وبلاگ تخصصی مباحث آموزش مجازی سازی و تکنولوژی های مجازی سازی

قابلیت NAT Extendable در IOS های شرکت سیسکو این قابلیت را به ما می دهد تا بتوانیم یک آی پی آدرس پرایوت یا داخلی را به بیش از یک آی پی پابلیک ترجمه کنیم.بگذارید راه اندازی قابلیت NAT Extendable را در قالب یک سناریو یاد بگیریم.به توپولوژی زیر نگاه کنید:

در این توپولوژی روتر S1 را بعنوان یک سرور در نظر گرفته ایم که روی آن یک وب سرور قرار دارد و می خواهیم که در اینترنت قابل دسترس باشد. برای این کار روتر R1 را که به دو ISP متصل شده را برای NAT پیکربندی می کنیم.

بیشتر بخوانید: آموزش تصویری آشنایی و پیکربندی انواع NAT

در این مثال فرض کنیم که آی پی 192.168.12.100 یک آی پی پابلیک مربوط به ISP1 است و آی پی 192.168.13.100 هم یک آی پی پابلیک مربوط به ISP2 می باشد و قرار است آی پی 192.168.1.1 را از اینترنت ببینیم.

پیکربندی یا Configuration:

ابتدا روتر S1 را کانفیگ می کنیم. به دلیل اینکه هیچ راه دیگری برای S1 بجز اتصال به R1 وجود ندارد، روتینگ را غیرفعال و فقط یک default-gateway برای دسترسی به روتر R1 برایش تنظیم می کنیم:

S1(config)#no ip routing
S1(config)#ip default-gateway 192.168.1.254

حالا NAT های Inside و Outside را برای اینترفیس های R1 تعریف می کنیم.

R1(config)#interface GigabitEthernet 0/1
R1(config-if)#ip nat inside

R1(config)#interface GigabitEthernet 0/2
R1(config-if)#ip nat outside

R1(config)#interface GigabitEthernet 0/3
R1(config-if)#ip nat outside

حالا فکر کنید که میخواهیم آی پی سرور را از اینترنت مربوط به ISP1 که آی پی پابلیک 192.168.12.100 دارد ببینیم. این کار را به راحتی با دستور زیر می توانیم انجام دهیم:

R1(config)#ip nat inside source static 192.168.1.1 192.168.12.100

با این دستور یک NAT یک به یک 1:1 بین آی پی 192.168.1.1 و 192.168.12.100 ایجاد کردیم که تا به اینجا مسیر درستی بوده. اما اگر بخواهیم همین کار را با آی پی پابلیک 192.168.13.100 انجام بدهیم چطور؟ روتر این اجازه را به ما می دهد؟

بگذارید تست کنیم:

R1(config)#ip nat inside source static 192.168.1.1 192.168.13.100
% 192.168.1.1 already mapped (192.168.1.1 -> 192.168.12.100)

با توجه به اینکه قبلا آی پی 192.168.1.1. به آی پی 192.168.12.100 ترجمه شده بود، روتر امکان ترجمه مجدد این آی پی پرایوت را به آی پی پابلیک دیگری به ما نمی دهد.

اما یک راه دیگر برای اینکه بتوانیم دو آی پی پابلیک را به یک آی پی پرایوت در یک روتر ترجمه کنیم وجود دارد.

ابتدا برویم و دستور NAT قبلی را برداریم:

R1(config)#no ip nat inside source static 192.168.1.1 192.168.12.100

الان مجددا دستور قبلی را تکرار می کنیم با این فرق که از کلمه extendable در انتهای دستور استفاده میکنیم تا روتر متوجه بشود که نیازمند این هستیم تا دو NAT برای یک آی پی در نظر بگیریم:

R1(config)#ip nat inside source static 192.168.1.1 192.168.12.100 extendable 
R1(config)#ip nat inside source static 192.168.1.1 192.168.13.100 extendable

دیدید؟ سیسکو دیگر ایرادی به دستور ما نگرفت.

بیشتر بخوانید: جامع ترین دوره آموزشی CCNP Enterprise به زبان فارسی

بررسی یا Verification:

ببینیم که آیا این تنظیمات به درستی کار می کنند یا خیر؟

R1#show ip nat translations 
Pro Inside global      Inside local       Outside local      Outside global
--- 192.168.12.100     192.168.1.1        ---                ---
--- 192.168.13.100     192.168.1.1        ---                ---

می بینیم که آی پی 192.168.1.1 به هر دو آی پی 192.168.12.100 و 192.168.13.100 ترجمه شده. بریم ببینیم آیا روتر های ISP1 و ISP2 می توانند به سرور ما دسترسی داشته باشند یا خیر.

ابتدا Debugging را روی روتر فعال می کنیم تا تمام اتفاقاتی که روی روتر R1 می افتد را بتوانیم مانیتور کنیم:

R1#debug ip nat
IP NAT debugging is on

یک پینگ از ISP1 به آی پی 192.168.12.100 می گذاریم: (توجه کنید که آی پی 192.168.12.100 روی هیچ اینترفیسی ست نشده است)

ISP1#ping 192.168.12.100
Type escape sequence to abort.
Sending 5, 100-byte ICMP Echos to 192.168.12.100, timeout is 2 seconds:
!!!!!
Success rate is 100 percent (5/5), round-trip min/avg/max = 2/3/4 ms

ارتباط ما برقرار است. اگر به روتر R1 بر گردیم میبینیم که NAT به درستی در حال کار کردن است:

R1#
NAT*: s=192.168.12.2, d=192.168.12.100->192.168.1.1 [33]
NAT*: s=192.168.1.1->192.168.12.100, d=192.168.12.2 [33]

آی پی 192.168.1.1 به درستی به آی پی 192.168.12.100 ترجمه شده. حالا برویم و از ISP2 همین تست را تکرار کنیم:

ISP2#ping 192.168.13.100
Type escape sequence to abort.
Sending 5, 100-byte ICMP Echos to 192.168.13.100, timeout is 2 seconds:
!!!!!
Success rate is 100 percent (5/5), round-trip min/avg/max = 2/2/3 ms

و در روتر R1 می بینیم که الان این ترجمه از IP جدید در حال انجام است:

R1#
NAT*: s=192.168.13.3, d=192.168.13.100->192.168.1.1 [20]
NAT*: s=192.168.1.1->192.168.13.100, d=192.168.13.3 [20]

تا اینجای کار به درستی پیش رفته است و آی پی 192.168.1.1 از هر دو آی پی 192.168.12.100 و 192.168.13.100 قابل دسترس است.

