ترجمه فصل چهارم کتاب رسمی نتورک پلاس

فهرست گزارش

نتورک پلاس

جزوه مهندس ایمان فرهی

 

در پایان این فصل میتوان به سوالات زیر پاسخ داد :

• مشخصات شبکه های اترنت از نظر دسترسی به رسانه ، دامنه های برخورد (collisions domains) ، دامنه های ارسال همگانی (broadcast domains) و محدودیت های سرعت / مسافت در استانداردهای مختلف اترنت چیست؟
• سوئیچ های اترنت چه عملکردهایی را انجام می دهند؟ چگونه این توابع به VLAN ها ، trunks ، پروتکل Spanning Tree ، تجمیع لینک ها ، پاور از طریق اترنت ، پورت مانیتورینگ ، احراز هویت کاربر و افزونگی first-hop مرتبط هستند؟

هنگامی که با شبکه های محلی (LAN) کار می کنید ، شما با اترنت به عنوان فناوری لایه ۱ کار می کنید. در اواسط دهه ۱۹۹۰ ، رقابت فوق العاده ای بین فناوری هایی مانند اترنت ، Token Ring و فیبر توزیع شده رابط داده [۱](FDDI) وجود داشت. امروز اما می بینید که اترنت برنده بارز است. البته طی این سالها اترنت متحول شده است. چندین استاندارد اترنت با انواع محدودیت های سرعت و مسافت در شبکه های مدرن وجود دارد. این فصل با مرور اصول شبکه های اترنت آغاز میشود. فصل ۳ ، “اجزای شبکه” ، شما را با سوئیچ های اترنت آشنا می کند. از آنجا که این سوئیچ ها بخشی جدایی ناپذیر از شبکه های محلی هستند ، این فصل به بسیاری از ویژگی های ارائه شده توسط برخی از سوئیچ های اترنت می پردازد.

[۱] Fiber Distributed Data Interface

موضوعات بنیادی

اصول اترنت

پیدایش اترنت ۱۹۷۳ بود ، زمانی که این فناوری توسط شرکت Xerox  توسعه یافت. هدف اصلی ایجاد فناوری برای اتصال رایانه ها به چاپگرهای لیزری بود. بررسی سریع اکثر شبکه های سازمانی نشان می دهد که اترنت بسیار پیشرفت کرده است ، از اترنت برای اتصال دستگاه هایی مانند رایانه ، چاپگر ، نقاط دسترسی بی سیم ، سرورها ، سوئیچ ها ، روترها ، سیستم های بازی ویدیویی و غیره استفاده می شود. در این بخش ، پیاده سازی ها و محدودیت های اولیه اترنت و مشخصات به روز و مشخصات اترنت و مسافت مورد اشاره قرار می گیرد.

مبانی اترنت

در ادبیات صنعت شبکه ، ممکن است با اصطلاح IEEE 802.3 مواجه شوید (که IEEE به ارگان استاندارد مهندسان برق و الکترونیک اشاره دارد). به طور کلی ، می توانید از اصطلاح IEEE 802.3 به جای کلمه Ethernet استفاده کنید. با این حال این فناوری ها دارای برخی تمایزهای ظریف هستند. مثلا ، یک قاب اترنت یک قاب با طول ثابت است ، در حالی که طول فریم ۸۰۲٫۳ می تواند متفاوت باشد. در قدیم از کابل ۱۰BASE5 استفاده میشد . ۱۰در ۱۰BASE5 به پهنای باند شبکه اشاره دارد ، به طور خاص ۱۰ مگابیت در ثانیه. همانطور که در فصل ۲ ، “مدل مرجع OSI” بحث شد ، BASE در ۱۰BASE5به باند پایه، در مقابل باند پهن اشاره دارد. سرانجام ، ۵ در ۱۰BASE5 محدودیت فاصله ۵۰۰ متر را نشان داد. کابل مورد استفاده در شبکه های ۱۰BASE5 ، همانطور که در شکل ۴-۱ نشان داده شده است ، قطر بیشتری نسبت به اکثر انواع رسانه ها دارد. در واقع ، این نوع شبکه به thicknet معروف اند.

شکل ۱-۴ : ۱۰BASE5 Cable

کابل دیگر ۱۰BASE2 بود. از تحلیل قبلی میتوان نتیجه گرفت که ۱۰BASE2 یک فناوری باند پایه ۱۰ مگابیت بر ثانیه با محدودیت فاصله تقریبا ۲۰۰ متر است. با این حال ، محدودیت فاصله واقعی۱۰BASE2 ،۱۸۵ متر است . کابل کشی مورد استفاده در شبکه های ۱۰BASE2 بطور قابل توجهی نازک تر و در نتیجه ارزان تر از کابل کشی ۱۰BASE5 است . در نتیجه ، کابل کشی ۱۰BASE2 ، همانطور که در شکل ۴-۲ نشان داده شده است ، به عنوان thinnet یا ارزان قیمت شناخته می شود.

شکل ۲-۴  : کابل کواکسیال استفاده شده برای ۱۰BASE2

شبکه های ۱۰BASE5 و ۱۰BASE2 امروزه به ندرت دیده میشوند . به غیر از محدودیت پهنای باند ۱۰ مگابیت بر ثانیه ، کابل استفاده شده توسط این فن آوری های قدیمی با ظهور کابل کشی (UTP) محبوبیت کمتری پیدا کرد ، همانطور که در فصل ۲ بحث شد. نسخه ۱۰ مگابیت بر ثانیه اترنت به کابل کشی UTP متکی بود ، به عنوان مثال در شکل ۴-۳ کابل ۱۰BASE-T مشاهده میشود ، که T در ۱۰BASE-T به کابل کشی جفت به هم تابانده شده یا (twisted-pair) اشاره دارد.

شکل ۳-۴  : کابل UTP استفاده شده برای ۱۰BASE-T

 

Carrier-Sense Multiple Access/Collision Detect

اترنت بر اساس این فلسفه بنا شده که همه دستگاه های شبکه در هر زمان واجد شرایط انتقال در شبکه هستند. این مکتب فکری در تقابل مستقیم با فناوری هایی مانند Token Ring است که از یک رویکرددسترسی برخوردارند . به طور خاص ، شبکه های Token Ring به صورت دایره ای از یک دستگاه شبکه به دستگاه دیگر ، یک رمز را از اطراف یک شبکه عبور می دهند. فقط هنگامی که دستگاهی تحت شبکه آن رمز را در اختیار داشت ، مجاز به ارسال از طریق شبکه است . از فصل ۱ ، “مبانی شبکه رایانه ای” ، مفهوم توپولوژی bus را به خاطر داریم . یک نمونه از توپولوژی bus ، کابل بلندی است (مانند تراکم ضخیم یا نازک) که طول ساختمان را اجرا می کند ، دستگاه های مختلف شبکه ای برای دسترسی به شبکه به آن کابل ضربه می زنند. شکل ۴-۴یک شبکه اترنت را با استفاده از توپولوژی مشترک bus نشان می دهد.

شکل ۴۳-۴  : شبکه اترنت با استفاده از توپولوژی Bus

در این توپولوژی همه دستگاهها مستقیماً به شبکه متصل هستند . اترنت فقط به یک فریم اجازه می دهد که هر بار در یک قسمت شبکه قرار بگیرد. بنابراین ، قبل از اینکه دستگاهی در این شبکه انتقال یابد ، به سیم گوش می دهد تا ببینید آیا در حال حاضر ترافیکی منتقل می شود یا خیر. اگر هیچ ترافیکی شناسایی نشود ، دستگاه شبکه داده های خود را انتقال می دهد. با این حال ، اگر دو دستگاه به طور همزمان داده ای برای ارسال داشته باشند ، چه می شود؟ اگر هر دو به طور همزمان به سیم گوش دهند ، می توانند به طور همزمان و به اشتباه نتیجه بگیرند که ارسال داده های آنها بی خطر است. با این حال ، هنگامی که هر دو دستگاه به طور همزمان داده های خود را ارسال می کنند ، یک برخورد رخ می دهد. یک برخورد ، همانطور که در شکل ۴-۵ نشان داده شده است ، منجر به خراب شدن داده ها می شود.

