X
تبلیغات
IT: تکنولوژی اطلاعات - شبکه

 

Waf یک  ابزار امنیتی برای حفاظت web app های از کسانی که می خواهند از طریق آسیب پذیری های web app های به سیستم حمله کنند.

Waf یک ابزار برای کاهش فشار حملات می باشد و یک ابزار برای رفع آسیب پذیری ها در web app ها نیست که بصورت مکانیکال به بازرسی ارتباط بین website  و user بر اساس رول های تعریف شده در waf می پردازد.

با استفاده از waf  این نتایج برای ما حاصل می شود:

1-حفاظت از  web app از حملاتی که می خواهند از آسیب پذیری ها بهره برداری کنند.

2-شناسایی حملاتی که می خواهند از آسیب پذیری ها استفاده کنند.

3-حفاظت چندین web appاز حملات

 

 

 

 

تفاوت های بین WAF  و FIREWALL

Firewall یک نرم افزار یا سخت افزاری  است  که کنترل دسترسی  کاربران را بر اساس src add وadd dst و src port و dst port   اعمال میکند

با استفاده از فایروال  این امکان وجود دارد که  یکسری محدودیت ها برای ارتباط با سرویس های که روی  سرور وجود دارد اعمال کنیم. با محدود کردن  سرویس هایی که لازم نیستند که برای عموم باشند و بستن آنها  این امکان بوجود می آید که از  دسترسی های غیر مجاز به این سرویس ها جلوگیری شود.

فایروال نمیتواند از حملاتی که میخواهند از طریق آسیب پذیری ها نفوذ کنند جلوگیری کند و از طرف دیگر  waf میتواند محتوای packet ها را بازرسی کند و برای مثال با داشتن یک رول  در waf میتواند حملات مثل sql injection  را شناسایی کند و این امکان وجود دارد که این packet  ها را block کند.

 

 

 

تفاوت های بین WAF و IDPS

هر دو این سرویس ها امکان بازرسی کردن محتوای بسته ها را بر اساس رول های تعریف شده در آنها دارند

Ips یک نرم افزار یا سخت افزاری است که  ارتباط بین دستگاه های مختلف  را بر اساس رول های تعریف شده در آن بازرسی می کند.ips  حملات مختلفی را سناسایی میکند مثلا حملاتی که میخواهند از طریق آسیب پذیری هایی که در os  وجود دارد انجام شوند

Ips  حمله را   بر اساس رول های تعریف شده در ids  شناسایی  و آن را block  میکند.

 

 

 

انواع WAF  از لحاظ lisencing

1-    Waf  های تجاری

2-    Waf های open source

انواع  waf  از لحاظ مدل و فرم:

1-بصورت یک محیط مخصوص

2-بصورت یک نرم افزار

3-بصورت یک سرویس
+ نوشته شده در 90/12/23ساعت توسط علي نصر اصفهاني |

با سلام.

این فایل کاملا تست شده و برای روتینگ آن از ospf استفاده شده است.

برای تست این سناریو کافی است که یک tracert  از pc1  به pco بگذارید . متوجه می شوید که اصلا روتر وسطی در trace  دیده نمیشود(next hop)

دانلود

+ نوشته شده در 90/10/27ساعت توسط علي نصر اصفهاني |

در این مطلب نحوه پیاده سازی و ایجاد تونل  ip-sec روی روتر های cisco بصورت کامل و قدم به قدم توضیح داده شده .

دوستان در صورت نیاز به فایل pkt  آن مربوط به  packet tracer  اطلاع دهند.

موفق و پیروز و سربلند باشید.

دانلود

 (((بزرگترین اقیانوس آرام است.. پس آرام باش تا بزرگترین باشی)))

+ نوشته شده در 90/10/26ساعت توسط علي نصر اصفهاني |

در بعضی موارد اتفاق می افتد که  ما به هر دلیلی  کلمه عبور enable  را فراموش یا اصلا به آن دسترسی نداریم در این مواقع تنها راه استفاده از کابل کنسول برای اتصال به SWITCH و recover  کردن  کلمه عبور مورد نظر است.

مثالی که براتون آماده کردم در مورد  SWITCH 2960  هست.

گام اول)

 اتصال SWITCH توسط کابل کنسول(( roller over  و با استفاده از نرم افزاری مثل hyper terminal یا putty

 

گام دوم)

در صورتی که سوییچ روشن است کابل برق سوییچ را خارج کنید و با فشردن و نگه داشتن دکمه کوچک جلوی سوییچ به نام mode دوباره کابل برق مربوط به سوییچ را وارد سوییچ کنید.(دکمه mode را رها نکیند)

 

گام سوم)

هنگامی که  SYST LED  (جلوی panel مربوط به سوییچ)  از حال چشمک زن کهربایی خارج شد و به رنگ سبز در آمد دکمه mode  را رها کنید در این حال از حالت سبز ثابت به حالت سبز چشمک زن در می آید.

گام چهارم)

در این زمان با زدن یک دکمه بر روی نرم افزاری که از آن برای گرفتن کنسول استفاده کردیم  اعلانی همانند زیر ظاهر می شود.

switch:

گام پنجم)

دستورات زیر را به ترتیب در این حالت اجرا کنید.

switch: flash_init      

witch: load_helper

switch: dir flash:

switch: rename flash:config.text  flash:config.old

switch: boot

 

در دستورات بالا به ترتیب

1- Initializes کردن حافظه فلش

 2-بار گذاری حالت load_helper

 3-نشان دادن محتویات حافظه flash

4-تغییر پسوند فایل config از text به old(برای اینکه در دفعه بعد که سوییچ لود می شود با فایل پیکر بندی که در آن کلمه عبور فراموش شده وجود دارد لود نشود)

5-دوباره سوییچ را لود می کنیم.

گام ششم)

پس از لود کامل سوییچ  کلیه تنظیماتی که روی سوییچ وجود داشته به حالت پیش فرض باز گشته است و در صورتی که شما به تنظیمات قبلی که روی سوییچ است نیاز دارید مراحل زیر را ادامه دهید.

switch>enable

switch#rename flash:config.old config.text

switch#copy flash:config.text   system:running-config

2960Switch#

2960Switch#configure terminal

2960Switch(config)#enable password ali

2900Switch(config)#exit

2900Switch#copy running-config startup-config

 

در دستورات بالا ابتدا فایلی که در آن تنظیمات قدیمی ما (config.old ( قرار دارد را به شکل قبلی خود یعنی config.text تغییر نام میدهیم.سپی فایل مورد نظر را در running –config کپی می کنیم.

سپس کلمه عبور enable را به ali تغییر میدهیم و running-config را در startup-config کپی می کنیم تا در لود شدن بعدی دوباره با مشکل مواجه نشویم.


Ali.nasr.esfahany@gmail.com

 

+ نوشته شده در 90/09/02ساعت توسط علي نصر اصفهاني |

البته امیدوارم برای زبان انگلیسی اعتراض نکنید.

 

Hidev's Knowledge base Questions listing. 
To search for answers go to our kb category page
HERE

+ نوشته شده در 90/07/23ساعت توسط هومن عزیزی |

 

فکر می کنم مسائل زیادی در مورد  vpn  در سيستم هاملهاي مختلف وجود داشته باشد.بسيار خوب ،اين هم يك بانك كامل از مطالب VPN.

VPN Issues

How to setup VPN
VPN Authentication Issues
A connection to the remote computer could not be established
Access denied synchronize offline files via VPN connection
Can ping VPN server but receive System error 53 using net use
Can see the remote computers but get access denied
Can ping the RRAS server but other resources because of Office Scan client
Can't access the Internet after establish Juniper VPN
Can't access MS VPN because of Cisco VPN client
Can't access the remote network at home only
Can't access internet when using VPN
Can't access Linux server over VPN
Can't access outside VPN
Can't access VPN
Can’t access the shared folder of the VPN client
Can't access VPN resources because of two NICs using same IP
Can't connect to a VPN server on the outside of the PIX
Can't browse over VPN
Can't establish VPN via wireless
Can't establish VPN with Error 800
Can't join domain in site to site VPN
Can't join domain over VPN because of using DHCP
Can't map network drives over VPN
Can't ping one of VPN clients
Can't ping external NIC while RRAS is active
Can't remote desktop because router blocks port 3389
Can't see any Network Drives.......
Cannot access remote computers via VPN because of NIS
Cannot access resources after establishing the VPN because of the same IP
Cannot access whole network
Cannot establish the VPN through Netgear RO318
Cannot establish VPN with error 721 and 800
Client VPN IP address must be used as a default gateway

Can XP Home have multi VPN connections open simultaneously, like NT and W2K Pro?
Connecting to vpn disables internet connection on network
Connectivity issue after enabling Windows VPN
Do not install VPN on a system with ICS running
Don't receive assign static Ip after VPN drops/reconnect
Enable Allow Local LAN Access on Cisco VPN client
Error 682, 721 and 800 - Case Study
Error 1060: RASM service does not exist
Error registering your computer
Establishing the VPN only first try
File sharing between domains over site to site VPN
Firewall restricts accessing outside
How to enable RRAS and NAT logs
How  to get VPN client to authenticate on the server with the same credentials that they used to connect to the VPN
How to manage VPN idle time
How to setup VPN for MS VPN clients on Cisco PIX
How to setup split-tunnel on Cisco PIX
How to stop other requests flow through the VPN
I cannot browse local computers through WHS
Internal clients can't access the Internet/network after a remote client connects to RRAS
Issue of save VPN password and IPSec pre-share key
It shows Dial-up connection type rather than a VPN type
Laptop can't VPN while Desktop can - VPN error 721
Local printing via VPN
Logging into AD from remote location?
How to logon locally and remotely
Missing WAN Miniport L2TP and PPTP
Network Filter Drivers Issues in Windows 7
One VPN user disconnects LAN connection
Only able to ping 1 way but no firewall turned on
Problems with WHS Connector
Problems with mapping network drives over a VPN connection
Prompt username when accessing shares over VPN
RDC over VPN disconnects in a several minutes
RDC over VPN problem
Routing & Remote access service was unable was to start
RRAS allow port 25 only
Server 2008 newbie VPN setup question/troubleshooting
Solution for Peer to Peer VPN using the same IP range.
Some routers may take just one VPN connection
The connection to made by user using device was disconnected. 
The option to create a VPN connection unavailable (grayed out)
The remote access server does not accept a PPTP connection
Verizon Air Card: VPN Error Code 720
Fixed: Vista WAN Miniport (SSTP) missing
Vista can't access the WHS
VPN Access not working
VPN and Group Policy
VPN between ASA 5510 and NetVanta 2054 - Case Study
VPN Client can't access remote computer sharing
VPN client can access shared folder with System error 5
VPN client disconnection issues
VPN client can ping all remote computers except one
VPN client cannot ping SBS 2003 server
VPN client can't access one of new server
VPN client access denied when accessing shared folder
VPN connection failed
VPN connection failed 10047
VPN client connection issue after installing 2003 SP1
VPN client lost connectivity
VPN connection appears with a red X
VPN connection is disconnected after several minutes
VPN connection drops after 3 minutes
Vista VPN disappear
VPN disconnects when transferring files
VPN disconnect in one hour and error 800
VPN error 800 on only one computer
VPN Error 721 Collections
VPN Error 709 - can't change the password
VPN Error 800 Collections
VPN always defaults to WAN Miniport (L2TP) instead of PPTP
VPN Logon Problems
VPN network resources issues
VPN speed issue
VPN works on one computer but other one
VPN XP Client Disconnects After One Minute
W2K clients connect but can´t ping VPN server
WSASocket() failed: 10013 when testing GRE
Windows 2003 cannot access remote network using Cisco VPN
Windows 2003 VPN can't browse because routing
Wireless can't access the Internet after establishing VPN
Wireless VPN loses connection


VPN Win98 can access the resources but not W2K/XP
 

+ نوشته شده در 90/07/23ساعت توسط هومن عزیزی |

با سلام

این فایل حاوی توضیحاتی در رابطه با امنیت شبکه و ارتباطات است.

 

با تشکر از جناب مهندس عباسپور

دانلود

+ نوشته شده در 90/07/13ساعت توسط علي نصر اصفهاني |

این هم مباحث پایه و نحوه راه اندازی dfs توسط دوست عزیز جناب اسماعیلی

DFS

+ نوشته شده در 90/07/04ساعت توسط هومن عزیزی |

داخلی ترین لایه، امنیت فیزیکی مسیریاب می باشد. هر مسیر یاب در صورتی که دسترسی فیزیکی به آن موجود باشد براحتی می توان کنترل آن را در دست گرفت. به همین دلیل این لایه در مرکز تمام لایه ها قرار دارد و باید مورد توجه قرار گیرد.
بیشتر مسیریاب ها دارای یک یا دو مسیر مستقیم برای اعمال تنظیمات دارند که به پورت کنسول معروف هستند.در سیاست نامه امنیتی باید قواعدی را برای نحوه دسترسی به این پورت ها، تعریف کرد.
لایه بعدی، نرم افزار و تنظیمات خود مسیریاب می باشد. هر گاه هکری بتواند کنترل هر کدام از این قسمت ها را بدست آورد، می تواند کنترل لایه های بیرونی خود را نیز در دست گیرد. اطلاعات مربوط به نام کاربر، آدرس مربوط به Interface های مسیریاب، لیست های کنترلی و موارد مهم دیگر در این لایه نگه داری می شوند. این اطلاعات در صورتی که در دسترس نفوذ گر قرار گیرند، به راحتی میتواند مسیر گردش اطلاعات در شبکه داخلی را مختل نماید. معمولا در سیاست نامه امنیتی چگونگی دسترسی به این لایه مشخص می شود.
لایه بعدی، مشخصات مربوط به تنظیمات پویای مسیریاب می باشد. از مهمترین این قسمت ها جدول مسیر یابی می باشد. اطلاعات دیگر که شامل وضعیت Interface ها و جدول ARP و Audit Log ها هم از عناصر مهم این لایه می باشند. دسترسی به این لایه نیز، مانند لایه های پایین تر، برای لایه های خارجی مشکل ساز خواهد بود.
خارجی ترین لایه، ترافیک مربوط به شبکه هایی است که مسیریاب آنها را به هم متصل می سازد. به دلیل اینکه استفاده از پروتکل های نا امن میتوانند امنیت این لایه را با خطر مواجه سازند بنابراین در سیاست نامه امنیتی که برای مسیریاب تدوین خواهد شد، نوع سرویس ها و پروتکل های ارتباطی که اجازه عبور دارند و یا غیر مجاز هستند، می بایست مشخص شوند.
● تدوین سیاست نامه امنیتی برای مسیریاب:
چند نکته مهم برای تدوین این سیاست نامه باید رعایت شود:
- مشخص کردن : تعریف رویه و روال ها بدون مشخص کردن دستورات Security Objectives
- مشخص کردن سیاست امنیتی مانند شکل قبل و تدوین چگونگی دسترسی به هرکدام
- غیر فعال کردن سرویس هایی که غیر مجاز هستند
در بعضی موارد مشخص کردن اینکه چه سرویس هایی مجاز هستند، مفید نخواهد بود، به طور مثال مسیریابی که در بستر اصلی شبکه قرار دارد و ارتباط بین شبکه های مختلف را برقرار می سازد می بایست دارای سیاست نامه امنیتی مناسبی در جهت سرویس دهی به این شبکه ها باشد و حتی کنترل های سطحی برای ارتباطات داشته باشد زیرا ارتباط در بستر اصلی باید از سرعت بالاتر برخوردار بوده و موارد اصلی را تحت پوشش قرار دهد.
سیاست نامه امنیتی باید یک سند زنده و در حال بروز رسانی باشد. این سیاست نامه نیز باید جزئی از
سیاست نامه کلی امنیتی باشد که به طور کلی اجرا و بروز رسانی شود.
اعمال تغییرات در سیاست نامه امنیت مسیریاب نیز باید پس از هر تغییر انجام شود. در واقع این سیاست نامه باید در زمان های مشخص و یا در مواردی که تغییراتی چون،
ـ ایجاد یک ارتباط بین شبکه داخلی و خارج
ـ تغییرات کلی در ساختار مدیریت شبکه و یا رویه و روال ها
ـ اصلاحات کلی در ساختار امنیتی شبکه
ـ اضافه کردن عناصری به شبکه مانند دیواره آتش و یا VPN Connection
ـ تشخیص حمله به شبکه و یا در کنترل گرفتن قسمتی از آن
بازنگری شود.
● چک لیست سیاست نامه امنیتی مسیریاب:
پس از تهیه نسخه اول سیاست نامه امنیتی مسیریاب این سیاست نامه را مطابق لیست زیر چک نمایید تا تمام اجزای آن با سند امنیتی شما مطابق باشد.
▪ امنیت فیزیکی:
مشخص کردن اینکه چه شخصی مسئول نصب و یا راه اندازی مجدد مسیریاب می باشد.
معین کردن شخصی برای نگهداری سخت افزار مسیریاب و یا تغییر سخت افزاری آن.
تعیین فردی که میتواند ارتباط فیزیکی به مسیریاب داشته باشد.
تعریف کنترل ها برای دسترسی به مسیریاب و رابط های دیگر آن.
تعریف رویه روال برای برگشت به قبل از خرابی مسیریاب.
▪ امنیت تنظیمات ثابت روی مسیریاب:
مشخص کردن فرد یا افرادی که میتوانند به مسیریاب از راههای مختلف متصل شوند.
مشخص کردن فردی که میتواند حدود دسترسی مدیریت مسیریاب را داشته باشد.
تعریف رویه روال برای نام ها و کلمه های عبور و یا کلمه های عبوری که به دسترسی کامل منجر خواهد شد که شامل زمان و یا شرایطی است که باید این کلمات عوض شوند.
تعریف رویه و روال های برای برگشت به حالت قبل و مشخص کردن فرد یا افراد مورد نظر
▪ امنیت تنظیمات متغیر:
شناخت سرویس هایی که در مسیریاب فعال می باشند و شبکه هایی که باید به این سرویس ها دسترسی داشته باشند.
مشخص کردن پروتکل هایی که برای مسیریابی مورد استفاده قرار می گیرند و قابلیت های امنیتی که روی هرکدام باید فعال شود.
● تعریف رمزنگاری مناسب در ارتباطات VPN
▪ سرویسهای امنیتی شبکه:
مشخص کردن پروتکل ها، پورت ها، و سرویس هایی که باید توسط مسیریاب اجازه داده شوند و یا مسدود شوند.
تعریف رویه روال در جهت کنترل ارتباطات با شبکه سرویس دهنده اینترنت.
مشخص کردن اینکه هنگامی که شبکه و یا مسیریاب هک شود، چه شخص یا اشخاصی باید مطلع شده و چه روالی باید انجام شود از دیگر اقدامات کنترل مسیریاب می باشد که در سند امنیتی باید تعریف شود.

گردآورنده: معصومه کاظمی

www.iritn.com

+ نوشته شده در 90/01/27ساعت توسط هومن عزیزی |



اگر دو كامپيوتر در خانه يا محل كار خود داريد كه براي استفاده اشتراكي از فايلهاي موجود در هر كدام مي خواهيد آن دو را به يكديگر وصل كنيد. اين روش يكي از سريعترين روشهاي موجود است.

براي اتصال دو كامپيوتر استفاده از يك هاب يا روتر هميشه كار معقولي نيست. بلكه استفاده از يك كابل USBــ USB بسيار كاربردي و عملي تر است. با اين روش حتي مي توانيد اتصال اينترنتي را بين دو كامپيوتر به اشتراك بگذاريد.

در اين آموزش كوتاه براي شما نحوه اتصال دو كامپيوتر با يك كابل خاص USBــ USB ‎آموزش داده مي شود.

1ــ يك كابل USBــ USB بخريد.

اولين مرحله براي اتصال دو كامپيوتر از طريق USB پيدا كردن كابل USBــ USB است در اين مرحله بايد بسيار دقت كنيد. شما به نوعي كابل احتياج داريد كه اصطلاحاً به آن Bridge يا كابل شبكه USB مي گويند. اين بدان معناست كه در اين كابل قابليت اتصال دو كامپيوتر وجود دارد.

در اين كابلها يك مدار الكتريكي واسط وجود دارد و دو سر كابل داراي سوكت نوع A است. شما مي توانيد كابلي بخريد كه چيپ Bridge آن USB1.1 با سرعت 12 Mb بر ثانيه يا USB2.0 با سرعت 480 Mb بر ثانيه باشد البته توصيه ما USB2.0 است. چون سرعت آن به مراتب بيشتر است. به خاطر داشته باشيد شبكه هاي اترنت داراي استاندارد 100 Mb بر ثانيه هستند.



2ــ نصب

بعد از اينكه كابل را بدست آورديد مي توانيد آن را متصل كنيد. اولين كاري كه بايد بكنيد نصب نرم افزار يا درايور كابل است.

بيشتر كابل ها 2 مود را پشتيباني مي كنند:

1ــ link mode: در اين حالت مي توانيد به آزادي فايل ها را بين دو كامپيوتر كپي كنيد.

2ــ network mode: در اين حالت فقط كپي كردن فايل نيست كه مي توانيد انجام دهيد، بلكه مي توانيد فولدرها، پرينترها و ارتباط اينترنتي را هم به طور اشتراكي استفاده كنيد.

3ــ شروع به استفاده از اتصال خود كنيد.

اگر از كابل خود در حالت لينك (link mode) استفاده كنيد. به سادگي به برنامه اي كه همراه نرم افزار كابل است دست پيدا مي كنيد و مي توانيد فايل هاي خود را انتقال دهيد.

اگر از كابل خود در حالت شبكه (network mode) استفاده مي كنيد. بايد كارهاي زير را انجام دهيد.

ــ وارد قسمت network connection شويد.آدپترهاي شبكه كه متصل هستند را مي بينيد.

ــ اكنون بر روي آدپتري كه كامپيوتر شما را به اينترنت متصل مي كند راست كليك كنيد.

گزينه properties را انتخاب كنيد. در برگه Advanced براي گزينه Allow other network users to connect through this computers Internet connection. يك علامت تيك قرار دهيد.

ــ بعد از اينكه اين كارها را انجام داديد كامپيوتر خود را restart كنيد. اكنون كامپيوتر ديگر هم مي تواند به اينترنت متصل شود.

شايد استفاده از هاب براي دو كامپيوتر كار مطمئن تري به نظر برسد ولي بايد پول بيشتري هم خرج كنيد به هر حال تصميم با شماست.

www.iritn.com

+ نوشته شده در 90/01/27ساعت توسط هومن عزیزی |

اگر با شبکه های کامپیوتری آشنایی داشته باشید حتمأ میدانید که یکی از کاربردهای آن به اشتراک گذاری فایلها و فولدرها در میان کامپیوترهای تحت شبکه است. اما آیا تاکنون به این موضوع فکر کرده اید که میتوان ماوس و کیبورد را هم در میان کامپیوترهای موجود در شبکه به اشتراک گذاشت؟ باید بدانید که اینکار به سادگی امکان پذیر است. با استفاده از این ترفند شما میتوانید ماوس یا کیبورد خود را بین چندین کامپیوتر و آن هم با سیستم عاملهای مختلف به اشتراک بگذارید، بدون نیاز به هیچگونه سخت افزار جانبی برای اینکار! به طوریکه هر سیستم تنها نیاز به یک مانیتور دارد و با انجام عملیات توسط کیبورد یا ماوس توسط شما در یک سیستم، امکان انجام آن در سایر سیستم های شبکه نیز به شکل همزمان مهیا است. هم اکنون به معرفی این ترفند کاربردی به کمک یک ابزار جانبی کم حجم و متن باز میپردازیم.

برای اینکار:
شما نیازمند برنامه ای کم حجم، رایگان و متن باز به نام Synergy هستید.
به وسیله Synergy میتوانید کلیه موارد یاد شده در بالا را در سیستم عاملهای ویندوز، مک و یونیکس صورت دهید.
کلیه سیستم ها نیز بایستی TCP/IP را پشتیبانی کنند.
برای دانلود آخرین نسخه Synergy به نشانی http://synergy2.sourceforge.net مراجعه کنید.
سپس از قسمت Download > Latest Release میتوانید آخرین نسخه این برنامه را دانلود نمایید.
همانطور که ذکر شد این برنامه Open Source نیز هست و شما میتوانید سورس نرم افزاری آن را نیز جداگانه دریافت کنید و در صورت نیاز استفاده کنید.
پس از دانلود فایل کافی است برنامه را نصب نمایید.
سپس آن را اجرا کرده و به سادگی در محیط برنامه نام کامپیوتری که قصد به اشتراک گذاری موس و کیبورد با آن را دارید را وارد نموده و دکمه Start را بزنید تا عملیات به اشتراک گذاری انجام پذیرد.

به نقل از ترفندستان

+ نوشته شده در 89/11/22ساعت توسط هومن عزیزی |

در صورتی که تاکنون با شبکه های محلی کار کرده باشید ، مطمئنأ فولدرهای مختلفی را به اشتراک گذاشته اید و به اصطلاح Share کرده اید. در این ترفند قصد داریم یک روش ساده را به شما معرفی کنیم که با بهره گیری از آن میتوانید تمامی مسیرهایی را که از سیستم شما به سیستم های دیگر به اشتراک گذاشته شده اند را مشاهده کنید و در صورت عدم نیاز ، آنها را غیرفعال کنید.

برای خواندن ترفند روی ادامه متن کلیک کنید



برای اینکار:
روی آیکن My Computer
بر روی دسکتاپ راست کلیک کرده و Manage را انتخاب کنید.
در پنجره باز شده ، از بخش کناری ، از قسمت System Tools بر روی Shared Folders کلیک کنید.
در زیربخش آن ، روی Shares دوبار کلیک کنید.
اکنون به همین سادگی میتوانید
از بخش دیگر ، لیستهای Share های سیستم خود را مشاهده کنید

+ نوشته شده در 89/11/22ساعت توسط هومن عزیزی |

در ویندوز XP قابلیتی وجود دارد به نام Packet Scheduler که این موضوع 20% از پهنای باند اینترنت شما را میگیرد. در صورتی که به این قابلیت نیازی ندارید با طی کردن غیرفعال کردن آن میتوانید با آزاد کردن پهنای باند گرفته شده سرعت اینترنت خود را تا حد چشمگیری بالا ببرید. در صورتی که از سرعت اینترنت خود ناراضی هستید از این ترفند بهره بگیرید.

برای خواندن ترفند روی ادامه متن کلیک کنید



بدین منظور:

1. Run را از منوي Start اجرا كنيد.

2. در Run عبارت gpedit.msc را تايپ كرده و OK را كليك كنيد.


