سندرم دونیم مخ

right_brain_left_brain

امیدوارم با دیدن این مطلب تصور نکرده باشید که یک مطلب مسخره پزشکی است و از خواندن آن منصرف شده باشید. هرچند Split-Brain و syndrome لغات مشهوری در پزشکی هستند، اما می دانید که پورت ۸۰ یک وبلاگ تخصصی شبکه است.

یک اصل غیر قابل انکار در طراحی شبکه ها داخلی سازمان ها، تفکیک Internal Network با Internet است. به همین جهت تمام شرکت های کوچک تا سازمان های بزرگ و حتی افراد در شبکه های خانگی تلاش می کنند تا با استفاده از راهکار های مختلف از شبکه خود محافظت کنند. یکی از راه های متداول استفاده از یک Firewall است. با کمی ساده سازی در بیان می توان گفت؛ با استفاده از Firewall یک شبکه در برابر ترافیک های غیر مطلوب محافظت می شود. Firewall با مدیریت Port ها حکم عایقی را برای پورت های بسته ایجاد می کند و ترافیک مطلوب از پورت های باز می گذرند.

به طور مشابه؛ در هر شبکه ای که از DNS داخلی استفاده می کند، دو فضای نامی برای DNS وجود دارد. فضای نامی اول، مربوط به شبکه داخلی و فضای نامی دوم مربوط به اینترنت و مثلا وب سایت سازمان است. زمانی که در نصب سرویس اکتیو دایرکتوری به عنوان مثال ErfanTaheri.com یا Contoso.com ذکر شد، این تنها یک مثال بود اما بهترین گزینه نبود. اگر Contoso, Ltd برای فضای نامی شبکه داخلی و اینترنت خود Contoso.com را در نظر گیرد، مدیران DNS شرکت Contoso مجبور می شوند تا به صورت دستی یک مکانیسم برای Name Resolution بین شبکه Internal و External پیاده کنند. اما اگر Contoso از Contoso.com فقط برای شبکه External و از یک پسوند دیگر برای شبکه Internal استفاده کند، سناریوی ساده تری پیدا سازی می شود. در این مطلب به تشریح این مسئله نه چندان کوچک و ساده اما با راه حل هایی نسبتا ساده خواهیم پرداخت.

Split-Brain DNS چیست؟

Split-Brain DNS استفاده از یک نام DNS برای Internet و Intranet است. طبق مثال Contoso Ltd دامین این شرکت در شبکه داخلی Contoso.com است و وب سایت این شرکت روی اینترنت http://www.contoso.com است. شرکت Contoso برای سیستم ERP خود از یک سامانه Web-Based استفاده می کند و آدرس وب سرور در شبکه داخلی دقیقا http://www.Contoso.com است. بنابراین Peter کارمند Contoso وقتی در شرکت است با باز کردن آدرس فوق نرم افزار ERP داخلی را می بیند اما وقتی که در خانه آدرس را در مرورگر خود وارد می کند، وارد وب سایت اینترنتی شرکت می شود. این سناریو به شرطی اتفاق می افتد که لپ تاپ پیتر یک Direct Access نباشد.

Direct Access چیست؟

Direct Access را با حذف جزئیات بررسی می کنیم. Direct Access یک ارتباط مستقیم با شبکه سازمان است که در یک توتل که به صورت اتوماتیک ساخته می شود برقرار می گردد. برای تحقق این امر اتفاقات بسیار زیادی و پیچیده ای می افتد اما کاربران کاملا می توانند از اینکه این اتفاقات به دور از دید آن ها (transparent) می افتند خوش حال باشند. کلاینت های DirectAccess یک ارتباط همیشگی با شبکه سازمان دارند. امروزه سازمان ها تعداد بسیاری سرور های مختلف را برای ارتباط از راه دور صف می کنند و چندین سرویس مختلف و متفاوت را راه اندازی می کنند این سرور ها به راحتی می توانند یک VPN Server باشند یا TS gateway یا نرم افزار های متفاوت برای Edge Server ها همانند Microsoft Outlook Web Access.

