ProHoster > Blog > Rianachd > Mar a nì thu measadh agus coimeas eadar innealan crioptachaidh Ethernet

Mar a nì thu measadh agus coimeas eadar innealan crioptachaidh Ethernet

Sgrìobh mi an lèirmheas seo (no, mas fheàrr leat, stiùireadh coimeas) nuair a chaidh iarraidh orm coimeas a dhèanamh eadar grunn innealan bho dhiofar luchd-reic. A bharrachd air an sin, bhuineadh na h-innealan sin do dhiofar chlasaichean. B’ fheudar dhomh ailtireachd agus feartan nan innealan sin uile a thuigsinn agus “siostam co-òrdanachaidh” a chruthachadh airson coimeas a dhèanamh. Bidh mi toilichte ma tha an lèirmheas agam a’ cuideachadh cuideigin:

  • Tuig tuairisgeulan agus mion-chomharrachadh innealan crioptachaidh
  • Dèan eadar-dhealachadh air feartan “pàipear” bhon fheadhainn a tha fìor chudromach ann am fìor bheatha
  • Gabh nas fhaide na an seata àbhaisteach de luchd-reic agus thoir aire do thoraidhean sam bith a tha freagarrach airson fuasgladh fhaighinn air an duilgheadas
  • Faighnich na ceistean ceart rè còmhraidhean
  • Ullaich riatanasan tairgse (RFP)
  • Tuig dè na feartan a dh’ fheumar a thoirt seachad ma thèid modal inneal sònraichte a thaghadh

Dè as urrainnear a mheasadh

Ann am prionnsapal, tha an dòigh-obrach iomchaidh airson innealan leotha fhèin a tha freagarrach airson trafaic lìonra a chrioptachadh eadar earrannan Ethernet iomallach (crioptachadh thar-làraich). Is e sin, “bogsaichean” ann an cùis air leth (ceart gu leòr, bidh sinn cuideachd a’ toirt a-steach lannan / modalan airson a’ chassis an seo), a tha ceangailte tro aon phuirt Ethernet no barrachd ri lìonra Ethernet ionadail (àrainn) le trafaic gun chrioptachadh, agus troimhe port(ean) eile gu seanail/lìonra tro bheil trafaig crioptaichte mar-thà air a ghluasad gu roinnean iomallach eile. Faodar fuasgladh crioptachaidh mar seo a chuir a-steach ann an lìonra prìobhaideach no gnìomhaiche tro dhiofar sheòrsaichean “còmhdhail” (snàithleach dorcha, uidheamachd roinneadh tricead, Ethernet suidse, a bharrachd air “pseudowires” air a chuir tro lìonra le ailtireachd slighe eadar-dhealaichte, mar as trice MPLS ), le no às aonais teicneòlas VPN.

Mar a nì thu measadh agus coimeas eadar innealan crioptachaidh Ethernet
Crioptachadh lìonra ann an lìonra Ethernet sgaoilte

Faodaidh na h-innealan fhèin a bhith an dàrna cuid speisealaichte (an dùil a-mhàin airson crioptachadh), no ioma-ghnìomhach (hybrid, co-fhlaitheis), is e sin, cuideachd a’ coileanadh gnìomhan eile (mar eisimpleir, balla-teine ​​​​no router). Bidh diofar luchd-reic a’ seòrsachadh na h-innealan aca gu diofar chlasaichean / roinnean, ach chan eil seo gu diofar - is e an aon rud cudromach an urrainn dhaibh trafaic thar-làraich a chrioptachadh, agus dè na feartan a th’ aca.

Dìreach gun fhios nach eil, tha mi gad chuimhneachadh gur e teirmean neo-fhoirmeil a th’ ann an “crioptachadh lìonra”, “crioptachadh trafaic”, “crioptaiche”, ged a bhios iad gu tric air an cleachdadh. Is dòcha nach lorg thu iad ann an riaghailtean Ruiseanach (a 'gabhail a-steach an fheadhainn a tha a' toirt a-steach GOSTs).

Ìrean crioptachaidh agus modhan tar-chuir

Mus tòisich sinn a’ toirt cunntas air na feartan fhèin a thèid a chleachdadh airson measadh, feumaidh sinn an-toiseach aon rud cudromach a thuigsinn, is e sin an “ìre crioptachaidh.” Mhothaich mi gu bheil e gu tric air ainmeachadh an dà chuid ann an sgrìobhainnean reiceadair oifigeil (ann an tuairisgeulan, leabhraichean-làimhe, msaa) agus ann an còmhraidhean neo-fhoirmeil (aig còmhraidhean, trèanadh). Is e sin, tha e coltach gu bheil fios aig a h-uile duine gu math dè a tha sinn a’ bruidhinn, ach chunnaic mi gu pearsanta beagan troimh-chèile.

Mar sin dè a th’ ann an “ìre crioptachaidh”? Tha e soilleir gu bheil sinn a’ bruidhinn air an àireamh de shreath modail lìonra iomraidh OSI/ISO aig a bheil crioptachadh a’ tachairt. Leugh sinn GOST R ISO 7498-2-99 “Teicneòlas fiosrachaidh. Eadar-cheangal siostaman fosgailte. Modail iomraidh bunaiteach. Pàirt 2. Ailtireachd tèarainteachd fiosrachaidh.” Bhon sgrìobhainn seo faodar a thuigsinn gu bheil an ìre de dhìomhaireachd seirbheis (aon de na dòighean a thoirt seachad a tha crioptachadh) ìre a 'phròtacail, a' bhloc dàta seirbheis ("payload", dàta luchd-cleachdaidh) a tha air a chrioptachadh. Mar a tha e cuideachd sgrìobhte anns an ìre, faodar an t-seirbheis a thoirt seachad an dà chuid aig an aon ìre, “leis fhèin,” agus le cuideachadh bho ìre nas ìsle (seo mar, mar eisimpleir, mar as trice a thèid a chuir an gnìomh ann am MACsec). .

