14 اسفند 1393 network infrasructure بدون دیدگاه

فصل هفتم : ارتباط شبکه ها

مقدمه

 در این درس در مورد 4 مبحث پرکاربرد شبکه صحبت خواهیم کرد.

  •  Network Address Translation (NAT):  سرویسی که Private IP را به Public IP تبدیل می کند و به این ترتیب اتصال به اینترنت را در کلاینت های شبکه ی private برقرار می کنند.
  • شبکه wireless : یک تکنولوژی LAN که ارتباط های شبکه ای را بدون وجود کابل برقرار می کند.
  • Dial-up Connection: یک تکنولوژی دسترسی از راه دور است که با استفاده ازخطوط تلفن و مودم ارتباط بین دو اینترانت را برقرار می کند.
  • Virtual Private Network (VPN): یک تکنولوژی از راه دور که با تونل زدن ترافیک را به صورت رمزنگاری شده در بستر اینترنت با استفاده از یک VPN سرور بین 2 اینترانت عبور می دهد.

  در این فصل در مورد هر یک از مفاهیم بالا توضیح داده می شود و ویندوز سرور 2008 می تواند اغلب سناریوهای در مورد موارد بالا را پشتیبانی کند.

 دروس این فصل :

  • پیکربندی NAT
  • پیکربندی شبکه wireless
  • ارتباط با شبکه های راه دور

{tab  درس اول}

عنوان درس اول: پیکربندی NAT

 امروزه اینترانت ها ازIP آدرس های Private استفاده می کنند.Private IP های قابلیت ارتباط با اینترنت را ندارند.بنابراین برای اینکه host های اینترانت بتوانند به اینترنت اتصال پیدا کنند شما نیاز به NAT دارید.NAT  پروسه ی ترجمه ی IP های Private به Public و بالعکس می باشد.

 در این درس به چگونگی پیکربندی ویندوز سرور 2008 برای NAT پرداخته می شود.

 خلاصه ی درس

  •  به دلیل بالا بودن تعداد host ها  از میزان Public IP شما ملزم به استفاده از Private IP هستید.برای اینکه به host هایی که Private IP آدرس دارند ارتباط با اینترنت را برقرار کنید می بایستی از NAT استفاده کنید.NAT server ، 2   interface دارد.یکی به شبکه Private متصل است و دیگری به اینترنت (Public) . و به این ترتیب آدرس های public و private را به هم تبدیل می کند.
  • با ICS (Internet Connection Sharing) هم پروسه ی NAT را می توانید فعال کنید که خیلی ساده و راحت پیاده سازی می شود اما برای یک شبکه ی خیلی کوچک مورد استفاده قرار میگیرد مثلا interface شبکه داخلی شما باید ip   192.168.0.1 را داشته باشد.به علاوه اینکه شما نمی توانید از dhcp سروری که در ویندوز سرور 2008 پیکربندی می شود استفاده کنید و تنها مجازید از dhcp موجود در ICS استفاده کنید.
  • Routing and Remote Access یک NAT سرور بسیار انعطاف پذیرتر از ICS فراهم می کند.با وجود اینکه پیاده سازی آن پیچیده تر از ICS است.اما قابلیت های زیادی دارد.در شبکه های بزرگ مورد استفاده قرار می گیرد و همچنین می توانید از Dhcp سرور استفاده کنید.

{tab درس دوم}

عنوان درس دوم: پیکربندی شبکه wireless

 امروزه در بسیاری از مکان ها مثل coffe shop استفاده از شبکه ی wireless بسیار معمول است.اگر چه ریسک های امنیتی در آن خیلی زیاد است. اما برای  طراحی یک ساختار درست می توان این ریسک ها را به حداقل رساند.ویندوز سرور 2008 و بحث RADUIS (Remote Authentication Dial-in User Services) هم می تواند در کاهش این ریسک کمک بزرگی باشد.

 خلاصه درس

  •  شبکه ی wireless ارتباط راحت و آسانی در شبکه برقرار می کندکه به راحتی به اینترنت (ویا هر شبکه ای مثل VPN یا یک شبکه internal) رابرقرار می کند و امروزه کاربرد وسیعی در coffe shopها ، هواپیمای ها، هتل ها و خانه ها  .. دارد.
  • شبکه ی wireless بر اساس استاندارد هایی می باشد از جمله 802.11a  ، 802.11b ، 802.11g و 802.11n .802.11b به طور وسیع در گذشته مورد استفاده قرار می گرفته.امروزه از استاندارد 802.11n و 802.11g استفاده می کنند که این استانداردها توانایی ارتباط با شبکه  های وایرلسی که بر اساس استاندارد 802.11b طراحی شده اند را دارد.استاندارد های 802.11g و 802.11n از لحاظ کارایی بهبود زیادی نسبت به 802.11b داشته است.
  • شبکه wireles می بایستی محافظت شود بنابراین از متدهای رمزنگاری استفاده می کنند.از جمله WEP که با اکثر دستگاه های wireless سازگار است.اما شکستن مرزهای امنیتی آن برای حمله کننده ها آسان است.WPA-EAP ( که به WPA-Enterprise معروف است) امنیت قوی با مدیریت آسان را فراهم می کند.
  • بسیاری از شبکه های wireless به خصوص آنهایی که به شکل یک شبکه داخلی و یا متصل به اینترنت هستند از مد infrastructure استفاده می کنند در ساختار infrastructure تمامی ارتباطات به سمت یک دستگاه مرکزی به نام access point می رود که پروتکلی مشابه توپولوژی star است.
  • برای شبکه هایی که peer-to-peer هستند نیاز به access point است.شما می توانید با ساخت یک شبکه ی adhoc ارتباطات را برقرار کنید.
  • همین طور می توان از PKI(Private Key Infrastructure) برای انتشار certificate ها برای کلاینت ها استفاده کنید و یا با استفاده از Raduis server ها هم می توانید همین کار را انجام دهید. این certificateها یک مکانیزم احراز هویت قابل مدیریت و قابل سنجش هستند که در محیط های سازمانی مورد استفاده قرار می گیرند.ویندوز سرور 2008 شامل یک Role به نام Active Directory Certificate Services (ADCS) است.با استفاده از تنظیمات group policy می توان این ساختار را به userها و کامپیوترها انتقال داد.
  • Access point قادر به ذخیره سازی لیست userهای مورد تایید نیست به جای آن درخواست ها از طریق یک سرور بررسی شده و مورد تایید قرار می گیرند مانند RADUIS سرور. با استفاده از NPS در ویندوز سرور 2008 می توان RADUIS سروری را پیاده سازی کرد که اعتبارها را مورد بررسی قرار دهد که بر پایه ی Certificate (گواهینامه) و یا credential (اعتبارنامه) user هاست.
  • Userها می توانند به صورت دستی با چند کلیک ساده به یک شبکه wireless متصل شوند.همچنین با استفاده از group policy می توان کامپیوترهای کلاینتی را به گونه ای تنظیم کرد که به صورت اتوماتیک به شبکه wireless در Range خود متصل شوند.

