وبلاگ تخصصی مباحث آموزش مجازی سازی و تکنولوژی های مجازی سازی

زمانی که طراحی شبکه مورد بحث قرار می گیرد دسته بندی شبکه براساس تعداد دستگاه های سرویس گیرنده به ما در طراحی کمک زیادی می کند.طراحی شبکه به اندازه و نیاز سازمان وابستگی زیادی دارد. به طور مثال بستر مورد نیاز برای یک شبکه کوچک با تعداد محدودی دستگاه نسبت به یک شبکه بزرگ با تعداد قابل توجهی دستگاه بسیار متفاوتر می باشد.متغییرهای زیادی در زمان طراحی شبکه باید در نظر گرفته شود.شبکه را براساس تعداد دستگاه های سرویس گیرنده به سه دسته تقسیم می کنند:

• Small Network : شبکه هایی با حداکثر 200 سرویس گیرنده
• Medium-Size Network : شبکه هایی با 200 تا 1000 سرویس گیرنده در این دسته قرار می گیرند.
• Large Netwok : شبکه هایی با بیش از 1000 سرویس گیرنده

اصول مهندسی در زیرساخت سیسکو به چه شکل است؟

بدون در نظر گرفتن مسائل مرتبط با اندازه و نیاز شبکه ، اجرای موفق طراحی شبکه نیاز به پیروی از اصول مهندسی در زیرساخت دارد. مدل سه لایه سیسکو اصول زیر را شامل می شود.

• Hierarchy : این طراحی سلسله مراتبی به طراح کمک می کند که یک شبکه مطمئن را طراحی کند و مشکلات پیچیده طراحی را راحت تر و قابل مدیریت تر کند.
• Modularity : طراحی ماژولار که باعث می شود عملکرد بخش های مختلف موجود در شبکه به صورت یک ماژول عمل کند و به این صورت طراحی ساده تر می شود. سیسکو جندین ماژول را معرفی کرده که شامل دیتاسنتر ، لبه اینترنت ، بلوک سرویس دهی و بخش Campus می باشد.
• Resiliency : شبکه باید بتواند در شرایط عادی و غیرعادی به کار خود ادامه دهد. در شرایط عادی ترافیک براساس انتظار ما جریان دارد ولی شرایط غیر عادی زمانی است که یک سخت افزار یا نرم افزار ما دچار مشکل شود یا ترافیک زیادی وارد شبکه شود یا حمله هایی مانند DoS ایجاد شود.
• Flexibility : شبکه طراحی شده باید توانایی تغییرات را داشته باشد به طور مثال یک سرویس به این شبکه اضافه شود یا توان شبکه را افزایش دهیم این تغییرات باید بودن ایجاد وقفه در عملکرد و اختلال در سرویس دهی صورت پذیرد.

در طراحی مدل سه لایه ای سیسکو ، تجهیزات در سه لایه زیر گروه بندی می شوند:

1. Access
2. Distribution
3. Core

مدل سه لایه ای سیسکو به لحاظ مفهومی مشابه مدل هفت لایه OSI است. به طور کلی طراحی لایه ای بسیار مفید است چون هر دستگاه در هر لایه وظیفه و عملکرد مشخصی دارد که این ویژگی باعث میشود که حذف ، اضافه ، جایگزینی بخشی از شبکه به راحتی قابل انجام باشد. این انعطاف پذیری و سازگاری باعث می شود این مدل بسیار مقایس پذیر و قابل گسترش شود.

لایه Access در طراحی سه لایه سیسکو به چه معناست؟

در محیط LAN ، از طریق لایه Access اجازه دسترسی End Deviceها به شبکه ، داده می شود و در محیط WAN ، دسترسی به شبکه از راه دور داده می شود.معمولا در لایه Access از سوئیچ های لایه دوم و Access Pointها برای ایجاد دسترسی بین کلاینت ها و سرور استفاده می شود.

برخی از وظایف لایه Distribution در طراحی سلسله مراتبی سیسکو

• تجمیع لینک ها ارتباطی مربوط به LAN و WAN
• فیلترینگ و ACL
• مسیریابی
• جایگزینی و تقسیم بار (Redundancy and load balancing)
• خلاصه سازی روت ها (Route Summarization)
• کنترل Broadcast Domain با استفاده از روتر یا سوئیچ Multilayer

لایه Distribution در طراحی سه لایه سیسکو به چه معناست؟

این لایه بین لایه Access و Core قرار دارد و دیتا ارسالی توسط کاربر را از لایه Access به سمت لایه Core هدایت می کند. نوع ارتباطات در این لایه از نوع کابلی می باشد. برای جلوگیری از سرایت مشکلات احتمالی در شبکه LAN با استفاده از روتر یا سوئیچ Multilayer ، بین لایه Access و Core یک مرز ایجاد می کند.

برای درک بهتر مفاهیم سیسکو به دوره آموزش CCNA سیسکو جامع ( CCNA Routing and Switching ) مهندس قنبری یکی از کاملترین دوره های آموزشی سیسکو ( CCNA ) می باشد که با ده ها کارگاه عملی و توضیحات جامع به زبانی ساده و روان تدریس شده است.

مدرک CCNA روتینگ و سویچینگ سیسکو اولین گواهینامه دوره های آموزشی سیسکو به حساب می آید که شما را با تجهیزات زیرساختی سیسکو مثل روترها و سویچ ها و نحوه کار با آنها به خوبی آشنا می کند. شما با گذران این دوره CCNA Routing and Switching سیسکو دیگر نیازی به هیچ منبع آموزشی سیسکو نخواهید داشت.پیشنیاز دوره آموزشی CCNA سیسکو ، دوره آموزش نتورک پلاس است

برخی از وظایف لایه Core در ساختار سلسله مراتبی سیسکو

• سوئیچنگ با سرعت بالا
• قابلیت اطمینان و تحمل خطا
• پرهیز از هرگونه پردازش اضافه روی بسته ها که باعث درگیر کردن CPU شود مانند مسائل امنیتی مثل inspection یا مواردی مثل QoS

فایروال (Firewall) چیست و به زبان ساده چگونه کار می کند؟ چرا به آن دیواره آتش می گویند؟ فایروال چگونه کار می کند و چند نوع دارد؟ اگر بخواهیم به زبان ساده صحبت کنیم باید بگوییم بعد از سویچ در انواع تجهیزات شبکه ، واژه فایروال را می توانیم یکی از پرکاربردترین واژه ها در حوزه کامپیوتر و شبکه معرفی کنیم. خیلی اوقات از اینور و آنور این جملات آشنا را می شنویم که فایروالت رو عوض کن ، برای شبکه فایروال بگیر ، توی فایروال فلان رول رو اضافه کنید ، فایروالتون رو خاموش کنید و ... امروز در این مقاله می خواهیم به ساده ترین شکل ممکن و البته با بیان تجربیات خودم در مورد فایروال و سیر تا پیاز این نرم افزار یا سخت افزار با هم صحبت کنیم. با ما تا انتهای مقاله باشید.

معنی لغوی فایروال چیست؟ بررسی مفهوم و تئوری دیواره آتش

فایروال که به انگلیسی از ترکیب دو کلمه Fire به معنی آتش و Wall به معنی دیوار تشکیل شده است ، به زبان فارسی به عنوان دیواره آتش ترجمه شده است. با توجه به اینکه ماهیت دیواره آتش جلوگیری از تهدیدات و به نوعی پاکسازی ترافیک شبکه است ، می توان چنین تفسیر کرد که این نامگذاری با توجه به ماهیت پاکسازی و ضدعفونی کننده آتش در تاریخ ، برگرفته ای از همین مفهوم باشد .

