Настройка сетевого интерфейса в CentOs

Настроим сетевой интерфейс путем редактирования конфигурационного файла, который расположен в директории /etc/sysconfig/network-scripts/

В моем случае кабель подключен в первый (и единственный)сетевой адаптер, который называется в системе eth0. Выполним редактирование соответствующего файла:

# vi /etc/sysconfig/network-scripts/ifcfg-eth0

Напоминаю, чтобы внести изменения в содержание файла в редакторе vi— необходимо:

• нажать клавишу «i» или «Insert»

• для выхода из режима редактирования — «esc»

• для сохранения внесенных изменений — «Shift+:» затем «wq» и нажать «Enter»

Для сети со статическим IP адресом:

DEVICE=»eth0″ BOOTPROTO=»none» ONBOOT=»yes» IPADDR=»192.168.1.100″ NETMASK=»255.255.255.0″ GATEWAY=»192.168.1.1″

Для сети с использованием DHCP:

DEVICE=»eth0″ BOOTPROTO=»dhcp» ONBOOT=»yes»

Комментарии выполненных действий:

DEVICE=<name>	Имя физического устройства
BOOTPROTO=<none|bootp|dhco>	Используемый протокол. none — Не используем никакой протокол при загрузке bootp — Используем BOOTP протокол dhcp — Используем DHCP
ONBOOT=<yes|no>	Активировать ли устройство во время загрузки
IPADDR=<address>	IP адрес
GATEWAY=<address>	IP адрес шлюза
NETMASK=<mask>	Значение сетевой маски

Настройке сети

Выполняем редактирование сетевого конфигурационного файла:

# vi /etc/sysconfig/network

Вводим следующие данные:

NETWORKING=»yes» HOSTNAME=»Имя.Вашего.Сервера» или рабочей станции

Для корректного применения настроек (чтобы они вступили в силу) выполняем перезапуск сети:

# /etc/init.d/network restart

 

Если изменения в файле /etc/sysconfig/network не требуются, тогда можно рестартануть только интерфейс :

# ifdown eth0 && ifup eth0

 

Также стоит знать, что настройку сети можно выполнить быстрее, выполним данные команды:

ifconfig eth0 192.168.Х.Х netmask 255.255.255.0

Для отключения сетевого интерфейса выполните:

ifconfig eth0 down

Если же вы хотите, чтобы настройки были получены автоматически по DHCP, то выполните следующую команду:

dhclient eth0

В данном случае, чтобы прекратить работу сетевого интерфейса необходимо будет завершить работу программы dhclient:

killall dhclient

НО! При настройке сети подобным образом, после перезагрузки конфигурирование придется производить заново.

Настройка dns

Открываем файл ‘resolv.conf’ :

# vi /etc/resolv.conf

Пропишите Ваши DNS сервера :

nameserver 192.168.Х.Х nameserver 192.168.Х.Х

или же всем знакомый и привычный — 8.8.8.8 / 8.8.4.4

Настройка работы сети (и сетевых инструментов) в CenOS завершена.

Можно рассказать настройку сети из командной строки Windows

2. стеганография является наукой, обеспечивающей обмен информаци­ей таким образом, что скрывается сам факт существования секретной связи. Она не за­меняет криптографию (шифрование данных), а дополняет ее еще одним уровнем безо­пасности. При обработке данных стеганографическими методами происходит скрытие передаваемой информации в других объектах (файлах, дисках и т. п.) таким образом, чтобы постороннее лицо не могло догадаться о существовании скрытого секретного сообщения. При этом обнаружить такое сообщение довольно слож­но, но если это и произойдет, то сообщение может быть к тому же еще и надежно зашиф­ровано. При реализации методов стеганографии на компьютере (компьютерная стега­нография) определяющим фактором является выбор способа кодирования данных. В настоящее время стеганографические системы активно используются для решения следующих основных задач: - защита конфиденциальной информации от несанкционированного доступа; - преодоление систем мониторинга и управления сетевыми ресурсами; - камуфлирования программного обеспечения; - защита авторского права на некоторые виды интеллектуальной собственности. Основными положениями современной компьютерной стеганографии являются следующие: методы скрытия должны обеспечивать аутентичность и целостность файла; безопасность методов основывается на сохранении преобразо­ванием основных свойств открыто передаваемого файла при внесении в него сек­ретного сообщения и некоторой неизвестной противнику информации — ключа; даже если факт скрытия сообщения стал известен противнику через сообщника, извлечение самого секретного сообщения представляет сложную вычислитель­ную задачу.

