يُطلق مصطلح الشبكة الحاسوبية على مجموعة من الأجهزة الإلكترونية -غالبًا حواسيب بصورة أو أخرى- المتصلة ببعضها سلكيًا أو لاسلكيًا، ويتحكم في قواعد الاتصال بين تلك الأجهزة بروتوكولات (قواعد) لنقل البيانات وتخزينها والوصول إليها، وقد تكون صغيرة للغاية مثل حاسوب منزلي متصل بطابعة مثلًا، أو قد تكون كبيرة للغاية ومترامية الأطراف مثل شبكة الإنترنت.

ونتيجة لهذا المقياس الرهيب الذي قد تصل إليه شبكات الحاسوب فإن لها أنواعًا كثيرة، لكل منها غرض أو استخدام مختلف، وخصائص كذلك ومزايا وعيوب، وقد تطورت عدة معماريات للشبكات توجه تصميمها وتنفيذها، وهي عبارة عن مخططات أنشئت بسبب طبيعة الشبكات المعقدة التي تتغير فيها التقنيات التي تُبنى عليها من ناحية، والمتطلبات التي تحتاج إليها البرمجيات التي تستخدم الشبكات نفسها.

أنواع شبكات الحاسوب

ونستعرض فيما يلي أشهر أنواع شبكات الحاسوب وهي:

1. الشبكة الشخصية PAN
2. الشبكة المحلية LAN
3. شبكات الشركات CAN
4. الشبكات الإقليمية MAN
5. الشبكة واسعة النطاق WAN

الشبكة الشخصية PAN

الشبكات الشخصية Personal Area Network وتختصر إلى PAN هي أصغر أنواع شبكات الحاسب حجمًا وأقلها تعقيدًا، وكما يوحي اسمها فهي تدور حول شخص واحد في الغالب حيث تربط أجهزته ببعضها أو بشبكة خارجية، سواء كانت تلك الأجهزة كلها حواسيب عامة الأغراض -مثل الحواسيب المكتبية desktop أو المحمولة laptop- أو أجهزة تقنية أخرى تتصل بتلك الشبكة، مثل الطابعة أو الأجهزة المنزلية الذكية أو أجهزة إنترنت الأشياء IoT أو الهاتف. من أهم مزايا الشبكات الشخصية ما يلي:

• تتميز بالأمان ومستوى الحماية الجيد نسبيًا نظرًا لأنها محدودة في عدد الأجهزة المتصلة، ويكون مالك تلك الأجهزة هو نفس الشخص في الغالب.
• نطاق عمل هذه الشبكة يكون صغيرًا جدًا في الحيز الجغرافي حيث لا يتجاوز أمتارًا معدودة.

أما عيوب الشبكات الشخصية فهي:

• تفتقر الشبكات الشخصية إلى إمكانية الانتشار على نطاق متوسط إلى واسع، فإذا كان المنزل كبيرًا أو يتكون من عدة مباني متجاورة أو عدة طوابق مثلًا فقد لا تكون كافية وسيحتاج المستخدم إلى إنشاء شبكة محلية صغيرة أو إضافة أجهزة تقوية وأسلاك وربما هوائيات أيضًا لنقل الإشارة لاسلكيًا.
• قد تتداخل إشارات الشبكة مع إشارات شبكات أخرى تعمل على نفس التردد أو النطاق.

دورة علوم الحاسوب

دورة تدريبية متكاملة تضعك على بوابة الاحتراف في تعلم أساسيات البرمجة وعلوم الحاسوب

اشترك الآن

الشبكة المحلية LAN

الشبكات المحلية Local Area Network وتختصر إلى LAN هي ثاني أنواع شبكات الحاسوب من حيث الحجم، وتمتد على مساحات صغيرة نسبيًا، مثل مبنى واحد أو طابق في ذلك المبني، وقد يكون منزلًا أيضًا، وتُشارك الموارد الموجودة في ذلك المبنى مع الحواسيب والأجهزة المتصلة بتلك الشبكة، والغالب على تلك الموارد أن تكون طابعات أو ملفات مخزنة في أرشيف أو أقراص صلبة.

من أهم مزايا الشبكات المحلية ما يلي:

• شبكة خاصة لا يستطيع أحد من خارجها أن يصل إليها.
• تقليل تكلفة الموارد المخصصة لكل حاسوب أو جهاز في تلك الشبكة، بما أننا نستطيع الوصول إلى أي من الموارد الموجودة في أي حاسوب في الشبكة -طالما يمتلك الحاسوب صلاحيات الوصول إلى تلك الموارد-، مثل البرمجيات غالية الثمن التي يمكن استخدامها عبر الشبكة دون الحاجة إلى شراء نسخة لكل حاسوب، أو الاتصال بالإنترنت مثلًا، إذ يمكن استخدام اتصال واحد لكل الحواسيب الموجودة في الشبكة.

أما عيوب الشبكات المحلية فهي:

• التكلفة الابتدائية لإنشاء الشبكات المحلية تكون عالية، وإن كانت ستوفر لاحقًا في تكاليف التشغيل نفسها.
• تحتاج إلى إدارة ومتابعة مستمرة لإصلاح مشاكل العتاد والبرمجيات التي قد تطرأ.
• يستطيع مدير الشبكة أن يصل إلى جميع الملفات الموجودة على حواسيب الشبكة، فإن كانت تحمي الشبكة من الاتصالات الخارجية، إلا أن المتصلين بالشبكة أنفسهم ليس لديهم خصوصية كبيرة على الملفات الموجودة في حواسيبهم.

شبكات المؤسسات CAN

ثالث أنواع شبكات الحاسوب هي شبكات الشركات Corporate Area Network وتُسمى أحيانًا بشبكات الحرم Campus Networks لأنها تُستخدم عادة في الحُرُم الجامعية، وهذا يعني أنها تمتد على نطاق مباني الجامعة كلها بمكتباتها ومبانيها الأكاديمية والإدارية وغيرها، وكذلك في شأن الشركات إذ تُستخدم لتوصيل مباني الشركة ببعضها، فهي أكبر من الشبكات المحلية إذن في نطاقها الجغرافي، لكنها أصغر من الشبكات الواسعة WAN والإقليمية MAN.

من أهم مزايا شبكات الشركات:

• تمتد على نطاق بين 1-5 كم.
• سرعة نقل البيانات، إذ تستخدم مزيجًا من كابلات الإيثرنت السلكية وكابلات الألياف الضوئية فائقة السرعة.
• مستويات الحماية العالية، نظرًا لطبيعة البيانات الحساسة الخاصة بالشركات والجامعات، فتوضع إجراءات حماية مشددة على العتاد الخاص بالشبكة، عن طريق الجدر النارية Firewalls وخوادم الوكلاء Proxy Servers، إضافة إلى مستويات الصلاحيات المخصصة لكل موظف أو فرد داخل الشبكة، وإجراءات الحماية الأخرى للعتاد من أقفال وحراسة وغيرها.

أما عيوب شبكات الشركات فهي:

• عدد العُقد -الحواسيب أو الأجهزة اﻷخرى- المسموح به في الشبكة محدود، كما أن مدى الشبكة محدود بمسافة أيضًا.
• التكلفة العالية للصيانة والإدارة موازنة بالشبكات المحلية LAN والشبكات الواسعة WAN مثلًا.

الشبكات الإقليمية MAN

تمتد الشبكات الإقليمية Metropolitan Area Network أو شبكات المدن على نطاق أكبر حيث تصل المساحات التي تغطيها إلى خمسين أو مئة كيلومتر مثلًا، وهذه الشبكات تمثل أحد أنواع شبكات الحاسب المعقدة، فقد تتألف من عدة شبكات محلية LAN عبر توصيلهم معًا بكابلات الألياف الضوئية.

من أهم مزايا الشبكات الإقليمية:

• سرعات نقل البيانات العالية موازنة بالشبكات المحلية، حيث تكون بين 34-159 ميجابت/ث، أما الشبكات المحلية فتكون من 1-100 ميجابت/ث فقط.
• تستخدم خاصية المسار المزدوج dual bus لنقل البيانات في كلا اتجاهي وسيلة النقل (الكابل مثلًا) في نفس الوقت.
• الدعم التقني المتقدم بما أنها تتبع شركات في الغالب أو جهات حكومية.

أما عيوب الشبكات الإقليمية فهي:

• التكلفة العالية للإنشاء والتشغيل، حيث تتطلب بنية تحتية باهظة التكلفة، وكذلك فرق صيانة وإدارة متخصصة.
• صعوبة تأمينها من الهجمات الأمنية التي ينفذها المخترقون بسبب انتشارها الجغرافي الواسع.

الشبكة واسعة النطاق WAN

تمتد الشبكات واسعة النطاق Wide Area Network وتختصر إلى WAN على نطاق أوسع من الشبكات السابقة، فيمكن إنشاؤها بين عدة مباني إلى أحجام أكبر تصل إلى العالم كله، فشبكة الإنترنت التي تصل بين مليارات الحواسيب والأجهزة التقنية في القارات المختلفة وفي أعالي البحار وفي الفضاء أيضًا -كما في حالة محطة الفضاء الدولية- ما هي إلا مثال على الشبكات واسعة النطاق WAN، وعلى ذلك يكون هذا النوع من الشبكات هو أكثر أنواع شبكات الحاسوب مرونة في زيادة حجمه.

لكن الأمثلة الأشهر لها هي استخدامها في الشركات أو المؤسسات الكبيرة، وقد تتكون الشبكات واسعة النطاق من مجرد عدة شبكات محلية متصلة معًا.

من أهم مزايا الشبكات واسعة النطاق ما يلي:

• إمكانية تغطية مساحات جغرافية كبيرة، مما يعني إمكانية ربط فروع الشركة ببعضها وإن كانت بعيدة.
• تشمل الشبكات واسعة النطاق نفس المزايا التي للشبكات المحلية، من مشاركة الموارد وتقليل التكلفة وغيرها.

أما عيوب الشبكات واسعة النطاق فما يلي:

• تكلفة الإنشاء الابتدائية تكون عالية للغاية بما أنها قد تشمل تثبيت بنية تحتية على نطاق جغرافي كبير.
• صعوبة صيانتها للأيدي غير المدربة، فيجب توظيف متخصصين في الشبكات.
• طول المدة اللازمة لإصلاح الأعطال بما أن الفني المسؤول عليه أن يفحص كثيرًا من الأجزاء التي قد تكون فيها المشكلة، وقد يكون ذلك في عدة مباني مختلفة وعبر عدة وسائل لنقل البيانات.

أنواع الشبكات الأخرى

توجد بعض الأنواع الأكثر تخصصًا في شبكات الحاسوب تخدم أغراضًا بعينها أو تكون لها طبيعة خاصة، وإن كانت جزءًا من واحدة أو أكثر من الشبكات السابقة، وأهم تلك الأنواع ما يلي:

الشبكات المحلية اللاسلكية WLAN

تتيح شبكات WLAN إمكانية الاتصال اللاسلكي لجهاز أو أكثر بشبكة محدودة النطاق، كما في حالة الراوتر اللاسلكي (الموجِّه) أو نقطة الاتصال Access Point أو المكرر Repeater الذين قد تستخدمهم في المنزل أو العمل، فيستطيع المستخدمون التحرك بأجهزتهم في نطاق تغطية الشبكة دون الحاجة إلى الاتصال السلكي.

شبكات التخزين SAN

تتكون شبكات التخزين Storage-Area Networks وتختصر إلى SAN من وحدات تخزينية قد تكون مجرد أقراص صلبة صغيرة أو قد تكون خوادم كاملة مخصصة لتخزين، ويمكن تصور كيفية عمل هذه الشبكة على أنها مجموعة من أقراص التخزين، يمكن الوصول إليها عبر شبكة من الخوادم. وتتميز هذه الشبكة بسرعة الوصول إلى بياناتها بسبب أن وحدات التخزين تظهر كأقراص صلبة في الحواسيب المتصلة بتلك الشبكة.

الشبكات الخاصة بالمؤسسات EPN

قد تبني الشركات أو المؤسسات شبكات خاصة بها Enterprise Private Networks لا يمكن الوصول إليها من خارجها، وذلك في حالة الشركات التي تريد توصيل عدة مواقع تتبعها توصيلًا آمنًا لضمان سلامة بياناتها الحساسة.

الشبكات الافتراضية الخاصة VPN

الشبكات الافتراضية الخاصة Virtual Private Networks تكون خاصة أيضًا -من الخصوصية- لكنها تستخدم شبكة عامة للاتصال بالمواقع البعيدة أو توصيل عدة مستخدمين معًا، وتستخدم اتصالات افتراضية أو وهمية virtual توجَّه داخل الإنترنت من شبكة المؤسسة إلى طرف ثالث يقدم خدمات VPN، ومنها إلى الموقع البعيد الخاص بالشركة.

قد يكون استخدام تلك الشبكات مدفوعًا أو مجانيًا وفقًا لمقدم الخدمة، وتختلف عن النوع السابق للشبكات الخاصة في أنها يمكن الوصول منها إلى الإنترنت، على عكس شبكات المؤسسات التي تكون مقصورة على موارد الشبكة فقط بما أنها تستخدم خطوطًا خاصة بها لنقل البيانات.

خاتمة

تعرفنا في هذه المقالة على أشهر أنواع شبكات الحاسب المنتشرة، واستخدامات كل منها ومزايا بعضها، وعرفنا أنها تُصنف وفقًا لحجمها والغرض الذي تُستخدم له، ولا شك أنه توجد أنواع أخرى من الشبكات مثل الشبكات المنزلية Home Area Networks (HAN)‎ وغيرها ولكن حرصنا أن يكون المقال تعريفًا بسيطًا بأشهر أنواع شبكات الحاسوب ببساطة ودون تعقيد أو تطويل، ويمكنك أن تنتقل بعد هذا المقال إلى مواضيع أوسع عن شبكات الحاسوب.

وتوفر أكاديمية حسوب مساقًا كاملًا لتعلم علوم الحاسوب الأساسية، وفهم أساسيات أنظمة التشغيل المختلفة التي تعمل بها الحواسيب والأجهزة الإلكترونية والخوادم، وكذلك المفاهيم الأساسية في الشبكات، وطبيعة عمل الخوادم من حيث استقبال الطلبات فيها والرد عليها، ومفاهيم الحماية والأمان في تلك الشبكات وفي الويب خاصة.

اقرأ أيضًا

• المتطلبات اللازمة لبناء شبكة حاسوبية
• البرمجيات المستخدمة في بناء الشبكات الحاسوبية
• أمثلة عن أنظمة أمن الشبكات الحاسوبية

شبكة الحاسب ببساطة هي مجموعة من أجهزة الحاسب التي تتصل ببعضها وتستخدم موارد مشتركة بينها، وتكون تلك الموارد المشتركة إما بيانات أو أجهزة حقيقية مثل الطابعات وأجهزة العرض والتسجيل أو الماكينات والآلات التي تحمل رقاقات حاسوبية بداخلها متصلة بنفس الشبكة.

وصحيح أن مصطلح شبكة الحاسب على إطلاقه يشير إلى الشبكة العالمية التي نعرفها بالإنترنت، إلا أن مفهوم الشبكات أوسع من ذلك بكثير، كما سنرى في الفقرات التالية.

تعريف شبكة الحاسب

شبكة الحاسب computer network مؤلفة من كلمتين، الأولى شبكة ومعناها لا يخفى على أي قارئ عربي وهي بحسب قاموس صخر المعاصر ربط بين شيئين أو عدة أشياء أو يطلق على كل متداخل متشابك وتحصر كلمة الحاسب الثانية بربط الحواسيب مع بعضها بعضًا.

ظهرت أول صورة من صور الحواسيب المتصلة ببعضها في أواخر الخمسينات من القرن الماضي في صورة شبكة من الحواسيب التي استُخدمت في أحد أنظمة الرادار في الجيش الأمريكي، وقد استُخدمت خطوط الهاتف العادية في نقل البيانات بواسطة جهاز مودم تجاري من شركة AT&T.

تبع هذه المحاولة في تنظيم الاتصال بين الحواسيب البعيدة عن بعضها عدة محاولات أخرى في الشركات الكبرى والجامعات، وكان أغلب تلك المحاولات يحاول تنظيم الموارد المتاحة للشركة أو المؤسسة وتسهيل تطوير البيانات واتخاذ القرار من خلال تنظيم حركة تدفق البيانات بين تلك الحواسيب البعيدة.

دورة علوم الحاسوب

دورة تدريبية متكاملة تضعك على بوابة الاحتراف في تعلم أساسيات البرمجة وعلوم الحاسوب

اشترك الآن

فوائد شبكات الحاسب

لعل فوائد الشبكات بدأت تتضح مما لنا نحن كمستخدمين عاديين أو كشركات، وبدت أهمية شبكات الحاسب في نقل البيانات والمعلومات بين الدول والمؤسسات والأفراد، وكذلك في التحكم في الأجهزة والآلات عن بعد لتسهيل مراقبتها، وفيما يلي أهم تلك الفوائد:

• مشاركة الملفات: كما في حالة الشركات والمؤسسات، بل وفرق العمل التي تعمل عن بعد.
• مشاركة الموارد: كما في حالة مشاركة الطابعات، والحواسيب القوية لإجراء عمليات محاكاة أو إخراج للتصاميم الهندسية أو الإبداعية، أو العمل على برامج عمل سحابية مثل مستندات جوجل أو برامج تصميم مشترك سحابية.
• التواصل: حيث يستطيع المستخدمون للشبكة أن يرسلوا الرسائل والبيانات والوسائط فورًا ويستقبلون بيانات وردودًا مشابهة من غيرهم من المستخدمين في نفس الوقت.
• تقليل التكلفة: كما رأينا في حالة الموارد المشتركة مثل الطابعات أو الحواسيب الكبيرة أو توفير أجهزة وهمية للموظفين للعمل عليها أو خوادم وهمية لاستضافة المواقع.
• زيادة كفاءة المعدات وسلامة البيانات: بما أن العتاد المستخدم للشبكات يكون في الغالب ذا جودة عالية ويقوم عليه فريق صيانة متخصص، فتقل احتمالات تعطل العتاد أو خسارة البيانات نتيجة النسخ الاحتياطية المنظمة التي تُنفذ للبيانات، على عكس الحواسيب الشخصية للمستخدمين.

عيوب شبكات الحاسوب

رغم المنافع التي تطغى على بيئة الشبكات إلا أنها تأتي بعيوب قد يكون بعضها خطيرة وقد يكون بعضها الآخر مجرد أعباء إدارية، وفيما يلي بعض تلك العيوب لشبكات الحاسب:

• تحتاج شبكات الحاسب إلى الاستثمار في بنى تحتية باهظة التكلفة عند بداية إنشائها، وكلما زاد حجم الشبكة زادت التكاليف كثيرًا.
• تحتاج شبكات الحاسب إلى مراقبة على مدار الساعة لتجنب تعطل أجزائها أو فشل عمليات توصيل الطاقة إليها أو تبريد مراكز البيانات، أو اختراقها داخليًا من العاملين فيها أو خارجيًا من مخربين أو مخترقين عن بعد.
• سهولة انتقال الفيروسات والبرامج الضارة لكل الأجهزة المتصلة بالشبكة إن أصيب أحدها.
• المخاطر الأمنية التي قد تحصل نتيجة هجمات قد تأتي داخليًا من أحد الأجهزة المتصلة بالشبكة أو خارجيًا عبر اختراق الشبكة والأجهزة المتصلة بها.

مكونات شبكات الحاسب الرئيسية

صحيح أننا ذكرنا أن الشبكات الحاسوبية عبارة عن حواسيب متصلة ببعضها، لكن الأمر فيه تفصيل أكثر من هذا، فليست كل تلك الحواسيب عامة الأغراض وتشبه الحاسوب الذي لدى المستخدم العادي، بل يكون بعضها مخصصًا لوظيفة أو أكثر داخل تلك الشبكة بحيث يخدم بقية مكونات الشبكة دون أن يُستخدم هو نفسه لأي غرض آخر، بل قد يُحظر الوصول إليه أحيانًا إلا لفئات محدودة من الأشخاص لعدة أسباب أهمها الحفاظ على أمان الشبكة، وهكذا فإن المتطلبات اللازمة لإنشاء شبكة حاسوبية قد تكون أكثر تعقيدًا من مجرد توصيل بعض الأجهزة ببعضها.

الخوادم Servers: أساس شبكات الحاسب

لعل أجهزة الخوادم servers هي القلب النابض لشبكات الحاسوب، وهي حواسيب توضع فيها الموارد التي يراد الوصول إليها عن بعد من بقية مكونات الشبكة، وهي حواسيب أقوى من الحواسيب العادية بعشرات المرات من حيث قوة المعالجة وعدد المعالجات ومساحات التخزين والذواكر العشوائية، وتوجد في العادة في غرف مخصصة آمنة تسمى مراكز بيانات data centers.

فحين تدخل إلى موقع تتصفحه مثلًا (والموقع هو جزء من شبكة الإنترنت العالمية) وليكن يوتيوب، فإنك تكتب عنوان الموقع في المتصفح، فيذهب بك إلى يوتيوب لتتصفح مقطعًا تريد مشاهدته، فهذا المقطع مخزن على خوادم شركة يوتيوب، وكذلك موقع يوتيوب نفسه مخزّن على خوادم سريعة بالغة القوة لتتحمل آلاف المقاطع التي تُرفع إليه وملايين المستخدمين الذين يتصفحونه في نفس الوقت.

وتوجد أنواع عديدة من الخوادم يختص كل منها بمهمة أو عدة مهام، وأشهر تلك الأنواع ما يلي:

• خوادم أسماء النطاقات Domain Name Servers
• خوادم التطبيقات Application Servers
• خوادم الويب Web Servers
• خوادم الملفات File Servers
• خوادم البريد Mail Servers

خوادم أسماء النطاقات Domain Name Servers

وهي الخوادم التي تحتوي على عناوين المواقع التي تتصفحها، فإذا استخدمنا مثال يوتيوب السابق، فإنك تكتب Youtube.com مثلًا ثم تضغط زر الإدخال Enter ليرسل المتصفح الطلب إلى الشبكة، فيمر على خادم DNS الذي يمثل دفتر جهات الاتصال للشبكة وهي هنا شبكة الإنترنت، فيرسل بدوره الطلب إلى العنوان المقابل لهذا النطاق أو الموقع -youtube.com-، ويكون في الغالب مجموعة من الأرقام مثل 192.0.2.44.

خوادم التطبيقات Application Servers

تُحفظ بعض التطبيقات البرمجية على خوادم بعيدة ليتصل بها المستخدمون من حواسيبهم أينما كانوا، وتسمى الخوادم التي تُحفظ عليها باسم خوادم التطبيقات Application Servers، وتُستخدم مثل تلك التطبيقات في الغالب داخل الشركات التي تريد للموظفين أن يستفيدوا من تلك التطبيقات المركزية دون الحاجة إلى تثبيت التطبيق على حاسوب كل موظف، وهذا مفيد في تجميع بيانات العمل للموظفين في فريق واحد مثلًا ومشاركتها والتعديل عليها مباشرة دون الانتظار لرفع تلك البيانات من حاسوب كل موظف.

كذلك تُستخدم في حالة الشركات التي تقدم خدمات بعيدة لمستخدميها بحيث يتصل المستخدم بالتطبيق الموجود بخوادم الشركة من أي جهاز متصل بالإنترنت دون أن يكون التطبيق مثبتًا على حاسوبه الشخصي، ومثل تلك التطبيقات تسمى تطبيقات ويب web apps لأنها تعمل في بيئة الويب في الغالب ويصل المستخدم إليها عن طريق المتصفح.

خوادم الويب Web Servers

خوادم الويب هي أشهر أنواع الخوادم التي تُستخدم في الوصول إلى الإنترنت، وهي المسؤولة عن نقل البيانات المخزنة في مواقع الإنترنت إلى حاسوبك أو جهازك الذي تتصفح منه، عن طريق بروتوكولات نقل بيانات مثل HTTP.

خوادم الملفات File Servers

تُستخدم خوادم الملفات في تخزين البيانات والملفات والبرامج داخل المؤسسات مثلًا للسماح بنقل تلك الملفات ومشاركتها بسرعة وأمان بين العاملين في تلك المؤسسة.

خوادم البريد Mail Servers

يخزن خادم البريد الرسائل البريدية الخاصة بالمستخدمين الذين يستخدمون خدمات بريدية مثل Gmail مثلًا، كي يتمكنوا من الوصول إليها دون الحاجة إلى استخدام برمجيات خاصة على أجهزتهم، حيث تكون تلك البرمجيات في خوادم البريد نفسها.

توجد أنواع أخرى من الخوادم غير التي ذكرناها أعلاه، لكن هذه هي الأشهر والتي قد يتعامل المستخدم معها بشكل أو بآخر أثناء حياته اليومية داخل العمل وخارجه.

المبدِّل Switches

المبدِّل switch هو جهاز يربط أجزاء الشبكة ببعضها بواسطة أسلاك إيثرنت Ethernet أو فايبر في الغالب، فتتصل به الحواسيب الموجودة داخل مبنى مثلًا بالشبكة الموجودة داخل ذلك المبنى، ويكون هو المسؤول عن تنظيم التواصل بين تلك الحواسيب، ولمزيد من التفاصيل حول المبدل ووصله بالشبكة، يمكنك الرجوع إلى مقال شبكة الإيثرنت المبدلة Switched Ethernet.

الموجِّه Router

لعل هذا الجهاز الصغير هو أكثر مكونات الشبكات التي يتعامل معها المستخدم وإن كان تعاملًا غير مباشر، يليه جهاز نقطة الاتصال Access Point.

يُستخدم الموجِّه أو الراوتر في الاتصال بشبكات متعددة، كما يُستخدم لمشاركة اتصال إنترنت واحد مع عدة حواسيب وأجهزة أخرى لتقليل تكلفة اتصال كل منها على حدة بالشبكة، سواء عن طريق أسلاك أو هوائيًا، ولا يكاد يخلو منزل في يومنا هذا من وجود راوتر فيه للاتصال بشبكة الإنترنت عبر مزود خدمة الإنترنت.

نقطة الاتصال Access Point

تُستخدم نقاط الاتصال، وهي أجهزة شبيهة بأجهزة الراوتر- لتوصيل الحواسيب والهواتف والأجهزة الأخرى بالشبكة اتصالًا لاسلكيًا، عن طريق الاتصال سلكيًا بالراوتر ثم بث إشارة الشبكة لاسلكيًا عن طريق هوائي صغير متصل بها.

يمكن لتلك الأجهزة وكذلك أجهزة الراوتر أن تهيأ لتُستخدم كمكررات لإشارات الشبكات repeaters، بحيث تلتقط إشارة الشبكة لاسلكيًا وتنقيها من التشويش ثم تعيد توليدها وبثها مرة أخرى بقوة أكبر، وذلك من أجل توسيع نطاق البث للشبكة.

العملاء/الأجهزة العميلة Clients

الأجهزة العميلة أو الوكيلة في بيئة الشبكات هي الحواسيب والأجهزة الأخرى التي تتصل بالشبكة ومواردها المختلفة من خوادم وغيرها، وتلك الأجهزة العميلة تمثل مستخدمي الشبكات، حيث تستطيع إرسال واستقبال الطلبات من الخوادم.

مكونات أخرى لشبكات الحاسب

إضافة إلى ما سبق، توجد مكونات وأجهزة أخرى تمثل أجزاء لا غنى عنها للشبكة، وقد لا تكون بالضرورة أجهزة مادية، لكن المستخدم العادي قد لا يحتك بها مباشرة أو ليس له وصول إليها، وبعض تلك المكونات ما يلي:

بروتوكولات شبكات الحاسب

البروتوكول Protocol هو مجموعة من القواعد التي تحكم التواصل بين جهتين في الشبكة، وتكون بعض تلك البروتوكولات قياسية مثل بروتوكولات IP و TCP و FTP وغيرها.

عنوان الوصول للجهاز Mac Address

يمثل عنوان الماك -عنوان التحكم في الوصول إلى الوسائط Media Access Control Address- معرِّفًا وعنوانًا فريدًا لكل جهاز يتصل بالشبكة.

المنفذ Port

المنافذ هي قنوات منطقية يرسل المستخدمون البيانات من خلالها إلى التطبيقات أو يستقبلون بيانات منها، ويُعرَّف كل تطبيق من تلك التطبيقات باستخدام رقم المنفذ الذي يعمل من خلاله.

وسائل نقل البيانات في شبكة الحاسب

إذا كانت بيانات التطبيقات والمواقع والشركات تُخزَّن على خوادم وحواسيب بعيدة، وكان المستخدمون يصلون إلى تلك الخوادم من خلال حواسيبهم وهواتفهم وغيرها من الأجهزة، فكيف تُنقل تلك البيانات؟

تُرسل البيانات بطريقتين أساسيتين، إما نقلًا سلكيًا أو غير سلكي، والنقل السلكي يكون دومًا أسرع وأفضل، لكنه يحتاج إلى بنى تحتية أكثر كلفة، ويتم النقل فيه عبر كابلات من الألياف الزجاجية Fiber glass، خاصة في حالة الكابلات العابرة للمحيطات التي تربط بين القارات المختلفة، وكذلك باستخدام كابلات نحاسية مؤمنة ضد التشويش على الإشارات، تكون في صورة كابلات الإيثرنت التي نعرفها ذات الثمانية أطراف، أو الكابلات المحورية Coaxial، أو أسلاك الهاتف العادية كما كان يحدث قديمًا في اتصال Dialup.

أما الاتصالات اللاسلكية فتكون باستخدام هوائيات Antennas لبث الاتصال بالشبكة المراد الاتصال بها، وتختلف المسافة التي يمكن الاتصال بالشبكة من خلالها وكذلك عدد المستخدمين الذين يمكنهم الاتصال بتلك الشبكة على نوع الهوائي المستخدم وسعة الشبكة نفسها.

الجدار الناري Firewall

الجدار الناري قد يكون جهازًا ماديًا أو برنامجيًا يُستخدم في التحكم في الشبكة وأمانها وقواعد الوصول إليها، وتوضع كحماية للحاسوب وما يتصل به من الشبكات الآمنة -مثل شبكات المنازل والشركات- من الاتصالات الخارجية غير المأمونة مثل الإنترنت، وتهيأ لحظر الطلبات من المصادر غير المعرَّفة للشبكة الآمنة، فهو مثل الباب الذي يفصل المنزل الداخلي الخاص عن المحيط الخارجي العام.

زادت أهمية الجدر النارية كثيرًا بعد تطور الإنترنت ووصوله إلى يد كل مستخدم من خلال الهواتف الذكية وأجهزة إنترنت الأشياء، حيث زادت خطورة الهجمات السيبرانية التي قد تستهدف أولئك المستخدمين بحيث يمكن التلاعب بأجهزتهم وسرقة بياناتهم وإغلاق تلك الأجهزة لطلب فدية، كما يحدث كل مدة في حالة فيروسات الفدية التي تصيب أجهزة المستشفيات والمؤسسات المهمة والشركات الكبرى.

أو حتى على مستوى الشبكات الموجودة في المنازل العادية حيث انتشرت أنظمة البيوت الذكية التي يُمكن التحكم فيها عن بعد، فيستطيع المخرب تنفيذ هجمة على المنزل بتغيير درجات الحرارة أو قطع الكهرباء أو الاتصالات أو التلاعب بالأجهزة المنزلية المتصلة بالشبكة.

أنواع شبكات الحاسوب

توجد عدة أنواع من الشبكات تُصنف وفقًا للحيز الجغرافي الذي تخدمه وعدد الحواسيب المتصلة فيها، وفيما يلي بعض أشهر أنواع هذه الشبكات:

1. الشبكة الشخصية PAN‎
2. الشبكة المحلية LAN
3. الشبكات واسعة النطاق WAN
4. الشبكات الإقليمية MAN

1. الشبكة الشخصية PAN‎

الشبكات الشخصية Personal Area Network وتختصر إلى PAN هي الشبكات التي تتكون من أجهزة تتبع شخصًا واحدًا، مثل الحاسب الخاص به وهاتفه وأجهزته اللاسلكية المتصلة عبر البلوتوث، ويكون نطاقها محدودًا بالتبعية، وقد تتصل بالإنترنت لاسلكيًا.

2. الشبكة المحلية LAN

الشبكات المحلية Local Area Network وتختصر إلى LAN تتكون الشبكات المحلية من مجموعة من الحواسيب والأجهزة الأخرى التي تتصل بشبكة واحدة على نطاق مبنى أو عدة مباني متجاورة تمثل مؤسسة واحدة مثل شركة أو مستشفى أو منزل أو غيره، وتكون الشبكة مقصورة على الأجهزة التي داخل تلك المباني، أي لا يمكن الوصول إليها من خارج الأجهزة المتصلة بها أو من خارج نطاق تلك الشبكة.

تُستخدم تلك الشبكات في أغراض نقل الملفات واستخدام الأجهزة عن بعد مثل الطابعات والماسحات الضوئية وغيرها، ولعل أبسط صورها هو حاسوب متصل بطابعة مثلًا. لا يزيد عدد الأجهزة المتصلة في الشبكات المحلية عن 5000 جهاز.

3. الشبكات واسعة النطاق WAN

الشبكات واسعة النطاق Wide Area Network وتختصر إلى WAN تمثل عدة شبكات محلية متصلة معًا، لكنها تمتد على نطاق جغرافي أكبر، كما في حالة الشركات الكبرى.

تُعد شبكة الإنترنت أحد أمثلة الشبكات واسعة النطاق WAN العامة، أي التي يصل إليها كل أحد، على عكس الشبكات الواسعة التي تكون مقصورة على المؤسسات والشركات.

4. الشبكات الإقليمية MAN

تنتشر الشبكات الإقليمية Metropolitan Area Network وتختصر إلى MAN على نطاق أوسع من سابقتها، حيث تمتد خلال المدن الكبيرة، وتمتد على نطاق يصل إلى خمسين كيلومترًا مثلًا، وقد تشمل شبكات LAN أو WAN، إضافة إلى شبكات أخرى متصلة عبر تقنيات الاتصال اللاسلكية الهوائية، مثل شبكات الهواتف الخليوية المتصلة عبر تقنيات الجيل الثاني والثالث.

تتصل الشبكات الإقليمية في الغالب عبر كابلات ألياف زجاجية بسبب حاجتها إلى نقل البيانات بسرعات عالية.

خاتمة

تُبنى التقنيات الحديثة الآن من حواسيب وشركات وبنى تحتية أحيانًا وأنظمة حكومية باستخدام شبكات الحاسب كقواعد أساسية لها، فصارت جزءًا لا يتجزأ من حياتنا اليومية سواء استخدمناها استخدامًا مباشرًا أم استفدنا من أحد تطبيقاتها.

ولا يسع أحدنا اﻵن أن يجهل أبسط مبادئ علوم الحاسب التي بُنيت عليها تلك الشبكات من أجل فهم طبيعة عملها والاستفادة المثلى منها سواء في بيئة العمل أو المنزل، وكذلك تجنب مخاطرها وإغلاق ثغراتها التي قد يدخل المخربون منها.

اقرأ أيضًا

• أمثلة عن أنظمة أمن الشبكات الحاسوبية
• مدخل إلى شبكات الحواسيب: مصطلحات وفهم طبقات الشبكة
• المتطلبات اللازمة لبناء شبكة حاسوبية
• أنواع شبكات الحاسب

نتحدث في هذا الفيديو عن جهاز الموجه أو الراوتر Router الذي هو واحد من مكونات الشبكة، حيث سنتعرف عليه وعلى وظائفه وأنواعه وطريقة عمله.

إذا أردت التعرف أكثر على مجال الشبكات، فننصحك بالانضمام إلى دورة علوم الحاسوب، ولا تنسَ الاستعانة خلال رحلة تعلمك وعملك بتوثيقات موسوعة حسوب المجانية. وإذا أردت متابعة المعلومات البرمجية العلمية مكتوبة فيمكنك الاطلاع على قسم البرمجة في أكاديمية حسوب، كما يمكنك متابعة جديد الفيديوهات التقنية المتاحة على يوتيوب أكاديمية حسوب مجانًا.

نستكمل في هذا الفيديو الحديث عن الشبكات، وذلك بالتطرق إلى أحد أهم الأجهزة في النظام الشبكي بالكامل وهو المبدل Switch. وكما هو معروف، تضم الشبكات بعض الأجهزة كعناصر أساسية من عناصرها، ولعل من أهم وأشهر هذه الأجهزة هو المبدل نظرًا لما يقوم به من وظائف متعددة لا غنى عنها في أي شبكة.

ولكن ما هو المبدل؟ وماهي وظيفته؟ وماهي أنواعه؟ سنتعرف على كل ذلك بالتفصيل في الفيديو الآتي:

إذا أردت التعرف أكثر على مجال الشبكات، فننصحك بالانضمام إلى دورة علوم الحاسوب، ولا تنسَ الاستعانة خلال رحلة تعلمك وعملك بتوثيقات موسوعة حسوب المجانية. وإذا أردت متابعة المعلومات البرمجية العلمية مكتوبة فيمكنك الاطلاع على قسم البرمجة في أكاديمية حسوب، كما يمكنك متابعة جديد الفيديوهات التقنية المتاحة على يوتيوب أكاديمية حسوب مجانًا.

الشبكة هي عبارة عن مجموعة من الأجهزة المتصلة مع بعضها على اختلاف أنواعها باستخدام تجهيزات وبرمجيات خاصة وظيفتها أن تتيح لهذه الأجهزة التواصل وتبادل المعلومات بشكل سريع وفعال. ويمكن عدّ الشبكة أيضًا على أنها النظام الذي يحكم هذه الأجهزة لتتمكن من مشاركة الموارد فيما بينها.

وعلى اختلاف أنواع الشبكات فإنها غالبًا ما تتكون من نفس العناصر الأساسية والتي من الضروري تواجدها في أي نظام شبكي. لكن ما هي عناصر ومكونات الشبكة؟

لمعرفة مكونات الشبكة، تابعوا معنا الفيديو الآتي:

إذا أردت التعرف أكثر على مجال الشبكات، فننصحك بالانضمام إلى دورة علوم الحاسوب، ولا تنسَ الاستعانة خلال رحلة تعلمك وعملك بتوثيقات موسوعة حسوب المجانية. وإذا أردت متابعة المعلومات البرمجية العلمية مكتوبة فيمكنك الاطلاع على قسم البرمجة في أكاديمية حسوب، كما يمكنك متابعة جديد الفيديوهات التقنية المتاحة على يوتيوب أكاديمية حسوب مجانًا.

يقع بروتوكول رسالة التحكُّم عبر الإنترنت Internet Control Message Protocol -أو اختصارًا ICMP ضمن طبقة الشبكة في نموذج OSI، أو كما يصطلح البعض فوق طبقة الإنترنت مباشرةً، وهو جزءٌ لا يتجزأ من مكدس بروتوكول الإنترنت، أو كما يشار إليها بالمصطلح TCP/IP.

عُيِّن الرقم 1 لبروتوكول ICMP تبعًا لمنظمة IANA، وقد صُمِّم ليعمل مثل آلية توليد تقارير عن الأخطاء وخدمة استعلام، ويلعب دورًا مهمًا في خدمة مخطط البيانات مضيف- مضيف في الاتصال الشبكي، وهو الجزء من خدمة IP الذي يلعب دور نظام تغذية راجعة ضمن شبكة اتصال IP، ويضمن إعلام المضيف المرسل، مثل الموجّه أو بوابة النفاذ بالرزم التي لم تصل.

يمكن لأي جهاز شبكة IP إرسال رزم بيانات من نوع ICMP، بما في ذلك بطاقات واجهة الشبكة والعديد من الأجهزة الشائع استخدامها.

برتوكول ICMP

يمكن توضيح دور بروتوكول ICMP في الاتصالات الشبكية بمثالٍ عن فريقٍ مسؤول عن تجميع السيارات باستخدام القطع المُرسلة من المصنع، إذ تُرسَل القطع واحدةً تلو الأخرى، ويُفترض أن تُستلم القطع من قِبل فريق التجميع؛ ولكن أحيانًا لا تصل بعض القطع في وقتها المحدد، أو يحدث تأخيرٌ ما من طرف جهة التوصيل وتكون طريقة توصيل القطع للفريق أسرع، وسيحتاج الفريق في هذه الحالة لطريقةٍ ما يخبر بها المصنع لإعادة إرسال القطع الناقصة، أو إرسال القطع عبر طريق أو جهة توصيل أسرع.

يلعب بروتوكول ICMP دور المرسال لتلك المعلومات من المستقبِل إلى المرسل، أما في الواقع البروتوكول أعقد من ذلك، والمثال السابق هو مثالٌ بسيطٌ للتوضيح فقط؛ إذ لا يقتصر دور البروتوكول على إرسال تقرير عن الرزم غير المرسلة أو المضيف المتعذر الوصول إليه، بل يرسل أيضًا رسائل إعادة التوجيه، رسائل صدى echo والرد عليها، ورسائل أخرى سنتطرق إليها لاحقًا.

يستخدِم الأمر المشهور PING رسائل الصدى والرد عليها للسماح للمستخدم بإرسال رسالة صدى إلى مضيفٍ مستقبِل وهو بدوره يرسل رسالة رد في حال استقباله للرسالة الأولى. توفر رسائل ICMP للنظام طريقةً لإعلام المضيف المصدر في حال عدم تلقي المضيف البعيد الرزم المرسلة، ولكن لا يرفع بروتوكول ICMP من اعتمادية بروتوكول IP، فهو فعليًا لا يستقبل أو يرسل أي بيانات، بل هو موجودٌ فقط بمثابة نظام تغذيةٍ راجعة، أو موردٍ للتعريف بمشاكل الرزم الضائعة، أو طرق التوجيه غير السليمة.

تُعد رسالة تعذر الوصول للوجهة Destination Unreachable إحدى أشهر رسائل بيانات ICMP وأكثرها فائدة، وهناك عدة أسباب لتوليد رسائل تعذر الوصول للوجهة، منها تعذُّر الوصول للشبكة أو للمضيف أو للمنفذ أو للبروتوكول؛ إذ يعيد الموجّه رسائل تعذر الوصول للوجهة تلك إلى المضيف وهو بدوره يعيدها إلى التطبيق الذي ولّد الرزمة الأساسية، وتُعلم رسائل الخطأ التطبيق بإعادة المحاولة مجددًا، أو يمكن للتطبيق المضيف توليد رسالة خطأ وعرضها للمستخدم لإعلامه بمشاكل في اتصال الشبكة.

مع أن رسائل تعذر الوصول للوجهة هي الأشهر ويألفها الجميع من خلال استخدامهم للأداة PING، لكن يحتوي بروتوكول ICMP أيضًا العديد من الرسائل الأخرى، منها رسالة إعادة التوجيه التي تستخدمها بوابة النفاذ لإعلام المضيف بتغيير حركة مرور البيانات إلى موجّه آخر. هناك أيضًا رسالة تجاوز الوقت التي يستخدمها الموجّه لإخبار المضيف بأن الرزمة قد تجاوزت مدة عمرها الزمني Time to Live -أو اختصارًا TTL- ولذلك تجاهَلها، وقد تكون مؤشرًا على وجود حلقة تغذية راجعة على الطريق المؤدي للوجهة.

تُرسل رسائل إخماد المصدر Source Quench من الموجّه إلى المضيف لإعلامه بأن سعة التخزين المؤقت قد امتلأت ويجب عمل إيقافٍ مؤقت للإرسال للسماح للموجّه باللحاق بسرعة الإرسال. كما يوجد أنواعٌ أخرى من الرسائل، مثل رسالة مشكلة في المعامل parameter ورسالة وجواب طلب قناع العنوان وطلب العلامة الزمنية، وغيرها. لا يرسل بروتوكول ICMP رسائل عن رسائل بروتوكول ICMP نفسه، لأن ذلك سيولّد حلقة تغذية راجعة، إذ ستولّد كل رسالة عائدة من بروتوكول ICMP رسالة ICMP أخرى للطرف المقابل، والتي ستولِّد بدورها رسالةً ثالثة وهكذا، مما سيولد الكثير من رزم ICMP التي ستغرق الشبكة.

لنفس السبب السابق لن يرد بروتوكول ICMP على عناوين البث broadcast أو عناوين الإرسال المتعدد multicast؛ فعلى عكس البروتوكولات الأخرى، مثل بروتوكول IP و UDP، لا يؤدي بروتوكول ICMP غرض تبادل البيانات بين المضيفين. إذًا، لا يتفاعل المستخدمون النهائيون مع هذا البروتوكول عدا عن بعض أدوات التحليل، مثل أداة ping و traceroute والتي تُستخدم لاكتشاف مشاكل الشبكة والاتصال بالإنترنت.

يمكن اختراق بروتوكول ICMP للهجوم على الأجهزة بما يعرف بالهجوم المميت "Ping of Death"، وهو هجوم سيبراني مشهور يسبِّب مشاكل المنع من الخدمة ضمن الشبكات، تُرسل فيه رزمة IP مصممة لإغراق ذاكرة التخزين المؤقت للجهاز الهدف بغرض إفشال عمل نظامه؛ ويوجد أيضًا هجومٌ آخر يتكون من كميةٍ كبيرةٍ من رسائل ping تمنع حركة مرور البيانات من الوصول للجهاز المستهدف، إذ يمكن منع تلك الاختراقات بسهولة نسبيًا وذلك عبر تضمين فحوصات لقطع IP خلال عملية إعادة التجميع.

