Skip to Content

بلاگ

آشنایی با پروتکل DHCP

آشنایی با پروتکل DHCP

DHCP پروتکلی می باشد که توسط دستگاه های تحت شبکه بکار می رود تا تنظیمات و پارامتر های مختلف را برای عملکرد دستگاه در بستر شبکه فراهم کند. با استفاده از این پروتکل حجم فعالیت مدیریت شبکه کاهش می یابد و دستگاه ها می توانند بدون تنظیمات دستی به شبکه متصل شوند.

هدف DHCP اختصاص اتوماتیک آدرس های IP  برای یک دستگاه (برای مثال: کامپیوتر های شخصی، موبایل و …) در بستر شبکه می باشد؛ این پروتکل دارای پایگاه داده ای شامل طیف وسیعی از آدرس های اختصاصی داده شده است که به دستگاه هایی که درخواست یک IP آدرس می کنند، IP جدید اختصاص می دهد. یک IP آدرس، برای یک بازه زمانی مشخص به یک دستگاه اختصاص داده می شود، و پس از آن زمان دستگاه باید IP آدرس جدیدی را مجدد از سرور DHCP دریافت و یا IP قبلی خود را تمدید کند.

DHCP به دستگاه هایی که قابلیت اتصال به شبکه را دارند اجازه می دهد تا تنظیماتی را از سرور دریافت کنند که در شبکه های مدرن بسیار رایج است. همچنین در شبکه های خانگی نیز استفاده می شود به طوری که در شبکه های خانگی، ارائه دهنده خدمات اینترنت یا همان ISP ممکن است یک IP آدرس اینترنتی (IP Public) منحصر به فردی را به یک روتر و یا مودم اختصاص دهد که این IP برای ارتباطات اینترنتی استفاده شود. همچنین ممکن است روتر یا مودم از DHCP جهت فراهم کردن یک IP آدرس غیر اینترنتی (IP Private) قابل استفاده برای دستگاه های متصل شده به شبکه خانگی استفاده کند تا به دستگاه های متصل شده اجازه ارتباط با اینترنت را بدهد.

پروتکل DHCP

روش های تخصیص IP

بسته به نوع تنظیمات، سرور DHCP برای تخصیص IP آدرس ها از یکی از سه روش زیر استفاده می کند:

Dynamic allocation: سرور DHCP به طور پویا (Dynamic) یک IP آدرس را برای مدت زمانی مشخص به دستگاهی که درخواست کننده می باشد، اختصاص می دهد و پس از زمان تعریف شده می تواند مجدد آن IP را برای همان دستگاه تمدید کند.

Automatic allocation: سرور DHCP به طور اتوماتیک یک IP آدرس آزاد را برای مدت زمانی مشخص به دستگاه درخواست کننده اختصاص می دهد. این همانند Dynamic allocation است با این تفاوت که سرور DHCP در حالت Automatic یک جدول از IP های اختصاص داده شده را نگه می دارد، به طوری که می تواند به یک دستگاه IP آدرسی را اختصاص دهد که قبلاً آن را داشته است.

Manual allocation: در این حالت  تنها دستگاه هایی که MAC آدرس آنها در جدول سرور DHCP موجود است می توانند از آن سرور درخواست تخصیص IP کنند. این حالت دارای امنیت بیشتری نسب به دو حالت قبلی می باشد.

عملکرد DHCP

عملکرد DHCP به چهار قسمت تقسیم می گردد:

DHCP Discovery: دستگاه هایی که قابلیت استفاده از DHCP را دارند و یا تنظیمات شبکه ای آنها به صورت DHCP پیکر بندی شود به منظور شناسایی سرورهای DHCP موجود اقدام به فرستادن پیامی در شبکه می کنند که به این درخواست DHCP Discovery گفته می شود.

DHCP Offer: هنگامی که سرور DHCP یک درخواست شناسایی (DHCP Discovery) را از دستگاهی در شبکه دریافت می کند، یک IP آدرس را برای آن دستگاه رزرو می کند و آن را به عنوان DHCP Offer برای درخواست کننده ارسال می کند.

DHCP Request: دستگاه درخواست کننده بعد از دریافت DHCP Offer از سمت سرور به منظور پذیرفتن IP رزرو شده و درخواست برای تخصیص آن IP، پیغامی با نام DHCP Request را به سرور ارسال می کند.

DHCP Acknowledgement: هنگامی که سرور DHCP پیغام درخواست IP را دریافت می کند، مرحله DHCP Acknowledgement آغاز می شود. در این مرحله سرور یک بسته شامل IP آدرس، Subnet Mask و هر گونه اطلاعات مورد نیاز دیگری را برای درخواست کننده ارسال می کند.

عملکرد DHCP

DHCP relaying

در شبکه های کوچک معمولا از یک Subnet برای تمامی شبکه استفاده می شود و یک DHCP سرور به طور مستقیم درخواست های دستگاه های داخل شبکه را دریافت و آنها را پاسخ می دهد. اما در شبکه های بزرگ و گسترده معمولا از چندین Subnet استفاده می شود که به منظور یکپارچه سازی و ارتباط بین Subnet های مختلف از Router استفاده می گردد. در حالت پیش فرض به دلیل Broadcast بودن درخواست های DHCP و عدم وجود Rout مناسب، چنین درخواست هایی توسط Router عبور داده نمی شود به عبارتی در صورتی که دستگاه درخواست کننده در یک Subnet  غیر از Subnet سرور DHCP قرار گرفته باشد، نمی تواند از سرویس DHCP آن سرور استفاده کند. برای رفع این موضوع از ویژگی DHCP relaying استفاده می شود، این ویژگی این امکان را فراهم می سازد تا درخواست های DHCP به واسطه DHCP relay agents در بین Subnet های مختلف عبور کرده و تمامی دستگاه ها موجود در شبکه از سرویس DHCP استفاده کنند.

ادامه مطلب

آشنایی با NAT

آشنایی با NAT

تکنولوژی NAT یا Network Address Translation به منظور صرفه جویی در تعداد آدرس IP های Public و کاهش هزینه ها می باشد.

این تکنولوژی به دلایل زیر ایجاد شد.

  • محدودیت در تعداد آدرس IP های Public
  • هزینه بر بودن تهیه آدرس های Public برای استفاده در اینترنت

نحوه فرآیند تکنولوژی NAT :

NAT در واقع تکنولوژی تغییر آدرس IP مربوط به فرستنده پیام می باشد. بدین معنا که زمانی که این تکنولوژی برای یک شبکه Private پیاده سازی می شود، یک سمت این شبکه متصل به یک Public IP شده و سمت دیگر درون شبکه Private قرار می گیرد و NAT حائل بین این دو سمت می شود. هر درخواستی که از شبکه Private برای شبکه Public ارسال می شود، توسط این تکنولوژی دریافت و با تغییر آدرس IP منبع ارسال کننده به آدرس خود که یک آدرس Public می باشد، درخواست را به سمت اینترنت ارسال می کند. این تغییرات درون جدولی که NAT Table گفته می شود ذخیره می شود و زمانیکه پاسخ آن درخواست توسط اینترنت به سمت این Public IP برگشت داده می شود، با توجه به اطلاعات موجود در NAT Table به دست درخواست کننده اصلی در شبکه Private می رسد.

