ProHoster > blog > Utawala > Jinsi ya Kutathmini na Kulinganisha Vifaa vya Usimbaji vya Ethernet

Jinsi ya Kutathmini na Kulinganisha Vifaa vya Usimbaji vya Ethernet

Niliandika hakiki hii (au, ikiwa unapendelea, mwongozo wa kulinganisha) nilipopewa kazi ya kulinganisha vifaa kadhaa kutoka kwa wachuuzi tofauti. Kwa kuongeza, vifaa hivi vilikuwa vya madarasa tofauti. Nilipaswa kuelewa usanifu na sifa za vifaa hivi vyote na kuunda "mfumo wa kuratibu" kwa kulinganisha. Nitafurahi ikiwa ukaguzi wangu utamsaidia mtu:

  • Kuelewa maelezo na vipimo vya vifaa vya usimbaji fiche
  • Tofautisha sifa za "karatasi" kutoka kwa zile ambazo ni muhimu sana katika maisha halisi
  • Nenda zaidi ya seti ya kawaida ya wachuuzi na ujumuishe kuzingatia bidhaa zozote zinazofaa kwa kutatua tatizo
  • Uliza maswali sahihi wakati wa mazungumzo
  • Tengeneza mahitaji ya zabuni (RFP)
  • Kuelewa ni sifa gani zitahitajika kutolewa ikiwa muundo wa kifaa umechaguliwa

Nini kinaweza kutathminiwa

Kimsingi, mbinu hiyo inatumika kwa vifaa vyovyote vilivyojitegemea vinavyofaa kusimba trafiki ya mtandao kati ya sehemu za mbali za Ethaneti (usimbaji fiche wa tovuti nzima). Hiyo ni, "masanduku" katika hali tofauti (sawa, tutajumuisha vile vile/moduli za chasi hapa), ambazo zimeunganishwa kupitia bandari moja au zaidi za Ethaneti kwenye mtandao wa Ethaneti wa ndani (kampasi) wenye trafiki ambayo haijasimbwa, na kupitia. bandari nyingine hadi kituo/mtandao ambamo trafiki iliyosimbwa kwa njia fiche hupitishwa kwa sehemu zingine za mbali. Suluhisho kama hilo la usimbuaji linaweza kutumwa katika mtandao wa kibinafsi au wa waendeshaji kupitia aina tofauti za "usafiri" (nyuzi nyeusi, vifaa vya mgawanyiko wa masafa, Ethernet iliyobadilishwa, na "pseudowires" zilizowekwa kupitia mtandao na usanifu tofauti wa njia, mara nyingi MPLS. ), kwa kutumia au bila teknolojia ya VPN.

Jinsi ya Kutathmini na Kulinganisha Vifaa vya Usimbaji vya Ethernet
Usimbaji fiche wa mtandao katika mtandao wa Ethaneti uliosambazwa

Vifaa vyenyewe vinaweza kuwa ama maalumu (iliyokusudiwa kwa usimbaji fiche pekee), au kazi nyingi (mseto, kuungana), yaani, pia kufanya kazi nyingine (kwa mfano, firewall au router). Wachuuzi tofauti huainisha vifaa vyao katika madarasa/kategoria tofauti, lakini hii haijalishi - jambo muhimu pekee ni kama wanaweza kusimba trafiki ya tovuti tofauti, na sifa gani wanazo.

Ikiwezekana, nakukumbusha kwamba "usimbuaji wa mtandao", "usimbuaji wa trafiki", "encryptor" ni maneno yasiyo rasmi, ingawa hutumiwa mara nyingi. Uwezekano mkubwa hautawapata katika kanuni za Kirusi (ikiwa ni pamoja na zile zinazoanzisha GOSTs).

Viwango vya usimbaji fiche na njia za maambukizi

Kabla hatujaanza kueleza sifa zenyewe zitakazotumika kutathminiwa, itabidi kwanza tuelewe jambo moja muhimu, yaani β€œkiwango cha usimbaji fiche”. Niligundua kuwa mara nyingi hutajwa katika hati rasmi za wachuuzi (katika maelezo, miongozo, n.k.) na katika mijadala isiyo rasmi (kwenye mazungumzo, mafunzo). Yaani kila mtu anaonekana anakijua vizuri sana tunachozungumza, lakini mimi binafsi nilishuhudia mkanganyiko fulani.

Kwa hivyo "kiwango cha usimbuaji" ni nini? Ni wazi kwamba tunazungumza juu ya nambari ya safu ya mfano ya mtandao wa marejeleo ya OSI/ISO ambayo usimbaji fiche hutokea. Tunasoma GOST R ISO 7498-2–99 β€œTeknolojia ya habari. Uunganisho wa mifumo wazi. Mfano wa msingi wa kumbukumbu. Sehemu ya 2. Usanifu wa usalama wa habari." Kutoka kwa hati hii inaweza kueleweka kuwa kiwango cha huduma ya usiri (moja ya njia za kutoa ambayo ni usimbuaji) ni kiwango cha itifaki, kizuizi cha data ya huduma ("mzigo wa malipo", data ya mtumiaji) ambayo imesimbwa. Kama ilivyoandikwa katika kiwango, huduma inaweza kutolewa kwa kiwango sawa, "peke yake," na kwa msaada wa kiwango cha chini (hii ndio jinsi, kwa mfano, inatekelezwa mara nyingi katika MACsec) .