اما اگر از روتر S1 ترافیکی ایجاد شود از کدام NAT استفاده می کند؟

S1#ping 192.168.12.2
Type escape sequence to abort.
Sending 5, 100-byte ICMP Echos to 192.168.12.2, timeout is 2 seconds:
!!!!!
Success rate is 100 percent (5/5), round-trip min/avg/max = 2/4/6 ms

ارتباط بین S1 و ISP1 که به درستی برقرار است. اما با چه NAT ای؟

R1#show ip nat translations 
Pro Inside global      Inside local       Outside local      Outside global
icmp 192.168.12.100:5  192.168.1.1:5      192.168.12.2:5     192.168.12.2:5
--- 192.168.12.100     192.168.1.1        ---                ---
--- 192.168.13.100     192.168.1.1        ---                ---

خب در جدول NAT روتر R1 می بینیم که آدرس 192.168.1.1 به 192.168.12.100 ترجمه شده. اما در مورد پینگ به آی پی 192.168.13.3 چطور؟ مجدد به روتر S1 بر میگردیم:

S1#ping 192.168.13.3
Type escape sequence to abort.
Sending 5, 100-byte ICMP Echos to 192.168.13.3, timeout is 2 seconds:
.....
Success rate is 0 percent (0/5)

پینگ این آی پی کار نکرد. چرا؟ جدول NAT روتر R1 را نگاه می کنیم:

R1#show ip nat translations 
Pro Inside global      Inside local       Outside local      Outside global
icmp 192.168.12.100:5  192.168.1.1:5      192.168.12.2:5     192.168.12.2:5
icmp 192.168.12.100:6  192.168.1.1:6      192.168.13.3:6     192.168.13.3:6
--- 192.168.12.100     192.168.1.1        ---                ---
--- 192.168.13.100     192.168.1.1        ---                ---

در جدول بالا می بینیم که این ترافیک هم به آی پی 192.168.12.100 ترجمه شد. اما چرا؟ آیا به خاطر این است که ابتدا به ISP1 پینگ ارسال کردیم؟ بگذارید جدول NAT را خالی کنیم و مجددا تست کنیم:

R1#clear ip nat translation *

و مجددا این بار به روتر ISP2 پینگ ارسال می کنیم:

S1#ping 192.168.13.3
Type escape sequence to abort.
Sending 5, 100-byte ICMP Echos to 192.168.13.3, timeout is 2 seconds:
.....
Success rate is 0 percent (0/5)

پینگ این بار هم به مقصد نرسید. اما چرا؟ به نظرتون به خاطر ترتیب NAT ها در تنظیمات است؟

R1#show running-config | include nat inside source
ip nat inside source static 192.168.1.1 192.168.12.100 extendable
ip nat inside source static 192.168.1.1 192.168.13.100 extendable

در خروجی بالا می بینیم که Inside NAT مربوط به آی پی 192.168.12.100 در ابتدای دستورات قرار گرفته و سیسکو هم همیشه از این دستور برای NAT هایی که ترافیک مبدا آن از آی پی 192.168.1.1 است استفاده می کند.

پس باید این مورد که دستور اول NAT در تنظیمات بعنوان آدرس اصلی برای آدرس هایی که از داخل شبکه به بیرون ترافیک ارسال می کنند استفاده می شود را در راه اندازی Extendable NAT مورد توجه قرار بدهید.

بیشتر بخوانید: اولین و کاملترین دوره آموزش پیشرفته BGP به زبان فارسی

برطرف کردن مشکل اتصال به VPN در اینترنت موبایل یکی از موضوعات داغ این روزهای اینترنت ایران است. تقریبا این روزها کمتر کسی را پیدا می کنید که بر روی گوشی خودش از یک VPN یا به اصطلاح خودمانی تر فیلترشکن استفاده نکند. با توجه به اینکه هنوز استفاده از فیلترشکن و ابزارهای دور زدن فیلترینگ در ایران بصورت قانونی منع نشده است و صرفا فروش آن جرم انگاری شده است ، مشکلات مربوط به ارتباط و اتصال این ابزارهای VPN بر روی بستر اینترنت همراه کشور بسیار معمول است. امروز می خواهیم در خصوص دلایل کار نکردن فیلترشکن ها یا همان VPN های شما بر روی گوشی تلفن همراه چه بر بستر اینترنت موبایل و چه بر بستر اینترنت های ثابت و خطوط TD-LTE صحبت کنیم.

چیست و واقعا چه کاربردی دارد؟

VPN که مخفف کلمه های Virtual Private Network است به معنی شبکه خصوصی مجازی است. این تکنولوژی بصورت گسترده برای ایجاد کردن ارتباطات بین شعبه های یک شرکت یا یک سازمان برای ایجاد بستر امن ارتباطی در شبکه عمومی اینترنت طراحی شده است.

این روزها با توجه به مکانیزم تغییر آدرس IP و تونل سازی این پروتکل ، از این ابزار به عنوان یک تکنولوژی دور زدن فیلترینگ نیز بصورت گسترده استفاده می شود و در عین حال به عنوان ابزار مخفی سازی آیپی هم مورد استفاده قرار می گیرد. در دوره آموزش نتورک پلاس بصورت مفصل در خصوص VPN سرور و نحوه عملکرد آن صحبت کرده ایم.

هدف این مقاله چیست؟ چرا VPN ها باید کار کنند؟

استفاده از VPN فقط برای رفع فیلترها نیست ! در حال حاضر بسیاری از سرویس های اینترنتی که از آنها بصورت روزمره استفاده می کنیم اعم از تصاویر گوگل ، آنالیتیکز ، یوتیوب و ... همگی فیلتر هستند و در عین حال از طرف کشورهای خارجی هم دسترسی به آنها با IP ایران محدود شده است !

عملا استفاده از اینترنت ایران بدون تغییر آدرس IP به معنی ورود به یک کویر بی آب و علف است که حتی یک عکس هم برای تحقیقات معمولا یک دانشجو قابل دانلود نیست.

از طرفی دیگر تلوزیون های مبتنی بر اندروید ، گوشی های اندرویدی و ... همگی باید به Google Play متصل شوند تا به روز رسانی های امنیتی و ... را انجام بدهند و همه اینها را کنار بگذاریم.

شرکت های بین المللی برای برقراری ارتباط با شعب خود در تهران نیازمند ارتباط VPN هستند و در حال حاضر این موضوع که از این ور فیلتر و از آنور تحریم چوب دو سر کثیف برای مردم ایران شده است.

دلیل اول کار نکردن VPN : محدود شدن پروتکل های ارتباطاتی VPN

متاسفانه به دلیل استفاده از پلتفرم و پروتکل های VPN به عنوان فیلترشکن در ایران ، بسترهای ارتباطاتی از سرویس دهندگان خطوط اینترنت یا همان ISP ها گرفته تا سرویس دهندگان کلان ارتباطی ... پروتکل های مربوط به VPN اعم از L2TP و PPTP را که معمولا با شماره پورت های شناخته شده ای فعالیت می کنند را محدود می کنند و به همین دلیل چه شما بخواهید با شعبه شرکت خود در اصفهان از تهران ارتباط بگیرید و چه از تهران به لندن بخواهید VPN بزنید.