فرهنگ واژگان تکنولوژی NAT :

تکنولوژی NAT

انواع مختلف NAT :

  • Static NAT
  • Dynamic NAT
  • PAT (NAT Overload)

آشنایی با Static NAT :

این نوع از NAT باید به صورت دستی پیاده سازی شود. نحوه پیاده سازی این نوع به این صورت است که شما باید آدرس های Private خود را به صورت دستی و براساس تعداد آدرس های Public که در اختیار دارید نگاشت کنید. به طور مثال شما بر روی روتر خود 2 آدرس Public قرار داده اید و در شبکه Private خود 100 آدرس IP ایجاد کرده اید، حال می بایست 50 عدد از این آدرس ها را به صورت دستی به یکی از Public IP ها نگاشت کنید و 50 عدد دیگر را به Public IP دیگر روتر نگاشت نمایید.

نکته: تا زمانیکه یک Private IP به یک Public IP متصل باشد، Private IP دیگر نمی تواند به اینترنت دسترسی داشته باشد. یعنی عمل نگاشت در NAT به صورت یک به یک است.

پیکربندی Static NAT :

در بحث پیکربندی NAT بخشی از دستورات برای تمام انواع NAT ها ثابت می باشد و آن بخش مشخص کردن بخش داخل و خارج شبکه خودتان می باشد. دستورات زیر به این منظور به کار برده می شوند (در سطح اینترفیس):

Conf-if# ip nat {inside or outside}

نکته: این دستورات باید بر روی تمام Interface ها و Sub Interface ها (مباحث Inter VLAN) مربوط به بخش Inside و Outside زده شوند.

دستورات مربوط به NAT Table به شرح زیر می باشند:

Conf# ip nat inside source static ‘Inside Local IP’ ‘inside global IP’

Router# show ip nat translation

Router# clear ip nat translation

دستور مربوط به Clear به منظور قطع ارتباط کاربران از شبکه به منظور حذف تکنولوژی NAT می باشد.

نکته: در بخش Inside Local IP می بایست آدرس کلاینتی را بدهید که قرار است دسترسی به اینترنت داشته باشد و Inside Global IP مربوط به آدرس Public می باشد که قرار است توسط آن NAT انجام شود.

آشنایی با Dynamic NAT :

در این نوع NAT یک NAT Pool وجود دارد که شامل چند Public IP می باشد. توسط این ساختار آدرس های Private مشخص شده می توانند به صورت یک به یک و هر کدام به یکی از این Public IP ها NAT شوند.

نکته: پیاده سازی Dynamic NAT توسط Access List انجام می شود.

پیاده سازی Dynamic NAT :

بخش اول پیاده سازی مانند Static NAT می باشد. در بخش دستورات Dynamic NAT داریم:

Conf# Access-list ‘ACL#’ permit ‘Network’ ‘Wild Mask’

به منظور ایجاد Access List از دستور بالا استفاده می کنیم و در ادامه:

Conf# ip nat pool ‘Pool-Name’ ‘First IP’ ‘Last IP’ netmask ‘Subnet-Mask’

نکته: مقدار Net Mask مورد نیاز در دستور بالا مقداری است که در بردارنده تعداد آدرس های Public مشخص شده در First تا Last می باشد. یعنی باید Subnet Mask را استفاده کنیم که این محدوده آدرس دهی را شامل شود.

Conf# ip nat inside source list ‘ACL#’ pool ‘Pool-Name’

OR

Conf# ip nat inside source list ‘ACL#’ interface ‘Slot/Port’
Conf# ip nat translation time-out ‘Seconds’

نکته: دستور آخر مربوط به پاک شدن آدرس Private ای می باشد که به صورت Idle درآمده و این مدت زمان برای پاک شدن بر حسب ثانیه و برای آزاد شدن آدرس Public و استفاده سایر آدرس ها از آن آدرس Public می باشد.

آشنایی با PAT :

در ساختار Static و Dynamic مشکل محدودیت تعداد Public IP ها و در نتیجه دسترسی تصادفی سیستم ها به اینترنت وجود داشت. نوع PAT که Port Address Translation نام دارد این مشکل را رفع کرده است.

در این نوع نگاشت پیاده سازی با استفاده از Port Number ها صورت می پذیرد. یعنی علاوه بر تغییر آدرس IP منبع ارسال کننده، اقدام به تغییر شماره پورت منبع ارسال کننده نیز می کند. یعنی اگر کاربری یک درخواست روی پورت 80 برای اینترنت ارسال کرد، این درخواست قطعا با یک شماره پورت توسط کاربر ارسال شده است که مثلا می تواند 1200 باشد. زمانیکه این درخواست به سرویس NAT می رسد علاوه بر تغییر آدرس IP مربوط به کلایت، شماره پورت 1200 را به 1201 تغییر می دهد و به سمت بیرون هدایت می کند. این امر به این دلیل است که هیچ تضمینی وجود ندارد که 2 کامپیوتر از یک شماره پورت برای ارسال درخواست خود استفاده نکنند و ممکن است این شماره پورت برای دو کامپیوتر یکسان انتخاب شود، بنابراین این تغییر شماره پورت در سرویس NAT به دلیل رفع مشکل تداخل درخواست ها می باشد.

با این فرآیند تنها با استفاده از یک Public IP می توان برای تمام آدرس های Private دسترسی به بیرون را ایجاد کرد.

پیاده سازی PAT :

پیاده سازی PAT عینا مانند ساختار Dynamic می باشد. یعنی همان مراحل مربوط به Dynamic را برای PAT باید انجام داد و تنها تفاوت در 2 مورد می باشد:

  • نگاشت به یک اینترفیس
  • استفاده از کلیدواژه overload در انتهای دستور

بنابراین دستور پیاده سازی به شکل زیر تغییر می کند:

Conf# ip nat source list ‘ACL#’ interface <slot/port> overload

در پایان این مبحث به این نکته توجه داشته باشید که عملیات NAT صرفا برای برقراری دسترسی به اینترنت نیست بلکه تکنولوژی تغییر آدرس IP می باشد. بنابراین این مبحث را به عنوان تغییر دهنده آدرس IP به خاطر بسپارید.

ادامه مطلب

آشنایی با پروتکل HSRP

آشنایی با پروتکل HSRP

پروتکل HSRP زیر مجموعه پروتکل های FHRP یا First-Hop Redundancy protocols می باشد. این پروتکل به منظور افزایش دسترس پذیری در شبکه می باشد.

این بدین معناست که شما می توانید به طور مثال 2 روتر را به عنوان یک خروجی برای شبکه قرار دهید بدین صورت که هر زمان یک روتر از مدار خارج شد، روتر دیگر به صورت اتوماتیک کار خروج بسته های اطلاعاتی را انجام دهد. عملکرد این پروتکل درست مانند عملکرد سرویس های کلاسترینگ می باشد.

زیر مجموعه پروتکل FHRP به شرح زیر می باشند:

  • Host Standby Router Protocol (HSRP)
  • Virtual Router Redundancy Protocol (VRRP)
  • Gateway Load Balancing Protocol (GLBP)

پروتکل HSRP مخصوص دستگاه های سیسکو می باشد.

پروتکل VRRP یک پروتکل استاندارد می باشد که بسیار شبیه HSRP عمل می کند.

