مفهوم SPF DNS Record

  • ژانویه 21, 2017
  • admin
  • 0

مفهوم SPF DNS Record

Tags :

Category : شبکه Network مفاهیم شبکه

مفهوم SPF DNS Record

مفهوم SPF DNS Record: ممکن است تاکنون بارها با اصطلاح رکورد SPF برخورد کرده باشید ، زمانی که ما یک Mail Server داریم برای افزایش امنیت و جلوگیری از جعل نام دامین رکورد SPF می سازیم . به عبارتی وقتی شما یک Mail Server در سازمان خود راه اندازی میکنید علاوه بر انتخاب نوع Mail Server و تنظیمات آن و… باید تنظیمات خاصی برای احراز هویت این سرویس برای Mail Serverهای دیگر ایجاد کنید. چون ایجاد یک E-mail جعلی به اسم دامنه شما امروزه خیلی راحت شده است و به راحتی یک هکر می تواند به اسم سازمان شما مشتریان سازمان را گمراه کند. و به خاطر همین دلیل باید Mail Server خود را برای بقیه میل سرورها Authenticate کنید.

مفهوم SPF DNS Record
مفهوم SPF DNS Record

منظور از احراز هویت یک Mail Server برای بقیه سرورها میل چیست؟

میل سرورهای بزرگ مانند Yahoo, Google and Hotmail و … از هر SMTP Server ی میل دریافت نمی کنند. برای اینکه این میل سرورها از بقیه E-mail دریافت کنند، باید یکسری پارامترها وجود داشته باشند. این پارامترها عبارتند از :

  • SPF Record
  • PTR Record
  • Domain Keys Identification Mail یا DKIM Protocol
  • Real-time blackhole list – RBL

در این مقاله قصد داریم SPF Record و اجزای آن را پوشش دهیم.

SPF Record چیست؟

یک SPF (Sender Policy Framework) Record لیست Mail Server های می باشد که مجاز هستن از طرفه و به اسم دامنه سازمان شما به بقیه میل سرورها میل ارسال کنند. این رکورد باعث کاهش فعالیت Spamming از طرف اسم دامنه سازمان شما می شود. یعنی هر میل سروری مجاز به استفاده از دامنه ما برای ارسال میل نمی باشد. وقتی سروری قصد دارد به اسم دامنه سازمان شما Spam ی ارسال کند میل سرور مقصد چک می کند دامنه شما SPF Record دارد؟ آیا این SPF Record اسم دامنه شما را ارائه می کند؟ آیا این E-mail ارسالی از طرف سرورهائی فرستاده شده که IP or FQDN آنها در SPF Record لیست شده است؟ اگر SPF برای آن دامنه وجود داشت و اطلاعات ارائه شده آن به درستی ست شده باشد E-mail ارسالی بصورت نورمال پردازش می شود وگرنه ایمیل Spam می شود.

به این نکته توجه داشته باشید SPF Record فقط یکی از پارامترهای بالا می باشد یعنی حتی اگر SPF Record به درستی تنظیم شده باشد و پارامترهای بالا وجود نداشته باشند یا اشتباه تنظیم شده باشند باز هم E-mail ارسالی شما Spma می شود.

یک مثال از SPF Record

domain.com. IN TXT "v=spf1 a mx ~all"

Domail.com, اسم دامنه سازمان شما می باشد.
IN TXT, نوع رکورد در DNS Zone. رکورد SPF یک رکورد TXT می باشد که در DNSها ایجاد می شود.
V=spf1, تکست رکورد را به عنوان یک SPF Record شناسائی می کند.
A, لیست A Record های سرور های میل می باشد که می توانیم (مجاز) با آنها میل ارسال کنیم.
MX , رکورد MX میل سرورهای می باشد که می توانیم (مجاز) با آنها میل ارسال کنیم.
all~, لیست A و MX را مجاز به ارسال ایمیل میکند. (این دو لیست مجاز هستن از طرف دامنه شما میل ارسال کند.)

یک مثال دیگر

Domain.com v=spf1 mx a ip4:46.143.247.128/32 ~all

بیشتر پارامترهای بالا را توضیح دادم فقط یک پارامتر جدیدی در SPF Record بالا وجود داره
IP4, این پارامتر که خصوص IPv4 می باشد، رنج IPهای سرورهای میل را مشخص می کند. (فقط IP بالا می تواند از طرف این دامنه ایمیل ارسال کند)

SPF Record زیر را می توانید تجزیه و تحلیل کنید؟؟؟

domain.com. IN TXT "v=spf1 a mx include:google.com ~all

درسته!!! فقط MX رکورد بالا می تواند از طرف دامنه Domain.com میل ارسال کند.

تمام پرامترهای SPF Record را می توانید در سایت زیر پیدا کنید :

http://www.openspf.org/SPF_Record_Syntax

ایجاد یک SPF Record

سایتهای زیادی هستن که بصورت Wizard این رکورد را برای شما انجام می دهند و تنها کاری که شما باید انجام بدید اینه که به سوالهای آنها جواب بدید. همین!!!

 http://www.spfwizard.net/
 https://www.microsoft.com/mscorp/safety/content/technologies/senderid/wizard/
 http://spfwizard.com/

سناریو

دامنه ای به اسم mycity-ku.ir و میل سروری با IP=46.143.247.128 دارم. الان می خواهم برای این دامنه یک SPF Record ایجاد کنم.
برای اینکار وارد یکی از سایتهای بالا شوید و فیلد های لازم را پر کنید.

مفهوم SPF DNS Record
مفهوم SPF DNS Record

کار شما تمام شد.
نکته : IP and FQDN بالا وابسته به هیچ سازمان یا مقصد خاصی نیست و فقط برای روشن شدن مطلب مطرح شده است.

اعمال کردن SPF در DNS

بعد از ایجاد رکورد بالا باید این رکورد را ب روی DNS Server اعمال کرد.
برای اعمال کردن SPF ما کلا دو سناریو داریم :

  • اول اینکه DNS Server شما در ناحیه DMZ سازمان شما هستش.
  • یا اینکه DNS شما توسط شرکت دیگری میزبانی می شود.

اگر DNS شما در DMZ سازمان می باشد شما باید این رکوود را ایجاد کنید ولی اگر DNS شما میزبانی می شود این رکورد را آن شرکت برای دامنه شما ایجاد می کند و شما نیاز به انجام هیچ کار خاصی نیستید.

ایجاد SPF Record در DNS های ویندوزی
تصاویر زیر را دنبال کنید :

مفهوم SPF DNS Record
مفهوم SPF DNS Record
مفهوم SPF DNS Record
مفهوم SPF DNS Record

 

تست کردن SPF Record

وقتی SPF Record را ایجاد و اعمال کردید باید این رکورد را تست کنید تا از صحت کارکرد آن اطمینان حاصل کنید.
شما می توانید توسط سایتهای زیر این کار را انجام دهید :

 http://www.kitterman.com/spf/validate.html

http://mxtoolbox.com/NetworkTools.aspx

مفهوم SPF DNS Record
مفهوم SPF DNS Record

 

روش ساده برای کاهش مشکل DNS Timeout های متعدد

Tags :

Category : سرویسهای شبکه شبکه Network

روش ساده برای کاهش مشکل DNS Timeout های متعدد

DNS یکی از مهمترین پایه های یک شبکه می باشد و درصورت اختلال در عملکرد سرویس DNS بسیاری از سرویس ها مختل خواهند شد . DNS Timeout های متعدد سرعت سرویس دهی شبکه را کاهش می دهد، در این مطلب ترفند ساده ای را برای کاهش تعداد DNS Timeout در یک شبکه را آموزش خواهیم داد.

