ProHoster > Pūnaewele > Nā Administration > Pehea e loiloi a hoʻohālikelike i nā mea hoʻopunipuni Ethernet

Pehea e loiloi a hoʻohālikelike i nā mea hoʻopunipuni Ethernet

Ua kākau wau i kēia loiloi (a i ʻole, inā makemake ʻoe, he alakaʻi hoʻohālikelike) i ka wā i hana ʻia ai au me ka hoʻohālikelike ʻana i nā mea hana mai nā mea kūʻai like ʻole. Eia kekahi, ua pili kēia mau mea hana i nā papa like ʻole. Pono wau e hoʻomaopopo i ka hoʻolālā a me nā ʻano o kēia mau mea hana a hana i kahi "coordinate system" no ka hoʻohālikelike. E hauʻoli wau inā kōkua kaʻu loiloi i kekahi:

  • E hoʻomaopopo i nā wehewehe a me nā kikoʻī o nā mea hoʻopunipuni
  • E hoʻokaʻawale i nā ʻano "pepa" mai nā mea koʻikoʻi i ke ola maoli
  • E hele ma mua o ka hoʻonohonoho maʻamau o nā mea kūʻai aku a hoʻokomo i ka noʻonoʻo ʻana i nā huahana i kūpono no ka hoʻoponopono ʻana i ka pilikia
  • E nīnau i nā nīnau kūpono i ka wā kūkākūkā
  • E kākau i nā koi hoʻolimalima (RFP)
  • E hoʻomaopopo i nā hiʻohiʻona e pono ke kaumaha ʻia inā koho ʻia kekahi kumu hoʻohālike

ʻO ka mea hiki ke loiloi

Ma ke kumu, pili kēia ala i nā mea kūʻokoʻa kūpono no ka hoʻopili ʻana i ka ʻoihana pūnaewele ma waena o nā ʻāpana Ethernet mamao (cross-site encryption). ʻO ia hoʻi, "nā pahu" i kahi hihia ʻokoʻa (maikaʻi, e hoʻokomo pū mākou i nā lau / modules no ka chassis ma ʻaneʻi), i hoʻopili ʻia ma o hoʻokahi a ʻoi aku paha nā awa Ethernet i kahi pūnaewele Ethernet kūloko (campus) me ka hoʻopili ʻole ʻia, a ma o (mau) awa hou aku i ke alahele/uenaena kahi e hoʻouna ʻia ai nā kaʻa i hoʻopili ʻia i nā ʻāpana mamao ʻē aʻe. Hiki ke hoʻopili ʻia kēlā ʻano hoʻopiʻi hoʻopunipuni i loko o kahi pūnaewele pilikino a i ʻole nā ​​​​mea hoʻohana ma o nā ʻano like ʻole o ka "transport" (ʻeleʻele ʻeleʻele, nā mea hoʻokaʻawale pinepine, Ethernet hoʻololi ʻia, a me nā "pseudowires" i waiho ʻia ma o kahi pūnaewele me kahi ʻano hoʻokele ala ʻē aʻe, ʻo MPLS pinepine. ), me ka ʻenehana VPN a i ʻole.

Pehea e loiloi a hoʻohālikelike i nā mea hoʻopunipuni Ethernet
ʻO ka hoʻopili ʻana i ka pūnaewele ma kahi pūnaewele Ethernet i puʻunaue ʻia

ʻO nā mea hana pono'ī paha kūikawā (i manaʻo wale ʻia no ka hoʻopunipuni), a i ʻole multifunctional (hybrid, convergent), ʻo ia hoʻi, e hana ana i nā hana ʻē aʻe (no ka laʻana, kahi pā ahi a i ʻole router). Hoʻokaʻawale nā ​​​​mea kūʻai like ʻole i kā lākou mau hāmeʻa i loko o nā papa like ʻole, akā ʻaʻole pili kēia - ʻo ka mea nui wale nō inā hiki iā lākou ke hoʻopili i nā kaʻa kaʻa kaʻa, a me nā ʻano o lākou.

ʻO ka hihia wale nō, hoʻomanaʻo wau iā ʻoe ʻo "hoʻopili pūnaewele", "hoʻopili kaʻahele", "hoʻopunipuni" he mau huaʻōlelo maʻamau, ʻoiai ua hoʻohana pinepine ʻia. ʻAʻole paha ʻoe e loaʻa iā lākou ma nā lula Lūkini (me nā mea e hoʻolauna nei i nā GOST).

Nā pae hoʻopunipuni a me nā ʻano hoʻouna

Ma mua o ka hoʻomaka ʻana e wehewehe i nā ʻano ponoʻī e hoʻohana ʻia no ka loiloi, e hoʻomaopopo mua mākou i hoʻokahi mea nui, ʻo ia hoʻi ka "level encryption". Ua ʻike au ua ʻōlelo pinepine ʻia ia ma nā palapala kūʻai kūʻai kūhelu (ma nā wehewehe, manuals, etc.) ʻO ia hoʻi, ʻike pono nā kānaka a pau i kā mākou e kamaʻilio nei, akā ua ʻike pilikino wau i kekahi huikau.

No laila he aha ka "pae hoʻopunipuni"? Ua maopopo ke kamaʻilio nei mākou e pili ana i ka helu o ka OSI/ISO reference network model layer kahi i hoʻopili ʻia ai. Heluhelu mākou iā GOST R ISO 7498-2–99 "ʻenehana ʻike. Hoʻohui o nā ʻōnaehana hāmama. kumu hoʻohālike kumu. Mahele 2. Hoʻolālā palekana ʻike. Mai kēia palapala hiki ke hoʻomaopopo ʻia ʻo ke kiʻekiʻe o ka lawelawe huna (kekahi o nā mīkini no ka hoʻolako ʻana i ka hoʻopunipuni) ʻo ia ka pae o ka protocol, ka poloka data lawelawe ("payload", data mea hoʻohana) i hoʻopili ʻia. E like me ka mea i kākau ʻia ma ka maʻamau, hiki ke hāʻawi ʻia ka lawelawe ma ka pae like, "ma kāna iho," a me ke kōkua o kahi pae haʻahaʻa (ʻo ia ke ʻano, no ka laʻana, hoʻokō pinepine ʻia ma MACsec) .

