Руководство для студента Номер текста по каталогу 97250401

© 2007 Cisco Systems, Inc.
Введение в курс
9
Оптимизация: улучшение производительности, доступности, емкости и безопасности.
—
Достижение безупречных операционных результатов за счет непрерывного улучшения производительности и функциональности системы.
Традиционный подход к сетевой безопасности подразумевает использование наборов продуктов для защиты сетевого периметра или связей между площадками. В современных условиях методы поиска и устранения отдельных уязвимостей и «точечных» проблем сети перестают быть приемлемыми, поскольку затраты, связанные с нарушениями и прерываниями работы систем безопасности высоки и могут принимать множество форм – простой сети, кража конфиденциальной информации, упущенная прибыль, потеря престижа фирмы и так далее.
В настоящее время используется другой подход к решениям по безопасности: теперь безопасность требует системного подхода, подразумевающего защиту всей сети – периметра, ЦОД, локальных сетей комплексов зданий, беспроводных локальных сетей (WLAN) рабочих станций и конечных узлов; обеспечение безопасности сети – это непрерывный процесс, который позволяет компании добиться эффективного выполнения корпоративных целей и задач; любая организация нуждается во всестороннем процессе обеспечения безопасности, который согласует задачи бизнеса с возможностями сети и техническими требованиями.

10
Соединение сетевых устройств Cisco, часть 1 (ICND1 v1.0)
© 2007 Cisco Systems, Inc.
© 200 7 Cisco Syst ems , Inc. Вс е пр ава за щищ ены.
ICND1 v1.0 —12
Студенты CCNA:
особое внимание к этапам внедрения и эксплуатации
Д остиж ение безупр ечных опе рацион ных пока зателей благо дар я адаптаци и архите ктуры, эксплуатац ии и про изво дител ьности сет и в к пост оянно меня ющи мся тре бова ниями биз неса, а такж е во звраще ние жи зне нного цикла сети к эта пу по дго товки .
Оптими зация
Подде ржка р аботоспособности сети за счет повсед невно го обслужи вания .
Эксп луата ция
Уста нови те ново е решение без пре рывания р аботы сети и соз дан ия уя звимых то чек.
Вне дре ние
Создай те ре ше ние, отве чающее бизнес- и те хни ческим требовани ям.
Проектиро вание
О цени те суще ствующую сред у и опр еде лит е, сможе т ли о на эффекти вно и надеж но поддер жива ть предло женн ую систе му.
План ирова ние
При мите обо сн ован ные фин ансовые ре шен ия, по дгото вив экон оми ческое обоснова ние, кото рое подтве рдит не обход имость технологически х измен ений .
Подгото вка
Преимущества подхода Lifecycle Services
Этап
Подход Cisco Lifecycle Services
Подход Cisco Lifecycle Services позволяет определить минимальный набор необходимых операций (в зависимости от сложности технологии и сети) для успешного развертывания и эксплуатации технологий Cisco и оптимизации их производительности на всех этапах жизненного цикла сети. Жизненный цикл сети — это комплексное представление последовательности событий, которые имеют место на разных этапах существования сети.
Подход Cisco Lifecycle Services формирует методики, основанные на передовом опыте, который находит понимание и поддержку в сетевой отрасли, и согласует процессы обслуживания и поддержки с экономическими и техническими требованиями на всех этапах жизненного цикла сети.

© 2007 Cisco Systems, Inc.
Введение в курс
11
© 200 7 Cisco Syst ems , Inc. Вс е пр ава за щищ ены.
ICND1 v1.0 —13
Подход Network Lifecycle Services:

почему он так важен сейчас?
В прошлом точечные методы проектирования, внедрения и э кс плуатации вполне подходили для развертывания и поддержки с ети.
Сегодня сложнос ть сетей и воп росы совместимос ти технолог ий п овышают в ажность подхода на базе жизненного цикла с ети, сп особного адаптиров аться к меняю щимся услов иям бизнеса.
Согласованная и непрерывная последовательность операций обслуживания на основе жизненного цикла с ети обеспечивает успешное начальное внедрение и э ксплуатацию , а также оптимальную производительность в буд ущем.
Подход Cisco Lifec ycle Servic es помогает обеспеч ить соответствие э тим новым, более сложным требования м.
В прошлом точечные методы проектирования, внедрения и эксплуатации вполне подходили для развертывания и поддержки сети.
Сегодня сложность сетей и конвергенция технологий повышают важность подхода на базе жизненного цикла сети, способного адаптироваться к меняющимся условиям бизнеса. Согласованная и непрерывная последовательность операций обслуживания на основе жизненного цикла сети обеспечивает успешное начальное внедрение и эксплуатацию, а также оптимальную производительность в будущем.
Подход Cisco Lifecycle Services помогает обеспечить соответствие этим новым, более сложным требованиям.

12
Соединение сетевых устройств Cisco, часть 1 (ICND1 v1.0)
© 2007 Cisco Systems, Inc.
© 200 7 Cisco Syst ems , Inc. Вс е пр ава за щищ ены.
ICND1 v1.0 —14
Пожалуйста, представьтесь
Ваше имя
Ваша компания
Служебные обязанности
Навыки и знания
Краткая история
Задача
Подготовьте следующие сведения о себе
Ваше имя.
Ваша компания.
Ваши служебные обязанности.
Навыки, которыми вы владеете.
Краткий обзор вашего профессионального опыта.
Что бы вы хотели узнать из этого курса.

Модуль 1
Построение простой сети
Обзор
Для понимания работы сетей необходимо получить базовые знания об их основных компонентах. В этом модуле даются сведения об основных компонентах сети: перечисляются базовые компоненты компьютеров и сетей и их характеристики, функции, преимущества, достоинства и показатели, используемые для классификации функций и рабочих характеристик. Кроме того, в этом модуле описывается эталонная модель взаимодействия открытых систем (OSI), а также терминология и концепции, необходимые для описания процесса обмена данными. Наконец, в этом модуле объясняется создание сети хостов на базе локальной сети Ethernet.
Задачи модуля
По окончании этого модуля вы сможете создавать простые сети для соединения хостов, а также описывать компоненты сети и их функции. Это значит, что вы сможете выполнять следующие задачи: перечислять преимущества компьютерных сетей и их функции; выявлять общие угрозы для сетей и способы уменьшения воздействия этих угроз; понимать и сравнивать модели обмена данными, которые управляют связью между хостами; описывать классификацию IP-адресов и способы получения IP-адреса хостом; описывать процессы, используемые протоколом TCP для установления надежного соединения; описывать процессы передачи пакетов между хостами; описывать работу Ethernet на 1-ом и 2-ом уровнях модели OSI; определять методы подключения к локальной сети Ethernet.

1-2
Interconnecting Cisco Networking Devices Part 1 (ICND1) v1.0
© 2007 Cisco Systems, Inc.

Занятие 1
Обзор функций сети
Обзор
Для максимально эффективного использования каналов связи между конечными пользователями необходимо понимать преимущества и принцип работы компьютерных сетей. В этом занятии описывается концепция компьютерных сетей, перечисляются компоненты компьютерной сети и объясняются преимущества сетей для пользователей.
Задачи
По окончании этого занятия вы сможете перечислять стандартные компоненты сети, описывать ее назначение и функции. Это значит, что вы сможете выполнять следующие задачи: давать определение сети; перечислять стандартные компоненты сети; интерпретировать схемы сети; перечислять основные функции совместного использования ресурсов сети и их преимущества; называть четыре основных пользовательских приложения, требующих доступа к сети, и описывать их преимущества; описывать влияние пользовательских приложений на работу сети; перечислять категории характеристик, используемых для описания сетей различных типов; cравнивать и сопоставлять физические и логические топологии; перечислять характеристики шинной топологии; перечислять характеристики звездообразной и иерархической звездообразной топологии; перечислять характеристики кольцевой и двойной кольцевой топологии; перечислять характеристики полносвязной и частичносвязной топологии; описывать способы подключения к сети Интернет.

