زمانی که طراحی شبکه مورد بحث قرار می گیرد دسته بندی شبکه براساس تعداد دستگاه های سرویس گیرنده به ما در طراحی کمک زیادی می کند.طراحی شبکه به اندازه و نیاز سازمان وابستگی زیادی دارد. به طور مثال بستر مورد نیاز برای یک شبکه کوچک با تعداد محدودی دستگاه نسبت به یک شبکه بزرگ با تعداد قابل توجهی دستگاه بسیار متفاوتر می باشد.متغییرهای زیادی در زمان طراحی شبکه باید در نظر گرفته شود.شبکه را براساس تعداد دستگاه های سرویس گیرنده به سه دسته تقسیم می کنند:

• Small Network : شبکه هایی با حداکثر 200 سرویس گیرنده
• Medium-Size Network : شبکه هایی با 200 تا 1000 سرویس گیرنده در این دسته قرار می گیرند.
• Large Netwok : شبکه هایی با بیش از 1000 سرویس گیرنده

اصول مهندسی در زیرساخت سیسکو به چه شکل است؟

بدون در نظر گرفتن مسائل مرتبط با اندازه و نیاز شبکه ، اجرای موفق طراحی شبکه نیاز به پیروی از اصول مهندسی در زیرساخت دارد. مدل سه لایه سیسکو اصول زیر را شامل می شود.

• Hierarchy : این طراحی سلسله مراتبی به طراح کمک می کند که یک شبکه مطمئن را طراحی کند و مشکلات پیچیده طراحی را راحت تر و قابل مدیریت تر کند.
• Modularity : طراحی ماژولار که باعث می شود عملکرد بخش های مختلف موجود در شبکه به صورت یک ماژول عمل کند و به این صورت طراحی ساده تر می شود. سیسکو جندین ماژول را معرفی کرده که شامل دیتاسنتر ، لبه اینترنت ، بلوک سرویس دهی و بخش Campus می باشد.
• Resiliency : شبکه باید بتواند در شرایط عادی و غیرعادی به کار خود ادامه دهد. در شرایط عادی ترافیک براساس انتظار ما جریان دارد ولی شرایط غیر عادی زمانی است که یک سخت افزار یا نرم افزار ما دچار مشکل شود یا ترافیک زیادی وارد شبکه شود یا حمله هایی مانند DoS ایجاد شود.
• Flexibility : شبکه طراحی شده باید توانایی تغییرات را داشته باشد به طور مثال یک سرویس به این شبکه اضافه شود یا توان شبکه را افزایش دهیم این تغییرات باید بودن ایجاد وقفه در عملکرد و اختلال در سرویس دهی صورت پذیرد.

در طراحی مدل سه لایه ای سیسکو ، تجهیزات در سه لایه زیر گروه بندی می شوند:

1. Access
2. Distribution
3. Core

مدل سه لایه ای سیسکو به لحاظ مفهومی مشابه مدل هفت لایه OSI است. به طور کلی طراحی لایه ای بسیار مفید است چون هر دستگاه در هر لایه وظیفه و عملکرد مشخصی دارد که این ویژگی باعث میشود که حذف ، اضافه ، جایگزینی بخشی از شبکه به راحتی قابل انجام باشد. این انعطاف پذیری و سازگاری باعث می شود این مدل بسیار مقایس پذیر و قابل گسترش شود.

لایه Access در طراحی سه لایه سیسکو به چه معناست؟

در محیط LAN ، از طریق لایه Access اجازه دسترسی End Deviceها به شبکه ، داده می شود و در محیط WAN ، دسترسی به شبکه از راه دور داده می شود.معمولا در لایه Access از سوئیچ های لایه دوم و Access Pointها برای ایجاد دسترسی بین کلاینت ها و سرور استفاده می شود.

برخی از وظایف لایه Distribution در طراحی سلسله مراتبی سیسکو

• تجمیع لینک ها ارتباطی مربوط به LAN و WAN
• فیلترینگ و ACL
• مسیریابی
• جایگزینی و تقسیم بار (Redundancy and load balancing)
• خلاصه سازی روت ها (Route Summarization)
• کنترل Broadcast Domain با استفاده از روتر یا سوئیچ Multilayer

لایه Distribution در طراحی سه لایه سیسکو به چه معناست؟

این لایه بین لایه Access و Core قرار دارد و دیتا ارسالی توسط کاربر را از لایه Access به سمت لایه Core هدایت می کند. نوع ارتباطات در این لایه از نوع کابلی می باشد. برای جلوگیری از سرایت مشکلات احتمالی در شبکه LAN با استفاده از روتر یا سوئیچ Multilayer ، بین لایه Access و Core یک مرز ایجاد می کند.

برای درک بهتر مفاهیم سیسکو به دوره آموزش CCNA سیسکو جامع ( CCNA Routing and Switching ) مهندس قنبری یکی از کاملترین دوره های آموزش سیسکو ( CCNA ) می باشد که با ده ها کارگاه عملی و توضیحات جامع به زبانی ساده و روان تدریس شده است.

