معرفی نرم‌‌افزار مدیریتی HPE OneView

نرم افزار HPE Oneview یکی از محصولات شرکت HPE است که توانسته در سال های اخیر طرفداران زیادی را به خود جلب نماید. این نرم افزار سازگاری کاملی را با محصولات HPE دارد. با استفاده از نرم‌ افزار HPE Oneview می‌توان از یک کنسول متمرکز، تمامی شبکه شامل سرورها، شبکه و تجهیزات ذخیره‌ساز را مشاهده و مانیتور کرد. این نرم‌ افزار جایگزین نرم‌ افزار HP System Insight Manager است.

تصور کنید در دیتا سنتری کار می کنید که تعداد زیادی سرور های ML،DL و همین طور Blade های کمپانی HPE وجود دارد، در این حالت برای شما بسیار سخت خواهد بود تا مدیریت یکپارچه و متمرکزی را داشته باشید. نرم افزار Oneview می تواند یک راه حل مناسب برای دیتاسنتر شما باشد تا بتوانید از یک کنسول موارد مدیریتی را به صورت یکپارچه انجام دهید.

تاریخچه نرم‌ افزار HPE Oneview:

نرم‌ افزار HPE Oneview به مدت 4 سال توسط شرکت HPE مورد بررسی قرار گرفت و این شرکت در طول این 4 سال با بیش از 150 مشتری خود در 30 مرکز داده در سراسر جهان کار کرد تا بتواند OneView را به عنوان یک پلتفرم مدیریتی برای سرورهای BladeSystem و ProLiant نسل 7 و 8 گسترش دهد. شرکت اچ پی سرانجام این نرم‌ افزار را در سال ۲۰۱۳ در کنفرانس سالانه HPE Discover معرفی کرد. به‌وسیله این نرم‌ افزار می‌توان وضعیت سلامت دستگاه‌ها را نیز مانیتور کرد و می‌توان وضعیت ارتباطی بین سرورها را نیز مانیتور کرد.

نرم‌ افزار HPE Oneview چیست؟

نرم‌‌افزار مدیریتی HPE OneView در اصل پایه و اساس زیرساخت های مبتنی بر نرم افزار یا SDN می باشد. این نرم افزار بیشتر برای مدیران شبکه طراحی شده و زیرساخت های پیچیده هیبریدی آی تی که امروزه درگیر آن هستند را به سادگی پیاده سازی کرده است. OneView از طریق هوش مصنوعی تعریف شده نرم افزاری و استفاده از یک رویکرد الگو محور برای ارائه مزایایی همچون گسترش، تأمین، بروزرسانی و ادغام زیرساخت های محاسباتی، ذخیره سازی و شبکه استفاده می شود.

این نرم افزار بر اساس یک API مدرن و مبتنی بر استاندارد طراحی شده و همچنین به کاربران خود کمک می کند تا از طریق یکپارچه سازی با اکوسیستم گسترده مدیریت شخص ثالث، خدمات و ابزارهای موجود را توسعه دهند. HPE OneView خدمات پشتیبانی ارائه نموده است که برای کالاهای استفاده شده از شرکت اچ پی در نقاط مختلف دنیا مانند:

سرورها، ذخیره سازها و راهکارهای شبکه، تضمینی برای مدیریت ساده و بصورت اتوماتیک برای زیرساخت Hybrid چه امروز و چه در آینده خواهد بود. علاوه بر این، یکپارچگی که اچ پی ای OneView با طیف وسیعی از ابزارهای مبتنی بر Cloud که برای شرکاء خود ایجاد نموده، به کسب و کارها اجازه می دهد تا هسته اصلی خود را نسبت به حجم های کاری ابری خصوصی بهتر مدیریت کنند.

ویژگی های اصلی نرم‌‌افزار مدیریتی HPE OneView:

• کنسول متمرکز برای مدیریت و اتوماتیک کردن کارهای IT در سازمان
• کاهش هزینه‌های IT
• توانایی جستجوی قوی برای یافتن سرورها
• Open source بودن این نرم‌افزار که باعث می‌شود به راحتی بتوان آن را با نرم‌افزارهای دیگر یکپارچه کرد.
• گروه‌بندی سرورها و ساختن پروفایل برای آنها
• مدیریت Blade Enclosureها و ارتباط منطقی بین سرورها
• کشیدن نقشه ارتباطی سرورها
• مدیریت Firmware یا فریمور و به‌روزرسانی آنها
• مشاهده وضعیت سلامت دستگاه‌ها
• چرخه حیات سرور را مدیریت می کند.
• ادغام Tight با محصولات HPE که باعث آسان شدن و سرعت بخشیدن می شود.
• از RESTful API پشتیبانی می کند و به یک گذرگاه یا bus پیام اجازه می دهد تا اسکریپت ها برای خودکار سازی وظایف نوشته شوند و با ابزارها و دستگاه های third-party ادغام شوند.
• امکان دسترسی به کیت های توسعه نرم افزار، Windows PowerShell و کتابخانه های Python را فراهم می کند.
• از مجازی سازی پشتیبانی می کند.
• امکان دریافت پروفایل های سرور و ایجاد قالب هایی که از طریق آنها امکان تهیه فضای ذخیره سازی، محاسبات و شبکه در آینده فراهم می شود.
• ادغام ساده با سایر ابزارهای مدیریت همگرا از جمله محصولات VMware، Microsoft و Red Hat.
• مشاهده تمام منابع مرکز داده و نحوه اتصال آنها از طریق یک صفحه
• ویژگی های رابط کاربری که مشابه برنامه های محبوب تجاری می باشد.

۵ خصوصیت اصلی HPE OneView:

1ـ داشبورد متمرکز:

همانطور که در تصویر مشاهده می کنید در این داشپورد یک نمای کلی از بخش سخت افزاری سرور را نشان می دهد که می توانید تمامی هشدارها و گزارش ها را از سرورهای موجود در شبکه را مشاهده کنید. این داشبورد این امکان را می دهد که با یک نگاه کلیه هشدارها قابل مشاهده بوده و در وقت تیم آی تی صرفه جویی می گردد.

در گذشته تنها در بررسی فیزیکی و یا وقتی که دیگر سیستم از کار افتاده متوجه آن می شدیم . اما با این نرم افزار بررسی ها بر روی سخت افزار بصورت خودکار و مداوم در حال انجام است، به همین خاطر بروز هر مشکلی در سیستم براحتی در همان لحظه قابل شناسایی می باشد.  هر نرم افزار می تواند بر روی مجموع ۱۰۲۴ سرور دسترسی نظارتی برایتان فراهم آورد، و در صورت نیاز به مدیریت دستگاه های بیشتر، کافیست آنها را به هم مرتبط کنید و یک دید کلی از تمامی دستگاه ها بدست آورید.

همچنین امکان فوق فقط برای نسل جدید سرورهای موجود در زیرساخت شبکه نمی باشد و در واقع می توانید سرورهای متعلق به یک دهه قبل را نیز رصد کنید مانند سرورهای Gen6 Rack Mount و Bladeها.

2ـ نمایش اتوماتیک هشدارها:

همانطور که گفته شد، نرم افزار OneView بصورت مداوم سرورهای شما را برای شناسایی خطاها نظارت می کند، و آن ها را در داشبورد نمایش می دهد. البته لازم به ذکر است که قابلیت iLO موجود بر روی کلیه سرورهای اچ پی یک رابط اختصاصی می باشد که مانیتورینگ را افزایش می دهد و مدیریت ایمن سرور را از راه دور امکان پذیر می کند.

شایان ذکر است که برای استفاده از امکانات بیشتر OneView نیاز به تهیه لایسنس Advanced iLO و iLO Advanved Premium می باشد. این بدان معناست که حتی قابلیت پیش بینی خرابی های قابل شناسایی موجود می باشد. این قابلیت تیم پشتیبانی HPE را فعالتر می کند تا در زمانی که مشکلات سخت افزاری وجود دارد، پیشنهاداتی موثر برای کاهش تلاش تیم های IT می دهد. آنها به آسانی درخواست تعویض یک بخش یا تعمیر بصورت حضوری را خواهند داد.

3ـ ارتباط ساده از طریق ریموت:

اگر چه داشبورد نرم‌‌افزار مدیریتی HPE OneView برای نظارت بر عملکرد سرور می باشد ولی امکان ایجاد ارتباط مستقیم با کنسول و رابط مبتنی بر وب iLO سرورها را فراهم می آورد که این یک اتصال واحد برای ارائه خدمات به شما می باشد و امکان مدیریت و تعامل با تمامی سرورها از طریق ورود به یک سیستم واحد برای جلوگیری از اتصال جداگانه به هر دستگاه را بوجود می آورد. این امر مزایایی مانند صرفه جویی در زمان برای شما به دنبال دارد، همچنین تجربه کاربری را ارتقاء می دهد و اجازه ایجاد ارتباط ایمن به سرور ها برای تمامی افراد را فراهم می آورد.

