مقالات شبکه و اخبار روز تکنولوژی

شاید شما هم کلمه‌ی دوربین بدون آینه زیاد به گوشتون خورده باشه. تو این مقاله به این سوال که آیا دوربین بدون آینه از dSLR بهتره و اینکه اصلا چی هست جواب میدم.

درباره‌ی اینکه یه دوربین بدون آینه (mirror-less) چیه و چیش اونو از یه دوربین dSLR جدا می‌کنه، برای شروع خیلی ساده باید بگم یه دوربین بدون آینه همونجوری که از اسمش معلومه، آینه نداره که این آینه جزء قسمت‌های اصلیه دوربین‌های dSLR هستش.

اگه تازه به دنیای دوربین‌هایی که قابلیت تعویض لنز دارن پا گذاشتین، ممکنه براتون گیج کننده باشه که کدوم نوع برای شما بهتره. برای اینکه شما بتونین انتخاب بهتری داشته باشین، اینجا سعی کردم همه‌ی اون چیزی که نیاز دارین درباره‌ی یه دوربین بدون آینه بدونین رو بگم.

اصلا دوربین بدون آینه چی هست؟

همونطور که از اسمش معلومه یه دوربین بدون آینه دوربینیه که آینه‌ای برای منعکس کردن نور نداره که این نوع آینه تو دوربین های dSLR یک عضو خیلی مهم به حساب میاد. این آینه تو دروبین‌های کلاس dSLR نور رو به سمت چشمی دوربین هدایت می‌کنه و هنگام ثبت تصویر کنار میره تا نور به سنسوری که برای ثبت تصویر وجود داره برسه.

توی دوربین‌های بدون آینه‌ی خیلی ساده همچین سیستمی وجود نداره و در واقع نور می‌تونه همیشه روی سنسور ثبت تصویر تاثیر بذاره که این موضوع باعث میشه شما بتونین تصویرو در هر حالتی ببینید، حالاچه روی تصویر و چه با استفاده از (EVF(electronic viewfinder. نکته‌ی دیگه هم اینکه برای این به دوربین های dSLR دوربین های‌آینه دار نمی‌گن چون خیلی ساده اول دوربین‌هایی که آینه دارن تولید شدن و چون در اون موقع داشتن آینه یک لزوم به حساب میومده خب اسمش رو دوربین با آینه نگذاشتن.

به صورت کلی یه دوربین بدون آینه به این صورت تعریف میشه: “هر دوربینی که بتونی لنز هاشو عوض کنی و همچنین یک منظره یاب(EVF)داشته باشه. ”

سوالی که پیش میاد اینه که اگه دوربین‌های dSLR قبلا هم وجود داشته؛ دیگه چه کاریه آینه اونا رو برداریم و یه نوع دوربین کاملا جدید اختراع کنیم؟ یکی از جواب ها و میشه گفت جواب اصلی، سایز این دوربین هاس. بدون داشتن یه آینه‌ی بزرگ توی بدنه‌ی دوربین‌های dSLR، ما می‌تونیم به اندازه‌ای خیلی کوچک‌تر دست‌پیدا‌کنیم که از نظر اندازه خیلی از رقبای dSLR شون به صرفه ترن. در ابتدا این دوربین‌ها بیشتر برای عکاسای آماتور مناسب بودن ولی با توجه به رشد و پیشرفت زیادی که داشتن، امروزه به گزینه‌ی مناسبی برای عکاسای حرفه‌ای هم تبدیل شدن. در ادامه به بعضی دیگه از ویژگی‌های خوبه این نوع دوربین در مقایسه با dLSR می‌پردازیم.

 

لنزهای دوربین‌های بدون آینه

مثل دوربین‌های dSLR این دوربین‌ها هم بخاطر پیشرفت‌های خیلی زیادی که در صنعت عکاسی رخ داده تعداد لنزهای خیلی زیادی برای کارهای خیلی زیادی دارن. مزیتی که برای دوربین‌های بدون آینه در این مورد وجود داره، فاصله‌ی بسیار کمتر لنز از سنسور ثبت منظره(EVF) هست که به شما اجازه میده از لنزهای دوربین‌های dSLR هم روی این دوربین‌ها استفاده کنید؛ البته با استفاده از آداپتورهایی که توسط چند کمپانی ساخته میشه. البته اکثرا مجبورین چندتا از کارایی‌های لنزو برای این کار قربانی کنین ولی با این حال می‌تونه هم از نظر مالی به شما سود بسیار زیادی برسونه و هم از نظر قابلیت‌هایی که با هر لنز به شما میده.

وسایل جانبی برای دوربین‌های بدون آینه

اگرچه این دوربین‌ها نسبت به دوربین‌های dSLR بسیار جوون‌تره ولی می‌تونم به شما اطمینان بدم که برای وسایل جانبی هیچ جای نگرانی از نظر تعداد و یا تنوع وجود نداره. نکته‌ای که در این مورد وجود داره امکان استفاده از باتری‌اضافه تو این کلاس دوربینه که می‌تونه در بسیاری از موارد خیلی خیلی مفید واقع شه.

خلاصش اینکه:

نمیشه گفت دوربین‌های بدون آینه بهترن یا dSLR، گرچه در بعضی موارد مثل فیلم برداری، دوربین‌های بدون آینه عملکرد بهتری از خودشون نشون دادن و در مورد باتری هم می‌تونین بیشتر بهشون اعتماد کنین.

و در آخر اینکه همه چیز به نیاز شما بستگی داره. اینکه صرفا برای تفریح عکاسی می‌کنین یا صاحب یه استودیوی عکاسی هستین، اینکه فقط برای عکس‌برداری می‌خواین یا فیلم‌برداری هم برای شما مهمه، اینکه عمر باتری چقدر برای شما مهمه و چندین موضوع دیگه. موضوع مسلم برای انتخاب اینکه یه دوربین بدون آینه برای شما بهتره یا dSLR، اینه که دقیقا بدونین از دوربینتون چه انتظارایی دارین.

پروتکل های مسیریابی link state نقشه راه کاملی را برای هر روتر اجرا کننده این پروتکل فراهم می کنند. روتری که از پروتکل link state بهره می برد به راحتی دچار تصمیم گیری نادرست در رابطه با مسیریابی نخواهد شد چرا که این روتر تصویر کاملی از شبکه در اختیار دارد.

در پروتکل های link state ، عبارت link از پروتکل نمایانگرِ اینترفیسِ روتر است در حالی که عبارت state چگونگی ارتباط آن با روترهای همسایه را نشان می دهد که شامل آدرس IP آن اینترفیس، mask و اطلاعات شبکه و … می شود.

روترهای link state اطلاعات دست اولی را از همه روترهای همتای خود (همه روتر هایی که پروتکل مسیریابی link state را اجرا می نمایند) خواهد داشت. هر روتر اطلاعاتی را درباره خودش، لینک هایی که مستقیما به آن متصلند و همچنین وضعیت این لینک ها ایجاد می کند. این اطلاعات از یک روتر به روتر دیگر عبور داده می شوند، هر روتر کپی از آن اطلاعات را در خود نگاه می دارد، اما تغییری در آن ایجاد نمی کند.

پروتکل های link state تحت عناوین shortest path first یا distributed database protocol نیز شناخته می شوند. از جمله پروتکل های مسیریابی link state می توان به موارد زیر اشاره نمود:

• پروتکل OSPF) Open Shortest Path First) بر بستر IP
• پروتکل IS-IS بر بستر IP و CLNS
• پروتکل NLSP

پروتکل OSPF

پروتکل OSPF از محبوبترین پروتکل ها در خانواده IGP) Interior Gateway Protocol) به شمار می آید. هنگامی که پروتکل OSPF در شبکه کانفیگ شود، به همسایه های روتر گوش می سپارد و داده های link state در دسترس را گردآوری می کند تا نقشه توپولوژی ای از همه مسیرهای موجود در شبکه ایجاد نماید و سپس اطلاعات را در دیتابیس توپولوژی ،تحت عنوان LSDB ،ذخیره کند. با استفاده از اطلاعات جمع آوری شده، بهترین و کوتاه ترین مسیر ممکن به هر subnet یا network را از طریق الگوریتم SFP محاسبه می نماید.

در زیر به برخی از عباراتی اشاره شده است که به آشنایی با آنها برای ادامه بحث نیاز داریم:

• Link State Advertisement) LSA): بروز رسانی در رابطه با وضعیت لینکِ روتر، LSA زمانی فرستاده می شود که یک لینک متصل شده ، قطع شده باشد یا تغییرات دیگری بر روی آن رخ داده باشد.
• Topological database: جدولی در حافظه روتر است که اطلاعات لینک های همه روترهای شناخته شده را شامل می شود.
• SPF algorithm: محاسبات ریاضیاتی است که از الگوریتم دایجکسترا استفاده می کند تا کوتاه ترین مسیر به مقصدها را بیابد. این الگوریتم در نوع خود بسیار پیچیده است
• SPF tree: لیستی از همه مسیرهای موجود به هر مقصد به ترتیب اولویت

هر روتری که در یک ناحیهOSPF  کانفیگ شده باشد، در فاصله های زمانی منظمی پیام های LSA را ارسال می کند. همه این اطلاعات در رابطه با وضعیت لینک ها در topological database ذخیره می شوند، سپس یک الگوریتم SPF بر روی داده های این پایگاه داده به کاربسته می شود.

این فرآیند یک SPf tree ایجاد می نماید که همه مسیرها به هر مقصد را به ترتیب اولویت لیست کرده است. سپس ترتیب مورد نظر در جدول مسیریابی ذخیره می شود و به روترها بهترین انتخاب برای مسیریابی به سمت مقصدهای شان داده می شود.

جداول موجود در پروتکل OSPF

پروتکل OSPF سه جدول زیر را برای ذخیره اطلاعات در روترها ایجاد می کند:

• Neighbor Table: این جدول شامل همه همسایه های OSPF است به همراه اطلاعات مسیریابی که تغییر خواهد نمود.
• Topology Table: شامل نقشه راه شبکه و همه روترهای OSPF موجود و بهترین مسیرهای محاسبه شده و مسیرهای جایگزین می شود.
• Routing Table: شامل بهترین مسیرهای اجرایی فعلی می شود که برای انتقال ترافیک داده میان همسایه ها استفاده می شود.