شکل ۵-۴  : برخورد در شبکه اترنت

خوشبختانه اترنت از مکانیزمی برای تشخیص برخورد برخوردار است و به دستگاه هایی که انتقال آنها با هم برخورد کرده است امکان انتقال مجدد داده های خود در زمان های مختلف را میدهد . به طور خاص ، بعد از اینکه دستگاه ها متوجه وقوع برخورد شدند ، به طور مستقل یک تایمر back-off تصادفی تنظیم میکنند . هر دستگاه قبل از اینکه دوباره سعی در انتقال داشته باشد منتظر سپری شدن این زمان تصادفی است. از آنجا که هر دستگاه مطمئناً زمان متفاوتی را انتخاب می کند تا از انتقال خود عقب نشینی کند ، انتقال آنها نباید در دفعه بعدی که این دستگاه ها انتقال می دهند ، برخورد کند ، همانطور که در شکل ۴-۶ نشان داده شده است.

شکل ۶-۴  : برطرف کردن برخورد با تایمر تصادفی Back-off

روشی که اترنت برای تصمیم گیری در مورد ایمن بودن انتقال ، تشخیص برخورد و انتقال مجدد در صورت لزوم استفاده می کند [۱](CSMA / CD) نامیده می شود.

اجزای تشکیل دهنده ی CSMA / CD به صورت زیر است :

• حسگر حامل (Carrier sense) : دستگاهی که به یک شبکه اترنت متصل است می تواند قبل از انتقال ، به سیم گوش دهد تا مطمئن شود که یک فریم در بخش شبکه منتقل نمی شود.
• دسترسی چندگانه (Multiple access) : برخلاف روش قطعی دسترسی به شبکه (به عنوان مثال روشی که Token Ring از آن استفاده می کند) ، همه دستگاه های اترنت به طور همزمان به یک بخش اترنت دسترسی دارند.
• تشخیص برخورد (Collision detection) : اگر برخوردی رخ دهد (بخاطر این که دو دستگاه همزمان به شبکه گوش می دادند و به طور همزمان نتیجه گیری می کردند که ارسالشان ایمن است) ، دستگاه های اترنت می توانند آن برخورد را تشخیص داده و تایمرهای خاموش کننده تصادفی را تنظیم کنند. پس از انقضا تایمر تصادفی هر دستگاه ، دوباره سعی در انتقال داده های خود دارد.

حتی با ویژگی CSMA / CD اترنت ، بخشهای اترنت هنوز از محدودیتهای مقیاس پذیری رنج می برند. به طور خاص ، با افزایش تعداد دستگاه ها در یک بخش اترنت مشترک ، احتمال برخورد بیشتر می شود. یک رویکرد جایگزین CSMA / CA است. در اینجا ، CA به جلوگیری از برخورد (collision avoidance) اشاره می کند. این فناوری در شبکه های بی سیم رایج است و توسط Token Ring در شبکه های محلی اولیه معروف شد.

در مورد اترنت سیمی ، دستگاه های موجود در یک قسمت اترنت مشترک متعلق به همان دامنه برخورد هستند. یک مثال از یک بخش اترنت مشترک ، شبکه ۱۰BASE5 یا ۱۰BASE2 است که چندین دستگاه به یک کابل متصل شده اند. در آن کابل ، هر بار فقط یک دستگاه می تواند ارسال کند. بنابراین ، تمام دستگاه های متصل به کابل ضخیم یا نازک در یک دامنه برخورد قرار دارند. به طور مشابه ، دستگاه های متصل به هاب اترنت ، همانطور که در شکل ۴-۷ نشان داده شده است ، در همان دامنه برخورد قرار دارند. همانطور که در فصل ۳ توضیح داده شده است ، هاب یک دستگاه لایه ۱ است و تصمیمات حمل و نقل را نمی گیرد. درعوض ، یک هاب بیت هایی را در یک پورت وارد می کند و همه درگاه های هاب دیگر را به جز پورتی که بیت ها بر روی آنها دریافت شده است ، ارسال می کند.

[۱] Carrier-Sense Multiple Access/Collision Detection

شکل ۷-۴  : Shared Ethernet Hub: One Collision Domain

سوئیچ های اترنت ، مانند شکل ۴-۸ ، با ایجاد دامنه های برخورد متعدد ، مقیاس پذیری شبکه های اترنت را به طرز چشمگیری افزایش می دهد. در واقع ، هر پورت روی یک سوئیچ اترنت در حوزه برخورد خاص خود قرار دارد.

شکل ۸-۴  : Ethernet Switch: One Collision Domain per Port

یک مزیت کمتر آشکار اما قدرتمند نیز در سوئیچ های اترنت وجود دارد . از آنجا که یک درگاه سوئیچ به یک دستگاه متصل می شود ، احتمال برخورد وجود ندارد. پس بدون احتمال برخورد ، دیگر به تشخیص برخورد نیازی نیست. با غیرفعال شدن تشخیص برخورد ، دستگاه های شبکه می توانند به جای حالت half-dublex ، در حالت full-dublex کار کنند. در حالت full-dublex ، یک دستگاه می تواند همزمان ارسال و دریافت کند. وقتی چندین دستگاه به همان بخش اترنت مشترک مانند یک لایه ۱ متصل هستند ، CSMA / CD باید فعال باشد. در نتیجه ، شبکه باید در حالت half-dublex کار کند ، به این معنی که فقط یک دستگاه شبکه تنها می تواند هر زمان انتقال یا دریافت کند. در حالت half-dublex ، یک دستگاه شبکه نمی تواند همزمان ارسال و دریافت کند ، که این یک استفاده ناکارآمد از پهنای باند شبکه است.

محدودیت های مسافت – سرعت

درک پهنای باند موجود در شبکه ها ، نیاز به تعریف چند اصطلاح داریم . باید بدانید که بیت به یکی از دو مقدار دودویی اشاره دارد. این مقادیر با استفاده از ریاضی دودویی نشان داده می شوند ، که فقط از اعداد ۰ و ۱ استفاده می کند. در کابل مانند کابل به هم تابانده شده(twisted-pair cable) ، بیت می تواند با نبود یا وجود ولتاژ نشان داده شود. کابلهای فیبر نوری ، بیت را با وجود یا عدم وجود نور نشان می دهند . پهنای باند شبکه بر اساس اینکه چند بیت می تواند درشبکه در مدت زمان ۱ ثانیه انتقال یابد اندازه گیری می شود. به عنوان مثال ، اگر شبکه توانایی ارسال ۱۰،۰۰۰،۰۰۰ بیت (یعنی ۱۰ میلیون) بیت را در یک بازه زمانی ۱ ثانیه ای داشته باشد ، گفته می شود که ظرفیت پهنای باند ۱۰ مگابیت در ثانیه است (یا Mbps) جدول ۴-۱ پهنای باند مشترک پشتیبانی شده در انواع متمایز اترنت را نشان میدهد .

