المحتوى عن 'router'.



مزيد من الخيارات

  • ابحث بالكلمات المفتاحية

    أضف وسومًا وافصل بينها بفواصل ","
  • ابحث باسم الكاتب

نوع المُحتوى


التصنيفات

  • التخطيط وسير العمل
  • التمويل
  • فريق العمل
  • دراسة حالات
  • نصائح وإرشادات
  • التعامل مع العملاء
  • التعهيد الخارجي
  • التجارة الإلكترونية
  • الإدارة والقيادة
  • مقالات ريادة أعمال عامة

التصنيفات

  • PHP
    • Laravel
    • ووردبريس
  • جافاسكريبت
    • Node.js
    • jQuery
    • AngularJS
    • Cordova
  • HTML
    • HTML5
  • CSS
  • SQL
  • سي شارب #C
    • منصة Xamarin
  • بايثون
    • Flask
    • Django
  • لغة روبي
    • Sass
    • إطار عمل Bootstrap
    • إطار العمل Ruby on Rails
  • لغة Go
  • لغة جافا
  • لغة Kotlin
  • برمجة أندرويد
  • لغة Swift
  • لغة R
  • لغة TypeScript
  • ASP.NET
    • ASP.NET Core
  • سير العمل
    • Git
  • صناعة الألعاب
    • Unity3D
  • مقالات برمجة عامة

التصنيفات

  • تجربة المستخدم
  • الرسوميات
    • إنكسكيب
    • أدوبي إليستريتور
    • كوريل درو
  • التصميم الجرافيكي
    • أدوبي فوتوشوب
    • أدوبي إن ديزاين
    • جيمب
  • التصميم ثلاثي الأبعاد
    • 3Ds Max
    • Blender
  • نصائح وإرشادات
  • مقالات تصميم عامة

التصنيفات

  • خواديم
    • الويب HTTP
    • قواعد البيانات
    • البريد الإلكتروني
    • DNS
    • Samba
  • الحوسبة السّحابية
    • Docker
  • إدارة الإعدادات والنّشر
    • Chef
    • Puppet
    • Ansible
  • لينكس
  • FreeBSD
  • حماية
    • الجدران النارية
    • VPN
    • SSH
  • مقالات DevOps عامة

التصنيفات

  • التسويق بالأداء
    • أدوات تحليل الزوار
  • تهيئة محركات البحث SEO
  • الشبكات الاجتماعية
  • التسويق بالبريد الالكتروني
  • التسويق الضمني
  • التسويق بالرسائل النصية القصيرة
  • استسراع النمو
  • المبيعات
  • تجارب ونصائح

التصنيفات

  • إدارة مالية
  • الإنتاجية
  • تجارب
  • مشاريع جانبية
  • التعامل مع العملاء
  • الحفاظ على الصحة
  • التسويق الذاتي
  • مقالات عمل حر عامة

التصنيفات

  • الإنتاجية وسير العمل
    • مايكروسوفت أوفيس
    • ليبر أوفيس
    • جوجل درايف
    • شيربوينت
    • Evernote
    • Trello
  • تطبيقات الويب
    • ووردبريس
    • ماجنتو
  • أندرويد
  • iOS
  • macOS
  • ويندوز

التصنيفات

  • شهادات سيسكو
    • CCNA
  • شهادات مايكروسوفت
  • شهادات Amazon Web Services
  • شهادات ريدهات
    • RHCSA
  • شهادات CompTIA
  • مقالات عامة

أسئلة وأجوبة

  • الأقسام
    • أسئلة ريادة الأعمال
    • أسئلة العمل الحر
    • أسئلة التسويق والمبيعات
    • أسئلة البرمجة
    • أسئلة التصميم
    • أسئلة DevOps
    • أسئلة البرامج والتطبيقات
    • أسئلة الشهادات المتخصصة

التصنيفات

  • ريادة الأعمال
  • العمل الحر
  • التسويق والمبيعات
  • البرمجة
  • التصميم
  • DevOps