پروتکل GLBP به دلیل وجود محدودیت در HSRP و VRRP ایجاد شد و مخصوص دستگاه های سیسکو می باشد. یکی از دلایل تاثیر گذار در ایجاد این پروتکل شرایط Active بودن تنها یک دستگاه در پروتکل HSRP و VRRP می باشد و مابقی دستگاه ها به صورت Standby قرار می گیرند و به اصطلاح Load Sharing را ایجاد نمی کنند. این پروتکل فقط در سری های 6500 وجود دارد.

آشنایی با HSRP :

روند کار این پروتکل به این صورت است که ابتدا باید یک گروه ایجاد نمایید. باید توجه داشته باشید که حداکثر تعداد گروه های HSRP روی یک دستگاه 16 گروه می باشد. در بین روترها یا سوییچ های لایه 3 قرار گرفته در یک گروه می بایست یکی به عنوان Active و یک دستگاه به صورت Standby قرار گیرد که در صورت از مدار خارج شدن دستگاه Active دستگاه Standby جایگزین آن می شود. مابقی دستگاه ها به صورت Listen HSRP State در این گروه قرار می گیرند و زمانی که دستگاه Standby به Active تبدیل می شود، یکی از دستگاه های Listener به Standby تبدیل می شود.

روند درک وضعیت دستگاه ها در یک گروه HSRP با ارسال بسته های Hello به یکدیگر می باشند. این بسته ها هر 3 ثانیه به آدرس مالتی کست تمام روترها (224.0.0.2) ارسال می شود.

پیکربندی HSRP در لایه اینترفیس روترها و یا در Interface Vlan سوییچ های لایه 3 انجام می شود. یعنی می بایست به بخش conf-if وارد شوید تا بتوانید تنظیمات HSRP را پیاده سازی نمایید.

Config-if# standby ‘group’ IP ‘ip-address’

دستورات HSRP با کلمه Standby شروع می شوند.

معماری این پروتکل به این صورت است که زمانیکه شما یک Virtual IP برای گروه HSRP ایجاد می کنید، یک Virtual Mac Address برای این IP ایجاد می شود که به صورت 0000.0c07.acxx می باشد. مقدار 0000.0c مربوط به تولید کننده سیسکو می باشد، مقدار 07.ac مربوط به پروتکل HSRP و مقدار xx مشخص شده برای شماره گروه HSRP می باشد که از 01 شروع می شود.

دستگاهی که به صورت Active در این گروه قرار گرفته است مدام به این MAC Address گوش می دهد و درخواست هایی که توسط کاربران به آن ارسال می شود را پاسخ می دهد.

روند اکتیو کردن یک دستگاه:

به منظور معرفی یک دستگاه به عنوان Active در گروه HSRP می بایست از HSRP Priority استفاده کرد. این Priority مقداری بین 0 تا 255 می باشد و پیش فرض آن 100 می باشد. عدد بالاتر معرف اکتیو بودن دستگاه می باشد. در صورتیکه مقدار Priority به صورت پیش فرض تعریف شود ویژگی که باعث اکتیو شدن یک دستگاه می شود بزرگترین آدرس IP بین دستگاه ها می باشد.

Config-if# standby ‘group’ priority ‘priority’

استفاده از ویژگی Preemption در HSRP:

در صورتیکه روتر فعال شما از مدار خارج شود و روتر Standby جایگزین آن شود و پس از مدتی روتر از مدار خارج شده مجدد به مدار بازگردد و Priority بالاتر داشته باشد چه اتفاقی خواهد افتاد؟

ویژگی Preemption به HSRP این قدرت را می دهد تا در صورتیکه روتر اکتیو از مدار خارج شده به مدار بازگردد، مجدد به صورت اکتیو قرار گیرد.

Config-if# standby ‘group’ preempt

آشنایی با HSRP Link Track:

تصور کنید 2 روتر در یک گروه در HSRP قرار گرفته اند و هر کدام از این روتر ها توسط یک اینترفیس خود به اینترنت متصل شده اند. زمانیکه اینترفیس اینترنت روتر اکتیو قطع شود، دلیلی برای تغییر حالت اکتیو به Standby برای HSRP وجود ندارد اما در سمت کاربر دسترسی به اینترنت قطع شده است. در این شرایط چه می توان کرد؟

HSRP ویژگی دارد که به وسیله آن می توان از مقدار Priority یک اینترفیس به صورت اتوماتیک کم کرد و در نهایت اقدام به سوییچ کردن بین دستگاه های اکتیو و Standby کرد. این ویژگی Link Track نام دارد. با مقدار دهی این ویژگی می توان به دستگاه گفت که در صورت قطع شدن یک اینترفیس مشخص در آن، مقدار مشخصی را از Priority اینترفیس دیگر کم کند اما لازم است تا ویژگی Preemption بر روی دستگاه Standby نیز زده شود.

Config-if# standby ‘group’ Track ‘type mode/num’ ‘Decrement-Value’

Example:

Config-if# standby 1 track FastEthernet 0/10 60

ادامه مطلب

آشنایی با پروتکل VRRP

آشنایی با پروتکل VRRP

پروتکل VRRP یک پروتکل استاندارد به منظور پیاده سازی High Availability می باشد. به لحاظ کارآیی و پیکربندی کاملا شبیه پروتکل HSRP می باشد.

تفاوت های HSRP و VRRP :

  • در VRRP گروه از 0 تا 255 وجود دارد
  • در VRRP یک روتر به صورت Active با نام Master می باشد و مابقی روترها به صورت Backup قرار می گیرند.
  • در VRRP بسته های Hello هر 1 ثانیه یکبار به آدرس مالتی کست 244.0.0.2 ارسال می شوند.
  • در VRRP مقداری که به عنوان Virtual MAC Address در نظر گرفته می شود 0000.5e00.01XX می باشد که XX در انتها به عنوان شماره گروه می باشد.
  • به صورت پیش فرض Preemption در VRRP فعال می باشد.
  • این پروتکل فاقد مکانیزمی برای ردیابی Interface می باشد.

این پروتکل در روترهایی که دارای IOS نسخه 12.0 (18)ST به بالا هستند وجود دارد و در مورد سوییچ ها در سری های 4500 با IOS نسخه 12.2(31)SG به بالا و سری های 6500 Supervisor 2 با IOS نسخه 12.2(9)ZA و بالاتر در سری های 6500 Supervisor 720 با IOS نسخه 12.2(17a)SX4 به بالا وجود دارد.

پیکربندی VRRP :

به منظور پیکربندی VRRP از دستورات زیر استفاده نمایید:

Config-if# vrrp ‘group#’ ip ‘IP-Address’

این دستور به منظور ایجاد Virtual IP می باشد.

Config-if# vrrp ‘group#’ priority ‘Priority’

مقدار Priority عددی مابین 1 تا 254 می باشد و در صورت برابر بودن Priority ها بزرگترین آدرس IP به عنوان Tie Breaker در نظر گرفته می شود.

Router# show vrrp brief

ادامه مطلب

آشنایی با IPSec VPN

آشنایی با IPSec VPN

در ادامه مباحث VPN می خواهیم پروتکل امن IPSec را بررسی نماییم. این پروتکل معروفترین پروتکل امن VPN می باشد.

این مبحث در دوره CCNA Security کاملا بررسی می شود و در این دوره به صورت اجمالی به آن می پردازیم.

