خطوط DSL و انواع آن (مقایسه)

نمونه های متفاوتی از تکنولوژی DSL تاکنون پياده سازی شده است :

● Asymmetric DSL)ADSL) . .درمدل فوق بدليل تفاوت سرعت دريافت و ارسال اطلاعات از واژه ” نامتقارن ” استفاده شده است . ماهيت عمليات انجام شده توسط کاربران اينترنت بگونه ای است که همواره حجم اطلاعات دريافتی بمراتب بيشتر از اطلاعات ارسالی است .

● High bit-rate DSL)HDSL) . سرعت مدل فوق در حد خطوط T1 است ( 1/5 مگابيت در ثانيه ) .سرعت دريافت و ارسال اطلاعا ت در روش فوق يکسان بوده و بمنظور ارائه خدمات نياز به دو خط مجزا نسبت به خط تلفن معمولی موجود است .

● ISDN DSL)ISDL) . مدل فوق در ابتدا در اختيار کاربران استفاده کننده از ISDN قرار گرفت. ISDL در مقايسه با ساير مدل های DSL دارای پايين ترين سرعت است . سرعت اين خطوط 144 کيلوبيت در ثانيه است ( دو جهت ) .

●Multirate Symmetric DSL)MSDSL ) . در مدل فوق سرعت ارسال و دريافت اطلاعات يکسان است . نرخ سرعت انتقال اطلاعات توسط مرکز ارائه دهنده سرويس DSL ، تنظيم می گردد.

● Rate Adaptive)RADSL) . متداولترين مدل ADSL بوده و اين امکان را به مودم خواهد داد که سرعت برقراری ارتباط را با توجه به عواملی نظير مسافت و کيفيت خط تعيين نمايد.

● Symmetric DSL)SDLS ) . سرعت ارسال و دريافت اطلاعات يکسان است . در مدل فوق بر خلاف HDSL که از دو خط مجزا استفاده می نمايد ، صرفا” به يک خط نياز خواهد بود.

● Very high bit-rate)VDSL ) . مدل فوق بصورت “نامتقارن ” بوده و در مسافت های کوتاه بهمراه خطوط مسی تلفن استفاده می گردد.

● Voice-over DSL)VoDSL) . يک نوع خاص از IP تلفنی است . در مدل فوق چندين خط تلفن ترکيب و به يک خط تلفن تبديل تبديل می شوند.

جدول زير نمونه های متفاوت تکنولوژی DSL را نشان می دهد .

نوع DSL
حداکثر سرعت ارسال
حداکثر سرعت دريافت
حداکثر مسافت
خطوط مورد نياز
امکان استفاده از تلفن

ADSL
800 Kbps
8 Mbps
18,000 ft
(5,500 m)
1
Yes

HDSL
1.54 Mbps
1.54 Mbps
12,000 ft
(3,650 m)
2
No

IDSL
144 Kbps
144 Kbps
35,000 ft
(10,700 m)
1
No

MSDSL
2 Mbps
2 Mbps
29,000 ft
(8,800 m)
1
No

RADSL
1 Mbps
7 Mbps
18,000 ft
(5,500 m)
1
Yes

SDSL
2.3 Mbps
2.3 Mbps
22,000 ft
(6,700 m)
1
No

VDSL
16 Mbps
52 Mbps
4,000 ft
(1,200 m)
1
Yes

VPN

Network يك شبكه خصوصي مجازي است كه ارتباطات كپسوله‌شده (Encapsulated)، رمزنگاري‌شده (Encrypted) و تصديق‌شده (Authenticated) را با استفاده از سيستم مسيريابي زيرساخت شبكه از طريق يك شبكه عمومي مانند اينترنت ايجاد و مديريت مي‌كند. اين ارتباط مي‌تواند بين دو سيستم عادي برقرار شده و يا براي ارتباط امن سرور يك سازمان با شعب آن در سراسر جهان به‌كار رود. VPN براي كاربران تجاري بيش از يك ضرورت و بلكه نعمتي است كه راهي مطمئن، امن و در عين حال ارزان براي دسترسي به فايل‌هايشان در شبكه محل كار خود (وقتي كه آن‌ها در مسافرت، خانه و يا در راه هستند) در اختيار مي‌گذارد. كاربران در حالت عادي براي تماس به‌صورت Remote (راه دور) با سرور نياز دارند كه به‌صورت مستقيم و توسط يك ارتباط DialUp به سرور RAS متصل شوند ، اما اين‌كار دو اشكال اساسي دارد … لطفاً ادامه مقاله را بخوانيد.
استفاده از RAS سرور و خط تلفن‌ براي برقراري ارتباط دو مشكل عمده دارد كه عبارتند از:
1) در صورتي‌كه RAS سرور و سيستم تماس‌گيرنده در يك استان قرار نداشته باشند، علاوه بر لزوم پرداخت هزينه زياد، سرعت ارتباط نيز پايين خواهد آمد و اين مسأله وقتي بيشتر نمود پيدا مي كند كه كاربر نياز به ارتباطي با سرعت مناسب داشته باشد.

 

2) در صورتي‌كه تعداد اتصالات راه دور در يك لحظه بيش از يك مورد باشد، RAS سرور به چندين خط تلفن و مودم احتياج خواهد داشت كه باز هم مسأله هزينه مطرح مي گردد.

 

اما با ارتباط VPN مشكلات مذكور به‌طور كامل حل مي‌شود و كاربر با اتصال به ISP محلي به اينترنت متصل شده و VPN بين كامپيوتر كاربر و سرور سازمان از طريق اينترنت ايجاد مي‌گردد. ارتباط مذكور مي تواند از طريق خط DialUpو يا خط اختصاصي مانند Leased Line برقرار شود.

