Сети VPN на основе шифрования

Более масштабным средством защиты трафика по сравнению с защищенными каналами являются виртуальные частные сети (VPN). Подобная сеть представляет собой своего рода «сеть в сети», то есть сервис, создающий у пользователей иллюзию существования их частной сети внутри публичной сети. Одним из важнейших свойств такой «частной сети» является защищенность трафика от атак пользователей публичной сети. Сетям VPN доступна не только способность имитации частной сети; они дают пользователю возможность иметь собственное адресное пространство (например, частные IP-адреса, такие как адреса сети 10.0.0.0) и обеспечивать качество обслуживания, близкое к качеству выделенного канала.

В соответствии с технологиями обеспечения безопасности данных, сети VPN делятся на два класса:

§ сети VPN на основе разграничения трафика подробно обсуждались в разделе «Вирту­альные частные сети» главы 19;

§ сети VPN на основе шифрования работают на основе рассмотренной нами в предыдущем разделе техники защищенных каналов.

Виртуальная частная сеть на основе шифрования может быть определена как совокупность защищенных каналов, созданных предприятием в открытой публичной сети для объединения своих филиалов.

То есть в VPN техника защищенных каналов применяется уже в других масштабах, связы­вая не двух пользователей, а произвольное количество клиентских сетей.

Технологии VPN на основе шифрования включают шифрование, аутентификацию и тун­нелирование.

§ Шифрование гарантирует конфиденциальность корпоративных данных при передаче через открытую сеть.

§ Аутентификация отвечает за то, чтобы взаимодействующие системы (пользователи) на обоих концах VPN были уверены в идентичности друг друга.

§ Туннелирование предоставляет возможность передавать зашифрованные пакеты по открытой публичной сети.

Для повышения уровня защищенности виртуальных частных сетей технологии VPN на основе шифрования можно применять совместно с технологиями VPN на основе раз­граничения трафика. Технологии VPN на основе разделения трафика иногда критикуют за недостаточный уровень безопасности, считая, что без шифрования трафика персонал поставщика услуг может получить несанкционированный доступ к данным. Действитель­но, такая вероятность существует, поэтому клиент услуг VPN на основе разграничения трафика, например MPLS VPN, может самостоятельно повысить защищенность своего трафика, прибегнув, скажем, к шифрованию передаваемых данных.

Сейчас наиболее широко используются сети VPN на основе протоколов IPSec и SSL. Стандарты IPSec обеспечивают высокую степень гибкости, позволяя выбрать нужный режим защиты (с шифрованием или только с обеспечением аутентичности и целостности данных), а также использовать различные алгоритмы аутентификации и шифрования. Режим инкапсуляции IPSec позволяет изолировать адресные пространства получателя (клиента) и поставщика услуг за счет применения двух IP-адресов — внешнего и вну­треннего.

Сети VPN на основе IPsec, как правило, строятся по типу CPVPN, то есть как виртуаль­ные частные сети, в которых клиент самостоятельно создает туннели IPSec через IP-сеть поставщика услуг. Причем от последнего требуется только предоставление стандартного сервиса по объединению сетей, а значит, предприятию доступны как услуги сети постав­щика, так и услуги Интернета. Конфигурирование сетей VPN на основе IPSec довольно трудоемко, поскольку туннели IPSec двухточечные, то есть при полносвязной топологии их количество пропорционально N ^х (N - 1), где N — число соединений. Необходимо учесть еще и непростую задачу поддержания инфраструктуры ключей. Протокол IPSec может применяться также для создания виртуальных частных сетей, поддерживаемых провайдером (PPVPN) — туннели в них также строятся на базе устройств клиента (СЕ- based), но эти устройства удаленно конфигурируются и администрируются поставщи­ком услуг.

Пропускная способность каналов и другие параметры QoS этой технологией не поддер­живаются, но если оператор предоставляет определенные параметры QoS (например, за счет дифференцированного обслуживания), их можно использовать при создании туннеля IPSec.

В самое последнее время выросла популярность VPN на основе протокола SSL. Напом­ним, что этот протокол работает на уровне представления, непосредственно под уровнем приложений, так что приложения должны явным способом его вызывать, чтобы создать защищенный канал для своего трафика. Наиболее популярным приложением, использую­щим защищенные каналы SSL, является веб-браузер. В этом случае защищенные каналы SSL задействует протокол HTTP, и в этом режиме работы его часто называют протоколом HTTPS. Пользователи Интернета хорошо знают этот режим, так как браузер прибегает к нему во всех случаях, когда необходимо обеспечить конфиденциальность передаваемой информации: при покупках в интернет-магазинах, при интернет-банкинге и т. п.