مدرک CCNA روتینگ و سویچینگ سیسکو اولین گواهینامه دوره های آموزشی سیسکو به حساب می آید که شما را با تجهیزات زیرساختی سیسکو مثل روترها و سویچ ها و نحوه کار با آنها به خوبی آشنا می کند. شما با گذران این دوره CCNA Routing and Switching سیسکو دیگر نیازی به هیچ منبع آموزشی سیسکو نخواهید داشت.پیشنیاز دوره آموزشی CCNA سیسکو ، دوره آموزش نتورک پلاس است

برخی از وظایف لایه Core در ساختار سلسله مراتبی سیسکو

• سوئیچنگ با سرعت بالا
• قابلیت اطمینان و تحمل خطا
• پرهیز از هرگونه پردازش اضافه روی بسته ها که باعث درگیر کردن CPU شود مانند مسائل امنیتی مثل inspection یا مواردی مثل QoS

فایروال (Firewall) چیست و به زبان ساده چگونه کار می کند؟ چرا به آن دیواره آتش می گویند؟ فایروال چگونه کار می کند و چند نوع دارد؟ اگر بخواهیم به زبان ساده صحبت کنیم باید بگوییم بعد از سویچ در انواع تجهیزات شبکه ، واژه فایروال را می توانیم یکی از پرکاربردترین واژه ها در حوزه کامپیوتر و شبکه معرفی کنیم. خیلی اوقات از اینور و آنور این جملات آشنا را می شنویم که فایروالت رو عوض کن ، برای شبکه فایروال بگیر ، توی فایروال فلان رول رو اضافه کنید ، فایروالتون رو خاموش کنید و ... امروز در این مقاله می خواهیم به ساده ترین شکل ممکن و البته با بیان تجربیات خودم در مورد فایروال و سیر تا پیاز این نرم افزار یا سخت افزار با هم صحبت کنیم. با ما تا انتهای مقاله باشید.

معنی لغوی فایروال چیست؟ بررسی مفهوم و تئوری دیواره آتش

فایروال که به انگلیسی از ترکیب دو کلمه Fire به معنی آتش و Wall به معنی دیوار تشکیل شده است ، به زبان فارسی به عنوان دیواره آتش ترجمه شده است. با توجه به اینکه ماهیت دیواره آتش جلوگیری از تهدیدات و به نوعی پاکسازی ترافیک شبکه است ، می توان چنین تفسیر کرد که این نامگذاری با توجه به ماهیت پاکسازی و ضدعفونی کننده آتش در تاریخ ، برگرفته ای از همین مفهوم باشد .

به زبان ساده تر آتش پاکسازی می کند و ضدعفونی می کند و دیواره آتش در شبکه هم ترافیک آلوده و خطرناک را پاکسازی می کند. بد نیست بدانید که آتش نماد پاکی در ایران باستان هم بوده است. در ادامه این مقاله ما فرض را بر این می گذاریم که شما تعریف شبکه چیست را به خوبی می دانید و با مفاهیم شبکه آشنایی دارید.

کمی راجع به تاریخچه فایروال و نسل های فایروال

در ابتدا چیزی به نام فایروال در انواع شبکه های کامپیوتری وجود نداشت. بعد از به وجود آمدن روترها یا مسیریاب های شبکه ، این نیاز احساس شد که بایستی بتوانیم ترافیک را در برخی شرایط محدود کنیم. در این شرایط چیزی به نام Access Rule یا ACL در روترها معرفی شدند که پایه و اساس خیلی از فایروال های امروزی هستند.

Access Rule ها تعریف می کردند که چه آدرسهایی از کجا به کجا بتوانند بروند و یا نروند. مکانیزم کاری فایروال های اولیه هم بر همین اساس بود و فیلترینگی که بر روی ترافیک ها انجام می شد با عنوان فیلترینگ بسته یا Packet Filtering می توانست مسیر بسته های اطلاعاتی شبکه را تعیین کند.

اولین نسل از فایروال های شبکه در اواخر دهه 1980 میلادی به دنیا معرفی شدند. با توسعه و پیشرفته تکنولوژی های فایروال نسل های مختلفی از فایروال به دنیا معرفی شدند که در ادامه نسل های فایروال ها را با هم مرور می کنیم :

نسل اول از فایروال چیست؟ اضافه شدن ضد ویروس

این نسل از فایروال ها به عنوان Generation 1 Virus هم شناخته می شوند. فایروال هایی که قبل از نسل یک فایروال ها کار می کردند صرفا بصورت فیلترینگ بسته های اطلاعاتی یا Packet Filtering کار می کردند.

DHCP Spoofing حمله ای است که عملکرد سرویس DHCP (اختصاص IP به صورت اتومات) را مختل می کند.

این حمله به دو صورت می تواند به وجود اید:

1. DHCP Server Spoofing : در حالت اول مهاجم به بسته های DHCP Request گوش می کند و بلافاصله به آنها جواب می دهد و IP Address و مشخصات مورد نظر خود را برای قربانی ارسال می کند به این نوع حملات man in the middle گفته می شود. به طور مثال IP خود را به عنوان Gateway به قربانی اعلام می کند در نتیجه قربانی بسته هایی که مقصد آنها خارج از شبکه هستند را به مهاجم تحویل می دهد و مهاجم اطلاعات مورد نظر خود را از این بسته استخراج می کند و سپس بسته را به سوی مقصد واقعی ارسال می کند و قربانی از این اتفاق بی خبر است.
2. DHCP Starvation : حالت دوم جهت از کار انداختن سرویس DHCP مورد استفاده قرار می گیرد به این صورت که مهاجم تعداد زیادی DHCP Request جعلی ایجاد می کند و باعث می شود که کل محدود IP تعیین شده برای DHCP سرور پر شود یا تعداد این DHCP Request انقدر زیاد می شود که سرور توان پاسخگویی به ان را نداشته باشد.

• نکته : در صورتی که DHCP سرور روی سوئیچ فعال باشد حمله حالت اول رخ نخواهد داد.

برای جلوگیری از این حملات از DHCP Snooping استفاده می کنیم و به صورت زیر عمل می کند :
برای جلوگیری از حالت اول پورتی که متصل به DHCP سرور ماست را به عنوان Trust معرفی می کنیم در نتیجه تنها این پورت اجازه دارد به بسته های DHCP Request پاسخ دهد. برای جلوگیری از حالت دوم برای پورت ها مشخص می کنیم که در هر ثانیه اجازه دارد چندتا DHCP Request دریافت کند و یا استفاده از قابلیت Port Security .