به زبان ساده تر آتش پاکسازی می کند و ضدعفونی می کند و دیواره آتش در شبکه هم ترافیک آلوده و خطرناک را پاکسازی می کند. بد نیست بدانید که آتش نماد پاکی در ایران باستان هم بوده است. در ادامه این مقاله ما فرض را بر این می گذاریم که شما تعریف شبکه چیست را به خوبی می دانید و با مفاهیم شبکه آشنایی دارید.

کمی راجع به تاریخچه فایروال و نسل های فایروال

در ابتدا چیزی به نام فایروال در انواع شبکه های کامپیوتری وجود نداشت. بعد از به وجود آمدن روترها یا مسیریاب های شبکه ، این نیاز احساس شد که بایستی بتوانیم ترافیک را در برخی شرایط محدود کنیم. در این شرایط چیزی به نام Access Rule یا ACL در روترها معرفی شدند که پایه و اساس خیلی از فایروال های امروزی هستند.

Access Rule ها تعریف می کردند که چه آدرسهایی از کجا به کجا بتوانند بروند و یا نروند. مکانیزم کاری فایروال های اولیه هم بر همین اساس بود و فیلترینگی که بر روی ترافیک ها انجام می شد با عنوان فیلترینگ بسته یا Packet Filtering می توانست مسیر بسته های اطلاعاتی شبکه را تعیین کند.

اولین نسل از فایروال های شبکه در اواخر دهه 1980 میلادی به دنیا معرفی شدند. با توسعه و پیشرفته تکنولوژی های فایروال نسل های مختلفی از فایروال به دنیا معرفی شدند که در ادامه نسل های فایروال ها را با هم مرور می کنیم :

نسل اول از فایروال چیست؟ اضافه شدن ضد ویروس

این نسل از فایروال ها به عنوان Generation 1 Virus هم شناخته می شوند. فایروال هایی که قبل از نسل یک فایروال ها کار می کردند صرفا بصورت فیلترینگ بسته های اطلاعاتی یا Packet Filtering کار می کردند.

قبل از اینکه به بحث مراحل انجام حملات هکری و انگیزه هکرها بپردازیم به این پاراگراف خوب دقت کنید : این مایه تاسف است ؛ اما بایستی بگویم که بیشتر سازمان ها و شرکت هایی که در حال حاضر در دنیا مشغول به فعالیت هستند هدف حملات هکری قرار می گیرند . یک تحقیق در سال 2003 میلادی نشان داد که منبع بیش از 75 درصد حملات هکری که به سازمانها و شرکت ها انجام می شود از داخل و توسط کارکنان همان سازمان یا شرکت انجام می شود . در همان تحقیق آمار جالبی نیز بدست آمد که بر طبق آن بیش از 240 میلیارد تومان ( در سال 2003 نه با قیمت دلار امروزی ) برای بازگردانی و بازیابی از حمله و برگردادن سازمان یا شرکت به حالت عادی فعالیت هزینه شده است .

این آمار ها نشان دهنده این است که ما بایستی به اهمیت امنیت محیط عملیاتی ( موثر ) و همچنین کنترل های درست امنیتی بیشتر توجه کنیم .قانون همیشگی پیشگیری بهتر از درمان است همیشه و در همه موارد صادق است ، شما به جای اینکه منتظر باشید تا فعالیت سازمان دچار مشکل شود و بعد به فکر درست کردن آن بیافتید ، بهتر است از قبل تمهیدات امنیتی خود را با هزینه ای بسیار پاینتر پیاده سازی کنید تا مشکلات بالقوه آینده کمتر بوجود بیایند . خوب بیاید در خصوص این موضوع صحبت کنیم که ما بایستی از چه افرادی بترسیم ؟ منظور من افرادی است که ممکن است باعث ایجاد اختلال در شبکه سازمان شما بشوند است نه همه افراد ، این افراد مضر و مخرب را می توان به صورت کلی به دو دسته تقسیم کرد :

1. کارمندهای داخلی ( خودی ها ) : اینگونه افراد همان کارکنانی هستند که در حال حاضر مشغول به فعالیت در شرکت یا سازمان شما هستند و یا اینکه از آنجا اخراج شده اند . کارمند های داخلی ممکن است افراد ناراضی شرکت شما را نیز تشکیل بدهند ، افرادی که از کار و وضعیت درآمد خود ناراضی هستند .
2. افراد خارجی یا بیگانه : اینگونه از افراد هرگز برای سازمان یا شرکت شما فعالیت نکرده اند و شاید بتوانیم بگوییم که شما خوش شانس هم بوده اید که این افراد برای شما کار نکرده اند . اما همین دسته از افراد نیز خود به یک سری گروه های دیگر تقسیم بندی می شوند که به شرح ذیل می باشند :
3. اینگونه از افراد که بعضا نام خود را هکر هم می گذارند ( عمرا ) ، در حقیقت افرادی هستند که با استفاده کردن از ابزارها ، اسکریپت ها و روتکیت هایی که توسط افرادی با دانش بالاتر نسبت به آنها نوشته شده است فعالیت می کنند . اصلا آنها نمی دانند که این اسکریپتی که در حال اجرای آن هستند ممکن است چه نوع تخریبی انجام دهد و اصلا چگونه کار می کند . به نظر من و بسیاری دیگر از کارشناسان امنیت اینگونه افراد بیشترین صدمه را می توانند به سازمان ها و شرکت ها بزنند زیرا از عواقب کار خود اطلاعی ندارند .

   جاسوس های شرکتی

   اینگونه از افراد جاسوس هایی هستند که از طرف شرکت های رقیب برای سرقت کردن اطلاعات حساس و حیاتی شرکت شما مامور می شوند ، برای مثلا شرکت خودرو سازی X به شخصی پولی را پرداخت می کند در ازای بدست آوردن اطلاعات از سیستم ایمنی شرکت خودرو سازی Y و این اطلاعات ممکن است بسیار حیاتی و حساس باشد .

   جاسوس های دولتی

   اینگونه افراد فعالیتی بسیار شبیه فعالیت جاسوس های شرکتی دارند با این تفاوت که برای کشوری دیگر فعالیت می کنند و هدف آنها بدست آوردن اطلاعات در خصوص دولت و اطلاعات حساس و محرمانه دولتی است تا بتوانند این اطلاعات را در اختیار کشورهای دیگر قرار بدهند تا آنها بتوانند از این اطلاعات سوء استفاده کنند.

   هکرهای ممتاز

   اینگونه افراد معمولا هیچگونه هدف جاسوسی و یا اینکه از طرف شرکت یا کشور و یا سازمانی ماموریت داشته باشند را ندارند ، اینگونه افراد معمولا اهداف متنوعی در انجام دادن حملات خود دارند ، بسیاری از این افراد قصد دارند دانش زیاد خود را به رخ سایرین بکشند و یا اینکه از شرکت و یا سازمان مربوطه صدمه ای دیده اند و از جانب آنها برایشان ناراحتی پیش آمده که قصد تلافی کردن این حرکت را دارند. برای مثال شما به عنوان یکی از این افراد به یکی از شعب بانک ملی ایران می روید و پس از 2 ساعت معتلی به خاطر یک چک و در نهایت دریافت پاسخ به بدترین شکل و پاس نشدن چک از کارکنان و ساختار بانکی این بانک شاکی می شوید و بعد وارد سیستم بانکی این بانک شده و آنرا هم می کنید و بر روی صفحه اصلی وب سایت آنها می نویسید : به مشتریان خود احترام بگذارید .