جدول ۱-۴ :ظرفیت پهنای باند اترنت

نوع کابل استفاده شده در شبکه اترنت بر ظرفیت پهنای باند و محدودیت فاصله شبکه شما تأثیر می گذارد. به عنوان مثال ، کابل کشی فیبر نوری غالباً از پهنای باند بالاتر و محدودیت مسافت بیشتری نسبت به کابل کشی به هم تابانده شده برخورداراند . از فصل ۳ تضاد فیبر تک حالت (SMF) به فیبر چند حالته (MMF) را به یاد می آوریم . به دلیل مسئله اعوجاج تاخیر چند حالته ، SMF معمولاً محدودیت مسافت بیشتری نسبت به MMF دارد. هنگامی که می خواهید یک سوئیچ اترنت را به دیگری وصل کنید ، ممکن است به اتصالات مختلف (به عنوان مثال ، MMF ، SMF یا UTP) برای نصب های مختلف نیاز داشته باشید. خوشبختانه ، برخی از سوئیچ های اترنت دارای یک یا چند slots خالی هستند که می توانید در آنها یک [۱](GBIC) وارد کنید. GBIC ها رابط هایی هستند که ظرفیت پهنای باند آن ۱Gbps است و با اتصالات MMF ، SMF و UTP در دسترس هستند. این به شما امکان می دهد در فناوری uplink که در سوئیچ اترنت استفاده می کنید انعطاف پذیری داشته باشید. مبدل های مختلف رابط معمولاً گیرنده نامیده می شوند. دو ویژگی مشترک گیرنده های فیبر نوری دو طرفه بودن و دوبلکس بودن (کامل) آنهاست. این بدان معناست که آنها می توانند داده ها را به هر دو جهت (دو طرفه) ارسال کنند و می توانند این کار را همزمان انجام دهند (full duplex).

توجه

نوع کوچکتر از GBIC معمولی ، پلاگین کوچک (SFP) است که گاهی اوقات mini-GBIC نیز نامیده می شود. تغییرات SFP شامل SFP + و QSFP است.

جدول ۴-۲ لیستی از چندین استاندارد اترنت همراه با نوع رسانه ، ظرفیت پهنای باند و محدودیت فاصله آنها ارائه می دهد ،

[۱] gigabit interface converter

جدول ۲-۴ : نوع های اترنت

توجه

دو اصطلاح که اغلب اشتباه گرفته می شوند ۱۰۰BASE-T و ۱۰۰BASE-TX هستند. ۱۰۰BASE-T خود یک استاندارد خاص نیست. بلکه ۱۰۰BASE-T یک دسته از استاندارد ها است و شامل ۱۰۰BASE-T2 (که از دو جفت سیم در کابل Cat 3 استفاده می کند) ، ۱۰۰BASE-T4 (که از چهار جفت سیم در کابل Cat 3 استفاده می کند) و ۱۰۰BASE-TX   است ۱۰۰BASE-T2و ۱۰۰BASE-T4 پیاده سازی اولیه اترنت ۱۰۰ مگابیت بر ثانیه بودند و دیگر استفاده نمی شوند. بنابراین ، به طور کلی می توانید از عبارات ۱۰۰BASE-T و ۱۰۰BASE-TX به جای هم استفاده کنید. به طور مشابه ، اصطلاح ۱۰۰۰BASE-X یک استاندارد خاص نیست. در عوض ، ۱۰۰۰BASE-X به تمام فن آوری های اترنت گفته می شود که داده ها را در نرخ ۱Gbps نسبت به کابل کشی فیبر نوری منتقل میکنند. روش های اضافی و خلاقانه استفاده از فناوری اترنت شامل IEEE 1901-2013 است که می تواند برای اترنت از طریق کابل های HDMI و اترنت در خطوط برق موجود استفاده شود تا از کابل کشی جداگانه فقط برای شبکه جلوگیری شود.

ویژگی های سوئیچ اترنت

در فصل ۳ به عملکرد سوئیچ های لایه ۲ اترنت (که ما به طور کلی آنها را سوئیچ می نامیم) پرداخته شد. شما توضیحی در مورد اینکه (MAC) از کدام پورت ها به طور مستقیم آدرس می گیرد و توضیحی در مورد چگونگی تصمیم گیری سوئیچ بر اساس آدرس های MAC مقصد مطالعه میکنید. بسیاری از سوئیچ های لایه ۲ اترنت ویژگی های مختلف دیگری را برای بهبود مواردی مانند عملکرد شبکه ، افزونگی ، امنیت ، مدیریت ، انعطاف پذیری و مقیاس پذیری ارائه می دهند. اگرچه ویژگی های خاص ارائه شده توسط یک سوئیچ متفاوت است ، این بخش شما را با برخی از ویژگی های رایج تر موجود در سوئیچ ها آشنا می کند.

شبکه های مجازی

در یک پیکربندی اولیه سوئیچ ، همه پورت های یک سوئیچ متعلق به یک broadcast domainهستند ، به همین دلیل ، broadcast دریافت شده در یک پورت از همه پورتهای دیگر ارسال می شود. همچنین ، از منظر لایه ۳ ، تمام دستگاه های متصل در یک broadcast domain دارای آدرس شبکه یکسانی هستند. بخشی از آن آدرس آدرس شبکه ای است که آن دستگاه به آن متصل شده است. قسمت باقیمانده آن آدرس آدرس خود دستگاه است. دستگاه هایی که آدرس شبکه یکسانی دارند به همان شبکه یا زیر شبکه تعلق دارند. تصور کنید که تصمیم دارید رایانه های شخصی از بخشهای مختلف یک شرکت را در زیرشبکه خود قرار دهید. یک دلیل که ممکن است بخواهید این کار را انجام دهید برای اهداف امنیتی است. به عنوان مثال ، با داشتن بخش حسابداری در یک زیرشبکه جداگانه (یعنی یک دامنه پخش جداگانه) نسبت به بخش فروش ، دستگاه های موجود در یک زیرشبکه ارسال شده در زیرشبکه دیگر را مشاهده نمی کنند. یک چالش طراحی ممکن است این باشد که رایانه های شخصی متعلق به این بخش ها در چندین طبقه از یک ساختمان پراکنده شده اند. شکل ۴-۹ را به عنوان مثال در نظر بگیرید. بخش های حسابداری و فروش هرکدام در هر دو طبقه ساختمان یک رایانه شخصی دارند. از آنجا که سیم کشی هر طبقه به یک کمد سیم کشی در آن طبقه برمی گردد ، برای پشتیبانی از این دو زیر شبکه با استفاده از پیکربندی پیش فرض یک سوئیچ ، باید دو مورد نصب کنید

سوئیچ ها در هر طبقه برای عبور ترافیک از یک زیر شبکه به زیر شبکه دیگر ، این ترافیک باید مسیریابی شود ، به این معنی که دستگاهی مانند سوئیچ چند لایه یا روتر بر اساس آدرس شبکه مقصد یک بسته ، ترافیک را هدایت می کند. بنابراین ، در این مثال ، سوئیچ های Accounting بهم متصل شده و سپس به یک روتر متصل می شوند ، و سوئیچ های فروش نیز به همین ترتیب متصل می شوند.

شکل ۹-۴ : مثال

طراحی ارائه شده فاقد کارایی است ، به این معنی که شما باید حداقل یک سوئیچ در هر زیر شبکه نصب کنید. یک طراحی کارآمد تر این است که پورت های سوئیچ را به صورت دامنه های مختلف broadcast از نظر منطقی جدا کنید. سپس ، به عنوان مثال ، یک کامپیوتر بخش حسابداری و یک کامپیوتر بخش فروش می توانند به همان سوئیچ متصل شوند ، حتی اگر این رایانه های شخصی به زیر شبکه های مختلف تعلق داشته باشند. خوشبختانه شبکه های مجازی (VLAN) این امکان را فراهم می کنند. با استفاده از VLAN ها ، همانطور که در شکل ۴-۱۰ نشان داده شده است ، یک سوئیچ می تواند پورت های خود را به طور منطقی به بیش از یک دامنه پخش تقسیم کند (یعنی بیش از یک زیر شبکه یا VLAN). سپس ، دستگاه هایی که باید به آن VLAN ها متصل شوند می توانند به همان سوئیچ فیزیکی متصل شوند ، اما منطقاً از یکدیگر جدا باشند.

