Вы находитесь на странице: 1из 383

ICND1

Interconnecting Cisco Networking Devices Part 1

Том 1

Версия 1.0

Руководство для студента

Номер текста по каталогу: 97-2504-01

ОТКАЗ ОТ ГАРАНТИЙ: СОДЕРЖИМОЕ ДАННОГО ДОКУМЕНТА ПРЕДСТАВЛЕНО НА

ОТКАЗ ОТ ГАРАНТИЙ: СОДЕРЖИМОЕ ДАННОГО ДОКУМЕНТА ПРЕДСТАВЛЕНО НА УСЛОВИЯХ «КАК ЕСТЬ». КОМПАНИЯ CISCO НЕ ДАЕТ И ВЫ НЕ ПОЛУЧАЕТЕ НИКАКИХ ДОГОВОРНЫХ, ПОДРАЗУМЕВАЕМЫХ И УСТАНОВЛЕННЫХ ЗАКОНОМ ГАРАНТИЙ В СВЯЗИ С СОДЕРЖИМЫМ ДАННОГО ДОКУМЕНТА, ЛЮБЫМИ ПОЛОЖЕНИЯМИ ЭТОГО ДОКУМЕНТА И ОБМЕНОМ СООБЩЕНИЯМИ МЕЖДУ ВАМИ И КОМПАНИЕЙ CISCO. В ЧАСТНОСТИ CISCO ОТКАЗЫВАЕТСЯ ОТ ВСЕХ ПОДРАЗУМЕВАЕМЫХ ГАРАНТИЙ, ВКЛЮЧАЯ ГАРАНТИИ КОММЕРЧЕСКОЙ ЦЕННОСТИ, СООТВЕТСТВИЯ ЗАКОНОДАТЕЛЬСТВУ И ПРИГОДНОСТИ ДЛЯ КОНКРЕТНОЙ ЦЕЛИ, А ТАКЖЕ ОТ ГАРАНТИЙ, СЛЕДУЮЩИХ ИЗ СТАНДАРТНОЙ ПРАКТИКИ ЗАКЛЮЧЕНИЯ СДЕЛОК, ИСПОЛЬЗОВАНИЕ ИЛИ ТОРГОВЛИ. Этот обучающий продукт может включать содержимое из ранних версий и, хотя компания Cisco считает его точным, такое содержимое подчиняется вышеизложенным условиям отказа от гарантий.

Содержание

Том 1 Введение в курс

1

Обзор Навыки и знания слушателей Цели и задачи курса Программа курса Дополнительные справочные материалы Глоссарий терминов Cisco План подготовки специалистов План курсов для подготовки специалистов Структура услуг Lifecycle Services Подход Cisco Lifecycle Services

1

1

2

4

5

5

6

7

8

10

Построение простой сети

1-1

Обзор

1-1

Задачи модуля

1-1

Обзор функций сети

1-3

Обзор

1-3

Задачи

1-3

Что такое сеть?

1-4

Стандартные физические компоненты сети

1-6

Интерпретация схемы сети

1-7

Функции и преимущества совместного использования ресурсов

1-8

Пользовательские сетевые приложения

1-10

Влияние пользовательских приложений на работу сети

1-12

Характеристики сети

1-14

Сравнение физической и логической топологии

1-16

Физические топологии

1-16

Логические топологии

1-17

Шинная топология

1-18

Звездообразная и иерархическая звездообразная топологии

1-19

Звездообразная топология

1-19

Иерархическая звездообразная топология

1-20

Кольцевые топологии

1-21

Одиночная кольцевая топология

1-21

Двойная кольцевая топология

1-22

Полносвязная и частичносвязная топология

1-23

Полносвязная топология

1-23

Частичносвязная ячеистая топология

1-24

Подключение к сети Интернет

1-25

Резюме

1-26

Обеспечение безопасности сети

1-29

Обзор

1-29

Задачи

1-29

Необходимость в сетевой безопасности

1-30

Разумный учет требований сетевой безопасности

1-33

Злоумышленники, их мотивы и классификация атак

1-35

Классы атак

1-36

Уменьшение основных угроз

1-37

Физические устройства

1-37

Разведка

1-39

Получение доступа

1-39

Атаки подбором пароля

1-39

Резюме

1-41

Справочные материалы

1-42

Общие сведения о модели обмена данными между хостами

1-43

Обзор

1-43

Задачи

1-43

Общие сведения об обмене данными между хостами

1-44

Эталонная модель OSI

1-45

Уровни модели OSI и их функции

1-47

Уровень 1: физический уровень

1-47

Уровень 2: канальный уровень

1-48

Уровень 3: сетевой уровень

1-49

Уровень 4: транспортный уровень

1-50

Уровень 5: сеансовый уровень

1-51

Уровень 6: представительский уровень

1-52

Уровень 7: прикладной уровень

1-53

Инкапсуляция и деинкапсуляция

1-54

Инкапсуляция

1-54

Пример: передача посылки по почте

1-55

Деинкапсуляция

1-56

Пример: получение посылки

1-56

Обмен данными между узлами

1-57

Семейство протоколов TCP/IP

1-59

Резюме

1-62

Общие сведения об уровне Интернета стека протоколов TCP/IP

1-65

Обзор

1-65

Задачи

1-65

Протокол Интернета

1-67

Пример: доставка письма по почте

1-68

IP-адресация

1-69

Поля протокола IP

1-70

Классы IP-адресов

1-72

Класс A

1-72

Класс B

1-72

Класс C

1-73

Зарезервированные IP-адреса

1-74

Фдрес сети

1-74

Направленный широковещательный адрес

1-74

Локальный широковещательный адрес

1-75

Локальный адрес обратной связи

1-75

Автоконфигурация IP-адресов

1-75

Идентификатор сети

1-75

Идентификатор хоста

1-75

Общедоступные и частные IP-адреса

1-76

Общедоступные IP-адреса

1-76

Частные IP-адреса

1-77

Протокол DHCP (Dynamic Host Configuration Protocol)

1-78

Система доменных имен (DNS)

1-79

Использование стандартных инструментов для определения IP-адреса хоста

1-80

Резюме

1-83

Общие сведения о транспортном уровне стека протоколов TCP/IP

1-85

Обзор

1-85

Задачи

1-86

Функции транспортного протокола

1-87

Пример: UDP — отправка обычной почты

1-87

Пример: TCP — отправка по почте с уведомлением

1-88

Мультиплексирование сеансов

1-88

Сегментация

1-89

Управление потоком

1-89

Транспортный протокол с установлением соединения

1-89

Надежность (гарантия доставки)

1-89

Сравнение режимов надежной и негарантированной доставки

1-90

Режим надежной доставки (с установлением соединения)

1-90

Режим негарантированной доставки (без установления соединения)

1-90

Протокол UDP

1-91

Пример: рассылка рекламных листков

1-92

Протокол TCP

1-93

Пример: отправка по почте с уведомлением о получении

1-94

Заголовок TCP сегмента

1-95

Приложения TCP/IP

1-96

Сопоставление уровня 3 с уровнем 4

1-97

Сопоставление уровня 4 с приложениями

1-98

Приложения протокола UDP

1-99

Приложения протокола TCP

1-99

Хорошо-известные порты

1-99

Зарегистрированные порты

1-99

Динамические порты

1-99

Установление соединения с удаленной системой

1-100

Трехстороннее квитирование

1-101

Управление потоком

1-102

Подтверждение

1-103

Концепция размера окна

1-103

Подтверждение TCP

1-104

Концепция размера окна

1-106

Фиксированный размер окна

1-106

Пример: бросок мяча

1-107

Скользящий размер окна в протоколе TCP

1-108

Увеличение пропускной способности

1-109

Глобальная синхронизация

1-109

Номер последовательности и номер подтверждения в протоколе TCP

1-110

Резюме

1-111

Изучение процесса доставки пакетов

1-113

Обзор

1-113

Задачи

1-113

Устройства уровня 1 и их функция

1-114

Устройства уровня 2 и их функция

1-115

Адресация на уровне 2

1-116

Устройства уровня 3 и их функция

1-117

Адресация на уровне 3

1-118

Сопоставление адресации уровня 2 и уровня 3

1-119

Таблица ARP

1-120

Передача пакетов данных между хостами

1-121

Назначение шлюза по умолчанию

134

Использование стандартных средств хоста для определения пути между двумя хостами в сети

1-135

Резюме

1-139

Общие сведения об Ethernet

1-141

Обзор

1-141

Задачи

1-141

Определение локальной сети

1-142

Примеры: локальные сети малого офиса и крупного предприятия

1-142

Компоненты локальной сети

1-143

Функции локальной сети

1-145

Каков размер локальной сети?