Kwa mazoezi, njia mbili za kusambaza habari zilizosimbwa kwenye mtandao zinawezekana (IPsec inakuja akilini mara moja, lakini njia sawa zinapatikana pia katika itifaki zingine). KATIKA usafiri (wakati mwingine pia huitwa hali ya asili) imesimbwa kwa njia fiche pekee huduma block ya data, na vichwa vinabaki "wazi", bila kufichwa (wakati mwingine sehemu za ziada zilizo na habari ya huduma ya algorithm ya usimbuaji huongezwa, na sehemu zingine zinarekebishwa na kuhesabiwa tena). KATIKA handaki mode sawa wote itifaki kizuizi cha data (yaani, pakiti yenyewe) imesimbwa na kuingizwa kwenye kizuizi cha data cha huduma ya kiwango sawa au cha juu, yaani, imezungukwa na vichwa vipya.

Kiwango cha usimbuaji yenyewe pamoja na hali fulani ya upitishaji sio nzuri au mbaya, kwa hivyo haiwezi kusemwa, kwa mfano, kwamba L3 katika hali ya usafirishaji ni bora kuliko L2 katika hali ya handaki. Ni kwamba sifa nyingi ambazo vifaa vinatathminiwa hutegemea. Kwa mfano, kubadilika na utangamano. Ili kufanya kazi katika mtandao wa L1 (kipimo cha mtiririko kidogo), L2 (kubadilisha fremu) na L3 (uelekezaji wa pakiti) katika hali ya usafirishaji, unahitaji suluhisho ambazo husimba kwa kiwango sawa au cha juu (vinginevyo maelezo ya anwani yatasimbwa kwa njia fiche na data itasimbwa kwa njia fiche. haifikii inapokusudiwa) , na hali ya handaki inashinda kizuizi hiki (ingawa inaacha sifa zingine muhimu).

Jinsi ya Kutathmini na Kulinganisha Vifaa vya Usimbaji vya Ethernet
Usafiri na njia za usimbaji za handaki L2

Sasa hebu tuendelee kuchambua sifa.

Uzalishaji

Kwa usimbaji fiche wa mtandao, utendaji ni dhana tata, yenye pande nyingi. Inatokea kwamba mfano fulani, wakati wa juu katika tabia moja ya utendaji, ni duni kwa mwingine. Kwa hiyo, daima ni muhimu kuzingatia vipengele vyote vya utendaji wa usimbaji fiche na athari zao kwenye utendaji wa mtandao na programu zinazotumia. Hapa tunaweza kuchora mlinganisho na gari, ambayo sio kasi ya juu tu ni muhimu, lakini pia wakati wa kuongeza kasi hadi "mamia", matumizi ya mafuta, na kadhalika. Makampuni ya wauzaji na wateja wao wanaowezekana hulipa kipaumbele sana kwa sifa za utendaji. Kama sheria, vifaa vya usimbaji fiche vinawekwa kulingana na utendaji katika mistari ya wauzaji.

Ni wazi kuwa utendaji unategemea ugumu wa utendakazi wa mitandao na kriptografia unaofanywa kwenye kifaa (pamoja na jinsi kazi hizi zinaweza kusawazishwa na kuwekwa bomba), na pia juu ya utendaji wa vifaa na ubora wa firmware. Kwa hivyo, mifano ya zamani hutumia vifaa vyenye tija zaidi, wakati mwingine inawezekana kuiweka na wasindikaji wa ziada na moduli za kumbukumbu. Kuna mbinu kadhaa za kutekeleza kazi za kriptografia: kwenye kitengo cha usindikaji cha madhumuni ya jumla (CPU), sakiti jumuishi ya programu mahususi (ASIC), au sakiti jumuishi ya mantiki inayoweza kupangwa (FPGA). Kila mbinu ina faida na hasara zake. Kwa mfano, CPU inaweza kuwa kizuizi cha usimbaji fiche, haswa ikiwa kichakataji hakina maagizo maalum ya kuauni algoriti ya usimbaji fiche (au ikiwa hayatumiki). Chips maalum hazina unyumbufu; si mara zote inawezekana "kuzimulika" ili kuboresha utendakazi, kuongeza vitendaji vipya, au kuondoa udhaifu. Kwa kuongeza, matumizi yao yanakuwa faida tu na kiasi kikubwa cha uzalishaji. Ndio maana "maana ya dhahabu" imekuwa maarufu sana - matumizi ya FPGA (FPGA kwa Kirusi). Ni kwenye FPGA ambapo kinachojulikana kama viongeza kasi vya crypto hufanywa - moduli za maunzi zilizojengewa ndani au programu-jalizi kwa ajili ya kusaidia shughuli za kriptografia.