Кроме скрытой передачи сообщений, стеганография является одной из самых перспективных направлений, применяемых для аутентификации и маркировки авторской продукции. При этом, часто в качестве внедряемой информации используются дата и место создания продукта, данные об авторе, номер лицензии, серийный номер, дата истечения срока работы (удобно для распространения shareware-программ) и др. Эта информация обычно внедряется как в графические и аудиопроизведения, так и в защи­щаемые программные продукты.

В настоящее время методы компьютерной стеганографии развиваются по двум основным направлениям:

1.     Методы, основанные на использовании специальных свойств компьютерных форматов;

2.     Методы, основанные на использовании избыточности аудио и визуальной информации.

Ниже представлена таблица: сравнительный анализ существующих стеганографических методов.

 

Стеганографические методы	Краткая характеристика методов	Недостатки	Преимущества
1. Методы использования специальных свойств компьютерных форматов данных
1.1.Методы использования зарезервированных для расширения полей компьютерных форматов данных	Поля расширения имеются во многих мультимедийных форматах, они заполняются нулевой информацией и не учитываются программой	Низкая степень скрытности, передача небольших ограниченных объемов информации	Простота использования
1.2.Методы специального форматирования текстовых файлов:
1.2.1.Методы использования известного смещения слов, предложений, абзацев	Методы основаны на изменении положения строк и расстановки слов в предложении, что обеспечивается вставкой дополнительных пробелов между словами	1.Слабая производительность метода, передача небольших объемов информации   2. Низкая степень скрытности	Простота использования. Имеется опубликованное программное обеспечение реализации данного метода
1.2.2. Методы выбора определенных позиций букв (нулевой шифр)	Акростих – частный случай этого метода (например, начальные буквы каждой строки образуют сообщение)
1.2.3.Методы использования специальных свойств полей форматов, не отображаемых на экране	Методы основаны на использовании специальных "невидимых", скрытых полей для организации сносок и ссылок (например, использование черного шрифта на черном фоне)
1.3. Методы скрытия в неиспользуемых местах гибких дисков	Информация записывается в обычно неиспользуемых местах ГМД (например, в нулевой дорожке)	1.Слабая производительность метода, передача небольших объемов информации 2. Низкая степень скрытности	Простота использования. Имеется опубликованное программное обеспечение реализации данного метода
1.4.Методы использования имитирующих функций (mimic-function)	Метод основан на генерации текстов и является обобщением акростиха. Для тайного сообщения генерируется осмысленный текст, скрывающий само сообщение	1.Слабая производительность  метода, передача небольших объемов информации 2. Низкая степень скрытности	Результирующий текст не является подозрительным для систем мониторинга сети
2. Методы использования избыточности аудио и визуальной информации
2.1. Методы использования избыточности файлов цифрового видеоряда, фотографий или цифрового звука	Младшие разряды цифровых отсчетов содержат очень мало полезной информации. Их заполнение дополнительной информацией практически не влияет на качество восприятия, что и обеспечивает возможность скрытия.	С изменением информации искажаются статистические характеристики цифровых потоков. Для снижения компрометирующих признаков требуется коррекция статистических характеристик.	Возможность скрытой передачи большого объема информации. Возможность защиты авторского права, скрытого изображения, товарной марки, регистрационных номеров и т.п.

Билет 6.

1. Устройство пакета, передаваемого по сети. Адресация в иерархической сети. Маски подсети переменной длины. Использование бесклассовой маршрутизации CIDR.

2. Защита электронных документов с использованием цифровых водяных знаков.