I ka hoʻomaʻamaʻa, hiki i ʻelua mau ʻano o ka hoʻouna ʻana i ka ʻike i hoʻopili ʻia ma luna o kahi pūnaewele (hiki koke iā IPsec i ka noʻonoʻo, akā ʻike ʻia nā ʻano like ʻole i nā protocols ʻē aʻe). IN halihali (i kekahi manawa i kapa ʻia he ʻōiwi) ʻano hoʻopunipuni wale nō lawelawe poloka o ka ʻikepili, a waiho ʻia nā poʻomanaʻo "wehe", ʻaʻole i hoʻopili ʻia (i kekahi manawa ua hoʻohui ʻia nā kahua ʻē aʻe me ka ʻike lawelawe o ka algorithm encryption, a ua hoʻololi ʻia a helu hou ʻia nā kahua ʻē aʻe). IN auwai ke ano like a pau protocol ʻo ka poloka ʻikepili (ʻo ia hoʻi, ka ʻeke ponoʻī) ua hoʻopili ʻia a hoʻopili ʻia i loko o kahi poloka ʻikepili lawelawe o ka pae like a i ʻole ke kiʻekiʻe, ʻo ia hoʻi, ua hoʻopuni ʻia e nā poʻomanaʻo hou.

ʻAʻole maikaʻi a maikaʻi ʻole ka pae hoʻopunipuni ponoʻī i hui pū ʻia me kekahi ʻano hoʻouna, no laila ʻaʻole hiki ke ʻōlelo ʻia, no ka laʻana, ʻoi aku ka maikaʻi o ka L3 ma ke ʻano halihali ma mua o L2 ma ke ʻano tunnel. ʻO ia wale nō ka nui o nā hiʻohiʻona e loiloi ʻia ai nā mea hana ma luna o lākou. ʻO kahi laʻana, ka maʻalahi a me ka hoʻohālikelike. No ka hana ʻana i kahi pūnaewele L1 (bit stream relay), L2 (frame switching) a me L3 (packet routing) ma ke ʻano kaʻa, pono ʻoe i nā hoʻonā e hoʻopili ai i ka pae like a i ʻole ke kiʻekiʻe (inā ʻaʻole e hoʻopili ʻia ka ʻike helu wahi a e hoʻopili ʻia ka ʻikepili. ʻaʻole hiki i kona wahi i manaʻo ʻia), a ua lanakila ke ʻano tunnel i kēia palena (ʻoiai ke kaumaha nei i nā ʻano koʻikoʻi ʻē aʻe).

Pehea e loiloi a hoʻohālikelike i nā mea hoʻopunipuni Ethernet
ʻO nā ʻano hoʻopunipuni L2 ka halihali a me ka tunnel

I kēia manawa e neʻe kākou i ka nānā ʻana i nā ʻano.

'Ohanahana

No ka hoʻopili pūnaewele, ʻo ka hana he manaʻo paʻakikī, multidimensional. Aia kekahi kumu hoʻohālike, ʻoiai ʻoi aku ka maikaʻi ma kahi hiʻohiʻona hana, haʻahaʻa i kekahi. No laila, pono mau e noʻonoʻo i nā ʻāpana āpau o ka hana hoʻopunipuni a me kā lākou hopena i ka hana o ka pūnaewele a me nā noi e hoʻohana ai. Maanei hiki iā mākou ke kahakiʻi i kahi hoʻohālikelike me kahi kaʻa, no ka mea ʻaʻole nui wale ka wikiwiki o ka wikiwiki, akā ʻo ka manawa wikiwiki hoʻi i "haneri", ka hoʻohana wahie, a pēlā aku. Manaʻo nui nā ʻoihana kūʻai aku a me kā lākou mea kūʻai aku i nā ʻano hana. Ma ke ʻano maʻamau, ua helu ʻia nā mea hoʻopunipuni e pili ana i ka hana ma nā laina mea kūʻai aku.

ʻIke ʻia e pili ana ka hana i ka paʻakikī o ka ʻoihana pūnaewele a me nā hana cryptographic i hana ʻia ma ka hāmeʻa (me ka maikaʻi o kēia mau hana i hiki ke hoʻohālikelike ʻia a pipelined), a me ka hana o ka hāmeʻa a me ka maikaʻi o ka firmware. No laila, hoʻohana nā hiʻohiʻona kahiko i nā lako hana ʻoi aku ka maikaʻi; i kekahi manawa hiki ke hoʻolako iā ia me nā kaʻina hana hou a me nā modula hoʻomanaʻo. Nui nā ala e hoʻokō ai i nā hana cryptographic: ma kahi ʻāpana hoʻoponopono kikowaena kumu nui (CPU), application-specific integrated circuit (ASIC), a i ʻole field-programmable logic integrated circuit (FPGA). Loaʻa i kēlā me kēia ala kona mau pono a me nā pōʻino. No ka laʻana, hiki i ka CPU ke lilo i bottleneck encryption, ʻoiai inā ʻaʻole i loaʻa i ka mea hana nā ʻōlelo kuhikuhi kūikawā e kākoʻo i ka algorithm encryption (a inā ʻaʻole hoʻohana ʻia). ʻAʻole hiki ke hoʻololi i nā pahu kūikawā; ʻaʻole hiki ke "hōʻano hou" iā lākou e hoʻomaikaʻi i ka hana, hoʻohui i nā hana hou, a i ʻole e hoʻopau i nā nāwaliwali. Eia kekahi, ʻoi aku ka maikaʻi o kā lākou hoʻohana ʻana me ka nui o ka hana nui. ʻO ia ke kumu i kaulana loa ai ka "mean gula" - ka hoʻohana ʻana o FPGA (FPGA ma Lūkini). Aia ma luna o nā FPGA i hana ʻia nā mea i kapa ʻia ʻo crypto accelerators - i kūkulu ʻia a i ʻole plug-in i nā modula lako kūikawā no ke kākoʻo ʻana i nā hana cryptographic.

