آشنایی با کلاس‌های مختلف و مهم شبکه‌های مجازی

کلاس‌های مختلف شبکه مجازی 

شبکه‌های مجازی در مقیاس کلان بر مبنای معماری‌های مختلفی پیاده‌سازی می‌شوند. هر یک از این معماری‌ها بر مبنای ملزومات سخت‌افزاری نصب‌شده در سازمان‌ها، نیازهای تجاری، تعداد کلاینت‌ها، نوع فعالیت سازمانی و غیره پیاده‌سازی می‌شوند. در ادامه، به چند مورد از شبکه‌های رایج در این زمینه اشاره می‌کنیم: 

1. شبکه نرم‌افزارمحور (Software-Defined Networking)

شبکه‌ نرم‌افزارمحور، یک معماری پیشرفته نرم‌افزاری است که بر مبنای لایه‌های مختلف و قابل تشخیص یک شبکه چابک و انعطاف‌پذیر را تعریف می‌کند. شبکه‌های گسترده نرم‌افزار محور با هدف بهبود کنترل بر ‌شبکه‌ها و توانمند ساختن شرکت‌ها و ارائه‌دهندگان خدمات برای پاسخ سریع به نیازهای در حال تغییر کسب‌وکارها پیاده‌سازی می‌شوند. در یک شبکه نرم‌افزارمحور، مدیر شبکه می‌تواند ترافیک را از طریق یک کنسول وب‌محور کنترل کند. کنترل‌کننده متمرکز شبکه‌های نرم‌افزارمحور بر عملکرد سوئیچ‌ها نظارت می‌کند تا سرویس‌های موردنیاز را در اختیار کاربران قرار دهد. در شبکه‌های نرم‌افزارمحور، نرم‌افزارها و کنترلرها مسئولیت تصمیم‌گیری‌ها و کنترل ترافیک شبکه را بر عهده دارند. در معماری سنتی شبکه، تصمیم‌گیری‌ها و نظارت بر عملکرد شبکه میان تجهیزات سخت‌افزاری مختلف مثل سوئیچ‌ها و روترها تقسیم می‌شوند، اما در SDN، کنترل شبکه به یک کنترلر مرکزی تخصیص داده می‌شود که تصمیم‌گیری‌ها را بر اساس خط‌مشی‌های ازپیش‌تعریف‌شده و نرم‌افزارهای کنترلری انجام می‌دهد. این کنترلر می‌تواند با استفاده از پروتکل‌های مختلفی با تجهیزات سخت‌افزاری ارتباط برقرار کند و دستورات کنترلی را به آن‌ها ارسال کند. مولفه‌های اصلی شبکه گسترده نرم‌افزارمحور به‌شرح زیر هستند: 

1.  کنترلر (Controller): کنترلر مرکزی SDN وظیفه مدیریت و کنترل شبکه را بر عهده دارد. این نرم‌افزار مسئول اجرای الگوریتم‌های تصمیم‌گیری بر اساس سیاست‌های شبکه است. کنترلر می‌تواند با استفاده از پروتکل‌هایی مانند OpenFlow با تجهیزات سخت‌افزاری ارتباط برقرار کند و دستورات کنترلی را به آن‌ها ارسال کند.
2.  تجهیزات سخت‌افزاری (Hardware Devices): تجهیزات سخت‌افزاری شبکه مانند سوئیچ‌ها و روترها که قابلیت پشتیبانی از پروتکل OpenFlow را دارند، با کنترلر ارتباط برقرار می‌کنند و بر اساس دستورات ارسالی توسط کنترلر عمل می‌کنند. این تجهیزات معمولا به‌عنوان تجهیزات مدیریت‌شده (Managed Devices) شناخته می‌شوند.
3.  رابط برنامه‌نویسی (Programming Interface): از این رابط‌ها برای ارتباط با کنترلر استفاده می‌شود. این رابط به برنامه‌نویسان اجازه می‌دهد تا برنامه‌ها و خدمات جدیدی را برای کنترل و مدیریت شبکه ایجاد کنند.

