كتاباتي

مقاربات في SDN 

مازلنا في طور تحليل العقل او المحرك الذي تعرفنا على بداياته في الكتابات القادمة . وتوصلنا ان هذا العقل المتواضع لا مجال من زحزحته خارج الأجهزة . وللتذكير هذا ملخص للفكرة السابقة : 

مثالنا سيكون بسيط جدا ، عبارة عن روتر واحد فقط يحتوي 2 إنترفيس كل إنترفيس يحتوي على شبكة حيث سيكون مع ال F0/0 Net A اما F0/1 Net B و كما يلي : 

NetA F0/0—-R1—-F0/1 Net B 

لنفرض ان A تريد ان تصل الى B ماهو السيناريوهات المستخدمة داخل الروتر ؟ كيف سيتصرف عقل الروتر بهذا الموقف . لنستعرض التطور التاريخي لعقل الروتر الذي وصل بة المطاف للخروج من الروتر نفسة . 

بداية سيدخل طلب شبكة A الى داخل الروتر لكي يصل الى B الروتر سينظر اولا الى قاعدة البيانات الرئيسية لدية والمسماة Route Information Base RIB او 

Route Table . اذا عثر على شبكة B يجب ان يحدد ماهو الانترفيس القادم المرشح للخروج شبكة A منه والوصول الى B . 

هنا الروتر سيحدد ال Next Hop . لكن يحتاج ان يتأكد من هذا ؟ كيف ؟ يحتاج ان يستعين ببروتكول مهم يسمى ARP ولدية قاعدة بيانات كذالك . واغلبنا يعرف ان هذا البروتكول يساعدنا في توفير المعلومات الخاصة ب Layer 2 . من مقارنة ال IP مع ال MAC . 

  

بعد ان يتأكد الروتر من المعلومات هذة . يبدء بعملية تمرير البكت من A الى B عبر F0/1 . 

بعد ثواني او دقائق A أراد ان يرسل الى B ماذا سيحصل ؟ نفس السيناري سيتكرر !! بمعنى ان كل عملية تمرير للبكت يجب عليها ان تستشير وتتأكد من Route Table / ARP Table . وهذا هو اُسلوب التفكير في عقل الروتر قديما . 

كل هذا كان يدار في ال Control Plan Processing 

لذالك كان اخراج هذا الجزء من الروتر سيسبب الكثير من المشاكل في وقتها . 

 =========================

الان نحن نبحث عن ولادة العقل الجديد او ممكن إطلاق تسمية المحرك الذكي ! وسيكون مثالنا على اجهزة سسكو.

سسكو اقترحت موضوع مهم يسهل ويسرع عمليات الروت او بمعنى صحيح يسرع اليات تمرير البكت بين الاجهزة !! كيف هذا ؟ ركز معي قليلا . 

لدينا الان RIB لوحة الروت التي تحوي على Next-Hop وهذا Next-Hop يحتاج ان يتم تأكيدة من قبل لوحة اخرى تسمى ARP . وهذا كان السيناريو المعتمد والمستخدم سابقا . ويتكرر في كل طلب . 

سسكو قدمت لنا لوحتان في غاية الأهمية . 

الاولى تسمى Forward Information Base FIB 

الوحة الثانية تسمى Adjacency Table AT

  كلاهما يكون العقل الجديد المسمى

Cisco Express Forward CEF    

طبعا للتنوية هذة الوحات تسمى database ويطلق عليها احيانا Engine او محركات الروتر . 

الان ماهو دور ال CEF المتمثل بي لوحة FIB مع AT . 

يجب ان نعرف ان CEF او العقل الجديد يستمد آلياته من خلال RIB و ARP اي لايمكن استخدام تكنولوجي CEF بدون RIB و ARP . 

دور ال CEF هو تحظير جميع المستمسكات التي تحتاج اليها البكت للمرور . ثم خزنها والاحتفاظ بها للاستخدام في حالة التكرار . دعني اضرب لك مثال لتقريب الصورة

انا وصديقي ناخذ غدائنا في مطعم خاص بالوجبات السريعة ، نتردد على هذا المطعم كثيرا . ونطلب وجبة محددة دائما ، بعدة فترة اصبح عمال المطعم يعرفون طلبنا بمجرد ان نذهب هناك . وصاحب المطعم يعرف الأجر مقدماً . 