No ka mea, ke kamaʻilio nei mākou pūnaewele encryption, pono e ana ʻia ka hana o nā hoʻonā i ka nui like me nā ʻenehana pūnaewele ʻē aʻe - throughput, ka pakeneka o ka nalowale o ka frame a me ka latency. Ua wehewehe ʻia kēia mau waiwai ma RFC 1242. Ma ke ala, ʻaʻohe mea i kākau ʻia e pili ana i ka hoʻololi pinepine ʻana (jitter) i kēia RFC. Pehea e ana i keia mau nui? ʻAʻole i loaʻa iaʻu kahi ʻano hana i ʻae ʻia i loko o nā kūlana (ʻoihana a ʻole ʻole e like me RFC) kūikawā no ka hoʻopili pūnaewele. He mea kūpono ke hoʻohana ʻana i ke ʻano hana no nā ʻenehana pūnaewele i hoʻopaʻa ʻia i ka maʻamau RFC 2544. He nui nā mea kūʻai aku e hahai iā ia - he nui, ʻaʻole naʻe ʻo nā mea āpau. No ka laʻana, hoʻouna lākou i nā kaʻa hoʻāʻo ma kahi ʻaoʻao hoʻokahi ma mua o nā mea ʻelua, like paipai ʻia maʻamau. Eia naʻe.

ʻO ke ana ʻana i ka hana o nā hāmeʻa hoʻopili pūnaewele aia nō kona mau ʻano ponoʻī. ʻO ka mea mua, pololei ka hoʻokō ʻana i nā ana āpau no nā mea ʻelua: ʻoiai ʻo nā algorithms hoʻopili ʻana he symmetric, lohi a me nā poho packet i ka wā hoʻopunipuni a me ka decryption ʻaʻole pono e like. ʻO ka lua, he mea kūpono ke ana i ka delta, ka hopena o ka hoʻopili ʻana i ka pūnaewele i ka hana hope loa, e hoʻohālikelike ana i ʻelua mau hoʻonohonoho: me ka ʻole o nā mea hoʻopunipuni a me lākou. A i ʻole, e like me ke ʻano o nā ʻenehana hybrid, e hoʻohui i nā hana he nui me ka hoʻopili pūnaewele, me ka hoʻopiʻi ʻana i hoʻopau ʻia. Hiki ke ʻokoʻa kēia mana a hilinaʻi ʻia i ka hoʻopili pili ʻana o nā mea hoʻopunipuni, ma nā ʻano hana, a me ka hope, ma ke ʻano o ke kaʻa. ʻO ka mea nui, nui nā ʻāpana hana e pili ana i ka lōʻihi o nā ʻeke, ʻo ia ke kumu, e hoʻohālikelike i ka hana ʻana o nā ʻano hoʻonā like ʻole, hoʻohana pinepine ʻia nā kiʻi o kēia mau ʻāpana e pili ana i ka lōʻihi o nā ʻeke, a i ʻole hoʻohana ʻia ʻo IMIX - ka hāʻawi ʻana i ke kaʻa ma ka packet. lōʻihi, e pili ana i ka mea maoli. Inā mākou e hoʻohālikelike i ka hoʻonohonoho kumu hoʻokahi me ka ʻole o ka hoʻopili ʻana, hiki iā mākou ke hoʻohālikelike i nā ʻōnaehana hoʻopili pūnaewele i hoʻokō ʻokoʻa me ka ʻole e komo i loko o kēia mau ʻokoʻa: L2 me L3, hale kūʻai-a-mua ) me ka ʻokiʻoki, kūikawā me ka convergent, GOST me AES a pēlā aku.

Pehea e loiloi a hoʻohālikelike i nā mea hoʻopunipuni Ethernet
Kiʻi hoʻohui no ka hoʻāʻo hana

ʻO ka hiʻohiʻona mua e hoʻolohe ai nā kānaka i ka "wikiwiki" o ka mea hoʻopunipuni, ʻo ia hoʻi bandwidth (bandwidth) o kona mau kikowaena pūnaewele, bit flow rate. Hoʻoholoʻia e nā kūlana pūnaewele i kākoʻoʻia e nāʻokoʻa. No Ethernet, ʻo nā helu maʻamau ʻo 1 Gbps a me 10 Gbps. Akā, e like me kā mākou e ʻike ai, i loko o kēlā me kēia pūnaewele i ka theoretical kiʻekiʻe hoʻokomo (throughput) ma kēlā me kēia pae he emi mau ka bandwidth: ʻai ʻia kahi hapa o ka bandwidth e nā interframe intervals, nā poʻo lawelawe, a pēlā aku. Inā hiki i kahi hāmeʻa ke loaʻa, ka hoʻoili ʻana (i kā mākou hihia, hoʻopili a decrypting) a me ka hoʻouna ʻana i nā kaʻa i ka wikiwiki piha o ka ʻoihana pūnaewele, ʻo ia hoʻi, me ka nui o ka theoretical throughput no kēia pae o ka hoʻohālike pūnaewele, a laila ua ʻōlelo ʻia. e hana ana i ka wikiwiki laina. No ka hana ʻana i kēia, pono ʻaʻole e nalowale a hoʻolei paha ka hāmeʻa i nā ʻeke i kēlā me kēia nui a i kēlā me kēia alapine. Inā ʻaʻole kākoʻo ka hāmeʻa hoʻopunipuni i ka hana ma ka wikiwiki o ka laina, a laila ʻike pinepine ʻia ka nui o ka throughput i nā gigabits i kēlā me kēia kekona (i kekahi manawa e hōʻike ana i ka lōʻihi o nā ʻeke - ʻoi aku ka pōkole o nā ʻeke, ʻo ka haʻahaʻa o ka throughput maʻamau). He mea nui ka hoʻomaopopo ʻana i ka nui o ka throughput ka mea nui ʻaʻohe poho (ʻoiai inā hiki i ka mea hana ke "pump" i nā kaʻa ma o ia iho me ka wikiwiki kiʻekiʻe, akā i ka manawa like e nalowale ana kekahi mau ʻeke). Eia kekahi, e makaʻala e ana kekahi mau mea kūʻai aku i ka huina o ka puka ma waena o nā lua o nā awa, no laila ʻaʻole manaʻo nui kēia mau helu inā e hele ana nā kaʻa i hoʻopili ʻia ma ke awa hoʻokahi.