   خوب به نظر شما کدام گروه می تواند بیشترین میزان تخریب را داشته باشد ؟ قطعا همه شما با من هم عقیده هستید که کارمند های داخلی یا خودی ها بیشترین مشکلات را برای ما بوجود خواهند آورد . جرم شناسان مجرمین رو با سه صفت توصیف می کنند : کسانی که اهداف ، انگیزه یا علت و فرصت های لازم برای انجام جرم را دارا هستند .به این سه ضلع ، مثلث جرم نیز گفته می شود . که در شکل الف مشاهده می کنید .

   کارکنان داخلی یا خودی ها همیشه هدف و فرصت مناسب را برای انجام جرم دارا هستند. تنها چیزی که آنها نیاز دارند انگیزه است . از طرفی دیگر خارجی های یا افراد بیگانه افراد مورد اعتمادی برای دسترسی به منابع داخلی سازمان نیستند ، آنها در خارج از سازمان شما قرار دارند و با داشتن کمی فرصت برای انجام دادن حملاتشان حتما شروع به کار خواهند کرد . کسانی که قصد حمله و سوء استفاده از اطلاعات را دارند بایستی از مثلث جرم ، هر سه مورد را داشته باشند . تکمیل شدن این مثلث می تواند منجر به تکمیل شدن جرم باشد .

   متدولوژی های معمول حملات هکری

   حملات هکری معمولا یک یا چندین قسمت از مثلث امنیت اطلاعات یا بهتر بگوییم CIA امنیت اطلاعات را هدف قرار می دهند ، همانطور که می دانید مثلث امنیت اطلاعات شامل محرمانگی ، یکپارچگی و تمامیت و دسترسی پذیری اطلاعات می باشد . حملاتی که بر روی محرمانگی و صحت اطلاعات تمرکز می کنند معمولا منجر به دسترسی پیدا کردن به اطلاعات می شوند حال آنکه حملاتی که به دسترسی پذیری اطلاعات انجام می شود لزوما نبایستی باعث دسترسی پیدا کردن به اطلاعات شود . حملاتی که به دسترسی پذیری یا Availability اطلاعات می شود معمولا از نوع حملات از سرویس خارج کردن یا Denial Of Service هستند .

   نمونه ای از حملات خارج از سرویس کردن ( DOS ) در محیط واقعی

   در فوریه سال 2000 وب سایت های شرکت های یاهو و Ebay به وسیله یک حمله DOS کاملا از سرویس خارج شدند . حمله انجام شده هیچگونه دسترسی را به مهاجمان به شبکه داخلی آنها نداده بود اما باعث شده بود که این کمپانی ها نتوانند به سرویس دهی ادامه دهند . در سال 2001 هکر به نام مستعار Mafiaboy در یک دادگاه در کانادا به دلیل انجام این حملات به 8 ماه زندان محکوم شد .هکرها اهداف متنوعی را برای هک کردن انتخاب می کنند ، اما روش و معماری که هر هکر برای انجام عملیات خود استفاده می کند تقریبا ثابت است . معمولا این متدولوژی هک و حملات هکری به شکل زیر است ، در شکل ب متدولوژی حمله به وضوح قابل مشاهده است :

   شکل ب : متدولوژی انجام حملات هکری

   1. Foot printing یا شناسایی : در این مرحله یک هکر تا جایی که امکان دارد در خصوص هدف مورد حمله اطلاعات بدست می آورد ، این اطلاعات می تواند از طریق وب سایت اینترنتی سازمان ، پایگاه های داده عمومی ، گروه های یاهو و گوگل و یا حتی از پرنسل سازمان بدست بیاید . به این مرحله Passive Reconnaissance یا شناسایی غیرفعالی هم گفته می شود .
   2. Scanning یا اسکن کردن : این مرحله تا حدی به مرحله قبلی مرتبط است زیرا باز هم برای بدست آوردن اطلاعات استفاده می شوند . به این مرحله که بعد از شناسایی اولیه انجام می شود Active Reconnaissance یا شناسایی فعال هم گفته می شود . در این مرحله یک هکر با استفاده از ابزارهای و تکنیک های مختلف پورت ها و سرویس های فعال بر روی هدف را تحلیل می کند و در این خصوص اطلاعات لازم را جمع آوری می کند .
   3. مرحله سوم : Enumeration یا جمع آوری اطلاعات : این مرحله به مرحله قبلی که Scanning است بسیار نزدیک است با این تفاوت که در این نوع جمع آوری اطلاعات ، اطلاعات بسیار دقیقتی از اهداف مورد حمله جمع آوری می شود ، برای مثال پوشه های به اشتراک گذاشته شده با سطح دسترسی ضعیف ، نام های کاربری موجود در شبکه ، رمز های عبور ضعیف و بسیاری موارد دیگر در این مرحله از حمله انجام می شود .
   4. Penetrate یا نفوذ : تفاوت این مرحله با مراحل قبلی این است که در این مرحله مهاجم حمله خود را انجام داده است و رسما کاری از دست شما بر نیامده است . در این مرحبه مهاجم با استفاده از اطلاعاتی که در مراجل قبلی جمع آوری کرده است ، حمله خود را برنامه ریزی کرده است و شبکه شما مورد هجوم وی قرار گرفته است . در این مرحله شما هک شده اید.
   5. Escalate یا بالا بردن دسترسی :فکر نکنید که زمانی که یک هکر وارد یک سیستم شده است قطعا دسترسی های یک مدیر سیستم را دارد . معمولا دسترسی هایی که بصورت غیر مجاز توسط هکرها انجام می شود دسترسی های سطح پایین است ، هکر ها با استفاده از تکنیک های خاص به نام Privilege Escalation یا بالا بردن سطح دسترسی از طریق همان دسترسی کم به دسترسی های بیشتر دست خواهند یافت .
   6. Covering Tracks یا پاک کردن آثار جرم : زمانی که هکر به دسترسی مورد نظر خود و اهداف تعیین شده دست پیدا کرد ، شروع به پاک کردن آثار جرم خود می کند و سعی می کند که فعالیت هایی را که انجام داده است از دید دیگران مخفی نگاه دارد . معمولا یک هکر حرفه ای بعد از اینکه حمله موفقیت آمیزی را ترتیب داد در سیستم هک شده ابزاهای خاص خود مانند روتکیت ها ( Root kit ) و Backdoor ها را برای دسترسی های بعدی ایجاد می کند .

