buycomputer
 buycomputer

buycomputer


پنج نرم افزار جاگرين براي teamviewer

Ammyy Admin

اين نرم افزار هم مثل نرم افزار هاي قبل داردي كارايي آسان است و حجم كمي دارد و كافي اين نرم افزار را روي سيستم مبدا و مقصد نصب كرد و به همان روال قبل اتصال را انجام دهيد از ويژگي هاي اين نرم افزار مي توان به گفت گوي زنده و انتقال فايل اشاره نمود

ويژگي‌ها: حجم بسيار كم، نياز نداشتن به نصب، استفاده آسان و سريع

سيستم عامل: ويندوز

AnyDesk

اين نرم افزار به دليل كارايي بسيار بالاي آن داراي محبوبيت بالايي است و خيلي ها اين نرم افزار را جاگزين بسيار مناسبي براي تيم ويوور مي دانند. از ويژگي هاي اين نرم افزار مي توان به ساپورت كردن سيستم عامل هاي مك  ، لينوكس و ويندوز اشاره كرد و انتقال فايل و اطلاعات هم از ديگر ويژگي هاي آن است

علاوه بر اين ها شما مي توانيد توسط اپليكيشن اين نرم افزار از موبايل به كامپوتر وصل شويد

ويژگي‌ها: اتصال ساده و رخ ندادن مشكلات اتصال به دليل فايروال، حجم كم، استفاده آسان

سيستم عامل: ويندوز، مك، لينوكس

Splashtop

اين نرم افزار هم قادر به اتصال بين دو سيستم است وغير كنترل موس و كيبورد انتقال فايل هم مي توان در آن داد ولي ويژگي بارز اين نرم افزار كيفيت بالاي تصوير است يعني اگر اينترنت خوبي داشته باشيد مي توانيد حتي فيلم و بازي را اجرا و كنترل كنيد. و از همچنين نسخه گوشي نيز دارد.

ويژگي‌ها: استفاده آسان از برنامه، اتصال بدون دردسر و كيفيت بالاي تصوير

سيستم عامل: ويندوز، مك، لينوكس، اندرويد و آي‌اواس


بازدید : | ۱۰ مرداد ۱۳۹۶ | نظرات (0) | ادامه مطلب ...

غير فعال كردن آپديت ويندوز ۱۰

ويندوز ۱۰ با همه ي خوبي هايي كه دارد يك موردي كه بسيار بعضي از كاربران را آزار مي دهد بحث آپديت هاي آن است كه هر چند يك بار صورت مي پذيرد البته آپديت ويندوز در كل چيز بدي نيست زيرا باگ ها و حفره هاي امنيت را رفع كرده و امكانات جديدي را به سيستم ما اضافه مي كند ولي استفاده زياذ از حجم اينرنت و ريست كردن سيستم بعد نصب از مشكلات آزار دهنده آن است كه معمولا در زمان روشن شدن و خاموش شدن كامپوتر به وقوع مي پيوندد حال ما در اين مطلب راه هاي خاموش كردن آن را به شما آموزش مي دهيم.
غيرفعال كردن آپديت خودكار ويندوز ۱۰ در اتصالات محدود اينترنت
در صورتي كه در ويندوز ۱۰، يك كانكشن اتصال به اينترنت را در وضعيت metered قرار دهيد، ويندوز از دانلود آپديت‌ها به هنگام اتصال به اين كانكشن، پرهيز مي‌‌كند.ويندوز ۱۰ به طور خودكار برخي كانكشن‌ها (همانند اتصال داده موبايلي) را در وضعيت metered قرار مي‌دهد. اما شما نيز مي‌توانيد كانكشن‌هاي دلخواه خودتان با تغيير وضعيت به metered در حالت محدود قرار دهيد. مادامي كه وضعيت اين اتصال در حالت محدود قرار دارد، آپديت‌هاي ويندوز دانلود نمي‌شوند. همچنين پس از قطع اتصال و اتصال مجدد، وضعيت كانكشن در حالت metered باقي مي‌ماند، مگر آن كه خودتان آن را مجدد از حالت metered بيرون آوريد.

در نتيجه در صورتي كه از يك اينترنت با ترافيك محدود بهره مي‌بريد پيشنهاد مي‌شود وضعيت metered را بر روي آن فعال نماييد. شما مي‌توانيد در ساعات آخر شب كه معمولاً دانلود در حالت رايگان قرار دارد، وضعيت metered را از روي كانكشن غيرفعال كنيد تا آپديت‌‌ها صورت گيرد.

نحوه كار:
براي اين كار، ابتدا به كانكشن اينترنت مورد نظر خود در ويندوز متصل شويد. سپس اپليكيشن Settings را اجرا نماييد.به Network & Internet رفته و در زير ليست شبكه‌هاي واي‌فاي، روي Advanced options كليك كنيد.

اكنون گزينه‌ي Set as metered connection را بر روي On تنظيم كنيد. همان‌طور كه اشاره شد، اين گزينه تنها اتصال كنوني اينترنت شما را تحت تأثير قرار مي‌دهد و ويندوز اين تنظيم را جداگانه براي هر اتصال، به خاطر مي‌سپرد.

۴ راه براي غير فعال كردن آپديت ويندوز

پس از فعال كردن اين گزينه، در صورتي كه كه به Windows Update مراجعه كنيد خواهيد ديد كه ويندوز كانكشن كنوني شما را يك اتصال محدود در نظر گرفته است و از آپديت خودكار جلوگيري مي‌‌كند. اما كماكان دكمه‌ي Download جهت دانلود آپديت‌ها با صلاح‌ديد شما وجود دارد.

۴ راه براي غير فعال كردن آپديت ويندوز

غيرفعال كردن آپديت خودكار ويندوز ۱۰ از طريق Group Policy
اين روش از طريق ويرايش‌گر Group Policy ويندوز انجام مي‌گيرد. لازم به ذكر است Group Policy در تمامي نسخه‌هاي ويندوز ۱۰ به جز نسخه‌ي Home وجود دارد. براي اين كار ابتدا كليدهاي تركيبي Win+R را فشار دهيد.در پنجره‌ي Run عبارت gpedit.msc را وارد كرده و Enter بزنيد.

اكنون در پنجره‌ي Local Group Policy Editor به مسير زير برويد:

Computer ConfigurationAdministrative TemplatesWindows ComponentsWindows Update


۴ راه براي غير فعال كردن آپديت ويندوز

اكنون در محدوده‌ي سمت راست، Configure Automatic Updates را يافته و بر روي آن دوباركليك كنيد. در پنجره‌ي باز شده، گزينه‌ي Enabled را انتخاب نماييد. سپس در ليست آبشاري موجود،‌گزينه‌ي دلخواه خود را انتخاب نماييد:

Notify for download and notify for install: اطلاع‌رساني پيش از دانلود و نصب آپديت‌ها.

Auto download and notify for install: دانلود خودكار دانلودها و اطلاع‌رساني پيش از نصب آن‌ها.

Auto download and schedule the install: دانلود خودكار دانلودها و برنامه‌ريزي جهت نصب آن‌ها.

سپس بر روي دكمه‌ي OK كليك نماييد.


بازدید : | ۱۰ مرداد ۱۳۹۶ | نظرات (0) | ادامه مطلب ...

ابزار Sysprep و لزوم استفاده از آن در شبكه هاي كامپيوتري


Sysprep مخفف عبارت System Preparation مي باشد. اين ابزار جهت نصب چندين نسخه ويندوز بر روي سيستم هاي يك شركت و يا سازمان مورد استفاده قرار مي گيرد. در صورتي كه بخواهيد از يك نسخه ويندوز به دفعات استفاده كنيد ، حتما بايد اين ابزار را مورد استفاده قرار دهيد و سپس از ويندوز خود Image گرفته و بر روي سخت افزارهاي ديگر نصب فرماييد. اين ابزار در مسير زير در ويندوز 8 قرار دارد . معمولا در بيشتر ويندوزها ، مسير دستيابي به اين ابزار به همين صورت است البته به جز ويندوز XP و ويندوز سرور 2003 كه در اين دو ويندوز ، ابزار Sysprep در CD ويندوز قرار گرفته است و بايد از روي CD ويندوز مورد نصب قرار گيرد.

مسير sysprep در ويندوز


اين ابزار سيستم را در دو حالت آماده سازي مي كند :

    OOBE Mode :

در حالت اول يا به عبارتي در حالت Enter System Out-of-Box Experience ( OOBE) سيستم جهت نصب بر روي يك سخت افزار ديگر آماده سازي مي شود . برخي مشخصات منحصر به فرد آن ويندوز پاك شده و پس از نصب بر روي سخت افزار و سيستم جديد، ويندوز مجددا آن مشخصات را به صورت Unique و منحصر به فرد براي آن سيستم جديد تهيه مي كند . در واقع در اين حالت تنظيمات اول به حالت تنظيمات اوليه خود تبديل مي شود.

    Audit Mode :

حالت بعدي كه حالت Audit Mode مي باشد ، شما را قادر به افزودن درايورهاي و يا Application هاي ديگري در نصب ويندوز مي كند . در واقع در صورتي كه شما تمايل داشته باشيد برخي آپديت ها ، نرم افزارها و يا درايور مربوط به يك سري Device موجود در شبكه تون رو روي ويندوز نصب و سپس از آن ويندوز Image تهيه كنيد ، بايد از اين گزينه استفاده كنيد . به عبارتي در صورتي كه شما تمايل داشته باشيد كه ويندوز را به نحوه ي دلخواه خود Customize كنيد و سپس آن را بر روي سيستم هاي موجود در شبكه تان نصب و پياده سازي كنيد ، اين حالت به درد شما مي خورد . براي تفهيم بهتر Audit mode يك مثال ميزنم : فرض كنيد كه مدل كليه پرينترهاي شما در شبكه تون يكي باشد ، خوب نصب درايور مربوط به پرينتر لازم و ضروري است . يا اينكه شما در شبكه تون از يك برنامه مختص سازمان و يا شركتتون استفاده مي كنيد ، در اين حالت شما مي توانيد در حالت Audit Mode از ويندوز ايميج تهيه كنيد و سپس كليه برنامه ها و درايور هاي مورد نظر را بر روي ايميج نصب كنيد و سپس آن ويندوز را بر روي كليه سيستم هايتان نصب و پياده سازي كنيد . بدين طريق به صورت قابل ملاحظه اي در وقت خود صرفه جويي خواهيد كرد .
در هر دو حالت زماني كه از Sysprep استفاده مي كنيد، در پنجره Sysprep ، قسمتي تحت عنوان Shut down Option قرار دارد كه شما در اين قسمت تعريف مي كنيد كه سيستم بعد از Sysprep وارد چه مرحله اي شود .بنده در اينجا براي تست Option مورد نظرم را Reboot انتخاب كردم . البته در محيط هاي مجازي سازي ، زماني كه مي خواهم آن ويندوز Template شود ، از گزينه shut down استفاده مي شود. اما در حالت كلي فارغ از انتخاب هر كدوم از اين Option ها ، ويندوز بعد از يك بار Reboot شدن ، شما با پنجره Welcome to windows ، همان پنجره آشنا در مرحله اوليه ورود به ويندوز رو برو خواهيد شد .


