محاور Control Plane و Data Plane

الواجبات التي تؤديها أجهزة الشبكة

تؤدي أجهزة الشبكات المختلفة العديد من المهام  tasks التي تتطلبها لاداء وظائفها في الشبكة، فمثلا جهاز الراوتر يقوم بتمرير البيانات forwarding data باتجاه الجهاز المرسل إليه Destination، ولاداء هذه المهمة فإنه يلزمه معرفة عناوين الشبكات وهذا يتطلب اداء مهمة أخرى وهي عملية بناء  routing table. مثال آخر جهاز السويتش يقوم ايضا بتمرير البيانات باسلوب مختلف عن اسلوب الراوتر لكنه يحتاج القيام بالعديد من المهام لتحقيق وظيفته ومنها بناء switch table وتشغيل بروتوكول spanning tree وغيرها من المهام الأخرى. هنالك بيانات يتم تبادلها بين أجهزة الشبكات لاتمام مثل هذه المهام.

اذا نظرنا لطبيعة البيانات المرسلة عبر الشبكة، ستكون تصنيفها ضمن ثلاث فئات:

•   Control Plane
•  Data Plane
•   Management Plane

الصنف الأول control plane هي بيانات ترسل بين أجهزة الشبكات والتي لها علاقة ببناء المعرفة لجهاز الشبكة لكي يؤدي وظيفته. وهي بالعادة البيانات الموجهة إلى جهاز الشبكة من أجل المحافظة على عمل الشبكة بشكل سليم. ومن هذه المهام التي تصنف ضمن هذا المحور routing protocols، ARP، Spanning Tree Protocol فعلى سبيل المثال رسالة التحديث Update Packet التي يرسلها بروتوكول EIGRP من راوتر إلى راوتر آخر هي من نوع رسائل Control Plane.

الصنف الثاني data plane وهذا المحور يهتم بالمهام التي لها علاقة بتمرير البيانات المارة عبرأجهزة الشبكة والمرسلة بين الأجهزة الطرفية التي تستخدم الشبكة لنقل البيانات. والمهام في هذا المحور تستخدم المعلومات التي أنتجتها المهام العاملة في الصنف الأول. فمثلا يقوم الراوتر بتمرير البيانات المتجهة لجهاز طرفي (data plane traffic) بعد معرفة MAC Address لهذا الجهاز عن طريق استخدام رسائل يروتوكول ARP.

الصنف الثالث Management plane وهي الرسائل (البيانات) التي ترسل إلى جهاز الشبكة أو من جهاز الشبكة والتي تهدف لاتمام عملية ادارة ومراقبة عمل جهاز الشبكة  من البيانات مرسلة من قبل جهاز الشبكة أو إلى جهاز الشبكة. ومن أمثلة المهام والبروتوكولات لهذا المحور Telnet/SSH، SNMP، NTP، Syslog

الغاية من ايجاد هذه المحاور 

من خلال تقسيم المهام التي يؤديها جهاز الشبكة فإنه يسهل تصميم وبناء الجهاز يتصف بأدائه العالي والقدرة على تمرير حجم كبير جدا من البيانات، وذلك عن طريق معالج processor يؤدي مهام الصنف الأول والثالث، ومعالج آخر يؤدي مهام المحور الثاني كون هذه المهام تشكل عبء كبير على المعالج. بل أنه يمكن تنفيذ مهام المحور الثاني من خلال استخدام رقائق الكترونية ASIC Chips أو معالجات خاصة NPUs بدلا من المعالج العام CPU المخصص للـ data plane لتحقيق اداء أعلى لجهاز الشبكة.

ومن الفوائد الأخرى لايجاد المحاور الثلاث سهولة تطبيق سياسات أمنية تضمن حماية البيانات المارة بجهاز الشبكة وأخرى تضمن حماية الجهاز نفسه وحماية المهام التي يؤديها.