معماری شبکه گسترده نرم‌افزارمحور

به‌طور کلی، معماری شبکه گسترده نرم‌افزارمحور شامل سه لایه برنامه، کنترل و زیرساخت است (شکل 1). این لایه‌ها با استفاده از رابط‌های برنامه‌نویسی کرانه‌شمالی (Northbound) و کرانه‌جنوبی (Southbound) با یک‌دیگر در ارتباط هستند. 

لایه کاربرد

لایه کاربرد شامل برنامه‌های معمولی شبکه و سرویس‌هایی است که سازمان‌ها استفاده می‌کنند. این لایه می‌تواند شامل سیستم‌های تشخیص نفوذ، متعادل‌کننده بار یا فایروال‌ها باشند. در جایی که یک شبکه سنتی از یک دستگاه تخصصی مانند فایروال یا متعادل‌کننده بار استفاده می‌کند، یک شبکه نرم‌افزارمحور، تجهیزات سخت‌افزاری را با نمونه‌های منطقی جایگزین می‌کند و از یک کنترل‌کننده برای مدیریت رفتار صفحه داده استفاده می‌کند.

لایه کنترل

لایه کنترل نشان‌دهنده نرم‌افزار کنترل‌کننده SDN است که به‌عنوان مغز شبکه عمل می‌کند. این کنترلر بر روی یک سرور قرار دارد و خط‌مشی‌ها و جریان‌های ترافیکی را در سراسر شبکه مدیریت می‌‌کند. کنترلر مرکزی (Controller) وظیفه مدیریت و کنترل شبکه را بر عهده دارد. کنترلر با استفاده از پروتکل‌های مختلفی مانند OpenFlow، برنامه‌ریزی ترافیک شبکه را انجام می‌دهد و دستورات کنترلی را به تجهیزات سخت‌افزاری ارسال می‌کند. کنترلر می‌تواند تصمیم‌گیری‌ها را بر اساس سیاست‌های شبکه بگیرد و مسیردهی ترافیک، تنظیمات امنیتی و سایر عملیات شبکه را کنترل کند.

لایه زیرساخت

لایه زیرساخت از سوئیچ‌های فیزیکی تشکیل شده است. این سوئیچ‌ها ترافیک شبکه را به مقصد هدایت می‌کنند. در این لایه، تجهیزات سخت‌افزاری دیگری مثل روترها و فایروال‌ها نیز قرار دارند. این تجهیزات قابلیت پشتیبانی از پروتکل OpenFlow را دارند که این امر به کنترلر امکان می‌دهد با آن‌ها ارتباط برقرار کند و دستورات کنترلی را ارسال کند. تجهیزات سخت‌افزاری در این لایه، عملیات فیزیکی شبکه را انجام می‌دهند، مانند انتقال داده‌ها، تغییر مسیردهی و تنظیمات سخت‌افزاری.

لایه تجزیه‌وتحلیل (Analysis Layer)

در این لایه، اطلاعات مربوط به عملکرد شبکه و جریان‌های ترافیکی تحلیل می‌شوند. تجزیه‌وتحلیل می‌تواند شامل مدیریت پهنای باند، تشخیص و پیش‌بینی مشکلات شبکه، بهینه‌سازی ترافیک و بهبود کارایی شبکه باشد.

لایه گسترشی (Extension Layer)

در این لایه، امکانات و قابلیت‌های اضافی به معماری SDN افزوده می‌شوند که می‌تواند شامل اتصال سرویس‌های خارجی، توسعه پلاگین‌ها و برنامه‌های جدید با هدف افزایش کارایی و امنیت شبکه باشد.

