ما دا بیاکتنه لیکلې (یا، که تاسو غوره کوئ، د پرتله کولو لارښود) کله چې ما د مختلفو پلورونکو څخه د ډیری وسایلو پرتله کولو دنده درلوده. سربیره پردې، دا وسایل په مختلفو ټولګیو پورې اړه لري. ما باید د دې ټولو وسیلو جوړښت او ځانګړتیاوې درک کړي او د پرتله کولو لپاره "همغږي سیسټم" رامینځته کړي. زه به خوښ شم که زما بیاکتنه د چا سره مرسته وکړي:
- د کوډ کولو وسیلو توضیحات او مشخصات درک کړئ
- د "کاغذ" ځانګړتیاوې له هغو څخه توپیر کړئ چې په ریښتیني ژوند کې خورا مهم دي
- د پلورونکو معمول سیټ هاخوا لاړشئ او هر هغه محصولات په پام کې ونیسئ چې د ستونزې حل کولو لپاره مناسب وي
- د خبرو اترو پرمهال سمې پوښتنې وکړئ
- د داوطلبۍ اړتیاوې رسم کړئ (RFP)
- پوهیږئ چې کوم ځانګړتیاوې به قرباني شي که چیرې د یوې ځانګړې وسیلې ماډل غوره شي
څه ارزول کیدی شي
په اصولو کې، دا طریقه د هر یو واحد وسیلو لپاره د تطبیق وړ ده چې د لرې پرتو ایترنیټ برخو (د کراس سایټ کوډ کولو) ترمنځ د شبکې ترافیک کوډ کولو لپاره مناسب وي. دا دی، "بکسونه" په یوه جلا قضیه کې (ښه، موږ به دلته د چیسیس لپاره بلیډونه/ماډولونه هم شامل کړو)، کوم چې د یو یا ډیرو ایترنیټ بندرونو له لارې د ځایی (کیمپس) ایترنیټ شبکې سره د نه کوډ شوي ترافیک سره وصل شوي، او له لارې. چینل/شبکې ته بل بندر چې له لارې دمخه کوډ شوی ترافیک نورو لرې پرتو برخو ته لیږدول کیږي. د کوډ کولو دا ډول حل په شخصي یا آپریټر شبکې کې د مختلف ډولونو "ترانسپورت" له لارې ځای په ځای کیدی شي (تاریک فایبر ، د فریکونسۍ ویش تجهیزات ، سویچ ایترنیټ ، او همدارنګه "سیډووایرز" د شبکې له لارې د مختلف روټینګ جوړښت سره ایښودل شوي ، ډیری وختونه MPLS. د VPN ټیکنالوژۍ سره یا پرته.
په ویشل شوي ایترنیټ شبکه کې د شبکې کوډ کول
وسایل پخپله هم کیدی شي تخصصي (په ځانګړې توګه د کوډ کولو لپاره ټاکل شوی)، یا څو اړخیز (هایبرډ، متقابل)، دا دی چې نورې دندې هم ترسره کوي (د بیلګې په توګه، فایروال یا روټر). مختلف پلورونکي خپل وسایل په بیلابیلو ټولګیو / کټګوریو کې طبقه بندي کوي، مګر دا مهمه نده - یوازینی مهم شی دا دی چې ایا دوی کولی شي د کراس سایټ ټرافيک کوډ کړي، او کوم ځانګړتیاوې لري.
یوازې په دې حالت کې، زه تاسو ته یادونه کوم چې "د شبکې کوډ کول"، "د ټرافیک کوډ کول"، "کوډګر" غیر رسمي اصطلاحات دي، که څه هم ډیری وختونه کارول کیږي. تاسو به ډیری احتمال دا د روسیې په مقرراتو کې ونه مومئ (پشمول هغه چې GOSTs معرفي کوي).
د کوډ کولو کچه او د لیږد طریقې
مخکې له دې چې موږ پخپله د ځانګړتیاوو تشریح پیل کړو چې د ارزونې لپاره به کارول کیږي، موږ باید لومړی په یو مهم شی پوه شو، یعنې "د کوډ کولو کچه." ما ولیدل چې دا اکثرا د رسمي پلورونکي اسنادو کې (په توضیحاتو، لارښودونو، او نور) کې او په غیر رسمي خبرو اترو (مذاکراتو، روزنې کې) کې یادونه کیږي. دا دی، هرڅوک داسې ښکاري چې ډیر ښه پوهیږي چې موږ د څه په اړه خبرې کوو، مګر زه شخصا د یو څه ګډوډۍ شاهد وم.
نو د "کوډ کولو کچه" څه شی دی؟ دا روښانه ده چې موږ د OSI/ISO حوالې شبکې ماډل پرت په اړه خبرې کوو په کوم کې چې کوډ کول واقع کیږي. موږ د GOST R ISO 7498-2-99 "معلوماتي ټیکنالوژي ولولئ. د خلاص سیسټمونو سره اړیکه. د اصلي حواله ماډل. برخه 2. د معلوماتو امنیت جوړښت. د دې سند څخه دا پوهیدل کیدی شي چې د محرمیت خدماتو کچه (د چمتو کولو لپاره یو میکانیزم چې کوډ کول دي) د پروتوکول کچه ده ، د خدماتو ډیټا بلاک ("پیلوډ" ، د کارونکي ډیټا) چې کوډ شوی دی. لکه څنګه چې دا په معیار کې هم لیکل شوي، خدمت دواړه په ورته کچه چمتو کیدی شي، "په خپله،" او د ټیټې کچې په مرسته (دا څنګه، د بیلګې په توګه، دا ډیری وختونه په MACsec کې پلي کیږي) .
