این درس به موضوع End devices میپردازد که در سرفصلهای آموزش شبکهبا نام Endpoints نیز شناخته میشوند. تمرکز این بخش بر مفاهیم کلیدی است که دانشجویان باید درباره Endpointها درک کنند تا بتوانند در درسهای بعدی «ارتباط بین مفاهیم» (Connect the dots) را بهخوبی درک کنند.
لینک آموزش قسمت دوازدهم: https://vrgl.ir/6zAdX
ابتدا با این واقعیت شروع کنیم که در این درس از عبارات End devices و Endpoints بهجای یکدیگر استفاده خواهیم کرد؛ چراکه هر دو اساساً یک معنا دارند. گاهی اوقات ممکن است از اصطلاح End hosts (میزبانهای انتهایی) نیز استفاده کنیم.
تجهیزات انتهایی به تمامی کامپیوترها و ابزارهایی گفته میشود که در Edge (لبه) شبکه قرار دارند. موارد رایج عبارتند از:
کامپیوترهای شخصی (PCs) و لپتاپها
سرورها (Web, Mail, File, Database)
دستگاههای موبایل (گوشیهای هوشمند و تبلتها)
تلفنهای VoIP
پرینترها
تجهیزات اینترنت اشیاء (IoT) مانند دوربینها و سنسورها.
حالا بیایید کمی بیشتر روی خود اصطلاح Endpoints تمرکز کنیم.
آنها میخواهند بر این حقیقت تأکید کنند که تجهیزات انتهایی، مبدأ (Source) و مقصد (Destination) ترافیک هستند. ترافیک در یک دستگاه انتهایی تولید میشود و در دستگاه انتهایی دیگر به پایان میرسد (به همین دلیل به آنها End-point یا نقطه پایانی میگویند). در واقع، شبکه فقط به عنوان یک زیرساخت عبوری (Transit infrastructure) عمل میکند که دادهها را بین Endpointها جابهجا میکند.
شبکه را مانند شبکه جادهای کشور تصور کنید. جادهها و بزرگراهها ضروری هستند، اما هیچکس فقط برای «توی جاده بودن» سفر نمیکند. شما سوار ماشین نمیشوید که بگویید: «امروز میخواهم به جاده ۴۵ برسم.» بلکه میخواهید به ملاقات یک دوست بروید، به فروشگاه بروید یا به محل کار برسید. جاده فقط واسطهای است که شما را به آنجا میرساند.
شبکهها هم دقیقاً همینطور هستند. روترها، سوئیچها، کابلکشیها و لینکهای وایرلس مانند بزرگراهها، جادهها و تقاطعها هستند. آنها حرکت را امکانپذیر میکنند، اما مبدأ یا مقصد ترافیک نیستند. مقصدهای واقعی همان Endpointها هستند.
هر Endpoint از طریق کارتهای شبکه (NICs) به شبکه متصل میشود. با این حال، یکی از رایجترین تصوراتی که دانشجویان فوراً دچار آن میشوند این است که هر دستگاه انتهایی فقط یک NIC و یک اتصال شبکهای دارد (معمولاً یک کابل به نزدیکترین دستگاه شبکه یا یک اتصال Wi-Fi).
اگرچه این موضوع اغلب صادق است، اما همیشه اینطور نیست. برخی از دستگاهها بیش از یک رابط شبکه (NIC) دارند. به عنوان مثال، یک سرور میتواند دو کارت NIC داشته باشد که بهطور همزمان به دو شبکه مجزا متصل هستند.
این تغییر دیدگاه، درهای زیادی را به روی سوالات بعدی باز میکند. مثلاً اگر سروری دارای دو NIC متصل به دو شبکه باشد، از کجا میفهمد که انواع مختلف ترافیک را به کجا ارسال کند؟ چگونه تشخیص میدهد که ترافیک فیسبوک را از طریق اینترنت و ترافیک کاری را به شبکه داخلی شرکت بفرستد؟ این موضوع ما را به جنبه مهم بعدی Endpointها میرساند.
به خاطر داشته باشید - هر Endpoint دارای منطق مسیریابی (Routing logic) است. فرقی نمیکند لپتاپ باشد یا یک گجت ساده متصل به وایفای؛ آن دستگاه دارای یک Routing table (جدول مسیریابی) است. این جدول معمولاً ساده است، اما همچنان شامل فرآیند مسیریابی میشود. اکثر هاستها از یک جدول مسیریابی با حداقل یک ورودی شبکه محلی و یک Default Route (مسیر پیشفرض) استفاده میکنند که به Default Gateway اشاره دارد.
