مشاوره ، طراحی و پیاده سازی زیر ساخت شبکه های کامپیوتری
زیرساخت شبکه
استفاده از شبکه هاي کامپيوتري در سالهاي اخير رشدي فزاينده داشته و به موازات آن سازمان ها اقدام به برپا سازي شبکه نموده اند . برپا سازي هر شبکه کامپيوتري تابع مجموعه سياست هایي است که با استناد به آن در ابتدا طراحي منطقي شبکه و در ادامه طراحي فيزيکي، انجام خواهد شد.
همچنین بایستی طراحی و پیاده سازی آنها مطابق با نیازهای سازمان و اهداف بلند مدت آن و همچنین کاهش هزینه های بهینه سازی و پیاده سازی مجدد آن انجام پذیرد. • مشاوره، طراحی و پیاده سازی زیرساخت های شبکه بر اساس معماری لایه ای • پیاده سازی شبکه بر اسا س تجهیزات CISCO • سوئیچینگ و پیکربندی تجهیزات • Vlaning شبکه • طراحي و پياده سازي شبكه هاي LAN,WAN • نصب و راه اندازي شبکه هاي بیسیم (Wireless ) • طراحی و پیاده سازی لینک های دید مستقیم (P2P & P2M) • ايجاد نود هاي جديد در شبکه • بررسی و بهبود ساختار شبکه و ارائه ی راهکارهای بهینه سازی • نصب و راه اندازی سرور • نصب و راه اندازی انتی ویروس های تحت شبکه • ارائه خدمات نگهداري و پشتيباني • نگهداري سختافزارها و تجهيزات شبكه • توسعه و راه اندازي تجهيزات شبکه • به روز رساني شبکه از نظر سخت افزاري و نرم افزار • بررسي وضعيت و توسعه شبکه از نقطه نظر ارتباط با اينترنت
استفاده از شبکه های کامپيوتري در سالهای اخير رشدي فزاينده داشته و به موازات آن سازمان ها اقدام به برپا سازی شبکه نموده اند . برپا سازي هر شبکه کامپيوتری تابع مجموعه سياست هایي است که با استناد به آن در ابتدا طراحي منطقي شبکه و در ادامه طراحي فيزيکي، انجام خواهد شد.
همچنین بایستی طراحی و پیاده سازی آنها مطابق با نیازهای سازمان و اهداف بلند مدت آن و همچنین کاهش هزینه های بهینه سازی و پیاده سازی مجدد آن انجام پذیرد.
خدمات شبکه گروه فنی و مهندسی وی سنتر در زمینه ی راه اندازی شبکه و پشتیبانی شبکه به شرح زیر می باشد:
مشاوره، طراحی و پیاده سازی زیر ساخت شبکه های کامپیوتر
کابل کشی شبکه، نصب داکت و انواع ترانکینگ
طراحي و پياده سازي شبكه های LAN,WAN
نصب و راه اندازي شبکه هاي بیسیم (Wireless )
طراحی و پیاده سازی لینک های دید مستقیم (P2P & P2M)
توسعه و راه اندازي تجهيزات شبکه
ايجاد نود هاي جديد در شبکه
مشاوره در طراحي و پياده سازي شبکه
بررسی و بهبود ساختار شبکه و ارائه ی راهکارهای بهینه سازی
در دنیای امروزه ارتباط در دنیای مجازی اینترنت امری رایج است. اینترنت به کاربران این اجازه را میدهد که در کسری از ثانیه از سراسر دنیا برای یکدیگر ایمیل بفرستند و به راحتی از بین میلیونها مطلب مختلف به مطالعه مقالات مورد نظر بپردازند. مطمئنا شما بارها با موضوعات مختلفی از قبیل صفحات وب، ایمیلها و فایلها که از طریق اینترنت ارسال میشوند مواجه شده اید. اما هیچ یک از فعالیتهایی که شما در اینترنت انجام میدهید بدون روتر امکان پذیر نخواهد بود. در واقع تمام هستی شبکه به وجود روتر بستگی دارد، در حالیکه بیشتر مردم اصلا با این ماشین تکنولوژی از نزدیک مواجه نشدهاند.
روتر (Router)
روترها کامپیوترهای اختصاصی هستند که پیغامهای شما و دیگر کاربران اینترنت را در امتداد هزاران مسیر به سرعت به سوی مقصدشان روانه میکنند. در این زنگ تفریح به این ماشینها که در پشت صحنه باعث کارکردن اینترنت هستند نگاهی میاندازیم.
در حرکت نگاه داشتن پیغامها
هنگامیکه شما ایمیل برای دوستتان در آن طرف دنیا میفرستید، پیغام چگونه میداند در کامپیوتر دوست شما به مسیر خود خاتمه دهد نه در میلیونها کامپیوتر دیگر در سرتاسر دنیا؟ اکثر کار مربوط به رساندن از کامپیوتری به کامپیوتر دیگر توسط روترها انجام میگیرد، زیرا آنها وسایل اختصاصی جهت رساندن پیامها از یک شبکه به شبکه دیگر به جای جریان در یک شبکه هستند.
بیایید به کاری که یک روتر خیلی ساده انجام میدهد نگاهی بیندازیم. شرکت کوچکی را در نظر بگیرید که انیمیشنهای سه بعدی برای ایستگاههای تلویزیون محلی میسازد. شرکت ده کارمند دارد که هر کدام دارای یک کامپیوتر هستند، چهار کارمند انیماتورند و بقیه در قسمتهای فروش، حسابداری و مدیریت کار میکنند. انیماتورها اغلب در مواردی که بر روی یک پروژه کار می کنند نیاز به ارسال فایلهای حجیم برای یکدیگر دارند. برای این منظور آنها از شبکه استفاده می کنند. وقتیکه یکی از انیماتورها فایلی را برای انیماتور دیگر می فرستد، فایل بزرگ از اکثر ظرفیت شبکه استفاده خواهد نمود و باعث می شود شبکه برای کاربران دیگر بسیار کند گردد. یکی از دلایلی که یک کاربر می تواند تمامی شبکه را تحت تاثیرقرار دهد، نتیجه طریقی است که اترنت کار می کند. هر بسته اطلاعاتی که از کامپیوتری فرستاده می شود توسط تمام کامپیوترهای دیگر در آن شبکه محلی دیده می شود، سپس هر کامپیوتر بسته را امتحان می کند و تصمیم میگیرد که آیا منظور آدرس او بوده است یا نه. این موضوع طرح مقدماتی شبکه را ساده می کند اما دارای پیامدهایی در کارایی هنگامیکه اندازه و میزان فعالیت شبکه افزایش می یابد است. برای جلوگیری از تداخل کار انیماتورها با افرادی که در قسمتهای دیگر اداره کار میکنند، کمپانی دو شبکه مجزا احداث میکند، یکی برای انیماتورها و یکی برای بقیه شرکت. یک روتر دو شبکه را به هم متصل کرده و هر دو را به اینترنت وصل می کند.
روتر تنها وسیلهای است که هر پیغامی که به وسیله هر کامپیوتری در هر یک از شبکههای شرکت ارسال میشود را میبیند. وقتی یکی از انیماتورها فایل عظیمی را برای انیماتور دیگر میفرستد، روتر به آدرس گیرنده نگاه می کند و تراقیک را در شبکه انیماتورها نگاه میدارد. از طرف دیگر وقتی یکی از انیماتورها پیغامی به دفتردار میفرستد و درخواست چک کردن صورت هزینه را میدهد، روتر آدرس گیرنده را می بیند و پیغام را بین دو شبکه ارسال میکند.
یکی از چیزهایی که روتر جهت تصمیم گیری در مورد اینکه یک بسته کجا باید برود استفاده می کند جدول تنظیمات (Configuration Table) است. جدول تنظیمات مجموعه ای از اطلاعات می باشد، شامل موارد زیر:
• اطلاعاتی درباره آنکه چه اتصالاتی به چه گروهی از آدرسها مرتبط می شوند.
• تقدم مربوط به ارتباطات مورد استفاده.
• قوانینی برای مدیریت حالتهای عادی و خاص ترافیک
جدول تنظیمات در ساده ترین روترها میتواند دارای چندین سطر باشد و در روترهای بزرگ که مدیریت پیامها را در ستون فقرات اینترنت بر عهده دارند پیچیدگی و بزرگی آن بسیار بیشتر خواهد شد. پس روتر دو کار جداگانه اما مرتبط با هم دارد:
• روتر مطمئن می شود که اطلاعات به جایی که نیاز نیست نمی رود. این امر برای جلوگیری از انباشته شدن مقادیر زیادی اطلاعات نامربوط در اتصالات کاربران امری حیاتی است.
• روتر اطمینان حاصل می کند که اطلاعات به مقصد مورد نظر می رسد.
با توجه به این دو وظیفه، روتر وسیله ای بسیار مفید جهت کار با دو شبکه مجزا است. روتر دو شبکه را به هم متصل میکند، اطلاعات را از یکی به دیگری میفرستد و در برخی موارد پروتکلهای مختلف بین دو شبکه را ترجمه میکند. همچنین از شبکه ها در برابر همدیگر محافظت می کند و از رسیدن ترافیک غیر جلوگیری میکند. همچنانکه تعداد شبکه های متصل به هم بیشتر باشد، جدول تنظیمات برای اداره کردن ترافیک بین آنهاگستردهتر است و قدرت پردازش روتر بیشتر است. صرفنظر از تعداد شبکه هایی که متصل شده اند، کار اصلی و وظیفه روتر به همان صورت اصلی باقی می ماند.