په عمل کې، په شبکه کې د کوډ شوي معلوماتو لیږد دوه طریقې ممکن دي (IPsec سمدلاسه ذهن ته راځي، مګر ورته طریقې په نورو پروتوکولونو کې هم موندل کیږي). IN ټرانسپورټ (کله ناکله اصلي هم ویل کیږي) حالت یوازې کوډ شوی دی خدمت د ډیټا بلاک، او سرلیکونه "خلاص" پاتې کیږي، غیر کوډ شوي (ځینې وختونه د کوډ کولو الګوریتم خدماتو معلوماتو سره اضافي ساحې اضافه کیږي، او نورې ساحې تعدیل شوي او بیا حساب شوي). IN تونل ټول ورته حالت پروتوکول د ډیټا بلاک (یعنی پخپله پاکټ) د ورته یا لوړې کچې خدماتو ډیټا بلاک کې کوډ شوی او کوډ شوی دی ، دا د نوي سرلیکونو لخوا محاصره شوی.
د کوډ کولو کچه پخپله د ځینې لیږد حالت سره په ترکیب کې نه ښه ده او نه بد ، نو دا نشي ویل کیدی ، د مثال په توګه ، چې د ټرانسپورټ حالت کې L3 د تونل حالت کې د L2 څخه غوره دی. دا یوازې دا دی چې ډیری ځانګړتیاوې چې له مخې یې وسایل ارزول کیږي په دوی پورې اړه لري. د مثال په توګه، انعطاف او مطابقت. د ټرانسپورټ په حالت کې د شبکې L1 (بټ سټریم ریلي)، L2 (فریم سویچنګ) او L3 (پکټ روټینګ) کې کار کولو لپاره، تاسو داسې حلونو ته اړتیا لرئ چې په ورته یا لوړه کچه کوډ کړئ (که نه نو د پتې معلومات به کوډ شي او ډاټا به کوډ کړي. خپل ټاکل شوي منزل ته نه رسیږي)، او د تونل حالت دا محدودیت ماتوي (که څه هم نور مهم ځانګړتیاوې قرباني کوي).
د ټرانسپورټ او تونل L2 کوډ کولو طریقې
اوس راځئ چې د ځانګړتیاوو تحلیل ته لاړ شو.
محصولات
د شبکې کوډ کولو لپاره، فعالیت یو پیچلی، څو اړخیز مفهوم دی. دا واقع کیږي چې یو ځانګړی ماډل، پداسې حال کې چې د یو فعالیت ځانګړتیاوو کې غوره، په بل کې ټیټ دی. له همدې امله، دا تل ګټور دی چې د کوډ کولو فعالیت ټولې برخې په پام کې ونیسئ او د شبکې په فعالیت او هغه غوښتنلیکونو باندې د دوی اغیزې چې دا کاروي. دلته موږ کولی شو د موټر سره مشابهت وکړو، د کوم لپاره چې نه یوازې اعظمي سرعت مهم دی، بلکې د "سلګونو" سرعت وخت، د تیلو مصرف، او داسې نور. پلورونکي شرکتونه او د دوی احتمالي پیرودونکي د فعالیت ځانګړتیاو ته خورا پاملرنه کوي. د یوې قاعدې په توګه، د کوډ کولو وسایل د پلورونکي لینونو کې د فعالیت پر بنسټ درجه بندي شوي.
دا روښانه ده چې فعالیت دواړه د شبکې پیچلتیا او کریپټوګرافیک عملیاتو پورې اړه لري چې په وسیله ترسره کیږي (پشمول دا چې دا دندې څومره موازي او پایپ لاین کیدی شي) ، او همدارنګه د هارډویر فعالیت او د فرم ویئر کیفیت پورې اړه لري. له همدې امله، زاړه ماډلونه ډیر تولیدونکي هارډویر کاروي؛ ځینې وختونه دا ممکنه ده چې دا د اضافي پروسیسرونو او حافظې ماډلونو سره سمبال کړئ. د کریپټوګرافیک دندو پلي کولو لپاره ډیری لارې شتون لري: د عمومي هدف مرکزي پروسس کولو واحد (CPU) ، د غوښتنلیک ځانګړي مدغم سرکټ (ASIC) ، یا د ساحې پروګرام وړ منطق مدغم سرکټ (FPGA). هره طریقه خپل ګټې او زیانونه لري. د مثال په توګه، CPU کولی شي د کوډ کولو خنډ شي، په ځانګړې توګه که چیرې پروسیسر د کوډ کولو الګوریتم مالتړ لپاره ځانګړي لارښوونې نلري (یا که دوی نه کارول کیږي). تخصصي چپس انعطاف نه لري؛ دا تل ممکنه نه ده چې دوی د فعالیت ښه کولو لپاره "ریفلیش" کړئ، نوي فعالیتونه اضافه کړئ، یا زیانمننې له منځه یوسي. سربیره پردې ، د دوی کارول یوازې د لوی تولید حجم سره ګټور کیږي. له همدې امله د "طلایی معنی" خورا مشهور شوی - د FPGA کارول (په روسیه کې FPGA). دا په FPGAs کې دي چې تش په نامه کریپټو سرعت کونکي جوړ شوي - د کریپټوګرافیک عملیاتو ملاتړ لپاره ځانګړي هارډویر ماډلونه جوړ شوي یا پلګ ان.
