پروتکل tcp ip

مجموعه پروتکلی که دپارتمان دفاع برای ارتباط از طریق شبکه های متصل به هم و گاهی اوقات غیر مشابه ابداع نموده است.این مجموعه در سیستم یونیکس گنجانده شده و به استاندارد غیر رسمی انتقال داده ها از طریق شبکه ها از جمله اینترنت مبدل شده است

• Application

• Transport

• Internet

• Network Access

Application Protocol پروتکلهای لایه
مجموعه ای ازقوانین یا استانداردها که برای آن طراحی شده اند تا به کامپیوترهااین امکان داده شود که با حداقل خطای ممکن با یکدیگر ارتباط برقرار نموده به تبادل اطلاعات بپردازند

->  ادامه مطلب

لینک ثابت | نوشته شده در  دوشنبه 9 شهریور1388ساعت 6:7  توسط مدیر وبلاگ  | 

HDLC (High Level Data Link Control)

HDLC پروتکلی برای انتقال اطلاعات که توسط ایزو پذیرفته شده است
HDLC , encapsulation پیش فرض اینترفیس های سریال یک روتر سیسکو است
بخاطر داشته باشید که همگاه کردن اینترفیس های سریال احتیاج به یک وسیله clocking خارجی از قبیل CSU/DSU برای همزمان کردن فرستادن و دریافت اطلاعات دارد
HDLC پروتکل همزمان و بیتگرایی برای لایه دوم ارتباط کامپیوترها و ریز کامپیوترهاست پیامها در واحدهایی که قاب نامیده میشود انتقال می یابد.مقدار داده های مختلفی را میتوان در قابها ذخیره نمود اما سازماندهی تمام آنها باید یکسان باشد
بدلیل اینکه HDLC روش پیش فرض , encapsulation برای synchronous(همگاه ) اینترفیس های سریال بر روی روتر سیسکو است واضح است که هیچ احتیاجی به پیکربندی ندارد
برای مشاهده نوع encapsulation جاری بر روی اینترفیس سریال روتر از فرمان show interface استفاده می کنیم
بطور مثال hdlc encapsulation بر روی اینترفیس s0 را با فرمان زیر مشاهده می کنیم

RouterA#sh int s0

اگر روش encapsulation بر روی یک اینترفیس سریال عوض شده بود شما می توانید با صادر کردن فرمان encapsulation hdlc از طریق مد interface configuration آن را مجدد به hdlc برگردانید

RouterA#config t
RouterA(config)#int s0
Router(config-if)#encapsulation hdlc

Point To Point Protocol(PPP)
یک پروتکل Data Link متداول برای انتقال بسته های TCP/IP از طریق اتصالات شماره گیری در بین یک کامپیوتر و اینترنت است. pppکه ازتخصیص پویای نشانی های IPپشتیبانی میکند محافظت بهتری برای جامعیت داده ها و امنیت فراهم مینماید و استفاده از آن آسانتر از SLIP آسانتر است
ppp بر اساس ,LCP( Link Control Protocol) که مسئولیت آماده سازی ارتباط بین کامپیوترها از طریق خطوط تلفن را بر عهده دارد و ,NCP (Network Control Protocol) که مسولیت وظایف جزیئات لایه سوم را در ارتباط با انتقال بر عهده دارد بنا شده است
این پروتکل در سال 1991 توسط Internet Engineering Task Force طراحی شده است

SLIP(Serial Line Internet Protocol)
پروتکلی که امکان انتقال بسته های داده ای TCP/IP را از طریق اتصالات شماره گیری فراهم می نماید و از این رو به یک کامپیوتر یا یک شبکه محلی (LAN) امکان می دهد که به اینترنت یا یک شبکه دیگر متصل شود.این پروتکل از پروتکل PPP قدیمی تر و امنیت آن نیز کمتر است و از تخصیص پویای نشانی های IP پشتیبانی نمی کند
شکل جدیدتری از SLIP , تحت عنوان CSLIP(Compressed SLIP ) , انتقالات سندهای بزرگ را از طریق فشرده سازی اطلاعات بهینه می کند
پیکربندی PPP
پیکربندی PP بر روی روترهای سیسکو مشکل نیست .بطور مثال پیکربندی PPP را بر هر اینترفیس سریالی روتر که میخواهد از ppp encapsulation استفاده کند تعیین می کنیم

