پروتکل کانال فیبر چیست

پروتکل Fiber Channelچیست؟

/0 دیدگاه/در , /توسط

پروتکل Fiber Channelچیست؟

جان ولینگ

یک شبکه فضای ذخیره‌سازی (SAN) اساساً مانند یک هارددیسک خارجی عمل می‌کند، با این تفاوت که هارد اکسترنال به‌شدت کنترل می‌شود، به یک شبکه متصل است و می‌تواند توسط چندین دستگاه استفاده شود. اما این سؤال پیش می‌آید که چگونه درایوهای ذخیره‌سازی را در یکSANبه کامپیوترهای سراسر شبکه متصل می کنید؟

پروتکل Fiber Channelچیست؟

پروتکل Fiber Channelیک  ابزار خیلی خاص صرفاً برای ذخیره‌سازی در نظر گرفته‌شده است. به طور خاص، پروتکل کانال فیبر فقط از پیام رسانی SCSI پشتیبانی می کند. SCSI یک رابط است که برای اتصال و ارتباط با درایوهای ذخیره‌سازی در رایانه استفاده می‌شود. شما احتمالاً فقط درایوهای SCSI را در سرور پیدا خواهید کرد، اما آن‌ها را می‌توان در ماشین‌های با کارایی بالا نیز یافت.

پروتکل Fiber Channelاز رسانه فیبر نوری برای انتقال پیام‌های SCSI از طریق شبکه استفاده می‌کند. این‌یک پروتکل SCSI با سرعت‌بالا و متصل به شبکه است.

بین پروتکل Fiber Channelو شبکه سنتی مبتنی بر اترنت شما تفاوت هایی وجود دارد. به عنوان مثال، پروتکل کانال فیبر از اتصال اترنت، IP، TCP یا UDP استفاده نمی کند. فریم ها (یا بسته ها) از طریق اترنت نیز ارسال نمی شوند.

پروتکل Fiber Channel، stack مخصوص به خود را دارد. فریم‌ها نیز کمی متفاوت از فریم اترنت سنتی شما هستندHeader . در فریم پروتکل Fiber Channel، 24 بایت است. یک فضای header اختیاری اضافی نیز وجود دارد که اندازه آن 64 بایت است .درنهایت، بخش محموله فریم، 2048 بایت وزن دارد .در برخی موارد، فضای header اضافی و بخش‌های محموله قاب باهم ترکیب می‌شوند.

FCoE ارسال فریم‌های Fiber Channelرا از طریق شبکه اترنت با پوشش دادن فریم‌های Fiber Channelدر داخل یک فریم اترنت تسهیل می‌کند.

آیا Fiber Channelبا سوئیچ‌های معمولی کار می‌کند؟

پروتکل Fiber Channelبا تجهیزات شبکه استاندارد سازگار نیست. پروتکل Fiber Chanel از اترنت، IP، TCP یا UDP استفاده نمی‌کند؛ بنابراین، تجهیزات شبکه استاندارد بیت‌های موردنیاز برای پردازش ارتباطات برای Fiber Channelرا ندارند.

در عوض، شبکه‌ها از تجهیزات خاصی که برای Fiber Channelساخته‌شده است استفاده می‌کنند. به‌عنوان‌مثال، سیسکو یک سری محصولات به نام سوئیچ‌های MDS دارد. این سوئیچ ها همچنان با استفاده از NX-OS کار می کنند. بسیاری از دستورات مشابهی که به‌طور معمول در یک سوئیچ استاندارد استفاده می‌شوند، برای مدیریت سوئیچ‌های MDS نیز استفاده می‌شوند. این سوئیچ‌ها از پروتکل Fiber Channel برای ارتباط استفاده می‌کنند.

گره‌ها یا سرورهای ذخیره‌سازی از آداپتورهای رابط شبکه استاندارد نیز استفاده نمی‌کنند. در عوض، آن‌ها از آداپتور باس میزبان استفاده می‌کنند. به نظر شبیه کارت شبکه فیبر نوری است اما به‌جای آن از پروتکل Fiber Channelاستفاده

آدرس MAC یک شناسه خاص برای هر دستگاه الکترونیکی است که به نحوی از طریق یک شبکه ارتباط برقرار می‌کند. روترها، سوئیچ‌ها و حتی گوشی هوشمند شما دارای آدرس MAC هستند. آن‌ها برای عملکرد یک شبکه مبتنی بر اترنت حیاتی هستند.

شبکه‌های Fiber Channel از آدرس‌های MAC استفاده نمی‌کنند. بااین‌حال، آن‌ها یک شناسه مشابه دارند. درواقع دو تا هستند. یکی WWNN یا نام گره جهانی نامیده می‌شود. دیگری WWPN یا نام پورت جهانی است. هر دو در دستگاه‌ها تعبیه شده‌اند و قابل‌تغییر نیستند. آن‌ها به روشی مشابه آدرس MAC کار می‌کنند.

مانند همه‌چیزهایی که در رایانه‌ها وجود دارد، پروتکل Fiber Channelمعمولاً بر روی دو قدرت عمل می‌کند. به‌عنوان‌مثال، این پروتکل با سرعت انتقال 1 گیگابایت شروع شد، سپس به2 و بعد به 4 گیگ ارتقا پیدا کرد. امروز ما سرعت64 گیگابایت را برای Fiber Channel داریم و سرعت 128 گیگابایت به‌زودی در دسترس خواهد بود.

