Mar a nì thu measadh agus coimeas eadar innealan crioptachaidh airson lìonraidhean Ethernet

Sgrìobh mi an lèirmheas seo (no, ma thogras tu, an stiùireadh coimeas) nuair a chaidh iarraidh orm coimeas a dhèanamh eadar grunn innealan bho dhiofar luchd-reic. A bharrachd air an sin, bhuineadh na h-innealan seo do dhiofar chlasaichean toraidh. Bha agam ri ailtireachd agus sònrachaidhean nan innealan seo uile a thuigsinn agus "frèam" a chruthachadh airson coimeas. Bhithinn toilichte nam biodh mo lèirmheas cuideachail do chuideigin.

• Tuigse fhaighinn air tuairisgeulan agus sònrachaidhean innealan crioptachaidh
• Dèan eadar-dhealachadh eadar feartan “pàipeir” agus an fheadhainn a tha dha-rìribh cudromach ann am fìor bheatha
• Rach nas fhaide na an seata àbhaisteach de luchd-reic agus thoir aire do thoraidhean sam bith a tha freagarrach airson fuasgladh fhaighinn air an obair a tha ri làimh
• A’ faighneachd nan ceistean ceart ann an còmhraidhean
• Ullaich RFPan
• Tuig dè na feartan a dh'fheumas tu ìobairt ma thaghas tu modail sònraichte den inneal

Dè a ghabhas measadh

Ann am prionnsabal, tha an dòigh-obrach seo iomchaidh airson innealan neo-eisimeileach sam bith a tha freagarrach airson trafaic lìonra a chrioptachadh eadar earrannan Ethernet iomallach (crioptachadh eadar-làraich). Is iad sin “bogsaichean” ann an dùnadh air leth (ceart gu leòr, cuiridh sinn modalan lannan/chassis an seo cuideachd), a tha ceangailte tro aon no barrachd phuirt Ethernet ri lìonra Ethernet ionadail (àrainn) le trafaic gun chrioptachadh, agus tro phort(an) eile gu seanal/lìonra tro am bi trafaic chrioptaichte air a thar-chuir gu earrannan iomallach eile. Faodar fuasgladh crioptachaidh mar sin a chleachdadh ann an lìonra prìobhaideach no lìonra obrachaiche tro dhiofar sheòrsaichean “còmhdhail” (snàithleach dorcha, uidheamachd ioma-fhillte roinneadh tricead, lìonraidhean Ethernet suidse, a bharrachd air “pseudo-uèirichean” air an cur tro lìonra le ailtireachd slighe eadar-dhealaichte, mar as trice MPLS), a’ cleachdadh teicneòlas VPN no às aonais.

Crioptachadh lìonra ann an lìonra Ethernet sgaoilte

Faodaidh na h-innealan fhèin a bhith an dàrna cuid speisealaichte (air a dhealbhadh a-mhàin airson crioptachadh), no ioma-ghnìomhach (measgaichte, co-chruinneachaidh), is e sin, innealan a bhios a’ coileanadh ghnìomhan eile cuideachd (mar eisimpleir, balla-teine ​​no router). Bidh diofar luchd-reic a’ seòrsachadh an innealan ann an diofar chlasaichean/roinnean-seòrsa, ach chan eil seo buntainneach – is e an rud a tha cudromach an urrainn dhaibh trafaic eadar-làraich a chrioptachadh agus dè na feartan a th’ aca.

Air eagal ’s gum bi, leig dhomh cur nad chuimhne gur e teirmean neo-fhoirmeil a th’ ann an “crioptachadh lìonra”, “crioptachadh trafaic” agus “crioptaiche”, ged a thathas gan cleachdadh gu tric. Is dòcha nach coinnich thu riutha ann an sgrìobhainnean riaghlaidh Ruiseanach (a’ gabhail a-steach an fheadhainn a tha a’ toirt a-steach inbhean GOST).

Ìrean crioptachaidh agus modhan tar-chuir

Mus tòisich sinn a’ toirt cunntas air na feartan a thèid a chleachdadh airson measadh, feumaidh sinn aon rud cudromach a shoilleireachadh an toiseach: “ìre crioptachaidh.” Tha mi air mothachadh gu bheil e air ainmeachadh gu tric an dà chuid ann an sgrìobhainnean oifigeil luchd-reic (tuairisgeulan, leabhraichean-làimhe, msaa.) agus ann an còmhraidhean neo-fhoirmeil (aig còmhraidhean, seiseanan trèanaidh). Ged a tha coltas gu bheil fios aig a h-uile duine dè a thathar a’ bruidhinn, tha mi fhìn air beagan troimh-chèile fhaicinn.

Mar sin, dè dìreach a th’ ann an “sreath crioptachaidh”? Gu soilleir, tha sinn a’ bruidhinn mu àireamh sreath modail iomraidh lìonra OSI/ISO far a bheil crioptachadh a’ tachairt. Seallaidh sinn air GOST R ISO 7498-2–99 “Teicneòlas fiosrachaidh. Eadar-cheangal Siostaman Fosgailte. Modail iomraidh bunaiteach. Pàirt 2: Ailtireachd tèarainteachd fiosrachaidh.” Bhon sgrìobhainn seo, is urrainn dhuinn a thuigsinn gur e an sreath seirbheis dìomhaireachd (aon de na dòighean airson dèanamh cinnteach gur e crioptachadh a th’ ann) an sreath protocol aig a bheil bloc dàta seirbheis (“luchd-pàighidh,” dàta neach-cleachdaidh) air a chrioptachadh. Mar a tha an inbhe ag ràdh cuideachd, faodar an t-seirbheis seo a thoirt seachad an dàrna cuid aig an aon shreath seo, gu h-inntinneach, no tro shreath nas ìsle (is e seo, mar eisimpleir, mar as trice a thèid a chur an gnìomh ann am MACsec).