انواع روترها :
روترهای سخت افزاری: این روترها، سخت افزارهای هستند که نرم افزارهای خاص تولید شده توسط تولید کنندگان را اجرا مینمایند
. این نرم افزارها ، قابلیت روتینگ را برای روترها فراهم نموده تا آنان مهمترین و شاید سادهترین وظیفه خود که ارسال داده از یک شبکه به شبکه دیگر است را بخوبی انجام دهند. اکثر شرکتها ترجیح میدهند که از روترهای سخت افزاری استفاده نمایند چراکه آنان در مقایسه با روترهای نرم افزاری، دارای سرعت و اعتماد پذیری بیشتری هستند. شکل زیر یک نمونه روتر را نشان می دهد
روترهای نرم افزاری: روترهای نرم افزاری دارای عملکردی مشابه با روترهای سخت افزاری بوده و مسئولیت اصلی آنان نیز ارسال داده از یک شبکه به شبکه دیگر است.
در اکثر موارد از روترها به عنوان فایروال و یا gateway اینترنت، استفاده میگردد. اما روترهای نرم افزاری و سخت افزاری با هم متفاوتند، در اکثر موارد نمی توان یک روتر نرم افزاری را جایگزین یک روتر سخت افزاری نمود، چراکه روترهای سخت افزاری دارای سخت افزار لازم و از قبل تعبیه شدهای می باشند که به آن ها امکان اتصال به یک لینک خاص مثل ATM را خواهد داد. یک روتر نرم افزاری ( نظیر سرویس دهنده ویندوز ) دارای تعدادی کارت شبکه است که هر یک از آنها به یک شبکه LAN متصل شده و سایر اتصالات به شبکه های WAN از طریق روترهای سخت افزاری، انجام خواهد شد.
مهمترین ویژگی یک روتر :
روترها تا زمانیکه برنامهریزی نشوند، نمیتوانند دادهها را توزیع کنند. اکثر روترهای مهم دارای سیستم عامل اختصاصی خاص خود هستند. روترها از پروتکلهای خاصی به منظور مبادله اطلاعات ضروری خود، استفاده میکنند. نحوه عملکرد یک روتر در اینترنت به این صورت است که مسیر ایجاد شده برای انجام مبادله اطلاعاتی بین سرویسگیرنده و سرویس دهنده در تمامی مدت زمان انجام تراکش ثابت و یکسان نیست و متناسب با وضعیت ترافیک موجود و در دسترس بودن مسیر، تغییر میکند.
اشاره : روشهای عیب یابی شبکه : با افزايش كاربرد كامپيوتر در بخشهاي مختلفي نظير سازمانها، شركتها و تقريباً هر بنگاه اقتصادي و بازرگاني، به تدريجج بحث به اشتراكگذاري منابع و ارتباط متقابل كامپيوترها و در واقع شبكهسازي (Networking) در ابعاد و مقياسهاي كوچك، متوسط و بزرگ مطرح گرديد. به طوري كه امروزه شبكهها به يك جزء ضروري و مهم براي تمامي دستاندركاران رايانه تبديل شده است. به دنبال طراحي، ايجاد و به بهرهبرداري رسيدن شبكهها، خود به خود موضوع نگهداري و پشتيباني و سرپا نگهداشتن شبكه موجود مطرح ميگردد. در ادامه اين روند، موضوع عيبيابي كه شامل تشخيص و تعيين نوع مشكل و رفع آن ميشود نيز از مباحث مهم نگهداري شبكهها به شمار ميرود. منشأ اين عيب ميتواند نرمافزاري، سختافزاري، عدم تطابق تجهيزات، ناهماهنگي بين اجزا، تنظيمات نادرست و … باشد. افراد دستاندركار رفع مشكلات شبكه در تمامي موارد، الزاماً نبايد مدارك علمي چندان سطح بالايي داشته باشند. چون در اين ميدان تجربه و كارآزمودگي حرف اول را ميزند و معمولاً داشتن اطلاعات اوليه و زيربنايي از شبكهها كافي به نظر ميرسد. عيبيابي يك شبكه بسيار شبيه حل معما است. اگر يك ايده كلي در مورد نحوه عملكرد شبكه به دست آوردهايد و ميدانيد كدام بخشها به يكديگر وابسته هستند، معمولاً اشاره به محل مشكل كار چندان دشواري نخواهد بود. در اين گفتار به ذكر مختصر چند روش عيبيابي و برخي از ابزارهاي عيبيابي TCP/IP و ابزارهاي تحليل شبكه ميپردازيم.
1 – استفاده از مدل هفت لايهاي OSI
شناخت لايههاي مختلف شبكه و نحوه ارتباط آنها و همچنين دانستن اين كه هر وسيله يا ابزار شبكه در كدام لايه از شبكهه قرار گرفته است و با كدام لايه و تجهيزات ديگر مستقيماً در ارتباط است، كمك شاياني به تشخيص و پيدا كردن محل عيب مينمايد. به عنوان مثال، چنانچه Cabling در يك نقطه از شبكه قطع يا شل شده باشد، اين مسئله به لايه فيزيكي مربوط ميشود و به عنوان نمونه چك كردن bridge يا روتر كه در لايههاي دوم و سوم قرار گرفتهاند، هيچ توجيه منطقي ندارد. در جدول 1 لايهها و تجهيزات و مشخصات مرتبط با هر لايه آورده شده است. (ميتوانيد براي اطلاع بيشتر در مورد لايههاي شبكه به پوستر لايههاي شبكه ضميمه شماره 50 ماهنامه شبكه مراجعه نماييد. فايل اين پوستر در سايت مجله نيز موجود است.)
2 – عيبيابي جعبه سياه
عيبيابي جعبه سياه (Black Box)، نحوه مواجهشدن با عملكرد يك سيستم پيچيده به عنوان يك سري سيستمهاي سادهترر است. ايجاد جعبه سياه در بسياري از موارد علمي، كاربر دارد و در عيبيابي نيز بسيار مفيد است. در اين روش نگران جزئيات كماهميت نيستيم و محتويات پنهاني يك سيستم اهميت چنداني ندارند و ما بيشتر روي صحت ورودي و خروجيهاي هر سيستم تكيه مينماييم.
3 – روش تشخيص تغيير در شبكه
ايجاد يا به وجود آمدن هر گونه تغييري در شبكه را بايد به دقت بررسي كرد. به علاوه، چنانچه افراد ديگري نيز از شبكه شماا استفاده ميكنند، بايد در رابطه با تغييراتي كه اخيراً انجام دادهاند، از آنها پرسوجو نماييد. تغيير نيروي كار هم ميتواند مشكلاتي را در شبكه ايجاد كند؛بهويژه اينكه افراد در ثبت رخدادها و رويدادها معمولاً بينقص عمل نميكنند.
4-مستندسازي
در اختيار داشتن نقشه شبكه بسيار مهم است. معمولاً شبكههاي غيرمستند، مبهم و غيرقابل درك هستند. مستندات شاملل نقشه كاربردي شبكه، مستندات فيزيكي (اطلاعات سيمكشيها و…)، مستندات منطقي (Logical) كه بخشهاي غيرفيزيكي يا مجازي شبكه مانند VLAN را نشان ميدهد، برچسبگذاري كابلها و دستگاهها
(Labelingg) و … را شامل ميشود.
همچنين ثبت رويدادها، هنري است كه حل بسياري از مشكلات بعدي را آسانتر مينمايد. ميتوان در كنار هر دستگاه مانند سرور، سوييچ يا مسيرياب، هر كار انجام گرفته در مورد آنها را به همراه زمان انجام آن يادداشت كرد. در مورد يك شبكه غيرمستند نيز حتيالمقدور بايد مستندسازي را در هر مرحلهاي شروع كرد و اين كار به نظم و سرعت در عمل كمك شاياني خواهد كرد.
5 – روش تقسيمبندي
تقسيمبندي يك شبكه باعث ميشود كنترل آن آسانتر شود. در واقع منطقهبندي مشكل (Problem Localization) هنگاميي است كه شما نميدانيد دقيقاً از كجا به جستوجوي مشكل بپردازيد. منطقهبندي سريع مشكل، اهميت بسياري دارد؛ زيرا هيچكس نميخواهد صدها دستگاه را به عنوان منبع بالقوهاي از مشكلات بررسي كند.
6- مقايسه با مواردي كه درست عمل ميكنند
چنانچه يك نمونه شبكه خراب شده داريد، ميتوانيد با مقايسه آن با نمونهاي كه درست كار ميكند، روش سريعي برايي تشخيص دقيق خرابي پيدا كنيد. اين كار ميتواند در مورد مقايسه تركيببندي سرورها و همچنين وسايل سختافزاري نظير مسيريابها، سوييچها و … نيز به كار رود. بررسي مقايسهاي زماني خوب عمل ميكند كه شما بخواهيد ساير موضوعات شبكه مانند تنظيمات كاربر و تركيببنديهاي ايستگاه كاري را نيز بررسي كنيد. گاهي، اگر مشكلي را در يك تركيببندي خاص عيبيابي كرده باشيد، ميتوانيد آن را كاملاً با يك تركيببندي كه عملكرد خوبي دارد، جايگزين كنيد.
7- فرمانهاي عيبيابي ipconfigو winipcfgدر ويندوز
تركيببندي اصلي IP با استفاده از ipconfig (در خانواده ويندوز NT) و winipfgg (در خانواده ويندوز 9x) نشان داده ميشود. اينن دو فرمان به شما امكان ميدهند اجازه نامه DHCP خود را تجديد يا ترخيص نماييد يا اينكه اطلاعات اصلي TCP/IP را نمايش دهيد. در اينجا برخي ديگر از فرمانهاي مفيد مختص خانواده ويندوز NT (اكسپيو2000) ارائه شدهاند.
●ipconfig/all: همه اطلاعات تركيببندي، نه فقط نشاني IP و نقاب (Mask) شبكه را نشان ميدهد.
● ipconfig/release: نشانيهاي DHCP را براي همه آداپتورهاي شبكه آزاد ميكند (براي پرهيز از آزادشدن همهِ نشانيها نام يك آداپتور مشخص را وارد كنيد.)
●ipconfig/renew: نشانيهاي DHCP را براي همه تطبيقگرها باز ميكند.