پروتکل Fiber Channel خدمتی مفید در شبکه سازمانی مدرن امروزی است. Fiber Channelبه مدیران فناوری اطلاعات راهی می‌دهد تا حجم زیادی از ذخیره‌سازی را به شیوه‌ای کنترل‌شده تسهیل کنند. یادگیری Fiber Channelبرای هر شبکه یا sysadmin متعهد ضروری است.

مقایسه FCoE ، Fibre Channel و iSCSI

/0 دیدگاه/در , /توسط

برای هرکسی که نیاز به درک پروتکل‌های مختلف موجود برای اشتراک‌گذاری ذخیره‌سازی بلوک از طریق شبکه دارد، گزینه های زیادی وجود دارد. در ادامه به تفاوت‌های بین آن‌ها و اینکه چرا یک شخص یا سازمان در یک موقعیت خاص یکی را بر دیگری ترجیح می دهد، می پردازیم.

ذخیره‌سازی تحت شبکه چیست و چرا از آن استفاده می‌شود؟

در روزهای اولیه محاسبات، داده‌ها اغلب بر روی رسانه‌هایی مانند کارت پانچ، نوار مغناطیسی و فلاپی دیسک ذخیره می‌شدند. مسائل گوناگون رفاهی و قابلیت اطمینان با همه این‌ها وجود داشت. هنگامی‌که هارددیسک توسعه یافت و محبوب شد، انواع مختلف اتصال تکامل یافت. اما در بیشتر موارد، این شامل یک سیستم کامپیوتری بود. فضای ذخیره‌سازی و داده‌های ذخیره‌شده روی آن اساساً روی رایانه‌ای که به‌طور فیزیکی به آن متصل بود دنبال می‌شد. نقاط ضعف این مجموعه، دشواری دسترسی به داده‌ها از جاهای دیگر، علاوه بر اشغال بیشتر فضای دیسک است.

اختراع روش‌های به اشتراک‌گذاری این ذخیره‌سازی بین سیستم‌های کامپیوتری به حل این چالش‌ها کمک کرد. ذخیره‌سازی شبکه‌ای، تخصیص فضای دیسک در بلوک‌ها را به چندین رایانه امکان‌پذیر می‌کند و استفاده از فضای دیسک گران‌قیمت را بسیار کارآمدتر می‌کند. همچنین می‌تواند به‌عنوان‌مثال، خوشه‌ای از سرورهای پایگاه داده را فعال کند تا به‌طور هم‌زمان به همان داده‌ها دسترسی داشته باشند.

همچنین روش‌هایی برای اشتراک‌گذاری فایل‌ها در شبکه وجود دارد که به آن‌هاNAS (Network Attached Storage)  می‌گویند. این‌یک استراتژی کاملاً متفاوت است که دارای پروتکل‌های خاص خود مانند NFS، SMB و AFP است که خارج از بحث این مقاله است. در این مقاله، ما روی ذخیره‌سازی «بلاک» تمرکز می‌کنیم که قسمت هایی از فضای دیسک است که به نظر می‌رسد سیستم‌عامل رایانه مانند یک هارددیسک متصل به‌صورت محلی است.

SCSI چیست؟

SCSI نسل قبلی همه آن‌هاست. در گذشته روش‌های مختلفی مانند SASI، SMD، ESDI، ST-506 و غیره برای اتصال دیسک‌های سخت به رایانه‌ها وجود داشت. بیشتر اینها اختصاصی بودند، یعنی توسط سازنده‌ای مانند سیگیت یا آی‌بی‌ام با قابلیت تعامل متقابل اندک یا بدون تعامل متقابل با سایر تجهیزات فروشنده توسعه‌یافته بودند.

پروتکل SCSI (رابط سیستم کامپیوتری کوچک) از SASI (رابط سیستمی Shugart Associates ) تکامل‌یافته و در سال 1986 به استاندارد ANSI تبدیل شد. این استاندارد به تولیدکنندگان متعددی این امکان را داد تا به‌جای اینکه خریداران را مجبور به «lock in» با یک محصول شوند، محصولاتی را توسعه دهند که باهم کار کنند. این استاندارد به‌نوبه خود باعث افزایش محبوبیت آن شد.

یک پیاده‌سازی زیرسیستم معمولی SCSI )معمولاً “skuz-ee” تلفظ می‌شود(  شامل یک یا چند کنترلر (بردهای مدار با کانکتورهای کابل)، یک یا چند کابل روبان سیم مسی با چندین کانکتور دیسک سخت و مجموعه‌ای از هارددیسک است. برخی از ویژگی‌های اولیه SCSI مجموعه دستورات نسبتاً ساده‌ای است که برای کنترل هارددیسک‌ها استفاده می‌شود و تعداد دستگاه‌هایی که می‌توان به یک کنترلر متصل کرد (16 یا بیشتر). یکی از ایرادات این بود که طول کابل محدود پشتیبانی می‌شد، اما این مشکل در هارددیسک‌های یک سیستم کامپیوتری به‌ندرت پیش می آمد.

درحالی‌که این جنبه‌های فیزیکی یک زیرسیستم SCSI امروزه به‌ندرت در رایانه‌ها استفاده می‌شود، پروتکل SCSI خود به‌عنوان پایه‌ای برای پروتکل‌های جدیدتر مانند SAS (Serial Attached SCSI) و FC (کانال فیبر) ماندگاری پیداکرده است.