3. Из плоского 8-жильного кабеля заклепать гигабитный кросс-овер.

1. Чаще всего пакет содержит в себе следующие основные поля или части (рис. 4.3):

Рис. 4.3.  Типичная структура пакета

• Стартовая комбинация битов или преамбула, которая обеспечивает предварительную настройку аппаратуры адаптера или другого сетевого устройства на прием и обработку пакета. Это поле может полностью отсутствовать или же сводиться к единственному стартовому биту.

• Сетевой адрес (идентификатор) принимающего абонента, то есть индивидуальный или групповой номер, присвоенный каждому принимающему абоненту в сети. Этот адрес позволяет приемнику распознать пакет, адресованный ему лично, группе, в которую он входит, или всем абонентам сети одновременно (при широком вещании).

• Сетевой адрес (идентификатор) передающего абонента, то есть индивидуальный номер, присвоенный каждому передающему абоненту. Этот адрес информирует принимающего абонента, откуда пришел данный пакет. Включение в пакет адреса передатчика необходимо в том случае, когда одному приемнику могут попеременно приходить пакеты от разных передатчиков.

• Служебная информация, которая может указывать на тип пакета, его номер, размер, формат, маршрут его доставки, на то, что с ним надо делать приемнику и т.д.

• Данные (поле данных) – это та информация, ради передачи которой используется пакет. В отличие от всех остальных полей пакета поле данных имеет переменную длину, которая, собственно, и определяет полную длину пакета. Существуют специальные управляющие пакеты, которые не имеют поля данных. Их можно рассматривать как сетевые команды. Пакеты, включающие поле данных, называются информационными пакетами. Управляющие пакеты могут выполнять функцию начала и конца сеанса связи, подтверждения приема информационного пакета, запроса информационного пакета и т.д.

• Контрольная сумма пакета – это числовой код, формируемый передатчиком по определенным правилам и содержащий в свернутом виде информацию обо всем пакете. Приемник, повторяя вычисления, сделанные передатчиком, с принятым пакетом, сравнивает их результат с контрольной суммой и делает вывод о правильности или ошибочности передачи пакета. Если пакет ошибочен, то приемник запрашивает его повторную передачу. Обычно используется циклическая контрольная сумма (CRC).

• Стоповая комбинация служит для информирования аппаратуры принимающего абонента об окончании пакета, обеспечивает выход аппаратуры приемника из состояния приема. Это поле может отсутствовать, если используется самосинхронизирующийся код, позволяющий определять момент окончания передачи пакета.

Масштабируемая сеть требует схемы адресации допускающей рост. Однако вследствие неконтролируемого роста сети могут возникнуть ряд непредвиденных последствий. По мере добавления узлов и подсетей  в сеть предприятия может возникнуть нехватка свободных адресов и потребуется изменение схемы существующих адресов. Этого можно избежать путём тщательного планирования масштабируемой адресной системы сети предприятия.

Когда в 80-х годах внедрялся TCP/IP, он базировался на двухуровневой адресной схеме. Старшая часть 32-битового IP адреса определяла номер (адрес) сети, а младшая - номер хоста. Адрес сети необходим для взаимодействия сетей. Маршрутизаторы используют сетевую часть адреса для организации связи между хостами из различных сетей.

В современных сетях классы часто игнорируются, а используется бесклассовая IP схема, основанная на масках подсетей.

Здесь и далее мы будем использовать маски в виде последовательности бинарных единиц, переходящей в последовательность бинарных нулей общей длинной в 32 бита. Маски принято записывать в десятичной форме подобно IP адресам

111111111111111100000000000000 <->11111111 1111111 0000000 0000000 <->

255 255 0 0 <->  255.255.0.0

Маска подсети является необходимым дополнением к IP адресу. Если бит в IP адресе соответствует единичному биту в маске, то этот бит в IP адресе представляет номер сети, а если бит в IP адресе соответствует нулевому биту в маске, то этот бит в IP адресе представляет номер хоста. Так для маски 255.255.0.0 и адреса 172.24.100.45 номер сети будет 172.24.0.0, а для маски 255.255.255.0 номер сети будет 172.24.100.0.