ال CEF بواسطة FIB حلة مشكلة L3 التي كان يشرف عليها ومازال Route Table . 

اما مشكلة L2 والتي يشرف عليها بروتكول ARP فقد تم تسجيل كل ما يحصل مع ARP في لوحة AT التي ذكرنها . 

بختصار شديد CEF يتكون من جزئين الجزء الاول FIB وتقابل نتاج عمل RIB . والجزء الاخر AT وتقابل نتاج عمل ARP .

تخيل معي لو اننا بدئنا بفصل جزء CEF والذي سنطرح علية تسمية العقل مجازاً مثلا ووضعناة في جهاز اخر يتسم بسرع فائقة . ووضعنا عقول اخر خاصة بروترات لشركة ما . 

بهذا السيرفر الفائق السرعة . كيف سيكون الأداء !! 

سنصل اي اداء رائع . بل سنحصل على فائدة اخرى رائعة هي المركزية حيث ان هذة العقول بمكان واحد !! ويمكن عمل توحد في مابينها للوصول الى المركزية . 

هذا الكلام تم تنفيذة على ارض الواقع في اجهزة السيسكو التي تسمى Core Switch Or Nexus Switches حيث يوجد موديول ممكن ربطة بهذا الكور يسمى Hypervisor يقوم بجمع كل ال CEFs الموجودة في الموديلات البقية والتحكم بها للوصول الى المركزية في الادارة . ناهيك عن الفوائد الاخرى التي ستنتج من هذة المركزية . 

ضاري خالد ، 

 مفاصل بروتكول ال BGP !!

سأسرد هذة التفاصيل او الأساسيات على شكل نقاط :

١- ال BGP بروتوكول يعمل في حافة وحدود شبكات ال IGP , يعني يعمل على روتر يمثل الحد او حدود الشبكة التي تعمل انت عليها ، وهذا واضح من اسم البروتكول .

٢- يجب ان تكون الشبكة المراد تصديرها من AS الى AS اخرى متوفرة في ال IGP Table . هل هذة النقطة مهمة ؟ في تقديري مهمة .

 

مثال للتوضيح ، لنفرض انك في ال AS رقم 100 , والتي تحوي على 50 روتر ، وفيها 100 شبكة مثلا ، لذالك يجب ان توصل هذة الشبكات الى هذا الروتر الحدودي ليقوم بإرسالها الى ال AS اخرى .

لذالك ملاحظة مهم ال BGP لا يحول اي شبكة مالم ، مالم ، مالم تكون في الروت تيبل الخاص بة اولا ، اقصد مالم تتوفر وتراها عندما تكتب

Show IP Route

لحظة !! كيف يتم هذا ؟ كيف يقوم الروتر الذي يعمل BGP بتحويل كل التيبل الخاص بي ال IGP من AS الى AS اخرى ؟ كيف ؟

الجواب كان في المقال السابق !!

٣- الروت تيبل في ال IGP ليس كما الروت تيبل في ال EGP !!!

هنا سنتعرف على اشكالية اخرى !! ال BGP يعمل في ال EGP , والتي تعني الاتصالات بين ال AS مختلفة ام متشابة الاثنان يدعمها ال BGP , لذالك لدية تيبل خاصة باختيار الطريق المفضل ، للوصول الى شبكة او للوصول الى AS

هذة التيبل ممكن ان أراها من خلال الامر

Show IP BGP

هنا سوف ترى المسار الذي يختاره ال BGP لك للوصول الى حافة اخرى ، نعم للوصول الى حافة من AS اخرى ، لتقريب الصورة .

R1—->R2—–>R3——>R4

لوصول الروتر R1 الى R4 يحتاج ان يقفز قفزتين وتتمثل بي ال R2 , R3 . هذا في ال IGP روت بروتوكول .