نحوی تنظیم DHCP Snooping در سوئیچ های سیسکو :

در ابتدا DHCP Snooping را فعال می کنیم.

Switch(config)#ip dhcp snooping

سپس VLAN مربوطه را مشخص می کنیم.

Switch(config)#ip dhcp snooping vlan 1

وارد اینترفیس متصل به DHCP سرور می شویم و آنرا به عنوان trust معرفی می کنیم.

Switch(config)#interface fasthernet 0/24
Switch(config-if)# ip dhcp snooping trust

حالا باید مشخص کنیم که باقی پورت ها در هر ثانیه اجازه ارسال چند DHCP Request را دارند.

Switch(config)#interface range fastethernet 0/1-23
Switch(config-if)#ip dhcp snooping limit rate 3

جامعترین و کاملترین دوره آموزشی CCNA Security از مهندس شوهانی در قالب 27 ویدیوی آموزشی CCNA Security و 22 ساعت تهیه و تدوین شده است . این دوره CCNA Security بصورت گام به گام ، کارگاهی ، دارای پشتیبانی مدرس و در قالب آموزش CCNA Security با کد آزمون 210-260 به شما تضمین می دهد که امنیت زیرساخت شبکه را فرا گیرید و بتوانید امنیت تجهیزات سیسکویی خودتان را ارتقاء دهید . با تهیه این دوره آموزش CCNA Security شما دیگر نیازی به منبع آموزشی دیگری برای یادگیری CCNA سکیوریتی نخواهید داشت.

دوره آموزش CCNA Security چیست؟

دوره CCNA Security نام یکی از آزمون‌ها و مدارک شرکت سیسکو است. سیسکو آزمون‌ها و مدارک مختلفی از جمله CCNA را در حوزه شبکه‌های کامپیوتری برای افرادی برگزار می‌کند که قصد فعالیت در زمینه راه‌اندازی و نگهداری راهکارهای سیسکو با استفاده از تجهیزات این شرکت را دارند.

Cam Flooding Attack یا MAC Flooding Attack یکی از حملات لایه دوم می باشد که مهاجم جدول CAM سوئیچ را با MAC آدرس های جعلی پر می کند. بعد از اینکه جدول پر شد. از این پس سوئیچ بدلیل پر شدن جدول Cam خود نمی تواند MAC جدید را یاد بگیرد درنتیجه سوئیچ بسته های دریافتی که آدرس مقصد آنها در جدول CAM ندارد را روی تمام پورت های خود ارسال می کند.

این پر شدن جدول Cam دو مشکل به وجود می آورد:

1. باعث ایجاد ترافیک بیشتر در شبکه می شود که در نتیجه آن ، تجهیزات شبکه نیز مجبور به پردازش این ترافیک اضافه می شوند و حتی باعث از کار افتادن تجهیزات به خاطر ترافیک زیاد خواهد شد.
2. ترافیک چون روی همه پورت ها ارسال می شود سیستمی که مقصد ترافیک نیست نیز این ترافیک را دریافت می کند در نتیجه محرمانگی اطلاعات در این حالت از بین می رود. با این تکنیک مهاجم می تواند اطلاعات ارسال بین سیستم های مختلف شبکه را دریافت و جهت مقاصد خود از آنها استفاده کند.

• نکته : بعد از اینکه حمله متوقف شود MAC ادرس های جعلی به مدت 5 دقیقه که مدت زمان نگه داری آدرس ها در جدول Cam می باشد در جدول باقی می مانند سپس از جدول حذف می شوند و شبکه به حالت نرمال باز می گردد.

برای جلوگیری از این حمله می توان از Port Security و Port-based authentication استفاده کرد.

بدون شک دوره آموزشی Security+  مهندس محمدی یکی از بهترین و کاملترین دوره های آموزش امنیت اطلاعات وآموزش امنیت شبکه در دنیا به حساب می آید. در پایان این دوره آموزشی شما آماده ورود به دنیای هک و امنیت اطلاعات می شوید و به خوبی بر روی مباحث تئوری و مفاهیم امنیتی مسلط خواهید شد. در واقع سکیوریتی پلاس نقطه ورود شما به دنیای امنیت سایبری و از پیشنیازهای دوره های آموزشی هک و نفوذ می باشد.داشتن دانش لازم در حد دوره آموزش نتورک پلاس برای ورود به دوره سکیوریتی پلاس الزامی است

اکسس پوینت یا AP چیست؟ Access Point یا Wireless Access Point که به فارسی به معنی نقطه دسترسی می باشد در واقع اسمی است که ما بر روی یکی از تجهیزاتی گذاشته ایم که در شبکه های بیسیم یا وایرلس مورد استفاده قرار می گیرد. این تجهیزات که یه صورت اختصاری به آنها AP یا WAP هم گفته می شود در شبکه های کامپیوتری به تجهیزاتی گفته می شود که عملکردی شبیه به سویچ شبکه های کابلی در شبکه های بیسیم دارند ، بدین معنی که این امکان را فراهم می کنند که از طریق آنها شما بتوانید چندین سیستم کامپیوتری را از طریق شبکه های بیسیم به همدیگر متصل کنید.

به شبکه های محلی که با استفاده از Access Point ها به هم متصل می شوند به جای اینکه LAN بگوییم Wireless LAN یا WLAN هم می گوییم. Access Point ها را معمولا به شکل AP نمایش می دهند ، این دستگاه ها یک عملکرد مرکزی دارند ، تمامی سیگنال های رادیویی را دریافت و ارسال می کنند که در اکثر مواردی که در شبکه های کامپیوتری می باشد سیگنال های Wi-Fi نیز شامل می شود. معمولا از AP ها در شبکه های کوچک و یا شبکه های عمومی اینترنتی برای ایجاد Hot Spot استفاده می شود.

