ProHoster > Օրագիր > Վարչակազմը > Ինչպես գնահատել և համեմատել Ethernet կոդավորման սարքերը

Ինչպես գնահատել և համեմատել Ethernet կոդավորման սարքերը

Ես գրեցի այս վերանայումը (կամ, եթե նախընտրում եք, համեմատության ուղեցույց), երբ ինձ հանձնարարվեց համեմատել տարբեր վաճառողներից մի քանի սարքեր: Բացի այդ, այդ սարքերը պատկանում էին տարբեր դասերի։ Ես պետք է հասկանայի այս բոլոր սարքերի ճարտարապետությունն ու բնութագրերը և համեմատության համար ստեղծեի «կոորդինատային համակարգ»: Ես ուրախ կլինեմ, եթե իմ կարծիքը օգնի ինչ-որ մեկին.

  • Հասկացեք գաղտնագրման սարքերի նկարագրությունները և բնութագրերը
  • Տարբերեք «թղթի» հատկանիշները նրանցից, որոնք իսկապես կարևոր են իրական կյանքում
  • Գնացեք վաճառողների սովորական շարքից և հաշվի առեք ցանկացած ապրանք, որը հարմար է խնդիրը լուծելու համար
  • Բանակցությունների ժամանակ ճիշտ հարցեր տվեք
  • Կազմել մրցութային պահանջներ (RFP)
  • Հասկացեք, թե ինչ հատկանիշներ պետք է զոհաբերվեն, եթե ընտրվի սարքի որոշակի մոդել

Ինչ կարելի է գնահատել

Սկզբունքորեն, մոտեցումը կիրառելի է ցանկացած առանձին սարքի համար, որը հարմար է ցանցային երթևեկությունը գաղտնագրելու հեռավոր Ethernet հատվածների միջև (միջկայքի գաղտնագրում): Այսինքն՝ «արկղերը» առանձին պատյանում (լավ, մենք այստեղ կներառենք նաև շասսիի շեղբեր/մոդուլներ), որոնք միացված են մեկ կամ մի քանի Ethernet պորտերի միջոցով տեղական (կամպուս) Ethernet ցանցին չգաղտնագրված տրաֆիկով և մեկ այլ պորտ(ներ) դեպի ալիք/ցանց, որի միջոցով արդեն գաղտնագրված երթևեկությունը փոխանցվում է այլ, հեռավոր հատվածներին: Նման գաղտնագրման լուծումը կարող է տեղակայվել մասնավոր կամ օպերատորի ցանցում՝ տարբեր տեսակի «տրանսպորտի» միջոցով (մուգ օպտիկամանրաթել, հաճախականության բաժանման սարքավորում, անջատված Ethernet, ինչպես նաև այլ երթուղային ճարտարապետությամբ ցանցի միջոցով դրված «կեղծ լարեր», առավել հաճախ՝ MPLS։ ), VPN տեխնոլոգիայով կամ առանց դրա:

Ինչպես գնահատել և համեմատել Ethernet կոդավորման սարքերը
Ցանցի կոդավորումը բաշխված Ethernet ցանցում

Սարքերն իրենք կարող են լինել կամ մասնագիտացված (նախատեսված է բացառապես կոդավորման համար) կամ բազմաֆունկցիոնալ (հիբրիդ, կոնվերգենտ), այսինքն՝ կատարել նաև այլ գործառույթներ (օրինակ՝ firewall կամ երթուղիչ)։ Տարբեր վաճառողներ իրենց սարքերը դասակարգում են տարբեր դասերի/կատեգորիաների, բայց դա նշանակություն չունի. միակ կարևորն այն է, թե արդյոք նրանք կարող են գաղտնագրել միջկայքի տրաֆիկը և ինչ հատկանիշներ ունեն:

Համենայն դեպս, հիշեցնում եմ, որ «ցանցային կոդավորումը», «երթևեկության կոդավորումը», «գաղտնագրող»-ը ոչ պաշտոնական տերմիններ են, թեև հաճախ օգտագործվում են։ Դուք, ամենայն հավանականությամբ, դրանք չեք գտնի ռուսական կանոնակարգերում (ներառյալ ԳՕՍՏ-ներ ներմուծողներ):

Գաղտնագրման մակարդակները և փոխանցման եղանակները

Նախքան սկսենք նկարագրել բնութագրերը, որոնք կօգտագործվեն գնահատման համար, մենք նախ պետք է հասկանանք մի կարևոր բան, այն է «գաղտնագրման մակարդակը»: Ես նկատեցի, որ այն հաճախ նշվում է ինչպես պաշտոնական վաճառող փաստաթղթերում (նկարագրություններում, ձեռնարկներում և այլն), այնպես էլ ոչ պաշտոնական քննարկումներում (բանակցություններում, դասընթացներում): Այսինքն՝ կարծես բոլորը շատ լավ գիտեն, թե ինչի մասին է խոսքը, բայց ես անձամբ ականատես եղա ինչ-որ շփոթության։

Այսպիսով, ի՞նչ է «գաղտնագրման մակարդակը»: Հասկանալի է, որ խոսքը OSI/ISO հղման ցանցի մոդելային շերտի քանակի մասին է, որում տեղի է ունենում կոդավորումը: Մենք կարդում ենք ԳՕՍՏ Ռ ԻՍՕ 7498-2–99 «Տեղեկատվական տեխնոլոգիա. Բաց համակարգերի փոխկապակցում. Հիմնական հղման մոդել. Մաս 2. Տեղեկատվական անվտանգության ճարտարապետություն»: Այս փաստաթղթից կարելի է հասկանալ, որ գաղտնիության ծառայության մակարդակը (որը տրամադրելու մեխանիզմներից մեկը գաղտնագրումն է) արձանագրության մակարդակն է, որի ծառայության տվյալների բլոկը («բեռնվածություն», օգտագործողի տվյալները) կոդավորված է: Ինչպես գրված է նաև ստանդարտում, ծառայությունը կարող է տրամադրվել ինչպես նույն մակարդակով, «ինքնուրույն», այնպես էլ ավելի ցածր մակարդակի օգնությամբ (այսպես է, օրինակ, այն ամենից հաճախ իրականացվում է MACsec-ում) .

