DMZ چیست و چه کاربردی در شبکه های کامپیوتری دارد؟
در درسنامه ی قبلی یعنی درسنامه ی بیستم بصورت مفصل درباره ی NAT صحبت کردیم. متوجه شدیم که این سرویس چیست و چه کاربردی در شبکه های کامپیوتری دارد. در واقع درسنامه ی نوزدهم و بیستم ما از دوره جامع نتورک پلاس ISG یکی از کامل ترین دوره ها درباره ی انواع NAT ها و کاربردهای آن ها می باشد.
آنچه در این مقاله می خوانید:
DMZ چیست و چه کاربردی در شبکه های کامپیوتری دارد؟DMZ چیست؟پیاده سازی تنظیمات DMZ بر روی مودم جمع بندی
اما این مقاله درباره ی DMZ است. جالب است بدانید که NAT و DMZ شباهت های بسیار زیادی با هم دارند و تا حدودی کارایی های مشابه برای شان تعریف می شود؛ ولی نکته ی اصلی داستان اینجاست که این دو تفاوت هایی نیز با هم دارند و این تفاوت ها در کاربردشان تعریف می شود.
از این رو این درسنامه از دوره ی جامع شبکه های کامیوتری PBX SHOP را به DMZ ها و انواع و کاربرد آن ها در شبکه های کامپیوتری اختصاص خواهیم داد. پس برای آشنایی بیشتر با این سرویس و تفاوت ها و شباهت هایش با NAT ها تا انتهای مقاله با ما همراه باشید :
سرفصل هایی که در این درسنامه به آن ها خواهیم پرداخت :
DMZ چیست؟
ببینید؛ DMZ مخفف عبارت DE MILITERIZED ZONE می باشد. این عبارت به معنای منطقه ی غیر نظامی است. این که اصلاً این عبارت چیست و از کجا آمده و دلیل استفاده از آن برای این سرویس چه چیزی است را می توانید در این مقاله از دوره نتوک پلاس مطالعه کنید. در این مقاله می توانید به صورت جامع درباره ی این اصطلاح مطالعه کنید. اما برسیم به درسنامه ی بیست و یکم که درباره ی DMZ و کاربردها و روش کار آن در شبکه های کامپیوتری می باشد.
DMZ یک بخشی از شبکه است که ما از آن بخش در برابر اینترنت و خطرهای احتمالی ناشی از آن محافظت می کنیم. یعنی به عبارتی ما این بخش را با استفاده از لایه های فایر وال، محدود می کنیم. نکته ی جالب درباره ی DMZ ها این است که این سرویس ها بیشتر در شبکه های کامپیوتری خیلی بزرگ مورد استفاده قرار می گیرند و اصلاً کاربرد آن ها نیز در همین شبکه هاست که تعریف می شود. به طور مثال ISP ها یکی از رایج ترین شبکه های کامپیوتری هستند که از DMZ ها استفاده می کنند.
به طور کلی تمامی مجموعه ها و شرکت های بزرگی که خدمات خاصی را ارئه می دهند؛ با هدف جلوگیری از یک سری حملات و اتک ها از DMZ استفاده می کنند. به عبارتی DMZ وظیفه ی تامین امنیت شبکه های کامپیوتری را بر عهده دارد. خوب؛ به تصویر زیر نگاه کنید :با توجه به تصور بالا و در شبکه ی اولی، مشاهده می کنیم که در سمت راست تصویر، شبکه ی اینترنت یا همان شبکه ی پابلیک ما قرار دارد. تجهیزات و سرویس های وسط تصویر همان DMZ ماست و در سمت چپ، شبکه ی محلی یا همان پرایوت ما تعریف شده است. اگر در تصویر دقیق شوید متوجه خواهید شد که اینترنت از یک دیوار و یا فایر وال عبور می کند و بعد وارد شبکه ی LAN شده و به کلاینت های شبکه تزریق می شود.
پس همان طور که مشاهده می کنید این تجهیزات به صورت مستقیم به اینترنت متصل نیستند. این یعنی چه؟ یعنی اینترنت ما ابتدا به این فایروال ها رسیده، فیلتر می شود و سپس به سمت شبکه ی داخلی و کلاینت های فعال در آن هدایت می گردد. با همین تصویر ساده می توانیم متوجه شویم که از DMZ ها برای تامین امنیت شبکه های کامپیوتری در مجموعه ها و شرکت های بزرگ و مهم استفاده می شود.
البته باید بدانید که DMZ کاربردهای دیگری نیز دارد؛ اما مهم ترین وظیفه ای که برای این سرویس تعریف می شود، ممانعت از اتصال مستقیم بخش های مهمی از شبکه های کامپیوتری به شبکه های پابلیک مانند اینترنت می باشد.
خوب؛ حالا متوجه شدیم که DMZ ها در حالت کلی چه کاربردهایی دارند. اما بحث اصلی ما کاربرد DMZ در همین مودم روترهای عادی است که معمولاً در اکثر شبکه های کامپیوتری مورد استفاده قرار می گیرد. چرا که شما با یادگیری این موضوع و داشتن یک دید درست از کاربرد این سرویس می توانید به درک درستی از نحوه ی پیاده سازی و عملکرد DMZ در مجموعه های بزرگ برسید.
خوب؛ حالا به تصویر پایین نگاه کنید؛ از سمت راست ما یک شبکه ی پابلیک و یا همان اینترنت را داریم و بعد از آن مودم روتر و در نهایت یک کلاینت فعال در شبکه کامپیوتری محلی را مشاهده می کنیم. در شبکه های کامپیوتری کوچک، کار که ما انجام می دهیم این است که مودم را بر روی یک روتر جداگانه DMZ می کنیم. البته لازم است همینجا بدانید که در کل DMZ کردن و اعمال این سرویس در شبکه های کامپیوتری اصلاً کار سختی نیست و شما را درگیر پروسه ی طولانی نخواهد کرد.
خوب برسیم به موضوع اصلی بحث ما که همان شبکه های کوچک بوده؛ نیاز است بدانید که در شبکه های کامپیوتری که مودم روترها جدا از یکدیگر هستند و مودم قابلیت BRIDGE شدن ندارد، کاری که باید انجام شود، DMZ کردن مودم بر روی یک روتر جداگانه است.