با استفاده از پروتکل های معمول ، امکان برقراری این ارتباط بسیار محدود شده است. ترجیحا از پروتکل های متفاوت تری مثل OpenVPN یا VPN های متمرکز بر روی بستر SSL مانند SSTP استفاده کنید. شما می توانید با استفاده از یک Port Scanner متوجه شوید که پورتهای ارتباطی بین شما و مقصد آیا باز و قابل استفاده هستند یا خیر.

دلیل دوم کار نکردن VPN : استفاده از VPN سرورهای رایگان و محدود

با توجه به اینکه سرویس های VPN رایگان عاشق چشم و ابروی شما نیستند ، ترجیحا اکانت های پولی و حسابی برای VPN استفاده کنید. سرویس های رایگان بنا به زیاد شدن درخواست های ارتباطی ، یا ارتباط شما را کند می کنند و یا بصورت قسطی به شما اینترنت ارائه می دهند.

این سرویس دهنده ها معمولا برای خودشان اپلیکیشن های اختصاصی دارند. ترجیحا اکانت های پولی را تهیه کنید تا از دست تبلیغات ، تا حد زیادی جاسوسی و آلوده شدن به بدافزارهای مختلف و ... در امان باشید.

ترجیحا از سرویس های VPN ایرانی استفاده کنید که با توجه به شرایط و وضعیت اینترنت در ایران خودشان را به روز رسانی می کنند. سرویس های VPN خارجی معمولا در شرایط اختلال اینترنت در ایران قابل دسترس نیستند.

دلیل سوم کار نکردن VPN : به روز نبودن نرم افزارهای VPN

نرم افزارهای ارائه دهنده خدمات VPN معمولا هر چند وقت یکبار بصورت مستمر به روز رسانی می شوند و لیست سرورها ، پروتکل ها و ارتباطات خودشان را به روز می کنند . اگر از نسخه های قدیمی نرم افزارهای VPN استفاده می کند ، حتما آن را به آخرین نسخه به روز رسانی کنید که هم از نظر امنیتی درست باشد و هم لیست آخرین سرورها را به دست بیاورید. بر روی گوشی ها معمولا ابزارهای VPN بسیاری نصب شده است ، سعی کنید تعداد آنها را به حداقل برسانید و از معتبرترین آنها استفاده کنید.

قبلا در توسینسو در خصوص انواع توپولوژی های شبکه بحث شده است اما تاکنون شاید چیزی در خصوص توپولوژی Daisy Chain نشنیده باشید. بعضا این توپولوژی را با توپولوژی Bus اشتباه می گیرند و یا اصلا در خصوص آن صحبتی نمی کنند. در واقع بهتر است وقتی صحبت از توپولوژی Bus می کنیم اسم آن را به فارسی توپولوژی اتوبوسی و وقتی صحبت از توپولوژی Daisy Chain می کنیم از ان به عنوان توپولوژی خطی یا Line یاد کنیم. در قسمت شصت و ششم از دوره آموزش نتورک پلاس ، بصورت کامل در خصوص توپولوژی های شبکه صحبت می کنیم که مفهوم Daisy Chain هم در همینجا بررسی خواهد شد.

البته بهترین اسمی که می توانیم برای این توپولوژی انتخاب کنیم توپولوژی زنجیری است که دستگاه ها به شکل حلقه های زنجیر به هم متصل می شوند. در توپولوژی Daisy Chain دستگاه هایی که در شبکه قرار دارند در امتداد یک خط مستقیم به هم متصل می شوند. کامپیوترها از یک کارت شبکه ورودی و از کارت شبکه دیگر خروجی به کامپیوتر دیگر می دهند ، اگر در خصوص سویچ ها و روترها صحبت کنیم هم به همین شکل از یک پورت سویچ یک کابل وارد و از یک پورت دیگر کابلی به سویچ دیگر متصل می شود.

یک توپولوژی Daisy Chain هم می تواند بصورت خطی و هم می تواند بصورت حلقوی ایجاد شود به این صورت که در Daisy Chain خطی کامپیوتر یا دستگاه اول به دستگاه آخر هیچگونه ارتباط مستقیم فیزیکی ندارد اما در Daisy Chain حلقوی یک لینک مجزا و مستقیم بین دستگاه اول و آخر به وجود می آید که تشکیل یک حلقه را می دهد. استفاده از Daisy Chain حلقوی به ما امکان استفاده از Bidirectional Passing را می دهد که در این حالت ما می توانیم برای سریعتر رساندن بسته اطلاعاتی از جهت مختلفی بسته ها را در شبکه منتقل کنیم .

این در حالی است که در Daisy Chain خطی یک پیام یا بسته اطلاعاتی باید از همان یک خط و مسیری که به وجود آمده است استفاده کند. ما می توانیم توپولوژی Daisy Chain خطی را با خطوط مدارهای منطقی الکترونیکی مقایسه کنیم ، در مدارهای الکترونیکی خروجی یک مدار تبدیل به ورودی یک مدار دیگر می شود و با این روش مدارهای منطقی به هم متصل می شوند ، در مقایسه با شبکه نیز خروجی یک پورت کامپیوتر یا دستگاه شبکه به ورودی یک کامپیوتر یا دستگاه شبکه تبدیل می شود. یکی از مزایایی که در توپولوژی Daisy Chain حلقوی وجود دارد این است که با به مشکل خوردن یکی از دستگاه ها ، ما قابلیت ارسال کردن بسته های اطلاعاتی در یک مسیر دیگر را نیز داریم.

شاید زیاد واژه Daisy Chain در تجهیزات شبکه برای شما آشنا نباشد چون معمولا از توپولوژی هایی استفاده می کنید که همگان با آنها آشنایی دارند اما یکی از مواردی که Daisy Chain بسیار در انها استفاده می شود تجهیزات و رابط های سخت افزاری کامپیوترها هستند ، برای مثال رابط ها یا Interface های SCSI و Firewire به شما این امکان را می دهند که هارد دیسک ها و یا CDROM ها و پرینترها و ... را بصورت پشت سر هم به هم متصل کنید و از آنها استفاده کنید. کابل IDE یا SATA ای که درون کامپیوتر شما قرار دارد و دو عدد هارد دیسک را به همراه یک عدد DVDROM به مادربورد سیستم متصل کرده است در واقع یک توپولوژی Daisy Chain خطی است که انعطاف پذیری خوبی برای استفاده از چندین دستگاه بصورت همزمان در سیستم را به شما می دهد.