کانال فیبر (FC) چیست؟

کانال فیبر که به‌اختصار “FC” نامیده می‌شود، در اواخر دهه 1980 توسعه یافت و در سال 1994 به یک استاندارد موسسه استاندارد ملی آمریکا (ANSI) تبدیل شد. همان‌طور که از نام آن پیداست، بر اساس کابل‌کشی فیبر نوری چندحالته نسبتاً جدید طراحی‌شده است. به‌عنوان حمل‌ونقل فیزیکی، حداقل در سناریوهای دارای مسافت طولانی‌تر، برای غلبه بر برخی از محدودیت‌های لایه فیزیکی SCSI. FC درواقع می‌تواند روی کابل‌های مسی در فواصل کوتاه کار کند، اما محدودیت‌های فاصله در فیبر نوری بسیار بیشتر‌ است.

ازآنجاکه پروتکل SCSI بسیار محبوب و قوی بود، به‌عنوان یک «پروتکل لایه بالایی» که در بالای FC به‌عنوان پروتکل انتقال قرار داشت، پیاده‌سازی شد. به‌عبارت‌دیگر، FC اتصال فیزیکی، رمزگذاری و انتقال داده‌ها مانند دستورات SCSI را از یک نقطه پایانی به نقطه دیگر مدیریت می‌کند . FC درواقع قادر به انتقال انواع دیگری از داده‌ها است، اما ما در اینجا برای ذخیره‌سازی بلوک بر روی SCSI متمرکزشده‌ایم. یک شبکه FC دارای ویژگی‌های ارائه تحویل بدون تلفات داده‌های بلوک خام و همچنین تحویل «به ترتیب» بسته‌ها است که هر دو قابلیت اطمینان و کارایی را بهبود می‌بخشند.

کانال فیبر به سخت‌افزار طراحی‌شده خاصی نیاز دارد. سرورها باید یک پورت یا کارت “Host Bus Adapter” (HBA) داشته باشند و دستگاه‌های ذخیره‌سازی نیز باید یک رابط FC داشته باشند که در این مورد اغلب به‌عنوان یک پورت جلویی نامیده می‌شود. یک شبکه FC معمولاً به‌عنوان SAN (شبکه منطقه ذخیره‌سازی) نامیده می‌شود. تعدادی توپولوژی مختلف وجود دارد که یک FC SAN را می‌توان برای استفاده از آن‌ها پیکربندی کرد.

یک وضعیت معمولی شامل حداقل دو سوئیچ FC اختصاصی با چندین پورت فیزیکی است که هر سوئیچ نشان‌دهنده یک “Fabric” ازلحاظ فیزیکی جداگانه است و هر سرور یا دستگاه ذخیره حداقل یک اتصال به هر Fabric دارد. این ویژگی‌های اضافی افزونگی و پتانسیل بهبود عملکرد را فراهم می‌کند. اگر سوئیچ، HBA یا کابل فیبر نوری از کار بیفتد، اتصال به حافظه قطع نمی‌شود. در موارد خاص، از اتصالات متعدد می‌توان برای افزایش پهنای باند و توان استفاده کرد. کانال فیبر یک محیط بسیار غنی از امکانات است و مکانیسم‌های مختلفی برای کنترل مواردی دارد، مثلاً اینکه کدام‌یک از آغازگرها می‌توانند دستگاه‌های هدف را ببینند.

همچنین در اینجا شایان‌ذکر است که توسعه FC SAN، طراحی دستگاه‌های بزرگ با هارددیسک‌های زیاد را برای تولیدکنندگان امکان‌پذیر ساخت که عموماً به آن‌ها «آرایه‌های ذخیره‌سازی» می‌گویند. این‌ها معمولاً از یک روش حفاظت از داده‌ها مانند RAID (آرایه اضافی از دیسک‌های ارزان‌قیمت) استفاده می‌کنند که می‌تواند گروه‌هایی از هارددیسک‌های فیزیکی را در آرایه‌ها با چند کپی از داده‌ها یا یک برابری محاسبه‌شده که بازسازی داده‌ها را امکان‌پذیر می‌کند، ترکیب کند. اگر هارددیسک از کار بیفتد (که معمولاً با دیسک‌های چرخان اجتناب‌ناپذیر است)، می‌توان آن را به‌سادگی حذف و جایگزین کرد و داده‌ها روی درایو دوباره ساخته می‌شوند. فضای دیسک به‌صورت دلخواه بین سرورهای SAN در واحدهایی به نام Logical Unit Numbers (LUN) تقسیم می‌شود. بنابراین می‌توان از فضا به‌طور بسیار مؤثرتر و پویاتر استفاده کرد.

در حال حاضر، سرعت FC تا 128 گیگابایت در ثانیه (128GFC) در دسترس است. بااین‌حال، رایج‌ترین پیاده‌سازی در حال استفاده امروز 32  GFC، معمولاً با ترکیبی از دستگاه‌های کم‌سرعت در SAN است.

معایب کلیدی: FC SAN  نتیجه کلی استفاده از FC SAN سیستمی است که بسیار قابل‌اعتماد، بسیار مقاوم در برابر خطا و بسیار گران است. کارت‌های سرور HBA گران هستند، سوئیچ‌های FC و آرایه‌های ذخیره‌سازی بسیار گران هستند و حتی کابل‌های فیبر نوری که همه این‌ها را به هم متصل می‌کنند نیز ارزان نیستند.