روش ساده برای کاهش مشکل DNS Timeout های متعدد
روش ساده برای کاهش مشکل DNS Timeout های متعدد

زمانی که از طریق سرویس DHCP می‌خواهید به کاربران خود IP address تخصیص دهید بهتر است در قسمت DNS آدرس DNS داخلی خود را دو بار وارد کنید، تا زمانی که از طرف کاربر درخواستی ارسال می‌شود به علت ضعیف بودن شبکه با Timout مواجه نشود، یعنی اینکه اگر بر روی DNS اول Timout دریافت کرد در DNS دوم بتواند اطلاعات را دریافت کند، مثلاً در میکروتیک DNS را به صورت زیر وارد می‌کنیم:

روش ساده برای کاهش مشکل DNS Timeout های متعدد

در شکل بالا آدرس 172.16.1.7 آدرس سرور داخلی است که در این قسمت دوبار تعریف شده است تا زمانی که کلاینت برای سرور داخلی درخواست می فرستد با مشکل مواجه نشود، موفق باشید.

 

 

 

 

حمله Man in The Middle یا مرد میانی چیست؟

Tags :

Category : امنیت Security هک Hack

حمله Man in The Middle یا مرد میانی چیست؟

حمله Man in The Middle یا مرد میانی چیست؟ حمله Man in The Middle (به اختصار MITM) یا مرد میانی به نوعی از حملات گفته می شود که در آن شخص سوم اقدام به استراق سمع و تجسس اطلاعات در حال مبادله بین دو سیستم می کند. در این مطلب شما را با مفهوم حملات MITM آشنا می کنیم و همچنین در صورتی که علاقه مند به مطالعه بیشتر در این زمینه باشید ، می توانید کتاب PDF معرفی شده در ادامه را دانلود کنید.

حمله Man in The Middle یا مرد میانی چیست؟
حمله Man in The Middle یا مرد میانی چیست؟

توسط حملات middle-the-in-Man که به اختصار MITM و به فارسی حمله مردی در میان خوانده می شود امکان استراق سمع و تجسس بر اطلاعات رد و بدل شده بین دو سیستم میسر می گردد. برای نمونه هنگام مبادله اطلاعات از نوع HTTP ،هدف حمله، ارتباط TCP میان کاربر و سرور است. شخص مهاجم با استفاده از روشهای مختلف، ارتباط TCP اصلی را به دو ارتباط جدید تقسیم می کند. همان طور که در تصویر ۱ مشخص است، این دو ارتباط شامل ارتباط میان حمله کننده و کاربر و ارتباط میان حمله کننده و سرور می باشد. هنگامی که ارتباط TCP ردیابی شد، شخص حمله کننده به عنوان یک فیلتر که قادر به خواندن، تغییر و اضافه کردن اطلاعات است عمل می کند.

حمله Man in The Middle یا مرد میانی چیست؟

شکل ۱ .نمونه تصویری حمله شخص میانی

از آنجایی که برنامه های http و انتقال داده بر پایه ASCII طراحی شده اند، حملات MITM می تواند بسیار مؤثر باشد. توسط این حملات، امکان مشاهده یا جمع آوری اطلاعات موجود در http و همچنین اطلاعات مبادله شده براحتی میسر می شود. بنابراین وقتی بتوان یک کوکی session را که در حال خواندن اطلاعات http می باشد کنترل کرد، پس این امکان نیز وجود خواهد داشت که مثلاً عدد مربوط به مقدار پول را در برنامه تراکنش تغییر داد.

حمله Man in The Middle یا مرد میانی چیست؟

شکل ۲ .نمونه تصویری یک بسته http که توسط Proxy Paros ردیابی شده است

با استفاده از روش های مشابه، می توان اقدام به حمله MITM به ارتباطات https نمود. تنها تفاوت این حمله، در نحوه برقراری دو session SSL مستقل در دوسر ارتباط TCP می باشد. در این حالت، مرورگر اینترنت یک ارتباط SSL با فرد حمله کننده ایجاد نموده و شخص حمله کننده نیز یک ارتباط SSL دیگر با سرور برقرار می نماید. در این هنگام، معمولاً مرورگر اینترنت یک پیغام هشدار دهنده برای کاربر ارسال می کند ولی کاربر به علت عدم آگاهی از وجود تهدید، این پیغام را نادیده می گیرد. در برخی موارد امکان دارد پیغام هشدار برای کاربر ارسال نگردد. به عنوان مثال، هنگامی که تأییده سرور مورد حمله قرار گرفته باشد یا در شرایطی که شخص حمله کننده مورد تأیید یک CA معتمد قرار گرفته باشد که CN آن همان CN وب سایت اصلی باشد. حملات MITM فقط به منظور حمله به سیستم ها در شبکه استفاده نمی شوند، معمولاً از این حملات هنگام اجرای یک برنامه شبکه یا در جهت کمک به آسیب پذیر نمودن شبکه نیز استفاده می گردد.

 

 

 

 

  • ژانویه 20, 2017
  • admin
  • 0

راه اندازی SSH در سیسکو

Tags :

Category : دسته‌بندی نشده

راه اندازی SSH در سیسکو

راه اندازی SSH در سیسکو
راه اندازی SSH در سیسکو

یکی از متداولترین روش های اتصال به سخت افزارهای سیسکو استفاده از پروتکل telnet می باشد. حتما با telnet آشنایی دارید.
یک پروتکل که عموما برای مدیریت و کنترل سخت افزار ها از راه دور استفاده می شود. این پروتکل اطلاعات را به صورت clear text میان سرور و کلاینت عبور میدهد, که این امر باعث نا امنی زیادی می شود. چرا که به راحتی می توان با قرار دادن یک Packet capture مانند Wireshark تمامی Packet های عبوری را مشاهده و از اطلاعات آن سو استفاده کرد. البته روشهایی برای امن کردن آن مانند دسترسی تنها چند کامپیوتر خاص به telnet وجود دارد. اما باز هم نمیتوان امنیت آن را تضمین کرد.
یک راه حل مفید برای جایگزینی telnet استفاده از پروتکل SSH است. SSH یا Secure Shell پروتکلی است که اطلاعات را به صورت کد شده میان سرور و کلاینت رد و بدل میکند.
به صورت پیش فرض این پروتکل در روتر ها و سوئیچ های سیسکو غیر فعال است.
این جدول نشان دهنده IOS ها و سخت افزارهایی است که از پروتکل SSH پشتیبانی میکنند.

