3 سال پیش / خواندن دقیقه

آشنایی با معماری شبکه مراکز داده سازمانی و نحوه استقرار مولفههای آنها | امنیت اطلاعات

نقشه راه پیاده‌سازی شبکه‌های مراکز داده

آشنایی با معماری شبکه مراکز داده سازمانی و نحوه استقرار مولفه‌های آن‌ها

آشنایی با معماری شبکه مراکز داده سازمانی و نحوه استقرار مولفههای آنها | امنیت اطلاعات

شبکه‌های ارتباطی نقش تاثیرگذاری در موفقیت یا شکست سازمان‌های بزرگ دارند. از این‌رو، محافظت از آن‌ها در برابر انواع مخاطرات، به‌ویژه مخاطرات امنیتی، ضامن بقا سازمان‌ها به‌شمار می‌رود. درک ساختار شبکه‌های داده‌ای کمک می‌کند آسیب‌پذیری‌های شبکه‌ها را بهتر درک کنیم و تمرکز خود را روی بخش‌هایی قرار دهیم که مستعد حمله‌های سایبری هستند. در دنیای شبکه‌های ارتباطی، معماری شبکه به نحوه اتصال شبکه‌های سازمانی مستقر در یک ساختمان یا ساختمان‌های مجاور یک‌دیگر اشاره دارد؛ به‌طوری که اطلاعات با کمترین تاخیر و خطا در شبکه انتقال پیدا کند. در این مقاله با نحوه پیاده‌سازی شبکه‌های سازمانی و مراکز داده آشنا می‌شویم.


درک معماری شبکه به ما در درک نقاط آسیب‌پذیر شبکه کمک می‌کند، زیرا هکرها همواره به‌دنبال روش‌هایی هستند تا به شبکه‌های سازمانی نفوذ کرده و اطلاعات را سرقت یا دستکاری کنند. هنگامی‌که هکری موفق شود به شبکه سازمانی نفوذ کند، این قابلیت را به‌دست خواهد آورد تا اطلاعاتی را که از طریق شبکه در حال انتقال هستند رصد کند یا اطلاعات ارزشمند را سرقت کند. برای حل این مشکل، باید ساختار شبکه و داده‌هایی را که از طریق آن جریان می‌یابد درک کنید. یک شبکه معمولی از سه بخش اصلی زیر پدید می‌آید:



  •  شبکه مرکز داده که سرورها و برنامه‌های کاربردی سازمان را میزبانی می‌کند. 
  •  شبکه اصلی یا مرکزی که شاهراهی است که تمامی بخش‌های شبکه از جمله شبکه کاربران، مراکز داده، شبکه‌های راه دور (شعب یک سازمان) را به یک‌دیگر و در نهایت به اینترنت متصل می‌کند. 
  •  شبکه کاربری که زیرمجموعه شبکه اصلی است و وظیفه برقراری ارتباط کاربران با یک‌دیگر را برعهده دارد. شبکه کاربری معمولاً مبتنی بر شبکه‌های توزیع و دسترسی است. شکل ۱ معماری یک شبکه سازمانی مرسوم را نشان می‌دهد.

آشنایی با معماری شبکه مراکز داده سازمانی و نحوه استقرار مولفههای آنها | امنیت اطلاعات

شکل 1

در گوشه بالای سمت چپ شکل ۱، مرکز داده اصلی را که DC-1 نام دارد مشاهده می‌کنیم. شبکه کاربر نیز در سایت مرکز داده و به‌نام Users-1 قرار دارد. در گوشه سمت راست بالا، مرکز داده ثانویه را که DC-2 نام دارد مشاهده می‌کنیم که متشکل از شبکه کاربرانی است که در سایت مرکز داده ثانویه قرار دارند. دو مرکز داده از طریق دو فایروال که در دو مرکز داده قرار دارند به اینترنت متصل می‌شوند. در مرکز نمودار، یک اتصال شبکه گسترده (WAN) را می‌بینیم که شامل روترهایی است که به شبکه ارائه‌دهنده خدمات (SP) سرنام Service Provider که وظیفه برقراری ارتباط شبکه‌های محلی و اینترنت را برعهده دارد متصل هستند. در قسمت پایین نمودار، سایت‌های راه دور (شعب) را می‌بینیم که از طریق شبکه ارائه‌دهنده خدمات به شبکه مرکزی سازمان متصل می‌شوند.