بعد از مشاهده اين پنجره ، در صورتي كه بخواهيد وارد Audit Mode شويد ، بايد سه كليد تركيبي Cltr+ Shift+F3 را فشرده و وارد ويندوز با اكانت Administrator مي شويد و در اينجا برنامه هاي مورد نظر خود را نصب خواهيد كرد . در غير اينصورت اگر بخواهيد تنظيمات به حالت OME خود باز گردند تنها كافي است اطلاعات اوليه مربوط به ورود به ويندوز را وارد كنيد .

Generalize
خوب در صورتي كه بخواهيد Image ي كه از ويندوز تهيه مي كنيد را بر روي يك سيستم ديگر نصب كنيد ، حتي اگر آن سيستم داراي سخت افزار مشابهي با سيستم فعلي شما باشد ، در اين حالت شما بايد از گزينه Generalize استفاده كنيد . با استفاده از اين گزينه برخي از ويژگي هاي منحصر به فرد ويندوز كه بر روي سخت افزار فعلي شما تنظيم شده است نيز ، پاك مي شود . در واقع اين گزينه SSDI و GUID ها را از بين مي برد .انتقال Image ويندوز بر روي يك سخت افزار ديگر بدون آماده سازي آن Image با دستور sysprep/generalize به هيچ عنوان توصيه نمي شود .

چرا بايد از Sysprep استفاده كنيم ؟
خوب اولين و بارزترين دليل استفاده از Sysprep ، مشكل تداخل SID ها مي باشند. چرا كه بسياري از تنظيمات امنيتي در شبكه و دومين بر اساس ابن ويژگي كار مي كنند و يا در بسياري از موارد ، مايكروسافت برخي از آپديت هاي خود را بر اساس SID ها تنظيم و منتشر مي كند . از اين رو اين Feature در شبكه هاي كامپيوتري بسيار حائز اهميت است .اما خوب اين تنها دليل استفاده از Sysprep جهت Deploy كردن چندين نسخه ويندوز نمي باشد . دلايل بسيار زياد ديگري وجود دارد كه لزوم استفاده از Sysprep را بيان مي كند .علاوه بر آن استفاده از sysprep باعث :

    حذف كردن Computer Name مي شود . اگر چه فرضا در برخي محيط ها SID ها در شبكه مورد استفاده قرار نگيرد اما قطعا Computer Name از فاكتورهايي مي باشد كه به شدت در شبكه هاي كامپيوتري مورد استفاده قرار مي گيرد.
    حذف كردن آن كامپيوتر از Domain مي شود . خوب قطعا اين امر نيز حائز اهميت است چرا كه هر سيستم كامپيوتري بايد با اسم منحصر به فرد خود در Domain ثبت شود .
    سبب Uninstall شدن درايورهاي مربوط به Plug and Play مي شود كه اين امر مشكلات ناشي از Hardware Compatibility را از بين مي برد . از اين رو درايور هاي مورد نياز در سيستم هاي ديگر ، به صورت اتوماتيك در صورت لزوم نصب خواهند گرديد.
    حذف شدن Event Log ها . جهت Troubleshooting اين قسمت بسيار در سيستم هاي ديگر كارآمد خواهد بود .
    حذف Restore Point ها . در صورتي كه در سيستم فعلي Restore Point ي وجود داشته باشد ، اين Restore Point در سيستم هاي ديگر سبب بروز مشكل مي شوند .
    سبب حذف Local Administrator’s Profile مي گردد . اين مساله نيز از لحاظ امنيتي بسيار حائز اهميت مي باشد و اطلاعات مربوط به پروفايل ادمين لوكالي به سيستم هاي ديگر منتقل نمي شود.


بازدید : | ۶ ارديبهشت ۱۳۹۶ | نظرات (0) | ادامه مطلب ...

بررسي مفاهيم سوئيچ هاي مجازي - Traffic Shaping

Traffic Shaping
يكي از ويژگيهايي كه شما در vSwitch ها با آن روبرو مي شويد ، ويژگي Traffic Shaping مي باشد . اين ويژگي ميزان ترافيك مجاز جهت عبور از لينكها را كنترل مي كند . در واقع با استفاده از اين قابليت شما به داده ها و ترافيكتان سرعت مجاز را مي دهيد و يا مي تواندي محدوديت هايي را در ترافيك هاي ارسالي اعمال كنيد . با استفاده از اين قابليت شما در ESXi مي توانيد پهناي باند در دسترس مربوط به ترافيكهاي ورودي و خروجي در هر كدام از پورتها را طراحي و كنترل كنيد .با استفاده از اين Policy شما مي توانيد تبادل داده ها در شبكه ، براساس اولويت ،در يك سطح مشخصي از Performance و QOS قرار دهيد . با استفاده از اين Policy شما مي توانيد بسته هاي داده هاي مهم را نسبت به ديگر داده ها اولويت بندي كنيد .اجازه دهيد در مورد لزوم استفاده از اين Policy بيشتر توضيح دهم . به دو سناريوي زير دقت كنيد :

    فرض كنيد كه شما داراي يك سرور مهم در شبكه مي باشيد كه در آن داده ها Time Sensitive هستند ( به زمان حساسند :D ) مثل داده هاي مربوط به Credit Card ها. خوب طبيعتا اين داده ها جهت ارسال و دريافت ، نسبت به داده هاي مربوط به برنامه هاي درون سازماني و يا ... اولويت بيشتري دارند. خوب در اينجاست كه شما با استفاده ار Traffic Shaping مي توانيد پهناي باند اختصاصي به اين قبيل سرورها را بيشتر كنيد ( البته با توجه به تجهيزات و بستر سخت افزاري كه داريد )
    مثال بارزتر از كارايي اين قابليت ISP ها مي باشند . در ISP ها بر اساس تقاضاي مشتري و يا بر اساس بستري كه مي توانند پشتيباني كنند ، به آنها پهناي باند اختصاص داده مي شود .

خوب فكر مي كنم از اهميت اين سرويس تا حدي آشنا شده باشيد .لازم است اين نكته را متذكر شوم كه در صورتي كه اين Policy به حالت Disable باشد ،كليه سرويس ها لازم ، به صورت پيش فرض يك Clear Connection با سوئيچ مجازي خواهند داشت يا بهتر است بگوييم كل پهناي باند كارت شبكه هاي فيزيكي در اختيار سوئيچ و پورتهاي مجازي قرار مي گيرد . البته اين Policy به صورت پيش فرض Disable هست چون در هر شبكه اي لزوم استفاده از آن وجود ندارد .


خوب دو مفهوم Ingress Traffic و Egress Traffic كه توسط VMware ارائه شده است ،در اين قابليت قابل بررسي مي باشند . يكي از تفاوتهاي ميان VSS و VDS در قسمت Traffic Shaping اين سوئيچ ها مي باشد . VSS ها تنها از Egress Traffic پشتيباني مي كنند در حالي كه VDS ها هم از Ingress Traffic و هم از Egress Traffic پشتيباني مي كنند . يعني در VSS شما تنها مي توانيد Egress Traffic را مديريت و كنترل كنيد . شكل زير تب Traffic Shaping در VSS را نشان مي دهد:

Traffic Shaping in VSS


و اين شكل تب Traffic Shaping در VDS را نشان مي دهد:

Traffic Shaping in VDS


حال ببينيم اين قابليت دقيقا چيستند ؟

    Ingress Traffic ترافيكي كه توسط VM ها وارد Virtual Port ها و vSwitch ها مي شوند را كنترل مي كند.
    Egress Traffic ترافيكي كه توسط Virtual Port ها و vSwitch ها وارد VM ها مي شوند را كنترل مي كند.

به زبان ساده تر اين دو مفهوم ، ترافيك هاي ورودي و خروجي به vSwitch ها مي باشند .Traffic Shaping از سه مشخصه تشكيل شده است :

    (Average Bandwidth (Kbps : در اين مشخصه شما مي توانيد تعداد بيت هايي كه در هر ثانيه ، به طور متوسط ، از پورتها عبور مي كنند را مشخص كنيد . در واقع اين مشخصه پهناي باند شما را به صورت متوسط تعريف مي كند و بر اساس كيلوبايت در ثانيه ( Kbps ) تعريف مي شود . مقدار تعريف شده در اين گزينه ، مقدار بار لود شده در PortGroup ها را مشخص مي كند .


    Peak Bandwidth : اين گزينه نيز بر اساس Kbps تعريف مي شود . منتها در اين گزينه بيشترين تعداد بيت هايي كه در هر ثانيه مجاز به عبور از PortGroup ها مي باشند ، تعريف مي شود . به عبارتي بيشترين پهناي باندي كه شما مي توانيد در سوئيچ مجازي خود داشته باشيد را اينجا مي توانيد تعريف كنيد . اين مقدار به هيچ عنوان نمي تواند كمتر از Average Bandwidth باشد . به صورت پيش فرض ، اين مقدار Peak Bandwidth با مقدار Average Bandwidth برابر است .


    Burst Size : قبل از اينكه اين مفهوم رو توضيح بدم ، Burst Bonus را معرفي مي كنم . وضعيت Burst Bonus زماني براي يك Port اتفاق مي افتد كه آن پورت از كل پهناي باندي كه در اختيار دارد ، استفاده نكند . در صورتي كه پورت به پهناي باند بيشتري نسبت به پهناي باندي كه در Average Bandwidth برايش تعريف شده است ، نياز داشته باشد ، مي تواند به صورت موقت از اين پهناي باند استفاده كند و داده هاي خود را با سرعت بيشتري دريافت و يا ارسال كند . از اين رو Burst Size ، بيشتري تعداد بايت هايي مي باشد كه شما به صورت موقت مي توانيد در زماني كه Burst Bonus داريد ، در اختيار پورتهاي خود قرار دهيد . اجازه بديد با يك مثال مفهوم رو بهتر براي شما جا بندازم : قطعا شما ساعت هايي در شبكه خواهيد داشت ( مثل شب ها يا ساعات بعد از تايم اداري ) كه در اين ساعات ارسال و دريافت داده ها كاهش پيدا مي كند ، از اينرو پهناي باند ها تا حدي آزاد مي شوند و مي توان اين پهناي باند هاي آزاد رو در اختيار پورتهاي نيازمند قرار بديم . به شكل هاي زير دقت كنيد:


Burst Size

Burst Size

Burst Size in Traffic Shaping


در اين قسمت به بررسي Traffic Shaping در vSwitch ها پرداختيم . تعيين مقادير براي مفاهيم مطرح شده در بالا ، نيازمند تجربه لازم و كافي مي باشد ، به علاوه اينكه ورودي ها و خروجي ها بايد در شبكه بررسي شود و شما به عنوان مدير شبكه بايد از داده هاي ورودي و خروجي به سوئيچ ها يه خوبي اطلاع داشته باشيد و سپس اقدام به تنظيم اين مقادير براي سوئيچ هاي خود كنيد . يكي از دلايلي كه اين Policy به صورت پيش فرض غيرفعال است ، عدم كاربرد آن در همه ي شبكه ها مي باشد . شما متناسب با نياز خود و بر اساس اطلاعات لازم و كافي كه در اختيار داريد اقدام به تغيير اين مشخصه ها مي كنيد . انشاالله بعد از تكميل مفاهيم ، به اجراي سناريو هاي مختلف در خصوص مجازي سازي خواهم پرداخت .