تمّ العثور على 3 نتائج

  1. بعد التعرُّف على طريقة التواصل بين الأجهزة في الشبكة في الدرس السابق، سنكمل في هذا الدرس موضوع “أساسيات الشبكات”؛ سنناقش العناصر المستخدمة في إنشاء شبكة محليَّة ونتعرف على مخططاتها المستخدمة. يجب عليك معرفة المكونات الشبكيَّة ووظائفها كي تتمكن من إنشاء شبكة محليَّة تخدم الغرض الذي أنشأتها لأجله. المكونات الاعتيادية هي: الحواسيب الشخصيَّة التي تمثل النهايات الشبكيَّة، والخواديم، والأجهزة التي توفر قابلية الاتصال في الشبكة مثل الموزِّعات Hubs، والمبدِّلات Switches، والموجِّهات Routers؛ لدينا أيضًا البطاقات الشبكيَّة والأكبال التي تشكل جزءًا من الشبكة المحليَّة. بطاقة الشبكة لكي يتمكن الحاسوب من الاتصال بالشبكة يجب أن يمتلك “بطاقة شبكة” NIC‏ (Network Interface Card)؛ توضع هذه البطاقة ضمن شقوق التوسعة أو تكون مدمجةً مع اللوحة الأم غالبًا ويتصل كبل الشبكة بها، وتمتلك كلُّ بطاقة عنوان MAC مميزا. مهمَّة بطاقة الشبكة هي تحضير البيانات (رزم البيانات أو الإطارات) أثناء إرسالها أو استلامها، والتحكم بتدفق البيانات بين الحاسوب والشبكة. تعمل بطاقة الشبكة ضمن الطبقة الفيزيائية في نموذج OSI والتي ترسل وتستقبل البيانات على شكل بتات bits عبر الشبكة. الموزِّع يعتبر الموزِّع من أبسط الأجهزة المستخدمة في ربط الشبكات ويُستخدم في إنشاء الشبكات الصغيرة. توصل الحواسيب عبر الأكبال إلى الموزع الذي يعمل على استلام الإشارة من أحد الحواسيب ثمَّ يعيد إرسالها إلى جميع منافذه، أي يستلم الموزع البيانات من أحد الحواسيب ثمَّ يرسلها إلى جميع الحواسيب المتصلة؛ يقبل الحاسوب الوجهة تلك البيانات التي تحمل عنوانه بينما تهملها الحواسيب الأخرى. هذه الطريقة غير فعالة لأنَّ البيانات تُرسل غالبًا إلى حاسوب واحد وعملية إعادة توجيهها إلى جميع الحواسيب تسبب بطئًا في الشبكة لذا تحولت الأنظار نحو المبدِّل. المبدِّل نشرت الصورة برخصة المشاع الإبداعي BY-SA لصاحبها Geek2003. يشبه المبدِّل الموزِّع كثيرًا إلا أنَّه يحمل مزيدًا من المزايا؛ لا يرسل المبدِّل البيانات إلى جميع الحواسيب بل يستطيع قراءة العنوان الفيزيائي MAC للرسائل التي تصله ثمَّ يقارنها مع عناوين الحواسيب المتصلة بمنافذه ويرسلها إلى وجهتها مباشرةً، وبذلك تقل التصادمات في الشبكة وتصبح أسرع؛ أي أنَّ الموزع يعمل ضمن الطبقة الثانية في نموذج OSI. يُستخدم المبدِّل كثيرًا في إنشاء الشبكات وهو أغلى ثمنًا من الموزِّع ولكنَّه أفضل أداءً إذ يعمل على زيادة السرعة في الشبكة. الجسر يشبه عمل الجسر Bridge المبدِّل إلا أنَّ وظيفته هي ربط شبكتين مع بعضهما أو تجزئة شبكة كبيرة إلى جزأين لتخفيف التصادمات فيها وزيادة أدائها. عندما يريد أحد الأجهزة من الشبكة الأولى الاتصال مع حاسوب من الشبكة الثانية، يسمح الجسر بمرور تلك البيانات عبره لأنَّه يعرف عناوين MAC لكامل الحواسيب المتصلة بالشبكة؛ أمَّا غير ذلك مثل اتصال جهاز مع آخر ضمن الشبكة نفسها فلا يسمح للإشارات بالعبور. الموجِّه يعمل الموجه على وصل الشبكات المحليَّة المختلفة مع بعضها وتوجيه رزم البيانات عبرها، فإن أردنا توصيل الشبكة المحلِّية إلى الإنترنت أو أردنا مشاركة الإنترنت مع مجموعةٍ من الحواسيب أو توصيل شبكات عدَّة مع بعضها فإننا نستخدم الموجِّه. تستطيع الموجهات تمييز العنوان IP للشبكات والحواسيب والرزم المرسلة، أي أنَّها تعمل ضمن الطبقة الثالثة في نموذج OSI، وتخزِّن تلك العناوين ضمن جدول يدعى “جدول التوجيه” مع تبيان عنوان الطريق أو الجهاز التالي الذي سيفضي إلى تلك الشبكة أو الحاسوب. عندما يستلم الموجِّه رزم البيانات فإنَّه يزيل تغليفها (راجع درس مدخل إلى شبكات الحواسيب) ويقرأ عنوان الجهاز الوجهة ثمَّ يقارنه مع العناوين الموجودة في جدول التوجيه ويختار أفضل طريق لإيصال الرزم نحو وجهتها ثمَّ يعيد تغليف الرزمة مع وضع عنوان المبدِّل أو الموجِّه التالي وهكذا تتكرر الخطوات حتى تصل الرزم إلى المبدِّل الذي يرسلها بدوره إلى وجهتها. توضح الصورة عملية إرسال البيانات من أحد الحواسيب المتواجد ضمن الشبكة الأولى إلى حاسوب ضمن الشبكة الثانية وقد اختار الموجَّه الطريق الأقصر الذي يمر عبر الموجِّه الثاني مع وجود طريق آخر يمر عبر الموجِّه الثالث. تتضمن بعض الموجهات مبدِّلًا أيضًا وبذلك يمكن استخدامه لأداء وظيفتين في الوقت ذاته ويمكن الاستغناء به عن شراء مبدِّل وموجِّه منفصلين؛ نستخدمه إن كانت الشبكة التي نريد إنشاءها لشركة صغيرة أو ضمن المنزل؛ وقد يدمج أيضًا مع الموجِّه نقطة وصول لاسلكية، ويعتمد اختياره على طبيعة المكان والسرعة والكلفة. نقطة الوصول اللاسلكيَّة نشرت الصورة برخصة المشاع الإبداعي BY-SA لصاحبها Macic7. تعمل نقطة الوصول اللاسلكيَّة Wireless access point، وتدعى اختصارًا WAP، على وصل الأجهزة اللاسلكيَّة مثل الهواتف المحمولة