Руководство по технологиям объединенных сетей Cisco (953103), страница 48
Текст из файла (страница 48)
При вызовах в пределах одной РЯт)-сети это поле иногда опускается. Поле (г)т!1С имеет лва подпола: подполя страны и РБМ-сети. Подполе страны определяет страну, в которой находится Рз)к)- получатель, а подполе РЯк! уникальным образом определяет сеть Рзр1, которой принадлежит (гТЕ-получатель. Поле )т!Т)к! уникальным образом идентифицирует в Рэп1-сети устройство РТЕ, которому предназначен пакет. Это поле имеет переменную длину. Глава 17. Протокол Х.25 1ОИ Да 10 цифр 4 цифры 3 цифры 1 цифра Рос 77 7. Адрес Х.!Л с полем 1777Г Резюме Протокол Х.25 является протоколом стандарта 1Т13-Т, который определяет порядок открытия и поддержания соединений между устройствами пользователя и сетевыми устройствами и обеспечивает их эффективное функционирование независимо от типов систем, подключенных к сети. В число устройств протокола Х.25 входят устройства 13ТЕ, ПСЕ и каналы РЧС.
Соединения Х.25 используют каналы БУС и РЧС в пределах одной физической сети. В стеке Х.25 используются следующие три протокола, соответствующие трем нижним уровням эталонной модели 051: ° Протокол Р1.Р, соответствующий сетевому уровню; ° Протокол 1АРВ, соответствующий канальному уровню; ° Протоколы Х.21Ь1ж Е1А/Т1А-232, Е!А/Т1А-449, Е1А-530 и С.703, соответствую- щие физическому уровню. Контрольные вопросы 1.
С каким видом сетей обычно работает протокол Х.25? 2. Назовите три основные категории, к которым относятся устройства протокола Х25. 3. Назовите три основные функции устройства РА13. Часть ПЕ Технологии распределенных сетей ° дано определение':,вхйртыуальной частной, сети (%пиа1 Рйуате Хепхогк — уРЙ)"у ь .м и выполнена„: класьсификация УРХ-сетей;,на основе применяемых технологий, используемых приложентий и предоставляемых служб ° Рассмотрены основы стека протоколов !Радес и протокола 1КЕ ° Приведены,,основные йоложения прсфнсойа 12ТР ~й"' ° Рассмотрены основы УРН-сетей; создаваемых с применением коммутации МРАК у,а,а..ф' ы ~6 ' Фа-:-е., ,::Ф''ъ "*'"' ре ~~~$йв ау Ф кй .;.'ф "ек 3 ф',, Ф' .'бр„,У ,*.
х * Р к 4 Ф "'ъ ~- 'й "' 'ь=Ля, ~у.,":; „,е~ у%' ф*; Ф "4 Ф: '.",ь,.„ - '$„, "' '"'" ."';Ф ля'йуй44 -'% !Ъ ~ Ф::" Ф Виртуальные частные сети ь В последние годы, когда все большее число компаний для обеспечения связи стали висрользрвать глобальную сеть 1пгегпей рынок виртуальных частных сетей (Читав( Р(т(1ате Хепвог)г — ЧР)ч() значительно вырос и расширился. По мере того, как появляются новые стандарты, службы, программные и аппаратные продукты, технологии М-сетейзтакже претерпевают значительные изменения.
Это, однако, привело к то- ,что компании, которые желают реализовать у себя ЧРМ-сети, испытывают трудостгт,в понимании того, что представляют собой эти сети, какие службы предоставют различные типы ЧРХ и какой тип ЧР)ч-сети является для них оптимальным. Попйтка ясно определить и классифицировать ЧР1'(-сети представляет собой не- ростую задачу, которая, видимо, будет решена лишь в будущем. В настоящей главе гпе ставится цель дать всеобъемлющее определение ЧРХ-сетей, а лишь описываются .„разлвичные технологии таких сетей. бпределение сетей ЧРМ Яастнал виртуальная сеть ЧРМ представляет собой логическую сеть, которая функционирует в уже существующей физической сетевой инфраструктуре.
По сравнению с традиционными способами построения частных сетей путем использования вьшедднных линий лля соединения географически удаленных друг от друга офисов компа- 1Ф' 'з.. ний„',современные частные ЧР)ч(-сети являются виртуальными в том смысле, что сетевые'устройства и соединения (кабели и тд., в час~ности, оборудование 1пгегпег) примеш)емые для их построения, используются также и другими компаниями. Как и раисе использовавшиеся частные сети, сети ЧРХ обеспечивают конфиденциальность передаваемых данных. Каналы при этом выделяются отдельным пользователям, которые могут иметь свою собственную систему! Р-адресации, свои схемы маршругиии и проводят собственную политику безопасности.
Определение "частная" в терминологии ЧРМ-сетей может также рассматриваться в контексте обеспечения безопасности. Вопрос о том, какие возможности обеспечения безопасности могут предоставить службы ЧРМ, все чаще ставится компаниями при реализации ими своих частных виртуальных сетей. .й Целесообразно сначала рассмотреть пример ЧРХ-сети, использующей выделенные Г'*', 'нии, такой, например, как сеть Ргатс Ве!ау. Такие сети иногда называют ! "вызывающими доверие " (тгявге4, поскольку в этом случае пользователь доверяет решение (~Ь" вопросов надежности и безопасности устройствам провайдера.
