Алгоритмы маршрутизации. Типы алгоритмов

Алгоритмы маршрутизации применяются для определения наилучшего пути пакетов от источника к приёмнику и являются основой любого протокола маршрутизации.

При разработке алгоритмов маршрутизации часто преследуют след цели: оптимальность, простота и низкие непроизводительные затраты, живучесть и стабильность, быстрая сходимость, гибкость.

Оптимальность характеризует способность алгоритма маршрутизации выбирать "наил" маршрут. Он зависит от показателей и от "веса" этих показателей, используемых при проведении расчета.

Простота и низкие непроизводительные затраты. Др словами, алгоритм маршрутизации должен эффективно обеспечивать свои функциональные возможности, с min затратами ПО и коэф использования.

Живучесть и стабильность - д четко функционировать в случае неординарных или непредвиденных обстоятельств: отказ аппаратуры, условия высок нагрузки, некорректные реализации.

Быстрая сходимость - это процесс соглашения между всеми роутерами по оптимальным маршрутам. Когда какое-нибудь событие в сети приводит к тому, что маршруты или отвергаются, или становятся доступными, роутеры рассылают сообщ об обновлении маршр-ции. Алгоритмы маршрутизации, кот сходятся медленно, м привести к образованию петель маршр-ии или выходам из строя сети. На Рис. изображена петля маршрутизации. В момент времени t1 к роутеру 1 прибывает пакет. Роутер 1 уже был обновлен и поэтому знает, что оптим маршрут к пункту назначения требует, чтобы след остановкой был роутер 2. Роутер 1 пересылает пакет в роутер 2. Роутер 2 еще не был обновлен, поэтому он полагает, что след оптимальной пересылкой д б роутер 1.

Гибкость - должны быстро и точно адаптироваться к разнообразным обстоятельствам в сети. Алгоритмы маршрутизации м б запрограммированы так, чтобы они могли адаптироваться к изменениям полосы пропускания сети, размеров очереди к роутеру, величины задержки сети и других переменных.

Алгоритмы маршрутизации м б классифицированы по типам: статические / динамич; одномаршрутные / многомаршр; одноуровневые / иерархические; с интеллектом в главной вычислительной машине / в роутере; внутридоменные / междоменные; алгоритмами состояния канала / вектора расстояний.

Статические алгоритмы. Распределение статических таблиц маршрутизации устанавливается администратором сети до начала маршрутизации. Оно не меняется, если только администратор сети не изменит его.

Динамические алгоритмы подстраиваются к изменяющимся обстоятельствам сети в масштабе реального t. Они выполняют это путем анализа поступающих сообщений об обновлении маршрутизации. Такие алгоритмы маршрутизации могут дополнять статические маршруты там, где это уместно. Напр, можно разработать роутер, в кот отсылаются все неотправленные по определенному маршруту пакеты. Такой роутер выполняет роль хранилища неотправленных пакетов, гарантируя, что все сообщения будут хотя бы определенным образом обработаны.

Многомаршрутные алгоритмы обеспечивают множество маршрутов к одному и тому же пункту назначения. Такие многомаршрутные алгоритмы делают возможной мультиплексную передачу трафика по многочисленным линиям; одномаршрутные алгоритмы не м делать этого.

Одноуровневые или иерархические алгоритмы

В одноуровневой системе маршрутизации все роутеры = по отношению друг к другу. В иерархической - некоторые роутеры формируют то, что составляет основу (базу) маршрутизации. Пакеты из небазовых роутеров перемещаются к базовыи роутерам и пропускаются через них до тех пор, пока не достигнут общей области пункта назначения. Начиная с этого момента, они перемещаются от последнего базового роутера через один или несколько небазовых роутеров до конечного пункта назначения.

Алг с интеллектом в главной вычисл машине / в роутере

Некоторые алгоритмы маршрутизации предполагают, что конечный узел источника определяет весь маршрут - маршрутизация от источника: роутеры действуют просто как устройства хранения и пересылки пакета, без всякий раздумий отсылая его к следующей остановке.