RouterA#config t
RouterA(config)#int s0
RouterA(config-if)#encap ppp

پس از پیکربندی interface s0 بر روی روتر A با استفاده از ppp, به خروجی فرمان show int s0 توجه کنید

RouterA(config)#show int s0
serial 0 is up,line protocol is down

در حالیکه encapsulation بر ppp قرار داده شده است پورت سریال 0 up اما line protocol,down است.این بدین دلیل است که لینک دیگر شبمه ما هنوز از پیکربندی hdlc encapsulation استفاده می کند
بعد از تغییر نوع encapsulation در سر دیگر از لینک ppp خروجی زیر را مشاهد می کنیم

RouterA(config)#show int s0
serial 0 is up,line protocol is up

PPP Authentication )تائید اعتبار(

لینک ثابت | نوشته شده در  جمعه 9 مرداد1388ساعت 6:5  توسط مدیر وبلاگ  | 

ساختن ایجاد درست کردن پروفايل Local Roaming mandatory profiles

اطلاعات مربوط به کاربران در فايلي بنام data base security ذخيره مي شود.اگر شبکه ما work Group باشد اين فايل به صورت localy در کامپيوتر ذخيره مي شود و زماني که يک local acount را براي log on کردن وارد سيستم کنيم آن acount را در فايل security ذخيره مي شود خودش جستجو مي کند ولي در دومين کليه اطلاعات مربوط به کاربران در DC ذخيره ميشود و زماني که کاربري بخواهد از يک کامپيوتر عضو Domain به DC وارد شود در صورتيکه در کادر log on to نام کامپيوتر local نوشته شود سيستم به جستجوي data security,local مي گردد و زماني که در کادر log on to نام domain نوشته شود سيستم ابتدا با DC ذکر شده ارتباط برقرار مي کند و سپس نام کاربر را در dc data security جستجو مي کند

profiles
پروفايل ها تنظيماتي هستند که از طريق سيستم عامل به کاربران تقديم مي شوند.انواع مختلف پروفايل عبارتند از:

1.Local Profiles
2.Roaming Profiles
3.Mandatory Profiles

محتويات User profile عبارتند از:
فايل ها و مدارک ذخيره شده کاربر
تنظيمات و پيکربندي هاي برنامه
تنظيمات محيط و desktop
پيکربندي ها و تنظيمات control panel

Local Profiles
زماني که کاربر از يک کامپيوتر عضو Domain به DC وارد مي شود پروفايل آن کاربر در همان کامپييوتر ايجاد مي شود و در کل آن کاربر از هر کامپيوتر عضو domain به DC واردشود پروفايلش در همان جا نيز ايجاد مي شود و باعث پراکندگي اطلاعات مي شود و از نظر امنيتي مي تواند مشکل ساز باشد
کاربر توانايي تغيير را دارد
محل قرار گيري local profile در c:\Documents and settings\usr name\NTUSER.DAT است

Roaming Profiles
با استفاده از roaming profile مي توانيم پروفايل کاربران را در DC متمرکز کنيم.به دليل تمرکز اطلاعات در DC مي توان از آن اطلاعات Backup گرفته شود و امنيت بالايي به دليل تمرکز پروفايل ها داشته باشيم و در کل مديريت راحت تر را براي ما امکان پذير مي کند. معايب :به دليل تجمع تمامي پروفايل ها در DC مي بايد فضاي ذخيره سازي در DC بالا باشد و به دليل عمليات duplicate اطلاعات در DC باعث مي شود که به DC بار ترافيکي بالايي تحميل مي شود
نکته قابل توجه اينکه کاربر از هر کامپيوتري به سرور وارد شود تنظيمات مشابه خود را دارد و امکان تغييرات را نيز دارد