Ann an cleachdadh, tha e comasach dà dhòigh air fiosrachadh crioptaichte a chuir thairis air lìonra (thig IPsec gu inntinn sa bhad, ach lorgar na h-aon mhodhan ann am protocolaidhean eile). ANNS còmhdhail (ris an canar uaireannan dùthchasach) air a chrioptachadh a-mhàin seirbhis bloc dàta, agus tha na cinn-cinn fhathast “fosgailte”, gun chrioptachadh (uaireannan thèid raointean a bharrachd le fiosrachadh seirbheis den algairim crioptachaidh a chur ris, agus tha raointean eile air an atharrachadh agus air an ath-àireamhachadh). ANNS tunail aon mhodh uile pròtacal tha am bloc dàta (is e sin, am paca fhèin) air a chrioptachadh agus air a chuairteachadh ann am bloc dàta seirbheis den aon ìre no nas àirde, is e sin, tha e air a chuairteachadh le cinn-cinn ùra.

Chan eil an ìre crioptachaidh fhèin ann an co-bhonn ri cuid de mhodh tar-chuir math no dona, agus mar sin chan urrainnear a ràdh, mar eisimpleir, gu bheil L3 ann am modh còmhdhail nas fheàrr na L2 ann am modh tunail. Is e dìreach gu bheil mòran de na feartan leis am bi innealan air am measadh an urra riutha. Mar eisimpleir, sùbailteachd agus co-chòrdalachd. Gus obrachadh ann an lìonra L1 (sealaidheachd sruth bit), L2 (atharrachadh frèam) agus L3 (slighe pacaid) ann am modh còmhdhail, feumaidh tu fuasglaidhean a chrioptaicheas aig an aon ìre no nas àirde (air neo eile thèid am fiosrachadh seòlaidh a chrioptachadh agus thèid an dàta a chrioptachadh. gun a bhith a’ ruighinn an ceann-uidhe a tha san amharc), agus tha modh an tunail a’ faighinn thairis air a’ chuingealachadh seo (ged a tha e ag ìobairt feartan cudromach eile).

Mar a nì thu measadh agus coimeas eadar innealan crioptachaidh Ethernet
Còmhdhail agus modhan crioptachaidh tunail L2

A-nis gluaisidh sinn air adhart gu bhith a 'dèanamh anailis air na feartan.

Coileanadh

Airson crioptachadh lìonra, tha coileanadh na bhun-bheachd iom-fhillte, ioma-thaobhach. Tha e a 'tachairt gu bheil modail sònraichte, ged a tha e nas fheàrr ann an aon fheart coileanaidh, nas ìsle ann an tè eile. Mar sin, tha e an-còmhnaidh feumail beachdachadh air na pàirtean uile de choileanadh crioptachaidh agus a’ bhuaidh a th’ aca air coileanadh an lìonraidh agus na h-aplacaidean a bhios ga chleachdadh. An seo is urrainn dhuinn an samhlachas a tharraing le càr, airson a bheil chan e a-mhàin an astar as àirde cudromach, ach cuideachd ùine luathachaidh gu “ceudan”, caitheamh connaidh, agus mar sin air adhart. Bidh companaidhean reic agus an luchd-ceannach comasach a’ toirt deagh aire do fheartan coileanaidh. Mar riaghailt, tha innealan crioptachaidh air an rangachadh a rèir coileanadh ann an loidhnichean reiceadair.

Tha e soilleir gu bheil coileanadh an urra an dà chuid air iom-fhillteachd an lìonraidh agus gnìomhachd criptografach a chaidh a dhèanamh air an inneal (a ’toirt a-steach dè cho math‘ s as urrainn na gnìomhan sin a cho-thaobhadh agus a phìobadh), a bharrachd air coileanadh a ’bhathair agus càileachd a’ firmware. Mar sin, bidh modalan nas sine a’ cleachdadh bathar-cruaidh nas cinneasaiche; uaireannan tha e comasach uidheamachadh le pròiseasairean a bharrachd agus modalan cuimhne. Tha grunn dhòighean-obrach ann airson gnìomhan criptografach a chuir an gnìomh: air aonad giullachd meadhanach coitcheann (CPU), cuairt aonaichte a tha sònraichte do thagradh (ASIC), no cuairt aonaichte loidsig prògramaichte achadh (FPGA). Tha buannachdan agus eas-bhuannachdan aig gach dòigh-obrach. Mar eisimpleir, faodaidh an CPU a bhith na bhotal crioptachaidh, gu sònraichte mura h-eil stiùireadh sònraichte aig a ’phròiseasar gus taic a thoirt don algairim crioptachaidh (no mura tèid an cleachdadh). Tha dìth sùbailteachd aig sgoltagan sònraichte; chan eil e an-còmhnaidh comasach an “ath-nuadhachadh” gus coileanadh a leasachadh, gnìomhan ùra a chuir ris, no cuir às do chugallachd. A bharrachd air an sin, bidh an cleachdadh a ’fàs prothaideach a-mhàin le meudan toraidh mòr. Sin as coireach gu bheil an “meadhan òir” air fàs cho mòr-chòrdte - cleachdadh FPGA (FPGA ann an Ruisis). Is ann air FPGAn a tha na luathadairean crypto ris an canar air an dèanamh - modalan bathar-cruaidh sònraichte togte no plug-in airson taic a thoirt do ghnìomhachd criptografach.