سئوال اینجاست چه موقعی DMZ در شبکه های کوچک اعمال می شود؟
DMZ زمانی اعمال می شود که مودم ما قابلیت BRIDGE شدن نداشته باشد. مثل مودم های ایرانسل، مودم های TDLTE، آسیا تک و هر شرکت خصوص دیگری که مودم هایی طراحی کرده اند که قابلیت BRIDGE شدن ندارند. در این شرایط شما باید کانکشن PPPOE را بر روی خود مودم تان تست کنید و از روترش استفاده نمایید.
بنابراین بهترین کار برای حفظ امنیت این است که مودم را بر روی روتر بعدش DMZ کنیم. در این شرایط امنیت شبکه به واسطه ی روتر DMZ شده تا حدودی تامین می شود پس از این مرحله، اینترنت به کلاینت های فعال داخل شبکه تزریق می گردد.
خوب حالا اینجا یک سوال مطرح می شود و آن هم این است :
چرا ما از روتر خود مودم مان استفاده نمی کنیم؟
پاسخ : چون روتر تعبیه شده در خود مودم، از قدرت مورد نیاز ما برخوردار نیست. در درسنامه های اول دوره ما به این موضوع بارها اشاره کردیم که روتر تعبیه شده در مودم روترهای معمولی و رایجی که همه ی ما از آن های استفاده می کنیم، از قابلیت روترینگ بالایی برخوردار نیست. در واقع روتر تعبیه شده در این مودم روترها بسیار ابتدایی است و کارایی خاصی برای آن طراحی نشده است.
به همین خاطر است که اگر مودم ما قابلیت بریج شدن نداشته باشد ما مجبور می شویم که مودم مان را بر روی یک روتر دیگر DMZ کنیم. در این صورت روتر بعدی هم کار مسیر یابی یا روترینگ را انجام می دهد و هم به عنوان فایروال، امینت را برقرار می کند. اما سناریویی که ما قصد داریم در این قسمت از آموزش درباره ی آن صحبت کنیم، سناریوی زیر است. به عکس زیر دقت کنید :
چه میبینید؟ بله؛ مجموعه ای که فقط یک مودم روتر دارد!
خوب پس چطور پروسه ی DMZ را انجام دهیم؟ در این سناریو تنها راه چاره ی ما این است که مودم مان را بر روی یک کلاینت عضو شبکه، DMZ کنیم. اما وقتی که مودم روتر ما بر روی یک کلاینت DMZ می شود، چه اتفاقی رخ خواهد داد؟
ما در ابتدای درسنامه توضیح داده بودیم که وظیفه ی اولیه و اصلی سرویس DMZ، برقراری امنیت است. اما بیایید اینگونه سوال را مطرح کنیم که ؛ DMZ دقیقاً چه کاری انجام می دهد و شباهت آن به NAT در چیست؟!
خوب؛ ببینید دوستان، DMZ به نحوی همان کار NAT را برای شبکه ی کامپیوتری انجام می دهد با این تفاوت که امکان تعریف پورت خاصی برای این سرویس وجود ندارد. به چه صورت ؟
به این صورت که انتقال در این سرویس به صورت پورت به پورت است و برای هر پورت باید یک پورت جداگانه تعریف شود. به عنوان مثال ای پی عمومی ما ۸۰.۲۱۰.۲۱۹.۲۵ است. حالا ای پی مودم در شبکه ۱۹۲.۱۶۸.۱.۱ و ای پی کلاینت ما ۱۹۲.۱۶۸.۱.۲ می باشد. در این شرایط شما برای تنظیمات کلاینت فقط می توانید یک ای پی را در نظر بگیرید و اعلام کنید که هر درخواستی که به این مودم روتر آمده و با هر پورتی که بوده باید به همان پورت و ای پی که برای آن درج شده است، انتقال پیدا کند.
این یعنی اگر پورت ما ۸۰ بود باید به پورت ۸۰ شبکه ی داخلی متصل شود. یا اگر پورت ما ۲۲ باشد باید به ۲۲ داخلی وصل شود. به عبارت ساده تر شما می توانید تمامی پورت ها را به کلاینت ها و تجهیزات فعال در شبکه ی کامپیوتری با کمک DMZ متصل نمایید. پس در DMZ هم یک پورت عمومی به یک پورت داخلی و شخصی تبدیل می شود. در NAT هم همین اتفاق می افتاد ولی با این تفاوت که ما در NAT می توانستیم محدوده تعیین کنیم. مثلاً می گفتیم که PORT 80 تا ۹۰ خارجی به محدوده ی پورت ۸۰ تا ۹۰ داخلی تغییر پیدا کند.
یک موضوع مهم دیگر در تفاوت NAT و DMZ این است که در NAT، پورت ها می توانستند تغییر پیدا کنند. مثلا یک پورت ۸۰ خارجی به یک پورت ۲۲ داخلی برود و بر عکس!
پس ما می توانیم در نت، پورت ها را عوض کنیم. بنابراین دست ما در نت بسیار باز تر از DMZ است. چرا؟
چون ما در DMZ می توانیم فقط یک IP تعریف کنیم. وقتی این کار را انجام می دهیم تمام پورت هایی که در حال ورود به روتر ما هستند مستقیماً به کلاینت مورد نظر ما متصل می شوند و با همان پورت تعیین شده عوض می گردند.
اما موضوعی که اینجا مطرح می شود این است که ما در ابتدا گفتیم که کاربرد اصلی DMZ تامین امنیت شبکه است. با این تفاسیر آیا کار درستی است که ما تمامی پورت ها را از یک شبکه ی پابلیک اینترنت به یک شبکه ی LAN و کلاینت های آن به صورت کاملاً مستقیم متصل کنیم؟
خیر؛ این کار صد در صد اشتباه است. چرا که امنیت شبکه ی شما به خطر می افتد. پس راهکار چیست؟ نظر و پیشنهاد ما این است که اگر شبکه تان، یک روتر جداگانه ندارید که آن را برای تامین امنیت شبکه DMZ کنید، هرگز به سراغ یک کلاینت عضو شبکه برای DMZ کردن نروید. یعنی اصلاً مودم تان را بر روی یک کلاینت عضو شبکه ی LAN DMZ نکنید. چرا؟
چون شما با این کار به یک فضای عمومی با هر ویژگی و قابلیتی، این امکان را می دهید که به راحتی و مستقیماً به تمامی اطلاعات و کلاینت های موجود در شبکه ی شخصی ما دسترسی پیدا کند. این کار می تواند کل شبکه ی شما را به خطر بیندازد.
