Валентин

Создать аксес-лист и повесить его на vty.

access-list 10 permit 10.0.0.0 0.0.0.255
access-list 10 deny any

line vty 0 4
 access-class 10 in

обеспечить аутентификацию всех цисок через сервер аутентификации(Astra Linux), т.е. AAA модель

• А для каких целей производится аутентификация? Для управления оборудованием или для предоставления доступа к сети?
  
• Нужна только аутентификация? Авторизация и учёт уже сделаны?
  

Вообще для доступа к управлению мелкие используют радиус, крупные - такакс. Такакс лучше в плане разделения авторизации и аутентификации. То есть в рамках уже аутентифицированной сессии вы можете вбивать разные команды, проверка прав на запуск которых будет проверяться на сервере. А уже за такаксом стоит какой-то другой бэкэнд в виде базы данных или Active Directory. На сетевом оборудовании обычно никто не настраивает прямую аутентификацию в AD или керберос по причине того, что протоколы слабо специфицированы, да и мало какое оборудование их поддерживает.

Стоит ли вам делать это для диплома кроме вас никто не знает. Но вообще сомнительная тема для защиты в учебном заведении.

«Аппаратная» поддержка IPSec у всех разная. Но вы должны понимать, как принципиально работает эта технология. А именно базово она состоит из службы (демона), которая ожидает подключения и инициирует соединения с заданными настройками (security associations в терминах IPSec), и непосредственно процессами, шифрующими трафик (самые ресурсоемкие). Так вот обычно, когда говорят про аппаратную поддержку IPSec, речь идёт о том, что в каком-нибудь чипе поддерживается именно шифрование. Реализации могут быть разные, на ASA раньше были вроде бы отдельные ASICи (могу заблуждаться), на приведённом в другом комментарии микротике это делается в центральном процессоре от Annapurna Labs (видимо, в отличие от процессора Atheros из другого сравниваемого роутера RB2011, процессор Anapurna поддерживает набор AES команд). Вот пример Аппаратной поддержки в интеле.

Остается почти все то же самое, добавляется:

• выкладывание приложения в маркеты с учетом всяких внутренних тестирований и постоянно меняющихся правил площадок (буквально в январе поменялись правила у эппла и андроида, что привело к невозможности оперативно подправить изменения к демонстрации)
  
• более тщательное планирование (уже сразу закладываешь, что в среднем на выкладку приложения, а значит и демонстрации изменений идет 2 недели, те же дизайны и картинки надо заранее согласовывать, получать подтверждения авторских прав на контент, так как быстро не поменяешь), отсюда вытекает необходимость тестировщиков
  
• при проектировании надо как можно больше отдавать с сервера опять же в силу предыдущих пунктов с невозможностью оперативно править на платформе (например, к вам может прийти жалоба на отсутствие страницы "правила использования", а если вы не отдаете это с сервера, придется опять ждать две недели)
  
• добавляется функционал маркетинга в маркетах (а это наполнение текстов, картинок, просто продвижение)
  
• добавляется еще один канал приема обращений в виде отзывов в маркетах, ваша претензионная служба должна быть к этому готова
  
• сдача работ осуществляется с учетом трех платформ (то есть API-сервер и админка, iOS и Android), это надо учитывать в программе и методике испытаний, закладывать в гравик
  
• необходимость работы трех относительно независимых подразделений разработчиков (фулстеков здесь нет, отдельно бекэнд/api-сервер, iOS, Android)
  
• меняется подход при работе с картографией (приходится учитывать тарифные политики поставщиков подоснов и функционала)
  
• нужно уславливаться на берегу, на чье имя будет оформлен аккаунт в маркетах, может занять длительное время оформление аккаунтов на вашего заказчика
  

Из того, что облегчается, при отсутствии web-портала:

1. не надо SEO
   
2. не надо большие качественные изображения
   
3. требуется меньший вычислительный ресурс (нет ботов), но опять же, требуется предсказуемость при отклике
   

Как уже сказали выше, 127.0.0.0/8 - это сеть одной локальной машины. Один из вариантов - различные сервисы слушают адрес из этой сети, и у каждого свой Iконкретный IP адрес. Или другой вариант - на модульной железке взаимодействие между модулями идёт по IP. Например, если бы в рамках одного компьютера (ящика) взаимодействие между сетевой картой, материнкой, видеокартой, блоком питания происходило по IP, у каждого элемента был бы свой адрес из этой сети. Вроде так работали какие-то модульные маршрутизаторы, где у каждой платы свой адрес.

0.0.0.0/8 используется для dhcp, ospf и snmp. В общем для древних протоколов, когда ещё было не понятно, IP сеть будет использоваться, token ring или ptp...