Leis gu bheil sinn a 'bruidhinn mu dheidhinn lìonra crioptachadh, tha e loidsigeach gum bu chòir coileanadh fhuasglaidhean a bhith air a thomhas anns na h-aon mheudan ri innealan lìonra eile - throughput, ceudad de chall frèam agus latency. Tha na luachan sin air am mìneachadh ann an RFC 1242. Air an t-slighe, chan eil dad air a sgrìobhadh mun atharrachadh dàil air ainmeachadh gu tric (jitter) anns an RFC seo. Ciamar a thomhas na meudan sin? Cha do lorg mi dòigh-obrach a chaidh aontachadh ann an inbhean sam bith (oifigeil no neo-oifigeil leithid RFC) gu sònraichte airson crioptachadh lìonra. Bhiodh e loidsigeach am modh-obrach a chleachdadh airson innealan lìonra a tha air an stèidheachadh ann an inbhe RFC 2544. Bidh mòran de luchd-reic ga leantainn - mòran, ach chan eil iad uile. Mar eisimpleir, bidh iad a’ cur trafaic deuchainn ann an aon taobh a-mhàin an àite an dà chuid, mar air a mholadh àbhaisteach. Co-dhiù.

Tha na feartan aige fhathast aig tomhas coileanadh innealan crioptachaidh lìonra. An toiseach, tha e ceart a h-uile tomhas a dhèanamh airson paidhir innealan: ged a tha na h-algorithms crioptachaidh co-chothromach, cha bhith dàil agus call pacaid rè crioptachadh agus dì-chrioptachadh gu riatanach co-ionann. San dàrna h-àite, tha e ciallach an delta a thomhas, buaidh crioptachadh lìonra air coileanadh an lìonra mu dheireadh, a’ dèanamh coimeas eadar dà rèiteachadh: às aonais innealan crioptachaidh agus leotha. No, mar a tha fìor le innealan tar-chinealach, a bhios a’ cothlamadh grunn ghnìomhan a bharrachd air crioptachadh lìonra, le crioptachadh air a chuir dheth agus air adhart. Faodaidh a 'bhuaidh seo a bhith eadar-dhealaichte agus an urra ri sgeama ceangail nan innealan crioptachaidh, air na modhan obrachaidh, agus mu dheireadh, air nàdar an trafaig. Gu sònraichte, tha mòran pharaimearan coileanaidh an urra ri fad nam pacaidean, agus is e sin as coireach, gus coimeas a dhèanamh eadar coileanadh diofar fhuasglaidhean, bidh grafaichean de na paramadairean sin a rèir fad pacaidean air an cleachdadh gu tric, no thathas a ’cleachdadh IMIX - cuairteachadh trafaic le pacaid faid, a tha timcheall air a’ nochdadh an fhìor fhear. Ma nì sinn coimeas eadar an aon rèiteachadh bunaiteach gun chrioptachadh, is urrainn dhuinn coimeas a dhèanamh eadar fuasglaidhean crioptachaidh lìonra air an cur an gnìomh ann an dòigh eadar-dhealaichte gun a bhith a’ faighinn a-steach do na h-eadar-dhealachaidhean sin: L2 le L3, stòr is air adhart) le gearradh troimhe, speisealaichte le convergent, GOST le AES agus mar sin air adhart.

Mar a nì thu measadh agus coimeas eadar innealan crioptachaidh Ethernet
Diagram ceangail airson deuchainn coileanaidh

Is e a 'chiad fheart a tha daoine a' toirt aire dha "astar" an inneal crioptachaidh, is e sin leud-bann (bandwidth) den eadar-aghaidh lìonra aige, ìre sruth bit. Tha e air a dhearbhadh leis na h-inbhean lìonra a tha a 'faighinn taic bhon eadar-aghaidh. Airson Ethernet, is e na h-àireamhan àbhaisteach 1 Gbps agus 10 Gbps. Ach, mar a tha fios againn, ann an lìonra sam bith a 'char as àirde teòiridheach throughput (trochur) aig gach aon de na h-ìrean aige tha an-còmhnaidh nas lugha de leud-bann: tha pàirt den leud-bann “air ithe suas” le amannan eadar-fhrèam, cinn seirbheis, agus mar sin air adhart. Ma tha inneal comasach air faighinn, giollachd (anns a ’chùis againn, a chrioptachadh no a dhì-chrioptachadh) agus a’ tar-chuir trafaic aig làn astar eadar-aghaidh an lìonra, is e sin, leis an gluasad teòiridheach as àirde airson an ìre seo den mhodail lìonra, thathas ag ràdh a bhith ag obair aig astar loidhne. Gus seo a dhèanamh, feumar an inneal a chall no a thilgeil air falbh pacaidean aig meud sam bith agus aig tricead sam bith. Mura h-eil an inneal crioptachaidh a’ toirt taic do dh’ obair aig astar loidhne, mar as trice bidh an gluasad as àirde aige air a shònrachadh anns na h-aon gigabits gach diog (uaireannan a’ comharrachadh fad nam pacaidean - mar as giorra a bhios na pacaidean, is ann as ìsle a bhios an gluasad a-steach mar as trice). Tha e glè chudromach tuigsinn gur e an gluasad as àirde an ìre as àirde gun chall (eadhon ged as urrainn don inneal trafaic a “phumpadh” troimhe fhèin aig astar nas àirde, ach aig an aon àm a’ call cuid de phasganan). Cuideachd, bi mothachail gu bheil cuid de luchd-reic a 'tomhas an gluasad iomlan eadar gach paidhir phuirt, agus mar sin chan eil na h-àireamhan sin a' ciallachadh mòran ma tha a h-uile trafaig crioptaichte a 'dol tro aon phort.