الگوریتم SPF

همانطور که پیشتر گفته شد کوتاه ترین مسیر از طریق الگوریتم دایجکسترا محاسبه می شود. دایجکسترا الگوریتمی پیچیده به شمار می آید. در مراحل زیر به گام های مختلف الگوریتم در سطح بالا و به روشی تسهیل شده نگاه می شود:

1. روتر به محض راه اندازی یا به علت هر تغییری در اطلاعات مسیریابی، یک LSA ایجاد می کند. این اعلان مجموعه ای از همه link-state ها را بر روی آن روتر نشان می دهد.
2. همه روترها از طریق flooding وضعیت لینک ها را تغییر می دهند. هر روتر که یک بروزرسانی برای وضعیت لینک دریافت می کند، باید کپی آن را در LSDB خود ذخیره کند و سپس این بروزرسانی را به روترهای دیگر انتقال دهد.
3. پس از این که پایگاه داده هر روتر تکمیل شد، روتر درخت کوتاه ترین مسیر (SPF tree) به همه مقصدها را محاسبه می کند. روتر از الگوریتم دایجکسترا برای محاسبه این درخت استفاده می کند. مقصدها، هزینه مربوطه و گام بعدی برای دستیابی به این مقصدها از جدول مسیریابی IP استخراج می شود.
4. هنگامی که تغییری در شبکه OSPF همچون افزایش یا کاهش یافتنِ هزینه لینک یا شبکه رخ ندهد، پروتکل OSPF فعالیت کمی در شبکه خواهد داشت. هر تغییری که رخ دهد از طریق بسته های link-state انتقال داده می شود و الگوریتم دایجکسترا به منظور یافتنِ کوتاه ترین مسیر مجددا محاسبه می شود.

الگوریتم هر روتر را در ریشه (root) درخت قرار می دهد و بر مبنای هزینه تصاعدی که برای دستیابی به مقصد مورد نظر نیاز است، کوتاه ترین مسیر به هر مقصد را محاسبه می کند. با وجود اینکه همه روترها SPF tree را از طریق LSDB مشابهی ایجاد می کنند، هر روتر تصویر مختص به خود را از توپولوژی در اختیار خواهد داشت.

مفهوم هزینه در پروتکل OSPF

Cost یا همان هزینه یک اینترفیس (که metric هم نامیده می شود) در پروتکل OSPF دلالت دارد بر سرباری که برای ارسال بسته ها از طریق اینترفیسی معین مورد نیاز است. هزینه یک اینترفیس به طور معکوس با پهنای باند آن تناسب دارد. هر چه پهنای باند بیشتر باشد، نشان دهنده هزینه کمتری است. سربار بیشتر (هزینه بیشتر) و زمان تاخیر بیشتری در یک خط سریالِ 56k نسبت به یک خط اترنت 10M وجود دارد. فرمولی که برای محاسبه هزینه استفاده می شود، عبارت است از:

Cost = 100000000/bandwidth in bps

به طور مثال هزینه برای یک خط اترنت 10M برابر خواهد بود با:

Cost = 10^8/10^7 = 10

و برای یک خط T1 با پهنای باند 1.544Mbps این هزینه برابر خواهد بود با:

Cost = 10^8/1544000 = 64

SPF Tree (درخت پوشا)

فرض کنید درخت شبکه زیر را به همراه هزینه های نشان داده شده برای اینترفیس در اختیار دارید. به منظور ایجاد درخت پوشا برای روتر R1 ، باید روتر R1 را به عنوان ریشه درخت قرار داد و کمترین هزینه به هر مقصد را محاسبه نمود.

همانطور که در درخت پوشای روتر R1 دیده می شود کوتاه ترین مسیر لزوما مسیری با تعداد گام های کمتر نیست. برای مثال به مسیر R1 به R4 نگاه کنید. شاید به نظر بیاید که R1 مستقیم ترافیک را به R4 می فرستد بجای اینکه آن را به R3 و سپس به R4 ارسال نماید. درحالی که هزینه دستیابی مستقیم به R4 برابر با 22 است و بیشتر از هزینه دستیابی به R4 از طریق R3 خواهد بود که برابر با 17 است.

پس از اینکه روتر SPF tree را ایجاد نمود، بر طبق آن شروع به ایجادِ جدول مسیریابی خود می نماید. هزینه دستیابی به شبکه هایی که مستقیما به آن متصلند برابر با 0 است و هزینه دستیابی به شبکه های دیگر نیز بر طبق هزینه محاسبه شده در درخت پوشا خواهد بود.

Area border router

همانطور که پیشتر گفته شد، OSPF برای مبادله ی بروزرسانی های link-state در میان روترها از flooding استفاده می کند. هر تغییری در اطلاعاتِ مسیریابی به همه روترها در شبکه flood می شود. Area به منظور قرار دادن محدوده ای برای جلوگیری از رشد ناگهانی تعداد update های ارسالی استفاده می شود. با تعریف Area ، flooding و محاسباتِ الگوریتم دایجکسترا بر روی یک روتر به تغییراتِ درون همان Area محدود می شود.

همه روترهایِ درون یک Area پایگاه داده ی یکسانی را برای link-state در اختیار دارند. روترهایی که عضو چند Area هستند و این Area ها را به ناحیه backbone متصل می کنند، روترهای Area Border) ABR) نامیده می شوند. بنابراین روترهای ABR باید اطلاعاتی را که توصیف کننده ی نواحیِ backbone و دیگر نواحی هستند، نگهداری نمایند.

هنگامی که همه اینترفیس های روتر در یک ناحیه مشخص قرار داشته باشند، به آن روترِ داخلی (IR) می گویند. روتری که اینترفیس هایش در چند Area قرار داشته باشد، روتر ABR می گویند. روترهایی که به عنوان گذرگاه ها میان پروتکل OSPF و دیگر پروتکل های مسیریابی (IGRP ، EIGRP ، IS-IS ، RIP ، BGP ، Static) قرار می گیرند، روترهای Autonomous system boundary) ASBR) نامیده می شوند. هر روتری می تواند نقش ABR یا ASBR را ایفا نماید.

بسته های Link-State

انواع مختلفی از  بسته های Link state وجود دارد. این بسته ها به دلایل مختلفی همچون تعیین روابط با روترهای مجاور، محاسبه ی هزینه و یافتن بهترین مسیر برای یک مقصد خاص و … طراحی شده اند. در زیر بسته هایی که در پروتکل OSPF استفاده می شوند را مشاهده می کنید:

1. بسته Hello : بسته های Hello در طول دوره زمانی بر روی تمامیِ اینترفیس ها به منظور ایجاد و حفظ رابطه با روترهای همسایه ارسال می شود. از آدرس 224.0.0.5 برای ارسالِ multicast این بسته استفاده می شود.
2. بسته DataBase Descriptor) DBD): در پروتکل های مسیریابیِ link-state نیاز است که پایگاه داده ی همه ی روترها هماهنگ با یکدیگر باقی بمانند. به محض اینکه همسایگی شروع می شود این بسته ها برای هماهنگ سازی مبادله می شوند. به هنگامِ مبادله ی بسته های DBD ، یک رابطه ی master/slave میان روترهای همسایه ایجاد می شود. روتری که شماره ID بالاتری دارد به عنوان Master خواهد بود و شروع به مبادله ی بسته های DBD می کند.
3. بسته Link State Request: ممکن است روتر پس از مبادله ی بسته های DBD با روتر همسایه خود دریابد که بخش هایی از پایگاه داده اش منقضی شده است. بسته ی LSR را ارسال می کند تا به آن بخش هایی از پایگاه داده ی روتر همسایه که در وضعیت بروزتری از پایگاه داده خود قرار دارند، دست یابد. ممکن است نیاز به مبادله ی چندین بسته ی LSR شود.
4. بسته Link State Update: flood کردنِ LSA ها از طریق این بسته ها پیاده سازی می شود. هر LSA شامل اطلاعاتِ مسیریابی، معیارها و توپولوژی می شود تا بخشی از شبکه OSPF را توصیف نماید. هر روتر مجموعه ای از LSA ها را درونِ بسته ی LSU به روترهای همسایه خود اعلان می کند. علاوه بر این، روتر بسته ی LSU را در پاسخ به بسته ی LSR دریافت شده ارسال می کند.
5. بسته Link State Acknowledgment: پروتکل OSPF برای اطمینان حاصل نمودن از دریافتِ بسته های LSA ،نیاز به ارسال بسته های Acknowledgment از مقصد دارد. چندین بسته ی LSA می توانند از طریق تنها یک بسته ی LSAck اعلام وصول شوند.

Backbone و Area 0

هنگامی که چندین Area ایجاد شده باشد، پروتکل OSPF محدودیت های خاصی خواهد داشت. اگر بیش از یک Area کانفیگ شده باشد، یکی از آنها به عنوان Area 0 انتخاب می شود. Area 0 با نام backbone شناخته می شود.