Router IOS

C1700      12.1(1) and later

C2600      12.1(1) and later

C3600      12.1(1) and later

C7200      12.1(1) and later

C7500      12.1(1) and later

Ubr920     12.1(1) and later

 

CatOS SSH
Cat 4000/4500/2948G/2980G (CatOS)                K9 images as of 6.1

Cat 5000/5500 (CatOS)                                     K9 images as of 6.1

Cat 6000/6500 (CatOS)                                     K9 images as of 6.1

Cat 2950                                                         12.1(12c)EA1 and later

Cat 3550*                                                       12.1(11)EA1 and later

Cat 4000/4500 (Integrated Cisco IOS Software)   12.1(13)EW and later

Cat 6000/5500 (Integrated Cisco IOS Software)   12.1(11b)E and later

Cat 8540/8510                                                 12.1(12c)EY and later, 12.1(14)E1 and later

 

NO SSH Support

Cat 1900                  no
Cat 2800                  no
Cat 2948G-L3            no
Cat 2900XL               no
Cat 3500XL               no
Cat 4840G-L3            no
Cat 4908G-L3            no

برای فعال سازی SSH ابتدا میبایست hostname و domain name را مشخص کنیم:

  • تغییرhostname
Router(config)#hostname PersianAdmins

 

  • مشخص کردنdomain name
vCenter(config)#ip domain-name router1.vcenter.ir

 

  • حالا باید یک RSA key pair برای روتر خود تولید کنیم. که با تولید این کلید به طور اتوماتیک SSH بر روی روتر شما فعال خواهد شد.
vCenter(config)#crypto key generate rsa

 

‏IOS از شما خواهد پرسید که طول این کلید چند بیتی باشد. که میتوانید از 360 تا 2048 انتخاب کنید. پیش فرض آن 512 است که توصیه میشود از کلید 1024 بیتی استفاده نمائید.
هم اکنون SSH بر روی روتر شما فعال است و میتوانید بوسیله نرم افزارهای مانند Putty به آن متصل شوید.
لینک دانلود putty:

 

http://the.earth.li/~sgtatham/putty/latest/x86/putty.exe

 

شما میتوانید بعضی از تنظیمات مانند مدت زمان تبادل کلید ( بین SSH Server و SSH Client ) و تعداد دفعات تلاش برای وارد کردن username و Password را مشخص کنید. مدت زمان تبادل کلید ماگزیمم 120 ثانیه است که به صورت پیش فرض همان 120 ثانیه تنظیم گردیده و تعداد دفعات تلاش برای login 5 دفعه که به صورت پیش فرض 3 دفعه تعیین گردیده است.

vCenter(config)#ip ssh timeout 100
vCenter(config)#ip ssh authentication-retries 4

 

با دستور زیر هم میتوان اینترفیسی که کانکشن SSH به آن وارو میشود را مشخص کرد:

vCenter(config)#ip ssh source-interface f0/1

و برای log بر داشتن از کانکشن های SSH :

 

vCenter(config)#ip ssh logging events

 

برای غیر فعال نمودن SSH میتوانید از این دستور استفاده کنید:

 

vCenter(config)#crypto key zeroize rsa

 

شما میتوانید با دستور زیر وضعیت SSH را چک کنید:

 

vCenter#show ip ssh

 

برای مشاهده لیست کانکشن های متصل با SSH

 

vCenter#show ssh

 

بقیه تنظیمات SSH از تنظیمات  line vty 0 4 پیروی میکند. تنظیماتی مانند مدت زمان هر کانکشن که پیش فرض در صورت Idle بودن 10 دقیقه است و ماکزیمم 5 کانکشن همزمان پشتیبانی میکند.
ممکن است شما نیاز به مدت زمان زیادی برای باز بودن یک کانشن دارید. حتی اگر استفاده ای از آن نشود و از هر 10 دقیقه یکبار از وارد کردن Username و Password رنج میبرید. میتوانید با این دستور مدت زمان آن را زیاد کنید اما توجه داشته باشید که این کار از لچاظ امنیتی توصیه نمی شود:

vCenter(config)#line vty 0 4
vCenter(config-line)#exec-timeout 35

 

که این عدد میتوانید بین 0 تا 35791 دقیقه باشد.
در بعضی شبکه ها شما دارای تعداد زیادی روتر و سوئیچ هستید که میبایست با تمامی آنها کار کنید. اینجا یک مشکل به وجود می آید. اگر شما پسورد های مختلف روی آنها قرار بدید به خاطر سپردن آنها خیلی سخت خواهد بود و اگر همه را یکسان بگذارید از لحاظ امنیتی دچار مشکل خواهید شد. چرا که در صورت لو رفتن پسورد یک روتر شما تمامی روترهای خود را از دست خواهید داد.
برای حل این مشکل میتوانیم از یک Radius server استفاده کنیم. Radius دارای یک دیتا بیس است که لیست یوزرهای ما , مشخصات و صفات آنها در آن ثبت میشود. وقتی شما سعی میکنید که به یک روتر متصل شوید آن روتر یوزر و پسورد شما را به Radius میفرستد. اگر آنها درست بودند یک پیغام از Radius به روتر فرستاده میشود و روتر به شمااجازه ورود می دهد. که این کار مزایای دیگری نیز دارد.

  • شما میتوانید زمان ورود و خروج کاربران مختلف را ثبت کنید
  • تنها یک پسورد به خاطر می سپارید
  • میتوانید برای ورود به روتر زمان مشخص کنید
  • سطح دسترسی هر یوزر به روتر قابل کنترل است
  • با یکبار عوض کردن پسورد در تمامی روتر ها پسورد شما عوض خواهد شد

ابتدا میبایست مشخص کنیم که چه درخواست هایی به Radius فرستاده شود

 

vCenter(config)#aaa new-model
vCenter(config)#aaa authentication login shahin group radius local
vCenter(config)#aaa authentication enable default group radius

 

در خط دوم مشخص کرده ایم که چک کردن یوزر و پسورد ورود به روتر به radius برود اگر radius نبود از میان یوزرهای ساخته شده داخل خود روتر چک کند. ما میتوانیم متد های مختلف برای هر اکانتینگ  داشته باشیم. اگر بجای واژه shahin بنویسیم default آنگاه این دستور برای تمامی اینترفیس ها اعمال میشود. اما اگر یک اسم خاص بنویسیم میتوانیم هر اینترفیسی که میخواهیم را به این لیست اضافه کنیم.
خط سوم نیز تمامی درخواست های enable را به radius می فرستد با این تفاوت که روی تمامی اینترفیس ها اعمال شده و فقط از radius چک می شود. یعنی اگر radius قابل دسترس نبود از اطلاعات موجود در روتر استفاده نمی کند.
در مرحله بعد میبایست یک radius server برای روتر مشخص کنیم.

 

vCenter(config)#radius-server host 192.168.9.6  auth-port 1812 acct-port 1813 key 8888

 

که پورت 1812 برای authentication و 1813 برای Accounting مشخص شدند که اینها قرار دادی است و میتوان بسته به radius server آنها را تغییر داد. در آخر هم یک shared-key مشخص کرده ایم که در radius نیز باید آن را وارد کنیم که صرفا جهت بالا بردن ضریب امنیت است.
حال داخل line vty 0 4 مشخص میکنیم که از تنظیمات لیست shahin پیروی کند:

 

vCenter(config)#line vty 0 4
vCenter(config-line)#login authentication shahin

 

شما میتوانید از یک Radius server استاندارد مثل NttacPlus یا IBSng استفاده کنید. یک عدد RAS مشخص کنید و یک یوزر بسازید.
با آن یوزر میتوانید به روتر خود وصل شوید.
در تنظیمات دیدیم که enable نیز به radius فرستاده شد. شما میبایست یک یوزر با نام $enab15$ بسازید و یک پسورد برای آن مشخص کنید. وقتی که دستور enable را در روتر وارد میکنید روتر درخواست شما را با این یوزر به روتر خواهد فرستاد.
و آخرین نکته این که ممکن است در بعضی مواقع لینک ارتباطی شما تا radius دچار مشکل شود به همین دلیل شما قادر به ورود به روتر نخواهید بود. برای مرتفع کردن این مشکل میتوانید یک یوزر با privilege 15 بر روی روتر بسازید. با انجام تنظیمات بالا روتر ابتدا تلاش میکند که به radius متصل شود. در صورت عدم اتصال به radius به شما اجازه خواهد داد که با آن یوزر وارد روتر شوید.

