ProHoster > Блог > Isakoso > Bii o ṣe le ṣe iṣiro ati Ṣe afiwe Awọn ẹrọ fifi ẹnọ kọ nkan Ethernet

Bii o ṣe le ṣe iṣiro ati Ṣe afiwe Awọn ẹrọ fifi ẹnọ kọ nkan Ethernet

Mo ti kọ atunyẹwo yii (tabi, ti o ba fẹ, itọsọna lafiwe) nigbati Mo ṣe iṣẹ ṣiṣe pẹlu afiwe awọn ẹrọ pupọ lati ọdọ awọn olutaja oriṣiriṣi. Ni afikun, awọn ẹrọ wọnyi jẹ ti awọn kilasi oriṣiriṣi. Mo ni lati loye faaji ati awọn abuda ti gbogbo awọn ẹrọ wọnyi ati ṣẹda “eto ipoidojuko” fun lafiwe. Inu mi yoo dun ti atunyẹwo mi ba ṣe iranlọwọ fun ẹnikan:

  • Loye awọn apejuwe ati awọn pato ti awọn ẹrọ fifi ẹnọ kọ nkan
  • Ṣe iyatọ awọn abuda “iwe” lati awọn ti o ṣe pataki ni igbesi aye gidi
  • Lọ kọja iṣeto deede ti awọn olutaja ati pẹlu sinu ero eyikeyi awọn ọja ti o dara fun ipinnu iṣoro naa
  • Beere awọn ibeere ti o tọ lakoko awọn idunadura
  • Ṣe agbekalẹ awọn ibeere tutu (RFP)
  • Loye kini awọn abuda yoo ni lati rubọ ti o ba yan awoṣe ẹrọ kan

Kini o le ṣe ayẹwo

Ni opo, ọna naa wulo fun eyikeyi awọn ẹrọ adaduro ti o yẹ fun fifipamọ ijabọ nẹtiwọọki laarin awọn abala Ethernet latọna jijin (ìsekóòdù aaye-agbelebu). Iyẹn ni, “awọn apoti” ni ọran ti o yatọ (dara, a yoo tun pẹlu awọn abẹfẹlẹ / awọn modulu fun chassis nibi), eyiti o sopọ nipasẹ ọkan tabi diẹ sii awọn ebute oko oju omi Ethernet si agbegbe (ogba ile-iwe) nẹtiwọọki Ethernet pẹlu ijabọ ti a ko sọ di mimọ, ati nipasẹ miiran ibudo (e) to ikanni/nẹtiwọki nipasẹ eyi ti tẹlẹ ti paroko ijabọ ti wa ni zqwq si miiran, latọna apa. Iru ojutu fifi ẹnọ kọ nkan ni a le gbe lọ ni ikọkọ tabi nẹtiwọọki oniṣẹ nipasẹ awọn oriṣiriṣi awọn iru “irinna” (okun dudu, awọn ohun elo pipin igbohunsafẹfẹ, Ethernet ti o yipada, ati “pseudowires” ti a gbe kalẹ nipasẹ nẹtiwọọki kan pẹlu faaji ipa ọna oriṣiriṣi, pupọ julọ MPLS ), pẹlu tabi laisi imọ-ẹrọ VPN.

Bii o ṣe le ṣe iṣiro ati Ṣe afiwe Awọn ẹrọ fifi ẹnọ kọ nkan Ethernet
Ìsekóòdù nẹtiwọki ni a pin àjọlò nẹtiwọki

Awọn ẹrọ funrararẹ le jẹ boya pataki (ti a pinnu ni iyasọtọ fun fifi ẹnọ kọ nkan), tabi multifunctional (arabara, convergent), iyẹn ni, tun ṣe awọn iṣẹ miiran (fun apẹẹrẹ, ogiriina tabi olulana). Awọn olutaja oriṣiriṣi pin awọn ẹrọ wọn sinu awọn kilasi / awọn ẹka oriṣiriṣi, ṣugbọn eyi ko ṣe pataki - ohun pataki nikan ni boya wọn le encrypt ijabọ aaye-agbelebu, ati awọn abuda wo ni wọn ni.

Ni ọran, Mo leti pe “fififipamọ nẹtiwọọki”, “fififipamọ opopona”, “encryptor” jẹ awọn ofin ti kii ṣe alaye, botilẹjẹpe wọn lo nigbagbogbo. O ṣeese kii yoo rii wọn ni awọn ilana Russian (pẹlu awọn ti o ṣafihan GOSTs).

Awọn ipele fifi ẹnọ kọ nkan ati awọn ipo gbigbe

Ṣaaju ki a to bẹrẹ lati ṣe apejuwe awọn abuda ara wọn ti yoo lo fun igbelewọn, a yoo kọkọ ni oye ohun pataki kan, eyun “ipele fifi ẹnọ kọ nkan”. Mo ṣe akiyesi pe o nigbagbogbo mẹnuba mejeeji ni awọn iwe aṣẹ ataja osise (ni awọn apejuwe, awọn iwe afọwọkọ, ati bẹbẹ lọ) ati ni awọn ijiroro alaye (ni awọn idunadura, awọn ikẹkọ). Ìyẹn ni pé, ó dà bíi pé gbogbo èèyàn ló mọ ohun tí à ń sọ̀rọ̀ rẹ̀ dáadáa, àmọ́ èmi fúnra mi ti rí ìdàrúdàpọ̀ kan.

Nitorinaa kini “ipele fifi ẹnọ kọ nkan”? O han gbangba pe a n sọrọ nipa nọmba ti Layer awoṣe Nẹtiwọọki itọkasi OSI/ISO nibiti fifi ẹnọ kọ nkan waye. A ka GOST R ISO 7498-2-99 “Imọ-ẹrọ alaye. Interconnection ti ìmọ awọn ọna šiše. Ipilẹ itọkasi awoṣe. Apakan 2. faaji aabo alaye. ” Lati iwe yii o le ni oye pe ipele ti iṣẹ aṣiri (ọkan ninu awọn ilana fun ipese eyiti o jẹ fifi ẹnọ kọ nkan) jẹ ipele ti ilana naa, idinamọ data iṣẹ (“fifuye isanwo”, data olumulo) eyiti o jẹ fifipamọ. Bii o ti tun kọwe sinu boṣewa, iṣẹ naa le pese mejeeji ni ipele kanna, “lori tirẹ,” ati pẹlu iranlọwọ ti ipele kekere (eyi ni bii, fun apẹẹrẹ, nigbagbogbo ni imuse ni MACsec) .