ویژگی های امنیتی قابل تنظیم می باشد و امکان مدیریت دسترسی کاربران به منابعی که مورد نیازشان می باشد موجود است. این رابط تکی برای دسترسی ریموت بسیار کاربردی می باشد، به ویژه در این روزها که بیشتر تمایل به دور کاری و دسترسی به سیستم ها از خارج از محیط کار رو به افزایش است وحتی شاید یک ضرورت می باشد.

4ـ گزارش و بهره وری بالاتر:

در برنامه OneView اچ پی ای تمامی اطلاعات مرتبط و پیکربندی سرورها را در یک مکان نگهداری می کند. چنین گزینه ای یک مزیت می باشد و باعث صرفه جویی در وقت می گردد، به عنوان مثال، هنگامی که می خواهید دسترسی سریع به جزئیات سخت افزار خود داشته باشد. می توانید در صورت نیاز به رسیدگی، گزارشات عمومی یا مدیریت چرخه عمر، گزارشات مرتبط با لیست موجودی و انطباق را استفاده کنید که از مزیتهای آن انطباق Firmware می باشد.

همچنین آپشن های رایگان بر روی HPE OneView Global Dashboard که کاملاً ادغام شده و گزارش های اضافی مانند ضمانت نامه و جزئیات قرارداد پشتیبانی و اطلاعات موجود به موارد پشتیبانی در دسترس مدیر IT می باشد.

5ـ طراحی دیتا سنتر:

یکی دیگر از کاربردهای داشبورد HPE OneView سازماندهی زیرساخت های شبکه است. به این ترتیب که می توانید نحوه قرارگیری رک ها را طراحی کنید. نمایش آماری که بصورت گرافیکی طراحی شده نمایش این گونه هشدارها را بسیار ساده کرده است بصورتی که نشان می دهد که سرور ها کجا نصب شده اند و به تیم های پشتیبانی، در صورت حضور در سایت، ارجاع داده می شود. هنگام بروز مشکل در مرکز داده دقیقا بخشی که در آن خطا رخ داده است را به مهندسین IT نشان داده و به آن مکان هدایت می کند. با رشد و تکامل دیتاسنتر، براحتی بروز رسانی می شود و اطلاعات واقعی و در لحظه از زیرساخت سرورها در اختیارتان می گذارد.

همچنین براحتی می توانید از تعداد دستگاه های سرور موجود در شبکه مطلع شده، نظارت کامل بر سلامت آنها، اطلاع از بروز خطاها و هشدارها و گزارش های مورد نیاز خود دسترسی داشته باشید، که اینها همه بدون نیاز به صرف هزینه اضافه، برای زیر ساخت های موجود از سرورهای نسل ۶ تا نسل ۱۰ داخل Rack و Blade را پوشش می دهد.

افزایش عملکرد با استفاده از نرم‌‌افزار مدیریتی HPE OneView:

نرم‌‌افزار مدیریتی HPE OneView با ایجاد سادگی در انجام کارها، سرعت ارائه خدمات آی تی را افزایش داده و از آنجایی‌که دارای هوش نرم‌افزارمحور است، می‌تواند سطح جدیدی از اتوماسیون را برای مدیریت زیرساخت شما فراهم کند. از طرفی دیگر HPE OneView از طریق راهکارهای نرم‌افزارمحور و مبنی بر تمپلیت، از بروز Downtimeها جلوگیری می‌کند به طوری که ۶۸ درصد زمان Downtime کمتر، ۶۳ درصد زمان پیاده‌سازی سروری سریع‌تر و ۴۶ درصد زمان پیاده‌سازی استوریجی سریع‌تری را فراهم کرد.

همچنین با استفاده از این نرم افزار پیکربندی VLAN و سرور ESXi جدید، تا ۹۰ درصد سریع‌تر انجام می‌شود. در دیتاسنترهایی که تعداد دیوایس‌های آنها زیاد است و به مدیریت شبانه‌روزی، حداکثر Uptime و مدیریت زیرساخت برای پوشش دادن سرورها، استوریج و شبکه‌بندی نیاز دارند، مناسب است.

 HPE OneView دارای ویژگی‌های زیر است:

1. Converged: مدیریت محاسبه، استوریج و شبکه‌بندی را انجام می‌دهد و باعث کاهش ۵۰ درصدی در استفاده از ابزارهای یادگیری، مدیریتی، اجرا و یکپارچگی می‌شود.
2. نرم‌افزارمحور: با استفاده از بهترین حالت در تمپلیت‌ها زیرساخت را در مسیر درستی پیاده‌سازی و مدیریت می‌کند.
3. خودکار: از رابط‌های کاربری برنامه‌نویسی اپلیکیشن در HPE OneView Rest استفاده می‌کند تا کلاسترینگ VMware vSphere را تنها در ۵ مرحله ساده انجام دهد و HPE OneView به عنوان مرکز اتوماسیون، انترپرایز شما را قدرتمند می‌کند.

استفاده از این نرم افزار باعث می‌شود Migration یا مهاجرت، ۵ برابر سریع‌تر؛ راه اندازی و پیکربندی سرورها ۹ برابر سریع‌تر؛ و تنظیم شبکه ۲۴ برابر سریع‌تر انجام گیرد که انقلابی بزرگ در زمینه نرم‌افزارهای مدیریتی بشمار می‌رود و به جرات می‌توان گفت شرکت‌های مشابه، از چنین نرم افزاری بی‌بهره‌اند.

همراه با سرورهای نسل ۱۰ اچ پی، نسخه جدید HPE OneView 3.1 نیز ارایه شده است که بر موضوع نرم‌افزارمحوری تاکید بیشتری دارد و اچ پی وعده انتشار نسخه HPE OneView 4.0 را برای دانلود و نصب، تا پایان سال ۲۰۱۷ داده بود و هم اکنون در بازار عرضه شده است. در نسخه HPE OneView 4.0 کنسول نرم‌افزار، بهینه‌تر شده و این نرم‌افزار که برای مدیریت زیرساخت همگرا استفاده می‌شود، در نسخه جدید، مواردی شامل بهینه‌سازی امنیت، اضافه کردن ICMهای سرور Synergy و تغییر در مدیریت فریمورها است. این نسخه در محصولات زیر قابل استفاده است:

• HPE Synergy
• HPE 3PAR
• HPE ProLiant BL, DL and ML
• HPE Apollo
• HPE Superdome X servers

آخرین نسخه ورژن ۴ این نرم افزار یعنی HPE OneView 4.20.03 در آوریل ۲۰۲۰ روانه بازار شد. نسخه ۵ یعنی HPE OneView 5.0 در آگوست ۲۰۱۹ عرضه شد و تا این لحظه، هشتمین نسخه این نرم افزار یعنی HPE OneView 5.5 در نوامبر ۲۰۲۰ منتشر شده است.

منبع : معرفی نرم‌‌افزار مدیریتی HPE OneView 

پروتکل اینترنت IP چیست

آدرس IP چیست؟ آدرس IP رشته ای از اعداد است که با نقطه از هم جدا شده اند. آدرس‌های IP به صورت مجموعه‌ای از چهار عدد 8 بیتی بیان می‌شوند . به عنوان مثال آدرس 192.158.1.38 یک ادرس IP  است. هر عدد در مجموعه می تواند از 0 تا 255 باشد. بنابراین، محدوده آدرس دهی IP کامل از 0.0.0.0 تا 255.255.255.255 می رود.

آدرس های IP تصادفی نیستند. آنها به صورت ریاضی توسط Internet Assigned Numbers Authority (IANA)، یک بخش از شرکت اینترنتی ICANN هستند. ICANN یک سازمان غیرانتفاعی است که در سال 1998 در ایالات متحده تاسیس شد تا به حفظ امنیت اینترنت کمک کند و امکان استفاده از آن برای همه را فراهم کند. هر بار که هر کسی دامنه ای را در اینترنت ثبت می کند، از یک domain name registrar می گذرد، که برای ثبت دامنه هزینه کمی به ICANN می پردازد.

آدرس های IP (پروتکل اینترنت) برای شناسایی دستگاه های سخت افزاری در شبکه استفاده می شود. آدرس‌ها به این دستگاه‌ها اجازه می‌دهند به یکدیگر متصل شوند و داده‌ها را در یک شبکه محلی یا از طریق اینترنت انتقال دهند. هنگام اتصال به اینترنت، آدرس IP به کامپیوتر ها امکان ارسال و دریافت اطلاعات را می دهد.