Kwa kuwa tunazungumza mtandao encryption, ni mantiki kwamba utendaji wa ufumbuzi unapaswa kupimwa kwa kiasi sawa na kwa vifaa vingine vya mtandao - throughput, asilimia ya hasara ya fremu na latency. Maadili haya yamefafanuliwa katika RFC 1242. Kwa njia, hakuna kitu kilichoandikwa kuhusu tofauti ya kuchelewa inayotajwa mara nyingi (jitter) katika RFC hii. Jinsi ya kupima kiasi hiki? Sijapata mbinu iliyoidhinishwa katika viwango vyovyote (rasmi au isiyo rasmi kama vile RFC) mahususi kwa usimbaji fiche wa mtandao. Itakuwa ya busara kutumia mbinu kwa vifaa vya mtandao vilivyowekwa katika kiwango cha RFC 2544. Wachuuzi wengi hufuata - wengi, lakini sio wote. Kwa mfano, hutuma trafiki ya majaribio katika mwelekeo mmoja tu badala ya zote mbili, kama ilipendekeza kiwango. Hata hivyo.

Kupima utendaji wa vifaa vya usimbaji mtandao bado ina sifa zake. Kwanza, ni sahihi kutekeleza vipimo vyote kwa jozi ya vifaa: ingawa algoriti za usimbaji ni linganifu, ucheleweshaji na upotezaji wa pakiti wakati wa usimbaji fiche na usimbuaji sio lazima kuwa sawa. Pili, ni mantiki kupima delta, athari za usimbuaji wa mtandao kwenye utendaji wa mwisho wa mtandao, kulinganisha usanidi mbili: bila vifaa vya usimbuaji na pamoja nao. Au, kama ilivyo kwa vifaa vya mseto, ambavyo vinachanganya kazi kadhaa pamoja na usimbaji fiche wa mtandao, na usimbaji fiche umezimwa na kuwashwa. Ushawishi huu unaweza kuwa tofauti na hutegemea mpango wa uunganisho wa vifaa vya usimbuaji, kwenye njia za uendeshaji, na hatimaye, kwa asili ya trafiki. Hasa, vigezo vingi vya utendaji hutegemea urefu wa pakiti, ndiyo sababu, kulinganisha utendaji wa ufumbuzi tofauti, grafu za vigezo hivi kulingana na urefu wa pakiti hutumiwa mara nyingi, au IMIX hutumiwa - usambazaji wa trafiki kwa pakiti. urefu, ambayo takriban huakisi ile halisi. Ikiwa tunalinganisha usanidi sawa wa msingi bila usimbaji fiche, tunaweza kulinganisha ufumbuzi wa usimbaji fiche wa mtandao unaotekelezwa kwa njia tofauti bila kuingia katika tofauti hizi: L2 na L3, store-and-forward ) na kukata-kupitia, maalumu kwa kuunganishwa, GOST na AES na kadhalika.

Jinsi ya Kutathmini na Kulinganisha Vifaa vya Usimbaji vya Ethernet
Mchoro wa uunganisho wa kupima utendaji

Tabia ya kwanza ambayo watu huzingatia ni "kasi" ya kifaa cha usimbuaji, ambayo ni kipimo data (bandwidth) ya violesura vyake vya mtandao, kiwango kidogo cha mtiririko. Imedhamiriwa na viwango vya mtandao vinavyoungwa mkono na miingiliano. Kwa Ethernet, nambari za kawaida ni 1 Gbps na 10 Gbps. Lakini, kama tunavyojua, katika mtandao wowote upeo wa kinadharia kupitisha (kupitia) katika kila ngazi yake daima kuna bandwidth ndogo: sehemu ya bandwidth "huliwa" na vipindi vya interframe, vichwa vya huduma, na kadhalika. Ikiwa kifaa kina uwezo wa kupokea, kusindika (kwa upande wetu, kusimba au kusimbua) na kusambaza trafiki kwa kasi kamili ya kiolesura cha mtandao, ambayo ni, na upitishaji wa kinadharia wa kiwango hiki cha mfano wa mtandao, basi inasemwa. kuwa kazini kwa kasi ya mstari. Ili kufanya hivyo, ni muhimu kwamba kifaa kisipoteze au kupoteza pakiti kwa ukubwa wowote na kwa mzunguko wowote. Ikiwa kifaa cha usimbuaji hakiingiliani na operesheni kwa kasi ya mstari, basi upeo wake wa juu kawaida huainishwa katika gigabits sawa kwa sekunde (wakati mwingine huonyesha urefu wa pakiti - fupi pakiti, chini ya kawaida ni). Ni muhimu sana kuelewa kwamba upeo wa juu ni upeo hakuna hasara (hata kama kifaa kinaweza "kusukuma" trafiki kupitia yenyewe kwa kasi ya juu, lakini wakati huo huo kupoteza baadhi ya pakiti). Pia, fahamu kuwa baadhi ya wachuuzi hupima jumla ya matokeo kati ya jozi zote za bandari, kwa hivyo nambari hizi hazina maana kubwa ikiwa trafiki yote iliyosimbwa kwa njia fiche inapitia lango moja.