 با سپاس از سایت kamyabonline

3. منتظر بمانيد تا Group Policy اجرا شود.
4. در بخش Local Computer Policy و زير Computer Configuration گزينه Administrative Templates را گسترش دهيد. ( با كليك بر روي علامت + كار آن انجام دهيد )
5. در ليست باز شده گزينه Network را نيز گسترش دهيد.
6. حال در اين ليست Qos Packet Scheduler را انتخاب كنيد.
7. به گزينه هايي كه در سمت راست ظاهر مي شوند دقت كنيد.
8 .بر روي Limit reservable bandwidth كليك راست كرده و Properties را كليك كنيد.
9. پس از اينكه پنجره Limit reservable bandwidth Properties باز
شد در برگه Setting و در زير Limit reservable bandwidth گزينه Enabled را انتخاب كنيد.
10. مشاهده مي كنيد كه با انتخاب آن در روبروي Bandwidth Limit مقدار پيش فرض آن يعني 20 درصد به نمايش در مي آيد.
11. به جاي عدد 20 مقدار 0 را تايپ كرده و OK را كليك كنيد.
12. حال به Connection كه به وسيله آن به اينترنت وصل مي شويد رفته و بر روي دكمه Properties كليك كنيد.
13. به برگه Networking برويد و دقت كنيد
كه Packet Scheduler فعال باشد (تيك كنار آن مشاهده شود).
14. اين پنجره را OK كنيد.
15. كامپيوتر خود را Restart كنيد.

چند نکته:
اين کار را می توانيد با نرم افزارهاي قدرتمند بهينه سازی ويندوز ( ترفندستان ) مثل TuneUp Utilities خيلی سريعتر و راحتر انجام دهيد.
برای بازگشت به حالت پيش فرض هم می توانيد مسير فوق را دنبال کرده و بجای 0 عدد 20 را قرار دهيد.
 
+ نوشته شده در 89/11/22ساعت توسط هومن عزیزی |

در صورتی که شما نیز از کاربران شبکه های محلی باشید مطمئنأ به این موضوع بر خورده اید که زماني كه شما در ويندوز XP از My Network Places براي مرور ساير سيستمهاي موجود در شبكه خود استفاده ميكنيد ، ممكن است مدت زمان نسبتا طولاني را براي مشاهده ليست منابع اشتراكي در بين سيستم هاي شبكه منتظر بمانيد. علت اين امر در ويندوز XP بررسي وظايف زمانبندي ( Scheduled Tasks ) هر يك از سيستمهاي تحت شبكه قبل از مديريت و ليست نمودن منابع اشتراكي هر يك از اين سيستمها ميباشد. در این ترفند قصد داریم به معرفی روشی بپردازیم که با استفاده از آن میتوانید این افت سرعت را از میان بردارید.

برای خواندن ترفند روی ادامه متن کلیک کنید



اين بررسي معمولا نياز نميباشد و در شرايط عادي واقعا نيازي به آن نيست ، جالب است بدانيد همين بررسي بي مورد زماني در حدود 30 ثانيه نياز دارد و اين تاخير براي بسياري از كاربران كسالت آور ميباشد و ممكن است كاربر را به مشكلات سخت افزاري و ... مشكوك نمايد.
شما قادر هستيد با يك ترفند ساده رجيستري اين بررسي بي مورد را غير فعال نماييد و به اين ترتيب ديگر شاهد اين تاخير طولاني نباشيد.

بتدا از طريق منوي Start و ابزار Run ، ابزار Regedit را اجرا نماييد. ( تایپ کنید regedit و Enter بزنید.)
مسير زير را در آن بيابيد :
HKEY_LOCAL_MACHINE/SOFTWARE/Microsoft/Windows/CurrentVersion/Explorer/Remote Computer/NameSpace
در زير مجموعه كليد NameSpace كليدي با نام {D6277990-4C6A-11CF-8D87-00AA0060F5BF} وجود دارد.
اگر به صفحه سمت راست دقت نماييد مشاهده خواهيد كرد كه مقدار كليد Default در آن برابر Scheduled Tasks ميباشد كه نشانگر همان بررسي با تاخير ميباشد.
بر روي كليد {D6277990-4C6A-11CF-8D87-00AA0060F5BF} راست كليك نموده و گزينه Delete را انتخاب نماييد و اين كليد را از مسير ذكر شده حذف نماييد.
براي اطمينان بيشتر ميتوانيد قبل از حذف اين كليد آن را با كمك گزينه Export
در مسيري مطمئن بر روي هارد ديسك خود ذخيره نماييد و نسخه پشتيباني از آن در اختيار داشته باشيد.
براي اعمال تغييرات از رجيستري خارج شده و در صورت نياز سيستم خود
را از نو راه اندازي نماييد.
به اين ترتيب پس از اعمال اين ترفند ديگر شاهد آن تاخير نسبتا طولاني نخواهيد بود.
سپاس از سایت kamyabonline
+ نوشته شده در 89/11/22ساعت توسط هومن عزیزی |

اگر یک فولدر و یا پوشه در یکی از درایو ها وجود داشته باشد که ما بیشتر با آن سرو کار داریم برای راحتی کار آن را می توانیم تبدیل به یک درایو کنیم که به رآسانی از طریق my computer قابل مشاهده و دسترسی است . این درایو را درایو مجازی می نامیم که البته تفاوت هایی علی رغم ظاهر یکسان آن با درایو های اصلی با آنها دارد که در ادامه به آن می پردازیم.
حال چگونه این درایو را بسازیم:
فرض می کنیم که یک پوشه در درایو D داریم به نام GERAFIC و می خواهیم از آن یک درایو مجازی بسازیم :
برای اینکار ابتدا از طریق منوی START پنجره RUN را باز می کنیم
و در آن کلمه CMD را تایپ کرده و OK را می فشاریم تا پنجره ای مشکی رنگ ( محیط DOS برای ویندوز ) باز شود.
در این پنجره جلوی خط مکان نما باید عبارات زیر را تایپ کنید و نهایتا دکمه ENTER را فشار دهید. Subst [drive_name:][path_of_folder] l
توضیح کلمات موجود در عبارت :
در قسمت Drive name باید نام درایوی که می خواهیم تازه تشکیل دهیم را بنویسیم .
در اینجا باید به دو نکته توجه کنیم:
باید نام درایو انتخابی بیش از یک حرف نباشد.
در نحوه تایپ این حرف باید از حروف کوچک استفاده کنید.
فقط باید نام این درایو حروف الفبا باشد.
در قست Path_of_folder باید مسیری که پوشه ما در آن قرار دارد را تایپ کنیم .رعایت این نکته مهم است که حتما باید این مسیر پوشه در بین دو ( ” ) تایپ شود.
به عنوان مثال می توانیم برای یک درایو با نام m که حاوی عکسهای گرافیکی است ( همان پوشه gerafic) را بدین صورت آدرس دهی کنیم: SUBST یک کلمه اصلی و کلیدی برای DOS است .که باید عینا تایپ شود البته بزرگ یا کوچک بودن حروف آن مهم نیست. Subst m: “D:\grafic” و در نهایت دکمه enter را می فشاریم.
حال شما صاحب یک درایو مجازی هستید که البته نام آن نام درایو اصلی است اما محتویات آن محتویات پوشه مورد نظر شماست.
نحوه تشخیص درایو مجازی از درایو اصلی:
اگر دقت کنید درایو مجازی را نمی توان تغییر نام داد اما درایو های اصلی را می توان تغییر نام دهید .
نحوه از بین بردن درایو های مجازی :
برای از بین بردن این درایو مجازی باید راه زیر را طی کنید .
ابتدا منوی START و سپس پنجره RUN را باز می کنید ودر آن عبارت CMD را تایپ کنید و نهایتا ENTER را بیفشارید تا همان کادر مشکی رنگ مربوط به محیط DOS ظاهر شود:
جلوی خط مکان نما عبارات زیر را تایپ کنید:
SUBST [DRIVE_NAME] /d
به جای drive_name نام درایو مجازی را تایپ کنید و سپس بقیه کلمات دستور و در نهایت enter را بیفشارید.
مثلا برای حذف درایو محتوی محتویات فولدر GERAFIC باید دستور زیر را تایپ کنیم:
Subst m: \d
و در نهایت دکمه اینتر را فشار می دهیم .به این طریق این درایو هم پاک می شود.
 

+ نوشته شده در 89/07/06ساعت توسط هومن عزیزی |

همان طور که می دانید ویندوز 7 نسخه Home Premium نمیتواند از منابع موجود در شبکه استفاده کند. برای حل این مشکل از این ترفند استفاده می کنیم :
1- بر روی استارت کلیک کنید و تایپ کنید: regedit تا ادیتور رجیستری باز شود.
2- مسیر زیر را پیدا کنید:
HKEY_LOCAL_MACHINE SYSTEM CurrentControlSet Control Lsa
3- در این قسمت باید یک مقدار از نوع DWORD بسازید و نام آن را LmCompatibilityLevel بگذارید.
4- حالا برای اینکه پروتکل را بر روی Send LM & NTLM تنظیم کنیم، باید مقدار عبارت ساخته شده را برابر 0 قرار دهیم.
5- کامپیوتر را ریست کنید.
با انجام این کار مشکل شما برای دسترسی به منابع سیستم هایی با سیستم عامل ویندوز XP و سرور 2003 حل خواهد شد و به راحتی می توانید با وارد کردن نام کاربری و رمز عبور سیستم های مورد نظر، به فایل های Share شده ی آنها دسترسی پیدا کنید.
+ نوشته شده در 89/07/06ساعت توسط هومن عزیزی |

تصور کنيد در حال کار با لپ‌تاپتان هستيد و تلفن همراه‌تان زنگ مي‌خورد. مجبوريد دست از کار با کامپيوتر بکشيد و با تلفن‌تان صحبت کنيد.
اما احتمالا خبر نداريد که در ويندوز7 مي‌توانيد به جاي اين کار با کامپيوترتان به تلفن‌ها پاسخ دهيد!

براي اين کار شما تنها نياز به يک رايانه داريد که داراي بلوتوث باشد.

با انجام تنظيمات کوچکي در ويندوز 7 مي‌توانيد از ميکروفون و اسپيکر لپ‌تاپتان (يا کامپيوتر شخصي) به جاي هندسفري موبايل استفاده کنيد.
در اين حالت گوشي شما زنگ ميخورد و همان طور که در حال کار با کامپيوتر هستيد و بدون اينکه دست به تلفن همراهتان بزنيد با استفاده از رايانه‌تان به تماس‌ها پاسخ مي‌دهيد و با دوستانتان صحبت مي‌کنيد. تلفن همراه‌تان هم ميتونه 10ها متر دورتر از رايانه‌تان باشد …

در اين حالت صداي طرف مقابل، از اسپيکر‌هاي رايانه و صداي شما هم از طريق ميکروفون لپ‌تاپتان به گوش طرف مقابل مي‌رسد.
براي اين کار مراحل زير را به ترتيب دنبال کنيد:

- بلوتوث تلفن همراه و کامپيوترتان را روشن کنيد.
- در کادر جستجوي منوي Start ويندوز 7 ، کلمه Bluetooth را تايپ کرده و آيکون آن را اجرا کنيد.
- بر روي Add Device کليک کنيد. منتظر بمانيد تا بلوتوث رايانه گوشي شما را پيدا کند.
- مراحل را جهت نصب ادامه دهيد و پيام هاي دريافت شده در رايانه و تلفن همراه را تاييد کنيد.
خوب حالا همه چي آماده است.
بر روي آيکوني که مربوط به گوشي شماست دو بار کليک کنيد.
خوب کار تمام است.

از همين بخش ميتوانيد:
1-با کليک بر روي اولين دکمه Connect ميتونيد از GPRS روي گوشي‌تان بر روي کامپيوتر استفاده کنيد. (مناسب براي نوت‌بوک‌ها - در اين صورت حتي در سفر هم ميتونيد از اينترنت در لپ‌تتان استفاده کنيد و مثلا در جي‌تاک آنلاين باشيد)

2- با تايپ هر شماره‌اي در کامپيوتر و فشردن دکمه Call ميتونيد تماس بگيريد.

3- با کليک بر روي سومين دکمه ميتوانيد، يک موزيک را در تلفن همراه‌تان پخش کنيد و صداي آن، به جاي پخش از گوشي، از اسپيکر رايانه‌تان پخش خواهد شد!

4- و بالاخره با کليک بر روي آخرين دکمه اسپيکر و ميکروفون رايانه ‌تان تبديل به يک هندسفري بلوتوث ميشه که به صورت اتوماتيک پس از اولين زنگ به گوشي، ارتباط تلفني برقرار شده و مي توانيد با دوستان از طريق ميکروفون کامپيوتر صحبت کنيد و صداي دوستتان را هم از اسپيکر رايانه بشنويد. استفاده از اين قابليت خصوصا در نوت‌بوک‌ها و نت‌بوک‌ها به دليل همراه داشتن ميکروفن و اسپيکر داخلي شديدا توصيه ميشود و ميتوانيد به آساني همچنان که به کار با رايانه شخصي تان مشغول هستيد به تماس هاي تلفني هم پاسخ دهيد.

همچنين در بخش پايين همين پنجره مي‌توانيد از طريق بلوتوث به محتويات تلفن همراه خود دسترسي پيدا کنيد – از اطلاعات نسخه پشتيبان بگيريد و يا فايلي را به تلفن‌همراه‌تان انتقال دهيد.

WWW.IRITN.COM

+ نوشته شده در 89/06/14ساعت توسط هومن عزیزی |

  مایکروسافت تلاش کرده با powershell یک سطر فرمان قدرتمند را در اختیار کاربران خود بگذارد. قرار است powershell بطور استاندارد به نگارش های بعدی ویندوز اضافه گردد. اصلی ترین ویژگی های powershell عبارتند از اینکه این رابط یک شئ (objects) است و نه محیطی برپایه متن. همه آن چیزی که بر روی صفحه تصویر دیده میشود درون این برنامه بر قالب شئ هستند که دارای ها (properties) روش (methods) هایی دارند. دسترسی به این شی ها و ویرایش کردن آنها در مقایسه با حالت متنی بسیار ساده تر است.

An A-Z Index of Windows PowerShell commands

a
Get-Acl Get permission settings for a file or registry key
Set-Acl Set permissions
Get-Alias gal Return alias names for Cmdlets
Import-Alias ipal Import an alias list from a file
New-Alias nal Create a new alias.
Set-Alias sal Create or change an alias
Get-AuthenticodeSignature Get the signature object associated with a file
Set-AuthenticodeSignature Place a signature in a .ps1 script or other file
c
Set-Location cd/chdir/sl Set the current working location
Get-ChildItem dir/ls/gci Get child items (contents of a folder or registry key)
Get-Command gcm Retrieve basic information about a command
Measure-Command Measure running time
Trace-Command Trace an expression or command
Add-Content ac Add to the content of the item
Get-Content cat/type/gc Get content from item (specific location)
Set-Content sc Set content in the item (specific location)
Clear-Content clc Remove content from a file/item
ConvertTo-Html Convert the input into an HTML table
ConvertFrom-SecureString Convert a secure string into an encrypted standard string
ConvertTo-SecureString Convert an encrypted standard string into a secure string
Clear-Host clear/cls Clear the screen
Clear-Item cli Remove content from a variable or an alias
Copy-Item copy/cp/cpi Copy an item from a namespace location
Get-Credential Get a security credential (username/password)
Get-Culture Get region information (language and keyboard layout)
d
Get-ChildItem dir/ls/gci Get child items (contents of a folder or registry key)
Get-Date Get current date and time
Set-Date Set system time on the host system
Remove-Item del/erase/rd/rm/rmdir Remove an item
Do Loop while a condition is True
Get-PSDrive gdr Get drive information (DriveInfo)
New-PSDrive mount/ndr Install a new drive on the machine
Remove-PSDrive rdr Remove a provider/drive from its location
e
Get-Eventlog Get eventlog data
Get-ExecutionPolicy Get the execution policy for the shell
Set-ExecutionPolicy Change the execution policy (user preference)
Export-Alias epal Export an alias list to a file
Export-Clixml Produce a clixml representation of powershell objects
Export-Console Export console configuration to a file
Export-Csv epcsv Export to Comma Separated Values (spreadsheet)
Invoke-Expression Run a PowerShell expression
Exit Exit Powershell (or exit a script)
f
ForEach-Object foreach Loop for each object in the pipeline ( % )
ForEach Loop through values in the pipeline
For Loop through items that match a condition
Format-Custom fc Format output using a customized view
Format-List fl Format output as a list of properties, each on a new line
Format-Table ft Format output as a table
Format-Wide fw Format output as a table listing one property only
g
Get-Item gi Get a file/registry object (or any other namespace object)
Get-ChildItem dir/ls/gci Get child items (contents of a folder or registry key)
h
Get-Help help Open the help file
Add-History Add entries to the session history
Get-History history/h/ghy Get a listing of the session history
Invoke-History r/ihy Invoke a previously executed Cmdlet
Get-Host Get host information (PowerShell Version and Region)
Clear-Host clear/cls Clear the screen
Read-Host Read a line of input from the host console
Write-Host Display message on screen
i
if Conditionally perform a command
Import-Clixml Import a clixml file and rebuild the PS object
Import-Csv ipcsv Take values from a CSV list and send objects down the pipeline.
Get-Item gi Get a file object or get a registry (or other namespace) object
Invoke-Item ii Invoke an executable or open a file (START)
New-Item ni Create a new item in a namespace
Remove-Item rm/del/erase/rd/ri/rmdir Remove an item
Set-Item si Change the value of an item
Clear-ItemProperty Delete the value of a property
Copy-ItemProperty Copy a property along with its value
Get-ItemProperty Retrieve the properties of an object
Move-ItemProperty Move a property from one location to another
New-ItemProperty Set a new property of an item at a location
Remove-ItemProperty Delete the property and its value from an item
Rename-ItemProperty Rename a property of an item
Set-ItemProperty Set the value of a property
k
Stop-Process kill/spps Stop a running process
l
Get-Location pwd / gl Get and display the current location
Pop-Location popd Set the current working location from the stack
Push-Location pushd Push a location to the stack
Set-Location cd/chdir/sl Set the current working location
m
Add-Member Add a member to an instance of a PowerShell object
Get-Member gm Enumerate the properties of an object
Move-Item move/mv/mi Move an item from one location to another
o
Compare-Object Compare the properties of objects
Group-Object group Group the objects that contain the same value for a common property
Measure-Object Measure the properties of an object
New-Object Create a new .Net object
Select-Object select Select properties of objects
Sort-Object sort Sort objects by property value
Where-Object Filter the objects passed along the command pipeline.
Out-Default Send output to default
Out-File Send command output to a file
Out-Host oh Send the pipelined output to the host
Out-Null Send output to null
Out-Printer lp Send the output to a printer
Out-String Send objects to the host as strings
p
Powershell Launch a powershell session
Convert-Path cvpa Convert a ps path to a provider path
Join-Path Combine a path and child-path
Resolve-Path rvpa Resolves the wildcards in a path
Split-Path Return part of a path
Test-Path Return true if the path exists, otherwise return false
Get-Pfxcertificate Get pfx certificate information
Pop-Location popd Set the current working location from the stack
Push-Location pushd Push a location to the stack
Get-Process ps/gps Get a list of processes on a machine
Stop-Process kill/spps Stop a running process
Clear-ItemProperty clp Remove the property value from a property
Copy-ItemProperty cpp Copy a property along with it's value
Get-ItemProperty gp Retrieve the properties of an object
Move-ItemProperty mp Move a property from one location to another
New-ItemProperty Set a new property
Remove-ItemProperty rp Remove a property and its value
Rename-ItemProperty rnp Renames a property at its location
Set-ItemProperty sp Set a property at the specified location to a specified value
Get-PsProvider Get information for the specified provider
Set-PSdebug Turn script debugging on or off
Add-PsSnapIn Add snap-ins to the console
Get-PsSnapin List PowerShell snap-ins on this computer
Remove-PSSnapin Remove PowerShell snap-ins from the console
q
Quest AD cmdlets Read and write to Active Directory
r
Read-Host Read a line of input from the host console
Remove-Item rm/del/erase/rd/ri/rmdir Remove an item
Rename-Item ren/rni Change the name of an existing item
Rename-ItemProperty Rename a property of an item
Run/Call & Run a command (call operator)
s
Select-Object select Select properties of objects
Get-Service gsv Get a list of services
New-Service Create a new service
Restart-Service Stop and then restart a service
Resume-Service Resume a suspended service
Set-Service Change the start mode/properties of a service
Sort-Object sort Sort objects by property value
Start-Service sasv Start a stopped service
Stop-Service spsv Stop a running service
Suspend-Service Suspend a running service
Start-Sleep sleep Suspend shell, script, or runspace activity
Switch Multiple if statements
Select-String Search through strings or files for patterns
t
Tee-Object Send input objects to two places
New-Timespan Create a timespan object
Trace-Command Trace an expression or command
Get-Tracesource Get components that are instrumented for tracing.
Set-Tracesource Trace a PowerShell component
Start-Transcript Start a transcript of a command shell session
Stop-Transcript Stop the transcription process
u
Get-Uiculture Get the ui culture information
Get-Unique gu Get the unique items in a collection
Update-Formatdata Update and append format data files
Update-Typedata Update the current extended type configuration
v
Clear-Variable clv Remove the value from a variable
Get-Variable gv Get a powershell variable
New-Variable nv Create a new variable
Remove-Variable rv Remove a variable and its value
Set-Variable set/sv Set a variable and a value
w
Where-Object where Filter input from the pipeline ( ? )
Where Filter objects from the pipeline
While Loop while a condition is True
Get-WMIobject gwmi Get WMI class information
Write-Debug Write a debug message to the host display
Write-Error Write an object to the error pipeline.
Write-Output echo Write an object to the pipeline
Write-Progress Display a progress bar
Write-Verbose Write a string to the host's verbose display
Write-Warning Write a warning message
# Comment / Remark
$variable = "value" Define a variable also: ${vari!ab#le} = "value"
@(...) Force an expression to be evaluated as a List
In addition to the above, Powershell can also run all the standard XP commands (apart from internal commands), plus VBScript and Resource kit utilities.
Microsoft Powershell Help
Discussion forum
Links to other websites, books etc...

Windows PowerShell چیست: ویندوز پاورشل آی.اس.ئی برنامه میزبان پاورشل است. به کمک آن، سرپرست سیستم قادر خواهد بود تا دستورات را اجرا کند و اسکریپت های اشکال زدایی را در یک رابط کاربر گرافیکی تست و ایرادیابی کند.

چرا به آن نیاز داریم: با انجام اعمالی بر اساس اسکریپت، این ابزار به ما این امکان را میدهد تا کنترل و انعطاف بیشتری در کار با زیرساخت ویندوز خود نسبت به حالت گرافیکی در کاربردهایی مانند Server Manager داشته باشیم.

چگونه کار میکند: پاورشل آی.اس.ئی دقیقاً مانند پاورشل کار میکند. این ابزار راهکاری ساده تر برای ویرایش و ایرادیابی متنی است. قابلیت های آن شامل ویرایش چند خطی، زبانه دار بودن، رنگ بندی، راهنمای حساس به محتویات و … است
+ نوشته شده در 89/01/11ساعت توسط هومن عزیزی |

احتمال دارد مایل باشید یک لیست کامل و جامع از دستورات قابل اجرا در محیط cmd یا همان command prompt را در سیستم عامل ویندوز xp در اختیار داشته باشید.البته این دستورات بصورت تقریبی نود در صد در سیستم عامل ویندوز ،نگارش های دیگر هم جواب میدهد.این لیست را در ادامه بصورت منبع اصلی مشاهده نمایید:

An A-Z Index of the Windows XP command line

   ADDUSERS Add or list users to/from a CSV file
ARP Address Resolution Protocol
ASSOC Change file extension associations•
ASSOCIAT One step file association
ATTRIB Change file attributes
b
BOOTCFG Edit Windows boot settings
BROWSTAT Get domain, browser and PDC info
c
CACLS Change file permissions
CALL Call one batch program from another•
CD Change Directory - move to a specific Folder•
CHANGE Change Terminal Server Session properties
CHKDSK Check Disk - check and repair disk problems
CHKNTFS Check the NTFS file system
CHOICE Accept keyboard input to a batch file
CIPHER Encrypt or Decrypt files/folders
CleanMgr Automated cleanup of Temp files, recycle bin
CLEARMEM Clear memory leaks
CLIP Copy STDIN to the Windows clipboard.
CLS Clear the screen•
CLUSTER Windows Clustering
CMD Start a new CMD shell
COLOR Change colors of the CMD window•
COMP Compare the contents of two files or sets of files
COMPACT Compress files or folders on an NTFS partition
COMPRESS Compress individual files on an NTFS partition
CON2PRT Connect or disconnect a Printer
CONVERT Convert a FAT drive to NTFS.
COPY Copy one or more files to another location•
CSCcmd Client-side caching (Offline Files)
CSVDE Import or Export Active Directory data
d
DATE Display or set the date•
DEFRAG Defragment hard drive
DEL Delete one or more files•
DELPROF Delete NT user profiles
DELTREE Delete a folder and all subfolders
DevCon Device Manager Command Line Utility
DIR Display a list of files and folders•
DIRUSE Display disk usage
DISKCOMP Compare the contents of two floppy disks
DISKCOPY Copy the contents of one floppy disk to another
DISKPART Disk Administration
DNSSTAT DNS Statistics
DOSKEY Edit command line, recall commands, and create macros
DSACLs Active Directory ACLs
DSAdd Add items to active directory (user group computer)
DSGet View items in active directory (user group computer)
DSQuery Search for items in active directory (user group computer)
DSMod Modify items in active directory (user group computer)
DSMove Move an Active directory Object
DSRM Remove items from Active Directory
e
ECHO Display message on screen•
ENDLOCAL End localisation of environment changes in a batch file•
ERASE Delete one or more files•
EVENTCREATE Add a message to the Windows event log
EXIT Quit the current script/routine and set an errorlevel•
EXPAND Uncompress files
EXTRACT Uncompress CAB files
f
FC Compare two files
FIND Search for a text string in a file
FINDSTR Search for strings in files
FOR /F Loop command: against a set of files•
FOR /F Loop command: against the results of another command•
FOR Loop command: all options Files, Directory, List•
FORFILES Batch process multiple files
FORMAT Format a disk
FREEDISK Check free disk space (in bytes)
FSUTIL File and Volume utilities
FTP File Transfer Protocol
FTYPE Display or modify file types used in file extension associations•
g
GLOBAL Display membership of global groups
GOTO Direct a batch program to jump to a labelled line•
GPUPDATE Update Group Policy settings
h
HELP Online Help
i
iCACLS Change file and folder permissions
IF Conditionally perform a command•
IFMEMBER Is the current user in an NT Workgroup
IPCONFIG Configure IP
k
KILL Remove a program from memory
l
LABEL Edit a disk label
LOCAL Display membership of local groups
LOGEVENT Write text to the NT event viewer
LOGOFF Log a user off
LOGTIME Log the date and time in a file
m
MAPISEND Send email from the command line
MBSAcli Baseline Security Analyzer.
MEM Display memory usage
MD Create new folders•
MKLINK Create a symbolic link (linkd)
MODE Configure a system device
MORE Display output, one screen at a time
MOUNTVOL Manage a volume mount point
MOVE Move files from one folder to another•
MOVEUSER Move a user from one domain to another
MSG Send a message
MSIEXEC Microsoft Windows Installer
MSINFO Windows NT diagnostics
MSTSC Terminal Server Connection (Remote Desktop Protocol)
MUNGE Find and Replace text within file(s)
MV Copy in-use files
n
NET Manage network resources
NETDOM Domain Manager
NETSH Configure Network Interfaces, Windows Firewall & Remote access
NETSVC Command-line Service Controller
NBTSTAT Display networking statistics (NetBIOS over TCP/IP)
NETSTAT Display networking statistics (TCP/IP)
NOW Display the current Date and Time
NSLOOKUP Name server lookup
NTBACKUP Backup folders to tape
NTRIGHTS Edit user account rights
p
PATH Display or set a search path for executable files•
PATHPING Trace route plus network latency and packet loss
PAUSE Suspend processing of a batch file and display a message•
PERMS Show permissions for a user
PERFMON Performance Monitor
PING Test a network connection
POPD Restore the previous value of the current directory saved by PUSHD•
PORTQRY Display the status of ports and services
POWERCFG Configure power settings
PRINT Print a text file
PRNCNFG Display, configure or rename a printer
PRNMNGR Add, delete, list printers set the default printer
PROMPT Change the command prompt•
PsExec Execute process remotely
PsFile Show files opened remotely
PsGetSid Display the SID of a computer or a user
PsInfo List information about a system
PsKill Kill processes by name or process ID
PsList List detailed information about processes
PsLoggedOn Who's logged on (locally or via resource sharing)
PsLogList Event log records
PsPasswd Change account password
PsService View and control services
PsShutdown Shutdown or reboot a computer
PsSuspend Suspend processes
PUSHD Save and then change the current directory•
q
QGREP Search file(s) for lines that match a given pattern.
r
RASDIAL Manage RAS connections
RASPHONE Manage RAS connections
RECOVER Recover a damaged file from a defective disk.
REG Registry: Read, Set, Export, Delete keys and values
REGEDIT Import or export registry settings
REGSVR32 Register or unregister a DLL
REGINI Change Registry Permissions
REM Record comments (remarks) in a batch file•
REN Rename a file or files•
REPLACE Replace or update one file with another
RD Delete folder(s)•
RMTSHARE Share a folder or a printer
ROBOCOPY Robust File and Folder Copy
ROUTE Manipulate network routing tables
RUNAS Execute a program under a different user account
RUNDLL32 Run a DLL command (add/remove print connections)
s
SC Service Control
SCHTASKS Schedule a command to run at a specific time
SCLIST Display NT Services
SET Display, set, or remove environment variables•
SETLOCAL Control the visibility of environment variables•
SETX Set environment variables permanently
SFC System File Checker
SHARE List or edit a file share or print share
SHIFT Shift the position of replaceable parameters in a batch file•
SHORTCUT Create a windows shortcut (.LNK file)
SHOWGRPS List the NT Workgroups a user has joined
SHOWMBRS List the Users who are members of a Workgroup
SHUTDOWN Shutdown the computer
SLEEP Wait for x seconds
SLMGR Software Licensing Management (Vista/2008)
SOON Schedule a command to run in the near future
SORT Sort input
START Start a program or command in a separate window•
SU Switch User
SUBINACL Edit file and folder Permissions, Ownership and Domain
SUBST Associate a path with a drive letter
SYSTEMINFO List system configuration
t
TASKLIST List running applications and services
TASKKILL Remove a running process from memory
TIME Display or set the system time•
TIMEOUT Delay processing of a batch file
TITLE Set the window title for a CMD.EXE session•
TLIST Task list with full path
TOUCH Change file timestamps
TRACERT Trace route to a remote host
TREE Graphical display of folder structure
TYPE Display the contents of a text file•
u
USRSTAT List domain usernames and last login
v
VER Display version information•
VERIFY Verify that files have been saved•
VOL Display a disk label•
w
WHERE Locate and display files in a directory tree
WHOAMI Output the current UserName and domain
WINDIFF Compare the contents of two files or sets of files
WINMSD Windows system diagnostics
WINMSDP Windows system diagnostics II
WMIC WMI Commands
x
XCACLS Change file and folder permissions
XCOPY Copy files and folders
:: Comment / Remark•
+ نوشته شده در 89/01/11ساعت توسط هومن عزیزی |