Ni iṣe, awọn ipo meji ti gbigbe alaye ti paroko lori nẹtiwọọki kan ṣee ṣe (IPsec lẹsẹkẹsẹ wa si ọkan, ṣugbọn awọn ipo kanna ni a tun rii ni awọn ilana miiran). IN gbigbe (nigbakugba tun npe ni abinibi) ipo jẹ fifipamọ nikan iṣẹ Àkọsílẹ data, ati awọn akọsori wa “ṣii”, ti a ko fi idii ṣe (nigbakugba awọn aaye afikun pẹlu alaye iṣẹ ti algorithm fifi ẹnọ kọ nkan, ati awọn aaye miiran ti yipada ati tun ṣe iṣiro). IN eefin kanna mode gbogbo Ilana Àkọsílẹ data (ti o jẹ, apo-iwe funrararẹ) ti wa ni ifipamo ati ti a fi pamọ sinu iṣẹ data iṣẹ kan ti ipele kanna tabi ti o ga julọ, eyini ni, o wa ni ayika nipasẹ awọn akọle titun.

Ipele fifi ẹnọ kọ nkan funrararẹ ni apapo pẹlu diẹ ninu ipo gbigbe ko dara tabi buburu, nitorinaa a ko le sọ, fun apẹẹrẹ, pe L3 ni ipo gbigbe dara ju L2 ni ipo oju eefin. O kan pe ọpọlọpọ awọn abuda nipasẹ eyiti awọn ẹrọ ṣe iṣiro da lori wọn. Fun apẹẹrẹ, irọrun ati ibamu. Lati ṣiṣẹ ni nẹtiwọọki L1 kan (iṣipopada ṣiṣan bit bit), L2 (iyipada fireemu) ati L3 (itọpa apo-iwe) ni ipo gbigbe, o nilo awọn solusan ti o encrypt ni ipele kanna tabi ti o ga julọ (bibẹẹkọ alaye adirẹsi yoo jẹ ti paroko ati data naa yoo jẹ fifipamọ. ko de ibi ti a pinnu rẹ), ati ipo oju eefin bori aropin yii (botilẹjẹpe o rubọ awọn abuda pataki miiran).

Bii o ṣe le ṣe iṣiro ati Ṣe afiwe Awọn ẹrọ fifi ẹnọ kọ nkan Ethernet
Ọkọ ati oju eefin L2 awọn ipo fifi ẹnọ kọ nkan

Bayi jẹ ki a lọ siwaju si itupalẹ awọn abuda.

Ise sise

Fun fifi ẹnọ kọ nkan nẹtiwọọki, iṣẹ jẹ eka kan, imọran multidimensional. O ṣẹlẹ pe awoṣe kan, lakoko ti o ga julọ ninu abuda iṣẹ kan, jẹ ẹni ti o kere si ni omiiran. Nitorinaa, o wulo nigbagbogbo lati gbero gbogbo awọn paati ti iṣẹ fifi ẹnọ kọ nkan ati ipa wọn lori iṣẹ ti nẹtiwọọki ati awọn ohun elo ti o lo. Nibi a le fa afiwe pẹlu ọkọ ayọkẹlẹ kan, eyiti kii ṣe iyara ti o pọju nikan jẹ pataki, ṣugbọn tun akoko isare si “awọn ọgọọgọrun”, lilo epo, ati bẹbẹ lọ. Awọn ile-iṣẹ ataja ati awọn alabara ti o ni agbara wọn san ifojusi nla si awọn abuda iṣẹ. Gẹgẹbi ofin, awọn ẹrọ fifi ẹnọ kọ nkan ti wa ni ipo da lori iṣẹ ṣiṣe ni awọn laini ataja.

O han gbangba pe iṣẹ ṣiṣe da lori idiju ti Nẹtiwọọki ati awọn iṣẹ cryptographic ti a ṣe lori ẹrọ naa (pẹlu bii awọn iṣẹ ṣiṣe wọnyi ṣe le ṣe afiwe ati pipeline), ati lori iṣẹ ohun elo ati didara famuwia naa. Nitorinaa, awọn awoṣe agbalagba lo ohun elo iṣelọpọ diẹ sii; nigbakan o ṣee ṣe lati pese pẹlu awọn ilana afikun ati awọn modulu iranti. Awọn ọna pupọ lo wa lati ṣe imuse awọn iṣẹ cryptographic: lori ẹyọ iṣiṣẹ aarin-ipinnu gbogbogbo (CPU), Circuit-pato isọpọ ohun elo (ASIC), tabi iyika isọpọ ero inu aaye (FPGA). Ọna kọọkan ni awọn anfani ati alailanfani rẹ. Fun apẹẹrẹ, awọn Sipiyu le di ohun ìsekóòdù bottleneck, paapa ti o ba isise ko ni ni specialized ilana lati se atileyin ìsekóòdù alugoridimu (tabi ti won ko ba wa ni lilo). Awọn eerun amọja ko ni irọrun; ko ṣee ṣe nigbagbogbo lati “tun tan” wọn lati mu ilọsiwaju ṣiṣẹ, ṣafikun awọn iṣẹ tuntun, tabi imukuro awọn ailagbara. Ni afikun, lilo wọn di ere nikan pẹlu awọn iwọn iṣelọpọ nla. Eyi ni idi ti “itumọ goolu” ti di olokiki pupọ - lilo FPGA (FPGA ni Russian). O wa lori awọn FPGA ti ohun ti a npe ni crypto accelerators ṣe - ti a ṣe sinu tabi plug-ni awọn modulu ohun elo amọja fun atilẹyin awọn iṣẹ cryptographic.