پروتکل iSCSI چیست؟

پروتکل رابط سیستم های کامپیوتری کوچک اینترنت (iSCSI) برای استفاده از زیرساخت شبکه TCP/IP موجود برای انتقال داده‌های ذخیره‌سازی بلوک طراحی‌شده است. پیاده‌سازی iSCSI مانند FC به‌عنوان SAN شناخته می‌شود، اما در این مورد به‌طور خاص یک SAN iSCSI است. قابلیت‌ها و محدودیت‌های این فناوری از چند جهت با FC SAN متفاوت است.

پروتکل TCP/IP ترکیبی از»  لایه‌های» ارتباطی پروتکل کنترل حمل‌ونقل (TCP) و پروتکل اینترنت (IP) است. این استانداردها توسط کارگروه مهندسی اینترنت (IETF) تأیید و نگهداری می‌شوند. این پروتکل اساساً بلوک ساختمانی است که بیشتر فضای اینترنت همان‌طور که می‌دانیم بر روی آن ساخته‌شده است. آدرس‌های TCP/IP که برای هدایت بسته‌های داده از نقطه‌ای در اینترنت به نقطه دیگر استفاده می‌شوند جنبه‌ای است که اکثر ما با آن آشنا هستیم.

پروتکل iSCSI، به زبان ساده، دستورات SCSI است که دربسته‌های TCP/IP قرار داده شده‌اند و سپس از طریق هر شبکه فیزیکی موجود ارسال می‌شوند.  iSCSI به‌عنوان یک استاندارد توسط IETF در سال 2004 تصویب شد. اولین مزیت آشکار برای iSCSI این است که اکثر سرورها قبلاً به یک شبکه اترنت متصل هستند و حداقل یک آدرس IP دارند. بسیاری از آرایه‌های ذخیره‌سازی مدرن دارای قابلیت iSCSI هستند، بنابراین یک iSCSI SAN را می‌توان درست بر روی یک شبکه موجود ساخت. دومین مزیت این است که نیازی به خرید سخت‌افزار FC گران‌قیمت و اجرای مجموعه دوم کابل‌های فیبر نوری نیست.

برتری دیگر این روش این است که نیازی به یادگیری مهارت‌های Fiber Channel نیست. شرکتی که شبکه اترنت دارد احتمالاً قبلاً دارای پرسنل بادانش شبکه است و راه‌اندازی iSCSI نسبتاً آسان است.

معایب کلیدی iSCSI در مقابل کانال فیبر :بااین‌حال، برخی از معایب مشخصی برای استفاده از iSCSI در مقایسه با FC وجود دارد. اول، TCP/IP دارای سربار پردازش ذاتی است که می‌تواند عملکرد و پهنای باند را کاهش دهد .اترنت

“in order” frame delivery را تضمین نمی‌کند که باعث می‌شود TCP تشخیص دهد که بسته‌ها از بین رفته یا رها می‌شوند و آن‌ها را مجدداً ارسال می‌کند. یکی دیگر از معایب، افزونگی استFC SAN :ها معمولاً با چندین HBA روی سرورها، Fabrics دوگانه ایزوله و چندین پورت هدف روی آرایه‌های ذخیره‌سازی ساخته می‌شوند.

کانال فیبر از طریق اترنت (FCoE) چیست؟

شبکه‌های اترنت از اواسط دهه 1970  به شکلی وجود داشته‌اند که در مرکز تحقیقات زیراکس پالو آلتو (PARC) اختراع‌شده‌اند و فقط برای استفاده داخلی هستند. بااین‌حال زیراکس اجازه داد تا مشخصات عمومی منتشر شود و در سال 1983 توسط کمیته 802.3 موسسه مهندسین برق و الکترونیک (IEEE) به‌عنوان یک استاندارد تأیید شد. از آن زمان به بعد، اترنت در دفاتر، مراکز داده و حتی بیشتر خانه‌ها همه‌جا وجود دارد. سرعت از 3 مگابیت در ثانیه به 100 گیگابایت بر ثانیه و بالاتر افزایش‌یافته است.

FCoE یک استاندارد جدیدتر است که بخشی از استاندارد کمیته بین‌المللی استانداردهای فناوری اطلاعات (INCITS) T11 FC-BB-5 است که در سال 2009 منتشر شد. اساساً این امکان را می‌دهد تا بسته‌های کانال فیبر بومی را در فریم‌های اترنت قرار دهیم FCoE  .نیاز به اصلاحاتی در شبکه اترنت دارد، اما اکثر سوئیچ‌های اترنت مرکز داده مدرن از آن پشتیبانی می‌کنند. برای سرورها، FCoE می‌تواند بر روی یک رابط اترنت «استاندارد» اجرا شود، اما عملکرد هنگام استفاده از یک آداپتور شبکه همگرا (CNA) بسیار مناسب تر است. ازآنجایی‌که FCoE لایه‌ای است که مستقیماً بالای لایه اترنت اجرا می‌شود و TCP/IP را شامل نمی‌شود، روی شبکه‌های غیر پیوسته قابل مسیریابی نیست.