ناحیه backbone باید در مرکز تمامیِ دیگر نواحی قرار گیرد. به طور مثال همه ی نواحی باید به صورت فیزیکی به ناحیه ی backbone متصل شده باشند. استدلال نهفته در پس آن این است که پروتکل OSPF از همه ی نواحی انتظار دارد که اطلاعات مسیریابی را به backbone وارد کنند و backbone به طور منظم آن اطلاعات را به دیگر نواحی منتشر کند. در تصویر زیر جریان اطلاعات در یک شبکه ی OSPF نشان داده شده است:

همانطور که در تصویر بالا می بینید، همه ی نواحی مستقیما به backbone متصل می شوند. در موقعیت هایی نادر که نا حیه ای جدید اضافه می شود که نمی تواند دسترسی فیزیکیِ مستقیم به backbone داشته باشد، باید یک لینک مجازی کانفیگ شود. در بخش بعدی به لینک های مجازی پرداخته می شود. با توجه به شکل انواع گوناگونِ اطلاعات مسیریابی را ملاحظه می کنید. مسیرهایی که درون یک ناحیه ایجاد می شوند (یعنی مقصد مسیر متعلق به همان ناحیه است)، مسیرهای intra-area نامیده می شوند. این مسیرها معمولا با حرف O در جدول IP routing نمایش داده می شوند. مسیرهایی که از یک ناحیه به ناحیه ای دیگر ایجاد می شوند، inter-area یا summary routes خوانده می شوند. علامت گذاری این مسیرها در جدولِ IP routing به صورت O IA است. مسیرهایی که میان نواحی ای با پروتکل های مسیریابی گوناگون (یا پروتکل OSPF گوناگون) ایجاد و به درون شبکه ی OSPF مشخصی وارد می شوند، external route نامیده می شوند. این مسیرها در جدول IP routing با استفاده از حروفِ O E1 یا O E2 نمایش داده می شوند. چندین مسیر به مقصدی یکسان به ترتیب زیر ترجیح داده می شوند:

Intra-area , Inter-area , external E1 , external E2

لینک مجازی

از لینک های مجازی به دو هدف استفاده می شود:

• پیوند دادنِ ناحیه ای که اتصال فیزیکی به backbone ندارد
• ترمیمِ backbone در موقعیت که عدم اتصال به area 0 رخ دهد

همانطور که گفته شد، از لینک مجازی زمانی استفاده می شود که اتصال فیزیکیِ یک ناحیه به Backbone وجود ندارد. لینک مجازی برای این ناحیه مسیری منطقی را به backbone فراهم می کند. لینک مجازی باید میان دو روتر ABR ایجاد شود که ناحیه مشترکی دارند و یکی از این روترها به ناحیه backbone متصل باشد. در شکل زیر این مسئله نمایش داده شده است:

در تصویر بالا، Area 1 اتصال فیزیکیِ مستقیمی به Area 0 ندارد. یک لینک مجازی بین روترهای R1 و R2 باید کانفیگ شود. Area 2 باید به عنوان یک ناحیه ی ترانزیت استفاده شود و روتر R2 نقطه ی ورود به Area 0 باشد. با این روش، روتر R1 و Area 1 اتصالی منطقی به backbone خواهند داشت. به منظور کانفیگ کردنِ یک لینک مجازی در روتر سیسکو، از فرمان <area <area-id> virtual-link <RID بر روی هر دو روتر R1 و R2 استفاده می شود، در اینجا area-id همان ناحیه ترانزیت است که در شکل بالا همان ناحیه ی 2 است. RID همان router-id است. Router-id در پروتکل OSPF معمولا بزرگترین مقدار آدرس IP بر روی اینترفیس فیزیکیِ روتر یا بزرگترین مقدار آدرس loopback بر روی آن است. Router-id تنها در زمان boot یا هر زمانی که پروتکل OSPF شروع به کار می کند، محاسبه می شود. برای یافتنِ router-id از فرمان show ip ospf interface استفاده کنید.

مسیرهای خارجی E1 در برابر E2

مسیرهای خارجی در دو دسته بندیِ E1 و E2 قرار می گیرند. تفاوت میان این دو نوع در روشی است که معیار cost مسیر محاسبه می شود. هزینه ی E2 همیشه هزینه ی خارجی است، یعنی از هزینه های داخل ناحیه برای رسیدن به آن مسیر صرف نظر می شود. هزینه ی E1 مجموعِ هزینه داخلی و خارجی برای رسیدن به یک مسیر به حساب می آید. برای دستیابی به مقصدی یکسان یک مسیر E1 همیشه بر مسیر E2 ترجیح داده می شود.

روترهای همسایه

روترهایی که در ناحیه ای یکسان با یکدیگر مشترک اند، روترهای همسایه یکدیگر در آن ناحیه به شمار می آیند. روترهای همسایه از طریق پروتکل Hello انتخاب می شوند. بسته های Hello به صورت دوره ای با استفاده از آدرس multicast از هر اینترفیس به بیرون فرستاده می شوند. روترها به محض اینکه خود را در لیستِ بسته ی Hello از همسایه خود مشاهده کنند، تبدیل به روترهای همسایه خواهند شد. به این ترتیب ارتباطی دو طرفه تضمین می شود. مذاکرات میان روترهای همسایه تنها بر روی primary address انجام می شود.

در صورتِ موافقت بر روی موارد زیر، دو روتر با یکدیگر همسایه خواهند شد:

• Area-id: دو روتر ناحیه ی مشترکی داشته باشند؛ یک اینترفیس از آنها در ناحیه ای یکسان قرار داشته باشد. البته اینترفیس ها باید متعلق به subnet یکسان باشند و آدرس mask مشابهی داشته باشند.
• Authentication: پروتکل OSPF اجازه خواهد داد که بر روی ناحیه ای مشخص تنظیمات رمز عبور اعمال شود. روترهایی که قصد دارند با یکدیگر همسایه شوند، باید رمز عبور یکسانی را برای ناحیه ای مشخص مبادله کنند.
• فاصله های زمانی بین Hello و Dead: پروتکل OSPF بسته های Hello را بر روی یک ناحیه رد و بدل می کند. این روشی است که برای زنده نگاه داشتن ارتباط میان روترها استفاده می شود تا از حضور همسایه خود در همان ناحیه آگاهی یابد و همچنین یک روتر برگزیده شده (DR) را انتخاب نماید. Hello interval فاصله ی زمانیِ (به ثانیه) میان بسته های hello را مشخص می کند که یک روتر بر روی اینترفیس OSPF خود می فرستد. Dead interval مدت زمانی سپری شده پیش از اعلام از دست دادن روتر موجود در OSPF است که در آن بسته های Hello توسط همسایه دیده نشده اند. در پروتکل OSPF ، این فواصل زمانی باید دقیقا میان دو همسایه یکسان تعریف شده باشد. اگر هر یک از این فاصله های زمانی متفاوت باشد، این روترها در ناحیه ای مشخص به عنوان روترهای همسایه به شمار نخواهند آمد. دستوراتی که برای تنظیم این تایمرها استفاده می شوند: ip ospf hello-interval seconds و ip ospf dead-interval seconds

• Stub area flag: روترها برای اینکه با یکدیگر همسایه باشند باید بر روی stub area flag درون بسته های Hello به توافق برسند. تعریف stub area بر فرآیند انتخاب همسایه تاثیر می گذارد (پروتکل OSPF اجازه خواهد داد که نواحی معینی به عنوان stub area تنظیم شوند. به شبکه های خارجی اجازه داده نخواهد شد که درون ناحیه stub بسته ها را Flood کنند. مسیریابی از این ناحیه به خارج از آن مبتنی بر یک مسیر پیش فرض است. تنظیم ناحیه Stub سایز پایگاه داده مرتبط با توپولوژیِ درون یک ناحیه را کاهش می دهد).

Adjacency

پس از فرآیند انتخاب همسایه، گام بعدی Adjacency است. روترهای adjacent روترهایی هستند که از مبادله ی ساده بسته hello فراتر می روند و به سمت فرآیند مبادله ی پایگاه داده پیش می روند. به منظور کاستن از حجم مبادله ی اطلاعات در ناحیه ای خاص، پروتکل OSPF یک روتر را به عنوان Designated Router) DR) و روتر دیگری را به عنوان Backup Designated Router) BDR) انتخاب می کند. روتر BDR به عنوان مکانیزم پشتیبان به هنگام از دست دادن روتر DR استفاده می شود. ایده نهفته در پس این روش این است که روترها یک نقطه ارتباط مرکزی برای تبادل اطلاعات داشته باشند. به جای اینکه هر روتر با هر روتر دیگر در آن ناحیه دو به دو بروزرسانی ها را مبادله کنند، هر روتر اطلاعات را تنها با روتر DR و BDR مبادله می کند. روترهای DR و BDR این اطلاعات را به دیگران منتقل می کنند. از لحاظ ریاضی این روش باعث خواهد شد که هزینه مبادله ی اطلاعات از (O(n*n به (O(n کاهش یابد، در اینجا n تعداد روترهایی است که در این ناحیه قرار دارند.

در تصویر بالا همه ی روترها در یک ناحیه مشترک قرار گرفته اند. به علت مبادله ی بسته های Hello ، یک روتر به عنوان روتر DR و روتری دیگر به عنوان BDR انتخاب شده است. هر روتر در این ناحیه (که پیش از این همسایه روتری دیگر شده است) تلاش می کند که با روتر DR و DBR یک adjacency ایجاد کند.

انتخاب DR

انتخاب DR و BDR از طریق پروتکل hello انجام می شود. بسته های Hello از طریق بسته های multicast در هر ناحیه مبادله می شوند. روتری که بیشترین OSPF priority را در یک ناحیه دارد به عنوان روتر DR در آن ناحیه انتخاب می شود. فرآیند مشابهی نیز برای انتخاب روتر BDR تکرار می شود. در صورت تساویِ اولویت ها در روترها، روتری که بیشترین RID را دارد، پیروز خواهد شد. اولویت OSPF برای اینترفیس به صورت پیش فرض برابر با 1 است.

مقدار priority برابر با 0 ، نشان دهنده ی آن است که آن اینترفیس به عنوان DR یا BDR انتخاب نشده است. در تصویر زیر فرآیند انتخاب DR را مشاهده می کنید:

در تصویر بالا روترهای R1 و R2 اولویت های یکسانی دارند، اما RID مربوط به روتر R2 بیشتر است. در نتیجه در آن ناحیه روتر R2 به عنوان DR انتخاب می شود. روتر R3 نسبت به روتر R2 از اولویت بالاتری برخوردار است، در نتیجه در آن ناحیه روتر R3 به عنوان DR انتخاب می شود.