شکل ۱۰-۴ : مثال

یک چالش پیکربندی VLAN در محیط های بزرگ ، نیاز به پیکربندی اطلاعات یکسان VLAN در همه سوئیچ ها است. انجام دستی این پیکربندی وقت گیر و مستعد خطا است. با این حال ، سوئیچ های Cisco Systems از پروتکل Trunking VLAN (VTP) پشتیبانی می کنند ، که به شما اجازه می دهد VLAN ایجاد شده روی یک سوئیچ در یک سوئیچ دیگر (یعنی دامنه VTP) به سوئیچ های دیگر منتقل شود. اطلاعات VTP از طریق اتصال trunk حمل می شود که در ادامه بحث خواهد شد.

تغییر تنظیمات برای یک درگاه دسترسی

تنظیمات مورد استفاده در پورت سوئیچ ممکن است، بر اساس سازنده سوئیچ متفاوت باشد. مثال ۴-۱ یک پیکربندی نمونه را روی درگاه دسترسی روی سوئیچ Cisco Catalyst نشان می دهد. خطوط ! برای توضیح خط های بعدی هستند .

Example 4-1 Switch Access Port Configuration

Trunks

یک چالش در مورد شکستن سوئیچ به چندین VLAN این است که می توان چندین پورت سوئیچ (یعنی یک پورت در هر VLAN) برای اتصال سوئیچ به سوئیچ یا سوئیچ به روتر مصرف کرد. یک روش کارآمدتر این است که به چندین VLAN دسترسی داشته باشید تا از طریق یک اتصال حرکت کنند ، همانطور که در شکل ۴-۱۱ نشان داده شده است. به این نوع اتصال Trunks گفته می شود.

شکل ۱۱-۴ : مثال-ترانکینگ بین سوییچ ها

محبوب ترین استاندارد ترانکینگ امروزه IEEE 802.1Q است که غالباً به آن .۱Q گفته می شود. یکی از VLAN هایی که از یک ترانک ۸۰۲٫۱Q عبور می کند native VLAN نامیده می شود. قاب های متعلق به native VLAN بدون تغییر روی ترانک (بدون برچسب) ارسال می شوند. اما ، برای تمایز VLAN های دیگر از یکدیگر ، VLAN های باقیمانده برچسب گذاری می شوند. به طور خاص ، یک VLAN غیر native دارای چهار بایت برچسب است (که در آن یک بایت مجموعه ای از ۸ بیت است) به قاب اترنت (قاب دارای برچسب) اضافه شده است. شکل ۴-۱۲ قالب یک هدر IEEE 802.1Q را با این ۴ بایت نشان می دهد.

شکل ۱۲-۴ : IEEE 8021Q Header

یکی از این بایت ها شامل یک قسمت VLAN است. این قسمت نشان می دهد که یک فریم به کدام VLAN تعلق دارد. دستگاه ها (به عنوان مثال ، یک سوئیچ ، یک سوئیچ چند لایه یا یک روتر) در هر انتهای یک ترانک ، آن قسمت را مورد بازجویی قرار می دهند تا مشخص شود که یک فریم ورودی به کدام VLAN مرتبط است. همانطور که با مقایسه شکلهای ۴-۹ ، ۴-۱۰ و ۴-۱۱ مشاهده می کنید ، ویژگیهای VLAN و ترانکینگ باعث می شود که از پورتهای سوئیچ بسیار کارآمدتر استفاده شود.

پیکربندی سوییچ برای یک پورت Trunk

مثال ۴-۲ یک پیکربندی نمونه را روی یک ترانک بر روی سوئیچ Cisco Catalyst نشان می دهد.

Example 4-2 Sample Trunk Port Configuration

پروتکل Spanning Tree

به طور سنتی ، شبکه های داده شرکتی از نظر در دسترس بودن برای رقابت با شبکه های صوتی شرکتی تلاش می کردند. امروزه ، بسیاری از شبکه هایی که به طور سنتی فقط داده ها را حمل می کردند ، اکنون صدا ، ویدئو و داده را حمل می کنند. بنابراین ، در دسترس بودن حتی از اهمیت بیشتری برای طراحی برخوردار می شود. برای بهبود در دسترس بودن شبکه در لایه ۲ ، بسیاری از شبکه ها لینک های افزونگی (redundant links) بین سوئیچ ها دارند. با این وجود ، برخلاف بسته های لایه ۳ ، فریم های لایه ۲ فاقد قسمت Time-to Live (TTL) هستند. در نتیجه ، یک فریم لایه ۲ می تواند از طریق یک توپولوژی حلقه ای بی پایان گردش کند. خوشبختانه پرتوکل IEEE 802.1D Spanning Tree (STP) به شبکه اجازه می دهد تا به طور فیزیکی حلقه های لایه ۲ را داشته باشد در حالی که از جریان داده ها از طریق یک یا چند پورت سوئیچ جلوگیری می کند تا از حلقه ترافیک جلوگیری کند. در صورت عدم وجود STP ، اگر مسیرهای موازی داشته باشیم ، دو علامت قابل توجه شامل خرابی جدول آدرس MAC سوئیچ و broadcast storms است ، جایی که فریم ها به طور مکرر در سراسر شبکه سوئیچ شده ما مشاهده می شوند. یک پروتکل STP اصلی ۸۰۲٫۱w است که به آن Rapid Spanning Tree نیز گفته می شود زیرا با تنظیم سریع شرایط شبکه مانند اضافه کردن یا حذف پیوندهای لایه ۲ در شبکه ، کار سریع تری انجام می دهد. Shortest Path Bridging (IEEE 802.1aq / SPB) پروتکلی است که در محیط های بزرگتر (صدها سوئیچ به هم پیوسته) مقیاس پذیرتر از STP است.

خرابی جدول آدرس MAC یک سوئیچ

همانطور که در فصل ۳ شرح داده شده است ، جدول آدرس MAC یک سوئیچ می تواند به صورت پویا یاد بگیرد که آدرس های MAC از پورت های آن در دسترس هستند. با این حال ، در صورت خرابی STP ، جدول آدرس MAC یک سوئیچ خراب می شود. برای توضیح ، شکل ۴-۱۳ را در نظر بگیرید.

شکل ۱۳-۴ : جدول خرابی مک آدرس

PC1 در حال انتقال ترافیک به PC2 است. هنگامی که فریم ارسال شده از PC1 بر روی بخش A منتقل می شود ، این قاب در درگاه های Gig 0/1 سوئیچ های SW1 و SW2 مشاهده می شود ، و باعث می شود هر دو سوئیچ ورودی را به جداول آدرس MAC خود اضافه کنند که یک آدرس MAC AAAA.AAAA.AAAA را با پورت Gig 0/1مرتبط می کند. از آنجا که STP کار نمی کند ، پس هر دو سوئیچ قاب را به بخش B منتقل می کنند. در نتیجه ، PC2 دو نسخه از قاب را دریافت می کند. همچنین ، سوئیچ SW1 قاب را از پورت Gig 0/2 سوئیچ SW2 به جلو هدایت می کند. از آنجا که قاب دارای آدرس MAC منبع AAAA.AAAA.AAAA است ، سوئیچ SW1 جدول آدرس MAC خود را به اشتباه به روز می کند ، نشان می دهد که یک آدرس MAC AAAA.AAAA.AAAA در خارج از Gig 0/2 قرار دارد. به طور مشابه ، سوئیچ SW2 با سوئیچ SW1 روی پورت Gig 0/2 خود ، قاب را به قسمت B منتقل می کند. بنابراین ، سوئیچ SW2 همچنین جدول آدرس MAC خود را به اشتباه به روز می کند.

