شرح تصميم شبكة Tier باستخدام Sophos XG Firewall و VLAN و Routing على PNETLab
سيناريو عملي لتقسيم الشبكة إلى طبقات وربطها عبر Sophos XG Firewall داخل PNETLab
1. فكرة السيناريو
تصميم الشبكة على شكل Tiers يعني تقسيم البنية إلى طبقات واضحة بدلاً من جعل كل الأجهزة داخل شبكة واحدة. هذا يجعل الإدارة أسهل، ويقلل المخاطر الأمنية، ويسمح بكتابة سياسات Firewall دقيقة بين المستخدمين، السيرفرات، الإدارة، والإنترنت.
ما المقصود بـ Tier Network Design؟
هو تصميم يفصل الشبكة إلى طبقات مثل Users, Servers, Management, DMZ, Internet Edge. كل طبقة لها VLAN أو Subnet خاصة، ويتم التحكم بحركة المرور بينها عبر Sophos XG Firewall أو جهاز Routing مركزي.
2. مكونات اللاب
السيناريو مبني على بيئة افتراضية داخل PNETLab، وهي مناسبة جداً لتجربة التصاميم قبل تطبيقها في شبكة حقيقية.
- PNETLab: منصة تشغيل اللاب وبناء التوبولوجي.
- Sophos XG Firewall: نقطة التحكم الرئيسية بين الشبكات والإنترنت.
- Switch أو Layer 3 Switch: لتجميع VLANs وربط الأجهزة.
- Router اختياري: إذا كان السيناريو يعتمد على Routing خارجي أو شبكة WAN افتراضية.
- Clients / PCs: أجهزة اختبار داخل VLANs مختلفة.
- Server: جهاز يمثل خدمات داخلية مثل DNS أو Web أو File Server.
3. تصميم الشبكة المقترح
التصميم المنطقي يكون كالتالي: Sophos XG في المنتصف أو على حافة الشبكة، والسويتش يحمل عدة VLANs، وكل VLAN تمثل طبقة مختلفة. الاتصال بين الطبقات لا يكون مفتوحاً بالكامل، بل يمر عبر Firewall Rules محددة.
| الطبقة | مثال VLAN | مثال Subnet | الغرض |
|---|---|---|---|
| Users | VLAN 10 | 192.168.10.0/24 | أجهزة المستخدمين اليومية. |
| Servers | VLAN 20 | 192.168.20.0/24 | الخوادم والخدمات الداخلية. |
| Management | VLAN 30 | 192.168.30.0/24 | إدارة الأجهزة والسويتشات والفایروول. |
| DMZ | VLAN 40 | 192.168.40.0/24 | خدمات معرضة أو شبه معرضة للإنترنت. |
4. تقسيم VLANs
تقسيم VLANs هو قلب السيناريو. بدلاً من وضع كل الأجهزة في شبكة واحدة، يتم إنشاء VLAN لكل نوع أجهزة أو لكل مستوى أمني. مثلاً، أجهزة المستخدمين لا يجب أن تصل إلى شبكة الإدارة مباشرة، والسيرفرات لا يجب أن تكون مكشوفة لكل VLAN بدون قواعد.
5. دور Sophos XG Firewall
في هذا التصميم، Sophos XG ليس مجرد بوابة إنترنت، بل هو نقطة التحكم بين الطبقات. يمكن ربط VLANs مباشرة على Interfaces/Sub-Interfaces داخل Sophos، أو تمرير Routing إليه من سويتش Layer 3 حسب التصميم.
- تعريف Interfaces أو VLAN Interfaces داخل Sophos.
- تحديد Zones مثل LAN, DMZ, WAN, Management.
- كتابة Firewall Rules بين VLANs.
- إعداد NAT للإنترنت عند الحاجة.
- إضافة Static Routes إذا كانت بعض الشبكات خلف Router أو Layer 3 Switch.
6. إعداد Routing بين الطبقات
بعد إنشاء VLANs، يجب تحديد من المسؤول عن التوجيه بينها. إذا كان Sophos هو Default Gateway لكل VLAN، فسيكون Inter-VLAN Routing داخل Sophos نفسه. أما إذا كان هناك Layer 3 Switch، فقد تحتاج Static Routes بين السويتش وSophos.
متى نستخدم Static Route؟
نستخدم Static Route عندما تكون شبكة معينة ليست متصلة مباشرة على Sophos، لكنها موجودة خلف Router أو Layer 3 Switch. في هذه الحالة يجب أن يعرف Sophos أين يرسل الترافيك المتجه إلى تلك الشبكة.