Mandatory Profiles
تنظيمات از طريق سرور به کاربر اعمال مي شود.کاربر امکان تغييرات را دارد اما پس از log off پروفايل به حالت اول بر مي گردد و تغييرات ذخيره نمي شود

طريقه ساختن Roaming profile
ابتدا يک فلدربنام protestرا در سرور ايجاد مي کنيم و share مي کنيم و permission آن را full control permission every one قرار مي دهيم (full control,change,read) سپس وارد کنسول Active Directory users and computer و properties کاربر را باز کرده و tab,profile را انتخاب مي کنيم و بعد در کادر profile path تايپ مي کنيم 

\\com1\protest\%username%

توجه داشته باشيد com1 نام کامپيوتر و protest نام فلدر share شده است

طريقه ساختن Mandatory Profile
ابتدا بايد roaming profile را بسازيم سپس آن را به mandatory تبديل کنيم
خط \\com1\protest\%username% را در قسمت connect to وارد ميکنيم و درايو Z را انتخاب ميکنيم سپس به پروفايل کاربر مي رويم و فايل ntuser.dat را به ntuser.man که به معني mandatory است تغييير مي دهيم

لینک ثابت | نوشته شده در  سه شنبه 9 تیر1388ساعت 6:0  توسط مدیر وبلاگ  | 

آشنايي بيشتر با پورت Fire wire يا IEEE_1394

طراح پورت USB چند هدف عملي در ذهن داشت كه در نهايت به ساخت اين پورت انجاميد از آن جمله:

• قيمت تمام شده پايين، بنابراين USB توانست در تجهيزات جانبي ارزان قيمت مانند موس، كي برد و جوي استيك ها مورد استفاده قرار گيرد.
• هزينه كم كابل رابط
• تعداد زياد تجهيزاتي كه مي توان به اين پورت متصل كرد.
• سرعت بالا كه براي تجهيزاتي مانند پرينترها بسيار مفيد بود.

هدف از طراحي اين پورت جايگزيني آن با پورت هاي مختلف (پورت موازي، سريال پورت هاي مخصوص كي برد، موس و غيره) در كامپيوتر بوده است. با يك استاندارد ساده USB به سادگي به همه اين اهداف دست پيدا كرد. و در آينده اي نه چندان دور كامپيوترهايي خواهيم داشت كه در پشت آنها فقط چند پورت USB وجود داشته باشد. اما پورت Fire wire ابتدا بوسيله كمپاني Apple ابداع شد و بعدها با كد IEEE_1394 به عنوان يك پورت استاندارد شناخته شد. اين پورت در حقيقت اهدافي مشابه USB را دنبال مي كرد. اما تفاوت در اين بود كه IEEE_1394 اصولاً به گونه اي طراحي شده بود كه براي دستگاههاي با حجم اطلاعات بالا مناسب باشد. تجهيزاتي مانند camcorder, DVD player، دستگاههاي صوتي ديجيتال براي اين پورت بسيار مناسب بودند. USB و IEEE_1394 در چندين خصوصيت با يكديگر تشابه و تفاوت دارند كه به اختصار خدمتتان عرض مي كنم:

ــ IEEE_1394 و USB هر كدام يك باس سريال هستند كه براي انتقال اطلاعات از يك جفت سيم به هم تابيده استفاده مي كنند.

ــ سرعت انتقال اطلاعات  پورت IEEE_1394 اين رقم تا 400 مگابايت بر ثانيه مي رسد. كه البته پورت USB  هم با استانداردهاي جديد به كمي بيش از اين سرعت رسيده است.