توپولوژی شبکه چیست؟ توپولوژی های شبکه (Network Topologies) مثل استخوان بندی شبکه هستند. روشهای به هم بستن کامپیوترها به هم در شبکه ها با استفاده از کابل ها یا بدون کابل ها در بحث شبکه های کامپیوتری با عنوان توپولوژی شبکه شناخته می شوند. توپولوژی خطی ، توپولوژی ستاره ای ، توپولوژی حلقوی ، توپولوژی های ترکیبی و ... از جمله مهمترین این همبندی های شبکه هستند. امروز در خصوص انواع توپولوژی های شبکه با هم صحبت می کنیم و شما بعد از خواندن این مقاله ، همه توپولوژی های شبکه را به خوبی به همراه مزایا و معایب هر توپولوژی خواهید شناخت.

توپولوژی ستاره ایی (Star) چیست؟

در این توپولوژی کلیه ی کامپیوتر ها به یک کنترل کننده ی مرکزی یا هاب متصل هستند. هرگاه کامپیوتری بخواهد با کامپیوتر دیگری تبادل اطلاعات نماید، کامپیوتر منبع ابتدا باید اطلاعات را به هاب ارسال نماید. سپس از طریق هاب آن اطلاعات به کامپیوتر مقصد منتقل شود. پس اگر کامپیوتری بخواهد اطلاعاتی به کامپیوتر دیگر ارسال نماید، اطلاعات را به هاب فرستاده و نهایتاً هاب آن اطلاعات را به کامپیوتر مقصد میفرستد.

1. لایه کاربرد یا Application
2. لایه نمایش یا Presentation
3. لایه نشست یا Session
4. لایه انتقال یا Transport
5. لایه شبکه یا Network
6. لایه انتقال داده Data Link

به عنوان کسی که تو حوزه شبکه بصورت حرفه ای داره فعالیت می کنه بایستی درک عمقی از لایه های OSI پیدا کنید چون واقعا اگه کسی این لایه ها رو خوب درک کنه و پروتکل های این لایه رو خوب بشناسه و باهاشون کار کرده باشه رفته رفته دید عمیق نسبت به OSI پیدا می کنه و طبیعتا راحت تر میتونه شبکه رو Troubleshoot یا رفع اشکال کنه و اگر هم نتونه حداقل با دید بازتری میتونه به رفع مشکل بپردازه.

لایه کاربرد یا Application

پس کسی که تازه وارد دنیای شبکه های کامپیوتری هستش باید و باید روی مدل OSI مانور بده و مکانیزم کاریش رو خوب درک کنه. مدل OSI کاملا مدل انتزاعی هستش یعنی شما با این لایه ها بصورت تئوری آشنا میشید و درکشون می کنید و بعد کم کم تو محیط واقعی با پروتکل ها و سرویس هایی که تو این لایه ها هستش در محیط عملیاتی کار می کنید.

مدل OSI هفت تا لایه داره که ما با لایه هفتم که اسمش Application یا لایه نرم افزار های کاربردی هستش شروع می کنیم. لایه Application یا Application Layer لایه ای هستش که ما به عنوان End User بصورت کاملا عملی باهاش در ارتباط هستیم.

در وهله اول منظور ما از Application اپلیکیشن های اندرویدی نیست ، بلکه Application هایی هست که میتونن تو شبکه برامون کاری که ما میخوایم رو انجام بدن. مثلا ما میخوایم تو شبکه Email بفرستیم یا مثلا میخوایم بین کلاینت ها فایل به اشتراک بزاریم یا از یه وب سایت بازدید کنیم و ...

همه این کار ها که ما انجام میدیم در لایه Application انجام میشه. اگه بهتر بخوام این موضوع رو روشن کنم فرض کنید که شما یک برنامه میخواید بنویسید حالا با هر زبانی ( جاوا ، C ، C++ و ... ) که میتونه روی هر سیستمی نصب بشه و تو شبکه فایل به اشتراک بزاره.

طبیعتا این نرم افزاری که مینویسید روی دستگاه های شبکه که در لایه Core عمل می کنن مثل روتر ، سوئیچ و ... نصب نمیشن و حتما روی سیستم های End Users که از سیستم عامل هایی مثل ویندوز ، لینوکس و ... استفاده می کنن نصب و راه اندازی میشن.

پس شما الان Application رو درک کردید. میشه گفت اکثر نرم افزار هایی که تحت شبکه نوشته میشن تحت معماری Client-Server هست یعنی یک نرم افزار به عنوان Server و یک نرم افزار به عنوان Client عمل می کنه ، لازم نیست جای دوری بریم همین مرورگری که الان پاش نشستید و دارید این مطلب رو میخونید نرم افزاری هست که با معماری Client-Server نوشته شده که مرورگر میشه Client و وب سروری که روش این مطلب قرار گرفته Server هست.

از مهم ترین پروتکل ها یا Application هایی که در لایه Application کار می کنن میتونیم به HTTP ، FTP ، DNS ، DHCP ، SNMP ، NFS ، Telnet ، SMTP و POP3 و IMAP اشاره کنیم. بدیهی هست که هر چقدر این پروتکل ها بهینه تر نوشته شده باشن انجام کار های شبکه ای سریعتر اتفاق میوفته و کارایی سیستم بالاتر میره. در آخر به این نکته اشاره کنیم که هر لایه برای خود یک قالب بندی برای دیتا دارد که قالب بندی لایه Application بر اساس Data هستش.

آموزش گام به گام مدرک دوره نتورک پلاس Network+ جامع با 36 ساعت فیلم آموزش نتورک پلاس به زبان ساده فارسی و طنز و بر اساس سرفصل های دوره نتورک پلاس بین المللی + جزوه توسط مهندس نصیری تدریس شده است. در دوره نتورک پلاس Network+شما ضمن دریافت مدرک دوره نتورک پلاس ، بصورت گام به گام ، صفر تا صد و طبق آخرین سرفصل های نتورک پلاس بین المللیشبکه را به خوبی یاد می گیرید.

فایروال (Firewall) چیست و به زبان ساده چگونه کار می کند؟ چرا به آن دیواره آتش می گویند؟ فایروال چگونه کار می کند و چند نوع دارد؟ اگر بخواهیم به زبان ساده صحبت کنیم باید بگوییم بعد از سویچ در انواع تجهیزات شبکه ، واژه فایروال را می توانیم یکی از پرکاربردترین واژه ها در حوزه کامپیوتر و شبکه معرفی کنیم. خیلی اوقات از اینور و آنور این جملات آشنا را می شنویم که فایروالت رو عوض کن ، برای شبکه فایروال بگیر ، توی فایروال فلان رول رو اضافه کنید ، فایروالتون رو خاموش کنید و ... امروز در این مقاله می خواهیم به ساده ترین شکل ممکن و البته با بیان تجربیات خودم در مورد فایروال و سیر تا پیاز این نرم افزار یا سخت افزار با هم صحبت کنیم. با ما تا انتهای مقاله باشید.