واسط‌های برنامه‌نویسی کاربردی 

این سه لایه با استفاده از واسط‌های برنامه‌نویسی شمالی و جنوبی با هم در ارتباط هستند. برنامه‌ها از طریق رابط شمالی با کنترلر در ارتباط هستند. کنترل‌کننده و سوئیچ‌ها با استفاده از رابط‌های جنوبی، مثل OpenFlow با یک‌دیگر در ارتباط هستند، هرچند پروتکل‌های دیگری نیز در این زمینه استفاده می‌شود. در حال حاضر هیچ استاندارد رسمی برای API کنترلر شمالی وجود ندارد که بتواند با OpenFlow به‌عنوان یک رابط عمومی به سمت جنوب هماهنگ باشند. این احتمال وجود دارد که API شمالی کنترلر OpenDaylight در آینده به‌عنوان یک استاندارد مورد توجه قرار بگیرد، البته این مسئله به نظر فروشندگان محصولات شبکه بستگی دارد. 

شبکه گسترده نرم‌افزار محور چه ویژگی‌هایی دارد؟

از مزایای این شبکه‌ها به موارد زیر باید اشاره کرد:

• انعطاف‌پذیری: با استفاده از SDN، مدیران شبکه می‌توانند به ‌سرعت تغییراتی را در تنظیمات شبکه اعمال کنند و شبکه را در کوتاه‌ترین زمان با نیازهای جدید و تغییرات درخواستی سازگار کنند.
• مدیریت مرکزی: با SDN، کنترل و مدیریت شبکه از طریق یک نقطه مرکزی انجام می‌شود که باعث سهولت در مدیریت و پیکربندی شبکه می‌شود.
• بهینه‌سازی ترافیک: با استفاده از SDN، ترافیک شبکه به‌صورت مرکزی و با استفاده از الگوریتم‌های هوشمند توزیع می‌شود که استفاده بهینه از پهنای باند را به‌همراه خواهد داشت. 

2. شبکه خصوصی مجازی (Virtual Private Network)

راهکاری برای برقراری ارتباط امن بین دو شبکه فیزیکی یا بین یک کامپیوتر منفرد و یک شبکه فیزیکی ارائه می‌دهد. با استفاده از پروتکل‌های رمزنگاری، اطلاعات ارسالی در یک شبکه خصوصی مجازی از دسترسی غیرمجاز محافظت می‌شوند. شبکه خصوصی مجازی، امکان دسترسی به منابع شبکه از مکان‌های مختلف را به‌وجود می‌آورد و به کاربران اجازه می‌دهد از طریق اینترنت به‌صورت امن به داده‌ها و سرویس‌های شبکه دسترسی پیدا کنند. هدف اصلی به‌کارگیری یک شبکه خصوصی مجازی، ایجاد یک ارتباط امن و محرمانه بین دستگاه‌ها در محیطی است که میزبان شبکه‌های عمومی غیرامن است. با استفاده از شبکه خصوصی مجازی، اطلاعاتی که بین دستگاه‌ها ارسال می‌شوند، رمزنگاری می‌شوند تا در صورت استفاده همزمان از شبکه‌های عمومی، قابلیت خواندن اطلاعات توسط افراد غیرمجاز وجود نداشته باشد.

علاوه بر این، شبکه خصوصی مجازی به کاربران اجازه می‌دهد به منابع شبکه داخلی یک سازمان دسترسی پیدا کنند، حتا اگر از مکان دوری به شبکه وصل شده باشند. به عبارت دیگر، با استفاده از شبکه خصوصی مجازی، کاربران می‌توانند به‌صورت امن به فایل‌ها، سرویس‌ها و منابع شبکه داخلی دسترسی پیدا کنند. یک شبکه خصوصی مجازی از تکنولوژی‌های مختلفی مانند پروتکل‌های رمزنگاری، تونل‌سازی و احراز هویت استفاده می‌کند تا ارتباط امن را فراهم کند. نوع اتصال شبکه خصوصی مجازی می‌تواند متناسب با نیازها و شرایط خاص متفاوت باشد. 