ځکه چې موږ په اړه خبرې کوو شبکه کوډ کول ، دا منطقي ده چې د حلونو فعالیت باید په ورته مقدار کې اندازه شي لکه د نورو شبکې وسیلو لپاره - له لارې پټول ، د چوکاټ ضایع کیدو سلنه او ځنډ. دا ارزښتونه په RFC 1242 کې تعریف شوي. په هرصورت، په دې RFC کې د ډیری ذکر شوي ځنډ توپیر (جیټ) په اړه هیڅ شی نه دی لیکل شوی. دا مقدارونه څنګه اندازه کول؟ ما په کوم معیارونو (رسمي یا غیر رسمي لکه RFC) کې په ځانګړي ډول د شبکې کوډ کولو لپاره تصویب شوی میتودولوژي نه ده موندلې. دا به منطقي وي چې د شبکې وسیلو لپاره میتودولوژي وکاروئ چې د RFC 2544 معیار کې شامل دي. ډیری پلورونکي دا تعقیبوي - ډیری ، مګر ټول نه. د مثال په توګه، دوی د ازموینې ټرافيک د دواړو پرځای یوازې یو لوري ته لیږي، لکه وړاندیز شوی معیاري په هر صورت.
د شبکې د کوډ کولو وسیلو د فعالیت اندازه کول لاهم خپل ځانګړتیاوې لري. لومړی، دا سمه ده چې د یوې جوړې وسیلو لپاره ټول اندازه کول ترسره کړئ: که څه هم د کوډ کولو الګوریتم سمیټریک دي، د کوډ کولو او ډیکریپشن په جریان کې ځنډونه او د پیکټ ضایعات به لازمي نه وي چې مساوي وي. دوهم، دا د ډیلټا اندازه کولو لپاره معنی لري، د شبکې د کوډ کولو اغیزه د شبکې په وروستي فعالیت باندې، د دوو ترتیباتو پرتله کول: د کوډ کولو وسیلو پرته او د دوی سره. یا ، لکه څنګه چې د هایبرډ وسیلو قضیه ده ، کوم چې د شبکې کوډ کولو سربیره ډیری دندې سره یوځای کوي ، د کوډ کولو بند او فعال سره. دا نفوذ مختلف کیدی شي او د کوډ کولو وسیلو د پیوستون سکیم پورې اړه لري ، په عملیاتي حالتونو کې ، او په نهایت کې د ترافیک طبیعت پورې اړه لري. په ځانګړې توګه، د فعالیت ډیری پیرامیټونه د پاکټونو په اوږدوالي پورې اړه لري، له همدې امله، د مختلفو حلونو فعالیت پرتله کولو لپاره، د دې پیرامیټونو ګرافونه د پیکټونو په اوږدوالي پورې اړه لري، یا IMIX کارول کیږي - د پیکټ لخوا د ټرافیک ویش. اوږدوالی، کوم چې تقریبا ریښتیا منعکس کوي. که موږ ورته بنسټیز تشکیلات پرته له کوډ کولو سره پرتله کړو، موږ کولی شو د شبکې د کوډ کولو حلونه پرتله کړو چې په مختلف ډول پلي شوي پرته له دې توپیرونو ته ورسیږو: L2 د L3 سره، د پلورنځي او فارورډ) د کټ له لارې، د کنورجینټ سره تخصص، د AES سره GOST او داسې نور.
د فعالیت ازموینې لپاره د ارتباط ډیاګرام
لومړی ځانګړتیا چې خلک ورته پام کوي د کوډ کولو وسیلې "سرعت" دی ، دا دی bandwidth (بنډ ویت) د دې شبکې انٹرفیسونه، د بټ جریان کچه. دا د شبکې معیارونو لخوا ټاکل کیږي چې د انٹرفیسونو لخوا ملاتړ کیږي. د ایترنیټ لپاره، معمول شمیرې 1 Gbps او 10 Gbps دي. مګر، لکه څنګه چې موږ پوهیږو، په هره شبکه کې اعظمي نظریاتي له لارې (throughput) د هغې په هره کچه کې تل کم بینډ ویت شتون لري: د بینڈوډت یوه برخه د انټر فریم وقفو ، خدماتو سرلیکونو او داسې نورو لخوا "خوړل کیږي". که چیرې یو وسیله د ترلاسه کولو ، پروسس کولو (زموږ په قضیه کې ، کوډ کول یا کوډ کول) او د شبکې انٹرفیس په بشپړ سرعت کې د ترافیک لیږدولو وړتیا ولري ، دا د شبکې ماډل د دې کچې لپاره د اعظمي نظریاتي انډول سره ، نو ویل کیږي کار کول د کرښې په سرعت کې. د دې کولو لپاره ، دا اړینه ده چې وسیله په هره اندازه او هر فریکونسۍ کې پاکټونه له لاسه ورنکړي یا له لاسه ورنکړي. که چیرې د کوډ کولو وسیله د کرښې په سرعت کې د عملیاتو ملاتړ نه کوي ، نو د هغې اعظمي ټرپټ معمولا په ورته ګیګابایټ کې په یوه ثانیه کې مشخص کیږي (ځینې وختونه د پیکټونو اوږدوالی په ګوته کوي - څومره چې پاکټونه لنډ وي ، د تروپټ ټیټ معمولا وي). دا خورا مهمه ده چې پوه شي چې د تروپوټ اعظمي حد اعظمي دی هیڅ زیان نشته (حتی که وسیله کولی شي په خپل ځان کې په لوړ سرعت سره ترافیک "پمپ" کړي ، مګر په ورته وخت کې ځینې پاکټونه له لاسه ورکوي). همچنان ، خبر اوسئ چې ځینې پلورونکي د ټولو جوړو بندرونو تر مینځ ټول ټریپټ اندازه کوي ، نو دا شمیرې خورا معنی نلري که ټول کوډ شوي ترافیک د یو واحد بندر له لارې تیریږي.
