157. Настройка границы pvlan

Чтобы настроить границу PVLAN, необходимо ввести команду конфигурирования интерфейса switchport protected .

Граница PVLAN может быть настроена в физическом интерфейсе или в группе EtherChannel. Когда функция границы PVLAN включена для канала порта, она включена для всех портов в группе port-channel. Для отключения защищенного порта используйте команду конфигурирования интерфейса switchport nonegotiate .

Для проверки конфигурации границы PVLAN необходимо использовать команду show interfaces interface-id switchport в режиме глобальной конфигурации.

Функция границы PVLAN действует только локально на коммутаторе и не обеспечивает изоляции между защищенными портами, находящимися в различных коммутаторах. Защищенный порт не передает никакой трафик (одноадресный, широковещательный или групповой) никакому другому защищенному порту на том же коммутаторе. Трафик не может передаваться между защищенными портами на 2-м уровне (L2); весь трафик данных, проходящий между защищенными портами, должен передаваться через устройство 3-го уровня (L3).

188. Алгоритмы цифровых подписей

Существует три алгоритма стандарта цифровой подписи DSS, которые используются для создания и проверки цифровых подписей:

• Алгоритм цифровой подписи DSA – DSA является исходным стандартом для создания пар открытых и закрытых ключей и для создания и проверки цифровых подписей.

• Алгоритм цифровой подписи Ривеста-Шамира-Адлемана (RSA) – RSA представляет собой асимметричный алгоритм, который широко используется для создания и проверки цифровых подписей.

• Алгоритм сигнатур на основе эллиптических кривых ECDSA – ECDSA представляет собой новый вариант алгоритма DSA, в котором обеспечивается аутентификация цифровой подписи и невозможность отказа от авторства при высокой вычислительной эффективности, небольшом размере подписей и минимальной пропускной способности.

Создание подписей в алгоритме DSA происходит быстрее, чем в RSA, однако проверка подписей в DSA более медленная. Проверка подписей в алгоритме RSA происходит много быстрее, чем в DSA, однако создание подписей в RSA более медленное.

190. Структура pki

PKI необходима для поддержки широкого распространения и идентификации открытых ключей шифрования. PKI позволяет пользователям и компьютерам безопасно обмениваться данными по сети Интернет и проверять подлинность другой стороны. PKI идентифицирует алгоритмы шифрования, уровни безопасности и политику распространения.

Безопасность любого обмена конфиденциальными данными по сети Интернет опирается на PKI. В отсутствие PKI можно обеспечить конфиденциальность, но аутентификация при этом уже не гарантируется. Например, информация может быть зашифрована и передана. Однако нет уверенности в подлинности другой стороны обмена.

PKI включает аппаратные средства, программное обеспечение, людей, политики и процедуры, необходимые для создания, управления, хранения, распространения и отзыва цифровых сертификатов.

Основные эле элементы PKI:

• Хранилище сертификатов находится на локальном компьютере и обеспечивает хранение выданных сертификатов, а также закрытых ключей.

• Сертификат PKI – сертификаты содержат открытый ключ юридического или физического лица, его назначение, CA, который проверил достоверность и выдал сертификат, диапазон дат, в пределах которого сертификат может считаться действительным, и алгоритм, используемый для создания подписи.

• Центр сертификации PKI – CA является доверенной третьей стороной, которая выдает сертификаты PKI организациям и физическим лицам после проверки их удостоверения личности. Данный центр подписывает эти сертификаты, используя свой закрытый ключ.

• База сертификатов – в ней храниться все сертификаты, утвержденные CA.

Не все сертификаты PKI выдаются непосредственно центром сертификации (CA). Центр регистрации (RA) является подчиненным объектом CA и уполномочен корневым CA выдавать сертификаты отдельным пользователям.