Др алгоритмы предполагают, что главные вычислит машины ничего не знают о маршрутах. При исп этих алгоритмов роутеры определяют маршрут через объединенную сеть, базируясь на своих собственных расчетах. В первой системе, рассмотренной выше, интеллект маршрутизации находится в главной вычисл машине, во втором случае - интеллект в роутере.

Системы с интеллектом в главной вычисл машине чаще выбирают наилучшие маршруты, т.к. они, как правило, находят все возможные маршруты к пункту назначения, прежде чем пакет будет действительно отослан. Внутридоменные или междоменные алгоритмы

Некоторые алгоритмы маршрутизации действуют только в пределах доменов; другие - как в пределах доменов, так и между ними. Природа этих двух типов алгоритмов различная. Поэтому понятно, что оптимальный алгоритм внутридоменной маршрутизации не обязательно будет оптимальным алгоритмом междоменной маршрутизации.

Алгоритмы состояния канала ("первоочередности наикратчайшего маршрута") направляют потоки маршрутной инф во все узлы. Однако каждый роутер посылает только ту часть маршрутной табл, кот опис состояние его собственных каналов. Алгоритмы вектора расстояния требуют от каждого роутера посылки всей или части своей маршрутной табл, но только своим соседям. Алгоритмы состояния каналов фактически направляют небольшие корректировки по всем направлениям, в то время как алгоритмы вектора расстояний отсылают более крупные корректировки только в соседние роутеры. Отличаясь более быстрой сходимостью, алгоритмы состояния каналов несколько меньше склонны к образованию петель маршрутизации, чем алгоритмы вектора расстояния. С другой стороны, алгоритмы состояния канала характеризуются более сложными расчетами в сравнении с алгоритмами вектора расстояний, требуя большей процессорной мощности и памяти, чем алгоритмы вектора расстояний. Вследствие этого, реализация и поддержка алгоритмов состояния канала может быть более дорогостоящей. Несмотря на их различия, оба типа алгоритмов хорошо функционируют при самых различных обстоятельствах.

Метрики алгоритмов: длина маршрута, надежность, задержка, ширина полосы пропускания, нагрузка, стоимость связи.

23. Защита сетевого трафика и компонентов сети. Аутентификация и идентификация.

Система анализа защищенности предназначена для проведения регулярных, всесторонних или выборочных тестов с целью выявления и устранения уязвимостей программно-аппаратного обеспечения: сетевых сервисов, ОС, прикладного ПО, СУБД, маршрутизаторов, МЭ, а также для проверки наличия последних модулей обновления и т.п. При выявлении уязвимостей система предоставляет администратору отчеты, содержащие подробное описание каждой обнаруженной уязвимости, данные об их расположении в узлах корпоративной сети и рекомендации по их коррекции или устранению. В состав системы анализа защищенности входят сканеры безопасности, предназначенные для проведения заданного множества проверок в соответствии с параметрами, определенными администратором безопасности; сервер хранения результатов работы системы; консоль администратора для централизов управления системой.

Основной принцип работы системы обнаружения и предотвращения вторжений заключается в выявлении и блокировании сетевых атак в корпоративной сети на основе анализа пакетов данных, циркулирующих в этой сети, и в последующем выявлении аномалий сетевого трафика сети. Система позволяет выявлять и блокировать атаки со стороны внешних и внутренних нарушителей. Для обнаружения вторжений система использует метод, основанный на выявлении сигнатур известных атак, а также метод, базирующийся на анализе поведения сети.

МЭ (Firewall) служит для защиты ЛС от НСД извне, от хакерских атак, попыток взлома или кражи инф, обеспеч безопасный доступ польз в сеть Интернет, защищает удаленное подключение к внутренним ресурсам. Гибкая система правил МЭ позволяет запрещать или разрешать соединения по многочисленным параметрам: адресам, сетям, протоколам, портам.