  چرا به مركز داده نياز داريم؟

امين صفايي
ماهنامه شبکه

اشاره :

با توجه به پيشرفت روزافزون سيستم‌هاي كامپيوتري «دسترس‌پذيري» به‌عنوان يكي از اصول زيربنايي فناوري اطلاعات شناخته شده است. وقفه در كار سيستم‌هاي IT به خصوص سايت‌هاي تجارت الكترونيك، كه به هر دليلي ممكن است به وجود آيد، باعث ضررهاي زيادي خواهد شد. محافظت در مقابل مشكلاتي كه باعث توقف كار سرورها مي‌شوند، كار سختي است و هزينه زيادي در بر دارد. Data Center) DC) محلي است كه در آن اغلب سيستم‌ها و وسايل ارتباطي سازمان قرار مي‌گيرد و حاوي اطلاعات مورد نياز سازمان‌ها براي انجام عمليات كاريشان است. مثلاً در يك بانك مي‌توان از DC استفاده نمود و اطلاعات كليه مشتريان و عمليات حسابشان را در آن ذخيره نمود. مركز داده بايد با بالاترين استانداردها طراحي شود و دسترسي‌پذيري آن بسيار بالا باشد. با استفاده ازDC ها مي‌توانيم از اطلاعات خود محافظت بيشتري به عمل آوريم و در سيستم‌هاي خود قابليت دسترس‌پذيري بيشتري داشته باشيم.


مقدمه

در واقع زيربناي فناوري اطلاعات سخت‌افزار فيزيكي است كه كامپيوترها و كاربران را به يكديگر متصل مي‌كند. اين زيربنا شامل سرورها، ديسك‌هاي ذخيره اطلاعات، كابل‌ها، سوييچ‌ها و ... است. از طرف ديگر، اين زيربنا شامل نرم‌افزار نيز مي‌شود كه براي ذخيره كردن، مديريت، دريافت و ارسال اطلاعات به كار مي‌رود. در اين مقاله با مطرح كردن مسئله قابليت دسترسي به اطلاعات نياز به مركز داده مورد بررسي قرار خواهد گرفت و درباره پيش‌نيازهاي آن بحث خواهد شد.

قابليت دسترسي به اطلاعات

نياز به قابليت بالاي دسترسي به اطلاعات، حتي قبل از وجود اينترنت و تجارت‌الكترونيك احساس مي‌شد و شايد بتوان گفت به هزاران سال مي‌رسد! زماني كه يوناني‌ها با كشتي‌هاي جنگي به سفر مي‌رفتند، چندين پاروزن اضافه به همراه خود مي‌بردند تا اگر خدمه كشتي با مشكلي روبه‌رو شدند، بتوان سريعاً از آن نيروها استفاده نمود.

در ابتداي قرن بيستم نيز ابزار الكترونيكي خاصي وجود داشت كه مشكل سيستم را به صورت خودكار شناسايي مي‌كرد و آن را رفع مي‌نمود. اما امروزه با حضور اينترنت و نياز بيشتر ما به سيستم‌هاي اطلاعاتي، مسئله قابليت دسترسي بالا به اطلاعات، اهميت تازه‌اي پيدا كرده است. امروزه تجار و مصرف‌كنندگان براي فروش و خريد اجناس به سمت اينترنت رفته‌اند و انتظار مصرف‌كنندگان بيشتر شده است.

به نحوي كه مثلاً مي‌خواهند هر ساعتي كه اراده كردند، بتوانند كالا‌ي مورد نظر خود را از طريق اينترنت تأمين كنند. در تجارت الكترونيك، زمان، منطقه و مرزهاي جغرافيايي اهميتي ندارند و كامپيوترها سريع تر و ارزان‌تر شده‌اند و براي كارهاي مهم‌تري كه به كار 24 ساعته نياز دارند، استفاده مي‌شوند. يكي از اين كارها بانكداري آنلاين و الكترونيك است.

شکل 1


بر اساس تحقيقات به عمل آمده، سالانه حجم اطلاعات آنلاين 75 درصد افزايش پيدا مي‌كند و نياز به اطلاعات قابل دسترس‌تر بيشتر احساس مي‌شود. به نحوي كه بتوان به اطلاعات هر زمان دسترسي پيدا نمود. در نتيجه نرم‌افزار و سخت‌افزار بايد به نحوي تنظيم شوند كه Redundant باشند.

حال تصور كنيد كه اطلاعات در دسترس نباشد و هيچ‌كس نتواند به برنامه دسترسي پيدا كند يا آن‌كه سروري از كار بيفتد! آيا مي‌توان تجارت خود را به اين دليل تعطيل كنيم؟ يا به مشتريان خود بگوييم كه از جاي ديگر خريد كنند؟  آيا ديگر آن مشتري به سايت شما و در حقيقت به فروشگاه الكترونيك شما اعتماد خواهد كرد؟ ناتواني در ارايه سرويس به مشتريان سايت‌هاي تجارت الكترونيك مي‌تواند ضررهاي زيادي را در بر داشته باشد. مثلاً:

÷‌ در سال 1998 شركت AT&T  در اثر 26 ساعت توقف در ارايه خدمات به مشتريانش، هزاران مشتري خود را از دست داد.
÷‌ در سال 1999 مشتريان سايت ETrade به علت خرابي سايت نمي‌توانستند از سايت خريد كنند و اين امر باعث ضرر فراوان شركت شد.
÷‌ در ماه ژوئن سال 1999 سايت معروف eBay به مدت 22 ساعت با مشكل روبه‌رو شد و باعث شد حدود سه ميليون دلار ضرر كند.
÷‌ سايت معروف آمازون در ماه دسامبر سال 2000 به علت شلوغي نتوانست به خوبي عمل كند و باعث شد حدود پانصد هزار دلار ضرر نمايد.

شركت‌هاي تجاري در همه جاي دنيا براي به حداقل رساندن زمان خاموشي سيستم‌هايشان و افزايش ميزان دسترسي‌پذيري سيستم‌هايشان تلاش فراواني مي‌كنند. اولين قدم براي افزايش قابليت دسترسي اطلاعات، شناسايي عواملي است كه باعث وقفه در سيستم‌ها مي‌شوند.

از عوامل مهمي كه باعث وقفه در سيستم‌ها مي‌شوند، مي‌توان از خرابي سخت‌افزاري، مشكل نرم‌افزاري، اشكال در شبكه و باگ‌هاي نرم‌افزاري نام برد.

دسترس‌پذيري (Availability) در واقع به قسمتي از زمان مي‌گويند كه برنامه يا سرويس براي استفاده كاربر (يا همان مشتري) فراهم باشد و او بتواند به راحتي از آن استفاده نمايد. همه ما مي‌خواهيم Availability  سيستم‌هايمان به صددرصد برسد، ولي وقتي هزينه هنگفتي را محاسبه مي‌كنيم كه بايد براي رسيدن به اين سطح تحميل نماييم، به اين نتيجه مي‌رسيم عوامل ديگر را نيز در نظر بگيريم و بين زمان وقفه و هزينه‌ها تعادل ايجاد نماييم.

 وقفه
در ماه

وقفه
در سال
 

درصد
 وقفه
 

درصد
 دسترس‌پذيري

 14 ساعت و 36 دقيقه

3/7 روز 

2 درصد 

98 درصد 

 7 ساعت و 18 دقيقه

56/3 روز 

1 درصد 

99 درصد 

43 دقيقه و 45 ثانيه 

8 ساعت و 43 دقيقه 

1/0 درصد 

99/9 درصد 

4 دقيقه و 22 ثانيه 

5/52 دقيقه 

01/0 درصد 

99/99 درصد 

26 ثانيه 

52/5 دقيقه 

001/0 درصد 

99/999 درصد 

جدول 1

يعني مي‌توانيم با اطلاع قبلي به مشتريان خود در برخي مواقع مانند شب‌ها يا تعطيلات براي تعمير سيستم وقفه‌اي كوتاه در سيستم‌ها به وجود آوريم.

جدول 1 نشان مي‌دهد كه چگونه زمان‌هاي كوتاه در سال مي‌تواند وقفه به وجود بياورد و همچنان دسترس‌پذيري به صددرصد نزديك باشد. (جدول 1)

دلايل زيادي ممكن است باعث وقفه در سيستم شوند، ولي تقريباً حدود هشتاد درصد از عواملي كه باعث وقفه در سيستم مي‌شوند، توسط عوامل انساني و رويه‌ها به وجود مي‌آيند و بيست درصد بقيه مشكلاتي است كه دستگاه‌ها باعث آن هستند.

شكل 1 دلايل عمده وقفه در سيستم‌ها را نشان مي‌دهد. همان‌ طور كه در اين شكل مشاهده مي‌نماييد، حدود سي درصد را وقفه برنامه‌ريزي شده شامل مي‌گردد. 

اصولاً دلايلي كه باعث وقفه برنامه‌ريزي شده (Planned Downtime) مي‌شوند، عبارتند از:

ï‌ كپي پشتيبان
ï‌ تعويض سخت‌افزار
ï‌ به‌روزرساني نرم‌افزار
ï‌ تغيير ساختاري در برنامه‌ها
ï‌ به‌روزرساني سيستم‌عامل‌

دلايلي نيز كه باعث وقفه‌هاي برنامه‌ريزي نشده مي‌شوند، عبارتند از:

ï‌ خطاهاي انساني‌
ï‌ اشكال در نرم‌افزار
ï اشكال در سيستم‌عامل
ï‌ اشكال در سخت افزار مانند پردازشگر يا هارد درايو.
ï‌ حملات Cyber

 سال

نوع حمله Cyber 

ميزان تأثير بر اقتصاد 

1999 

Explorer 

02/1 ميليارد دلار 

 1999

 Melissa

 10/1 ميليارد دلار

 2000

 Love Bug

 75/8 ميليارد دلار

 2001

 SirCam

 15/1 ميليارد دلار

 2001

(Code Red(s

 62/2 ميليارد دلار

 2001

 Nimda

635 ميليارد دلار

جدول 2

جدول 2 تأثير اقتصادي حملات در فضاي Cyber بر اقتصاد جهاني را نشان مي‌دهد. (جدول 2)

هزينه وقفه در سيستم‌هاي سايت‌هاي تجارت الكترونيك بسيار بالا است. البته برآورد اين هزينه كار آساني نيست  و عواملي مانند عدم رضايت مشتريان، عمليات از بين رفته و... را نمي‌توان محاسبه نمود.
 
آماري كه در اين رابطه وجود دارد، از سايت www.computereconomics قابل دسترسي است. جدول 3 قسمتي از اين آمار را بررسي مي‌كند.

شكل 2 تعداد تقريبي استفاده‌كنندگان از اينترنت را نشان مي‌دهد كه از سال 2002 تا 2006 در حال افزايش هستند.

اگر به عدد 919 ميليون مشتري در جهان، كه امسال حتماً به يك ميليارد خواهد رسيد، توجه كنيم مي‌توانيم بگوييم كه اگر جمعيت تقريبي جهان كه تقريباً 5/6 ميليارد باشد (25 خرداد 1386) تقريباً 6/1 جمعيت دنيا كاربران اينترنت هستند و اگر سايت ما قابليت دسترسي بالايي نداشته باشد، حتماً شركت ما كه با اين گروه بزرگ از كاربران در ارتباط مستقيم خواهد بود، ضرر زيادي خواهد كرد.

شکل 2



وقتي از دسترس پذيري صحبت مي‌كنيم، بايد به سطوح مختلف آن نيز توجه كنيم؛ زيرا مقدار دسترسي مورد نياز به عوامل زيادي بستگي دارد. سطوح دسترسي‌پذيري عبارتند از:

سطح يكم: ارتقاي سطح اطمينان سخت‌افزاري

در اين سطح كه به «سطح پايه» نيز مشهور است، دسترس‌پذيري با استفاده از يك سيستم ساده مديريت مي‌گردد. اين سيستم از امكانات سخت‌افزاري مانند منبع تغذيه، ديسك‌ها و فن‌هاي اضافه استفاده مي‌كند. در اين سطح اگر ديسك‌هاي سخت خراب شوند، اطلاعات از بين خواهد رفت.

در اين سطح بيشتر بر قابليت اعتماد به سخت‌افزارهاي سيستم تكيه شده است و اين به تنهايي كافي نيست. امروزه بيشتر سخت‌افزارهاي سرورها از قابليت اطمينان (Reliability) زيادي برخوردار هستند، ولي آيا به نظر شما اين كافي است؟

مثلاً فرض كنيد سروري كه به آن 99 درصد اطمينان داريد، هر سال 5/3 روز از كار بيفتد (جدول 1) و اين اتفاق ممكن است هر وقت پيش بيايد. همچنين نمي‌توان تنها به اجزاي سخت‌افزاري اعتماد كرد. مثلاً اگر يك سي‌پي‌يو، 99 درصد مطمئن باشد (از آن جا كه سيستم شامل چندين جزء است) نمي‌تواند دليل آن باشد كه كل سيستم از 99درصد اطمينان برخوردار است.

اگر مجسم كنيد كه يك سيستم از ده جزء تشكيل شده است، كه هر يك 99درصد قابل اطمينان هستند، ولي هر يك مي‌توانند به تنهايي خراب شوند، آمار به ما  نشان مي‌دهد كه قابليت اطمينان كل سيستم تنها  99/0درصد‌به توان 10 است؛ يعني  44/90 درصد.

با اين درصد تقريبا ‌ًDowntime سيستم به 9/34 روز در سال مي‌رسد. از طرفي خرابي سخت افزار همان‌طور كه در شكل 1 مشاهده كرديد، تنها ده درصد از عوامل وقفه در سيستم را نشان مي‌دهد. پس مي‌توان گفت كه سطح اول دسترس‌پذيري كه (استفاده از سخت‌افزار مطمئن است) اگر چه لازم است، به هيچ وجه كافي به نظر نمي‌رسد.

سطح دوم: نگهداري از اطلاعات (Data Protection)

در سرورها اطلاعات توسط مقادير RAID حفاظت مي‌شود. RAID-5 مي‌تواند ما را در مقابل خرابي ديسك‌ها محافظت كند، ولي نمي‌تواند از ما در مقابل مشكلات كنترل‌ها و اشكالات زيرسيستم‌ها محافظت به عمل آورد. پس كافي به نظر نمي‌رسد.

سطح سوم: سرورهاي Fault-Tolerant
اگرچه سرورهاي  Fault-Tolerant به نحوي طراحي شده‌اند كه هر يك از اجزا يك يار كمكي (Redundant) داشته باشد و سوييچ از سرور به پشتيبان‌كننده آن، زماني نزديك به صفر است. با اين حال اين سرورها بسيارگران هستند. به علا‌وه، مشكل‌ Single Point of Failure) SPOF) دارند.

سطح چهارم: سرورهاي جايگزين (Clustering)

Clustering از تمامي مشكلاتي كه در سطح سرور ممكن است پيش بيايد، محافظت مي‌كند. در اين روش دو يا چند سيستم به صورت خوشه‌اي (Clustered) با هم جمع شده‌اند و توسط نرم‌افزار مديريت over Fail هدايت مي‌شوند. 

نرم‌افزارهاي رايج در Clustering عبارتند از:- ‌VEREITAS Cluster Server) VCS)
‌- High Availability Cluster Multiprocessing) HACMP) از IBM
- ‌Hewlett/Packard's MC/ServiceGuard
- ‌Microsoft Cluster Server) MSCS)
- Sun Cluster) SC)

سطح پنجم: بازيابي اطلاعات از دست رفته (Disaster Recovery)

از آن جا كه ممكن است سطح 4 نيز توسط عوامل محيطي (مثل سيل يا زلزله) مورد آسيب قرار گيرد، مي‌توان از ابزارهاي Disaster Recovery جهت ادامه كار استفاده نمود.

با استفاده از مركز داده مي‌توانيم محيطي را فراهم سازيم و سيستم‌هاي خود را در آن متمركز كنيم. اين مراكز داده با استفاده از بالاترين استانداردها و تجهيزات اين تضمين را به ما مي‌دهند كه سيستم‌هاي ما دسترس پذيري بالاتري خواهند داشت.

پيش‌نيازها

براي ايجاد مركز داده كه بتواند محيطي امن و مطمئن را جهت بالابردن دسترس‌پذيري سيستم‌هاي ما مهيا سازد، پيش‌نيازهاي زير بايد مد نظر قرار گيرد:

-‌  ايجاد محيطي كه دما و رطوبت آن كنترل شده باشد.
-‌ ايجاد محيطي امن براي شبكه، سرورها و منابع ذخيره اطلاعات‌
-‌ ايجاد ارتباط شبكه‌اي كه 24ساعته در روز و 7 روز هفته كار كند.‌
-‌‌ مهيا ساختن انرژي مورد نياز تمامي تجهيزات‌

براي اين‌كه بتوانيم مركز داده مناسبي را طراحي نماييم، به پيش‌نيازهاي خاصي نيز احتياج داريم كه در ادامه به آن‌ها اشاره مي‌گردد.

نياز به فضاي مناسب

براي قرار دادن اجزاي مركز داده از جمله سرورها، منابع ذخيره داده، Air condition ،Vebtilation ،(HVAC) Head، پانل‌هاي برق و... فضاي خالي و مناسب مورد نياز است. براي سرورهاي كوچك مي‌توان از Rackها استفاده نمود، ولي براي قرار دادن تجهيزات بزرگ مانند EMC Symmetrix Storage Array يا IBM Enterprise Storage Server كه به آن Shark نيز مي‌گويند ‌يا Sun Fire 6800 نمي‌توان از Rack استفاده كرد و بايد آن ها را مستقيماً روي زمين قرار داد.

براي محاسبه اين‌كه چند دستگاه در يك Rack جا مي‌شود، بايد از اندازه آن مطلع بود. Rackها اندازه‌هاي مختلفي دارند مقياس اندازه‌ ‌ارتفاع Rackها U است. (هر U معادل 75/1 اينچ است). مثلاً به Rack با ارتفاع 78 اينچ 45U  مي‌گويند. براي طراحي فضاي مركز داده بايد به نحوي Rackها و دستگاه‌هاي مستقر روي زمين را طراحي كرد كه حدود پنجاه درصد فضاي خالي براي عبور هوا بين دستگاه‌ها وجود داشته باشد.

برق مورد نياز براي تمام دستگاه‌ها

براي جلوگيري از نوسانات برق در مركز داده بايد از UPS استفاده شود. معمولاً UPSها مي‌توانند به اندازه يك ساعت انرژي مورد نياز را تأمين نمايند. البته دانستن اين‌كه هر دستگاه چه اندازه نيرو مصرف مي‌كند نيز اهميت دارد.

لزوم وجود هواي خنك و تهويه هوا

اتاقي كه مركز داده مي‌شود، بايد داراي دماي پايين باشد و رطوبت كمي داشته باشد. مقياس اندازه دما BTU يا British Thermal Unit در هر ساعت است. براي اطلاع از BTU هر دستگاه مي‌توانيد دفترچه راهنماي استفاده آن را مطالعه كنيد. مثلاً IBM ESS Storage Subsystem به 16000BTUs در هر ساعت نياز دارد.

پهناي باند مورد نياز شبكه

براي مركز داده بايد پهناي باند مناسب در نظر گرفته شود. اغلب Multimode Fiber) Cat5) مي‌توانند پهناي باند مناسب را براي مركز داده فراهم سازند. دستگاه‌هاي مختلف به پهناي باند متفاوت نياز دارند مثلاً IBM p690 به 12multimode fiber نياز دارد، IBM Enterprise Storage Server به دو Cat5 و ركي با پنج دستگاه و دو Rack Storage Subsystems، ده Cat5 و دو multimode fiber نياز دارد.

انتخاب مكاني مناسب

فضايي كه مركز داده در آن واقع مي‌شود، بايد امن و دور از خطرهاي طبيعي باشد. همچنين مركز داده بايد از فضاهايي كه ممكن است خطرهايي در آن به وجود آيد (مانند فرودگاه، خط ريل قطار يا اطراف مركز مخابرات)، دور باشد.

طراحي ساده

در طراحي مركز داده كه مرحله قبل از پياده‌سازي آن است، بايد موارد زير حتماً رعايت گردد:

˜‌ طراحي را تا حد ممكن ساده انجام دهيد و آن را پيچيده نكنيد. براي هر سرور، منبع ذخيره داده، سيم، سوييچ و ... از برچسب استفاده كنيد. همچنين قسمت‌هايي از اتاق كه وسايل در آن قسمت قرار مي‌گيرد را به نحوي طراحي كنيد كه به راحتي قابل دسترسي باشد.
˜‌ طراحي مركز داده بايد قابل تغيير باشد و براي اتاق‌هاي بزرگ‌تر يا كوچك‌تر نيز بتوان از استفاده نمود. 
˜‌ طراحي بايد قابل تعديل و تنظيم باشد و بتوان تجهيزات آن را به راحتي به‌روزرساني نمود.

منابع

- Administrating Data Center, K.Jayaswal, Wiley 2006
-  
www.computereconomics.com
-  
http://hightech.lbl.gov/datacenters.html
-  
www.techxact.com/datacenter

  
+ نوشته شده در 88/08/26ساعت توسط هومن عزیزی |

اعجاز مجازي‌سازي‌؛ فناوري مجازي‌سازي مراكز داده تجاري را دگرگون مي‌سازد

ترجمه اميرحسين رجبي
ماهنامه شبکه 

اشاره :

به نظر مي‌رسد در صنعتي كه «شاهكارهاي بزرگ بعدي» معمولا‌ً نااميدكننده از آب درمي‌آيند، مجازي‌سازي نويددهنده تحولات شگرفي خواهد بود. اين فناوري به سازمان‌ها اجازه مي‌دهد تا نياز كمتري به اضافه‌كردن سرورهاي بيشتر و بزرگ‌تر در ديتاسنترهاي داراي محدوديت مكاني داشته‌باشند. در اين مقاله بررسي مي‌شود كه شركت‌ها چطور از مزاياي مجازي‌سازي بهره مي‌برند و اين فناوري چگونه از معضلات بعدي جلوگيري مي‌كند.


منبع: اينفورميشن‌ويك‌

زماني صاحبان روزنامه Charlotte Observer تلاش مي‌كردند راهي پيدا كنند تا سرورهاي بيشتري را به مركز داده متراكم خود اضافه نمايند. اين مركز داده كه از ابتدا براي يك مين‌فريم طراحي مي‌شده بود، دو هزار فوت مربع وسعت داشت و تقريباً با 150 سرور مبتني بر معماري اينتل پر شده بود و هنوز هم نياز بيشتري احساس مي‌شد.

راه‌حل چه بود؟ در نهايت مديران اين رسانه روشي را يافتند كه بر خلا‌ف تصور به نظر مي‌رسد. آن‌ها به جاي اين‌كه سرورهاي بيشتري را به كار گيرند، چهارده ماه گذشته را صرف حذف آن‌ها كردند. بدين ترتيب كه سرورهاي تك‌منظوره را به ماشين‌هاي مجازي در كامپيوترهاي ميزبان تغيير شكل دادند.

Geoff Shorter مدير زيرساخت‌هاي IT آبزرور مي‌گويد: «همچنان‌كه سرورها كم مي‌شدند فضاي بيشتري باز مي‌شد (در حال حاضر به 120 عدد كاهش پيدا كرده‌اند). هزينه‌هاي مصرف برق و سيستم‌هاي خنك‌كننده به نصف كاهش پيدا كرده‌اند؛ يعني از هفت‌هزار دلار به 3500 دلار در ماه رسيده‌اند.»
 