Ma hea kahi mea nui e hana ai me ka wikiwiki o ka laina (a i ʻole, ʻo ia hoʻi, me ka nalowale ʻole o ka ʻeke)? Ma ka bandwidth kiʻekiʻe, nā loulou kiʻekiʻe-latency (e like me ka satellite), kahi e hoʻonohonoho ʻia ai ka nui pukaaniani TCP nui no ka mālama ʻana i ka wikiwiki o ka hoʻouna ʻana, a ma kahi e hoʻemi nui ʻia ai ka hana o ka pūnaewele.

Akā ʻaʻole hoʻohana ʻia ka bandwidth āpau e hoʻoili i ka ʻikepili pono. Pono mākou e helu me ka mea i kapa ʻia nā koina o luna (ke poʻo) bandwidth. ʻO kēia ka ʻāpana o ka hoʻopili ʻana o ka hāmeʻa hoʻopunipuni (ma ke ʻano he pākēneka a i ʻole bytes ma kēlā me kēia ʻeke) i hoʻopau maoli ʻia (ʻaʻole hiki ke hoʻohana ʻia e hoʻololi i ka ʻikepili noi). Piʻi nā kumukūʻai ma luna, ʻo ka mea mua, ma muli o ka hoʻonui ʻana i ka nui (hoʻohui, "mea hoʻohui") o ke kahua ʻikepili i loko o nā ʻeke pūnaewele i hoʻopili ʻia (e pili ana i ka algorithm encryption a me kāna ʻano hana). ʻO ka lua, ma muli o ka piʻi ʻana o ka lōʻihi o nā poʻomanaʻo packet (ke mode tunnel, ka hoʻokomo ʻana o ka protocol encryption, ka hoʻokomo ʻana i ka simulation, a pēlā aku. mea nui loa, a hoʻolohe mua lākou. ʻO ke kolu, ma muli o ka māhele ʻana o nā ʻeke i ka wā i ʻoi aku ai ka nui o ka nui o ka ʻikepili (MTU) (inā hiki i ka pūnaewele ke hoʻokaʻawale i kahi ʻeke i ʻoi aku ma mua o ka MTU i ʻelua, e kope ana i kona mau poʻo). ʻO ka ʻehā, ma muli o ke ʻano o ka lawelawe hou aku (mana) kaʻa ma ka pūnaewele ma waena o nā mea hoʻopunipuni (no ka hoʻololi kī, hoʻonohonoho ʻana i ke kaila, etc.). He mea koʻikoʻi ke poʻo haʻahaʻa ma kahi e kaupalena ʻia ai ka hiki o ke kahawai. ʻIke ʻia kēia ma ke kaʻa ʻana mai nā ʻeke liʻiliʻi, no ka laʻana, leo - kahi e hiki ai ke "ʻai" nā kumukūʻai ma luna o ka hapa o ka wikiwiki o ke kahawai!

Pehea e loiloi a hoʻohālikelike i nā mea hoʻopunipuni Ethernet
Kāhea

ʻO ka hope, ʻoi aku ka nui hoʻokomo lohi - ka ʻokoʻa (ma nā hakina o kekona) i ka lohi o ka pūnaewele (ka manawa e hele ai ka ʻikepili mai ke komo ʻana i ka pūnaewele a i ka haʻalele ʻana) ma waena o ka hoʻouna ʻana i ka ʻikepili me ka ʻole a me ka hoʻopili pūnaewele. Ma ka ʻōlelo maʻamau, ʻo ka haʻahaʻa o ka latency ("latency") o ka pūnaewele, ʻoi aku ka koʻikoʻi o ka latency i hoʻokomo ʻia e nā mea hoʻopili. Hoʻokomo ʻia ka lohi e ka hana hoʻopunipuni ponoʻī (ma muli o ka algorithm encryption, ka lōʻihi o ka poloka a me ke ʻano o ka hana o ka cipher, a me ka maikaʻi o kāna hoʻokō ʻana i ka polokalamu), a me ka hana ʻana o ka ʻeke pūnaewele i ka hāmeʻa. . ʻO ka latency i hoʻokomo ʻia ma muli o ke ʻano hoʻoili packet (pass-through a store-and-forward) a me ka hana ʻana o ka paepae (ʻoi aku ka wikiwiki o ka hoʻokō ʻana i ka lako polokalamu ma kahi FPGA a i ʻole ASIC ma mua o ka hoʻokō ʻana i nā polokalamu ma ka CPU). ʻO ka L2 encryption kokoke i nā manawa a pau he haʻahaʻa haʻahaʻa ma mua o ka L3 a i ʻole L4 encryption, ma muli o ka hoʻopili pinepine ʻana o nā mea hoʻopili L3/L4. No ka laʻana, me ka wikiwiki o ka Ethernet encryptors i hoʻokō ʻia ma nā FPGA a me ka hoʻopili ʻana ma L2, ʻaʻole liʻiliʻi ka lohi ma muli o ka hana hoʻopili - i kekahi manawa ke hoʻohana ʻia ka hoʻopili ʻana ma nā mea ʻelua, e emi ana ka lōʻihi o ka lohi i hoʻokomo ʻia e lākou! He mea koʻikoʻi ka latency haʻahaʻa ma kahi e hoʻohālikelike ʻia me nā lohi holoʻokoʻa holoʻokoʻa, me ka lohi hoʻolaha, ʻo ia ka mea ma kahi o 5 μs i kēlā me kēia kilomika. ʻO ia hoʻi, hiki iā mākou ke ʻōlelo no nā ʻupena kūlanakauhale-nui (ʻumi mau kilomita ma waena), hiki i nā microseconds ke hoʻoholo nui. No ka laʻana, no ka synchronous database replication, kiʻekiʻe-frequency kālepa, ka ia blockchain.