 

به‌هر حال اكنون مسأله اين نيست كه طريقه استفاده از VPN چيست، بلكه مسأله اين است كه كداميك از تكنولوژي‌هاي VPN بايد مورد استفاده قرار گيرند. پنج نوع پروتكل در VPN مورد استفاده قرار مي گيرد كه هركدام مزايا و معايبي دارند . در اين مقاله ما قصد داريم در مورد هركدام از اين پروتكل‌ها بحث كرده و آنها را مقايسه كنيم . البته نتيجه گيري نهايي به هدف شما در استفاده از VPN بستگي دارد.

 

ارتباط سيستم‌ها در يك اينترانت
در برخي سازمان‌ها، اطلاعات يك دپارتمان خاص به‌دليل حساسيت بالا، به‌طور فيزيكي از شبكه اصلي داخلي آن سازمان جدا گرديده است. اين مسأله عليرغم محافظت از اطلاعات آن دپارتمان، مشكلات خاصي را نيز از بابت دسترسي كاربران دپارتمان مذكور به شبكه‌هاي خارجي به‌وجود مي‌آورد.

 

VPN اجازه مي دهد كه شبكه دپارتمان مذكور به‌صورت فيزيكي به شبكه مقصد مورد نظر متصل گردد، اما به‌صورتي‌كه توسط VPN سرور، جدا شده است (با قرار گرفتن VPN سرور بين دو شبكه).

 

البته لازم به يادآوري است كه نيازي نيست VPN سرور به‌صورت يك Router مسيرياب بين دو شبكه عمل نمايد، بلكه كاربران شبكه مورد نظر علاوه بر اين‌كه خصوصيات و Subnet شبكه خاص خود را دارا هستند به VPN سرور متصل شده و به اطلاعات مورد نظر در شبكه مقصد دست مي يابند.

 

علاوه بر اين تمام ارتباطات برقرار شده از طريق VPN، مي‌توانند به منظور محرمانه ماندن رمزنگاري شوند. براي كاربراني كه داراي اعتبارنامه مجاز نيستند، اطلاعات مقصد به‌صورت خودكار غير قابل رويت خواهند بود .

 

مباني Tunneling
Tunneling يا سيستم ايجاد تونل ارتباطي با نام كپسوله كردن (Encapsulation) نيز شناخته مي‌شود كه روشي است براي استفاده از زيرساخت يك شبكه عمومي جهت انتقال اطلاعات. اين اطلاعات ممكن است از پروتكل‌هاي ديگري باشد. اطلاعات به‌جاي اين‌كه به‌صورت اصلي و Original فرستاده شوند، با اضافه كردن يك Header (سرايند) كپسوله مي‌شوند.

 

اين سرايند اضافي كه به پكت متصل مي‌شود، اطلاعات مسيريابي را براي پكت فراهم مي كند تا اطلاعات به‌صورت صحيح، سريع و فوري به مقصد برسند. هنگامي كه پكت‌هاي كپسوله شده به مقصد رسيدند، سرايندها از روي پكت برداشته شده و اطلاعات به‌صورت اصلي خود تبديل مي‌شوند. اين عمليات را از ابتدا تا اتمام كار Tunneling مي‌نامند.

 

 

نگهداري تونل
مجموعه عمليات متشكل از پروتكل نگهداري تونل و پروتكل تبادل اطلاعات تونل به‌نام پروتكل Tunneling شناخته مي‌شوند . براي اين‌كه اين تونل برقرار شود، هم كلاينت و هم سرور مي‌بايست پروتكل Tunneling يكساني را مورد استفاده قرار دهند. از جمله پروتكل‌هايي كه براي عمليات Tunneling مورد استفاده قرار مي‌گيرند PPTP و L2TP هستند كه در ادامه مورد بررسي قرار خواهند گرفت.

 

پروتكل نگهداري تونل
پروتكل نگهداري تونل به‌عنوان مكانيسمي براي مديريت تونل استفاده مي‌شود. براي برخي از تكنولوژي‌هايTunneling مانند PPTP و L2TP يك تونل مانند يك Session مي‌باشد، يعني هر دو نقطه انتهايي تونل علاوه بر اين‌كه بايد با نوع تونل منطبق باشند، مي‌بايست از برقرار شدن آن نيز مطلع شوند.

 

هرچند بر خلاف يك Session، يك تونل دريافت اطلاعات را به‌صورتي قابل اطمينان گارانتي نمي‌كند و اطلاعات ارسالي معمولاً به‌وسيله پروتكلي بر مبناي ديتاگرام مانندUDP هنگام استفاده از L2TP يا TCP براي مديريت تونل و يك پروتكل كپسوله كردن مسيريابي عمومي اصلاح شده به‌نام GRE براي وقتي كه PPTP استفاده مي گردد، پيكربندي و ارسال مي‌شوند.

 

ساخته شدن تونل
يك تونل بايد قبل از اين‌كه تبادل اطلاعات انجام شود، ساخته شود. عمليات ساخته شدن تونل به‌وسيله يك طرف تونل يعني كلاينت آغاز مي‌شود و طرف ديگر تونل يعني سرور، تقاضاي ارتباط Tunneling را دريافت مي‌كند. براي ساخت تونل يك عمليات ارتباطي مانند PPP انجام مي‌شود.

 

سرور تقاضا مي‌كند كه كلاينت خودش را معرفي كرده و معيارهاي تصديق هويت خود را ارائه نمايد. هنگامي كه قانوني بودن و معتبر بودن كلاينت مورد تأييد قرار گرفت، ارتباط تونل مجاز شناخته شده و پيغام ساخته شدن تونل توسط كلاينت به سرور ارسال مي‌گردد و سپس انتقال اطلاعات از طريق تونل شروع خواهد شد.

 

براي روشن شدن مطلب، مثالي مي‌زنيم. اگر محيط عمومي را، كه غالبا نيز همين‌گونه است، اينترنت فرض كنيم، كلاينت پيغام ساخته شدن تونل را از آدرس IP كارت شبكه خود به‌عنوان مبدا به آدرس IP مقصد يعني سرور ارسال مي‌كند. حال اگر ارتباط اينترنت به‌صورت DialUp از جانب كلاينت ايجاد شده باشد، كلاينت به‌جاي آدرس NIC خود، آدرس IP را كه ISP به آن اختصاص داده به‌عنوان مبدا استفاده خواهد نمود.