Niwon a ti wa ni sọrọ nipa nẹtiwọki ìsekóòdù, o jẹ mogbonwa pe awọn iṣẹ ti awọn solusan yẹ ki o wa ni iwon ni awọn iwọn kanna bi fun awọn ẹrọ nẹtiwọki miiran - losi, ogorun ti fireemu pipadanu ati lairi. Awọn iye wọnyi ni asọye ni RFC 1242. Nipa ọna, ko si nkankan ti a kọ nipa iyatọ idaduro nigbagbogbo ti a mẹnuba (jitter) ni RFC yii. Bawo ni lati wiwọn awọn iwọn wọnyi? Emi ko rii ilana ti a fọwọsi ni eyikeyi awọn iṣedede (osise tabi laigba aṣẹ bii RFC) pataki fun fifi ẹnọ kọ nkan nẹtiwọọki. Yoo jẹ ohun ọgbọn lati lo ilana fun awọn ẹrọ nẹtiwọọki ti o wa ni ipilẹ RFC 2544. Ọpọlọpọ awọn olutaja tẹle rẹ - ọpọlọpọ, ṣugbọn kii ṣe gbogbo. Fun apẹẹrẹ, wọn firanṣẹ ijabọ idanwo ni itọsọna kan nikan dipo awọn mejeeji, bii niyanju boṣewa. Lonakona.

Wiwọn iṣẹ ti awọn ẹrọ fifi ẹnọ kọ nkan nẹtiwọọki tun ni awọn abuda tirẹ. Ni akọkọ, o tọ lati gbe gbogbo awọn wiwọn fun bata awọn ẹrọ: botilẹjẹpe awọn algoridimu fifi ẹnọ kọ nkan jẹ iṣiro, awọn idaduro ati awọn adanu soso lakoko fifi ẹnọ kọ nkan ati idinku kii yoo jẹ dandan. Ni ẹẹkeji, o jẹ oye lati wiwọn delta, ipa ti fifi ẹnọ kọ nkan nẹtiwọọki lori iṣẹ nẹtiwọọki ikẹhin, ni afiwe awọn atunto meji: laisi awọn ẹrọ fifi ẹnọ kọ nkan ati pẹlu wọn. Tabi, gẹgẹ bi ọran pẹlu awọn ẹrọ arabara, eyiti o ṣajọpọ awọn iṣẹ pupọ ni afikun si fifi ẹnọ kọ nkan nẹtiwọọki, pẹlu fifi ẹnọ kọ nkan ni pipa ati tan. Ipa yii le yatọ ati dale lori ero asopọ ti awọn ẹrọ fifi ẹnọ kọ nkan, lori awọn ipo iṣẹ, ati nikẹhin, lori iru ijabọ naa. Ni pato, ọpọlọpọ awọn iṣẹ ṣiṣe da lori ipari awọn apo-iwe, eyiti o jẹ idi ti, lati ṣe afiwe iṣẹ ti awọn solusan oriṣiriṣi, awọn aworan ti awọn iwọn wọnyi ti o da lori ipari awọn apo-iwe ti a lo nigbagbogbo, tabi IMIX ti lo - pinpin awọn ijabọ nipasẹ apo. awọn ipari, eyiti o ṣe afihan ti gidi. Ti a ba ṣe afiwe iṣeto ipilẹ kanna laisi fifi ẹnọ kọ nkan, a le ṣe afiwe awọn iṣeduro fifi ẹnọ kọ nkan nẹtiwọọki ti a ṣe ni iyatọ laisi gbigba sinu awọn iyatọ wọnyi: L2 pẹlu L3, itaja-ati-siwaju ) pẹlu gige-nipasẹ, amọja pẹlu convergent, GOST pẹlu AES ati bẹbẹ lọ.

Bii o ṣe le ṣe iṣiro ati Ṣe afiwe Awọn ẹrọ fifi ẹnọ kọ nkan Ethernet
Atọka asopọ fun idanwo iṣẹ

Iwa akọkọ ti awọn eniyan ṣe akiyesi ni "iyara" ti ẹrọ fifi ẹnọ kọ nkan, iyẹn ni bandiwidi (bandiwidi) ti awọn atọkun nẹtiwọọki rẹ, oṣuwọn sisan bit. O jẹ ipinnu nipasẹ awọn iṣedede nẹtiwọọki ti o ni atilẹyin nipasẹ awọn atọkun. Fun Ethernet, awọn nọmba deede jẹ 1 Gbps ati 10 Gbps. Ṣugbọn, bi a ti mọ, ni eyikeyi nẹtiwọki awọn ti o pọju o tumq si agbejade (nipasẹ) ni ọkọọkan awọn ipele rẹ nigbagbogbo kere si bandiwidi: apakan ti bandiwidi jẹ “jẹun” nipasẹ awọn aaye arin aarin, awọn akọle iṣẹ, ati bẹbẹ lọ. Ti ẹrọ kan ba ni agbara lati gba, sisẹ (ninu ọran wa, fifi ẹnọ kọ nkan tabi decrypting) ati gbigbe awọn ijabọ ni iyara kikun ti wiwo nẹtiwọọki, iyẹn ni, pẹlu iṣelọpọ imọ-jinlẹ ti o pọju fun ipele yii ti awoṣe nẹtiwọọki, lẹhinna o ti sọ. lati ṣiṣẹ ni iyara ila. Lati ṣe eyi, o jẹ dandan pe ẹrọ naa ko padanu tabi sọ awọn apo-iwe silẹ ni iwọn eyikeyi ati ni eyikeyi igbohunsafẹfẹ. Ti ẹrọ fifi ẹnọ kọ nkan ko ṣe atilẹyin iṣẹ ni iyara laini, lẹhinna ilojade ti o pọ julọ jẹ igbagbogbo ni pato ni gigabits kanna fun iṣẹju-aaya (nigbakan ti o tọka gigun ti awọn apo-iwe - awọn apo-iwe ti o kuru, iwọntunwọnsi ni igbagbogbo). O ṣe pataki pupọ lati ni oye pe iwọn lilo ti o pọju ni o pọju ko si pipadanu (paapaa ti ẹrọ naa le "fifa" ijabọ nipasẹ ara rẹ ni iyara ti o ga julọ, ṣugbọn ni akoko kanna ti o padanu diẹ ninu awọn apo-iwe). Paapaa, ṣe akiyesi pe diẹ ninu awọn olutaja ṣe iwọn ipa-ọna lapapọ laarin gbogbo awọn orisii ebute oko oju omi, nitorinaa awọn nọmba wọnyi ko tumọ si pupọ ti gbogbo awọn ijabọ ti paroko n lọ nipasẹ ibudo kan.

