ВУЗ: Не указан

Категория: Не указан

Дисциплина: Не указана

Добавлен: 24.06.2020

Просмотров: 328

Скачиваний: 3

ВНИМАНИЕ! Если данный файл нарушает Ваши авторские права, то обязательно сообщите нам.

Часто рекомендують створювати ACL-списки в текстовому редакторі. Це дозволить легко змінювати і вставляти ACL-список у конфігурацію маршрутизатора. Однак варто пам'ятати, що при копіюванні і вставці ACL-списку важливо спочатку видалити поточний ACL-список. В протилежному випадку всі інструкції будуть додані в кінець.


  1. Суть та призначення VPN тунелювання. Пн. 16.2.1. ст.107


1.1.1.VPN тунелювання

Використання відповідних можливостей конфіденційності даних в VPN гарантує, що тільки визначені відправники та отримувачі здатні інтерпретувати оригінальний вміст повідомлення.

Тунелювання дозволяє використовувати публічні мережі для передачі даних для користувачів так, ніби користувачі мали доступ до приватної мережі. Тунелювання інкапсулює весь пакет в інший пакет і посилає новий, композитний пакет по мережі. Використовуються три класи протоколів тунелювання:

  • протоколи передачі (Carrier protocol:Frame Relay, ATM, MPLS);

  • протоколи інкапсуляції (Encapsulating protocol: GRE, IPSec, L2F, PPTP, L2TP);

  • пасажир – інкапсульований протокол (passenger protocol:IPX, AppleTalk, IPv4, IPv6.

Тунелі VPN створюються на підставі ряду різних протоколів інкапсуляції серед яких:

  • універсальна інкапсуляція маршрутизації (Generic Route Encapsulation, GRE);

  • протокол безпеки ІP (ІPSec);

  • протокол переадресації 2 рівня 2 (Layer 2 Forwarding, L2F);

  • протокол туннелювання точка-точка (Point-to-Point Tunneling Protocol, PPTP);

  • протокол туннелювання 2 рівня (Layer 2 Tunneling Protocol, L2TP).

Мережа VPN імітує канал точка-точка та інкапсулює дані, у заголовку яких міститься інформація про маршрутизацію. Даний формат дозволяє даним проходити через публічну мережу, щоб досягнути призначення. Для імітації приватного каналу відбувається шифрування інкапсульованих даних, що дозволяє гарантувати конфіденційність. Алгоритми шифрування не дозволяють розшифрувати дані без ключів шифрування у випадку перехоплення пакетів у публічній мережі.

Сам по собі тунель не може забезпечити безпеку, а лише створює розширення локальної мережі в рамках WAN чи публічної мережі. Тунелі можуть передавати як зашифровані, так і незашифровані дані. Після отримання даних шлюз віддаленого вузла видаляє заголовки, дешифрує пакет і передає його на вузол призначення по приватній мережі. При віддаленому доступі до віртуальної приватної мережі клієнт VPN через ПК користувача зв'язується зі шлюзом для налаштування тунелю.


Варіант №6.

  1. Основні функції LAN та WAN мереж. Пн. 1.1.3 ст. 7;8.

1.1.2.Корпоративні LAN і WAN мережі

Корпоративні мережі використовують традиційні технології LAN і WAN. У стандартній корпоративній мережі кілька локальних мереж у комплексі будинків з'єднуються на рівні розподілу або центральному рівні і формують LAN. Ці локальні LAN з'єднуються з іншими географічно розподіленими площадками, формуючи WAN.

Мережі LAN є приватними і знаходяться під контролем однієї людини або організації. Організація встановлює, контролює та обслуговує кабелі і пристрої, які є блоками LAN.


Деякі WAN також є приватними, але через високу вартість розробки та обслуговування приватних WAN тільки дуже великі організації можуть дозволити собі такі мережі. Більшість компаній купують канали WAN у провайдерів. У цьому випадку провайдер виконує обслуговування серверної сторони, тобто внутрішніх мережевих підключень і мережевих послуг між LAN.

Якщо організація має значну кількість площадок по всьому світу, створення каналів і послуг WAN може бути складною задачею. Наприклад, основний провайдер послуг Інтернет може бути не здатний пропонувати обслуговування у всіх населених пунктах і країнах, де організація має свої офіси. Як наслідок, організації змушені отримувати послуги від декількох провайдерів, що в свою чергу часто стає причиною неоднорідної якості наданих послуг. В різних країнах, можуть виникнути відмінності в доступному обладнанні, послугах WAN і технологіях шифрування для безпеки. Для підтримки корпоративної мережі важливо мати єдині стандарти обладнання, конфігурації і послуг.

