في كثير من مشاريع تكامل الأنظمة، يتم نشر الخوادم والأجهزة داخل شبكة خاصة، لكن المستخدمين الخارجيين أو الأجهزة المحمولة أو الطائرات المسيّرة أو الكاميرات أو المنصات البعيدة ما زالوا بحاجة إلى الوصول إليها عبر الإنترنت. يحل تعيين منافذ عنوان IP هذه المشكلة من خلال إعادة توجيه الحركة القادمة إلى عنوان IP عام ومنفذ محدد إلى عنوان IP داخلي ومنفذ خدمة محددين.

يُستخدم هذا الأسلوب على نطاق واسع مع خوادم الويب، وخوادم البث المباشر للطائرات المسيّرة، ومنصات المراقبة بالفيديو، وأنظمة مؤتمرات الفيديو، والصيانة عن بُعد، والاتصال بين الشبكات. وبدلاً من تعريض كل جهاز داخلي مباشرة للشبكة العامة، يصبح الموجّه أو الجدار الناري نقطة إعادة التوجيه بين الإنترنت العام والشبكة الخاصة.

لماذا تحتاج مشاريع الشبكات الخاصة إلى وصول عام

في العديد من عمليات النشر الفعلية، يتم تثبيت خوادم الصوت والفيديو، ومنصات الويب، وأنظمة المراقبة، ومنصات الاتصال، وتطبيقات الخدمة داخل شبكة LAN للمؤسسة. تستخدم هذه الخوادم عادة عناوين IP خاصة ضمن مقاطع الشبكة الداخلية. يمكن للأجهزة داخل نفس الشبكة المحلية الوصول إليها مباشرة، لكن الأجهزة الموجودة على الإنترنت العام لا تستطيع الوصول إليها من دون مسار وصول عام.

تظهر المشكلة عندما تحتاج الأجهزة الخارجية إلى إرسال البيانات إلى خادم داخلي. على سبيل المثال، قد يحتاج متحكم الطائرة المسيّرة إلى دفع بث فيديو مباشر إلى خادم داخل شبكة المؤسسة. وقد يحتاج المستخدمون البعيدون إلى مشاهدة الفيديو، أو الوصول إلى خدمة ويب، أو الانضمام إلى اجتماع، أو الاتصال بمنصة من خارج الموقع. إذا كان لدى الخادم عنوان IP خاص فقط، فلن تتمكن هذه الأجهزة من الاتصال به مباشرة.

لحل ذلك، يطلب فريق المشروع عادة عنوان IP عامًا من مزود خدمة الإنترنت. ثم يتم تكوين هذا العنوان على الموجّه أو الجدار الناري. ومن خلال قواعد تعيين المنافذ، يمكن إعادة توجيه الحركة الواردة من الشبكة العامة إلى الخادم الداخلي الصحيح.

منطق العمل الأساسي

يعمل تعيين المنافذ، أو إعادة توجيه المنافذ، من خلال مطابقة منفذ عام خارجي مع عنوان IP داخلي خاص ومنفذ خدمة. عندما يزور المستخدم عنوان IP العام والمنفذ من الإنترنت، يتحقق الموجّه من قاعدة التوجيه ويرسل الحركة إلى الخادم المقابل داخل شبكة LAN.

لا يحتاج الخادم الداخلي إلى امتلاك عنوان IP عام. يكفي أن يوفر الخدمة المطلوبة داخل الشبكة الداخلية. يتولى الموجّه أو الجدار الناري ترجمة الطلب الخارجي إلى الوجهة الداخلية. ولهذا السبب يُستخدم تعيين المنافذ غالبًا مع NAT وسياسات الجدار الناري وتخطيط الوصول عبر IP عام.

بالنسبة لمتكاملي الأنظمة، تكمن النقطة الأساسية في فهم الخدمة التي يجب نشرها، والخادم الداخلي الذي يقدمها، والمنفذ الذي تستخدمه، والمنفذ العام الذي سيُستخدم خارج الشبكة. بعد توضيح هذه التفاصيل، يمكن تكوين قاعدة التعيين وفقًا للمشروع الفعلي.

الغرض من تعيين المنافذ ليس مجرد فتح منفذ، بل إنشاء مسار وصول مضبوط بين مستخدمي الشبكة العامة والخدمات الداخلية المحددة.

