前言
本章将会讲解局域网中的数据链路层安全协议
一.局域网数据链路层安全协议
在IEEE802局域网标准中,涉及局域网安全的协议标准主要有802.10和802.1q。
1.IEEE 802.10
IEEE802.10标准是由IEEE802.10标准安全工作组制定的局域网安全标准,其目的是通过加密和认证等安全机制来保证局域网上数据交换的机密性和完整性。
IEEE802.10标准原来是为了安全因素而提出的一种帧标签格式。1995年,Cisco公司提倡使用IEEE802.10协议,在此之前,IEEE802.10曾经在全球范围内作为VLAN安全性的统一规范。
Cisco公司试图采用优化后的IEEE802.10帧格式,在网络上传输帧标签(Frame Tagging)模式中所必需的VLAN标签。
(1)IEEE 802.10的帧格式
IEEE802.10标准定义了一个单独的协议数据单元通常被称为Secure Data Exchange(SDE)PDU,也称为802.10报头,该标准把802.10报头插在了MAC地址的帧头和数据区之间。
IEEE802.10标准定义了一种安全数据交换的协议数据单元,它是在MAC帧的帧头和数据域之间插人了一个802.10帧头,其格式如图所示。
IEEE 802.10帧头由两部分组成,分别称为CH(Clear Header)和PH(ProtectedHeader)。
CH包含一个安全联盟标识符(SAID)字段和一个可选的管理定义字段(MDF),以便于PDU的处理。
PH包含一个源地址字段,它是从MAC头中的源地址字段复制过来的,以支持地址认证功能,防止其他结点冒充源结点。
在LAN中,每种MAC帧都设有一个帧校验序列(FCS)字段,用于对MAC帧的正确性和完整性检查,通常FCS采用32位的循环冗余校验码。因此,每种MAC协议本身就具有一定的数据完整性检查能力。
IEEE802.10完整性检查值(ICV)字段用于数据完整性检查,以防止未经许可对内部数据的修改。为了保证数据机密性,可以对PH和ICV之间的数据进行加密处理,但由于数据加密将降低网络传输设备(如交换机等)的吞吐能力,引起LAN性能的下降,因此IEEE802.10协议中的数据加密功能是可选的,不是强制性规定。
(2)IEEE802.10的应用模式
IEEE802.10协议最初的目的是制定一个互操作的局域网安全标准但没有得到业界的响应和支持。
后来,一些厂商在开发虚拟局域网(VLAN)技术时使用了IEEE802.10头中的SAID字段,作为VLAN标识符,用于标识数据流所属的VLAN。这样,IEEE802.10协议便在VLAN中得到了应用,应用模式拓扑如图所示。
VLAN是指在局域网的物理结构上通过控制流量分配而形成的一种逻辑网络。在一个支持VLAN的局域网中,可以按一定的方法和规则构造出多个VLAN,一个VLAN中的流量被限制在本VLAN中,不会在其他VLAN中流通。这样就使VLAN之间在逻辑上是相互隔离的,VLAN之间的互通必须通过网桥等设备来实现。
因此通过VLAN可以在局域网中保证一定程度的数据交换安全性。通常VLAN是在LAN交换机支持下实现的,LAN交换机通过标准化的VLAN协议提供VLAN定义和管理功能。
由于利用IEEE802.10头中的SAID字段作为VLAN标识符,导致不定长的数据帧在实现上产生一些问题。另外,各个厂商所定义的VLAN标识符格式和长度也不统一,引起不同厂商VLAN设备之间的兼容性问题。
后来,对IEEE802.10协议进行了修订,进一步完善了IEEE802.1q等新VLAN标准,并得到了业界广泛的应用。
2.IEEE 802.1q
早期VLAN在网络之间很难实施,每个VLAN都被手动配置在每个交换机上。对VLAN的管理,在一个延伸的网络中是非常复杂的任务。
为了进一步管理,每个交换机厂商都有不同的方法。为了解决这个问题,开发了VL.AN干线技术。VL.AN干线通过在帧中加入特定的标签来区分所属的VLAN,以支持在一个机构中定义多个VLAN。
VL.AN干线是标准化技术,IEEE802.1q干线协议就是一个被广泛实施的标准。
图2表示了不同Cisco交换机之间的IEEE802.1g干线。
IEEE802.1q标准制定于1996年3月,它规定了VLAN组成员之间传输的物理帧需要在帧头部增加4个字节的VLAN信息,而且还规定诸如帧发送与校验、回路检测、对服务质量参数的支持以及对网管系统的支持等方面的标准。
IEEE802.1q标准包括3个方面:VLAN的体系结构说明、为在不同设备厂商生产的不同设备之间交流VLAN信息而制定的局域网物理帧的改进标准、VLAN标准的未来发展展望。
IEEE802.1q标准提供了对VLAN明确的定义及其在交换式网络中的应用。
该标准的发布确保了不同厂商产品的互操作能力,并在业界获得了广泛推广,成为VLAN发展史上的里程碑。
IEEE802.1q的出现打破了VLAN依赖于单一厂商的僵局,从一个侧面推动了VLAN的迅速发展。
IEEE802.1q标准进一步完善了VLAN的体系结构,规定统一的VLAN标记格式。
与VLAN相关的协议还有如下内容。
IEEE802.1p:定义了VLAN中数据流优先级标记和动态组播服务,通过定义8个优先级,支持不同的数据传输服务级别(Class of Service,CoS)。
IEEE802.ld:定义了第二层交换机的技术基础和协议标准。
IEEE802.1p/g同属一个协议集,使用同一赖格式,它们是在传统的以太网帧格式中插入了一个标记(Tag)字段,占两个字节,如图2-5所示。
图中,IEEE802.1p占3位,定义了8个优先级;IEEE802.1q占12位,定义了VLAN标识符,用于识别数据流所属的VLAN。
由于VLAN标识符共有12位,因此一个局域网最多可划分为4096个VLAN。
VLAN除了提供局域网通信安全性外,还简化了局域网中结点的迁移操作。它既可以在保持结点物理位置不变的情况下,将结点从一个VLAN迁移到另一个VLAN,也可以在保持统一VLAN不变的情况下,将结点移动到一个新的物理位置上。所有这些操作通过交换机所配置的VLAN管理软件很容易实现。