Другая форма записи маски - /N, где N – число единиц в маске. Эта форма используется только в сочетании с IP адресом. Например, для маски 255.255.0.0 и адреса 172.24.100.45 пишут  172.24.100.45/16.

 Все адреса класса А имеют маску 255.0.0.0, адреса класса В имеют маску 255.255.0.0, а адреса класса С имеют маску 255. 255. 255.0. Обратное утверждение неправомерно, так как при определении класса используются первые биты в первом октете адреса.

Если организация располагает сетью класса В (маска 255.255.0.0), то она может разбить эту сеть на подсети, используя маску 255.255.255.0. Например, если адрес 172.24.100.45 принадлежит организации, то номером сети класса В будет 172.24.0.0, а номер внутрикорпоративной подсети будет равен 172.24.100.0. Заметим, что полученные подсети не будут являться сетями класса С.

Если число нулей в маске равно M, то число доступных адресов хостов в подсети равно 2M-2. То есть два адреса в подсети использовать не рекомендуется. Один из этих адресов, у которого последние М бит равны нулю, называется адресом подсети, а второй из этих адресов у которого последние М бит равны единице называется широковещательным адресом. Так для адреса 172.24.100.45/24 адрес подсети равен 172.24.100.0, а широковещательным адрес равен 172.24.100.255. Число адресов в подсети равно 2⁸-2 =254.

Адреса класса А и В составляют около 75 процентов адресного пространства. Количество сетей классов  А и В приблизительно равно 17000. Приобретение сети класса B, а тем более класса А в настоящее время весьма проблематично. Адреса класса С составляют около 12.5 процентов адресного пространства. Количество сетей класса  С приблизительно равно 2.1 миллиона. К сожалению сеть класса С ограничена 254 адресами, что не отвечает нуждам больших организаций, которые не могут приобрести адреса класса А или В.

Классовая IP адресация, даже с использованием подсетей, не может удовлетворить требование по масштабируемости для Интернет сообщества.

Уже в начале 90-х годов почти все сети класса В были распределены. Добавление в Интернет новых сетей класса С приводило к значительному росту таблиц маршрутов и   перегрузке маршрутизаторов. Использование бесклассовой адресации позволило в значительной мере решить возникшие проблемы.

 CIDR

Современные маршрутизаторы используют форму IP адресации называемую безклассовой междоменной маршрутизацией (Classless Interdomain Routing (CIDR)), которая игнорирует классы. В системах, использующих классы, маршрутизатор определяет класс адреса и затем разделяет адрес на октеты сети и октеты хоста, базируясь на этом классе. В CIDR маршрутизатор использует биты маски для определения в адресе сетевой части и номера хоста. Граница разделения адреса может проходить посреди октета.

CIDR значительно улучшает масштабируемость и эффективность IP по следующим пунктам:

- гибкость;

- экономичное использование адресов в выделенном диапазоне;

- улучшенная агрегация маршрутов;

- Supernetting - комбинация непрерывных сетевых адресов в новый адрес надсети, определяемый маской.

 CIDR позволяет маршрутизаторам агрегировать или суммировать информацию о маршрутах. Они делают это путём использования маски вместо классов адресов для определения сетевой части IP адреса. Это сокращает размеры таблиц маршрутов, так как используется лишь один адрес и маска для представления маршрутов ко многим подсетям.

Уметь считать маски

2. Чтобы компьютерный файл, представляющий собой объект авторского права, не мог быть изменен без ведома автора, чтобы он содержал всю необходимую информацию о правомерном использовании, применяются стеганографические вставки, или цифровые водяные знаки (ЦВЗ). Если произведение подвергается какому-то изменению, то вместе с ним изменяется и видимый водяной знак.

ЦВЗ получили свое название по аналогии с водяными знаками, применяемыми в денежных банкнотах и других ценных бумагах. Они представляют собой специальные метки, внедряемые в файл, в цифровое изображение или цифровой сигнал в целях контроля их правомочного использования. ЦВЗ делятся на два типа — видимые и невидимые.