چیرته چې دا په ځانګړې توګه د کرښې په سرعت کې کار کول مهم دي (یا په بل عبارت، د پیکټ له لاسه ورکولو پرته)؟ په لوړ بینډ ویت کې، د لوړ ځنډ لینکونه (لکه سپوږمکۍ)، چیرې چې د لوی TCP کړکۍ اندازه باید د لوړ لیږد سرعت ساتلو لپاره تنظیم شي، او چیرې چې د پیکټ ضایع په ډراماتیک ډول د شبکې فعالیت کموي.
مګر ټول بینډ ویت د ګټورو معلوماتو لیږدولو لپاره نه کارول کیږي. موږ باید د تش په نامه سره حساب وکړو د سر لګښتونه (پورته) بینډ ویت. دا د کوډ کولو وسیلې له لارې پټه برخه ده (د سلنې یا بایټ په هر کڅوړه) چې واقعیا ضایع کیږي (د غوښتنلیک ډیټا لیږدولو لپاره نشي کارول کیدی). د سر لګښتونه رامینځته کیږي ، لومړی ، د کوډ شوي شبکې پاکټونو کې د ډیټا ساحې د اندازې (اضافه ، "ډکولو") د زیاتوالي له امله (د کوډ کولو الګوریتم او د دې عملیاتي حالت پورې اړه لري). دوهم، د پیکټ سرلیکونو اوږدوالی د زیاتوالي له امله (د تونل حالت، د کوډ کولو پروتوکول خدمت داخلول، سمولیشن داخلول، او داسې نور. د پروتوکول او د سایفر او لیږد حالت عملیاتي حالت پورې اړه لري) - معمولا دا د سر لګښتونه دي. خورا مهم، او دوی لومړی پاملرنه کوي. دریم، د پاکټونو د ویشلو له امله کله چې د ډیټا واحد اعظمي اندازه (MTU) څخه تیریږي (که چیرې شبکه د دې وړتیا ولري چې یو پاکټ چې د MTU څخه ډیر وي په دوو برخو ویشلی شي، د هغې سرلیکونه نقل کوي). څلورم، د کوډ کولو وسیلو (د کلیدي تبادلې لپاره، د تونل نصبولو، او داسې نورو لپاره) په شبکه کې د اضافي خدماتو (کنټرول) ټرافیک د څرګندیدو له امله. ټیټ سر مهم دی چیرې چې د چینل ظرفیت محدود وي. دا په ځانګړي توګه د کوچني کڅوړو څخه ترافیک کې څرګند دی ، د مثال په توګه ، غږ - چیرې چې د سر لګښتونه د چینل سرعت له نیمایي څخه ډیر "خوري" کولی شي!
بانډوید
په پای کې، نور هم شتون لري ځنډ معرفي کړ - د شبکې په ځنډ کې توپیر (د یوې ثانیې په برخه کې) د شبکې د کوډ کولو پرته او پرته د معلوماتو لیږد تر مینځ د شبکې په ځنډ کې (هغه وخت چې شبکې ته د ننوتلو څخه د هغې پریښودو لپاره د ډیټا تیریږي). په عموم کې، د شبکې ځنډ ("توپتیا") ټیټه ده، د کوډ کولو وسیلو لخوا معرفي شوی ځنډ خورا مهم کیږي. ځنډ پخپله د کوډ کولو عملیاتو لخوا معرفي شوی (د کوډ کولو الګوریتم پورې اړه لري ، د بلاک اوږدوالی او د سایفر عملیاتو حالت ، او همدارنګه په سافټویر کې د دې پلي کولو کیفیت پورې اړه لري) ، او په وسیله کې د شبکې پاکټ پروسس کول . معرفي شوی ځنډ د پاکټ پروسس کولو حالت دواړه پورې اړه لري (پاس له لارې یا پلورنځي او فارورډ) او د پلیټ فارم فعالیت (په FPGA یا ASIC کې د هارډویر پلي کول عموما په CPU کې د سافټویر پلي کولو څخه ګړندي دي). د L2 کوډ کول تقریبا تل د L3 یا L4 کوډ کولو په پرتله ټیټ ځنډ لري، د دې حقیقت له امله چې د L3/L4 کوډ کولو وسایل اکثرا سره یوځای کیږي. د مثال په توګه، په FPGAs کې د لوړ سرعت ایترنیټ انکریپټرونو پلي کولو او په L2 کې کوډ کولو سره، د کوډ کولو عملیاتو له امله ځنډ له منځه ځي - ځینې وختونه کله چې کوډ کول په یو جوړه وسیلو کې فعال شوي وي، د دوی لخوا معرفي شوي ټول ځنډ حتی کمیږي! ټیټ ځنډ مهم دی چیرې چې دا د ټول چینل ځنډونو سره د پرتلې وړ دی ، پشمول د تکثیر ځنډ چې نږدې 5 μs په هر کیلو متر کې دی. دا دی، موږ کولی شو ووایو چې د ښاري پیمانه شبکو لپاره (د لسګونو کیلومترو په اوږدو کې)، مایکرو ثانوي کولی شي ډیر پریکړه وکړي. د مثال په توګه، د همغږي ډیټابیس نقل لپاره، د لوړې فریکونسۍ سوداګرۍ، ورته بلاکچین.