1-146

Ethernet

1-147

Стандарты локальной сети Ethernet

1-148

Подуровень LLC

1-148

Подуровень MAC

1-148

Роль CSMA/CD в Ethernet

1-149

Кадры Ethernet

1-151

Адресация кадров Ethernet

1-153

Адреса Ethernet

1-154

MAC-адреса и двоичные и шестнадцатеричные числа

1-155

Резюме

1-156

Подключение к локальной сети Ethernet

1-159

Обзор

1-159

Задачи

1-159

Сетевые адаптеры Ethernet

1-160

Среда передачи Ethernet и требования к соединению

1-161

Соединители

1-162

Внедрение кабеля UTP

1-167

Резюме

1-173

Резюме модуля

1-175

Справочные материалы

1-176

Вопросы для самопроверки по модулю

1-175

Ответы на вопросы для самопроверки по модулю

1-186

ЛВС Ethernet

2-1

Обзор

2-1

Задачи модуля

2-1

Общие сведения о проблемах разделяемых локальных сетей

2-3

Обзор

2-3

Задачи

2-3

Сегменты ЛВС Ethernet

2-4

Увеличение длины сегмента ЛВС

2-6

Коллизии

2-7

Домены коллизий

2-8

Резюме

2-9

Решение проблем сети путем применения технологии коммутируемых ЛВС

2-11

Обзор

2-11

Задачи

2-11

Стандартные причины возникновения перегрузки в сети

2-12

Мосты – раннее решение проблемы перегрузки сети

2-13

Коммутаторы

2-14

Сравнение коммутаторов и мостов

2-16

Как коммутаторы сегментируют сеть Ethernet

2-18

Коммутация в действии

2-19

Использование технологии коммутируемых ЛВС

2-20

Резюме

2-22

Изучение процесса доставки пакетов данных

2-25

Обзор

2-25

Задачи

2-25

Адресация уровня 2

2-26

Адресация уровня 3

2-27

Доставка пакетов от хоста к хосту

2-28

Резюме

2-35

Работа с программным обеспечением Cisco IOS

2-37

Обзор

2-37

Задачи

2-37

Функции и возможности программного обеспечения Cisco IOS

2-38

Настройка сетевых устройств

2-39

Внешние источники конфигурации

2-41

Функции интерфейса командной строки Cisco IOS

2-43

Вход в режимы EXEC

2-44

Справка интерфейса командной строки

2-46

Расширенные команды редактирования

2-50

Журнал команд

2-53

Резюме

2-56

Запуск коммутатора

2-57

Обзор

2-57

Задачи

2-57

Запуск коммутатора Catalyst

2-58

Светодиодные индикаторы коммутатора

2-59

Отображение вывода начальной загрузки коммутатора

2-61

Вход в систему коммутатора

2-65

Настройка коммутатора из командной строки

2-66

Вывод состояния первого запуска коммутатора

2-71

Управление таблицами МАС-адресов

2-74

Резюме

2-75

Общие сведения о безопасности коммутатора

2-77

Обзор

2-77

Задачи

2-77

Физические угрозы и угрозы со стороны окружающей среды

2-78

Настройка защиты паролем

2-79

Настройка баннера входа

2-81

Сравнение доступа через Telnet и SSH

2-82

Настройка безопасности порта

2-84

Защита неиспользуемых портов

2-88

Резюме

2-90

Максимизация преимуществ коммутации

2-91

Обзор

2-91

Задачи

2-91

Микросегментация

2-92

Пример: получение выделенного въезда на автомагистраль

2-92

Дуплексная связь

2-93

Полнодуплексная система связи

2-94

Пример: диалог

2-94

Конфигурация дуплексного интерфейса

2-95

Пример: вывод параметров дуплексной связи

2-96

Потребность в средах разной скорости в корпоративных сетях

2-97

Физическое резервирование в ЛВС Ethernet

2-98

Пример: петли в коммутируемой сети

2-99

Решение проблемы петель с помощью протокола STP

2-100

Резюме

2-101

Решение проблем, связанных с коммутаторами

2-103

Обзор

2-103

Задачи

2-103

Использование многоуровневого подхода

2-104

Выявление и устранение проблем среды передачи данных

2-105

Выявление и устранение типовых проблем доступа к портам

2-110

Выявление и устранение типовых проблем конфигурации

2-112

Резюме

2-113

Резюме модуля

2-115

Вопросы для самопроверки по модулю

2-116

Ответы на вопросы для самопроверки по модулю

2-125

Беспроводные ЛВС

3-1

Обзор

3-1

Задачи модуля

3-1

Изучение беспроводной сети

3-3

Обзор

3-3

Задачи

3-3

Бизнес-требования для служб беспроводной локальной сети

3-4

РЧ-передача

3-7

Организации, определяющие беспроводные ЛВС

3-8

Беспроводные абонентские линии, разрешенные ITU-R и FCC

3-9

Сравнение стандартов 802.11

3-11

Сертификация Wi-Fi

3-13

Резюме

3-14

Общие сведения о безопасности беспроводных ЛВС

3-15

Обзор

3-15

Задачи

3-15

Угрозы безопасности беспроводных локальных сетей

3-16

Уменьшение угроз безопасности

3-18

Эволюция безопасности беспроводных сетей

3-19

Привязка беспроводного клиента

3-21

Применение 802.1X в беспроводных локальных сетях

3-22

Режимы WPA и WPA2

3-23

Корпоративный режим

3-23

Персональный режим

3-23

Резюме

3-24

Внедрение беспроводной локальной сети

3-25

Обзор

3-25

Задачи

3-25

Конструктивные элементы топологии 802.11

3-26

Беспроводная топология BSA

3-28

Скорости передачи данных для различных беспроводных топологий

3-30

Настройка точки доступа

3-31

Этапы внедрения беспроводной сети

3-33

Беспроводные клиенты

3-34

Устранение неполадок беспроводного доступа

3-36

Резюме

3-38

Резюме модуля

3-39

Вопросы для самопроверки по модулю

3-40

Ответы на вопросы для самопроверки по модулю

3-44

ICND1

Введение в курс

Обзор

«Что необходимо знать для поддержания работоспособности сети?» Ответ на этот вопрос зависит от размера и уровня сложности вашей сети. К счастью, начальный этап обучения поддержке сети не зависит ни от ее размера, ни от степени сложности. Этот курс и должен стать этим начальным этапом. Он нацелен на выработку навыков и получение знаний, необходимых для внедрения небольших коммутируемых и маршрутизируемых сетей.

Навыки и знания слушателей

В этом разделе перечисляются навыки и знания, которыми слушатели должны обладать, чтобы извлечь максимальную пользу из этого курса. Кроме того, здесь приводятся рекомендуемые предложения Cisco по обучению, которые слушатели должны пройти, чтобы получить максимум от этого курса.

Навыки и знания слушателей

Основы компьютерной грамотности Основные навыки работы в ОС Windows

Основные навыки использования сети Интернет Базовые навыки работы с электронной почтой

© 200 7 Cisco Syst ems , Inc. Вс е пр ава за щищ ены.

ICND1 v1 .0—3

Цели и задачи курса

В этом разделе описываются цели и задачи курса.

Цель курса

«Предоставить знания и навыки, необходимые для установки и эксплуатации небольшой сети, а также поиска и устранения неисправностей в ней»

Interconnecting Cisco Networking Devices Part 1

© 200 7 Cisco Syst ems , Inc. Вс е пр ава за щищ ены.

ICND1 v1 .0—4

По окончании этого курса вы будете способны выполнить следующие задачи:

описывать работу сетей, выделять основные компоненты, функции компонентов сети и понимать эталонную модель OSI;

используя процесс доставки пакетов данных между хостами, описывать проблемы, связанные с увеличением трафика в локальной сети Ethernet, и применять технологии коммутации для решения проблем сетей Ethernet;

описывать причины, по которым необходимо расширение области функционирования локальных сетей, и объяснять конкретные способы, основанные на беспроводном РЧ-доступе;

описывать причины, по которым необходимо соединение сетей с использованием маршрутизаторов, и методы передачи данных в маршрутизируемых сетях на основе протокола TCP/IP;

описывать функции и основные устройства РВС (WAN), настраивать инкапсуляцию PPP, статическую и динамическую маршрутизацию, настраивать преобразование PAT и маршрутизацию RIP;

использовать интерфейс командной строки (CLI) для обнаружения соседних узлов в сети, а также для управления запуском и выполнения настройки маршрутизатора.

Общее администрирование курса

Организация учебного процесса

Листок регистрации Время и расписание занятий

Расположение столовых и комнат отдыха

Одежда

© 200 7 Cisco Syst ems , Inc. Вс е пр ава за щищ ены.

Вопросы, связанные с помещением

Материалы курса

Действия в чрезвычайной ситуации

Комнаты отдыха

Телефоны и факсы

ICND1 v1 .0—5

Инструктор обсудит эти организационные вопросы, чтобы дать слушателям представление о том, чего им следует ждать от курса:

процесс регистрации;

время начала и примерное время окончания каждого учебного дня;

перерывы между занятиями и перерыв на обед;

одежда, пригодная для курса;

материалы, которые слушатели получат во время обучения;

действия в чрезвычайной ситуации;

расположение комнат отдыха;

отправление и получение телефонных и факсимильных сообщений.

Программа курса

В этом разделе представлена рекомендуемая последовательность освоения материалов курса.

A

M

P

M

Программа курса

День 1

День 2

День 3

 

День 4

День 5

Введение

в курс

Модуль 2

Локальные

Модуль 4

Подключения

Модуль 5

Подключение

Модуль 6

Управление

Модуль 1

сети Ethernet

к ЛВС

к

РВС (WAN)

сетевым

Построение

окружением

простой сети

 
   

Обед

   
 

Модуль 2

     

Модуль 1

Построение

ЛВС Ethernet

Модуль 4

Подключения

Модуль 5

Подключение

Обобщающая

лабораторная

простой сети

Модуль 3

к ЛВС

к

РВС (WAN)

работа

Беспроводные

 

ЛВС

© 200 7 Cisco Syst ems , Inc. Вс е пр ава за щищ ены.

ICND1 v1 .0—6

Этот график отражает рекомендуемую структуру курса. Эта структура дает достаточно времени, чтобы инструктор мог донести информацию курса до вас, и чтобы вы могли выполнить лабораторные упражнения. Точное время тематических занятий и лабораторных работ зависит от ритма, в котором работает ваш класс.

Дополнительные справочные материалы

В этом разделе представлены значки и символы Cisco, используемые в этом курсе, а также сведения о том, где найти дополнительные технические материалы.

Условные обозначения Cisco

Условные обозначения Cisco Маршрут Беспроводной изатор

Маршрут

Беспроводной

изатор

маршрутизатор

Защищенный

маршрутизатор

Брандмауэр

Домашний офис

Брандмауэр Домашний офис Коммутатор Точка IP-телефон

Коммутатор

Точка

IP-телефон

Телефон

Небольшая

рабочей

доступа

с доступом

компания

группы

для мобильных

пользователей

для мобильных пользователей Беспроводное подключение © 200 7

Беспроводное

подключение

© 200 7 Cisco Syst ems , Inc. Вс е пр ава за щищ ены.