 

vCenter(config)#username reza privilege 15 password 1234

 

و برای گزارش های radius از دستور زیر میتوانید استفاده کنید:

 

vCenter#show radius statistics

 

 

 

 

 

  • ژانویه 10, 2017
  • admin
  • 0

مزايای سيستم انتقال فيبر‌نوری

Tags :

Category : شبکه Network مفاهیم شبکه

مزايای سيستم انتقال فيبر‌نوری

مزايای سيستم انتقال فيبر‌نوری
مزايای سيستم انتقال فيبر‌نوری

 

1- پهنای باند بسيار بالا
2- افت بسيار کم
3- وزن کم و قطر کوچک
4- ايزولاسيون کامل الکتريکی
5- مصونيت در برابر تداخل و هم شنوايی
6- امنيت سيگنال
7- فراوانی و ارزان بودن مواد
8- نگهداری آسان
9- ظرافت و قابليت انعطاف
10- مصونيت در مقابل عوامل جوی و رطوبت

 

 

  • ژانویه 9, 2017
  • admin
  • 0

لن اکانتینگ در لایه هفت شبکه

Tags :

Category : شبکه Network مفاهیم شبکه

لن اکانتینگ در لایه هفت شبکه (Layer 7 Accounting)

لن اکانتینگ در لایه هفت شبکه (Layer 7 Accounting)
لن اکانتینگ در لایه هفت شبکه (Layer 7 Accounting)

Layer 7 Accounting :

امروزه یکی از مهمترین چالش های سازمان ها در بکارگیری اینترنت، نگرانی از تهدیدات و حملاتی است که هر لحظه تهدید کننده، سرمایه و دارایی های الکترونیکی سازمان است. که معمولا به دلیل کامل نبودن زنجیره های امنیتی در سازمان ها باعث شده تا موضوع جداسازی بستر اتصال به اینترنت از شبکه داخلی به یک موضوع مهم و اصلی تبدیل شود.

در این بین جهت رفع این موضوع، راه کار های مختلفی از سوی کارشناسان ارائه شده است، که برخی از آنها هزینه های بسیار سنگینی را به سازمان ها تحمیل نموده است.

 

از جمله این راه کارها می توان به موارد زیر اشاره کرد:

  • طراحی و پیاده سازی یک شبکه مستقل به همراه سیستم های سخت افزاری و نرم افزاری مورد نیاز
  • راه اندازی مراکز اینترنت در سازمان ها به شیوه کافی نتی
  • استفاده از راه کاری های مبتنی بر مجازی سازی و سیستم های Virtual APP

 

پرواضح است که راه کار های اول و دوم، هزینه های سنگینی در دو بخش تجهیز و نگهداری را بر دوش سازمان می اندازد. ضمن آنکه نتوانسته است. از لحاظ فنی از تبادل داده بین دو بستر داخلی و اینترنت جلوگیری نماید.

شاید به جرات بتوان گفت بهترین و تنها روش فنی و عملی جداسازی ، گزینه سوم است که  نسبت به دورش قبل از مزایای زیادی برخوردار است. برخی از این موارد عبارتند از:

 

  • ۱- کاهش هزینه های راه اندازی سرویس و ارائه خدمات نسبت به دو روش اول و دوم
  • ۲- امکان جداسازی ۱۰۰% ترافیکی و جلوگیری کامل از انتقال داده ها بین دو بستر
  • ۳- جلوگیری از اتلاف وقت پرسنل به واسطه حضور در محل دیگری به جز محل کار خود برای استفاده از اینترنت
  • ۴- کاهش هزینه های نگهداری و تعمیرات سخت افزار ها و نرم افزار های (بستر دومی یا کافی نت ها) در سازمان.
  • ۵- فعال شدن سرویس در کمترین زمان
  • ۶- عدم نیاز به انجام تغییرات در ساختار شبکه

Virtual App چیست؟

یکی از روش های مجازی سازی، مجازی سازی نرم افزار های کاربردی است، که امروزه فواید و کاربرد های آن بر همگان روشن است.  به واسطه قابلیت های بیشماری که اینگونه راه حل ها در اختیار استفاده کنند گان قرار می دهند، محبوبیت سیستم های Virtual App هر روز بیشتر و کاربردی تر می شود.

با استفاده از Virtual App می توان :

۱-    نرم افزارها را بدون در نظر گرفتن سیستم عامل اجرایی آنها دراختیار گرفت. این به آن معنی است که به عنوان مثال  یک نرم افزار حسابداری تحت ویندوز که فقط بر روی ویندوز XP اجرا می شود را میتوان روی Apple و یا Android اجرا نمود.

۲-    مدیریت و محدود سازی استفاده از نرم افزار های منتشر شده

۳-     امکان اجرای برنامه از راه دور

۴-    انتقال داده بین کاربر و برنامه از طریق یک بستر کاملا ایمن

لیکن یکی از مهمترین کاربرد های Virtual App در زمینه جداسازی شبکه های داخلی از بستر اینترنت است که به واسطه شرایط کنونی می تواند به عنوان بهترین و امن ترین راه کار در دستور کار قرارگیرد:

در سیستم های نرم افزارهای مجازی یا Virtual APP ، معمولا به جای در اختیار قراردادن یک سیستم عامل کامل (فیزیکی یا مجازی) فقط یک نرم افزار کاربردی مورد نیاز کاربر، در اختیار کاربر قرار می گیرد. این نرم افزار بر روی سرور با سطوح دسترسی و امنیتی از پیش تعریف شده و به درخواست کاربر اجرا می شود. در این وضعیت کاربر فقط تصویری از نرم افزار مذکور را بر روی سیستم خود دارد. به عبارت دیگر با آنکه ظواهر امر نشان می دهد که کاربر مستقیما برنامه را اجرا نموده است، ولی هیچ یک از فعالیت آن نرم افزار بر روی سیستم کاربر اجرا نمی شود. و فقط از طریق لایه امن شده ای امکان تبادل داده در حد یک ترمینال از سیستم کاربر به سرور فراهم شده است. بنابراین در این روش، بدون اینکه نیاز باشد تا کاربر( پرسنل) از سیستم دیگری استفاده نماید، بدون اتلاف وقت می تواند از خدمات مورد نظر و کاملا کنترل شده استفاده نماید.

با استفاده از این قابلیت، اگر در اختیار کاربر نرم افزار های مربوط به اینترنت نظیر Browser ها قرار گیرد، در این صورت می توان تصویری از آنچه را که کاربر Download می کند را به ایشان نشان دهیم و عملا همه عملیات بر روی سرور سرور انجام خواهد شد.

به واسطه عدم دسترسی کاربر به داده های تبادل شده با اینترنت، امکان انتقال هرگونه بد افزار منتفی خواهد بود. همچنین پس از خاتمه استفاده کاربر، تمامی سرویس های فعال شده برای ایشان از بین خواهد رفت و برای کاربر بعدی از ابتدا و با تنظیمهای پیش فرض آماده خواهد شد. لذا در این وضعیت هیچ گونه بد افزاری بر روی سرور نیز باقی نخواهد ماند.

با استفاده از روش فوق می توان مطمئن بود که تمامی مصرف کاربر در محیطی بسیار امن و بدون قابلیت نشت اطلاعات انجام خواهد شد.