1-4
Соединение сетевых устройств Cisco, часть 1 (ICND1 v1.0)
© 2007 Cisco Systems, Inc.

Что такое сеть?
В этом разделе описываются характеристики и среды сетей разных типов и приводятся примеры сетей.
© 200 7 Cisco Syst ems , Inc. Вс е пр ава за щищ ены.
ICND1 v1.0— 1-2

Что такое сеть?
Сеть – это набор устройств и конечных систем (например компьютеров и серверов), которые соединены между собой и могут обмениваться данными друг с другом. Сети служат для передачи данных в различных средах, включая жилые помещения, небольшие компании и крупные предприятия. Крупное предприятие может располагаться на нескольких площадках, которые должны поддерживать связь друг с другом. Эти площадки (то есть места, где находятся сотрудники компании) можно описать следующим образом.
Главный офис. Главный офис – это площадка, в которой все сотрудники связаны через сеть, и где хранится значительная часть данных компании.
В главном офисе могут работать сотни и даже тысячи людей, которые нуждаются в доступе к сети для выполнения своих обязанностей. В главном офисе могут использоваться несколько соединенных между собой сетей, охватывающих несколько этажей офисного здания или комплекс зданий
(кампус).
Удаленные площадки. Различные удаленные, которые используют сети для связи с главным офисом или между собой.
—
Филиалы. В филиалах работают и взаимодействуют через сеть менее многочисленные группы сотрудников. Хотя в филиалах может храниться часть данных компании, более вероятно, что в филиале используются локальные сетевые ресурсы (например, принтеры), но большинство сотрудников получают доступ к информации непосредственно из главного офиса.

© 2007 Cisco Systems, Inc.
Построение простой сети
1-5
—
Домашний офис. Если сотрудники работают на дому, их место работы называется домашним офисом. Часто сотрудникам, работающим на дому, необходимо подключение по требованию к главному офису или филиалу для доступа к информации или использования сетевых ресурсов (например файлового сервера).
—
Мобильные пользователи. Мобильные пользователи подключаются к сети главного офиса, находясь в главном офисе, в филиале или в дороге. Требования мобильных пользователей к доступу зависят от того, где они находятся.
Можно использовать сеть в домашнем офисе для подключения к Интернету и поиска информации, размещения заказов на различные товары и обмена сообщениями с друзьями. Также можно организовать небольшой офис, снабженный сетью, соединяющей другие компьютеры и принтеры в офисе.
Или можно работать на крупном предприятии, где для обмена данными и для хранения информации большого числа отделов, расположенных на обширных площадях, используется множество компьютеров, принтеров, систем хранения информации и серверов.

1-6
Соединение сетевых устройств Cisco, часть 1 (ICND1 v1.0)
© 2007 Cisco Systems, Inc.
Стандартные физические компоненты сети
В этом разделе перечисляются типовые физические компоненты сети, включая ПК, соединительные устройства, коммутаторы и маршрутизаторы.
© 200 7 Cisco Syst ems , Inc. Вс е пр ава за щищ ены.
ICND1 v1.0— 1-3
Стандартные физические компоненты сети
В компьютерную сеть входят физические компоненты, относящиеся к следующим четырем основным категориям.
Персональные компьютеры (ПК). Компьютеры являются конечными устройствами сети, которые отправляют и получают данные.
Соединительные устройства. Соединительные устройства – это компоненты, позволяющие передавать данные из одной точки сети в другую. В эту категорию входят следующие компоненты:
— сетевые адаптеры (NIC), которые преобразуют данные компьютера в формат, который позволит передавать их по локальной сети;
— cетевая среда передачи (например кабели или беспроводные среды), которые служат для передачи сигнала от одного сетевого устройства к другому;
— разъемы, которые предоставляют точки подключения носителей.
Коммутаторы. Коммутаторы – это устройства, обеспечивающие подключения сети к конечным системам и выполняющие интеллектуальную коммутацию данных внутри локальной сети.
Маршрутизаторы. Маршрутизаторы служат для соединения сетей между собой и выбора наилучшего пути между ними.

© 2007 Cisco Systems, Inc.
Построение простой сети
1-7
Интерпретация схемы сети
В этом разделе описаны стандартные условные обозначения компонентов сети, включая ПК, коммутаторы и маршрутизаторы.
© 200 7 Cisco Syst ems , Inc. Вс е пр ава за щищ ены.
ICND1 v1.0— 1-4
Интерпретация схемы сети
Схема сети используется для отображения информации о ней. Объем и детализация отображаемой информации варьируются в зависимости от организации. Топология сети, как правило, представляется с помощью линий и значков. На этой схеме используется для обозначения сети Интернет. используется для обозначения маршрутизатора. используется для обозначения коммутатора рабочей группы. используется для обозначения сервера. используется для обозначения ПК. используется для обозначения канала Ethernet. используется для обозначения последовательного канала.
При наличии свободного места могут быть включены другие сведения. Например, часто указывается интерфейс устройства в следующих форматах: s0/0/0 для последовательного интерфейса или fa0/0 для интерфейса Fast Ethernet. Также часто включают сетевые адреса сегмента в формате 10.1.1.0/24, где 10.1.1.0 обозначает сетевой адрес, а /24 – маску подсети.

1-8
Соединение сетевых устройств Cisco, часть 1 (ICND1 v1.0)
© 2007 Cisco Systems, Inc.
Функции и преимущества совместного использования ресурсов
В этом разделе описаны основные функции совместного использования ресурсов в компьютерной сети, и преимущества этих функций для конечных пользователей.
© 200 7 Cisco Syst ems , Inc. Вс е пр ава за щищ ены.
ICND1 v1.0— 1-5
Функции и преимущества совместного использования ресурсов
Данные и приложения
Ресурсы
Сетевое хранение
Устройства резервного копирования
Благодаря использованию сетей конечные пользователи могут совместно использовать как информационные, так и аппаратные ресурсы. Основные ресурсы, которые можно использовать совместно в компьютерной сети перечислены ниже.
Данные и приложения. Когда пользователи соединены через сеть, они могут совместно использовать файлы и даже приложения, что упрощает доступ к данным и повышает эффективность совместной работы над проектами.
Ресурсы. Возможно совместное использование как устройств ввода (например, камер), так и устройств вывода информации (например, принтеров).
Сетевое хранение. В настоящее время существует несколько способов хранения информации с использованием сети. Система хранения с прямым подключением (Direct Attached Storage - DAS) позволяет напрямую подключить физический носитель к ПК или общему серверу. Система сетевого хранения данных (Network Attached Storage - NAS) позволяет обеспечивает хранение данных с использованием специального сетевого оборудования. И, наконец, сети хранения данных (Storage Aria Networks - SAN) представляют собой сети устройств хранения.
Устройства резервного копирования. Кроме того, в сеть могут входить устройства резервного копирования (например, накопители на магнитной ленте), позволяющие хранить файлы с нескольких компьютеров. Сетевые хранилища также используется для архивирования, обеспечения непрерывности бизнеса и аварийного восстановления.

© 2007 Cisco Systems, Inc.
Построение простой сети
1-9
Общее преимущество для пользователей, подключенных к сети, – это возможность эффективно использовать общие компоненты, необходимые для выполнения повседневных задач (обмена файлов, использования принтеров и хранения данных). Эта эффективность позволяет снизить издержки и повысить производительность.
В последние годы открытость, которая когда-то была доминирующей характеристикой сетей, сменилась необходимостью соблюдать осторожность.
Было много хорошо известных случаев «кибервандализма», в ходе которых производилось вторжение как в конечные системы, так и в сетевые устройства.
Таким образом, администратору следует найти компромисс между безопасностью сетей и потребностью в сетевых подключениях.