ایجاد Adjacency

فرآیند ایجاد Adjacency پس از اتمام چندین مرحله انجام می گیرد. روترهایی که در مجاورت (adjacent) یکدیگر قرار می گیرند، پایگاه داده ی یکسانی دارند. وضعیت هایی که یک اینترفیس می پیماید تا در مجاورت روتر دیگری قرار بگیرد، به طور خلاصه در زیر آورده شده است:

• Down: هیچ اطلاعاتی از هیچ دستگاهی در آن ناحیه دریافت نمی شود.
• Attempt: این وضعیت بیان می کند که اخیرا هیچ اطلاعاتی از روتر همسایه دریافت نشده است. باید با ارسال بسته های Hello برای برقراری ارتباط با روتر همسایه تلاش نماید.
• Init: اینترفیس، یک بسته Hello ورودی از طرف همسایه را تشخیص داده است اما هنوز ارتباطی دو طرفه ایجاد نشده است.
• Two-way: ارتباط دو طرفه با روتر همسایه برقرار است. در این زمان، روتر خود را در بسته های Hello ورودی از طرف همسایه مشاهده کرده است. در پایان این مرحله، انتخاب DR و BDR انجام شده است. در پایان مرحله ی 2way ،روترها تصمیم خواهند گرفت که یک Adjacency را ایجاد نمایند یا خیر. این تصمیم بر این اساس استوار است که کدام یک از روترها DR یا BDR است یا اینکه لینک point-to-point است یا virtual.
• Exstart: روترها شماره هایی ترتیبی را برای بسته های مبادله اطلاعات ایجاد می کنند. این شماره های ترتیبی تضمین خواهد نمود که روترها همیشه بروزترین اطلاعات را در اختیار دارند. بک روتر به عنوان primary و روتر دیگر secondary خواهد شد. روتر primary از روتر secondary اطلاعات را جمع آوری می کند.
• Exchange: روترها تمامیِ LSDB خود را از طریق ارسال بسته های DBD ترسیم می کنند. در این وضعیت بسته ها می توانند به اینترفیس های دیگر بر روی روتر flood شوند.
• Loading: در این وضعیت، روترها در حال به پایان رساندن تبادل اطلاعات هستند. روترها یک درخواست link-state و یک لیست ارسال مجدد link-state را ایجاد می کنند. هر اطلاعاتی که ناقص یا منقضی به نظر برسد در لیست درخواست قرار می گیرد. هر بروزرسانی ای که ارسال شود تا زمانی که Ack مرتبط با آن دریافت شود، در لیست ارسال مجدد قرار می گیرد.
• Full: در این وضعیت، Adjacency کامل شده است. روترهای همسایه با یکدیگر به طور کامل adjacent شده اند. روترهای Adjacent پایگاه داده link-state مشابهی خواهند داشت.

نکاتی برای طراحیِ پروتکل OSPF

در اسنادِ رسمی مرتبط با پروتکل OSPF خط مشی ای برای تعداد روترها در یک ناحیه یا تعداد همسایه ها در هر بخش داده نمی شود و یا گفته نمی شود که بهترین روش یرای طراحی معماری این شبکه چیست. افراد گوناگون رویکردهای متفاوتی به طراحی شبکه با پروتکل OSPF دارند. مهمترین چیزی که باید به خاطر سپرد این است که هر پروتکلی می تواند تحت فشارها به شکست بیانجامد. در ادامه لیستی از مسائلی که باید به آنها توجه نمود، آورده شده است.

تعداد روترها در هر ناحیه

حداکثر تعداد روترها در هر ناحیه به چندین فاکتور وابسته است، که شامل موارد زیر می شود:

• چه نوعی از Area را در اختیار دارید؟
• چه نوعی از توان CPU را در آن ناحیه در اختیار دارید؟
• چه نوعی از مدیا استفاده می شود؟
• آیا پروتکل OSPF در مود NBMA (در این مود بسته های Hello به روترهای همسایه broadcast نمی شوند، بلکه روتر این بسته ها را تنها به همسایه هایی که خواهان دریافت آن هستند، ارسال می کند) اجرا می شود؟
• آیا شبکه NBMA شما مش بندی شده است؟
• آیا تعداد LSA های خارجی زیادی در شبکه دارید؟
• آیا مسیریابی میان نواحی به خوبی انجام می شود؟

تعداد همسایه ها

همچنین تعداد روترهایی که به شبکه ی lan یکسانی متصلند، از اهمیت بالایی برخوردار است. هر شبکه lan یک روترِ DR و BDR دارد که همسایگی را برای تمامی روترهای دیگر ایجاد می کنند. هر چه تعداد همسایگان کمتری بر روی LAN وجود داشته باشد، تعداد همسایگی های کمتری توسط رورترهای DR یا DBR باید ایجاد شود. این مسئله وابسته است به قدرتی که روتر شما دارد. شما همیشه تواناییِ تغییر OSPF priority را دارید تا به واسطه آن روتر DR را انتخاب نمایید. همچنین از داشتن بیش از یک روتر DR در یک ناحیه پرهیز کنید. اگر انتخاب روتر DR بر مبنای بیشترین مقدار RID باشد، درنتیجه به صورت تصادفی یک روتر باید به عنوان DR در سراسر نواحی ای که به آن متصل است، انتخاب شود. این روتر باید نسبت به دیگر روترهای بیکار، کار مضاعفی را انجام دهد.

تعداد نواحی به ازای هر روتر ABR

روتر ABR نسخه ای از پایگاه داده ی مربوط به تمامی نواحی که به آنها خدمات می دهد را ذخیره می کند. به طور مثال، اگر روتری به 5 ناحیه متصل باشد، باید لیستی از 5 پایگاه داده ی مختلف را در خود نگهداری نماید. تعداد ناحیه ها به ازای هر روتر ABR ، مقداری است که به فاکتورهای بسیاری وابستگی دارد که شامل نوع ناحیه (normal ، stub ،  NSSA) ، قدرت CPU روتر ABR ،تعداد مسیرها به ازای هر ناحیه و تعداد مسیرهای خارجی به ازای هر ناحیه می شود. به همین علت تعداد نواحی دقیقی به ازای هر روتر ABR توصیه نمی شود.

جمع بندی

پروتکل OSPF ، پروتکلی متن باز با عملکرد بالا را در اختیار شما می گذارد که به چندین با vendor های گوناگون اجازه برقراری ارتباط از طریق پروتکل TCP/IP را می دهد. پروتکل OSPF پروتکل مسیریابیِ قوی و سریعی است که در صورتی که به درستی کانفیگ شود، با قدرت در شبکه های بزرگ عمل می نماید.

برخی از ویژگی های OSPF عبارتند از : سرعت، convergence، VLSM ، احراز هویت، بخش بخش سازی سلسله مراتبی و … که برای مدیریت شبکه های پیچیده و بزرگ به کار برده می شوند.

شرکت SimpliVity از جمله شرکت های متمرکز بر روی مبحث “hyperconverged infrastructure” بود که شرکت HPE در حدود دو سال پیش به خریداریِ آن اقدام نمود. سیستم های hyperconverged ، پردازش، ذخیره سازی و شبکه را در یک سیستم واحد ترکیب می کنند.

شرکت HPE نرم افزار و سخت افزارِ SimpliVity را با سرورهای پیشرو در صنعت یکپارچه کرده است تا سهمی از بازار زیرساخت های در حال رشدِ Hyper-converged را به چنگ آورد. راهکارهای زیرساخت hyper-converged  موجود از شرکت HPE می توانند از افزودنِ تکنولوژی SimpliVity به خود بهره مند گردند که انعطاف پذیری بسیار، data protection ، compression ،  deduplication و بهینه سازی VM را با خود به همراه دارد.

شرکت HPE معماریِ پلتفرم SimpliVity Data Virtualization را به عنوان “یک فایل سیستم آگاه و ذخیره سازِ مبتنی بر object به همراه تکنیک های data optimization و data service” توصیف می کند. وجودِ data deduplication و data compression در طراحیِ HPE SimpliVity 380 کارایی مدوامی را در سراسرِ دستگاه فعال می سازد. HPE پلتفرم های سرور پیشرویی را در اختیار دارد که به عنوان پایه ای برای موفقیت HPE SimpliVity به شمار می آیند.

از جنبه سخت افزاری، HPE SimpliVity بر بسترِ مدل های جدید از سرورهای HPE قرار می گیرد. با آنکه هنوز از سرورهای پیشین پشتیبانی می شود، هدف آنها تجمیع بیشتر آن با خطوط محصولاتِ ProLiant و Apollo است تا فرآیندهای پشتیبانی و اعتبارسنجی را ساده سازد. هرچند اساسا هنوز از جنبه سخت افزاری تغییر زیادی رخ نداده است. HPE simplivity 380 یک سیستم با 2U فضا و مبتنی بر سرور DL380 G10 است. این سیستم از OmniStack accelerator card برای انتقال فرآیندهای data reduction (فرآیند کاهش مقدار فضای لازم برای ذخیره سازی داده) از CPU به تراشه ASIC بهره می برد. تمهیدِ OmniStack که مبتنی بر PCIe است قابلیت هایی نظیر caching ، dedupe و compression را فعال می سازد و بخش مهمی از راهکار SimpliVity را تشکیل می دهد. از جمله ویژگی های OmniStack :

• هر نود SimpliVity شامل یک OmniStack accelerator card می شود. همه داده ها بر روی DRAM موجود بر روی آن نوشته می شوند جایی که در آن write تایید شده است، این مشابه با فرآیند caching بر روی SAN است.
• فرآیند compression و deduplication بر روی داده از طریق OmniStack انجام می شود. این مشابه با ایده ی استفاده از ASIC در 3PAR است، با به کار بردن یک قطعه سخت افزاری اضافی، انتقال فرآیندهای مرتبط با این کار به CPU ممکن می شود.

شرکت HPE علاوه بر HPE SimpliVity 380 ، سیستم HPE SimpliVity دیگری مبتنی بر سرورهای Apollo را نیز ارائه نموده است. HPE SimpliVity 2600 حداکثر 4 عدد نود سرور مجزا را درون یک شاسی 2U واحد عرضه می کند. این راهکار بیشتر به منظور استفاده در مواردی همچون دفاتر شعبات سازمان ها (ROBO) ، دفاتر کوچک و VDI طراحی شده است جایی که اپلیکیشن های “حساس به تاخیر” کمتری وجود دارد و زیرساخت می تواند از این شاسی های کوچکتر و اشغال کمترِ فضا بهره مند شود. این راهکارها قابلیت های بکاپ و disaster recovery تعبیه شده ای را در خود همچون بارهای کاری مدیریتی فراهم می کنند.