Ambapo ni muhimu sana kufanya kazi kwa kasi ya mstari (au, kwa maneno mengine, bila kupoteza pakiti)? Katika viunga vya kipimo data cha juu, vya muda wa kusubiri (kama vile setilaiti), ambapo ukubwa wa dirisha kubwa la TCP lazima kiwekwe ili kudumisha kasi ya juu ya upokezaji, na ambapo upotevu wa pakiti hupunguza kwa kiasi kikubwa utendakazi wa mtandao.

Lakini sio bandwidth yote hutumiwa kuhamisha data muhimu. Tunapaswa kuhesabu na kinachojulikana gharama za ziada (juu) kipimo data. Hii ni sehemu ya upitishaji wa kifaa cha usimbaji (kama asilimia au baiti kwa kila pakiti) ambayo kwa hakika inapotea (haiwezi kutumika kuhamisha data ya programu). Gharama za juu huibuka, kwanza, kwa sababu ya kuongezeka kwa saizi (nyongeza, "stuffing") ya uwanja wa data katika pakiti za mtandao zilizosimbwa (kulingana na algorithm ya usimbuaji na hali yake ya kufanya kazi). Pili, kutokana na kuongezeka kwa urefu wa vichwa vya pakiti (hali ya handaki, uingizaji wa huduma ya itifaki ya usimbaji fiche, uingizaji wa simulation, nk kulingana na itifaki na hali ya uendeshaji wa njia ya cipher na maambukizi) - kwa kawaida gharama hizi za juu ni za muhimu zaidi, na wanazingatia kwanza. Tatu, kwa sababu ya mgawanyiko wa pakiti wakati ukubwa wa juu wa kitengo cha data (MTU) umepitwa (ikiwa mtandao unaweza kugawanya pakiti inayozidi MTU kuwa mbili, ikiiga vichwa vyake). Nne, kutokana na kuonekana kwa huduma ya ziada (udhibiti) trafiki kwenye mtandao kati ya vifaa vya usimbuaji (kwa kubadilishana muhimu, ufungaji wa handaki, nk). Rudia ya chini ni muhimu ambapo uwezo wa chaneli ni mdogo. Hii inaonekana hasa katika trafiki kutoka kwa pakiti ndogo, kwa mfano, sauti - ambapo gharama za juu zinaweza "kula" zaidi ya nusu ya kasi ya kituo!

Jinsi ya Kutathmini na Kulinganisha Vifaa vya Usimbaji vya Ethernet
Mbinu

Hatimaye, kuna zaidi ilianzisha ucheleweshaji - tofauti (katika sehemu za sekunde) katika ucheleweshaji wa mtandao (muda inachukua kwa data kupita kutoka kwa kuingia kwenye mtandao hadi kuiacha) kati ya upitishaji wa data bila na kwa usimbaji fiche wa mtandao. Kwa ujumla, kadiri muda unavyopungua (β€œkuchelewa”) wa mtandao, ndivyo ucheleweshaji unaoletwa na vifaa vya usimbuaji unavyokuwa muhimu zaidi. Ucheleweshaji huletwa na operesheni ya usimbuaji yenyewe (kulingana na algorithm ya usimbuaji, urefu wa kuzuia na hali ya operesheni ya cipher, na vile vile ubora wa utekelezaji wake kwenye programu), na usindikaji wa pakiti ya mtandao kwenye kifaa. . Muda wa kusubiri ulioanzishwa unategemea hali ya uchakataji wa pakiti (kupita au kuhifadhi-na-mbele) na utendakazi wa jukwaa (utekelezaji wa maunzi kwenye FPGA au ASIC kwa ujumla ni haraka kuliko utekelezaji wa programu kwenye CPU). Usimbaji fiche wa L2 karibu kila mara huwa na latency ya chini kuliko usimbaji fiche wa L3 au L4, kutokana na ukweli kwamba vifaa vya usimbaji vya L3/L4 mara nyingi huunganishwa. Kwa mfano, na usimbuaji wa kasi wa Ethernet unaotekelezwa kwenye FPGA na usimbuaji kwenye L2, ucheleweshaji kwa sababu ya utendakazi wa usimbuaji ni mdogo sana - wakati mwingine usimbaji fiche unapowezeshwa kwenye jozi ya vifaa, ucheleweshaji wa jumla ulioletwa nao hata hupungua! Ucheleweshaji wa chini ni muhimu ambapo unaweza kulinganishwa na ucheleweshaji wa jumla wa chaneli, pamoja na ucheleweshaji wa uenezi, ambao ni takriban 5 ΞΌs kwa kilomita. Hiyo ni, tunaweza kusema kwamba kwa mitandao ya mijini (makumi ya kilomita kote), microseconds inaweza kuamua mengi. Kwa mfano, kwa replication synchronous database, high-frequency biashara, blockchain sawa.