تا این بخش از فرآیند، امکان فراهم سازی بستری ایمن و پایدار برای استفاده کاربران از اینترنت فراهم شده است. لیکن موضوع مهمتر در این حوزه مکانیزم های کنترل و مدیریت مصرف اینترنت است که در صورت عدم وجود آن کل پروژه با نقص فنی بزرگی مواجه خواهد بود.

 

ایمنی شبکه بی سیم Wireless Security

Tags :

Category : امنیت Security شبکه های بیسیم مفاهیم شبکه

ایمنی شبکه بی سیم Wireless Security

ایمنی شبکه بی سیم Wireless Security
ایمنی شبکه بی سیم Wireless Security

اهمیت سامانه های بی سیم، به دلیل صرفه جویی های فراوانی که در استفاده از منابع شبکه به همراه دارند، بر کسی پوشیده نیست. همچنین با توجه به مزایای متعدد این نوع از شبکه ها، استفاده از آنها در محیط های آموزشی، مراکز تفریحی، اقامتی و حتی اداری و سازمانی با استقبال فراوانی روبه رو بوده است. از جمله مزایای عمومی و تخصصی استفاده از شبکه های بی سیم در این اماکن میتوان به این موارد اشاره کرد:

 

  • سرعت استقرار: سیستم های بی سیم در سریعترین زمان و با ایجاد کمترین تغییر در یک مکان استقرار میابند.
  • بهره وری هزینه: هزینه های راه اندازی سیستم های بی سیم در دراز مدت بسیار کم تر از شبکه های با سیم است.
  • قابلیت توسعه پذیری: این سیستم ها به سرعت در مقیاس های وسیع قابل گسترش اند.
  • افزایش دسترسی و قابلیت جابه جایی: کاربران سیستم های بیسیم میتوانند در هر لحظه و در هر موقعیتی به سیستم متصل گردند.
  • توسعه آموزش الکترونیک در فضاهای آموزشی: با افزایش ضریب دسترسی به شبکه و اینترنت در درون دانشگاه ها و موسسات آموزشی و پژوهشی
  • امکان ارائه سرویس های متنوع: ارائه سرویس های اختصاصی به انواع گروه های سازمانی در موسسات آموزشی نظیر اساتید، کارمندان، دانشجویان، میهمان و مدعوین،…

 

چالش های شبکه های بی سیم که ما آنها را به فرصت تبدیل میکنیم

عدم رعایت برخی استاندارد ها در مورد تجهیزات شبکه های بی سیم و بی توجهی به اصول ایمنی در ایجاد این شبکه ها میتواند مخاطرات زیادی را بهمراه داشته باشد، از جمله:

۱- عدم امنیت شبکه

در این شبکه ها نفوذ پذیری شبکه توسط افراد غیر مجاز زیاد است. بسیاری از پروتکل های رایج امنیت شبکه در سیستم های بی سیم در مراکز بزرگ کارایی نداشته و به راحتی قابل نفوذ میباشند. به همین دلیل است که بسیاری از سازمان ها و شبکه ها بزرگ برای ایجاد شبکه های داخلی خود به بستر های سیمی روی می آورند. در برخی سازمان ها برای ایمن سازی شبکه های بی سیم اقدام به جداسازی فیزیکی تجهیزات شبکه های بیسیم از بستر شبکه های داخلی و با سیم مینمایند. این اقدام شاید باعث امنیت بالای شبکه داخلی و دوری از مخاطرات شبکه های بی سیم گردد، ولی هزینه های سر سام آوری را نیز به دنبال خواهد داشت !

در برخی از سازمان ها شبکه های بی سیم را به شبکه ها داخلی متصل نموده که میزان آسیب پذیری این شبکه ها را به شدت افزایش میدهد. کاربرانی که گاه بصورت میهمان به این شبکه ها متصل میگردند میتوانند شبکه را آلوده کنند، به بسیاری از منابع شبکه و اطلاعات محرمانه سازمانی دسترسی پیدا کنند و یا اطلاعات غیر مجازی را در شبکه قرار دهند.

۲- افت شدید کیفیت سرویس دهی در شبکه های بزرگ

همچنین عدم پشتیبانی از سامانه جابه جایی میتواند مرتباً باعث افت کیفیت ارائه خدمات و قطع آن گردد. در این شرایط تعداد اتصال به اکسس پوینت های خاص زیاد شده و باعث کاهش کیفیت دسترسی و گاهاً خارج شدن از گردونه سرویس دهی میگردد. بسیاری از دستگاه های رایج و غیر استاندارد مدعی داشتن این قابلیت هستند، در صورتیکه در عمل به اثبات رسیده است که بسیار ی از آنها از این سرویس پشتیبانی نمیکنند. با سرویس های استاندارد Roaming به راحتی میتوان بار اتصال را در اکسس پوینت ها تقسیم و بصورت کاملاٌ اتوماتیک مدیریت کرد. کیفیت ارائه سرویس در این نوع از شبکه ها بسیار بالا و پایدار است.

۳- مدیریت اتصال و تبادل اطلاعات کاربران در شبکه

در برخی شبکه های بیسیم، به علت عدم وجود سیستم مدیریت دسترسی کاربران، امکان تبادل اطلاعات بین بسیاری از کاربران وجود دارد. این مطلب میتواند تبدیل به یک مخاطره برای امنیت شبکه، بارگذاری اطلاعات غیر مجاز، دزدیده شدن اطلاعات شبکه،… گردد. این مساله همینطور باعث افزایش ترافیک اطلاعات روی اکسس پوینت ها گردیده و سرویس دهی آنها را با مشکل مواجه میکند. با ایجاد یک سیستم مدیریت دسترسی کاربران و Client ها به شبکه بی سیم، میتوان به شدت از این مخاطرات کاست. در این صورت کاربران داری حدود دسترسی و فعالیت خاص خود خواهند بود. شرکت مهندسین تحلیلگران آتی نگر راهکار شبکه های بی سیم خود را با این بینش ارائه میدهد که شبکه ای پایدار، سریع و ایمن را ایجاد نماید. بدینوسیله این دیدگاه در بین کاربران ایجاد میشودکه بستر های بی سیم نیز میتوانند به اندازه شبکه های با سیم، امن و پایدار گردند. از این رو این مجموعه در پی آن است که زیر ساخت های بی سیم را با بروزترین و ایمن ترین استاندارد ها ایجاد نماید.

خدمات شرکت آتی نگر در راه اندازی سیستم های بی سیم

  • امکان سنجی طرح: در طی این مرحله موقعیت مکانی پروژه بررسی و امکان سنجی طرح بر اساس ویژگی های محل انجام می پذیرد.
  • پیشنهاد بر اساس نیازهای محل: پس از انجام بررسی های اولیه و مشخص شدن ابعاد فیزیکی پروژه و همچنین اطلاع از نیاز های مدیران شبکه، بهترین پیشنهادات در زمینه تجهیزات ارائه میگردند.
  • ارائه راهکارهای امنیت شبکه: در این مرحله و با توجه به گستردگی و نیاز های شبکه داخلی، پیشنهادات ایمن سازی ارائه میگردند. این پیشنهادات میتوانند شامل تجهیزات فیزیکی و یا نرم افزاری باشند.
  • پیاده سازی و راه اندازی: در این مرحله بسترهای لازم جهت راه اندازی شبکه بی سیم آماده و در صورت لزوم، برخی تغییرات در ساختار فعلی شبکه ها صورت میگیرد.
  • تکمیل پروژه: با ایجاد قابلیت هایی نظیر سیستم های مدیریت مصرف اینترنت، سیستم های Captive Portal، سامانه های پرداخت الکترونیک،…

 

 

مفهوم Software Defined Network یا SDN

Tags :

Category : راهکارهای مجازی سازی مجازی سازی شبکه مفاهیم مجازی سازی

مفهوم Software Defined Network یا SDN

مفهوم Software Defined Network یا SDN
مفهوم Software Defined Network یا SDN

مفهوم Software Defined Network یا SDN

در مقاله زیر سعی شده است بطور چکیده مفاهیم اولیه فناوری SDN ارائه شود تا خواننده با اصول اولیه و مفاهیم کلی فناوری SDN آشنا گردد.