Pehea e loiloi a hoʻohālikelike i nā mea hoʻopunipuni Ethernet
Hoʻokomo lohi

Scalability

Hiki i nā pūnaewele hoʻolaha nui ke hoʻokomo i nā tausani o nā nodes a me nā polokalamu pūnaewele, nā haneli o nā ʻāpana pūnaewele kūloko. He mea nui ka hoʻopiʻi ʻana ʻaʻole e kau i nā kaohi hou i ka nui a me ka topology o ka pūnaewele puʻunaue. Hoʻopili nui kēia i ka helu kiʻekiʻe o nā mea hoʻokipa a me nā helu pūnaewele. Hiki ke ʻike ʻia ia mau palena, no ka laʻana, i ka wā e hoʻokō ai i kahi topology network encrypted multipoint (me nā pilina paʻa kūʻokoʻa, a i ʻole tunnels) a i ʻole ka hoʻopili koho (no ka laʻana, ma ka helu protocol a i ʻole VLAN). Inā ma kēia hihia, hoʻohana ʻia nā ʻōlelo huna pūnaewele (MAC, IP, VLAN ID) ma ke ʻano he kī i loko o ka papaʻaina kahi i kaupalena ʻia ai ka helu o nā lālani, a laila ʻike ʻia kēia mau palena ma aneʻi.

Eia kekahi, loaʻa pinepine nā ʻupena nui i kekahi mau papa hana, me ka pūnaewele kumu, e hoʻokō ana kēlā me kēia i kāna ʻano hoʻoponopono a me kāna kulekele hoʻokele. No ka hoʻokō ʻana i kēia ala, hoʻohana pinepine ʻia nā ʻano kikoʻī kūikawā (e like me Q-in-Q a i ʻole MAC-in-MAC) a me nā protocol hoʻoholo ala. I mea e pale ʻole ai i ke kūkulu ʻia ʻana o ia mau pūnaewele, pono e mālama pono nā mea hoʻopunipuni i kēlā mau papa (ʻo ia hoʻi, ma kēia ʻano, ʻo ka scalability ke ʻano o ka hoʻohālikelike - ʻoi aku ka nui ma lalo).

ʻĀkau

Eia mākou e kamaʻilio nei e pili ana i ke kākoʻo ʻana i nā ʻano hoʻonohonoho like ʻole, nā ʻōnaehana pili, topologies a me nā mea ʻē aʻe. No ka laʻana, no nā pūnaewele hoʻololi e pili ana i nā ʻenehana Carrier Ethernet, ʻo ia ke ʻano o ke kākoʻo ʻana i nā ʻano like ʻole o nā pili virtual (E-Line, E-LAN, E-Tree), nā ʻano lawelawe like ʻole (ma ke awa a me VLAN) a me nā ʻenehana halihali like ʻole. (ua helu mua lākou ma luna). ʻO ia hoʻi, pono e hiki i ka mea hana ke hana ma nā ʻano laina ʻelua ("point-to-point") a me nā ʻano multipoint, e hoʻokumu i nā tunnels kaʻawale no nā VLAN like ʻole, a e ʻae i ka lawe ʻana i waho o ke kauoha o nā ʻeke i loko o kahi ala paʻa. ʻO ka hiki ke koho i nā ʻano cipher like ʻole (me ka hōʻoia ʻana a i ʻole ka ʻike ʻole) a me nā ʻano hoʻoili packet ʻē aʻe e hiki ai iā ʻoe ke hoʻopaʻa i ke kaulike ma waena o ka ikaika a me ka hana ma muli o nā kūlana o kēia manawa.

He mea nui nō hoʻi ke kākoʻo ʻana i nā pūnaewele pilikino ʻelua, nona nā lako hana e hoʻokahi hui (a i hoʻolimalima ʻia iā ia), a me nā ʻoihana hoʻohana, nā ʻāpana like ʻole e mālama ʻia e nā ʻoihana like ʻole. Maikaʻi inā ʻae ka hoʻonā i ka hoʻokele i loko o ka hale a me kahi ʻaoʻao ʻekolu (e hoʻohana ana i kahi ʻano lawelawe hoʻokele). Ma nā pūnaewele hoʻohana, ʻo kahi hana koʻikoʻi ʻē aʻe ke kākoʻo no ka multi-tenancy (kaʻana like ʻana e nā mea kūʻai aku ʻē aʻe) ma ke ʻano o ka hoʻokaʻawale cryptographic o kēlā me kēia mea kūʻai aku (nā mea kūʻai aku) e hele ana ke kaʻa i ka hoʻonohonoho like o nā mea hoʻopunipuni. Pono kēia i ka hoʻohana ʻana i nā kī a me nā palapala hōʻoia no kēlā me kēia mea kūʻai.

Inā kūʻai ʻia kahi hāmeʻa no kahi hiʻohiʻona kikoʻī, a laila ʻaʻole koʻikoʻi kēia mau hiʻohiʻona āpau - pono ʻoe e hōʻoia i ke kākoʻo ʻana o ka hāmeʻa i kāu mea e pono ai i kēia manawa. Akā inā kūʻai ʻia kahi hopena "no ka ulu ʻana", e kākoʻo i nā hiʻohiʻona o ka wā e hiki mai ana, a koho ʻia ʻo ia ma ke ʻano he "maʻamau ʻoihana", a laila ʻaʻole nui ka maʻalahi - ʻoi aku ka noʻonoʻo ʻana i nā mea paʻa i ka interoperability o nā hāmeʻa mai nā mea kūʻai aku. e pili ana i kēia ma lalo).