Ann an cleachdadh, tha dà dhòigh ann airson fiosrachadh crioptaichte a thar-chur thairis air lìonra (thig IPsec gu inntinn sa bhad, ach lorgar na h-aon mhodhan sin ann am protocolaidhean eile cuideachd). còmhdhail (uaireannan canar dùthchasach ris cuideachd) chan eil ach am modh crioptaichte seirbheis bloc dàta, agus tha na cinn-cinn fhathast "fosgailte", gun chrioptachadh (uaireannan thèid raointean a bharrachd le fiosrachadh seirbheis an algairim crioptachaidh a chur ris, agus thèid raointean eile atharrachadh, ath-àireamhachadh). tunail an aon mhodh fad na h-ùine pròtacal Tha am bloc dàta (is e sin, am pacaid fhèin) air a chrioptachadh agus air a ghlacadh ann am bloc dàta seirbheis den aon ìre no ìre nas àirde, is e sin, tha cinn-cinn ùra ann.

Chan eil an ìre crioptachaidh fhèin, còmhla ri modh tar-chuir sònraichte, math no dona, agus mar sin chan eil e comasach a ràdh, mar eisimpleir, gu bheil L3 ann am modh còmhdhail nas fheàrr na L2 ann am modh tunail. Is e dìreach gu bheil mòran fheartan leis a bheil innealan air am measadh an urra riutha, leithid sùbailteachd agus co-chòrdalachd. Feumaidh obrachadh lìonra anns a bheil L1 (ath-chraoladh bitstream), L2 (atharrachadh frèam), agus L3 (slighe pacaidean) ann am modh còmhdhail fuasglaidhean le crioptachadh aig an aon ìre no ìre nas àirde (air dhòigh eile, thèid am fiosrachadh seòlaidh a chrioptachadh, agus cha ruig an dàta a cheann-uidhe). Bidh modh tunail a’ faighinn thairis air a’ chuingealachadh seo (ged a tha e aig cosgais fheartan cudromach eile).

Modhan crioptachaidh L2 còmhdhail is tunail

A-nis gluaisidh sinn air adhart gu bhith a’ sgrùdadh nan feartan.

Coileanadh

A thaobh crioptachadh lìonra, tha coileanadh na bhun-bheachd iom-fhillte, ioma-thaobhach. Chan eil e neo-chumanta do mhodail sònraichte a bhith air leth math ann an aon fheart coileanaidh ach a bhith a’ coileanadh gu dona ann an fear eile. Mar sin, tha e an-còmhnaidh feumail beachdachadh air a h-uile pàirt de choileanadh crioptachaidh agus an tionchar air coileanadh an lìonra agus na h-aplacaidean a bhios ga chleachdadh. Faodar seo a choimeas ri càr, far a bheil chan e a-mhàin an astar as àirde cudromach, ach cuideachd an ùine luathachaidh gu 60 msu, caitheamh connaidh, agus mar sin air adhart. Bidh luchd-reic agus an luchd-ceannach a dh’fhaodadh a bhith aca a’ toirt aire mhionaideach do fheartan coileanaidh. Mar as trice, bidh luchd-reic a’ rangachadh loidhnichean toraidh innealan crioptachaidh stèidhichte air coileanadh.

Gu soilleir, tha coileanadh an urra ri iom-fhillteachd nan obrachaidhean lìonraidh is cripteagrafach a thèid a dhèanamh air an inneal (a’ gabhail a-steach dè cho math ’s a tha na gnìomhan sin gan toirt fhèin gu co-shìneadh agus pìobaireachd), a bharrachd air coileanadh bathar-cruaidh agus càileachd a’ firmware. Mar sin, bidh modailean nas àirde a’ cleachdadh bathar-cruaidh nas cumhachdaiche, uaireannan leis an roghainn a bhith ga ùrachadh le pròiseasairean agus modalan cuimhne a bharrachd. Tha grunn dhòighean-obrach ann airson gnìomhan cripteagrafach a chuir an gnìomh: air aonad giullachd meadhanach adhbhar coitcheann (CPU), cuairt amalaichte sònraichte don tagradh (ASIC), no sreath geata prògramaichte achaidh (FPGA). Tha buannachdan agus eas-bhuannachdan aig gach dòigh-obrach. Mar eisimpleir, faodaidh CPU a bhith na bhacadh crioptachaidh, gu sònraichte mura h-eil stiùiridhean sònraichte aig a’ phròiseasar gus taic a thoirt don algairim crioptachaidh (no mura tèid an cleachdadh). Tha dìth sùbailteachd aig sgoltagan sònraichte, agus chan eil e an-còmhnaidh comasach an ath-fhlasadh gus coileanadh a leasachadh, feartan ùra a chur ris, no so-leòntachd a chàradh. A bharrachd air an sin, chan eil an cleachdadh ach cosg-èifeachdach ann an cinneasachadh mòr-mheud. Sin as coireach gu bheil an “meadhan òrail” - cleachdadh FPGAn (no FPGAn ann an Ruisis) - air fàs cho mòr-chòrdte. Bithear a’ cleachdadh FPGAn gus luathaichean crypto mar a chanar riutha a thogail—modalan bathar-cruaidh sònraichte amalaichte no pluggable a tha a’ toirt taic do obrachaidhean cripteagrafach.