مزایای کلیدی FCoE نسبت به کانال فیبرمزایای FCoE  نسبت به FC خالص در درجه اول در کاهش هزینه، عدم نیاز به خرید سخت‌افزار اختصاصی FC و نه مهارت‌های پیشرفته موردنیاز برای نصب و مدیریت آن است. معایب آن این است که با FCoE، ترافیک ذخیره‌سازی از طریق شبکه‌ای مشابه سایر ترافیک‌ها ارسال می‌شود و مناقشه امکان‌پذیر است و تنها برخی از آرایه‌های ذخیره‌سازی از FCoE بومی پشتیبانی می‌کنند.

مزایای کلیدی FCoE نسبت به: iSCSI مزایای FCoE نسبت به iSCSI عمدتاً عملکرد و قابلیت اطمینان است، بااین‌حال با یک شبکه اترنت بسیار سریع در هر دو مورد، تفاوت ممکن است فقط در موقعیت‌های بسیار فشرده داده ظاهر شود. نقطه‌ضعف FCoE (بسته به دیدگاه فرد) این است که هنوز به مهارت‌های FC و سخت‌افزار پیشرفته نیاز دارد.

کانال فیبر،  FCoE یاiSCSI ؟ کدام یک مناسب تر است، چه زمانی و چرا؟ بنابراین چگونه می‌توانیم تصمیم بگیریم که کدام  را انتخاب کنیم؟ اول‌ازهمه، در مواردی که روی یک  datacenter قبلاً یک FC SAN نصب شده باشد ، اگر قدیمی و کند نباشد، توجیه تغییر از آن به یک‌راه حل مبتنی بر اترنت یا TCP/IP دشوار است. این وضعیت باوجود تجهیزات ذخیره‌سازی که از پروتکلی غیر از FC پشتیبانی نمی‌کند، تشدید می‌شود.

بااین‌حال، با نگاهی به آینده، درنهایت اکثر اجزای یک FC SAN به پایان عمر مفید خود نزدیک می‌شوند و نیاز به تعویض دارند. در بسیاری از موارد، یک شبکه اترنت سریع و مدرن در حال حاضر وجود دارد و سرورها از قبل دارای رابط‌های اترنت هستند، احتمالاً حتی قبلاً به CNA مجهز شده‌اند.

بنابراین انتخاب FCoE یا iSCSI ممکن است انتخاب مناسبی باشد. اگر خرید تجهیزات ذخیره‌سازی که قادر به پشتیبانی از پروتکل‌ها یا سوئیچ‌های «هیبریدی» هستند که می‌توانند بین شبکه‌های ذخیره‌سازی FC و شبکه‌های اترنت پل شوند، امکان‌پذیر باشد، این دیدگاه می‌تواند به واقعیت تبدیل شود. استفاده از iSCSI برای محیط‌های آزمایشگاهی کم‌هزینه یک مورد استفاده مناسب و بسیار محبوب است.

مفهومی به نام Iron Triangle «مثلث آهنی» وجود دارد که اغلب برای تجهیزات محاسباتی به کار می‌رود. این اصطلاح به این معنی است که: «سریع، خوب یا ارزان – هر دو را انتخاب کنید«. در مورد تجهیزات و پروتکل‌های ذخیره‌سازی، ممکن است جایگزینی کلمه «خوب» با «قابل‌اعتماد» منطقی‌تر باشد، اما به‌طورکلی این ایده در این بحث صدق می‌کند. اولویت‌های شما چیست؟  «سریع و قابل‌اعتماد»  یا روش توافقی هردو راه‌حل‌های قابل‌اجرا هستند – این انتخاب شماست.

 

تفاوت DNS با DNS OVER TLS (DOT) و (DOH)DNS OVER HTTPS

/0 دیدگاه/در , /توسط

پرس‌وجوهای DNS به‌صورت متن ساده ارسال می‌شوند، به این معنی که هرکسی می‌تواند آن‌ها را بخواند. DNS OVER HTTPS و DNS OVER TLS، پرسش‌ها و پاسخ‌های DNS را رمزگذاری می‌کنند تا جستجوی کاربر را ایمن و خصوصی نگه دارد. بااین‌حال، هر دو رویکرد مزایا و معایب خود رادارند.

چرا DNS به لایه‌های امنیتی بیشتری نیاز دارد؟

DNS دفترچه تلفن اینترنت است. DNS سرورها نام‌های دامنه قابل‌خواندن توسط انسان را به آدرس‌های IP قابل‌خواندن توسط ماشین ترجمه می‌کنند. به‌طور پیش‌فرض، پرسش‌ها و پاسخ‌های DNS به‌صورت متن ساده (از طریق UDP) ارسال می‌شوند، به این معنی که می‌توانند توسط شبکه‌ها، ISP ها یا هر سرویسی که قادر به نظارت بر انتقال است، خوانده شوند. حتی اگر وب سایتی از HTTPS استفاده کند، پرس و جوی DNS موردنیاز برای پیمایش به آن وب‌سایت در معرض دید قرار می‌گیرد.

این فقدانِ حریم خصوصی، تأثیر زیادی بر امنیت و در برخی موارد حقوق بشر دارد. اگر کوئری‌های DNS خصوصی نباشند، فیلتر اینترنت برای دولت‌ها و ایجاد مزاحمت توسط مهاجمان برای کاربران آسان‌تر می‌شود.

یک درخواست DNS معمولی و رمزگذاری نشده را مانند یک کارت‌پستال در نظر بگیرید که از طریق پست ارسال می‌شود: هرکسی که نامه را جابجا می‌کند ممکن است نگاهی اجمالی به متن نوشته‌شده در پشت آن بی اندازد، بنابراین عاقلانه نیست که کارت‌پستالی حاوی اطلاعات حساس یا خصوصی را از طریق پست ارسال کنیم.