شبکه‌ مرکزی، کاربری و مرکز داده 

همان‌گونه که اشاره شد، یک شبکه داده سازمانی متشکل از شبکه‌های کوچک و بزرگی است که همگی از طریق یک شبکه مرکزی مدیریت می‌شوند. به‌طور مثال، مراکز داده میزبان شبکه‌هایی هستند که سرورهای سازمان‌ها در آن قرار دارند. در برخی از سازمان‌ها از دو مرکز داده استفاده می‌شود تا اصل افزونگی و دسترس‌پذیری بالا (High Availability) حفظ شوند. یعنی اگر یک مرکز داده از کار افتاد، دیگری بتواند به‌طور کامل یا جزئی جای آن‌را بگیرد. نکته‌ای که هنگام طراحی شبکه‌های کاربری باید به آن دقت کنید، تعداد کاربران سازمانی، خارج از سازمانی (دورکارها)، گستره جغرافیایی و تعداد شعب یک سازمان است. شبکه مرکزی ستون فقراتی است که کاربران را به مرکز داده، دفاتر راه دور و اینترنت متصل می‌کند. در این‌جا سوئیچ‌های توزیع در مکان‌های مرکزی پردیس، و سوئیچ‌های دسترسی در ساختمان‌ها و مناطق کوچک نصب می‌شوند. 

  • به‌طور مثال، در شکل 2 معماری یک شبکه سازمانی را داریم که در لایه مرکز داده پذیرای دو مرکز داده است. این مراکز داده دو کار مهم انجام می‌دهند؛ اول آن‌که به لایه مرکزی سرویس‌دهی می‌کنند و دوم آن‌که هر زمان یکی از آن‌ها با مشکل روبه‌رو شد، دیگری وظایف مرکز داده از مدار خارج شده را برعهده می‌گیرد. 

آشنایی با معماری شبکه مراکز داده سازمانی و نحوه استقرار مولفههای آنها | امنیت اطلاعات

شکل 2

نکته مهمی که هنگام پیاده‌سازی چنین شبکه‌هایی باید به آن دقت کنید، انتخاب صحیح تجهیزاتی مثل سوئیچ‌ها است که وظیفه مدیریت ترافیک و بارهای کاری را برعهده دارند. در حالت کلی، سوئیچ‌هایی که به‌عنوان سوئیچ مرکزی (Core) شناخته می‌شوند، قابلیت اطمینان بیشتر، امکانات بهتر و توانایی بیشتری نسبت به سوئیچ توزیع (Distribution) دارند و به همین دلیل قابلیت‌های خوبی در ارتباط با مسیریابی، آماده‌سازی یک ساختار انتقال بهینه و پایدار بسته‌ها ارائه می‌کنند. سوئیچ‌های توزیع باید ظرفیت سوئیچینگ زیادی برای پردازش ترافیکی که از سمت سوئیچ دسترسی (Access) وارد می‌شود، داشته باشند. به همین دلیل بهتر است از سوئیچ‌های مرکزی در لایه Core (شبکه مرکزی) و سوئیچ‌های توزیع در لایه Distribution استفاده ‌شود. با توجه به این‌که سوئیچ دسترسی با تجهیزات شبکه و کاربران در ارتباط است باید پورت‌های زیادی داشته باشد. به‌طور کلی، سوئیچ دسترسی در لایه 2 و سوئیچ توزیع در لایه 3 قرار می‌گیرند، البته این موضوع به نوع معماری شبکه سازمانی بستگی دارد.