Syst ems , Inc. Вс е пр ава за щищ ены. Линия: последовательная Линия:

Линия: последовательная

Линия: Ethernet

ICND1 v1 .0—7

Глоссарий терминов Cisco

Дополнительные сведения о терминологии Cisco см. в глоссарии сетевых терминов и аббревиатур Cisco по адресу http://www.cisco.com/univercd/cc/td/doc/cisintwk/ita/index.htm.

План подготовки специалистов

В этом разделе представлен план подготовки специалистов.

Профессиональная сертификация Cisco

Сертификация Cisco www.cisco.com/go/certifications
Сертификация Cisco
www.cisco.com/go/certifications

© 200 7 Cisco Syst ems , Inc. Вс е пр ава за щищ ены.

ICND1 v1 .0—8

Мы предлагаем вам присоединиться к сообществу сертификации Cisco, форум открыт для всех владельцев профессиональных сертификатов Cisco (таких как Cisco CCIE ® , CCNA ® , CCDA ® , CCNP ® , CCDP ® , CCIP ® , CCVP™ или CCSP ® ). Форум представляет собой место встречи для сертифицированных профессионалов Cisco, где они могут обмениваться вопросами, предложениями и сведениями по программам профессиональной сертификации Cisco и другим темам, связанным с сертификацией. Дополнительные сведения см. по адресу www.cisco.com/go/certifications.

План курсов для подготовки специалистов

Профессиональная сертификация Cisco

Расширение профессиональных навыков и развитие карьеры

Expert CCIE Professional CCNP Associate CCNA CCENT Entry Technician
Expert
CCIE
Professional
CCNP
Associate
CCNA
CCENT
Entry Technician

Cisco Certified Network Associate

Рекомендуется подготовка в организациях- партнерах Cisco по обучению

Interconnecting Cisco Networking Devices Part 1

Interconnecting Cisco Networking Devices Part 2

Cisco Certified Entry Network Technician

www.cisco.com/go/certifications

Рекомендуется подготовка в организациях- партнерах Cisco по обучению

Interconnecting Cisco Networking Devices Part 1

© 200 7 Cisco Syst ems , Inc. Вс е пр ава за щищ ены.

ICND1 v1 .0—9

Дополнительные сведения о сертификации см. по адресу http://www.cisco.com/go/certifications.

Центр подготовки CCNA

Центр подготовки CCNA www.cisco.com/go/prepcenter © 200 7 Cisco Syst ems , Inc. Вс е пр ава

www.cisco.com/go/prepcenter

© 200 7 Cisco Syst ems , Inc. Вс е пр ава за щищ ены.

ICND1 v1.0 —10

См. дополнительные сведения по адресу http://www.cisco.com/go/prepcenter.

Структура услуг Lifecycle Services

На этом рисунке представлен общий обзор концепции жизненного цикла сети и подхода Cisco Lifecycle Services. Для успешного развертывания технологий требуется координация всей последовательности мероприятий. Эти мероприятия взаимосвязаны, взаимозависимы и следуют друг за другом в заданном порядке.

Что такое Lifecycle Services Framework?

• Cisco Lifecycle Services Framework определяет минимальный набор действий,

• Cisco Lifecycle Services Framework определяет минимальный набор действий, необходимы х для успешного развертывания, эксплуатации и оптимизации технологий Cisco на всех этапах жизненного цикла сети.

• Жизненны й цикл сети включает шесть этапов: подготовка, планирование, проектирование, внедрение, эксплуатация и оптимизация.

• Каждый этап включает набор сервисных компонентов, сочетающих операции и продукты для обеспечения непревзойденного уровня обслуживания. Обслуживание сети производится при выполнении сервисного компонента.

© 200 7 Cisco Syst ems , Inc. Вс е пр ава за щищ ены.

ICND1 v1.0 —11

Этапы Cisco Lifecycle Services

Подготовка: принятие обоснованных решений по финансированию.

— Создание экономического обоснования на основании бизнес-требований.

— Уменьшение потребности в последующих изменениях за счет создания концептуальной архитектуры.

Планирование: создание основы для своевременного и беспрепятственного внедрения.

— Оценка сети и площадок.

— Разработка плана управления проектом.

Проектирование: снижение риска модификаций, быстрое и успешное внедрение.

Разработка всестороннего детального проекта, отвечающего как бизнес-, так и техническим требованиям.

Внедрение: быстрый возврат инвестиций.

Интеграция устройств без прерывания работы существующей сети и создания уязвимых точек.

Эксплуатация: поддержка высокой доступности и сокращение затрат.

— Поддержка работоспособности сети за счет повседневного обслуживания.

Оптимизация: улучшение производительности, доступности, емкости и безопасности.

— Достижение безупречных операционных результатов за счет непрерывного улучшения производительности и функциональности системы.

Традиционный подход к сетевой безопасности подразумевает использование наборов продуктов для защиты сетевого периметра или связей между площадками. В современных условиях методы поиска и устранения отдельных уязвимостей и «точечных» проблем сети перестают быть приемлемыми, поскольку затраты, связанные с нарушениями и прерываниями работы систем безопасности высоки и могут принимать множество форм – простой сети, кража конфиденциальной информации, упущенная прибыль, потеря престижа фирмы и так далее.

В настоящее время используется другой подход к решениям по безопасности:

теперь безопасность требует системного подхода, подразумевающего защиту всей сети – периметра, ЦОД, локальных сетей комплексов зданий, беспроводных локальных сетей (WLAN) рабочих станций и конечных узлов;

обеспечение безопасности сети – это непрерывный процесс, который позволяет компании добиться эффективного выполнения корпоративных целей и задач;

любая организация нуждается во всестороннем процессе обеспечения безопасности, который согласует задачи бизнеса с возможностями сети и техническими требованиями.

Студенты CCNA:

особое внимание к этапам внедрения и эксплуатации

Этап

Преимущества подхода Lifecycle Services

Подготовка

Примите обоснованные финансовые решения, подготовив экономическое обоснование, которое подтвердит необходимость технологических изменений.

Планирование

Оцените существующую среду и определите, сможет ли она эффективно и надежно поддерживать предложенную систему.

Проектирование

Создайте решение, отвечающее бизнес- и техническим требованиям.

Внедрение

Установите новое решение без прерывания работы сети и создания уязвимых точек.

Эксплуатация

Поддержка работоспособности сети за счет повседневного обслуживания.

Оптимизация

Достижение безупречных операционных показателей благодаря адаптации архитектуры, эксплуатации и производительности сети в к постоянно меняющимся требованиями бизнеса, а такж е возвращение жизненного цикла сети к этапу подготовки.

© 200 7 Cisco Syst ems , Inc. Вс е пр ава за щищ ены.

ICND1 v1.0 —12

Подход Cisco Lifecycle Services

Подход Cisco Lifecycle Services позволяет определить минимальный набор необходимых операций (в зависимости от сложности технологии и сети) для успешного развертывания и эксплуатации технологий Cisco и оптимизации их производительности на всех этапах жизненного цикла сети. Жизненный цикл сети — это комплексное представление последовательности событий, которые имеют место на разных этапах существования сети.

Подход Cisco Lifecycle Services формирует методики, основанные на передовом опыте, который находит понимание и поддержку в сетевой отрасли, и согласует процессы обслуживания и поддержки с экономическими и техническими требованиями на всех этапах жизненного цикла сети.

Подход Network Lifecycle Services:

почему он так важен сейчас?

В прошлом точечные методы проектирования, внедрения и экс

В прошлом точечные методы проектирования, внедрения и экс плуатации вполне подходили для развертывания и поддержки сети.

Сегодня сложность сетей и вопросы совместимости технологий повышают важность подхода на базе жизненного цикла сети, способного адаптироваться к меняющимся условиям бизнеса. Согласованная и непрерывная последовательность операций обслуживания на основе жизненного цикла сети обеспечивает успешное начальное внедрение и эксплуатацию, а также оптимальную производительность в буд ущем.

Подход Cisco Lifecycle Services помогает обеспечить соответствие этим новым, более сложным требованиям.

© 200 7 Cisco Syst ems , Inc. Вс е пр ава за щищ ены.

ICND1 v1.0 —13

В прошлом точечные методы проектирования, внедрения и эксплуатации вполне подходили для развертывания и поддержки сети.

Сегодня сложность сетей и конвергенция технологий повышают важность подхода на базе жизненного цикла сети, способного адаптироваться к меняющимся условиям бизнеса. Согласованная и непрерывная последовательность операций обслуживания на основе жизненного цикла сети обеспечивает успешное начальное внедрение и эксплуатацию, а также оптимальную производительность в будущем.

Подход Cisco Lifecycle Services помогает обеспечить соответствие этим новым, более сложным требованиям.

Пожалуйста, представьтесь

Ваше имя Ваша компания Служебные обязанности Навыки и знания Краткая история

Задача

© 200 7 Cisco Syst ems , Inc. Вс е пр ава за щищ ены.

история Задача © 200 7 Cisco Syst ems , Inc. Вс е пр ава за щищ

ICND1 v1.0 —14

Подготовьте следующие сведения о себе Ваше имя. Ваша компания. Ваши служебные обязанности. Навыки, которыми вы владеете. Краткий обзор вашего профессионального опыта. Что бы вы хотели узнать из этого курса.