1-10
Соединение сетевых устройств Cisco, часть 1 (ICND1 v1.0)
© 2007 Cisco Systems, Inc.
Пользовательские сетевые приложения
Для пользователей в сетевом окружения доступно множество приложений, а некоторые приложения используются практически всеми пользователями.
В этом разделе описываются распространенные сетевые пользовательские приложения.
© 200 7 Cisco Syst ems , Inc. Вс е пр ава за щищ ены.
ICND1 v1.0— 1-6
Пользовательские сетевые приложения
Электронная почта (Outlook, POP3, Yahoo и т. д.)
Обозреватель (IE, Firefox и т. д.)
Мгновенный обмен сообщениями (Yahoo IM, Microsoft
Messenger и т. д.)
Совместная работа (Whiteboard, Netmeeting, WebEx и т. д.)
Базы данных (файловые серверы)
К самым распространенным сетевым пользовательским приложениями относятся:
Электронная почта. Электронная почта – это очень важное приложение для большинства пользователей сети. Пользователи могут оперативно передавать информацию (сообщения и файлы) в электронном виде не только пользователям своей сети, но и пользователям за ее пределами (например поставщикам, на информационные ресурсы и клиентам). Примеры программам для работы с электронной почтой: Microsoft Outlook, Qualcomm
Eudora.
Обозреватель. Благодаря обозревателю пользователь может получать доступ в Интернет через общий интерфейс. В Интернете можно получить доступ к огромным объемам информации, и он стал совершенно необходим как для бытовых, так и для корпоративных пользователей. Обозреватели предоставляют общий интерфейс для общения с поставщиками и клиентами, обработки и выполнения заказов и поиска информации. Теперь эти операции, как правило, производятся в электронном виде через Интернет, что позволяет сэкономить время и повысить производительность. К наиболее популярным обозревателям относятся Microsoft Internet Explorer, Netscape Navigator, Mozilla и Firefox
Мгновенный обмен сообщениями. Мгновенный обмен сообщениями появился как средство личного общения между пользователями, однако вскоре он принес значительные выгоды в корпоративный мир. Доступно множество приложений мгновенного обмена сообщениями (таких, как AOL

© 2007 Cisco Systems, Inc.
Построение простой сети
1-11 и Yahoo), обеспечивающих функции шифрования и регистрации данных, в которых нуждаются компании.
Совместная работа. Совместная работа групп или отдельных пользователей значительно упрощается при использовании сети. Например, сотрудники, создающие отдельные части ежегодного отчета или бизнес-плана, могут либо передавать свои файлы на центральный ресурс для составления единого документа, либо использовать приложения рабочей группы для создания и изменения всего документа без необходимости в обмене бумажными копиями. Одной из самых известных программ для совместной работы является Lotus Notes.
Базы данных. Приложения этого типа позволяют пользователям в сети хранить информацию на централизованных узлах (например на файловых серверах), чтобы другие пользователи в сети могли легко загрузить выбранную информацию в тех форматах, которые для них наиболее удобны.

1-12
Соединение сетевых устройств Cisco, часть 1 (ICND1 v1.0)
© 2007 Cisco Systems, Inc.
Влияние пользовательских приложений на работу сети
Приложения могут влиять на работу сети, а работа сети может влиять на работу приложений. В этом разделе описываются типовое взаимодействие между пользовательскими приложениями и сетью.
© 200 7 Cisco Syst ems , Inc. Вс е пр ава за щищ ены.
ICND1 v1.0— 1-7
Влияние пользовательских приложений на работу сети
Пакетные приложения
–
FTP, TFTP, о бновлен ие до ступн ых ресурсов
–
Нет н епосредствен ного вмешате льства пользо вате ля
–
Полоса пропускан ия важн а, но не и грае т ре ша юще й роли
Интерактивные приложения
–
Запро сы о до ст упных ресурсах, обнов лен ие ба з да нных.
–
Взаимодействи е меж ду чело веком и компьютером.
–
Поскольку по льзователь ож ида ет ответа, вре мя ре акци и си стемы важ но, н о не игр ает ре ша юще й роли, е сли то лько ож ида ние не ста новится сл ишк ом долгим.
Приложения реального времени
–
Vo IP , видео
–
Взаимодействи е меж ду двумя по льзователями
–
Крайн е важн о поддер жива ть стабильное зн ачени е времени заде ржк и
Традиционно при рассмотрении взаимодействия между сетью и приложениями, работающими в ней, основное внимание уделяется полосе пропускания. Такие пакетные приложения, как FTP, TFTP и обновление доступных ресурсов, запускаются пользователем, их работа и завершение управляется программно без прямого вмешательства со стороны пользователя. Поэтому полоса пропускания важна, но не играет решающей роли при условии, что для завершения приложения не требуется слишком много времени. Такие интерактивные приложения, как запросы о доступных ресурсах или обновления баз данных, требуют большего участия человека. Пользователь должен получить с сервера какие-то сведения, а потом ожидать ответа. Полоса пропускания в этом случае более важна, поскольку при сильной задержке ответа пользователи могут проявлять нетерпение. Однако ширина полосы пропускания снова не играет решающей роли, поскольку время ответа зависит не столько от сети, сколько от сервера. В большинстве случаев функции QoS могут преодолеть ограничения, накладываемые полосой пропускания, за счет предоставления интерактивным приложениями приоритета над пакетными приложениями.

© 2007 Cisco Systems, Inc.
Построение простой сети
1-13
Подобно интерактивным приложениям, приложения в реальном времени
(например, VoIP и видео-приложения) подразумевают участие человека.
Объемы передаваемой информации предъявляют серьезные требования к полосе пропускания. Кроме того, поскольку эти приложения предъявляют значительные требования к синхронизации, большую роль играет время запаздывания (задержка в сети). Даже колебания времени запаздывания могут оказывать влияние на сеть.
При этом обязательным является не только приемлемое значение полосы пропускания, но и функции QoS. VoIP и видео-приложения должны получать максимальный приоритет.
Сейчас конечных пользователей атакуют рекламные объявления, указывающие, сколько они смогут сэкономить, перейдя на технологию VoIP, при этом подразумевается, что процесс установки очень несложен и ограничивается установкой в сети маршрутизатора VoIP. Это, как правило, справедливо для домашних сетей, но может привести к катастрофе в небольшой корпоративной сети. Простая установка маршрутизатора VoIP в сети не обеспечивает ни достаточной полосы пропускания для Интернета, ни приемлемой схемы QoS.
В результате прежде работавшие приложения начинают выполняться так медленно, что их невозможно использовать, когда кто-нибудь говорит по телефону, и качество голоса значительно снижается. Обе проблемы можно решить путем правильного проектирования сети.

1-14
Соединение сетевых устройств Cisco, часть 1 (ICND1 v1.0)
© 2007 Cisco Systems, Inc.
Характеристики сети
В этом разделе описывается набор характеристик, которые обычно используются для описания и сравнения сетей разных типов.
© 200 7 Cisco Syst ems , Inc. Вс е пр ава за щищ ены.
ICND1 v1.0— 1-8
Характеристики сети
Скорость
Стоимость
Безопасность
Доступность
Масштабируемость
Надежность
Топология
Сети можно описывать и сравнивать, используя следующие характеристики ее производительности и структуры:
Скорость. Скорость определяет, насколько быстро данные передаются по сети. Более точным является термин «скорость передачи данных».
Стоимость. Стоимость включает общую стоимость компонентов, установки и технического обслуживания сети.
Безопасность. Безопасность описывает степень безопасности сети, включая безопасность данных, передаваемых по сети. Безопасность очень важна и постоянно развивается. При выполнении действий, влияющих на сеть, необходимо учитывать проблему безопасности.
Доступность. Доступность описывает вероятность того, что сеть будет доступна для использования, когда это будет необходимо. Для сетей, которые предполагается использовать 24 часа в день, 7 дней в неделю, 365 дней в году, доступность вычисляют, разделив время, когда сеть фактически доступна, на общее время в году, а затем умножив результат на 100, чтобы выразить полученное значение в процентах.
Например, если сеть недоступна в течение 15 минут в год из-за простоев сети, процент ее доступности можно вычислить следующим образом:
([количество минут в году – время простоя сети] / [количество минут в году])
* 100 = процентная доступность
([525 600 – 15] / [525 600]) * 100 = 99,9971