●ipconfig/flushdns: فقط در ويندوز 2000 و بالاتر يكباره نهانگاه (Cache) محلي DNS را توسعه ميدهد. اگر شماDNS را تغيير دادهايد و لازم است آن را تا اين ايستگاه كاري تعميمدهيد، سوييچ مزبور بسيار سودمند خواهد بود. (اگر آن را تعميم ندهيد، تغيير مزبور براي لحظهاي در ايستگاه شما نشان داده نخواهد شد).
●ipconfig/display dns: فقط در ويندوز 2000 و بالاتر نهانگاه DNS را نمايش ميدهد.
8 – برخي از فرمانهاي اصلي خطايابي در TCP/IPو شبكه
(Ping Address (Hostname اتصال اصلي IP را با Hostname يا Address بررسي ميكند. Arp -a: جدول تبديل نشاني Mac به IP را نشان ميدهد. netstat -rn: جدول مسيريابي TCP/IPP را به طور عددي نشان ميدهد. netstat -an همه سوكتهاي TCP/IP مورد استفاده را به طور عددي براي همه كلاينتها و سرورها نشان ميدهد.
مراحل Pingg به ترتيب ميتواند به اين شكل باشد:
مرحله3: Ping كردن نشاني IP يك ايستگاه كاري ديگر در يك بخش
مرحله4: Ping كردن مسيرياب محلي
مرحله5: ping كردن سرور از طريق نشاني IP و نام (Tracert Address (Hostname مسيري كه يك بستك (Packet) از ايستگاه كاري تا Hostname يا Address طي ميكند را رديابي مينمايد. هر مسيريابي كه بستك مزبور از طريق آن به سمت Hostname يا Address ميرود را نشان ميدهد.
netsh: برنامه سودمند خط فرمان تعاملي كه به شما امكان ميدهد تركيببندي لايه شبكه را فهرست كنيد و آن را تغيير دهيد.
net session: همه جلسات شبكه سازي ويندوز كه در اين دستگاه فعال هستند را نشان ميدهد (نظير اشتراكگذاري و …)
net share: همه اشتراكگذاريهاي ويندوز به همراه Hidden Share ها كه در اين دستگاه قابل دسترس هستند را فهرستت ميكند. همچنين در صورت داشتن Windows Resource Kit با استفاده از فرامين آن ميتوان در بسياري موارد خطايابيهاي دقيقي انجام داد. Resource Kit نه تنها منبعي از ابزارها به شمار ميآيد،بلكه يك منبع عالي به عنوان دانش اضافي ويندوز است.
9 – تحليلگرهاي پروتكل
استفاده از تحليلگرهاي پروتكل (Protocol Analyzerr) در حلاجي و تحليل مشكلات شبكه بسيار سودمند است. يك تحليلگرر پروتكل ابزاري است كه به بستكهاي(Packets) موجود در بخش اشتراكي شبكه گوش ميدهد، آنها را از حالت رمز خارج مينمايد و به شكل فرمت قابل خواندن براي انسان تبديل ميكند.
دو نوع اصلي از ابزارهاي تحليل پروتكل عبارتند از:
● تحليلگرهاي بستك (Packet analyzer): بستكهاي موجود در سيم را ميگيرند، آنها را براي تحليل بعدي ذخيره ميكنند وو چند تحليل آماري را نيز انجام ميدهند، ولي اين كار اصلي آنها نيست.
● تحليلگرهاي آماري (Statistical analyzer): كار اصلي آنها جمعآوري دادههاي كمي است تا بعداً بتوانند درباره روشهاي مختلف آماري گزارش دهند، ولي معمولاً بستكها را براي تحليل بعدي، ذخيره نميكنند.
اكثر تحليلگرهاي بستك دو حالت عملياتي دارند:
● حالت Capture/monitor (مانيتور / تسخير)
● حالت Decode (رمزگشايي)
در مرحله تسخير،تحليلگر ميتواند اطلاعات آماري، شامل تعداد خطاهاي هر ايستگاه، تعداد بستكهاي دريافتي/ارسالي توسط هر ايستگاه، ضريب بهرهوري از شبكه (ميزان ازدحام در شبكه) و …. را جمعآوري نمايد.
تحليلگرهاي بسيارخوب، با نشان دادن نمودارها به شما امكان ميدهند در مرحله تسخير، برحسب ايستگاه فعالتر و ساير موارد، عمل مرتبسازي را انجام دهيد. در مرحله رمزگشايي، دادههاي خاصي كه تحليلگر به دست ميآورد را بررسي ميكنيد. لازم به ذكر است استفاده از تحليلگر متناسب با نوع شبكه اهميت زيادي دارد. مثلاً اگر يك شبكه FDDI قديمي و بدقلق داشته باشيد، از تحليلگر خاص اترنتي كه اتفاقاً با FDDI هم كار ميكند، استفاده نكنيد. بدين منظور بهتر است يك تحليلگر مختص FDDI را به كار ببريد.
نكته جالب توجه در مورد تحليلگرهاي بستك اين است كه اگر داراي كارت شبكه مناسبي باشيد (يعني يك كارت شبكه كنجكاو كه قادر به شنيدن همه بستكهاي شبكه است) اين تحليلگرها ميتوانند در اكثر پيسيها اجرا شوند. براي دانلود يك تحليلگر رايگان ميتوانيد به اینترنت مراجعه كنيد.
10 – ابزارهاي مديريت شبكه
دست آخر اينكه، ابزارهاي مديريت شبكه نيز نقشي مهم در عيبيابي و شناسايي شكل شبكهها ايفا ميكنند. مديريتت شبكه در واقع در بهترين شكل آن، شامل تركيببندي و ديدهباني دوردست Remote Monitoringشبكه ميشود كه به شما امكان ميدهد علاوه بر انجام اصلاحات نهايي از راهدور، سالمبودن شبكه خود را نيز ارزيابي كنيد، جزئيات بيشتر در مورد عيبيابي به كمك ابزارهاي مديريت شبكه را به مجالي ديگر واگذار ميكنيم.
Change Domain Admin Password in Windows Server 2003
با توجه به درخواست های دانشجویان عزیز در رابطه با امکان تغییر کلمه عبور کاربر Administrator در Active Directory متن زیر تقدیم می شود .
جهت تغییر Password کاربر Administrator در Domain Controller ها در مواقعی که Password را فراموش کرده اید می توان به راحتی با دنبال کردن مراحل زیر Password را تغییر داد .
پیش نیاز ها :
دسترسی فیزیکی به سروری که می خواهید Password آن را تغییر دهید .
داشتن پسورد Active Directory Restore Mode
داشتن دو ابزار SRVANY و INSTSRV که در Microsoft Resource Kit وجود دارد و همچنین می توانید ازاینجا دانلود کنید .
در زمان روشن کردن سرور دکمه F8 را بزنید و ویندوز را در Directory Service Restore Mode بالا آورده و با Password مربوط به Directory Service Restore Mode وارد ویندوز سرور شوید .
اکنون شما می بایست ابزار SRVANY را نصب کنید .
دو ابزار SRVANY و INSTSRV را پس از دانلود کردن در یک فولدر خالی به نام Temp ذخیره کنید .
فایل cmd.exe را از مسیر نصب ویندوز داخل فولدر System32 یافته و در فولدر Temp کپی کنید .
حال command prompt را باز کرده و دستور زیر را در آن اجرا کنید
instsrv PassRecovery d:\temp\srvany.exe
حال زمان Configure ابزار SRVANY می باشد .
10. رجیستری ویندوز را با اجرای دستور Regedit در منوی Run باز کنید و به مسیر زیر بروید.
11. یک Sub Key جدید در آدرس رجیستری فوق به نام Parameters بسازید سپس دو Value جدید با مشخصات زیر در داخل آن بسازید :
name: Application
(type: REG_SZ (string
value: d:\temp\cmd.exe
name: AppParameters
(type: REG_SZ (string
value: /k net user administrator 123456 /domain
12. مقدار 123456 کلمه عبوری است که شما می خواهید برای Administrator قرار دهید .در صورتی که Default domain policy قبلا تغییر نیافته باشد Password وارد شده می بایست حداقل 7 کاراکتر شامل حروف کوچک و بزرگ و عدد باشد .
13. در منوی Run مقدار Services.msc را وارد کرده و سرویس PassRecovery را یافته ،دو بار بر روی آن کلیک کنید و در پنجره ای که ظاهر می شود به Tab ،Log on رفته و گزینه Allow service to interact with the desktop را فعال کرده و سیستم را Restart کرده و بصورت نرمال سیستم را بالا بیاورید .حال با Password ای که در مرحله 11 در رجیستری وارد کرده بودید می توانید Login نمایید .
14. پس از ورود به ویندوز با دستورات زیر می توانید عملیات انجام شده فوق را Uninstall نمایید .
مستند سازي شبكه هاي كامپيوتري يكي از نكات فراموش شده در اكثر سازمان ها و شركت هاي ايراني مي باشد .تصور كنيد مسوول شبكه سازمان شما به هر دليل حاضر به حضور در محل كار خود نشود |،اين مسئله مي تواند اختلالي بزرگ را به وجود بياورد .غالبا در شركت هاي ايراني مستند سازي به گرفتن Password سرور ها ختم مي شود ؛در صورتي كه مستند سازي بسيار پيچيده تر از اين موارد است.در ادامه به صورت خلاصه نكاتي كه در مستند سازي شبكه هاي كامپيوتري حائر اهميت مي باشد ليست شده است . بخش یک :مستند سازی Passive
تهیه نقشه محل قرارگیری سوپیچها ،روترها ،فایروالها ،مودم ها و سرور ها به صورت کامل (تهیه نقشه از دیاگرام شبکه با نشان دادن محل قرار گیری تمامی تجهیزات فوق الذکر و مشخصات هر دستگاه به صورت Comments در کنار Icon دستگاه ها(شامل نام سوپیچ ،روتر ،فایروال ،مودم و سرور ).)