Модуль 1

Построение простой сети

Обзор

Для понимания работы сетей необходимо получить базовые знания об их основных компонентах. В этом модуле даются сведения об основных компонентах сети:

перечисляются базовые компоненты компьютеров и сетей и их характеристики, функции, преимущества, достоинства и показатели, используемые для классификации функций и рабочих характеристик. Кроме того, в этом модуле описывается эталонная модель взаимодействия открытых систем (OSI), а также терминология и концепции, необходимые для описания процесса обмена данными. Наконец, в этом модуле объясняется создание сети хостов на базе локальной сети Ethernet.

Задачи модуля

По окончании этого модуля вы сможете создавать простые сети для соединения хостов, а также описывать компоненты сети и их функции. Это значит, что вы сможете выполнять следующие задачи:

перечислять преимущества компьютерных сетей и их функции;

выявлять общие угрозы для сетей и способы уменьшения воздействия этих угроз;

понимать и сравнивать модели обмена данными, которые управляют связью между хостами;

описывать классификацию IP-адресов и способы получения IP-адреса хостом;

описывать процессы, используемые протоколом TCP для установления надежного соединения;

описывать процессы передачи пакетов между хостами;

описывать работу Ethernet на 1-ом и 2-ом уровнях модели OSI;

определять методы подключения к локальной сети Ethernet.

Занятие 1

Обзор функций сети

Обзор

Для максимально эффективного использования каналов связи между конечными пользователями необходимо понимать преимущества и принцип работы компьютерных сетей. В этом занятии описывается концепция компьютерных сетей, перечисляются компоненты компьютерной сети и объясняются преимущества сетей для пользователей.

Задачи

По окончании этого занятия вы сможете перечислять стандартные компоненты сети, описывать ее назначение и функции. Это значит, что вы сможете выполнять следующие задачи:

давать определение сети;

перечислять стандартные компоненты сети;

интерпретировать схемы сети;

перечислять основные функции совместного использования ресурсов сети и их преимущества;

называть четыре основных пользовательских приложения, требующих доступа к сети, и описывать их преимущества;

описывать влияние пользовательских приложений на работу сети;

перечислять категории характеристик, используемых для описания сетей различных типов;

cравнивать и сопоставлять физические и логические топологии;

перечислять характеристики шинной топологии;

перечислять характеристики звездообразной и иерархической звездообразной топологии;

перечислять характеристики кольцевой и двойной кольцевой топологии;

перечислять характеристики полносвязной и частичносвязной топологии;

описывать способы подключения к сети Интернет.

Что такое сеть?

В этом разделе описываются характеристики и среды сетей разных типов

и приводятся примеры сетей.

Что такое сеть?

Что такое сеть? © 200 7 Cisco Syst ems , Inc. Вс е пр ава за

© 200 7 Cisco Syst ems , Inc. Вс е пр ава за щищ ены.

ICND1 v1.0— 1-2

Сеть – это набор устройств и конечных систем (например компьютеров

и серверов), которые соединены между собой и могут обмениваться данными

друг с другом. Сети служат для передачи данных в различных средах, включая жилые помещения, небольшие компании и крупные предприятия. Крупное предприятие может располагаться на нескольких площадках, которые должны поддерживать связь друг с другом. Эти площадки (то есть места, где находятся сотрудники компании) можно описать следующим образом.

Главный офис. Главный офис – это площадка, в которой все сотрудники связаны через сеть, и где хранится значительная часть данных компании. В главном офисе могут работать сотни и даже тысячи людей, которые нуждаются в доступе к сети для выполнения своих обязанностей. В главном офисе могут использоваться несколько соединенных между собой сетей, охватывающих несколько этажей офисного здания или комплекс зданий (кампус).

Удаленные площадки. Различные удаленные, которые используют сети для связи с главным офисом или между собой.

Филиалы. В филиалах работают и взаимодействуют через сеть менее многочисленные группы сотрудников. Хотя в филиалах может храниться часть данных компании, более вероятно, что в филиале используются локальные сетевые ресурсы (например, принтеры), но большинство сотрудников получают доступ к информации непосредственно из главного офиса.

Домашний офис. Если сотрудники работают на дому, их место работы называется домашним офисом. Часто сотрудникам, работающим на дому, необходимо подключение по требованию к главному офису или филиалу для доступа к информации или использования сетевых ресурсов (например файлового сервера).

Мобильные пользователи. Мобильные пользователи подключаются к сети главного офиса, находясь в главном офисе, в филиале или в дороге. Требования мобильных пользователей к доступу зависят от того, где они находятся.

Можно использовать сеть в домашнем офисе для подключения к Интернету и поиска информации, размещения заказов на различные товары и обмена сообщениями с друзьями. Также можно организовать небольшой офис, снабженный сетью, соединяющей другие компьютеры и принтеры в офисе. Или можно работать на крупном предприятии, где для обмена данными и для хранения информации большого числа отделов, расположенных на обширных площадях, используется множество компьютеров, принтеров, систем хранения информации и серверов.

Стандартные физические компоненты сети

В этом разделе перечисляются типовые физические компоненты сети, включая ПК,

соединительные устройства, коммутаторы и маршрутизаторы.

Стандартные физические компоненты сети

физические компоненты сети © 200 7 Cisco Syst ems , Inc. Вс е пр ава за

© 200 7 Cisco Syst ems , Inc. Вс е пр ава за щищ ены.

ICND1 v1.0— 1-3

В компьютерную сеть входят физические компоненты, относящиеся к следующим

четырем основным категориям.

Персональные компьютеры (ПК). Компьютеры являются конечными устройствами сети, которые отправляют и получают данные.

Соединительные устройства. Соединительные устройства – это компоненты, позволяющие передавать данные из одной точки сети в другую. В эту категорию входят следующие компоненты:

сетевые адаптеры (NIC), которые преобразуют данные компьютера в формат, который позволит передавать их по локальной сети;

cетевая среда передачи (например кабели или беспроводные среды), которые служат для передачи сигнала от одного сетевого устройства к другому;

разъемы, которые предоставляют точки подключения носителей.

Коммутаторы. Коммутаторы – это устройства, обеспечивающие подключения сети к конечным системам и выполняющие интеллектуальную коммутацию данных внутри локальной сети.

Маршрутизаторы. Маршрутизаторы служат для соединения сетей между собой и выбора наилучшего пути между ними.

Интерпретация схемы сети

В этом разделе описаны стандартные условные обозначения компонентов сети, включая ПК, коммутаторы и маршрутизаторы.

Интерпретация схемы сети

Интерпретация схемы сети © 200 7 Cisco Syst ems , Inc. Вс е пр ава за

© 200 7 Cisco Syst ems , Inc. Вс е пр ава за щищ ены.

ICND1 v1.0— 1-4

Схема сети используется для отображения информации о ней. Объем и детализация отображаемой информации варьируются в зависимости от организации. Топология сети, как правило, представляется с помощью линий и значков. На этой схеме

линий и значков. На этой схеме используется для обозначения

используется для обозначения сети Интернет.

для обозначения сети Интернет. используется для обозначения

используется для обозначения маршрутизатора.

используется для обозначения коммутатора рабочей группы.

используется для обозначения сервера.

используется для обозначения ПК.

используется для обозначения канала Ethernet.

используется для обозначения последовательного канала.

При наличии свободного места могут быть включены другие сведения. Например, часто указывается интерфейс устройства в следующих форматах: s0/0/0 для последовательного интерфейса или fa0/0 для интерфейса Fast Ethernet. Также часто включают сетевые адреса сегмента в формате 10.1.1.0/24, где 10.1.1.0 обозначает сетевой адрес, а /24 – маску подсети.

Функции и преимущества совместного использования ресурсов

В этом разделе описаны основные функции совместного использования ресурсов в компьютерной сети, и преимущества этих функций для конечных пользователей.

Функции и преимущества совместного использования ресурсов

использования ресурсов Данные и приложения Ресурсы

Данные и приложения Ресурсы Сетевое хранение Устройства резервного копирования

© 200 7 Cisco Syst ems , Inc. Вс е пр ава за щищ ены.

ICND1 v1.0— 1-5

Благодаря использованию сетей конечные пользователи могут совместно использовать как информационные, так и аппаратные ресурсы. Основные ресурсы, которые можно использовать совместно в компьютерной сети перечислены ниже. Данные и приложения. Когда пользователи соединены через сеть, они могут совместно использовать файлы и даже приложения, что упрощает доступ к данным и повышает эффективность совместной работы над проектами.

Ресурсы. Возможно совместное использование как устройств ввода (например, камер), так и устройств вывода информации (например, принтеров).

Сетевое хранение. В настоящее время существует несколько способов хранения информации с использованием сети. Система хранения с прямым подключением (Direct Attached Storage - DAS) позволяет напрямую подключить физический носитель к ПК или общему серверу. Система сетевого хранения данных (Network Attached Storage - NAS) позволяет обеспечивает хранение данных с использованием специального сетевого оборудования. И, наконец, сети хранения данных (Storage Aria Networks - SAN) представляют собой сети устройств хранения.

Устройства резервного копирования. Кроме того, в сеть могут входить устройства резервного копирования (например, накопители на магнитной ленте), позволяющие хранить файлы с нескольких компьютеров. Сетевые хранилища также используется для архивирования, обеспечения непрерывности бизнеса и аварийного восстановления.

Общее преимущество для пользователей, подключенных к сети, – это возможность эффективно использовать общие компоненты, необходимые для выполнения повседневных задач (обмена файлов, использования принтеров и хранения данных). Эта эффективность позволяет снизить издержки и повысить производительность.

В последние годы открытость, которая когда-то была доминирующей характеристикой сетей, сменилась необходимостью соблюдать осторожность. Было много хорошо известных случаев «кибервандализма», в ходе которых производилось вторжение как в конечные системы, так и в сетевые устройства. Таким образом, администратору следует найти компромисс между безопасностью сетей и потребностью в сетевых подключениях.

Пользовательские сетевые приложения

Для пользователей в сетевом окружения доступно множество приложений, а некоторые приложения используются практически всеми пользователями. В этом разделе описываются распространенные сетевые пользовательские приложения.