ــ مي توان 127 دستگاه را به يك باس USB متصل كرد ولي اين براي IEEE_1394 عدد 63 است.

ــ هر دوي USB وIEEE_1394 از مفهوم دستگاه آيزوكرونوس پشتيباني مي كنند. منظور از اصطلاح دستگاه آيزوكرونوس به دستگاهي گفته مي شود كه براي انتقال اطلاعات به مقدار مشخصي از پهناي باند احتياج دارد. اين قابليت براي دستگاههاي صوتي و تصويري ديجيتال عالي است.

ــ هر دوي USB و IEEE_1394 به شما اجازه مي دهند در هر زماني آنها را وصل يا قطع كنيد.

بيشتر دوربين هاي ديجيتال يك پورت IEEE_1394 دارند. زمانيكه دوربين خود را با اين پورت به كاميپيوتر وصل مي كنيد. نتيجه شگفت انگيز است. اگر نرم افزار مناسب را نصب كرده باشيد با اين پورت به راحتي و با وضوح ديجيتال بالا تصاوير و فيلم هاي خود را از دوربين دانلود خواهيد كرد.

لینک ثابت | نوشته شده در  دوشنبه 2 دی1387ساعت 6:54  توسط مدیر وبلاگ  | 

معرفی شبکه کامپیوتری و اجزاء و مدلهای شبکه

انواع شبکه از لحاظ جغرافیایی:

نوع شبکه توسط فاصله بین کامپیوتر های تشکیل دهنده آن شبکه مشخص می شود:
 

شبکه شخصی ( PAN= Personal Area Network ) :

ارتباط و اتصال بیش از دو یا چند رایانه یا دستگاههای مختلف رایانه‌ای (مانند تلفن، دستیار شخصی دیجیتالیPDA ) که محدود به یک نفر می‌شود. این دستگاهها ممکن است متعلق به شخص مورد نظر باشد یا نباشد. دسترسی به این نوع شبکه عموماً به چند متر محدود می‌شود .

بع عنوان مثال یک شبکه شخصی میتواند جهت برقراری ارتباط از سیستم  Bluetooth ( یک استاندارد صنهتی برای شبکه های بیسیم میباشد ) استفاده کند

شبکه محلی ( LAN= Local Area Network ) :
ارتباط و اتصال بیش از دو یا چند رایانه در فضای محدود یک دفتر کار یا سازمان و با مدیریت نرم افزاری موسوم به سیستم عامل شبکه را شبکه محلی گویند. کامپیوتر سرویس گیرنده باید از طریق کامپیوتر سرویس دهنده به اطلاعات وامکانات به اشتراک گذاشته دسترسی یابند. همچنین ارسال ودریافت پیام به یکدیگر از طریق رایانه سرویس دهنده انجام می گیرد. از خصوصیات شبکه های محلی می توان به موارد ذیل اشاره کرد:
1 - اساسا در محیط های کوچک کاری قابل اجرا وپیاده سازی می باشند.
2 - از سرعت نسبتا بالایی برخوردارند.
3 - معمولا دارای یک ارتباط دایمی بین رایانه ها از طریق کابل شبکه یا سیستم بیسیم میباشد.

اجزای یک شبکه محلی عبارتند از :

->  ادامه مطلب

لینک ثابت | نوشته شده در  چهارشنبه 1 آبان1387ساعت 6:50  توسط مدیر وبلاگ  | 

توپولوژی های فايروال

سناريوی اول : يک فايروال Dual-Homed
در اين توپولوژی که يکی از ساده ترين و در عين حال متداولترين روش استفاده از يک فايروال است ، يک فايروال مستقيما" و از طريق يک خط Dial-up ، خطوط ISDN و يا مودم های کابلی به اينترنت متصل می گردد. در توپولوژی فوق امکان استفاده از DMZ وجود نخواهد داشت .