Leis gu bheil sinn a’ bruidhinn gu sònraichte mu dheidhinn lìonra Ma tha sinn a’ bruidhinn mu dheidhinn crioptachadh, tha e loidsigeach gum bu chòir coileanadh fhuasglaidhean a thomhas a’ cleachdadh nan aon pharaimearan ri innealan lìonra eile: toradh, call frèam, agus latency. Tha na paraimearan seo air am mìneachadh ann an RFC 1242. A rèir coltais, chan eil an RFC seo a’ toirt iomradh air dad mun jitter a thathas a’ toirt iomradh air gu tric. Ciamar a bu chòir na paraimearan seo a thomhas? Chan eil mi air modh-obrach sam bith a lorg a chaidh aontachadh gu sònraichte airson crioptachadh lìonra ann an inbhean sam bith (oifigeil no neo-oifigeil, leithid RFCn). Bhiodh e loidsigeach am modh-obrach airson innealan lìonra a chaidh a stèidheachadh ann an RFC 2544 a chleachdadh. Bidh mòran de luchd-reic ga leantainn - mòran, ach chan eil iad uile. Mar eisimpleir, bidh iad a’ cur trafaic deuchainn ann an aon taobh a-mhàin an àite an dà chuid, mar ann an air a mholadh àbhaisteach. Och uill.

Tha beachdachaidhean sònraichte fhèin aig tomhas coileanadh innealan crioptachaidh lìonra. An toiseach, tha e cudromach a h-uile tomhas a dhèanamh air paidhir innealan: eadhon ged a tha na h-algairim crioptachaidh co-chothromach, chan eil latency agus call pacaid rè crioptachadh agus dì-chrioptachadh gu riatanach co-ionann. San dàrna àite, tha e ciallach an delta a thomhas - buaidh crioptachadh lìonra air coileanadh iomlan an lìonra - le bhith a’ dèanamh coimeas eadar dà rèiteachadh: le agus às aonais innealan crioptachaidh. No, mar a tha fìor le innealan measgaichte a bhios a’ cothlamadh grunn ghnìomhan a bharrachd air crioptachadh lìonra, le crioptachadh ciorramach agus comasach. Faodaidh a’ bhuaidh seo atharrachadh agus a bhith an urra ri sgeama ceangail an inneil crioptachaidh, na modhan obrachaidh aca, agus, mu dheireadh, nàdar an trafaic. Gu sònraichte, tha mòran pharaimeatairean coileanaidh an urra ri fad pacaid, agus is e sin as coireach gu bheil grafaichean de na paraimeatairean sin an aghaidh fad pacaid air an cleachdadh gu tric gus coimeas a dhèanamh eadar coileanadh diofar fhuasglaidhean, no IMIX - sgaoileadh trafaic a rèir fad pacaid a tha a’ nochdadh trafaic fhìor gu garbh. Ma choimeasas sinn an aon rèiteachadh bunaiteach gun chrioptachadh, is urrainn dhuinn coimeas a dhèanamh eadar fuasglaidhean crioptachaidh lìonra a chaidh a chur an gnìomh ann an diofar dhòighean gun a bhith a’ sgrùdadh nan eadar-dhealachaidhean: L2 an aghaidh L3, stòr-agus-air-adhart an aghaidh gearradh-troimhe, sònraichte an aghaidh co-chruinnichte, GOST an aghaidh AES, agus mar sin air adhart.

Diagram ceangail airson deuchainn coileanaidh

Is e a’ chiad fheart a bheir daoine aire dha “astar” an inneil crioptachaidh, is e sin, leud-bann (leud-bann) nan eadar-aghaidhean lìonra aige, an ìre bit. Tha e air a dhearbhadh leis na h-inbhean lìonra a tha air an taiceadh leis na h-eadar-aghaidhean. Airson Ethernet, is e na figearan àbhaisteach 1 Gbps agus 10 Gbps. Ach, mar a tha fios againn, ann an lìonra sam bith, is e an ìre teòiridheach as àirde throughput Tha an (toradh) aig gach aon de na sreathan aige an-còmhnaidh nas lugha na an leud-bann: tha pàirt den leud-bann air a "ithe suas" le eadar-amaichean eadar-fhrèamaichean, cinn-seirbheis, agus mar sin air adhart. Ma tha inneal comasach air trafaic fhaighinn, a phròiseasadh (nar cùis-ne, a chrioptachadh no a dhì-chrioptachadh), agus a thar-chuir aig làn astar eadar-aghaidh an lìonra, is e sin, leis an toradh teòiridheach as àirde airson an ìre seo den mhodail lìonra, thathar ag ràdh gu bheil e ag obair. aig astar loidhneTha seo ag iarraidh nach caill no nach tilg an inneal pacaidean air falbh, ge bith dè am meud no an tricead. Mura h-eil an inneal crioptachaidh a’ toirt taic do obrachadh aig astar-loidhne, mar as trice bidh an toradh as àirde aige air a shònrachadh ann an gigabits gach diog (uaireannan le fad a’ phacaid - mar as giorra na pacaidean, is ann as ìsle an toradh). Tha e deatamach tuigsinn gur e an toradh as àirde an ìre as àirde. gun chall (Fiù 's ma dh'fhaodas an inneal trafaic a "phumpadh" troimhe fhèin aig astar nas àirde, caillidh e cuid de phasganan fhathast.) Tha e cudromach cuideachd a thoirt fa-near gu bheil cuid de luchd-reic a’ tomhas an toradh iomlan eadar gach paidhir phuirt, agus mar sin chan eil na figearan seo a’ ciallachadh mòran ma thèid an trafaic crioptaichte gu lèir tro aon phort.