احتمالا شما نیز در خانه خود از این AP ها دارید ، دستگاهی که شما به عنوان مودم ADSL می شناسید که در کنار آن یک آنتن نیز قرار دارد در واقع یک AP است که در لفظ فنی به آن Wireless Router گفته می شود. AP هایی که در دفاتر شرکت های کوچک و خانه ها استفاده می شوند معمولا بسیار کوچک هستند و براحتی بر روی چیپ یک کارت شبکه یا رادیو قابل پیاده سازی هستند ، حتی مودم های وایمکسی که شما دارید نیز همان AP های خانگی هستند.

تجهیزاتی که بصورت ویژه برای کار سرویس دهی وایرلس استفاده می شوند از دستگاه مرکزی AP استفاده می کنند و توپولوژی مورد استفاده در آنها در اصطلاح فنی Infrastructure می باشد. در توپولوژی Ad-Hoc تعداد کلاینت هایی که همزمان می توانند به AP شما متصل شوند بسیار محدود است اما در توپولوژی Infrastructure این تعداد بسیار متناسب با نیاز سازمان شما خواهد بود. در دوره آموزش نتورک پلاس و آموزش شبکه در قسمت بررسی شبکه های بیسیم یا وایرلس به خوبی در خصوص اکسس پوینت ، تکنولوژی ها و کاربرهایشان توضیح می دهیم.

در توپولوژی Infrastructure در واقع AP شما به عنوان یک پل یا Bridge برای متصل کردن شبکه های بیسیم شما به شبکه کابلی مورد استفاده قرار می گیرد و وظیفه تبدیل سیگنال را نیز بر عهده دارد. AP های قدیمی بین 10 تا 20 کامپیوتر را می توانستند بصورت همزمان پشتیبانی کنند اما امروزه با توجه به گشترش روز افزون تکنولوژی های AP ها می توانند به تنهایی تا 255 عدد کامپیوتر را به هم متصل کنند.

روتر یا مسیریاب چیست؟ Router چگونه کار می کند؟ Router یکی از دیوایس های مورد استفاده در شبکه می باشد که در لایه ی سوم OSI (لایه Network) کار می کند. Router بین شبکه های مختلف مسیر یابی می کند و دقیقا به همین دلیل باید حداقل دو عدد اینترفیس داشته باشد که Net ID های آنها حداقل یک بیت با هم فرق داشته باشند.برای یادگیری بهتر مفاهیم روتینگ و تجهیزات روتر و ... می توانید به قسمت معرفی تجهیزات شبکه در دوره آموزش نتورک پلاس مراجعه کنید.

شرکت های زیادی هستند که تجهیزات شبکه مانند Router و دیگر دیوایس های مورد استفاده را تولید می کنند به این سبب Router ها نیز برند ها و مدل های مختلفی دارند اما همانطور که همه می دانیم بهترین شرکت تولید کننده تجهیزات شبکه، شرکت Cisco است که نه تنها تجهیزات بلکه صادر کننده علم شبکه به دنیا نیز می باشد.Routing علمی است که Cisco به دنیا معرفی کرد و کاریست که روتر ها برایمان انجام می دهند. به طور کلی Routing به معنی ارسال بسته از مبدا به مقصد بر اساس پرتکل ها ،آدرس لایه سومی (IP) و Routing Table یک روتر می باشد.

نحوه کار کرد یک روتر یا مسیریاب

هنگامی که یک روتر را خریداری و برای اولین بار روشن می کنید به صورت پیش فرض کاری انجام نمی دهد یعنی نیاز است که همه کار ها و دستورات به آن داده شود.پس ابتدا اینترفیس های روتر را روشن کرده و بر اساس تشخیص مهندس شبکه، IP های مورد نظر به اینترفیس ها داده و Routing Protocol مناسب بروی آن router راه اندازی می شود. حال زمانی را در نظر بگیرید که بسته ای به روتر می رسد ، در این حالت ابتدا روتر به Routing Table خود نگاه می کند چنانچه Route و یا مسیری برای آن مقصد مورد نظر داشته باشد ، بسته را route می کند و اگر مسیری در Routing table نداشته باشد ، default gateway را بررسی میکند. در صورتی که set شده باشد ، بسته به آن سمت هدایت می شود در غیر این صورت بسته drop خواهد شد.

• نکته : عملیات Routing تنها توسط روتر انجام نمی شود بلکه switch هایی نیز وجود دارند که این کار را انجام می دهند ودر اصطلاح به آنها MLS که مخفف شده ی عبارت Multi Layer Switch است، گفته می شود. MLS ها قابلیت کار کرد در لایه های دوم و سوم OSI و همچنین دید نسبت به لایه چهارم را دارند.

عملکرد پل در دنياي کامپيوتر و دنياي واقعي، در هر دو، پل​ها دو يا چند بخش منفک و مجزا را به هم ملحق مي​​کنند تا فاصله​ها از ميان برداشته شود. اگر شبکه​هاي محلي را به جزاير کوچک و مستقل تشبيه کنيم پل​ها اين جزاير را به هم پيوند مي​زنند تا ساکنين آن به هم دسترسي داشته باشند.

بسياري از سازمان​ها داراي LANهاي متعددي هستند و تمايل دارند ان​ها را به هم متصل کنند. شبکه​هاي محلي (LAN) را مي​توان از طريق دستگاه هايي که در لايه پيوند داده عمل مي​کنند و پل (Bridge) ناميده مي​شوند به هم متصل نمود.