اما ال EGP او الBGP سيكون المثال كالتالي :

AS1—–>AS2—–>AS3—–>AS4

هنا AS1 اذا أراد الوصول الى AS4 سوف يقفز قفزتين والمتمثلة بي AS2 , AS3

هذا في ال BGP بروتوكول .

سوف تقول نعم نفس القصة في ال IGP لا اختلاف !!😞 بل كل الاختلاف ، ال IGP يقفز روترات ، ال BGP يقفز AS كل AS تحوي الكثير من الروترات ، هذا هو فرق واحد من عدة فروق لكي احاول ان اقتل المقارنة بين ال IGP و ال EGP وذالك لعدم جوازها أصلا 😊

٤- الان ماهو المعيار الذي يستخدمة ال BGP لتحقيق الطريق الأفضل ، علما ان ال IGP يستخدم بالعموم معياران ( Hop Count / و ال Bandwidth ) للأسف عدنا للمقارنة 😞

  يستخدم ال BGP الكثير من المعاير لتحقيق افضل مسار ، وتذكر دائماً ، افضل مسار على مستوى ال AS ، يعني على مستوى اكبر من مما كنا نعرفه في ال IGP، وهذة المعاير كالتالي :

#1 Weight

#2 Local Preference —

#3 Network or Aggregate —

#4 Shortest AS_PATH —

#5 Lowest origin type

#6 Lowest multi-exit disc (MED)

#7 eBGP over iBGP

#8 Lowest IGP metric

#9 Multiple paths

#10 External paths

#11 Lowest router ID

#12 Minimum cluster list .

#13 Lowest neighbor address

سوف اشرح كل نقطة في المقالات القادم .

لذالك يصنف ال BGP على أنة Path Vector

و كذالك يسمى Path Attributes .

٥- بما ان هذا البروتكول ينقل الروت الخاص بي ال IGP مجتمعا من AS الي AS اخرى . لذالك يتطلب ان يأسس قناة بينه وبيت الروتر الاخر الذي يمثل الحافة في ال AS المقابلة .

هذة القناة استوجبت ان تكون مضمونة و موثوقة بحيث لا تقبل الشك ان المعلومة وصلت ام لا ، هنا المعلومة تمثل الكثير من الشبكات تصل في بعض الأحيان الى 350,000 شبكة 😊

لذالك الخيار الوحيد هو تأسيس TCP Tunnel يعمل على بورت محدد 179 .

ممتاز كيف يتم تأسيس هذة القناة ؟؟

من خلال اضافة الجيران Neighbor بشكل يدوي على طرفي الروترات التي تعمل BGP مع ذكر رقم ال AS ، اذا كان رقم ال AS في الطرفان هو الرقم نفسة يسمى هذا النوع من ال BGP بال IBGP الداخلي في نفس ال AS ،

اما اذا كان ال AS مختلفين بين الروترات التي تعمل ال BGP هنا يسمى EBGP

بعدها يتم تأسيس هذة القناة والتي تستخدم كذالك للعمل الحماية لهذا البروتكول من خلال تكنولوجي ال VPN والتي تفرز او تنتج تكنولوجي اخرى اسمها VPNv4 وكذالك ال MP-BGP .

ضاري خالد ،

information Security D-8

 Access Control List ACL

كنت انوي ان اكتب عن الموضوع الشيق والمهم ال Object Group . الذي يعتبر عصب الفيرول وأداته المميزة التي بها نختصر الكثير ، لكني وجدت ان الكلام عن ال ACL يجب ان يكون اولاً وقبل كل شي . لذالك ستكون الكتابات من التسلسل 30 فما فوق خاصة وبشكل مكثف عن المواضيع التالية :

1- Access Control List ACL
2- IP Prefix List
3- Object Group
4- Group Object

سنبدء مع ال ACL وملحقاتها بنوع من التبسيط،
في قديم الزمان وفي بدايات الشبكات ظهرت الحاجة تستدعي السيطرة على آلترفك بين الشبكات . فتم هذا من خلال اول ظهور لل ACL

image

إقرأ المزيد

Information Security D-7

  Access-List Vs Prefix-List

هذة المقارنة هدفها فك الالتباس بين هذة الأدوات المهمة . قبل الحديث عن هذة الأدوات ، دعونا نتعرف على مصطلحان في غاية الأهمية سيكون أساس موضوعنا اليوم ! المصطلح الاول هو
Packets Filters . والذي يختص بفلترت البكت سواء كانت هذة الفلترة سماح او منع تسمى فلترة .
المصطلح الاخر Route Filters . وهو مختص بفلترت الراوت بروتكول . مثلا لانريد شبكة A ان تظهر في روت ال OSPF .