Càite a bheil obrachadh aig astar-loidhne (no, ann am faclan eile, obrachadh gun chall pacaid) gu sònraichte cudromach? Ann an ceanglaichean le leud-bann àrd, le dàil àrd (leithid saideal), far a bheil feum air uinneag TCP mòr gus ìrean tar-chuir àrda a chumail suas, agus far a bheil call pacaid a’ lughdachadh coileanadh lìonra gu mòr.

Ach chan eil a h-uile leud-bann air a chleachdadh gus dàta feumail a thar-chuir. Feumaidh sinn beachdachadh air an rud ris an canar cosgaisean os cionn Cosgais os cionn. Is e seo am pàirt de thoradh an inneil crioptachaidh (mar cheudad no ann am bytes gach pacaid) a thèid a chall gu h-èifeachdach (chan urrainnear a chleachdadh gus dàta tagraidh a thar-chuir). Bidh cus cosgais ag èirigh, an toiseach, bhon mheudachadh (lìonadh) den raon dàta ann am pacaidean lìonra crioptaichte (a rèir an algairim crioptachaidh agus a mhodh obrachaidh). San dàrna àite, bhon fhaid a tha air a mheudachadh de chinn-pacaidean (modh tunail, cus cosgais protocol crioptachaidh, lìonadh aithris, msaa., a rèir modh obrachaidh a’ phròtacal agus an t-siophair agus modh tar-chuir) - mar as trice is iad na cosgaisean os cionn seo as cudromaiche agus is iadsan a’ chiad fheadhainn air a bheilear a’ dèiligeadh. San treas àite, bho bhriseadh sìos pacaid nuair a thèid thairis air an aonad tar-chuir as àirde (MTU) (ma tha an lìonra comasach air pacaid a tha nas àirde na an MTU a roinn ann an dhà, a’ dùblachadh a chinn-pacaidean). San ceathramh àite, air sgàth coltas trafaic seirbheis (smachd) a bharrachd eadar innealan crioptachaidh (airson iomlaid iuchraichean, stèidheachadh tunail, msaa.) anns an lìonra. Tha cus cosgais ìosal cudromach far a bheil leud-bann seanail cuibhrichte. Tha seo gu sònraichte fìor airson trafaic pacaidean beaga, leithid guth, far am faod cus cosgais barrachd air leth de leud-bann an t-seanail ithe!

Bandwidth

Mu dheireadh, tha barrachd ann dàil cuir a-steach – an diofar (ann am bloighean de dhiog) ann an dàil lìonra (an ùine a bheir e airson dàta siubhal bho bhith a’ dol a-steach don lìonra gu bhith ga fhàgail) eadar tar-chur dàta le agus às aonais crioptachadh lìonra. San fharsaingeachd, mar as ìsle an dàil lìonra, ’s ann as cudromaiche a bhios an dàil a bheir innealan crioptachaidh a-steach. Tha dàil air a thoirt a-steach leis an obair crioptachaidh fhèin (a tha an urra ri algairim a’ chrioptachaidh, fad a’ bhloca, agus modh obrachaidh an t-siostaim, a bharrachd air càileachd a bhuileachadh bathar-bog) agus giullachd a’ phacaid lìonra san inneal. Tha an dàil a thèid a thoirt a-steach an urra ri modh giullachd a’ phacaid (deireadh gu deireadh no stòraich is cuir air adhart) agus air coileanadh an àrd-ùrlair (mar as trice bidh buileachadh bathar-cruaidh air FPGA no ASIC nas luaithe na buileachadh bathar-bog air CPU). Tha dàil a thèid a thoirt a-steach cha mhòr an-còmhnaidh nas ìsle aig crioptachadh L2 an taca ri crioptachadh L3 no L4: tha seo air sgàth gu bheil innealan a bhios a’ crioptachadh aig L3/L4 gu tric air an cur an gnìomh mar innealan co-chruinneachaidh. Mar eisimpleir, tha dàil bheag aig encoders Ethernet àrd-astar a tha air an cur an gnìomh air FPGAn agus a’ crioptachadh aig ìre L2 air sgàth crioptachadh—uaireannan, bidh comasachadh crioptachaidh air paidhir innealan eadhon a’ lughdachadh an dàil iomlan a bheir iad a-steach! Tha dàil ìosal cudromach nuair a tha e co-chosmhail ris na dàil seanail iomlan, a’ gabhail a-steach dàil iomadachaidh comharran, a tha timcheall air 5 μs gach cilemeatair. Tha seo a’ ciallachadh, airson lìonraidhean air sgèile bailteil (deichean de chilemeatairean tarsainn), gum faod microseconds an diofar gu lèir a dhèanamh. Mar eisimpleir, tha seo a’ buntainn ri ath-riochdachadh stòr-dàta sioncronaich, malairt àrd-tricead, agus blockchain.

Dàil air a chur a-steach

Scalability

Faodaidh lìonraidhean mòra sgaoilte mìltean de nodan agus innealan lìonra a ghabhail a-steach, agus ceudan de earrannan lìonra ionadail. Tha e cudromach nach cuir fuasglaidhean crioptachaidh crìochan a bharrachd air meud agus topo-eòlas an lìonra sgaoilte. Tha seo gu sònraichte a’ buntainn ris an àireamh as motha de sheòlaidhean nodan agus lìonra. Faodar crìochan mar sin a choinneachadh, mar eisimpleir, nuair a thathar a’ cur an gnìomh topo-eòlas ioma-phuing de lìonra crioptaichte (le ceanglaichean tèarainte neo-eisimeileach, no tunailean) no crioptachadh roghnach (mar eisimpleir, le àireamh protocol no VLAN). Ma thèid seòlaidhean lìonra (MAC, IP, VLAN ID) a chleachdadh mar iuchraichean ann an clàr le àireamh chuingealaichte de shreathan, bidh na crìochan sin follaiseach.