رسائل ICMP هي مخططات بيانات مغلّفة ضمن رزم IP، وتُستعمل من قبل كلٍ من بروتوكولي (IPv4 (ICMPv4 و (IPv6 (ICMPv6، إذ تبدأ تلك الرزم بترويسة IP متبوعة بترويسة ICMP ثم حقلي النوع والرمز ثم رمز التحقق checksum، وبعدها البيانات، وتعتمد البيانات على حقلي النوع والرمز اللذان يعرِّفان نوع رسالة ICMP المُرسلة.

يُعد بروتوكول ICMP أحد أهم مكونات رزمة بروتوكول الإنترنت ويؤدي دورًا مهمًا في الاتصالات الشبكية IP؛ فهو يضمن علم المضيف المرسل في حال عدم استقبال المضيف البعيد لتلك الرزم المُرسلة، مما يوفر معلومات هامة حول مشاكل الشبكة، ويساعد على رفع كفاءة إرسال البيانات على الشبكة من قبل الأطراف جميعًا؛ كما يستخدمه مدراء وفنيو الشبكات أداةً لاكتشاف للمشاكل تساعدهم في تحديد نقاط الفشل ضمن الشبكة، فهذه الأداة لا غنى عنها في التدفق الثابت واللا منتهي من المليارات من رزم IP المرسلة حول العالم في كل ثانية من كل يوم.

أسئلة شائعة حول ICMP

لماذا لا تحتوي الرزمة من النوع ICMP على أرقام منافذ للمصدر والوجهة؟

يُعد بروتوكول رسالة التحكم بالإنترنت ICMP جزءًا من مكدس بروتوكولات TCP/IP، إذ ينتمي إلى طبقة الإنترنت، بينما توجد أرقام المنافذ ضمن طبقة النقل فقط وهي طبقة فوق طبقة الإنترنت.

ما هو بروتوكول ICMP؟

بروتوكول ICMP هو اختصارٌ لبروتوكول رسالة التحكُّم بالإنترنت Internet Control Message Protocol، صُمم ليوفر وظائف إدارية للإرسال عبر الإنترنت، ومن الأمثلة على استخداماته هي رسائل فحوصات الحالة ورسائل الأخطاء المتبادلة بين جهازين على طرفي الاتصال.

ما هي الطبقة التي ينتمي إليها ICMP؟

يُعد ICMP جزءًا من مكدس بروتوكولات TCP/IP، ويقع ضمن طبقة الإنترنت وهي الطبقة الثانية في ترتيب الطبقات، ويُشار لبروتوكول ICMP على أنه بروتوكول من الطبقة الثالثة، لأن هذا العدد يدل على طبقة الشبكة في مكدس بروتوكول الاتصال بين الأنظمة المفتوحة OSI، إذ أن طبقة الشبكة في نموذج OSI هي الطبقة الثالثة وتعادل طبقة الإنترنت في مكدس TCP/IP.

ترجمة -وبتصرف- للمقال "What is ICMP? The Protocol, Port Number and PING!" لصاحبه Jeff Parker.

اقرأ أيضًا

• طبقة النقل في بروتوكول TCP/IP
• مدخل إلى شبكات الحواسيب: مصطلحات وفهم طبقات الشبكة
• دليلك لفهم أمر ping واستخدامه

بروتوكول إدارة الشبكة البسيط Simple Network Management Protocol -أو اختصارًا SNMP- هو بروتوكول اتصال يسمح لنا بمراقبة تجهيزات الشبكة التي نديرها، مثل الموجّهات والمبدلات والخوادم والطابعات وأجهزة أخرى عاملة ببروتوكول IP جميعًا ضمن نظام أو برمجية إدارة واحدة؛ وإذا كان جهاز الشبكة يدعم بروتوكول SNMP، يمكننا تفعيله وإعداده لجمع المعلومات ومراقبة عدة تجهيزات شبكية من نقطةٍ واحدة.

من مهام بروتوكول SNMP:

• مراقبة حركة مرور البيانات الواردة والصادرة عبر الجهاز.
• الاكتشاف المبكر للأخطاء ضمن التجهيزات الشبكية، وإرسال التنبيهات أو الإشعارات.
• تحليل البيانات المُجمّعة من الأجهزة خلال فترات زمنية طويلة للتعرف على أماكن اختناقات عنق الزجاجة Bottlenecks ومشاكل الأداء.
• الضبط البعيد للأجهزة المتوافقة معه.
• الوصول والتحكم بالأجهزة المتصلة عبر بروتوكول SNMP عن بُعد.

مفاهيم أساسية حول بروتوكول SNMP

هناك عدة مكونات أساسية لعمل بروتوكول SNMP بصورةٍ سليمة، منها:

• مدير SNMP (نظام إدارة الشبكة Network Management System).
• عملاء SNMP.
• منفذ SNMP.
• الأجهزة المدارة، مثل الخوادم والمبدلات والموجّهات وغيرها.
• قاعدة إدارة المعلومات Management Information Base -أو اختصارًا MIB-، وتعرف أيضًا باسم قاعدة بيانات إدارة المعلومات Management Information Database.
• معرّف الكائن OID.
• مصائد Traps.
• الإصدارات.

مدير نظام إدارة الشبكة NMS

مكون المدير هو جزءٌ من برمجية مُثبتةٍ على جهاز، ويُسمى عند تركيبه على الشبكة نظام إدارة الشبكة Network Management System، إذ يستطلع دوريًا وبحسب مدةٍ مخصصة الأجهزة الموجودة على الشبكة للحصول على معلومات، ويحتوي على الاعتماديات اللازمة للوصول إلى المعلومات المُخزنة على الأجهزة الأخرى، ويُصرّف تلك المعلومات إلى صيغةٍ قابلةٍ للقراءة ليتمكن مهندس الشبكات أو المسؤول عنها من مراقبة، أو تشخيص المشاكل، أو أماكن اختناق عنق الزجاجة.

تختلف أدوات أنظمة إدارة الشبكة في تعقيدها، إذ يسمح بعضها بإعداد رسائل نصية قصيرة SMS أو رسائل بريد إلكتروني لتُرسل تنبيهاتٍ في حال حدوث خلل وظيفي للأجهزة ضمن الشبكة؛ بينما يكتفي بعضها الآخر باستبيان الأجهزة فقط عن معلومات أساسية بسيطة.

العملاء Agents

عميل بروتوكول SNMP هو برمجيةٌ ضمن جهاز الشبكة، مثل الموجّه والمبدل والخادم وأجهزة wifi وغيرها، تنجز بعد تفعيلها وإعدادها أغلب العمل نيابةً عن المدير وذلك بتصريف وتخزين كل البيانات المُستخرجة من الجهاز المثبتة ضمنه ضمن قاعدة بيانات إدارة المعلومات MIB، إذ نُظمت هيكلة قاعدة البيانات للسماح لبرمجية المدير بالاستعلام عن المعلومات وحتى إرسال معلومات إلى المدير في حال حدوث أي خطأ.

ما هو المنفذ المستخدم من قبل SNMP؟

تستقصي برمجية المدير المذكورة في القسم السابق المعلومات من العملاء خلال فترات زمنية ثابتة عبر المنفذ 161 من نوع UDP، إذ تسمح المصائد Traps ضمن بروتوكول SNMP -والتي سنشرح عنها في فقرة لاحقة- للعميل بإرسال معلومات عن النظام والجهاز إلى المدير عبر المنفذ 162 من نوع UDP؛ وهو بروتوكولٌ شائع الاستخدام من قِبل بروتوكول SNMP، ولكن يمكن أيضًا استخدام بروتوكول TCP.

التجهيزات الشبكية قيد الإدارة

تتضمن التجهيزات الشبكية قيد الإدارة الموجّهات والمبدلات وأجهزة wifi والخوادم بنظام ويندوز وغيره، والحواسيب المكتبية والشخصية والطابعات وأجهزة UPS وغيرها المزيد، إذ تحتوي على برمجية العميل ضمنها وهي بحاجة لتفعيلها أو إعدادها لتكون جاهزةً للاستبيان من قِبل NMS.

قاعدة إدارة المعلومات MIB

يمكن اختصار ملفات MIB على أنها الأسئلة التي يمكن لمدير SNMP سؤالها للعميل، إذ يُجمّع العميل تلك البيانات ويخزنها محليًا كما هي معرفةٌ ضمن MIB. ويجب أن يكون مدير SNMP على درايةٍ بتلك المعايير والأسئلة الخاصة بكل نوعٍ من العملاء، إذ يحافظ العملاء كما ذكرنا سابقًا على قاعدة البيانات الخاصة بهم منظمةً وفقًا لمعاملات الأجهزة وإعداداتها وبيانات أخرى.

يجري نظام إدارة الشبكة NMS الاستبيان أو الطلب من عميل جهاز ما، ويشارك العميل بدوره المعلومات المُرتبة ضمن قاعدة البيانات التي أنشأها مع NMS، ويترجم تلك المعلومات لتنبيهات وتقارير ومخططات وغيرها.

تُسمى قاعدة البيانات المُشاركة من قبل العميل قاعدة إدارة المعلومات Management Information Base -أو اختصارًا MIB، إذ تحتوي ملفات MIB على فئةٍ من القيم التحليلية وقيم التحكم المعرّفة من قِبل جهاز الشبكة. توسِّع عادةً شركات التجهيزات الشبكية المختلفة القيم المعيارية بقيم خاصة بأجهزتها باستخدام ملفات MIB خاصة بها.

لتبسيط مفهوم MIB فكِّر بها على النحو التالي: ملفات MIB هي الأسئلة التي يمكن لمدير SNMP سؤالها للعميل، إذ يجمِّع العميل تلك الأسئلة فقط ويخزِّنها محليًا ويخدِّمها لنظام NMS عندما تُطلب. توضِّح الصورة التالية مثالًا بسيطًا عن طريقة عمل MIB، إذ يسأل NMS جهاز الشبكة سؤالًا، مثلًا "ما جواب السؤال رقم 2؟"، ثم يرسل عميل جهاز الشبكة بعدها ردًا عن جواب السؤال رقم 2.

لنحاول فهم العملية أكثر من خلال مثال آخر، فعندما نريد مثلًا معرفة وقت التشغيل الكلي لجهازٍ ما، سيرسل NMS طلبًا للعميل يطلب فيه قيمة وقت التشغيل الكلي للنظام، ثم يرسل الطلب برقمٍ يمثِّل ملف MIB والكائن المطلوبين، مع رقمٍ آخر يُدعى النسخة Instance.

OID = 1.3.6.1.2.1.1.3.0

يوضح الجدول التالي تحليل رقم معرف الكائن OID:

يطلق على أول قسمين من الرقم المرسل للعميل (MIB والكائن المطلوب وهو في هذا المثال توقيت عمل النظام الكلي) اسم معرّف الكائن Object Identifier -أو اختصارًا OID-، وكما ذكرنا سابقًا ملفات MIB هي قيم معيارية يعلمها نظام إدارة الشبكة مسبقًا ويمكنه طلبها أو الاستبيان من جهاز الشبكة ليرسل له تلك المعلومات.

معرف الكائن OID

معرّف الكائن OID هو ببساطة رقمٌ مكونٌ من MIB والكائن المطلوب والنسخة، وكل معرّفٍ منها مميزٌ وفريدٌ ضمن الجهاز، وسيوفِّر عند الاستعلام عنه معلومات عن OID المطلوب.

هناك نوعان من معرف الكائن OID:

• قيمة مفردة Scalar: هي قيمة مفردة من نسخة الكائن، مثل اسم الشركة المصنعة للجهاز؛ إذ لا يمكن أن يكون للجهاز نفسه أكثر من اسم شركة مصنعة، لذا قيمة OID من النوع Scalar.
• قيم متعددة Tabular: يمكن أن تتكون من عدة نتائج للمعرف الخاص بها OID، فمثلًا سينتج عن معالج بأربع أنوية أربع قيمٍ مختلفة لوحدة المعالجة المركزية CPU.

المصائد Traps

تُستخدم المصائد Traps عندما يحتاج الجهاز لتحذير نظام إدارة الشبكة عن حدثٍ ما دون الحاجة لانتظار ورود استبيان، إذ تضمن Traps حصول NMS على معلومات يجب تسجيلها عن حدوث حدثٍ ما ضمن الجهاز دون الحاجة لانتظار استبيانها من قِبل NMS.

تحتوي التجهيزات الشبكية قيد الإدارة على ملفات MIB معرّفةٍ بشروطٍ مُسبقة ضمنها، ومن المهم جدًا وجود تلك الملفات مصرّفةً compiled ضمن نظام إدارة الشبكة كي يستطيع استقبال المصائد Traps المُرسلة من قِبل الأجهزة.

MIB هي أرقام تعرِّفُ بعض الخصائص أو القيم عن الجهاز، لكن في حال لم يحتوي نظام إدارة الشبكة على بعض ملفات MIB تلك التي ترسلها المصائد Traps، فلن تكون هناك طريقة لتفسير MID أو تسجيل الحدث.

الإصدارات v1 و v2c و v3

أُصدرت النسخة رقم 1 من البروتوكول في عام 1988، وأُطلقت منذ ذلك الحين عدة إصدارات منه على مر الأعوام، والإصدار الحالي هو الإصدار رقم 3، ولكن تدعم معظم أنظمة إدارة الشبكة جميع إصدارات البروتوكول.

الإصدار 1 من بروتوكول SNMP

كان الإصدار رقم 1 هو الإصدار الأول المُعرّف من البروتوكول في RFC رقم 1155 و 1157، وهو أبسط الإصدارات الثلاث من البروتوكول وأقلها أمانًا بسبب استخدامها الاستيثاق باستخدام النص غير المشفر.

الإصدار 2 أو 2c من بروتوكول SNMP

أُطلق الإصدار رقم 2 من البروتوكول عام 1993 بتحسينات كبيرة عن النسخة السابقة، مثل تعيينات النقل وبنية عناصر MIB وأهم تلك التعديلات استيثاق أفضل وتحديثات أمنية، ومع ذلك ورث الإصداران 1 و 2/2c ثغراتٍ أمنية كما ذكرنا سابقًا، إذ تُرسل سلاسل المجتمع Community Strings المكافئة لكلمات المرور على هيئة نصٍ غير مشفر، مما يسمح لأي أحد يتنصت على الشبكة من الوصول إلى تلك السلاسل النصية وبالتالي إحداث ثغرةٍ ضمن تجهيزات الشبكة، أو حتى تغيير إعدادات تلك التجهيزات بواسطة SNMP.

الإصدار 3 من بروتوكول SNMP

ظهر الإصدار الثالث من البروتوكول لأول مرة عام 1998، وتحسّنت النواحي الأمنية ضمن حزمة البروتوكول عبر تضمين ما يسمى الأمن المبني حول المستخدم "user-based security"، إذ سمحت تلك الميزة الأمنية بضبط الاستيثاق بالاعتماد على متطلبات المستخدم.

مستويات الاستيثاق الثلاث هي على الشكل التالي:

• NoAuthNoPriv: والتي يكون المستخدمون لهذه الوضعية أو المستوى غير متحققٍ من هويتهم، وليس لديهم أي خصوصية عند إرسال أو استقبال الرسائل.
• AuthNoPriv: يتطلب هذا المستوى الاستيثاق من المستخدم، ولكن لن تُشفَّر الرسائل المرسلة أو المستقبلة.
• AuthPriv: المستوى الأخير والأكثر أمانًا، إذ يكون الاستيثاق مطلوب وتُشفَّر الرسائل المرسلة و المستقبلة.

يُعد الإصدار الثالث من البروتوكول الأكثر أمانًا من بين الإصدارات، ولكن تفرض طبقة الأمان تلك على مستخدميها خطوات ضبط أكثر وتعقيدًا أكبر للإعداد؛ ولكن تفوق الفوائد صعوبات إعدادها بصورةٍ سليمة عند التعامل مع التجهيزات الشبكية عالية المستوى والتي تحتوي على معلومات حساسة.

مخطط بياني عن SNMP

الآن بعد أن تعلمت ما هو بروتوكول SNMP وما فائدته، يمكنك تحميل برنامج لإدارة الشبكة وإعداد عدة تجهيزات معًا والبدء بجمع بيانات SNMP وتحليلاته كي تفهم أكثر إمكانيات البروتوكول ومدى مرونته.

ترجمة -وبتصرف- للمقال "What is SNMP? Basic Tutorial on NMS, MIBs, OIDs, Traps & Agents" لصاحبه Jeff Parker.

اقرأ أيضًا

• طبقة النقل في بروتوكول TCP/IP
• معمارية الشبكة الحاسوبية وشبكة الإنترنت

عندما تخرج من منزلك، ستقفل الباب خلفك عادةً، وبطبيعة الحال سيتمكن الأشخاص الذين يملكون مفاتيح الباب فقط من الدخول إلى منزلك، إذ أنك تفعل ذلك لأسبابٍ أمنية. بنفس الطريقة قد نريد التحكُّم بماذا ومن يملك إمكانية الوصول لمختلف أجزاء شبكتنا، وإحدى طرق تطبيق ذلك هي باستخدام قوائم التحكم بالوصول Access Control Lists -أو اختصارًا ACLs.

سنتعمّق في هذا المقال في تطبيق تلك القوائم للتحكم بالوصول للشبكة، إذ سنتناول بنية ACL وكيفية تنفيذها وإمكانية إعداد وتطبيق تلك القوائم؛ كما سنتناول دراسة حالة عمليًا، إذ سنُعِّد قوائم ACL على جهاز بنظام التشغيل الشبكي سيسكو، بحيث يمكنك تطبيق المعرفة المكتسبة من دراسة هذه الحالة على مختلف أجهزة الشركات.

اقتباس

ملاحظة: لا تكون قوائم ACL مفيدةً فقط لتحديد إمكانية الوصول، بل يمكن تطبيقها أيضًا على عدّة نواحٍ أخرى، مثل إعدادات ترجمة عنوان الشبكة Network Address Translation -أو اختصارًا NAT-، ومطابقة الوجهات الممكن قبولها أو التسويق لها ضمن بروتوكولات التوجيه الديناميكي والتوجيه المبني على السياسات وغيرها؛ كما أنها أيضًا ليست حكرًا على الشبكات، بل تُستخدم كذلك ضمن أنظمةٍ أخرى مثل أنظمة الملفات للتحكم بالوصول إلى الملفات والكائنات.

قوائم التحكم بالوصول

ما هي قائمة التحكم بالوصول؟

قائمة التحكم بالوصول ACL هي قائمةٌ تتحكم بإمكانية الوصول كما يدل اسمها، وعند استخدامها للتحكم بالوصول للشبكة، تحدد تلك القائمة المضيفين المسموح لهم أو غير المسموح لهم بالوصول إلى الأجهزة أو الوجهات الأخرى، إذ يُطبَّق ذلك عادةً على كل رزمة من الرزم الممررة عبر الشبكة، مما يعني أن كل رزمة سيجري التحقُّق منها مع ACL لتحديد منعها أو السماح لها بالمرور.

اقتباس

ملاحظة: يمكن استخدام قوائم ACL للتحقق من العديد من الحقول ضمن الرزمة، ومنها حقول في الطبقة الثانية مثل عناوين MAC، والطبقة الثالثة مثل عناوين IPv4، والطبقة الرابعة مثل رقم منفذ TCP، وغيرها. سيقتصر الشرح في هذا المقال على الطبقة الثالثة وما فوق. تُعد معظم قوائم ACL أيضًا عديمة الحالة "stateless"، وهذا يعني أن كل رزمة متدفقة ستُدقّق على حدى على عكس التصفية المعتمدة على الحالة التي تأخذ حالة الاتصال بالحسبان.

هيكلية قوائم ACL

كما ذكرنا مسبقًا ACL هي قائمة، وهذا يعني أنها قائمةٌ تحوي أشياء. نصطلح تقنيًا بأن ACL هي قائمةٌ بمدخلات التحكم بالوصول Access Control Entries -أو اختصارًا ACEs، إذ يحتوي كل مدخل على شرطٍ يطابق رزمةً معينة.

بناءً على هذا الوصف، يمكن تقسيم ACL إلى جزئين أساسيين:

• معرّف ACL الذي يكون عادةً اسمًا أو رقمًا، وكما سنرى لاحقًا يمكن تعريف قوائم ACL من خلال نوعها.
• عددٌ من مدخلات التحكُّم بالوصول تُعرَّف عادةً بواسطة سلسلةٍ من الأرقام.

مدخلات التحكم بالوصول ACEs

تشكل ACEs القسم الأكبر من ACL، إذ تحتوي كل قائمة تحكم ACL على واحدٍ أو أكثر من تلك المدخلات التي يسمح بها جهازٌ معين، وبغض النظر عن النوع المحدد لقائمة ACL، يمكننا تحديد مكونات ACE على النحو التالي:

• معرّف: والذي يكون عادةً رقم السطر، فمثلًا سيمتلك أول ACE ضمن قائمة ACL مُعدَّةٍ على موجّه يعمل بنظام سيسكو رقم السطر 10 افتراضيًا، وسيمتلك ACE التالي رقم السطر 20، وهكذا.
• حدث: والذي سيُنفَّذ على الرزم التي تتطابق مع المدخل، وتكون عادةً قيمة الحدث، إما الرفض "deny"، أو السماح "permit".
• يجب في بعض الحالات مطابقة البروتوكول و معلومات المنفذ في رزمة، إذ يمكن مثلًا أن يتطابق مدخل ACE مع كل حركة مرور من نوع IP، بينما يمكن لمدخلٍ آخر أن يتطابق مع حركة مرور من نوع HTTP فقط.
• المصدر الواجب مطابقته، ويكون عادةً عنوان IP لمصدر الرزمة، الذي يمكن أن يكون عنوانًا مفردًا، أو مجالًا من العناوين، أو مجال شبكة فرعي، ومن الممكن أن يطابق أي عنوان.
• الوجهة الواجب مطابقتها، وتكون عادةً عنوان IP لوجهة الرزمة، الذي يمكن أن يكون عنوانًا مفردًا، أو مجالًا من العناوين، أو مجال شبكة فرعي، ومن الممكن أن يطابق أي عنوان.

يجب الأخذ بالحسبان اعتماد مكوني المصدر والوجهة على جهة الرزمة المرسلة. ألقٍ نظرةً على المخطط البياني التالي:

يمكننا ملاحظة سيناريوهين مختلفين من منظور الموجّه R1:

1. إذا كان PC1 هو من أنشأ الاتصال إلى PC2 (مثلًا طلب ping من PC1 إلى PC2)، فسيكون مصدر حركة المرور هو العنوان 192.168.1.100 وعنوان الوجهة هو 192.168.2.200.
2. إذا كان PC2 هو من أنشأ الاتصال إلى PC1 (مثلًا طلب ping من PC2 إلى PC2)، فسيكون مصدر حركة المرور هو العنوان 192.168.2.200 وعنوان الوجهة هو 192.168.1.100.

معالجة ACL

عندما نتحقق من رزمة ما مع قائمة ACL، تُطبَّق قواعد المعالجة التالية:

• التحقق من مدخلات ACEs ضمن ACL بالترتيب من الأعلى إلى الأسفل، مما يعني أن التحقق من مدخل ACE رقم 10 سيحدث قبل مدخل ACE رقم 20.
• إذا لم تتطابق الرزمة مع المدخل ACE، يحدث التحقق منها مع المدخل التالي ضمن قائمة ACL.
• إذا طابقت الرزمة مدخل ACE، يُوقف التحقق مع كامل قائمة ACL، ويُطبَّق الحدث المحدد ضمن هذا المدخل على الرزمة.
• إذا لم تطابق الرزمة أيًا من المدخلات ضمن قائمة ACL، فسترمي أو ترفض معظم تضمينات قوائم ACL الرزمة بسبب وجود مدخل رفض ضمني في نهاية كل قائمة ACL.

لنأخذ المثال التالي لفهم قواعد المعالجة تلك، فلنتخيل أن لدينا قائمة ACL فيها المدخلات التالية:

- Seq #1: Permit ICMP from 192.168.1.100 to 192.168.2.200
- Seq #2: Deny ICMP from any source to any destination
- Seq #3: Permit HTTP traffic from 192.168.1.100 to any destination
- Seq #4: Permit HTTPS traffic from 192.168.1.0/24 to any destination

• السؤال الأول: ماذا سيحدث لرزمة ping متوجهة من 192.168.1.100 إلى 192.168.2.200؟
  • الجواب الأول: بما أن طلب ping مبنيٌ على بروتوكول ICMP سيُسمح للرزمة المتوجهة من 192.168.1.100 إلى 192.168.2.200 لأنها تطابق مدخل ACE رقم 1.
• السؤال الثاني: ماذا سيحدث لرزمة ping متوجهة من 192.168.1.50 إلى 192.168.2.200؟
  • الجواب الثاني: سيجري التحقُّق من الرزمة مع قائمة ACL بدءًا من المدخل رقم 1، وبما أنها لا تطابق هذا المدخل، سيجري التحقُّق مع المدخل التالي (المدخل رقم 2). يرفض هذا المُدخل الثاني رسائل ICMP من أي مصدرٍ لأي وجهة، وبما أن الرزمة الحالية هي طلب ping (أي ICMP) والمصدر يطابق "any" والوجهة أيضًا تطابق "any"، لذلك ستُرفض الرزمة.
• السؤال الثالث: ماذا سيحدث لرزمة HTTPS متوجهةٍ من 192.168.1.50 إلى 41.1.1.1؟
  • الجواب الثالث: لن تطابق تلك الرزمة أول ثلاثة مُدخلات، لكنها ستطابق المُدخل الرابع لأنها رزمة HTTPS عنوان المصدر لها ضمن مجال العناوين الفرعي 192.168.1.0/24، والوجهة تطابق "any"، لذلك سيُسمح لتلك الرزمة.
• السؤال الرابع: ماذا سيحدث لرزمة HTTP متوجهة من 192.168.1.50 إلى 41.1.1.1؟
  • الجواب الرابع: لن تطابق تلك الرزمة أي مدخلٍ من المدخلات الأربعة ضمن قائمة ACL (فقط العنوان 192.168.1.100 مسموحٌ له بإرسال طلبات HTTP)؛ لذلك ستُرفض تلك الرزمة على افتراض تطبيق قاعدة "الرفض الضمني" على هذه القائمة.

تطبيق قوائم ACL

إعداد قوائم ACL دون تطبيقها لا قيمة له، فكما لو أنك ركَّبت قفلًا لباب منزلك ولم تقفله عند ذهابك؛ فعند استخدام قوائم ACL للتحكم أو تصفية الوصول للشبكة، تُطبَّق تلك القوائم على واجهات الجهاز، مثل الموجّهات والمبدلات متعددة الطبقات وجدران الحماية وغيرها، ويمكن عمومًا تطبيق ACL باتجاهين على الواجهة:

• جهة الورود: تنطبق على الرزم القادمة إلى الواجهة.
• جهة الخروج: تنطبق على الرزم الخارجة من الواجهة.

قد يكون من الصعب فهم كيفية تحديد الجهة التي تطبِّق عليها قوائم ACL، لذا سنأخذ المثال الموضّح في الصورة التالية، إذ يتصل PC1 مع الواجهة Fa0/0 الخاصة بالموجّه R1، ويتصل PC2 مع الواجهة Fa0/1 الخاصة بالموجّه R1.

لنفرض أننا نريد تطبيق قائمة ACL على R1، بحيث يُسمح فقط لحركة مرور البيانات لطلبات ping من نوع ICMP من PC1 إلى PC2، أين يجب تطبيق تلك القائمة؟

• أولاً يمكننا تطبيق القائمة ACL على الواجهة Fa0/0 في اتجاه الورود، وذلك لأن حركة مرور طلبات ping من PC1 إلى PC2 تأتي إلى R1 من الواجهة Fa0/0 الخاصة به.
• يمكننا أيضًا تطبيق القائمة ACL على الواجهة Fa0/1 في اتجاه الخروج، وذلك لأن حركة مرور طلبات ping من PC1 إلى PC2 تخرج من R1 عبر الواجهة Fa0/1 الخاصة به.

هناك طريقةٌ تفيد في فهم اتجاه تطبيق قوائم ACL، وهي أن تتخيل نفسك بدل الموجّه مد ذراعيك جانبًا وتخيل أن حركة مرور البيانات تأتي من أصابعك إلى جسمك وهي اتجاه الورود، بينما حركة مرور البيانات من جسمك إلى أصابعك هي اتجاه الخروج.

دراسة حالة: قوائم ACL على أجهزة بنظام سيسكو

هناك نوعان من قوائم ACL على الأقل على الأجهزة العاملة بنظام سيسكو:

• قوائم ACL عادية والتي تُطابق مع عنوان المصدر فقط.
• قوائم ACL مُوسّعة والتي يمكن مطابقتها مع تركيبةٍ من البروتوكولات وعناوين المصدر والوجهة ومنافذ المصدر والوجهة والخيارات وغيرها.

ملاحظة: تمتلك سيسكو أنواعًا أخرى من قوائم ACL، مثل القوائم المبنية على الوقت والقوائم الانعكاسية والديناميكية وغيرها، ولن نناقش تلك الأنواع في هذا المقال.

يمكن تسمية قوائم ACL على الأجهزة العاملة بنظام سيسكو بغض النظر عن نوعها (مثلًا "TEST_ACL")، أو ترقيمها (مثلًا 100)، كما يجب الانتباه عند ترقيم قوائم ACL، إذ أن هناك مجالات أرقام لقوائم ACL العادية والمُوسّعة.

نستخدم عند تعيين عناوين المصدر والوجهة على ACL ضمن ضبط نظام تشغيل سيسكو ما يدعى بالقناع أو يسمى أيضًا القناع المعكوس أو قناع محارف التبديل Wildcard؛ وهو قناع الشبكة الفرعية نفسه لكنه مقلوب، أي تصبح الواحدات "1" أصفارًا "0" وبالعكس، فمثلًا قناع محارف التبديل لقناع الشبكة الفرعية 255.255.255.0 هو 0.0.0.255.

ضمن قناع محارف التبديل: الصفر "0" يعني "يجب أن يطابق must match"، بينما الواحد "1" يعني "لا تهتم don’t care"؛ فعلى سبيل المثال، ستطابق الشبكة 10.1.1.0 مع قناع محارف التبديل 0.0.0.3 حركة مرور البيانات من مجال عناوين IP من 10.1.1.1 حتى 10.1.1.3.

اقتباس

ملاحظة: سيطابق أيضًا 10.1.1.0، ولكن بما أنه عنوان شبكة فهو لا يُعد عنوان مصدرٍ صحيحٍ للرزمة.

سنستخدم الشبكة التالية لتطبيق دراسة الحالة:

يمكنك بناء تلك الشبكة باستخدام برامج، مثل GNS3 أو Packe Tracer. أُعِدت عناوين IP على كل الواجهات ونُفّذ بروتوكول EIGRP على الشبكة ليصبح هناك تواصلٌ بين كافة الأجهزة:

الموجّه R1:

الموجّه R2:

الموجّه R3:

لاختبار الاتصال: سنرسل طلب ping إلى R3 من واجهات loopback إلى R2:

إنشاء قوائم ACL على نظام تشغيل سيسكو

لنُعدّ الآن قائمة ACL على R1، بحيث تحقق الشروط التالية:

• السماح لكل حركة مرور للبيانات من نوع ICMP من 192.168.10.0/24 إلى أي وجهة.
• ينبغي رفض كل حركة مرور البيانات الأخرى من النوع ICMP.
• ينبغي السماح لكل حركة مرور البيانات في مجال عناوين IP من 192.168.20.0/24 إلى192.168.30.0/24.
• ينبغي أن تستطيع الأجهزة على الشبكة 192.168.10.0/24 الاتصال مع المضيف 192.168.30.1 باستخدام SSH، وينبغي منع اتصالات Telnet.
• ينبغي رفض كل حركة مرور البيانات الأخرى.

لإعداد قائمة ACL على جهاز بنظام تشغيل سيسكو نتبع الخطوات التالية:

• تُعرَّف قائمة ACL بواسطة اسم أو رقم، وتكون القوائم المُعرّفة باسم أسهل في الإعداد. وتكون صيغة أمر إعداد قائمة ACL المُعرفة باسم على النحو التالي:

ip access-list [extended|standard] <ACL name>

• إعداد مدخلات ACE ضمن ACL باستخدام الصيغة التالية:

[permit|deny] <protocol> <source network> <source wildcard mask> <destination network> <destination wildcard mask> <options>

• ندخل إلى الواجهة المطلوب إعدادها ونطبق قائمة ACL باستخدام الأمر التالي:

ip access-group <ACL name> [in|out]

فيكون الضبط اللازم لتحقيق ذلك على R1 على النحو التالي:

ip access-list extended EXAMPLE_ACL

permit icmp 192.168.10.0 0.0.0.255 any

deny   icmp any any

permit ip 192.168.20.0 0.0.0.255 192.168.30.0 0.0.0.255

permit tcp 192.168.10.0 0.0.0.255 host 192.168.30.1 eq 22

!

interface FastEthernet0/0

ip access-group EXAMPLE_ACL in

!

لا بُدّ من ملاحظة الأمور التالية في الضبط السابق:

• أُعدّت قائمة ACL بالاسم "EXAMPLE_ACL"، وهذه القائمة من النوع الموسع لأننا سنحتاج لمطابقة عدة حقول.
• يمكن استخدام الكلمة المفتاحية "any" لمطابقة أي عنوان.
• يمكن استخدام الكلمة المفتاحية "host" لمطابقة عنوانٍ معين.
• يمكننا تحديد المنفذ الذي سيجري مطابقته باستخدام الكلمات المفتاحية، مثل "eq" والتي تعني يساوي، و "gt" والتي تعني أكبر من وغيرها.
• لم نرفض صراحةً كل حركة مرور البيانات الباقية، إذ سترفض قاعدة "الرفض الضمني" في نهاية كل قائمة ACL في سيسكو أي حركة مرور بيانات لم تتطابق مع تلك القائمة.
• طبقنا قائمة ACL على جهة الورود للواجهة Fa0/0، ويمكننا أيضًا تطبيقها على جهة الخروج للواجهة Fa0/1.

التحقق من قوائم ACL

يمكننا رؤية ضبط وإحصائيات ACL باستخدام الأمر التالي:

show ip access-lists or show access-lists

لاحظ طريقة الترقيم، إذ تبدأ بالرقم 10 ويُضاف كل مدخلٍ جديد أسفل المدخل السابق. يمكننا استخدام الأمر show ip interface لعرض قوائم ACL المطبقة على الواجهة:

اقتباس

ملاحظة: يمكن تطبيق قائمتي ACL بالحد الأقصى على الواجهة، واحدةٌ لكل جهة.

تعديل قوائم ACL

تطبيق تلك القائمة أحدث لنا مشكلةً بين R1 و R2:

أُنهيت علاقة بروتوكول EIGRP لأن قاعدة "الرفض الضمني" تمنع رزم EIGRP في نهاية قائمة ACL، لذا يمكن حل تلك المشكلة عبر التصريح عن السماح لرزم EIGRP ضمن قائمتنا.

تحذير: يجب الحذر عند تعديل قائمة ACL لأن مدخلات ACE ستضاف لأسفل القائمة (قبل قاعدة الرفض الضمني)، لكن يمكننا باستخدام قوائم ACL المعرّفة بأسماء تحديد رقم سطر إضافة المدخل الجديد.

لا يهم في حالتنا هذه مكان إضافة المدخل للسماح بحركة مرور البيانات EIGRP لعدم وجود أي مدخلٍ آخر يؤثر عليها قبل قاعدة الرفض الضمني، مع ذلك سنضيف المدخل "permit eigrp any any" على السطر رقم 5 ضمن القائمة فقط لنرى كيف يمكن إضافة المدخل ضمن أي سطر:

بعد ذلك تكون قد أُعيدت علاقة EIGRP.

اختبار قوائم ACL

يمكننا الآن البدء باختبار قائمة ACL السابقة، ولذلك تذكر أنه لا بُدّ من اختبار ما يجب أن يعمل وما لا يعمل أيضًا.

الاختبار 1: ينبغي السماح لطلب ping من 192.168.10.1 إلى 192.168.30.1 بسبب المدخل في السطر رقم 10 ضمن ACL.

يمكننا التحقق من العدادات ضمن ACL لنتأكد أن حركة مرور البيانات تلك تطابقت مع قائمة ACL:

الاختبار 2: ينبغي أن يفشل طلب ping من 192.168.20.1 إلى 192.168.30.1 بسبب المدخل في السطر رقم 20 ضمن ACL.

الاختبار 3: ينبغي السماح لطلب Telnet و SSH من 192.168.20.1 إلى 192.168.30.1 بسبب المدخل في السطر رقم 30 ضمن ACL.

الاختبار 4: ينبغي السماح لطلب SSH من 192.168.10.1 إلى 192.168.30.1 بسبب المدخل في السطر رقم 40 ضمن ACL.

الاختبار 5: يبنغي أن يفشل طلب Telnet من 192.168.10.1 إلى 192.168.30.1 بسبب قاعدة الرفض الضمني.

يمكننا التحقق من الإحصائيات على ACL للتأكد أن حركة مرور البيانات قد وصلت بالفعل إلى ACL:

ملاحظات مفيدة حول قوائم ACL

تفيدك الملاحظات التالية خلال تضمين قائمة ACL:

• بما أن المطابقة مع ACL ستتوقف عند أول مدخل يتطابق، فحاول وضع أكثر المدخلات تحديدًا في أعلى قائمة ACL وأكثر المدخلات عموميةً في الأسفل.

فمثلًا إذا وضعنا المدخل التالي:

deny icmp any any

قبل المدخل:

permit icmp host 1.1.1.1 any

ستُرفض حركة مرور البيانات من نوع ICMP من المضيف 1.1.1.1.

• يجري البحث ضمن قوائم ACL من الأعلى للأسفل، لذلك ينبغي وضع قواعد حركة مرور البيانات ذات فرصة المطابقة الأعلى في أعلى قائمة ACL، إذ سيقلل ذلك من وقت البحث وبالتالي استهلاك الموارد.
• يمكنك استخدام التعليقات لزيادة قابلية قراءة قوائم ACL، أي حتى تتمكن من فهم ماذا يفعل أحد المدخلات ولماذا أُضيف.
• حاول تطبيق قوائم ACL بأقرب ما يمكن إلى مصدر حركة مرور البيانات، فلا فائدة من عبور حركة مرور البيانات خلال الشبكة لتُرفض في النهاية، وقد لا تتمكن من تطبيق تلك الملاحظة على قوائم ACL العادية.
• يمكنك تطبيق قوائم ACL في جهة الورود بدلًا من جهة الخروج، ويُفضَّل ذلك إذ ستُعالج الرزم في الحالة الأولى، مثل البحث ضمن جدول التوجيه قبل التحقُّق منها على قائمة ACL في جهة الخروج، فلا داعي لهدر موارد المعالجة إذا كانت ستُرفض حركة مرور البيانات لاحقًا عدا عن بعض الحالات التي يكون ذلك فيها ضروريًا.

في الختام

شرحنا ضمن هذا المقال قوائم التحكم بالوصول بالتفصيل وركزنا على كيفية استخدامها لتصفية الرزم ضمن الشبكة، ورأينا أيضًا كيف أن قوائم ACL مؤلفة من مدخلات التحكم بالوصول ACEs والتي بدورها تسمح أو تمنع حركة مرور البيانات بناءً على شرطٍ معين.

ناقشنا كيفية معالجة القواعد ضمن قوائم ACL، حيث تحدث من الأعلى للأسفل وتتوقف عند أول تطابق. كما شرحنا كيف يمكن لقوائم ACL أن تُطبَّق على الواجهات إما بجهة الورود أو جهة الخروج. وأخيرًا، درسنا حالة تضمين قوائم ACL على أجهزة بنظام سيسكو وناقشنا بعض الملاحظات المفيدة.

ترجمة -وبتصرف- للمقال "Access Control Lists – Your Guide to Securing Networks with ACL [ Tutorial & Commands ]" لصاحبه Marc Wilson.

اقرأ أيضًا

• مقدمة إلى لوائح التحكم في الوصول
• أقنعة محرف البدل واستخدامها في لوائح التحكم في الوصول ACL
• الشبكات الفرعية والاختصارات في لوائح التحكم في الوصول ACL
• التحكم بالوصول إلى الأقراص الخارجية في لينكس

تُعد إدارة الوصول Access Management عملية أمان في تقنية المعلومات، بحيث تمنع المستخدمين من الوصول للشبكة وسرقة البيانات؛ وتُعد إدارة صلاحيات الوصول من أهم النواحي عند تأمين البيانات، إذ تتضمن تلك العملية إنشاء وتوفير وإدارة مختلف المستخدمين والمجموعات والأدوار والسياسات.

"ينجز تطبيق إدارة الوصول للهوية Identity Access Management -أو اختصارًا IAM- ذلك تمامًا"، إذ يحفظ معلومات المستخدم وأدواره والمجموعة التي ينتمي إليها والسياسات الواجب تطبيقها، ويعالج طلبات المستخدم للوصول عن طريق التحقُّق من ملفات تعريفه وأدواره.

النظامان المتحكِّمان بإدارة أذونات المستخدم وتسهيلها، هما خدمة Active Directory -أو اختصارًا AD-، والبرتوكول الخفيف للوصول إلى الدليل Lightweight Directory Access Protocol -أو اختصارًا LDAP؛ فعلى الرغم من أن الهدف منهما هو نفسه إلا أنهما يختلفان بالوظيفة.

تُعد Active Directory خدمةً، وهي قاعدة بيانات هرمية للدليل تحتوي على جميع معلومات المستخدمين على الشبكة، وهي متوافقةٌ مع نظام تشغيل ويندوز فقط؛ وعلى العكس من ذلك يوفّر بروتوكول LDAP الفهرسة وخدمات الدليل، ويُستخدم للتواصل مع خدمة AD.

سنناقش ضمن هذا الدليل الشامل لإدارة الوصول النقاط التالية:

1. ما هي خدمة Active Directory؟
2. التحقق من الاعتماديات باستخدام خدمة Active Directory.
3. ما هي عملية الوصول الخفيفة إلى الدليل؟
4. بنية بروتوكول LDAP ووظيفته.
5. طرق أخرى للتحكم بالوصول.
6. نظام الهوية وإدارة الوصول.
7. أدوات إدارة وصول موصى بها.

ما هي خدمة Active Directory؟

كما ذكرنا سابقًا Active Directory هي خدمة دليل هرمية طُوِّرت من قِبل مايكروسوفت خصيصًا للشبكات العاملة بنطاق ويندوز، إذ تحتوي جميع معلومات المستخدمين وملفات تعريفهم ضمن الشبكة.

بدأت AD بمثابة خدمة إدارة نطاق مركزية لخادم ويندوز 2008، واشتهرت حتى أصبحت المفتاح الأساس لمعظم الخدمات المبنية على الدليل، إذ فوِّض كل ما يتعلق بالهوية إليها.

تخزن الخدمة أية معلوماتٍ متعلقةٍ بكائنات الشبكة وتجعلها متاحةً وسهلة العثور عليها، إذ يشير الكائن عادةً للموارد المشتركة، مثل المجلدات والطابعات والخوادم والحسابات وغيرها.

تستخدم خدمة AD مخزن بيانات هيكلي أساسًا للتنظيم الهيكلي لكافة معلومات الدليل؛ ويُعرف مخزن البيانات هذا بالدليل، وهو يحتوي على جميع المعلومات عن كائنات الدليل.

الأمان الذي توفره خدمة AD

يمكن للمسؤولين التحكم بكل بيانات الدليل وتنظيمها من الشبكة من خلال تسجيل دخولٍ واحد للشبكة، وتؤمّن خدمة AD النطاق من خلال استيثاق تسجيل الدخول والتحكم بالوصول إلى الكائنات الموجودة ضمن الدليل.

خدمات النطاق Active Directory Domain Services -أو اختصارًا AD DS-، هي المسؤولة عن توفير طريقةٍ لتخزين معلومات الدليل وإتاحتها للجميع سواءً كانوا مستخدمين أم مسؤولين، ويمكن القول بأن AD DS يخزن جميع المعلومات عن حسابات المستخدم ويسمح للمستخدمين المسموح لهم فقط بالوصول لتلك المعلومات.

يُطلق على خادم AD DS عادةً اسم متحكم النطاق Domain Controller -أو اختصارًا DC-، فهو مسؤول عن الاستيثاق والتحقق من تصاريح كل المستخدمين على الشبكة وتعيين وتطبيق السياسات، ومسؤول أيضًا عن تثبيت وتحديث البرمجيات لكامل شبكة نطاق ويندوز.

بنية خدمة AD

يمكن تجميع أي كائن يُنشأ ضمن خدمة AD في نطاقات، ولزيادة الأمان تُخزَّن كل الكائنات التي تنتمي للنطاق ضمن قاعدة بيانات واحدةٍ منفصلة، إذ يمكن تمثيل أحد هذه النطاقات أو جميعها بشجرة. تمثّل الصورة التالية مثالًا عن شجرة نطاق خدمة AD ونطاقاتٍ فرعيةٍ لها، إذ أن النطاق acme.com.tw هو النطاق الأساسي ويتبع له عدة أفرع أو نطاقات فرعية.

ندعو مجموعةً من تلك الأشجار بالغابة، إذ تتشابه كل الأشجار معًا ضمن الغابة في الكاتالوج مثلًا، ومخطط الدليل والبنية وإعدادات الدليل، ومن محاسن الغابة أن الكاتالوج العام لمتحكم النطاق DC يمكن نسخه وصيانته بسهولة.