إذن لدينا الان مصطلحان :

Packet Filter & Routing Filter

الان ندخل في موضوعنا :

image

إقرأ المزيد

VPN BOX 11

Group Encrypted Transport. VPN

GET VPN

تذكروا معي موضوع ال VPN Site-To-Site حيث كان يقوم على أساس النقطة لنقطة او Point To Point . وكان كذالك يعتمد على اداء النقاط في مابينها . ماذا لو كان عندي نقطة لعدة نقاط ؟ او ماذا لو كان عندي نقاط كثيرة او روترات ، فيروولات تريد ان تتصل في مابينها بهذا الاسلوب أسلوب النقطة لنقطة . ها سيكون هناك مركزية في التشفير ؟ هل سيكون هناك مركزية في توزيع المفاتيح والتي تسمى Keyes ؟

ابداً سنفتقد للمركزية ؟ ذالك لان كل نفطة لديها مفاتيحها وأساليب تشفيرها مع النقطة الاخرى !! إذن ماهو الحل ؟؟

VPN

إقرأ المزيد

VPN BOX 10

التطبيق العملي والأوامر
DMVPN With IPSec

في كتابات اليوم سنظيف بروتكول ال IPSec على ال DMVPN . لكي نجعل الخطوط بين الروترات او بين ال Hub R1 و الفروع R2/3 مؤمنة ، محمية ، و مشفرة !! وهل نحتاج هذا ؟ ولماذا ؟

نعم نحتاج لسببين : الاول ان الخطوط بين الفروع في حقيقة الامر ستبحر في الانترنيت لذالك نحتاج ان نوفر الحماية لهذا الترفك المار خلال هذة الخطوط . وربما تسائل أين الانترنيت الذي تتكلم عنة !! في مثالنا يوجد فقط Switch و ثلاث روترات !!! نعم ال Switch يمثل الانترنيت في مثالنا او يمثل ال ISP .

السبب الاخر والمهم ان ال DMVPN تبنى على ال GRE Tunnel Interface وهذا الانترفيس غير محمي ، بمعنى الاترفك الذي يمر من خلالة مكشوف وغير مؤمن . لذالك اقتضى الامر ان نستعين بالية او ببروتكول يساعدنا على تشفير مافي داخل هذا الانترفيس ، وهذا البروتكول هو ال IPSec . لذالك ال DMVPN تعمل بدون ال IPSec . لكنها ستكون غير محمية .

VPN إقرأ المزيد

VPN BOX 9

فكرة ال DMVPN
Dynamic Multipoint VPN

البديل العملي لتكنولوجي ال Frame-Relay . في منهج ال CCIE الجديد . والتي يتوقع ان تزيح تكنولوجي ال Frame-Relay في المستقبل

سيكون هذا الامر غريبا على الكثير كما كان غريباً لي ، حيث كان كل تفكيري و اعتقادي ان ال DMVPN ماهي الا موضوع مكمل لل VPN وبالتالي سيكون خاص بالنتيجة بالسيكيورتي !

ولكن هذا الفهم غير دقيق ، حيث ان السيكيورتي هو جزء مكمل من هذة التكنولوجي ، وأساس عمل ال DMVPN ، هو تحقيق الاتصال بين اكثر من نقطة بلياقة و سرعة عالية ، ثم بعدها تتم عملية حماية هذا الاتصال باستخدام ال IPSec كاختيار تكميلي لهذة التكنولوجي . كيف يكون هذا وماهو متطلبات هذة التكنولوجي ؟ لنتعرف عليها سوياً .

VPN إقرأ المزيد