Գործնականում հնարավոր է ցանցի միջոցով կոդավորված տեղեկատվության փոխանցման երկու եղանակ (IPsec-ը անմիջապես գալիս է մտքին, բայց նույն ռեժիմները հանդիպում են նաև այլ արձանագրություններում): IN տրանսպորտ (երբեմն նաև կոչվում է հայրենի) ռեժիմը միայն կոդավորված է սպասարկում տվյալների բլոկը, իսկ վերնագրերը մնում են «բաց», չգաղտնագրված (երբեմն ավելացվում են գաղտնագրման ալգորիթմի սպասարկման տեղեկություններով լրացուցիչ դաշտեր, իսկ այլ դաշտերը փոփոխվում և վերահաշվարկվում են): IN թունել նույն ռեժիմը բոլորը արձանագրություն տվյալների բլոկը (այսինքն՝ փաթեթն ինքը) կոդավորված է և պարփակված է նույն կամ ավելի բարձր մակարդակի ծառայության տվյալների բլոկում, այսինքն՝ այն շրջապատված է նոր վերնագրերով:

Գաղտնագրման մակարդակը ինքնին փոխանցման որոշ ռեժիմի հետ համատեղ ոչ լավ է, ոչ էլ վատ, ուստի չի կարելի ասել, որ, օրինակ, տրանսպորտի ռեժիմում L3-ն ավելի լավ է, քան L2-ը թունելի ռեժիմում: Պարզապես շատ հատկանիշներ, որոնցով սարքերը գնահատվում են, կախված են դրանցից: Օրինակ՝ ճկունություն և համատեղելիություն։ L1 ցանցում (բիթային հոսքի ռելե), L2 (շրջանակի միացում) և L3 (փաթեթների երթուղղում) աշխատելու համար տրանսպորտի ռեժիմում, ձեզ անհրաժեշտ են լուծումներ, որոնք կոդավորում են նույն կամ ավելի բարձր մակարդակում (հակառակ դեպքում հասցեի տեղեկատվությունը կգաղտնագրվի, և տվյալները կգաղտնագրվեն: չհասնել իր նպատակակետին), և թունելի ռեժիմը հաղթահարում է այս սահմանափակումը (թեև զոհաբերում է այլ կարևոր հատկանիշներ):

Ինչպես գնահատել և համեմատել Ethernet կոդավորման սարքերը
Տրանսպորտի և թունելի L2 կոդավորման ռեժիմներ

Հիմա եկեք անցնենք բնութագրերի վերլուծությանը:

Արտադրողականություն

Ցանցի գաղտնագրման համար կատարումը բարդ, բազմաչափ հասկացություն է: Պատահում է, որ որոշակի մոդելը, թեև գերազանցում է մի կատարողական հատկանիշով, զիջում է մյուսին: Հետևաբար, միշտ օգտակար է հաշվի առնել գաղտնագրման կատարման բոլոր բաղադրիչները և դրանց ազդեցությունը ցանցի և այն օգտագործող հավելվածների աշխատանքի վրա: Այստեղ մենք կարող ենք անալոգիա անել մեքենայի հետ, որի համար կարևոր է ոչ միայն առավելագույն արագությունը, այլև մինչև «հարյուրների» արագացումը, վառելիքի սպառումը և այլն: Վաճառող ընկերությունները և նրանց պոտենցիալ հաճախորդները մեծ ուշադրություն են դարձնում կատարողական բնութագրերին: Որպես կանոն, գաղտնագրման սարքերը դասակարգվում են վաճառող տողերում կատարողականի հիման վրա:

Հասկանալի է, որ կատարումը կախված է ինչպես սարքի վրա կատարված ցանցային և գաղտնագրային գործողությունների բարդությունից (ներառյալ, թե որքանով են այդ առաջադրանքները կարող զուգահեռվել և խողովակաշարվել), ինչպես նաև սարքաշարի և որոնվածի որակից: Հետևաբար, հին մոդելներն օգտագործում են ավելի արդյունավետ սարքավորում, երբեմն հնարավոր է այն համալրել լրացուցիչ պրոցեսորներով և հիշողության մոդուլներով: Գաղտնագրման գործառույթների իրականացման մի քանի մոտեցում կա՝ ընդհանուր նշանակության կենտրոնական մշակման միավորի (CPU), կիրառական հատուկ ինտեգրված սխեմայի (ASIC) կամ դաշտային ծրագրավորվող տրամաբանական ինտեգրված սխեմայի (FPGA): Յուրաքանչյուր մոտեցում ունի իր դրական և բացասական կողմերը: Օրինակ, պրոցեսորը կարող է դառնալ գաղտնագրման խոչընդոտ, հատկապես, եթե պրոցեսորը չունի գաղտնագրման ալգորիթմն աջակցելու համար մասնագիտացված հրահանգներ (կամ եթե դրանք չեն օգտագործվում): Մասնագիտացված չիպերը չունեն ճկունություն, միշտ չէ, որ հնարավոր է դրանք «թարմացնել»՝ արդյունավետությունը բարելավելու, նոր գործառույթներ ավելացնելու կամ խոցելիությունները վերացնելու համար: Բացի այդ, դրանց օգտագործումը շահութաբեր է դառնում միայն արտադրության մեծ ծավալներով։ Այդ իսկ պատճառով «ոսկե միջինը» դարձել է այդքան տարածված՝ FPGA-ի օգտագործումը (ռուսերեն FPGA): Հենց FPGA-ների վրա են պատրաստվում այսպես կոչված կրիպտո արագացուցիչները՝ ներկառուցված կամ միացված մասնագիտացված ապարատային մոդուլներ՝ կրիպտոգրաֆիկ գործողություններին աջակցելու համար:

Քանի որ մենք խոսում ենք ցանց կոդավորումը, տրամաբանական է, որ լուծումների կատարումը պետք է չափվի նույն քանակությամբ, ինչ մյուս ցանցային սարքերի համար՝ թողունակությունը, շրջանակի կորստի տոկոսը և հետաձգումը: Այս արժեքները սահմանված են RFC 1242-ում: Ի դեպ, այս RFC-ում հաճախ հիշատակվող հետաձգման փոփոխության (ջիթերի) մասին ոչինչ գրված չէ: Ինչպե՞ս չափել այս քանակները: Ես չեմ գտել մեթոդաբանություն, որը հաստատված է որևէ ստանդարտում (պաշտոնական կամ ոչ պաշտոնական, օրինակ՝ RFC), հատուկ ցանցի կոդավորման համար: Տրամաբանական կլինի օգտագործել մեթոդաբանությունը ցանցային սարքերի համար, որոնք ամրագրված են RFC 2544 ստանդարտով: Շատ վաճառողներ հետևում են դրան. շատերը, բայց ոչ բոլորը: Օրինակ, նրանք փորձնական տրաֆիկ են ուղարկում միայն մեկ ուղղությամբ երկուսի փոխարեն, ինչպես խորհուրդ է տրվում ստանդարտ. Ինչեւէ։

Ցանցային կոդավորման սարքերի կատարողականի չափումը դեռևս ունի իր առանձնահատկությունները: Նախ, ճիշտ է կատարել բոլոր չափումները մի զույգ սարքերի համար. չնայած գաղտնագրման ալգորիթմները սիմետրիկ են, գաղտնագրման և գաղտնազերծման ընթացքում ուշացումները և փաթեթների կորուստները պարտադիր չէ, որ հավասար լինեն: Երկրորդ, իմաստ ունի չափել դելտան, ցանցի գաղտնագրման ազդեցությունը ցանցի վերջնական աշխատանքի վրա՝ համեմատելով երկու կոնֆիգուրացիաներ՝ առանց կոդավորման սարքերի և դրանց հետ: Կամ, ինչպես հիբրիդային սարքերի դեպքում է, որոնք ցանցի գաղտնագրումից բացի միավորում են մի քանի ֆունկցիաներ՝ անջատված և միացված գաղտնագրմամբ։ Այս ազդեցությունը կարող է տարբեր լինել և կախված լինել կոդավորման սարքերի միացման սխեմայից, գործառնական ռեժիմներից և վերջապես՝ երթևեկության բնույթից: Մասնավորապես, կատարողականի շատ պարամետրեր կախված են փաթեթների երկարությունից, այդ իսկ պատճառով տարբեր լուծումների կատարումը համեմատելու համար հաճախ օգտագործվում են այդ պարամետրերի գրաֆիկները՝ կախված փաթեթների երկարությունից, կամ օգտագործվում է IMIX՝ տրաֆիկի բաշխումն ըստ փաթեթի։ երկարությունները, որը մոտավորապես արտացոլում է իրականը։ Եթե ​​համեմատենք նույն հիմնական կոնֆիգուրացիան առանց գաղտնագրման, ապա մենք կարող ենք համեմատել ցանցային կոդավորման լուծումները, որոնք իրականացվել են տարբեր կերպ՝ առանց այս տարբերությունների մեջ մտնելու.

Ինչպես գնահատել և համեմատել Ethernet կոդավորման սարքերը
Կատարման փորձարկման միացման դիագրամ

Առաջին հատկանիշը, որին մարդիկ ուշադրություն են դարձնում, գաղտնագրման սարքի «արագությունն» է, այսինքն թողունակություն իր ցանցային ինտերֆեյսների (թողունակությունը), բիթային հոսքի արագությունը: Այն որոշվում է ցանցային ստանդարտներով, որոնք ապահովվում են ինտերֆեյսներով: Ethernet-ի համար սովորական թվերն են 1 Գբիտ/վ և 10 Գբիտ/վրկ: Բայց, ինչպես գիտենք, ցանկացած ցանցում առավելագույնը տեսական է թողունակությունը (թողունակությունը) նրա յուրաքանչյուր մակարդակում միշտ ավելի քիչ թողունակություն կա. թողունակության մի մասը «ուտում է» միջֆրեյմային ընդմիջումներով, ծառայության վերնագրերով և այլն: Եթե ​​սարքն ի վիճակի է ստանալ, մշակել (մեր դեպքում՝ գաղտնագրել կամ վերծանել) և փոխանցել երթևեկությունը ցանցային ինտերֆեյսի ամբողջ արագությամբ, այսինքն՝ ցանցային մոդելի այս մակարդակի համար առավելագույն տեսական թողունակությամբ, ապա ասվում է. աշխատել գծի արագությամբ. Դա անելու համար անհրաժեշտ է, որ սարքը չկորցնի կամ չմերժի փաթեթները ցանկացած չափի և հաճախականությամբ: Եթե ​​գաղտնագրման սարքը չի ապահովում աշխատանքը գծի արագությամբ, ապա դրա առավելագույն թողունակությունը սովորաբար նշվում է նույն գիգաբիթ/վայրկյանում (երբեմն նշելով փաթեթների երկարությունը. որքան կարճ են փաթեթները, այնքան ցածր է թողունակությունը սովորաբար): Շատ կարևոր է հասկանալ, որ առավելագույն թողունակությունը առավելագույնն է ոչ մի կորուստ (նույնիսկ եթե սարքը կարող է ավելի մեծ արագությամբ «մղել» երթևեկությունը իր միջով, բայց միևնույն ժամանակ կորցնելով որոշ փաթեթներ): Նաև տեղյակ եղեք, որ որոշ վաճառողներ չափում են ընդհանուր թողունակությունը բոլոր զույգ նավահանգիստների միջև, այնպես որ այս թվերը մեծ նշանակություն չունեն, եթե ամբողջ գաղտնագրված տրաֆիկը անցնում է մեկ նավահանգստով:

Որտե՞ղ է հատկապես կարևոր աշխատել գծի արագությամբ (կամ, այլ կերպ ասած, առանց փաթեթների կորստի): Բարձր թողունակությամբ, բարձր լատենտ կապերում (օրինակ՝ արբանյակը), որտեղ մեծ TCP պատուհանի չափը պետք է սահմանվի փոխանցման բարձր արագությունը պահպանելու համար, և որտեղ փաթեթների կորուստը կտրուկ նվազեցնում է ցանցի աշխատանքը:

Բայց ոչ ամբողջ թողունակությունն է օգտագործվում օգտակար տվյալներ փոխանցելու համար: Պետք է հաշվի նստել այսպես կոչվածի հետ վերադիր ծախսեր (օդային) թողունակություն. Սա գաղտնագրման սարքի թողունակության այն մասն է (որպես տոկոս կամ բայթ յուրաքանչյուր փաթեթում), որն իրականում վատնում է (չի կարող օգտագործվել հավելվածի տվյալները փոխանցելու համար): Ընդհանուր ծախսերը առաջանում են, առաջին հերթին, գաղտնագրված ցանցային փաթեթներում տվյալների դաշտի չափի (ավելացում, «լցոնում») մեծացման պատճառով (կախված գաղտնագրման ալգորիթմից և դրա գործառնական ռեժիմից): Երկրորդ, փաթեթների վերնագրերի երկարության ավելացման պատճառով (թունելի ռեժիմ, գաղտնագրման արձանագրության ծառայության ներդրում, սիմուլյացիոն տեղադրում և այլն, կախված գաղտնագրման և փոխանցման ռեժիմի արձանագրությունից և գործարկման եղանակից) - սովորաբար այդ վերադիր ծախսերն են. ամենակարևորը, և նրանք առաջին հերթին ուշադրություն են դարձնում: Երրորդ, փաթեթների մասնատման պատճառով, երբ տվյալների առավելագույն չափը (MTU) գերազանցվում է (եթե ցանցը ի վիճակի է բաժանել MTU-ն գերազանցող փաթեթը երկուսի՝ կրկնօրինակելով դրա վերնագրերը): Չորրորդ, գաղտնագրման սարքերի միջև ցանցում լրացուցիչ ծառայության (հսկողության) տրաֆիկի հայտնվելու պատճառով (բանալների փոխանակման, թունելի տեղադրման և այլն): Ցածր ծախսերը կարևոր են, որտեղ ալիքի թողունակությունը սահմանափակ է: Սա հատկապես ակնհայտ է երթևեկության մեջ փոքր փաթեթներից, օրինակ՝ ձայնից, որտեղ վերադիր ծախսերը կարող են «խժռել» ալիքի արագության կեսից ավելին:

Ինչպես գնահատել և համեմատել Ethernet կոդավորման սարքերը
Շրջանառություն

Ի վերջո, կա ավելին ներդրված ուշացում – ցանցի ուշացման տարբերությունը (վայրկյանների կոտորակներով) (ժամանակը, որ տևում է, որպեսզի տվյալները անցնեն ցանց մտնելուց մինչև դուրս գալը) տվյալների փոխանցման միջև առանց և ցանցային գաղտնագրման միջոցով: Ընդհանուր առմամբ, որքան ցածր է ցանցի ուշացումը («լատենտությունը»), այնքան ավելի կարևոր է դառնում գաղտնագրման սարքերի ներդրած հետաձգումը: Հետաձգումը կատարվում է հենց գաղտնագրման գործողությամբ (կախված գաղտնագրման ալգորիթմից, բլոկի երկարությունից և գաղտնագրի գործողության եղանակից, ինչպես նաև ծրագրային ապահովման մեջ դրա ներդրման որակից), և սարքում ցանցային փաթեթի մշակումը: . Ներդրված ուշացումը կախված է և՛ փաթեթների մշակման ռեժիմից (փոխանցում կամ պահպանում և փոխանցում), և՛ պլատֆորմի կատարումից (FPGA-ի կամ ASIC-ի վրա ապարատային ապահովումը սովորաբար ավելի արագ է, քան ծրագրային ապահովման ներդրումը պրոցեսորի վրա): L2 կոդավորումը գրեթե միշտ ավելի ցածր ուշացում ունի, քան L3 կամ L4 կոդավորումը, պայմանավորված այն հանգամանքով, որ L3/L4 կոդավորման սարքերը հաճախ համընկնում են: Օրինակ, FPGA-ների վրա ներդրված գերարագ Ethernet կոդավորիչներով և L2-ի վրա գաղտնագրելով, գաղտնագրման գործողության հետաձգումը անհետանում է. երբեմն, երբ գաղտնագրումը միացված է մի քանի սարքերի վրա, նրանց կողմից ներդրված ընդհանուր ուշացումը նույնիսկ նվազում է: Ցածր հետաձգումը կարևոր է այն դեպքում, երբ այն համեմատելի է ընդհանուր կապուղու ձգձգումների հետ, ներառյալ տարածման ուշացումը, որը մոտավորապես 5 մկվ է մեկ կիլոմետրում: Այսինքն՝ կարելի է ասել, որ քաղաքային մասշտաբի ցանցերի համար (տասնյակ կիլոմետրեր լայնությամբ) միկրովայրկյանները կարող են շատ բան որոշել։ Օրինակ՝ տվյալների բազայի համաժամանակ կրկնօրինակման, բարձր հաճախականությամբ առևտրի, նույն բլոկչեյնի համար։