أو الحواسيب المحمولة أو حتى الحواسيب المكتبية التي تحوي بطاقة شبكةٍ لاسلكيَّة إلى شبكة سلكيَّة؛ تشبه في عملها المبدِّل ولكن دون وجود أكبال تربط الأجهزة، وترتبط غالبًا بموجِّه عبر كبل. تُستخدم بكثرة في الفنادق والمطارات والمدارس والشركات …إلخ. وأحيانًا تُدمج ضمن الموجِّه. أكبال التوصيل إنَّ أكبال التوصيل هي إحدى مكونات الشبكة المهمَّة التي تُستخدم للربط بين مختلف عناصرها؛ تنتقل البيانات والإشارات من جهاز إلى آخر بشكل بتات (0 و 1) إذ تعمل الأكبال ضمن الطبقة الأولى في نموذج OSI. توجد ثلاثة أنواع رئيسية للأكبال وهي الكبل المحوري Coaxial cable، والكبل المجدول Twisted pair cable، وكبل الليف الضوئي Optical fiber cable. الكبل المحوري نشرت الصورة برخصة المشاع الإبداعي BY-SA لصاحبها Apolkhanov. يتألف الكبل المحوري من ناقل داخلي محاط بعازل أنبوبي ثمَّ يلي طبقة العزل ناقل آخر يحيط بها، ويُغلَّف الكبل بطبقة من البلاستيك قد تحوي طبقةً عازلة معها. ينقل هذا الكبل الإشارات الإلكترومغناطيسية منخفضة التردد؛ وهو شائع الاستخدام في التلفاز، والراديو، والصوت، والشبكات؛ واستُخدم في مجال الشبكات المحليَّة قديمًا في ثمانينات القرن الماضي وله نوعان هما: النوع الثخين والنوع الرفيع إلى أن استبدل به الكبل المجدول. الكبل المجدول هو كبل يتألف من أربعة أزواج من الأسلاك أي ثمانية أسلاك نحاسية مغطاة بمادة عازلة، وتحاط جميعها بغلاف خارجي؛ الهدف من جدل الأسلاك في ثنائيات هو التقليل من التشويش الإلكترومغناطيسي. أول ما استخدم هذا الكبل في الشبكات كان بسرعة 10 Mb/s والذي يعرف بالتصنيف 3 (cat3 أو category 3) ثمَّ تلته إصدارات محسَّنة تختلف عن بعضها بنوع العزل وغيرها من الأمور ومنها cat5 و cat5e و cat6 التي تصل سرعتها إلى 100 Mb/s وحتى cat8.2 التي تصل سرعته إلى 40 Gb/s. يوجد للكبل المجدول نوعان رئيسيان وهما: الكبل المجدول غير المعزول Unshielded twisted-pair والمعروف باسم UTP، والكبل المجدول المعزول Shielded twisted-pair والمعروف باسم STP؛ يُستخدم الكبل المجدول غير المعزول بكثرة في شبكات إيثرنت، والهواتف الأرضية لرخص ثمنه عن بقية الأنواع، ومرونته، وأدائه الجيد؛ أمَّا الكبل المجدول المعزول فيتميز بجودة نقل الإشارات ومنع التشويش الإلكترومغناطيسي، وله أنواع متعدِّدة تختلف بطريقة العزل إذ إمَّا أن يكون العزل على كامل الكبل فقط مثل F/UTP و S/UTP و SF/UTP أو لكلِّ زوج من الأسلاك مثل U/FTP أو كليهما مثل F/FTP و S/FTP و SF/FTP؛ يشير الحرف F إلى الكلمة “Foil shielding” وهي الرقاقة المعدنية العازلة، والحرف S إلى “Braided shielding” وهي الأسلاك المجدولة العازلة. كبل معزول من نوع S/FTP التصنيف 7. نشرت الصورة برخصة CC BY SA لصاحبها Ru wiki. تنتهي الأكبال المجدولة بوصلة من نوع RJ45؛ يشير RJ إلى “المقبس المسجل” اختصارًا للعبارة (Registered Jack) ذو الرقم 45 الذي يشير إلى موديل معين من الوصلة فيها ثمانية ناقلات. تركب الأسلاك ضمن الوصلة في أماكنها المحدَّدة وترقم من 1 إلى 8 بدءًا من اليسار؛ يوجد معياران لتركيب الأسلاك وترتيبها وهما: EIA/TIA T568A وEIA/TIA T568B؛ توضح الصورة الآتية هذين المعيارين. وجود المعيارين السابقين يجعلنا نحصل على نوعين من الأكبال عند تهيئتها وهي: الأكبال المباشرة straight-through cables: يكون ترتيب الأسلاك في نهايتي الكبل متماثلًا أي ترتيب الأسلاك وفق معيار واحد لكلا النهايتين؛ تُستخدم عادةً لوصل أنواع مختلفة من الأجهزة مثل ربط الحاسوب أو الخادم إلى المبدلات أو الربط بين مبدِّل ٍ وموجِّه. الأكبال المتشابكة crossover cables: ترتيب الأسلاك في نهايتي الكبل مختلفة إذ يكون ترتيب الأسلاك لإحدى نهايتي الكبل وفق المعيار T568A والنهاية الأخرى وفق المعيار T568B؛ تُستعمل لربط العناصر الشبكيَّة من النوع نفسه مثل الربط بين المبدلات، والموجهات، وحتى بين الحواسيب، والخواديم فيما بينهما. كبل الليف الضوئي هو كبل يَستخدم ليفًا ضوئيًا أو أكثر في عملية النقل؛ هذا الليف مصنوع من الزجاج أو البلاستيك ويُغلَّف بطبقة بلاستيكية عازلة لحمايته من التشويش. توجد أنواع مختلفة منه بحسب الغرض المطلوب مثل سرعة النقل أو المسافة، وأهمُّها: الكبل ذو الألياف المتعدِّدة multi-mode fiber أو الكبل أحادي الليف single-mode fiber؛ يُستخدم الأول للمسافات القصيرة والشبكات المحلية، والثاني للمسافات الكبيرة. مخططات الشبكة الفيزيائية عملية ربط عناصر الشبكة مع بعضها ليست عشوائية؛ هنالك طرائق عدَّة لإنشاء الشبكة وربط عناصرها والتي تحدِّد التوصيل الشبكي، ونوع الاتصال الفيزيائي، وخصائص تلك الاتصالات. يتعلق المخطَّط المختار بعدد الأجهزة والعناصر المتوافرة، والخصائص المطلوبة من تلك الشبكة مثل السرعة، والأداء، والوثوقية، والكلفة. المخطط التسلسلي (Bus) توصل الأجهزة في المخطط