 

 

نگهداري تونل
در برخي از تكنولوژي‌هاي Tunneling مانند L2TP و PPTP، تونل ساخته شده بايد نگهداري و مراقبت شود . هر دو انتهاي تونل بايد از وضعيت طرف ديگر تونل باخبر باشند. نگهداري يك تونل معمولا از طريق عملياتي به‌نام نگهداري فعال (KA) اجرا مي‌گردد كه طي اين پروسه به‌صورت دوره زماني مداوم از انتهاي ديگر تونل آمارگيري مي‌شود. اين‌كار هنگامي كه اطلاعاتي در حال تبادل نيست، انجام مي پذيرد.

 

پروتكل تبادل اطلاعات تونل
زماني كه يك تونل برقرار مي‌شود، اطلاعات مي‌توانند از طريق آن ارسال گردند. پروتكل تبادل اطلاعات تونل، اطلاعات را كپسوله كرده تا قابل عبور از تونل باشند. وقتي كه تونل كلاينت قصد ارسال اطلاعات را به تونل سرور دارد، يك سرايند (مخصوص پروتكل تبادل اطلاعات) را بر روي پكت اضافه مي‌كند. نتيجه اين‌كار اين است كه اطلاعات از طريق شبكه عمومي قابل ارسال شده و تا تونل سرور مسيريابي مي‌شوند.

 

تونل سرور پكت‌ها را دريافت كرده و سرايند اضافه شده را از روي اطلاعات برداشته و سپس اطلاعات را به‌صورت اصلي درمي آورد.

 

انواع تونل
تونل‌ها به دو نوع اصلي تقسيم مي‌گردند: اختياري و اجباري.

 

تونل اختياري
تونل اختياري به‌وسيله كاربر و از سمت كامپيوتر كلاينت طي يك عمليات هوشمند، پيكربندي و ساخته مي‌شود. كامپيوتر كاربر نقطه انتهايي تونل بوده و به‌عنوان تونل كلاينت عمل مي‌كند. تونل اختياري زماني تشكيل مي‌شود كه كلاينت براي ساخت تونل به سمت تونل سرور مقصد داوطلب شود.

 

هنگامي‌كه كلاينت به‌عنوان تونل كلاينت قصد انجام عمليات دارد، پروتكل Tunneling موردنظر بايد بر روي سيستم كلاينت نصب گردد. تونل اختياري مي‌تواند در هريك از حالت‌هاي زير اتفاق بيفتد:

 

- كلاينت ارتباطي داشته باشد كه بتواند ارسال اطلاعات پوشش گذاري شده را از طريق مسيريابي به سرور منتخب خود انجام دهد .

 

- كلاينت ممكن است قبل از اين‌كه بتواند تونل را پيكربندي كند، ارتباطي را از طريق DialUp براي تبادل اطلاعات برقرار كرده باشد. اين معمول‌ترين حالت ممكن است. بهترين مثال از اين حالت، كاربران اينترنت هستند. قبل از اين‌كه يك تونل براي كاربران بر روي اينترنت ساخته شود، آن‌ها بايد به ISP خود شماره‌گيري كنند و يك ارتباط اينترنتي را تشكيل دهند.

 

تونل اجباري
تونل اجباري براي كاربراني پيكر بندي و ساخته مي شود كه دانش لازم را نداشته و يا دخالتي در ساخت تونل نخواهند داشت. در تونل اختياري، كاربر، نقطه نهايي تونل نيست. بلكه يك Device ديگر بين سيستم كاربر و تونل سرور، نقطه نهايي تونل است كه به‌عنوان تونل كلاينت عمل مي‌نمايد.

 

اگر پروتكل Tunneling بر روي كامپيوتركلاينت نصب و راه اندازي نشده و در عين حال تونل هنوز مورد نياز و درخواست باشد، اين امكان وجود دارد كه يك كامپيوتر ديگر و يا يك Device شبكه ديگر، تونلي از جانب كامپيوتر كلاينت ايجاد نمايد.

 

اين وظيفه‌اي است كه به يك متمركزكننده دسترسي (AC) به تونل، ارجاع داده شده است. در مرحله تكميل اين وظيفه، متمركزكننده دسترسي يا همان AC بايد پروتكل Tunneling مناسب را ايجاد كرده و قابليت برقراري تونل را در هنگام اتصال كامپيوتر كلاينت داشته باشد. هنگامي‌كه ارتباط از طريق اينترنت برقرار مي شود، كامپيوتر كلاينت يك تونل تأمين شده (NAS (Network Access Service را از طريق ISP احضار مي‌كند.

 

به‌عنوان مثال يك سازمان ممكن است قراردادي با يك ISP داشته باشد تا بتواند كل كشور را توسط يك متمركزكننده دسترسي به‌هم پيوند دهد. اين AC مي‌تواند تونل‌هايي را از طريق اينترنت برقرار كند كه به يك تونل سرور متصل باشند و از آن طريق به شبكه خصوصي مستقر در سازمان مذكور دسترسي پيدا كنند.

 

اين پيكربندي به‌عنوان تونل اجباري شناخته مي‌شود، به‌دليل اين‌كه كلاينت مجبور به استفاده از تونل ساخته شده به‌وسيله AC شده است. يك‌بار كه اين تونل ساخته شد، تمام ترافيك شبكه از سمت كلاينت و نيز از جانب سرور به‌صورت خودكار از طريق تونل مذكور ارسال خواهد شد.

 

به‌وسيله اين تونل اجباري، كامپيوتر كلاينت يك ارتباط PPP مي‌سازد و هنگامي‌كه كلاينت به NAS، از طريق شماره‌گيري متصل مي‌شود، تونل ساخته مي‌شود و تمام ترافيك به‌طور خودكار از طريق تونل، مسيريابي و ارسال مي‌گردد. تونل اجباري مي تواند به‌طور ايستا و يا خودكار و پويا پيكربندي شود.