پل​ها براي مسيريابي و هدايت داده​ها، ادرس​هاي "لايه پيوند داده​ها" را بررسي مي​کنند. از انجايي که قرار نيست محتواي فيلد داده از فريم​هايي که بايد هدايت شوند، پردازش گردد لذا اين فريم​ها مي​توانند بسته​هاي IPv4 (که اکنون در اينترنت به کار مي​رود)، IPv6 (که در اينده در اينترنت به کار گرفته خواهد شد)، بسته​هاي Apple Talk، ATM، OSI، يا هر نوع بسته ديگر را در خود حمل کنند.

بر خلاف پل، "مسيرياب​ها" ادرس درون بسته​ها را بررسي کرده و بر اين اساس، ان​ها را هدايت (مسيريابي) مي​کنند. اگر بخواهيم در تعبيري عاميانه و نادقيق مسيرياب را با پل در دنياي واقعي مقايسه کنيم پل جزاير منفک را مستقيما به هم متصل مي​کند در حالي که مسيرياب به مثابه قايق، مسافران خود را پس از سوار کردن از يک طرف به طرف ديگر منتقل مي​کنند.

طبعا پل سرعت تردد مسافران را بالاتر خواهد برد ولي قايق هميشه و در هر نقطه از جزيره در دسترس است و قدرت مانور مسافر را بالا خواهد برد!!قبل از پرداختن به تکنولوژي پل، بررسي شرايطي که در ان، استفاده از پل​ها سودمند است، اهميت دارد. چه دلايلي باعث مي شود يک سازمان واحد، داراي چندين LAN پراکنده باشد؟

اول از آن که: بسياري از دانشگاه​ها و بخش​هاي مختلف شرکت​ها، LAN مختص به خود را دارند تا بتوانند کامپيوترهاي شخصي، ايستگاه​هاي کاري و سرويس دهنده​هاي خاص خود را به هم متصل کنند. از انجايي که بخش​هاي مختلف يک موسسه، اهداف متفاوتي را دنبال مي​کنند لذا در هر بخش، فارغ از ان که ديگر بخش​ها چه مي​کنند، LAN متفاوتي پياده مي​شود.

دير يا زود نياز مي​شود، که اين LANها با يکديگر تعامل و ارتباط داشته باشند. در اين مثال، پيدايش LANهاي متعدد ناشي از اختيار و ازادي مالکان ان بوده است. دوم آن که: ممکن است سازمان​ها به صورت جغرافيايي در ساختمان​هايي با فاصله قابل توجه، پراکنده باشند. شايد داشتن چندين LAN مجزا در هر ساختمان و وصل ان​ها از طريق "پل​ها" و لينک​هاي پرسرعت ارزان​تر از کشيدن يک کابل واحد بين تمام سايت​ها تمام شود. سوم ان که: گاهي براي تنظيک بار و تعديل ترافيک، لازم است که يک LAN منطقي و واحد به چندين LAN کوچکتر تقسيم شود.

به عنوان مثال: در بسياري از دانشگاه​ها هزاران ايستگاه کاري در اختيار دانشجويان و هيئت علمي قرار گرفته است. عموما فايل​ها در ماشين هاي سرويس دهنده فايل نگه داري مي​شوند و حسب تقاضاي کاربران بر روي ماشينشان منتقل و بارگذاري مي​شود. مقياس بسيار بزرگ اين سيستم مانع از ان مي​شود که بتوان تمام ايستگاه کاري را در يک شبکه محلي واحد قرار داد چرا که پهناي باند مورد نياز بسيار بالا خواهد بود. در عوض، از چندين LAN که توسط "پل" به هم متصل شده، استفاده مي​شود. هر شبکه LAN گروهي از ايستگاه​ها و سرويس دهنده فايل خاص خود را در بر مي​گيرد که بدين ترتيب بيشتر ترافيک در حوزه يک LAN واحد محدود مي​شود و بار زيادي به ستون فقرات شبکه اضافه نخواهد شد.

چهارم آن که: در برخي از شرايط اگر چه يک شبکه محلي واحد از نظر حجم بار کفايت مي​کنند وليکن فاصله فيزيکي بين ماشين​هاي دور، بسيار زياد است. تنها راه حل آن است که LAN به چند بخش تقسيم شده و بين ان​ها پل نصب گردد. با استفاده از پل، مي​توان فاصله فيزيکي کل شبکه را افزايش داد. پنجم آن که: مسئله قابليت اعتماد است; بر روي يک LAN واحد، يک گره خراب که دنباله​اي پيوسته از خروجي اشغال توليد مي​کند قادر است کل شبکه را فلج نمايد.

پل​ها را مي​توان در نقاط حساس قرار داد تا يک گره خراب و مغشوش نتواند کل سيستم را مختل کند. بر خلاف يک تکرار کننده (Repeater) که ورودي خود را بي قيد و شرط باز توليد مي​نمايد يک پل را مي​توان به نحوي برنامه ريزي کرد تا در خصوص انچه که هدايت مي​کند يا هدايت نمي​کند تصميم اگاهانه بگيرد.

ششم آن که: پل ها مي​توانند به امنيت اطلاعات در يک سازمان کمک نمايند. بيشتر کارت​هاي واسط شبکه​هاي LAN داراي حالتي به نام حالت بي قيد (Promiscuous mode) هستند که در چنين حالتي تمام فريم​هاي جاري بر روي شبکه تحويل گرفته مي​شود، نه فريم​هايي که دقيقا به ادرس او ارسال شده​اند.