التسلسلي إلى كبل وحيد وهو كبلٌ محوري؛ ينقل الكبل الإشارات والبيانات إلى جميع الأجهزة والتي يستقبلها الجهاز الهدف بينما تهملها الأجهزة الأخرى. إنهاء الكبل أمر مهم لمنع الإشارات من العودة والتسبب في أخطاء شبكية ناتجة عن التصادمات. أيُّ خللٍ في الكبل يؤدي إلى خروج الشبكة عن الخدمة. المخطط النجمي (Star) يوجد في المخطط النجمي جهاز مركزي لوصل جميع الأجهزة إذ تمر جميع الإشارات والبيانات المنقولة عبره؛ يكون هذا الجهاز في الشبكات المحليَّة الاعتيادية موزِّعًا أو مبدِّلًا أو موجِّهًا؛ إنَّ هذا المخطط يحسِّن من وثوقية الشبكة لأنَّ حدوث خلل في إحدى الوصلات سيؤثر على الجهاز الموصول بتلك الوصلة فقط، ولا علاقة لبقية الشبكة بتلك المشكلة؛ ولكن إن حدث عطل في المبدِّل فسيؤثر ذلك على كامل الشبكة. تتمتع الشبكة المصمَّمة وفق هذا المخطط بسهولة إضافة أجهزة جديدة، وهي من أكثر الشبكات استخدامًا. المخطط الحلقي (Ring) يتصل كلُّ جهاز في المخطط الحلقي مع الجهاز الذي قبله وبعده لتشكل جميعها حلقة؛ قد يبدو أنَّه يشبه المخطط التسلسلي ولكن الأجهزة ليست متصلة إلى كبل واحد، والأكبال مختلفة هنا. تنتقل الإشارات من جهاز إلى آخر باتجاه واحد والذي يعيد إرسالها إلى الجهاز التالي حتى تصل إلى وجهتها؛ حدوث خلل في أحد تلك الأجهزة أو الأكبال سيؤثر على كامل الحلقة مما يمثِّل نقطة ضعف، ولزيادة التوفر والوثوقية يمكن استخدام المخطط الحلقي المزدوج وهكذا يمكن نقل البيانات باتجاهين. المخطط الترابطي التام (Full-Mesh) تتصل جميع الأجهزة مع بعضها بعضًا في هذا المخطط، مما يؤدي إلى مستويات عالية من تلافي الأخطاء فلا توجد نقطة ضعف تؤدي إلى تعطل الشبكة. إنشاء شبكة بهذا المخطط يكلِّف كثيرًا، ونلاحظ استخدامه في الشبكات الواسعة WAN للوصل بين المكاتب الفرعية والمركز الرئيسي. نلجأ أحيانًا بسبب التكلفة الباهظة إلى خيارات أخرى تتضمن مخططًا ترابطيًّا جزئيًّا (partial-mesh) والذي يكون حلًا وسطًا بين ضمان عدم انقطاع الاتصالات وبين التكلفة؛ في هذا المخطط، تُربط الفروع الشبكيَّة أو أهم الأجهزة ارتباطًا تامًّا بينما تُربط العقد الأقل أهمية إلى عقدة أخرى فقط. الخلاصة أصبحت في جعبتك الآن مقدمة جيدة حول الشبكات تمكنك من فهم الشبكات المحليَّة مثل طريقة التواصل بين الأجهزة، ومعرفة بعض البروتوكولات المستعملة، والعناصر المستخدمة في إنشائها.
  2. سنبدأ درسنا بالحديث عن الحماية الفيزيائية، ثم سنتبعه بشرح بعض الأمور الأساسية مثل وضع استراتيجية لكلمات المرور، وضبط اللافتات التي تظهر عند تسجيل الدخول، واستخدام SSH للزيادة في أمان عملية الضبط. التهديدات الفيزيائية الشائعةيجب أن تكون السياسات الأمنية لحماية المعلومات مبنيةً على تحليل المخاطر وإدارتها؛ والمخاطر مبنية على احتمال استغلال الأجهزة التي فيها نقاط ضعف معيّنة. فالمخاطر الفيزيائية موجودةٌ منذ الأيام الأولى للشبكات، وازدادت تلك المخاطر بالتطورات التقنية التي حدثت في زماننا هذا؛ على سبيل المثال، من المحتمل ألّا تُعامَل المكونات الإلكترونية المهمة في الأجهزة المركبة من الوحدات بحذر (modular device) سواءً كان موجِّهًا أو مبدِّلًا الذي يتطلب تثبيت وحدات أو بطاقات شبكيّة لزيادة قدراته التشغيلية أو وظائفه. أصبح فقدان الطاقة الكهربائية وغيرها من المخاطر الكهربائية مشكلةً كبيرةً، لأننا نزيد من عدد الأجهزة والخواديم والتطبيقات في مراكز البيانات عندنا، ونحاول التوسع لتخديم عدد أكبر من المستخدمين؛ وهذا يُسبِّب إجهادًا كبيرًا على مُعدات إدارة الطاقة عندنا، وقد يسبب ذلك حادثًا أمنيًا، وقد لا يرتبط بالضرورة بهجومٍ خبيث. ضبط كلمة مرور للموجهالحماية أمرٌ متعدد الجوانب، ولا نحتاج إلى القلق حول الحماية الفيزيائية فحسب، لكن يجب أيضًا التحكم في الوصول إلى الموجِّهات وإدارته. RouterX(config)#no aaa new-model RouterX(config)#line console 0 RouterX(config-line)#login % Login disabled on line 0, until 'password' is set RouterX(config-line)#password cisco RouterX(config-line)#exi RouterX(config)#line vty 0 4 RouterX(config-line)#login % Login disabled on line 2, until 'password' is set % Login disabled on line 3, until 'password' is set % Login disabled on line 4, until 'password' is set % Login disabled on line 5, until 'password' is set % Login disabled on line 6, until 'password' is set RouterX(config-line)#password sanjose RouterX(config-line)#exi RouterX(config)#enable password cisco RouterX(config)#enable secret sanfran RouterX(config)#service password-encryptionلقد شاهدنا تلك الأوامر مسبقًا عندما ضبط الوصول إلى الجهاز لأغراضٍ إدارية. لكل خط (line) كلمة مرور خاصة به، ويمكنك ربط كل الخطوط إلى قاعدة بيانات محلية، وقد تُفكِّر أيضًا بنقل