معماری شبکه خصوصی مجازی به چه صورتی است؟

معماری یک شبکه خصوصی مجازی شامل چند عنصر کلیدی است که در تعامل با یک‌دیگر ارتباط امن و اتصال پایدار به شبکه خصوصی را به‌وجود می‌آوروند. این عناصر به‌شرح زیر هستند: 

• کلاینت‌ها: دستگاه‌هایی هستند که به شبکه خصوصی مجازی متصل می‌شوند. کلاینت‌ها می‌توانند کامپیوترها، تلفن‌‌های همراه‌، تبلت‌ها و سایر دستگاه‌ها باشند. آن‌ها برای اتصال به شبکه خصوصی به نرم‌افزار و تنظیمات خاصی نیاز دارند تا بتوانند به شبکه خصوصی مجازی متصل شوند. 
• سرور شبکه خصوصی مجازی: مسئول مدیریت ارتباط با کلاینت‌ها است. این سرور معمولا دارای نرم‌افزار و سخت‌افزار خاصی است که پروتکل‌های رمزنگاری و تونل‌زنی را پشتیبانی می‌کند. کلاینت‌ها از طریق این سرور به شبکه خصوصی متصل می‌شوند و ترافیک آن‌ها از طریق سرور عبور می‌کند.
• پروتکل‌های رمزنگاری: برای ایجاد ارتباط امن از پروتکل‌های رمزنگاری استفاده می‌شود. پروتکل‌هایی مثل IPSec، L2TP و SSTP می‌توانند با استفاده از الگوریتم‌های رمزنگاری قوی، اطلاعات مبادله‌شده میان کلاینت و سرور را رمزگشایی و رمزنگاری کنند.
• پروتکل‌های تونل‌سازی: پروتکل‌های تونل‌سازی اطلاعات را در یک تونل امن از طریق شبکه‌های عمومی منتقل می‌کنند. این تونل‌ها نقش مهمی در محافظت از اطلاعات دارند و مانع از دسترسی غیرمجاز به اطلاعات می‌شوند. از پروتکل‌های تونل‌سازی معروف باید به PPTP، L2TP/IPSec و SSTP اشاره کرد. 
• خط‌مشی‌های دسترسی: خط‌مشی‌های دسترسی به شبکه خصوصی مجازی توسط مدیر شبکه تعیین می‌شوند. این خط‌مشی‌ها مشخص می‌کنند کاربران به چه منابع و سرویس‌های شبکه دسترسی خواهند داشت و چه محدودیت‌هایی برای آن‌ها اعمال شود.

معماری شبکه خصوصی مجازی می‌تواند در مقیاس کوچک یا بزرگ پیاده‌سازی شود. به‌طور مثال، دفاتر پیشخوان دولت و پلیس+10 از شبکه‌های خصوصی مجازی به‌همراه الگوریتم‌های رمزنگاری اطلاعات استفاده می‌کنند تا اطلاعاتی که میان شعب مختلف و شعبه مرکزی مبادله می‌شوند توسط هکرها قابل شنود نباشد. 

به بیان دقیق‌تر، هنگامی که اپراتور اطلاعاتی را ارسال می‌کند در همان ابتدا، فرآیند رمزنگاری انجام شده و سپس از طریق تونل‌های امن که بازهم اطلاعات را رمزنگاری دوباره می‌کنند به مقصد ارسال می‌شوند. در این حالت، اگر هکری موفق به نفوذ به شبکه شود، بازهم قادر به رمزگشایی، تحریف یا سرقت اطلاعات نخواهد بود. همچنین، ذکر این نکته ضروری است که علاوه بر موارد یادشده، نکات دیگری مثل مدیریت کلیدها، شناسایی و احراز هویت کاربران، مدیریت ترافیک و قابلیت‌های امنیتی دیگر نیز باید در نظر گرفته شوند تا یک شبکه خصوصی مجازی به‌طور کامل امن و مطمئن عمل کند.

3. شبکه ابری مجازی (Virtual Cloud Network)

شبکه ابری مجازی، یکی از مفاهیم مهم این روزهای دنیای فناوری اطلاعات است که به معنای یک شبکه‌ خصوصی مجازی و سفارشی است که بر بستر ابر تعریف می‌شود. در این معماری، شبکه‌ها و منابع شبکه مجازی شده و به‌صورت مجزا از زیرساخت فیزیکی مدیریت می‌شوند. شبکه ابری مجازی بر مبنای مجموعه‌ای از منابع شبکه مجازی پیاده‌سازی می‌شود. ابر می‌تواند شامل سرویس‌های ابری مانند ماشین‌های مجازی (Virtual Machines)، سرورهای ابری (Cloud Servers)، ذخیره‌سازی ابری (Cloud Storage) و سایر سرویس‌های موردنیاز کسب‌وکارها باشد. شبکه ابری مجازی تمامی منابع موردنیاز کاربران را به‌شکل مجازی در اختیارشان قرار می‌دهد. 