التشابه مع نظام اسم النطاق DNS

تتشابه البنية الهرمية السابقة كثيرًا مع بنية نظام اسم النطاق Domain Name System -أو اختصارًا DNS-؛ وهو نظام تسمية هرمي يُستخدم للشبكات والخدمات والموارد الأخرى، إذ يُترجم أسماء النطاق إلى عنوان IP وبالعكس، ويُعد مكونًا أساسيًا من خدمة AD.

لا يقتصر استعلام DNS على تحويل اسم المضيف إلى عنوان IP، بل يمكنه أيضًا العثور على سجلات معينة تعرّف الأدوار والوظائف لخدمة AD؛ فعندما يريد المستخدم مثلًا تسجيل الدخول إلى جهاز ضمن النطاق، فسيحاول العميل أولًا العثور على متحكّم النطاق باستخدام سجلات SRV.

التحقق من الاعتماديات باستخدام Active Directory

عندما يتلقى عميل ويندوز اعتماديات المستخدم أو الخدمة لأول مرة، فإنه يحمي تلك المعلومات لإيصالها لجهة الاستيثاق، والتي هي غالبًا متحكّم النطاق.

تربط اعتماديات المستخدم بين هوية المستخدم وإثبات الموثوقية، ويمكن لتلك الاعتماديات أن تكون كلمة المرور أو شهادة أو حتى رقم تعريف شخصي PIN تُجمع من مدخلات واجهة تسجيل الدخول للمستخدم أو عبر الواجهة البرمجية API ثم تُرسل لخادم الاستيثاق.

يحدث التحقق الاعتماديات أولًا خلال عملية تسجيل الدخول في ويندوز عن طريق موازنتها مع قاعدة بيانات مدير أمن الحسابات الموجودة على الحاسب المحلي. يوجد مدير أمن الحسابات Security Accounts Manager -أو اختصارًا SAM- ضمن كل أنظمة تشغيل ويندوز ويخزن معلومات المستخدم المحلي والمجموعات.

ولكن عند انضمام الحاسوب إلى نطاق، تُرسل الاعتماديات إلى AD ويحدث التحقُّق منها من خلال موازنتها مع الكاتالوج العام ضمن متحكم النطاق المحلي. ترسِل عملية استيثاق اعتماديات المستخدم اسم المستخدم وكلمة المرور إلى وجهة الاستيثاق، إذ تتضمن الرسالة تفاصيل حول الحاسوب الذي يطلب المستخدم الوصول إليه.

من الممكن رفض الوصول حتى عند إدخال المستخدم اسم مستخدم وكلمة مرور صحيحتين، وذلك بسبب عدم امتلاك الجهاز الذي يحاول المستخدم الوصول إليه الصلاحيات اللازمة للوصول للشبكة، أو عندما يحاول المستخدم إدخال كلمة مرور غير صحيحة عدّة مرات، لتُبلَّغ كل متحكمات النطاق ضمن الغابة بذلك وتُقفل بوجه ذلك المستخدم.

ما هي عملية الوصول الخفيفة إلى الدليل LDAP؟

عملية الوصول الخفيفة إلى الدليل LDAP هي بروتوكول معياري مفتوح يمكن استخدامه مع العديد من أنظمة الدليل الموزّعة، مثل Apache DS و OpenDS وريدهات DS وغيرها، وهو موجود قبل خدمة AD بكثير.

كما هو واضحٌ من اسمها LDAP فهي طريقة خفيفة تُستخدم للوصول وإدارة خدمات الدليل عبر TCP/IP، إذ يمكن باستخدام هذا البروتوكول مشاركة معلومات عن المستخدمين والمجموعات والشبكات بين الخوادم عبر الإنترنت، كما يوفِّر مكانًا مركزيًا لتخزين الاعتماديات والمساعدة في عملية الترخيص. تستخدم العديد التطبيقات والخدمات هذا البروتوكول للمساعدة في عملية التحقق من المستخدم.

يوفر خادم LDAP عمليات البحث عن الاسم والتحقق من الاعتماديات، ويخزن أيضًا كائنات ملفات ومجلدات قوائم التحكم بالوصول Access Control List -أو اختصارًا ALCs.

نظام X.500 أساس لبروتوكول LDAP

اِعتمد بروتوكول LDAP على نظام الاستيثاق السابق X.500، لأنه يحدد عدة معايير حول طريقة عمل آليات خدمة الدليل.

تضمن الإصدار LDAPv2 عدة ميزات تغطي معظم سلسلة معايير X.500، ولكن أتى بعده الإصدار الأحدث LDAPv3 وكان أبسط وأخف وغطى قسمًا أكبر من مزايا X.500، خاصةً فيما يتعلق بتحسين مزايا الحماية الأمنية لاتصالات LDAP، إذ أتى بنظام استيثاق وطبقة أمان إطار عمل أبسط للاستيثاق.

التحسينات الأمنية في الإصدار LDAPv3

كان الهدف الأساسي من LDAP هو تقديم معلومات الاستيثاق، ولكن كان للإصدارات الأحدث من البروتوكول تطبيقات أكثر بكثير، وكانت التحسينات الأمنية من أهم التحديثات في الإصدار LDAPv3.

عند محاولة المستخدم الاستيثاق، يبدأ العميل جلسة LDAP عبر اتصاله بخادم LDAP، وقد يطلب العميل عمليات، مثل اتصال آمن عبر بروتوكول أمان طبقة النقل Transport Layer Security -أو اختصارًا LDAPv3 -TLS (وهو استيثاق عبر إصدارٍ معينٍ من بروتوكول LDAP)، أو البحث والحصول على سجل لدليل معين، إذ يوفر ذلك مرونةً أكثر وحمايةً إضافية؛ كما يمكن أيضًا حماية اتصال LDAP عبر نفق طبقة حماية المقابس Secure Socket Layer -أو اختصارًا SSL-، إذ اسُتخدمت تلك الطريقة مع الإصدار السابق LDAPv2، لكنها لم تُعتمد معيارًا ضمن التوصيفات الرسمية حتى إصدار LDAPv3.

بنية بروتوكول LDAP ووظيفته

يملك دليل LDAP بنية شجرة هرمية، بحيث تملك كل السجلات والكائنات ضمنه مكانًا محددًا، ويمكن للكائن أن يكون مستخدمًا أو موردًا، مثل حاسوب مشترك أو طابعة. تُطلق على تلك الهرمية المُعرَّف ضمنها الكائنات اسم شجرة معلومات الدليل Directory Information Tree -أو اختصارًا DIT-، والتي تتضمن أسماءً مميزة Distinguished Names -أو اختصارًا DNs- لسجلات خدمة الدليل.

يمكن تنظيم جميع أنواع قوائم المعلومات ضمن DITs، والتي تُخزَّن ضمن قاعدة بيانات LDAP، كما أن الأذونات على قاعدة بيانات LDAP بحد ذاتها مخزنةٌ ومرتبةٌ ضمن شجرة DIT، وسيحتاج المستخدم للمرور بعملية الاستيثاق قبل محاولته الوصول للمعلومات ضمن قاعدة بيانات LDAP.

يمكن توضيح وظيفة LDAP من خلال موازنتها مع طريقة عمل DNS، كما حدث مع خدمة AD.

يستخدم DNS إجراء LDAP

تُدار عملية الوصول لنظام DNS عبر عملية LDAP. في الواقع، يُعد DNS سريعًا لعدم احتواءه على نسخةٍ كاملةٍ من قاعدة البيانات، فهو يتحقق من قاعدة البيانات المحلية أولًا، وفي حال عدم عثوره على السجل، سيستعلم من خادم أب وهكذا حتى يعثر على إجابة.

على نحوٍ مشابه لما يحصل في DNS، يستطيع LDAP -عند وجود استعلامٍ ما- أن يمرره إلى مكان وجود البيانات المطلوبة؛ وعندما يحتاج مستخدمٌ ما الوصول لمورد LDAP بعيد، يرسل الخادم المحلي أولًا طلب إذنٍ بالوصول لقاعدة البيانات المحلية؛ ففي حالة استعلام DNS مثلًا، إذا أراد المستخدم العثور على yahoo.com، سيطلب ذلك بدايةً من خادم DNS المحلي، وإذا كان لا يملك الجواب سيطلب ذلك من خادم DNS الجذر الذي يملك الإجابة ويعلم طريقة الوصول إليه.

طرق أخرى للتحكم بالوصول

تُعد قوائم التحكم بالوصول Access Control Lists -أو اختصارًا ACL- من أكثر طرق التحكُّم بالوصول شيوعًا وبساطةً ضمن الأنظمة والشبكات، وهي قائمةٌ من الأذونات على ملفٍ أو مجلدٍ تُمنح لمستخدمين معينين أو مجموعات.

بالرغم من أنها لا تُعد من خدمات الدليل، لكن يمكن استخدامها أنظمةً لإدارة الوصول للمجلدات والملفات؛ فهي قويةٌ جدًا على سبيل المثال في إدارة الأذونات ضمن نظام الملفات مثل NFS، إذ تتمكن من إدارة الوصول لأنها تستطيع توفير أذونات القراءة والكتابة والتنفيذ لمجموعةٍ معينة من المستخدمين، ويمكنك أن تملك العديد من القوائم لمنح أو رفض الإذن.

ليست قوائم ACL طرق استيثاق، إلا أنها توفر حمايةً ممتازةً لموارد الشركة.

نظام الهوية وإدارة الوصول

تُنفّذ عادةً أتمتة وصيانة خدمات الدليل والبروتوكولات، مثل AD و LDAP من قِبل التطبيقات الأخرى، وستحتاج لاستخدام نظام إدارة الوصول للهوية IAM للإعداد والضبط الأولي لتلك الخدمات.

الهدف الأساسي من تلك الأنظمة هو جمع كافة المعلومات المتاحة ضمن خدمات الوصول للدليل في مكانٍ واحد، إذ يُعد IAM إطار عمل يبسِّط عملية الإدارة والوصول للهويات المختلفة، ويحتوي على جميع السياسات والتقنيات التي تسهِّل عملية إدارة الهويات.

قد يأتي نظام IAM كاملًا مع تحكُّمٍ بالوصول باستخدام الأدوار، مما يسمح بإدارة وتنظيم الوصول للشبكات والأنظمة بناءً على الأدوار الممنوحة للمستخدمين؛ إذ يمكن تعريف الدور بناءً على سلطة ومسؤولية المستخدم وكفاءته الوظيفية، فإذا كان للمستخدم مثلًا دور المدقق، فيمكن منحه الصلاحية لقراءة كل الملفات، ويمكن في حالةٍ أخرى منح المهندس صلاحية الوصول لقراءة وكتابة وعرض بعض الأنواع من الملفات فقط.

بعض المزايا الأخرى التي قد يتضمنها نظام IAM:

• آليات جمع وتوثيق معلومات تسجيل الدخول للمستخدم.
• إمكانية إدارة قاعدة بيانات هوية المستخدم.
• إدارة التخصيص والإزالة لامتيازات الوصول.
• إمكانية تبسيط عملية تسجيل المستخدمين الجدد وإعداد الحسابات.
• القدرة على مراقبة وتعديل صلاحيات الوصول.
• المساعدة في تطبيق الأنظمة التي تتطلب تقارير دورية عن الوصول للبيانات.

برمجيات إدارة وصول

كما ذكرنا سابقًا، IAM هو إطار عمل لإدارة الهويات الرقمية والوصول، إذ يمكّنك من مراقبة الأخطار والتحكُّم بها من مكانٍ مركزي. تنتمي بعض الأدوات التي سنذكرها لأنظمةٍ كاملة ومعقدة لإدارة الشبكة؛ إذ تُضمِّن تلك الأنظمة إدارة الوصول ضمن حزمة منتجاتها. قد تكون تلك الأنواع من الأدوات مكلفةً، لكنها تناسب شبكات المؤسسات؛ وهناك أيضًأ أدوات مفتوحة المصدر ومجانية، وهي ببساطة مفسرات بسيطةٌ للدليل، وتساعد في إدارة إذن النظام على مستوًى بسيط، وهي مناسبةٌ للاستخدام الفردي والشبكات الصغيرة، ولكن قد تجد صعوبةً في إعدادها.

تتضمن القائمة التالية أدوات إدارة الوصول المناسبة لكل أنواع الشبكات:

1. SolarWinds Access Rights Manager

تطوِّر SolarWinds برمجيات تساعد في إدارة الشبكات والأنظمة والبنية التحتية لتكنولوجيا المعلومات IT، وقد استحوذت هذه البرمجيات على مزود إدارة صلاحيات الوصول 8MAN لإضافة وظائف التدقيق لزبائنهم من المؤسسات، وعدَّلت اسمه ليصبح مدير صلاحيات الوصول Access Rights Manager -أو اختصارًا ARM، ومع أن لدى SolarWinds العديد من أدوات مراقبة الوصول للدليل لكن تبقى أداة ARM أكثرها شمولية.

يساعد ARM المدراء على إعداد التحقق من المستخدمين وأذونات الوصول وحماية الشبكات من الاستخدام غير المصرح به وحذف البيانات، وتدعم البرمجية الشبكات المبنية على خدمة AD فقط، لذا فهي تعمل على خادم ويندوز فقط.

الهدف الأساسي من هذا المنتج هو تسهيل عملية تسجيل المستخدم وإزالته والتتبع؛ إذ يستطيع ARM المساعدة في حماية الأنظمة والبيانات من الاستخدام غير المصرح به والحذف من خلال التحكم وتحديد الوصول إلى المكونات الهامة، مثل خوادم الملفات وخدمة Active Directory وخادم Microsoft Exchange؛ كما يمكن بواسطة ARM توليد تقارير مخصصة توضح من لديه إذنٌ بالوصول إلى ماذا ومتى حدث الوصول لتلك البيانات، وكذلك إضافة وإزالة مستخدمين بسرعةٍ وسهولة باستخدام قوالب أدوارٍ محددة.

بعض المزايا الأساسية:

• مراقبة وتتبع Active Directory.
• تدقيق مشاركة ملفات ويندوز.
• إدارة وصول SharePoint والمراقبة.
• إضافة وإزالة المستخدمين باستخدام القوالب.
• مراقبة خادم Microsoft Exchange.

2. ManageEngine AD360

تطوِّر ManageEngine برامجًا لإدارة تكنولوجيا المعلومات IT للمؤسسات بهدف توفير الأمان وإدارة الخدمات والعمليات وخدمة Active Directory، ويُعد AD360 المُقدَّم من ManageEngine حلًا متكاملًا لإدارة خدمة AD و Exchange بسهولة؛ فهذا البرنامج هو حل IAM شاملٌ ومصمَّمٌ لإدارة هوية المستخدم والتحكم بالوصول للموارد وتطبيق قواعد الأمان وتحقيقها في بيئات ويندوز، كما يتميز بواجهة مستخدم سهلة الاستخدام تسمح بتنفيذ مزايا إدارة وصول متقدمة، ومن أهم المزايا التي يقدِّمها AD360 لويندوز AD وخوادم Exchange وحتى Office 360 هي:

• أتمتة تزويد وإيقاف الوصول لحسابات المستخدمين.
• إدارة الخدمة الذاتية لكلمات المرور.
• مراقبة التغييرات على Active Directory.
• تدقيق آمن لخدمة AD و Office 360 وخوادم الملفات.
• ضمان تطبيق السياسات، مثل HIPAA و SOX وغيرها.

3. Apache Directory

طوَّرت مؤسسة برمجيات أباتشي مشروع Apache Directory المفتوح المصدر، وهو تطبيقٌ مملوكٌ من قِبل أباتشي نفسها لخادم الدليل LDAP، إذ كُتِب البرنامج باستخدام جافا، وهو متاحٌ تحت رخصة برمجيات أباتشي.

دليل أباتشي ApacheDS 2.0 هو خادم دليل LDAP مُوسّعٌ ومُضمّنٌ ومتوافقٌ كليًا مع LDAPv3، ويدعم البرنامج بروتوكولات شبكة أخرى، مثل كيربيروس Kerberos وبروتوكول توقيت الشبكة Network Time Protocol -أو اختصارًا NTP-.

طُوِّرت عدة مشاريع فرعية مختصة بخدمات الدليل ضمن مشروع دليل أباتشي الرئيسي، وهذا ما جعل البرنامج متوافقٌ كثيرًا مع الخدمات الأخرى، ومن بين تلك المشاريع الفرعية Apache Directory Studio و eSCIMo و Fortress و Kerby و LDAP API و Mavibot.

يُعد أباتشي DS برنامجًا متعدد المنصات، ويمكن تثبيته على نظام ماك ولينكس وويندوز، ويملك العديد من المزايا التي تجعله من أهم خوادم LDAP ومنها:

• يدعم إضافة المكونات والأنظمة الفرعية.
• يمكنه تضمين دلائل افتراضية وخوادم بروكسي وبوابات نفاذ إلى أدلة X.500.
• يدعم التقسيم المبني على BTree.

طورت أباتشي Apache Directory Studio، وهو منصة دليل مجانية بُنيت خصيصًا لبرنامج ApacheDS لتسهيل إدارة الوصول، وتوضح الصورة المبينة أعلاه البرنامج أثناء عمله.

4. FreeIPA

FreeIPA هو حلٌ مفتوح المصدر لإدارة الهوية لأنظمة لينكس، ويساعد في إدارة الهوية Identity والسياسات Policy والتدقيق Audits -أو اختصارًاIPA- مجانًا، إذ صُمِّم FreeIPA بالتركيز على توفير أتمتة مهام إدارة النشر والضبط.

FreeIPA هو منصة IAM لتسهيل عمل مسؤولي أنظمة لينكس؛ وبالرغم من أنه قد طُوِّر لنظام لينكس، لكن يمكن تثبيته على RHEL ونظام ماك ويونكس؛ كما أنه يسمح لك بإدارة المستخدمين والمجموعات والمضيفين والخدمات وغيرها الكثير من مكان مركزيٍ بفضل واجهاته القابلة للتوسُّع وواجهة الويب الخاصة به و RPC وواجهة سطر الأوامر والواجهة البرمجية JSONRPC.

يمكنك حماية الهويات بمساعدة FreeIPA من خلال تعريف استيثاق كيربيروس Kerberos وسياسات التصريح لكل الأنظمة والأجهزة لديك. من مزايا البرنامج إمكانية العمل مع أنظمة IAM أخرى بنفس الوقت، مثل مايكروسوفت AD، وأفضل ما في الأمر أنه يشبه Active Directory، إذ لا يوجد ذلك عادةً ضمن أنظمة لينكس.

من المزايا الأخرى التي يتضمنها FreeIPA:

• تفعيل الاستيثاق لمرةٍ واحدة لأنظمتك.
• تعيين استيثاق كيربيروس Kerberos وسياسات التصريح.
• إدارة الخدمات، مثل SUDO و SELinux و DNS و NTP و autofs.

5. مدير حساب LDAP

الفكرة الأساسية من مدير حساب LDAP -أو اختصارًا LAM- هي تبسيط التعقيدات التقنية لبروتوكول LDAP، إذ يسمح بإدارة المستخدمين والمجموعات الموجودة ضمن دليل LDAP بسهولة عبر تطبيق الويب الخاص به.

البرنامج هو IAM مبنيٌ على الحساب، وهذا يتيح للمسؤول أخذ نظرةٍ مجردةٍ على كامل الدليل، كما يوفِّر البرنامج عارضًا ومحرّرًا لقاعدة بيانات LDAP، ويمكن تثبيته على ديبيان وفيدورا وسوزي لينكس.

التطبيق الأصلي من LDAP Account Manager مجاني ومفتوح المصدر، ويوجد نسخةٌ مدفوعةٌ وموسَّعة منه تحت الرخصة التجارية، وتُدعى النسخة المدفوعة منه LDAP Account Manager Pro وتتضمن مزايا إضافية. على الرغم من عدم امتلاك النسخة المدفوعة مزايا كاملة كما البرامج الأخرى التي ذكرناها، لكن يبقى سعرها أرخص بكثير ويمكن أن تكون خيارًا مناسبًا لشبكة مؤسسة.

بعض مزايا LDAP Account Manager Pro المدفوع:

• التسجيل الذاتي للخدمة وخيار إعادة تعيين كلمة المرور.
• خيار استيثاق متعدد العوامل.
• مزامنة كلمة المرور مع Samba.
• دعم لطرق تسجيل دخول متعددة، مثل uid والبريد الإلكتروني.
• الربط مع ملفات CSS خارجية.

ملخص

يُعد التحكُّم بالوصول والإدارة من أهم مكونات تأمين شبكات المنظمات، إذ أن المشكلة الرئيسية التي يحاول برنامج IAM حلّها هي التحكُّم بالمستخدمين ذوي امتيازات الوصول الكبيرة بهدف حماية الشبكة من أي هجوم داخلي، فالحل يكون باستخدام منصة يمكنها التحكُّم بالوصول إلى Active Directory أو LDAP و خوادم الملفات و Exchange، ويضمن بذلك حماية كل البيانات والأنظمة من الاستخدام غير المصرح به ومن إساءة الاستخدام والتعديل والحذف.

اختيار IAM المناسب مهمةٌ صعبة، إذ أن هناك ثلاثة عوامل مسيطرة قد تؤثر على قرار اختيار المنتج، أولها هو نظام التشغيل العامل على شبكتك، ثم حجم تلك الشبكة، ثم الميزانية المتاحة.

• نظام التشغيل: مع أن LDAP يدعم ويندوز، لكن إذا كنت تعمل على خادم ويندوز ضمن شبكتك يُفضّل العمل على Active Directory، لأنك ستتمكن من الاستفادة من شبكة ويندوز والتحكم بالوصول والتعامل مباشرةً مع خوادم Exchange و Office 365؛ ولكن إذا كنت تعمل على أنظمة لينكس، فستحتاج لاستخدام برمجيات IAM مبنيةٍ على LDAP.

• حجم الشبكة: إذا كان حجم الشبكة لديك كبيرًا، ستكون مزايا، مثل الاستيثاق عبر تسجيل الدخول لمرةٍ واحدة وإعادة تعيين كلمة المرور ذاتيًا مهمةً جدًا للمسؤولين لتسريع أدائهم، لكن قد لا تناسب تلك المزايا الشبكات الصغيرة.

• الميزانية: لا يملك الجميع ميزانيةً كافيةً لشراء أفضل المنتجات المُتاحة في السوق، لكن تأتي كل المنتجات التي ذكرناها في هذا المقال مع فترة تجربةٍ مجانية أو تكون مجانية 100%، حتى تتمكن من اختبارها قبل نشرها واستخدامها ضمن شبكتك.

أول ما يمكنك فعله هو تحديد احتياجات نظام التشغيل، ثم حجم الشبكة، ثم الميزانية، ويمكنك بعدها تجربة بعض تلك المنتجات وتحديد المنتج الذي يلبي متطلباتك على النحو الأمثل.

نأمل أن تساعدك هذه المقالة في فهم إدارة الوصول ودورها المهم ضمن البنية التحتية للشبكة لديك ولعملك بصفة مسؤول IT أو مهندس.

ترجمة -وبتصرف- للمقال "Access Management – What is It and How to Manage/Monitor" لصاحبه Marc Wilson.

اقرأ أيضًا

• أنواع لوائح التحكم في الوصول ACL
• استخدام قوائم التحكم في الوصول ACL وتركيب أنظمة الملفات الشبكية على Red Hat Enterprise Linux
• الشبكات الفرعية والاختصارات في لوائح التحكم في الوصول ACL
• التحكم بالوصول إلى الأقراص الخارجية في لينكس

يُعد تاريخ انتهاء صلاحية كلمة المرور الخاصة بمستخدمي نطاق خدمة Active Directory أكثر المشاكل شيوعًا، إذ يتعامل المستخدمون مع العديد من كلمات المرور، مما يؤدي إلى نسيان إعادة تعيين كلمات مرور جديدة قبل انتهاء صلاحيتها.

فما الذي يحدث عندما تنتهي صلاحية كلمة مرور في خدمة Active Directory؟

لن يُقفل الحساب، ولكن على صاحبه تغيير كلمة المرور كي يتمكن من الوصول لموارد النطاق مجددًا، ويمكن للمستخدمين أو في غالب الأحيان مسؤول إدارة النطاق في خدمة Active Directory التعامل مع هذه الإزعاجات من خلال الحصول على معلومات حول تاريخ انتهاء صلاحية حساب المستخدم ومعلومات هامةٍ أخرى.

سنستعرض طريقتين مختلفتين، تتمثل أولاهما في معرفة تاريخ انتهاء صلاحية كلمة مرور لحساب مستخدم ضمن Active Directory، ثم سنلقي نظرةً على كيفية الحصول على قائمة كاملة بذلك لجميع المستخدمين.

استخدام الأمر Net User للتحقق من تاريخ انتهاء صلاحية كلمة المرور

من الطرق البسيطة لمعرفة متى تنتهي صلاحية كلمة مرور مستخدم Active Directory هي استخدام الأمر Net User، وهو جزءٌ من أوامر "net commands"، التي تسمح بإضافة أو إزالة أو تعديل حساب مستخدم ضمن جهاز الحاسوب.

لتنفيذ الأمر "net user"، لا بُدّ من فتح واجهة الطرفية "cmd" على ويندوز على النحو الآتي.

أولًا، اذهب لحقل البحث ضمن قائمة ابدأ واكتب "cmd"، أو يمكنك الضغط على شعار ويندوز مع المفتاح "R" لفتح أداة Run، ثم اكتب "cmd".

ثانيًا، ضمن نافذة طرفية الأوامر، نفِّذ الأمر "net user" مع إضافة المعاملات التالية:

net user [username] [/DOMAIN]

إذ أن:

• [username]: يحدد اسم حساب المستخدم.
• [DOMAIN/]: يعرض معلومات عن حساب اسم المستخدم ضمن متحكم نطاق معين.
• لمعرفة المزيد حول استخدامات الأمر يمكنك تنفيذ الأمر ?/ net user كما هو موضح في الصورة التالية.

توضح الصورة التالية مثالًا عن خرج الأمر السابق؛ فمثلًا عند تنفيذ الأمر ”net user test01 /TEST.local” يمكننا عرض معلومات عن كلمة المرور للمستخدم test01 ضمن نطاق المحلي TEST.local.

نلاحظ ضمن المعلومات الظاهرة تاريخ انتهاء صلاحية كلمة المرور، ويمكن ملاحظة معلومات مفيدة أخرى، مثل توقيت آخر تعيينٍ لكلمة المرور، ومتى يمكن تغييرها، وهل يمكن للمستخدمين تغيير كلمات المرور، وغيرها من المعلومات.

قائمة بتواريخ انتهاء صلاحية كلمات المرور لجميع مستخدمي Active Directory

يفيد الأمر "net user" فقط في حالة استخراج معلوماتٍ عن مستخدمٍ ما؛ ولكن في حال أردنا استخراج معلوماتٍ عن حسابات وكلمات المرور لجميع المستخدمين ضمن Active Directory، سنحتاج لتنفيذ سطر من شيفرة PowerShell.

توجد سمةٌ مبنيةٌ ضمن Active Directory تُسمى "msDS-UserPasswordExpiryTimeComputed"، وهي تمكننا من الحصول على الحسابات ضمن Active Directory وتوقيت انتهاء الصلاحية لكلمات المرور الخاصة بهم.

قبل تنفيذ الشيفرة، لا بُدّ من التأكُّد بأن وحدة Active Directory لسطر أوامر PowerShell مثبتةٌ وقيد التنفيذ، إذ تمكِّننا تلك الوحدة من إظهار معلومات قيِّمة مخزنةٍ ضمن كائنات Active Directory، تتضمن إعدادات كلمة المرور وتاريخ انتهاء صلاحية وتوقيت آخر تعديل وغيرها.

أولًا، نزِّل وثبِّت وحمِّل أدوات إدارة الخادم البعيد Remote Server Administration Tools -أو اختصارًا RSAT-، وفي حال لم يكن مثبتًا، يمكنك اتباع دليل Microsoft التقني.

ثانيًا، تأكد من عمل ميزة PowerShell، ثم ضغط على مفتاح شعار ويندوز مع المفتاح "R" لفتح نافذة أداة Run، ثم اكتب "Windows PowerShell".

ثالثًا، يمكنك استخدام السمة "msDS-UserPasswordExpiryTimeComputed" للحصول على تاريخ انتهاء صلاحية كلمة المرور لمستخدم ما على النحو التالي:

Get-ADUser -Identity UserName -Properties msDS-UserPasswordExpiryTimeComputed).'msDS-UserPasswordExpiryTimeComputed'

رابعًا، لا يمكن قراءة نتيجة خرج من الأمر السابق، لذلك ستحتاج لإضافة السطر التالي من أجل تحويلها لصيغةٍ قابلةٍ للقراءة:

{[datetime]::FromFileTime($_.”msDS-UserPasswordExpiryTimeComputed”)}

• يمكن تنفيذ نفس السمة msDS-UserPasswordExpiryTimeComputed مع إضافة تصفية filter صحيحة للحصول على قائمة بحسابات وكلمات مرور وتواريخ انتهاء صلاحية مستخدمي Active Directory على النحو التالي:

Get-ADUser -filter {Enabled -eq $True -and PasswordNeverExpires -eq $False} –Properties "DisplayName", "msDS-UserPasswordExpiryTimeComputed" |
Select-Object -Property "Displayname",@{Name="ExpiryDate";Expression={[datetime]::FromFileTime($_."msDS-UserPasswordExpiryTimeComputed")}}

وسائل وأدوات

بعد الحصول على تواريخ انتهاء صلاحية لحسابات المستخدمين، يمكنك الاستعانة بزوجٍ من الأدوات المجانية التي تساعد في إدارة حسابات المستخدمين وأجهزة الحواسيب ضمن Active Directory.

إدارة المستخدمين وإبقاء نطاق Active Directory نظيفا

تأتي الأداة المجانية حزمة إدارة SolarWinds لخدمة Active Directory بثلاث أدوات تساعد في إدارة حسابات المستخدمين وأجهزة الحاسوب ضمن Active Directory، إذ يمكن باستخدام هذه الحزمة إيجاد وحذف حسابات المستخدمين وأجهزة الحواسيب غير الفعالة.

تتألف الحزمة من الأدوات التالية:

• أداة إزالة حسابات المستخدمين غير الفعالة: وهي أداةٌ للبحث عن الحسابات التي لم تُستخدم، أو يُسجَّل الدخول إليها، أو تلك الحسابات غير الفعالة منذ وقت طويل؛ كما تمكِّننا من تصدير قائمة بتلك الحسابات وإزالة جميع الحسابات غير الفعالة.
• أداة إزالة أجهزة الحواسيب: وهي أداةٌ للبحث عن الأجهزة غير الفعالة، كما تمكِّننا من تصدير قائمةٍ بها وإزالتها.
• أداة استيراد المستخدمين: وهي أداةٌ لإنشاء حساباتٍ للمستخدمين ضمن Active Directory عبر استيرادها من ملف CSV أو XLS، كما تمكِّننا أيضًا من إنشاء حسابات ضمن Active Directory وصندوق بريد Exchange معًا في ذات الوقت.

أتمتة إشعارات انتهاء صلاحية كلمة المرور للمستخدمين ضمن Active Directory

يوجد أداةٌ أخرى تُسمى مدقق Lepide Auditor تساعد في أتمتة إدارة كلمات المرور للحسابات عبر الحصول على معلومات عنها مباشرة من Active Directory، كما تولِّد تقريرًا وترسله للمستخدم لإبلاغه بأن صلاحية كلمة المرور الخاصة به على وشك الإنتهاء، إذ تأتي هذه الأداة مع ميزة تذكير مستخدمي Active Directory عند قرب انتهاء صلاحية كلمة المرور الخاصة بهم.

الخاتمة

يوجد أسلوبان بسيطان للحصول على تاريخ انتهاء صلاحية كلمات المرور ضمن خدمة Active Directory؛ إذ يعتمد الأسلوب الأول على استخدام الأمر Net User، والثاني على سمة PowerShell:

• يُستخدم الأسلوب المعتمد على الأمر Net User للحصول على تاريخ انتهاء صلاحية كلمة المرور لمستخدم ما، ومن أجل استخدام هذا الأسلوب، يجب الوصول إلى حساب مستخدم Active Directory، أو يمكن للمستخدم نفسه تنفيذ ذلك الأمر على جهازه.
• أمر PowerShell أقوى وأسهل في الاستخدام، فيكفي فقط تثبيت وحدة PowerShell لخدمة Active Directory ويمكنك بعدها نسخ ولصق سطر شيفرة واحد للحصول على قائمةٍ كاملةٍ بالمستخدمين وتاريخ انتهاء صلاحية كلمات المرور لهم.

يوجد أدواتٌ أخرى تساعدنا على إبقاء Active Directory نظيفًا وتؤتمت عملية إنشاء حسابات المستخدمين، مثل أداة حزمة إدارة SolarWinds لخدمة Active Directory.

يوجد أدواتٌ أخرى مدفوعة، مثل برمجية مدقق لبيد Lepide Auditor، التي تساعد على أتمتة إشعارات انتهاء صلاحية كلمة المرور.

أسئلة شائعة حول انتهاء صلاحية كلمة المرور

هل يمكن لخدمة Active Directory إرسال بريد إلكتروني عند انتهاء صلاحية كلمة المرور؟

يمكن إعداد خدمة Active Directory لإشعار المستخدمين عند قرب انتهاء صلاحية كلمات المرور الخاصة بهم، لكن سيظهر هذا الإشعار ضمن النظام وفقط عند دخول المستخدم إلى شبكة الشركة، ومن الممكن استخدام نص برمجي ضمن PowerShell للتحقُّق من كلمات المرور التي هي على وشك الانتهاء وتوليد بريدٍ إلكتروني لكل مستخدم، ولكن لا يوجد إجرائيةٌ مؤتمتةٌ لهذا الأمر ضمن خدمة Active Directory.

كيف يمكننا توليد انتهاء صلاحية كلمة مرور مستخدم خدمة Active Directory في سطر أوامر PowerShell؟

يمكن الحصول على قائمة بحسابات المستخدمين وتواريخ انتهاء الصلاحية عبر تنفيذ النص البرمجي التالي ضمن PowerShell:

Get-ADUser -filter {Enabled -eq $True -and PasswordNeverExpires -eq $False} –Properties "DisplayName", "msDS-UserPasswordExpiryTimeComputed" |
Select-Object -Property "Displayname",@{Name="ExpiryDate";Expression={[datetime]::FromFileTime($_."msDS-UserPasswordExpiryTimeComputed")}}

هل من الممكن رؤية كلمة المرور المستخدم ضمن Active Directory؟

لا يمكن حتى للمسؤول رؤية كلمة المرور لحساب المستخدم، ولكن يمكنه إعادة تعيينها؛ وهذا يمكِّن المسؤول المحتال من استعادة التحكم بحسابٍ ما.

ترجمة -وبتصرف- للمقال "Find Password Expiration Date for Active Directory Users [ PowerShell & Free Tools]‎" لصاحبه Marc Wilson.

اقرأ أيضًا

• خدمة Active Directory: دليل المصطلحات والتعاريف والأساسيات
• دليل استخدام تطبيق إدارة كلمات المرور KeePassXC

سنستعرض في هذا المقال شرحًا معمقًا لبروتوكول النسخ الآمن وكيفية استخدامه وصيغة الأمر الخاص به وبعض الأمثلة على ذلك، إذ يُستخدم الأمر SCP باختصار على أنه طريقةٌ آمنة وسهلة لنقل الملفات بين أجهزة الحاسوب عبر خدمة الصدفة الآمنة Secure Shell -أو اختصارًا SSH.

ما هو بروتوكول النسخ الآمن SCP؟

برتوكول SCP هي اختصار لبروتوكول النسخ الآمن Secure Copy Protocol، الذي يساعدنا في نقل الملفات بين مضيفٍ محلي ومضيف بعيد، ويتشابه بعض الشيء مع بروتوكول نقل الملفات File Transfer Protocol -أو اختصارًا FTP- لكن يضيف عليه الأمان والاستيثاق.

يعمل SCP على المنفذ رقم 22، ويصطلح البعض بأنه دمجٌ بين BSD RCP وبروتوكول SSH؛ إذ يُستخدم بروتوكول RCP لنقل الملفات؛ ويوفِّر وبروتوكول SSH الاستيثاق والتشفير، لهذا يُعد SCP مزيجًا بين هذين البروتوكولين.

تكون البيانات المُرسلة عبر بروتوكول SCP موثوقة، لذا يمكن استخدامه لإعاقة التنصت على الحزم عبر الشبكة Packet Sniffing، والذي يُمكّن المتنصت من استخراج معلومات قيّمة من حزم البيانات.

يستفيد بروتوكول SCP من SSH، الذي يسمح بالتضمين والحفاظ على الأذونات والعلامات الزمنية للملفات المرفوعة.

كيفية استخدام بروتوكول SCP

يمكن للعميل SCP رفع الملفات إلى خادم SSH أو طلب تنزيل الملفات والمجلدات منه، إذ يرسل الخادم بدوره كل الملفات والمجلدات الفرعية المُتاحة للتنزيل.

يجب الانتباه إلى أن الخادم يتحكم بعملية تنزيل الملف، لذا يمكن أن يكون هناك مخاطر أمنية في حال اتصل العميل بخادمٍ مشبوه.

أمر SCP هو أمرٌ أصليٌ متواجدٌ ضمن معظم أنظمة التشغيل، مثل ماك وويندوز ولينكس، إذ يمكنك كتابة "scp" ضمن الطرفية للوصول إليه، وستجد الأمر أيضًا ضمن التطبيقات الشائعة لنقل الملفات عبر الشبكة، مثل تطبيق PuTTy.

أمر النسخ CP و SCP لنفهم الفرق بينهما

إذا استخدمت سابقًا الأمر "cp" على جهاز بنظام لينكس، فلن تجد صعوبةً في فهم SCP؛ إذ يتطلب كلا الأمرين وجود مكان مصدر ووجهة ضمن نظام الملفات لإتمام عملية النسخ؛ ويتمثّل الفرق الأساسي بينهما في أن SCP يتطلب أن يكون أحد أو كلا المكانين على نظامٍ بعيد.

مثلًا عند تطبيق الأمر cp في المثال التالي:

cp /main/john/pictures/picture*.png /main/john/archive

سيهيء الأمر السابق عملية النسخ، إذ ستُنسَخ كافة الملفات، التي يبدأ اسمها بكلمة "picture" وينتهي باللاحقة "png." ضمن المجلد "pictures" الواقع ضمن المجلد الرئيسي للمستخدم john، إلى المجلد "archive" الواقع ضمن المجلد "main".

يمكن تنفيذ نفس العملية باستخدام الأمر SCP على النحو التالي:

scp /main/john/pictures/picture*.png john@myhost.com:/main/john/archive

كما هو موضحٌ في المثال، عند استخدام الأمر SCP مع اسم تسجيل الدخول john؛ ستُرفع نفس الملفات إلى الخادم myhost.com وتحديدًا إلى المجلد البعيد ضمنه بالمسار "main/john/archive/"؛ وسيسمح SCP ببدء عملية الرفع فقط عندما يقدِّم المستخدم john كلمة المرور الخاصة به لذلك الخادم.

يمكننا أيضًا تحديد مكانٍ بعيد على أنه مصدرٌ للملفات؛ إذ يمكننا مثلًا تنزيل تلك الملفات الموجودة على الخادم "myhost.com" والتي يبدأ اسمها بكلمة "picture" وينتهي باللاحقة "png."، إلى المسار المحلي "main/john/downloads/"، على النحو التالي:

scp john@myhost.com:/main/john/archive/picture*.png /main/john/downloads

استخدام SCP على مكانٍ بعيد

يمكن أيضًا تحديد مضيف بعيد على أنه مصدرٌ ووجهةٌ بآنٍ معًا، إذ يمكن باستخدام الأمر التالي مثلًا نقل الملف من مجلدٍ موجودٍ على myhost.com إلى مجلدٍ آخر موجودٍ ضمن نفس الخادم.

scp someuser@myhost.com:/main/someuser/dira/file.txt someuser@myhost.com:/main/someuser/dirb

يمكن استخدام SCP في حالةٍ أخرى لنقل الملفات من مضيفٍ إلى مضيفٍ آخر مختلف باستخدام الأمر التالي:

scp user@host1.com:/onedir/file.txt user@host2.com:/otherdir

تذكر أن الملفات المنقولة عبر SCP محميةٌ ومشفرةٌ مثل SSH و SFTP.

صيغة الأمر SCP

قبل شرح طريقة عمل الأمر SCP لنتعرف على صيغة الأمر الأساسية، وهي:

scp [-12346BCpqrv] [-c cipher] [-F ssh_config] [-i identity_file]
      [-l limit] [-o ssh_option] [-P port] [-S program]
      [[user@]SRC_host:]file1 ... [[user@]DEST_host:]file2

معرفتك للأمر SCP وطريقة عمله هي البداية فقط، إذ أن هناك كثيرٌ من الخيارات المختلفة للأمر SCP يمكننا الاختيار منها، وسنتعمق في هذا القسم في فهم طريقة عمله.

لقطات الشاشة التالية هي للأمر SCP من طرفيةٍ على نظامي ويندوز وماك، إذ يختلف خرج الأمر بحسب نظام التشغيل.

خرج الأمر ويندوز على ويندوز

خرج الأمر على نظام ماك

• [12346BCpqrv-]

  • 1: وهو إصدار قديم للبروتوكول، يخبر البرنامج باستخدام بروتوكول SCP بالإصدار رقم 1.
  • 2: كما في الخيار السابق، وهو بروتوكول قديم يخبر الأمر SCP باستخدام البروتوكول بالإصدار رقم 2.
  • 3: ينقل البيانات بين مضيفين بعيدين عبر المضيف المحلي؛ إذ ستُنقل البيانات بين المضيفين البعيدين مباشرةً وبدون هذا الخيار. يمكن استخدام هذا الخيار أيضًا لإلغاء تفعيل شريط التقدُّم.
  • 4: يخبر هذا الخيار SCP باستخدام العناوين من نوع IPv4 فقط.
  • 6: يخبر هذا الخيار SCP باستخدام العناوين من نوع IPv6 فقط.
  • B: يخبر هذا الخيار SCP بعدم الاستيثاق من الجلسة من خلال سؤال المستخدم عن كلمة المرور، ويتطلب ذلك ضمنيًا أن تكون طريقة الاستيثاق المحددة غير تفاعلية.
  • C: يفعِّل هذا الخيار ضغط الاتصال المشفر وذلك عبر تضمين الراية "C-" ضمن SSH.
• [c cipher-]: يحدد هذا الخيار طريقة تشفير البيانات المنقولة، إذ تُمرّر تلك الطريقة إلى جلسة SSH مباشرةً.
• [F ssh_config-]: يمكن باستخدام هذا الخيار تحديد ملف ضبط SSH خاص لكل مستخدم، ويُرسل إلى SSH مباشرةً.
• [i dentity_file-]: يسمح هذا الخيار بتحديد المعرّف (المفتاح) للاستيثاق RSA، ويُمرَّر إلى SSH مباشرةً.
• [I limit-]: يحدد هذا الخيار السقف الأعلى لعرض الحزمة المستخدم بالوحدة كيلوبت بالثانية Kbps.
• [o sshoption-]: يمكن تطبيق هذا الخيار لتمرير الخيارات إلى SSH باستخدام نفس صيغة sshconfig. ويُفضَّل تمرير الخيارات التي لا يوجد لها خيارٌ مماثلٌ ضمن خيارات الأمر SCP. بعض الخيارات المتاحة:
  • AddressFamily: يمكن لهذا الخيار إعداد متطلبات العنوان IP، بحيث يمكن أن تكون عائلة العناوين إما IPv4، أو IPv6.
  • Batch-mode: يمكننا استخدام هذا الخيار لتعطيل كل الاستعلامات عن مُدخلاتٍ من المستخدم، أي ستصبح طرق الاستيثاق التفاعلية مع المستخدم غير مدعومة عند تطبيق هذا الخيار. المعاملات المسموحة لهذا الخيار هي "yes" أو "no"، والقيمة الافتراضية هي "no".
  • BindAddress: يمكننا من خلال هذا الخيار استخدام العنوان المحدد على الجهاز المحلي مثل عنوان مصدر، إذ يفيد هذا الخيار فقط في حال كان النظام يملك عدة عناوين. يفضل إبقاء هذا العنوان معطلًا في حال تفعيل "UsePrivilegedPort".
  • CheckHostIP: عند تعيين قيمته إلى "yes" (وهي القيمة الافتراضية)، سيتحقق SSH من وجود عنوان IP للمضيف ضمن ملف known_hosts، وبهذا يتمكن SSH من التحقق فيما إذا جرى أي تعديلٍ لمفتاح المضيف في حالة وجود انتحالٍ لخادم DNS، ولن يحدث هذا التحقق في حال كانت القيمة "no".
  • Ciphers: يحدد هذا الخيار عدة خوارزميات تشفير مفصولٌ بينها بفاصلة، ومدعومةٌ من قبل العميل، وتُستخدم طريقة التشفير الأعلى بحسب ترتيب تفضيل العميل والمدعومة من قبل الخادم للجلسة الحالية. طرق التشفير المدعومة هي: "aes128-ctr" و "aes128-cbc" و "aes192-ctr" و "aes192-cbc" و "aes256-ctr" و "aes256-cbc" و "blowfish-cbc" و "arcfour" و "arcfour128" و "arcfour256" و "cast128-cbc" و "3des-cbc"؛ ويمكنك تعيين القيمة أيضًا إلى "none"، ولكن لن تُشفَّر البيانات بهذا الخيار، لذا لا يُفضَّل استخدام تلك القيمة لأنها لن تقدم حمايةً موثوقة.
  • من خيارات SSH المتاحة أيضًا: Compression و CompressionLevel و ConnectionAttempts و ConnectTimeout و IdentityFile و IdentitiesOnly و KexAlgorithms وغيرها الكثير.
• P port- يحدّد هذا الخيار رقم المنفذ المُراد الاتصال به على المضيف البعيد. يجب التفريق بين هذا الخيار بحرف P كبير وخيار بحرف p صغير مختلف آخر.
• p- يسمح هذا الخيار بالحفاظ على خصائص الملف الأصلي، مثل أوقات الوصول، وأوقات التعديلات، والأوضاع modes.
• q- يمكن استخدام هذا الخيار لإلغاء تفعيل شريط التقدم.
• r- يمكن استخدام الخيار لنسخ كل المجلدات الفرعية.
• S program- يحدد هذا الخيار البرنامج المُستخدم للاتصال المشفر، ومن الضروري أن يكون البرنامج المُحدّد قادرًا على فهم خيارات SSH.
• v- يفعِّل هذا الخيار وضع الإسهاب verbose، الذي يجبر الأوامر SCP و SSH على إظهار رسائل التصحيح عن تقدم العملية، إذ تفيد تلك الرسائل خلال عملية تحديد مشاكل الاتصال، أو مشاكل الإعدادات الخاطئة.