 

تونل‌هاي اجباري ايستا
پيكربندي تونل‌هاي Static معمولاً به تجهيزات خاص براي تونل‌هاي خودكار نياز دارند. سيستم Tunneling خودكار به‌گونه‌اي اعمال مي‌شود كه كلاينت‌ها به AC از طريق شماره‌گيري (Dialup) متصل مي‌شوند. اين مسأله احتياج به خطوط دسترسي محلي اختصاصي و نيز تجهيزات دسترسي شبكه دارد كه به اين‌ها هزينه‌هاي جانبي نيز اضافه مي‌گردد.

 

براي مثال كاربران احتياج دارند كه با يك شماره تلفن خاص تماس بگيرند، تا به يك AC متصل شوند كه تمام ارتباطات را به‌طور خودكار به يك تونل سرور خاص متصل مي‌كند. در طرح‌هاي Tunneling ناحيه‌اي، متمركزكننده دسترسي بخشي از User Name را كه Realm خوانده مي‌شود بازرسي مي‌كند تا تصميم بگيرد در چه موقعيتي از لحاظ ترافيك شبكه، تونل را تشكيل دهد.

 

تونل‌هاي اجباري پويا
در اين سيستم انتخاب مقصد تونل براساس زماني كه كاربر به AC متصل مي شود، ساخته مي‌شود. كاربران داراي Realm يكسان، ممكن است تونل‌هايي با مقصدهاي مختلف تشكيل بدهند. البته اين امر به پارامترهاي مختلف آن‌ها مانند UserName، شماره تماس، محل فيزيكي و زمان بستگي دارد.

 

تونل‌هاي Dynamic، داراي قابليت انعطاف عالي هستند. همچنين تونل‌هاي پويا اجازه مي‌دهند كه AC به‌عنوان يك سيستم Multi-NAS عمل كند، يعني اينكه همزمان هم ارتباطات Tunneling را قبول مي كند و هم ارتباطات كلاينت‌هاي عادي و بدون تونل را. در صورتي كه متمركزكننده دسترسي بخواهد نوع كلاينت تماس‌گيرنده را مبني بر داراي تونل بودن يا نبودن از قبل تشخيص بدهد، بايد از همكاري يك بانك اطلاعاتي سود ببرد.

 

براي اين‌كار بايد AC اطلاعات كاربران را در بانك اطلاعاتي خود ذخيره كند كه بزرگترين عيب اين مسأله اين است كه اين بانك اطلاعاتي به خوبي قابل مديريت نيست.

 

بهترين راه‌حل اين موضوع، راه‌اندازي يك سرور RADIUS است، سروري كه اجازه مي‌دهد كه تعداد نامحدودي سرور، عمل شناسايي Userهاي خود را بر روي يك سرور خاص يعني همين سرور RADIUS انجام دهند، به‌عبارت بهتر اين سرور مركزي براي ذخيره و شناسايي و احراز هويت نمودن كليه كاربران شبكه خواهد بود.

 

پروتكل‌هاي VPN
عمده‌ترين پروتكل‌هايي كه به‌وسيله ويندوز 2000 براي دسترسي به VPN استفاده مي شوند
عبارتند از: L2TP ،Ipsec ،PPTP ،IP-IP

 

البته پروتكل امنيتي SSL نيز جزء پروتكل‌هاي مورد استفاده در VPN به شمار مي‌آيد، ولي به‌علت اين‌كه SSL بيشتر بر روي پروتكل‌هاي HTTP ،LDAP ،POP3 ،SMTP و … مورد استفاده قرار مي‌گيرد، بحث در مورد آن را به فرصتي ديگر موكول مي‌كنيم.

 

پروتكلPPTP
پروتكل Tunneling نقطه به نقطه، بخش توسعه يافته‌اي از پروتكل PPP است كه فريم‌هاي پروتكل PPP را به‌صورت
IP براي تبادل آن‌ها از طريق يك شبكه IP مانند اينترنت توسط يك سرايند، كپسوله مي‌كند. اين پروتكل مي‌تواند در شبكه‌هاي خصوصي از نوع LAN-to-LAN نيز استفاده گردد.

 

پروتكل PPTP به‌وسيله انجمني از شركت‌هاي مايكروسافت، Ascend Communications ،3com ،ESI و US Robotics ساخته شد.

 

PPTP يك ارتباط TCP را (كه يك ارتباط Connection Oriented بوده و پس از ارسال پكت منتظر Acknowledgment آن مي‌ماند) براي نگهداري تونل و فريم‌هاي PPP كپسوله شده توسط (GRE (Generic Routing Encapsulation كه به معني كپسوله كردن مسيريابي عمومي است،

 

براي Tunneling كردن اطلاعات استفاده مي‌كند. ضمناً اطلاعات كپسوله‌شده PPP قابليت رمزنگاري و فشرده شدن را نيز دارا هستند.

 

تونل‌هاي PPTP بايد به‌وسيله مكانيسم گواهي همان پروتكل PPP كه شامل (EAP ،CHAP ،MS-CHAP ،PAP)مي‌شوند، گواهي شوند. در ويندوز 2000 رمزنگاري پروتكل PPP فقط زماني استفاده مي‌گردد كه پروتكل احراز هويت يكي از پروتكل‌هاي EAP ،TLS و يا MS-CHAP باشد.

 

بايد توجه شود كه رمزنگاري PPP، محرمانگي اطلاعات را فقط بين دو نقطه نهايي يك تونل تأمين مي‌كند و در صورتي‌كه به امنيت بيشتري نياز باشد، بايد از پروتكل Ipsec استفاده شود.

