志符)

它是一個(gè)無線網(wǎng)單元的名稱。這一信息是在各個(gè)用于建立關(guān)聯(lián)的管理幀中攜帶的。一個(gè)終端在某一時(shí)間只能與一個(gè)接入點(diǎn)關(guān)聯(lián)，而一個(gè)接入點(diǎn)卻可與多個(gè)終端關(guān)聯(lián)。關(guān)聯(lián)是由終端來啟動(dòng)的。

RADIUS認(rèn)證

它是在認(rèn)證過程中提供認(rèn)證信息的安全方法。人們以用戶無線MAC地址的形式使用認(rèn)證信息以批準(zhǔn)或拒絕接入網(wǎng)絡(luò)。 接入點(diǎn)的作用如同一個(gè)RADIUS用戶，它可收集用戶認(rèn)證信息并把這些信息傳送到指定的RADIUS 服務(wù)器上。RADIUS 服務(wù)器的作用一是接收用戶的各種連接請(qǐng)求；二是處理各種請(qǐng)求以鑒別用戶；三是通過向用戶提供服務(wù)所必須的信息對(duì)接入點(diǎn)做出響應(yīng)。

協(xié)議和地址過濾

它在無線網(wǎng)絡(luò)上把接入點(diǎn)配置為“非”轉(zhuǎn)發(fā)特定協(xié)議，可根據(jù)MAC地址（被拒絕的地址）拒絕對(duì)有線局域網(wǎng)的接入，也可根據(jù)MAC地址有選擇地許可對(duì)有線局域網(wǎng)的接入。

SNMPv3

只有在 SNMPv3 上才可加密數(shù)據(jù)并使管理員對(duì)鑒別口令、隱私口令、鑒別兼隱私口令進(jìn)行設(shè)置。

802.1x

在IEEE 802.11無線標(biāo)準(zhǔn)委員會(huì)內(nèi)部，對(duì) IEEE 802.1x (基于端口的網(wǎng)絡(luò)接入控制)所具體指定的各種安全技術(shù)的合并工作正在起步。這些工作的目的是在各種交換的局域網(wǎng)端口上提供認(rèn)證能力，為各種企業(yè)局域網(wǎng)提供安全接入的可能性。這些技術(shù)也包括鑒定和認(rèn)證、密鑰管理和其他認(rèn)證及安全預(yù)防，如802.11i 將提高安全性和認(rèn)證機(jī)制。

PPP 擴(kuò)展認(rèn)證協(xié)議(EAP)

EAP是PPP 認(rèn)證的一種普遍協(xié)議，支持多重認(rèn)證機(jī)制。EAP 不會(huì)在鏈路控制階段選擇一個(gè)特定的認(rèn)證機(jī)制，而是把這種選擇推遲到認(rèn)證階段。這就使認(rèn)證者在確定具體的認(rèn)證機(jī)制之前可獲得更多的信息。

快速重置密鑰（Rapid Re-Keying）

基于IEEE 802.1x協(xié)議，該協(xié)議包括用戶認(rèn)證和各種WEP 密鑰分布特征。快速重置密鑰也使用IEEE 802.1x的周期性重置密鑰選擇，在接入點(diǎn)，它周期性地生成新的、高質(zhì)量、偽隨機(jī)性的、碎片WEP 密鑰配對(duì)?？焖僦刂妹荑€使用 802.1x 周期性地把這些密鑰傳送給各相關(guān)用戶，這就需要802.1x 的EAP-TLS (擴(kuò)展認(rèn)證協(xié)議－傳輸層安全性)認(rèn)證方法。 VPN

無線用戶也是VPN用戶，它會(huì)創(chuàng)建針對(duì)VPN 網(wǎng)關(guān)和政策服務(wù)器的加密隧道。這將使無線連接具有 VPN 安全特色。

WPA

這是Wi-Fi聯(lián)盟10月31日最新宣布的無線局域網(wǎng)安全方案，以一個(gè)叫Wi-Fi保護(hù)接入（WPA）的IEEE標(biāo)準(zhǔn)工作為基礎(chǔ)。WPA有兩個(gè)主要內(nèi)容，一個(gè)是替代WEP的、設(shè)計(jì)更好的加密系統(tǒng)TKIP，另一個(gè)是基于802.1x標(biāo)準(zhǔn)的用戶身份認(rèn)證系統(tǒng)。TKIP是未來的802.11i中的兩個(gè)加密標(biāo)準(zhǔn)之一，另一個(gè)是美國政府新推出的AES，即高級(jí)加密標(biāo)準(zhǔn)，但后者只能在未來的Wi-Fi硬件上運(yùn)行。

至于WPA的身份認(rèn)證系統(tǒng)，則為WLAN提供了更加安全的接入保護(hù)。用戶在接入WLAN時(shí)，只能與一個(gè)無線接入點(diǎn)進(jìn)行通信，該接入點(diǎn)會(huì)將用戶的接入請(qǐng)求發(fā)往一個(gè)特定的注冊(cè)服務(wù)器。只有當(dāng)該服務(wù)器確認(rèn)了用戶的證書——用戶名加上口令、生物識(shí)別信息（比如指紋）或者智能卡識(shí)別——用戶才能夠進(jìn)入整個(gè)網(wǎng)絡(luò)。

在目前，這種新標(biāo)準(zhǔn)還沒有投入使用。Wi-Fi聯(lián)盟預(yù)計(jì)，第一個(gè)WPA軟件可能要到明年一季度末才能下載使用。到明年年底，該標(biāo)準(zhǔn)將成為Wi-Fi認(rèn)證的強(qiáng)制性標(biāo)準(zhǔn)。