آدرس IP چیست و چگونه کار می کنند؟

پروتکل اینترنت(IP) مانند هر زبان دیگری با برقراری ارتباط با استفاده از دستورالعمل های تنظیم شده برای انتقال اطلاعات کار می کند. همه دستگاه‌ها با استفاده از این پروتکل اطلاعات را با سایر دستگاه‌های متصل پیدا، ارسال و تبادل می‌کنند. با صحبت کردن به یک زبان، هر کامپیوتری در هر مکانی می تواند با کامپیوتر دیگر صحبت کند.

انواع آدرس IP:

چهار نوع مختلف آدرس IP وجود دارد: عمومی، خصوصی، ایستا و پویا. که در ادامه به توضیح هر کدام خواهیم پرداخت:

ـ آدرس های IP (Consumer) مصرف کننده:

هر فرد یا کسب و کاری دو نوع آدرس IP خواهد داشت: آدرس IP خصوصی و آدرس IP عمومی. اصطلاحات عمومی و خصوصی مربوط به مکان شبکه است – یعنی یک آدرس IP خصوصی در داخل یک شبکه استفاده می شود، در حالی که یک آدرس عمومی در خارج از یک شبکه استفاده می شود.

ـ آدرس های IP خصوصی:

هر دستگاهی که به شبکه اینترنت شما متصل می شود یک آدرس IP خصوصی دارد. این شامل کامپیوتر ها، آی پی فون ها ، پرینتر ها، لپ تاپ ها و هر دستگاه دیگری که به شبکه متصل است می‌شود. با رشد روزافزون اینترنت اشیا (IOT)، حتی تعداد آدرس های IP خصوصی که در خانه دارید نیز احتمالاً در حال افزایش است. روتر شما به راهی برای شناسایی این موارد به طور جداگانه نیاز دارد. بنابراین، روتر شما آدرس‌های IP خصوصی را تولید می‌کند که شناسه‌های منحصر به‌ فردی برای هر دستگاهی هستند که آنها را در شبکه متمایز می‌کند.

ـ آدرس های IP عمومی:

آدرس IP عمومی آدرس اصلی مرتبط با کل شبکه شما است. در حالی که هر دستگاه متصل آدرس IP مخصوص به خود را دارد، آنها همچنین در آدرس IP اصلی شبکه شما قرار دارند. آدرس IP عمومی شما توسط ISP شما به روتر شما ارائه می شود. به طور معمول، ISP ها دارای یک مجموعه بزرگ از آدرس های IP هستند که آنها را بین مشتریان خود توزیع می کنند. آدرس IP عمومی شما آدرسی است که تمام دستگاه های خارج از شبکه اینترنتی شما از آن برای شناسایی شبکه شما استفاده می کنند.

ـ آدرس های IP پویا (Dynamic):

 آدرس های  IP پویا توسط یک سرور پروتکل پیکربندی میزبان پویا (DHCP) اختصاص داده شده است و ممکن است تغییر کنند. آدرس های IP پویا رایج ترین نوع آدرس های IP هستند. آدرس های IP پویا فقط برای مدت زمان مشخصی فعال هستند و پس از آن منقضی می شوند. کامپیوتر شما به طور خودکار درخواست اجاره (lease) دوباره می کند یا ممکن است کامپیوتر یک آدرس IP جدید دریافت کند.

ـ آدرس های IP استاتیک(Static):

یک آدرس IP ثابت آدرسی است که به صورت دستی ایجاد شده است، برخلاف آدرس‌های IP پویا، آدرس‌های استاتیک ثابت می‌مانند. هنگامی که شبکه یک آدرس IP اختصاص می دهد، همان آدرس باقی می ماند.

چگونه آدرس IP خود را پیدا کنم؟

اگر کامپیوتر شما هم به شبکه محلی و هم به اینترنت متصل باشد، دو آدرس IP خواهد داشت. شما یک آدرس IP خصوصی به صورت محلی و یک آدرس IP عمومی در اینترنت خواهید داشت. یک آدرس IP خصوصی برای اتصال کامپیوتر یا دستگاه شما به شبکه خانگی یا تجاری شما استفاده می شود. این آدرس معمولاً توسط روتر شبکه شما اختصاص داده می شود.

آدرس‌های IP خصوصی در محدوده ی خاصی هستند. نمونه ای از آدرس IP خصوصی 192.168.1.1 است. آدرس‌های IP خصوصی شامل سه کلاس A،B،C و(DوE) است.

چند راه برای کشف آدرس IP خصوصی شما وجود دارد. به عنوان مثال، در ویندوز می توانید در خط فرمان (CMD) عبارت ipconfig را تایپ کنید. کاربران مک می توانند دستور ifconfig را در برنامه ترمینال (Terminal) تایپ کنند. با این کار شما می توانید آدرس IP خصوصی خود را بیاید.

آدرس IP عمومی شما برای اتصال شبکه خانه یا محل کار شما به اینترنت استفاده می شود. این آدرس توسط ارائه دهنده خدمات اینترنتی (ISP) شما اختصاص داده شده است. برای پیدا کردن آدرس IP عمومی خود، به سادگی می توانید با تایپ عبارت What Is My IP در مرورگر وب خود،آدرس IP عمومی و سایر اطلاعات خود را مشاهده کنید.

اگر وب سایت وردپرسی دارید، یک آدرس IP عمومی نیز خواهد داشت. می توانید آدرس آن را با مراجعه به ارائه دهنده هاست خود یا بررسی ایمیلی که هنگام ثبت نام برای شما ارسال کرده است، بیاموزید.

از طرف دیگر، می توانید از ابزار  ns lookup استفاده کنید. درخط فرمان (CMD) عبارت:

  nslookup (وب سایت مورد نظر URL)

به عنوان مثال:

 nslookup www.google.com

آدرس IP وب سایت مورد نظر را نشان می دهد.

آدرس های IP و نام های دامنه(Domain Names):

انسان ها با نام راحت ترند تا اعداد. به خاطر سپردن نام دامنه ای مانند www.mrshabake.com آسان تر از لیست طولانی اعدادی مانند 192.124.249.166 است. Domain Name System (DNS) مانند یک دفترچه تلفن است. هنگامی که نام دامنه ای مانند www.mrshabake.com را تایپ می کنید، به طور خودکار شماره، آدرس IP را جستجو می کند و شما را به وب سایت متصل می کند.

نکته جالب این است که سایت وردپرس شما آدرس IP خود را نمی داند، فقط URL را می داند. این امر تغییر به یک ارائه دهنده هاست جدید را آسان تر می کند، جایی که URL وب سایت شما احتمالاً تغییر می کند.

پروتکل های IPv4 و IPv6:

پروتکل اصلی اینترنت IPv4 است. همانطور که دیدیم، آدرس IP را به عنوان یک عدد 32 بیتی مانند 506.457.14.512 تعریف می کند. که تنها برای حدود 4 میلیارد آدرس IP  قابل استفاده است و این برای استفاده مداوم کافی نیست. IPv6 پروتکل جدیدی است که در سال 1998 معرفی شد. استقرار آن در اواسط دهه 2000 آغاز شد و ادامه دارد. وقتی What Is My IP را سرچ می کنید، می توانید متوجه می شوید که آیا یک آدرس IPv6 نیز به شما اختصاص داده شده است یا خیر.

پروتکلIPv6  از آدرس های IP  128 بیتی استفاده می کند به عنوان مثال  2001:db8::8a2e:370:7334 یک IPv6 است. این بدان معناست که IPv6 قادر به ارائه حدود 340 تریلیون تریلیون تریلیون آدرس IP است. این برای پاسخگویی به نیاز روزافزون به آدرس‌های IP برای وب‌سایت‌ها، سیستم ها، گوشی‌های هوشمند، ساعت‌های هوشمند و یخچال‌های هوشمند برای سال‌های آینده بیش از اندازه کافی است.

راه های محافظت و پنهان کردن آدرس IP:

مخفی کردن آدرس IP شما راهی برای محافظت از اطلاعات شخصی و هویت آنلاین شما است. دو روش اصلی برای مخفی کردن آدرس IP شما عبارتند از:

1. استفاده از پروکسی سرور
2. استفاده از شبکه خصوصی مجازی (VPN)

یک پروکسی سرور یک سرور واسطه است که ترافیک شما از طریق آن هدایت می شود:

به این صورت که سرورهای اینترنتی که بازدید می کنید فقط آدرس IP آن پروکسی سرور را می بینند و آدرس IP شما را نمی بینند. هنگامی که آن سرورها اطلاعاتی را برای شما ارسال می کنند، به پروکسی سرور می رود و سپس پروکسی سرور، آن را به سمت شما هدایت می کند.