Служба VPN на основе SSL функционирует на основе веб-портала, развернутого в локаль­ной сети организации. Пользователи такой защищенной службы VPN получают удаленный доступ к ресурсам этой локальной сети, обращаясь к веб-порталу посредством обычного браузера через порт 443 (TCP-порт протокола HTTPS). Отсутствие специального кли­ентского программного обеспечения, требующего настройки, является значительным преимуществом VPN на основе SSL.

Выводы

Информационная система находится в состоянии защищенности, если обеспечены ее конфиденци­альность, доступность и целостность.

Информационная безопасность обеспечивается техническими средствами — системами шифро­вания, аутентификации, авторизации, аудита, антивирусной защиты, межсетевыми экранами и др., а также юридическими и морально-этическими нормами, просветительной работой и администра­тивными мерами.

Существует два класса алгоритмов шифрования — симметричные (например, DES) и асимметричные (например, AFS). Дайджест — это результат односторонней функции шифрования. Знание дайджеста не позволяет и даже не предполагает восстановления исходных данных. Дайджест используется для контроля целостности и аутентичности документа (цифровая подпись).

Аутентификация пользователя — это процедура доказательства пользователем того, что он есть тот, за кого себя выдает. Процедуры аутентификации могут основываться на знании разделяемого се­крета (многоразовые и одноразовые пароли), владения неким уникальным предметом (физическим ключом, документом, сертификатом), на биохарактеристиках (рисунок радужной оболочки глаза). Авторизация — это процедура контроля доступа легальных пользователей к ресурсам системы и предоставление каждому из них именно тех прав, которые определены ему администратором. Антивирусная защита служит для профилактики и диагностики вирусного заражения, а также для восстановления работоспособности пораженных вирусами информационных систем. В ней исполь­зуются методы, основанные на анализе содержимого файлов (сканирование сигнатур) и поведения программ (протоколирование и предупреждение подозрительных действий).

Сетевой экран осуществляет информационную защиту одной части компьютерной сети от другой путем анализа проходящего между ними трафика. Сетевые экраны делятся на экраны с фильтрацией пакетов на основе IP-адресов, сетевые экраны сеансового уровня, способные фильтровать пакеты с учетом контекста, и наиболее интеллектуальные сетевые экраны прикладного уровня. Прокси-сервер — это особый тип приложения, которое выполняет функции посредника между кли­ентскими и серверными частями распределенных сетевых приложений, причем предполагается, что клиенты принадлежат внутренней (защищаемой) сети, а серверы — внешней (потенциально опасной)сети.

Технология защищенного канала обеспечивает защиту трафика между двумя точками в открытой транспортной сети, например в Интернете. Защищенный канал подразумевает выполнение трех основных функций:

§ взаимная аутентификация абонентов при установлении соединения;

§ шифрование передаваемых по каналу сообщений;

§ подтверждение целостности поступающих по каналу сообщений, например, путем передачи одновременно с сообщением его дайджеста.

К числу наиболее популярных протоколов защищенного канала относятся IPsec и SSL. IPSec — это согласованный набор открытых стандартов, ядро которого составляют три протокола:

§ АН гарантирует целостность и аутентичность данных;

§ ESP, кроме того, обеспечивает конфиденциальность данных;

§ IKE решает задачу автоматического распределения секретных ключей, необходимых для работы протоколов аутентификации.

Более масштабным средством защиты трафика по сравнению с защищенными каналами являются виртуальные частные сети (VPN). VPN на основе шифрования включают шифрование, которое гаран­тирует конфиденциальность корпоративных данных при передаче через открытую сеть, аутентифика­цию взаимодействующих систем на обоих концах VPN и туннелирование, позволяющее передавать зашифрованные пакеты по открытой публичной сети.

Вопросы и задания

1. В каких средствах обеспечения безопасности используется шифрование? Варианты ответов:

а) аутентификация и авторизация;

б) антивирусные системы;

в) защищенный канал;

г) сетевой экран прикладного уровня;

д) фильтрующий маршрутизатор;

е) цифровая подпись.

2. Какие из антивирусных методов способны обнаружить еще неизвестный вирус? Вари­анты ответов:

а) сканирование сигнатур;

б) метод контроля целостности;

в) отслеживание поведения команд;

г) эмуляция тестируемых программ.