   دوره آموزش جامع سکیوریتی پلاس Security Plus یکی از بهترین و کاملترین دوره های آموزش امنیت اطلاعات و امنیت شبکه در دنیا به حساب می آید. در پایان این دوره آموزشی شما آماده ورود به دنیای هک و امنیت اطلاعات می شوید و به خوبی بر روی مباحث تئوری و مفاهیم امنیتی مسلط خواهید شد. در واقع سکیوریتی پلاس نقطه ورود شما به دنیای امنیت سایبری و از پیشنیازهای دوره های آموزشی هک و نفوذ می باشد.داشتن دانش لازم در حد دوره آموزش نتورک پلاس برای ورود به دوره سکیوریتی پلاس الزامی است

کامپیوترها در شبکه با استفاده از دو نوع آدرس شناسایی می شوند که به یکی از آنها آدرس IP و به دیگری آدرس MAC می گویند. MAC مخفف کلمه Media Access Control و IP مخفف کلمه Internet Protocol است و هر دو مکانیزمی برای شناسایی کامپیوترها در شبکه هستند. هر دوی این مکانیزمهای آدرس دهی به این منظور استفاده می شوند تا مطمئن شویم که بسته های اطلاعاتی ما از مبدا به مقصد می رسند و در این میان هویت مبدا و مقصد توسط این مکانیزم های آدرس دهی تعیین می شود.

امروز در انجمن تخصصی فناوری اطلاعات ایران می خواهیم در خصوص این بحث کنیم که چرا ما از هر دو نوع آدرس استفاده می کنیم و این دو نوع آدرس با هم چه تفاوت هایی دارند ، یک آدرس IP معمولا توسط مدیر شبکه یا سرویس دهنده اینترنتی شما ( ISP ) به شما ارائه داده می شود و ممکن است هم بصورت دستی و هم بصورت خودکار و هر بار که به اینترنت متصل می شوید به کامپیوتر شما اختصاص داده شود. بنابراین آدرس IP یک آدرس ثابت و همیشگی نیست و ممکن است حتی در طی یک روز بارها آدرس IP شما عوض شود.

این موضوع در خصوص آدرس MAC صادق نیست . آدرس MAC را به عنوان آدرس سخت افزاری کارت شبکه نیز می شناسند و این آدرس معمولا توسط مدیر شبکه تغییر نمی کند و از طرف شرکت تولید کننده بر روی کارت شبکه یا دستگاهی که به شبکه متصل می شود بصورت از پیش تعریف شده وجود دارد. آدرس MAC برای شناسایی یک کارت شبکه استفاده می شود و به همین دلیل باید منحصر به فرد بوده و نباید تغییر کند به همین دلیل شما به روش های معمول نمی توانید آدرس MAC یک کارت شبکه را عوض کنید ، این آدرس برای هر کارت شبکه ای که در دنیا وجود دارد منحصر به فرد است .

آدرس IP برای شناسایی شبکه ای که کامپیوتر در آن قرار گرفته است استفاده می شود و می توان از روی آدرس IP موقعیت حدودی محل قرار گیری کامپیوتر را پیدا کرد. آدرس های IP از طریق سازمان به نام IANA برای هر کشور و هر منطقه جغرافیایی بصورت جداگانه تعریف شده اند و از این طریق شما می توانید محدوده جغرافیایی آدرس IP را به سادگی پیدا کنید که برای کدام کشور و چه بسا برای کدام شهر است. اما این امکان برای ادرس MAC وجود ندارد و در واقع درون این آدرس MAC چیزی برای شناسایی محل جغرافیایی تعریف نشده است و شما نمی توانید محل قرار گیری یک کارت شبکه با آدرس MAC را پیدا کنید ، به همین دلیل می توانیم آدرس MAC را به نوعی اسم یک کارت شبکه در نظر بگیریم تا آدرس آن ، بصورت کلی فراموش نکنید که زمانیکه صحبت از شبکه های LAN و ساختار Switching می شود شما آدرس دهی MAC را استفاده می کنید و زمانیکه صحبت از مسیریابی بین شبکه ها و استفاده از مسیریاب ها و روترها می شود ما از آدرس IP استفاده می کنیم.

یکی از مهمترین قابلیت هایی که آدرس های MAC در اختیار ما قرار می دهند امکان استفاده از مکانیزم امنیتی به نام MAC filtering در شبکه های داخلی است . شما می توانید با اسفاده از MAC Filtering و همچنین قابلیت Port Security بر روی سویچ ها و دستگاه های بیسیم شبکه فقط به آدرس های MAC خاصی امکان استفاده از شبکه و یا حتی اتصال به شبکه را بدهید. این مکانیزم هم می تواند در سطوح کوچک خانگی و هم در سطوح کلان سازمانی پیاده سازی شود و درجه امنیتی سازمان شما را بسیار بالا ببرد. توجه کنید که از آدرس MAC می توان به عنوان یک پیشنیاز برای دریافت آدرس IP هم نام برد. زمانیکه شما در شبکه می خواهید از سرویسی به نام DHCP استفاده کنید که آدرس دهی خودکار انجام می دهد ، ابتدا این سرویس آدرس MAC سیستم شما را دریافت می کند و بر اساس آن یک آدرس IP در اختیار کارت شبکه شما قرار می دهد.

دوره آموزش نتورک پلاس (Network+) بعد از گذراندن دوره آموزش شبکه نتورک پلاس ، شما قادر خواهید بود براحتی در آزمون دریافت گواهینامه بین المللی نتورک پلاس شرکت کنید. تمامی توضیحات مربوط به دوره آموزش نتورک پلاس در ادامه برای شما ارائه شده است. این دوره آموزشی مبانی شبکه های کامپیوتری پیشنیازی مهم برای شروع آموزش لینوکس و آموزش MCSA مایکروسافت است.

تجهیزات شبکه متنوعی در شبکه وجود دارد که ما آنها را به عنوان انواع سخت افزار شبکه هم می شناسیم. انواع سخت افزارهای شبکه یا انواع تجهیزات شبکه ، هر دو کلمه تعریفی از وسایلی است که ما در شبکه های کامپیوتری برای ارتباط و اتصال کامپیوترها با هم استفاده می کنیم .اگر بخواهیم به زبان ساده انواع تجهیزات شبکه را دسته بندی کنیم ، تجهیزات شبکه را به دو دسته بندی تجهیزات شبکه اکتیو (Active) یا فعال و تجهیزات شبکه پسیو (Passive) یا غیرفعال طبقه بندی می کنیم.

در این مقاله قصد داریم به معرفی تک تک تجهیزات و سخت افزارهای اکتیو و پسیو شبکه بپردازیم و بعد از خواندن این مقاله شما براحتی می توانید زیر و بم تجهیزات شبکه را بشناسید و با نگاه کردن به آنها بگویید که اکتیو هستند یا پسیو و کاربرد هر کدام چیست. پیشفرض ما این است که شما با تعریف شبکه و ساختار کلی آن آشنایی دارید.

تفاوت تجهیزات شبکه اکتیو و تجهیزات شبکه پسیو

اگر بخواهیم به ساده ترین شکل ممکن تفاوت بین تجهیزات شبکه پسیو و تجهیزات شبکه اکتیو را بگوییم ، تعریف به این شکل است که اگر تجهیزات شبکه ای که استفاده می کنیم درکی از ماهیت ترافیک شبکه داشته باشند و بر اساس نوع ترافیک ، تشخیص آدرس شبکه و ... کار کنند به آنها تجهیزات شبکه اکتیو گفته می شود و اگر هیچ درکی از مفهوم ترافیک ، آدرس IP و ... نداشته باشند به آنها پسیو گفته می شود. برای مثال کارت شبکه و سویچ جزو تجهیزات اکتیو در شبکه هستند در حالیکه هاب و کابل شبکه جزو تجهیزات پسیو یا غیرفعال به حساب می آیند.