برجسته ترین ارزشی که در جدول مشخصاتِ 2600 آمده است پیرامون انعطاف پذیری، سهولت در عملیات و ویژگی های availability است. قابلیت انعطاف پذیریِ آن به منظور پشتیبانی از هر دو هایپروایزرِ Hyper-V و VMware به همراه فضای cloud مخصوص به آنها است. هر چند که امروزه اکثر بیزینس ها بر پایه VMware است، Hyper-V نیز در بخش های خاصی همچون education محبوبیت دارد. در هر دو صورت، استقرار و مدیریت VM ها ساده است و عمدتا درون خود هایپروایزر انجام می شود که بدین معناست که HPE SimpliVity شامل بسیاری از فرآیندها و مدیریت اختصاصی نمی شود که با عملکردهای کاربر در تداخل است. HPE SimpliVity همچنین از بسیاری شرکت های شخص ثالث همچون Veeam پشتیبانی می کند.

محیط های دمو متنوعی برای کار با HPE SimpliVity وجود دارد و در نتیجه استفاده از آن را ساده می سازد. HPE SimpliVity یکپارچگی جامعی را با VMware ارائه کرده است که به کاربران اجازه می دهد تا ذخیره ساز و قابلیت ها را از طریق یک vSphere Web Client مدیریت کنند. این امر شامل عملیات کاملی از VM از جمله بازیابی یک VM ،بازیابی فایل های خاص یا تقسیم نمودن نواحی بکاپ به ازای هر VM می شود.

همچنین عملکردهای اصلی HPE SimpliVity درون کلاسترِ vSphere نهفته است که به کاربران اجازه ی مدیریت مواردی همچون ایجاد datastore جدید از ذخیره ساز موجود، مشاهده ظرفیت array ، مشاهده کارایی یا جستجو در سراسر بکاپ ها را می دهد.

HPE SimpliVity HyperGuarantee مجموعه ای از ویژگی هایی است که data efficiency وprotection policy را در سراسر کلاستر تضمین می کند. همچنین تضمین کننده ی کانفیگ های ساده و fast recovery است. HPE SimpliVity علاوه بر این که یک سیستم HyperConverged Infrastructure است، همچنین برای data availability استفاده می شود. جهت فهم فوایدِ HPE SimpliVity در چگونگی برقراریِ availability ، باید چگونگیِ عملکرد نرم افزار آن را دریافت.

وجود Dedup pool های سراسری چیزی است که به پلتفرم اجازه خواهد داد که data efficient باشد. تنها بلوک های داده ی جدید به کلاسترهای دیگر برای replication فرستاده می شوند تا حجم فضای اشغال شده از ذخیره ساز را به حداقل برساند. این مسئله همچنین باعث خواهد شد که replication سریعتری برای داده های بکاپِ خود داشته باشد. این داده های کمتر، با سرعت بیشتری در فرآیند بکاپ منتقل می شوند، همچنین قادر خواهد بود که replicate داده را در سراسر لینک های شبکه ای که سرعت پایین تری دارند، انجام دهد. برخی ممکن است داده ها را بر روی لینک های ماهواره ای ارسال نمایند که عموما سرعتی پایین یا تاخیری بسیار زیاد برای مدیریت کردن دارند. برای افزایش سرعت انتقال داده تحت WAN ، سیستم HPE SimpliVity ردیابیِ بلوک های تغییر یافته یا replicate شده را کنار می گذارد. به جای آن یک الگوریتم و metadata را به کار می بندد تا تنها داده های منحصر به فردی را ارسال نماید که دریافت کننده پیش از این مشاهده نکرده است.

مدیریتِ سیاست های بکاپ از طریق vSphere به سادگی انجام می پذیرد.

RapidDR راهکاری است که برای مرتفع نمودنِ مسئله ی اصلی در هر سازمان، یعنی کاهش زمانِ downtime طراحی شده است. راهکار RapidDR از طریق خودکارسازی، روندِ off-site Data Recovery را تسهیل می کند و به آن سرعت می بخشد. این راهکار RPO (حداکثر مقدار مجاز برای data loss که سازمان می تواند بپذیرد) و RTO (حداکثر مدت زمانی که یک سازمان در اثر یک رویداد می تواند downtime را تحمل نماید) را از چندین روز یا چندین ساعت به چند دقیقه می کاهد. اولین گامی که HPE SimpliVity در این راستا بر می دارد، خودکارسازی فرآیندهای بازیابی است که شامل این خواهد شد که کدام VM ها روشن شده اند، تنظیمات آدرس IP و دیگر تنظیمات شبکه، مراکز منبع و اسکریپت های post-recovery . راه اندازیِ DR و اجرای آن به منظور صرفه جویی در زمان و هزینه انجام می گیرد. خودکارسازی منجر به بهبود سازگاری و کاهش خطرات می شود. کاربران می توانند طرح هایی برای DR ترسیم نمایند که آنها را در بهترین وضعیت ممکنی قرار دهد که در آن با مشکلات حقوقی و مالی مواجه نشوند.

نتیجه گیری:

یکی از ویژگی های اولیه این دستگاه، سهولت استفاده از آن و ادغامِ آن با محیط های VMware است. همچنین مجموعه ی کاملی از ویژگی های data availability و disaster recovery را پشتیبانی می کند. بیشتر دستگاه های HCI این نوع کارها را به برنامه های third party واگذار می کنند در حالی که HPE SimpliVity به خوبی آنها را ارائه می دهد.

HPE SimpliVity منحصرا بر روی سخت افزار HPE Proliant قرار دارد. در اجرای عملیات های سنگین ممکن است یک سرور نسبت به سروری دیگر از لحاظ مدیریتی یا دلایلی دیگر ترجیح داده شود، احتمال آن وجود دارد که HPE SimpliVity از این موقعیت ها بازنده بیرون بیاید. همچنین HPE SimpliVity هنوز تکنولوژی های ذخیره سازی نوظهور را پوشش نمی دهد. از همان آغاز تیم HPE SimpliVity به دنبال تسهیلِ عملیات مرتبط با IT بوده است و از این جنبه محصول موفق بوده است.

سازمان ها همواره تحت حملات مختلف قرار دارند و نفوذهای امنیتی دائما مشکلاتی را برای آنها به وجود می آورند. امروزه جامعه هکرها بدافزارهای پیشرفته ای را ایجاد می کنند و آنها را از طریق گستره ای از حملات به درون سازمان ها وارد می کنند. این حملات هدفمند و چندگانه حتی بهترین ابزارهای پیشگیری را هم می توانند دور بزنند. این ابزارها ترافیک و فایل ها را در لحظه ورود به شبکه بررسی می کنند، تهدیدهای شناخته شده را مسدود می کنند و به فایل هایی که در وضعیت “good” یا “unknown” قرار می گیرند اجازه ورود به شبکه خواهند داد. شوربختانه در همین نقطه آنالیزها به پایان می رسند. در صورتی که فایل مخرب مخفیانه اداره شود تا سیستم های دفاعی را دور بزند (به طور مثال با استفاده از تکنیک هایی همچون sleep ، polymorphism و … )، این سیستم ها برای اقداماتی که تهدیدها بر روی سیستم شما انجام می دهند، visibility اندکی را فراهم می کنند. این مسائل باعث خواهد شد که محدوده ای از خطرات بالقوه از دید متخصصان امنیت دور بماند و نتوانند رفتار بدافزارها را به سرعت تشخیص و در قبال آنها واکنش نشان دهند و فایل های مخرب را محدود و حذف کنند، پیش از آنکه منجر به آسیب جدی شوند.

AMP راهکاری امنیتی است که مسائل مرتبط با بدافزارهای پیشرفته را به طور کامل کنترل می کند. نه تنها از نفوذها پیشگیری می کند علاوه بر آن قابلیت visibility برای مشاهده فعالیت و رفتار فایل های درون شبکه و کنترل آنها را به شما می دهد تا درصورتی که تهدیدها سیستم های دفاعی اولیه را دور زدند، بدون تاثیر بر روی کارایی عملیاتی به سرعت آنها را تشخیص دهید، محدود و اصلاح نمایید.

بررسی راهکار Cisco AMP

راهکار Cisco AMP چگونه عمل می کند؟ از طریق سه مرحله اصلی به حفاظتی همه جانبه از سازمان شما دربرابر زنجیره حملات می پردازد. این سه مرحله شاملِ پیش از حمله، در زمان حمله و پس از حمله می شوند.

• پیش از حمله، AMP با استفاده از اطلاعاتِ threat intelligence که توسط گروه تحقیقاتی Talos از سیسکو و AMP Threat Grid ارائه می شود، می تواند دیواره دفاعی را تقویت کند و از شبکه در برابر تهدیدهای شناخته شده و نوظهور حفاظت نماید.
• در زمان حمله، AMP از اطلاعاتِ threat intelligence همراه با signature شناخته شده ی فایل و تکنولوژی تحلیلِ دینامیک بدافزار توسط Cisco Threat Grid استفاده می کند تا انواع فایل های مخرب را شناسایی و مسدود نماید، فایل هایی که سیاست های امنیتی را نقض کرده اند و تلاش می کنند که به شبکه نفوذ کنند.
• پس از حمله، پس از اینکه برای اولین بار یک فایل بررسی می شود، این راهکار فراتر از قابیلت تشخیصِ فایل مخرب در “زمان حمله” عمل می کند و صرف نظر از وضعیت تشخیص داده شده برای فایل در لحظه ی ورود، به طور مداوم تمامیِ اقداماتِ فایل و ترافیک را مانیتور و آنالیز می کند و به جستجوی نشانه هایی از رفتار مخرب در شبکه می پردازد. اگر فایلی که در وضعیتِ unknown قرار دارد یا وضعیتی که پیش از این good فرض شده بود، رفتارهایی مخرب از خود نشان دهد، AMP آن را تشخیص داده و بی درنگ به واسطه ی یکی از نشانه های خطر (indication of compromise) به تیم امنیتی هشدار می دهد. سپس قابلیت رویت (visibility) را فراهم می کند برای بررسیِ هر مکانی که بدافزار از آن سرچشمه گرفته، هر سیستمی که از آن تاثیر پذیرفته و هر آنچه که تاکنون انجام داده است. همچنین فرمان هایی را برای واکنش سریع به نفوذ و اصلاح آن تنها با چند کلیک در اختیار می گذارد. این راهکار سطح بالایی از کنترل و visibility را برای تیم امنیت به ارمغان می آورد، چرا که آنها به تشخیص حملات، شناسایی وسعت خطرات و محدود نمودن بدافزار پیش از اینکه آسیبی را به شبکه وارد سازد، نیاز خواهند داشت.