Пользовательские сетевые приложения

Электронная почта (Outlook, POP3, Yahoo и т. д.) Обозреватель (IE, Firefox и т. д.)

Мгновенный обмен сообщениями (Yahoo IM, Microsoft Messenger и т. д.)

Совместная работа (Whiteboard, Netmeeting, WebEx и т. д.) Базы данных (файловые серверы)

© 200 7 Cisco Syst ems , Inc. Вс е пр ава за щищ ены.

ICND1 v1.0— 1-6

К самым распространенным сетевым пользовательским приложениями относятся:

Электронная почта. Электронная почта – это очень важное приложение для большинства пользователей сети. Пользователи могут оперативно передавать информацию (сообщения и файлы) в электронном виде не только пользователям своей сети, но и пользователям за ее пределами (например поставщикам, на информационные ресурсы и клиентам). Примеры программам для работы с электронной почтой: Microsoft Outlook, Qualcomm Eudora.

Обозреватель. Благодаря обозревателю пользователь может получать доступ в Интернет через общий интерфейс. В Интернете можно получить доступ к огромным объемам информации, и он стал совершенно необходим как для бытовых, так и для корпоративных пользователей. Обозреватели предоставляют общий интерфейс для общения с поставщиками и клиентами, обработки и выполнения заказов и поиска информации. Теперь эти операции, как правило, производятся в электронном виде через Интернет, что позволяет сэкономить время и повысить производительность. К наиболее популярным обозревателям относятся Microsoft Internet Explorer, Netscape Navigator, Mozilla и Firefox

Мгновенный обмен сообщениями. Мгновенный обмен сообщениями появился как средство личного общения между пользователями, однако вскоре он принес значительные выгоды в корпоративный мир. Доступно множество приложений мгновенного обмена сообщениями (таких, как AOL

и Yahoo), обеспечивающих функции шифрования и регистрации данных, в которых нуждаются компании.

Совместная работа. Совместная работа групп или отдельных пользователей значительно упрощается при использовании сети. Например, сотрудники, создающие отдельные части ежегодного отчета или бизнес-плана, могут либо передавать свои файлы на центральный ресурс для составления единого документа, либо использовать приложения рабочей группы для создания

и

изменения всего документа без необходимости в обмене бумажными

копиями. Одной из самых известных программ для совместной работы является Lotus Notes.

Базы данных. Приложения этого типа позволяют пользователям в сети хранить информацию на централизованных узлах (например на файловых серверах), чтобы другие пользователи в сети могли легко загрузить выбранную информацию в тех форматах, которые для них наиболее удобны.

Влияние пользовательских приложений на работу сети

Приложения могут влиять на работу сети, а работа сети может влиять на работу приложений. В этом разделе описываются типовое взаимодействие между пользовательскими приложениями и сетью.

Влияние пользовательских приложений на работу сети

Пакетные приложения

FTP, TFTP, обновление доступных ресурсов

Нет непосредственного вмешательства пользователя

Полоса пропускания важна, но не играет решающей роли

важна, но не играет решающей роли Интерактивные приложения –

Интерактивные приложения

Запросы о доступных ресурсах, обновление баз данных.

Взаимодействие между человеком и компьютером.

Поскольку пользователь ожидает ответа, время реакции системы важно, но не играет решающей роли, если только ожидание не становится слишком долгим.

Приложения реального времени

VoIP, видео

Взаимодействие между двумя пользователями

Крайне важно поддерживать стабильное значение времени задержки

© 200 7 Cisco Syst ems , Inc. Вс е пр ава за щищ ены.

ICND1 v1.0— 1-7

Традиционно при рассмотрении взаимодействия между сетью и приложениями, работающими в ней, основное внимание уделяется полосе пропускания. Такие пакетные приложения, как FTP, TFTP и обновление доступных ресурсов, запускаются пользователем, их работа и завершение управляется программно без прямого вмешательства со стороны пользователя. Поэтому полоса пропускания важна, но не играет решающей роли при условии, что для завершения приложения не требуется слишком много времени. Такие интерактивные приложения, как запросы о доступных ресурсах или обновления баз данных, требуют большего участия человека. Пользователь должен получить с сервера какие-то сведения, а потом ожидать ответа. Полоса пропускания в этом случае более важна, поскольку при сильной задержке ответа пользователи могут проявлять нетерпение. Однако ширина полосы пропускания снова не играет решающей роли, поскольку время ответа зависит не столько от сети, сколько от сервера. В большинстве случаев функции QoS могут преодолеть ограничения, накладываемые полосой пропускания, за счет предоставления интерактивным приложениями приоритета над пакетными приложениями.

Подобно интерактивным приложениям, приложения в реальном времени (например, VoIP и видео-приложения) подразумевают участие человека. Объемы передаваемой информации предъявляют серьезные требования к полосе пропускания. Кроме того, поскольку эти приложения предъявляют значительные требования к синхронизации, большую роль играет время запаздывания (задержка в сети). Даже колебания времени запаздывания могут оказывать влияние на сеть. При этом обязательным является не только приемлемое значение полосы пропускания, но и функции QoS. VoIP и видео-приложения должны получать максимальный приоритет.

Сейчас конечных пользователей атакуют рекламные объявления, указывающие, сколько они смогут сэкономить, перейдя на технологию VoIP, при этом подразумевается, что процесс установки очень несложен и ограничивается установкой в сети маршрутизатора VoIP. Это, как правило, справедливо для домашних сетей, но может привести к катастрофе в небольшой корпоративной сети. Простая установка маршрутизатора VoIP в сети не обеспечивает ни достаточной полосы пропускания для Интернета, ни приемлемой схемы QoS. В результате прежде работавшие приложения начинают выполняться так медленно, что их невозможно использовать, когда кто-нибудь говорит по телефону, и качество голоса значительно снижается. Обе проблемы можно решить путем правильного проектирования сети.

Характеристики сети

В этом разделе описывается набор характеристик, которые обычно используются для описания и сравнения сетей разных типов.

Характеристики сети

Скорость

Стоимость

Безопасность Доступность Масштабируемость

Надежность

Топология

© 200 7 Cisco Syst ems , Inc. Вс е пр ава за щищ ены.

ICND1 v1.0— 1-8

Сети можно описывать и сравнивать, используя следующие характеристики ее производительности и структуры:

Скорость. Скорость определяет, насколько быстро данные передаются по сети. Более точным является термин «скорость передачи данных».

Стоимость. Стоимость включает общую стоимость компонентов, установки

и

технического обслуживания сети.

Безопасность. Безопасность описывает степень безопасности сети, включая безопасность данных, передаваемых по сети. Безопасность очень важна

постоянно развивается. При выполнении действий, влияющих на сеть, необходимо учитывать проблему безопасности.

и

Доступность. Доступность описывает вероятность того, что сеть будет доступна для использования, когда это будет необходимо. Для сетей, которые предполагается использовать 24 часа в день, 7 дней в неделю, 365 дней в году, доступность вычисляют, разделив время, когда сеть фактически доступна, на общее время в году, а затем умножив результат на 100, чтобы выразить полученное значение в процентах.

Например, если сеть недоступна в течение 15 минут в год из-за простоев сети, процент ее доступности можно вычислить следующим образом:

([количество минут в году – время простоя сети] / [количество минут в году]) * 100 = процентная доступность

([525 600 – 15] / [525 600]) * 100 = 99,9971

Масштабируемость. Масштабируемость обозначает, насколько хорошо сеть может удовлетворить потребности большего числа пользователей

и требования к передаче большего объема данных. Если сеть спроектирована

и оптимизирована только с учетом текущих требований, будет очень дорого

сложно обеспечивать соответствие новым требованиям, возникающим по мере роста сети.

и

Надежность. Надежность означает безотказность компонентов (маршрутизаторов, коммутаторов, ПК и т. д.), составляющих сеть. Она часто измеряется как вероятность отказа или как среднее время между отказами (mean time between failures - MTBF).

Топология. В сетях применяется два типа топологии: физическая топология (физическое расположение кабелей, сетевых устройств и конечных систем, таких как ПК и серверы) и логическая топология, которая описывает пути, по которым сигналы передаются через физическую топологию.

Эти характеристики и свойства позволяют сравнивать разные сетевые решения.

Сравнение физической и логической топологии

В этом разделе описаны физические и логические топологии сетей, включая расположение кабелей и устройств и пути передачи данных.

Категории физической топологии

Категории физической топологии © 200 7 Cisco Syst ems , Inc. Вс е пр ава за

© 200 7 Cisco Syst ems , Inc. Вс е пр ава за щищ ены.

ICND1 v1.0— 1-9

У каждой сети есть как физическая, так и логическая топология.

Физические топологии

Физическая топология сети описывает физическое расположение устройств и кабелей. Для каждого типа физической топологии необходимо подбирать соответствующий тип кабелей (витая пара, коаксиальный кабель, оптоволоконный кабель и т. д.). Следовательно, для понимании каждого типа физической топологии необходимо понять, какой тип кабеля в ней используется. Ниже приведены три основные категории физических топологий.

Шинная. В первых шинных топологиях компьютеры и другие сетевые устройства соединялись последовательно с использованием коаксиального кабеля. В современных шинных топологиях шина реализована в виде отдельного устройства, хосты подсоединяются к шине с помощью витой пары.

Кольцевая. Компьютеры и другие сетевые устройства соединяются кабелем, причем последнее устройство подсоединяется к первому с образованием окружности или кольца. К топологиям этого типа относятся кольцевые и двойные кольцевые топологии. Физическое подключение обеспечивается коаксиальным или оптоволоконным кабелем.

Звездообразная. Компьютеры и другие сетевые устройства соединены через центральное кабельное устройство. К топологиям этого типа относятся звездообразные и иерархические звездообразные топологии. Физические подключения, как правило, реализуются с помощью витой пары.

