网络安全——数据链路层安全协议(2)
作者简介:一名云计算网络运维人员、每天分享网络与运维的技术与干货。
座右铭:低头赶路,敬事如仪
个人主页:网络豆的主页
目录
前言
一.局域网数据链路层安全协议
1.IEEE 802.10
(1)IEEE 802.10的帧格式
(2)IEEE802.10的应用模式
2.IEEE 802.1q
前言
本章将会讲解局域网中的数据链路层安全协议
一.局域网数据链路层安全协议
在IEEE802局域网标准中,涉及局域网安全的协议标准主要有802.10和802.1q。
1.IEEE 802.10
IEEE802.10标准是由IEEE802.10标准安全工作组制定的局域网安全标准,其目的是通过加密和认证等安全机制来保证局域网上数据交换的机密性和完整性。
IEEE802.10标准原来是为了安全因素而提出的一种帧标签格式。1995年,Cisco公司提倡使用IEEE802.10协议,在此之前,IEEE802.10曾经在全球范围内作为VLAN安全性的统一规范。
Cisco公司试图采用优化后的IEEE802.10帧格式,在网络上传输帧标签(Frame Tagging)模式中所必需的VLAN标签。
(1)IEEE 802.10的帧格式
IEEE802.10标准定义了一个单独的协议数据单元通常被称为Secure Data Exchange(SDE)PDU,也称为802.10报头,该标准把802.10报头插在了MAC地址的帧头和数据区之间。
IEEE802.10标准定义了一种安全数据交换的协议数据单元,它是在MAC帧的帧头和数据域之间插人了一个802.10帧头,其格式如图所示。
IEEE 802.10帧头由两部分组成,分别称为CH(Clear Header)和PH(ProtectedHeader)。
CH包含一个安全联盟标识符(SAID)字段和一个可选的管理定义字段(MDF),以便于PDU的处理。
PH包含一个源地址字段,它是从MAC头中的源地址字段复制过来的,以支持地址认证功能,防止其他结点冒充源结点。
在LAN中,每种MAC帧都设有一个帧校验序列(FCS)字段,用于对MAC帧的正确性和完整性检查,通常FCS采用32位的循环冗余校验码。因此,每种MAC协议本身就具有一定的数据完整性检查能力。
IEEE802.10完整性检查值(ICV)字段用于数据完整性检查,以防止未经许可对内部数据的修改。为了保证数据机密性,可以对PH和ICV之间的数据进行加密处理,但由于数据加密将降低网络传输设备(如交换机等)的吞吐能力,引起LAN性能的下降,因此IEEE802.10协议中的数据加密功能是可选的,不是强制性规定。
(2)IEEE802.10的应用模式
IEEE802.10协议最初的目的是制定一个互操作的局域网安全标准但没有得到业界的响应和支持。
后来,一些厂商在开发虚拟局域网(VLAN)技术时使用了IEEE802.10头中的SAID字段,作为VLAN标识符,用于标识数据流所属的VLAN。这样,IEEE802.10协议便在VLAN中得到了应用,应用模式拓扑如图所示。
VLAN是指在局域网的物理结构上通过控制流量分配而形成的一种逻辑网络。在一个支持VLAN的局域网中,可以按一定的方法和规则构造出多个VLAN,一个VLAN中的流量被限制在本VLAN中,不会在其他VLAN中流通。这样就使VLAN之间在逻辑上是相互隔离的,VLAN之间的互通必须通过网桥等设备来实现。
因此通过VLAN可以在局域网中保证一定程度的数据交换安全性。通常VLAN是在LAN交换机支持下实现的,LAN交换机通过标准化的VLAN协议提供VLAN定义和管理功能。
由于利用IEEE802.10头中的SAID字段作为VLAN标识符,导致不定长的数据帧在实现上产生一些问题。另外,各个厂商所定义的VLAN标识符格式和长度也不统一,引起不同厂商VLAN设备之间的兼容性问题。
后来,对IEEE802.10协议进行了修订,进一步完善了IEEE802.1q等新VLAN标准,并得到了业界广泛的应用。
2.IEEE 802.1q
早期VLAN在网络之间很难实施,每个VLAN都被手动配置在每个交换机上。对VLAN的管理,在一个延伸的网络中是非常复杂的任务。
为了进一步管理,每个交换机厂商都有不同的方法。为了解决这个问题,开发了VL.AN干线技术。VL.AN干线通过在帧中加入特定的标签来区分所属的VLAN,以支持在一个机构中定义多个VLAN。
VL.AN干线是标准化技术,IEEE802.1q干线协议就是一个被广泛实施的标准。
图2表示了不同Cisco交换机之间的IEEE802.1g干线。
IEEE802.1q标准制定于1996年3月,它规定了VLAN组成员之间传输的物理帧需要在帧头部增加4个字节的VLAN信息,而且还规定诸如帧发送与校验、回路检测、对服务质量参数的支持以及对网管系统的支持等方面的标准。
IEEE802.1q标准包括3个方面:VLAN的体系结构说明、为在不同设备厂商生产的不同设备之间交流VLAN信息而制定的局域网物理帧的改进标准、VLAN标准的未来发展展望。
IEEE802.1q标准提供了对VLAN明确的定义及其在交换式网络中的应用。
该标准的发布确保了不同厂商产品的互操作能力,并在业界获得了广泛推广,成为VLAN发展史上的里程碑。
IEEE802.1q的出现打破了VLAN依赖于单一厂商的僵局,从一个侧面推动了VLAN的迅速发展。