معنی لغوی فایروال چیست؟ بررسی مفهوم و تئوری دیواره آتش

فایروال که به انگلیسی از ترکیب دو کلمه Fire به معنی آتش و Wall به معنی دیوار تشکیل شده است ، به زبان فارسی به عنوان دیواره آتش ترجمه شده است. با توجه به اینکه ماهیت دیواره آتش جلوگیری از تهدیدات و به نوعی پاکسازی ترافیک شبکه است ، می توان چنین تفسیر کرد که این نامگذاری با توجه به ماهیت پاکسازی و ضدعفونی کننده آتش در تاریخ ، برگرفته ای از همین مفهوم باشد .

به زبان ساده تر آتش پاکسازی می کند و ضدعفونی می کند و دیواره آتش در شبکه هم ترافیک آلوده و خطرناک را پاکسازی می کند. بد نیست بدانید که آتش نماد پاکی در ایران باستان هم بوده است. در ادامه این مقاله ما فرض را بر این می گذاریم که شما تعریف شبکه چیست را به خوبی می دانید و با مفاهیم شبکه آشنایی دارید.

کمی راجع به تاریخچه فایروال و نسل های فایروال

در ابتدا چیزی به نام فایروال در انواع شبکه های کامپیوتری وجود نداشت. بعد از به وجود آمدن روترها یا مسیریاب های شبکه ، این نیاز احساس شد که بایستی بتوانیم ترافیک را در برخی شرایط محدود کنیم. در این شرایط چیزی به نام Access Rule یا ACL در روترها معرفی شدند که پایه و اساس خیلی از فایروال های امروزی هستند.

Access Rule ها تعریف می کردند که چه آدرسهایی از کجا به کجا بتوانند بروند و یا نروند. مکانیزم کاری فایروال های اولیه هم بر همین اساس بود و فیلترینگی که بر روی ترافیک ها انجام می شد با عنوان فیلترینگ بسته یا Packet Filtering می توانست مسیر بسته های اطلاعاتی شبکه را تعیین کند.

اولین نسل از فایروال های شبکه در اواخر دهه 1980 میلادی به دنیا معرفی شدند. با توسعه و پیشرفته تکنولوژی های فایروال نسل های مختلفی از فایروال به دنیا معرفی شدند که در ادامه نسل های فایروال ها را با هم مرور می کنیم :

نسل اول از فایروال چیست؟ اضافه شدن ضد ویروس

این نسل از فایروال ها به عنوان Generation 1 Virus هم شناخته می شوند. فایروال هایی که قبل از نسل یک فایروال ها کار می کردند صرفا بصورت فیلترینگ بسته های اطلاعاتی یا Packet Filtering کار می کردند.

کامپیوترها در شبکه با استفاده از دو نوع آدرس شناسایی می شوند که به یکی از آنها آدرس IP و به دیگری آدرس MAC می گویند. MAC مخفف کلمه Media Access Control و IP مخفف کلمه Internet Protocol است و هر دو مکانیزمی برای شناسایی کامپیوترها در شبکه هستند. هر دوی این مکانیزمهای آدرس دهی به این منظور استفاده می شوند تا مطمئن شویم که بسته های اطلاعاتی ما از مبدا به مقصد می رسند و در این میان هویت مبدا و مقصد توسط این مکانیزم های آدرس دهی تعیین می شود.

امروز در انجمن تخصصی فناوری اطلاعات ایران می خواهیم در خصوص این بحث کنیم که چرا ما از هر دو نوع آدرس استفاده می کنیم و این دو نوع آدرس با هم چه تفاوت هایی دارند ، یک آدرس IP معمولا توسط مدیر شبکه یا سرویس دهنده اینترنتی شما ( ISP ) به شما ارائه داده می شود و ممکن است هم بصورت دستی و هم بصورت خودکار و هر بار که به اینترنت متصل می شوید به کامپیوتر شما اختصاص داده شود. بنابراین آدرس IP یک آدرس ثابت و همیشگی نیست و ممکن است حتی در طی یک روز بارها آدرس IP شما عوض شود.

این موضوع در خصوص آدرس MAC صادق نیست . آدرس MAC را به عنوان آدرس سخت افزاری کارت شبکه نیز می شناسند و این آدرس معمولا توسط مدیر شبکه تغییر نمی کند و از طرف شرکت تولید کننده بر روی کارت شبکه یا دستگاهی که به شبکه متصل می شود بصورت از پیش تعریف شده وجود دارد. آدرس MAC برای شناسایی یک کارت شبکه استفاده می شود و به همین دلیل باید منحصر به فرد بوده و نباید تغییر کند به همین دلیل شما به روش های معمول نمی توانید آدرس MAC یک کارت شبکه را عوض کنید ، این آدرس برای هر کارت شبکه ای که در دنیا وجود دارد منحصر به فرد است .

آدرس IP برای شناسایی شبکه ای که کامپیوتر در آن قرار گرفته است استفاده می شود و می توان از روی آدرس IP موقعیت حدودی محل قرار گیری کامپیوتر را پیدا کرد. آدرس های IP از طریق سازمان به نام IANA برای هر کشور و هر منطقه جغرافیایی بصورت جداگانه تعریف شده اند و از این طریق شما می توانید محدوده جغرافیایی آدرس IP را به سادگی پیدا کنید که برای کدام کشور و چه بسا برای کدام شهر است. اما این امکان برای ادرس MAC وجود ندارد و در واقع درون این آدرس MAC چیزی برای شناسایی محل جغرافیایی تعریف نشده است و شما نمی توانید محل قرار گیری یک کارت شبکه با آدرس MAC را پیدا کنید ، به همین دلیل می توانیم آدرس MAC را به نوعی اسم یک کارت شبکه در نظر بگیریم تا آدرس آن ، بصورت کلی فراموش نکنید که زمانیکه صحبت از شبکه های LAN و ساختار Switching می شود شما آدرس دهی MAC را استفاده می کنید و زمانیکه صحبت از مسیریابی بین شبکه ها و استفاده از مسیریاب ها و روترها می شود ما از آدرس IP استفاده می کنیم.

یکی از مهمترین قابلیت هایی که آدرس های MAC در اختیار ما قرار می دهند امکان استفاده از مکانیزم امنیتی به نام MAC filtering در شبکه های داخلی است . شما می توانید با اسفاده از MAC Filtering و همچنین قابلیت Port Security بر روی سویچ ها و دستگاه های بیسیم شبکه فقط به آدرس های MAC خاصی امکان استفاده از شبکه و یا حتی اتصال به شبکه را بدهید. این مکانیزم هم می تواند در سطوح کوچک خانگی و هم در سطوح کلان سازمانی پیاده سازی شود و درجه امنیتی سازمان شما را بسیار بالا ببرد. توجه کنید که از آدرس MAC می توان به عنوان یک پیشنیاز برای دریافت آدرس IP هم نام برد. زمانیکه شما در شبکه می خواهید از سرویسی به نام DHCP استفاده کنید که آدرس دهی خودکار انجام می دهد ، ابتدا این سرویس آدرس MAC سیستم شما را دریافت می کند و بر اساس آن یک آدرس IP در اختیار کارت شبکه شما قرار می دهد.