أمثلة عن الأمر SCP

سنذكر بعض الأمثلة عن استخدامات أمر SCP لمزيدٍ من التوضيح والفهم. تذكر بأن صيغة عنوان الملف تكون دائما كما يلي:

[user@host]host[:port][/path/file]

ينسخ الأمر التالي مثلًا الملف file.txt إلى المضيف البعيد "example.computeruser.com"، بحيث يكون اسم المستخدم الذي المُستخدم لتسجيل الدخول هو "user" على النحو التالي:

scp file.txt user@example.computeruser.com:file.txt

بينما ينسخ الأمر التالي كل الملفات ضمن المجلد "main/hope/" على المضيف البعيد "remotehost.com" إلى مسار العمل المحلي.

scp username@remotehost.com:/main/hope/*

سينسخُ الأمر التالي كل الملفات على المجلد البعيد "main/john/documents/" على الخادم "host.com" إلى المجلد المحلي "/main/john/downloads/documents/"، وسيشمل النقل كل المجلدات الفرعية مع ملفاتها.

scp -r john@host.com:/main/john/documents /main/john/downloads/documents

سينسخ الأمر التالي الملف البعيد "main/john/archive.zip/" على المضيف البعيد "host.com" إلى مسار العمل المحلي، وستُهيأ العملية للمستخدم "john"، ويُحدَّد الحد الأعلى للنقل إلى 200 كيلوبت بالثانية.

scp -l 200 john@host.com:/main/john/archive.zip

بينما ينسخ الأمر التالي الملف البعيد "files/file.zip/" على المضيف البعيد "1sthost.com" إلى المجلد البعيد أيضًا "archives/" على الخادم "2ndhost.com"، إذ سيُطلب إدخال كلمات المرور لكلٍ من الحسابات "john@1sthost.com" و "robert@2ndhost.com" على التوالي، وستُنقل الملفات مباشرةً بين المضيفين البعيدين.

scp john@1sthost.com:/files/file.zip robert@2ndhost.com:/archives

يشبه الأمر الأخير الأمر السابق، ولكن عوضًا عن نقل الملفات مباشرةً بين المضيفين البعيدين، ستُنقل الملفات عبر المضيف المحلي بينهما.

scp -3 john@1sthost.com:/files/file.zip robert@2ndhost.com:/archives

خلاصة

يُعدّ الأمر SCP بسيطًا لكنه قوي، إذ يوفّر نقلًا آمنًا للملفات بين المضيف المحلي والبعيد، وهو يشبه SFTP لأنه يعمل ضمن طبقة الجلسة ويستخدم المنفذ رقم 22.

الأمر SCP مبنيٌ على SSH وهو آمنٌ للغاية؛ فعلى عكس SFTP لا يمكن للأمر SCP عرض قائمة بالملفات الموجودة على الخادم البعيد أو حذفها؛ وعلى الرغم من عدم امتلاكه لتلك الميزة، لكنه يتميز بسرعة نقلٍ أعلى بكثير من SFTP.

يفيد هذا الأمر المستخدمين الذين يتعاملون مع بروتوكول SSH كثيرًا، ويوفر سرعة في النقل دون الحاجة للاهتمام بإدارة الخادم البعيد.

ترجمة -وبتصرف- للمقال "SCP – What is Secure Copy Protocol – Definition & Example" لصاحبه Marc Wilson.

اقرأ أيضًا

• كيف تستخدم الأمر scp لتأمين نسخ الملفات بين الخواديم
• ضبط إعدادات خدمة SSH على خادوم لينكس
• استخدام FileZilla لتبادل الملفات الآمن مع الخادم

قبل وجود خدمة Active Directory كان عليك إذا احتجت الوصول لملفٍ مُشاركٍ على الشبكة أن تعرف اسم أو عنوان IP للخادم الذي يحتويه ومسار الملف واسمه؛ وقد يفي هذا الحل بالغرض ضمن الشبكات الصغيرة، لكنه لا يبقى حلًا عمليًا يمكن توسيعه مع نمو حجم الشبكة.

تساعد اليوم خدمة AD في حل هذه المشكلة من خلال تعيين كل أسماء موارد الشبكة، مثل الملفات والمجلدات والطابعات والخوادم المُشاركة وغيرها إلى عناوينها، وتلعب اليوم خدمة الدليل مثل خدمة Active Directory دورًا مهمًا في الشبكات الكبيرة، مثل شبكات المنظمات أو الشركات، إذ تدعم خدمة AD جميع العمليات والتطبيقات الهامة تقريبًا، مثل إضافة وإزالة الموارد وتخطيط السعة والأمان وخدمات الشبكة وإدارة الموارد وغيرها.

سنستعرض في هذا المقال قائمةً بالمصطلحات والمفاهيم الأساسية في عالم خدمة Active Directory، إذ ستساعدك هذه القائمة إذا كنت مبتدئًا في فهم المفاهيم الأساسية في هذا المجال.

أساسيات خدمة Active Directory

خدمة الدليل Directory

خدمة الدليل هي مخزنٌ للمعلومات، مبنيٌ بهيكلٍ هرمي، يتيح إمكانية التخزين والبحث وإدارة الموارد بصورةٍ سريعة ضمن الشبكة، ويُعد كل موردٍ ضمن الشبكة كائنًا.

من المهم الانتباه أن خدمة الدليل أكثر من مجرد قاعدةٍ للبيانات، فهي "خدمةٌ" كما يدل اسمها؛ بينما قاعدة البيانات هي مخزن معلومات فيزيائي يمكن الوصول إليه وتخزينه ضمن نظام جهاز الحاسوب؛ وتستخدم خدمة الدليل قاعدة البيانات للطلب والحصول على معلوماتٍ عن الكائن.

خدمة Active Directory

خدمة Active Directory -أو اختصارًا AD-، ويُطلق عليها أحيانًا الدليل النشط هي خدمة دليل لشبكات نطاق ويندوز، حيث تأتي ضمن أي خادم ويندوز مثبَّت عليه دور خدمات نطاق الدليل النشط Active Directory Domain Services -أو اختصارًا AD DS.

يُستخدم AD بالأساس لتخزين وإعطاء الأذونات وإدارة معلومات عن المستخدمين ومواردهم، ويمكن له تخزين تلك المعلومات مثل كائنات، إذ يُعد الكائن موردًا ضمن الشبكة، مثل حسابات المستخدم وكلمات المرور وأجهزة الحاسوب والتطبيقات والطابعات، إضافةَ إلى مشاركات الملفات أو المجلدات ومجموعات الأمان وأذوناتها.

أما متحكم نطاق ويندوز Domain Controller -أو اختصارًا DC-، فهو خادمٌ يلعب دور خدمات نطاق الدليل النشط AD DS ويمثِّل البرمجية أو العتاد الذي يوفِّر مجموعة خدمات AD، إذ أن الوظيفة الأساسية لمتحكم النطاق هي الاستيثاق والتحقُّق من كل المستخدمين ومواردهم ضمن نطاق شبكة ويندوز.

يُعد تسجيل دخول المستخدم إلى جهاز حاسوب يمثِّل جزءًا من نطاق ويندوز أفضل مثال حول AD، إذ يتحقق AD عندها من الاعتماديات المُدخلة مع تلك المُخزنة ضمن قاعدة البيانات، وفي حال صحة اسم المستخدم وكلمة المرور يتمكَّن المستخدم من تسجيل دخوله إلى ذلك الجهاز.

دورة علوم الحاسوب

دورة تدريبية متكاملة تضعك على بوابة الاحتراف في تعلم أساسيات البرمجة وعلوم الحاسوب

اشترك الآن

البروتوكول الخفيف للوصول إلى الدليل LDAP

البروتوكول الخفيف للوصول إلى الدليل Lightweight Directory Access Protocol -أو اختصارًا LDAP-، هو بروتوكول مفتوح ومتعدد المصنعين، ويُستخدم للوصول إلى خدمات الدليل واستيثاقها، كما يوفِّر صيغةً للتطبيقات والأنظمة للتفاعل مع خدمات الدليل، أي يوفرطريقةً للتواصل مع خدمة الدليل.

يستخدم Active Directory بروتوكول LDAP بالإصدارين 2 و 3 مثل بروتوكولاتٍ للوصول، إذ يوفِّر LDAP الاستيثاق من خلال نموذج خادم / عميل، ويعمل فوق حزمة بروتوكولات الانترنت TCP/IP، ويدعم استيثاق Kerberos وطبقة الاستيثاق والحماية البسيطة Simple Authentication Security Layer -أو اختصارًا SASL-.

خدمات ويب Active Directory

قُدّمت خدمات ويب خدمة Active Directory، أو Active Directory Web Services، -أو اختصارًا ADWS- لأول مرةٍ مع نسخة ويندوز 2008 R2، فهي تسمح بالإدارة من بعيد لأي نطاقات Active Directory محلية وخدمات الدليل الخفيفة ضمن Active Directory، أو Active Directory Lightweight Directory Services، -أو اختصارًا ADLDS-، ونُسخٌ لأداة تثبيت قاعدة بيانات Active Directory.

يستخدم ADWS بروتوكول WS على المنفذ رقم 9389 وهو غير مرتبط بمنافذ بروتوكول HTTP، مثل المنفذ 80، أو 443.

وكيل نظام الدليل DSA

تتألف نسخة Active Directory من قاعدة بياناتها وبرنامج يدعى وكيل نظام الدليل Directory System Agent، -أو اختصارًا DSA-، إذ يتألف هذا البرنامج من مجموعةٍ من الخدمات والعمليات التي تتيح الوصول لمخزن البيانات الذي يطلبه بروتوكول LDAP، وهو المسؤول عن إتاحة الوصول لقسم من الدليل الذي يطلبه وكيل مستخدم الدليل.

بنية خدمة Active Directory

تنظِّم خدمة Active Directory كل موارد الشبكة ضمن بنيةٍ منطقية، إذ يكون النموذج المنطقي هذا مستقلٌ عن البنية الفيزيائية للشبكة؛ وبمعنى آخر: لا يهتم AD بهيكلية topology الشبكة أو عدد متحكّمات النطاق فهو يشكّل الموارد ببنيةٍ منطقية، وبدلًا من العثور على المورد بواسطة مكانه الفيزيائي، يسمح AD للمستخدمين بالعثور عليه عن طريق الاسم.

يسمح Active Directory بتنظيم عناصر الشبكة، مثل المستخدمين وأجهزة الحاسوب ضمن البنية الهرمية المنطقية له، إذ توجد في أعلى الهرم الغابة، وتأتي بعدها الأشجار التي تشمل نطاقًا واحدًا أو أكثر، ويوجد ضمن النطاق الوحدات التنظيمية Organizational Units -أو اختصارًا OU-.

كائنات Active Directory

تتشكل بنية Active Directory من خلال مجموعات معلومات تسمَّى أيضًا الكائنات، إذ يمثِّل كل كائنٍ منها عنصرًا مميزًا ضمن الشبكة، مثل مستخدمٍ أو جهاز حاسوب، ويُوصف عن طريق مجموعةٍ من الخصائص؛ فيمكن مثلًا تحديد كائن المستخدم بواسطة الاسم والمعرّف والعنوان ورقم الهاتف وغيرها من الخصائص.

يمكن تقسيم تلك الكائنات ضمن فئتين:

1. موارد، إذ يمكن أن تكون الكائنات ضمن هذه الفئة طابعات، أو أجهزة حاسوب، أو أجهزة مشتركة.
2. مبادئ أمان، إذ يمكن أن تكون الكائنات ضمن هذه الفئة مستخدمين، أو كلمات مرور، أو مجموعات، أو غيرها، أو أي كائنٍ يحتاج استيثاقًا أو يمكن إعطاؤه أذونات.

يحجز AD معرّف أمان Security Identifier -أو اختصارًا SID- فريد لكل كائنٍ من كائنات مبادئ الأمان، إذ يُستخدم SID للسماح أو منع وصول الكائن للموارد ضمن النطاق.

الكائنات المدعومة افتراضيا في خدمة Active Directory هي:

• المستخدمون Users: وهم الكائنات المُسندة للأفراد الذين هم بحاجة للوصول لموارد النطاق، إذ يمتلك حساب المستخدم اسم مستخدم وكلمة مرور.
• أجهزة الحاسوب Computers: والتي تُمثِّل منصة عمل أو خادم ضمن النطاق.
• جهات الاتصال Contacts: تحوي معلومات عن جهات اتصال خارجية، ولا يمتلك هذا الكائن SID لذا فهو لا ينتمي للنطاق.
• المجموعات Groups: تمثِّل هذه الكائنات مجموعةً من حسابات المستخدمين أو أجهزة الحاسوب أو جهات الاتصال، ويوجد منها نوعان، هما مجموعات الأمان ومجموعات التوزيع، إذ تسهِّل المجموعات إدارة عدة كائنات معًا ضمن وحدةٍ مفردة.
• المجلد المُشارك Shared folder: يُعيَّن هذا الكائن لمشاركة الخادم ويُستخدم لمشاركة الملفات على كامل الشبكة.
• الطابعات Printer: يمثِّل هذا الكائن طابعةً مشتركةً ضمن النطاق.
• الوحدات التنظيمية OU: يمثِّل هذا النوع من الكائنات حاويةً يمكن أن تتضمن كائناتٍ أخرى، مثل المستخدمين وأجهزة الحاسوب والمجموعات من نفس النطاق؛ وتُستخدم OU لتخزين الكائنات المتشابهة معًا لتسهيل إدارتها؛ كما تُستخدم أيضًا لتطبيق إعدادات سياسات المجموعة والأذونات على كامل الحاوية.

الفرق بين الوحدات التنظيمية والمجموعات

من الضروري التأكيد على الفروقات بين مجموعات الكائنات والوحدات التنظيمية OU، إذ صُمِّمت المجموعات للسماح أو لمنع الوصول للموارد؛ أما الهدف الأساسي من OU فهو التحكم بالكائن من خلال سياسة المجموعة Group Policy -أو اختصارًا GPO-، أو الأذونات؛ لكن هناك فرقٌ آخر وهو استخدام المجموعات معرّفات SID، بينما OU لا تستخدمها، إذ لا يمكن وضعها ضمن المجموعة.

خصائص تسمية المستخدم

يمكن تحسين الأمان ضمن خدمة Active Directory من خلال مجموعة من خصائص التسمية للمستخدم التي تساعد في تعريف كائنات المستخدم، مثل اسم تسجيل الدخول، أو المعرّف ID. نوضح فيما يلي بعضًا من خصائص التسمية الهامة ضمن خدمة AD:

• UserPrincipalName -أو اختصارًا UPN-: وهو اسم تسجيل الدخول الأساسي للمستخدم، إذ يُستخدم عادةً عنوان البريد الإلكتروني للمستخدم قيمةً له.
• ObjectGUID: وهو معرّفٌ مميزٌ للمستخدم، إذ لا يتغير اسم الخاصية ObjectGUID ضمن خدمة AD ويبقى مميزًا حتى لو أُزيل المستخدم.
• SAMAccountName: وهو اسم تسجيل دخول يدعم الإصدارات السابقة لعملاء وخوادم ويندوز.
• ObjectSID: وهو معرّف الأمان للمستخدم SID، إذ تُستخدم هذه الخاصية لتعريف المستخدم وعضويته في المجموعة خلال التعاملات الأمنية مع الخادم.
• SIDHistory: تمثِّل الخاصية معرّفات الأمان SIDs السابقة للمستخدم.

النطاقات

تمثل النطاقات الوحدات البنيوية الأساسية ضمن خدمة Active Directory، وهي مجموعةٌ من الكائنات تشكِّلها قاعدة البيانات باستخدام معلومات المعرف ID للكائن، ويمكن لنطاق خدمة AD أن يحتوي على عِدّة نطاقات فرعية تُسمى أيضًا نطاقات الأبناء.

يستخدم النطاق نموذج الاتصال خادم - عميل، إذ يوفِّر هذا النموذج الأمان بحيث يمكن تعيين الأذونات من النطاق (الخادم) إلى مختلف المستخدمين والمجموعات (العملاء)، ويستخدم متحكم النطاق خدمات الأمان التي توفِّر الاستيثاق والتحقُّق لموردٍ معين.

صفات شائعة لنطاق AD:

• تكوِّن مجموعةٌ من النطاقات شجرة.
• يمكن إعداد سياسة المجموعة لكامل النطاق، لكنها تُطبَّق عادةً على وحدة تنظيمية OU.
• يمكن تعريف نطاق AD من خلال اسم خادم، أو اسم النطاق DNS، أو النطاق الفرعي له، وعند إعداد AD لأول مرة ستحتاج لإنشاء اسم للنطاق الجذر.

وعلى سبيل المثال، يمكن أن يكون اسم نطاق خدمة Active Directory هو "ad-internal.company.com"، إذ أن الاسم "ad-internal" هو الاسم المُستخدم لنطاق AD الداخلي خاصتك، و "company.com" هو اسم مواردك الخارجية.

اسم النطاق الكامل FQDN

يمكن استخدام اسم النطاق الكامل Fully Qualified Domain Name -أو اختصارًا FQDN لتسمية كائنٍ ضمن النطاق؛ وهو اسمٌ مميزٌ لمضيفٍ أو جهاز حاسوب ضمن النطاق، ويتألف من اسم المضيف واسم النطاق. وعلى سبيل المثال، يكون اسم النطاق الكامل لجهاز حاسوب ضمن النطاق "sales-internal.company.com" بالاسم "WORKSTATION-040" هو "WORKSTATION-040.sales-internal.company.com".

الأشجار

شجرة AD هي مجموعةٌ من النطاقات ضمن شبكة Active Directory تشترك فيما بينها ببنية تسمية DNS مشتركة، وتُنشِئ الشجرة حدودًا منطقيةً بين عدّة نطاقات، إذ تُستخدم كلمة شجرة لأن لكل نطاقٍ أبٌ واحدٌ فقط، وهذا ما يشكّل بنيةً لها شكل وهرمية الشجرة، وتشكِّل مجموعةً من تلك الأشجار غابة.

الغابات

غابة AD هي مجموعةٌ من شجرةٍ أو أكثر من أشجار AD، وهي أعلى حاوية ضمن البنية الهرمية وتُنشئ فصلًا منطقيًا بين الأشجار، إذ تتألف من شجرةٍ واحدة بنطاقٍ واحد، أو عدة أشجار بنطاقات متعددة، وعند إنشاء أول نطاق ضمن AD يُولّد له غابةً افتراضيًا.

تتشارك الأشجار ضمن الغابة بالمخطط schema نفسه، مما يعني أن كل محتويات الكائنات ستكون نفسها ضمن كل النطاقات في الغابة.

ومن صفات الغابة الأخرى هي ثقة النطاقات ضمنها ببعضها افتراضيًا.

المجموعات

المجموعة في Active Directory هي مجموعةٌ من الكائنات، مثل المستخدمين وأجهزة الحاسوب وجهات الاتصال؛ إذ تتيح المجموعات إدارةً أسهل وأمانًا أفضل، فبدلًا من إدارة كل كائنٍ على حدى يمكن للمدير التحكم بكل الكائنات معًا؛ وتُستخدم المجموعات كثيرًا لتعيين الأذونات للكائنات ضمن النطاق.

يوجد نوعان من المجموعات في AD، هما:

• مجموعة الأمان: تُستخدم لمنح أو منع الوصول لمواردٍ معينة ضمن النطاق.
• مجموعات التوزيع: تُستخدم لتوزيع البريد الإلكتروني والرسائل لكامل المجموعة، ولم تُصمم هذه المجموعة لمنح صلاحية الوصول للموارد.

نطاقات المجموعة

يمكن تصنيف كلٍ من مجموعات الأمان والتوزيع ضمن ثلاث نطاقات scopes مجموعة، وهي: المجموعات العالمية Universal Groups، أو العامة Global، أو مجموعات النطاق المحلي Domain Local Groups؛ إذ يعرِّف نطاق المجموعة المكان الذي يمكن استخدام المجموعة فيه ضمن الشبكة؛ كما أنه المستوى الذي تصل إليه المجموعة ضمن النطاق أو الشجرة أو الغابة؛ ويمكنه أيضًا تعيين أعضاء المجموعة.

• المجموعات العامة: تحوي كائنات، مثل المستخدم وحسابات جهاز الحاسوب ضمن النطاق المحلي، ويمكن استخدام هذه المجموعات لمنح الوصول للكائنات المحلية إلى النطاق، أو الشجرة، أو الغابة.
• مجموعات النطاق المحلي: يمكن أن تحتوي على كائنات من أي نطاق، ويمكن لأعضاء المجموعة الوصول للموارد ضمن النطاق المحلي.
• المجموعات العالمية: تحتوي على كائنات أعضاء ضمن المجموعة من مجموعات نطاق أخرى، أو أي نطاق ضمن الشجرة، أو الغابة، ويمكن لأعضاء هذه المجموعة الوصول لأي موردٍ ضمن النطاق.

مخطط Active Directory

يصِف مخطط AD القواعد عن نوع صنف الكائن مع بعض الخصائص الممكن تخزينها في AD، إذ يشبه المخطط نسقًا layout يحدِّد المحتوى والبنية لأصناف الكائنات.

كل كائن يُنشَأ ضمن خدمة Active Directory هو نسخةٌ من صنف الكائن، فمثلًا "كائن المستخدم User Object" هو نسخةٌ من "صنف المستخدم User Class". وعند إنشاء مستخدمٍ جديد، سيكون الكائن ضمن الصنف "User"، وسيحتاج لخصائصٍ بعضها إجباري والآخر اختياري وذلك بحسب المخطط.

يتألف المخطط من عدة عناصر:

• أصناف كائن المخطط.
• خصائص المخطط.
• صيغ.
• أذونات التحكم بالوصول.

المستويات الوظيفية

المستويات الوظيفية ضمن Active Directory هي متحكماتٌ تحدِّد مزايا خدمات النطاق ضمن Active Directory الممكن استخدامها ضمن النطاق أو الغابة، كما تحدد أيضًا إصدار نظام خادم ويندوز الممكن تشغيله على متحكمات النطاق. يفضَّل عند نشر AD DS تحديد المستويات الوظيفية للنطاق والغابة إلى أعلى قيمة للسماح بآخر وأفضل المزايا المُتاحة ضمن Active Directory.

أدوار العملية الرئيسية الوحيدة المرنة FSMO

تسمح أدوار العملية الرئيسية الوحيدة المرنة Flexible Single Master Operation -أو اختصارًا FSMO- لمتحكمات النطاق Domain Controllers -أو اختصارًا DCs-، بالاستيثاق من المستخدمين وإعطائهم الأذونات دون مقاطعة؛ أي أن مسؤوليات DC للاستيثاق والتصريح منفصلةٌ إلى أدوارٍ مختلفة وموزعةٌ على عدَّة متحكمات DC، إذ يوفِّر الفصل في الأدوار هذا وجود عدة متحكمات في الخدمة في حال تعطُّل إحداها.

يوجد خمسة أدوار مختلفة للعملية الرئيسية الوحيدة المرنة FSMO:

1. المخطط الرئيس Schema Master: وهو دورٌ على مستوى المؤسسة، إذ يوجد مخططٌ رئيسٌ واحدٌ فقط ضمن كل الغابة يمكنه معالجة التغييرات على المخطط.
2. رئيس تسمية النطاق Domain Naming Master: وهو دورٌ على مستوى المؤسسة أيضًا، إذ يوجد رئيس تسمية نطاق واحدٍ فقط مسؤولٌ عن إدارة أسماء النطاق.
3. مُقلِّد متحكم النطاق الرئيسي Primary Domain Controller Emulator -أو اختصارًا PDC-: وهو دورٌ على مستوى النطاق، ويعالج طلبات الاستيثاق وتغييرات كلمات المرور وكائنات سياسة المجموعة، كما يتيح التوقيت الحالي. يكون متحكم النطاق DC، والذي يملك دور مُقلِّد PDC هو المتحكم صاحب أعلى سلطة ضمن النطاق.
4. المعرّف النسبي الرئيس Relative Identifier Master: وهو دورٌ على مستوى النطاق، ومسؤولٌ عن الحفاظ على كتل SID وتعيينها لمتحكمات النطاق ضمن النطاق.
5. رئيس البنية التحتية Infrastructure Master: وهو دورٌ على مستوى النطاق يترجم معرّفات GUID و SID و DN بين النطاقات، ويُشار إلى هذا الدور من قِبل كائناتٍ أخرى ضمن النطاقات الأخرى.

سلة مهملات خدمة Active Directory

وهي ميزةٌ إضافية أتت مع خادم ويندوز 2012 R2، إذ تسمح باستعادة الكائنات المحذوفة مع خصائصها؛ فإذا حذفت مثلًا حسابات المستخدمين ضمن النطاق عن طريق الخطأ، فستسمح سلة المهملات باستعادتها مع عضويتها ضمن المجموعات وأذونات الوصول الخاصة بهم وغيرها من الخصائص.

متحكم النطاق للقراءة فقط RODC

متحكم النطاق للقراءة فقط Read-Only Domain Controller -أو اختصارًا RODC- هو خادمٌ يخزن نسخةً للقراءة فقط من قاعدة بيانات نطاق AD، والغرض الأساسي من RODC هو زيادة الأمان الفيزيائي ضمن المكاتب الفرعية عبر الوظائف التالية:

• خصائص القراءة فقط.
• حماية خادم DNS.
• إدارة كلمات المرور والحماية.
• التفويض لدور المسؤول.

مجلد SYSVOL

مجلد SYSVOL هو مجلدٌ مشتركٌ ضمن كل متحكم نطاق DC يمكنه تخزين معلومات من Active Directory ونسخها إلى متحكمات النطاق، إذ يوفِّر SYSVOL المكان الذي يمكن لمتحكمات النطاق نسخ البيانات إليه بين بعضها.

خدمات Active Directory

توفر خدمة Active Directory عدَّة خدمات جاهزة لإدارة الهويات والأذونات والوصول لموارد الشبكة، والخدمات AD المُتاحة على خادم ويندوز 2008 وخادم ويندوز 2008 R2، هي:

• خدمات الشهادة Active Directory Certificate Services -أو اختصارًا AD CS-.
• خدمات النطاق Active Directory Domain Services -أو اختصارًا AD DS-.
• خدمات الاتحاد Active Directory Federation Services -أو AD FS.
• خدمات الدليل الخفيفة Active Directory Lightweight Directory Services -أو اختصارًا AD LDS.
• خدمات إدارة الأذونات Active Directory Rights Management Services -أو اختصارًا AD RMS.

خدمات نطاق Active Directory

تلعب خدمات نطاق AD DS الدور الأكثر شهرةً لخادم ضمن Active Directory، وهي خدمة الدليل التي توفِّر التقنية اللازمة لتخزين بيانات الدليل وإتاحة تلك البيانات، كما توفّر إدارةً لها لكل المستخدمين النهائيين.

خدمات الاتحاد ضمن Active Directory

تُعد خدمات الاتحاد AD FS حلًا لخدمات لإدارة الهوية؛ فهي تتيح ميزة التحكم بالوصول لتطبيقات الويب ومواقع الويب وموارد متعددة ضمن الشبكة من خلال تسجيل الدخول لمرةٍ واحدة Single-Sign-On -أو اختصارًا SSO-؛ وتوفّر المرونة عند محاولة الوصول لعدة موارد، إذ يحتاج المستخدم النهائي فقط لتذكُّر اعتماديات ما واستخدامها نفسها ضمن جميع الموارد. عندما يسجل المستخدم دخوله إلى جهاز ما، يمكن استخدام إدّعاء الاستيثاق من قِبل تطبيقات طرف ثالث نيابةً عن AD، إذ يرسل AD FS إدّعاء الاستيثاق هذا بدلًا من الاعتماديات.

خدمات إدارة الأذونات ضمن Active Directory

تُعد خدمات إدارة الأذونات AD RMS حلًا للتحكُّم بالوصول للبيانات وحماية المستندات، مثل رسائل البريد الإلكتروني ومستندات برامج أوفيس وصفحات الويب باستخدام التشفير، كما يمكنها تطبيق سياسات الوصول للبيانات، إذ تسمح AD RMS بمنع أو إتاحة الوصول لمستخدمين معينين وإمكانية التعديل أو القراءة فقط وتحديد بعض العمليات وغيرها.

تشفِّر البرمجية أيضًا وتفك تشفير كل المحتوى الرقمي.

خدمات الشهادة Active Directory

تلعب خدمات شهادة AD CS دور خادمٍ يتيح للمدراء توليد وإدارة البنية التحتية للمفتاح العام Public Key Infrastructure -أو اختصارًا PKI، بما فيها الشهادات الرقمية والتواقيع. تساعدك هذه الأداة في تعيين الأدوار والسياسات لإنشاء وإدارة وتوزيع واستخدام وتخزين واسترجاع الشهادات والمفاتيح العامة؛ كما يمكنك أيضًا أتمتة عملية إنشاء وإزالة الشهادات؛ ويمكن بهذه الخدمات استخدام البيانات الحالية للهوية الموجودة ضمن Active Directory لتسجيل الشهادات الجديدة؛ إضافةً إلى تعيين سياسات المجموعة لإجبار تطبيق شهاداتٍ معينة على موارد معينة.

خدمات الدليل الخفيفة ضمن Active Directory

خدمات الدليل الخفيفة AD LDS هي خدمة دليل LDAP للتطبيقات، وهي خدمةٌ مستقلةٌ عن قيود النطاق في خدمات النطاق AD DS، بمعنى أنها ليست مُقيدةٌ ضمن Active Directory أو أيٍّ من نطاقاته أو غاباته، ويمكن تشغيلها على خادمٍ مستقل، كما أن الوصول إلى مخزن بياناتها وخدماتها مُتاح.

خادم اسم النطاق ضمن خدمة Active Directory

ترتبط وظائف Active Directory بخادم اسم النطاق Domain Name Server -أو اختصارًا DNS-. ولتشغيل أول متحكم نطاق، يجب تثبيت AD ودور DNS؛ إذ ستحتاج DNS لترجمة أسماء المضيفين إلى عناوين IP ضمن النطاق. يستخدم كل عملاء AD خادم DNS للعثور على متحكمات النطاق وتستخدمه متحكمات النطاق للتحدُّث فيما بينها.

يُستخدم مجال أسماء DNS عبر الإنترنت، في حين يُستخدم مجال أسماء Active Directory ضمن الشبكة الخاصة.

مناطق DNS

منطقة DNS هي قسمٌ من مجال أسماء DNS، إذ يٌقسم مجال الأسماء لتسهيل الإدارة وتوفير نسخٍ متعددة. تتألف مناطق DNS من سجلات الموارد -وهي كتل من عناوين IP- ومعلومات الاسم المُستخدمة لحل استعلامات DNS. بعض أنواع الموارد الشائعة هي A و AAA و CNAME و MX و NS وغيرها.

يوجد عدة أنواع من المناطق في AD أشهرها منطقة DNS المُضمَّنة في Active Directory، والأنواع الأخرى هي الأولية والثانوية والبديلة ومناطق البحث الأمامي ومناطق البحث العكسي وتبديلات المنطقة.

خادم اسم النطاق الديناميكي

يعيِّن خادم اسم النطاق DNS أسماء المضيفين إلى عناوين IP الخاصة بهم، بينما يعيِّن DNS الديناميكي -أو اختصارًا DDNS- الأسماء إلى عناوين IP معينة من قِبل خدمات مثل بروتوكول ضبط المضيف الديناميكي DHCP. يُحدِّث DDNS خادم DNS آليًا بالمعلومات الجديدة عند تغيُّر عنونة IP، ويستخدم ويُحدث العملاء في متحكم نطاق AD سجلات مواردهم ديناميكيًا؛ فإذا انتقل مثلًا عميلٌ من شبكة محلية LAN إلى أخرى، فسيتغير عنوان IP الخاص به، وسيضبط عندئذٍ DDNS الإعدادات ضمن DNS.

سجلات الخدمة ضمن Active Directory

يعرِّف سجل الخدمة Service -أو اختصارًا SRV- موقع الخوادم التي تستضيف خدماتٍ معينة؛ فعندما يحتاج عميل ضمن Active Directory تحديد مكان متحكم النطاق لخدمةٍ ما، فسيستعلم سجلات SRV ضمن DNS؛ وعند إنشاء متحكم النطاق، تُسجّل سجلات SRV الخاصة به ضمن خادم DNS.

وكلاء خادم اسم النطاق الديناميكي

يُعد وكلاء خادم اسم النطاق الديناميكي DNS خوادمًا تمرر استعلامات DNS للعناوين التي لا تنتمي للمنطقة أو التي لا يمكن حلّها محليًا، إذ تساعد هذه الأنواع من الخوادم في إرسال الاستعلامات الخاصة بتصفح الإنترنت أو العناوين العامة إلى DNS خارج الشبكة؛ فبدون وكيل DNS، سيضطر خادم DNS في كل مرةٍ للاستعلام من DNS الجذر عند وجود عنوانٍ غير معروف.

خدمة مسح السجلات القديمة في خادم اسم النطاق الديناميكي DNS

تتراكم سجلات الموارد القديمة المُضافتة من خلال DDNS أو يدويًا مع مرور الوقت، لذلك تحل خدمة مسح السجلات القديمة في DNS هذه المشكلة فتمسح تلقائيًا سجلات الموارد القديمة من قاعدة بيانات DNS.

تلميحات الجذر

تلميحات الجذر Root Hints هي ملفات DNS مُخزنةٍ ضمن خادمٍ لتوفير قائمةٍ بسجلات الموارد الممكن استخدامها لحل أسماء المضيفين التي لا يمكن لخادم DNS المحلي حلُّها، إذ يحتوي ملف تلميحات الجذر أسماء وعناوين IP لخوادم DNS المسؤولة عن المنطقة الجذر؛ والفارق بينها وبين وكلاء DNS التي تساعد أيضًا في حل أسماء المضيفين الخارجية هو احتواء تلميحات الجذر قائمةٍ بخوادم الأسماء المسؤولة، بينما يحتوي وكلاء DNS فقط على قائمةٍ بخوادم DNS التي يمكنها حل الاستعلام.

بروتوكول ضبط المضيف الديناميكي DHCP

بروتوكول ضبط المضيف الديناميكي Dynamic Host Configuration Protocol -أو اختصارًا -DHCP-، هو بروتوكول إدارة شبكة، ويُستخدم لحجز العنوان ديناميكيًا، إذ يعتمد على خادم DHCP للإضافة والإزالة التلقائية لعناوين IP والبوابة الافتراضية Default Gateway ومعلوماتٌ أخرى عن عملاء بروتوكول ضبط المضيف الديناميكي DHCP. تعتمد خدمة Active Directory على خادم بروتوكول ضبط المضيف الديناميكي DHCP للإجابة على طلبات العملاء، فعند استخدام العميل بروتوكول DHCP للاتصال بالشبكة يرسل فورًا طلب استكشاف DHCP للعثور على الخادم، الذي يرسل بدوره عرض DHCP مع عنوان IP المتاح.

نطاق بروتوكول ضبط المضيف الديناميكي DHCP

هو مجالٌ من عناوين IP، مُتاحٌ للتوزيع على أجهزة الحاسوب، أو عملاء DHCP ضمن شبكةٍ فرعيةٍ محددة، ويتألف من الأجزاء التالية:

• مجال عناوين IP: يُعرَّف مجال نطاق بروتوكول ضبط المضيف الديناميكي DHCP بعنوان IP بداية وعنوان IP نهاية وقناع الشبكة الفرعية.
• عناوين IP المُستثناة IP address exclusion: يمكن -ضمن نطاق DHCP- استثناء من هم ليسوا عملاء DHCP، فمثلًا يجب استثناء جهاز حاسوب يمتلك عنوان IP ثابت ضمن النطاق لتجنُّب التعارض مع عنوانٍ آخر.
• مدة التأجير Lease Duration: يعرِّف هذا الجزء مدة التأجير لفئةٍ من العناوين، وهي المدة الممكن خلالها إعطاء عنوان IP لعميلٍ قبل إرجاعه إلى مجمع pool عناوين IP.
• إعدادات أخرى: يمكن ضمن النطاق أيضًا تعريف البوابة الافتراضية و DNS وإعدادات WINS.

مجامع عناوين IP

يحدد نطاق DHCP مع الاستثناءات مجمع عناوين IP، ويبدأ خادم DHCP مع نطاقه المُنشأ بتعيين عناوين IP من المجمع؛ فعندما يغادر عميل DHCP الشبكة يُرجَع عنوان IP إلى المجمع؛ وعند استنفاد المجمع، يجب توسيع مجال عناوين IP ضمنه.

حجوزات بروتوكول ضبط المضيف الديناميكي DHCP

يمكن إعداد خادم DHCP لحجز عناوين دائمة لعملاء محددين ضمن مجمع عناوين IP، بحيث يضمن أن عميلًا محددًا بواسطة عنوان MAC هو فقط من سيستخدمه. تساعد هذه الحجوزات في تجنُّب تعارضات عناوين IP، وتُستخدم عادةً للطابعات والخوادم وأجهزة العمل الهامة وغيرها.

تصفية بروتوكول ضبط المضيف الديناميكي DHCP

تُعد تصفية DHCP وظيفةً للخادم، وتُستخدم للتحكم بالوصول، إذ يمكن باستخدام هذه الميزة التصريح عن السماح أو الرفض لطلبات DHCP لعملاء محددين بواسطة عناوين MAC لهم، وتمنع بالتالي تصفية DHCP العملاء المجهولين من حجز عناوين IP ديناميكية من قِبل خادم DHCP.

تجاوز الفشل في DHCP

تجاوز الفشل في DHCP هي ميزةٌ ضمن خادم ويندوز 2012 تضمن تحمُّل الأخطاء وتوزيع الحمل لطلبات DHCP؛ فمثلًا عند حدوث عطلٍ لخادمٍ ضمن مجموعةٍ من خوادم DHCP تدير مجمع عناوين IP مشترك، تُؤخذ حمولة الطلبات من قِبل الخوادم الأخرى، وتتشارك جميع الخوادم حمولة طلبات عميل DHCP في توزيع الحمل مع السماح أيضًا بتحمُّل الأخطاء.

استنساخ Active Directory

تساعد عملية الاستنساخ ضمن Active Directory في ضمان تجانس المعلومات بين متحكمات النطاق، فإذا حدث تغيير ضمن متحكم نطاقٍ ما، تساعد طرق عملية استنساخ AD متحكمات النطاق الأخرى بمزامنة هذا التغيير فورًا.

الشبكات الفرعية

الشبكة الفرعية هي تقسيمٌ منطقي لشبكةٍ موصولة عادةً بواسطة موجّه router أو مُبدّل switch. تملك كل شبكة فرعية ضمن الشبكة مخطط عنونة TCP/IP مختلف، وتُستخدم الشبكة الفرعية في Active Directory من قِبل العملاء ومتحكمات النطاق لأغراض عملية تسجيل الدخول والاستنساخ، فهي تساعد متحكمات النطاق في تحديد أفضل طريقٍ بينها خلال عملية الاستنساخ.

مواقع Active Directory

المواقع هي كائناتٌ ضمن Active Directory تمثِّل شبكة TCP/IP فرعية أو أكثر، وهناك متحكمات نطاق معينة مع كائنات اتصال ضمن كل موقع AD، وتساعد هذه المواقع في إعداد الاستنساخ آخذةً بالحسبان إمكانية الوصول للموارد الفيزيائية للشبكة.

كائن الاتصال

وهو كائن AD يعمل بمثابة اتصال استنساخ بين متحكمات النطاق المصدر والوجهة ضمن الموقع، فيحدد كائن الاتصال متحكمات النطاق التي ستستنسخ من بعضها بعضًا، ويحدد جدولتها ونوع نقل الاستنساخ لها.

مدقق تناسق المعرفة

مدقق تناسق المعرفة Knowledge Consistency Checker -أو اختصارًا KCC- هو أداة خدمة دليل مساعدة تضمن التناسق ضمن قاعدة بيانات الدليل، إذ تعمل على كل متحكمات النطاق وتُنشئ بنية استنساخ لكل الغابة، ويمكن لعملية KCC توليد بنًى مفردةً في حال كان الاستنساخ ضمن موقع أو بين المواقع.

رابط الموقع

روابط الموقع ضمن Active Directory هي مساراتٌ منطقية تُنشأ لوصل المواقع وتُستخدم خلال عملية الاستنساخ، إذ يسمح رابط موقع KCC بإنشاء اتصالات بين متحكمات النطاق، ويمكن لرابط موقعٍ واحدٍ أن يمثِّل مجموعةً من المواقع التي بإمكانها التحدث فيما بينها باستخدام نفس نوع الشبكة.

جسر رابط الموقع

جسر رابط الموقع ضمن Active Directory هو كائن يمثل اتصالًا منطقيًا بين روابط الموقع، ويوفِّر مسار انتقال بين رابطي موقع أو أكثر غير متصلين، كما يسمح لمتحكمات النطاق غير الموصولة معًا بالاستنساخ بين بعضها.

الكتالوج العام

يمثّل الكتالوج العام Global Catalog -أو اختصارًا GC- خدمة مخزن بيانات لمتحكم النطاق DC، ويُدعى خادم DC الذي يعمل بدور GC بخادم الكتالوج العام، الذي يخزن نسخًا كاملةً من الكائنات ضمن دليل النطاق، ويمكنه أيضًا حفظ نسخةٍ جزئيةٍ من كل الكائنات ضمن الغابة، ويمكن للمستخدمين والتطبيقات بواسطة هذه النسخة الجزئية البحث سريعًا والعثور على الكائنات ضمن أي نطاق، إذ يوفر GC كتالوج يمكِّن المستخدمين من البحث عن الكائنات في البيئة متعددة النطاقات.

التخزين المؤقت العالمي لعضوية المجموعة

يُخزّن التخزين المؤقت العالمي لعضوية المجموعة Universal Group Membership Caching -أو اختصارًا UGMC- بيانات العضوية للمجموعات العالمية ضمن مخزنٍ مؤقت؛ ويفيد UGMC في حال عدم توفُّر GC، أو في حال استخدام المجموعات العالمية، مما يساعد في تخفيف استخدام حيز النطاق التراسلي للشبكة ويحسّن توقيت عملية تسجيل الدخول للمستخدم؛ كما يساعد UGMC في تخفيف حركة مرور بيانات الاستنساخ إلى أدنى حد.

حركة مرور بيانات استنساخ Active Directory

يمكن لحركة مرور بيانات الاستنساخ ضمن Active Directory استهلاك قسمٍ كبير من حيز النطاق التراسلي؛ إذ يُنشئ مدقق تناسق المعرفة KCC عدة بُنى استنساخ اعتمادًا على ما إذا كان الاستنساخ يحدث ضمن الموقع نفسه أو بين المواقع المتعددة. يساعد إعداد لكتالوج العام GC ضمن كل موقع على تخفيف حركة مرور بيانات الاستنساخ، ويوجد نوعان من حركة مرور البيانات تلك:

• استنساخ ضمن الموقع نفسه Intra-site Replication: عندما تكون متحكمات النطاق جزءًا من نفس الموقع، سيكون استنساخ قاعدة بيانات AD أسرع بكثير.
• استنساخ بين مواقع متعددة Inter-site Replication: وهي عندما تنتمي متحكمات النطاق إلى عدة مواقع مختلفة، ويساعد تحسين هذا النوع من الاستنساخ في تخفيف حركة مرور البيانات بين المواقع.

الأمان في Active Directory

بروتوكول كيربيروس Kerberos

كيربيروس هو بروتوكول استيثاق يوفر أمانًا لتطبيقات الاتصالات من نوع خادم / عميل باستخدام التشفير، ويستخدم Active Directory بروتوكول Kerberos لتوفير آليات استيثاق بين الخادم والعميل، حيث يجري عملية استيثاق على المستخدمين ويتيح الوصول إلى النطاق.