آشنایی با IPSec :

IPSec بیشتر از آنکه یک پروتکل باشد یک Framework است. این پروتکل ترکیبی از 3 پروتکل زیر می باشد:

  • ISAKMP (Internet Security Association and Key Management Protocol)
  • AH (Authentication Header)
  • ESP (Encapsulation Security Payload)

نکته: به پروتکل ISAKMP پروتکل IKE یا Internet Key Exchange نیز گفته می شود.

نکته: از بین AH و ESP یکی از این موارد در IPSEC استفاده می شوند.

آشنایی با ISAKMP :

ISAKMP در دو فاز فعالیت خود را انجام میدهد. در فاز اول که ISAKMP SA نامیده می شود ابتدا توافقات امنیتی بین دو نقطه صورت می پذیرد که موارد زیر را شامل می شود:

  • Encryption (3DES or AES)
  • Digital Signature (HMAC SHA1 or HMAC MD5)
  • Key Management (DH or RSA)
  • Authentication (Pre Shared Key or Digital Certificate)

در فاز اول علاوه بر توافقات امنیتی، Key Management برای بحث رمزنگاری (تبادل کلید) و Authentication نیز انجام می شود.

نکته: توافقات امنیتی هر 24 ساعت یکبار Negotiate می شوند که این عدد قابل تغییر است.

در فاز دوم که IPSEC SA گفته می شود پروتکل Tunneling که می خواهیم استفاده نماییم از بین AH و ESP انتخاب می شود. در این فاز به صورت Optional می توانید Key Management را داشته باشید.

نکته: فاز دوم به حسن وجود فاز اول یک مرحله کاملا امن به حساب می آید. به همین دلیل تبادل کلید در این فاز یک فرآیند کاملا امن است.

نکته: این فاز هر 8 ساعت یک بار به صورت پیش فرض انجام می شود و قابل تغییر می باشد.

آشنایی با AH و ESP :

پروتکل AH یک پروتکل امضای دیجیتال می باشد. به واسطه امضای دیجیتال موارد زیر به دست می آیند:

  • Authentication
  • Data Integrity
  • Non Repudiation

فرآیند این پروتکل به این صورت می باشد که به انتهای Segment یک Trailer و به ابتدای آن یک Header اضافه می کند و آدرس IP جدید مربوط به Tunneling را به آن اضافه می کند. این پروتکل اقدام به HASH کردن بسته توسط Private Key خود می کند و از این طریق اقدام به Sign کردن بسته می کند. این Sign در Header قرار می گیرد.
پروتکل ESP علاوه بر انجام فرآیند Sign مانند AH فرآیند Encryption را روی بسته انجام می دهد.

نکته: از AH زمانی استفاده می شود که نیاز به Authentication قدرتمند وجود داشته باشد و از ESP در جاهایی استفاده می شود که نیاز به رمزنگاری بسته باشد.

هر دو پروتکل AH و ESP هم می توانند به صورت Tunnel Mode و هم Transport Mode فعالیت کنند:

آشنایی با AH و ESP :

نکته: در Transport Mode آدرس Original IP با New IP یکسان است بنابراین حذف می شود. این حالت زمانی است که بین دو کامپیوتر می خواهیم تونل بزنیم.

نکته: تونل IPSEC قابلیت ارسال ترافیک های Broadcast و Multicast را ندارد و در مقابل تونل GRE امکان ارسال این ترافیک ها را دارد. بنابراین شیوه ای ترکیبی از این دو تونل وجود دارد که ابتدا تونل GRE ایجاد می شود و سپس توسط IPSEC این تونل امن می شود در نتیجه ترافیک های Broadcast و Multicast قابلیت عبور خواهند داشت. به این کار GRE Over IPSEC گفته می شود.

پیکربندی IPSEC :

به منظور پیکربندی IPSEC دستورات زیر را استفاده می نماییم:

فاز اول:

Conf# crypto isakmp enable
Conf# crypto isakmp policy ‘Policy#’
Conf-isakmp# authentication pre-share
Conf-isakmp# encryption [3DES | AES | DES]
Conf-isakmp# hash [MD5 | SHA]
Conf-isakmp# group [1 | 2 | 5]
Conf# crypto isakmp key ‘Your Key Word’ address ‘Your Next Hop Interface’

فاز دوم:

ابتدا باید Transform Set تعریف شود:

Conf# crypto ipsec transform-set ‘Set a Name’ esp-3des [esp-md5-hmac | esp-sha-hmac]

حال باید یک Access List نوشته شود و لیست IP هایی که می خواهیم در این تونل رمزنگاری شوند را در آن لیست قرار دهیم:

Conf# access-list ‘#’ permit ‘Source IP Address’ ‘Wild Mask’ ‘Destination IP Address’ ‘Wild Mask’

حال می خواهیم این Transform Set را به یک اینترفیس تخصیص دهیم اما برای این کار ابتدا باید Crypto MAP نوشته شود تا آن را به اینترفیس اختصاص دهیم:

Conf# crypto map ‘Set a Name’ ‘Policy# you have been selected in the first place’ ipsec-isakmp
Conf-crypto-map# set peer ‘Next Hop Interface IP Address’
Conf-crypto-map# set transform-set ‘Transform Set Name that you choose above’
Conf-crypto-map# match address ‘Your Access List #’

حال باید این Crypto MAP را به اینترفیس مورد نظر تخصیص دهیم:

Conf-if# crypto map ‘You Crypto MAP Name that have been selected above’

نکته: این دستورات باید در هر دو روتر زده شوند. تنظیمات هر دوسر باید مانند یکدیگر باشند.

به منظور مانیتورینگ این فرآیند از دستورات زیر می توان استفاده کرد:

فاز اول:

Router# show crypto isakmp SA

فاز دوم:

Router# show crypto ipsec SA

در پایان به منظور آشنایی با مباحث VPN می توانید دوره های CCNP Security به منظور پیاده سازی VPN ها بر روی روترها و سوییچ های لایه 3 و CCNP VPN به منظور آشنایی با مدل ها و پیاده سازی بر روی فایروال ها را طی نمایید.

ادامه مطلب

استفاده از Netstat جهت عیب یابی شبکه

استفاده از Netstat جهت عیب یابی شبکه

استفاده پیشرفته از Netstat

دستور Netstat به منظور نمایش جزئیات ارتباطات بین رایانه شما و سایر شبکه می باشد. با استفاده از این دستور می توانید اطلاعات کاملی را پیرامون ارتباطات خود به دست آورید. در این مقاله می خواهیم به صورت پیشرفته از این دستور استفاده نماییم.

ساختار کلی این دستور به شکل زیر است:

Netstat [-a] [-b] [-e] [-f] [-n] [-o] [-p protocol] [-r] [-s] [-t] [-x] [-y] [time_interval] [/?]

حال می خواهیم سوئیچ های این دستور را بررسی و نتیجه را مشاهده کنیم.

اگر دستور Netstat را به صورت خام استفاده نماییم خروجی تصویر چیزی شبیه زیر خواهد بود:

دستور Netstat

همانطور که در تصویر مشاهده می کنید اطلاعات شامل پروتکل مورد استفاده جهت برقراری ارتباط، آدرس IP مبدا و مقصد به همراه پورت های مورد استفاده و وضعیت ارتباط را نمایش می دهد.