کارت شبکه چیست؟ معرفی Network Interface Card یا NIC

کارت شبکه جزو تجهیزات شبکه فعال یا Active است. ما معرفی تجهیزات شبکه را از اولین قسمتی که کامپیوتر شما وارد دنیای شبکه می شود شروع می کنیم . کارت شبکه وسیله ای است که مثل هر کارت دیگری بر روی کامپیوتر ما نصب می شود و ما از طریق آن چه بصورت وایرلس یا بیسیم و چه با استفاده از کابل و سوکت شبکه ، به وسیله دیگری به نام سویچ ( یا اکسس پوینت شبکه ) متصل می شویم.

کارت های شبکه هم بصورت داخلی ( Internal ) هستند که بر روی مادربورد کامپیوتر شما نصب می شوند و هم بصورت خارجی یا External هستند و به وسیله پورت USB به کامپیوتر شما متصل می شوند. توجه کنید که در بحث شبکه های کامپیوتری کارت شبکه الزاما یک وسیله مجزا نیست و شما بر روی موبایل خود ، تبلت خود ، لپتاپ خود و هر وسیله ای که به شبکه اینترنت متصل می شود ، یک کارت شبکه دارید. نمونه از ای کارت شبکه های مختلف را در ادامه برای شما قرار می دهم :

سویچ شبکه چیست؟ معرفی Network Switch به زبان ساده

سویچ شبکه جزو تجهیزات شبکه فعال یا Active است. سویچ یک متمرکز کننده و ارتباط دهنده بین کامپیوترهاست. کارت های شبکه شما با استفاده از کابل و سوکت به پورت های سویچ متصل می شوند و می توانند با هم ارتباط برقرار کنند. سویچ ها انواع و اقسام متنوعی دارند و این روزها نه تنها در شبکه های شرکتی و سازمانی ، بلکه در خانه های شما نیز سویچ ها را می توانیم ببینیم .

نحوه عملکرد سویچ در گنجایش این مقاله نیست و ما در قالب مقاله ای جداگانه مبحث سویچ چیست و چگونه در شبکه کار می کند را در توسینسو بررسی کرده ایم. اگر در خصوص انواع شبکه های کامپیوتری جستجو کرده باشید و انواع توپولوژی های شبکه را نیز بشناسید ، متوجه می شوید که از سویچ در توپولوژی ستاره ای استفاده می شود.

سویچ ها بر اساس لایه های OSI در لایه های مختلف کار می کنند اما معمولترین نوع سویچ ها ، سویچ لایه دو است که با استفاده از آدرس MAC ارتباطات را برقرار می کند و سویچ لایه سه نیز از طریق آدرس IP اینکار را انجام می دهد.

برای درک بهتر این موضوع می توانید به مقاله تفاوت سویچ لایه دو و سویچ لایه سه در شبکه مراجعه کنید. سویچ ها بسته به اندازه ، امکانات و نیاز افراد می توانند از دو پورت تا صدها پورت داشته باشند. در ادامه تصاویری از سویچ های شبکه در سطوح مختلف را برای شما قرار می دهم .

فایروال شرکت سیسکو با نام Adaptive Security Appliance) ASA) تولید می شود که علاوه بر امکانات فایروال ، قابلیت های فراوانی را برای ما مهیا می سازد.فایروال ها وظیفه محافظت از شبکه داخلی را در برابر دسترسی غیر مجاز از بیرون شبکه دارند. علاوه بر این فایروال ها می توانند محافظت بخش های مختلف شبکه را نسبت به هم تامین کنند به طور مثال منابع شبکه را از کاربر شبکه جدا کنیم. همچنین فایروال امکان دسترسی به برخی از سرویس ها مانند وب که نیاز به ایجاد دسترسی برای کاربران خارج شبکه است را فراهم می کند.

به این صورت که سرورهای مربوطه را در یک شبکه جداگانه تحت عنوان Demilitarized Zone) DMZ) قرار می دهیم و توسط فایروال امکان دسترسی محدود از طریق محیط خارج از شبکه را به DMZ می دهیم. با اینکار یک محیط ایزوله ایجاد کرده ایم و در صورتی که حمله به این سرورها صورت گیرد فقط این سرورها تحت تاثیر قرار می گیرد و سرورهای داخلی از این حمله در امان هستند. علاوه بر این می توانید دسترسی کاربران به شبکه خارجی (مانند اینترنت) را نیز کنترل کنید مثلا به چه آدرس ها و سایت هایی دسترسی داشته باشند.

زمانی که بحث استفاده از فایروال در شبکه پیش می آید شبکه خارجی در مقابل فایروال است و شبکه داخلی و DMZ پشت فایروال قرار می گیرند و توسط آن محافظت می شوند و تنها اجازه دسترسی محدود به کاربران خارج از شبکه را به محیط DMZ می دهد. فایروال ASA دارای چندین اینترفیس است که می توان برای هر کدام آن سیاست های خاص خودش را در نظر گرفت. حتی شما می تواند چند شبکه داخلی ، DMZ و یا چند شبکه خارجی داشته باشید.

در دو Mode یا حالت Transparent و Routed کار می کند. در مقاله قبلی با عملکرد فایروال در حالت Transparent آشنا شدیم و در این مقاله می خواهیم مفاهیم ، نحوی عملکرد و ویژگی های Routed Mode را بررسی کنیم.

Routed Mode چیست؟

به صورت پیش فرض فایروال ASA در لایه سوم عمل می کند و بر پایه Packet و IP Address عمل می کند و کلیه عملیات بازرسی و انتقال ترافیک ، براساس پارامترهای لایه سوم انجام می گیرد هرچند که ASA می تواند در لایه های بالاتر نیز کنترل را انجام دهد. ASA با در نظر گرفتن IP Address برای اینترفیس ها ، خود را به عنوان یک روتر یا Gateway در شبکه ای که به آن متصل است معرفی کند. به این حالت Routed Mode گفته می شود.استفاده از این حالت نیاز به تغییرات در سیستم آدرس دهی IP دارد.در این حالت هر اینترفیس ASA باید به یک Subnet متصل و یک IP از آن Subnet به آن اینترفیس اختصاص داده شود در تصویر زیر حالت Routed Mode را می بینید که اینترفیس 0 به نام outside به شبکه 192.168.100.0/24 ، اینترفیس 1 به نام inside به شبکه 192.168.200.0/24 و اینترفیس 2 به نام DMZ به شبکه 192.168.1.1/24 متصل است.

اکسس پوینت یا AP چیست؟ Access Point یا Wireless Access Point که به فارسی به معنی نقطه دسترسی می باشد در واقع اسمی است که ما بر روی یکی از تجهیزاتی گذاشته ایم که در شبکه های بیسیم یا وایرلس مورد استفاده قرار می گیرد. این تجهیزات که یه صورت اختصاری به آنها AP یا WAP هم گفته می شود در شبکه های کامپیوتری به تجهیزاتی گفته می شود که عملکردی شبیه به سویچ شبکه های کابلی در شبکه های بیسیم دارند ، بدین معنی که این امکان را فراهم می کنند که از طریق آنها شما بتوانید چندین سیستم کامپیوتری را از طریق شبکه های بیسیم به همدیگر متصل کنید.