Jinsi ya Kutathmini na Kulinganisha Vifaa vya Usimbaji vya Ethernet
Ucheleweshaji ulioanzishwa

Scalability

Mitandao mikubwa iliyosambazwa inaweza kujumuisha maelfu mengi ya nodi na vifaa vya mtandao, mamia ya sehemu za mtandao wa ndani. Ni muhimu kwamba ufumbuzi wa encryption usiweke vikwazo vya ziada kwa ukubwa na topolojia ya mtandao uliosambazwa. Hii inatumika hasa kwa idadi ya juu zaidi ya anwani za seva pangishi na mtandao. Vikwazo kama hivyo vinaweza kupatikana, kwa mfano, wakati wa kutekeleza topolojia ya mtandao iliyosimbwa kwa njia nyingi (pamoja na viunganisho vya usalama vya kujitegemea, au vichuguu) au usimbaji fiche uliochaguliwa (kwa mfano, kwa nambari ya itifaki au VLAN). Ikiwa katika kesi hii anwani za mtandao (MAC, IP, VLAN ID) hutumiwa kama funguo kwenye jedwali ambalo idadi ya safu ni mdogo, basi vikwazo hivi vinaonekana hapa.

Kwa kuongeza, mitandao mikubwa mara nyingi ina tabaka kadhaa za kimuundo, ikiwa ni pamoja na mtandao wa msingi, ambayo kila mmoja hutekeleza mpango wake wa kushughulikia na sera yake ya uelekezaji. Ili kutekeleza mbinu hii, miundo maalum ya fremu (kama vile Q-in-Q au MAC-in-MAC) na itifaki za uamuzi wa njia hutumiwa mara nyingi. Ili sio kuzuia ujenzi wa mitandao kama hii, vifaa vya usimbuaji lazima vishughulikie muafaka kama huo (ambayo ni, kwa maana hii, uboreshaji utamaanisha utangamano - zaidi juu ya hapo chini).

Utulivu

Hapa tunazungumzia juu ya kuunga mkono usanidi mbalimbali, mipango ya uunganisho, topolojia na mambo mengine. Kwa mfano, kwa mitandao iliyobadilishwa kulingana na teknolojia ya Carrier Ethernet, hii inamaanisha usaidizi wa aina tofauti za miunganisho pepe (E-Line, E-LAN, E-Tree), aina tofauti za huduma (zote kwa bandari na VLAN) na teknolojia tofauti za usafiri. (tayari yameorodheshwa hapo juu). Hiyo ni, kifaa lazima kiwe na uwezo wa kufanya kazi kwa njia zote mbili za mstari ("point-to-point") na njia nyingi, kuanzisha vichuguu tofauti kwa VLAN tofauti, na kuruhusu utoaji wa nje wa utaratibu wa pakiti ndani ya njia salama. Uwezo wa kuchagua aina tofauti za misimbo (ikiwa ni pamoja na au bila uthibitishaji wa maudhui) na njia tofauti za upokezaji wa pakiti hukuruhusu kupata usawa kati ya nguvu na utendaji kulingana na hali ya sasa.

Pia ni muhimu kuunga mkono mitandao yote ya kibinafsi, vifaa ambavyo vinamilikiwa na shirika moja (au kukodishwa kwake), na mitandao ya waendeshaji, sehemu tofauti ambazo zinasimamiwa na makampuni tofauti. Ni vizuri ikiwa suluhisho linaruhusu usimamizi wa ndani na wa tatu (kwa kutumia mtindo wa huduma unaosimamiwa). Katika mitandao ya waendeshaji, kazi nyingine muhimu ni usaidizi wa upangaji mwingi (kushiriki na wateja tofauti) kwa njia ya kutengwa kwa kriptografia ya wateja binafsi (wasajili) ambao trafiki yao hupitia seti sawa ya vifaa vya usimbuaji. Hii kawaida inahitaji matumizi ya seti tofauti za funguo na vyeti kwa kila mteja.

Ikiwa kifaa kinununuliwa kwa hali maalum, basi vipengele hivi vyote haviwezi kuwa muhimu sana - unahitaji tu kuhakikisha kwamba kifaa kinasaidia unachohitaji sasa. Lakini ikiwa suluhisho linununuliwa "kwa ukuaji", kusaidia hali za siku zijazo pia, na limechaguliwa kama "kiwango cha ushirika", basi kubadilika hakutakuwa mbaya sana - haswa kwa kuzingatia vizuizi vya mwingiliano wa vifaa kutoka kwa wachuuzi tofauti. zaidi juu ya hii hapa chini).