3. К числу базовых функций сетевого экрана относятся:

а) аудит;

б) шифрование трафика;

в) фильтрация трафика;

г) антивирусная защита;

д) функция прокси-сервера;

е) авторизация;

ж) повышение пропускной способности канала.

4. Существует ли угроза похищения пароля при использовании аппаратного ключа?

5. Справедливо ли утверждение «Поскольку открытый ключ не является секретным, то его не нужно защищать»?

6. Что содержится в электронном сертификате? Варианты ответов:

а) секретный ключ владельца данного сертификата;

б) данные о владельце сертификата;

в) информация о сертифицирующем центре, выпустившем данный сертификат;

г) зашифрованные открытым ключом сертифицирующего центра данные, содержащиеся в сертификате.

7. Правила доступа узлов сети периметра к ресурсам внутренней сети часто бывают более строгими, чем правила, регламентирующие доступ к этим ресурсам внешних пользователей. Как вы думаете, почему?

8. Какие из следующих утверждений верны:

а) любое приложение после соответствующего конфигурирования имеет возможность работать через прокси-сервер;

б) для работы через прокси-сервер приложение, изначально не рассчитанное на работу через проки-сервер, требует изменения исходного кода;

в) каждое приложение, построенное в архитектуре клиент-сервер, непременно должно работать через прокси-сервер.

9. Почему в семействе протоколов IPSec функции обеспечения целостности и аутентич­ности данных дублируются в двух протоколах — АН и ESP?

10. Отметьте в таблице все возможные комбинации режимов работы протокола IPsec.

	Хост-хост	Шлюз-шлюз	Хост-шлюз
Транспортный режим
Туннельный режим

 

Ответы на вопросы

Глава 1

1. От вычислительной техники компьютерными сетями были унаследованы интеллек­туальные возможности конечных узлов — компьютеров, а от телекоммуникационных сетей — методы передачи информации на большие расстояния.

2. Вычислительные ресурсы многотерминальных систем централизованы, а в компьютер­ной сети они распределены.

3. Значимые практические результаты по объединению компьютеров с помощью глобаль­ных связей впервые были получены в конце 60-х годов.

4. Сеть ARPANET, созданная в конце 60-х, стала прародительницей Интернета.

5. Вариант а).

6. Технология Ethernet была стандартизована в 1980 году.

7. Компьютерные и телекоммуникационные сети сближаются в отношении типов услуг и используемых технологий.

Глава 2

1. Варианты б) и в).

2. Варианты б), ж) и з).

3. К сетевым службам относятся служба WWW, электронная почта, файловая служба, IP-телефония, справочная служба, DNS, DHCP, система управления сетью. Последние четыре ориентированы на администратора сети. Файловая служба, справочная служба, DNS, DHCP часто входят в состав сетевой ОС.

4. Варианты а), в) и г).

5. Рисунок 2.9, а, слева направо: ячеистая топология/звезда/дерево, полносвязная то­пология/кольцо. Рисунок 2.9, б, верхний ряд слева направо: полносвязная топология, ячеистая топология, ячеистая топология/звезда/дерево. Рисунок 2.9, б, нижний ряд слева направо: ячеистая топология/кольцо, ячеистая топология, ячеистая топология.

6. Вариант в).

Глава 3

1. Вариант г).

2. Варианты а) и г).

3. Дискретизация по времени соответствует частоте квантования амплитуды звуковых колебаний 1/25мкс, или 40 ООО Гц. Для кодирования 1024 градаций звука требуется двоичных разрядов. Отсюда необходимая пропускная способность для передачи оцифрованного таким образом голоса равна 40 000 х 10 - 400 Кбит/с.

4. Вариант б).

5. Время передачи данных увеличится примерно на 240 мс (детали см. на сайте www.olifer. co.uk).

Глава 4

1. Модель OSI стандартизует, во-первых, семиуровневое представление средств взаимо­действия систем в сетях с коммутацией пакетов, во-вторых, перечень функций каждого уровня, в-третьих, названия всех уровней.

2. Да, модель взаимодействия открытых систем можно представить с другим количеством уровней, например, в модели TCP/IP определено только 4 уровня.

3. Все утверждения верны.

4. Модель OSI не рассматривает средства взаимодействия приложений конечных пользо­вателей. Поэтому работа приложений не может быть отнесена ни к одному из уровней модели OSI. Однако некоторые приложения, вместо того чтобы обращаться к системным средствам организации сетевого взаимодействия, реализуют их «собственными силами». В таких случаях можно говорить о том, что приложение работает на соответствующем уровне (уровнях) модели OSI.