به شبکه های محلی که با استفاده از Access Point ها به هم متصل می شوند به جای اینکه LAN بگوییم Wireless LAN یا WLAN هم می گوییم. Access Point ها را معمولا به شکل AP نمایش می دهند ، این دستگاه ها یک عملکرد مرکزی دارند ، تمامی سیگنال های رادیویی را دریافت و ارسال می کنند که در اکثر مواردی که در شبکه های کامپیوتری می باشد سیگنال های Wi-Fi نیز شامل می شود. معمولا از AP ها در شبکه های کوچک و یا شبکه های عمومی اینترنتی برای ایجاد Hot Spot استفاده می شود.

احتمالا شما نیز در خانه خود از این AP ها دارید ، دستگاهی که شما به عنوان مودم ADSL می شناسید که در کنار آن یک آنتن نیز قرار دارد در واقع یک AP است که در لفظ فنی به آن Wireless Router گفته می شود. AP هایی که در دفاتر شرکت های کوچک و خانه ها استفاده می شوند معمولا بسیار کوچک هستند و براحتی بر روی چیپ یک کارت شبکه یا رادیو قابل پیاده سازی هستند ، حتی مودم های وایمکسی که شما دارید نیز همان AP های خانگی هستند.

تجهیزاتی که بصورت ویژه برای کار سرویس دهی وایرلس استفاده می شوند از دستگاه مرکزی AP استفاده می کنند و توپولوژی مورد استفاده در آنها در اصطلاح فنی Infrastructure می باشد. در توپولوژی Ad-Hoc تعداد کلاینت هایی که همزمان می توانند به AP شما متصل شوند بسیار محدود است اما در توپولوژی Infrastructure این تعداد بسیار متناسب با نیاز سازمان شما خواهد بود. در دوره آموزش نتورک پلاس و در قسمت بررسی شبکه های بیسیم یا وایرلس به خوبی در خصوص اکسس پوینت ، تکنولوژی ها و کاربرهایشان توضیح می دهیم.

در توپولوژی Infrastructure در واقع AP شما به عنوان یک پل یا Bridge برای متصل کردن شبکه های بیسیم شما به شبکه کابلی مورد استفاده قرار می گیرد و وظیفه تبدیل سیگنال را نیز بر عهده دارد. AP های قدیمی بین 10 تا 20 کامپیوتر را می توانستند بصورت همزمان پشتیبانی کنند اما امروزه با توجه به گشترش روز افزون تکنولوژی های AP ها می توانند به تنهایی تا 255 عدد کامپیوتر را به هم متصل کنند.

روتر یا مسیریاب چیست؟ Router چگونه کار می کند؟ Router یکی از دیوایس های مورد استفاده در شبکه می باشد که در لایه ی سوم OSI (لایه Network) کار می کند. Router بین شبکه های مختلف مسیر یابی می کند و دقیقا به همین دلیل باید حداقل دو عدد اینترفیس داشته باشد که Net ID های آنها حداقل یک بیت با هم فرق داشته باشند.برای یادگیری بهتر مفاهیم روتینگ و تجهیزات روتر و ... می توانید به قسمت معرفی تجهیزات شبکه در دوره آموزش نتورک پلاس مراجعه کنید.

شرکت های زیادی هستند که تجهیزات شبکه مانند Router و دیگر دیوایس های مورد استفاده را تولید می کنند به این سبب Router ها نیز برند ها و مدل های مختلفی دارند اما همانطور که همه می دانیم بهترین شرکت تولید کننده تجهیزات شبکه، شرکت Cisco است که نه تنها تجهیزات بلکه صادر کننده علم شبکه به دنیا نیز می باشد.Routing علمی است که Cisco به دنیا معرفی کرد و کاریست که روتر ها برایمان انجام می دهند. به طور کلی Routing به معنی ارسال بسته از مبدا به مقصد بر اساس پرتکل ها ،آدرس لایه سومی (IP) و Routing Table یک روتر می باشد.

نحوه کار کرد یک روتر یا مسیریاب

هنگامی که یک روتر را خریداری و برای اولین بار روشن می کنید به صورت پیش فرض کاری انجام نمی دهد یعنی نیاز است که همه کار ها و دستورات به آن داده شود.پس ابتدا اینترفیس های روتر را روشن کرده و بر اساس تشخیص مهندس شبکه، IP های مورد نظر به اینترفیس ها داده و Routing Protocol مناسب بروی آن router راه اندازی می شود. حال زمانی را در نظر بگیرید که بسته ای به روتر می رسد ، در این حالت ابتدا روتر به Routing Table خود نگاه می کند چنانچه Route و یا مسیری برای آن مقصد مورد نظر داشته باشد ، بسته را route می کند و اگر مسیری در Routing table نداشته باشد ، default gateway را بررسی میکند. در صورتی که set شده باشد ، بسته به آن سمت هدایت می شود در غیر این صورت بسته drop خواهد شد.

• نکته : عملیات Routing تنها توسط روتر انجام نمی شود بلکه switch هایی نیز وجود دارند که این کار را انجام می دهند ودر اصطلاح به آنها MLS که مخفف شده ی عبارت Multi Layer Switch است، گفته می شود. MLS ها قابلیت کار کرد در لایه های دوم و سوم OSI و همچنین دید نسبت به لایه چهارم را دارند.

عملکرد پل در دنياي کامپيوتر و دنياي واقعي، در هر دو، پلها دو يا چند بخش منفک و مجزا را به هم ملحق ميکنند تا فاصلهها از ميان برداشته شود. اگر شبکههاي محلي را به جزاير کوچک و مستقل تشبيه کنيم پلها اين جزاير را به هم پيوند ميزنند تا ساکنين آن به هم دسترسي داشته باشند.

بسياري از سازمانها داراي LANهاي متعددي هستند و تمايل دارند انها را به هم متصل کنند. شبکههاي محلي (LAN) را ميتوان از طريق دستگاه هايي که در لايه پيوند داده عمل ميکنند و پل (Bridge) ناميده ميشوند به هم متصل نمود.

پلها براي مسيريابي و هدايت دادهها، ادرسهاي "لايه پيوند دادهها" را بررسي ميکنند. از انجايي که قرار نيست محتواي فيلد داده از فريمهايي که بايد هدايت شوند، پردازش گردد لذا اين فريمها ميتوانند بستههاي IPv4 (که اکنون در اينترنت به کار ميرود)، IPv6 (که در اينده در اينترنت به کار گرفته خواهد شد)، بستههاي Apple Talk، ATM، OSI، يا هر نوع بسته ديگر را در خود حمل کنند.

بر خلاف پل، "مسيريابها" ادرس درون بستهها را بررسي کرده و بر اين اساس، انها را هدايت (مسيريابي) ميکنند. اگر بخواهيم در تعبيري عاميانه و نادقيق مسيرياب را با پل در دنياي واقعي مقايسه کنيم پل جزاير منفک را مستقيما به هم متصل ميکند در حالي که مسيرياب به مثابه قايق، مسافران خود را پس از سوار کردن از يک طرف به طرف ديگر منتقل ميکنند.