أو بجعل قاعدة بيانات المستخدمين مركزية على شكل خادوم AAA، وتطلب من كل الأجهزة أن تستعلم في ذاك الخادوم لكي تحصل على معلومات الاستيثاق. يجب أن تُبنى الإدارة أيضًا على «الأدوار»؛ وهذا هو ما يُعرَف بالتحكم بالوصول المبني على الأدوار؛ وبهذا يكون لديك مستخدمين لوظائف مُعيّنة في الجهاز ومستخدمين آخرين لوظائف أخرى تتطلب امتيازات، التي يمكن ضبطتها وتعريفها عبر الأمرَين enable و enable secret. حتى ولو كان لديك استيثاق محلي، فمن المستحسن وبشدة أن تُعرِّف المستخدمين بمرحلة ملائمة من الامتيازات؛ ولإجبار عملية تسجيل دخول المستخدم (الاستيثاق) فعليك الانتقال إلى «AAA new-model» ثم أنشِئ مُستخدِمًا. وإذا كنت تستعمل secret بدلًا من password، فسيكون ضبطك أقوى أمنيًا. RouterX(config)#aaa new-model RouterX(config)#username admin privilege 15 secret learncisconet RouterX(config)# RouterX(config)#aaa authentication login default local RouterX(config)#end RouterX#wr Building configuration... [OK] RouterX# RouterX#quit RouterX con0 is now available Press RETURN to get started. User Access Verification Username: admin Password: RouterX>ضبط لافتة تسجيل الدخولعندما يُعلَم المستخدمون بالسياسة الأمنية، فستزداد قابلية التزامهم بها أو تعرفهم على الحالات التي لا تُطبَّق السياسات فيها. فلافتةٌ بسيطةٌ مضبوطةٌ بالأمر banner logging ستُبلِّغ سياسة الوصول إلى الموجِّه (وغيره من الأجهزة) لأغراضٍ إدارية. وقد تتضمن أيضًا معلوماتٍ حول الدعم والتبليغ عن المشاكل والحوادث. المقارنة بين الوصول عبر Telnet و SSHالسرية هي أمرٌ جوهري يجب أخذه بعين الاعتبار في البنية التحتية لشبكتك؛ وهذا لا يعني أن عليك فقط تعديل كلمات المرور، فإن أرسلتها بنصٍ واضح (clear text) فيمكن لمهاجمٍ أن يعرفها... ولا تنسَ أنَّك تشارك ملفات الضبط بين الموجِّات والأجهزة الشبكية، وتُرسِل رسائل الأخطاء والتنبيهات عبر الشبكة لأغراضٍ تتعلق باستكشاف الأخطاء أو للتوثيق. لا تُضمِّن الأداة telnet أيّة آليات تتعلق بالسرية، ولهذا من المستحسن الانتقال إلى استخدام جلسات مُشفَّرة مثل SSH أو استخدام تقنيات تستعمل التعمية والتأكد من صحة نقل البيانات واستيثاق النهايات الشبكية عبر «strong authentication». ! ip domain-name mydomain.com ! crypto key generate rsa ! ip ssh version 2 ! line vty 0 4 login local transport input ssh ! !نحن نتحدث هنا عن مفاتيح التشفير والشهادات الرقمية. فعندما تضبط SSH، فعليك أن تأخذ بعين الاعتبار العملية ككل، من إنشاء المفاتيح حتى التحكم بالوصول المبني على الأدوار عبر قاعدة بيانات محلية. ترجمة -وبتصرّف- للمقال Understanding Cisco Router Security.
  3. لا توجد طريقة لفهم وظائف التوجيه أفضل من ضبط موجِّه حقيقي، لذا سنُشغِّل موجِّه سيسكو في هذا الدرس وسنهيئه باستخدام واجهة سطر أوامر نظام تشغيل IOS؛ ثم سنسجِّل دخولنا إلى الموجه لإكمال عملية الضبط، ثم مراقبة العتاد وحالة النظام. الإعداد الابتدائي لموجه سيسكوعملية تهيئة الموجِّهات شبيهة بمثيلتها في المبدِّلات (switches). سيفحص الجهاز نفسه أولًا عبر اختبار POST (اختصار للعبارة power-on self test) للتأكد من عمل العتاد، ثم سيحاول العثور على نسخة نظام التشغيل في عدِّة مسارات، وهو مضبوطٌ لكي يبحث في أماكن بديلة إن لم يعثر على نسخة نظام التشغيل الموجودة في قرص فلاش. وبعد تحميل الضبط إلى ذاكرة الوصول العشوائي (RAM)، فإنه سيُطبِّق التعليمات الواردة في ملف الضبط في NVRAM. وهنالك خياراتٌ بديلةٌ لملفات الضبط ستُستعمَل عند الحاجة. مثالٌ على تلك الخيارات البديلة هو ميزة التثبيت التلقائي (auto install)، التي تسمح للموجه أن يحصل على عنوان IP ديناميكيًا من الشبكة -لأن الموجِّه يُقلِع دون ضبط- ثم يحاول الموجِّه أن يُحمِّل ملفات الضبط من خادم TFTP على الشبكة. وللإكمال معنا في هذا الدرس، يجب أن تتحقق من أنَّ مقبس الطاقة موصولٌ، وأنَّك قادرٌ على الاتصال إلى الموجِّه عبر الطرفيات التي ستسمح لك بمشاهدة الخرج الناتج عن نظام تشغيل IOS أثناء عملية التهيئة. ولا تنسَ أيضًا أن يكون المفتاح الطاقة مُشيرًا إلى وضع التشغيل (on)، فالموجَّهات -على عكس المبدلات- فيها مفتاحٌ خاصٌ بالطاقة. ناتج خرج الإقلاع في موجهإن لم يكن للموجِّه ملفُ ضبطٍ موجود في NVRAM، فالإجراء الاحتياطي هنا هو التثبيت التلقائي (auto install)، وإن فشل الموجِّه في هذه الخطوة، فالبديل هو الدخول إلى وضع الإعداد (setup mode). تظهر في وضع الإعداد أسئلةٌ عن ضبط النظام -كما في المبدِّلات في الطبقة الثانية- التي تُهيّء الضبط المبدئي للموجِّه. لكن نوعية الأسئلة مختلفة هنا لأننا نضبط جهازًا في الطبقة الثالثة. ليس الغرض من وضع الإعداد أن نضبط ميزاتٍ معقدةً للبروتوكولات أو ضبطًا