به طور مثال کلاینتی را در نظر بگیرید که یک وب سرور دارد و پورت ۸۰ آن به یک پورت ۸۰ در شبکه ی اینترنت متصل باشد. همه ی ما می دانیم که پورت ۸۰ یک پورت معروف است و به راحتی توسط رباتها شناسایی می شود. بنابراین این دسترسی به راحتی می تواند توسط هر کلاینتی پیاده سازی شود. هرسوالی که داری در انجمن مطرح کن
پس این کار به شدت کار خطرناکی است. برای این که این کار را کمی امن تر کنید، بهتر است برای گمراه کردن هکرها و ربات ها، پورت های ورودی و خروجی را کاملاً تغییر دهید.
در نهایت هدف ما از پیاده سازی DMZ تامین امنیت شبکه است ما استراتژی آخر یعنی استراتژی که طی آن هیچ روتری در شبکه نیست که برای امنیت DMZ شود، به هیچ وجه نمی تواند گزینه ی خیلی امنی برای شما باشد. در کل DMZ در مواقعی که ما نمی توانیم مودم مان را بریج کنیم هم کاربرد فراوان دارد.
در این شرایط ما تمام پورت های ورودی مان را به سمت روترمان هدایت می کنیم و اینجا روترمان تصمیم می گیرد که این پورت ها از کدام مسیر و چگونه در امن ترین حالت ممکن به سمت پورت داخلی شان هدایت شوند.
پس یادتان نرود که حتماً از یک روتر جداگانه در شبکه تان استفاده کنید تا بتوانید مقوله امنیت را به بهترین شکل ممکن پیاده سازی کنید.
پیاده سازی تنظیمات DMZ بر روی مودم
برای اعمال و بررسی تنظیمات DMZ بر روی مودم، نیاز است که مانند همیشه ابتدا به صفحه ی وب مودم مان برویم. ابتدا IP مودم را در مرورگرمان سرچ می کنیم و عبارت ادمین را در بخش یوذر نیم و پسورد وارد می کنیم و تنظیمات وب مودم برای ما باز می شود. حالا از منوی سمت چپ صفحه به بخش FIREWALL و DMZ می رویم.
همینجا باید بدانید که معمولاً NAT بر DMZ ارجعیت دارد و یادتان باشد که حتماً از این دو مورد برای تامین امنیت شبکه تان استفاده نمایید. خوب؛ حالا در بخش ADVANCED و FIREWALL/DMZ تیک گزینه ی ENABLE DMZ را می زنیم. حالا در بخش DMZ IP ADDRESS می توانیم IP مورد نظرمان را وارد کنیم. در این بخش ما انتخاب می کنیم که DMZ مان به چه ای پی برود!
به عبارتی، تعیین می کنیم که تمامی IP های ورودی ما با پورت های مشخص به سمت چه IP بروند. مثلاً IP 192.168.1.2 را وارد می کنیم ؛ این ای پی برای دستگاه مرکز تلفن گرنداستریم ما تعریف شده است. اما حالا ای پی خود سیستم ما چند است؟ ۱۹۲.۱۶۸.۱.۳.
پس ما می خواهیم که تمامی پورت های ورودی مان را به سمت ای پی ۱۹۲.۱۶۸.۱.۲ هدایت کنیم. پس ای پی را وارد می کنیم و روی گزینه ی APPLY/SETTING کلیک می کنیم. حالا به مرورگرمان می رویم و ای پی ۸۰.۲۱۰.۲۵.۲۱۹ : ۸۰ را وارد می کنیم. با رفتن به این ای پی ما میخواهیم که وب گرنداستریم مان را مشاهده کنیم و ببینیم که DMZ چطور کار می کند!
اگر خاطرتان باشد ما در درسنامه ی قبلی که NAT را آموزش دادیم، پورت ۵۰۰۰ را طی این پروسه به پورت ۸۰ تبدیل کردیم. با این کار توانستیم که امنیت شبکه را تا حد خیلی زیادی تامین کنیم و اصلاً به همین خاطر است که پیشنهاد ما برای تامین امنیت شبکه استفاده از NAT هاست. چون در ابتدای این پروسه پورت عوض می شود.
ولی ما در DMZ اصلاً امکان انجام چنین کاری را نداریم؛ به عبارتی هر پورت باید به پورت متناظر خودش در شبکه ی محلی و LAN متصل شود. اصلاً همین موضوع اتصال مستقیم است که می تواند امنیت شبکه را با DMZ به خطر بیندازد.
خوب حالا ادامه ی مسیر؛ وارد صفحه ی وب گرنداستریم می شویم و پس از وارد نمودن یوذر نیم و پسوررد، لاگین می کنیم. حالا اگر به جای ۸۰.۲۱۰.۲۵.۲۱۹ : ۸۰، ای پی ۸۰.۲۱۰.۲۵.۲۱۹ : ۵۰۰۰ را بزنیم چه اتفاقی می افتد؟
بله؛ به هیچ صفحه ای متصل نخواهیم شد. چرا؟ چون ما روی مرکز تلفن گرنداستریم مان فقط یک سرویس HTTP و HTTPS داریم که این سرویس هم به حالت دیفالت پورت ۸۰ دارد. پس اصلاً پورت ۵۰۰۰ برای این دستگاه به هیچ وجه تعریف نخواهد شد. به بیانی ساده تر؛ ما در حال استفاده از DMZ هستیم و کلاینت مورد نظر ما هم مرکز تلفن گرنداستریم است. این مرکز هم فقط پورت ۸۰ دارد. پس اصلاً هیچ پورتی به جز پورت ۸۰ نمی تواند به این کلاینت ورود کند.