با قرار دادن پل​ها در نقاط مختلف و اطمينان از عدم هدايت اطلاعات حساس به بخش​هاي نامطمئن، مسئول سيستم مي​تواند بخش​هايي از شبکه را از ديگر بخش​ها جدا کرده تا ترافيک ان​ها به خارج راه پيدا نکرده و در اختيار افراد نامطمئن قرار نگيرد. شکل 1-2 شمايي از وصل چند شبکه محلي مستقل توسط پل را به همراه نمادهاي مربوطه نشان مي​دهد. (اکثرا در بسياري از مقالات پل را با يک شش ضلعي مشخص مي​کنند.) :نکته: يک سوييچ مي​تواند در نقش يک پل ايفاي نقش کند.

پس از بررسي انکه چرا به پل​ها نياز است اجازه بدهيد به اين سوال بپردازيم که عملکرد ان​ها چگونه است؟ هدف ارماني ان است که پل​ها کاملا نامرئي (شفاف-Transparent) باشند، بدين معنا که بتوان ماشيني را از بخش از شبکه به بخش ديگر منتقل کرد بدون انکه به هيچگونه تغييري در سخت افزار، نرم افزار يا جداول پيکربندي نياز باشد. همچنين بايد اين امکان وجود داشته باشد که تمام ماشين​هاي يک بخش از شبکه بتواند فارغ از انکه نوع LAN ان​ها چيست با ماشين​هاي بخش ديگر، مبادله اطلاعات داشته باشد. اين هدف گاهي براورده مي​شود وليکن نه هميشه!

شايد در ساده ترين سناريو بتوان عملکرد پل را بدين روال دانست: ماشين A در يک شبکه محلي، بسته​اي را براي ارسال به ماشين ميزبان B در شبکه ديگر که از طريق پل به هم متصل شده​اند، اماده کرده دانست. اين بسته از زير لايه MAC عبور کرده و سرايند MAC​ به ابتداي ان افزوده مي​شود. اين واحد داده، بر روي کانال منتقل، و توسط پل دريافت مي​شود; پس از رسيدن فريم به پل، کار دريافت ان از لايه فيزيکي شروع و داده​ها به سمت زير لايه بالا هدايت مي​شود.

پس از انکه فريم دريافتي در لايه 2 پردازش شد و ادرس​هاي MAC بررسي شدند، پل مشخص مي کند که فريم را بايد بر روي کدامين خروجي خود منتقل کند. در نهايت فريم جديدي ساخته شده و بر روي شبکه محلي مقصد منتقل مي​شود. دقت کنيد که يک پل که K شبکه مختلف را به هم متصل مي​کند داراي K زير لايه MAC و تعداد k لايه فيزيکي و کانال ارتباطي است. تا اينجا به نظر مي​رسد که انتقال فريم از يک LAN​ به LAN ديگر ساده است اما واقعيت اين چنين نيست.

شايد با بررسي سناريوي فوق به اين نتيجه برسيد که کاري که پل انجام مي​دهد با کاري که يک سوييچ انجام مي​دهد يکي است و چيزي به معلومات شما اضافه نشده است. فقط نام جديد پل بر روي همان سوييچي گذاشته شده که عملکرد ان را مشاهده کرديد! هم درست انديشيده ايد و هم در اشتباهيد! اگر پل را ابزاري فرض کرده​ايد که قرار است دو شبکه اترنت را بهم پيوند بزند حق با شماست و پل هيچ تفاتي با سوييچ ندارد.

ولي در يک تعريف وسيع​تر بايد پل را ابزاري در نظر بگيريد که قرار است دو شبکه ناهمگون (مثل اترنت و بيسيم يا اترنت و حلقه) را به هم پيوند بزند و فريم پس از ورود به پل و قبل از انتقال به شبکه مقصد بايد تغيير ماهيت بدهد و سرايند MAC ان بکل عوض شود. چنين کاري از سوييچ بر نمي​ايد. عموما تمام پورت​هاي يک سوييچ لايه 2 (مثل سوييچ اترنت) از يک نوعند و فريم​ها در خلال انتقال از سوييچ هيچ تغييري نمي​کنند.

ناهمگوني شبکه​ها و شرايط ذاتي حاکم بر هر شبکه (مثل شرايط حاکم بر محيط بي سيم يا باسيم) مشکلات عديده​اي را ايجاد خواهد کرد که پل بايد از عهده ان برايد. بنابراين از اين به بعد سوييچ​هاي اترنت را پل​هايي بدانيد که صرفا شبکه​هاي از نوع اترنت را بهم پيوند مي​زند. پل يک سوييچ لايه 2 هست ولي از يک سوييچ اترنت برتر و پيچيده​تر است. اگر به دنبال کسب اطلاعات بیشتر در خصوص نحوه کارکرد بریج در شبکه هستید ، پیشنهاد می کنم حتما سری به دوره آموزش نتورک پلاس و تفاوت هاب و سویچ  و آموزش شبکه بیندازید تا به خوبی این مفهوم را درک کنید.

هاب و سویچ دو نوع از تجهیزاتی هستند که در شبکه برای متصل کردن کامپیوترها به هم استفاده می شوند و بیشتر کاربرد آنها در شبکه های LAN است. مهمترین تفاوتی که بین هاب و سویچ لایه دو وجود دارد در پیچیدگی طراحی داخلی این دستگاه ها است. هاب یک دستگاه فوق العاده ساده است که هیچگونه قدرت پردازشی و تحلیلی در خود ندارد و تنها کاری که انجام می دهد این است که بسته های اطلاعاتی را در شبکه دریافت و برای تمامی پورت های خود ارسال می کند. در قسمت هفتم از دوره آموزش نتورک پلاس دقیقا تفاوت بین سویچ و هاب و چگونگی به وجود آمدن و جایگزین شدن سویچ صحبت شده است.