Broadcast Storms

همانطور که قبلا ذکر شد ، هنگامی که یک سوئیچ یک فریم پخش را دریافت می کند (یعنی یک فریم که برای آدرس MAC FFFF.FFFF.FFFF تعیین می شود) ، سوئیچ فریم را از همه پورت های سوئیچ خارج می کند ، به غیر از پورتی که قاب روی آن قرار داشت. از آنجا که یک فریم لایه ۲ دارای فیلد TTL نیست ، یک فریم پخش بی وقفه از طریق آن پخش می شود شکل ۴-۱۴ نشان می دهد که چگونه یک Broadcast Storms  در توپولوژی لایه ۲ هنگامی که STP به درستی کار نمی کند تشکیل می شود:

 

شکل ۱۴-۴ : Broadcast Storm

• PC1 یک فریم برادکست را به بخش A ارسال می کند ، و فریم وارد هر سوئیچ در پورت Gig 0/1 می شود.
• هر دو سوئیچ یک کپی از broadcast frame را از پورت های Gig 0/2 خود خارج می کند، و باعث می شود PC2 دو نسخه از broadcast frame را دریافت کند.
• هر دو سوئیچ یک کپی از broadcast frame را روی پورت های Gig 0/2 خود دریافت می کنند (یعنی از بخش B) و فریم را از پورت های Gig 0/1 خود خارج می کنند (یعنی به بخش A) ، باعث میشود که PC1 دو نسخه از broadcast frame دریافت کند .

این روند همچنان ادامه دارد عملکرد PC1 و PC2 تحت تأثیر قرار می گیرد زیرا آنها همچنان به دریافت کپی از broadcast frame ادامه می دهند. STP از بروز حلقه های لایه ۲ در شبکه جلوگیری می کند زیرا چنین اتفاقی ممکن است منجر به broadcast storm یا خرابی جدول آدرس MAC سوئیچ شود. سوئیچ ها در یک توپولوژی STP به عنوان یکی از موارد زیر طبقه بندی می شوند:

• Root Bridge: سوئیچ انتخاب شده به عنوان یک نقطه مرجع برای یک spanning tree است. سوییچ با کمترین ID پل (BID) به عنوان پل اصلی انتخاب می شود. BID از یک مقدار اولویت و یک آدرس MAC تشکیل شده است.
• Nonroot Bridge: تمام سوییچ های دیگر در توپولوژی STP ، nonroot bridges هستند.

شکل ۴-۱۵ root bridge را در یک شبکه نشان می دهد. توجه داشته باشید که چون priority پل هر دو ۳۲۷۶۸ است ، سوئیچ با کمترین آدرس MAC (یعنی SW1) به عنوان پل اصلی انتخاب می شود.

شکل ۱۵-۴ : Root Bridge Election

پورت هایی که سوئیچ ها را در یک توپولوژی STP به هم متصل می کنند به عنوان یکی از انواع پورت توصیف شده در جدول ۴-۳ طبقه بندی می شوند.

جدول ۳-۴ : نوع های STP Port

شکل ۴-۱۶ این نوع پورت ها را نشان می دهد. توجه داشته باشید که root port برای سوئیچ SW2 بر اساس کمترین شناسه پورت انتخاب شده است زیرا هزینه هر دو لینک برابر است. به طور خاص ، هر لینک دارای هزینه است ، زیرا هر دو لینک پیوندهای Fast Ethernet هستند.

شکل ۱۶-۴ : Identifying STP Port Roles

شکل ۴-۱۷ توپولوژی مشابه شکل ۴-۱۶ را نشان می دهد. در شکل ۴-۱۷ ، لینک بالا با سرعت ۱۰ مگابیت در ثانیه در حال اجرا است ، در حالی که لینک پایین با سرعت ۱۰۰ مگابیت در ثانیه در حال اجرا است. از آنجا که سوئیچ SW2 با کمترین هزینه به دنبال بازگشت به root bridge (یعنی سوئیچ SW1) است ، پورت Gig 0/2 روی سوئیچ SW2 به عنوان root bridge انتخاب می شود.

شکل ۱۷-۴ : STP with Different Port Costs

به طور خاص ، پورت Gig 0/1  و Gig 0/2  به ترتیب دارای هزینه ۱۰۰ و ۱۹ است . جدول ۴-۴ هزینه پورت را برای سرعتهای لینک مختلف نشان می دهد.

جدول ۴-۴ : STP Port Cost

توجه

یک استاندارد جدید برای هزینه های پورت STP ، long STP نامیده می شود ، به دلیل سرعت لینک بیش از ۱۰Gbps در سال های آینده به طور فزاینده ای تصویب می شود. مقادیر long STP  از ۲،۰۰۰،۰۰۰ برای ۱۰Mbps Ethernet تا کمتر از ۲ برای ۱۰Tbps (یعنی ۱۰ تریلیون [ترا] بیت در ثانیه) است.

پورتهای غیرمصرف در هنگام کار عادی ترافیک را انتقال نمی دهند اما [۱](BPDU) را دریافت می کنند. سوئیچ ها اطلاعات STP را به صورت BPDU مبادله می کنند. اینها حاوی اطلاعات مفیدی برای انتخابات STP ، محاسبه هزینه مسیر ، link suppression و تشخیص حلقه است. اگر پیوندی در توپولوژی پائین بیاید ، درگاه غیر تعیین شده خرابی پیوند را تشخیص می دهد و تعیین می کند که لازم است به حالت هدایت انتقال شود یا نه . اگر یک پورت ناشناخته نیاز به انتقال به حالت فوروارد داشته باشد ، بلافاصله این کار را نمی کند بلکه از طریق حالات زیر انتقال می یابد:

• مسدود کردن: پورت به طور پیش فرض ۲۰ ثانیه در حالت مسدود باقی می ماند در طول این مدت ، پورت بدون تعیین مقدار BPDU ها را ارزیابی می کند تا بتواند نقش آن را در spanning tree تعیین کند.
• گوش دادن: پورت از حالت مسدود کردن به حالت شنود منتقل می شود و به طور پیش فرض ۱۵ ثانیه در این حالت باقی می ماند. در طول این زمان ، پورت از BPDU استفاده می کند ، که سوئیچ های مجاور را از هدف پورت برای ارسال اطلاعات مطلع می کند.
• یادگیری: پورت از حالت گوش دادن به حالت یادگیری منتقل می شود و به طور پیش فرض ۱۵ ثانیه در این حالت باقی می ماند. در این مدت ، پورت شروع به اضافه کردن ورودی به جدول آدرس MAC خود می کند.
• حمل و نقل: پورت از حالت یادگیری به حالت forwarding منتقل می شود و شروع به ارسال فریم ها می کند

[۱] bridge protocol data units

Link Aggregation

اگر همه پورتهای یک سوئیچ با سرعت یکسانی (به عنوان مثال ۱Gbps) کار می کنند ، پورتهایی که به سوئیچ یا روتر دیگری متصل می شوند به احتمال زیاد دچار ازدحام می شوند. به عنوان مثال ، تصور کنید که یک سوئیچ کمد سیم کشی (از طریق پورت های Fast Ethernet) به چندین رایانه متصل شده است. آن کلید سیم کشی دارای یک اتصال لینک به کلید اصلی برای یک ساختمان است. از آنجا که این پورت uplink چندین اتصال ۱۰۰ مگابیت بر ثانیه را جمع می کند و پورت uplink نیز با سرعت ۱۰۰ مگابیت در ثانیه کار می کند ، اگر چندین کامپیوتر ترافیکی را که باید از طریق آن لینک ارسال شود ، به سرعت متراکم شود ، همانطور که در شکل ۴-۱۸ نشان داده شده است.