حال اگر سوئیچ –a را به کار ببریم، اطلاعات به شکل زیر تغییر می کند:

دستور Netstat

این سوئیچ ارتباطات فعال TCP را نشان می دهد. ارتباطاتی که به صورت Listening قرار دارد در این لیست قابل مشاهده است.

استفاده از سوئیچ –b چیزی شبیه به استفاده از سوئیچ –o است و کمکی که به ما میکند این است که اطلاعات مربوط به پروسسی که عامل ایجاد آن ترافیک است را نیز نمایش می دهد. این نمایش به صورت اسم کامل است و برخلاف سوئیچ –o شما می توانید نام کامل پروسس را مشاهده کنید. نکته ای که وجود دارد این است که جهت استفاده از این سوئیچ می بایست خط فرمان خود را با دسترسی مدیر سیستم اجرا کرده باشید.

دستور Netstat
استفاده از سوئیچ –e به شما کمک می کند تا بتوانید آمار تعداد بسته های ارسال شده و دریافت شده توسط کارت شبکه سیستم از زمان برقراری ارتباط را به دست آورید. این آمار شامل مواردی چون bytes, unicast packets, non-unicast packets, discards, errors, unknown protocols می باشد.

دستور Netstat
سوئیچ –f دستور Netstat را در وضعیتی قرار می دهد تا نام کامل آدرس مقصد را در صورت امکان نمایش دهد.

دستور Netstat
سوئیچ –n که یک سوئیچ پرکاربرد است به شما کمک می کند تا بتوانید اطلاعات را بدون در نظر گرفتن نام کامل مقصد مشاهده کنید. این کار باعث می شود تا فرآیند نمایش اطلاعات بسیار سریع رخ دهد.

دستور Netstat
سوئیچ –o نیز به عنوان یک سوئیچ پرکاربرد می توانید در کنار اطلاعات مربوط به ارتباطات شماره ID مربوط به پروسسی که باعث برقراری آن ارتباط شده است را نیز به شما نمایش دهد.

دستور Netstat
استفاده از سوئیچ –p به شما این امکان را می دهد تا بتوانید اطلاعات یک پروتکل خاص را مشاهده نمایید. کافیست نام یکی از این پروتکل ها را پس از این سوئیچ قرار دهید.

tcp, udp, tcpv6, udpv6,icmp, ip, icmpv6, ipv6

دستور Netstat

اجرای دستور Netstat با سوئیچ –r باعث می شود تا اطلاعات جدول مسیریابی سیستم را مشاهده نمایید. این دستور همانند دستور route print عمل میکند.

دستور Netstat
به منظور مشاهده آمار ترافیک شبکه براساس نوع پروتکل می توانید از سوئیچ –s استفاده نمایید. در صورتیکه می خواهید از این سوئیچ و سوئیچ –p استفاده نمایید می بایست سوئیچ –s قبل از سوئیچ -p بیاید.

دستور Netstat
استفاده از سوئیچ –t به شما کمک می کند تا اطلاعات مربوط به ترافیک هایی را مشاهده کنید که در کارت شبکه Offload شده است. همانطور که می دانید برخی از کارت شبکه ها امکان Offload کردن پروسس ارتباطی از CPU به سمت خودشان را دارند.

دستور Netstat
سوئیچ –x به منظور استخراج اطلاعات مربوط به ارتباطات مستقیم بین دو نقطه می باشد.
سوئیچ –y به منظور نمایش لیست قالب های مربوط به ارتباطات TCP برای تمام حالات می باشد. این سوئیچ را با سایر سوئیچ ها نمی توانید استفاده نمایید.

دستور Netstat

استفاده از سوئیچ time_interval به شما این امکان را می دهد تا تعیین نمایید دستور Netstat هر چند ثانیه یکبار اجرا شود. در واقع این دستور یک حلقه با مدت زمان تعیین شده به ثانیه ایجاد می کند.

 

ادامه مطلب

FRAME RELAY چيست؟

FRAME RELAY چيست؟

در اين مقاله به اختصار در مورد تكنولوژي Frame Relay و توپولوژي هاي آن توضيح داده مي شود.

Frame Relay ﯾﮏ ﺗﮑﻨﻮﻟﻮژي ﻻﯾﻪ ۲ ﻣﯽ ﺑﺎﺷﺪ ﮐﻪ ﻧﻤﻮﻧﻪ اي از Packet Switching اﺳﺖ و ﺗﻮاﻧﺎﯾﯽ اﻧﺘﻘﺎل ﺑﺴﺘﻪ ﻫﺎي ﻻﯾﻪ ۳ را در ﻗﺎﻟﺐ ﺑﺴﺘﻪ ﻻﯾﻪ ۲ را  دارد و اﻏﻠﺐ ﺑﻪ ﻋﻨﻮان ﯾﮏ ﻧﺴﺨﻪ ﺳﺎده از X.25 ﺗﻮﺻﯿﻒ ﻣﯽ ﺷﻮد ﮐﻪ ﮐﻤﯽ از ﻗﺎﺑﻠﯿﺖ ﻫﺎي ﻗﻮي ﺗﮑﻨﻮﻟﻮژي Frame Relay را اراﺋﻪ ﻣﯽ دﻫﺪ و ﺑﻪ آﺳﺎﻧﯽ روي ﺑﺴﺘﺮ WAN ﮐﺎر ﻣﯽ كند . X.25 اراﺋﻪ دﻫﻨﺪه ﺧﺪﻣﺎت در ﻻﯾﻪ ۳ ﻣﯽ ﺑﺎﺷﺪ و از آنجايي كه Frame Relay در لايه دوم كار مي كند بنابر اين عملكرد و راندمان بهتري از خود ارائه مي دهد و براي كار كردن در شبكه هاي WAN مناسب تر است.

ﻻزم اﺳﺖ ﺗﻮﺿﯿﺢ ﻣﺨﺘﺼﺮي را در راﺑﻄﻪ ﺑﺎ ﺷﺒﮑﻪ ﻫﺎي X.25 اراﺋﻪ دﻫﯿﻢ :

X.25 يكي از قديمي ترين شبكه هاي اتصالگرا بوده كه در دهه ۱۹۷۰ تا ۱۹۸۰ ميلادي توسط كميته بين المللي تلفن و تلگراف (CCIT) به منظور ﺗﻬﯿﻪ راﺑﻄﯽ ﺑﯿﻦ ﺷﺒﮑﻪﻫﺎي Packet Switching  ﺗﻮﺳﻌﻪ داده ﺷﺪ و ﺗﺎ ﺣﺪودي ﺑﺎ ﻣﻮﻓﻘﯿﺖ ﻧﺴﺒﯽ ﮐﺎر ﮐﺮد.در اﯾﻦ ﺷﺒﮑﻪ، اﺑﺘﺪا راﯾﺎﻧﻪ ﻣﺒﺪأ ﺑﺎ ﻣﻘﺼﺪ ﺗﻤﺎس ﺗﻠﻔﻨﯽ ﺑﺮﻗﺮار ﻣﯽﮐﻨﺪ و ﺑﻌﺪ از آن ﻣﯽﺗﻮاﻧﻨﺪ ﺑﺎ ﻫﻢ در ارﺗﺒﺎط ﺑﺎﺷﻨﺪ كه در آن ﺑﻪ ﻫﺮ ﺗﻤﺎس ﯾﮏ ﺷﻤﺎره داده ﻣﯽﺷﻮد. ﺑﺴﺘﻪﻫﺎي داده در اﯾﻦ ﻧﻮع ﺷﺒﮑﻪﻫﺎ ﺑﺴﯿﺎر ﺳﺎده ﺑﻮدﻧﺪ و از ﯾﮏ ﺳﺮآﯾﻨﺪ۳ ﺑﺎﯾﺘﯽ و ﺑﺪﻧﻪ ۱۲۸ ﺑﺎﯾﺘﯽ ﺗﺸﮑﯿﻞ ﻣﯽﺷﺪ.