7. Firewall Rules والسياسات
بعد التأكد أن Routing يعمل، تأتي مرحلة التحكم. لا تجعل كل VLAN تصل إلى كل VLAN. ابدأ بسياسة مغلقة، ثم اسمح فقط بما تحتاجه فعلاً.
- السماح للمستخدمين بالوصول إلى الإنترنت.
- السماح للمستخدمين بالوصول إلى خدمات محددة داخل Servers VLAN.
- منع Users VLAN من الوصول إلى Management VLAN.
- السماح لـ Management VLAN بإدارة Sophos والسويتشات.
- تقييد DMZ حتى لا تصل إلى الشبكة الداخلية إلا عند الحاجة.
8. اختبار الاتصال والتشخيص
بعد الإعداد، لا تعتمد فقط على أن الواجهات Up. اختبر الاتصال خطوة بخطوة: Gateway، VLAN ثانية، الإنترنت، DNS، ثم الخدمات المحددة.
| الاختبار | الغرض | النتيجة المتوقعة |
|---|---|---|
| Ping إلى Gateway | التأكد من إعداد IP/VLAN محلياً. | Reply ناجح. |
| Ping بين VLANs | التأكد من Routing وFirewall Rules. | ينجح أو يفشل حسب السياسة. |
| DNS Test | التأكد من حل الأسماء. | Resolve ناجح. |
| Internet Access | اختبار NAT وWAN Rule. | تصفح أو Ping خارجي ناجح. |
9. الصور المطلوبة للمقال
حتى تكون المقالة قوية بصرياً ومفهومة، هذه هي الصور التي أنصحك تلتقطها من الفيديو أو من اللاب نفسه. لا تحتاج تكثر صور بلا داعي؛ 8 إلى 10 صور كافية جداً.
- صورة رئيسية/Thumbnail: لقطة واضحة من التوبولوجي داخل PNETLab مع Sophos XG وVLANs. هذه تكون صورة المقال الأساسية.
- صورة التوبولوجي الكاملة: تظهر Sophos، السويتش/الراوتر، أجهزة المستخدمين، السيرفر، ووصلة الإنترنت.
- صورة جدول IP وVLAN: إما Screenshot من جدول داخل اللاب أو صورة مصممة فيها VLAN 10/20/30/40 مع Subnets.
- صورة Interfaces داخل Sophos: تظهر المنافذ أو VLAN Interfaces مع IP لكل شبكة.
- صورة Zones داخل Sophos: تظهر تقسيم LAN/DMZ/WAN/Management إن كان مستخدماً في الفيديو.
- صورة Static Routes: لقطة من صفحة Routing داخل Sophos أو إعداد route على الراوتر/السويتش.
- صورة Firewall Rules: أهم Rule يسمح أو يمنع الترافيك بين VLANs، خصوصاً Users إلى Servers أو Users إلى Internet.
- صورة NAT Rule أو Internet Access Rule: إذا الفيديو يشرح خروج VLANs إلى الإنترنت.
- صورة اختبار Ping أو Traceroute: تظهر نجاح الاتصال بين VLANs أو فشل الاتصال بسبب سياسة أمنية.
- صورة النتيجة النهائية: لقطة تلخص أن الشبكات تعمل، مثل Dashboard أو أكثر من Terminal يوضح الاختبارات.
10. الأسئلة الشائعة
هل يجب أن يكون Sophos هو Gateway لكل VLAN؟
ليس دائماً. يمكن أن يكون Sophos هو Gateway مباشرة، أو يمكن أن يكون هناك Layer 3 Switch يقوم بالتوجيه الداخلي ويرسل الترافيك إلى Sophos عند الخروج للإنترنت أو عند تطبيق سياسات أمنية معينة.
ما الفرق بين VLAN و Zone في Sophos؟
VLAN تقسيم شبكي على مستوى Layer 2، أما Zone في Sophos فهي تصنيف أمني للواجهات والشبكات مثل LAN أو WAN أو DMZ. يمكن أن تحتوي Zone واحدة على أكثر من Interface أو VLAN.
لماذا الاتصال بين VLANs لا يعمل رغم وجود Routes؟
غالباً السبب Firewall Rule غير موجودة أو خاطئة، أو Default Gateway غير مضبوط على الأجهزة، أو VLAN Tagging غير صحيح على منفذ السويتش.
11. الخاتمة
سيناريو Tier Network Design باستخدام Sophos XG وPNETLab يعطيك نموذجاً عملياً قريباً من بيئات الشركات. الفكرة ليست فقط أن تجعل الشبكات تتصل ببعضها، بل أن تجعل الاتصال منظماً، قابلاً للتشخيص، ومحكوماً بسياسات أمنية واضحة.