ʻO ka maʻalahi a me ka maʻalahi

ʻO ka maʻalahi o ka lawelawe he manaʻo multifactorial. Ma kahi kokoke, hiki iā mākou ke ʻōlelo ʻo ia ka manawa holoʻokoʻa i hoʻohana ʻia e nā poʻe loea o kekahi ʻano pono e kākoʻo i kahi hoʻonā i nā pae like ʻole o kona pōʻai ola. Inā ʻaʻohe kumu kūʻai, a ʻo ka hoʻonohonoho ʻana, ka hoʻonohonoho ʻana, a me ka hana ʻana he ʻokoʻa loa, a laila ʻaʻole nā ​​​​kumukūʻai a paʻa ka ʻoluʻolu. ʻOiaʻiʻo, ʻaʻole hiki kēia ma ke ao maoli. ʻO kahi hoʻohālikelike kūpono he kumu hoʻohālike "kahi uwea" (bump-in-the-wire), a i ʻole ka pilina akaka, kahi i hoʻohui ʻia ai a hoʻopau ʻole i nā mea hoʻopunahele e koi ʻole i nā hoʻololi manual a i ʻole ka hoʻololi ʻokoʻa i ka hoʻonohonoho pūnaewele. I ka manawa like, ua maʻalahi ka mālama ʻana i ka hopena: hiki iā ʻoe ke hoʻohuli a hoʻopau i ka hana encryption, a inā pono, e "bypass" wale i ka hāmeʻa me kahi kelepona pūnaewele (ʻo ia hoʻi, e hoʻopili pololei i kēlā mau awa o nā mea hana pūnaewele e pili ana. ua pili). ʻOiaʻiʻo, aia kekahi drawback - hiki i ka mea hoʻouka ke hana like. No ka hoʻokō ʻana i ke kumumanaʻo "node ma kahi uea", pono e noʻonoʻo ʻaʻole wale i ke kaʻa papa ʻikepiliaka, nā papa hoʻomalu a me ka hoʻokele - pono e akaka nā mea hana iā lākou. No laila, hiki ke hoʻopili wale ʻia kēlā mau kaʻa inā ʻaʻohe mea e loaʻa i kēia mau ʻano kaʻa i loko o ka pūnaewele ma waena o nā mea hoʻopunipuni, ʻoiai inā e hoʻolei ʻia a hoʻopili ʻia paha, a laila inā hiki iā ʻoe ke hoʻopau i ka hoʻopili ʻana, hiki ke loli ka hoʻonohonoho pūnaewele. Hiki ke akaka ka mea hoʻopunipuni i ka hōʻailona papa kino. ʻO ka mea nui, ke nalowale kahi hōʻailona, ​​​​pono ia e hoʻouna i kēia poho (ʻo ia hoʻi, e hoʻopau i kāna mau transmitters) i hope a i waho ("no ia iho") i ke kuhikuhi o ka hōʻailona.

He mea nui hoʻi ke kākoʻo i ka mahele o ka mana ma waena o ka ʻike palekana a me nā keʻena IT, ʻo ia hoʻi ka ʻoihana pūnaewele. Pono ka hoʻonā hoʻopunipuni e kākoʻo i ke ʻano hoʻokele a me ka hoʻoponopono ʻana o ka hui. Pono e hoʻemi ʻia ka pono o ka pilina ma waena o nā keʻena like ʻole e hana i nā hana maʻamau. No laila, loaʻa kahi pōmaikaʻi ma nā ʻōlelo o ka maʻalahi no nā polokalamu kūikawā e kākoʻo wale ana i nā hana hoʻopunipuni a ʻike maopopo ʻia i nā hana pūnaewele. ʻO ka ʻōlelo maʻalahi, ʻaʻohe kumu o nā limahana palekana ʻike e hoʻopili i "nā loea pūnaewele" e hoʻololi i nā hoʻonohonoho pūnaewele. A ʻo kēlā mau mea, ʻaʻole pono e hoʻololi i nā hoʻonohonoho hoʻopili i ka wā e mālama ai i ka pūnaewele.

ʻO kekahi kumu ʻo ka hiki a me ka maʻalahi o nā mana. Pono lākou e ʻike, loiloi, hāʻawi i ka lawe ʻana aku i nā hoʻonohonoho, automation, a pēlā aku. Pono ʻoe e noʻonoʻo koke i nā koho hoʻokele e loaʻa (ʻo ka maʻamau o kā lākou kaiapuni hoʻokele ponoʻī, ka ʻaoʻao pūnaewele a me ka laina kauoha) a me ke ʻano o nā hana a kēlā me kēia o lākou (he mau palena). ʻO kahi hana nui ke kākoʻo ma waho o ka pūʻali (out-of-band) control, ʻo ia hoʻi, ma o kahi ʻoihana hoʻomalu i hoʻolaʻa ʻia, a i loko o ka bana (in-band), ʻo ia hoʻi, ma o kahi pūnaewele maʻamau e hoʻouna ʻia ai nā kaʻa pono. Pono nā mea hana hoʻokele e hōʻailona i nā kūlana kūpono ʻole, me nā hanana palekana ʻike. Pono e hana ʻakomi ʻia nā hana maʻamau, hana hou. E pili ana kēia i ka hoʻokele kī. Pono lākou e hoʻohua / puʻunaue aunoa. ʻO ke kākoʻo PKI kahi mea hoʻohui nui.

hoʻokaulike

ʻO ia hoʻi, ka launa pū ʻana o ka hāmeʻa me nā kūlana pūnaewele. Eia kekahi, ʻaʻole kēia wale nō nā kūlana ʻenehana i hāpai ʻia e nā hui mana e like me IEEE, akā nā protocol proprietary o nā alakaʻi ʻoihana, e like me Cisco. ʻElua mau ala nui e hōʻoia i ka hoʻohālikelike: ma o mālamalama, a ma o kākoʻo maopopo nā protocols (i ka wā e lilo ai kahi mea hoʻopunipuni i hoʻokahi o nā node pūnaewele no kekahi kaʻina a hana i ka hoʻokele mana o kēia protocol). ʻO ka launa pū me nā pūnaewele e pili ana i ka piha a me ka pololei o ka hoʻokō ʻana i nā protocols control. He mea nui e kākoʻo i nā koho like ʻole no ka pae PHY (wikiwiki, medium transmission, encoding scheme), nā papa Ethernet o nā ʻano like ʻole me kekahi MTU, nā protocols lawelawe L3 ʻokoʻa (ʻo ka ʻohana TCP/IP ka nui).

Hoʻopaʻa ʻia ka ʻike ma o ka hoʻololi ʻana (e hoʻololi manawaleʻa i nā ʻike o nā poʻomanaʻo i wehe ʻia i ke kaʻa ma waena o nā mea hoʻopunipuni), ka lele ʻana (i ka wā i hoʻopaʻa ʻole ʻia ai nā ʻeke pākahi) a me ka hoʻopaʻa ʻana o ka hoʻomaka ʻana o ka hoʻopili ʻana (inā ʻaʻole i hoʻopili ʻia nā ʻāpana maʻamau o nā ʻeke).