يوجد ثلاثة مكونات رئيسية في نظام كيربيروس، وهي:

• مركز توزيع المفاتيح Key Distribution Center -أو اختصارًا KDC: إذ تُعد خدمة KDC أساس خادم كيربيروس وهي التي تصدر جميع التذاكر، إذ تعمل الخدمة على كل متحكمات النطاق Active Directory؛ وعندما يصادق عميل AD خدمة KDC، فإنها تصدر تذكرةُ منح تذكرة TGT.
• تذكرةُ منح تذكرة Ticket Granting Ticket -أو اختصارًا TGT: وهو ملف استيثاق يحتوي على عنوان IP للمستخدم وفترة الصلاحية ومفتاح جلسة TGT. تُشفَّر TGT خلال عملية استيثاق كيربيروس.
• خدمة منح التذكرة Ticket Granting Service 0-أو اختصارًا TGS-: تتيح هذه الخدمة تذاكر TGT للأنظمة وتذاكر أخرى.

أسماء مسؤول الخدمة

اسم مسؤول الخدمة Service Principal Name -أو اختصارًا SPN- هو معرِّفٌ مميز يُستخدم ضمن عملية استيثاق كيربيروس، إذ يصل نسخة خدمة متحكم الشبكة بحساب تسجيل الدخول، ويمكن استخدامه للاستيثاق خدمات تطبيق عميل عندما عدم استخدام حساب الخدمة أو حساب المستخدم.

مدير الشبكة المحلية

مدير الشبكة المحلية الحديث NT LAN Manager -أو NTLM- هو بروتوكول استيثاق آخر يستخدم آلية التحدي/الاستجابة، واستُخدم كثيرًا قبل كيربيروس. على الرغم من أن مدير الشبكة المحلية لا يزال مدعومًا ضمن AD لكن خدمة كيربيروس لا تزال الخيار المفضَّل للاستيثاق.

أذونات نظام الملف NTFS

تُستخدم أذونات نظام الملف NT File System -أو اختصارًا NTFS- من أجل منح أو منع الوصول إلى الملفات والمجلدات على أنظمة مايكروسوفت ويندوز NT، ويمكن تطبيق أذونات NTFS على المستخدمين المحليين، أو المستخدمين ضمن الشبكة، إذ تُمنح أو تُمنع هذه الأذونات عن المستخدم خلال مرحلة تسجيل الدخول.

أذونات نظام الملف NTFS هي:

• التحكم الكامل.
• التعديل.
• القراءة والتنفيذ.
• القراءة.
• الكتابة.

أذونات المشاركة

تملك أذونات المشاركة نفس وظيفة أذونات NTFS وهي منع الوصول غير المُصرّح به؛ لكن الفرق الأساسي هو أن أذونات المشاركة تدير فقط الوصول إلى الملفات والمجلدات ضمن الموارد المشتركة، ويمكن استخدام هذه الأنواع من الأذونات مع FAT و FAT32 و NTFS.

أنواع أذونات المشاركة هي:

• القراءة.
• التعديل.
• التحكم الكامل.

قوائم ويندوز للتحكم بالوصول

تُعد قوائم مايكروسوفت ويندوز للتحكم بالوصول Access Control Lists -أو اختصارًا ACLs- العنصر الأساس ضمن نموذج الأمان، إذ أنها توفر عدة أذونات تساعد في التحكُّم بالوصول إلى موارد الشبكة، ويمكن ربط كل كائن ضمن أنظمة ويندوز بقائمة ACL. يوجد نوعان من قوائم التحكم بالوصول ACL في ويندوز، هما القائمة التقديرية Discretionary Access Control List -أو اختصارًا DACL- وقائمة نظام System Access Control List -أو اختصارًا SACL.

تتشكل قوائم التحكم بالوصول ACL من سجلات التحكم بالوصول Access Control Entries -أو اختصارًا ACEs، وهي تعليمات للسماح أو منع الوصول لمجموعةٍ أو فردٍ إلى الموارد. يكمن الفرق الأساسي بين DACL و SACL في سجلات التحكم بالوصول ACE الخاصة بكلٍّ منهما.

• قوائم التحكم بالوصول التقديرية DACL: هي عدة أذونات يمكن ربطها مع كائنٍ ضمن Active Directory، إذ تحدد المستخدمين والمجموعات التي يمكنها الوصول إلى تلك الكائنات، وتحدّد أيضًا نوع الأفعال الممكن إجراؤها على الكائن.

• قوائم التحكم بالوصول للنظام SACL: تساعد هذه القائمة في عملية تدقيق المستخدمين والمجموعات التي تحاول الوصول لكائن AD، سواءٌ فشلت تلك المحاولة أو نجحت.

سياسات كلمة المرور الدقيقة

السياسات الدقيقة لكلمة المرور Fine-Grained Password Policy -أو اختصارًا FGPP- هي كائنٌ ضمن Active Directory يُستخدم لنشر كلمات المرور وسياسات قفل الحسابات لمستخدمي النطاق، ويمكن للمدراء باستخدام هذه السياسات تطبيق سياسات كلمة المرور على نطاق AD، مثل نوع المحارف المستخدمة، أو الحد الأدنى لطول كلمة المرور، أو عمر كلمة المرور.

سياسة المجموعة

سياسة المجموعة Group policy -أو اختصارًا GP- هي أداةٌ لمايكروسوفت ويندوز تسمح بالإدارة المركزية لمستخدم أو حسابات أجهزة الحاسوب وضبط نظام التشغيل وإعدادات المستخدم والتطبيقات، إذ تُستخدم ضمن بيئة Active Directory ويمكن استخدامها لتعيين سياسات كلمة المرور وقفل الشاشة وتحديد الوصول إلى أقسامٍ من النظام وفرض الصفحة الرئيسية، وحتى تنفيذ نصوص برمجية محددة وغيرها الكثير.

معالجة سياسة المجموعة

معالجة سياسة المجموعة هي عملية إرسال واستقبال السياسات، عندما تطبّق سياسات GPO -أي كائن سياسة المجموعة Group Policy Object- على أي كائن لمستخدم أو جهاز حاسوب ضمن Active Directory سترسل GP كل الإعدادات تلقائيًا لذلك الكائن، عندها سيستقبل العميل تلك الإعدادات ويضعها ضمن جهاز الحاسوب.

يمكن تقسيم GPO إلى قسمين، هما إعدادات المستخدم وإعدادات جهاز الحاسوب:

• إعدادات المستخدم: وهي GPO التي تطبِّق إعدادات على كائنات المستخدم.
• إعدادات جهاز الحاسوب: وهي GPO التي تطبِّق إعدادات على كائنات جهاز الحاسوب.

تتبع معالجة سياسة المجموعة تسلسلًا هرميًا بأربعة مستويات:

• السياسة المحلية.
• سياسات على مستوى الموقع.
• سياسات على مستوى النطاق.
• سياسات على مستوى الوحدة التنظيمية OU.

وراثة كائن سياسة المجموعة GPO

يمكن تعيين كائن سياسة المجموعة GPO محليًا، أو على المواقع أو النطاقات، أو على الوحدة التنظيمية OU، إذ تُورَّث GPO المرتبطة بكائنات افتراضيًا إلى الكائنات الأبناء لها. تسمح وراثة GPO للمسؤولين بإعداد حزمة سياسات شائعةٍ على مستوى الموقع، أو النطاق، أو الوحدة التنظيمية OU ضمن التسلسل الهرمي ذي المستويات الأربعة.

يمكن كسر وراثة GPO تلك بواسطة خيار حظر الوراثة، إذ يساعد هذا الخيار المسؤولين على تغيير تصرف الوراثة ضمن النطاق أو OU.

كائن سياسة المجموعة GPO القسري

كائن سياسة المجموعة القسري GPO القسري أو غير الممكن تبديله، هو إعداد قسري على GPO يُمنَع إلغاؤه من قِبل GPO الأخرى، إذ يساعد هذا الإعداد في تجنُّب التضارب بين كائنات GPO مع الكائنات السابقة لها ضمن هرمية الطبقات الأربعة.

محصلة مجموعة من السياسات RsoP

محصلّة مجموعة من السياسات Resultant Set of Policy -أو اختصارًا RsoP- هي أداةٌ من مايكروسوفت ويندوز تبسِّط إدارة GPO وتوفِّر التخطيط للسعة، إذ تشبه RsoP تقريرًا يتضمن كل سياسات المجموعة ضمن Active Directory والمطبّقة على كل المستخدمين وأجهزة الحاسوب، كما يُظهر هذا التقرير كيف تؤثر كائنات GPO على الشبكة.

تفضيلات سياسة المجموعة

وهي حزمةٌ من إضافات سياسة المجموعة لتوسيع وظيفة كائنات GPO، إذ تؤمِّن هذه الإضافات تفضيلات إعدادات كائنات AD، مثل أجهزة الحاسوب والخوادم والطابعات ضمن النطاق ككل؛ ويمكن للمسؤولين باستخدام هذه الإعدادات ضبط وإدارة عددٍ موسّعٍ من أنظمة التشغيل وإعدادات التطبيقات، مثل تثبيت الطابعات وجدولة المهام وإعداد السجل وتحديد إعدادات الطاقة وضبط أذونات الملفات والمجلدات وغيرها.

قوالب سياسة المجموعة الإدارية

قوالب سياسة المجموعة الإدارية هي مزايا لسياسة المجموعة، وتُستخدم للإدارة المركزية للمستخدمين والأجهزة، فهي ملفاتٌ بلاحقة "ADM." أو "ADMX." تُستخدم من قِبل سياسات المجموعة لوصف مفاتيح السجل التي هي بحاجة للتحديث، ويمكن عند استخدام القوالب الإدارية تعديل أقسام الجهاز والمستخدِم ضمن السجل على أجهزة الحاسوب.

طرفيات إدارة Active Directory

يمكن استخدام طرفيات consoles إدارة Active Directory لعمليات التشغيل والصيانة اليومية، إذ تمتلك مايكروسوفت بعض تلك الطرفيات، في حين يكون بعضها الآخر حلول طرف ثالث تتيح إمكانيات إدارةٍ مختلفة، مثل الأتمتة والتقارير والتضمين مع خدماتٍ أخرى وغيرها.

مكونات MMC

تُستخدم طرفية إدارة مايكروسوفت Microsoft Management Console -أو اختصارًا MMC- لإنشاء طرفياتٍ مفتوحة يمكنها المساعدة في إدارة كل المكونات التقنية IT ضمن شبكة مايكروسوفت ويندوز، حيث تستضيف MMC المكونات Snap-ins التي هي أدوات إدارية يمكن استخدامها عبر واجهةٍ واحدة.

يمكن تضمين كل أدوات مايكروسوفت الإدارية تقريبًا بمثابة مكونات MMC أي MMC Snap-ins؛ لكن MMC تدعم أيضًا بعض مكونات خارجية third-party snap-ins باستخدام واجهة برمجة التطبيقات MMC API.

مستخدمو وأجهزة حاسوب خدمة Active Directory

تُعد ADUC وهي اختصارٌ لمستخدمي وأجهزة حاسوب خدمة الدليل النشط Active Directory Users and Computers أشهر إضافة لإدارة AD، إذ تُستخدم لعمليات الإدارة اليومية للنطاق بما فيها الكائنات والوحدات التنظيمية OUs وخصائصها. تُثبَّت طرفية ADUC (أي dsa.msc) افتراضيًا خلال عملية تثبيت AD DS.

مركز إدارة Active Directory

قُدمت طرفية مركز إدارة Active Directory Administrative Center -أو اختصارًا ADAC- مع خادم ويندوز 2012، ويمكن استخدام هذه الطرفية لنشر وإدارة حسابات المستخدم وأجهزة الحاسوب والمجموعات و OUs وغيرها، وتتضمن ADAC مزايا إدارة مُحسَّنة على ADUC، مثل سلة مهملات Active Directory والسياسة الدقيقة لكلمة المرور ومستعرض تاريخ ويندوز PowerShell.

نطاقات Active Directory والثقة

نطاقات Active Directory والثقة هي طرفيةٌ إدارية تسمح بإدارة علاقات الثقة بين النطاقات والغابات، إذ تساعد في رفع المستويات الوظيفية للنطاق والغابة وإدارة لواحق UPN.

مواقع وخدمات Active Directory

تٌعد مواقع وخدمات Active Directory Sites and Services -أو اختصارًا ADSS- طرفية إضافة MMC snap-in، وتُستخدم بصورةٍ أساسية لإدارة استنساخ الموقع ومكونات أخرى، مثل كائنات البنية والشبكات الفرعية وكائنات الاتصال والكاتالوج العام والتخزين المؤقت العالمي للمجموعة.

محرر واجهات خدمة Active Directory

محرر واجهات Active Directory Service Interfaces Editor -أو اختصارًا ADSI Edit- هو محررٌ متقدم لكائن Active Directory، بحيث يسمح بعرض وتعديل وإزالة كائنات AD وخصائصها ضمن الغابة. يُقارن عادةً ADSI Edit مع محرر سجل ويندوز بسبب مستوى التحرير الدقيق ضمنه، إذ صُمِّمت هذه الأداة للوصول إلى البيانات غير المتاحة عادةً ضمن طرفيات مثل ADUC.

المستخدمون المحليون والمجموعات المحلية

المستخدمون المحليون والمجموعات المحلية هي طرفية إضافة MMC snap-in تحت إدارة جهاز الحاسوب تسمح لمسؤولي AD بإدارة وتأمين أجهزة الحاسوب المحلية، إذ تمنح إمكانية التحكُّم بالوصول للبيانات عبر عددٍ من الأذونات والحقوق للحساب المحلي، أو حساب المجموعة على جهاز الحاسوب.

طرفية إضافة لبروتوكول ضبط المضيف الديناميكي DHCP

وهي طرفية إضافة MMC snap-in (الملف الممثّل لها هو dhcpmgmt.msc)، تُستخدم لإدارة DHCP، وإعداد مجال عناوين IP ومدة التأجير وخادم DNS و WINS وغيرها.

طرفية إضافة خادم اسم النطاق الديناميكي DNS

تسمح طرفية إضافة MMC (الملف المُمثِّل لها هو dnsmgmt.msc) بإدارة إعدادات DNS، إذ يمكن إنشاء وتصفُّح وإدارة مناطق DNS وسجلات المورد.

طرفية إدارة سياسة المجموعة

طرفية إدارة سياسة المجموعة Group Policy Management Console -أو اختصارًا GPMC-، هي أداة MMC (الملف gpmc.msc) تسمح للمسؤولين بإدارة كائنات سياسة المجموعة GPOs من طرفية واحدة، ويمكن للمسؤولين باستخدام GPMC نشر و إدارة وعرض وتحديد المشاكل لأي تضمين لسياسة المجموعة GP.

لتعلُّم المزيد عن خدمة Active Directory، فأهم مصدر يمكنك الرجوع إليه هو قاعدة المعرفة عن خدمة Active Directory من مايكروسوفت، إذ أنها المصدر الرسمي لتعلم كل شيء عن Active Directory.

برمجيات طرف ثالث لمراقبة وحل مشكلات أداء AD

تسمح برمجيات الطرف الثالث بتوسيع وظيفة AD باستخدام أدواتٍ، مثل SolarWinds لمراقبة التطبيق والخادم Server & Application Monitor أو اختصارًا SAM، إذ يمكنك مراقبة وحل مشاكل أداء AD وتتُّبع كل التطبيقات والخوادم وأنظمة التشغيل ضمن بنية IT التحتية؛ كما يساعد SAM في مراقبة حالة كل متحكم نطاق DC وحالة عملية استنساخ AD والعثور على المشكلات بين المواقع ومتحكمات DC.

بعض مزايا SAM المدمجة:

• عرض تفاصيل الموقع.
• عرض أحداث تسجيل الدخول إلى ويندوز.
• تتبع عملية الاستنساخ.
• مراقبة DCs.
• تصفح أدوار FSMO.

يوفر SAM بعض المزايا غير الموجودة ضمن AD، مثل لوحة معلومات سهلة الاستخدام والتقارير والتحذيرات وبعض مزايا الأتمتة. وتوضح الصورة التالية كيف يبدو SAM أثناء عملية مراقبة AD.

تتيح SolarWinds برنامجًا مجانيًا يُدعى حزمة المسؤول المجانية لخدمة AD أي Admin Bundle for Active Directory، وهي برمجيةٌ خفيفةٌ تساعد في العثور على المستخدمين وأجهزة الحاسوب غير الفعالة وحذفها وإضافة المستخدمين دفعةً واحدةً ضمن AD.

ترجمة -وبتصرف- للمقال "Active Directory: Guide to Terminology, Definitions & Fundamentals!" لصاحبه Jeff Parker.

اقرأ أيضًا

• الاستيثاق الشبكي – استخدام SSSD مع Active Directory على أوبنتو

نظرنا حتى الآن في سلسلة تعلم البرمجة في نظام التشغيل وقدرته على إدارة العمليات، وفي كيفية جعل السكربتات تنفذ برامج موجودةً من قبل، وكذلك استنساخ البرامج والتواصل بين تلك النسخ باستخدام الأنابيب pipes، وسندرس في هذا المقال الاتصال بالعمليات التي تعمل على حاسوب آخر عبر شبكة ما، أو بعمليات قد تكون جاريةً على نفس الحاسوب، حيث ستكون الشبكة هنا شبكةً منطقيةً logical network، وهذا النوع هو المثال الأول الذي سننظر فيه. وعلى ذلك سنشرح في هذا المقال ما يلي:

• مقدمةً بسيطةً عن الشبكات.
• أساسيات المقابس sockets.
• إنشاء عملية الخادم server process.
• إنشاء عملية العميل client process.
• التواصل من خلال المقابس.

مقدمة في الشبكات

يعمل خادم الويب web server على حاسوب في مكان ما في الشبكة، ونستطيع الوصول إليه من حاسوبنا إذا كان لدينا عنوان الويب Uniform Resource Locator واختصارًا URL، والذي هو نوع من عناوين الشبكات يحوي معلومات حول العنوان في الشبكة، واللغة التي يتحدث بها -أو البروتوكول protocol-، وكذلك مكانه على خادم الملفات التي نريد جلبها، وسنفترض أن للقارئ خلفيةً أساسيةً عن الإنترنت، ويعرف أن للحواسيب المتصلة بها عناوين.

لكن كيف تتصل تلك الحواسيب ببعضها؟ طبعًا لا يتسع المقام هنا لشرح مفصل حول الشبكات، لذا يُرجع في هذا إلى أكاديمية حسوب التي فيها شرح ماتع في أساسيات الشبكات يمكن النظر فيه، وكذلك في هذا المصدر بالإنجليزية، وخلاصة ما نريد قوله في الشبكات هو أنه عند حاجة حاسوبين على شبكة ما للاتصال ببعضهما فإنها يتصلان من خلال إرسال حزمة بيانات من حاسوب لآخر، وتشبه تلك الحزمة إلى حد كبير مظروفًا يُرسل في طرد عبر البريد مع ورقة بداخله، حيث تمثل تلك الورقة البيانات، ويمثل المظروف ترويسة الطرد packet header التي تحوي عناوين المرسل والمستقبل، ويحدد جهاز التوجيه router أو المحول switch موقع الحاسوب المستقبِل على الشبكة، ثم يوجه الحزمة إلى جهاز توجيه أو راوتر في تلك المنطقة، وتصل الحزمة في النهاية إلى نفس الجزء من الشبكة الذي يحوي الحاسوب الهدف، ويتعرف الحاسوب الهدف على عنوانه ويفتح الطرد أو الحزمة، ثم يرسل حزمة تأكيد مرةً أخرى إلى المرسل ليخبره أن الرسالة قد وصلت.

وللحزم قيمة عظمى لا تتعداها، فيما يتعلق بحجم البيانات التي ترسلها، خلافًا للخدمات البريدية التقليدية، ويمكن تشبيه ذلك بخدمة لإرسال خطاب يتكون من ورقة واحدة فقط، أما الرسائل الطويلة فنحتاج إلى إرسالها في عدة خطابات يحوي كل منها ورقةً واحدةً فقط، ويجب على الطرف المستقبل أن يجمع تلك الأجزاء بالترتيب، حيث يضاف رقم متسلسل إلى الورقة -مثل ترقيم الصفحات-، وذلك لتُرسَل رسالة خطأ من المستقبل إلى المرسل إذا لم تصل صفحة ما أو لم تظهر في الوقت المحدد لها، وعلى الرغم من انتفاء الحاجة إلى ذلك غالبًا، لأن الحاسوب يتكفل به وكذلك نظام التشغيل وبرمجيات الشبكات، لكن هذه الأمور تستحق أن نعلمها على أي حال، نظرًا لتعذر الاعتماد على موثوقية نقل البيانات أو استمراريته عند استخدام شبكة ما، إذ تقع الأخطاء العرضية بلا شك، ويجب أن نكون مستعدين لفقدان البيانات أو تلفها.

الاتصال بالشبكة

لنترك الكلام المجرد ولندرس التفاصيل العملية لكيفية كتابة تطبيق متصل بالشبكة، حيث نحتاج إلى إنشاء برنامج يعمل مثل خادم server ويكون على حاسوب ما، وبرنامج للعميل client على حاسوب أو عدة حواسيب أخرى متصلة بالشبكة التي يتصل بها الخادم، كما نحتاج إلى آلية تتيح التواصل بين البرنامجين وتعمل في كامل الشبكة، وقد رأينا أن لكل حاسوب عنوانًا، يتكون من عنوان IP الذي يحوي أربعة أرقام تفصل بينها نقاط، لا شك أننا رأيناها من قبل في عناوين الويب، ويضيف التطبيق المتصل بالشبكة عنصرًا آخر إلى ذلك العنوان، يُعرف باسم المنفذ port.

المنافذ والبروتوكولات

يُحدَّد المنفذ بنقطتين رأسيتين : متبوعتين برقم المنفذ، ويضاف ذلك إلى عنوان IP العادي، فنصل مثلًا إلى المنفذ 80 في العنوان 127.0.0.1 بالشكل 127.0.0.1:80، وتُحفظ بعض أرقام المنافذ لأغراض خاصة تكون في الغالب لبروتوكولات تطبيقات الإنترنت المختلفة، والبروتوكول -أو الميثاق- هو مجموعة من القواعد وتعريفات الرسائل التي تحدد كيفية عمل الخدمة، فالمنفذ 80 هو المنفذ القياسي المستخدم في خوادم الويب لطلبات http، أما المنفذ 25 فيُستخدم لبريد SMTP، وبناء عليه يتصرف الحاسوب مثل خادم لبعض الخدمات في نفس الوقت، بعرض تلك الخدمات من خلال منافذها المختلفة، ويمكن توضيح هذا بسهولة بإضافة رقم المنفذ 80 إلى عنوان خادم الويب مثل http://www.google.com:80، حيث ينبغي أن تفتح الصفحة بلا مشاكل لأن المتصفح يتصل بالمنفذ 80 افتراضيًا إن لم يتوفر منفذ آخر، لهذا يكثر استخدام المنفذ 8080 مثل منفذ اختبار للإصدارات الجديدة من مواقع الويب قبل إطلاقها.

ورغم قلة عدد تلك المنافذ المحجوزة إلا أننا نستطيع استخدام أرقام المنافذ التي بين 1000 و60000 للتطبيقات المخصصة bespoke applications دون تعارض، لكن يفضل جعل رقم المنفذ قابلًا للإعداد من خلال متغير لبيئة النظام مثلًا، أو ملف إعدادات config file، أو بواسطة معامل سطر أوامر، نظرًا لوجود احتمال -ولو ضئيل- أن يختار برنامج آخر نفس المنفذ على الحاسوب، ولن نشرح ذلك هنا لكن يجب الانتباه إلى أنه وارد في التطبيقات الحقيقية، حين لا يكون لدينا تحكم كامل بحاسوب الخادم، لذا يجب اتخاذ مثل تلك الاحتياطات.

بعد أن عرفنا الآلية، فإن السؤال التالي هو: كيف نصل الشيفرة بأحد تلك المنافذ؟

المقابس Sockets

المقابس هي أبسط آلية اتصال يمكن استخدامها بين الشبكات، وفيها يُقدَّم المقبس للشبكة على أنه منفذ في عنوان IP، وتُنشأ المقابس في بايثون وتُستخدم من خلال استيراد وحدة socket، ويجب أن نكتب خادمًا لينشئ المقبس، ويربطه مع منفذ، لنتمكن بعدها من استخدامه، ونراقب ذلك المقبس منتظرين الطلبات الواردة إليه، ثم نكتب عميلًا ليتصل بالمقبس على ذلك المنفذ، ثم يتصل العميل بالمنفذ ويقبل الخادم ذلك الاتصال، ثم ينشئ الخادم منفذًا مؤقتًا جديدًا يُستخدم لعملية التواصل -أي عمليات الإرسال والاستقبال send/recv الفعلية- مع الخادم أثناء عملية النقل، مما يحرر المنفذ لمزيد من طلبات الاتصال.

يمكن توضيح ما سبق في الصورة التالية:

تظهر هنا مشكلة اختبار مثل تلك التطبيقات، إذ لا نستطيع أن نعرف إن كان الخادم يعمل أم لا بدون العميل، كذلك فإن العميل لا يستطيع فعل شيء دون الخادم، لذا ينبغي أن يكون لدينا كل من العميل والخادم.

غير أنه يمكن إنشاء أي عدد من العملاء الآخرين بمجرد كتابة الخادم، شرط أن يتصلوا بمقبسه من خلال بروتوكول الرسائل المناسب، ونرى أمثلة ذلك في متصفحات الويب المختلفة التي تستطيع جميعها أن تتصل بأي خادم http، ويمكن بطريقة مماثلة كتابة العديد من الخوادم المختلفة بمجرد نشر البروتوكول، وينبغي هنا ألا توجد مشكلة في عمل أي عميل وأي خادم معًا، وهذا السلوك هو أحد أسباب انتشار تلك التطبيقات، فهو يشكل بيئةً مفتوحةً وقابلةً للتوسع، تكون فيها إحدى نهايات أي زوج من أزواج العميل/الخادم قابلةً للتحسين دون تعطيل النهاية الأخرى.

إنشاء الخادم

سننشئ خادمًا بسيطًا يستجيب للطلبات بأن يعيد رسالة ترحيب وعدد الطلبات التي عالجها من قبل.

import socket

# STREAMing و InterNET أنشئ مقبس 
# TCP/IP المعروف باسم
serversocket = socket.socket(socket.AF_INET, socket.SOCK_STREAM)

# والمنفذ 2007 localhost استخدم
serversocket.bind(('localhost', 2007))

# استعد لاستقبال الطلبات
serversocket.listen(5)

connections = 0
while True:
  # عالج الاتصالات من العملاء
  (clientSocket, address) = serversocket.accept()
  connections += 1
  print( "Connection %d using port %d" % (connections, address[1]) )

  # clientSocket افعل شيئًا باستخدام
  while True:
     req = clientSocket.recv(100)
     if not req: break # client closed connection
     message = 'Thankyou!, processed connection number %d' % connections
     clientSocket.send(message)
  clientSocket.close()

نلاحظ هنا عدة أمور:

• يشير هذا المزيج من AF_INET وSOCK_STREAM إلى أننا سنستخدم بروتوكول TCP/IP، وكل بروتوكولات عناوين IP الأخرى متاحة من خلال استخدام تجميعات ثوابت أخرى، لكن TCP/IP هو الأشهر منها وهو ما سنستخدمه.
• مررنا القيمة 5 إلى listen()‎، وهي تمثل العدد الأقصى للاتصالات التي يمكن أن تنتظر في طابور المنفذ، لأننا نُعالج الطلب قبل أن تتجمع طلبات كثيرة في قائمة الانتظار تلك، ونشتق عمليةً مستقلةً لتنفيذ المعالجة الحقيقية إذا أردنا تحسين كفاءتها -انظر الملاحظة الخامسة أدناه-، مما يسمح للخادم أن يسحب الرسائل من قائمة الانتظار في أسرع وقت ممكن، ولا نحتاج زيادة عدد الاتصالات المسموح لها بالانتظار عن 5 اتصالات إلا في حالة الخوادم شديدة الزحام.
• ينشئ العملاء اتصالًا جديدًا لكل عملية تبادل بيانات، ولا تكون لدينا بيانات متاحة إذا انتهت عملية التبادل، وحينئذ ننهي حلقة while الداخلية ونعود إلى انتظار اتصال جديد.
• عالجنا طلب العميل في شيفرة الخادم، ولا بأس بهذا لأنها معالجة طفيفة، لكنها قد تستغرق وقتًا كبيرًا إذا كانت في أحد التطبيقات التجارية الكبيرة، عندها نشتق عمليةً أخرى في تلك الحالة لمعالجة تلك العملية خاصةً -ربما باستخدام وحدة subprocess التي ذكرناها في مقال نظم التشغيل-، ونترك الخادم يعود لسحب الطلبات من قائمة انتظاره.
• لا توجد طريقةً لإنهاء عملية الخادم، فهي تعمل بلا نهاية إلا إذا حدث خطأ، فإذا أردنا إنهاءها فسنستخدم أداةً من نظام التشغيل نفسه، من خلال برنامج TaskManager في ويندوز مثلًا، أو kill في يونكس.

ينبغي أن يكون الخادم جاهزًا للعمل الآن وينتظر طلبات العملاء، لكن ليس لدينا عميل ليرسل تلك الطلبات، لذا سننشئه الآن.

إنشاء العميل

إنشاء العميل client هي عملية سهلة بقدر سهولة إنشاء الخادم، إذ يرسل طلبات متكررةً إلى الخادم بفواصل زمنية قدرها ثانية واحدة، ويطبع استجابة الخادم:

import socket,time

# أنشئ المقبس
serverAddress = ('localhost',2007)

 # أرسل بعض الطلبات
for n in range(5):
   sock = socket.socket(socket.AF_INET, socket.SOCK_STREAM)
   sock.connect(serverAddress)
   try:
      sock.send('dummy request\n')
      data = sock.recv(100)
      if not data: break # لا توجد بيانات من الخادم
      print( data )
      time.sleep(1)
   finally:   
      # نرتب الآن ما سبق
      sock.close()

لدينا بعض الملاحظات هنا:

• نستخدم connect للوصول إلى المقبس، ثم نستخدم نفس واجهة send/recv التي يستخدمها الخادم، لكن يكون التسلسل معكوسًا لأن العميل هو الذي يبدأ عملية تبادل البيانات.
• كان من الممكن إرسال أو استقبال بيانات أكثر في عملية واحدة، لكننا اخترنا هذه الطريقة ببساطة لإبراز أرقام الاتصال المختلفة القادمة من الخادم، فالعميل هو الذي يقرر متى ينهي عملية التبادل وليس الخادم، إلا إذا حدث خطأ ما.
• لاحظ استخدام try/finally لضمان إغلاق المقبس حتى في حالة رفع استثناء exception، وهذا مفيد لتقليل المراجعة والتصحيح لاحقًا، لأن بعض أنظمة التشغيل تترك المقابس مفتوحةً لفترة طويلة، مما يعني أنها ستستهلك موارد النظام.

تشغيل البرامج

نريد أن نتأكد أن الخادم يعمل أولًا قبل أن نستطيع تشغيل البرامج، ثم نبدأ برنامج عميل واحد أو أكثر ليتصل به، ولا نستطيع تشغيل هذه البرامج عبر الشبكة لأننا جعلنا الخادم على الحاسوب المحلي فقط localhost، لذا نحتاج إلى بدء عدد من جلسات الطرفية على حاسوبنا.

توضح الصورة التالية الخادم وهو يعمل على يمين الصورة، واثنين من العملاء على يسارها:

لاحظ أن خرج كلا العميلين يُظهر تسلسل الرسائل التي استلمت من الخادم، وتُظهر رسائل الخادم الاتصالات وأرقام المنافذ المؤقتة المسندة إلى الخادم.

دليل جهات الاتصال الشبكي

بنينا في المقال السابق: التواصل بين العمليات نسخةً تعمل على خادم من دليل جهات الاتصال الذي نطوره، وسميناها address_srv.py، وسنستخدمها في هذا المقال لبناء نسخة مبنية على المقابس، وسيكون الاختلاف الواضح بين نسخة IPC السابقة وبين هذه النسخة هو إمكانية وجود أكثر من عميل واحد يستطيع الوصول إلى دليل جهات الاتصال، وسيكون العملاء على حواسيب مختلفة قطعًا.

وكانت الدوال التي المتاحة في address_srv هي:

• ‎readBook(filename)‎
• ‎saveBook(book,filename)‎
• ‎addEntry(book, name, data)‎
• ‎removeEntry(book, name)‎
• ‎findEntry(book, name)‎

برنامج الخادم

لا زلنا بحاجة إلى كتابة برنامج خادم يعالج الطلبات الواردة من العملاء ويستدعي الدالة المناسبة، رغم أننا حولنا البرنامج إلى دوال مخدمات server style functions في المرة السابقة، وتسمى مثل تلك الآلية ببعث الرسائل dispatching messages، وستكون الشيفرة شبيهةً للغاية بالأمثلة البسيطة السابقة.

سيكون البرنامج الرئيسي كما يلي:

import socket, address_srv

addresses = address_srv.readBook()

# أعد المقبس
serversocket = socket.socket(socket.AF_INET, socket.SOCK_STREAM)
serversocket.bind(('localhost', 2007))
serversocket.listen(5)

print( 'Server started and listening on port 2007...' )

# عالج الاتصالات من العملاء
while True:
   (clientSocket, address) = serversocket.accept()

   # عالج أوامر دليل جهات الاتصال
   while True:
       s = clientSocket.recv(1024)
       try: cmd,data = s.split(':')
       except ValueError: break
       print( 'received request: ', cmd )
       if cmd == "add":
          details = data.split(',')
          name = details[0]
          entry = ','.join(details[1:])
          s = address_srv.addEntry(addresses, name, entry)
          address_srv.saveBook(addresses)
       elif cmd == "rem":
          s = address_srv.removeEntry(addresses, data)
          address_srv.saveBook(addresses)
       elif cmd == "fnd":
          s = address_srv.findEntry(addresses, data)
       else: s = "ERROR: Unrecognised command: " + cmd
       clientSocket.send(s)
   clientSocket.close()

نلاحظ هنا أن شيفرة المعالجة الرئيسية للمقبس هي نفسها الشيفرة السابقة، بينما وضعنا معالجة بيانات الطلب في بنية try/except لالتقاط البيانات غير المكتملة من العميل، أما غير ذلك فإن هذه النسخة تكاد تطابق نسخة IPC في المقال السابق.

برنامج العميل

صار لدينا الآن خادم يعمل في الخلفية، ونريد كتابة برنامج عميل يتحدث إليه، وسيكون مشابهًا لنسخة IPC أيضًا، لكنه سيوجد في سكربت خاصة به، وسنتمكن من تشغيل أكثر من نسخة في نفس الوقت:

import socket

serverAddress = ('localhost', 2007)
menu = '''
    1) Add Entry
    2) Delete Entry
    3) Find Entry

    4) Quit
'''

# اتصل بالخادم
sock = socket.socket(socket.AF_INET, socket.SOCK_STREAM)
sock.connect(serverAddress) 

while True:
    print( menu )
    try: choice = int(input('Choose an option[1-4] '))
    except: continue
    if choice == 1:
        name = input('Enter the name: ')
        num = input('Enter the House number: ')
        street= input('Enter the Street name: ')
        town = input('Enter the Town: ')
        phone = input('Enter the Phone number: ')
        data = "%s,%s %s, %s, %s" % (name,num,street,town,phone)
        cmd = "add:%s" % data
    elif choice == 2: 
        name = input('Enter the name: ')
        cmd = 'rem:%s' % name
    elif choice == 3: 
        name = input('Enter the name: ')
        cmd = 'fnd:%s' % name
    elif choice == 4: 
        break
    else:
        print( "Invalid choice, must be between 1 and 4." )
        continue

    # تحدث إلى الخادم
    try:
        sock.send(cmd)
        data = sock.recv(250)
        if not data: break  # no data from server
        print( data )
    finally:
        sock.close()

نلاحظ هنا أن عملية معالجة القائمة هي نفسها في المثال السابق، وأن أوامر الاتصالات مجموعة في بضعة أسطر في الأسفل، وهذا أيضًا مشابه لمثال العميل الذي تقدم شرحه.

الانتقال إلى الشبكة

كانت مقابسنا إلى الآن على حاسوب محلي، ونريد أن ننقلها إلى شبكة حقيقية ويكون لدينا عمليات عميل/خادم حقيقية أيضًا، ويسهل تنفيذ ذلك بتغيير العناوين المستخدمة في استدعاء bind()‎ في الخادم واستدعاء connect()‎ في العميل، واستبدال عنوان IP -سواءً النسخة الرقمية أو الاسمية منه- للحاسوب الذي يعمل عليه الخادم بالمرجع المشير إلى 'localhost'، ويمكن تشغيل عدة نسخ من العميل على كل حاسوب في نفس الوقت إذا كان لدينا عدة أجهزة على نفس الشبكة، وسيعالج الخادم الطلبات من تلك النسخ.

أما في الحياة العملية فقد نبذل مزيدًا من الجهد في التعامل مع تحليل أسماء DNS مثلًا، ونضيف اختبارات تتحقق من الأخطاء وآليات المهل الزمنية timeouts لكي لا يُعلِّق الخادم ويتأثر، لأن الشبكات الحقيقية أقل موثوقيةً وأكثر عرضةً للأخطاء، غير أننا لن نتحدث عن تلك الآليات والمهام، وإنما نذكرها فقط لوجوب حسابها عند حل مثل تلك المشكلات.

المزيد من المعلومات

كُتبت الكثير من الشروحات في برمجة المقابس، لعل أبرزها Socket How-To الذي كتبه جوردُن ماكمِلان Gordon McMillan، وهو يشرح كثيرًا من عيوب برمجة المقابس ويقدم الحلول المقترحة للتعامل معها، إضافةً إلى توثيق وحدة socket في بايثون، والذي لا غنى عن قراءته.

كما تحتوي العديد من الكتب على أقسام عن البرمجة باستخدام المقابس، ونخص بالذكر منها كتاب Python Network Programming الذي كتبه جون جورزن John Goerzen، ويدور حول برمجة الشبكات مغطيًا كثيرًا من جوانب برمجة المقابس.

والجميل في الأمر أنه يمكن تنفيذ أغلب مهام برمجة الشبكات بمستوىً أعلى إذا كنا نستخدم أحد بروتوكولات الإنترنت القياسية، مثل http و smtp و telnet وغيرها، ففي بايثون مثلًا وحدات تنفذ تلك البروتوكولات في طبقة المقابس لئلا نضطر نحن إلى ذلك، وسندرس في المقالات القادمة كيف نبسط برمجة الويب باستخدام http، من خلال وحدات المستوى الأعلى تلك، أما عند اختيار العمل في برمجة الشبكات ليكون تخصصًا مهنيًا فتُستخدم لغة rebol لأنها تولي أهميةً لخصوصية المهام، وفيها دعم للعديد من مهام الشبكة.

وإن أردت التعمق أكثر في الشبكات، فقد ترجمت أكاديمية حسوب كتابًا مهمًا ونشرت مقالاته تحت وسم "أساسيات الشبكات " يمكنك الرجوع إليه.

خاتمة

نرجو في نهاية هذا المقال أن تكون تعلمت ما يلي:

• تمثَّل اتصالات شبكات الحواسيب بعناوين IP ومنافذ ports.
• تتصل المقابس بالمنافذ.
• تراقب مقابس الخوادم الاتصالات وتستمع لها عبر listen، وتقبلها إذا التقطتها بواسطة accept، وهذا يحدد منفذًا جديدًا ليستخدمه العميل الجديد.
• يجب أن تستقبل الخوادم رسائل العملاء على المنفذ الجديد من خلال recv، وترسل send الردود إلى العملاء.
• يتصل عملاء المقابس بمقبس الخادم من خلال connect، ويرسلون البيانات إليه من خلال send، ثم يستقبلون البيانات مرةً أخرى عبر recv في صورة ردود.
• يغلق العميل المقبس باستخدام close عند انتهاء عملية تبادل البيانات.

ترجمة -بتصرف- للفصل السابع والعشرين: Network Communications من كتاب Learn To Program لصاحبه Alan Gauld.

اقرأ أيضًا

• المقال التالي: كيفية التعامل مع الويب
• المقال السابق: التواصل بين العمليات في البرمجة
• المدخل الشامل لتعلم علوم الحاسوب
• مدخل إلى شبكات الحواسيب: مصطلحات وفهم طبقات الشبكة
• البرمجيات المستخدمة في بناء الشبكات الحاسوبية
• معمارية الشبكة الحاسوبية وشبكة الإنترنت (Network Architecture)

يُعَد فهم الشبكات جزءًا أساسيًّا من تهيئة كيانات معقدة على الإنترنت، ويؤثر ذلك كثيرًا على كفاءة تواصل الخوادم بين بعضها بعضًا، وتطوير ضوابط أمان للشبكات، وإبقاء عقد الاتّصال منظمة.

شرحنا في الدليل السابق بعض المصطلحات المهمة في عالم الشبكات. اطّلع على الدليل إذا أردت فهم المفاهيم، التي سنستعرضها هنا.

سنناقش في هذا المقال بعضًا من المفاهيم المرتبطة بتصميم شبكات الحاسوب والتفاعل معها، كما سنغطّي على وجه التحديد أصناف الشبكات Network Classes، والشبكات الفرعية Subnets، والتوجيه غير الصنفي بين النطاقات CIDR لتجميع عناوين بروتوكول الإنترنت.

فهم عناوين بروتوكول الإنترنت IP Addresses

يجب أن يحتوي كلّ موقعٍ أو جهاز على الشبكة عنوانًا يدل عليه، وهذا يعني أنه يمكن الوصول إلى أي موقع أو جهاز عن طريق معرفة العنوان الخاص به، بحيث ينتمي هذا العنوان لنظام عناوينٍ ما مُعرَّف بواسطته؛ ففي حالة شبكة من نمط بروتوكول الإنترنت TCP/IP الاعتياديّة، يُعالَج الأمر باستخدام عدة طبقات، لكن عندما نذكر "عنوانًا على الشبكة" فنحن نقصد غالبًا عنوان بروتوكول الإنترنت.

تمكننا عناوين بروتوكول الإنترنت من الوصول لموارد شبكةٍ ما باستخدام واجهتها Interface؛ فإذا أردنا إجراء اتّصال بين حاسوبٍ وحاسوب آخر مثلًا، فنحن بحاجة لإرسال المعلومات باستخدام بروتوكول الإنترنت الخاص بالحاسوب المتلقّي. يمكننا نظريًا فعل ذلك، وهذا بفرض أنّ الجهازين على الشبكة نفسها، أو أن هناك بعض الأجهزة الوسيطة التي تفسّر الطلب عبر عدّة شبكات.

لا ينبغي تكرار عنوان بروتوكول الإنترنت ذاته على الشبكة نفسها، فكلّ عنوان فريدٌ عن غيره؛ ويمكن للشبكات أن تُعزل أو تُربط ببعضها بعضًا بعد تهيئتها لتضمن الوصول بين شبكتين منفصلتين. يسمح نظام ترجمة عنوان الشبكة Network Address Translation -أو اختصارًا NAT-، بإعادة كتابة العناوين عندَ إرسال حزمٍ من البيانات بين شبكتين، وذلك بهدف وصول الحزم لوجهتها النهائية. وبالتالي يمكننا بفضل هذا النظام استعمال عناوين متشابهة ضمن عدّة شبكاتٍ معزولة دون أيّ مشكلات.

الفرق بين معياري IPv4 وIPv6

هناك معياران لبروتوكول الإنترنت، ومُستخدمان بكثرة ضمن أنظمة الاتّصالات، هما: معيار IPv4 ومعيار IPv6. نظرًا للتحسينات التي طرأت على معيار IPv6، فهو يستبدل ببطء معيار IPv4 المحدود؛ والسبب في ذلك ببساطة هو احتواء العالم على كثيرٍ من الأجهزة المتصلة بالإنترنت ولا يكفي معيار IPv4 لسدّ الحاجة.

يكون عنوان معيار IPv4 بطول 32 بِت، ويُقسَّم إلى 4 أقسام، إذ يكون كل واحدٍ منها بطول بايت أو 8 بِت، ويفصل بين كل بايتٍ وآخر نقطة ويُمثَّل كل بايت برقم من 0 إلى 255. بالرغم من أنّ العنوان يتألّف من أرقام في النظام العشري ليسهل التعامل بها بواسطتنا نحن البشر، إلّا أنّها في الحقيقة قيمٌ مُمثّلة بثمان خانات (واحدات وأصفار)، وتدعى كل 8 خانات بثُمانيّة Octet.

يبدو عنوان IPv4 الاعتيادي على النحو التالي:

192.168.0.5

إذ أن أعلى قيمة ممكنة هي 255، وأصغر قيمة هي 0.

يمكننا التعبير عن العنوان السابق باستخدام النظام الثنائي، بحيث نفصل بين كل ثمانيّة وأخرى بشَرطة بدل نقطة، ونفصل بمسافةٍ بين كل 4 خانات بهدف تسهيل قراءة العنوان:

1010 0000 - 0000 0000 - 1000 1010 - 0000 1100

لا بُد أن نفهم جيّدًا أن التمثيلين السابقين متكافئين، فهذا مهمّ لاستيعاب المفاهيم التي سترِد لاحقًا.

على الرغم من وجود بعض الاختلافات الأخرى بين المعيارين بخصوص البروتوكول وكيف يعمل كلّ منهما، إلّا أن الفرق الأبرز هو اختلاف سعة كلّ منهما؛ إذ يُمثَّل معيار IPv6 عنوان بروتوكول الإنترنت باستخدام رقم مؤلف من 128 بِت؛ وبالتالي يحوي IPv6 ما يساوي:

7.9 x 10<sup>28 </sup>

ضعف ما يستطيع معيار IPv4 تمثيله.