Ինչպես գնահատել և համեմատել Ethernet կոդավորման սարքերը
Ներդրված ուշացում

Մասշտաբայնություն

Խոշոր բաշխված ցանցերը կարող են ներառել բազմաթիվ հազարավոր հանգույցներ և ցանցային սարքեր, հարյուրավոր տեղական ցանցի հատվածներ: Կարևոր է, որ գաղտնագրման լուծումները լրացուցիչ սահմանափակումներ չկիրառեն բաշխված ցանցի չափի և տոպոլոգիայի վրա: Սա հիմնականում վերաբերում է հյուրընկալողի և ցանցի հասցեների առավելագույն քանակին: Նման սահմանափակումների կարող են հանդիպել, օրինակ, բազմակետ գաղտնագրված ցանցի տոպոլոգիան (անկախ անվտանգ կապերով կամ թունելներով) կամ ընտրովի գաղտնագրման ժամանակ (օրինակ՝ արձանագրության համարով կամ VLAN-ով): Եթե ​​այս դեպքում ցանցի հասցեները (MAC, IP, VLAN ID) օգտագործվում են որպես բանալիներ աղյուսակում, որտեղ տողերի թիվը սահմանափակ է, ապա այդ սահմանափակումները հայտնվում են այստեղ:

Բացի այդ, խոշոր ցանցերը հաճախ ունենում են մի քանի կառուցվածքային շերտեր, ներառյալ հիմնական ցանցը, որոնցից յուրաքանչյուրն իրականացնում է իր հասցեավորման սխեման և իր սեփական երթուղային քաղաքականությունը: Այս մոտեցումն իրականացնելու համար հաճախ օգտագործվում են շրջանակի հատուկ ձևաչափեր (օրինակ՝ Q-in-Q կամ MAC-in-MAC) և երթուղու որոշման արձանագրությունները։ Նման ցանցերի կառուցմանը չխոչընդոտելու համար գաղտնագրման սարքերը պետք է ճիշտ վարվեն նման շրջանակների հետ (այսինքն, այս իմաստով, մասշտաբայնությունը կնշանակի համատեղելիություն, ավելի մանրամասն՝ ստորև):

Ճկունություն

Այստեղ մենք խոսում ենք տարբեր կոնֆիգուրացիաների, կապի սխեմաների, տոպոլոգիաների և այլ բաների աջակցության մասին: Օրինակ՝ Carrier Ethernet տեխնոլոգիաների վրա հիմնված անջատված ցանցերի համար սա նշանակում է աջակցություն տարբեր տեսակի վիրտուալ կապերի (E-Line, E-LAN, E-Tree), տարբեր տեսակի ծառայությունների (ինչպես նավահանգիստով, այնպես էլ VLAN-ով) և տարբեր տրանսպորտային տեխնոլոգիաների համար։ (նրանք արդեն վերը նշված են): Այսինքն՝ սարքը պետք է կարողանա աշխատել և՛ գծային («կետ առ կետ») և՛ բազմակետ ռեժիմներում, ստեղծել առանձին թունելներ տարբեր VLAN-ների համար և թույլ տա փաթեթների անկանոն առաքում անվտանգ ալիքով: Տարբեր գաղտնագրման ռեժիմներ (ներառյալ բովանդակության նույնականացումով կամ առանց դրա) և փաթեթների փոխանցման տարբեր ռեժիմներ ընտրելու ունակությունը թույլ է տալիս հավասարակշռություն հաստատել ուժի և կատարողականի միջև՝ կախված ընթացիկ պայմաններից:

Կարևոր է նաև աջակցել ինչպես մասնավոր ցանցերին, որոնց սարքավորումները պատկանում են մեկ կազմակերպությանը (կամ վարձով են տրվում), այնպես էլ օպերատորների ցանցերին, որոնց տարբեր հատվածները կառավարվում են տարբեր ընկերությունների կողմից: Լավ է, եթե լուծումը թույլ է տալիս կառավարել ինչպես ներքին, այնպես էլ երրորդ կողմի կողմից (օգտագործելով կառավարվող ծառայության մոդել): Օպերատորների ցանցերում մեկ այլ կարևոր գործառույթ է բազմաբնակարան վարձակալության աջակցությունը (տարբեր հաճախորդների կողմից համօգտագործում) առանձին հաճախորդների (բաժանորդների) ծածկագրային մեկուսացման տեսքով, որոնց երթևեկությունն անցնում է նույն գաղտնագրման սարքերի միջով: Սա սովորաբար պահանջում է յուրաքանչյուր հաճախորդի համար օգտագործել բանալիների և վկայագրերի առանձին հավաքածուներ:

Եթե ​​սարքը ձեռք է բերվել կոնկրետ սցենարի համար, ապա այս բոլոր գործառույթները կարող են այնքան էլ կարևոր չլինել. պարզապես անհրաժեշտ է համոզվել, որ սարքն աջակցում է այն, ինչ ձեզ հիմա անհրաժեշտ է: Բայց եթե լուծումը գնվի «աճի համար», նաև ապագա սցենարներին աջակցելու համար և ընտրվի որպես «կորպորատիվ ստանդարտ», ապա ճկունությունն ավելորդ չի լինի, հատկապես հաշվի առնելով տարբեր վաճառողների սարքերի փոխգործունակության սահմանափակումները ( այս մասին ավելին ստորև):