بطور سنتی سوییچ های Ethernet دارای واحد پردازشی بعنوان تصمیم گیرنده ( Control Plane) و بخش دیگری بعنوان فرستنده داده ( Data plane ) می باشند. هر تجهیز شبکه دارای سامانه پردازشی و ارسال بسته داده مستقل از هم می باشد در شکل های بالا معماری پیشین تجهیزات شبکه به نمایش درآمده است. هنگامی که شما دستگاه شبکه ای را پیکر بندی می کنید در واقع تعامل شما با Control plane صورت می پذیرد. انجام پردازش های مربوط به چگونگی ارسال داده ها

شامل Switching ، Routing، QOS، Access Control List و غیره در Control plane با بکارگیری پردازنده اصلی دستگاه و نرم افزار( IOS ) بهینه شده انجام می شود یکی از ویژگی های اصلی تجهیزات سخت افزاری شبکه این است که در کمترین زمان، پردازش های مورد نیاز را انجام می دهند در واقع یکی از چالش های رقابت بر انگیز میان سازندگان تجهیزات شبکه، ارائه تجهیزات سخت افزاری و روش های بهینه برای انجام سریع و موثر چنین پردازش های می باشد. با نگاه به روند ارائه تجهیزات شبکه در ده سال اخیر می توان کاهش زمان لازم برای ارسال بسته داده (Switching Latency ) و افزایش حجم ترافیک گذر دهی ( Forwarding Throughput ) را مشاهده کرد. بعنوان نمونه سوییچ های سری Cisco Catalyst 2960 از توان گذردهی ۳۲Gbps به بیش از ۲۰۰ Gbps ارتقاء پیدا کرده اند و این روند همچنان ادامه دارد.

از ماژول های مدیریتی ( Supervisor Engine ) در سوییچ های سری Cisco 6500 و Management Module در سوییچ هایHP 8200 می توان بعنوان Control plane یاد کرد. نتایج حاصل از داده های پردازش شده توسط Control Plane در حافظه سوییچ به صورت جداول FIB،CAM ، Routing Table، ARP Table و غیره تشکیل می گردد وبا توجه به سرویس های قابل ارائه مورد استفاده قرار می گیرد به عنوان مثال Control plane دستگاه با دریافت بسته پیام BPDU مربوط به پروتکل STP محاسبات مربوط به ایجاد ساختار بدون Loop را انجام می دهد و پس از آن، اطلاعات بدست آمده را برای اعمال به Data Plane ارسال می کند. در برخی از سرویس ها مانند Quality of Service، Access Control List و Routing Protocols به دلیل پیچیدگی و حجم بالای پردازش های مورد نیاز، معماری سنتی با محدودیت های جدی مواجه می شود از این رو گرایش به ایجاد تغییرات برای رفع محدودیت های بیان شده ضروری می باشد.. شکل ۲ نمایانگر یکی از ماژول های مدیریتی می باشد تجهیزات مورد نظر دارای صرفا رابط های مدیریتی بوده و در صورتی که دارای پورت های داده باشند به تعداد بسیار محدود می باشند.

مفهوم Software Defined Network یا SDN

Data Plane و یا فرستنده داده در سوییچ های ماژولار بصورت Line Card عرضه می شود و در سوییچ های غیر ماژولار بصورت یکپارچه در دستگاه تعبیه شده است. در سوییچ های ماژولار امکان افزودن Line card به شاسی اصلی در هر لحظه ممکن می باشد ماژول های یاد شده دارای پورت های ارسال کننده داده از انواع گوناگون با تعداد ۲۴و یا ۴۸پورت می باشند. این تجهیزات با بار گذاری اطلاعات مورد نیاز از Control plane به صورت محلی در حافظه خود و بکارگیری سخت افزار ویژه ( Application Specific IC ) اقدام به ارسال داده بر روی پورت خروجی مناسب می نماید. در شکل ۳۳ ماژول فرستنده داده نمایش داده شده است.

مفهوم Software Defined Network یا SDN

در معماری سنتی تجهیزات شبکه بخش تصمیم گیرنده در ارتباط تنگاتنگ با بخش فرستنده می باشد و هرگونه تلاش برای جدا سازی و متمرکز سازی آن در کل شبکه نتیجه بخش نخواهد بود. زیرا محدوده کارکرد واحد تصمیم گیرنده محدود به همان سخت افزار می باشد و بدلیل عدم ارتباط با دیگر تجهیزات شبکه نمی تواند دایره تصمیم گیری خود را به کل تجهیزات شبکه گسترش دهد.

از محدودیت های دامن گیر معماری سنتی می توان به موارد زیر اشاره کرد.

          ۱٫ عدم چابکی و خودکار سازی روال های پیاده سازی سرویس های مورد نیاز در کل تجهیزات شبکه

بطور مثال پیکربندی ACL و یا QoS می بایست بر روی تک تک تجهیزات شبکه تکرار و انجام شود و این فرآیند زمان بر و مستعد خطا بود و رفع مشکلات آن بسیار سخت می باشد. در واقع نمی توان پیکربندی مورد نیاز را یک بار انجام داد و آنرا به کل تجهیزات شبکه بسط داد.

          ۲٫ گسترش پذیری محدود پردازشی و نا همگون مبتنی بر نیاز های سرویسی شبکه

performance دستگاه های شبکه درصورت اجرای سرویس های همچون PBR، QoS،Calculation Routing،Traffic Engineering و غیره بطور قابل توجهی کاهش می یابد دلیل این امر آن است که برخی از سرویس ها بر اساس معماری سنتی سه لایه شبکه تنها در لایه ای خاص قابل اجرا بوده و در نتیجه بار پردازشی مربوطه درآن لایه از شبکه بطور تصاعدی افزایش می یابد و به همین دلیل گلوگاه ترافیکی ایجاد می گردد تلاش برای افزایش توان پردازشی به منظور رفع این محدودیت نتیجه بخش نبوده است.

          ۳٫ عدم امکان مدیریت متمرکز تجهیزات درگیر در مسیر جابجا شدن اطلاعات در شبکه

به دلیل نبود دید کامل و دقیق از همبندی منطقی شبکه امکان ایجاد راه کار جامع و یکپارچه برای پیکر بندی تجهیزات شبکه درگیر در فرآیند جابجا شدن بسته داده و پایش لحظه ای بسته داده در مسیر حرکت خود میسر نبوده.

          ۴٫ عدم امکان ایجاد شبکه های هم پوشان با امکان جداسازی کامل

با گسترش ارائه خدمات میزبانی سرویس های فناوری اطلاعات در مراکز داده، نیاز به جداسازی منطقی مشتریان اینگونه خدمات اهمیت پیدا کرده است. در معماری سنتی این کار با استفاده از شبکه های مجازی (Vlan ) و اعمال کنترل های امنیتی ممکن می گردد. به دلیل محدودیت های ذاتی در چنین پروتکلهای، توسعه پذیری کمی و کیفی با محدودیت های زیادی روبرو می گردد. عدم امکان ایجاد شبکه های همپوشان و یاMulti-Tenancy با امکان ارائه سرویس از دیگر ضعف های معماری سنتی شبکه می باشد.