ومن الجدير بالذكر ان تصنيف البيانات المرسلة في الشبكة ضمن ثلاثة أصناف يسهل مهمة تصنيف المهام التي تؤديها |أجهزة الشبكة وايضا فتح الباب لتكنولوجيا Software Defined Network (SDN)

برنامج Packet Tracer

برنامج Cisco Packet Tracer

Cisco Packet Tracer من البرامج المييزة والتي تتيح للمتدرب انشاء بيئة مبسطة ومماثلة للشبكات من أجل التدريب على المباددئ التي اكتسبها  للعديد من البروتوكولات.

لتحميل البرنامج اضغط على الرابط التالي:

http://www.4shared.com/file/Do6u51D7ce/Cisco_Packet_Tracer_62_for_Win.html

الفرق بين IOS - IOS XR - IOS XE - NX-OS

الفرق بين فئات أنظمة التشغيل لأجهزة سيسكو

يوجد عدة فئات من أنظمة التشغيل الخاصة بأجهزة سيسكو هي: IOS و IOS XR و IOS XE و NX-OS

يعمل نظام التشغيل (IOS( العادي على أغلب أجهزة سيسكو منذ زمن بعيد، وهو بتركيبته مبني على مبدأ أنظمة التشغيل )Monolithic OS( والتي تمتاز بأنها تعمل بكل وظائفها ضمن نفس النواة (kernel) على عكس أنظمة التشغيل الحديثة. إن تعطل جزء أو خاصية من نظام التشغيل تؤدي لتعطل نظام التشغيل بالكامل. وكذلك اجراء تحديث على نظام التشغل يتطلب اعادة تشغيل الجهاز.

يمتاز نظام التشغيل (IOS XR( بأنه أكثر استقرارية من نظام التشغيل (IOS) مع وجود امتيازات أخرى اضافية مثل امكانية اعادة تشغيل جزء من نظام تشغيل (process( بالاضافة لامكانية اجراء تعديلات على الاعدادات (configuration) ومن ثم تفعيلها على الجهاز باستخدام الأمر (commit). يعمل نظام التشغيل (IOS XR) على أجهزة سيسكو المستخدمة في شبكات الكبيرة من مستوى مزودي خدمات الانترنت ومزودي قنوات الاتصال (Carrier Class) مثل الأجهزة من فئة (12000) أو فئة (CNS-1(.

تستخدم شركة سيسكو نظام التشغيل (IOS XE) في أجهزة الراوترات الكبيرة من فئة (ASR) والتي تستخدم ضمن الشبكات الكبيرة التي تحتوي على عدد كبير من وصلات (WAN). يمتاز نظام التشغيل هذا بأنه (modular) أي يمكن اعادة تشغيل جزء من نظام التشغيل دون الحاجة لاعادة تشغيل الجهاز. كما يمنح نظام الشغيل (IOS XE) امكانية اضافة خدمات ووظائف يمكن تشغيلها على الجهاز مثل تطبيقات (SDN).

فيما يتم استخدام نظام التشغيل (NX-OS) في أجهزة السويشتات من فئة (Nexus) والتي تستخدم في بناء مراكز البيانات (Data Centers) الحديثة والتي تتطلب الكثير من الخصائص والامكانيات نتيجة استخدام (Virtualization) في تشغيل الخوادم وما يتطلبه ذلك من توفر قدرات اضافية وخصائص جديدة منها على سبيل المثال القدرة على ارسال عدد كبير جدا من البيانات وامكانية بناء مراكز بيانات موحدة في مواقع مختلفة مرتبطة معا من خلال شبكات (layer 3).

بروتوكول ادارة ومراقبة الشبكات

 Simple Network Management Protocol (SNMP)

يحتاج مدير الشبكة للتعرف على اوضاع الأجهزة العاملة في الشبكة واوضاع الوصلات (links) ومدى الحمل عليها والعديد من القراءات اللازمة لتتبع حالات الشبكات.

يقدم بروتوكول (SNMP) الحل لذلك كونه يوفر امكانية مراقبة وادارة مكونات أجزاء أجهزة الشبكة وكذلك الاجهزة الطرفية العاملة على الشبكة وتجميع القراءات والاحصائيات (statistics) حول تلك المكونات وارسالها لخوادم مركزية تتيح لمدير الشبكة الرجوع إليها.