© 2007 Cisco Systems, Inc.
Построение простой сети
1-15
Масштабируемость. Масштабируемость обозначает, насколько хорошо сеть может удовлетворить потребности большего числа пользователей и требования к передаче большего объема данных. Если сеть спроектирована и оптимизирована только с учетом текущих требований, будет очень дорого и сложно обеспечивать соответствие новым требованиям, возникающим по мере роста сети.
Надежность. Надежность означает безотказность компонентов
(маршрутизаторов, коммутаторов, ПК и т. д.), составляющих сеть. Она часто измеряется как вероятность отказа или как среднее время между отказами (mean time between failures - MTBF).
Топология. В сетях применяется два типа топологии: физическая топология
(физическое расположение кабелей, сетевых устройств и конечных систем, таких как ПК и серверы) и логическая топология, которая описывает пути, по которым сигналы передаются через физическую топологию.
Эти характеристики и свойства позволяют сравнивать разные сетевые решения.

1-16
Соединение сетевых устройств Cisco, часть 1 (ICND1 v1.0)
© 2007 Cisco Systems, Inc.
Сравнение физической и логической топологии
В этом разделе описаны физические и логические топологии сетей, включая расположение кабелей и устройств и пути передачи данных.
© 200 7 Cisco Syst ems , Inc. Вс е пр ава за щищ ены.
ICND1 v1.0— 1-9
Категории физической топологии
У каждой сети есть как физическая, так и логическая топология.
Физические топологии
Физическая топология сети описывает физическое расположение устройств и кабелей. Для каждого типа физической топологии необходимо подбирать соответствующий тип кабелей (витая пара, коаксиальный кабель, оптоволоконный кабель и т. д.). Следовательно, для понимании каждого типа физической топологии необходимо понять, какой тип кабеля в ней используется. Ниже приведены три основные категории физических топологий.
Шинная. В первых шинных топологиях компьютеры и другие сетевые устройства соединялись последовательно с использованием коаксиального кабеля. В современных шинных топологиях шина реализована в виде отдельного устройства, хосты подсоединяются к шине с помощью витой пары.
Кольцевая. Компьютеры и другие сетевые устройства соединяются кабелем, причем последнее устройство подсоединяется к первому с образованием окружности или кольца. К топологиям этого типа относятся кольцевые и двойные кольцевые топологии. Физическое подключение обеспечивается коаксиальным или оптоволоконным кабелем.
Звездообразная. Компьютеры и другие сетевые устройства соединены через центральное кабельное устройство. К топологиям этого типа относятся звездообразные и иерархические звездообразные топологии. Физические подключения, как правило, реализуются с помощью витой пары.

© 2007 Cisco Systems, Inc.
Построение простой сети
1-17
© 200 7 Cisco Syst ems , Inc. Вс е пр ава за щищ ены.
ICND1 v1 .0—1- 10
Логические топологии
Логические топологии
Логическая топология сети описывает логические пути, по которым сигналы передаются от одного узла сети на другой, т. е. способ доступа к сетевым носителям и передачи пакетов по ним.
Физическая и логическая топология сети могут совпадать. Например, если сеть физически организована как линейная шина, данные перемещаются вдоль кабеля.
Следовательно, эта сеть обладает физической шинной топологией и логической шинной топологией.
С другой стороны, сеть может обладать совершенно различными физической и логической топологиями. Например, физическая топология может иметь форму звезды, в которой все компьютеры подключены отрезками кабеля к центральному концентратору, но при этом обладать логической кольцевой топологией. В кольце данные передаются от компьютера к компьютеру, поэтому внутри концентратора используются соединения проводов, в которых сигнал передается по кольцу от одного порта к другому, создавая логическое кольцо. Следовательно физическая схема не всегда достаточна для прогноза перемещения данных по сети.
В настоящее время самой распространенной схемой реализации локальных сетей является звездообразная топология. Ethernet использует логическую шинную топология как в физической шинной, так и физической звездообразной топологии. Концентратор Ethernet – пример физической звездообразной топологии в сочетании с логической шинной топологией.

1-18
Соединение сетевых устройств Cisco, часть 1 (ICND1 v1.0)
© 2007 Cisco Systems, Inc.
Шинная топология
Часто называется линейной шиной. Все устройства в шинной топологии соединены с помощью одного кабеля. В этом разделе описывается шинная топология.
© 200 7 Cisco Syst ems , Inc. Вс е пр ава за щищ ены.
ICND1 v1 .0—1- 11
Шинная топология
Все устройства принимают сигнал.
Как показано на рисунке, в шинной топологии кабель идет от одного компьютера к другому, подобно автобусной линии, проходящей через город. Основной участок кабеля должен заканчиваться терминатором, поглощающим сигнал, когда он достигает конца линии или провода. Если терминатор не установлен, электрический сигнал, соответствующий данным, отражается в конце кабеля, вызывая ошибки в сети.

© 2007 Cisco Systems, Inc.
Построение простой сети
1-19
Звездообразная и иерархическая звездообразная топологии
Звездообразная топология — наиболее часто встречающаяся топология в локальных сетях Ethernet. В этом разделе описываются звездообразные и иерархические звездообразные топологии.
© 200 7 Cisco Syst ems , Inc. Вс е пр ава за щищ ены.
ICND1 v1 .0—1- 12
Звездообразная топология
Передача данных через центральный узел.
Критическая точка отказа.
При установке звездообразная топология напоминает спицы в велосипедном колесе. Она состоит из центральной точки подключения (концентратор, коммутатор или маршрутизатор), в которой соединяются все сегменты кабеля.
Каждое устройство в сети подключено к центральному устройству с помощью отдельного кабеля.
Звездообразная топология
Хотя реализация физической звездообразной топологии стоит дороже, чем реализация физической шинной топологии, преимущества звездообразной топологии оправдывают дополнительные затраты. Каждое устройство подключено к центральному устройству с использованием отдельного кабеля, поэтому при неисправности этого кабеля затронуто только одно устройство, а остальная сеть остается в рабочем состоянии. Это преимущество крайне важно и является одной из причин, по которым почти все локальные сети Ethernet, спроектированные в последнее время, имеют физическую звездообразную топологию.

1-20
Соединение сетевых устройств Cisco, часть 1 (ICND1 v1.0)
© 2007 Cisco Systems, Inc.
© 200 7 Cisco Syst ems , Inc. Вс е пр ава за щищ ены.
ICND1 v1 .0—1- 13
Иерархическая звездная топология
Более устойчива, чем звездообразная топология.
Иерархическая звездообразная топология
При расширении звездообразной топологии за счет добавления к сети дополнительных сетевых устройств, подключаемых к основным сетевым устройствам, топология называется «иерархической звездной топологией».
Но у чистой иерархической звездной топологии есть недостаток: при неисправности центрального узла большие фрагменты сети оказываются изолированными.

© 2007 Cisco Systems, Inc.
Построение простой сети
1-21
Кольцевые топологии
Как понятно из названия, в кольцевой топологии все устройства в сети соединены окружностью или кольцом. В этом разделе описывается кольцевая топология.
© 200 7 Cisco Syst ems , Inc. Вс е пр ава за щищ ены.
ICND1 v1 .0—1- 14
Кольцевая топология
Сигналы передаются по кругу.
Критическая точка отказа.
В отличие от физической шинной топологии в кольцевой топологии нет начальной и конечной точек, в которых необходимо подавлять сигнал. Данные передаются совершенно не так, как это происходит в логической шинной топологии. В одной из реализаций, «маркер» перемещается вдоль кольца, останавливаясь на каждом устройстве. При передаче данных устройство добавляет данные и адрес назначения к маркеру. Далее маркер продолжает двигаться по окружности, пока не находит устройство назначения, которое извлекает данные из маркера. К преимуществам этого типа топологии относится отсутствие коллизий пакетов данных. Существуют два типа кольцевой типологии: одиночная кольцевая и двойная кольцевая.
Одиночная кольцевая топология
В одиночной кольцевой топологии все устройства сети расположены на одном кабеле, и данные передаются только в одном направлении. Каждое устройство ждет своей очереди для передачи данных по сети. Однако одиночное кольцо может пострадать от единственного отказа, в результате которого все кольцо прекращает функционировать.