يُكتب عنوان بروتوكول الإنترنت بمعيار IPv6 متمثّلًا بثمانية أقسام؛ ويتكوّن كل قسم من 4 خانات في النظام السداسي عشري. يحتوي النظام السداسي عشري على 16 رقم من 0 إلى 15، ويُمثَّل بالأرقام من 0 إلى 9 بالإضافة للأحرف من A إلى F. هذا ما قد يبدو عليه عنوان بروتوكول إنترنت بمعيار IPv6:

1203:8fe0:fe80:b897:8990:8a7c:99bf:323d

قد ترى أن بعض العناوين مكتوبةً أقصر من السابق، إذ يمكن اختصار الخانات الصفرية اليسرى لأي ثمانيّة دون أن تؤثر على قيمة العنوان، كما يمكن اختصار ثمانيّة صفرية باستخدام "::".

على سبيل المثال إن كان لدينا ثمانيّة ما في عنوان IPv6 على النحو التالي:

...:00bc:...

فيمكننا اختصاره إلى:

...:bc:...

لتوضيح الحالة الثانية المذكورة، سنفترض أنه لدينا العنوان التالي الذي يحتوي على ثمانيّات صفريّة:

...:18bc:0000:0000:0000:00ff:...

يمكن كتابته بصيغةٍ مختصرة، وذلك عن طريق إزالة الأصفار اليسرى واستبدال الثمانيّات الصفرية بالرمز "::"، وفق:

...:18bc::ff...

ولكن يمكن اختصار الثمانيّات الصفرية مرّةً واحدةً في العنوان؛ وإلّا فلن تكون قادرًا على إعادته للعنوان الكامل مرةً أخرى.

رغم أنّ المعيار IPv6 أكثر شيوعًا وانتشارًا هذه الأيام، إلّا أننا سنبني شرحنا وأمثلتنا على معيار IPv4، نظرًا لسهولة التعامل معه واحتوائه على خاناتٍ أقلّ.

أصناف عنوان IPv4 والنطاقات المحجوزة

تحتوي عناوين بروتوكول الإنترنت عادةً على مكوّنين يدلّان على معلومتين؛ إذ يدلّ المكون الأول على الشبكة network التي ينتمي العنوان إليها؛ بينما يدلّ المكون الثاني على جهاز معيّن (مضيف host) على الشبكة. ويعتمد موضع بدء المكون وانتهائه على الطريقة التي هُيئت بها الشبكة، وسنتكلّم عن ذلك في الفقرات التالية.

تتوزع عناوين IPv4 على أربعة أقسام تدعى بالأصناف Classes، من A إلى E، هدفها الفصل بين نطاقات عناوين الإنترنت المتاحة وتجزئتها. يمكننا معرفة صنف كل عنوان عن طريق ملاحظة أول أربعة بِتات، إذ يُعرَّف صنف العنوان بواسطتها. نستطيع التعرف على صنف العنوان على النحو التالي:

• الصنف A
  • ‎0---‎: يبدأ أول بِت من عنوان IPv4 ذو الصنف A بالصفر، وأي عنوان يقع بين المجال 0.0.0.0 و127.255.255.255 ينتمي للصنف A.
• الصنف B
  • ‎10--‎: يحتوي الصنف B على جميع العناوين بين المجال 128.0.0.0 و 191.255.255.255. أو بمعنى آخر، أي عنوانٍ يحتوي على 1 في البِت الأول، و 0 في البِت الثاني.
• الصنف C
  • ‎110‎-‎: يحتوي الصنف C على جميع العناوين بين المجال 192.0.0.0 و223.255.255.255. أو بمعنى آخر، أي عنوانٍ يحتوي على 1 في البِت الأول والثاني، و0 في الثالث.
• الصنف D
  • ‎1110‎: يحتوي الصنف D على جميع العناوين بين المجال 244.0.0.0 و329.255.255.255. بمعنى آخر، أي عنوانٍ يحتوي على 1 في البِت الأول والثاني والثالث، و0 في الرابع.
• الصنف E
  • 1111: يحتوي الصنف E على جميع العناوين بين المجال 240.0.0.0 و255.255.255.255. بمعنى آخر، أي عنوان يحتوي على 1 في البِت الأول والثاني والثالث والرابع.

الصنف D مخصّص لبروتوكولات التحويل المتعدد Multi-casting، التي تسمح بإرسال حزم البيانات لمجموعةٍ من المضيفين دفعةً واحدةً. عناوين الصنف E محجوزة للاستخدام المستقبلي والتجريبي، وهي غير مُستخدمة غالبًا.

تقسِّم كل من الأصناف A و B و C الشبكات والأجهزة المضيفة على نحوٍ مختلف وفقًا لحجم الشبكة؛ إذ يستخدم الصنف A الخانات المتبقية من الثُمانيّة الأولى في تمثيل الشبكة، ويُمثّل المضيف بباقي العنوان. يُعد هذا الصنف جيدًا لتعريف شبكاتٍ قليلة تضمّ كثيرًا من الأجهزة المضيفة.

يستخدم الصنف B أوّل ثمانيّتان (المتبقي من الثمانية الأولى، وكامل الثمانية الثانية) في تمثيل الشبكة والمتبقي من العنوان لتمثيل الأجهزة المضيفة؛ بينما يستخدم الصنف C أوّل ثلاث ثمانيّات لتمثيل الشبكة، والثمانية الأخيرة لتمثيل الجهاز المضيف داخل الشبكة.

تقسيم عنوان بروتوكول الإنترنت لأصناف عدّة طريقةٌ قديمةٌ بعض الشيء، إذ قُدِّمَت هذه الطريقة مثل حلٍ لمشكلة نفاذ عناوين IPv4، وذلك نظرًا لإمكانية وجود عدة حواسيب للمضيف ذاته وتابعة لشبكاتٍ مختلفة، واستُبدلت هذه الطريقة بطرقٍ أخرى سنناقشها.

النطاقات الخاصة المحجوزة

هناك بعض الأجزاء من عنوان IPv4 المحجوزة لأغراضٍ معينة. ويُعد نطاق الاسترجاع Loopback Range واحدًا من أكثر النطاقات المحجوزة إفادةً، وهو مُحددٌ بالنطاقات ما بين 127.0.0.0 و 127.255.255.255؛ إذ يُستخدم هذا النطاق من قبل المضيف لفحص سلامة الشبكة، ويُستخدم أوّل عنوان في النطاق غالبًا وهو 127.0.0.1.

يمتلك كل صنف من أصناف عنوان الإنترنت نطاقًا محجوزًا للشبكات الخاصة؛ إذ أن نطاق العناوين من 10.0.0.0 إلى 10.255.255.255 محجوزٌ للشبكات الخاصة للعناوين من الصنف A؛ بينما يوجد للصنف B النطاق المحجوز من 172.16.0.0 إلى 172.31.255.255، وأخيرًا للصنف C النطاق من 192.168.0.0 إلى 192.168.255.255.

يمكن لأي حاسوب غير متّصل بالإنترنت مباشرةً، بمعنى غير متصل عبر جهاز توجيه Router، أو نظامٍ لترجمة عناوين الشبكات NAT، استخدام العناوين المذكورة في أي وقت. هناك بعض نطاقات العناوين الإضافية المحجوزة لأغراض معيّنة، يمكنك مراجعة ملخص ويكيبيديا لمزيدٍ من المعلومات عنها.

أقنعة الشبكة والشبكات الفرعية

تُدعى عملية تقسيم الشبكة إلى شبكات فرعية أصغر منها بتفريع الشبكة Subnetting، إذ تُعد هذه العملية مفيدةً في كثيرٍ من الحالات، وتساعد بعزل مجموعات من المضيفين عن بعضها بعضًا للتعامل معها بسهولة.

كما ناقشنا سابقًا، يمكن تجزئة كل نطاق من عناوين بروتوكول الإنترنت إلى جزء يدل على الشبكة، وآخر يدل على المضيف؛ إذ يعود طول الجزء الذي يدلّ على كلٍّ منهما للصنف الذي ينتمي إليه هذا العنوان؛ فبالنسبة لعنوانٍ من الصنف C مثلًا، تُستخدم أوّل ثلاث ثمانيّات للدلالة على الشبكة. إذًا، يدل الجزء 192.168.0 بالنسبة للعنوان 192.168.0.15 على الشبكة، ويدلّ 15 على المضيف.

تحتوي كل شبكة افتراضيًا على شبكةٍ فرعية واحدة، وتضمّ هذه الشبكة الفرعية على جميع عناوين المضيفين المعرّفة بداخلها. ويُعَد قناع الشبكة بمثابة توصيفٍ لعدد بِتّات العنوان المستخدم في الشبكة الفرعية هذه؛ وقناع الشبكة الفرعية هو قناع شبكة آخر يُستخدم لتقسيم الشبكة لأقسامٍ أكثر.

كلّ بِت في العنوان هامٌ في التمثيل والدلالة على الشبكة يجب أن يُمثّل بـ 1 في قناع الشبكة، إذ يمكننا مثلًا تمثيل العنوان 192.168.0.15، الذي ناقشناه في مثالنا السابق بالترميز الثنائي على النحو التالي:

1100 0000 - 1010 1000 - 0000 0000 - 0000 1111

كما شرحنا في السابق، تمثّل الثمانيّات الثلاثة الأولى الجزء الذي يدل على الشبكة في عنوان من التصنيف C، أو بكلماتٍ أخرى، الأربع وعشرين بتًا الأوّليات. ونظرًا لأن هذه هي البتات المهمة التي نريد الاحتفاظ بها، فسيكون قناع الشبكة على النحو التالي:

0000 0000 - 1111 1111 - 1111 1111 - 1111 1111

يمكننا كتابة قناع الشبكة السابق بترميز IPv4 اعتيادي، أي 255.255.255.0؛ إذ أن كل بِت يتخذ القيمة 0 بالتمثيل الثنائي لقناع الشبكة يدلّ على أنّه جزءٌ من العنوان الذي يمثل المضيف، ويمكن عدّه متغيرًا. تُعَد البِتّات التي تتخذ القيمة 1 ثابتة القيمة ضمن الشبكة أو الشبكة الفرعية.

يمكننا الحصول على الجزء الدالّ على الشبكة بإجراء عمليّة ثنائية من نوع AND بين عنوان بروتوكول الإنترنت وقناع الشبكة. وبإجراء هذه العملية، نحافظ على القسم الذي يدل على الشبكة في العنوان ونهمل القسم الذي يدل على المضيف. ستكون نتيجة العملية وفقًا لمثالنا السابق على النحو التالي:

0000 0000 - 0000 0000 - 0000 1010 - 0000 1100

يمكننا تمثيل العنوان السابق على النحو التالي: 192.168.0.0. النطاق الذي يدل على المضيف هو الفرق بين القيم الأصلية وقسم المضيف. وفي هذه الحالة، قيمة نطاق المضيف، هي: 1111 0000 أو 15.

الهدف من تفريع الشبكة هو استخدام قسمٍ من نطاق المضيف في العنوان، واستخدامه لتقسيم العنوان من جديد. إذ يزودنا قناع الشبكة للعنوان 255.255.255.0 مثلًا، بـ 254 مضيف على الشبكة (الرقمان 0 و255 محجوزان). إذا أردنا تقسيم الشبكة لشبكتين فرعيتين، يمكننا استخدام بِت واحد من قسم العنوان الذي يدل على المضيف قناعًا للشبكة.

بعودتنا للمثال السابق، القسم الذي يعود للشبكة هو:

0000 0000 - 1000 1010- 0000 1100

والقسم الذي يعود للمضيف هو:

1111 0000

يمكننا استخدام أول بِت من القسم الذي يدلّ على المضيف وتغييره لإنشاء شبكة فرعية، وذلك بتعديل قناع الشبكة من هذا القناع:

0000 0000 - 1111 1111 - 1111 1111 - 1111 1111

لهذا القناع:

0000 1000 - 1111 1111 - 1111 1111 - 1111 1111

في ترميز IPv4 الاعتيادي، يُمثّل العنوان السابق على النحو التالي: 192.168.0.128. خصّصنا بهذه العملية أوّل بِت في الثمانيّة الأخيرة على أنها خانة ذات أهمية تدل على الشبكة، إذ تعطينا هذه العملية شبكتين فرعيتين؛ ويغطي قناع الشبكة الأول النطاق من 192.168.0.1 إلى 192.168.0.127؛ بينما يغطي قناع الشبكة الثاني النطاق 192.168.0.129 إلى 192.168.0.255. بطبيعة الحال، يجب ألاّ تُستخدم الشبكة الفرعية بنفسها عنوانًا.

إذا استخدمنا بِتّات أكثر من قسم العنوان العائد للشبكة، عندها يمكننا الحصول على شبكاتٍ فرعية أكثر وأكثر. ألقِ نظرةً على بناء مخطط لعناوين IP عبر الشبكات الفرعية لمزيدٍ من المعلومات.

ترميز التوجيه غير الصنفي بين النطاقات CIDR

طُوِّر نظام التوجيه غير الصنفي بين النطاقات Classless Inter-Domain Routing -أو اختصارًا CIDR- بديلًا لطريقة تفريع الشبكة التقليدي، إذ يعتمد مبدأ هذا النظام على إضافة خانةٍ جديدة لعنوان بروتوكول الإنترنت بنفسه للدلالة على عدد البِتّات التي تمثل القسم الخاص بتوجيه الشبكة.

على سبيل المثال، عنوان بروتوكول الإنترنت 192.168.0.15 مرتبطٌ بقناع الشبكة 255.255.255.0، ويمكننا التعبير عن ذلك بترميز CIDR عن طريق كتابة 192.168.0.15/24؛ إذ يمثل العدد 24 عدد البِتّات الموجودة في عنوان بروتوكول الإنترنت، والتي تدل على القسم الخاص بتوجيه الشبكة.

يفتح هذا النظام المجال لفرصٍ مثيرةٍ للاهتمام، إذ يمكن استخدامه للدلالة على الشبكات الفوقية Supernets، ونقصد هنا نطاقات عناوين كبيرة من غير الممكن تمثيلها بطريقة قناع الشبكة الاعتياديّة. على سبيل المثال، في شبكةٍ من الصنف C، مثل الشبكة في أمثلتنا السابقة، لا يمكننا جمع العنوانين 192.168.0.0 و192.168.1.0، وذلك نظرًا لأن عنوان قناع الشبكة للصنف C هو 255.255.255.0، ولكن مع استخدام ترميز CIDR، يمكننا جمع العنوانين بالدلالة على النطاق الذي ينتميان إليه على النحو التالي 192.168.0.0/23؛ وهذا يدلّ على أن هناك 23 بِت مُستخدمٌ للدلالة على الشبكة التي نقصدها.

يمكننا تمثيل الشبكة الأولى 192.168.0.0 بالترميز الثنائي على النحو التالي:

0000 0000 - 0000 0000 - 1000 1010 - 0000 1100

ونمثل الشبكة الثانية 192.168.1.0 على النحو التالي:

0000 0000 - 0001 0000 - 1000 1010 - 0000 1100

وبالتالي، يدلنا عنوان CIDR الذي كتبناه سابقًا، على أوّل 24 بِت مستخدَم لتمثيل القسم الذي يعود للشبكة، ويساوي هذا التمثيل قناع الشبكة 255.255.254.0، أو بالتمثيل الثنائي على النحو التالي:

0000 0000 - 1110 1111 - 1111 1111 - 1111 1111

كما نلاحظ، يمكن أن يكون البِت ذو الترتيب 24 بقيمة 1 أو 0، لأن الجزء الذي يدل على الشبكة يشمل فقط أوّل 23 بِت. يمنح نظام CIDR مزيدًا من التحكم للدلالة على نطاقاتٍ مستمرّة من عنوان بروتوكول الإنترنت، وهو أفضل من طريقة قناع الشبكة التي استعرضناها سابقًا.

الخاتمة

نأمل أنك استطعت فهم بعض تطبيقات الشبكات على عناوين بروتوكول الإنترنت. مع أنّ صعوبة التعامل مع هذا النوع من الشبكات كبيرة وغير بديهية، إلا أنها هامة لفهم طريقة تهيئة مكونات شبكتك وبرمجياتها.

هناك الكثير من الأدوات والآلات الحاسبة على الإنترنت التي ستساعدك في فهم بعض من هذه المبادئ، والحصول على نطاقات عناوين صحيحة من خلال إدخال بعض المعلومات. توفر بعض الأدوات تحويلًا لعنوان بروتوكول الإنترنت من التمثيل العشري الاعتيادي إلى التمثيل الثنائي (الثمانيّات)، وتعرض لك تمثيلًا بصريًّا لأقنعة شبكة نظام CIDR.

ترجمة -وبتصرف- للمقال Understanding IP Addresses, Subnets, and CIDR Notation for Networking لصاحبه Justing Ellingwood.

اقرأ أيضًا

• الشبكات الفرعية والعناوين والأخطاء في بروتوكول IP
• بناء مخطط لعناوين IP عبر الشبكات الفرعية عند بناء الشبكات
• التوجيه بين الشبكات المحلية الافتراضية VLANs
• استكشاف وظائف الموجهات في الشبكات
• معمارية الشبكة الحاسوبية وشبكة الإنترنت (Network Architecture)

تستخدم معظمُ الشركات اليوم الشبكاتِ لتزويد موظفيها، ومورِّديها، وزبائنها بالمعلومات، وتُعرَّف شبكةُ الحاسوب Computer Network بأنها مجموعة مؤلفة من جهازَي حاسوب اثنين، أو أكثر، موصولة ببعضها بواسطة قنوات اتصال؛ لمشاركة البيانات والمعلومات، وتربط شبكاتُ الحاسوب الموجودة في يومنا هذا آلاف المستخدمين بعضهم ببعض، ويمكن عبرها نقلُ الصوت والفيديو، بالإضافة إلى نقل البيانات.

تتضمن شبكة الحاسوب خادمًا Server، وزبونًا أو عميلًا Client، فالزبون في الشبكات هو التطبيق الذي يعمل على جهاز حاسوبٍ شخصي أو محطة عمل حاسوبية؛ ويعتمد على خادمٍ Server يدير مصادر الشبكة أو يؤدي مهامًّا خاصةً مثل: تخزين الملفات، وإدارة طابعة واحدة أو أكثر، أو معالجة استعلامات قاعدة بيانات Database Queries، ويمكن لأي مستخدم على الشبكة الوصول إلى ما يوفِّره الخادم.

وبفضل جعل الشبكات الحاسوبية سريعة وسهلة فيما يخص تبادل المعلومات، فقد فتحت تلك الشبكاتُ آفاقًا جديدةً للعمل وزيادة الإنتاجية، إذ توفر استخدامًا أكثر فاعلية للموارد، وتتيح الاتصال والتعاون عبر الوقت والمسافة، أما فيما يخصُّ مشاركة الملفات؛ فيحظى جميع الموظفين بالوصول إلى المعلومات ذاتها بصرف النظر عن مكان وجودهم؛ كما تُغني البياناتُ التي تجري مُشاركتُها عن تكرار الجهد المبذول، ويمكن للموظفين -من مواقع مختلفة- تبادل الملفات الموجودة ضمن الحاسوب عبر "مشاركة الشاشة Screen-Share"، فيعملون على البيانات وكأنهم في غرفة واحدة، إذ إنّ أجهزة الحاسوب الخاصة بهم متصلة ببعضها عبر الهاتف أو الخطوط السلكية (الكابل)، فيرون الشيء ذاته على شاشة العرض الخاصة بكل منهم، وبوسع أيٍّ منهم إجراء تغييراتٍ يراها المشاركون الآخرون، كما يمكن للموظفين استخدام الشبكات لإجراء مؤتمرات فيديو Videoconferencing.

كما تتيح الشبكاتُ للمؤسسات تشغيل برمجيات مؤسسية، وهي برامج ضخمة ذات وحدات مدمجة تدير جميع العمليات الداخلية للشركة، كما يجري تشغيل نُظُم تخطيط موارد المؤسسة على الشبكات الحاسوبية، حيث تتضمنُ النُظُم الفرعية الاعتيادية النظامَ المالي، والموارد البشرية، والهندسة، وتوزيع المبيعات والطلبات، وإدارة الطلبات، والشراء، وتعمل كل واحدة من تلك الوحدات عملًا مستقلًّا، ثم تتبادل المعلومات تبادلًا آليًّا، فتُنشِئُ نظامًا على مستوى الشركة يتضمن مواعيد التسليم الحالية، وحالة المخزون، وضبط الجودة، وسواها من معلومات أساسية. فلنُلقِ نظرةً -الآن- على الأنواع الرئيسة للشبكات التي تستخدمها الشركات لنقل البيانات، وهي الشبكات المحلية LANs والشبكات الواسعة WANs، وتطبيقات الشبكات الشائعة مثل: الشبكة الداخلية والشبكة الافتراضية الخاصة.

الاتصال القريب والبعيد باستخدام الشبكات

هناك نوعان رئيسان من الشبكات التي يجري التمييز بينها وفقًا للمنطقة التي تغطيها؛ النوع الأول هو الشبكة المحلية Local Area Network، التي تتيح للأشخاص الموجودين في الموقع ذاته تبادلَ المعلومات ومشاركة الأجهزة والبرمجيات من مجموعة متنوعة من مصنِّعي أجهزة الحاسوب، إذ توفر الشبكاتُ المحلية للشركات وسيلة ذات تكلفة أقلَّ؛ لربط أجهزة الحاسوب ببعضها موازنة بتوصيل الأجهزة الطرفية Terminals بحاسوبٍ مركزيّ، وتتمثل أكثر استخدامات الشبكات المحلية شيوعًا لدى الشركات الصغيرة في أتمتة المكاتب، والمحاسبة، وإدارة المعلومات؛ وتتيح تلك الشبكات للشركات تخفيض عدد العاملين، وتبسيط العمليات، وتقليل نفقات المعالجة، كما يمكن تنصيب الشبكات المحلية بوصلات سلكية أو لاسلكية.

أما النوع الثاني للشبكات الحاسوبية من حيث المنطقة التي تغطيها، فهو الشبكة الواسعة Wide Area Network، والتي تربط أجهزة الحاسوب الموجودة في مواقع مختلفة، عبر وسائل الاتصالات مثل: خطوط الهاتف، والأقمار الصناعية، والموجات الميكروية Microwaves فالمودم Modem يربط جهازَ حاسوبٍ، أو جهازًا طرفيًا، بخطّ هاتفٍ، فينقل المعلومات نقلًا آنيًّا تقريبًا، أي بأقل من ثانية، ويعد الإنترنت شبكة واسعة ذات انتشارٍ عالميّ؛ تُشغِّلُ شركاتٌ كبرى، مثل أي تي آند تي AT&T، وفيرايزون Verizon، وسبرينت Sprint- شبكاتٍ واسعةً جدًا، كما تربط الشركاتُ شبكاتٍ محلية LANs، موجودةً في مواقع مختلفة، بشبكاتٍ واسعة WANs كما تُمكِّنُ الشبكاتُ الواسعةُ الشركاتِ من العمل على مشاريع شديدة الأهمية، على مدار الساعة باستخدام فِرَق موجودة في مناطق زمنية مختلفة.

وتستخدمُ أنواعٌ عديدة من الشبكات الواسعة تقنية الإنترنت، ومنها الشبكات الداخلية Intranets، والشبكات الافتراضية الخاصة Virtual Private Network، والشبكات الخارجية Extranets، وسنتحدث هنا عن الشبكات الداخلية Intranets، وهي شبكات مؤسسية داخلية تتوفر على نطاقٍ واسع في عالم المؤسسات، كما سنلقي الضوء على الشبكات الافتراضية الخاصة، ومع أن وجود الشبكات اللاسلكية Wireless Networks قائم منذ ما يزيد على عقدٍ من الزمن، فإن استخدامها يشهد تزايدًا بسبب تكاليفها المنخفضة، والتقنية الأسرع والأكثر موثوقية التي تستخدمها، وبفضل معاييرها المتطورة تتشابه الشبكات اللاسلكية مع نظيراتها، الشبكة المحلية والشبكة الواسعة، باستثناء استخدامها (والحديث هنا عن الشبكات اللاسلكية) موجات الراديو لنقل البيانات، وتستخدم أنتَ شبكةً واسعة لاسلكية Wireless Wide Area Network استخدامًا منتظمًا، عندما تستعمل هاتفك المحمول، إذ يمكن لتغطية الشبكات الواسعة أن تشمل عدة بلدان.

كما تعمل شركاتُ الاتصالات باستخدام الشبكات الواسعة اللاسلكية، وتوفر الشبكاتُ المحلية اللاسلكية Wireless LANs -التي تنقل البيانات ضمن موقع واحد- بديلًا عن الأنظمة السلكية التقليدية، ويبلغ القطر الذي تغطيه الشبكاتُ المحلية اللاسلكية 500 قدم داخل المؤسسة، و1000 قدم خارجها؛ وهي تغطية قابلة للتوسيع باستخدام الهوائيات وأجهزة الإرسال، وغيرها من الأجهزة؛ فالأجهزة اللاسلكية تتصل مع نقطة وصول سلكية موصولة بدورها مع الشبكة السلكية، هذا، وتعد الشبكات المحلية اللاسلكية WLANs ملائمةً لتطبيقات معينة تمثل فيها الأسلاك عائقًا، أو عندما يكون الموظفون موجودين في مواقع مختلفة من المبنى الذي يعملون فيه، وتعد الفنادق، والمطارات، والمطاعم، والمستشفيات، ومؤسسات البيع بالتجزئة، والجامعات، والمخازن -من أكثر الجهات استخدامًا للشبكات المحلية اللاسلكية، والتي تسمى -أيضًا- واي- فاي Wi-Fi. فعلى سبيل المثال: أتاح القائمون على مشفى إدارة المحاربين القدامى Veterans Administration Hospital، الواقع في مدينة ويست هيفن West Haven بولاية كونيتيكت Connecticut الأمريكية، أتاحوا مؤخرًا وصولًا إلى شبكة واي- فاي، تغطي غرف المرضى كافة، وذلك بهدف تحديث شبكتها المحلية اللاسلكية الحالية، وتعزيز الموثوقية، والجودة، ووصول المرضى إليها، كما تدعم تلك الشبكة المحلية اللاسلكية الجديدة وظائفَ مختلفة، تتراوح بين تواصلٍ أفضل، ضمن المكان الذي يوجد فيه الأطباء وطاقم الممرضين، يتيحه نقلُ البيانات وأنظمةُ الاتصالات الهاتفية عبر الإنترنت، والذي يوصِل إلى تطبيقاتٍ تتركز فيها البيانات، ومن تلك التطبيقات نظامُ المعلومات السريرية من إنتاج مجموعة ميديتك Meditech، والإدارةُ الدوائية.

مثال ناصع عن الروح الريادية

توثيق المستقبل

لم يوافقِ المستهلكون المحتملون لشركة كابتيفا سوفت وير Captiva Software على الاعتقاد الذي تبنّاهُ الشريك المؤسس لها رينولدس بيش Reynolds Bish بأنَّ استعمال الورق ليس في طريقه إلى الزوال؛ فهم يعتنقون فكرة أنَّ الحواسيب الشخصية والإنترنت سيوديان بالورق نحو الاختفاء، ولم يكونوا سيستثمرون في البرمجيات لتنظيم مستنداتهم، وكاد ذلك أن يتسبب بإفلاس شركة كابتيفا، ويقول جيم بيرغلاند؛ وهو أحد المستثمرين الأوائل في تلك الشركة، وعضوٌ سابق في مجلس إدارتها: "كُنّا قلقين من أن نُخفِق في فعل ذلك".

ولكن رينولدز بيش طلب من المستثمرين تعهُّدًا بتقديم 4 ملايين دولار أخرى، في رهانٍ على أنَّ الاستعمال الورقي باقٍ ولن يزول، ويتذكر بيش ما قاله له أحدُ أعضاء مجلس الإدارة ذات مرة: "بعد خمس سنواتٍ من الآن، سيعتقد الناس أنك إما عبقريٌّ أو مُغفَّل".

حصلت تلك المحادثة منذ عشرين عامًا خَلَت، وقد صُنِّفَت شركة كابتيفا سوفت وير Captiva Software واحدةً من أسرعِ شركات التقنية نموًّا في سان دييغو San Diego في أوائل سنة 2000، وذلك بفضل الزيادة التي حققتها في الإيرادات، والتي بلغت 172%، ثم استحوذت على شركة كابتيفا شركةُ إي إم سي EMC Corp.— التي تعد سادس أكبر شركات البرمجيات في العالم، وأكبر مُصنِّعي التجهيزات الخاصة بتخزين البيانات المؤسسية، مع إيرداتٍ سنوية مخطط لها تزيد على 9 مليارات دولار— وذلك مقابل 275 مليون دولار نقدًا، وهو ما منحَ المستثمرين الأوائل في شركة كابتيفا مكافآتٍ تمثَّلت باستردادهم المالَ الذي استثمروا فيه، لدى تلك الشركة مضروبًا بعشرة أضعاف، (استحوذت شركةُ ديل Dell على شركة إي إم سي EMC مقابل 67 مليار دولار).

بدأت شركة كابتيفا مسيرتها نحو النجاح الكبير في العام 1989 في بارك سيتي Park City بولاية يوتا Utah الأمريكية، وكانت تُسمّى آنذاك شركة تيكست وير Textware Corp التي بدأت بوصفها شركةَ إدخال بيانات، ويعودُ السببُ في استمرار العمل التجاري لتلك الشركة إلى الخبرة التقنية للشريك المؤسس لها، وهو ستيفن بورتون Steven Burton، وإلى الخلفية التجارية للشريك المؤسس الآخر، رينولدز بيش، وإلى بطاقةٍ ائتمانية. يقول بيش: "تحقق الأمرُ بجهودنا الذاتية الصرفة، لقد قمنا بكل شيء، حتى إننا عملنا بلا راتب لمدة سنة، واضطررنا إلى استخدام بطاقاتنا الائتمانية".

وما لبث بيش و بورتون أن أدركا الحاجة إلى موظفين لإدخال البيانات بشكل أكثر مباشرةً ودقّة، فالبرنامج الذي طوَّراه كان ما يزال بحاجة إلى موظفين لطباعة المعلومات على مستندٍ ورقيّ، ولكنه كان قادرًا على التحقق من الأخطاء والمعلومات غير الدقيقة، وعلى مطابقة الرموز البريدية مع المدن، على سبيل المثال. وفي العام 1996: أنتجت شركة تيكست وير برنامجًا يستطيع "قراءة" الكلمات المطبوعة على الآلة الكاتبة من على ورقة بعد إخضاعها للمسح، وهو ما أسهم إسهامًا كبيرًا في تخفيض الحاجة إلى موظفي إدخال البيانات، وقد لاقى ذلك البرنامج شعبيةً مع مُعالِجات البطاقات الائتمانية، وشركات التأمين، وشركات الشحن، وسواها من الشركات التي تتعامل مع آلاف الاستمارات كل يوم.

وقدِ استحوذت شركةُ تيكست وير على / أو اتحدت مع، خمس شركات؛ وطُرِحَت للاكتتاب العام؛ كما غيّرت اسمها مرتين، وأنشأت مقراتها عام 1998 في مدينة سان دييغو San Diego بولاية كاليفورنيا بعد أنِ اشترت شركة ويب سيستمز Wheb Systems التي يقع مقرُّها هناك. وفي العام 2002، اندمجت تلك الشركة مع شركة معالجة مستندات، هي أكشن بوينت Action Point المملوكة ملكية عامة، والواقعة في مدينة سان خوسيه San Jose بولاية كاليفورنيا الأمريكية، ثم غيرت اسمها إلى كابتيفا.

ووفقًا لشركة أبحاث سوق تسمى فوريستر ريسرتش Forrester Research، ما تزال نسبةُ 80% من جميع المعلوماتِ ورقيةً، وتُعالج أهمُّ منتجاتِ شركة كابتيفا، وهي إن بوت أكسل InputAccel، و فورم وير FormWare ما يزيد على 85 مليون ورقة حول العالم يوميًّا، وهذا ما لا يدع مجالًا للشك في أن رؤية ورنالدز بيش كانت في محلّها؛ فالورق باقٍ فعلًا.

عمل داخلي: الشبكات الداخلية

تعد الشبكاتُ الداخلية Intranets شبكاتٍ مؤسسيةً خاصة، مثلها مثل الشبكات المحلية LANS؛ ويستخدمُ العديدُ من الشركات هذين النوعَين من الشبكات، ومع ذلك؛ ولأنّ الشبكات الداخلية تستخدم الإنترنت للاتصال بأجهزة الحاسوب، فهي إذًا شبكاتٌ واسعة WANs تربط بين الموظفين الموجودين في مواقع مختلفة، والذين يعملون على أجهزة حاسوبٍ ذات أنواع مختلفة، وفي حالة الشبكات الداخلية الصغيرة Mini-Intranets التي تُخدِّم موظفي الشركةِ -فقط- فإنها تعمل بحماية جدار ناري أو جدار حماية Firewall مهمته منعُ الوصول غير المصرَّح به، ويتصفحُ الموظفون الإنترنت بواسطة متصفح ويب نموذجيٍّ، مما يجعل الشبكة الداخلية سهلةَ الاستخدام، كما تتميز الشبكات الداخلية بكونها أقل تكلفة من حيث التركيب والمحافظة عليها، موازنةً بأنواع الشبكات الأخرى، وتستفيد من مزايا الإنترنت التفاعلية مثل: غرف الدردشة ومساحات عمل الفريق Team Workspaces (وتسمى -أيضًا- أدوات التعاون الإلكتروني Online Collaboration Tools، أو مساحات العمل المشتركة Shared Work Spaces، ويقدم اليوم العديدُ من مزوّدي البرمجيات حُزَمَ شبكاتٍ داخليةٍ جاهزة تمكّن الشركاتِ من شتى الأحجامِ، من الحصول على وصولٍ متزايد للمعلومات، وتوزيعها كذلك.

وتقرّ الشركاتُ اليومَ بفاعلية الشبكات الداخلية في تأمين الاتصال بطرقٍ شتى بين الجهات الموظِّفة من جهة، والموظَّفين من جهة أخرى، فتعزز بذلك من العمل الجماعي ومشاركة المعرفة، وللشبكات الداخلية تطبيقات عديدة، تتراوح بين إدارة الموارد البشرية، والأمور اللوجستية. وعلى سبيل المثال: قد تغدو شبكةٌ داخلية خاصة بإدارة مزايا الموظفين المفضلةَ لديهم، فبدلًا من اضطرار الموظفين إلى مهاتفة موظف الموارد البشرية المسؤول لإجراء أي تغييراتٍ في سجلّاتهم الشخصية، أو في مساهمات خطط التقاعد الخاصة بهم، أو لتسليم سجلّات الدوام، يمكنهم بفضل ذلك الولوجُ إلى تلك الشبكة الداخلية وتعديل المعلومات بأنفسهم، كما يمكن للمديرين -أيضًا- معالجة التحديثات الخاصة بتوظيف الأشخاص والمِلاكِ العددي للموظفين، والمبالغ التحفيزية التي تُدفَع لهم، ومراجعات الأداء -بدون الحاجة لملء ورقة عمل لدى قسم الموارد البشرية، كما يمكن للموظفين التحقق إلكترونيًا، وبصورة منتظمة، من اللوحة الخاصة بالمناصب الجديدة ضمن الشركة، ويمكن -أيضًا- لنقل المهام الإدارية الروتينية إلى الشبكة الداخلية أن يوفر مزايا إضافية مثل: تقليص حجم قسم الموارد البشرية بنسبة 30%، والسماح لموظفي ذلك القسم بتركيز اهتمامهم على مشاريع أكثر أهمية.

البوابات الإلكترونية المؤسسية تفتح المجال للإنتاجية

تعمل الشبكات الداخلية ذات الرؤية الأوسع؛ بوصفها أدواتِ إدارةِ معرفةٍ عالية التطور، ومن الأمثلة على تلك الشبكات: البوابةُ الإلكترونية المؤسسية Enterprise Portal، وهي موقعٌ إلكتروني داخلي يوفر معلوماتٍ مؤسسية حصرية لمجموعة محددة من المستخدمين، وتتخذ البواباتُ أشكالًا ثلاثة، هي: من الشركة إلى الموظف Business to Employee، ومن شركة إلى شركة Business to Business، ومن شركة إلى مستهلك Business to Consumer. وبخلاف الشبكات الداخلية الاعتيادية؛ تسمح البوابات المؤسسية للأفراد أو مجموعات المستخدمين بتخصيص صفحة البوابة الرئيسة، بحيث تجمع المعلوماتِ التي يحتاجون إليها -فقط- وفقًا لظروف عملهم المحددة؛ كما تسمح بإيصال تلك المعلومات عبر صفحة ويب منفردة، وبسبب تعقيد البوابات الإلكترونية المؤسسية، فعادةً ما تكون ثمرةَ مشروعٍ تعاونيّ، يجمع بين التصاميم التي يطورها فريقُ الموارد البشرية، ويتقن إعدادَها، وبين الاتصالاتِ المؤسسية، وأقسامِ تقنية المعلومات.

ويستخدم المزيدُ من الشركات تقنية البواباتِ الإلكترونية لتوفير:

• واجهةِ مستخدِم متسقة وبسيطة على مستوى الشركة.
• دمجٍ للأنظمة المتباينة والمجموعات المتعددة للبيانات والمعلومات.
• مصدرٍ موحَّد للمعلومات الدقيقة والمتوفرة في الوقت المطلوب، يجمعُ بينَ المعلومات الداخلية والخارجية.
• وقتٍ أقصر لتنفيذ المهام والعمليات.
• خفضٍ للنفقات بفضل الاستغناء عن جهات وسيطة للتزويد بالمعلومات.
• اتصالاتٍ متطورة ضمن الشركة ومع المستهلكين، والمورِّدين، والتجار، والموزِّعين.

لا تشابك أسلاك بعد اليوم: التقنيات اللاسلكية

أصبحتِ التقنية اللاسلكية واسعة الانتشار في يومنا هذا؛ ونستخدم بصورة معتادة أجهزةً مثل: الهواتف الخلوية، وأجهزة فتح أبواب كراج السيارات، وأجهزة التحكّم في التلفاز، بدون الانتباه إلى أنها أمثلةٌ على التقنية اللاسلكية، كما تستخدم الشركاتُ التقنية اللاسلكية لتطوير اتصالاتها بالزبائن، والمورِّدين، والموظَّفين.

وتعد شركاتُ توصيل الطُرود، مثل شركة يو بي إس UPS، و فيديكس FedEx، من أوائل الشركات التي استخدمت التقنية اللاسلكية؛ إذ يستعين موظفو توصيل الطرود بحواسيب محمولة بكفّ اليد Handheld Computers لإرسال تأكيداتٍ فورية باستلام الطرد، وربما يكون سبق لك أن شاهدتَ عمال قراءة عدّادات، أو عمال تصليحاتٍ، لدى شركات المرافق الخدمية والكهرباء، يرسلون بياناتٍ من مواقع بعيدة يزورونها إلى أجهزة حاسوب مركزية موجودة ضمن الشركات التي يعملون لصالحها.

وتمثل تقنية بلوتوث Bluetooth اللاسلكية قصيرة المدى معيارًا عالميًا، يعزز الاتصال الشخصي لمستخدمي الهواتف النقالة، وأجهزة الحاسوب المحمولة، وسماعات الرأس؛ إذ تؤمّن تقنيةُ بلوتوث اتصالًا لاسلكيًا بين لوحة المفاتيح والفأرة من جهة، وبين جهاز الحاسوب من جهة أخرى؛ وبين سماعات الرأس من جهة، والهواتف النقالة ومشغّلات الموسيقى من جهة أخرى؛ فالهواتف النقالة المزوَّدة بتقنية بلوتوث مثلًا توفر استخدامًا آمنًا للهاتف خلال قيادة السيارة لا يتطلب استخدام اليد، ولهذه التقنية تطبيقاتٌ عديدة في مجال صناعة السيارات -أيضًا- وتعد تقنية بلوتوث اللاسلكية أساسيةً في العديد من السيارات في الوقت الراهن، وهناك العديد من الشركات في يومنا هذا توفر حلولًا عن طريق بلوتوث تُبقي اليدين حُرَّتين، ومنها شركات السيارات، والتقنية، والهواتف النقالة. ومن الأمثلة على تلك الشركات: شركة أمازون Amazon، و آبل Apple، و أودي Audi، و بي إم دبليو BMW، و دايملر كرايسلر DaimlerChrysler، وجوجل Google، و هوندا Honda، و ساب Saab، وفولكس فاجن Volkswagen. ومن الاستخدامات الأخرى لتقنية بلوتوث: تسهيل الاتصال بين مُشغِّلاتِ الموسيقى الرقمية المحمولة ونظام الصوت في السيارة، ونقل الموسيقى المُحمَّلة إلى النظام.

الخطوط الخاصة: الشبكات الافتراضية الخاصة

يستخدم العديدُ من الشركات شبكاتٍ افتراضيةً خاصة Virtual Private Networks (تُسمّى اختصارًا: VPN) للربط بين شبكتين خاصتين أو أكثر (مثل: الشبكات المحلية LANs عبر شبكة عامة، مثل شبكة الإنترنت، وتتضمن الشبكاتُ الافتراضيةُ الخاصة تدابيرَ أمنيةً قوية تسمح بالدخول إلى الشبكة، وبالوصول إلى المعلومات المؤسسية الحساسة التي بداخلها، من قِبَل المستخدمين المُصرَّح لهم فقط، وقد تجد الشركاتُ ذات المكاتب، واسعة الانتشار، أنّ الشبكات الافتراضية الخاصة هي خيارٌ أقلُّ تكلفة موازنة بنفقات إنشاء شبكة باستخدام تجهيزاتٍ شبكية مُشتراة، واستئجار خطوطٍ خاصة باهظة الثمن، ويعد نوعُ الشبكة الخاصة هذا أكثر تقييدًا من الشبكات الافتراضية الخاصة لأنه لا يسمح للمستخدمين المصرح لهم بدخول الشبكة المؤسسية، عندما يكونون مسافرين أو موجودين في منازلهم.

ومثلما تُبيِّن الصورةُ 13.4، تستخدمُ الشبكةُ الافتراضيةُ الخاصة البنيةَ التحتية الموجودة الخاصة بشبكة الإنترنت، وتجهيزاتِها، للاتصال بالمستخدمين، والمكاتب، الموجودين في أماكن بعيدة جغرافيًا، والمنتشرين في أي مكان من العالم تقريبًا، وذلك بدون تكبُّد التكاليف المرتبطة ببُعد المسافة، وبالإضافة إلى توفيرها نفقاتِ الاتصالات بفضل الشبكات الافتراضية الخاصة، فليس على الشركات التي تستخدم تلك الشبكات شراءُ تجهيزاتٍ شبكية خاصة، ولا الحفاظُ عليها؛ بل يمكنها تعهيدُ إدارة تجهيراتِ الوصول البعيد (أي الاستعانة بمصادر خارجية لإدارتها)، وتُعد الشبكاتُ الافتراضيةُ الخاصة مفيدة للبائعين والعاملين عن بُعد، الذين بوسعهم الدخول إلى الشبكة الخاصة بالشركة، وكأنهم موجودون في المبنى الخاص بها داخل مكاتبهم، أما سلبيات الشبكات الافتراضية الخاصة، فتتمثل في أنّ توفُّرَها وأداءها يعتمدان على عوامل تُعَدُّ خارجةً خروجًا كبيرًا عن سيطرة الشركة، وخصوصًا في حال كانت تلك الشبكاتُ تستخدم الإنترنت.

تنتشر الشبكاتُ الافتراضيةُ الخاصة بين أنواع مختلفة من المؤسسات، ويعود السبب الرئيس وراء ذلك إلى مستوى الأمان الذي توفره، إذ يُنصَح دائمًا باستخدامها للوصول إلى شبكة الإنترنت، ولأنَّ بياناتك جميعها تُعَمًّى (تشفر) بمجرد دخولك النفق الافتراضي للشبكة الافتراضية الخاصة، فستُمنى بالفشل جهودُ المخترقين Hackers الذين يحاولون اعتراض النشاط التصفُّحي الخاص بك، عندما تُدخِل رقم بطاقتك الائتمانية للقيام بالشراءٍ عبر الإنترنت، على سبيل المثال؛ ولذلك يبدو استخدامُ شبكةٍ افتراضيةٍ خاصة، فكرةً جيدة في الأماكن العامة مثل المطاعم والمطارات.

برمجيات عند الطلب: مزودو خدمة التطبيقات

في ظل إطلاق مطوِّري البرمجيات أنواعًا جديدة من برامج التطبيقات، ونُسَخًا مُحدَّثة من تلك الموجودة حاليًا، بمعدل مرةٍ واحدة كل سنة أو سنتين…فعلى الشركات تحليلُ ما إذا كان بوسعها تبريرُ شراءِ برمجيات جديدة، أو تحديث الموجودة لديها، وذلك من ناحية التكلفة ووقت تطبيق ذلك. إن الشركات التي تُسمّى الواحدة منها مزوِّد خدمة التطبيقات Application Service Provider (اختصارًا: ASP) تقدم مقاربة مختلفة لتلك المشلكة، أو منهجًا مختلفًا للتعامل معها؛ إذ تشترك الشركات مع إحدى مزودات الخدمة تلك، على أساسٍ شهريّ عادة، وتستخدم التطبيقات مثلما تستخدم أنتَ البريدَ الصوتيّ عبر الهاتف، وهي التقنية الموجودة لأجل ذلك في شركة الهاتف، ومن التسميات الأخرى التي تُطلَق على مزوّد خدمة التطبيقات؛ تسمية برمجياتٌ عند الطلب On-Demand Software، و التطبيقات المُستضافة Hosted Applications، والبرمجيات كخدمة Software-as-a-Service. وتُظهِر الصورةُ 13.5 كيف تتواصل الشركةُ مزوِّدةُ خدمة التطبيقات مع مورِّدي البرمجيات والأجهزة، ومطوِّريها، ومعَ قسم تقنية المعلومات، والمستخدمين.