->  ادامه مطلب

لینک ثابت | نوشته شده در  یکشنبه 21 مهر1387ساعت 22:22  توسط مدیر وبلاگ  | 

DNS(Domain Name System)

سیستم سلسله مراتبی که میزبان (host) موجود در اینترنت از طریق آن صاحب نشانی نام حوزه مثل www.subnet.ir میشوند و هم صاحب ip address مثل 192.173.5.3
نشانی نام حوزه توسط اشخاص به کار برده میشود و به طور خودکار به ip address عددی تبدیل میشود.این نشانی توسط نرم افزار تعیین کننده مسیر بسته ها مورد استفاده قرار میگیرد
شماره پورت 53 به DNS تعلق گرفته است

اجزای تشکیل دهنده DNS

1.Logical components-DNS name space
2.Physical components-ZOnes

DNS name space
ِِDNS name space ساختار و سلسله مراتب استفاده از اسم domain را مشخص میکند

Zones
zone ها یک شی هستند که پیکربندی DNS را شامل میشوند

DNS ساختار

انواع مختلف zone عبارتند از

1.Forward lookup zone
2.Reverse lookup zone

Forward lookup zone
این zone اطلاعات  تبدیل اسم domain به ip address را در بردارد
به یاد داشته باشید آدرسی مثل www.subnet.ir را (FQDN(Fully Qualified Domain Name میگویم که subnet.ir اسم دومین و www اسم host میباشد.پس به تعبیری دیگر forward lookup zone عمل تبدیل FQDN را به IP بر عهده دارد
host recod ها در forward lookup zone قرار دارند
host recod ها به منظور ذخیره forward lookup zone ساخته میشود

Reverse lookup zone
این zone حاوی ip address برای host و یک pointer(اشاره گر) برای host record ها در forward lookup zone میباشد

هر zone میتواند به انواع مختلفی پیکربندی شود

1.Primary zone
2.secondary zone
3.stub zone

Primary zone(Default zone
اولین zone که درست میکنیم primary است

Secondary zone
یک نسخه مشابه از primary zone است که به دلیل back up و load balancing(توزیع بار کاری ) ایجاد میشود

Stub zone
name server record ها را در بردارد

منبع : ساب نت

لینک ثابت | نوشته شده در  یکشنبه 20 مرداد1387ساعت 23:34  توسط مدیر وبلاگ  | 

IP Address(Internet Protocol Address)

یک آدرس منطقی که برای مشخص کردن دستگاه در ارتباط بین شبکه ها تعیین میشود
از چهار رقم تشکیل شده است که با نقطه از هم جدا میشوند بطور مثال 192.168.10.20
هر عدد هشت بیت است که در مجموع میشود 32 بیت 32=8*4
اعداد  بکاربرده شده دسیمال هستند و بین 255-0 می باشند

همانطور که گفته شد هر ip address از 32 bit تشکیل شده است و هر ip از چهار بخش تشکیل شده است که به هر بخش octet نیز گفته میشود بطور مثال 192 یک octet میباشد

• IP Address Classes

متخصصان شبکه با توجه به نیاز شبکه تصمیم به استاندارد سازی و ایجاد کلاسهای مختلف شبکه نموده اند که با توجه به نیاز هر شبکه باید از آن استفاده نمود
آدرسها در 5 کلاس رده بندی میشوند و عدد اول هر آدرس نشان دهنده کلاس آن آدرس است

 

Class A	1-126
Class B	128-191
Class C	192-223
Class D	224-239
Class E	240-254

 

 

مثلا  ip 10.10.10.1 با توجه به اینکه رقم اول آن 10 است نشان دهنده این اسنت که در کلاس A می باشد

  ip 192.168.10.20 با توجه به اینکه رقم اول آن 192 است نشان دهنده این است که در کلاس C می باشد

 

• Loop Back

اگر دقت کرده باشین عدد 127 در کلاسهای فوق نبود به این دلیل است که این عدد برای چک کردن کارت شبکه مورد استفاده قرار میگیرد و اگر بخواهیم از صحت سالم بودن کارت شبکه اطمینان حاصل کنید میتوانید از این آدرس استفاده کنید
  ping 127.0.0.1