Պարզություն և հարմարավետություն

Ծառայության հեշտությունը նույնպես բազմագործոն հասկացություն է: Մոտավորապես, կարելի է ասել, որ սա որոշակի որակավորում ունեցող մասնագետների կողմից ծախսված ընդհանուր ժամանակն է, որն անհրաժեշտ է լուծումը իր կյանքի ցիկլի տարբեր փուլերում աջակցելու համար: Եթե ​​ծախսեր չկան, և տեղադրումը, կազմաձևումը և շահագործումը լիովին ավտոմատ են, ապա ծախսերը զրո են, իսկ հարմարավետությունը բացարձակ: Իհարկե, իրական աշխարհում դա տեղի չի ունենում: Խելամիտ մոտարկումը մոդելն է «հանգույց մետաղալարով» (bump-in-the-wire) կամ թափանցիկ միացում, որի դեպքում գաղտնագրման սարքերի ավելացումն ու անջատումը չի պահանջում ցանցի կազմաձևման որևէ ձեռքով կամ ավտոմատ փոփոխություն: Միևնույն ժամանակ, լուծումը պահպանելը պարզեցված է. կարող եք ապահով կերպով միացնել և անջատել գաղտնագրման գործառույթը, իսկ անհրաժեշտության դեպքում՝ պարզապես «շրջանցել» սարքը ցանցային մալուխով (այսինքն՝ ուղղակիորեն միացնել ցանցային սարքավորումների այն նավահանգիստները, որոնց միացված էր): Ճիշտ է, կա մեկ թերություն՝ հարձակվողը կարող է նույնը անել։ «Հանգույց մետաղալարով» սկզբունքն իրականացնելու համար անհրաժեշտ է հաշվի առնել ոչ միայն երթեւեկությունը տվյալների շերտՍակայն վերահսկման և կառավարման շերտերը - սարքերը պետք է թափանցիկ լինեն դրանց համար: Հետևաբար, նման երթևեկությունը կարող է գաղտնագրվել միայն այն դեպքում, երբ գաղտնագրման սարքերի միջև ցանցում այս տեսակի տրաֆիկի ստացողներ չկան, քանի որ եթե այն դեն նետվի կամ կոդավորված է, ապա երբ միացնում կամ անջատում եք գաղտնագրումը, ցանցի կազմաձևը կարող է փոխվել: Գաղտնագրման սարքը կարող է նաև թափանցիկ լինել ֆիզիկական շերտի ազդանշանների համար: Մասնավորապես, երբ ազդանշանը կորչում է, այն պետք է փոխանցի այդ կորուստը (այսինքն՝ անջատի իր հաղորդիչները) ետ ու առաջ («իր համար») ազդանշանի ուղղությամբ:

Կարևոր է նաև աջակցությունը տեղեկատվական անվտանգության և ՏՏ ստորաբաժանումների, մասնավորապես՝ ցանցային բաժնի միջև լիազորությունների բաշխման հարցում: Գաղտնագրման լուծումը պետք է աջակցի կազմակերպության մուտքի վերահսկման և աուդիտի մոդելին: Պետք է նվազագույնի հասցնել տարբեր գերատեսչությունների միջև սովորական գործողություններ իրականացնելու անհրաժեշտությունը: Հետևաբար, հարմարության առումով կա առավելություն մասնագիտացված սարքերի համար, որոնք բացառապես աջակցում են գաղտնագրման գործառույթներին և հնարավորինս թափանցիկ են ցանցային գործողությունների համար: Պարզ ասած՝ տեղեկատվական անվտանգության աշխատակիցները չպետք է պատճառ չունենան կապվել «ցանցի մասնագետների» հետ՝ ցանցի կարգավորումները փոխելու համար: Իսկ դրանք, իրենց հերթին, ցանցը պահպանելիս գաղտնագրման կարգավորումները փոխելու անհրաժեշտություն չպետք է ունենան:

Մեկ այլ գործոն է հսկիչ սարքերի հնարավորություններն ու հարմարավետությունը: Դրանք պետք է լինեն տեսողական, տրամաբանական, ապահովեն կարգավորումների ներմուծում-արտահանում, ավտոմատացում և այլն։ Դուք պետք է անմիջապես ուշադրություն դարձնեք, թե կառավարման ինչ տարբերակներ կան (սովորաբար իրենց սեփական կառավարման միջավայրը, վեբ ինտերֆեյսը և հրամանի տողը) և ինչ գործառույթներ ունի դրանցից յուրաքանչյուրը (կան սահմանափակումներ): Կարևոր գործառույթը աջակցությունն է խմբից դուրս (շղթայից դուրս) հսկողություն, այսինքն՝ հատուկ կառավարման ցանցի միջոցով, և in-band (in-band) հսկողություն, այսինքն՝ ընդհանուր ցանցի միջոցով, որի միջոցով փոխանցվում է օգտակար երթևեկությունը։ Կառավարման գործիքները պետք է ազդարարեն բոլոր աննորմալ իրավիճակները, ներառյալ տեղեկատվական անվտանգության միջադեպերը: Սովորական, կրկնվող գործողությունները պետք է կատարվեն ավտոմատ կերպով: Սա առաջին հերթին վերաբերում է հիմնական կառավարմանը: Նրանք պետք է ստեղծվեն/բաշխվեն ավտոմատ կերպով: PKI աջակցությունը մեծ պլյուս է:

Համատեղելիություն

Այսինքն՝ սարքի համատեղելիությունը ցանցային ստանդարտների հետ։ Ավելին, դա նշանակում է ոչ միայն արդյունաբերական ստանդարտներ, որոնք ընդունվել են հեղինակավոր կազմակերպությունների կողմից, ինչպիսին է IEEE-ն, այլ նաև ոլորտի առաջատարների, ինչպիսին է Cisco-ի, սեփականության արձանագրությունները: Համատեղելիությունն ապահովելու երկու հիմնական եղանակ կա՝ կամ միջոցով թափանցիկություն, կամ միջոցով բացահայտ աջակցություն արձանագրություններ (երբ գաղտնագրման սարքը դառնում է որոշակի արձանագրության ցանցային հանգույցներից մեկը և մշակում է այս արձանագրության կառավարման տրաֆիկը): Ցանցերի հետ համատեղելիությունը կախված է կառավարման արձանագրությունների կատարման ամբողջականությունից և ճիշտությունից: Կարևոր է աջակցել PHY մակարդակի տարբեր տարբերակներին (արագություն, փոխանցման միջոց, կոդավորման սխեման), տարբեր ձևաչափերի Ethernet շրջանակներ ցանկացած MTU-ով, տարբեր L3 սպասարկման արձանագրություններ (հիմնականում TCP/IP ընտանիք):

Թափանցիկությունն ապահովվում է մուտացիայի մեխանիզմների միջոցով (գաղտնագրողների միջև տրաֆիկում բաց վերնագրերի բովանդակությունը ժամանակավորապես փոխելով), բաց թողնելով (երբ առանձին փաթեթները մնում են չգաղտնագրված) և գաղտնագրման սկզբի հետքերով (երբ փաթեթների սովորաբար կոդավորված դաշտերը գաղտնագրված չեն):