شورتر انتظار دارد تعداد سرورها تا سه سال آينده به سي سرور مجهز به پردازنده‌هاي چهارهسته‌اي كاهش پيدا كند و مركز داده نيز به هشتصد فوت مربع، يعني چيزي كمتر از نصف وسعت فعلي برسد. او مي‌گويد: «ما براي مجازي كردن همه سرورها برنامه‌ريزي مي‌كنيم.»

مجازي‌سازي يا علم ايجاد محيط‌هاي كاربردي مستقل متعدد روي يك سرور فيزيكيِ منفرد، جايگزين راه‌هاي قبلي مديريت منابع محاسباتي خواهد شد و مهارت‌هاي مورد انتظار از متخصص IT را تغيير مي‌دهد. به بيان ديگر، در صنعتي كه به لطف «شاهكار بزرگ بعدي» به پيش مي‌رود (و البته معمولا‌ً از اين شاهكارها نااميد مي‌شود!) مجازي‌سازي نويد كارايي بيشتر سخت‌افزار، تخصيص منابع بهتر، خدمات برنامه‌اي انعطاف‌پذير و هزينه‌هاي كمتري را مي‌دهد.

البته مشكلاتي نيز وجود دارد. تغيير به سمت و سوي يك محيط مجازي ارزان نيست. امنيت، يك چالش مهم است. به علاوه، ممكن است كارايي برنامه‌ها كاهش يابد و حمايت توليدكنندگان از برنامه‌هاي مجازي نيز مي‌تواند يك مسئله باشد. خلاصه  اين كه، رشد سريع ماشين‌هاي مجازي ممكن است منجر به تكرار مشكلات ناشي از افزايش سريع تعداد سرورها گردد.

در صورتي كه مجازي‌سازي به طور صحيح مديريت شود، فناوري و روش‌هايي براي اين كار پديد مي‌آيد، و به مديران IT براي تغيير شكل مراكز داده و مهار پيچيدگي‌اي كه ممكن است آن‌ها را در گرداب فضاي مناسب غرق كند، ابزارهاي قدرتمندي ارائه مي‌دهد.

تحركات مثبت

ماه گذشته گروهي از متخصصان IT در كنفرانس VMworld (با حمايتVMware، شركت پيشرو در زمينه مجازي‌سازي) براي بحث درباره چگونگي رسيدن به مجازي‌سازي صحيح دور هم جمع شدند. وقتي دو سال پيش اين حركت آغاز شد، VMworld هزار و دويست علاقمند را پيش‌بيني مي‌كرد، ولي تعداد آنان به هفت‌هزار نفر رسيد.

Andy Bechtolsheim معمار ارشد گروه سيستم‌هاي شبكه سان در محل همايش مي‌گويد: «اين اجتماع بزرگ يادآور جامعه پرشور مكينتاشي‌ها است.»

الفباي مجازي‌سازي
مجازي‌سازي در صنعت کامپيوتر لغت‌نامه خاصي دارد. در اينجا چند اصطلاح ارائه مي‌شود

ماشين مجازي: يک نمونه از سيستم‌عامل که برنامه‌اي را با پارامترهاي معيني روي کامپيوتر ميزبان اجرا مي‌کند. پارامترهايي مانند چه تعداد سيکل پردازنده بايد به آن اختصاص يابد.

Hyperviser: هسته اصلي يک سيستم‌عامل که به فراخواني‌هاي ماشين‌هاي مجازي چندگانه پاسخ مي‌دهد و آن‌ها را به درخواست‌هايي براي سخت‌افزار ترجمه مي‌کند. با اين روش کارايي افزايش پيدا مي‌کند.

Paravirtualization: روشي که به يک hypervisor اجازه مي‌دهد با درايوهاي سخت‌افزاري سيستم‌عامل ميزبان تعامل داشته باشد، که توسط موتور ماشين مجازي اپن سورس Xen استفاده مي‌شود.

ابزار مجازي: ترکيبي از برنامه کاربردي و سيستم‌عامل که براي اجراي توأم بهينه شده و به يک فايل مجازي که آماده براي اجرا در ماشين مجازي مي‌باشد، تبديل شده است.

قالب‌بندي ديسک سخت مجازي: فرمت مايکروسافت براي فايل‌هاي مجازي. مايکروسافت تعهد کرده است که آن را باز بگذارد. بنابراين نرم‌افزارهاي شرکت‌هاي ديگر ممکن است با آن مجازي شود و در يک محيط ويندوزي اجرا شود.


Chuck Timm، مهندس جوان شبكه، در حالي كه در راهروي سالن كنفرانس قدم مي‌زند، توضيح مي‌دهد كه چطور از بيمارستان ادوارد در ناپرويل I11 به لس‌آنجلس آمده است.

اين بيمارستان نيز مانند شارلوت آبزرور جايي خالي در مركز داده خود ندارد. تيم مي‌گويد: «من به مديريت بيمارستان گفتم ‌كه مرا به اين كنفرانس بفرستند. وگرنه، مركز داده به وضعيت انفجار خواهد رسيد.»

تاكنون اغلب واحدهاي IT به منظور پشتيباني از تعداد بيشتري از كاربران، و نيز برنامه‌هاي كاربردي و تراكنش‌هاي بيشتر به افزايش كامپيوترها روي مي‌آوردند.

David Ostager مهندس ارشد زيرساخت‌هاي Fidelity Natienal Real Estate solutions، با ناراحتي مي‌گويد: «همه جا كابل‌كشي شده است. ما هيچ جايي براي گسترش در ساختمان خود نداريم. من تصميم دارم كل مركز داده را مجازي كنم.»

در حال حاضر، Fidelity، در ابتدا اپليكشن سرورهاي خود را تقريباً با پنج ماشين مجازي روي هر سرور فيزيكي مجازي كرده است. اين كار اغلب اولين مرحله از مجازي‌سازي است؛ زيرا تست نرم‌افزار نياز به محيط‌هاي اجراي متفاوت دارد. Ostager مي‌گويد: «اگر فيدليتي سرورهاي فيزيكي خود را گسترش مي‌داد، هر بار كه نياز به ماشين جديد پيدا مي‌كرد، سرورهاي قبلي بهره‌وري خود را از دست مي‌دادند.» مرحله بعدي براي شركت اجراي چند برنامه تجاري روي ماشين‌هاي مجازي است.

اما پيشرفت‌هاي بيشتري هم حاصل شده‌است. به عنوان مثال يك شركت بزرگ توليدكننده موتورهاي جت از مرحله تست نرم‌افزار فراتر رفته و به مرحله مجازي‌سازي برنامه‌هاي كاربردي وب سرور و پايگاه‌هاي داده مايكروسافت و اوراكل رسيده است.

شركت مذكور از Esx server  ساخت VMwave براي اجراي 110 ماشين مجازي روي شانزده سرور فيزيكي استفاده مي‌كند. john panatonni، طراح سيستم‌هاي IT مي‌گويد: «ما مشغول آموزش افراد مناسب هستيم و نسبت به اين فرايند مطمئن هستيم.»

احمد مشعل در راه برگشت از دنياي ماشين‌هاي مجازي به هتل محل اقامتش در پايان روز تعريف مي‌كند كه چطور بخش ارتباطات راه‌دور و بي‌سيم شركت FCC، بيشتر  زيرساخت IT خود شامل سرورهاي وب، سرورهاي توسعه نرم‌افزار و سرورهاي بانك‌اطلاعاتي را مجازي كرده است. تقريباً سه چهارم برنامه‌هاي ارتباط از راه‌دور FCC در ماشين‌هاي مجازي اجرا مي‌شوند.

مشعل، كارمند سابق بخش IT و برنامه‌نويس پيماني فعلي FCC مي‌گويد: «ماشين مجازي به سادگي مديريت يك فايل روي يك كامپيوتر شخصي است. شما مي‌توانيد آن ‌را كپي نماييد، از آن نسخه پشتيبان تهيه كنيد يا به يك لپ‌تاپ منتقل سازيد. انعطاف‌پذيري آن بسيار بالا‌ است.»

Diame Greene، رئيس شركت VMwarw، مي‌گويد: «فناوري مجازي‌سازي به مديران مراكز داده اجازه مي‌دهد روي واحدهاي نرم‌افزاري كوچك‌تر كه براي اجرا در ماشين‌هاي مجازي تهيه شده‌اند، تمركز كنند؛ به جاي اين‌كه با نرم‌افزارهاي كاملا‌ً يكپارچه شده با سرورهاي مستقل دست و پنجه نرم كنند.»
 
Diame Greene، رئيس شرکت VMwarw، مي‌گويد: «فناوري مجازي‌سازي به مديران مراکزداده اجازه مي‌دهد روي واحدهاي نرم‌افزاري کوچک‌تر که براي اجرا در ماشين‌هاي مجازي تهيه شده‌اند، تمرکز کنند؛ به جاي اين که با نرم‌افزارهاي کاملاً يکپارچه شده با سرورهاي مستقل دست‌وپنجه نرم کنند.»
با اين حال او تحول سريع را پيشنهاد نمي‌كند. به زعم وي مي‌توان استفاده از مجازي‌سازي را به آرامي آغاز كرد و سپس آن ‌را از يك برنامه به برنامه‌اي ديگر گسترش داد. او مي‌گويد: «مجازي‌سازي در بين فناوري‌هاي تفرقه‌افكن كمترين تفرقه را ايجاد مي‌كند.»

بخشي از هيجان مجازي‌سازي اين است كه بسياري از پذيرندگان در حال حركت به آن سوي مرحله يكپارچه‌سازي سرور هستند. در يك تحقيق كه در ماه آگوست منتشر شده و بر اساس 150 مصاحبه با اولين پياده‌كنندگان اين فناوري انجام گرفت، Andi Mann، مشاور enterprise Management Associates، بازيابي اضطراري داده‌ها و پيوستگي تجاري را به عنوان محرك اصلي مجازي سازي معرفي كرد.

كپي‌هاي تركيبي از نرم‌افزار شركت (سيستم‌عامل، برنامه‌هاي كاربردي و بانك‌هاي اطلاعاتي) مي‌توانند ايجاد شوند و به كامپيوترهاي بيرون انتقال يابند تا در يك لحظه روي ماشين‌هاي مجازي به كار گرفته شوند. اين بازيابي آني همان‌طور ‌كه گرين مي‌گويد، بدون سرمايه‌گذاري روي سخت‌افزار اختصاصي ‌امكانپذير است؛ زيرا نرم‌افزاز مجازي‌ مي‌تواند در ماشين‌هاي مجازي روي سخت‌افزار موجود اجرا شود. دو مركز داده مي‌توانند به عنوان پشتيبان يكديگر هميشه آماده باشند.

چنين قاعده‌اي براي برنامه‌هاي مركزداده نيز صدق مي‌كند. شارلوت آبزرور، برنامه‌هاي گردش كاري خود را كه روي يك بانك‌اطلاعاتي اوراكل اجرا مي‌شوند و شامل ارسال روزنامه‌ها، صورت‌حساب مشتريان و آبونمان‌هاي جديد مي‌باشند، مجازي كرده ‌است. اگر يك برنامه گردش كار با مشكل مواجه شود، ديگري مي‌تواند از يك ديسك درايو شروع شود و در يك ماشين مجازي روي هرسروري كه در دسترس باشد اجرا شود.

قطع ارتباط‌

چيزي كه در رابطه با مجازي‌سازي در ابتدا مشهود نيست، اين است كه اساساً ارتباط بين نرم‌افزار و سخت‌افزار را تغيير مي‌دهد. يك برنامه معمولاً روي يك سيستم‌عامل كه با قطعه سخت‌افزار معيني هماهنگ شده اجرا مي‌شود؛ مجازي‌سازي ارتباط تنگانگ سيستم‌عامل را با سخت‌افزار مي‌شكند، و سپس اين ارتباط را مستقيماً با برنامه برقرار مي‌سازد.

اين همان جايي است كه مسئله ابزار مجازي مطرح مي‌شود. سپس سيستم‌عامل و برنامه كاربردي در يك فرمت فايل مجازي تركيب شده و براي اجرا روي يك ماشين مجازي آماده مي‌شوند. ابزارهاي مجازي از طريق وب قابل‌دانلود هستند و مي‌توانند از يك سرور به سرور ديگر انتقال يابند.

VMware مجموعه‌اي از يك بازار ابزارهاي مجازي دارد كه در آن 347 برنامه پيش‌پيكربندي شده در دسترس هستند. وقتي يك ابزار مجازي دانلود مي‌شود، براي اجرا آماده است بدون نصب، كه گاهي‌ در برنامه‌هاي جديد دردسرساز است.

چيزي که در رابطه با مجازي‌سازي در ابتدا مشهود نيست، اين است که اساساً ارتباط بين نرم‌افزار و سخت‌افزار را تغيير مي‌دهد. يک برنامه معمولاً روي يک سيستم‌عامل که با قطعه سخت‌افزار معيني هماهنگ شده اجرا مي‌شود؛ مجازي‌سازي ارتباط تنگاتنگ سيستم‌عامل را با سخت‌افزار مي‌شکند، و سپس اين ارتباط را مستقيماً با برنامه برقرار مي‌سازد.
Rich lechner، معاون بخش مجازي‌سازي آي‌بي‌ام، مي‌گويد: «استفاده از چنين فايل‌هاي مجازي مي‌تواند هزينه بخش نگهداريIT   را كه معمولا‌ً هفتاد درصد از هزينه‌هاي كل را شامل مي‌شود، به بيست درصد كاهش دهد.»

انعطاف‌پذيري ايجاد‌شده توسط مجازي‌سازي، يكي از كليدهاي فرار از انعطاف‌ناپذيري سخت‌افزاري مراكز داده و دستيابي به يك تشكيلات سازگارتر است، ولي توسعه ماشين‌هاي مجازي مشكلات خاصي دارد.

ابزارهاي مديريت سيستم‌ها تمايل دارند يا با سرورهاي فيزيكي كار كنند يا با سرورهاي مجازي و نه هر دو. فقط unicenter ASM11.1 ساخت شركت CA و چند ابزار ديگر مي‌توانند هر دو نوع سرور را پشتيباني نمايند و آن‌ها را به يكديگر مرتبط سازند.

تاكنون فراهم‌كنندگان مجازي‌سازي شامل VMware و Virtual iron Softwar، سريع‌تر از فراهم‌كنندگان مديريت سيستم‌ها مانند اچ‌پي و آي بي‌ام حركت كرده‌اند. مديران سيستم‌ها تمايل دارند مديريت مجازي‌سازي با كنسول‌هاي مديريت سيستم‌هاي موجود عجين شود.

مشعل، پيمانكار FCC و كاربر كنسول Virtual Center از VMware مي‌گويد كه ابزارهاي جديد، توليد ماشين‌هاي مجازي را به هر تعداد كه بخواهيد، آسان كرده است. حذف آن‌ها نيز تقريباً به همان آساني است. بنابراين، بايد مراقب باشيد‌.

‌او شاهد بوده است كه يك مدير IT فرمان اشتباه انتخاب كرده و يك ماشين مجازي را پاك كرده است؛ همان‌طور كه شما يك فايل ورد را پاك مي‌كنيد. خوشبختانه با استفاده از ويژگي‌هاي پشتيبان‌گيري و بازيابي در كنسول مديريت آن‌ها توانستند در مدتي حدود پانزده دقيقه يك ماشين مجازي جديد را مهيا كنند.

موضوع ديگر اين‌كه، وقتي يك بسته نرم‌افزاري در يك ماشين‌مجازي اجرا مي‌شود، ممكن است مشكلاتي در پشتيباني فني به وجود آيد. متخصص پشتيباني نمي‌دانند كه مشكل مربوط به برنامه مي‌شود يا نرم‌افزار ماشين مجازي شركت‌هاي ديگر.

بنابراين ممكن است قبل از اين‌كه شروع به سرويس‌دهي كنند، بر اين مسئله اصرار ورزند كه مشكل نسبت به سرور واقعي دو برابر شده است. تيم از بيمارستان ادوارد چنين تجربه‌اي را با پشتيباني مايكروسافت داشته است.

Gordon Haff، تحليلگر Illuminata هشدار مي‌دهد كه همه حفره‌‌هاي امنيتي مربوط به ماشين‌هاي مجازي پوشش داده نشده است. هنگامي‌كه يك سيستم‌عامل سرور را ارتقا مي‌دهيد، چند ابزار وصله‌كردن وجود دارد كه به شما اطمينان مي‌دهند هر سيستم‌عامل ماشين مجازي به خوبي وصله شده است.

هاف مي‌گويد: «اگر يك ماشين مجازي كه اجرا مي‌شود وصله امنيتي را نگيرد، چه مي‌شود؟ وقتي يك نفوذگر كنترل آن را به دست بگيرد، بي‌مسئوليتي است كه بگوييم، هيچ‌كس نمي‌دانست چنين خطري وجود داشته است.»

و چه كسي امنيت ماشين‌هاي مجازي را تضمين مي‌كند؛ مخصوصاً در پياده‌سازي سمت ميزبان كه برنامه كاربردي يك شركت مي‌تواند لحظه‌اي بعد از رقيبش اجرا شود؟

استگر از فيدليتي‌نشنال نگران اين موضوع نيست. او مي‌گويد: قسمتي از جذابيت ماشين‌هاي مجازي اين است كه آن‌ها نمي‌توانند از فضاي حافظه كه توسط مدير سيستم اختصاص داده شده است، تجاوز كنند. اين‌ها خودكنترل هستند. به طوري كه از انعطاف‌پذيري مناسبي جهت گسترش برنامه‌ها باهم روي يك سرور فيزيكي برخوردارند و تضادي هم ايجاد نمي‌شود.

حتي ممكن است مجازي‌سازي از بعد امنيتي داراي مزايايي نيز باشد. گرين بيان مي‌كند كه ابزارهاي مجازي مطمئن‌تر از برنامه‌هاي روي كامپيوترهاي فيزيكي هستند؛ چراكه يك ابزار مجازي تمام اجزاي غيرضروري سيستم‌عامل را غيرفعال مي‌كند يا دور مي‌ريزد. همچنين باعث بسته شدن راه نفوذ ديگران مي‌شود.

معماري مبتني بر سرويس‌دهي در مجازي‌سازي نگراني كمتري ايجاد مي‌كند. سرويس‌ها برنامه‌هاي كوچكي هستند كه بايد سريعاً در دسترس قرار بگيرند و يك راه براي آن اين است كه آن‌ها را براي اجرا در ماشين‌مجازي قالب‌بندي كنيم.

لچنر، از شركت آي بي‌ام، مي‌گويد كه هر كدام در محيط مجازي خود اجرا مي‌شود‌ معماري مبتني‌بر سرويس‌دهي را امكانپذير، ولي براي رسيدن به آن نقطه، كاركنان بخش IT مجبورخواهند بود  نود درصد از برنامه‌هاي خود را به فايل‌هايي كه مي‌توانند در ماشين مجازي اجرا مي‌شوند تبديل كنند.

نياز به حافظه‌
آي‌بي‌ام، اچ‌پي و سان‌مايكروسيستمز سال‌ها اشكال اختصاصي از مجازي‌سازي داشته‌اند. آي‌بي‌ام مجازي‌سازي را در سيستم‌عامل ماشين‌مجازي خود استفاده مي‌كرد كه در واقع «guests» را روي مين‌فريم اجرا مي‌كرد.

اچ پي با virtual server Environment خود مي‌تواند ماشين‌هاي مجازي را توليد كند و براي بازاريابي پروژه Virtual Desktop Infrastructure سرگرم همكاري با VMware است تا به مصرف‌كنندگان نهايي برنامه مجازي را خارج از يك سرور مركزي ارائه مي‌دهد.

فناوري مجازي‌سازي اوليه مانند سرور GSX اوليه VMware و virtual server مايكروسافت يك سيستم‌عامل و برنامه را در هر ماشين مجازي Duplicate مي‌كند و براي ارسال دستورالعمل‌ها به سخت‌افزار به سيستم‌عامل مجازي تكيه مي‌كند. تعدد سيستم‌عامل باعث افزايش درخواست ماشين مجازي براي حافظه مي‌شود. در مورد ويندوز همچنين بار هزينه‌اي قابل‌توجهي براي كسب مجوز نيز به آن اضافه مي‌شود.

فناوري پيشرفته‌تر VMware يعني ESX Server و موتور ماشين ‌مجازي سورس‌باز xen به چيزي به نام hypervisorمجهز هستند. در اينجا بخشي از نرم‌افزار مجازي فراخواني منابع سخت‌افزاري را ازطرف ماشين‌هاي مجازي متعدد روي يك سرور مديريت مي‌كند.

اين روش كارايي بيشتري دارد؛ زيرا يك hypervisor مي‌تواند ماشين‌هاي مجازي زيادي را پشتيباني كند و دستورات نرم‌افزار را مستقيماً به سخت‌افزار برساند. به جاي اين‌كه اين كار از طريق ارائه سيستم‌عامل انجام شود. همه فناوري‌هاي مجازي‌سازي بر اساس بعضي تخمين‌ها حداكثر تا پانزده درصد كاهش كارايي را به همراه دارند و كارايي موضوع حساسي به شمار مي‌آيد: VMware در قراردادهاي خود ملزم مي‌كند كه مشتريان نبايد اطلاعات كارايي را درمورد محصولاتش فاش كنند؛ مگر اين‌كه طي مراحلي بررسي و تأييد شده باشد. سخنگوي VMware مي‌گويد: «تا حالا هيچ كس اين پيشنهاد را نكرده است.»

در آبزرور، شارلوت تست‌هايي را روي Virtual Iron3 از شركت virtual Iron كه براساس Xen hypervisor مي‌باشد انجام داده است. او مي‌گويد يك برنامه گردش كاري كه اجرايي آن به طور طبيعي روي يك سرور چهار پردازنده‌اي Sun 3800 سه ساله، 45 دقيقه طول مي‌كشد، روي يك سرور دوهسته‌اي Dell 2850 بدون مجازي‌سازي يازده تا سيزده دقيقه انجام مي‌گيرد. او همچنين مي‌گويد: «ما مقايسه را نظير به نظير انجام مي‌داديم.»

مي‌توان مجازي‌سازي را طوري پياده كرد كه با جلوگيري از بيشتر اختلالات كارايي آن را تثبيت كرد. فناوري مجازي‌سازي سان به نام containers به برنامه‌هاي متعدد اجازه اجرا روي يك سيستم‌عامل سولاريس 10 را مي‌دهد.

Joost pronk vam Hoogeveen، مدير خط توليد سان، مي‌گويد: «سربار نزديك به صفر است.» سان اظهار مي‌كند يك سرور سولاريس چهارپردازنده‌اي قادر به اجراي پانصد containers است كه هر كدام يك برنامه را اجرا مي‌كنند. اگر چه ون هوگوين تصديق مي‌كند در نسخه نمايش هيچ‌كدام از آن‌ها خيلي خوب عمل نمي‌كنند.

Virtuzzo از شركت swsoft مشابه چنين كاري را براي دو سيستم‌عامل ويندوز و لينوكس انجام مي‌دهد. با Virtuzzo برنامه‌هاي متعدد مي‌توانند تحت يك كپي از سيستم‌عامل اجرا شوند. Carlasafigan مدير بازاريابي SWsoft  مي‌گويد: «بيشتر شركت‌ها يك نوع سيستم‌عامل را روي يك سرور استفاده مي‌كنند؛ آن‌ها لزوماً نمي‌خواهند از ويندوز و لينوكس باهم استفاده كنند.»

رهبر گروه

VMware كه در سال 1998 تأسيس شد، با كنارزدن آي بي‌ام به عنوان رهبر بازار مجازي‌سازي در سال 2004 ظاهر شد.

VMware در زمينه مجازي‌سازي سرورها بر اساس معماري x86 شركت اينتل حكفرمايي مي‌كند. اين معماري در بيشتر مراكز داده مورد استفاده در حال بهينه‌شدن است. قراردادن ماشين‌هاي مجازي روي سرورهاي چندهسته‌اي، يعني آخرين پيشرفت سخت‌افزاري، يكي از معدود راه‌هاي به‌كارگيري همه قابليت‌هاي ماشين‌هاي بدون برنامه‌هاي بازنويسي در سيستم‌هاي موازي مي‌باشد كه كار سختي است.

يك پروژه سورس باز ممكن است از نظر قيمت جايگزين خوبي براي ‌VMware باشد. Simon Crosby، مدير بخش فني xensource، از شركت‌هاي اصلي xen، يك تبعه آفريقايي جنوبي تحصيل‌كرده در دانشگاه كمبريج با موهاي قهوه‌اي مايل به قرمز است.

مايکروسافت از xensource و Novell براي آوردن مجازي‌سازي لينوکس به ويندوز لانگهورن که همان نسخه سرور ويستا مي‌باشد درخواست کمک کرده است. پس از اين که لانگهورن به بازار عرضه شد، مايکروسافت Viridian hypervisor در حال ساخت خود، که لينوکس را به عنوان يک ماشين مجازي اجرا مي‌کند، به آن اضافه خواهد کرد.
او مي‌گويد: «مديران IT بايد بيشتر روي مزاياي موتور ماشين مجازي xen تمركز كنند كه براساس يك رويكرد مشابه مجازي‌سازي ساخته مي‌شود. يعني تحت سيستم xen سيستم‌عامل لينوكس يا ويندوز وضعيت مجازي را تشخيص مي‌دهد و به hypervisor نياز دارد تا از طريق برقراري ارتباط با ادوات سخت‌افزاري سرور، كار كمتري انجام دهد.»

در نتيجه xensource به فراهم‌كردن درايورهاي سخت‌افزاري براي هر پلتفرم سروري كه پشتيباني مي‌كند نياز ندارد. كروسبي مي‌گويد: «بسياري از 2400 كارمند VMware كار تهيه درايو ESX server را انجام مي‌دهند. در حالي كهxensource مي‌توان براساس درايوهاي لينوكس Suse، ردهت كار يا در مورد ويندوز درايورهاي ساخت مايكروسافت كند. اين موضوع به Xen اجازه مي‌دهد تا با بيست درصد هزينه پرداخت شده براي محصول VMware به هشتاد درصد كارايي آن دست يابد. VMware براي نصب هر سرور ESX مبلغ 3750 دلار دريافت مي‌كند. در حالي كه نسخه xen با پشتيباني از xensource  برابر با 750 دلار قيمت دارد.»

مايكروسافت تلاش مي‌كند نقش اصلي را در بازار مجازي‌سازي از آن خود كند. در حال حاضر ارائه سرورمجازي به عنوان يك موتور ماشين مجازي تحت ويندوز يك عقب‌ماندگي محسوب مي‌شود. در حالي كه هم VMware و همxensource به مرحله hypervisor رسيده‌اند.

در FCC، مشعل سرور مجازي مايكروسافت را در مقابل VMware ESX Server تست كرده و به عقيده وي مايكروسافت حداقل سه سال عقب‌تر از رقيب است.