 

پروتكل L2TP
پروتكل L2TP تركيبي است از پروتكل‌هاي PPTP و (L2F (Layer 2 Forwarding كه توسط شركت سيسكو توسعه يافته است. اين پروتكل تركيبي است از بهترين خصوصيات موجود در L2F و PPTP.

 

L2TP نوعي پروتكل شبكه است كه فريم‌هاي PPP را براي ارسال بر روي شبكه‌هاي IP مانند اينترنت و علاوه بر اين براي شبكه‌هاي مبتني بر X.25 ،Frame Relay و يا ATM كپسوله مي‌كند.

 

هنگامي‌كه اينترنت به‌عنوان زيرساخت تبادل اطلاعات استفاده مي‌گردد، L2TP مي‌تواند به‌عنوان پروتكل
Tunneling از طريق اينترنت مورد استفاده قرار گيرد.

 

L2TP براي نگهداري تونل از يك سري پيغام‌هاي L2TP و نيز از پروتكل UDP (پروتكل تبادل اطلاعات به‌صورتConnection Less كه پس از ارسال اطلاعات منتظر دريافت Acknowledgment نمي‌شود و اطلاعات را، به مقصد رسيده فرض مي‌كند) استفاده مي‌كند.

 

در L2TP نيز فريم‌هاي PPP كپسوله شده مي‌توانند همزمان علاوه بر رمزنگاري شدن، فشرده نيز شوند. البته مايكروسافت پروتكل امنيتي Ipsec (كه به‌طور مفصل در شماره 47 ماهنامه شبكه تحت عنوان “امنيت اطلاعات در حين انتقال به‌وسيله IPsec ” معرفي شده) را به‌جاي رمزنگاري PPP توصيه مي كند. ساخت تونل L2TP نيز بايد همانند PPTP توسط مكانيسم (PPP EAP ،CHAP ،MS-CHAP ،PAP) بررسي و تأييد شود.

 

PPTP در مقابلL2TP
هر دو پروتكل PPTP و L2TP از پروتكل PPP براي ارتباطات WAN استفاده مي كنند تا نوعي اطلاعات ابتدايي براي ديتا را فراهم كنند و سپس يك سرايند اضافه براي انتقال اطلاعات از طريق يك شبكه انتقالي به پكت الحاق بنمايند. هرچند اين دو پروتكل در برخي موارد نيز با هم تفاوت دارند. برخي از اين تفاوت‌ها عبارتند از:

 

1- شبكه انتقال كه PPTP احتياج دارد، بايد يك شبكه IP باشد. ولي L2TP فقط به يك تونل احتياج دارد تا بتواند ارتباط Point-to-Point را برقرار كند. حال اين تونل مي تواند بر روي يك شبكه IP باشد و يا بر روي شبكه‌هاي ديگر مانند X.25 و يا ATM ،Frame Relay.

 

2- L2TP قابليت فشرده‌سازي سرايند را داراست. هنگامي‌كه فشرده‌سازي سرايند انجام مي‌گيرد، L2TP با حجم 4 بايت عمل مي‌كند، در حالي‌كه PPTP با حجم 6 بايت عمل مي‌نمايد.

 

3- L2TP متد احراز هويت را تأمين مي‌كند، در حالي‌كه PPTP اين‌گونه عمل نمي‌كند، هرچند وقتي‌كه PPTP يا L2TP از طريق پروتكل امنيتي IPsec اجرا مي‌شوند، هر دو، متد احراز هويت را تأمين مي‌نمايند.

 

4- PPTP رمزنگاري مربوط به PPP را استفاده مي‌كند، ولي L2TP از پروتكل Ipsec براي رمزنگاري استفاده مي‌نمايد.

 

پروتكل Ipsec
Ipsec يك پروتكل Tunneling لايه سوم است كه از متد ESP براي كپسوله كردن و رمزنگاري اطلاعات IP براي تبادل امن اطلاعات از طريق يك شبكه كاري IP عمومي يا خصوصي پشتيباني مي‌كند. IPsec به‌وسيله متد ESP مي‌تواند اطلاعات IP را به‌صورت كامل كپسوله كرده و نيز رمزنگاري كند.

 

به محض دريافت اطلاعات رمزگذاري شده، تونل سرور، سرايند اضافه‌شده به IP را پردازش كرده و سپس كنار مي‌گذارد و بعد از آن رمزهاي ESP و پكت را باز مي‌كند. بعد از اين مراحل است كه پكت IP به‌صورت عادي پردازش مي‌شود. پردازش عادي ممكن است شامل مسيريابي و ارسال پكت به مقصد نهايي آن باشد.

 

 

پروتكل IP-IP
اين پروتكل كه با نام IP-in-IP نيز شناخته مي‌شود، يك پروتكل لايه سوم يعني لايه شبكه است. مهمترين استفاده پروتكل IP-IP براي ايجاد سيستم Tunneling به‌صورت Multicast است كه در شبكه‌هايي كه سيستم مسيريابي Multicast را پشتيباني نمي‌كنند كاربرد دارد. ساختار پكت IP-IP تشكيل شده است از: سرايند IP خارجي، سرايند تونل، سرايند IP داخلي و اطلاعات IP. اطلاعات IP مي‌تواند شامل هر چيزي در محدوه IP مانند TCP ،UDP ،ICMP و اطلاعات اصلي پكت باشد.

 

مديريت VPN
در بيشتر موارد مديريت يك VPN مانند مديريت يك RAS سرور (به‌طور خلاصه، سروري كه ارتباط‌ها و Connection هاي برقرار شده از طريق راه دور را كنترل و مديريت مي‌كند)، مي‌باشد. البته امنيت VPN بايد به دقت توسط ارتباطات اينترنتي مديريت گردد.

 

مديريت كاربران VPN
بيشتر مديران شبكه براي مديريت كاربران خود از يك پايگاه داده مديريت كننده اكانت‌ها بر روي كامپيوتر DC و يا از سرور RADIUS استفاده مي‌نمايند. اين كار به سرور VPN اجازه مي‌دهد تا اعتبارنامه احراز هويت كاربران را به يك سيستم احراز هويت مركزي ارسال كند.