5. Как правило, протоколы транспортного уровня устанавливаются на конечных узлах. На промежуточных узлах сети, в частности на маршрутизаторах, транспортный про­токол может быть установлен для поддержки дополнительных функций, например для удаленного управления промежуточным узлом, так как при этом промежуточный узел по отношению к управляющему узлу является конечным узлом.

6. Сетевые службы работают на прикладном уровне.

7. -

8. Никакие из перечисленных терминов синонимами не являются. К примеру, специфи­кация может быть как стандартизованной, так и не стандартизованной, а документ RFC может как являться, так и не являться стандартом.

9. Вариант г).

10. Да, компьютеры будут функционировать нормально. Отличие межуровневых интер­фейсов в стеке протоколов двух компьютеров не помешает их сетевому взаимодей­ствию.

11. Соответствующую информацию можно найти на сайтах www.ietf.org и www.rfc- editor.org.

12. Соответствующую информацию можно найти на сайтах www.ietf.org и www.rfc- editor.org.

Глава 5

1. С одной стороны, сеть оператора связи назвать корпоративной сетью нельзя, поскольку существует традиционное деление сетей на эти два типа. С другой стороны, можно, так как эта сеть может выполнять внутрикорпоративные функции, если принадлежит корпорации, которая занимается предоставлением телекоммуникационных услуг.

2. -

3. См. заполненную таблицу на сайте www.olifer.co.uk.

4. –

5. –

6. –

7. -

8. Поставщик услуг Интернета (ISP), поставщик интернет-контента (ICP), поставщик услуг хостинга (HSP), поставщик услуг по доставке контента (CDP), поставщик услуг по поддержке приложений (ASP), поставщик биллинговых услуг (BSP).

Глава 6

1. Да, краткосрочные и долгосрочные значения одной и той же характеристики могут различаться.

2. Для пакета фиксированной длины фиксированными являются время сериализации и время задержки пакета.

3. От длины пакета зависит время его сериализации.

4. Варианты а), б) и в).

5. Медиана равна 17 мс, среднее значение — 1441,7.

6. Задержки в сети лучше характеризует медиана, так как ее значение ближе к значениям большинства задержек выборки.

7. 85-процентный квантиль равен 20 мс, так как задержки шести пакетов (85 %) меньше или равны 20 мс.

8. Единичное значение односторонней задержки пакета зависит от размера пакета, так как задержка измеряется между моментом помещения в исходящую линию связи первого бита пакета узлом-отправителем и моментом приема последнего бита пакета с входящей линии связи узла-получателя.

9. –

10. –

11. -

12. Вариацию задержки можно компенсировать применением буфера достаточного раз­мера.

13. Избирательная функций формирует пары пакетов, для которых вычисляется разность односторонних задержек.

14. Варианты а) и б).

15. -

16. Трафик может передаваться с большими задержками, но без джиттера, например, при передаче по спутниковому каналу задержки для всех пакетов велики, но одинаковы.

Глава 7

1. В сетях с коммутацией каналов очереди не возникают.

2. На размер очереди в наибольшей степени влияет коэффициент загрузки.

3. Приоритетное обслуживание не дает никаких гарантий в отношении средней про­пускной способности для трафика очередей более низких приоритетов.

4. В отношении предсказуемости скорости передачи данных приложения можно раз­делить на приложения с потоковым и пульсирующим трафиком.

5. При увеличении пульсации потока задержки, связанные с пребыванием пакетов этого потока в очереди, увеличатся.

6. Обслуживающий прибор модели М/М/1 обычно соответствует выходному интерфейсу маршрутизатора, при этом производительность обслуживающего прибора равна про­пускной способности интерфейса.

7. Причиной возможного возникновения очередей в сети с коммутацией пакетов даже при невысокой средней загрузке коммутаторов и маршрутизаторов являются значи­тельные кратковременные перегрузки.

8. Вариант б), так как трафик загрузки больших файлов данных требует некоторой гаран­тированной пропускной способности, обеспечиваемой при взвешенном обслуживании, и не чувствителен к задержкам, которые могут возникать при таком обслуживании.

9. Комбинировать приоритетное и взвешенное обслуживание можно. В наиболее по­пулярном алгоритме подобного рода поддерживается одна приоритетная очередь и несколько очередей, обслуживаемых в соответствии с взвешенным алгоритмом.

10. Второй поток будет испытывать в очереди наименьшие задержки, так как он должен обслуживаться при относительном коэффициенте использования 0,5 — это минималь­ный коэффициент для всех потоков.

11. Вариант б).