Nibo ni o ṣe pataki paapaa lati ṣiṣẹ ni iyara laini (tabi, ni awọn ọrọ miiran, laisi pipadanu apo)? Ni bandwidth giga-giga, awọn ọna asopọ giga-giga (gẹgẹbi satẹlaiti), nibiti iwọn window TCP nla gbọdọ wa ni ṣeto lati ṣetọju awọn iyara gbigbe giga, ati nibiti pipadanu soso dinku dinku iṣẹ ṣiṣe nẹtiwọọki.

Ṣugbọn kii ṣe gbogbo bandiwidi ni a lo lati gbe data to wulo. A ni lati ṣe iṣiro pẹlu awọn ti a npe ni awọn idiyele ti o pọju (oke) bandiwidi. Eyi ni apakan ti igbejade ẹrọ fifi ẹnọ kọ nkan (gẹgẹbi ipin tabi awọn baiti fun apo-iwe) ti o jẹ asonu (ko le ṣee lo lati gbe data ohun elo lọ). Awọn idiyele oke dide, ni akọkọ, nitori ilosoke ninu iwọn (afikun, “awọn nkan”) ti aaye data ni awọn apo-iwe nẹtiwọọki ti paroko (da lori algorithm fifi ẹnọ kọ nkan ati ipo iṣẹ rẹ). Ni ẹẹkeji, nitori alekun gigun ti awọn akọle apo-iwe (ipo oju eefin, fifi sii iṣẹ ti ilana fifi ẹnọ kọ nkan, ifibọ simulation, ati bẹbẹ lọ da lori ilana ati ipo iṣẹ ti cipher ati ipo gbigbe) - nigbagbogbo awọn idiyele oke wọnyi jẹ julọ ​​significant, ati awọn ti wọn san akiyesi akọkọ. Ni ẹkẹta, nitori pipin awọn apo-iwe nigbati iwọn ẹyọ data ti o pọju (MTU) ti kọja (ti nẹtiwọọki ba ni anfani lati pin apo kan ti o kọja MTU si meji, ṣe pidánpidán awọn akọle rẹ). Ni ẹkẹrin, nitori ifarahan ti ijabọ iṣẹ afikun (iṣakoso) lori nẹtiwọọki laarin awọn ẹrọ fifi ẹnọ kọ nkan (fun paṣipaarọ bọtini, fifi sori oju eefin, bbl). Iwọn kekere jẹ pataki nibiti agbara ikanni ti ni opin. Eyi jẹ gbangba paapaa ni ijabọ lati awọn apo kekere, fun apẹẹrẹ, ohun - nibiti awọn idiyele ti o ga julọ le “jẹun” diẹ sii ju idaji iyara ikanni lọ!

Bii o ṣe le ṣe iṣiro ati Ṣe afiwe Awọn ẹrọ fifi ẹnọ kọ nkan Ethernet
Bandiwidi

Nikẹhin, diẹ sii wa ti a ṣe idaduro - iyatọ (ni awọn ida ti iṣẹju-aaya) ni idaduro nẹtiwọki (akoko ti o gba fun data lati kọja lati titẹ sii nẹtiwọki lati lọ kuro) laarin gbigbe data laisi ati pẹlu fifi ẹnọ kọ nkan nẹtiwọki. Ọrọ sisọ ni gbogbogbo, isale isunmọ (“lairi”) ti nẹtiwọọki, diẹ sii ni pataki lairi ti a ṣafihan nipasẹ awọn ẹrọ fifi ẹnọ kọ nkan di. Idaduro naa jẹ ifihan nipasẹ iṣẹ fifi ẹnọ kọ nkan funrararẹ (da lori algorithm fifi ẹnọ kọ nkan, ipari bulọki ati ipo iṣiṣẹ ti cipher, ati lori didara imuse rẹ ninu sọfitiwia), ati sisẹ ti soso nẹtiwọọki ninu ẹrọ naa. . Ifilọlẹ ti a ṣe afihan da lori mejeeji ipo sisẹ soso (nipasẹ-nipasẹ tabi itaja-ati-siwaju) ati iṣẹ ti pẹpẹ (imuse ohun elo lori FPGA tabi ASIC ni gbogbogbo yiyara ju imuse sọfitiwia lori Sipiyu). L2 ìsekóòdù fere nigbagbogbo ni kekere lairi ju L3 tabi L4 ìsekóòdù, nitori si ni otitọ wipe L3/L4 ìsekóòdù awọn ẹrọ ti wa ni igba converged. Fun apẹẹrẹ, pẹlu awọn encryptors Ethernet iyara ti a ṣe lori awọn FPGA ati fifi ẹnọ kọ nkan lori L2, idaduro nitori iṣẹ fifi ẹnọ kọ nkan jẹ kekere - nigbakan nigbati fifi ẹnọ kọ nkan ṣiṣẹ lori bata awọn ẹrọ, idaduro lapapọ ti wọn ṣafihan paapaa dinku! Lairi kekere jẹ pataki nibiti o ti jẹ afiwera si awọn idaduro ikanni gbogbogbo, pẹlu idaduro itankale, eyiti o fẹrẹ to 5 μs fun kilomita kan. Iyẹn ni, a le sọ pe fun awọn nẹtiwọọki iwọn ilu (awọn mewa ti awọn kilomita kọja), microseconds le pinnu pupọ. Fun apẹẹrẹ, fun imuṣiṣẹpọ data ibi ipamọ data, iṣowo-giga, blockchain kanna.