 

مديريت آدرس‌ها و Name Serverها
سرور VPN بايد رشته‌اي از آدرس‌هاي IP فعال را در خود داشته باشد تا بتواند آن‌ها را در طول مرحله پردازش ارتباط از طريق پروتكل كنترل IP به‌نام IPCP به درگاه‌هاي VPN Server و يا Clientها اختصاص دهد.

 

در VPNهايي كه مبتني بر ويندوز 2000 پيكربندي مي‌شوند، به‌صورت پيش‌فرض، IP آدرس‌هايي كه به Clientهاي VPN اختصاص داده مي‌شود، از طريق سرور DHCP گرفته مي‌شوند.

 

البته همان‌طور كه قبلاً گفته شد شما مي‌توانيد يك رشته IP را به‌صورت دستي يعني ايستا به‌جاي استفاده از DHCP اعمال كنيد. ضمنا ًVPN Server بايد توسط يك سيستم تأمين‌كننده نام مانند DNS و يا WINS نيز پشتيباني شود تا بتواند سيستم IPCP را به مورد اجرا بگذارد.

 

 

پياده سازي سرويسهاي دايركتوري (Active Directory)

راه‌اندازي يك سرور Dhcp

اشاره :
يكي از ابتدايي‌ترين كارها در يك شبكه، اختصاص دادن آدرس IP به كلا‌ينت‌ها است. البته انواع مختلفي از سرورهاي DHCP اين كار را انجام مي‌دهند. با اين حال شما مي‌توانيد ويندوز 2003 سرور را به عنوان DHCP نيز تنظيم كنيد. در اين مقاله نحوه انجام اين كار را آموزش خواهيم داد.

سال‌ها پيش براي شركتي كار مي‌كردم كه سياست‌هاي عجيبي داشت. يكي از سياست‌هاي موجود در هنگام حضور من در آنجا اين بود كه همه كامپيوترها بايد يك IP ثابت (Static) داشته باشند. استفاده از سرورهاي DHCP نيز به دلا‌يل امنيتي ممنوع بود. نتيجه همه اين سياست‌ها، كابوس نگهداري و تعمير بود.

واضح است كه تعدادي از سرورها بايد از IP ثابت استفاده نمايند. اما بسيار معمول است كه در يك شبكه، كلا‌ينت‌ها از IP هاي ديناميك استفاده كنند. در يك نگاه كلي، استفاده از IP ثابت براي كلا‌ينت‌ها فقط در شبكه‌هاي كوچك عملي است. متأسفانه، شبكه‌‌اي كه من از آن صحبت كردم، همه‌چيز بود؛ غير از كوچك بودن! اين شبكه 25هزار ايستگاه كاري داشت!

وضعيت شبكه‌اي كه گفتم، به چند دليل وحشتناك بود. براي مبتدي‌ها، هنگامي كه يك هاردديسك دچار مشكل ‌مي‌شد، بايد قبل از راه‌اندازي ويندوز، يك نفر، IP اختصاص يافته به آن كامپيوتر را تشخيص مي‌داد. به راحتي مي‌توانيد تصور كنيد كه پيدا كردن IP مذكور بين 25 هزار IP موجود، چه كار دشواري بود. هيچ فهرست جامعي از IP هاي اختصاص يافته وجود نداشت.

هر ساختمان، بلوك IP مربوط به خود را مديريت مي‌كرد و بدتر از همه آن‌كه، هيچ استانداردي براي مديريت آدرس‌ها، موجود نبود. گاه‌گاهي شخصي آدرس يك IP را واردمي‌كرد كه با IP شخص ديگري تداخل داشت و اين مسئله باعث مي‌شد شخص ديگر نيز نتواند از شبكه استفاده ‌نمايد. اين داستان نشان مي‌دهد، استفاده از IP ديناميك در شبكه ايده خوبي است. خوشبختانه، تنظيم كردن ويندوز 2003 سرور به عنوان يك DHCP كار بسيار آساني است.

در بسياري از موارد يك سرور DHCP بار بسيار كمي را به سرورهاي شما تحميل مي‌كند. از اين جهت به جاي آن‌كه آن را در يك سرور اختصاصي نصب كنيد، مي‌توانيد در سرورهاي موجود خود DHCP را نيز نصب كنيد.

اكنون به بررسي نحوه نصب و تنظيم سرويس DHCP در ويندوز 2003 سرور و توضيح نكاتي در مورد تنظيمات DHCP مي‌پردازيم.

جلوگيري از تداخل آدرس‌هاي IP
همان‌طور كه در ادامه خواهيد ديد، اكتيودايركتوري براي جلوگيري از قرارگيري DHCPهاي مخفي در شبكه شما كاربرد دارد. ايده اين عمل آن است كه شما نمي‌خواهيد سرورهاي تأييد نشده كه به اختصاص IP به كامپيوترهاي شبكه شما مي‌پردازند را داشته باشيد.

ولي به هرحال اين مكانيسم حفاظتي فقط براي DHCPهايي كه از سيستم‌عامل ويندوز استفاده مي‌كنند و با اكتيودايركتوري ارتباط برقرار مي‌كنند، كارساز است. زيرا مايكروسافت DHCP را ابداع نكرده، بنابراين سرورهاي DHCP فقط مختص شبكه‌هاي ويندوزي نيستند.

وقتي بسياري از مردم در مورد سرور DHCP فكر مي‌كنند؛ ويندوز، لينوكس، يونيكس و شايد هم نت‌ور و مكينتاش را به عنوان سرور DHCP تلقي مي‌كنند. ولي در اصل اينجا، تنها سرورهايي DHCPهستند كه اگر در شبكه به‌طور غيرمجاز وارد شوند، شما از وجود آن‌ها مطلع خواهيد شد. (يا حداقل اميدوارم كه مطلع شويد).