Ինչպես գնահատել և համեմատել Ethernet կոդավորման սարքերը
Ինչպես է ապահովվում թափանցիկությունը

Հետևաբար, միշտ ստուգեք, թե ինչպես է տրամադրվում որոշակի արձանագրության աջակցությունը: Հաճախ թափանցիկ ռեժիմում աջակցությունն ավելի հարմար և հուսալի է:

Փոխգործունակություն

Սա նույնպես համատեղելիություն է, բայց այլ իմաստով, այն է՝ գաղտնագրման սարքերի այլ մոդելների, այդ թվում՝ այլ արտադրողների հետ համատեղ աշխատելու ունակություն: Շատ բան կախված է գաղտնագրման արձանագրությունների ստանդարտացման վիճակից: L1-ում պարզապես չկան գաղտնագրման ընդհանուր ընդունված ստանդարտներ:

Ethernet ցանցերում L2 կոդավորման համար կա 802.1ae (MACsec) ստանդարտ, բայց այն չի օգտագործում ծայրից ծայր (վերջից վերջ), և interport, «hop-by-hop» կոդավորումը և իր սկզբնական տարբերակում պիտանի չէ բաշխված ցանցերում օգտագործելու համար, ուստի հայտնվել են դրա սեփական ընդլայնումները, որոնք հաղթահարում են այս սահմանափակումը (իհարկե, այլ արտադրողների սարքավորումների հետ փոխգործունակության պատճառով): Ճիշտ է, 2018-ին բաշխված ցանցերի աջակցությունը ավելացվել է 802.1ae ստանդարտին, բայց ԳՕՍՏ կոդավորման ալգորիթմների հավաքածուներին դեռևս աջակցություն չկա: Հետևաբար, սեփականատիրական, ոչ ստանդարտ L2 կոդավորման արձանագրությունները, որպես կանոն, առանձնանում են ավելի մեծ արդյունավետությամբ (մասնավորապես՝ ավելի ցածր թողունակությամբ) և ճկունությամբ (գաղտնագրման ալգորիթմներն ու ռեժիմները փոխելու ունակությամբ):

Ավելի բարձր մակարդակներում (L3 և L4) կան ճանաչված ստանդարտներ, հիմնականում IPsec և TLS, բայց այստեղ նույնպես դա այնքան էլ պարզ չէ: Փաստն այն է, որ այս ստանդարտներից յուրաքանչյուրը արձանագրությունների մի շարք է, որոնցից յուրաքանչյուրն ունի տարբեր տարբերակներ և ընդլայնումներ, որոնք պահանջվում են կամ ընտրովի են իրականացման համար: Բացի այդ, որոշ արտադրողներ նախընտրում են օգտագործել իրենց սեփական ծածկագրման արձանագրությունները L3/L4-ում: Հետևաբար, շատ դեպքերում չպետք է հույս դնել ամբողջական փոխգործունակության վրա, բայց կարևոր է, որ գոնե ապահովված լինի տարբեր մոդելների և նույն արտադրողի տարբեր սերունդների փոխազդեցությունը:

Հուսալիություն

Տարբեր լուծումներ համեմատելու համար կարող եք օգտագործել խափանումների միջև միջին ժամանակը կամ հասանելիության գործակիցը: Եթե ​​այդ թվերը չկան (կամ վստահություն չկա դրանց նկատմամբ), ապա կարելի է որակական համեմատություն անել։ Հարմար կառավարմամբ սարքերը կունենան առավելություն (կազմաձևման սխալների ավելի քիչ ռիսկ), մասնագիտացված կոդավորումներ (նույն պատճառով), ինչպես նաև լուծումներ՝ նվազագույն ժամանակով խափանումը հայտնաբերելու և վերացնելու համար, ներառյալ ամբողջ հանգույցների «տաք» պահուստավորման միջոցները և սարքեր.

Արժենալ

Ինչ վերաբերում է ծախսերին, ինչպես ՏՏ լուծումների մեծ մասի դեպքում, իմաստ ունի համեմատել սեփականության ընդհանուր արժեքը: Այն հաշվարկելու համար հարկավոր չէ նորից հայտնագործել անիվը, այլ օգտագործել ցանկացած հարմար մեթոդաբանություն (օրինակ՝ Gartner-ից) և ցանկացած հաշվիչ (օրինակ՝ այն, որն արդեն օգտագործվում է կազմակերպությունում՝ TCO-ն հաշվարկելու համար): Հասկանալի է, որ ցանցի գաղտնագրման լուծման համար սեփականության ընդհանուր արժեքը բաղկացած է ուղղակի լուծումը ձեռք բերելու կամ վարձակալելու ծախսերը, հոսթինգի սարքավորումների ենթակառուցվածքը և տեղակայման, կառավարման և սպասարկման ծախսերը (լինի ներքին, թե երրորդ կողմի ծառայությունների տեսքով), ինչպես նաև. անուղղակի լուծույթի խափանումների հետ կապված ծախսեր (վերջնական օգտագործողի արտադրողականության կորստի պատճառով): Հավանաբար կա միայն մեկ նրբություն. Լուծման արդյունավետության ազդեցությունը կարելի է դիտարկել տարբեր ձևերով՝ կա՛մ որպես անուղղակի ծախսեր, որոնք առաջացել են արտադրողականության կորստի հետևանքով, կա՛մ որպես «վիրտուալ» ուղղակի ծախսեր՝ կապված ցանցային գործիքների գնման/արդիականացման և պահպանման հետ, որոնք փոխհատուցում են ցանցի աշխատանքի կորստի կորուստը՝ կոդավորումը։ Ամեն դեպքում, ծախսերը, որոնք դժվար է հաշվարկել բավարար ճշգրտությամբ, լավագույնս դուրս են մնում հաշվարկից. այս կերպ վերջնական արժեքի նկատմամբ ավելի մեծ վստահություն կլինի: Եվ, ինչպես միշտ, ամեն դեպքում, իմաստ ունի համեմատել տարբեր սարքեր ըստ TCO-ի՝ դրանց օգտագործման կոնկրետ սցենարի՝ իրական կամ բնորոշ:

Համառություն

Իսկ վերջին հատկանիշը լուծման համառությունն է։ Շատ դեպքերում երկարակեցությունը կարելի է գնահատել միայն որակապես՝ համեմատելով տարբեր լուծումներ: Պետք է հիշել, որ կոդավորման սարքերը ոչ միայն միջոց են, այլ նաև պաշտպանության օբյեկտ։ Նրանք կարող են ենթարկվել տարբեր սպառնալիքների: Առաջնագծում գաղտնիության խախտման, հաղորդագրությունների վերարտադրման և փոփոխման սպառնալիքներն են։ Այս սպառնալիքները կարող են իրականացվել ծածկագրի կամ նրա առանձին ռեժիմների խոցելիության, գաղտնագրման արձանագրությունների խոցելիության միջոցով (ներառյալ կապի հաստատման և բանալիների գեներացման/բաշխման փուլերում): Առավելությունն այն լուծումներն են, որոնք թույլ են տալիս փոխել գաղտնագրման ալգորիթմը կամ փոխել գաղտնագրման ռեժիմը (առնվազն որոնվածի թարմացման միջոցով), լուծումներ, որոնք ապահովում են ամենաամբողջական գաղտնագրումը՝ հարձակվողից թաքցնելով ոչ միայն օգտատիրոջ տվյալները, այլև հասցեները և ծառայության այլ տեղեկությունները։ , ինչպես նաև տեխնիկական լուծումներ, որոնք ոչ միայն կոդավորում են, այլև պաշտպանում են հաղորդագրությունները վերարտադրումից և ձևափոխումից: Բոլոր ժամանակակից գաղտնագրման ալգորիթմների, էլեկտրոնային ստորագրությունների, բանալիների ստեղծման և այլնի համար, որոնք ամրագրված են ստանդարտներով, ուժը կարելի է ենթադրել նույնը (հակառակ դեպքում դուք կարող եք պարզապես մոլորվել գաղտնագրության վայրի մեջ): Արդյո՞ք դրանք անպայման պետք է լինեն ԳՕՍՏ ալգորիթմներ: Այստեղ ամեն ինչ պարզ է. եթե դիմումի սցենարը պահանջում է FSB հավաստագրում CIPF-ի համար (իսկ Ռուսաստանում դա ամենից հաճախ այդպես է, ցանցային գաղտնագրման սցենարների մեծ մասի համար դա ճիշտ է), ապա մենք ընտրում ենք միայն վավերացվածների միջև: Եթե ​​ոչ, ուրեմն իմաստ չունի առանց վկայականների սարքերը քննարկումից բացառել:

Մեկ այլ սպառնալիք է հակերության սպառնալիքը, սարքերի չարտոնված մուտքը (այդ թվում՝ գործի դրսում և ներսում ֆիզիկական մուտքի միջոցով): Սպառնալիքը կարող է իրականացվել միջոցով
ներդրման խոցելիություններ՝ ապարատային և կոդի մեջ: Հետևաբար, ցանցի միջոցով նվազագույն «հարձակման մակերևույթով» լուծումները՝ ֆիզիկական մուտքից պաշտպանված պարիսպներով (ներխուժման սենսորներով, զոնդավորման պաշտպանությամբ և հիմնական տեղեկատվության ավտոմատ զրոյացումով, երբ պարիսպը բացվում է), ինչպես նաև նրանք, որոնք թույլ են տալիս որոնվածը թարմացնել: առավելություն այն դեպքում, երբ հայտնի է դառնում կոդի խոցելիությունը: Կա ևս մեկ տարբերակ՝ եթե համեմատվող բոլոր սարքերն ունեն FSB վկայականներ, ապա CIPF դասը, որի համար տրվել է վկայականը, կարելի է համարել հակերության նկատմամբ դիմադրության ցուցիչ։

Վերջապես, սպառնալիքի մեկ այլ տեսակ սխալներն են տեղադրման և շահագործման ընթացքում, մարդկային գործոնն իր մաքուր ձևով: Սա ցույց է տալիս մասնագիտացված գաղտնագրիչների մեկ այլ առավելություն համակցված լուծումների նկատմամբ, որոնք հաճախ ուղղված են փորձառու «ցանցային մասնագետներին» և կարող են դժվարություններ առաջացնել տեղեկատվական անվտանգության «սովորական» մասնագետների համար:

Ամփոփելով

Սկզբունքորեն, այստեղ հնարավոր կլիներ առաջարկել ինչ-որ անբաժանելի ցուցիչ տարբեր սարքերի համեմատության համար, նման մի բան

$$ցուցադրել$$K_j=∑p_i r_{ij}$$ցուցադրել$$

որտեղ p-ն ցուցիչի կշիռն է, իսկ r-ը սարքի աստիճանն է ըստ այս ցուցանիշի, և վերը թվարկված բնութագրերից որևէ մեկը կարելի է բաժանել «ատոմային» ցուցիչների: Նման բանաձևը կարող է օգտակար լինել, օրինակ, մրցութային առաջարկները նախապես համաձայնեցված կանոններով համեմատելիս։ Բայց դուք կարող եք հաղթահարել մի պարզ սեղան, ինչպիսին է

Բնութագրում
Սարք 1
Սարք 2
...
Սարք N

Շրջանառություն
+
+

+ + +

Ընդհանուր ծախսեր
+
++

+ + +

Հետաձգումը
+
+

++

Մասշտաբայնություն
+ + +
+

+ + +

Ճկունություն
+ + +
++

+

Փոխգործունակություն
++
+

+

Համատեղելիություն
++
++

+ + +

Պարզություն և հարմարավետություն
+
+

++

սխալների հանդուրժողականություն
+ + +
+ + +

++

Արժենալ
++
+ + +

+

Համառություն
++
++

+ + +

Ես հաճույքով կպատասխանեմ հարցերին և կառուցողական քննադատությանը։

Source: www.habr.com

Добавить комментарий