متقدمًا للموجِّه؛ وإنما يُستعمَل لإعداده بالحد الأدنى من الضبط. إن كان للموجِّه ملفُ ضبطٍ صحيحٍ، فسيُرسِلنا إلى واجهة سطر الأوامر (Cisco CLI) في نمط EXEC؛ فافتراضيًا، يرسلنا الموجِّه إلى نمط المستخدم دون امتيازات، ثم بعد ذلك ندخل إلى نمط المستخدم ذي الامتيازات عبر إدخال الأمر enable. Setup: الضبط الابتدائييمكنك استدعاء برمجية الضبط الابتدائي عبر كتابة الأمر setup. سنحتاج إلى أن نكون في نمط الضبط بمستخدمٍ ذي امتيازات (يمكنك معرفة ذلك إذا كان في المِحَث [prompt] إشارة المربع [#]). بعد ذلك ستَدخل إلى مربع حوار ضبط الإعداد، الذي سيسألك الموافقة إذا كنت تريد ضبط الجهاز، ثم سيسألك إن كنت تريد الذهاب إلى ضبط الإدارة الأساسي (basic management setup). إذا ضغطت على No في مربع الحوار السابق الذي يسألك الدخول إلى ضبط الإدارة الأساسي، فستدخل إلى الضبط الموسَّع (extended setup) الذي يتيح لك ضبط خيارات متخصصة بالنظام. إذ أنَّ الضبط الأساسي سيسألك عدِّة أسئلة لضبط اسم المضيف، وكلمات المرور، وبعض المتغيرات الأساسية في ضبط البطاقات (interfaces)، وغيرها من الخيارات. تذكر أنَّ الضبط الافتراضي سيوضع ضمن أقواسٍ مربَّعة (أي «[]») ويمكنك ببساطة الضغط على Enter لقبول الضبط الافتراضي. تجميعة مفاتيح أخرى مهمة هي Ctrl+C التي تتيح لك إنهاء العملية الحالية لتبدأ من جديدٍ في أيّ وقت. فعند الضغط على Ctrl+C، ستعود إلى نمط EXEC بمستخدمٍ ذي امتيازات ويمكنك إكمال ضبط الموجِّه من هناك. ملخص ضبط البطاقاتإذا ضغط على Yes في مربع الحوار الذي يسألك عن الدخول إلى ضبط الإدارة الأساسية، فستُسأل سؤالًا آخر إذا ما كنت تريد رؤية ملخص ضبط البطاقات الحالي؛ إذا ضغطت على Yes، فسترى شيئًا شبيهًا بما يلي، حيث تُعرَض قائمة بالبطاقات مع حالتها في الطبقتين الأولى والثانية. فمثلًا، تملك بعض البطاقات عنوان IP. والناتج المعروض هنا هو ناتج الأمر sh ip int brie: Interface IP-Address OK? Method Status Protocol BRI0 unassigned YES NVRAM administratively down down BRI0:1 unassigned YES unset administratively down down BRI0:2 unassigned YES unset administratively down down FastEthernet0 192.168.0.65 YES NVRAM up up FastEthernet1 unassigned YES NVRAM administratively down down FastEthernet2 unassigned YES unset down down FastEthernet3 unassigned YES unset down down FastEthernet4 unassigned YES unset up down FastEthernet5 unassigned YES unset up down FastEthernet6 unassigned YES unset up up FastEthernet7 unassigned YES unset up up FastEthernet8 unassigned YES unset up up FastEthernet9 unassigned YES unset down down NVI0 192.168.0.65 YES unset up up Tunnel1 10.10.1.65 YES NVRAM up up Tunnel2 10.10.2.65 YES NVRAM up up Vlan1 192.168.65.192 YES NVRAM up upميزة Cisco AutoSecureقد تجد من ضمن الأسئلة التي ستُسأل عنها أسئلةً متعلقةً بتفعيل AutoSecure، التي هي ميزةٌ أمنيةٌ متوفرة في نسخٍ معيّنة من نظام التشغيل، تسمح لك بتقليل تعقيد تأمين الموجه ومعرفة الأوامر اللازمة لذلك، عبر إنشاء هذا الأمر الذي يؤتمت عملية ضبط تلك المزايا الأمنية؛ أي أنَّ تلك الميزة مكان جامعٌ لتأمين موجِّهك وتحسين السياسات الأمنية الحالية. وبالإجابة بنعم (yes) على السؤال المتعلق بتفعيل AutoSecure، فإنك ستُفعِّل AutoSecure، الذي يعني تنفيذ الأمر auto secure وبه تبدأ عملية تأمين الموجِّه. وتلك الأداة صارمةٌ جدًا وستحاول ضمان أكبر قدر من الحماية عن طريق (على سبيل المثال) تعطيل الخدمات العامة، وتعطيل الخدمات التي تعمل على مستوى البطاقة (interface)، وتفعيل أشياء مثل تشفير كلمات المرور، والتسجيل (logging)، والتحقق من أنَّ وجود كلمات مرور لموجِّهك، والتأكد من أنَّ SSH مضبوطٌ ضبطًا صحيحًا؛ وتُعطَّل أيضًا ميزة الإدارة عبر SNMP إن لم تكن مستخدمة. وتحاول تطبيق ميزات متعلقة بمكافحة التنصت واعتراض اتصالات TCP (أي TCP intercept) ومهلة فقدان اتصالات TCP. إنها أداةٌ شاملة، وعليك تفعيلها إذا كنت تعرف تمامًا ما هي تبعات ذلك. مراجعة سكربت الإعداد واستخدامهوبشكلٍ شبيهٍ بمربعات حوار الضبط في المبدِّلات، تنتهي هذه العملية بإظهار الموجِّه للسكربت التي أُنشِئ اعتمادًا على أجوبتك، متبوعًا بقرارك إن كنت تريد تريد العودة إلى المِحث دون الحفظ، أو بالعودة إلى أول الأسئلة مُعيدًا الضبط مرةً أخرى، أو حفظ الضبط والعودة إلى المِحَث. تسجيل الدخول إلى موجه سيسكوبعد إنهاء الضبط كما في الخطوة السابقة، يمكنك العودة إلى المِحَث وإعادة ضبط الموجِّه، أو إجراء المزيد من الضبط. الموجِّه هو جهاز يعمل بنظام IOS، أي أنه شبيه بالمبدِّلات في كونه يحتوي على نمط EXEC، الذي فيه نمطين فرعيين: نمط المستخدم دون امتيازات، ونمط المستخدم ذو