با استفاده از شبکه ابری مجازی، کاربران می‌توانند شبکه‌های مجازی خود را در محیط ابری پیاده‌سازی کنند. آن‌ها می‌توانند شبکه‌های خصوصی مجازی، زیرشبکه‌ها، آدرس‌دهی آی‌پی، فایروال‌ها، متعادل‌کننده‌های بار، سوئیچ‌ها و سایر عناصر شبکه را به‌شکل منطقی تعریف و پیکربندی کنند. شبکه ابری مجازی امکاناتی را فراهم می‌کند که به کاربران اجازه می‌دهد بر روی زیرساخت شبکه مجازی خود کنترل داشته باشند، منابع را مدیریت کنند و قابلیت‌های شبکه را به‌صورت پویا تغییر دهند. علاوه بر این، با استفاده از شبکه ابری مجازی، می‌توان به مقیاس‌پذیری (Scalability) و انعطاف‌پذیری (Flexibility) بیشتری در مدیریت شبکه دست یافت.

معماری شبکه ابری مجازی به چه صورتی است؟

معماری شبکه ابری مجازی ممکن است بر اساس تکنولوژی‌ها و پروتکل‌های مختلفی پیاده‌سازی شود، اما در حالت کلی، این معماری شامل عناصر زیر است:

• منابع فیزیکی: شامل زیرساخت فیزیکی است که شبکه ابری مجازی روی آن ایجاد می‌شود. این زیرساخت شامل سرورها، سوئیچ‌ها، روترها، تجهیزات ذخیره‌سازی و دیگر تجهیزات رایج در مراکز داده است. 
• هسته شبکه مجازی (Virtual Network Core): مولفه مرکزی شبکه ابری مجازی است که وظایف مدیریتی و کنترلی را بر عهده دارد. هسته شبکه مجازی معمولا بر اساس نرم‌افزارهای مجازی‌ساز (Virtualization Software) و سیستم‌های مدیریت شبکه (Network Management Systems) پیاده‌سازی می‌شود. این هسته، عملیاتی مانند ساخت و مدیریت شبکه‌های مجازی، تخصیص منابع، مانیتورینگ، امنیت و نظارت بر خط‌مشی‌ها را انجام می‌دهد. 
• شبکه‌های مجازی (Virtual Networks): در معماری شبکه ابری مجازی، شبکه‌های مجازی برای تفکیک ترافیک و ایزوله کردن منابع شبکه استفاده می‌شوند. هر شبکه مجازی می‌تواند شامل زیرشبکه‌ها، سوئیچ‌ها، روترها، فایروال‌ها و سایر عناصر شبکه باشد. این شبکه‌ها می‌توانند به‌صورت مجازی درون زیرساخت فیزیکی ایجاد و پیکربندی شوند و با یک‌دیگر ارتباط برقرار کنند.
• ترافیک داخلی (Internal Traffic): در شبکه ابری مجازی، ترافیک بین شبکه‌های مجازی و منابع داخلی شبکه به‌عنوان ترافیک داخلی شناخته می‌شود. این ترافیک بین زیرشبکه‌ها، سرورها، سوئیچ‌ها و سایر منابع شبکه درون هسته شبکه مجازی جابه‌جا می‌شود.
• ترافیک خارجی (External Traffic): ترافیکی که بین شبکه‌های مجازی و منابع بیرونی شبکه ابری مبادله می‌شود، به‌عنوان ترافیک خارجی شناخته می‌شود. این ترافیک می‌تواند از طریق اتصالات شبکه ابری با دیگر مراکز داده، اینترنت یا منابع خارجی مبادله شود. 