بازدید : | ۶ ارديبهشت ۱۳۹۶ | نظرات (0) | ادامه مطلب ...

: Zone Based Firewall چيست و چگونه از يك روتر به عنوان فايروال استفاده كنيم؟

يكي از مهمترين بخش ها در امن سازي شبكه ، پياده سازي و اجراي فايروال مي باشد. فايروال همانند يك ديوار بين شبكه داخلي و شبكه خارجي قرار مي گيرد و اطلاعات داخلي شبكه را در برابر حملات خارج شبكه محافظت مي كند. هر چند كه فايروال تنها بخشي از سيستم امنيتي مي باشد اما طراحي و پياده سازي درست و صحيح آن جهت جلوگيري از حملات از اهميت بسيار بالايي برخوردار است. در اين مقاله مي خواهيم با مباحث ، نحوي پياده سازي و اجراي (Zone-Based Firewall (ZBPFW سيسكو آشنا شويم.

ZBPFW چيست؟
يك فايروال براي اعمال سياست هاي دسترسي بين بخش هاي مختلف شبكه استفاده مي شود. در ZBPFW هر بخش از شبكه تحت عنوان Security Zone استفاده مي شود. نسخه قبلي IOS فايروال سيسكو تحت عنوان Context-Based Access Control يا CBAC ناميده مي شد و اعمال Policy براساس بازرسي و استفاده از ACL بين اينترفيس ها انجام مي گرفت. ZBPFW سياست ها را براساس Cisco Common Classification Policy Language (C3PL) اعمال مي كند كه مشابه ساختار Modular QoS Command-Line Interface (MQC) است. و به طور كلي با استفاده از Class maps ترافيك طبقه بندي مي شود سپس با Policy Map تركيب مي شود و در انتها اين Policy mapها به Security Zone اعمال مي شوند.
ZBPFW ازstateful inspection ، Application Inspection and Control (AIC)وDeep Packet Inspection (DPI) پشتيباني مي كند كه شامل بازرسي از لايه سوم تا هفتم مي باشد. Stateful inspection اين قابليت را به ما مي دهد كه بتوانيم Connection هاي فعال بين Security zone ها را رديابي و كنترل كنيم. اين قابليت باعث مي شود كه اجازه ورود ترافيك برگشتي به يك Security Zone را بدهد. AIC اين قابليت را فراهم مي كند كه Sessionهاي لايه چهارم را در حافظه سرهم كند تا بتواند اطلاعات مربوط به جريان ترافيك بين دو Host متصل بهم را بدست آورد و همچنين اين قابليت را دارد كه اطلاعات مربوط به پروتكل هاي لايه هفتم را با استانداردها مطابقت دهد.

Security Zone :
همانطور كه قبلا اشاره شد يكي از تفاوت هاي اصلي بين CBAC و ZBPFW استفاده از Security Zone مي باشد. اين Zoneها باعث مي شود شبكه به چند بخش خاص تقسيم شود. در هر سازمان بخش هاي از شبكه داراي اهميت ويژه اي است و بايد قبل از اجراي ZBPFW اين بخش ها مشخص شوند. به طور معمولا براي فايروال سه بخش اصلي زير را در نظر مي گيرند:

    Internal : شبكه داخلي سازمان
    DMZ : محلي است براي سرورهايي كه مي خواهيم از طريق شبكه خارجي به آنها دسترسي داشته باشم
    External : شبكه خارج از سازمان مثل اينترنت



بعد از اينكه Zoneها ايجاد شد بايد اينترفيس ها را عضو Zone مربوطه شوند و ترافيك ورودي و خروجي هر اينترفيس توسط Policyهاي مربوط به Zone كنترل شوند. برخي از نقش كه به صورت پيش فرض زماني كه ZBPFW استفاده مي شود وجود دارد كه به شرح زير است:

    ترافيك داخل هر Zone به صورت پيش فرض اجازه عبور دارد و كنترلي روي آن انجام نمي شود. اما از IOS 15.0.1M به بعد اين امكان فراهم شده است كه اين ترافيك نيز كنترل شود.
    ترافيك بين Zoneها به صورت پيش فرض اجازه عبور ندارد و تنها در صورت تنظيم Policy اين امكان فراهم مي شود.
    همه اينترفيس ها نياز نيست كه عضو Zone باشند ولي ترافيك بين يك اينترفيس عضو Zone و يك اينترفيس كه عضو Zone نيست اجازه عبور ندارد.


Zone Pair :
اعمال Policyها به صورت يكطرفه بين Zoneها توسط Zone pair انجام مي گيرد. زماني كه به يك جريان ترافيك بين Zoneها نياز است يك Zone Pair در جهت جريان ترافيك تنظيم مي شود. اگر جريان به صورت دوطرفه نياز باشد بايد دو Zone Pair تعريف شود. براي ويژگي Stateful inspection نياز به Zone pair دوم نيست و بصورت پيش فرض ترافيك بازگشتي اجازه ورود پيدا خواهد كرد.


خود دستگاه به عنوان يك Zone معرفي شود و از آن براي محافظت از خود دستگاه استفاده مي شود و براي مباحث control and management planes استفاده مي شود. اين Zone تحت عنوان Self zone مي باشد. اين Zone شامل ترافيك هايي مي باشد كه مقصد آن خود دستگاه مي باشد يا توسط خود دستگاه توليد مي شود. همانطور كه در تصوير زير مي بينيد Self zone همانند ساير Zoneها مي تواند به عنوان zone مبدا يا مقصد استفاده شود و همچنين به صورت يك طرفه تنظيم مي شود.

تا قبل از نسخه IOS 15.0.1M ترافيك بين اينرفيس هاي متعلق بين يك Zone اجازه عبور داشت وكنترلي روي آن صورت نمي گرفت اما از اين نسخه به بعد امكان تعريف Zone pair براي ترافيكي كه مبدا و مقصد آنها يك Zone است وجود دارد. كه اين ويژگي باعث مي شود بتوانيم Policy مورد نظر خود را براي ترافيك مربوط به يك Zone را اعمال كنيم. در تصوير زير نمونه آن را مي بينيم:

Transparent Firewall :
ZBPFW از Transparent Firewall پشتيباني مي كند كه در آن از قابليت Bridge براي اينترفيس ها استفاده مي كند. بعد از اينكه اينترفيس ها در حالت Bridge تنظيم شدند اين اينترفيس ها همانند حالت Routed Mode با قرار گرفتن اينترفيس هاي Bridge در Zone مورد نظر استفاده مي شوند. بزرگترين محدوديت استفاده از Transparent Firewall اين است كه نمي توان از (Network-Based Application Recognition (NBAR استفاده كرد.


بازدید : | ۶ ارديبهشت ۱۳۹۶ | نظرات (0) | ادامه مطلب ...

Authentication Ticket يا (Ticket Granting Ticket (TGT چيست؟

همانطور كه مي دانيد و قبلا هم براي شما در ITPRO گفته ام، ساختار احراز هويت اكتيودايركتوري بصورت پيشفرض بر اساس معياري به نام Ticket پايه گذاري شده است. Ticket به معني مجوز يا بليط است و براي مثال اگر شما بخواهيد از يك سرويس استفاده كنيد بايستي يك Ticket يا بليط استفاده از اين محصول را تهيه كرده باشيد. همين فاكتور در احراز هويت اكتيودايركتوري نيز وجود دارد. پروتكل اصلي احراز هويت در اكتيودايركتوري Kerberos است، زمانيكه قرار است شما با استفاده از Kerberos در اكتيودايركتوري احراز هويت بشويد يك Authentication Ticket كه به آن Ticket Granting Ticket گفته مي شود در مدل احراز هويت Kerberos ايجاد مي شود و براي احراز هويت در سرويس مورد نظر به شما ارائه داده مي شود، TGT در واقع اطلاعات رمزنگاري شده احراز هويتي است كه توسط سرور Kerberos براي انجام شدن فرآيند احراز هويت صادر مي شود. زمانيكه يك كلاينت در شبكه اكتيودايركتوري يك Authentication Ticket دريافت مي كند، كلاينت Ticket دريافت شده را به همراه يك سري اطلاعات هويتي براي سرور باز مي گرداند تا هويت اصلي كلاينت توسط سرور شناسايي شود. بعد از اين مرحله سرور براي كلاين يك Service Ticket به همراه يك Session Key كه چيزي شبيه به رمز عبور است را صادر مي كند و فرآيند احراز هويت و صدور مجوزهاي دسترسي صادر مي شود.

Kerberos Policy چيست و شامل چه مواردي مي شود


در ساختار احراز هويت Kerberos هر Ticket اي كه ثبت مي شود براي خودش داراي يك محدوديت زماني است و در اصطلاح فني Ticket هاي ما در Kerberos بصورت Time-Stamped ايجاد مي شوند. از اين Ticket ها فقط در وهله هاي زماني معيني مي توانيد استفاده كنيد و بعد از آن منقضي مي شوند. اين نوع توليد و نگهداري Ticket ها باعث مي شود خط هك شدن و كرك شدن پسورد و اطلاعات رمزنگاري شده كاهش پيدا كند. امروزه تقريبا هيچ هكري نمي تواند در مدت زمان تعريف شده پيشفرضي كه Ticket اعتبار دارد پسورد ها را كرك كند. اين تكنيك امنيتي كه بر اساس زمان تعريف مي شود از بروز حملات Replay جلوگيري مي كند. Authentication Ticket ها بصورت خاص براي هر Session ايجاد مي شوند و طبيعي است كه با پايان يافتن يك Session اين Authentication Ticket نيز از بين مي رود و درجه امنيتي ما بسيار بالا مي رود ، در واقع TGT ما فقط در مدت زمان شروع و پايان يك Session معتبر است. در خصوص پروتكل Kerberos دوستان مقاله هاي زيادي در ITPRO نوشته اند كه مي توانيد به لينك هاي زير مراجعه كنيد :

    شناسايي و احراز هويت قسمت دوم - SSO , Kerberos , SESAME و kryptonite
    Kerberos Operation عملكرد كربروس
    معرفي پروتكل هاي احراز هويت Kerberos و NTLM
    مكانيزم دسترسي به منابع از طريق پروتكل Kerberos