Логические топологии

Логические топологии © 200 7 Cisco Syst ems , Inc. Вс е пр ава за щищ

© 200 7 Cisco Syst ems , Inc. Вс е пр ава за щищ ены.

ICND1 v1 .0—1- 10

Логические топологии

Логическая топология сети описывает логические пути, по которым сигналы передаются от одного узла сети на другой, т. е. способ доступа к сетевым носителям и передачи пакетов по ним.

Физическая и логическая топология сети могут совпадать. Например, если сеть физически организована как линейная шина, данные перемещаются вдоль кабеля. Следовательно, эта сеть обладает физической шинной топологией и логической шинной топологией.

С другой стороны, сеть может обладать совершенно различными физической и логической топологиями. Например, физическая топология может иметь форму звезды, в которой все компьютеры подключены отрезками кабеля к центральному концентратору, но при этом обладать логической кольцевой топологией. В кольце данные передаются от компьютера к компьютеру, поэтому внутри концентратора используются соединения проводов, в которых сигнал передается по кольцу от одного порта к другому, создавая логическое кольцо. Следовательно физическая схема не всегда достаточна для прогноза перемещения данных по сети.

В настоящее время самой распространенной схемой реализации локальных сетей является звездообразная топология. Ethernet использует логическую шинную топология как в физической шинной, так и физической звездообразной топологии. Концентратор Ethernet – пример физической звездообразной топологии в сочетании с логической шинной топологией.

Шинная топология

Часто называется линейной шиной. Все устройства в шинной топологии соединены с помощью одного кабеля. В этом разделе описывается шинная топология.

Шинная топология

Шинная топология Все устройства принимают сигнал. © 200 7 Cisco Syst ems ,

Все устройства принимают сигнал.

© 200 7 Cisco Syst ems , Inc. Вс е пр ава за щищ ены.

ICND1 v1 .0—1- 11

Как показано на рисунке, в шинной топологии кабель идет от одного компьютера к другому, подобно автобусной линии, проходящей через город. Основной участок кабеля должен заканчиваться терминатором, поглощающим сигнал, когда он достигает конца линии или провода. Если терминатор не установлен, электрический сигнал, соответствующий данным, отражается в конце кабеля, вызывая ошибки в сети.

Звездообразная и иерархическая звездообразная топологии

Звездообразная топология — наиболее часто встречающаяся топология

в локальных сетях Ethernet. В этом разделе описываются звездообразные

и иерархические звездообразные топологии.

Звездообразная топология

Звездообразная топология Передача данных через центральный узел.

Передача данных через центральный узел. Критическая точка отказа.

© 200 7 Cisco Syst ems , Inc. Вс е пр ава за щищ ены.

ICND1 v1 .0—1- 12

При установке звездообразная топология напоминает спицы в велосипедном колесе. Она состоит из центральной точки подключения (концентратор, коммутатор или маршрутизатор), в которой соединяются все сегменты кабеля. Каждое устройство в сети подключено к центральному устройству с помощью отдельного кабеля.

Звездообразная топология

Хотя реализация физической звездообразной топологии стоит дороже, чем реализация физической шинной топологии, преимущества звездообразной топологии оправдывают дополнительные затраты. Каждое устройство подключено к центральному устройству с использованием отдельного кабеля, поэтому при неисправности этого кабеля затронуто только одно устройство,

а остальная сеть остается в рабочем состоянии. Это преимущество крайне важно

и является одной из причин, по которым почти все локальные сети Ethernet, спроектированные в последнее время, имеют физическую звездообразную топологию.

Иерархическая звездная топология

звездная топология Более устойчива , чем

Более устойчива, чем звездообразная топология.

© 200 7 Cisco Syst ems , Inc. Вс е пр ава за щищ ены.

ICND1 v1 .0—1- 13

Иерархическая звездообразная топология

При расширении звездообразной топологии за счет добавления к сети дополнительных сетевых устройств, подключаемых к основным сетевым устройствам, топология называется «иерархической звездной топологией».

Но у чистой иерархической звездной топологии есть недостаток: при неисправности центрального узла большие фрагменты сети оказываются изолированными.

Кольцевые топологии

Как понятно из названия, в кольцевой топологии все устройства в сети соединены окружностью или кольцом. В этом разделе описывается кольцевая топология.

Кольцевая топология

Кольцевая топология Сигналы передаются по кругу . Критическая

Сигналы передаются по кругу. Критическая точка отказа.

© 200 7 Cisco Syst ems , Inc. Вс е пр ава за щищ ены.

ICND1 v1 .0—1- 14

В отличие от физической шинной топологии в кольцевой топологии нет начальной

и конечной точек, в которых необходимо подавлять сигнал. Данные передаются совершенно не так, как это происходит в логической шинной топологии. В одной из реализаций, «маркер» перемещается вдоль кольца, останавливаясь на каждом устройстве. При передаче данных устройство добавляет данные и адрес назначения к маркеру. Далее маркер продолжает двигаться по окружности, пока не находит устройство назначения, которое извлекает данные из маркера. К преимуществам этого типа топологии относится отсутствие коллизий пакетов данных. Существуют два типа кольцевой типологии: одиночная кольцевая и двойная кольцевая.

Одиночная кольцевая топология

В одиночной кольцевой топологии все устройства сети расположены на одном

кабеле, и данные передаются только в одном направлении. Каждое устройство ждет своей очереди для передачи данных по сети. Однако одиночное кольцо может пострадать от единственного отказа, в результате которого все кольцо прекращает функционировать.

Двойная кольцевая топология

Двойная кольцевая топология Сигналы передаются в противоположных

Сигналы передаются в противоположных направлениях. Более устойчива , чем сеть, состоящая из одного кольца.

© 200 7 Cisco Syst ems , Inc. Вс е пр ава за щищ ены.

ICND1 v1 .0—1- 15

Двойная кольцевая топология

В двойной кольцевой топологии два кольца позволяют передавать данные в обоих направлениях. В такой конфигурации создается резервирование (отказоустойчивость). Это означает, что при неисправности в одном кольце данные можно передавать по другому.

Полносвязная и частичносвязная топология

Такая топология схожа со звездообразной топологией. В этом разделе описаны полносвязная и частичносвязная топология.

Полносвязная топология

Полносвязная топология Высокая отказоустойчивость

Высокая отказоустойчивость Дорогостоящее внедрение

© 200 7 Cisco Syst ems , Inc. Вс е пр ава за щищ ены.

ICND1 v1 .0—1- 16

Полносвязная топология

В полносвязной топологии все устройства (или узлы) соединены друг с другом, что обеспечивает резервирование и отказоустойчивость. Внедрение полносвязной топологии дорого и сложно. Этот вид топологии наиболее устойчив к сбоям, поскольку отказ одного канала не влияет на доступность сети.

Частичносвязная топология

Частичносвязная топология Компромисс между отказоустойчивостью

Компромисс между отказоустойчивостью и стоимостью

© 200 7 Cisco Syst ems , Inc. Вс е пр ава за щищ ены.

ICND1 v1 .0—1- 17

Частичносвязная топология

В частичной топологии, по крайней мере, одно устройство связано со всеми другими устройствами, но полносвязная сеть не формируется. При использовании такого способа соединения можно снизить стоимость за счет того, что не все устройства связаны со всеми остальными, и проектировщик сети получает возможность выбрать, какие узлы наиболее важны, и должным образом обеспечить их взаимное соединение.

Подключение к сети Интернет

В этом разделе описаны обычные методы подключения к сети Интернет.

Подключение к сети Интернет

Подключение к сети Интернет © 200 7 Cisco Syst ems , Inc. Вс е пр ава

© 200 7 Cisco Syst ems , Inc. Вс е пр ава за щищ ены.

ICND1 v1 .0—1- 18

Можно использовать три стандартных способа подключения небольшого офиса и сети Интернет. DSL (Digital Subscriber Line) использует существующие телефонные линии. При кабельном подключении используется инфраструктура кабельного телевидения. Последовательные каналы используют классические цифровые последние мили. При использовании DSL и кабеля входящие линии подключаются к модему, преобразующему входящий цифровой сигнал в формат Ethernet. При использовании последовательных каналов для этого используется каналообразующее оборудование CSU/DSU (Channel Service Unit/Data Service Unit). Во всех трех случаях (DSL, кабель и последовательный канал) выходной сигнал Ethernet передается на маршрутизатор, который входит в оборудование абонента (CPE-Customer Permises Equipment).

Резюме

В этом разделе приводится резюме основных вопросов, рассмотренных в занятии.

Резюме

Сеть – это комбинация соединенных устройств, которые могут обмениваться данными друг с другом. Сети служат для передачи данных в различных местах, включая дома, небольшие компании и крупные предприятия. В компьютерную сеть входят физические компоненты, относящиеся к четырем основным категориям: компьютеры, линии связи, коммутаторы и маршрутизаторы. Сети можно изображать графически с использованием набора условных обозначений. К основным ресурсам, которые могут совместно использоваться в сети, относятся данные и приложения, периферийное оборудование, устройства хранения и устройства резервного копирования. К наиболее распространенным сетевым пользовательским приложениям относится электронная почта, обозреватели, приложения мгновенного обмена сообщениями, совместной работы и базы данных. Пользовательские приложения влияют на работу сети, т. к. они используют сетевые ресурсы.

© 200 7 Cisco Syst ems , Inc. Вс е пр ава за щищ ены.

ICND1 v1 .0—1- 19

Резюме (прод.)

Для описания сетей используются характеристики, отражающие их производительность и структуру: скорость, стоимость, безопасность, доступность, масштабируемость, надежность и топология.

Термин «физическая топология» используется для описания способа соединения физических устройств, а термин «логическая топология» относится к потокам данных в сети. В физической шинной топологии все устройства фактически соединены одним кабелем.