سيناريو نموذجي لبث فيديو الطائرات المسيّرة

البث المباشر للطائرات المسيّرة مثال شائع. قد يتم نشر خادم البث داخل شبكة خاصة، بينما يتصل متحكم الطائرة عبر الإنترنت العام. وبما أن الخادم يستخدم عنوان IP داخليًا، فلا يستطيع المتحكم دفع الفيديو إليه مباشرة.

في هذه الحالة، يمكن لفريق المشروع طلب عنوان IP عام وتكوين تعيين المنافذ على الموجّه أو الجدار الناري. يستخدم متحكم الطائرة المسيّرة بعد ذلك عنوان IP العام والمنفذ المعيّن كوجهة للبث. وعندما يصل البث إلى الموجّه، يقوم الموجّه بإعادة توجيهه إلى خادم البث الداخلي.

بعد وصول البث إلى الخادم، يمكن للمستخدمين مشاهدة فيديو الطائرة المسيّرة من الشبكة العامة عبر العنوان العام. كما يستطيع المستخدمون الداخليون مشاهدة الفيديو عبر عنوان الشبكة الخاصة. ويمكن للخادم أيضًا إخراج تدفقات فيديو مختلفة للتكامل مع المنصات الداخلية، وأنظمة المراقبة، وأنظمة الإرسال، أو أجهزة الصوت والفيديو الأخرى.

استخدام عنوان عام واحد لعدة خوادم داخلية

في كثير من المشاريع، يتوفر عنوان IP عام واحد فقط، بينما تحتاج عدة خوادم داخلية إلى تقديم خدمات للمستخدمين الخارجيين. وهذا من أهم أسباب استخدام تعيين المنافذ. يمكن استخدام منافذ عامة مختلفة للتعرف إلى خوادم داخلية مختلفة.

على سبيل المثال، لنفترض وجود ثلاثة خوادم ويب داخلية بعناوين خاصة هي: 192.168.2.101 و192.168.2.102 و192.168.2.103. يمتلك المشروع عنوان IP عامًا واحدًا فقط. يمكن تكوين الموجّه بمنافذ خارجية مختلفة لكل خادم.

يمكن أن يكون التصميم العملي كالتالي: يتم تعيين 192.168.2.101 إلى المنفذ العام 8080، و192.168.2.102 إلى المنفذ العام 8090، و192.168.2.103 إلى المنفذ العام 8091. عندما يزور مستخدم خارجي x.x.x.x:8080، يوجه الموجّه الطلب إلى 192.168.2.101. وعند زيارة x.x.x.x:8090 يتم التوجيه إلى 192.168.2.102. وعند زيارة x.x.x.x:8091 يتم التوجيه إلى 192.168.2.103.

بهذه الطريقة، يمكن لعنوان IP عام واحد أن يوفر الوصول إلى عدة أجهزة أو خدمات داخلية. ويكون ذلك مفيدًا بشكل خاص لخدمات الويب، ومنصات الفيديو، وأنظمة الإدارة، وخوادم الوسائط، وأنظمة المؤتمرات، وبيئات الاختبار.

تخطيط الخدمات قبل التكوين

قبل تكوين تعيين المنافذ، يجب على فريق المشروع سرد جميع الخدمات التي تحتاج إلى وصول خارجي. ينبغي أن يكون لكل خدمة عنوان IP داخلي واضح، ومنفذ خدمة داخلي، ونوع بروتوكول، ومنفذ عام خارجي، ومتطلبات وصول. ومن دون هذا التخطيط، قد تحدث تعارضات في المنافذ أو قواعد توجيه خاطئة بسهولة.

على سبيل المثال، إذا كانت عدة خوادم داخلية تستخدم منفذ الويب الافتراضي نفسه، فيجب استخدام منافذ خارجية مختلفة على الجانب العام للتمييز بينها. ولا يلزم دائمًا أن يكون المنفذ الخارجي هو نفسه منفذ الخدمة الداخلي. يمكن للموجّه استقبال الحركة على منفذ عام وإعادة توجيهها إلى منفذ داخلي مختلف وفقًا للقاعدة.

يجب على الفريق أيضًا تأكيد ما إذا كانت الخدمة تستخدم TCP أو UDP أو كليهما. تستخدم خدمات الويب عادة TCP، بينما قد تستخدم بعض خدمات الصوت والفيديو والبث والاتصال في الوقت الحقيقي UDP أو بروتوكولات مختلطة. يجب أن يتطابق البروتوكول مع متطلبات الخدمة الفعلية، وإلا فقد تبدو القاعدة صحيحة لكن التطبيق يفشل.