DNS OVER TLS و DNS OVER HTTPS دو استاندارد هستند که برای رمزگذاری ترافیک DNS متن ساده به‌منظور جلوگیری از امکان تفسیر داده‌ها توسط هکرها، شرکت‌های تبلیغاتی، ISP ها و غیره ایجادشده‌اند. در ادامه قیاس، هدف این استانداردها قرار دادن یک پاکت در اطراف همه کارت‌پستال‌هایی است که از طریق پست ارسال می‌شود، به‌طوری‌که هرکسی می‌تواند یک کارت‌پستال بفرستد بدون اینکه نگران باشد زیر نظر قرار می‌گیرد.

DNS OVER TLS چیست؟

DNS OVER TLS یا DoT استانداردی برای رمزگذاری پرس‌وجوهای DNS برای ایمن و خصوصی نگه‌داشتن آن‌ها است. DoT از همان پروتکل امنیتی، TLS، استفاده می‌کند که وب‌سایت‌های HTTPS از آن برای رمزگذاری و احراز هویت ارتباطات استفاده می‌کنند. (TLS همچنین به‌عنوان “SSL” شناخته می‌شود.) DoT رمزگذاری TLS را در بالای پروتکل دیتا گرام کاربر (UDP) اضافه می‌کند که برای پرس‌وجوهای DNS استفاده می‌شود. علاوه بر این، تضمین می‌کند که درخواست‌ها و پاسخ‌های DNS از طریق حملات on-path دست‌کاری یا جعل نمی‌شوند.

DNS OVER HTTPS چیست؟

DNS OVER HTTPS یا DoH جایگزینی برای DoT است. با DoH، پرسش‌ها و پاسخ‌های DNS رمزگذاری می‌شوند، اما از طریق پروتکل‌های HTTP یا HTTP/2، نه مستقیماً از طریق UDP، ارسال می‌شوند؛ مانند DoT، DoH تضمین می‌کند که مهاجمان نمی‌توانند ترافیک DNS را جعل یا تغییر دهند. ترافیک DoH شبیه سایر ترافیک‌های HTTPS به‌عنوان‌مثال تعاملات عادی کاربر محور با وب‌سایت‌ها و برنامه‌های وب – از دیدگاه مدیر شبکه است.

در فوریه 2020، مرورگر موزیلا فایرفاکس شروع به فعال کردن DoH برای کاربران ایالات‌متحده کرد. پرس‌وجوهای DNS از مرورگر فایرفاکس توسط DoH رمزگذاری می‌شوند و به Cloud flare یا NextDNS می‌روند. چندین مرورگر دیگر نیز از DoH پشتیبانی می‌کنند، اگرچه به‌طور پیش‌فرض روشن نیست.

آیا HTTPS از TLS نیز برای رمزگذاری استفاده می‌کند؟ DNS over TLS و DNS over HTTPS چگونه متفاوت هستند؟

هر استاندارد به‌طور جداگانه توسعه‌یافته است و مستندات RFC* خود را دارد، اما مهم‌ترین تفاوت بین DoT و DoH در نوع پورتی است که استفاده می‌کنند. DoT فقط از پورت 853 استفاده می‌کند، درحالی‌که DoH از پورت 443 استفاده می‌کند که همان پورتی است که سایر ترافیک‌های HTTPS نیز از آن استفاده می‌کنند.

ازآنجایی‌که DoT یک پورت اختصاصی دارد، هرکسی که قابلیت دید شبکه را دارد می‌تواند ترافیک DoT را در حال رفت‌وآمد ببیند، حتی اگر خود درخواست‌ها و پاسخ‌ها رمزگذاری شده باشند. در مقابل، با DoH، پرسش‌ها و پاسخ‌های DNS در سایر ترافیک‌های HTTPS پنهان می‌شوند، زیرا همه از یک پورت می‌آیند و می‌روند.

*RFC مخفف «درخواست برای نظرات» است و RFC تلاش جمعی توسط توسعه‌دهندگان و کارشناسان شبکه برای استانداردسازی یک فناوری یا پروتکل اینترنت است.

پورت چیست؟

در شبکه، یک پورت یک مکان مجازی بر روی یک ماشین است که برای اتصالات سایر ماشین‌ها باز است. هر کامپیوتر شبکه‌ای دارای تعدادی استاندارد پورت است و هر پورت برای انواع خاصی از ارتباطات رزرو شده است.

محل بارگیری کشتی‌ها در یک بندر را در نظر بگیرید: هر بندر کشتیرانی شماره‌گذاری شده است و انواع مختلفی از کشتی‌ها قرار است برای تخلیه بار یا مسافران به بنادر کشتیرانی خاصی بروند. شبکه‌سازی نیز به همین صورت است: انواع خاصی از ارتباطات قرار است به پورت‌های شبکه خاصی بروند. تفاوت این است که پورت‌های شبکه مجازی هستند. آن‌ها مکان‌هایی برای اتصالات دیجیتال هستند تا اتصالات فیزیکی.