1-22
Соединение сетевых устройств Cisco, часть 1 (ICND1 v1.0)
© 2007 Cisco Systems, Inc.
© 200 7 Cisco Syst ems , Inc. Вс е пр ава за щищ ены.
ICND1 v1 .0—1- 15
Двойная кольцевая топология
Сигналы передаются в противоположных направлениях.
Более устойчива, чем сеть, состоящая из одного кольца.
Двойная кольцевая топология
В двойной кольцевой топологии два кольца позволяют передавать данные в обоих направлениях. В такой конфигурации создается резервирование
(отказоустойчивость). Это означает, что при неисправности в одном кольце данные можно передавать по другому.

© 2007 Cisco Systems, Inc.
Построение простой сети
1-23
Полносвязная и частичносвязная топология
Такая топология схожа со звездообразной топологией. В этом разделе описаны полносвязная и частичносвязная топология.
© 200 7 Cisco Syst ems , Inc. Вс е пр ава за щищ ены.
ICND1 v1 .0—1- 16
Полносвязная топология
Высокая отказоустойчивость
Дорогостоящее внедрение
Полносвязная топология
В полносвязной топологии все устройства (или узлы) соединены друг с другом, что обеспечивает резервирование и отказоустойчивость. Внедрение полносвязной топологии дорого и сложно. Этот вид топологии наиболее устойчив к сбоям, поскольку отказ одного канала не влияет на доступность сети.

1-24
Соединение сетевых устройств Cisco, часть 1 (ICND1 v1.0)
© 2007 Cisco Systems, Inc.
© 200 7 Cisco Syst ems , Inc. Вс е пр ава за щищ ены.
ICND1 v1 .0—1- 17
Частичносвязная топология
Компромисс между отказоустойчивостью и стоимостью
Частичносвязная топология
В частичной топологии, по крайней мере, одно устройство связано со всеми другими устройствами, но полносвязная сеть не формируется. При использовании такого способа соединения можно снизить стоимость за счет того, что не все устройства связаны со всеми остальными, и проектировщик сети получает возможность выбрать, какие узлы наиболее важны, и должным образом обеспечить их взаимное соединение.

© 2007 Cisco Systems, Inc.
Построение простой сети
1-25
Подключение к сети Интернет
В этом разделе описаны обычные методы подключения к сети Интернет.
© 200 7 Cisco Syst ems , Inc. Вс е пр ава за щищ ены.
ICND1 v1 .0—1- 18
Подключение к сети Интернет
Можно использовать три стандартных способа подключения небольшого офиса и сети Интернет. DSL (Digital Subscriber Line) использует существующие телефонные линии. При кабельном подключении используется инфраструктура кабельного телевидения. Последовательные каналы используют классические цифровые последние мили. При использовании DSL и кабеля входящие линии подключаются к модему, преобразующему входящий цифровой сигнал в формат
Ethernet. При использовании последовательных каналов для этого используется каналообразующее оборудование CSU/DSU (Channel Service Unit/Data Service
Unit). Во всех трех случаях (DSL, кабель и последовательный канал) выходной сигнал Ethernet передается на маршрутизатор, который входит в оборудование абонента (CPE-Customer Permises Equipment).

1-26
Соединение сетевых устройств Cisco, часть 1 (ICND1 v1.0)
© 2007 Cisco Systems, Inc.
Резюме
В этом разделе приводится резюме основных вопросов, рассмотренных в занятии.
© 200 7 Cisco Syst ems , Inc. Вс е пр ава за щищ ены.
ICND1 v1 .0—1- 19
Резюме
Сеть – это комбинация соединенных устройств, которые могут обмениваться данными друг с другом. Сети служат для передачи данных в различных местах, включая дома, небольшие компании и крупные предприятия.
В компьютерную сеть входят физические компоненты, относящиеся к четырем основным категориям: компьютеры, линии связи, коммутаторы и маршрутизаторы.
Сети можно изображать графически с использованием набора условных обозначений.
К основным ресурсам, которые могут совместно использоваться в сети, относятся данные и приложения, периферийное оборудование, устройства хранения и устройства резервного копирования.
К наиболее распространенным сетевым пользовательским приложениям относится электронная почта, обозреватели, приложения мгновенного обмена сообщениями, совместной работы и базы данных.
Пользовательские приложения влияют на работу сети, т. к. они используют сетевые ресурсы.
© 200 7 Cisco Syst ems , Inc. Вс е пр ава за щищ ены.
ICND1 v1 .0—1- 20
Для описания сетей используются характеристики, отражающие их производительность и структуру: скорость, стоимость, безопасность, доступность, масштабируемость, надежность и топология.
Термин «физическая топология» используется для описания способа соединения физических устройств, а термин «логическая топология» относится к потокам данных в сети.
В физической шинной топологии все устройства фактически соединены одним кабелем.
В физической звездообразной топологии каждое устройство в сети подключено к центральному устройству отдельным кабелем.
При расширении звездообразной топологии к основным сетевым устройствам подключаются дополнительные сетевые устройства. Такая топология называется
«иерархической звездобразной топологией».
Резюме (прод.)

© 2007 Cisco Systems, Inc.
Построение простой сети
1-27
© 200 7 Cisco Syst ems , Inc. Вс е пр ава за щищ ены.
ICND1 v1 .0—1- 21
Резюме (прод.)
В кольцевой топологии все хосты соединены в форме кольца или окружности. В двойной кольцевой топологии формируются два кольца, которые обеспечивают резервирование.
В полносвязной топологии все устройства попарно соединены, а в частичной топологии, по крайней мере, одно устройство соединено со всеми другими устройствами.
Можно использовать три стандартных способа подключения небольшого офиса и сети Интернет: канал DSL на базе существующих телефонных линий, кабель на базе инфраструктуры кабельного телевидения и последовательные каналы на основе классических цифровых последних миль.

1-28
Соединение сетевых устройств Cisco, часть 1 (ICND1 v1.0)
© 2007 Cisco Systems, Inc.

Занятие 2
Обеспечение безопасности сети
Обзор
Насколько важно иметь строгую политику сетевой безопасности? В 2005 году
Институт компьютерной безопасности составил отчет на основе обзора «Компьютерные преступления и безопасность» за 2005 г., в котором был изложен новый взгляд на воздействие компьютерных преступлений в США. Одним из основных участников была Группа по компьютерным вторжениям Федерального бюро расследований в Сан-Франциско. Обзор составлен на основе информации, поступившей от более
700 специалистов в области компьютерной безопасности в американских корпорациях, правительственных агентствах, финансовых учреждениях, медицинских учреждениях и университетах. В нем было подтверждено, что угроза компьютерной преступности и других нарушений информационной безопасности не уменьшается, а финансовые потери растут.
Использование эффективной политики безопасности – это первое, что должны сделать организации для своей защиты. Эффективная политика безопасности является основой любых мероприятий по обеспечению безопасности сетевых ресурсов.
Задачи
По окончании этого занятия вы сможете объяснять необходимость в комплексной политике сетевой безопасности. Это значит, что вы сможете выполнять следующие задачи: объяснять, как сложные средства атаки и открытые сети повысили необходимость в сетевой безопасности и динамичных политиках безопасности; описывать задачу поиска компромисса между требованиями безопасности сети и процессами электронного бизнеса, юридическими вопросами и государственными правилами; описывать сетевых злоумышленников, мотивы хакеров и классы атак; описывать способы снижения основных угроз для маршрутизаторов и коммутаторов
Cisco.