اما اگر از NAT استفاده می کردیم چه؟
آن زمان می توانستیم پورت را عوض کنیم و با حفظ امنیت، اتصال را برقرار نماییم.
جمع بندی
حرف آخر اینکه یادتان باشد که NAT بسیار منعطف تر از DMZ است و دست شما را برای استفاده از این سرویس باز می گذارد. فراموش نکنید که شبکه ی بدون روتر جداگانه هرگز بستر مناسب و امنی برای استفاده از DMZ نیست و نخواهد بود.برای کسب اطلاعات بیشتر در زمینه سانترال ، ویپ و شبکه با ما همراه باشید…
ttttttttttttttttttttttt
NAT چیست و چه کاربردی در شبکه های کامپیوتری دارد؟ (جلسه ۱۹)
nnnnnnnnnnnnnnnnnnnnnnnn
NAT و کاربرد آن در شبکه های کامپیوتری
اگر خاطرتان باشد در درسنامه های قبلی درباره ی NAT صحبت کردیم. اما توضیحی ندادیم که NAT چیست و چه کاربردی در شبکه های کامپیوتری دارد. از این رو در نظر گرفتیم که درسنامه نوزدهم را به NAT و کاربرد آن در شبکه های کامپیوتری و نحوه استفاده از آن اختصاص دهیم.
آنچه در این مقاله می خوانید:
NAT و کاربرد آن در شبکه های کامپیوتری NAT چیست؟بررسی کاربرد NAT در شبکه های کامپیوتری شبکه های عمومی و شخصی PUBLIC AND PRIVATE NETWORKSنحوه استفاده از NATتبدیل IP ها کجا و توسط چه کلاینتی و چه زمانی انجام شده است؟! انواع NAT ها SRCNAT چیست؟ انواع SRCNATDSTNAT چیست؟جمع بندی و سخن آخر
از این روی نیاز است که برای تسلط بیشتر بر روی داستان شبکه های کامپیوتری و بالا بردن کیفیت کار این شبکه ها، حتماً این درسنامه و تمامی نکات ذکر شده در آن را مطالعه نمایید.
NAT چیست؟
برای درک بهتر و بیشتر مفهوم NAT، با چند مثال ساده و قابل لمس شروع می کنیم. همین ابتدا نیاز است بدانید که NAT مخفف عبارت NETWORK ADDRESS TRANSLATE می باشد. همان طور که از معنای این عبارت مشخص است NAT سرویسی است که کار ترجمه ی آدرسها را برای ما انجام می دهد.
بررسی کاربرد NAT در شبکه های کامپیوتری
به عبارت خیلی ساده تر؛ NAT همان سرویسی است که قادر است تمامی IP های نامعتبر را به IP های معتبر تبدیل نماید. اما در کنار تمامی این تعاریف، ساده ترین تعریفی که برای NAT ارائه شده است این است که NAT می تواند تمامی IP ها را به یکدیگر تبدیل کند و کار جایگزینی IP ها را انجام می دهد.
NAT به گونه ای طراحی شده که باید با تمامی کلاینت ها و سرویس های فعال در شبکه های کامپیوتری در ارتباط باشد. به عبارتی تمامی دیوایس هایی که به گونه ای در یک شبکه ی کامپیوتری فعالیت دارند و به مودم-روتر این شبکه متصل هستند و از این مودم اینترنت دریافت می کنند، در حال استفاده از سرویس NAT می باشند.
اما قبل از صحبت درباره ی NAT و ویژگی ها و انواع آن، نیاز است که ابتدا شما درک کنید که تبدیل IP به چه معناست و در چه جاهایی کاربرد دارد. از این رو ابتدا به تعریف درست و مفصلی درباره ی شبکه های پابلیک و پرایوت می پردازیم و سپس با ذکر چند مثال، شرح می دهیم که چگونه IP ها غیر معتبر به IP ها معتبر تبدیل می شوند و در نهایت چگونه این کار با استفاده از NAT امکان پذیر است. بدین صورت عملکرد NAT برای شما ملموس تر و قابل درک تر خواهد بود. پس ابتدا به سراغ تعریف درستی از شبکه های پابلیک و پرایوت بپردازیم.
شبکه های عمومی و شخصی PUBLIC AND PRIVATE NETWORKS
خوب در همین ابتدا، روتری را تصور کنید که یک شبکه ی داخلی و یا همان LAN را به یک شبکه ی عمومی یا همان WAN که اینترنت باشد، متصل می کند. در این شبکه به طور معمول، روتر در مرکز تصویر، شبکه ی LAN در سمت راست و شبکه ی WAN در سمت چپ تصویر قرار دارد. ما می دانیم که شبکه ی اینترنت یکی از بزرگ ترین شبکه های WAN در دنیاست که اکثر کلاینت های فعال در هر شبکه ی داخلی به نحوی به این شبکه ی WAN متصل هستند و در این فضا فعالیت دارند.در واقع هر سیستم، کلاینت و هر دیوایسی برای اینکه بتواند به درستی کار کند، باید حتماً در این شبکه فعالیت داشته باشد و اصلاً فقط در فضای اینترنت است که قابلیت انتقال داده و اطلاعات به بهترین شکل ممکن فراهم شده است.
خوب؛ حالا با علم بر این تعریف از شبکه کلی WAN، حالا به سراغ شبکه ی داخلی و محلی خودمان می رویم. تصور کنید که NETWORK ID تعریف شده برای این شبکه ی محلی ما ۱۹۲.۱۶۸.۱.۰/۲۴ تعریف شده باشد. بر طبق این نت آی دی و اصول شبکه، تمامی کلاینت های فعال در شبکه نیز IP های خاص خودشان را به ترتیب دریافت می نمایند. پس تمامی کلاینت ها تحت نت آی پی تعریف شده خواهند بود.
اما حالا یک سوالی اینجا مطرح می شود و آن هم این است که تفاوت شبکه ی PRIVATE با شبکه ی PUBLIC در چیست؟
سوال دوم : چرا ما شبکه ی WAN را به عنوان یک شبکه ی عمومی تعریف می کنیم و شبکه ی LAN را به عنوان یک شبکه ی داخلی و محلی معرفی می کنیم؟!