ځنډ معرفي شو
د توزیع وړتیا
لوی توزیع شوي شبکې کولی شي په زرګونو نوډونه او د شبکې وسایل، په سلګونو محلي شبکې برخې شاملې کړي. دا مهمه ده چې د کوډ کولو حلونه د توزیع شوي شبکې اندازې او ټوپولوژي باندې اضافي محدودیتونه نه لګوي. دا په عمده توګه د کوربه او شبکې پتې په اعظمي شمیر کې پلي کیږي. د دې ډول محدودیتونو سره مخ کیدی شي، د بیلګې په توګه، کله چې د څو نقطو کوډ شوي شبکې ټوپولوژي پلي کول (د خپلواکو خوندي اړیکو، یا تونلونو سره) یا انتخابي کوډ کول (د مثال په توګه، د پروتوکول شمیره یا VLAN لخوا). که په دې حالت کې د شبکې پتې (MAC، IP، VLAN ID) په میز کې د کیلي په توګه کارول کیږي چې د قطارونو شمیر محدود وي، نو دا محدودیتونه دلته څرګندیږي.
برسېره پردې، لویې شبکې اکثرا ډیری ساختماني پرتونه لري، په شمول د اصلي شبکې په شمول، چې هر یو یې د خپل پته کولو سکیم او د خپلې لارې تګلارې پلي کوي. د دې طریقې د پلي کولو لپاره، ځانګړي چوکاټونه (لکه Q-in-Q یا MAC-in-MAC) او د لارې ټاکلو پروتوکولونه اکثرا کارول کیږي. د دې لپاره چې د داسې شبکو په جوړولو کې خنډ ونلري، د کوډ کولو وسیلې باید په سمه توګه دا ډول چوکاټونه اداره کړي (دا په دې معنی، د توزیع کولو معنی به مطابقت ولري - په لاندې کې نور).
انعطاف
دلته موږ د مختلفو تشکیلاتو، د پیوستون سکیمونو، ټوپولوژیو او نورو شیانو مالتړ په اړه خبرې کوو. د مثال په توګه، د کیریر ایترنیټ ټیکنالوژیو پراساس د سویچ شوي شبکو لپاره ، دا پدې معنی ده چې د مختلف ډوله مجازی ارتباطاتو (E-Line, E-LAN, E-Tree) مختلف ډوله خدمتونه (دواړه د پورټ او VLAN لخوا) او مختلف ټرانسپورټ ټیکنالوژیو لپاره ملاتړ کوي. (دوی دمخه پورته لیست شوي دي). دا دی، وسیله باید وکوالی شي په دواړو خطي ("پوائنټ-ټو-پوائنټ") او ملټي پوائنټ حالتونو کې کار وکړي، د مختلف VLANs لپاره جلا تونلونه رامینځته کړي، او په خوندي چینل کې د پاکټونو له ترتیب څخه بهر تحویل ته اجازه ورکړي. د مختلف سایفر حالتونو غوره کولو وړتیا (پشمول د مینځپانګې تصدیق سره یا پرته) او مختلف پیکټ لیږد حالتونه تاسو ته اجازه درکوي د اوسني شرایطو سره سم د ځواک او فعالیت ترمینځ توازن رامینځته کړئ.
دا هم مهمه ده چې د دواړو خصوصي شبکو مالتړ وشي، هغه تجهیزات چې د یوې ادارې ملکیت وي (یا ورته کرایه شوي)، او آپریټر شبکې، چې مختلفې برخې یې د مختلفو شرکتونو لخوا اداره کیږي. دا ښه ده که چیرې حل په کور کې او د دریمې ډلې لخوا مدیریت ته اجازه ورکړي (د مدیریت شوي خدماتو ماډل په کارولو سره). په آپریټر شبکو کې، بل مهم فعالیت د څو کرایه کولو (د مختلفو پیرودونکو لخوا شریکول) لپاره د انفرادي پیرودونکو (پیرودونکو) د کریپټوګرافیک جلا کولو په بڼه ملاتړ دی چې ټرافيک د ورته کوډ کولو وسیلو څخه تیریږي. دا عموما د هر پیرودونکي لپاره د کیلي او سندونو جلا سیټونو کارولو ته اړتیا لري.
که چیرې یو وسیله د یوې ځانګړې سناریو لپاره اخیستل کیږي، نو دا ټولې ځانګړتیاوې ممکن خورا مهم نه وي - تاسو یوازې اړتیا لرئ ډاډ ترلاسه کړئ چې دا وسیله د هغه څه ملاتړ کوي چې تاسو ورته اړتیا لرئ. مګر که چیرې د راتلونکي سناریوګانو ملاتړ کولو لپاره یو حل د "ودې لپاره" پیرود شي ، او د "کارپوریټ معیار" په توګه غوره شي ، نو انعطاف به بې ګټې نه وي - په ځانګړي توګه د مختلف پلورونکو څخه د وسیلو د مداخلې محدودیتونو په پام کې نیولو سره ( په دې اړه نور لاندې).