В физической звездообразной топологии каждое устройство в сети подключено к центральному устройству отдельным кабелем. При расширении звездообразной топологии к основным сетевым устройствам подключаются дополнительные сетевые устройства. Такая топология называется «иерархической звездобразной топологией».

© 200 7 Cisco Syst ems , Inc. Вс е пр ава за щищ ены.

ICND1 v1 .0—1- 20

Резюме (прод.)

В кольцевой топологии все хосты соединены в форме кольца или окружности. В двойной кольцевой топологии формируются два кольца, которые обеспечивают резервирование. В полносвязной топологии все устройства попарно соединены, а в частичной топологии, по крайней мере, одно устройство соединено со всеми другими устройствами. Можно использовать три стандартных способа подключения небольшого офиса и сети Интернет: канал DSL на базе существующих телефонных линий, кабель на базе инфраструктуры кабельного телевидения и последовательные каналы на основе классических цифровых последних миль.

© 200 7 Cisco Syst ems , Inc. Вс е пр ава за щищ ены.

ICND1 v1 .0—1- 21

Занятие 2

Обеспечение безопасности сети

Обзор

Насколько важно иметь строгую политику сетевой безопасности? В 2005 году Институт компьютерной безопасности составил отчет на основе обзора «Компьютерные преступления и безопасность» за 2005 г., в котором был изложен новый взгляд на воздействие компьютерных преступлений в США. Одним из основных участников была Группа по компьютерным вторжениям Федерального бюро расследований в Сан-Франциско. Обзор составлен на основе информации, поступившей от более

700 специалистов в области компьютерной безопасности в американских корпорациях, правительственных агентствах, финансовых учреждениях, медицинских учреждениях

и университетах. В нем было подтверждено, что угроза компьютерной преступности

и других нарушений информационной безопасности не уменьшается, а финансовые потери растут.

Использование эффективной политики безопасности – это первое, что должны сделать организации для своей защиты. Эффективная политика безопасности является основой любых мероприятий по обеспечению безопасности сетевых ресурсов.

Задачи

По окончании этого занятия вы сможете объяснять необходимость в комплексной политике сетевой безопасности. Это значит, что вы сможете выполнять следующие задачи:

объяснять, как сложные средства атаки и открытые сети повысили необходимость в сетевой безопасности и динамичных политиках безопасности;

описывать задачу поиска компромисса между требованиями безопасности сети и процессами электронного бизнеса, юридическими вопросами и государственными правилами;

описывать сетевых злоумышленников, мотивы хакеров и классы атак;

описывать способы снижения основных угроз для маршрутизаторов и коммутаторов Cisco.

Необходимость в сетевой безопасности

В этом разделе описывается, как сложные средства атаки и открытые сети повысили необходимость в сетевой безопасности и динамичных политиках безопасности.

Закрытые сети

Закрытые сети Остаются уязвимыми к атакам изнутри сети. © 200 7 Cisco Syst

Остаются уязвимыми к атакам изнутри сети.

© 200 7 Cisco Syst ems , Inc. Вс е пр ава за щищ ены.

ICND1 v1.0— 1-2

Проще всего защитить сеть от внешних атак, полностью закрыв ее от окружающего мира. Подключиться к закрытой сети могут только известные и проверенные пользователи и узлы. Из закрытой сети невозможно подключиться к сетям общего пользования.

В силу отсутствия внешних подключений можно считать, что сети, спроектированные

таким образом, защищены от внешних атак. Однако остается опасность атаки изнутри.

По оценкам Института компьютерной безопасности в Сан-Франциско, Калифорния, от 60 до 80 процентов случаев злонамеренного использования сетей инициируются изнутри пострадавшей организации.

Открытые сети

Открытые сети © 200 7 Cisco Syst ems , Inc. Вс е пр ава за щищ

© 200 7 Cisco Syst ems , Inc. Вс е пр ава за щищ ены.

ICND1 v1.0— 1-3

Сегодня корпоративным сетям требуется доступ в Интернет и другие сети общего пользования. Достаточно часто корпоративные сети имеют несколько точек доступа к сетям общего пользования и другим частным сетям. Обеспечение безопасности открытых сетей крайне важно.

Средства атак:

увеличение опасности и упрощение использования

и упрощение использования © 200 7 Cisco Syst ems , Inc. Вс е пр ава за

© 200 7 Cisco Syst ems , Inc. Вс е пр ава за щищ ены.

ICND1 v1.0— 1-4

На графике проиллюстрировано, как совершенствование хакерских средств в сочетании с упрощением их использования привело к увеличению угроз для открытых сетей. За последние 20 лет с развитием крупных открытых сетей значительно возросли угрозы безопасности. Хакеры выявляют в сетях все больше уязвимых мест, а использование хакерских средств требует все меньше специальных навыков. Теперь можно загрузить приложения, для использования которых не нужны или почти не нужны специальные знания о взломе программ. Даже приложения, созданные для поиска и устранения неисправностей в сетях, а также для их технического обслуживания и оптимизации, в плохих руках могут использоваться с преступными намерениями и представлять серьезную угрозу.

Разумный учет требований сетевой безопасности

В этом разделе описывается задача поиска компромисса между требованиями безопасности сети и процессами электронного бизнеса, юридическими вопросами и государственными правилами.

Задачи электронного бизнеса

Расширение доступа; возрастание рисков безопасности
Расширение доступа; возрастание рисков безопасности

© 200 7 Cisco Syst ems , Inc. Вс е пр ава за щищ ены.

ICND1 v1.0— 1-5

Основная задача безопасности состоит в поиске разумного компромисса между двумя важными требованиями: открытость сетей для поддержания растущих требований бизнеса и свободы распространения информации с одной стороны и защита конфиденциальной, личной и стратегической корпоративной информации с другой.

На первый план в процессе внедрения сетей и управления ими вышла проблема безопасности. Для выживания многих компании необходим открытый доступ к сетевым ресурсам, но при этом они должны максимально обезопасить данные и ресурсы. Рост значимости электронной коммерции и необходимость передачи конфиденциальной информации по потенциально небезопасным сетям общего пользования увеличивают потребность в разработке и внедрении общекорпоративной политики сетевой безопасности. Первым шагом на пути к созданию безопасной инфраструктуры сети должно стать создание политики сетевой безопасности.

Благодаря Интернету компании получают возможность построить более тесные взаимоотношения с клиентами, поставщиками, партнерами и сотрудниками. Электронная коммерция требует от компаний большей гибкости и конкурентоспособности. Благодаря этому создаются новые приложения для электронной коммерции, управления цепями поставок, обслуживания заказчиков, оптимизации рабочей силы и электронного обучения. Эти приложения оптимизируют и улучшают процессы, снижают издержки, одновременно улучшая время обработки заказа и степень удовлетворенности заказчиков.

Когда сетевые администраторы предприятия открывают сети для большего числа пользователей и приложений, они подвергают сети большему риску. В результате растут требования к безопасности бизнеса. Фундаментальным компонентом любой стратегии электронного бизнеса должна стать безопасность.

Электронный бизнес требует создания сетей с учетом их назначения, которые могут поддержать постоянный рост числа покупателей и постоянно растущие требования к производительности и качеству работы. Кроме того, они должны обрабатывать голостовой трафик, видео и данные, так как сети имеют тенденцию к переходу на обслуживание мультисервисного окружения.

Злоумышленники, их мотивы и классификация атак

В этом разделе описываются злоумышленники, действующие в сети, их мотивы и классы атак.

Злоумышленники, их мотивы и классификация атак

Злоумышленники

Националисты

Террористы

Преступники

Хакеры Взломщики Конкуренты «Хакеры-дилетанты»

Недовольные

сотрудники

Правительство

© 200 7 Cisco Syst ems , Inc. Вс е пр ава за щищ ены.

Мотивы

Классы атак

Разведка Кража Отказ в обслуживании Затруднение работы

Пассивные Активные С близкого расстояния Внутренние Распределенные

Соревновательные интересы

ICND1 v1.0— 1-6

Для защиты от атак, направленных на информацию и информационные системы, организации должны определить угрозу с точки зрения следующих трех понятий.

Злоумышленники. До 1980-х годов всех людей, обладающих высоким уровнем навыков программирования, называли «хакерами». Со временем стало важно различать, используют ли программисты свои навыки ответственно или злонамеренно и преступно. Многие представители первой группы утверждают, что программистов из второй группы следует называть не хакерами, а «взломщиками», но это слово не прижилось. Добропорядочные программисты известны в сфере компьютерной безопасности как «белые шляпы» (английский термин обозначает положительного героя вестерна), а программистов с преступными намерениями называют «черные шляпы». Менее опытных взломщиков-злоумышленников часто называют «хакерами-дилетантами». К другим потенциальным злоумышленникам относятся националисты, террористы, преступники, сотрудники, недовольные действиями руководства компании, и конкуренты компании.

Преступные мотивы. Злоумышленники могут руководствоваться такими мотивами, как сбор разведывательной информации, кража интеллектуальной собственности, отказ в обслуживании (DoS), создание проблем компании или заказчикам или желание удовлетворить собственным нуждам.

Классы атак. Атаки могут принимать такие формы, как отслеживание сеансов связи, активные атаки на сети, атаки с близкого расстояния (при получении физического доступа), атаки изнутри сети и распределенные атаки посредством удаленного доступа.

Информационные системы и сети являются привлекательными целями, поэтому они должны быть защищены от атак со стороны всех возможных злоумышленников, от хакеров до националистов. В системе должны быть предусмотрены средства ограничения ущерба и быстрого восстановления в случае атаки.

Классы атак

Можно выделить пять классов атак.