Pehea e loiloi a hoʻohālikelike i nā mea hoʻopunipuni Ethernet
Pehea e hōʻoia ʻia ai ka ʻike

No laila, e nānā mau i ke ʻano o ke kākoʻo no kahi protocol. ʻOi aku ka maʻalahi a hilinaʻi hoʻi ke kākoʻo pinepine i ke ʻano transparent.

Interoperability

He kūpono kēia, akā ma kahi ʻano ʻē aʻe, ʻo ia ka hiki ke hana pū me nā hiʻohiʻona ʻē aʻe o nā mea hoʻopunipuni, me nā mea mai nā mea hana ʻē aʻe. Nui ka hilinaʻi i ke kūlana o ka standardization o nā protocols encryption. ʻAʻohe kūlana hoʻopunipuni i ʻae ʻia ma L1.

Aia kahi maʻamau 2ae (MACsec) no L802.1 hoʻopunipuni ma nā pūnaewele Ethernet, akā ʻaʻole ia e hoʻohana. pau-a-hope (hope-to-end), a interport, "hop-by-hop" encryption, a ma kāna ʻano kumu ʻaʻole kūpono no ka hoʻohana ʻana i nā pūnaewele i hoʻolaha ʻia, no laila ua ʻike ʻia kāna mau hoʻonui proprietary i lanakila i kēia palena (ʻoiaʻiʻo, ma muli o ka launa pū ʻana me nā mea hana mai nā mea hana ʻē aʻe). ʻOiaʻiʻo, i ka makahiki 2018, ua hoʻohui ʻia ke kākoʻo no nā pūnaewele i hāʻawi ʻia i ka maʻamau 802.1ae, akā ʻaʻohe kākoʻo no nā hoʻonohonoho algorithm encryption GOST. No laila, ʻike ʻia nā protocols encryption L2 ponoʻī, ʻaʻole maʻamau, ma ke ʻano he ʻoi aku ka maikaʻi (ʻo ia hoʻi, ka bandwidth haʻahaʻa ma luna) a me ka maʻalahi (ka hiki ke hoʻololi i nā algorithm encryption a me nā ʻano).

Ma nā pae kiʻekiʻe (L3 a me L4) aia nā kūlana i ʻike ʻia, ʻo IPsec a me TLS, akā ma ʻaneʻi ʻaʻole maʻalahi. ʻO ka ʻoiaʻiʻo, ʻo kēlā me kēia o kēia mau maʻamau he hoʻonohonoho o nā protocols, kēlā me kēia me nā ʻano like ʻole a me nā hoʻonui i koi ʻia a i ʻole ke koho no ka hoʻokō. Eia hou, makemake kekahi mau mea hana e hoʻohana i kā lākou mau protocol encryption proprietary ma L3/L4. No laila, i ka hapanui o nā hihia, ʻaʻole pono ʻoe e hilinaʻi i ka interoperability piha, akā he mea nui e hōʻoia i ka liʻiliʻi o ka launa pū ʻana ma waena o nā hiʻohiʻona like ʻole a me nā hanauna like ʻole o ka mea hana like.

Pono

No ka hoʻohālikelike ʻana i nā haʻina like ʻole, hiki iā ʻoe ke hoʻohana i ka manawa manawa ma waena o nā hemahema a i ʻole ka loaʻa. Inā ʻaʻole i loaʻa kēia mau helu (a ʻaʻohe hilinaʻi iā lākou), a laila hiki ke hana i kahi hoʻohālikelike qualitative. Loaʻa i nā polokalamu me ka hoʻokele maʻalahi (ʻoi aku ka liʻiliʻi o nā hewa hoʻonohonoho), nā mea hoʻopunipuni kūikawā (no ke kumu like), a me nā hoʻonā me ka liʻiliʻi o ka manawa e ʻike ai a hoʻopau i kahi hemahema, me ke ʻano o ka "wela" backup o nā nodes holoʻokoʻa a nā mea hana.

lilo o

I ka wā e pili ana i ke kumukūʻai, e like me ka hapa nui o nā hoʻonā IT, kūpono ke hoʻohālikelike i ka huina kālā o ka ʻona. No ka helu ʻana, ʻaʻole pono ʻoe e hana hou i ka huila, akā e hoʻohana i nā ʻano hana kūpono (no ka laʻana, mai Gartner) a me kekahi calculator (no ka laʻana, ka mea i hoʻohana mua ʻia i ka hui e helu i ka TCO). Ua maopopo no ka hoʻonā hoʻopunipuni pūnaewele, ʻo ka huina kālā o ka kuleana kuhikuhi nā kumukūʻai no ke kūʻai ʻana a i ʻole ka hoʻolimalima ʻana i ka hoʻonā ponoʻī, nā ʻenehana no ka hoʻokipa ʻana i nā lako a me nā kumukūʻai o ka waiho ʻana, ka hoʻokele a me ka mālama ʻana (inā ma ka hale a i ʻole ke ʻano o nā lawelawe ʻaoʻao ʻekolu), a me kū ʻole nā kumukūʻai mai ka hoʻopau ʻana o ka hopena (ma muli o ka nalowale o ka huahana mea hoʻohana hope). Hoʻokahi wale nō maʻalea. Hiki ke noʻonoʻo ʻia ka hopena o ka hopena ma nā ʻano like ʻole: ma ke ʻano he kumukūʻai kūʻokoʻa ma muli o ka nalowale ʻana o ka huahana, a i ʻole ma ke ʻano he kumu kūʻai pololei "virtual" no ke kūʻai ʻana / hoʻomaikaʻi ʻana a me ka mālama ʻana i nā mea hana pūnaewele e uku ai i ka nalowale o ka hana pūnaewele ma muli o ka hoʻohana ʻana. hoʻopunipuni. I kēlā me kēia hihia, ʻoi aku ka maikaʻi o ka waiho ʻana i nā lilo i paʻakikī e helu me ka pololei: ma kēia ala e ʻoi aku ka hilinaʻi i ka waiwai hope. A, e like me ka mea maʻamau, i kēlā me kēia hihia, kūpono ke hoʻohālikelike i nā mea like ʻole e TCO no kahi hiʻohiʻona kikoʻī o kā lākou hoʻohana - maoli a maʻamau paha.