الـ (SNMP) من بروتوكولات الطبقة السابعة (application layer) يعرف صيغة الرسائل بين الاجهزة التي يتم مراقبة اوضاعها (الأجهزة العميلة agents) والأجهزة التي تقوم بجمع اوضاع الأجهزة العميلة والتي تسمى الأجهزة المديرة (managers) من خلال برمجيات متخصصة تعمل على الجهاز المدير.

تقوم الأجهزة العميلة بمتابعة العديد من مكونات الأجزاء الداخلية لها بما فيها البروتوكولات، ويتم تسجيل الاحصائيات عنها. وتختلف الاجزاء الداخلية القابلة للمراقبة من جهاز لآخر حسب طبيعة الجهاز، ففي حالة الراوتر يمكن مراقبة منافذ ال (Serial) بينما يتعذر ذلك في جهاز السويتش، كذلك يمكن مراقبة الاقراص الصلبة في أجهزة الخودام وهذه الاجزاء غير متوفر في أجهزة الراوتر أو السويتش.

يتم التمييز بين المكونات التي يمكن مراقبتها لمختلف الاجزاء الداخلية لأي جهاز من خلال ارقام محددة، حيث يوجد رقم مخصص لكل مكون. فمثلا الرقم المخصص لعدد الاخطاء الحاصلة على أحد المنافذ مختلف عن الرقم المخصص لتتبع وضعية المنفذ كونه مكوّن آخر لنفس الجزء. تخزن ارقام المكونات التي يمكن مراقبتها ضمن قاعدة بيانات تسمى (Management Information Base MIB).

يقوم الجهاز المدير (manager) بارسال رسائل لقراءة قيم المكونات التي يجري مراقبتها وتسجيلها على الأجهزة العميلة (agents) وذلك بشكل دوري يتم تحديد الفترات من قبل مدير الشبكة. إذ يتم ارسال رسائل للحصول على القيم والاحصائيات المسجلة من خلال رسائل تسمى (get message). كما يوفر بروتوكول (SNMP) امكانية أن يرسل الجهاز العميل رسائل تبليغ (trap) عند تجاوز قيمة معينة لأحد الاجزاء التي تجري مراقبتها، فمثلا عند تجاوز نسبة اشغال (CPU) لقيمة معينة ومحددة من قبل مدير الشبكة يقوم الجهاز العميل بارسال رسالة تحمل هذه القيمة دون انتظار رسالة من الجهاز المدير.

يتيح (SNMP) ايضا امكانية ادارة الأجهزة عن بعد عن طريق تغيير اعدادات (settings) مكونات الأجهزة سواء أكانت عتاد (hardware) او بروتوكول. فيمكن تغيير اعدادات احد المنافذ على جهاز الراوتر باستخدام (SNMP). حيث يستخدم رسائل خاصة بالتحكم (ادارة) الجهاز تسمى (set message).

قاعدة بيانات المكونات MIB

يعتبر أي شيء يمكن مراقبته أو التحكم به هو مكوّن (object)، ويعرف كل مكوّن من خلال رقم يدل عليه (object ID). يمكن لأي جهاز عميل معرفة الاشياء (المكونات) التي يمكن مراقبتها أو التحكم بها من خلال قاعدة بيانات خاصة تحتوي على أرقام المكونات التي يستطيع (SNMP) العمل عليها في الجهاز.

يشكل رقم المكوّن على شكل شجرة لها جدور وتفرعات. حيث يستدل من الرقم على الشركة المصنعة ونوع الجهاز وماهية الجزء المعني في هذا الرقم وكذلك يحدد المكون الذي يتم مراقبته أو التحكم به. في الشكل التالي مثال لهيئة ارقام المكونات.

الرقم (1.3.6.1.4.1.9.2.1.58.0) يدل على معدل تغير نسبة الاشغال (utilization)  لمعالج الجهاز (CPU) خلال (5) دقائق.