اعتبارات الأمان والاستقرار

يجعل تعيين المنافذ الخدمات الداخلية قابلة للوصول من الإنترنت العام، لذلك يجب التفكير في الأمان منذ البداية. يجب فتح المنافذ الضرورية فقط. ولا ينبغي تعريض منافذ الإدارة أو قواعد البيانات أو واجهات النظام الحساسة إلا بوجود سبب قوي وحماية مناسبة.

ينبغي تخطيط التحكم في الوصول مع الموجّه أو الجدار الناري. إذا أمكن، يجب تقييد عناوين IP المصدر المسموح بها، واستخدام طرق تسجيل دخول آمنة، وتفعيل كلمات مرور قوية، وتحديث برامج الخادم، ومراقبة سجلات الوصول. وبالنسبة للأنظمة المهمة، قد يكون الوصول عبر VPN أكثر أمانًا من تعريض المنافذ العامة مباشرة.

الاستقرار مهم أيضًا. إذا تغيّر عنوان IP العام كثيرًا، فقد لا تتمكن الأجهزة الخارجية من الوصول إلى الخدمة. يجب أن تستخدم المشاريع التي تحتاج إلى وصول بعيد مستقر عنوان IP عامًا ثابتًا أو حل DNS ديناميكي موثوقًا. وقد تحتاج الأنظمة عالية التوفر أيضًا إلى خطوط شبكة احتياطية وموجّهات زائدة وآليات مراقبة.

سير عمل النشر الموصى به

يمكن أن يتبع نشر تعيين المنافذ مسارًا واضحًا. أولاً، تحديد الخوادم الداخلية التي تحتاج إلى وصول عام. ثانيًا، تسجيل عناوين IP الخاصة بها ومنافذ الخدمة. ثالثًا، تأكيد ما إذا كان الموقع يستخدم عنوان IP عامًا ثابتًا أم ديناميكيًا. رابعًا، تحديد أرقام منافذ خارجية لا تتعارض مع بعضها.

بعد ذلك، يتم إنشاء قواعد إعادة التوجيه على الموجّه أو الجدار الناري. يجب أن تتضمن كل قاعدة المنفذ العام، وعنوان IP الداخلي، والمنفذ الداخلي، ونوع البروتوكول. ثم يجب اختبار الخدمة من شبكة خارجية، وليس من داخل LAN فقط. فالاختبار الداخلي وحده لا يثبت أن الوصول العام يعمل بشكل صحيح.

أخيرًا، يجب توثيق جدول التعيين. يجب أن يتضمن السجل اسم الخدمة، وIP الخادم الداخلي، والمنفذ الداخلي، والمنفذ العام، والبروتوكول، والغرض، ومسؤول الصيانة. وهذا يجعل الصيانة اللاحقة أسهل، خاصة عندما يضم المشروع العديد من الخوادم ومنصات الفيديو والبوابات والأجهزة البعيدة.

أين تُستخدم هذه الطريقة عادة

نشر خدمات الويب

يمكن نشر خوادم الويب الداخلية للمستخدمين الخارجيين عبر منافذ عامة. وهذا مفيد لأنظمة الإدارة وبوابات المشاريع ومنصات الخدمة وصفحات الوصول المؤقتة.

الطائرات المسيّرة وبث الفيديو

يمكن لمتحكمات الطائرات المسيّرة، ومرمزات الفيديو، ومنصات البث، وعملاء العرض عن بُعد استخدام المنافذ العامة المعيّنة لإرسال أو استقبال تدفقات الفيديو عبر الشبكات.

الوصول إلى المراقبة بالفيديو

قد تحتاج منصات المراقبة وأنظمة NVR وبوابات الكاميرات وخوادم إدارة الفيديو إلى وصول خارجي للعرض أو التكامل أو التشغيل عن بُعد.

أنظمة مؤتمرات الفيديو والاتصال

تحتاج بعض منصات المؤتمرات، وخوادم الوسائط، وأنظمة SIP، أو بوابات الاتصال إلى وصول عام حتى يتمكن المستخدمون الخارجيون والمنصات الداخلية من تبادل بيانات الوسائط والإشارات.