Unyenyekevu na urahisi

Urahisi wa huduma pia ni dhana ya multifactorial. Takriban, tunaweza kusema kwamba huu ni muda wa jumla unaotumiwa na wataalam wa sifa fulani inayohitajika kusaidia suluhisho katika hatua tofauti za mzunguko wa maisha yake. Ikiwa hakuna gharama, na ufungaji, usanidi, na uendeshaji ni moja kwa moja, basi gharama ni sifuri na urahisi ni kamili. Kwa kweli, hii haifanyiki katika ulimwengu wa kweli. Ukadiriaji unaofaa ni mfano "fundo kwenye waya" (bump-in-the-wire), au muunganisho wa uwazi, ambapo kuongeza na kuzima vifaa vya usimbuaji hahitaji mabadiliko yoyote ya mwongozo au otomatiki kwenye usanidi wa mtandao. Wakati huo huo, kudumisha suluhisho hurahisishwa: unaweza kuwasha na kuzima kazi ya usimbuaji kwa usalama, na ikiwa ni lazima, tu "bypass" kifaa na kebo ya mtandao (ambayo ni, unganisha moja kwa moja bandari hizo za vifaa vya mtandao ambavyo iliunganishwa). Kweli, kuna drawback moja - mshambuliaji anaweza kufanya hivyo. Ili kutekeleza kanuni ya "node kwenye waya", ni muhimu kuzingatia sio trafiki tu safu ya dataLakini tabaka za udhibiti na usimamizi - vifaa lazima iwe wazi kwao. Kwa hivyo, trafiki kama hiyo inaweza kusimbwa tu wakati hakuna wapokeaji wa aina hizi za trafiki kwenye mtandao kati ya vifaa vya usimbuaji, kwani ikiwa inatupwa au imesimbwa, basi unapowezesha au kuzima usimbuaji, usanidi wa mtandao unaweza kubadilika. Kifaa cha usimbaji fiche kinaweza pia kuwa wazi kwa uashiriaji wa safu halisi. Hasa, wakati ishara inapotea, lazima ipeleke hasara hii (yaani, kuzima wasambazaji wake) na kurudi ("kwa yenyewe") kwa mwelekeo wa ishara.

Msaada katika mgawanyo wa mamlaka kati ya idara za usalama wa habari na IT, haswa idara ya mtandao, pia ni muhimu. Suluhisho la usimbaji fiche lazima liunge mkono udhibiti wa ufikiaji wa shirika na muundo wa ukaguzi. Haja ya mwingiliano kati ya idara tofauti kufanya shughuli za kawaida inapaswa kupunguzwa. Kwa hivyo, kuna faida katika suala la urahisi wa vifaa maalum ambavyo vinasaidia kikamilifu kazi za usimbaji fiche na ni wazi iwezekanavyo kwa shughuli za mtandao. Kwa ufupi, wafanyikazi wa usalama wa habari hawapaswi kuwa na sababu ya kuwasiliana na "wataalamu wa mtandao" ili kubadilisha mipangilio ya mtandao. Na wale, kwa upande wake, hawapaswi kuwa na hitaji la kubadilisha mipangilio ya usimbuaji wakati wa kudumisha mtandao.

Sababu nyingine ni uwezo na urahisi wa udhibiti. Zinapaswa kuwa za kuona, za kimantiki, kutoa uagizaji-nje ya mipangilio, otomatiki, na kadhalika. Unapaswa kuzingatia mara moja ni chaguzi gani za usimamizi zinapatikana (kawaida mazingira yao ya usimamizi, kiolesura cha wavuti na mstari wa amri) na ni seti gani ya kazi ambayo kila mmoja wao anayo (kuna mapungufu). Kazi muhimu ni msaada nje ya bendi (nje ya bendi) udhibiti, yaani, kupitia mtandao wa udhibiti uliojitolea, na katika bendi (in-band) kudhibiti, yaani, kupitia mtandao wa kawaida ambao trafiki muhimu hupitishwa. Zana za usimamizi lazima ziashirie hali zote zisizo za kawaida, ikiwa ni pamoja na matukio ya usalama wa habari. Uendeshaji wa kawaida, unaorudiwa unapaswa kufanywa moja kwa moja. Hii kimsingi inahusiana na usimamizi muhimu. Wanapaswa kuzalishwa / kusambazwa moja kwa moja. Msaada wa PKI ni faida kubwa.

Utangamano

Hiyo ni, utangamano wa kifaa na viwango vya mtandao. Zaidi ya hayo, hii haimaanishi tu viwango vya viwanda vilivyopitishwa na mashirika yenye mamlaka kama vile IEEE, lakini pia itifaki za wamiliki wa viongozi wa sekta hiyo, kama vile Cisco. Kuna njia mbili kuu za kuhakikisha utangamano: ama kupitia uwazi, au kupitia msaada wa wazi itifaki (wakati kifaa cha usimbuaji kinakuwa moja ya nodi za mtandao kwa itifaki fulani na huchakata trafiki ya udhibiti wa itifaki hii). Utangamano na mitandao inategemea ukamilifu na usahihi wa utekelezaji wa itifaki za udhibiti. Ni muhimu kuunga mkono chaguo tofauti kwa kiwango cha PHY (kasi, njia ya upitishaji, mpango wa usimbaji), fremu za Ethaneti za umbizo tofauti na MTU yoyote, itifaki tofauti za huduma za L3 (hasa familia ya TCP/IP).

Uwazi unahakikishwa kupitia njia za mabadiliko (kubadilisha kwa muda yaliyomo kwenye vichwa wazi katika trafiki kati ya encryptors), kuruka (wakati pakiti za kibinafsi zinasalia ambazo hazijasimbwa) na kuingiza mwanzo wa usimbaji (wakati sehemu za kawaida za pakiti hazijasimbwa).