استفاده از ويندوز در بازار نوظهور ابزار مجازي بعيد به نظر مي‌رسد. ويندوز مانند لينوكس به صورت ماجولار ساخته نمي‌شود. بنابراين اشيا به راحتي قابل اضافه كردن يا كاهش نيستند. پس در پيكربندي سيستم‌عامل به برنامه كمك نمي‌كند. تا اينجاي كار بازار ابزار مجازي تقريباً به طور انحصاري در اختيار لينوكس بوده است.

مايكروسافت از ‌xensource و Novell براي آوردن مجازي‌سازي لينوكس به ويندوز لانگهورن كه همان نسخه سرور ويستا مي‌باشد در خواست كمك كرده است. پس از اين‌كه  لانگهورن به بازار عرضه شد، مايكروسافت viridian hypervisor در حال ساخت خود، كه لينوكس را به عنوان يك ماشين مجازي اجرا مي‌كند، به آن اضافه خواهد كرد.

اگر همه روي اين برنامه كار كنند، در مراكز داده آينده، مديران سيستم‌ها مي‌توانند ابزارهاي مجازي، فايل‌هاي مجازي و تركيبي از ماشين‌هاي مجازي را براي تخصيص و جابه‌جايي منابع دستكاري كنند.

Mendel Rosenblum استاديار دانشگاه اكسفورد و يكي از مؤسسان و رئيس شركت Vmware مي‌گويد: «مجازي‌سازي يك مسير انقلابي است.» او كار اصلي را روي مجازي‌سازي معماري x86 انجام داد و در دنياي ماشين‌هاي مجازي او از اين‌كه وضعيت را به اين سمت هدايت كرده لذت مي‌برد.

او همچنين همسر خانم گرين است و افكار و عقايد او را قدم به قدم در شكل‌گيري مجازي‌سازي منعكس مي‌كند. او مي‌گويد: «شما مي‌توانيد با يكپارچه سازي سرور شروع كنيد. سپس خود را درگير ابزارهاي مجازي كنيد. نتيجه تغييرات بنيادي خواهد بود.»

تغييرات بنيادي بدون انقلاب. در واقع همين امر پذيرش سريع مجازي‌سازي را توصيف مي‌‌كند و آينده خوبي را نويد مي‌دهد.

+ نوشته شده در 88/08/26ساعت توسط هومن عزیزی |

 
صفحه : 1
نويسندگان: Fabrizio Gagliardi و Francois Grey ؛ ترجمه: سيدمصطفي ناطق‌الا‌سلا‌م‌
ماهنامه شبکه

اشاره :

اگر همه چيز مطابق برنامه پيش برود، سال آينده بزرگ‌ترين ماشين علمي‌اي كه تاكنون ساخته شده است، در مجتمع زيرزميني پرپيچ و خمي در سوئيس، نزديك ژنو، به بهره‌برداري خواهد رسيد. تصادم‌گر بزرگ هادرون ‌(LHC) كه در عمق بيش از صد متري زير زمين قرار دارد، دو باريكه پروتون را در جهت‌هاي مخالف هم در يك تونل دايره‌اي 27 كيلومتري شتاب خواهد داد. اين دو باريكه، در حالي كه تقريباً به سرعت نور رسيده‌اند، به صورت متقابل (شاخ به شاخ) با هم برخورد مي‌كنند و رگباري از بقاياي زيراتمي را توليد مي‌كنند كه دانش‌پيشگان انتظار دارند ذراتي مرموز را كه قبلاً هرگز مشاهده نشده‌اند، در ميان آن‌ها بيابند. اين امر مي‌تواند منجر به تغيير در درك بنيادي ما از جهان گردد. دست‌كم، اميد است كه چنين شود. پژوهشگران سازمان تحقيقات هسته‌اي اروپا (سرن)، جايي كه LHC به بهره‌برداري خواهد رسيد، مي‌دانند كه يافتن ذرات مادي گريزاني كه آن‌ها در جست‌وجويش هستند، كار بسيار دشواري خواهد بود. براي يافتن اين ذرات، پژوهشگران بايد توده‌هاي مهيبي از داده‌هاي مربوط به برخوردها را غربال نمايند: انتظار مي‌رود فوران داده‌ها در LHC به طور متوسط، سالانه به پانزده ميليون گيگابايت برسد؛ اين مقدار بيشتر از ميزان داده‌اي است كه براي پر كردن شش دي‌وي‌دي استاندارد در دقيقه لازم است. به اين ترتيب مرتب كردن و تحليل نمودن اين كوه داده‌ها كاري است فراتر از توان هر ابركامپيوتري در جهان. پس در همان حال كه تيم LHC براي تكميل نمودن ماشين غول‌پيكر زيرزميني در تكاپو است، روي سطح زمين گروه ديگري از فيزيك‌پيشگان و متخصصان علوم كامپيوتر در حال حل نمودن مسئله‌اي مستقل هستند: فراهم آوردن زيرساختي محاسباتي‌ كه از پس سيلاب داده‌هاي LHC برآيد. راه‌حلي كه آنان يافته‌اند مجموعه‌اي پهناور از كامپيوترهاي قدرتمند كه حدوداً در دويست مركز پژوهشي در سراسر دنيا گسترده‌اند و به گونه‌اي مرتبط و پيكربندي شده‌اند كه همچون يك سيستم واحد پردازش موازي كار كنند. اين نوع زيرساخت يك گريد پردازشي (computing grid) خوانده مي‌شود.
+ نوشته شده در 88/08/26ساعت توسط هومن عزیزی |

1 - دسترسی کاربران به فایل سرورها امکان‌پذیر نيست

اگر کاربران از طریق آدرس IP امکان دسترسی به فایل سرور را داشته باشند، اما با استفاده از نام سرور نتوانند با سرور ارتباط برقرار کنند، محتمل‌ترین دلیل، وجود ایراد در Name Resolution یا تشخیص نام است. تشخیص نام می‌تواند در نام‌  هاست NetBIOS یا DNS مشکل ايجاد کند.

اگر سیستم‌عامل کلاینت به NetBIOS وابسته باشد، کلاینت‌های VPN می‌توانند از طریق سرور VPN آدرس سرور WINS را تعیین کنند، اما اگر سیستم‌عامل کلاینت ترجیحاً از DNS استفاده می‌کند، کلاینت‌های VPN از طریق یک سرور DNS داخلی به نام سرور شبکه داخلی دسترسی پیدا می‌کنند. 

هنگام استفاده از DNS برای تخصیص نام‌های شبکه داخلی از توانايی کلاینت‌ها برای تعیین صحیح نام دامین‌های دارای مجوز شبکه سازمانی اطمینان حاصل کنيد. این مشکل اغلب زمانی به‌وجود مي‌آيد که کامپیوترهای خارج از دامین برای دسترسی و استفاده از نام سرورهای موجود در شبکه داخلی، که پشت VPN قرار دارند، به استفاده از DNS اقدام مي‌کنند.

2 - کاربران نمی‌توانند به هیچ منبعی روی شبکه سازمانی دسترسی پیدا کنند

 در بعضی مواقع کاربران می‌توانند به سرور VPN راه دور متصل شوند، اما نمي‌توانند به هیچ‌کدام از منابع موجود روی شبکه سازمانی دسترسی پیدا کنند. در چنین مواردی کاربران نمی‌توانند نام ‌هاست را شناسايی کرده و حتی قادر نیستند به منابع موجود در شبکه سازمانی Ping کنند.

رایج‌ترین دلیل وقوع این مشکل این است که کاربران به شبکه‌ای متصل هستند که ID شبکه آن با شبکه سازمانی مستقر در پشت سرور VPN یکسان است. به‌عنوان مثال، کاربر به شبکه پرسرعت یک هتل متصل شده و به این ترتیب ID شبکه پس از تخصیص آدرس IP اختصاصی به‌صورت 24/10.0.0.0 اختصاص یافته است.

حال چنان‌چه شبکه سازمانی نیز روی همین ID شبکه 24/10.0.0.0تعریف شده باشد، آن‌گاه کاربر قادر به اتصال به شبکه سازمانی خود نخواهد بود، زیرا ماشین کلاینت VPN آدرس مقصد را به‌صورت شبکه‌ای محلی می‌بیند و اتصال شبکه راه دور را از طریق رابط VPN ارسال نمي‌کند.

دلیل عمده دیگر برای عدم موفقیت در اتصال این است که کلاینت‌های VPN اجازه دسترسی به منابع موجود روی شبکه سازمانی را به‌دلیل قوانین تعیین شده از جانب فایروال نمی‌یابند. راه‌حل این مشکل پیکربندی فایروال به‌گونه‌ای است که اجازه دسترسی به منابع شبکه‌ای را به کلاینت‌های VPN بدهد.

3 - کاربران نمی‌توانند از پشت ابزارهای NAT به سرور VPN متصل شوند

اغلب روترهای NAT و فایروال‌ها به اصطلاح از پشت ابزارهای NAT از پروتکل PPTP VPN پشتیبانی می‌کنند. هرچند برخی از فروشندگان طراز اول تجهيزات شبکه‌ای، ويرايشگر NAT را در پروتکل PPTP VPN خود تعبیه نمي‌کنند. اگر کاربری در پشت چنین ابزاری واقع شده باشد، ارتباط VPN براي اتصال از طريق PPTP با شكست مواجه خواهد شد. البته، ممكن است با ديگر پروتكل‌هاي VPN كار كند.

همه ابزارهاي NAT و فايروال‌ها در كار با پروتكل‌هاي VPN مبني بر IPSec از IPSec پشتيباني مي‌کنند. اين پروتكل‌هاي VPN شامل پياده‌سازي‌هاي اختصاصي مد تونل IPSec و L2TP/IPSec سازگار با RFC خواهند بود. همچنين اين دسته از پروتكل‌هاي VPN مي‌توانند با استفاده از (Encapsulating) ارتباطات IPSec و در هدر UDP از پيمايش NAT يا (NAT Traversa) پشتيباني کنند.

چنان‌چه سرور و كلاينت VPN شما از پيمايش NAT پشتيباني کرده و كلاينت تمايل دارد از L2TP/IPSec براي اتصال به سرور سازگار با NAT استفاده کند، رايج‌ترين دليل براي اين مشكل اين است كه كلاينت از سيستم‌عامل Windows XP SP2 استفاده مي‌كند.

سرويس پك 2 پيمايش NAT Traversal را روي كلاينت‌هاي L2TP/IPSec به‌اصطلاح مي‌شكند. شما مي‌توانيد اين مشكل را از طريق ويرايش رجيستري روي كلاينت VPN آن‌گونه كه در آدرس زير توضيح داده شده حل كنيد.

http://support.microsoft.com/default.aspx?scid=kb;en-us;885407

4 – كاربران از سرعت پايين شكايت دارند
سرعت كم يكي از مشكلاتي است كه برطرف کردن آن بسيار دشوار است. دلايل زيادي براي كاهش كارايي ارتباط VPN وجود دارد و نكته مهم آن هم اين است كه كاربران بتوانند توضيح دهند دقيقاً در زمان انجام چه كاري با افت كارايي و كاهش در سرعت روبه‌رو مي‌شوند.

يكي از عمده‌ترين موارد هنگام كاهش كارايي ارتباط VPN زماني است كه كلاينت در پشت شبكه DSL قرار گرفته و از پروتكل PPPoE استفاده مي‌کند. چنين ارتباطات شبكه‌اي معمولاً موجب بروز مشكلات مرتبط با MTU شده كه مي‌توانند بر هر دو عامل اتصال و كارايي تأثيرگذار باشند. براي اطلاعات بيشتر درخصوص موارد مرتبط با MTU در كلاينت‌هاي ويندوزي به آدرس زير مراجعه کنيد.

http://support.microsoft.com/default.aspx?scid=kb;en-us;283165

5 – كاربران از طريق PPTP متصل مي‌شوند، اما امکان اتصال از طريق L2TP/IPSec وجود ندارد

PPTP پروتكل ساده‌اي براي پيكربندي و تنظيم روي سرور و كلاينت VPN است. فقط كافي است كه كاربر از نرم‌افزار كلاينت توكار VPN كه به‌همراه تمام نسخه‌هاي سيستم‌عامل ويندوز ارائه مي‌شود استفاده کرده و نام كاربري و كلمه عبور معتبر اكانتي را كه مجوز دسترسي از راه دور را دارد، در اختيار داشته باشد.

اگر كامپوننت سرور VPN براساس مسيريابي ويندوز و Remote Access Service باشد، به‌سادگي تنظيم شده و پس از اجراي يك راهنماي پيكربندي كوتاه به‌طور خودكار اجرا خواهد شد. L2TP/IPSec قدري پيچيده‌تر است. اعتبار كاربر و ماشين وي بايد توسط سرور VPN تأييد شوند.

تأييد اعتبار ماشين مي‌تواند از طريق يك كليد مشترك (Pre-shared Key) يا ماشين ثبت‌شده صورت گيرد. اگر از كليد مشترك استفاده مي‌كنيد (كه معمولاً به دلايل امنيتي توصيه نمي‌شود)، بررسي كنيد كه آيا كلاينت VPN براي استفاده از همان كليد مشترك پيكربندي شده يا خير؟ اگر از روش ثبت ماشين استفاده مي‌كنيد نيز مطمئن شويد كه كلاينت VPN مجوز مربوطه را دارد يا خير؟

6 – اتصال VPN سايت‌به‌سايت برقرار مي‌شود، اما هيچ ترافيكي بين گيت‌وي‌هاي VPN جابه‌جا نمي‌شود
هنگامي كه يك ارتباط VPN سايت‌به‌سايت بين سرورهاي RRAS ويندوزي ايجاد مي‌كنيد، اين امكان وجود دارد كه اتصال VPN درظاهر برقرار نشان داده شود، اما ترافيكي ميان شبكه‌هاي متصل‌شده رد و بدل نشود. اشكال در شناسايي نام سرورها ايجاد شده و‌هاست‌ها حتي قادر به پينگ كردن به شبكه راه دور نيز نيستند.

عمده‌ترين دليل براي بروز اين مشكل اين است كه هر دو طرف اتصال سايت به سايت روي يك ID شبكه يکسان هستند. راه‌حل آن نيز تغيير الگوي آدرس‌دهي IP روي يك يا هر دو شبكه‌ بوده تا به‌اين ترتيب، تمام شبكه‌هاي متصل‌شده به‌صورت سايت به سايت روي IDهاي شبكه متفاوتي قرار داشته باشند.

7 – كاربران نمي‌توانند از پشت فايروال به ارتباط در مُد تونل IPSec اقدام کنند
به‌طور معمول سرور VPN و کلاينت‌ها به‌طور صحيح پيکربندي مي‌شوند تا بتوانند از مُد تونل IPSec  يا ارتباط L2tp/IP Sec NAT-T براي ارتباط با يک سرور VPN  استفاده کنند و در نتيجه ارتباط با شکست مواجه مي‌شود. در برخي مواقع اين اتفاق را بعد از برقراري اتصال موفق اولين كلاينت مشاهده مي‌كنيد، اما كلاينت‌هاي بعدي كه در پشت همان ابزار NAT قرار دارند، با شكست در ارتباط روبه‌رو مي‌شوند.

دليل بروز اين مشكل اين است كه تمام سرورهاي IPSec NAT-T VPN با RFC سازگار نيستند. سازگاري با RFC نيازمند اين است كه سرور مقصد NAT-T VPN از تماس‌هاي IKE روي پورت منبع UDP 500 پشتيباني كرده تا آن‌هابتوانند ارتباطات چندگانه را از چندين كلاينت در پشت يك گيت‌وي VPN واحد مالتي‌پلكس كنند.

حل اين مشكل از طريق تماس با فروشنده سرور VPN و حصول اطمينان از اين‌كه پياده‌سازي  VPN IPSec NAT-T با RFC سازگاري دارد يا خير، امكان‌پذير خواهد بود. اگر اين‌گونه نبود، از فروشنده درباره وجود Firmware براي به‌روز رساني سؤال كنيد.

8 – كاربران نمي‌توانند به برخي از IDهاي شبكه سازماني دسترسي پيدا كنند
برخي از اوقات كاربران مواردي را گزارش مي‌كنند كه در آن ذكر شده، مي‌توانند بعد از برقراري ارتباط VPN به برخي از سرورها دسترسي پيدا كنند، اما بقيه سرورها قابل دسترسي نيستند. آنان وقتي ارتباط خود را آزمايش مي‌كنند، مشاهده مي‌كنند كه نمي‌توانند با استفاده از نام يا آدرس IP به سرور مورد نظر خود پينگ كنند.

دليل عمده براي اين مشكل اين است كه سرور VPN ورودي‌هاي جدول روزمره را براي تمام IDهاي شبكه‌هايي كه كاربر نمي‌تواند به آنان متصل شود، در اختيار ندارد. كاربران فقط قادر به اتصال به سرورهايي هستند كه روي زيرشبكه سرور VPN باشند، اما از طريق سرور VPN قادر به ارتباط با IDهاي شبكه راه‌دور نيستند.
 
راه‌حل اين مشكل پركردن جدول مسيريابي روي سرورVPN به‌گونه‌اي‌ است كه آدرس گيت‌وي تمام IDهاي شبكه‌هايي را كه VPN بايد به آنان متصل شود، در آن وجود داشته باشد.

9 – كاربران هنگام اتصال به سرور VPN قادر به اتصال به اينترنت نيستند
در برخي مواقع كاربران نمي‌توانند پس از اين‌كه اتصال VPN برقرار شد، به اينترنت متصل شوند. در اين‌حالت همزمان با قطع ارتباط VPN كاربران در اتصال به اينترنت مشكلي نخواهند داشت. اين مشكل زماني مشاهده مي‌شود كه نرم‌افزار كلاينت VPN براي استفاده از سرور VPN به عنوان گيت‌وي پيش‌فرض خود پيكربندي شده‌باشد. اين تنظيم، تنظيم پيش‌فرض نرم‌افزار كلاينت VPN مايكروسافت است.

از آنجا كه همه ‌هاست‌ها دور از محل كلاينت VPN مستقر هستند، ارتباطات اينترنت به‌سمت سرور VPN مسيردهي خواهند شد. اگر سرور VPN به‌گونه‌اي پيكربندي نشده باشد كه ارتباط با اينترنت را از طريق كلاينت‌هاي VPN ميسر سازد، هرگونه تلاشي براي اتصال به اينترنت با شكست روبه‌رو خواهد شد.

راه‌حل اين مشكل پيكربندي سرور VPN به‌گونه‌اي است تا به كلاينت‌ها اجازه دسترسي به اينترنت را بدهد. سرور RRAS ويندوز و بسياري از فايروال‌ها از چنين پيكربندي پشتيباني مي‌كنند. در برابر اصرار براي غيرفعال کردن تنظيمات پيكربندي كلاينت VPN جهت استفاده سرور VPN از گيت‌وي پيش‌فرض خود مقاومت كنيد. زيرا اين كار ويژگي Split Tunneling را كه يكي از تهديدات شناخته‌شده و خطرناك امنيتي محسوب مي‌شود، فعال خواهد کرد.

10 – چندين كاربر با استفاده از يك مجوز اعتبار PPP به سرور VPN متصل مي‌شوند

يكي از خطراتي كه تمام سازمان‌هايي را كه اقدام به پياده‌سازي امكانات دسترسي راه‌دور به سرور VPN مي‌کنند، تهديد مي‌كند، اين‌است كه كاربران اطلاعات مربوط به نام كاربري و كلمه عبور را با يكديگر به اشتراک مي‌گذارند. در بسياري از پياده‌سازي‌هاي سرور VPN شما قادر خواهيد بود نه‌تنها پيش از برقراري ارتباط VPN نسبت به بررسي اعتبار و مجوز كاربر اقدام كنيد، بلكه اگر آن كاربر به دسترسي به شبكه از طريق VPN مجاز نبود، درخواست لغو ارتباط به سرور صادر شود.

اگر كاربران به استفاده اشتراكي از مجوزها اقدام کنند، اين عمل وضعيتي را ايجاد خواهد کرد تا كاربران غيرمجاز بتوانند با استفاده از مجوز كاربران مجاز به شبكه متصل شوند. يك راه‌حل براي اين مشكل استفاده از الگوهاي اضافي بررسي اعتبار است.

به‌عنوان مثال، شما مي‌توانيد مجوز كلاينت كاربر را نيز بررسي كنيد. به‌اين ترتيب، هيچ كاربر ديگري نمي‌تواند با مجوز يك كاربر مجاز وارد شبكه شود. انتخاب ديگر استفاده از كارت‌هاي هوشمند، ابزارهاي بيومتريك و ديگر روش‌هاي دو فاكتوري تعيين هويت است.

منبع:www.shabakeh-mag.com

+ نوشته شده در 88/08/26ساعت توسط هومن عزیزی |

همانگونه که میدانیم نرم افزار NTTacPlus به صورت پیش فرض اطلاعات مربوط به کاربران را در فایل های متنی ذخیره میکند و این موضوع در مواردی که تعداد کاربران استفاده کننده زیاد میباشد مشکل ساز است . برای جلوگیری از این مورد شما بایستی اطلاعات کابران را برروی یک DataBase نظیر Access و یا Sqlserver ذخیره کنید .

تنظیمات  NTTacPlus برای جاری کردن اطلاعات در  ACCESS:

NTTacPlus
از قبل دیتابیس های مورد نیاز را طراحی و در پوشه ODBC قرار داده است برای انجام اینکار بایستی مراحل زیر طی شود :

 1)  ابتدا Data Sources (ODBC) را باز کنید (از مسیر control panel - Administrative Tools)
 
قسمت system DSN را انتخاب کنید.
 
2) برای ایجاد یک system DSN جدید add را کلیک کنید.
 
3) از لیست گزینه microsoft Access Driver (*.mdb) را انتخاب کنید و Finish را کلیک کنید دقت داشته باشید مورد های مشابه را انتخاب نکنید.
4) Datasource Name را برابر با NTTacDB قرار دهید
5) از قسمت database گزینه Selectرا کلیک کنید و در مسیر نصب شده NTTacPlus در پوشه ODBC فایل NTTacDB.mdb را انتخاب کنید .
 
6)ok را کلیک کنید تا DSN مربوطه ایجاد شود .
7) دوباره گزینه ADD را کلیک کنید مرحله 4 را تکرار کنید Database name را برابر با accounting قرار دهید و از پوشه odbc فایل stat.mdb را انتخاب کنید وOK را کلیک کنید.
 
8)وارد کنسول شوید و  کلید f8 را فشار دهید
9)در قسمت general گزینه Enable ODBC Users Database using this Datasource را فعال کنید .
10) در قسمت Accounting گزینه Enable ODBC Accounting Output را فعال کنید .
11) DataSource name را برابر با Accounting قرار دهید و ok را کلیک کنید
12) یک بار از کنسول exit کنید و دوباره وارد شود توجه شود که پسورد شما به صورت پیش فرض باز خواهد گشت (admin,admin)

کاربران ایجاد شده منبعد در این database ذخیره می شوند و برای گرفتن نسخه پشتیبان کافی است از پوشه ODBC کپی گرفته شود.

با تشکر از سایت برنامه نویس

+ نوشته شده در 88/02/22ساعت توسط هومن عزیزی |

هرگاه نیاز به ایجاد یک trust بین دو domain خود داشته باشید به طریق زیر عمل کنید:

 

ابتدا باید در هر دو domain عمل raise  را انجام دهید.بدین منظور روی نام domain  خود در بخش active directory domain and trust کلیک رست کرده و گزینه raise domain functional level  را انتخاب نمایید سپس به طریق زیر عمل کنید:

 

  1. On the Windows NT-based primary domain controller (PDC):
    1. Click Start, point to Programs, point to Administrative Tools, and then click User Manager for Domains.
    2. On the Policies menu, click Trust Relationships.
    3. Click the Add button that corresponds to the Trusted Domains box. The Add Trusted Domain dialog box appears.
    4. In the Domain box, type the Windows Server 2003-based domain name without the .com portion of the domain name. For example, if the Windows Server 2003-based domain is Example.com, type Example.

In the Password box, type a password for the trust.

Note You must use the same trust password on both the domain controller

+ نوشته شده در 88/01/15ساعت توسط هومن عزیزی |

هرگاه نیاز به secondry dns روی سرورهای دیگر خود داشته باشید سناریوی زیر بهترین آموزش را ارائه میکند.در این سناریو دو عدد سرور با نامهای serverA و server1 داریم و قصد روی هر یک از آنها secondry dns server  دیگر را ایجاد نمائیم:

نکته: این عمل قبل از ایجاد trust  بین دو domain controler مختلف توصیه میگردد:

 

  1. On Server1 log on and access DNS.
  2. Right Click on the zone 123.com and click properties.
  3. Got to the transfers section and configure the server to allow zone transfers to the SERVERA IP address.
  4. On SERVERA log on and access DNS.
  5. Right click on the zone ABC.com and click properties.
  6. Go to the transfers section and configure the server to allow zone transfer to the Server1 IP Address.
  7. Still on SERVERA, create a SECONDARY zone called 123.com.
  8. Indicate that the Master server for the 123.com zone it Server1.
  9. On Server1, create a zone called ABC.com.
  10. Indicate that the Master server for the ABC.com zone is SERVERA.

Check that the Zones are correctly populated by accepting your changes and then double-clicking on the new

+ نوشته شده در 88/01/15ساعت توسط هومن عزیزی |

اصول مقدماتی طراحی شبکه

 



در Design یک شبکه ، ما به مبحثی اشاره می شود تحت نام Modular Network design. در این مبحث لایه های دسترسی در یک شبکه به سه دسته کلی تبدیل می شود. به نام های

 

  • Access Layer
  • Distribution Layer
  • Core Layer

 

 

هر یک از این لایه ها سطح متفاوتی از دسترسی و ارتباطات در شبکه را مطرح می کنند .

.چیدمان یک شبکه بر پایه این لایه ها به Hierachical Network Design ملقب است.


________________________

 


لایه Access:

 لایه ای در شبکه است که تمامی End-User ها به شبکه متصل می شوند. سوئیچ هایی که در این لایه استفاده می شوند می بایست دارای خصوصیات زیر باشند:


1.Low cost per switch port
2.High port density
3.Scalable uplinks to higher layers
4.User access functions such as VLAN membership, traffic and protocol filtering, and QoS

_________________

 

لایه Distribution:

 لایه ای است که از طریق آن ارتباط ( Interconnection) بین لایه های core و Access برقرار می شود. خصوصیات سوئیچ های این لایه طبق زیر است :


1.High Layer 3 throughput for packet handling
2.Security and policy-based connectivity functions through access lists or packet filters
3.QoS features
4.Scalable and resilient high-speed links to the core and access layers


در سوئیچ های این لایه تمامی uplink های سوئیچ های Access در یک مکان  جمع شده و به این سوئیچ ها ختم می شوند. (Aggregation) . سوئیچ های این لایه می بایست به نحوی انتخاب شوند که قدرت process کردن ترفیک وارده از تمام switch ها را داشته باشند. لذا کلیه این سوئیچ ها می بایست High-Density انتخاب گردند تا بتوانند از مجموعه سوئیچ ها پشتیبانی به عمل آورند. Vlan ها و Broadcast تمامی به این سوئیچ ها ختم و ادغام می شوند ، در این لایه به filtering ، routing و security مناسب نیاز است . بنابراین سوئیچ های این لایه باید از قابلیت هایMLS ( Multi Layer Switching) نیز پشتیبانی لازم را به عمل آورند.

