محاور Control Plane و Data Plane

الواجبات التي تؤديها أجهزة الشبكة

تؤدي أجهزة الشبكات المختلفة العديد من المهام  tasks التي تتطلبها لاداء وظائفها في الشبكة، فمثلا جهاز الراوتر يقوم بتمرير البيانات forwarding data باتجاه الجهاز المرسل إليه Destination، ولاداء هذه المهمة فإنه يلزمه معرفة عناوين الشبكات وهذا يتطلب اداء مهمة أخرى وهي عملية بناء  routing table. مثال آخر جهاز السويتش يقوم ايضا بتمرير البيانات باسلوب مختلف عن اسلوب الراوتر لكنه يحتاج القيام بالعديد من المهام لتحقيق وظيفته ومنها بناء switch table وتشغيل بروتوكول spanning tree وغيرها من المهام الأخرى. هنالك بيانات يتم تبادلها بين أجهزة الشبكات لاتمام مثل هذه المهام.

اذا نظرنا لطبيعة البيانات المرسلة عبر الشبكة، ستكون تصنيفها ضمن ثلاث فئات:

•   Control Plane
•  Data Plane
•   Management Plane

الصنف الأول control plane هي بيانات ترسل بين أجهزة الشبكات والتي لها علاقة ببناء المعرفة لجهاز الشبكة لكي يؤدي وظيفته. وهي بالعادة البيانات الموجهة إلى جهاز الشبكة من أجل المحافظة على عمل الشبكة بشكل سليم. ومن هذه المهام التي تصنف ضمن هذا المحور routing protocols، ARP، Spanning Tree Protocol فعلى سبيل المثال رسالة التحديث Update Packet التي يرسلها بروتوكول EIGRP من راوتر إلى راوتر آخر هي من نوع رسائل Control Plane.

الصنف الثاني data plane وهذا المحور يهتم بالمهام التي لها علاقة بتمرير البيانات المارة عبرأجهزة الشبكة والمرسلة بين الأجهزة الطرفية التي تستخدم الشبكة لنقل البيانات. والمهام في هذا المحور تستخدم المعلومات التي أنتجتها المهام العاملة في الصنف الأول. فمثلا يقوم الراوتر بتمرير البيانات المتجهة لجهاز طرفي (data plane traffic) بعد معرفة MAC Address لهذا الجهاز عن طريق استخدام رسائل يروتوكول ARP.

الصنف الثالث Management plane وهي الرسائل (البيانات) التي ترسل إلى جهاز الشبكة أو من جهاز الشبكة والتي تهدف لاتمام عملية ادارة ومراقبة عمل جهاز الشبكة  من البيانات مرسلة من قبل جهاز الشبكة أو إلى جهاز الشبكة. ومن أمثلة المهام والبروتوكولات لهذا المحور Telnet/SSH، SNMP، NTP، Syslog

الغاية من ايجاد هذه المحاور 

من خلال تقسيم المهام التي يؤديها جهاز الشبكة فإنه يسهل تصميم وبناء الجهاز يتصف بأدائه العالي والقدرة على تمرير حجم كبير جدا من البيانات، وذلك عن طريق معالج processor يؤدي مهام الصنف الأول والثالث، ومعالج آخر يؤدي مهام المحور الثاني كون هذه المهام تشكل عبء كبير على المعالج. بل أنه يمكن تنفيذ مهام المحور الثاني من خلال استخدام رقائق الكترونية ASIC Chips أو معالجات خاصة NPUs بدلا من المعالج العام CPU المخصص للـ data plane لتحقيق اداء أعلى لجهاز الشبكة.

ومن الفوائد الأخرى لايجاد المحاور الثلاث سهولة تطبيق سياسات أمنية تضمن حماية البيانات المارة بجهاز الشبكة وأخرى تضمن حماية الجهاز نفسه وحماية المهام التي يؤديها.

ومن الجدير بالذكر ان تصنيف البيانات المرسلة في الشبكة ضمن ثلاثة أصناف يسهل مهمة تصنيف المهام التي تؤديها |أجهزة الشبكة وايضا فتح الباب لتكنولوجيا Software Defined Network (SDN)

برنامج Packet Tracer

برنامج Cisco Packet Tracer

Cisco Packet Tracer من البرامج المييزة والتي تتيح للمتدرب انشاء بيئة مبسطة ومماثلة للشبكات من أجل التدريب على المباددئ التي اكتسبها  للعديد من البروتوكولات.

لتحميل البرنامج اضغط على الرابط التالي:

http://www.4shared.com/file/Do6u51D7ce/Cisco_Packet_Tracer_62_for_Win.html

تعريف ب Infrastructure ACL

تعريف ب Infrastructure ACL

من الشائع أن (ACL) بنوعيها (standard) أو (extended) تستخدم لغايتين رئيسيتين: إما لتصفية (فلترة) البيانات المارة عبر جهاز الشبكة، أو لتحديد البيانات المارة عبر جهاز الشبكة وربطها بعملية معينة مثل (NAT/PAT). كلا الغايتين هدفهما البيانات التي تعبر من خلال جهاز الشبكة (through the box). ولكن يمكن استخدام هذه الأداة لحماية أجهزة الشبكة من خلال إحكام البيانات الموجه’ إلى الجهاز نفسه (to the box).

من المعلوم أن الوظيفة الرئيسية لأجهزة الشبكة هي تمرير وتوجيه البيانات التي تمر من خلالها، وهذا الدور الذي تؤديه الأجهزة يسمى (data plane)، ويتم تطبيق أساليب وسياسات مختلفة على البيانات المارة عبر أجهزة الشبكة باستخدام (ACL) وتصنف بأنها (transit ACL “tACL”).