تهیه نقشه لینک های ارتباطی بین طبقات و بین ساختمان ها ،شامل نوع ارتباط ،شماره پورت متصل در ابتدا و انتهای ارتباط به همراه نام و شماره دستگاه مرتبط کننده لینک ها(نام سوئیچ ،روتر و …).
تهیه نقشه از محل قرار گیری Client ها (داخلی و خارجی) در ارتباط با سرور ها و فایروالها .
شماره گذاری ابتدا و انتهای سر کابل ها در اتاق سرور ،Client ها و لینک های بین سوئیچها ، روتر ها ،فایروال ها ،سرور ها و مودم ها .همچنین ارائه جدول راهنمای شماره گذاری سرکابل ها .
الصاق برچسب بر روی سوپیچها ،روترها ،فایروالها ،مودم ها ، سرور ها و تجهیزات ذخیره سازی در اتاق سرور و تهیه نقشه راهنمای برچسب ها
تهیه لیستی از تعداد و مدل تجهیزات موجود در اتاق سرور (شامل: سوپیچها ،روترها ،فایروالها ،مودم ها ، سرور ها ،رک ها و تجهیزات ذخیره سازی) و هر یک از ساختمانهای زیر نظر سازمان .
بخش دوم :تنظیمات موجود بر روی دستگاه های ارتباطی .
ارائه IP Address (Valid و Invalid) تمامی سوئیچها ،روترها ،فایروالها ،مودم ها ، سرور ها و… به همراه User Name و Password هر یک به صورت مکتوب .
تهیه گزارش جامع از تنظیمات و پیکره بندی های موجود در تمامی سوئیچها
تهیه گزارش جامع از تنظیمات و پیکره بندی های موجود در تمامی مودم ها
تهیه گزارش جامع از تنظیمات و پیکره بندی های موجود در تمامی روتر ها
تهیه گزارش جامع از تنظیمات و پیکره بندی های موجود در تمامی فایروال ها و تجهیزات ارتباطی دیگر
تهیه لیستی از فروشندگانی که تجهیزات فوق از آنها خریداری شده است .
ارائه گزارش از نوع تجهیزات ذخیره سازی و تنظیمات موجود در تجهیزات ذخیره سازی .
بخش سوم :نرم افزار های سازمانی
تهیه لیستی از نرم افزار های سازمانی موجود به همراه مشخصات شرکت های پشتیبان کننده و پیش نیاز های سخت افزاری و نرم افزاری لازم جهت راه اندازی هر نرم افزار به صورت جداگانه (در سطح سرور و کاربر).
ارائه مستنداتی در رابطه با مراحل پیکره بندی Clustering در سرور های مرتبط با نرم افزارهای سازمانی
بخش چهارم :مستند سازی Domain Controller
1- ارائه لیست کامل گروه های تعریف شده به همراه Member های هر گروه و هدف از تعریف هر گروه
2- ارائه لیست کامل OU های تعریف شده به همراه Object Policy هایAssign شده به هر OU و هدف از تعریف هر Policy به همراه تنظیمات تعریف شده در هر Policy .
3- ارائه Password مربوط به Active Directory Restore Mode .
4- ارائه لیست User Name و Password مربوط به User هایی که دسترسی بالاتر از Domain User دارند .
5- ارائه لیست User Name و Password مربوط به Server هایی که Stand alone Server می باشند .
6- ارائه لیست Shared Object های موجود در Domain به همراه Share Permission و NTFS Permission های Set شده برای هر یک .
7- ارائه لیست سرویس ها یا نرم افزارهایی که با Active Directory به هر نحوی Integration دارند ؛به همراه تنظیمات مورد نیاز هر سرویس یا نرم افزار (مانند DNS,DHCP,IIS,RRAS,ISA,DFS,Terminal Service,WSUS و غیره .
8- ارائه لیست User هایی که قادر هستند از محیط خارج از سازمان به هر سرور دسترسی داشته باشند به همراه Password آنها .
9- ارائه نرم افزار ها و درایور های مربوط به سرور ها و Client ها .
10- ارائه لیست نرم افزار هایی که به صورت عمومی در سطح Client ها استفاده می شود .
11- ارائه لیست و آدرس Map Drive های موجود در سطح Client ها (مانند work Area ,Home Directory و …).
در صورت نیاز به مستندسازی شبکه های کامپیوتری با گروه فنی و مهندسی وی سنتر تماس بگیرید.
استراتژی طراحی شبکه (بخش اول )
طراحی شبکه: استفاده از شبکه های کامپیوتری در چندین سال اخیر رشد و به موازات آن سازمان ها و موسسات متعددی اقدام به برپاسازی شبکه نموده اند. هر شبکه کامپیوتری می بایست با توجه به شرایط و سیاست های هر سازمان ، طراحی و در ادامه پیاده سازی گردد .شبکه ها ی کامپیوتری زیرساخت لازم برای استفاده از منابع فیزیکی و منطقی را در یک سازمان فراهم می نمایند . بدیهی است در صورتی که زیرساخت فوق به درستی طراحی نگردد، در زمان استفاده از شبکه با مشکلات متفاوتی برخورد نموده و می بایست هزینه های زیادی به منظور نگهداری و تطبیق آن با خواسته ها ی مورد نظر( جدید) ، صرف گردد ( اگر خوش شانس باشیم و مجبور نشویم که از اول همه چیز را مجددا” شروع نمائیم !) . یکی از علل اصلی در بروز اینچنین مشکلاتی ، به طراحی شبکه پس از پیاده سازی آن برمی گردد. ( در ابتدا شبکه را پیاده سازی می نمائیم و بعد سراغ طراحی می رویم ! ) .
برپاسازی هر شبکه کامپیوتری تابع مجموعه سیاست هائی است که با استناد به آنان در ابتدا طراحی منطقی شبکه و در ادامه طراحی فیزیکی ، انجام خواهد شد . پس از اتمام مراحل طراحی ، امکان پیاده سازی شبکه با توجه به استراتژی تدوین شده ، فراهم می گردد.
در زمان طراحی یک شبکه ، سوالات متعددی مطرح می گردد :
برای طراحی یک شبکه از کجا می بایست شروع کرد ؟
چه پارامترهائی را می بایست در نظر گرفت ؟
هدف از برپاسازی یک شبکه چیست ؟
انتطار کاربران از یک شبکه چیست ؟
آیا شبکه موجود ارتقاء می یابد و یا یک شبکه از ابتدا طراحی می گردد ؟
چه سرویس ها و خدماتی بر روی شبکه، ارائه خواهد شد ؟
و …
سوالات فوق ، صرفا” نمونه هائی در این زمینه بوده که می بایست پاسخ آنان متناسب با واقعیت های موجود در هر سازمان ، مشخص گردد . ( یکی از اشکالات ما استفاده از پاسخ های ایستا در مواجهه با مسائل پویا است !) .
در این مقاله قصد داریم به بررسی پارامترهای لازم در خصوص تدوین یک استراتژی مشخص به منظور طراحی شبکه پرداخته تا از این طریق امکان طراحی منطقی ، طراحی فیزیکی و در نهایت پیاده سازی مطلوب یک شبکه کامپیوتری ، فراهم گردد .
مقدمه قبل از طراحی فیزیکی شبکه ، می بایست در ابتدا و بر اساس یک فرآیند مشخص ، خواسته ها شناسائی و آنالیز گردند. چرا قصد ایجاد شبکه را داریم و این شبکه می بایست چه سرویس ها و خدماتی را ارائه نماید ؟ به چه منابعی نیار می باشد ؟ برای تامین سرویس ها و خدمات مورد نظر اکثریت کاربران ، چه اقداماتی می بایست انجام داد ؟ در ادامه می بایست به مواردی همچون پروتکل مورد نظر برای استفاده در شبکه ، سرعت شبکه و از همه مهم تر، مسائل امنیتی شبکه پرداخته گردد. هر یک از مسائل فوق ، تاثیر خاص خود را در طراحی منطقی یک شبکه به دنبال خواهند داشت .یکی دیگر از پارامترهائی که معمولا” از طرف مدیریت سازمان دنبال و به آن اهمیت داده می شود ، هزینه نهائی برپاسازی شبکه است . بنابراین لازم است در زمان طراحی منطقی شبکه به بودجه در نظر گرفته شده نیز توجه نمود .
در صورتی که قصد ایجاد یک شبکه و تهیه نرم افزارهای جدیدی وجود داشته باشد ، زمان زیادی صرف بررسی توانمندی نرم افزارها ، هزینه های مستقیم و غیر مستقیم آنان ( آموزش کاربران ، کارکنان شبکه و سایر موارد دیگر ) ، خواهد شد .در برخی موارد ممکن است تصمیم گرفته شود که از خرید نرم افزارهای جدید صرفنظر نموده و نرم افزارهای قدیمی را ارتقاء داد. تعداد زیادی از برنامه های کامپیوتری که با استفاده از زبانهائی نظیر : کوبال ، بیسیک و فرترن نوشته شده اند ، ممکن است دارای قابلیت های خاصی در محیط شبکه بوده که استفاده از آنان نیازمند بکارگیری پروتکل های قدیمی باشد. در چنین مواردی لازم است به چندین موضوع دیگر نیز توجه گردد :
هزینه ارتقاء هزاران خط کد نوشته شده قدیمی توسط نسخه های جدید و پیشرفته همان زبان های برنامه نویسی ، چه میزان است ؟
هزینه ارتقاء برنامه ها به یک زبان برنامه نویسی شی گراء چه میزان است ؟
آیا به منظور صرفه جوئی در هزینه ها ، می توان بخش های خاصی از شبکه را ارتقاء و از سخت افزارها و یا نرم افزارهای خاصی برای ارتباط با عناصر قدیمی شبکه استفاده نمود؟
با توجه به هزینه و زمان ارتقاء برنامه های نوشته شده قدیمی توسط زبان های جدید برنامه نویسی ، ممکن است تصمیم گرفته شود که فعلا” و تا زمانی که نرم افزارهای جدید نوشته و جایگزین گردند از نرم افزارهای موجود حمایت و پشتیبانی شود. در این رابطه ممکن است بتوان از یک بسته نرم افراری به عنوان گزینه ای جایگزین در ارتباط با برنامه های قدیمی نیز استفاده نمود. در صورتی که می توان با اعمال تغییراتی اندک و ترجمه کد منبع برنامه ، امکان اجرای برنامه را بر روی یک سیستم عامل جدید فراهم نمود ، قطعا” هزینه مورد نظر بمراتب کمتر از حالتی است که برنامه از ابتدا و متناسب با خواسته های جدید ، بازنویسی گردد. یکی دیگر از مسائلی که می بایست در زمان ارتقاء یک برنامه جدید مورد توجه قرار گیرد ، آموزش کاربرانی است که از نرم افزار فوق استفاده می نمایند .