همانطور كه گفتيم براي هر TGT يك مدت زمان حيات يا اعتبار وجود دارد كه ما آن را به عنوان Ticket Lifetime مي شناسيم ، وجود چنين مكانيزيمي همانطور كه قبلا هم اشاره كرديم بسيار در امنيت احراز هويت هاي Kerberos مهم است. شما مي توانيد Lifetime يك Ticket را مشخص كنيد و خودتان بصورت دستي در شبكه سازمان اين مدت زمان را كم و زياد كنيد. Lifetime هاي TGT ها بايد آنقدر كوتاه باشند تا فرصت كرك كردن و حملات رمزگشايي را به هكرها ندهند تا اطلاعات احراز هويتي ذخيره شده در TGT افشاء نشود. اما به اين موضوع هم بايد توجه كنيد كه هر چقدر Lifetime ما كوتاه تر باشد تعداد درخواست هايي كه از Domain Controller و Kerberos در خصوص صدور TGT داده مي شود بالا مي رود و Overload كاري سرور بالا مي رود. از طرفي هر چقدر مدت زمان Lifetime را بالاتر ببريم درخواست هايي كه به سمت سرور ارسال مي شوند كمتر مي شود و سرعت و Overload كاري سرور نيز كاهش پيدا مي كند كه اين امر مي تواند كارايي سرور را بالا ببرد در كنار اينكه امنيت ما را نيز پايين مي آورد. به همين دليل شما مي توانيد تنظيمات مروبط به Ticket Expiration Policy كه همين زمان را مشخص مي كند را تغيير بدهيد. تنظيمات مربوط به Ticket Expiration Policy در اكتيودايركتوري بصورت پيشفرض از طريق GPO ها قابل تغيير هستند. تنظيمات زير براي تعيين كردن اين مقادير براي Kerberos در شبكه مي باشند :

حداكثر Lifetime يك Ticket Granting Ticket يا Maximum lifetime for user ticket
اين تنظيم در Group Policy همانطور كه از نامش هم پيداست حداكثر مدت زمان يا Lifetime اي است كه يك Ticket قبل از منقضي شدن قابل استفاده است. يكي از پشنهاداتي كه در اين خصوص مي شود اين است كه اين Lifetime را به اندازه ميانگين زمان كاري كه كاربران شما از شبكه در طي روز استفاده مي كنند قرار بدهيد. در Default Domain Group Policy اين مقدار بصورت پيشفرض 10 ساعت در نظر گرفته شده است. بعد از اينكه Lifetime مربوط به Ticket تمام شد ، كاربر يك Ticket جديد دريافت مي كند و يا Ticket فعلي خودش را Renew مي كند. اين فرآيند بصورت كاملا نامحسوس در پس زمينه انجام مي شود و كاربر به هيچ عنوان در جريان چنين اتفاقي قرار نمي گيرد. تنها كاري كه در اين ميان اتفاق مي افتد رد و بدل شدن Ticket جديد و ايجاد شدن آن توسط سرور مي باشد كه كمي Load كاري سرور را بالا مي برد. همانطور كه قبلا گفتيم اگر اين زمان را كاهش بدهيد ، امنيت شما بالا مي رود اما در همين حين كارايي سرور شما كاهش پيدا مي كند. برعكس اين مورد هم صادق است ، اگر زمان را بسيار زياد در نظر بگيريد ، امنيت شما كاهش پيدا مي كند ، Policy مربوط به اين فرآيند در مسير زير قرار گرفته است :

Computer ConfigurationWindows SettingsSecurity SettingsAccount PoliciesKerberos Policy


حداكثر Lifetime براي يك Service Ticker يا Maximum lifetime for service ticket
همانطور كه از نام اين تنظيم هم مشخص است شما مي توانيد Ticket هايي كه براي يك سرويس ارائه مي شوند را بصورت جداگانه اي تنظيم كنيد و Lifetime اين Ticket ها را متفاوت بدهيد. براي اينكه بهتر درك كنيد اين تنظيم چه كاري انجام مي دهد يك مثال مي زنيم ، فرض كنيد كه شما يك كامپيوتر داريد كه طي روز نياز به يك TGT با Lifetime 10 ساعت دارد كه بتواند فرآيند Login شما را انجام بدهيد اما شما يك فرآيند Backup گيري داريد كه بصورت زمانبندي شده در سيستم فعال مي شود و براي انجام كار خودش هم نياز به احراز هويت دارد در چنين مواقعي شما مي توانيد Lifetime مربوط به اين سرويس را بصورت جداگانه و بيشتر از مدت زماني كه TGT فعلي براي Login استفاده مي شود تعريف كنيد. البته معمولا Job هايي براي اينكار تعريف مي شوند در همان وهله زماني تعين شده TGT كارشان را مي توانند انجام بدهند و به همين خاطر مدت زماني كه شما بايد براي اين تنظيم بدهيد معمولا نيازي نيست كه تفاوت فاحشي با مقدار اصليTGT داشته باشد. Maximum Lifetime for service ticket معمولا 10 دقيقه بيشتر ، 10 دقيقه كمتر و يا مساوي زمان Maximum Lifetime for User Ticket است. بصورت پيشفرض اين مقدار برابر با 600 دقيقه يا همان 10 ساعت است كه در Default Domain Group Policy تعريف شده است. Policy مورد نظر در مسير زير قرار گرفته است :

Computer ConfigurationWindows SettingsSecurity SettingsAccount PoliciesKerberos Policy


حداكثر زمان فرآيند تازه سازي Ticket يا Maximum lifetime for user ticket renewal
همانطور كه اعلام كرديم TGT ما هر روز تازه سازي مي شود و يك فرآيند Renewal برايش انجام مي شود. اين تنظيم در Policy ها مدت زماني كه TGT ما مي تواند Renew شود را نشان مي دهد كه با واحد روز در نظر گرفته مي شود. بصورت پيشفرض اين مدت زمان در Default Domain Group Policy هفت روز است. اگر مدت زمان اين Policy را كمتر كنيم ، كاربران سريعتر به دنبال تازه سازي كليدهاي خود مي روند و به همين دليل امنيت نيز افزايش پيدا مي كند ، هرگاه احساس كرديم كه ممكن است مشكل امنيتي در سيستم براي احراز هويت كاربران به وجود بيايد اين زمان را كاهش مي دهيم. اميدوارم مورد توجه شما قرار گرفته باشد. ITPRO باشيد


بازدید : | ۶ ارديبهشت ۱۳۹۶ | نظرات (0) | ادامه مطلب ...

NetFlow ابزاري قدرتمند براي مديران حرفه اي شبكه

 قابليتي است كه توسط سيسكو ارائه شده است و روي تجهيزاتي مانند روترها قابل پياده سازي است. Netflow جهت جمع آوري و كنترل جريان ترافيك شبكه مورد استفاده قرار مي گيرد.

Netflow توسط مديران حرفه اي شبكه جهت آناليز ترافيك شبكه مورد استفاده قرار مي گيرد و با استفاده از آن مي توانند اطلاعاتي مانند اينكه ترافيك شبكه از چه جايي ارسال مي شود و به كجا مي رود ، چه ميزان ترافيكي توليد مي شود و ... را بدست آورد. Netflow اين امكان را مي دهد كه اطلاعات ترافيك بدست آمده را جهت جمع آوري براي نرم افزار Netflow Collector ارسال كند و به وسيله اين نرم افزار بتواند گزارشات متنوع تهيه كند و همچنين اطلاعات بدست آمده را براي مصارف آينده نگه داري كند. . Netflow بر پايه شناسايي بسته ها عمل مي كند. براي استفاده از Netflow كافيست روي يك دستگاه مانند روتر آنرا فعال كرد و نياز به هيچگونه تغييرات در شبكه داخلي يا خارجي ندارد. Netflow به طور كامل از ديد ساير تجهيزات و كاربران پنهان است و به صورت كاملا مستقل روي هر دستگاه عمل مي كند و نياز نيست روي همه تجهيزات فعال شود.

    نكته : Netflow به عنوان يك استاندارد عمومي تبديل شده است و توسط شركت هايي غير از سيسكو نيز مورد استفاده قرار گرفته است و به عنوان يك ابزار قدرتمند براي مديران شبكه مورد استفاده قرار مي گيرد.
    نكته : Netflow را مي توان فقط براي يك اينترفيس خاص فعال كرد.

جريان ترافيك به صورت يكطرفه براساس بسته هاي ارسالي بين مبدا و مقصد مشخص مي شود. تشخيص ترافيك براساس برخي از آيتم هاي لايه Network و Transport انجام مي گيرد كه شامل هفت كليد زير مي باشد:

    آدرس IP مبدا
    آدرس IP مقصد
    شماره Port مبدا
    شماره port مقصد
    نوع پروتكل در لايه network
    بيت ToS
    Input logical interface

اين هفت كليد براي ما يك جريان ترافيك را مشخص مي كند. اگر يكي از اين هفت كليد در ترافيك متفاوت باشد نشان دهنده يك جريان ترافيك جديد مي باشد.

مزاياي Netflow :
Netflow مزايا و ويژگي هاي فراواني براي ما فراهم مي كند كه به برخي از آنها اشاره مي كنيم :

    Netflow : Network Monitoring اين امكان را فراهم مي كند كه به صورت تقريبا Real time شبكه را مانيتور كنيم و به اين وسيله حجم ترافيك در حال انتقال در شبكه را كنترل كنيم.
    Application Monitoring and Profiling : به اين وسيله مي توانيم نرم افزارهاي مورد استفاده در شبكه را شناسايي كنيم و ببينيم كه در هر يك از اين نرم افزارها هر حجمي از ترافيك را استفاده مي كند. اين اطلاعات به مدير شبكه كمك مي كند تا سرويس ها جديد را بشناسد و منابع مورد نياز براي اين سرويس ها فراهم كند.
    User Monitoring and Profiling : به اين وسيله مدير شبكه مي تواند از ميزان استفاده از شبكه و منابع توسط كاربران و مشتريان اطلاع پيدا كند. اين اطلاعات مي تواند در برنامه ريزي براي تعيين دسترسي ، منابع سخت افزار و نرم افزار كمك موثري كند.
    Network Planning : نگه داري اطلاعات بدست آمده از Netflow براي مدت زمان طولاني براي برنامه ريزي و پيش بيني رشد شبكه بسيار مفيد است با استفاده از اين اطلاعات مي توانيم ميزان رشد شبكه را پيش بيني كنيم و براساس آن نسبت به افزايش دستگاه ها ، پورت ها و افزايش پهناي باند برنامه ريزي كنيم. اطلاعات NetFlow باعث مي شود كه برنامه ريزي ما بهينه تر شود كه نتيجه آن كاهش هزينه مي شود. بهينه كردن ترفيك ارسالي روي پورت هاي WAN به دليل هزينه بالاي اين ارتباطات از اهميت بالايي برخوردار است. تشخيص ترافيك ناخواسته روي پورت هاي WAN يكي ديگر از مزاياي استفاده از اين اطلاعات مي باشد كه مي تواند باعث كاهش پهناي باند مصرفي شود.
    Security Analysis : اطلاعات Netflow در كنترل و بهبود وضعيت امنيتي شبكه مي تواند بسيار موثر باشد. به وسيله Netflow مي توان حملات DDOS ، فعاليت ويروس ها و كرم ها را به صورت Real Time تشخيص داد. همچنين تغييرات در شبكه كه مي تواند نشان دهنده وجود يك مشكل در شبكه باشد توسط Netflow مي تواند شناسايي شود.
    Accounting/Billing : اطلاعات Netflow مي تواند براي محاسبه ميزان مصرف كاربران و مشتريان مورد استفاده قرار گيرد كه اين محاسبه به توجه موارد مختلف مانند پروتكل ، مقصد و ... انجام گيرد.
    NetFlow Data Warehousing and Data Mining : اطلاعات Netflow مي تواند به منظور استفاده و آناليز در آينده مورد استفاده قرار مي گيرد. چه برنامه ها و سرويس هايي توسط كاربران داخلي يا خارجي مورد استفاده قرار گرفته است. همچنين اين اطلاعات در تحقيقات بازاريابي مي تواند مفيد واقع باشد چون مي تواند اطلاعاتي مانند چه كسي ، چرا ، كجا و به چه مدت ، چه سرويس استفاده كرده است را در اختيار ما قرار دهد.