Jinsi ya Kutathmini na Kulinganisha Vifaa vya Usimbaji vya Ethernet
Jinsi uwazi unahakikishwa

Kwa hiyo, daima angalia jinsi msaada wa itifaki fulani hutolewa. Mara nyingi msaada katika hali ya uwazi ni rahisi zaidi na ya kuaminika.

Kushirikiana

Hii pia ni utangamano, lakini kwa maana tofauti, yaani uwezo wa kufanya kazi pamoja na mifano mingine ya vifaa vya usimbuaji, ikiwa ni pamoja na wale kutoka kwa wazalishaji wengine. Inategemea sana hali ya kusawazisha itifaki za usimbaji fiche. Hakuna viwango vya usimbaji vinavyokubalika kwa ujumla kwenye L1.

Kuna kiwango cha 2ae (MACsec) cha usimbuaji wa L802.1 kwenye mitandao ya Ethernet, lakini haitumii. kupitia (mwisho-mwisho), na mwingiliano, usimbuaji wa "hop-by-hop", na katika toleo lake la asili haifai kutumika katika mitandao iliyosambazwa, kwa hivyo upanuzi wake wa wamiliki umeonekana ambao unashinda kizuizi hiki (bila shaka, kutokana na ushirikiano na vifaa kutoka kwa wazalishaji wengine). Kweli, mwaka wa 2018, usaidizi wa mitandao iliyosambazwa iliongezwa kwa kiwango cha 802.1ae, lakini bado hakuna msaada wa seti za algorithm ya GOST. Kwa hivyo, itifaki za umiliki, zisizo za kawaida za usimbuaji wa L2, kama sheria, zinatofautishwa na ufanisi mkubwa (haswa, kiwango cha chini cha bandwidth) na kubadilika (uwezo wa kubadilisha algorithms na njia za usimbuaji).

Katika viwango vya juu (L3 na L4) kuna viwango vinavyotambulika, hasa IPsec na TLS, lakini hapa pia si rahisi sana. Ukweli ni kwamba kila moja ya viwango hivi ni seti ya itifaki, kila moja ikiwa na matoleo tofauti na viendelezi vinavyohitajika au hiari kwa utekelezaji. Kwa kuongeza, wazalishaji wengine wanapendelea kutumia itifaki zao za usimbaji wa wamiliki kwenye L3/L4. Kwa hiyo, katika hali nyingi hupaswi kuhesabu ushirikiano kamili, lakini ni muhimu kwamba angalau mwingiliano kati ya mifano tofauti na vizazi tofauti vya mtengenezaji sawa ni kuhakikisha.

Kuegemea

Ili kulinganisha masuluhisho tofauti, unaweza kutumia muda wa wastani kati ya kushindwa au kipengele cha upatikanaji. Ikiwa nambari hizi hazipatikani (au hakuna imani ndani yao), basi kulinganisha kwa ubora kunaweza kufanywa. Vifaa vilivyo na usimamizi rahisi vitakuwa na faida (hatari ndogo ya makosa ya usanidi), wasindikaji maalum (kwa sababu hiyo hiyo), na pia suluhisho na wakati mdogo wa kugundua na kuondoa kutofaulu, pamoja na njia za chelezo "moto" za nodi nzima na. vifaa.

Gharama

Linapokuja suala la gharama, kama ilivyo kwa masuluhisho mengi ya TEHAMA, inaleta maana kulinganisha jumla ya gharama ya umiliki. Ili kuihesabu, sio lazima kuunda tena gurudumu, lakini tumia mbinu yoyote inayofaa (kwa mfano, kutoka kwa Gartner) na kihesabu chochote (kwa mfano, ile ambayo tayari inatumika katika shirika kuhesabu TCO). Ni wazi kwamba kwa ufumbuzi wa usimbaji fiche wa mtandao, gharama ya jumla ya umiliki inajumuisha moja kwa moja gharama za ununuzi au kukodisha suluhisho yenyewe, miundombinu ya vifaa vya kukaribisha na gharama za kupeleka, usimamizi na matengenezo (iwe ndani au katika mfumo wa huduma za mtu wa tatu), na vile vile isiyo ya moja kwa moja gharama kutoka kwa muda wa ufumbuzi (unaosababishwa na kupoteza kwa tija ya mtumiaji wa mwisho). Labda kuna ujanja mmoja tu. Athari ya utendakazi wa suluhisho inaweza kuzingatiwa kwa njia tofauti: ama kama gharama zisizo za moja kwa moja zinazosababishwa na upotezaji wa tija, au kama gharama "halisi" za moja kwa moja za ununuzi / uboreshaji na kudumisha zana za mtandao ambazo hufidia upotezaji wa utendakazi wa mtandao kwa sababu ya matumizi ya usimbaji fiche. Kwa hali yoyote, gharama ambazo ni vigumu kuhesabu kwa usahihi wa kutosha ni bora kushoto nje ya hesabu: kwa njia hii kutakuwa na imani zaidi katika thamani ya mwisho. Na, kama kawaida, kwa hali yoyote, ni mantiki kulinganisha vifaa tofauti na TCO kwa hali maalum ya matumizi yao - halisi au ya kawaida.