در شکل ۲، سوئیچ‌های مرکز داده در بالا قرار دارند و از طریق دو کابل به هر سرور متصل می‌شوند. این اتصالات کاربرد دوگانه دارند؛ اول آن‌که دستیابی به اصل افزونگی را تضمین می‌کنند تا اگر یکی از کابل‌ها و کانال‌های انتقال با مشکل روبه‌رو شد، دیگری فرآیند انتقال را مدیریت کند و دوم آن‌که قابلیت تجمیع لینک (Link Aggregation) را دارند تا ظرفیت سوئیچینگ بیشتری در دسترس قرار گیرد. همچنین، کانال‌های ارتباطی می‌توانند بر بستر فیبر یا مس باشند.

در وسط تصویر، سوئیچ‌های مرکزی را داریم. همان‌طور که از نام این سوئیچ‌ها پیدا است، آن‌ها در قلب شبکه سازمانی قرار دارند. آن‌ها وظیفه برقراری ارتباط میان شبکه کاربری و مرکز داده را برعهده دارند و به سایت‌های راه دور، اینترنت و دیگر شبکه‌ها اجازه برقراری ارتباط با شبکه سازمانی را می‌دهند. اتصال بین سوئیچ‌های مرکزی و سوئیچ‌های مرکز داده را می‌توان در لایه 2 یا لایه 3، با یا بدون فناوری‌های همپوشان پیاده‌سازی کرد.

شبکه کاربری در ناحیه توزیع و دسترسی قرار دارد. لایه دسترسی میزبان سوئیچ‌هایی است که کاربران را به شبکه سازمانی متصل می‌کند، در حالی که لایه توزیع سوئیچ‌های دسترسی را تجمیع می‌کند. به‌عنوان مثال، در یک شبکه پردیس، یک سوئیچ توزیع برای هر ساختمان یا گروهی از ساختمان‌ها نصب می‌شود و سوئیچ‌های دسترسی به سوئیچ توزیع متصل می‌شوند. سوئیچ‌های توزیع معمولاً با رعایت اصل افزونگی نصب می‌شوند؛ به این معنا که دو سوئیچ در هر سایت نصب می‌شوند و هر دو سوئیچ به شبکه متصل می‌شوند. 

توپولوژی سوئیچینگ لایه 2 و مسیریابی لایه 3

سوئیچ‌های لایه 2 دستگاه‌هایی هستند که بسته‌ها را بین پورت‌ها سوئیچ می‌کنند، در حالی که سوئیچ‌های لایه 3 یا روترها به سرآیند لایه 3 بسته نگاه می‌کنند و مسیریابی را انجام می‌دهند. فرآیند انجام این‌کار در شکل 3 نشان داده شده است. در این‌جا، D مخفف آدرس مقصد و S مخفف آدرس منبع است و به ترتیب D و S برای L2 و L3 در نظر گرفته شده‌اند. 

در بالای سمت چپ تصویر، یک سوئیچ LAN را مشاهده می‌کنیم که در حال دریافت یک فریم است. سپس، سوئیچ به مک آدرس مقصد نگاه می‌کند و در مورد انتقال بسته تصمیم‌گیری می‌کند و فریم را به پورت مقصد یعنی پورت 3 ارسال می‌کند. 

آشنایی با معماری شبکه مراکز داده سازمانی و نحوه استقرار مولفههای آنها | امنیت اطلاعات

شکل 3

در پایین سمت چپ، مشاهده می‌کنیم که چگونه یک فریم از شبکه سوئیچ‌ها عبور می‌کند. فریم وارد سوئیچ سمت چپ می‌شود که بسته را به پورت 3 ارسال می‌کند. پورت 3 به پورت 1 در سوئیچ سمت راست متصل می‌شود که به مک آدرس خود نگاه می‌کند و بسته را به سوئیچ سمت راست یعنی پورت 4 فوروارد می‌کند. تصمیم‌گیری در مورد نحوه ارسال فریم‌ها به‌صورت محلی انجام می‌شود. یعنی تصمیم‌گیری در این زمینه توسط خود سوئیچ و بدون تعامل با سوئیچ‌های دیگر انجام می‌شود تا بار اضافی به شبکه وارد نشود. 