Càite a bheil e gu sònraichte cudromach obrachadh aig astar loidhne (no, ann am faclan eile, gun chall pacaid)? Ann an ceanglaichean bann-leathann àrd, àrd-latency (leithid saideal), far am feumar meud uinneag TCP mòr a shuidheachadh gus astaran tar-chuir àrd a chumail suas, agus far a bheil call pacaid a’ lughdachadh coileanadh lìonra gu mòr.

Ach chan eil a h-uile leud-bann air a chleachdadh gus dàta feumail a ghluasad. Feumaidh sinn cunntadh leis an rud ris an canar cosgaisean os-cionn (os cionn) bandwidth. Is e seo a’ chuibhreann de thoraidhean an inneal crioptachaidh (mar cheudad no bytes gach pacaid) a tha dha-rìribh air a chaitheamh (cha ghabh a chleachdadh gus dàta tagraidh a ghluasad). Bidh cosgaisean os cionn ag èirigh, an toiseach, mar thoradh air àrdachadh ann am meud (cuideachd, “stuffing”) an raon dàta ann am pacaidean lìonra crioptaichte (a rèir an algairim crioptachaidh agus am modh obrachaidh). San dàrna h-àite, mar thoradh air an àrdachadh ann am fad cinn-cinn pacaid (modh tunail, cuir a-steach seirbheis a’ phròtacal crioptachaidh, cuir a-steach atharrais, msaa a rèir protocol agus modh obrachaidh an cipher agus modh tar-chuir) - mar as trice is e na cosgaisean os-cionn sin an as cudromaiche, agus bheir iad an aire an toiseach. San treas àite, mar thoradh air sgaradh pacaidean nuair a thèid barrachd air meud an aonaid dàta as àirde (MTU) (ma tha an lìonra comasach air pacaid a tha nas àirde na an MTU a roinn ann an dà, a’ dùblachadh a chinn). An ceathramh, air sgàth coltas trafaig seirbheis a bharrachd (smachd) air an lìonra eadar innealan crioptachaidh (airson prìomh iomlaid, stàladh tunail, msaa). Tha cosgaisean os cionn ìosal cudromach far a bheil comas seanail cuibhrichte. Tha seo gu sònraichte follaiseach ann an trafaic bho phasganan beaga, mar eisimpleir, guth - far am faod cosgaisean os-cionn “ithe suas” còrr air leth de astar an t-seanail!

Mar a nì thu measadh agus coimeas eadar innealan crioptachaidh Ethernet
Bandwidth

Mu dheireadh, tha barrachd ann dàil air a thoirt a-steach - an eadar-dhealachadh (ann am bloighean diog) ann an dàil lìonra (an ùine a bheir e airson dàta a dhol seachad bho bhith a’ dol a-steach don lìonra gu bhith ga fhàgail) eadar sgaoileadh dàta às aonais agus le crioptachadh lìonra. San fharsaingeachd, mar as ìsle an latency (“latency”) den lìonra, is ann as deatamaiche a thig an ùine a bheir innealan crioptachaidh a-steach. Tha an dàil air a thoirt a-steach leis an obair crioptachaidh fhèin (a rèir an algairim crioptachaidh, fad a’ bhloca agus modh obrachaidh an t-siorraidh, a bharrachd air càileachd a bhuileachadh anns a’ bhathar-bog), agus giollachd a’ phacaid lìonra san inneal. . Tha an latency a chaidh a thoirt a-steach an urra ris an dà chuid modh giullachd pacaid (pas seachad no stòradh is air adhart) agus coileanadh an àrd-ùrlar (mar as trice tha buileachadh bathar-cruaidh air FPGA no ASIC nas luaithe na buileachadh bathar-bog air CPU). Tha crioptachadh L2 cha mhòr an-còmhnaidh nas ìsle na crioptachadh L3 no L4, leis gu bheil innealan crioptachaidh L3 / L4 gu tric air an co-aonachadh. Mar eisimpleir, le crioptairean Ethernet àrd-astar air an cur an gnìomh air FPGAn agus crioptachadh air L2, tha an dàil mar thoradh air an obair crioptachaidh gu math beag - uaireannan nuair a tha crioptachadh air a chomasachadh air paidhir innealan, bidh an dàil iomlan a thug iad a-steach eadhon a’ lughdachadh! Tha latency ìosal cudromach far a bheil e an coimeas ri dàil seanail iomlan, a’ toirt a-steach dàil iomadachaidh, a tha timcheall air 5 μs gach cilemeatair. Is e sin, faodaidh sinn a ràdh, airson lìonraidhean sgèile bailteil (deichean de chilemeatairean tarsainn), faodaidh microseconds mòran a cho-dhùnadh. Mar eisimpleir, airson ath-riochdachadh stòr-dàta sioncronaich, malairt àrd-tricead, an aon blockchain.

Mar a nì thu measadh agus coimeas eadar innealan crioptachaidh Ethernet
Moill air a thoirt a-steach

Scalability

Faodaidh lìonraidhean mòr sgaoilte a bhith a’ toirt a-steach mìltean de nodan agus innealan lìonra, ceudan de roinnean lìonra ionadail. Tha e cudromach nach cuir fuasglaidhean crioptachaidh bacadh a bharrachd air meud agus topology an lìonra sgaoilte. Tha seo gu sònraichte a’ buntainn ris an àireamh as motha de sheòlaidhean aoigheachd is lìonra. Faodar a leithid de chuingealachaidhean a choileanadh, mar eisimpleir, nuair a bhios tu a’ cur an gnìomh topology lìonra crioptaichte ioma-phuing (le ceanglaichean tèarainte neo-eisimeileach, no tunailean) no crioptachadh roghnach (mar eisimpleir, le àireamh protocol no VLAN). Ma tha seòlaidhean lìonraidh sa chùis seo (MAC, IP, VLAN ID) air an cleachdadh mar iuchraichean ann an clàr anns a bheil an àireamh de shreathan cuingealaichte, nochdaidh na cuingeadan sin an seo.