ارقام المكونات المعرفة ضمن قاعدة البيانات للأجهزة تكون ايضا معرفة في الأجهزة المديرة (SNMP managers) وذلك من خلال برمجيات خاصة توفر امكانيات واسعة مثل اصدار تقارير واظهار الاعطال وتخزين الاحصائيات لمدة طويلة. من هذه البرمجيات التي تستخدم بشكل واسع:  Cisco Prime، HP Openview، SolarWinds Orion NPM.

بروتوكول (SNMP) النسخة الثانية

يقدم بروتوكول (SNMP) بنسخته الثانية عدة تعديلات على النسحة الأولى تتعلق بأنواع الرسائل المستخدمة. يقدم (SNMPv2) رسائل (get bulk) للحصول على احصائيات مجموعة كبيرة من المكونات برسالة واحدة اضافة للرسائل (get) و (get next). كما يقدم (SNMPv2) رسائل جديدة موسعة عن الاخطاء التي تحدث في الجهاز أو الشبكة (error messages).

من خصائص الـ (SNMP) بنسختيه الأولى والثانية امكانية استخدام آلية بسيطة لرفع مستوى الأمن لعمل بروتوكول (SNMP) وذلك باستخدام كلمة المرور تسمى (community string) في الرسائل المستخدمة في الـ (SNMP). حيث تضمن كلمة المرور (community string) في الرسائل كنص مقروء (plaintext) وليس مشفر. إذ يمكن تخصيص كلمة مرور للمراقبة (read-only) أي ضمن رسائل (get) وكلمة مرور أخرى للمراقبة والتحكم (الادارة) تكون بمثابة (read-write).

بروتوكول (SNMP) النسخة الثالثة

عمل بروتوكول (SNMP) بنسخته الثالثة تعديلات مهمة على جانب أمن الشبكات لمعالجة ضعف النسختين السابقتين في هذا الجانب من خلال عمل الاضافات التالية:

-         سلامة الرسائل (message integrity) لضمان عدم تعرض الرسائل للعبث خلال انتقالها عبر الشبكات

-         المصادقة (authentication) للتأكد من أن موثوقية مرسل الرسالة

-         التشفير (encryption) لاخفاء مضمون الرسالة عن الاطراف غير المعنية.

ومن الممكن تشغيل (SNMPv3) بعدة مستويات من الحماية معتمدة على خيارات الأمن المتوفرة، وهي على النحو التالي:

-         وضعية (noAuthNoPriv) ويتم تطبيق الموثوقية عن طريق اسم استخدام (username) دون تطبيق خاصية التشفير

-         وضعية (authNoPriv) ويتم تطبق الموثوقية باستخدام واحدة من الخوارزميات (MD5) أو (SHA) دون تطبيق خاصية التشفير

-         وضعية (AuthPriv) ويتم تطبيق الموثوقية عن طريق واحدة من الخوارزميات (MD5) أو (SHA) مع استخدام خاصية تشفير (DES) أو (DES-256).

تشغيل الـ (SNMP) على أجهزة سيسكو

يتطلب تشغيل (SNMP) تحديد كلمة المرور باستخدم الأمر التالي:

Router(config)# snmp-server community Abc@11 RO

ويتم تحديد كلمة المرور الخاصة بالادارة باستخدام نفس الأمر السابق لكن بتغيير خيار (RO) ليصبح (RW).

كما يمكن احكام كلمة المرور لبروتوكول(SNMP)  ليعمل من خلال جهاز المدير(manager)  محدد باستخدام (ACL):

Router(config)# snmp-server community Abc@11 RO ACL-SNMP

حيث يتم تحديد عنوان جهاز المدير (SNMP) على من خلال الـ (ACL):

Router(config)# ip access-list standard ACL-SNMP

Router(config-acl)# permit host 10.1.1.10

ومن الخيارات الأخرى الاضافية التي يمكن عملها من خلال (SNMP) تحديد موقع الجهاز (location) وكذلك جهة الاتصال (contact):

Router(config)# snmp-server location Building1-Floor5

Router(config)# snmp-server contact Ahmad Salem