لكنه يلزم أيضا تطبيق الحماية وسياسات الأمن للبيانات الموجهة إلى أجهزة الشبكات نفسها، مثل البيانات الخاصة ببروتوكولات الادارة (Telnet/SSH)، أو بروتوكول مراقبة أجهزة الشبكة وإدارتها (SNMP)، أو بروتوكولات التوجيه (OSPF, EIGRP, BGP). حيث من الضروري أن يتم ضبط الوصول لهذه البروتوكولات لرفع مستوى الحماية للشبكة باستخدام (ACL) حيث تصنف على أنها (Infrastructure ACL “iACL”).

تتيح (iACL) حماية أجهزة الشبكة من الهجمات التي تتعرض لها الشبكة استغلال البروتوكولات الشائعة والعاملة عليها لاغراض تهدف إلى تعطيل عمل الشبكة أو الحصول على عناوين الشبكات العاملة  (network addresses) أو منح صلاحيات للوصول لشبكات غير ممكنة الوصول إليها بالغاء أو تعديل اعدادات هذه الأجهزة. عند  تطبيق (iACL) يتم السماح فقط للبيانات الصادرة من أجهزة معينة من الوصول إلى  أجهزة الشبكة، وبالتالي فإن الهدف من (iACL) هو حماية (control plane) و (management plane).

ويجب الأشارة هنا بأن (iACL) لا يمكنها حماية أجهزة الشبكة من البيانات الضارة التي تصدر من الأجهزة الطرفية المصرح لها الوصول لأجهزة الشبكة. إذ أنه يجب تحصين الأجهزة الطرفية نفسها حسب طبيعة الجهاز. على سبيل المثال يمكن استخدام (iACL) لاحكام عمل بروتوكول (SNMP) على جهاز الشبكة وذلك بالسماح لجهاز أو أجهزة (SNMP manager) معينة من الوصول لجهاز الشبكة لأخذ قراءات (SNMP) المخزنة، هذا يؤدي إلى رفع مستوى الحماية لأجهزة الشبكة. لكن (iACL) لا تمنع اصابة أجهزة (SNMP manager) من البرمجيات الخبيثة التي قد تُستغل للحصول على معلومات عن عناوين الشبكات العاملة في المنظومة.

مثال استخدام (iACL)

في المثال التالي استخدمت (iACL) للسماح لجهاز (172.18.18.10) والمستخدم لادارة (management workstation) وجهاز (172.18.10.10) وهو عبارة عن خادم (server) من امكانية استخدام (ping) للتأكد من الوصول لأجهزة الشبكة :

ip access-list extended ACL-INFRASTRUCTURE-IN

!--- Permit ICMP Echo (ping) from trusted management stations and servers
 permit icmp host 172.18.18.10 any echo
 permit icmp host 172.18.10.10 any echo

!--- Deny all other IP traffic to any network device
 deny ip any 172.18.0.0 0.0.255.255

!--- Permit transit traffic
 permit ip any any

الفرق بين IOS - IOS XR - IOS XE - NX-OS

الفرق بين فئات أنظمة التشغيل لأجهزة سيسكو

يوجد عدة فئات من أنظمة التشغيل الخاصة بأجهزة سيسكو هي: IOS و IOS XR و IOS XE و NX-OS

يعمل نظام التشغيل (IOS( العادي على أغلب أجهزة سيسكو منذ زمن بعيد، وهو بتركيبته مبني على مبدأ أنظمة التشغيل )Monolithic OS( والتي تمتاز بأنها تعمل بكل وظائفها ضمن نفس النواة (kernel) على عكس أنظمة التشغيل الحديثة. إن تعطل جزء أو خاصية من نظام التشغيل تؤدي لتعطل نظام التشغيل بالكامل. وكذلك اجراء تحديث على نظام التشغل يتطلب اعادة تشغيل الجهاز.

يمتاز نظام التشغيل (IOS XR( بأنه أكثر استقرارية من نظام التشغيل (IOS) مع وجود امتيازات أخرى اضافية مثل امكانية اعادة تشغيل جزء من نظام تشغيل (process( بالاضافة لامكانية اجراء تعديلات على الاعدادات (configuration) ومن ثم تفعيلها على الجهاز باستخدام الأمر (commit). يعمل نظام التشغيل (IOS XR) على أجهزة سيسكو المستخدمة في شبكات الكبيرة من مستوى مزودي خدمات الانترنت ومزودي قنوات الاتصال (Carrier Class) مثل الأجهزة من فئة (12000) أو فئة (CNS-1(.

تستخدم شركة سيسكو نظام التشغيل (IOS XE) في أجهزة الراوترات الكبيرة من فئة (ASR) والتي تستخدم ضمن الشبكات الكبيرة التي تحتوي على عدد كبير من وصلات (WAN). يمتاز نظام التشغيل هذا بأنه (modular) أي يمكن اعادة تشغيل جزء من نظام التشغيل دون الحاجة لاعادة تشغيل الجهاز. كما يمنح نظام الشغيل (IOS XE) امكانية اضافة خدمات ووظائف يمكن تشغيلها على الجهاز مثل تطبيقات (SDN).

فيما يتم استخدام نظام التشغيل (NX-OS) في أجهزة السويشتات من فئة (Nexus) والتي تستخدم في بناء مراكز البيانات (Data Centers) الحديثة والتي تتطلب الكثير من الخصائص والامكانيات نتيجة استخدام (Virtualization) في تشغيل الخوادم وما يتطلبه ذلك من توفر قدرات اضافية وخصائص جديدة منها على سبيل المثال القدرة على ارسال عدد كبير جدا من البيانات وامكانية بناء مراكز بيانات موحدة في مواقع مختلفة مرتبطة معا من خلال شبكات (layer 3).