IEEE802.1q标准进一步完善了VLAN的体系结构,规定统一的VLAN标记格式。
与VLAN相关的协议还有如下内容。
- IEEE802.1p:定义了VLAN中数据流优先级标记和动态组播服务,通过定义8个优先级,支持不同的数据传输服务级别(Class of Service,CoS)。
- IEEE802.ld:定义了第二层交换机的技术基础和协议标准。
- IEEE802.1p/g同属一个协议集,使用同一赖格式,它们是在传统的以太网帧格式中插入了一个标记(Tag)字段,占两个字节,如图2-5所示。
图中,IEEE802.1p占3位,定义了8个优先级;IEEE802.1q占12位,定义了VLAN标识符,用于识别数据流所属的VLAN。
由于VLAN标识符共有12位,因此一个局域网最多可划分为4096个VLAN。
VLAN除了提供局域网通信安全性外,还简化了局域网中结点的迁移操作。它既可以在保持结点物理位置不变的情况下,将结点从一个VLAN迁移到另一个VLAN,也可以在保持统一VLAN不变的情况下,将结点移动到一个新的物理位置上。所有这些操作通过交换机所配置的VLAN管理软件很容易实现。
创作不易,求关注,点赞,收藏,谢谢~
网络安全——数据链路层安全协议(2)相关推荐
- 网络安全——数据链路层安全协议
作者简介:一名云计算网络运维人员.每天分享网络与运维的技术与干货. 座右铭:低头赶路,敬事如仪 个人主页:网络豆的主页 目录 前言 一.数据链路层安全协议简介 1.数据链路安全性 二. ...
- 数据链路层-------以太网协议
这里写目录标题 数据链路层 点对点协议(PPP协议) 以太网协议 认识以太网 以太网帧格式 认识MAC地址 对比理解MAC地址和IP地址 认识MTU MTU对上层协议的影响 查看硬件地址和MTU AR ...
- Linux:数据链路层——以太网协议、NAT协议、ARP协议和DNS协议
Linux:数据链路层--以太网协议.NAT协议.ARP协议和DNS协议 以太网协议 以太网帧格式 MTU以及MTU对IP协议的影响 ARP协议 NAT协议 NAT IP转换过程 静态NAT 动态NA ...
- 计算机网络:数据链路层——以太网协议
数据链路层--以太网协议 第1关:以太网帧的解析 任务描述 补充代码,解析收到的以太网帧,根据出帧类型,调用对应的处理函数. 本任务中的给出的以太网帧字节流不包含前面的7字节同步码.1字节帧开始定界符 ...
- 网络之数据链路层(PPP协议)
网络之数据链路层 Author:onceday date:2022年7月20日 1.引言 数据链路层主要使用两种类型的信道: 点对点信道,使用1对1的通信方式. 广播信道,使用1对多的广播通信模式. ...
- 【网络】数据链路层-以太网协议
文章目录 数据链路层的作用 以太网 以太网帧格式 MAC地址 MTU MTU对IP协议的影响 MTU对UDP协议的影响 MTU对于TCP协议的影响 以太网通信细节 以太网通信的问题 ARP协议 ARP ...
- 数据链路层六大协议详解
数据链路层六大协议详解 一些假设 1.无限制的单工协议(乌托邦协议) 五点假设 发送方 接收方 接受方 2.单工停-等协议 3.有噪声信道的单工协议 本文图片截取自 学堂在线-华南理工大学的计算机网络 ...
- 数据链路层 ,数据链路层的主要功能,数据链路层的协议,数据链路层的设备。
「作者主页」:士别三日wyx 「作者简介」:CSDN top100.阿里云博客专家.华为云享专家.网络安全领域优质创作者 「专栏简介」:此文章已录入专栏<计算机网络零基础快速入门> 本章重 ...
- 计算机网络---数据链路层PPP协议
定义:点对点协议(Point to Point Protocol,PPP)为在点对点连接上传输多协议数据包提供了一个标准方法.PPP 最初设计是为两个对等节点之间的 IP 流量传输提供一种封装协议.在 ...
最新文章
- 使用SuperSocket打造逾10万长连接的Socket服务
- java ee 下载 安装配置_JavaEE下载安装及配置.doc
- 计算机职称考试软盘,2010年职称计算机考试:磁盘格式化
- Leetcode每日一题:222.count-complete-tree-nodes(完全二叉树的节点个数)
- 《1024伐木累》-小白篇之需求-总章节八
- VS2010/MFC编程入门之三(MFC应用程序框架分析)
- 如何给域里的每台电脑分配一个***远程访问IP地址
- Mellanox:撑起国内超融合的网络天空
- net framework 4.0安装未成功,原因是?
- 带滤镜拍照的app_这8款拍照修图APP,简直就是逼格神器!
- 2018年上半年 系统分析师 论文 真题
- 华为2012服务器系统安装教程,服务器系统安装教程
- 松本行弘:Ruby之父佳作松本行弘的程序世界
- linux su命令快捷键,Linux下su与su -命令的区别
- Git之(三)辅助命令
- 谈谈“五级工程师和职业发展”的思考
- 遍历同辈节电的方法_家庭节水节电的24个好方法
- 如何设计一枚「拟态」按钮
- 用HTML5图形拼成的画房子,未来的房子绘画作品图片欣赏
- 区域颜色填充-四连通种子填充算法