Bii o ṣe le ṣe iṣiro ati Ṣe afiwe Awọn ẹrọ fifi ẹnọ kọ nkan Ethernet
Idaduro ti a ṣafihan

Scalability

Awọn nẹtiwọọki ti o pin kaakiri le pẹlu ọpọlọpọ awọn ẹgbẹẹgbẹrun awọn apa ati awọn ẹrọ nẹtiwọọki, awọn ọgọọgọrun ti awọn apakan nẹtiwọọki agbegbe. O ṣe pataki pe awọn solusan fifi ẹnọ kọ nkan ko fa awọn ihamọ afikun lori iwọn ati topology ti nẹtiwọọki pinpin. Eyi kan nipataki si nọmba ti o pọju ti ogun ati awọn adirẹsi nẹtiwọki. Iru awọn idiwọn le jẹ alabapade, fun apẹẹrẹ, nigbati o ba n ṣe imuse multipoint ti paroko topology nẹtiwọki (pẹlu awọn asopọ to ni aabo, tabi awọn tunnels) tabi fifi ẹnọ kọ nkan (fun apẹẹrẹ, nipasẹ nọmba ilana tabi VLAN). Ti o ba jẹ pe ninu ọran yii awọn adirẹsi nẹtiwọọki (MAC, IP, VLAN ID) ni a lo bi awọn bọtini ninu tabili nibiti nọmba awọn ori ila ti ni opin, lẹhinna awọn ihamọ wọnyi han nibi.

Ni afikun, awọn nẹtiwọọki nla nigbagbogbo ni ọpọlọpọ awọn fẹlẹfẹlẹ igbekalẹ, pẹlu nẹtiwọọki mojuto, ọkọọkan eyiti o ṣe imuse ero adirẹsi tirẹ ati eto imulo ipa-ọna tirẹ. Lati ṣe imuse ọna yii, awọn ọna kika fireemu pataki (bii Q-in-Q tabi MAC-in-MAC) ati awọn ilana ipinnu ipa ọna ni a lo nigbagbogbo. Ni ibere ki o má ba ṣe idiwọ ikole ti iru awọn nẹtiwọọki, awọn ẹrọ fifi ẹnọ kọ nkan gbọdọ mu iru awọn fireemu ni deede (iyẹn ni, ni ọna yii, iwọnwọn yoo tumọ si ibamu - diẹ sii lori iyẹn ni isalẹ).

Ni irọrun

Nibi a n sọrọ nipa atilẹyin ọpọlọpọ awọn atunto, awọn eto asopọ, awọn topologies ati awọn nkan miiran. Fun apẹẹrẹ, fun awọn nẹtiwọọki ti o yipada ti o da lori awọn imọ-ẹrọ Ethernet Carrier, eyi tumọ si atilẹyin fun awọn oriṣiriṣi awọn asopọ foju (E-Line, E-LAN, E-Tree), awọn iru iṣẹ oriṣiriṣi (mejeeji nipasẹ ibudo ati VLAN) ati awọn imọ-ẹrọ gbigbe oriṣiriṣi oriṣiriṣi. (wọn ti ṣe akojọ loke). Iyẹn ni, ẹrọ naa gbọdọ ni anfani lati ṣiṣẹ ni laini mejeeji (“ojuami-si-ojuami”) ati awọn ipo multipoint, fi idi awọn eefin lọtọ fun awọn oriṣiriṣi VLANs, ati gba ifijiṣẹ aṣẹ-jade ti awọn apo-iwe laarin ikanni to ni aabo. Agbara lati yan awọn ipo cipher oriṣiriṣi (pẹlu pẹlu tabi laisi ijẹrisi akoonu) ati awọn ipo gbigbe soso oriṣiriṣi gba ọ laaye lati ṣe iwọntunwọnsi laarin agbara ati iṣẹ da lori awọn ipo lọwọlọwọ.

O tun ṣe pataki lati ṣe atilẹyin fun awọn nẹtiwọọki aladani mejeeji, ohun elo eyiti o jẹ ohun-ini nipasẹ agbari kan (tabi yalo si rẹ), ati awọn nẹtiwọọki oniṣẹ, awọn apakan oriṣiriṣi eyiti o ṣakoso nipasẹ awọn ile-iṣẹ oriṣiriṣi. O dara ti ojutu ba gba laaye iṣakoso mejeeji ni ile ati nipasẹ ẹgbẹ kẹta (lilo awoṣe iṣẹ iṣakoso). Ninu awọn nẹtiwọọki oniṣẹ, iṣẹ pataki miiran jẹ atilẹyin fun iyalegbe pupọ (pinpin nipasẹ awọn alabara oriṣiriṣi) ni irisi ipinya cryptographic ti awọn alabara kọọkan (alabapin) ti ijabọ rẹ kọja nipasẹ ṣeto awọn ẹrọ fifi ẹnọ kọ nkan kanna. Eyi ni igbagbogbo nilo lilo awọn eto lọtọ ti awọn bọtini ati awọn iwe-ẹri fun alabara kọọkan.

Ti o ba ra ẹrọ kan fun oju iṣẹlẹ kan pato, lẹhinna gbogbo awọn ẹya wọnyi le ma ṣe pataki pupọ - o kan nilo lati rii daju pe ẹrọ naa ṣe atilẹyin ohun ti o nilo ni bayi. Ṣugbọn ti o ba ra ojutu kan “fun idagbasoke”, lati ṣe atilẹyin awọn oju iṣẹlẹ ọjọ iwaju daradara, ati pe o yan bi “boṣewa ile-iṣẹ”, lẹhinna irọrun kii yoo jẹ ailagbara - ni pataki ni akiyesi awọn ihamọ lori interoperability ti awọn ẹrọ lati ọdọ awọn olutaja oriṣiriṣi ( diẹ sii lori eyi ni isalẹ).