یک اشکال سرورهای پروکسی این است که برخی از سرویس ها می توانند از شما جاسوسی کنند ، بنابراین باید به آن اعتماد کنید. بسته به اینکه از کدام یک استفاده می کنید، آنها همچنین می توانند تبلیغات را در مرورگر شما درج کنند.

VPN راه حل بهتری ارائه می دهد:

هنگامی که کامپیوتر – یا تلفن هوشمند یا لپ تاپ خود را به یک VPN متصل می کنید، دستگاه طوری عمل می کند که گویی در همان شبکه محلی VPN قرار دارد. تمام ترافیک شبکه شما از طریق یک اتصال امن به VPN ارسال می شود. از آنجایی که کامپیوتر شما طوری رفتار می کند که گویی در شبکه است، می توانید به طور ایمن به منابع شبکه محلی دسترسی داشته باشید حتی زمانی که در کشور دیگری هستید. همچنین می‌توانید از اینترنت به‌گونه‌ای استفاده کنید که گویی در مکان VPN حضور دارید.

منبع : پروتکل اینترنت IP چیست

VLAN چیست؛ آموزش VLANing در سوئیچ سیسکو

VLAN چیست؟

VLAN مخفف Virtual Local Area Network در واقع یک LAN مجازی است که شامل مجموعه ای از پورت های یک سوئیچ شبکه یا تعدادی سوئیچ می باشد که از لحاظه منطقی در یک Broadcast Domain مستقل قرار دارند. بنابراین هدف از ایجاد VLANها، جدا کردن محدوده Broadcast Domain ها می باشد. در واقع اگر بخواهیم Broadcast گروهی از PC ها را به گروهی دیگر در LAN و در سوئیچ و یا سوئیچ های لایه 2 محدود کنیم، باید از VLAN ها استفاده نماییم.

البته VLAN بندی محدود به شبکه‌های محلی و سوییچ‌ها نیست و این امکان وجود دارد که شبکه‌های بزرگ‌تر مجازی را نیز با هدف مدیریت دقیق ترافیک به گروه‌های منطقی مختلفی تقسیم کرد. این مکانیزم گروه‌بندی که VXLAN به معنای شبکه محلی گسترش‌پذیر مجازی نام دارد منعطف‌تر از VLAN است، زیرا با محدودیت ۴۰۹۶ زیرشبکه روبرو نیست و سرپرست شبکه می‌تواند به هر تعدادی که نیاز دارد شبکه منطقی مجازی پیاده‌سازی کند.

انواع VLAN: 

ـ end to end vlan: در این حالت اعضای هر VLAN در سرتاسر شبکه پراکنده هستند. این حالت برای اشتراک منابع و اعمال سیاست ها و پراکندگی میزبان مورد استفاده قرار می گیرد. در این حالت خطایابی پیچیده تر می باشد چون ترافیک VLANهای مختلف در سراسر شبکه در حال انتقال است.

ـ local vlan: در این حالت میزبان ها براساس موقعیت فیزیکی خود در VLANها قرار می گیرند.به طور مثال یک طبقه از یک ساختمان این طراحی مقیاس پذیرتر و خطایابی در ان ساده تر می باشد چون نحوی جریان ترافیک مشخص است. برای اشتراک منابع در این روش نیاز routing داریم.

روش های عضویت در VLAN: 

عضویت در VLAN به طریق ایستا (Static) و پویا (Dynamic) صورت می گیرد:

• Static VLAN: به عنوان VLAN مبتنی بر پورت یا port-based معرفی می شود. وظایف استاتیک VLAN با اختصاص پورت به VLAN ایجاد می شود. با ورود یک دستگاه به شبکه، آن دستگاه بطور خودکار عضو VLAN پورت فرض می شود. اگر کاربر پورت ها را تغییر دهد و نیاز داشته باشد به همان VLAN دسترسی پیدا کند، سرپرست شبکه باید برای اتصال جدید تعریف پورت به VLAN را انجام دهد.

• Dynamic VLAN: با استفاده از نرم افزار یا بصورت پروتکل ایجاد می شوند. با یک VLAN Management Policy Server (VMPS)، یک مدیر می تواند پورت های سوئیچ را به VLAN بر اساس اطلاعاتی نظیر MAC Address دستگاه متصل شده به پورت یا نام کاربری مورد استفاده جهت لاگین شده به آن دستگاه تعیین کند. با ورود دستگاه به شبکه، سوئیچ از یک پایگاه داده برای عضویت VLAN به پورتی که دستگاه به آن متصل شده است، بررسی های لازم را انجام می دهد. متدهای پروتکل شامل Multiple VLAN Registration Protocol (MVRP) و تا حدودی روش منسوخ شده GARP VLAN Registration Protocol (GVRP) می باشد.

Broadcast Domain چیست؟

یک شبکه کاملاً لایه 2 به یک شبکه Flat یا Flat Network Topology معروف است. در این شبکه از یک رنج آدرس استفاده می شود. پس این شبکه فاقد Subnet های مختلف بوده و به طبع آن بین قسمت های مختلف Routing صورت نمی گیرد. پیام Braodcast یک دستگاه به همه نودهای در شبکه می رسد. این مدل برای شبکه های بزرگ و متوسط پیشنهاد نمی شود. در شبکه های متوسط و بزرگ که بیشتر از 100 کامپیوتر دارند، توصیه می شود تا توسط ایجاد VLAN شبکه را به شبکه های کوچکتری تبدیل کنیم که به هر یک از این ناحیه ها اصطلاحاً یک Broadcast Domain می گویند.

VLAN تفکیک کننده Broadcast Domain در شبکه و متشکل از گروهی از دستگاه ها است که در لایه 2 به یکدیگر متصل اند و می توانند در لایه دو MAC و فریم های همدیگر را ببینند. هر VLAN کاملا مجزا و توسط روتر یا یک سوئیچ لایه 3، در نقاطی نظیر VLAN Core ها به یکدیگر Route می شوند تا بتوانند با یکدیگر ارتباط برقرار کنند، اما در عین حال Broadcast های آنها به یکدیگر نمی رسد.

به وسیله ایجاد VLAN، می توان شبکه ای کاملاً مستقل ایجاد کرد که Broadcast Domain خود را داشته باشد و فریم ها تنها داخل خود VLAN رد و بدل شوند. ترافیک به گونه ای تفکیک خواهد شد که گویی شبکه ای مجزا با کابل و سوئیچ مستقل، یک LAN جداگانه ای را تشکیل داده است.

کافیست در سوئیچ، پورت ها را به شماره VLAN مورد نظر ربط دهیم. مثلا شبکه 300 کامپیوتری خود را به سه VLAN هر یک حاوی 100 دستگاه با آدرس شبکه مجزای 25/ تقسیم می کنیم.

Subnet mask:255.255.255.128=/25 (128 IP Addresses)

مزایای VLAN بندی شبکه:

به‌طور معمول سازمان‌ها و شرکت‌های بزرگ به دلایل زیر از شبکه‌های محلی مجازی یا VLAN استفاده می‌کنند:

• شبکه VLAN می‌تواند تعداد دامنه‌های پخشی را زیاد کند.
• شبکه VLAN ریسک‌ امنیتی را با کاهش تعداد میزبان‌هایی که یک کپی از فریم‌هایی سوییچ دریافت می‌کنند را کاهش می‌دهد که در عمل شانس پیاده‌سازی موفقیت‌آمیز حمله‌های DDoS بر علیه شبکه سازمانی را کم می‌کند.
• امکان ایزوله‌سازی میزبان‌هایی که اطلاعات حساسی را نگه‌داری می‌کنند فراهم می‌شود. به‌طوری که می‌توان این میزبان‌ها را روی شبکه VLAN خاصی قرار داد.
• گروه‌بندی کاربران وابسته به موقعیت مکانی نیست و می‌توان بر مبنای نقش و واحدی که مشغول به کار در آن هستند گروه‌بندی را انجام داد. به‌طور مثال، کارمندان حسابداری را در یک گروه منطقی و کارمندان کارگزینی را در گروه دیگری قرار داد.

معایب VLAN بندی شبکه: 

• اگر VLAN بندی به درستی صورت نگیرید یک بسته می تواند از یک VLAN به دیگری نشت کند.
• بسته اطلاعاتی ممکن است منجر به حمله سایبری شود.
• داده ها ممکن است یک ویروس را از طریق یک شبکه منطقی کامل منتقل کند.
• برای کنترل حجم کار در شبکه های بزرگ به یک روتر اضافی نیاز دارید.
• در زمینه همکاری با مدیران شبکه و عوض کردن متخصصین شبکه در زمان‌های مختلف با مشکلاتی زیادی روبرو خواهید شد.
• یک VLAN نمی تواند ترافیک شبکه را به سایر VLANها ارسال کند.