Видимые ЦВЗ довольно просто удалить или заменить. Для этого могут быть использованы графические или текстовые редакторы. Невидимые ЦВЗ представляют собой встраиваемые в компьютерные файлы вставки, не воспринимаемые человеческим глазом или ухом. Поэтому ЦВЗ должны отвечать следующим требованиям:

— незаметность для пользователей;

— индивидуальность алгоритма нанесения (достигается с помощью стеганографического алгоритма с использованием ключа);

— возможность для автора обнаружить несанкционированное использование файла;

— невозможность удаления неуполномоченными лицами;

— устойчивость к изменениям носителя-контейнера (к изменению его формата и размеров, к масштабированию, сжатию, повороту, фильтрации, введению спецэффектов, монтажу, аналоговым и цифровым преобразованиям).

Перечисленным требованиям удовлетворяет метод обратимого сокрытия данных (Reversible Data Hiding, RDH) в файлах, хранящих изображения. Суть его заключается в том, что в файл встраиваются незаметные контрольные данные, содержащие информацию о его изменяемой части, т. е. обо всём файле за исключением ЦВЗ. Способ хранения подобных данных внутри контролируемого файла, предлагаемый RDH, представляется весьма удобным. При извлечении из файла ЦВЗ его можно привести к первоначальному виду. Кроме того, всегда можно убедиться, проводились ли с защищаемым изображением какие-либо изменения после вставки данных.

Сочетание ЭЦП и стеганографии повышает защищенность документа, однако сами эти технические средства также требуют защиты. Ведь злоумышленник может изменить как цифровой знак, так и данные, контейнер или ЦВЗ.

Для повышения защищенности файлов предлагается подписывать весь контейнер (электронный документ или объект авторского права) с внедренными ЦВЗ и электронной цифровой подписью, полученной с использованием закрытого ключа автора документа. Подпись должна храниться в удостоверяющем центре (УЦ).

Каждый легальный пользователь может с помощью открытого ключа (все они хранятся в УЦ в открытом доступе) проверить подлинность и неизменность файла. Цифровой водяной знак служит гарантией того, что даже если злоумышленник подпишет файл от своего имени, результаты проверки его электронной подписи и ЦВЗ не совпадут и можно будет установить нарушение. ЦВЗ выступает в качестве дополнительного уровня защиты, который иногда затруднительно даже обнаружить, а тем более обойти. Этот уровень защиты позволяет доказать авторство при экспертизе.

Одновременное независимое использование нескольких технических мер защиты (ЦВЗ, ЭЦП и метки времени) повышает уровень защищенности электронного документа в системе. Нужно потратить массу средств (месяцы и даже годы, тысячи и миллионы долларов), чтобы подобрать цифровую подпись к электронному документу.

Можно в виде ЦВЗ встроить в файл значение ЭЦП или хэш-значение от файла-контейнера. Встроенная ЭЦП позволит проконтролировать авторство и неизменность электронного документа, в то время как встроенное хэш-значение способно подтвердить только неизменность информации.

Чтобы обеспечить дополнительную надежность, можно до встраивания ЦВЗ заверить оригинальный файл электронной подписью с использованием цифровой метки времени.

Билет 7.

1. Маршрутизация с помощью протокола вектора расстояний. Маршрутизация на основе состояния канала. Протоколы внутренней и внешней маршрутизации.

2. Технологии межсетевых экранов. Схемы сетевой защиты на базе МЭ.

3. Настроить Wi-Fi точку доступа на работу со встроенным DHCP

1. Маршрутизаторы функционируют в сетях с коммутацией пакетов, где все возможные маршруты уже существуют. Процесс прокладывания пути производится либо вручную администратором (статическая маршрутизация), либо автоматически маршрутизирующим протоколом (динамическая маршрутизация).