 


لایه core:

سوئیچ های لایه وظیفه ایجاد ارتباط بین سوئیچ های لایه Distribution را بر عهدی دارند. از این سوئیچ ها به Backbone نام برده می شود لذا باید سوئیچ های این لایه کارایی و performanceبالایی ارائه کنند،زیرا سوئیچ های این لایه می بایست وظیفه اجرای قانون 20 /80 را بر عهده گیرند.

 در شرح این قانون گفته می شود که یک شبکه باید به نحوی طراحی شود که تنها 20% ترافیک باید Local و 80 % ترافیک باید بر روی Backbone جابجا شود.


مشخصات سوئیچ های این لایه عبارتست از :

 


1.Very high throughput at Layer 2 or Layer 3
2.No costly or unnecessary packet manipulations (access lists, packet filtering)
3.Redundancy and resilience for high availability
4.Advanced QoS functions

لازم به ذکر است که همیشه شما نباید در طراحی یک شبکه این سه لایه را ایجاد کنید . در اکثریت موارد شما تنها نیاز به لایه Distribution و Access دارید.

 

منبع: http://forum.persiannetworks.com/f63/t12282.html

 

+ نوشته شده در 87/10/25ساعت توسط هومن عزیزی |

 
ارائه دهندگان سرويس اينترنت ( ISPs ) و ساير شركت های بزرگ همواره با اين چالش جدی مواجه هستند كه چگونه انواع دستيابی به شبكه و  accounting را از يك نقطه ‌صرفنظر از نوع تجهيزات استفاده شده برای دستيابی به شبكه ، مديريت نمايند .
با اين كه برخی سيستم های عامل دارای امكانات خاصی در اين رابطه می باشند ، در اغلب شركت های بزرگ می بايست از يك زيرساخت اختصاصی برای تائيد و مديريت دستيابی به شبكه استفاده گردد .
پروتكل RADIUS ( برگرفته شده از  Remote Authentication Dial-In User Service   ) ، استانداردی برای طراحی و پياده سازی سرويس دهندگانی است كه مسئوليت تائيد و مديريت كاربران را برعهده خواهند گرفت.مشخصات و نحوه عملكرد پروتكل RADIUS  در  RFC 2865 و RFC 2866 تعريف شده است .
پروتكل RADIUS از يك معماری سرويس گيرنده - سرويس دهنده برای تائيد و accounting استفاده می نمايد . پروتكل فوق اطلاعات accounting ، پيكربندی ، تائيد و  مجوزها را بين يك سرويس گيرنده RADIUS و يك سرويس دهنده RADIUS  حمل می نمايد . سرويس گيرنده RADIUS می تواند يك سرويس دهنده دستيابی شبكه ( NAS ، برگرفته شده از network access server ) و يا هر نوع دستگاه مشابه ديگری باشد كه نيازمند تائيد  و accounting است .
همانگونه كه اشاره گرديد NAS به عنوان يك سرويس گيرنده RADIUS عمل می نمايد . سرويس گيرنده مسئول ارسال اطلاعات كاربر  برای سرويس دهنده RADIUS است تا بر اساس نتايج برگردانده شده توسط سرويس دهنده ، در خصوص كاربر تعيين تكليف گردد . سرويس دهندگان RADIUS مسئول دريافت درخواست ارتباط كاربر ، تائيد وی و ارسال اطلاعات پيكربندی مورد نياز برای سرويس گيرنده به منظور عرضه سرويس به كاربر می باشند . يك سرويس دهنده RADIUS می تواند به عنوان يك سرويس گيرنده پراكسی به ساير سرويس دهندگان RADIUS و يا ساير سرويس دهندگان تائيد نيز عمل نمايد . 
سرويس گيرندگان RADIUS از طريق پورت های 1812 و 1813 پروتكل حمل UDP ( برگرفته شده از User Datagram Protocol ) با يك سرويس دهنده RADIUS ارتباط برقرار می نمايند . در نسخه های اوليه پروتكل RADIUS از پورت های 1646 و 1645 پروتكل UDP  استفاده می گرديد . پروتكل RADIUS از پروتكل حمل TCP ( برگرفته شده از  Transmission Control Protocol ) حمايت نمی نمايد .

RADIUS و سرويس دهنده IAS
با استفاده از پروتكل RADIUS  می توان دستگاهی نظير يك NAS را بگونه ای پيكربندی نمود تا يك كاربر را برای‌ استفاده از يك سرويس خاص تائيد نمايد . به عنوان نمونه ، يك ISP می بايست كاربر يك پورت شبكه dial-in  را تائيد نمايد تا اين اطمينان ايجاد گردد كه وی مجاز به استفاده از پورت مورد نظر می باشد . در چنين مواردی لازم است كه NAS اطلاعات مورد نياز برای اين ارتباط را دريافت نمايد . اطلاعات فوق توسط يك سرويس دهنده RADIUS در اختيار وی گذاشته می شود . پس از ايجاد ارتباط ، دستگاه NAS ممكن است در صورت نياز اطلاعات accounting را به منظور اهداف مالی و شارژ كاربر تامين و ارائه نمايد .
شكل 1 نحوه تعامل بين يك سرويس گيرنده RADIUS ( نظير يك دستگاه NAS ) و يك سرويس دهنده RADIUS ( نظير Internet Authentication Service ) را نشان می دهد .  

  
شكل 1 : نحوه ارتباط بين يك سرويس دهنده و سرويس گيرنده RADIUS

به منظور حمايت از معماری های پيچيده تر شبكه ، می توان از يك RADIUS Proxy استفاده نمود كه اطلاعات RADIUS را از يك سرويس گيرنده RADIUS دريافت و  آن را برای يك سرويس دهنده RADIUS رله می نمايد . پاسخ سرويس دهنده RADIUS از طريق RADIUS proxy ارسال می گردد .در چنين مواردی اطلاعات مربوط به تائيد و مجوزها می تواند با استفاده از يك RADIUS proxy  ارسال گردد .
شكل 2 نحوه عملكرد RADIUS proxy را نشان می دهد .


شكل 2 : نحوه عملكرد RADIUS proxy

در ويندوز 2003 ( نسخه های سرويس دهنده ) ، IAS ( برگرفته شده از  Internet Authentication Service ) مطابق استاندارد تعريف شده در  RFC 2865 و RFC 2866 به عنوان يك سرويس دهنده RADIUS و پراكسی پياده سازی شده است . در نسخه های سرويس دهنده ويندوز 2000 ، شركت مايكروسافت صرفا" ويژگی سرويس دهنده RADIUS را پياده سازی كرده بود . علاوه بر اين ، در نسخه های سرويس دهنده ويندوز 2003 كه بر روی آنها سرويس RRAS ( برگرفته شده از  Routing and Remote Access service) اجراء شده است را می توان به عنوان يك سرويس گيرنده RADIUS پيكربندی كرد . بدين ترتيب امكان تائيد سرويس گيرندگان dial-in و يا VPN ( برگرفته شده از  Virtual Private Networks ) از طريق يك سرويس دهنده RADIUS فراهم می گردد .
عناصر سرويس دهنده RADIUS در IAS  قادر به تائيد درخواست های سرويس گيرندگان RADIUS از طريق يك بانك اطلاعاتی محلی و يا اكتيو دايركتوری می باشند . IAS جزئيات اطلاعات accounting ارائه شده توسط سرويس گيرنده RADIUS را در يك فايل متن و يا يك بانك اطلاعاتی رابطه ای ذخيره می نمايد . ويژگی RADIUS proxy تعبيه شده در IAS  قادر به ارسال پيام های تائيد و accounting برای ساير سرويس دهندگان RADIUS  می باشد .
پيكربندی IAS را می توان بگونه ای انجام داد كه وی قادر به انجام فرآيند تائيد و عمليات مربوط به accounting باشد . همچنين می توان سرويس گيرندگان RADIUS و يا RADIUS Proxy را به منظور استفاده از سرويس دهندگان اضافی پيكربندی نمود .
IAS امكان دستيابی به اطلاعات accounting كاربران ، نگهداری شده بر روی سرويس دهنده IAS و يا يك كنترل كننده domain  را دارد ( در صورتی كه سرويس دهنده IAS  عضوی از يك domain  باشد ).
تراكنش های دستيابی و accounting بين سرويس گيرنده و سرويس دهنده با استفاده از يك رمز محرمانه به اشتراك گذاشته شده صورت می پذيرد . رمز فوق هرگز بر روی شبكه ارسال نخواهد شد و از آن به همراه فيلد تائيد كننده و به منظور ارائه يك سطح امنيتی مناسب بر روی پيام های RADIUS  استفاده می گردد . در صورت نياز به يك سطح بالاتر امنيتی ، سرويس دهنده و سرويس گيرنده RADIUS می توانند از IPSec برای رمزنگاری پيام  های RADIUS استفاده نمايند ( اين موضوع خارج از حوزه پروتكل RADIUS می باشد ) .

با سپاس از سایت سخاروش

+ نوشته شده در 87/08/09ساعت توسط هومن عزیزی |

 

اشاره :

آيا روترهاي اپن‌سورس Vyatta مي‌توانند جانشين مناسبي براي روترهاي سيسكو باشند؟ در اين مقاله با بررسي يكي از اين روترها، در پي يافتن پاسخ صريح و دقيق براي اين پرسش هستيم.

 


منبع: تك‌ريپابليك‌

شركت Vyatta كه در زمينه ايجاد پلتفرم اپن‌سورس براي استفاده در روترها كار مي‌كند، آرزوي تبديل روتر خود به محصولي تجاري را در سر مي‌پروراند. اين محصول كه vee-atta خوانده مي‌شود ادامه‌دهنده راهي است كه ردهت با لينوكس و Asterisk با VoIP پيمودند.

Vyatta چه چيزي در چنته دارد؟

پيش از اين‌كه در مورد امكان جايگزيني يك روتر اپن‌سورس با روترهاي سيسكو مطلبي عنوان كنيم، اجازه بدهيد خلاصه‌اي از پيشينه شركت Vyatta و شمه‌اي از فعاليت‌هاي آن را با هم مرور نماييم. با استفاده از نرم‌افزار اين شركت مي‌توانيد يك پي‌سي يا سرور را به يك روتر يا يك فايروال تبديل نماييد.

تمام آنچه براي اين كار احتياج داريد، دانلود يك ايميج سي‌دي زنده ‌(Live CD) از وب‌سايت اين شركت است. سپس اين ايميج را با ابزارهاي رايج به يك سي‌دي تبديل نماييد و سيستم را با آن بوت كنيد.

به نظر ما و مطابق آنچه در آزمايش‌ها مشاهده شد، هر كاري كه پيش از اين با روتر استاندارد سيسكو انجام مي‌داديد، با Vyatta شدني است. به‌علاوه، ديگر نيازي نيست نگران مجوزهاي گوناگون سيسكو باشيد. در زير فهرستي از امكانات استاندارد اين دستگاه و ويژگي‌هاي آن‌ها را مي‌بينيد:

˜ قابليت اجرا روي هرگونه پردازنده 32 بيتي AMD و اينتل‌
˜ پشتيباني از سرعت‌هاي گوناگون اترنت شامل Gig-E
˜ كارت‌هاي T1 و T3
˜ پشتيباني از IPv4، IPv6،RIP ،OSPF ،BGP و انواع روترهاي استاتيك‌
˜ عمل نمودن به عنوان سرور DHCP و رله‌
˜ اترنت،PPP ،Frame-Relay ،HDLC و 802.1q VLAN
˜ VRRP و منبع تغذيه اضافي در سرورها
˜ قابليت كار با فايروال، NAT ،site-to site VPN و RADIUS
˜ Syslog و SNMP2 c
˜ قابليت استفاده از Ethereal براي نظارت بر بسته‌هايي كه از روتر مي‌گذرند.
˜ CLI ،Telnet ،SSHv2 و رابط كاربري مبتني بر وب‌

نسخه استاندارد Vyatta (مشهور به Community Edition) كاملاً رايگان است. البته هنوز از اين نسخه هيچ پشتيباني‌اي نمي‌شود و نسخه‌هاي اصلاحي نيز هر شش ماه يك ‌بار در دسترس كاربران قرار مي‌گيرد.

نسخه حرفه‌اي (Professional Edition) نيز در صورت نياز در دسترس است كه قيمت آن از 497 دلار آغاز مي‌گردد. نسخه ديگري به نام نسخه سازماني ‌(Enterprise Edition) با قيمت 647 دلار نيز وجود دارد كه چنانچه پشتيباني و نسخه‌هاي اصلاحي مورد نياز باشند، مي‌توان اين نسخه‌ها را خريداري نمود.

براي ارتباط شبكه‌اي با دستگاه پي‌سي يا سرور، مي‌توانيد از كارت‌هاي اترنت استاندارد استفاده نماييد يا كارت‌هاي T1/T3 را از Vyatta خريداري كنيد (براي اطمينان از سازگاري كارت‌ها بهتر است اين اقلام را از خود شركت تهيه نماييد).

البته شركت Vyatta تجهيزات كامل را نيز به فروش مي‌رساند (مثل سرورهاي مجهز به سيستم‌عامل Vyatta) قيمت اين تجهيزات كه شامل سرور با سخت‌افزار ساخت دل، پشتيباني و سيستم‌عامل روتر Vyatta مي‌شود از 1800 دلار آغاز مي‌گردد كه قيمتي به مراتب پايين‌تر از يك روتر سيسكو است.

اولين نگاه‌

با اين‌كه هنوز خيلي زود است كليه امكانات و ويژگي‌هاي روتر Vyatta را با روترهاي سيسكو مقايسه كنيم، در زير اولين مشاهدات و تجارب مربوط به كار با محصول Vyatta كه با دانلود فايل 96مگابايتي ايميج سي‌دي از وب‌سايت شركت آغاز گشت، شرح داده خواهد شد.

پس از ورود به سايت مشاهده مي‌كنيد يك دموي ويديويي در مورد چگونگي استفاده از نرم‌افزار جهت كاربراني كه براي اولين بار اقدام به استفاده از اين نرم‌افزار نموده‌اند، قرار داده شده است كه موقتاً از آن صرف‌نظر نموديم. مطابق آنچه در راهنماي Vyatta Quick Evaluation Guide آمده است، نصب و راه‌اندازي نرم‌افزار و آماده‌سازي دستگاه براي استفاده، حدود سي دقيقه به طول مي‌انجاميد كه در انتهاي مقاله صحت اين مطلب را بررسي مي‌كنيم.

ما از VMware Server براي ايجاد يك لينوكس مجازي ميهمان روي دستگاهي با ويندوز اكس‌پي استفاده نموديم و Vyatta ISO را به عنوان سي‌دي بوت تعريف كرديم. ماشين مجازي لينوكس بدون مشكل، بوت و اجرا گرديد كه عكس‌هاي مربوط به آن را در شكل 1 و 2 ملاحظه مي‌كنيد.

شکل 1


پس از مشاهده خط فرمان، با نام كاربري پيش‌فرض و رمز Vyatta وارد سيستم شديم و پس از آن با وارد كردن دستور configure به شكل زير آدرس IP كارت اترنت را تنظيم نموديم:

set interfaces Ethernet eth0 address
10.253.210.210prefix 16
set service http
commit


براي مشاهده فرمان، exit را تايپ كنيد و بعد فرمان show را وارد نماييد.

نكته مهمي كه بايد در مورد روتر Vyatta به خاطر بسپاريد، اين است كه تا زماني كه از فرمان commit استفاده نكنيد، قادر نخواهيد بود هيچ تغييري در پيكربندي سيستم انجام بدهيد (مانند روترهاي سيسكو، مي‌توانيد از كليد Tab براي اجراي خودكار فرامين استفاده نماييد و با تايپ «؟» منوي help را احضار كنيد. همچنين از ميانبرهاي فرامين سيسكو مانند ctrl+W براي حذف حرف قبلي يا از تركيب ctrl+A به منظور رفتن به انتهاي خط استفاده نماييد).

شکل 2


در اينجا دو وضعيت (mode) وجود دارند: وضعيت نمايش عادي (به شكل prompt <) و وضعيت پيكربندي (به شكل prompt #).

براي استفاده از رابط تحت وب، مرورگر را باز كرديم و آدرس IP را كه پيش از اين و در جريان پيكربندي به كارت شبكه اختصاص داده شده بود را وارد نموديم. احتمالاً شما نيز مانند ما از امكانات و ابزارهايي كه اين رابط در اختيار كاربر قرار مي‌دهد، غافلگير خواهيد شد؛ مخصوصاً خود رابط كه طراحي بسيار خوب و كاربرپسند دارد.

اين رابط امكانات خوبي از قبيل نمودارهاي نمايش كارايي و حتي يك برنامه براي مشاهده و محاسبه خصوصيات subnet دارد كه همگي از منوي Tools قابل دسترسند. شكل شماره 3 تصويري از وب‌سايت را نشان مي‌دهد.

شکل 3


بدين ترتيب مراحل مربوط به نصب و آماده‌سازي روتر به اتمام رسيد و دستگاه آماده بهره‌برداري گرديد. البته اين مقاله تنها به منظور آشنايي اوليه با اين برنامه تهيه شده است و چنانچه مايل به امتحان يا حتي استفاده از اين روتر هستيد، پيشنهاد ما صرف وقت بيشتر براي بررسي دقيق‌تر اين برنامه است.

با استفاده از VMware توانستيم اين روتر را در زماني كمتر از سي دقيقه تنظيم و راه‌اندازي كنيم كه كمتر از مدت زمان اعلام‌شده در مستندات برنامه بود. در حقيقت نيمي از اين زمان صرف دانلود كردن فايل ايميج از وب‌سايت شركت گرديد. علاوه بر آن، چند دقيقه ديگر هم صرف خواندن متون راهنما براي يافتن نام كاربري و رمز پيش‌فرض و برخي اطلاعات مربوط به كار با رابط كاربري شد.

پس از انجام اين آزمون و ديدن نتايج، به عقيده ما بسياري از ادعاهاي Vyatta درباره اين نرم‌افزار حقيقت دارد. با اين‌ حال توصيه نمي‌كنيم با اتكا به Vyatta، از همان ابتدا روترهاي سيسكوي خود را كنار بگذاريد. در هر حال فكر خوبي است اگر سي دقيقه ديگر وقت صرف كنيد و پس از نصب و تنظيم برنامه، مقداري در منوها و گوشه و كنار برنامه تفحص كنيد تا با ديگر قابليت‌هاي برنامه بهتر آشنا شويد.

 
ترجمه: هومن تحويلداري‌
ماهنامه شبکه - شهريور ۱۳۸۶ شماره 79
+ نوشته شده در 87/05/26ساعت توسط هومن عزیزی |



 

 
ارائه دهندگان سرويس اينترنت ( ISPs ) و ساير شركت های بزرگ همواره با اين چالش جدی مواجه هستند كه چگونه انواع دستيابی به شبكه و  accounting را از يك نقطه ‌صرفنظر از نوع تجهيزات استفاده شده برای دستيابی به شبكه ، مديريت نمايند .
با اين كه برخی سيستم های عامل دارای امكانات خاصی در اين رابطه می باشند ، در اغلب شركت های بزرگ می بايست از يك زيرساخت اختصاصی برای تائيد و مديريت دستيابی به شبكه استفاده گردد .
پروتكل RADIUS ( برگرفته شده از  Remote Authentication Dial-In User Service   ) ، استانداردی برای طراحی و پياده سازی سرويس دهندگانی است كه مسئوليت تائيد و مديريت كاربران را برعهده خواهند گرفت.مشخصات و نحوه عملكرد پروتكل RADIUS  در  RFC 2865 و RFC 2866 تعريف شده است .
پروتكل RADIUS از يك معماری سرويس گيرنده - سرويس دهنده برای تائيد و accounting استفاده می نمايد . پروتكل فوق اطلاعات accounting ، پيكربندی ، تائيد و  مجوزها را بين يك سرويس گيرنده RADIUS و يك سرويس دهنده RADIUS  حمل می نمايد . سرويس گيرنده RADIUS می تواند يك سرويس دهنده دستيابی شبكه ( NAS ، برگرفته شده از network access server ) و يا هر نوع دستگاه مشابه ديگری باشد كه نيازمند تائيد  و accounting است .
همانگونه كه اشاره گرديد NAS به عنوان يك سرويس گيرنده RADIUS عمل می نمايد . سرويس گيرنده مسئول ارسال اطلاعات كاربر  برای سرويس دهنده RADIUS است تا بر اساس نتايج برگردانده شده توسط سرويس دهنده ، در خصوص كاربر تعيين تكليف گردد . سرويس دهندگان RADIUS مسئول دريافت درخواست ارتباط كاربر ، تائيد وی و ارسال اطلاعات پيكربندی مورد نياز برای سرويس گيرنده به منظور عرضه سرويس به كاربر می باشند . يك سرويس دهنده RADIUS می تواند به عنوان يك سرويس گيرنده پراكسی به ساير سرويس دهندگان RADIUS و يا ساير سرويس دهندگان تائيد نيز عمل نمايد . 
سرويس گيرندگان RADIUS از طريق پورت های 1812 و 1813 پروتكل حمل UDP ( برگرفته شده از User Datagram Protocol ) با يك سرويس دهنده RADIUS ارتباط برقرار می نمايند . در نسخه های اوليه پروتكل RADIUS از پورت های 1646 و 1645 پروتكل UDP  استفاده می گرديد . پروتكل RADIUS از پروتكل حمل TCP ( برگرفته شده از  Transmission Control Protocol ) حمايت نمی نمايد .

RADIUS و سرويس دهنده IAS
با استفاده از پروتكل RADIUS  می توان دستگاهی نظير يك NAS را بگونه ای پيكربندی نمود تا يك كاربر را برای‌ استفاده از يك سرويس خاص تائيد نمايد . به عنوان نمونه ، يك ISP می بايست كاربر يك پورت شبكه dial-in  را تائيد نمايد تا اين اطمينان ايجاد گردد كه وی مجاز به استفاده از پورت مورد نظر می باشد . در چنين مواردی لازم است كه NAS اطلاعات مورد نياز برای اين ارتباط را دريافت نمايد . اطلاعات فوق توسط يك سرويس دهنده RADIUS در اختيار وی گذاشته می شود . پس از ايجاد ارتباط ، دستگاه NAS ممكن است در صورت نياز اطلاعات accounting را به منظور اهداف مالی و شارژ كاربر تامين و ارائه نمايد .
شكل 1 نحوه تعامل بين يك سرويس گيرنده RADIUS ( نظير يك دستگاه NAS ) و يك سرويس دهنده RADIUS ( نظير Internet Authentication Service ) را نشان می دهد .  

  
شكل 1 : نحوه ارتباط بين يك سرويس دهنده و سرويس گيرنده RADIUS

به منظور حمايت از معماری های پيچيده تر شبكه ، می توان از يك RADIUS Proxy استفاده نمود كه اطلاعات RADIUS را از يك سرويس گيرنده RADIUS دريافت و  آن را برای يك سرويس دهنده RADIUS رله می نمايد . پاسخ سرويس دهنده RADIUS از طريق RADIUS proxy ارسال می گردد .در چنين مواردی اطلاعات مربوط به تائيد و مجوزها می تواند با استفاده از يك RADIUS proxy  ارسال گردد .
شكل 2 نحوه عملكرد RADIUS proxy را نشان می دهد .


شكل 2 : نحوه عملكرد RADIUS proxy

در ويندوز 2003 ( نسخه های سرويس دهنده ) ، IAS ( برگرفته شده از  Internet Authentication Service ) مطابق استاندارد تعريف شده در  RFC 2865 و RFC 2866 به عنوان يك سرويس دهنده RADIUS و پراكسی پياده سازی شده است . در نسخه های سرويس دهنده ويندوز 2000 ، شركت مايكروسافت صرفا" ويژگی سرويس دهنده RADIUS را پياده سازی كرده بود . علاوه بر اين ، در نسخه های سرويس دهنده ويندوز 2003 كه بر روی آنها سرويس RRAS ( برگرفته شده از  Routing and Remote Access service) اجراء شده است را می توان به عنوان يك سرويس گيرنده RADIUS پيكربندی كرد . بدين ترتيب امكان تائيد سرويس گيرندگان dial-in و يا VPN ( برگرفته شده از  Virtual Private Networks ) از طريق يك سرويس دهنده RADIUS فراهم می گردد .
عناصر سرويس دهنده RADIUS در IAS  قادر به تائيد درخواست های سرويس گيرندگان RADIUS از طريق يك بانك اطلاعاتی محلی و يا اكتيو دايركتوری می باشند . IAS جزئيات اطلاعات accounting ارائه شده توسط سرويس گيرنده RADIUS را در يك فايل متن و يا يك بانك اطلاعاتی رابطه ای ذخيره می نمايد . ويژگی RADIUS proxy تعبيه شده در IAS  قادر به ارسال پيام های تائيد و accounting برای ساير سرويس دهندگان RADIUS  می باشد .
پيكربندی IAS را می توان بگونه ای انجام داد كه وی قادر به انجام فرآيند تائيد و عمليات مربوط به accounting باشد . همچنين می توان سرويس گيرندگان RADIUS و يا RADIUS Proxy را به منظور استفاده از سرويس دهندگان اضافی پيكربندی نمود .
IAS امكان دستيابی به اطلاعات accounting كاربران ، نگهداری شده بر روی سرويس دهنده IAS و يا يك كنترل كننده domain  را دارد ( در صورتی كه سرويس دهنده IAS  عضوی از يك domain  باشد ).
تراكنش های دستيابی و accounting بين سرويس گيرنده و سرويس دهنده با استفاده از يك رمز محرمانه به اشتراك گذاشته شده صورت می پذيرد . رمز فوق هرگز بر روی شبكه ارسال نخواهد شد و از آن به همراه فيلد تائيد كننده و به منظور ارائه يك سطح امنيتی مناسب بر روی پيام های RADIUS  استفاده می گردد . در صورت نياز به يك سطح بالاتر امنيتی ، سرويس دهنده و سرويس گيرنده RADIUS می توانند از IPSec برای رمزنگاری پيام  های RADIUS استفاده نمايند ( اين موضوع خارج از حوزه پروتكل RADIUS می باشد ) .

source:www.srco.ir

+ نوشته شده در 87/05/19ساعت توسط هومن عزیزی |

تهيه شده توسط گروه امنيت اطلاعات مشورت

تاريخ انتشار : 26 شهريور 1384

ناشر : مهندسي شبكه همكاران سيستم

 

مقدمه

روش­هاي برقراري ارتباط تلفني در حال تغيير است. امروزه براي برقراري ارتباط تلفني راه دور اغلب از تكنولوژيي به نام VoIP استفاده مي­شود. اگر تاكنون چيزي راجع  VoIP نشنيده ايد، خواندن اين مقاله نظر شما را درباره اين­كه ارتباطات تلفني راه دور چگونه انجام مي­شود و آينده ارتباطات تلفني چه خواهد بود، تغيير مي­دهد. VoIP يك روش براي تبديل سيگنال­هاي آنالوگ صوت به داده­هاي ديجيتال است كه از طريق اينترنت منتقل مي­شوند.