DoT یا DoH؟

پیرامون این موضوع اختلاف‌نظر زیادی وجود دارد. ازنقطه‌نظر امنیت شبکه، DoT مسلماً گزینه مناسب‌تری است. DoT به مدیران شبکه این امکان را می‌دهد که پرس‌وجوهای DNS را نظارت و مسدود کنند که برای شناسایی و توقف ترافیک مخرب مهم است. در همین حال، درخواست‌های DoH در ترافیک معمولی HTTPS پنهان هستند، به این معنی که نمی‌توان آن‌ها را به‌راحتی بدون مسدود کردن سایر ترافیک‌های HTTPS مسدود کرد.

بااین‌حال، از منظر حفظ حریم خصوصی، DoH مسلماً ارجح است. با DoH، پرس‌وجوهای DNS در جریان بزرگ‌تر ترافیک HTTPS پنهان می‌شوند. DoH به مدیران شبکه دید کمتری می‌دهد اما حریم خصوصی بیشتری را برای کاربران فراهم می‌کند.

تفاوت DNS با TLS/HTTPS و DNSSEC

DNSSEC مجموعه‌ای از پسوندهای امنیتی برای تأیید هویت سرورهای ریشه DNS و سرورهای نام معتبر در ارتباطات با سرورهای DNS است. DNSSEC برای جلوگیری از DNS Cache Poisoning، در میان سایر حملات، طراحی‌شده است. DNSSEC ارتباطات را رمزگذاری نمی‌کند. از سوی دیگر، DNS over TLS or HTTPS یا HTTPS، پرس‌وجوهای DNS را رمزگذاری می‌کند. 1.1.1.1 از DNSSEC نیز پشتیبانی می‌کند.

DNS

 DNS: انواع رکوردهای DNS، سرورهای DNS و Query های DNS

/0 دیدگاه/در /توسط

مفاهیم موردبحث در این مقاله:

  • 3 نوعDNS queries: بازگشتی، تکراری و غیر بازگشتی
  • 3 نوع سرور DNS: DNS Resolver، DNS Root Server و Authoritative Name Server
  • 10 نوع رکورد DNS رایج: ازجمله A، AAAA، CNAME، MX و NS

DNS چگونه کار می‌کند

DNS یک سیستم جهانی برای تبدیل آدرس‌های IP به نام‌های domain مشخص است. هنگامی‌که یک کاربر سعی می‌کند به یک آدرس وب مانند “example.com” دسترسی پیدا کند، مرورگر وب یک Query DNSرا در برابر یک سرور DNS اجرا می‌کند و نام میزبان را ارائه می‌دهد. سرور DNS نام میزبان را می‌گیرد و آن را به یک آدرس IP عددی تبدیل می‌کند که مرورگر وب می‌تواند به آن متصل شود.

مؤلفه‌ای به نام DNS Resolver مسئول بررسی موجودی نام میزبان در حافظه نهان محلی می باشد و در صورتی که این نام موجود نباشد با یک سری از سرورهای نام DNS ارتباط برقرار می کند تا درنهایت آی پی سرویسی را که کاربر می‌خواهد به آن دسترسی پیدا کند، دریافت کند و آن را به مرورگر یا برنامه برگرداند. این فرآیند معمولاً کمتر از یک ثانیه طول می‌کشد.

انواع DNS : سه نوع Query DNS

سه نوع Query در سیستم DNS وجود دارد:

  1. Query بازگشتی

در یک Query بازگشتی، یک سرویس‌گیرنده DNS یک نام میزبان را ارائه می‌دهد و » DNS Resolver باید» پاسخی را ارائه دهد – در صورت یافت نشدن، با یک رکورد منبع مرتبط یا یک پیام خطا پاسخ می‌دهد. Resolver یک فرآیند جستجوی بازگشتی را از DNS Root Serverشروع می‌کند تا زمانی که سرور نام معتبر را پیدا کند.

  1. Query تکراری

در یک Query تکراری، یک سرویس‌گیرنده DNS یک نام میزبان را ارائه می‌دهد و DNS Resolver مناسب ترین پاسخی را که می‌تواند بازمی‌گرداند. اگر DNS Resolver رکوردهای DNS مربوطه را در حافظه پنهان خود داشته باشد، آن‌ها را برمی‌گرداند. در غیر این صورت، کاربر DNS را به DNS Root Server یا سرور نام معتبر دیگری که نزدیک‌ترین منطقه DNS موردنیاز است ارجاع می‌دهد .سپس کاربرDNS باید Query را مستقیماً در برابر سرور DNS که به آن ارجاع داده‌شده است، تکرار کند.

  1. Query غیر بازگشتی

Query غیر بازگشتی Query است که DNS Resolver از قبل پاسخ آن را می‌داند یا فوراً یک رکورد DNS را برمی‌گرداند زیرا قبلاً آن را در حافظه پنهان محلی ذخیره می‌کند، یا از یک سرور نام DNS که برای رکورد معتبر است سؤال می‌کند، به این معنی که قطعاً IP صحیح را برای آن نام میزبان دارد. در هر دو مورد، نیازی به دورهای اضافی Query وجود ندارد (مانند Queryهای بازگشتی یا تکراری) .در عوض، یک پاسخ بلافاصله به کاربر بازگردانده می‌شود.

 انواع DNS:  سه نوع سرور DNS

موارد زیر رایج‌ترین انواع سرور DNS هستند که برای resolve نام‌های میزبان در آدرس‌های IP استفاده می‌شوند.