Ayedero ati wewewe

Irọrun iṣẹ tun jẹ imọran multifactorial. Ni isunmọ, a le sọ pe eyi ni apapọ akoko ti o lo nipasẹ awọn alamọja ti afijẹẹri kan ti o nilo lati ṣe atilẹyin ojutu kan ni awọn ipele oriṣiriṣi ti igbesi aye rẹ. Ti ko ba si awọn idiyele, ati fifi sori ẹrọ, iṣeto ni, ati iṣẹ jẹ adaṣe patapata, lẹhinna awọn idiyele jẹ odo ati irọrun jẹ pipe. Dajudaju, eyi ko ṣẹlẹ ni aye gidi. A reasonable isunmọ ni a awoṣe "sorapo lori okun waya" (bump-in-the-waya), tabi asopọ sihin, ninu eyiti fifikun ati piparẹ awọn ẹrọ fifi ẹnọ kọ nkan ko nilo eyikeyi afọwọṣe tabi awọn ayipada adaṣe si iṣeto nẹtiwọọki. Ni akoko kanna, mimu ojutu jẹ irọrun: o le tan iṣẹ fifi ẹnọ kọ nkan naa si tan ati pa, ati ti o ba jẹ dandan, nirọrun “fori” ẹrọ naa pẹlu okun nẹtiwọọki kan (iyẹn ni, sopọ taara awọn ebute oko oju omi ti ohun elo nẹtiwọọki si eyiti o ti sopọ). Lootọ, apadabọ kan wa - ikọlu le ṣe kanna. Lati ṣe ilana “ipade lori okun waya”, o jẹ dandan lati ṣe akiyesi kii ṣe ijabọ nikan data Layer, sugbon pelu iṣakoso ati isakoso fẹlẹfẹlẹ - awọn ẹrọ gbọdọ jẹ sihin si wọn. Nitorinaa, iru ijabọ le jẹ fifi ẹnọ kọ nkan nikan nigbati ko ba si awọn olugba ti iru ijabọ wọnyi ni nẹtiwọọki laarin awọn ẹrọ fifi ẹnọ kọ nkan, nitori ti o ba jẹ asonu tabi ti paroko, lẹhinna nigbati o ba mu ṣiṣẹ tabi mu fifi ẹnọ kọ nkan, iṣeto nẹtiwọọki le yipada. Ẹrọ fifi ẹnọ kọ nkan tun le ṣe afihan si ifihan ifihan Layer ti ara. Ni pataki, nigbati ifihan kan ba sọnu, o gbọdọ gbe ipadanu yii (iyẹn ni, pa awọn atagba rẹ) pada ati siwaju (“fun funrararẹ”) ni itọsọna ti ifihan naa.

Atilẹyin ni pipin aṣẹ laarin aabo alaye ati awọn apa IT, ni pataki ẹka nẹtiwọọki, tun jẹ pataki. Ojutu fifi ẹnọ kọ nkan gbọdọ ṣe atilẹyin iṣakoso wiwọle ti ajo ati awoṣe iṣatunṣe. Iwulo fun ibaraenisepo laarin awọn ẹka oriṣiriṣi lati ṣe awọn iṣẹ ṣiṣe deede yẹ ki o dinku. Nitorinaa, anfani wa ni awọn ofin wewewe fun awọn ẹrọ amọja ti o ṣe atilẹyin awọn iṣẹ fifi ẹnọ kọ nkan nikan ati pe o han gbangba bi o ti ṣee si awọn iṣẹ nẹtiwọọki. Ni kukuru, awọn oṣiṣẹ aabo alaye ko yẹ ki o ni idi kan lati kan si “awọn alamọja nẹtiwọọki” lati yi awọn eto nẹtiwọọki pada. Ati pe awọn, ni ọna, ko yẹ ki o ni iwulo lati yi awọn eto fifi ẹnọ kọ nkan nigba mimu nẹtiwọọki naa.

Omiiran ifosiwewe ni awọn agbara ati wewewe ti awọn idari. Wọn yẹ ki o jẹ wiwo, ọgbọn, pese agbewọle-okeere ti awọn eto, adaṣe, ati bẹbẹ lọ. O yẹ ki o fiyesi lẹsẹkẹsẹ si kini awọn aṣayan iṣakoso ti o wa (nigbagbogbo agbegbe iṣakoso ti ara wọn, wiwo wẹẹbu ati laini aṣẹ) ati iru awọn iṣẹ ti ọkọọkan wọn ni (awọn idiwọn wa). Iṣẹ pataki kan jẹ atilẹyin jade-ti-iye (jade-ti-band) iṣakoso, ti o jẹ, nipasẹ kan ifiṣootọ Iṣakoso nẹtiwọki, ati ni-iye (in-band) iṣakoso, iyẹn ni, nipasẹ nẹtiwọọki ti o wọpọ nipasẹ eyiti a gbejade ijabọ to wulo. Awọn irinṣẹ iṣakoso gbọdọ ṣe ifihan gbogbo awọn ipo ajeji, pẹlu awọn iṣẹlẹ aabo alaye. Iṣe deede, awọn iṣẹ atunwi yẹ ki o ṣee ṣe laifọwọyi. Eyi nipataki ni ibatan si iṣakoso bọtini. Wọn yẹ ki o wa ni ipilẹṣẹ / pin kaakiri laifọwọyi. Atilẹyin PKI jẹ afikun nla kan.

Ibaramu

Iyẹn ni, ibamu ẹrọ pẹlu awọn iṣedede nẹtiwọki. Pẹlupẹlu, eyi tumọ si kii ṣe awọn iṣedede ile-iṣẹ nikan ti o gba nipasẹ awọn ẹgbẹ alaṣẹ gẹgẹbi IEEE, ṣugbọn tun awọn ilana ohun-ini ti awọn oludari ile-iṣẹ, bii Sisiko. Awọn ọna akọkọ meji lo wa lati rii daju ibamu: boya nipasẹ akoyawo, tabi nipasẹ fojuhan support Awọn ilana (nigbati ohun elo fifi ẹnọ kọ nkan di ọkan ninu awọn apa nẹtiwọki fun ilana kan ati ilana ijabọ iṣakoso ti ilana yii). Ibamu pẹlu awọn nẹtiwọọki da lori pipe ati atunse ti imuse ti awọn ilana iṣakoso. O ṣe pataki lati ṣe atilẹyin awọn aṣayan oriṣiriṣi fun ipele PHY (iyara, alabọde gbigbe, ero fifi koodu), awọn fireemu Ethernet ti awọn ọna kika oriṣiriṣi pẹlu eyikeyi MTU, awọn ilana iṣẹ L3 oriṣiriṣi (nipataki idile TCP/IP).