12. Да, в те периоды, когда скорость потока А оказывается меньше зарезервированной для этого потока пропускной способности, эта пропускная способность может использо­ваться потоком В.

13. При инжиниринге трафика меняется маршрут.

14. Варианты б) и в).

15. -

16. При работе сети в недогруженном режиме операторы обычно выполняют мониторинг коэффициента использования пропускной способности линий связи сети.

Глава 8

1. Термин «линия связи» является синонимом всех трех представленных терминов.

2. -

3. Цифровой канал мбжет передавать аналоговые данные, если они оцифрованы.

4. Усилители только увеличивают мощность сигнала, в то время как регенераторы помимо увеличения мощности восстанавливают исходную форму сигнала.

5. Теоретически спектр сигнала некоторой определенной формы можно найти с помощью формул Фурье, а сделать это практически можно с помощью спектрального анализатора.

6. Вариант в).

7. Варианты а), в) и г).

8. Варианты а) и б).

9. Для устойчивой передачи данных мощность передатчика в 40 дБм достаточна, так как кабель вносит затухание -0,2 х 60 = -12 дБ, а это снижает мощность сигнала на входе до 28 дБм, что выше порога приемника в 20 дБм.

10. Причиной перекрестных наводок на ближнем конце кабеля является влияние электро­магнитного поля, создаваемого передатчиками, на соседние провода кабеля, к которым подключены входы приемников.

11. Повысить пропускную способность канала за счет увеличения числа состояний ин­формационного сигнала удается не всегда, поскольку это может привести к выходу спектра за пределы полосы пропускания линии.

12. Помехи в кабелях UTP подавляются за счет скручивания проводов.

13. Более качественно передает сигналы кабель с большим по абсолютной величине зна­чением NEXT.

14. Для передачи данных на большие расстояния предназначен одномодовый кабель.

15. Вариант в), так как значения импеданса передатчика и кабеля будут не совпадать.

16. Теоретический предел скорости передачи данных рассчитывается следующим образом: С - Flog₂(l + Р_C/Р_Ш) - 1 000 000 х log₂(l + 62/2) = 1 000 000 х log₂(32) - 5 Мбит/с.

Глава 9

1. В методе BFSK используется две частоты.

2. Вариант а).

3. Пятый бит добавляется для устойчивого распознавания 4-х информационных битов при искажении сигналов.

4. Количество битов, которое передает один символ кода, имеющий 10 состояний, рас­считывается по следующей формуле: log₂10 = 3,32.

5. -

6. Варианты б) и в).

7. Для улучшения самосинхронизации кода B8ZS применяется искусственное искажение последовательности нулей запрещенными символами.

8. Варианты а) и б).

9. –

10. -

11. Варианты а) и в).

12. Вариант а).

13. Вариант б).

14. В схемах контроля по паритету расстояние Хемминга равно 2.

15. -

16. В сетях с коммутацией пакетов используется асинхронный режим.

17. Первыми двумя гармониками являются 25 МГц и 75 МГц.

18. -

19. Нет, данные по каналу надежно передаваться не могут. Полоса пропускания равна 1 МГц, спектр с учетом первых двух гармоник — 10 МГц, что значительно шире имею­щейся полосы пропускания.

20. Учитывая частоту появления символов, можно выбрать следующие коды: О — 1, А — 01, D — 001, В — 001, С — 0001, F — 00000. В этой кодировке для передачи указанного со­общения потребуется 35 бит. Таким образом, достигается компрессия по сравнению с обоими случаями. Кодировка ASCII дает 128 бит. В случае использования кодов равной длины при наличии только данных шести символов для кодирования одного символа достаточно 3 бит, а для всего сообщения — 48 бит.

21. Ширина спектра увеличится в два раза.

Глава 10

3. Вариант а).

4. Радиоволны с частотами от 2 до 30 МГц могут распространяться на сотни километров за счет отражения ионосферой Земли.

5. Для спутниковой связи используется спектр 1,5-30,5 ГГц.

6. Распространению микроволн мешают туман, роса, дождь.

7. Вариант б).

8. Вариант б).

9. Эллиптические орбиты позволяют обеспечить связью районы, близкие к Северному и Южному полюсам.

10. Варианты а), б) и г).

11. Технология FHSS является высокоскоростной при условии, что применяется высоко­скоростной метод кодирования для каждой из частот.

12. Последовательность Баркера используется в технологии DSSS благодаря ее свойству быстрой синхронизации приемника с передатчиком.

13. Основным свойством расширяющих последовательностей, используемых в технологии CDMA, является взаимная ортогональность кодов.