A bharrachd air an sin, gu tric bidh grunn shreathan structarail aig lìonraidhean mòra, a’ toirt a-steach am prìomh lìonra, agus bidh gach fear dhiubh a’ cur an gnìomh a sgeama seòlaidh fhèin agus a phoileasaidh slighe fhèin. Gus an dòigh-obrach seo a bhuileachadh, bidh cruthan frèam sònraichte (leithid Q-in-Q no MAC-in-MAC) agus protocolaidhean dearbhaidh slighe air an cleachdadh gu tric. Gus nach cuir thu bacadh air togail lìonraidhean mar sin, feumaidh innealan crioptachaidh na frèamaichean sin a làimhseachadh gu ceart (is e sin, san t-seagh seo, bidh scalability a ’ciallachadh co-chòrdalachd - barrachd air sin gu h-ìosal).

Sùbailteachd

An seo tha sinn a 'bruidhinn mu bhith a' toirt taic do dhiofar rèiteachaidhean, sgeamaichean ceangail, topologies agus rudan eile. Mar eisimpleir, airson lìonraidhean suidse stèidhichte air teicneòlasan Carrier Ethernet, tha seo a’ ciallachadh taic airson diofar sheòrsaichean de cheanglaichean brìgheil (E-Line, E-LAN, E-Tree), diofar sheòrsaichean seirbheis (gach cuid le port agus VLAN) agus diofar theicneòlasan còmhdhail. (tha iad mar-thà air an liostadh gu h-àrd). Is e sin, feumaidh an inneal a bhith comasach air obrachadh an dà chuid ann am modhan sreathach (“puing-gu-puing”) agus ioma-phuing, stèidheachadh tunailean fa leth airson diofar VLANn, agus leigeil le lìbhrigeadh pacaidean taobh a-muigh òrdugh taobh a-staigh sianal tèarainte. Leigidh an comas diofar mhodhan cipher a thaghadh (a’ gabhail a-steach le no às aonais dearbhadh susbaint) agus diofar mhodhan tar-chuir pacaid dhut cothromachadh fhaighinn eadar neart is coileanadh a rèir an t-suidheachaidh làithreach.

Tha e cuideachd cudromach taic a thoirt don dà chuid lìonraidhean prìobhaideach, aig a bheil an uidheamachd le aon bhuidheann (no air màl dha), agus lìonraidhean gnìomhaiche, agus tha diofar earrannan dhiubh air an riaghladh le diofar chompanaidhean. Tha e math ma tha am fuasgladh a’ ceadachadh riaghladh an dà chuid a-staigh agus le treas phàrtaidh (a’ cleachdadh modal seirbheis stiùirichte). Ann an lìonraidhean gnìomhaiche, is e gnìomh cudromach eile taic airson ioma-ghabhaltas (roinneadh le luchd-ceannach eadar-dhealaichte) ann an cruth aonaranachd criptografach de luchd-ceannach fa-leth (fo-sgrìobhaichean) aig a bheil trafaic a ’dol tron ​​​​aon sheata de dh’ innealan crioptachaidh. Mar as trice bidh seo a’ feumachdainn seataichean eadar-dhealaichte de iuchraichean is theisteanasan a chleachdadh airson gach teachdaiche.

Ma thèid inneal a cheannach airson suidheachadh sònraichte, is dòcha nach bi na feartan sin uile glè chudromach - feumaidh tu dèanamh cinnteach gu bheil an inneal a ’toirt taic do na tha a dhìth ort a-nis. Ach ma thèid fuasgladh a cheannach “airson fàs”, gus taic a thoirt do shuidheachaidhean san àm ri teachd cuideachd, agus air a thaghadh mar “inbhe corporra”, cha bhith sùbailteachd iomarcach - gu sònraichte a’ toirt aire do na cuingeadan air eadar-obrachalachd innealan bho luchd-reic eadar-dhealaichte ( barrachd air seo gu h-ìosal).

Sìmplidh agus goireasachd

Tha furasta seirbheis cuideachd na bhun-bheachd ioma-ghnìomhach. Mu thuairmeas, is urrainn dhuinn a ràdh gur e seo an ùine iomlan a chuir eòlaichean seachad teisteanas sònraichte a dh 'fheumar gus taic a thoirt do fhuasgladh aig diofar ìrean den chuairt-beatha aige. Mura h-eil cosgaisean ann, agus gu bheil stàladh, rèiteachadh agus obrachadh gu tur fèin-ghluasadach, tha na cosgaisean neoni agus tha an goireasachd iomlan. Gu dearbh, chan eil seo a 'tachairt anns an t-saoghal fhìor. Tha tuairmse reusanta na mhodail "snaidhm air sreang" (bump-in-the-wire), no ceangal follaiseach, far nach eil feum air innealan crioptachaidh a chuir ris agus a chuir à comas atharrachaidhean làimhe no fèin-ghluasadach air rèiteachadh an lìonraidh. Aig an aon àm, tha cumail suas an fhuasglaidh air a dhèanamh nas sìmplidhe: faodaidh tu an gnìomh crioptachaidh a thionndadh air agus dheth gu sàbhailte, agus ma tha sin riatanach, dìreach “seachnadh” an inneal le càball lìonra (is e sin, ceangail gu dìreach na puirt sin den uidheamachd lìonra ris a bheil bha e ceangailte). Fìor, tha aon eas-bhuannachd ann - faodaidh neach-ionnsaigh an aon rud a dhèanamh. Gus am prionnsapal "node air uèir" a bhuileachadh, feumar aire a thoirt chan ann a-mhàin air trafaic sreath dàtaach sreathan smachd agus stiùiridh - feumaidh innealan a bhith follaiseach dhaibh. Mar sin, chan urrainnear an trafaic sin a chrioptachadh ach nuair nach eil luchd-faighinn den t-seòrsa trafaic sin san lìonra eadar na h-innealan crioptachaidh, oir ma thèid a chuir air falbh no a chrioptachadh, an uairsin nuair a bheir thu comas no cuir à comas crioptachadh, faodaidh rèiteachadh an lìonraidh atharrachadh. Faodaidh an inneal crioptachaidh a bhith follaiseach cuideachd a thaobh comharran còmhdach corporra. Gu sònraichte, nuair a thèid comharra a chall, feumaidh e an call seo a chuir a-mach (is e sin, na luchd-sgaoilidh aige a chuir dheth) air ais is air adhart (“dha fhèin”) gu stiùir a’ chomharra.