هاب به هیچ عنوان محتوای بسته های اطلاعاتی که در خود رد و بدل می شوند را واکاوی نمی کند و تقریبا هر چیزی که به آن وارد می شود از آن بدون هیچگونه تغییری خارج می شود. از طرفی دیگر سویچ لایه دو یک دستگاه هوشمند تر است که کمی قدرت پردازشی دارد و از محتویات بسته های اطلاعاتی نیز تا حدودی خبر دارد ، سویچ لایه دو آدرس های مبدا و مقصدی که در بسته اطلاعاتی وجود دارند را می خواند و می داند که یک بسته اطلاعاتی باید به کدام مقصد ارسال شود و از کدام مبدا به سویچ لایه دو وارد شده است. سویچ لایه دو اطلاعات مربوط به مبدا و مقصد موجود در بسته های اطلاعاتی را در خود نگه داشته و بر اساس آنها تعیین می کند که یک بسته اطلاعاتی باید به کدام سمت ارسال شود.

هاب به دانستن محتویات موجود در بسته های اطلاعات نیازی ندارد زیرا به محض دریافت کردن یک بسته اطلاعاتی از روی یکی از پورت های خود کل بسته اطلاعات را در تمامی پورت های خودش ارسال می کند ، به نوعی هاب تمامی اطلاعاتی که دریافت می کند را درون همه پورت هایش Broadcast می کند ، البته به این نکته توجه کنید که هاب روش کاری شبیه به سیستم Broadcasting یا ارتباط یک به همه دارد و ما برای مثال از کلمه Broadcasting استفاده کردیم زیرا ساختار بسته اطلاعاتی Broadcast به تنهایی متفاوت است.

تشخیص اینکه یک بسته اطلاعاتی مربوط به یک مبدا یا یک مقصد خاص است بر عهده کامپیوترهایی است که به هاب متصل شده اند ، اگر آدرس مقصدی که در بسته اطلاعاتی تعریف شده بود مربوط به کامپیوتر مربوطه بود ، بسته اطلاعاتی دریافت و در غیر اینصورت بسته اطلاعاتی Drop یا از بین می رود. در سویج لایه دو هم چنین چیزی به وجود می آید اما نه در همه شرایط ، بلکه صرفا زمانیکه مقصد بسته اطلاعاتی مشخص نباشد ، بسته اطلاعاتی به همه پورت ها ارسال خواهد شد. زمانیکه در سویچ لایه دو ، یک بسته اطلاعاتی به مقصد مورد نظر می رسد یک پاسخ به سویچ لایه دو داده می شود که از طریق آن سویچ قادر خواهد بود اطلاعات مقصد را از داخل بسته اطلاعاتی خارج و در خود ذخیره کند ، این عمل باعث می شود که سویچ لایه دو Flood نکند و ترافیک زیاد در شبکه ایجاد نکند.

همانطور که گفتیم مکانیزم کاری هاب به شکل Flooding یا ارسال بسته به همه پورت ها است ، اینکار باعث کاهش شدید کارایی شبکه و کند شدن ارتباطات شبکه می شود زیرا یک کلاینت زمانیکه در حال انتقال اطلاعات است تمامی پهنای باند موجود در هاب را به خودش اختصاص می دهد و به همین دلیل است که دیگران قادر به ارسال اطلاعات در این حین نمی باشند. در واقع هاب پهنای باند را بصورت اشتراکی به کلاینت ها ارائه می دهد و تا زمانیکه کار انتقال داده برای یکی از کلاینت ها تمام نشود کلاینت دوم قادر به ارسال اطلاعات به درستی نخواهد بود.

این مکانیزم کاری هاب شبیه به تریبون سخنرانی است ، تا زمانیکه سخنرانی شخصی که در حال سخنرانی است تمام نشده است نفر دوم قادر به ایراد سخنرانی نخواهد بود. اما سویچ لایه دو دارای قابلیتی به نام Micro Segmentation است که این امکان را به سویچ می دهد که با توجه به اینکه پورت مبدا و پورت مقصد را می شناسد ترافیک را صرفا به پورت مقصد ارسال کند و ترافیکی برای سایر پورت های شبکه ایجاد نکند ، در واقع زمانیکه یک نفر در سویچ لایه دو در حال انتقال اطلاعات باشد نفر دوم برای مسیرهای دیگر هیچ مشکلی برای انتقال اطلاعات نخواهد داشت زیرا مسیرهای رد و بدل شدن اطلاعات کاملا مشخص و از قبل تعیین شده هستند.

به نوعی می توانیم بگوییم که سویچ لایه دو امکان استفاده اختصاصی به هر کدام از کلاینت ها از پهنای باند سویچ را می دهد زیرا مسیرها کاملا مشخص هستند. این مکانیزم کاری را می توانیم با مکانیزم کاری تلفن های سلولی مقایسه کنیم ، جاییکه شما همزمان می توانید به همراه سایر افراد از شبکه تلفن همراه استفاده کنید و این در حالی است که همه افراد دیگر بر روی این بستر همزمان در حال مکالمه هستند و هیچگونه خللی در کار مکالمه شما وارد نخواهد شد.

تفاوت Switch لایه 2 و Switch لایه 3 در چیست؟ سویچ شبکه وسیله ای است که کامپیوترها یا بهتر بگوییم کاربران شبکه را در لایه دوم از مدل OSI که لایه پیوند داده یا Data Link نیز نامده می شود به همدیگر متصل می کند . سویچ ها در واقع جایگرین هوشمندی برای هاب ها در شبکه محسوب می شوند که امکان برقراری ارتباطات با سرعت بالا در شبکه را ایجاد می کنند. در لایه دوم از مدل OSI سویچ با استفاده از ساختار ( MAC ( Media Access Control کار می کنند ، این قابلیت به سویچ کمک میکند که همانن یک پل ( Bridge ) چند پورته ( Multiport ) عمل کند .