سادگي او اسانتیا
د خدماتو اسانتیا هم یو څو اړخیز مفهوم دی. نږدې، موږ کولی شو ووایو چې دا ټول هغه وخت دی چې د ځانګړي وړتیا متخصصینو لخوا د ژوند دورې په مختلف مرحلو کې د حل ملاتړ لپاره اړین دی. که چیرې لګښتونه شتون ونلري، او نصب، ترتیب، او عملیات په بشپړه توګه اتوماتیک وي، نو بیا لګښتونه صفر دي او اسانتیا مطلقه ده. البته، دا په ریښتینې نړۍ کې نه پیښیږي. یو مناسب اټکل یو ماډل دی "په تار کې غوټۍ" (bump-in-the-wire)، یا شفاف پیوستون، په کوم کې چې د کوډ کولو وسیلو اضافه کول او غیر فعال کول د شبکې په ترتیب کې کوم لارښود یا اتوماتیک بدلون ته اړتیا نلري. په ورته وخت کې ، د حل ساتل ساده شوي: تاسو کولی شئ په خوندي ډول د کوډ کولو فعالیت فعال او بند کړئ ، او که اړتیا وي ، په ساده ډول د شبکې کیبل سره وسیله "بای پاس" کړئ (دا د شبکې تجهیزاتو هغه بندرونه په مستقیم ډول وصل کړئ کوم چې. وصل وه). ریښتیا، یو نیمګړتیا شتون لري - یو برید کوونکی کولی شي ورته کار وکړي. د "په تار کې نوډ" اصول پلي کولو لپاره ، دا اړینه ده چې نه یوازې ترافیک په پام کې ونیسئ د معلوماتو طبقهخو د کنټرول او مدیریت پرتونه - وسایل باید دوی ته شفاف وي. له همدې امله ، دا ډول ترافیک یوازې کوډ کیدی شي کله چې د کوډ کولو وسیلو ترمینځ په شبکه کې د دې ډول ترافیک هیڅ ترلاسه کونکي شتون ونلري ، ځکه چې که دا رد یا کوډ شوی وي ، نو کله چې تاسو کوډ کول فعال یا غیر فعال کړئ ، نو د شبکې ترتیب ممکن بدل شي. د کوډ کولو وسیله هم د فزیکي پرت سیګنل کولو لپاره شفاف کیدی شي. په ځانګړې توګه، کله چې یو سیګنال ورک شي، دا باید د سیګنال په لور ("د ځان لپاره") دا زیان (د هغې لیږدونکي بند کړي) بیرته لیږدوي.
د معلوماتو د امنیت او معلوماتي ټکنالوجۍ څانګو، په ځانګړې توګه د شبکې ډیپارټمنټ ترمنځ د واک ویش کې ملاتړ هم مهم دی. د کوډ کولو حل باید د سازمان د لاسرسي کنټرول او پلټنې ماډل ملاتړ وکړي. د عادي عملیاتو د ترسره کولو لپاره د مختلفو څانګو ترمنځ د متقابل عمل اړتیا باید کمه شي. له همدې امله، د ځانګړو وسیلو لپاره د اسانتیا په برخه کې یوه ګټه شتون لري چې په ځانګړې توګه د کوډ کولو دندو ملاتړ کوي او د شبکې عملیاتو لپاره د امکان تر حده شفاف دي. په ساده ډول ، د معلوماتو امنیت کارمندان باید د شبکې تنظیماتو بدلولو لپاره د "شبکې متخصصینو" سره د تماس لپاره هیڅ دلیل ونه لري. او دا، په بدل کې، باید د شبکې ساتلو په وخت کې د کوډ کولو ترتیبات بدلولو ته اړتیا ونلري.
بل فکتور د کنټرول وړتیا او اسانتیا ده. دوی باید بصری، منطقی وي، د ترتیباتو وارداتو صادرات چمتو کړي، اتوماتیک او داسې نور. تاسو باید سمدلاسه پام وکړئ چې کوم مدیریت اختیارونه شتون لري (معمولا د دوی خپل مدیریت چاپیریال ، ویب انٹرفیس او کمانډ لاین) او د دوی هر یو د کومو دندو سیټ لري (محدودیتونه شتون لري). یو مهم فعالیت ملاتړ دی له بند څخه بهر (د بند څخه بهر) کنټرول، دا دی، د وقف شوي کنټرول شبکې له لارې، او په ډله کې (in-band) کنټرول، دا دی، د یوې ګډې شبکې له لارې چې ګټور ترافیک لیږدول کیږي. د مدیریت وسیلې باید ټول غیر معمولي حالتونه سیګنال کړي ، پشمول د معلوماتو امنیت پیښې. معمول، تکراري عملیات باید په اوتومات ډول ترسره شي. دا په عمده توګه د کلیدي مدیریت پورې اړه لري. دوی باید په اوتومات ډول تولید / توزیع شي. د PKI ملاتړ یو لوی پلس دی.
د توافق
دا د شبکې معیارونو سره د وسیلې مطابقت دی. سربیره پردې ، دا پدې معنی ندي چې نه یوازې صنعتي معیارونه چې د مستند سازمانونو لخوا منل شوي لکه IEEE ، بلکه د صنعت مشرانو ملکیت پروتوکولونه ، لکه سیسکو. د مطابقت ډاډ ترلاسه کولو لپاره دوه اصلي لارې شتون لري: یا له لارې رو transparencyوالی، یا له لارې ښکاره ملاتړ پروتوکولونه (کله چې د کوډ کولو وسیله د یو ځانګړي پروتوکول لپاره د شبکې نوډونو څخه کیږي او د دې پروتوکول کنټرول ترافیک پروسس کوي). د شبکو سره مطابقت د کنټرول پروتوکولونو پلي کولو بشپړتیا او سموالي پورې اړه لري. دا مهمه ده چې د PHY کچې (سرعت، د لیږد منځنۍ، کوډ کولو سکیم) لپاره د مختلف انتخابونو مالتړ وکړئ، د هر MTU سره د مختلف فارمیټونو ایترنیټ چوکاټونه، د مختلف L3 خدمت پروتوکولونه (په ابتدايي توګه د TCP/IP کورنۍ).
روڼتیا د تغیر میکانیزمونو له لارې تضمین کیږي (په لنډمهاله توګه د کوډ کونکو ترمینځ ترافیک کې د خلاص سرلیکونو مینځپانګې بدلول) ، پریښودل (کله چې انفرادي کڅوړې غیر کوډ شوي پاتې کیږي) او د کوډ کولو پیل پیل کول (کله چې په نورمال ډول د پاکټونو کوډ شوي ساحې نه کوډیږي).