دوره آموزش نتورک پلاس (Network+) بعد از گذراندن دوره آموزش شبکه نتورک پلاس ، شما قادر خواهید بود براحتی در آزمون دریافت گواهینامه بین المللی نتورک پلاس شرکت کنید. تمامی توضیحات مربوط به دوره آموزش نتورک پلاس در ادامه برای شما ارائه شده است. این دوره آموزشی مبانی شبکه های کامپیوتری پیشنیازی مهم برای شروع آموزش لینوکس و آموزش MCSA مایکروسافت است.

اکسس پوینت یا AP چیست؟ Access Point یا Wireless Access Point که به فارسی به معنی نقطه دسترسی می باشد در واقع اسمی است که ما بر روی یکی از تجهیزاتی گذاشته ایم که در شبکه های بیسیم یا وایرلس مورد استفاده قرار می گیرد. این تجهیزات که یه صورت اختصاری به آنها AP یا WAP هم گفته می شود در شبکه های کامپیوتری به تجهیزاتی گفته می شود که عملکردی شبیه به سویچ شبکه های کابلی در شبکه های بیسیم دارند ، بدین معنی که این امکان را فراهم می کنند که از طریق آنها شما بتوانید چندین سیستم کامپیوتری را از طریق شبکه های بیسیم به همدیگر متصل کنید.

به شبکه های محلی که با استفاده از Access Point ها به هم متصل می شوند به جای اینکه LAN بگوییم Wireless LAN یا WLAN هم می گوییم. Access Point ها را معمولا به شکل AP نمایش می دهند ، این دستگاه ها یک عملکرد مرکزی دارند ، تمامی سیگنال های رادیویی را دریافت و ارسال می کنند که در اکثر مواردی که در شبکه های کامپیوتری می باشد سیگنال های Wi-Fi نیز شامل می شود. معمولا از AP ها در شبکه های کوچک و یا شبکه های عمومی اینترنتی برای ایجاد Hot Spot استفاده می شود.

احتمالا شما نیز در خانه خود از این AP ها دارید ، دستگاهی که شما به عنوان مودم ADSL می شناسید که در کنار آن یک آنتن نیز قرار دارد در واقع یک AP است که در لفظ فنی به آن Wireless Router گفته می شود. AP هایی که در دفاتر شرکت های کوچک و خانه ها استفاده می شوند معمولا بسیار کوچک هستند و براحتی بر روی چیپ یک کارت شبکه یا رادیو قابل پیاده سازی هستند ، حتی مودم های وایمکسی که شما دارید نیز همان AP های خانگی هستند.

تجهیزاتی که بصورت ویژه برای کار سرویس دهی وایرلس استفاده می شوند از دستگاه مرکزی AP استفاده می کنند و توپولوژی مورد استفاده در آنها در اصطلاح فنی Infrastructure می باشد. در توپولوژی Ad-Hoc تعداد کلاینت هایی که همزمان می توانند به AP شما متصل شوند بسیار محدود است اما در توپولوژی Infrastructure این تعداد بسیار متناسب با نیاز سازمان شما خواهد بود. در دوره آموزش نتورک پلاس و در قسمت بررسی شبکه های بیسیم یا وایرلس به خوبی در خصوص اکسس پوینت ، تکنولوژی ها و کاربرهایشان توضیح می دهیم.

در توپولوژی Infrastructure در واقع AP شما به عنوان یک پل یا Bridge برای متصل کردن شبکه های بیسیم شما به شبکه کابلی مورد استفاده قرار می گیرد و وظیفه تبدیل سیگنال را نیز بر عهده دارد. AP های قدیمی بین 10 تا 20 کامپیوتر را می توانستند بصورت همزمان پشتیبانی کنند اما امروزه با توجه به گشترش روز افزون تکنولوژی های AP ها می توانند به تنهایی تا 255 عدد کامپیوتر را به هم متصل کنند.

عملکرد پل در دنياي کامپيوتر و دنياي واقعي، در هر دو، پلها دو يا چند بخش منفک و مجزا را به هم ملحق ميکنند تا فاصلهها از ميان برداشته شود. اگر شبکههاي محلي را به جزاير کوچک و مستقل تشبيه کنيم پلها اين جزاير را به هم پيوند ميزنند تا ساکنين آن به هم دسترسي داشته باشند.

بسياري از سازمانها داراي LANهاي متعددي هستند و تمايل دارند انها را به هم متصل کنند. شبکههاي محلي (LAN) را ميتوان از طريق دستگاه هايي که در لايه پيوند داده عمل ميکنند و پل (Bridge) ناميده ميشوند به هم متصل نمود.

پلها براي مسيريابي و هدايت دادهها، ادرسهاي "لايه پيوند دادهها" را بررسي ميکنند. از انجايي که قرار نيست محتواي فيلد داده از فريمهايي که بايد هدايت شوند، پردازش گردد لذا اين فريمها ميتوانند بستههاي IPv4 (که اکنون در اينترنت به کار ميرود)، IPv6 (که در اينده در اينترنت به کار گرفته خواهد شد)، بستههاي Apple Talk، ATM، OSI، يا هر نوع بسته ديگر را در خود حمل کنند.

بر خلاف پل، "مسيريابها" ادرس درون بستهها را بررسي کرده و بر اين اساس، انها را هدايت (مسيريابي) ميکنند. اگر بخواهيم در تعبيري عاميانه و نادقيق مسيرياب را با پل در دنياي واقعي مقايسه کنيم پل جزاير منفک را مستقيما به هم متصل ميکند در حالي که مسيرياب به مثابه قايق، مسافران خود را پس از سوار کردن از يک طرف به طرف ديگر منتقل ميکنند.

طبعا پل سرعت تردد مسافران را بالاتر خواهد برد ولي قايق هميشه و در هر نقطه از جزيره در دسترس است و قدرت مانور مسافر را بالا خواهد برد!!قبل از پرداختن به تکنولوژي پل، بررسي شرايطي که در ان، استفاده از پلها سودمند است، اهميت دارد. چه دلايلي باعث مي شود يک سازمان واحد، داراي چندين LAN پراکنده باشد؟

اول از آن که: بسياري از دانشگاهها و بخشهاي مختلف شرکتها، LAN مختص به خود را دارند تا بتوانند کامپيوترهاي شخصي، ايستگاههاي کاري و سرويس دهندههاي خاص خود را به هم متصل کنند. از انجايي که بخشهاي مختلف يک موسسه، اهداف متفاوتي را دنبال ميکنند لذا در هر بخش، فارغ از ان که ديگر بخشها چه ميکنند، LAN متفاوتي پياده ميشود.