در واقع سویچ بصورت Full Duplex کار میکند و بعضا در برخی اوقات به آن Full Duplex Hub هم گقته می شود . سویچ ها این قابلیت را دارند که بصورت خودکار آدرس سخت افزاری یا MAC سیستم هایی را که به پورت هایش متصل شده اند را جمع آوری کنند و متوجه بشوند که چه آدرس در کدامیک از پورت های آن قرار گرفته است . سویچ اینکار را با استفاده از دریافت فریم ها از پورت های خود که توسط کامپیوترهای متصل شده به پورت ها ارسال می شود جمع آوری و ثبت می کند . برای مثال اگر پورت Fa 0//1 سویچ فریمی دریافت کند که مربوط به آدرس aaaa.aaaa.aaaa باشد ، سویچ متوجه می شود که این آدرس از پورت Fa 0//1 سویچ وارد شده است ، در ادامه اگر فریمی به سویچ وارد شود که آدرس مقصد آن aaaa.aaaa.aaaa باشد ، سویچ آن را به پورت Fa 0//1 ارسال خواهد کرد.

سویج لایه دو یا Layer 2 Switch

در داخل سویچ ها ما برای اینکه بتوانیم Broadcast Domain های بیشتری داشته باشیم از VLAN ها استفاده می کنیم و با استفاده از این قابلیت پورت های مختلف سویچ را در Subnet های مختلف قرار می دهیم . سویچ های از قابلیت VLAN برای کنترل کردن Broadcast ها ، Multicast ها و unicast ها در لایه دوم استفاده می کند. ترافیک هایی مثل HTTP ، FTP ، SNMP براحتی می تواند توسط سویچ های لایه دو مدیریت شوند .

زمانی که در مورد امنیت شبکه صحبت می کنیم سویج های لایه دو قابلیتی ساده اما قوی به نام Port Security را به ما ارائه می دهند. در سطح لایه دو ، تکنیک هایی مانند Spanning Tree ضمن اینکه قابلیت Redundancy مسیرها را برای شبکه ما ایجاد می کنند ، باعث جلوگیری از بروز Loop در شبکه نیز می شوند . در طراحی شبکه سویچ های لایه دو معمولا در سطح لایه دسترسی یا Access قرار می گیرند . در مسیریابی بین VLAN ها یا Inter VLAN Routing سویچ های لایه دو نمی توانند کاری انجام بدهند و بایستی فرآیند مسیریابی را یا به یک مسیریاب و یا به یک سویچ لایه سه که بتواند قابلیت های لایه سوم را در اختیار ما قرار دهد بسپاریم .

سویچ لایه سه یا Layer 3 switch

برای چیره شدن بر مشکلاتی مانند ازدیاد Broadcast ها و مدیریت لینک های بیشتر ، شرکت سیسکو سویچ های مدل کاتالیست 3550، 3560 ، 3750 ، 45000 و 6500 را معرفی کرد . این سویج های این قابلیت را دارا هستند که می توانند ارسال بسته ها را با قابلیت های سخت افزاری یک مسیریاب انجام دهند . سویچ های لایه سوم علاوه بر اینکه قابلیت های سویچ های لایه دوم را نیز دارا هستند در همان دستگاه سخت افزاری قابلیت های مسیریابی را نیز تعبیه کرده اند ، با اینکار هزینه های یک سازمان بسیار پایین می آید زیرا نیازی به خرید مسیریاب های اضافی برای استفاده از قابلیت های VLAN نخواهند داشت .

پروتکل های مسیریابی مانند EIGRP و در برخی اوقات OSPF می توانند با استفاده از تعریف شدن یکی از پورت های سویچ به عنوان پورت مسیریابی مورد استفاده قرار بگیرند . برای اینکار ابتدا بایستی قابلیت های فعالیت پورت مورد نظر را با استفاده از دستور no switchport غیرفعال کنیم . سویچ های لایه سوم در طراحی های شبکه ای معمولا در سطح توزیع ( Distribute ) و یا هسته ( Core ) مورد استفاده قرار می گیرند . در برخی اوقات به این نوع سویچ های Router Switch نیز گفته می شود.

وجود ضعف در بسیاری از قابلیت های پروتکل BGP و بسیاری دیگر از امکانات اساسی دیگر که در مسیریاب ها وجود دارند باعث می شود که هنوز این سویچ ها نتوانند کارایی مانند کارایی های یک مسیریاب کامل را داشته باشند . بدون شک اگر چنین قابلیت هایی در این نوع سویچ ها تعبیه شود وجود یک مسیریاب سخت افزاری بصورت جداگانه تبدیل به یک داستان قدیمی برای کودکان ما خواهد شود . وقتی در خصوص هزینه های و مقایسه آنها صحبت می کنیم مطمئن باشد که کم هزینه ترین دستگاه در این مورد سویچ های لایه دو هستند ، اما ما بایستی در طراحی شبکه خود هر دو نوع سویچ را ، هم لایه دوم و هم لایه سوم را در نظر داشته باشیم .

اگر شرکتی یا سازمانی در آینده قصد توسعه و بزرگتر شدن دارد قطعا بایستی در طراحی های خود سویچ های لایه سوم را ببینیم . علاوه بر این قابلیت های سویچ های لایه سوم ضمن اینکه قدرت پشتیبانی از حجم زیادی از ترافیک را دارند ، نسبت به سویچ های لایه دوم هوشمند تر نیز هستند و همین موضوع باعث می شود که در بیشتر سازمان ها و شرکت های بسیار بزرگ از این نوع سویچ های استفاده شود ، حال آنکه شرکت های کوچک معمولا از سویچ های لایه دوم استفاده می کنند .تمام مباحث شبکه و مفاهیم بسیار حرفه ایی و دقیق را در دوره آموزش شبکه بهتر یادبگیرید.