ساختار NetFlow :
NetFlow از دو بخش اصلي تشكيل شده است كه به شرح زير است :

    Netflow cache يا Data source جايي كه اطلاعات جريان ترافيك در انجا نگه داري مي شود.
    Netflow يا Transport Mechanism كه وظيفه انتقال اطلاعات Netflow به نرم افزار Collector جهت گزارشگيري و نگه داري را دارد.


نسخه هاي Netflow :
Netflow داراي چندين نسخه است كه در اينجا سه نسخه كه معمولا در روترهاي سيسكو مورد استفاده قرار مي گيرد را توضيح مي دهيم:

    Version 1 : نسخه اوليه و اصلي Netflow مي باشد.
    Version 5 : نسخه بهبود يافته كه در آن اطلاعات BGP AS و Sequence Number اضافه شده است. اين نسخه پركاربردترين مي باشد.
    Version 9 : نسخه بهبود يافته كه در آن تكنولوژي هاي متفاوت مانند Multicast ، MPLS ، IPSec و ... اضافه شده است.


نحوي پياده سازي Netflow در Router :
با دستور زير IP آدرس و پورت نرم افزار Collector را براي ارسال اطلاعات مشخص مي كنيم :

Router(config)#ip flow-export destination 192.168.1.10 2055

مشخص كردن يك اينترفيس براي استفاده از IP آن براي ارسال بسته هاي مربوط به Netflow (بهتر است كه از يك اينترفيس كه امكان Down شدن آن كمتر است استفاده شود مانند Loopback)

Router(config)#ip flow-export source Loopback 1

مشخص كردن نسخه مورد استفاده :

Router(config)#ip flow-export version 5

مدت زماني ( بر حسب دقيقه) كه براي ارسال اطلاعات مشخص مي كنيم:

Router(config)#ip flow-cache timeout active 1

مدت زماني ( بر حسب ثانيه) كه اطلاعات اجازه دارند در cache باقي بمانند :

Router(config)#ip flow-cache timeout inactive 15

از دستورات زير براي فعال كردن اين قابليت روي اينترفيس هاي مورد نظر استفاده مي كنيم :

Router(config)#interface FastEthernet 0/1
Router(config-if)#ip route-cache flow
Router(config-if)#ip flow ingress
Router(config-if)#ip flow egress

براي بررسي و خطايابي از دستورات زير مي توانيد استفاده كنيد :

Router#show ip flow export
Router#show ip flow interface
Router#clear ip flow stats


معرفي چند نرم افزار Collector :
همانطور كه قبلا اشاره شده اطلاعات توسط دستگاه هايي مانند روتر تهيه و سپس براي نگه داري و گزارش گيري به نرم افزار هايي تحت عنوان Collector ارسال مي شود . در اينجا مي خواهيم چند نرم افزار Collector نام ببريم:

SolarWinds NetFlow Traffic Analyzer
ManageEngine NetFlow Analyzer Professional
Paessler PRTG
Plixer International Scrutinizer NetFlow and sFlow Analyzer


بازدید : | ۶ ارديبهشت ۱۳۹۶ | نظرات (0) | ادامه مطلب ...

AAA چيست و چگونه در تجهيزات سيسكو پيدا سازي مي شود؟

به عنوان مدير شبكه شما بايد دسترسي به شبكه را براي كاربران فراهم كنيد و همچنين شبكه را در برابر دسترسي هاي غيرمجاز محافظت كنيد. مدل AAA كه از Authentication ، Authorization ، Accounting تشكيل شده است به شما كمك مي كند كه دسترسي به شبكه را مديريت كنيد اين مديريت شامل ، چه كسي ، به كجاي شبكه و چه زماني دسترسي داشته باشد. AAA براي يكسري خدمات امنيتي شبكه ارائه شده است تا از آن براي NAC) Network Access Control) استفاده شود. در اين مقاله مي خواهيم با مدل AAA آشنا شويم و نحوي راه اندازي آنرا فرا گيريم.

مهاجمان تلاش مي كنند به منابع حساس شبكه به صورت غير مجاز دسترسي پيدا كنند. معماري AAA سيسكو به عنوان ابزاري براي جلوگيري از اين تهديدات و افزايش امنيت دسترسي مورد استفاده قرار مي گيرد. در يك شبكه علاوه بر كاربران عادي و مهاجمين ، مديران شبكه نيز براي دسترسي به منابع شبكه تلاش مي كنند. AAA اين دسترسي را به صورت امن فراهم مي كند.
در محيط هاي سيسكو دسترسي به شبكه از طريق اينترنت ، Dialup و يا campus توسط سه بخش Authentication ، Authorization و Accounting انجام مي شود.

    Authentication : اين بخش وظيفه تاييد هويت را دارد و مشخص مي كند كاربر اجازه دسترسي به شبكه را دارد يا خير. در اين بخش از مكانيزم هاي مختلفي مانند يوزر و پسورد يا Token Cards مي توان استفاده كرد.
    Authorization : بعد از اينكه تاييد هويت توسط بخش Authentication ، بخش Authorization براي مشخص كردن سطح دسترسي به كار مي رود. در واقع در اين بخش مشخص مي شود كه كاربر اجازه دارد به چه منابعي دسترسي پيدا كند و چه كارهايي انجام دهد.
    Accounting : بعد از انجام شدن Authentication و Authorization ، كاربر به شبكه دسترسي پيدا مي كند و شروع به استفاده از منابع مي كند. اين بخش وظيفه دارد كه عملكرد كاربر را ضبط كند اينكه كاربر چه كاري انجام داده و به كجا و به چه مدت متصل بوده است.


نقش ها در AAA :
• AAA Client : اين نقش درخواست تاييد هويت را به AAA Server ارسال مي كند و براساس پاسخ سرور به كاربر اجازه يا عدم اجازه ورود مي دهد. اين نقش توسط تجهيزاتي مانند روتر ، اكسس پوينت و ... انجام مي شود.
• AAA Server : اين نقش درخواست ارسال شده توسط AAA Client را با ديتابيس خود بررسي و نتيجه را به AAA Client اعلام مي كند. اين نقش توسط سخت افزار يا نرم افزار مي تواند انجام گردد.

AAA Protocol :
AAA براي ارتباط خود با AAA Server از دو نوع پروتكل مي تواند استفاده كند كه به تشريح آنها مي پردازيم :
• Radius : يك پروتكل عمومي است. ارتباط آن از نوع UDP و از شماره پورت هاي 1645 و 1812 براي Authentication و Authorization و از شماره پورت هاي 1646 و 1813 براي Accounting استفاده مي كند. فقط پسورد را رمز مي كند. Authentication و Authorization را به عنوان يك سرويس در هم ادغام مي كند و فقط جهت كنترل دسترسي كاربران مورد استفاده قرار مي گيرد.
• TACACS+ : توسط شركت سيسكو ارائه شده و به عنوان يك استاندارد عمومي انتشار يافته است. ارتباط آن از نوع TCP و از شماره پورت 49 استفاده مي كند. اين پروتكل كل بسته را رمزنگاري مي كند. سه بخش AAA را به صورت جداگانه انجام مي دهد و همچنين مي توان براي كنترل دستورات در تجهيزات از آن استفاده كرد


AAA در سيسكو :
سيسكو براي اجراي AAA سه روش را فراهم كرده است :
• Cisco Secure ACS Solution Engine : در اين روش ، AAA روي دستگاهي مانند روتر كه به عنوان دروازه ورود به شبكه براي دسترسي به منابع شبكه محسوب مي شود فعال مي گردد و براي تاييد و كنترل دسترسي با Cisco Secure ACS Solution Engine ارتباط برقرار مي كند. Cisco Secure ACS SE يك دستگاه (Appliance) مستقل مي باشد كه CSA روي آن قرار گرفته است. نصب و راه اندازي Cisco Secure ACS SE روي يك دستگاه مانند PC امكان پذير است اما نصب و راه اندازي اين روش نياز به خريد سخت افزار ، تهيه يك سيستم عامل و نصب CSA روي اين سخت افزار و مسائل مربوط به License دارد و اين مراحل بسيار پيچيده و سخت و زمانبر مي باشد.به همين خاطر استفاده از اين Appliance براي بسياري از سازمان ها ساده تر مي باشد.


• Cisco Secure Access Control Server (ACS) For Windows Server : در اين روش ، AAA همانند روش قبل روي دستگاهي مانند روتر كه به عنوان دروازه ورود به شبكه براي دسترسي به منابع شبكه محسوب مي شود فعال مي گردد و براي تاييد و كنترل دسترسي با نرم افزار ACS كه روي يك سرور ويندوزي نصب شده است ارتباط برقرار مي كند.
• Self-Contained AAA : در اين روش تاييد و كنترل كاربران توسط خود دستگاه مانند روتر انجام مي گيرد. در اين حالت روي خود دستگاه كاربران تعريف و استفاده مي شوند. به اين روش Local Authentication نيز گفته مي شود.

نكته : غير از روش هايي كه توسط سيسكو ارائه شده است مي توان از ساير نرم افزار هايي كه به عنوان AAA Server شناخته مي شوند براي تاييد و احراز هويت استفاده كرد. از Active Directory ويندوز نيز به عنوان AAA Server مي توان استفاده كرد.
نكته : از پركاربردترين مصارف AAA مي توان تاييد و كنترل دسترسي به شبكه از راه دور مانند اين نام مجاز نمي باشد و Dialup را نام برد.
نكته : از حالت Local Authentication براي ايجاد گروه كوچكي از كاربران براي يك دستگاه جهت دسترسي به شبكه استفاده مي شود براي ايجاد كاربران به صورت local از دستور username itpro password 123 استفاده مي شود.
نكته : براي ايجاد دسترسي براي تعداد زيادي يوزر و استفاده توسط دستگاه هاي مختلف از يك ديتابيس خارجي مانند نرم افزار ACS استفاده مي شود و توسط AAA به اطلاعات اين ديتابيس دسترسي پيدا مي كند.


بازدید : | ۶ ارديبهشت ۱۳۹۶ | نظرات (0) | ادامه مطلب ...