فرآیند مسیریابی، همان‌طور که در سمت راست نمودار شکل ۳ نشان داده شده، در لایه 3 انجام می‌شود. هنگامی‌که بسته‌ای وارد روتر می‌شود، روتر به آدرس مقصد لایه 3 نگاه می‌کند و بررسی می‌کند که آیا مقصد بسته در جدول مسیریابی معتبر است یا خیر و سپس فرآیند مسیریابی را انجام داده و بسته را به هاپ (Hop) بعدی ارسال می‌کند. 

در حالت کلی از سوئیچ‌های لایه 2 برای اتصال کاربران به شبکه استفاده می‌کنیم و از سوئیچ‌های لایه 3 در سطوح بالاتر، یعنی سطح توزیع، هسته (Core) یا مرکز داده برای تقسیم شبکه به شبکه‌های کو‌چک‌تر (زیرشبکه) استفاده می‌کنیم. 

در شکل 4، یک روتر عادی را در سمت چپ و یک سوئیچ لایه 3 را در سمت راست مشاهده می‌کنیم. در یک روتر عادی، دستگاه‌هایی مثل کامپیوترهای شخصی یا سوئیچ‌های لایه 2 به آن متصل می‌شوند. 

در سوئیچ لایه 3، ملزومات سخت‌افزاری و نرم‌افزاری که برای ارسال و دریافت بسته‌های اطلاعاتی به آن‌ها نیاز داریم در قالب یک محصول واحد در اختیار ما قرار دارد. رابط‌های لایه 3 (که در تجهیزات سیسکو به‌نام Interface VLAN نامیده می‌شود) رابط‌های نرم‌افزاری هستند که روی سوئیچ پیکربندی شده‌اند. در این‌جا شبکه‌های محلی مجازی (VLAN) پیکربندی می‌شوند و یک رابط L3 به هر کدام اختصاص داده می‌شود و در ادامه تجهیزات خارجی به پورت‌های فیزیکی سوئیچ متصل می‌شوند.

آشنایی با معماری شبکه مراکز داده سازمانی و نحوه استقرار مولفههای آنها | امنیت اطلاعات

شکل 4

شبکه‌های محلی مجازی و تقسیم شبکه به زیرشبکه‌های مختلف مزایای زیادی دارد، به‌طوری‌که انعطاف‌پذیری بیشتری در طراحی در اختیار ما قرار می‌دهد، زیرا هر بخش می‌تواند یک زیرشبکه IP با مجوزها و حقوق دسترسی به سرورهای خاص خود را داشته باشد، امکان پیاده‌سازی پروتکل‌های مسیریابی وجود دارد، پیام‌های همه‌پخشی تنها در زیرشبکه‌های خاص خود توسط کلاینت‌ها دریافت می‌شوند و هرگونه حمله سایبری تنها روی همان زیرشبکه تاثیرگذار است. موارد یادشده تنها بخشی از مزایای زیرشبکه‌سازی است. 