4. شبکه محلی مجازی (Virtual Local Area Network)

شبکه محلی مجازی راهکاری برای تقسیم یک شبکه فیزیکی به قسمت‌های کوچک‌تر و منطقی در اختیار کارشناسان قرار می‌دهد. در یک شبکه VLAN، دستگاه‌هایی که در یک گروه خاص قرار دارند (به‌طور مثال بر اساس بخش‌های سازمانی یا واحدهای کسب‌وکار) با یک‌دیگر در ارتباط هستند، به طوری که به‌نظر می‌رسد در یک شبکه محلی فیزیکی قرار دارند. شبکه محلی مجازی، این قابلیت را به مدیران شبکه می‌دهد تا به‌طور منطقی یک شبکه بزرگ را تقسیم کنند و سطح دسترسی و پارامترهای امنیتی مشخصی برای هر بخش تعیین کنند. با استفاده از VLAN، می‌توان دستگاه‌های مختلف را در یک شبکه فیزیکی گروه‌بندی کرده و بر مبنای شرایط خاصی به گروه‌ها اجازه داد با یک‌دیگر در ارتباط باشند. به عبارت دیگر، دستگاه‌هایی که در یک VLAN قرار می‌گیرند، قابلیت ارتباط و تبادل اطلاعات با یک‌دیگر را دارند، در حالی که با سایر VLAN‌ها ارتباط مستقیم ندارند.

با استفاده از VLAN، می‌توان تنظیمات امنیتی و سطوح دسترسی را در سطح منطقی برای هر VLAN به‌شکل جداگانه تعیین کرد. بنابراین، مدیران توانایی بیشتری برای نظارت و مدیریت ترافیک شبکه دارند و قادر هستند به‌شکل ساده‌ای دستگاه‌های مختلف را در گروه‌های مجزا قرار دهند، حتا اگر آن دستگاه‌ها در یک سوئیچ فیزیکی قرار داشته باشند. به‌طور کلی، استفاده از VLAN در شبکه‌ها برای مدیریت بهتر، افزایش امنیت و کاهش ترافیک غیرضروری مفید است. همچنین، با استفاده از تکنولوژی‌های مختلف این امکان وجود دارد تا شبکه‌های محلی مجازی را در مقیاس کلان و بزرگ مورد استفاده قرار داد. 

معماری VLAN به چه صورتی است؟

معماری VLAN بر اساس اصل تقسیم‌بندی پورت‌محور (Port-Based) و شناسه‌محور یا تگ‌محور (Tag-Based) استوار است. در روش تقسیم‌بندی پورت‌محور، پورت‌های سوئیچ شبکه به گروه‌های مجازی تقسیم می‌شوند. به عبارت دیگر، دستگاه‌هایی که به یک پورت متصل هستند، در یک VLAN قرار می‌گیرند. این روش معمولا برای شبکه‌های کوچکتر و ساده‌تر استفاده می‌شود.

در روش تقسیم‌بندی بر اساس شناسه شبکه، از استاندارد 802.1Q استفاده می‌شود. در این روش، هر بسته داده با یک برچسب VLAN (VLAN Tag) مشخص می‌شود که شناسه VLAN را در خود دارد. این برچسب در سرآیند بسته قرار می‌گیرد و سوئیچ‌های شبکه بر اساس آن، بسته‌ها را به گروه‌های VLAN متناظر هدایت می‌کنند. این روش امکان ایجاد VLAN‌های بیشتر و پیچیده‌تر را به‌وجود می‌آورد و در شبکه‌های بزرگ‌تر استفاده می‌شود. با استفاده از معماری VLAN، می‌توانید شبکه را به گروه‌های منطقی تقسیم کنید تا فرآیند نظارت به‌شکل دقیق‌تری انجام شود و امنیت نیز به میزان قابل توجهی بهبود پیدا کند. همچنین، قابلیت‌هایی مانند تعریف شبکه‌های محلی مجازی مهمان (Guest VLAN) و شبکه‌های محلی مجازی صوتی/تصویری (Voice/Video VLAN) نیز قابل پیاده‌سازی هستند.