A bharrachd air sin, bidh iomadh sreath structarail aig lìonraidhean mòra gu tric, a’ gabhail a-steach lìonra bunaiteach, gach fear a’ cur an gnìomh a sgeama seòlaidh agus poileasaidh sligheachaidh fhèin. Gus an dòigh-obrach seo a chur an gnìomh, bidh cruthan frèam sònraichte (leithid Q-in-Q no MAC-in-MAC) agus protocolaidhean lorg slighe gu tric air an cleachdadh. Gus casg a chuir air bacadh a chur air togail lìonraidhean mar sin, feumaidh innealan crioptachaidh na frèamaichean sin a làimhseachadh gu ceart (i.e., tha sgèileadh san t-seagh seo a’ ciallachadh co-chòrdalachd - barrachd air sin gu h-ìosal).

Sùbailteachd

Tha seo a’ toirt iomradh air taic airson diofar rèiteachaidhean, sgeamaichean ceangail, topologaidhean, agus feartan eile. Mar eisimpleir, airson lìonraidhean suidseichte stèidhichte air teicneòlasan Ethernet Carrier, tha seo a’ ciallachadh taic airson diofar sheòrsaichean ceangail brìgheil (E-Line, E-LAN, E-Tree), diofar sheòrsaichean seirbheis (gach cuid stèidhichte air port agus stèidhichte air VLAN), agus diofar theicneòlasan còmhdhail (air an liostadh gu h-àrd). Tha seo a’ ciallachadh gum feum an inneal a bhith comasach air obrachadh an dà chuid ann am modhan loidhneach (“puing-gu-puing”) agus ioma-phuing, tunailean fa leth a stèidheachadh airson diofar VLANan, agus leigeil le lìbhrigeadh pacaidean a-mach à òrdugh taobh a-staigh seanail tèarainte. Tha an comas diofar mhodhan crioptachaidh a thaghadh (a’ gabhail a-steach le no às aonais dearbhadh susbaint) agus diofar mhodhan tar-chuir pacaidean a’ leigeil le cothromachadh a bhith ann eadar tèarainteachd agus coileanadh a rèir nan suidheachaidhean làithreach.

Tha taic cudromach cuideachd do lìonraidhean prìobhaideach, far a bheil uidheamachd fo shealbh (no air màl) aon bhuidhinn, agus lìonraidhean obrachaidh, far a bheil diofar earrannan air an riaghladh le diofar chompanaidhean. Tha e buannachdail ma ghabhas am fuasgladh a riaghladh an dà chuid taobh a-staigh na companaidh agus le treas phàrtaidh (a’ cleachdadh modail seirbheis stiùirichte). Is e feart cudromach eile ann an lìonraidhean obrachaidh taic do ioma-shealbh (cleachdadh co-roinnte le diofar luchd-ceannach) ann an cruth dealachadh crioptagrafach luchd-ceannach fa leth (fo-sgrìobhaichean) aig a bheil an trafaic a’ dol tron ​​aon sheata de dh’ innealan crioptachaidh. Mar as trice bidh seo ag iarraidh cleachdadh seataichean fa leth de iuchraichean agus teisteanasan airson gach neach-ceannach.

Ma tha inneal ga cheannach airson suidheachadh sònraichte, is dòcha nach eil na comasan seo uile cho cudromach sin—feumaidh tu dèanamh cinnteach gu bheil an inneal a’ toirt taic don rud a tha a dhìth an-dràsta. Ach, ma tha fuasgladh ga cheannach airson a chleachdadh san àm ri teachd, a’ gabhail a-steach taic a thoirt do shuidheachaidhean san àm ri teachd, agus ga thaghadh mar “inbhe corporra”, tha sùbailteachd na mhaoin luachmhor—gu h-àraidh leis cho cuingealaichte ‘s a tha eadar-obrachadh eadar innealan bho dhiofar luchd-reic (barrachd air sin gu h-ìosal).

Simplidheachd agus goireasachd

Tha furasdachd cumail suas cuideachd na bhun-bheachd ioma-fhactarail. Gu garbh, is e an ùine iomlan a chosgas eòlaichean le teisteanas sònraichte a dh’ fheumar gus taic a thoirt do fhuasgladh aig diofar ìrean de a chuairt-beatha. Mura h-eil cosgaisean ann, agus gu bheil an stàladh, an rèiteachadh agus an obrachadh gu tur fèin-ghluasadach, tha na cosgaisean neoni, agus tha an furasdachd cleachdaidh iomlan. Gu dearbh, chan eil seo a’ tachairt san t-saoghal fhìor. Is e modail tuairmse reusanta. snaidhm air uèir Le (bump-in-the-wire), no ceangal follaiseach, faodar innealan crioptachaidh a chur ris agus a dhì-chomasachadh gun a bhith feumach air atharrachaidhean làimhe no fèin-ghluasadach air rèiteachadh an lìonra. Tha seo a’ sìmpleachadh cumail suas: faodaidh tu an gnìomh crioptachaidh a chomasachadh agus a dhì-chomasachadh gu furasta, agus, ma tha sin riatanach, dìreach an inneal a “seachnadh” le càball lìonra (is e sin, ceangal dìreach ri puirt an uidheamachd lìonra ris an robh e ceangailte). Ach, tha aon eas-bhuannachd ann: faodaidh ionnsaighear an aon rud a dhèanamh. Gus prionnsapal “bump-in-the-wire” a chuir an gnìomh, feumar beachdachadh air trafaic chan ann a-mhàin sreath dàtaach sreathan smachd is riaghlaidh – feumaidh innealan a bhith follaiseach dhaibh. Mar sin, chan urrainnear trafaic mar sin a chrioptachadh ach nuair nach eil luchd-faighinn den t-seòrsa trafaic seo anns an lìonra eadar na h-innealan crioptachaidh, leis gum faodadh a bhith ga thilgeil air falbh no ga chrioptachadh rèiteachadh an lìonra atharrachadh nuair a thathar a’ comasachadh no a’ cur às do chrioptachadh. Faodaidh inneal crioptachaidh a bhith follaiseach cuideachd do chomharran aig an ìre fiosaigeach. Gu sònraichte, ma thèid comharra a chall, feumaidh e an call seo a thar-chuir (i.e., na luchd-sgaoilidh aige a chuir dheth) air ais is air adhart ("às a leth") ann an taobh a’ chomharra.