طبعا پل سرعت تردد مسافران را بالاتر خواهد برد ولي قايق هميشه و در هر نقطه از جزيره در دسترس است و قدرت مانور مسافر را بالا خواهد برد!!قبل از پرداختن به تکنولوژي پل، بررسي شرايطي که در ان، استفاده از پلها سودمند است، اهميت دارد. چه دلايلي باعث مي شود يک سازمان واحد، داراي چندين LAN پراکنده باشد؟

اول از آن که: بسياري از دانشگاهها و بخشهاي مختلف شرکتها، LAN مختص به خود را دارند تا بتوانند کامپيوترهاي شخصي، ايستگاههاي کاري و سرويس دهندههاي خاص خود را به هم متصل کنند. از انجايي که بخشهاي مختلف يک موسسه، اهداف متفاوتي را دنبال ميکنند لذا در هر بخش، فارغ از ان که ديگر بخشها چه ميکنند، LAN متفاوتي پياده ميشود.

دير يا زود نياز ميشود، که اين LANها با يکديگر تعامل و ارتباط داشته باشند. در اين مثال، پيدايش LANهاي متعدد ناشي از اختيار و ازادي مالکان ان بوده است. دوم آن که: ممکن است سازمانها به صورت جغرافيايي در ساختمانهايي با فاصله قابل توجه، پراکنده باشند. شايد داشتن چندين LAN مجزا در هر ساختمان و وصل انها از طريق "پلها" و لينکهاي پرسرعت ارزانتر از کشيدن يک کابل واحد بين تمام سايتها تمام شود. سوم ان که: گاهي براي تنظيک بار و تعديل ترافيک، لازم است که يک LAN منطقي و واحد به چندين LAN کوچکتر تقسيم شود.

به عنوان مثال: در بسياري از دانشگاهها هزاران ايستگاه کاري در اختيار دانشجويان و هيئت علمي قرار گرفته است. عموما فايلها در ماشين هاي سرويس دهنده فايل نگه داري ميشوند و حسب تقاضاي کاربران بر روي ماشينشان منتقل و بارگذاري ميشود. مقياس بسيار بزرگ اين سيستم مانع از ان ميشود که بتوان تمام ايستگاه کاري را در يک شبکه محلي واحد قرار داد چرا که پهناي باند مورد نياز بسيار بالا خواهد بود. در عوض، از چندين LAN که توسط "پل" به هم متصل شده، استفاده ميشود. هر شبکه LAN گروهي از ايستگاهها و سرويس دهنده فايل خاص خود را در بر ميگيرد که بدين ترتيب بيشتر ترافيک در حوزه يک LAN واحد محدود ميشود و بار زيادي به ستون فقرات شبکه اضافه نخواهد شد.

چهارم آن که: در برخي از شرايط اگر چه يک شبکه محلي واحد از نظر حجم بار کفايت ميکنند وليکن فاصله فيزيکي بين ماشينهاي دور، بسيار زياد است. تنها راه حل آن است که LAN به چند بخش تقسيم شده و بين انها پل نصب گردد. با استفاده از پل، ميتوان فاصله فيزيکي کل شبکه را افزايش داد. پنجم آن که: مسئله قابليت اعتماد است; بر روي يک LAN واحد، يک گره خراب که دنبالهاي پيوسته از خروجي اشغال توليد ميکند قادر است کل شبکه را فلج نمايد.

پلها را ميتوان در نقاط حساس قرار داد تا يک گره خراب و مغشوش نتواند کل سيستم را مختل کند. بر خلاف يک تکرار کننده (Repeater) که ورودي خود را بي قيد و شرط باز توليد مينمايد يک پل را ميتوان به نحوي برنامه ريزي کرد تا در خصوص انچه که هدايت ميکند يا هدايت نميکند تصميم اگاهانه بگيرد.

ششم آن که: پل ها ميتوانند به امنيت اطلاعات در يک سازمان کمک نمايند. بيشتر کارتهاي واسط شبکههاي LAN داراي حالتي به نام حالت بي قيد (Promiscuous mode) هستند که در چنين حالتي تمام فريمهاي جاري بر روي شبکه تحويل گرفته ميشود، نه فريمهايي که دقيقا به ادرس او ارسال شدهاند.

با قرار دادن پلها در نقاط مختلف و اطمينان از عدم هدايت اطلاعات حساس به بخشهاي نامطمئن، مسئول سيستم ميتواند بخشهايي از شبکه را از ديگر بخشها جدا کرده تا ترافيک انها به خارج راه پيدا نکرده و در اختيار افراد نامطمئن قرار نگيرد. شکل 1-2 شمايي از وصل چند شبکه محلي مستقل توسط پل را به همراه نمادهاي مربوطه نشان ميدهد. (اکثرا در بسياري از مقالات پل را با يک شش ضلعي مشخص ميکنند.) :نکته: يک سوييچ ميتواند در نقش يک پل ايفاي نقش کند.

پس از بررسي انکه چرا به پلها نياز است اجازه بدهيد به اين سوال بپردازيم که عملکرد انها چگونه است؟ هدف ارماني ان است که پلها کاملا نامرئي (شفاف-Transparent) باشند، بدين معنا که بتوان ماشيني را از بخش از شبکه به بخش ديگر منتقل کرد بدون انکه به هيچگونه تغييري در سخت افزار، نرم افزار يا جداول پيکربندي نياز باشد. همچنين بايد اين امکان وجود داشته باشد که تمام ماشينهاي يک بخش از شبکه بتواند فارغ از انکه نوع LAN انها چيست با ماشينهاي بخش ديگر، مبادله اطلاعات داشته باشد. اين هدف گاهي براورده ميشود وليکن نه هميشه!

شايد در ساده ترين سناريو بتوان عملکرد پل را بدين روال دانست: ماشين A در يک شبکه محلي، بستهاي را براي ارسال به ماشين ميزبان B در شبکه ديگر که از طريق پل به هم متصل شدهاند، اماده کرده دانست. اين بسته از زير لايه MAC عبور کرده و سرايند MAC به ابتداي ان افزوده ميشود. اين واحد داده، بر روي کانال منتقل، و توسط پل دريافت ميشود; پس از رسيدن فريم به پل، کار دريافت ان از لايه فيزيکي شروع و دادهها به سمت زير لايه بالا هدايت ميشود.

پس از انکه فريم دريافتي در لايه 2 پردازش شد و ادرسهاي MAC بررسي شدند، پل مشخص مي کند که فريم را بايد بر روي کدامين خروجي خود منتقل کند. در نهايت فريم جديدي ساخته شده و بر روي شبکه محلي مقصد منتقل ميشود. دقت کنيد که يک پل که K شبکه مختلف را به هم متصل ميکند داراي K زير لايه MAC و تعداد k لايه فيزيکي و کانال ارتباطي است. تا اينجا به نظر ميرسد که انتقال فريم از يک LAN به LAN ديگر ساده است اما واقعيت اين چنين نيست.

شايد با بررسي سناريوي فوق به اين نتيجه برسيد که کاري که پل انجام ميدهد با کاري که يک سوييچ انجام ميدهد يکي است و چيزي به معلومات شما اضافه نشده است. فقط نام جديد پل بر روي همان سوييچي گذاشته شده که عملکرد ان را مشاهده کرديد! هم درست انديشيده ايد و هم در اشتباهيد! اگر پل را ابزاري فرض کردهايد که قرار است دو شبکه اترنت را بهم پيوند بزند حق با شماست و پل هيچ تفاتي با سوييچ ندارد.