14. Нет, указанные последовательности использовать нельзя, так как сами последователь­ности и их инверсии не являются ортогональными относительно операций, определен­ных для сигналов DSSS.

15. 01001000111.

Глава 11

1. -

2. Варианты а), б) и г).

3. -

4. Нет, в сети PDH нельзя выделить канал DS-0 непосредственно из канала DS-3.

5. Вместо «кражи бита», применяемой в канале Т-1, в канале Е-1 выделяют для служеб­ных целей два байта, нулевой и шестнадцатый.

6. –

7. -

8. Отсутствие синхронности трибутарных потоков компенсируется за счет «плавающих» виртуальных контейнеров внутри кадра SDH.

9. Кадр STM-1 может мультиплексировать 63 канала.

10. Кадр STM-1, если в нем уже мультиплексировано 15 каналов Е-1, может мультиплек­сировать 64 канала.

11. В кадре STM-1 используется три указателя, так как он может содержать три различных виртуальных контейнера уровня VC-3.

12. -

13. Вариант б).

14. Защита MS-SPRing более эффективна, чем SNC-P если трафик распределяется между мультиплексорами сети равномерно.

15. Вариант б).

16. Нет, объединять контейнеры VC-3 за счет смежной конкатенации нельзя.

17. Да, составляющие контейнеры при виртуальной конкатенации можно передавать по разным маршрутам.

18. Да, пропускную способность соединения SDH можно изменить динамически, если в сети работает механизм LCAS.

19. Протокол GFP в режиме GFP-F не использует для выравнивания скоростей пустые кадры, потому что в этом режиме кадры полностью буферизуются.

20. И в сетях FDM, и в сетях DWDM используется частотное мультиплексирование.

21. -

22. В сетях DWDM регенераторы служат для устранения нелинейных искажений опти­ческого сигнала.

23. Причиной ухудшения качества оптического сигнала является его хроматическая дис­персия.

24. Операция выравнивания выполняется, когда разница в принятых и переданных данных составляет 3 байта. Каждую секунду разница составляет 10-5 ^х 155 * 10+6 = 1550 бит, поэтому частота отрицательного выравнивания равна 1550/24 = 64,58 Гц.

25. Варианты б) и в).

Глава 12

1. Варианты а) и г).

2. -

3. Варианты б) и в).

4. -

5. Вариант б).

6. Преамбула и начальный ограничитель кадра в стандарте Ethernet служат для входа приемника в побайтный и побитный синхронизм с передатчиком.

7. Вариант б).

8. Скорость передачи пользовательских данных равна 9,597 Мбит/с.

9. Варианты а) и г).

10. Варианта).

11. Время равно 368 мс (детали см. на сайте www.olifer.co.uk).

12. -

13. Вариант б).

14. Вариант в).

15. Вариант б).

16. Вариант в).

17. -

18. Да, станция может передать кадр через точку доступа.

19. Вариант в).

20. Режим PCF всегда имеет приоритет перед режимом DCF, поскольку межкадровый интервал в режиме PCF меньше, чем в DCF.

21. Варианте).

Глава 13

1. Варианты а) и в).

2. Вариант б).

3. Вариант б).

4. Правильны все варианты.

5. Записи таблицы продвижения имеют ограниченный срок жизни с целью динамиче­ского и автоматического отражения изменений топологии сети.

6. Нет, скорость продвижения не может превосходить скорость фильтрации.

7. Варианты а), в) и г).

8. Варианты б) и в).

9. Вариант б).

10. Варианты а) и б).

11. Да, форматы кадров 10 Мбит/с Ethernet и East Ethernet совпадают.

12. Вариант в)

13. Нет, в технологии 10G-Ethernet разделяемая среда не используется.

14. Нет, для волоконно-оптических портов режим автопереговоров не поддерживается.

15. Цифра 4 говорит о том, что информация в каждом направлении передается с помощью четырех волн.

16. Нет, если только мультиплексор не имеет специальный порт 10GBase-WL.

Глава 14

1. Варианты а) и в).

2. Нет, корневой мост не имеет корневых портов.

3. Варианта).

4. Да, администратор может влиять на выбор корневого коммутатора, задавая значения старших двух байтов идентификатора коммутаторов.

5. Выбор активной топологии завершается через определенное время.

6. Варианты б), в) и г).

7. -

8. Вариант б).

9. Варианты а), б) и в).

10. Варианты б) и в).

11. Варианты б), в) и г).