معرفي OSI Layers

در سال هاي اوليه وجود و استفاده از شبكه، ارسال و دريافت ديتا در شبكه سختي هاي خاص خود را داشت؛ بخاطر آن كه شركت هاي بزرگي مثل IBM، Honeywell و Digital Equipment هركدام استانداردهاي خاص خود را براي اتصال و ارتباط كامپيوترها داشتند. اين موضوع باعث ميشد كه فقط اپليكيشن هايي كه بر روي تجهيزات يكساني از يك شركت خاص وجود دارند، ميتوانند با يكديگر ارتباط داشت باشند. به همين علت سازنده ها، كاربران و استانداردها نياز داشتند تا بر ايجاد و اجراي يك ساختار استاندارد واحد كه به كامپيوترها اين اجازه را بدهد تا بتوانند براحتي با يكديگر تبادل ديتا داشته باشند، فارغ از هرگونه شركت و برند مختلف، توافق كنند.
در سال 1978، موسسه (ISO (International Standards Organization يك مدل شبكه بنام مدل (OSI (Open System interconnection را معرفي كرد.
همانطور كه گفته شد براي ارتباط دو كامپيوتر نياز به الگويي هست كه ايندو بتوانند حرف همديگر را تحت آن الگو بفهمند. اين زبان و قاعده مشترك يك استاندارد است كه تحت نام OSI معرفي شده است.
مدل OSI داراي 7 لايه بشرح زير است:

لايه هاي بالايي نرم افزاري هستند و هرچه بيشتر بسمت لايه هاي پاين تر پيش برويم، به بُعد سخت افزار نزديكتر ميشويم. بطوري كه لايه Physical كاملا سخت افزاري بوده و عملياتي كه در آن تعريف ميشود، كاملا در حد تجهيزات سخت ازفزاريست.
قانون كلي به اين صورت است كه در لايه بالايي اطلاعات مورد نظر جهت ارسال، قطعه قطعه شده و هر قطعه (Chunk) اطلاعاتي بصورت مجزا وارد مدل OSI خواهد شد. در هر لايه يكسري اعمال روي هر Chunk انجام ميشود و نتيجه آن عمليات در همان لايه به Chunk اضافه ميگردد. به قطعاتي كه در هر لايه به Chunk اضافه ميگردد، هدر (Header) و Trailer (فقط در لايه DataLink) گويند. هر چيزي كه در نهايت در لايه آخر به Chunk اضافه شده است، در كامپيوتر مقصد و در لايه هاي متناظر يك به يك از Chunk جدا خواهند شد. به عمل اضافه شدن هدر در هر لايه، Encapsulation گويند.
هر لايه با لايه هاي بالا و پايين خودش توسط يك interface در ارتباط است.
با توجه به آن كه سيگنال هاي اطلاعات از طريق مديا ( كابل يا هر رسانه انتقال ديگر) انتقال ميابد، و مديا يك ابزار سخت افزاري و فيزيكي براي انتقال است، ميتوان نتيجه گرفت كه هر كامپيوتر بايد از طريق لايه Physical كه پايين ترين لايه مدل OSI است با كامپيوتر طرف مقابل ارتباط مستقيم دارد.
PDU: با توجه به اضافه شدن هدر در هر لايه به ديتاي اصلي، طبيعي است كه در هر لايه از لحاظ ظاهر و محتوا شاهد ديتايي بمراتب كاملتر از لايه قبلي باشيم. بطور قراردادي به نام ديتا در هر لايه (PDU (Protocol Data Unit گويند.

Application Layer :
لايه Application در مدل OSI يك واسط كاربري است كه مسئول نمايش اطلاعات ارسالي و دريافتي از يك اپليكيشن به كاربر است. اين لايه اپليكيشن ها و فرآيندهاي كاربر نهايي را پشتيباني ميكند.
در اين لايه است كه دوطرف ارتباط (تقاضا دهنده و پاسخ دهنده) مشخص شده، احراز هويت و حريم خصوصي كاربر و هرگونه محدوديت در تركيب و ساختار اطلاعات در نظر گرفته ميشود. هرچيزي در اين لايه بر مبناي خواست كاربر و اپليكيشن مشخص ميشود. اين لايه سرويس هاي اپليكيشن در زمينه هاي انتقال فايل، ايميل و ديگر سرويس هاي نرم افزاري تحت شبكه را ايجاد ميكند.
نوع درخواست كاربر از كامپيوتر مقابل از طريق نوع برنامه اي كه كاربر باز كرده مشخص ميشه.
در اين لايه اطلاعات براي ورود به لايه Presentation، قطعه قطعه ميشوند و سپس كامپيوتر مقصد، آنچه را كه از لايه Presentation تحويل ميگيرد، را بترتيب بهم متصل كرده تا اصل اطلاعات بدست آيد.
نظارت بر Error Recovery و Flow control در اين لايه صورت ميپذيرد.
Error Recovery: قابليت تشخيص خطا در انتقال و بازيابي اطلاعات از دست رفته
Flow control: كنترل جريان ديتا را بين سيستم ارسال كننده و دريافت كننده به عهده دارد. Flow control زماني اهميت پيدا ميكند كه سرعت ارسال داده از سرعت دريافت داده بالاتر باشد و در صورت كنترل نشدن جريان، ممكن است برخي از داده هاي دريافت شده از بين بروند و يا دريافت نشوند.
اپليكيشن هاي FTP و Telnet تماما در لايه Application قرار ميگيرند.
به PDU در اين لايه Data هم اطلاق ميشود.

پروتكل ها:
1. (HTTP (port 80
2. (FTP (port 20 , 21
3. (DNS (Port 53
4. (SNMP UDP port 162)(Simple Network Management Protocol): براي مانيتورينگ و ريپورت گيري نود هاي مختلف شبكه
5.(Telnet (Port23: براي ريموت به ديوايس ديگر از طريق محيط Command prompt
6. (RDP (Port TCP/UDP 3389) (Remote Desktop Protocol
7 . (SMTP (Port TCP 25) (Simple Mail Transfer Protocol براي ارسال ميل استفاده ميشود
8. (POP3 (Port 110) (Post Office Protocol: براي دريافت ايميل در نرم افزارهاي ايميل
9. (IMAP (port 143) (Internet Mes***e Access Protocol: براي دريافت ايميل در نرم افزارهاي ايميل

Presentation Layer:
اين لايه اطلاعات دريافتي از لايه Application را از فرمت Application به فرمت شبكه ترجمه ميكند. در طرف ديگر نيز اين لايه ديتا را طوري تغيير فرم ميدهد تا توسط لايه Application قابل پذيرش و فهم باشد.
استاندارد كدها مثل ASCII-Unicode-EBCDIC در اين لايه هستند و اگر كامپيوتر ها از استاندارد كد هاي مختلف استفاده كنند در اين لايه تبديل و قابل استفاده خواهد شد.
عمل compression و Encryption و متقابلا Decompression و Decryption در اين لايه صورت ميپذيرد.
عمل Encryption در اين لايه بر اساس Certificate انجام ميشود.

Encryption چيست و در ويندوز چگونه انجام ميشود:
Encryption طي عملگري بنام Hashing صورت مي پذيرد. Hashing يك الگوريتم رياضي غيرقابل بازگشت است. در ويندوز ميتوان بر اساس كاربر Encryption انجام داد. مكانيسم يا قابليتي بنام EFS (Encryption File System) داريم كه داده را بدون كمك هيچگونه Third party اي (نرم افزار جانبي غير مايكروسافتي) كد ميكند. براي مثال كاربري بنام Ali روي سيستم لاگين كرده و فايلي را Encrypt ميكند. در اين صورت بغير يوزر Ali و Admin هيچ كاربر ديگري نميتواند به اين فايل دسترسي داشته باشد.
اين عمليات رمزنگاري توسط مكانيسم هاي با نام Public Key و Private Key صورت ميپذيرد.
اين لايه عملگري تحت عنوان redirector يا RDR دارد كه بر اطلاعات ارسالي نظارت ميكند. اگر مقصد ارسال اطلاعات همان كامپيوتر بود، جلوي ارسال داده به لايه هاي پايين تر را گرفته و آن را به سيستم خودش Redirect ميكند.
اين لايه گاها به نام Syntax layer ناميده ميشود.
به PDU در اين لايه Data هم اطلاق ميشود.

پروتكل ها:
1 . (SSL (Secure Socket Layer: پروتكلي است كه توسط شركت Netscape براي ردّ و بدل كردن سندهاي خصوصي از طريق اينترنت توسعه يافته‌است. SSL از يك كليد خصوصي براي به رمز درآوردن اطلاعاتي كه بر روي يك ارتباط SSL منتقل مي‌شوند استفاده مي‌نمايد.

2 . (TLS (Transport Layer Security: يكي از پروتكل‌هاي رمزنگاري است و براي تامين امنيت ارتباطات از طريق اينترنت و بر پايه SSL بنا شده‌است.

Session Layer:
اين لايه مسئول برقراري، مديريت و پايان بخشي به ارتباطات بين اپليكيشن هاست. در واقع اين لايه صحبت ها، تبادلات و گفتگوهاي صورت گرفته بين اپليكيشن ها در دو طرف ارتباط را ايجاد و مختصات بندي كرده و در نهايت پايان ميبخشد.
با توجه به اين كه دو كامپيوتر در يك زمان تحت يك Connection ميتوانند در بيش از يك موضوع ارتباط داشته باشند، بايد از قبل بدانند كه چه packet هايي را ارسال و يا دريافت خواهند كرد و اين كه داده ارسالي و يا دريافتي مربوط به كدام موضوع از ارتباط يا session ايجاد شده است. در اين لايه نوع ارتباط و موضوع صحبت دو كامپيوتر با يكديگر تعريف ميشود.
قبل از ايجاد ارتباط و تبادل ديتا دو كامپيوتر از طريق فرآيند 3-way hand shaking با هم به تفاهم ميرسند. تصميم گيري در رابطه با شروع، ادامه و پايان session ها در اين لايه انجام ميشود. از آنجايي كه شبكه ما baseband است، داده به packet هايي تقسيم ميشود كه ممكن است به ترتيبو پشت سرهم به مقصد نرسند؛ به همين علت در اين لايه بر روي هر قسمت از داده يك برچسب زده ميشود كه بوسيله آن بروشني مشخص ميشود كه اين تكه داده متعلق به به چه موضوع و داده اي است. در مقصد بر اساس اين برچسب ها، تكه هاي داده در كنار هم قرار گرفته و تشكيل داده اصلي را خواهند داد.
عمليات شناسايي و احراز هويت (Authentication و Authorization) در اين لايه صورت مي پذيرد. شايان ذكر است كه در اين لايه نوع ارتباط صورت گرفته ميتواند با توجه به اپليكيشن مورد نظر، Simplex، Half duplex و يا Full duplex باشد.
به PDU در اين لايه Data هم اطلاق ميشود.

پروتكل ها:
1 . (SDP(Session Description Protocol: اين پروتكل براي توصيف session هاي ارتباطي مالتي مديا در نظر گرفته شده است.
2 . (SAP (Session Announcement Protocol: پروتكلي آزمايشگاهي براي Broadcast كردن اطلاعات Multicast session
3 . NetBIOS: برنامه‌اي است كه به ما اجازه مي‌دهد تا ارتباط مابين كامپيوتر‌هاي مختلف درون يك شبكه محلي (LAN) را برقرار كنيم.
4 . Winsock: يك مشخصه فني است كه نحوه دسترسي برنامه تحت شبكه را به سرويس هاي شبكه اي، خصوصا TCP/IP بيان ميكند.