В действительности такой тип ЧРХ-сети реальной безопасности не обеспечивает. По мере того как все большее число компаний использует 1тегпе[ в качестве магистрали своих ЧРХ-сетей, предположение о безопасное~и таких сетей перестает быть верным. Более того, именно данные, передаваемые по сети 1п[егпе[ более подвержены атакам, таким как нарушение конфиденциальности, целое~ности или прослушивание идентификационных данных. Поэтому для таких ЧРХ-сетей становятся критически важными меры по обеспечению безопасности и предотвращению возможных атак, включая защиту конфиденциальности, целостности данных и аутентификацию. В качестве таких мер при передаче данных по сети 1п[егпе[ используются туннельные технологии и алгоритмы шифрования.
Такие ЧРХ-сети называются безоласными Гзесиге). На основе данного определения все современные технологии ЧРН-сетей можно разделить на две категории. ° Надежные ЧРХ-технологии. Наиболее многообещающими из них являются технологии, основанные на МРЕБ-коммутации с использованием протокола ВОР или протокола Е2ЧРН. ° Безопасные ЧРХ-техиолоп[в. Наиболее популярными являются технологии 1РБес, Е2ТР или Е2ТР с использованием протоколов 1РБес и РРТР.
В последние годы использование технологии 1РБес де-факто стало стандартом обеспечения безопасности в ЧРН-сетях. ЧРМ-приложения ЧР1Ч-технологии применяются в следующих ситуациях. ° Сети интранет (1п[гапе[). С помощью ЧРН-технологий компании могут использовать глобальную сеть 1п[егпе[ в качестве магистрали для связи своих географически удаленных друг от друга узлов через ЧРХ-сети. ° Сети экстранет (ех[гапе[). В таких сетях ЧРН-технологии могут использоваться для быстрого создания соединений по требованию между компанией и ее бизнес-партнерами.
е Сети удаленного доступа. Используя ЧРХ-сеть удаленные пользователи могут получить доступ к корпоративной сети, зарегистрировавшись у регионального провайдера службы 1п[егпе[ (1п[егпе[ зегт[се рготЫег — 1БР). Это значителы[о более эффективно в финансовом отношении, чем традиционное поддержание самой компанией большого банка модемов. Технология 1РЗес Международная группа, организованная при проблемной группе 1п[егпе[ (1гцегпе[ Епй[пеег[пй Та[1[ Гогсс — 1ЕТГ) разработала набор протоколов 1РБес (!РБесцп[у— 1РБес) для обеспечения безопасности при передаче данных протокола 1Р на сетевом уровне. Стек протоколов 1РБес описан в нескольких КГС. В нем используются различные технологии шифрования для выполнения ключевых функций обеспечения безопасности про~ив наиболее типичных угроз в сети 1п[егпе[.
Ниже дано краткое описание этих служб. Часть Ш. Технологии распределенных сетей ° Аутентификация гарантирует, что устройство ЧРЫ-сети осуществляет связь именно с требуемым узлом. ° Конфиденциальность данных обеспечивается посредством их шифрования. ° Поддержка целостности данных обеспечивает предотвращение изменения данных в процессе передачи. Ниже приведены некоторые ключевые технологии шифрования, используемые стеком протоколов !Радес для поддержки описанных выше служб безопасности, ° Алгоритмы шифрования содержимого (контента — сопгепг) обычно являются симметричными алгоритмами.
Наиболее часто используются алгоритмы РЕЯ, ЗРЕЙ и АЕБ. ° Криптографические символы "Ьагд-го-!птегг" и "мгопй со!!!з!ол-тгее" некоторых хэш-алгоритмов используются для генерирования цифровой подписи, аутентификации и обеспечения целостности данных конкретного сообщения. В протоколе !Радес используется хэш-функция с ключом для генерирования кода аутентификации основанного на хэш-функции с ключом сообщения (Кеуег) НазЬ-Вазег) Меззаде АшЬепг!сагюп Соде — НМАС) в целях аутентификации источника данных и проверки их целостности. В качестве хэш-алгоритмов в протоколе 1РБес используются алгоритмы МР5 и БНА-!. ° Протокол обмена ключами Диффи-Хеллмана (ОВЕе-Не!!щап — РН) позволяет двум ЧРЫ-устройствам безопасно сгенерировать общий секретный коа по небезопасному каналу без предварительного совместно используемого кода. После завершения взаимной РН-идентификации два одноранговых устройства ЧРЫ- сети могут создать безопасный канал, который защищает обмен сообщениями между ними во время обсуждения параметров безопасности протокола 1Рбес ° Инфраструктура открытого ключа (РцЬВс Ксу 1лбвзггисгцге — РК1) состоит из протоколов, стандартов и служб, которые поддерживают применение алгоритмов открытого ключа.
В отличие от алгоритмов шифрования контента, алгоритмы открытого ключа являются асимметричными. Каждое устройство генерирует два математически связанных ключа. Один из них, общедоступный (открытый) ключ предоставляется всему домену, а соответствующий конфиденциальный ключ остается секретным. Даже при наличии общедоступного ключа вычисление секретного ключа является математически невозможным. Зто свойство делает алгоритмы открытого ключа полезными как для шифрования, так и для использовании цифровых подписей. Алгоритм ВБА является наиболее известным примером алгоритма общедоступного ключа. При посредстве соответствующей организации, осуществляющей сертифицирование (Сел!Йсаге Ацгйопгу — СА), каждое ЧРЫ-устройство в системс РК! может логически связать свой общедоступный ключ со своими идентификационными данными, такими как 1Р-алрес и полностью определенное доменное имя, используя сертификат, полученный от СА. При использовании в ЧРЫ-сети с протоколом 1РЯес система РК! обеспечивает службы безопасности, такие как аутентификация и предотвращение несанкционированного изменения передаваемой информации.
![](https://s.studizba.com/z.php?f=/templates/si/i/noavatar.png&w=100&h=100&t=1"){kind=avatar}