Tha taic ann an roinn ùghdarrais eadar na roinnean tèarainteachd fiosrachaidh agus IT, gu sònraichte roinn an lìonraidh, cuideachd cudromach. Feumaidh am fuasgladh crioptachaidh taic a thoirt do mhodail smachd ruigsinneachd agus sgrùdaidh na buidhne. Bu chòir an fheum air eadar-obrachadh eadar diofar roinnean gus obair àbhaisteach a dhèanamh a bhith air a lughdachadh. Mar sin, tha buannachd ann a thaobh goireasachd airson innealan sònraichte a bheir taic do ghnìomhan crioptachaidh a-mhàin agus a tha cho follaiseach sa ghabhas airson gnìomhachd lìonra. Gu sìmplidh, cha bu chòir adhbhar sam bith a bhith aig luchd-obrach tèarainteachd fiosrachaidh fios a chuir gu “eòlaichean lìonraidh” gus roghainnean lìonra atharrachadh. Agus cha bu chòir an fheadhainn sin, an uair sin, a bhith feumach air roghainnean crioptachaidh atharrachadh nuair a bhios iad a’ cumail suas an lìonra.

Is e feart eile comas agus goireasachd nan smachdan. Bu chòir dhaibh a bhith lèirsinneach, loidsigeach, a’ toirt seachad in-mhalairt-às-mhalairt de shuidheachaidhean, fèin-ghluasad, agus mar sin air adhart. Bu chòir dhut aire a thoirt sa bhad do na roghainnean riaghlaidh a tha rim faighinn (mar as trice an àrainneachd riaghlaidh aca fhèin, eadar-aghaidh lìn agus loidhne-àithne) agus dè an seata de dhleastanasan a tha aig gach fear dhiubh (tha cuingealachaidhean ann). Is e gnìomh cudromach taic a-mach às a 'chòmhlan smachd (taobh a-muigh a 'chòmhlain), is e sin, tro lìonra smachd sònraichte, agus in-chòmhlan smachd (in-chòmhlan), is e sin, tro lìonra coitcheann tro bheil trafaig feumail air a ghluasad. Feumaidh innealan riaghlaidh a h-uile suidheachadh neo-àbhaisteach a chomharrachadh, a’ toirt a-steach tachartasan tèarainteachd fiosrachaidh. Bu chòir gnìomhachd àbhaisteach, ath-aithris a dhèanamh gu fèin-ghluasadach. Tha seo gu sònraichte a’ buntainn ri prìomh riaghladh. Bu chòir dhaibh a bhith air an cruthachadh / air an sgaoileadh gu fèin-ghluasadach. Tha taic PKI na bhuannachd mhòr.

-chòrdalachd

Is e sin, co-chòrdalachd an inneal le inbhean lìonra. A bharrachd air an sin, tha seo a’ ciallachadh chan e a-mhàin inbhean gnìomhachais air an gabhail le buidhnean ùghdarrasach leithid IEEE, ach cuideachd protocolaidhean seilbh stiùirichean gnìomhachais, leithid Cisco. Tha dà phrìomh dhòigh air dèanamh cinnteach à co-chòrdalachd: an dàrna cuid troimhe follaiseachd, no troimhe taic follaiseach protocols (nuair a thig inneal crioptachaidh gu bhith na aon de na nodan lìonra airson protocol sònraichte agus a’ pròiseasadh trafaic smachd a ’phròtacail seo). Tha co-chòrdalachd le lìonraidhean an urra ri iomlanachd agus ceart buileachadh protocolaidhean smachd. Tha e cudromach taic a thoirt do dhiofar roghainnean airson ìre PHY (astar, meadhan tar-chuir, sgeama còdaidh), frèamaichean Ethernet de dhiofar chruthan le MTU sam bith, protocolaidhean seirbheis L3 eadar-dhealaichte (gu sònraichte an teaghlach TCP / IP).

Tha follaiseachd air a dhèanamh cinnteach tro uidheamachdan mùthaidh (ag atharrachadh gu sealach susbaint cinn fosgailte ann an trafaic eadar crioptairean), sgiobadh (nuair a dh’ fhanas pacaidean fa leth gun chrioptachadh) agus cuir a-steach toiseach crioptachaidh (nuair nach àbhaist raointean pacaidean crioptaichte a chrioptachadh).

Mar a nì thu measadh agus coimeas eadar innealan crioptachaidh Ethernet
Mar a tha follaiseachd air a dhèanamh cinnteach

Mar sin, dèan cinnteach an-còmhnaidh mar a tha taic airson protocol sònraichte air a thoirt seachad. Gu math tric tha taic ann am modh follaiseach nas freagarraiche agus nas earbsaiche.