الامتيازات. يمكنك الانتقال من نمط المستخدم العادي إلى نمط المستخدم ذي الامتيازات عبر استعمال الأمر enable. ويمكنك الخروج من نمط المستخدم ذي الامتيازات عبر الأمر disable، أو تسجيل الخروج كليًا بالأمر logout، والأمر exit يفعل المِثَل أيضًا. لاحظ أيضًا -وبما يشابه المبدلات- أنَّه يمكنك معرفة نمط المستخدم العادي من إشارة «أكبر من» (<) في المِحَث، بينما نمط المستخدم ذو الامتيازات يُعرَف بإشارة المربع (#). Router> Router> enable Password: Router#قائمة بالأوامر التي يمكن تنفيذها على الموجهات بنمط المستخدم العادييمكنك استعمال إشارة الاستفهام (?) بجميع مستويات الامتيازات وبجميع أنماط الضبط لعرض قائمة بالأوامر التي يمكنك استعمالها في ذاك النمط؛ لاحظ أنك تستطيع التمرير إلى الأسفل لوجود الكلمة «More»، يمكنك الضغط على زر المسافة للتمرير صفحةً بصفحة، أو الضغط على زر Enter (أو Return في بعض لوحات المفاتيح) للتمرير سطرًا بسطر، أو بإمكانك استعمال الزر Q للخروج، أو عبر التجميعة Ctrl+C. Router>? Exec commands: <1-99> Session number to resume access-enable Create a temporary Access-List entry access-profile Apply user-profile to interface clear Reset functions connect Open a terminal connection crypto Encryption related commands. disable Turn off privileged commands disconnect Disconnect an existing network connection dot11 IEEE 802.11 commands emm Run a configured Menu System enable Turn on privileged commands exit Exit from the EXEC --More--تختلف قائمة الأوامر بناءً على نسخة وميزات نظام التشغيل، وستختلف تبعًا لامتيازات الوصول وأنماط الضبط؛ فمثلًا، هنالك قائمةٌ محدودةٌ من الأوامر التي تستطيع تنفيذها في نمط المستخدم دون امتيازات تسمح لك بمراقبة عمل الموجِّه، بينما يمكنك في نمط المستخدم ذي الامتيازات أن تدخل إلى مختلف مستويات الضبط وتنفِّذ أوامر تتعلق بالصيانة. قائمة بالأوامر التي يمكن تنفيذها على الموجهات بنمط المستخدم ذي الامتيازاتهذه قائمة مبسطة وجزئية بالأوامر المتوفرة في نمط المستخدم ذي الامتيازات الظاهرة بكتابة علامة استفهام في المحث؛ لاحظ أنَّ الأمر configure متوفرٌ في القائمة، وهو يسمح لك بالذهاب إلى نمط الضبط؛ وأيضًا الأمر copy، الذي يسمح بنسخ صور نظام التشغيل أو ملفات التشغيل من وإلى الموجِّه؛ وهنالك الأمر erase لمسح الصور من نظام الملفات. Router#? Exec commands: <1-99> Session number to resume access-enable Create a temporary Access-List entry access-profile Apply user-profile to interface access-template Create a temporary Access-List entry archive manage archive files auto Exec level Automation beep Blocks Extensible Exchange Protocol commands bfe For manual emergency modes setting calendar Manage the hardware calendar cd Change current directory clear Reset functions clock Manage the system clock cns CNS agents configure Enter configuration mode connect Open a terminal connection copy Copy from one file to another crypto Encryption related commands. debug Debugging functions (see also 'undebug') delete Delete a file dir List files on a filesystem disable Turn off privileged commands disconnect Disconnect an existing network connection --More--أمر إظهار نسخة نظام التشغيلنحن الآن جاهزون لنخطي خطوةً إلى ضبط وإدارة الموجِّهات الخاصة بنا؛ ربما أحد أهم الأوامر من حيث إظهار إمكانيات الجهاز هو الأمر show version؛ وهو شبيه بالأمر الخاص بمبدلات الطبقة الثانية؛ حيث يُظهِر النسخة الحالية من نظام التشغيل ويعرض قائمة بالميزات، ويُظهِر نظام التشغيل الموجود في ذاكرة ROM الذي يُستخدم كنظام بديل إن لم يكن النظام الرئيسي متوفرًا. ويُعرَض أيضًا زمن تشغيل الموجِّه (uptime)، وكذلك المواصفات الفيزيائية بما في ذلك مقدار ذاكرة RAM، والبطاقات الفيزيائية (physical interfaces) في الموجِّه، ومقدار ذاكرة NVRAM، وذاكرة فلاش، وقيمة المُعامل «Configuration register». Router#sh ver Cisco IOS Software, C181X Software (C181X-ADVENTERPRISEK9-M), Version 12.4(24)T6, RELEASE SOFTWARE (fc2) Technical Support: http://www.cisco.com/techsupport Copyright (c) 1986-2011 by Cisco Systems, Inc. Compiled Tue 23-Aug-11 05:42 by prod_rel_team ROM: System Bootstrap, Version 12.3(8r)YH12, RELEASE SOFTWARE (fc1) Router uptime is 1 day, 2 hours, 38 minutes System returned to ROM by Reload Command System restarted at 17:27:50 EET Wed Nov 28 2012 System image file is "flash:c181x-adventerprisek9-mz.124-24.T6.bin" This product contains cryptographic