Ujasiri

Na sifa ya mwisho ni kuendelea kwa suluhisho. Katika hali nyingi, uimara unaweza tu kutathminiwa kwa ubora kwa kulinganisha masuluhisho tofauti. Lazima tukumbuke kwamba vifaa vya usimbuaji sio njia tu, bali pia ni kitu cha ulinzi. Wanaweza kuwa wazi kwa vitisho mbalimbali. Mbele ya mbele ni vitisho vya ukiukaji wa usiri, uzazi na urekebishaji wa ujumbe. Vitisho hivi vinaweza kutekelezwa kupitia udhaifu wa msimbo au hali zake binafsi, kupitia udhaifu katika itifaki za usimbaji fiche (ikiwa ni pamoja na katika hatua za kuanzisha muunganisho na kuzalisha/kusambaza vitufe). Faida itakuwa kwa suluhisho zinazoruhusu kubadilisha algorithm ya usimbuaji au kubadili hali ya cipher (angalau kupitia sasisho la firmware), suluhisho ambazo hutoa usimbuaji kamili zaidi, kujificha kutoka kwa mshambuliaji sio data ya mtumiaji tu, bali pia anwani na habari zingine za huduma. , pamoja na ufumbuzi wa kiufundi ambao sio tu kuficha, lakini pia kulinda ujumbe kutoka kwa uzazi na urekebishaji. Kwa algorithms zote za kisasa za usimbuaji, saini za elektroniki, kizazi muhimu, nk, ambazo zimewekwa katika viwango, nguvu inaweza kudhaniwa kuwa sawa (vinginevyo unaweza kupotea tu kwenye mwitu wa cryptography). Je! hizi lazima ziwe kanuni za GOST? Kila kitu ni rahisi hapa: ikiwa hali ya maombi inahitaji udhibitisho wa FSB kwa CIPF (na nchini Urusi hii ndiyo kesi mara nyingi; kwa hali nyingi za usimbuaji wa mtandao hii ni kweli), basi tunachagua tu kati ya zilizoidhinishwa. Ikiwa sivyo, basi hakuna maana katika kuwatenga vifaa bila vyeti kutoka kwa kuzingatia.

Tishio lingine ni tishio la utapeli, ufikiaji usioidhinishwa wa vifaa (pamoja na ufikiaji wa kimwili nje na ndani ya kesi). Tishio linaweza kutekelezwa kupitia
udhaifu katika utekelezaji - katika vifaa na kanuni. Kwa hivyo, suluhisho zilizo na "uso wa kushambulia" mdogo kupitia mtandao, na vifuniko vilivyolindwa kutoka kwa ufikiaji wa mwili (na sensorer za kuingilia, ulinzi wa uchunguzi na kuweka upya kiotomatiki habari muhimu wakati kiambatisho kinafunguliwa), pamoja na zile zinazoruhusu sasisho za firmware zitakuwa na. faida katika tukio ambalo udhaifu katika msimbo utajulikana. Kuna njia nyingine: ikiwa vifaa vyote vinavyolinganishwa vina vyeti vya FSB, basi darasa la CIPF ambalo cheti kilitolewa kinaweza kuchukuliwa kuwa kiashiria cha kupinga hacking.

Hatimaye, aina nyingine ya tishio ni makosa wakati wa kuanzisha na uendeshaji, sababu ya kibinadamu katika fomu yake safi. Hii inaonyesha faida nyingine ya wasindikaji maalumu juu ya suluhu zilizounganishwa, ambazo mara nyingi hulenga "wataalamu wa mtandao" waliobobea na zinaweza kusababisha ugumu kwa "wataalamu wa kawaida", wataalam wa usalama wa habari wa jumla.

Kwa muhtasari

Kimsingi, hapa itawezekana kupendekeza aina fulani ya kiashiria muhimu kwa kulinganisha vifaa tofauti, kitu kama

$$display$$K_j=βˆ‘p_i r_{ij}$$display$$

ambapo p ni uzito wa kiashiria, na r ni cheo cha kifaa kulingana na kiashiria hiki, na sifa yoyote iliyoorodheshwa hapo juu inaweza kugawanywa katika viashiria vya "atomiki". Fomula kama hiyo inaweza kuwa muhimu, kwa mfano, wakati wa kulinganisha mapendekezo ya zabuni kulingana na sheria zilizokubaliwa hapo awali. Lakini unaweza kupata na meza rahisi kama

Tabia
Kifaa 1
Kifaa 2
...
Kifaa N

Mbinu
+
+

+ + +

Vichwa vya juu
+
++

+ + +

Kuchelewa
+
+

++

Scalability
+ + +
+

+ + +

Utulivu
+ + +
++

+

Kushirikiana
++
+

+

Utangamano
++
++

+ + +

Unyenyekevu na urahisi
+
+

++

uvumilivu wa makosa
+ + +
+ + +

++

Gharama
++
+ + +

+

Ujasiri
++
++

+ + +

Nitafurahi kujibu maswali na ukosoaji wa kujenga.

Chanzo: mapenzi.com

Kuongeza maoni