Tha taic do sgaradh chumhachdan eadar roinnean tèarainteachd fiosrachaidh agus IT, gu sònraichte roinn an lìonraidh, cudromach cuideachd. Feumaidh am fuasgladh crioptachaidh taic a thoirt do mhodail riaghlaidh ruigsinneachd agus sgrùdaidh stèidhichte na buidhne. Bu chòir an fheum air eadar-obrachadh eadar diofar roinnean airson obrachaidhean àbhaisteach a lughdachadh. Mar sin, a thaobh goireasachd, tha innealan sònraichte a tha a’ toirt taic do ghnìomhan crioptachaidh a-mhàin agus a tha cho follaiseach sa ghabhas do obrachaidhean lìonraidh nas fheàrr. Gu sìmplidh, cha bu chòir adhbhar sam bith a bhith aig luchd-obrach tèarainteachd fiosrachaidh fios a chuir gu teicneòlaichean lìonraidh gus roghainnean lìonraidh atharrachadh. Agus cha bu chòir dhaibhsan, an uair sin, a bhith feumach air roghainnean crioptachaidh atharrachadh nuair a bhios iad a’ cumail suas an lìonra.

Is e feart eile comasan agus comas-cleachdaidh innealan riaghlaidh. Bu chòir dhaibh a bhith soilleir, loidsigeach, taic a thoirt do in-mhalairt/às-mhalairt roghainnean, fèin-ghluasad, agus mar sin air adhart. Tha e cudromach beachdachadh sa bhad air na roghainnean riaghlaidh a tha rim faighinn (mar as trice àrainneachd riaghlaidh dhùthchasach, eadar-aghaidh lìn, no loidhne-àithne) agus comas-gnìomh gach fear (dh’ fhaodadh cuingealachaidhean a bhith ann). Is e feart cudromach taic. taobh a-muigh a’ chòmhlain smachd (taobh a-muigh a’ chòmhlain), is e sin, tro lìonra smachd sònraichte, agus sa chòmhlan Riaghladh (sa chòmhlan), is e sin, tro lìonra cumanta a bhios a’ giùlan trafaic fheumail. Bu chòir innealan riaghlaidh a bhith a’ comharrachadh a h-uile suidheachadh neo-àbhaisteach, a’ gabhail a-steach tachartasan tèarainteachd fiosrachaidh. Bu chòir obrachaidhean àbhaisteach, ath-aithriseach a bhith air an dèanamh gu fèin-ghluasadach. Tha seo gu sònraichte a’ buntainn ri riaghladh iuchraichean. Bu chòir an gineadh agus an sgaoileadh gu fèin-ghluasadach. Tha taic PKI na bhuannachd mhòr.

-chòrdalachd

’S e sin, co-chòrdalachd an inneil ri inbhean lìonra. Tha seo a’ toirt iomradh chan ann a-mhàin air inbhean gnìomhachais a chaidh a ghabhail os làimh le buidhnean ùghdarrasach mar an IEEE, ach cuideachd air protocolaidhean seilbhe bho stiùirichean gnìomhachais, leithid Cisco. Tha dà dhòigh bhunasach ann airson co-chòrdalachd a dhèanamh cinnteach: an dàrna cuid tro follaiseachd, no troimhe taic shoilleir protocolaidhean (nuair a thig an inneal crioptachaidh gu bhith na aon de na nódan lìonra airson protocol sònraichte agus a bhios a’ giullachd trafaic smachd a’ phròtacail sin). Tha co-chòrdalachd le lìonraidhean an urra ri iomlanachd agus ceartas buileachadh phròtacalan smachd. Tha e cudromach taic a thoirt do dhiofar roghainnean ìre PHY (astar, meadhan tar-chuir, sgeama còdaidh), frèamaichean Ethernet de dhiofar chruthan le MTU sam bith, agus diofar phròtacalan seirbheis L3 (gu sònraichte an teaghlach TCP/IP).

Gheibhear follaiseachd tro mhùthadh (atharrachadh sealach air susbaint cheann-sgrìobhaidhean soilleir ann an trafaic eadar crioptaichean), sgiobadh (far am bi pacaidean fa leth air am fàgail gun chrioptachadh), agus lìonadh tòiseachaidh crioptachaidh (far nach bi raointean pacaidean a bhios mar as trice air an crioptachadh).

Mar a thèid follaiseachd a dhèanamh cinnteach

Mar sin, dèan cinnteach an-còmhnaidh ciamar a tha taic air a thoirt seachad airson pròtacal sònraichte. Bidh taic shoilleir gu tric nas goireasaiche agus nas earbsaiche.