معمول‌ترين سرورهاي DHCP غيرمجاز مسيرياب‌هايي كه به همراه DHCP توكار (Built-in) عرضه مي‌شوند، هستند. براي مثال، AccessPoint‌هاي شبكه‌هاي بي‌سيم به قيمت‌هاي بسيار ارزان فروخته مي‌شوند.

تعداد زيادي AP شبكه‌هاي بي‌سيم با سرور DHCP توكار عرضه مي‌شوند، كه در حال عادي نيز فعال هستند به‌نوعي‌كه اين دستگاه‌ها براي اختصاص IP در محدوده 192.168x.x به هر كلا‌ينتي (باسيم و بي‌سيم) كه آن را درخواست كند، تنظيم شده‌اند.

سرويس‌هاي DHCP فقط به AP ‌هاي بي‌سيم نيز محدود نمي‌شوند. شما احتمالا‌ً مسيرياب‌هايي را كه براي متصل كردن يك شبكه كوچك به اينترنت باندپهن استفاده مي‌شوند ديده‌ايد. اين مسيرياب‌ها معمولا‌ً با يك فايروال و سرويس DHCP توكار عرضه مي‌گردند.

يك سرور DHCP مي‌تواند مبتني بر نرم‌افزار نيز باشد. براي مثال، اغلب ويندوزها از يك دهه گذشته تاكنون با سرويسي به نام به اشتراك‌گذاري ارتباط اينترنت (ICS) عرضه مي‌شوند. ايده‌اي كه ICS براساس آن ساخته شده آن است كه يك كامپيوتر ارتباط اينترنت خود را با ساير كامپيوترهاي موجود در شبكه به اشتراك گذارد. سرويس ICS مبتني‌بر DHCP به‌طور خودكار نصب مي‌شود.

ولي وجود DHCP و ICS به طور همزمان مي‌تواند براي شبكه مشكل‌ساز باشد. بهترين ترفندي كه براي بهبود كاركرد سرور DHCP مي‌توانيد به كار بگيريد، آن است كه مراقب باشيد محدوده آدرسي كه براي آن تعيين مي‌كنيد با ساير سرورهاي DHCP موجود در شبكه همخواني نداشته باشد. اگر سرورهاي DHCP ديگري در شبكه داريد، مطمئن شويد كه براي تخصيص آدرس IP مناسب به خوبي تنظيم شده‌اند.

شكل 1
براي مشاهده در ابعاد بزرگتر روي تصاوير كليك كنيد.

شكل 2

شكل 3

شكل 4

شكل 5

شكل 6

داشتن چندين سرور DHCP در يك شبكه كاملا‌ً منطقي است، زيرا درجه‌اي از تحمل خطا را در شبكه شما فراهم مي‌كند. به هر حال بايد از اختصاص دادن IP مناسب كه با DHCP ديگر تداخل نداشته باشد اطمينان پيدا كنيد.

اگر از وجود DHCP در شبكه خود آگاه نيستيد، قبل از آن‌كه يك سرور DHCP برپايه ويندوز را در شبكه نصب نماييد، انجام يك آزمايش براي اطمينان از نبود DHCP را به شما توصيه مي كنم. آسان‌ترين راه براي تشخيص نبود DHCP در شبكه آن است كه يك كلا‌ينت را براي دريافت خودكار آدرس IP تنظيم كنيد. پس از آن كامپيوتر را دوباره راه‌اندازي نماييد. اگر آدرسIP دريافت كرد، بدين معني است كه يك DHCP غيرمجاز در شبكه داريد. در غيراين‌صورت مي‌توانيد به راحتيDHCP خود را نصب كنيد.

نصب يك سرور DHCP
پس از آن‌كه از نحوه مقابله با تداخل آدرس‌ها توضيح دهيم، بهتر است كمي در مورد نصب و راه‌اندازي يك سرورDHCP در ويندوز 2003 سرور با شما صحبت كنم. پيش از شروع، بهتر است اين نكته را بيان كنم كه سرور حتماً بايد يك آدرس ثابت (Static) داشته باشد.

عمليات را با باز كردن پنجره Add/Remove program در كنترل‌پنل آغاز مي‌كنيم. پس از باز شدن پنجره، رويAdd/Remove windows scomponents كليك كنيد. پس از يك وقفه كوتاه پنجره باز مي‌شود. صفحه باز شده را تا پيدا كردن گزينه Network Services پايين بكشيد. اين گزينه را انتخاب كرده روي Details كليك كنيد. اكنون شما مي‌توانيد فهرستي از سرويس‌ها شبكه‌اي ويندوز را ببينيد.

Dynamic Host Configration on Protocol را انتخاب كنيد. پس از آن Next را انتخاب كرده، OK را بزنيد. اكنون ويندوز فايل‌هاي موردنياز را نصب مي‌كند. در حين انجام كار ممكن است كه به CD نصب ويندوز سرور 2003 نياز پيدا كنيد.

تنظيمات سرور DHCP
عمليات تنظيم كردن DHCP، مانند نصب آن ساده و راحت است. قبل از شروع تنظيمات، حداقل به يك محدوده نياز داريد. به خاطر داشته باشيد، يك scope محدوده‌اي از آدرس‌هاي IP است كه به كلا‌ينت اختصاص مي‌يابد. حالا‌ كنسول DHCP را باز كنيد. از طريق منوي Administrative tools مي‌توانيد به كنسول DHCP دسترسي پيدا كنيد.

(شكل 1) پس از باز شدن كنسول، اولين چيزي كه نياز است ايجاد يك اسكوپ جديد است. براي اين كار روي نام سرور كليك راست كرده و New Scope را انتخاب كنيد. (شكل 2) اين عمل موجب باز شدن پنجره مربوط مي‌گردد. صفحه خوش آمدگويي را رد كنيد، در صفحه بعد شما بايد نام و توضيحي براي DHCP خود وارد كنيد.