          ۵٫ عدم امکان مدیریت و کنترل ترافیک تولیدی از مبداء تا مقصد در زیر ساخت مجازی سازی بطور کامل

به دلیل نبود ارتباط منطقی میان زیر ساخت شبکه بستر مجازی با بستر شبکه فیزیکی، امکان اعمال سیاست های کنترلی به بسته داده در بستر مجازی ممکن نمی باشد و این امکان تنها محدود به بستر شبکه فیزیکی می گردد.

با ظهور و قابل عرضه شدن فناوری مجازی سازی، نگاه و روش اجرای و ارائه بسیاری از فرآیند ها فناوری اطلاعات دچار تغییرات بنیادی گردید و افق های جدیدی برای ارائه سرویس و خدمات فناوری اطلاعات آفریده شد. بعنوان مثال در حوزه سرور نگاه سنتی خرید سرور به ازاء یک یا چند سرویس دچار دگرگونی شده است. با استفاده از فناوری مجازی سازی نصب و راه اندازی یک سرور تنها با چند کلیک ممکن می گردد در صورتی که پروسه ناهنجار و پرهزینه خرید و عملیاتی سازی سرور در گذشته چندین ساعت و یا روز بطول می انجامید و امکان بهره برداری کامل از منابع سخت افزاری نیز وجود نداشت. یکی دیگر از دست آورد های فناوری مجازی سازی در این بود که می توان چنین مدلی را به دیگر زیر ساخت های فناوری اطلاعات مانند امنیت، شبکه، ذخیره سازی و غیره بسط داد و همچون بستر مجازی سازی سرور، از مزایای بیشمار آن بهره برد. با ظهور زیر ساخت مجازی سازی اهمیت زیر ساخت شبکه های ارتباطی بیش از پیش شده است و ایجاد دگرگونی و رشد آن با توجه به نیاز های جدید ضروری می نماید.

پژوهش های چند ساله اخیر نشان داده که برای ایجاد نسل بعدی سرویس های قابل ارائه در بستر اینترنت و خدمات ابری نیاز به راه کاری نوین با قابلیت یکپارچگی کامل با زیر ساخت مجازی سازی می باشد. پس از بوجود آمدن شبکه های Ethernet Fabric ، ایجاد و فراهم شدن بیشینه کارائی و دسترس پذیری تحقق یافت و راه برای رسیدن به شبکه های مبتنی بر معماری SDN هموار گردید. در واقع ایجاد شبکه های Ethernet Fabric با هدف رفع محدودیت های پروتکل لایه دو همچون STP می باشد. بکارگیری پروتکلSTP با هدف رفع مشکلات Loop، منجر به مسدود شدن لینک های افزونه می شود و عملا بخشی از منابع شبکه بی استفاده می ماند و در ضمن زمان بازیابی شبکه در صورت بروز مشکل در لینک های ارتباطی به چندین ثانیه افزایش می یافت. گسترش کمی و کیفی شبکه باعث نا کارائی این معماری می گردد. معماری Ethernet Fabric ویژگی های Routing را در لایه دوم با استفاده از پروتکل Trill و یا SPB  محقق کرده است. در این معماری ویژگی L2 Multipath   قابل پیاده سازی می گردد و در نتیجه همه لینک ها قابلیت استفاده پیدا می کنند و از همه مهمتر زمان بازیابی شبکه به کمتر از۱۵۰ میلی ثانیه می رسد. بنابراین توسعه پذیری کمی و کیفی تا چندین هزار پورت امری ممکن می نماید.

راه کار شبکه های مبتنی بر مدیریت منطقی (Software Defined Network ) وبه اختصار SDN طبق تعریف، به هرگونه تلاش برای جدا سازی بخش تصمیم گیرنده تجهیزات شبکه از بخش فرستنده داده و ایجاد یک واحد تصمیم گیرنده متمرکز و یکپارچه در کل شبکه اتلاق می شود. در این رویکرد بجای مدیریت جزیره ای تجهیزات شبکه، نگاه متمرکز گرایانه در پیش گرفته شده است و با ایجاد یک واحد پردازش متمرکز برای کل شبکه، Control plane یا واحد تصمیم گیری کلیه تجهیزات شبکه حذف شده است در دو شکل زیر معماری کلی این راه کار ارائه شده است.

تحقق معماری SDN نیاز به ایجاد چهار چوبه ای واحد میان سازندگان تجهیزات شبکه می باشد. پروتکل و مدل ارائه شده در این خصوص معروف به OpenFlow می باشد. پروتکل OpenFlow بطور خلاصه استانداردی برای جابجا کردن و رابط برنامه ریزی اطلاعات مدیریتی میان Data plane و Control Plane می باشد. در شکل زیر یکپارچگی زیر ساخت شبکه با بستر مجازی به نمایش در آمده است. بستر ایجاد شده شرایط ارائه خدمات ابری را از منظر کیفی و کمی خواهد داشت.

مفهوم Software Defined Network یا SDN

در معماری SDN بخش Data plane به سوییچ های سخت افزاری بهینه شده که امکان ارتباط با Control Planeرا از راه پروتکل OpenFlow دارا می باشند. دستگاه های که در نقش Data plane می باشند با دریافت اطلاعات و سیاست های ارسال بسته داده، اقدام به اجرای آن با بکارگیری سخت افراز بهینه شده خود می کنند. این فرایند به دلیل اجرا توسط سخت افزار ویژه در کمتر از یک میکرو ثانیه اجرا می گردد. این ویژگی امکان ایجادEthernet Fabric Pod با زمان تاخیر حدود ۲ تا ۴۴ میکرو ثانیه را ممکن می سازد. در صورتی که در شرایط یکسان و با بکارگیری بهترین تجهیزات شبکه ای همچون سوئیچ های Cisco Catalyst 6500/2960X، زمان فوق به حدود ۴۰ تا ۵۰میکرو ثانیه می رسد که بسیار بیشتر از زمان دست یافته درEthernet Fabric می باشد.

SDN Controller در فناوری SDN در نقش Control Plane می باشد. SDN Controller در واقع برنامه ای می باشد که با استفاده از ماشین فیزیکی یا مجازی اجرا می شود. SDN Controller بصورت مستقل و مجزا برای کل تجهیزات شبکه در نظر گرفته می شود. به دلیل ارتباط مستقیم SDN کنترلر با همه تجهیزات شبکه، ایجاد دید دقیق از هم بندی و ساختار منطقی اجزا شبکه و عدم وابستگی به اطلاعات ارسالی از تجهیزات شبکه، ممکن می شود علاوه بر این، بدست آوردن اطلاعات دقیق در لحظه از وضعیت بسته داده آسان می گردد و تصمیم گیری با در نظر گرفتن مبدا و مقصد داده ممکن می شود و نیز سرعت اعمال و اجرای سیاست های مورد نظر به شکل چشم گیری کاهش می یابد. بر اساس ویژگی های معرفی شده در معماری SDN، محدودیت های سنتی زیر ساخت شبکه اترنت مانند پردازش های مربوط به STP Loop Recovery، Trill Replication ، ARP Table Search، Routing Table Calculation، Fail over، Redundancy، Distributed Gateway،QOS Policy و بسیاری دیگر از سرویس ها برطرف گردیده است. با بکارگیری امکانات و ویژگی های ارائه شده در معماری SDN امکان اجرای الگو ریتم Djikstra based layer 2 در مقیاس چند ده هزار پورت ممکن می باشد بنابراین مقیاس پذیری با حفظ کمترین تاخیر و افت سرعت ممکن می گردد. در فناوری SDN ایجاد شبکه ای با چندین هزار پورت با زمان تاخیر کمتر از ۳ میکرو ثانیه امری نا ممکن نخواهد بود بگونه ای که Fabricایجاد شده شرایط افزونگی و جایگشت پذیری را در کمتر از ۵۰۰ میلی ثانیه فراهم خواهد نمود. با استفاده از فناوری SDN امکان ایجاد ساختاری پویا، مدیریت پذیر، ایمن و اقتصادی که می تواند کلیه نیاز های سرویسی را به سرعت ایجاد سرور مجازی در شبکه فراهم کند، ممکن گردیده است. (bpapp)