1-30
Interconnecting Cisco Networking Devices Part 1 (ICND1) v1.0
© 2007 Cisco Systems, Inc.
Необходимость в сетевой безопасности
В этом разделе описывается, как сложные средства атаки и открытые сети повысили необходимость в сетевой безопасности и динамичных политиках безопасности.
© 200 7 Cisco Syst ems , Inc. Вс е пр ава за щищ ены.
ICND1 v1.0— 1-2
Закрытые сети
Остаются уязвимыми к атакам изнутри сети.
Проще всего защитить сеть от внешних атак, полностью закрыв ее от окружающего мира. Подключиться к закрытой сети могут только известные и проверенные пользователи и узлы. Из закрытой сети невозможно подключиться к сетям общего пользования.
В силу отсутствия внешних подключений можно считать, что сети, спроектированные таким образом, защищены от внешних атак. Однако остается опасность атаки изнутри.
По оценкам Института компьютерной безопасности в Сан-Франциско, Калифорния, от 60 до 80 процентов случаев злонамеренного использования сетей инициируются изнутри пострадавшей организации.

© 2007 Cisco Systems, Inc
Построение простой сети
1-31
© 200 7 Cisco Syst ems , Inc. Вс е пр ава за щищ ены.
ICND1 v1.0— 1-3
Открытые сети
Сегодня корпоративным сетям требуется доступ в Интернет и другие сети общего пользования. Достаточно часто корпоративные сети имеют несколько точек доступа к сетям общего пользования и другим частным сетям. Обеспечение безопасности открытых сетей крайне важно.

1-32
Interconnecting Cisco Networking Devices Part 1 (ICND1) v1.0
© 2007 Cisco Systems, Inc.
© 200 7 Cisco Syst ems , Inc. Вс е пр ава за щищ ены.
ICND1 v1.0— 1-4
Средства атак:
увеличение опасности и упрощение использования
На графике проиллюстрировано, как совершенствование хакерских средств в сочетании с упрощением их использования привело к увеличению угроз для открытых сетей.
За последние 20 лет с развитием крупных открытых сетей значительно возросли угрозы безопасности. Хакеры выявляют в сетях все больше уязвимых мест, а использование хакерских средств требует все меньше специальных навыков. Теперь можно загрузить приложения, для использования которых не нужны или почти не нужны специальные знания о взломе программ. Даже приложения, созданные для поиска и устранения неисправностей в сетях, а также для их технического обслуживания и оптимизации, в плохих руках могут использоваться с преступными намерениями и представлять серьезную угрозу.

© 2007 Cisco Systems, Inc
Построение простой сети
1-33
Разумный учет требований сетевой безопасности
В этом разделе описывается задача поиска компромисса между требованиями безопасности сети и процессами электронного бизнеса, юридическими вопросами и государственными правилами.
© 200 7 Cisco Syst ems , Inc. Вс е пр ава за щищ ены.
ICND1 v1.0— 1-5
Задачи электронного бизнеса
Расширение доступа; возрастание рисков безопасности
Основная задача безопасности состоит в поиске разумного компромисса между двумя важными требованиями: открытость сетей для поддержания растущих требований бизнеса и свободы распространения информации с одной стороны и защита конфиденциальной, личной и стратегической корпоративной информации с другой.
На первый план в процессе внедрения сетей и управления ими вышла проблема безопасности. Для выживания многих компании необходим открытый доступ к сетевым ресурсам, но при этом они должны максимально обезопасить данные и ресурсы. Рост значимости электронной коммерции и необходимость передачи конфиденциальной информации по потенциально небезопасным сетям общего пользования увеличивают потребность в разработке и внедрении общекорпоративной политики сетевой безопасности. Первым шагом на пути к созданию безопасной инфраструктуры сети должно стать создание политики сетевой безопасности.
Благодаря Интернету компании получают возможность построить более тесные взаимоотношения с клиентами, поставщиками, партнерами и сотрудниками. Электронная коммерция требует от компаний большей гибкости и конкурентоспособности. Благодаря этому создаются новые приложения для электронной коммерции, управления цепями поставок, обслуживания заказчиков, оптимизации рабочей силы и электронного обучения.
Эти приложения оптимизируют и улучшают процессы, снижают издержки, одновременно улучшая время обработки заказа и степень удовлетворенности заказчиков.

1-34
Interconnecting Cisco Networking Devices Part 1 (ICND1) v1.0
© 2007 Cisco Systems, Inc.
Когда сетевые администраторы предприятия открывают сети для большего числа пользователей и приложений, они подвергают сети большему риску. В результате растут требования к безопасности бизнеса. Фундаментальным компонентом любой стратегии электронного бизнеса должна стать безопасность.
Электронный бизнес требует создания сетей с учетом их назначения, которые могут поддержать постоянный рост числа покупателей и постоянно растущие требования к производительности и качеству работы. Кроме того, они должны обрабатывать голостовой трафик, видео и данные, так как сети имеют тенденцию к переходу на обслуживание мультисервисного окружения.

© 2007 Cisco Systems, Inc
Построение простой сети
1-35
Злоумышленники, их мотивы и классификация атак
В этом разделе описываются злоумышленники, действующие в сети, их мотивы и классы атак.
© 200 7 Cisco Syst ems , Inc. Вс е пр ава за щищ ены.
ICND1 v1.0— 1-6
Злоумышленники, их мотивы и классификация атак
Пассивные
Активные
С близкого расстояния
Внутренние
Распределенные
Разведка
Кража
Отказ в обслуживании
Затруднение работы
Соревновательные интересы
Националисты
Террористы
Преступники
Хакеры
Взломщики
Конкуренты
«Хакеры-дилетанты»
Недовольные сотрудники
Правительство
Классы атак
Мотивы
Злоумышленники
Для защиты от атак, направленных на информацию и информационные системы, организации должны определить угрозу с точки зрения следующих трех понятий.
Злоумышленники. До 1980-х годов всех людей, обладающих высоким уровнем навыков программирования, называли «хакерами». Со временем стало важно различать, используют ли программисты свои навыки ответственно или злонамеренно и преступно. Многие представители первой группы утверждают, что программистов из второй группы следует называть не хакерами, а «взломщиками», но это слово не прижилось. Добропорядочные программисты известны в сфере компьютерной безопасности как «
белые шляпы
»
(английский термин обозначает положительного героя вестерна), а программистов с преступными намерениями называют «черные шляпы». Менее опытных взломщиков
-злоумышленников часто называют «хакерами-дилетантами». К другим потенциальным злоумышленникам относятся националисты, террористы, преступники, сотрудники, недовольные действиями руководства компании, и конкуренты компании.
Преступные мотивы. Злоумышленники могут руководствоваться такими мотивами, как сбор разведывательной информации, кража интеллектуальной собственности, отказ в обслуживании (DoS), создание проблем компании или заказчикам или желание удовлетворить собственным нуждам.
Классы атак. Атаки могут принимать такие формы, как отслеживание сеансов связи, активные атаки на сети, атаки с близкого расстояния (при получении физического доступа), атаки изнутри сети и распределенные атаки посредством удаленного доступа.