Eadar-obrachaidh

Tha seo cuideachd co-chòrdalachd, ach ann an seagh eadar-dhealaichte: a’ chomas obrachadh le modalan innealan crioptachaidh eile, nam measg an fheadhainn bho luchd-saothrachaidh eile. Tha mòran an urra ri staid cunbhalachadh protocol crioptachaidh. Chan eil inbhean crioptachaidh coitcheann ann airson L1.

Airson crioptachadh L2 ann an lìonraidhean Ethernet tha inbhe 802.1ae (MACsec) ann, ach chan eil e a’ cleachdadh troimhe (deireadh gu deireadh), agus eadar-phortadh, crioptachadh hop-by-hop, agus anns an dreach thùsail aige, chan eil e freagarrach airson a chleachdadh ann an lìonraidhean sgaoilte. Mar sin, tha leudachaidhean seilbhe air nochdadh a tha a’ faighinn thairis air a’ chuingealachadh seo (gu nàdarra, tro eadar-obrachadh le uidheamachd bho luchd-saothrachaidh eile). Ged a chaidh taic airson lìonraidhean sgaoilte a chur ris an inbhe 802.1ae ann an 2018, chan eil taic ann fhathast airson sreathan algairim crioptachaidh GOST. Mar sin, mar as trice bidh protocolaidhean crioptachaidh L2 seilbhe, neo-àbhaisteach nas èifeachdaiche (gu sònraichte, le os cionn leud-bann nas ìsle) agus nas sùbailte (a’ leigeil le algorithms agus modhan crioptachaidh atharrachadh).

Aig ìrean nas àirde (L3 agus L4), tha inbhean aithnichte ann, gu sònraichte IPsec agus TLS, ach eadhon an seo chan eil cùisean cho sìmplidh. Tha gach aon de na h-inbhean seo na sheata de phròtacalan, gach fear le dreachan eadar-dhealaichte agus leudachaidhean èigneachail no roghainneil. A bharrachd air an sin, is fheàrr le cuid de luchd-saothrachaidh na protocolan crioptachaidh seilbhe aca fhèin a chleachdadh aig L3/L4. Mar sin, anns a’ mhòr-chuid de chùisean, cha bu chòir a bhith an dùil ri làn eadar-obrachadh, ach tha e cudromach co-dhiù dèanamh cinnteach à eadar-obrachadh eadar diofar mhodalan agus diofar ghinealaichean bhon aon neach-dèanamh.

Fiachan

Gus coimeas a dhèanamh eadar diofar fhuasglaidhean, faodaidh tu an ùine chuibheasach eadar fàilligidhean (MTBF) no ruigsinneachd a chleachdadh. Mura h-eil na figearan seo rim faighinn (no mura h-eil earbsa annta), faodar coimeas càileachdail a dhèanamh. Bidh buannachdan ann airson innealan le riaghladh furasta (cunnart nas ìsle de mhearachdan rèiteachaidh), còdairean sònraichte (airson an aon adhbhar), agus fuasglaidhean le glè bheag de ùine airson fàilligidhean a lorg agus faighinn air ais, a’ gabhail a-steach cùl-taic teth-stèidheachaidh de nodan agus innealan slàn.

cosgais

A thaobh cosgais, mar a tha le a’ mhòr-chuid de fhuasglaidhean IT, tha e feumail coimeas a dhèanamh eadar cosgais iomlan seilbh. Gus a thomhas, chan fheum thu an roth ath-chruthachadh; faodaidh tu modh-obrach iomchaidh sam bith (mar eisimpleir, bho Gartner) agus àireamhair sam bith (mar eisimpleir, am fear a bhios do bhuidheann a’ cleachdadh mu thràth gus TCO obrachadh a-mach) a chleachdadh. Gu soilleir, airson fuasgladh crioptachaidh lìonra, tha cosgais iomlan seilbh air a dhèanamh suas de: dìreach cosgaisean airson an fhuasgladh fhèin a cheannach no fhaighinn air màl, airson a’ bhun-structair airson an uidheamachd a chumail, agus cosgaisean cleachdaidh, rianachd agus cumail suas (ge bith an ann leat fhèin no tro sheirbheisean treas-phàrtaidh), a bharrachd air neo-dhìreach Cosgaisean bho ùine downt fuasglaidh (air adhbhrachadh le call cinneasachd luchd-cleachdaidh deireannach). Is dòcha nach eil ach aon rabhadh ann. Faodar buaidh coileanadh fuasglaidh a mhìneachadh ann an diofar dhòighean: an dàrna cuid mar chosgaisean neo-dhìreach air adhbhrachadh le call cinneasachd, no mar chosgaisean dìreach "brìgheil" airson uidheamachd lìonra a cheannach/ùrachadh agus a chumail suas gus dìoladh a dhèanamh airson call coileanadh lìonra air sgàth crioptachadh. Co-dhiù, is fheàrr cosgaisean a tha duilich obrachadh a-mach le cruinneas gu leòr a thoirt a-mach às an àireamhachadh: meudaichidh seo misneachd anns an fhigear mu dheireadh. Agus, mar as àbhaist, tha e ciallach coimeas a dhèanamh eadar diofar innealan a rèir TCO airson suidheachadh cleachdaidh sònraichte - fìor no àbhaisteach.