ممكن است از خود بپرسيد كه اين امر چگونه مي­تواند مفيد واقع شود. خوب، كافي است چند ثانيه راجع به آن فكر كنيد. اگر تبديل سيگنال­هاي آنالوگ به داده­هاي ديجيتال ممكن باشد، VoIP مي­تواند يك ارتباط اينترنت استاندارد را به يك روش مجازاً رايگان براي برقراي ارتباطات تلفني در هر جاي دنيا تبديل ­كند. فقط كافي است هزينه ISP را بپردازيد. اين امر شما را قادر مي­كند كه شركت­هاي تلفني را به­طور كامل كنار بگذاريد.

VoIP قابليت اين را دارد كه روش كار سيستم­هاي تلفني را كاملاً متحول كند. شركت­هاي زيادي هستند كه سرويس VoIP ارئه مي­دهند و پيوسته هم در حال افزايش هستند. 

در حال حاضر شركت­هاي مخابراتي پيشگام در دنيا، پس از وقوف به امكانات بي­پايان اين تكنولوژي جديد، در حال تأسيس مراكز VoIP در سراسر دنيا هستند و فروش سيستم­هاي تلفن VoIP روز­به­روز در حال گسترش است.


 

نحوه برقراري ارتباط

با سيستم­هاي VoIP به يكي از سه روش زير مي­توان ارتباط تلفني برقرار كرد:

  1. ATA(gateway)

ساده­ترين روش برقراري ارتباط VoIP با استفاده از ATA(Analog Telephone Adaptor)ها كه gateway هم ناميده مي­شوند، مي­باشد. اين ابزارها اين امكان را به شما مي­دهند كه از تلفن­هاي آنالوگ استاندارد فعلي­تان استفاده كنيد(اگر هنوز از تلفن­هاي آنالوگ استفاده مي­كنيد). به آساني مي­توانيد handset استانداردتان را به ATA متصل كنيد، سپس ATA را به كامپيوتر يا ارتباط اينترنت­تان وصل كنيد. با اين كار قادر به برقراري ارتباط VoIP خواهيد بود. ATA سيگنال آنالوگ را از تلفن استاندارد شما مي­گيرد و آن را به سيگنال ديجيتال آماده براي انتقال در بستر اينترنت تبديل مي­كند. همراه برخي ATAها يك نرم­افزار هست كه روي كامپيوتر load مي­شود و شما را قادر مي­سازد كه آن را براي VoIP با دقت پيكربندي كنيد.

 

  1. IP Phones

اين handsetها كاملاً شبيه handsetهاي استاندارد معمولي است. داراي يك كانكتور RJ 45 Ethernet به جاي كانكتورهاي استاندارد RJ 11 هستند. اين تلفن­ها تمام نرم­افزارها و سخت­افزارهاي لازم براي برقراري ارتباطات VoIP را به صورت built-in دارند. مستقيمأ به روتر شما وصل مي­شوند و يك ورودي سريع و مقرون به صرفه به دنياي VoIP فراهم مي­كنند.

 

  1. كامپيوتر به كامپيوتر 

اين روش آسان­ترين روش استفاده از تكنولوژي VoIP است. شركت­هاي زيادي هستند كه نرم­افزارهاي مقرون­به­صرفه­اي ارائه مي­دهند كه مي­توانيد براي اين نوع VoIP از آن­ها استفاده كنيد. معمولاً تنها مبلغي كه بايد پرداخت كنيد فقط هزينه ماهانه ISP است. تمام آن­چه كه نياز داريد يك ميكروفون،بلندگو، يك كارت صداي مناسب و يك ارتباط اينترنت با سرعت مناسب است.

 

شركت­هاي تلفني بزرگ امروزه با استفاده از VoIP هزاران تماس تلفني راه دور را از طريق يك circuit switch به درون يك IP gateway مسيردهي مي­كنند. اين داده­ها در طرف ديگر توسط يك gateway دريافت ­شده و سپس با يك circuit switch محلي ديگر مسيردهي مي­شود. هر روزه شركت­هاي بيش­تري سيستم­هاي تلفني VoIP را نصب مي­كنند و تكنولوژي VoIP در حال رشد است.

 

مزاياي VoIP

از­آن­جايي­كه با استفاده از VoIP شما از هر جايي كه به پهناي باند مناسب دسترسي داشته باشيد، مي­توانيد ارتباط برقرار كنيد، كاربران مي­توانند هنگام مسافرت ATAها يا IP Phoneهايشان را همراه داشته باشند و به تمام خدماتي كه تلفن خانگي­شان ارائه مي­دهد دسترسي داشته باشند.

برخي افراد از يك softphone براي دسترسي به سرويس VoIPشان استفاده مي­كنند. يك softphone يك نرم­افزار ويژه است كه سرويس VoIP را به كامپيوتر يا laptop شما load مي­كند. اين برنامه­ها اين امكان را به شما مي­دهد كه از طريق laptopتان از هرجاي دنيا كه به يك ارتباط با پهناي باند مناسب دسترسي داشته باشيد ارتباط تلفني برقرار كنيد.

اغلب شركت­هاي تلفني سنتي هزينه سرويس­هاي اضافي را در صورت حساب شما مي­گنجانند. در حالي­كه اگر از سرويس­دهنده­هاي VoIP استفاده كنيد، اين سرويس­ها استاندارد به حساب مي­آيد. سرويس­هايي مثل:

  • Caller ID
  • Call Waiting
  • Call Transfer
  • Repeat Dialing
  • Return Call
  • Three-way Dialing

 

بعضي از سرويس­دهندگان VoIP مزاياي بيش­تري در مورد فيلتر كردن تماس­هاي تلفني ارائه مي­دهند. اين قابليت­هاي اضافي به شما اين امكان را مي­دهد كه در مورد چگونگي انتقال تماس­هاي تلفني بر اساس اطلاعات Caller ID تصميم­گيري نمائيد. اين قابليت­ها به شما امكان انجام كارهاي زير را مي­دهد:

  1. انتقال تماس تلفني به يك شماره تلفن خاص (Forwarding)
  2. ارسال مستقيم تماس به Voicemail
  3. ارسال پيغام اشغال بودن مشترك به تماس گيرنده
  4. امكان سرويس در دسترس نبودن مشترك

بسياري از سرويس­هاي VoIP امكان بررسي Voicemail شما را از طريق اينترنت و يا توسط فايل پيوست نامه الكترونيكي كه به كامپيوتر يا PDA شما ارسال شده است را مي­دهد. در هنگام تهيه سرويس VoIP از سيستم تلفن و سرويس دهنده VoIP در مورد قابليت­هاي آن­ها و هزينه خدمات سوال كنيد.

براي مديران شبكه، سيستم تلفن VoIP به اين معني است كه به جاي دو شبكه تنها با يك شبكه روبرو هستند. جابجايي سيستم VoIP نيز به آساني صورت مي­گيرد. اين بدين دليل است كه اكثر سيستم­هاي تلفن مورد استفاده در شبكه VoIP داراي رابط Web بوده و به راحتي توسط مدير شبكه قابل مديريت هستند. پروسه MAC(Move, Add, Change) به راحتي قابل انجام خواهد شد و لازم نيست براي هر بار انجام MAC با سرويس­دهنده­تان تماس بگيريد. تمام اين­ها به معناي هزينه كم­تر براي سازمان شما مي­باشد.

يكي ديگر از منافعي كه براي شركت­هاي داراي VoIP مي­تواند وجود داشته باشد اين است كه شعب سازمان­ها مي­توانند در سرتاسر دنيا پراكنده شده باشند و نيازي به مجتمع بودن آن­ها نيست.

 

انتخاب يك سيستم تلفن VoIP

اگر شما تصميم به پياده­سازي سيستم VoIP در سازمان خود داريد، ابتدا مشخص كنيد كه كدام­يك از تجهيزات تلفني فعلي­تان را مي­توانيد حفظ كنيد. بدين ترتيب مي­توانيد به ميزان زيادي در هزينه­ها صرفه­جويي كنيد. بسياري از سيستم­هاي تلفن ديجيتال با افزودن كم­ترين سخت­افزار و به­روزرساني نرم­افزار  داراي قابليت آدرس­دهي مي­شوند.

علاوه بر اين شما بايد مطمئن باشيد كه تمامي دستگاه­هاي مورد استفاده شما مانند فكس، پردازشگر كارت اعتباري، سيستم­هاي امنيتي و ... مي­توانند به صورت يكپارچه به سيستم تلفن VoIP شما متصل شود.

در آخر توصيه مي­شود كه هيچ­گاه سعي نكنيد با خريدن تلفن­هاي VoIP دست دوم در هزينه­ها صرفه­جويي كنيد. به خاطر داشته باشيد كه VoIP يك تكنولوژي جديد بوده و حتي ممكن است تجهيزات مربوط به يك سال قبل هم از رده خارج شده باشند. هم­چنين هزينه نصب چه تلفن شما نو باشد چه دست دوم تفاوتي نمي­كند، و حتي ممكن است در صورت استفاده از تلفن­هاي دست دوم مجبور شويد هزينه خدمات بيش­تري بپردازيد.
+ نوشته شده در 87/05/19ساعت توسط هومن عزیزی |

سلام

مدتها بود سعی بر نوشتن مطلب جامعی در باب NAT و PAT داشتم و هر بار بنا به اتفاقی این مهم میسر نمیشد تا اینکه بنا به افاق در سایت snar.blogfa.com مطلب جامعی از این باب را دیدم.نویسنده آقای" کاوه در" به زیبائی این مهم را انجام داده است که ضمن تشکر و با اجازه این دوست عزیز من هم اینجا عین مطالب او را استفاده میکنم:


NAT چيست؟

 

اينترنت با سرعتی باورنکردنی همجنان در حال گسترش است . تعداد کامپيوترهای ارائه دهنده اطلاعات ( خدمات ) و کاربران اينترنت روزانه تغيير و رشد می يابد.
رشد اينترنت چه نوع ارتباطی باNetwork Address Translation) NAT ) دارد؟ هر کامپيوتر بمنظور ارتباط با ساير کامپيوترها و سرويس دهندگان وب بر روی اينترنت، می بايست دارای يک آدرس IP باشد. IP يک عدد منحصر بفرد 32 بيتی بوده که کامپيوتر موجود در يک شبکه را مشخص می کند.

محدودیت آدرس : IP
اولين مرتبه ای که مسئله آدرس دهی توسط IP مطرح گرديد، کمتر کسی به اين فکر می افتاد که ممکن است خواسته ای مطرح شود که نتوان به آن يک آدرس را نسبت داد. با استفاده از سيستم آدرس دهی IP می توان 4.294.976.296 (232) آدرس را توليد کرد. ( بصورت تئوری ). تعداد واقعی آدرس های قابل استفاده کمتر از مقدار ( بين 3.2 ميليارد و 3.3 ميليارد ) فوق است . علت اين امر، تفکيک آدرس ها به کلاس ها و رزو بودن برخی آدرس ها برای multicasting ، تست و موارد خاص ديگر است .

همزمان با عموميت يافتن اينترنت و افزايش شبکه های کامپيوتری ، تعداد IP موجود، پاسخگوی نيازها نبود. منطقی ترين روش، طراحی مجدد سيستم آدرس دهی IP است تا امکان استفاده از آدرس های IP بيشَتری فراهم گردد. موضوع فوق در حال پياده سازی بوده و نسخه شماره شش IP ، راهکاری در اين زمينه است . چندين سال طول خواهد کشيد تا سيستم فوق پياده سازی گردد، چراکه می بايست تمامی زيرساخت های اينترنت تغيير واصلاح گردند. NAT با هدف کمک به مشکل فوق طراحی شده است . NAT به يک دستگاه اجازه می دهد که بصورت يک روتر عمل نمايد. در اين حالت NAT بعنوان يک آژانس بين اينترنت ( شبکه عمومی ) و يک شبکه محلی ( شبکه خصوصی ) رفتار نمايد. اين بدان معنی است که صرفا" يک IP منحصر بفرد بمنظور نمايش مجموعه ای از کامپيوترها( يک گروه ) مورد نياز خواهد بود.

کم بودن تعداد IP صرفا" يکی از دلايل استفاده از NAT است .

قابليت های NAT:

عملکرد NAT مشابه يک تلفتچی در يک اداره بزرگ است . فرض کنيد شما به تلفنچی اداره خود اعلام نموده ايد که تماس های تلفنی مربوط به شما را تا به وی اعلام ننموده ايد ، وصل نکند . در ادامه با يکی ازمشتريان تماس گرفته و برای وی پيامی گذاشته ايد که سريعا" با شما تماس بگيرد. شما به تلفتچی اداره می گوئيد که منتظر تماس تلفن از طرف يکی از مشتريان هستم، در صورت تماس وی ، آن را به دفتر من وصل نمائيد. در ادامه مشتری مورد نظر با اداره شما تماس گرفته و به تلفنچی اعلام می نمايد که قصد گفتگو با شما را دارد ( چراکه شما منتظر تماس وی هستيد ). تلفنچی جدول مورد نظر خود را بررسی تا نام شما را در آن پيدا نمايد. تلفنچی متوجه می شود که شما تلفن فوق را درخواست نموده ايد، بنابراين تماس مورد نظر به دفتر شما وصل خواهد شد.

NAT توسط شرکت سيسکو و بمنظور استفاده در يک دستگاه ( فايروال ، روتر، کامپيوتر ) ارائه شده است .NAT بين يک شبکه داخلی و يک شبکه عمومی مستقر و شامل مدل ها ی متفاوتی است .

1- NAT ايستا . عمليات مربوط به ترجمه يک آدرس IP غير ريجستر شده ( ثبت شده ) به يک آدرس IP ريجستر شده را انجام می دهد. ( تناظر يک به يک ) روش فوق زمانيکه قصد استفاده از يک دستگاه را از طريق خارج از شبکه داشته باشيم، مفيد و قابل استفاده است . در مدل فوق همواره IP 192.168.32.10 به IP 213.18.123.110 ترجمه خواهد شد.

2- NAT پويا . يک آدرس IP غير ريجستر شده را به يک IP ريجستر شده ترجمه می نمايد. در ترجمه فوق از گروهی آدرس های IP ريجستر شده استفاده خواهد شد.


3- OverLoading . مدل فوق شکل خاصی از NAT پويا است . در اين مدل چندين IP غير ريجستر شده به يک IP ريجستر شده با استفاده از پورت های متعدد، ترجمه خواهند شد. به روش فوق PAT)Port Address Translation) نيز گفته می شود.

4- Overlapping . در روش فوق شبکه خصوصی از مجموعه ای IP ريجستر شده استفاده می کند که توسط شبکه ديگر استفاده می گردند. NAT می بايست آدرس های فوق را به آدرس های IP ريجستر شده منحصربفرد ترجمه نمايد. NAT همواره آدرس های يک شبکه خصوصی را به آدرس های ريجستر شده منحصر بفرد ترجمه می نمايد. NAT همچنين آدرس های ريجستر شده عمومی را به آدرس های منحصر بفرد در يک شبکه خصوصی ترجمه می نمايد. ( در هر حالت خروجی NAT ، آدرس های IP منحصر بفرد خواهد بود. آدرس های فوق می تواند در شبکه های عمومی ريجستر شده جهانی باشند و در شبکه های خصوصی ريجستر شده محلی باشند )

شبکه اختصاصی ( خصوصی ) معمولا" بصورت يک شبکه LAN می باشند . به اين نوع شبکه ها که از آدرس های IP داخلی استفاده می نمايند حوزه محلی می گويند. اغلب ترافيک شبکه در حوزه محلی بصورت داخلی بوده و بنابراين ضرورتی به ارسال اطلاعات خارج از شبکه را نخواهد داشت . يک حوزه محلی می تواند دارای آدرس های IP ريجستر شده و يا غيرريجستر شده باشد. هر کامپيوتری که از آدرس های IP غيرريجستر شده استفاده می کنند، می بايست از NAT بمنظور ارتباط با دنيای خارج از شبکه محلی استفاده نمايند.

NAT می تواند با استفاده از روش های متفاوت پيکربندی گردد. در مثال زير NAT بگونه ای پيکربندی شده است که بتواند آدرس های غير ريجستر شده IP ( داخلی و محلی ) که بر روی شبکه خصوصی ( داخلی ) می باشند را به آدرس های IP ريجستر شده ترجمه نمايد.

- يک ISP ( مرکز ارائه دهنده خدمات اينترنت ) يک محدوده از آدرس های IP را برای شرکت شما در نظر می گيرد. آدرس های فوق ريجستر و منحصر بفرد خواهند بود . آدرس های فوق Inside global ناميده می شوند. آدرس های IP خصوصی و غيرريچستر شده به دو گروه عمده تقسيم می گردند : يک گروه کوچک که توسط NAT استفاده شده (Outside local address) و گروه بزرگتری که توسط حوزه محلی استفاده خواهند شد ( Inside local address) . آدرس های Outside local بمنظور ترجمه به آدرس های منحصربفرد IP استفاده می شوند.آدرس های منحصر بفرد فوق، outside global ناميده شده و اختصاص به دستگاههای موجود بر روی شبکه عمومی ( اينترنت) دارند.

- اکثر کامپيوترهای موجود در حوزه داخلی با استفاده از آدرس های inside local با يکديگر ارتباط برقرار می نمايند.

- برخی از کامپيوترهای موجود در حوزه داخلی که نيازمند ارتباط دائم با خارج از شبکه باشند ،از آدرس های inside global استفاده و بدين ترتيب نيازی به ترجمه نخواهند داشت .

- زمانيکه کامپيوتر موجود در حوزه محلی که دارای يک آدرس inside local است، قصد ارتباط با خارج شبکه را داشته باشد بسته های اطلاعاتی وی در اختيار NAT قرار خواهد گرفت .

- NAT جدول روتينگ خود را بررسی تا به اين اطمينان برسد که برای آدرس مقصد يک entry در اختيار دارد. در صورتيکه پاسخ مثبت باشد، NAT بسته اطلاعاتی مربوطه را ترجمه و يک entry برای آن ايجاد و آن را در جدول ترجمه آدرس (ATT) ثبت خواهد کرد. در صورتيکه پاسخ منفی باشد بسته اطلاعاتی دور انداخته خواهد شد.

- با استفاده از يک آدرس inside global ، روتر بسته اطلاعاتی را به مقصد مورد نظر ارسال خواهد کرد.

- کامپيوتر موجود در شبکه عمومی ( اينترنت )، يک بسته اطلاعاتی را برای شبکه خصوصی ارسال می دارد. آدرس مبداء بسته اطلاعاتی از نوع outside global است . آدرس مقصد يک آدرس inside global است .

- NAT در جدول مربوطه به خود جستجو و آدرس مقصد را تشخيص و در ادامه آن را به کامپيوتر موجود در حوزه داخلی نسبت خواهد کرد.

- NAT آدرس های inside global بسته اطلاعاتی را به آدرس های inside local ترجمه و آنها را برای کامپيوتر مقصد ارسال خواهد کرد.

روش Overloading از يک ويژگی خاص پروتکل TCP/IP استفاده می نمايد. ويژگی فوق اين امکان را فراهم می آورد که يک کامپيوتر قادر به پشتيبانی از چندين اتصال همزمان با يک و يا چندين کامپيوتر با استفاده از پورت های متفاوت TCP و يا UDP باشد.. يک بسته اطلاعاتی IP دارای يک هدر(Header) با اطلاعات زير است :

آدرس مبداء . آدرس کامپيوتر ارسال کننده اطلاعات است .

پورت مبداء. شماره پورت TCP و يا UDP بوده که توسط کامپيوتر مبداء به بسته اطلاعاتی نسبت داده شده است .

آدرس مقصد : آدرس کامپيوتر دريافت کننده اطلاعات است .

پورت مقصد. شماره پورتTCP و يا UDP بوده که کامپيوتر ارسال کننده برای باز نمودن بسته اطلاعاتی برای گيرنده مشخص کرده است .

آدرس ها ، کامپيوترهای مبداء و مقصد را مشخص کرده ، در حاليکه شماره پورت اين اطمينان را بوجود خواهد آورد که ارتباط بين دو کامپيوتر دارای يک مشخصه منحصر بفرد است . هر شماره پورت از شانزده بيت استفاده می نمايد.( تعداد پورت های ممکن 65536 ( 16 2 ) خواهد بود ) . عملا" از تمام محدوده پورت های فوق استفاده نشده و 4000 پورت بصورت واقعی استفاده خواهند شد.


نحوه کار NAT Overloading و پويا بصورت زير است :

1- يک شبکه داخلی ( حوزه محلی) با استفاده از مجموعه ای از آدرس های IP که توسط IANA)Internet Assigned Numbers Authority) به شرکت و يا موسسه ای اختصاص داده نمی شوند پيکربندی می گردد. آدرس های فوق بدليل اينکه منحصربفرد می باشند غير قابل روتينگ ناميده می شوند.

2- موسسه مربوطه يک روتر را با استفاده از قابليت های NAT ، پيکربندی می نمايد. روتر دارای يک محدوده از آدرس های IP منحصر بفرد بوده که توسط IANA د ر اختيار موسسه و يا شرکت مربوطه گذاشته شده است .

3- يک کامپيوتر موجود بر روی حوزه داخلی ، سعی درايجاد ارتباط با کامپيوتری خارج از شبکه( مثلا" يک سرويس دهنده وب) را دارد.

4- روتر بسته اطلاعاتی را از کامپيوتر موجود در حوزه داخلی دريافت می نمايد.

5- روتر آدرس IP غيرقابل روت و شماره پورت را در جدول ترجمه آدرس ها ذخيره می نمايد. روتر آدرس IP غير قابل روت را با يک آدرس منحصر بفرد جايگزين می نمايد. روتر شماره پورت کامپيوتر ارسال کننده را با شماره پورت اختصاصی خود جايگزين و آن را در محلی ذخيره تا با آدرس کامپيوتر ارسال کننده اطلاعات ، مطابقت نمايد.

6- زمانيکه يک بسته اطلاعاتی از کامپيوتر مقصد مراچعت می نمايد ، روتر پورت مقصد بسته اطلاعاتی را بررسی خواهد کرد.بدين منظور روتر در جدول آدرس های ترجمه شده جستجو تا از کامپيوتر موجود در حوزه داخلی که بسته اطلاعاتی به آن تعلق دارد آگاهی پيدا نمايد.روتر آدرس مقصد بسته اطلاعاتی و شماره پورت را تغيير ( از مقادير ذخيره شده قبلی استفاده می کند ) و آن را برای کامپيوتر مورد نظر ارسال خواهد کرد. در صورتيکه نتيجه جستجو در جدول ، موفقيت آميز نباشد بسته اطلاعاتی دور انداخته خواهد شد.

7- کامپيوتر موجود در حوزه داخلی ، بسته اطلاعاتی را دريافت می کند. فرآيند فوق ماداميکه کامپيوتر با سيستم خارج از شبکه ارتباط دارد، تکرار خواهد شد.

- با توجه به اينکه NAT آدرس کامپيوتر مبداء و پورت مربوطه آن را در جدول ترجمه آدرس ها ذخيره شده دارد، ماداميکه ارتباط فوق برقرار باشد از شماره پورت ذخيره شده ( اختصاص داده شده به بسته اطلاعاتی ارسالی) استفاده خواهد کرد. روتر دارای يک Timer بوده وهر بار که يک آدرس از طريق آن استفاده می گردد reset می گردد.در صورتيکه در مدت زمان مربوطه ( Timer صفر گردد ) به اطلاعات ذخيره شده در NAT مراجعه ای نشود، اطلاعات فوق ( يک سطر از اطلاعات ) از داخل جدول حذف خواهند شد.
A
192.168.32.10
400
215.37.32.203
1

B
192.168.32.13
50
215.37.32.203
2

C
192.168.32.15
3750
215.37.32.203
3

D
192.168.32.18
206
215.37.32.203
4


در صورتيکه برخی ازکامپيوترهای موجود در شبکه خصوصی از آدرس های IP اختصاصی خود استفاده می نمايند ، می توان يک ليست دستيابی از آدرس های IP را ايجاد تا به روتر اعلام نمايد که کداميک از کامپيوترهای موجود در شبکه به NAT نياز دارند.

تعداد ترجمه های همزمانی که يک روتر می تواند انجام دهد، ارتباط مستقيم با حافظه اصلی سيستم دارد. با توجه به اينکه در جدول ترجمه آدرس هر entry صرفا" 160 بايت را اشغال خواهد کرد، يک روتر با 4 مگابايت حافظه قادر به پردازش 26.214 ترجمه همزمان است. مقدار فوق برای اغلب موارد کافی بنظر می آيد.

IANA محدوده ای از آدرس های IP را که غيرفابل روت بوده و شامل آدرس های داخلی شبکه هستند مشخص نموده است .آدرس های فوق غيرريجستر شده می باشند.. هيچ شرکت و يا آژانسی نمی تواند ادعای مالکيت آدرس های فوق را داشته باشد و يا آنها را در شبکه های عمومی ( اينترنت ) استفاده نمايد. روترها بگونه ای طراحی شده اند که آدرس های فوق را عبور (Forward) نخواهند کرد.

Range 1: Class A - 10.0.0.0 through 10.255.255.255
Range 2: Class B - 172.16.0.0 through 172.31.255.255
Range 3: Class C - 192.168.0.0 through 192.168.255.255

امنيت :
همزمان با پياده سازی يک NAT پويا، يک فايروال بصورت خودکار بين شبکه داخلی و شبکه های خارجی ايجاد می گردد. NAT صرفا" امکان ارتباط به کامپيوترهائی را که در حوزه داخلی می باشند را خواهد داد. اين بدان معنی است که يک کامپيوتر موجود در خارج از شبکه داخلی ، قادر به ارتباط مستقيم با يک کامپيوتر موجود در حوزه داخلی نبوده ، مگر اينکه ارتباط فوق توسط کامپيوتر شما مقدار دهی اوليه ( هماهنگی های اوليه از بعد مقداردهی آدرس های مربوطه ) گردد. شما براحتی قادر به استفاده از اينترنت دريافت فايل و ... خواهيد بود ولی افراد خارج از شبکه نمی توانند با استفاده از آدرس IP شما، به کامپيوتر شما متصل گردند. NAT ايستا ، امکان برقراری ارتباط با يکی از کامپيوترهای موجود در حوزه داخلی توسط دستگاههای موجود در خارج از شبکه را ، فراهم می نمايند.

برخی از روترهای مبتنی بر NAT امکان فيلترينگ و ثبت ترافيک را ارائه می دهند. با استفاده از فيلترينگ می توان سايت هائی را که پرسنل يک سازمان از آنها استفاده می نمايند را کنترل کرد.با ثبت ترافيک يک سايت می توان از سايت های ملاقات شده توسط کاربران آگاهی و گزارشات متعددی را بر اساس اطلاعات ثبت شده ايجاد کرد.