پس از انجام رويNext كليك كنيد. (شكل 3) با صفحه‌اي مواجه مي‌شويد كه بايد يك آدرس ابتدايي و انتهايي براي DHCP وارد نماييد. پس از انجام اين عمل، بايد يك Subnet Mask وارد نماييد (يا اين‌كه تعداد بيت‌هاي Subnet را وارد كنيد). (شكل 4)

صفحه بعدي امكان وارد كردن آدرس‌هاي Exclude را به شما مي‌دهد. اين‌ها آدرس‌هايي هستند كه قبلا‌ً در شبكه استفاده شده‌اند. وارد كردن اين آدرس‌ها موجب مي‌شود، DHCP آن‌ها را به كاربران اختصاص ندهد. آدرس‌ها را وارد كرده Next را بزنيد.

در صفحه بعدي بايد مدت زمان اجاره آدرس‌ها را وارد نماييد. اين زماني است كه يك ايستگاه كاري مي‌تواند از آدرس‌ها استفاده نمايد، مدت زمان متداول اجاره هشت روز است كه در اغلب موارد به خوبي كار مي‌كند. (شكل 5)

روي Next كليك كنيد با صفحه‌اي مواجه مي‌شويد كه تنظيمات اضافي DHCP را دربردارد. Yes را انتخاب كنيد و Next را بزنيد. اكنون مي‌توانيد Defaut Gateway را وارد كنيد. Next را بزنيد، با صفحه‌اي مواجه مي‌شويد كه اجازه وارد كردن آدرس يك يا بيش از يك آدرس IP ،DNS را به شما مي‌دهد.

Next را بزنيد. صفحه‌اي ظاهر مي‌شود كه آدرسWINS را از شما درخواست مي‌كند. اگر WINS داريد آدرس آن را وارد كنيد. شبكه‌هاي جديد معمولا‌ً از WINS استفاده نمي‌كنند. دوباره Next را بزنيد (شكل 6) از شما خواسته مي‌شود كه آيا مي‌خواهيد اسكوپ را فعال كنيد يا خير. Yes را انتخاب كنيد، Next را كليك كنيد. و به اين صورت عمليات پايان مي‌يابد.

با آن‌كه اسكوپ سرور شما فعال شده اما اين سرور به اختصاص IP نمي‌پردازد. زيرا هنوز DHCP مجاز به دادن IP نيست. براي رفع اين مسئله، روي نام سرور كليك راست نماييد و دستور Authorize را اجرا كنيد. سپس سرور مجاز به دادن IP مي‌شود و فعاليت خود را آغاز مي‌كند.

bandwidth contoroler

برای محدود کردن کاربران از فرستادن و دریافت اطلاعات بیش از حد به سرور به علت مسایل امنیتی کارهای زیر را در شبکه انجام دهیم

1- ابتدا می‌خواهیم Send را براي كاربرها محدود كنيم.

Network Adapter را روي كارت شبكه مورد نظر قرار دهید.
Direction را روی Send قرار دهید.
Guaranteed Rate را 0 و Maximum Rate را مقدار دلخواه خود وارد كنيد.
Protocol را IP قرار دهید.
Source Address را آدرس سيستمی قرار دهید كه ميخواد عمل Send را انجام دهد (IP يا MAC )
Destination Address را روي Between قرار دهید و مقدار آن را همانگونه كه می‌خواهيد وارد كنيد. (مثلا از 192.168.0.1 تا 192.168.0.5)

2- حالا بايد Receive را برای كاربرها محدود كنيم.

Network Adapter را روی كارت شبكه مورد نظر قرار دهید.
Direction را روی Receive قرار دهید.
GuaranteedRate را 0 و Maximum Rate را مقدار دلخواه خود وارد كنيد.
Protocol را IP قرار دهید.
Source Address را روی Between قرار بديد و مقدار آن را همانگونه كه می‌خواهيد وارد كنيد (مثلا از 192.168.0.1 تا 192.168.0.5)
Destination Address را آدرس سيستمی قرار دهید كه می‌خواهد عمل Receive را انجام دهد. (IP يا MAC )

3- اکنون می‌توان (براساس نظر شخصی و سیاستهای مدیر شبکه) برای دیگر IP ها محدودیت اعمال کرد که نتوانند Send/Receive انجام دهند.

برای این کار ابتدا Send را محدود می‌کنیم.

Network Adapter را روي كارت شبكه مورد نظر قرار دهید.
Direction را روي Send قرار دهید.
Guaranteed Rate و Maximum Rate را 0 وارد كنيد.
Protocol را IP قرار دهید.
Source Address را آدرس سيستمی قرار دهید كه می‌خواهد عمل سند را انجام دهد. (IP يا MAC)
Destination Address را روی Between قرار دهید و مقدار ان را همان گونه كه می‌خواهيد وارد كنيد (مثلا می‌خواهيد بازه 192.168.0.6 تا 192.168.0.15 نتواند Send كند)
نكته مهم اين است که ميتوان Destination Address را Any انتخاب كرد. در اين صورت هيچ IP بجز IP هايی كه در شماره 1 وارد كردیم، نميتواند Send كند.

4- Receive را هم براي تكميل شدن كار بايد بست

NetworkAdapter را روی كارت شبكه مورد نظر قرار بدهید.
Direction را روی Receive قرار دهید.
Guaranteed Rate و Maximum Rate را 0 وارد كنيد.
Protocol را IP بگذارید.
Source Address را روی Between قرار بدهید و مقدار آن را همانگونه كه می‌خواهيد وارد كنيد (مثلا می‌خواهيد بازه 192.168.0.6 تا 192.168.0.15 نتواند Receive كند)
نكته مهم اين است كه می‌توانیم Source Address را Any انتخاب كنیم. در اين صورت هيچ IP بجز IP هايی كه در شماره 2 وارد كردیم نمی‌تواند Receive كند.
Destination Address را آدرس سيستمی قرار دهید كه بايد عمل Receive را انجام دهد. (IP يا MAC)