Eadar-obrachaidh

Tha seo cuideachd co-chòrdalachd, ach ann an dòigh eadar-dhealaichte, is e sin an comas a bhith ag obair còmhla ri modailean eile de chrioptachadh innealan, nam measg an fheadhainn bho luchd-saothrachaidh eile. Tha mòran an urra ri staid àbhaisteachadh protocolaidhean crioptachaidh. Gu sìmplidh chan eil inbhean crioptachaidh ris an gabhar san fharsaingeachd air L1.

Tha inbhe 2ae (MACsec) ann airson crioptachadh L802.1 air lìonraidhean Ethernet, ach chan eil e a’ cleachdadh ceann-gu-deireadh (ceann-gu-deireadh), agus eadar-ghuidhe, crioptachadh “hop-by-hop”, agus anns an dreach tùsail aige mì-fhreagarrach airson a chleachdadh ann an lìonraidhean sgaoilte, agus mar sin tha na leudachain seilbh aige air nochdadh a fhuair thairis air a ’chuingealachadh seo (gu dearbh, mar thoradh air eadar-obrachadh le uidheamachd bho luchd-saothrachaidh eile). Fìor, ann an 2018, chaidh taic airson lìonraidhean sgaoilte a chur ris an inbhe 802.1ae, ach chan eil taic ann fhathast airson seataichean algorithm crioptachaidh GOST. Mar sin, tha protocolaidhean crioptachaidh L2 seilbh, neo-àbhaisteach, mar riaghailt, air an comharrachadh le barrachd èifeachdais (gu sònraichte, leud-bann nas ìsle os cionn) agus sùbailteachd (an comas algorithms agus modhan crioptachaidh atharrachadh).

Aig ìrean nas àirde (L3 agus L4) tha inbhean aithnichte, gu sònraichte IPsec agus TLS, ach an seo cuideachd chan eil e cho sìmplidh. Is e an fhìrinn gur e seata de phròtacalan a th’ anns gach aon de na h-inbhean sin, gach fear le dreachan eadar-dhealaichte agus leudachaidhean riatanach no roghainneil airson a bhuileachadh. A bharrachd air an sin, is fheàrr le cuid de luchd-saothrachaidh na protocolaidhean crioptachaidh seilbh aca a chleachdadh air L3 / L4. Mar sin, sa mhòr-chuid de chùisean cha bu chòir dhut cunntadh air eadar-obrachadh iomlan, ach tha e cudromach gum bi co-dhiù eadar-obrachadh eadar diofar mhodalan agus ginealaichean eadar-dhealaichte den aon neach-dèanamh cinnteach.

Fiachan

Gus coimeas a dhèanamh eadar diofar fhuasglaidhean, faodaidh tu an dàrna cuid ùine mheadhanach a chleachdadh eadar fàilligidhean no factar ruigsinneachd. Mura h-eil na h-àireamhan sin rim faighinn (no mura h-eil earbsa annta), faodar coimeas càileachdail a dhèanamh. Bidh buannachd aig innealan le riaghladh goireasach (nas lugha de chunnart bho mhearachdan rèiteachaidh), crioptairean sònraichte (airson an aon adhbhar), a bharrachd air fuasglaidhean le glè bheag de ùine gus fàiligeadh a lorg agus a chuir às, a’ toirt a-steach dòighean air cùl-taic “teth” de nodan slàn agus innealan.

cosgais

Nuair a thig e gu cosgais, mar a tha leis a’ mhòr-chuid de fhuasglaidhean IT, tha e ciallach coimeas a dhèanamh eadar cosgais iomlan seilbh. Gus obrachadh a-mach, chan fheum thu a 'chuibhle ath-chruthachadh, ach cleachd dòigh-obrach iomchaidh sam bith (mar eisimpleir, bho Gartner) agus àireamhair sam bith (mar eisimpleir, am fear a tha air a chleachdadh mar-thà anns a' bhuidheann gus TCO obrachadh a-mach). Tha e soilleir, airson fuasgladh crioptachadh lìonra, gur e cosgais iomlan seilbh dìreach cosgaisean ceannach no màl am ​​fuasgladh fhèin, bun-structar airson uidheamachd aoigheachd agus cosgaisean cleachdadh, rianachd agus cumail suas (ge bith an ann an taigh no ann an cruth seirbheisean treas-phàrtaidh), a bharrachd air neo-dhìreach cosgaisean bho ùine downt fuasglaidh (air adhbhrachadh le call cinneasachd neach-cleachdaidh deireannach). Is dòcha nach eil ann ach aon mhìorbhail. Faodar beachdachadh air buaidh dèanadais an fhuasglaidh ann an diofar dhòighean: an dàrna cuid mar chosgaisean neo-dhìreach air adhbhrachadh le cinneasachd caillte, no mar chosgaisean dìreach “fìrinneach” airson ceannach / ùrachadh agus cumail suas innealan lìonraidh a nì dìoladh airson call coileanadh lìonra mar thoradh air cleachdadh innealan lìonraidh. crioptachadh. Ann an suidheachadh sam bith, tha e nas fheàrr cosgaisean a tha doirbh obrachadh a-mach le mionaideachd gu leòr fhàgail a-mach às an àireamhachadh: mar seo bidh barrachd misneachd anns an luach deireannach. Agus, mar as àbhaist, co-dhiù, tha e ciallach coimeas a dhèanamh eadar diofar innealan le TCO airson suidheachadh sònraichte den cleachdadh - fìor no àbhaisteach.