معماری L2 و L3

یکی از چالش‌های بزرگی که طراحان و معماران شبکه با آن روبه‌رو هستند، انتخاب معماری‌ای است که قرار است شبکه سازمانی بر مبنای آن پیاده‌سازی شود. نکته‌ای که باید در ارتباط با معماری لایه 3 به آن دقت کنید این است که لایه ۳ را می‌توان در هر نقطه‌ای از شبکه پیاده‌سازی کرد. وقتی لایه 3 در سوئیچ‌های اصلی پیاده‌سازی شود، آدرس‌های IP آن‌ها دروازه‌های پیش‌فرض کاربران خواهد بود. هنگامی‌که لایه 3 در سوئیچ‌های مرکز داده پیاده‌سازی شود، آدرس آن‌ها دروازه‌های پیش‌فرض سرورها خواهد بود. دو توپولوژی‌ پرکاربردی که توسط کارشناسان شبکه در هنگام پیاده‌سازی شبکه‌های سازمانی استفاده می‌شوند، در شکل ۵ نشان داده شده است. در سمت چپ شکل ۵، تنظیمات زیر را داریم:

شبکه‌های محلی مجازی (VLAN) پیکربندی‌شده روی سوئیچ‌های اصلی: در این‌جا VLAN 50 و VLAN 60 شبکه‌های محلی کاربری هستند. هر کاربر یک شبکه محلی مجازی، چند پورت فیزیکی و یک رابط L3 منطقی و رابط VLAN (در صورت استفاده از تجهیزات سیسکو) در اختیار دارد. در مثال فوق، آدرس آی‌پی شبکه محلی مجازی VLAN50 برابر با 10.50.1.1/16 است، در حالی که آدرس آی‌پی شبکه محلی مجازی VLAN60 برابر با 10.60.1.1/16 است.

آشنایی با معماری شبکه مراکز داده سازمانی و نحوه استقرار مولفههای آنها | امنیت اطلاعات

شکل 5

شبکه‌های محلی مجازی پیکربندی شده روی ‌سوئیچ‌های مرکز داده

VLAN 10 و VLAN 20  شبکه‌های محلی مجازی سرور هستند. هر سرور شبکه محلی مجازی دارای چند پورت فیزیکی و یک رابط منطقی L3  یا همان رابط شبکه محلی است. برای مثال، آدرس آی‌پی رابط شبکه محلی مجازی VLAN 10 برابر با  10 10.10.1.1/16 است، در حالی که آدرس آی‌پی رابط شبکه محلی مجازی VLAN 20 برابر با 10.10.1.1/16 است.

دروازه‌های پیش فرض کاربران در شبکه‌های 10.50.0.0/16 و 10.60.0.0/16 به ترتیب 10.50.1.1 و 10.60.1.1 است. 

در سمت راست، توپولوژی متفاوتی را مشاهده می‌کنیم، جایی که رابط تمامی شبکه‌های محلی مجازی روی سوئیچ‌های مرکز داده قرار دارند. در توپولوژی سمت راست پیکربندی زیر را داریم:

  • تمام VLANها روی سوئیچ‌های مرکز داده پیکربندی شده‌اند.
  • سوئیچ‌های اصلی به‌عنوان دستگاه‌های لایه 2 استفاده می‌شوند. دروازه‌های پیش‌فرض دستگاه‌ها و سرورهای کاربر روی سوئیچ‌های مرکز داده هستند.

جریان داده در معماری L2 و L3

به همان ترتیبی که معماری لایه 2 و لایه 3 با هم متفاوت هستند، جریان انتقال داده‌ها در این معماری‌ها نیز تفاوت‌هایی دارد. برای درک بهتر این موضوع به شکل ۶ دقت کنید. در توپولوژی سمت چپ، پیکربندی زیر را داریم:

  • هنگام ارسال بسته‌ها از سمت کاربران به سرورها، کاربران در VLAN 50
  • یا VLAN 60 بسته‌ها را به دروازه پیش‌فرض یعنی رابط L3 روی سوئیچ هسته ارسال می‌کنند و از این نقطه بسته‌ها به رابط L3 سوئیچ مرکز داده و سرور (سوئیچ سمت چپ) هدایت می‌شوند. هنگام ارسال بسته‌ها، سرورهای VLAN 10 یا VLAN 20 بسته‌ها را به دروازه پیش‌فرض 10.10.1.1 ارسال می‌کنند که سوئیچ سمت چپ مرکز داده است. در ادامه بسته‌ها به رابط L3 در سوئیچ هسته سمت چپ و کاربر هدایت می‌شوند. برای درک بهتر فرآیند ارسال و دریافت اطلاعات به شماره‌های قرار گرفته در تصویر دقت کنید. 