شکل ۱۸- ۴: Uplink Congestion

برای کمک به کاهش لینک های متراکم بین سوئیچ ها ، می توانید (در برخی از مدل های سوئیچ) چندین اتصال فیزیکی را به صورت منطقی در یک اتصال منطقی واحد ، که از طریق آن می توان ترافیک ارسال کرد ، ترکیب کنید. این ویژگی ، همانطور که در شکل ۴-۱۹ نشان داده شده است ، Link Aggregation نامیده می شود.

شکل ۱۹- ۴: Link Aggregation

اگرچه راه حل های vendor-proprietary برای تجمیع لینک برای مدتی وجود داشته است ، اما چند مورد مشترک با برخی راه حل ها وجود دارد:

• هر پیوند در بسته منطقی یک نقطه بالقوه از کار افتاده بود.
• هر انتهای بسته منطقی باید به صورت دستی پیکربندی شود.

در سال ۲۰۰۰ ، IEEE استاندارد۸۰۲٫۳ad را برای تجمیع پیوندهاlink aggregation تصویب کرد. استاندارد IEEE 802.3ad از پروتکل کنترل تجمع پیوند [۱](LACP) پشتیبانی می کند. برخلاف برخی از راه حل های vendor proprietary ، LACP از پیکربندی خودکار پشتیبانی میکند و از تبدیل شدن پیوند فردی به یک نقطه خرابی جلوگیری می کند. به طور خاص ، در صورت عدم موفقیت در پیوند ، با LACP ، ترافیک آن پیوند از طریق پیوند دیگری هدایت می شود. گروه هایی از رابط ها که یک بسته EtherChannel را تشکیل می دهند اغلب به عنوان یک [۲](LAG) شناخته می شوند. پیاده سازی سیستم های سیسکو به EtherChannel گفته می شود و اصطلاحات LACP و EtherChannel هر دو معمولاً استفاده می شوند. یک گروه EtherChannel می تواند طوری تنظیم شود که به عنوان یک درگاه دسترسی لایه ۲ عمل کند و فقط از یک VLAN پشتیبانی کند ، یا می تواند پیکربندی شود که به عنوان یک درپوش لایه ۲ ۸۰۲٫۱Q عمل کند تا چندین VLAN LAG را پشتیبانی کند. اگر سوئیچ از آن ویژگی پشتیبانی کند ، LAG ها همچنین می توانند به عنوان یک رابط مسیریاب لایه ۳ پیکربندی شوند. در مورد کانال اتر لایه ۳ ، یک آدرس IP برای رابط منطقی که نشان دهنده LAG است اعمال می شود. اصطلاح دیگر مربوط به LACP و LAG ها باند اتصال (port bonding) است که به مفهوم گروه بندی چندین پورت و استفاده از آنها به عنوان یک رابط منطقی واحد اشاره دارد.

[۱] Link Aggregation Control Protocol

[۲] link aggregation group

LACP Configuration

مثال ۴-۳ نمونه تنظیمات LACP را روی یک سوئیچ سیسکو نشان می دهد. خطوط کامنت با علامت تعجب (!) نشان داده میشود .

Example 4-3 LACP Configuration

Power over Ethernet

برخی از سوئیچ ها نه تنها داده ها را از طریق یک کابل UTP متصل منتقل می کنند ، بلکه از آن کابل برای تأمین برق دستگاه متصل نیز استفاده می کنند. به عنوان مثال ، تصور کنید که می خواهید یک نقطه دسترسی بی سیم (AP) را روی سقف نصب کنید. در نزدیکی محل قرارگیری AP هیچ پریز برق در دسترس نیست ، به عنوان مثال می توانید کابل پلنوم Cat 5 UTP را بالای سقف افتاده اجرا کرده و به AP متصل کنید. برخی از AP ​​ها به سوئیچ منتهی به انتهای دیگر کابل UTP اجازه می دهند تا از طریق سیم های مشابهی که اطلاعات را انتقال می دهند ، برق تأمین کند. نمونه هایی از دستگاه های دیگر که ممکن است با دریافت نیرو از سوئیچ اترنت بهره مند شوند شامل دوربین های امنیتی و تلفن های IP است. سوئیچی که به دستگاه های متصل نیرو می دهد Power over Ethernet (PoE) نامیده می شود و توسط استاندارد IEEE 802.3af تعریف می شود. همانطور که در شکل ۴-۲۰ نشان داده شده است ، PoE یک سوئیچ با مقاومت ۲۵ کیلو اهم (۲۵۰۰۰ اهم) را در دستگاه متصل بررسی می کند. برای بررسی مقاومت ، سوئیچ به اندازه ۱۰ ولت جریان مستقیم (DC) در جفت سیمهای خاص اعمال می شود (یعنی پین های ۱ و ۲ با هم ترکیب می شوند و یک طرف مدار را تشکیل می دهند ، و پایه های ۳ و ۶ با هم ترکیب می شوند) بررسی می کند که جریان چقدر جریان دارد یعنی ۱۰ ولت ولتاژ اعمال میکنند و جریان را اندازه میگیرند و از تقسیم این دو به مقاومت میرسند  به عنوان مثال ، اگر سوئیچ ۱۰ ولت DC را روی آن سیمها اعمال می کند و ۰٫۴ میلی آمپر (میلی آمپر) جریان را مشاهده می کند ، سوئیچ نتیجه می گیرد که دستگاه متصل دارای ۲۵ کیلوم اهم مقاومت در برابر آن سیم ها است (بر اساس فرمول E = IR ، که E ولتاژ را نشان می دهد ، I نشان دهنده جریان است و R نشان دهنده مقاومت است). سپس سوئیچ می تواند برق را از طریق آن سیم ها اعمال کند.

شکل ۲۰- ۴: POE

مورد بعدی که سوئیچ باید تعیین کند میزان برق مورد نیاز دستگاه متصل است. سوئیچ با استفاده از ۱۵٫۵ V-20.5V DC (اطمینان از اینکه جریان هرگز از ۱۰۰ میلی آمپر بیشتر از حد نیست) برای مدت زمان کوتاهی (کمتر از یک دهم ثانیه) این را انجام می دهد. مقدار جریان، جریان یافته به دستگاه متصل ، کلاس قدرت دستگاه متصل را به سوئیچ نشان میدهد . سپس سوییچ می داند که چه مقدار برق باید در پورت متصل به دستگاه مورد نیاز برق موجود باشد و شروع به تأمین مقدار مناسب ولتاژ (در محدوده ۴۴V-57V) به دستگاه متصل می کند. استاندارد IEEE 802.3af می تواند حداکثر ۱۵٫۴W (وات) نیرو تأمین کند. با این حال ، یک استاندارد جدیدتر ، IEEE 802.3at ، به اندازه ۳۲٫۴W نیرو ارائه می دهد ، که PoE را قادر می سازد تا طیف وسیع تری از دستگاه ها را پشتیبانی کند.

Port Monitoring

برای اهداف عیب یابی ، ممکن است بخواهید بسته های جاری در شبکه را تجزیه و تحلیل کنید. برای گرفتن بسته ها (یعنی ذخیره یک کپی از بسته ها روی یک هارد دیسک محلی) برای تجزیه و تحلیل ، می توانید یک دستگاه sniffer  شبکه را به یک هاب وصل کنید. از آنجا که یک هاب بیت های دریافت شده در یک پورت را از سایر پورت ها ارسال می کند ، اسنیفر شبکه متصل تمام ترافیک ورودی به هاب را می بیند. اگرچه چندین دستگاه sniffer مستقل شبکه در بازار موجود است ، اما یک روش کم هزینه برای انجام ضبط و تجزیه و تحلیل بسته ، استفاده از نرم افزارهایی مانند Wireshark (www.wireshark.org) است ، همانطور که در شکل ۴-۲۱ نشان داده شده است.