مقایسه VLAN و Subnet:

Subnet یا زیر شبکه به فرآیند تقسیم یک شبکه بزرگ به چند شبکه کوچک گفته می شود که هدف از این کار کاهش ترافیک شبکه، بهبود عملکرد، بهینه‌سازی و مدیریت ساده‌تر شبکه است. بزرگ‌ترین مشکلی که روش subnet دارد این است که فرآیند مسیریابی را پیچیده‌تر می‌کند. اصلی‌ترین دلیل که باعث می‌شود سازمان‌ها از رویکرد زیرشبکه‌سازی استفاده کنند به‌کارگیری بهینه آدرس‌های IP است که خود مقوله مفصل و پیچیده‌ای است. حال بریم سراغ تفاوتی که VLAN با Subnet دارد:

• VLAN قابلیت تفکیک Subnet را فراهم می‌کند، به‌طوری که امکان تخصیص دستگاه‌های محدود به Subnet وجود دارد.
• یک Subnet را می‌توان به یک VLAN اختصاص داد. البته این امکان وجود دارد که بیش از یک Subnet را به یک VLAN تخصیص داد، اما رویکرد فوق پیچیدگی طراحی را بیش از اندازه زیاد می‌کند.
• هنگامی که قصد استفاده از فناوری‌هایی نظیر MPLS را داریم، به‌کارگیری Subnet های بیشتر بهتر از VLAN است، زیرا MPLS برای بهبود عملکرد و افزایش سرعت میان‌برهایی میان آدرس‌های آی‌پی Subnet ها ایجاد می‌کند.
• VLANها هنگامی که می خواهیم در محدوده گسترده‌ای ارتباط میان چند ساختمان را با یکدیگر برقرار کنیم (به‌طور مثال در محیط‌های دانشگاهی) عملکرد بسیار خوبی دارد.

 VLAN ID چیست؟

هر VLAN یک شماره یا اصطلاحاً VLAN ID دارد و به وسیله آن شماره صدا زده می شود. حتی می توان به آن نامی اختصاص داد. در کل می توان به تعداد 2 به توان 12 یعنی 4096 عدد VLAN بر روی یک سوئیچ تعریف نمود که به صورت ویژه از4096 عدد از 4096 تا از VLAN ها استفاده می شود و دو VLAN یعنی 0 و 4096 که برای سیستم فقط استفاده می شوند و رزور شده اند شما نمی توانید این VLAN ها را ببینید یا از آنها استفاده کنید.

VLAN ها به سه دسته تقسیم می شوند:

• VLAN های رنج نرمال یا استاندارد با VLAN ID بین 1 تا 1005 که از VLAN 1 به Native VLAN یا VLAN Default اختصاص داده شده است و VLAN های 1002 تا 1005 نیز برای FDDI و Token ring از پیش رزرو شده اند. توجه داشته باشید که می توانید از VLAN 1 استفاده کنید ولی قادر به حذف آن نیستید، به علاوه شما نمی توانید VLAN های 1002 تا 1005 را نیز حذف کنید.
• VLAN های Extended با VLAN ID بین 1006 تا 4096
• VLAN های بدون VLAN ID

فرآیند ارسال اطلاعات در VLAN :

هنگامی که یک شبکه محلی مجازی را پیاده سازی می‌کنید، تمامی فریم‌های منتشر شده توسط کلاینت‌های عضو یک VLAN تنها بین پورت‌های همان شبکه محلی مجازی توزیع می‌شود، بنابراین پهنای باندی که تجهیزات عضو یک گروه منطقی دریافت می‌کنند محدود به ظرفیتی است که گروه دریافت می‌کند. این کار یک مزیت مهم دارد که مانع از آن می‌شود تا کلاینتی بیش از اندازه از پهنای باند شبکه استفاده کند و علاوه بر این شناسایی تجهیزات شبکه ای که پهنای باند شبکه را زیاد مصرف‌ می‌کنند ساده خواهد بود.

عملکرد شبکه محلی مجازی شباهت زیادی به شبکه محلی فیزیکی دارد، اما به میزبان‌ها اجازه می‌دهد در حوزه پخشی یکسانی با یکدیگر گروه‌بندی شوند، حتا اگر به سوییچ‌های یکسانی متصل نشده باشند. در شکل زیر توپولوژی شبکه‌ای را مشاهده می‌کنید که میزبان‌ها درون شبکه محلی واحدی قرار دارند. در تصویر زیر هنگامی که پیامی از نوع فراگیر (Broadcast) از میزبان A ارسال می‌شود، تمامی دستگاه‌ها آن‌را دریافت می‌کنند. اگر به مسیر فلش‌ها دقت کنید مشاهده می‌کند که پیام‌ها توسط دستگاه‌های دیگر نیز دریافت می‌شود.

حذف VLAN در سوئیچ سیسکو:

یکی از مشکلاتی که برخی سرپرستان شبکه هنگام کار با سوییچ های سیسکو و به ویژه VLAN روبرو هستند، نحوه حذف تنظیمات ذخیره شده در startup configuration و نحوه حذف تنظیمات VLAN در سوئیچ سیسکو است که دو مقوله جدا از هم هستند.

توجه کنید با حذف startup configuration، تمامی پورت‌های سوئیچ که عضو VLANهای دیگری هستند از شبکه‌های محلی مجازی حذف می‌شوند و به VLAN پیش‌فرض خود سوئیچ انتقال پیدا می‌کنند، اما خود VLANهای ساخته حذف نمی‌شوند و باید به شکل دستی آن‌ها را حذف کنید.

اطلاعات VLAN در یک فایل به‌نام vlan.dat ذخیره می‌شوند که محل آن در حافظه Flash سوئیچ است. اگر دستور show flash را در وضعیت privilege اجرا کنید، این فایل را مشاهده می‌ کنید. البته دقت کنید این اطلاعات تنها زمانی نشان داده می‌ شوند که روی سوئیچ یک VLAN ساخته باشید، در غیر این صورت اطلاعات عادی سوییچ نشان داده می‌شوند.

به‌طور مثال، فرض کنید یک سوئیچ دست دوم خریداری کرده‌اید و قبل از استفاده از این سوئیچ در شبکه خود، قصد دارید همه تنظیمات سوییچ که شامل vlanهای ساخته شده در سوییچ می‌شوند را حذف کنید. انجام این‌کار فرایند ساده‌ای است و تنها کاری که باید انجام دهید حذف تنظیمات ذخیره شده در startup-configuration و راه اندازی سوئیچ است.

دستور حذف vlan در سیسکو دستور زیر است که باید در وضعیت privilege آن را اجرا کنید:

Switch#erase startup-config

با اجرای این دستور، پیغامی مبنی بر حذف پیکربندی‌ها نشان داده می‌شود که باید کلید اینتر را فشار دهید. لازم به توضیح است که برای این‌منظور ios سوییچ نیز حذف می‌‌شود.

?Erasing the nvram filesystem will remove all configuration files! Continue

[confirm]

[OK]

Erase of nvram: complete

همان‌گونه که مشاهده می‌کنید تمامی تنظیمات از nvram حذف شدند، با این‌حال در runing-config این تنظیمات در حافظه فعال وجود دارند. تنها کاری که باید انجام دهید راه‌اندازی سوییچ است تا همه چیز پاک شود. برای این‌کار دستور reload را اجرا کنید تا سوئیچ ریستارت شود.

Switch#reload

اکنون زمان آن رسیده تا شبکه‌های محلی ساخته شده را حذف کنیم، اگر دستور زیر را اجرا کنید، مشاهده می‌کنید که شبکه‌های محلی مجازی روی سوییچ وجود دارند.

Switch#show vlan brief

هنگامی که مراحل بالا را اجرا کنید، مشاهده می‌کنید که پورتی مرتبط با شبکه‌های محلی مجازی نیست، اما شبکه‌های محلی مجازی حذف نشده‌اند. با اجرای دستور show vlan brief، تعداد شبکه‌های محلی مجازی پیکربندی شده روی سوییچ را مشاهده می‌کنید. همان‌گونه که اشاره کردیم، این شبکه‌های محلی مجازی در فایلی به‌نام vlan.dat که در فلش است ذخیره می‌شود. اکنون کافی است دستور show flash را اجرا کنید.