خوب اما جواب این سوالات؛ ببینید همان طور که از نام و معنای عبارت PRIVATE مشخص است، این شبکه به معنای شبکه ی خصوصی است. یعنی شبکه ای که تمام در اختیار خود ماست و اضافه کردن هر قابلیت و هر کلاینتی به این شبکه نیز در دست خود ما قرار دارد.
اما با نگاهی به معنای عبارت PUBLIC درک خواهیم که شبکه ی پابلیک، شبکه ای است که در اختیار عموم و طیف خیلی گسترده ای از کاربران قرار دارد و هر کسی توانایی و اجازه دخل و تصرف در این شبکه را ندارد و نخواهد داشت.
حالا چرا ما تعریف این دو شبکه را برای شما بیان کردیم؟ برای اینکه شما متوجه شوید که رنج آی پی تعریف شده در یک شبکه ی LAN یا همان شخصی، به هیچ وجه برای یک شبکه ی عمومی و پابلیک قابل درک نیست. در واقع اصلاً این IP هایی که ما خودمان در یک شبکه ی محلی برای کلاینت های مان تعریف می کنیم، به هیچ صورت در یک شبکه ی عمومی و پابلیک اعتبار ندارند و قابل درک نیستند. پس IP تعریف شده در یک شبکه ی محلی یک IP نامعتبر است که برای اتصال به دنیای بیرون باید به یک IP معتبر تبدیل شود و اصل NAT اینجاست که تعریف می شود.
ببینید ساده است؛ تمامی IP هایی که ما خودمان تا به امروز برای شبکه ی داخلی و محلی خودمان تعریف کرده ایم برای یک شبکه ی عمومی بزرگ مانند اینترنت، کاملاً نامعتبر، نامفهوم و به عبارتی INVALIDE می باشند. در واقع این IP ها راهنماهایی هستند که تنها در همان شبکه ی محلی به درد ما می خورند و تنها در همان شبکه اعتبار دارند.
این IP های داخلی به کلاینت ها و سیستم و دیوایس های داخل یک شبکه ی محلی کمک می کنند که با هم ارتباط داشته باشند و تنها برای یکدیگر قابل درک هستند. عملاً یک شبکه ی کامپیوتری به هیچ وجه نمی تواند صرفاً به واسطه ی یک IP پرایوت به دنیای بیرون از شبکه متصل و اینترنت دریافت کند.
تصور کنید که آی پی تعریف شده برای یک شبکه ی پابلیک ۸۰.۲۱۰.۲۵.۲۱۹ باشد. این آی پی عمومی یا همان پابلیک، تنها IP معتبر و یا اصطلاحاً VALIDE است که کلاینت های عضو شبکه ی داخلی ما می توانند به واسطه ی آن به دنیای بیرون وصل شوند. در نهایت به این خاطر که IP های پرایوت به هیچ وجه برای شبکه های عمومی قابل درک نیستند، شبکه های کامپیوتری به دو گروه شبکه های محلی یا LAN و شبکه های عمومی یا WAN تقسیم بندی می شوند.
نحوه استفاده از NAT
اما حالا می دانید نکته ی جالب این ماجرا کجاست؟ اینجاست که برعکس این داستان نیز کاملاً صادق است. یعنی چه؟! یعنی که علاوه بر نامعتبر بودن IP های داخلی برای شبکه های خارجی، IP های خارجی نیز برای شبکه های داخلی کاملاً نامعتبر هستند و قابل درک نمی باشند. به عبارت دیگر تمامی کلاینت های فعال در یک شبکه ی کامپیوتری داخلی، فقط و فقط می توانند از طریق آی پی های پرایوت با یکدیگر در ارتباط باشند.
خوب؛ حالا با این تعاریف و تفاسیر، بهتر می توانیم معنا و مفهوم NAT را درک کنیم. چطور؟!
کلاینتی را تصور کنید که قصد دارد از یک شبکه ی کامپیوتری پرایوت به یک شبکه ی پابلیک و عمومی متصل شود. طبیعتاً برای دسترسی به فضای اینترنت، نیاز است که این کلاینت از شبکه ی PRIVATE خود خارج شده و به یک شبکه ی PUBLIC ورود کند. برای طی نمودن این پروسه نیاز است که IP پرایوت کلاینت به IP عمومی تبدیل گردد. به عبارتی یک IP نامعتبر باید معتبر شود و اینجاست که عمل جایگزینی IP ها رخ می دهد و سرویس NAT تعریف می گردد.
اگر خاطرتان باشد در درسنامه های قبلی با هم دیده بودیم که هر سیستم به تنهایی با یک آی پی تعریف می شد که اگر با همین سیستم، آی پی عبارت WHATS MY IP را در اینترنت سرچ می کردیم یک آی پی پابلیک به ما می داد. با همین پروسه ی ساده به راحتی می توانیم درک کنیم که سیستم در یک شبکه ی پرایوت یک آی پی داشت و در شبکه ی عمومی مثل اینترنت، یک آی پی عمومی و متفاوت!
تبدیل IP ها کجا و توسط چه کلاینتی و چه زمانی انجام شده است؟!
توسط روترها ROUTERS و با کمک سرویس NAT!
پس سرویس NAT سرویسی است که در بستر روتر ها می تواند IP های مختلف به یکدیگر تبدیل کند. یا به عبارت دیگر یک آی پی عمومی را به آی پی شخصی و برعکس تبدیل نماید و به عبارت خیلی خیلی ساده تر، کار معتبر کردن آی پی های معتبر را انجام می دهد.
خوب حالا بیایید تصور کنیم که ما قرار است از دنیای WAN یا اینترنت به یک کلاینت فعال در شبکه پرایوت مان متصل شویم. مثلاً چطور؟ بدین صورت که ما قصد داریم از اینترنت داخلی منزل مان و با استفاده از گوشی تلفن همراه مان، دوربین های داخل شرکت مان را چک کنیم.