12. Группирование портов плохо работает в сети, построенной на нескольких коммутато­рах, из-за слишком больших накладных расходов: для соединения коммутаторов нужно использовать столько портов, сколько сетей VLAN существует в сети.

13. Да, можно одновременно использовать группирование портов и стандарт IEEE 802.1Q.

14. Да, алгоритм покрывающего дерева должен учитывать наличие в сети VLAN.

Глава 15

1. Варианты а) и в). Идентификатор виртуального канала и МАС-адрес могут являться локальными (аппаратными) адресами интерфейсов, если соответствующие сети вклю­чены в составную IP-сеть в качестве подсетей.

2. Варианты а) и г). Детали см. на сайте www.olifer.co.uk.

3. -

4. Номер подсети 108.5.16.0. Для нумерации интерфейсов в данной сети может быть использовано 12 бит, то есть 4096 значений. Но так как двоичные значения, состоящие из одних нулей и одних единиц, зарезервированы, то в сети не может быть более 4094 узлов.

5. Об IP-адресах узлов ничего определенного сказать нельзя (детали см. на сайте www. olifer.co.uk).

6. Вариант в).

7. Количество ARP-таблиц соответствует числу сетевых интерфейсов с назначенными IP-адресами.

8. При наличии DHCP-агентов достаточно одного DHCP-сервера.

9. Максимум можно организовать 16 385 подсетей. При этом маска должна иметь значе­ние 255.255.255.252 (детали см. на сайте www.olifer.co.uk).

10. Администратор должен иметь 25 адресов при условии, что в сети установлен DHCP- сервер.

Глава 16

4. Вариант в).

5. Записей о маршрутах по умолчанию в таблице маршрутизации может быть несколько.

6. -

7. Нет, в IP-пакете маска не передается.

8. -

9. Вариант б).

10. Такое сочетание адреса сети и маски дает совпадение с любым IP-адресом.

11. Вариант г).

12. Вариант в).

Глава 17

1. Объем полученных данных составляет 165 005 байт.

2. Варианты а) и г).

3. Да, в сети можно обойтись без протоколов маршрутизации, если создавать таблицы маршрутизации вручную.

4. Вариант в).

5. Варианты а), б) и в).

6. Варианты а), б) и г).

7. Вариант в). ICMP-сообщение всегда направляется узлу-отправителю пакета, вызвавшего ошибку. Оно обрабатывается либо ядром операционной системы, либо протоколами транспортного и прикладного уровней, либо приложениями, либо просто игнорируется. Обработка ICMP-сообщений в функции протоколов IP и ICMP не входит.

Глава 18

3. Вариант г).

4. -

5. Варианты б) и в).

6. В качестве номеров назначенных портов могут выступать произвольные числа, уни­кальные для данного глобального IP-адреса, например 4100,4102,4103.

7. Вариант а).

8. -

9. Вариант в).

Глава 19

1. Вариант б).

2. Варианты а) и б).

3. Варианты б) и в).

4. Варианты б) и в).

5. При туннелировании роль несущего протокола чаще всего исполняет протокол IP.

6. Вариант б).

7. Да, были помечены кадры 6 и 7, так как согласованная величина пульсации равна: CIR х Т - 51 200 бит - 6400 байт, и это значение превышается 6-м кадром.

8. Варианта).

9. Вариант б).

10. Вариант в).

11. Варианты а) и в).

12. Варианты а), б) и в).

13. Вариант б).

Глава 20

1. Варианте).

2. Варианты б) и в).

3. Максимальное число уровней иерархии путей LSP стандартами MPLS не ограничивается.

4. Да, в сети, поддерживающей MPLS, часть трафика можно передавать посредством обычного IP-продвижения.

5. Варианте).

6. Вариант в).

7. Варианта).

8. Варианта).

9. Вариант б).

10. Вариант в).

11. Варианты б) и в).

12. Варианте).

13. Варианты б) и в).

Глава 21

1. Правильны все варианты ответов.

2. Варианты б), в) и г).

3. Варианты б) и в).

4. Варианты б) и в).

5. Правильны все варианты ответов.

6. Варианты а) и б).

7. Максимальное количество псевдоканалов равно 1 048 576. Эта величина определяется разрядностью метки MPLS.

8. Нет, устройство РЕ не должно изучать МАС-адреса клиентов.

9. Вариант б).

10. Вариант б).

11. Да, стандарт Y.1731 дополняет функции стандарта CFM набором функций монито­ринга производительности сети.

12. Вариант б).

13. Варианте).

Глава 22

 

1. Варианты а), б) и в).