ولي در يک تعريف وسيعتر بايد پل را ابزاري در نظر بگيريد که قرار است دو شبکه ناهمگون (مثل اترنت و بيسيم يا اترنت و حلقه) را به هم پيوند بزند و فريم پس از ورود به پل و قبل از انتقال به شبکه مقصد بايد تغيير ماهيت بدهد و سرايند MAC ان بکل عوض شود. چنين کاري از سوييچ بر نميايد. عموما تمام پورتهاي يک سوييچ لايه 2 (مثل سوييچ اترنت) از يک نوعند و فريمها در خلال انتقال از سوييچ هيچ تغييري نميکنند.

ناهمگوني شبکهها و شرايط ذاتي حاکم بر هر شبکه (مثل شرايط حاکم بر محيط بي سيم يا باسيم) مشکلات عديدهاي را ايجاد خواهد کرد که پل بايد از عهده ان برايد. بنابراين از اين به بعد سوييچهاي اترنت را پلهايي بدانيد که صرفا شبکههاي از نوع اترنت را بهم پيوند ميزند. پل يک سوييچ لايه 2 هست ولي از يک سوييچ اترنت برتر و پيچيدهتر است. اگر به دنبال کسب اطلاعات بیشتر در خصوص نحوه کارکرد بریج در شبکه هستید ، پیشنهاد می کنم حتما سری به دوره آموزش نتورک پلاس و تفاوت هاب و سویچ بیندازید تا به خوبی این مفهوم را درک کنید.

هاب و سویچ دو نوع از تجهیزاتی هستند که در شبکه برای متصل کردن کامپیوترها به هم استفاده می شوند و بیشتر کاربرد آنها در شبکه های LAN است. مهمترین تفاوتی که بین هاب و سویچ لایه دو وجود دارد در پیچیدگی طراحی داخلی این دستگاه ها است. هاب یک دستگاه فوق العاده ساده است که هیچگونه قدرت پردازشی و تحلیلی در خود ندارد و تنها کاری که انجام می دهد این است که بسته های اطلاعاتی را در شبکه دریافت و برای تمامی پورت های خود ارسال می کند. در قسمت هفتم از دوره آموزش نتورک پلاس دقیقا تفاوت بین سویچ و هاب و چگونگی به وجود آمدن و جایگزین شدن سویچ صحبت شده است.

هاب به هیچ عنوان محتوای بسته های اطلاعاتی که در خود رد و بدل می شوند را واکاوی نمی کند و تقریبا هر چیزی که به آن وارد می شود از آن بدون هیچگونه تغییری خارج می شود. از طرفی دیگر سویچ لایه دو یک دستگاه هوشمند تر است که کمی قدرت پردازشی دارد و از محتویات بسته های اطلاعاتی نیز تا حدودی خبر دارد ، سویچ لایه دو آدرس های مبدا و مقصدی که در بسته اطلاعاتی وجود دارند را می خواند و می داند که یک بسته اطلاعاتی باید به کدام مقصد ارسال شود و از کدام مبدا به سویچ لایه دو وارد شده است. سویچ لایه دو اطلاعات مربوط به مبدا و مقصد موجود در بسته های اطلاعاتی را در خود نگه داشته و بر اساس آنها تعیین می کند که یک بسته اطلاعاتی باید به کدام سمت ارسال شود.

هاب به دانستن محتویات موجود در بسته های اطلاعات نیازی ندارد زیرا به محض دریافت کردن یک بسته اطلاعاتی از روی یکی از پورت های خود کل بسته اطلاعات را در تمامی پورت های خودش ارسال می کند ، به نوعی هاب تمامی اطلاعاتی که دریافت می کند را درون همه پورت هایش Broadcast می کند ، البته به این نکته توجه کنید که هاب روش کاری شبیه به سیستم Broadcasting یا ارتباط یک به همه دارد و ما برای مثال از کلمه Broadcasting استفاده کردیم زیرا ساختار بسته اطلاعاتی Broadcast به تنهایی متفاوت است.

تشخیص اینکه یک بسته اطلاعاتی مربوط به یک مبدا یا یک مقصد خاص است بر عهده کامپیوترهایی است که به هاب متصل شده اند ، اگر آدرس مقصدی که در بسته اطلاعاتی تعریف شده بود مربوط به کامپیوتر مربوطه بود ، بسته اطلاعاتی دریافت و در غیر اینصورت بسته اطلاعاتی Drop یا از بین می رود. در سویج لایه دو هم چنین چیزی به وجود می آید اما نه در همه شرایط ، بلکه صرفا زمانیکه مقصد بسته اطلاعاتی مشخص نباشد ، بسته اطلاعاتی به همه پورت ها ارسال خواهد شد. زمانیکه در سویچ لایه دو ، یک بسته اطلاعاتی به مقصد مورد نظر می رسد یک پاسخ به سویچ لایه دو داده می شود که از طریق آن سویچ قادر خواهد بود اطلاعات مقصد را از داخل بسته اطلاعاتی خارج و در خود ذخیره کند ، این عمل باعث می شود که سویچ لایه دو Flood نکند و ترافیک زیاد در شبکه ایجاد نکند.

همانطور که گفتیم مکانیزم کاری هاب به شکل Flooding یا ارسال بسته به همه پورت ها است ، اینکار باعث کاهش شدید کارایی شبکه و کند شدن ارتباطات شبکه می شود زیرا یک کلاینت زمانیکه در حال انتقال اطلاعات است تمامی پهنای باند موجود در هاب را به خودش اختصاص می دهد و به همین دلیل است که دیگران قادر به ارسال اطلاعات در این حین نمی باشند. در واقع هاب پهنای باند را بصورت اشتراکی به کلاینت ها ارائه می دهد و تا زمانیکه کار انتقال داده برای یکی از کلاینت ها تمام نشود کلاینت دوم قادر به ارسال اطلاعات به درستی نخواهد بود.

این مکانیزم کاری هاب شبیه به تریبون سخنرانی است ، تا زمانیکه سخنرانی شخصی که در حال سخنرانی است تمام نشده است نفر دوم قادر به ایراد سخنرانی نخواهد بود. اما سویچ لایه دو دارای قابلیتی به نام Micro Segmentation است که این امکان را به سویچ می دهد که با توجه به اینکه پورت مبدا و پورت مقصد را می شناسد ترافیک را صرفا به پورت مقصد ارسال کند و ترافیکی برای سایر پورت های شبکه ایجاد نکند ، در واقع زمانیکه یک نفر در سویچ لایه دو در حال انتقال اطلاعات باشد نفر دوم برای مسیرهای دیگر هیچ مشکلی برای انتقال اطلاعات نخواهد داشت زیرا مسیرهای رد و بدل شدن اطلاعات کاملا مشخص و از قبل تعیین شده هستند.

به نوعی می توانیم بگوییم که سویچ لایه دو امکان استفاده اختصاصی به هر کدام از کلاینت ها از پهنای باند سویچ را می دهد زیرا مسیرها کاملا مشخص هستند. این مکانیزم کاری را می توانیم با مکانیزم کاری تلفن های سلولی مقایسه کنیم ، جاییکه شما همزمان می توانید به همراه سایر افراد از شبکه تلفن همراه استفاده کنید و این در حالی است که همه افراد دیگر بر روی این بستر همزمان در حال مکالمه هستند و هیچگونه خللی در کار مکالمه شما وارد نخواهد شد.