برای این کار ما باید ابتدا به یک شبکه ی عمومی که همان اینترنت است متصل شویم و سپس به شبکه ی داخلی شرکت و دوربین های مدار بسته ورود کنیم. پس به واسطه ی یک شبکه ی Wan و اتصال به یک شبکه ی LAN می توانیم به اطلاعات و داده های مورد نظرمان دسترسی پیدا کنیم. در این پروسه نیز سرویس NAT به وضوح مورد استفاده قرار می گیرد. چطور؟در این پروسه آی پی عمومی ما که در فضای اینترنت معتبر است و برای شبکه ی داخلی ما یعنی همان دوربین های مدار بسته قابل تعریف نیست، باید توسط سرویس NAT به یک آی پی معتبر و قابل قبول تبدیل شود. اینجاست که پروسه ی NAT صورت میگیرد. ولی شما همینجا می توانید متوجه تفاوت دو NAT شوید. بدین معنا که NAT اولی که برای اتصال از داخل به خارج استفاده می شد همان NAT ای نیست که برای اتصال خارج به داخل استفاده می شود و اینجاست که ما انواع NAT ها را تعریف می کنیم.
انواع NAT ها
خوب ما در ابتدای درسنامه نیز به این موضوع اشاره کردیم که NAT ها انواع خاص خودشان دارند. در واقع می توانیم این طور بیان کنیم که NAT ها به دوسته ی SOURCENAT و DSTNAT تقسیم بندی می شوند. SRCNAT نَتی است که به کلاینت های عضو یک شبکه اجازه می دهد تا بتوانند به دنیای بیرون و اینترنت متصل شوند و طی این اتصال، IP پرایوت آن ها به IP عمومی تبدیل می گردد. اما DSTNAT برعکس این کار را انجام می دهد. اتفاقی که در این سرویس می افتد این است که IP پابلیک ما به IP شخصی و پرایوت تبدیل می شود.خوب تقریباً تا به اینجای آموزش ما سعی کردیم که تمامی تعاریف و توضیحات مورد نیاز شما را در ارتباط با NAT ارائه دهیم. توضیح دادیم که شبکه های پابلیک چه شبکه هایی هستند، با شبکه های پرایوت و یا محلی آشنا شدیم. متوجه شدیم که کاربرد NAT در این شبکه ها چیست و با ذکر یک مثال ساده به یک تعریف ابتدایی از انواع NAT رسیدیم.
اما در بخش های بعدی درسنامه ی نوزدهم از دوره جامع شبکه های کامپیوتری PBXSHOP، قصد داریم درباره انواع NAT بیشتر با شما صحبت کنیم. چرا که اهمیت تسلط بر انواع NAT ها کمتر از تعریف خود نت نیست. پس با ما تا انتهای محتوا همراه باشید :
SRCNAT چیست؟
در حالت SRCNAT معمولاً سورس و منبع پکت ها تغییر پیدا می کند. ببینید ساده است. وقتی که ما یک درخواستی را ارسال می کنیم، این درخواست یک سورس و یک دیستینیشن دارد. سورس ها در واقع IP های خود کلاینت هایی هستند که در شبکه LAN و داخلی ما فعالیت دارند. اما دیستینیشن که با علامت اختصاری DST مشخص می شود، همان درخواست و مقصد ما می باشد.
حالا اتفاقی که در SRCNAT می افتد این است که SRC و منبع درخواست ما تغییر می کند. وقتی این اتفاق بیوفتد طبیعتاً بدین معناست که سورس کلاینت های ما نیز تغییر می کند و این تغییر مستقیماً از طرف روتر انجام می شود. برای مثال، کلاینتی را در نظر بگیرید که در یک شبکه ی کامپیوتری عضو است. تصور کنید که IP تعریف شده برای این کلاینت ۱۹۲.۱۶۸.۱.۲/۲۴ می باشد. خوب؛ حال این کلاینت در حال بررسی و ارسال یک درخواست می باشد. چه در خواستی؟!
مثلاً فکر کنید که در حال سرچ سایت گوگل می باشد. طبیعتاً این درخواست ابتدا به سمت روتر شبکه کامپیوتری ارسال می شود. گفتیم که آی پی تعریف شده برای کلاینت مورد نظر ما ۱۹۲.۱۶۸.۱.۲ می باشد. به دنبال این موضوع، سورس آی پی و یا آی پی منبع ما نیز آی پی خود کلاینت تعریف می شود؛ یعنی ۱۹۲.۱۶۸.۱.۲ .
در این پروسه، دیستینیشن یا DST همان سایتی است که توسط این کلاینت سرچ می شود. خوب حالا در طی اجرای دستور سرچ سایت گوگل، طبیعتاً SRCNAT انجام می شود و چیزی که باید تغییر کند IP سورس یا همان منبع کلاینت است. حال این سوال اینجا مطرح می شود که این IP بعد از تغییر به چه چیزی تبدیل می شود؟
پاسخ این سوال بسیار ساده و قابل پیش بینی است. به IP پابلیک. یعنی همان IP عمومی که برای اینترنت تعریف می شد. ۸۰.۲۱۰.۲۵.۲۱۹ . خوب در این حالت آی پی منبع عوض شد و اصطلاحاً گفته می شود که سورس نت یا SRCNAT رخ داده است.
خوب متوجه شدیم که اتفاقی که در SRCNAT می افتد از این قرار است که آی پی سورس کلاینت ما تغییر پیدا کرده و از یک آی پی پرایوت به یک آی پی عمومی تبدیل می شود. در این شرایط یک کلاینت با IP 80.210.25.219 در حال اتصال به اینترنت و دنیای بیرون از شبکه ی LAN خود می باشد و سایت GOOGLE.COM را سرچ می کند. در نهایت یک کلاینت برای اینکه بتواند به اینترنت و دنیای بیرون از شبکه ی کامپیوتری و به اصطلاح دنیای پابلیک متصل شود، حتماً باید سورس و منبعش عوض شود و اصطلاحاً سورس نَت یا SRCNAT برایش اتفاق بیفتد.