الصورة: 13.4: الشبكات الافتراضية الخاصة VPNs: (حقوق الصورة محفوظة لجامعة رايس Rice، أوبن ستاك Openstax).

تعملُ أبسطُ تطبيقات مزوِّدي خدمة التطبيقات بطريقة آليّةٍ أو مؤتمَتة. فمثلًا: قد يستخدم شخصٌ ما أحد تلك التطبيقات لإنشاء موقعِ تجارةٍ إلكترونيةٍ بسيط، ومن الجدير ذكره أنَّ مزودات خدمة التطبيقات توفّر ثلاث فئات رئيسة من التطبيقات للمستخدمين، هي:

• تطبيقات مؤسسية، ومن ضمنها إدارة علاقات العملاء، وتخطيط موارد المؤسسة، والتجارة الإلكترونية، وتخزين البيانات.
• تطبيقات تعاونية لأغراض الاتصالات الداخلية، والبريد الإلكتروني، والبرمجيات الجماعية، وإنشاء المستندات، والتراسل الإداري.
• تطبيقات ذات استخدامٍ شخصي، مثل الألعاب، وبرمجيات الترفيه، والتطبيقات الخاصة بمكاتب العمل المنزلية.

ووفقًا لدراساتٍ مسحيةٍ حديثة، هناك عدد متزايد من الشركات التي تستخدم مزودي خدمة التطبيقات، بل إنها تنقل نُظُمَها القديمة Legacy Systems إلى التخزين السحابي، وتشير تقديراتٌ إلى أن عائدات الاشتراكات بخدمات التخزين السحابي عند الطلب On-Demand Cloud Services بلغت حوالي 180 مليار دولار خلال العام 2017، ويشهد هذا القطاع نموًا متسارعًا يفوق سرعةَ نمو قطاعَي البرمجيات والأجهزة بثلاثة أضعاف، وبالتوازي مع نمو هذا السوق، يضيفُ عددٌ متزايد من الشركات عروضًا عند الطلب إلى حُزَم البرمجيات التقليدية التي توفِّرُها لزباىنها، وتعد شركات أمازون Amazon (وتحديدًا قسم خدمات أمازون ويب Amazon Web Services)، وآي بي إم IBM ومايكروسوفت Microsoft وسيلزفورس دوت كوم Salesforce.com من بين الشركات الرائدة في مجال التزويد بالخدمات السحابية.

وحتى وقتٍ قريب، كان العديدُ من الشركاتِ يتردّد في تعهيد التطبيقات المؤسسية الحساسة لجهاتٍ مُزوِّدة تمثل طرفًا ثالثًا، ولكن هذا الموقف ما لبث أن تغير بعد أن طوّرَ مزودو خدماتِ التطبيقات تقنياتهم، وأثبتوا موثوقيةً وتوفيرًا في النفقات؛ إذ تسعى الشركات الصغيرة والكبيرة نحو مزايا متعلقة بالنفقات مثل تلك التي توفرها الشركاتُ مزوّدةُ خدمة التطبيقات، وتبدو الفكرة الرئيسة من وراء الاشتراك لدى شركة مزودة لخدمات التطبيقات مثيرةً للاهتمام، إذ إن بوسع المستخدمين الوصول إلى أيٍّ من تطبيقاتهم أو بياناتهم من أي جهاز حاسوب، كما يمكن لقسم تقنية المعلومات IT تجنُّبُ شراء تطبيقاتٍ برمجية باهظة الثمن، أو تنصيبها، أو دعمَها، أو تحديثها، فالذي يحدث هو أن مزودي خدمة التطبيقات يشترون البرمجيات، ويحتفظون بها على خوادمهم Servers، ثم يوزعونها باستخدام شبكاتٍ ذات سُرعاتٍ عالية، ويستأجرُ المشتركون التطبيقاتِ التي يريدون، لفترة زمنية محددة ومقابل سعر محدَّد، وبذلك يكون التوفير المتعلق برسوم الترخيص، والبنية التحتية، والوقت، والموظفين- كبيرًا.

الصورة 13.5: هيكل علاقات مزوّد خدمة التطبيقات: (حقوق الصورة محفوظة لجامعة رايس Rice، أوبن ستاك Openstax.

ويمثل مزودو الخدمات المُدارة Managed Service Providers (اختصارًا: MSPs)، الجيلَ القادم لمزودي خدمات التطبيقات ASPs، إذ توفر الأولى تخصيصًا أكبر، وإمكاناتٍ أوسع، تتضمن عملياتٍ خاصة بالأعمال التجارية، وإدارة كاملة لخوادم الشبكة، وقد بلغت التعاملات السوقية العالمية لخدمات تقنية المعلومات المُدارة 149.1 مليار دولار في العام 2016، وهناك تقديراتٌ بأنّ قيمة تعامُلاتِ هذه السوق ستبلغُ 256.5 مليار دولار في العام 2021، وذلك بعد أن كانت 166.7 مليار دولار في العام 2017، بمعدَّل نموٍّ سنويٍّ مُركَّب بلغ 11.5% للفترة من عام 2018 وصولًا إلى العام 2021.

ترجمة -وبتصرف- للفصل Using Technology to Manage Information من كتاب introduction to business.

اقرأ أيضًا

• المقال التالي: نظم المعلومات الإدارية
• المقال السابق: تغيير الشركات بواسطة المعلوماتية
• تأسيس الشبكات الحاسوبية والتعرف على تطبيقاتها
• العوامل المؤثرة في أداء الشبكات الحاسوبية

تُعد أسماء النطاقات جزءًا مفتاحيًا من أجزاء البنية التحتية للإنترنت، فهي التي تزوّد المستخدم بعناوين مقروءة لأي خادم ويب موجود على الإنترنت.

يمكن الوصول إلى أي حاسوب متصل بالإنترنت من خلال عنوان آي بي IP Address سواء بنسخته الرابعة IPv4 (مثل 173.194.121.32) أو السادسة IPv6 (مثل 2027:0da8:8b73:0000:0000:8a2e:0370:1337 ).

يمكن أن تتعامل الحواسيب مع هذه العناوين بسهولة، ولكن الأمر صعب بالنسبة للمستخدم الذي يحاول إيجاد من يدير الخادم أو ما هي الخدمات التي يقدمها موقع ويب، فعناوين آي بي صعبة التذكر ويمكن أن تتغير مع الوقت. لحل هذه الإشكالات نستخدم عناوين سهلة على المستخدمين ومقروءة تدعى أسماء النطاقات.

إذًا، نهدف في هذا المقال إلى التعرف على مفهوم اسم النطاق Domain Name وكيف يعمل وأهميته في تقانة الويب.

ننصحك قبل الشروع في قراءة المقال أن تطلع على مقال كيف تعمل شبكات الإنترنت؟، وأن تكون تفاصيل عنوان URL واضحة بالنسبة لك.

بنية أسماء النطاقات

يتكون اسم النطاق من بنية بسيطة مكونة من عدة أجزاء، ويمكن تتكون من جزء واحد فقط أو اثنين أو ثلاثة …إلخ، وتفصل بينها نقاط وتقرأ من اليمين إلى اليسار:

يزودنا كل جزء من هذه الأجزاء بمعلومات محددة عن اسم النطاق عمومًا.

نطاق المستوى الأعلى TLD

توضح نطاقات المستويات الأعلى Top-Level Domain واختصارًا TLD الغاية من الخدمة التي يقدمها النطاق عمومًا. لا تتطلب أكثر النطاقات العليا شيوعًا (com. وorg. وnet.) أية خدمات ويب لتحقق معايير محددة، بالمقابل تطبق بعض النطاقات العليا الأخرى سياسات أكثر صرامة، وبالتالي ستكون الغاية من استخدام هذه النطاقات واضحة أكثر.

يمكن أن تفرض النطاقات العليا المحلية (الخاصة بالدول) مثل us. أو fr. أو se. أن تكون الخدمات أو الموارد بلغة محددة، أو مُستاضفة في بلد محدد، بينما لا يُسمح باستخدام النطاقات العليا gov. إلّا للمنظمات الحكومية، وكذلك الأمر بالنسبة للنطاقات التي تتضمن edu، فهي مسموحة للاستخدام مع المؤسسات التعليمية والأكاديمية فقط. تتكون أسماء النطاقات العليا من 36 محرفًا كحد أقصى علمًا أن معظمها مكون من محرفين أو ثلاثة، كما يمكن أن تضم محارفًا خاصة مثل الأحرف اللاتينية. يمكنك الاطلاع على القائمة الكاملة بأسماء النطاقات العليا على موقع ICANN.

العنوان (أو المكون)

تأتي العناوين بعد أسماء النطاقات العليا مباشرة على شكل سلسلة من المحارف غير الحساسة لحالة الأحرف والتي يمكن أن يتراوح عددها بين محرف وحتى 63 محرفًا. تتضمن هذه المحارف الحروف الأبجدية اللاتينية من A حتى Z والأرقام من 0 حتى 9 والمحرف - الذي لا يجوز أن يتواجد في بداية أو نهاية سلسلة المحارف. يمكن أن يكون العنوان على سبيل المثال a أو 97 أو hello-strange-person-16-how-are-you.

يُدعى العنوان الأقرب إلى النطاق الأعلى بنطاق المستوى الثاني Secondary Level Name واختصارًا SLD، ويمكن لاسم النطاق أن يضم عدة عناوين (أو مكونات). ليس من الضروري إطلاقًا أن يتكون اسم النطاق من ثلاثة عناوين، فاسم النطاق www.inf.ed.ac.uk هو اسم صحيح، كما أن اسم النطاق hsoub.com صحيح أيضًا. وتجدر الإشارة إلى إمكانية إنشاء نطاقات فرعية Subdomains وهي مواقع ويب لها محتوياتها الخاصة ضمن الموقع ذاته باستخدام العناوين كالتالي: Academy.hsoub.com أو accounts.hasoub.com.

شراء اسم نطاق

بعد أن تعرفنا على هيكلية أسماء النطاقات لنتعرف كيف يمكننا شراء نطاق معين.

من يمتلك أسماء النطاقات؟

يمكن شراء أي اسم نطاق غير محجوز وفي حال كان اسم نطاق مستخدم بالفعل فلا يمكنك شراءه حتى يتخلى صاحبه عنه، بالاضافة إلى ذلك لا يمكننا شراء النطاق إلى الأبد لأن ذلك سيؤدي لامتلاء الويب بأسماء غير مستخدمة ومغلقة لا يمكن استخدامها مجددًا.

بدلًا من شراء أسماء النطاقات للأبد يمكنك دفع مبلغ معين مقابل حصولك على حق استخدام اسم النطاق الذي تريده لمدة زمنية محددة (عام أو أكثر)، كما يمكنك تجديد حق الاستخدام والذي سيمنح الأولوية لطلبك على طلبات الآخرين، ولكن تذكر بأنك لا تملك اسم النطاق هذا للأبد.

تستخدم بعض الشركات التي تُدعى "مُسجِّلات Registrar" سجلات أسماء النطاقات لتتبع المعلومات التقنية والإدارية التي تربطك باسم النطاق الذي تحجزه.

اقتباس

لا يمكن لبعض المسجلات المسؤولة عن تتبع أسماء النطاقات من الولوج إلى معلومات بعض النطاقات كالنطاق fire. الذي تديره شركة أمازون.

العثور على اسم نطاق

لتتأكد أن اسم النطاق الذي تختاره متاح للاستخدام أم محجوز اتبع الخطوات التالية:

• ادخل على موقع شركة مسجّلة فهي تقدم خدمة تدعى “whois” أو "هو إز" تخبرك عن توفر اسم نطاق معين أم لا.
• إن كنت تستخدم نظام تشغيل مزوّد بمفسّر أوامر Shell، افتح المفسر واكتب الأمر whois يتبعه اسم النطاق ثم اضغط الزر "Enter". إليك مثالًا عمليًا وليكن اسم النطاق الذي نريد البحث عنه هو hsoub.com سيكون الأمر والنتيجة على الشكل التالي:

$ whois Hsoub.com
Domain Name: HSOUB.COM
Registry Domain ID: 1623716742_DOMAIN_COM-VRSN
Updated Date: 2019-09-29T14:11:16Z
Creation Date: 2010-11-03T21:39:38Z
Registrar Registration Expiration Date: 2028-11-03T21:39:38Z
Registrar: Name.com, Inc.
Registrar IANA ID: 625
Reseller:
Domain Status: clientTransferProhibited
Registry Registrant ID: Not Available From Registry
Registrant Name: Whois Agent
Registrant Organization: Domain Protection Services, Inc.
Registrant Street: PO Box 1769
Registrant City: Denver
Registrant State/Province: CO
Registrant Postal Code: 80201
Registrant Country: US
Registrant Phone: +1.7208009072
Registrant Fax: +1.7209758725
Registrant Email: https://www.name.com/contact-domain-whois/hsoub.com

كما ترى، لا يمكن تسجيل اسم النطاق لأن شركة "حسوب Hsoub" حجزته بالفعل. لنرى إن كان بالإمكان تسجيل اسم النطاق afunkydomainname.org:

$ whois afunkydomainname.org
NOT FOUND

كما ترى لا وجود لاسم النطاق هذا في قاعدة بيانات whois (حتى لحظة الكتابة) وبالتالي يمكنك الاستعلام عنه وحجزه!

الحصول على اسم نطاق

العملية مباشرة وفق الخطوات التالي:

1. افتح موقع ويب إحدى الشركات المسجِّلة.
2. ستجد عادة زر أو رابط دائمًا بعنوان "احصل على اسم نطاق Get a domain name".
3. إملأ الاستمارة التي تظهر بالمعلومات المطلوبة، وتأكد من أنك لم تخطئ كتابة اسم النطاق الذي ترغب بحجزه، فبمجرد أن تدفع لن تتمكن من التراجع!
4. ستعلمك الشركة المسجّلة متى أصبح اسم النطاق الذي حجزته مسجّلًا وجاهزًا للاستخدام. خلال عدة ساعات ستتعرف كل خوادم أسماء النطاقات Domain Name System اختصارًا DNS على معلومات اسم النطاق الذي حجزته.

اقتباس

ستطلب منك الشركة المسجلة أثناء عملية التسجيل عنوانك الحقيقي، فتأكد بأنك وضعت العنوان الفعلي لأن شركات التسجيل في بعض الدول تمنع تسجيل أي اسم نطاق إن لم يرتبط بعنوان فعلي.

تحديث خوادم أسماء النطاقات

تُخزن قواعد بيانات دي إن إس في جميع خوادم أسماء النطاقات في العالم وترتبط هذه الخوادم جميعها بعدة خوادم خاصة تدعى "خوادم أسماء النطاقات الموثقة Authoritative Name Servers" أو "خوادم دي إن إس المستوى الأعلى Top-Level DNS Servers" وهذه الخوادم بمثابة المدراء للمنظومة ككل.

عندما تسجل أي شركة مسجّلة اسم نطاق أو تحدث اسمًا موجودًا فلا بدّ من تحديث المعلومات في قواعد البيانات لجميع خوادم أسماء النطاقات. فعندما يعرف خادم أسماء النطاقات بوجود اسم نطاق ما فسيخزنُ معلوماته لبعض الوقت قبل أن يتأكد من سلامتها ثم يحدّثها (يستعلم خادم أسماء النطاقات من خادم أسماء النطاقات الموثوقة عن اسم النطاق ويحضر المعلومات المحدثة منه). لهذا تستغرق العملية بعض الوقت ليحصل خادم أسماء النطاقات على المعلومات المحدثة لاسم نطاق مسجل لديه (يعلم بوجوده).

آلية عمل استعلام دي إن إس DNS

كما رأينا سابقًا من السهل أن تكتب اسم النطاق في شريط عنوان المتصفح عندما تريد الوصول إلى صفحة ويب بدلًا من عنوان آي بي لها. لنلق نظرة على العملية:

1. اكتب مثلًا Hsoub.com في شريط عنوان متصفحك.
2. يسأل المتصفح حاسوبك إن كان على دراية بعنوان آي بي الذي يحدده اسم النطاق الذي كتبته (من خلال البحث في ذاكرة دي إن إس مؤقتة على الحاسوب). إن وجدت المعلومات يترجم المتصفح اسم النطاق إلى عنوان آي بي الموجود في الذاكرة المؤقتة ثم يحضر المتصفح المحتوى المطلوب من الخادم المحدد بعنوان آي بي.
3. إن لم يتعرف حاسوبك على عنوان آي بي المرتبط باسم النطاق الذي كتبته سيتوجه المتصفح إلى خادم أسماء النطاقات لسؤاله، لأن عمله بالتحديد هو معرفة عنوان آي بي لكل اسم نطاق مسجل لديه.
4. يعرف حاسوبك الآن عنوان آي بي المطلوب وبالتالي سيتمكن المتصفح من إحضار المحتوى المطلوب من خادم ويب الصحيح.

• ترجمة -وبتصرف- للمقال What is a Domain Name.

اقرأ أيضًا

• الفرق بين صفحة الويب وموقع الويب وخادم الويب ومحرك البحث.
• ما هي الأدوات المستخدمة في بناء مواقع ويب؟
• ما التكلفة المادية الكاملة لبناء موقع ويب؟
• ما هي أدوات مطوري الويب المدمجة في المتصفحات؟

تُعد شبكة الإنترنت العمود الفقري للويب والبنية التحتية التقنية التي جعلت الويب واقعًا معاشًا. ببساطة شديدة يمكن أن نعرّف الإنترنت بأنها شبكة ضخمة من الحواسيب التي تتواصل مع بعضها.

يلف الغموض نوعًا ما تاريخ الإنترنت نظرًا لبدايته كمشروع بحثي مولَه الجيش الأمريكي في ستينات القرن الماضي، ثم تحوّل إلى بنية تحتية عمومية في ثمانينات القرن ذاته بدعم من عدة جامعات حكومية وشركات خاصة. تطورت مع الوقت تقنيات متنوعة تدعم الإنترنت، لكن آلية عملها لم تتغير كثيرًا: فالإنترنت وسيلة لربط الحواسيب مع بعضها بعضًا وتضمن بقاء هذه الحواسب متصلة ببعضها مهما حدث.

سنناقش في هذا المقال ماهية الإنترنت وآلية عمله. لفهم مبادئ البنية التحتية التقنية للويب ولمعرفة الفرق الدقيق بينها وبين الإنترنت.

الشبكة البسيطة

عندما تريد من حاسوبين التواصل، لابد من وصلهما سلكيًا عبر كابل شبكة (أو كما يُعرف باسم كابل إيثرنت) أو لاسلكيًا عبر أنظمة اتصالات لاسلكية مثل تقنية الواي-فاي أو البلوتوث. وستجد أن معظم الحواسب الحديثة تدعم كل وسائل الاتصال التي ذكرناها.

اقتباس

ملاحظة: سنتحدث خلال هذا المقال عن الكابلات الفيزيائية، لكن ما ينطبق عليها ينطبق على شبكات الاتصال اللاسلكية.

يمكن لهذه الشبكة أن تربط حاسوبين مع أي عدد تريده من الحواسب، لكن الوضع سيتعقد بسرعة. فلو حاولت أن تربط 10 حواسب مثلًا ستحتاج إلى 45 كابلًا وتسعة مقابس لوصلها لكل حاسوب.

لحل هذه المشكلة يتصل كل حاسوب على الشبكة بجهاز حاسوبي صغير خاص يُدعى الموجّه Router، وهذا الجهاز له وظيفة واحدة: وهي التأكد أنّ الرسالة التي يرسلها حاسوب معين ستصل إلى وجهتها الصحيحة؛ أي إلى الحاسوب الصحيح. فعند ارسال رسالة من الحاسوب A إلى الحاسوب B ستخرج الرسالة من الحاسوب A إلى الموجّه الذي سيحوّل الرسالة بدوره إلى الحاسوب B ويتأكد أن الرسالة لن تحوّل إلى حاسوب آخر مثل C.

عند إضافة موجّه إلى الشبكة المكونة من عشرة حواسب، سينخفض عدد الكابلات المطلوبة إلى 10 ومقبس واحد لكل حاسوب، كما سنحتاج إلى موجّه بعشرة مقابس.

شبكة مكونة من عدة شبكات

نلاحظ أن الأمر بسيط مع عشرة حواسيب، ولكن ماذا عن وصل مئات أو آلاف أو ملايين الحواسيب؟ لن يكفي موّجه واحد بالطبع، وطالما أن الموجّه هو حاسوب كبقية الحواسيب، فما المانع من وصل موجّهين معًا؟ لا شيء.

عندما نوصل الحواسيب إلى موجهات ونوصل الموجهات ببعضها يمكننا توسيع الشبكة إلى ما لانهاية نظريًا.

تتشابه هذه الشبكة التي بنيناها لشبكة الإنترنت، لكن ينقصها شيء ما. فعندما بنينا شبكتنا الخاصة التي تخدم أغراضنا، نسينا الشبكات الأخرى التي سيبنيها الآخرون لأن كل شخص قادر على بناء شبكته الخاصة ومن غير الممكن مثلًا توصيل كابلات بين منزلك وكل الشبكات المحيطة، فكيف سنحل الأمر إذًا؟ في الحقيقة هناك كابلات متعددة تصل بالفعل إلى منزلك مثل كابل الطاقة الكهربائية وكابل الهاتف. فالبنية التحتية للاتصالات الهاتفية تربط منزلك بالفعل مع أي شخص في العالم وبالتالي سيكون كابل الهاتف الخيار المثالي الذي نحتاج إليه. ولوصل شبكتنا بالبنية التحتية الهاتفية نحتاج إلى جهاز يدعى المودم Modem وهو يحول المعلومات التي توّلدها شبكتنا إلى معلومات تستطيع البنية التحتية الهاتفية فهمها وإدارتها والعكس بالعكس.

بعد اتصالنا بالبنية التحتية الهاتفية ستكون الخطوة التالية هي توصيل الرسائل من شبكتنا إلى الشبكة التي نريدها. ولإتمام هذا الأمر سنصل شبكتنا أولًا بما يسمى مزود خدمة الإنترنت Internet Service Provider واختصارًا ISP. ومزود خدمة الإنترنت هي شركة تدير مجموعة خاصة من الموجهات المرتبطة ببعضها ولديها القدرة على الولوج إلى الموجهات الموجودة في مزودات خدمة أخرى. وهكذا تنتقل الرسائل من شبكتنا إلى الشبكة التي نريدها عبر شبكات مزود خدمة الإنترنت. تتكون الإنترنت من هذه البنية التحتية من الشبكات.

إيجاد حاسوب معين

إذا أردنا إرسال رسالة إلى حاسوب ما، علينا أن تحدد تمامًا من هو مستقبل الرسالة. لهذا السبب يمتلك كل حاسوب متصل إلى الشبكة عنوانًا فريدًا يميزه عن غيره من الحواسيب يدعى عنوان آي بي IP address (وهو اختصار للعبارة Internet Protocol أي بروتوكول إنترنت). يتكون عنوان آي بي من مجموعات مكونة من أربع أرقام تفصل بينها نقاط كالعنوان التالي: 192.168.2.10.

تتذكر الحواسيب هذه العناوين جيدًا لكن يصعب على البشر تذكرها. ولتسهيل هذا الأمر يمكن تحويل هذه العناوين المؤلفة من أرقام إلى أسماء يفهمها البشر تُدعى أسماء النطاقات Domain names. فمثلًا (حتى لحظة كتابة هذه السطور ولأن عناوين آي بي تتغير) يرتبط اسم النطاق google.com بعنوان آي بي 142.250.190.78. وهكذا يُسهل اسم النطاق الوصول إلى حاسوب عبر الإنترنت.

ما الفرق بين الإنترنت والويب؟

لا بدّ وأنك لاحظت أننا نستخدم أسماء النطاقات عادة عندما نتصفح الويب من خلال المتصفحات، فهل يعني ذلك أنّ الإنترنت والويب هو الشيء ذاته؟ في الحقيقة الأمر ليس بهذه البساطة.

يعد الإنترنت كما رأيناه كبنية تحتية تقنية تسمح لمليارات الحواسيب بأن تتواصل مع بعضها، ويمكن لبعض هذه الحواسب والتي تدعى خوادم ويب Web servers أن توصل رسائل مفهومة بالنسبة لمتصفحات الويب، وبالتالي فالإنترنت هي البنية التحتية الأساسية بينما الويب هي خدمات مبنية على هذه البنية. ومن المفيد الإشارة إلى وجود خدمات أخرى مبنية على الإنترنت مثل خدمة البريد الإلكتروني وخدمة المحادثة المبنية على إنترنت Internet Relay Chat واختصارًا IRC.

الشبكات الداخلية (إنترانيت) والخارجية (إكسترانت)

الإنترانت Intranet هي شبكات خاصة تسمح لأشخاص محددين فقط من منظمة محددة الوصول إليها. تشكل هذه الشبكات بوابة خاصة تساعد الأعضاء على الوصول إلى موارد مشتركة بطريقة آمنة وتسمح لهم التعاون والتواصل فيما بينهم، فيمكن أن تستضيف منظمات شبكة إنترانت خاصة بها لمشاركة صفحات ومعلومات ضمن القسم أو الفريق ومشاركة السواقات لإدارة المستندات الهامة وبوابات لإدارة مهام تتعلق بالأعمال وأدوات للتعاون مثل المنشورات التعاونية wikis ومنصات النقاش ومنظومات الرسائل.

تشبه الإكسترانت Extranet الإنترانت إلا أن الإكسترانت تتيح الوصول إلى شبكتها الخاصة كليًا أو جزئيًا للتعاون مع منظمات أخرى وتُستخدم بصورة أساسية لمشاركة المعلومات بأمان وسرية مع العملاء والمضاربين، وتتشابه وظيفيًا في الكثير من الأحيان مع الإنترانت فيما يتعلق بمشاركة الملفات والمعلومات وأدوات التعاون ومنصات النقاش وغيرها.

تعمل كلتا الشبكتين على البنية التحتية نفسها التي تعمل عليها الإنترنت كما تستخدم البروتوكولات ذاتها، وبالتالي يمكن الوصول إليها من قبل الأعضاء المفوضين بذلك ومن مواقع فيزيائية مختلفة.

ترجمة -وبتصرف- للمقال How does Internet work

اقرأ أيضًا

• ما هو عنوان URL في الويب؟
• الفرق بين صفحة الويب وموقع الويب وخادم الويب ومحرك البحث؟
• ما هي أسماء النطاقات في شبكة الإنترنت؟

بدأنا بالحديث عن شبكات التراكب ثم تطرقنا إلى شبكات الند للند ثم بروتوكول البت تورنت وسنكمل في هذا القسم الأخير في الحديث عن شبكات توزيع المحتوى.

رأينا بالفعل كيف يسمح تشغيل بروتوكول HTTP عبر بروتوكول TCP لمتصفحات الويب باسترداد الصفحات من خوادم الويب، ولكن يعرف أي شخصٍ ينتظر إلى الأبد لاسترداد صفحة ويب أن النظام بعيدٌ عن الكمال. تُنشَأ شبكة الإنترنت الرئيسية backbone الآن من روابطٍ ذات 40 جيجابت في الثانية، لذلك ليس واضحًا سبب حدوث ذلك. هناك أربع نقاط اختناقٍ محتملة في النظام عندما يتعلق الأمر بتنزيل صفحات الويب هي:

• الميل الأول The first mile، حيث قد يحتوي الإنترنت على روابطٍ ذات سعةٍ عالية، ولكن هذا لا يساعدك على تنزيل صفحة ويب بصورةٍ أسرع عندما تكون متصلًا بخط DSL بسرعة 1.5 ميجابت في الثانية أو رابطٍ لاسلكي سيء الأداء.
• الميل الأخير The last mile، حيث يمكن أن يُحمَّل الرابط الذي يربط الخادم بالإنترنت بصورةٍ كبيرة عن طريق طلباتٍ كثيرة جدًا، حتى إذا كان حيز النطاق التراسلي bandwidth الإجمالي لذلك الرابط مرتفعًا جدًا.
• الخادم نفسه The server itself، حيث يحتوي الخادم على كميةٍ محدودةٍ من الموارد مثل وحدة المعالجة المركزية، والذاكرة، وحيز نطاق القرص الصلب وغير ذلك، ويمكن تحميله بصورةٍ كبيرة overload بسبب العديد من الطلبات المتزامنة.
• نقاط التناظر Peering points، حيث قد يكون لدى عددٍ من مزودي خدمة الإنترنت الذين يطبّقون جميعًا شبكة الإنترنت الرئيسية backbone أنابيبًا ذات حيز نطاقٍ تراسلي عالٍ، لكن لديهم القليل من الحافز لتوفير اتصالٍ عالي السعة لأندادهم؛ فإذا كنت متصلًا بمزود خدمة الإنترنت A وكان الخادم متصلًا بمزود خدمة الإنترنت B، فقد تُسقَط الصفحة التي تطلبها عند النقطة التي يتقابل فيها المزوّدان A وB مع بعضهما بعضًا.

ليس هناك الكثير من الأشياء الممكن فعلها بشأن المشكلة الأولى، ولكن يمكن استخدام النسخ أو التضاعف لمعالجة المشكلات المتبقية، وتُسمّى الأنظمة المسؤولة عن ذلك بشبكات توزيع المحتوى Content Distribution Networks -أو اختصارًا CDNs-، حيث تدير أكاماي Akamai أشهر شبكة CDN.

تتمثل فكرة شبكة CDN في توزيع مجموعةٍ من بدائل الخادم server surrogates جغرافيًا، والتي تضع الصفحات ضمن الذاكرة المخبئية في مجموعةٍ معينةٍ من خوادم الواجهة الخلفية backend servers. وبالتالي يمكن نشر الحِمل على عدة خوادم، بدلًا من أن ينتظر الملايين من المستخدمين إلى الأبد للاتصال عند ظهور قصةٍ إخباريةٍ كبيرة، حيث يُعرَف مثل هذا الموقف بالتجمّع المفاجئ flash crowd. وبدلًا من الاضطرار إلى عبور عددٍ من مزودي خدمة الإنترنت للوصول إلى الموقع www.cnn.com، فيجب أن يكون ممكنًا الوصول إلى خادمٍ بديلٍ دون الحاجة إلى عبور نقطة تناظر، إذا كانت هذه الخوادم البديلة منتشرةً عبر جميع مزودي خدمة الإنترنت الأساسيين. صيانةُ آلاف الخوادم البديلة في أنحاء شبكة الإنترنت مكلفٌ للغاية لأي موقعٍ يريد توفير وصولٍ أفضل إلى صفحات الويب الخاصة به. توفّر شبكات CDN التجارية هذه الخدمة للعديد من المواقع، وهذا يؤدي إلى تسديد التكلفة عبر العديد من العملاء.

نسمّي هذه الخوادم خوادمًا بديلة، لكن يمكن عدّها ذواكرًا مخبئية caches. فإذا لم يكن لدى هذه الخوادم البديلة الصفحة التي طلبها العميل، فإنها تطلبها من خادم الواجهة الخلفية، ولكن عمليًا تنسخ خوادم الواجهة الخلفية بياناتها مسبقًا إلى الخوادم البديلة عوضًا عن انتظار الخوادم البديلة لطلبها عند الضرورة، وهذه نفس حالة توزيع الصفحات الثابتة فقط، التي لا تحوي محتوىً ديناميكيًا عبر الخوادم البديلة. يجب على العملاء الانتقال إلى خادم الواجهة الخلفية لأي محتوىً يتغير بصورةٍ متكررة، مثل نتائج الألعاب الرياضية وأسعار الأسهم، أو لأي محتوىً ينتج عن بعض العمليات الحسابية، مثل استعلام قاعدة البيانات.

لا يحلّ وجودُ مجموعةٍ كبيرة من الخوادم الموزّعة جغرافيًا المشكلة تمامًا، حيث تحتاج شبكات CDN أيضًا إلى توفير مجموعةٍ من مُعيدات التوجيه redirectors التي تمرر طلبات العميل إلى الخادم الأنسب، كما هو موضحٌ في الشكل السابق. يتمثل الهدف الأساسي من معيدات التوجيه بتحديد الخادم لكل طلبٍ ينتج عنه أفضل وقت استجابةٍ response time للعميل؛ أما الهدف الثانوي فهو معالجة النظام عددًا من الطلبات في الثانية والتي يستطيع العتاد الأساسي مثل روابط الشبكة وخوادم الويب دعمها. يُعَد متوسط عدد الطلبات الممكن تلبيتها في فترةٍ زمنيةٍ معينة، والمعروفة باسم إنتاجية النظام system throughput، مشكلةً أساسيةً عندما يكون النظام تحت عبءٍ ثقيل، مثل وصول تجمّعٍ مفاجئ إلى مجموعةٍ صغيرةٍ من الصفحات أو هجماتٍ موزَّعة لحجب الخدمة Distributed Denial of Service -أو اختصارًا DDoS- على موقعٍ ما، كما حدث لمواقع CNN وYahoo والعديد من المواقع البارزة الأخرى في فبراير (شباط) عام 2000.

تستخدم شبكات CDN عدة عواملٍ لتحديد كيفية توزيع طلبات العملاء، كأن يختار معيد التوجيه خادمًا بناءً على قرب شبكته لتقليل وقت الاستجابة، ولكن يُستحسَن موازنة الحمل بالتساوي عبر مجموعة من الخوادم لتحسين إنتاجية النظام الإجمالية، حيث يمكن تحسين كلٍّ من الإنتاجية ووقت الاستجابة إذا أخذت آلية التوزيع المكان ضمن حساباتها؛ أي تختار خادمًا يُحتمَل أن يكون لديه بالفعل الصفحة المطلوبة في ذاكرته المخبئية. سنشرح فيما يلي تركيبة العوامل التي يجب أن تستخدمها شبكة CDN.

الآليات Mechanisms

معيد التوجيه هو وظيفةٌ مجردة، على الرغم من أنه يظهر مثل شيءٍ قد يُطلَب من الموجّه فعله لأنه يمرر منطقيًا رسالة طلبٍ كما يمرر الموجّه الرزم. هناك العديد من الآليات الممكن استخدامها لتطبيق إعادة التوجيه redirection التي سنشرحها الآن؛ والتي سنفترض فيها لغرض هذه المناقشة معرفة كل معيد توجيه عنوان كل خادمٍ متاح، كما سنتخلى عن مصطلح بديل surrogate ونتحدث ببساطةٍ من حيث مجموعة من الخوادم.

الآلية الأولى هي تطبيق إعادة التوجيه عن طريق تعزيز نظام DNS لإرجاع عناوين خوادم مختلفة للعملاء، حيث يمكن لخادم DNS إرجاع عنوان IP للخادم الذي يستضيف صفحات الويب الخاصة بموقع CNN والمعروف عنه أنه يحتوي على أخف حِمل، عندما يطلب أحد العملاء تحليل resolve الاسم www.cnn.com على سبيل المثال؛ بينما قد ترجع مجموعةٌ معينةٌ من الخوادم العناوين فقط بطريقة جولة روبن round robin الدورية.

لاحظ أن دقة إعادة التوجيه المستندة إلى نظام DNS تكون عادةً على مستوى الموقع، مثل cnn.com عوضًا عن عنوان URL محدد، مثل:

•  https://www.cnn.com/2020/11/12/politics
• Biden-wins-arizona
• index.html

 لكن يمكن للخادم إعادة كتابة عنوان URL عند إرجاع رابطٍ مضمَّن، وبالتالي توجيه العميل بفعالية إلى الخادم الأنسب لهذا الكائن المحدد.

تستخدم شبكات CDN التجارية تركيبةً من إعادة كتابة عناوين URL مع إعادة التوجيه المستندة إلى نظام DNS، حيث يشير خادم DNS عالي المستوى أولًا ولأسبابٍ تتعلق بقابلية التوسع، إلى خادم DNS على المستوى الإقليمي، الذي يرد بعنوان الخادم الفعلي. تعدّل خوادم DNS فترات TTL لسجلات الموارد التي تعود إلى فترةٍ قصيرة جدًا مثل 20 ثانية، بهدف الاستجابة للتغيرات بسرعة، ويُعَد هذا ضروريًا حتى لا يضع العملاء النتائج في ذاكرةٍ مخبئية وبالتالي يفشلون في الرجوع إلى خادم DNS للحصول على أحدث ربطٍ بين عنوان URL والخادم.

الآلية الثانية هي استخدام ميزة إعادة توجيه بروتوكول HTTP، حيث يرسل العميل رسالة طلبٍ إلى الخادم، الذي يستجيب بخادمٍ جديدٍ أفضل يتوجب على العميل الاتصال به للحصول على الصفحة. تتطلب إعادة التوجيه المستندة إلى الخادم وقتًا إضافيًا ذهابًا وإيابًا عبر الإنترنت، ويمكن أيضًا أن تكون الخوادم عرضةً للحِمل الزائد بسبب مهمة إعادة التوجيه redirection نفسها. بدلًا من ذلك، إذا كانت هناك عقدةٌ قريبةٌ من العميل، مثل وكيل ويب محلي local Web proxy على درايةٍ بالخوادم المتاحة، فيمكنها اعتراض رسالة الطلب وإرشاد العميل لطلب الصفحة من خادمٍ آخر مناسب. إما أن يكون معيد التوجيه في هذه الحالة ضمن نقطة اختناقٍ بحيث تمر جميع الطلبات التي تغادر الموقع من خلالها، أو سيتعيّن على العميل التعاون من خلال معالجة الوكيل صراحةً، كما هو الحال مع الوكيل الكلاسيكي وليس الوكيل الشفّاف transparent proxy؛ الذي هو خادمٌ يقع بين حاسوبك والإنترنت ويعيد توجيه طلباتك واستجاباتك دون تعديلها.

قد تتساءل عن علاقة شبكات CDN بشبكات التراكب، حيث يتخذ معيد التوجيه المستند إلى الوكيل قرار توجيهٍ على مستوى التطبيق مثل عقدة التراكب، ويمرر طلبات HTTP بناءً على عنوان URL وعلى معرفته بموقع ومدى حِمل مجموعةٍ من الخوادم بدلًا من تمرير رزمة استنادًا إلى عنوانٍ ما address وبناءً على معرفته بمخطط الشبكة. لا تدعم معمارية الإنترنت الحالية إعادة التوجيه مباشرةً، حيث نعني بكلمة "مباشرةً" أن العميل يرسل طلب HTTP إلى معيد التوجيه، الذي يمرره إلى الوِجهة، بدلًا من تطبيق إعادة التوجيه بصورةٍ غير مباشرة عن طريق معيد التوجيه الذي يرجع عنوان الوجهة المناسب والعميل الذي يتصل بالخادم ذاته.

السياسات Policies

نستعرض الآن بعض الأمثلة عن السياسات التي قد يستخدمها مُعيدو التوجيه لتمرير الطلبات، حيث اقترحنا بالفعل سياسةً واحدةً بسيطةً وهي جولة روبن round-robin، وسيكون المثال الآخر هو اختيار أحد الخوادم المتاحة عشوائيًا. يوزع كلا الأسلوبين الحِمل بالتساوي عبر شبكة توصيل المحتوى، لكنهما لا يقلّلان من وقت الاستجابة المتوقَّع للعميل.

من الواضح عدم أخذ هذين الأسلوبين قُرب الشبكة في حساباتهما، وتجاهلهما أيضًا للمنطقة المحلية؛ أي يُعاد توجيه الطلبات الخاصة بعنوان URL نفسه إلى خوادم مختلفة، مما يقلل من احتمالية تخديم الصفحة من الذاكرة المخبئية الموجودة ضمن الخادم المحدد. هذا يفرض على الخادم استرداد الصفحة من قرصه الصلب، أو ربما من خادم الواجهة الخلفية. كيف يمكن لمجموعةٍ موزعةٍ من معيدات التوجيه أن تتسبب في انتقال الطلبات لنفس الصفحة إلى نفس الخادم أو إلى مجموعةٍ صغيرةٍ من الخوادم دون تنسيقٍ عالمي؟ الإجابة بسيطةٌ وهي: تستخدم جميع مُعيدات التوجيه شكلًا من أشكال تطبيق التعمية hashing لربط عناوين URL بمجالٍ صغير من القيم. الفائدة الأساسية من هذا النهج هي أنه لا حاجة لوجود اتصالٍ بين معيدي التوجيه لتحقيق عمليةٍ منسقة؛ فإن عملية التعمية تنتج نفس الخرج بغض النظر عن معيد التوجيه الذي يتلقى عنوان URL.

إذًا ما الذي يجعل مخطط التعمية جيدًا؟ مخطط تعمية النموذج الكلاسيكي، الذي يجري تعميةً على كل وحدة URL مع عددٍ من الخوادم، غير مناسبٍ لهذه البيئة، لأن حساب النموذج في حالة تغيير عدد الخوادم سيؤدي إلى تناقص الصفحات التي تحتفظ بتخصيصات الخادوم نفسها. لا نتوقع حدوث تغييراتٍ متكررةٍ في مجموعة الخوادم، إلا أن حقيقة إضافة خوادمٍ جديدة إلى المجموعة ستؤدي إلى إعادة تخصيص ضخمة أمرٌ غير مرغوبِ فيه.

البديل هو استخدام نفس خوارزمية التعمية المستقرة التي ناقشناها سابقًا، حيث يجري كل معيد توجيه أولًا تعميةً على كل خادمٍ ضمن الدائرة، ثم يجري أيضًا تعميةً إلى قيمةٍ على الدائرة لكل عنوان URL واصل، ويُعيَّن عنوان URL للخادم الأقرب في الدائرة مع قيمة التعمية الخاصة به. فإذا فشلت العقدة في هذا المخطط، فسينتقل حِملُها إلى جيرانها على الدائرة، وبالتالي فإن إضافة أو إزالة خادمٍ يؤدي فقط إلى تغييراتٍ محلية في تخصيصات الطلب.

يعرف كل معيد توجيه كيفية ربط مجموعة الخوادم مع الدائرة، لذلك يمكن لكل معيد توجيه اختيار الخادم الأقرب بصورةٍ مستقلة، على عكس حالة ند لند؛ حيث توجَّه الرسالة من عقدةٍ إلى أخرى من أجل العثور على الخادم الذي يكون معرّفه هو الأقرب إلى الكائنات. يمكن توسيع هذه الاستراتيجية بسهولة لأخذ حِمل الخادم ضمن حساباتنا، حيث نفترض معرفة معيد التوجيه الحِمل الحالي لكلٍ من الخوادم المتاحة. قد لا تكون هذه المعلومات محدَّثة تمامًا، ولكن يمكننا تخيل معيد التوجيه يحسب ببساطة عدد المرات التي مرر فيها طلبًا إلى كل خادمٍ في الثواني القليلة الماضية ويستخدم هذا العدد مثل تقديرٍ لحِمل هذا الخادم الحالي.

يجري معيد التوجيه تعميةً على عنوان URL المُستقبَل مع كلٍ من الخوادم المتاحة ويرتّب القيم الناتجة، حيث تحدّد هذه القائمة المرتَّبة بفعالية الترتيب الذي سينظر فيه معيد التوجيه في الخوادم المتاحة، ثم يتحرّك معيد التوجيه في هذه القائمة حتى يعثر على خادمٍ يكون الحِمل عليه أقل من حدٍ معين. تتمثل فائدة هذا الأسلوب في أن ترتيب الخادم يختلف باختلاف عنوان URL، لذلك إذا فشل خادمٌ ما، فسيُوزَّع حِمله بالتساوي بين الأجهزة الأخرى. يُعَد هذا النهج أساس بروتوكول توجيه ذاكرة المصفوفة المخبئية Cache Array Routing Protocol -أو اختصارًا CARP- الموضّح في الشيفرة التالية:

SelectServer(URL, S)
    for each server s in server set S
        weight[s] = hash(URL, address[s])
    sort weight
    for each server s in decreasing order of weight
        if Load(s) < threshold then
            return s
       return server with highest weight

يتغير هذا المخطط مع زيادة الحِمل من استخدام الخادم الأول فقط في القائمة المُرتَّبة إلى نشر الطلبات على عدة خوادم. ستعالج خوادمٌ أقل انشغالًا أيضًا بعضَ الصفحات التي تتعامل معها الخوادم المشغولة. بما أن هذه العملية تستند إلى حِمل الخادم الكلي عوضًا عن الطلب على كل صفحةٍ مفردة، فقد تجد الخوادمُ التي تستضيف بعض الصفحات المطلوبة المزيدَ من الخوادم التي تتشارك معها حِملها، أكثر من الخوادم التي تستضيف بصورةٍ جماعية صفحاتٍ غير مطلوبة. ستُنسَخ بعض الصفحات غير المطلوبة ضمن النظام لمجرد أنها مُستضافة على خوادمٍ مشغولة، وإذا أصبحت بعض الصفحات مطلوبةً للغاية، فيمكن أن تكون جميع الخوادم في النظام مسؤولةً عن خدمة هذه الصفحات.