Seasmhachd

Agus is e am feart mu dheireadh seasmhachd an fhuasglaidh. Anns a’ mhòr-chuid de chùisean, chan urrainnear seasmhachd a mheasadh ach gu càileachdail le bhith a’ dèanamh coimeas eadar diofar fhuasglaidhean. Feumaidh sinn cuimhneachadh gu bheil innealan crioptachaidh chan ann a-mhàin mar dhòigh, ach cuideachd mar adhbhar dìon. Faodaidh iad a bhith fosgailte do dhiofar chunnartan. Aig fìor thoiseach tha na cunnartan bho bhith a’ briseadh dìomhaireachd, ath-riochdachadh agus atharrachadh teachdaireachdan. Faodar na bagairtean sin a thoirt gu buil tro so-leòntachd an cipher no na modhan fa leth aige, tro so-leòntachd ann am protocolaidhean crioptachaidh (a’ gabhail a-steach aig ìrean stèidheachadh ceangail agus iuchraichean gineadh / sgaoileadh). Bidh a’ bhuannachd ann airson fuasglaidhean a leigeas leis an algairim crioptachaidh atharrachadh no am modh cipher atharrachadh (co-dhiù tro ùrachadh firmware), fuasglaidhean a bheir seachad an crioptachadh as coileanta, a’ falach bhon neach-ionnsaigh chan ann a-mhàin dàta luchd-cleachdaidh, ach cuideachd seòladh agus fiosrachadh seirbheis eile. , a bharrachd air fuasglaidhean teignigeach a tha chan ann a-mhàin a’ cuairteachadh, ach cuideachd a’ dìon teachdaireachdan bho ath-riochdachadh agus atharrachadh. Airson a h-uile algairim crioptachaidh ùr-nodha, ainmean-sgrìobhte dealanach, prìomh ghinealach, msaa, a tha air an daingneachadh ann an inbhean, faodar gabhail ris gu bheil an neart mar an ceudna (air neo faodaidh tu dìreach a dhol air chall ann am fàsach cryptography). Am bu chòir dhaibh seo a bhith nan algorithms GOST? Tha a h-uile dad sìmplidh an seo: ma tha suidheachadh an tagraidh a’ feumachdainn teisteanas FSB airson CIPF (agus anns an Ruis mar as trice tha seo fìor; airson a’ mhòr-chuid de shuidheachaidhean crioptachaidh lìonra tha seo fìor), cha bhith sinn a’ taghadh ach eadar feadhainn le teisteanas. Mura h-eil, chan eil adhbhar ann a bhith a’ dùnadh a-mach innealan gun teisteanasan bho bheachdachadh.

Is e cunnart eile an cunnart bho bhith a’ slaodadh, ruigsinneachd gun chead air innealan (a’ toirt a-steach ruigsinneachd corporra taobh a-muigh agus taobh a-staigh na cùise). Faodar an cunnart a choileanadh tro
so-leòntachd ann am buileachadh - ann am bathar-cruaidh is còd. Mar sin, bidh fuasglaidhean le glè bheag de “uachdar ionnsaigh” tron ​​​​lìonra, le pàircean air an dìon bho ruigsinneachd corporra (le mothachaidhean sàrachaidh, dìon sgrùdaidh agus ath-shuidheachadh fèin-ghluasadach de phrìomh fhiosrachadh nuair a thèid an cuairteachadh fhosgladh), a bharrachd air an fheadhainn a leigeas le ùrachadh firmware. buannachd ma thig fios gu bheil so-leòntachd sa chòd. Tha dòigh eile ann: ma tha teisteanasan FSB aig a h-uile inneal a thathar a’ dèanamh coimeas, faodar beachdachadh air a’ chlas CIPF air an deach an teisteanas a thoirt seachad mar chomharradh air strì an aghaidh hacaidh.

Mu dheireadh, is e seòrsa eile de chunnart mearachdan rè stèidheachadh agus obrachadh, am bàillidh daonna anns a’ chruth fhìor-ghlan aige. Tha seo a’ sealltainn buannachd eile bho chrioptachadh sònraichte thairis air fuasglaidhean co-aonaichte, a tha gu tric ag amas air “eòlaichean lìonraidh” eòlach agus a dh’ fhaodadh duilgheadasan adhbhrachadh dha eòlaichean tèarainteachd fiosrachaidh “àbhaisteach”, coitcheann.

Geàrr-chunntas

Ann am prionnsabal, an seo bhiodh e comasach cuid de chomharran bunaiteach a mholadh airson coimeas a dhèanamh eadar diofar innealan, rudeigin mar

$$display$$K_j=∑p_i r_{ij}$$display$$

far a bheil p na chuideam an comharra, agus r tha ìre an inneil a rèir a’ chomharra seo, agus faodar gin de na feartan gu h-àrd a roinn ann an comharran “atamach”. Dh’ fhaodadh foirmle mar seo a bhith feumail, mar eisimpleir, nuair a thathar a’ dèanamh coimeas eadar molaidhean tairgse a rèir riaghailtean a chaidh aontachadh ro-làimh. Ach faodaidh tu faighinn seachad le clàr sìmplidh mar

Cùisean
Inneal 1
Inneal 2
...
Inneal N

Bandwidth
+
+

+++

Osbarr
+
++

+++

Dàil
+
+

++

Scalability
+++
+

+++

Sùbailteachd
+++
++

+

Eadar-obrachaidh
++
+

+

-chòrdalachd
++
++

+++

Sìmplidh agus goireasachd
+
+

++

fulangas lochd
+++
+++

++

cosgais
++
+++

+

Seasmhachd
++
++

+++

Bidh mi toilichte ceistean agus càineadh cuideachail a fhreagairt.

Source: www.habr.com

Cuir beachd ann