Функції LAN:

  • організація несе відповідальність за встановлення інфраструктури та керування нею;

  • Ethernet – найрозповсюдженіша з використовуваних технологій;

  • основна увага в мережі приділяється рівню доступу і рівню розподілення;

  • LAN з'єднує користувачів і надає підтримку локалізованих прикладних програм та серверних ферм;

  • з'єднані пристрої, як правило, знаходяться в локальній території.

Функції WAN:

  • з'єднання площадок, що знаходяться, як правило, на значній відстані одна від одної;

  • для підключення до WAN необхідні пристрої, що перетворять дані у форму, прийнятну для мережі провайдера послуг, наприклад, модеми чи пристрої CSU/DSU;

  • послуги надаються провайдером послуг Інтернет; (типи послуг WAN: T1/T3, E1/E3, DSL, кабельне з'єднання, Frame Relay);

  • відповідальність за установку інфраструктури і керування нею несе провайдер;

  • прикордонні пристрої перетворять інкапсуляцію Ethernet у послідовну інкапсуляцію WAN.


  1. Суть та призначення технології РоЕ.

Технології РоЕ (Power? Over? Ethernet). РоЕ - телефоний зв'язок одна пара проводів як для активізації пристроюна іншому кінці лінії, для передачі корисного сигнала. Струмова петля 4 .. 20мА. Сучасні комп'ютери використовують ту ж ідеологію в

USB і FireWire. Живлення передається по сигнальному кабелю мережі Ethernet.

Стандарт IEEE802.3af, що описує технологію PoE, був затверджений в середині 2003 року. Хоча до цього часу не можна сказати, що дана технологія забезпечила революційний прорив, але деякі зміни в області промислової автоматизації безсумнівно відбулися. Технологія PoE дозволила забезпечити живлення пристрою Ethernet і Internet за стандартними Ethernet кабелів (категорія CAT? 5).

Виті пари кабелів САТ звичайної телефонної лінії далеко не ідеальне середовище для передачі енергії. Навіть при максимальній напрузі 57В, при стандартному для 100/10 base- TX Ethernet відстань в 100 метрів може транслювала потужність не більше 13Вт Фактична напруга живлення кінцевого пристрою може бути будь-яким, тому що на кінці лінії передбачається використання перетворювача живлення (найчастіше вбудованого). Незважаючи на ці обмеження, переданої потужності іцілком достатньо для живлення контролерів, терміналів управління, серверів пристроїв, електро-механічних клапанів, віддалених датчиків, відео та аудіо пристроїв - майже всього обладнання, яке використовується на польовому рівні.


Технологія PoE не впливає на якість передачі даних. Для реалізації PoE були використанні властивості фізичного рівня Ethernet, а саме - наявність високочастотних трансформаторів на обох кінцях лінії, що використовуються стандартно для зменшення інтерференції синфазного сигналу. Постійна напруга живлення подається на центральні відводи вторинних обмоток цих трансформаторів, і так само з центральних відводів знімається на приймальній стороні. Використання центральних відводів сигнальних трансформаторів дозволяє уникнути насичення їх феритових сердечників і успішно, без взаємного впливу, передавати по одній парі проводів і високочастотні інформаційні сигнали, і постійна напруга живлення.

Деякі кабелі мають по чотири кручених пари проводів, дві з них зазвичай не використовуються. Застосовуючи такі кабілі харчування можна передавати по цих незадіяним парам проводів без використання сигнальних пар.


  1. Суть та призначення маршруту за замовчуванням.



Маршрути за замовчуванням

У таблицях маршрутизації не може бути маршрутів для всіх можливих вузлів мережі Інтернет. Зростання розмірів таблиць маршрутизації потребує більше ОЗП та обчислювальної потужності. Спеціальний тип статичного маршруту, названий маршрутом за замовчуванням, вказує який шлюз використовувати, якщо в таблиці маршрутизації немає шляху до адреси призначення. Звичайно маршрути за замовчуванням вказують наступний маршрутизатор на шляху до ІSP. У складних корпоративних середовищах маршрути за замовчуванням виводять Інтернет-трафік з мережі.

Команда для створення маршруту за замовчуванням схожа з командою для створення звичайного чи плаваючого статичного маршруту. Мережева адреса і маска позначаються як 0.0.0.0, в результаті отримуємо маршрут чотирьох нулів. У команді використовується або адреса наступного переходу, або параметри вихідного інтерфейсу.

Нулі вказують маршрутизатору, що для використання цього маршруту біти збігатися не повинні. Якщо не існує більш оптимального маршруту, маршрутизатор буде використовувати статичний маршрут за замовчуванням.