Ka hoʻomau

A ʻo ke ʻano hope loa ka hoʻomau ʻana o ka hoʻonā. I ka hapanui o nā hihia, hiki ke loiloi ʻia ka lōʻihi ma ka hoʻohālikelike ʻana i nā hopena like ʻole. Pono mākou e hoʻomanaʻo ʻaʻole wale nā ​​​​mea hoʻopunipuni, akā he mea hoʻomalu. Hiki iā lākou ke ʻike i nā ʻano hoʻoweliweli like ʻole. Aia i mua nā hoʻoweliweli no ka uhaki ʻana i ka hūnā, ka hana hou a me ka hoʻololi ʻana i nā leka. Hiki ke ʻike ʻia kēia mau mea hoʻoweliweli ma o nā nāwaliwali o ka cipher a i ʻole kāna mau ʻano hoʻokahi, ma o nā nāwaliwali i nā protocol encryption (me nā pae o ka hoʻokumu ʻana i kahi pilina a me ka hoʻokumu ʻana / ka hāʻawi ʻana i nā kī). ʻO ka pōmaikaʻi no nā hoʻonā e ʻae ai i ka hoʻololi ʻana i ka algorithm encryption a i ʻole ke hoʻololi ʻana i ke ʻano cipher (ma ka liʻiliʻi loa ma o ka firmware update), nā hoʻonā e hāʻawi i ka hoʻopunipuni piha loa, hūnā mai ka mea hoʻouka ʻaʻole wale i ka ʻikepili mea hoʻohana, akā ʻo ka helu a me nā ʻike lawelawe ʻē aʻe. , a me nā ʻenehana ʻenehana ʻaʻole i hoʻopili wale ʻia, akā pale pū kekahi i nā leka mai ka hana hou a me ka hoʻololi ʻana. No nā algorithms encryption hou a pau, nā pūlima uila, nā hana kī, a me nā mea ʻē aʻe, i hoʻopaʻa ʻia i nā maʻamau, hiki ke manaʻo ʻia ka ikaika like (inā ʻaʻole hiki iā ʻoe ke nalo wale i ka wilds of cryptography). Pono anei kēia mau algorithms GOST? He mea maʻalahi nā mea a pau: inā makemake ka palapala noi i ka hōʻoia FSB no CIPF (a ma Rūsia ʻo ia ka mea maʻamau; no ka hapa nui o nā hiʻohiʻona hoʻopili pūnaewele he ʻoiaʻiʻo kēia), a laila koho mākou ma waena o nā mea i hōʻoia ʻia. Inā ʻaʻole, a laila ʻaʻohe kumu o ka haʻalele ʻana i nā polokalamu me ka ʻole o nā palapala hōʻoia mai ka noʻonoʻo ʻana.

ʻO kekahi mea hoʻoweliweli ʻo ka hoʻoweliweli ʻana o ka hacking, ke ʻae ʻole ʻia i nā polokalamu (me ke komo kino i waho a i loko o ka hihia). Hiki ke hoʻokō ʻia ka hoʻoweliweli ma o
nā nāwaliwali i ka hoʻokō ʻana - i ka hāmeʻa a me ke code. No laila, ʻo nā hoʻonā me ka liʻiliʻi o ka "attack surface" ma o ka pūnaewele, me nā pā i pale ʻia mai ke komo kino (me nā mea ʻike intrusion, pale ʻimi a me ka hoʻonohonoho hou ʻana i nā ʻike koʻikoʻi i ka wā e wehe ʻia ai ka pā), a me nā mea e ʻae i ka hoʻonui ʻana i ka firmware. he pōmaikaʻi inā ʻike ʻia kahi nāwaliwali o ke code. Aia kekahi ala ʻē aʻe: inā loaʻa nā palapala hōʻoia FSB i nā mea hana a pau, a laila hiki ke manaʻo ʻia ka papa CIPF kahi i hāʻawi ʻia ai ka palapala hōʻoia he hōʻailona o ke kūʻē ʻana i ka hacking.

ʻO ka mea hope loa, ʻo kahi ʻano hoʻoweliweli ʻē aʻe he hewa i ka wā o ka hoʻonohonoho ʻana a me ka hana, ʻo ke kumu kanaka i kona ʻano maʻemaʻe. Hōʻike kēia i kekahi pono ʻē aʻe o nā mea hoʻopunipuni kūikawā ma mua o nā hoʻonā converged, i kuhikuhi pinepine ʻia i nā "poʻe loea pūnaewele" a hiki ke hoʻopilikia i nā loea palekana ʻike "maʻamau".

E hōʻuluʻulu

I ka manaʻo, ma aneʻi e hiki ke hāʻawi i kekahi ʻano hōʻailona integral no ka hoʻohālikelike ʻana i nā mea like ʻole, kahi mea like

$$hōʻike$$K_j=∑p_i r_{ij}$$hōʻike$$

ʻo ka p ke kaumaha o ka mea hōʻike, a ʻo r ke kūlana o ka mea hana e like me kēia hōʻailona, ​​a ʻo kekahi o nā ʻano i helu ʻia ma luna nei e hiki ke hoʻokaʻawale i nā hōʻailona "atomic". Hiki ke hoʻohana ʻia kēlā ʻano kumu, no ka laʻana, i ka hoʻohālikelike ʻana i nā manaʻo ʻoluʻolu e like me nā lula i ʻae ʻia. Akā hiki iā ʻoe ke loaʻa me kahi papa maʻalahi e like me

Nāʻano
Mea hana 1
Mea hana 2
...
Mea lako N

Kāhea
+
+

+++

ʻO ke poʻo
+
++

+++

Hoopanee
+
+

++

Scalability
+++
+

+++

ʻĀkau
+++
++

+

Interoperability
++
+

+

hoʻokaulike
++
++

+++

ʻO ka maʻalahi a me ka maʻalahi
+
+

++

hoʻomanawanui hewa
+++
+++

++

lilo o
++
+++

+

Ka hoʻomau
++
++

+++

E hauʻoli wau e pane i nā nīnau a me nā ʻōlelo hoʻohewa.

Source: www.habr.com

Pākuʻi i ka manaʻo hoʻopuka