:Switch#show flash

/:Directory of flash

rw-     4414921            c2960-lanbase-mz.122-25.FX.bin-

rw-         616            vlan.dat-

۶۴۰۱۶۳۸۴ bytes total (59600847 bytes free)

شما می‌توانید این فایل از حافظه flash سوئیچ حذف و سوئیچ را reload کنید تا vlan ها حذف شوند. برای این منظور از دستور زیر استفاده کنید.

Switch#delete vlan.dat

با اجرای دستور فوق، دو پیغام تایید حذف زیر را تایید کنید تا فایل vlan.dat حذف شود.

?Delete filename [vlan.dat]

Delete flash:/vlan.dat? [confirm]

اگر یکبار دیگر دستور Show flash را اجرا کنید، مشاهده می‌کنید که دیگر فایل vlan.dat وجود ندارد.

Switch#sh flash

:/Directory of flash

rw-     4414921            c2960-lanbase-mz.122-25.FX.bin-

۶۴۰۱۶۳۸۴ bytes total (59601463 bytes free)

در نهایت دستور reload را اجرا کنید تا سوئیچ راه‌اندازی شود. بعد از بارگذاری کامل میان‌افزار اگر یکبار دیگر دستور show vlan brief را اجرا کنید، مشاهده خواهید کرد که تمامی vlan ها حذف شده‌اند.

حذف یک پورت از VLAN در سوئیچ:

فرض کنید قصد داریم پورت ۱۱ از VLAN 4 که روی سوییچ (Device-A) نشان داده شده در شکل زیر قرار دارد را حذف کنیم.

این کار در چهار مرحله به شرح زیر انجام می‌شود:

1ـ با وارد کردن دستورات زیر به حالت پیکربندی سراسری در سوییچ دسترسی پیدا کنید.

device-A> enable

…No password has been assigned yet

device-A# configure terminal

device-A(config)#

2ـ با وارد کردن دستور زیر به سطح cli برای پیکربندی vlan 4 مبتنی بر پورت مذکور دسترسی پیدا کنید.

device-A(config)# vlan 4

3ـ دستور زیر را برای حذف پورت ۱۱ از vlan 4 وارد می کنیم.

device-A(config-vlan-4)# no untagged ethernet 11

deleted port ethernet 11 from port-vlan 4

4ـ دستورات زیر را برای خروج از حالت پیکربندی vlan و ذخیره پیکربندی در فایل پیکربندی سیستم اجرا می‌کنیم.

device-A(config-vlan-4)# end

device-A# write memory

VLANs IEEE 802.1Q چیست؟

پروتکل 802.1Q از quality of service (QoS) و Virtual LAN (VLAN) در هنگام حرکت ترافیک در شبکه اترنت پشتیبانی می کند. پروتکل 802.1Q یکی از پروتکل های برچسب گذاری(تگ گذاری) VLAN است که توسط سوئیچ های سیسکو پشتیبانی می شود. این استاندارد توسط موسسه مهندسان برق و الکترونیک (IEEE) ایجاد شده است، بنابراین یک استاندارد عمومی است و می تواند در سوئیچ های غیر سیسکو نیز استفاده شود.

 VLAN ها برای تقسیم broadcast domain در لایه 2(Data Link) استفاده می شوند. یک شبکه محلی  مجازی است که برای انتقال داده ها به جای شبکه فیزیکی خود از LAN دیگری استفاده می کند. پروتکل 802.1Q به اندازه فریم اترنت اجازه می دهد تا چهار بایت به محدوده 68 تا 1522 بایت اضافه کند. این افزایش اندازه، به دلیل درج یک برچسب VLAN چهار بایتی در فریم است. برچسب ها، که شامل شناسه VLAN (VID) است، توسط آدرس MAC به هر فریم اترنت متصل می شوند. این VID 12 بیتی به هر VLAN اختصاص داده شده است و 4094 شناسه برای استفاده در دسترس است.

از trunk برای رد و بدل کردن ترافیک VLAN بین سوئیچ ها استفاده می شود. سوئیچ ها را می توان از طریق پورت trunk به یکدیگر متصل کرد. هنگامی که از ترانک استفاده می شود، دستگاه متصل فریم های اترنت دارای برچسب را دریافت می کند. استاندارد 802.1Q از پیکربندی منحصر به فرد VLAN های جداگانه پشتیبانی می کند.

 VLAN Trunking چیست؟

حال که، متوجه شدید VLAN چیست، به موضوع دیگری می پردازیم. زمانی که بسته ای بخواهد، از یک vlan به vlan دیگری ارسال شود، یک برچسب با عنوان tag، روی آن می خورد که، هویت بسته مشخص شود. این برچسب مشخص می کند که، بسته از کدام vlan ارسال شده است. پورت های سیسکو، باید عضو ترانک یا اکسس باشند، غیر از این دو مورد وجود ندارد. برای پورت هایی که، در یک vlan هستند، باید از پورت اکسس استفاده کرد. ولی برای اینکه ترافیک تمام vlan ها عبور داده شود، باید از پورت trunk استفاده کرد.

روی هر سوئیچ یک  vlan به صورت پیش فرض، و از قبل آماده شده وجود دارد که، شماره این vlan برابر با یک می باشد. این پورت، با نام native vlan شناخته شده است. اگر شما پورتها را، به صورت مجزا عضو vlan دیگری نکنید. همه ی آنها جزو native هستند. و ویژگی این پورت native این می باشد که، بسته ها بدون tag ارسال می شوند، و نیازی به ساخت header نمی باشد. به آنها پورتهای untagged هم گفته می شود

یکی از پروتکل های vlan، بنام vtp می باشد. شما زمانی که، می خواهید بین دو سوئیچ مختلف، ارتباط برقرار کنید، باید از این پروتکل استفاده کنید. این پروتکل سه حالت مختلف دارد: client،server، transparent با توجه به این ویژگی، می توان یک یا چند سوئیچ را، در حالت server قرار داد. و تنظیمات مشخص را، روی سوئیچ مورد نظر انجام داد. 

سپس با فعال کردن پروتکل vtp، تمامی این تنظیمات بر سوئیچ های client، نیز اعمال خواهد شد. تمام این تغییراتی که، بر روی سوئیچ سرور انجام می شود، revision number  آن تغییر می کند، و این عدد برای تمام این سوئیچ های کلاینت نیز، ارسال می شود. با هر تغییر در سوئیچ سرور، یک عدد به revision number اضافه می شود. سوئیچی که، حالت transparent دارد، فقط این تغییرات را میگیرد، و به سوئیچ بعدی ارسال می کند.

منبع : VLAN چیست

Port Security چیست و چه کاربردی دارد

وقتی مهاجم می تواند وارد شبکه ای شود که می خواهد به آن حمله کند، کار مهاجم نسبتاً آسان می شود. شبکه های محلی اترنت در برابر حمله بسیار آسیب پذیر هستند زیرا درگاه های سوئیچ به طور پیش فرض برای استفاده باز هستند. پس با ما همراه باشید تا بفهمیم Port Security چیست و چگونه آن را برقرار کنیم.

یک راه حل برای حمله DoS به سرویس دهنده DHCP که همان Starvation attack می باشد استفاده از Port Security است. در کل یکی از مسائل در حال رشد که امروزه مدیران شبکه با آن برخورد می کنند نحوه دسترسی افزاد به شبکه داخل سازمانی می باشد. آیا هر شخصی می تواند وارد سازمان شده، لپ تاپ خود را به پریز شبکه یا پورت سوئیچ شبکه متصل کرده و به شبکه داخلی دسترسی داشته باشد؟

همانطور که دیدیم یک سری از حملات به نام DHCP Stravation Attack با استفاده از همین روش و وصل شدن غیر مجاز به یک شبکه می تواند باعث از کار انداختن سرویس دهنده DHCP گردد. در ادامه به بررسی ویژگی های CISCO Port security خواهیم پرداخت. port Security به مدیر شبکه برای محدود نمودن اجازه دسترسی تعداد معین از آدرس MAC بر روی یک پورت خاص کمک می نماید.

در ساده ترین حالت port Security آدرس MAC متصل به پورت سوئیچ را به خاطر می سپارد و فقط به همان آدرس MAC اجازه برقراری اربتاط با پورت سوئیچ را می دهد. اگر آدرس MAC دیگری بخواهد از طریق همان پورت به شبکه متصل شود، پورت مذکور غیر فعال می شود. اکثر اوقات میدران شبکه سوئیچ را طوری تنظیم می کنند که یک SNMP Trap به سیستم مانیتورینگ مبنی بر غیر فعال شدن یک پورت به دلایل امنیتی فرستاده شود.