راه اندازی سرویس DHCP روتر میکروتیک

Tags :

Category : سرویسهای شبکه شبکه Network میکروتیک MicroTik

راه اندازی سرویس DHCP روتر میکروتیک

راه اندازی سرویس DHCP روتر میکروتیک
راه اندازی سرویس DHCP روتر میکروتیک

در آموزش های قبلی شما را  با مفهوم DHCP  و چگونگی راه اندازی آن در cisco  و  linux  آشنا کردیم. حال می خواهیم  در ادامه شما را با چگونگی راه اندازی DHCP Server  در  Mikrotik آشنا کنیم.

برای راه اندازی سرویس DHCP روتر میکروتیک می توانیم از دو محیط

  1. command line
  2. GUI

استفاده کنیم.

راه اندازی DHCP Server  با استفاده از command

راه-اندازی-سرویس-DHCP-روتر-میکروتیک

سرویس DHCP

برای راه اندازی DHCP Server از دستور زیر استفاده می کنیم

[admin@MikroTik] > ip dhcp-server setup

سپس برنامه DHCP  اجرا می شود و در مورد interface ,رنج اپی ,getway ,…  سوال می کند

dhcp server interface: ether2
dhcp address space: 192.168.10.0/24
gateway for dhcp network: 192.168.10.254
addresses to give out: 192.168.10.1-192.168.10.253
dns servers: 182.168.10.254
lease time: 3d

راه-اندازی-سرویس-DHCP-روتر-میکروتیک

در آخر کافیست یک device که قرار است DHCP Client  باشد به interface  ای که DHCP Server  است متصل می کنیم.

راه-اندازی-سرویس-DHCP-روتر-میکروتیک

آموزش راه اندازی DHCP Server   بااستفاده از محیط  GUI

ابتدا با استفاده از برنامه winbox  به روتر متصل می شویم و سپس وارد تب DHCP Server  می شویم و از آنجا DHCP Setup  انتخاب می کنیم.

راه-اندازی-سرویس-DHCP-روتر-میکروتیک

زمانی که setup می زنیم تنظیمات به ترتیب از ما سوال می کند.
راه-اندازی-سرویس-DHCP-روتر-میکروتیک
راه-اندازی-سرویس-DHCP-روتر-میکروتیک
راه-اندازی-سرویس-DHCP-روتر-میکروتیک
راه-اندازی-سرویس-DHCP-روتر-میکروتیک
راه-اندازی-سرویس-DHCP-روتر-میکروتیک
راه-اندازی-سرویس-DHCP-روتر-میکروتیک

و در اخر پیام می دهد که تنظیمات کامل شد

راه-اندازی-سرویس-DHCP-روتر-میکروتیک

البته می توانیم با استفاده از گزینه add هم این تنظیمات یک جا انجام دهیم.

راه-اندازی-سرویس-DHCP-روتر-میکروتیک

و در آخر می توانیم Client  را به روتر متصل کنیم

راه-اندازی-سرویس-DHCP-روتر-میکروتیک

همچنین از طریق لینک زیر می توانید در کانال تلگرام ما عضو شوید.

معرفی شبکه های نرم افزار محور SDN

Tags :

Category : شبکه Network نرم افزار Software

معرفی شبکه های نرم افزار محور SDN

معرفی شبکه های نرم افزار محور SDN
معرفی شبکه های نرم افزار محور SDN

شبکه های نرم افزار محور (SDN) یا همان Software-Defined Networking به مانند شبکه کامپیوتری به مدیران شبکه اجازه مدیریت سرویسهای شبکه ای را از طریق یک لایه بسیار سبک را ارائه می کند. امروزه اینترنت یک جامعه دیجیتال را بوجود آورده است. به گونه ­ای که همه چیز به یکدیگر متصل­ اند و به همه چیز می­توان از هر جایی دسترسی داشت. با وجود مقبولیت­ های گسترده اینترنت­، شبکه­ های آی­پی سنتی[1] پیچیده بوده و مدیریت آنها نیز بسیار سخت می­باشد. به عنوان مثال پیکربندی شبکه طبق سیاست ­های از قبل تعیین شده سخت بوده و همچنین دوباره پیکربندی آنها به دلیل پاسخ به خرابی و یا تغییر بار شبکه نیز مشکل می­باشد­. شبکه ­های امروزی به طور عمودی مجتمع می­باشند­، به عبارتی دیگر سطوح داده[2] و کنترل[3] از یکدیگر جدا نمی­باشند. شبکه­ های نرم ­افزار محور[4] یک معماری شبکه جدیدی می­باشد که قول می­دهد اجتماع شبکه­ های امروزی را شکسته و سطوح داده و کنترل را از یکدیگر جدا نماید. به عبارت دیگر منطق کنترل شبکه را از روترها و سوییچ ­های زیرین جدا کرده و کنترل شبکه را به صورت منطقی متمرکز کرده و قابلیت برنامه نویسی (برنامه ­ریزی) شبکه را فراهم می­کند. شبکه­ های نرم­افزار محور، ساخت و معرفی انتزاع های[5] شبکه را آسان کرده­، در نتیجه مدیریت شبکه را ساده می­کند و شرایط تحول شبکه را فراهم می­کند.

در این مقاله سعی می کنیم که بررسی کاملی از شبکه های نرم افزار محور داشته باشیم. در ابتدا ضمن معرفی این شبکه‌ ها، تاریخچه این شبکه­ ها نیز بررسی شده است. و در نهایت نبز به بررسی جامع اجزای تشکیل دهنده معماری شبکه­ های نرم افزار محور و کارها و تلاش­ هایی که در خصوص استاندارد سازی این نوع شبکه ها انجام شده است، اشاره می‌کنیم.

[1]IP Networks

[2] Data plane

[3] Control Plane

[4] Software Defined Networking

[5] Abstractions

مقاله بالا که چکیده ای از آن را مشاهده می فرمایید مربوط به آقای مهندس مجید طالقانی (کارشناس ارشد شبکه­ های کامپیوتری و ارتباطی) می باشد . برای دانلود کامل مقاله اینجا کلیک نمایید.

 

 

نوشته‌های تازه

آخرین دیدگاه‌ها

    بایگانی‌ها

    دسته‌ها

    محصولات

    HP

    EMC

    NetApp

    VMware

    Cisco

    خدمات

    خدمات مجازی سازی
    خدمات ذخیره سازی و بکاپ
    خدمات شبکه
    خدمات دیتاسنتر

    رسانه آموزشی آنلاین
    W3Schools

    © Copyright 2020. All Rights Reserved Powered By