Edge Network برای جدا کردن شبکه internet از intranet وجود دارد برای آنکه اینترنت شبکه ای کاملا دشمن برای شبکه داخلی سازمان است. هر معمار شبکه ای که Edge Network را در نظر نگیرد باید خیلی سریع در یک شرکت خدمات نظافتی به دنبال کار بگردد. سرویس های VPN مورد استفاده فعلی همانند Routing and Remote Access راهکار مناسبی برای Remote Access نیستند. در این راهکار ها کاربر آغاز کننده ی یک ارتباط لایه دو با Intranet است. در بسیاری از توسعه های VPN کاربر نمی تواند هم زمان از اینترنت و اینترانت استفاده کند و اعمال مختلفی برای اتصال باید انجام دهد. مشکل ارتباط هم زمان را می توان به وسیله ارسال ترافیک اینترنت از اینترانت یا با تنظیم Split-Tunnel Routing حل کرد. البته راهکار اول، یعنی ارسال ترافیک اینترنت از اینترانت زمانی که خود کاربر به اینترنت متصل باشد سرعت اتصال کاربر را کاهش داده و اصلا راهکار مناسبی نیست. راهکار دوم یعنی راه اندازی Split-Tunnel هم پر از کار های سخت مدیریتی است. مدل ارتباطی از طریق VPN دشواری های متعددی دارد.

اکنون با استفاده از Windows 7 و Windows Server 2008 R2 و قابلیت جالب DirectAccess مشکلات بسیاری حل شده است. در تصویر زیر DirectAccess شکل Edge Network را متحول می کند اما برای این امر باید برخی مشکلات مهندسی ابتدا حل شوند. البته در اینجا فقط هدف آشنایی با DirectAccess بود و بررسی جزئیات را به آینده موکول می کنیم.

dd637379_fig01_L(en-us)  زمانی که کلاینت DirectAcess روی اینترنت است Name Resolution Policy Table درخواست های DNS Query مربوط به اینترانت را برای DNS Server اینترانت ارسال می کند. در این صورت پیتر با وارد کردن www.contoso.com در مرورگر خود به وب سرور Intranet متصل می شود و وب سایت عمومی شرکت روی اینترنت را هیچ گاه نخواهد دید. اگر می خواهید پیتر بتواند وب سایت عمومی شرکت روی اینترنت را ببیند، می توانید آن آدرس مورد نظر را به عنوان یک استثنا در NRPT اضافه کنید. البته در این صورت دیگر پیتر نمی تواند وب سایت Intranet را ببیند. در هر حال در سناریو های Split-Brain DNS باید لیستی از آدرس هایی که هم در اینترنت هم در اینترانت موجود است را تهیه کنید و تصمیم بگیرد که کدام آدرس ارجح تر است!

در سناریو های Split-Brain DNS اگر می خواهید مجبور به چنین تصمیم گیری نشوید از یک نام مشابه همانند internal.contoso.com برای آدرس های داخلی می توانید استفاده کنید اما در سناریوی عادی با مشکلی رو به رو نخواهید شد.

راه حل ساده:

از استفاده از Split-Brain DNS خودداری کنید! راه حل های متعددی وجود دارد تا از بروز مشکل Split-Brain DNS جلوگیری شود. مثلا Contoso می تواند برای شبکه داخلی از دامین Contoso.net استفاده کند همچنین می تواند دامین Contosot.net روی اینترنت را خریداری کند. معمولا کمپانی ها برای جلوگیری از بروز تضاد بین دامین ها چنیدن Domain مشابه را در اینترنت نیز خریداری می کنند. همچنین می توان از crop.contoso.com یا inter.contoso.com یا… برای شبکه داخلی استفاده نمود. در هر صورت شکل زیر دو روش مختلف DNS که به نام های Split-Brain و Whole-Brain شناخته شده اند مشخص شده است.

image

اما اگر از Split-Brain DNS درشبکه ای که مدیران آن هستید باید در هر مورد به دنبال راه حل مناسب بگردید و هیچ نسخه واحدی برای هر سناریو و سرویسی وجود ندارد.

5 دیدگاه در سندرم دونیم مخ

  1. سلام خسته نباشید
    مطلب فوق العاده خوبی بود. فک نمی کردم که توی سایت های فارسی بتونم دراین مورد مطلب پیدا کنم.
    لطفا از یک فنت دیگه استفاده کنید حرف “ی” جونم رو به لبم رسوند.
    ممنون

پاسخ دهید

نشانی ایمیل شما منتشر نخواهد شد. بخش‌های موردنیاز علامت‌گذاری شده‌اند *