1-36
Interconnecting Cisco Networking Devices Part 1 (ICND1) v1.0
© 2007 Cisco Systems, Inc.
Информационные системы и сети являются привлекательными целями, поэтому они должны быть защищены от атак со стороны всех возможных злоумышленников, от хакеров до националистов. В системе должны быть предусмотрены средства ограничения ущерба и быстрого восстановления в случае атаки.
Классы атак
Можно выделить пять классов атак.
Пассивная. К пассивным атакам относится анализ трафика, отслеживание незащищенных сеансов обмена данными, расшифровка плохо зашифрованного трафика и перехват данных аутентификации (например, паролей). Пассивный перехват сетевых операций позволяет злоумышленникам спланировать будущие действия. Пассивные атаки позволяют злоумышленнику получить доступ к информации или файлам данных незаметно для пользователя или без его согласия.
Примеры таких атак: раскрытие личной информации ( номер кредитной карты или данные о состоянии здоровья).
Активная. К активным атакам относятся попытки обойти или нарушить средства защиты, внедрить злонамеренный программный код, украсть или изменить информацию. Эти атаки нацелены на магистраль сети, они включают расшифровку информации в процессе ее передачи, электронное проникновение в закрытые области или атаку на авторизированного удаленного пользователя, когда он пытается подключиться к закрытой области. Активные атаки приводят к раскрытию и распространению файлов данных, отказу в обслуживанию или модификации данных.
С близкого расстояния. При атаках с близкого расстояния группа лиц находится в непосредственной близости от сетей, систем или технических средств с целью изменения и сбора информации, либо для провокации отказа в доступе к информации. Непосредственная физическая близость к сети достигается путем тайного проникновения в сеть, открытого доступа или сочетания обоих методов.
Внутренняя. Внутренние атаки могут быть злонамеренными или случайными.
Злонамеренные внутренние пользователи намеренно перехватывают, воруют или повреждают информацию, используют информацию с целью мошенничества или отказывают в доступе другим авторизированным пользователям. Случайные атаки обычно являются результатом беспечности, отсутствия знаний или намеренного обхода системы безопасности для выполнения задания.
Распределенная. Распределенные атаки нацелены на злонамеренную модификацию аппаратного или программного обеспечения во время производства и распространения.
Во время таких атак злонамеренный программный код (черный ход) внедряется в продукт для получения неавторизованного доступа к информации или функциям системы на будущее.

© 2007 Cisco Systems, Inc
Построение простой сети
1-37
Уменьшение основных угроз
Часто угрозу безопасности сети представляет неверная или неполная установка сетевых устройств, причем эта угроза часто оставляется без внимания и приводит к печальным последствиям. Невозможно предотвратить преднамеренное или даже случайное повреждение сети в результате плохо проведенной установки только программными средствами безопасности. В этом разделе описано, как можно уменьшить общие угрозы безопасности для маршрутизаторов и коммутаторов Cisco.
© 200 7 Cisco Syst ems , Inc. Вс е пр ава за щищ ены.
ICND1 v1.0— 1-7
Типовые угрозы
Для физических устройств
–
Угрозы для аппаратного обеспечения
–
Угрозы со стороны окружающей среды
–
Электрические угрозы
–
Эксплуатационные угрозы
Разведка: получение информации о конкретной сети с использованием доступной информации и приложений
С целью получения доступа: атака на сети или системы по следующим мотивам:
–
Получение данных
–
Получение доступа
–
Расширение привилегий доступа
Атака путем подбора пароля: хакеры используют различные инструменты для взлома паролей
Физические устройства
Следующие угрозы считаются физическими:
Угрозы аппаратного обеспечения. Это угрозы физического повреждения аппаратной части маршрутизатора или коммутатора. Сетевое оборудование
Cisco, предназначенное для решения ответственных задач, следует располагать в коммутационных отсеках или в компьютерных залах, соответствующих следующим минимальным требованиям.
—
Помещение должно запираться, и доступ к нему должен иметь только уполномоченный персонал.
—
К помещению не должно быть доступа через подвесной потолок, фальшпол, окна, воздуховоды или любую другую точку, кроме защищенного входа.
—
По возможности используйте электронный контроль доступа, причем все попытки входа должны заноситься системой безопасности в журнал и отслеживаться службой безопасности.
—
По возможности сотрудники службы безопасности должны контролировать происходящее в помещении с использованием камер слежения с автоматической записью.

1-38
Interconnecting Cisco Networking Devices Part 1 (ICND1) v1.0
© 2007 Cisco Systems, Inc.
Угрозы со стороны окружающей среды. К ним относятся такие угрозы, как предельные температуры (слишком высокие или слишком низкие) или крайние значения влажности (слишком низкая или слишком высокая). Для предотвращения повреждения сетевых устройств Cisco по условиям окружающей среды предпримите следующие шаги.
—
Установите в помещении надежную систему контроля температуры и влажности. Всегда проверяйте рекомендуемые параметры окружающей среды для всего сетевого оборудования Cisco в документации по изделию, поставляемой в комплекте с ним.
—
Удалите из помещения все источники электростатических и магнитных помех.
—
По возможности дистанционно отслеживайте параметры окружающей среды в помещении и предусмотрите подачу предупреждающего сигнала.
Электрические угрозы. К ним относятся такие угрозы как всплески напряжения, недостаточное напряжение в сети (провалы напряжения), колебания напряжения
(шум) и полное отключение питания. Проблемы электропитания можно свести к минимуму, выполняя следующие рекомендации.
—
Установите системы бесперебойного питания для критически важных сетевых устройств Cisco.
—
Установите аварийный генератор электрического тока для критически важного оборудования.
—
Планируйте и выполняйте регулярные процедуры тестирования и технического обслуживания систем бесперебойного питания и генераторов с учетом предложенного производителем расписания профилактического обслуживания.
—
Установите для важных устройств избыточные системы электропитания.
—
Отслеживайте все параметры, связанные с электропитанием, на уровне источника питания и на уровне устройства, и предусмотрите подачу предупреждающего сигнала.
Эксплуатационные угрозы. К эксплуатационным угрозам относится неправильное обращение с основными электронными компонентами, отсутствие важных запасных частей, плохая прокладка кабеля, небрежная маркировка и т. д. Эксплуатационные угрозы образуют большую группу, которая охватывает множество ситуаций.
Для предотвращения эксплуатационных угроз выполняйте общие правила, перечисленные ниже.
—
Все кабели оборудования должны иметь четкую маркировку и крепиться на стойках с оборудованием для предотвращения случайного повреждения, отключения или нештатного прерывания.
—
Используйте кабелепроводы и направляющие для прокладки кабеля между стойкой и потолком или между стойками.
—
При замене внутренних компонентов маршрутизаторов и коммутаторов или при работе с ними всегда следуйте процедурам по предотвращению электростатического разряда.
—
Храните запас важных запчастей для аварийных ситуаций.
—
Не оставляйте консоль, если она подключена к любому консольному порту и зарегистрирована на нем. Покидая станцию, всегда выполняйте выход из интерфейса администратора.

© 2007 Cisco Systems, Inc
Построение простой сети
1-39
—
Помните, что закрытость помещений не может быть единственной необходимой защитой устройств. Всегда помните, что ни одна комната не может обеспечить полную безопасность. Когда злоумышленники окажутся в защищенном помещении, ничто не сможет помешать им подключить терминал к консольному порту маршрутизатора или коммутатора Cisco.
Разведка
Разведка – это неавторизированное исследование и составление схемы систем, служб или уязвимых мест. Разведка также известна как сбор информации и в большинстве случаев предшествует фактической атаке доступа или DoS-атаке. Обычно злоумышленник сначала проводит эхо-тестирование сети для определения действующих IP-адресов. Затем он определяет какие службы или порты активны на этих действующих IP-адресах. На основе этой информации злоумышленник посылает запрос на порты для определения типа и версии приложения и операционной системы, установленных на целевом хосте.
Разведка в какой-то степени аналогична тому, как воры исследуют район и ищут наиболее уязвимые дома (например, дома без жильцов или дома, в которых можно легко открыть дверь или окно). Во многих случаях злоумышленники ищут уязвимые службы, которые можно использовать в своих целях позднее, когда вероятность незамеченной атаки повысится.
Получение доступа
При проведении атак с целью получения доступа используются известные уязвимые места в службах аутентификации, службах FTP и сетевых службах для получения доступа к учетным записям в сети, конфиденциальным базам данных и другой защищаемой информации.
Атаки подбором пароля
«Атакой подбора пароля» называют многократные попытки вычислить учетную запись пользователя, пароль или то и другое. Эти многократные попытки называются
«переборным криптоанализом». Атаки подбором пароля также осуществляются с использованием других методов, например, программ типа «троянский конь», фальсификации IP-адреса и анализа пакетов.
Риск нарушения безопасности возникает, когда пароли хранятся в незашифрованном виде.
Для устранения рисков необходимо шифровать пароли. В большинстве систем пароли обрабатываются алгоритмом шифрования, в результате чего для паролей генерируется односторонняя хэш-функция. Из одностороннего хэша невозможно получить исходный текст. Большинство систем не дешифруют сохраненный пароль во время аутентификации: они хранят одностороннюю хэш-функцию. При входе в систему вводится учетная запись и пароль, и алгоритм шифрования пароля генерирует одностороннюю хэш-функцию.
Алгоритм сравнивает эту хэш-функцию с хэш-функцией, сохраненной в системе. Если они совпадают, алгоритм делает вывод, что пользователь ввел правильный пароль.
Помните, что при обработке пароля этим алгоритмом получается хэш пароля. Хэш это не зашифрованный пароль, а результат работы алгоритма. Преимущество хэша заключается в том, что значение хэша можно восстановить только при наличии сведений об исходном пользователе и пароле, а получение исходной информации из хэша невозможно. Это преимущество делает использование хэшей идеальным для хранения паролей. При выполнении авторизации сравниваются и вычисляются не пароли, а их хэши.

