التراسل النفقي (tunneling communication) وتطبيقاته في المايكروتك
تتميز بيئة الشبكات بالوسائط المشتركة سواء اكانت سلكية او لاسلكية والسبب في ذلك ان كل من المرسل والمستلم يكون عادة متعدد المتطلبات في الوقت الواحد فتجد ان الحاسوب الواحد يتصفح صاحبه عدة صفحات ومواقع في نفس الوقت ويقوم بتنزيل عدة ملفات في نفس الوقت وكذلك فأن السيرفر الواحد يخدم مئات وربما الالف الزبائن في نفس الوقت ويستخدم نفس الوسط الناقل سلكي او لاسلكي للوصول الى الجميع وبذلك يكون تعميم وسائط النقل هو وسيلة لاستغلال الوقت وزيادة الكفاءة وتغطية عدد اكبر من التطبيقات والمستخدمين والمراسلات في وقت واحد.
ولكن نفس هذه الميزة الحسنة لزيادة الكفاءة والمرونة والاستغلال لموارد الشبكة جاءتنا بسلبية كبيرة وهي مشكلة الامنية والخصوصية حيث ان المرور المشترك للبيانات يخلق مشاكل في الحفاظ على الامنية ويسهل على المخترقين والمخربين قابلية الوصول الى البيانات الخاصة بأشخاص اخرين الامر الذي يتطلب وجود حلول لهذه المشكلة وقد بدأت الحلول بالظهور مبكراً وتنوعت بين تقسيم الشبكة الى شبكات فرعية او جزئية افتراضي (Virtual Local Area Network VLAN) او شبكات خاصة افتراضية (Virtual Private Networks) وهذا على المستوى السلكي بأستخدام الموجهات (Routers) والمحولات (switches) واما في الوسط اللاسلكي المفتوح فالمشكلة اعقد واكبر لأن البث المتنوع والمتعدد يعتمد على تقسيم حيز الاستلام والاستقبال الى قنوات (channels) متاحة للجميع ويستطيع الجميع وضع جهاز استلام وضبط تردد الاستقبال فيه واستلام كل انواع البث في ذلك التردد ولذلك ظهرت الكثير من الحلول لهذه المشكلة ومن اوائل هذه الحلول هو الاتصال عبر نفق وهمي في الفضاء المفتوح يضمن للمرسل ان المستلم المقصود فقط هو من سيفهم البيانات المرسلة اليه بوضع مفتاح تشفير خاص في جهة الارسال لتشفير البيانات المرسلة بحيث لا يستطيع فهمها وتحليلها الا من يمتلك ذلك المفتاح والذي يقوم في الطرف الاخر بفك التشفير وارجاع البيانات المستلمة الى صيغتها الاصلية القابلة للفهم وقد سميت مجموعة البروتوكولات التي تدعم هذه الخاصية ببروتوكولات الاتصال من نقطة الى نقطة (Point to Point Protocol PPP) وهو باختصار بروتوكول اتصال بين نقطتين في الشبكة يوفر خاصية التشفير (encryption) والدخول باسم مستخدم وكلمة مرور (Authentication) وضغط البيانات المرسلة (compression) ويستخدم في كل انواع الشبكات تقريباً من الاسلاك التسلسلية وخطوط الهاتف وخطوط النقل الرئيسية (trunk lines) والهواتف الخلوية والالياف الضوئية واتصالات موجات الراديو وابسط تطبيقات هذا النوع هو وسيلة الاتصال الاكثر شيوعاً بين مزودي الخدمة (ISP) والزبائن والمسماة الاتصال واسع النطاق (broadband connection) وفي ادناه اشهر تطبيقات هذا البروتوكول:
1- بروتوكول نقطة الى نقطة عبر الايثرنت (Point to Point Protocol Over Ethernet PPPOE) والذي يوفر قابلية تحكم وادارة كبيرة بالمستخدمين والشبكة وذو فائدة كبيرة لمزودي الخدمة ويعتبر الان هو البروتوكول الاكثر شيوعاً في تزويد خدمة الانترنت من قبل (ISP) للمشتركين عبر الانواع المختلفة من خطوط الاشتراك الرقمي (Digital Subscriber Line xDSL) وخطوط المودم وشبكات الايثرنت الطبيعية ويعتبر هذا البروتوكول هو امتداد للبروتوكول (PPP) الا ان الفرق الوحيد ان هذا البروتوكول يستخدم الايثرنت للأتصال على خلاف البروتوكول الاصلي الذي كان يستخدم الخطوط التسلسلية (serial cables). يستخدم هذا البروتوكول بشكل رئيسي لأدارة اتصالات المستخدمين بواسطة اسم مستخدم وكلمة مرور سواء مع العناوين الثابتة او المتغيرة (Static or DHCP addresses) ويعمل في الطبقة الثانية (data link layer) من مكدس الشبكات ذو الطبقات السبع ويعمل في كافة انواع المحولات (Switches) والجسور (bridges).