2. Принимать во внимание нужно набор дополнительных услуг, которыми клиенты хо­тели бы воспользоваться.

3. Универсальным можно назвать абонентское окончание, которое обеспечивает передачу всех видов трафика: компьютерного, телефонного и телевизионного.

4. Варианты а) и б).

5. При конфигурировании маршрутизаторов имеет место удаленное управление с по­мощью протокола telnet.

6. Варианты б) и в).

7. Это зависит от функциональности модема. Если модем не кадрирует информацию и оперирует только с потоком битов, то он является устройством физического уровня. Если же он кадрирует информацию, то это устройство канального уровня.

8. Вариант а).

9. Варианте).

10. Соединение будет работать на скорости 33,6 Кбит/с.

11. Варианта).

12. Варианта).

Глава 23

 

 

2.

Используется почтовым клиентом для передачи письма на сервер	SMTP
Используется почтовым клиентом для получения письма с сервера	POP3, IMAP
При получении почты письмо перемещается с сервера на клиент	POP3
При получении почты письмо копируется с сервера на клиент	IMAP

3.

Путь к объекту	/mobile/web/versions.shtml
DNS-имя сервера	www.bbc.co.uk
URL-имя	http://www.bbc.co.uk/mobile/web/versions.shtml
Тип протокола доступа	http://

4. Варианты б), в) и е).

5. Варианты б), г) и д).

6. Варианты а), в) и г).

7. Варианты а), б) и г).

Глава 24

1. Варианты а), г), д) и е).

2. Варианты б), в) и г).

3. Варианты а), в) и д).

4. Да, при использовании аппаратного ключа существует угроза похищения пароля в те­чение интервала существования «разового» значения ключа.

5. Нет, это утверждение несправедливо, открытый ключ необходимо защищать от под­мены.

6. Варианты б) и в).

7. Вариант б).

8. Все комбинации возможны, кроме работы в транспортном режиме защищенного ка­нала, построенного по схеме шлюз-шлюз.

Рекомендуемая и использованная литература

1. Фред Хамам. Передача данных, сети компьютеров и взаимосвязь открытых систем, полосу от некоторой величиныРадио и связь, 1995.

2. Столингс В. Передача данных, 4-е изд. СПб.: Питер, 2004.

3. Столингс В. Современные компьютерные сети, 2-е изд. СПб.: Питер, 2003.

4. КуроузДж., Росс К Компьютерные сети, 4-е изд. СПб.: Питер, 2004.

5. Таненбаум Э. Компьютерные сети, 4-е изд. СПб.: Питер, 2002.

6. Фейт Сидни. TCP/IP. Архитектура, протоколы, реализация. М.: Лори, 2000.

7. Стивен Браун. Виртуальные частные сети. М: Лори, 2001.

8. Шринивас Вегешна. Качество обслуживания в сетях IP. полосу от некоторой величиныВильямс, 2003.

9. Аннабел 3. Додд. Мир телекоммуникаций. Обзор технологий и отрасли. М.: ЗАО «Олимп- Бизнес», 2002.

10. Кеннеди Кларк, Кевин Гамильтон. Принципы коммутации в локальных сетях Cisco. М.: Вильямс, 2003.

11. Дуглас Э. Камер. Сети TCP/IP. Том 1. Принципы, протоколы и структура. М.: Вильямс, 2003.

12. Блэк Ю. Сети ЭВМ: протоколы стандарты, интерфейсы. Перев. с англ. М.: Мир, 1990.

13. Ричард Стивенс. Протоколы TCP/IP. Практическое руководство. СПб.: БХВ-Санкт-Петербург, 2003.

14. Слепое Н. Н. Синхронные цифровые сети SDH. М.: Эко-Трендз, 1998.

15. Денисьев и Мирошников. Средства связи для «последней мили». М.: Эко-Трендз, 1998.

16. Дилип Найк. Стандарты и протоколы Интернета. М.: Channel Trading Ltd., 1999.

17. Уолрэнд Дж. Телекоммуникационные и компьютерные сети. Вводный курс, М.: Постмаркет, 2001.

18. Гольдштейн Б. С., Пинчук А. В., Суховицкий А. Л. IP-телефония. М.: Радио и связь, 2001.

19. Олифер В. Г., Олифер Н. А. Новые технологии и оборудование IP-сетей. СПб.: БХВ-Санкт- Петербург, 2000.

20. Олифер В. Г., Олифер Н. А. Сетевые операционные системы, 2-е изд. СПб.: Питер, 2008.

Алфавитный указатель