شفافیت څنګه تامینیږي
له همدې امله، تل دقیقا وګورئ چې څنګه د یو ځانګړي پروتوکول لپاره ملاتړ چمتو کیږي. ډیری وختونه په شفاف حالت کې ملاتړ خورا اسانه او د باور وړ وي.
متقابل عمل
دا مطابقت هم دی، مګر په یو بل معنی کې، د بیلګې په توګه د کوډ کولو وسیلو نورو ماډلونو سره یوځای کار کولو وړتیا، په شمول د نورو جوړونکو څخه. ډیری د کوډ کولو پروتوکولونو معیاري کولو حالت پورې اړه لري. په L1 کې په ساده ډول د منلو وړ کوډ کولو معیارونه شتون نلري.
په ایترنیټ شبکو کې د L2 کوډ کولو لپاره 802.1ae (MACsec) معیار شتون لري ، مګر دا نه کاروي نور بس دی (له پای څخه تر پای پورې)، او انټرپورټ, "هپ-بای-هپ" کوډ کول، او په اصلي نسخه کې په ویشل شوي شبکو کې د کارولو لپاره مناسب نه دی، نو د دې ملکیت غزول ښکاره شوي چې دا محدودیت ماتوي (البته، د نورو تولید کونکو تجهیزاتو سره د مداخلې له امله). ریښتیا ، په 2018 کې ، د توزیع شوي شبکو لپاره ملاتړ د 802.1ae معیار کې اضافه شوی ، مګر لاهم د GOST کوډ کولو الګوریتم سیټونو لپاره هیڅ ملاتړ شتون نلري. له همدې امله، ملکیت، غیر معیاري L2 کوډ کولو پروتوکولونه، د یوې قاعدې په توګه، د ډیر موثریت (په ځانګړې توګه، د ټیټ بینډ ویت سر سر) او انعطاف (د کوډ کولو الګوریتمونو او طریقو بدلولو وړتیا) لخوا توپیر کیږي.
په لوړو کچو (L3 او L4) پیژندل شوي معیارونه شتون لري، په عمده توګه IPsec او TLS، مګر دلته هم دا دومره ساده ندي. حقیقت دا دی چې د دې معیارونو څخه هر یو د پروتوکولونو سیټ دی، هر یو د مختلف نسخو او توسیعونو سره د پلي کولو لپاره اړین یا اختیاري لري. سربیره پردې، ځینې جوړونکي غوره کوي چې په L3/L4 کې د دوی د ملکیت کوډ کولو پروتوکولونه وکاروي. له همدې امله ، په ډیری قضیو کې تاسو باید د بشپړ مداخلې په اړه حساب ونه کړئ ، مګر دا مهمه ده چې لږترلږه د مختلف ماډلونو او ورته تولید کونکي مختلف نسلونو ترمینځ تعامل ډاډمن شي.
باور
د مختلف حلونو پرتله کولو لپاره، تاسو کولی شئ د ناکامۍ یا شتون فکتور تر منځ د وخت وخت وکاروئ. که چیرې دا شمیر شتون ونلري (یا په دوی باور شتون نلري)، نو بیا کیفي پرتله کیدی شي. د مناسب مدیریت سره وسیلې به ګټه ولري (د ترتیب کولو غلطیو لږ خطر) ، ځانګړي کوډ کونکي (د ورته دلیل لپاره) ، او همدارنګه د ناکامۍ کشف او له مینځه وړو لپاره د لږترلږه وخت حلونه ، پشمول د ټول نوډونو "ګرم" بیک اپ وسیلې او وسایل
د لګښت
کله چې دا د لګښت خبره راځي، لکه څنګه چې د ډیری IT حلونو سره، دا د ملکیت ټول لګښت پرتله کولو لپاره معنی لري. د دې محاسبه کولو لپاره ، تاسو اړتیا نلرئ چې څرخ بیا ایجاد کړئ ، مګر کوم مناسب میتودولوژي وکاروئ (د مثال په توګه ، له ګارټینر څخه) او کوم کیلکولیټر (د مثال په توګه ، هغه څوک چې دمخه په سازمان کې د TCO محاسبه کولو لپاره کارول شوی). دا روښانه ده چې د شبکې د کوډ کولو حل لپاره، د ملکیت ټول لګښت شامل دی مستقیم پخپله د حل د پیرودلو یا کرایه کولو لګښتونه، د کوربه کولو تجهیزاتو زیربنا او د ځای پرځای کولو، ادارې او ساتنې لګښتونه (که په کور کې وي یا د دریمې ډلې خدماتو په بڼه)، او همدارنګه غیر مستقیم د حل د پای ته رسیدو څخه لګښتونه (د پای کارونکي تولیداتو له لاسه ورکولو له امله). شاید یوازې یو لنډیز شتون ولري. د حل د فعالیت اغیزې په بیلابیلو لارو په پام کې نیول کیدی شي: یا د غیر مستقیم لګښتونو په توګه چې د ورک شوي تولید له امله رامینځته کیږي، یا د "مجازی" مستقیم لګښتونو په توګه د شبکې وسایلو پیرود / لوړولو او ساتلو لګښتونه چې د شبکې د کارونې له امله د شبکې فعالیت ضایع کیدو لپاره تاوان ورکوي. کوډ کول په هر حالت کې، هغه لګښتونه چې د کافي دقت سره محاسبه کول ستونزمن دي د محاسبې څخه غوره پاتې دي: پدې توګه به په وروستي ارزښت ډیر باور وي. او، د معمول په څیر، په هر حالت کې، دا معنی لري چې د TCO لخوا د مختلف وسیلو پرتله کول د دوی د کارونې ځانګړي سناریو لپاره - ریښتیني یا عادي.