برنامه ریزی برای طراحی منطقی شبکه برای طراحی منطقی شبکه ، می توان از یک و یا دونقطه کار خود را شروع کرد: طراحی و نصب یک شبکه جدید و یا ارتقاء شبکه موجود. در هر دو حالت ، می بایست اطلاعات مورد نیاز در خصوص چندین عامل اساسی و مهم را قبل از طراحی منطقی شبکه ، جمع آوری نمود. مثلا” با توجه به سرویس ها و خدماتی که قصد ارائه آنان به سرویس گیرندگان شبکه را داریم ، می بایست به بررسی و آنالیز الگوهای ترافیک در شبکه پرداخته گردد . شناسائی نقاط حساس و بحرانی (در حد امکان ) ، کاهش ترافیک موجود با ارائه مسیرهای متعدد به منابع و تامین سرویس دهندگان متعددی که مسئولیت پاسخگوئی به داده های مهم با هدف تامینLoad balancing را دارا می باشند ، نمونه هائی در این رابطه می باشد .برای برنامه ریزی در خصوص طراحی منطقی شبکه می بایست به عواملی دیگر نیز توجه و در خصوص آنان تعیین تکلیف شود :
سرویس گیرندگان، چه افرادی می باشند؟ نیاز واقعی آنان چیست ؟چگونه از نیاز آنان آگاهی پیدا کرده اید ؟ آیا اطلاعات جمع آوری شده معتبر است ؟
چه نوع سرویس ها و یا خدماتی می بایست بر روی شبکه ارائه گردد؟ آیا در این رابطه محدودیت های خاصی وجود دارد ؟ آیا قصد استفاده و پیکربندی یک فایروال بین شبکه های محلی وجود دارد ؟ در صورت وجود فایروال ، به منظور استفاده از اینترنت به پیکربندی خاصی نیاز می باشد؟
آیا صرفا” به کاربران داخلی شبکه ، امکان استفاده از اینترنت داده می شود و یا کاربران خارجی ( مشتریان سازمان ) نیز می بایست قادر به دستیبابی شبکه باشند ؟ هزینه دستیابی و ارائه سرویس ها و خدمات به کاربران خارجی از طریق اینترنت، چه میزان است ؟ ؟ آیا تمامی کاربران شبکه مجاز به استفاده از سرویس پست الکترونیکی می باشند (سیستم داخلی و یا خارجی از طریق فایروال ) . کاربران شبکه ، امکان دستیابی به چه سایت هائی را دارا خواهند بود؟ آیا سازمان شما دارای کاربرانی است که در منزل و یا محیط خارج از اداره مشغول به کار بوده و لازم است به شبکه از طریق Dial-up و یا VPN ( از طریق ایننترنت ) ، دستیابی نمایند ؟
یکی از موضوعات مهمی که امروزه مورد توجه اکثر سازمان ها می باشد ، نحوه تامین امکان دستیابی نامحدود به اینترنت برای کاربران است. در صورتی که کاربران نیازمند مبادله نامه الکترونیکی با مشتریان سازمان و یا مشاوران خارج از شرکت می باشند ، می بایست ترافیک موجود را از طریق یک برنامه فیلتر محتوا و یا فایروال انجام و به کمک نرم افزارهائی که حفاظت لازم در مقابل ویروس ها را ارائه می نمایند ، عملیات تشخیص و پیشگیری از کد های مخرب و یا فایل ضمیمه آلوده را نیز انجام داد.
با استفاده از نرم افزارهائی نظیر FTP ،کاربران قادر به ارسال و یا دریافت فایل از طریق سیستم های راه دور می باشند .آیا در این خصوص تابع یک سیاست مشخص شده ای بوده و می توان پتانسیل فوق را بدون این که اثرات جانبی خاصی را به دنبال داشته باشد در اختیار کاربران قرار داد ؟ از لحاظ امنیتی ،امکان اجرای هر برنامه جدید بر روی هر کامپیوتر ( سرویس گیرنده و یا سرویس دهنده ) بدون بررسی لازم در خصوص امنیت برنامه ، تهدیدی جدی در هر شبکه کامپیوتری محسوب می گردد .
آیا کاربران شبکه با یک مشکل خاص کوچک که می تواند برای دقایقی شبکه و سرویس های آن را غیر فعال نماید ، کنار می آیند و یا می بایست شبکه تحت هر شرایطی به منظور ارائه خدمات و سرویس ها ، فعال و امکان دستیابی به آن وجود داشته باشد ؟ آیا به سرویس دهندگان کلاستر شده ای به منظور در دسترس بودن دائم شبکه ، نیاز می باشد ؟ آیا کاربران در زمان غیرفعال بودن شبکه ، چیزی را از دست خواهند داد ؟ آیا یک سازمان توان مالی لازم در خصوص پرداخت هزینه های مربوط به ایجاد زیرساخت لازم برای فعال بودن دائمی شبکه را دارا می باشد ؟ مثلا” می توان توپولوژی های اضافه ای را در شبکه پیش بینی تا بتوان از آنان برای پیشگیری از بروز اشکال در یک نقطه و غیر فعال شدن شبکه ، استفاده گردد. امروزه با بکارگیری تجهیزات خاص سخت افزاری به همراه نرم افزاری مربوطه ، می توان از راهکارهای متعددی به منظور انتقال داده های ارزشمند در یک سازمان و حفاظت از آنان در صورت بروز اشکال ، استفاده نمود.
در صورتی که قصد ارتقاء شبکه موجود وجود داشته باشد ، آیا می توان از پروتکل های فعلی استفاده کرد و یا می بایست به یک استاندارد جدید در ارتباط با پروتکل ها ، سوئیچ نمود ؟ در صورتی که یک شبکه جدید طراحی می گردد ، چه عواملی می تواند در خصوص انتخاب پروتکل شبکه ، تاثیر گذار باشد ؟ اترنت ، متداولترین تکنولوژی شبکه ها ی محلی ( LAN ) و TCP/IP ، متداولترین پروتکلی است که بر روی اترنت ، اجراء می گردد . در برخی موارد ممکن است لازم باشد که سایر تکنولوژی های موجود نیز بررسی و در رابطه با استفاده از آنان ، تصمیم گیری گردد .
استفاده کنندگان شبکه چه افرادی هستند ؟ این سوال به نظر خیلی ساده می آید. ما نمی گوئیم که نام استفاده کنندگان چیست ؟ هدف از سوال فوق، آشنائی با نوع عملکرد شغلی و حوزه وظایف هر یک از کاربران شبکه است . طراحان شبکه های کامپیوتری نیازمند تامین الگوها و خواسته ها متناسب با ماهیت عملیاتی هر یک از بخش های یک سازمان بوده تا بتوانند سرویس دهندگان را به درستی سازماندهی نموده و پهنای باند مناسب برای هر یک از بخش های فوق را تامین و آن را در طرح شبکه ، لحاظ نمایند . مثلا” در اکثر سازمان ها ، بخش عمده ترافیک شبکه مربوط به واحد مهندسی است . بنابراین در چنین مواردی لازم است امکانات لازم در خصوص مبادله داده در چنین واحدهائی به درستی پیش بینی شود .
شبکه مورد نظر می بایست چه نوع سرویس ها و خدماتی را ارائه نماید ؟ مهمترین وظیفه یک شبکه ، حمایت از نرم افزارهائی است که امکان استفاده از آنان برای چندین کاربر ، وجود داشته باشد. در این رابطه لازم است در ابتدا لیستی از انواع نرم افزارهائی که در حال حاضر استفاده می گردد و همچنین لیستی از نرم افزارهائی را که کاربران تقاضای استفاده از آنان را نموده اند، تهیه گردد. هر برنامه دارای یک فایل توضیحات کمکی است که در آن به مسائل متفاوتی از جمله رویکردهای امنیتی ، اشاره می گردد ( در صورت وجود ) . نرم افزارهای عمومی شبکه در حال حاضر FTP، telnet و مرورگرهای وب بوده که نسخه های خاص امنیتی در ارتباط با هر یک از آنان نیز ارائه شده است . برخی از این نوع نرم افزارها دارای نسخه هائی می باشند که همزمان با نصب ، حفره ها و روزنه های متعددی را برروی شبکه ایجاد می نمایند . صرفنظر از این که چه نرم افزارهائی برای استفاده در شبکه انتخاب می گردد ، می بایست به دو نکته مهم در این رابطه توجه گردد :
آیا برنامه ایمن و مطمئن می باشد؟ اکثر برنامه ها در حال حاضر دارای نسخه هائی ایمن بوده و یا می توان آنان را به همراه یک سرویس دهنده Proxyبه منظور کمک در جهت کاهش احتمال بکارگیری نادرست ، استفاده نمود.سرویس دهندگان Proxy ، یکی از عناصر اصلی و مهم در فایروال ها بوده و لازم است به نقش و جایگاه آنان بیشتر توجه گردد. حتی شرکت های بزرگ نیز در معرض تهدید و آسیب بوده و هر سازمان می بایست دارای کارشناسانی ماهر به منظور پیشگیری و برخورد با مشکلات امنیتی خاص در شبکه باشد .