Маршрутизаторы, зная информацию о пути к некоторым сетям, обмениваются этой информацией с другими устройствами. После таких обновлений все маршрутизаторы будут иметь согласованную информацию о маршрутах к доступным сетям. Процесс обмена обновлениями реализуют протоколы маршрутизации. Таким образом, протоколы маршрутизации разделяют сетевую информацию между маршрутизаторами.

При изменениях в топологии требуется некоторое время (время сходимости или конвергенции) для согласования информации в таблицах маршрутизации всех маршрутизаторов сети. Время сходимости является важным фактором при выборе протокола маршрутизации.

Маршрутная информация собирается по определенным правилам в ходе реализации алгоритма динамического обмена обновлениями (update, модификациями) между маршрутизаторами. Протокол маршрутизации должен создавать и поддерживать таблицы маршрутизации, где хранятся пути ко всем доступным сетям назначения, а также извещать другие маршрутизаторы о всех известных ему изменениях в топологии сети, т.е. решать задачу обнаружения сетей.

Совокупность сетей, представленных маршрутизаторами под общим административным управлением, образует автономную систему ( рис. 3.1). Автономные системы нумеруются (AS1, AS2, …AS107, …) и в некоторых протоколах (IGRP, EIGRP) эти номера используются при конфигурировании.

Рис. 3.1. Взаимодействие автономных систем

Внутри автономной системы работают протоколы внутренней маршрутизации (Interior Gateway Protocols - IGP), к которым относятся RIP, RIPv2, EIGRP, OSPF, IS-IS. Маршрутизацию между автономными системами производят протоколы внешней маршрутизации (Exterior Gateway Protocols - EGP). Примером протокола внешней маршрутизации является протокол BGP, который работает на пограничных маршрутизаторах автономных систем ( рис. 3.1).

Совокупность протоколов маршрутизации приведена в табл. 3.1, из которой следует, что протоколы динамической маршрутизации, работающие внутри автономных систем, в свою очередь, подразделяются на протоколы вектора расстояния (distance-vector) и протоколы состояния канала (link-state).

Таблица 3.1. Протоколы динамической маршрутизации
Протоколы внутренней маршрутизации					Протоколы внешней маршрутизации
Вектора расстояния		Состояния канала			Вектора пути
RIP-2	EIGRP		OSPF	IS-IS		BGP

Протоколы вектора расстояния определяют расстояние и направление, т.е. вектор соединения в составной сети на пути к адресату. При использовании протокола вектора расстояния маршрутизаторы посылают всю или часть таблицы маршрутизации соседним (смежным) маршрутизаторам. В таких протоколах как RIP и RIP-2 расстояние выражается в количестве переходов (hop count) в соединении на пути от узла источника к адресату назначения. Обмен обновлениями (update) или модификациями происходит периодически, даже если в сети нет никаких изменений, на что тратится значительная часть полосы пропускания. Получив обновление маршрутной информации, маршрутизатор может заново вычислить все известные пути и модернизировать таблицу маршрутизации.

Протоколы состояния канала создают полную картину топологии сети и вычисляют кратчайшие пути ко всем сетям назначения. Если путей с одинаковой метрикой несколько, то выбирается первый из вычисленных. Рассылка обновлений маршрутной информации производится только при изменениях топологии сети. Протоколы состояния канала (или соединения) быстрее реагируют на изменения в сети по сравнению с протоколами вектора расстояния, но при этом требуют больших вычислительных ресурсов.

Когда инкапсулированный в кадр пакет прибывает на входной интерфейс, маршрутизатор декапсулирует его, затем использует таблицу маршрутизации, чтобы определить, по какому маршруту направить пакет, т.е. на какой свой выходной интерфейс передать поступивший пакет. Выходной интерфейс связан с наиболее рациональным маршрутом к адресату назначения. Этот процесс называется коммутацией или продвижением пакета. На выходном интерфейсе пакет инкапсулируется в новый кадр, при этом маршрутизатор добавляет информацию для формирования кадра

Маршрутизаторы способны одновременно поддерживать несколько независимых протоколов с разными административными расстояниями (AD), которые показывают степень достоверности источника маршрута. В таблицу маршрутизации устанавливаются маршруты, созданные протоколами с наименьшим административным расстоянием.