أخيرًا، يمكن إدخال تقارب الشبكة network proximity في المعادلة بطريقتين مختلفتين على الأقل. الطريقة الأولى هي إخفاء التمييز بين حِمل الخادم وتقارب الشبكة من خلال مراقبة المدة التي يستغرقها الخادم للاستجابة للطلبات واستخدام القياس الناتج مثل معاملٍ لحِمل الخادم في الخوارزمية السابقة. تميل هذه الإستراتيجية إلى تفضيل الخوادم القريبة / غير المحمَّلة كثيرًا على الخوادم البعيدة / المحمَّلة بصورةٍ كبيرة.

تتمثل الطريقة الثانية في إدخال عامل التقارب في القرار في مرحلةٍ مبكرة عن طريق قَصر مجموعة الخوادم المرشَّحة التي رأيناها ضمن الخوارزميات المذكورة أعلاه على تلك الخوادم القريبة فقط. المشكلة الأصعب هي اختيار الخوادم التي يُحتمَل أن تكون قريبةً بصورةٍ مناسبة، حيث تتمثل إحدى الطرق في اختيار تلك الخوادم المتوفّرة فقط على نفس مزود خدمة الإنترنت مثل عملاء. تتمثل الطريقة الأعقد في النظر إلى خارطة الأنظمة المستقلة التي ينتجها بروتوكول BGP واختيار تلك الخوادم فقط التي تبعد عددًا معينًا من القفزات عن العميل على أنها خوادم مرشَّحة. البحث عن التوازن الصحيح بين تقارب الشبكة ومحلية ذاكرة الخادم المخبئية هو موضوع بحثٍ مستمر.

منظور الفصل التاسع: السحابة هي شبكة الإنترنت الجديدة

كما رأينا سابقًا، كان هناك انتقالٌ لتطبيقات الإنترنت التقليدية، مثل البريد الإلكتروني وخوادم الويب، من الأجهزة التي تعمل محليًا إلى الآلات الافتراضية التي تعمل ضمن سحاباتٍ سلعية. يتوافق هذا مع تحوُّلٍ في المصطلحات من خدمات الويب إلى الخدمات السحابية وتحولٍ أيضًا في العديد من التقنيات الأساسية المستخدمة من الآلات الافتراضية إلى الخدمات الصغيرة السحابية الأصلية. لكن تأثير السحابة على كيفية تطبيق تطبيقات الشبكة اليوم أكبر مما يوحي به هذا الانتقال، فهو مزيجٌ من السحابات السلعية وشبكات التراكب المشابهة لتلك الموضحة أعلاه، التي قد يكون لها التأثير الأكبر في النهاية.

يحتاج التطبيق المستند إلى التراكب وجود بصمةٍ واسعةٍ ليكون فعالًا، أي وجود عدة نقاط تواجد حول العالم. تُنشَر موجهات IP على نطاقٍ واسع، لذلك إذا كان لديك إذنٌ لاستخدام مجموعةٍ منها مثل عقدٍ أساسية في شبكة التراكب الخاصة بك، فأنت جاهزٌ للعمل. لكن هذا لن يحدث، حيث لا يوجد مشغلو شبكات أو مسؤولو مؤسسةٍ على استعدادٍ للسماح للأشخاص العشوائيين بتحميل برمجيات التراكب على الموجهات الخاصة بهم.

قد يكون خيارك التالي هو حشد موارد مواقع الاستضافة لبرمجيات التراكب الخاصة بك، حيث سينجح ذلك إذا اشتركت مع أشخاصٍ آخرين على هدفٍ واحد، مثل تنزيل الموسيقى المجانية. لكن انتشار تطبيق التراكب الجديد أمرٌ صعب، وحتى إذا حدث ذلك، فقد يكون التأكدُ من وجود سعةٍ كافيةٍ في أي وقتٍ لحمل كل حركة المرور التي يولدها تطبيقك مشكلةً، حيث ينجح ذلك أحيانًا مع الخدمات المجانية، ولكنه لن ينجح مع تطبيقٍ تأمل في تحقيق الربح منه.

توجد طريقةٌ للدفع لشخصٍ ما مقابل حقوق تحميل وتشغيل برنامجك على خوادمٍ منتشرةٍ في جميع أنحاء العالم؛ وهذا هو بالضبط ما توفره السحابات السلعية مثل Amazon AWS و Microsoft Azure و Google Cloud Platform، حيث توفّر السحابة عددًا غير محدودٍ من الخوادم ظاهريًا، ولكنها لا تقل أهميةً، إن لم تكن الأهم، عن مكان وجود هذه الخوادم، حيث تُوزَّع على نطاقٍ واسع عبر أكثر من 150 موقعًا متصلًا بصورةٍ جيدة.

لنفترض مثلًا أنك تريد بث مجموعةٍ من قنوات الفيديو أو الصوت الحية لملايين المستخدمين، أو أنك تريد دعم الآلاف من جلسات مؤتمرات الفيديو التي يربط كل منها عشرات المشاركين المُوزعين على نطاقٍ واسع. ستنشئ في كلتا الحالتين شجرة تراكب متعدد البث (شجرةٌ لكل قناة فيديو في المثال الأول، وشجرةٌ لكل جلسة مؤتمر في المثال الثاني)، مع وجود عقد التراكب في الشجرة في مجموعةٍ من تلك المواقع السحابية البالغ عددها 150 موقعًا. ثم تسمح للمستخدمين النهائيين، من متصفحات الويب ذات الأغراض العامة أو تطبيقات الهواتف الذكية المصممة لهذا الغرض، بالاتصال بشجرةٍ أو مجموعة شجرات البث المتعدد التي يختارونها. إذا كنت بحاجةٍ إلى تخزين قدرٍ من محتوى الفيديو أو الصوت لتشغيله في وقتٍ لاحق، لدعم تحويل الوقت time shifting؛ فيمكنك أيضًا شراء سعة تخزينٍ في بعض أو كل هذه المواقع السحابية، وبناء شبكة توزيع المحتوى الخاصة بك بفعالية.

عُدَّ الإنترنت في الأصل مثل خدمة اتصالٍ بحتة، مع السماح لتطبيقات الحوسبة والتخزين بالتطور على أطراف الشبكة، لكن برمجيات التطبيقات اليوم هي لجميع الأغراض العملية المضمَّنة داخل الشبكة أو الموزَّعة عبرها، حيث تُعَد معرفة مكان نهاية الإنترنت وبداية السحابة أمرًا صعبًا، وسيستمر هذا المزج في التعمق حتى اقتراب السحابة من طرف الشبكة، مثل الاقتراب من آلاف المواقع التي ترتبط بها شبكات الوصول، وستقود تكاليفُ التوسّع الأجهزةَ العتادية المستخدَمة في بناء مواقع الإنترنت أو السحابة إلى أن تصبح عمومية.

ترجمة -وبتصرّف- للقسم Overlay Networks من فصل Applications من كتاب Computer Networks: A Systems Approach.

اقرأ أيضًا

• المتطلبات اللازمة لبناء شبكة حاسوبية
• البرمجيات المستخدمة في بناء الشبكات الحاسوبية
• معمارية الشبكة الحاسوبية وشبكة الإنترنت (Network Architecture)
• الشبكات الحاسوبية متعددة الوصول (Multi-Access Networks)

تحدثنا في مقال سابق عن شبكات التراكب ثم تطرقنا إلى شبكات الند للند وسنكمل في هذا المقال الحديث عن بروتوكول البت تورنت، وهو بروتوكول مشاركة ملفات ند لند ابتكره برام كوهين Bram Cohen، ويعتمد على نسخ الملف أو نسخ أجزاءٍ منه والتي تُسمى قِطعًا pieces، حيث يمكن تحميل أية قطعةٍ معينة من عدة أنداد، حتى لو كان هناك ندٌ فقط لديه الملف بأكمله. الفائدة الأساسية لعملية النسخ التي يفعلها بروتوكول بت تورنت هي تجنب الاختناق المتمثل في وجود مصدرٍ واحد فقط للملف، حيث يكون هذا مفيدًا عندما تفكر في أن أي حاسوبٍ لديه سرعةٌ محدودةٌ يمكنه من خلالها خدمة الملفات عبر رابطٍ صاعدٍ خاصٍ به إلى الإنترنت، ويكون حد هذه السرعة منخفضًا غالبًا بسبب الطبيعة غير المتماثلة لمعظم شبكات النطاق العريض.

تكمن أهمية بروتوكول بت تورنت في أن النَّسخ replication هو أحد الآثار الجانبية الطبيعية لعملية التنزيل downloading، فبمجرد تنزيل أحد الأنداد لقطعةٍ معينة، يصبح هذا الند مصدرًا آخر لتلك القطعة، وكلما زاد عدد الأنداد الذين ينزّلون قطعًا من الملف كلما حدث المزيد من النَّسخ للقطعة، مع توزيع التحميل بصورةٍ متناسبة، وزيادة حيز النطاق التراسلي الإجمالي المتاح لمشاركة الملف مع الآخرين. تُنزَّل القطع بترتيبٍ عشوائي لتجنب الموقف الذي يجد فيه الأنداد أنفسهم مفتقرين لنفس مجموعة القطع.

تجري مشاركة كل ملفٍ عبر شبكة بت تورنت المستقلة الخاصة به، والتي تُسمى سربًا swarm، ويمكن أن يشارك السرب مجموعةً من الملفات، لكننا نصف حالة ملفٍ فقط للبساطة. تكون دورة حياة السرب النموذجية كما يلي: يبدأ السرب ندًا يملك نسخةً كاملةً من الملف، ثم تنضم العقدة التي تريد تنزيل الملف إلى السرب لتصبح العضو الثاني، وتبدأ بتنزيل أجزاءٍ من الملف من الند الأصلي، وبذلك تصبح مصدرًا آخر للِقطع التي نزّلتها، حتى لو لم تنزّل الملف بالكامل بعد. من الشائع أن يترك الأنداد السرب بمجرد الانتهاء من تنزيلاتهم، على الرغم من تشجيعهم للبقاء لفترة أطول.

تنضم العقد الأخرى إلى السرب وتبدأ بتنزيل القطع من أندادٍ متعددين، وليس فقط من الند الأصلي، كما هو موضّحٌ في الشكل السابق. إذا بقي الطلب مرتفعًا على الملف، مع وجود مجرىً من الأنداد الجدد الذين يحلّون محل أولئك الذين غادروا السرب، فيمكن أن يظل السرب نشطًا إلى أجلٍ غير مسمى؛ وإذا لم يكن الأمر كذلك، فقد يتقلص السرب ليشمل الند الأصلي فقط حتى ينضم أندادٌ جدد إلى السرب.

يمكننا، بعد أن أصبح لدينا نظرةً عامةً لبروتوكول بت تورنت، أن نسأل كيف توجَّه الطلبات إلى الأنداد الذين لديهم قطعةً معينة. يجب أن ينضم المنزِّل downloader المحتمل أولًا إلى السرب لتقديم الطلبات، فيبدأ بتنزيل ملفٍ يحتوي على معلوماتٍ تعريفيةٍ حول الملف والسرب، حيث يُنزَّل عادةً الملف الذي يمكن نسخه بسهولة من خادم ويب ويمكن اكتشافه باتباع الروابط من صفحات الويب. يحتوي هذا الملف على ما يلي:

• حجم الملف الهدف.
• حجم القطعة.
• القيم المعمَّاة SHA-1 المحسوبة مسبقًا من كل قطعة؟
• عنوان URL لمتتبّع tracker السرب.

المتتبّع هو خادمٌ يتتبع عضوية السرب الحالية. سنرى لاحقًا أنه يمكن توسيع بروتوكول بت تورنت للتخلص من هذه النقطة المركزية التي قد تؤدي إلى حدوث اختناقٍ أو فشل. ينضم المنزِّل المحتمل بعد ذلك إلى السرب، ليصبح ندًا، عن طريق إرسال رسالةٍ إلى المتتبّع تحتوي على عنوان شبكته ومعرّف الند الذي أنشأه عشوائيًا لنفسه. تحمل الرسالة أيضًا القيمة المُعمَّاة SHA-1 للجزء الرئيسي من الملف، والتي تُستخدَم مثل معرّف سرب.

افترض أن الند الجديد يُدعَى P. يرد المتتبّع على الند P بقائمةٍ جزئيةٍ من الأنداد الذين يقدمون معرفاتهم وعناوين الشبكة الخاصة بهم، وينشئ الند P اتصالاتٍ عبر بروتوكول TCP مع بعض هؤلاء الأنداد. لاحظ أن الند P متصلٌ مباشرةً بمجموعةٍ فرعيةٍ فقط من السرب، على الرغم من أنه قد يقرر الاتصال بأندادٍ إضافيين أو طلب المزيد من الأنداد من المتتبّع. يرسل الند P معرّف السرب الخاص به ومعرّفَ الند لإنشاء اتصال بت تورنت بندٍ معين بعد إنشاء اتصال TCP الخاص به، ويرد الند بمعرّفه ومعرّف السرب؛ فإذا لم تتطابق معرّفات السرب، أو لم يكن معرّف الند الذي أجرى الرد هو ما يتوقعه الند P، فسيُلغى الاتصال.

اتصال بت تورنت الناتج هو اتصالٌ متماثل نظرًا لإمكانية كل طرفٍ التنزيل من الطرف الآخر، حيث يبدأ كل طرفٍ بإرسال خارطةٍ نقطية bitmap تعلن فيها للطرف الآخر عن الأجزاء الموجودة به، بحيث يعرف كل ندٍ الحالة الأولية للند الآخر. يرسل المنزِّل D عندما ينتهي من تنزيل قطعةٍ أخرى رسالةً تحدد تلك القطعة إلى كل من أنداده المتصلين مباشرةً، حتى يتمكن هؤلاء الأنداد من تحديث تمثيلهم الداخلي لحالة المنزِّل D، ويكون هذا بمثابة إجابةٍ للسؤال حول كيفية توجيه طلب تنزيل لقطعةٍ ما إلى ندٍ لديه القطعة، لأنه يعني أن كل ندٍ يعرف الند المتصل مباشرةً به والذي يملك القطعة. إذا احتاج المنزِّل D إلى قطعةٍ لا تمتلكها أيٌّ من اتصالاته، فيمكنه الاتصال بأندادٍ أكثر أو أندادٍ مختلفين؛ حيث يمكنه الحصول على المزيد من الأنداد من المتتبّع، أو يشغُل نفسه بقطعٍ أخرى على أمل أن تحصل بعض اتصالاته على القطعة من اتصالاتها.

كيف تُربَط الكائنات، أو القطع في هذه الحالة مع العقد الأنداد؟ سيحصل كل ندٍ في النهاية على جميع القطع، لذا فإن السؤال يتعلق بالقطع التي يمتلكها الند في وقتٍ معين قبل أن يحتوي على كل القطع أو حول الترتيب الذي ينزِّل به الندُ القطعَ. الإجابة هي أنهم ينزّلون القطع بترتيبٍ عشوائي، وذلك لمنعهم من الحصول على مجموعةٍ فرعيةٍ صارمةٍ أو مجموعةٍ شاملةٍ من القطع الخاصة بأيٍ من أندادهم.

يستخدم بروتوكول بت تورنت الموصوف حتى الآن متتبّعًا مركزيًا يشكل نقطة فشل واحدة للسرب ويمكن أن يكون نقطة اختناق للأداء. كما يمكن أن يكون أيضًا توفير متتبّعٍ مصدر إزعاجٍ لمن يرغب في إتاحة ملفٍ عبر بروتوكول بت تورنت. تدعم الإصدارات الأحدث من بروتوكول بت تورنت أيضًا الأسراب التي لا تحتوي متتبّعًا trackerless، والتي تستخدِم تطبيقًا يعتمد على جدول التعمية الموزَّع DHT؛ حيث لا يطبّق برنامج عميل بت تورنت الذي لا يحتوي متتبّعًا ند بت تورنت فحسب، بل يطبّق أيضًا ما نُطلق عليه أداة البحث عن الأنداد peer finder، التي تُسمَّى عقدة node باستخدام مصطلحات بت تورنت، والتي يستخدمها الند للعثور على أنداده.

تشكّل أدوات البحث عن الأنداد شبكةَ التراكب الخاصة بها باستخدام بروتوكولها الخاص عبر بروتوكول UDP لتطبيق جدول DHT، حيث تتضمّن شبكة أداة البحث أدوات بحثٍ عن الأنداد الذين ينتمي أندادهم المرتبطين بهم إلى أسرابٍ مختلفة؛ أي يشكّل كل سربٍ شبكةً مميزةً من أنداد بت تورنت، لكن تمتد شبكة أدوات البحث عن الأنداد عبر الأسراب بدلًا من ذلك.

تنشئ أدوات البحث عن الأنداد معرّفات أدوات البحث الخاصة بها عشوائيًا، والتي تكون بنفس حجم معرّفات السرب؛ أي 160 بتًا. وتحتفظ كل أداة بحث بجدولٍ متواضع يحتوي بصورةٍ أساسية على أدوات البحث عن الأنداد والأنداد المرتبطين بها، التي تكون معرّفاتها قريبةً من معرّف هذه الأداة، بالإضافة إلى بعض أدوات البحث التي تكون معرّفاتها أبعد. تضَمن الخوارزمية التالية إمكانية معرفة أدوات البحث، التي تكون معرّفاتها قريبةً من معرّف سربٍ معين، أندادها من هذا السرب؛ حيث توفر الخوارزمية في الوقت نفسه طريقةً للبحث عنهم.

عندما تحتاج أداة البحث F إلى العثور على أندادٍ من سرب معين، فإنها ترسل طلبًا إلى أدوات البحث في جدولها التي تكون معرّفاتها قريبةً من معرّف ذلك السرب، فإذا عرفت أداة البحث المتصلة أندادًا من هذا السرب، فإنها ترد بمعلومات الاتصال الخاصة بها؛ وإلا فإنها ترد بمعلومات الاتصال الخاصة بأدوات البحث في جدولها القريبة من السرب، بحيث يمكن لأداة البحث F الاستعلام بصورةٍ متكررةٍ عن أدوات البحث تلك. إذا وصل البحث إلى طريقٍ مسدود، نظرًا لعدم وجود أدوات بحثٍ أقرب إلى السرب، تُدخِل أداة البحث F معلومات الاتصال الخاصة بها والند المرتبط بها ضمن أدوات البحث الأقرب إلى السرب، وبالنتيجة يحدث إدخال أنداد سربٍ معين في جداول أدوات البحث القريبة من هذا السرب.

تفترض المناقشة أعلاه أن أداة البحث F هي بالفعل جزءٌ من شبكة أداة البحث، وتفترض أن هذه الأداة تعرف بالفعل كيفية الاتصال ببعض أدوات البحث الأخرى. هذا الافتراض صحيحٌ بالنسبة لعمليات تثبيت أداة البحث المُشغَّلة سابقًا، لأنها تحفظ المعلومات حول أدوات البحث الأخرى، حتى عبر عمليات التنفيذ. إذا كان السرب يستخدم متتبّعًا، فسيكون أنداد هذا السرب قادرين على إخبار أدوات البحث الخاصة بهم عن أدوات البحث الأخرى (على عكس الدور الذي يلعبه الأنداد وأدوات البحث) بسبب توسّع بروتوكول أنداد بت تورنت لتبادل معلومات اتصال أداة البحث. ولكن كيف يمكن لأداة بحث مثبَّتة مؤخرًا اكتشاف أدواة بحثٍ أخرى؟ تتضمن ملفات الأسراب التي لا تحوي متتبّعًا معلومات الاتصال الخاصة بأداةٍ أو عددٍ قليلٍ من أدوات البحث، بدلًا من عنوان URL الخاص بالمتتبّع، لهذه الحالة فقط.

أحد الجوانب غير الاعتيادية في بروتوكول بت تورنت هو أنه يتعامل مباشرةً مع مسألة العدالة أو المواطنة الجيدة على الشبكة، حيث تعتمد البروتوكولات غالبًا على السلوك الجيد للأنداد دون القدرة على فرض هذا السلوك، فيمكن مثلًا أن يحصل الند صاحب السلوك السيء في شبكة إيثرنت على أداءٍ أفضل باستخدام خوارزمية التراجع التي تكون أكثر قوةً من التراجع الأسي، أو يمكن لند TCP صاحب السلوك السيء الحصول على أداءٍ أفضل من خلال عدم التعاون في التحكم في الازدحام.

السلوك الجيد الذي يعتمد عليه بروتوكول بت تورنت هو رفع uploading الأنداد القطعَ إلى أندادٍ آخرين. نظرًا لحاجة مستخدم بت تورنت العادي لتنزيل الملف فقط بأسرع ما يمكن، فهناك إغراءٌ لتطبيق ندٍ يحاول تنزيل جميع القطع مع أقل قدرٍ ممكنٍ من الرفع،ويُعد هذا ندًا سيئَا. يشتمل بروتوكول بت تورنت على آلياتٍ تسمح للأنداد بمكافأة أو معاقبة بعضهم بعضًا بهدف التقليل من هذا السلوك السيء؛ فإذا أساء أحد الأنداد التصرفَ بعدم الرفع بصورةٍ جيدة إلى ندٍ آخر، فيمكن للند الثاني أن يخنق choke الند السيء، حيث يمكنه أن يقرر إيقاف الرفع إلى الند السيء، مؤقتًا على الأقل، ويرسل إليه رسالةً تفيد بذلك، وهناك أيضًا نوع من الرسائل لإخبار الند بإلغاء الاختناق. يستخدم الند آليةَ الاختناق أيضًا للحد من عدد اتصالات بت تورنت النشطة، للحفاظ على أداءٍ جيد لبروتوكول TCP. هناك العديد من خوارزميات الاختناق المحتملة، لكن ابتكار خوارزميةٍ جيدةٍ هو فنٌ بحد ذاته.

ترجمة -وبتصرّف- للقسم Overlay Networks من فصل Applications من كتاب Computer Networks: A Systems Approach.

اقرأ أيضًا

• المتطلبات اللازمة لبناء شبكة حاسوبية
• البرمجيات المستخدمة في بناء الشبكات الحاسوبية
• بروتوكولات طرف إلى طرف End-to-End Protocols في الشبكات الحاسوبية

أدخلت تطبيقات مشاركة الموسيقى مثل Napster و KaZaA مصطلح الند للند في اللغة العامية الشعبية، ولكن ما الذي يعنيه بالضبط أن يكون النظام ندًا لند أو نظيرًا لنظير؟ يعني ذلك، ضمن سياق مشاركة ملفات MP3، عدم الاضطرار إلى تحميل الموسيقى من موقعٍ مركزي، ولكن القدرة على الوصول إلى ملفات الموسيقى مباشرةً من أي شخصٍ على الإنترنت لديه نسخةٌ مخزنةٌ على حاسوبه. يمكننا القول أن شبكة الند للند تسمح لمجتمع المستخدمين بتجميع مواردهم، مثل المحتوى والتخزين وحيز النطاق التراسلي للشبكة وحيز نطاق القرص الصلب ووحدة المعالجة المركزية، وبالتالي توفير الوصول إلى متجرٍ مؤرشَف أكبر، ومؤتمرات فيديو أو صوت أكبر، وعمليات بحثٍ وحوسبةٍ أعقد مما يستطيع أي مستخدمٍ تحمل تكاليفه بمفرده.

تُذكَر سماتٌ مثل اللامركزية والتنظيم الذاتي عند مناقشة شبكات الند للند في كثيرٍ من الأحيان، مما يعني أن العُقد تنظّم نفسها في شبكةٍ دون أي تنسيقٍ مركزي. إذا فكرت في الأمر، فيمكنك استخدام مصطلحات مثلها لوصف الإنترنت نفسه، ولكن من المفارقات أن تطبيق نابستر Napster لم يكن نظام ندٍ لند حقيقيًا بهذا التعريف بسبب اعتماده على سجلٍ مركزيٍ للملفات المعروفة، وكان على المستخدمين البحث في هذا الدليل للعثور على الجهاز الذي يقدم ملفًا معينًا. الخطوة الأخيرة المتمثلة بتحميل الملف فعليًا هي فقط التي حدثت بين الأجهزة التي تنتمي إلى مستخدمين اثنين، ولكن هذا ليس أكثر من معاملةٍ تقليديةٍ بين العميل والخادم؛ حيث أن الفارق الوحيد هو أن الخادم مملوكٌ لشخصٍ مثلك تمامًا وليس لشركةٍ كبيرة.

إذا عدنا إلى السؤال الأصلي: ما المثير للاهتمام في شبكات الند للند؟ تتمثل إحدى الإجابات في أن كلًا من عملية تحديد موقع كائن وعملية تحميل هذا الكائن على جهازك المحلي تحدث دون الحاجة إلى الاتصال بسلطةٍ مركزية، وفي نفس الوقت يكون النظام قادرًا على توسيع نطاقه ليشمل ملايين العقد. يتضح أن نظام الند للند الذي يمكنه إنجاز هاتين المهمتين بطريقةٍ لامركزية هو شبكة تراكب overlay network، حيث تكون العقد هي هؤلاء المضفين الذين يرغبون في مشاركة الكائنات، مثل الموسيقى والملفات المتنوعة الأخرى، وتمثل الروابط (أو الأنفاق) التي تربط هذه العقد تسلسل الأجهزة التي يجب عليك زيارتها لتعقب الكائن الذي تريده. سيصبح كل شيءٍ أوضح بعد أن نشرح المثالين التاليين.

شبكة جنوتيلا Gnutella

وهي إحدى شبكات الند للند الأولى التي حاولت التمييز بين تبادل الموسيقى، الذي يمكن أن ينتهك حقوق الطبع والنشر لشخصٍ ما، والمشاركة العامة للملفات والتي يجب أن تكون جيدة لأننا تعلّمنا المشاركة منذ نعومة أظفارنا. كانت شبكة جنوتيلا Gnutella من أوائل الأنظمة التي لم تعتمد على سجلٍ مركزي للكائنات، حيث يرتّب المشاركون أنفسهم في شبكة تراكبٍ مشابهةٍ للشبكة الموضحة في الشكل الآتي؛ أي أن كل عقدةٍ تشغّل برمجيات شبكة جنوتيلا (أي تطبّق بروتوكول شبكة Gnutella) تعرّف مجموعةً من الأجهزة الأخرى التي تشغّل برمجيات هذه الشبكة أيضًا. تتوافق العلاقة "تعرف العقدتان A وB بعضهما بعضًا" مع أضلاع الرسم البياني التالي.

إذا أراد المستخدم في عقدةٍ معينة العثور على كائنٍ ما، ترسل شبكة جنوتيلا رسالة استعلام QUERY عن هذا الكائن (مثل تحديد اسم الملف) إلى جيران العقدة في الرسم البياني؛ فإذا كان لدى أحد الجيران هذا الكائن، فإنه يستجيب للعقدة التي أرسلت إليه الاستعلام برسالة استجابة QUERY RESPONSE، مع تحديد مكان تحميل الكائن، مثل عنوان IP ورقم منفذ TCP، ويمكن لهذه العقدة فيما بعد استخدام رسائل GET أو PUT للوصول إلى الكائن؛ وفي حال لم تتمكن العقدة من تحليل الاستعلام، فإنها تعيد توجيه رسالة QUERY إلى كل جيرانها باستثناء العقدة التي أرسلت لها الاستعلام، وتتكرر العملية، أي يغمر بروتوكول جنوتيلا شبكة التراكب لتحديد موقع الكائن المطلوب. يضبط بروتوكول شبكة جنوتيلا مدة البقاء أو العُمر TTL على كل استعلامٍ حتى لا يستمر هذا الغمر إلى أجلٍ غير مسمى.

تحتوي كل رسالةٍ من رسائل QUERY على معرف استعلام فريد query identifier -أو اختصارًا QID- بالإضافة إلى مدة TTL وسلسلة الاستعلامات، ولكنها لا تحتوي على هوية مصدر الرسالة الأصلي، حيث تحتفظ كل عقدةٍ بدلًا من ذلك بسجلٍ لرسائل QUERY التي شاهدتها مؤخرًا، والذي يحتوي على كلٍ من معرّف QID والجار الذي أرسل رسالة QUERY إلى هذه العقدة.

يُستخدم هذا السجل بطريقتين. أولًا، إذا استلمت العقدة في أي وقت استعلامًا بمعرف QID يطابق معرّفًا رأته مؤخرًا، فلن تمرر رسالة QUERY. يعمل هذا على قطع حلقات التمرير بسرعةٍ أكبر مما قد تفعله مدة TTL. ثانيًا، عندما تتلقى العقدة استجابة QUERY RESPONSE من جارٍ يقع تحتها في الشجرة، فإنها تمرر الاستجابة إلى الجار الرئيسي الذي أرسل إليها رسالة QUERY في الأصل. تعود الاستجابة في طريقها باستخدام هذه الطريقة إلى العقدة الأصلية دون أن تعرف أيًّا من العقد الوسيطة هي العقدة التي أرادت تحديد موقع هذا الكائن المحدد في المقام الأول.

يجب أن تعرف العقدة عقدةً أخرى على الأقل عندما تنضم إلى شبكة تراكب جنوتيلا، حيث تُضاف العقدة الجديدة إلى شبكة التراكب بواسطة هذا الرابط على الأقل، ثم تتعرف عقدةٌ معينةٌ على العقد الأخرى نتيجة لرسائل QUERY RESPONSE، سواء بالنسبة للكائنات التي طلبتها أو للاستجابات التي تمر عبرها. العقدة حرةٌ في تحديد العقد التي تُكتشف بهذه الطريقة والتي تريد الاحتفاظ بها مثل جار، حيث يوفر بروتوكول جنوتيلا رسائل PING و PONG التي تتحرى العقدة بواسطتها ما إذا كان جارٌ معين لا يزال موجودًا أم لا وأن هذا الحار يستجيب، على التوالي.

يجب أن يكون واضحًا أن بروتوكول شبكة جنوتيلا كما هو موصوف هنا ليس بروتوكولًا ذكيًا، وقد حاولت الأنظمة اللاحقة تحسينه. أحد أبعاد التحسينات الممكنة هو كيفية نشر الاستعلامات، حيث تحتوي طريقة الغمر Flooding على خاصيةٍ لطيفةٍ وهي ضمان العثور على الكائن المطلوب في أقل عددٍ ممكنٍ من القفزات، ولكنها لا تتوسّع جيدًا. يمكن تمرير الاستعلامات عشوائيًا، أو وفقًا لاحتمالية النجاح بناءً على النتائج السابقة. البعد الثاني هو استنساخ الكائنات استباقيًا، نظرًا لأنه كلما زاد عدد نسخ كائنٍ معين، كان من الأسهل العثور على نسخة. يمكن بدلًا من ذلك تطوير استراتيجيةٍ مختلفةٍ تمامًا، وهو الموضوع الذي سنشرحه الآن.

شبكات التراكب المهيكلة Structured Overlays

في نفس الوقت الذي بدأت فيه أنظمة مشاركة الملفات الصراع لملء الفراغ الذي تركه تطبيق Napster، بدأ مجتمع البحث في استكشاف تصميمٍ بديلٍ لشبكات الند للند. نشير إلى هذه الشبكات على أنها مهيكلة structured، على عكس الطريقة العشوائية غير المهيكلة أساسًا التي تتطوّر بها شبكة جنوتيلا، حيث تستخدم شبكات التراكب غير المهيكلة مثل شبكة جنوتيلا خوارزميات بناء وصيانة تراكب بسيطة، ولكن أفضل ما يمكن أن تقدمه هو البحث العشوائي غير الموثوق به؛ بينما صُمِّمت شبكات التراكب المهيكلة لتتوافق مع بنية رسمٍ بيانيٍ معينة تتيح موقعًا موثوقًا وفعالًا وبتأخير محدود احتماليًا، في مقابل تعقيدٍ إضافي أثناء إنشاء التراكب وصيانته.

هناك سؤالان يجب مراعاتهما، هما: كيف يمكننا ربط الكائنات مع العقد، وكيف نوجه طلبًا إلى العقدة المسؤولة عن كائن معين؟ نبدأ بالسؤال الأول، الذي يحتوي على عبارةٍ بسيطة: كيف يمكننا ربط كائنٍ x مع عنوان بعض العقد n التي يمكنها خدمة هذا الكائن؟ لا تتحكم شبكات الند للند التقليدية في تحديد العقدة التي تستضيف الكائن x، فإذا تمكنا من التحكم في كيفية توزيع الكائنات عبر الشبكة، فقد نتمكن من فعل أمرٍ أفضل للعثور على هذه الكائنات في وقتٍ لاحق.

من الأساليب المعروفة لربط الأسماء مع عنوان هي استخدام جدول التعمية hash كما يلي:

hash(x) → n

حيث يُوضَع الكائن x أولًا على العقدة n، وسيتعين في وقتٍ لاحق على العميل الذي يحاول تحديد موقع x، تنفيذ تعمية x لتحديد أنه موجود على العقدة n. يتميز النهج القائم على التعمية بخاصيةٍ تتمثل في ميله إلى نشر الكائنات بالتساوي عبر مجموعة العقد، لكن خوارزميات التعمية المباشرة تعاني من عيبٍ هو: ماهو عدد القيم n الممكنة التي يجب أن نسمح بها؟ أو باستخدام مصطلحات التعمية، كم عدد المجموعات buckets التي يجب أن تكون موجودة؟ يمكننا أن نقرر ببساطةٍ أن هناك 101 قيمةً معمَّاةً محتملةً على سبيل المثال، ونستخدم دالة تعميةٍ نمطيةٍ هي:

hash(x)
    return x % 101

إذا كان هناك أكثر من 101 عقدةٍ على استعدادٍ لاستضافة كائنات، فلا يمكننا الاستفادة منها جميعًا. وإذا حددنا عددًا أكبر من أكبر عددٍ ممكنٍ من العقد، فستكون هناك بعض قيم x التي ستُطبَّق عليها التعمية في عنوان عقدةٍ غير موجودة. وهناك أيضًا مشكلةٌ صغيرةٌ تتمثل في ترجمة القيمة التي تعيدها دالة التعمية إلى عنوان IP فعلي.

تستخدم شبكات الند للند المهيكلة، لمعالجة هذه المشكلات خوارزميةً تُعرف باسم إجراء التعمية المستقرة consistent hashing، والتي تطبّق تعميةً على مجموعة من الكائنات بصورةٍ موحدة عبر حيز معرّفاتٍ كبير. يوضح الشكل السابق حيز معرّفات ذا 128 بت على شكل دائرة، حيث نستخدم الخوارزمية لوضع كلٍ من الكائنات:

hash(ObjectName) → ObjectID

والعقد:

hash(IPAddr) → NodeID

على هذه الدائرة. بما أن حيز المعرّفات ذا 128 بت هائل، فليس مرجحًا تعمية الكائن لنفس المعرّف تمامًا مثل تعمية عنوان IP الخاص بالجهاز. لحساب هذا الاحتمال، يُحتفَظ بكل كائنٍ على العقدة التي يكون معرّفها أقرب، في حيز 128 بت هذا، إلى معرّف هذا الكائن. تكمن الفكرة في استخدام دالة تعمية عالية الجودة لربط كلٍ من العقد والكائنات في نفس حيز المعرّفات الكبير والمبعثر؛ حيث يمكنك بعد ذلك ربط الكائنات مع العقد عن طريق التقريب العددي من معرّفات كل منها، وهذا يوزّع الكائنات بالتساوي إلى حدٍ ما عبر العقد، ولكن وعلى عكس التعمية العادية، يجب أن يتحرك عددٌ قليلٌ فقط من الكائنات عندما تنضم العقدة إلى مجموعة التعمية أو تغادر.

ننتقل الآن إلى السؤال الثاني الذي يدور حول كيفية معرفة المستخدم الذي يريد الوصول إلى الكائن x العقدةَ الأقرب في معرّف x ضمن هذا الحيّز. تتمثل إحدى الإجابات المحتملة في احتفاظ كل عقدةٍ بجدولٍ كامل لمعرّفات العقد وعناوين IP المرتبطة بها، ولكن هذا لن يكون عمليًا لشبكةٍ كبيرة، والبديل هو توجيه رسالةٍ إلى هذه العقدة، وهو النهج الذي تستخدمه شبكات ند لند المهيكلة. فإذا أنشأنا شبكة التراكب بطريقةٍ ذكية، والذي يعني أننا بحاجةٍ إلى اختيار مدخلات لجدول توجيه العقدة بطريقةٍ ذكية، فسنجد عقدةً ببساطة عن طريق التوجيه نحوها، ويُطلَق على هذا النهج أحيانًا جدول التعمية الموزَّع distributed hash table -أو اختصارًا DHT-، نظرًا لأنه نظريًا يُوزَّع جدول التعمية على جميع العقد في الشبكة. يوضّح الشكل السابق ما يحدث لحيز معرّف بسيطٍ ذي 28 بت، حيث افترضنا تسمية النهج الذي تستخدمه شبكة ند لندٍ معينة باسم Pastry للحفاظ على طبيعة المناقشة محددةً، وتعمل الأنظمة الأخرى بطريقةٍ مماثلة.

افترض أنك في العقدة ذات المعرّف 65a1fc (عدد ست عشري) وتحاول تحديد موقع locate الكائن ذي المعرّف d46a1c، حيث تدرك أن معرّفك لا يتشارك شيئًا مع الكائن، لكنك تعرف عقدةً تشترك في البادئة d على الأقل، وهذه العقدة أقرب منك في حيز المعرّفات ذي 128 بت، لذلك تمرر الرسالة إلى هذه العقدة. لا نعطي صيغة الرسالة المُمررة، ولكن يمكنك التفكير في الأمر مثل تحديد موقع الكائن d46a1c. افترض أن العقدة d13da3 تعرف عقدةً أخرى تشترك في بادئةٍ أطول مع الكائن، لذلك تمرر الرسالة إليها. تستمر عملية الاقتراب في حيز المعرّفات حتى تصل إلى عقدةٍ لا تعرف أي عقدةٍ أقرب؛ هذه العقدة، بحكم التعريف، هي التي تستضيف الكائن. ضع في بالك أنه تُمرر الرسالة بالفعل من عقدةٍ إلى أخرى عبر شبكة الإنترنت الأساسية، بينما نتحرك منطقيًا عبر حيز المعرّفات.

تحتفظ كل عقدةٍ بجدول توجيه وعناوين IP لمجموعةٍ صغيرة من معرّفات العقد الأكبر والأصغر عددًا، وهذا ما يُسمى مجموعة أوراق leaf set العقدة؛ وتكمن أهمية مجموعة الأوراق في أنه بمجرد توجيه الرسالة إلى أية عقدةٍ في نفس مجموعة الأوراق مثل العقدة التي تستضيف الكائن، يمكن لهذه العقدة تمرير الرسالة مباشرةً إلى الوجهة النهائية؛ كما تسهّل مجموعة الأوراق التسليم الصحيح والفعال للرسالة إلى العقدة الأقرب عدديًا، على الرغم من وجود عدة عقدٍ تشترك في بادئةٍ ذات أقصى طول مع معرّف الكائن؛ وتقوّي أيضًا مجموعةُ الأوراق التوجيهَ لأن أيًا من العقد في مجموعة الأوراق يمكنها توجيه رسالة تمامًا مثل أية عقدةٍ أخرى في نفس المجموعة، وبالتالي إذا كانت إحدى العقد غير قادرةٍ على إحراز تقدمٍ في توجيه رسالة، فقد يتمكن أحد جيرانها في مجموعة الأوراق من ذلك، حيث يمكن تعريف إجراء التوجيه على النحو التالي:

Route(D)
    if D is within range of my leaf set
        forward to numerically closest member in leaf set
    else
        let l = length of shared prefix
        let d = value of l-th digit in D's address
        if RouteTab[l,d] exists
            forward to RouteTab[l,d]
        else
            forward to known node with at least as long a shared prefix
            and numerically closer than this node

جدول التوجيه المشار إليه باسم RouteTab، هو مصفوفةٌ ثنائية الأبعاد، ويحتوي على سطرٍ لكل رقمٍ ست عشري في المعرّف (يوجد 32 رقمًا في معرّف 128 بت) وعمودٍ لكل قيمةٍ ست عشرية (هناك 16 قيمة)، حيث تشترك كل مدخلةٍ في السطر i ببادئة طولها i مع هذه العقدة، وتكون للمُدخلة في العمود j في هذا السطر القيمة الست عشرية j في الموضع i + 1. يوضح الشكل الآتي السطور الثلاثة الأولى من جدول توجيه العقدة 65a1fcx، حيث تشير x إلى لاحقةٍ غير محددة. يوضّح هذا الشكل أيضًا بادئة المعرّف المطابقة لكل مدخلةٍ في الجدول، ولكنه لا يُظهر القيمة الفعلية المضمَّنة في هذه المدخلة، والتي هي عنوان IP للعقدة التالية للتوجيه إليها.

تعمل إضافة عقدةٍ إلى شبكة التراكب إلى حدٍ كبير مثل توجيه رسالة تحديد موقع locate object message إلى كائن، حيث يجب أن تعرف العقدة الجديدة عضوًا حاليًا واحدًا على الأقل، وتطلب من هذا العضو توجيه رسالة إضافة عقدة add node message إلى العقدة الأقرب عدديًا لمعرّف عقدة الانضمام، كما هو موضح في الشكل الآتي. تتعرّف العقدة الجديدة على العقد الأخرى ذات البادئة المشتركة من خلال عملية التوجيه، وتستطيع بدء ملء جدول التوجيه الخاص بها. تمتلك العقد الحالية أيضًا بمرور الوقت وانضمام العقد الإضافية إلى شبكة التراكب، خيارَ تضمين معلوماتٍ حول العقدة المنضمَّة حديثًا في جداول التوجيه الخاصة بها، حيث تقوم بذلك عندما تضيف العقدة الجديدة بادئةً أطول مما هو موجود حاليًا في جداولها. كما تتبادل العقد الجيران في مجموعات الأوراق جداول التوجيه مع بعضها بعضًا، مما يعني أنه بمرور الوقت تنتشر معلومات التوجيه عبر شبكة التراكب.

من المُلاحظ أن شبكات التراكب المهيكلة توفر حدًا محتمَلًا لعدد قفزات التوجيه المطلوبة لتحديد موقع كائنٍ معين، لكن عدد القفزات في آلية Pastry محددٌ بالقيمة log<sub>16</sub>N، حيث تمثل N عدد العقد في شبكة التراكب. قد تساهم كل قفزةٍ في تأخيرٍ كبير، لأن كل عقدةٍ وسيطة قد تكون في موقعٍ عشوائيٍ على الإنترنت، وقد تكون كل عقدةٍ في قارةٍ مختلفة في أسوأ الأحوال. التأخير المتوقَع لكل قفزة هو متوسط التأخير بين جميع أزواج العقد في الإنترنت في شبكة تراكبٍ عالمية باستخدام الخوارزمية كما هو موضح أعلاه، ولكن يمكن فعل شيءٍ أفضل بكثير عمليًا؛ حيث تكمن الفكرة في اختيار كل مدخلةٍ في جدول التوجيه بحيث تشير إلى عقدةٍ قريبةٍ في الشبكة الفيزيائية الأساسية، من بين جميع العقد ذات بادئة المعرّف المناسبة للمدخلة. اتضح أن فعل ذلك يؤدي إلى تأخيراتٍ في التوجيه من طرفٍ إلى طرف بمعامل تأثيرٍ صغير من إجمالي التأخير بين عقدة المصدر والوجهة.

أخيرًا، ركّزت المناقشة حتى الآن على المشكلة العامة المتمثلة في تحديد موقع الكائنات في شبكة ندٍ لند، حيث يمكن بناء خدماتٍ مختلفة بالنظر إلى مثل هذه البنية التحتية للتوجيه. قد تستخدم خدمة مشاركة الملفات أسماء الملفات مثل أسماء كائنات، حيث يجب أولًا تطبيق تعميةٍ على اسم ملفٍ لتحديد موقعه في معرّف الكائن المقابل ثم توجيه رسالة تحديد موقع إلى هذا المعرّف. وقد ينسخ النظام أيضًا كل ملفٍ عبر عقدٍ متعددةٍ لتحسين التوافرية، وتتمثل أحد الطرق لتحقيق ذلك بتخزين عدة نُسخٍ على مجموعة أوراق العقدة التي يُوجَّه إليها ملفٌ معين.

ضع في بالك أنه على الرغم من أن هذه العقد هي جيران في حيز المعرّفات، فيُحتمَل أن توزَّع فعليًا عبر الإنترنت، وبالتالي فإن انقطاع التيار الكهربائي في مدينةٍ بأكملها قد يؤدي إلى إزالة النسخ المتماثلة القريبة فعليًا من ملفٍ في نظام ملفاتٍ تقليدي، لكن يمكن أن تنجو نسخةً متماثلةً واحدةً أو أكثر من هذا الفشل في شبكة ند لند. يمكن أيضًا إنشاء خدمات أخرى غير مشاركة الملفات على جداول التعمية الموزعة. فمثلًا من أجل تطبيقات البث المتعدد وبدلًا من إنشاء شجرة متعددة البث من شبكة، يمكن إنشاء الشجرة من أضلاع شبكة التراكب المهيكلة، ويؤدي ذلك إلى استهلاك تكلفة إنشاء شبكة التراكب وصيانتها عبر العديد من التطبيقات ومجموعات البث المتعدد.

ترجمة -وبتصرّف- للقسم Overlay Networks من فصل Applications من كتاب Computer Networks: A Systems Approach.

اقرأ أيضًا

• بيانات شبكات طرف إلى طرف الحاسوبية
• بروتوكولات تدفق البايتات الموثوقة في الشبكات الحاسوبية: آلية الإرسال والبدائل
• استدعاء إجراء عن بعد Remote Procedure Call في الشبكات الحاسوبية