آیا یک برنامه با برنامه دیگر Overlap دارد؟ هر کاربر دارای نرم افزار مورد علاقه خود می باشد . برخی افراد یک واژه پرداز را دوست دارند و عده ای دیگر به واژه پردازه دیگری علاقه مند می باشند. در زمان استفاده از چنین نرم افزارهائی لازم است حتی المقدور سعی گردد از یک محصول خاص بمظور تامین خواسته تمامی کاربران ،استفاده گردد. فراموش نکنیم که پشتیبانی چندین برنامه که عملیات مشابه و یکسانی را انجام می دهند هم سرمایه های مالی را هدر خواهد داد و هم می تواند سردرگمی ، تلف شدن زمان و بروز مشکلات مختلف در جهت مدیریت آنان توسط گروه مدیریت و پشتیبان شبکه را به دنبال داشته باشد .
هر برنامه و یا سرویس جدیدی را که قصد نصب و فعال شدن آن را در شبکه داشته باشیم ، می بایست در ابتدا بررسی و در ادامه متناسب با سیاست ها و شرایط موجود ، پیکربندی نمود . برنامه های جدید می بایست منطبق بر این حقیقت باشند که چرا به وجود آنان نیاز می باشد؟ در صورتی که یک برنامه موجود می تواند به منظور تحقق اهداف خاصی استفاده گردد ، چرا به برنامه ای دیگر نیاز می باشد ؟ آیا عدم کارائی برنامه قدیمی بررسی و بر اساس نتایج به دست آمده به سراغ تهیه یک نرم افزار جدید می رویم ؟ همواره لازم است برنامه جدید بررسی تا اطمینان لازم در خصوص تامین خواسته ها توسط آن حاصل گردد.این موضوع در رابطه با برنامه های قدیمی نیز صدق خواهد کرد: آیا این نوع برنامه ها بر روی شبکه جدید و یا شبکه موجود که قصد ارتقاء آن را داریم ، کار خواهند کرد؟
آیا استفاده از شبکه ، مانیتور می گردد؟ آیا به کاربران شبکه اجازه داده می شود که اکثر وقت خود را در طی روز به استفاده از اینترنت و یا ارسال و یا دریافت نامه های الکترونیکی شخصی ، صرف نمایند ؟ تعداد زیادی از سازمان ها و موسسات امکان استفاده از تلفن برای کاربردهای شخصی را با لحاط نمودن سیاست های خاصی در اختیار کارکنان خود قرار می دهند. آیا در زمان تعریف آدرس الکترونیکی کاربران ، راهکاری مناسب در این خصوص انتخاب و به آنان اعلام شده است ؟ آیا پیشگیری لازم به منظور دستیابی به سایت هائی که ارتباطی با عملکرد شغلی پرسنل ندارند ، پیش بینی شده است ؟
برای هر یک از لینک های شبکه به چه درجه ای از اطمینان نیاز است ؟ از کار افتادن شبکه و غیر فعال شدن سرویس های آن تا چه میزان قابل قبول است ؟ شاید اکثر کاربران در پاسخ زمان صفر را مطرح نموده و تمایل دارند که شبکه تحت هر شرایطی فعال و در دسترس باشد . عناصر مهم در شبکه ، نظیر سرویس دهندگان فایل دارای استعداد لازم برای پذیرش اشکالات و بروز خطاء می باشند . در سرویس دهندگان بزرگ ، از دو منبع تغذیه متفاوت که هر کدام به یک ups جداگانه متصل می گردند ، استفاده می شود و از فن آوری های Raid به منظور اطمینان از صحت ارائه اطلاعات در رابطه با حوادثی که ممکن است باعث از کار افتادن یک دیسک گردد ، استفاده می شود. در صورتی که دو بخش متفاوت یک سازمان از طریق یک خط ارتباطی ( لینک ) خاص با یکدیگر مرتبط شده باشند و لازم است که همواره ارتباط بین آنان بصورت تمام وقت برقرار باشد، می بایست برنامه ریزی لازم در خصوص ایجاد چندین لینک بین دو سایت ، صورت پذیرد (لینک Backup ). در چنین مواردی ، می بایست هزینه تامین لینک اضافه نیز پیش بینی گردد. در صورتی که از چندین لینک برای ارتباط با سایت های راه دور استفاده می شود ، می توان از مسیرهای مختلفی بدین منظور استفاده نمود . بدیهی است در صورت بروز اشکال در یکی از لینک های موجود، می توان از سایر مسیر ها استفاده به عمل آورد . در این رابطه لازم است به موارد زیر نیز توجه گردد :
علاوه بر در نظر گرفتن خطوط اختصاصی بین سایت ها ، استفاده از VPN)Virtual Private Networking) ، نیز روشی متداول به منظور اتصال به سایت های راه دور، می باشد . مهمترین مزیت روش فوق، ارزان بودن آن نسبت به یک لینک اختصاصی با توجه به استفاده از زیرساخت اینترنت برای مبادله داده است . کاربران موبایل می توانند با استفاده از یک VPN به شبکه سازمان خود دستیابی داشته باشند ( در زمان حرکت از یک نقطه به نقطه ای دیگر ) . در چنین مواردی لازم است سایت راه دور ( و نیز سایت اصلی ) ، از دو ISP استفاده نموده تا اگر یکی از آنان با مشکل روبرو گردید ، امکان استفاده از اینترنت از طریق یک اتصال دیگر ، وجود داشته باشد .
فن آوری دیگری که می توان از آن به منظور ارائه یک لایه اضافه به منظور در دسترس بودن شبکه استفاده نمود ، دستیابی با سرعت بالا به دستگاههای ذخیره سازی و شبکه ذخیره سازی ( SAN:Storage Area Network ) است . SAN ، شبکه ای است که از LAN جدا بوده و شامل صرفا” دستگاههای ذخیره سازی و سرویس دهندگان لازم برای دستیابی به دستگاه ها است . با توجه به این که پهنای باند شبکه با کاربران شبکه محلیLAN به اشتراک گذاشته نمی شود ، چندین سرویس دهنده قادر به دستیابی محیط ذخیره سازی مشابه و یکسانی ، خواهند بود. سایر سرویس دهندگان می توانند بگونه ای پیکربندی گردند که امکان دستیابی به داده را فراهم نمایند . در این رابطه می توان از RAID و یا برخی فن آوری های دیگر مرتبط با دستگاه های ذخیره سازی نیز استفاده نمود .
در بخش دوم این مقاله به بررسی سایر پارامترهای لازم در خصوص تدوین استراتژی طراحی یک شبکه کامپیوتری خواهیم پرداخت .
مفاهیم Load Balancing: به توضیع بار شبکه و یا ترافیک نرم افزاری روی سرور های Cluster جهت بهینه سازی پاسخ به درخواست و افزایش کیفیت و پایداری تقسم بار یا Load Balancing گفته میشود. سرور یا سیستم تقسیم بار بین Client و Server Farm قرار میگیرید و ترافیک های شبکه و نرم افزار را با استفاده از متد های گوناگون بین سرور ها توضیع میکند که با انجام این عمل بین سرور ها از بروز Single Point Failure جلوگیری میشود. Load Balancing یکی از بهترین و کارامد ترین معماری برای Application server میباشد.
مفاهیم Load Balancing
با راه اندازی این متد زمانی که درگیری سرور و مصرف منابع Application بالا میرود میتوان به راحتی سرور های جدید را به Server Pool اضافه کرد. به محض اضافه شدن سرور جدید Request ها و ترافیک روی سرور جدید نیز توضیع خواهد شد.
با توجه به توضیحات بالا وظایف Load Balancer به شرح زیر خواهد بود:
توضیع درخواست های Client و یا ترافیک شبکه بصورت موثر بین سرور ها
اطمینان از پایداری سرویس، کیفیت و اعتماد با فرستادن درخواست Client به سمت سرور های فعال و در دسترس
ارائه انعطاف پذیری در حذف و یا اضافه سرور در صورت نیاز
تقسیم بار یا همان Load Balancing چگونه انجام میشود:
زمانی که یک Application Server غیر قابل دسترس میشود Load balancer تمامی درخواست های مربوط به Application را به یکی دیگر از سرور های فعال ارجاع میدهد. جهت تحویل پیشرفته درخواست های نرم افزاری از یک سیستم Application Delivery Controller یا به اختصار ADC استفاده میشود تا امنیت و Performance در زمان ارجاع درخواست به Web افزایش یابد. ADC فقط یک Load Balancer نیست بلکه یک پلتفرم جهت تحویل شبکه، Application، سرویس های مبایل با سرعت و امنیت بالا میباشد.
متدها و الگوریتم های Load Balancing
The Least Connection Method : زمانی که Virtual Server طوری کانفیگ میشود تا از متد Least Connection استفاده کند سرویسی که کمترین تعداد کانکشن را دارد جهت پاسخ به درخواست انتخاب میشود.
The Round Robin Method : در این الگوریتم بصورت گردشی درخواست ها بین Server یا service ها تقسیم میشود. به این صورت که Server ها یا Service ها بصورت یک لیست شده و درخواست به اول سرویس دهنده لیست ارسال میشود و این متد بصورت گردشی ادامه میابد.
The Least Response Time Method : در این روش درخواست به سرویس دهنده ای که کمترین تعداد کانکشن و کمترین میانگین زمانی پاسخدهی را دارد ارسال میشود.
The Least Bandwidth Method : این متد برای سرویس دهندگان File Server مناسب بوده و سروری که کمترین میزان مصرف ترافیک شبکه را دارد جهت پردازش درخواست انتخاب میشود.
The Least Packets Method : در این متد سرویس دهنده ای کمترین میزان packet را در بازه مشخص دریافت میکند انتخاب میشود.
The Custom Load Method: زمانی که این متد جهت Load Balancing انتخاب شود سرویسی که هیچ درخواستی را برای پردازش ندارد انتخاب میشود، اگر همه سرور ها در حال پردازش Transaction بودند سروری که کمترین میزان لود را داراست جهت پردازش درخواست جدید انتخاب میشود.
دلیل استفاده از Load Balancing چیست ؟!