Ifitonileti jẹ idaniloju nipasẹ awọn ọna ṣiṣe ti iyipada (iyipada awọn akoonu ti awọn akọle ṣiṣi fun igba diẹ ninu ijabọ laarin awọn olupilẹṣẹ), ṣipa (nigbati awọn apo-iwe kọọkan wa ni airotẹlẹ) ati indentation ti ibẹrẹ fifi ẹnọ kọ nkan (nigbati awọn aaye ti paroko deede ti awọn apo-iwe ko jẹ ti paroko).

Bii o ṣe le ṣe iṣiro ati Ṣe afiwe Awọn ẹrọ fifi ẹnọ kọ nkan Ethernet
Bawo ni akoyawo ti wa ni idaniloju

Nitorinaa, nigbagbogbo ṣayẹwo ni deede bi o ṣe pese atilẹyin fun ilana kan pato. Nigbagbogbo atilẹyin ni ipo sihin jẹ irọrun diẹ sii ati igbẹkẹle.

Ibaraṣepọ

Eyi tun jẹ ibamu, ṣugbọn ni ọna ti o yatọ, eyun ni agbara lati ṣiṣẹ pọ pẹlu awọn awoṣe miiran ti awọn ẹrọ fifi ẹnọ kọ nkan, pẹlu awọn ti awọn olupese miiran. Pupọ da lori ipo iwọnwọn ti awọn ilana fifi ẹnọ kọ nkan. Nibẹ ni o wa nìkan ko si gbogbo gba ìsekóòdù awọn ajohunše on L1.

Iwọn 2ae (MACsec) wa fun fifi ẹnọ kọ nkan L802.1 lori awọn nẹtiwọọki Ethernet, ṣugbọn ko lo. opin-si-opin (opin-si-opin), ati interport, “hop-by-hop” fifi ẹnọ kọ nkan, ati ninu ẹya atilẹba rẹ ko yẹ fun lilo ninu awọn nẹtiwọọki pinpin, nitorinaa awọn amugbooro ohun-ini rẹ ti han ti o bori aropin yii (dajudaju, nitori ibaraenisepo pẹlu ohun elo lati awọn olupese miiran). Otitọ, ni ọdun 2018, atilẹyin fun awọn nẹtiwọọki pinpin ni a ṣafikun si boṣewa 802.1ae, ṣugbọn ko tun si atilẹyin fun awọn eto fifi ẹnọ kọ nkan GOST. Nitorinaa, ohun-ini, awọn ilana fifi ẹnọ kọ nkan L2 ti kii ṣe boṣewa, gẹgẹbi ofin, jẹ iyatọ nipasẹ ṣiṣe ti o tobi julọ (ni pataki, iwọn bandiwidi kekere) ati irọrun (agbara lati yi awọn algoridimu fifi ẹnọ kọ nkan ati awọn ipo).

Ni awọn ipele ti o ga julọ (L3 ati L4) awọn iṣedede ti a mọ, nipataki IPsec ati TLS, ṣugbọn nibi paapaa kii ṣe rọrun. Otitọ ni pe ọkọọkan awọn iṣedede wọnyi jẹ eto awọn ilana, ọkọọkan pẹlu awọn ẹya oriṣiriṣi ati awọn amugbooro ti o nilo tabi yiyan fun imuse. Ni afikun, diẹ ninu awọn aṣelọpọ fẹ lati lo awọn ilana fifi ẹnọ kọ nkan wọn lori L3/L4. Nitorinaa, ni ọpọlọpọ awọn ọran o ko yẹ ki o ka lori ibaraenisepo pipe, ṣugbọn o ṣe pataki pe o kere ju ibaraenisepo laarin awọn awoṣe oriṣiriṣi ati awọn iran oriṣiriṣi ti olupese kanna ni idaniloju.

Dede

Lati ṣe afiwe awọn solusan oriṣiriṣi, o le lo boya akoko itumọ laarin awọn ikuna tabi ifosiwewe wiwa. Ti awọn nọmba wọnyi ko ba wa (tabi ko si igbẹkẹle ninu wọn), lẹhinna a le ṣe afiwe didara kan. Awọn ẹrọ ti o ni iṣakoso irọrun yoo ni anfani (ewu ti o dinku ti awọn aṣiṣe iṣeto), awọn encryptors pataki (fun idi kanna), bakanna bi awọn solusan pẹlu akoko to kere julọ lati ṣawari ati imukuro ikuna, pẹlu ọna ti afẹyinti “gbona” ti gbogbo awọn apa ati awọn ẹrọ.

iye owo ti

Nigbati o ba de idiyele, bii pẹlu ọpọlọpọ awọn solusan IT, o jẹ oye lati ṣe afiwe idiyele lapapọ ti nini. Lati ṣe iṣiro rẹ, o ko ni lati tun kẹkẹ naa pada, ṣugbọn lo eyikeyi ilana ti o yẹ (fun apẹẹrẹ, lati Gartner) ati ẹrọ iṣiro eyikeyi (fun apẹẹrẹ, eyiti o ti lo tẹlẹ ninu agbari lati ṣe iṣiro TCO). O han gbangba pe fun ojutu fifi ẹnọ kọ nkan nẹtiwọọki kan, idiyele lapapọ ti nini ni ninu taara awọn idiyele rira tabi yiyalo ojutu funrararẹ, awọn amayederun fun ohun elo alejo gbigba ati awọn idiyele ti imuṣiṣẹ, iṣakoso ati itọju (boya ninu ile tabi ni irisi awọn iṣẹ ẹnikẹta), bakanna bi aiṣe-taara awọn idiyele lati akoko idinku ojutu (ti o fa nipasẹ isonu ti iṣelọpọ olumulo-ipari). O ṣee ṣe nikan arekereke kan. Ipa iṣẹ ti ojutu le ṣe akiyesi ni awọn ọna oriṣiriṣi: boya bi awọn idiyele aiṣe-taara ti o fa nipasẹ iṣelọpọ ti sọnu, tabi bi “foju” awọn idiyele taara ti rira / iṣagbega ati mimu awọn irinṣẹ nẹtiwọọki ti o sanpada fun isonu ti iṣẹ nẹtiwọọki nitori lilo ti ìsekóòdù. Ni eyikeyi idiyele, awọn inawo ti o ṣoro lati ṣe iṣiro pẹlu iṣedede to dara julọ ni a fi silẹ kuro ninu iṣiro naa: ni ọna yii yoo jẹ igbẹkẹle diẹ sii ni iye ikẹhin. Ati, gẹgẹbi o ṣe deede, ni eyikeyi ọran, o jẹ oye lati ṣe afiwe awọn ẹrọ oriṣiriṣi nipasẹ TCO fun oju iṣẹlẹ kan pato ti lilo wọn - gidi tabi aṣoju.