اما هاستها میتوانند فراتر از یک Default Gateway داشته باشند. یک هاست میتواند Static Routes (مسیرهای ایستا) داشته باشد، یا یک VPN داشته باشد که مسیرها را به آن تزریق (Push) کند. همچنین میتواند از چندین اینترفیس با رفتارهای مسیریابی متفاوت استفاده کند.
به عنوان مثال، سرور S1 دارای سه کارت NIC متصل به دو شبکه مجزا است. برای استفاده از آنها، مدیر شبکه منطق زیر را برنامهریزی کرده است:
قانون ۱: ترافیک سازمانی را از طریق NIC-1 ارسال کن.
قانون ۲: ترافیک اینترنت را از طریق NIC-2 ارسال کن.
قانون ۳: اگر NIC-2 قطع شد، ترافیک اینترنت را از طریق NIC-3 ارسال کن.
این همان مفهومی است که نشان میدهد تجهیزات انتهایی چگونه اولین گام شبکه (First network hop) را برای ارسال ترافیک تعیین میکنند.
نکته کلیدی: مسیریابی از Endpointها شروع میشود. آنها هستند که اولین هاپ (Hop) را در شبکه انتخاب میکنند.
با نوشتن دستور route print در CMD میتوانید Route های ویندوز خود را مشاهده کنید.
جنبه مهم دیگر Endpointها این است که آنها در فرآیند آدرسدهی (Addressing) مشارکت دارند. هر دستگاهی که به شبکه متصل میشود به یک هویت منحصربهفرد نیاز دارد.
در لایه ۲ (Layer 2)، هر اینترفیس NIC دارای یک MAC address است. مکآدرس سختافزاری و برای هر پورت منحصربهفرد است.
در لایه ۳ (Layer 3)، هر اینترفیس NIC دارای یک IP address است. آدرسهای IP میتوانند استاتیک باشند یا توسط سرور DHCP اختصاص داده شوند.
علاوه بر این، هویتهای مدرن میتوانند شامل Hostnames (نام میزبان)، گواهینامههای دستگاه (Device certificates) و امضاهای مبتنی بر سیستمعامل (OS-based signatures) باشند.
در این سری آموزش ها، ما روی آدرسهای MAC، آدرسهای IP و Hostnameها تمرکز میکنیم. اینها شناسههای اصلی هستند که هنگام عیبیابی (Troubleshooting) مسائل مربوط به هاستهای انتهایی از آنها استفاده خواهید کرد.
در نهایت، به موضوع امنیت میپردازیم. Endpointها رایجترین اهداف حملات سایبری هستند. علاوه بر این، محافظت از آنها سختترین کار است زیرا بین شبکههای قابل اعتماد و غیرقابل اعتماد جابهجا میشوند، ممکن است به سرقت بروند یا تنظیمات آنها اشتباه پیکربندی شود.
نکته کلیدی: امنیت سازمانی از Endpointها شروع میشود.
به عنوان یک دانشجو شبکه، باید بدانید که شبکه مکملِ امنیتِ Endpoint است. برخی از اقدامات امنیتی رایجی که در شبکه پیادهسازی میکنیم عبارتند از:
DHCP snooping، Dynamic ARP inspection و IP source guard برای محدود کردن حملاتی که از Endpointها منشأ میگیرند.
802.1X برای اجبار به احراز هویت دستگاه قبل از دسترسی به شبکه.
VLANها برای جداسازی انواع مختلف دستگاهها.
ACLها و قوانین فایروال برای مسدود کردن ترافیک غیرقابل اعتماد.
Endpointها نقطه شروع و پایان تمام ارتباطات هستند.
آنها بستهها (Packets) را ایجاد و مصرف میکنند.
آنها درباره اولین هاپِ مسیریابی تصمیم میگیرند.
Endpointها جداول مسیریابی و ARP table را نگهداری میکنند.
آنها دارای هویتهای MAC، IP و Hostname هستند.
فراموش نکنید که سوئیچینگ و مسیریابی از لبه (Edge) شروع میشود، نه در سوئیچها و روترها.
حمید رضا اسفندیاری _ کارشناس شبکه و فناوری اطلاعات