در هر صورت استفاده از این ساختار باعث پایداری، کیفیت و افزایش امنیت در سرویس دهی خواهد شد. در سیستم های Critical Mission و سیستم هایی که High Availability در ان مهم است استفاده از تقسیم بار ضروری میباشد.
Domain Name System یا همان DNS گاها قسمت سخت و پیچیده راه اندازی یک سرور میباشد. اشنایی با مفاهیم DNS باعث میشود بصورت پیشرفته دسترسی به وب سایت را از طریق دامنه مدیریت کرده و مشکلات را ساده تر ردگیری نمایید. در این اموزش شما با مفاهیم و قسمت های مختلف DNS اشنا خواهید شد. آموزش تنظیم DNS در سرور ویندوزی و لینوکسی در مقالات اینده خدمت شما عزیزان ارائه خواهد شد اما اجازه دهید قبل از ان با مفاهیم و اصطلاعات DNS خوب اشنا شویم.
آموزش مفاهیم اولیه DNS
معرفی مفهوم اصطلاحات و واژگان در سیستم نام دامنه یا Domain Name System
در مبحث DNS ممکن است تعدادی واژه شنیده باشید که شاید تعدادی از انها برای شما اشنا و مابقی گنگ و نا مفهوم بوده باشد که از بعضی از انها به دفعات استفاده میشود و بعضی نیز کم کاربرد خواهد بود. در ادامه مقاله با تمامی این لغات مانند: Domain Name, TLD, SubDomain, Zone File, A & AAA Record و … اشنا خواهید شد.
Domain Name System :
Domain Name System معمولا با اصطلاح DNS شناخته میشود. DNS در سیستم های شبکه یک ادرس کاربر پسند را Resolve میکند. تصور کنید برای باز کردن یک صفحه وب باید ادرس ای پی مانند ۱۹۲٫۱۵۵٫۸۱٫۱۰۴ ان را در حافظه به خاطر بسپارید! پس از پیاده سازی سیستم نام دامنه یا DNS شما وارد مرورگر شده و با تایپ google.com وارد سایت گوگل میشود. زمانی که شما ادرس سایت را وارد میکنید ادرس IP شبکه ای دامنه به شما بازگردانده و یا اصطلاحا Resolve میشود. شما میتوانید به سادگی با ping کردن نام یک دامنه این موضوع را در عمل نیز مشاهده نمایید.
Domain Name :
Domain Name یا نام دامنه همانطور که از نام آن پیداست به ادرس کاربر پسند و قابل فهم دامنه گفته میشود. برای مثال google.com یک Domain Name میباشد. برخی از متخصصان معتقد هستند که نام قبل از پسوند Domain میباشد. اما در حالت کلی میتوانید ترکیب دامنه و پسوند را Domain Name بدانید.
ادرس google.com که متعلق به شرکت گوگل است به سرور های این شرکت متصل میباشد. کاربران به راحتی میتواند با وارد کردن نام گوگل به سایت و دیگر سرویس های این شرکت وارد شده و از ان استفاده نماییند.
IP Address :
آدرس IP یک سیستم ادرس دهی شبکه ای میباشد، در صورتی که Static باشد در سطح اینترنت معتبر بوده و قابلت مشاهده شدن و ادرس دهی دارد. زمانی که در مورد وبسایت صحبت میشود منظور از شبکه Wlan یا اینترنت میباشد. IPv4 یکی از پرکاربرد ترین شکل ادرس دهی است که از چهار بخش عددی تشکیل شده است. هر بخش با یک حرف dot یا “.” از هم جدا میشود. برای مثال ۱۹۲٫۱۶۸٫۱٫۱ یک ادرس ای پی IPv4 میباشد که البته این IP لوکال بوده و در سطح اینترنت نیز استفاده نمیشود. با استفاده از DNS دامنه به IP اصطلاحا Map میشود و با همین روش دیگر برای مشاهده وب سایت نیازی به حفظ کردن ادرس IP نیست.
Top-Level Domain :
Top-Level Domain یا TLD بخش اصلی یک دامنه را تشکیل میدهد. اخرین بخش یک ادرس دامنه TLD میباشد که با اخرین dot مشخص میشود. com , org , gov و net جزو پسوند یا TLD های معروف و شناخته شده میباشد.
TLD در بالاترین سطح سلسله مراتبی نام دامنه قرار دارد. مدیریت روی TLD ها توسط سازمان Internet Corporation Assigned Name and Numbers یا ICANN به سازمان ها و یا کشور ها داده میشود. به طور مثال کنترل، TLD یا پسوند IR توسط ICANN به NIC داده شده است تا بتواند دامنه های ملی IR را مدیریت نمایید. هر کشور TLD مخصوص به خود را داراست.
Host’s :
Host یا میزبان میتواند یک سرور و یا یک سرویس دهنده میزبانی وب و … باشد. دامنه میتواند روی سرویس دهنده های مختلف میزبانی شود. host یا همان میزبان میتوانید به هر سرویسی که از دامنه ما میزبانی میکند گفته شود. میزبان از طریق دامنه در دسترس قرار میگیرد. برای مثال دامنه زیر را در نظر بگیرید:
vcenter.ir
این دامنه میتواند بصورت کامل روی یک میزبان یا بصورت جداگانه هر بخش ان بر روی یک هاست میزبانی شود. اگر میخواهید سرور دانلود شما از میزبانی وب جدا باشد میتوانید با ایجاد یک سابدامنه ان را به سرور یا سرویس دهنده دیگری متصل نمایید. با استفاده از این روش میتوانید در زیر مجموعه دامنه اصلی میزبان های متفاوتی داشته باشید.
subDomain :
دامنه بصورت سلسله مراتبی کار میکند. TLD ها میتواند تعداد زیادی دامنه در زیر مجموعه خود داشته باشند. بصور مثال یک TLD مانند IR را در نظر بگیرید، دامنه های “vcenter.ir” و “bashRC.ir” جزو زیر مجموعه های پسوند IR میباشد. Subdomain یا همان سابدامنه به ژیر مجموعه های دامنه بزرگ تر گفته میشود. یا این حساب vcenter سابدامنه IR است. در مفاهیم دامنه vcenter در جایگاه دوم ارزش قرار میگیرد که به ان SLD یا Second Level Domain گفته میشود. جایگاه اول ارزش دامنه یا همان TLD مربوط به ir. و یا دیگر پسوند ها میباشد.
سابدامنه در اصطلاح روزمره به زیر مجموعه دامنه اصلی نیز گفته میشود. بطور مثال به ادرس های زیر نیز سابدامنه گفته میشود:
dl.vcenter.ir
ftp.vcenter.ir
test.vcenter.ir
تمامی ادرس های بالا نیز سابدامنه نامیده میشود هرچند مفهوم اصلی سابدامنه در ابتدا شرح داده شد. در هاستینگ معمولا با این ادرس ها بیشتر برخورد میکنید. با استفاده از ادرس سابدامنه میتوانید سایت خود را به بخش های مختلف تقسیم کنید یا سابدامنه را به میزبان ها و سرویس دهنده های مختلف متصل سازید.
Name Server :
Name Server طراحی شده تا نام دامنه را به ادرس IP ترجمه نمایید. این سرویس تقریبا بیشتر سیستم DNS را انجام می دهد. در تنظیمات دامنه این گزینه را با نام NS مشاهده میکنید.
Zone File :
zone file یک فایل متنی ساده است که اطلاعات دامنه را نگهداری میکند. این فایل طوری تنظیم شده تا درخواست های بازگشتی مانند Resolve کردن Name Server را هندل کند. Zone File محدوده DNS را مشخص میسازد. این فایل میتواند شامل رکورد های دامنه و ادرس Resource مربوط به ان باشد. نام Zone File دامنه vcenter.ir در سیستم vcenter.ir.db میباشد. برای نمونه محتویات یک Zone File میتواند بصورت زیر باشد:
1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
$TTL14400
@INSOA ns1.vcenter.ir.hostmaster.vcenter.ir.(
2017010101
14400
3600
1209600
86400)
vcenter.ir.14400INNS ns1.vcenter.ir.
vcenter.ir.14400INNS ns2.vcenter.ir.
ftp14400INA149.202.111.161
mail14400INA149.202.111.161
ns1.vcenter.ir.14400INA149.202.111.161
ns2.vcenter.ir.14400INA149.202.111.161
pop14400INA149.202.111.161
smtp14400INA149.202.111.161
vcenter.ir.14400INA149.202.111.161
www14400INA149.202.111.161
vcenter.ir.14400INMX10mail
vcenter.ir.14400INTXT“v=spf1 a mx ip4:149.202.111.161 ~all”
نقش پروتکل SSL یا Secure Socket Layer در امنیت ارتباطات شبکه
SSL یا Secure Socket Layer راه حلی جهت برقراری ارتباطات ایمن میان یک سرویسدهنده و یک سرویسگیرنده است که توسط شرکت Netscape ارائه شده است. درواقع SSL پروتکلی است که پایینتر از لایه کاربرد (لایه ۴ از مدل TCP/IP) و بالاتر از لایه انتقال (لایه سوم از مدل TCP/IP) قرار میگیرد.
پروتکل SSLبهرهگیری از موارد امنیتی تعبیه شده آن برای امن کردن پروتکلهای غیر امن لایه کاربردی نظیر HTTP، LDAP، IMAP و غیره است. الگوریتمهای رمزنگاری بر اساس پروتکل SSL بر روی دادههای خام (plain text) که قرار است از یک کانال ارتباطی غیر امن مثل اینترنت عبور کنند، اعمال میشود و محرمانه ماندن دادهها را در طول کانال انتقال تضمین میکند. بهبیاندیگر شرکتی که صلاحیت صدور و اعطای گواهیهای دیجیتال SSL را دارد برای هرکدام از دو طرفی که قرار است ارتباطات میان شبکهای امن داشته باشند، گواهیهای مخصوص سرویسدهنده و سرویسگیرنده را صادر میکند و با مکانیسمهای احراز هویت خاص خود، هویت هرکدام از طرفین را برای طرف مقابل تأیید میکند. البته غیر از این کار میبایست تضمین کند که اگر اطلاعات حین انتقال مورد سرقت قرار گرفت، برای رباینده قابلدرک و استفاده نباشد که این کار را با کمک الگوریتمهای رمزنگاری و کلیدهای رمزنگاری نامتقارن و متقارن انجام میدهد.