دﻟﯿﻞ اﺳﺘﻔﺎده از Frame Relay

فرض ﮐﻨﯿﺪ ﺷﻤﺎ در ﯾﮏ ﺷﺮﮐﺖ ﺑﺰرگ ﮐﺎر ﻣﯿﮑﻨﯿﺪ و اﯾﻦ ﺷﺮﮐﺖ در دو ﻧﻘﻄﻪ ﺟﺪﯾﺪ ﮔﺴﺘﺮش داده ﺷﺪه اﺳﺖ . ﺳﺎﯾﺖ اﺻﻠﯽ ﺑﻪ دو شعبه ﻣﺘﺼﻞ ﻣﯽ ﺑﺎﺷﺪ و رﺋﯿﺲ ﺷﺮﮐﺖ از ﺷﻤﺎ ﻣﯽ ﺧﻮاﻫﺪ ﮐﻪ اﯾﻦ دو شعبه ﺑﺎ ﺳﺎﯾﺖ اﺻﻠﯽ در ارﺗﺒﺎط ﺑﺎﺷﻨﺪ . ساده ترين روش براي ارتباط شعب ارتباط مستقيم يا  Leased Line است.

 Frame Relay

طبق شكل فوق ، روتر اصلي Office توسط دو پورت سريال اينترفيس به دو شعبه متصل هستند. ﺣﺎل ﺳﻮال اﯾﻨﺠﺎﺳﺖ اﮔﺮ ﺷﺮﮐﺖ ﻗﺼﺪ ﮔﺴﺘﺮش ﺷﻌﺒﺎت ﺧﻮد ﺗﺎ ۱۰ ﺷﻌﺒﻪ را داﺷﺘﻪ ﺑﺎﺷﺪ چه اتفاقي خواهد افتاد؟

ﺑﺮاي ﻫﺮ ﻟﯿﻨﮏ Point-To-Point،روﺗﺮ اﺻﻠﯽ اﺣﺘﯿﺎج ﺑﻪ ﯾﮏ اﯾﻨﺘﺮﻓﯿﺲ ﺳﺮﯾﺎل ﻓﯿﺰﯾﮑﯽ و احتمالا يك CSU/DSU دارد.بله! تصور شما درست است. ﭘﯿﺎده ﺳﺎزي اين شبكه به روﺗﺮهاي متعدد ﺑﺎ ﺗﻌﺪاد زﯾﺎدي اﯾﻨﺘﺮﻓﯿﺲ ، CSU/DSU و ﻓﻀﺎي زﯾﺎد رك ﺑﺮاي ﻗﺮار دادن روﺗﺮ ﻫﺎ داﺧﻞ آن نيازمند است.براي حل اين مشكل ﺑﺎ اﺳﺘﻔﺎده از Frame Relay ، ﻣﺎ ﻓﻘﻂ اﺣﺘﯿﺎج ﺑﻪ ﯾﮏ ﺳﺮﯾﺎل اﯾﻨﺘﺮﻓﯿﺲ روي روﺗﺮ اﺻﻠﯽ دارﯾﻢ ﮐﻪ ﺑﻪ ﻫﻤﻪ ﺷﻌﺒﺎت ﻣﺘﺼﻞ ﻣﯿﺸﻮد . اﯾﻦ واﻗﻌﯿﺖ ﺣﺘﯽ زﻣﺎﻧﯽ ﮐﻪ ﻣﺎ ۵۰ شعبه هم  داشته باشيم ، ﺑﻪ درﺳﺘﯽ ﺑﺮﻗﺮار اﺳﺖ .ﻋﻼوه ﺑﺮ اﯾﻦ ﻫﺰﯾﻨﻪ استفاده از اين روش بسيار ﮐﻤﺘﺮ از اﺳﺘﻔﺎده از ﺧﻄﻮط leased ﻧﯿﺰ ﻣﯿﺒﺎﺷﺪ.

ﺣﺎل زﻣﺎن آن رﺳﯿﺪه ﮐﻪ ﯾﮏ ﺳﺮي اﺻﻄﻼﺣﺎت ﻣﻮرد ﻧﯿﺎز را ذﮐﺮ ﮐﻨﯿﻢ:
  • Data terminal equipment :  DTE
  • Data communication equipment : DCE
  • Access Link
  • Local Management Interface : LMI
  • Virtual Circuits : VC
  • Data Link Connection Identifier : DLCI
  • No Broadcast Multi-Access : NBMA

اوﻟﯿﻦ ﻣﻔﺎﻫﯿﻤﯽ ﮐﻪ در Frame Relay درك ﻣﯽ ﮐﻨﯿﺪ درﻣﻮرد DTE & DCE اﺳﺖ. ﺑﻪ زﺑﺎن ﺳﺎده ﺗﺮ ، DTE دﺳﺘﮕﺎه ﮐﺎرﺑﺮ و ﺳﯿﺴﺘﻢ ﻧﻬﺎﯾﯽ ﻣﯽ ﺑﺎﺷﺪ ﮐﻪ ﺑﺼﻮرت ﻣﻨﻄﻘﯽ ﺑﻪ Frame Relay وﺻﻞ اﺳﺖ و DCE ﺷﺎﻣﻞ ﻣﻮدم وﺳﻮﺋﯿﭻ ﻫﺎي Frame Relay ﻣﯽ ﺑﺎﺷﺪ.ﺑﺼﻮرت ﮐﻠﯽ روﺗﺮ ﺑﻪ ﻋﻨﻮان DTE و ﺳﻮﺋﯿﭽﻬﺎي Frame Relay ﺑﻪ ﻋﻨﻮان DCE ﺷﻨﺎﺧﺘﻪ مي شوند كه هدف آن ﻓﺮاﻫﻢ ﮐﺮدن Clocking و ﺳﺮوﯾﺲ Switching در ﺷﺒﮑﻪ ﻣﯿﺒﺎﺷد. روﺗﺮ ﻫﺎي DTE ﺑﻮﺳﯿﻠﻪ ﻟﯿﻨﮏ ﻫﺎﯾﯽ ﺑﻪ ﺷﺒﮑﻪ Frame Relay ﯾﺎ ﻫﻤﺎن DCE ﻣﺘﺼﻞ ﻣﯽ ﺷﻮﻧﺪ ﮐﻪ ﺑﻪ اﯾﻦ ﻟﯿﻨﮏ ﻫﺎ Access link ﮔﻔﺘﻪ ﻣﯽ ﺷﻮد. ﺑﺮاي اﻃﻤﯿﻨﺎن از اﯾﻨﮑﻪ ارﺗﺒﺎط ﺑﯿﻦ DTE و DCE ﺗﻮﺳﻂ اﯾﻦ ﻟﯿﻨﮏ ﻫﺎ ﺑﺮﻗﺮار ﺑﺎﺷﺪ ﺑﺴﺘﻪ ﻫﺎي ﺑﯿﻦ آﻧﻬﺎ ﺗﻮﺳﻂ ﭘﺮوﺗﮑﻞ LMI ردوﺑﺪل ﻣﯽ ﺷﻮد.