آشنایی با معماری شبکه مراکز داده سازمانی و نحوه استقرار مولفههای آنها | امنیت اطلاعات

شکل 6

در توپولوژی سمت راست، پیکربندی زیر را داریم:

  • سوئیچ‌های مرکز داده دروازه‌های پیش‌فرض برای کاربران و سرورها هستند، از این‌رو بسته‌هایی از هر دو به سوئیچ‌های مرکز داده ارسال می‌شوند و فرآیند مسیریابی نیز به‌شکل داخلی انجام می‌شود. 

جریان داده‌ها در معماری L2 و L3 بر مبنای اصل افزونگی

اکنون اجازه دهید به بررسی این موضوع بپردازیم که بسته‌ها چگونه از طریق شبکه انتقال پیدا می‌کنند. در این‌جا فرض می‌کنیم که رابط‌های L3 کاربری روی سوئیچ‌های مرکزی قرار دارند. در شکل ۷، کامپیوتری با آدرس 10.60.10.10/16 در حال ارسال اطلاعات به سروری با آدرس 10.20.1.100/16 است. 

در یک شبکه سازمانی و در شرایط عادی، یعنی زمانی‌که تمام مولفه‌های شبکه بدون مشکل کار می‌کنند، جریان انتقال داده‌ها به‌شرح زیر است:

  1. هنگامی که PC2 بسته‌ها را برای یک سرور ارسال می‌کند، بسته‌ها به دروازه پیش‌فرض یعنی سوئیچ مرکزی 10.60.1.1 تحویل داده می‌شوند (1). 
  2. از سوئیچ 10.60.1.1، بسته‌ها به سوئیچ مرکزی به نشانی 10.20.1.1 ارسال می‌شوند (2).
  3. در ادامه بسته‌ها برای سرور S1 به نشانی 10.20.1.1 ارسال می‌شوند (3).

آشنایی با معماری شبکه مراکز داده سازمانی و نحوه استقرار مولفههای آنها | امنیت اطلاعات

شکل 7

هنگامی که مشکلی مثل یک خرابی اتفاق می‌افتد، به‌طور مثال، سوئیچ DC در سمت چپ تصویر که DC-SW-1 نام دارد از کار می‌افتد، موارد زیر اتفاق می‌افتد:

  • در این حالت، سرور S1 سوئیچ DC سمت راست vh که DC-SW-2 نام دارد انتخاب می‌کند. در ادامه بسته‌هایی که از PC2 به سرور ارسال می‌شوند به سوئیچ هسته سمت راست (a) ارسال می‌شوند.
  • سوئیچ هسته در سمت راست بسته‌ها را به هاپ بعدی (b) که سوئیچ DC سمت راست است (DC-SW-2) هدایت می‌کند تا سوئیچ DC سمت راست بسته‌ها را به سرور (c) ارسال کند.

کلام آخر

همان‌گونه که مشاهده می‌کنید ملاحظات طراحی یک شبکه داده جزئیات زیادی دارد، به‌طوری که هر طراحی باید متناسب با نیازهای یک سازمان انجام شود. با این حال، به این نکته مهم دقت کنید، مادامی‌که ساختار یک شبکه را به‌درستی درک نکرده باشید، قادر نخواهید بود یک شبکه یکپارچه با بهترین عملکرد و آستانه تحمل بالا در برابر خرابی‌ها را پیاده‌سازی کنید


شاید از نوشته‌های زیر خوشتان بیاید
نظر خود را درباره این پست بنویسید ...

منوی سریع