Кінцевий маршрут за замовчуванням, розташований на пограничному маршрутизаторі, відправляє трафік до ІSP. Цей маршрут позначає останній вузол в корпоративній мережі, як шлюз “останньої надії” для пакетів, що не вдається доставити. Ці дані відображаються в таблицях маршрутизації всіх маршрутизаторів.

Якщо в корпоративній мережі використовується протокол динамічної маршрутизації, пограничний маршрутизатор може відправляти маршрут за замовчуванням іншим маршрутизаторам у формі відновлення динамічних маршрутів.


  1. Використання хешування у VPN мережах. Пн 16.2.2 ст. 109.

Хешування

Хешування сприяє цілісності даних і аутентифікації, гарантуючи, що сторонні особи не підробили передані повідомлення. Хеш, або як його ще назвають дайджест повідомлення, це число, згенероване з рядка тексту. Хеш менший, ніж сам текст. Він створений за допомогою формули таким чином, що вкрай малоймовірно, що інший текст буде виробляти те ж хеш значення.


Як показала практика, під час передачі VPN даних через Інтернет існує потенційна загроза перехоплення та зміни даних. Відправник створює хеш повідомлення і відправляє його разом з самим повідомленням. Отримувач розшифровує повідомлення та хеш, виробляє інший хеш з отриманого повідомлення і порівнює два хеші. Якщо вони збігаються, отримувач може бути впевненим, що цілісність повідомлення не порушена.

VPN використовують коди перевірки автентичності повідомлення для перевірки цілісності та автентичності повідомлення, не використовуючи ніяких додаткових механізмів. Ключем хешованного коду перевірки автентичності повідомлення (hashed message authentication code, HMAC) є алгоритм цілісності даних, що гарантує цілісність повідомлення.

HMAC має два параметри: вхідне повідомлення і секретний ключ, відомий тільки відправнику повідомлення і прогнозованим отримувачам. Відправник повідомлення використовує функції HMAC для отримання значення (код аутентифікації повідомлення), утвореного шляхом конденсації секретного ключа та введеного повідомлення. Код аутентифікації повідомлення відправляється разом з повідомленням. Отримувач обчислює код перевірки автентичності повідомлення на отримані повідомлення, використовуючи той же ключ і HMAC функції, які використав відправник, і порівнює результат обчислення з отриманим кодом перевірки автентичності повідомлення. Якщо два значення збігаються, повідомлення було правильно прийняте і отримувач впевнений, що відправник є автентичним. Криптографічна міцність HMAC залежить від криптографічної міцності основної хеш-функції, розміру та якості ключа, і розміру отриманого вихідного хешу у бітах.

Існує два найбільш розповсюджені алгоритми HMAC:

HMAC-Message Dіgest 5 (MD5) – в даному алгоритмі використовується 128-бітний спільний секретний ключ. Повідомлення змінної довжини і 128-розрядний спільний секретний ключ поєднуються і проходять через хеш-алгоритм HMAC-MD5. В результаті створюється 128-розрядний хеш, що приєднується до вихідного повідомлення і відправляється на віддалений вузол.

HMAC-Secure Hash Algorіthm 1 (HMAC-SHA-1) – в даному алгоритмі використовується 160-бітний секретний ключ. Повідомлення змінної довжини і 160-розрядний спільний секретний ключ поєднуються і проходять через хеш-алгоритм HMAC-SHA-1. В результаті створюється 160-розрядний хеш, що приєднується до вихідного повідомлення і відправляється на віддалений вузол.

VPN аутентифікація

При передачі інформації через мережу VPN, пристрій на іншому кінці VPN тунелю повинен пройти перевірку справжності (аутентифікацію), перш ніж канал зв'язку вважатиметься безпечним. Є два методи аутентифікації:

PSK (Pre-shared key - Спільний ключ) – секретний ключ, який спільно використовується двома сторонами і який потрібно передати по захищеному каналу перед його використанням. PSK використовує криптографічні алгоритми з симетричним ключем. PSK вводиться в кожен вузол вручну і використовується для перевірки автентичності.


RSA signature (RSA підпис) – для аутентифікації використовує обмін цифровими сертифікатами. Локальний пристрій хешує та шифрує його приватним ключем. Зашифрований хеш (цифровий підпис) додається до повідомлення і передається на віддалений вузол. На віддаленому вузлі, зашифрований хеш розшифровується за допомогою відкритого ключа отримувача. Якщо розшифрований хеш та перераховуваний хеш співпадають, підпис є справжнім.