Frame Relay

اﺗﺼﺎل ﻣﻨﻄﻘﯽ از ﻃﺮﯾﻖ ﺷﺒﮑﻪ Frame Relay ﻣﺎﺑﯿﻦ دو DTE را VC ﯾﺎ ﻣﺪار ﻣﺠﺎزي ﻣﯿﻨﺎﻣﯿﻢ. اﺻﻄﻼح Virtual در اﯾﻨﺠﺎ ﺑﻪ اﯾﻦ ﻣﻌﻨﺎﺳﺖ ﮐﻪ دو DTE از ﻃﺮﯾﻖ ﺷﺒﮑﻪ Frame Relay ﺑﻪ ﻫﻢ ﻣﺘﺼﻠﻨﺪ ﻧﻪ به صورت مستقيم.

Virtual Circuit

Frame Relay برای ساختن مدارهای منطقی بین اتصالات از DLCI استفاده میکند. در واقع  این مقادیر برای هر روتر منحصر بفرد می باشد اما روی روترهای دیگر نیاز به منحصر بفرد بودن نيست.

بر خلاف LAN در Frame Relay  نمیتوان پیغام های Broadcast لایه ۱ را روی Frame Relay فرستاد. بنابر این شبکه های Frame Relay به عنوان شبکه های NBMA شناخته می شوند.

Frame Relay Virtual Circuits

همانطور که گفته شد VC یک مسیر منطقی بین دو DTE می باشد و مانند یک مدار Point-To-Point عمل می کند .ابن بدين معني است كه  هیچ مدار فیزیکی مستقیم بین دو DTE وجود ندارد بلکه یک ارتباط مجازی در اين شبكه ايفاي نقش مي كند.ضمن اينكه VC تنها برای یک نفر نیست و بین تعداد زیادی از افراد به صورت مشترک استفاده می شود.

VC در دو نوع ارائه می شود:
  •    Permanent Virtual Circuit : PVC

یک VC از پیش تعریف شده می باشد كه در صورت ارسال يا عدم ارسال اطلاعات، همیشه برقرار است  . يعني ارتباط Point-To-Point به ما ارائه می دهد. اين روش در مواقعی که ترافیک ثابت روی شبکه جريان دارد مناسب مي باشد ولي ايراد آن تحميل هزينه بيشتر براي شبكه است.

  • Switched Virtual Circuit : SVC

یک اتصال موقت بین دستگاههای DTE و شبکه Frame Relay می باشد و فقط زمانی استفاده می شود که انتقال داده ها بصورت پراکنده باشد. SVC بصورت داینامیک است و زمانی که نیاز باشد شکل می گیرد. SVC براي هر اتصال ، نياز به شروع تماس و پایان بخشیدن به آن دارند.اين روش نسبت به PVC هزينه كمتري دارد.

پهنای باند VC به دو صورت در اختیار مشتریان قرار می گیرد :
  • CIR :

با توجه به میزان پهنای باند مورد نیاز برای هر اتصال مجازی، مشتری می تواند یک مدار با مقدار پهنای باند تضمین شده را سفارش بدهد . این مقدار با نام (Committed Information Rate (CIR شناخته می شود .

  • Access Rate :

پهنای باند متغیر است که با در نظر گرفتن  ترافیک شبکه ، کم یا زیاد می شود.

توپولوژی های  شبکه Frame Relay
  • Full Mesh :

در این توپولوژی ارتباط بین DTE ها به صورت کامل برقرار است و تمام DTE ها با هم ارتباط دارند.

Mesh Topology

  • Partial Mesh :

در اين توپولوژي DTE ها با يكديگر ارتباط مستقیم ندارند . اين توپولوژي به دو دسته زیر تقسیم می شود :

Hub & Spoke : در این توپولوژی ما یک نقطه را به عنوان Hub  یا نقطه مرکزی در نظر می گیریم و از آن نقطه به نقاط ديگر ارتباط VC برقرار می کنیم. از آنجاييكه در اين روش تعداد VC ها کمتر از حالت قبل می شود ،از نظر هزينه ، راه انداز ي آن ارزانتر است ولی به اندازه ی کافی Reliable نیست.

Dual Hub & Spoke Topology

Dual Hub & Spoke : در این توپولوژی ، ما دونقطه را به عنوان نقطه مرکزی در نظر می گیریم و ازهر دو به نقاط دیگر ارتباط VC برقرار می کنیم. هزینه های این توپولوژی نسبت به Hub & Spoke بالاتر ولی از Full Mesh پایین تر است .

ادامه مطلب

معرفی شبکه های frame relay

معرفی شبکه های frame relay

Frame Relay در برهه ای از زمان محبوبترین تکنولوژی WAN محسوب می‌شد. اگر چه از این تکنولوژی در ایران توسط مخابرات هرگز استفاده نشد.

شبکه های Frame Relay یکی از انواع شبکه های Packet Switched یا همان سوئیچنگ بسته محسوب می‌شوند. Frame Relay یک شبکه با قابلیت دسترسی چندگانه (Multi-Access) است. به این معنا که بیشتر از دو وسیله امکان وصل شدن به این نوع شبکه را دارند. (بر خلاف leased lineها که در آنها تنها دو مسیریاب و هر یک در یک سمت اتصال قرار دارند) از این لحاظ یک شبکه Frame Relay مشابه یک شبکه Ethernet است. اما بر خلاف Ethernet در Frame Relay امکان ارسال همه پخشی در لایه 2 (لایه پیوند داده) وجود ندارد. به همین علت Frame Relay را یک شبکه NBMA مخفف Non Broadcast Multi Access می‌نامند.

 

به اتصال فیزیکی بین سرویس‌دهنده و مسیریاب مشتری که از نوع سریال است، Access Link گفته می‌شود.

برای اطمینان از برقراری این لینک به طور مداوم پیامهایی بین مسیریاب مشتری و سوئیچ Frame Relay سرویس دهنده رد و بدل می‌شود. فرمت این بسته های Keepalive و بسته های کنترلی دیگری که بین مسیریاب مشتری و سوئیچ رد و بدل می‌شوند توسط پروتکل LMI مخفف Local Management Interface مشخص می‌شود.

به مسیریاب سمت مشتری DTE و به سوئیچ سمت سرویس دهنده DTE گفته می‌شود.

ادامه مطلب

پروتکل امنیتی TLS

پروتکل امنیتی TLS

پروتکل امنیتی TLS

در مقالات گذشته درخصوص پروتکل های امنیتی SSL و HTTPS صحبت کردیم. یکی دیگر از پروتکل های امنیتی موجود در دنیای شبکه، TLS یا Transport Layer Security نام دارد. پروتکل TLS در لایه انتقال و نزدیک به پروتکل امنیتی SSL تعریف می‌شود تا ارتباطات شبکه را ایمن نماید. پروتکل‌های TLS و SSL معمولاً در لایه انتقال شبکه‌ ها مورد استفاده قرار می‌گیرند و در شبکه های سیار و سیمی می‌توانند پیاده سازی شوند.