به زبان خیلی ساده تر، وقتی شما همین الان سایت گوگل را از سیستم خودتان سرچ می کنید، پروسه ی سورس نت به صورت خودکار برای شما رخ می دهد و آی پی پرایوت سیستم شما به یک آی پی پابلیک تبدیل شده و وارد دنیای اینترنت و یا همان شبکه ی پابلیک یا WAN می گردد و درخواست شما پیاده سازی می شود.اما؛ اینجا یک سوال مطرح می شود و آن هم این است که اگر خاطرتان باشد در پروسه ی کانفیگ مودم در درسنامه های قبلی، ما هیچ قابلیت و ابیلیتی به نام SOURCENAT را در تنظیمات مودم و سیستم مان اعمال نکردیم. در واقع برای انجام دادن این پروسه اصلاً برنامه ای به مودم و سیستم نداده ایم. پس چطور این کار امکان پذیر است؟
ببینید؛ در مودم های خانگی مثل D-LINK و یا TP-LINK عملاً قابلیت SRCNAT به صورت دیفالت و پیش فرض برای مودم روتر فعال شده است و نیازی به اعمال تنظیمات شما نیست. در واقع این تنظیمات پیش فرض به گونه ای هستند که اگر شما هم بخواهید امکان تغییر و ایجاد تنظیمات جدید در این قابلیت برای شما و کاربران دیگر وجود ندارد.
بیشترین تغییری که در مودم های این چنینی برای قابلیت SRCNAT تعریف می شود و دست شما برای تغییر آن باز است، این است که شما بتوانید این قابلیت را غیر فعال نمایید. البته همین پروسه هم آنقدرها رایج نیست و در همه ی مودم ها چنین قابلیتی تعریف نشده است.
اما در کل هیچ CONFIG و یا پروسه ی تنظیماتی خاصی برای سورس نت در مودم ها تعریف نشده است. پس در مودم های خانگی و معمولی اصلاً کاری از دست شما برای SRCNAT بر نخواهد آمد. اما برای مودم های حرفه ای و پیشرفته تر داستان کاملاً تغییر می کند. در واقع این شما هستید که تنظیمات SRCNAT را بر روی این مودم روترها اعمال می کنید.
بدین صورت که بعد ساختن کانکشن PPPOE و پیاده سازی آن بر روی روتر، حتماً باید دستور SRCNET بر روی تنظیمات اعمال شود تا کلاینت های عضو شبکه ی مورد نظر ما بتوانند به دنیای بیرون اتصال پیدا کنند. البته در این پروسه نیز این دسترسی از طریق تبدیل IP پرایوت به IP پابلیک انجام می شود.
پس نتیجه این شد که در مودم روترهای خانگی، به هیچ وجه امکان تغییر قابلیت سورس نت وجود ندارد و این قابلیت به صورت پیش فرض بر روی این مودم روترها اعمال شده است. ولی در مودم های پیشرفته و حرفه ای داستان این نیست و بعد راه اندازی کانکشن PPPOE باید دستور SRCNAT برای این مودم نوشته شود تا کلاینت ها بتوانند با دنیای خارج از شبکه ی کامپیوتری ارتباط برقرار کنند. ( لازم به ذکر است که نوشتن این دستور و اعمال این قابلیت در مودم های پیشرفته، نیاز به گذراندن دوره های پیشرفته تر دارد که در آینده به آن ها خواهیم پرداخت ) .
انواع SRCNAT
این قسمت را برای اطلاعات بیشتر شما تسلط کامل شما بر داستان و ماهیت SRCNAT آموزش می دهیم. در کل سورس نت سه نوع دارد که این سه نوع به شرح زیر می باشند :
STATIC
در این حالت تنها یک IP پرایوت به یک آی پی پابلیک تبدیل می شود. در واقع در سورس نت استاتیک، تنهای سورس یک کلاینت در کل شبکه ی کامپیوتری تغییر می کند. این حالت دقیقاً مشابه حالتی است که PPPOE فقط بر روی سیستم ما راه اندازی شده است و در این حالت فقط سیستم ماست که در حال استفاده از آی پی PUBLIC می باشد. البته بد نیست بدانید که در این حالت عملاً NAT اتفاق نمی افتد. چرا؟
چون زمانی که ما کانکشن PPPOE را فقط و فقط بر روی سیستم خودمان راه اندازی می کنیم، چه بخواهیم و چه نخواهیم همان IP PUBLIC به صورت پیش فرض به سیستم ما انتقال داده می شود. بنابراین اصلاً دیگر نیازی به تغییر سورس کلاینت و رخ دادن NAT نیست. چون سورس به صورت خودکار تغییر پیدا کرده است. در نهایت SRCNAT در حالت STATIC مشابه این حالت در شبکه ی کامپیوتری تعریف می شود.
DYNAMIC
اما دومین نوع از سورس نت ما حالت DYNAMIC است. در این حالت برعکس حالت استایتک، چند تا از کلاینت های فعال در شبکه ی LAN به یک شبکه ی WAN و خارجی متصل می شوند. در واقع در این حالت سورس نت فقط برای یک کلاینت رخ نمی دهد و چند تا کلاینت باهم تغییر سورس می دهند. نیاز است بدانید که این نوع NAT زیاد امن نیست و کاربرد زیادی هم ندارد؛ مگر تنها برای ISP ها!
OVERLOADING ( PAT )
اما حالت سوم یعنی حالت اور لودینگ یا همان پَت، روشی است که بسیار رایج است و در اکثر شرکت ها و مجموعه های بزرگ به کار برده می شود. البته این پروسه در شبکه های کامپیوتری خانگی و کوچک نیز کاربرد زیادی دارد. در حالت OVER LOADING یا PAT تعداد زیادی از کلاینت های فعال در شبکه ی کامپیوتری LAN شما می آیند و برای اتصال به دنیای بیرون تنها به یک IP عمومی وصل می شوند.
اما جالب است بدانید که این اتفاق با پورت های مختلف رخ می دهد. البته تا این قسمت از آموزش شما اطلاعات زیادی درباره ی پورت ها و نحوه ی کارکرد آن ها ندارید. اما در درسنامه های بعدی به صورت مفصل به این موضوع می پردازیم.