شکل ۲۱-۴ : مثال-Wireshark Packet-Capture Software

اگر network sniffer خود را متصل کنید (به عنوان مثال لپ تاپی که از نرم افزار Wireshark استفاده می کند) از آنجا که یک سوئیچ ، با طراحی ، پورت هایی را که حاوی آدرس مقصد فریم ها هستند ، به جلو هدایت می کند ، یک اسکنر شبکه که به یک پورت متصل است ، ترافیکی را که برای دستگاه متصل به پورت دیگری مشخص شده است نمی بیند. شکل ۴-۲۲ را در نظر بگیرید. ترافیک به یک سوئیچ در پورت ۱ وارد می شود و بر اساس آدرس های MAC مقصد ، از طریق پورت ۲ خارج می شود.

شکل ۲۲-۴ : مثال-Network Sniffer Unable to Capture Traffic

خوشبختانه ، برخی از سوئیچ ها از ویژگی port mirroring پشتیبانی می کنند ، که باعث می شود یک کپی از ترافیک در یک پورت دیده شود و ترافیک تکراری را از پورت دیگری ارسال کند. همانطور که در شکل ۴-۲۳ نشان داده شده است ، سوئیچ به گونه ای پیکربندی شده است که ترافیک موجود در پورت ۲ به پورت ۳ را آینه می کند. بسته به کلید ، ترافیک محلی ضبط شده می تواند به یک مقصد از راه دور برای تجزیه و تحلیل متمرکز آن ترافیک هدایت شود.

شکل ۲۳-۴ : مثال-Network Sniffer with Port Mirroring Configured on the Switch

تنظیمات Port Mirroring

مثال ۴-۴ یک پیکربندی نمونه را از یک سوئیچ Cisco Catalyst نشان می دهد که تمام فریم های ورودی به پورت Gig 0/1 را گرفته و آنها را به Gig 0/3 هدایت می کند.

Example 4-4 Port Mirroring Configuration

احراز هویت کاربر

برای اهداف امنیتی ، برخی از سوئیچ ها قبل از دسترسی به بقیه شبکه ، به کاربران احتیاج دارند که خود را احراز هویت کنند (یعنی مدارکی مانند نام کاربری و رمز عبور برای اثبات اینکه چه کسی هستند). یک روش مبتنی بر استاندارد برای اجرای احراز هویت کاربر ، IEEE 802.1X است. با فعال کردن ۸۰۲٫lX ، یک سوئیچ نیاز به تأیید اعتبار مشتری قبل از برقراری ارتباط در شبکه دارد. پس از احراز هویت ، یک کلید تولید می شود که بین مشتری و دستگاهی که به آن متصل می شود ، به اشتراک گذاشته می شود (به عنوان مثال ، یک کنترل کننده LAN بی سیم یا یک سوئیچ لایه ۲). سپس کلید ترافیکی را که از مشتری می آید و برای مشتری ارسال می شود رمزگذاری می کند. در شکل ۴-۲۴ ، سه جز مولفه اصلی شبکه ۸۰۲٫۱X را مشاهده می کنید که در لیست زیر شرح داده شده است:

 

شکل۲۴-۴ : مثال-۸۰۲۱X User Authentication

• Supplicant: دستگاهی که می خواهد به شبکه دسترسی پیدا کند.
• Authenticator: authenticator درخواست احراز هویت درخواست کننده را به یک سرور احراز هویت هدایت می کند. پس از تأیید اعتبار سرور احراز هویت ، درخواست احراز هویت کلیدی را دریافت می کند که برای برقراری ارتباط ایمن در طول جلسه با درخواست دهنده مورد استفاده قرار می گیرد.
• سرور احراز هویت: سرور احراز هویت (به عنوان مثال شماره گیری احراز هویت از راه دور در سرور سرویس کاربر [RADIUS]) اعتبار یک درخواست کننده را بررسی می کند. اگر اعتبار قابل قبول باشد ، سرور احراز هویت اعلام می کند که درخواست کننده مجاز به برقراری ارتباط در شبکه است. سرور احراز هویت همچنین یک کلید تأیید اعتبار می دهد که می تواند برای انتقال ایمن داده ها در طول جلسه تأیید اعتبار با درخواست کننده مورد استفاده قرار گیرد. یک رویکرد حتی پیچیده تر برای کنترل پذیرش ، قابلیت کنترل پذیرش شبکه (NAC) است که توسط برخی از سرورهای تأیید اعتبار ارائه می شود. فراتر از بررسی مدارک ، NAC می تواند مشخصات دستگاهی را که به دنبال ورود به آن است ، بررسی کند سیستم عامل (OS) کلاینت و نسخه نرم افزار آنتی ویروس نمونه هایی از این ویژگی ها هستند.

دسترسی و احراز هویت مدیریت

برای پیکربندی سوئیچ مدیریت شده ، می توانید از Secure Shell (SSH) استفاده کنید یا مستقیماً به درگاه کنسول سوئیچ متصل شوید. سوئیچ بدون مدیریت سوئیچ  از آدرس IP یا درگاه کنسول برای اتصال به آن برای اهداف مدیریت پشتیبانی نمی کند. در صورت امکان ، استفاده از یک شبکه جداگانه برای مدیریت یک سوئیچ مورد نظر است. وقتی ترافیک مدیریت در شبکه جداگانه ای از ترافیک کاربر نگهداری می شود ، به این مدیریت خارج از باند (OOB) گفته می شود. برای استفاده از دسترسی SSH از راه دور ، SSH باید روی سوئیچ فعال باشد و سوئیچ باید دارای آدرس IP و درگاه پیش فرض باشد تا بتواند به درخواست های SSH پاسخ دهد. مثال ۴-۵ یک پیکربندی نمونه را برای دسترسی به IP و مدیریت روی سوئیچ Cisco Catalyst نشان می دهد.

Example 4-5 Management Access

توجه

خطوط ترمینال مجازی (VTY) (خطوط ۰ تا ۱۵ در مثال) امکان ۱۶ اتصال همزمان به سوئیچ توسط administrators را فراهم می کند. اگر اتصالات بیشتر مورد نیاز است ، خطوط ترمینال مجازی اضافی می توانند بر روی سوئیچ پیکربندی شوند.

 

First-Hop Redundancy

بسیاری از دستگاه ها مانند رایانه های شخصی با درگاه پیش فرض gateway پیکربندی شده اند. پارامتر gateway پیش فرض آدرس IP یک روتر بعدی را مشخص می کند. در نتیجه ، اگر آن روتر غیرقابل دسترسی شود ، دستگاه هایی که به آدرس IP پیش فرض gateway متکی هستند ، حتی در صورت وجود روتر پشتیبان ، قادر به ارسال ترافیک از زیر شبکه محلی خود نخواهند بود.

خوشبختانه ، فن آوری های مختلفی برای ایجاد first-hop redundancy در دسترس است. یکی از این فناوری ها پروتکل Hot Standby Router (HSRP) است که یک پروتکل اختصاصی سیسکو است. HSRP می تواند روی روترها یا سوئیچ های چند لایه اجرا شود. HSRP از آدرسهای IP مجازی و MAC مجازی استفاده می کند. یک روتر ، شناخته شده به عنوان روتر فعال ، درخواست های سرویس را برای IP مجازی و MAC مجازی تعیین می کند. روتر دیگری که به عنوان روتر آماده به کار شناخته می شود ، می تواند در صورت عدم دسترسی به روتر فعال ، به چنین درخواست هایی پاسخ دهد. شکل ۴-۲۵ نمونه ای از توپولوژی HSRP را نشان می دهد.