وظیفه TLS ایمن نمودن تراکنش‌های ارتباطی در لایه کاربرد است. این پروتکل می‌تواند در کنار پروتکل‌های ارتباطی دیگر مانند HTTP ،FTP ،SMTP ،NNTP مورد استفاده قرار گیرد و مکانیزم‌ های در نظر گرفته شده در آن به ایجاد محرمانگی، یکپارچگی و تضمین حفظ صحت داده ها در روند انتقال کمک می‌کند.

این پروتکل تایید هویت یک‌‌طرفه یا دوطرفه را برای دسترسی رمزشده به شبکه‌ها فراهم می‌ نماید. بخش‌هایی مانند حفاظت از بسته داده، محدود نمودن و بهینه نمودن اندازه بسته و انتخاب یک الگوریتم سریع هم به استاندارد TLS افزوده شده‌است.

کیفیت ارتباط بین دو طرف بستگی به نوع الگوریتم‌های توافق شده بین آنها دارد. این توافق قبل از اجرای TLS، و با تبادل پیام بین دو طرف بوجود می‌آید.

الگوریتم و روش انتخابی شبکه، در پیام ارسالی به اطلاع کاربر می‌رسد. الگوریتم‌ها شامل، الگوریتم‌هایی می‌باشد که قرار است در محاسبه چکیده پیام(MAC) مورد استفاده قرار گیرد.

علاوه بر آن الگوریتم‌ها و روش‌های انتخابی برای رمزنگاری نیز در این پیام ارسال می‌شود.به این ترتیب کاربر متوجه می‌شود از چه نوع الگوریتم و از چه تنظیماتی در ارتباط خود با شبکه بهره ببرد. تست صحت داده در این پروتکل، توسط الگوریتم‌های عمومی تعریف شده، انجام می‌پذیرد.

این پروتکل برای محافظت از پروتکل کاربردی SIP استفاده می‌شود. پروتکل SIP، در بحثVoIP و یا تلفن مبتنی بر IP کاربرد دارد. انتقال صوت بر روی شبکه اینترنت می‌تواند نمونه‌ای از VoIP باشد.

این پروتکل امنیت انتقال داده‌ها را در اینترنت برای مقاصدی چون کار کردن با پایگاه‌های وب، پست الکترونیکی، نمابرهای اینتزنتی و پیام‌های فوری اینترنتی به کار می‌رود. برای برقراری امنیت در سرویس های اینترنتی در هر سه لایه Network ،Transport و Application امکان رمزنگاری اطلاعات وجود داشته به عنوان مثال پروتکل IP/Sec در لایه Network، پروتکل TLS در لایه Transport و پروتکل PGP در لایه Application رمزنگاری اطلاعات صورت میگیرد.

ادامه مطلب

پروتکل SSh چیست؟

پروتکل SSh چیست؟

آشنایی با پروتکل SSh

SSh مخفف کلمه Secure shell یک پروتکل امن برای ایجاد ارتباط بین Client (سرویس گیرنده) و Server (سرویس دهنده) است .SSH قبل از ارسال اطلاعات انها را در سمت کاربر (بدون دخالت کاربر) رمزگزاری کرده وبه سرویس گیرنده می فرستد. بنابراین SSH یک پروتکل است که به شما کمک می کند که به سرورتان از راه دور متصل شوید. مثلا فرض کنید یک سرور در یک کشور خارجی دارید و می خواهید آن را مدیریت کنید. برای این کار یکی از بهترین روش ها اتصال به سرور راه دور خود با استفاده از پروتکل SSH است.

شل چیست؟

SSh از لغتی به معنای سپر SHELL گرفته شده است. SHELL یک قطعه نرم افزاریست که به کاربر اجازه دسترسی مستقیم به سیستم عامل را میدهد. اکانت Shell اکانتیست که به کاربر اجازه ی دسترسی به نرم افزار شل کامپیوتری را از راه دورمیدهد. برای انجام این فرایند اکانت شل به یک پروتکل امن جهت انتقال اطلاعات نیاز دارد این پرونکل SSh نام دارد.

دسترسی به SSh

پس از نصب نرم افزار PUTTY در صفحه نخست ادرس هاست برای نمونه Parsmodir.com یا در صورتی که هاستتان با مشگل رو به روست IP را وارد نمایید Connection type را برروی SSh بگزارید و بر روی گزینه ی Open کلیک نمایید .صفحه ی مشکی برای شما باز می شود که در ان username و پسورد از شما خواسته می شود .پس از وارد کردن user و pass شما قادر خواهید بود Command های دلخواه خود را وارد کرده و تغیرات مورد نیاز را در هاست خود ایجاد نمایید.بیشترین کاربرد SSh زمانی نمایان می شود که به دلیل بروز مشکلی شما قادر به Login کردن در سی پنل (Cpanel) خود نیستید .در چنین وضعیتی تنها از طریق SSh می توانید به فایل هاینتان دسترسی پیدا کنید.

نرم افزار PUTTY

پوتی (به انگلیسی: PuTTY) یک شبیه‌ساز ترمینال، کنسول رایانه‌ای و برنامه‌ای برای انتقال فایل است که به صورت یک نرم‌افزار آزاد توسعه داده می‌شود. این برنامه از چندین پروتکل محتلف از جمله SCP، SSH، تلنت و rlogin پشتیبانی می‌کند. نام PuTTY معنی خاصی ندارد و توسط سیمون تاتام نوشته شده است. توسعه پوتی به سال ۱۹۹۸ برمی‌گردد و از اکتبر سال ۲۰۰۰ به مرحله قابل استفاده بودن به عنوان یک کلاینت SSH-2 رسید.

با اجرای نرم افزار پوتی کافی است تا IP سایت را وارد قسمت Host Name (or IP adress) کنیم.

نرم افزار پوتی

محیط نرم افزار پوتی Putty

در اینصورت پنجره بعدی پوتی باز می شود که شبیه محیط داس (CMD) است. در این پنجره باید نام کاربری و رمز و عبور را وارد کنید:

تنظیمات نرم افزار پوتی Putty

تنظیمات نرم افزار پوتی Putty

دقت کنید نام کاربری اصلی سرور های لینوکس معمولا root میباشد. نام کاربری را وارد کرده و اینتر بزنید.

روش Copy and paste کلمه عبور در پوتی

چون کلمات عبور برای بالابردن سطح امنیت سرور از حروف و کلمات بسیار پیچیده ای تشکیل می شوند که تایپ آنها عموما کاربران لینوکس را با مشکلات زیادی روبرو می سازد، خصوصا در شرایطی که شما نمی بینید چه کاراکتری اضافه شده است. اما راهکار بسیار ساده است، چرا که عمل پیست ( Paste ) در لینوکس تنها با یکبار فشردن کلید right click میسر می شود. پس کافی است شما در ویندوز خود کلمه عبور را کپی نمائید و در پیوتی در زمانی که درخواست پسورد می نماید، تنها یکبار دکمه راست موس خود را فشار دهید تا اطلاعات موجود در کلیپ بورد ( Clipboard ) شما پیست شود، حال کافی است برای ورود به سرور خود از کلید اینتر ( enter ) استفاده کنید.

ادامه مطلب