قوت
او وروستۍ ځانګړتیا د حل دوام دی. په ډیری حاالتو کې، پایښت یوازې د مختلف حلونو پرتله کولو سره په کیفیت ارزول کیدی شي. موږ باید په یاد ولرو چې د کوډ کولو وسایل نه یوازې یوه وسیله ده، بلکې د ساتنې یو څیز هم دی. دوی ممکن د مختلفو ګواښونو سره مخ شي. په لومړي سر کې د محرمیت څخه د سرغړونې، بیا تولید او د پیغامونو تعدیل ګواښونه دي. دا ګواښونه د کوډ کولو پروتوکولونو (پشمول د پیوستون رامینځته کولو او د کیلي تولید/توزیع کولو مرحلو کې) کې د زیان مننې له لارې د سیفر یا د هغې انفرادي حالتونو له لارې احساس کیدی شي. ګټه به د حلونو لپاره وي چې د کوډ کولو الګوریتم بدلولو یا د سایفر حالت بدلولو ته اجازه ورکوي (لږترلږه د فرم ویئر تازه کولو له لارې) ، هغه حلونه چې خورا بشپړ کوډ کول چمتو کوي ، د برید کونکي څخه نه یوازې د کارونکي ډیټا پټوي ، بلکه پته او د خدماتو نور معلومات هم. ، او همدارنګه تخنیکي حلونه چې نه یوازې کوډ کوي ، بلکه پیغامونه د بیا تولید او ترمیم څخه هم ساتي. د ټولو عصري کوډ کولو الګوریتمونو، بریښنایی لاسلیکونو، کلیدي نسل، او داسې نورو لپاره، کوم چې په معیارونو کې ځای پرځای شوي، ځواک یې ورته ګڼل کیدی شي (که نه نو تاسو کولی شئ په ساده ډول د کریپټوګرافي په ځنګلونو کې ورک شئ). ایا دا باید د GOST الګوریتمونه وي؟ دلته هرڅه ساده دي: که چیرې د غوښتنلیک سناریو د CIPF لپاره د FSB تصدیق ته اړتیا ولري (او په روسیه کې دا ډیری وختونه پیښیږي؛ د ډیری شبکې کوډ کولو سناریو لپاره دا ریښتیا ده) ، نو موږ یوازې د تصدیق شوي څخه غوره کوو. که نه، نو بیا د پام وړ سندونو پرته د وسیلو ایستل هیڅ معنی نلري.
بل ګواښ د هیک کولو ګواښ دی، وسیلو ته غیر مجاز لاسرسی (پشمول د قضیې بهر او دننه د فزیکي لاسرسي له لارې). ګواښ له لارې ترسره کیدی شي
په پلي کولو کې زیانمننې - په هارډویر او کوډ کې. له همدې امله، د شبکې له لارې د لږترلږه "برید سطح" سره حلونه، د فزیکي لاسرسي څخه خوندي تړل شوي پوښونو سره (د مداخلې سینسرونو سره، د محافظت محافظت او د کلیدي معلوماتو اتوماتیک بیا تنظیم کول کله چې تړل پرانیستل شي)، او همدارنګه هغه څوک چې د فرم ویئر تازه کولو ته اجازه ورکوي. ګټه په هغه صورت کې چې په کوډ کې زیانمنونکي پیژندل کیږي. بله لاره شتون لري: که چیرې ټول وسیلې پرتله کیږي د FSB سندونه ولري ، نو بیا د CIPF ټولګي د کوم لپاره چې سند صادر شوی و د هیکینګ پروړاندې د مقاومت شاخص وګڼل شي.
په نهایت کې ، بل ډول ګواښ د تنظیم او عملیاتو په جریان کې تېروتنې دي ، انساني فکتور په خپل خالص شکل کې. دا د متقابل حلونو په پرتله د ځانګړي کوډ کونکو بله ګټه ښیې ، کوم چې ډیری وختونه د تجربه لرونکي "شبکې متخصصینو" په هدف وي او کولی شي د "عادي" ، عمومي معلوماتو امنیت متخصصینو لپاره ستونزې رامینځته کړي.
د لنډیز لپاره
په اصولو کې، دلته به دا ممکنه وي چې د مختلف وسیلو پرتله کولو لپاره یو ډول بشپړ شاخص وړاندیز کړئ، لکه یو څه
$$display$$K_j=∑p_i r_{ij}$$Display$$
چیرته چې p د شاخص وزن دی، او r د دې شاخص له مخې د وسیلې درجه ده، او پورته لیست شوي هر یو ځانګړتیاوې په "اټومي" شاخصونو ویشل کیدی شي. دا ډول فورمول ګټور کیدی شي، د بیلګې په توګه، کله چې د مخکې توافق شوي مقرراتو سره سم د داوطلبۍ وړاندیزونه پرتله کړئ. مګر تاسو کولی شئ د ساده میز په څیر ترلاسه کړئ
ځانګړتیاوې
وسیله 1
وسیله 2
...
وسیله N
بانډوید
+
+
+++
سرونه
+
++
+++
ځنډ
+
+
++
د توزیع وړتیا
+++
+
+++
انعطاف
+++
++
+
متقابل عمل
++
+
+
د توافق
++
++
+++
سادگي او اسانتیا
+
+
++
د خطا زغم
+++
+++
++
د لګښت
++
+++
+
قوت
++
++
+++
زه به خوښ شم چې پوښتنو او رغنده نیوکې ته ځواب ووایم.
سرچینه: www.habr.com