دير يا زود نياز ميشود، که اين LANها با يکديگر تعامل و ارتباط داشته باشند. در اين مثال، پيدايش LANهاي متعدد ناشي از اختيار و ازادي مالکان ان بوده است. دوم آن که: ممکن است سازمانها به صورت جغرافيايي در ساختمانهايي با فاصله قابل توجه، پراکنده باشند. شايد داشتن چندين LAN مجزا در هر ساختمان و وصل انها از طريق "پلها" و لينکهاي پرسرعت ارزانتر از کشيدن يک کابل واحد بين تمام سايتها تمام شود. سوم ان که: گاهي براي تنظيک بار و تعديل ترافيک، لازم است که يک LAN منطقي و واحد به چندين LAN کوچکتر تقسيم شود.

به عنوان مثال: در بسياري از دانشگاهها هزاران ايستگاه کاري در اختيار دانشجويان و هيئت علمي قرار گرفته است. عموما فايلها در ماشين هاي سرويس دهنده فايل نگه داري ميشوند و حسب تقاضاي کاربران بر روي ماشينشان منتقل و بارگذاري ميشود. مقياس بسيار بزرگ اين سيستم مانع از ان ميشود که بتوان تمام ايستگاه کاري را در يک شبکه محلي واحد قرار داد چرا که پهناي باند مورد نياز بسيار بالا خواهد بود. در عوض، از چندين LAN که توسط "پل" به هم متصل شده، استفاده ميشود. هر شبکه LAN گروهي از ايستگاهها و سرويس دهنده فايل خاص خود را در بر ميگيرد که بدين ترتيب بيشتر ترافيک در حوزه يک LAN واحد محدود ميشود و بار زيادي به ستون فقرات شبکه اضافه نخواهد شد.

چهارم آن که: در برخي از شرايط اگر چه يک شبکه محلي واحد از نظر حجم بار کفايت ميکنند وليکن فاصله فيزيکي بين ماشينهاي دور، بسيار زياد است. تنها راه حل آن است که LAN به چند بخش تقسيم شده و بين انها پل نصب گردد. با استفاده از پل، ميتوان فاصله فيزيکي کل شبکه را افزايش داد. پنجم آن که: مسئله قابليت اعتماد است; بر روي يک LAN واحد، يک گره خراب که دنبالهاي پيوسته از خروجي اشغال توليد ميکند قادر است کل شبکه را فلج نمايد.

پلها را ميتوان در نقاط حساس قرار داد تا يک گره خراب و مغشوش نتواند کل سيستم را مختل کند. بر خلاف يک تکرار کننده (Repeater) که ورودي خود را بي قيد و شرط باز توليد مينمايد يک پل را ميتوان به نحوي برنامه ريزي کرد تا در خصوص انچه که هدايت ميکند يا هدايت نميکند تصميم اگاهانه بگيرد.

ششم آن که: پل ها ميتوانند به امنيت اطلاعات در يک سازمان کمک نمايند. بيشتر کارتهاي واسط شبکههاي LAN داراي حالتي به نام حالت بي قيد (Promiscuous mode) هستند که در چنين حالتي تمام فريمهاي جاري بر روي شبکه تحويل گرفته ميشود، نه فريمهايي که دقيقا به ادرس او ارسال شدهاند.

با قرار دادن پلها در نقاط مختلف و اطمينان از عدم هدايت اطلاعات حساس به بخشهاي نامطمئن، مسئول سيستم ميتواند بخشهايي از شبکه را از ديگر بخشها جدا کرده تا ترافيک انها به خارج راه پيدا نکرده و در اختيار افراد نامطمئن قرار نگيرد. شکل 1-2 شمايي از وصل چند شبکه محلي مستقل توسط پل را به همراه نمادهاي مربوطه نشان ميدهد. (اکثرا در بسياري از مقالات پل را با يک شش ضلعي مشخص ميکنند.) :نکته: يک سوييچ ميتواند در نقش يک پل ايفاي نقش کند.

پس از بررسي انکه چرا به پلها نياز است اجازه بدهيد به اين سوال بپردازيم که عملکرد انها چگونه است؟ هدف ارماني ان است که پلها کاملا نامرئي (شفاف-Transparent) باشند، بدين معنا که بتوان ماشيني را از بخش از شبکه به بخش ديگر منتقل کرد بدون انکه به هيچگونه تغييري در سخت افزار، نرم افزار يا جداول پيکربندي نياز باشد. همچنين بايد اين امکان وجود داشته باشد که تمام ماشينهاي يک بخش از شبکه بتواند فارغ از انکه نوع LAN انها چيست با ماشينهاي بخش ديگر، مبادله اطلاعات داشته باشد. اين هدف گاهي براورده ميشود وليکن نه هميشه!

شايد در ساده ترين سناريو بتوان عملکرد پل را بدين روال دانست: ماشين A در يک شبکه محلي، بستهاي را براي ارسال به ماشين ميزبان B در شبکه ديگر که از طريق پل به هم متصل شدهاند، اماده کرده دانست. اين بسته از زير لايه MAC عبور کرده و سرايند MAC به ابتداي ان افزوده ميشود. اين واحد داده، بر روي کانال منتقل، و توسط پل دريافت ميشود; پس از رسيدن فريم به پل، کار دريافت ان از لايه فيزيکي شروع و دادهها به سمت زير لايه بالا هدايت ميشود.

پس از انکه فريم دريافتي در لايه 2 پردازش شد و ادرسهاي MAC بررسي شدند، پل مشخص مي کند که فريم را بايد بر روي کدامين خروجي خود منتقل کند. در نهايت فريم جديدي ساخته شده و بر روي شبکه محلي مقصد منتقل ميشود. دقت کنيد که يک پل که K شبکه مختلف را به هم متصل ميکند داراي K زير لايه MAC و تعداد k لايه فيزيکي و کانال ارتباطي است. تا اينجا به نظر ميرسد که انتقال فريم از يک LAN به LAN ديگر ساده است اما واقعيت اين چنين نيست.

شايد با بررسي سناريوي فوق به اين نتيجه برسيد که کاري که پل انجام ميدهد با کاري که يک سوييچ انجام ميدهد يکي است و چيزي به معلومات شما اضافه نشده است. فقط نام جديد پل بر روي همان سوييچي گذاشته شده که عملکرد ان را مشاهده کرديد! هم درست انديشيده ايد و هم در اشتباهيد! اگر پل را ابزاري فرض کردهايد که قرار است دو شبکه اترنت را بهم پيوند بزند حق با شماست و پل هيچ تفاتي با سوييچ ندارد.

ولي در يک تعريف وسيعتر بايد پل را ابزاري در نظر بگيريد که قرار است دو شبکه ناهمگون (مثل اترنت و بيسيم يا اترنت و حلقه) را به هم پيوند بزند و فريم پس از ورود به پل و قبل از انتقال به شبکه مقصد بايد تغيير ماهيت بدهد و سرايند MAC ان بکل عوض شود. چنين کاري از سوييچ بر نميايد. عموما تمام پورتهاي يک سوييچ لايه 2 (مثل سوييچ اترنت) از يک نوعند و فريمها در خلال انتقال از سوييچ هيچ تغييري نميکنند.