1-40
Interconnecting Cisco Networking Devices Part 1 (ICND1) v1.0
© 2007 Cisco Systems, Inc.
© 200 7 Cisco Syst ems , Inc. Вс е пр ава за щищ ены.
ICND1 v1.0— 1-8
Снижение угрозы атаки подбора пароля
Ниже приведены методы уменьшения воздействия атак подбора пароля:
Не позволяйте пользователям применять один пароль в разных системах.
Отключайте учетные записи после определенного числа неудавшихся попыток входа в систему.
Не используйте незашифрованные пароли.
Используйте «сильные» пароли (например, «mY8!Rthd8y»
вместо «mybirthday»).
Для уменьшения угроз атак с подбором пароля можно использовать следующие рекомендации.
Не позволяйте пользователям применять одинаковый пароль в разных системах.
Большинство пользователей применяет один пароль для доступа ко всем системам, включая личные системы.
Отключайте учетные записи после некоторого числа неудавшихся попыток входа в систему. Это помогает предотвратить попытки подбора пароля.
Не используйте незашифрованные пароли. Используйте либо одноразовые пароли, либо зашифрованные пароли.
Используйте «сильные» пароли. Сильные пароли состоят по меньшей мере из восьми символов и содержат заглавные и прописные буквы, цифры и специальные символы.
Многие современные системы время поддерживают сильные пароли и могут потребовать от пользователя использования только такого пароля.

© 2007 Cisco Systems, Inc
Построение простой сети
1-41
Резюме
В этом разделе приводится резюме основных вопросов, рассмотренных в занятии.
© 200 7 Cisco Syst ems , Inc. Вс е пр ава за щищ ены.
ICND1 v1.0— 1-9
Резюме
Из-за применения сложных средств атаки и роста открытых сетей растет потребность в политиках и инфраструктуре сетевой безопасности, защищающих организации от атак как извне, так и изнутри.
Организации должны найти компромисс между требованиями безопасности сети и процессами электронного бизнеса, юридическими вопросами и государственными правилами.
Первым шагом на пути к созданию безопасной инфраструктуры сети является создание политики сетевой безопасности.
Сетевые атаки могут осуществляться разнообразными злоумышленниками, которые руководствуются разными мотивами.
© 200 7 Cisco Syst ems , Inc. Вс е пр ава за щищ ены.
ICND1 v1 .0—1- 10
Резюме (прод.)
Очень важно обеспечить безопасность физических устройств корпоративной сети.
Существуют способы уменьшения воздействия от атак подбора пароля.
–
Введите ограничения на использование паролей.
–
Отключайте учетные записи после неудачных попыток входа в систему.
–
Используйте только «сильные» зашифрованные пароли.

1-42
Interconnecting Cisco Networking Devices Part 1 (ICND1) v1.0
© 2007 Cisco Systems, Inc.
Справочные материалы
См. дополнительные сведения в следующих источниках.
Большая часть материалов занятия взята из легко доступных документов, предоставляемыми многими правительственными агентствами. Форум по техническому обеспечению доступности, целостности и безопасности информации
(IATFF) – это пропагандистская инициатива, финансируемая Агентством национальной безопасности и созданная для диалога, нацеленного на поиск решения проблем доступности, целостности и безопасности информации.
Веб-сайт форума IATFF находится по адресу http://www.iatf.net

Занятие 3
Общие сведения о модели обмена данными между хостами
Обзор
Эталонная модель взаимодействия открытых систем (OSI) была создана, чтобы определить общий принцип работы сетевых процессов, включая различные компоненты сети и передачу данных. Для понимания обмена данными между хостами, необходимо представление о структуре и назначении модели OSI.
В этом занятии представлена модель OSI и описаны все ее уровни.
Задачи
По окончании этого занятия вы сможете описывать уровни модели OSI и классифицировать устройства и их функции по уровням модели OSI.
Это значит, что вы сможете выполнять следующие задачи: перечислять требования к модели обмена данными между хостами; определять назначение эталонной модели OSI; описывать характеристики, функции и назначение каждого уровня модели OSI; описывать процесс инкапсуляции и деинкапсуляции; описывать обмен данными между одноранговыми узлами; формулировать назначение и функции стека протоколов TCP/IP в процессе обмена данными.

1-44
Interconnecting Cisco Networking Devices Part 1 (ICND1) v1.0
© 2007 Cisco Systems, Inc.
Общие сведения об обмене данными между хостами
Для обмена данными между хостами необходима согласованная модель.
Эта модель должна учитывать аппаратное и программное обеспечение, а также передачу данных. В этом разделе описано назначение этой модели.
© 200 7 Cisco Syst ems , Inc. Вс е пр ава за щищ ены.
ICND1 v1.0— 1-2
Общие сведения об обмене данными между хостами
Устаревшая модель
–
Собственная, несовместимая с др. разработчиками
–
Приложения и системы контролируются одним поставщиком
Модель, основанная на стандартах
–
Программное обеспечение и компоненты разных поставщиков совместимы между собой
–
Многоуровневый подход
На ранних этапах развитие сетей во многом шло хаотично. Первые модели обмена данными между хостами были собственностью поставщика, причем каждый поставщик контролировал свои собственные приложения и программное обеспечение для обмена данными. Приложение, созданное одним поставщиком, не функционировало в сети, разработанной другим.
Потребности бизнеса и развитие технологий подтолкнули к появлению решений с компонентами от разных поставщиков. Первым шагом было разграничение прикладного программного обеспечения и программного обеспечения для обмена данными. Это позволило внедрять новые технологии обмена данными, не создавая новые приложения, но все равно нужно было использовать программное обеспечение для обмена данными и аппаратное обеспечение от одного поставщика.
Стало очевидно, что для использования программного обеспечения обмена данными и аппаратного обеспечения от разных поставщиков необходим многоуровневый подход с четко определенными правилами взаимодействия между уровнями. В многоуровневой модели одни поставщики аппаратного обеспечения могут проектировать аппаратное и программное обеспечение для поддержки новых аппаратных технологий (например, Ethernet, Token Ring, Frame
Relay и т. д.), а другие поставщики могут создавать программное обеспечение для сетевых операционных систем, управляющих обменом данными между хостами.

© 2007 Cisco Systems, Inc.
Построение простой сети
1-45
Эталонная модель OSI
Эталонная модель OSI описывает передачу данных по сети. Эта модель описывает аппаратное и программное обеспечение, а также передачу данных.
В этом разделе описано назначение модели OSI.
© 200 7 Cisco Syst ems , Inc. Вс е пр ава за щищ ены.
ICND1 v1.0— 1-3