فعلاً در همین حد کافیست بدانید که شما با استفاده از پورت ها می توانید تعداد زیادی از کلاینت های فعال در یک شبکه ی کامپیوتری به یک آی پی پابلیک و عمومی و دنیای ایترنت، متصل کنید. پورت ها یکی از مهم ترین اعضای فعال در پروسه ی نت هستند. با استفاده از پورت ها دیگر نیازی نیست که برای هر IP داخلی و پرایوت، یک IP عمومی و پابلیک تعریف کنید.
DSTNAT چیست؟
خوب رسیدیم به دیستینیشن نت ها؛ پروسه ای که در DSTNAT رخ می دهد دقیقاً بر عکس پروسه ای که در SRCNAT اتفاق می افتد. یعنی در پروسه ی سورس نت، منبع و سورس کلایت تغییر پیدا می کند، اما در دیستینیشن نت، این درخواست و مقصد است که تغییر پیدا می کند. در دیستینیشن نت ما یک درخواستی را از دنیای بیرون به سمت دنیای پرایوت یک شبکه ی داخلی ارسال می کنیم.
به عنوان مثال یک کلاینتی را در نظر بگیرید که یک آی پی پابلیک یا عمومی دارد. مثلاً آی پی تعریف شده برای این کلاینت ۹۳.۱۱۵.۱۱۰.۱۱۱ می باشد. این آی پی یک آی پی عمومی است. حال اگر کلاینتی بخواهد با این آی پی به یک شبکه ی LAN متصل شود، آیا امکان ایت اتصال وجود دارد؟
طبیعتاً خیر؛ ما یاد گرفتیم که آی پی های عمومی برای شبکه های داخلی و محلی، به هیچ وجه قابل قبول و معتبر نیستند. از این رو این آی پی عمومی ابتدا باید به یک آی پی شخصی و محلی تبدیل شود تا اتصال برقرار گردد.
حالا تصور کنید که کلاینت با آی پی عمومی ما قصد دارد که به یک مرکز تلفن در شبکه محلی متصل شود. این مرکز تلفن یک آی پی پرایوت ۱۹۲.۱۶۸.۱.۱۰۰ را داراست. این مرکز تلفن با IP ذکر شده یک مرکز تلفن ایزابل است. اما برای تغییر آی پی عمومی به یک آی پی پرایوت ما به چه چیزی نیاز داریم؟
بله درست است، ما به یک روتر نیاز داریم. در واقع درخواست ما برای اینکه بتواند از یک آی پی پابلیک به یک آی پی پرایوت تبدیل شود، حتماً باید از مسیر یاب و یا روتر بگذرد. حالا ما یک IP پابلیک ۸۰.۲۱۰.۲۵.۲۱۹ و یک مرکز تلفن ایزابل داریم که طی پروسه ی سورس نت به دنیای بیرون متصل شده ، داریم.
از طرفی یک کلاینت دیگری هم داریم که IP پابلیک آن متفاوت است و این کلاینت نیز با همین آی پی به اینترنت متصل است. خوب حالا اتفاقی که می افتد این است که این کلاینت با آی پی پابلیک خودش ابتدا به آی پی پابلیک کلی ما یعنی ۸۰.۲۱۰.۲۵.۲۱۹ متصل می شود سپس به سمت مرکز تلفن ایزابل هدایت می شود.
دقیقا مشابه حالتی که در ابتدای درسنامه برایتان توضیح دادیم؛ شخصی را تصور کنید که از منزل و تلفن شخصی خودش، قصد دارد وارد شبکه ی پرایوت شرکتی شود و دوربین های مدار بسته ی شرکت را چک کند. در این مسیر، DST یا همان درخوسات ما تغییر می کند.
اما پروسه ای در این مسیر طی می شود بدین صورت است که درخواست اتصال از کلاینت برخوردار از آی پی پابلیک ارسال می شود. این درخواست به آِ پی پابلیک ۸۰.۲۱۰.۲۵.۲۱۹ می رسد و سپس به مرکز تلفن مورد نظر هدایت می شود. پس اینجاست که درخواست ما با یک IP عمومی به یک IP پرایوت تبدیل می شود. پس DSTNAT رخ می دهد.
نکته ی خیلی مهمی که درباره ی DSTNAT ها وجود دارد این است که این درخواست و قابلیت تا حد خیلی زیادی قابل برنامه ریزی است. دقیقاً بر عکس SRCNAT!در واقع بر عکس سورس نت ها شما می توانید انواع دیستینیشن نت ها را برای مودم روتر های تان بنویسید و آن ها را اعمال کنید. مثلاً خودتان تعیین کنید که فلان آی پی پابلیک مستقیماً به یک آی پی شخصی مشخص شده توسط خودتان، تبدیل شود.
به خاطر همین قابلیت، به DSTNAT ، پورت فورواردینگ PORT FPORWARDING هم گفته می شود. به این تعریف که درخواست ها ابتدا به لبه ی شبکه ارسال می شوند و سپس با یک پورت خاصی به سمت یک آی پی پرایوت و خاصی هدایت می گردند. این اتفاق طی سرویس DSTNAT رخ می دهد.
جمع بندی و سخن آخر
در این درسنامه یاد گرفتیم که NAT ها پروسه ی تبدیل آی پی غیر معتبر به معتبر را انجام می دهند. NAT به دو دسته و حالت تقسیم می شوند. این دسته بندی ها بر اساس مسیر درخواست ها تعریف می شوند. برای درخواست هایی که از داخل یک شبکه ی LAN به سمت شبکه عمومی یا WAN ارسال می شوند، SOURCNAT اتفاق می افتد که طی این پروسه سورس و منبع درخواست تغییر می کند .
اما در نوع دوم یعنی دیستینیشن نت، ارسال درخواست از یک شبکه ی WAN یا همان عمومی به سمت یک شبکه ی داخلی و یا LAN است. طی این پروسه خود درخواست است که تغییر پیدا می کند. کلام آخر اینکه DTNAT قابل برنامه ریزی است ولی SRCNAT چنین قابلیتی ندارد.برای کسب اطلاعات بیشتر در زمینه سانترال ، ویپ و شبکه با ما همراه باشید…