Transport Layer :
اين لايه تحويل بدون خطا، بترتيب و بدون هيچگونه كمبود و يا مشكل پيام ها را تضمين ميكند. اين لايه به پروتكل هاي لايه بالا دستي خود اين اطمينان را ميدهد كه پيام بي هيچ مشكلي بين سيستم فعلي و مقصد جابجا خواهد شد.
در واقع در اين لايه در مورد اينكه نوع ارتباط Connection-Oriented(TCP) باشد يا Connection-less(UDP) تصميم گيري ميشود.
سايز و پيچيدگي يك پروتكل در اين لايه بستگي به نوع سرويسي دارد كه از لايه Network خواهد گرفت. براي يك لايه network قابل اطمينان با قابليت جريان مجازي (Virtual Circuit) يك لايه حداقلي Transport نياز است اما در اگر لايه Network غيرقابل اطمينان باشد و يا فقط ساختار ديتاگرام ها را ساپورت كند، پروتكل Transport بايد شديدترين و سنگين ترين Error detection و Error recovery را از خود به نمايش بگذارد.
در اين لايه فرآيندهاي زير رخ ميدهد:
Mes***e Segmentation: اين لايه يك پيام را از لايه بالايي (session) دريافت كرده و آن را به بخش هاي كوچكتر تقسيم ميكند (اگر به اندازه كافي كوچك نباشد)، سپس بخش هاي كوچكتر را به لايه Network خواهد فرستاد. به اين عمل sequencing گويند. لايه Transport اين كار به جهت تسريع در ارسال داده، پر نشدن بافر سيستم گيرنده و همچنين از بين نرفتن كل ديتا در صورت وجود Collision انجام ميدهد. لايه Transport در سيستم مقصد اين قطعات را مجددا سرهم بندي خواهد كرد كه به اين كار نيز Re- assembling گويند.
Mes***e acknowledgment: در صورتي كه از پروتكل TCP براي انتقال استفاده شود، به ازاي هر قطعه ارسالي، يك پيام تحويل در قالب يك تائيديه (acknowledgment) ايجاد ميكند.
Flow Control: در صورتي كه در سيستم مقصد هيچ بافري جهت ذخيره پيام هاي دريافتي وجود نداشته باشد، به سيستم ارسال كننده اطلاعات فرمان قطع ارسال را خواهد داد.
Session Multiplexing: در روابطي كه از پروتكل TCP استفاده ميشود اگر يك ديتا به هزار قطعه تقسيم شود، بايد هزار قطعه ارسال و متعاقبا هزار پيام Acknowledgment براي فرستنده ارسال شود كه اين كار علاوه بر كاهش سرعت باعث بالا رفتن ترافيك ميشود. بنابراين اين لايه با كامپيوتر مقابل مذاكره كرده و نتيجه بر اين ميشود كه به ازاي هر چند packet يك acknowledgment ارسال شود. به اين كار Window گويند.
به PDU در اين لايه Segment هم اطلاق ميشود.

پروتكل ها:
1. (TCP (Transmission Control Protocol
2. (UDP (User Datagram Protocol
3 . SPX: در شبكه هاي مبتني بر سيستم هاي عمل Novell Netware استفاده ميشوند.
4 . (RTP (Real-Time Transport Protocol: در تحويل ترافيك صوت و تصوير مورد استفاده قرار ميگيرد.
5 . (SCTP (Stream Control Transmission Protocol: نقشي مشابه TCP و UDP را دارد اما با اين تفاوت كه برخي ويژگي هاي آن مانند TCP و برخي ديگر مانند UDP است.

Network Layer:
اين لايه اعمال subnet، تصميم گيري درباره انتخاب مسير فيزيكي كه ديتا بر اساس شرايط شبكه بايد انتخاب كند، اولويت بندي سرويس و ديگر فاكتورها را كنترل ميكند.
اصلي ترين پروتكل اين لايه IP است. مكانيسم اضافه شدن IP به ديتا در اين لايه صورت ميپذيرد. داده ما در اين لايه تبديل به packet شده و IP ميگيرد. سخت افزارهايي كه در اين لايه كار ميكنند، عبارتند از روتر، سوئيچ لايه 3. اين لايه تكنولوژي هاي سوئيچينگ و روتينگ، مسيرهاي منطقي معروف به Virtual circuit، را براي انتقال ديتا از يك نود به نود ديگر ايجاد ميكند. ارسال و مسيريابي از وظايف اين لايه ميباشد. در اين لايه شاهد موارد زير هستيم:
1 . Routing: فريم را در بين شبكه هاي مختلف مسير يابي و مسير دهي ميكند.
2 . Subnet Traffic Control: روترها به عنوان سيستم هاي مياني در لايه Network، ميتوانند در صورت پر شدن بافرشان به سيستم ارسال كننده جهت توقف ارسال خبر دهند.
3 . Frame fragmentation: اگر سيستم و يا روتر تشخيص دهد كه اندازه MTU روتر بعدي (next hob يا down stream router) كمتر از سايز فعلي فريم است، روتر اين توانايي را دارد تا فريم را براي انتقال قطعه قطعه كرده و در مقصد مجددا آن ها را سرهم بندي كند.
(MTU (Maximum Transmission Unit پارامتري به مفهوم حداكثر واحد انتقال در روترها ميباشد.
4 . Logical-physical address mapping: تناظر و تطابق آدرس هاي IP و MAC به اين ترتيب كه آدرس هاي منطقي يا IP و يا نام ها را به آدرس هاي فيزيكي متناظرشان ترجمه ميكند.

ارتباطات subnet
نرم افزار لايه network وظيفه ساخت هدرها را بر عهده دارد. به همين علت نرم افزار مربوطه در سيستم هاي مياني subnet ها ميتواند همتايان خودش را در سيستم هاي مياني ديگر شناسايي كرده و از آن ها براي تكميل فرآيند مسير يابي استفاده كند.
به PDU در اين لايه Packet هم اطلاق ميشود.

پروتكل ها:
1 . (IP (Internet Protocol: پروتكل اصلي مجموعه TCP/IP در ارتباطات براي ارسال ديتاگرام ها در طول مرزهاي شبكه و از پايه هاي برقراري اينترنت است.
2 . (ICMP (Internet Control Mes***e Protocol: يكي از مهمترين پروتكل ها در مجموع پروتكل هاي TCP/IP است. اين پروتكل توسط ديوايس هاي شبكه مثل روترها جهت ارسال و نشان دادن پيام هاي error استفاده ميشود. براي مثال موقعي كه سرويس مورد نظر در دسترس نيست. اين پروتكل در ارسال پيام هاي كوئري نيز استفاده ميشود. براي مثال كوئري هاي Ping و trace route.
3 . (IGMP (Internet Group Managment Protocol: يك پروتكل ارتباطي است كه توسط هاست ها و روترهاي مجاور در شبكه هاي IPv4 براي برقراري اعضاي گروه multicast استفاده ميشود. اين پروتكل بخش جدايي ناپذير IP multicast است. اين پروتكل در اپليكيشن هاي تحت شبكه "يك به چند" مثل جريان آنلاين ويدئو و بازي مورد استفاده قرار ميگيرد.
4 . (ARP (Address Resolution Protocol: يك پروتكل ارتباط از راه دور است كه در تناظر آدرس هاي لايه Network مورد استفاده قرار ميگيرد.
5 . (RIP ( Routing Information Protocol: يكي از قديميترين پروتكل هاي مسير يابي كه در محاسبه hop ها به عنوان يك متريك مسيريابي مورد استفاده قرار ميگيرد.

Data Link Layer:
اين لايه انتقال بدون خطاي فريم هاي ديتا را از يك نود به نود ديگر در لايه Physical، ميسر ميسازد. براي اين منظور لايه Data Link قابليت هاي زير را ارائه ميدهد:
• Link Establishment and Termination: لينك هاي منطقي را بين دو نود برقرار كرده و پايان ميبخشد.
• Frame Traffic Control: هنگامي كه هيچ بافري براي فريم در نود مقصد وجود ندارد، به نود ارسال كننده فرمان توقف انتقال را ميدهد.
• Frame Sequencing: انتقال و دريافت فريم ها را بر اساس ترتيب موجود انجام ميدهد.
• Frame Acknowledgment: ack هاي فريم را صادر ميكند. خطاهاي رخ داده در لايه Physical را براي فريم هاي بدون ack و يا ناقص دريافت شده، شناسايي و بازيابي ميكند.
• Frame Delimiting: محدوده و مرزهاي فريم را ايجاد و آن را به رسميت ميشناسد.
• Frame Error Checking: يكپارچگي فريم هاي رسيده را بررسي ميكند.
• Media Access Management: هنگامي كه نود اجازه استفاده از مدياي فيزيكي را دارد، را تعيين ميكند.
آدرس دهي MAC در اين لايه انجام ميشود. هر كامپيوتر در محيط LAN مثلا در محيط شبكه اي از نوع اترنت، بايد از اين مدل آدرس دهي براي ارسال اطلاعات استفاده كنند. به علاوه CRC در اين لايه به فريم (Trailer) اضافه ميشود. سخت افزارهاي موجود در اين لايه عبارتند از: Switch، bridge، Access Point (اگر كار روتر را انجام دهد در لايه 3 قرار دارد) و Modesm ADSL ( كار سوئيچ را هم انجام ميدهد).
بايد توجه داشت با توجه به پروتكلي كه در اين لايه انتخاب ميشود، سخت افزار مورد نيازي در اين لايه بكار ميرود.
به PDU در اين لايه Frame هم اطلاق ميشود.

پروتكل ها و تجهيزات:
1 . Ethernet: يكي از فناوريهاي مبتني بر Frame در شبكه هاي رايانه براي شبكه‌هاي محلي (LAN) مي‌باشد. اين نام از مفهوم فيزيكي ether گرفته شده‌است. اين فناوري وضعيت سيم‌كشي و استانداردهاي سيگنالينگ در لايه فيزيكي وهمچنين قالب‌هاي آدرسي همچون MAC آدرس را در لايه Data link معين مي‌كند. Ethernet به‌عنوان استاندارIEEE 802.3 شناخته مي‌شود. اين تكنولوژي از دهه ۱۹۹۰ تاكنون بكارگرفته شده‌است و جايگزين استانداردهائي همچون Token ring ،FDDI و ARCNET شده‌است.
2. Token Ring
3 . (FDDI(Fiber Distributed Data: استاندارد انتقال ديتا در شبكه هاي LAN ميباشد. FDDI از فيبرنوري به عنوان رسانده و مدياي استاندارد خود استفاده ميكند.
4 . (PPP (Point to Point Protocol: پروتكلي در لايه Data Link است كه براي برقراري ارتباط مستقيم بين دو نود مورد استفاده قرار ميگيرد. اين پروتكل قابليت احراز هويت، رمزنگاري و فشرده سازي را دارد.
5. Frame Relay

Physical Layer:
اين لايه پايين ترين لايه در مدل OSI است كه مرتبط با انتقال و دريافت جرياني ساختار نيافته از بيت ها تحت يك مدياي فيزيكي است. اين لايه به شرح اينترفيس هاي الكتريكي/نوري، مكانيكي و كاربردي در مدياي فيزيكي ميپردازد و سيگنال ها را براي تمام لايه هاي بالا دستي، حمل ميكند. اين لايه وظيفه انتقال سيگنال را بر عهده داشته و به محتويات هيچ كاري ندارد. سخت افزار موجود در اين لايه از جنس: انواع كابل ها، كارت شبكه و هاب است.
توجه داشته باشيد كه با توجه به نوع رسانه، داده ما ميتواند تغيير كند؛ مثلا در كابل هاي مسي از جنس سيگنال الكتريكي (ولتاژ) و در فيبر نوري از جنس پالس نوري است.
به PDU در اين لايه bit هم اطلاق ميشود.