الصيانة عن بُعد وتسليم المشاريع

أثناء تنفيذ المشروع، يمكن أن يساعد تعيين المنافذ المهندسين على الوصول عن بُعد إلى خدمات محددة للاختبار والتكوين واستكشاف الأخطاء وقبول النظام. ويجب إغلاق التعيين أو تقييده بعد انتهاء العمل إذا لم يعد مطلوبًا.

الخلاصة

تعيين منافذ عنوان IP طريقة عملية ومستخدمة على نطاق واسع لتمكين الأجهزة الخارجية من الوصول إلى خدمات محددة داخل شبكة خاصة. فهو يحل مشكلة عدم إمكانية الوصول المباشر إلى الخوادم الداخلية ذات عناوين IP الخاصة من الإنترنت العام. ومن خلال تكوين قواعد إعادة التوجيه على الموجّه أو الجدار الناري، يمكن توجيه الحركة العامة إلى الخادم الداخلي الصحيح.

تكون هذه الطريقة مفيدة بشكل خاص عندما يحتاج عنوان IP عام واحد إلى دعم عدة أنظمة داخلية. فمن خلال تخصيص منافذ عامة مختلفة مثل 8080 و8090 و8091 لخوادم داخلية مختلفة مثل 192.168.2.101 و192.168.2.102 و192.168.2.103، تستطيع فرق المشاريع نشر خدمات الويب، وبث الطائرات المسيّرة، والمراقبة بالفيديو، ومؤتمرات الفيديو، وخدمات الاتصال الأخرى بتحكم مرن.

في تسليم المشاريع الفعلية، تكمن النقاط الأساسية في فهم منفذ الخدمة، وتعريف قاعدة التعيين بوضوح، ومطابقة البروتوكول الصحيح، والاختبار من الشبكة العامة، وتطبيق الحماية الأمنية المناسبة. ومع التخطيط الجيد، يمكن لتعيين المنافذ أن يساعد مشاريع الاتصال بين الشبكات على التشغيل بسرعة وبموثوقية أعلى.

FAQ

هل تعيين المنافذ هو نفسه NAT؟

لا. NAT آلية أوسع لترجمة العناوين. أما تعيين المنافذ فهو تكوين إعادة توجيه محدد يرسل الحركة من IP عام ومنفذ إلى IP داخلي ومنفذ محددين.

هل يمكن أن يعمل تعيين المنافذ من دون عنوان IP عام؟

عادة لا يعمل بالطريقة التقليدية. إذا لم يكن لدى الموجّه عنوان IP عام حقيقي وكان خلف NAT تابع للمشغل، فقد لا يستطيع المستخدمون الخارجيون الوصول إليه مباشرة. وفي هذه الحالة قد تكون هناك حاجة إلى IP عام ثابت أو VPN أو وكيل عكسي أو حل ترحيل سحابي.

لماذا تعمل الخدمة المعيّنة داخل LAN لكنها تفشل من الإنترنت؟

قد تشمل الأسباب عنوان IP عام غير صحيح، أو حظر المنفذ من قبل المشغل، أو اختيار بروتوكول خاطئ، أو تصفية الجدار الناري، أو إعداد بوابة الخادم بشكل غير صحيح، أو عدم استماع الخدمة على المنفذ المتوقع، أو وجود الموجّه خلف جهاز NAT آخر.

هل يجب أن يكون المنفذ العام مطابقًا للمنفذ الداخلي؟

ليس بالضرورة. يمكن أن يختلف المنفذ العام عن منفذ الخدمة الداخلي. على سبيل المثال، يمكن إعادة توجيه المنفذ العام 8080 إلى خادم داخلي يعمل فيه Web service على منفذ آخر إذا كان الموجّه يدعم ذلك.

هل من الآمن كشف الخدمات الداخلية عبر تعيين المنافذ؟

يمكن أن يكون آمنًا فقط عند التحكم فيه بشكل صحيح. افتح المنافذ الضرورية فقط، واستخدم مصادقة قوية، وقيّد مصادر الوصول عند الإمكان، وحدّث البرامج بانتظام، وتجنب تعريض واجهات الإدارة الحساسة مباشرة للإنترنت.

ما الذي يجب تسجيله بعد إكمال تعيين المنافذ؟

يجب على فريق المشروع تسجيل عنوان IP العام، والمنفذ الخارجي، وIP الداخلي، والمنفذ الداخلي، والبروتوكول، واسم الخدمة، والغرض، ومسؤول الصيانة. هذا يمنع الالتباس عندما تشترك عدة خوادم في عنوان عام واحد.