کلاس A
شبکه های کلاس A برای شبکه هایی که تعداد شبکه هایشان کم ,ولیکن تعداد میزبانهایشان زیاد است و معمولا برای استفاده توسط انستیتوهای دولتی و آموزشی انتخاب میشوند مناسب هستند
در یک آدرس شبکه کلاس A ,بخش نخست آن نشان دهنده آدرس شبکه (network address) و سه بخش دیگر نیز نشاندهنده آدرس میزبان (host address) در شبکه است.بطور مثال IP 10.20.20.20 عدد 10 به آدرس شبکه و عدد 20.20.20 به آدرس میزبان تعلق دارد
در آدرس دهی کلاس A اولین بیت صفر میباشد

01111111 = 0 + 64 + 32+ 16+ 8+ 4+ 2+ 1 = 127

کلاس B
شبکه های کلاس B برای شبکه هایی که تعداد شبکه هایشان بین شبکه های بسیار بزرگ و بسیار کوچک است در نظر گرفته شده است
در یک آدرس شبکه کلاس B دو بخش نخست آن نشان دهنده آدرس شبکه و دو بخش دیگر نشاندهنده آدرس میزبان است
بطور مثال IP 172.16.10.10 عدد 172.16 به آدرس شبکه تعلق دارد و عدد 10.10 به آدرس میزبان تعلق دارد
ِدر آدرس دهی کلاس B دومین بیت صفر میباشد

10111111 = 128+ 0+ 32+ 16+ 8+ 4+ 2+ 1 = 191

 

کلاس C
شبکه های کلاس C برای شبکه هایی که تعداد شبکه های زیادی دارند اما میزبان کمتری دارند تدارک داده شده است
در یک آدرس شبکه کلاس C , سه بخش نخست آن نشان دهنده آدرس شبکه و بخش آخر به آدرس میزبان تعلق دارد
بطور مثال IP 192.168.10.20 عدد 192.168.10 به آدرس شبکه و 20 به آدرس میزبان تعلق دارد
در آدرس دهی کلاس C , سومین بیت صفر میباشد

11011111 = 128 + 64+ 0+ 16+ 8+ 4 + 2+ 1 = 223

 

کلاس D
آدرس کلاس D برای Multicasting استفاده میشود
بدلیل اینکه این آدرس رزو شده است بهمین دلیل از بحث درباره آن خوداری میکنیم
در کلاس D چهارمین بیت صفر میباشد

11101111= 128+64+32+0+8+4+2+1=239

Multicasting
فرایند ارسال یک پیام,همزمان به بیش از یک مقصد در شبکه را گویند

کلاس E
آدرسهای کلاس E برای research and Development استفاده میشود

لینک ثابت | نوشته شده در  یکشنبه 15 اردیبهشت1387ساعت 20:0  توسط مدیر وبلاگ  | 

IP Security یا IPSec

IP Security یا IPSec رشته ای از پروتکلهاست که برای ایجاد VPN مورد استفاده قرارمی گیرند. مطابق با تعریف IETF (Internet Engineering Task Force) پروتکل IPSec به این شکل تعریف می شود:

یک پروتکل امنیتی در لایه شبکه تولید خواهد شد تا خدمات امنیتی رمزنگاری را تامین کند. خدماتی که به صورت منعطفی به پشتیبانی ترکیبی از تایید هویت ، جامعیت ، کنترل دسترسی و محرمانگی بپردازد.

IP Security یا IPSec رشته ای از پروتکلهاست که برای ایجاد VPN مورد استفاده قرار     می گیرند. مطابق با تعریف IETF (Internet Engineering Task Force) پروتکل IPSec به این شکل تعریف می شود:

یک پروتکل امنیتی در لایه شبکه تولید خواهد شد تا خدمات امنیتی رمزنگاری را تامین کند. خدماتی که به صورت منعطفی به پشتیبانی ترکیبی از تایید هویت ، جامعیت ، کنترل دسترسی و محرمانگی بپردازد.