Seasmhachd

Is e neart an fhuasglaidh am feart mu dheireadh. Anns a’ mhòr-chuid de chùisean, chan urrainnear neart a mheasadh gu càileachdail ach le bhith a’ dèanamh coimeas eadar diofar fhuasglaidhean. Feumaidh sinn cuimhneachadh nach e a-mhàin an dòigh ach cuideachd an nì dìon a th’ ann an innealan crioptachaidh. Faodaidh iad a bhith fosgailte do dhiofar bhagairtean. Am measg nan rudan sin tha bagairtean air dìomhaireachd, ath-chluich, agus atharrachadh teachdaireachdan. Faodar na bagairtean seo a thoirt gu buil tro laigsean anns an t-siophar no na modhan fa leth aige, no tro laigsean ann am protocolaidhean crioptachaidh (a’ gabhail a-steach aig ìrean stèidheachadh ceangail agus gineadh/sgaoileadh iuchraichean). Thèid buannachdan a thoirt do fhuasglaidhean a leigeas le atharrachadh a dhèanamh air an algairim crioptachaidh no atharrachadh a dhèanamh air modh an t-siophar (co-dhiù tro ùrachadh firmware), fuasglaidhean a bheir seachad an crioptachadh as coileanta, a’ falach bho luchd-ionnsaigh chan e a-mhàin dàta luchd-cleachdaidh ach cuideachd fiosrachadh seòlaidh agus seirbheis eile, a bharrachd air fuasglaidhean nach eil dìreach a’ crioptachadh ach cuideachd a’ dìon teachdaireachdan bho ath-chluich agus atharrachadh. Faodar gabhail ris gu bheil neart mar an ceudna airson a h-uile algairim crioptachaidh ùr-nodha, ainmean-sgrìobhte didseatach, gineadh iuchraichean, agus algairim eile a tha air an cur an sàs ann an inbhean (air dhòigh eile, dh’ fhaodadh neach a dhol air chall anns a’ jungle crioptagrafach). Am feum iad sin a bhith nan algairim a tha a rèir GOST? Tha e sìmplidh: ma tha feum aig an tagradh air teisteanas FSB airson innealan dìon fiosrachaidh crioptagrafach (agus anns an Ruis, is e seo a’ chùis mar as trice - airson a’ mhòr-chuid de shuidheachaidhean crioptachaidh lìonra, is e sin a th’ ann), an uairsin bidh sinn a’ taghadh an fheadhainn le teisteanas a-mhàin. Mura h-eil, chan eil puing ann a bhith a’ beachdachadh air innealan às aonais teisteanas.

Is e bagairt eile a th’ ann an hacaireachd, ruigsinneachd gun chead air innealan (a’ gabhail a-steach ruigsinneachd corporra bhon taobh a-muigh agus bhon taobh a-staigh den chùis). Faodar a’ bhagairt a thoirt gu buil tro
So-leòntachd ann an cur an gnìomh—ann am bathar-cruaidh agus còd. Mar sin, thèid buannachd a thoirt do fhuasglaidhean le glè bheag de dh’uachdar ionnsaigh tron ​​lìonra, cèisean air an dìon bho ruigsinneachd corporra (le mothachairean ionnsaigh, dìon an aghaidh sgrùdadh, agus ath-shuidheachadh fèin-ghluasadach air prìomh fhiosrachadh nuair a thèid an cèis fhosgladh), a bharrachd air an fheadhainn a leigeas le ùrachaidhean firmware ma lorgar so-leòntachd sa chòd. Dòigh-obrach eile: ma tha na h-innealan uile a thathar a’ coimeas barrantaichte leis an FSB, faodar an clas inneal dìon fiosrachaidh crioptagrafach airson an deach an teisteanas a thoirt seachad a chleachdadh mar chomharradh air strì an aghaidh hacaidh.

Mu dheireadh, is e seòrsa eile de chunnart mearachdan rèiteachaidh is obrachaidh—mearachd daonna san riochd as fìor-ghlan aige. Seo far a bheil crioptaichean sònraichte a’ dearbhadh gur e buannachd eile a th’ annta thairis air fuasglaidhean co-chruinnichte, a tha gu tric ag amas air proifeiseantaich lìonra eòlach agus a dh’ fhaodadh dùbhlain a thoirt do eòlaichean tèarainteachd fiosrachaidh “cunbhalach” airson adhbhar coitcheann.

Geàrr-chunntas

Ann am prionnsabal, dh’fhaodadh neach seòrsa de chomharradh iomlan a mholadh an seo airson coimeas a dhèanamh eadar diofar innealan, rudeigin mar

$$taisbeanadh$$K_j=∑p_i r_{ij}$$taisbeanadh$$

far a bheil p a’ riochdachadh cuideam a’ chomharra, agus r a’ riochdachadh ìre an inneil airson a’ chomharra seo. Faodar gin de na feartan gu h-àrd a bhriseadh sìos ann an comharran “atamach”. Dh’fhaodadh foirmle mar sin a bhith feumail, mar eisimpleir, nuair a thathar a’ dèanamh coimeas eadar molaidhean tairgse a rèir riaghailtean a chaidh aontachadh ro-làimh. Ach, clàr sìmplidh mar

Cùisean
Inneal 1
Inneal 2
...
Inneal N

Bandwidth
+
+

+++

Cosgaisean os cionn
+
++

+++

Dàil
+
+

++

Scalability
+++
+

+++

Sùbailteachd
+++
++

+

Eadar-obrachaidh
++
+

+

-chòrdalachd
++
++

+++

Simplidheachd agus goireasachd
+
+

++

fulangas lochd
+++
+++

++

cosgais
++
+++

+

Seasmhachd
++
++

+++

Bidh mi toilichte ceistean agus càineadh togail a fhreagairt.

Source: www.habr.com