اگر چه پیاده سازی راه حل های امنیتی همیشه شامل یک trade-off می باشد ولی این کاهش سهولت در مقابل افزایش امنیت سیستم می باشد. وقتی شما از امنیت پورت استفاده می کنید می توانید از دسترسی دستگاه های مختلف به شبکه جلوگیری کرده و این امر موجب افزایش امنیت می شود. از طرفی دیگر فقط مدیر شبکه است که می تواند پورت را فعال کند و این امر در جایی که به دلایل مجاز قرار به تغییر دستگاه ها باشد ایجاد مشکل می کند.

حملات مختلفی مانند حمله Dos در لایه 2 و address spoofing ممکن است رخ دهد. اگر ادمین، شبکه را کنترل کند، بدیهی است که شبکه امن است. برای کنترل کامل پورت های سوئیچ، از ویژگی به نام Port Security می توان استفاده کرد. اگر به نحوی از استفاده کاربر غیرمجاز از این پورت ها جلوگیری شود، امنیت در لایه 2 تا حد زیادی افزایش می یابد.

در دو مرحله می توان پورت ها را ایمن کرد:

1. محدود کردن تعداد آدرس‌های MAC به یک پورت سوئیچ، یعنی اگر بیشتر از حد مجاز، آدرس‌های MAC از یک پورت واحد آموخته شود، اقدامات مناسب انجام خواهد شد.
2. در صورت مشاهده دسترسی غیرمجاز، باید با استفاده از هر یک از گزینه ها، ترافیک را حذف کرد، یا باید یک پیام گزارش ایجاد کرد تا دسترسی غیرمجاز به راحتی قابل مشاهده باشد.

Port Security در تجهیزات سیسکو: 

در بالا متوجه شدیم که Port Security چیست حال تجهیزات سیسکو نیز دارای قابلیت امنیتی port Security هستند که این توانمندی همانطور که گفته شد امنیت را بر روی پورت های سوئیچ افزایش خواهد داد، این افزایش امنیت مخصوصاً بر روی سوئیچ های سیسکو لایه Access که کامپیوترهای کاربران به آن متصل می باشند اهمیت بیشتری خواهد داشت. در صورتی که یک Hacker به راحتی به پورت های سوئیچ دسترسی پیدا کند، می تواند حملات مختلفی از جمله CAM table overflow، MAC spoofing attack و MAC flooding و سایر حملات را آغاز نماید.

port Security به شما این امکان را می دهد که قادر باشید کنترل کاملی روی پورت های Ethernet، Fast Ethernet و Gigbit Ethernet داشته باشید که در این توانمندی با تغیین MAc Address های مجاز به استفاده از پورت از دسترسی سایر تجهیزات با پورت سوئیچ جلوگیری می شود. در این حالت پورت سوئیچ فقط با مک آدرس های تعیین شده قادر به برقراری ارتباط خواهند بود و در صورتی که دستگاه دیگری مثل لپ تاپ یک هکر که جز مک آدرس های مجاز برای استفاده از پورت نیست قصد دسترسی به پورت سوئیچ را داشته باشد، توانایی برقراری اتصال با آن پورت را نخواهد داشت.

در پیکربندی port Security باید مک آدرس های مجاز به استفاده از پورت تعیین شوند که مک آدرس های مجاز به استفاده از پورت به دو صورت Static و Dynamic تعریف خواهند شد.

حالت های Port Security:

ـ Protect: در این حالت بسته‌های دارای مک آدرس مبدأ ناشناخته را رها و صرفا ادرس های مک شناخته شده در سوئیچ قابل استفاده است و سایر ترافیک از MAC های اضافی مسدود یا به اصطلاح drop می شوند.

ـ Restrict: این حالت همان عملکرد Protect را انجام می دهد، یعنی مک آدرس مبدأ ناشناخته را رها می کند. علاوه بر این، یک پیام گزارش ایجاد می کند و آن را برای ادمین شبکه ارسال می کند، مقدار شمارنده را افزایش می دهد و همچنین trap SNMP را ارسال می کند.

ـ shut down: این حالت به صورت پیش فرض است و در صورت دسترسی غیرمجاز پورت را فوراً خاموش می کند. همچنین یک log تولید می کند، مقدار شمارنده را افزایش می دهد و یک trap SNMP ارسال می کند.  پورت  مورد نظر در حالت خاموش باقی می ماند تا زمانی که ادمین دستور ” no shut down” را انجام دهد.

ـ Sticky: با استفاده از دستور Sticky ، ادمین امنیت MAC آدرس استاتیک را بدون تایپ آدرس مک مطلق فراهم می کند. به عنوان مثال، اگر ادمین حداکثر محدودیت 2 را ارائه دهد، 2 آدرس مک اولی که در آن پورت آموخته شده است در پیکربندی در حال اجرا قرار خواهند گرفت. پس از دومین آدرس مک آموخته شده، اگر کاربر سوم بخواهد دسترسی داشته باشد، مطابق با حالت نقض اعمال شده، اقدام مناسب انجام می شود.

نکته: Port Security فقط روی پورت access کار می کند، یعنی برای فعال کردن آن، ابتدا باید آن را به پورت access تبدیل کنید.

پیکربندی Port Security:

برای اعمال Port Security بر روی اینترفیس fa0/1، ابتدا پورت را به پورت access تبدیل کنید و سپس Port Security را فعال کنید:

Mrshabake (config)#int fa0/1

Mrshabake (config-if)#switchport mode access

Mrshabake (config-if)#switchport port-security

بدون پیکربندی هیچ پارامتر خاص دیگری، ویژگی Port Security تنها اجازه می دهد تا یک آدرس MAC در هر پورت سوئیچ (به صورت داینامیک) یاد گرفته شود. این بدان معنی است که اگر یک MAC آدرس دوم در سوئیچ پورت مشاهده شود، پورت خاموش می شود و در حالت err-disabled قرار می گیرد.

از دستور sticky استفاده کنید تا مک آدرس را به صورت داینامیک یاد بگیرد و محدودیت و اقدام مناسبی را که باید انجام شود را ارائه دهد.

Mrshabake (config-if)#switchport port-security

Mrshabake (config-if)#switchport port-security mac-address sticky

mac-address sticky ترکیبی بین مک آدرس استاتیک و داینامیک است. هنگامی که به صورت داینامیک یاد گرفته می شود، به طور خودکار به عنوان یک MAC آدرس استاتیک در پیکربندی در حال اجرا وارد می شود. سپس آدرس تا زمان راه اندازی مجدد در پیکربندی در حال اجرا نگهداری می شود. در راه اندازی مجدد، MAC آدرس از بین خواهد رفت. اگر مهندس شبکه بخواهد MAC آدرس را در راه‌اندازی مجدد حفظ کند، ذخیره پیکربندی لازم است (write).

مشاهده وضعیت Port Security:

برای مشاهده وضعیت Port Security روی سوئیچ ها از دستور show port-security و همچنین دستور show port-security interfaces استفاده کنید:

Mrshabake# show port-security address

          Secure Mac Address Table

——————————————————————-

Vlan    Mac Address       Type                Ports   Remaining Age

                                                         (mins)

—-    ———–       —-                —–   ————-

   1    0004.00d5.285d    SecureDynamic       Fa0/18       –

——————————————————————-

Total Addresses in System (excluding one mac per port)     : 0

Max Addresses limit in System (excluding one mac per port) : 1024

به عنوان مثالی دیگر بر روی یک اینترفیس خاص:

Mrshabake# show port-security interface fa0/18

Port Security                        : Enabled

Port Status                          : Secure-up

Violation Mode                       : Shutdown

Aging Time                           : 0 mins

Aging Type                           : Absolute

SecureStatic Address Aging           : Disabled

Maximum MAC Addresses                : 1

Total MAC Addresses                  : 1

Configured MAC Addresses             : 0

Sticky MAC Addresses                 : 0

Last Source Address                  : 0004.00d5.285d

Security Violation Count             : 0

منبع : Port Security چیست 

تفاوت بین IMAP و pop3 چیست؟

آشنایی با پروتکل های POP3 و IMAP:

اکثر افراد حتی کاربران عادی کامپیوتر مطمئناً یک بار نام POP3 یا IMAP را شنیده اید. از پروتکل های POP3 و IMAP برای اتصال ایمیل سرورها به ایمیل کلاینت ها استفاده می شود. یا به عبارتی دیگر، این دو متد مختلف به شما اجازه می دهند تا ایمیل های خود را بر روی کامپیوتر، موبایل یا تبلت دانلود کنید.

هر دوی این پروتکل ها قابل اطمینان هستند و هر دو اجازه دسترسی به ایمیل را به شما می دهند. اما این دو پروتکل تفاوت کوچکی نیز با یکدیگر دارند که در این مقاله تفاوت بین IMAP و pop3 سعی کرده ایم به آن اشاره کنیم.