2- بروتوكول النفق من نقطة الى نقطة (Point to Point Tunnel Protocol PPTP): وهو عبارة عن نفق مؤمن يوفر قابلية ارسال واستقبال البيانات المعنونة ب (IP) عبر PPP حيث يقوم هذا البروتوكول بكبسلة (encapsulation) رزم البيانات وارسالها في رزم (IP). يقوم هذا البروتوكول بدمج كل من ال (PPP) وال (MPPE) وهو تشفير مايكروسوفت من نقطة الى نقطة (Microsoft Point to Point Encryption ) لعمل روابط مشفرة والغرض من هذا البروتوكول هو عمل روابط مؤمنة تدار بشكل جيد بين الموجهات في طرف والزبائن للبروتوكول (PPTP) من طرف اخر كذلك بين الموجهات فقط ويتوفر الدعم لهذا البروتوكول في كل نظم التشغيل تقريباً بما فيها الويندوز وله دعم كبير في نظام تشغيل المايكروتك وكما سيرد لاحقاً.
3- بروتوكول النفق للطبقة الثانية (Layer 2 Tunnel Protocol L2TP): وهو بروتوكول نفقي لدعم الشبكات الخاصة الافتراضية (VPN) او كجزء من ايصال خدمات الشبكة الدولية من قبل ال (ISP) وعلى خلاف البروتوكولات السابقة فأن هذا البروتوكول لا يوفر تشفير او سرية بذاته وانما يعتمد على الية النفق الذي سيقوم بالارسال والاستقبال من خلاله وهو في الحقيقة عبارة عن حصيلة جمع اثنين من البروتوكولات الاقدم وهما بروتوكول سيسكو للتوجيه (Cisco Layer 2 Forwarding Protocol L2F) وبروتوكول ال (PPTP).
4- بروتوكول النفق ذو المقبس الامن (Secure Socket Tunnel Protocol SSTP): ويقوم بنقل نفق النقطة الى نقطة عبر قناة طبقة المقبس الامنة من الاصدار الثالث (Secure Socket Layer SSL 3.0) وبأستخدام المنفذ 443 في ال (TCP) مما يجعله يمر افتراضياً عبر كل الجدران النارية وسيرفرات البروكسي. ويتم الاتصال بالخطوات المبينة في الرسم والشرح ادناه:
– بداية يتم انشاء اتصال بين الخادم والزبون عبر المنفذ (TCP 443).
– يقوم ال (SSL) بفحص صحة وثيقة السيرفر (server certificate) واذا كانت صحيحة يكمل اتمام الاتصال والا فأنه يلغيه.
– يقوم الزبون بأرسال رزم التحكم الخاصة بال SSTP عبر جلسة (HTTPS) والتي تؤسس ماكنة حالة (state machine) في كل من طرفي الاتصال (الخادم والزبون).
– تحصل حالة نقاش بين ال (PPP and SSTP) ويتم الزام العنوان (IP binding) لواجهة ال (SSTP).
– والان اصبحت قناة ال SSTP جاهزة ومعدة ويمكن تغليف وكبسلة الرزم من البيانات وبدء ارسالها.
والان نصل الى زبدة الموضوع وهي كيفية دعم كل هذه البروتوكولات في اجهزة مايكروتك؟ والجواب على ذلك في ثلاث حروف (BCP):
نعم انه بروتوكول التحكم الجسري (Bridge Control Protocol) وهو البروتوكول المدعوم من قبل نظام تشغيل راوترات المايكروتك (MikroTik RouterOS) ويسمح بعبور بيانات الايثرنت عبر رابط PPP ويكون تكوين هذا البروتوكول جزء مستقل من نفق ال PPP وغير مرتبط بأي عنوان IP او واجهة نقطة لنقطة وباختصار يسمح هذا البروتوكول لعمليتي ال (Bridging and routing) لتحصل في نفس الوقت بشكل مستقل واما اعدادات هذا البروتوكول في ال(winbox) فستكون محور درسنا القادم ان شاء الله.
عاشت الايادي .. استاذ مصطفى ..
السلام عليكم
لقد حاولت عمل vpn بين اثنين من unifi Gateway تنجع العمليه على نفس الشبكه الداخليه وعندما اقوم بفصلهم كل واحد بخدمه من شركه ثانيه ينقطع الاتصال , اخي ماهي الطريقه الصحيحه لعمل vpn site to site from difference ISP
وهل علي الاشتراك في خدمه او لا ولكم الشكر