features and is subject to United States and local country laws governing import, export, transfer and use. Delivery of Cisco cryptographic products does not imply third-party authority to import, export, distribute or use encryption. Importers, exporters, distributors and users are responsible for compliance with U.S. and local country laws. By using this product you agree to comply with applicable laws and regulations. If you are unable to comply with U.S. and local laws, return this product immediately. A summary of U.S. laws governing Cisco cryptographic products may be found at: http://www.cisco.com/wwl/export/crypto/tool/stqrg.html If you require further assistance please contact us by sending email to export@cisco.com. Cisco 1812 (MPC8500) processor (revision 0x400) with 236544K/25600K bytes of memory. Processor board ID XXXXXXXXXXX, with hardware revision 0000 10 FastEthernet interfaces 1 ISDN Basic Rate interface 62720K bytes of ATA CompactFlash (Read/Write) Configuration register is 0x2102التحقق من الضبط الأساسي للموجهللتحقق من الضبط المبدئي للموجِّه، فعادةً ما تُستعمَل أوامرٌ مثل show running، الذي يعرض كل الضبط الحالي، ثم يمكنك البحث عن القطع التي تريد التحقق منها؛ قد يكون هذا أمرًا مرهقًا وغير فعال، لذلك يمكنك إظهار أقسام معيّنة من الضبط الحالي. Router#sh run Building configuration... Current configuration : 3807 bytes ! ! Last configuration change at 19:41:49 EET Thu Nov 29 2012 by admin ! NVRAM config last updated at 19:43:50 EET Thu Nov 29 2012 by admin ! version 12.4 service timestamps debug datetime msec service timestamps log datetime msec no service password-encryption ! hostname Router ! boot-start-marker boot-end-marker ! logging message-counter syslog logging buffered 65535 enable secret 5 $1$kqJ2$BwXEBY.OC1Fzj4QvofZXx/ ! no aaa new-model clock timezone EET 2 ! ! dot11 syslog ip source-route ! ! ip cef no ip domain lookup ip domain name cisco.com ip name-server 172.16.4.10 no ipv6 cef ! multilink bundle-name authenticated ! ! --More--فيمكنك مثلًا استعمال الكلمة المفتاحية ‏(interface) لعرض الضبط المتعلق ببطاقة معيّنة فقط. Router#sh run int fa 0 Building configuration... Current configuration : 186 bytes ! interface FastEthernet0 description ### Sales Dept. ### ip address 192.168.0.1 255.255.255.0 duplex auto speed auto endيمكنك أيضًا استخدام show run | in options مما يعرض الأسطر التي تحتوي كلمةً مُحدَّدة مثل «password»؛ وبهذا، نرى أنَّه لم تُضبَط أيّة كلمات مرور؛ والسطر الوحيد الذي تم إظهاره والذي يحتوي الكلمة «password» هو سطر service password-encryption. Router#sh run | in password service password-encryptionيمكنك أيضًا استعمال الأمر show running | section لعرض أقسامٍ كاملة؛ على سبيل المثال قسم line، الذي يعرض الأقسام التي تتعلق بالطرفيات أو VTYs ...إلخ. يمكنك أيضًا استعمال b ‏(begin) مما يُظهِر الضبط الذي يبدأ بكلمة مفتاحية معيّنة. فسيعرض الأمر الآتي الضبط الذي يبدأ بالكلمة line وكل شيء يقع تحته. Router#sh run | b line line con 0 line aux 0 line vty 0 4 exec-timeout 0 0 privilege level 0 login local transport preferred ssh transport input ssh transport output all ! ntp server 172.16.4.10 endيمكنك تطبيق ما سبق على بقية الأوامر؛ على سبيل المثال، الأمر show ip int brie سيعرض كل البطاقات وحالتها وعناوين IP المُسنَدة إليها؛ لكنك يمكننا استعمال الأنبوب (pipe) لعرض البطاقات التي لم يُسنَد إليها عنوان IP بالبحث عن الأسطر التي تحتوي على الكلمة المفتاحية unassigned. Router#sh ip int brie | in unassigned BRI0 unassigned YES NVRAM administratively down down BRI0:1 unassigned YES unset administratively down down BRI0:2 unassigned YES unset administratively down down FastEthernet1 unassigned YES NVRAM administratively down down FastEthernet2 unassigned YES unset down down FastEthernet3 unassigned YES unset down down FastEthernet4 unassigned YES unset up down FastEthernet5 unassigned YES unset up down FastEthernet6 unassigned YES unset up up FastEthernet7 unassigned YES unset up up FastEthernet8 unassigned YES unset up up FastEthernet9 unassigned YES unset down downوكما ترى، البطاقة Fa0 ليست في القائمة، وكذلك Vlan1، التي تملك عنوان IP. ترجمة -وبتصرّف- للمقال Starting a Router.