POP3 چیست؟

POP3 مخفف Post Office Protocol است.عدد 3 به معنی “ورژن 3” است که اخرین نسخه و پرکاربردترین نسخه است. همانطور که از نام آن پیداست، به شما این امکان را می دهد که از صندوق ورودی ایمیل خود مانند یک اداره پست استفاده کنید. ایمیل ها بر روی سیستم شما دانلود شده و از mail سرور حذف می شوند.

هنگام دسترسی به ایمیل های خود با استفاده از پروتکل POP3، یک کپی از ایمیل ها ایجاد و به صورت محلی در سیستم شما ذخیره می شود. نسخه های اصلی معمولا، اما نه همیشه، از سرور ایمیل حذف می شوند. به عبارت دیگر، ایمیل ها به دستگاه خاصی گره خورده اند. هنگامی که ایمیل در یک دستگاه دانلود می شود (و از سرور ایمیل حذف می شود)، توسط سرویس گیرنده ایمیل یا دستگاه دیگری قابل دسترسی نیست.

البته، اکثر پروتکل های ایمیل به شما این امکان را می دهند که یک کپی از ایمیل اصلی را در سرور ایمیل (به جای حذف آن) نگه دارید. به این ترتیب، می‌توانید همان ایمیل را در دستگاه یا ایمیل کلاینت دیگری دانلود کنید. اما، توجه داشته باشید که همه این کپی‌های یک ایمیل همگام‌سازی نمی‌شوند.

هر کپی دانلود شده به عنوان یک ایمیل جداگانه در نظر گرفته می شود و ارتباط آن با سایر کپی ها قطع می شود، حتی اگر همان ایمیل باشد. به طور مشابه، هر فایل ایمیلی که در یک سیستم ایجاد و سازماندهی کرده اید، در دستگاه های دیگر یا ایمیل کلاینت های دیگرتکرار نمی شود.

بنابراین، POP3 برای کاربرانی که فقط از یک سرویس گیرنده ایمیل برای دسترسی به ایمیل های خود استفاده می کنند عالی است. مزیت دیگر POP3 این است که چون ایمیل اصلی پس از دانلود از سرور ایمیل حذف می شود، فضای ذخیره ایمیل را آزاد می کند.

IMAP چیست؟

IMAP مخفف Internet message access protocol است. برخلاف POP3، IMAP به شما امکان می‌دهد وارد سرویس گیرنده‌های ایمیل مختلف یا رابط‌های Webmail شوید و ایمیل‌های یکسانی را مشاهده کنید، زیرا در تنظیمات IMAP، ایمیل‌ها به جای کامپیوتر شما در سرور ایمیل نگهداری می‌شوند.

هنگامی که با استفاده از پروتکل IMAP به ایمیل های خود دسترسی پیدا می کنید، اساسا از سرویس گیرنده ایمیل برای اتصال به سرور ایمیل خود استفاده می کنید و ایمیل های خود را مستقیماً در ایمیل سرور خود مدیریت می کنید. در این تنظیمات، ایمیل سرورشما به جای سیستم محلی، منبع ذخیره اصلی ایمیل های شما است. ب

ه همین دلیل، IMAP دسترسی به ایمیل‌های شما را از دستگاه‌های مختلف ممکن می‌سازد و همه تغییرات با ایمیل سرور و هر سرویس گیرنده ایمیلی که استفاده می‌کنید، همگام می‌شوند.  به عبارت دیگر، اگر ایمیلی را از یک سرویس گیرنده ایمیل حذف کنید، از ایمیل سرور نیز حذف می شود و این عمل در تمام دستگاه ها و کلاینت های ایمیل منعکس می شود.

اما از آنجایی که ایمیل ها در ایمیل سرور شما نگهداری می شوند، این احتمال وجود دارد که صندوق ورودی ایمیل شما به سرعت پر شود، به خصوص اگر تعداد زیادی ایمیل داشته باشید.

نمونه ای از نحوه عملکرد POP3 و IMAP:

مثلاً در طول شب هنگام خواب، مجموعه ای از ایمیل ها به آدرس ایمیل شما ارسال می شود و شروع به جمع شدن در ایمیل سرور شما می کند.هنگامی که از خواب بیدار می شوید و از طریق تلفن خود به ایمیل خود دسترسی پیدا می کنید،POP3 تمام ایمیل‌ها را در گوشی شما دانلود می‌کند تا مشاهده کنید و با انجام این کار، همه ایمیل‌ها از سرور ایمیل حذف می‌شوند.

IMAP یک کپی از ایمیل ها را به تلفن شما ارسال می کند، اما نسخه اصلی را در ایمیل سرور شما باقی می گذارد سپس به دفتر خود باز می گردید و ایمیل های خود را در کامپیوتر چک می کنید.

POP3 به ایمیل سرور شما متصل می شود و همه ایمیل های جدید را دانلود می کند – ایمیل هایی که از آخرین باری که حساب ایمیل خود را بررسی کرده اید (که در این مثال از طریق تلفن شما بود) دریافت شده اند. اما از آنجایی که تمام ایمیل‌های قبلی که صبح چک کرده‌اید قبلاً در تلفن شما دانلود شده و از ایمیل سرور حذف شده‌اند، آن ایمیل‌ها در کامپیوتر شما نمایش داده نمی‌شوند.

IMAP به ایمیل سرور شما متصل می شود و به دنبال ایمیل هایی می گردد که در دسترس هستند و هنوز روی سیستم شما نیستند. این شامل همه ایمیل‌های دریافتی از آخرین باری که حساب خود را بررسی کرده‌اید، و همچنین همه ایمیل‌هایی را که قبلاً اما از دستگاه دیگری به آن‌ها دسترسی داشته‌اید (یعنی ایمیل‌هایی که در اوایل روز از طریق تلفن خود به آنها دسترسی داشته‌اید) می‌شود.

تفاوت بین IMAP و pop3 و اینکه کدام بهتر است؟

اینکه از کدام پروتکل استفاده می کنید بستگی به نحوه دسترسی به ایمیل هایتان دارد.

اگر از چندین دستگاه برای بررسی، پاسخگویی و ارسال ایمیل استفاده می‌کنید، به دلیل دسترسی بین دستگاهی از IMAP بهره ببرید. همه تغییراتی که در ایمیل و همچنین حساب ایمیل خود ایجاد می‌کنید (یعنی تنظیم پوشه‌ها) با سرور ایمیل و همه دستگاه‌هایی که برای دسترسی به آن حساب ایمیل استفاده می‌کنید همگام‌سازی می‌شوند.

همچنین، اگر قرار باشد برای کامپیوتر یا تلفن شما اتفاقی بیفتد، لازم نیست نگران گم شدن ایمیل‌های خود باشید، زیرا ایمیل‌های اصلی هنوز در ایمیل سرور شما هستند.

از سوی دیگر، اگر دستگاهی برای ایمیل‌ها دارید و ترجیح می‌دهید همه ایمیل‌ها (از جمله همه پیوست‌ها) حتی به صورت آفلاین در دسترس باشند، 3POP تضمین می‌کند که همیشه آنها را داشته باشید، حتی اگر به اینترنت دسترسی نداشته باشید. ایمیل ها به صورت لوکال در دستگاه شما ذخیره می شوند. اما، مگر اینکه 3POP را برای ذخیره ایمیل های خود در سرور به جای حذف آنها پیکربندی کرده باشید، اگر اتفاقی برای دستگاه شما بیفتد، تمام ایمیل هایی که قبلا دانلود کرده یا به آنها دسترسی داشته اید از بین خواهند رفت.

به طور خلاصه، از IMAP استفاده کنید اگر:

ایمیل های خود را از چندین دستگاه (مانند تلفن،کامپیوتر، تبلت و غیره) چک می کنید. می خواهید دستگاه(های) شما، از جمله ایمیل ها و هر ساختار پوشه ای که ایجاد کرده اید، همگام شوند.

تفاوت میان پروتکل های SMTP، POP3 و IMAP:

به طور کلی می توان گفت پروتکل های POP3 و IMAP برای دریافت ایمیل استفاده می شوند اما این پروتکل برای ارسال ایمیل استفاده می شود. البته برای دریافت ایمیل هم استفاده می شود ولی چون مدیریتی بر روی ایمیل های دریافتی نداریم مانند دو پروتکل بالا مثلا ساخت پوشه و دسته بندی ایمیل های خود از این پروتکل برای دریافت استفاده نمی کنیم.

منبع : تفاوت بین IMAP و pop3