در اکثر سناریوها مورد استفاده ،IPSec به شما امکان می دهد تا یک تونل رمزشده را بین دو شبکه خصوصی ایجاد کنید.همچنین امکان تایید هویت دو سر تونل را نیز برای شما فراهم         می کند.اما IPSec تنها به ترافیک مبتنی بر IP اجازه بسته بندی و رمزنگاری می دهد و درصورتی که ترافیک غیر IP  نیز در شبکه وجود داشته باشد ، باید از پروتکل دیگری مانند GRE در کنار IPSec استفاده کرد.

IPSec به استاندارد de facto در صنعت برای ساخت VPN تبدیل شده است.بسیاری از فروشندگان تجهیزات شبکه ، IPSec را پیاده سازی کرده اند و لذا امکان کار با انواع مختلف تجهیزات از شرکتهای مختلف ، IPSec را به یک انتخاب خوب برای ساخت VPN مبدل کرده است.

 

 انواع IPSec VPN

شیوه های مختلفی برای دسته بندی IPSec VPN وجود دارد اما از نظر طراحی ، IPSec برای حل دو مسئله مورد استفاده قرار می گیرد :

1-     اتصال یکپارچه دو شبکه خصوصی و ایجاد یک شبکه مجازی خصوصی

2-     توسعه یک شبکه خصوصی برای دسترسی کاربران از راه دور به آن شبکه به عنوان بخشی از شبکه امن

بر همین اساس ، IPSec VPN ها را نیز می توان به دو دسته اصلی تقسیم کرد:

1-     پیاده سازی LAN-to-LAN IPSec

این عبارت معمولا برای توصیف یک تونل IPSec بین دو شبکه محلی به کار می رود. در این حالت دو شبکه محلی با کمک تونل IPSec و از طریق یک شبکه عمومی با هم ارتباط برقرار می کنند به گونه ای که کاربران هر شبکه محلی به منابع شبکه محلی دیگر، به عنوان عضوی از آن شبکه، دسترسی دارند. IPSec به شما امکان می دهد که تعریف کنید چه داده ای و چگونه باید رمزنگاری شود.

2-     پیاده سازی Remote-Access Client IPSec

این نوع از VPN ها زمانی ایجاد می شوند که یک کاربر از راه دور و با استفاده از         IPSec client نصب شده بر روی رایانه اش، به یک روتر IPSec یا Access server متصل می شود. معمولا این رایانه های دسترسی از راه دور به یک شبکه عمومی یا اینترنت و با کمک روش dialup یا روشهای مشابه متصل می شوند. زمانی که این رایانه به اینترنت یا شبکه عمومی متصل می شود، IPSec client موجود بر روی آن می تواند یک تونل  رمز شده را بر روی شبکه عمومی ایجاد کند که مقصد آن یک دستگاه پایانی IPSec ،مانند یک روتر، که بر لبه شبکه خصوصی مورد نظر که کاربر قصد ورود به آن را دارد، باشد.

در روش اول تعداد پایانه های IPSec محدود است اما با کمک روش دوم می توان تعداد پایانه ها را به ده ها هزار رساند که برای پیاده سازی های بزرگ مناسب است.

 

 ساختار IPSec

IPSec برای ایجاد یک بستر امن یکپارچه ، سه پروتکل را با هم ترکیب می کند :

1-     پروتکل مبادله کلید اینترنتی ( Internet Key Exchange یا IKE )

این پروتکل مسئول طی کردن مشخصه های تونل IPSec بین دو طرف است. وظایف این پروتکل عبارتند از:

ü      طی کردن پارامترهای پروتکل

ü      مبادله کلیدهای عمومی

ü      تایید هویت هر دو طرف

ü      مدیریت کلیدها پس از مبادله

IKE مشکل پیاده سازی های دستی و غیر قابل تغییر IPSec را با خودکار کردن کل پردازه مبادله کلید حل می کند. این امر یکی از نیازهای حیاتی  IPSecاست. IKE خود از سه پروتکل تشکیل می شود :

ü      SKEME : مکانیزمی را برای استفاده از رمزنگاری کلید عمومی در جهت تایید هویت تامین می کند.