شکل۲۵-۴ : نمونه ای از توپولوژی HSRP

توجه داشته باشید که روتر R1 به عنوان روتر فعال عمل می کند و روتر R2 به عنوان روتر آماده به کار عمل می کند. هنگامی که ایستگاه کاری A ترافیکی را برای یک شبکه از راه دور ارسال می کند ، ترافیک را به gatway پیش فرض خود یعنی ۱۷۲٫۱۶٫۱٫۳ می فرستد ، این آدرس IP مجازی است که توسط روترهای HSRP به اشتراک گذاشته می شود. وقتی روتر R1 روتر فعال باشد ، IP مجازی و MAC مجازی را فرض می کند و ترافیک را از شبکه محلی هدایت می کند. با این حال ، اگر R2 متوجه شود که R1 از دسترس خارج شده است (زیرا پیام ها دیگر از روتر R1 دریافت نمی شوند) ، R2 به نقش روتر فعال می رود و IP مجازی و MAC مجازی را در نظر می گیرد. با تنظیمات پیش فرض تایمر ، زمان لازم برای عدم موفقیت در روتر R2 تقریباً ۱۰ ثانیه است. با این وجود می توان تایمرها را به گونه ای تنظیم کرد که زمان خرابی به اندازه ۱ ثانیه باشد.

توجه

سیسکو یک پروتکل افزونگی اختصاصی first-hop دیگری به نام Gateway Load Balancing Protocol (GLBP) دارد. در حالی که GLBP و HSRP راه حل های اختصاصی سیسکو هستند ، [۱](VRRP) و [۲](CARP) گزینه های استاندارد باز برای افزونگی first-hop هستند.

[۱] Virtual Router Redundancy Protocol

[۲] Common Address Redundancy Protoco

سایر ویژگی های سوئیچ

ویژگی های سوئیچ ، مانند مواردی که قبلا توضیح داده شد ، به طور گسترده ای توسط سازنده متفاوت است و برخی از سوئیچ ها از ویژگی های امنیتی مختلفی برخوردار هستند. به عنوان مثال ، ممکن است از فیلتر کردن MAC پشتیبانی شود که اجازه می دهد ترافیک بر اساس آدرس MAC دستگاه مجاز یا رد شود. بر اساس معیارهایی مانند اطلاعات آدرس IP (برای سوئیچ های چند لایه) ممکن است انواع دیگری از فیلتر کردن ترافیک نیز پشتیبانی شوند. برای اهداف نظارت و عیب یابی ، تشخیص عیب یابی ممکن است قابل دسترسی باشد. این اطلاعات تشخیصی ممکن است حاوی اطلاعاتی از جمله شرایط مختلف خطا باشد – به عنوان مثال ، خطاهای برخورد دیرهنگام یا بررسی افزایشی دوره ای (CRC) ، که ممکن است نشان دهنده عدم تطابق دو طرفه باشد. برخی از سوئیچ ها از تنظیمات کیفیت خدمات (QoS) نیز پشتیبانی می کنند. QoS می تواند ترافیک را بر اساس علائم اولویت ترافیک هدایت کند. همچنین ، برخی از سوئیچ ها توانایی انجام علامت گذاری و نشانه گذاری مقادیر اولویت ترافیک را دارند.

توجه

فناوری های QoS با جزئیات بیشتر در فصل ۹ ، “بهینه سازی شبکه” آورده شده است.

مطالعه موردی در دنیای واقعی

Acme ، Inc. ، در مورد راه اندازی LAN خود تصمیماتی گرفته است. برای اتصال از طریق ماشین های کلاینت به سوئیچ های گنجه های سیم کشی (IDF) ، از کابل کشی دسته ۵ جفت پیچ خورده بدون محافظ با درگاه های سوئیچ که به عنوان درگاه های دسترسی پیکربندی شده و بر روی ۱۰۰ مگابیت بر ثانیه تنظیم می شود تا با قابلیت های سریع اترنت رایانه های مشتری سازگار باشد به سوئیچ متصل خواهد شد. از چندین VLAN استفاده خواهد شد. رایانه هایی که توسط بخش فروش استفاده می شوند ، به درگاه های سوئیچ متصل می شوند که به عنوان درگاه های دسترسی VLAN خاص برای فروش پیکربندی شده اند. رایانه های مورد استفاده منابع انسانی به پورت های سوئیچ متصل می شوند که به عنوان درگاه های دسترسی برای منابع انسانی VLAN پیکربندی شده اند. شبکه های فرعی IP جداگانه ای وجود دارد که با هر یک از VLAN ها مرتبط است. برای ایجاد یک gateway پیش فرض متحمل خطا برای مشتریان در هر یک از VLAN ها ، از پروتکل First-Hop Redundancy مانند HSRP ، GLBP یا VRRP استفاده خواهد شد. اتصالات الیافی که به صورت عمودی از داخل ساختمان عبور می کنند و کلیدهای IDF را به MDF در زیرزمین متصل می کنند ، هر یک با سرعت ۱ گیگابیت بر ثانیه کار می کنند و از کابلهای فیبر متعددی استفاده می شود. پروتکل کنترل تجمع پیوند برای این اتصالات عمودی استفاده خواهد شد تا پیوندهای فیبر چندگانه به عنوان بخشی از یک رابط منطقی EtherChannel با هم کار کنند. برای اتصال LACP بین IDF و MDF برای پشتیبانی از چندین VLAN ، LAG به عنوان یک trunk با استفاده از برچسب گذاری ۸۰۲٫۱Q پیکربندی می شود. مسیریابی بین VLAN ها توسط سوئیچ های چند لایه انجام می شود که در نزدیکی MDF قرار دارند. Spanning tree روی سوئیچ ها فعال خواهد شد تا در صورت وجود مسیرهای موازی بین کلیدها ، از حلقه لایه ۲ جلوگیری شود. برای پشتیبانی از تلفنهای مبتنی بر IP در دفاتر ، سوئیچ ها همچنین Power over Ethernet را ارائه می دهند که می تواند تلفنهای IP را از طریق کابلهای Ethernet که بین سوئیچ IDF و تلفن های IP قرار دارند تأمین کند. در صورت نیاز به تجزیه و تحلیل پروتکل ، سوییچ های خریداری شده باید از port mirroring پشتیبانی کنند تا فریم های یک پورت گرفته شده و برای تجزیه و تحلیل به یک پورت جایگزین ارسال شوند. برای تأیید اعتبار دستگاههایی که به پورتهای سوئیچ متصل هستند ، می توان از ۸۰۲٫۱X استفاده کرد. برای احراز هویت مدیرانی که برای مدیریت به سوئیچ ها متصل می شوند ، احراز هویت می تواند در خطوط منطقی VTY اعمال شود. SSH چونکه یک پروتکل مدیریت ایمن است فعال و اجرا خواهد شد . به سوئیچ ها آدرس IP اختصاصی خود داده می شود ، علاوه بر این یک درگاه پیش فرض برای استفاده وجود دارد تا بتوان آنها را از راه دور مدیریت کرد. حساب های کاربری محلی بر روی سوئیچ ها ایجاد می شود تا احراز هویت محلی با اتصال هر مدیر یا به کنسول یا از طریق SSH ، بتواند احراز هویت محلی را انجام دهد.

 

 

خلاصه

موضوعات اصلی ذکر شده در این فصل به صورت زیر است :

• عناوین اصلی اترنت ، از جمله بحث در مورد ویژگی های CSMA / CD اترنت ،
• انواع استاندارد های اترنت از نظر نوع مدیا ، پهنای باند شبکه و محدودیت فاصله
• ویژگی های مختلفی مانند VLANs, trunking, STP, link aggregation, PoE, port monitoring, VLANs, trunking, STP, link aggregation, PoE, port monitoring,   که ممکن است در سوئیچ های اترنت مدرن موجود باشد.