تحلیل پویای بدافزار و بهره مندی از Threat intelligence

راهکار Cisco AMP بر اساس یک هوشمندی استثنایی در امنیت و تحلیل های پویای بدافزار بنا شده است. گروه تحقیقاتی Talos و Threat Grid از سیسکو از طریق هوشمندی در امنیت، مجموعه ای real-time از اطلاعات و تحلیل های big data در رابطه با تهدیدها را تامین می کنند و نمایش می دهند. این داده ها از محیط cloud به کلاینتِ AMP وارد می شوند به طوری که شما آخرین اطلاعات و تحلیل ها در رابطه با تهدیدها را برای محافظتِ مستمر در برابر آنها در اختیار خواهید داشت. شما از موارد زیر بهره مند می شوید:

• 5 میلیون نمونه بدافزار وارد شده در هر روز
• 6 میلیون سنسور سراسری
• 100 ترابایت داده در هر روز
• 13 میلیارد از درخواست های وب
• تیمی جهانی از مهندسان، تکنسیسن ها و محققین
• مرکز عملیاتِ 24 ساعته

راهکار Cisco AMP فایل ها، رفتار، داده های جمع آوری شده و پایگاه داده ای غنی را برای تشخیص سریع بدافزار با یکدیگر هماهنگ می سازد. از آنجایی که تحلیل های خودکارِ AMP منجر به صرفه جویی در زمانِ جستجو برای اقداماتِ نفوذ در شبکه می شود و آخرین اطلاعات به روز در رابطه با تهدیدها را فراهم می سازد، تیم امنیت قادر خواهد بود به سرعت حملاتِ پیچیده را شناسایی، اولویت بندی و مسدود نماید.

الحاق تکنولوژیِ Threat Grid به AMP موارد زیر را فراهم می سازد:

• ارائه هوشمندی غنی و دقت بالا در فرمت های استاندارد برای سادگی در الحاق آن با تکنولوژی های امنیتی موجود
• تحلیلِ میلیون ها نمونه در هر ماه، در برابرِ بیش از 700 شاخص رفتاری، که نتیجه آن میلیاردها یافته است
• سهولت در فهم وسعت تهدید برای کمک به تیم امنیت در اولویت بندیِ تهدیدها

راهکار Cisco AMP از تمامیِ این اطلاعات و تحلیل ها استفاده می کند تا تیم امنیت شما بر این اساس تصمیم گیری نماید و یا اینکه خودِ AMP به صورت خودکار از طرف شما واکنش نشان دهد. به طور نمونه از طریق اطلاعاتی که پیوسته در حال بروزرسانی هستند، سیستم می تواند بدافزارهای شناخته شده و انواعِ فایل هایِ ناقضِ سیاست ها را مسدود نماید، اتصالاتی که مخرب دانسته شده اند را در لیست سیاه قرار دهد و از دانلود فایل ها از وبسایت ها و دامنه های مخرب جلوگیری نماید.

تحلیل مستمر و برقراری امنیت با نگاه به سوابق

اکثر سیستم های Antimalware که بر پایه ی endpoint و شبکه عمل می کنند، فایل ها را تنها در لحظه ورود (هنگامی که از محل کنترل عبور می کنند تا وارد شبکه شوند) بازرسی می نمایند. اینجاست که دیگر تحلیل ها متوقف می شوند. اما بدافزارها پیچیده هستند و در دور زدنِ اقدامات اولیه برای شناسایی مهارت دارند. تکنیک های sleep ، پلی مورفیسم، رمزنگاری و استفاده از پروتکل های ناشناخته تنها بخشی از روش هایی هستند که می تواننند بدافزارها را از نظرها پنهان نمایند. در برابرِ چیزی که قابل رویت نیست، نمی توانید به دفاع بپردازید و این دلیل رخدادِ بسیاری از نفوذهای امنیتی است. تیم امنیت تهدید را در لحظه ورود نمی بیند و در نتیجه از حضور آن بی خبر است. بنابراین امکانِ visibility برای تشخیص سریع یا بازدارندگی آن برای شما وجود ندارد، زیاد طول نخواهد کشید که بدافزار به اهداف خود دست یابد و آسیب ها به سیستم شما وارد شوند.

راهکارِ Cisco AMP متفاوت است. روش های کنترلِ point in time ، شناسایی بازدارنده و مسدودسازی به طور صد درصدی موثر نخواهند بود، سیستم AMP فایل ها و ترافیک را حتی پس از بررسی اولیه به صورت پیوسته آنالیز می کند. راهکار Cisco AMP تمامی فعالیت های فایل و ارتباطاتش بر روی endpoint ها، دستگاه های موبایل و درون شبکه را مانیتور، آنالیز و ثبت می کند تا تهدید های مخفیانه ای را که رفتارهای مخرب و مشکوک از خود نشان می دهند، سریعا افشا نماید. با رویتِ مشکل، AMP به تیم امنیت هشدار خواهد داد و اطلاعات دقیقی از رفتارِ تهدید را فراهم می کند. بنابراین پاسخگویی به پرسش های امنیتیِ پراهمیت برای شما امکان پذیر خواهد بود:

• بدافزارها از کجا سرچشمه می گیرند؟
• به چه روشی و از چه نقطه ای ورود به شبکه انجام شده است؟
• بر چه سیستم هایی اثر گذاشته است؟
• این تهدید تا پیش از این چه اقداماتی انجام داده است و اکنون در چه وضعیتی است؟
• چگونه می توانیم تهدید را متوقف سازیم و ریشه های آن را حذف نماییم؟

تیم امنیت با بهره مندی از این اطلاعات می تواند سریعا دریابد که تاکنون چه اقداماتی رخ داده است و از سیاست های بازدارندگی و اقداماتِ اصلاحیِ راهکار Cisco AMP استفاده نماید تا عمل مناسب را انجام دهد. با بهره گیری از کنسولِ مدیریتِ ساده و تحت وبی که توسط راهکار Cisco AMP ارائه شده است، ادمین ها می توانند با چند کلیک، بدافزار را محدود نمایند (اجرای فایل را بر روی هر endpoint دیگری متوقف نمایند). از آنجایی که AMP آگاه به هر مکانی است که فایل در آن حضور دارد، می تواند فایل را از حافظه بیرون بریزد و آن را برای تمامی کاربران دیگر قرنطینه نماید. تیم امنیت به هنگامِ وقوع نفوذِ بدافزار دیگر نیازی به reimage کردن کاملِ سیستم ها برای حذفِ بدافزار ندارد. چرا که این کار زمان می برد، هزینه های مالی و منابع را خرج می کند و فعالیت های حیاتیِ کسب و کار را مختل می نماید. اصلاحِ تهدیدها از طریق راهکار AMP بسیار دقیق است، به طوری که هیچ آسیب جانبی برای سیستم های شبکه و کسب و کار به همراه نخواهد داشت.

توانِ تحلیل پیوسته، شناسایی مستمر و برقراری امنیت با نگاه به سوابق: قادر است فعالیت هر فایل را در سیستم ثبت نماید. اگر یک فایل که پیش از این در وضعیتِ good قرار داشت، ناگهان به وضعیت bad برود، آن را شناسایی و تاریخچه ثبت شده را بازیابی می کند تا ریشه ی تهدید و رفتارِ آن را مشاهده نماید. راهکار Cisco AMP از طریق امکانِ پاسخگویی و اصلاح موجود در خود، قابلیتِ حذف تهدید را برای شما فراهم می کند. AMP هرآنچه را که از signature تهدید تا رفتار فایل می بیند، مرور می کند و داده ها را در پایگاه داده ی threat intelligence از AMP ثبت می کند تا سیستم های دفاعی اولیه را تقویت نماید. در نتیجه این فایل و فایل های مشابه آن قادر به دور زدنِ دوباره ی سیستمِ شناساییِ اولیه نخواهند بود.

تیم امنیت با بهره مندی از راهکار Cisco AMP سطح بسیار بالایی از visibility و کنترل را در اختیار دارد که برای شناسایی سریع و موثرِ حملات و بدافزارهای مخفی مورد نیاز است، همچنین امکانِ درک خطرات و وسعت آنها، بازدارندگی سریع و اصلاحِ بدافزارها پیش از آسیب رسانی و پیشگیری از وقوعِ حملاتی مشابه را دارد.

ویژگی های اصلی

آنالیزِ مستمر در راهکار Cisco AMP و قابلیت های برقراری امنیت با نگاه به سوابق، به دلیل وجود ویژگی های مهم زیر امکان پذیر می شود:

• وجود Threat intelligence سراسری و جامع: گروه Talos و همچنین راهکارِ Threat Grid ،مجموعه بزرگی از اطلاعات بروزِ مرتبط با تهدیدها را نشان می دهند و قادرند که این اطلاعات را برای انجامِ اقدامی در میانِ چندین پلتفرم امنیتی قرار دهند.
• موارد تشخیصِ سوظن ها Indications of compromise ) IoCs): فایل و داده های جمع آوری شده را به عنوان نفوذهای بالقوه به یکدیگر مرتبط ساخته و اولویت بندی می کند. اطلاعات مرتبط با رویدادهای امنیتی چند منبعی (همچون رویدادهای نفوذ و بدافزار) را به یکدیگر همبسته می سازد تا به تیم امنیت در مرتبط ساختنِ این رویدادها به حملاتِ بزرگتر و سازمان دهی شده و همچنین اولویت بندیِ رویدادهای با ریسک بالا یاری رساند.
• سابقه ی فایل: تحلیل های پیشرفته و هوش جمعی گردآوری می شود تا تعیین نماید که چه فایلی پاک یا مخرب است. در نتیجه امکان تشخیص دقیق تر را برای تیم امنیت فراهم می کند.
• ابزار آنتی ویروس: تشخیصِ آفلاین و مبتنی بر سیستم همچون نظارت بر وجود rootkit را انجام می دهد تا ارائه قابلیت های محافظت پیشرفته برای endpoint ،همچون بررسیِ IoC محلی و مانیتورینگ جریان شبکه و دستگاه ها، را تکمیل نماید. این قابلیت توسط کاربرانی، فعال و استفاده می شود که قصد دارند آنتی ویروس خود و محافظت پیشرفته از endpoint را در یک agent ادغام نمایند.
• تحلیل پویا و ایستای بدافزار: ارائه یک محیطِ sandboxing با ایمنی بالا که به شما در اجرا، تحلیل و آزمایشِ بدافزارها یاری می رساند تا تهدیدهای ناشناخته zero-day (یک حمله یا تهدید رایانه ای است که از یک آسیب پذیری در یک نرم افزار کاربردی که تا پیش از آن ناشناخته بوده‌است، بهره‌جویی می‌کند) را بیابد. ادغام ویژگیِ sandboxing ارائه شده توسط Threat Grid و تکنولوژی تحلیل پویا و ایستای بدافزار، درون راهکار AMP منجر به تحلیل های جامعتری خواهد شد که از مقایسه با مجموعه بزرگتری از شاخص های رفتاری به دست می آیند.
• تشخیص با نگاه به سوابق پیشین: پس از تحلیل های مستمر هنگامی که وضعیت یک فایل تغییر می کند، هشدارها فرستاده می شوند. این هشدارها برای شما آگاهی و visibility مناسبی را از وضعیت بدافزارهایی فراهم می کنند که سیستم های دفاعی اولیه را دور زده اند.
• مسیر حرکت فایل: پیوسته در طول زمان، انتشارِ فایل در محیط شما را به منظور دستیابی به visibility و کاهشِ زمانِ لازم برای گسترش نفوذ یک بدافزار پیگیری می کند.
• مسیر حرکت دستگاه ها: تعقیبِ پیوسته ی فعالیت ها و ارتباطات در دستگاه ها و در سطح سیستم، به منظور فهم سریعترِ دلایل اصلی و تاریخچه رویدادهایی که منجر به ظهور یک خطر می شوند.
• جستجوی elastic: جستجوی ساده و نامحدود در میان فایل ها و اطلاعات امنیتی گردآوری شده مرتبط با آنها به شما کمک می کنند تا به سرعت زمینه و محدوده قرارگیری در معرض اپلیکیشن های مخرب یا شاخص های رفتاری مشکوک را درک کنید.
• میزان شیوع: همه فایل های اجرایی در سازمان شما را نمایش می دهد تا به شما در آشکارسازی تهدیدهای ناشناخته ای کمک کند که توسط بخشی از کاربران مشاهده شده اند.
• نقاط آسیب پذیر: لیستی از نرم افزارهای آسیب پذیر موجود در سیستم شما را نشان می دهد، همچنین هاست هایی که شامل آن نرم فزار می شوند و بیشتر در معرض خطر قرار دارند. راهکار Cisco AMP با اتکا بر تحلیل ها و اطلاعات امنیتی، نرم افزارهای آسیب پذیر را تعیین می کند، نرم افزارهایی که هدف حملاتِ بدافزارها هستند.
• کنترل بر شیوع تهدیدات: کنترل بر فایل های مشکوک و یا شیوع آنها و همچنین اصلاح آلودگی در سیستم. ویژگیِ کنترل بر شیوع تهدیدات شامل:

— تشخیص ساده که به سرعت فایل ویژه ای را در سراسر سیستم ها یا سیستم هایی گزینش شده مسدود می سازد

— Signature پیشرفته که خانواده ای از بدافزارهای پلی مورفیسم را مسدود می نماید

— لیستِ اپلیکیشن های مسدود می تواند منجر به اعمالِ سیاست ها بر روی اپلیکیشن ها شود یا اپلیکیشن های در معرض خطر که به عنوان راه ورود بدافزارها استفاده می شوند را محدود سازد و سیکل نفوذ مجدد در آنها را متوقف سازد.

گزینه های گوناگون برای استقرار راهکار Cisco AMP

مجرمان در فضای سایبری حملات خود را از نقاط ورود گوناگون به درون سازمان ها آغاز می کنند. سازمان ها برای دستیابی به عملکرد موثر در برابر هجوم های مخفیانه، تا حد امکان به قابلیت رویت بر تعداد بسیاری از بردارهای هجوم نیازمندند. بنابراین راهکار Cisco AMP در نقاطِ کنترل مختلفی در سراسر شبکه قابل استقرار است. سازمان ها می توانند چگونگی و مکان استقرار این راهکار را بر حسب نیازهای امنیتی ویژه خود به اجرا درآورند. گزینه های استقرار راهکار AMP در لیست زیر دیده می شود:

نام محصول	جزییات
Cisco AMP for Endpoint	پشتیبانی از کامپیوترهای شخصی که سیستم عامل های ویندوز، لینوکس و مک بر روی آنها اجرا می شود و همچنین دستگاه های موبایل اندروید از طریق کانکتورِ کم حجمِ AMP
Cisco AMP for Networks	استقرار AMP به عنوان راهکاری مستقر بر شبکه که با دستگاه های امنیتیِ Cisco Firepower NGIPS یکپارچه شده اند
Cisco AMP on Firewalls and ASA with FirePOWER Services	استقرار قابلیت های AMP درون Cisco NGFW یا ASA
Cisco AMP Private Cloud Virtual Appliance	استقرار به عنوان یک راهکارِ air-gapped برای سازمان های با محرمانگی بالا که به دلیل مسائل امنیتی نباید به یک محیط cloud عمومی متصل شوند
Cisco AMP on ESA, or WSA	قابلیت های AMP بر روی (Cisco Email Security Appliance (ESA یا (Web Security Appliance (WSA قابل اعمال هستند
Cisco AMP for Meraki MX	استقرار AMP به عنوان بخشی از دستگاه Meraki MX به منظور مدیریت امنیت بر اساس cloud

راهکار Cisco AMP در حال حاضر در همه مکان ها حضور دارد. این قابلیت رویت (visibility) و کنترل به مسیرهای متعدد حملات، از لبه شبکه تا endpoint ها، دقیقا همان چیزی است که به آن نیاز خواهید داشت تا به سرعت بدافزارهای مخفی را آشکار و حذف نمایید. همچنین شما به قابلیتِ به اشتراک گذاری این اطلاعات در میان زیرساخت های امنیت خود نیاز دارید تا به حملات واکنش سریع نشان دهید. توجه به اتصال، ارتباط و یکپارچگی میانِ تمامیِ این راهکارها مهم است. این محصولات نباید به صورت مجزا در نظر گرفته شوند. هنگامی که آنها را با یکدیگر در شبکه مستقر می کنید، در کنارهم برای فراهم سازیِ سیستم دفاعی یکپارچه ای عمل می کنند که به طور سیستماتیک و سریع به تهدیدات واکنش نشان می دهد.

خلاصه

هرچه راهکار Cisco AMP در نقاط بیشتری از شبکه مستقر شود، قابلیت رویتِ (visibility) فعالیت های مخرب و همچنین نقاط متعددی که این فعالیت ها را کنترل می کنند، افزایش می یابد.

گزینه های استقرار مختلف که در بالا به آنها اشاره شد، نمایانگر رویکرد همه جانبه سیسکو در رابطه با راهکار AMP است. به کارگیری راهکار AMP نتایج زیر را برایتان به همراه خواهد داشت:

• تسریعِ پاسخ دهی در موارد امنیتی
• تبدیل موارد ناشناخته به شناخته شده
• مشاهده یکباره ی بدافزار و مسدود نمودن آن در همه جا

از طریق این راهکار شما مجموعه ای از محصولات امنیت را در اختیار دارید که نه تنها سطوح محافظتِ Next Generation را فراهم می کنند، همچنین سطح بالایی از یکپارچگی پلتفرم ها و به طور کلی پیشرفت های امنیتی چشمگیر را از طریق اتوماسیون و نگاه به سوابق تهدیدها به ارمغان می آورد.

پروتکل NetFlow ابزاری نهفته در نرم افزار Cisco IOS است که عملکرد شبکه را توصیف می کند. برخورداری از visibility نسبت به اجزا و عملکردِ شبکه امری ضروری برای شاغلین IT به شمار می آید. اپراتورهای شبکه دریافته اند که برای پاسخگویی به نیازهای شبکه، باید به درک درستی از رفتار شبکه برسند. این رفتارها شامل موارد زیر می شوند:

• استفاده از شبکه و اپلیکیشن
• بهره وری شبکه و بهره برداری از منابع شبکه
• اثر تغییرات بر شبکه
• ناهنجاری های شبکه و آسیب پذیری های امنیتی
• مسائلِ بلند مدت

پروتکل NetFlow این نیازها را برآورده می سازد. محیطی را ایجاد می کند که ادمین به واسطه آن ابزارهایی را در اختیار خواهد داشت تا دریابد که چه کسی، چه چیزی، چه زمانی، کجا و چگونه ترافیک شبکه در جریان است. هنگامی که رفتار شبکه فهمیده شود، فرآیندهای کسب و کار بهبود خواهد یافت و تاریخچه ای از چگونگی بهره برداری از شبکه ارزیابی خواهد شد. این افزایش آگاهی، نقاطِ آسیب پذیر شبکه را کاهش می دهد و منجر به اجرای کاراترِ عملیات در شبکه می شود. بهبود در عملیات شبکه، هزینه ها را کاهش می دهد و بنابراین از طریق بهره برداریِ بهتر از زیرساخت های شبکه، بازده کسب و کار افزایش می یابد.

نظارت بر کاراییِ SNMP

در اغلب شبکه ها برای مانیتورِ پهنای باند از پروتکل SNMP استفاده می شود. اگرچه SNMP طراحی ظرفیت شبکه را ساده می سازد، اما برای توصیف الگوهای ترافیکی ضعیف است، الگوهایی که در فهمِ چگونگی پشتیبانی از کسب و کار ضروری اند. درک عمیقتر از چگونگی استفاده از پهنای باند، در شبکه های IP امروزی از اهمیت بسیار بالایی برخوردار است. استفاده از counter ها در SNMP مفید هستند اما فهم اینکه چه آدرس های IP مبدا و مقصدِ ترافیک هستند و چه اپلیکیشن هایی ترافیک را تولید می کنند، ارزش بسیاری خواهد داشت.