Определение протоколом маршрутизации наиболее рационального (оптимального) пути производится на основе определенного критерия - метрики. Значение метрики используется при оценке возможных путей к адресату назначения. В настоящем курсе рассматриваются следующие протоколы маршрутизации:

RIP (Routing Information Protocol)	-	протокол маршрутизации на основе вектора расстояния (первая и вторая версии),
EIGRP (Enhanced Interior Gateway Routing Protocol)	-	расширенный протокол внутренней маршрутизации,
OSPF (Open Shortest Path First)	-	открытый протокол маршрутизации по состоянию канала.

Перечисленные протоколы используют разные параметры метрики.

Различные протоколы маршрутизации используют разные алгоритмы при выборе маршрута, т.е. выходного интерфейса и (или) адреса следующего перехода, на который должен быть передан пакет. Алгоритм и метрика определяются целым рядом решаемых задач, таких как простота, устойчивость, гибкость, быстрая сходимость или конвергенция. Сходимость - это процесс согласования между маршрутизаторами сети информации о доступных маршрутах. При изменениях состояния сети необходимо, чтобы обмен модификациями восстановил согласованную сетевую информацию.

Каждый алгоритм по своему интерпретирует выбор наиболее рационального пути на основе метрики. Обычно меньшее значение метрики соответствует лучшему маршруту. Метрика может базироваться на одном или на нескольких параметрах пути. В протоколах маршрутизации наиболее часто используются следующие параметры метрики:

Полоса пропускания (Bandwidth)	-	способность соединения передавать данные с некоторой скоростью. Например, соединения сети FastEthernet передающие данные со скоростью 100 Мбит/c, предпочтительней каналов Е1 со скоростью 2,048 Мбит/c.
Задержка (Delay)	-	это длительность времени прохождения пакета от источника до адресата назначения. Задержка зависит от количества промежуточных соединений и их типов, объема буферных устройств маршрутизаторов, сходимости сети и расстояния между узлами.
Загрузка (Load)	-	определяется количеством информации, загружающей сетевые ресурсы (маршрутизаторы и каналы). Чем больше загрузка, тем больше очереди на обслуживание, тем дольше пакет будет в пути.
Надежность (Reliability)	-	определяется интенсивностью ошибок на каждом сетевом соединении.
Количество переходов (Hop count)	-	это количество маршрутизаторов, через которые пакет должен пройти на пути к адресату назначения (число переходов от маршрутизатора к маршрутизатору).
Стоимость (Cost)	-	обобщенный параметр затрат на передачу пакета к адресату назначения. Иногда стоимость имеет произвольное значение, назначенное администратором.

Наиболее известным в сети Internet протоколом вектора расстояния (distance-vector) является Routing Information Protocol (RIP), который использует в качестве метрики число переходов (hop count) на пути к адресату назначения.

Другим простым протоколом вектора расстояния является Interior Gateway Routing Protocol (IGRP), который был разработан в корпорации Cisco. Для работы в больших сетях на смену ему пришел протокол Enhanced IGRP (EIGRP), который включает много особенностей протоколов как типа link-state, так и distance-vector. Поэтому он, по сути, является гибридным протоколом. Однако разработчики фирмы Cisco относят его к протоколам distance-vector.

Протоколы вектора расстояния (RIP, IGRP) периодически рассылают обновления маршрутной информации. У протокола RIP этот период равен 30 сек. При этом обновляются таблицы маршрутизации, которые хранят всю информацию о маршрутах в сети. При изменении в сети маршрутизатор, обнаруживший такое изменение, сразу начинает обмен маршрутной информацией с соседними маршрутизаторами. Этот обмен идет последовательно от маршрутизатора к маршрутизатору с некоторой задержкой, определяемой временем модификации таблиц в каждом маршрутизаторе, а также специальным таймером. Поэтому сходимость (конвергенция) сети, когда все маршрутизаторы будут иметь согласованную информацию о сетевых соединениях, происходит медленно, что является недостатком протоколов вектора расстояния.