ü   Oakley : مکانیزم مبتنی بر حالتی را برای رسیدن به یک کلید رمزنگاری، بین دو پایانه IPSec تامین می کند.

ü      ISAKMP : معماری تبادل پیغام را شامل قالب بسته ها و حالت گذار تعریف می کند.

IKE به عنوان استاندارد RFC 2409 تعریف شده است. با وجودی که IKE کارایی و عملکرد خوبی را برای IPSec تامین می کند، اما بعضی کمبودها در ساختار آن باعث شده است تا پیاده سازی آن مشکل باشد، لذا سعی شده است تا تغییراتی در آن اعمال شود و استاندارد جدیدی ارائه شود که IKE v2 نام خواهد داشت.

2-     پروتکل Encapsulating Security Payload یا ESP

این پروتکل امکان رمزنگاری ، تایید هویت و تامین امنیت داده را فراهم می کند.

3-     پروتکل سرآیند تایید هویت (Authentication Header یا AH)

این پروتکل برای تایید هویت و تامین امنیت داده به کار می رود.

لینک ثابت | نوشته شده در  یکشنبه 7 بهمن1386ساعت 22:14  توسط مدیر وبلاگ  | 

آشنائی با مدارك شركت CISCO

مدارك شركت CISCO راهيست به سوي موقعيت های برجسته شغلی و تأييدی است بر مهارتی با استانداردهای بسيار عالی.دريافت مدرك CISCO ( در هر سطحی) به معنی پيوستن به جامعه متخصصان ماهر در شبكه است كه در دنيای صنعت و تكنولوژی شناخته شده و معتبرند.
شركت CISCO سه سطح از مدارك را جهت متخصصين IT در نظر گرفته كه دارای ابعاد متفاوتی برای بر آوردن نياز و تقاضای افراد مختلف است.
سطوح مختلف و متنوعی در مدارك CISCO موجود است. اخذ مدرك از CISCO بسيار ارزشمند است و ارزش و اعتبار والائی برای متخصصين شبكه، مديران آنها و شركتهائی كه اين متخصصان را استخدام نموده اند ، دارند.
تخصص های شبكه CISCO دارای سه سطح از مدارك است:
1ـ آشنائی ( Associate)
2ـ متخصص ( professional)
3ـ سطح مهارت عالی ( Expert) كه بالاترين سطح متخصصين ممكنه در زمينه شبكه می باشند.

 

لینک ثابت | نوشته شده در  جمعه 21 دی1386ساعت 9:35  توسط مدیر وبلاگ  | 

  پروتکل tcp ip
 
  ساختن ایجاد درست کردن پروفايل Local Roaming mandatory profiles
  مجموعه زنگ ها Sms
  http://www.mci.ir/?1950
  راهنماي خريد كارت گرافيك (قسمت دوم)
  SCREEN SAVER ها
  FSB چيست؟
  SATA و IDE چه هستند؟
  راهنماي خريد كارت گرافيك (قسمت اول)
  نویسنده جدید...
  آشنايي بيشتر با پورت Fire wire يا IEEE_1394
  حافظه ی پیشرفته ی DDR3
  معرفی شبکه کامپیوتری و اجزاء و مدلهای شبکه
  آزمون های بین المللی در سطح دنیا
  Net Control 2 7.02
  توپولوژی های فايروال
  تفسيم بندی شبکه ها
  Motorola Razr V3x
  Proxy Server چیست ؟