{tab درس سوم}

عنوان درس سوم: اتصال به یک شبکه از راه دور

 شبکه wireless به userها اجازه استفاده از اینترنت را می دهد.حال اگر شما 2 دفتر در 2 مکان فیزیکی متفاوت داشته باشید،چه روشی برای اتصال این دو شبکه می توان ارائه کرد؟

 دسترسی از راه دور به دو شکل انجام می شود : dial-up connection یا VPN .

 Dial-up connection به user ها اجازه می دهد به user ها در هر جایی با استفاده از خطوط تلفن به هم متصل شوند . البته این روش کارایی پایینی دارد و پشتیبانی از این روش هزینه زیادی دارد زیرا به ازای هر ارتباط  نیاز به یک خط تلفن دارد.

 روش VPN هم نیاز به کلاینت و هم نیاز به سرور دارد و برای ارتباط و برای ارتباط باهم نیاز به بستر اینترنت دارد و به مراتب هزینه ی پایینی نسبت به Dial-up connection دارد.

 خلاصه ی درس

  •  Dial-up connection یک ارتباط از راه دور به شبکه داخلی بدون نیاز به اینترنت برقرار می کند. VPN connection برای برقراری اینترنت نیاز به اینترنت دارد. و با استفاده از تونل زدن و رمزنگاری دیتا میان کلاینت و شبکه داخلی یک بستر امن را فراهم می کند.
  • ویندوز سرور 2008 می تواند به عنوان نقش یک dial-up server یا Raduis server احراز هویتdial-up server ها را داشته باشد.برای تنظیمات این روش نیاز به پیکربندی یک یا چند مودم است.
  • ویندوز سرور 2008 هم می تواند در نقش یک VPN سرور باشد که از پروتکل های L2TP-PPTP و SSTP پشتیبانی می کند. پروتکل PPTP یک روش ساده احراز هویت را فراهم می کند.

 L2TP مبتنی بر IPSec  است که نیاز به گواهی نامه (certificate) برای کلاینت ها دارد تا بتواند احراز هویت را انجام دهد.

 و در پروتکل SSTP نیاز به PKI است که تنها ویندوز سرور 2008 به بالا از آن پشتیبانی می کند و یک ارتباط VPNی بر اساس proxy سرور و فایروال فراهم می کند.

{tab خلاصه فصل}

  • NAT به کلاینت ها اجازه می دهد تا از شبکه ی اینترانت خود باprivate ip به اینترنت دسترسی داشته باشند.NAT شبیه Router عمل می کند و روش کار هم به این صورت است که با جایگزین کردن IP مبدأ (private) کلاینت با ip public این کار را انجام می دهد.یعنی آدرس مبدأ و مقصد را در هدر عوض می کند.و سپس بسته را انتقال می دهد.با استفاده از ویندوز سرور 2008 می توان یک NAT سرور راه اندازی کرد.اما بسیاری از سازمان ها استفاده از یک Router یا فایروال و یا یک دستگاه اختصاصی NAT را ترجیحمی دهند.
  • ارتباطات وایرلسی امروزه بسیار متداول شده اند و برای کاهش میزان ریسک امنیتی استفاده از این روش معمولا از روش رمزنگاری مثل WPA-EAP استفاده می کنند. زمانی که یک دستگاه wireless با این متد تنظیم شده باشد ابتدا یک درخواست احراز هویت برا یک Raduis server می فرستد که می توان Raduis server را در ویندوز سرور 2008تنظیم و پیکربندی کرد.اگر در شبکه Raduis server وجود دارد شما می توانید از ویندوز سرور 2008 استفاده کنید تا Raduis proxy استفاده کند تا درخواست ها را به Raduis server انتقال دهد.
  • زمانی که شما از اداره و یا سازمان خود دور هستید و احتیاج به ارتباط با شبکه داخلی دفتر کار خود دارید می توانید از روش های dial-up و یا VPN استفاده کنید که به عنوان متدهای از راه دور هستند. ویندوز سرور 2008 می تواند نقش یک dial-up سرور و یا VPN سرور را ایفا کند و یا به عنوان یک Raduis سرور که درخواست ها را از طرف dial-up وVPN سرور دریافت و احراز هویت را انجام دهد.

{/tabs}