Таким образом, протоколы вектора расстояния RIP характеризуются медленной сходимостью, т.е. длительным временем согласования информации в таблицах маршрутизации при изменениях топологии сети.

Протокол первой версии RIPv1 требует, чтобы все устройства в подсети использовали одинаковую маску подсети, т.к. RIP не включает информацию о маске подсети в обновления маршрутизации. Такой метод получил название маршрутизации на основе классов (classful routing), что ограничивает применение протокола RIPv1 в современных сетях.

Протокол вектора расстояния второй версии RIPVersion 2 (RIPv2) обеспечивает бесклассовую маршрутизацию CIDR (Classless Interdomain Routing), поскольку в обновления маршрутизации включена информация о маске подсети (о префиксе). При этом внутри одной сети могут существовать подсети с масками переменной длины (Variable-Length Subnet Mask - VLSM). В обновления также включена адресная информация о шлюзах по умолчанию. Рассылка обновлений протоколом версии RIPv2 производится в многоадресном режиме (адрес 224.0.0.9).

Протокол вектора расстояния EIGRP обеспечивает быструю сходимость и малое количество служебной информации, передаваемой в обновлениях (только об изменениях в сети), что экономит полосу пропускания. EIGRP использует ряд функций, применяемые в протоколах состояния канала (link-state). Протоколы EIGRP работают с оборудованием CISCO и не всегда поддерживаются программным обеспечением аппаратуры других фирм. Рассылка обновлений протоколом EIGRP производится в многоадресном режиме (адрес 224.0.0.10).

Наиболее известными протоколами состояния канала (соединения) являются протокол Open Shortest Path First (OSPF) и протокол Intermediate System-to-Intermediate System (IS-IS). Протокол маршрутизации OSPF разработан организацией Engineering Task Force (IETF). Он предназначен для работы в больших гибких составных сетях, может работать с оборудованием разных фирм производителей, поэтому получил широкое распространение.

Протокол состояния канала OSPF использует алгоритм Дейкстры (Dijkstra), согласно которому устанавливаются отношения смежности с соседними устройствами, путем обмена с ними короткими Hello-пакетами, создаются таблицы соседних устройств, оцениваются стоимости соединений, которые хранятся в специальной базе данных (link-state database). На основе таблиц соседних устройств и информации базы данных формируются таблицы маршрутизации. В базе данных хранится один или несколько путей к адресату назначения, из которых выбирается первый кратчайший путь (Shortest Path First - SPF), который и помещается в таблицу маршрутизации. Если первый путь становится недоступным, то протокол может оперативно выбрать из базы данных другой без дополнительных вычислений.

Рассылка обновлений о состоянии канала производится при запуске протокола маршрутизации и при изменениях топологии сети. При этом маршрутизатор создает извещение о состоянии этого соединения (Link-State Advertisement - LSA). Сообщение LSA затем передается всем смежным маршрутизаторам, которые, получив LSA, транслируют копию LSA всем соседям и затем модифицируют базу данных. При таком волновом распространении пакетов все маршрутизаторы создадут базы данных и таблицы маршрутизации, которые будут согласованно отражать топологию перед модификацией. Такой алгоритм обеспечивает быструю сходимость.

Протокол граничного шлюза (Border Gateway Protocol - BGP) относится к внешним протоколам External Gateway Protocol (EGP). Протокол обеспечивает обмен маршрутизирующей информацией между автономными системами, гарантирует выбор пути, свободный от маршрутных петель (loop-free). Протокол BGP используется основными сетевыми компаниями, в том числе провайдерами Интернет. Протокол BGP принимает решение о выборе маршрута на основе сетевой политики.

2. Межсетевой экран (МЭ) – это специализированный комплекс межсетевой защиты, называемый также брандмауэром или системой firewall. Межсетевой экран позволяет разделить общую сеть на две части и реализовать набор правил, определяющих условия прохождения пакетов с данными через границу из одной части общей сети в другую. Как правило, эта граница проводится между корпоративной (локальной) сетью предприятия и глобальной сетью Интернет.