Agbara

Ati awọn ti o kẹhin ti iwa ni itẹramọṣẹ ti ojutu. Ni ọpọlọpọ awọn ọran, agbara le ṣe ayẹwo ni agbara nikan nipa ifiwera awọn solusan oriṣiriṣi. A gbọdọ ranti pe awọn ẹrọ fifi ẹnọ kọ nkan kii ṣe ọna nikan, ṣugbọn tun jẹ ohun aabo. Wọn le farahan si orisirisi awọn irokeke. Ni iwaju iwaju ni awọn irokeke ti o ṣẹ ti asiri, ẹda ati iyipada awọn ifiranṣẹ. Irokeke wọnyi le jẹ imuṣẹ nipasẹ awọn ailagbara ti cipher tabi awọn ipo onikaluku rẹ, nipasẹ awọn ailagbara ninu awọn ilana fifi ẹnọ kọ nkan (pẹlu ni awọn ipele ti iṣeto asopọ ati ipilẹṣẹ/awọn bọtini pinpin). Awọn anfani yoo jẹ fun awọn ojutu ti o gba laaye iyipada algorithm fifi ẹnọ kọ nkan tabi yiyipada ipo cipher (o kere ju nipasẹ imudojuiwọn famuwia), awọn solusan ti o pese fifi ẹnọ kọ nkan pipe julọ, fifipamọ lati ọdọ ikọlu kii ṣe data olumulo nikan, ṣugbọn tun adirẹsi ati alaye iṣẹ miiran. , bakanna bi awọn iṣeduro imọ-ẹrọ ti kii ṣe encrypt nikan, ṣugbọn tun daabobo awọn ifiranṣẹ lati ẹda ati iyipada. Fun gbogbo awọn algoridimu fifi ẹnọ kọ nkan ode oni, awọn ibuwọlu itanna, iran bọtini, ati bẹbẹ lọ, eyiti o wa ni ifidi si awọn iṣedede, agbara le jẹ pe o jẹ kanna (bibẹẹkọ o le jiroro ni sọnu ni awọn igbo ti cryptography). Ṣe awọn wọnyi ni dandan jẹ awọn algoridimu GOST? Ohun gbogbo ni o rọrun nibi: ti oju iṣẹlẹ ohun elo ba nilo iwe-ẹri FSB fun CIPF (ati ni Russia eyi jẹ igbagbogbo julọ; fun ọpọlọpọ awọn oju iṣẹlẹ fifi ẹnọ kọ nkan nẹtiwọọki eyi jẹ otitọ), lẹhinna a yan laarin awọn ifọwọsi nikan. Ti kii ba ṣe bẹ, lẹhinna ko si aaye ni imukuro awọn ẹrọ laisi awọn iwe-ẹri lati ero.

Irokeke miiran jẹ irokeke sakasaka, iraye si laigba aṣẹ si awọn ẹrọ (pẹlu nipasẹ iwọle ti ara ni ita ati inu ọran naa). Irokeke le ṣee ṣe nipasẹ
awọn ailagbara ni imuse - ni hardware ati koodu. Nitorinaa, awọn solusan pẹlu “oju ikọlu” ti o kere ju nipasẹ nẹtiwọọki, pẹlu awọn apade ti o ni aabo lati iraye si ti ara (pẹlu awọn sensọ ifọle, aabo iwadii ati atunto alaye bọtini laifọwọyi nigbati ibode ba ṣii), ati awọn ti o gba awọn imudojuiwọn famuwia yoo ni. anfani ni iṣẹlẹ ti ailagbara ninu koodu naa di mimọ. Ọna miiran wa: ti gbogbo awọn ẹrọ ti a fiwewe ba ni awọn iwe-ẹri FSB, lẹhinna kilasi CIPF eyiti o ti fun ni ijẹrisi ni a le kà si afihan ti resistance si gige sakasaka.

Nikẹhin, iru irokeke miiran jẹ awọn aṣiṣe lakoko iṣeto ati iṣẹ, ifosiwewe eniyan ni irisi mimọ julọ rẹ. Eyi ṣe afihan anfani miiran ti awọn encryptors amọja lori awọn ojutu idapọmọra, eyiti o jẹ ifọkansi nigbagbogbo si “awọn alamọja nẹtiwọọki” ti igba ati pe o le fa awọn iṣoro fun “arinrin”, awọn alamọja aabo alaye gbogbogbo.

Akojọpọ

Ni opo, nibi o yoo ṣee ṣe lati dabaa diẹ ninu iru atọka akojọpọ fun ifiwera awọn ẹrọ oriṣiriṣi, nkan bii

$$afihan$$K_j=∑p_i r_{ij}$$afihan$$

nibiti p jẹ iwuwo ti itọka, ati r jẹ ipo ẹrọ ni ibamu si itọka yii, ati eyikeyi awọn abuda ti a ṣe akojọ loke le pin si awọn itọkasi “atomic”. Iru agbekalẹ le wulo, fun apẹẹrẹ, nigbati o ba ṣe afiwe awọn igbero tutu gẹgẹbi awọn ofin ti a ti gba tẹlẹ. Ṣugbọn o le gba nipasẹ tabili ti o rọrun bi

Характеристика
Ẹrọ 1
Ẹrọ 2
...
Ẹrọ N

Bandiwidi
+
+

+++

Awọn iwọn apọju
+
++

+++

Idaduro
+
+

++

Scalability
+++
+

+++

Ni irọrun
+++
++

+

Ibaraṣepọ
++
+

+

Ibaramu
++
++

+++

Ayedero ati wewewe
+
+

++

ifarada ẹbi
+++
+++

++

iye owo ti
++
+++

+

Agbara
++
++

+++

Inu mi yoo dun lati dahun awọn ibeere ati atako to wulo.

orisun: www.habr.com

Fi ọrọìwòye kun