Пассивная. К пассивным атакам относится анализ трафика, отслеживание незащищенных сеансов обмена данными, расшифровка плохо зашифрованного трафика и перехват данных аутентификации (например, паролей). Пассивный перехват сетевых операций позволяет злоумышленникам спланировать будущие действия. Пассивные атаки позволяют злоумышленнику получить доступ

информации или файлам данных незаметно для пользователя или без его согласия. Примеры таких атак: раскрытие личной информации ( номер кредитной карты или данные о состоянии здоровья).

к

Активная. К активным атакам относятся попытки обойти или нарушить средства защиты, внедрить злонамеренный программный код, украсть или изменить информацию. Эти атаки нацелены на магистраль сети, они включают

расшифровку информации в процессе ее передачи, электронное проникновение

в

закрытые области или атаку на авторизированного удаленного пользователя,

когда он пытается подключиться к закрытой области. Активные атаки приводят

раскрытию и распространению файлов данных, отказу в обслуживанию или модификации данных.

к

С близкого расстояния. При атаках с близкого расстояния группа лиц находится

непосредственной близости от сетей, систем или технических средств с целью изменения и сбора информации, либо для провокации отказа в доступе

в

к

информации. Непосредственная физическая близость к сети достигается путем

тайного проникновения в сеть, открытого доступа или сочетания обоих методов.

Внутренняя. Внутренние атаки могут быть злонамеренными или случайными. Злонамеренные внутренние пользователи намеренно перехватывают, воруют или повреждают информацию, используют информацию с целью мошенничества или отказывают в доступе другим авторизированным пользователям. Случайные атаки обычно являются результатом беспечности, отсутствия знаний или намеренного обхода системы безопасности для выполнения задания.

Распределенная. Распределенные атаки нацелены на злонамеренную модификацию аппаратного или программного обеспечения во время производства и распространения. Во время таких атак злонамеренный программный код (черный ход) внедряется

в продукт для получения неавторизованного доступа к информации или функциям системы на будущее.

Уменьшение основных угроз

Часто угрозу безопасности сети представляет неверная или неполная установка сетевых устройств, причем эта угроза часто оставляется без внимания и приводит к печальным последствиям. Невозможно предотвратить преднамеренное или даже случайное повреждение сети в результате плохо проведенной установки только программными средствами безопасности. В этом разделе описано, как можно уменьшить общие угрозы безопасности для маршрутизаторов и коммутаторов Cisco.

Типовые угрозы

Для физических устройств

Угрозы для аппаратного обеспечения

Угрозы со стороны окружающей среды

Электрические угрозы

Эксплуатационные угрозы

Разведка: получение информации о конкретной сети с использованием доступной информации и приложений

С целью получения доступа: атака на сети или системы по следующим мотивам:

Получение данных

Получение доступа

Расширение привилегий доступа

Атака путем подбора пароля: хакеры используют различные инструменты для взлома паролей

© 200 7 Cisco Syst ems , Inc. Вс е пр ава за щищ ены.

ICND1 v1.0— 1-7

Физические устройства

Следующие угрозы считаются физическими:

Угрозы аппаратного обеспечения. Это угрозы физического повреждения аппаратной части маршрутизатора или коммутатора. Сетевое оборудование Cisco, предназначенное для решения ответственных задач, следует располагать в коммутационных отсеках или в компьютерных залах, соответствующих следующим минимальным требованиям.

— Помещение должно запираться, и доступ к нему должен иметь только уполномоченный персонал.

— К помещению не должно быть доступа через подвесной потолок, фальшпол, окна, воздуховоды или любую другую точку, кроме защищенного входа.

— По возможности используйте электронный контроль доступа, причем все попытки входа должны заноситься системой безопасности в журнал и отслеживаться службой безопасности.

— По возможности сотрудники службы безопасности должны контролировать происходящее в помещении с использованием камер слежения с автоматической записью.

Угрозы со стороны окружающей среды. К ним относятся такие угрозы, как предельные температуры (слишком высокие или слишком низкие) или крайние значения влажности (слишком низкая или слишком высокая). Для предотвращения повреждения сетевых устройств Cisco по условиям окружающей среды предпримите следующие шаги.

— Установите в помещении надежную систему контроля температуры

и

влажности. Всегда проверяйте рекомендуемые параметры окружающей

среды для всего сетевого оборудования Cisco в документации по изделию,

поставляемой в комплекте с ним.

— Удалите из помещения все источники электростатических и магнитных помех.

— По возможности дистанционно отслеживайте параметры окружающей среды в помещении и предусмотрите подачу предупреждающего сигнала.

Электрические угрозы. К ним относятся такие угрозы как всплески напряжения, недостаточное напряжение в сети (провалы напряжения), колебания напряжения (шум) и полное отключение питания. Проблемы электропитания можно свести к минимуму, выполняя следующие рекомендации.

— Установите системы бесперебойного питания для критически важных сетевых устройств Cisco.

— Установите аварийный генератор электрического тока для критически важного оборудования.

— Планируйте и выполняйте регулярные процедуры тестирования и технического обслуживания систем бесперебойного питания и генераторов с учетом предложенного производителем расписания профилактического обслуживания.

— Установите для важных устройств избыточные системы электропитания.

— Отслеживайте все параметры, связанные с электропитанием, на уровне источника питания и на уровне устройства, и предусмотрите подачу предупреждающего сигнала.

Эксплуатационные угрозы. К эксплуатационным угрозам относится неправильное обращение с основными электронными компонентами, отсутствие важных запасных частей, плохая прокладка кабеля, небрежная маркировка и т. д. Эксплуатационные угрозы образуют большую группу, которая охватывает множество ситуаций. Для предотвращения эксплуатационных угроз выполняйте общие правила, перечисленные ниже.

— Все кабели оборудования должны иметь четкую маркировку и крепиться на стойках с оборудованием для предотвращения случайного повреждения, отключения или нештатного прерывания.

— Используйте кабелепроводы и направляющие для прокладки кабеля между стойкой и потолком или между стойками.

— При замене внутренних компонентов маршрутизаторов и коммутаторов или при работе с ними всегда следуйте процедурам по предотвращению электростатического разряда.

— Храните запас важных запчастей для аварийных ситуаций.

— Не оставляйте консоль, если она подключена к любому консольному порту

и зарегистрирована на нем. Покидая станцию, всегда выполняйте выход из интерфейса администратора.

— Помните, что закрытость помещений не может быть единственной необходимой защитой устройств. Всегда помните, что ни одна комната не может обеспечить полную безопасность. Когда злоумышленники окажутся в защищенном помещении, ничто не сможет помешать им подключить терминал к консольному порту маршрутизатора или коммутатора Cisco.

Разведка

Разведка – это неавторизированное исследование и составление схемы систем, служб или уязвимых мест. Разведка также известна как сбор информации и в большинстве случаев предшествует фактической атаке доступа или DoS-атаке. Обычно злоумышленник сначала проводит эхо-тестирование сети для определения действующих IP-адресов. Затем он определяет какие службы или порты активны на этих действующих IP-адресах. На основе этой информации злоумышленник посылает запрос на порты для определения типа

и версии приложения и операционной системы, установленных на целевом хосте.

Разведка в какой-то степени аналогична тому, как воры исследуют район и ищут наиболее уязвимые дома (например, дома без жильцов или дома, в которых можно легко открыть дверь или окно). Во многих случаях злоумышленники ищут уязвимые службы, которые можно использовать в своих целях позднее, когда вероятность незамеченной атаки повысится.

Получение доступа

При проведении атак с целью получения доступа используются известные уязвимые места в службах аутентификации, службах FTP и сетевых службах для получения доступа к учетным записям в сети, конфиденциальным базам данных и другой защищаемой информации.

Атаки подбором пароля

«Атакой подбора пароля» называют многократные попытки вычислить учетную запись пользователя, пароль или то и другое. Эти многократные попытки называются «переборным криптоанализом». Атаки подбором пароля также осуществляются с использованием других методов, например, программ типа «троянский конь», фальсификации IP-адреса и анализа пакетов.

Риск нарушения безопасности возникает, когда пароли хранятся в незашифрованном виде. Для устранения рисков необходимо шифровать пароли. В большинстве систем пароли обрабатываются алгоритмом шифрования, в результате чего для паролей генерируется односторонняя хэш-функция. Из одностороннего хэша невозможно получить исходный текст. Большинство систем не дешифруют сохраненный пароль во время аутентификации:

они хранят одностороннюю хэш-функцию. При входе в систему вводится учетная запись

и пароль, и алгоритм шифрования пароля генерирует одностороннюю хэш-функцию.

Алгоритм сравнивает эту хэш-функцию с хэш-функцией, сохраненной в системе. Если

они совпадают, алгоритм делает вывод, что пользователь ввел правильный пароль.

Помните, что при обработке пароля этим алгоритмом получается хэш пароля. Хэш это не зашифрованный пароль, а результат работы алгоритма. Преимущество хэша заключается в том, что значение хэша можно восстановить только при наличии сведений об исходном пользователе и пароле, а получение исходной информации из хэша невозможно. Это преимущество делает использование хэшей идеальным для хранения паролей. При выполнении авторизации сравниваются и вычисляются не пароли, а их хэши.

Снижение угрозы атаки подбора пароля

Ниже приведены методы уменьшения воздействия атак подбора пароля:

Не позволяйте пользователям применять один пароль в разных системах. Отключайте учетные записи после определенного числа неудавшихся попыток входа в систему.

Не используйте незашифрованные пароли. Используйте «сильные» пароли (например, «mY8!Rthd8y» вместо «mybirthday»).

© 200 7 Cisco Syst ems , Inc. Вс е пр ава за щищ ены.

ICND1 v1.0— 1-8

Для уменьшения угроз атак с подбором пароля можно использовать следующие рекомендации.

Не позволяйте пользователям применять одинаковый пароль в разных системах. Большинство пользователей применяет один пароль для доступа ко всем системам, включая личные системы.