Антивирусная защита. Вирусы размножаются, заражая сайты и компьютеры их посетителей.

Защита сетевого трафика

Защищённые каналы передачи. Передаваемая инф модиф-ся так, чтобы её невозможно б изменить (аутентификация) или просмотреть (криптография) на пути её следования.

Виртуальные частные сети (VPN). Сетям VPN доступна не только способность имитации частной сети; они дают пользователю возможность иметь собственное адресное пространство (напр, частные IP-адреса, такие как адреса сети 10.0.0.0) и обеспечивать качество обслуживания, близкое к качеству выделенного канала. VPN на основе шифрования - совокупность защищенных каналов, созданных предприятием в открытой публичной сети для объединения своих филиалов. В VPN техника защищенных каналов связывает не двух пользователей, а произвольное количество клиентских сетей.

Технологии VPN включают шифрование, аутентификацию (взаимодействующие системы (польз) на обоих концах VPN были уверены в идентичности друг друга).

IPsec - набор протоколов для обеспечения защиты данных, передаваемых по межсетевому протоколу IP. IPSec м применяться в транспортном (применяется для защиты соединения «точка – точка», например, между двумя компьютерами, принадлежащими одной ЛС) или туннельном режиме (для объединения двух удаленных офисов и для предоставления доступа компьютера к удаленному офису). При работе в транспортном режиме IPSec оставляет IP-заголовок неизменным (за исключением номера протокола) и инкапсулирует данные после него. В туннельном - IPSec добавляет новый IP-заголовок к пакету и инкапсулирует прежний IP-заголовок и данные после него.

Идентификацию и аутентификацию считают основой программно-технических средств безопасности. Идентиф позволяет субъекту (польз, процессу, действующему от имени определенного польз) сообщить свое имя. Через аутентиф вторая сторона убеждается, что субъект действительно тот, за кого он себя выдает (проверка подлинности). Бывает односторонней (клиент доказывает свою подлинность серверу) и двусторонней (взаимной). Пример односторонней аутентификации - процедура входа пользователя в систему. Субъект м подтвердить свою подлинность, предъявив: то, что знает (пароль, личный идентификационный номер, криптографический ключ и т.п.); то, чем владеет (личную карточку); биометрические характеристики.

Программные средства. Основным и наиб часто применяемым методом установления подлинности польз явл методы, основанные на исп паролей(секретная последовательность символов). + парольной аутент: простота и привычность. Меры, позвол ↑ надежность парольной защиты: наложение технических ограничений (кол-во символов, содерж букв, цифр, знаков пунктуации и т.п.); упр сроком действия паролей, их периодичсмена; ограничение доступа к файлу паролей; ограничение числа неудачных попыток входа в систему; исп прогр генераторов паролей (программа, основываясь на несложных правилах, м порождать только благозвучные ® запоминающиеся пароли).

Перечисленные меры необ применять всегда, даже если наряду с паролями исп-ся другие методы аутентификации. Реализация динамич одноразового пароля м б выполнена аппаратными или программными средствами.

Аппаратные средства. eToken и т.д.

Устройства типа платы SecurID (интеллектуальной карты). Польз выдается устройство размером с кредитную карточку, которое высвечивает на табло ряд чисел. С течением t числа меняются. Если польз хочет войти в систему, он вводит свой id и инф, отображ в этот момент на табло (лексема). Так как пользователь должен ввести свой id, то даже если кто-то заполучит его устройство, он, вероятно, не будет знать соответ id польз – гибридные средства.

Основные атаки на протоколы аутентификации:

-маскарад. Пользователь пытается выдать себя за другого с целью получения привилегий и возможности действий от лица другого пользователя.

-подмена стороны аутентификационного обмена: после успешного прохождения аутентификации между двумя пользователями и установления соединения нарушитель исключает какого- либо пользователя из соединения и продолжает работу от его имени;

-атака с выборкой текста. Злоумышленник перехватывает аутентификационный трафик и пытается получить инф о долговременных криптографических ключах.