پروتكل ها:
1. Fast Ethernet
2. RS232
3 . ATM: يك مفهوم مخابراتي است كه توسط استانداردهاي ANSI و ITU تعريف شده است و تمام ترافيك كاربر از جمله سيگنال هاي صوت، ديتا و ويدئو را حمل ميكند.
4. E1
5. T1
6. ISDN


بازدید : | ۶ ارديبهشت ۱۳۹۶ | نظرات (0) | ادامه مطلب ...

معرفي انواع ناحيه يا Area در پروتكل مسيريابي OSPF

مبحث امروز موجب سردرگمي خيلي از كساني ميشود كه به تازگي با OSPF آشنا شده اند:انواع ناحيه ها ، به خاطر داريد كه يك دامنه ي بزرگ OSPF معمولا به نواحي جداگانه اي تقسيم ميشد تا از ترويج اضافه روت ها جلوگيري كند و همچنين باعث ميشد تا مقدار منابعي كه هر روتر براي نگه داري LSDB خودش نياز داشت كاهش پيدا كند.هر ناحيه به ناحيه اصلي وصل است يعني ناحيه صفر ، OSPF به انواع مختلفي از LSA ها (link state advertisment) براي رد و بدل كردن اطلاعات link state بين همسايه هايش نياز دارد.در اينجا يك يادآوري مختصري از انواع LSA هايي كه بيشتر استفاده ميشوند انحام ميدهيم:

    نوع 1:توسط هر روتري ميتواند ساخته شود.
    نوع2:توسط روتر DR براي يك لينك multiaccess ساخته مي شود.
    نوع3:براي خلاصه كردن يا summary روت هاي داخلي يك ناحيه ساخته ميشود.
    نوع4:توسط روتر ASBR ساخته ميشود.
    نوع5:وقتي كه يك روت خارجي ميخواهد وارد OSPF شود ساخته و استفاده ميشود.
    نوع7:در ناحيه هاي stub به جاي LSA نوع 5 مورد استفاده قرار مي گيرد.


LSA هاي نوع 1و2 در تمام ناحيه ها يافت ميشوند و هيچ وقت به خارج ازناحيه خودشان نميروند.اينكه انواع ديگر LSA ها از ناحيه خودشان به ناحيه اي ديگر بروند بستگي به نوع ناحيه دارد.

انواع ناحيه ها در OSPF

    Backbone area يا همان ناحيه صفر
    Standard area
    Stub area
    Totally stubby area
    Not-so-stubby area


مدنظر داشته باشيد كه ناحيه صفر الزاما هميشه جزو standard area هست كه به عنوان نقطه مركزي اي كه بقيه روتر ها به آن وصل مي شوند معين شده است.

Standard area در OSPF چيست ؟



همانطور كه در شكل بالا مشاهده ميكنيد R2 به عنوان ABR يا همان Area Border Router بين يك standard area و Backbone area كار ميكند.R3 مسير ها را از يك جاي ديگر كه شامل OSPF نيست به درون Redistribute,OSPF ميكند كه در نتيجه به عنوان روتر ASBR يا همان Autonomous System Boundry Router شناخته ميشود.همانطور كه قبلا اشاره شد LSA هاي نوع 1 و 2 بين بين روتر هايي كه در ناحيه ي يكساني هستند منتشر مي شدند.اين قضيه در مورد تمام انواع ناحيه ها صدق مي كند همانند LSA هايي كه براي ساختن يك Area's shortest path tree استفاده مي شوند و در نتيجه تنها مربوط به يك ناحيه مشخص هستند.LSA هاي نوع 3و 5 مسير هاي داخلي و خارجي ا مشخص مي كنند و به ترتيب تماما در Backbone area و Standard area منتشر مي شوند.مسير هاي خارجي توسط روتر ASBR به وجود مي آيند در حالي كه مسير هاي داخلي توسط هر روتري درون OSPF ميتوانند به وجود آيند.

در مورد LSA هاي نوع 4 به ياد داشته باشيد كه كه اين LSA ها به درون Backbone area توسط روتر ABR ناحيه اي كه شامل يك روتر ASBR هم هست تزريق مي شوند اين كار براي مطمئن شدن از اين است كه تمام روتر هاي درون دامنه OSPF به ASBR دسترسي داشته باشند.در Standard area ها از آنجايي كه تمام روتر ها تمام مسير ها را ميدانند به خوبي ميتوانند كار كنند ولي بعضي مواقع موقعيت هايي پيش مي آيد كه يك ناحيه دسترسي محدود شده اي به باقس شبكه دارد و نگه داري كاملLSDB غير ضروري هست.بعلاوه اينكه يك ناحيه ممكن است داراي روتر هاي قديمي يا ضعيفي باشد كه نتواند ديتابيس يك شبكه بزرگ از OSPF را در خودش نگه دارد.اين ناحيه ها ميتوانند جوري راه اندازي بشوند كه مانع ورود يك نوع خاص LSA بشوند و تبديل به Stub area بشوند.

Stub area در OSPF چيست ؟
stub area


در اين مثال R2 و R3 يك stub area رايج و معمول رو به اشتراك گذاشته اند كه به جاي ترويج روت هاي خارجي (نوع 5 LSA ) درون ناحيه, روتر ABR نوع 3 LSA را كه شامل يك Default route به درون Stub area هست را تزريق ميكند اين باعث ميشود تا روتر هاي درون Stub area قادر باشند مقصد هاي خارج از ناحيه را بدون نگه داشتن تمام روت هاي خارجي قادر به مسيريابي باشند.
به اين خاطر كه روت هاي خارجي توسط Stub area دريافت نميشوند روتر هاي ABR هم LSA نوع 4 را از ديگر نواحي به stub area نمي فرستند.براي ينكه يكه ناحيه stub بشود لازم است تا تمام روتر هاي آن ناحيه تنظيمات آن را داشته باشند.توجخ داشته باشيد كه روتر هاي stub و non-stub رابطه ي همسايگي را شكل نميدهند.


ايده ي جايگزيني يك Default route به جاي چندين روت ميتواند براي روت هاي داخلي هم به خوبي استفاده بشود كه اين ايده Totally stub area را شكل داد

Totally stub area در OSPF چيست؟

Totally stub area


همانند Totally stub area ,stub area ها هم LSA نوع 4 و 5 را از روتر هاي ASBR شان دريافت نميكنند.همچنين آنها LSA نوع 3 را هم دريافت نميكنند تمام روت هاي خارج از ناحيه كاملا به يك Default route كه توسط روتر ABR تزريق مي شود بستگي دارد.يك Stub area با پيكر بندي تمام روتر هي ABR ش با مشخصه No-summaru ميتواند به يك Totally stub area تبديل شود.


stub area و Totally stub area قطعا ميتوانند مصرف منابع روتر ها در بخش هايي ازشبكه كه به دانستن تمام روت ها نيازي نيست را كاهش دهند و همچنين هيچكدام نميتوانند شامل يك روتر ASBR باشند در نتيجه LSA هاي نوع 4و5 نميتوانند وارد ناحيه بشوند.براي حل اين مسئله سيسكو مفهوم جديدي به نام Not-so-stubby area يا NSSA را معرفي كرد.

Not-so-stubby area در OSPF چيست ؟
NSSA


NSSA ها از LSA هاي نوع 7 استفاده ميكنند كه در حقيقت خود LSA نوع 5 ميباشند. اين خود ASBR را قادر ميسازد كه تا لينك هاي خارجي را با استفاده از تبديل LSA هاي نوع 7 به نوع 5 پيش از زمان انتشار آنها به ادامه ي دامنه ي OSPF ، بر روي بستر ABR انتشار دهد.NSSA ميتواند در قالب يك ناحيه ي Stub و يا Totally Stubby Area عمل كند. به منظور طراحي يك NSSA معمولي، همه ي روتر هاي واقع در محل، بايد بدين شكل پيگره بندي شوند:



LSA هاي نوع 3 به درون و بيرون ناحيه وارد و خارج ميشوند. بر خلاف Stub Area معمول كه ABR مسير پيش فرض به درون NSSA وارد نميكند، مگر اينكه صريحا بدين منظور پيكره بندي شده باشد. به اين علت كه ترافيك به سمت مقصد هاي خارجي نميتواند بدون مسير پيش فرض ،مسيريابي كند، شما احتمالا ميال خوايهد بود تا چنين قابليتي را با اضافه كردن دستور ذيل اضافه كنيد:


به منظور گسترش NSSA براي عملكرد به عنوان Totally Stubby Area ، محدود كردن LSA هاي نوع 3، همه ي ABR ها ميبايستي با پارامتر "NO-SUMMARY " پيكره بندي شوند.


ABR مربوط به يك Totally Stubby Area NSSA، ( و يا بر حسب ترجيح شما، Not So Totally Stubby Area ) يك مسير پيش فرض را بدون هيچ پيكره بندي اضافه اي وارد ميكند.

خلاصه
نواحي استاندارد، ميتوانند LSA هاي نوع 1،2،3،4 و 5 و همچنين يك ASBR را شامل شوند. نقطه ي اتكاي سيستم ناحيه اي استاندارد تلقي ميشود.نواحي Stub ميتوانند شامل LSA هاي نوع 1،2 و 3 باشند. مسير پيش فرض، براي جايگزيني مسير هاي خارجي در نظر گرفته شده است.نواحي Totally Stubby تنها ميتوانند شامل LSA هاي نوع 1 و 2 و تنها يك LSA نوع 3 باشند. LSA نوع 3 يك مسير پيش فرض و جايگزين براي همه ي مسيرهاي درون و برون ناحيه اي تعريف ميكند. نواحي Not so Stubby، قابليت هاي Stub يا Totally Stubby يك ASBR را پياده سازي ميكنند.LSA هاي نوع 7 ايجاد شده توسط ASBR ها بوسيله ي ABR ها به ABR هاي نوع 5 تبديل ميشوند تا بتوانند به ادامه ي دامنه ي OSPF جريان پيدا كنند.


بازدید : | ۶ ارديبهشت ۱۳۹۶ | نظرات (0) | ادامه مطلب ...

سرویس وبلاگدهی فارسی یا پارسی رایگان