پروتکل NetFlow

توانایی توصیفِ ترافیک شبکه و تشخیص اینکه این ترافیک چگونه و از کجا در جریان است برای دسترس پذیری، کارایی و عیب یابی شبکه اهمیت بسیاری دارد. مانیتورینگ جریان های ترافیک شبکه برنامه ریزیِ دقیق تر برای ظرفیت شبکه را تسهیل می کند و تضمین خواهد نمود که منابع مورد استفاده اهداف سازمان ها را پوشش می دهند. به کارکنان IT در تعیین موارد به کارگیریِ QoS، بهینه سازی استفاده از منابع کمک می کند. همچنین نقشِ اساسی را در رابطه با امنیت شبکه برای تشخیص حملات DoS، worm ها و دیگر رویدادهای ناخوشایندِ شبکه ایفا می کند.

پروتکل NetFlow چگونه اطلاعات شبکه را در اختیار شما می گذارد؟

هر packet که توسط روتر یا سوییچ سیسکو ارسال می شود از لحاظ مجموعه ای از ویژگی ها در بسته IP ارزیابی می شود. این ویژگی ها هویت بسته IP یا به عبارتی اثر انگشت آنها هستند و تعیین خواهند نمود که بسته منحصر به فرد است یا مشابه با دیگر بسته ها.

IP Flow به مجموعه ای پنج تایی یا حداکثر هفت تایی از ویژگی های بسته IP بستگی دارد. ویژگی های بسته IP که مورد استفاده قرار می گیرد، عبارتند از:

• آدرس IP مبدا
• آدرس IP مقصد
• پورت مبدا
• پورت مقصد
• نوع پروتکل لایه 3
• Class of Service (راهی برای مدیریت ترافیک در شبکه است، از طریق گروه بندی انواع مشابهی از ترافیک با یکدیگر با هر نوع به عنوان class با سطح اولویت بر خدمات مختص بر خود رفتار می کند)
• Interface مرتبط با روتر یا سوییچ

همه بسته هایی که آدرس IP مبدا/مقصد، پورت مبدا/مقصد، protocol interface و CoS یکسانی دارند در یک flow دسته بندی می شوند و سپس بسته ها مورد بررسی قرار می گیرند. این روش کار در تعیین یک flow قابل ارتقاست چرا که حجم بالای اطلاعات شبکه درون پایگاه داده ای از اطلاعات NetFlow فشرده می شوند که به آن NetFlow Cache می گویند.

اطلاعات flow برای فهم رفتار شبکه بسیار مفید است.

• آدرس مبدا در درک اینکه چه کسی ترافیک را ایجاد می کند، کمک می کند
• آدرس مقصد نشان می دهد که چه کسی ترافیک را دریافت کرده است
• پورتها توصیف کننده اپلیکیشن هایی هستند که از ترافیک شبکه استفاده می کنند
• CoS اولویت ترافیک ها را ارزیابی می کند
• اینترفیسِ دستگاه نحوه استفاده از ترافیک توسط دستگاه های شبکه را نشان می دهد
• بسته های شمارش شده نشان دهنده مقدار ترافیک هستند

اطلاعات دیگری که به یک flow افزوده می شوند، عبارتند از:

• Timestamp مرتبط با flow که به فهم مدتِ حیات یک flow کمک می کند، timestamp برای محاسبه بسته ها در هر ثانیه کاربرد دارد
• آدرس های IP در گام بعد، شامل مسیریابی BGP
• Subnet mask برای آدرس های مبدا و مقصد، به منظور محاسبه prefix
• TCP flag برای ارزیابی TCP handshake

چگونگی دستیابی به داده تولید شده توسط NetFlow

دو روش اولیه برای دسترسی به داده های NetFlow وجود دارد: استفاده از CLI یا بهره مندی از ابزار گزارشگیری. اگر بخواهید نگاهی لحظه ای بیاندازید به آنچه که در شبکه رخ می دهد، می توانید از CLI استفاده نمایید. NetFlow CLI کاربرد بسیاری برای عیب یابی دارد.

انتخاب دیگر، ارسال این اطلاعات به یک سرور گزارش گیری است یا به ابزارهایی که NetFlow collector نامیده می شوند. NetFlow collector وظایفی از جمله سرهم سازی و فهمِ flow های صادر شده و همچنین ترکیب یا ادغام آنها را بر عهده دارد. این وظایف به منظور تولید گزارش های ارزشمندی است که برای تحلیل امنیت و ترافیک استفاده می شوند. اطلاعات به صورت دوره ای به NetFlow collector صادر می شود. به طور کلی NetFlow cache همواره با flow ها در حال پر شدن است و نرم افزاری در روتر یا سوییچ در cache جستجو می کند تا flow هایی که خاتمه داده شده اند یا منقضی شده اند، بیابد و این flow ها به سرور NetFlow collector صادر می شوند. هنگامی که اتصال شبکه قطع شود، flow ها خاتمه می یابند (به طور مثال یک بسته ای که شامل TCP FIN flag می شود). گام های زیر برای پیاده سازی گزارش گیری از داده های NetFlow استفاده می شوند:

• NetFlow کانفیگ می شود تا flow ها را در NetFlow cache ثبت نماید
• NetFlow export کانفیگ می شود تا flow ها را به collector ارسال نماید
• Netflow cache به دنبال flow هایی می گردد که خاتمه یافته باشند و این flow ها به سرور NetFlow collector صادر می شوند
• به طور تقریبی بین 30 تا 50 flow با یکدیگر دسته بندی می شوند و معمولا در فرمت UDP به سرور NetFlow collector منتقل می شوند
• نرم افزار NetFlow collector گزارش هایی real-time یا بر مبنای تاریخ را از داده فراهم می کند

روتر یا سوییچ چگونه تخمین می زند که کدام flow ها به سرور NetFlow collector صادر شوند؟

هنگامی که یک flow برای مدتی غیرفعال باشد (یعنی هیچ بسته جدیدی برای flow دریافت نشده باشد) و یا برای مدت زمانی طولانی در حالت active قرار بگیرد و بیشتر از زمان سنجِ active به درازا بکشد (دانلود طولانی مدت FTP)، آماده برای صدور خواهد بود. همچنین هنگامی که یک TCP flag بر خاتمه یافتن یک flow دلالت کند (به طور مثال FIN، RST flag)، آن flow آماده صدور است. برای تعیین اینکه یک flow در وضعیت غیرفعال قرار دارد یا مدت زمان زیادی از حیاتش می گذرد، تایمرهایی وجود دارند. مقدار پیش فرض تایمر برای flow غیر فعال 15 ثانیه و برای flow فعال 30 دقیقه است. همه ی این تایمرها قابل کانفیگ هستند اما در اغلب موارد به جز بر روی پلتفرم سوییچ سیسکو catalyst 6500 از مقادیر پیش فرض استفاده می شود. Collector می تواند flow ها را ترکیب و ترافیک را تجمیع نماید. به طور مثال، دانلود FTP که بیشتر از زمان سنجِ active به درازا بکشد، ممکن است به چندین flow شکسته شود و collector می تواند این flow ها را ترکیب کند که نشان دهنده کل ترافیک FTP به سرور در زمان مشخصی از روز است.

فرمت داده های صادر شده به چه شکل است؟

فرمت های مختلفی برای بسته های export وجود دارد و اغلب به آنها export version می گویند. این version ها شامل فرمت های 5، 7 و 9 می شوند. رایج ترین فرمت برای NetFlow export نسخه 5 است اما نسخه 9 آخرین فرمت است و مزیت هایی برای تکنولوژی های کلیدی همچون امنیت، آنالیز ترافیک و multicast دارد.

سوییچ های سیسکو که از پروتکل NetFlow پشتیبانی می کنند عبارتند از:

• سوییچ سیسکو Catalyst 3650/3850
• سوییچ سیسکو Catalyst 3750-X از طریق ماژولِ سرویس 3K-X
• سوییچ سیسکو Catalyst 4500-X و 4500 از طریق Sup 7
• سوییچ سیسکو Catalyst 4900M ، 4948E-F
• سوییچ سیسکو 6500 از طریق SUP2T
• سوییچ سیسکو 6500 از طریق SUP720
• سوییچ سیسکو Catalyst 3560-CX و 2960-CX
• سوییچ سیسکو Nexus 1000
• سوییچ سیسکو Nexus 2000
• سوییچ سیسکو Nexus 5000 از طریق ماژول layer 3
• سوییچ سیسکو Nexus 7000 از طریق F Card
• سوییچ سیسکو Nexus 7000 از طریق M card
• سوییچ سیسکو Nexus 9000
• سوییچ سیسکو Nexus 1000v

روترهای سیسکو که از پروتکل NetFlow پشتیبانی می کنند:

• روتر سیسکو ISR G1 و G2
• روتر سیسکو سری 7600
• روتر سیسکو سری 10000
• روتر سیسکو سری XR12000/12000
• روتر سیسکو سری ASR 1000
• روتر سیسکو سری ASR 9000
• روتر سیسکو NCS 5000,6000
• روتر سیسکو CSR 1000v

خلاصه

پروتکل Netflow توسط سیسکو ارائه شده است، برای جمع آوری و ثبت تمامیِ ترافیک های IP گذرنده از یک روتر یا سوییچ سیسکو که قابلیت Netflow در آن فعال است. این پروتکل به شما اجازه می دهد تا ترافیک را از طریق برنامه Netflow Collector یا Analyzer جمع آوری و آنالیز نمایید.

به شما اجازه خواهد داد که واکاوی دقیقی از ترافیک شبکه خود داشته باشید تا به هنگام عیب یابی شبکه ای با سرعت پایین، دریابید مبدا و مقصد ترافیک ها کجاست. زمان لازم برای عیب یابی را کاهش می دهد و تهیه گزارش در رابطه با حجم بهره برداری از منابع شبکه را تسهیل می کند.به شما کمک می کند در فهم اینکه چه کسی در حال استفاده از شبکه است، مقصد ترافیک ها کجاست و اپلیکیشن ها چه حجمی از پهنای باند را مصرف می کنند.

سیسکو در ابتدا پروتکل NetFlow را برای محصولات خودش ایجاد نمود و اندکی پس از آن به استانداری تبدیل شد که بسیاری از سازندگان دیگر آن را بر روی محصولات خود پیاده سازی نمودند. این سازندگان شاملِ (Juniper(JFlow) ، 3Com، HP ، Ericsson(RFlow) ،Netgear(SFlow)، Huawei(NetStream و (Alcatel-Lucent(CFlow می شدند.