ملزومات یک ارتباط مبتنی بر پروتکل امنیتی SSL
برای داشتن ارتباطات امن مبتنی بر SSL عموماً به دو نوع گواهی دیجیتال SSLنیاز است. گواهی اول برای سرویسدهنده و گواهی دیگر برای سرویسگیرنده است. همچنین به یک مرکز صدور و اعطای گواهینامه دیجیتال یا CA نیاز است. وظیفه CA این است که هویت طرفین ارتباط، نشانیها، حسابهای بانکی و تاریخ انقضای گواهینامه را بداند و بر اساس آنها هویتها را تعیین نماید.
مکانیسمهای تشکیلدهنده SSL
۱– تأیید هویت سرویسدهنده
با استفاده از این ویژگی در SSL، یک کاربر از صحت هویت یک سرویسدهنده مطمئن میشود. نرمافزارهای مبتنی بر SSLسمت سرویسگیرنده، مثلاً یک مرورگر وب نظیر Internet Explorer میتواند از تکنیکهای استاندارد رمزنگاری مبتنی بر کلید عمومی و مقایسه با کلیدهای عمومی یک سرویسدهنده، (مثلاً یک برنامه سرویسدهنده وب نظیر IIS) و از هویت آنها مطلع شود و پس از اطمینان کامل، کاربر میتواند نسبت به وارد نمودن اطلاعات خود مانند شماره کارتهای اعتباری و یا گذرواژهها اقدام نماید.
۲- تأیید هویت سرویسگیرنده
برعکس حالت قبلی در اینجا سرویسدهنده است که میبایست از صحت هویت سرویسگیرنده اطمینان یابد. طی این مکانیسم، نرمافزار مبتنی بر SSL سمت سرویسدهنده پس از مقایسه نام سرویسگیرنده با نامهای مجاز موجود در لیست سرویسگیرندههای مجاز که در داخل سرویسدهنده تعریف میشود، اجازه استفاده از سرویسهای مجاز را به او میدهد.
۳- ارتباطات رمز شده
کلیه اطلاعات مبادله شده میان سرویسدهنده و گیرنده میبایست توسط نرمافزارهای موجود در سمت سرویسدهنده و سرویسگیرنده رمزنگاری (Encrypt) شده و در طرف مقابل رمزگشایی (Decrypt) شوند تا حداکثر محرمانگی (Confidentiality) در اینگونه سیستمها لحاظ شود.
اجزای پروتکل SSL
پروتکل SSL دارای دو زیرپروتکل تحت عناوین زیر است:
۱- SSL Rocord Protocol که نوع قالببندی دادههای ارسالی را تعیین میکند.
۲- SSL Handshake Protocol که بر اساس قالب تعیینشده در پروتکل قبلی، مقدمات ارسال دادهها میان سرویسدهندهها و سرویسگیرندههای مبتنی بر SSL را تهیه میکند.
بخشبندی پروتکل SSL به دو زیرپروتکل دارای مزایایی است ازجمله:
اول: در ابتدای کار و طی مراحل اولیه ارتباط (Handshake) هویت سرویسدهنده برای سرویسگیرنده مشخص میگردد.
دوم: در همان ابتدای شروع مبادلات، سرویسدهنده و گیرنده بر سر نوع الگوریتم رمزنگاری تبادلی توافق میکنند.
سوم: در صورت لزوم، هویت سرویسگیرنده نیز برای سرویسدهنده احراز میگردد.
چهارم: در صورت استفاده از تکنیکهای رمزنگاری مبتنی بر کلید عمومی، میتوانند کلیدهای اشتراکی مخفی را ایجاد نمایند.
پنجم: ارتباطات بر مبنای SSL رمزنگاری میشود.
الگوریتمهای رمزنگاری پشتیبانی شده در SSL
در استاندارد SSL، از اغلب الگوریتمهای عمومی رمزنگاری و مبادلات کلید (Key Exchcenge Algorithm) نظیر RSA، RC4، RC2،MD5، KEA، DSA، DES و RSA Key Exchauge، SHA1، Skipjack و DES3 پشتیبانی میشود. بسته به این که نرمافزارهای سمت سرویسدهنده و سرویسگیرنده نیز از موارد مذکور پشتیبانی نمایند، ارتباطات SSLمیتواند بر اساس هرکدام از این الگوریتمها صورت پذیرد. البته بسته به طول کلید مورد استفاده در الگوریتم و قدرت ذاتی الگوریتم، میتوان آنها را در ردههای مختلفی قرار داد که توصیه میشود با توجه به سناریوهای موردنظر، از الگوریتمهای قویتر نظیر DES۳ با طول کلید ۱۶۸ بیت برای رمزنگاری دادهها و همچنین الگوریتم SHA-1 برای مکانیسمهای تأیید پیغام MD5 استفاده شود و یا این که اگر امنیت در این حد مورد نیاز نبود، میتوان در مواردی خاص از الگوریتم رمزنگاری RC4 با طول کلید ۴۰ بیت و الگوریتم تأیید پیغام MD5 استفاده نمود.
نحوه عملکرد داخلی پروتکل SSL
همانطور که میدانید SSL میتواند از ترکیب رمزنگاری متقارن و نامتقارن استفاده کند. رمزنگاری کلید متقارن سریعتر از رمزنگاری کلید عمومی است و از طرف دیگر رمزنگاری کلید عمومی تکنیکهای احراز هویت قویتری را ارائه میکند. یک جلسه (SSL (Session با یک تبادل پیغام ساده تحت عنوان SSL Handshake شروع میشود. این پیغام اولیه به سرویسدهنده این امکان را میدهد تا خودش را به سرویسدهنده دارای کلید عمومی معرفی نماید و سپس به سرویسگیرنده و سرویسدهنده این اجازه را میدهد که یک کلید متقارن را ایجاد نمایند که برای رمزنگاریها و رمزگشایی سریعتر در جریان ادامه مبادلات مورد استفاده قرار میگیرد. گامهایی که قبل از برگزاری این جلسه انجام میشوند بر اساس الگوریتم RSA Key Exchangeعبارتاند از:
۱- سرویسگیرنده، نسخه SSLمورد استفاده خود، تنظیمات اولیه درباره نحوه رمزگذاری و یک داده تصادفی را برای شروع درخواست یک ارتباط امن مبتنی بر SSL به سمت سرویسدهنده ارسال میکند.
۲- سرویسدهنده نیز در پاسخ نسخه SSL مورد استفاده خود، تنظیمات رمزگذاری و داده تصادفی تولیدشده توسط خود را به سرویسگیرنده میفرستد و همچنین سرویسدهنده گواهینامه خود را نیز برای سرویسگیرنده ارسال میکند و اگر سرویسگیرنده از سرویسدهنده، درخواستی داشت که نیازمند احراز هویت سرویسگیرنده بود، آن را نیز از سرویسگیرنده درخواست میکند.
۳- سپس سرویسگیرنده با استفاده از اطلاعاتی که از سرویسدهنده مجاز در خود دارد، دادهها را بررسی میکند و اگر سرویسدهنده مذکور تأیید هویت شد، وارد مرحله بعدی میشود و در غیر این صورت با پیغام هشداری به کاربر، ادامه عملیات قطع میگردد.
نقش پروتکل SSL یا Secure Socket Layer در امنیت ارتباطات شبکه
شکل 1 : SSL
۴- سرویسگیرنده یک مقدار به نام Secret Premaster را برای شروع جلسه ایجاد میکند و آن را با استفاده از کلید عمومی (که اطلاعات آن معمولاً در سرویسدهنده موجود است) رمزنگاری میکند و این مقدار رمز شده را به سرویسدهنده ارسال میکند.
۵- اگر سرویسدهنده به گواهینامه سرویسگیرنده نیاز داشت میبایست در این گام برای سرویسدهنده ارسال شود و اگر سرویسگیرنده نتواند هویت خود را به سرویسدهنده اثبات کند، ارتباط در همینجا قطع میشود.
۶- بهمحض این که هویت سرویسگیرنده برای سرویسدهنده احراز شد، سرویسدهنده با استفاده از کلید اختصاصی خودش مقدار Premaster Secret را رمزگشایی میکند و سپس اقدام به تهیه مقداری به نام Master Secret مینماید.
۷- هم سرویسدهنده و هم سرویسگیرنده با استفاده از مقدار Master Secret کلید جلسه (Session Key) را تولید میکنند که درواقع کلید متقارن مورد استفاده در عمل رمزنگاری و رمزگشایی دادهها حین انتقال اطلاعات است و در این مرحله بهنوعی جامعیت دادهها بررسی میشود.
۸- سرویسگیرنده پیغامی را به سرویسدهنده میفرستد تا به او اطلاع دهد، داده بعدی که توسط سرویسگیرنده ارسال میشود بهوسیله کلید جلسه رمزنگاری خواهد شد و در ادامه، پیغام رمز شده نیز ارسال میشود تا سرویسدهنده از پایان یافتن Handshake سمت سرویسگیرنده مطلع شود.
۹- سرویسدهنده پیغامی را به سرویسگیرنده ارسال میکند تا او را از پایان Handshake سمت سرویسدهنده آگاه نماید و همچنین این که داده بعدی که ارسال خواهد شد توسط کلید جلسه رمز میشود.
۱۰- در این مرحلهSSL Handshake تمام میشود و از این به بعد جلسه SSL شروع میشود و هر دو عضو سرویسدهنده و گیرنده شروع به رمزنگاری و رمزگشایی و ارسال دادهها میکنند.
آخرین دیدگاهها