DNS Resolver

یک DNS Resolver، برای دریافت DNS queries که شامل یک نام میزبان مشخص مانند «www.example.com» است، طراحی‌شده است و مسئول ردیابی آدرس IP آن نام میزبان است.

DNS Root Server

DNS Root Server اولین گام در حرکت از نام میزبان به آدرس IP است DNS Root Server .دامنه (TLD) را از درخواست کاربر استخراج می‌کند – برای مثال www.example.com -جزئیاتی را برای سرور نام TLD.com ارائه می‌دهد. در نتیجه، آن سرور جزئیاتی را برای دامنه‌های دارای منطقه DNS.com ازجمله “example.com” ارائه می‌دهد.

13 Root Serverدر سراسر جهان وجود دارد که با حروف A تا M نشان داده‌شده است و توسط سازمان‌هایی مانند کنسرسیوم سیستم‌های اینترنت، Verisign، ICANN، دانشگاه مریلند و آزمایشگاه تحقیقات ارتش ایالات‌متحده اداره می‌شود.

Authoritative DNS Server

سرورهای سطح بالاتر در رده بندی DNS تعریف می‌کنند که کدام سرورDNS، Authoritative Name Server برای یک نام میزبان خاص است، به این معنی که اطلاعات به‌روز را برای آن نام میزبان نگهداری می‌کند.

Authoritative Name Server آخرین توقف در Query سرور نام است – نام میزبان را می‌گیرد و آدرس IP صحیح را به DNS Resolverبرمی‌گرداند (اگر دامنه را پیدا نکرد، پیام NXDOMAIN را برمی‌گرداند).

انواع 10 : DNS نوع رکورد برتر DNS

سرورهای DNS یک رکورد DNS برای ارائه اطلاعات مهم در مورد یک دامنه یا نام میزبان، به‌ویژه آدرس IP فعلی آن ایجاد می‌کنند. رایج‌ترین انواع رکورد DNS عبارت‌اند از:

  • رکورد نگاشت آدرس (A Record) – که به‌عنوان رکورد میزبان DNS نیز شناخته می‌شود، نام میزبان و آدرس IPv4 مربوط به آن را ذخیره می‌کند.
  •  IP نسخه 6 رکورد آدرس (AAAA Record) – نام میزبان و آدرس IPv6 مربوطه آن را ذخیره می‌کند.
  • رکورد نام (CNAME Record) Canonical می‌تواند برای نام مستعار میزبان نام میزبان دیگر استفاده شود. هنگامی‌که یک سرویس‌گیرنده DNS رکوردی را درخواست می‌کند که حاوی یک CNAME است که به نام میزبان دیگری اشاره می‌کند، فرآیند DNS resolution بانام میزبان جدید تکرار می‌شود.
  • رکورد مبدل ایمیل (MX Record) یک سرور ایمیل SMTP را برای دامنه مشخص می‌کند که برای مسیریابی ایمیل‌های خروجی به سرور ایمیل استفاده می‌شود.
  • رکوردهای سرور نام (NS Record) مشخص می‌کند که یک منطقهDNS، مانند “example.com” به یک سرور نام معتبر خاص واگذار می‌شود و آدرس سرور نام را ارائه می‌دهد.
  • سوابق اشاره‌گر جستجوی معکوس (PTR Record) – به یک DNS Resolverاجازه می‌دهد یک آدرس IP ارائه کند و یک نام میزبان دریافت کند (جستجوی معکوس DNS).
  • رکورد گواهی(CERT Record)  گواهی‌های رمزگذاری – PKIX، SPKI، PGP و غیره را ذخیره می‌کند.
  • محل سرویس (SRV Record) – یک رکورد موقعیت مکانی سرویس، مانند MX اما برای سایر پروتکل‌های ارتباطی.
  • Text Record (TXT Record) معمولاً داده‌های خوانای ماشین مانند رمزگذاری فرصت‌طلبانه، چارچوب خط‌مشی فرستنده، DKIM، DMARC و غیره را حمل می‌کند.
  • Start of Authority (SOA Record) این رکورد در ابتدای یک فایل منطقه DNS ظاهر می‌شود و سرور نام معتبر برای منطقه DNS فعلی، جزئیات تماس برای سرپرست دامنه، شماره‌سریال دامنه و اطلاعات مربوط به تعداد دفعات اطلاعات DNS را که برای این منطقه باید تجدید شود نشان می‌دهد.
خدمات DNS 

اکنون‌که ما انواع اصلی زیرساخت‌های DNS سنتی را پوشش دادیم، باید بدانید که DNS می‌تواند چیزی بیش از «سیستم لوله‌کشی» اینترنت باشد.  DNS خدمات فوق العاده ای ارائه می دهد، ازجمله:

این قابلیت‌ها توسط سرورهای DNS نسل بعدی که قادر به مسیریابی و فیلتر کردن ترافیک هوشمند هستند امکان‌پذیر شده است .

 

دنبال کردن یک لینک اضافه شده به صورت دستی

در خبرنامه فاراد عضو شوید

ارتباط با ما

تلفن

021-88694675

021-88694903

ایمیل

info@faradsys.com

فکس

021-89772050

فاراد را در فضای مجازی دنبال کنید

LinkedIn

Instagram

Aparat

Telegram

ذخیره ساز

ذخیره ساز HPE

ذخیره ساز EMC

امنیت

فایروال سیسکو

زیرساخت

سوئیچ سیسکو

روتر سیسکو