ناهمگوني شبکهها و شرايط ذاتي حاکم بر هر شبکه (مثل شرايط حاکم بر محيط بي سيم يا باسيم) مشکلات عديدهاي را ايجاد خواهد کرد که پل بايد از عهده ان برايد. بنابراين از اين به بعد سوييچهاي اترنت را پلهايي بدانيد که صرفا شبکههاي از نوع اترنت را بهم پيوند ميزند. پل يک سوييچ لايه 2 هست ولي از يک سوييچ اترنت برتر و پيچيدهتر است. اگر به دنبال کسب اطلاعات بیشتر در خصوص نحوه کارکرد بریج در شبکه هستید ، پیشنهاد می کنم حتما سری به دوره آموزش نتورک پلاس و تفاوت هاب و سویچ بیندازید تا به خوبی این مفهوم را درک کنید.

هاب و سویچ دو نوع از تجهیزاتی هستند که در شبکه برای متصل کردن کامپیوترها به هم استفاده می شوند و بیشتر کاربرد آنها در شبکه های LAN است. مهمترین تفاوتی که بین هاب و سویچ لایه دو وجود دارد در پیچیدگی طراحی داخلی این دستگاه ها است. هاب یک دستگاه فوق العاده ساده است که هیچگونه قدرت پردازشی و تحلیلی در خود ندارد و تنها کاری که انجام می دهد این است که بسته های اطلاعاتی را در شبکه دریافت و برای تمامی پورت های خود ارسال می کند. در قسمت هفتم از دوره آموزش نتورک پلاس دقیقا تفاوت بین سویچ و هاب و چگونگی به وجود آمدن و جایگزین شدن سویچ صحبت شده است.

هاب به هیچ عنوان محتوای بسته های اطلاعاتی که در خود رد و بدل می شوند را واکاوی نمی کند و تقریبا هر چیزی که به آن وارد می شود از آن بدون هیچگونه تغییری خارج می شود. از طرفی دیگر سویچ لایه دو یک دستگاه هوشمند تر است که کمی قدرت پردازشی دارد و از محتویات بسته های اطلاعاتی نیز تا حدودی خبر دارد ، سویچ لایه دو آدرس های مبدا و مقصدی که در بسته اطلاعاتی وجود دارند را می خواند و می داند که یک بسته اطلاعاتی باید به کدام مقصد ارسال شود و از کدام مبدا به سویچ لایه دو وارد شده است. سویچ لایه دو اطلاعات مربوط به مبدا و مقصد موجود در بسته های اطلاعاتی را در خود نگه داشته و بر اساس آنها تعیین می کند که یک بسته اطلاعاتی باید به کدام سمت ارسال شود.

هاب به دانستن محتویات موجود در بسته های اطلاعات نیازی ندارد زیرا به محض دریافت کردن یک بسته اطلاعاتی از روی یکی از پورت های خود کل بسته اطلاعات را در تمامی پورت های خودش ارسال می کند ، به نوعی هاب تمامی اطلاعاتی که دریافت می کند را درون همه پورت هایش Broadcast می کند ، البته به این نکته توجه کنید که هاب روش کاری شبیه به سیستم Broadcasting یا ارتباط یک به همه دارد و ما برای مثال از کلمه Broadcasting استفاده کردیم زیرا ساختار بسته اطلاعاتی Broadcast به تنهایی متفاوت است.

تشخیص اینکه یک بسته اطلاعاتی مربوط به یک مبدا یا یک مقصد خاص است بر عهده کامپیوترهایی است که به هاب متصل شده اند ، اگر آدرس مقصدی که در بسته اطلاعاتی تعریف شده بود مربوط به کامپیوتر مربوطه بود ، بسته اطلاعاتی دریافت و در غیر اینصورت بسته اطلاعاتی Drop یا از بین می رود. در سویج لایه دو هم چنین چیزی به وجود می آید اما نه در همه شرایط ، بلکه صرفا زمانیکه مقصد بسته اطلاعاتی مشخص نباشد ، بسته اطلاعاتی به همه پورت ها ارسال خواهد شد. زمانیکه در سویچ لایه دو ، یک بسته اطلاعاتی به مقصد مورد نظر می رسد یک پاسخ به سویچ لایه دو داده می شود که از طریق آن سویچ قادر خواهد بود اطلاعات مقصد را از داخل بسته اطلاعاتی خارج و در خود ذخیره کند ، این عمل باعث می شود که سویچ لایه دو Flood نکند و ترافیک زیاد در شبکه ایجاد نکند.

همانطور که گفتیم مکانیزم کاری هاب به شکل Flooding یا ارسال بسته به همه پورت ها است ، اینکار باعث کاهش شدید کارایی شبکه و کند شدن ارتباطات شبکه می شود زیرا یک کلاینت زمانیکه در حال انتقال اطلاعات است تمامی پهنای باند موجود در هاب را به خودش اختصاص می دهد و به همین دلیل است که دیگران قادر به ارسال اطلاعات در این حین نمی باشند. در واقع هاب پهنای باند را بصورت اشتراکی به کلاینت ها ارائه می دهد و تا زمانیکه کار انتقال داده برای یکی از کلاینت ها تمام نشود کلاینت دوم قادر به ارسال اطلاعات به درستی نخواهد بود.

این مکانیزم کاری هاب شبیه به تریبون سخنرانی است ، تا زمانیکه سخنرانی شخصی که در حال سخنرانی است تمام نشده است نفر دوم قادر به ایراد سخنرانی نخواهد بود. اما سویچ لایه دو دارای قابلیتی به نام Micro Segmentation است که این امکان را به سویچ می دهد که با توجه به اینکه پورت مبدا و پورت مقصد را می شناسد ترافیک را صرفا به پورت مقصد ارسال کند و ترافیکی برای سایر پورت های شبکه ایجاد نکند ، در واقع زمانیکه یک نفر در سویچ لایه دو در حال انتقال اطلاعات باشد نفر دوم برای مسیرهای دیگر هیچ مشکلی برای انتقال اطلاعات نخواهد داشت زیرا مسیرهای رد و بدل شدن اطلاعات کاملا مشخص و از قبل تعیین شده هستند.

به نوعی می توانیم بگوییم که سویچ لایه دو امکان استفاده اختصاصی به هر کدام از کلاینت ها از پهنای باند سویچ را می دهد زیرا مسیرها کاملا مشخص هستند. این مکانیزم کاری را می توانیم با مکانیزم کاری تلفن های سلولی مقایسه کنیم ، جاییکه شما همزمان می توانید به همراه سایر افراد از شبکه تلفن همراه استفاده کنید و این در حالی است که همه افراد دیگر بر روی این بستر همزمان در حال مکالمه هستند و هیچگونه خللی در کار مکالمه شما وارد نخواهد شد.