تفاوت NAT و PROXY:
NAT دربرخی موارد با سرويس دهندگان Proxy ، اشتباه در نظر گرفته می شود. NAT و Proxy دارای تفاوت های زيادی می باشند. NAT بی واسطه بين کامپيوترهای مبداء و مقصد قرار می گيرد. Proxy بصورت بی واسطه نبوده و پس از استقرار بين کامپيوترهای مبداء و مقصد تصور هر يک از کامپيوترهای فوق را تغيير خواهد داد. کامپيوتر مبداء می داند که درخواستی را از Proxy داشته و می بايست بمنظور انجام عمليات فوق ( درخواست ) پيکربندی گردد. کامپيوتر مقصد فکر می کند که سرويس دهنده Proxy بعنوان کامپيوتر مبداء می باشد. Proxy در لايه چهارم (Transport) و يا بالاتر مدل OSI ايفای وظيفه می نمايد در صورتيکه NAT در لايه سوم (Network) فعاليت می نمايد. Proxy ، بدليل فعاليت در لايه بالاتر در اغلب موارد از NAT کندتر است .

+ نوشته شده در 87/02/26ساعت توسط هومن عزیزی |

این نرم افزار یک نرم افزار از گروه RADIUS SERVER  ها میباشد که جهت کنترل و اکانتینگ در نرم افزار هائی همچو  ISA SERVER و ... بکار میرود.توسط این نرم افزار کم حجم اما جالب و در نوع خود پر کاربرد عملیات زیر قابل انجام است :

  1. مدیریت اتصال زمانی کاربران
  2. مدیریت اتصال مصرفی کاربران ( بر حسب کیلو بایت )
  3. مدیریت اتصال روزانه کاربران
  4. مدیریت اتصال ساعتی کاربران ( بر حسب ساعت خاص اتصال بطور مثال 14 الی 16 هر یکشنبه و چهار شنبه)
  5. مدیریت VPN  های اتصالی
  6. .....

آنچه اکنون به آن می پردازیم همانا نصب و مشکلات نصب به اضافه پاره ای تنظیمات میباشد.


برای نصب نرم افزار ابتدا آنرا بصورت کامل و عادی نصب میکنیم. پس از RESTART با نام کاربری ADMIN و رمز عبور ADMIN ورود کرده (توصیه میگردد پسورد مزبور را عوض نمائید )سپس تنظیمات ذیل را انجام می دهیم:

الف)با گزینه F10 به پنجره PROFILE MANAGER  وارد شده و گزینه NEW USER  را از پایین پنجره وارد کرده نام کاربر خود را وارد کرده و  در TAB های زیر عملیات تنظیماتی گفته شده را انجام میدهیم:


  1.  GENERALTAB : در این بخش گزینه EXPIRATION DATE  جهت تعیین تاریخ اعتبار کاربر بکار میرود. میتوان تاریخ را با فرمت مقابل گزینه وارد نمود البته اکثر  ISP ها از وضعیت  DURATION استفاده میکنند یعنی با وارد کردن مثلا 30# تاریخ اعتبار کاربر را از لحظه LOGIN  به مدت 30 روز بعد تعیین میکنند.
    نکته مهم آنکه NTTACPLUS یک USER بصورت DEFAULT  با نام  DEFAULT  دارد که هر گاه آنرا غیر فعال نکنیم میتو.اند یک حفره امنیتی بسیار وحشتناک محسوب میگردد.برای غیر فعال نمودن آن کافیست ابتدا گزینه DEFAULT را از بخش کاربران ( واقع در بالای محیط پنجره) انتخاب نموده و سپس گزینه ACCOUNT DISABLE را از همین بخش GENERAL فعال نمائیم.
  2. PASSWORD TAB :' گزینه NT PROXY PASSWORD جهت پسورد گذاری روی کاربر بکار میرود.هرگاه کاربر عضوی از یک  DOMAIN  در شبکه میباشد میباید گزینه  NT DOMAIN  را نیز فعال نمود.که البته در این حالت باید نام کاربری و پسورد تعریف شده در نرم افزار با  DOMAIN  یکی باشند.
  3. GROUP MEMBERSHIP TAB : این بخش بسیار مهم است و میباید برای هر کاربر که  add  مینمائیم حتما گزینه های  standard , ppp را اضافه کنیم.
  4. CREDIT TAB  :  اینجا مکانی است که اکثر دوستان بدنبال آن میگردند . دقیقا توجه کنید ، اگر مییخواهید یک کاربر داشته باشید که روزی 120 دقیقه بطور مثال در هر ساعاتی از روز بتواند متصل شود باید گزینه ASSIGN A TIME QUATA  را DAILY   و گزینه QUATA ر ا برابر با 120 قرار دهید.و هرگاه بخواهید بدین صورت که مثلا در یک هفته کاربر شما بتواند مجموعا 300 دقیقه وصل شود را داشته باشید کافیست گزینه ASSIGN A TIME QUATA  را  WEEKLY  و گزینه INITIAL TIME  را برابر 300  قرار دهید که در این حالت گزینه زیر آن یعنی TIME LEFT  در هر لحظه میزان زمان باقیمانده از اعتبار هفتگی کاربر را نمایش میدهد.

 پس از انجام تنظیمات مزبور پنجره PROFILE MANAGER را بسته و کلید F8 را وارد میکنیم تا پنجره OPTIONS گشوده گردد .

ب) پنجره OPTIONS : (این پنجره را میتوان به جای کلید  F8 با مسیر TOOLS/OPTIONS نیز گشود)


  1. زبانه  GENERAL: در این زبانه نیز باید گزینه  ENABLE DEFAULT USER  را به علتی که در بخش الف گزینه 1 گفته شد غیر فعال نمود.
  2.  زبانه TACPLUS/RADIUS: در این قسمت پورتهای ارتباطی جهت ارتباط با یک نرم افزار دیگر مانند  ISA SERVER تعیین میگردد.هرگاه شما بخواهید مثلا ISA SERVER را WEB PROXY SERVER یا VPN SERVER خود قرار دهید آنگاه تصحیح این پورتها بسیار مهم میباشد.زیرا در ISA SERFVER پورتهای ارتباطی جهت ارتباط با RADIUS SERVER  برابر با 1645, 1646 میباشند بنابراین یا باید اینجا در TACPLUS  پورتها را 1656و 1646 نمائیم یا در نرم افزار خود ( مثلا  ISASEREVER) پورتها را پورتهای TACPLUS یعنی 1812و1813 تغییر دهیم.
  3. SECRET TAB:در این بخش گزینه ALWAYSباید فعال گردد.


لینک جهت دانلود NTTACPLUS


اکنون تقریبا تنظیمات انجام شده و شما آماده کار هستید اما آنچه مهم این توجه به برخی نکات حرفه ا ی میباشد که در بخش دوم مقاله در آینده نزدیک در مورد آن بحث خواهیم نمود.

 

 

+ نوشته شده در 86/10/02ساعت توسط هومن عزیزی |

 

هرگاه به عنوان یک حرفه ای در صدد دانلود نرم افزارهای شرکت مایکروسافت میباشید از لینک های زیر استفاده کنید:

Downloads

This page contains a collection of download links and tips, all related to Windows 2000, Windows XP, Windows Server 2003, Exchange 2000, Exchange Server 2003 and Office XP/2003.

 

Available topics

(Sorted in alphabetical order)

+ نوشته شده در 86/07/07ساعت توسط هومن عزیزی |

به محیطی که کاربران در آن محیط عملیات روزمره خود را انجام میدهند گویند.

پروفایل به دو گروه تقسیم میشود:

۱.پروفایل سخت افزاری

۲.پروفایل نرم افزاری

------------------------------------------------------------------

پروفایل سخت افزاری محیطی شامل سخت افزارهای قابل دستیابی توسط کاربر در سیستم میباشد.هر کابر با توجه به پروفایل سخت افزاری خود میتواند از امکانات سخت افزاری سیستم خود مانند مودم ،کارت صوت و ... استفاده نماید.میتوان با ایجاد پروفایلهای مختلف سخت افزاری کاربران مختلف را از لحاظ استفاده از تجهیزات سیستم مورد مدیریت قرار داد.به منظور ایجاد یک پروفایل جدید کافیست از مسیر زیر اقدام نمود:

ابتدا روی mycomputer کلیک راست نموده و با انتخاب گزینهproperties زبانه hardware را انتخاب کرده سپس گزینه hardware profile را برگزیده و در پنجره گشوده شده یک profile  جدید ایجاد میکنیم.

بهترین راه کپی پروفایل کنونی سپس تغییر نام دلخواه آن و در نهایت disable  یا  enable نمودن تعدادی از سخت افزارهای موجود میباشد.هنگام بوت شدن سیستم پروفایلهای ایجاد شده در یک لیست ظاهر میشوند و کابر با انتخاب پروفایل خود مجاز به ورود خواهد بود.

------------------------------------------

پروفایل نرم افزاری شامل محیط دسکتاپ و تنضیمات دسکتاب کابر میشود.روی یک سیستم که چندین کاربر و هر یک با username. password های مختلف کار میکنند برای هریک از آنها یک پروفایل نرم افزاری جداگانه وجود دارد.این پروفایل ها به محض اولین logon کابر بطور خودکار ایجاد شده و تنظیمات انجام شده توسط کابر از آن لحظه در آنها ثبت میگردد.این پروفایلها معمولا در مسیری که ویندوز ما نصب گردیده در فولدرdocement and setting قابل مشاهده میباشند.

توصیه میشود پس از ذخیره اطلاعات موجود در دسکتاپ هر کاربر نسبت به پاک نمودن این پروفایلها هر چندماه یکبار اقدام نمود.البته سلسله مراتب کاربری در پاک کردن این پروفایلهای نرم افزاری بسیار مهم میباشد بدین معنا که کاربری با قدرت مثلا power user  اجازه پاک کردن پروفایل administrator  ندارد زیرا از لحاظ امنیتی در سطح دسترسی پایین تری قرار دارد.

در مقاله شماره 2 به مباحث پیشرفته تر از پروفایلها خواهیم پرداخت.

مقاله شخصی و هرگونه برداشت با ذکر منبع مجاز میباشد.

+ نوشته شده در 86/02/02ساعت توسط هومن عزیزی |

 

طراحی VLAN : مفاهيم اوليه

 Virtual Local Area Networks)  VLAN) ، يکی از فن آوری های پيشرفته در شبکه های کامپيوتری است که اخيرا" با توجه به ويژگی های منحصربفرد خود توانسته است در کانون توجه طراحان و پياده کنندگان شبکه های کامپيوتری قرار بگيرد ( منبع  : VLAN چيست ؟  ) .
طراحی و پياده سازی  يک شبکه کامپيوتری کار ساده ای نمی باشد و  شبکه های VLAN نيز از اين قاعده مستثنی نخواهند بود ، چراکه در اين نوع شبکه ها مجموعه ای متنوع از پروتکل ها به منظور نگهداری و مديريت شبکه بکار گرفته می شود .
در اين مطلب قصد نداريم به نحوه پيکربندی يک شبکه VLAN  اشاره نمائيم ( در مطالب جداگانه ای به اين موضوع خواهيم پرداخت ) . در ابتدا لازم است به طرح های فيزيکی متفاوت VLAN و مفاهيم اوليه آن اشاره ای داشته باشيم تا از اين رهگذر با مزايا و دستاوردهای اين نوع شبکه ها بيشتر آشنا شويم .
بخاطر داشته باشيد که برای طراحی و پياده سازی شبکه های کامپيوتری که هر يک دارای منابع و ملزومات مختص به خود می باشند ، فنآوری های متفاوتی در دسترس می باشد  و مهم اين است که بتوان با بررسی کارشناسی بهترين گزينه در اين رابطه را  استفاده نمود .

طراحی اولين VLAN
در اکثر پيکربندی های VLAN ، محوريت بر اساس گروه بندی دپارتمان ها صرفنظر از محل استقرار فيزيکی آنان در يک شبکه می باشد. بدين ترتيب مديريت دپارتمان ها متمرکز و امکان دستيابی به منابع مهم و حياتی شبکه  محدود و صرفا" در اختيار کاربران مجاز قرار خواهد گرفت .
در ادامه به بررسی يک سازمان فرضی خواهيم پرداخت که قصد طراحی و پياده سازی يک شبکه کامپيوتری را دارد . مدل پيشنهادی را بدون در نظر گرفتن VLAN و با لحاظ نمودن VLAN بررسی می نمائيم .
وضعيت موجود سازمان فرضی :

  • سازمان فرضی دارای چهل دستگاه ايستگاه کاری و پنج سرويس دهنده است .

  • در سازمان فرضی دپارتمان های متفاوتی با وظايف تعريف شده ، وجود دارد : دپارتمان مديريت ، دپارتمان حسابداری ، دپارتمان فنآوری اطلاعات 

  • دپارتمان های اشاره شده در سه طبقه فيزيکی توزيع و پرسنل آنان ممکن است در طبقات مختلف مشغول به کار باشند .

سناريوی اول : عدم استفاده از VLAN
دپارتمان فنآوری اطلاعات به عنوان مجری طراحی و پياده سازی شبکه به اين نتيجه رسيده است که بدليل رعايت مسائل امنيتی مناسب تر است که شبکه را پارتيشن نموده و آن را به چندين بخش تقسيم نمايد . هر دپارتمان در يک Broadcast domain قرار گرفته  و با استفاده از ليست های دستيابی که بين محدوده های هر يک از شبکه ها قرار می گيرد، اين اطمينان حاصل می گردد که دستيابی به هر يک از شبکه ها با توجه به سياست های دستيابی تعريف شده، ميسر می گردد .
با توجه به وجود سه دپارتمان متفاوت ، سه شبکه جديد ايجاد می گردد . مدل پيشنهادی در اين سناريو به صورت زير است :

ويژگی های سناريوی اول :

  • به هر دپارتمان يک شبکه خاص نسبت داده شده است .

  • در هر طبقه از يک سوئيچ اختصاصی برای هر يک از شبکه های موجود ، استفاده شده است .

  • مهمترين دستاورد مدل فوق ، افزايش امنيت شبکه است چراکه شبکه های فيزيکی عملا" از يکديگر جدا شده اند .

  • سوئيچ های موجود در هر طبقه از طريق ستون فقرات شبکه با يکديگر گروه بندی و به روتر اصلی شبکه متصل شده اند .

  • روتر مسئوليت پيچيده کنترل دستيابی و روتينگ بين شبکه ها و سرويس دهنده ها را با استفاده از ليست های دستيابی بر عهده خواهد داشت.

  • مديريت شبکه بدليل عدم وجود يک نقطه متمرکز دارای چالش های مختص به خود می باشد .

سناريوی دوم : استفاده از VLAN
در اين مدل ، طراحی شبکه با در نظر گرفتن فنآوری VLAN به صورت زير ارائه شده است : 

ويژگی های سناريوی دوم :

  • در هر طبقه  از يک سوئيچ استفاده شده است که مستقيما" به ستون فقرات شبکه متصل می گردد.

  • سوئيچ های استفاده شده در اين سناريو دارای ويژگی VLAN بوده و بگونه ای پيکربندی می گردند که سه شبکه فيزيکی و منطقی جداگانه را حمايت نمايند .

  • در مقابل روتر در سناريوی قبل از يک سوئيچ لايه سوم ، استفاده شده است . سوئيچ های فوق بسيار هوشنمند بوده و  نسبت به ترافيک لايه سوم ( لايه IP ) آگاهی لازم را دارند .

  • با استفاده از يک سوئيچ ، می توان ليست های دستيابی را به منظور محدوديت دستيابی بين شبکه ها تعريف نمود . دقيقا" مشابه عملياتی که با استفاده از روتر در سناريوی قبلی انجام می گردد ( روتينگ بسته های اطلاعاتی از يک شبکه منطقی به شبکه منطقی ديگر ) . سوئيچ های لايه سوم ، ترکيبی از يک سوئيچ قدرتمند و يک روتر از قبل تعبيه شده می باشند .

  • مقرون به صرفه بودن  ، تسهيل در امر توسعه شبکه ، انعطاف پذيری و مديريت متمرکز از جمله مهمترين ويژگی های سناريوی فوق می باشد.


استفاده از اين مطلب  با ذکر منبع و اهداف غيرانتفاعی بلامانع است .
http://www.srco.
ir

+ نوشته شده در 86/01/15ساعت توسط هومن عزیزی |

 

VLAN چيست ؟
 Virtual Local Area Networks)  VLAN) ، يکی از جديدترين و  جالبترين تکنولوژی های شبکه است که اخيرا" مورد توجه بيشتری قرار گرفته است . رشد بدون وقفه شبکه های LAN و ضرورت کاهش هزينه ها برای تجهيزات گرانقيمت بدون از دست دادن کارآئی و امنيت ، اهميت و ضرورت توجه بيشتر به VLAN را مضاعف نموده است .

وضعيت شبکه های فعلی 
تقريبا" در اکثر شبکه ها امروزی از يک (و يا چندين) سوئيچ که تمامی گره های شبکه به آن متصل می گردند ، استفاه می شود . سوئيچ ها روشی مطمئن و سريع به منظور مبادله اطلاعات بين گره ها در يک شبکه را فراهم می نمايند.با اين که سوئيچ ها برای انواع شبکه ها ، گزينه ای مناسب می باشند ، ولی همزمان با رشد شبکه و افزايش تعداد ايستگاهها و سرويس دهندگان ، شاهد بروز مسائل خاصی خواهيم بود . سوئيچ ها ، دستگاه های لايه دوم (مدل مرجع OSI ) می باشند که يک شبکه Flat را ايجاد می نمايند .

همانگونه که در شکل فوق مشاهده می نمائيد ، به يک سوئيچ ، سه ايستگاه متصل شده است . ايستگاههای فوق قادر به ارتباط با يکديگر بوده و هر يک به عنوان عضوی از يک  Broadcast domain مشابه می باشند. بدين ترتيب ، در صورتی که ايستگاهی يک پيام broadcast را ارسال نمايد ، ساير ايستگاههای متصل شده به سوئيچ نيز آن را دريافت خواهند داشت.
در يک شبکه کوچک ، وجود پيام های Broadcast نمی تواند مشکل و يا مسئله قابل توجهی را ايجاد نمايد، ولی در صورت رشد شبکه ، وجود پيام های braodcast می تواند به يک مشکل اساسی و مهم تبديل گردد . در چنين مواردی و در اغلب مواقع ، سيلابی از اطلاعات بی ارزش بر روی شبکه در حال جابجائی بوده و عملا" از پهنای باند شبکه،استفاده مطلوب نخواهد شد. تمامی ايستگاههای متصل شده به يک سوئيچ ، پيام های Braodcast را دريافت می نمايند . چراکه تمامی آنان بخشی از يک Broadcast doamin مشابه می باشند .
در صورت افزايش تعداد سوئيچ ها و ايستگاهها در يک شبکه ، مشکل اشاره شده ملموس تر خواهد بود .همواره احتمال وجود پيام های Braodcast  در يک شبکه وجود خواهد داشت .
يکی ديگر از مسائل مهم ، موضوع امنيت است . در شبکه هائی که با استفاده از سوئيچ ايجاد می گردند ، هر يک از کاربران شبکه قادر به مشاهده تمامی دستگاههای موجود در شبکه خواهند بود . در شبکه ای بزرگ که دارای سرويس دهندگان فايل ، بانک های اطلاعاتی و ساير اطلاعات حساس و حياتی است ، اين موضوع می تواند امکان مشاهده تمامی دستگاههای موجود در شبکه را برای هر شخص فراهم نمايد . بدين ترتيب منابع فوق در معرض تهديد و حملات بيشتری قرار خواهند گرفت . به منظور حفاظت اينچنين سيستم هائی می بايست محدوديت دستيابی را در سطح شبکه و با ايجاد سگمنت های متعدد و يا استقرار يک فايروال در جلوی هر يک از سيستم های حياتی ، انجام داد .

معرفی VLAN
تمامی مسائل اشاره شده در بخش قبل را و تعداد بيشتری را  که به آنان اشاره نشده است را می توان با ايجاد يک VLAN به فراموشی سپرد . به منظور ايجاد VLAN ، به يک سوئيچ لايه دوم که اين تکنولوژی را حمايت نمايد ، نياز می باشد . تعدادی زيادی از افراديکه جديدا" با دنيای شبکه آشنا شده اند ، اغلب دارای برداشت مناسبی در اين خصوص نمی باشند و اينگونه استنباط نموده اند  که صرفا" می بايست به منظور فعال نمودن VLAN ،  يک نرم افزار اضافه  را بر روی سرويس گيرندگان و يا سوئيچ نصب نمايند . ( برداشتی کاملا" اشتباه ! ) . با توجه به اين که در  شبکه های VLAN ، ميليون ها محاسبات رياضی انجام می شود ، می بايست از سخت افزار خاصی که درون سوئيچ تعبيه شده است ، استفاده گردد (دقت در زمان تهيه يک سوئيچ)،در غير اينصورت امکان ايجاد يک VLAN با استفاده از سوئيچ تهيه شده ، وجود نخواهد داشت . 
هر VLAN که بر روی سوئيچ ايجاد می گردد ، به منزله يک شبکه مجزا می باشد . بدين ترتيب برای هر VLAN موجود يک broadcast domain جداگانه ايجاد می گردد . پيام های broadcast ، به صورت پيش فرض ، از روی تمامی پورت هائی از شبکه که عضوی از يک  VLAN مشابه نمی باشند، فيلتر می گردند . ويژگی فوق ، يکی از مهمترين دلايل متداول شدن VALN در شبکه های بزرگ امروزی است ( تمايز بين سگمنت های شبکه ) . شکل زير يک نمونه شبکه با دو VLAN را نشان می دهد : 

در شکل فوق ، يک شبکه کوچک با شش ايستگاه را که به يک سوئيچ ( با قابليت حمايت از VLAN ) متصل شده اند ، مشاهده می نمائيم . با استفاده از پتانسيل VLAN سوئيچ ، دو  VLAN  ايجاد شده است که به هر يک سه ايستگاه متصل شده است (VLAN1  و VLAN2) . زمانی که ايستگاه شماره يک متعلق به VLAN1 ، يک پيام  Braodcast را ارسال می نمايد ( نظير : FF:FF:FF:FF:FF:FF  ) ، سوئيچ موجود آن را صرفا" برای ايستگاههای شماره دو وسه فوروارد می نمايد . در چنين مواردی  ساير ايستگاههای متعلق به VLAN2 ، آگاهی لازم در خصوص پيام های broadcast ارسالی بر روی VLAN1 را پيدا نکرده  و درگير اين موضوع نخواهند شد .
در حقيقت ، سوئيچی که قادر به حمايت از VLAN می باشد ، امکان پياده سازی چندين شبکه مجزا را فراهم می نمايد ( مشابه داشتن دو سوئيچ جداگانه و اتصال سه ايستگاه به هر يک از آنان در مقابل استفاده از VLAN ) . بدين ترتيب شاهد کاهش چشمگير هزينه های برپاسازی يک شبکه خواهيم بود .
فرض کنيد قصد داشته باشيم زير ساخت شبکه موجود در يک سازمان بزرگ را به دوازده شبکه جداگانه تقسيم نمائيم . بدين منظور می توان با تهيه دوازده سوئيچ و اتصال ايستگاههای مورد نظر به هر يک از آنان ، دوازده شبکه مجزا که امکان ارتباط بين آنان وجود ندارد را ايجاد نمائيم . يکی ديگر از روش های تامين خواسته فوق ، استفاده از VLAN است . بدين منظور می توان از يک و يا چندين سوئيچ که VLAN را حمايت می نمايند ، استفاده و دوازده VLAN را ايجاد نمود . بديهی است ، هزينه برپاسازی چنين شبکه هایی به مراتب کمتر از حالتی است که  از دوازده سوئيچ جداگانه ، استفاده شده باشد .
در زمان ايجاد VALN ، می بايست تمامی ايستگاهها را به سوئيچ متصل و در ادامه ، ايستگاههای مرتبط با هر VLAN را مشخص نمود. هر سوئيچ در صورت حمايت از VLAN ، قادر به پشتيبانی از تعداد مشخصی VLAN است . مثلا" يک سوئيچ ممکن است 64 و يا  266  VLAN را حمايت نمايد.


استفاده از اين مطلب  با ذکر منبع و اهداف غيرانتفاعی بلامانع است .
http://www.srco.
ir

+ نوشته شده در 86/01/15ساعت توسط هومن عزیزی |

Patch 
توليد کنندگان نرم افزار پس از آگاهی از وجود نقاط آسيب پذير در محصولات خود ،  با ارائه Patch های لازم اقدام به برطرف نمودن مسئله و حل مشکل ايجاد شده ، می نمايند . تمامی کاربران کامپيوتر می بايست از نصب آخرين Patch های ارائه شده مرتبط با محصولات نرم افزاری که بر روی سيستم خود استفاده می نمايند ، مطئمن گردند . اعتقاد عملی به سياست فوق ، ضريب حفاظتی و امنيتی سيستم شما را افزايش خواهد داد . 
همانند وصله های يک لباس که باعث بهبود سوراخ ها و روزنه های موجود می گردد  ، وصله های نرم افزاری باعث بهبود سوراخ ها و حفره های موجود در برنامه های نرم افزاری می گردند .  Patch ها ، يک مشکل خاص و يا نقطه آسيب پذير در يک نرم افزار را برطرف می نمايند . در برخی موارد توليد کنندگان نرم افزار در مقابل ارائه يک patch ، اقدام به ارائه يک نسخه جديد از نرم افزارهای خود می نمايند ( ارتقاء نرم افزار ).  توليد کنندگان نرم افزار ممکن است به نسخه جديد ارتقاء يافته به عنوان يک patch مراجعه نمايند .

نحوه آگاهی از patch  مورد نياز
توليد کنندگان نرم افزار پس از آماده شدن patch ها  ، آنان را بر روی وب سايت های خود ارائه خواهند داد . کاربران کامپيوتر می توانند با مراجعه به سايت شرکت عرضه کننده محصول نرم افزاری در مرحله اول از ارائه Patch جديد آگاهی يافته و در مرحله دوم با دريافت و نصب آن ، نرم افزار نصب شده بر روی سيستم خود را ارتقاء دهند . پس از ارائه يک patch ، می بايست سريعا" اقدام به نصب آن بر روی سيستم شود . بدين ترتيب فرصت استفاده از نقاط آسيب پذير موجود در يک محصول نرم افزاری توسط مهاجمان سلب و امکان موفقيت آنان کاهش می يابد. برخی نرم افزارها بصورت اتوماتيک بررسی لازم در خصوص ارائه نسخه های جديد و بهنگام شده را انجام داده و به کاربران اعلام می نمايند  که يک نسخه جديد ارائه شده و امکان دريافت و نصب آن وجود دارد . برخی از توليد کنندگان نرم افزار ، آماده شدن يک Patch را از طريق Email به اطلاع کاربران می رسانند. در صورتی که امکان استفاده از تسهيلات فوق وجود داشته باشد ، پيشنهاد می گردد که از مزايای آن استفاده گردد. در صورتی که امکان استفاده از پتانسيل های اشاره شده وجود نداشته باشد ، می بايست به صورت ادواری از وب سايت های توليد کنندگان بازديد نموده  تا در صورتی که يک patch جديد ارائه شده باشد از وجود آن آگاه وسريعا" نسبت به دريافت و نصب آن بر روی سيستم خود اقدام نمود.

 

با تشکر از شرکت سخاروش

+ نوشته شده در 85/07/15ساعت توسط هومن عزیزی |